认证系统及认证方法技术方案

一种认证系统及认证方法。认证系统包括行动储存装置及电子装置。行动储存装置用以储存密钥识别档案并与电子装置相插接。于绑定阶段，电子装置根据电子装置的信息产生密钥识别档案，并将密钥识别档案传送至行动储存装置，以及电子装置根据密钥识别档案的档案状态及行动储存装置的信息至少其中一者产生摘要档案，并将摘要档案储存在电子装置。于查验阶段，电子装置自行动储存装置读取密钥识别档案，且根据摘要档案以及电子装置的信息查验密钥识别档案是否有效。若密钥识别档案为有效，则于认证阶段，电子装置根据对应于密钥识别档案的摘要档案与服务器装置进行通用第二因素服务的认证操作。

【技术实现步骤摘要】
认证系统及认证方法
本专利技术是有关于一种认证系统及认证方法，且特别是有关于一种基于FIDO(FastIdentityOnlineAlliance)联盟所制订的通用第二因素(Universal2ndFactor，U2F)协议而开发的认证系统及认证方法。
技术介绍
随着网络技术快速的发展，许多的重要信息的传送、商业交易或是金融交易多仰赖网络来提供服务。为了提高网络使用上的安全性，许多网站开始支持通用第二因素(Universal2ndFactor，U2F)协议的验证方式。然而，使用者必须额外购买一个特地针对通用第二因素协议所设计制造的实体密钥装置，方能通过计算机使用服务器网站所支持的通用第二因素协议的验证服务。如此一来，将会增加使用者的成本，从而降低使用者的使用意愿。
技术实现思路
有鉴于此，本专利技术提供一种认证系统及认证方法，不仅可让使用者使用网站所支持的通用第二因素协议的验证服务，更可降低使用者的使用成本，从而提高使用者的使用意愿。本专利技术的认证系统包括行动储存装置以及电子装置。行动储存装置用以储存密钥识别档案。电子装置用以与行动储存装置相插接。于绑定阶段，电子装置根据电子装置的信息产生密钥识别档案，并将密钥识别档案传送至行动储存装置，以及电子装置根据密钥识别档案的档案状态及行动储存装置的信息至少其中一者产生摘要档案，并将摘要档案储存在电子装置中。于查验阶段，电子装置自行动储存装置读取密钥识别档案，且根据摘要档案以及电子装置的信息查验密钥识别档案是否有效。若密钥识别档案为有效，则于认证阶段，电子装置根据对应于密钥识别档案的摘要档案而与服务器装置进行通用第二因素服务的认证操作。本专利技术的认证方法包括以下步骤。于绑定阶段，通过电子装置根据电子装置的信息产生密钥识别档案，并将密钥识别档案传送至行动储存装置。于绑定阶段，通过电子装置根据密钥识别档案的档案状态及行动储存装置的信息至少其中一者产生摘要档案，并将摘要档案储存在电子装置中。于查验阶段，通过电子装置自行动储存装置读取密钥识别档案，且根据摘要档案以及电子装置的信息查验密钥识别档案是否有效。若密钥识别档案为有效，则于认证阶段，通过电子装置根据对应于密钥识别档案的摘要档案而与服务器装置进行通用第二因素服务的认证操作。基于上述，本专利技术所提出的认证系统及认证方法，可让用户使用服务器装置所支持的通用第二因素协议的验证，以提高使用服务器装置服务的安全性。此外，本专利技术所提出的认证系统中的行动储存装置可以是现有的任何类型的可携式储存装置，且认证方法可由电子装置执行，因此用户无须额外购买一个特地针对通用第二因素协议所设计制造的实体密钥装置。如此一来，可有效降低使用通用第二因素协议的验证的成本，从而提高使用者的使用意愿。为让本专利技术的上述特征和优点能更明显易懂，下文列举实施例，并配合所附附图作详细说明如下。附图说明下面的所附附图是本专利技术的说明书的一部分，绘示了本专利技术的示例实施例，所附附图与说明书的描述一起说明本专利技术的原理。图1是根据本专利技术实施例所绘示的认证系统的框图及应用示意图。图2是根据本专利技术实施例所绘示的认证方法的步骤流程图。图3是根据本专利技术实施例所绘示的电子装置的框图。图4是根据本专利技术实施例所绘示的图2的步骤S210、S220的细节步骤流程图。图5是根据本专利技术实施例所绘示的图2的步骤S230的细节步骤流程图。图6是根据本专利技术实施例所绘示的图2的步骤S240的细节步骤流程图。图7是根据本专利技术实施例所绘示的图2的步骤S250的细节步骤流程图。附图标记列表100：认证系统120：行动储存装置140：电子装置141：控制器142：处理器143：储存器1432：加密储存区144：按键模块900：服务器装置AP：应用程序的标识符CHS：认证询问DGF：摘要档案EIFO：电子装置的信息IK：私钥KDF：密钥识别档案LID：电子装置的登入账号MAC：信息标识符RNB：随机数SEP：选取策略SIFO：行动储存装置的信息SIG：签章SN：控制器的标识符SVID：服务器标识符S200、S210、S220、S230、S235、S240、S250、S2102、S2104、S2202、S2204、S2206、S2301、S2302、S2303、S2304、S2305、S2400、S2402、S2404、S2406、S642、S644、S2500、S2502、S2504、S2506、S752、S754、S756：步骤UK：公钥具体实施方式为了使本专利技术的内容可以被更容易地理解，以下列举实施例作为本专利技术确实能够据以实施的范例。另外，凡可能之处，在附图及实施方式中使用相同标号的组件/构件，系代表相同或类似部件。图1是根据本专利技术实施例所绘示的认证系统的方块及应用示意图。请参照图1，认证系统100包括行动储存装置120以及电子装置140。行动储存装置120用以储存密钥识别档案KDF以作为实体密钥装置。电子装置140用以与行动储存装置120相插接。电子装置140可根据行动储存装置120所储存的密钥识别档案KDF执行通用第二因素的相关运算，以让电子装置140的用户可使用服务器装置900所支持的通用第二因素协议的验证服务。因此，即使用户于服务器装置900的登入账号及密码被他人取得，只要存有密钥识别档案KDF的实体密钥装置(行动储存装置120)未被他人所取得，他人所输入的登入账号及密码便无法通过服务器装置900的通用第二因素协议的验证，故而无法登入此使用者的账号。在本专利技术的一实施例中，行动储存装置120可例如是通用串行总线(USB)随身碟或是USB卡片阅读机与记忆卡的组合，但本专利技术不限于此。事实上，行动储存装置120可以是现有的任何类型的可携式储存装置，故而可降低使用者的使用成本。在本专利技术的一实施例中，电子装置140可例如是笔记本电脑(notebookcomputer)，但本专利技术不限于此。在本专利技术的一实施例中，电子装置140可通过有线通信或无线通信的方式与服务器装置900进行通信。在本专利技术的一实施例中，认证系统100的认证流程可包括绑定阶段、查验阶段以及认证阶段，但不限于此。于绑定阶段，行动储存装置120与电子装置140可彼此绑定。详细来说，于绑定阶段，电子装置140可根据电子装置140的信息EIFO产生密钥识别档案KDF，并将密钥识别档案KDF传送至行动储存装置120。此外，于绑定阶段，电子装置140可根据密钥识别档案KDF的档案状态及行动储存装置120的信息SIFO至少其中一者产生摘要档案DGF，并将摘要档案DGF储存在电子装置140中。如此一来，行动储存装置120与电子装置140藉由密钥识别档案KDF以及摘要档案DGF而彼此绑定。另外，于查验阶段，电子装置140可本文档来自技高网...

【技术保护点】
1.一种认证系统，其特征在于，包括：/n行动储存装置，用以储存密钥识别档案；以及/n电子装置，用以与该行动储存装置相插接，/n其中于绑定阶段，该电子装置根据该电子装置的信息产生该密钥识别档案，并将该密钥识别档案传送至该行动储存装置，以及该电子装置根据该密钥识别档案的档案状态及该行动储存装置的信息至少其中一者产生摘要档案，并将该摘要档案储存在该电子装置中，/n其中于查验阶段，该电子装置自该行动储存装置读取该密钥识别档案，且根据该摘要档案以及该电子装置的该信息查验该密钥识别档案是否有效，若该密钥识别档案为有效，则于认证阶段，该电子装置根据对应于该密钥识别档案的该摘要档案而与服务器装置进行通用第二因素服务的认证操作。/n

【技术特征摘要】
20190610 TW 1081199751.一种认证系统，其特征在于，包括：
行动储存装置，用以储存密钥识别档案；以及
电子装置，用以与该行动储存装置相插接，
其中于绑定阶段，该电子装置根据该电子装置的信息产生该密钥识别档案，并将该密钥识别档案传送至该行动储存装置，以及该电子装置根据该密钥识别档案的档案状态及该行动储存装置的信息至少其中一者产生摘要档案，并将该摘要档案储存在该电子装置中，
其中于查验阶段，该电子装置自该行动储存装置读取该密钥识别档案，且根据该摘要档案以及该电子装置的该信息查验该密钥识别档案是否有效，若该密钥识别档案为有效，则于认证阶段，该电子装置根据对应于该密钥识别档案的该摘要档案而与服务器装置进行通用第二因素服务的认证操作。


2.如权利要求1所述的认证系统，其特征在于，若该密钥识别档案为有效，则于注册阶段，该电子装置根据该摘要档案而向该服务器装置作该通用第二因素服务的注册。


3.如权利要求2所述的认证系统，其特征在于，该电子装置包括：
控制器，具有标识符；
处理器，耦接该控制器，其中于该绑定阶段，该处理器根据该控制器的该标识符、应用程序的标识符以及该电子装置的登入账号进行哈希运算以产生该密钥识别档案，并将该密钥识别档案传送至该行动储存装置，且该处理器随机产生选取策略，并根据该选取策略选择该密钥识别档案的该档案状态以及该行动储存装置的该信息至少其中一者进行哈希运算以产生该摘要档案；以及
储存器，耦接该处理器，且具有加密储存区，其中该加密储存区用以储存该摘要档案以及对应的该选取策略。


4.如权利要求3所述的认证系统，其特征在于，该档案状态包括该密钥识别档案的建立日期、修改日期、存取日期、档案丛集的起始位置以及档案丛集的个数至少其中一者，且该行动储存装置的该信息包括该行动储存装置的供货商标识符、产品标识符以及剩余储存空间大小至少其中一者。


5.如权利要求3所述的认证系统，其特征在于，于该查验阶段：
该处理器检查该行动储存装置是否存有该密钥识别档案以得到第一结果，
若该第一结果为是，则该处理器根据该选取策略检查该密钥识别档案是否对应于该摘要档案以得到第二结果，
若该第二结果为是，则该处理器根据该控制器的该标识符、该应用程序的该标识符以及该电子装置的该登入账号进行哈希运算以检验该密钥识别档案是否正确以得到第三结果，
若该第三结果为是，则该处理器判断该密钥识别档案为有效。


6.如权利要求3所述的认证系统，其特征在于，于该注册阶段：
该控制器将用于登入该服务器装置的账号及密码传送至该服务器装置，该控制器分别自该服务器装置以及该处理器取得服务器标识符以及该摘要档案，该控制器根据随机数、该服务器标识符以及该摘要档案进行哈希运算以产生信息标识符以及公钥，且该控制器将该随机数、该信息标识符以及该公钥传送至该服务器装置，以向该服务器装置作该通用第二因素服务的注册。


7.如权利要求6所述的认证系统，其特征在于，于该注册阶段，该控制器根据该随机数、该服务器标识符以及该摘要档案进行哈希运算以产生私钥及该公钥，且该控制器根据该私钥、该服务器标识符以及该摘要档案进行哈希运算以产生该信息标识符。


8.如权利要求7所述的认证系统，其特征在于，于该认证阶段：
该控制器将用于登入该服务器装置的账号及密码传送至该服务器装置，该控制器取得来自该服务器装置的认证询问，该控制器反应于该认证询问而依据该私钥产生签章，且该控制器回传该签章至该服务器装置，致使该服务器装置根据该签章及该公钥进行该通用第二因素服务的认证。


9.如权利要求8所述的认证系统，其特征在于，该电子装置更包括：
按键模块，耦接该控制器，且受控于该控制器，
其中于该认证阶段，该控制器判断该按键模块的按键是否被按压以得到判断结果，若该判断结果为是，则该控制器反应于该认证询问而依据该私钥产生该签章。


10.一种认证方法，其特征在于，包括：
于绑定阶段，通过电子装置根据该电子装置的信息产生密钥识别档案，并将该密钥识别档案传送至行动储存装置；
于该绑定阶段，通过该电子装置根据该密钥识别档案的档案状态及该行动储存装置的信息至少其中一者产生摘...

【专利技术属性】
技术研发人员：方耀德，宋明勋，
申请(专利权)人：联阳半导体股份有限公司，
类型：发明
国别省市：中国台湾;71