TWI543015B - Near Field Communication Authentication System and Method Applied to Cloud Computing Environment - Google Patents
Near Field Communication Authentication System and Method Applied to Cloud Computing Environment Download PDFInfo
- Publication number
- TWI543015B TWI543015B TW103138212A TW103138212A TWI543015B TW I543015 B TWI543015 B TW I543015B TW 103138212 A TW103138212 A TW 103138212A TW 103138212 A TW103138212 A TW 103138212A TW I543015 B TWI543015 B TW I543015B
- Authority
- TW
- Taiwan
- Prior art keywords
- client
- authentication
- value
- cloud server
- random number
- Prior art date
Links
- 238000004891 communication Methods 0.000 title claims description 44
- 238000000034 method Methods 0.000 title claims description 25
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 description 11
- 238000004364 calculation method Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 238000012795 verification Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003449 preventive effect Effects 0.000 description 1
Landscapes
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Description
本發明是有關於一種認證系統與方法,特別是有關適用於雲端運算環境進行雙方交互認證的近場通訊認證系統與方法。
先前技術中,近場通訊(Near Field Communication;NFC)技術常見者有三種工作模式:卡模式、點對點模式與讀卡器模式。
卡模式常見之應用有電子錢包、悠遊卡與門禁管制卡等類型;點對點模式常見之應用有圖片、影片、音樂與通訊錄等資料傳輸之類型。讀卡器模式常見之應用在於,讀取NFC標籤內儲資訊,以進行智能海報、場地導覽、電子驗證。
近場通訊在配合現有的雲端運算技術,更提高NFC技術的適用性,如課堂點名系統、醫療資訊系統與商店的POS系統。
然而,雲端運算技術是透過網路進行認證資料的傳輸,因此NFC認證資料在傳輸時,是有可能被盜取與修改數據,造成用戶資料被盜用,或更進一步騙取伺服器的控制、通訊的權限,造成一定程序的資訊安全問題。
為解決上述問題,本發明係揭露一種應用於雲端運算環境的近場通訊認證系統與方法,藉由交互認證機制以確認相互連接的裝置是為可信任的通訊裝置。
本發明揭露的應用於雲端運算環境的近場通訊認證系統,其包括具有相同安全權仗值的一客端裝置與一雲端伺服裝置。
客端裝置輸出一客端亂數,於取得一第一伺服認證值與一伺服亂數時,依據客端亂數與安全權仗值雜湊計算一第一客端認證值,在判
斷第一客端認證值等同第一伺服認證值時,依據伺服亂數與安全權仗值雜湊計算並輸出一第二客端認證值。雲端伺服裝置則是依據客端亂數與安全權仗值雜湊計算第一伺服認證值,以輸出第一伺服認證值與伺服亂數,及取得第二客端認證值時,依據伺服亂數與安全權仗值雜湊計算一第二伺服認證值,於第二客端認證值等同第二伺服認證值時,判斷認證完成。
本發明揭露的應用於雲端運算環境的近場通訊認證方法,適用於具有相同安全權仗值的一客端裝置與一雲端伺服裝置。此方法包括以下步驟:由客端裝置輸出一客端亂數至雲端伺服裝置;由雲端伺服裝置依據客端亂數與安全權仗值雜湊計算一第一伺服認證值,以輸出第一伺服認證值與伺服亂數至客端裝置;當客端裝置取得第一伺服認證值與伺服亂數時,依據客端亂數與安全權仗值雜湊計算一第一客端認證值;當客端裝置判斷第一客端認證值等同第一伺服認證值時,依據伺服亂數與安全權仗值雜湊計算一第二客端認證值,輸出第二客端認證值至雲端伺服裝置;當雲端伺服裝置取得第二客端認證值時,依據伺服亂數與安全權仗值雜湊計算一第二伺服認證值;以及,當雲端伺服裝置判斷第二客端認證值等同第二伺服認證值時,判斷認證完成。
在一些實施例,本發明所揭系統與方法中,雲端伺服裝置係取得對應安全權仗值的一有效時間數值,並依據有效時間數值判斷安全權仗值失效時,由雲端伺服裝置重新產生安全權仗值並更新於客端裝置,其中有效時間數值是客端裝置所提供與預儲於雲端伺服裝置之至少其一。
本發明所揭系統與方法,其具有以下特點:
(1)雙方具有的安全權仗值可藉由各種方式而事先給予,而且在驗證過程中,安全權仗值是不會出現於傳輸資料中,唯有雙方具有的安全權仗值相同時,才會產生相同的驗證值,以確保可連線的雙方確實是可信賴的連線對象裝置。
(2)本案所揭是採用雙方裝置交互認證,而且認證值是為認證期間內產生,並不需要在雲端伺服裝置內使用密碼表對照,除簡化認證過程外,更進一步的維持認證保密的安全性,亦避免密碼表外洩而造成
的資訊安全問題。
(3)雙方每次進行交互認證時,會產生不同的亂數,因此每次通訊所使用的認證值皆是不同的,而且是透過漸進式的數值交互驗證,因此不需要顧及時戳的時間同步問題,對於重送攻擊亦有所預防,故具較高的適用性。
(4)所有認證值皆是透過亂數與雜湊計算產生,故每次通訊的認證值皆不同,即使傳輸資料遭到截取,盜取者亦不可能透過累積資料之分析,而取得正確的認證資料,更進一步可保密裝置的詳細資料,或更進一步保密裝置使用者的身份資訊。
(5)雙方傳輸資料所使用的會議金鑰可藉由上述的亂數與安全權仗值所產生,因安全權仗值不會於認證期間傳輸,再加上每次通訊所採用亂數為不同,有助於提升會議金鑰,及藉由會議金鑰作加、解密的通訊資料的保密性。
100‧‧‧客端裝置
101‧‧‧標籤識別資料
102‧‧‧安全權仗值
103‧‧‧有效時間數值
111‧‧‧第一客端認證值
112‧‧‧第二客端認證值
113‧‧‧客端亂數
200‧‧‧雲端伺服裝置
201‧‧‧權仗值表
211‧‧‧第一伺服認證值
212‧‧‧第二伺服認證值
213‧‧‧伺服亂數
S100-400‧‧‧步驟
圖1繪示本發明實施例之近場通訊認證系統的系統架構示意圖。
圖2繪示本發明實施例之近場通訊認證方法的整體流程示意圖。
圖3繪示本發明實施例之近場通訊認證方法的細部流程示意圖。
茲配合圖式將本發明實施例詳細說明如下。
請參閱圖1繪示本發明實施例之近場通訊認證系統的系統架構示意圖。此實施例是以一客端裝置100與其網路連接的一雲端伺服裝置200作說明,適用於先前所述的卡模式、點對點模式與讀卡器模式。
(1)卡模式:客端裝置100是模擬、或是本身即為智慧卡(Smart card,IC Card)。智慧卡又稱智能卡、聰明卡、積體電路卡及IC卡,是指貼上或嵌有積體電路晶片的一種可攜式卡片塑膠。卡片包含了微處理器、I/O介面及記憶體,提供了資料的運算、存取控制及儲存功能。客端裝
置100存有認證必要的認證資料。雲端伺服裝置200則包括可感應或讀取客端裝置100之資料的資料讀取器與資料運算器,並具有協同客端裝置100進行認證的能力。
(2)點對點模式:傳輸雙方則為具近距離資料無線傳輸能力的電子裝置。客端裝置100存有認證必要的認證資料。雲端伺服裝置200亦是具感應或讀取客端裝置100之資料的資料,與協同客端裝置100進行認證的能力。
(3)讀卡器模式:客端裝置100具有標籤讀取單元或組件,標籤讀取單元存有認證必要的認證資料,且可以感應近場通訊標籤,以依據標籤的資料,配合認證資料來與後端的雲端伺服裝置200進行互動。
但不論是上述何種架構,皆適用於本案所揭認證方式。以下說明僅就客端裝置100與雲端伺服裝置200的認證。
續請參閱圖2繪示本發明實施例之近場通訊認證方法的整體流程示意圖,請配合圖1以利於了解。整個認證至少包括四個步驟:在客端裝置100與雲端伺服裝置200作近場通訊時,客端裝置100先提供標籤識別資料101予雲端伺服裝置200(步驟S100)。
然而,在卡模式與點對點模式中,客端裝置100包括標籤識別資料101與安全權仗值102,此標籤識別資料101與安全權仗值102是客端裝置100在與雲端伺服裝置200進行近場通訊時直接取得,或是藉由第三方運算裝置間接取得。在讀卡器模式時,客端裝置100是先讀取近場通訊標籤的資料,以取得雲端伺服裝置200儲存於近場通訊標籤的標籤識別資料101與安全權仗值102。
不論是卡模式、點對點模式還是讀卡機模式,客端裝置100皆必須依據第三方運算裝置、雲端伺服裝置200所提供、或是自近場通訊標籤取得的通訊路徑,將標籤識別資料101提供給雲端伺服裝置200,才能進行後續的認證流程。
雲端伺服裝置200具有一權仗值表201,其包括客端裝置100的標籤識別資料101,與每一標籤識別資料101對應的安全權仗值102。雲端伺服裝置200在取得標籤識別資料101,會先分析標籤識別資料101及其
對應的安全權仗值102是否可用(步驟S200),分析方式至少包括如下:
(1)權仗值表201是否包括所取得的標籤識別資料101。
(2)每一標籤識別資料101更對應一有效時間數值103,當雲端伺服裝置200判斷所取得的標籤識別資料101為存在時,更進一步分析其對應的有效時間數值103,以判斷此次通訊的客端裝置100,其安全權仗值102是否失效。
(3)客端裝置100即具有有效時間數值103。在卡模式與點對點模式中,有效時間數值103是客端裝置100在與雲端伺服裝置200近場通訊時直接取得,或是藉由第三方運算裝置間接取得。在讀卡器模式時,客端裝置100是先讀取近場通訊標籤的標籤識別資料101,以取得雲端伺服裝置200儲存於近場通訊標籤的有效時間數值103。客端裝置100會將有效時間數值103協同標籤識別資料101一併傳輸予雲端伺服裝置200,雲端伺服裝置200直接依據有效時間數值103判斷安全權仗值102是否失效。
當雲端伺服裝置200分析安全權仗值102為失效時,依據設計人員之需求與程式功能之設計,系統會放棄認證或是重新產生安全權仗值102予客端裝置100(步驟S210),而安全權仗值102的產生與提供,至少包括以下數種模式:
(1)雲端伺服裝置200判斷客端裝置100具保有相關功能的權限,以結合所取得的標籤識別資料101而重新計算安全權仗值102,並提供予客端裝置100。
(2)雲端伺服裝置200判斷客端裝置100具保有相關功能的權限,將所取得的標籤識別資料101提供予一第三方運算裝置,並從第三方運算裝置取得安全權仗值102,再提供予客端裝置100。
(3)雲端伺服裝置200判斷客端裝置100具保有相關功能的權限,將所取得的標籤識別資料101提供予一第三方運算裝置,第三方運算裝置在取得客端裝置100之申請時,才提供此安全權仗值102予客端裝置100。
其中,安全權仗值102是由以下參數雜湊計算產生:Ki=h(IDi∥X∥LIFTTIMEi)
Ki:第i個安全權仗值;h():單向式雜湊函數;X:雲端伺服裝置產生的主密鑰;IDi:雲端伺服裝置產生的第i個近場通訊標籤資料;LIFTTIMEi:第i個安全權仗的有效時間數值。
另一方面,當雲端伺服裝置200分析安全權仗值102為有效時,會告知客端裝置100開始認證作業(步驟S220)。之後,客端裝置100與雲端伺服裝置200即進行雙向認證作業(步驟S300)。
請同時參閱圖3繪示本發明實施例之近場通訊認證方法的細部流程示意圖,其步驟S300的詳細說明。此流程至少包括以下步驟:由客端裝置100輸出一客端亂數113至雲端伺服裝置200(步驟S310)。客端亂數113的數值範圍與數值格式端視設計人員之需求而定。其次,客端裝置100亦可以將具有的近場通訊標籤提供予雲端伺服裝置200,以輔助雲端伺服裝置200的後續計算或資料比較。
由雲端伺服裝置200依據一客端亂數113與安全權仗值102雜湊計算一第一伺服認證值211,以輸出第一伺服認證值211與伺服亂數213至客端裝置100(步驟S320)。伺服亂數213的數值範圍與數值格式端視設計人員之需求而定。其正常情形下,雲端伺服裝置200與客端裝置100在認證時,所採用的安全權仗值102應是相同的。然而,雲端伺服裝置200與客端裝置100(或近場通訊標籤)是屬於一對一或一對多的關係時,雲端伺服裝置200會依據近場通訊標籤而從權仗值表201取得需求的安全權仗值102,再依據安全權仗值102與客端亂數113雜湊計算第一伺服認證值211,計算方式如下:v=HMAC(Ki,R1)v:第一伺服認證值;HMAC():雜湊運算消息認證碼函數;Ki:第i個安全權仗值;R1:客端亂數。
當客端裝置100取得第一伺服認證值211與伺服亂數213
時,依據客端亂數113與安全權仗值102雜湊計算一第一客端認證值111(步驟S330)。此步驟中,客端裝置100會依據安全權仗值102與客端亂數113雜湊計算第一客端認證值111,計算方式如下:v'=HMAC(Ki,R1)v':第一客端認證值;HMAC():雜湊運算消息認證碼函數;Ki:第i個安全權仗值;R1:客端亂數。
當客端裝置100判斷第一客端認證值111等同第一伺服認證值211時,依據伺服亂數213與安全權仗值102雜湊計算一第二客端認證值112,且輸出第二客端認證值112至雲端伺服裝置200(步驟S340)。第二客端認證值112的計算方式如下:w=HMAC(Ki,R2)w:第二客端認證值;HMAC():雜湊運算消息認證碼函數;Ki:第i個安全權仗值;R2:伺服亂數。
當雲端伺服裝置200取得第二客端認證值112時,依據伺服亂數213與安全權仗值102雜湊計算一第二伺服認證值212(步驟S350)。第二伺服認證值212的計算方式如下:w'=HMAC(Ki,R2)w':第二伺服認證值;HMAC():雜湊運算消息認證碼函數;Ki:第i個安全權仗值;R2:伺服亂數。
當雲端伺服裝置200判斷第二客端認證值112等同第二伺服認證值212時,判斷認證完成(步驟S360)。也就是說,在步驟S300流程完成執行時,客端裝置100與雲端伺服裝置200即可以相互認定對方是要連接的對象裝置。而在先前的流程中,只要「標籤識別資料101」、「安全權仗
值102」與「有效時間數值103」中任一者是錯誤或是無效的資料時,相互認證即不可能完成。
最後,客端裝置100與雲端伺服裝置200會各自建構會議金鑰,並利用會議金鑰對傳輸資料作加、解密(步驟S400)。此步驟中,客端裝置100與雲端伺服裝置200所知的安全權仗值102、伺服亂數213與客端亂數113,應為相同,故雙方各自建構的會是相同的。會議金鑰的的計算方式如下:E=h(Ki∥R1∥R2)h():單向式雜湊函數;Ki:第i個安全權仗值;R1:客端亂數;R2:伺服亂數。
綜上所述之,乃僅記載本發明為呈現解決問題所採用的技術手段之實施或實施例而已,並非用來限定本發明專利實施之範圍。即凡與本發明專利申請範圍文義相符,或依本發明專利範圍所做的均等變化與修飾,皆為本發明專利範圍所涵蓋。
S310~S360‧‧‧步驟
Claims (10)
- 一種應用於雲端運算環境的近場通訊認證系統,其包括:一客端裝置,包括一安全權仗值,用以輸出一客端亂數,於取得一第一伺服認證值與一伺服亂數時,依據該客端亂數與該安全權仗值雜湊計算一第一客端認證值,判斷該第一客端認證值等同該第一伺服認證值時,依據該伺服亂數與該安全權仗值雜湊計算並輸出一第二客端認證值;以及一雲端伺服裝置,包括該安全權仗值,依據該客端亂數與該安全權仗值雜湊計算該第一伺服認證值,以輸出該第一伺服認證值與該伺服亂數,及取得該第二客端認證值時,依據該伺服亂數與該安全權仗值雜湊計算一第二伺服認證值,於該第二客端認證值等同該第二伺服認證值時,判斷認證完成。
- 根據申請專利範圍第1項所述的應用於雲端運算環境的近場通訊認證系統,其中,該雲端伺服裝置包括一權仗值表,該客端裝置係先傳輸一標籤識別資料,該雲端伺服裝置將該標籤識別資料對照該權仗值表,取得對應該標籤識別資料的該安全權仗值,並回傳予該客端裝置。
- 根據申請專利範圍第1項所述的應用於雲端運算環境的近場通訊認證系統,其中,該雲端伺服裝置係取得該客端裝置的標籤識別資料,並依據一主密鑰值、該標籤識別資料與一有效時間數值雜湊計算該安全權仗值,並回傳予該客端裝置。
- 根據申請專利範圍第1項所述的應用於雲端運算環境的近場通訊認證系統,其中,該雲端伺服裝置係取得對應該安全權 仗值的一有效時間數值,並依據該有效時間數值判斷該安全權仗值失效時,由該雲端伺服裝置重新產生該安全權仗值並更新於該客端裝置,其中該有效時間數值是該客端裝置所提供與預儲於該雲端伺服裝置之至少其一。
- 根據申請專利範圍第1項所述的應用於雲端運算環境的近場通訊認證系統,其中,該客端裝置與該雲端伺服裝置透過一會議金鑰對傳輸資料作加密與解密作業,其中該會議金鑰為該客端亂數、該伺服亂數與該安全權仗值雜湊計算而得。
- 一種應用於雲端運算環境的近場通訊認證方法,適用於一客端裝置與一雲端伺服裝置,該客端裝置與該雲端伺服裝置具有一安全權仗值,該方法包括以下步驟:由該客端裝置輸出一客端亂數至該雲端伺服裝置;由該雲端伺服裝置依據該客端亂數與該安全權仗值雜湊計算一第一伺服認證值,以輸出該第一伺服認證值與一伺服亂數至該客端裝置;當該客端裝置取得該第一伺服認證值與該伺服亂數時,依據該客端亂數與該安全權仗值雜湊計算一第一客端認證值;當該客端裝置判斷該第一客端認證值等同該第一伺服認證值時,依據該伺服亂數與該安全權仗值雜湊計算一第二客端認證值,輸出該第二客端認證值至該雲端伺服裝置;當雲端伺服裝置取得該第二客端認證值時,依據該伺服亂數與該安全權仗值雜湊計算一第二伺服認證值;以及 當該雲端伺服裝置判斷該第二客端認證值等同該第二伺服認證值時,判斷認證完成。
- 根據申請專利範圍第6項所述的應用於雲端運算環境的近場通訊認證方法,其中,該雲端伺服裝置包括一權仗值表,該客端裝置係先傳輸一標籤識別資料,該雲端伺服裝置將該標籤識別資料對照該權仗值表,取得對應該標籤識別資料的該安全權仗值,並回傳予該客端裝置。
- 根據申請專利範圍第6項所述的應用於雲端運算環境的近場通訊認證方法,其中,該雲端伺服裝置係取得該客端裝置的標籤識別資料,並依據一主密鑰值、該標籤識別資料與一有效時間數值雜湊計算該安全權仗值,並回傳予該客端裝置。
- 根據申請專利範圍第6項所述的應用於雲端運算環境的近場通訊認證方法,其中,該雲端伺服裝置係取得對應該安全權仗值的一有效時間數值,並依據該有效時間數值判斷該安全權仗值失效時,由該雲端伺服裝置重新產生該安全權仗值並更新於該客端裝置,其中該有效時間數值是該客端裝置所提供與預儲於該雲端伺服裝置之至少其一。
- 根據申請專利範圍第6項所述的應用於雲端運算環境的近場通訊認證方法,其中,該客端裝置與該雲端伺服裝置透過一會議金鑰對傳輸資料作加密與解密作業,其中該會議金鑰為該客端亂數、該伺服亂數與該安全權仗值雜湊計算而得。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW103138212A TWI543015B (zh) | 2014-11-04 | 2014-11-04 | Near Field Communication Authentication System and Method Applied to Cloud Computing Environment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW103138212A TWI543015B (zh) | 2014-11-04 | 2014-11-04 | Near Field Communication Authentication System and Method Applied to Cloud Computing Environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201617961A TW201617961A (zh) | 2016-05-16 |
| TWI543015B true TWI543015B (zh) | 2016-07-21 |
Family
ID=56508997
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW103138212A TWI543015B (zh) | 2014-11-04 | 2014-11-04 | Near Field Communication Authentication System and Method Applied to Cloud Computing Environment |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI543015B (zh) |
-
2014
- 2014-11-04 TW TW103138212A patent/TWI543015B/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TW201617961A (zh) | 2016-05-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12284292B2 (en) | Verification of identity using a secret key | |
| US11218330B2 (en) | Generating an identity for a computing device using a physical unclonable function | |
| CN108667608B (zh) | 数据密钥的保护方法、装置和系统 | |
| TWI497336B (zh) | 用於資料安全之裝置及電腦程式 | |
| CN107113553B (zh) | 用于统一近场通信基础架构的装置、方法及服务器 | |
| US11025437B2 (en) | Post-manufacture certificate generation | |
| CN102576397B (zh) | 令牌的验证和数据完整性保护 | |
| CN109997119B (zh) | 安全元件安装和设置 | |
| TWI718567B (zh) | 二維碼生成方法、資料處理方法、裝置、伺服器及計算機可讀儲存媒體 | |
| CN113282944B (zh) | 智能锁开启方法、装置、电子设备及存储介质 | |
| CN110222531A (zh) | 一种访问数据库的方法、系统及设备 | |
| TW202137199A (zh) | 生物支付設備的認證方法、裝置、電腦設備和儲存媒體 | |
| US9449193B2 (en) | Information processing apparatus | |
| CN109815747A (zh) | 基于区块链的离线审计方法、电子装置及可读存储介质 | |
| JP2021100227A (ja) | IoT鍵管理システム,セキュアデバイス,IoTデバイス,デバイス管理装置およびセキュアエレメントの公開鍵証明書生成方法 | |
| Cooijmans et al. | Secure key storage and secure computation in Android | |
| JP2015228570A (ja) | 認証システム、及び携帯通信端末 | |
| CN103532961A (zh) | 一种基于可信密码模块电网网站身份认证的方法及系统 | |
| JP2017108237A (ja) | システム、端末装置、制御方法、およびプログラム | |
| JP6167667B2 (ja) | 認証システム、認証方法、認証プログラムおよび認証装置 | |
| TWI543015B (zh) | Near Field Communication Authentication System and Method Applied to Cloud Computing Environment | |
| CN110798321B (zh) | 一种基于区块链的物品信息服务方法 | |
| KR102285310B1 (ko) | 세션 키를 생성하는 방법 및 그 전자장치 | |
| KR101829423B1 (ko) | 암복호화 장치 및 이를 이용한 암복호화 방법 | |
| CN114358765B (zh) | 基于区块链的数据安全通信方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |