專利名稱:以單次密碼選擇性解除功能之裝置與方法
技術領域:
本發(fā)明系關于數(shù)字版權管理(Digital Rights Management����,DRM),特定而言,其系關于一種實時式控管信息安全之方法�。
背景技術:
「信息」是所有企業(yè)最重要的資產(chǎn)之一�,在二十一世紀這信息流通、媒體發(fā)達的年代里�,對于信息的取得與控管,往往就決定了一個大企業(yè)的發(fā)展�����。故如何解決公司內(nèi)部信息安全的問題���,是現(xiàn)今企業(yè)所必須面臨的重要課題�。因為信息科技的發(fā)展��,各企業(yè)均日漸依賴計算機協(xié)助其業(yè)務的推展���;但信息科技的普及同時也伴隨著風險�����,來自外部的攻擊�,例如病毒����、后門程序��、系統(tǒng)漏洞攻擊等威脅亦隨之日增��,因此企業(yè)之信息防護即成為重要課題�����。
關于信息安全的威脅除了來自外部的攻擊��,更可能來自內(nèi)部的不當使用��;相當多調(diào)查發(fā)現(xiàn)對于企業(yè)信息安全的威脅源其實來自于員工惡意的行為與非惡意的失誤操作��,因此企業(yè)內(nèi)部關于應用軟件的不當使用與信息存取行為����,實為暗藏資安威脅之處�。在一方面,企業(yè)內(nèi)使用之網(wǎng)絡系統(tǒng)�,大多都透過企業(yè)內(nèi)部局域網(wǎng)絡(Intranet)加以連結(jié),由復數(shù)個使用者端與一個服務器端所構成��,彼此間數(shù)據(jù)的流量相當驚人�。為了避免企業(yè)內(nèi)部數(shù)據(jù)透過因特網(wǎng)外流����,先前技術中提供了一些手段來解決上述的問題�,譬如防火墻、防毒程序的信息安全系統(tǒng)����,避免黑客入侵或是企業(yè)員工透過因特網(wǎng)以不正行為造成數(shù)據(jù)外泄�����。另一方面�,假使今天企業(yè)對于公司內(nèi)部之信息處理裝置,例如桌上型計算機�、手提電腦、個人數(shù)字助理(PDA)����、行動電話、掌上型等信息處理裝置等之輸出沒有進行控管���,公司內(nèi)部的人員可以藉由信息儲存裝置將信息處理裝置中的數(shù)據(jù)外流��,如一般的隨身碟�����、集成電路卡���、智能卡����、軟盤機��、光驅(qū)��、ZIP���、MO�����、刻錄機��、通用串行總線(Universal SerialBus����;USB)連接線至通用串行總線連接線�����、并行口連接線(ParallelPort)、串行口連接線(Serial Port)及便攜式信息儲存裝置等組合���,都可輕易的備份信息處理裝置上的數(shù)據(jù)��,將數(shù)據(jù)流出���。
在資安系統(tǒng)中,數(shù)字內(nèi)容版權管理(Digital RightsManagement�,DRM)即系藉由軟件或硬件之方法����,限制其數(shù)字內(nèi)容使用方式之統(tǒng)稱。目前關于企業(yè)內(nèi)部信息安全管理����,多以伺服端(server)與-客戶端(client)構成一管理模塊,由中央伺服端對于客戶端上之操作行為加以控管���;是故市面上的軟件多可以達到異地之管理與控制����,對多臺客戶端計算機加以實時監(jiān)控與根據(jù)客戶端授權層級。在一些習知技術中����,當企業(yè)的內(nèi)部數(shù)據(jù)需要外流時,使用者端必須先與服務器端聯(lián)絡����,并經(jīng)過驗證取得授權后才將輸出終端放行。例如��,在一先前技術中���,當使用者欲將客戶端中的數(shù)據(jù)以USB隨身碟備份外流時����,其必須先于客戶端輸入一組第一密碼����,該第一密碼會透過電話路線或網(wǎng)絡傳送到遠程的伺服端作驗證。假使該密碼通過驗證���,伺服端會根據(jù)該第一密碼計算出一第二密碼傳送給客戶端�����。只要使用者于該客戶端輸入該組密碼��,內(nèi)建于該客戶端中的防護程序就會被移除使得該客戶端的USB口啟用(enable)�,讓使用者能透過隨身碟備份數(shù)據(jù)。此透過驗證來執(zhí)行指令之作法雖好�,但確有其缺點此驗證技術并不具選擇性。意即����,其防護程序可能同時防護著許多功能,但一旦通過驗證���,所有防護的功能都將消失���。例如���,假使該防護程序同時防護了USB端口�����、紅外線端口及以太網(wǎng)絡連結(jié)(使其停用����,disable)。當客戶端通過系統(tǒng)端之驗證時��,此三項功能都會同時被啟用����,并無法以使用者之選擇來啟動。故數(shù)據(jù)還是可能透過以太網(wǎng)絡或是紅外線端口而外流��。
故此�,基于上述習知技術,目前信息處理裝置中的數(shù)據(jù)安全性仍有許多的缺失���,亟需要一種嶄新的技術解決方案����。是以本發(fā)明提出一新穎的驗證以執(zhí)行指令之方法以改善習知技術中之缺失���。
發(fā)明內(nèi)容
為解決前述之問題�����,本發(fā)明揭露了一種驗證以執(zhí)行指令之系統(tǒng)及其方法���,其系利用傳統(tǒng)的電話系統(tǒng)來于伺服端進行客戶端數(shù)據(jù)處理裝置之驗證并執(zhí)行指令���,不僅在網(wǎng)絡無法連接之狀態(tài)下可透過電話線路來傳送訊息以達到驗證之效果,更能以使用者所特有之使用者序號����,及客戶端數(shù)據(jù)處理裝置之裝置序號、系統(tǒng)序號來產(chǎn)生密碼進行驗證認可���,使得整體驗證機制更具安全性���、實時性及可追蹤性。
在本發(fā)明的一觀點�����,其中提出了一種可選擇性解除客戶端數(shù)據(jù)處理裝置的功能之方法�。本發(fā)明觀點中之方法與傳統(tǒng)先前技術不同之處在于客戶端所防守的每一項功能都會有一對應之功能序號。該客戶端所防守之功能可以是任何有關信息安全所防護之項目�����,諸如外接埠之啟用(如USB端口���、打印機端口��、IEEE1394)���、計算機防護鎖之開啟、因特網(wǎng)的使用�����、甚或是特定應用程序之執(zhí)行(如郵件程序)等�。本發(fā)明所提供之通過驗證以執(zhí)行指令之方法適用于一計算機或是信息處理裝置。信息處理裝置包含了桌上型計算機��、手提電腦�、個人數(shù)字助理(PDA)、行動電話���、掌上型計算機等�。其中����,該信息處理裝置與伺服端皆具有一所屬之系統(tǒng)序號,且操作該裝置時需登入使用者之一使用者序號��,其步驟包含使用者選擇其欲解除功能所對應之功能序號;該信息處理裝置隨機產(chǎn)生一組第一序號��;該信息處理裝置藉由該第一序號及該功能序號并運用一第一算法產(chǎn)生一第二序號�;藉由該第一序號、該第二序號��、伺服端內(nèi)建之系統(tǒng)序號及使用者序號以一第二算法產(chǎn)生一第三序號��;及該信息處理裝置接受一電話系統(tǒng)所傳送之該第三序號���,且該第三序號與一信息處理裝置端一驗證序號進行驗證無誤后�,該計算機執(zhí)行其特定功能�����。其中����,該驗證序號是以信息處理裝置端所屬之系統(tǒng)序號演算產(chǎn)生。
在本發(fā)明的一觀點����,其中提出了一種一計算機可讀取之記錄媒體,內(nèi)含有一種通過驗證以執(zhí)行指令之方法����,系適用于一信息處理裝置,其中�����,該信息處理裝置具有一該裝置所屬之一系統(tǒng)序號��,且操作該信息處理裝置時需登入使用者之一使用者序號��,該通過驗證以執(zhí)行指令之方法包含有該信息處理裝置隨機產(chǎn)生一組第一序號����;該信息處理裝置藉由該第一序號及該功能序號并運用一第一算法產(chǎn)生一第二序號;藉由該第一序號���、該第二序號�、伺服端內(nèi)建之系統(tǒng)序號及該使用者選定之功能號碼并運用一第二算法以產(chǎn)生一第三序號���;及該信息處理裝置接受一電話系統(tǒng)所傳送之該第三序號��,且該第三序號與一信息處理裝置端一驗證序號進行驗證無誤后����,該計算機執(zhí)行其特定功能。其中�,該驗證序號是以信息處理裝置端所屬之系統(tǒng)序號演算產(chǎn)生。
