TWI491238B - 手持設備雙向驗證系統及方法 - Google Patents
手持設備雙向驗證系統及方法 Download PDFInfo
- Publication number
- TWI491238B TWI491238B TW099136017A TW99136017A TWI491238B TW I491238 B TWI491238 B TW I491238B TW 099136017 A TW099136017 A TW 099136017A TW 99136017 A TW99136017 A TW 99136017A TW I491238 B TWI491238 B TW I491238B
- Authority
- TW
- Taiwan
- Prior art keywords
- handheld device
- server
- verification
- code
- encrypted
- Prior art date
Links
Description
本發明涉及一種手持設備驗證方法,尤其涉及一種手持設備雙向驗證系統及方法。
當手持設備與雲端伺服器聯結時,一般只能透過帳號、密碼對手持設備進行驗證,這種方式雖然便捷,卻是最薄弱的資訊安全防護措施,容易被破解。並且,傳統的這種驗證方式只是針對手持設備一端進行驗證,沒有對雲端伺服器進行驗證,留下了安全隱患。
鑒於以上內容,有必要提供一種手持設備雙向驗證系統及方法,其可驗證雲端伺服器來源的合法性,同時也驗證手持設備的唯一性,以實現手持設備與雲端伺服器之間的雙向驗證。
一種手持設備雙向驗證系統,包括手持設備和伺服器,該伺服器包括:第二驗證模組,用於受理手持設備的登入並驗證手持設備的帳戶、密碼,驗證通過後從伺服器儲存器中讀取該手持設備在伺服器中預先註冊的識別碼;第二加密模組,用於對該伺服器的雙向驗證標記及該伺服器的驗證碼進行加密,並將加密後的雙向驗證標記與加密後的伺服器驗證碼回傳給手持設備;
所述手持設備包括:第一解密模組,對該加密後的雙向驗證標記與加密後的伺服器驗證碼進行解密運算,生成解密後的雙向驗證標記與解密後的伺服器驗證碼;第一驗證模組,用於根據手持設備儲存器中預先存儲的該伺服器的驗證碼,驗證該解密後的伺服器驗證碼的正確性;第一加密模組,用於當驗證通過後,用該解密後的雙向驗證標記,對該手持設備的識別碼進行加密生成加密後的手持設備識別碼,並將該加密後的手持設備識別碼傳送給伺服器;所述伺服器還包括:第二解密模組,用於根據該雙向驗證標記,對加密後的手持設備識別碼執行解密運算,生成解密後的手持設備識別碼;所述第二驗證模組,還用於根據伺服器儲存器中存儲的該手持設備預先註冊的識別碼,驗證該解密後的手持設備識別碼的合法性,並在驗證通過後,授予手持設備的訪問許可權。
一種手持設備雙向驗證方法,該方法包括如下步驟:伺服器受理手持設備的登入並驗證手持設備的帳戶、密碼,驗證通過後從伺服器儲存器中讀取該手持設備在伺服器中預先註冊的識別碼;伺服器對該伺服器的雙向驗證標記及該伺服器的驗證碼進行加密,並將加密後的雙向驗證標記與加密後的伺服器驗證碼回傳給手持設備;手持設備對該加密後的雙向驗證標記與加密後的伺服器驗證碼進行解密運算,生成解密後的雙向驗證標記與解密後的伺服器驗證碼;
手持設備根據儲存器中預先存儲的該伺服器的驗證碼,驗證該解密後的伺服器驗證碼的正確性;及驗證通過後,手持設備用該解密後的雙向驗證標記,對該手持設備的識別碼進行加密生成加密後的手持設備識別碼,並將該加密後的手持設備識別碼傳送給伺服器;伺服器用該雙向驗證標記,對加密後的手持設備識別碼執行解密運算,生成解密後的手持設備識別碼;及伺服器根據儲存器中存儲的該手持設備預先註冊的識別碼,驗證該解密後的手持設備識別碼的合法性,並在驗證通過後,授予手持設備的訪問許可權。
相較於習知技術,所述的手持設備雙向驗證系統及方法,其可驗證雲端伺服器來源的合法性,同時也驗證手持設備的唯一性,實現了手持設備與雲端伺服器之間的雙向驗證,提高了手持設備驗證的安全性。
10‧‧‧手持設備
20‧‧‧雲端伺服器
30‧‧‧網路
101‧‧‧登錄模組
102‧‧‧第一加密模組
103‧‧‧第一解密模組
104‧‧‧第一驗證模組
105‧‧‧第一儲存器
201‧‧‧第二加密模組
202‧‧‧第二解密模組
203‧‧‧第二驗證模組
204‧‧‧第二儲存器
圖1係本發明手持設備雙向驗證系統較佳實施方式的硬體架構圖。
圖2係本發明手持設備雙向驗證系統較佳實施方式的功能模組圖。
圖3係本發明手持設備雙向驗證方法較佳實施方式中手持設備的註冊程式流程圖。
圖4係本發明手持設備雙向驗證方法較佳實施方式中手持設備的
驗證程式流程圖。
參閱圖1所示,係本發明手持設備雙向驗證系統較佳實施方式的硬體架構圖。該系統包括一個或多個手持設備(圖1中僅示出三個,10、11、12)、雲端伺服器(Cloud Server,以下簡稱伺服器)20和網路30,以下描述以手持設備10為例進行說明。所述手持設備10通過網路30與該伺服器20相連。在本實施方式中,所述網路30可以是企業內部網路(Intranet)或乙太網路(Ethernet),也可以是網際網路(Internet)或其他類型的通訊網絡。
參閱圖2所示,係本發明手持設備雙向驗證系統較佳實施方式的功能模組圖。其中,手持設備10包括登錄模組101、第一加密模組102、第一解密模組103、第一驗證模組104和第一儲存器105,伺服器20包括第二加密模組201、第二解密模組202、第二驗證模組203和第二儲存器204。本發明所稱的模組是完成一特定功能的電腦程式段,比程式更適合於描述軟體在電腦中的執行過程,因此在本發明以下對軟體描述都以模組描述。以下將結合圖3和圖4的流程圖對各模組的功能進行描述。
參閱圖3所示,係本發明手持設備雙向驗證方法較佳實施方式中手持設備的註冊程式流程圖。
步驟S10,手持設備10申請使用者帳戶與密碼的同時註冊該手持設備10的識別碼,將該手持設備10的帳戶、密碼與識別碼一起發送給伺服器20。在本實施方式中,所述手持設備10的識別碼為手持設備10的唯一設備識別字(Unique Device Identifier,UDID)。
步驟S11,伺服器20受理並完成手持設備10的註冊程式,將該手持設備10的帳戶、密碼與識別碼存儲在伺服器20的儲存器(以下稱為第二儲存器204)中。然後,第二加密模組201用手持設備10的識別碼UDID加密伺服器20的驗證碼SID生成第一加密後的伺服器驗證碼SID1',並回傳該第一加密後的伺服器驗證碼SID1'給手持設備10。在本實施方式中,所述伺服器20的驗證碼為伺服器20的安全識別字(Security Identifier,SID)。
其中,加密公式為:SID1'=encrypt(SID,UDID),encrypt( )代表加密函數。在本實施方式中,採用三重資料加密標準(Triple Data Encryption Standard,Triple DES)演算法進行資料加密和解密。在其他實施方式中,也可以採用其他的資料加密/解密演算法。
步驟S12,手持設備10收到第一加密後的伺服器驗證碼SID1'後,第一解密模組103利用手持設備10的識別碼UDID,對該第一加密後的伺服器驗證碼SID1'執行解密運算生成第一解密後的伺服器驗證碼SID1",並將該第一解密後的伺服器驗證碼SID1"存儲在手持設備10的儲存器(以下稱為第一儲存器105)中。其中,解密公式為:SID1"=decrypt(SID1',UDID),decrypt( )代表解密函數。
參閱圖4所示,係本發明手持設備雙向驗證方法較佳實施方式中手持設備的驗證程式流程圖。
步驟S20,手持設備10的用戶通過登錄模組101登入到伺服器20。
步驟S21,伺服器20受理手持設備10的登入並驗證手持設備10的
帳戶、密碼,驗證通過後第二加密模組201從第二儲存器204中讀取該手持設備10在伺服器20中註冊的識別碼。如果驗證失敗,則伺服器20拒絕手持設備10的存取操作。
步驟S22,伺服器20的第二加密模組201對該伺服器的雙向驗證標記(Token)及伺服器驗證碼SID進行加密,生成加密後的雙向驗證標記Token'與第二加密後的伺服器驗證碼SID2',並將其回傳給手持設備10。
具體而言,伺服器20的第二加密模組201用亂數生成一個雙向驗證標記Token,從第二儲存器204中讀取該手持設備10在伺服器20中預先註冊的識別碼UDID,然後用該手持設備10預先註冊的識別碼UDID加密該雙向驗證標記生成加密後的雙向驗證標記Token',用該加密後的雙向驗證標記Token'加密伺服器20的驗證碼SID生成第二加密後的伺服器驗證碼SID2',並回傳該加密後的雙向驗證標記Token'與第二加密後的伺服器驗證碼SID2'給手持設備10。
其中,生成加密後的雙向驗證標記Token'的公式為:Token'=encrypt(Token,UDID),生成第二加密後的伺服器驗證碼SID2'的公式為:SID2'=encrypt(SID,Token')。
步驟S23,手持設備10收到加密後的雙向驗證標記Token'與第二加密後的伺服器驗證碼SID2'後,第一解密模組103執行解密運算,生成解密後的雙向驗證標記Token"與第二解密後的伺服器驗證碼SID2"。具體而言,第一解密模組103用該手持設備10的識別碼UDID解密該加密後的雙向驗證標記Token'生成解密後的雙向驗證標記Token",用該解密後的雙向驗證標記Token"解密該第
二加密後的伺服器驗證碼SID2'生成第二解密後的伺服器驗證碼SID2"。
其中,生成解密後的雙向驗證標記Token"的公式為:Token'=decrypt(Token',UDID),生成第二解密後的伺服器驗證碼SID2"的公式為:SID2"=decrypt(SID2',Token")。
步驟S24,手持設備10的第一驗證模組104根據第一儲存器105中預先存儲的該伺服器20的驗證碼(即第一解密後的伺服器驗證碼SID1"),驗證該第二解密後的伺服器驗證碼SID2"的正確性。
具體而言,如果該第二解密後的伺服器驗證碼SID2"等於第一儲存器105中預先存儲的該伺服器20的驗證碼(即SID2"==SID1"),則第一驗證模組104判定該第二解密後的伺服器驗證碼SID2"正確,驗證通過。如果該第二解密後的伺服器驗證碼SID2"不等於第一儲存器105中預先存儲的該伺服器20的驗證碼(即SID2"!=SID1"),則第一驗證模組104判定該第二解密後的伺服器驗證碼SID2"不正確,驗證失敗,手持設備10結束與伺服器20的通訊。
驗證通過後,第一加密模組102用該解密後的雙向驗證標記Token",對該手持設備10的識別碼UDID進行加密生成加密後的手持設備識別碼UDID',並將該加密後的手持設備識別碼UDID'傳送給伺服器20。其中,生成加密後的手持設備識別碼UDID'的公式為:UDID'=encrypt(UDID,Token")。
步驟S25,伺服器20的第二解密模組202用該雙向驗證標記Token,對加密後的手持設備識別碼UDID'執行解密運算,生成解密後
的手持設備識別碼UDID"。其中,生成解密後的手持設備識別碼UDID"的公式為:UDID"=decrypt(UDID',Token)。
步驟S26,伺服器20的第二驗證模組203根據第二儲存器204中存儲的該手持設備10預先註冊的識別碼UDID,驗證該解密後的手持設備識別碼UDID"的合法性,並在驗證通過後,授予手持設備10的訪問許可權。手持設備10接收到伺服器20授予的訪問許可權後,開始與伺服器20進行通訊。
具體而言,如果該解密後的手持設備識別碼UDID"等於第二儲存器204中存儲的該手持設備10預先註冊的識別碼(即UDID"==UDID),則第二驗證模組203判定該解密後的手持設備識別碼UDID"正確,驗證通過。如果該解密後的手持設備識別碼UDID"不等於第二儲存器204中存儲的該手持設備10預先註冊的識別碼(即UDID"!=UDID),則第二驗證模組203判定該解密後的手持設備識別碼UDID"不正確,驗證失敗,手持設備10結束與伺服器20的通訊。
本發明除了用於雲端伺服器20與手持設備10之間的資訊安全與雙向合法性驗證外,還可以用在高機密性資料保全與交換、數位版權管理(Digital Right Management,DRM)等其他相關領域。
最後應說明的是,以上實施方式僅用以說明本發明的技術方案而非限制,儘管參照較佳實施方式對本發明進行了詳細說明,本領域的普通技術人員應當理解,可以對本發明的技術方案進行修改或等同替換,而不脫離本發明技術方案的精神和範圍。
10,11,12‧‧‧手持設備
20‧‧‧雲端伺服器
30‧‧‧網路
Claims (10)
- 一種手持設備雙向驗證方法,該方法包括如下步驟:伺服器受理手持設備的登入並驗證手持設備的帳戶、密碼,驗證通過後從伺服器儲存器中讀取該手持設備在伺服器中預先註冊的識別碼;對該伺服器的雙向驗證標記及該伺服器的驗證碼進行加密,並將加密後的雙向驗證標記與加密後的伺服器驗證碼回傳給手持設備;當該伺服器驗證碼通過手持設備的驗證後,伺服器接收手持設備發送的加密後的手持設備識別碼;用該雙向驗證標記,對加密後的手持設備識別碼執行解密運算,生成解密後的手持設備識別碼;及根據伺服器儲存器中存儲的該手持設備預先註冊的識別碼,驗證該解密後的手持設備識別碼的合法性,並在驗證通過後,授予手持設備的訪問許可權。
- 如申請專利範圍第1項所述之手持設備雙向驗證方法,其中,所述對該伺服器的雙向驗證標記及伺服器驗證碼進行加密的步驟包括:用亂數生成一個雙向驗證標記,從伺服器儲存器中讀取該手持設備預先註冊的識別碼,然後用該預先註冊的識別碼加密該雙向驗證標記生成加密後的雙向驗證標記;及用該加密後的雙向驗證標記加密伺服器的驗證碼生成加密後的伺服器驗證碼。
- 如申請專利範圍第1項所述之手持設備雙向驗證方法,其中,所述驗證該解密後的手持設備識別碼的合法性的步驟包括:如果該解密後的手持設備識別碼等於伺服器儲存器中存儲的該手持設備 預先註冊的識別碼,則判定該解密後的手持設備識別碼正確;及如果該解密後的手持設備識別碼不等於伺服器儲存器中存儲的該手持設備預先註冊的識別碼,則判定該解密後的手持設備識別碼不正確。
- 如申請專利範圍第1項所述之手持設備雙向驗證方法,其中,該方法還包括伺服器處理手持設備註冊請求的步驟,該步驟包括:伺服器接收手持設備發送的帳戶、密碼與該手持設備的識別碼,將該手持設備的帳戶、密碼與預先註冊的識別碼存儲在伺服器的儲存器中;及用該手持設備的識別碼加密伺服器的驗證碼生成加密後的伺服器驗證碼,並回傳該加密後的伺服器驗證碼給手持設備。
- 一種手持設備雙向驗證方法,該方法包括如下步驟:手持設備接收伺服器發送的加密後的雙向驗證標記與加密後的伺服器驗證碼;對該加密後的雙向驗證標記與加密後的伺服器驗證碼進行解密運算,生成解密後的雙向驗證標記與解密後的伺服器驗證碼;根據手持設備儲存器中預先存儲的該伺服器的驗證碼,驗證該解密後的伺服器驗證碼的正確性;驗證通過後,手持設備用該解密後的雙向驗證標記,對該手持設備的識別碼進行加密生成加密後的手持設備識別碼,並將該加密後的手持設備識別碼傳送給伺服器;及當該加密後的手持設備識別碼通過伺服器的驗證後,手持設備接收伺服器授予的訪問許可權。
- 如申請專利範圍第5項所述之手持設備雙向驗證方法,其中,所述對加密後的雙向驗證標記與加密後的伺服器驗證碼進行解密運算的步驟包括:用該手持設備的識別碼解密該加密後的雙向驗證標記生成解密後的雙向驗證標記;及 用該解密後的雙向驗證標記解密該加密後的伺服器驗證碼生成解密後的伺服器驗證碼。
- 如申請專利範圍第5項所述之手持設備雙向驗證方法,其中,所述驗證該解密後的伺服器驗證碼的正確性的步驟包括:如果該解密後的伺服器驗證碼等於手持設備儲存器中預先存儲的該伺服器的驗證碼,則判定該解密後的伺服器驗證碼正確;及如果該解密後的伺服器驗證碼不等於手持設備儲存器中預先存儲的該伺服器的驗證碼,則判定該解密後的伺服器驗證碼不正確。
- 如申請專利範圍第5項所述之手持設備雙向驗證方法,其中,該方法還包括手持設備向伺服器進行註冊的步驟,該步驟包括:手持設備發送帳戶、密碼與預先註冊的識別碼給伺服器;手持設備接收伺服器發送的加密後的伺服器驗證碼,利用該手持設備的識別碼,對該加密後的伺服器驗證碼執行解密運算生成解密後的伺服器驗證碼,並將該解密後的伺服器驗證碼存儲在手持設備的儲存器中,使得該手持設備儲存器中預先存儲有該伺服器的驗證碼。
- 一種用於雙向驗證的手持設備,其中,該手持設備包括:第一解密模組,用於接收伺服器發送的加密後的雙向驗證標記與加密後的伺服器驗證碼;所述第一解密模組,還用於對該加密後的雙向驗證標記與加密後的伺服器驗證碼進行解密運算,生成解密後的雙向驗證標記與解密後的伺服器驗證碼;第一驗證模組,用於根據手持設備儲存器中預先存儲的該伺服器的驗證碼,驗證該解密後的伺服器驗證碼的正確性;及第一加密模組,用於當驗證通過後,用該解密後的雙向驗證標記,對該手持設備的識別碼進行加密生成加密後的手持設備識別碼,並將該加密 後的手持設備識別碼傳送給伺服器。
- 一種用於手持設備雙向驗證的伺服器,其中,該伺服器包括:第二驗證模組,用於受理手持設備的登入並驗證手持設備的帳戶、密碼,驗證通過後從伺服器儲存器中讀取該手持設備在伺服器中預先註冊的識別碼;第二加密模組,用於對該伺服器的雙向驗證標記及該伺服器的驗證碼進行加密,並將加密後的雙向驗證標記與加密後的伺服器驗證碼回傳給手持設備;第二解密模組,用於當該伺服器驗證碼通過手持設備的驗證後,接收手持設備發送的加密後的手持設備識別碼;所述第二解密模組,還用於根據該雙向驗證標記,對加密後的手持設備識別碼執行解密運算,生成解密後的手持設備識別碼;及所述第二驗證模組,還用於根據伺服器儲存器中存儲的該手持設備預先註冊的識別碼,驗證該解密後的手持設備識別碼的合法性,並在驗證通過後,授予手持設備的訪問許可權。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099136017A TWI491238B (zh) | 2010-10-22 | 2010-10-22 | 手持設備雙向驗證系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW099136017A TWI491238B (zh) | 2010-10-22 | 2010-10-22 | 手持設備雙向驗證系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201218729A TW201218729A (en) | 2012-05-01 |
| TWI491238B true TWI491238B (zh) | 2015-07-01 |
Family
ID=46552597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099136017A TWI491238B (zh) | 2010-10-22 | 2010-10-22 | 手持設備雙向驗證系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI491238B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111131300B (zh) * | 2019-12-31 | 2022-06-17 | 上海移为通信技术股份有限公司 | 通信方法、终端及服务器 |
| TWI780461B (zh) * | 2020-07-30 | 2022-10-11 | 莊連豪 | 資訊傳輸加密防護方法及其實施系統 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6918035B1 (en) * | 1998-07-31 | 2005-07-12 | Lucent Technologies Inc. | Method for two-party authentication and key agreement |
| TW200637339A (en) * | 2004-12-31 | 2006-10-16 | Motorola Inc | Mobile station, system, network processor and method for use in mobile communications |
| US20080235513A1 (en) * | 2007-03-19 | 2008-09-25 | Microsoft Corporation | Three Party Authentication |
| TW201010361A (en) * | 2008-08-21 | 2010-03-01 | Ind Tech Res Inst | Method and system for handover authentication |
-
2010
- 2010-10-22 TW TW099136017A patent/TWI491238B/zh not_active IP Right Cessation
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6918035B1 (en) * | 1998-07-31 | 2005-07-12 | Lucent Technologies Inc. | Method for two-party authentication and key agreement |
| TW200637339A (en) * | 2004-12-31 | 2006-10-16 | Motorola Inc | Mobile station, system, network processor and method for use in mobile communications |
