TWI706355B - 要求端密碼可選之挑戰響應身份認證之方法 - Google Patents

要求端密碼可選之挑戰響應身份認證之方法 Download PDF

Info

Publication number
TWI706355B
TWI706355B TW108128774A TW108128774A TWI706355B TW I706355 B TWI706355 B TW I706355B TW 108128774 A TW108128774 A TW 108128774A TW 108128774 A TW108128774 A TW 108128774A TW I706355 B TWI706355 B TW I706355B
Authority
TW
Taiwan
Prior art keywords
password
response
requesting
terminal
challenge
Prior art date
Application number
TW108128774A
Other languages
English (en)
Other versions
TW202107363A (zh
Inventor
張英輝
Original Assignee
張英輝
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 張英輝 filed Critical 張英輝
Priority to TW108128774A priority Critical patent/TWI706355B/zh
Priority to CN201910950424.7A priority patent/CN112395569A/zh
Application granted granted Critical
Publication of TWI706355B publication Critical patent/TWI706355B/zh
Publication of TW202107363A publication Critical patent/TW202107363A/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一種要求端密碼可選之挑戰響應身份認證之方法,包括:要求端要求驗證端提供密碼選項;然後,從驗證端輸出該密碼選項至要求端;之後,基於該密碼選項而利用要求端之一密碼產生器以產生要求端密碼;最後,確認驗證端之一驗證端密碼和產生的要求端密碼是否相同。

Description

要求端密碼可選之挑戰響應身份認證之方法
本發明係關於一種用戶資料安全領域,特別係一種要求端密碼可選之挑戰響應身份認證之方法。
近年來由於智慧型行動裝置的普及,電子商務更廣泛地應用在行動裝置上。因此,網路資安問題日趨重要,且網路交易及服務之提供者也發展出一套相應的線上身份驗證系統。使用者可藉由使用者身份代號及密碼來進行身份驗證,或是以晶片卡搭配讀卡機來進行身份驗證,進而確保在進行網路交易及使用網路服務時的安全性。
此外,隨著物聯網(IoT:Internet of Things)興起,基於訊息鑑別碼(MAC:Message Authentication Code)的挑戰響應身份認證(Challenge Response Authentication)方法格外受到重視,因其可以基於雜湊算法(Hash function)而實現,簡單的實現如將密鑰和訊息串接後,以任一雜湊算法計算其雜湊值(hash value)當作其訊息鑑別碼,複雜的實現例如定義於RFC 2104(Request for Comments 2104,請求意見稿第2104號備忘錄)的雜湊信息鑑別碼(HMAC:Hash-based Message Authentication Code);亦可基於對稱算法(Symmetric Algorithm)實現,如CBC-MAC和GMAC(Galois MAC),無須非對稱算法的複雜運算,特別適合應用於物聯網終端設備。其中,RFC 2104係指網際網路工程任務組(IETF,Internet Engineering Task Force)發布的一請求意見稿第2104號備忘錄。
在基於訊息鑑別碼的挑戰響應身份認證方法之中,要求端 (claimant)和驗證端(verifier)必須先議定一相同密碼(Password)。假如兩端密碼不同則會認證錯誤。另外,如果一個要求端需要和N個驗證端相連,理想上要求端必須準備至少N個相應密碼;再者,如果要求端因為受硬體限制,想簡化用單一密碼與每一驗證端相連,則一旦密碼從任一驗證端或是要求端被盜,當要求端被偽造者取代,所有驗證端同受影響。因此,傳統的方法風險太大。
鑒於上述習知技術的缺點,本發明於是針對此一問題提出解決方法,以克服上述缺點。
本發明係提出一種要求端密碼可選之挑戰響應身份認證之方法,包括:要求端要求驗證端提供密碼選項;然後,從驗證端輸出該密碼選項至要求端;之後,基於該密碼選項而利用要求端之一密碼產生器以產生要求端密碼;最後,確認驗證端之一驗證端密碼和產生的要求端密碼是否相同。
上述要求端密碼可選之挑戰響應身份認證之方法,更包含:要求端要求一挑戰信息,而從驗證端產生該挑戰信息以輸出至要求端;基於要求端密碼與挑戰信息,以於要求端產生一候選回應;基於一驗證端密碼與挑戰信息,以於驗證端產生一目的回應;以及於驗證端比較候選回應與目的回應,以確認驗證端之驗證端密碼和所產生的要求端密碼是否相同。上述方法更包含準備功能回應,以輸出功能回應至要求端。
根據本發明之一觀點,其中該密碼選項係由一驗證端密碼選項存儲所提供。其中該驗證端密碼係由一驗證端密碼存儲所提供。其中該候選回應係由一信息鑑別碼模組來實現。其中該目的回應係由一信息鑑別碼模組來實現。
根據本發明之另一觀點,其中該密碼產生器包含物理不可克隆函數電路以及信息鑑別碼模組。
根據本發明之再一觀點,實現候選回應和目的回應的信息鑑別碼 模組使用相同的算法實現。
根據本發明之又一觀點,其中要求端密碼係由一密碼產生器實現,根據密碼選項產生;在同一要求端設備中,包含一相同的密碼產生器配置,輸入相同的密碼選項至該要求端之密碼產生器,會產生相同的要求端密碼。
根據本發明之一觀點,其中比較候選回應與目的回應係透過一比較器來實現。
此些優點及其他優點從以下較佳實施例之敘述及申請專利範圍將使讀者得以清楚了解本發明。
100:要求端
102:起始要求
104:產生要求端密碼
106:產生候選回應
120:密碼產生器
130:密碼產生器之PUF電路
131:密碼產生器之HMAC模組
140:目的回應產生器
150:候選回應產生器
200:驗證端
202:驗證端密碼選項存儲
204:輸出密碼選項
206:產生挑戰
208:驗證端密碼存儲
210:產生目的回應
212:比較目的回應與候選回應
214:啟動功能
216:不啟動功能
218:準備功能回應
如下所述之對本發明的詳細描述與實施例之示意圖,應使本發明更被充分地理解;然而,應可理解此僅限於作為理解本發明應用之參考,而非限制本發明於一特定實施例之中。
第一與第二圖顯示根據本發明之一實施例之要求端密碼可選之挑戰響應身分認證之方法之示意圖;第三圖顯示根據本發明之一實施例之密碼產生器以HMAC-SHA256和PUF電路實現之示意圖;第四圖顯示根據本發明之一實施例之目的回應產生器以HMAC-SHA256實現之示意圖;第五圖顯示根據本發明之一實施例之候選回應產生器以HMAC-SHA256實現之示意圖。
此處本發明將針對發明具體實施例及其觀點加以詳細描述,此類描述為解釋本發明之結構或步驟流程,其係供以說明之用而非用以限制本發明之申請專利範圍。因此,除說明書中之具體實施例與較佳實施例外,本發明亦可廣泛施行於其他不同的實施例中。以下藉由特定的具體實施例說明本發明之實施方式,熟悉此技術之人士可藉由本說明書所揭示之內容輕易地瞭解本發明之功效性與其優點。且本發明亦可藉由其他具體實施例加以運用及實施,本說明書所闡述之各項細節亦可基於不同需求而應用,且在不悖離本發明之精神下進行各種不同的修飾或變更。
本發明揭示一種要求端密碼可選之挑戰響應身份認證之方法,其中在驗證端包含:驗證端密碼選項存儲(Verifier Password Option Storage)提供驗證端密碼選項,以及輸出密碼選項(Output Password Option)流程;而在要求端包含:發出請求密碼選項(Request Password Option)流程,以及產生要求端密碼的流程。亦即,在本發明之方法中,要求端無須提供要求端密碼存儲(Claimant Password Storage)。另外,驗證端接收要求端之該請求之後,將相應的密碼選項輸出給要求端,而要求端依照該密碼選項以產生相應的要求端密碼,接著發出挑戰要求至驗證端。因此,在本發明之方法中,要求端需要一密碼產生器,以產生相應的要求端密碼。
在本發明之方法中,要求端不必儲存相應的驗證端密碼選項和密碼,所以要求端無管理密碼的需求,可以大幅降低要求端的軟硬體複雜度。
第一圖顯示一種要求端密碼可選之挑戰響應身份認證之方法之示意圖。在第一圖之中,身份認證系統包含要求端100設備與驗證端200設備。驗證端200包括一驗證端密碼存儲(Verifier Password Storage)208用以存儲驗證端密碼(verifier password),以利於要求端100之身份認證。要求端可選密碼的挑戰響應身份認證之方法包括,首先,要求端100發出一起始要求102,要求驗證端200提供一密碼選項(password option)。驗證端200接收該起始要求102之後,驗證端密碼選項存儲202隨即提供驗證端密碼選項,然後,從驗證端200輸出密碼選項204至要求端100。接下來,要求端100根據接收的密碼選項,以產生 要求端密碼104。在此步驟之中,要求端100利用一密碼產生器,以產生相應的要求端密碼,如第三圖實施例所示。不同驗證端200的密碼選項,係各自與要求端100議定,可完全獨立無關。密碼選項的格式是依照密碼產生器的實現方式決定。
在本發明之中,要求端100係一獨立實體設備,例如安全晶片,或是虛擬設備,例如vTPM(Virtual TPM:Virtual Trusted Platform Module)。該設備包含一密碼產生器以產生其中一項功能。例如,該設備可以藉由配置密碼產生器,使原有的被驗證者變成另一個不同的被驗證者。因此,需要於安全晶片中加入一相同的密碼產生器配置。
如第三圖所示之實施例,要求端密碼可以透過一密碼產生器120所產生,包括一雜湊信息鑑別碼(HMAC-X)模組131來實現,其中X表示所使用的雜湊函式或算法,此例選用HMAC-SHA256,和一物理不可克隆函數(Physically Unclonable Function:PUF)電路130產生密鑰(key)。PUF電路130係基於利用導線以及半導體元件在積體電路(IC)製造過程中獨一無二的變異,利用其物理特性以產生出不可複製的密鑰(永不變化的真隨機數)。此物理特性將可應用在加密的程序之中,可以讓此使用者硬體設備具有不可複製的資訊安全性。而信息(message)係由驗證端200而來(輸出)的密碼選項。上述PUF電路130所產生的密鑰以及由密碼選項輸入之信息經過HMAC-SHA256 131之運算,結果輸出一要求端密碼(例如為256位元),密鑰2(key 2)。
接下來,確認該驗證端200之一驗證端密碼和所產生的要求端密碼是否相同。若確認相同,則表示驗證成功,反之,則表示驗證失敗。此確認流程包含以下之步驟,首先,要求端100輸出一要求挑戰(request challenge)信息至驗證端200,以於驗證端200產生挑戰206。該要求被發送到驗證端200的產生挑戰206中,而產生發送給驗證端200的挑戰信息,信息2(message 2)。舉例而言,驗證端200包含一挑戰器以產生挑戰信息。所產生的挑戰信息可包含隨機數。
之後,一方面於驗證端200保留該挑戰(retain challenge)信息,另一方面從驗證端200輸出該挑戰至要求端100。在保留該挑戰信息之後,依照一信息鑑別碼(Message Authentication Code,MAC)算法以產生目的回應210。在產生目的回應210的步驟之中,請參考第四圖實施例,驗證端密碼存儲208提供驗證端密碼(密鑰3:key 3)至一目的回應產生器140,採用HMAC-SHA256來實現;而該挑戰信息(message 2)亦輸入至目的回應產生器140。經過目的回應產生器140的處理之後,以產生目的回應(target response)信息。
在輸出該挑戰至要求端之後,依照一信息鑑別碼(MAC)算法以產生候選回應106。在產生候選回應106的步驟中之中,請參考第五圖,在輸出該挑戰信息之後,輸入要求端密碼(key 2)至一候選回應產生器150;而該挑戰信息亦輸入至候選回應產生器150。經過候選回應產生器150的處理之後,以產生一候選回應(candidate response)信息。在此步驟之中,要求端密碼(claimant password)與該挑戰信息輸入至候選回應產生器150。
舉一實施例而言,如第五圖所示,要求端100的MAC算法可用HMAC-SHA256實現,其中密鑰2(key 2)是要求端密碼,挑戰信息(message 2)是驗證端200來的挑戰,而輸出是候選回應。
如第二圖所示,接下來,在比較目的回應與候選回應212的步驟之中,在驗證端200之中比較驗證端200之目的回應與要求端100輸出之候選回應。其中比較係透過一比較器來執行。其中候選回應係由要求端100輸出至驗證端200。若比較的結果為相同,則在驗證端200之中啟動功能214;若比較的結果為不相同,則驗證端200不啟動功能216。然後,在驗證端200之中,準備功能回應218;最後,輸出功能回應至要求端100。
如第二圖所示,比較器輸出一是否檢測到匹配之確定,啟動功能214和不啟動功能216是根據是否發生匹配而提供功能(啟動功能214和不啟動功能216),以便方塊218可以向要求端100提供適當的功能回應。
在本發明之中,在驗證端200之中比較目的回應與候選回應,若比較的結果為相同,則表示驗證端密碼和要求端基於驗證端密碼選項所產生的密碼相同,表示驗證成功,在驗證端200之中啟動功能214;反之,則表示驗證失敗,在驗證端200之中不啟動功能216。
應該注意的是,本發明之要求端可選密碼的挑戰響應身分認證方法,要求端不必儲存相應的驗證端密碼選項和密碼,所以要求端無須提供密碼存儲,可以大幅降低要求端的軟硬體複雜度;要求端需要一密碼產生器,以產生相應的要求端密碼。以上皆為本發明改進傳統方法之處。因此,在發明之中,如果一個要求端和N個驗證端相連,要求端無須如傳統的方法準備N個相應密碼。並且,要求端的密碼產生器可以PUF電路輔助實現,可實現要求端設備具有不可複製的安全性。
在本發明之中,要求端100使用之硬體至少包括:密碼產生器120、候選回應產生器150;驗證端200使用之硬體至少包括:包括驗證端密碼選項存儲202、驗證端密碼存儲208、挑戰器、目的回應產生器140、比較器。
上述敘述係為本發明之較佳實施例。此領域之技藝者應得以領會其係用以說明本發明而非用以限定本發明所主張之專利權利範圍。其專利保護範圍當視後附之申請專利範圍及其等同領域而定。凡熟悉此領域之技藝者,在不脫離本專利精神或範圍內,所作之更動或潤飾,均屬於本發明所揭示精神下所完成之等效改變或設計,且應包含在下述之申請專利範圍內。
100‧‧‧要求端
102‧‧‧起始要求
104‧‧‧產生要求端密碼
106‧‧‧產生候選回應
200‧‧‧驗證端
202‧‧‧驗證端密碼選項存儲
204‧‧‧輸出密碼選項
206‧‧‧產生挑戰
208‧‧‧驗證端密碼存儲
210‧‧‧產生目的回應

Claims (10)

  1. 一種要求端密碼可選之挑戰響應身份認證之方法,包括:要求端要求驗證端提供密碼選項;從該驗證端輸出該密碼選項至該要求端;基於該密碼選項而利用該要求端之一密碼產生器以產生要求端密碼;以及確認該驗證端之一驗證端密碼和該產生的要求端密碼是否相同。
  2. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,更包括:該要求端要求一挑戰信息,而從該驗證端產生該挑戰信息以輸出至該要求端;基於該要求端密碼與該挑戰信息,以於該要求端產生一候選回應;基於一驗證端密碼與該挑戰信息,以於該驗證端產生一目的回應;以及於該驗證端比較該候選回應與該目的回應,以確認該驗證端之該驗證端密碼和所產生的要求端密碼是否相同。
  3. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,其中該密碼選項係由一驗證端密碼選項存儲所提供。
  4. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,其中該驗證端密碼係由一驗證端密碼存儲所提供。
  5. 如請求項2所述之要求端密碼可選之挑戰響應身份認證之方法,其中該候選回應係由一第一信息鑑別碼模組來實現,其中該目的回應係由一第二信息鑑別碼模組來實現。
  6. 如請求項2所述之要求端密碼可選之挑戰響應身份認證之方法,其中實現目的回應和候選回應的信息鑑別碼模組使用相同的算法實現。
  7. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,其中該要求端包含一相同的密碼產生器配置,其中輸入相同的密碼選項至該密碼產生器,將產生相同的要求端密碼。
  8. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,其中該密碼產生器包含物理不可克隆函數電路以及信息鑑別碼模組。
  9. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,其中比較該候選回應與該目的回應係透過一比較器來實現。
  10. 如請求項1所述之要求端密碼可選之挑戰響應身份認證之方法,更包含準備功能回應,以輸出功能回應至該要求端。
TW108128774A 2019-08-13 2019-08-13 要求端密碼可選之挑戰響應身份認證之方法 TWI706355B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
TW108128774A TWI706355B (zh) 2019-08-13 2019-08-13 要求端密碼可選之挑戰響應身份認證之方法
CN201910950424.7A CN112395569A (zh) 2019-08-13 2019-10-08 要求端密码可选的挑战回应身份认证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW108128774A TWI706355B (zh) 2019-08-13 2019-08-13 要求端密碼可選之挑戰響應身份認證之方法

Publications (2)

Publication Number Publication Date
TWI706355B true TWI706355B (zh) 2020-10-01
TW202107363A TW202107363A (zh) 2021-02-16

Family

ID=74091369

Family Applications (1)

Application Number Title Priority Date Filing Date
TW108128774A TWI706355B (zh) 2019-08-13 2019-08-13 要求端密碼可選之挑戰響應身份認證之方法

Country Status (2)

Country Link
CN (1) CN112395569A (zh)
TW (1) TWI706355B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI465092B (zh) * 2009-03-30 2014-12-11 Yuh-Shen Song 隱私保護的反身份盜用及付款網路
US20150019441A1 (en) * 2011-06-02 2015-01-15 Cryptite, Llc Mobile-to-mobile transactions
CN106063188A (zh) * 2013-11-28 2016-10-26 弗里德瑞奇·基斯特斯 在通信网络中的认证和/或标识方法
JP2018082244A (ja) * 2016-11-14 2018-05-24 ソラミツ株式会社 ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
CN108369697A (zh) * 2015-10-16 2018-08-03 科因普拉格株式会社 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法
TW201901555A (zh) * 2017-05-11 2019-01-01 香港商阿里巴巴集團服務有限公司 身份認證方法、裝置和系統
US20190057363A1 (en) * 2015-07-01 2019-02-21 Liveensure, Inc. System and method for mobile peer authentication and asset control
TW201928818A (zh) * 2017-12-27 2019-07-16 鴻驊科技股份有限公司 線上支付的方法、程式產品及其行動支付卡

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050070381A (ko) * 2003-12-30 2005-07-07 엘지전자 주식회사 원타임 패스워드 기반 인증 시스템
CN103188075B (zh) * 2013-02-01 2016-01-06 广州大学 一种密钥和真随机数发生器及生成密钥和真随机数的方法
US20160127365A1 (en) * 2013-04-02 2016-05-05 Verayo, Inc. Authentication token
US10715321B2 (en) * 2017-12-22 2020-07-14 Micron Technology, Inc. Physical unclonable function using message authentication code

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI465092B (zh) * 2009-03-30 2014-12-11 Yuh-Shen Song 隱私保護的反身份盜用及付款網路
US20150019441A1 (en) * 2011-06-02 2015-01-15 Cryptite, Llc Mobile-to-mobile transactions
CN106063188A (zh) * 2013-11-28 2016-10-26 弗里德瑞奇·基斯特斯 在通信网络中的认证和/或标识方法
US20190057363A1 (en) * 2015-07-01 2019-02-21 Liveensure, Inc. System and method for mobile peer authentication and asset control
CN108369697A (zh) * 2015-10-16 2018-08-03 科因普拉格株式会社 基于区块链的认可证书签发系统和方法以及基于区块链的认可证书认证系统和方法
US20190005470A1 (en) * 2015-10-16 2019-01-03 Coinplug, Inc. Accredited certificate issuance system based on block chain and accredited certificate issuance method based on block chain using same, and accredited certificate authentication system based on block chain and accredited certificate authentication method based on block chain using same
JP2018082244A (ja) * 2016-11-14 2018-05-24 ソラミツ株式会社 ログイン認証システム、ログイン認証システムにおけるサービスプロバイダ及び認証サーバ、ログイン認証システムにおけるサービスプロバイダ、認証サーバ、コンピュータ及び携帯端末のためのログイン認証方法及びプログラム
TW201901555A (zh) * 2017-05-11 2019-01-01 香港商阿里巴巴集團服務有限公司 身份認證方法、裝置和系統
TW201928818A (zh) * 2017-12-27 2019-07-16 鴻驊科技股份有限公司 線上支付的方法、程式產品及其行動支付卡

Also Published As

Publication number Publication date
TW202107363A (zh) 2021-02-16
CN112395569A (zh) 2021-02-23

Similar Documents

Publication Publication Date Title
US11588637B2 (en) Methods for secure cryptogram generation
US11184343B2 (en) Method for carrying out an authentication
US9602497B2 (en) Trusted and unsupervised digital certificate generation using a security token
US10263969B2 (en) Method and apparatus for authenticated key exchange using password and identity-based signature
US20220103369A1 (en) Security system and related methods
US8539569B2 (en) Systems and methods for facilitating user authentication over a network
US20140298412A1 (en) System and Method for Securing a Credential via User and Server Verification
CN103546289A (zh) 一种基于USBKey的安全传输数据的方法及系统
TWI776404B (zh) 生物支付設備的認證方法、裝置、電腦設備和儲存媒體
WO2014173280A1 (zh) 一种ic卡脱机pin验证方法以及ic卡脱机验证系统
KR101253683B1 (ko) 연쇄 해시에 의한 전자서명 시스템 및 방법
WO2018011267A1 (en) Method for providing secure digital signatures
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
TW202207667A (zh) 通訊系統中改善安全性之認證及驗證方法
TWI706355B (zh) 要求端密碼可選之挑戰響應身份認證之方法
CN109257381A (zh) 一种密钥管理方法、系统及电子设备
US20240223370A1 (en) Method for authentication of a service provider device to a user device
CN117643010A (zh) 无证书认证和安全通信
WO2013182050A1 (zh) 安全性信息交互装置及方法和用于安全性信息交互的ic卡