專利名稱:無線網絡認證系統及其方法
技術領域:
本發明涉及一種無線網絡認證系統及其方法,且特別是涉及一種使用卡 片技術的無線網絡認證系統及其方法。
背景技術:
近年來網絡環境使用趨勢,從傳統的有線網絡移轉到無線通訊網路,使 用者可擺脫有形線路連接的束縛,隨意地在電波涵蓋的范圍內上網、進行通 訊,從而實現了移動上網的理想。無線網絡設備成本每年大幅度的下降,使 得許多家庭、辦公室及會議室紛紛采用無線網絡作為連結因特網的優先解決 方案。
但是,由于無線網絡仍屬于無線電傳播技術,當然也使得攻擊者得以在 無線電波涵蓋的范圍內進行通訊內容的監聽及進行其它攻擊,首當其沖的便 是通訊的保密性、數據完整性及合法使用與否。這些因無線通訊的先天特性
而可能招致的威脅包括竊聽(Eavesdropping)、偽裝(Masquerade)、回放 (Replay)、 訊息竄改(Message MocUfication)、 通訊劫持(Session Hijacking)、 阻斷服務 (Denial-of-Services)、 綁架攻擊 (Man-in-the-Middle)…等。
為了保護無線網絡免于遭受攻擊入侵的威脅,無線網絡設備必須采取更 為嚴密的安全機制。尤其是認證(Au t henti ca t i on)機制為網絡存取的第 一道
安全認證機制,如WiFi的802. IX、 WiMAX的PKMv2,其運作方式越復雜, 這使得使用者對于相關設定必須更加謹慎,而認證系統運作時的工作負載也 更加繁重。也因此,這些實施現況已直接造成認證系統與使用者在使用無線 網絡時的負擔。
目前的安全認證方法多與無線網絡基礎建設(WiFi、 WiMAX、 Bluetooth 或3G…等)的標準規范、使用者連網設備及必須與設備相互搭配的認證方法 (如GSM手機使用EAP-SIM、 3G手機使用EAP-AKA、筆記型計算機搭配數字
憑證使用EAP-TLS…等)以及使用場合的無線設備設定(居家WiFi AP的設定、 組織內部的網絡設備設定、公共場所的網絡設備設定)有直接關系。到目前 為止,并沒有一種以單一方法達封網絡無關、設備無關以及場合無關的安全 認證。
因此,本發明提出一種可達到網絡無關、設備無關以及場合無關的認證 系統及其方法。
發明內容
本發明提供一種無線網絡認證系統,此認證系統為一種網絡無關、設備 無關以及場合無關的認證系統。
本發明提供一種無線網絡認證方法,此認證方法為一種網絡無關、設備 無關以及場合無關的認證方法。
本發明提出一種無線網絡認證系統,此認證系統包括卡片、讀卡機、終 端使用者設備與無線通訊接取設備。其中,讀卡機耦接于無線通訊接取設備。 卡片用以記錄數據,讀卡機用以讀取卡片所記錄的數據。無線通訊接取設備 用以接收讀卡機所讀取的數據,并根據此數據完成終端使用者設備與無線通 訊接耳又"i殳備的認i正。
本發明還提出 一種應用于無線通訊接取設備與終端使用者設備的無線 網絡認證方法,此方法包括(a)提供卡片與讀卡機,并使用讀卡機讀取卡 片所記錄的數據;(b)將卡片所記錄的數據傳送至無線通訊接取設備;以及 (c)利用卡片所記錄的數據對無線通訊接取設備與終端使用者進行認證。
系統與方法利用卡片與讀卡機當作認證的橋梁(bridge),除了依舊保有卡片 系統的操作便利性外,還可免除無線網絡傳輸時無線電波的先天安全漏洞, 并可使用各式終端使用者設備以實現在多種無線通訊網路的安全認證。其 中,終端使用者設備可包括筆記型計算機、PDA…等,無線通訊網路可包 括GSM、 GPRS、 WiFi、 WiMAX、 3G或4G…等系統。
為使本發明的上述特征和優點能更明顯易懂,下文特舉實施例,并結合 附圖詳細il明如下。
圖1A是本發明所提供的無線網絡認證系統的 一種實施例。
圖1B是圖1A實施例的一種認證協議的實施方式。
圖2是卡片101與讀卡機102的一種實施方式。
圖3是卡片101與讀卡機102的另一種實施方式。
圖4是卡片101與讀卡機102的又一種實施方式。
圖5A是本發明提供的無線網絡認證系統的另 一種實施例。
圖5B是圖5A實施例的一種認證協議的實施方式。
圖6是本發明提供的無線網絡認證系統的另一種實施例。
圖7 A是本發明提供的無線網絡認證系統的另 一種實施例。
圖7B是圖7A實施例的一種認證協議的實施方式。
圖8是本發明所提供的無線網絡認證方法的流程示意圖。
附圖符號說明100:無線網絡認證系統
101:卡片
102:讀卡機
103終端使用者設備
104無線通訊接取設備
201非接觸式卡片
202感應式讀卡機
301接觸式卡片
302接觸式讀卡機
500無線網絡認證系統
501讀卡機
700無線網絡認證系統
701認證伺服器
800讀取步驟
801傳送步驟
802.認證步驟
803:進行安全通訊步驟
804:中斷或重新啟動步4,
具體實施例方式
為了使本發明更容易被理解,以下將結合附圖與實施例來說明本發明所 提供的無線網絡認證系統及其方法。
圖1A是本發明所提供的無線網絡認證系統的一種實施例。請參考圖1A, 此認證系統100包括卡片101、讀卡機102、終端使用者設備103與無線通 訊接取設備104。其中,讀卡機102耦接于無線通訊接取設備104。卡片101 用以記錄一數據,讀卡機102用以讀取卡片IOI所記錄的數據。無線通訊接 取設備104用以接收讀卡機102所讀取的數據,并根據數據比對完成終端使 用者設備103與無線通訊接取設備104的認證。
請參考圖2與圖3,圖2是卡片101與讀卡機102的一種實施方式,圖 3是卡片101與讀卡機102的另一種實施方式。如圖2所示,卡片101包括 非接觸式卡片201,讀卡機102包括感應式讀卡機202,其操作原理為感應 式讀卡機202利用其感應電路讀取非接觸式卡片201所記錄的數據。如圖3 所示,卡片101包括接觸式卡片301,讀卡機102包括接觸式讀卡機302, 其操作原理為接觸式卡片301利用插入或刷卡的方式與接觸式讀卡機302接 觸,以使得接觸式讀卡機302讀取接觸式卡片301所記錄的數據。
接下來,請參考圖4,圖4是卡片101與讀卡機102的又一種實施方式。 其中,卡片101包括非接觸式卡片201,讀卡機102包括感應式讀卡機202, 且非接觸式卡片201內建于終端使用者設備103。其操作原理如前面所述, 在此不再贅述。
上述的卡片101與讀卡機102的實施方式,僅是用以方便說明本發明, 并非用以限定本發明,凡屬于本發明的精神與范圍者,應在本發明所保護的 范圍內。
上述的無線通訊接取設備104包括至少一個無線通訊接取裝置,換句話 說,無線通訊接取設備104可以是一群或一個無線通訊接取裝置。且此無線 通訊接取裝置可以是應用于GSM、 GPRS、 WiFi、 WiMAX、 3G或4G…等系統的 無線通訊接取裝置。另外,上述的終端使用者設備103可以包括筆記型計 算機、PDA、平板計算機、雙網手機、3G手機…等具備供使用者藉此上網的 類似裝置。且上述的無線通訊接取設備104與終端使用者設備103僅是本發 明的應用,并非用以限定本發明,凡屬于本發明的精神與范圍者,應在本發
明所保護的范圍內。換言之,凡是通過卡片系統完成兩種裝置的聯系或認證
以促成某應用都是本發明的精神與范圍。舉例來說,設備104可以是視頻推 撥系統,設備103可以是一般有聲音輸出接口的裝置,通過本發明的系統與 方法,可以將推撥系統的聲音通過設備103呈現。再舉一例,設備104可以 是展示系統數據來源裝置,設備103可以是有顯示接口或有聲音輸出接口的 裝置,通過本發明的系統與方法,可以將展示系統的數據通過設備103呈現。 類似的應用,應在本發明所保護的范圍內。
請繼續參考圖1A。上述的終端使用者設備103與無線通訊接取設備104 的認證,可以根據各種不同的情景而有不同的認證方式。在此以一種簡單的 認證方式來解說,并且以圖1B為例,此說明僅是為了方便解說,并非用以 限定本發明。圖1B是圖1A實施例的一種認證協議的實施方式。請同時參考 圖1A與圖1B,終端使用者設備103具有卡片IOI所記錄的數據,例如卡 片賬號CARD-ID,。首先,讀卡機102讀取卡片101所記錄的卡片賬號 CARD-ID(步驟1B0Q)。接著,讀卡機102傳送卡片賬號CARD—ID給無線通訊 接取設備104(步驟1B01)。然后,終端使用者設備1Q3通過設定好的服務設 定識別碼SSID (Service Set Identifier, SSID)與無線通訊接取設備104 建立聯機(步驟1B02)。無線通訊接取設備104將接收到的卡片101所記錄的 卡片賬號CARD—ID輸入哈希函數(hash function) HO以產生認證碼AUT (步 驟1B03)。接著,終端使用者設備103將卡片賬號CARD—ID,輸入哈希函數H0 以產生認證碼AUT,(步驟1B04)。接著,終端使用者設備103將所產生的認 證碼AUT,傳送至無線通訊接取設備1Q4(步驟1BQ5)。最后,無線通訊接取設 備104比對自己所產生的認證碼AUT與接收到的認證碼AUT'是否相符合(步 驟1B06)。若不相符,則此認證系統100中斷網絡聯機或者重新啟動網絡聯 機;若相符,終端使用者設備103與無線通訊接取設備104會計算出一組共 同的加密金鑰,以進行安全通訊(步驟1B07)。
上述的終端使用者設備103與無線通訊接取設備104的認證方式僅是一 種實施方式,并非用以限定本發明。上述的認證方式也可以是終端使用者設 備103通過使用者輸入對應卡片101所記錄的數據的使用者賬號與密碼,終 端使用者設備103與無線通訊接取設備104便能根據使用者賬號與密碼與卡 片101所記錄的數據進行認證。當然,終端使用者設備103與無線通訊接取 設備104之間也可以使用現有各種認證協議與技術。簡言之,此認證方式可
以有多種不同的實施方式,并非用以限定本發明。
請參考圖5A,圖5A是本發明提供的無線網絡認證系統的另一種實施例。 圖5A與圖1A的差異^又在于圖5A的認證系統500多了讀卡機501,其中,此 讀卡機501耦接于終端使用者設備103。讀卡機501用以讀取卡片101所記 錄的數據,并將卡片101所記錄的數據傳送給終端使用者設備103。
圖5A的卡片101與讀卡機102及501可如同前面所述的實施方式。在 此卡片101包括非接觸式卡片,讀卡機102包括感應式讀卡機,且讀卡機501 包括感應式讀卡機。在其它實施例中,卡片101可以包括接觸式卡片,讀卡 機102包括接觸式讀卡機,且讀卡機501包括接觸式讀卡機。另外,圖5A 的讀卡機501可以內建于終端使用者設備103,如圖6所示。
圖5A的終端使用者設備103與無線通訊接取設備104的認證方式,也 如同前述有多種實施方式。例如,圖5B是圖5A實施例的一種認證協議的實 施方式。上述實施例的認證方式可以通過設定好的服務設定識別碼SSID,也 就是靜態的服務設定識別碼建立連接。然而,為了避免偽造的無線通訊接取 設備蓋臺(亦即,偽造的無線通訊接取設備所傳送的功率大于合法的無線通 訊接取設備104)或竊取數據,以下實施例將采用動態的服務設定識別碼 D —SSID,使得整個認證系統的安全性提升。
圖5B是以動態的服務設定識別碼進行認證的實施方式說明,然而,此 種認證協議的實施方式并非用以限定本發明。請繼續參考圖5A與圖5B。首 先,讀卡機102讀取卡片IOI所記錄的數據,例如卡片賬號CARD—ID、隨 機數RAND-1 (步驟5B00a)。讀卡機102產生隨機數RAND — 2,并且將隨機數 RAND-2寫入卡片101 (步驟5B00c)。讀卡機102將隨機數RAND —2、 RAND—1 與卡片賬號CARD—ID傳送給無線通訊接取設備104 (步驟5B00d)。接著,無 線通訊接取設備104將卡片賬號CARD-ID與隨機數RAND —2輸入哈希函數HI, 以產生動態的服務設定識別碼D —SSID (步驟5B02a)。
然后,讀卡機501讀取卡片101所記錄的卡片賬號CARD—ID、隨機數 RAND—I與隨機數RAND_2 (步驟5B01a)。讀卡機501將卡片賬號CARD —ID、 隨機數RAND-1與隨機數RAND-2傳送給終端使用者設備103 (步驟5B01b)。 接著,終端使用者設備103將接收到的隨機數RAND —2與卡片賬號CARD—ID 輸入哈希函數H1以產生動態的服務設定識別碼D-SSID'(步驟5B03)。若終 端使用者設備103產生的動態服務設定識別碼D —SSID,與無線通訊接取設備
104產生的動態服務設定識別碼D-SSID相符,則終端使用者設備103與無線 通訊接取設備104建立連接(步驟5B04)。
然后,無線通訊接取設備104通過步驟5B04所建立的連接(無線網絡) 傳送接收到的卡片賬號CARD—ID與隨機數RAND—2給終端使用者設備103以 供驗證(步驟5B06)。然后,終端使用者設備103比對自讀卡機501所接收到 隨機數RAND-2與自無線通訊接取設備104接收到的隨機數RAND-2是否相符 (步驟5B07)。若不相符,則此認證系統500中斷網絡聯才幾或者重新啟動網絡 聯機;若相符,終端使用者設備103通過無線網絡將隨機數RAND-1傳送給 無線通訊接取設備104,以做為認證所需的數據(步驟5B08)。最后,無線通 訊接取設備104比對自終端使用者設備103所接收到的隨機數RAND—1與自 讀卡機102所接收到的隨機數RAND—1是否相符(步驟5B09)。若不相符,則 此認證系統500中斷網絡聯機或者重新啟動網絡聯機;若相符.,終端使用者 設備103與無線通訊接取設備104會計算出一組共同的加密金鑰,以進行安 全通訊(步驟5B10)。動態服務設定識別碼的使用也為本發明所提供的實施例 的特點,但并非用以限定本發明,凡屬于產生或應用動態服務設定識別碼的 精神與范圍者,都應在本發明所保護的范圍內。
請參考圖7A,圖7A是本發明提供的無線網絡認證系統的另一種實施例。 圖7A與圖1A的差異僅在于圖7A的認證系統700多了認證伺服器701,其中, 此認證伺服器701耦接于無線通訊接取設備104。無線通訊接取設備701根 據卡片101的所記錄的數據向認證伺服器701查詢相對應的使用者認證數 據,并將所取得的使用者認證數據與由終端使用者設備103通過無線網絡所 輸入的數據進行比對,以藉此完成終端使用者設備103與無線通訊接取設備 104的認證。
圖7A的終端使用者設備103與無線通訊接取設備104的認證方式,也 有多種實施方式。請參考圖7B,圖7B是圖7A實施例的一種認證協議的實施 方式。圖7B雖以動態的服務設定識別碼進行認證的實施方式說明,然而, 此圖7B的認證協議的實施方式并非用以限定本發明。首先,讀卡機102讀 取卡片101所記錄的數據(步驟7B00a),例如卡片賬號CARD—ID。讀卡機 102將此卡片賬號CARD—ID傳送給無線通訊接取設備104 (步驟7B00b)。然 后,無線通訊接取設備701根據此卡片賬號CARD_ID向認證伺服器701查詢 (query)相對應的使用者認證數據(步驟7B01),例如使用者賬號USER-ID
與密碼PWD。接著,認證伺服器701根據卡片賬號CARD-ID傳送相對應的使 用者賬號USER—ID與密碼PWD給無線通訊接取設備104 (步驟7B02)。
然后,無線通訊接取設備104將使用者賬號與隨機產生的隨機數RAND—1 輸入一哈希函數H2以產生動態的服務設定識別碼D_SSID (步驟7B03),其 中,隨機數RAND-1的范圍介于0至n-l。接下來,無線通訊接取設備104 將產生的動態的服務設定識別碼D-SSID、卡片賬號CARD—ID、使用者賬號 USER—ID與密碼PTO記錄在無線通訊接取設備104的數據庫內,以供后續無 線網絡認證操作所需(步驟7B04a)。與此同時,無線通訊接取設備104也以 前述動態的服務設定識別碼D—SSID建立一個接取服務通道。
然后,終端使用者設備103通過使用者輸入使用者賬號USER —ID'與密碼 PWD,,并將使用者賬號USER-ID,與數字0~n-1分別輸入哈希函數H2以產生
n個動態的服務設定識別碼D-SSID-O、 D-SSID-1..... D—SSID一n-1 (步驟
7B05),并比對n個動態的服務設定識別碼D —SSID—0~D —SS工D—n-l與動態的 服務設定識別碼D—SSID。若n個動態的服務設定識別碼D_SSID_0~ D-SSID-n-1中沒有任何一個與動態的服務設定識別碼D—SSID相符合,則無 法啟動網絡聯機。若n個動態的服務設定識別碼D —SSID—0~D —SSID —n-1中 有一個(例如D —SSID-O)與動態的服務設定識別碼D-SSID相符合,則終端 使用者設備103便使用此一接取服務信道D-SSID與無線通訊接取設備104 建立連接(步驟7B06)。
接著,終端使用者設備103傳送使用者賬號USER-ID,與密碼PWD'給無線 通訊接取設備1Q4 (步驟7BQ8)。然后,無線通訊接取設備104分別比對使 用者賬號(USER_ID=USER —ID,?)及密碼(PWD-PWD,?)是否相符(步驟7謂)。若 不相符,則此認證系統700中斷網絡聯機;若相符,終端使用者設備103與 無線通訊接取設備104會計算出一組共同的加密金鑰,以進行安全通訊(步 驟7B10)。
接著,請參考圖8,圖8是本發明所提供的無線網絡認證方法的流程示 意圖。此方法應用于無線通訊接取設備與終端使用者設備的無線網絡認證方 法,此方法包括(讀取步驟800)提供卡片與第一讀卡機,并使用第一讀卡 機讀取卡片所記錄的第一數據;(傳送步驟801)將卡片所記錄的第一數據傳 送至無線通訊接取設備;以及(認證步驟802)利用卡片所記錄的第一數據對 無線通訊接取設備與終端使用者進行認證。此方法還包括(進行安全通訊
步驟803)若無線通訊接取設備與使用者終端設備認證成功,則無線通訊接取 設備與使用者終端設備會計算出一組共同的加密金鑰,以進行安全通訊;(中 斷或重新啟動步驟804)若無線通訊接取設備與使用者終端設備認證失敗,則 中斷網絡聯機或者重新啟動網絡聯機。另外,根據上述的實施例,可知(傳 送步驟801)還包括提供另一讀卡機讀取卡片數據,并將此卡片所記錄的第 一數據傳送至終端使用者設備。
認證步驟802的詳細實施方式也如上的實施例有多種認證的方式可以實 施,例如終端使用者設備通過無線網絡傳送卡片所記錄的第一數據給無線 通訊接取設備,以藉此完成終端使用者設備與無線通訊接取設備的認證。又 例如認證步驟802的詳細實施方式也可以是(a)當第一讀卡機讀取完第一 數據時,第一讀卡機將產生一第二數據并傳送第二數據給該卡片,以供寫入 該卡片,第一讀卡機還將第二數據與第一數據傳送給無線通訊接取設備;(b) 第二讀卡機讀取該卡片所記錄的第 一數據與第二數據,并將第 一與第二數據 傳送給終端使用者設備;(c)終端使用者設備通過無線網絡傳送第一數據與 第二數據給無線通訊接取設備以供認證。其中,第二數據為隨機數。當然,
如先前的實施例所述,認證步驟802也可以是無線通訊接取設備根據卡片的 第一數據向認證伺服器查詢相對應的使用者認證數據,并將所取得的使用者
認證數據與由終端使用者設備所輸入的數據進行比對,以藉此完成終端使用 者設備與無線通訊接取設備的認證。
再來介紹本發明的一種應用方式。在公交車上架設非接觸式讀卡機并結 合無線通訊接取設備(如WiMAXMS),乘客在上車時以一非接觸式卡片(如 悠游卡)與讀卡機感應并交換數據,讀卡機將所感應的數據傳送至無線通訊 接取設備以利于其與外部使用者認證伺服器(如悠游卡卡務系統)進行使用 者數據查詢,完成查詢后,使用者認證所需的數據(例如識別碼與密碼)會 回傳至無線通訊接取設備,以完成認證準備前置作業。當乘客開啟終端使用 者設備(如筆記型計算機)欲上網時,無線通訊接取設備要求乘客于其終端 使用者設備接口輸入應供認證比對的數據(例如識別碼與密碼),待數據完 成輸入并回傳至無線通訊接取設備后,進行使用者認證;認證成功后開啟網 絡聯機服務。乘客可隨時中斷聯機或重新聯機,而當乘客下車以非接觸式卡 片通過讀卡機扣除車費與網絡服務費的同時,也刪除該卡片記錄在無線通訊 接取設備的相關數據。
接著,介紹本發明的另一種應用方式。在出租車上架設非接觸式讀卡機
并結合無線通訊接取設備(如WiMAXMS),乘客在上車時以一非接觸式卡片 (如悠游卡)與讀卡機感應并交換數據,讀卡機將所感應的數據傳送至無線 通訊接取設備。當乘客開啟終端使用者設備(如筆記型計算機)要上網時, 可以使用出租車司機提供或自備的外接型非接觸式卡片讀卡機(如USBCard Reader)連結至終端使用者設備,并以同 一張非接觸式卡片進行感應,使該 非接觸式卡片與終端使用者設備建立數據關聯,以作為無線通訊接取設備進 行認證及開啟網絡聯機服務的依據(其詳細過程可參照前述的實施例)。乘客 可隨時中斷聯機或重新聯機,而當乘客下車以非接觸式卡片通過讀卡機扣除 車費的同時,除可當場扣除網絡服務費外,也可刪除該卡片記錄在無線通訊 接取設備的相關數據。
再者,介紹本發明的另一種應用方式。有一訪客拜訪某一公司,訪客在 訪客服務中心完成相關登錄作業后,訪客服務中心核發一張非接觸式卡片給 訪客。該非接觸式卡片實為一張門禁卡,其中記錄允許進入的大樓或會議室 空間,而各區域的門禁裝置(非接觸式讀卡機)已與其相對應的無線通訊接取 設備連結。當該訪客以非接觸式卡片感應門禁系統以獲準進入某會議室的同 時,該卡片的數據也同時記錄在此會議室所管轄的無線通訊接取設備中。當 該訪客開啟終端使用者設備(如筆記型計算機)要上網時,以外接型非接觸 式讀卡機(如USB Card Reader)連結至終端使用者設備,并以同一張非接 觸式卡片進行感應,使該非接觸式卡片與終端使用者設備建立數據關聯,以 作為無線通訊接取設備進行認證及開啟網絡聯機服務的依據(其詳細過程可 參照前述諸實施例)。該訪客可隨時中斷聯機或重新聯機,而在訪客離開此 公司時歸還該非接觸式卡片。
再介紹本發明的另一種應用方式。有某一工程師需前往某一會議室開 會,他的終端使用者設備(如筆記型計算機)內建非接觸式感應電路(等同 于內建非接觸式卡片)。當他的終端使用者設備與非接觸式讀卡機相互感應 時,非接觸式卡片及終端使用者設備的供作認證及供作網絡聯機的必要數 據, 一同經由非接觸式讀卡機讀取后傳至無線通訊接取設備,使無線通訊接 取設備在收到來自非接觸式讀卡機所讀取出的數據后,即能完成與終端使用 者設備的認證。
另外,現有的許多視頻推撥系統,無論是室內的電視屏幕或是室外的大
型屏幕,多因位處公共區域,所以,只作視頻的推撥,而刻意將聲音關閉。 然而,如果沒有聲音的輔助,許多信息的提供就不夠完整。本發明實施例所 提供的無線網絡認證系統及其方法可與視頻推撥系統做搭配,視頻推撥點的 主機可與讀卡機連結,觀賞視頻的瀏覽人,可以用內建非接觸式卡片的手機
或PDA,輕易地用本發明實施例所提供的方法與系統來建立其手持式終端使 用者設備與推撥點主機的連接關系,之后,推撥點主機可以將音頻傳送至終 端使用者設備,以提供與視頻同步的聲音輸出。當然,視頻瀏覽人也可以用 筆記型計算機外接讀卡機,再利用卡片的使用來建立其筆記型計算機與推撥 點主機的連接關系,使能通過筆記型計算機的音源輸出裝置進行與視頻同步 的聲音輸出。如前述的例子,若有一訪客拜訪某一公司,訪客于訪客服務中 心完成相關登錄作業后,訪客服務中心核發一張非接觸式卡片給訪客,該訪 客可以利用已取得的非接觸式卡片,先在視頻推撥點主機的讀卡機上先作一 次感應,再以外接型非接觸式讀卡機(如USB Card Reader)連結至訪客的 終端使用者設備(如筆記型計算機),并以同一張非接觸式卡片進行感應, 使非接觸式卡片能建立其終端使用者設備與推撥點主機的連接關系,之后, 便能通過筆記型計算機的音源輸出裝置進行與視頻同步的聲音輸出。
另 一種應用是以本發明實施例所提供的系統及其方法進行方便有效的 信息展示,例如在安靜的博物館或任何展示空間...等,每一個展點架設信 息展示主機并搭配讀卡機,參觀人可以用內建卡片的耳機,通過本發明的實 施,將展點的音頻說明傳送至參觀人的耳機以提供聲音形式的展點介紹信 息。或參觀人可使用具有屏幕的終端使用者設備,無論是以內建卡片或是以 外接讀卡機使用卡片的方式,都可以本發明實施例所提供的系統與方法實 施,將展點的展覽視頻傳送至該終端使用者設備,以利參觀人瀏覽。或可以 本發明實施例所提供的系統與方法實施,將展點的展覽信息下載至參觀人的 適當的終端使用者設備。
綜上所述,本發明所提供的無線網絡認證系統及其方法有下述的優點。 (a)提升認證執行效率以非接觸式讀卡機與無線通訊接取設備的連結,以 及通過非接觸式感應技術的近距離數據交換,可免除傳統無線網絡認證過程 中所傳遞的數據極容易遭到竊聽、無線通訊接取設備遭偽裝仿冒...等威脅的 困擾,進而規避傳統無線網絡在設計認證協議時必須受限于無線通訊先天傳 輸的安全疑慮的考慮。因此,本發明提出可大幅簡化無線網絡認證過程及其
復雜度,并維持等價的安全等級,因精筒設計而獲得的運算能量極低的好處,
可以明顯提升執行效率。(b)本發明提供的認證系統及其方法與網絡架構及 終端使用者設備的種類無關,亦即本發明不限無線網絡技術的選擇。而以非 接觸式卡片為識別基準,可使本發明與終端使用者設備的選用無關。(c)本
發明可開創全新的商務模式,本發明可選用開放式無線網絡認證、封閉式無
線網絡認證或卡片直接認證于適當的應用場景,包括居家環境、辦公場所 及其它新興的商務模式的應用情境。(d)本發明可與現有的非接觸式卡片應 用相互搭配,例如門禁系統卡、付款系統卡…等,相互搭配。
雖然本發明已以較佳實施例披露如上,但其并非用以限定本發明,本領 域技術人員,在不脫離本發明的精神和范圍的前提下,當可作若干的更改與 修飾,因此本發明的保護范圍當以本發明的權利要求為準。
權利要求
1. 一種無線網絡認證系統,其特征在于該系統包括:卡片,用以記錄第一數據;第一讀卡機,用以讀取該卡片所記錄的該第一數據;終端使用者設備;以及無線通訊接取設備,耦接于該第一讀卡機,用以接收該第一讀卡機所讀取的該第一數據,并根據該第一數據完成該終端使用者設備與該無線通訊接取設備的認證。
2. 如權利要求1所述的無線網絡認證系統,其特征在于,該無線通訊接 取設備與該終端使用者設備之間利用固定的服務設定識別碼建立連接。
3. 如權利要求1所述的無線網絡認證系統,其特征在于,該無線通訊接 取設備與該終端使用者設備之間利用動態產生的服務設定識別碼建立連接。
4. 如權利要求1所述的無線網絡認證系統,其特征在于,該卡片為非接 觸式卡片,且該第一讀卡機為感應式讀卡機。
5. 如權利要求4所述的無線網絡認證系統,其特征在于,該非接觸式卡 片內建于該終端使用者設備。
6. 如權利要求1所述的無線網絡認證系統,其特征在于,該卡片為接觸 式卡片,且該第一讀卡機為接觸式讀卡機。
7. 如權利要求1所述的無線網絡認證系統,其特征在于所述的無線網絡 i人證系統還包括第二讀卡機,耦接于該終端使用者設備,用以讀取該卡片所記錄的該第 一數據,并將該第一數據傳送給該終端使用者設備。
8. 如權利要求7所述的無線網絡認證系統,其特征在于,該第二讀卡機 內建于該終端使用者設備。
9. 如權利要求7所述的無線網絡認證系統,其特征在于,該卡片為非接 觸式卡片,該第一讀卡機為第一感應式讀卡機,且該第二讀卡機為第二感應 式讀卡機。
10. 如權利要求7所述的無線網絡認證系統,其特征在于,該卡片為接 觸式卡片,該第一讀卡機為第一接觸式讀卡機,且該第二讀卡機為第二接觸 式讀卡機。
11. 如權利要求7所述的無線網絡認證系統,其特征在于該終端使用者 設備通過該無線網絡傳送該第 一數據給該無線通訊接取設備,以藉此完成該 終端使用者設備與該無線通訊接取設備的認證。
12. 如權利要求7所述的無線網絡認證系統,其特征在于,當該第一讀 卡機讀取完該第 一數據時,該第 一讀卡機將產生第二數據并將該第二數據寫 入該卡片,該第一讀卡機還將該第二數據與該第一數據傳送給該無線通訊接 取設備;該第二讀卡機還讀取該卡片所記錄的該第一數據與該第二數據,并 將該第一與該第二數據傳送給該終端使用者設備;該無線通訊接取設備通過 該無線網絡傳送該第二數據給該終端使用者設備以供認證;以及該終端使用 者設備通過該無線網絡傳送該第一數據給該無線通訊接取設備以供認證。
13. 如權利要求12所述的無線網絡認證系統,其特征在于該第二數據為 隨機數。
14. 如權利要求1所述的無線網絡認證系統,其特征在于所述的無線網 絡i^證系統還包括認證伺服器,耦接于該無線通訊接取設備;其中,該無線通訊接取設備根據該卡片的該第一數據向該認證伺服器查 詢相對應的使用者認證數據,并將所取得的該使用者認證數據與由該終端使 用者設備所輸入的數據進行比對,以藉此完成該終端使用者設備與該無線通 訊接取設備的認證。
15. 如權利要求1所述的無線網絡認證系統,其特征在于,該無線通訊 接取設備包括至少一 WiFi接取裝置。
16. 如權利要求1所述的無線網絡認證系統,其特征在于該系統應用于 GSM、 GPRS、 WiFi、 WiMAX、 3G或4G無線通訊系統。
17. 如權利要求1所述的無線網絡認證系統,其特征在于該系統應用于 視頻推撥系統、展示系統、門禁系統或付款系統等。
18. —種無線網絡認證方法,其特征在于該方法包括 使用第 一讀卡機讀取卡片所記錄的第 一數據; 將該第一數據傳送至無線通訊接取設備;以及利用該第一數據對該無線通訊接取設備與終端使用者進行認證。
19. 如權利要求18所述的無線網絡認證方法,其特征在于該方法還包括 若無線通訊接取設備與使用者終端設備認證成功,則無線通訊接取設備 與使用者終端設備會計算出一組共同的加密金鑰,以進行安全通訊;以及若無線通訊接取設備與使用者終端設備認證失敗,則中斷網絡聯機或者 重新啟動網絡聯^L。
20. 如權利要求18所述的無線網絡認證方法,其特征在于,該無線通訊接取設備與該終端使用者設備之間利用固定的服務設定識別碼建立連接。
21. 如權利要求18所述的無線網絡認證方法,其特^正在于,該無線通訊 接取設備與該終端使用者設備之間利用動態產生的服務設定識別碼建立連接。
22. 如權利要求18所述的無線網絡認證方法,其特征在于該方法還包括 使用第二讀卡機讀取該卡片的第一數據;以及將該第 一數據傳送至該終端使用者設備。
23. 如權利要求22所述的無線網絡認證方法,其特征在于該方法還包括 該終端使用者設備通過該無線網絡傳送該第一數據給該無線通訊接取設備,以藉此完成該終端使用者設備與該無線通訊接取設備的認證。
24. 如權利要求22所述的無線網絡認證方法,其特征在于該方法還包括 當該第 一讀卡機讀取完該第 一數據時,該第 一讀卡機將第二數據寫入該卡片;該第 一讀卡機將該第二數據與該第 一數據傳送給該無線通訊接取設備; 由該第二讀卡機讀取該卡片所記錄的該第 一數據與該第二數據; 由該第二讀卡機將該第 一與該第二數據傳送給該終端使用者設備; 該無線通訊接取設備通過該無線網絡傳送該第二數據給該終端使用者設備以供認證;以及該終端使用者設備通過該無線網絡傳送該第一數據給該無線通訊接取設備以供認證。
25. 如權利要求24所述的無線網絡認證方法,其特征在于該第二數據為 隨機數。
26. 如權利要求18所述的無線網絡認證方法,其特征在于所述的無線網 絡認證方法還包括提供認證伺服器;由該無線通訊接取設備根據該卡片的該第 一數據向該認證伺服器查詢 相對應的使用者認證數據; 由該無線通訊接取設備將該使用者認證數據與該終端使用者設備通過 該無線網絡所輸入的認證數據進行比對,以藉此完成該終端使用者設備與該 無線通訊接取設備的認證。
27. 如權利要求18所述的無線網絡認證方法,其特征在于該方法能應用 于GSM、 GPRS、 WiFi、 WiMAX、 3G或4G的無線通訊系統。
28. 如權利要求18所述的無線網絡認證方法,其特征在于該方法應用于 視頻推撥系統、展示系統、門禁系統或付款系統等。
全文摘要
本發明披露一種無線網絡認證系統,此認證系統包括卡片、讀卡機、終端使用者設備與無線通訊接取(access)設備。其中,讀卡機耦接于無線通訊接取設備。卡片用以記錄數據,讀卡機用以讀取卡片所記錄的數據。無線通訊接取設備用以接收讀卡機所讀取的數據,并根據此數據完成終端使用者設備與無線通訊接取設備的認證。
文檔編號H04L12/56GK101383816SQ20071014729
公開日2009年3月11日 申請日期2007年9月6日 優先權日2007年9月6日
發明者石登瑞, 邱錫彥, 陳宇佐 申請人:財團法人工業技術研究院