TWI745015B - 身分認證時產生授權內容以供交易前檢核之系統及方法 - Google Patents
身分認證時產生授權內容以供交易前檢核之系統及方法 Download PDFInfo
- Publication number
- TWI745015B TWI745015B TW109127121A TW109127121A TWI745015B TW I745015 B TWI745015 B TW I745015B TW 109127121 A TW109127121 A TW 109127121A TW 109127121 A TW109127121 A TW 109127121A TW I745015 B TWI745015 B TW I745015B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- authorization
- data
- transaction
- service program
- Prior art date
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一種身分認證時產生授權內容以供交易前檢核之系統及方法,其透過在認證伺服器依據服務程式將執行之功能服務與服務程式所傳送之使用者裝置的設備資訊決定授權機制,並使用授權機制要求使用者端進行身分認證時產生授權內容後,服務程式透過資源伺服器進行交易作業前,由資源伺服器先判斷交易資料是否符合授權內容之技術手段,可以滿足金融業使用開放授權之需求,並達成平衡方便性與安全性並降低交易風險的技術功效。
Description
一種授權檢核系統及其方法,特別係指一種身分認證時產生授權內容以供交易前檢核之系統及方法。
開放授權(OAuth)是一個開放的標準。支援開放授權的服務提供者可以允許使用者授權第三方程式或伺服器使用存取令牌(access token)而非使用使用者帳號密碼在特定的時段(如接下來的數小時內)存取使用者存放在服務提供者中的特定資料。
隨著與金融科技(Fintech)的技術發展及相關法規鬆綁,除了提供資料儲存服務的服務提供者支援開放授權之外,銀行等金融業所提供的數位帳戶服務也將支援開放授權。
在現有開放授權的機制中,不論第三方程式/伺服器所請求存取的資料為何,服務提供者都是要求使用者以相同的方式進行身分認證,例如輸入帳號密碼或生物特徵(如指紋或人臉)等,並在使用者通過身分認證後產生存取令牌,使得第三方程式/伺服器可以使用存取令牌在特定的時段存取所要存取的資料。
然而,現有開放授權的機制並無法讓金融業者所提供的服務都有足夠的方便性與安全性。更詳細的說,對金融業者而言,風險較低的交易(如查詢餘額或交易明細)可以優先選擇較為方便的機制進行身分認證,而風險較高的交易(如轉帳/付款的交易)需要優先選擇較為安全的機制進行身分認證,因此,此兩種交易並不適合以相同的方式進行身分認證。也就是說,若轉帳/付款的交易與查詢的交易都使用較為方便的方式進行身分認證,則轉帳/付款之交易的安全性將會降低,造成金融業者與使用者的困擾;而若查詢的交易使用與轉帳/付款之交易相同的方式進行身分認證,則方便性將會降低,同樣會造成使用者的困擾。
另外,現有的開放授權機制也無法讓使用者定義授權的內容,使用者只能選擇允許或不允許第三方程式/伺服器存取資料。但對金融業者而言,並非只有可以存取資料或不可以存取資料兩種情況,還需要可以對交易做出限制,例如,需要限制交易的帳戶、交易金額的上限、交易的對象等,否則將增加金融業者與使用者的交易風險。
綜上所述,可知先前技術中長期以來一直存在開放授權無法滿足金融科技之使用需求的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在開放授權無法滿足金融科技之使用需求的問題,本發明遂揭露一種身分認證時產生授權內容以供交易前檢核之系統及方法,其中:
本發明所揭露之身分認證時產生授權內容以供交易前檢核之系統,至少包含:使用者端;使用者裝置;服務程式,執行於使用者裝置上,提供功能服務,用以於使用者端觸發服務程式執行功能服務時產生授權請求及交易資料,授權請求包含使用者裝置之設備資訊;認證伺服器,用以接收授權請求,並決定與授權請求對應之授權機制,及依據授權機制向使用者端要求身分認證,使使用者端於使用者裝置上產生身分認證資料及授權資料,及用以接收使用者裝置所傳送之身分認證資料及授權資料,並依據身分認證資料判斷使用者端通過身分認證後,依據授權資料產生授權內容,並產生與授權內容對應之存取令牌,及傳送存取令牌至服務程式;資源伺服器,用以接收服務程式所傳送之存取令牌及交易資料,並依據存取令牌至認證伺服器取得授權內容,及用以判斷交易資料符合授權內容時,執行交易作業。
本發明所揭露之身分認證時產生授權內容以供交易前檢核之方法,其步驟至少包括:使用者端觸發服務程式執行服務程式所提供之功能服務;服務程式傳送授權請求至認證伺服器,授權請求包含執行服務程式之使用者裝置之設備資訊;認證伺服器決定與設備資訊對應之授權機制;認證伺服器依據授權機制向使用者端要求身分認證,使使用者端於設算設備上產生相對應之身分認證資料及授權資料,並由使用者裝置傳送身分認證資料及授權資料至認證伺服器;認證伺服器依據身分認證資料判斷使用者端通過身分認證後,依據授權資料產生授權內容;認證伺服器產生與授權內容對應之存取令牌,並傳送存取令牌至服務程式;服務程式傳送存取令牌及與功能服務對應之交易資料至資源伺服器;資源伺服器依據存取令牌至認證伺服器取得授權內容;資源伺服器判斷交易資料符合授權內容時,執行交易作業。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過認證伺服器依據接服務程式將執行之功能服務與服務程式所傳送之使用者裝置的設備資訊決定授權機制,並使用授權機制要求使用者端進行身分認證時產生授權內容後,在服務程式透過資源伺服器進行交易作業前,由資源伺服器先判斷交易資料是否符合授權內容,藉以解決先前技術所存在的問題,並可以達成平衡方便性與安全性並降低交易風險的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以在第三方的服務程式透過開放授權(OAuth)提供功能服務時,認證伺服器可以在授權過程中產生授權內容,藉以使資源伺服器在進行交易作業前先判斷交易資料是否與授權內容相符。其中,授權內容可以是使用者所允許進行交易的限制,例如,可交易的帳戶、可交易的上限等;另外,認證伺服器與資源伺服器通常可以是計算設備。
本發明所提之計算設備包含但不限於一個或多個處理器、一條或多條記憶體、以及連接不同元件(包括記憶體和處理器)的匯流排等元件。透過所包含之多個元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行,也可以執行軟體或程式。另外,計算設備也包含一個外殼,上述之各個元件設置於外殼內。
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。
本發明所提之計算設備的處理器與匯流排耦接。處理器包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。處理器可以解釋一連串的多個指令以進行特定的運算或操作,例如,數學運算、邏輯運算、資料比對、複製/移動資料等,藉以運行作業系統或執行各種程式、模組、及/或元件。
計算設備的處理器可以與晶片組(圖中未示)耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體和大容量儲存區中的資料。上述之記憶體包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟片、隨身碟(快閃記憶體)、記憶卡(memory card)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器(圖中未示)等周邊裝置或介面連接並通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G/5G等行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路裝置、非同步傳輸模式(ATM)裝置、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠透過各種周邊裝置與介面進行資料的輸入與輸出,也能夠與具有上面描述之元件的另一個計算設備進行通訊。
以下先以「第1圖」本發明所提之身分認證時產生授權內容以供交易前檢核之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有使用者端101、使用者裝置110、服務程式111、認證伺服器130、資源伺服器150。服務程式111可以在使用者裝置110上執行;使用者端101可以是使用者裝置110的使用者本人,也可以是能夠在使用者裝置110上執行之使用者的代理程式(User Agent)。其中,使用者裝置110、認證伺服器130、資源伺服器150都可以是計算設備。
使用者裝置110可以透過有線網路或無線網路與認證伺服器130及資源伺服器150連接,並可以接收認證伺服器130/資源伺服器150所傳送的資料或訊號,也可以傳送資料或訊號給認證伺服器130/資源伺服器150。
使用者裝置110可以接收認證伺服器130所傳送的認證程式或認證指令。當使用者裝置110接收到認證程式時,可以執行所接收到的認證程式以使使用者端101進行身分認證,例如:使用認證程式進行身分認證或由認證程式喚起作業系統內建或預先安裝之特定的身分認證程式以進行身分認證;而當使用者裝置110接收到認證指令時,可以讓使用者端101進行與認證指令對應的身分認證,例如:喚起作業系統內建或預先安裝之與認證指令對應的身分認證程式以進行身分認證。但執行認證程式以使使用者端101進行身分認證的方式並不以上述為限。
使用者裝置110也可以在提供使用者端101進行身分認證時產生身分認證資料,並可以將所產生的身分認證資料傳送給認證伺服器130。使用者端101進行身分認證的方式為使用者端101可以在使用者裝置110上輸入帳號密碼,使用者裝置110可以對被輸入的帳號密碼進行驗證,並可以在驗證後產生做為身分認證資料的驗證結果;使用者端101也可以在使用者裝置110上輸入生物特徵,使用者裝置110可以對被輸入的生物特徵進行驗證並產生驗證結果以做為身分認證資料,並可以產生驗證結果以做為身分認證資料;使用者端101還可以在使用者裝置110上輸入與使用者裝置110連接之晶片卡的密碼,使用者裝置110可以透過晶片卡對晶片卡進行驗證以產生做為身分認證資料的驗證結果。但使用者端101進行身分確認的方式及產生身分認證資料的方式均不以上述為限。其中,上述之晶片卡包含但不限於金融卡、自然人憑證、健保卡等。
使用者裝置110也可以在提供使用者端101進行身分認證時輸入授權資料,並可以將所產生的授權資料傳送給認證伺服器130。上述之授權資料包含但不限於允許交易的帳戶、允許交易的金額上限、允許交易的對象等。
服務程式111可以提供一個或多個功能服務。服務程式所提供之功能服務包含但不限於餘額查詢、交易明細查詢、轉帳或付款等。
服務程式111所提供的功能服務可以在使用者端101觸發後被執行。更詳細的,若使用者端101為使用者,則使用者可以操作使用者裝置110點選或選取服務程式111所顯示之使用者介面中表示功能服務的文字及/或圖示以執行相對應的功能服務;而若使用者端101為代理程式,使用者端101可以透過呼叫服務程式111所提供之功能服務以執行被呼叫的功能服務。但使用者端101觸發功能服務執行的方式並不以上述為限。
服務程式111可以先判斷被觸發的功能服務是否需要獲得授權,若否,則服務程式111可以在功能服務被觸發後執行被觸發的功能服務;而若使用者端101觸發的功能服務需要獲得授權,則服務程式111負責向認證伺服器130請求授權。
一般而言,服務程式111可以產生授權請求,並將所產生的授權請求傳送給認證伺服器130,但服務程式111向認證伺服器130請求授權的方式並不以上述為限。其中,服務程式111所產生的授權請求可以包含使用者裝置110的設備資訊,上述之設備資訊包含但不限於服務程式的名稱/代號、服務程式的版本訊息、執行服務程式之作業系統的名稱/代號、作業系統的版本訊息、使用者裝置的名稱/代號、使用者裝置的版本訊息等。
服務程式111也負責接收認證伺服器130所傳送的存取令牌(access token)。服務程式111可能在向認證伺服器130請求授權後便接收到認證伺服器130所傳回的存取令牌,但一般而言,為了提高安全性,服務程式111在向認證伺服器130請求授權後,通常不會直接接收到存取令牌,而是先接收到認證伺服器130所傳送的存取認證資料,服務程式111可以再將存取認證資料傳送給認證伺服器130,並接收認證伺服器130所傳回的存取令牌。其中,存取令牌及存取認證資料將於稍後進一步說明。
服務程式111也負責產生與使用者端101所觸發之功能服務對應的交易資料,並負責將接收自認證伺服器130的存取令牌及所產生的交易資料傳送到資源伺服器150。舉例來說,交易資料包含與被觸發之功能服務對應的識別碼及被觸發之功能服務所需要的資料,更詳細的,當功能服務為轉帳或付款時,交易資料可以包含表示交易為轉帳/付款之識別碼、轉出/付款帳號、轉入/收款帳號、轉帳/交易金額等;而當功能服務為餘額查詢或交易明細查詢時,交易資料可以包含表示交易為餘額/交易明細查詢之識別碼、查詢帳號、查詢區間等,但本發明並不以此為限。
服務程式111也可以接收資源伺服器150所傳送的交易結果,並依據所接收到的交易結果產生執行結果,及可以顯示所產生的執行結果。例如,交易結果表示交易成功/失敗時,服務程式111可以產生並顯示能夠讓使用者理解為交易成功/失敗的訊息。
認證伺服器130可以透過有線或無線網路與使用者裝置110及資源伺服器150連接,並可以接收使用者裝置110(服務程式111)/資源伺服器150所傳送的資料或訊號,也可以傳送資料或訊號給使用者裝置110(服務程式111)/資源伺服器150。
認證伺服器130負責決定能夠讓使用者端101授權的授權機制,並負責產生給服務程式111使用的存取令牌。其中,認證伺服器130更可以包含認證模組131及授權模組133。
認證模組131負責決定授權機制。認證模組131所決定的授權機制與請求授權中之使用者裝置110的設備資訊相對應,通常亦與被使用者端101觸發執行的功能服務相關聯。認證模組131所決定之授權機制包含進行身分認證的方式,例如,以存留於使用者端101的帳號密碼或生物特徵 、輸入透過讀卡機(圖中未示)與使用者裝置110連接之晶片卡(圖中未示)的密碼等方式進行身分認證,但本發明並不以此為限。其中,隨著被觸發執行之功能服務所伴隨的風險越高,相對應之授權機制中進行身分認證的強度也越強,例如,當功能服務為餘額查詢或交易明細查詢時,只需要以帳戶密碼或生物特徵進行身分認證;當功能服務轉帳或交易時,需要以晶片卡進行身分認證等。
一般而言,認證模組131可以提供與服務程式111中之各個功能服務對應的應用程式介面(API),並可以定義每一個應用程式介面所對應的一個或多個服務範圍(Scope),且與相同之應用程式介面對應的每一個服務範圍亦與特定的計算設備對應,另外,每一個服務範圍中都還記錄了相關的授權機制。如此,認證模組131可以依據被服務程式111呼叫之應用程式介面選擇對應的服務範圍,並由選出的服務範圍中再次選擇與使用者裝置110之設備資訊相符者,藉以決定使用最後被選出之服務範圍中的授權機制。但認證模組131選出服務範圍的方式並不以上述為限,例如,認證模組131也可以依據服務程式111所傳送之被執行之功能服務的功能識別資料選出相對應的服務範圍。
