TWI856757B - 無網際網路電子裝置資通安全認證方法 - Google Patents
無網際網路電子裝置資通安全認證方法 Download PDFInfo
- Publication number
- TWI856757B TWI856757B TW112128242A TW112128242A TWI856757B TW I856757 B TWI856757 B TW I856757B TW 112128242 A TW112128242 A TW 112128242A TW 112128242 A TW112128242 A TW 112128242A TW I856757 B TWI856757 B TW I856757B
- Authority
- TW
- Taiwan
- Prior art keywords
- electronic device
- internet
- internet access
- decryption key
- server
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 64
- 230000005540 biological transmission Effects 0.000 claims description 31
- 230000001052 transient effect Effects 0.000 claims description 25
- 238000012795 verification Methods 0.000 claims description 25
- 230000004044 response Effects 0.000 claims description 19
- 230000006854 communication Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 17
- 230000002093 peripheral effect Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 6
- 238000013461 design Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 241000209507 Camellia Species 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 241001441724 Tetraodontidae Species 0.000 description 1
- 239000000956 alloy Substances 0.000 description 1
- 229910045601 alloy Inorganic materials 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000018597 common camellia Nutrition 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本發明關於一種無網際網路電子裝置資通安全認證方法,其包含:在使用者設備上:組合金鑰索引、電子數位簽章與認證令牌而形成暫態憑證並將該暫態憑證傳輸至無網際網路電子裝置;以及在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引;以及請求該使用者設備執行網路傳遞服務而透過該使用者設備將該金鑰索引轉發至第三方安全伺服器,以基於該金鑰索引向該第三方安全伺服器領取一暫態解密金鑰。
Description
本發明係關於一種無網際網路電子裝置資通安全認證方法,尤其是一種藉由網路傳遞服務使得無網際網路電子裝置能夠進行第三方雲端身分認證之無網際網路電子裝置資通安全認證方法,以便為無法連接網際網路的無網際網路電子裝置提供資通安全防護。
在習用技術中,諸如「區域網路(LAN)設備」、「個人區域網路(PAN)設備」以及「內部網路(Intranet)設備」等不連接網際網路(Internet)的無網際網路電子裝置(non-Internet electronic device),由於不連接網際網路,通常不進行身分安全認證或驗證機制,也不需在通訊過程對傳輸內容進行加解密,因此這些電子裝置在資通安全(cybersecurity)方面的表現較差。
常見的無網際網路電子裝置,涵蓋了由電池驅動的低功耗個人區域網路(PAN)設備,例如各種藍牙(Bluetooth)裝置;僅限於區域網路(LAN)內使用且無內建顯示器的設備,例如印表機和網路儲存媒體(NAS);以及僅在內部場域運作的內部網路設備,例如私人監視攝像頭和內部伺服器。
由於這些裝置不連接網際網路(Internet),因此其原始硬體設
計就不賦予連接網際網路或廣域網路(WAN)的能力,因此,這些裝置無法透過雲端認證等方式進行身分安全認證或驗證,此外,由於這些裝置僅用於內部資料傳輸,只有內部使用者擁有存取權限,一般認為這些裝置是曝露在相對安全的網路環境中,資通安全性通常不是其設計時的首要考量。
再者,由於這些裝置功能單一且使用場域相對安全,因此這些裝置的硬體效能包含運算能力、通訊能力與資料存儲容量都非常有限,不足以支援身分安全認證以及通訊內容的加解密等任務,在設計時加入這些任務最終將增加硬體複雜性和成本,可能不符合這些裝置的首要設計目標。
因此,就資通安全(cybersecurity)而言,這些無網際網路電子裝置其實是不夠安全的,也存在許多資通安全漏洞。舉例來說,任何未經過身分安全認證的第三人,都可以任意使用屬於某特定人的藍牙設備,因為藍牙設備缺乏身分認證安全機制;任何人都可以使用特殊設備監聽藍牙通訊裝置的通訊內容,並竊取信息或執行其他惡意操作,因為這些藍牙設備沒有對通訊內容加解密;甚至藍牙車門鎖有安全漏洞,駭客可以解鎖車門,上車把車開走。
職是之故,有鑑於此,發明人經過悉心嘗試與研究,並一本鍥而不捨之精神,終構思出本案「無網際網路電子裝置資通安全認證方法」,能夠克服上述習用技術存在的缺點,以下為本發明之簡要說明。
本發明係關於一種無網際網路電子裝置資通安全認證方法,尤其是一種藉由網路傳遞服務使得無網際網路電子裝置能夠進行第三方雲端身分認證之無網際網路電子裝置資通安全認證方法,以便為無法連接網
際網路的無網際網路電子裝置提供資通安全防護。
據此,本發明提出一種無網際網路電子裝置資通安全認證方法,其包含:在使用者設備上:隨機生成暫態解密金鑰,並將該暫態解密金鑰傳輸至安全伺服器,並從該安全伺服器取回金鑰索引;基於該暫態解密金鑰之一部分加密身分識別資訊以生成電子數位簽章,並據此生成認證令牌;以及組合該金鑰索引、該電子數位簽章與該認證令牌而形成暫態憑證並將該暫態憑證傳輸至無網際網路電子裝置;以及在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引;以及請求該使用者設備執行網路傳遞服務而透過該使用者設備將該金鑰索引轉發至該安全伺服器,以基於該金鑰索引向該安全伺服器領取該暫態解密金鑰。
上述發明內容旨在提供本揭示內容的簡化摘要,以使讀者對本揭示內容具備基本的理解,此發明內容並非揭露本發明的完整描述,且用意並非在指出本發明實施例的重要/關鍵元件或界定本發明的範圍。
10:無網際網路電子裝置資通安全認證系統
100:使用者設備
110:第一服務編程模組
120:網路傳遞服務編程模組
200:無網際網路電子裝置
210:第二服務編程模組
220:周邊服務編程模組
300:安全伺服器
310:第三服務編程模組
C1:第一傳輸連線
C2:第二傳輸連線
C3:第三傳輸連線
TC:傳遞連線
500:無網際網路電子裝置資通安全認證方法
501-505:實施步驟
601-628:執行步驟
第1圖揭示本發明包含之無網際網路電子裝置資通安全認證系統之系統架構示意圖;
第2圖揭示由本發明使用者設備、無網際網路電子裝置以及安全伺服器形成之三方傳輸關係之示意圖;
第3圖揭示本發明包含之無網際網路電子裝置資通安全認證方法其執行步驟之時序圖;以及
第4圖揭示本發明包含之無網際網路電子裝置資通安全認證方法之實
施步驟流程圖。
本發明將可由以下的實施例說明而得到充分瞭解,使得熟習本技藝之人士可以據以完成之,然本發明之實施並非可由下列實施案例而被限制其實施型態;本發明之圖式並不包含對大小、尺寸與比例尺的限定,本發明實際實施時其大小、尺寸與比例尺並非可經由本發明之圖式而被限制。
本文中用語“較佳”是非排他性的,應理解成“較佳為但不限於”,任何說明書或請求項中所描述或者記載的任何步驟可按任何順序執行,而不限於請求項中所述的順序,本發明的範圍應僅由所附請求項及其均等方案確定,不應由實施方式示例的實施例確定;本文中用語“包含”及其變化出現在說明書和請求項中時,是一個開放式的用語,不具有限制性含義,並不排除其他特徵或步驟。
第1圖揭示本發明包含之無網際網路電子裝置資通安全認證系統之系統架構示意圖;在本實施例,無網際網路電子裝置資通安全認證系統10至少包含由使用者操作的使用者設備100、無網際網路電子裝置200以及安全伺服器300,其中使用者設備100和安全伺服器300之間透過網際網路(Internet)建立通訊鏈路(communication link)與傳輸連線(transmission connection),以進行資料傳輸和通訊,但無網際網路電子裝置200只能和使用者設備100進行資料傳輸和通訊。
無網際網路電子裝置(non-Internet electronic device)200,係指本身沒有連接網際網路或廣域網路(WAN)能力,只能連接區域網路
(LAN)、個人區域網路(PAN)或者內部網路(Intranet)的電子裝置,這類無網際網路電子裝置200只能在本地網路、區域網路或內部網路上運行與通訊,無法連接到外部網路通訊,無網際網路電子裝置200至少涵蓋「區域網路(LAN)設備」、「個人區域網路(PAN)設備」、「內部網路設備」、「離線設備(offline equipment)」以及「非上網電子裝置(Internet-incapable electronic devices)」等電子裝置。
舉例來說,由於無網際網路電子裝置200內部缺少能夠存取HTTP通訊協定、HTTPS通訊協定、TCP/IP通訊協定或者其他提供接入網際網路或者廣域網路功能之通訊協定之相關硬體或處理器,因此無網際網路電子裝置200無法連接網際網路或者廣域網路。
舉例來說,無網際網路電子裝置200包含但不限於:藍牙設備、印表機、網路儲存媒體(NAS)、無線鍵盤、無線滑鼠、智慧門鎖、智慧車鎖、智慧手環、智慧家庭控制器(SHC)、銷售端點(point of sale)、服務端點(point of service)、多媒體資訊終端(Kiosk)、私人監控攝像頭和內部伺服器等等,由於這些無網際網路電子裝置200本身沒有連接網際網路或廣域網路的能力,因此無法對提出連線請求的設備與使用者的身分進行認證。
使用者設備100較佳是例如但不限於:桌上型電腦、筆記型電腦、平板裝置或者智慧手機等;安全伺服器300係為由第三方資通安全服務提供者(cybersecurity service provider)建置與提供之第三方中介安全裝置,安全伺服器300較佳是例如但不限於:安全中介伺服器或者雲端伺服器。
在本實施例,使用者設備100較佳是一支智慧手機,安全伺服器300較佳是一台安全中介伺服器,無網際網路電子裝置200較佳是一個
藍牙設備,使用者設備100和安全伺服器300之間透過第一傳輸連線C1進行通訊傳輸,無網際網路電子裝置200和使用者設備100之間透過第二傳輸連線C2進行通訊傳輸,由於無網際網路電子裝置200無法連接網際網路,因此無網際網路電子裝置200無法直接連接到安全伺服器300。
在本實施例,無網際網路電子裝置200係透過請求介於無網際網路電子裝置200與安全伺服器300之間的使用者設備100執行網路傳遞服務(network transport service),請求使用者設備100在無網際網路電子裝置200與安全伺服器300之間作為通訊中繼點,將來自無網際網路電子裝置200的資訊轉發(forward)給安全伺服器300,以及將來自安全伺服器300的資訊轉發給無網際網路電子裝置200,藉此在無網際網路電子裝置200與安全伺服器300之間建立一條獨立的傳遞連線TC,依照網路傳遞服務,使用者設備100沒有主動介入修改或阻擋來自無網際網路電子裝置200或者安全伺服器300的封包內容的權限。
第2圖揭示由本發明使用者設備、無網際網路電子裝置以及安全伺服器形成之三方傳輸關係之示意圖;當傳遞連線TC成功建立後,由於傳遞連線TC可以視為無網際網路電子裝置200與安全伺服器300之間的第三傳輸連線C3,因此使用者設備100、無網際網路電子裝置200以及安全伺服器300三者間,將形成一個三角形的三方傳輸連線關係,如第2圖所揭示。
本發明包含之無網際網路電子裝置資通安全認證方法之實際執行,係以例如但不限於代理程式、應用程式或者服務程式的形式實施,這些程式將預先安裝在使用者設備100、無網際網路電子裝置200以及安全伺服器300上執行,在本實施例,使用者設備100、無網際網路電子裝置200
以及安全伺服器300中,分別安裝有第一服務編程模組110、第二服務編程模組210以及第三服務編程模組310,以便在使用者設備100、無網際網路電子裝置200以及安全伺服器300之間,跨裝置實施多方多因子動態強加密認證,以針對無網際網路電子裝置200提供由第三方如安全伺服器300介入的使用者身分認證,以拒絕來自未經授權使用者的連線請求,以增強無網際網路電子裝置200的網路傳輸安全性與資通安全防護。
第3圖揭示本發明包含之無網際網路電子裝置資通安全認證方法其執行步驟之時序圖;在本實施例,使用者設備100和無網際網路電子裝置200中還分別包含一個網路傳遞服務編程模組120與一個周邊服務編程模組220,無網際網路電子裝置資通安全認證方法係基於無網際網路電子裝置資通安全認證系統10而實施,並包含以下依序執行的多個步驟:
步驟601:由於需要在無網際網路電子裝置200和使用者設備100建立實際的傳輸連線之前預先驗證使用者的身分,因此,首先透過網路傳遞服務編程模組120和周邊服務編程模組220之執行,在使用者設備100和無網際網路電子裝置200之間建立一個基本的初始序列通訊,以在使用者設備100和無網際網路電子裝置200之間執行無網際網路電子裝置資通安全認證方法,以驗證使用者身分。序列通訊是發生在設備之間的直接連接,不涉及網際網路或廣域網路的連接。
步驟602:在初始序列通訊成功建立後,由網路傳遞服務編程模組120向第一服務編程模組110發出一個使用者認證請求,請求第一服務編程模組110執行使用者身分認證,以認證使用者是經過註冊或者經過綁定的授權使用者。
步驟603:第一服務編程模組110收到使用者認證請求後,因應請求訊息之確收,第一服務編程模組110將實施第一密碼學演算法,以隨機生成例如但不限於32字節(Bytes)長度的第一暫態解密金鑰(ephemeral decrypting key,EDK),並以第一暫態解密金鑰為基礎,變化第一暫態解密金鑰生成第二暫態解密金鑰。
舉例來說,第一服務編程模組110可以透過加擾(scrambled)程序之實施,以第一暫態解密金鑰為基礎,變化第一暫態解密金鑰而生成第二暫態解密金鑰。第一與第二暫態解密金鑰的形式不限,舉例來說,第二暫態解密金鑰較佳是256二進位位元長度的符號字串。
第一密碼學演算法較佳選自RSA算法、DSA算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法或者其組合,第一密碼學算法較佳用於生成暫態解密金鑰,亦稱為雜湊或散列加密算法。
步驟604:接著,第一服務編程模組110將所產生的第一與第二暫態解密金鑰,從使用者設備100發布至安全伺服器300。
步驟605:在安全伺服器300上執行的第三服務編程模組310,將根據第一與第二暫態解密金鑰提取金鑰索引(key index),金鑰索引是指足夠提取第一與第二暫態解密金鑰資訊的最少內容或絕對小部分(strictly smaller portion)。
步驟606:在第三服務編程模組310成功生成金鑰索引後,第一服務編程模組110從第三服務編程模組310取回金鑰索引。
步驟607:第一服務編程模組110基於第一暫態解密金鑰而實施第二密碼學演算法,加密第一服務編程模組110綁定在使用者設備100上的身分識別資訊(ID)以生成電子數位簽章(electronic digital signature),第二密碼學算法較佳用於生成電子數位簽章。第二密碼學演算法較佳選自RSA算法、DSA算法、ECDSA算法、ECC算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、RIPEMD-160算法、MDC-2算法、GOST R 34.11-94算法、BLAKE2算法、Whirlpool算法、SM3算法或者其組合。
步驟608:第一服務編程模組110基於第二暫態解密金鑰而實施第三密碼學演算法,進一步將電子數位簽章加密為認證令牌,第三密碼學算法亦稱為安全加密算法,較佳為對稱(symmetrical)加密算法。第三密碼學演算法較佳選自AES算法、RSA算法、DSA算法、HMAC算法、MD5算法、MD4算法、MD2算法、SHA-1算法、SHA-2算法、SHA-3算法、Blowfish算法、Camellia算法、Chacha20算法、Poly1305算法、SEED算法、CAST-128算法、DES算法、IDEA算法、RC2算法、RC4算法、RC5算法、SM4算法、TDES算法以及GOST 28147-89算法或者其組合。
步驟609:第一服務編程模組110組合金鑰索引、電子數位簽章與認證令牌而形成一組暫態憑證。
步驟610:第一服務編程模組110將暫態憑證傳輸至在無網際網路電子裝置200上執行的周邊服務編程模組220。
步驟611:周邊服務編程模組220將暫態憑證繼續傳輸給在無網際網路電子裝置200上執行的第二服務編程模組210。
步驟612:當第二服務編程模組210確收暫態憑證後,首先驗證所接收的暫態憑證,是否符合暫態憑證編碼規則,以驗證暫態憑證的真偽如是否遭到竄改等。當第二服務編程模組210確定暫態憑證皆為真實後,將對暫態憑證進行解析(parse)以取得金鑰索引、電子數位簽章與認證令牌。
步驟613:以第二服務編程模組210作為客戶端,第二服務編程模組210根據HTTP通訊協定的請求/響應(request-response)規則,產生一個用於向安全伺服器300請求領取金鑰的請求封包(request packet),並在請求本體(request body)中寫入關於金鑰領取(key fetch)的指令以及金鑰索引,最終生成一個金鑰請求封包。
步驟614:當金鑰請求封包成功生成後,第二服務編程模組210將金鑰請求封包傳輸至周邊服務編程模組220。
步驟615:接著,周邊服務編程模組220請求網路傳遞服務編程模組120執行網路傳遞服務,代為將金鑰請求封包轉發至網路傳遞服務編程模組120。
步驟616:網路傳遞服務編程模組120執行網路傳遞服務,將金鑰請求封包透過使用者設備100轉發至第三服務編程模組310。
步驟617:第三服務編程模組310收到金鑰請求封包後,讀取請求本體中儲存的金鑰領取指令與金鑰索引,並產生響應封包(response packet),再依照金鑰索引提取第一與第二暫態解密金鑰資訊,並在響應本體(response body)中寫入第一與第二暫態解密金鑰,最終生成金鑰響應封包。
步驟618:當金鑰響應封包成功生成後,第三服務編程模組310請求網路傳遞服務編程模組120執行網路傳遞服務,代為將金鑰響應封
包轉發至周邊服務編程模組220。
步驟619:網路傳遞服務編程模組120執行網路傳遞服務,將金鑰響應封包透過使用者設備100轉發至周邊服務編程模組220。
步驟620:當周邊服務編程模組220確收金鑰響應封包後,周邊服務編程模組220接著將金鑰響應封包傳輸至第二服務編程模組210。
步驟621:當第二服務編程模組210確收金鑰響應封包後,讀取第一與第二暫態解密金鑰以取得第一與第二暫態解密金鑰。
步驟622:接著,第二服務編程模組210基於第一與第二暫態解密金鑰,實施第二密碼學演算法以及第三密碼學演算法,以分別解密認證令牌和電子數位簽章,以取得身分識別資訊。
步驟623:在取得身分識別資訊後,第二服務編程模組210繼續執行一個簽章查核程序,以驗證所收到的電子數位簽章是否遭到竄改且正確無誤。
步驟624:當第二服務編程模組210確定所收到的電子數位簽章未經竄改後,周邊服務編程模組220執行身分查核程序,以驗證所取得的身分識別資訊是否與紀錄相符合。
步驟625:當第二服務編程模組210確定所取得的身分識別資訊與紀錄相符合後,傳送一個連線授權通知給周邊服務編程模組220,周邊服務編程模組220取得與使用者設備100建立傳輸連線的權限。
步驟626:周邊服務編程模組220依照連線授權通知,接受來自使用者設備100的連線請求,並與使用者設備100建立傳輸連線。
步驟627:當第二服務編程模組210確定所取得的身分識別資
訊與紀錄不符合後,傳送一個連線拒絕通知給周邊服務編程模組220,指示周邊服務編程模組220拒絕來自使用者設備100的連線請求。
步驟628:周邊服務編程模組220依照連線拒絕通知拒絕來自使用者設備100的連線請求。
當簽章查核程序與身分查核程序皆執行完畢後,暫存在使用者設備100、無網際網路電子裝置200以及安全伺服器300上的第一與第二暫態解密金鑰,以及暫存在使用者設備100與無網際網路電子裝置200上的電子數位簽章、認證令牌、金鑰索引以及暫態憑證等資料都將自動銷毀。
第4圖揭示本發明包含之無網際網路電子裝置資通安全認證方法之實施步驟流程圖;小結而言,本發明包含之無網際網路電子裝置資通安全認證方法500較佳包含但不限於以下步驟:在使用者設備上:隨機生成暫態解密金鑰,並將該暫態解密金鑰傳輸至安全伺服器,並從該安全伺服器取回金鑰索引(步驟501);基於該暫態解密金鑰之一部分加密身分識別資訊以生成電子數位簽章,並據此生成認證令牌(步驟502);組合該金鑰索引、該電子數位簽章與該認證令牌而形成暫態憑證並將該暫態憑證傳輸至無網際網路電子裝置(步驟503);在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引(步驟504);請求該使用者設備執行網路傳遞服務而透過該使用者設備將該金鑰索引轉發至該安全伺服器,以基於該金鑰索引向該安全伺服器領取該暫態解密金鑰(步驟505)。
本發明以上各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,茲進一步提供更多本發明實施例如次:
實施例1:一種無網際網路電子裝置資通安全認證方法,其包含:在使用者設備上:隨機生成暫態解密金鑰,並將該暫態解密金鑰傳輸至安全伺服器,並從該安全伺服器取回金鑰索引;基於該暫態解密金鑰之一部分加密身分識別資訊以生成電子數位簽章,並據此生成認證令牌;以及組合該金鑰索引、該電子數位簽章與該認證令牌而形成暫態憑證並將該暫態憑證傳輸至無網際網路電子裝置;以及在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引;以及請求該使用者設備執行網路傳遞服務而透過該使用者設備將該金鑰索引轉發至該安全伺服器,以基於該金鑰索引向該安全伺服器領取該暫態解密金鑰。
實施例2:如實施例1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該無網際網路電子裝置上:生成請求封包,並在該請求封包包含的請求本體中寫入該金鑰索引;以及請求該使用者設備執行網路傳遞服務而透過該使用者設備將該請求封包轉發至該安全伺服器;以及在該安全伺服器上:接收該請求封包;生成響應封包,並在該響應封包包含的響應本體中寫入該暫態解密金鑰;以及請求該使用者設備執行該網路傳遞服務而透過該使用者設備將該響應封包轉發至該無網際網路電子裝置。
實施例3:如實施例1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引、該電子數位簽章與該認證令牌;基於該暫態解密金鑰解密該認證令牌以取得該電子數位簽章與該身分識別資訊;實施簽章查核程序以驗證該電子數位簽章是否遭到竄改;實施身分查核程序以驗證該身
分識別資訊是否與紀錄相符合;以及當該簽章查核程序之驗證結果為未遭到竄改以及該身分查核程序之驗證結果為與紀錄相符合時,接受來自該使用者設備之連線請求,反之拒絕該連線請求。
實施例4:如實施例3所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該使用者設備、該無網際網路電子裝置以及該安全伺服器上:當該簽章查核程序以及該身分查核程序皆實施完成後,銷毀儲存在該使用者設備、該無網際網路電子裝置以及該安全伺服器上的該暫態解密金鑰;以及在該無網際網路電子裝置以及該安全伺服器上:當該簽章查核程序以及該身分查核程序皆實施完成後,銷毀儲存在該無網際網路電子裝置以及該安全伺服器上的該電子數位簽章、該認證令牌、該金鑰索引以及該暫態憑證。
實施例5:如實施例1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該使用者設備上:實施第一密碼學演算法以隨機生成第一暫態解密金鑰;選擇性地實施加擾程序以基於該第一暫態解密金鑰之一部分生成第二暫態解密金鑰;基於該第一暫態解密金鑰實施第二密碼學方法以加密該身分識別資訊而生成該電子數位簽章;基於該第二暫態解密金鑰實施第三密碼學方法以加密該電子數位簽章而生成該認證令牌;以及將該第一暫態解密金鑰與該第二暫態解密金鑰發布至該安全伺服器,並從該安全伺服器取回該金鑰索引。
實施例6:如實施例1所述之無網際網路電子裝置資通安全認證方法,其中藉由該網路傳遞服務之執行,該無網際網路電子裝置透過該使用者設備而與該安全伺服器之間建立一條獨立的傳遞連線,以在該安全伺
服器、該使用者設備與該無網際網路電子裝置之間建立三方傳輸連線。
實施例7:如實施例1所述之無網際網路電子裝置資通安全認證方法,其中該使用者設備係為智慧手機、平板裝置、筆記型電腦或者桌上型電腦。
實施例8:如實施例1所述之無網際網路電子裝置資通安全認證方法,其中該無網際網路電子裝置係為一藍牙設備、一區域網路設備、一個人區域網路設備、一內部網路設備、一離線設備或者一非上網電子裝置。
實施例9:如實施例1所述之無網際網路電子裝置資通安全認證方法,其中該安全伺服器係為安全中介伺服器或者雲端伺服器其中之一。
本發明各實施例彼此之間可以任意組合或者替換,從而衍生更多之實施態樣,但皆不脫本發明所欲保護之範圍,本發明保護範圍之界定,悉以本發明申請專利範圍所記載者為準。
501-505:實施步驟
Claims (9)
- 一種無網際網路電子裝置資通安全認證方法,其包含:在一使用者設備上:隨機生成一暫態解密金鑰,並將該暫態解密金鑰傳輸至一安全伺服器,並從該安全伺服器取回一金鑰索引;基於該暫態解密金鑰之一部分,加密一身分識別資訊以生成一電子數位簽章,並據此生成一認證令牌;以及組合該金鑰索引、該電子數位簽章與該認證令牌而形成一暫態憑證並將該暫態憑證傳輸至一無網際網路電子裝置;以及在該無網際網路電子裝置上:解析該暫態憑證以取得該金鑰索引;以及透過包含該使用者設備的一傳遞連線而透過該使用者設備將該金鑰索引轉發至該安全伺服器,以基於該金鑰索引向該安全伺服器領取該暫態解密金鑰。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該無網際網路電子裝置上:生成一請求封包,並在該請求封包包含的一請求本體中寫入該金鑰索引;以及請求該使用者設備執行一網路傳遞服務而透過該使用者設備將該請求封包轉發至該安全伺服器;以及在該安全伺服器上: 接收該請求封包;生成一響應封包,並在該響應封包包含的一響應本體中寫入該暫態解密金鑰;以及請求該使用者設備執行該網路傳遞服務而透過該使用者設備將該響應封包轉發至該無網際網路電子裝置。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該無網際網路電子裝置上:請求該使用者設備執行一網路傳遞服務而建立該傳遞連線,而透過該使用者設備將該金鑰索引轉發至該安全伺服器,以基於該金鑰索引向該安全伺服器領取該暫態解密金鑰;解析該暫態憑證以取得該金鑰索引、該電子數位簽章與該認證令牌;基於該暫態解密金鑰解密該認證令牌以取得該電子數位簽章與該身分識別資訊;實施一簽章查核程序以驗證該電子數位簽章是否遭到竄改;實施一身分查核程序以驗證該身分識別資訊是否與紀錄相符合;以及當該簽章查核程序之驗證結果為未遭到竄改以及該身分查核程序之驗證結果為與紀錄相符合時,接受來自該使用者設備之一連線請求,反之拒絕該連線請求。
- 如請求項3所述之無網際網路電子裝置資通安全認證方法,還包含以下其 中之一:在該使用者設備、該無網際網路電子裝置以及該安全伺服器上:當該簽章查核程序以及該身分查核程序皆實施完成後,銷毀儲存在該使用者設備、該無網際網路電子裝置以及該安全伺服器上的該暫態解密金鑰;以及在該無網際網路電子裝置以及該安全伺服器上:當該簽章查核程序以及該身分查核程序皆實施完成後,銷毀儲存在該無網際網路電子裝置以及該安全伺服器上的該電子數位簽章、該認證令牌、該金鑰索引以及該暫態憑證。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,還包含以下其中之一:在該使用者設備上:實施一第一密碼學演算法以隨機生成一第一暫態解密金鑰;選擇性地實施一加擾程序以基於該第一暫態解密金鑰之一部分生成一第二暫態解密金鑰;基於該第一暫態解密金鑰實施一第二密碼學方法以加密該身分識別資訊而生成該電子數位簽章;基於該第二暫態解密金鑰實施一第三密碼學方法以加密該電子數位簽章而生成該認證令牌;以及將該第一暫態解密金鑰與該第二暫態解密金鑰發布至該安全伺服器,並從該安全伺服器取回該金鑰索引。
- 如請求項3所述之無網際網路電子裝置資通安全認證方法,其中藉由該網 路傳遞服務之執行,該無網際網路電子裝置透過該使用者設備而與該安全伺服器之間建立一條獨立的該傳遞連線,以在該安全伺服器、該使用者設備與該無網際網路電子裝置之間建立三方傳輸連線。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,其中該使用者設備係為一智慧手機、一平板裝置、一筆記型電腦或者一桌上型電腦。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,其中該無網際網路電子裝置係為一藍牙設備、一區域網路設備、一個人區域網路設備、一內部網路設備、一離線設備或者一非上網電子裝置。
- 如請求項1所述之無網際網路電子裝置資通安全認證方法,其中該安全伺服器係為一安全中介伺服器或者一雲端伺服器其中之一。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112128242A TWI856757B (zh) | 2023-07-27 | 2023-07-27 | 無網際網路電子裝置資通安全認證方法 |
| US18/678,735 US20250038998A1 (en) | 2023-07-27 | 2024-05-30 | Cyber security authentication method for non-internet electronic device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW112128242A TWI856757B (zh) | 2023-07-27 | 2023-07-27 | 無網際網路電子裝置資通安全認證方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI856757B true TWI856757B (zh) | 2024-09-21 |
| TW202505888A TW202505888A (zh) | 2025-02-01 |
Family
ID=93649360
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW112128242A TWI856757B (zh) | 2023-07-27 | 2023-07-27 | 無網際網路電子裝置資通安全認證方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20250038998A1 (zh) |
| TW (1) | TWI856757B (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7987363B2 (en) * | 2007-12-21 | 2011-07-26 | Harris Corporation | Secure wireless communications system and related method |
| US20160080157A1 (en) * | 2014-09-16 | 2016-03-17 | Keypasco Ab | Network authentication method for secure electronic transactions |
| US20160259936A1 (en) * | 2015-03-05 | 2016-09-08 | Ricoh Co., Ltd. | Broker-Based Authentication System Architecture and Design |
| TW201828756A (zh) * | 2017-01-19 | 2018-08-01 | 阿里巴巴集團服務有限公司 | 發送和獲取wifi聯網資訊的方法和對應裝置 |
| CN109547464A (zh) * | 2010-10-28 | 2019-03-29 | 苹果公司 | 用于存储和执行访问控制客户端的方法及装置 |
| US20200106616A1 (en) * | 2018-10-02 | 2020-04-02 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI811178B (zh) * | 2023-02-04 | 2023-08-01 | 長茂科技股份有限公司 | 基於多方多因子動態強加密認證之資通安全方法與系統 |
| TWI849942B (zh) * | 2023-05-31 | 2024-07-21 | 長茂科技股份有限公司 | 多裝置多因子動態強加密認證方法 |
-
2023
- 2023-07-27 TW TW112128242A patent/TWI856757B/zh active
-
2024
- 2024-05-30 US US18/678,735 patent/US20250038998A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7987363B2 (en) * | 2007-12-21 | 2011-07-26 | Harris Corporation | Secure wireless communications system and related method |
| CN109547464A (zh) * | 2010-10-28 | 2019-03-29 | 苹果公司 | 用于存储和执行访问控制客户端的方法及装置 |
| US20160080157A1 (en) * | 2014-09-16 | 2016-03-17 | Keypasco Ab | Network authentication method for secure electronic transactions |
| US20160259936A1 (en) * | 2015-03-05 | 2016-09-08 | Ricoh Co., Ltd. | Broker-Based Authentication System Architecture and Design |
| TW201828756A (zh) * | 2017-01-19 | 2018-08-01 | 阿里巴巴集團服務有限公司 | 發送和獲取wifi聯網資訊的方法和對應裝置 |
| US20200106616A1 (en) * | 2018-10-02 | 2020-04-02 | Capital One Services, Llc | Systems and methods for cryptographic authentication of contactless cards |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202505888A (zh) | 2025-02-01 |
| US20250038998A1 (en) | 2025-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12395472B1 (en) | Key rotation techniques | |
| US11533297B2 (en) | Secure communication channel with token renewal mechanism | |
| US7231526B2 (en) | System and method for validating a network session | |
| CN106104562B (zh) | 机密数据安全储存和恢复系统及方法 | |
| US8644516B1 (en) | Universal secure messaging for cryptographic modules | |
| US9330245B2 (en) | Cloud-based data backup and sync with secure local storage of access keys | |
| US7688975B2 (en) | Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure | |
| US20120284506A1 (en) | Methods and apparatus for preventing crimeware attacks | |
| CN109347835A (zh) | 信息传输方法、客户端、服务器以及计算机可读存储介质 | |
| CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
| CN113868684A (zh) | 一种签名方法、装置、服务端、介质以及签名系统 | |
| JP2024110939A (ja) | マルチパーティ及び多要素動的強力暗号化認証に基づくサイバーセキュリティ方法及びシステム | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| CN110383755B (zh) | 网络设备和可信第三方设备 | |
| CN108471352A (zh) | 基于分布式私钥的处理方法、系统、计算机设备及存储介质 | |
| US20250260559A1 (en) | Transmission of secure information in a content distribution network | |
| CN118174921A (zh) | 基于国密算法并支持双向鉴权的多因素ssh登录认证方法 | |
| CN110912857B (zh) | 移动应用间共享登录的方法、存储介质 | |
| TWI856757B (zh) | 無網際網路電子裝置資通安全認證方法 | |
| JP2021179690A (ja) | 通信システム、中継装置、通信方法、及びプログラム | |
| WO2024139347A1 (zh) | 敏感信息安全获取方法、系统、装置及电子设备 | |
| US20250260557A1 (en) | End to end encryption with roaming capabilities | |
| Zhang et al. | Improved CP-ABE Algorithm Based on Identity and Access Control | |
| Boonkrong | Authentication and key establishment protocols | |
| HK40081109B (zh) | 用於在内容分发网络中传输安全信息的方法和设备 |