TW202018626A - 於簽章時驗證使用者身分之系統及方法 - Google Patents
於簽章時驗證使用者身分之系統及方法 Download PDFInfo
- Publication number
- TW202018626A TW202018626A TW107140100A TW107140100A TW202018626A TW 202018626 A TW202018626 A TW 202018626A TW 107140100 A TW107140100 A TW 107140100A TW 107140100 A TW107140100 A TW 107140100A TW 202018626 A TW202018626 A TW 202018626A
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- identity
- password
- private key
- module
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一種於簽章時驗證使用者身分之系統及方法,其透過在判斷與被選擇之目標憑證對應的私鑰被預設密碼加密時,先驗證使用者身分,並在使用者身分通過驗證時,再使用預設密碼解密私鑰之技術手段,可以在使用者使用與沒有設定憑證密碼之憑證對應的私鑰簽章時確認使用者身分,並達成使用者不需額外記憶憑證密碼的技術功效。
Description
一種簽章系統及方法,特別係指一種於簽章時驗證使用者身分之系統及方法。
數位簽章(Digital Signature)是一種對資料使用金鑰加密的技術,更詳細的,數位簽章是以數學演算法或其他方式使用金鑰對資料進行運算後所產生資料,而非指將簽名掃描成數位圖像,也不是使用觸控板輸入的簽名。一套數位簽章通常定義兩種互補的運算,一個用於簽章,另一個用於驗證。經過數位簽章之資料的完整性是很容易驗證的,而且經過數位簽章的資料具有不可否認性,因此,數位簽章可以辨識及確認電子文件之簽署人的身分以及電子文件的真偽。
由於數位簽章具有不可否認性,因此常在網路交易中被使用。使用了數位簽章的網路交易在交易過程中具有使用者帳號的驗證以及憑證密碼的確認兩道安全措施。一般而言,儲存數位憑證的裝置也會一併儲存與數位憑證中所包含之公鑰相對應的私鑰,且該裝置會將私鑰經過相對應之數位憑證的憑證密碼加密後儲存。當需要進行數位簽章作業時,使用者需要輸入相對應之數位憑證的憑證密碼,該裝置才能解密私鑰,並使用解密後的私鑰進行數位簽章。
但在部份的情況中,使用者並沒有設定數位憑證的憑證密碼,例如使用者認為已經有驗證使用者帳號的程序,所以使用者認為不需要額外設定數位憑證的憑證密碼,以避免忘記憑證密碼。在此情況下,數位憑證通常會被儲存數位憑證的裝置以預設密碼加密,如此,在進行數位簽章時,儲存數位憑證的裝置也會直接以預設密碼解密數位憑證。也就是說,一旦使用者帳號密碼被他人取得,取得使用者帳號密碼的他人即可以冒用使用者的身分完成網路交易。
綜上所述,可知先前技術中長期以來一直存在使用者沒有設定憑證之憑證密碼時與憑證對應之私鑰將直接被用來進行數位簽章的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在使用者沒有設定憑證之憑證密碼時與憑證對應之私鑰將直接被用來進行數位簽章的問題,本發明遂揭露一種於簽章時驗證使用者身分之系統及方法,其中:
本發明所揭露之於簽章時驗證使用者身分之系統,至少包含:憑證選擇模組,用以提供選擇目標憑證;金鑰存取模組,用以判斷與目標憑證對應之私鑰是否被指定密碼或預設密碼加密;輸入模組,用以於私鑰被指定密碼加密時,提供輸入指定密碼;身份驗證模組,用以於私鑰被預設密碼加密時,驗證使用者身分;解密模組,用以使用指定密碼解密私鑰,及用以於使用者身分通過驗證時,使用預設密碼解密私鑰;簽章模組,用以使用私鑰簽章。
本發明所揭露之於簽章時驗證使用者身分之方法,其步驟至少包括:提供選擇目標憑證;判斷與目標憑證對應之私鑰被指定密碼加密時,提供輸入指定密碼,並使用指定密碼解密私鑰後,使用私鑰簽章;判斷私鑰被預設密碼加密時,驗證使用者身分,並於使用者身分通過驗證時,使用預設密碼解密私鑰,並使用私鑰簽章。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過在判斷與被選擇之目標憑證對應的私鑰被預設密碼加密時,驗證使用者身分,並在使用者身分通過驗證時,使用預設密碼解密私鑰,藉以解決先前技術所存在的問題,並可以達成使用者只需記憶手機解鎖密碼不需額外記憶憑證密碼的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以在計算設備所執行之應用程式使用與被選擇之目標憑證相對應的私鑰進行簽章時,強制使用者進行輸入行為以確認使用者允許進行簽章作業。
本發明所提之計算設備包含但不限於一個或多個處理器、一個或多個記憶體模組、以及連接不同元件(包括記憶體模組和處理器)的匯流排等元件,例如,計算設備可以是手機、平板、導航裝置、多媒體播放機、電子書閱讀機、電子辭典、掌上型電動玩具等。透過所包含之多個元件,計算設備可以載入並執行包含應用程式100的作業系統,使作業系統在計算設備上運行。
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。
本發明所提之計算設備的處理器與匯流排耦接。處理器包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在做為處理器的處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。
計算設備的處理器可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟、磁帶機、隨身碟(快閃記憶體)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器等周邊裝置或介面通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G/5G等行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路設備、非同步傳輸模式(ATM)設備、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠進行資料的輸入與輸出,也能夠與具有上述描述之元件的另一個計算設備進行通訊。
以下先以「第1圖」本發明所提之於簽章時驗證使用者身分之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有憑證選擇模組110、金鑰存取模組120、輸入模組130、身份驗證模組150、解密模組170、簽章模組180,以及可以附加的單位判斷模組160。在部分的實施例中,上述各模組可以在計算設備10執行應用程式100後產生,但本發明並不以此為限。
憑證選擇模組110負責提供選擇目標憑證。一般而言,應用程式100包含資料庫(圖中未示),資料庫中儲存一個或多個憑證以及與各個憑證對應的私鑰,憑證選擇模組110可以透過周邊輸出裝置列出資料庫所儲存之憑證並透過輸入模組130提供選擇被列出之憑證,被選擇的憑證即為目標憑證,但憑證選擇模組110提供選擇目標憑證的方式並不以上述為限。
金鑰存取模組120負責判斷與被憑證選擇模組110所選擇之目標憑證相對應的私鑰是否被指定密碼或預設密碼加密。舉例來說,金鑰存取模組120可以依據資料庫中所記錄之與被選擇之目標憑證對應的資料判斷與被選擇之目標憑證對應之私鑰的加密方式,但本發明並不以此為限。
其中,指定密碼是使用者所設定的密碼,通常是在申請憑證時所設定的密碼,或是使用者自行對所申請到之憑證進行變更的密碼,但本發明並不以此為限;預設密碼則是應用程式100用來加密與沒有被指定密碼加密之憑證對應的私鑰的密碼,通常為執行應用程式100之裝置的裝置識別碼等裝置識別資料,但預設密碼亦不以上述為限。
輸入模組130負責在金鑰存取模組120判斷與被憑證選擇模組110所選擇之目標憑證相對應的私鑰被指定密碼加密時,提供輸入指定密碼。輸入模組130可以呼叫執行應用程式100之作業系統所提供的輸入應用程式介面(API)以提供輸入指定密碼,也可以透過周邊輸出裝置顯示特定的按鍵並透過周邊輸入裝置提供輸入指定密碼,本發明並沒有特別的限制。
輸入模組130也可以透過周邊輸入裝置提供輸入生物特徵,例如輸入指紋或擷取包含人臉的影像等,但本發明所提之生物特徵並不以上述為限;輸入模組130也可以透過周邊輸入裝置提供輸入計算設備10的螢幕解鎖密碼。
身份驗證模組150負責在金鑰存取模組120判斷與被憑證選擇模組110所選擇之目標憑證相對應的私鑰被預設密碼加密時,驗證使用者身分。在部分的實施例中,身份驗證模組150可以透過輸入模組130提供輸入的生物特徵驗證使用者身分,例如,身份驗證模組150可以呼叫執行應用程式100之作業系統所提供之擷取生物特徵的應用程式介面擷取生物特徵,並使用生物特徵辨識技術對所擷取的生物特徵進行辨識以驗證使用者身分。
在另一部份的實施例中,身份驗證模組150也可以透過螢幕解鎖密碼驗證使用者身分。例如,身份驗證模組150可以要求透過輸入模組130輸入螢幕解鎖密碼,並透過執行應用程式100之作業系統確認被輸入的螢幕解鎖密碼是否正確以驗證使用者身分;身份驗證模組150也可以呼叫螢幕解鎖應用程式介面以提供輸入螢幕解鎖密碼,並透過螢幕解鎖應用程式介面判斷被輸入的螢幕解鎖密碼是否正確以驗證使用者身分;身份驗證模組150也可以關閉螢幕等待使用者開啟螢幕並完成螢幕解鎖回到應用程式100以確認使用者身分等。但身份驗證模組150驗證使用者身分的方式並不以上述為限。
另外,身份驗證模組150也可以在設定使用螢幕解鎖密碼驗證使用者身分時,判斷螢幕解鎖密碼是否已被設定,若螢幕解鎖密碼尚未被設定,則身份驗證模組150可以顯示提示以要求先設定螢幕解鎖密碼。也就是說,若身份驗證模組150將使用螢幕解鎖密碼驗證使用者身分,則身份驗證模組150將會先確認螢幕解鎖密碼已被設定。
單位判斷模組160可以判斷被憑證選擇模組110所選擇之目標憑證的發放單位與簽章呼叫單位是否相同。舉例來說,單位判斷模組160可以由被選擇的目標憑證中讀取出目標憑證之發放單位的發放單位訊息,並比對所讀出之發放單位訊息以及簽章呼叫單位的呼叫單位訊息,藉以判斷被選擇之目標憑證的發放單位與簽章呼叫單位是否相同。其中,上述之發放單位訊息可以是發放單位的識別碼或名稱等,相似的,上述之呼叫單位訊息可以是簽章呼叫單位的識別碼或名稱。但單位判斷模組160判斷被選擇之目標憑證的發放單位與簽章呼叫單位是否相同之方式並不以上述為限。
另外,簽章呼叫單位為欲進行簽章之程式或網頁等對象的提供者,例如,欲進行簽章之對象為與應用程式100執行於相同裝置上之其他應用程式,則簽章呼叫單位即為提供該其他應用程式之人、公司、團體、或組織;相似的,若欲進行簽章之對象為應用程式100之內嵌瀏覽器所開啟之網頁,則簽章呼叫單位即為包含應用程式100所開啟之網頁之網站的擁有者、公司、團體、或組織。
解密模組170負責在金鑰存取模組120判斷與被憑證選擇模組110所選擇之目標憑證相對應的私鑰被指定密碼加密時,使用輸入模組130提供輸入的指定密碼解密與被選擇之目標憑證對應的私鑰;解密模組170也負責在金鑰存取模組120判斷與被憑證選擇模組110所選擇之目標憑證相對應的私鑰被預設密碼加密,且使用者身分通過身份驗證模組150的驗證時,使用預設密碼解密與被選擇之目標憑證對應的私鑰。
解密模組170也可以在單位判斷模組160判斷被憑證選擇模組110所選擇之目標憑證的發放單位與簽章呼叫單位相同時,直接使用預設密碼解密被選擇之私鑰。也就是說,在部分的實施例中,當金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰被預設密碼加密,且單位判斷模組160判斷被選擇之目標憑證的發放單位與簽章呼叫單位相同時,解密模組170可以使用預設密碼解密與被選擇之目標憑證對應的私鑰;而當金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰被預設密碼加密,同時單位判斷模組160判斷被選擇之目標憑證的發放單位與簽章呼叫單位不同,且使用者身分通過身份驗證模組150的驗證時,解密模組170同樣可以使用預設密碼解密與被選擇之目標憑證對應的私鑰。
簽章模組180負責使用解密模組170解密後的私鑰對簽章呼叫單位所提供的資料進行簽章。
接著以第一實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之於簽章時驗證使用者身分之方法流程圖。
在本實施例中,假設使用者在計算設備10上執行證券公司所提供之證券下單應用程式,並在證券下單應用程式中下單時,若證券下單應用程式需要進行簽章作業,則證券下單應用程式可以呼叫應用程式100,此時,簽章呼叫單位為提供證券下單應用程式的證券公司。但本實施例並不以此為限,例如,使用者也可以使用應用程式100之內嵌瀏覽器開啟證券公司所提供之下單網頁進行下單。
在使用者操作證券下單應用程式,使得證券下單應用程式呼叫應用程式100後,憑證選擇模組110可以提供選擇目標憑證(步驟210)。在本實施例中,假設憑證選擇模組110可以顯示應用程式100之資料庫中所記錄之所有憑證的清單,藉以提供使用者由清單中選擇目標憑證。
在憑證選擇模組110提供選擇目標憑證(步驟210)後,金鑰存取模組120可以判斷與憑證選擇模組110提供選擇之目標憑證相對應的私鑰是否被指定密碼加密(步驟222)。
若金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰被指定密碼加密,則輸入模組130可以提供輸入指定密碼(步驟230)。在本實施例中,假設輸入模組130可以顯示指定密碼的輸入介面,藉以提供使用者輸入指定密碼。
在使用者透過輸入模組130輸入指定密碼後,解密模組170可以使用被使用者輸入的指定密碼解密與應用程式100之憑證選擇模組110提供選擇的目標憑證對應的私鑰(步驟240),簽章模組180可以使用解密模組170解密後的私鑰進行簽章(步驟250)。在本實施例中,簽章模組180是使用解密後的私鑰對呼叫應用程式100之證券下單應用程式提供使用者輸入之下單資料簽章。
而若金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰不是被指定密碼加密,通常表示與被選擇之目標憑證相對應的私鑰被預設密碼加密,則身份驗證模組150可以透過執行應用程式100之作業系統驗證使用者身分,並判斷使用者身分是否通過驗證(步驟280)。在本實施例中,假設身份驗證模組150可以在應用程式100被安裝後,第一次被執行時,偵測執行應用程式100之作業系統(也就是在計算設備10中運行之作業系統)的系統訊息,藉以判斷執行應用程式100之作業系統是否為可以使用生物特徵辨識使用者身分的版本,若是,則提供使用者選擇使用生物特徵或螢幕鎖定密碼驗證使用者身分。如果使用者選擇使用生物特徵驗證使用者身分,則身份驗證模組150在需要驗證使用者身分時,可以呼叫執行應用程式100之作業系統所提供之生物特徵識別的應用程式介面,使得生物特徵識別的應用程式介面提供使用者輸入指紋或人臉等生物特徵,並辨識被使用者輸入的生物特徵,如此,身份驗證模組150可以依據生物特徵識別的應用程式介面的辨識結果判斷使用者身分是否通過驗證;而若使用者選擇不使用生物特徵驗證使用者身分,或是身份驗證模組150判斷執行應用程式100之作業系統不為可以使用生物特徵辨識使用者身分的版本,則身份驗證模組150在需要驗證使用者身分時,可以呼叫執行應用程式100之作業系統所提供之螢幕解鎖應用程式介面,使得螢幕解鎖應用程式介面提供使用者輸入螢幕解鎖密碼,並判斷被輸入的螢幕解鎖密碼是否正確,如此,身份驗證模組150可以依據螢幕解鎖應用程式介面所判斷的螢幕解鎖密碼正確與否判斷使用者身分是否通過驗證。
若身份驗證模組150判斷使用者身分沒有通過驗證(步驟280),則身份驗證模組150可以結束應用程式100,使得應用程式100拒絕呼叫應用程式100之證券下單應用程式的簽章作業;而若身份驗證模組150判斷使用者身分通過驗證(步驟280),則解密模組170可以使用預設密碼解密與憑證選擇模組110提供選擇的目標憑證對應的私鑰(步驟290),簽章模組180可以使用解密模組170解密後的私鑰進行簽章(步驟250)。在本實施例中,簽章模組180是使用解密後的私鑰對呼叫應用程式100之證券下單應用程式提供使用者輸入之下單資料簽章。
繼續以第二實施例來解說本發明的運作系統與方法,同樣請參照「第2A圖」。在本實施例中,假設使用者使用計算設備10所執行之應用程式100的內嵌瀏覽器開啟報稅網頁並進行報稅作業。在報稅作業的過程中,若需要進行簽章作業時,報稅網頁中的Java Script可以呼叫應用程式100,此時,簽章呼叫單位為提供報稅網頁的國稅局。但本實施例並不以此為限,例如,使用者也可以使用報稅軟體進行報稅作業。
在使用者操作報稅網頁,使得報稅網頁中的Java Script呼叫應用程式100後,憑證選擇模組110可以提供選擇目標憑證(步驟210)。在本實施例中,假設憑證選擇模組110可以顯示應用程式100之資料庫中所記錄之所有憑證的清單,藉以提供使用者由清單中選擇目標憑證。
在憑證選擇模組110提供選擇目標憑證(步驟210)後,金鑰存取模組120可以判斷與憑證選擇模組110提供選擇之目標憑證相對應的私鑰是否被指定密碼加密(步驟222)。
若金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰被指定密碼加密,則輸入模組130可以提供輸入指定密碼(步驟230)。在本實施例中,假設輸入模組130可以顯示指定密碼的輸入介面,藉以提供使用者輸入指定密碼。
在使用者透過輸入模組130輸入指定密碼後,解密模組170可以使用被使用者輸入的指定密碼解密與應用程式100之憑證選擇模組110提供選擇的目標憑證對應的私鑰(步驟240),簽章模組180可以使用解密模組170解密後的私鑰進行簽章(步驟250)。在本實施例中,簽章模組180是使用解密後的私鑰對被使用者輸入到呼叫應用程式100之報稅網頁中的報稅下單資料簽章。
而若金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰不是被指定密碼加密,通常表示與被選擇之目標憑證相對應的私鑰被預設密碼加密,則身份驗證模組150可以驗證使用者身分,並判斷使用者身分是否通過驗證(步驟280)。在本實施例中,假設身份驗證模組150可以偵測執行應用程式100之作業系統(也就是在計算設備10中運行之作業系統)的系統訊息,藉以判斷執行應用程式100之作業系統是否為可以呼叫螢幕解鎖應用程式介面的版本,若是,則身份驗證模組150可以呼叫執行應用程式100之作業系統所提供之螢幕解鎖應用程式介面,使得螢幕解鎖應用程式介面提供使用者輸入螢幕解鎖密碼,並判斷被輸入的螢幕解鎖密碼是否正確,身份驗證模組150可以依據螢幕解鎖應用程式介面的判斷結果判斷使用者身分是否通過驗證;若執行應用程式100之作業系統為無法呼叫螢幕解鎖應用程式介面的版本,則身份驗證模組150可以提示使用者允許應用程式100擁有管理者權限,如果使用者不同意給予應用程式100管理者權限,則身份驗證模組150可以結束應用程式100,使得應用程式100拒絕呼叫應用程式100之報稅網頁的簽章作業,但如果使用者同意給予應用程式100管理者權限,則身份驗證模組150可以關閉螢幕,並判斷使用者是否於預定時間內開啟螢幕且完成螢幕解鎖後回到應用程式100以判斷使用者身分是否通過驗證。
若身份驗證模組150判斷使用者身分沒有通過驗證,也就是螢幕解鎖應用程式介面判斷使用者所輸入的螢幕解鎖密碼錯誤達到預定次數,或是使用者沒有在預定時間內開啟螢幕並完成螢幕解鎖以回到應用程式100,則身份驗證模組150可以結束應用程式100,使得應用程式100拒絕呼叫應用程式100之證券下單應用程式的簽章作業;而若身份驗證模組150判斷使用者身分通過驗證,也就是螢幕解鎖應用程式介面判斷使用者所輸入的螢幕解鎖密碼正確,或是使用者在預定時間內開啟螢幕並完成螢幕解鎖且回到應用程式100,則解密模組170可以使用預設密碼解密與憑證選擇模組110提供選擇的目標憑證對應的私鑰(步驟290),簽章模組180可以使用解密模組170解密後的私鑰進行簽章(步驟250)。在本實施例中,簽章模組180是使用解密後的私鑰對被使用者輸入到呼叫應用程式100之報稅網頁中的報稅下單資料簽章。
如此,在應用程式100執行簽章作業時,本發明可以要求使用要輸入指定密碼、輸入生物特徵、或輸入螢幕解鎖密碼,使得應用程式100可以確認使用者允許進行簽章作業。
上述兩實施例中,金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰不是被指定密碼加密(步驟222)後,金鑰存取模組120可以進一步判斷與被選擇之目標憑證相對應的私鑰是否被預設密碼加密(步驟226)。
另外,在上述兩實施例中,若應用程式100還包含單位判斷模組160,則如「第2B圖」之流程所示,在金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰被預設密碼加密,或是在金鑰存取模組120判斷與被選擇之目標憑證相對應的私鑰不是被指定密碼加密時,單位判斷模組160可以先判斷目標憑證的發放單位與簽章呼叫單位是否相同(步驟260)。若兩者不同,則如上所述,身份驗證模組150可以驗證使用者身分,並判斷使用者身分是否通過驗證(步驟280),解密模組170可以在身份驗證模組150判斷使用者身分通過驗證時,使用預設密碼解密與被選擇的目標憑證對應的私鑰(步驟290);而若單位判斷模組160判斷目標憑證的發放單位與簽章呼叫單位相同,則解密模組170可以直接使用預設密碼解密與被選擇的目標憑證對應的私鑰(步驟290),在此條件下,身份驗證模組150可以不執行,也就是身份驗證模組150可以不判斷使用者身分是否通過驗證。
此外,上述兩實施例中,在身份驗證模組150判斷使用者身分是否通過驗證(步驟280)時,若身份驗證模組150透過呼叫執行應用程式100之作業系統(也就是於計算設備10中運行之作業系統所提供)的螢幕解鎖應用程式介面判斷使用者身分是否通過驗證,則在身份驗證模組150在判斷使用者身分是否通過驗證前,身份驗證模組150可以如「第2C圖」之流程所示,先判斷螢幕鎖定密碼是否被設定(步驟202),若否,則身份驗證模組150可以提示使用者設定螢幕解鎖密碼(步驟206)。例如,身份驗證模組150可以在應用程式100被安裝後,第一次被執行時判斷螢幕鎖定密碼是否被設定(步驟202),但本發明並不以此為限。
綜上所述,可知本發明與先前技術之間的差異在於具有在判斷與被選擇之目標憑證對應的私鑰被預設密碼加密時,先驗證使用者身分,並在使用者身分通過驗證時,再使用預設密碼解密私鑰之技術手段,藉由此一技術手段可以解決先前技術所存在使用者沒有設定憑證之憑證密碼時與憑證對應之私鑰將直接被用來進行數位簽章的問題,進而達成使用者只需記憶手機解鎖密碼不需額外記憶憑證密碼的技術功效。
再者,本發明之於簽章時驗證使用者身分之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
10:計算設備100:應用程式110:憑證選擇模組120:金鑰存取模組130:輸入模組150:身份驗證模組160:單位判斷模組170:解密模組180:簽章模組步驟202:判斷是否已設定螢幕鎖定密碼步驟206:要求設定螢幕解鎖密碼步驟210:提供選擇目標憑證步驟222:判斷與目標憑證對應之私鑰是否被指定密碼加密步驟226:判斷與目標憑證對應之私鑰是否被預設密碼加密步驟230:提供輸入指定密碼步驟240:使用指定密碼解密私鑰步驟250:使用私鑰簽章步驟260:判斷目標憑證之發放單位與簽章呼叫單位是否相同步驟280:判斷使用者身分是否通過驗證步驟290:使用預設密碼解密私鑰
第1圖為本發明所提之於簽章時驗證使用者身分之系統架構圖。 第2A圖為本發明所提之於簽章時驗證使用者身分之方法流程圖。 第2B圖為本發明所提之於簽章時驗證使用者身分之附加方法流程圖。 第2C圖為本發明所提之要求設定螢幕解鎖密碼之方法流程圖。
步驟210:提供選擇目標憑證
步驟222:判斷與目標憑證對應之私鑰是否被指定密碼加密
步驟226:判斷與目標憑證對應之私鑰是否被預設密碼加密
步驟230:提供輸入指定密碼
步驟240:使用指定密碼解密私鑰
步驟250:使用私鑰簽章
步驟280:判斷使用者身分是否通過驗證
步驟290:使用預設密碼解密私鑰
Claims (10)
- 一種於簽章時驗證使用者身分之方法,係應用於一應用程式,該方法至少包含下列步驟: 提供選擇一目標憑證; 判斷與該目標憑證對應之一私鑰被一指定密碼加密時,提供輸入該指定密碼,並使用該指定密碼解密該私鑰後,使用該私鑰簽章;及 判斷該私鑰被一預設密碼加密時,驗證一使用者身分,並於該使用者身分通過驗證時,使用該預設密碼解密該私鑰,並使用該私鑰簽章。
- 如申請專利範圍第1項所述之於簽章時驗證使用者身分之方法,其中該方法於判斷該私鑰使用該預設密碼加密之步驟後,更包含判斷該目標憑證之發放單位與一簽章呼叫單位相同時,使用該預設密碼解密該私鑰,並使用該私鑰簽章之步驟。
- 如申請專利範圍第1項所述之於簽章時驗證使用者身分之方法,其中驗證該使用者身分之步驟為擷取生物特徵以使用生物特徵辨識技術驗證該使用者身分。
- 如申請專利範圍第1項所述之於簽章時驗證使用者身分之方法,其中驗證該使用者身分之步驟為要求輸入螢幕解鎖密碼以驗證使用者身分。
- 如申請專利範圍第4項所述之於簽章時驗證使用者身分之方法,其中該方法於提供該參加單位選擇該目標憑證之步驟前,更包含判斷螢幕解鎖密碼未設定時,要求設定螢幕解鎖密碼之步驟。
- 一種於簽章時驗證使用者身分之系統,係應用於一應用程式中,該系統至少包含: 一憑證選擇模組,用以提供選擇一目標憑證; 一金鑰存取模組,用以判斷與該目標憑證對應之一私鑰是否被一指定密碼或一預設密碼加密; 一輸入模組,用以於該私鑰被該指定密碼加密時,提供輸入該指定密碼; 一身份驗證模組,用以於該私鑰被一預設密碼加密時,驗證一使用者身分; 一解密模組,用以使用該指定密碼解密該私鑰,及用以於該使用者身分通過驗證時,使用該預設密碼解密該私鑰;及 一簽章模組,用以使用該私鑰簽章。
- 如申請專利範圍第6項所述之於簽章時驗證使用者身分之系統,其中該系統更包含一單位判斷模組,用以判斷該目標憑證之發放單位與一簽章呼叫單位是否相同,該解密模組更用以於該目標憑證之發放單位與該簽章呼叫單位相同時,使用該預設密碼解密該私鑰。
- 如申請專利範圍第6項所述之於簽章時驗證使用者身分之系統,其中該身份驗證模組是擷取生物特徵以使用生物特徵辨識技術驗證該使用者身分。
- 如申請專利範圍第6項所述之於簽章時驗證使用者身分之系統,其中該身份驗證模組是要求輸入螢幕解鎖密碼以驗證使用者身分。
- 如申請專利範圍第9項所述之於簽章時驗證使用者身分之系統,其中該身份驗證模組更用以判斷螢幕解鎖密碼未設定時,要求設定螢幕解鎖密碼。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107140100A TWI698823B (zh) | 2018-11-12 | 2018-11-12 | 於簽章時驗證使用者身分之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107140100A TWI698823B (zh) | 2018-11-12 | 2018-11-12 | 於簽章時驗證使用者身分之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202018626A true TW202018626A (zh) | 2020-05-16 |
| TWI698823B TWI698823B (zh) | 2020-07-11 |
Family
ID=71895798
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107140100A TWI698823B (zh) | 2018-11-12 | 2018-11-12 | 於簽章時驗證使用者身分之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI698823B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI769028B (zh) * | 2021-07-27 | 2022-06-21 | 玉山綜合證券股份有限公司 | 證券下單驗證方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201042964A (en) * | 2009-05-18 | 2010-12-01 | Chunghwa Telecom Co Ltd | Mobile phone service system for e-commerce dual identity check |
| TWI705347B (zh) * | 2017-01-19 | 2020-09-21 | 香港商阿里巴巴集團服務有限公司 | 身份認證方法和設備 |
-
2018
- 2018-11-12 TW TW107140100A patent/TWI698823B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| TWI698823B (zh) | 2020-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11088855B2 (en) | System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation | |
| CN110462658B (zh) | 用于提供数字身份记录以核实用户的身份的系统和方法 | |
| JP6239788B2 (ja) | 指紋認証方法、装置、インテリジェント端末及びコンピュータ記憶媒体 | |
| WO2020073513A1 (zh) | 基于区块链的用户认证方法及终端设备 | |
| US20050228993A1 (en) | Method and apparatus for authenticating a user of an electronic system | |
| US20160171199A1 (en) | Method & system for Providing Password-Free, Hardware-rooted, ASIC-Based, Authentication of Human to a Stand-Alone Computing Device Using Biometrics with a Protected Local Template to Release Trusted Credentials to Relying Parties | |
| US9569602B2 (en) | Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device | |
| US11556617B2 (en) | Authentication translation | |
| US10037418B2 (en) | Pre-boot authentication credential sharing system | |
| EP3206329B1 (en) | Security check method, device, terminal and server | |
| CN108335105B (zh) | 数据处理方法及相关设备 | |
| TW202040385A (zh) | 以裝置識別資料透過電信伺服器識別身份之系統及方法 | |
| EP3762843B1 (en) | A one-click login procedure | |
| TWM594186U (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 | |
| US8739277B2 (en) | Process for releasing the access to a computer system or to a program | |
| TWI698823B (zh) | 於簽章時驗證使用者身分之系統及方法 | |
| TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
| TWM580206U (zh) | System for identifying identity through device identification by device identification data | |
| TWM575144U (zh) | A computing device that verifies a password through an operating system for encryption and decryption | |
| TWM576681U (zh) | Computing device for verifying user identity at the time of signature | |
| TWI720738B (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法 | |
| US20220014507A1 (en) | Application module for creating an assured record of a user interaction | |
| TWI777105B (zh) | 身份確認時取得附加資料以執行對應作業之系統及方法 | |
| TWI746920B (zh) | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 | |
| US11681787B1 (en) | Ownership validation for cryptographic asset contracts using irreversibly transformed identity tokens |