本發(fā)明的目的之一在于提供一種驗證以執(zhí)行指令之系統(tǒng)及其方法 本發(fā)明之另一目的在于可選擇性解除客戶端功能防護之方法�����。
本發(fā)明前述之形式�、目的、觀點��、特征及優(yōu)點將隨著以下較佳實施例中詳細的描述及其伴隨之圖式而愈見明顯����,其細節(jié)描述與圖式僅用以述明本發(fā)明。而本發(fā)明之范疇將由隨附之專利請求項來定義���。
本發(fā)明可藉由說明書中若干較佳實施例及詳細敘述以及后附圖式得以了解��。然而���,此領域之技藝者應得以領會所有本發(fā)明之較佳實施例系用以說明而非用以限制本發(fā)明之申請專利范圍,其中 圖1為本發(fā)明實施例中通過驗證以執(zhí)行指令的裝置之方塊圖�; 圖2為本發(fā)明另一實施例中通過驗證以執(zhí)行指令之方法流程圖。
圖中 1 伺服端 2 客戶端 3 電話系統(tǒng) 4 數(shù)據(jù)處理裝置 S1 使用者輸入其使用者序號 S2 使用者輸入其功能號碼 S3 隨機產(chǎn)生一組第一序號 S4 利用第一序號及功能序號以一第一加密算法產(chǎn)生一組第二序號 S5 藉由電話系統(tǒng)傳送演算出之第一序號�、第二序號及使用者序號至伺服端 S6 藉由第一序號��、第二序號��、系統(tǒng)序號及使用者序號運用一第二加密算法以產(chǎn)生一第三序號 S7 伺服端藉由電話系統(tǒng)將第三序號傳回至該客戶端 S8 驗證第三序號。若第三序號驗證無誤����,客戶端執(zhí)行一指令
具體實施例方式 本發(fā)明將以較佳之實施例及觀點加以詳細敘述,而此類敘述系解釋本發(fā)明之結(jié)構及程序�,只用以說明而非用以限制本發(fā)明之申請專利范圍。因此����,除說明書中之較佳實施例之外,本發(fā)明亦可廣泛實行于其它實施例�����。
請參閱圖1����,圖1為本發(fā)明較佳實施例中一種通過驗證以執(zhí)行指令之方法,適用于一伺服端1��、一客戶端2及一電話系統(tǒng)3�,其中����,該客戶端2中有一數(shù)據(jù)處理裝置4�,可藉由因特網(wǎng)傳輸訊號至該伺服端1,亦可藉由該電話系統(tǒng)3使該數(shù)據(jù)處理裝置4與該伺服端1之兩端使用者以語音����、傳真或簡訊方式進行信息之傳輸,另外����,該客戶端2與伺服端1皆具有所屬之一系統(tǒng)序號,該系統(tǒng)序號為所屬系統(tǒng)之特定編號����,該系統(tǒng)序號依該計算機所屬公司系統(tǒng)不同而有所區(qū)別。于本實施例中���,使用者操作該客戶端2之數(shù)據(jù)處理裝置4時必須由登入其特定之使用者序號�����,如使用者之身份證號碼或公司工號等���,以驗證客戶端使用者操作此驗證執(zhí)行指令系統(tǒng)之合法性��。
本實施例中通過驗證以執(zhí)行指令之系統(tǒng)可防護客戶端復數(shù)個功能��,該功能可以是外接端口之啟用(如USB端口����、打印機端口�、IEEE1394)�、計算機防護鎖之開啟、因特網(wǎng)的使用�、甚或是特定應用程序之執(zhí)行等攸關信息安全的功能項。
本實施例中的系統(tǒng)可防守客戶端的許多功能��,而其所防守之每一項功能都會有一對應之功能號碼���。使用者可依其所欲于客戶端解除之功能來選擇其所對應之功能序號來進行防護之系統(tǒng)操作�。本實施例中假設客戶端2數(shù)據(jù)處理裝置4之使用者欲啟用(enable)客戶端2上的USB埠��,其會對應到一系統(tǒng)預設之特定功能序號(假設為100)��,使用者可以該功能序號100來進行系統(tǒng)之操作���。
請參照圖2���。該通過驗證以執(zhí)行指令之方法包含有 使用者于客戶端之數(shù)據(jù)處理裝置輸入其使用者序號(S1)�����; 使用者于客戶端之數(shù)據(jù)處理裝置輸入其功能序號(S2)���; 該數(shù)據(jù)處理裝置隨機產(chǎn)生一組第一序號(S3); 該客戶端之數(shù)據(jù)處理裝置利用該第一序號及該功能序號以一第一加密算法以產(chǎn)生一組第二序號(S4)����; 該客戶端數(shù)據(jù)處理裝置之使用者藉由該電話系統(tǒng)傳送該演算出之該第一序號、第二序號及使用者序號至一伺服端(S5)��; 該伺服端藉由該第一序號���、該第二序號����、該伺服端之系統(tǒng)序號����、該使用者序號運用一第二加密算法以產(chǎn)生一第三序號(S6); 該伺服端藉由該電話系統(tǒng)將該第三序號傳回至該客戶端(S7);及 該客戶端之數(shù)據(jù)處理裝置接收該伺服端所產(chǎn)生之該第三序號����,且該第三序號與一信息處理裝置端一驗證序號進行驗證無誤后,該客戶端執(zhí)行一指令�,解除系統(tǒng)所設定之功能防護(S8)。在本發(fā)明實施例中����,其功能防護為USB端口的停用(disable),而該驗證序號是以信息處理裝置端所屬之系統(tǒng)序號演算產(chǎn)生�����。
在本發(fā)明實施例中���,該第一加密算法、該第二加密算法可為對稱式加密算法或非對稱式加密算法��,如BLOWFISH���,TWOFISH�,DES�,TripleDES,3-WAY�,SHA�,SHA1�����,SAFER-sk64��,SAFER-sk128�����,SAFER+���,LOKI97���,GOST,RC2�,RC6,MARS�����,IDEA���,RIJNDAEL-128(或稱AES)�����,RIJNDAEL-192�����,RIJNDAEL-256��,SERPENT�����,CAST-128�,CAST-256,ARCFOUR�����,WAKE��,CBC���,ECB,CFB及OFB等加密算法。
在本發(fā)明的另一觀點中�����,更提供一計算機可讀取之記錄媒體�,內(nèi)含一種可選擇性驗證以執(zhí)行指令之方法,系適用于一信息處理裝置��,其中����,該信息處理裝置具有該裝置所屬之一系統(tǒng)序號,且操作該計算機時需登入使用者特定之一使用者序號��,以驗證其使用此系統(tǒng)之合法性�����。本實施例的系統(tǒng)可防守客戶端數(shù)據(jù)處理裝置的許多功能�,而其所防守之每一項功能都會有一對應之功能序號。使用者可依其所欲于客戶端數(shù)據(jù)處理裝置解除之功能來選擇其所對應之功能號碼來進行系統(tǒng)操作����。該記錄媒體中通過驗證以執(zhí)行指令之方法包含有使用者于客戶端之數(shù)據(jù)處理裝置輸入其使用者序號;使用者于客戶端之數(shù)據(jù)處理裝置選擇其功能序號���;該數(shù)據(jù)處理裝置隨機產(chǎn)生一組第一序號�����;該客戶端之數(shù)據(jù)處理裝置利用該第一序號及該功能序號以一第一加密算法以產(chǎn)生一組第二序號����;該客戶端數(shù)據(jù)處理裝置之使用者藉由該電話系統(tǒng)傳送該演算出之該第一序號、第二序號及使用者序號至一伺服端��;該伺服端藉由該第一序號��、該第二序號���、該伺服端之系統(tǒng)序號及該使用者序號運用一第二加密算法以產(chǎn)生一第三序號����;該伺服端藉由該電話系統(tǒng)將該第三序號傳回至該客戶端�;及,該客戶端數(shù)據(jù)處理裝置之接收該伺服端所產(chǎn)生之該第三序號�,并與信息處理裝置端一驗證序號進行驗證�。若該第三序號驗證無誤,該客戶端之數(shù)據(jù)處理裝置執(zhí)行一指令��,解除系統(tǒng)所設定之功能防護。該驗證序號是以信息處理裝置端所屬之系統(tǒng)序號演算產(chǎn)生�����。
綜以上所述�,本發(fā)明系利用現(xiàn)有之電話系統(tǒng),以進行客戶端與伺服端之序號驗證��,故無先前技術中浪費實體儲存裝置寄送所耗費之成本與時間�����,即能達到安全驗證之目的���。此外��,以電話系統(tǒng)來傳送系統(tǒng)驗證所需之序號����,可使系統(tǒng)在無法連接網(wǎng)絡之狀態(tài)下亦可執(zhí)行驗證�,解除或開啟使用者所需之功能,大大的增加了本驗證執(zhí)行方法之實用度����。
再者����,本實施例之系統(tǒng)可防守客戶端的許多功能���,而其所防守之每一項功能都會有一對應之功能號碼���。使用者可依其所欲于客戶端解除之功能來選擇其所對應之功能號碼來進行防護之系統(tǒng)操作。所輸入之功能號碼亦會加入驗證過程中的演算��,不僅強化原有的驗證方式�����,防止公司外部的有心人士進行破解���,更方便讓使用者可利用功能號碼來選擇性地開啟或解除一或多個系統(tǒng)所防護之功能���,大大的增進此驗證執(zhí)行系統(tǒng)與方法之適用性與安全性。
上面敘述系為本發(fā)明之較佳實施例��。此領域之技藝者應得以領會其系用以說明本發(fā)明而非用以限定本發(fā)明所主張之專利權利范圍�����。其專利保護范圍當視后附之申請專利范圍及其等同領域而定�����。凡熟悉此領域之技藝者��,在不脫離本專利精神或范圍內(nèi)�,所作之更動或潤飾,均屬于本發(fā)明所揭示精神下所完成之等效改變或設計�,且應包含在下述之申請專利范圍內(nèi)。
權利要求
1.一種通過驗證以執(zhí)行指令之方法�����,其特征在于其適用于客戶端之一信息處理裝置�,其中,該信息處理裝置具有一裝置序號及該裝置所屬之一系統(tǒng)序號�,且操作該計算機時需登入使用者之一使用者序號,包含有
使用者于該客戶端之信息處理裝置登入其使用者序號����;
使用者于該信息處理裝置輸入其功能序號;
該信息處理裝置隨機產(chǎn)生一組第一序號���;
該信息處理裝置利用該第一序號及該功能序號以一第一加密算法產(chǎn)生一組第二序號��;
該信息處理裝置之使用者藉由一電話系統(tǒng)傳送該演算出之該第一序號����、第二序號及該使用者序號至一伺服端;
該伺服端藉由該第一序號�����、該第二序號�����、該伺服端之系統(tǒng)序號及該使用者序號以一第二加密算法產(chǎn)生一第三序號����;
該伺服端藉由該電話系統(tǒng)將該第三序號傳回至該客戶端之信息處理裝置;及
該信息處理裝置接收該伺服端所產(chǎn)生之該第三序號����,且該第三序號與一信息處理裝置端一驗證序號進行驗證。若該第三序號驗證無誤����,該信息處理裝置執(zhí)行一指令,解除系統(tǒng)中該功能號碼所對應之功能防護。
2.如權利要求1所述之通過驗證以執(zhí)行指令之方法�����,其特征在于其中該驗證序號是以該信息處理裝置端之系統(tǒng)序號演算產(chǎn)生���。
3.如權利要求1所述之通過驗證以執(zhí)行指令之方法,其特征在于其中該系統(tǒng)序號為該裝置所屬系統(tǒng)之特定編號��,該系統(tǒng)序號依該計算機所屬公司系統(tǒng)不同而有所區(qū)別�����。
4.如權利要求1所述之通過驗證以執(zhí)行指令之方法��,其特征在于其中該第一加密算法與第二加密算法為下述選擇BLOWFISH���,TWOFISH����,DES���,TripleDES��,3-WAY����,SHA,SHA1�����,SAFER-sk64���,SAFER-sk128��,SAFER+���,LOK197,GOST�,RC2,RC6����,MARS,IDEA�,RIJNDAEL-128(或稱AES),RIJNDAEL-192����,RIJNDAEL-256����,SERPENT�����,CAST-128�,CAST-256����,ARCFOUR,WAKE��,CBC�,ECB,CFB及OFB��。
5.如權利要求1所述之通過驗證以執(zhí)行指令之方法�����,其特征在于其中該信息處理裝置包含桌上型計算機��、手提電腦、個人數(shù)字助理(PDA)�、行動電話、掌上型計算機����。
6.一種計算機可讀取之記錄媒體,其特征在于內(nèi)含有一種通過驗證以執(zhí)行指令之方法�����,系適用于一信息處理裝置����,其中該信息處理裝置具有一該裝置所屬之一系統(tǒng)序號,且操作該裝置時需登入使用者之一使用者序號�,該通過驗證以執(zhí)行指令之方法包含有使用者于該信息處理裝置輸入其功能號碼;該信息處理裝置隨機產(chǎn)生一組第一序號���;該信息處理裝置利用該第一序號及該功能序號以一第一加密算法產(chǎn)生一組第二序號����;該信息處理裝置之使用者藉由一電話系統(tǒng)傳送該演算出之該第一序號�、第二序號及功能號碼至一伺服端;該伺服端藉由該第一序號��、該第二序號、該系統(tǒng)序號及該使用者序號運用一第二加密算法以產(chǎn)生一第三序號�;該伺服端藉由該電話系統(tǒng)將該第三序號傳回至該客戶端之信息處理裝置;及該信息處理裝置接收該伺服端所產(chǎn)生之該第三序號���,且該第三序號與一信息處理裝置端一驗證序號進行驗證��。若該第三序號驗證無誤����,該信息處理裝置執(zhí)行一指令���,解除系統(tǒng)中該功能號碼所對應之功能防護�����。
7.如權利要求6所述之計算機可讀取之記錄媒體,其特征在于其中該驗證序號是以該信息處理裝置端之系統(tǒng)序號演算產(chǎn)生�。
8.如權利要求6所述之計算機可讀取之記錄媒體,其特征在于其中該系統(tǒng)序號為該裝置所屬系統(tǒng)之特定編號����,該系統(tǒng)序號依該計算機所屬公司系統(tǒng)不同而有所區(qū)別。
9.如權利要求6所述之計算機可讀取之記錄媒體���,其特征在于其中該第一加密算法與第二加密算法為下述選擇BLOWFISH����,TWOFISH,DES���,TripleDES�����,3-WAY�,SHA���,SHA1��,SAFER-sk64�,SAFER-sk128����,SAFER+,LOKI97��,GOST�����,RC2,RC6�,MARS,IDEA����,RIJNDAEL-128(或稱AES),RIJNDAEL-192����,RIJNDAEL-256,SERPENT���,CAST-128�,CAST-256�����,ARCFOUR�,WAKE����,CBC����,ECB�����,CFB及OFB�。
10.如權利要求6所述之計算機可讀取之記錄媒體,其特征在于其中���,其中該信息處理裝置包含桌上型計算機����、手提電腦����、個人數(shù)字助理(PDA)、行動電話���、掌上型計算機����。
全文摘要
本發(fā)明系提供一種以單次密碼選擇性解除功能之裝置與方法�。于一觀點中�,本發(fā)明之裝置可經(jīng)由電話線路來在伺服端與客戶端之間傳送驗證所需之序號�����。在本發(fā)明另一觀點中��,本發(fā)明之系統(tǒng)可防守客戶端上的許多接口設備與功能�,其每個個別的功能都會預設一相對應之功能號碼,使用者可利用該功能號碼來選擇性地開啟或解除一或多個系統(tǒng)所防護之接口設備或功能���。
文檔編號H04L29/06GK101499998SQ200810006970
公開日2009年8月5日 申請日期2008年1月28日 優(yōu)先權日2008年1月28日
發(fā)明者蔡宜霖 申請人:精品科技股份有限公司