TWI849942B - 多裝置多因子動態強加密認證方法 - Google Patents
多裝置多因子動態強加密認證方法 Download PDFInfo
- Publication number
- TWI849942B TWI849942B TW112120395A TW112120395A TWI849942B TW I849942 B TWI849942 B TW I849942B TW 112120395 A TW112120395 A TW 112120395A TW 112120395 A TW112120395 A TW 112120395A TW I849942 B TWI849942 B TW I849942B
- Authority
- TW
- Taiwan
- Prior art keywords
- network device
- decryption key
- display
- temporary
- application server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000003287 optical effect Effects 0.000 claims abstract description 40
- 230000001052 transient effect Effects 0.000 claims abstract description 38
- 238000012795 verification Methods 0.000 claims description 48
- 238000007726 management method Methods 0.000 description 29
- 238000010586 diagram Methods 0.000 description 21
- 238000013475 authorization Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 241000209507 Camellia Species 0.000 description 1
- 241001441724 Tetraodontidae Species 0.000 description 1
- 235000018597 common camellia Nutrition 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
Images
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本發明關於一種多裝置多因子動態強加密認證方法,其包含:在無顯示器網路裝置應用伺服器上隨機生成暫態解密金鑰;將該暫態解密金鑰以及無顯示器網路裝置的網路位址透過光學識別符提供給使用者設備;在該使用者設備上基於該暫態解密金鑰與該網路位址執行暫態憑證取得程序以取得暫態憑證;以及在該使用者設備上基於該暫態解密金鑰、該暫態憑證與身分識別資訊而實施多方多因子動態強加密認證方法,而透過安全伺服器認證該身分識別資訊。
Description
本發明係關於一種多裝置多因子動態強加密認證方法,尤其是一種可以適用於無顯示器網路裝置如路由器之一種多裝置多因子動態強加密認證方法,以為無顯示器網路裝置提供資通安全保護並增強其網路傳輸安全性。
按習用技術,路由器(router)的管理者帳號密碼,往往很容易被駭客攻破,最主要原因在於,許多使用者在給定路由器管理者帳號和密碼時,喜歡使用簡單的密碼,例如123456與password等簡易密碼或稱弱密碼,但對於駭客而言,只要簡單的反覆嘗試所有可能的密碼組合,即可破解這些弱密碼,從而駭入路由器管理介面。
其次的原因就是,許多使用者沒有重置路由器產品的預設帳密,路由器出廠時都有預設的臨時管理者帳號和密碼,但這些預設帳密也是弱密碼,且通常有固定規律,例如admin/admin、root/root等,常有使用者忘記或直接沿用這些預設帳密,在此情況下,駭客透過暴力填充手法,即可破解這些預設帳號和密碼。
再者,路由器韌體本身可能存在未知漏洞遭駭客利用,這些
韌體漏洞的產生,可能是因為製造商的疏忽,韌體版本老舊,使用長期未更新韌體等原因導致,在此情況下,即便使用者設定了強密碼,駭客還是可以循已知漏洞入侵這類路由器。
整體來說,路由器管理者帳號和密碼容易被攻破的原因,還是在於大部分使用者缺少路由器網路安全的意識,認為路由器不是重要設備,因此沒有設置強密碼,但殊不知,所有的資訊包含敏感資訊,都必須經由路由器傳送。但是,畢竟多數使用者都不是具備資訊安全知識的資安專業人士,一般路由器消費者缺少路由器網路相關安全意識應屬正常。
還有許多駭客攻擊手法,包含網路釣魚、木馬程式埋入、鍵盤側錄、SQL植入、中介攻擊以及大規模分散式阻斷服務攻擊(DDoS)攻擊等,駭客透過這些手法,就可以輕易破解路由器帳密,特別是當眾多使用者都對路由器網路安全較為輕忽的情況下,像路由器這樣的裝置,等同直接曝露在被駭客攻擊的風險之下。
綜上所述,鑑於目前路由器,及與路由器同屬於網路裝置(networking device)的其他網路裝置,都正在面臨上述資通安全(cybersecurity)問題,因此,實有必要提出對應的資通安全措施,以解決上述的資通安全問題。
職是之故,有鑑於此,發明人經過悉心嘗試與研究,並一本鍥而不捨之精神,終構思出本案「多裝置多因子動態強加密認證方法」,能夠克服上述習用技術存在的缺點,以下為本發明之簡要說明。
本發明係關於一種多裝置多因子動態強加密認證方法,尤其
是一種可以適用於無顯示器網路裝置如路由器之一種多裝置多因子動態強加密認證方法,以為無顯示器網路裝置提供資通安全保護並增強其網路傳輸安全性。
據此,本發明提出一種多裝置多因子動態強加密認證方法,其包含:在無顯示器網路裝置應用伺服器上隨機生成暫態解密金鑰;將該暫態解密金鑰以及無顯示器網路裝置的網路位址透過光學識別符提供給使用者設備;在該使用者設備上基於該暫態解密金鑰與該網路位址執行暫態憑證取得程序以取得暫態憑證;以及在該使用者設備上基於該暫態解密金鑰、該暫態憑證與身分識別資訊而實施多方多因子動態強加密認證方法,而透過安全伺服器認證該身分識別資訊。
上述發明內容旨在提供本揭示內容的簡化摘要,以使讀者對本揭示內容具備基本的理解,此發明內容並非揭露本發明的完整描述,且用意並非在指出本發明實施例的重要/關鍵元件或界定本發明的範圍。
10:多裝置多因子動態強加密認證系統
20:區域網路
100:使用者設備
110:第一應用程式
120:通行碼輸入頁面
130:識別符掃描介面
140:驗證資訊傳遞通知頁面
200:無顯示器網路裝置應用伺服器
210:第二服務程式
300:安全伺服器
310:第三服務程式
400:無顯示器網路裝置
410:第四代理程式
500:有顯示器連網裝置
510:網頁瀏覽器
520:登入頁面
530:光學識別符
540:主頁面
650:待驗裝置報到程序
660:暫態憑證取得程序
670:待驗裝置認證程序
680:認證資訊中間驗證程序
601-627:執行步驟
第1圖揭示本發明包含之多裝置多因子動態強加密認證系統之系統架構示意圖;
第2圖揭示本發明包含之多裝置多因子動態強加密認證方法其執行步驟之時序圖;
第3圖揭示本發明包含之多方多因子動態強加密認證方法其執行步驟之時序圖;
第4圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的
Web網路裝置管理平台的登入頁面之示意圖;
第5圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面的最頂層的光學識別符之示意圖;
第6圖揭示本發明包含之第一應用程式在使用者設備上開啟時提供的通行碼輸入頁面之示意圖;
第7圖揭示本發明包含之在使用者設備上執行的第一應用程式提供的識別符掃描介面之示意圖;
第8圖揭示本發明包含之在使用者設備上執行的第一應用程式提供的驗證資訊傳遞通知頁面之示意圖;
第9圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面之示意圖;以及
第10圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面之示意圖。
本發明將可由以下的實施例說明而得到充分瞭解,使得熟習本技藝之人士可以據以完成之,然本發明之實施並非可由下列實施案例而被限制其實施型態;本發明之圖式並不包含對大小、尺寸與比例尺的限定,本發明實際實施時其大小、尺寸與比例尺並非可經由本發明之圖式而被限制。
本文中用語“較佳”是非排他性的,應理解成“較佳為但不限於”,任何說明書或請求項中所描述或者記載的任何步驟可按任何順序執行,而不限於請求項中所述的順序,本發明的範圍應僅由所附請求項及其均
等方案確定,不應由實施方式示例的實施例確定;本文中用語“包含”及其變化出現在說明書和請求項中時,是一個開放式的用語,不具有限制性含義,並不排除其他特徵或步驟。
第1圖揭示本發明包含之多裝置多因子動態強加密認證系統之系統架構示意圖;在本實施例,多裝置多因子動態強加密認證系統10至少包含由使用者進行操作的使用者設備100、無顯示器網路裝置應用伺服器200、安全伺服器300、無顯示器網路裝置400以及有顯示器連網裝置500,上述設備與裝置彼此係透過網際網路而建立通訊鏈路(communication link)與傳輸連線(transmission connection),以進行訊息與資訊交換。
無顯示器網路裝置400係指於用於組建網路,或者在網路節點之間提供中介的網路裝置(networking device),且產品本身於製造完成時未提供任何內建顯示器的網路裝置,當需要設定、配置或管理無顯示器網路裝置400時,使用者需要經由使用其他第三方設備即有顯示器連網裝置500,經由操作在有顯示器連網裝置500上執行的網頁瀏覽器(Web browser),而存取、登入並操作基於PaaS技術而建置在無顯示器網路裝置應用伺服器200上的專用Web網路裝置管理平台或者手機App後台管理程式,才能對無顯示器網路裝置400進行設定、配置或管理。
無顯示器網路裝置400不提供任何內建顯示器的原因包含但不限於:基於成本、使用率或者簡化操作之考量,常見的無顯示器網路裝置400包含但不限於:小型基地台(small cell)、路由器(router)、集線器(hub)、交換器(switch)、橋接器(bridge)、閘道器(gateway)、橋接路由器(brouter)、中繼器(relay repeater)、邊緣伺服器(edge server)、微處理控制器(MCU)、銀行
自動提款櫃員機(ATM)、零售點機(POS)、工具機(machine tool)、可程式邏輯控制器(PLC)、無人機(UAV)、網路攝像頭(IP cam)、衛星電話(satellite phone)、車用CAN匯流排節點(CAN bus node)、IP分享器(NAT)、伺服器負載平衡器(server load balancer)以及應用交換機(application delivery controller)等。
有顯示器連網裝置500較佳是例如但不限於:桌上型電腦、筆記型電腦、平板裝置或者智慧手機等,在本實施例,有顯示器連網裝置500較佳是一台筆記型電腦。使用者設備100較佳是例如但不限於:桌上型電腦、筆記型電腦、平板裝置或者智慧手機等,在本實施例,使用者設備100較佳是一台智慧手機。
在本實施例,無顯示器網路裝置400以及使用者設備100兩者係同位於同一區域網路20(LAN)環境,無顯示器網路裝置400以及有顯示器連網裝置500兩者可位於或非位於同一區域網路(LAN)20環境,使用者設備100、無顯示器網路裝置應用伺服器200以及安全伺服器300之間形成主要的三方傳輸關係,安全伺服器300係為由第三方資通安全服務提供者(cybersecurity service provider)建置與提供之第三方中介安全裝置,無顯示器網路裝置400與無顯示器網路裝置應用伺服器200兩者可合併為同一部裝置,或者分別為彼此通訊連接但相互分離且獨立的兩部裝置,在本實施例,無顯示器網路裝置400與無顯示器網路裝置應用伺服器200為彼此通訊連接但相互分離且獨立的兩部裝置。
本發明包含之多裝置多因子動態強加密認證方法之實際執行,係以例如但不限於代理程式、應用程式或者服務程式的形式實施,這些程式將預先安裝在使用者設備100、無顯示器網路裝置應用伺服器200、安全
伺服器300以及無顯示器網路裝置400上執行,在本實施例,使用者設備100、無顯示器網路裝置應用伺服器200、安全伺服器300以及無顯示器網路裝置400中,分別安裝有第一應用程式110、第二服務程式210、第三服務程式310以及第四代理程式410,以便在使用者設備100、無顯示器網路裝置應用伺服器200、安全伺服器300以及無顯示器網路裝置400之間,跨裝置實施多方多因子動態強加密認證,以針對無顯示器網路裝置400提供資通安全保護並增強其網路傳輸安全性。
第2圖揭示本發明包含之多裝置多因子動態強加密認證方法其執行步驟之時序圖;在本實施例,多裝置多因子動態強加密認證方法係基於多裝置多因子動態強加密認證系統10而實施,由於無顯示器網路裝置400未提供內建顯示器,因此當使用者要設定、配置或管理無顯示器網路裝置400時,需要另外使用一台有顯示器連網裝置500,使用者經由操作在有顯示器連網裝置500上執行的網頁瀏覽器,而存取、登入進而操作無顯示器網路裝置應用伺服器200提供的Web網路裝置管理平台,以便對無顯示器網路裝置400進行設定、配置或管理。在本實施例,無顯示器網路裝置400與無顯示器網路裝置應用伺服器200兩者係合併為同一部裝置。
在本實施例,多裝置多因子動態強加密認證方法包含以下依序實施的多個步驟:
步驟601:首先,使用者透過在有顯示器連網裝置500上操作網頁瀏覽器,而存取由無顯示器網路裝置應用伺服器200提供的登入頁面,以請求登入Web網路裝置管理平台,以便透過操作Web網路裝置管理平台而設定、配置或管理無顯示器網路裝置400。
步驟602:因應使用者對登入頁面之存取,在無顯示器網路裝置400上執行的第四代理程式410,將向在無顯示器網路裝置應用伺服器200上執行的第二服務程式210發出一個驗證請求訊息,請求第二服務程式210開始執行多裝置多因子動態強加密認證方法包含的待驗裝置報到程序650。
步驟603:在無顯示器網路裝置應用伺服器200上執行的第二服務程式210收到來自在無顯示器網路裝置400上執行的第四代理程式410之驗證請求訊息後,因應驗證請求訊息之確收,第二服務程式210將開始實施第一密碼學演算法,以隨機方式生成例如但不限於32字節(Bytes)長度的暫態解密金鑰(ephemeral decrypting key,EDK)以及所需之初始向量(initialization vector,IV)。
第一密碼學演算法較佳選自RSA算法、DSA算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法或者其組合。
步驟604:第二服務程式210取得無顯示器網路裝置400的IP位址。
步驟605:第二服務程式210依照光學識別符編碼規則,將EDK、IV與IP位址編入並生成一個光學識別符,以在光學識別符中儲存EDK、IV與IP位址,光學識別符之形式為例如但不限於二維空間圖碼如快速反應編碼(QR code),在本實施例,光學識別符經解碼後之儲存內容為例如但不限於:https://tekpass.com.tw/phantom?token=EDKIV&receiver=IPADD,
其中字串EDKIV為EDK與IV資訊,字串IPADD為無顯示器網路裝置400的IP位址。
步驟606:在無顯示器網路裝置應用伺服器200上執行的第二服務程式210將所生成的光學識別符,回傳給在無顯示器網路裝置400上執行的第四代理程式410。
步驟607:第四代理程式410將所收到的光學識別符,優先覆蓋在有顯示器連網裝置500的登入頁面的最頂層,以預備提供給由使用者操作的使用者設備100之鏡頭進行掃描。
步驟608:接著,使用者開啟安裝在使用者設備100上的第一應用程式110,點選進入第一應用程式110提供的識別符掃描介面,然後將使用者設備100包含的鏡頭,對準顯示在有顯示器連網裝置500的登入頁面最頂層的光學識別符,並以鏡頭擷取光學識別符之影像。
步驟609:當第一應用程式110成功擷取有顯示器連網裝置500所顯示的光學識別符後,第一應用程式110將先解析(phrase)所擷取到的光學識別符是否符合光學識別符編碼規則,以驗證光學識別符的真偽如是否遭到竄改等。
步驟610:當第一應用程式110確認所擷取到的光學識別符為真實時,第一應用程式110依照光學識別符編碼規則解碼光學識別符,取得儲存在光學識別符中的EDK、IV與IP位址,並將無顯示器網路裝置400的IP位址與使用者在第一應用程式110中註冊並與使用者設備100綁定的身分識別資訊(ID)進行綁定。至此,待驗裝置報到程序650執行完成,身分識別資訊與使用者設備100以及無顯示器網路裝置400完成綁定。
步驟611:在第一應用程式110獲得EDK、IV與IP位址後,第一應用程式110將開始執行暫態憑證取得程序660以生成暫態憑證(phantom token),以便在暫態憑證之授權下繼續執行接續步驟;暫態憑證取得程序包含:第一應用程式110基於EDK、IV與IP位址實施多裝置多因子動態強加密認證方法包含的多方多因子動態強加密認證方法,以生成並獲得暫態憑證。
步驟612:當第一應用程式110通過暫態憑證取得程序的基本檢核後,將獲得暫態憑證並取得暫態憑證之有效授權,並基於暫態憑證之授權,執行接續的待驗裝置認證程序670。
選擇性地,第一應用程式110基於所取得的EDK及IV實施第二密碼學演算法,對使用者在第一應用程式110中註冊並與使用者設備100綁定的身分識別資訊進行加密,生成一組電子數位簽章(eSignature)。。
第二密碼學演算法較佳選自RSA算法、DSA算法、ECDSA算法、ECC算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法或者其組合。
在本實施例,第一應用程式110係選擇基於所取得的EDK及IV實施第三密碼學演算法,對身分識別資訊(ID)進行加密,生成一組加密資訊(eID)。
第三密碼學演算法較佳選自AES算法、RSA算法、DSA算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、Blowfish算法、Camellia算法、Chacha20算法、Poly1305算法、SEED算法、CAST-128算法、DES算法、IDEA算法、RC2算法、RC4算法、
RC5算法、SM4算法、TDES算法以及GOST 28147-89算法或者其組合。
步驟613:第一應用程式110將加密資訊與暫態憑證,回傳至在無顯示器網路裝置應用伺服器200上執行的第二服務程式210。
步驟614:第二服務程式210在確認接收加密資訊與暫態憑證後,將解析所接收的加密資訊與暫態憑證,是否分別符合加密資訊編碼規則和暫態憑證編碼規則,以驗證加密資訊與暫態憑證的真偽如是否遭到竄改等。
步驟615:當第二服務程式210確認加密資訊與暫態憑證皆為真實時,基於暫態憑證的授權,指示Web網路裝置管理平台將有顯示器連網裝置500上的網頁瀏覽器回到原先的登入頁面,以及第二服務程式210將暫態憑證傳輸至在無顯示器網路裝置400上執行的第四代理程式410。
步驟616:有顯示器連網裝置500將網頁瀏覽器跳轉至原先的登入頁面,以供使用者輸入用於登入Web網路裝置管理平台的認證資訊包含帳號與密碼,第四代理程式410在收到暫態憑證後,基於暫態憑證的授權,在登入頁面中夾帶暫態憑證。
步驟617:使用者透過操作在有顯示器連網裝置500上執行的網頁瀏覽器,而在登入頁面中輸入自己的認證資訊。
步驟618:當無顯示器網路裝置400第四代理程式410確認使用者在登入頁面中完成認證資訊的輸入時,因應認證資訊的輸入,第四代理程式410將確認所輸入的認證資訊是否正確。
步驟619:當第四代理程式410確認所輸入的認證資訊為正確時,第四代理程式410將暫態憑證傳送給第二服務程式210,並基於暫態憑證
的授權,向第二服務程式210發出一個驗證請求訊息,請求第二服務程式210驗證身分識別資訊。
步驟620:在無顯示器網路裝置應用伺服器200上執行的第二服務程式210收到來自在無顯示器網路裝置400上執行的第四代理程式410之驗證請求訊息後,因應驗證請求訊息之確收,第二服務程式210基於EDK及IV實施第三密碼學演算法,以解密加密資訊(eID),而取得身分識別資訊。
步驟621:在取得身分識別資訊後,第二服務程式210確認所取得之身分識別資訊是否與認證資訊相符。
前述步驟616至步驟621為認證資訊中間驗證程序680,或者,認證資訊中間驗證程序680包含前述步驟616至步驟621。
步驟622:當第二服務程式210確認所取得之身分識別資訊與認證資訊相符時,第二服務程式210將身分識別資訊與暫態憑證,傳輸給在安全伺服器300上執行的第三服務程式310,並基於暫態憑證的授權,向第三服務程式310發出一個驗證請求訊息,請求第三服務程式310驗證身分識別資訊。
步驟623:當在安全伺服器300上執行的第三服務程式310確收身分識別資訊與暫態憑證後,基於暫態憑證的授權,第三服務程式310開始對身分識別資訊進行身分認證。
步驟624:當第三服務程式310確認身分識別資訊符合身分後,第三服務程式310發出一個內容為身分認證通過的通知訊息,並透過第二服務程式210轉發至無顯示器網路裝置400,以通知第四代理程式410身分識別資訊為真實。
步驟625:當第二服務程式210確收通知訊息後,繼續將通知訊息轉發給第四代理程式410。
步驟626:當第四代理程式410確收通知訊息後,第四代理程式410允許使用者登入Web網路裝置管理平台,使用者從有顯示器連網裝置500成功登入無顯示器網路裝置應用伺服器200上的Web網路裝置管理平台。
步驟627:第四代理程式410指示有顯示器連網裝置500,將網頁瀏覽器跳轉至Web網路裝置管理平台的主頁面,供使用者透過有顯示器連網裝置500的網頁瀏覽器而操作Web網路裝置管理平台,以設定、配置或管理無顯示器網路裝置400。
第3圖揭示本發明包含之多方多因子動態強加密認證方法其執行步驟之時序圖;在前述步驟611中,第一應用程式110在獲得EDK、IV與IP位址後,第一應用程式110將開始執行暫態憑證取得程序660以生成暫態憑證。
暫態憑證取得程序660包含以下依序實施的多個步驟:首先,第一應用程式110將以與使用者設備100綁定的身分識別資訊(ID)做為種子值(seed value),基於EDK、IV與IP位址而實施第一密碼學演算法,以產生例如但不限於32字節(bytes)長度的一組第一暫態解密金鑰(first EDK),第一密碼學算法較佳用於生成暫態解密金鑰,亦稱為雜湊或散列加密算法。
當第一暫態解密金鑰在使用者設備100上生成後,第一應用程式110繼續在使用者設備100上,基於第一暫態解密金鑰而實施第二密碼學演算法,加密身分識別資訊而生成一組電子數位簽章,第二密碼學算法較佳用於生成電子數位簽章。
當電子數位簽章在使用者設備100上生成後,第一應用程式110繼續實施加擾(scrambled)程序,以第一暫態解密金鑰為基礎,變化第一暫態解密金鑰而生成第二暫態解密金鑰(second EDK)。
當第二暫態解密金鑰在使用者設備100上生成後,第一應用程式110繼續在使用者設備100上,基於第二暫態解密金鑰而實施第三密碼學演算法,進一步加密電子數位簽章而生成認證令牌(authentication token),第三密碼學算法亦稱為安全加密算法,較佳為對稱(symmetrical)加密算法。
接著,第一應用程式110將所產生的第一與第二暫態解密金鑰,從使用者設備100發佈至安全伺服器300,在安全伺服器300上執行的第三服務程式310,將根據第一與第二暫態解密金鑰產生金鑰索引(key index),金鑰索引是指足夠提取第一與第二暫態解密金鑰資訊的最少內容或絕對小部分(strictly smaller portion),接著,在使用者設備100執行的第一應用程式110向在安全伺服器300上執行的第三服務程式310,索取對應的金鑰索引並取回金鑰索引;第一與第二暫態解密金鑰的形式不限,較佳可以是256二進位位元長度的符號字串。
接著,第一應用程式110組合身分識別資訊、所生成的認證令牌以及所取回的金鑰索引,形成一組暫態字串(string)作為暫態憑證,然後將暫態憑證從使用者設備100發佈至應用伺服器200。
在應用伺服器200上,當安裝在應用伺服器200上的第二服務程式210接收到暫態憑證後,將解析暫態憑證內包含的暫態字串,以從暫態憑證中取得身分識別資訊、金鑰索引以及認證令牌,然後將取得的金鑰索引透過加密模式或未加密模式傳輸給安全伺服器300上的第三服務程式310,
以憑藉金鑰索引向第三服務程式310領取存放在安全伺服器300上的對應的第一與第二暫態解密金鑰。
接著,在應用伺服器200上,第二服務程式210基於所領取的第二暫態解密金鑰執行第三密碼學演算法,將認證令牌解密為電子數位簽章,並以第一暫態解密金鑰執行簽章查核程序,以驗證所解密的電子數位簽章是否遭到竄改,確認電子數位簽章未遭到竄改後,再將電子數位簽章解密為身分識別資訊。
當簽章查核程序執行完成後,應用伺服器200上第二服務程式210根據驗證結果決定是否允許使用者登入,只有當簽章查核程序正確時,才能允許使用者透過操作在有顯示器連網裝置500上執行的網頁瀏覽器,而存取、登入並操作基於PaaS技術而建置在無顯示器網路裝置應用伺服器200上的專用Web網路裝置管理平台,而能對無顯示器網路裝置400進行設定、配置或管理,反之拒絕使用者登入專用Web網路裝置管理平台。
當所有驗證程序皆執行完畢後,暫存在使用者設備100、應用伺服器200以及安全伺服器300上的第一與第二暫態解密金鑰,以及暫時保存在使用者設備100與應用伺服器200上的身分識別資訊、電子數位簽章、認證令牌、暫態憑證與金鑰索引將自動銷毀。
第4圖到第10圖揭示本發明包含之多裝置多因子動態強加密認證方法之整體使用情境示意圖;第4圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面之示意圖;當管理員想要對無顯示器網路裝置400進行設定、配置或管理時,必須經由使用有顯示器連網裝置500,經由操作在有顯示器連網裝置500上執行的網頁
瀏覽器510,才能存取、登入並操作在無顯示器網路裝置應用伺服器200上執行的Web網路裝置管理平台,才能對無顯示器網路裝置400進行設定、配置或管理,如第4圖所揭示,使用者透過有顯示器連網裝置500上執行的網頁瀏覽器510存取Web網路裝置管理平台的登入頁面520之示意圖。如步驟601。
第5圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面的最頂層的光學識別符之示意圖;一旦管理員透過網頁瀏覽器510存取到登入頁面520時,系統會將此存取動作視為一個驗證請求,而開始隨機生成一組暫態解密金鑰以及一組光學識別符530,並在光學識別符530中儲存暫態解密金鑰以及無顯示器網路裝置的IP位址,然後將光學識別符530顯示在有顯示器連網裝置500上執行的網頁瀏覽器510中顯示的登入頁面520的最頂層。如步驟602到步驟607。
第6圖揭示本發明包含之第一應用程式在使用者設備上開啟時提供的通行碼輸入頁面之示意圖;然後管理員在自己的使用者設備100開啟第一應用程式110,第一應用程式110開啟時會先顯示一個通行碼輸入頁面120,要求管理員輸入自己的通行碼。如步驟602到步驟607。
第7圖揭示本發明包含之在使用者設備上執行的第一應用程式提供的識別符掃描介面之示意圖;然後管理員操作使用者設備100進入第一應用程式110提供的識別符掃描介面130,然後將使用者設備100的鏡頭對準顯示在登入頁面520最頂層的光學識別符530,擷取光學識別符530之圖案。如步驟608。
第8圖揭示本發明包含之在使用者設備上執行的第一應用程式提供的驗證資訊傳遞通知頁面之示意圖;當使用者成功擷取光學識別符
530後,系統執行步驟609至步驟616,系統在步驟609至步驟616執行完畢後,將透過在使用者設備100上執行的第一應用程式110顯示驗證資訊傳遞通知頁面140,通知管理員驗證資訊已傳遞。
第9圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面之示意圖;接著,在有顯示器連網裝置500上執行的網頁瀏覽器510將跳轉回登入頁面520,讓管理員輸入自己的認證資訊,包含帳號和密碼。如步驟617。
第10圖揭示本發明包含之顯示在有顯示器連網裝置的網頁瀏覽器中的Web網路裝置管理平台的登入頁面之示意圖;當使用者輸入自己的認證資訊後,經過系統確認認證資訊正確後,系統將執行步驟618至步驟626以驗證身分識別資訊,系統在步驟618至步驟626執行完畢後,且當身分識別資訊驗證為真實時,系統將指示在有顯示器連網裝置500上執行的網頁瀏覽器510,跳轉至Web網路裝置管理平台的主頁面540。
本發明以上各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,茲進一步提供更多本發明實施例如次:
實施例1:一種多裝置多因子動態強加密認證方法,其包含:在無顯示器網路裝置應用伺服器上隨機生成暫態解密金鑰;將該暫態解密金鑰以及無顯示器網路裝置的網路位址透過光學識別符提供給使用者設備;在該使用者設備上基於該暫態解密金鑰與該網路位址執行暫態憑證取得程序以取得暫態憑證;以及在該使用者設備上基於該暫態解密金鑰、該暫態憑證與身分識別資訊而實施多方多因子動態強加密認證方法,而透過安
全伺服器認證該身分識別資訊。
實施例2:如實施例1所述之多裝置多因子動態強加密認證方法,還包含待驗裝置報到程序,該待驗裝置報到程序包含以下其中之一:經由操作在有顯示器連網裝置執行之網頁瀏覽器,並透過該無顯示器網路裝置執行存取動作以存取該無顯示器網路裝置應用伺服器上用於管理該無顯示器網路裝置的網路裝置管理平台的登入頁面;因應該存取動作,在該無顯示器網路裝置應用伺服器上隨機生成該暫態解密金鑰並取得該無顯示器網路裝置之該網路位址;在該無顯示器網路裝置應用伺服器上生成該光學識別符並在該光學識別符中儲存該暫態解密金鑰與該網路位址;在由該網頁瀏覽器顯示之該登入頁面之最頂層顯示該光學識別符;操作該使用者設備掃描該光學識別符,以在該使用者設備上取得該暫態解密金鑰與該網路位址;以及將該網路位址與該使用者設備之該身分識別資訊進行綁定。
實施例3:如實施例2所述之多裝置多因子動態強加密認證方法,其中該暫態憑證取得程序包含以下其中之一:在該使用者設備上:基於該身分識別資訊而隨機生成第一暫態解密金鑰;基於該第一暫態解密金鑰之一部分而形成第二暫態解密金鑰以加密該身分識別資訊而生成電子數位簽章,並據此生成認證令牌;將該第一暫態解密金鑰與該第二暫態解密金鑰發布至該安全伺服器,並從該安全伺服器取回金鑰索引;以及組合該身分識別資訊、該金鑰索引與該認證令牌而形成暫態字串做為該暫態憑證。
實施例4:如實施例2所述之多裝置多因子動態強加密認證方法,還包含待驗裝置驗證程序,該待驗裝置驗證程序包含以下其中之一:在該使用者設備上基於該暫態解密金鑰將該身分識別資訊加密為加密資訊;
將該加密資訊與該暫態憑證從該使用者設備上傳輸至該無顯示器網路裝置應用伺服器;以及將該暫態憑證從該無顯示器網路裝置應用伺服器傳輸至該無顯示器網路裝置。
實施例5:如實施例4所述之多裝置多因子動態強加密認證方法,其中該待驗裝置驗證程序還包含認證資訊中間驗證程序,該認證資訊中間驗證程序包含以下其中之一:該無顯示器網路裝置應用伺服器指示在該有顯示器連網裝置執行之該網頁瀏覽器跳轉回該登入頁面,以提供使用者在該登入頁面中輸入用於登入該網路裝置管理平台的認證資訊,並在該登入頁面中夾帶該暫態憑證;透過該網頁瀏覽器向該使用者提供該登入頁面,並提供該使用者經由操作該網頁瀏覽器而在該登入頁面中輸入該認證資訊;在該無顯示器網路裝置上確認該認證資訊是否正確;當該無顯示器網路裝置上確認該認證資訊為正確時,將該暫態憑證回傳該無顯示器網路裝置應用伺服器並請求該無顯示器網路裝置應用伺服器對該身分識別資訊進行認證;在該無顯示器網路裝置應用伺服器上基於該暫態解密金鑰解密該加密資訊以獲得該身分識別資訊;以及在該無顯示器網路裝置應用伺服器上確認該身分識別資訊是否與該認證資訊相符。
實施例6:如實施例5所述之多裝置多因子動態強加密認證方法,其中該待驗裝置驗證程序包含以下其中之一:當該無顯示器網路裝置應用伺服器上確認該身分識別資訊與該認證資訊相符時,將該暫態憑證及該身分識別資訊傳輸至該安全伺服器並請求該安全伺服器對該身分識別資訊進行認證;該安全伺服器接收該身分識別資訊;該安全伺服器驗證該身分識別資訊之真實性;該安全伺服器向該無顯示器網路裝置應用伺服器回傳驗
證結果;該無顯示器網路裝置應用伺服器接收該驗證結果;以及當該驗證結果為真時,該無顯示器網路裝置應用伺服器指示在該有顯示器連網裝置執行之該網頁瀏覽器跳轉至該網路裝置管理平台包含的主頁面。
實施例7:如實施例2所述之多裝置多因子動態強加密認證方法,其中該多方多因子動態強加密認證方法包含以下其中之一:在該使用者設備上:基於該身分識別資訊而隨機生成第一暫態解密金鑰;基於該第一暫態解密金鑰之一部分而形成第二暫態解密金鑰以加密該身分識別資訊而生成電子數位簽章,並據此生成認證令牌;將該第一暫態解密金鑰與該第二暫態解密金鑰發布至該安全伺服器,並從該安全伺服器取回金鑰索引;以及組合該身分識別資訊、該金鑰索引與該認證令牌而形成暫態字串做為該暫態憑證,並將該暫態憑證傳輸至該無顯示器網路裝置應用伺服器;以及在該無顯示器網路裝置應用伺服器上:解讀該暫態憑證包含的該暫態字串而取得該身分識別資訊、該金鑰索引與該認證令牌,並基於該金鑰索引向該安全伺服器領取該第一暫態解密金鑰與該第二暫態解密金鑰;以及基於該第一暫態解密金鑰與該第二暫態解密金鑰解密該認證令牌而獲得並查核該電子數位簽章。
實施例8:如實施例4所述之多裝置多因子動態強加密認證方法,其中該多方多因子動態強加密認證方法還包含以下其中之一:在該無顯示器網路裝置應用伺服器上:實施簽章查核程序以驗證該電子數位簽章未遭到竄改;以及當該簽章查核程序之結果為正確時,允許使用者登入該網路裝置管理平台,反之拒絕該使用者登入該網路裝置管理平台。
實施例9:如實施例1所述之多裝置多因子動態強加密認證方
法,其中該無顯示器網路裝置係為小型基地台、路由器、集線器、交換器、橋接器、閘道器、橋接路由器、中繼器、邊緣伺服器、微處理控制器、銀行自動提款櫃員機、零售點機、工具機、可程式邏輯控制器、無人機、網路攝像頭、衛星電話、車用CAN匯流排節點、IP分享器、伺服器負載平衡器或者應用交換機。
實施例10:如實施例2所述之多裝置多因子動態強加密認證方法,其中該光學識別符係為二維空間圖碼或者OR code,該使用者設備係為智慧手機、平板裝置、筆記型電腦或者桌上型電腦,有顯示器連網裝置係為智慧手機、平板裝置、筆記型電腦或者桌上型電腦。
本發明各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,本發明保護範圍之界定,悉以本發明申請專利範圍所記載者為準。
100:使用者設備
110:第一應用程式
200:無顯示器網路裝置應用伺服器
210:第二服務程式
300:安全伺服器
310:第三服務程式
400:無顯示器網路裝置
410:第四代理程式
500:有顯示器連網裝置
650:待驗裝置報到程序
660:暫態憑證取得程序
670:待驗裝置認證程序
680:認證資訊中間驗證程序
601-627:執行步驟
Claims (8)
- 一種多裝置多因子動態強加密認證方法,其包含:在一無顯示器網路裝置應用伺服器上隨機生成一暫態解密金鑰;將該暫態解密金鑰以及一無顯示器網路裝置的一網路位址透過一光學識別符提供給一使用者設備;在該使用者設備上:基於該暫態解密金鑰與該網路位址生成一第一暫態解密金鑰;基於該第一暫態解密金鑰之一部分而形成一第二暫態解密金鑰以加密一身分識別資訊而生成一電子數位簽章,並據此生成一認證令牌;將該第一暫態解密金鑰與該第二暫態解密金鑰發布至一安全伺服器,並從該安全伺服器取回一金鑰索引;以及組合該身分識別資訊、該金鑰索引與該認證令牌而形成一暫態字串做為該暫態憑證,並將該暫態憑證傳輸至該無顯示器網路裝置應用伺服器;以及在該無顯示器網路裝置應用伺服器上:解讀該暫態憑證包含的該暫態字串而取得該身分識別資訊、該金鑰索引與該認證令牌,並基於該金鑰索引向該安全伺服器領取該第一暫態解密金鑰與該第二暫態解密金鑰;以及基於該第一暫態解密金鑰與該第二暫態解密金鑰解密該認證令牌而獲得並查核該電子數位簽章,藉此以透過該安全伺服器認證該身分識別資訊。
- 如請求項1所述之多裝置多因子動態強加密認證方法,還包含一待驗裝置報到程序,該待驗裝置報到程序包含:經由操作在一有顯示器連網裝置執行之一網頁瀏覽器,並透過該無顯示器網路裝置執行一存取動作以存取該無顯示器網路裝置應用伺服器上用於管理該無顯示器網路裝置的一網路裝置管理平台的一登入頁面;因應該存取動作,在該無顯示器網路裝置應用伺服器上隨機生成該暫態解密金鑰並取得該無顯示器網路裝置之該網路位址;在該無顯示器網路裝置應用伺服器上生成該光學識別符並在該光學識別符中儲存該暫態解密金鑰與該網路位址;在由該網頁瀏覽器顯示之該登入頁面之最頂層顯示該光學識別符;操作該使用者設備掃描該光學識別符,以在該使用者設備上取得該暫態解密金鑰與該網路位址;以及將該網路位址與該使用者設備之該身分識別資訊進行綁定。
- 如請求項2所述之多裝置多因子動態強加密認證方法,還包含一待驗裝置驗證程序,該待驗裝置驗證程序包含:在該使用者設備上基於該暫態解密金鑰將該身分識別資訊加密為一加密資訊;將該加密資訊與該暫態憑證從該使用者設備上傳輸至該無顯示器網路裝置應用伺服器;以及將該暫態憑證從該無顯示器網路裝置應用伺服器傳輸至該無顯示器網路裝置。
- 如請求項3所述之多裝置多因子動態強加密認證方法,其中該待驗裝置驗證程序還包含一認證資訊中間驗證程序,該認證資訊中間驗證程序包含:該無顯示器網路裝置應用伺服器指示在該有顯示器連網裝置執行之該網頁瀏覽器跳轉回該登入頁面,以提供一使用者在該登入頁面中輸入用於登入該網路裝置管理平台的一認證資訊,並在該登入頁面中夾帶該暫態憑證;透過該網頁瀏覽器向該使用者提供該登入頁面,並提供該使用者經由操作該網頁瀏覽器而在該登入頁面中輸入該認證資訊;在該無顯示器網路裝置上確認該認證資訊是否正確;當該無顯示器網路裝置上確認該認證資訊為正確時,將該暫態憑證回傳該無顯示器網路裝置應用伺服器並請求該無顯示器網路裝置應用伺服器對該身分識別資訊進行認證;在該無顯示器網路裝置應用伺服器上基於該暫態解密金鑰解密該加密資訊以獲得該身分識別資訊;以及在該無顯示器網路裝置應用伺服器上確認該身分識別資訊是否與該認證資訊相符。
- 如請求項4所述之多裝置多因子動態強加密認證方法,其中該待驗裝置驗證程序包含:當該無顯示器網路裝置應用伺服器上確認該身分識別資訊與該認證資訊相符時,將該暫態憑證及該身分識別資訊傳輸至該安全伺服器並請求該安全伺服器對該身分識別資訊進行認證;該安全伺服器接收該身分識別資訊;該安全伺服器驗證該身分識別資訊之真實性; 該安全伺服器向該無顯示器網路裝置應用伺服器回傳一驗證結果;該無顯示器網路裝置應用伺服器接收該驗證結果;以及當該驗證結果為真時,該無顯示器網路裝置應用伺服器指示在該有顯示器連網裝置執行之該網頁瀏覽器跳轉至該網路裝置管理平台包含的一主頁面。
- 如請求項2所述之多裝置多因子動態強加密認證方法,還包含:在該無顯示器網路裝置應用伺服器上:實施一簽章查核程序以驗證該電子數位簽章未遭到竄改;以及當該簽章查核程序之結果為正確時,允許一使用者登入該網路裝置管理平台,反之拒絕該使用者登入該網路裝置管理平台。
- 如請求項1所述之多裝置多因子動態強加密認證方法,其中該無顯示器網路裝置係為一小型基地台、一路由器、一集線器、一交換器、一橋接器、一閘道器、一橋接路由器、一中繼器、一邊緣伺服器、一微處理控制器、一銀行自動提款櫃員機、一零售點機、一工具機,一可程式邏輯控制器、一無人機、一網路攝像頭、一衛星電話、一車用CAN匯流排節點、一IP分享器、一伺服器負載平衡器或者一應用交換機。
- 如請求項2所述之多裝置多因子動態強加密認證方法,其中該光學識別符係為一二維空間圖碼或者一OR code,該使用者設備係為一智慧手機、一平板裝置、一筆記型電腦或者一桌上型電腦,有顯示器連網裝置係為一智慧手機、一平板裝置、一筆記型電腦或者一桌上型電腦。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112120395A TWI849942B (zh) | 2023-05-31 | 2023-05-31 | 多裝置多因子動態強加密認證方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112120395A TWI849942B (zh) | 2023-05-31 | 2023-05-31 | 多裝置多因子動態強加密認證方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWI849942B true TWI849942B (zh) | 2024-07-21 |
Family
ID=92929426
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112120395A TWI849942B (zh) | 2023-05-31 | 2023-05-31 | 多裝置多因子動態強加密認證方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI849942B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120240204A1 (en) * | 2011-03-11 | 2012-09-20 | Piyush Bhatnagar | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication |
| US20160099920A1 (en) * | 2014-10-03 | 2016-04-07 | Intrinsic-Id B.V. | Method for establishing a cryptographically protected communication channel |
| US20180041484A1 (en) * | 2016-08-03 | 2018-02-08 | KryptCo, Inc. | Systems and methods for delegated cryptography |
| US20190394052A1 (en) * | 2018-06-25 | 2019-12-26 | Auth9, Inc. | Method, computer program product and apparatus for creating, registering, and verifying digitally sealed assets |
| CN113992365A (zh) * | 2021-10-15 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种密钥分发方法、装置及电子设备 |
-
2023
- 2023-05-31 TW TW112120395A patent/TWI849942B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120240204A1 (en) * | 2011-03-11 | 2012-09-20 | Piyush Bhatnagar | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication |
| US20160099920A1 (en) * | 2014-10-03 | 2016-04-07 | Intrinsic-Id B.V. | Method for establishing a cryptographically protected communication channel |
| US20180041484A1 (en) * | 2016-08-03 | 2018-02-08 | KryptCo, Inc. | Systems and methods for delegated cryptography |
| US20190394052A1 (en) * | 2018-06-25 | 2019-12-26 | Auth9, Inc. | Method, computer program product and apparatus for creating, registering, and verifying digitally sealed assets |
| CN113992365A (zh) * | 2021-10-15 | 2022-01-28 | 北京天融信网络安全技术有限公司 | 一种密钥分发方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109088889B (zh) | 一种ssl加解密方法、系统及计算机可读存储介质 | |
| US9935925B2 (en) | Method for establishing a cryptographically protected communication channel | |
| US8214649B2 (en) | System and method for secure communications between at least one user device and a network entity | |
| US8763097B2 (en) | System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication | |
| US7992193B2 (en) | Method and apparatus to secure AAA protocol messages | |
| AU2007267836B2 (en) | Policy driven, credential delegation for single sign on and secure access to network resources | |
| US8327143B2 (en) | Techniques to provide access point authentication for wireless network | |
| US8775794B2 (en) | System and method for end to end encryption | |
| CA3035817A1 (en) | System and method for decentralized authentication using a distributed transaction-based state machine | |
| US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
| US9979716B2 (en) | Certificate authority | |
| KR20180095873A (ko) | 무선 네트워크 접속 방법 및 장치, 및 저장 매체 | |
| US20220116385A1 (en) | Full-Duplex Password-less Authentication | |
| US20110179478A1 (en) | Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication | |
| CN108809907B (zh) | 一种证书请求消息发送方法、接收方法和装置 | |
| JP5602165B2 (ja) | ネットワーク通信を保護する方法および装置 | |
| US11546305B2 (en) | Methods and systems for secure DNS routing | |
| US9398024B2 (en) | System and method for reliably authenticating an appliance | |
| US11438316B2 (en) | Sharing encrypted items with participants verification | |
| US10211992B1 (en) | Secure certificate pinning in user provisioned networks | |
| JP2001186122A (ja) | 認証システム及び認証方法 | |
| JP2015536061A (ja) | クライアントをサーバに登録するための方法および装置 | |
| JP6056970B2 (ja) | 情報処理装置、端末機、情報処理システム及び情報処理方法 | |
| TWI849942B (zh) | 多裝置多因子動態強加密認證方法 | |
| WO2009041804A2 (en) | Secure instant messaging |