TWI559169B - Authorization method and architecture of card with user - side card authority control and traceability - Google Patents

Authorization method and architecture of card with user - side card authority control and traceability Download PDF

Info

Publication number
TWI559169B
TWI559169B TW104132310A TW104132310A TWI559169B TW I559169 B TWI559169 B TW I559169B TW 104132310 A TW104132310 A TW 104132310A TW 104132310 A TW104132310 A TW 104132310A TW I559169 B TWI559169 B TW I559169B
Authority
TW
Taiwan
Prior art keywords
card
application
user
verification
key
Prior art date
Application number
TW104132310A
Other languages
English (en)
Other versions
TW201714112A (zh
Inventor
Wan Ju Hsieh
Tung Hsiang Liu
Han Chieh Sun
Chia Tung Chang
Tun Lin Huang
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW104132310A priority Critical patent/TWI559169B/zh
Application granted granted Critical
Publication of TWI559169B publication Critical patent/TWI559169B/zh
Publication of TW201714112A publication Critical patent/TW201714112A/zh

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Description

具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構
本發明係關於一種具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構。
在現有附卡授權機制中,應用系統端需主動檢查附卡內的授權資訊是否具有在應用系統端上操作卡片的權限,當應用系統端不檢查授權資訊時,便無法對附卡的權限進行控管,也無法進行有效的權責劃分。
而舊有的權限控管架構無法有效控管附卡在應用系統端上的操作權限的情形,現行的附卡授權機制中,必須經由應用系統端主動查詢附卡授權書資訊方能進行權責控管,而現行狀況中應用系統端常未確實導入此檢查步驟,造成無法控管其附卡之權限,發揮附卡授權機制之效用,導致企業內部無法進行有效控管及正確的權責區分。
通常針對附卡權限的管理方式是為在附卡內提供一授權屬性擴充欄位,此欄位可記錄不同應用系統端的授權資訊,應用系統端依據此欄位訊息驗證是否具有權限,此種方式的驗證弱點為當應用系統端不執行驗證動作時將無法限制附卡權限,且當卡片操作行為發生爭議時,無法追溯是應 用系統端的責任或為使用者端的惡意行為。
本案發明人鑑於上述習用方式所衍生的各項缺點,乃亟思加以改良創新,並經多年苦心孤詣潛心研究後,終於成功研發完成本具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構。
本發明之主要目的係在於提供一種具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構,以驗證伺服器保存附卡與應用系統端的金鑰,透過驗證伺服器、使用者端附卡應用程式與應用系統端的三方溝通認證,達成附卡於應用系統端上執行卡片操作行為權限控管,可用於改善現有附卡授權機制無法有效控管應用系統端上附卡權限操作的弱點,且具事後追溯功能,當有爭議的卡片操作行為出現時,可協助釐清使用者端與應用系統端的行為責任。
在本發明的架構中具有三個重要角色:應用系統端、使用者端附卡應用程式與驗證伺服器,其中一應用系統端,是存有一驗證用的系統金鑰;一使用者端附卡應用程式,以PKCS#11(Public-Key Cryptography Standards,公鑰加密標準)的擴充函式做為其驗證程式的基本結構,並以擴充函式執行與應用程式端、及一驗證伺服器的連結與驗證,其中使用者端的附卡中存有複數把卡片金鑰,一把卡片金鑰對應一個應用系統端;驗證伺服器,是與使用者端附卡應用程式連結與驗證,並將一隨機值傳送給使用者端附卡應用程式,再由使用者端附卡應用程式將隨機值傳送給應用系統端進行加密,其驗證伺服器中是存有金鑰對應表,金鑰對應表中是包含 APID(Application Identity,應用程式識別碼)、卡片金鑰與系統金鑰,其中APID是為儲存對應的應用系統端代號,卡片金鑰是為儲存與附卡上對應的卡片密鑰,系統金鑰是為儲存與應用系統端上對應的系統密鑰,其驗證伺服器,另包含一追溯模組,其係為執行對該應用系統端與該使用者端附卡應用程式之資訊與授權比對。
而本案之另一目的為一種具備使用者端卡片權限控管與追溯功能的附卡授權方法,其包含權限控管流程以及權限控管後的追溯功能,其中權限控管流程如下:步驟1. 使用者端附卡應用程式對驗證伺服器發出驗證要求;步驟2. 驗證伺服器回一隨機值給使用者附卡應用程式;步驟3. 使用者端附卡應用程式將隨機值傳給應用系統端;步驟4. 應用系統端以本身的系統金鑰將隨機值加密後,產出加密結果一,接著將加密結果一回傳給使用者端附卡應用程式;步驟5. 使用者端附卡應用程式以本身附卡內的卡片金鑰將隨機值加密後,產出加密結果二,接著將加密結果二回傳給驗證伺服器;步驟6. 驗證伺服器驗證加密結果一與加密結果二的權限對應關係後,將驗證結果回傳給使用者端附卡應用程式;步驟7. 是否具有權限在應用系統端上進行卡片操作;步驟8. 若否,則使用者無法在應用系統端上進行卡片操作,並結束; 步驟9. 若是,使用者在應用系統端上進行卡片操作,並結束。
另權限控管後的追溯功能,又分為應用系統端對驗證伺服器送一簽章後的追溯要求,以及使用者端附卡應用程式對驗證伺服器發出驗證要求,其中由應用系統端發出之追溯功能流程如下:步驟1. 應用系統端對驗證伺服器送一簽章後的追溯要求;步驟2. 驗證伺服器檢查簽章;步驟3. 簽章是否合法;步驟4. 若否,應用系統端簽章不合法,並由驗證伺服器傳一簽章後的驗證結果;步驟5. 若是,則驗證伺服器驗證相關資訊;步驟6. 卡片操作行為是否有效;步驟7. 若否,此卡片操作行為是無效的,並由驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,此卡片操作行為是有效的;步驟9. 驗證伺服器傳一簽章後的驗證結果;步驟10. 簽章是否合法;步驟11. 若否,驗證結果是無效的,結束流程;步驟12. 若是,驗證結果是有效的,結束流程。
其另由使用者端附卡應用程式發出之追溯功能流程如下:步驟1. 使用者端附卡應用程式使用追溯紀錄金鑰(Trace Key)加密追溯資料,送出追溯要求至驗證伺服器; 步驟2. 驗證伺服器利用追溯金鑰表中的Trace Key解密追溯資料;步驟3. 是否成功解密追溯資料;步驟4. 若否,解密追溯資料失敗,並由驗證伺服器傳一簽章後的驗證結果;步驟5. 若是,則驗證伺服器驗證相關資訊;步驟6. 卡片操作行為是否有效;步驟7. 若否,此卡片操作行為是無效的,並由驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,此卡片操作行為是有效的;步驟9. 驗證伺服器傳一簽章後的驗證結果;步驟10. 簽章是否合法;步驟11. 若否,驗證結果是無效的,結束流程;步驟12. 若是,驗證結果是有效的,結束流程。
本發明所提供一種具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構,與其他習用技術相互比較時,更具備下列優點:
1. 透過驗證伺服器、使用者端附卡應用程式與應用系統端三方溝通驗證,達成附卡於不同應用系統端上操作卡片的權限控管。
2. 附卡內可寫入多把卡片金鑰,分別對應到不同應用系統端,以增加附卡授權的彈性。
3. 當附卡內的卡片金鑰有安全上的疑慮時,可替換強度更高的卡片金鑰,以確保卡片授權的安全性。
4. 具追溯功能,當有爭議的卡片操作行為出現時,可協助釐清使用者端與應用系統端的行為責任。
S110~S190‧‧‧權限控管流程
S210~S290‧‧‧應用系統端發出之追溯功能流程
S310~S390‧‧‧使用者端附卡應用程式發出之追溯功能流程
410‧‧‧使用者端附卡應用程式
420‧‧‧應用系統端
430‧‧‧驗證伺服器
431‧‧‧追溯模組
S501~S506‧‧‧驗證附卡權限流程
S601~S604‧‧‧事後追溯流程
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效,有關附圖為:圖1為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之權限控管流程示意圖;圖2為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之由應用系統端發出之追溯功能流程圖;圖3為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之使用者端附卡應用程式發出之追溯功能流程圖;圖4為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之系統架構示意圖;圖5為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之驗證附卡權限流程圖;圖6為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之事後追溯流程圖。
為了使本發明的目的、技術方案及優點更加清楚明白,下面結合附圖及實施例,對本發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,但並不用於限定本發明。
以下,結合附圖對本發明進一步說明:請參閱圖1所示,為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之權限控管流程 示意圖,其中權限控管流程如下:步驟1. S110使用者端附卡應用程式對驗證伺服器發出驗證要求;步驟2. S120驗證伺服器回一隨機值給使用者附卡應用程式;步驟3. S130使用者端附卡應用程式將隨機值傳給應用系統端;步驟4. S140應用系統端以本身的系統金鑰將隨機值加密後,產出加密結果一,接著將加密結果一回傳給使用者端附卡應用程式;步驟5. S150使用者端附卡應用程式以本身附卡內的卡片金鑰將隨機值加密後,產出加密結果二,接著將加密結果二回傳給驗證伺服器;步驟6. S160驗證伺服器驗證加密結果一與加密結果二的權限對應關係後,將驗證結果回傳給使用者端附卡應用程式;步驟7. S170是否具有權限在應用系統端上進行卡片操作;步驟8. 若否,則S180使用者無法在應用系統端上進行卡片操作,並結束;步驟9. 若是,S190使用者在應用系統端上進行卡片操作,並結束。
由上述流程得知,當使用者端欲對應用系統端進行各種卡片操作行為時,使用者端附卡應用程式會先對驗證伺服器發出要求,要求內容包括卡號、APID等卡片相關資訊,驗證伺服器產生一隨機值後回傳給使用者端附卡應用程式, 使用者端附卡應用程式接著將此隨機值傳給應用系統端,當應用系統端接到此隨機值,便以本身的系統金鑰將隨機值加密,產出加密結果一,接著將加密結果一回傳給使用者端附卡應用程式,使用者端附卡應用程式接著以本身的卡片金鑰將隨機值加密後,產出加密結果二,接著將加密結果一與加密結果二回傳給驗證伺服器,驗證伺服器驗證加密結果一與加密結果二的權限對應關係後,將驗證結果回傳給使用者端附卡應用程式,使用者端附卡應用程式再根據驗證伺服器的驗證結果,來決定附卡是否具有在應用系統端上進行卡片操作的權限。
另於權限控管後的追溯功能,當應用系統端或使用者端卡片操作行為有爭議時,可透過追溯模組將應用系統端與使用者端提供之資訊與當時授權紀錄做交叉比對,釐清應用系統端提出某一卡片行為為不合法行為或使用者端表示此卡片行為非本人所為的疑慮。事後的追溯功能又分為應用系統端對驗證伺服器送一簽章後的追溯要求,以及使用者端附卡應用程式對驗證伺服器發出驗證要求,其中請參閱圖2所示,為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之由應用系統端發出之追溯功能流程圖,由應用系統端發出之追溯功能流程如下:步驟1. S210應用系統端對驗證伺服器送一簽章後的追溯要求;步驟2. S220驗證伺服器檢查簽章;步驟3. S230簽章是否合法;步驟4. 若否,S231應用系統端簽章不合法,並由S270驗證伺服器傳一簽章後的驗證結果; 步驟5. 若是,則S240驗證伺服器驗證相關資訊;步驟6. S250卡片操作行為是否有效;步驟7. 若否,S251此卡片操作行為是無效的,並由S270驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,S260此卡片操作行為是有效的;步驟9. S270驗證伺服器傳一簽章後的驗證結果;步驟10. S280簽章是否合法;步驟11. 若否,S281驗證結果是無效的,結束流程;步驟12. 若是,S290驗證結果是有效的,結束流程。
由上述流程得知,當應用系統端發現某卡片操作行為有不正當的疑慮時,可對驗證伺服器發出一經過簽章的追溯要求,追溯要求內容必須包括驗證授權亂數值、系統代號與時間資訊,驗證伺服器在收到追溯要求之後,先檢查簽章合法性,當簽章為合法便根據應用系統端送來的相關資訊透過追溯模組檢查對應關係與授權記錄,以確認附卡卡片操作行為的正當性,接著驗證伺服器回一簽章後的驗證結果給應用系統端,應用系統端檢查簽章合法性以確認其驗證結果是驗證伺服器回傳的。
而權限控管後的追溯功能另有使用者端附卡應用程式對驗證伺服器發出驗證要求,請參閱圖3所示,為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之使用者端附卡應用程式發出之追溯功能流程圖,由使用者端附卡應用程式發出之追溯功能流程如下:步驟1. S310使用者端附卡應用程式使用追溯紀錄金鑰(Trace Key)加密追溯資料,送出追溯要求至驗證伺服器; 步驟2. S320驗證伺服器利用追溯金鑰表中的Trace Key解密追溯資料;步驟3. S330是否成功解密追溯資料;步驟4. 若否,S331解密追溯資料失敗,並由S370驗證伺服器傳一簽章後的驗證結果;步驟5. 若是,則S340驗證伺服器驗證相關資訊;步驟6. S350卡片操作行為是否有效;步驟7. 若否,此S351卡片操作行為是無效的,並由S370驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,此S360卡片操作行為是有效的;步驟9. S370驗證伺服器傳一簽章後的驗證結果;步驟10. S380簽章是否合法;步驟11. 若否,S381驗證結果是無效的,結束流程;步驟12. 若是,S390驗證結果是有效的,結束流程。
由上述流程得知,當使用者端欲否認某一卡片操作行為時,可使用附卡中的追溯金鑰加密追溯資料後對驗證伺服器發出追溯要求,追溯資料內容必須包括卡號、系統代號與時間資訊,驗證伺服器在收到要求之後,透過追溯金鑰表中的卡號查詢到對應的追溯金鑰,並以追溯金鑰解密追溯資料,成功取出追溯資料內容後,驗證伺服器便根據追溯資料驗證對應關係與授權紀錄,以確認此卡片操作行為的正當性,接著驗證伺服器回一簽章後的驗證結果給使用者端附卡應用程式,使用者端附卡應用程式檢查簽章合法性以確認其驗證結果是驗證伺服器回傳的。在事後追溯上,均是透過驗證伺服器檢查對應關係與授權紀錄,以確認使用者是否有對應用系統端進行卡片操作的權限,可協助釐清使用者端與應 用系統端的行為責任。
在事後追溯上,均是透過驗證伺服器檢查對應關係與授權紀錄,以確認使用者是否有對應用系統端進行卡片操作的權限,可協助釐清使用者端與應用系統端的行為責任。
請參閱圖4所示,為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之系統架構示意圖,其中分為使用者端附卡應用程式410、應用系統端420與驗證伺服器430,其中一應用系統端420,是存有一驗證用的系統金鑰;一使用者端附卡應用程式410,是以PKCS#11(Public-Key Cryptography Standards,公鑰加密標準)的擴充函式做為其驗證程式的基本結構,並以擴充函式執行與應用程式端420、及一驗證伺服器430的連結與驗證,其中使用者端的附卡中存有複數把卡片金鑰,一把卡片金鑰對應一個應用系統端;驗證伺服器430,是與使用者端附卡應用程式410連結與驗證,並將一隨機值傳送給使用者端附卡應用程式410,再由使用者端附卡應用程式410將隨機值傳送給應用系統端420進行加密,其驗證伺服器中是存有金鑰對應表,金鑰對應表中是包含APID、卡片金鑰與系統金鑰,其APID是為儲存對應的應用系統端代號,卡片金鑰是為儲存與附卡上對應的卡片密鑰,系統金鑰是為儲存與應用系統端上對應的系統密鑰,其驗證伺服器,另包含一追溯模組,其係為執行對該應用系統端與該使用者端附卡應用程式之資訊與授權比對,其中驗證伺服器另包含一追溯模組431,為執行對該應用系統端與該使用者端附卡應用程式之資訊與授權比對。
請參閱圖5所示,為本發明具備使用者端卡片權 限控管與追溯功能的附卡授權方法及其架構之驗證附卡權限流程圖,在授權機制的架構中使用者端附卡應用程式410、應用系統端420與驗證伺服器430,其使用者端附卡應用程式410傳送驗證要求S501給驗證伺服器430;驗證伺服器430傳送一隨機值S502給使用者端附卡應用程式410;使用者端附卡應用程式410傳送隨機值S503給應用系統端420;應用系統端420傳送加密結果一S504傳送給使用者端附卡應用程式410;使用者端附卡應用程式410傳送加密結果一與加密結果二S505給驗證伺服器430;驗證伺服器430傳送驗證結果S506給使用者端附卡應用程式410。
當使用者端附卡應用程式410將對應用系統端420進行卡片操作行為時,使用者端附卡應用程式410必須向驗證伺服器430提出要求,驗證伺服器430會產生一隨機值回覆給使用者端附卡應用程式410使用者端附卡應用程式410再將此一隨機值傳送給應用系統端420。
應用系統端420收到隨機值後,以本身的系統金鑰(KAP21)將隨機值加密後,產出加密結果一,接著將加密結果一回傳給使用者端附卡應用程式410,使用者端附卡應用程式410以本身的卡片金鑰(KCA11)將隨機值加密後,產出加密結果二,接著使用者端附卡應用程式410將加密結果一與加密結果二傳送給驗證伺服器430。
驗證伺服器430可透過金鑰對應表中,搜尋到應用系統端420對應的卡片金鑰(KCA11)與系統金鑰(KAP21),以這兩把金鑰驗證加密結果一與加密結果二,接著將驗證結果回傳給使用者端附卡應用程式410,使用者端附卡應用程式410根據驗證伺服器430的驗證結果,來決定附卡是否有權限 在應用系統端420進行卡片操作。
請參閱圖6所示,為本發明具備使用者端卡片權限控管與追溯功能的附卡授權方法及其架構之事後追溯流程圖,應用系統端420傳送一簽章的追溯要求S601給驗證伺服器430,其追溯要求內容包含驗證伺服器需要的相關資訊;驗證伺服器430傳送簽章的追溯要求S602回給應用系統端420;使用者端附卡應用程式410對驗證伺服器430傳送一簽章的追溯要求S603;驗證伺服器430回傳送簽章的追溯結果S604給使用者端附卡應用程式410。
其中應用系統端420與驗證伺服器430的傳送訊息,當應用系統端420對某卡片操作行為的正當性有疑慮時,對驗證伺服器430送一簽章後的追溯要求,追溯要求內容必須包括驗證授權亂數值、系統代號與時間資訊。當驗證伺服器430收到簽章後的追溯要求,先檢查簽章合法性,當簽章為合法便透過追溯模組根據追溯要求內容中的資訊檢查對應關係與授權記錄,以確認此卡片操作行為的正當性。驗證伺服器430回傳一簽章後的追溯結果給應用系統端420。應用系統端420檢查簽章合法性以確認其驗證結果是驗證伺服器430回傳的。
其中使用者端附卡應用程式410、驗證伺服器430的傳送訊息,當使用者端附卡應用程式410欲否認某一卡片操作行為,可使用附卡中的追溯金鑰加密追溯資料後對驗證伺服器430發出追溯要求,要求內容必須包括卡號、系統代號與時間資訊。驗證伺服器430在收到要求之後,可透過追溯金鑰表中的卡號查詢到對應的追溯金鑰,以追溯金鑰解密追溯要求,成功取出追溯資料內容後,驗證伺服器便根據追 溯資料內容透過追溯模組驗證對應關係與授權紀錄,以確認此卡片操作行為的正當性。驗證伺服器430回傳一簽章後的追溯結果給使用者端附卡應用程式410。
使用者端附卡應用程式410檢查簽章合法性以確認其驗證結果是驗證伺服器430回傳的。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
S110~S190‧‧‧權限控管流程

Claims (7)

  1. 一種具備使用者端卡片權限控管與追溯功能的附卡授權方法,其中權限控管流程如下:步驟1. 使用者端附卡應用程式對驗證伺服器發出驗證要求;步驟2. 驗證伺服器回一隨機值給使用者付卡應用程式;步驟3. 使用者端附卡應用程式將隨機值傳給應用系統端;步驟4. 應用系統端以本身的系統金鑰將隨機值加密後,產出加密結果一,接著將加密結果一回傳給使用者端附卡應用程式;步驟5. 使用者端附卡應用程式以本身附卡內的卡片金鑰將隨機值加密後,產出加密結果二,接著將機密結果二回傳給驗證伺服器;步驟6. 驗證伺服器驗證加密結果一與加密結果二的權限對應關係後,將驗證結果回傳給使用者端附卡應用程式;步驟7. 是否具有權限在應用系統端上進行卡片操作;步驟8. 若否,則使用者無法在應用系統端上進行卡片操作,並結束;步驟9. 若是,使用者在應用系統端上進行卡片操作,並結束。
  2. 如申請專利範圍第1項所述之具備使用者端卡片權限控管與追溯功能的附卡授權方法,其中該進行卡片操作後,係另包含一由應用系統端發出之追溯功能,其流程如下:步驟1. 應用系統端對驗證伺服器送一簽章後的追溯要 求;步驟2. 驗證伺服器檢查簽章;步驟3. 簽章是否合法;步驟4. 若否,應用系統端簽章不合法,並由驗證伺服器傳一簽章後的驗證結果;步驟5. 若是,則驗證伺服器驗證相關資訊;步驟6. 卡片操作行為是否有效;步驟7. 若否,此卡片操作行為是無效的,並由驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,此卡片操作行為是有效的;步驟9. 驗證伺服器傳一簽章後的驗證結果;步驟10. 簽章是否合法;步驟11. 若否,驗證結果是無效的,結束流程;步驟12. 若是,驗證結果是有效的,結束流程。
  3. 如申請專利範圍第2項所述之具備使用者端卡片權限控管與追溯功能的附卡授權方法,其中該追溯功能,係另得以由使用者端發出之追溯流程,其流程如下:步驟1. 使用者端附卡應用程式使用追溯紀錄金鑰(Trace Key)加密追溯資料,送出追溯要求至驗證伺服器;步驟2. 驗證伺服器利用追溯金鑰表中的Trace Key解密追溯資料;步驟3. 是否成功解密追溯資料;步驟4. 若否,解密追溯資料失敗,並由驗證伺服器傳一簽章後的驗證結果;步驟5. 若是,則驗證伺服器驗證相關資訊; 步驟6. 卡片操作行為是否有效;步驟7. 若否,此卡片操作行為是無效的,並由驗證伺服器傳一簽章後的驗證結果;步驟8. 若是,此卡片操作行為是有效的;步驟9. 驗證伺服器傳一簽章後的驗證結果;步驟10. 簽章是否合法;步驟11. 若否,驗證結果是無效的,結束流程;步驟12. 若是,驗證結果是有效的,結束流程。
  4. 如申請專利範圍第3項所述之具備使用者端卡片權限控管與追溯功能的附卡授權方法,其中該相關資訊,係指驗證授權亂數值、系統代號與時間資訊。
  5. 一種具備使用者端卡片權限控管與追溯功能的附卡授權架構,其主要包括:一應用系統端,係存有一驗證用的系統金鑰;一使用者端附卡應用程式,係以PKCS#11(Public-Key Cryptography Standards,公鑰加密標準)的擴充函式做為其驗證程式的基本結構,並以該擴充函式執行與該應用程式端、及一驗證伺服器的連結與驗證;該驗證伺服器,係與該使用者端附卡應用程式連結與驗證,並將一隨機值傳送給該使用者端附卡應用程式,再由該使用者端附卡應用程式將該隨機值傳送給應用系統端進行加密,其該驗證伺服器中係存有金鑰對應表,該金鑰對應表中係包含APID(Application Identity,應用程式識別碼)、卡片金鑰與系統金鑰,其中該APID係為儲存對應的應用系統端代號,該卡片金鑰係為儲存與附卡上對應的卡片密鑰,該系統金鑰係為儲存與該應用系 統端上對應的系統密鑰。
  6. 如申請專利範圍第5項所述之具備使用者端卡片權限控管與追溯功能的附卡授權架構,其中該驗證伺服器另包含一追溯模組,其係為執行對該應用系統端與該使用者端附卡應用程式之資訊與授權比對。
  7. 如申請專利範圍第5項所述之具備使用者端卡片權限控管與追溯功能的附卡授權架構,其中該驗證,係為驗證該附卡是否具有在應用系統端上操作卡片的權限。
TW104132310A 2015-10-01 2015-10-01 Authorization method and architecture of card with user - side card authority control and traceability TWI559169B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW104132310A TWI559169B (zh) 2015-10-01 2015-10-01 Authorization method and architecture of card with user - side card authority control and traceability

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW104132310A TWI559169B (zh) 2015-10-01 2015-10-01 Authorization method and architecture of card with user - side card authority control and traceability

Publications (2)

Publication Number Publication Date
TWI559169B true TWI559169B (zh) 2016-11-21
TW201714112A TW201714112A (zh) 2017-04-16

Family

ID=57851715

Family Applications (1)

Application Number Title Priority Date Filing Date
TW104132310A TWI559169B (zh) 2015-10-01 2015-10-01 Authorization method and architecture of card with user - side card authority control and traceability

Country Status (1)

Country Link
TW (1) TWI559169B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW548564B (en) * 1999-08-31 2003-08-21 American Express Travel Relate Methods and apparatus for conducting electronic commerce
TW201210296A (en) * 2010-07-26 2012-03-01 Intel Corp Methods for anonymous authentication and key agreement
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
TWI471804B (zh) * 2011-02-01 2015-02-01 Kingston Digital Inc 空白智慧卡裝置發行系統

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW548564B (en) * 1999-08-31 2003-08-21 American Express Travel Relate Methods and apparatus for conducting electronic commerce
TW201210296A (en) * 2010-07-26 2012-03-01 Intel Corp Methods for anonymous authentication and key agreement
TWI471804B (zh) * 2011-02-01 2015-02-01 Kingston Digital Inc 空白智慧卡裝置發行系統
US20140189808A1 (en) * 2012-12-28 2014-07-03 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks

Also Published As

Publication number Publication date
TW201714112A (zh) 2017-04-16

Similar Documents

Publication Publication Date Title
WO2018112946A1 (zh) 注册及授权方法、装置及系统
KR102493744B1 (ko) 생체 특징에 기초한 보안 검증 방법, 클라이언트 단말, 및 서버
TWI454111B (zh) 用於確保通訊之鑑別及完備性的技術
KR101863953B1 (ko) 전자 서명 서비스 시스템 및 방법
JP2023502346A (ja) 量子安全ネットワーキング
CN107683582B (zh) 认证指示笔设备
US11924332B2 (en) Cryptographic systems and methods using distributed ledgers
CN113344222B (zh) 一种基于区块链的安全可信的联邦学习机制
US10439809B2 (en) Method and apparatus for managing application identifier
JP2023543456A (ja) 認証システムおよび方法
CN102999710A (zh) 一种安全共享数字内容的方法、设备及系统
JP7250960B2 (ja) ユーザのバイオメトリクスを利用したユーザ認証および署名装置、並びにその方法
CN114500069A (zh) 一种电子合同的存储及共享的方法与系统
JP2023543474A (ja) 物理複製困難関数
JP2023543457A (ja) 物理的複製不能関数
US20240202718A1 (en) Blockchain based system and method
US11888987B2 (en) Method and system for digital voting using a trusted digital voting platform
US20230379175A1 (en) Challenge-response protocol based on physically unclonable functions
TWI559169B (zh) Authorization method and architecture of card with user - side card authority control and traceability
JP2023543515A (ja) ブロックチェーン上に応答値を記憶する物理複製困難関数
CN111656729B (zh) 用于为编码两台设备之间的数字通信计算托管会话密钥和私人会话密钥的系统和方法
US20240137228A1 (en) Puf and blockchain based iot event recorder and method
US20240235857A9 (en) Puf and blockchain based iot event recorder and method
US20240232863A1 (en) Wallet application instantiation, keys derivation for signing blockchain transactions using a puf device
Vieitez Parra The Impact of Attestation on Deniable Communications

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees