TWI632508B - Multi-card integrated chip card application sharing authentication method - Google Patents
Multi-card integrated chip card application sharing authentication method Download PDFInfo
- Publication number
- TWI632508B TWI632508B TW106125679A TW106125679A TWI632508B TW I632508 B TWI632508 B TW I632508B TW 106125679 A TW106125679 A TW 106125679A TW 106125679 A TW106125679 A TW 106125679A TW I632508 B TWI632508 B TW I632508B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- sharing
- application
- authentication information
- card
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本發明是利用JAVA卡(JAVA Card)提供的共享介面(Sharable Interface)機制,在晶片卡內提供有一認證共享程式(Applet),該認證共享程式實作密碼函式,並提供認證資訊的儲存以透過該共享介面以供該晶片卡內的其它應用程式使用。在多卡合一的晶片卡應用上,其它的應用程式可透過共享介面來取得該密碼函式的服務,以及設定或讀取認證資訊,避免在各應用程式切換間,多次要求持卡者進行多餘的認證,藉由本發明所完成的該密碼函式服務的集中提供,以及全域式認證資訊的概念,讓該晶片卡內的各應用程式對於密碼函式的需求不需完全仰賴平台(Platform),並且對於多卡合一的應用程式切換,能夠避免重複的認證動作。
Description
本發明屬於晶片卡應用領域,特別指建立一個認證共享程式,不需複雜的流程即可達到共享認證的機制,以提供對於多卡合一的晶片卡應用程式共享認證方法。
對於晶片卡應用產品的推出時,有時會面對到新的安全規範套用而必須進行新晶片的搜尋,可能造成需要重新開發晶片卡上的程式(Applet)或者等待廠商完成新規範的認證。而且,隨著技術的提高,未來的產品將可能在晶片卡上載入多個程式,而各個程式間的認證機制可能相同並且使用相同的認證資訊。因此,若各程式都要維持一份認證狀態,那麼持卡人可能在切換程式之間感到交易過程頻繁進行認證。基於上述理由,對於未來晶片卡應用產品的推出,最好能在某種程度上避免掉晶片的重新搜尋以及改善使用者經驗。
習知專利US20040088562提供一種「智慧卡認證框架」(Authentication frarnework for smart cards),該習知專利介紹在晶片卡內設置有CAA(卡片應用程式)、APA(認證方針Applet)及ATA(認證技術Applet)。該習知專利在ATA中只包含用於認證使用的演算法,而且在與終端程式的
交易過程較為複雜(終端程式在交易過程需與CAA、APA及ATA進行指令交換),所以操作上甚為困難,不易普及。
另一習知專利EP1431862提供「安全認證的統一框架」(Uniform framework for security tokens),該專利是希望能夠解決晶片卡內程式重新下載後,能夠無需再重新進行初始化、個人化等動作,故而利用共享介面(Sharable Interface)方式將各個程式內的各種資訊全數轉存於另一個共同的程式。當各程式有機會被重新下載後,即可保證先前的資訊不需被重新由外界輸入。不過該習知專利無法在不更動晶片卡內程式之架構下提供一個各程式可存取的共同認證機制,無法提供多卡合一的晶片卡應用程式共享認證方法
由此觀之,習知技術仍然存有缺失當未解決,而亟待業界加以改進。
本案發明人基於在業界多年的實務經驗,經由集思廣益與對未來需求的展望,經由長期的研發與實作,終於能完成本件多卡合一的晶片卡應用程式共享認證方法。
本發明的主要目的在於提供一種多卡合一的晶片卡應用程式共享認證方法,其建立一個認證共享程式(Applet),提供其它應用程式密碼函式的服務,並且儲存各應用程式皆能存取之共同認證資訊,對於多卡合一應用,可避免重複的相同認證程序。
