TWM619599U - 行動裝置免元件簽章系統 - Google Patents
行動裝置免元件簽章系統 Download PDFInfo
- Publication number
- TWM619599U TWM619599U TW110208289U TW110208289U TWM619599U TW M619599 U TWM619599 U TW M619599U TW 110208289 U TW110208289 U TW 110208289U TW 110208289 U TW110208289 U TW 110208289U TW M619599 U TWM619599 U TW M619599U
- Authority
- TW
- Taiwan
- Prior art keywords
- verification
- mobile device
- program
- universal
- card device
- Prior art date
Links
Images
Landscapes
- Telephone Function (AREA)
Abstract
一種行動裝置免元件簽章系統,透過行動裝置的瀏覽器產生包含待簽章資料的認證請求,並且通過近距離無線通訊將認證請求傳送至卡片裝置,當卡片裝置的通用第二因子驗證程序偵測到認證請求包含待簽章資料時,呼叫憑證作業程序進行簽章,並且將憑證作業程序回應的簽章訊息傳送至行動裝置,以便行動裝置將簽章訊息傳送至驗證機構伺服器進行驗證,並且獲得驗證結果,用以達成提高行動裝置的簽章便利性之技術功效。
Description
本創作涉及一種簽章系統,特別是行動裝置免元件簽章系統。
近年來,隨著行動網路的普及與蓬勃發展,各種支援行動裝置的網路服務便如雨後春筍般湧現。然而,如何驗證行動裝置的使用者身分便成為各家廠商亟欲解決的問題之一。
一般而言,傳統的身分驗證方式是要求使用者輸入帳號及密碼,但是此方式容易因為忘記密碼、密碼被竊取、密碼過於簡易等等的原因,使得身分驗證形同虛設,因此傳統的身分驗證方式具有驗證的安全性不足之問題。
有鑑於此,便有廠商提出結合憑證進行驗證的技術手段,其透過硬體或軟體的憑證結合簽章技術作為驗證身分的技術手段,大幅提高驗證身分的安全性。然而,此方式需要安裝與憑證相應的安控元件,故容易提高使用者的操作門檻,而且安控元件也存在需要更新與維護、與行動裝置的相容性等種種問題,故具有行動裝置的簽章便利性不佳之問題。
綜上所述,可知先前技術中長期以來一直存在行動裝置的簽章便利性不佳之問題,因此實有必要提出改進的技術手段,來解決此一問題。
本創作揭露一種行動裝置免元件簽章系統。
首先,本創作揭露一種行動裝置免元件簽章系統,應用在線上快速認證(Fast Identity Online, FIDO)的環境,此系統包含:卡片裝置及行動裝置。所述卡片裝置具近距離無線通訊功能,其包含:儲存模組及虛擬機模組。所述儲存模組用以預先設置憑證作業程序及通用第二因子(Universal 2nd Factor, U2F)驗證程序,其中,憑證作業程序與通用第二因子驗證程序允許通過程序共享介面相互呼叫;虛擬機模組連接儲存模組,用以載入憑證作業程序及通用第二因子驗證程序以進行直譯及執行,當執行的通用第二因子驗證程序偵測到包含待簽章資料的認證請求時,通過程序共享介面呼叫憑證作業程序以對待簽章資料進行簽章,並且接收憑證作業程序進行簽章後產生的簽章訊息以進行傳送。所述行動裝置透過近距離無線通訊與卡片裝置相互連接,此行動裝置包含:執行模組及驗證模組。所述執行模組用以執行瀏覽器,當欲使用卡片裝置進行簽章時,瀏覽器通過近距離無線通訊及網站認證(WebAuthn)應用程式介面將認證請求傳送至卡片裝置,其中,認證請求包含待簽章資料;驗證模組連接執行模組,用以自卡片裝置接收簽章訊息,並且將接收到的簽章訊息傳送至驗證機構伺服器,以及接收驗證機構伺服器驗證簽章訊息後產生的驗證結果。
本創作所揭露之系統如上,與先前技術的差異在於本創作是透過行動裝置的瀏覽器產生包含待簽章資料的認證請求,並且通過近距離無線通訊將認證請求傳送至卡片裝置,當卡片裝置的通用第二因子驗證程序偵測到認證請求包含待簽章資料時,呼叫憑證作業程序進行簽章,並且將憑證作業程序回應的簽章訊息傳送至行動裝置,以便行動裝置將簽章訊息傳送至驗證機構伺服器進行驗證,並且獲得驗證結果。
透過上述的技術手段,本創作可以達成提高行動裝置的簽章便利性之技術功效。
以下將配合圖式及實施例來詳細說明本創作之實施方式,藉此對本創作如何應用技術手段來解決技術問題並達成技術功效的實現過程能充分理解並據以實施。
首先,在說明本創作所揭露之行動裝置免元件簽章系統之前,先對本創作所應用的環境作說明,本創作係應用在 FIDO(如:FIDO 2) 的環境,同時通過 NFC 進行資料傳輸,以及通過「Web Authentication(簡稱:WebAuthn)」啟動FIDO驗證。如此一來,可以在免額外安裝元件的情況下,不用輸入密碼即可進行身分驗證。
以下配合圖式對本創作行動裝置免元件簽章系統做進一步說明,請先參閱「第1圖」,「第1圖」為本創作行動裝置免元件簽章系統的系統方塊圖,應用在線上快速認證的環境,此系統包含:卡片裝置110及行動裝置120。在卡片裝置110的部分,其具有近距離無線通訊功能,並且包含:儲存模組111及虛擬機模組112。其中,儲存模組111用以預先設置憑證作業程序(如:「FXML Applet」)及通用第二因子驗證程序(如:「FIDO U2F Applet」),所述憑證作業程序與通用第二因子驗證程序允許通過程序共享介面(Applet Shareable Interface)相互呼叫。在實際實施上,所述卡片裝置110係為爪哇卡(Java Card),並且允許執行包含憑證作業程序及通用第二因子驗證程序的小型應用程式(Applet)。特別要說明的是,所述卡片裝置110及行動裝置120除了具有近距離無線通訊功能之外,還可包含藍牙(Bluetooth)元件及通用序列匯流排(Universal Serial Bus, USB)至少其中之一,使卡片裝置110與行動裝置120相互連接,以便傳輸認證請求及簽章訊息。
虛擬機模組112連接儲存模組111,用以載入憑證作業程序及通用第二因子驗證程序以進行直譯及執行,當執行的通用第二因子驗證程序偵測到包含待簽章資料的認證請求時,通過程序共享介面呼叫憑證作業程序以對待簽章資料進行簽章,並且接收憑證作業程序進行簽章後產生的簽章訊息以進行傳送。在實際實施上,憑證作業程序及通用第二因子驗證程序分別包含唯一識別碼,而程序共享介面則根據所述唯一識別碼呼叫憑證作業程序及通用第二因子驗證程序。
在行動裝置120的部分,其透過近距離無線通訊與卡片裝置110相互連接,此行動裝置120包含:執行模組121及驗證模組122。其中,執行模組121用以執行瀏覽器,當欲使用卡片裝置110進行簽章時,瀏覽器通過近距離無線通訊及網站認證應用程式介面將認證請求傳送至卡片裝置110,其中,認證請求包含待簽章資料。在實際實施上,所述認證請求包含金鑰處理長度(Key Handle Length)欄位及金鑰處理(Key Handle)欄位,行動裝置120會將待簽章資料的長度儲存至金鑰處理長度欄位,以及將待簽章資料儲存至金鑰處理欄位。
驗證模組122連接執行模組121,用以自卡片裝置110接收簽章訊息,並且將接收到的簽章訊息傳送至驗證機構伺服器130,以及接收驗證機構伺服器130驗證簽章訊息後產生的驗證結果。在實際實施上,傳統的方式是由行動裝置120將卡片裝置110的回應(Response)傳送至FIDO伺服器進行驗證,然而,驗證模組122接收到應用本創作的回應時,不會送至FIDO伺服器,而是送至驗證機構伺服器130進行驗證。
