TWI387292B

TWI387292B - Secure video conferencing systems and methods

Info

Publication number: TWI387292B
Application number: TW97136477A
Authority: TW
Original assignee: Univ Chang Gung
Priority date: 2008-09-23
Filing date: 2008-09-23
Publication date: 2013-02-21
Also published as: TW200901721A

Description

安全視訊會議系統及方法

本發明係提供一種視訊會議系統及方法，尤指提供一種更具安全性及親和性之安全視訊會議系統，其藉由自行設計的金鑰協議機制，確保會議訊息的機密性。

資訊網路已經是現代社會不可或缺的一環，它與個人的生活息息相關。近年來網路的技術不斷突破，網路頻寬及品質大幅提升，以往因為頻寬限制而做不到的多媒體通訊，現在已能達成，並且還出現了即時通訊軟體，例如：MSN Messenger、Yahoo Messenger、Skype等，讓網路使用者能與他人即時進行文字聊天、語音對話、視訊聊天等多元化功能。

視訊會議系統即整合電腦、網路通訊以及視訊等各種軟硬體設備形成一種新的通訊工具，能夠即時的傳送聲音、影像、文字與資料，它打破了人傳統溝通的格式，允許網路使用者可以不受時間與空間之限制，在網際網路中進行面對面的遠距交談。這類系統的應用範疇廣泛，例如：企業視訊會議、遠距教學、協同設計、虛擬社群、居家照護等應用。

然而，隨著網路犯罪的猖獗，視訊會議系統所面臨的安全性議題，愈發引人重視。系統的安全性不足將使得使用者可能會面臨以下的問題：1．假冒：有心人士假冒他人偽造資料、複製、重送或竄改傳送的訊息，使得合法使用者無法分辨資料來源的正確性。

2．竊聽：在網路傳送的過程中，影音、文字遭到有心人士竊取，使得內容曝光。

3．隱私：有些屬於個人的隱私資料，在網路的傳送過程中，遭到有心人士竊取散播。

另者，其習用身分鑑別系統會有下列缺失：1．私鑰可能會被伺服器(Server)得知。

2．電腦中若存有私鑰，就有可能遭木馬程式竊取到私鑰。

3．使用點對點建立金鑰，非多人共同建立一把金鑰，造成金鑰的建立無效率。

4．伺服器(Server)知道所有使用者的秘密資訊(如ID、Password)，若遭有心人士竊取，就能假冒他人傳送資料。

5．需額外安裝加密軟體。

是以，針對上述習知結構所存在之問題點，如何開發一種更具理想實用性之創新結構，實消費者所殷切企盼，亦係相關業者須努力研發突破之目標及方向。

有鑑於此，發明人本於多年從事相關產品之製造開發與設計經驗，針對上述之目標，詳加設計與審慎評估後，終得一確具實用性之本發明。

隨著網路犯罪的猖獗，視訊會議系統所面臨的安全性議題，愈發引人重視。系統的安全性不足將使得使用者可能會面臨以下的問題有假冒、竊聽及隱私，其中假冒為有心人士假冒他人偽造資料、複製、重送或竄改傳送的訊息，使得合法使用者無法分辨資料來源的正確性。竊聽為在網路傳送的過程中，影音、文字遭到有心人士竊取，使得內容曝光。隱私為有些屬於個人的隱私資料，在網路的傳送過程中，遭到有心人士竊取散播。

本發明提供一種安全視訊會議系統及方法，主要係提出相關安全機制與模組，加強視訊會議系統的安全性，以達到相當好的安全性(PGS, Pretty Good Security)之目標，即具備高安全(Good Security)與高親和性(Good Friendliness)，本系統針對系統管理者，提供使用者註冊、註銷以及核發Java Card等功能，使系統管理者具有簡易認證當局(CA, Certification Authority)的功能。對於使用者而言，本系統將針對擔任主席之使用者，提供開啟和關閉會議，建立會議名單、踢除不當行為之與會者等基本功能，本系統提供自行設計的金鑰機制，確保會議訊息的機密性，並且利用自行設計的通行碼基底之雙向身分鑑別機制，以確認使用者身分的合法性。

一、使用者在登入系統的階段，只需填入個人的通行碼與插入Java Card，便能向Server驗證身分。在登入系統後，每位使用者只能得知自身有權限參與的會議，並且每次會議所使用的加解密金鑰都不同，縱使某把會議金鑰遭到破解，並不會揭露先前的會議金鑰，可確保每次會議的機密性。而不同群體間使用的會議金鑰也不同，可確保資料與影音的機密性。

二、使用者在登入系統的階段，只需輸入自訂的通行碼就能向Server驗證身分進入系統。本系統使用Web-Based的界面，電腦只要具有上網的功能與基本的環境設定就能連上本系統，與其他使用者做即時的影音與文字傳輸。

