TWI811178B - 基於多方多因子動態強加密認證之資通安全方法與系統 - Google Patents
基於多方多因子動態強加密認證之資通安全方法與系統 Download PDFInfo
- Publication number
- TWI811178B TWI811178B TW112104021A TW112104021A TWI811178B TW I811178 B TWI811178 B TW I811178B TW 112104021 A TW112104021 A TW 112104021A TW 112104021 A TW112104021 A TW 112104021A TW I811178 B TWI811178 B TW I811178B
- Authority
- TW
- Taiwan
- Prior art keywords
- transient
- decryption key
- authentication
- token
- index
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 230000004044 response Effects 0.000 claims abstract description 19
- 230000001052 transient effect Effects 0.000 claims description 166
- 238000004891 communication Methods 0.000 claims description 53
- 238000012795 verification Methods 0.000 claims description 28
- 238000004519 manufacturing process Methods 0.000 claims description 5
- 230000008569 process Effects 0.000 claims description 4
- 238000012550 audit Methods 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 52
- 238000005516 engineering process Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 3
- 241000209507 Camellia Species 0.000 description 2
- 241001441724 Tetraodontidae Species 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 235000018597 common camellia Nutrition 0.000 description 2
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 2
- 239000003826 tablet Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
- H04L9/3228—One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/082—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Collating Specific Patterns (AREA)
- Storage Device Security (AREA)
Abstract
本發明關於一種資通安全方法,包含:因應認證資訊之輸入而隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至安全伺服設備並從該安全伺服設備取回標誌索引;基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置;解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
Description
本發明係關於一種資通安全方法與系統,尤其是一種基於多方多因子動態強加密認證技術之資通安全方法與系統。
在習用技術中,當資通訊(ICT)技術正在飛速進步之時,但反向的,資通安全威脅(cybersecurity threats)也正以相同速度演進中,現今的網路世界隨時都會冒出新型態的資通安全威脅,現今的資通訊領域正面臨諸多安全性的強大挑戰。
基於得手後的高回報,這些資通安全威脅常熱衷於盜取使用者的網路服務帳號與密碼,以侵入特別是金融類型的網路服務,此類別的資通安全威脅包含以下幾種常見的類型。
最常見的包含透過釣魚簡訊或釣魚郵件騙取使用者帳密,釣魚簡訊詐騙頻傳,導致民眾損失存款;以及網路服務基礎設施遭大規模分散式阻斷服務攻擊(DDoS)攻擊,攻擊對象包括金融保險、貿易銷售業、資訊通信、製造業等,勒索軟體將是企業營運的重大威脅。
還有其他如駭客直接侵入使用者設備或網路服務供應者伺服器(ASP server)盜取使用者帳密,透過高速算力反複填充攻擊而暴力破解
帳號密碼,透過免費網告軟體夾帶而在使用者設備上植入各種木馬程式竊取使用者帳密等等,在資通安全領域,傳統基於帳密之登入驗證模式早已不安全,使用者帳密被盜已不是新聞。
面對這些複雜多元的威脅,傳統許多資通安全防禦措施,諸如公開金鑰基礎建設(PKI)、基於SSL/TLS的https、密鑰分發中心(KDC)、多重因素認證(MFA)以及單次登入(SSO)機制等措施,其實早不足以應對這些資通安全威脅。
職是之故,需要更創新的資通安全方法和系統,以對新型態的資通安全威脅,有鑑於此發明人經過悉心嘗試與研究,並一本鍥而不捨之精神,終構思出本案「基於多方多因子動態強加密認證之資通安全方法與系統」,能夠克服上述缺點,以下為本發明之簡要說明。
本發明係關於一種資通安全方法與系統,尤其是一種基於多方多因子動態強加密認證技術之資通安全方法與系統。
據此本發明提出一種資通安全方法,包含:在使用者設備上:因應認證資訊之輸入而選擇性要求輸入識別符並隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至安全伺服設備,並從該安全伺服設備取回標誌索引;基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌;以及組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置;以及在該網路應用伺服裝置上:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰;以及基於該暫態解