本發明的另一目的在於提供一種多卡合一的晶片卡應用程
式共享認證方法,其透過共享介面機制,讓認證共享程式能提供密碼函式給其它應用程式使用。
發明的再一目的在於提供一種多卡合一的晶片卡應用程式共享認證方法,其透過共享介面機制,透過雙向存取的開放,讓其它應用程式能夠存取共同認證資訊的狀態,而認證共享程式也能夠主動更新各應用程式所保存之共同認證資訊現有狀態。
發明的下一目的在於提供一種多卡合一的晶片卡應用程式共享認證方法,其操作時不會影響各應用程式保有自己私有的認證資訊、金鑰等,可以得到更為彈性的使用。
可達成前述目的的本案架構,是利用JAVA卡提供之共享介面功能,透過建立一個認證共享程式來提供晶片卡內部其它各應用程式的1)密碼函式的共享;以及2)共享認證的機制。
現行晶片卡安全規範(如FIPS、CC)的要求愈來愈嚴格,若所要求的密碼演算法無法由所在的平台(Platform)提供,則透過密碼函式的共享機制建立一個含密碼函式的認證共享程式,以避免各應用程式的開發商需要額外花費開發成本於密碼學的鑽研。
另外,多卡合一在JAVA晶片卡上已普及,各應用程式可能會有共享認證結果的可能性,透過共享認證機制,各應用程式間若有透過共享介面來使用彼此功能時,則只需要透過共享認證機制,可免除頻繁不必要的重覆認證。
因此,本發明多卡合一的晶片卡應用程式共享認證方法,是在JAVA晶片卡中,建立一個認證共享程式,該認證共享程式除了提供一
個空間供共同認證資訊的儲存外,也提供密碼函式的服務,以上功效的達成,是透過JAVA卡平台所賦與之共享介面機制來達成。
在密碼函式的服務上,認證共享程式透過共享介面開放密碼函式供應用程式呼叫。在共同認證資訊的共享上,認證共享程式透過共享介面開放共同認證資訊的存取方式給應用程式,應用程式將儲存讀取到之共同認證資訊儲存為共同認證資訊複本,必要時也會將認證資訊狀態寫回認證共享程式。
另外,應用程式也透過共享介面開放存取方式供認證共享程式即時更新自己所儲存的共同認證資訊複本,以確保各應用程式在共同認證資訊的狀態維持一致性。應用程式也能夠不使用認證共享程式內的共同認證資訊,只使用自己本身定義之認證資訊。
711-716、721-722、731-733‧‧‧步驟
1‧‧‧應用程式
11‧‧‧共同認證資訊複本
111‧‧‧認證資訊種類及編號
112‧‧‧認證狀態
113‧‧‧認證資訊生命週期
114‧‧‧解鎖資訊種類及編號
15‧‧‧非揮發性記憶體
16‧‧‧揮發性記憶體
2‧‧‧認證共享程式
21‧‧‧共同認證資訊
211‧‧‧認證資訊種類及編號
212‧‧‧認證狀態
213‧‧‧認證資訊生命週期
214‧‧‧解鎖資訊種類及編號
215‧‧‧可存取之應用程式ID
216‧‧‧認證狀態
25‧‧‧非揮發性記憶體
26‧‧‧揮發性記憶體
22‧‧‧密碼函式
3‧‧‧JAVA卡平台
31‧‧‧共享介面
圖1為本發明的在JAVA晶片卡內之架構示意圖;圖2為本發明的認證共享程式之共同認證資訊示意圖;圖3為本發明的共同認證資訊複本示意圖;圖4為本發明的認證資訊生命週期之內容示意圖;圖5為本發明的詳細架構圖;圖6為本發明的應用程式透過共享介面呼叫認證共享程式的示意圖;圖7為本發明的應用程式進行共同認證資訊同步的流程圖;圖8為本發明的認證共享程式進行共同認證資訊同步的流程圖;以及
圖9為本發明的應用程式進行共同認證資訊認證的流程圖。
以下將描述具體之實施例以說明本發明之實施態樣,惟其並非用以限制本發明所欲保護之範疇。
請參閱圖1所示,本發明在JAVA晶片卡中,建立一個認證共享程式2,該認證共享程式2除了提供一個空間作為共同認證資訊21的儲存外,也提供密碼函式22的服務。
本發明功效的達成,是透過JAVA卡平台3所賦與之共享介面(Sharable Interface)31機制來成;在該密碼函式22的服務上,該認證共享程式2透過該共享介面31開放該密碼函式22供應用程式1呼叫;在該共同認證資訊21的共享上,該認證共享程式2透過該共享介面31開放該共同認證資訊21的存取方式給該應用程式1,該應用程式1將儲存讀取到之該共同認證資訊21儲存為共同認證資訊複本11,必要時也會將認證資訊狀態寫回該認證共享程式2。
另外,該應用程式1也透過該共享介面31開放存取方式供該認證共享程式2即時更新自己所儲存的該共同認證資訊複本11,以確保各應用程式1在該共同認證資訊複本11的狀態維持一致性;該應用程式1也能夠不使用該認證共享程式2內的該共同認證資訊21,只使用自己本身定義之認證資訊。