有關本發明所採用之技術、手段及其功效，茲舉一較佳實施例並配合圖式詳細說明於后，相信本發明上述之目的、構造及特徵，當可由之得一深入而具體的瞭解。

身分鑑別(HLC-Scheme)技術，係出自發明人之一發表於國際數理雜誌2006(公認的)(International Mathematical Journal,2006(Accepted))內的一篇報告，其為「金鑰協定智慧卡使用於遠距相互認證之方案」(Remote Mutual Authentication Scheme with Key Agreement using Smart Cards.)作者為：許建隆(Chien-Lung Hsu)，劉筱禎(Hsiao-Chen Liu)，周明慈(Ming-Tzu Chou)。

會議金鑰協議(HML-Scheme)技術，係出自發明人之一引用於工作報告(Working paper)，其為「自我驗證金鑰交換和會議金鑰分配系統」Self-Certified Key Exchange and Conference Key Distribution System,作者為：許建隆(Chien-Lung Hsu),林燕卿(Y.C. Lin),吳宗成(T.C. Wu)。

本發明係提供一種安全視訊會議系統。包含有：身分鑑別方法：該網路科技的發達使得越來越多的使用者藉由網路來傳遞資料，甚至藉以完成以往需要本人親自辦理的事務，如繳款、購物等等。因此，為了保障每個人的權益及資訊的隱私，鑑別使用者身分變得十分關鍵。透過身分鑑別的程序，可以有效的區別合法與非法的使用者，以防止非法的侵入者危害事務正常的運作。而在不安全的網路中，如何防止他人藉由攔截、竊取通訊資料來假冒使用者身分或獲取個人祕密資料，以及如何確保通訊內容的安全，也是一項重要的課題。

鑑別的方法可追溯至1981年，Lamport提出在不安全的通道中，利用智慧卡及通行碼，允許使用者進行遠端登錄，並確認其身分的合法性。隨後，便有許多不同的遠端鑑別系統相繼被提出[1, 3, 8]，其目的都在於提高系統效率和安全性。而先前許多學者所提出的方法常面臨平行攻擊(parallel session attack)、重送攻擊(replay attack)、模仿攻擊(reflection attack)、內部攻擊(insider attack)、離線的字典攻擊(offline dictionary attack)、通行碼猜測攻擊(password guessing attack)和假冒攻擊(forgery attack)。為解決這些問題，我們除了要達到以下的功能：1．提升效能：在鑑別的過程中降低在網路上傳遞之訊息的傳輸量，在計算方面，則減少使用者和伺服器的運算成本。

2．雙向鑑別：使用者和伺服器雙方都可驗證彼此身分的合法性。

3．金鑰協議：使用者可在每一次登入後，和伺服建立一把共享的密鑰，藉以建立一個安全通道，以進行未來的秘密通訊。

4．使用者親切性：使用者可自由的選擇自己的通行碼來向伺服器註冊。

5．簡單的通行碼變更機制：使用者可任意變更其通行碼。

6．多伺服器鑑別：使用者可用單一通行碼向多個不同的伺服器註冊，登入多個主機。

7．使用者之間的金鑰協議：伺服器分別對不同的使用者分別鑑別身分之後，使用者之間可互相確認彼此為合法的使用者並建立共享金鑰，以進行秘密通訊。

因此，我們提出一個以智慧卡為基礎之具金鑰協議與雙向鑑別的遠端登錄系統，使伺服器可以不需要維護通行碼對照表、並且達到使用者親切性、雙向鑑別，更可以建立一把使用者與伺服器之間的共享密鑰。本方法分為四個階段。

(a)系統設置階段系統中心(system authority,簡稱SA)建立系統公開與秘密參數，其定義如下：q 一大質數

G 橢圓曲線的生成數，其秩為質數q

γ SA的私鑰，其中γ Z _q

β SA的公鑰，其中滿足β=γG

h ()單向雜湊函數

X (P )P 之x軸值之後，SA公佈{G ,q ,β,h }，並將γ保存作為私鑰。

(b)註冊階段：假設一個新的使用者U _i 想要向鑑別伺服器註冊(參閱第一圖所示)，則U _i 可以透過安全的方式來傳送他的識別碼ID _i 以及所選擇的通行碼PW _i 給伺服器(AS)(10)。當伺服器收到從使用者U _i 傳來的{ID _i ,PW _i }時，鑑別伺服器(AS)會計算A _i (11)如下：A _i =h (ID _i ∥x )⊕h (PW _i )　　　(1)其中x 為鑑別伺服器AS所擁有的密鑰。然後，AS會儲存資訊{ID _i ,A _i ,h (．),q ,G }至智慧卡(12)，AS會核發一張包含資訊{ID _i ,A _i ,h (．),q ,G }的智慧卡給使用者U _i (13)。

(c)登入階段：當已經註冊過的使用者U _i 想要登入系統(參閱第二圖所示)，以獲得存取權限時，他會插入他的智慧卡到讀卡機裡，並且輸入他的身分碼ID _i 與通行碼P (20)。U _i 的智慧卡將會使用已儲存的A _i 以及使用者所輸入的通行碼P 來計算和C _i ：

其中T是讀卡機當時的日期和時間。然後智慧卡會傳送登入訊息{ID _i ,C _i ,T }給伺服器AS(21)。

會員在向Server註冊及登入時，使用HLC-Scheme方法來雙向鑑別身分及金鑰協議。

(d)鑑別階段：在接收到從U _i 所傳來的登入訊息{ID _i ,C _i ,T }之後，鑑別伺服器AS將執行下列步驟來檢查U _i 的登入訊息，並且和使用者U _i 建立一把交談金鑰。

步驟1.核對ID _i 的有效性。如果ID _i 是無效的，則AS將會拒絕U _i 的登入要求。

步驟2.確認T 和T '之間時間間隔的有效性，其中T' 是AS所收到登入訊息的時間。假如(T '-T )ΔT ，其中ΔT 為傳輸延遲的有效時間間隔，那麼AS會拒絕U _i 的登入要求。

步驟3.計算：Bi =h (ID _i ∥x )．G 　　　(4)

且比對是否和所收到的相同。如果二者相等，則伺服器AS會接受登入的要求；不然，AS會拒絕登入的要求。

為了讓U _i 相信AS身分的合法性，AS將計算：

(22)其中T "是當時的時戳。然後AS送回{D _i ,T "}給使用者U _i 。當使用者U _i 收到{D _i ,T "}之後，會執行下列步驟來檢查AS的合法性：步驟1.T "'是收到訊息的時戳，檢查是否(T "'-T "')ΔT ，如果延遲的話，就會停止交談。

步驟2.計算

然後檢查是否所收到的相同(23)。如果這條件成立的話，U _i 就會相信AS是一個合法的鑑別伺服器，並且繼續接下來的通訊。

由上述得知，AS和使用者都可以證明對方身分的合法性，所以可以達到雙向鑑別的目的。接下來，AS和使用者則可利用雙方都知道的參數T "、B _i 和C _i ，來計算出交談金鑰K :K =h (T "∥B _i ∥C _i )　　　(8)

(24)、(25)往後的通訊訊息皆可用此金鑰加密，以達到秘密通訊的目的。該通訊包括視訊、訊息、聲音、文字傳輸或檔案傳輸。

參與會議時，此會議室中與會者會形成一群組，並且使用HLM-scheme會議金鑰機制進行金鑰之協議，並用於資料傳輸加密之上。

當群組中之與會者要作兩人秘密對話時，將會進行HLM-scheme金鑰交換機制，來做金鑰協議，作為資料傳輸加密。

使用Java Card可增加登入驗證身分的安全性，Java Card具有的運算能力、安全性、可攜性及便利性。

親和性之一種表現為，本發明可以允許使用者自由地決定並更改其通行碼，故可達到使用者親切性的目標。如果一個合法的使用者想更改他的通行碼PW _i ，他可以將智慧卡插到讀卡機中，並且輸入他的舊通行碼PW _i 和新的通行碼P 。這張智慧卡會執行登入和鑑別階段來鑑別舊通行碼PW _i 。如果PM _i 的鑑別被證明是正確的，那麼智慧卡將會取代A _i 為，其中。在這之後，使用者U _i 可以使用新的通行碼P 登入系統。

參閱第三圖所示，包含有一註冊/登入/會議管理之網路伺服器(Web Server)(30)、一成員1(31)、一成員2(32)、一成員3(33)、一成員4(34)、一成員5(35)、一新成員(36)，其中新成員(36)藉由網際網路(Internet)向網路伺服器(Web Server)(30)註冊(361)，而成員1(31)登入認證即利用伺服器對使用者之會議金鑰(U2SKAS)(311)認證，該成員3(33)、成員4(34)、成員5(35)為一群組(37)，該成員3(33)建立會議室(33)則群組(37)對使用者登入認證即為群組對使用者之會議金鑰(U2GKAS)認證，而成員4(34)與成員5(35)進行悄悄話(38)，則利用使用者對使用者之會議金鑰(U2UKAS)認證。群體金鑰協議，本發明先提出利用ECC與具自我驗證等相關機制提出一個適用於低資源行動裝置之遠端身分鑑別與群體金鑰交換機制，本機制將適用於動態(dynamic)群體系統中，容許使用者動態的加入或離開，因此可以很容易地實作到「電子視訊會議系統」中。本發明所提出的方法具有以下特點：(a)可同時達成身分鑑別、金鑰交換與金鑰確認的功能；(b)使用自我驗證機制，在進行金鑰交換的同時即可完成身分鑑別的目的，無需再執行公鑰查證的程序；(c)可以建立具鑑別的多個體交談金鑰；(d)可達到交換協定的安全目標：內隱的金鑰驗證( implicit key authentication)與外顯的金鑰驗證(explicit key authentication)，即參與協定的通訊個體可彼此鑑別身分與確認交談金鑰。

(e)具已知金鑰安全(known key security)與完美前推安全(perfect forward secrecy)並可抵抗金鑰遺失假冒攻擊(key-compromise impersonation)及不知分享金鑰攻擊(unknown key-share)等安全需求。

本發明所提出的方法主要是植基於橢圓曲線離散對數(Elliptive Curve discrete logarithm modulo a large composite,ECDLP)及單向雜湊函數(one-way hash function,OWHF)假設之上，若上述的假設成立時，則本發明所提的方法是安全的。

本發明所提出的群體金鑰交換協定可分為以下三個階段：使用者註冊階段、群體金鑰協議階段以及動態群體金鑰協議管理階段。在本方法中，存在一個可信賴的第三者(Trusted Third Party,TTP)，我們稱為系統中心(SA)，SA負責建立與管理系統基本參數，以及協助使用者計算具自我驗證的公鑰。在使用者註冊階段時，使用者出示自己的身分相關資訊給SA進行註冊，SA針對使用者的身分資訊產生並發行一個具自我驗證的公鑰與證明(witness)給使用者，使用者可利用傳回的證明計算屬於自己的私鑰，並可利用所計算出的私鑰來驗證公鑰的有效性；在群體金鑰協議階段時，通訊雙方利用對方的公鑰與自己的私鑰進行通訊交換，以建立一個共享的交談金鑰；而在動態群體金鑰協議管理階段，當有成員加入或離開時，可以容易地變更群體金鑰，以達到會議金鑰之前推安全(forward secrecy)與後推安全(backward secrecy)。

(a)使用者註冊階段： 使用者U _i 執行以下步驟向SA註冊並取得身分鑑別資訊(參閱第四圖所示)：

步驟1：U _i 選定身分識別碼ID _i 並U _i 選取亂數k _i Z _q ，計算身分鑑別資訊：

(41)隨後，將{ID _i ,}傳送給SA，以提出註冊申請(42)。

步驟2：當SA收到註冊申請後，選取亂數z _i Z _q ，計算U _i 的身分鑑別資訊w _i 與自我驗證公鑰y _i ：

w _i =z _i +γ ．(X (y _i )+h (ID _i ))modq (11)

(43)，隨後，將{y _i ,w _i }傳送給U _i (44)。

步驟3：U _i 收到{y _i ,w _i }後，執行下列步驟：

步驟3-1：計算私鑰x _i x _i =w _i -h (k _i ∥ID _i )modq (12)

步驟3-2：驗證公鑰y _i 正確性(45)：x _i ．G =y _i +h (ID _i )．G +(X (y _i )+h (ID _i )．β ) (13)

(b)群體金鑰協議階段： 在本發明所提出的方法中，每次的群體金鑰協議協定都會由一個會議主持人U ₀ 來負責與管理交談金鑰的產生與更新。當系統的多個合法使用者欲建立一把群體交談金鑰時，先由主持人U ₀ 進行會議啟動的動作，並決定此會議可以參加會議的個體並發出會議通知(51)給其他的個體(參閱第五圖所示)。詳細步驟說如下：步驟1：當其他個體U _i 收到的開會通知後，若想要加入此次會議，則執行下列步驟，計算金鑰協議資訊T _i 給U ₀ 。步驟1-1:U _i 使用亂數產器產生一隨機亂數t _i Z _q (52)，並計算T _i =t _i ．G 　　　(14)步驟2-2：將{ID _i ,y _i ,T _i }傳送至U ₀ (53)

步驟2：當U ₀ 收到{ID _i ,y _i ,T _i }時，可以計算部份群體交談金鑰資訊SK _0i 他並透過SK _0i 驗證個體U _i 的身分：步驟2-1：使用亂數產器產生一隨機亂數t ₀ Z _q ，並計算T ₀ =t ₀ ．G 　　　(15)步驟2-2：計算自己與其他通訊個體U _i 的部份群體交談金鑰資訊SK _0i :SK _0i =T ₀ ．y _i +T _i ．y ₀ =(x _i +t ₀ )．G +(t _i +x ₀ )．G 　　　(16)步驟2-3：由{ID _i ,y _i ,T _i }和SK _0i 驗證U _i 身分的合法性： (54)，若上式成立，則表示可正確地驗證U _i 的合法性。

步驟3：當收到全部的{ID _i ,V _i ,T _i }後，即可持續進行群體金鑰協議(55)步驟：步驟3-1：由部份群體金鑰資訊來產生此次會議的群體金鑰GK :GK =SK ₀₁ ⊕SK ₀₂ ⊕…⊕SK _0m 　　　(18)步驟3-2：分別為計算群體金鑰資訊K _i :K _i =GK ⊕SK _0i 　　　(19)步驟3-3：計算金鑰驗證值λ，以供其他通訊個體進行群體金鑰的驗證(56): λ=h (GK ∥ID ₀ )　　　(20)步驟3-4：傳送{ID ₀ ,y ₀ ,T ₀ ,K _i ,λ}給其他通訊個體U _i (57)。

步驟4：當U _i 收到{ID ₀ ,y ₀ ,T ₀ ,K _i ,λ}時，執行下列步驗以產生群體金鑰GK 並驗證GK 的正確性。步驟4-1：計算部份群體交談金鑰資訊SK _i
0 SK _i
0 =T ₁ +y ₀ +T _i +y _i =(x ₀ +t _i )．G +(t ₀ +x _i )．G 　　　(21)步驟4-2：由{ID ₀ ,y ₀ ,T ₀ }和SK _i
0 驗證U _i 身分的合法性： (58)，若上式成立，則表示可正確地驗證U _i 的合法性。步驟4-3：計算群體金鑰GK _i :GK _i =K _i ⊕SK _i
0 　　　(23) 步驟4-4：驗證GK _i 的正確性： (59)，若上式成立，則表示與U ₀ 握有相同的交談金鑰。

(c)動態群體金鑰協議管理-新增：若有新的合法使用者U _j 欲向會議主持人 U ₀ (60)加入本次的會議時，執行下列步驟即可完成群體會議金鑰的更新(參閱第六圖所示)，並可達到前推安全(forward secrecy)：步驟1：使用者U _j 使用亂數產器產生一隨機亂數t _j Z _q (61)，並計算T _j =t _j ．G 　　　(25)

步驟2:U _j 將{ID _j ,y _j ,T _j }傳送至U ₀ (62)。

步驟3：當U ₀ 收到{ID _j ,y _j ,T _j }後，執行下列步驟驗證的身分，並計算新的群體金鑰GK '：步驟3-1：計算與U _j 的部份群體交談金鑰資訊SK _i SK _0j =T ₀ ．y _j +T _j ．y ₀ =(x _j +t ₀ )．G +(t _j +x ₀ )．G 　　　(26)步驟3-2：由{ID _j ,y _j ,T _j }和SK _0j 驗證U _j 身分的合法性： (63)，若上式成立，則表示可正確地驗證U _j 的合法性。步驟3-3：使用亂數產器產生一隨機亂數nk ₁ Z _q ，並計算新的群體金鑰GK ':GK '=GK ⊕SK _0j ⊕ n k ₁ 　　　(28)步驟3-4：分別為計算新的群體金鑰資訊：步驟3-5：計算新的群體金鑰之驗證值λ'，以供其他通訊個體進行群體金鑰的驗證(64): λ'=h (GK '∥ID ₀ )　　　(30)步驟3-4：傳送{ID ₀ ,y ₀ ,T ₀ ,K _j ,λ'}給U _j ，並傳送{ID ₀ ,,λ'}(651)給其他通訊個體U _i (65)。

步驟4：新加入的使用者執行與群體金鑰協議階段之步驟4(66)即可計算出群體金鑰並驗證群體金鑰的正確性(652)。既有的使用者執行下列步驟即可計算出新的群體金鑰(67):

(d)動態群體金鑰協議管理-成員離開：若有參與會議的使用者U _l (70)離開會議，執行下列步驟即可完成群體會議金鑰的更新(參閱第七圖所示)，並可達到後推安全(backward secrecy)：步驟1：會議主持人U ₀ (71)使用亂數產器產生一隨機亂數nk ₂ Z _q ，並計算新的群體金鑰GK ":GK "=GK '⊕SK _0l ⊕nk ₂ 　　　(32)

步驟2：分別為U _i 計算新的群體金鑰資訊：

步驟3：計算新的群體金鑰之驗證值λ"，以供其他通訊個體進行群體金鑰的驗證(72): λ"=h (GK "∥ID ₀ )　　　(34)

步驟4：傳送{ID ₀ ,,λ")給其他通訊個體U _i (73)。

步驟5:U _i 行下列步驟即可計算出新的群體金鑰(74)：

本發明可以達到高度的安全性(Good Security)，由於本系統結合兩套金鑰協議機制，因此可以達到多重的資訊保護。以下列出本系統中，可達成之安全特性及功能。

(a)本系統結合Java Card Security以及Password雙重登入鑑別機制，使用者在使用本系統前，須向CA (Certificate Authority)註冊，使用者決定Password密碼後，CA運算出未來在登入系統時需用到之秘密資訊，將其寫入Java Card中，並將Java Card發給使用者。

當使用者登入本系統時，必須於讀卡機中插入註冊時所得到之Java Card，以及輸入ID及Password以達到雙重鑑別，系統利用由Java Card中讀取到之秘密資訊，以及前面所得到之資料做運算，並把運算結果與Server交換，以鑑別使用者之合法身分，最後再和Server共同算出一把Session Key，以作為將來交換秘密訊息之用。

(b)針對金鑰交換機制而言，本系統可達成三個不同層級之金鑰協議機制。即是使用者可與系統中三種不同參與角色：Server (U2S:User to Server)、使用者群組(U2G:User to Group)以及個別使用者(U2U: User to User)做金鑰的協議。

使用者在登入時，利用HLM-scheme會議金鑰機制，與Server共同算出一把會議金鑰(U2S)作為將來秘密資訊傳遞之用。當會議進行時，所有參與會議的使用者由會議主席發起群體金鑰協議機制建立一把群體金鑰(U2G)，以達成安全視訊會議目的；除此之外，參與會議的使用者彼此之間若要再秘密傳送訊息(悄悄話功能)，亦可使用群體金鑰交換機制(2-user)建立一把交談金鑰(U2U)。

此三種金鑰協議機制所算出之金鑰皆是不相同的，因此使用者便可與不同層級之角色作祕密資訊之交換，而不會被其他層級使用者得之秘密資訊內容。

(c)針對使用者觀點而言，由於本系統可達成上點所述之三個不同層級金鑰協議機制，而可對三種不同層級之使用者作祕密資訊之交換，而不會被不同層級之使用者得知，便達成了U2S、U2G與U2U之資料與影音的機密性。

(d)本系統可讓使用者驗證會議及交談金鑰的真實性。使用者在使用金鑰作秘密資訊交換時，可與使用者相互驗證此會議金鑰之真實性，而不會出現使用攻擊者所傳送過來之偽造金鑰作資訊的加密，讓攻擊者攔截後，用偽造的金鑰解開而使秘密資訊洩漏之情況。

(e)本系統之加密機制可達到即使其中一把會議金鑰遭到破解，攻擊者也無法經由此把金鑰計算出先前所舉行過之會議所使用的會議金鑰內容，故可確保每次會議秘密資訊的機密性。

(f)當使用者進入會議進行金鑰協議後，使用者將只能得知自身有權限參與的會議之通訊內容，而無法取得不同會議之會議資訊。相對的，此會議內進行的資訊交換也不會讓會議參與者以外的人得知。

本系統可提供高度的使用者親和性(Good Friendliness)，讓使用者在使用本系統時，可以感到系統操作簡易、介面親切等特點。以下列點舉出本系統在高度的使用者親和性(Good Friendliness)方面可達到之特性。

(a)本系統之鑑別機制不同於一般密碼鑑別機制，使用演算法算出長度冗長的密碼來達到安全性。在本系統中，使用者可自訂易於記憶之密碼(Password)，但同時也具有與一般密碼機制相同等級的安全性等級。

(b)本系統所使用之鑑別機制，可讓使用者直接連上伺服器(Server)做密碼的更改，而不用親自到註冊的CA處更改卡上的密碼，藉以增加使用者變更密碼之便利性。

(c)本系統在使用的介面上，採用基礎網路(Web-Based)作為系統之操作平台。使用者使用本系統時，不需下載任何的安裝程式，只需連上網站，點選自己可參與之會議後，便經由網頁自動下載系統而不需進行安裝的動作，增加使用者使用此系統之方便性。

(d)本視訊會議系統可經由中央Server作使用者間訊息的轉送與傳遞，而視訊影像則採用使用者間點對點的傳送，這兩種功能皆可使本視訊系統具備立即的訊息傳遞能力。

(e)本系統具有動態管理會議之功能，當會議的主席進入會議室後，此會議便被開啟，同時在參與此會議使用者的網頁上狀態將會顯示為可進入，主席也可決定會議結束時機，當主席結束此會議的同時會議便被永遠關閉，以達到主席具有控制會議開啟與關閉之權限。

(f)本系統可提供使用者自由選擇是否儲存會議內容之功能。當使用者選擇儲存會議內容時，系統便會將對話紀錄儲存於使用者自訂之資料夾與檔案中，以作為保存及會議紀錄之用。

