TWI666565B - 識別認證系統及其方法 - Google Patents
識別認證系統及其方法 Download PDFInfo
- Publication number
- TWI666565B TWI666565B TW107144109A TW107144109A TWI666565B TW I666565 B TWI666565 B TW I666565B TW 107144109 A TW107144109 A TW 107144109A TW 107144109 A TW107144109 A TW 107144109A TW I666565 B TWI666565 B TW I666565B
- Authority
- TW
- Taiwan
- Prior art keywords
- identity
- identification information
- personal
- identification
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012795 verification Methods 0.000 claims abstract description 65
- 230000008569 process Effects 0.000 abstract description 9
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000007246 mechanism Effects 0.000 abstract description 4
- 238000009434 installation Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/36—User authentication by graphic or iconic representation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/107—License processing; Key processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06K—GRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
- G06K19/00—Record carriers for use with machines and with at least a part designed to carry digital markings
- G06K19/06—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
- G06K19/06009—Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
- G06K19/06046—Constructional details
- G06K19/06112—Constructional details the marking being simulated using a light source, e.g. a barcode shown on a display or a laser beam with time-varying intensity profile
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Optics & Photonics (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
- Time Recorders, Dirve Recorders, Access Control (AREA)
Abstract
本發明提供一種識別認證系統及其方法。本發明實施例提供行動識別證之申請、安裝與驗證流程,並讓使用者之行動裝置成為行動識別證的載具。行動識別證可應用於企業、團體、政府機關內部身份辨識相關服務上,並可使身分識別達到智慧行動化。藉由空中下載機制提供行動識別證。以閘道方式來提供企業行動識別證服務給一家或多家企業。此外,結合動態圖形編碼技術、地理位置、資料金鑰加密與交易時間記錄等技術之優點,可產生圖形編碼來進行身分驗證。因此,利用動態圖形編碼可提供高安全性之身分驗證。
Description
本發明是有關於一種身分認證技術,且特別是有關於一種識別認證系統及其方法。
各企業的有形或無形資產通常是不容許外人輕易取得,因此需要透過嚴謹的識別認證來防範外人竊取。傳統的企業識別證技術主要是以塑膠卡片配合磁條、智慧晶片、文字印刷等方式作為識別證,但塑膠卡片的製作需要一定的製卡成本。而目前智慧行動裝置(例如,智慧型手機、平板電腦等)已接近成為現代人生活中基本配備。例如,虛擬的企業行動識別證安裝於行動裝置上將可實現無卡化,更方便證件管理與解決塑膠卡片的問題。
本發明提供一種識別認證系統及其方法,透過行動裝置動態產生圖形編碼,並結合設備當前位置及當前時間來加強身分驗證,從而確保身分識別安全性。
本發明實施例的識別認證系統,其包括行動裝置、身分讀取裝置及身分驗證伺服器。行動裝置記錄有發行單位識別資訊、個人識別資訊及個人金鑰,透過個人金鑰對發行單位識別資訊、個人識別資訊、行動裝置的當前位置、及第一當前時間編碼以產生身分資料,將身分資料轉換成圖形編碼,並透過顯示螢幕顯示圖形編碼。身分讀取裝置掃描圖形編碼以取得身分資料,並傳送身分資料、身分讀取裝置的當前位置及第二當前時間。個人金鑰可經由個人識別資訊與對應發行單位識別資訊的加解密主金鑰產生。基於個人金鑰對身分資料解密以得出行動裝置的當前位置、及第一當前時間,並依據行動裝置與身分讀取裝置的當前位置之間的差異、及第一當前時間與第二當前時間之間的差異可驗證身分資料是否有效。
本發明實施例的識別認證方法,其包括下列步驟。透過個人金鑰對發行單位識別資訊、個人識別資訊、第一當前位置、及第一當前時間編碼以產生身分資料,將身分資料轉換成圖形編碼,並顯示圖形編碼。掃描圖形編碼以取得身分資料,並傳送身分資料、第二當前位置及第二當前時間。透過個人識別資訊及對應的加解密主金鑰產生個人金鑰。基於個人金鑰對身分資料解密以得出第一當前位置、及第一當前時間。依據第一當前位置與第二當前位置之間的差異、及第一當前時間與第二當前時間之間的差異驗證身分資料是否有效。
基於上述,本發明實施例的識別認證系統及其方法,提供安全與方便的一種動態圖形化證件發行方法,其包括了申請、安裝、動態圖形化證件產生、身分驗證等主要流程。本發明實施例可使用網路服務來提供發行單位所需之圖形化行動識別證,讓發行單位的員工或訪客可以利用行動裝置為識別證載具,以作為企業內活動時所需身分辨識與行政流程相關身份核實用途。此外,結合圖形編碼技術、地理資訊、時間,及金鑰加密資料等技術,來產生高安全性之動態化之行動識別證。透過企業行動識別證申請流程,核准之後,即可使用行動裝置上行動識別證應用程式來實現企業行動識別證服務。
為讓本發明的上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明如下。
圖1是依據本發明一實施例的識別認證系統1的示意圖。請參照圖1,識別認證系統1至少包括但不僅限於行動裝置100、身分讀取裝置110、身分驗證伺服器115、中介閘道120、及一個或更多個管理單位系統130。
行動裝置100可以是智慧型手機、平板電腦、掌上型遊戲機等可攜式裝置,其至少具有通訊模組(支援諸如Wi-Fi、或第三代(3G)或更後世代行動通訊等)、及處理器(例如,CPU、GPU、或特殊應用積體電路(ASIC)等)。行動裝置100裝載並可運行行動識別證應用程式101或其他識別相關軟體。而此行動識別證應用程式101具有使用者介面(UI)以提供諸如識別證申辦、動態產生圖形編碼、顯示、查詢、驗證等相關資訊。
身分讀取裝置110可以是任何類型的一維及/或二維條碼掃描器、相機、讀卡機、無線通訊接收器、或上述裝置之組合。於本發明實施中,身分讀取裝置110至少可透過影像掃描等方式取得透過一維及/或二維條碼形成的圖形編碼。於一些實施例中,身分讀取裝置110可無線或有線地讀取身分驗證載具(圖未示,例如,智慧卡、手機、具有無線射頻辨識(RFID)的物件等)中所記錄的身分資料。此外,於另一些實施例中,身分讀取裝置110可連接門禁、簽核或其他身分驗證設備,並反應於認證結果而據以執行開關出入口、簽核等作業,且端視應用者之實際需求而可自行調整。
身分驗證伺服器115可以是任何類型的伺服器、電腦主機、工作站等裝置,身分驗證伺服器115並連接身分讀取裝置110。中介閘道120可以是閘道設備、路由設備、電腦主機等裝置,並連接身分驗證伺服器115。
管理單位系統130至少包括但不僅限於識別申辦伺服器131、卡片管理伺服器132、及差勤伺服器133。管理單位系統130可應用於諸如企業、公司、商家、政府單位、團體、學校等機關單位。申辦伺服器131、卡片管理伺服器132、及差勤伺服器133可以是任何類型的伺服器、電腦主機、工作站等裝置,其詳細運作後續實施例詳述。需說明的是,於本實施例中,中介閘道120為中介角色,並用於介接身分驗證伺服器115與各獨立管理單位系統130。於一些實施例中,若僅服務一個管理單位系統130,則身分驗證伺服器115可直接介接此管理單位系統130,並可無須透過中介閘道120轉送資料。
為了方便理解本發明實施例的操作流程,以下將舉諸多實施例詳細說明本發明實施例中識別認證系統1之運作流程。下文中,將搭配識別認證系統1中各裝置說明本發明實施例所述之方法。本發明實施例方法的各個流程可依照實施情形而隨之調整,且並不僅限於此。
圖2是依據本發明一實施例的識別認證方法-申請及安裝階段的流程圖。請參照圖2,針對申請流程,其前置作業是使用者端之行動裝置100上需事先安裝行動識別證應用程式101,且此 行動識別證應用程式101運行後可產生諸如QR編碼、通用產品代碼等各類型圖形編碼。行動裝置100或其他連網裝置接收使用者透過網頁電子表單或其他使用者介面提出對於行動識別證的申辦作業(可能提供個人識別資訊(例如,員工編號、身份證字號、護照號碼等)、電話號碼等資訊),且這些申辦作業相關資訊將經由網路並透過中介閘道120轉送到對應管理單位系統130的識別申辦伺服器131 (步驟S201)。
識別申辦伺服器131審查申辦作業相關資訊是否允許(例如,是否為正確的行動識別證應用程式101、符合的硬體設備、合適的申請規格等);若允許則將進行檢核申請資料;若不允許則回傳拒絕相關資訊(步驟S202)。識別申辦伺服器131接著將對接收的申辦作業相關資訊(例如,員工編號、身分證字號、手機門號等)送至卡片管理伺服器132進行檢核,並經由人員資料庫134查詢驗證,以確認申請人是否為機關單位內部成員或允許成員(即,確認申請資格是否符合)(步驟S203)。
若申辦作業相關資訊符合申請資格,則人員資料庫 134將提供對應員工或人員識別證資料(例如,卡次、照片等)給卡片管理伺服器132,並由卡片管理伺服器132產生出企業行動識別證的相關身分資料(步驟S204)。而卡片管理伺服器132會申請資格符合者對應的身分資料記錄或更新到申辦完成白名單中,並將此申辦完成白名單提供給中介閘道120;中介閘道120將轉送申辦完成白名單至身分驗證伺服器115(步驟S205)。
身分驗證伺服器115可依據獲得的申辦完成白名單建立或更新核准白名單,並將申請人對應聯絡資訊(例如,手機門號、市話號碼等)註記為可發行特定機關單位之行動識別證(步驟S206)。 而卡片管理伺服器132亦會被身分驗證伺服器115通知已建立核准白名單並希望提供行動識別證,卡片管理伺服器132即可經由網路或簡訊傳送安裝驗證碼至行動裝置100或其連網裝置(步驟S207)。
針對安裝階段,行動裝置100上所運行的行動識別證應用程式101可提供使用者介面以接收使用者的輸入操作。例如,點選 “新增行動識別證”並輸入手機門號及/或其他個人資訊。使用者輸入的個人資訊將傳送至身分驗證伺服器115,而身分驗證伺服器115即可依據這些資訊來查詢核准白名單中是否有對應的個人資訊(步驟S211)。身分驗證伺服器115例如是利用行動裝置 100之手機號碼或其他個人資訊來認證是否可提供發行行動識別證(步驟S212)。身分驗證伺服器115可透過中介閘道120向對應卡片管理伺服器132取得申請人之員工、會員、成員或訪客識別證資料(例如,發行單位識別資訊、個人識別資訊等)(步驟S213)。身分驗證伺服器115將取得之識別證資料轉換成作為行動識別證的身分資料(例如,發行單位識別資訊、個人識別資訊、個人金鑰等) (步驟S214)。
身分驗證伺服器115利用空中下載(OTA)之方式將提出申辦作業之使用者的行動識別證相關身分資料寫入行動裝置100。而這些行動識別證相關身分資料包括發行單位識別資訊(下文以cID簡稱)、個人識別資訊(例如,識別證識別碼(下文以uID簡稱)、個人資訊(例如,姓名、生日等資訊,下文以cardinfo簡稱)、及/或個人金鑰(下文以uK簡稱)等資料以供後續行動識別使用(步驟S215)。而行動裝置100 內的個人金鑰(uK),將以加密或安全元件方式保護。身分驗證伺服器115可將行動識別證發行完成的訊息通知給中介閘道120,以轉送至卡片管理伺服器132(步驟S216)。卡片管理伺服器132收到發行完成相關訊息後,將依據發出申辦作業之使用者對應的身分資料建立或更新發行完成名單(步驟S217)。
行動識別證應用程式101可連線至中介閘道120,並透過中介閘道120向人員資料庫134或差勤伺服器133取得可呈現於使用者介面的行動識別證外顯資料(例如,差勤紀錄、資產資訊等)(步驟S218)。即,完成安裝階段。
值得注意的是,經完成申請及安裝階段,本發明實施例更提供線上(online)及離線(offline)驗證兩種模式,以下將詳細說明。
圖3是依據本發明一實施例的識別認證方法-線上驗證階段的流程圖。請參照圖3,經由前述圖2實施例的申請及安裝階段,身分驗證伺服器115針對各用戶可記錄有如表(1)的資訊: 表(1)
而身分讀取裝置110記錄有如表(2)的資訊: 表(2)
此外,行動識別證應用程式101記錄有如表(3)的資訊: 表(3)
| 發行單位識別資訊 | cID、加解密主金鑰(下文以cMK簡稱) |
| 身分讀取裝置資訊 | cID, 身分讀取裝置識別碼(下文以rID簡稱), 身分讀取裝置的當前位置(下文以rGPS簡稱) |
| 核准白名單資訊 | cID, 核准白名單 |
| 行動識別證相關身分資料 | cID, uID, cardInfo |
| 身分讀取裝置資訊 | rID, rGPS |
| 發行單位識別資訊 | cID |
| 行動識別證相關身分資料 | uID |
| uK | |
| cardInfo |
以下將搭配使用情境說明:行動識別證應用程式101所用之圖形編碼作為行動識別是為了安全目的而被設為一次性用途。每一次使用於身分驗驗之圖形編碼為一次有效。因此,使用者每次作刷卡時須先於身分讀取裝置110利用行動識別證應用程式101動態產生新的圖形編碼,以作身分辨識之用(步驟S301)。例如,行動識別證應用程式101係透過個人金鑰(uK)對發行單位識別資訊(cID)、個人識別資訊(例如,uID、cardinfo)、行動裝置100的當前位置(下文以uGPS簡稱)、及產生的當前時間(下文以uTime簡稱)加密編碼以產生身分資料(例如,[cID, uID, uGPS, uTime, cardInfo]uK, cID’, uID’],其中cID=cID’且uID=uID’),並將此身分資料轉換成圖形編碼(例如,QR碼、或其他一維或二維條碼),即可透過行動裝置100的顯示螢幕顯示此圖形編碼。
使用者可將顯示有圖形編碼的行動裝置100接近身分讀取裝置110,使身分讀取裝置110可掃描此圖形編碼以取得對應的身分資料,而身分資料中的個人識別資訊(例如,[cID, uID, uGPS, uTime, cardInfo]uK, cID’, uID’]…)、身分讀取裝置110的當前位置(rGPS)、識別碼(rID)及身分讀取裝置110掃描到圖形編碼的當前時間(下文以rTime簡稱)傳送至身分驗證伺服器115(步驟S302)。
身分驗證伺服器115收到身分讀取裝置110所傳送的身分資料及身分讀取裝置110相關資料後,即可進行驗證(步驟S303)。例如,身分驗證伺服器115可依據收到的發行單位識別資訊(例如, cID’)而自查出資料庫內相對應之加解密主金鑰(cMK),即可結合個人識別資訊來產生個人金鑰(uK)(即,cMK與uID’之組合可得出uK)。接著,身分驗證伺服器115可透過產生的個人金鑰(uK)對圖形編碼所夾帶之身分資料解密以得出行動裝置100的當前位置(uGPS)、及當前時間(uTime)、個人識別資訊(uID, cardInfo)及發行單位識別資訊(cID)(即,uK對已編碼的身分資料解碼可得出cID, uID, uGPS, uTime, cardInfo)。身分驗證伺服器115驗證此已解碼的身分資料是否有效。例如,解密後的發行單位識別資訊(cID)及個人識別資訊(uID)是否相同於未編碼的發行單位識別資訊(cID’)、及個人識別資訊(uID’),判斷行動裝置100與身分讀取裝置110的當前時間(uTime, rTime)之間的差異(例如,是否小於有效安全時間(例如,1分鐘、30秒等))、及兩當前位置(uGPS, rGPS)之間的差異(例如,是否小於有效安全範圍(例如,500公尺、100公尺內))。由於產生一次性圖形編碼檢驗需要當次交易紀錄雜湊(Hash)值並比對之前所有交易記錄(例如,Hash值檢驗),以確認行動識別證所提交之身分資料為一次性,且沒有重複使用。
如果行動識別證經身分驗證伺服器115驗證成功,則將記錄以下資訊[cID, uID, rID, rTime, cardInfo]於刷卡紀錄,並記錄每次交易紀錄Hash 值(步驟S304)。身分驗證伺服器115可通知身分讀取裝置110身分資料有效且通過驗證並發送對應之識別證資料(步驟S305),並可將刷卡紀錄經由中介閘道120轉送至對應差勤伺服器133。而身分讀取裝置110收到刷卡成功資訊後,將執行相對需執行之開門(門禁卡機)或顯示刷卡成功(差勤卡機)、及/或其他顯示必要之識別資訊(步驟S306)。
圖4是依據本發明一實施例的識別認證方法-離線驗證階段的流程圖。請參照圖4,經由前述圖2實施例的申請及安裝階段,身分驗證伺服器115針對各用戶可記錄有如表(1)的資訊;身分讀取裝置110記錄有如表(2)的資訊。
為了離線驗證,於身分讀取裝置110處需搭配身分驗證載具103(例如,安控卡(Secure Access Module,SAM)、智慧卡、磁條卡、晶片卡、具備RFID物件等)。身分驗證載具103內會寫入發行單位識別資訊(cID)及相對應之加解密主金鑰(cMK)以供對加密過的部分身分資料解密,即可無須透過身分驗證伺服器115來驗證。此外,行動識別證應用程式101記錄有如表(3)的資訊。
以下將搭配使用情境說明:行動識別證應用程式101首先如同步驟S301產生新的圖形編碼,而此圖形編碼夾帶有部分經個人金鑰(uK)加密及部分未經加密的身分資料(步驟S401)。使用者可將顯示有圖形編碼的行動裝置100接近身分讀取裝置110,使身分讀取裝置110可掃描此圖形編碼以取得對應的身分資料,而身分讀取裝置110的當前位置(rGPS)、識別碼(rID)、及身分讀取裝置110掃描到圖形編碼的當前時間(rTime)將被記錄(步驟S402)。使用者可在步驟S402將呈現圖形編碼的行動裝置100供身分讀取裝置110讀取,以取得個人識別資訊(cID’, uID’)。
身分讀取裝置110收到取得身分資料及身分讀取裝置110相關資料後,即可進行驗證(步驟S403)。例如,身分讀取裝置110可利用身分驗證載具103所記錄並對應於由圖形編碼所夾帶的發行單位識別資訊(例如,cID’)來取得加解密主金鑰(cMK),並依據收到的個人識別資訊(例如,uID’)及對應發行單位識別資訊(例如,cID’)的加解密主金鑰(cMK),來產生個人金鑰(uK)。接著,身分讀取裝置110可透過產生的個人金鑰(uK)對圖形編碼所夾帶之身分資料解密以得出行動裝置100的當前位置(uGPS)、及當前時間(uTime)、個人識別資訊(uID, cardInfo)及發行單位識別資訊(cID)。身分讀取裝置110驗證此已解碼的身分資料是否有效。例如,解密後的發行單位識別資訊(cID)及個人識別資訊(uID)是否相同於未加密的發行單位識別資訊(cID’)、及個人識別資訊(uID’),判斷行動裝置100與身分讀取裝置110的當前位置(uGPS, rGPS)之間的差異(例如,是否小於有效安全範圍(例如,500公尺、100公尺內))、及兩當前時間(uTime, rTime)之間的差異(例如,是否小於有效安全時間(例如,1分鐘、30秒等))。
如果行動識別證經身分讀取裝置110驗證成功,則身分讀取裝置110將記錄以下資訊[cID, uID, rID, rTime, cardInfo]於刷卡記錄。此外,身分讀取裝置110可執行相對需執行之開門(門禁卡機)或顯示刷卡成功(差勤卡機)、及/或其他顯示必要之識別資訊。
綜上所述,本發明實施例的識別認證系統及其方法,提供安全與方便的一種動態圖形化證件發行方法,其包括了申請、安裝、動態圖形化證件產生、身分驗證等主要流程。透過提供高安全性企業行動識別證之圖形編碼產生機制,以確保只有合法之身分讀取裝置有能力可掃描及解析圖形編碼所夾帶之身分資料。本發明實施例讓企業之員工/訪客用戶,進行申請、及透過行動裝置來下載、安裝行動識別證。使用者使用行動裝置之行動識別證應用程式,即可動態更新具高安全性之行動識別證圖形編碼。而由於採用資料加密機制及地理資訊、及交易時間查核機制,所以本發明實施例提供之行動識別適宜用於需具有機密與安全要求之企業內用。
由於本發明實施例會使用獨一的個人金鑰加密以產生加密的身分資料 ,所以可確保防止任意掃描圖形編碼即可讀出待驗證之身分的問題發生,且惟有合法驗證設備或系統才能產生解密金鑰來解密待驗證之身份資料。
本發明實施例利用行動識別證之公司識別資訊、使用者識別資訊、識別證資訊、刷卡時行動裝置地理資訊及時間因素,獨一的個人金鑰加密以產生加密的身分資料。因此,驗證端除了要解密以驗證公司識別資訊、使用者識別資訊、及識別證資訊,還需進行比對行動識別證刷卡時行動裝置當前位置及時間是否落於設定之安全條件內,以判定是否為有效之刷卡行為。如此嚴謹的流程主要是為了避免圖形編碼遭盜拷以冒用事宜。
本發明實施例提供了線上及離線驗證模式:針對線上驗證,對行動識別證之圖形編碼掃描,企業之身分讀取裝置掃描圖形編碼即會進行解析待驗證之身分資料。接著,身分讀取裝置會將加密的身分資料加上身份讀取裝置相關資料(例如,識別碼、當前位置、掃描時間)經由網路傳送至後端系統,以進行識別證身分驗證程序。針對離線驗證,身分讀取裝置可搭配身分驗證載具(而此身分驗證載具需事先寫入公司識別資訊及其對應之加解密主金鑰(cMK);待對行動識別證之圖形編碼掃描,即可解析出待驗證之身分資料。接著,身分讀取裝置依據身分資料及其身分驗證載具所記錄的對應之加解密主金鑰(cMK)內容,算出解密所用之個人金鑰,即可依據此個人金鑰進行後續識別證身分驗證程序。
本發明實施例提供的行動識別證將為一次性有效。也就是說,每次驗證交易後,行動裝置安裝上的行動識別證之圖形編碼就無效。因此,使用者下此使用行動識別證時必須使用對應應用程式更新行動識別證之圖形編碼,而此新的圖形編碼才可作身分驗證,否則會判定無效。
雖然本發明已以實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明的精神和範圍內,當可作些許的更動與潤飾,故本發明的保護範圍當視後附的申請專利範圍所界定者為準。
1‧‧‧識別認證系統
100‧‧‧行動裝置
101‧‧‧行動識別證應用程式
103‧‧‧身分驗證載具
110‧‧‧身分讀取裝置
115‧‧‧身分驗證伺服器
120‧‧‧中介閘道
130‧‧‧管理單位系統
131‧‧‧識別申辦伺服器
132‧‧‧卡片管理伺服器
133‧‧‧差勤伺服器
134‧‧‧人員資料庫
S201~S218、S301~S306、S401~S403‧‧‧步驟
圖1是依據本發明一實施例的識別認證系統的示意圖。 圖2是依據本發明一實施例的識別認證方法-申請及安裝階段的流程圖。 圖3是依據本發明一實施例的識別認證方法-線上驗證階段的流程圖。 圖4是依據本發明一實施例的識別認證方法-離線驗證階段的流程圖。
Claims (10)
- 一種識別認證系統,包括: 一行動裝置,記錄有一發行單位識別資訊、一個人識別資訊及一個人金鑰,透過該個人金鑰對該發行單位識別資訊、該個人識別資訊、該行動裝置的當前位置、及一第一當前時間編碼以產生一身分資料,將該身分資料轉換成一圖形編碼,並透過一顯示螢幕顯示該圖形編碼; 一身分讀取裝置,掃描該圖形編碼以取得該身分資料,並傳送該身分資料、該身分讀取裝置的當前位置及一第二當前時間,其中 該個人金鑰是經由該個人識別資訊與對應該發行單位識別資訊的加解密主金鑰產生,基於該個人金鑰對該身分資料解密以得出該行動裝置的當前位置、及該第一當前時間,並依據該行動裝置與該身分讀取裝置的當前位置之間的差異、及該第一當前時間與該第二當前時間之間的差異驗證該身分資料是否有效。
- 如申請專利範圍第1項所述的識別認證系統,其中該身分資料更包括未加密的該發行單位識別資訊、及該個人識別資訊,而解密後的該發行單位識別資訊及該個人識別資訊更經判斷是否相同於未加密的該發行單位識別資訊、及該個人識別資訊,以驗證該身分資料是否有效。
- 如申請專利範圍第1項所述的識別認證系統,更包括: 一身分驗證載具,記錄有該發行單位識別資訊及其對應之該加解密主金鑰,其中該身分讀取裝置依據該個人識別資訊及所取得之該身分驗證載具所記錄相對於該發行單位識別資訊的該加解密主金鑰產生該個人金鑰;或者 一身分驗證伺服器,依據該發行單位識別資訊而自資料庫取得該加解密主金鑰,並依據該個人識別資訊及該加解密主金鑰產生該個人金鑰。
- 如申請專利範圍第1項所述的識別認證系統,更包括: 一識別申辦伺服器,接收該行動裝置經由網路提出的申辦作業,並透過空中下載將該身分資料寫入該申辦作業對應的該發行單位識別資訊、該個人識別資訊及該個人金鑰至該行動裝置;以及 一差勤伺服器,反應於該身分資料有效,將該發行單位識別資訊、該個人識別資訊、該身分讀取裝置的識別資訊、及該第二當前時間記錄於該個人識別資訊對應的刷卡紀錄。
- 如申請專利範圍第4項所述的識別認證系統,更包括: 多個管理單位系統,每一該管理單位系統包括該識別申辦伺服器及該差勤伺服器中的至少一者;以及 一中介閘道,將來自該身分驗證伺服器的資料轉送至該些管理單位系統中的一者。
- 一種識別認證方法,包括: 透過一個人金鑰對一發行單位識別資訊、一個人識別資訊、一第一當前位置、及一第一當前時間編碼以產生一身分資料,將該身分資料轉換成一圖形編碼,並顯示該圖形編碼; 掃描該圖形編碼以取得該身分資料,並傳送該身分資料、一第二當前位置及一第二當前時間; 透過該個人識別資訊及對應的加解密主金鑰產生該個人金鑰; 基於該個人金鑰對該身分資料解密以得出該第一當前位置、及該第一當前時間;以及 依據該第一當前位置與該第二當前位置之間的差異、及該第一當前時間與該第二當前時間之間的差異驗證該身分資料是否有效。
- 如申請專利範圍第6項所述的識別認證方法,其中該身分資料更包括未加密的該發行單位識別資訊、及該個人識別資訊,而驗證該身分資料是否有效的步驟更包括: 判斷解密後的該發行單位識別資訊及該個人識別資訊是否相同於未加密的該發行單位識別資訊、及該個人識別資訊,以驗證該身分資料是否有效。
- 如申請專利範圍第6項所述的識別認證方法,其中掃描該圖形編碼以取得該身分資料的步驟包括: 利用一身分驗證載具產生該加解密主金鑰,而基於該個人金鑰對該身分資料解密的步驟包括: 依據該個人識別資訊及該身分驗證載具所記錄的對應該發行單位識別資訊的該加解密主金鑰來產生該個人金鑰。
- 如申請專利範圍第6項所述的識別認證方法,其中產生該身分資料的步驟之前,更包括: 接收經由網路提出的申辦作業;以及 透過空中下載將該身分資料寫入該申辦作業對應的該發行單位識別資訊、該個人識別資訊及該個人金鑰;而驗證該身分資料是否有效的步驟之後: 反應於該身分資料有效,將該發行單位識別資訊、該個人識別資訊、該身分讀取裝置的識別資訊、及該第二當前時間記錄於該個人識別資訊對應的刷卡紀錄。
- 如申請專利範圍第6項所述的識別認證方法,更包括: 透過一中介閘道轉送該身分資料的驗證結果給對應的管理單位系統。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107144109A TWI666565B (zh) | 2018-12-07 | 2018-12-07 | 識別認證系統及其方法 |
| US16/703,819 US11321439B2 (en) | 2018-12-07 | 2019-12-04 | Identity authentication system and method thereof |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW107144109A TWI666565B (zh) | 2018-12-07 | 2018-12-07 | 識別認證系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI666565B true TWI666565B (zh) | 2019-07-21 |
| TW202022663A TW202022663A (zh) | 2020-06-16 |
Family
ID=68049353
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW107144109A TWI666565B (zh) | 2018-12-07 | 2018-12-07 | 識別認證系統及其方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US11321439B2 (zh) |
| TW (1) | TWI666565B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI791905B (zh) * | 2019-10-08 | 2023-02-11 | 中華電信股份有限公司 | 基於代碼化技術的認證存取系統及方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113313224B (zh) * | 2021-06-02 | 2022-06-28 | 哈尔滨华泽数码科技有限公司 | 一种用于政务服务的办件码的生成系统及生成方法 |
| WO2023273251A1 (zh) * | 2021-06-30 | 2023-01-05 | 上海擎感智能科技有限公司 | 行动轨迹数据的处理方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9037111B2 (en) * | 2012-07-30 | 2015-05-19 | Ncr Corporation | Location aware authentication techniques |
| CN104836662A (zh) * | 2015-01-27 | 2015-08-12 | 北京中油瑞飞信息技术有限责任公司 | 一种统一身份认证系统 |
| CN106296160A (zh) * | 2015-05-12 | 2017-01-04 | 广州杰赛科技股份有限公司 | 一种位置关联的信息获取及认证方法 |
| TW201710945A (zh) * | 2015-07-20 | 2017-03-16 | 諾特瑞茲有限公司 | 電子簽章通信期之驗證出處的系統及方法 |
| US9754255B1 (en) * | 2012-04-13 | 2017-09-05 | Maxim Integrated Products, Inc. | Geo-location based authentication in a mobile point-of-sale terminal |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7062471B1 (en) * | 1999-06-07 | 2006-06-13 | Nippon Telegraph And Telephone Corporation | Electronic rights information processing system, method and apparatus for carrying out same and recorded medium for program carrying out the method |
| CN1889123A (zh) | 2006-06-07 | 2007-01-03 | 李振宇 | 二维条码实名 |
| US20160027042A1 (en) | 2009-11-17 | 2016-01-28 | Thomas W. Heeter | Electronic brand authentication method using scannable codes |
| CA2823733C (en) | 2011-01-14 | 2019-06-11 | Flash Seats, Llc | Mobile application bar code identification method and system |
| TW201329873A (zh) | 2012-01-13 | 2013-07-16 | Oriental Inst Technology | 二維條碼產生方法、身分驗證方法及門禁系統 |
| US8966653B2 (en) * | 2012-04-20 | 2015-02-24 | Adobe Systems Incorporated | Method and apparatus for provisioning a mobile application |
| TWI529641B (zh) | 2014-07-17 | 2016-04-11 | 捷碼數位科技股份有限公司 | 驗證行動端動態顯示之資料之系統及其方法 |
| TWI536293B (zh) | 2014-10-21 | 2016-06-01 | Chunghwa Telecom Co Ltd | Member Registration and Usage Method Based on NFC Technology and Its System |
| US20170084097A1 (en) | 2015-09-18 | 2017-03-23 | Markis Janis | Key Card Replacement App |
| WO2017189820A1 (en) * | 2016-04-27 | 2017-11-02 | Cubic Corporation | 4d barcode |
| WO2017218984A1 (en) * | 2016-06-16 | 2017-12-21 | The Bank Of New York Mellon | Ensuring data integrity of executed transactions |
| TWI592876B (zh) | 2016-07-25 | 2017-07-21 | 國立成功大學 | 行動裝置、驗證裝置及其驗證方法 |
| TW201814606A (zh) | 2016-10-14 | 2018-04-16 | 何駿逸 | 使用現代圖碼技術於行動商務平台上應用,透過行動裝置作為身分識別及行動商務支付活動的方法 |
| US20180130025A1 (en) | 2016-11-04 | 2018-05-10 | Michael Kampouris | Process and system for time management for employees |
| US11212105B2 (en) * | 2017-03-23 | 2021-12-28 | Moovel North America, Llc | Systems and methods of providing and validating digital tickets |
| US11212100B2 (en) * | 2017-03-23 | 2021-12-28 | Moovel North America, Llc | Systems and methods of providing and electronically validating tickets and tokens |
-
2018
- 2018-12-07 TW TW107144109A patent/TWI666565B/zh active
-
2019
- 2019-12-04 US US16/703,819 patent/US11321439B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9754255B1 (en) * | 2012-04-13 | 2017-09-05 | Maxim Integrated Products, Inc. | Geo-location based authentication in a mobile point-of-sale terminal |
| US9037111B2 (en) * | 2012-07-30 | 2015-05-19 | Ncr Corporation | Location aware authentication techniques |
| CN104836662A (zh) * | 2015-01-27 | 2015-08-12 | 北京中油瑞飞信息技术有限责任公司 | 一种统一身份认证系统 |
| CN106296160A (zh) * | 2015-05-12 | 2017-01-04 | 广州杰赛科技股份有限公司 | 一种位置关联的信息获取及认证方法 |
| TW201710945A (zh) * | 2015-07-20 | 2017-03-16 | 諾特瑞茲有限公司 | 電子簽章通信期之驗證出處的系統及方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI791905B (zh) * | 2019-10-08 | 2023-02-11 | 中華電信股份有限公司 | 基於代碼化技術的認證存取系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200184061A1 (en) | 2020-06-11 |
| US11321439B2 (en) | 2022-05-03 |
| TW202022663A (zh) | 2020-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11671267B2 (en) | System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation | |
| US11664997B2 (en) | Authentication in ubiquitous environment | |
| TWI697842B (zh) | 二維條碼的處理方法、裝置及系統 | |
| US20210243029A1 (en) | Biometric verification process using certification token | |
| US20140351596A1 (en) | Method, system and apparatus for authenticating user identity | |
| US10439813B2 (en) | Authentication and fraud prevention architecture | |
| JP4341607B2 (ja) | 記憶媒体発行方法 | |
| US20130226813A1 (en) | Cyberspace Identification Trust Authority (CITA) System and Method | |
| CN111742314B (zh) | 便携式装置上的生物计量传感器 | |
| KR20060125835A (ko) | 모바일 단말기를 이용하여 전자 트랜잭션을 수행하기 위한방법 및 시스템 | |
| CN106688004A (zh) | 一种交易认证方法、装置、移动终端、pos终端及服务器 | |
| TWI666565B (zh) | 識別認證系統及其方法 | |
| CN112823368A (zh) | 通过云生物特征标识和认证实现的令牌化非接触式交易 | |
| US20090077382A1 (en) | Method for the preparation of a chip card for electronic signature services | |
| CN115315924A (zh) | 使用移动装置在访问控制服务器处进行用户认证 | |
| KR20000012607A (ko) | 무선단말기를 이용한 인증시스템 | |
| KR100598573B1 (ko) | 스마트카드를 이용한 일회용 카드정보 생성 및 인증방법그리고 이를 위한 시스템 | |
| KR101078705B1 (ko) | 문자보안 서비스 시스템 및 그 이용방법 | |
| JP2020046925A (ja) | 認証システム | |
| KR101285362B1 (ko) | 전자서명 인증 시스템 | |
| KR20110029032A (ko) | 공인 인증서 발급처리 방법 및 시스템과 이를 위한 단말 및 기록매체 | |
| CN116868217A (zh) | 非接触式递送系统和方法 | |
| US20200204377A1 (en) | Digital notarization station that uses a biometric identification service | |
| KR100729183B1 (ko) | 카드 사용 권한을 확인하는 방법 | |
| KR20140043990A (ko) | 전자위임장 시스템 및 그 방법 |