密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
本發明進一步提出一種資通安全方法,包含:在第一裝置上因應認證資訊之輸入而隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至第四裝置包含的第三裝置編程模組,並從該第三裝置編程模組取回標誌索引;基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至該第四裝置包含的第二裝置編程模組;執行該第二裝置編程模組以解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
本發明進一步提出一種資通安全系統,包含:安全伺服設備;使用者設備,其經配置以執行:因應認證資訊之輸入而選擇性要求輸入識別符並隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至安全伺服設備,並從該安全伺服設備取回標誌索引;基於該暫態解密金鑰之一部分而生成電子數位簽章並加密該電子數位簽章以生成認證標誌;以及組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置;以及該網路應用伺服裝置,其經配置以執行:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
本發明進一步提出一種資通安全系統,包含:第四裝置,其包含第二裝置編程模組以及第三裝置編程模組;第一裝置,其係與該第四
裝置通訊連接,並經配置以執行:因應認證資訊之輸入而隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至該第三裝置編程模組,並從該第三裝置編程模組取回標誌索引;基於該暫態解密金鑰之一部分而生成電子數位簽章並加密該電子數位簽章以生成認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至第二裝置編程模組;經由該第二裝置編程模組解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
上述發明內容旨在提供本揭示內容的簡化摘要,以使讀者對本揭示內容具備基本的理解,此發明內容並非揭露本發明的完整描述,且用意並非在指出本發明實施例的重要/關鍵元件或界定本發明的範圍。
10:資通安全系統
11:子網路
12:子網路
21:子網路
100:使用者設備
111-113:智慧手機
200:網路應用伺服裝置
201:LDAP客戶端伺服器
210:網路應用伺服器
300:安全伺服設備
311~314:實施步驟
400:雲端伺服器
420:第二裝置編程模組
430:第三裝置編程模組
500:資通安全方法
501~506:實施步驟
P1:第一傳輸連線
P2:第二傳輸連線
P3:第三傳輸連線
P4:第四傳輸連線
P5:第五傳輸連線
P6:第六傳輸連線
第1圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第一實施例之系統架構示意圖;
第2圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第二實施例之系統架構示意圖;
第3圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全方法第三實施例執行流程之時序圖;
第4圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第四實施例之系統架構示意圖;
第5圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第五實施例之系統架構示意圖;以及
第6圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全方法之實施步驟流程圖。
本發明將可由以下的實施例說明而得到充分瞭解,使得熟習本技藝之人士可以據以完成之,然本發明之實施並非可由下列實施案例而被限制其實施型態;本發明之圖式並不包含對大小、尺寸與比例尺的限定,本發明實際實施時其大小、尺寸與比例尺並非可經由本發明之圖式而被限制。
本文中用語“較佳”是非排他性的,應理解成“較佳為但不限於”,任何說明書或請求項中所描述或者記載的任何步驟可按任何順序執行,而不限於請求項中所述的順序,本發明的範圍應僅由所附請求項及其均等方案確定,不應由實施方式示例的實施例確定;本文中用語“包含”及其變化出現在說明書和請求項中時,是一個開放式的用語,不具有限制性含義,並不排除其他特徵或步驟。
第1圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第一實施例之系統架構示意圖;本發明包含之基於多方多因子動態強加密認證之資通安全系統10係由多方裝置與設備共同參與執行,至少包含由使用者進行操作的使用者設備(第一裝置)100、網路應用伺服裝置(第二裝置)200以及安全伺服設備(第三裝置)300,三個裝置係透過網際網路而彼此建立通訊鏈路(communication link),以進行如訊息與資訊交換等。
使用者設備100較佳是目前普通消費者常用的終端裝置,例如但不限於:桌上型電腦、筆記型電腦、智慧手機或者平板裝置等;安全伺服設備300係選自一安全中介伺服器以及一雲端伺服器其中之一。
網路應用伺服裝置200較佳包含兩類裝置,第一類是提供網路應用(Internet application)的網路應用伺服器(Internet application server),包含但不限於:應用服務提供者伺服器(ASP server)、網路內容提供者伺服器(ICP server)、網路服務提供者伺服器(ISP server)、虛擬機伺服器(virtual machine server)、無伺服器函式(serverless Lambda function)裝置、車用CAN匯流排主控節點(CAN bus main)或者生產工廠內部主控節點(factory main)等,第二類是組建網路或者在網路節點之間提供中介的網路裝置(networking device),包含但不限於:小型基地台(small cell)、路由器(router)、集線器(hub)、交換器(switch)、橋接器(bridge)、閘道器(gateway)、橋接路由器(brouter)、中繼器(relay repeater)、邊緣伺服器(edge server)、微處理控制器(MCU)、銀行自動提款櫃員機(ATM)、零售點機(POS)、個人電腦工作站(PC-workstation)、工具機(machine tool)、可程式邏輯控制器(PLC)、無人機(drone)、網路攝像頭(IP cam)、衛星電話(satellite phone)、車用CAN匯流排節點(CAN bus node)以及IP分享器(NAT)等。
