TWI596497B - 結合無線以及智能卡登錄認證的方法與伺服器,以及非暫態電腦可讀媒體 - Google Patents
結合無線以及智能卡登錄認證的方法與伺服器,以及非暫態電腦可讀媒體 Download PDFInfo
- Publication number
- TWI596497B TWI596497B TW105108763A TW105108763A TWI596497B TW I596497 B TWI596497 B TW I596497B TW 105108763 A TW105108763 A TW 105108763A TW 105108763 A TW105108763 A TW 105108763A TW I596497 B TWI596497 B TW I596497B
- Authority
- TW
- Taiwan
- Prior art keywords
- smart card
- server
- verification code
- management controller
- authentication
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3215—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a plurality of channels
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Description
本發明係有關伺服器認證,特別係有關一伺服器之基板管理控制器之結合無線以及智能卡的認證。
基板管理控制器(baseboard management controller(BMC))係一種專門的微控制器,一般係配置於一伺服器之母板(motherborad)。上述基板管理控制器一般係用以:(1)管理介於上述伺服器之硬體以及上述伺服器之管理軟體之間的介面;以及(2)啟用一系統管理者以遠程地監測上述伺服器。上述基板管理控制器可與不同感測器通訊,藉以監測伺服器參數(例如溫度、濕度、電源電壓、風扇速度、通訊參數、作業系統功能、網路狀態等等)。上述基板管理控制器可包括複數實體介面(physical interfaces)(例如系統管理匯流排(SMB)、通用非同步接收發送器(UART)、通用序列匯流排(USB)、RS-232序列控制台(serial consoles)、網路配接器(network adapters)等等)。系統管理者可透過一實體介面與上述
基板管理控制器直接連結,或透過一網路與上述基板管理控制器連接。上述連結的認證,一般係透過使用者名稱以及密碼。密碼僅可做為密碼建立者的安全措施,且密碼可長時間保持不變。對基板管理控制器進行未經授權的存取,可讓一未經授權的使用者完全的存取伺服器。在此情況下,上述基板管理控制器的存取操作,需要一種更安全的系統與方法。
本發明之附加特徵以及優點,將在本說明書中闡述,而本發明之部分特徵與優點可明顯地從本說明書之描述中得知,或者可以透過實踐本說明書所揭露之理論而獲知。本發明可透過所附申請專利範圍中特別描述的元件以及組合的裝置,來實現與獲得本發明之特徵以及優點。本發明之特徵,將透過本說明書以及所附申請專利範圍的描述而更為明顯,或者可以透過實踐本說明書所揭露之理論而獲知。
本發明之至少一實施例,提供用於結合無線以及智能卡登錄認證的一方法、系統或非暫態電腦可讀媒體。上述方法可包括在一伺服器驗證一智能卡以產生一憑證,且基於該憑證與一遠程裝置建立一無線連結。上述方法更包括接收一智能卡驗證碼,且驗證該智能卡驗證碼以產生一認證。最終,上述方法可包括基於該認證,授權該遠程裝置存取該伺服器之一基板管理控制器。
依據本發明一些實施例,上述方法可包括在該伺服器啟用智能卡授權;驗證一智能卡以產生一憑證;以及基於該憑證,發送一隨機號碼。
依據本發明一些實施例,上述方法包括發送一隨機號碼,以及在該伺服器接收一加密驗證碼,其中該加密驗證碼係從該隨機號碼產生之一加密隨機號碼。上述方法更包括在該伺服器,將該加密驗證碼儲存為該智能卡驗證碼。
依據本發明一些實施例,上述方法之驗證該智能卡驗證碼以產生一認證,包括從該伺服器傳送該智能卡驗證碼,其中該智能卡驗證碼已被加密。上述方法更可包括當該智能卡驗證碼被解密碼後的內容,與一預先儲存之隨機號碼相同時,在該伺服器接收一成功認證。
依據本發明一些實施例,上述方法可包括在該伺服器接收用於一控制台對話的複數登錄憑證,以及在該伺服器對該等登錄憑證進行認證。上述方法更可包括從該伺服器傳送該智能卡驗證碼,其中該智能卡驗證碼已被加密。
依據本發明一些實施例,上述方法可包括在一第二伺服器接收用於控制台對話的複數登錄憑證,以及在該第二伺服器對該等登錄憑證進行認證。上述方法更可包括在該第二伺服器接收被加密的該智能卡驗證碼。
依據本發明一些實施例,上述方法可包括在該伺服器建立與該遠程裝置的一無線連結;接收複數登錄憑證以及對該等登錄憑證進行認證。上述方法更可包括發送該智能卡驗證碼以及啟用智能卡授權。
100‧‧‧組合基板管理控制器認證系統
102‧‧‧伺服器
104‧‧‧基板管理控制器
106‧‧‧基板管理控制器韌體
108‧‧‧通用序列匯流排連接埠
110‧‧‧區域網路連接埠
112‧‧‧區域網路使用器
114‧‧‧網頁瀏覽器
116‧‧‧通用序列匯流排配接器
118‧‧‧短距離無線配接器
120‧‧‧通用序列匯流排集線器
122‧‧‧智能卡讀取器
124‧‧‧智能卡
126‧‧‧行動裝置
104A、104N‧‧‧基板管理控制器
200-900‧‧‧方法
202-212、302-312、402-416、502-510、602-604、702-704、802-808、902-914‧‧‧步驟
本發明之各個示範性的實施例,將與所附圖式搭配,於下文中做描述,並僅用於示範之作用,其中:
第1圖係依據本發明一實施例之組合基板管理控制器認證系統的方塊圖。
第2圖係依據本發明一實施例之一基板管理控制器登錄認證之方法的流程圖。
第3圖係依據本發明一實施例之一改良之基板管理控制器登錄認證之基板管理控制器初始化之方法的流程圖。
第4圖係依據本發明一實施例之一行動裝置以及智能卡改良之基板管理控制器登錄認證之方法的流程圖。
第5圖係依據本發明一實施例之一行動裝置以及智能卡改良之基板管理控制器登錄認證之方法的流程圖。
第6圖係依據本發明一實施例之儲存一改良之基板管理控制器登錄認證之一驗證碼之方法的流程圖。
第7圖係依據本發明一實施例之驗證一改良之基板管理控制器登錄認證之一驗證碼之方法的流程圖。
第8圖係依據本發明一實施例之在一多節點環境中,輸出以及輸入一改良之基板管理控制器登錄認證之一驗證碼之方法的流程圖。
第9圖係依據本發明一實施例在一行動裝置中,輸出以及輸入一改良之基板管理控制器登錄認證之一驗證碼之方法的流程圖。
應當理解的是,為了以簡潔且明確的方式描述,一些參考符號會在不同圖式中重複出現,藉以表示相應或類似
的元件。此外,許多具體細節將被闡述,使本發明所提之各實施例能被透徹的理解。然而,熟知此技術領域者應可理解,本說明書所提之各實施例,可以在不具備上述具體細節的狀況下實現。在其他實施例中,方法、程序和組件沒有被詳細描述,以避免對被描述之相關特徵造成混淆。本發明之圖式不須依照實際比例繪製,且某些特定部分可能以較誇大的比例表現,藉以更清楚的說明細節以及特徵。本發明各實施例的內容,並非用以對本發明的範圍形成限制。
本說明書將藉由許多定義用語來進行描述。
術語:「耦接」,係定義為一種連接方式,包括直接地連接或經由中間元件而間接地連接,且不須受限於物理連接。上述所提之連接方式,可用以表示物體係永久性地連接或可釋放地連接。術語:「基本上」,係被定義為本質上符合特定尺寸、形狀或其他字面上的實質修飾,使得被描述之元件不必為精確的。例如:「基本上為圓柱形的」,係表示對象類似於圓柱體,但可以與一個真正的圓柱體之間,具備一或多個偏差。術語:「包括」,用以表達「包含但不必受限於…」,可用於特別針對被描述的組合、團體、序列等,表達開放式的採納或開放式的條件資格。
第1圖係依據本發明一實施例之組合基板管理控制器認證系統(combination BMC authorization system)100的方塊圖。組合基板管理控制器認證系統100可包括一或多個伺服器102。上述一或多個伺服器102可包括一基板管理控制器104。基板管理控制器104可為耦接至伺服器102之一或多個母
版(motherboards)的一專門的伺服器處理器。在一些實施例中,基板管理控制器可透過複數感測器(未示於圖式中),監測伺服器102之物理狀態(例如溫度、濕度、電源電壓、風扇速度、通訊參數、作業系統功能、網路狀態等等)。基板管理控制器104可運行基板管理控制器韌體106。基板管理控制器軔體106可被配置以控制、監測及/或操作伺服器102之硬體元件。伺服器102亦可包括一或多個周邊連接埠,包括一通用序列匯流排(USB)連接埠108以及一區域網路連接埠110。
組合基板管理控制器認證系統100可包括一區域網路使用器(LAN user)112。區域網路使用器112可為一電子裝置(例如計算系統、平板電腦、智慧型手機等等),上述電子裝置被配置以使一系統管理者透過網頁瀏覽器114與伺服器102進行通訊。區域網路使用器112可透過使用超文件傳送協定(HTTP)或安全超文件傳送協定(secure HTTP)的一區域網路,與伺服器102進行通訊。透過網頁瀏覽器114,區域網路使用器112可被配置以存取一基板管理控制器網頁管理控制台(BMC web management console)(亦即管理基板管理控制器的設定)。在一些實施例中,區域網路使用器112可啟用以及關閉基板管理控制器104的智能卡授權。
組合基板管理控制器認證系統100之伺服器102可被配置以在通用序列匯流排連接埠108接受一通用序列匯流排配接器116。通用序列匯流排配接器116可包括一通用序列匯流排集線器120。通用序列匯流排集線器120可將單一通用序列匯流排連接埠,擴充為一或多個通用序列匯流排連接埠。通用序
列匯流排集線器120可耦接至一短距離無線配接器(short-range wireless adapter(SRW))118以及一智能卡讀取器122。伺服器102可運行CCID(chip card interface device)協定,藉以啟用智能卡124以透過智能卡讀取器122連接至伺服器102。上述CCID協定啟用智能卡124,並將智能卡124做為認證以及資料加密的安全機制。
短距離無線配接器118可被配置以發送與接收短距離的資料。舉例而言,短距離無線配接器118可被配置以使用藍芽、毫米波十億位元無線通訊(如GiFi)、近場通訊(NFC)、ZigBee等等。行動裝置126(例如智慧型手機、平板電腦、筆記型電腦等等)可被配置以透過短距離無線配接器118,耦接通用序列匯流排配接器116(例如配對(paring)、聯接(bonding)等等)。智能卡讀取器122可被配置以接受智能卡124。智能卡124可被嵌入一積體電路。智能卡124可為接觸式或非接觸式。在一些實施例中,智能卡124可被配置以儲存一加密驗證碼。在一些實施例中,智能卡124可被配置以儲存認證憑證(例如密碼、擁有者身分證明等等)。
第2至9圖所示之方法係用以做為範例,而本發明之方法可透過各種方式以實現。另外,上述方法之範例具有特定的步驟次序,而熟知本領域技術者應當理解,第2至9圖所示的步驟,可透過任意次序執行以完成本發明的技術優點,亦可包括比較少或較多的步驟。
第2至9圖所示的每一個步驟,代表一或多個程序、方法或子程序,並實現於本發明之方法中。第2至9圖所示
之步驟,可透過第1圖之系統來實現。第2至9圖所示之流程圖,將至少參考並有關於第1圖之伺服器102、通用序列匯流排配接器116、行動裝置126、區域網路使用器112以及智能卡124。
第2圖係一基板管理控制器登錄認證之方法200的流程圖。此基板管理控制器登錄認證係以密碼為基礎(例如一管理者必須記得一密碼以登錄至基板管理控制器104)。方法200可起始於步驟202。在步驟202中,通用序列匯流排配接器116可藉由通用序列匯流排連接埠108耦接至伺服器102。當通用序列匯流排配接器116被耦接至伺服器102時,方法200可進入步驟204。
在步驟204中,行動裝置126可通訊地耦接(亦即透過短距離無線通訊)通用序列匯流排配接器116。在一些實施例中,行動裝置126可透過短距離無線配接器118,使用安全簡易配對(secure simple pairing(SSP))與通用序列匯流排配接器116配對。當行動裝置126已成功耦接至通用序列匯流排配接器116時,方法200可進入步驟206。
在步驟206中,行動裝置126可與基板管理控制器104建立連結。舉例而言,在步驟204之配對成功後,行動裝置126可透過通用序列匯流排配接器116存取伺服器102以及基板管理控制器104。當行動裝置126成功與基板管理控制器104建立連結後,方法200可進入步驟208。
在步驟208中,行動裝置126可發送複數個登錄憑證到基板管理控制器104。舉例而言,行動裝置126之一管理者,可對基板管理控制器104輸入一使用者名稱以及密碼。當
上述登錄憑證已被發送至基板管理控制器104時,方法200可進入步驟210。在步驟210中,基板管理控制器104可接收上述登錄憑證;驗證上述登錄憑證;以及回傳結果至行動裝置126。舉例而言,基板管理控制器104可接收一使用者名稱以及密碼;驗證該使用者名稱以及密碼是否有效;以及回傳一失敗認證(亦即該使用者名稱以及密碼不正確)或一成功認證(亦即該使用者名稱或密碼正確)至行動裝置126。在一些實施例中,上述認證過程係透過比較儲存在一資料庫的加密登錄憑證來執行。當上述登錄憑證的結果已回傳至行動裝置126時,方法200可進入步驟212。在步驟212中,當上述登錄憑證的結果為失敗時,方法200回到步驟208。當上述登錄憑證的結果為成功時,方法200可啟用基板管理控制器104的存取管理給行動裝置126,且可結束方法200。
第3圖係一改良之基板管理控制器登錄認證的基板管理控制器初始化的方法300的流程圖。一改良之基板管理控制器登錄認證可增加額外的安全機制,用於存取伺服器102之基板管理控制器104。舉例而言,改良之基板管理控制器登錄認證可使用智能卡124以及行動裝置126之一組合認證,而第2圖之基板管理控制器登錄認證係以密碼為基礎。方法300描述在基板管理控制器104中,初始化一改良之基板管理控制器登錄認證。
方法300可起始於步驟302。在步驟302中,通用序列匯流排配接器116可藉由通用序列匯流排連接埠108耦接至伺服器102。當通用序列匯流排配接器116被耦接至伺服器102
時,方法300可進入步驟304。在步驟304中,智能卡124可被置入至通用序列匯流排配接器116。當智能卡124已置入通用序列匯流排配接器116時,方法300可進入步驟306。在步驟306中,區域網路使用器112可登入基板管理控制器104(例如透過網頁瀏覽器114至區域網路連接埠110)。當區域網路使用器112已登入基板管理控制器104時,方法300可進入步驟308。在步驟308中,區域網路使用器112可啟用基板管理控制器104之智能卡授權。舉例而言,一系統管理者可透過一網路管理控制台登入基板管理控制器104。該系統管理者進而可啟用或關閉用於基板管理控制器104之智能卡授權(亦即允許智能卡授權或不允許智能卡授權)。當智能卡授權被啟用時,方法300可進入步驟310。
在步驟310中,基板管理控制器104可判定智能卡124是否有效。舉例而言,智能卡124可具備一有效期。當上述有效期截止時,智能卡124即不再有效(亦即智能卡124不能用以認證)。在一實施例中,智能卡124在發行後三年係有效的。當基板管理控制器104已驗證後,方法300可進入步驟312。
在步驟312中,一驗證碼可被儲存在智能卡124(如第5圖所示)。例如,智能卡124可包括一積體電路。該積體電路可包括複數引腳(pinout)。該積體電路之一引腳可被配置以編程一持久型記憶體(例如EEPROM)。當上述驗證碼已被儲存在智能卡124時,可結束方法300。
第4圖係一行動裝置以及智能卡改良之基板管理控制器登錄認證之方法400的流程圖。當基板管理控制器104被
初始化(亦即智能卡驗證已啟用),一使用者可透過智能卡124以及行動裝置126登入基板管理控制器。
方法400可起始於步驟402。在步驟402中,通用序列匯流排配接器116可藉由通用序列匯流排連接埠108耦接至伺服器102。當通用序列匯流排配接器116被耦接至伺服器102時,方法400可進入步驟404。在步驟404中,智能卡124可藉由智能卡讀取器122置入至通用序列匯流排配接器116。當智能卡124已置入通用序列匯流排配接器116時,方法400可進入步驟406。在步驟406中,基板管理控制器104可判定智能卡124是否有效(如前文之描述)。當基板管理控制器104已對智能卡124驗證時,方法400可進入步驟408。在步驟408中,行動裝置126可與通用序列匯流排配接器116成功配對(亦即建立一連結)。舉例而言,行動裝置126可在一成功配對後,存取伺服器102以及基板管理控制器104。當行動裝置126已與通用序列匯流排配接器116成功配對時,方法400可進入步驟410。在步驟410中,當智能卡授權已啟用時,智能卡124之驗證碼可被發送至基板管理控制器104用以驗證(例如透過步驟408建立的短距離無線通訊)。當智能卡124之上述驗證碼已被發送至基板管理控制器104時,方法400可進入步驟412。
在步驟412中,基板管理控制器104可驗證(亦即認證)智能卡124之上述驗證碼(如第6圖所示)。在步驟414中,基板管理控制器可發送步驟412的驗證結果至行動裝置126。當基板管理控制器已發送上述驗證結果至行動裝置126時,方法400可進入步驟416。
在步驟416中,行動裝置126可接收上述驗證碼的驗證結果。當上述驗證結果為失敗時,行動裝置126係不被授權以管理基板管理控制器104,且可結束方法400。當上述驗證結果為成功時,則行動裝置126可管理基板管理控制器104(例如監測伺服器102)。當上述驗證結果為成功時,可結束方法400。
第5圖係一行動裝置以及智能卡改良之基板管理控制器登錄認證之方法500的流程圖。當基板管理控制器104已被初始化時(亦即智能卡驗證已啟用),一使用者可透過智能卡124以及行動裝置126登入基板管理控制器。
方法500可起始於步驟502。在步驟502中,基板管理控制器104可判定智能卡124是否有效(如前文之描述)。當基板管理控制器104已驗證時,方法500可進入步驟504。在步驟504中,行動裝置126可透過短距離無線配接器118與通用序列匯流排配接器116成功配對(亦即建立一連結)。舉例而言,行動裝置126可在一成功配對後,存取伺服器102以及基板管理控制器104。當行動裝置126與通用序列匯流排配接器116成功配對時,方法500可進入步驟506。在步驟506中,智能卡124之驗證碼可被發送至基板管理控制器104用以驗證。當智能卡124之上述驗證碼被發送至基板管理控制器104時,方法500可進入步驟508。
在步驟508中,基板管理控制器104可驗證(亦即認證)行動裝置126之驗證碼(如第6圖所示)。在步驟510中,基板管理控制器104可發送步驟508的驗證結果至行動裝置126。當
上述驗證結果為失敗時,行動裝置126係不被授權以管理基板管理控制器104,且可結束方法500。當上述驗證結果為成功時,則行動裝置126可管理基板管理控制器104(例如監測伺服器102)。當上述驗證結果為成功時,可結束方法500。
第6圖係儲存一改良之基板管理控制器登錄認證之一驗證碼之方法600的流程圖。智能卡124可被配置以儲存一驗證碼。在一些實施例中,上述驗證碼可為一隨機號碼。在一些實施例中,上述驗證碼可為使用者所定義。在一些實施例中,上述驗證碼可被加密(例如秘密金鑰、隱私金鑰等等)。
方法600可起始於步驟602。在步驟602中,基板管理控制器104可產生一隨機號碼。該隨機號碼可透過通用序列匯流排配接器116(經由智能卡讀取器122),從基板管理控制器104被轉換至智能卡124。智能卡124可儲存該隨機號碼至記憶體(例如EEPROM)。當該隨機號碼已被產生、發送且儲存時,方法600可進入步驟604。
在步驟604中,智能卡124可加密該隨機號碼(例如透過秘密金鑰、隱私金鑰等等)。智能卡124可包括一加密金鑰(例如秘密金鑰、隱私金鑰等等)。在智能卡124加密該隨機號碼之後,該被加密之隨機號碼可被發送至基板管理控制器104。基板管理控制器104可將所接收之該被加密之隨機號碼,儲存為智能卡124的驗證碼,並儲存在記憶體中(例如快閃唯讀記憶體等等)。當該隨機號碼已被加密、發送且儲存為智能卡124的驗證碼時,可結束方法600。
第7圖係驗證一改良之基板管理控制器登錄認證
之一驗證碼的方法700的流程圖。智能卡124可被用以驗證行動裝置126的真實性。舉例而言,一管理者可透過通用序列匯流排配接器116存取基板管理控制器104。該管理者可在智能卡讀取器122,將智能卡124置入通用序列匯流排配接器116,並且可透過短距離無線配接器118,將行動裝置126無線地耦接至通用序列匯流排配接器116。智能卡124可進而驗證預先儲存在基板管理控制器104中的驗證碼,藉以驗證行動裝置126(以及該管理者)是否具有適當的權限以存取基板管理控制器104。
方法700可起始於步驟702。在步驟702中,基板管理控制器104可透過通用序列匯流排配接器116發送被加密之智能卡驗證碼至智能卡124(亦即上述方法500所述之內容)。當基板管理控制器104已發送被加密之智能卡驗證碼至智能卡124時,方法700可進入步驟704。
在步驟704中,智能卡124可接收,以及針對被加密之智能卡驗證碼進行解密碼。舉例而言,智能卡124可使用相同的加密金鑰(例如秘密金鑰、隱私金鑰等等),對被加密之智能卡驗證碼進行解密碼。其中,上述加密金鑰係用以加密隨機號碼(亦即方法500所述之內容)。當被加密之智能卡驗證碼已被解密碼時,智能卡124可將已解密之智能卡驗證碼以及預先儲存之隨機號碼進行比較(亦即方法500所述之內容)。當被加密之智能卡驗證碼已被解密碼,以及已與上述預先儲存之隨機號碼進行比較時,方法700可進入步驟706。
在步驟706中,智能卡124可將上述已解密之智能卡驗證碼以及預先儲存之隨機號碼的比較結果,發送至基板管
理控制器104。當上述已解密之智能卡驗證碼與上述預先儲存之隨機號碼相同時,智能卡124可回傳一成功認證至基板管理控制器104。當上述已解密之智能卡驗證碼與上述預先儲存之隨機號碼不相同時,智能卡124可回傳一失敗認證至基板管理控制器104。當智能卡124已回傳上述成功認證或失敗認證至基板管理控制器104時,可結束方法700。
第8圖係在一多節點環境中,輸出以及輸入一改良之基板管理控制器登錄認證之一驗證碼的方法800的流程圖。在一些實施例中,一管理者可擁有複數個基板管理控制器(以及伺服器)來進行管理。複數個智能卡係不容易被管理的。在一些實施例中,單一智能卡(針對單一個管理者)可管理複數個基板管理控制器。智能卡驗證係基於一加密的智能卡驗證碼。當每一個基板管理控制器已儲存有關於上述單一智能卡的上述加密的智能卡驗證碼時,上述單一智能卡可管理複數個基板管理控制器。
方法800可起始於步驟802。在步驟802中,區域網路使用器112可登錄基板管理控制器104A(例如透過網頁瀏覽器114至區域網路連接埠110)。當區域網路使用器112已登錄至基板管理控制器104時,方法800可進入步驟804。在步驟804中,區域網路使用器112可下載上述加密的智能卡驗證碼。舉例而言,上述加密的智能卡驗證碼可以係第5圖之方法500所述之驗證碼。當區域網路使用器112已下載上述加密的智能卡驗證碼時,方法800可進入步驟806。在步驟806中,區域網路使用器112可登錄基板管理控制器104N。舉例而言,區域網路使
用器112可登錄基板管理控制器104N(例如透過網頁瀏覽器114至區域網路連接埠110)。在一些實施例中,基板管理控制器104N可為複數個不同的基板管理控制器。在一些實施例中,基板管理控制器104N可以係許多不同的基板管理控制器的其中一個基板管理控制器。當區域網路使用器112已登錄至基板管理控制器104N時,方法800可進入步驟808。在步驟808中,區域網路使用器112可上傳上述加密的智能卡驗證碼至基板管理控制器104N。舉例而言,基板管理控制器104N可接收上述加密的智能卡驗證碼,並將上述加密的智能卡驗證碼儲存至記憶體(例如快閃唯讀記憶體等等)。當基板管理控制器104N已接收,並儲存上述加密的智能卡驗證碼至記憶體時,可結束方法800。
第9圖係在一行動裝置中,輸出以及輸入一改良之基板管理控制器登錄認證之一驗證碼的方法900的流程圖。一系統管理者可啟用行動裝置126與基板管理控制器104之間的授權(透過通用序列匯流排配接器116)。為了啟用行動裝置126與基板管理控制器104之間的授權,上述加密的智能卡驗證碼可從基板管理控制器104發送,並且儲存於行動裝置126的記憶體。當行動裝置126已具備上述加密的智能卡驗證碼時,行動裝置126可被啟用在基板管理控制器104的授權。
方法900可起始於步驟902。在步驟902中,通用序列匯流排配接器116可藉由通用序列匯流排連接埠108耦接至伺服器102。當通用序列匯流排配接器116耦接至伺服器102時,方法900可進入步驟904。
在步驟904中,行動裝置126可通訊地耦接通用序列匯流排配接器116(亦即透過短距離無線通訊)。在一些實施例中,行動裝置126可透過短距離無線配接器118,使用安全簡易配對(secure simple pairing(SSP))與通用序列匯流排配接器116配對。當行動裝置126成功耦接至通用序列匯流排配接器116時,方法900可進入步驟906。
在步驟906中,行動裝置126可與基板管理控制器104建立連結。舉例而言,在步驟904之配對成功後,行動裝置126可透過通用序列匯流排配接器116,存取伺服器102以及基板管理控制器104。當行動裝置126已成功與基板管理控制器104建立連結後,方法900可進入步驟908。
在步驟908中,行動裝置126可發送複數個登錄憑證到基板管理控制器104。舉例而言,行動裝置126之一管理者,可對基板管理控制器104輸入一使用者名稱以及密碼。當上述登錄憑證已被發送至基板管理控制器104時,方法900可進入步驟910。在步驟910中,基板管理控制器104可接收上述登錄憑證;驗證上述登錄憑證;以及回傳結果至行動裝置126。舉例而言,基板管理控制器104可接收一使用者名稱以及密碼;驗證該使用者名稱以及密碼是否有效;以及回傳一失敗認證(亦即該使用者名稱以及密碼不正確)或一成功認證(亦即該使用者名稱或密碼正確)至行動裝置126。在一些實施例中,上述認證過程係透過比較儲存在一資料庫的加密登錄憑證來執行。當上述登錄憑證的結果已回傳至行動裝置126時,方法900可進入步驟912。
在步驟912中,行動裝置126可下載儲存在基板管理控制器104之記憶體的加密驗證碼檔案。舉例而言,上述加密驗證碼檔案,係儲存在第5圖之方法500的基板管理控制器104的記憶體中。當上述加密驗證碼檔案已被下載至行動裝置126時,方法900可進入步驟914。
在步驟914中,行動裝置126可使用一智能卡,啟用基板管理控制器104的智能卡授權。舉例而言,一系統管理者(亦即行動裝置126的系統管理者)可啟用或關閉基板管理控制器104之智能卡授權(亦即允許智能卡授權或不允許智能卡授權)。在一些實施例中,智能卡授權已先行啟用,而上述系統管理者不需要啟用智能卡授權。當智能卡授權已被啟用時,可結束方法900。
透過以上之描述,本發明之各個實施例的內容以及優點,已可被理解。顯而易見地,在不脫離本發明之精神以及範圍;或不犧牲本發明之所有優點的情況下,可對本發明之實施例進行各種變化。以上所提之各實施例僅為本發明之較佳或示範性的實施例。
100‧‧‧組合基板管理控制器認證系統
102‧‧‧伺服器
104‧‧‧基板管理控制器
106‧‧‧基板管理控制器韌體
108‧‧‧通用序列匯流排連接埠
110‧‧‧區域網路連接埠
112‧‧‧區域網路使用器
114‧‧‧網頁瀏覽器
116‧‧‧通用序列匯流排配接器
118‧‧‧短距離無線配接器
120‧‧‧通用序列匯流排集線器
122‧‧‧智能卡讀取器
124‧‧‧智能卡
126‧‧‧行動裝置
Claims (10)
- 一種結合無線以及智能卡登錄認證的方法,包括:在一伺服器驗證一智能卡以產生一憑證;基於該憑證與一遠程裝置建立一無線連結;接收一智能卡驗證碼;驗證該智能卡驗證碼以產生一認證;以及基於該認證,授權該遠程裝置存取該伺服器之一基板管理控制器;其中,該遠程裝置不包括該智能卡。
- 如申請專利範圍第1項所述之結合無線以及智能卡登錄認證的方法,更包括:啟用智能卡授權;驗證該智能卡以產生該憑證;以及基於該憑證,發送一隨機號碼。
- 如申請專利範圍第2項所述之結合無線以及智能卡登錄認證的方法,更包括:在該伺服器接收一加密驗證碼,該加密驗證碼係從該隨機號碼產生之一加密隨機號碼;以及在該伺服器將該加密驗證碼儲存為該智能卡驗證碼。
- 如申請專利範圍第1項所述之結合無線以及智能卡登錄認證的方法,其中,上述驗證該智能卡驗證碼以產生一認證,更包括:從該伺服器傳送該智能卡驗證碼,其中該智能卡驗證碼已被加密;以及 當該智能卡驗證碼被解密碼後的內容,與一預先儲存之隨機號碼相同時,在該伺服器接收一成功認證。
- 如申請專利範圍第1項所述之結合無線以及智能卡登錄認證的方法,更包括:在該伺服器接收用於一控制台對話(console session)的複數登錄憑證;在該伺服器對該等登錄憑證進行認證;以及從該伺服器傳送該智能卡驗證碼,其中該智能卡驗證碼已被加密。
- 如申請專利範圍第5項所述之結合無線以及智能卡登錄認證的方法,更包括:在一第二伺服器接收用於一第二控制台對話的該等登錄憑證;在該第二伺服器對該等登錄憑證進行認證;以及在該第二伺服器接收被加密的該智能卡驗證碼。
- 如申請專利範圍第1項所述之結合無線以及智能卡登錄認證的方法,更包括:接收複數登錄憑證;對該等登錄憑證進行認證;傳送該智能卡驗證碼;以及啟用智能卡授權。
- 一種用於結合無線以及智能卡登錄認證的伺服器,包括:一處理器;以及 一記憶體,耦接該處理器以儲存複數指令;其中,當該等指令被該處理器執行時,致使該處理器執行複數操作,該等操作包括:驗證一智能卡以產生一憑證;基於該憑證與一遠程裝置建立一無線連結;接收一智能卡驗證碼;驗證該智能卡驗證碼以產生一認證;以及基於該認證,授權該遠程裝置存取該伺服器之一基板管理控制器;其中,該遠程裝置不包括該智能卡。
- 一種非暫態電腦可讀媒體,包括複數指令,當該等指令被一伺服器之一處理器執行時,致使該處理器執行複數操作,該等操作包括:驗證一智能卡以產生一憑證;基於該憑證與一遠程裝置建立一無線連結;接收一智能卡驗證碼;驗證該智能卡驗證碼以產生一認證;以及基於該認證,授權該遠程裝置存取該伺服器之一基板管理控制器;其中,該遠程裝置不包括該智能卡。
- 如申請專利範圍第9項所述之非暫態電腦可讀媒體,更包括第二複數指令,當上述第二複數指令被該處理器執行時,致使該處理器執行第二複數操作,上述第二複數操作包括: 啟用智能卡授權;驗證該智能卡以產生該憑證;以及基於該憑證,發送一隨機號碼。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/978,053 US10433168B2 (en) | 2015-12-22 | 2015-12-22 | Method and system for combination wireless and smartcard authorization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201723912A TW201723912A (zh) | 2017-07-01 |
| TWI596497B true TWI596497B (zh) | 2017-08-21 |
Family
ID=59066964
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105108763A TWI596497B (zh) | 2015-12-22 | 2016-03-22 | 結合無線以及智能卡登錄認證的方法與伺服器,以及非暫態電腦可讀媒體 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10433168B2 (zh) |
| CN (1) | CN106911657B (zh) |
| TW (1) | TWI596497B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10956143B2 (en) * | 2017-12-06 | 2021-03-23 | Hewlett Packard Enterprise Development Lp | Server updates |
| TWI649981B (zh) * | 2018-01-19 | 2019-02-01 | 致伸科技股份有限公司 | 無線通訊裝置及其通訊配對的方法 |
| CN110072218A (zh) * | 2018-01-23 | 2019-07-30 | 致伸科技股份有限公司 | 无线通信装置及其通信配对的方法 |
| CN108768730B (zh) * | 2018-05-31 | 2022-05-31 | 北京百度网讯科技有限公司 | 用于操作智能网卡的方法和装置 |
| CN109413648B (zh) * | 2018-10-26 | 2022-03-25 | 国民技术股份有限公司 | 访问控制方法、终端、智能卡、后台服务器及存储介质 |
| US20220350765A1 (en) * | 2021-04-29 | 2022-11-03 | Dell Products L.P. | Systems and methods for smart network interface card-initiated server management |
| US11809364B2 (en) * | 2021-06-25 | 2023-11-07 | Quanta Computer Inc. | Method and system for firmware for adaptable baseboard management controller |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI326183B (zh) * | 2006-09-12 | 2010-06-11 | ||
| US20110282789A1 (en) * | 2009-01-28 | 2011-11-17 | Valid-soft (UK) Limited | Card false-positive prevention |
| TWI394478B (zh) * | 2008-02-28 | 2013-04-21 | Simo Holdings Inc | 移動設備漫遊方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2651347A1 (fr) * | 1989-08-22 | 1991-03-01 | Trt Telecom Radio Electr | Procede de generation de nombre unique pour carte a microcircuit et application a la cooperation de la carte avec un systeme hote. |
| US7024695B1 (en) * | 1999-12-30 | 2006-04-04 | Intel Corporation | Method and apparatus for secure remote system management |
| US7082614B2 (en) * | 2001-03-08 | 2006-07-25 | Sun Microsystems, Inc. | System for identification of smart cards |
| US6896469B2 (en) * | 2002-07-08 | 2005-05-24 | Spx Dock Products, Inc. | Apparatus and method for hydraulically controlling a vehicle restraint |
| JP2004072214A (ja) * | 2002-08-02 | 2004-03-04 | Sharp Corp | 電子印鑑、icカード、本人認証システムおよび携帯機器 |
| EP1752937A1 (en) * | 2005-07-29 | 2007-02-14 | Research In Motion Limited | System and method for encrypted smart card PIN entry |
| US8245292B2 (en) * | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
| JP2007156587A (ja) * | 2005-12-01 | 2007-06-21 | Hitachi Ltd | 電源制御方法およびこれを実現するシステム |
| US8166539B2 (en) * | 2006-02-24 | 2012-04-24 | Dell Products L.P. | Authentication of baseboard management controller users in a blade server system |
| WO2009041804A2 (en) * | 2007-09-26 | 2009-04-02 | Mimos Berhad | Secure instant messaging |
| US8621191B2 (en) * | 2007-12-26 | 2013-12-31 | Nokia Corporation | Methods, apparatuses, and computer program products for providing a secure predefined boot sequence |
| EP2187592A1 (en) * | 2008-11-13 | 2010-05-19 | Vodafone Holding GmbH | Machine-to machine device and smartcard for use in the device |
| CN101494542A (zh) * | 2009-02-13 | 2009-07-29 | 四川长虹电器股份有限公司 | 在多媒体装置和智能卡之间进行认证的方法 |
| CN102349061B (zh) * | 2009-03-12 | 2014-04-16 | 惠普开发有限公司 | 用于对用户进行认证的方法和系统 |
| JP4977181B2 (ja) * | 2009-08-10 | 2012-07-18 | 株式会社東芝 | 固体撮像装置およびその製造方法 |
| US9210140B2 (en) * | 2009-08-19 | 2015-12-08 | Solarflare Communications, Inc. | Remote functionality selection |
| KR20110114806A (ko) * | 2010-04-14 | 2011-10-20 | 한국전자통신연구원 | 다중 센서를 포함하는 스마트카드 제어 장치 및 방법 |
| CN102448074A (zh) * | 2010-09-30 | 2012-05-09 | 国际商业机器公司 | 一种服务器管理的方法和系统 |
| US20120254878A1 (en) * | 2011-04-01 | 2012-10-04 | Lama Nachman | Mechanism for outsourcing context-aware application-related functionalities to a sensor hub |
| CN103347018A (zh) * | 2013-07-02 | 2013-10-09 | 山东科技大学 | 一种基于智能卡的多服务环境下远程身份认证方法 |
| CN103338202B (zh) * | 2013-07-02 | 2016-10-26 | 山东科技大学 | 一种基于智能卡的远程用户密码双重验证方法 |
| US9749860B2 (en) * | 2015-09-11 | 2017-08-29 | Lenovo Enterprise Solutions (Singapore) Pte, Ltd. | Peer-to-peer wireless connection between server computing device and mobile client computing device for authentication and server management |
-
2015
- 2015-12-22 US US14/978,053 patent/US10433168B2/en active Active
-
2016
- 2016-03-22 TW TW105108763A patent/TWI596497B/zh active
- 2016-04-14 CN CN201610235194.2A patent/CN106911657B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI326183B (zh) * | 2006-09-12 | 2010-06-11 | ||
| TWI394478B (zh) * | 2008-02-28 | 2013-04-21 | Simo Holdings Inc | 移動設備漫遊方法 |
| US20110282789A1 (en) * | 2009-01-28 | 2011-11-17 | Valid-soft (UK) Limited | Card false-positive prevention |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106911657B (zh) | 2019-12-10 |
| US10433168B2 (en) | 2019-10-01 |
| US20170180987A1 (en) | 2017-06-22 |
| CN106911657A (zh) | 2017-06-30 |
| TW201723912A (zh) | 2017-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI596497B (zh) | 結合無線以及智能卡登錄認證的方法與伺服器,以及非暫態電腦可讀媒體 | |
| KR102328725B1 (ko) | 하나의 장치를 이용하여 다른 장치를 언로크하는 방법 | |
| US10547605B2 (en) | Communication device, communication method, communication system, and non-transitory computer readable medium | |
| JP6188943B2 (ja) | デバイスをユーザ・アカウントにリンクするシステム及び方法 | |
| CN110100247A (zh) | 用于无线iot系统的强认证和易用性的嵌入式证书方法 | |
| JP6609788B1 (ja) | 情報通信機器、情報通信機器用認証プログラム及び認証方法 | |
| KR101690989B1 (ko) | Fido 인증모듈을 이용한 전자서명 방법 | |
| US20130298211A1 (en) | Authentication token | |
| CN109218025B (zh) | 方法、安全装置和安全系统 | |
| WO2015127406A1 (en) | Universal authenticator across web and mobile | |
| WO2021111824A1 (ja) | 電子署名システム及び耐タンパ装置 | |
| WO2018187960A1 (zh) | 一种 Root 权限管控的方法及系统 | |
| US20160127346A1 (en) | Multi-factor authentication | |
| US20170366529A1 (en) | Method and apparatus of implementing a vpn tunnel | |
| KR101206854B1 (ko) | 고유식별자 기반 인증시스템 및 방법 | |
| TWI675579B (zh) | 網路身份驗證系統與方法 | |
| KR101650107B1 (ko) | 지문 인증장치를 이용한 홈페이지 로그인 또는 금융 거래 시스템 및 이를 이용한 홈페이지 로그인 및 금융 거래 방법 | |
| TW201533605A (zh) | 整合式智慧卡unix認證管理系統與方法 | |
| KR20120107175A (ko) | 이미지 기반 인증시스템 및 방법 | |
| KR20080013837A (ko) | 웹서버 상호 인증을 위한 스마트카드 및 리더기 | |
| TWI633231B (zh) | Smart lock and smart lock control method | |
| TW201411404A (zh) | 程式保護系統及其程式保護鎖 | |
| KR101206852B1 (ko) | 이미지 기반 인증시스템 및 방법 | |
| JP2011028767A (ja) | セキュリティシステム、ネットワークアクセス方法及びセキュリティ処理実行許可方法 |