TWI647942B - 電子證件認證授權存取系統及方法 - Google Patents
電子證件認證授權存取系統及方法 Download PDFInfo
- Publication number
- TWI647942B TWI647942B TW106146248A TW106146248A TWI647942B TW I647942 B TWI647942 B TW I647942B TW 106146248 A TW106146248 A TW 106146248A TW 106146248 A TW106146248 A TW 106146248A TW I647942 B TWI647942 B TW I647942B
- Authority
- TW
- Taiwan
- Prior art keywords
- module
- authentication
- user
- card
- credential
- Prior art date
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本發明係揭露一種電子證件認證授權存取系統及方法。該方法包括:透過一應用服務模組向一瀏覽器發起一電子證件的資料存取授權之請求;透過一客戶端應用程式接收由瀏覽器所提供之請求以呼叫一卡片存取模組,並由卡片存取模組進行認證;當電子證件認證完成後,透過一憑證管理裝置取得已選擇的一授權權限的資料欄位並存放於應用服務模組之一憑證區;透過一客戶端連線模組在憑證區下載一憑證及授權權限的資料欄位;將憑證交由一憑證驗證模組驗證,以令應用服務模組讀取電子證件內使用者的個人資料。
Description
本案關於一種認證授權存取技術,更具體地,關於電子證件認證授權存取系統及方法。
智慧卡(Smart card)即是一種晶片卡,為在一可攜式塑膠卡片上內嵌一積體電路晶片。卡片包含微處理器、I/O介面以及記憶體,可儲存各式卡片資訊,並依其儲存資訊之用途不同可區分為身分證、健保卡、駕照、信用卡、電子票證、交通票證等,其中,具有身分認證功能、或卡片內含有個人資料的智慧卡即可稱為電子證件。
於現有的電子證件架構下,若有第三方服務提供者之服務提供裝置,需要使用者透過電子證件進行身分認證,常需要一個統一的認證服務伺服器,認證流程較為複雜,所需花費的時間亦較高。若該服務提供裝置需要存取電子證件內的資料,使用者通常僅能無條件的相信該服務提供裝置。惡意之服務提供裝置可讀取電子證件的全部資料,而非其所需要的一小部分,造成使用者資訊之洩漏。
習知技術中有針對電子身分證認證,需要一個eID統
一認證服務系統,同時無法授權僅特定資料給服務提供裝置。
又習知技術中有透過瀏覽器獲取電子身分證中的各個人資料訊息,並傳送到一個統一的認證服務器來完成身分認證,再將認證結果傳回給瀏覽器,然後提供給認證發起的應用程序。此技術無法做資料管控,還必須架設統一的認證服務器,並每次認證時進行連線認證。
此外,習知技術中可令客戶端直接對服務提供裝置連線完成認證,然而服務提供裝置仍需要在後端裝置對一個統一的eID第三方認證平台進行連線認證。同時,此技術雖可於認證時保護個人身分及隱私信息,但仍無法做到資料存取授權。若服務提供裝置需要部份電子證件內的個人資訊時,此技術無法提供支援。
再者,習知技術中需要透過一個統一的識別提供者(Identity Provider)取得授權存取電子證件,且其資料授權存取無法由使用者即時地減少授權之資料。
由此可見,上述習知方式仍有諸多缺失,實非一良善之設計,而亟待加以改良。
本發明提供一種電子證件認證授權存取系統及方法,其目的為在服務提供裝置及使用者裝置,提供一種可信任的身分授權及資料授權存取技術,防範有心人士或駭客偽造身分欺騙服務提供裝置,或是服務提供裝置於未授權的情況下竊取使用者資料。同時,可於客戶端透過電子證件與應用服務模組進行認證,並且提供使用者授權機
制。於使用者裝置進行資料存取授權時,使用者亦可限制被存取之電子證件資料,能夠確保應用服務模組僅能存取使用者所允許提供之個人資料。
因此,根據上述之目的,本發明提供一種電子證件認證授權存取系統,包含:具有應用服務模組之服務提供裝置,該應用服務模組係對瀏覽器發起使用者的身份認證請求並提供可選擇的使用者的認證資料項目的資料欄位,且應用服務模組具有一憑證區,用以儲存授權權限的資料欄位;憑證管理裝置,依據已選擇的該使用者的認證資料項目授予相對應之授權權限的資料欄位;以及具有客戶端應用程式之使用者裝置,該客戶端應用程式係用以於接收由該瀏覽器所提供之對使用者的身份認證請求後,呼叫客戶端應用程式之一卡片存取模組,俾由卡片存取模組依據一電子證件的規定執行該使用者之電子證件的認證,以於電子證件的認證完成後,由客戶端應用程式下載憑證區所發出的憑證及儲存在憑證區的授權權限的資料欄位後,透過該卡片存取模組將該憑證交由客戶端應用程式之一憑證驗證模組進行認證,以令該應用服務模組透過卡片存取模組所依據該授權權限的資料欄位讀取儲存在電子證件內的使用者的個人資料。
此外,根據上述之目的,本發明另提供一種電子證件認證授權存取方法,包含:透過一應用服務模組向一瀏覽器發起一電子證件的資料存取授權之請求;透過一客戶端應用程式接收由該瀏覽器所提供之該請求以呼叫一卡片存
取模組,再由卡片存取模組依據電子證件的規定進行認證;當電子證件認證完成後,透過一憑證管理裝置取得已選擇的一授權權限的資料欄位並存放於應用服務模組之一憑證區;透過一客戶端連線模組在憑證區下載一憑證及授權權限的資料欄位;以及透過與客戶端連線模組連線的卡片存取模組將憑證交由一憑證驗證模組驗證,以令該應用服務模組透過卡片存取模組所依據授權權限的資料欄位讀取儲存在電子證件內使用者的個人資料。
因此,本發明之技術優勢在於:本發明所提供一種毋須電子證件統一認證服務系統亦可信任的身分授權及資料授權存取技術。而且,本發明在服務提供裝置及使用者裝置提供一種可信任的身分授權及資料授權存取技術。同時,本發明提供一種資料部分授權的存取技術,利用晶片卡管控搭配使用者互動,可由使用者調整減少每次授權的資料。
10‧‧‧電子證件認證授權存取系統
100‧‧‧使用者裝置
101、210、310‧‧‧瀏覽器
102、230、330‧‧‧客戶端應用程式
103‧‧‧服務提供裝置
104、220、320‧‧‧應用服務模組
105、321‧‧‧憑證區
106‧‧‧憑證管理裝置
107‧‧‧網際網路
108、211、311‧‧‧網頁支援模組
231、331‧‧‧客戶端連線模組
232、332‧‧‧卡片存取模組
333‧‧‧憑證驗證模組
S21至S26、S31至S39‧‧‧步驟
本案揭露之具體實施例將搭配下列圖式詳述,這些說明顯示在下列圖式:第1圖為本發明之電子證件認證授權存取系統之系統方塊圖;第2圖為本發明之電子證件認證流程圖;以及第3圖為本發明之電子證件認證授權存取流程圖。
如第1圖所示,係為本發明之電子證件認證授權存取
系統10之系統方塊圖,該系統10主要由使用者端之使用者裝置100與服務提供者之服務提供裝置103所組成,其中使用者裝置100包含瀏覽器101與客戶端應用程式102;而服務提供裝置103主要則是提供應用服務模組104。使用者透過瀏覽器101來存取應用服務模組104,當應用服務模組104要求使用者透過電子證件(如身分證、健保卡、駕照、信用卡之一者)進行身份認證,或是要求存取使用者個人資料時,瀏覽器101將會利用網頁支援模組108轉傳應用服務模組104之需求至客戶端應用程式102,當客戶端應用程式102收到來自瀏覽器101之需求時,則會提示使用者提供電子證件,例如:將電子證件置放於讀卡機(未繪示)中,或是於行動裝置(如手機)上透過近場通訊(NFC)功能來感應電子證件等。客戶端應用程式102將因應所收到之需求種類而進行相對應之操作。
若是應用服務模組104要求使用者進行身份認證時,此類型之需求大多出現於登入應用服務、簽署電子文件等場景,此時客戶端應用程式102將會提示使用者輸入個人識別碼(PIN)或是利用生物辨識方式(如:指紋、臉部辨識等)來存取電子證件並進行簽章動作,完成後再將簽章資料回傳,而應用服務模組104可以透過驗證簽章資料來確認遠裝置使用者身份之真偽。
當應用服務模組104需要存取使用者的電子證件內之資料時,必須先完成以下兩項前置作業:(1)應用服務模組104必須條列出所需之使用者的資料項目,並向位於憑證
管理中心之憑證管理裝置106申請核發應用服務專屬之授權憑證,當憑證管理裝置106審核完成並核發之後,專屬於應用服務模組104之授權憑證內容將會規範應用服務模組104所能讀取之資料項目,此授權憑證將存放於應用服務模組104中的憑證區105。(2)在核發使用者之電子證件之前,都必須先植入憑證管理裝置106之應用服務根憑證(root certificate)。
上述兩項前置作業之目的,主要是為了讓客戶端應用程式102可於使用者裝置100能夠直接透過憑證鏈(certificate chain)之方式,藉由已植入於電子證件中的根憑證來驗證應用服務模組104所提供的授權憑證之真實性與合法性。客戶端應用程式102將會根據授權憑證中的資料項目規範來檢驗應用服務模組104之存取權限,並且提示使用者關於應用服務模組104所指定存取之資料項目,例如:出生年月日、電話、居住地址等。使用者可拒絕授權其中部份的個人資料,僅保留剩下的資料供讀取。唯有當使用者同意存取之後,客戶端應用程式102方能從電子證件中讀取已被授權存取的個人資料,讀取完成後再將該個人資料回傳至瀏覽器101,進而傳遞給應用服務模組104使用。此類型之相關應用未來能夠使用在個人資料表單代填、年齡檢驗、在地居民專屬服務等類型之場景。
第2圖為本發明之電子證件認證流程圖。
在步驟S21中,當應用服務模組220需要使用客戶端電子證件以認證使用者時,應用服務模組220須向瀏覽器
210發起認證請求。
在步驟S22中,令瀏覽器210使用網頁支援模組211透過網際網路107(如第1圖所示)對客戶端應用程式230建立連線,若客戶端應用程式230並非處於啟動狀態,網頁支援模組211會將其啟動後再進行連線。當客戶端應用程式230啟動後,客戶端連線模組231即會連線網頁支援模組211。當客戶端連線模組231收到認證請求時,會提示使用者認證的請求,以及認證對應的應用服務及電子證件。
在步驟S23中,當使用者同意並插入或感應電子證件後,客戶端應用程式230會呼叫卡片存取模組232,並依電子證件的不同執行各電子證件規定之認證,例如使用者輸入個人識別碼(PIN)或是利用生物辨識方式取得簽章回傳。電子證件認證完成後,其認證結果交由卡片存取模組232。
在步驟S24中,透過卡片存取模組232將認證結果傳送給客戶端連線模組231。
在步驟S25中,透過客戶端連線模組231將認證結果傳送網頁支援模組211。
在步驟S26中,透過網頁支援模組211將認證結果傳送應用服務模組220,至此完成整個認證程序。
第3圖為本發明之電子證件認證授權存取流程圖。
若應用服務模組320欲存取特定電子證件之內容資料,應如前述事先取得授權憑證並存放於憑證區321,也就是應用服務模組320,能陳列供可選擇的使用者的認證
資料項目的資料欄位,之後,憑證管理裝置106(如第1圖所示),依據已選擇的使用者的認證資料項目的資料欄位授予相對應的授權權限,並將該授權權限儲存至憑證區321。
在步驟S31中,當應用服務模組320需要存取客戶端電子證件之內容資料時,應用服務模組320應向瀏覽器310發起電子證件資料存取授權請求,其中授權請求之內容需包含應用服務模組320所擁有之憑證區321之連結。
在步驟S32中,瀏覽器310將利用網頁支援模組311透過網際網路107(如第1圖所示)連線於客戶端應用程式330以進行溝通,若客戶端應用程式330並非啟動狀態,網頁支援模組311會將其啟動後再進行連線。客戶端應用程式330啟動後,將執行客戶端連線模組331。客戶端連線模組331將提供連線服務,令網頁支援模組311與其建立連線。
在步驟S33中,當客戶端連線模組331收到資料授權與存取請求(須包含對應之憑證區連結)時,客戶端連線模組331將發起網際網路107(如第1圖所示)連線,對憑證區321下載憑證。若無對應之憑證則會拒絕請求。
在步驟S34中,卡片存取模組332透過客戶端連線模組331取得來自憑證區321的憑證。
在步驟S35中,卡片存取模組332將憑證交由憑證驗證模組333進行驗證,憑證驗證模組333首先會驗證憑證是否在有效期限內以及是否未被廢止,若此驗證成功,則根據憑證提示使用者應用服務欲讀取的資料欄位。使用者
可拒絕或減少被讀取的資料欄位。當使用者同意並插入或感應電子證件後,卡片存取模組332對電子證件提供此憑證,並依照使用者同意提供或已選擇的資料欄位執行資料存取指令。電子證件根據前述植入之應用服務根憑證驗證憑證鏈。若憑證鏈被驗證成功,電子證件接受此憑證內欲讀取的資料項目,則資料存取指令才能正確的讀取電子證件。若憑證鏈被驗證失敗,則在讀到需授權的資料欄位時,仍會被電子證件拒絕存取。
在步驟S36中,透過憑證驗證模組333將電子證件的回覆結果傳送至卡片存取模組332。
在步驟S37中,透過卡片存取模組332將電子證件的回覆結果傳送至客戶端連線模組331。
在步驟S38中,透過客戶端連線模組331將電子證件的回覆結果傳送至網頁支援模組311。
在步驟S39中,透過網頁支援模組311將電子證件的回覆結果傳送至應用服務模組320,至此完成整個資料授權與存取程序。
相比於習用之第三方服務提供裝置對使用者的電子證件進行認證的缺失,本發明提供此一種客戶端電子證件認證授權存取系統及方法,可於客戶端透過電子證件與應用服務進行認證,並且提供使用者授權機制,能夠確保應用服務僅能存取使用者所允許提供之個人資料,可套用電子證件與多卡合一之製卡產業,如:晶片身分證、市民卡。同時,本發明具有的技術優勢為:(1)認證及授權中不需要
透過一個統一的認證服務系統協助,使用者裝置僅需要對服務提供裝置連線;(2)資料存取授權於使用者電子證件裝置,服務提供裝置以憑證決定可存取的資料欄位;(3)使用者可於每次授權中決定要提供的資料。
上述實施形態僅例示性說明本揭露之原理、特點及其功效,並非用以限制本揭露之可實施範疇,任何熟習此項技藝之人士均可在不違背本揭露之精神及範疇下,對上述實施形態進行修飾與改變。任何運用本揭露所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本揭露之權利保護範圍應如申請專利範圍所列。
Claims (11)
- 一種電子證件認證授權存取系統,包含:一具有一應用服務模組之服務提供裝置,該應用服務模組係對一瀏覽器發起一認證請求並提供可選擇的使用者的認證資料項目的資料欄位,且該應用服務模組具有一憑證區,用以儲存授權權限的資料欄位;一憑證管理裝置,依據已選擇的該使用者的認證資料項目授予相對應之該授權權限的資料欄位;以及一具有一客戶端應用程式之使用者裝置,該客戶端應用程式係用以於接收由該瀏覽器所提供之對該認證請求後,呼叫該客戶端應用程式之一卡片存取模組,俾由該卡片存取模組執行該使用者之電子證件的認證,而毋須由一認證服務系統執行該電子證件的認證,以於該電子證件的認證完成後,由該客戶端應用程式下載該憑證區所發出的憑證及儲存在該憑證區的該授權權限的資料欄位後,透過該卡片存取模組將該憑證交由該客戶端應用程式之一憑證驗證模組進行認證,以令該應用服務模組透過該卡片存取模組所依據該授權權限的資料欄位讀取儲存在該電子證件內的該使用者的個人資料。
- 如申請專利範圍第1項所述之系統,其中,可選擇的該使用者的認證資料項目包含該使用者的身份字號、該使用者的姓名、該使用者的手機電話號碼之一或其組合。
- 如申請專利範圍第1項所述之系統,其中,該瀏覽器包 含一網頁支援模組,用以透過一網際網路分別與該應用服務模組及該客戶端應用程式之一客戶端連線模組進行資料傳輸。
- 如申請專利範圍第3項所述之系統,其中,該卡片存取模組透過該客戶端連線模組進行資料傳輸。
- 如申請專利範圍第1項所述之系統,其中,該憑證管理裝置將應用服務根憑證(root certificate)植入該電子證件以驗證該授權權限的真實性與合法性。
- 如申請專利範圍第1項所述之系統,其中,該電子證件為身分證、健保卡、駕照、信用卡之一者。
- 如申請專利範圍第1項所述之系統,其中,該應用服務模組接收該認證請求後,該客戶端應用程式將提示該使用者輸入個人識別碼(PIN)或利用生物辨識方式以進行該使用者的身份認證。
- 一種電子證件認證授權存取方法,包含:透過一應用服務模組向一瀏覽器發起一電子證件的資料存取授權之請求;透過一客戶端應用程式接收由該瀏覽器所提供之該請求以呼叫一卡片存取模組,再由該卡片存取模組進行該電子證件的認證,而毋須由一認證服務系統執行該電子證件的認證;當該電子證件認證完成後,透過一憑證管理裝置取得已選擇的一授權權限的資料欄位並存放於該應用服務模組之一憑證區; 透過一客戶端連線模組在該憑證區下載一憑證及該授權權限的資料欄位;以及透過與該客戶端連線模組連線的該卡片存取模組將該憑證交由一憑證驗證模組驗證,以令該應用服務模組透過該卡片存取模組所依據該授權權限的資料欄位讀取儲存在該電子證件內使用者的個人資料。
- 如申請專利範圍第8項所述之方法,其中,該卡片存取模組對該電子證件進行認證包含該使用者輸入個人識別碼(PIN)或是利用生物辨識方式。
- 如申請專利範圍第8項所述之方法,其中,該憑證管理裝置將應用服務根憑證植入該電子證件以驗證該授權權限的真實性與合法性。
- 如申請專利範圍第8項所述之方法,其中,該電子證件為身分證、健保卡、駕照、信用卡之一者。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106146248A TWI647942B (zh) | 2017-12-28 | 2017-12-28 | 電子證件認證授權存取系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW106146248A TWI647942B (zh) | 2017-12-28 | 2017-12-28 | 電子證件認證授權存取系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI647942B true TWI647942B (zh) | 2019-01-11 |
| TW201931816A TW201931816A (zh) | 2019-08-01 |
Family
ID=65804168
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW106146248A TWI647942B (zh) | 2017-12-28 | 2017-12-28 | 電子證件認證授權存取系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI647942B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI742849B (zh) * | 2020-09-14 | 2021-10-11 | 中華電信股份有限公司 | 個資授權系統及個資授權方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101458853A (zh) * | 2007-12-11 | 2009-06-17 | 结行信息技术(上海)有限公司 | 一种在线pos系统和智能卡在线支付方法 |
| TW201015941A (en) * | 2008-10-03 | 2010-04-16 | Chunghwa Telecom Co Ltd | Network user identify verification system and method |
| US20100217980A1 (en) * | 2007-01-10 | 2010-08-26 | Kddi Corporation | Communication Control System, Mobile Communication Terminal and Computer Program |
| TWI499269B (zh) * | 2013-02-04 | 2015-09-01 | Delta Networks Xiamen Ltd | 認證與授權的方法及系統 |
| US20170034168A1 (en) * | 2014-09-16 | 2017-02-02 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
-
2017
- 2017-12-28 TW TW106146248A patent/TWI647942B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100217980A1 (en) * | 2007-01-10 | 2010-08-26 | Kddi Corporation | Communication Control System, Mobile Communication Terminal and Computer Program |
| CN101458853A (zh) * | 2007-12-11 | 2009-06-17 | 结行信息技术(上海)有限公司 | 一种在线pos系统和智能卡在线支付方法 |
| TW201015941A (en) * | 2008-10-03 | 2010-04-16 | Chunghwa Telecom Co Ltd | Network user identify verification system and method |
| TWI499269B (zh) * | 2013-02-04 | 2015-09-01 | Delta Networks Xiamen Ltd | 認證與授權的方法及系統 |
| US20170034168A1 (en) * | 2014-09-16 | 2017-02-02 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI742849B (zh) * | 2020-09-14 | 2021-10-11 | 中華電信股份有限公司 | 個資授權系統及個資授權方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201931816A (zh) | 2019-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI667585B (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| US10142324B2 (en) | Method for reading attributes from an ID token | |
| AU2010272570B2 (en) | Method for reading attributes from an ID token | |
| US9413753B2 (en) | Method for generating a soft token, computer program product and service computer system | |
| US9647840B2 (en) | Method for producing a soft token, computer program product and service computer system | |
| US9596089B2 (en) | Method for generating a certificate | |
| KR101523825B1 (ko) | 소프트 토큰의 생성을 위한 방법 | |
| US10432620B2 (en) | Biometric authentication | |
| JP5688028B2 (ja) | トークンにより支援を受けた又は今後支援を受けるアプリケーションに関する1つの操作を管理する方法及びトークン | |
| CN101997824A (zh) | 基于移动终端的身份认证方法及其装置和系统 | |
| US8438620B2 (en) | Portable device for clearing access | |
| US20220391908A1 (en) | Systems, methods, and non-transitory computer-readable media for authentication and authorization of payment request | |
| KR101125088B1 (ko) | 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체 | |
| JP5277888B2 (ja) | アプリケーション発行システム、装置及び方法 | |
| TWI647942B (zh) | 電子證件認證授權存取系統及方法 | |
| KR20110029032A (ko) | 공인 인증서 발급처리 방법 및 시스템과 이를 위한 단말 및 기록매체 | |
| US20230237172A1 (en) | Data broker | |
| EP3163486A1 (en) | A method to grant delegate access to a service | |
| TW202117631A (zh) | 利用不同電腦程序驗證金融服務存取權限的方法與系統 | |
| TWM598987U (zh) | 利用不同電腦程序驗證金融服務存取權限的系統 | |
| US20240046252A1 (en) | Device and systems for provisioning and verifying tokens with strong identity and strong authentication | |
| KR101083210B1 (ko) | 불법사용 방지 기능을 제공하는 공인 인증서 운용방법 및 시스템과 이를 위한 기록매체 | |
| KR20110029038A (ko) | 공인 인증서 유효기간 운용방법 및 시스템과 이를 위한 기록매체 | |
| JP2006215699A (ja) | 認証装置、認証システム、認証支援システム、及び機能カード | |
| WO2024097761A1 (en) | A method, an apparatus and a system for securing interactions between users and computer-based applications |