在本實施例,網路應用伺服裝置200較佳是第一類的網路應用伺服器,例如網路內容提供者伺服器,使用者設備100較佳是不經過其他網路裝置(networking device)而是直接透過一段或多段的網路包含區域網路或網際網路而與網路應用伺服裝置200建立傳輸連線P1,第一傳輸連線P1、第二傳輸連線P2以及第三傳輸連線P3允許是未加密、不安全或不受信任之
連線(unsecure or untrusted connection),在某實施例,第一傳輸連線P1較佳是使用帶外通道(out-of-band channel)。
第2圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第二實施例之系統架構示意圖;第二實施例係基於第一實施例,並包含第一實施例的全部技術特徵;在本實施例,使用者設備100與網路應用伺服器之間的連接會經過其他網路裝置(networking device),因此在本實施例,網路應用伺服裝置200較佳是第二類的網路裝置,例如家庭路由器(home router)或5G小型基地台(5G small cell),使用者設備100較佳經過網路應用伺服裝置200即網路裝置而通訊連接網路應用伺服器210,第四傳輸連線P4、第五傳輸連線P5、第二傳輸連線P2以及第三傳輸連線P3允許是不安全或不受信任之連線,第一傳輸連線P1包含第四傳輸連線P4與第五傳輸連線P5,在某實施例,第四傳輸連線P4與第五傳輸連線P5較佳是使用帶外通道。
在第一實施例與第二實施例中,當使用者想要登入某項網路應用(Internet application)時,需先輸入自己的認證資訊(authentication information)包含帳號與密碼,並通過帳密驗證,其流程大致如下所述。
使用者在自己的使用者設備100如智慧手機上,經由操作由網路應用伺服裝置200或者網路應用伺服器210,透過網際網路提供而顯示在智慧手機上的前端使用者介面(frontend UI),例如但不限於透過PaaS或SaaS技術經由網路瀏覽器(Internet browser)提供的登入網頁(webpage)或者已經安裝在使用者設備100上的前端應用程式(App),而開啟進入網路應用的登入介面,在登入介面提供的帳號密碼欄位中,輸入正確的帳號密碼,經
過傳輸層安全性協定(SSL/TLS)對稱加密後,上傳至網路應用伺服裝置200,經驗證相匹配後獲准登入網路應用服務。
整個登入與驗證的運作流程透過組成子網路11與12的使用者設備100與網路應用伺服裝置200,以及連接使用者設備100與網路應用伺服裝置200的第一傳輸連線P1或第四傳輸連線P4進行。
一般來說,為了讓上述的帳密驗證保持安全與有效,使用者必需妥善保管自己的帳密避免外流,但上述帳密驗證程序的安全性,可透過至少下列手法破解:透過釣魚簡訊或釣魚郵件騙取使用者帳密、駭客侵入第一傳輸連線P1攔截使用者帳密、駭客侵入使用者設備100或網路應用伺服裝置200盜取使用者帳密、透過填充攻擊暴力破解帳號密碼或者由隱藏在前端使用者介面中的木馬程式竊取使用者帳密等等。
本發明提出之基於多方多因子動態強加密認證之資通安全方法係以基於多方多因子動態強加密認證之資通安全系統10之硬體架構為基礎而執行,在第一傳輸連線P1、使用者設備100與網路應用伺服裝置200,額外增設一部第三方的安全伺服設備300,並增加連接使用者設備100與安全伺服設備300的第二傳輸連線P2以及連接網路應用伺服裝置200與安全伺服設備300的第三傳輸連線P3。
第3圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全方法第三實施例執行流程之時序圖;在本實施例中,使用者首先在自己的使用者設備100上輸入認證資訊,舉例來說,使用者操作安裝在智慧手機上的前端應用程式如手機App,進入手機App的登入介面,並在登入介面提供的帳號密碼欄位中,輸入包含自己的帳號與密碼等認證資訊,使
用者輸入的帳號密碼將循傳輸路徑P1或傳輸路徑P4,從使用者設備100傳輸至網路應用伺服裝置200。
當偵測到上述的登入操作,因應上述認證資訊的輸入,呼叫並啟動同樣安裝在使用者設備100上的另一支安全中介程序,安全中介程序經執行後,在某實施例中,選擇性的,在使用者設備100的觸控顯示螢幕上顯示一個識別符輸入介面,提供一個識別符輸入欄位,要求使用者進一步輸入一組識別符。安全中介程序之形式較佳為SDK檔案或是可呼叫之API執行檔案。
在某實施例,識別符(identifier)較佳是由數字(numbers)、文字(words)、字元(characters)、字母(alphabets)、符號(symbols)、圖案(icons)或者其組合所組成,舉例來說,識別符之形式可以是例如但不限於二維圖碼(QR code)、私鑰、組合碼或ID碼等;在本實施例,識別符是由多位數的純數字組合而成的簡單數字組合碼,例如六位數的數字組合碼。識別符也將視為認證資訊的一部分,或者認證資訊還包含識別符。
在某實施例,識別符較佳也是身分識別碼(PIN),可以與Web 3.0定義下的自我主權身分(SSI)即數位身分(digital identify)整合或相同,亦另稱為數位身分或者身分識別碼(ID code)。
在某實施例,當使用者在識別符輸入欄位中輸入自己的識別符後,安全中介程序因應識別符之輸入,將以使用者所輸入的認證資訊即帳密、密碼或者識別符做為種子值,在使用者設備100上實施第一密碼學演算法,以產生例如但不限於32字節(Bytes)長度的一組第一暫態解密金鑰(ephemeral decrypting key,EEK)。
在某實施例,當使用者在識別符輸入欄位中輸入自己的識別符後,安全中介程序因應識別符之輸入,將以其他與使用者帳、密碼或識別符無關聯的非固定亂數值做為種子值,在使用者設備100上實施第一密碼學演算法,以隨機產生一組第一暫態解密金鑰(密鑰)。
第一密碼學演算法較佳選自RSA算法、DSA算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法或者其組合,第一密碼學算法較佳用於生成暫態解密金鑰,亦稱為金鑰生成算法或者加密金鑰生成算法。
當第一暫態解密金鑰在使用者設備100上生成後,繼續在使用者設備100上,基於第一暫態解密金鑰而實施第二密碼學演算法,以生成一組電子數位簽章,第二密碼學演算法較佳選自RSA算法、DSA算法、ECDSA算法、ECC算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法及其組合其中之一,第二密碼學算法較佳用於生成電子數位簽章,第一密碼學算法較佳用於生成暫態解密金鑰,亦稱為雜湊或散列加密算法。
當電子數位簽章在使用者設備100上生成後,繼續在使用者設備100上實施加擾(scrambled)程序,加擾程序將以第一暫態加擾金鑰為基礎,變化第一暫態加擾金鑰後生成第二暫態加擾金鑰。
當第二暫態加擾金鑰在使用者設備100上生成後,繼續在使用者設備100上,基於第二暫態解密金鑰而實施第三密碼學演算法,進一步
加密電子數位簽章而生成認證標誌(authentication token),第三密碼學演算法較佳選自AES算法、RSA算法、DSA算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、Blowfish算法、Camellia算法、Chacha20算法、Poly1305算法、SEED算法、CAST-128算法、DES算法、IDEA算法、RC2算法、RC4算法、RC5算法、SM4算法、TDES算法以及GOST 28147-89算法或者其組合,第三密碼學算法亦稱為安全加密算法,較佳為對稱(symmetrical)加密算法。
接著,將所產生的第一與第二暫態解密金鑰發佈至安全伺服設備300,安全伺服設備300將根據第一與第二暫態解密金鑰產生標誌索引(token index),標誌索引是指足夠提取第一與第二暫態解密金鑰資訊的最少內容或絕對小部分(strictly smaller portion),接著,使用者設備100向安全伺服設備300索取對應的標誌索引並取回標誌索引;第一與第二暫態解密金鑰的形式不限,較佳可以是256二進位位元長度的符號字串或者二維圖碼。
接著,在使用者設備100上組合使用者輸入的認證資訊、所生成的認證標誌以及所取回的標誌索引,形成一組暫態字串(string),然後將所組成的暫態字串,循第一傳輸連線P1或傳輸路徑P4從使用者設備100發佈至網路應用伺服裝置200。
在網路應用伺服裝置200上,當安裝在網路應用伺服裝置200上的另一個安全中介程序接收到暫態字串後,將執行暫態字串解讀,解讀過程較佳不需涉及密碼學之加解密演算,以從暫態字串中取得認證資訊包含帳號密碼或識別符、標誌索引以及認證標誌,然後將取得的標誌索引透過加密模式或未加密模式傳輸給安全伺服設備300,以憑藉標誌索引向安全
伺服設備300領取存放在安全伺服設備300上的對應的第一與第二暫態解密金鑰。
接著,在網路應用伺服裝置200上,安全中介程序基於所領取的第二暫態解密金鑰執行第三密碼學演算法,將認證標誌解密為電子數位簽章,並以第一暫態解密金鑰執行簽章查核程序,以驗證所解密的電子數位簽章是否遭到竄改。
同時在網路應用伺服裝置200上,安全中介程序對所取得的帳密執行帳密驗證程序,確認這組帳密彼此是否正確相匹配。選擇性地,在網路應用伺服裝置200上,安全中介程序對所取得的帳密語識別符執行身分識別驗證程序,確認識別符是否與所輸入的帳號密碼正確匹配。
當簽章查核程序與帳密驗證程序執行完成後,網路應用伺服裝置200將驗證結果回傳使用者設備100,只有當簽章查核程序與帳密驗證程序皆正確時,允許使用者透過使用者設備100登入並存取網路應用伺服裝置200上應用服務,反之拒絕使用者登入應用服務。
選擇性地,即使簽章查核程序與帳密驗證程序皆正確時,安全中介程序亦可選擇性地向使用者設備100額外再傳輸一組認證碼,並要求使用者將收到的認證碼輸入安全中介程序,在完成認證碼之輸入後,才允許使用者透過使用者設備100登入並存取網路應用伺服裝置200上應用服務。
當所有驗證程序皆執行完畢後,安全中介程序將自動銷毀暫存在使用者設備100、網路應用伺服裝置200以及安全伺服設備300上的第一與第二暫態解密金鑰,以及暫時保存在使用者設備100與網路應用伺服裝置
200上的帳密、識別符、電子數位簽章、認證標誌、暫態字串與標誌索引。
在本實施例,第三密碼學演算法係在使用者設備100與網路應用伺服裝置200上執行,而不在安全伺服設備300上執行,較佳可實現邊緣運算(edge computing)的效果,且識別符只會暫時保存在使用者設備100與網路應用伺服裝置200,而不會被保存在安全伺服設備300上,且安全伺服設備300上只會暫時保存第一與第二暫態解密金鑰,使用者的認證資訊不會傳輸至資安風險較高的安全伺服設備300。在第五實施例中,網路應用伺服裝置200與安全伺服設備300將整合在同一部雲端伺服器400中。
第4圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第四實施例之系統架構示意圖;第四實施例係基於第一實施例到第三實施例,並包含第一實施例到第三實施例的全部技術特徵;在本實施例,本發明基於多方多因子動態強加密認證之資通安全系統10係整合併入現有的輕型目錄存取協定(LDAP)之架構,LDAP現有技術不足以抵擋駭客入侵,以校園為例,目前校園服務多數依賴單一密碼驗證,隨著校園將學生成績、修課記錄與畢業證書等校園資料上網,需提高安全性要求,保障學生個人資料與校園資料。
當本發明基於多方多因子動態強加密認證之資通安全系統10併入輕型目錄存取協定架構時,此時基於多方多因子動態強加密認證之資通安全系統10至少包含由使用者進行操作的多部智慧手機111、112及113、作為網路應用伺服裝置200的LDAP客戶端伺服器(client server)201以及安全伺服設備300,三個裝置係透過網際網路而彼此建立傳輸連線,以進行如訊息與資訊交換等。
在本實施例,網路應用伺服裝置200較佳是第一類的網路應用伺服器,例如網路內容提供者伺服器,使用者設備100較佳是不經過其他網路裝置而是直接透過一段或多段的網路包含區域網路或網際網路而與網路應用伺服裝置200建立傳輸連線P1,第一傳輸連線P1、第二傳輸連線P2以及第三傳輸連線P3允許是不安全或不受信任之連線。
基於多方多因子動態強加密認證之資通安全系統10包含子網路21,子網路21是由LDAP客戶端伺服器201以及智慧手機111、112及113所組成,子網路21即為現有的輕型目錄存取協定架構,本發明可以輕易地併入現有的輕型目錄存取協定架構,只需在子網路21中增設一部第三方安全伺服設備300。
在輕型目錄存取協定架構下增加本發明提出之多因子身分認證技術,能有效提升系統的資訊安全保護,透過多因子身分認證技術查驗使用者身分,加強個人主導方式的分散式與去中心化為應用,以藉由結合身分識別卡(ID card)的虛實整合多重驗證所取得的使用者資料。
然後基於例如但不限於動態強加密數位簽名系統以及對稱加密技術如:ECDSA、SHA-256和AES256的加密技術並進行多重加擾,產生一次性認證標誌,並由三方裝置包含使用者設備100、網路應用伺服裝置200與安全伺服設備300驗證通過,將使用者的資料進行加密與傳輸以保障使用者資料安全,安全伺服設備300只做身分驗證並不涉及使用者隱私。
在現今數位轉型趨勢下,駭客猖獗,全球正視資安與隱私防護並推動零信任(ZTA)網路安全策略,本發明提出的資通安全方法有能力簡單併入任何現有之網路架構,增強資安保護措施。本發明提出的資通安全
方法可強化網路使用者的資料傳輸安全性,更可以避免中間人、釣魚等攻擊所造成的損失。
在本實施例,使用者設備100、網路應用伺服裝置200與安全伺服設備300之間的工作流程大致如下:
步驟311:使用者在使用者設備100中輸入自己的帳密(account & password)以及識別符,例如但不限於私鑰、QR code、ID碼或PIN碼,然後系統10在使用者設備100上據此產生暫態解密金鑰與單次認證標誌(SSO-token)。
步驟312:將所產生之暫態解密金鑰從使用者設備100傳輸至安全伺服設備300。
步驟313:將使用者輸入的帳密以及所產生之單次認證標誌傳輸至網路應用伺服裝置200。
步驟314:網路應用伺服裝置200向安全伺服設備300索取暫態解密金鑰以供自行解碼及驗證單次認證標誌。
本發明提出之資通安全方法,可製作為SDK檔案或已嵌入呼叫API執行檔案並一鍵安裝在使用者設備100包含智慧手機111-113、網路應用伺服裝置200、或安全伺服設備300上,透過AES-256加密、即時暫態分身超高強度/快速動態認證技術,即可整合導入既有服務系統,進行使用者身分安全防護。
本發明提出之資通安全方法與系統,為一種多因子無密碼認證系統,或多因子無密碼動態強加密認證之資通安全系統,提供量子等級的資安防護技術平台,可直接併入並相容(compatible)於任何現有各技術領
域與產業領域之網路架構,尤其無須大幅修改網路架構,適用於各種領域例如但不限於:製造業、資通訊產業(ICT)、電子業、醫療、長照等等領域,並適用於各種現有新舊設備,尤其是老舊設備(legacy equipment),增強資安保護措施,並還具備以下優點:
(1)PKI like AES256+ECC256特有專利/量子資安通訊技術。
(2)傳統帳密系統升級成量子級資安多因子帳密系統,帳密被盜也不怕。
(3)可與其他IoT系統整合,簡單增強通訊資安防護。
本技術為一種基於適合身分識別之資通安全方法,包含:在使用者設備上因應使用者之登入操作而要求輸入身分識別碼;因應該身分識別碼之輸入而從加密金庫中取出身分資訊並隨機生成暫態解密金鑰並傳輸至安全伺服設備;基於該暫態解密金鑰加密該身分資訊以生成一次性登入憑證,並將該一次性登入憑證傳輸至安全伺服設備;使用者設備端再將一次性登入憑證傳輸至網路應用伺服裝置,於網路應用伺服裝置端訪問安全伺服設備端取得必要資訊而後自行做身分確認,完成三方認證的架構,確認完成後才讓使用者設備有進行後續訪問的權限。
第5圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全系統第五實施例之系統架構示意圖;第五實施例係基於第一實施例到第四實施例,並包含第一實施例到第四實施例的全部技術特徵;在本實施例,網路應用伺服裝置(第二裝置)以及安全伺服設備(第三裝置)係整合在同一部雲端伺服器中。
在本實施例,基於多方多因子動態強加密認證之資通安全系
統10包含使用者設備100與雲端伺服器(第四裝置)400,使用者設備100與雲端伺服器400透過第六傳輸連線P6而通訊連接,網路應用伺服裝置(第二裝置)以及安全伺服設備(第三裝置)係整合在同一部雲端伺服器400之中,雲端伺服器400包含彼此獨立的第二裝置編程模組420和第三裝置編程模組430,以分別模擬網路應用伺服裝置和安全伺服設備的所有功能,並以此硬體架構實施基於多方多因子動態強加密認證之資通安全方法。
第6圖揭示本發明包含之基於多方多因子動態強加密認證之資通安全方法之實施步驟流程圖;小結而言,本發明包含之基於多方多因子動態強加密認證之資通安全方法500較佳包含但不限於以下步驟:在使用者設備上:因應認證資訊之輸入而選擇性要求輸入識別符並隨機生成暫態解密金鑰(步驟501);將該暫態解密金鑰傳輸至安全伺服設備,並從該安全伺服設備取回標誌索引(步驟502);基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌(步驟503);組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置(步驟504);在該網路應用伺服裝置上:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰(步驟505);基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章(步驟506)。
本發明以上各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,茲進一步提供更多本發明實施例如次:
實施例1:一種資通安全方法,包含:在使用者設備上:因
應認證資訊之輸入而選擇性要求輸入識別符並隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至安全伺服設備,並從該安全伺服設備取回標誌索引;基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌;以及組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置;以及在該網路應用伺服裝置上:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
實施例2:如實施例1所述之資通安全方法,還包含以下其中之一:在該使用者設備上:因應使用者請求登入網路應用而輸入該認證資訊而選擇性要求輸入該識別符,其中該認證資訊包含帳號與密碼,該識別符包含位數、數字、文字、字元、字母、符號、圖案、私鑰、組合碼、二維圖碼、身分碼、身分識別碼及其組合其中之一;因應該認證資訊之輸入而選擇性要求輸入該識別符並隨機生成第一暫態解密金鑰;實施加擾程序以基於該第一暫態解密金鑰之一部分生成第二暫態解密金鑰,並基於該第二暫態解密金鑰加密該電子數位簽章以生成該認證標誌;以及將該第一暫態解密金鑰與該第二暫態解密金鑰傳輸至該安全伺服設備。
實施例3:如實施例2所述之資通安全方法,還包含以下其中之一:在該網路應用伺服裝置上:實施帳密驗證程序以驗證該帳號與該密碼是否正確匹配;實施身分識別驗證程序以驗證該識別符是否與該認證資訊包含的該帳號與該密碼正確匹配;實施簽章查核程序以驗證該電子數位簽章未遭到竄改;以及當該帳密驗證程序、該身分識別驗證程序以及該簽
章查核程序之結果皆為正確時,允許該使用者登入該網路應用,反之拒絕該使用者登入該網路應用。
實施例4:如實施例3所述之資通安全方法,還包含以下其中之一:在該使用者設備上:選擇性地基於該認證資訊或者該識別符實施第一密碼學演算法而隨機生成該第一暫態解密金鑰;實施該第一密碼學演算法而隨機生成該第一暫態解密金鑰;基於該第一暫態解密金鑰實施第二密碼學演算法而生成該電子數位簽章;基於該第二暫態解密金鑰而實施第三密碼學演算法而加密該電子數位簽章以生成該認證標誌;以及在該安全伺服設備上基於該第一暫態解密金鑰與該第二暫態解密金鑰生成該標誌索引。
實施例5:如實施例4所述之資通安全方法,還包含以下其中之一:在該網路應用伺服裝置上:基於該第二暫態解密金鑰而實施該第三密碼學演算法以解密該認證標誌以獲得該電子數位簽章;以及基於該第一暫態解密金鑰而查核該電子數位簽章是否遭到竄改。
實施例6:如實施例5所述之資通安全方法,還包含以下其中之一:在該使用者設備、該網路應用伺服裝置以及該安全伺服設備上:當該帳密驗證以及該身分識別驗證皆實施完成後,銷毀儲存在該使用者設備、該網路應用伺服裝置以及該安全伺服設備上的該第一暫態解密金鑰與該第二暫態解密金鑰;以及在該使用者設備以及該網路應用伺服裝置上:當該帳密驗證以及該身分識別驗證皆實施完成後,銷毀儲存在該使用者設備以及該網路應用伺服裝置上的該認證資訊、該電子數位簽章、該認證標誌、該標誌索引以及該暫態字串。
實施例7:如實施例4所述之資通安全方法,其中該第一密碼學演算法係選自RSA算法、DSA算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法及其組合其中之一,該第二密碼學演算法係選自RSA算法、DSA算法、ECDSA算法、ECC算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法及其組合其中之一,該第三密碼學演算法係選自AES算法、RSA算法、DSA算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、Blowfish算法、Camellia算法、Chacha20算法、Poly1305算法、SEED算法、CAST-128算法、DES算法、IDEA算法、RC2算法、RC4算法、RC5算法、SM4算法、TDES算法以及GOST 28147-89算法及其組合其中之一。
實施例8:如實施例1所述之資通安全方法,其中該使用者設備與該網路應用伺服裝置之間係透過第一傳輸連線而通訊連接,該使用者設備與該安全伺服設備之間係透過第二傳輸連線而通訊連接,該安全伺服設備與該網路應用伺服裝置之間係透過第三傳輸連線而通訊連接,該第一傳輸連線、該第二傳輸連線與該第三傳輸連線為安全傳輸連線、不安全傳輸連線、受信任傳輸連線、不受信任傳輸連線、加密傳輸連線以及未加密傳輸連線其中之一,該第一傳輸連線與該第二傳輸連線為一帶外通道。
實施例9:如實施例1所述之資通安全方法,其中該使用者設備係選自桌上型電腦、筆記型電腦、智慧手機以及平板裝置其中之一,該
網路應用伺服裝置係選自小型基地台、路由器、集線器、交換器、橋接器、閘道器、橋接路由器、中繼器、邊緣伺服器、微處理控制器、自動提款機、零售點機、個人電腦工作站、工具機、可程式邏輯控制器、無人機、網路攝像頭、衛星電話、車用CAN匯流排節點、IP分享器、網路應用伺服器、應用服務提供者伺服器、網路內容提供者伺服器、網路服務提供者伺服器、虛擬機伺服器、無伺服器函式裝置、工作站主機、車用CAN匯流排主控節點以及生產工廠內部主控節點其中之一,該安全伺服設備係選自安全中介伺服器以及雲端伺服器其中之一。
實施例10:一種資通安全方法,包含:在第一裝置上因應認證資訊之輸入而隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至第四裝置包含的第三裝置編程模組,並從該第三裝置編程模組取回標誌索引;基於該暫態解密金鑰之一部分而生成並加密電子數位簽章以生成認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至該第四裝置包含的第二裝置編程模組;執行該第二裝置編程模組以解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
實施例11:一種資通安全系統,包含:安全伺服設備;使用者設備,其經配置以執行:因應認證資訊之輸入而選擇性要求輸入識別符並隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至安全伺服設備,並從該安全伺服設備取回標誌索引;基於該暫態解密金鑰之一部分而生成電子數位簽章並加密該電子數位簽章以生成認證標誌;以及組合該認證資訊、
該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至網路應用伺服裝置;以及該網路應用伺服裝置,其經配置以執行:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該安全伺服設備領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
實施例12:一種資通安全系統,包含:第四裝置,其包含第二裝置編程模組以及第三裝置編程模組;第一裝置,其係與該第四裝置通訊連接,並經配置以執行:因應認證資訊之輸入而隨機生成暫態解密金鑰;將該暫態解密金鑰傳輸至該第三裝置編程模組,並從該第三裝置編程模組取回標誌索引;基於該暫態解密金鑰之一部分而生成電子數位簽章並加密該電子數位簽章以生成認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成暫態字串並將該暫態字串傳輸至第二裝置編程模組;經由該第二裝置編程模組解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
本發明各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,本發明保護範圍之界定,悉以本發明申請專利範圍所記載者為準。
500:資通安全方法
501~506:實施步驟
Claims (10)
- 一種資通安全方法,包含:在一第一裝置上:因應一認證資訊之輸入而隨機生成一暫態解密金鑰;將該暫態解密金鑰傳輸至一第三裝置,並從該第三裝置取回一標誌索引;基於該暫態解密金鑰之一部分而生成並加密一電子數位簽章以生成一認證標誌;以及組合該認證資訊、該標誌索引與該認證標誌而形成一暫態字串並將該暫態字串傳輸至一第二裝置;以及在該第二裝置上:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
- 如請求項1所述之資通安全方法,還包含以下其中之一:在該第一裝置上:因應一使用者請求登入一網路應用而輸入該認證資訊而選擇性要求輸入一識別符,其中該認證資訊包含一帳號與一密碼,該識別符包含一位數、一數字、一文字、一字元、一字母、一符號、一圖案、一私鑰、一組合碼、一二維圖碼、一身分碼、一身分識別碼及其組合其中之一;因應該認證資訊之輸入而選擇性要求輸入該識別符並隨機生成一 第一暫態解密金鑰;實施一加擾程序以基於該第一暫態解密金鑰之一部分生成一第二暫態解密金鑰,並基於該第二暫態解密金鑰加密該電子數位簽章以生成該認證標誌;以及將該第一暫態解密金鑰與該第二暫態解密金鑰傳輸至該第三裝置。
- 如請求項2所述之資通安全方法,還包含以下其中之一:在該第二裝置上:實施一帳密驗證程序以驗證該帳號與該密碼是否正確匹配;實施一身分識別驗證程序以驗證該識別符是否與該認證資訊包含的該帳號與該密碼正確匹配;實施一簽章查核程序以驗證該電子數位簽章未遭到竄改;以及當該帳密驗證程序、該身分識別驗證程序以及該簽章查核程序其中之一之結果為正確時,允許該使用者登入該網路應用。
- 如請求項3所述之資通安全方法,還包含以下其中之一:在該第一裝置上:選擇性地基於該認證資訊或者該識別符實施一第一密碼學演算法而隨機生成該第一暫態解密金鑰;實施該第一密碼學演算法而隨機生成該第一暫態解密金鑰;基於該第一暫態解密金鑰實施一第二密碼學演算法而生成該電子數位簽章;基於該第二暫態解密金鑰而實施一第三密碼學演算法而加密該電子數位簽章以生成該認證標誌;以及在該第三裝置上基於該第一暫態解密金鑰與該第二暫態解密金鑰生成該標誌索引。
- 如請求項4所述之資通安全方法,還包含以下其中之一:在該第二裝置上:基於該第二暫態解密金鑰而實施該第三密碼學演算法以解密該認證標誌以獲得該電子數位簽章;以及基於該第一暫態解密金鑰而查核該電子數位簽章是否遭到竄改。
- 如請求項5所述之資通安全方法,還包含以下其中之一:在該第一裝置、該第二裝置以及該第三裝置上:當該帳密驗證以及該身分識別驗證皆實施完成後,銷毀儲存在該第一裝置、該第二裝置以及該第三裝置上的該第一暫態解密金鑰與該第二暫態解密金鑰;以及在該第一裝置以及該第二裝置上:當該帳密驗證以及該身分識別驗證皆實施完成後,銷毀儲存在該第一裝置以及該第二裝置上的該認證資訊、該電子數位簽章、該認證標誌、該標誌索引以及該暫態字串。
- 如請求項1所述之資通安全方法,其中該第一裝置係選自一桌上型電腦、一筆記型電腦、一智慧手機以及一平板裝置其中之一,該第二裝置係選自一小型基地台、一路由器、一集線器、一交換器、一橋接器、一閘道器、一橋接路由器、一中繼器、一邊緣伺服器、一微處理控制器、一自動提款機、一零售點機、一個人電腦工作站、一工具機、一可程式邏輯 控制器、一無人機、一網路攝像頭、一衛星電話、一車用CAN匯流排節點、一IP分享器、一網路應用伺服器、一應用服務提供者伺服器、一網路內容提供者伺服器、一網路服務提供者伺服器、一虛擬機伺服器、一無伺服器函式裝置、一工作站主機、一車用CAN匯流排主控節點以及一生產工廠內部主控節點其中之一,該第三裝置係選自一安全中介伺服器以及一雲端伺服器其中之一。
- 一種資通安全方法,包含:在一第一裝置上因應一認證資訊之輸入而隨機生成一暫態解密金鑰;將該暫態解密金鑰傳輸至一第四裝置包含的一第三裝置編程模組,並從該第三裝置編程模組取回一標誌索引;基於該暫態解密金鑰之一部分而生成並加密一電子數位簽章以生成一認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成一暫態字串並將該暫態字串傳輸至該第四裝置包含的一第二裝置編程模組;執行該第二裝置編程模組以解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
- 一種資通安全系統,包含:一第三裝置;一第一裝置,其經配置以執行:因應一認證資訊之輸入而隨機生成一暫態解密金鑰;將該暫態解密金鑰傳輸至該第三裝置,並從該第三裝置取回一標誌索引;基於該暫態解密金鑰之一部分而生成一電子數位簽章並加密該電子數位簽章以生成一認證標誌;以及組合該認證資訊、該標誌索引與該認證標誌而形成一暫態字串並將該暫態字串傳輸至一第二裝置;以及該第二裝置,其經配置以執行:解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
- 一種資通安全系統,包含:一第四裝置,其包含一第二裝置編程模組以及一第三裝置編程模組;一第一裝置,其係與該第四裝置通訊連接,並經配置以執行:因應一認證資訊之輸入而隨機生成一暫態解密金鑰;將該暫態解密金鑰傳輸至該第三裝置編程模組,並從該第三裝置編程模組取回一標誌索引;基於該暫態解密金鑰之一部分而生成一電子數位簽章並加密該電子數位簽章以生成一認證標誌;組合該認證資訊、該標誌索引與該認證標誌而形成一暫態字串並將該暫態字串傳輸至一第二裝置編程模組;經由該第二裝置編程模組解讀該暫態字串而取得該認證資訊、該標誌索引與該認證標誌,並基於該標誌索引向該第三裝置編程模組領取該暫態解密金鑰;以及基於該暫態解密金鑰解密該認證標誌而獲得並查核該電子數位簽章。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW112104021A TWI811178B (zh) | 2023-02-04 | 2023-02-04 | 基於多方多因子動態強加密認證之資通安全方法與系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW112104021A TWI811178B (zh) | 2023-02-04 | 2023-02-04 | 基於多方多因子動態強加密認證之資通安全方法與系統 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWI811178B true TWI811178B (zh) | 2023-08-01 |
Family
ID=88585476
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW112104021A TWI811178B (zh) | 2023-02-04 | 2023-02-04 | 基於多方多因子動態強加密認證之資通安全方法與系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI811178B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180227128A1 (en) * | 2017-02-08 | 2018-08-09 | Ca, Inc. | Secure device registration for multi-factor authentication |
US20180351950A1 (en) * | 2015-12-15 | 2018-12-06 | Verizon Patent And Licensing Inc. | Network-based authentication and security services |
US20200344058A1 (en) * | 2019-04-29 | 2020-10-29 | Google Llc | Systems and methods for distributed verification of online identity |
TW202207667A (zh) * | 2020-04-21 | 2022-02-16 | 新加坡商格步計程車控股私人有限公司 | 通訊系統中改善安全性之認證及驗證方法 |
TW202207664A (zh) * | 2020-08-03 | 2022-02-16 | 新唐科技股份有限公司 | 安全運算裝置、安全運算方法、驗證器及裝置驗證方法 |
US20220231848A1 (en) * | 2021-01-15 | 2022-07-21 | Servicenow, Inc. | Automatic key exchange |
TW202249471A (zh) * | 2021-06-01 | 2022-12-16 | 新加坡商豐立有限公司 | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 |
-
2023
- 2023-02-04 TW TW112104021A patent/TWI811178B/zh active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180351950A1 (en) * | 2015-12-15 | 2018-12-06 | Verizon Patent And Licensing Inc. | Network-based authentication and security services |
US20180227128A1 (en) * | 2017-02-08 | 2018-08-09 | Ca, Inc. | Secure device registration for multi-factor authentication |
US20200344058A1 (en) * | 2019-04-29 | 2020-10-29 | Google Llc | Systems and methods for distributed verification of online identity |
TW202207667A (zh) * | 2020-04-21 | 2022-02-16 | 新加坡商格步計程車控股私人有限公司 | 通訊系統中改善安全性之認證及驗證方法 |
TW202207664A (zh) * | 2020-08-03 | 2022-02-16 | 新唐科技股份有限公司 | 安全運算裝置、安全運算方法、驗證器及裝置驗證方法 |
US20220231848A1 (en) * | 2021-01-15 | 2022-07-21 | Servicenow, Inc. | Automatic key exchange |
TW202249471A (zh) * | 2021-06-01 | 2022-12-16 | 新加坡商豐立有限公司 | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757662B2 (en) | Confidential authentication and provisioning | |
US11271730B2 (en) | Systems and methods for deployment, management and use of dynamic cipher key systems | |
US10243742B2 (en) | Method and system for accessing a device by a user | |
CN111512608B (zh) | 基于可信执行环境的认证协议 | |
US11503022B2 (en) | Personalized security system | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
US11438316B2 (en) | Sharing encrypted items with participants verification | |
CN114553566B (zh) | 数据加密方法、装置、设备及存储介质 | |
TWI811178B (zh) | 基於多方多因子動態強加密認證之資通安全方法與系統 | |
Chen et al. | Analysis and improvement of user authentication framework for cloud computing | |
WO2023151427A1 (zh) | 量子密钥传输方法、装置及系统 | |
Shi et al. | Verification of LINE encryption version 1.0 using proverif | |
CN107657168A (zh) | 一种运用单点登录技术协调与控制的电商平台 | |
Nyakomitta et al. | Secure end point data security using java application programming interface | |
Zhang et al. | Improved CP-ABE Algorithm Based on Identity and Access Control | |
Rashmi et al. | Block Design Key for Secure Data Sharing in Cloud Computing | |
Zeb | Enhancement in TLS authentication with RIPEMD-160 | |
CN110557360A (zh) | 讯息传输的系统与方法 | |
Holt et al. | Cryptography | |
Rahnama et al. | Applying ParseKey+ as a new multi-way client and server authentication approach to resolve imperfect counter utilization in IEEE802. 11i for impersonation avoidance |