參閱第一圖與第二圖所示，使用上使用者至服務中心申請註冊會員，輸入ID、Password及其他相關資料，管理者便可讓其註冊新會員，並核發具有秘密資訊之Java Card；若註冊會員有不當行為，管理者亦可註銷該會員之Java Card。

使用者插入Java Card並輸入ID及Password即可與Server進行雙向的身分鑑別，並產生本次會議的秘密金鑰。

登入後，使用者可以看見自己有權參與之會議室，可分為已開啟及未開啟。未開啟之會議室必須等待主席執行開啟會議功能。已開啟之會議室，可直接點選進入會議室(參閱第三圖之參與會議架構圖)。

參閱第三圖所示，悄悄話功能(HLM-scheme金鑰)，會議中的與會者(成員5)可與另一與會者(成員4)進行私下交談。

會議中的與會者亦可進行檔案傳輸。發送者選擇傳送對象，點選(執行-傳送視訊)，選擇欲傳送檔案。

接收者選擇是否同意接收檔案。

執行-傳送視訊：會議中的與會者亦可進行視訊傳送。發送者選擇傳送對象，點選「執行-傳送視訊」；接收者選擇是否同意視訊傳送。

變更-字型：會議中與會者可任意變更字型。

檔案-儲存：會議進行或結束時，與會者可任意選擇儲存會議紀錄與否，選擇儲存目的，會議紀錄將以純文字檔儲存於指定的位置。

檔案-離開：與會者可點選「檔案-離開」離開此會議；若主席選擇離開，則本次會議亦強制關閉。

主席特有功能有：主席-踢除：主席可選擇特定不當行為之與會者，點選「主席-踢除」，該與會者將強制離開會議，並不得再度進入。

主席-關閉會議室：主席可點選「主席-關閉會議室」，強制關閉本次會議，所有與會者將結束與此會議連線並不得再次進入。

主席-啟動金鑰協議：會議主席可點選「主席-啟動金鑰協議」，開始協議本次會議的交談會議金鑰，其後的通訊內容，包含視訊及文字都將以此會議金鑰進行加密。

新增會議：本系統之使用者皆可申請新增會議室，輸入會議名稱、會議日期以及主席ID，即可新增會議，接著在下一個頁面中對照使用者名稱列表，填入與會者之會員編號，決定成員完畢後，使按右上方之超連結文字跳回會議列表畫面。

前文係針對本發明之較佳實施例為本發明之技術特徵進行具體之說明；惟，熟悉此項技術之人士當可在不脫離本發明之精神與原則下對本發明進行變更與修改，而該等變更與修改，皆應涵蓋於如下申請專利範圍所界定之範疇中。

(10)‧‧‧新的使用者U _i 向鑑別伺服器AS註冊，傳送他的識別碼ID _i 以及所選擇的通行碼PW _i

(11)‧‧‧當鑑別伺服器AS收到從使用者U _i 傳來的{ID _i ,PW _i }時，鑑別伺服器AS會計算A _i A _i =h (ID _i ∥x)⊕h (PW _i )

(12)‧‧‧鑑別伺服器AS儲存{ID _i ,A _i ,h (．),q ,G }至智慧卡

(13)‧‧‧核發一張包含資訊{ID _i ,A _i ,h (．),q ,G }的智慧卡給使用者U _i

(20)‧‧‧當已經註冊過的使用者U _i 想要登入系統，以獲得存取權限時，他會插入他的智慧卡到讀卡機裡，並且輸入他的身分碼ID _i 與通行碼P

(21)‧‧‧U _i 的智慧卡將會使用已儲存的A _i 以及使用者所輸入的通行碼P 來計算和C _i :=(A _i ⊕h (P ))．GC _i =h (T ∥)其中T是讀卡機當時的日期和時間。然後智慧卡會傳送登入訊息{ID _i ,C _i ,T }給鑑別伺服器AS

(22)‧‧‧鑑別伺服器AS核對ID _i 確認(T '-T )ΔT 計算B _i =h (ID _i ∥x )．G =h (T ∥B _i )核對計算D _i =h (B _i ∥T "∥)

(23)‧‧‧使用者U _i 確認(T"'-T")ΔT 計算D ^* =h (∥T "∥C _i )核對

(24)‧‧‧鑑別伺服器AS計算交談金鑰K =h (T "∥B _i ∥C _i )

(25)‧‧‧使用者U _i 計算交談金鑰K =h (T "∥B _i ∥C _i )

(30)‧‧‧網路伺服器(Web Server)

(31)‧‧‧成員1

(311)‧‧‧伺服器對使用者之會議金鑰(U2SKAS)

(32)‧‧‧成員2

(33)‧‧‧成員3

(34)‧‧‧成員4

(35)‧‧‧成員5

(36)‧‧‧新成員

(361)‧‧‧註冊

(37)‧‧‧群組

(38)‧‧‧悄悄話

(41)‧‧‧使用者U _i 選定身分識別碼ID _i 並U _i 選取亂數k _i Z _q 計算V _i =-h (k _i ∥ID _i )．G

(42)‧‧‧將{ID _i ,}傳送給SA，以提出註冊申請

(43)‧‧‧系統中心SA收到註冊申請後，選取亂數z _i _R Z _q ，計算U _i 的身分鑑別資訊w _i 與自我驗證公鑰y _i :y _i =V _i +(z _i -h (ID _i )．G w _i =z _i +γ．(X (y _i )+h (ID _i ))modq

(44)‧‧‧將{y _i ,w _i }傳送給U _i

(45)‧‧‧使用者U _i 計算私鑰x _i =w _i -h (k _i ∥ I D _i )modq 驗證公鑰y _i 正確性：核對x _i ．G =y _i +h (ID _i )．G +(X (y _i )+h (ID _i )．β)

(51)‧‧‧會議主持人U ₀ 發開會通知

(52)‧‧‧會議成員U _i 選取亂數t _i Z _q 計算T _i =t _i ．G

(53)‧‧‧將{ID _i ,y _i ,T _i }傳送至U ₀

(54)‧‧‧會議主持人U ₀ 選取亂數t ₀ Z _q 計算T ₀ =t ₀ ．G 計算SK _0i =T ₀ ．y _i +T _i ．y ₀ =(x _i +t ₀ )．G +(t _i +x ₀ )．G 核對

(55)‧‧‧會議主持人U ₀ 收到全部的{ID _i ,V _i ,T _i }後，即可持續進行群體金鑰協議

(56)‧‧‧會議主持人U ₀ 計算GK =SK ₀₁ ⊕SK ₀₂ ⊕…⊕SK _0m K _i =GK ⊕SK _0i λ=h (GK ∥ID ₀ )

(57)‧‧‧傳送{ID ₀ ,y ₀ ,T ₀ ,K _i ,λ}給其他會議成員U _i

(58)‧‧‧會議成員U _i 計算SK _i
0 =T ₁ +y ₀ +T _i +y _i =(x ₀ +t _i )．G +(t ₀ +x _i )．G 核對

(59)‧‧‧會議成員U _i 計算GK _i =K _i ⊕SK _i
0 核對

(60)‧‧‧會議主持人U ₀

(61)‧‧‧新成員U _j 選取亂數t _j Z _q 計算T _j =t _j ．G (62)將{ID _j ,y _j ,T _j }傳送至U ₀

(63)‧‧‧會議主持人U ₀ 計算SK _0j =T ₀ ．y _j +T _j ．y ₀ =(x _j +t ₀ )．G +(t _j +x ₀ )．G 核對

(64)‧‧‧會議主持人U ₀ 計算GK' =GK ⊕SK _0j ⊕nk ₁ =GK' ⊕SK _0i λ' =h (GK' ∥ID ₀ )

(65)‧‧‧傳送{ID ₀ ,y ₀ ,T ₀ ,K _j ,λ' }給U _j ，並傳送{ID ₀ ,,λ' }給其他通訊個體U _i

(651)‧‧‧傳送{ID ₀ ,K '_i ,λ '}

(652)‧‧‧原有的會議成員U _i 計算GK '_i =K '_i ⊕SK _i
0 核對

(66)‧‧‧新成員U _j 計算SK _j
0 =T ₁ +y ₀ +T _j +y _j =(x ₀ +t _j )．G +(t ₀ +x _j )．G 核對計算GK _j =K '_j ⊕SK _j
0 核對

(67)‧‧‧新成員U _j 計算GK _j =K '_j ⊕SK _j
0 核對

(70)‧‧‧離開成員Ul

(71)‧‧‧會議主持人U ₀

(72)‧‧‧會議主持人U ₀ 選取亂數nk ₂ Z _q 計算GK" =GK ⊕SK _0l ⊕nk ₂ =GK" ⊕SK _0i λ" =h (GK" ∥ID ₀ )

(73)‧‧‧傳送{ID ₀ ,,λ" }給其他會議成員U _i

(74)‧‧‧其他會議成員U _i 計算=⊕SK _i
0 核對

第一圖：係使用者向鑑別伺服器申請註冊之示意圖。

第二圖：係登入與鑑別階段示意圖。

第三圖：係安全視訊會議系統架構圖。

第四圖：係群體金鑰協議系統之使用者註冊示意圖。

第五圖：係群體金鑰協議系統之建立群體金鑰示意圖。

第六圖：係群體金鑰協議系統之成員加入示意圖。

第七圖：係群體金鑰協議系統之成員離開示意圖。