進一步根據圖1說明本發明之架構示意圖,係包括如下三個組件:
a)JAVA卡(JAVA Card)平台3
為多卡合一的晶片卡平台,該JAVA卡平台3讓安裝在晶片卡上之應用程式可使用該平台提供的服務,進而開發出更多的應用服務;該JAVA卡平台3亦提供該共享介面31機制,供不同應用程式之間相互使用開放的服務;
b)應用程式1
基於JAVA卡平台3而開發出的應用程式(Applet)1,提供持卡人多樣的應用服務,在使用共享認證機制時,於應用程式內維護所需的該共同認證資訊複本11;當該應用程式1被啟動時,應與該認證共享程式2同步該共同認證資訊21,此後參考自身所維護的該共同認證資訊複本11即可(該應用程式1必須透過該共享介面31開放該共同認證資訊複本11的存取給該認證共享程式2,該認證共享程式2會在該共同認證資訊21被其它該應用程式1變更時,自動透過該共享介面31更新該應用程式1內的該共同認證資訊複本11);
c)認證共享程式2
是在JAVA卡平台3上的一個程式,實作了該密碼函式22並且提供了該共同認證資訊21的儲存;透過該共享介面31機制,提供該密碼函式22及該共同認證資訊21的存取給該應用程式1;當該共同認證資訊21被變更時,該認證共享程式2會主動更新各個應用程式1內所存的該共同認證資訊複本11。
本發明在該共同認證資訊21的共享上,該認證共享程式2的管理者可進行該共同認證資訊21之變更,例如新增一筆認證資訊或者修
改認證資訊內容;該應用程式1的管理者可進行認證資訊種類及編號111的新增及修改用以指定要參考的該共同認證資訊21。
在該應用程式1進行該共同認證資訊21的同步上,當該應用程式1被啟動時,首先透過該共享介面31呼叫該認證共享程式2的API來要求讀取指定的該共同認證資訊21;若該認證共享程式2判斷該應用程式1可讀取指定之該共同認證資訊21,則回傳該指定該共同認證資訊21部份內容,否則回傳錯誤訊息。
在該認證共享程式2進行該共同認證資訊21的同步上,當該共同認證資訊21內容有異動,該認證共享程式2從該共同認證資訊21中取得各個可讀取該資訊的應用程式1,並透過該共享介面31呼叫該應用程式1的API來要求變更儲存在該應用程式1內之該共同認證資訊複本11。
請配合圖3所示,在該應用程式1進行該共同認證資訊21的驗證上,當該應用程式1取得持卡人之認證資訊需要進行認證時,該應用程式1首先依據所指定的該認證資訊種類及編號111來檢視相對應的該認證狀態112以確認持卡人是否已通過認證;若已通過認證,則應用程式1繼續提供服務;若尚未通過認證,該應用程式1透過該共享介面3呼叫該認證共享程式2的API來要求執行認證資訊的驗證(交付認證資訊供該認證共享程式2進行);若該認證共享程式2判斷該應用程式1可執行指定的該共同認證資訊21之驗證,則回傳該認證資訊的驗證結果,否則回傳錯誤訊息。
請參閱圖2所示是本發明一例中認證該共享程式2之該共同認證資訊21示意圖;該共同認證資訊21內含多筆用於認證使用之金鑰或
PIN碼,每一筆都是認證資訊種類及編號211、認證資訊內容212、認證資訊生命週期213、解鎖資訊種類及編號214、可存取之應用程式ID 215及認證狀態216所組成;其中除了該認證狀態216是儲存在揮發性記憶體26外,其餘皆儲存於非揮發性記憶體25;儲存在該揮發性記憶體26之內容,在晶片卡被重置後將被清除;該認證資訊種類及編號211用以記載認證資訊為何種金鑰或PIN碼以及編號;該認證資訊內容212為該認證資訊之金鑰值或PIN碼值;該認證資訊生命週期213則是記載該筆認證資訊是否存在、鎖定或正常以及次數的資訊;該解鎖資訊種類及編號214用以記載解鎖該認證資訊之金鑰種類及編號;該可存取之應用程式ID 215記載那些該應用程式1可存取該筆認證資訊;該認證狀態216則表示目前持卡人是否已通過該筆認證資訊;其中,該認證資訊種類及編號211是各筆認證資訊的唯一識別碼;儲存在該非揮發性記憶體25之內容,是在該認證共享程式2進行個人化或其它動作時被寫入或修改。
請參閱圖3所示是本發明一例中該應用程式1之該共同認證資訊複本11示意圖;該共同認證資訊複本11內含多筆用於認證使用之金鑰或PIN碼,每一筆都是認證資訊種類及編號111、認證狀態112、認證資訊生命週期113及解鎖資訊種類及編號114所組成;其中除了該認證資訊種類及編號111是儲存在非揮發性記憶體15,其餘皆儲存於揮發性記憶體16;儲存在該揮發性記憶體16之內容,在晶片卡被重置後將被清除;該認證資訊種類及編號111用以記載認證資訊為何種金鑰或PIN碼及編號,該內容是在該應用程式1進行個人化或其它動作時被寫入或修改;該認證狀態112則表示目前持卡人是否已通過該筆認證資訊;該認證資訊生命週期113則
是記載該筆認證資訊是否存在、鎖定或正常以及次數的資訊;該解鎖資訊種類及編號114用以記載解鎖該認證資訊之金鑰種類及編號;其中,該認證資訊種類及編號111是各筆認證資訊的唯一識別碼。
請參閱圖4所示是認證資訊生命週期113及213之內容,內容記載該筆認證資訊是否存在、鎖定或正常,以及認證失敗次數等資訊;當已達最多失敗次數,該認證共享程式2將修改該認證資訊生命週期213,並且透過該共享介面31更新在其它該應用程式1內的該認證資訊生命週期113。
請參閱圖5所示是本發明之詳細架構圖;該應用程式1透過該共享介面31開放該共同認證資訊複本11之存取權供該認證共享程式2修改該認證狀態112、該認證資訊生命週期113及該解鎖資訊種類及編號114;該認證共享程式2透過該共享介面31開放該共同認證資訊21之存取權供該應用程式1讀取該認證狀態212、該認證資訊生命週期213及該解鎖資訊種類及編號214,該開放認證資訊內容213比對供該應用程式1將自持卡人取得之認證資訊進行驗證。
請參閱圖6所示,在該密碼函式22的共享下,該應用程式1透過該共享介面31呼叫該認證共享程式2的密碼函式;該應用程式1將計算資訊傳送給該認證共享程式2,待該認證共享程式2計算完畢後的結果再傳回該應用程式1。
請參閱圖7所示是該應用程式1進行該共同認證資訊21同步的流程;在步驟711,當該應用程式1被啟動時,該應用程式1依據認證資訊種類及編號211透過該共享介面31向該認證共享程式2要求讀取相對
應的認證狀態216、該認證資訊生命週期213及該解鎖資訊種類及編號214;在步驟712,該認證共享程式2確認該應用程式1之ID是否存在於該可存取之應用程式ID 215列表中:在步驟713,若該認證共享程式2判定該應用程式1可讀取指定之該共同認證資訊21則回傳該認證狀態216、該認證資訊生命週期213及該解鎖資訊種類及編號214,否則回傳錯誤訊息;若該應用程式1成功收到資訊,則將它們儲成為該認證狀態112、該認證資訊生命週期113及該解鎖資訊種類及編號114供執行階段參考使用。
請參閱圖8所示是該認證共享程式2進行該共同認證資訊21同步的流程;在步驟721,當一筆該共同認證資訊21有被異動時,該認證共享程式2依據該筆該共同認證資訊21內之該可存取之應用程式ID 215逐一向符合該ID的該應用程式1進行該共同認證資訊21的同步(步驟722);在步驟722,該認證共享程式2透過該共享介面31向該應用程式1要求修改相對應的該認證狀態112、該認證資訊生命週期113及該解鎖資訊種類及編號114。
請參閱圖9所示是該應用程式1進行該共同認證資訊21認證的流程;在步驟731,該應用程式1在提供服務前若需某筆該共同認證資訊21被驗證,先檢視儲存於內部的該筆該認證資訊之狀態112、該認證資訊生命週期113等資訊以判斷是否可直接提供服務而無需進行再次驗證;若需要執行驗證,該應用程式1取得持卡人之認證資訊後透過該共享介面31向該認證共享程式2要求驗證相對應的該共同認證資訊21(使用該認證資訊種類及編號111來指定);在步驟732該認證共享程式2確認該應用程式1之ID是否存在於該可存取之應用程式ID 215列表中(即可要求該筆該共同
認證資訊21的驗證);在步驟733,若該認證共享程式2判定該應用程式1可要求驗證指定之該共同認證資訊21則進行該傳入認證資訊之比對,並將比對結果回傳該應用程式1,同時該認證共享程式2執行該共同認證資訊21同步的流程。
上列詳細說明係針對本發明之可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
Claims (4)
- 一種多卡合一的晶片卡應用程式共享認證方法,其特徵在於:晶片卡內建立有一認證共享程式(Applet),該認證共享程式提供密碼函式與共同認證資訊的儲存,該晶片卡的其它多個應用程式透過共享介面(Sharable Interface)與該認證共享程式進行該密碼函式共享以及該共同認證資訊同步,該些應用程式同時儲存有該共同認證資訊的複本,其中,當該些應用程式中的第一應用程式啟動時,首先透過該共享介面呼叫該認證共享程式來要求讀取指定的該共同認證資訊,若該認證共享程式判斷該第一應用程式可讀取指定之該共同認證資訊,則回傳該指定共同認證資訊部份的內容,否則回傳錯誤訊息。
- 如請求項1所述的多卡合一的晶片卡應用程式共享認證方法,其中,該晶片卡中內含JAVA卡平台,由該JAVA卡平台提供該共享介面機制。
- 如請求項1所述的多卡合一的晶片卡應用程式共享認證方法,其中,當該第一應用程式向該認證共享程式進行同步要求時,先將該第一應用程式啟動,主動透過該共享介面向該認證共享程式要求同步指定的該共同認證資訊之狀態,然後更新該第一應用程式持有的該共同認證資訊複本。
- 如請求項1所述的多卡合一的晶片卡應用程式共享認證方法,其中,當該認證共享程式向該第一應用程式進行同步要求時,當該認證共享程式內的該共同認證資訊有異動,該認證共享程式依據有參考到該筆共同認證資訊的該些應用程式,主動透過該共享介面要求變更指定的 該共同認證資訊複本的狀態。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106125679A TWI632508B (zh) | 2017-07-31 | 2017-07-31 | Multi-card integrated chip card application sharing authentication method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106125679A TWI632508B (zh) | 2017-07-31 | 2017-07-31 | Multi-card integrated chip card application sharing authentication method |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI632508B true TWI632508B (zh) | 2018-08-11 |
TW201911134A TW201911134A (zh) | 2019-03-16 |
Family
ID=63959683
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106125679A TWI632508B (zh) | 2017-07-31 | 2017-07-31 | Multi-card integrated chip card application sharing authentication method |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI632508B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI707247B (zh) * | 2018-12-28 | 2020-10-11 | 中華電信股份有限公司 | 資料保全系統及其使用方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101010903A (zh) * | 2004-06-25 | 2007-08-01 | 拜伊帕斯公司 | 用于生成并验证电子签名的方法 |
CN101917216A (zh) * | 2010-08-25 | 2010-12-15 | 罗正棣 | 一种采用蓝牙智能卡实现安全移动应用的系统和方法 |
TW201120759A (en) * | 2009-12-03 | 2011-06-16 | Chunghwa Telecom Co Ltd | Authentication method for security access module card. |
CN103514050B (zh) * | 2012-06-19 | 2016-12-21 | 蔡毓芬 | 程式呼叫方法及行动装置 |
-
2017
- 2017-07-31 TW TW106125679A patent/TWI632508B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101010903A (zh) * | 2004-06-25 | 2007-08-01 | 拜伊帕斯公司 | 用于生成并验证电子签名的方法 |
