TWI606363B - Key share system and method - Google Patents
Key share system and method Download PDFInfo
- Publication number
- TWI606363B TWI606363B TW105136077A TW105136077A TWI606363B TW I606363 B TWI606363 B TW I606363B TW 105136077 A TW105136077 A TW 105136077A TW 105136077 A TW105136077 A TW 105136077A TW I606363 B TWI606363 B TW I606363B
- Authority
- TW
- Taiwan
- Prior art keywords
- key
- resource
- access
- keys
- distribution
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 36
- 238000009826 distribution Methods 0.000 claims description 39
- 238000013475 authorization Methods 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 4
- 238000003860 storage Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- VJBCNMFKFZIXHC-UHFFFAOYSA-N azanium;2-(4-methyl-5-oxo-4-propan-2-yl-1h-imidazol-2-yl)quinoline-3-carboxylate Chemical compound N.N1C(=O)C(C(C)C)(C)N=C1C1=NC2=CC=CC=C2C=C1C(O)=O VJBCNMFKFZIXHC-UHFFFAOYSA-N 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000010420 art technique Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Landscapes
- Mobile Radio Communication Systems (AREA)
- Storage Device Security (AREA)
Description
本發明係關於一種金鑰分持系統及其方法,特別是關於一種可降低重要資源遭到非法入侵或使用之風險的金鑰分持系統及其方法。
目前,越來越多的重要檔案或資料皆以電子形式儲存於各種電子設備,這些電子設備或是重要的中控主機即為各個公司或集團所需嚴加管控之重要資源,傳統上管控這些重要資源的方式是以管理者的帳號密碼進行登入,但隨著網路越來越發達、資訊流通更加便利,許多不肖人士透過各種手法破解帳號密碼或登入資訊,以非法獲得重要資源的使用權,用作不法用途。
如習知技術之一,提出將認證資訊以金鑰分享、一次碼或三向交握等方式搭載於隨身物品,並由一本機管控受保護之其他裝置,本機認證時需兩個以上之隨身物品同時通過認證方可使用受保護之電子設備。惟此技術中,並未保證隨身物品之安全性,倘若隨身物品遺失或遭竊,重要資源仍有遭到盜用之風險。並且此技術限制隨身物品需在本機一定範圍內方可進行認證。
又如習知技術之一,提出裝置間進行金鑰分持之技術與系統,以一主要行動裝置與中央伺服器溝通後,對次要裝置進行金鑰分持以進行資源存取限制。惟此技術中,僅限制主要裝置是否能複製分持金鑰予次要裝置,但單獨持有任一分持金鑰之主要或次要裝置均可獨立解除鎖定而存取受管控之資源,具有遭到盜用之風險而安全性不足。
有鑑於上述習知技藝之問題,本發明之目的就是在提供一種對重要資源提供更佳安全性及可管控性之金鑰分持系統及其方法。
本發明之金鑰分持系統包含資源存取裝置以及一資源管控裝置;資源存取裝置接受行動裝置之請求存取受管控之資源;資源管控裝置連接資源存取裝置,並根據受管控之資源產生存取權杖,再根據存取權杖產生原始金鑰,後根據原始金鑰產生多個分持金鑰,並儲存分持金鑰至該些行動裝置中。
本發明之金鑰分持方法包含下列步驟:根據受管控之資源產生存取權杖;根據存取權杖產生原始金鑰;根據原始金鑰產生多個分持金鑰;以及儲存分持金鑰於多個行動裝置中。
承上所述,依本發明之金鑰分持系統及其方法,其可具有一或多個下述優點:
1.將原始金鑰以金鑰分持之方式儲存於數個行動裝置,並由不同使用者所持有,加強受管控資源之存取安全性。
2.行動裝置將透過生物特徵識別、PIN碼、手勢圖形碼等方式有效確認持有
分持金鑰者為本人,降低分持金鑰遭到盜用之風險。
3.唯有大於門檻值數量之使用者同時提供分持金鑰方可成功還原為原始金鑰,且以該原始金鑰解密重要資源之存取權杖方可存取重要資源,提升重要資源之可管控性。