認證模組131可以依據所決定的授權機制向使用者端101要求身分認證。舉例來說,認證模組131可以執行與所決定之授權機制對應的認證程式,及/或可以傳送相對應的認證程式或認證指令給使用者裝置110,藉以讓使用者端101在使用者裝置110上進行身分認證。
授權模組133也負責接收使用者端101進行身分認證時所產生的身分認證資料,若使用者端101進行身分認證時也產生授權資料,則授權模組133也可以接收授權資料。
授權模組133也負責在依據接收自使用者端101的身分認證資料判斷使用者通過身分認證後,依據接收自使用者端101的授權資料產生授權內容。其中,授權內容可以記錄授權資料所包含的內容,也就是表示使用者所允許之交易帳戶、金額上限、交易對象等。
授權模組133也負責產生與所產生之授權內容對應的存取令牌。授權模組133所產生的存取令牌可以由預定數量的字母、數字、符號任意排列而成,授權模組133也可以對授權內容進行特定運算而產生存取令牌,例如對授權內容進行雜湊運算或取出授權內容中之隨機或預定位置的字符做為存取令牌等,但本發明並不以此為限。另外,授權模組133也可以產生包含授權內容的存取令牌。
授權模組133也負責將所產生的存取令牌傳送給服務程式111。在大多數的實施例中,授權模組133可以產生與存取令牌對應的存取認證資料,並可以透過使用者裝置110將所產生的存取認證資料傳送給服務程式111;授權模組133也可以接收服務程式111所傳送的存取認證資料,並可以依據所接收到的存取認證資料取得相對應的存取令牌,及透過使用者裝置110將所取得的存取令牌傳送給服務程式111。其中,授權模組133所產生的存取認證資料可以由預定數量的字母、數字、符號任意排列而成,授權模組133也可以對授權內容或存取令牌進行特定運算而產生存取認證資料,例如對授權內容或存取令牌進行雜湊運算、或取出授權內容或存取令牌中之隨機或預定位置的字符做為存取認證資料等,但本發明並不以此為限。需要說明的是,存取令牌與存取認證資料並不會相同,也就是說,授權模組133不會以相同的方式產生存取令牌及存取認證資料。
授權模組133也負責接收資源伺服器150所傳送的存取令牌,並依據所接收到的存取令牌取得相對應的授權內容,及負責將所取得的授權內容傳送給資源伺服器150。
授權模組133也可以接收資源伺服器150所傳送的存取令牌,並依據所接收到的存取令牌讀取相對應的授權內容,及可以將所讀出之授權內容傳送給資源伺服器150。
授權模組133也可以在所接收到之存取令牌包含授權內容時,比對存取令牌中之授權內容及所讀出之授權內容,並產生相對應之比對結果,及可以將所產生之比對結果傳送給資源伺服器150。
授權模組133也可以判斷接收自資源伺服器150的存取令牌是否有效。更詳細的,授權模組133可以依據存取令牌中的有效時間是否已早於當前時間、存取令牌是否已被使用、存取令牌中所記錄之授權者是否與交易方一致有效條件判斷存取令牌是否有效。但授權模組133所使用之有效條件並不以上述為限。
資源伺服器150可以透過有線或無線網路與服務程式111及認證伺服器130連接,並可以接收服務程式111/認證伺服器130所傳送的資料或訊號,也可以傳送資料或訊號給服務程式111/認證伺服器130。
資源伺服器150負責接收服務程式111所傳送之存取令牌及交易資料,並負責透過認證伺服器130取得與所接收到之存取令牌對應的授權內容。一般而言,資源伺服器150可以接收認證伺服器130所傳送的授權內容,但本發明並不以此為限,例如,資源伺服器150也可以在存取令牌包含授權內容時,接收認證伺服器130所產生之比對結果,並在所接收到之比對結果表示存取令牌中之授權內容正確時,由所接收到的存取令牌中取出授權內容。
資源伺服器150也負責判斷接收自服務程式111的交易資料符合所取得的授權內容時,執行交易作業;而若資源伺服器150判斷交易資料並不符合授權內容時,將拒絕執行交易作業。
資源伺服器150也可以產生與所執行之交易作業對應的交易結果,並將所產生的交易結果傳送給服務程式111。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之身分認證時產生授權內容以供交易前檢核之方法流程圖。在本實施例中,假設服務程式111為提供數位錢包服務的第三方應用程式,但本發明並不以此為限。
在使用者端101操作執行於使用者裝置110上之服務程式111時,使用者端101可以觸發服務程式111執行功能服務(步驟211)。若服務程式111判斷被使用者端101觸發的功能服務需要授權,則服務程式111可以產生授權請求,並可以將所產生的授權請求傳送給認證伺服器130(步驟215)。在本實施例中,假設服務程式111在產生授權請求時,可以偵測使用者裝置110的名稱與版本及執行於使用者裝置110上之作業系統的名稱與版本等設備資訊,藉以產生包含所偵測到之設備資訊的授權請求。
在認證伺服器130接收到使用者裝置110中之服務程式111所傳送的授權請求後,認證伺服器130的認證模組131可以決定與授權請求中之設備資訊對應的授權機制(步驟220)。在本實施例中,假設認證模組131可以提供與服務程式111中之各個功能服務對應的應用程式介面,並可以定義與各個應用程式介面對應的服務範圍。服務程式111可以呼叫與被觸發執行之功能服務對應的應用程式介面,並可以透過所呼叫之應用程式介面將授權請求傳送給認證模組131。如此,認證模組131可以如「第2C圖」之流程所示,先選出與被呼叫之應用程式介面對應的服務範圍(步驟221),再依據授權請求中之設備資訊再次選擇相符的服務範圍,並決定最後選出之服務範圍內所記錄的授權機制(步驟225)。若認證模組131定義與被呼叫之應用程式介面對應的服務範圍有三個,分別對應電腦、可取得生物特徵的行動裝置、無法取得生物特徵的行動裝置,認證模組131可以依據授權請求中之設備資訊中的裝置名稱與版本判斷使用者裝置110為電腦、可取得生物特徵的行動裝置、或無法取得生物特徵的行動裝置,並決定選擇與使用者裝置110對應之服務範圍中所記錄的授權機制。
回到「第2A圖」,在認證伺服器130的認證模組131決定授權機制後,可以依據所決定的授權機制向使用者端101要求進行身分認證,使得使用者端101於使用者裝置110上產生身分認證資料及授權資料,並由使用者裝置110傳送身分認證資料及授權資料至認證伺服器130(步驟230)。在本實施例中,若被使用者端101觸發執行的功能服務為餘額查詢或交易明細查詢,認證模組131所決定的授權機制可以向使用者端101要求以帳號密碼進行身分認證,使得使用者端101在使用者裝置110上輸入帳號密碼,並由使用者裝置110驗證使用者端101所輸入之帳號密碼後產生相對應的身分認證資料;而若被使用者端101觸發執行的功能服務為轉帳或付款,認證模組131所決定的授權機制可以向使用者端101要求以晶片卡或數位憑證或生物特徵進行身分認證,使得使用者端101在使用者裝置110上輸入晶片卡密碼或數位憑證密碼或生物特徵,並由使用者裝置110透過晶片卡/數位憑證驗證使用者端101所輸入之晶片卡密碼/數位憑證密碼或驗證使用者端101所輸入之生物特徵後產生相對應的身分認證資料。在使用者端101輸入進行身分認證所需要的資料後,使用者端101也可以在使用者裝置110上輸入授權資料,例如,輸入允許進行交易的帳戶、允許交易的金額上限、及/或允許交易的對象等。
在認證伺服器130的認證模組131接收到使用者端101於使用者裝置110上產生之身分認證資料及授權資料後,認證伺服器130的授權模組133可以依據所接收到的身分認證資料判斷使用者端101是否通過身分認證, 若授權模組133判斷使用者端101通過身分認證,則授權模組133可以依據所接收到的授權資料產生相對應的授權內容(步驟250)。在本實施例中,假設授權內容包含可進行交易的帳戶號碼及可交易的金額上限。
在認證伺服器130的授權模組133產生授權內容後,授權模組131還可以產生與授權內容對應的存取令牌,並可以將所產生的存取令牌傳送給服務程式111(步驟260)。在本實施例中,假設如「第2B圖」所示之流程,授權模組131在產生存取令牌(步驟261)後,可以產生與所產生之存取令牌對應的存取認證資料,並可以將所產生的存取認證資料傳送給服務程式111(步驟263),同時也可以儲存所產生的存取令牌與存取認證資料。服務程式111在接收到認證伺服器130所傳送的存取認證資料後,可以將所接收到的存取認證資料傳送給認證伺服器130(步驟265),授權模組133在接收到服務程式111所傳送的認證 資料後,可以讀取與所接收到之存取認證資料一同被儲存的存取令牌,並可以將所讀出的存取令牌傳回服務程式111(步驟267)。
回到「第2A圖」,在服務程式111接收到認證伺服器130所傳送的存取令牌後,服務程式111可以將所接收到的存取令牌及交易資料傳送給資源伺服器150(步驟271)。在本實施例中,交易資料是由服務程式111所產生。若被觸發執行的功能服務為餘額查詢,則交易資料可以包含進行交易的帳戶;若被觸發執行的功能服務為交易明細查詢,則交易資料可以包含進行交易的帳戶及查詢的區間;若被觸發執行的功能服務為轉帳或支付,則交易資料可以包含進行交易之雙方的帳戶及交易金額。
在資訊伺服器150接收到服務程式111所傳送的存取令牌及交易資料後,資訊伺服器150可以依據所接收到的存取令牌至認證伺服器130取得授權內容(步驟275)。在本實施例中,資源伺服器150可以將存取令牌傳送給認證伺服器130,認證伺服器130的授權模組133在接收到存取令牌後,可以先判斷存取令牌是否有效,例如,判斷存取令牌中的有效時間是否晚於當前時間、判斷存取令牌的使用次數是否大於零、及判斷存取令牌中所記錄之授權者是否與交易方一致,若上述有效條件有任何一項為否,則授權模組133可以判斷存取令牌無效,反正,若所有有效條件均為是,則授權模組133可以判斷存取令牌有效。當存取令牌有效時,授權模組133可以讀取與所接收到的存取令牌一同被儲存的授權內容,並將所讀出的授權內容傳回資源伺服器150。
在資源伺服器150取得與所接收到之存取令牌對應的授權內容後,資源伺服器150可以判斷所接收到的交易資料是否符合所取得的授權內容,若是,則執行交易作業(步驟283);而若交易資料不符合授權內容,則資源伺服器150可以拒絕交易。在本實施例中,若被使用者端101觸發執行的功能服務為餘額查詢或交易明細查詢,則資源伺服器150可以判斷被查詢的帳號是否符合授權內容中所記錄的帳號,若是,則資源伺服器150可以進行餘額/交易明細的查詢,若否,則資源伺服器150可以拒絕查詢;而若被使用者端101觸發執行的功能服務為轉帳或付款,則資源伺服器150可以判斷被查詢的帳號是否符合授權內容中所記錄的帳號,且判斷轉帳/付款的金額是否小於或等於授權內容中所記錄的金額,若兩者均是,則資源伺服器150可以進行轉帳/付款的交易,若有任一者為否,則資源伺服器150可以拒絕交易。
在資源伺服器150執行交易作業或拒絕交易後,可以如「第2D圖」之流程所示,資源伺服器150可以產生並傳送交易結果至服務程式111(步驟291)。
服務程式111在接收到資源伺服器150所產生的交易結果後,可以依據所接收到的交易結果產生執行結果,並在使用者裝置110上顯示所產生的執行結果(步驟295)。如此,透過本發明,認證伺服器130可以為被觸發執行的功能服務提供強度合適、且適合觸發執行功能服務之使用者裝置實現的授權機制,使得資源伺服器150在確認交易資料符合授權內容後才進行交易。
綜上所述,可知本發明與先前技術之間的差異在於具有在認證伺服器依據接服務程式將執行之功能服務與服務程式所傳送之使用者裝置的設備資訊決定授權機制,並使用授權機制要求使用者端進行身分認證時產生授權內容後,服務程式透過資源伺服器進行交易作業前,由資源伺服器先判斷交易資料是否符合授權內容之技術手段,藉由此一技術手段可以來解決先前技術所存在開放授權無法滿足金融科技之使用需求的問題,進而達成平衡方便性與安全性並降低交易風險的技術功效。
再者,本發明之身分認證時產生授權內容以供交易前檢核之方法,可實現於硬體、軟體或硬體與軟體之組合中。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
101:使用者端
110:使用者裝置
111:服務程式
130:認證伺服器
131:認證模組
133:授權模組
150:資源伺服器
步驟211:使用者端觸發服務程式執行功能服務
步驟215:服務程式傳送包含設備資訊之授權請求至認證伺服器
步驟220:認證伺服器決定與設備資訊對應之授權機制
步驟221:認證伺服器依據被服務程式呼叫之應用程式介面選擇服務範圍
步驟225:認證伺服器依據服務範圍及設備資訊決定授權機制
步驟230:認證伺服器依據授權機制向使用者端要求身分認證,使用者端產生身分認證資料及授權資料,並傳送身分認證資料及授權資料至認證伺服器
步驟250:認證伺服器依據身分認證資料判斷使用者端通過身分認證後,依據授權資料產生授權內容
步驟260:認證伺服器產生與授權內容對應之存取令牌,並傳送存取令牌至服務程式
步驟261:認證伺服器產生與授權內容對應之存取令牌
步驟263:認證伺服器產生與存取令牌對應之存取認證資料,並傳送存取認證資料至服務程式
步驟265:服務程式傳送存取認證資料至認證伺服器
步驟267:認證伺服器依據存取認證資料取得存取令牌,並傳送存取令牌至服務程式
步驟271:服務程式傳送存取令牌及交易資料至資源伺服器
步驟275:資源伺服器依據存取令牌至認證伺服器取得授權內容
步驟283:資源伺服器判斷交易資料符合授權內容時執行交易
步驟291:資源伺服器傳送交易結果至服務程式
步驟295:服務程式依據交易結果產生並顯示執行結果
第1圖為本發明所提之身分認證時產生授權內容以供交易前檢核之系統架構圖。
第2A圖為本發明所提之身分認證時產生授權內容以供交易前檢核之方法流程圖。
第2B圖為本發明所提之認證伺服器傳送存取令牌給服務程式之方法流程圖。
第2C圖為本發明所提之認證伺服器依據功能服務與設備資訊決定授權機制之方法流程圖。
第2D圖為本發明所提之身分認證時產生授權內容以供交易前檢核之附加方法流程圖。
步驟211:使用者端觸發服務程式執行功能服務
步驟215:服務程式傳送包含設備資訊之授權請求至認證伺服器
步驟220:認證伺服器決定與設備資訊對應之授權機制
步驟230:認證伺服器依據授權機制向使用者端要求身分認證,使用者端產生身分認證資料及授權資料,並傳送身分認證資料及授權資料至認證伺服器
步驟250:認證伺服器依據身分認證資料判斷使用者端通過身分認證後,依據授權資料產生授權內容
步驟260:認證伺服器產生與授權內容對應之存取令牌,並傳送存取令牌至服務程式
步驟271:服務程式傳送存取令牌及交易資料至資源伺服器
步驟275:資源伺服器依據存取令牌至認證伺服器取得授權內容
步驟283:資源伺服器判斷交易資料符合授權內容時執行交易
Claims (10)
- 一種身分認證時產生授權內容以供交易前檢核之方法,該方法至少包含下列步驟:一使用者端觸發一服務程式執行該服務程式所提供之一功能服務;該服務程式傳送一授權請求至一認證伺服器,該授權請求包含執行該服務程式之一使用者裝置之一設備資訊;該認證伺服器決定與該設備資訊對應且與該功能服務關聯之一授權機制;該認證伺服器依據該授權機制之認證強度向該使用者端要求進行對應之身分認證,使該使用者端於該使用者裝置上產生相對應之一身分認證資料及一授權資料,並由該使用者裝置傳送該身分認證資料及該授權資料至該認證伺服器;該認證伺服器依據該身分認證資料判斷該使用者端通過身分認證後,依據該授權資料產生一授權內容;該認證伺服器產生與該授權內容對應之一存取令牌,並傳送該存取令牌至該服務程式;該服務程式傳送該存取令牌及與該功能服務對應之一交易資料至一資源伺服器;該資源伺服器依據該存取令牌至該認證伺服器取得該授權內容;及該資源伺服器判斷該交易資料符合該授權內容時,執行交易作業。
- 如請求項1所述之身分認證時產生授權內容以供交易前檢核之方法,其中該認證伺服器決定與該設備資訊對應之該授權機制之步驟更包含該 認證伺服器依據該服務程式所傳送之功能識別資料或被該服務程式呼叫之應用程式介面選擇一服務範圍,並依據該服務範圍及該設備資訊決定該授權機制。
- 如請求項1所述之身分認證時產生授權內容以供交易前檢核之方法,其中該認證伺服器傳送該存取令牌至該服務程式之步驟,更包含該認證伺服器產生與該存取令牌對應之一存取認證資料並傳送該存取認證資料至該服務程式,該服務程式傳送該存取認證資料至該認證伺服器,及該認證伺服器依據該存取認證資料取得該存取令牌並傳送該存取令牌至該服務程式之步驟。
- 如請求項1所述之身分認證時產生授權內容以供交易前檢核之方法,其中該方法於該資源伺服器執行交易作業之步驟後,更包含該資源伺服器傳送相對應之一交易結果至該服務程式,及該服務程式依據該交易結果產生一執行結果並顯示該執行結果之步驟。
- 如請求項1所述之身分認證時產生授權內容以供交易前檢核之方法,其中該資源伺服器依據該存取令牌至該認證伺服器取得該授權內容之步驟為該資訊伺服器傳送存取令牌至該認證伺服器,使該認證伺服器依據該存取令牌讀取該授權內容並傳回該授權內容,或使該認證伺服器比對該存取令牌中之資料與所讀出之該授權內容以產生一比對結果,及該資料伺服器於該比對結果表示資料正確時由該存取令牌中取出該授權內容。
- 一種身分認證時產生授權內容以供交易前檢核之系統,該系統至少包含:一使用者端;一使用者裝置; 一服務程式,執行於該使用者裝置上,提供一功能服務,用以於該使用者端觸發該服務程式執行該功能服務時產生一授權請求及一交易資料,該授權請求包含該使用者裝置之一設備資訊;一認證伺服器,用以接收該授權請求,並決定與該授權請求對應且與該功能服務關聯之一授權機制,及依據該授權機制之認證強度向該使用者端要求進行對應之身分認證,使該使用者端於該使用者裝置上產生一身分認證資料及一授權資料,及用以接收該使用者裝置所傳送之該身分認證資料及該授權資料,並依據該身分認證資料判斷該使用者端通過身分認證後,依據該授權資料產生一授權內容,並產生與該授權內容對應之一存取令牌,及傳送該存取令牌至該服務程式;及一資源伺服器,用以接收該服務程式所傳送之該存取令牌及該交易資料,並依據該存取令牌至該認證伺服器取得該授權內容,及用以判斷該交易資料符合該授權內容時,執行交易作業。
- 如請求項6所述之身分認證時產生授權內容以供交易前檢核之系統,其中該認證伺服器是依據該服務程式所傳送之功能識別資料或被該服務程式呼叫之應用程式介面選擇一服務範圍,並依據該服務範圍及該設備資訊決定該授權機制。
- 如請求項6所述之身分認證時產生授權內容以供交易前檢核之系統,其中該認證伺服器更用以產生與該存取令牌對應之一存取認證資料並透過該使用者端傳送該存取認證資料至該服務程式,並依據該服務程式所傳送之該存取認證資料取得該存取令牌並傳送該存取令牌至該服務程式。
- 如請求項6所述之身分認證時產生授權內容以供交易前檢核之系統,其中該資源伺服器更用以傳送相對應之一交易結果至該服務程式,該服務程式更用以依據該交易結果產生一執行結果並顯示該執行結果。
- 如請求項6所述之身分認證時產生授權內容以供交易前檢核之系統,其中該資源伺服器是接收該認證伺服器依據該存取令牌所讀取之該授權內容,或接收該認證伺服器比對該存取令牌中之資料與該授權內容而產生之一比對結果,並於該比對結果表示該存取令牌中之資料正確時由該存取令牌中取出該授權內容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109127121A TWI745015B (zh) | 2020-08-10 | 2020-08-10 | 身分認證時產生授權內容以供交易前檢核之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109127121A TWI745015B (zh) | 2020-08-10 | 2020-08-10 | 身分認證時產生授權內容以供交易前檢核之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI745015B true TWI745015B (zh) | 2021-11-01 |
| TW202207056A TW202207056A (zh) | 2022-02-16 |
Family
ID=79907306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109127121A TWI745015B (zh) | 2020-08-10 | 2020-08-10 | 身分認證時產生授權內容以供交易前檢核之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI745015B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201824105A (zh) * | 2016-12-20 | 2018-07-01 | 財團法人工業技術研究院 | 線上第三方儲值方法及應用其之資料處理裝置及系統 |
| TW201935295A (zh) * | 2018-02-09 | 2019-09-01 | 劉根田 | 實名認證服務系統及實名認證服務方法 |
| TWM595792U (zh) * | 2020-01-10 | 2020-05-21 | 玉山商業銀行股份有限公司 | 跨平台授權存取資源的授權存取系統 |
-
2020
- 2020-08-10 TW TW109127121A patent/TWI745015B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201824105A (zh) * | 2016-12-20 | 2018-07-01 | 財團法人工業技術研究院 | 線上第三方儲值方法及應用其之資料處理裝置及系統 |
| TW201935295A (zh) * | 2018-02-09 | 2019-09-01 | 劉根田 | 實名認證服務系統及實名認證服務方法 |
| TWM595792U (zh) * | 2020-01-10 | 2020-05-21 | 玉山商業銀行股份有限公司 | 跨平台授權存取資源的授權存取系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202207056A (zh) | 2022-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI754811B (zh) | 以裝置識別資料透過電信伺服器識別身份之系統及方法 | |
| US11741472B2 (en) | Systems and methods for use in authenticating users to accounts in connection with network transactions | |
| TWM592134U (zh) | 在自動櫃員機中使用載具驗證身分以開戶之系統 | |
| TWI644276B (zh) | 於線上完成開戶並申請行動銀行之系統及其方法 | |
| TWM603573U (zh) | 身分認證時產生授權內容以供交易前檢核之系統 | |
| TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
| TWM539668U (zh) | 於線上完成開戶並申請行動銀行之系統 | |
| TWI745015B (zh) | 身分認證時產生授權內容以供交易前檢核之系統及方法 | |
| CN116628652A (zh) | 金融系统身份验证方法、装置、电子设备及存储介质 | |
| TWI720738B (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法 | |
| TWM580206U (zh) | System for identifying identity through device identification by device identification data | |
| TWI724638B (zh) | 在自動櫃員機中使用載具驗證身分以開戶之系統及方法 | |
| TWM588313U (zh) | 透過金融帳戶資料確認使用者身分之系統 | |
| TWM586390U (zh) | 依服務指令進行身份確認以執行對應服務之系統 | |
| TWI698823B (zh) | 於簽章時驗證使用者身分之系統及方法 | |
| TWM620550U (zh) | 透過驗證有效憑證在不同裝置上確認身分之系統 | |
| TWM586494U (zh) | 以網路識別資料透過電信伺服器識別身份之系統 | |
| TWI729535B (zh) | 透過金融帳戶資料確認使用者身分之系統及方法 | |
| TWI777105B (zh) | 身份確認時取得附加資料以執行對應作業之系統及方法 | |
| TWI704796B (zh) | 以網路識別資料透過電信伺服器進行登入之系統及方法 | |
| TWI691859B (zh) | 依服務指令進行身份確認以執行對應服務之系統及方法 | |
| TWI754812B (zh) | 以裝置識別資料透過電信伺服器進行登入之系統及方法 | |
| TWI746920B (zh) | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 | |
| TWI767113B (zh) | 使用實體載具儲存數位憑證以進行線上交易之系統及方法 | |
| TWM583978U (zh) | 使用實體載具儲存數位憑證以進行線上交易之系統 |