TW201712591A - 用於智慧卡之資料授權管理驗證方法 - Google Patents
用於智慧卡之資料授權管理驗證方法 Download PDFInfo
- Publication number
- TW201712591A TW201712591A TW104131997A TW104131997A TW201712591A TW 201712591 A TW201712591 A TW 201712591A TW 104131997 A TW104131997 A TW 104131997A TW 104131997 A TW104131997 A TW 104131997A TW 201712591 A TW201712591 A TW 201712591A
- Authority
- TW
- Taiwan
- Prior art keywords
- authorization
- smart card
- data
- management platform
- hash value
- Prior art date
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本發明係揭露一種用於智慧卡之資料授權管理驗證方法,其係利用一授權管理平台限制應用服務端在讀取智慧卡時,僅能取得經過授權之資料,且透過此授權管理平台,智慧卡之持有人可對卡片之資料內容與使用範圍進行授權設定,當應用服務端欲取用卡片上未經授權之資料時,需受其限制,待通過授權管理平台與智慧卡上之授權認證模組比對認證後,始得取用需求之資料。
Description
本發明是有關於一種智慧卡資料管理方法,特別是有關於一種可對卡片進行資料授權設定,讓應用服務端必須透過驗證才可取得資料之用於智慧卡之資料授權管理驗證方法。
隨著近年來之資訊處理技術、通訊技術之發展及通訊基礎結構之普及,費用、價款之支付方法趨於多樣化,進而提出各種代替現金支付之方法並加以利用。
作為代替現金之價款支付方法,其一便係利用智慧卡代之,包含了所謂之後付款形式之信用卡、即時付款形式之轉帳卡、以及預付款形式之儲值卡。各形式之智慧卡不僅提升了人們購物、買票、通關等之便利性之外,更減少了商場、車站等處排隊人流之數量,可見智慧卡之出現與推行,著實促進各方之發展,使這社會更加地進步。
由於智慧卡在申請、製卡時,必須載入一些相關的資訊,例如持卡人的姓名、身份證等,方能進行使用,然而,在卡片當中可能存有些機敏資料是持卡人不方便外流的,但就目前卡片使用管理機制來說,卡片內之資料是無法隨時由持卡人進行授權設定的,在卡片資料未經授權控管之下,當持卡人利用卡片至應用服務端進行消費或執行業務時,應用服
務端便可未進行驗證、核對即可存取卡片內所有包含機敏性之資料,進而造成持卡人資料外流而無法查核之問題發生。
有鑑於上述習知技藝之問題,本發明之目的就是在提供一種可對卡片進行資料授權設定,讓應用服務端必須透過驗證才可取得資料之用於智慧卡之資料授權管理驗證方法。
根據本發明之目的,提出一種用於智慧卡之資料授權管理驗證方法,其包含下列步驟:一智慧卡使用端向一授權管理平台取得可供設定之一授權設定清單;智慧卡使用端依據授權設定清單變更授權設定,並將變更之授權設定依據一智慧卡中之PKI私鑰進行簽章以產生一第一雜湊值;智慧卡使用端將變更之授權設定及第一雜湊值傳送至授權管理平台,由授權管理平台將授權設定及第一雜湊值寫入於該智慧卡之一授權認證模組中;當智慧卡使用端以智慧卡向一應用服務端提出應用服務之需求時,應用服務端係確認智慧卡之格式及唯一識別編號;經由應用服務端利用唯一識別編號及服務識別編號向授權管理平台提出授權需求,以自授權管理平台取得對應變更之授權設定之一第二雜湊值;應用服務端依據第二雜湊值、授權版本編號及要求調用之資料項目向資料卡之授權認證模組提出使用資料之需求;以及授權認證模組係比對第二雜湊值與授權版本編號之正確性,比對無誤後係傳送要求資料至應用服務端,應用服務端始進行服務之提供。
其中,授權設定清單係由授權管理平台向應用服務端收集授
權需求後產生,授權設定清單包含該智慧卡中受保護之資料之應用服務。其中,每一應用服務具備唯一之服務識別編號,並對應一組授權設定,授權設定包含版本號碼、受保護之資料項目名稱及其授權狀況。