4.可使用網路通訊方式進行分持金鑰之傳送及重要資源之存取與管控,擺脫傳統金鑰分持系統之距離限制,提升系統之便利性。
110‧‧‧行動裝置
111‧‧‧分持金鑰控制元件
112‧‧‧分持金鑰
120‧‧‧資源存取裝置
130‧‧‧資源管控裝置
131‧‧‧金鑰管理元件
132‧‧‧授權元件
133‧‧‧權杖資料庫
140‧‧‧受管控之資源
200‧‧‧受管控之資源
210‧‧‧資源管控裝置
211‧‧‧金鑰管理元件
212‧‧‧授權元件
213‧‧‧權杖資料庫
220‧‧‧行動裝置
221‧‧‧分持金鑰控制元件
222‧‧‧分持金鑰
S301~S313‧‧‧步驟流程
S401~S407‧‧‧步驟流程
圖1係為本發明之金鑰分持系統之系統架構示意圖。
圖2係為本發明之金鑰分持系統之金鑰分持示意圖。
圖3係為本發明之金鑰分持方法之流程圖。
圖4係為本發明之金鑰分持方法之另一流程圖。
本發明提供一種以行動裝置作為金鑰分持之系統及其方法,其主要目的在於設計一種對重要資源(如:中控主機、機密文件…等)之管控系統及方法,提供更高之安全性及可管控性,藉此降低重要資源遭到非法入侵或使用之風險。
本發明所提出之系統及其方法至少包含以下步驟:步驟一,將欲管控之重要資源產出存取權杖,並將其加密後保存於資源管控裝置內之授權元件之權杖資料庫;步驟二,金鑰管理元件將加密存取權杖所用之對應原始金鑰以金鑰分持演算法進行分割為數個分持金鑰,並且將分持金
鑰分別儲存於數個重要人士所擁有之行動裝置;步驟三,欲使用受保護之重要資源時,需徵求門檻值數量以上之重要人士所同意,並透過行動裝置之分持金鑰控制元件認證使用者身分後出示其分持金鑰,經由網路傳送至資源管控裝置內之金鑰管理元件進行還原;步驟四,將還原後之原始金鑰傳送至授權元件與其存有之權杖資料庫內之加密存取權杖進行比對解密;步驟五,成功解密後以該存取權杖取得對應重要資源之存取權限,並透過資源存取裝置存取使用該重要資源。
在此一系統架構下,以行動裝置作為分持金鑰之載具,且行動裝置需先認證使用者之身分才允許存取分持金鑰,且可透過網路傳送分持金鑰至資源管控裝置進行還原,相較於傳統金鑰分持之系統可提升便利性與安全性。並且透過金鑰分持之方法搭配行動裝置之分持金鑰控制元件,以及原始金鑰還原所需之門檻值數量限制,將提升對被管控資源之管控性。最後,藉由存取權杖所管控之重要資源,除非同時有大於門檻值數量之分持金鑰遭到盜取,否則可保證其安全無虞,即使有對外連通之資源管控裝置遭到非法入侵,入侵者亦因無法取得解密存取權杖所需之原始金鑰,而無法存取重要資源,相比於習用重要資源保護系統僅以帳號密碼管控存取重要資源之方式,本發明大幅提升系統之安全性。
可達成上述發明目的之一種以行動裝置作為金鑰分持之系統及其方法,係包含數具分持金鑰控制元件,其搭載於行動裝置,用以儲存及管理分持金鑰;一具資源管控裝置,負責與行動裝置中之分持金鑰控制元件及資源存取裝置進行通訊,以及管控重要資源;及至少一具資源存取裝置,用以在得到授權後存取、顯示、控制受管控之資源。
上述之分持金鑰控制元件,更進一步包含分持金鑰,取用分持金鑰時分持金鑰控制元件將對使用者進行身分認證,認證方式可包含生物特徵辨識、PIN碼辨識、手勢圖形碼或前述各項之組合,但不限於此。
上述之資源管控裝置,更進一步包含一金鑰管理元件及一授權元件。其中金鑰管理元件用以拆分及還原原始金鑰;授權元件內包含權杖資料庫,其保存有受管控資源之對應加密後存取權杖,授權元件負責以原始金鑰解密取得該對應資源之存取權杖,並且以該存取權杖取得存取受管控資源之權限。
上述之資源存取裝置,為使用者可操作之裝置,並具備與資源管控裝置連線之能力,接收與發送使用者對受管控之資源之存取請求,並可透過資源管控裝置遠端存取受管控之資源。
<實施例>
本發明之較佳實施例技術操作示意圖,請參閱圖1及圖2,圖1為本發明一種以行動裝置作為金鑰分持之系統及其方法之系統架構圖。此一系統架構係行動裝置110之使用者攜帶其行動裝置110至資源存取裝置120,欲透過資源存取裝置120存取受管控之資源140。資源管控裝置130將確認此資源之取用限制:如分持金鑰112數量與門檻值,向持有分持金鑰112之行動裝置(可為複數數量)110送出分持金鑰112集中請求。如集中之分持金鑰112有達門檻值則嘗試進行原始金鑰還原;若數量不足則拒絕授權本次使用者對受管控之資源140之存取行為。
各使用者持有之行動裝置110均持有一分持金鑰112。資源管控裝置130將受管控之資源140之識別碼與其他可識別之資訊,透過各
使用者分別持有之行動裝置110提示此資源將被存取,同意此項存取行為者,則需進行分持金鑰集中請求。各使用者持有之分持金鑰112均受分持金鑰控制元件111保護,欲提取分持金鑰112須先進行身分認證程序,以證明使用者為分持金鑰112之合法使用者。分持金鑰控制元件111要求各使用者進行身分認證程序,以可供識別使用者之資訊而完成身分認證後,取出分持金鑰112傳送至金鑰管理元件131;若身分認證程序失敗,則不提供分持金鑰112。
金鑰管理元件131需蒐集一定數量的分持金鑰112以進行原始金鑰還原。一旦確認蒐集之分持金鑰112數量達門檻值,即進行原始金鑰還原動作,產出一原始金鑰。向授權元件132提出存取權杖存取請求;若未達門檻值,則繼續等待一可調整之時間,若時間期限內分持金鑰112數量仍未達門檻值,則透過資源存取裝置120告知使用者無法存取受管控之資源140。授權元件132以受管控之資源140之識別碼向權杖資料庫133查詢加密後存取權杖,如原始金鑰可將加密後存取權杖成功解密,則由授權元件132使用存取權杖提取受管控之資源140,使用者可於資源存取裝置120中使用受管控之資源140,如檢閱具機密性質之檔案文件或存取受保護之重要系統等;若原始金鑰無法將加密後存取權杖解密,則拒絕提供受管控之資源140。
圖2為本系統之金鑰分持示意圖。受管控之資源200由資源管控裝置210進行管控設定,授權元件212對受管控之資源200產生識別碼及存取權杖,並設定分持金鑰數量與存取門檻值;同時呼叫金鑰管理元件211進行原始金鑰產製請求,獲得之原始金鑰將對存取權杖進行加密,
並將加密後存取權杖保存至權杖資料庫213。金鑰管理元件產生原始金鑰後,將對原始金鑰進行金鑰分持運算,依照授權元件212對受管控之資源200設定之分持金鑰數量與門檻值,產生對應之分持金鑰222,並發送至各行動裝置220,分持金鑰控制元件則將分持金鑰222保存在內部儲存空間中。
圖3為本發明之方法流程圖,為一存取受管控資源操作流程圖。流程開始於步驟S301,使用者操作資源存取裝置,發送包含受管控之資源之識別碼之存取請求。步驟S302資源管控裝置獲得此識別碼後,對各使用者之行動裝置發送分持金鑰集中請求。各行動裝置收到請求後,須先對使用者要求身分識別如步驟S303,步驟S304須以PIN碼或生物特徵等可供識別本人之資訊進行身分認證,成功則允許使用者取出分持金鑰如步驟S306;若無法完成身分識別,則拒絕使用者存取此分持金鑰。提取分持金鑰後進行步驟S307,行動裝置將分持金鑰送出至資源管控裝置,由金鑰管理元件檢查分持金鑰數量是否符合要求如步驟S308,如達門檻值則進行原始金鑰還原產生原始金鑰如步驟S309;若未達門檻值則拒絕使用者存取。步驟S310,金鑰管理元件將以原始金鑰對權杖資料庫中的加密後存取權杖進行解密,並交由授權元件判斷解密是否成功如步驟S311。若解密成功則進行步驟S312,資源管控裝置使用存取權杖操作受管控之資源後,並向資源存取裝置提供此資源如步驟S313。使用者即可透過資源存取裝置存取此資源;若解密失敗則,拒絕使用者存取受管控之資源。
圖4為本發明之方法流程圖,為一分持金鑰產製與發布流程圖。流程開始於對受管控之資源設定存取限制如步驟S401,要求授權元件產生相對應的存取權杖如步驟S403,並同時於金鑰管理元件產生原始金鑰
於步驟S402。將原始金鑰提供至授權元件對存取權杖進行加密產生加密後存取權杖如步驟S404,並將此加密後存取權杖儲存於權杖資料庫之中如步驟S405。步驟S402產生之原始金鑰,於步驟S406進行分持金鑰運算,並於步驟S407中發布至各行動裝置,完成分持金鑰產製與發布之流程。
綜上所述,本發明之金鑰分持系統及其方法可應用於各種公開或私人之商業與非商業機密重要資源管控,藉由將分持金鑰授與數位重要人士持有,達到更高的管控性。藉由分持金鑰控制元件之身分認證以及金鑰還原重組數量門檻,有效降低金鑰遭到竊取或冒用之風險,以達到更高的安全性;另外藉由加入搭載於行動裝置上的分持金鑰控制元件與資源管控裝置之間之網路通訊機制,擺脫傳統金鑰分持系統之距離限制,提升系統之便利性。
以上所述僅為舉例性,而非為限制性者。任何未脫離本發明之精神與範疇,而對其進行之等效修改或變更,均應包含於後附之申請專利範圍中。
S301~S313‧‧‧步驟流程
Claims (10)
- 一種金鑰分持系統,包含:一資源存取裝置,接受複數個行動裝置之請求存取一受管控之資源;一資源管控裝置,連接該資源存取裝置,並根據該受管控之資源產生一存取權杖,再根據該存取權杖產生一原始金鑰,後根據該原始金鑰產生複數個分持金鑰,並儲存該些分持金鑰至該些行動裝置中;以及一金鑰管理元件,產生該原始金鑰及該分持金鑰,該金鑰管理元件根據使用網路通訊方式所接收到的該些收到之分持金鑰產生該原始金鑰。
- 如申請專利範圍第1項所述之金鑰分持系統,其中該資源管控裝置更包含:一授權元件,儲存儲存權杖於一權杖資料庫中。
- 如申請專利範圍第2項所述之金鑰分持系統,其中該複數個行動裝置更分別包含一分持金鑰控制元件,且該些分持金鑰控制元件更根據由該資源存取裝置所發送之一分持金鑰集中請求進行一身分認證步驟,若該身分認證步驟認證通過,則提供該些分持金鑰至該資源管控裝置。
- 如申請專利範圍第3項所述之金鑰分持系統,其中該金鑰管理元件更根據收到的該些分持金鑰判斷該些分持金鑰之數量是否不小於一門檻值,若該些分持金鑰之數量不小於該門檻值,則該金鑰管理元件根據該些收到之分持金鑰產生該原始金鑰。
- 如申請專利範圍第4項所述之金鑰分持系統,其中該授權元件更根據該原始金鑰對該存取權杖解密,且該資源管控裝置更根據該存取權杖存取該受管控之資源,並提供給該資源存取裝置。
- 一種金鑰分持方法,包含: 根據一受管控之資源產生一存取權杖;根據該存取權杖產生一原始金鑰;根據該原始金鑰產生複數個分持金鑰;儲存該些分持金鑰於複數個行動裝置中;以及根據使用網路通訊方式所接收到的該些分持金鑰產生該原始金鑰。
- 如申請專利範圍第6項所述之金鑰分持方法,更包含下列步驟:發送一分持金鑰集中請求至各該行動裝置;以及各該行動裝置根據該分持金鑰集中請求進行一身分認證步驟。
- 如申請專利範圍第7項所述之金鑰分持方法,更包含下列步驟:若該身分認證步驟認證通過,則提供該些分持金鑰;若該身分認證步驟認證不通過,則不提供該些分持金鑰;以及判斷該些分持金鑰的數量是否不小於一門檻值。
- 如申請專利範圍第8項所述之金鑰分持方法,更包含下列步驟:若該些分持金鑰的數量不小於一門檻值,則根據該些分持金鑰產生該原始金鑰;若該些分持金鑰的數量非不小於該門檻值,則不產生該原始金鑰;以及根據該原始金鑰對該存取權杖解密。
- 如申請專利範圍第9項所述之金鑰分持方法,更包含下列步驟:根據解密後之該存取權杖存取該受管控之資源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105136077A TWI606363B (zh) | 2016-11-07 | 2016-11-07 | Key share system and method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW105136077A TWI606363B (zh) | 2016-11-07 | 2016-11-07 | Key share system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI606363B true TWI606363B (zh) | 2017-11-21 |
| TW201818288A TW201818288A (zh) | 2018-05-16 |
Family
ID=61023481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW105136077A TWI606363B (zh) | 2016-11-07 | 2016-11-07 | Key share system and method |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI606363B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI742670B (zh) * | 2020-05-19 | 2021-10-11 | 中華電信股份有限公司 | 用於區塊鏈金鑰保管與交易監理的終端設備、伺服器與方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW501013B (en) * | 2001-03-14 | 2002-09-01 | Chunghwa Telecom Co Ltd | High-speed security device |
| TWI280025B (en) * | 2005-01-24 | 2007-04-21 | Chunghwa Telecom Co Ltd | File encryption system having key recovery function and its method thereof |
| TWI430643B (zh) * | 2010-10-06 | 2014-03-11 | Chunghwa Telecom Co Ltd | Secure key recovery system and method |
| TWI476629B (zh) * | 2012-12-26 | 2015-03-11 | Chunghwa Telecom Co Ltd | Data security and security systems and methods |
| TWI516083B (zh) * | 2008-12-19 | 2016-01-01 | Chunghwa Telecom Co Ltd | Mobile phone as a mobile card reader trading system and methods |
-
2016
- 2016-11-07 TW TW105136077A patent/TWI606363B/zh not_active IP Right Cessation
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW501013B (en) * | 2001-03-14 | 2002-09-01 | Chunghwa Telecom Co Ltd | High-speed security device |
| TWI280025B (en) * | 2005-01-24 | 2007-04-21 | Chunghwa Telecom Co Ltd | File encryption system having key recovery function and its method thereof |
| TWI516083B (zh) * | 2008-12-19 | 2016-01-01 | Chunghwa Telecom Co Ltd | Mobile phone as a mobile card reader trading system and methods |
| TWI430643B (zh) * | 2010-10-06 | 2014-03-11 | Chunghwa Telecom Co Ltd | Secure key recovery system and method |
| TWI476629B (zh) * | 2012-12-26 | 2015-03-11 | Chunghwa Telecom Co Ltd | Data security and security systems and methods |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI742670B (zh) * | 2020-05-19 | 2021-10-11 | 中華電信股份有限公司 | 用於區塊鏈金鑰保管與交易監理的終端設備、伺服器與方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201818288A (zh) | 2018-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109410406B (zh) | 一种授权方法、装置和系统 | |
| CN106888084B (zh) | 一种量子堡垒机系统及其认证方法 | |
| CN106537403B (zh) | 用于从多个装置访问数据的系统 | |
| US7185194B2 (en) | System and method for distributed group management | |
| JP5619019B2 (ja) | 認証のための方法、システム、およびコンピュータ・プログラム(1次認証済み通信チャネルによる2次通信チャネルのトークンベースのクライアント・サーバ認証) | |
| EP2813961B1 (en) | Biometric verification with improved privacy and network performance in client-server networks | |
| EP1866873B1 (en) | Method, system, personal security device and computer program product for cryptographically secured biometric authentication | |
| CN104798083B (zh) | 用于验证访问请求的方法和系统 | |
| CN109448197A (zh) | 一种基于多重加密模式的云智能锁系统及密钥管理方法 | |
| CN203746071U (zh) | 一种基于加密硬盘的安全计算机 | |
| JP2014527374A (ja) | 身分認証装置及びその方法 | |
| CN103886234A (zh) | 一种基于加密硬盘的安全计算机及其数据安全控制方法 | |
| CN103561034A (zh) | 一种安全文件共享系统 | |
| CN106789024B (zh) | 一种远程解锁方法、装置和系统 | |
| CN109145562A (zh) | 一种通过指纹鼠标的持续认证身份方法及其设备 | |
| CN202455386U (zh) | 一种用于云存储的安全系统 | |
| CN111954211B (zh) | 一种移动终端新型认证密钥协商系统 | |
| JPH05333775A (ja) | ユーザ認証システム | |
| EP1036372A1 (en) | A remotely accessible private space using a fingerprint | |
| US10148433B1 (en) | Private key/public key resource protection scheme | |
| WO2022042745A1 (zh) | 一种密钥管理方法及装置 | |
| TWI606363B (zh) | Key share system and method | |
| US20090327704A1 (en) | Strong authentication to a network | |
| CN108345801B (zh) | 一种面向密文数据库的中间件动态用户认证方法及系统 | |
| JP2020120404A5 (zh) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |