TWI484814B

TWI484814B - 身分驗證及數位影像保護加解密的近場通訊技術（ｎｆｃ）防偽框架之形成方法

Info

Publication number: TWI484814B
Application number: TW100143268A
Authority: TW
Inventors: Szu Wen Wang; Wei Hsun Lee
Original assignee: Univ Nat Cheng Kung
Priority date: 2011-11-25
Filing date: 2011-11-25
Publication date: 2015-05-11
Also published as: TW201322721A

Description

身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法

本發明係有關於NFC應用系統中影像圖片的驗證技術，特別係有關於一種身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法。

智慧卡整合已經融合在我們的生活之中，整合式的多用途智慧卡可以取代多張卡片以提升便利性，像是日本的Felica或是台灣的悠遊聯名卡，皆說明智慧卡的整合是未來的新趨勢。近來NFC技術的興起，將智慧卡整合到NFC(Near Field Communication，近距離無線通訊)手機變得容易許多，未來將智慧卡進一步整合到NFC手機中將會成為新趨勢，2011年Google提出Google Wallet更是將錢包的應用整合到NFC手機的實例。

然而在智慧卡的多卡合一與智慧卡整合到NFC手機的兩階段過程中，產生一些議題仍待克服，像是卡號衝突、相片與簽名數位化問題與實體卡片防偽機制等皆很難實施在NFC裝置上，可能造成行動商務應用的疑慮並阻礙NFC與智慧卡應用服務整合進一步發展。在各種卡片的應用中，個人身分驗證為一個重要的課題，傳統以相片、簽名驗證使用者身分，在NFC手機中僅能以數位化的影像檔案顯示，但這種方式雖可做身分驗證但容易被攻擊和偽造。此外，所使用的安全晶片(SE)的容量小且價格十分昂貴。美國專利公開案號第US 20110072425「METHOD FOR INSTALLING AND MANAGING NFC APPLICATIONS WITH PICTURES」，Lemonnier等人提出將圖片儲存於信託服務管理(TSM)公司中，並利用行動網路和手機應用程式和儲存於信託服務管理(TSM)公司中的圖片做驗證之技術。

為了解決上述之問題，本發明之主要目的係在於提供一種近場通訊技術(NFC)防偽框架之形成方法，包含了身分驗證及數位影像保護加解密的機制，可達成以離線(off-line)的方式來驗證使用者的身分之功效；此外，此一驗證亦包含了讀卡機對NFC手機的數位ID驗證、數位影像例如身分證大頭照與簽名等影像檔的人為驗證；整個驗證流程不需要透過網路連線來完成。

本發明的目的及解決其技術問題是採用以下技術方案來實現的。本發明揭示一種身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法，係提供一卡片金鑰保護的階層式加密保護機制，包含一第一層影像浮水印加解密與一第二層多元金鑰組的個人化保護，首先係將個人資料以多元化金鑰加密成一數位化卡片憑證，之後，再將該卡片憑證以浮水印保護機制隱藏在予個人身分相關影像檔中，使該卡片憑證被隱藏並與一影像圖片結合為一數位影像浮水印；其中，該第二層多元金鑰組的個人化保護係使一智慧卡專區主鑰產生出一對之卡片公鑰與卡片私鑰與一對之服務供應者公鑰與服務供應者私鑰，以分別來做該卡片憑證之保護和驗證的功能，並且該第一層影像浮水印加解密係包含將該影像圖片連結存放在該NFC手機的安全元件(SE，或可稱之為「NFC安全記憶體」或「安全晶片」)中。

本發明的目的及解決其技術問題還可採用以下技術措施進一步實現。

在前述之形成方法中，該卡片私鑰係可儲存於一卡片之一個人身份驗證卡片程式中，而該服務供應者公鑰係可儲存於一服務提供者之服務櫃台讀卡機中。

在前述之形成方法中，該影像圖片係可被連結做為一個參考的指標，在該卡片中利用參考的功能將該卡片和該NFC手機的安全元件做連結。

在前述之形成方法中，其中該第一層影像浮水印加解密與該第二層多元金鑰組的個人化保護之結合係用以保護該影像圖片與該數位影像浮水印，以確保在該NFC手機上顯示的該影像圖片與該數位影像浮水印不會受到偽造與竄改，其中該第二層多元金鑰組的個人化保護係可包含將一個人化資料與一卡片公鑰形成為一個封包(package)，並利用一服務提供者私鑰來簽該封包，以形成該卡片憑證；該第一層影像浮水印加解密係可包含將該數位憑證以離散餘旋轉換定律轉換後整合儲存在一個人相片中，以形成該數位影像浮水印。

在前述之形成方法中，該個人相片係可為一簽名數位影像或是身分證大頭照之數位影像。

在前述之形成方法中，上述二階層式的數位影像保護過程係實施並儲存於該NFC手機的安全元件(Secure Element)中，在該第二層多元金鑰組的個人化保護中，該服務提供者公鑰與該服務提供者私鑰係由該智慧卡專區主鑰以多元金鑰重組演算法亂數共同產生，該第一層影像浮水印加解密係使該卡片憑證係利用浮水印的方式隱藏在影像之中並儲存手機記憶體中，該影像之連結則存放在於NFC手機的安全元件(SE)中。

在前述之形成方法中，該第二層多元金鑰組的個人化保護之步驟係可更包含：令該智慧卡專區主鑰和一NFC手機內安全晶片之一IC卡號做赫序函數，以產生該NFC手機之安全晶片之一智慧卡專區金鑰；對該智慧卡專區主鑰(SDM)與該智慧卡專區金鑰(SD)以赫序函數各做一次雜湊化之步驟，分別產生一多變卡片專區主鑰(DSDM)與一多變卡片專區金鑰(DSD)(可參考第1圖)；分裂該多變卡片專區主鑰為該服務提供者私鑰與該服務提供者公鑰；以及分裂該多變卡片專區金鑰為該卡片私鑰與該卡片公鑰。

在前述之形成方法中，上述分裂該多變卡片專區金鑰為該卡片私鑰與該卡片公鑰之步驟(即利用多元金鑰重組演算法以四個主要步驟為主)中係可包含：重新反向變更該多變卡片專區金鑰之順序如第2圖步驟11；合併該多變卡片專區金鑰與反向多變卡片專區金鑰如步驟12；再分裂整合後多變卡片專區金鑰為該卡片私鑰與該卡片公鑰如步驟13。

在前述之形成方法中，上述分裂該整合金鑰之方法係可將該整合金鑰除以一方案數並依所得餘數之不同來選擇不同的公鑰和私鑰的形成方式，如第2圖步驟14。

以下將配合所附圖示詳細說明本發明之實施例，然應注意的是，該些圖示均為簡化之示意圖，僅以示意方法來說明本發明之基本架構或實施方法，實際實施之數目、形狀及尺寸比例為一種選置性之設計，詳細之架構佈局可能更為複雜。

依據本發明之一較佳實施例，一種身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法揭示於第1圖之形成流程圖。

如第1圖所示，信託服務管理(TSM)公司給予一智慧卡專區主鑰(SD_M ，SD Master Key)，可由安全晶片的發行者透過TSM發予該智慧卡專區主鑰(SD_M )，在IC卡序號多樣化之步驟1中，服務提供者(SP)利用該智慧卡專區主鑰(SD_M )和一IC卡號做赫序函數(hashing function，或稱雜湊函數)，以產生一智慧卡專區金鑰(SD)。接著，對該智慧卡專區主鑰(SD_M )與該智慧卡專區金鑰(SD)分別執行一多樣化步驟2與3，以雜湊化產生DSD_M 、DSD。其中，在步驟2中，該智慧卡專區主鑰(SD_M )以赫序函數產生一多變卡片專區主鑰(DSD_M ,diversified SD master key)。在步驟3中，該智慧卡專區金鑰(SD)以赫序函數產生一多變卡片專區金鑰(DSD,diversified SD key)。

之後，再如第1圖所示，在一多元主鑰重組演算之步驟4中，該多變卡片專區主鑰(DSD_M )係分裂為一服務提供者私鑰(S_I ，Service Provider Private Key)與服務提供者公鑰(P_I ，Service Provider Public Key)；此外，在一多元金鑰重組演算之步驟5中，該多變卡片專區金鑰(DSD)係分裂為一卡片私鑰(S_c ，Card Private Key)與一卡片公鑰(P_C ，Card Public Key)。

以分裂步驟5之細部操作流程為例，其具體繪示於第2圖並說明如後。於次步驟11中，先將該多變卡片專區金鑰(DSD)重新變更其順序，形成另一多變卡片專區金鑰(DSD’)，例如第2圖中所記載之反向多變卡片專區金鑰(reversed DSD)。於次步驟12中，將該智慧卡多變金鑰(DSD)與該另一智慧卡多變金鑰(DSD’)合併成為一個整合金鑰(Combine Key)。於次步驟13中，再將該整合金鑰分裂為該卡片私鑰(S_c )與該卡片公鑰(P_C )。並且，於步驟14中，將該整合金鑰以十進位數值除以一方案數(本實施例中方案數為4)，依所得餘數為0、1、2、3，依此等餘數選擇不同的公鑰和私鑰的形成方式，藉以產生各別的卡片私鑰(S_c )和卡片公鑰(P_C )。此外，該分裂步驟4之細部操作流程亦可相同上述的分裂步驟5，亦可產生各別的服務提供者私鑰(S_I )和服務提供者公鑰(P_I )。

請再參閱第1圖，卡片憑證之形成之步驟6中，配合參閱第3圖，卡片公鑰(P_c )則和一個人化資料(包含個人資訊)一起被服務提供者私鑰(S_I )所簽章進而加密以產生一個人化卡片憑證(CPKC，card PK certificate)，可見於第3圖之部份1。該卡片憑證(CPKC)之形成可將個人化資料(例如：身分證後4碼與IC卡序號後4碼)和卡片公鑰P_C 形成一封包，並由服務提供者私鑰S_I 來做簽章。

於步驟7中，卡片私鑰(S_C )係儲存於一卡片之一個人身份驗證卡片程式(applet)中。並且，如第3圖所示，經密封為一封包20之後，該卡片憑證(CPKC)係利用離散餘旋轉換定律隱藏於一個人的影像圖片31中，藉以結合為一數位影像浮水印32。其中，該數位影像浮水印32(即包含有卡片憑證的影像圖片)係依影像路徑連結儲存在NFC手機安全元件(SE，或可稱為安全晶片)中，以確保影像無法被竄改，可見於第3圖之部份2。由第1圖以及第3圖之右下角起算，該服務提供者公鑰(P_I )則是儲存在服務提供者的服務櫃台讀卡機(reader)中，以方便未來做傳遞與驗證，而能與一卡片內之個人身份卡片程式作溝通。而，依前述之儲存步驟7所述者，該卡片私鑰(S_C )則儲存於卡片內之個人身份卡片程式內。

如第4圖所示，欲進行身分驗證時，使用者選擇防偽框架應用程式，當NFC手機觸碰到服務提供者的服務櫃台讀卡機(reader)時，讀卡機(reader)會先從NFC手機的安全晶片(SE)讀取卡片憑證存放路徑，藉以取得卡片憑證。另外，利用路徑卡片中的個人身份驗證卡片程式(applet)會自動執行將該卡片憑證(CPKC)由一影像圖片中脫離解出(如第3圖所示)，並且服務提供者公鑰(P_I )會和由該NFC手機解出的解密卡片憑證(CPKC)做比對驗證的動作，較佳另執行一格式核對該卡片憑證之步驟，例如可包含：比對該服務提供者公鑰與該卡片憑證之長度、以及格式核對資料檔尾、檔頭與憑證…等等，如果其中之一筆經比對為不符合，則整個驗證失效。

因此，本發明與Lemonnier等人揭示出專利前案(US 20110072425)相比較之下，本發明採用離線(off-line)的方式來驗證使用者的身分與數位影像(例如：身分證大頭照、簽名等)。使用者需要驗證身分時，利用具有NFC裝置的手機觸碰服務供應商的Reader，Reader中的公鑰會和手機解出的卡片憑證做比對驗證的動作，如果其中任一資料比對不符合，整個驗證失效。整個流程不需要透過網路連線來完成，而Lemonnier等人則是需要網路連線來完成整個圖片的驗證。

以上所述，僅是本發明的較佳實施例而已，並非對本發明作任何形式上的限制，雖然本發明已以較佳實施例揭露如上，然而並非用以限定本發明，任何熟悉本項技術者，在不脫離本發明之技術範圍內，所作的任何簡單修改、等效性變化與修飾，均仍屬於本發明的技術範圍內。

步驟1　IC卡序號多樣化

步驟2、3　多樣化

步驟4　多元主鑰重組演算

步驟5　多元金鑰重組演算

步驟6　卡片憑證之形成

步驟7、8　儲存

步驟11~14　分裂多變卡片專區金鑰之次步驟

20．．．封包

31．．．影像圖片

32．．．數位影像浮水印

SD．．．智慧卡專區金鑰

DSD．．．多變卡片專區金鑰

S_C ．．．卡片私鑰

P_C ．．．卡片公鑰

CPKC．．．卡片憑證

SD_M ．．．智慧卡專區主鑰

DSD_M ．．．多變卡片專區主鑰

S_I ．．．服務提供者私鑰

P_I ．．．服務提供者公鑰

第1圖：依據本發明之一具體實施例之身分驗證及數位影像保護加解密的NFC防偽框架之形成流程圖。

第2圖：依據本發明之一具體實施例之身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法中多變卡片專區金鑰之轉換處理流程圖。

第3圖：依據本發明之一具體實施例之身分驗證及數位影像保護加解密的近場通訊技術(NFC)防偽框架之形成方法中將卡片憑證隱藏在個人影像圖片中之流程示意圖。

第4圖：依據本發明之一具體實施例之利用該NFC防偽框架進行身分驗證及數位影像保護加解密之操作示意圖。