其中,當授權管理平台接收到變更之授權設定時,將會產生得以存取控制智慧卡之命令,且授權管理平台係利用與智慧卡之授權認證模組間所建立之安全通道下達命令,以將變更之授權設定及第一雜湊值寫入於授權認證模組中。
其中,授權管理平台接收到變更之授權設定及第一雜湊值時係予於記錄儲存。
其中,授權管理平台係提供一查詢介面,使應用服務端得以依據智慧卡之唯一識別編號及服務識別編號調出相對應之授權設定與該第二雜湊值。
其中,授權認證模組係將第二雜湊值與內存之第一雜湊值進行比對,若二者為一致,則授權認證模組係傳送需調用之資料項目至應用服務端。
承上所述,依本發明之用於智慧卡之資料授權管理驗證方法,其可具備下列一或多個特點:
1、本發明可對智慧卡上之資料項目分別進行保護,限制應用服務端僅能取得經過授權的資料項目。
2、本發明於驗證授權階段,直接由授權管理平台與智慧卡本身進行權限驗證,應用服務端無進行不當取用之機會。
3、智慧卡片持有人透過授權管理平台進行授權後,對其授權之內容具備不
可否認性。
上列詳細說明係針對本發明之一可行實施例之具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不但在空間型態上確屬創新,並能較習用物品增進上述多項功效,應已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
S1~S7‧‧‧步驟流程
10‧‧‧智慧卡
101‧‧‧授權認證模組
20‧‧‧授權管理平台
30‧‧‧應用服務端
圖1為本發明之用於智慧卡之資料授權管理驗證方法之流程圖。
圖2為本發明之用於智慧卡之資料授權管理驗證方法之方塊示意圖。
為利 貴審查委員了解本發明之技術特徵、內容與優點及其所能達到之功效,茲將本發明配合附圖,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍,合先敘明。
請參閱圖1及圖2,圖1係為本發明之用於智慧卡之資料授權管理驗證方法之流程圖,圖2係為本發明之用於智慧卡之資料授權管理驗證方法之方塊示意圖。
要完成本發明提出之方法,須具備一含有PKI功能並設有授權認證模組101之智慧卡10、一由卡片製發者提供之授權管理平台20及一應用服務系統30,該授權管理平台20可向智慧卡使用端提供授權設定介面,向應用服務端30提供權限需求介面。授權認證模組101可用以管理存放於智慧片10內之機敏性資料,並提供介面給應用服務端30提出調用資料需求,經進行授權認證通過後,始得取用智慧片10內之資料。其中,智慧卡10於製發階段需完成唯一識別資訊、PKI功能、授權認證模組101之安裝,授權認證模組101需具備空間存放受保護之資料項目與每一項目對應的授權設定,並具備介面提供應用服務端30通過授權認證後,取出對應之資料項目。而智慧片使用端持此製發完成之智慧卡10,得已連接製發者提供之授權管理平台20進行操作,調整開放使用之服務項目與開放取用之資料內容。
本發明之用於智慧卡之資料授權管理驗證方法之方法步驟如下:步驟S1,一智慧卡使用端向一授權管理平台取得可供設定之一授權設定清單:智慧卡使用端通過授權管理平台提供之介面,經過認證後,可取得服務項目與使用範圍之授權設定清單。其中,授權設定清單係由授權管理平台向應用服務端收集授權需求後產生,授權設定清單包含該智慧卡中受保護之資料之應用服務。其中,每一應用服務具備唯一之服務識別編號,並對應一組授權設定,授權設定包含版本號碼、受保護之資料項目名稱及其授權狀況。
步驟S2,智慧卡使用端依據授權設定清單變更授權設定,
並將變更之授權設定依據一智慧卡中之PKI私鑰進行簽章以產生一第一雜湊值:智慧卡使用端提出之資料包含唯一卡片識別編號、服務識別編號與授權設定,將此資料以卡片中之PKI私鑰進行簽章,產生簽章值,再將簽章值通過雜湊函數產生第一雜湊值。
步驟S3,智慧卡使用端將變更之授權設定及第一雜湊值傳送至授權管理平台,由授權管理平台將授權設定及第一雜湊值寫入於該智慧卡之一授權認證模組中:由於授權管理平台同時具備卡片製發單位的身分,因此擁有寫入卡片之能力,而授權管理平台能將收到之授權設定轉換成一系列之卡片命令,並藉由與授權認證模組建立安全通道(SECURE CHANNEL)的方式,將命令下達並執行,以將變更之授權設定及第一雜湊值寫入於授權認證模組中,其中,若之後步驟執行過程中發生錯誤,則藉由相同之方法將卡片之前發生之變動復原。
上述中,授權管理平台於收到變更之授權設定及第一雜湊值時會將此二份資料保留以供應用服務端進行授權認證時使用。需特別注意的是,一組授權設定需包含一變更卡片的識別編號、一授權對象的服務識別編號、一授權服務的版本編號、及一組完整之授權內容資訊,此組資訊可以被授權認證模組解析並依此調用對應的資料項目。應用服務端需透過介面向授權管理平台提出申請,取得服務識別編號並提交授權內容資訊範本。
步驟S4,當智慧卡使用端以智慧卡向一應用服務端提出應用服務之需求時,應用服務端係確認智慧卡之格式及唯一識別編號。其中,卡片之唯一識別編號提供一般情況不屬於卡片中授權認證模組保護之範
圍,可藉由製發卡單位提供之介面取得卡片序號。
步驟S5,經由應用服務端利用唯一識別編號及服務識別編號向授權管理平台提出授權需求,以自授權管理平台取得對應變更之授權設定之一第二雜湊值。其中,授權管理平台係提供一查詢介面,使應用服務端得以依據智慧卡之唯一識別編號及服務識別編號調出相對應之授權設定與該第二雜湊值。
步驟S6,應用服務端依據第二雜湊值、授權版本編號及要求調用之資料項目向資料卡之授權認證模組提出使用資料之需求。
步驟S7,授權認證模組係比對第二雜湊值與授權版本編號之正確性,比對無誤後係傳送要求資料至應用服務端,應用服務端始進行服務之提供。其中,授權認證模組係藉由比對應用服務端提供的授權版本是否一致、及第二雜湊值與卡片內所存之第一雜湊值是否一致,進而能確定授權設定的正確性,建立持卡人對此份授權設定之不可否認性,接著授權認證模組才將所需調用之資料提供給應用服務端。
簡單地來說,本發明係提供一有效之方法使卡片持有人得以保護其內之機敏性資料,使用卡片要求應用服務時,可以控制其存取使用之範圍,使應用服務端僅取得所需之資料。如圖2所示,此方法必須由三個模件來完成,包含智慧卡10、授權管理模組20及應用服務端30,三者相互間資料傳遞以完成本發明之詳細說明如下:具授權認證模組101之PK智慧卡10之持卡人向授權管理平台20要求保護存放於授權認證模組101中之資料。授權管理平台20需提供一介面,詳列出可供管理之授權設定清單,此份清單由應用服務端30向授權管理平台20提供之授權內容範本整
理而成。持卡人設定完成後,產生對應之授權設定、以及利用智慧卡10中之PKI簽章功能生成之第一雜湊值,並回傳至授權管理平台20。授權管理平台20將第一雜湊值紀錄於其系統中,並將授權設定轉換成相對應之卡片之操作指令傳至智慧卡10執行。此操作指令需經過安全的傳輸通道傳輸至使用端,並透過與智慧卡10中之授權認證模組101建立安全通道(SECURE CHANNEL)來下達並執行,將授權設定寫入其中。當應用服務端30處於上線狀態,智慧卡10得以透過卡片識別編號向應用服務端30提出服務要求。若應用服務端30依據服務要求得知必需智慧卡10中受保護之資料始得提供服務,應用服務端30得依據卡片識別編號、服務識別編號向授權管理平台102提出授權需求,授權管理平台102將會回傳對應其需求之授權設定之第二雜湊值至應用服務端30,應用服務端30取得第二雜湊值後,將第二雜湊值、授權版本編號、要求調用之資料項目向授權認證模組101提出使用資料需求,授權認證模組101便會比對第二雜湊值與卡片中之第一雜湊值是否一致、以及授權版本編號是否一致,若皆一致,表示卡片中之授權設定正確。接著檢查應用服務端30要求的資料項目是否在此份授權設定的授權範圍中,若符合則傳回要求資料。
上述中,智慧卡10向應用服務端30提出之授權設定中,一組完整之授權設定資料須包含一變更卡片識別編號、一授權對象的服務識別編號、一授權服務的版本編號、及一組完整之授權內容資訊,此組資訊包含授權認證模組101中的資料項目與保護等級,其格式需可被授權認證模組101解析並依此調用要求資料。其中,智慧卡10需有一套完整之PKI系統於後方支持,以達成其上傳之授權設定具備不可否認性。
上述中,授權管理平台20於智慧卡10之製發階段,除卡片之外觀處理外,需準備好一套初始製發安裝資料並於製發過程中將之寫入空白智慧卡,其包含唯一卡片識別編號、套完整之PKI功能、及授權認證模組101。授權認證模組101包含:一空間存放資料,此空間之資料存放時需以一保密方法加以保護,其取出時需經還原後始得閱讀;一空間存放授權設定,存放於此空間之授權設定只得寫入,不得使其被讀取出卡片之外;以及一組程式碼,可比對授權設定簽章與授權版本編號,並可解析授權設定,以及保護並還原存放於模組中之資料。
綜上所述,本發明之用於智慧卡之資料授權管理驗證方法係利用一授權管理平台限制應用服務端在讀取智慧卡時,僅能取得經過授權之資料,且透過此授權管理平台,智慧卡之持有人可對卡片之資料內容與使用範圍進行授權設定,當應用服務端欲取用卡片上未經授權之資料時,需受其限制,待通過授權管理平台與智慧卡上之授權認證模組比對認證後,始得取用需求之資料。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請 貴局核准本件發明專利申請案,以勵發明,至感德便。
S1~S7‧‧‧步驟流程
Claims (6)
- 一種用於智慧卡之資料授權管理驗證方法,步驟如下:一智慧卡使用端向一授權管理平台取得可供設定之一授權設定清單;該智慧卡使用端依據該授權設定清單變更授權設定,並將變更之授權設定依據一智慧卡中之PKI私鑰進行簽章以產生一第一雜湊值;該智慧卡使用端將變更之授權設定及該第一雜湊值傳送至該授權管理平台,由該授權管理平台將授權設定及該第一雜湊值寫入於該智慧卡之一授權認證模組中;當該智慧卡使用端以該智慧卡向一應用服務端提出應用服務之需求時,該應用服務端係確認該智慧卡之格式及唯一識別編號;經由該應用服務端利用唯一識別編號及服務識別編號向該授權管理平台提出授權需求,以自該授權管理平台取得對應變更之授權設定之一第二雜湊值;該應用服務端依據該第二雜湊值、授權版本編號及要求調用之資料項目向該資料卡之該授權認證模組提出使用資料之需求;以及該授權認證模組係比對該第二雜湊值與授權版本編號之正確性,比對無誤後係傳送要求資料至該應用服務端,該應用服務端始進行服務之提供。
- 如申請專利範圍第1項所述之用於智慧卡之資料授權管理驗證方法,其中該授權設定清單係由該授權管理平台向該應用服務端收集授權需求後產生,該授權設定清單包含該智慧卡中受保護之資料之應用服務,其中,每一應用服務具備唯一之服務識別編號,並對應一組授權設定,授權設定包含版本號碼、受保護之資料項目名稱及其授權狀況。
- 如申請專利範圍第1項所述之用於智慧卡之資料授權管理驗證方法,其中當該授權管理平台接收到變更之授權設定時,將會產生得以存取控制該智慧卡之命令,且該授權管理平台係利用與該智慧卡之該授權認證模組間所建立之安全通道下達命令,以將變更之授權設定及該第一雜湊值寫入於該授權認證模組中。
- 如申請專利範圍第1項所述之用於智慧卡之資料授權管理驗證方法,其中該授權管理平台接收到變更之授權設定及該第一雜湊值時係予於記錄儲存。
- 如申請專利範圍第1項所述之用於智慧卡之資料授權管理驗證方法,其中該授權管理平台係提供一查詢介面,使該應用服務端得以依據該智慧卡之唯一識別編號及服務識別編號調出相對應之授權設定與該第二雜湊值。
- 如申請專利範圍第1項所述之用於智慧卡之資料授權管理驗證方法,其中該授權認證模組係將該第二雜湊值與內存之該第一雜湊值進行比對,若二者為一致,則該授權認證模組係傳送需調用之資料項目至該應用服務端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104131997A TW201712591A (zh) | 2015-09-30 | 2015-09-30 | 用於智慧卡之資料授權管理驗證方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104131997A TW201712591A (zh) | 2015-09-30 | 2015-09-30 | 用於智慧卡之資料授權管理驗證方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI562016B TWI562016B (zh) | 2016-12-11 |
| TW201712591A true TW201712591A (zh) | 2017-04-01 |
Family
ID=58227318
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104131997A TW201712591A (zh) | 2015-09-30 | 2015-09-30 | 用於智慧卡之資料授權管理驗證方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TW201712591A (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2338381A (en) * | 1998-06-10 | 1999-12-15 | Barclays Bank Plc | Cryptographic authentication for internet using two servers |
| TWI534711B (zh) * | 2009-11-16 | 2016-05-21 | 財團法人資訊工業策進會 | 智慧卡及其存取方法 |
| US20150095238A1 (en) * | 2013-09-30 | 2015-04-02 | Apple Inc. | Online payments using a secure element of an electronic device |
-
2015
- 2015-09-30 TW TW104131997A patent/TW201712591A/zh not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| TWI562016B (zh) | 2016-12-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7230235B2 (ja) | ブロックチェーンに格納された個人データを安全に共有するための非接触カードの使用 | |
| US12014357B2 (en) | Tap to autofill card data | |
| US11392933B2 (en) | Systems and methods for providing online and hybridcard interactions | |
| US10664941B1 (en) | Steganographic image encoding of biometric template information on a card | |
| US10223690B2 (en) | Alternative account identifier | |
| CA3151581A1 (en) | Generating barcodes utilizing cryptographic techniques | |
| US11694187B2 (en) | Constraining transactional capabilities for contactless cards | |
| WO2016041235A1 (zh) | 电子现金数据的授权处理方法、支付处理方法及虚拟卡 | |
| US20210019734A1 (en) | Contactless card tap pay for offline transactions | |
| US20220067701A1 (en) | Account registration using a contactless card | |
| CN112292705B (zh) | 用于账户访问的便携式装置加载机制 | |
| TW201712591A (zh) | 用於智慧卡之資料授權管理驗證方法 | |
| WO2024098122A1 (pt) | Processo e sistema para confirmação remota da titularidade de credencial digital | |
| BR102022022772A2 (pt) | Processo e sistema para confirmação remota da titularidade de credencial digital | |
| KR20200031026A (ko) | 신호 처리 장치 및 방법 | |
| WO2023056569A1 (en) | A method and a validation device for executing blockchain transactions | |
| KR20190003292A (ko) | 앱 방식을 이용한 교통카드 발급 및 운용 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |