网际网络通关安全认证方法及IC卡认证硬件

摘要

本发明涉及一种网际网络通关安全认证方法及IC卡认证硬件，其是利用一IC卡内置一身份核对暗码ICCID及一国际核对码GLN，并将此IC卡置入一IC卡读取装置(Reader)内，并装置于一般相容于电脑USB介面或PS2插槽也或是具有无线通讯、红外线传输的硬件上，当做认证硬件；由于IC卡及其IC卡读取装置(Reader)搭配于一般电脑周边硬件，更使其应用面广泛，搭配上IC卡及IC卡读取装置(Reader)的认证硬件也可用来当做储存媒介，而不会使得资料只能存放于单一台电脑固定式的硬碟中，使之更具有资料存取的保密性、安全性及机动性。

说明书

mat="original" lang="zh">

网际网络通关安全认证方法及 IC卡认证硬件 技术领域

本发明涉及一种网际网络通关安全认证方法及工 c卡认证硬件， 尤指 一种利用认证硬件当做通关媒介的网际网络通关安全认证系统与方法。 背景技术

一般公知， 通讯网际网络安全系统及方法为通讯资讯的密码化， 其 是在网页伺服器端进行资讯情报密码化， 但是即使实施密码化， 为防止 通讯网际网络情报的外泄， 有研究设计密码化技术的程序及逻辑， 希望 在技术上能与骇客相对抗。 然而， 在现况上尚无法做到完全的防止。

而网站审核会员机密资料的入口， 便是会员登录系统， 而目前的网 站会员登录模式， 都只在网页上直接登录使用者名称及密码， 若二者相 符， 就能进入该网站会员功能网页， 用该登录使用者的资料去进行合法 会员可以执行的动作， 甚至可以查询到使用者的一些相关机密资料， 及 往来纪录； 但以今日一般的应用网站伺服器 (Ap Server)所采用的编码 技术面言， 单独在应用网站伺服器 (AP Server)端网页程序上做密码编解 码的动作， 实在是无法确保能不被骇客破解， 且今日网际网络的无边无 际， 为于便利使用及随时随地都能上网的需求， 使得使用者可以方便的 在很多地方利用不同的电脑或其他装备上网， 且由于目前技术要将使用 者设定权限及分级制度有其困难性， 例如利用图书馆的公用电脑上网， 或于网吧上网， 由于使用同一台机器的使用者众多， 若一时疏忽， 将其 使用者名称及密码遗留在登录画面中而忘记删除的话， 便很容易被下一 个使用者盗用或被骇客利用一些简易作业系统的后门程序等拿来破解且 盗用其机密资料， 进行非法交易， 以致使用者的损失。

现行网络安全漏洞百出， 其中尤以： 《骇客以 Dictionary Attack方 式破解用户密码， 假冒用户身份》 最为普遍， 一般大家都知道， 以输入 使用者 ID及密码的方式签入电脑系统， 是最简单、 但确也是最不安全的 方式。 其原因如下：

1、一般人选择密码的依据， 是以方便记忆为主， 很少人会选择一串 任意排列并夹杂英文字母及数字的密码。 著名的密码学大师 Daniel Klein声称， 以一般的字典攻击法（Dictionary Attack) , 40%电脑上的密 码可轻易被破解。 目前网络上散布着许多由学生、 系统专家及骇客所设 计的密码破解软件， 提供企业内、 外咅骇客入侵的工具。

2、现今资讯系统日趋复杂化， 许多异质系统相互串联的结果， 导致 用户在签入不同电脑系统时， 因各作业系统的要求， 必须再次输入密码。 据专家统计，只有少数人能同时记忆三组不同且长度为八个字串的密码。 结论是， 绝大多数人会因此而将密码写下来， 放在用户认为安全方便的 地方。 很显然的， 这又提供了企业内、 外部骇客入侵的管道。

3、 即使用户不曾触犯以上两点失误， 但是很显然的， 密码在从使用 者端传输到伺服器前， 是以明文的形态存在。 骇客可以经由网际网络或 是局域网络上任何一点， 截取密码， 然后假冒使用者 (R印 lay)开始非法 入侵系统。 很多人以为租一条专线， ,就可以不被骇客入侵。 这样的观念 是错的。 即使是专线， 也是经过公共交换系统做线路交换， 对于骇客入 侵系统而言， 更为方便。 因为专线一旦建立后， 资料所流动的路线就不 会常变化。 如此， 骇客更能集中资源， 专注于截取固定线路上流动的资 料。

再者： 《骇客也可截取点对点传输中未经加密过的资料， 并加以纂 改》，在网际网络上走的通讯协定是 TCP/IP。在两台电脑能够传输资料前， 必须先完成三段式交握（ Three- way Handing Shaking)， 才能建立连线， 开始传送资料。 这其中潜藏的问题， 去 P给予骇客入侵的好机会。

其原因如下：

1、为双方资料的传输是通过公众的网际网络，而所传送的资料是以 明文的形态存在。 任何连上网际网络的电脑， 都可以对网上的资料做监 听 (Sniffing)。 如此一来， 个人隐私、 财产， 以及企业商务机密则完全 曝露在网际网络上， 根本毫无隐私、 机密可言。

2、有时骇客为了完全掌握上述所建立的连线，并假冒原使用者身份， 以存取远端主机上的资源与服务， 会同时假冒主机的身份， 将大量无用 的资料回传给使用者， 企图瘫痪用户端电脑系统的运算能力（Denial of Service ； DoS)。 如此一来， 骇客不但可以假冒原使用者身份， 以存取 远端主机上的资源与服务， 任意发布、 篡改或删除资料， 让主机端的系 统管理者无法察觉。更严重的是， 骇客以这样不着痕迹的方式擅改资料， 在无法确认讯息来源 (使用者身份）的状况下， 使原使用存难以自清。

再者： 若使用者于公共场所使用公用电脑上网， 都是通过该公共场 所内部的局域网络（LAN)而连接上外部网络（Internet)，在区域网络 (LAN) 上， 以 Ethernet- based IP networks 为例， 所有的资料（封包）都是以广 播 (Broadcasting)的方式流向局域网络内所有的 PC。 因为每一台 PC上都 有一张网络卡（Network Interface Card) , 所以可以过滤掉不是传送给 自己的封包。 而这其中潜藏的问题， 却给予骇客入侵的另一大好机会， 截取在 LAN上传输的资料。

其原因如下：

1、为所有的封包都是以广播（Broadcasting)的方式流向局域网络内 所有的 PC， 而且是以明文的形态存在。 因此， 任何连上局域网络的 PC都 可以扮演监听者（Sniffer)的角色， 大方的偷看别人的资料。

2、 更糟糕的是， 一旦某人的密码被截取， 则很有可能被人以非法的 方式签入系统， 做一些非授权的事。 例如， 签核或签退公文、 更改会计 帐、 散布不实消息、 窃取研发资料后卖给竞争对手等等。

基于上述， 现行的网络安全漏洞相对的反映出本发明的重要性与实 质的进步性， 而现有的网际网络通关系统与方法所存在的缺失有加以改 良的必要。

因此， 本发明人有鉴于此， 乃特潜心研究并经过不断测试探讨， 终 于提出一种设计合理且有效改善上述缺失的一种搭配使用便利的认证硬 件， 有效防护并经由安控机制双重认证的网际网络通关安全认证系统与 方法。 发明内容 本发明的目的在于解决现有的网际网络通关系统与方法其单独在应 用网站服务器 (AP Server)端网页程序上做密码编译码的动作， 实在是无 法确保能不被骇客破解的问题。

为此， 本发明提供的技术方案为：

一种网际网络通关安全认证方法， 其中： 将内置有一身份核对暗码 集成电路卡识别码 ICCID (Integrated Circuit Card Identification) 及一国际核对码全球识别码 GLN ( Global Number ) 的集成电路 IC ( Integrated Circuit ) 卡置入一 IC卡读取装置（Reader)内， 并装置于 一般相容于电脑的硬件上做为认证硬件， 该方法主要包含以下步骤： 步骤 a: 使用者利用装置一 IC卡并一 IC卡读取装置（Reader)的认 证硬件登入会员， 输入使用者所需登录的资讯， 并按登录键 (Login) ; 步骤 b:利用 IC卡内嵌程序将其登录流程导至身份证明管理机构 CA (Certification Authority) 身份认证伺服器， 并将 IC卡内置的 ICCID 暗码传至 CA身份认证伺服器， 通过 CA身份认证伺服器特殊的程序来判 定认证硬件的 IC卡是否合法及审核权 P艮， 正确则在 CA身份认证伺服器 资料库上记录其登入次数， 产生一认证硬件认证成功的凭借（Server Result)， 并回传解码过程中所产生的随机乱数值 (Random)至 IC卡； 步骤 c : 前述步骤正确后， IC卡利用 IC卡内嵌程序将取得的随机乱 数值 (Random)用来解码内置的 ICCID暗码， 并产生一 IC卡认证的凭借 (Client Result) , 并将其登录流程导至应用网站伺服器 (AP Server) , 并将 ICCID暗码、 IC卡认证的凭借 (Cl ient Result) , 使用者输入资讯 一并传至应用网站伺服器 (AP Server) , 让应用网站伺服器 (AP Server) 依其资料库判定使用者输入的资讯是否正确， 并查询使用期限；

步骤 d : 前述步骤正确后， 应用网站伺服器 (AP Server)将所接受的 ICCID暗码及 IC卡认证的凭借 (Client Result)传至 CA身份认证伺服器 以供再次解密确认认证硬件及使用者资 iTl的正确性。

一种网际网络通关安全认证的 IC长认证硬件， 其中： 该 IC卡内置 有一身份核对暗码 ICCID及一国际核对码 GLN, 该 IC卡置入一 IC卡读 取装置 (Reader)内， 并装置于一般相容于电脑的硬件上，做为认证硬件; 该装置 IC卡的认证硬件， 可为一通用串行总线 USB (Universal Serial

Bus ) 介面的硬件。

其中， 该装置 IC 卡的认证硬件， 可为一通用连接端 PS2 (Public

Switched 2 ) 插槽的硬件。

该装置 IC卡的认证硬件， 可为一具有无线通讯的硬件。

该装置 IC卡的认证硬件， 可为一 IEEE1394介面的硬件。

该装置 IC卡的认证硬件， 可为一 IR红外线介面的硬件。

该装置 IC卡的认证硬件， 可为一快闪存储器。

该装置 IC卡的认证硬件， 可为一 PCMCIA (Personal Memory Card International Association, 个人电脑存储卡国际协会） 介面装置。

该装置 IC卡的认证硬件， 可为一键盘、 或一滑鼠、 或一游戏摇杆。 该装置 IC卡的认证硬件， 可为一 Web Cam网络摄影机。

本发明的主要创意来自于现亍网络安全漏洞百出， 对于使用者上网 安心使用其私密资料的防护性不足，于是潜心研究利用一 IC卡来搭配一 认证硬件，并与 CA身份认证服务器（安控机制）以达到提升电子数据网络 安全传输所欲达到的五大信息安全需求， 即为：

(1) 资料的隐密性 （ Confidentiality )

确保资料讯息不遭第三者偷窥或窃取， 以保护数据传输资料的隐私， '可通过资料加密来完成。

(2) 资料的完整性 （ Integrity )

确保数据传输资料讯息未遭有心人篡改， 以确保数据传输内容的正 确性， 可通过数字签章或资料加密予以保护。

(3) 来源辨识性 (Authentication)

确认数据传输讯息的来源， 以避免数据传输讯息遭到假冒， 可通过 数字签章或资料加密等方式加以防范。

(4) 不可否认性 ( Non-repudiation )

传送及接收讯息避免使用者事后否认曾进行数据传输， 可通过数字 签章及公开金钥基础架构来达成。

(5) 存取控制 （ Access Control ) 依使用者的身份， 作存取资料的控管。 此外， 并可依使用者的身份， 决定安控模块功能的执行权限。

本发明所搭配的 IC卡主要是以韧体的方式烧录于芯片中， 且有储存 量大的优点， 且非一般人能自行制作编辑， 不易被仿冒盗制， 其防伪及 防止被破解的功能性强， 可有效的防止被人恶意盗用的困扰， 并搭配目 的端应用网站服务器 (AP Server)及 CA身份认证服务器端的相互加解密 并交叉比对的结果， 更能有效的让使用者悠游于安全的网络环境中， 且 能体会科技带给人类方便的美意。

且本发明所搭配的 IC卡设计， 更能为应用网站服务器 (AP Server) 业者有效的控管流量及建立起分级制度， 管理权限， 防止骇客恶意入侵 及破坏，且本发明的 IC卡其适应力强， 只要放置于任何想要设定分级权 限的兼容硬件上， 便能有效的将其分级权限设置于 CA身份认证服务器 上， 其未来的发展性甚广。

另外， 搭配装置一 IC卡及一 IC卡读取装置（Reader)于其内的认证 硬件， 是可为一般兼容于计算机 USB接口或 PS2插槽也或是具有无线通 讯、 红外线传输的硬件， 也可用来当估储存媒介， 例如搭配在闪存上， 而不会使得资料只能存放于固定的硬盘中， 使之更具有资料存取的保密 性、 安全性及机动性， 甚至更可广泛应用到所有兼容的外围硬件， 便能 当成合法使用的凭借， 其硬件呈现方式如同一般门禁钥匙的运用， 其使 用模式较能让一般使用者接受。

再者， 利用本发明所采用的搭配 IC卡的认证硬件的另一附加价值系 如同个人的私钥， 其不连上网际网络日寸也可保护单机系统， 若使用者使 用公用计算机， 如办公室的计算机或学校计算机教室等多人共享的计算 机时， 也可利用本发明来设定个人档案的读取权限， 且其解锁方式唯有 通过本发明才能顺利解除锁定， 如此可方便安全且周详的做到个人资料 私密保护， 甚至也可将外围硬件的使用权限锁住而禁止没有使用权限的 人使用。

依据前述， 本发明经由上述数道加解密并编码的防护动作， 可以确 保使用者于网站上登录认证的安全性， 并避免使用者私密资料的泄露， 且 CA身份认证服务器更可适当的为网站业者控管流量、管理权限并建立 分级制度， 提供更安全的网络环境， 更甚者， 对于愿在网络环境上提供 服务者， 也因此机制的建立， 让其 1¾艮务更有依据作等值的回馈， 进一步 提供网络环境优质服务， 而让网络交易更符合公平交易秩序的原则。

本系统的凭证管理作业， 皆由用户以浏览器上网连到 Web Server网 站执行相关作业， 再由认证程序送出各请求信息到凭证伺服系统来。 用 户的凭证确认及相关功能可非常容易的执行， 且 Web Server网络服务器 端认证程序系统安装简单，且本发明所搭配的 IC卡搭配于一般计算机外 设硬件容易， 应用面应泛。

和现有应用于一般应用网站服务器 (AP Server)使用者登录系统的方 法比较，本发明利用了一 IC卡储存使用者的私密认证资料并一身份核对 暗码 ICCID, 并将此 IC卡装置于一般兼容于计算机 USB接口或 PS2插槽 也或是具有无线通讯的硬件上， 当 认证硬件， 并搭配一认证程序于一 般应用网站服务器 (AP Server)端， 在使用者利用此认证硬件上网登录其 使用者名称及密码时， 经由数道加解密并编码的防护动作， 以确保使用 者于网站上登录认证的安全性， 并避免使用者私密资料的泄露， 且可适 当的为网站业者控管流量、 管理权艮并建立分级制度， 并提供更安全的 网络环境。 附图说明

图 1为本发明的步骤流程图；

图 2为本发明搭配的 IC卡装置于可利用的硬件示意图；

图 3为本发明的实体流程导向示意图；

图 4为本发明搭配的 IC卡的应用实施例图；

图 5为本发明搭配的 IC卡装置于 PCMCIA介面装置的整合应用实施例 图；

图 6为本发明搭配的 IC卡装置于个夬、闪存储器的整合应用实施例图； 图 7为本发明搭配的 IC卡装置于夬闪存储器插置于电脑主机外壳的 示意图。 【图号说明】

10、 认证硬件

20、 CA身份认证伺服器

30、 IC卡

40、 认证硬件

51、 认证硬件

61、 CA身份认证伺服器

71、 应用网站伺服器 具体实施方式

以下配合图示对本发明的实施方式做进一步的说明后当更能明了。 图 1为本发明的步骤流程图， 图中包含&、 b、 c、 d四个主要步骤， 另一个正确的登入过程中包含了 step. 1到 step. 5等五个主要流程： 步骤 a:使用者利用装置一 IC卡和一 IC卡读取装置（Reader)的认证 硬件登入会员， 输入使用者所需登录的资讯， 并按登录键 (Login) ; 步骤 b : 利用 IC卡内嵌程序将其登录流程导至 CA身份认证伺服器， 并将 IC卡内置的 ICCID暗码传至 CA身份认证伺服器 （step. 1 )， 通过 CA身份认证伺服器特殊的程序来判定认证硬件上的 IC卡是否合法及审 核权限， 正确则在 CA身份认证伺服器资料库上记录其登入次数， 产生一 认证硬件认证成功的凭借 (Server Result)， 并回传解码过程中所产生的 随机乱数值（Random)至 IC卡 ( step. 2 ) ；

步骤 c : 前述步骤正确后， IC卡利用 IC卡内嵌程序将取得的随机乱 数值 (Random)用来解码内置的 ICCID暗码， 并产生一 IC卡认证的凭借 (Client Result) ( step. 3 ) , 并将其登录流程导至应用网站伺服器 (AP Server) , 并将 ICCID暗码、 IC卡认证的凭借（Client Result)， 使用者 输入资讯一并传至应用网站伺月艮器 (AP Server) , 让应用网站伺服器 (AP Server)依其资料库判定使用者输入的资讯是否正确， 并査询使用期限 (avail date)；

步骤 d: 前述步骤正确后， 应用网站伺服器 (AP Server)将所接受的 ICCID暗码及 IC卡认证的凭借 (Client Result)传至 CA身份认证伺服器 以供再次解密确认认证硬件及使用者资讯的正确性（step. 4)。

兹将以上步骤做一详 田说明如下：

首先步骤 a是指： 使用者通过一 IC卡内置一身份核对暗码 ICCID及 一国际核对码 GLN， 将此 IC卡置入一 IC卡读取装置（Reader)内， 并装 置于一般相容于电脑 USB介面或 PS2插槽也或是具有无线通讯、 红外线 传输等等的硬件上， 当做:认证硬件， 并利用此认证硬件上网登录其使用 者名称（Username)及密码（Password)后按登录键（Login)。

步骤 b 是指：在使用者输入其使用者名称（Username)及密码 (Password)后， 通过 IC卡内嵌程序先将其登录流程导至 CA身份认证伺 服器进行加解密动作， 通过特殊的流程先解密出 ICCID暗码的值， 并借 其比对 CA身份认证资料库，相对应 ICCID暗码且授权通过 (Validate=Y) 的 EKI后， 先行解密得 KI， 且产生一随机乱数值 (Random)并以 ΚΙ加密 的结果存于 CA身份认证 ί司服器的资料库中，该加密后的结果即为认证硬 件认证成功的凭借 (Server Result)， 并可用以记录该使用者使用此认证 硬件登入的次数， 确认该认证硬件的合法性及该暗码 ICCID是否有登录 该网站的权限， 及所被授予的权限多大， 在硬件认证通过后， CA身份认 证伺服器会将所产生的随机乱数值 (Random)值传送回 IC卡， 当做 KEY, 用来供一般应用网站伺服器 (AP Server)端通过第二步认证流程后和 CA 身份认证伺服器交叉比对用；而若此认证硬件上的 IC卡内设的 ICCID暗 码在比对结果中末授权通过 (Validate-N未幵卡）， 则系统会告知使用者 端硬件认证失败， 而失去通关登录的资格。 此为第一步的认证流程。

步骤 c 是指：第一^的认证流程成功， 一般应用网站伺服器（AP Server)会先接收 IC卡上由 CA身份认证伺服器所传送过来的 KEY值， ICCID 暗码， 使用者输入的使用者名称（Username)和键入的密码 (Password) , 再将其流程导至一般应用网站伺服器 (AP Server)进行比对 使用者姓名（Username)和密码（Password)是否正确， 并核对该使用者的 有效使用期限是否过期。

步骤 d是指： 步骤 c若经比对无误， 则将 KEY值及 ICCID暗码传回 CA身份认证伺服器进行加解密， 通过特殊的流程先解密出 ICCID暗码的 值， 并借其比对 CA 身份认证资料库， 相对应 ICCID 暗码且授权通过 (Validated)的 EKI后，并用 KEY值去对 EKI值解密，比对是否和 Server Result相符， 若相符， 则第二步认证通过， 若使用者经交叉比对确定是 合法的注册者， 则才能以合法使用权限通过会员登录入口， 继续导入下 一步的 Web Page并将 CA身份认证伺服器上加解密出的 Server Result 清空， 以使得使用者下次登录时可以产生新的 Server Result并供暂存， 若比对结果不相符， 则告知一般应用网站伺服器 (AP Server)认证硬件 ICCID暗码错误， 认证失败， 失去通关登录的资格， 此为第二步认证流 程。

再请叁考图 2， 为本发明装置于可利用的硬件示意图。

IC卡 30主要是以韧体的方式烧录于芯片中， 且有储存量大的优点， 且非一般人能自行制作编辑， 不易被仿冒盗制， 其防伪及防止被破解的 功能性强， 可有效的防止被人恶意盗用的困扰， 并搭配目的端应用网站 伺服器 (AP Server)及 CA身份认证伺服器端的相互加解密并交叉比对的 结果； 更會 ^有效的让使用者悠游于安全的网络环境中。

且本发明的 IC卡 30设计， 更能为应用网站伺服器 (AP Server)业者 有效的控管流量及建立起分级制度， 管理权限， 防止骇客恶意入侵及破 坏， 且本发明的 IC卡其适应力强， 只要放置于任何想要设定分级权限的 硬件上， 并搭配其认证程序，便能有效的将其分级权限设实于 CA身份认 证伺服器上， 其未来的发展性甚广。

且搭配 IC卡 30的认证硬件 40，可为一般相容于电脑 USB介面或 PS2 插槽也或是具有无线通讯的硬件， 也可用来当做储存媒介， 例如搭配在 快闪存储器上， 使之更具有资料存取的保密性及安全性。

图 3为本发明的实体流程导向示意图， 图中显示本发明实际运作时 的流程导向， 从使用者登录到正式登录完成共经过 8个路由， 请叁考图 示， 路由 1为使用者利用一认证硬件（装置 IC卡） 50登入 Web Server伺 服器 70网页登录其会员资料， 路由 2则为 Member Login视窗， 使用者 在输入 Username和 Password之后， 按登录键（Login) , 触动路由 3, IC 卡内嵌程序便会先将其登录流程导至 CA身份认证伺服器 60进行加解密 动作， 而路由 3为本发明的认证流程 1 (Winsock)，在认证流程 (Winsock) 里通过特殊的流程先解密出 ICCID暗码的值，并借其此对 CA身份认证资 料库， 相对应 ICCID暗码且授权通过 (Validate-Y)的 EKI后， 先行解密 得 KI， 且产生一随机乱数值 (Random)并以 KI加密的结果存于 CA身份认 证伺月艮器的资料库中， 该加密后的结果即为认证硬件认证成功的凭借 (Server Result) , 并可用以记录该使用者使用此认证硬件登入的次数， 确认该认证硬件的合法性及该暗码 ICCID是否有登录该网站的权限， 及 所被授予的权限多大， 在硬件认证完成后， 紧接着触动路由 4， 将 CA身 份认证伺服器所产生的随机乱数值 (Random)传送回 IC卡， 当 IC卡接收 到此随机乱数值 (Random)后， IC卡内嵌程序会先将内置的 ICCID暗码先 行解密而得一 KI值 （此处的 KI值并未审核其是否为授权通过的认证硬 件， 审核权和比对权是在 CA身份认证伺服器）， 再借以和所接收的随机 乱数值（Random)进行加密而产生一 IC卡认证的凭借（Client Result) , 用来供一般应用网站伺服器 (AP Server)端进行第二步认证流程时和 CA 身份认证伺服器交叉比对用； 而若此认证硬件上的 IC卡内设的 ICCID暗 码在比对结果中末授权通过 (Vahdate二 N 未开卡）， 则系统会告知使用者 端硬件认证失败， 而失去通关登录的资格。

而若第一步的认证流程成功的话， 将会触动路由 5， 将流程导向一般 应用网站伺服器（AP Server)， 而该 AP Server会先接收 IC卡上的 ICCID 暗码、 IC 卡认证的凭借（Client Result) , 使用者输入的使用者名称 (Username)和键入的密码（Password)， 此时一般应用网站伺服器（AP Server)会先通过其本身资料库进行比对使用者名称（Username)和密码 (Password)是否正确， 并核对该使用者的有效使用期限是否过期， 若经 比对无误， 再触动路由 6进行认证流程 2， 将 ICCID暗码及 IC卡认证的 凭借（Client Result)传回 CA身份认证伺服器进行交叉比对， 通过特殊 的流程先解密出 ICCID暗码的值， 并借其比对 CA身份认证资料库， 找出 相对应 ICCID暗码且授权通过 (Validated)的认证硬件认证成功的凭借 (Server Result)后， 比对认证硬件认证成功的凭借（Server Result)是 否和 IC卡认证的凭借 (Client Result)相符， 若相符， 则第二步认证通 过， 触动路由 7， 若使用者经交叉比对确定是合法的注册者， 则才能以 合法使用权限通过会员登录入口， 继续导入下一步的 Web Page并将 CA 身份认证伺服器上加解密出的 Server Result清空， 此为最后步骤， 路 由 8 ; 而若比对结果不相符， 则告知一般应用网站伺服器 (AP Server)认 证硬件 ICCID暗码错误， 认证失败， 失去通关登录的资格。

图 4为本发明利用一 IC卡内置一身份核对暗码 ICCID及一国际核对 暗码 GLN， 并将此 IC卡装置于一般相容于电脑 USB介面或 PS2插槽也或 是具有无线通讯、 红外线传输等等的硬件上， 当做认证硬件的实施例图， 由图中实施例 A小图可清楚看出， 本发明的 IC卡也可装置于键盘 (Key Board)之上， 而进行硬件控管使用权限的用途， 而 IC卡内嵌程序会在电 脑桌面上显示一个键盘 (Key Board)被锁定的画面， 在使用者通过相同的 电脑使用时， 在进入作业系统后， 便无法启动键盘， 唯有当使用者点触 键盘 (Key Board)锁定画面， 才会跳出一个解锁讯息供使用者输入解锁密 码， 若使用者无使用权限， 则无法使用电脑； 而实施例 B小图， 是本发 明的 IC卡装置于滑鼠之上， 同样的， 也可进行滑鼠硬件控管使用权限的 用途， 再者如实施例 c小图， 本发明的 IC卡装置于游戏摇杆上， 实施例 D小图， 本发明的 IC卡装置于 Web Cam (网络摄影机)上， 皆可进行周边 硬件控管使用权限的用途； 通过本发明实施例的应用， 更可做到安全防 护机制全面扩充至极点。

再如图 5所示， 是为本发明搭配的 IC卡装置于 PCMCIA介面装置的 整合应用实施例图， 通过此实施例， 更可让本发明的应用更具亲合性与 广泛实施性。

更如图 6 所示， 本发明装置于快闪存储器的整合应用实施例图， 本 发明搭配的 IC卡装置于快闪存储器上，不会使得资料只能存放于固定的 硬碟中， 使之更具有资料存取的保密性、 安全性及机动性， 带来更方便 的需求与方便性。

另图 7则是本发明搭配的 IC卡装置于快闪存储器插置于电脑主机外 壳的示意图， 将利用搭配本发明的 USB介面的认证硬件插入电脑主机外 壳的 USB插槽中， 便可进行前述所有歩骤。

综上所述， 本发明所提供的网际网络通关安全认证系统与方法， 能 取代现有的应用网站伺服器 (AP Server)登录模式， 其是利用了一 IC卡 内置一身份核对暗码 ICCID及一国际核对暗码 GLN， 并将此 IC卡装置于 一般相容于电脑 USB介面或 PS2插槽也或是具有无线通讯、 红外线传输 的硬件上， 当做认证硬件， 在使用者利用此认证硬件做登录动作时， 经 由数道加解密并目的端及认证端伺服器的交叉比对系统， 可有效确认使 用者的合法性及有效的控管流量； 再者，利用本发明所采用的搭配 IC卡 的认证硬件的另一附加价值是如同个人的私钥， 具有高防护性及高安全 性的优越功能， 其应用层面广泛及高安全性特点， 且为前所未有的设计， 确实已符合发明专利的申请要件， 恳请当局详加审查， 并惠赐准予专利， 以嘉惠民生利国利民， 实感德便。

然而以上所叙述的技术、 图说、程序或控制等方法，仅仅是本发明较 佳实施例而已； 举凡依本发明申请专利范围的技术所作的均等变化或修 饰或撷取部分功能的雷同制作， 皆映仍属本发明专利权所涵盖的范围; 当不能依此限定本发明实施的范围。