| US20080235513A1 (en) * | 2007-03-19 | 2008-09-25 | Microsoft Corporation | Three Party Authentication |
| TW201010361A (en) * | 2008-08-21 | 2010-03-01 | Ind Tech Res Inst | Method and system for handover authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201218729A (en) | 2012-05-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102457373B (zh) | 手持设备双向验证系统及方法 | |
| JP4617763B2 (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム | |
| US11063753B2 (en) | Secure distribution of device key sets over a network | |
| TWI454111B (zh) | 用於確保通訊之鑑別及完備性的技術 | |
| WO2019020051A1 (zh) | 一种安全认证的方法及装置 | |
| CN106326763B (zh) | 获取电子文件的方法及装置 | |
| WO2010067812A1 (ja) | 自己認証通信機器および機器認証システム | |
| WO2017036146A1 (zh) | 授权访问方法以及使用该方法的设备 | |
| JP2009526322A5 (zh) | ||
| TW201042973A (en) | Token-based client to server authentication of a secondary communication channel by way of primary authenticated communication channels | |
| TWI477134B (zh) | 產生安全裝置秘密金鑰的方法 | |
| WO2020186822A1 (zh) | 基于区块链的数据查询方法、装置、设备及可读存储介质 | |
| WO2017000479A1 (zh) | 身份信息认证方法、用户终端、服务终端、认证服务器以及服务系统 | |
| KR20090084545A (ko) | Ce 장치 관리 서버, ce 장치 관리 서버를 이용한drm 키 발급 방법, 및 그 방법을 실행하기 위한프로그램 기록매체 | |
| WO2018187960A1 (zh) | 一种 Root 权限管控的方法及系统 | |
| CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
| KR101884776B1 (ko) | 환자 정보 전달 시스템 및 방법 | |
| KR20200016506A (ko) | 익명 디지털 아이덴티티 수립 방법 | |
| TWI491238B (zh) | 手持設備雙向驗證系統及方法 | |
| KR101295038B1 (ko) | 보안 리더기를 이용한 공인 인증서 사용방법 | |
| JP4047691B2 (ja) | 物品所有確認システム、物品所有確認方法、及び物品所有確認プログラム、並びにそのプログラムの記録媒体 | |
| TWI469613B (zh) | 雲端認證系統及方法 | |
| WO2017107642A1 (zh) | 一种安全输入法的文本处理方法、装置和系统 | |
| KR101515312B1 (ko) | 네트워크 액세스의 제어 방법 및 시스템 | |
| Albahdal et al. | Trusted BWI: Privacy and trust enhanced biometric web identities |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |