TWI694346B - 多元身分認證憑據之系統與方法 - Google Patents

多元身分認證憑據之系統與方法 Download PDF

Info

Publication number
TWI694346B
TWI694346B TW107144793A TW107144793A TWI694346B TW I694346 B TWI694346 B TW I694346B TW 107144793 A TW107144793 A TW 107144793A TW 107144793 A TW107144793 A TW 107144793A TW I694346 B TWI694346 B TW I694346B
Authority
TW
Taiwan
Prior art keywords
data
authentication
application system
module
code
Prior art date
Application number
TW107144793A
Other languages
English (en)
Other versions
TW202022664A (zh
Inventor
羅志賢
張本毅
謝秉諺
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW107144793A priority Critical patent/TWI694346B/zh
Application granted granted Critical
Publication of TWI694346B publication Critical patent/TWI694346B/zh
Publication of TW202022664A publication Critical patent/TW202022664A/zh

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

一種多元身分認證憑據之系統與方法,利用一共通閘道提供一致的互通性介面給各個應用系統進行介接,以針對各該應用系統之使用者提供下同認證等級的身分認證方式,讓使用者可多元化選擇認證方式並確保身分認證的安全性。

Description

多元身分認證憑據之系統與方法
本發明係有關一種身分認證技術,尤指一種多元身分認證憑據之系統與方法。
目前,大多數的應用系統都需要使用者身分認證服務,例如線上購物、線上申辦系統等,其中,使用者身分認證部份,傳統作法是各個應用系統各自投入成本來針對不同的身分認證方式進行系統開發與測試,同時身分認證技術不斷進步,若要使用新穎的身分認證方式,如行動認證、各種生物特徵認證等方式,則須投入更多的人力成本來維護。
因此,如何提高應用系統於使用者身分認證的便利性及/或相容性,即為本發明所要解決之技術問題。
為克服習知技術之缺失,本發明係提供一種多元身分認證憑據之系統,係包括:儲存庫,係儲存應用系統的註冊資料,其中,該註冊資料包含該應用系統的專屬金鑰對之私鑰;認證模組,係提供認證方式給該應用系統之使用 者進行該身分認證,以於該使用者通過該認證方式後,產生一認可資料,再將該認可資料儲存至該儲存庫中,其中,該認可資料包含認可碼及該使用者於該身分認證之過程中所提供的使用者資訊;認證入口模組,係於該使用者通過該認證方式後,接收該認證模組所傳送的該認可資料中的認可碼,以將該認可碼傳送給該應用系統,並使該應用系統接收到該認可碼後,令該應用系統依據該認可碼產生包含憑據碼的識別憑據請求資料;識別憑據模組,係接收該應用系統所提供之包含該憑據碼的識別憑據請求資料,用以判斷該儲存庫的認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,以利用該應用系統於該儲存庫中的專屬金鑰對之私鑰對該識別憑據資料進行簽章,以得到識別憑據簽章資料,進而將該識別憑據簽章資料傳送至該應用系統,其中,該識別憑據簽章資料係包含第二簽章及該識別憑據資料,而該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中的使用者資訊。
於一實施例中,更包括:管理模組,係提供管理者進行該應用系統的註冊,且當該應用系統註冊成功後,該管理模組將該應用系統所註冊的資料儲存至該儲存庫的該註冊資料中。
於一實施例中,儲存在該儲存庫中的該註冊資料係包含該應用系統的專屬憑證及專屬金鑰對之公鑰,以令該認證入口模組在接收該認證模組所傳送的該認可資料中的認可碼時,更包括將該儲存庫中的該應用系統的專屬金鑰對 之公鑰依附於該專屬憑證中,以將具有該公鑰之專屬憑證及該認可碼傳送給該應用系統,進而令該應用系統依據該專屬憑證中的該公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
於一實施例中,儲存在該儲存庫中的該註冊資料係包含該應用系統的第一識別碼,而該認證入口模組更包括接收該應用系統之使用者進行該身分認證的請求資料,且該請求資料係包含該應用系統的第二識別碼,以令該認證入口模組判斷儲存庫的該註冊資料中的該應用系統之第一識別碼與該請求資料的該應用系統之第二識別碼相同時,將該請求資料傳送至該認證模組,以令該認證模組在接收到該請求資料時提供該認證方式給該使用者進行該身分認證。
於一實施例中,更包含:驗證模組,係提供用於核對的核對資料;其中,令該認證模組在該使用者通過該認證方式時產生第一簽章,並將該第一簽章傳送至該驗證模組中與該核對資料進行核對,且當該認證模組在接收該驗證模組傳送該第一簽章與該核對資料核對一致的驗證成功之訊息時,該認證模組係產生該認可資料。
本發明另提供一種多元身分認證憑據之方法,係包括:令認證入口模組接收應用系統之使用者進行身分認證的請求資料,以將該請求資料傳送至認證模組;令認證模組提供認證方式給該應用系統之使用者進行身分認證;當該使用者通過該認證方式後,令該認證模組產生一認可資料, 以將該認可資料儲存至儲存庫中,其中,該認可資料包含認可碼及該使用者於該認證過程提供的使用者資訊;令認證入口模組接收該認證模組所傳送的該認可資料中的認可碼,進而將該認可碼傳送給該應用系統;令該應用系統接收到該認可碼後,依據該認可碼產生包含憑據碼的識別憑據請求資料;令識別憑據模組接收該應用系統所提供之包含憑據碼的識別憑據請求資料,用以判斷該儲存庫的該認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,以利用該應用系統預存於該儲存庫的註冊資料中的專屬金鑰對之私鑰對該識別憑據資料進行簽章,以得到識別憑據簽章資料,進而將該識別憑據簽章資料傳送至該應用系統,其中,該識別憑據簽章資料係包含第二簽章及該識別憑據資料,而該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中的使用者資訊。
於一實施例中,在該認證入口模組接收應用系統之使用者進行身分認證的請求資料之前至包括:令管理者向管理模組進行該應用系統的註冊,且當該應用系統註冊成功後,令該管理模組將該應用系統所註冊的資料儲存至儲存庫的該註冊資料中。
於一實施例中,儲存在該儲存庫中的該註冊資料係包含該應用系統的專屬憑證,以令該認證入口模組在接收該認證模組所傳送的該認可資料中的認可碼時更包括將該儲存庫中的該應用系統的專屬金鑰對之公鑰依附於該專屬憑證中,進而將具有該公鑰之專屬憑證及該認可碼傳送給該 應用系統,進而令該應用系統在接收具有該公鑰之專屬憑證及該識別憑據簽章資料後,依據該專屬憑證中的該公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
於一實施例中,儲存在該儲存庫中的該註冊資料係包含該應用系統的第一識別碼,且該認證入口模組所接收的該請求資料係包含該應用系統的第二辨識碼,以令該認證入口模組判斷儲存庫的該註冊資料中的該應用系統之第一識別碼與該請求資料的該應用系統之第二識別碼相同時,將該請求資料傳送至該認證模組,以令該認證模組在接收到該請求資料時提供該認證方式給該應用系統之使用者進行該身分認證。
於一實施例中,令該認證模組在該使用者通過該認證方式時產生第一簽章,並將該第一簽章傳送至驗證模組中與核對資料進行核對,且當該驗證模組核對該第一簽章與該核對資料一致時,再令該認證模組產生該認可資料。
由上述可得知,本發明讓應用系統透過共通閘道進行身分認證,應用系統不必實作認證技術的部份,提高使用者的身分認證服務的便利性及/或相容性,同時也大幅節省該應用系統在身分認證方面的開發成本,其次,共通閘道可針對不同的該應用系統之使用者或該應用系統內的使用不同服務類型之使用者提供不同認證等級的身分認證方式,讓使用者可多元化選擇認證方式並確保身分認證的安全性。
因此,本發明有以下技術優點:
1.本發明讓應用系統透過共通閘道進行身分認證,應用系統下必實作該身分認證之技術部份,提高使用該身分認證服務的便利性及/或相容性,同時也大幅節省該應用系統在身分認證方面的開發成本。
2.本發明針對應用系統或應用系統之服務類型來設定身分認證等級,讓該應用系統使用更有彈性。
3.本發明提供身分認證等級相對應的認證方式,並可提供更高認證等級的認證方式,讓使用者可多元化選擇,確保身分認證的安全性。
4.本發明針對不同的應用系統,使用其專屬之金鑰對來保護使用者資料,專屬之金鑰對採用橢圓曲線密碼演算法,金鑰長度使用512位元,具高度安全性。
本發明之共通閘道未來可擴充新的身分認證,具有高擴充性。
100:管理者
200:使用者
201:應用系統
202:認證來源
300:共通閘道
310:管理模組
320:認證入口模組
330:認證模組
340:驗證模組
350:識別憑據模組
360:儲存庫
S1~S9,S31~S36,S341~S342:步驟
第1圖為本發明之多元身分認證憑據之系統之示意圖;以及第2~4圖為本發明之之多元身分認證憑據之方法之步驟流程圖。
以下藉由特定的具體實施例說明本發明之實施方式,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之其他優點及功效。
須知,本說明書所附圖式所繪示之結構、比例、大小 等,均僅用以配合說明書所揭示之內容,以供熟悉此技藝之人士之瞭解與閱讀,並非用以限定本案可實施之限定條件,故不具技術上之實質意義,任何結構之修飾、比例關係之改變或大小之調整,在下影響本案所能產生之功效及所能達成之目的下,均應仍落在本案所揭示之技術內容得能涵蓋之範圍內。同時,本說明書中所引用之如「第一」及「第二」等之用語,亦僅為便於敘述之明瞭,而非用以限定本發明可實施之範圍,其相對關係之改變或調整,在無實質變更技術內容下,當視為本案可實施之範疇。
第1圖係本發明之多元身分認證憑據之系統之示意圖。該系統係包括:管理者100、使用者200、應用系統201、認證來源202及與該應用系統201介接的共通閘道300,其中,共通閘道300係包含管理模組310、認證入口模組320、認證模組330、驗證模組340、識別憑據模組350及儲存庫360。
於一實施例中,共通閘道300係為一雲端伺服器,而共通閘道300中的各個模組310、320、330、340及350係為應用程式並儲存在該雲端伺服器的儲存裝置中,以供該雲端伺服器的處理器執行各該模組中的應用程式,但不以此為限。
管理模組310所提供的功能包括應用系統201的註冊、修改、註銷、使用查詢與統計報表等,以令管理者100執行管理模組310的註冊功能,將應用系統201進行註冊,註冊完成後,管理模組310將應用系統201所註冊的資料 儲存到儲存庫360的註冊資料中。
於一實施例中,該許冊資料係包含:應用系統201的名稱、第一識別碼、介接密碼(AP_secret)、認證等級、專屬憑證、專屬金鑰對、目前狀態、管理人姓名、註冊時間及通訊方式、服務之名稱、以及該服務的第一服務類型識別碼、認證等級、註冊時間、目前狀態、專屬金鑰對、專屬憑證、管理人姓名及通訊方式,其中,專屬金鑰對係包含公鑰及私鑰,而該認證等級係包含低至高的認證等級、中至高的認證等級或高認證等級,但下以此為限。
於一實施例中,該專屬金鑰對採用橢圓曲線密碼演算法,金鑰長度使用512位元,其中,該私鑰係可對一第一資料進行簽章以取得包含該第一資料及簽章的簽章資料,而該公鑰係具有核對資料並用來對該私鑰產生的該簽章資料進行驗證,當該公鑰的核對資料與該簽章資料的簽章一致時,表示驗證成功,則可取得該簽章資料中的第一資料,但不以此為限。
請參考下列表1,係為該註冊資料中之該認證等級於認證來源202中所對應的認證方式,但不以此為限。
Figure 107144793-A0305-02-0011-1
認證入口模組320係提供一致的互通性介面給各個應用系統201進行介接,以令使用者200欲登入應用系統201時,應用系統201首先向共通閘道300之認證入口模組320傳送使用者200之身分認證請求的請求資料。
於一實施例中,該請求資料係包含:該應用系統201的第二識別碼、第二服務類型識別碼、回呼網址(redirect_uri)、session值(sessionID)、第一亂數值(nonce),其中,共通閘道300的各模組係依據該應用系統201的回呼網址,將資料傳送至該回呼網址中的該應用系統201,但不以此為限。
認證入口模組320接收到該請求資料之後,先至儲存庫360利用該請求資料之該應用系統201的第二識別碼為查詢條件,判斷儲存庫360的該註冊資料中的該應用系統 201之第一識別碼是否與該請求資料的該應用系統201之第二識別碼相同,當該應用系統201之第一識別碼與該應用系統201之第二識別碼相同時,進而將該請求資料傳送至認證模組330,以令該認證模組330在接收到該請求資料時提供該認證方式給該使用者進行該身分認證,但下以此為限。需理解的是,當該應用系統201之第一識別碼與該應用系統201之第二識別碼相同時,表示提出該身分認證的應用系統201已在共通閘道300註冊了。
認證模組330在接收到該請求資料時,提供認證來源202中的該認證方式給該使用者200進行該身分認證,且當該使用者200通過該認證方式後,產生包含認可碼及該使用者於該認證過程提供的使用者資訊的認可資料,以將該認可碼傳送至該認證入口模組320以及將該認可資料儲存至該儲存庫360中。
當認證入口模組320接收該認可碼後,令認證入口模組320將儲存庫360中的該應用系統201的專屬金鑰對之公鑰依附於該應用系統201的專屬憑證中,以令該認證入口模組320傳送具有該公鑰的該專屬憑證及該認可碼至該應用系統201。
於一實施例中,當該使用者選擇使用如表1中的憑證認證方式進行身分認證時,使用者200須提供憑證實體IC卡至並輸入該憑證實體IC卡正確的pin code,以令認證模組330取得該憑證實體IC卡中的該使用者資訊,但不以此為限。
於一實施例中,該認可碼為亂數值(nonce),但不以此為限。
於一實施例中,認證模組330係利用該請求資料之第二識別碼(AP_id)或第二服務類型識別碼(serviceID)為查詢條件,於儲存庫360的註冊資料中查詢應用系統201的所對應的認證等級,從認證來源202中找出與該對應的認證等級相同等級的認證方式給應用系統201之使用者選擇進行身分認證,但不以此為限。
當認證模組330以該第二識別碼為查詢條件時,先從儲存庫360的註冊資料中找出與該請求資料的該應用系統201之第二識別碼相同的該應用系統201之第一識別碼,以取得該相同的該應用系統201之第一識別碼於所屬註冊資料中之該應用系統201的認證等級,而當認證模組330以該第二服務類型識別碼為查詢條件時,先從儲存庫360的註冊資料中找出與該請求資料的該應用系統201之第二服務類型識別碼相同的第一服務類型識別碼,以取得該相同的第一服務類型識別碼於所屬註冊資料中所對應的該服務的認證等級。
驗證模組340,係提供用於核對的核對資料,以令該認證模組330在該使用者200通過該認證方式時產生包含第一簽章及散列值(nonce)的驗證資料,並將該第一簽章傳送至該驗證模組340中與該核對資料進行核對,且當該認證模組330在接收該驗證模組340傳送該第一簽章與該核對資料核對一致的驗證成功之訊息時,該認證模組330才 產生該認可資料,但不以此為限。
於一實施例中,該認證模組330係隨機產生該驗證資料中的散列值,但不以此為限。
於一實施例中,令該認證模組330當該使用者通過該認證方式時,依據該認證方式決定是否產生該驗證資料,若不須產生該驗證資料則直接產生該認可資料,但不以此為限。
該應用系統201在接收該具有公鑰的專屬憑證及認可碼後,依據該認可碼產生包含憑據碼的識別憑據請求資料,並傳送包含該憑據碼的識別憑據請求資料至該共通閘道300的識別憑據模組350,其中,該憑據碼即為該應用系統201所接收的該認可碼。
於一實施例中,該應用系統201在接收該具有公鑰的專屬憑證及認可碼後,需在容許的有效時間內,如一小時或幾分鐘,傳送包含該憑據碼的識別憑據請求資料至該共通閘道300的識別憑據模組350,但不以此為限。
識別憑據模組350在接收該應用系統201所提出包含該憑據碼的識別憑據請求資料後,先判斷該識別憑據請求資料中的憑據碼是否與該儲存庫360的該認可資料中的認可碼相同,當該儲存庫360的該認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,以利用該應用系統201於該儲存庫的註冊資料中的專屬金鑰對之私鑰對該識別憑據資料進行簽章,以得到識別憑據簽章資料,進而將該識別憑據簽章資料傳送至該應用系統201,其中, 該識別憑據簽章資料係包含第二簽章及該識別憑據資料,而該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中的使用者資訊。需理解的是,該第二簽章即為專屬金鑰對之私鑰對該識別憑據資料進行簽章所產生的。
於一實施例中,該識別憑據資料更包含提供方、該第一亂數值、創建時間及過期時間,其中,該識別憑據資料中的該第一亂數值係由認證入口模組320將接收到包含該第一亂數值的的請求資料儲存至儲存庫360中,以令識別憑據模組350依據儲存庫360中的該第一亂數值產生包含該第一亂數值的該識別憑據資料,但不以此為限。
於一實施例中,該第一簽章及該第二簽章係為數值、字串或圖形,但不以此為限。
在該應用系統201接收該識別憑據簽章資料後,利用該專屬憑證中的該公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
第2圖係本發明之多元身分認證憑據之方法之步驟流程圖。該方法係包括下列執行步驟。
在步驟S1中,令管理者100向共通閘道300的管理模組310註冊應用系統201,且令管理模組310將應用系統201所註冊的資料儲存至儲存庫360的註冊資料中,以完成註冊。
於一實施例中,該應用系統201所註冊的資料(即儲存庫360中的註冊資料)係包含:應用系統201的名稱與對應 的第一識別碼、服務名稱、認證等級(如表1所示)、註冊時間、目前狀態、專屬金鑰對、專屬憑證、管理人姓名及通訊方式、服務之名稱、以及該服務的第一服務類型識別碼、認證等級、註冊時間、目前狀態、專屬金鑰對、專屬憑證、管理人姓名及通訊方式,但不以此為限。
在步驟S2中,令使用者200登入該應用系統201。
在步驟S3中,令該應用系統201將用於使用者200之身分認證的請求資料傳送至共通閘道300中,以利用該共通閘道300來進行該使用者的身分認證。
於一實施例中,該請求資料係包含:該應用系統201的第二識別碼、服務類型識別碼、回呼網址(redirect_uri)、session值(sessionID)、第一亂數值(nonce),其中,共通閘道300的各模組係依據該應用系統201的回呼網址,將資料回傳至該回呼網址中的該應用系統201,但不以此為限。
在步驟S4中,當該使用者200的身分認證成功時,令該應用系統201接收該共通閘道300所傳送具有該專屬金鑰對之公鑰的專屬憑證及一認可碼及該應用系統201的專屬憑證。
在步驟S5中,令該應用系統201接收該具有公鑰的專屬憑證及認可碼,並依據所接收的該認可碼產生包含憑據碼的識別憑據請求資料,以傳送包含憑據碼的識別憑據請求資料至該共通閘道300的識別憑據模組350,其中,該憑據碼即為該應用系統201所接收的該認可碼。
在步驟S6中,令識別憑據模組350在接收包含該憑據 碼的識別憑據請求資料後,先判斷該識別憑據請求資料中的憑據碼是否與儲存庫360的認可資料中的認可碼相同,當該儲存庫的該認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,其中,該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中所對應的使用者資訊。
於一實施例中,該識別憑據資料更包含提供方、該第一亂數值、創建時間及過期時間,其中,該識別憑據資料中的該第一亂數值係由認證入口模組320將接收到包含該第一亂數值的的請求資料儲存至儲存庫360中,以令識別憑據模組350依據儲存庫360中的該第一亂數值產生包含該第一亂數值的該識別憑據資料,但不以此為限。
於一實施例中,該步驟S6中之該應用系統201傳送至識別憑據模組350中的該識別憑據請求資料更包含該應用系統201的第二識別碼、該應用系統201的介接密碼及該應用系統的回呼網址之任一個以上的組合,以令於該步驟S6中的識別憑據模組350在接收包含該憑據碼的識別憑據請求資料後,依據該應用系統201的第二識別碼、該應用系統201的介接密碼和該憑據碼三個查詢條件,用以判斷該識別憑據請求資料中的憑據碼是否與儲存庫360的認可資料中的認可碼相同,但下以此為限。
在步驟S7中,令識別憑據模組350從儲存庫360取出該應用系統201的專屬金鑰對之私鑰,以利用該私鑰產生對該識別憑據資料進行簽章,以得到識別憑據簽章資料。
在步驟S8中,令該識別憑據模組350將該識別憑據簽章資料傳送至該應用系統201。
在步驟S9中,令該應用系統201在接收該識別憑據簽章資料後,利用該專屬憑證中的公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
第3圖係本發明之多元身分認證憑據之步驟S3之步驟流程圖。該步驟S3係包括下列執行步驟。
在步驟S31中,令該共通閘道300的認證入口模組320接收應用系統201之使用者200進行身分認證的請求資料。
在步驟S32中,令該認證入口模組320將該請求資料傳送至認證模組330。
於一實施例中,該認證入口模組320係先判斷儲存庫360的該註冊資料中的該應用系統201之第一識別碼是否與該請求資料的該應用系統201之第一識別碼相同,當該應用系統201之第一識別碼與該應用系統201之第二識別碼相同時,進而將該請求資料傳送至該認證模組330,但不以此為限。需理解的是,當該應用系統201之第一識別碼與該應用系統201之第二識別碼相同時,表示提出該身分認證的應用系統201已在共通閘道300註冊了。
在步驟S33中,令該認證模組330利用該請求資料中的該應用系統201之第二識別碼(AP_id)或第二服務類型識別碼(serviceID)為查詢條件,於儲存庫360的註冊資料中查詢應用系統201的所對應的認證等級,以令該認證模組 330從認證來源202中找出與該對應的認證等級相同等級的認證方式給應用系統201之使用者選擇進行身分認證。
於一實施例中,當認證模組330以該第二識別碼為查詢條件時,先從儲存庫360的註冊資料中找出與該請求資料的該應用系統201之第二識別碼相同的該應用系統201之第一識別碼,以取得該相同的該應用系統201之第一識別碼於所屬註冊資料中之該應用系統201的認證等級,而當認證模組330以該第二服務類型識別碼為查詢條件時,先從儲存庫360的註冊資料中找出與該請求資料的該應用系統201之第二服務類型識別碼相同的第一服務類型識別碼,以取得該相同的第一服務類型識別碼於所屬註冊資料中所對應的該服務的認證等級。
於一實施例中,認證模組330係將該認證方式傳送至應用系統201中,以令應用系統201的使用者200於應用系統201中進行該認證方式,但不以此為限。
於一實施例中,該認證等級係包含:低至高的認證等級、中至高的認證等級或高認證等級,但不以此為限。
在步驟S34中,當該使用者通過該認證方式後,令該認證模組330產生一認可資料,其中,該認可資料包含認可碼及該使用者於該認證過程提供的使用者資訊。
於一實施例中,當該使用者選擇使用如表1中的憑證認證方式進行身分認證時,使用者200須提供憑證實體IC卡至並輸入該憑證實體IC卡正確的pin code,以令認證模組330取得該憑證實體IC卡中的該使用者資訊,但不以此 為限。
在步驟S35中,令該認證模組330將該認可資料中的認可碼傳送至該認證入口模組320以及將該認可資料儲存至該儲存庫360中。
在步驟S36中,當認證入口模組320接收該認可碼後,令認證入口模組320將儲存庫360中的該應用系統201的專屬金鑰對之公鑰依附於該應用系統201的專屬憑證中,以令該認證入口模組320傳送具有該公鑰的該專屬憑證及該認可碼至該應用系統201。
第4圖係本發明之多元身分認證憑據之步驟S34之步驟流程圖。該步驟S34係包括下列執行步驟。
在步驟S341中,當該使用者通過該認證方式後,令該認證模組330產生包含第一簽章及散列值(nonce)的驗證資料,並將該第一簽章傳送至驗證模組340中與核對資料進行核對驗證。
在步驟S342中,當該驗證模組340核對該第一簽章與該核對資料一致時,再令該認證模組330產生該認可資料。
於一實施例中,步驟S341中的當該使用者通過該認證方式後,令該認證模組330依據該認證方式決定是否產生該驗證資料,若是,則產生該驗證資料,若否,則直接產生該認可資料。
由上述可得知,本發明讓應用系統透過共通閘道進行身分認證,應用系統不必實作認證技術的部份,提高使用者的身分認證服務的便利性及/或相容性,同時也大幅節省 該應用系統在身分認證方面的開發成本,其次,共通閘道可針對不同的該應用系統之使用者或該應用系統內的使用不同服務類型之使用者提供下同認證等級的身分認證方式,讓使用者可多元化選擇認證方式並確保身分認證的安全性。
上述實施例係用以例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修改。因此本發明之權利保護範圍,應如後述之申請專利範圍所列。
100:管理者
200:使用者
201:應用系統
202:認證來源
300:共通閘道
310:管理模組
320:認證入口模組
330:認證模組
340:驗證模組
350:識別憑據模組
360:儲存庫

Claims (10)

  1. 一種多元身分認證憑據之系統,係包括:儲存庫,係儲存應用系統的註冊資料,其中,該註冊資料包含該應用系統的專屬金鑰對之私鑰;認證模組,係提供認證方式給該應用系統之使用者進行該身分認證,以於該使用者通過該認證方式後,產生一認可資料,再將該認可資料儲存至該儲存庫中,其中,該認可資料包含認可碼及該使用者於該身分認證之過程中所提供的使用者資訊;認證入口模組,係於該使用者通過該認證方式後,接收該認證模組所傳送的該認可資料中的認可碼,以將該認可碼傳送給該應用系統,並使該應用系統接收到該認可碼後,令該應用系統依據該認可碼產生包含憑據碼的識別憑據請求資料;以及識別憑據模組,係接收該應用系統所提供之包含該憑據碼的識別憑據請求資料,用以判斷該儲存庫的該認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,並利用該應用系統於該儲存庫中的專屬金鑰對之私鑰對該識別憑據資料進行簽章,以得到識別憑據簽章資料,進而將該識別憑據簽章資料傳送至該應用系統,其中,該識別憑據簽章資料係包含第二簽章及該識別憑據資料,而該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中的使用者資訊。
  2. 如申請專利範圍第1項所述之系統,更包括: 管理模組,係提供管理者進行該應用系統的註冊,且當該應用系統註冊成功後,該管理模組將該應用系統所註冊的資料儲存至該儲存庫的該註冊資料中。
  3. 如申請專利範圍第2項所述之系統,其中,儲存在該儲存庫中的該註冊資料係包含該應用系統的專屬憑證及專屬金鑰對之公鑰,以令該認證入口模組在接收該認證模組所傳送的該認可資料中的認可碼時,更包括將該儲存庫中的該應用系統的專屬金鑰對之公鑰依附於該專屬憑證中,以將具有該公鑰之專屬憑證及該認可碼傳送給該應用系統,進而令該應用系統依據該專屬憑證中的該公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
  4. 如申請專利範圍第2項所述之系統,其中,儲存在該儲存庫中的該註冊資料係包含該應用系統的第一識別碼,而該認證入口模組更包括接收該應用系統之使用者進行該身分認證的請求資料,且該請求資料係包含該應用系統的第二識別碼,以令該認證入口模組判斷儲存庫的該註冊資料中的該應用系統之第一識別碼與該請求資料的該應用系統之第二識別碼相同時,將該請求資料傳送至該認證模組,以令該認證模組在接收到該請求資料時提供該認證方式給該使用者進行該身分認證。
  5. 如申請專利範圍第4項所述之系統,更包含:驗證模組,係提供用於核對的核對資料;其中,令該認證模組在該使用者通過該認證方式 時產生第一簽章,並將該第一簽章傳送至該驗證模組中與該核對資料進行核對,且當該認證模組在接收該驗證模組傳送該第一簽章與該核對資料核對一致的驗證成功之訊息時,該認證模組係產生該認可資料。
  6. 一種多元身分認證憑據之方法,係包括:令認證入口模組接收應用系統之使用者進行身分認證的請求資料,以將該請求資料傳送至認證模組;令認證模組提供認證方式給該應用系統之使用者進行身分認證;當該使用者通過該認證方式後,令該認證模組產生一認可資料,再將該認可資料儲存至儲存庫中,其中,該認可資料包含認可碼及該使用者於該身分認證之過程中所提供的使用者資訊;令認證入口模組接收該認證模組所傳送的該認可資料中的認可碼,以將該認可碼傳送給該應用系統;令該應用系統接收到該認可碼後,依據該認可碼產生包含憑據碼的識別憑據請求資料;以及令識別憑據模組接收該應用系統所提供之包含憑據碼的識別憑據請求資料,用以判斷該儲存庫的該認可資料中具有與該憑據碼相同的認可碼時,產生一識別憑據資料,並利用該應用系統預存於該儲存庫的註冊資料中的專屬金鑰對之私鑰對該識別憑據資料進行簽章,以得到識別憑據簽章資料,進而將該識別憑據簽章資料傳送至該應用系統,其中,該識別憑據簽章資料係包含第 二簽章及該識別憑據資料,而該識別憑據資料係包含該相同的認可碼於所屬的該認可資料中的使用者資訊。
  7. 如申請專利範圍第6項所述之方法,其中,在該認證入口模組接收應用系統之使用者進行身分認證的請求資料之前更包括:令管理者向管理模組進行該應用系統的註冊,且當該應用系統註冊成功後,令該管理模組將該應用系統所註冊的資料儲存至儲存庫的該註冊資料中。
  8. 如申請專利範圍第7項所述之方法,其中,儲存在該儲存庫中的該註冊資料係包含該應用系統的專屬憑證,以令該認證入口模組在接收該認證模組所傳送的該認可資料中的認可碼時更包括將該儲存庫中的該應用系統的專屬金鑰對之公鑰依附於該專屬憑證中,進而將具有該公鑰之專屬憑證及該認可碼傳送給該應用系統,進而令該應用系統在接收具有該公鑰之專屬憑證及該識別憑據簽章資料後,依據該專屬憑證中的該公鑰對該識別憑據簽章資料中的第二簽章進行驗證,並於驗證成功時取得該識別憑據簽章資料中的資料。
  9. 如申請專利範圍第7項所述之方法,其中,儲存在該儲存庫中的該註冊資料係包含該應用系統的第一識別碼,且該認證入口模組所接收的該請求資料係包含該應用系統的第二辨識碼,以令該認證入口模組判斷儲存庫的該註冊資料中的該應用系統之第一識別碼與該請求資料的該應用系統之第二識別碼相同時,將該請求資料傳 送至該認證模組,以令該認證模組在接收到該請求資料時提供該認證方式給該應用系統之使用者進行該身分認證。
  10. 如申請專利範圍第9項所述之方法,其中,令該認證模組在該使用者通過該認證方式時產生第一簽章,並將該第一簽章傳送至驗證模組中與核對資料進行核對,且當該驗證模組核對該第一簽章與該核對資料一致時,再令該認證模組產生該認可資料。
TW107144793A 2018-12-12 2018-12-12 多元身分認證憑據之系統與方法 TWI694346B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW107144793A TWI694346B (zh) 2018-12-12 2018-12-12 多元身分認證憑據之系統與方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107144793A TWI694346B (zh) 2018-12-12 2018-12-12 多元身分認證憑據之系統與方法

Publications (2)

Publication Number Publication Date
TWI694346B true TWI694346B (zh) 2020-05-21
TW202022664A TW202022664A (zh) 2020-06-16

Family

ID=71896205

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107144793A TWI694346B (zh) 2018-12-12 2018-12-12 多元身分認證憑據之系統與方法

Country Status (1)

Country Link
TW (1) TWI694346B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1343940A (zh) * 2000-09-20 2002-04-10 黄庆祥 二维条码文件表单产生器、解码器及条码商用服务系统
US20080168543A1 (en) * 2007-01-05 2008-07-10 Ebay Inc. One time password authentication of websites
TW200941998A (en) * 2008-03-25 2009-10-01 Chunghwa Telecom Co Ltd Authentication system of diverse telecommunication equipment for network users
US8220039B2 (en) * 2005-07-08 2012-07-10 Sandisk Technologies Inc. Mass storage device with automated credentials loading
TWM554596U (zh) * 2017-09-05 2018-01-21 Far Eastern Int Bank 多元認證對應安全機制之系統

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1343940A (zh) * 2000-09-20 2002-04-10 黄庆祥 二维条码文件表单产生器、解码器及条码商用服务系统
US8220039B2 (en) * 2005-07-08 2012-07-10 Sandisk Technologies Inc. Mass storage device with automated credentials loading
US20080168543A1 (en) * 2007-01-05 2008-07-10 Ebay Inc. One time password authentication of websites
TW200941998A (en) * 2008-03-25 2009-10-01 Chunghwa Telecom Co Ltd Authentication system of diverse telecommunication equipment for network users
TWM554596U (zh) * 2017-09-05 2018-01-21 Far Eastern Int Bank 多元認證對應安全機制之系統

Also Published As

Publication number Publication date
TW202022664A (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
US9992189B2 (en) Generation and validation of derived credentials
CN108777684B (zh) 身份认证方法、系统及计算机可读存储介质
WO2018214133A1 (zh) 基于区块链的fido认证方法、装置及系统
US11095635B2 (en) Server authentication using multiple authentication chains
US8683196B2 (en) Token renewal
US10630488B2 (en) Method and apparatus for managing application identifier
WO2022121461A1 (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
CN101262342A (zh) 分布式授权与验证方法、装置及系统
KR20170106515A (ko) 다중 팩터 인증 기관
CN103475666A (zh) 一种物联网资源的数字签名认证方法
CN108881222A (zh) 基于pam架构的强身份认证系统及方法
WO2016054990A1 (zh) 安全校验方法、装置、终端及服务器
WO2016173211A1 (zh) 一种管理应用标识的方法及装置
JP2020120173A (ja) 電子署名システム、証明書発行システム、証明書発行方法及びプログラム
CA3149910A1 (en) Advanced security control implementation of proxied cryptographic keys
LU93150B1 (en) Method for providing secure digital signatures
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
WO2014187208A1 (zh) 一种备份电子签名令牌中私钥的方法和系统
CN109460647B (zh) 一种多设备安全登录的方法
TWI694346B (zh) 多元身分認證憑據之系統與方法
EP4324159A1 (en) Secure root-of-trust enrolment and identity management of embedded devices
TWI698113B (zh) 電子裝置之認證方法及系統
EP4047871A1 (en) Advanced security control implementation of proxied cryptographic keys
TWI670990B (zh) 自動連線安全無線網路的方法與系統