TW201120759A (en) * | 2009-12-03 | 2011-06-16 | Chunghwa Telecom Co Ltd | Authentication method for security access module card. |
CN101917216A (zh) * | 2010-08-25 | 2010-12-15 | 罗正棣 | 一种采用蓝牙智能卡实现安全移动应用的系统和方法 |
CN103514050B (zh) * | 2012-06-19 | 2016-12-21 | 蔡毓芬 | 程式呼叫方法及行动装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI707247B (zh) * | 2018-12-28 | 2020-10-11 | 中華電信股份有限公司 | 資料保全系統及其使用方法 |
Also Published As
Publication number | Publication date |
---|---|
TW201911134A (zh) | 2019-03-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6430449B2 (ja) | アクセス制御を管理するためのポリシーベース技法 | |
US8464069B2 (en) | Secure data access methods and apparatus | |
CN101196974B (zh) | 用于软件应用程序的自动配置的方法和系统 | |
TW202001656A (zh) | 基於區塊鏈的智能合約調用方法及裝置、電子設備 | |
US20170053137A1 (en) | Secure data storage | |
US9769162B2 (en) | Method for using and maintaining user data stored on a smart card | |
CN107408192A (zh) | 保护存储器 | |
CN105608384A (zh) | 用于执行安全环境初始化指令的系统和方法 | |
CN107145531B (zh) | 分布式文件系统及分布式文件系统的用户管理方法 | |
CN112037058B (zh) | 数据验证方法、装置及存储介质 | |
US10904252B1 (en) | Multi-node authentication method and apparatus based on block chain | |
JP2021089657A (ja) | 認証認可システムおよび認証認可方法 | |
TWI632508B (zh) | Multi-card integrated chip card application sharing authentication method | |
CN112785757A (zh) | 一种智能锁授权认证方法及智能锁 | |
CN115062330B (zh) | 基于tpm的智能密码钥匙密码应用接口的实现方法 | |
EP2947593B1 (en) | Security apparatus session sharing | |
CN112968772B (zh) | 一种区块链数据的跨链解耦方法、系统 | |
US8387125B2 (en) | Device, system and method of performing an administrative operation on a security token | |
WO2016173116A1 (zh) | 访问存储数据的方法及装置 | |
WO2023178724A1 (zh) | 智能门铃防盗版方法、系统、智能门铃及计算机可读存储介质 | |
CN109684860A (zh) | 一种基于业务关系的数据加密方法及装置 | |
CN116757857B (zh) | 基于区块链的商保数据管理方法、系统、终端及存储介质 | |
CN111756701B (zh) | 一种管理平台获取设备令牌访问Rest接口方法及系统 | |
CN116112224B (zh) | 一种网络服务间的服务注册方法及设备 | |
US20210374227A1 (en) | Trusted execution environment (tee)-based password management method and system |