特別要說明的是,在實際實施上,本創作所述的模組皆可利用硬體來實現,除此之外,本創作亦可部分地或完全地基於硬體來實現,例如,系統中的一個或多個模組可以透過積體電路晶片、系統單晶片(System on Chip, SoC)、複雜可程式邏輯裝置(Complex Programmable Logic Device, CPLD)、現場可程式邏輯閘陣列(Field Programmable Gate Array, FPGA)等來實現。本創作可以是系統及/或電腦程式。電腦程式可以包括電腦可讀儲存媒體,其上載有用於使處理器實現本創作的各個方面的電腦可讀程式指令,電腦可讀儲存媒體可以是可以保持和儲存由指令執行設備使用的指令的有形設備。電腦可讀儲存媒體可以是但不限於電儲存設備、磁儲存設備、光儲存設備、電磁儲存設備、半導體儲存設備或上述的任意合適的組合。電腦可讀儲存媒體的更具體的例子(非窮舉的列表)包括:硬碟、隨機存取記憶體、唯讀記憶體、快閃記憶體、光碟、軟碟以及上述的任意合適的組合。此處所使用的電腦可讀儲存媒體不被解釋爲瞬時信號本身,諸如無線電波或者其它自由傳播的電磁波、通過波導或其它傳輸媒介傳播的電磁波(例如,通過光纖電纜的光信號)、或者通過電線傳輸的電信號。另外,此處所描述的電腦可讀程式指令可以從電腦可讀儲存媒體下載到各個計算/處理設備,或者通過網路,例如:網際網路、區域網路、廣域網路及/或無線網路下載到外部電腦設備或外部儲存設備。網路可以包括銅傳輸電纜、光纖傳輸、無線傳輸、路由器、防火牆、交換器、集線器及/或閘道器。每一個計算/處理設備中的網路卡或者網路介面從網路接收電腦可讀程式指令,並轉發此電腦可讀程式指令,以供儲存在各個計算/處理設備中的電腦可讀儲存媒體中。執行本創作操作的電腦可讀程式指令可以是組合語言指令、指令集架構指令、機器指令、機器相關指令、微指令、韌體指令、或者以一種或多種程式語言的任意組合編寫的原始碼或目的碼(Object Code),所述程式語言包括物件導向的程式語言,如:Common Lisp、Python、C++、Objective-C、Smalltalk、Delphi、Java、Swift、C#、Perl、Ruby與PHP等,以及常規的程序式(Procedural)程式語言,如:C語言或類似的程式語言。所述電腦可讀程式指令可以完全地在電腦上執行、部分地在電腦上執行、部分在客戶端電腦上部分在遠端電腦上執行、或者完全在遠端電腦或伺服端上執行。
請參閱「第2圖」,「第2圖」為本創作行動裝置免元件簽章方法的方法流程圖,應用在線上快速認證的環境,其步驟包括:提供具近距離無線通訊功能的卡片裝置110,此卡片裝置110包含預先設置的憑證作業程序及通用第二因子驗證程序,其中,憑證作業程序與通用第二因子驗證程序允許通過程序共享介面相互呼叫(步驟210);當欲使用卡片裝置110進行簽章時,執行在行動裝置120的瀏覽器,通過近距離無線通訊及網站認證應用程式介面將認證請求傳送至卡片裝置110,其中,認證請求包含待簽章資料(步驟220);當卡片裝置110執行的通用第二因子驗證程序偵測到認證請求包含待簽章資料時,通過程序共享介面呼叫憑證作業程序以對待簽章資料進行簽章,並且接收憑證作業程序進行簽章後產生的簽章訊息,再將此簽章訊息傳送至行動裝置120(步驟230);行動裝置120將接收自卡片裝置110的簽章訊息傳送至驗證機構伺服器130,以及接收驗證機構伺服器130驗證簽章訊息後產生的驗證結果(步驟240)。透過上述步驟,即可透過行動裝置120的瀏覽器產生包含待簽章資料的認證請求,並且通過近距離無線通訊將認證請求傳送至卡片裝置110,當卡片裝置110的通用第二因子驗證程序偵測到認證請求包含待簽章資料時,呼叫憑證作業程序進行簽章,並且將憑證作業程序回應的簽章訊息傳送至行動裝置120,以便行動裝置120將簽章訊息傳送至驗證機構伺服器130進行驗證,並且從驗證機構伺服器130獲得驗證結果。
以下配合「第3圖」及「第4圖」以實施例的方式進行如下說明,請先參閱「第3圖」,「第3圖」為應用本創作在行動裝置進行免元件簽章之示意圖。在實際實施上,使用者的行動裝置320無需預先安裝任何安控元件,僅須能夠執行瀏覽器即可,而卡片裝置310則預先設置憑證作業程序311及通用第二因子驗證程序312。當使用者在行動裝置320操作瀏覽器時,倘若需要使用卡片裝置310進行簽章,行動裝置320的瀏覽器將通過近距離無線通訊及網站認證應用程式介面將包含待簽帳資料的認證請求傳送至卡片裝置310。接著,卡片裝置310的通用第二因子驗證程序312偵測到來自行動裝置320的認證請求包含待簽章資料時,通過程序共享介面呼叫憑證作業程序311,以便由憑證作業程序311對其進行簽章,然後,通用第二因子驗證程序312會接收憑證作業程序311進行簽章後所產生的簽章訊息,並且將此簽章訊息以FIDO認證回應(FIDO Authentication Response)的方式傳送至行動裝置320。此時,行動裝置320會將接收自卡片裝置310的簽章訊息傳送至驗證機構伺服器330,以及接收驗證機構伺服器330驗證簽章訊息後產生的驗證結果,以便瀏覽器能夠根據接收到的驗證結果進行相應的處理。
如「第4圖」所示意,「第4圖」為應用本創作在認證請求中儲存待簽章資料之示意圖。在實際實施上,行動裝置120的瀏覽器在產生認證請求時,瀏覽器會先將資訊整理成如「第4圖」所示意的認證請求格式400後,再傳送卡片裝置110。其中,挑戰參數欄位及應用參數欄位的內容會經過安全雜湊演算法(例如:SHA256)雜湊,所以無法放置原始資料,但是金鑰處理長度(Key Handle Length)欄位410有一個位元組(Byte)可以自訂金鑰處理(Key Handle)的長度,所以可以規劃特殊的金鑰處理欄位420,例如:在其中儲存待簽章資料。換句話說,此認證請求係經過特殊設計過,而非傳統的認證請求。當通用第二因子驗證程序偵測到這個特殊設計過的認證請求包含待簽章資料時,會通過程序共享介面呼叫憑證作業程序來進行簽章(即:產生簽章訊息),接著再由通用第二因子驗證程序將憑證作業程序回傳的簽章訊息傳送至行動裝置120以回覆給瀏覽器。特別要說明的是,由於認證請求已經過特殊設計,所以其相應的回應不是送到FIDO伺服器驗證,而是送到驗證機構伺服器130進行驗證。
綜上所述,可知本創作與先前技術之間的差異在於透過行動裝置的瀏覽器產生包含待簽章資料的認證請求,並且通過近距離無線通訊將認證請求傳送至卡片裝置,當卡片裝置的通用第二因子驗證程序偵測到認證請求包含待簽章資料時,呼叫憑證作業程序進行簽章,並且將憑證作業程序回應的簽章訊息傳送至行動裝置,以便行動裝置將簽章訊息傳送至驗證機構伺服器進行驗證,並且從驗證機構伺服器獲得驗證結果,藉由此一技術手段可以解決先前技術所存在的問題,進而達成提高行動裝置的簽章便利性之技術功效。
雖然本創作以前述之實施例揭露如上,然其並非用以限定本創作,任何熟習相像技藝者,在不脫離本創作之精神和範圍內,當可作些許之更動與潤飾,因此本創作之專利保護範圍須視本說明書所附之申請專利範圍所界定者為準。
110:卡片裝置
111:儲存模組
112:虛擬機模組
120:行動裝置
121:執行模組
122:驗證模組
130:驗證機構伺服器
310:卡片裝置
311:憑證作業程序
312:通用第二因子驗證程序
320:行動裝置
330:驗證機構伺服器
400:認證請求格式
410:金鑰處理長度欄位
420:金鑰處理欄位
步驟210:提供具近距離無線通訊功能的一卡片裝置,該卡片裝置包含預先設置的一憑證作業程序及一通用第二因子(Universal 2nd Factor, U2F)驗證程序,其中,該憑證作業程序與該通用第二因子驗證程序允許通過一程序共享介面相互呼叫
步驟220:當欲使用該卡片裝置進行簽章時,執行在一行動裝置的一瀏覽器,通過近距離無線通訊及一網站認證(WebAuthn)應用程式介面將一認證請求傳送至該卡片裝置,其中,該認證請求包含一待簽章資料
步驟230:當該卡片裝置執行的該通用第二因子驗證程序偵測到該認證請求包含該待簽章資料時,通過該程序共享介面呼叫該憑證作業程序以對該待簽章資料進行簽章,並且接收該憑證作業程序進行簽章後產生的一簽章訊息,再將該簽章訊息傳送至該行動裝置
步驟240:該行動裝置將接收自該卡片裝置的該簽章訊息傳送至一驗證機構伺服器,以及接收該驗證機構伺服器驗證該簽章訊息後產生的一驗證結果
第1圖為本創作行動裝置免元件簽章系統的系統方塊圖。
第2圖為本創作行動裝置免元件簽章方法的方法流程圖。
第3圖為應用本創作在行動裝置進行免元件簽章之示意圖。
第4圖為應用本創作在認證請求中儲存待簽章資料之示意圖。
110:卡片裝置
111:儲存模組
112:虛擬機模組
120:行動裝置
121:執行模組
122:驗證模組
130:驗證機構伺服器
Claims (5)
- 一種行動裝置免元件簽章系統,應用在線上快速認證(Fast Identity Online, FIDO)的環境,該系統包含: 一卡片裝置,具近距離無線通訊功能,該卡片裝置包含: 一儲存模組,用以預先設置一憑證作業程序及一通用第二因子(Universal 2nd Factor, U2F)驗證程序,其中,該憑證作業程序與該通用第二因子驗證程序允許通過一程序共享介面相互呼叫;以及 一虛擬機模組,連接該儲存模組,用以載入該憑證作業程序及該通用第二因子驗證程序以進行直譯及執行,當執行的該通用第二因子驗證程序偵測到包含一待簽章資料的一認證請求時,通過該程序共享介面呼叫該憑證作業程序以對該待簽章資料進行簽章,並且接收該憑證作業程序進行簽章後產生的一簽章訊息以進行傳送;以及 一行動裝置,透過近距離無線通訊與該卡片裝置相互連接,該行動裝置包含: 一執行模組,用以執行一瀏覽器,當欲使用該卡片裝置進行簽章時,該瀏覽器通過近距離無線通訊及一網站認證(WebAuthn)應用程式介面將該認證請求傳送至該卡片裝置,其中,該認證請求包含該待簽章資料;以及 一驗證模組,連接該執行模組,用以自該卡片裝置接收該簽章訊息,並且將接收到的該簽章訊息傳送至一驗證機構伺服器,以及接收該驗證機構伺服器驗證該簽章訊息後產生的一驗證結果。
- 如請求項1之行動裝置免元件簽章系統,其中該卡片裝置係為爪哇卡(Java Card),並且允許執行包含該憑證作業程序及該通用第二因子驗證程序的小型應用程式(Applet)。
- 如請求項1之行動裝置免元件簽章系統,其中該憑證作業程序及該通用第二因子驗證程序分別包含一唯一識別碼,該程序共享介面根據該唯一識別碼呼叫該憑證作業程序及該通用第二因子驗證程序。
- 如請求項1之行動裝置免元件簽章系統,其中該認證請求包含一金鑰處理長度(Key Handle Length)欄位及一金鑰處理(Key Handle)欄位,該行動裝置將該待簽章資料的長度儲存至該金鑰處理長度欄位,以及將該待簽章資料儲存至該金鑰處理欄位。
- 如請求項1之行動裝置免元件簽章系統,其中該卡片裝置及該行動裝置更包含一藍牙元件及一通用序列匯流排至少其中之一,使該卡片裝置與該行動裝置相互連接以傳輸該認證請求及該簽章訊息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110208289U TWM619599U (zh) | 2021-07-14 | 2021-07-14 | 行動裝置免元件簽章系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW110208289U TWM619599U (zh) | 2021-07-14 | 2021-07-14 | 行動裝置免元件簽章系統 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWM619599U true TWM619599U (zh) | 2021-11-11 |
Family
ID=79908729
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW110208289U TWM619599U (zh) | 2021-07-14 | 2021-07-14 | 行動裝置免元件簽章系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWM619599U (zh) |
-
2021
- 2021-07-14 TW TW110208289U patent/TWM619599U/zh unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210297410A1 (en) | Mec platform deployment method and apparatus | |
US11777926B2 (en) | Internet of things (IoT) device management | |
US11381396B2 (en) | System, apparatus and method for migrating a device having a platform group | |
CN106452782B (zh) | 为终端设备生成安全通信信道的方法和系统 | |
US9172544B2 (en) | Systems and methods for authentication between networked devices | |
WO2019043539A1 (en) | AUTOMATICALLY UPGRADING ONE-STEP AUTHENTICATION TO TWO-STEP AUTHENTICATION VIA AN APPLICATION PROGRAMMING INTERFACE | |
WO2012161738A1 (en) | Dynamic platform reconfiguration by multi-tenant service providers | |
US20220182388A1 (en) | Transfer of trust between authentication devices | |
JP2023505471A (ja) | プロビジョニング方法及び端末機器 | |
CN111404695A (zh) | 令牌请求验证方法和装置 | |
CN113765655A (zh) | 访问控制方法、装置、设备及存储介质 | |
WO2022170821A1 (zh) | 业务证书管理方法、装置、系统及电子设备 | |
CN111414640A (zh) | 秘钥访问控制方法和装置 | |
CN108833334B (zh) | 一种数字家庭网络的设备安全接入系统及方法 | |
JP2022054382A (ja) | 認証方法及び装置、コンピューティング機器、並びに媒体 | |
TWM643418U (zh) | 憑證核發暨文件簽署之系統 | |
TWM619599U (zh) | 行動裝置免元件簽章系統 | |
TWI817162B (zh) | 行動裝置免元件簽章系統及其方法 | |
CN116011590A (zh) | 联邦学习方法、装置和系统 | |
US9363290B2 (en) | Access control information generating system | |
CN115065703A (zh) | 物联网系统及其认证与通信方法、相关设备 | |
US9823944B2 (en) | Deployment control device and deployment control method for deploying virtual machine for allowing access | |
TWI831646B (zh) | 憑證核發暨文件簽署之系統及其方法 | |
US20230155842A1 (en) | Method and apparatus for certifying an application-specific key and for requesting such certification | |
CN114785522B (zh) | 车联网信息安全认证方法、系统、终端和存储介质 |