TWI811073B - 離線身分識別驗證之系統、方法以及電腦程式產品 - Google Patents
離線身分識別驗證之系統、方法以及電腦程式產品 Download PDFInfo
- Publication number
- TWI811073B TWI811073B TW111131505A TW111131505A TWI811073B TW I811073 B TWI811073 B TW I811073B TW 111131505 A TW111131505 A TW 111131505A TW 111131505 A TW111131505 A TW 111131505A TW I811073 B TWI811073 B TW I811073B
- Authority
- TW
- Taiwan
- Prior art keywords
- verification
- request data
- test
- main
- tested
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000004590 computer program Methods 0.000 title claims abstract description 12
- 238000012795 verification Methods 0.000 claims abstract description 163
- 238000004891 communication Methods 0.000 claims abstract description 75
- 230000004044 response Effects 0.000 claims abstract description 4
- 238000012360 testing method Methods 0.000 claims description 315
- 238000007689 inspection Methods 0.000 claims description 45
- 230000006698 induction Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 238000009434 installation Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 239000000203 mixture Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Landscapes
- Computer And Data Communications (AREA)
- Circuits Of Receivers In General (AREA)
- Communication Control (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本案揭示一種離線身分識別驗證之系統、方法以及電腦程式產品。首先響應於感應事件,被驗裝置對包含使用者身分識別資訊、被驗時間戳記及定位資訊之被驗組合資料進行簽章以產生被驗請求資料,進而通過近場通訊傳輸至主驗裝置,接著主驗裝置驗證被驗請求資料的簽章以對包含被驗組合資料、主驗時間戳記及定位資訊之主驗組合資料進行簽章以產生主驗請求資料,進而通過近場通訊傳輸至被驗裝置,接著被驗裝置通過網路傳輸主驗請求資料至主驗伺服器,而主驗伺服器驗證主驗請求資料,俾檢查主驗請求資料以通過網路回傳驗證或檢查結果至被驗裝置。
Description
本案係關於一種身分識別驗證技術,詳而言之,係關於一種用於出勤紀錄之身分識別驗證技術。
目前常用的差勤機大多必須具有網路聯接功能,用以將員工的打卡資料上傳至雲端後台以供查驗,也就是說,差勤機本身須具有網際網路的相關軟硬體,且其部署環境也須考慮網際網路的需求。
然而,這樣聯網的差勤機和雲端後台之系統建置,雖然技術成熟但成本不低,究其原因可能是因為差勤機需要網路連線,故技術上以具網路連線功能之嵌入式系統來實作,另外,基於對網路連線之仰賴,差勤機的啟用運作通常需伴隨確實的網際網路環境設定與維護,而且,網際網路選項有其侷限性,為了穩定與低成本運作,最常見的網際網路選項是區域有線網路配置。
另外,上述的硬體限制和網路需求也使得這類應用常用於固定的場所,惟隨著遠距教學作業風氣的盛行,差勤機需要變得便於攜帶,成本也必須更低,且必須維持其驗證的正確性。
為了解決上述問題及其他問題,本案揭示一種離線身分識別驗證之系統、方法以及電腦程式產品。
本案所揭之離線身分識別驗證之系統係包括:被驗裝置,係響應於近場通訊的一感應事件,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料,進而通過該近場通訊輸出該被驗請求資料;主驗裝置,係通過該近場通訊自該被驗裝置接收該被驗請求資料,以對該被驗請求資料進行驗證,進而對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料,再通過該近場通訊傳輸該主驗請求資料至該被驗裝置,俾供該被驗裝置通過網路輸出該主驗請求資料;以及主驗伺服器,其與該主驗裝置之間沒有網路通訊,該主驗伺服器係通過該網路自該被驗裝置接收該主驗請求資料,以對該主驗請求資料進行驗證,俾檢查該主驗請求資料進而通過該網路回傳驗證或檢查結果至該被驗裝置。
於一實施例中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該被驗時間戳記與該主驗伺服器接收到該主驗請求資料的時間。於另一實施例中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該被驗裝置定位資訊與該主驗裝置定位資訊。於再一實施例中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該主驗裝置定位資訊與該主驗伺服器所儲存之該主驗裝置部署定位資訊。
於一實施例中,該被驗組合資料係由該被驗裝置組合該被驗裝置中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊而構成,且該被驗請求資料係由該被驗裝置利用通訊密鑰對該被驗組合資料進行簽章而產生。
於一實施例中,該主驗組合資料係由該主驗裝置組合該被驗請求資料中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、該主驗裝置的該主驗時間戳記、該主驗裝置定位資訊而構成,且該主驗請求資料係由該主驗裝置利用該主驗裝置中的預載密鑰對該主驗組合資料進行簽章而產生。
於一實施例中,該主驗伺服器係包括:使用者資料庫,用於儲存該使用者身分識別資訊、被驗裝置識別資訊、通訊密鑰、及/或使用者個資;主驗裝置資料庫,用於儲存主驗裝置識別資訊、預載密鑰、主驗裝置部署定位資訊、及/或部署組態資訊;以及事件資料庫,用於儲存該感應事件所對應之主驗時間戳記、主驗裝置識別資訊、被驗時間戳記、被驗裝置識別資訊、主驗裝置定位資訊、被驗裝置定位資訊。
於一實施例中,該主驗裝置係包括供電模組,係為該主驗裝置提供電能,其中,該供電模組包括充電電池。
本案所揭之離線身分識別驗證之方法係包括:令一被驗裝置響應於來自一主驗裝置之近場通訊的感應事件,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料,進而通過該近場通訊傳輸該被驗請求資料至該主驗裝置;令該主驗裝置通過該近場通訊自該被驗裝置接收該被驗請求資料,以對該被驗請求資料進行驗證,再對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位
資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料,進而通過該近場通訊傳輸該主驗請求資料至該被驗裝置;令該被驗裝置通過網路傳輸該主驗請求資料至一主驗伺服器;以及令該主驗伺服器通過該網路自該被驗裝置接收該主驗請求資料,以對該主驗請求資料進行驗證,俾檢查該主驗請求資料進而通過該網路回傳驗證或檢查結果至該被驗裝置,其中,該主驗伺服器與該主驗裝置之間沒有網路通訊。
於一實施例中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該被驗時間戳記與該主驗伺服器皆收到該主驗請求資料的時間;或比對該主驗請求資料中的該被驗裝置定位資訊與該主驗裝置定位資訊;或比對該主驗請求資料中的該主驗裝置定位資訊與該主驗伺服器所儲存之該主驗裝置部署定位資訊。
於一實施例中,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料之步驟係包括:令該被驗裝置組合該被驗裝置中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊以構成該被驗組合資料;以及令該被驗裝置利用通訊密鑰對該被驗組合資料進行簽章以產生該被驗請求資料。
於一實施例中,對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料之步驟係包括:令該主驗裝置組合該被驗請求資料中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、該主驗裝置的該主驗時間戳記、該主驗裝置定位資訊以構成該主驗組合資料;以及令該主驗
裝置利用該主驗裝置中的預載密鑰對該主驗組合資料進行簽章以產生該主驗請求資料。
本案所揭之電腦程式產品,經載入後令具有處理器之電子裝置執行:響應於來自一主驗裝置之近場通訊的感應事件,對該電子裝置中包含使用者身分識別資訊、被驗時間戳記、電子裝置定位資訊之被驗組合資料進行簽章,以產生一被驗請求資料;通過該近場通訊傳輸該被驗請求資料至該主驗裝置,以供該主驗裝置對該被驗請求資料進行驗證,俾供該主驗裝置進一步對包含該使用者身分識別資訊、該被驗時間戳記、該電子裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章,以產生一主驗請求資料;通過該近場通訊自該主驗裝置接收該主驗請求資料,以通過網路傳輸該主驗請求資料至一主驗伺服器,供該主驗伺服器對該主驗請求資料進行驗證,俾供該主驗伺服器檢查該主驗請求資料,其中,該主驗裝置與該主驗伺服器之間沒有網路通訊;以及通過該網路接收自該主驗伺服器接收對該主驗請求資料之驗證或檢查結果。
於一實施例中,該具有處理器之電子裝置係例如手機等行動裝置。
藉由本案所述之離線身分識別驗證之系統、方法以及電腦程式產品,主驗裝置(例如差勤機)與主驗伺服器(例如雲端後台)之間無須網路通訊,而是利用被驗裝置(例如手機)作為主驗裝置與主驗伺服器之間的橋接通道,據此,主驗裝置本身無須具有網際網路的相關軟硬體,其部署環境也無須考量網際網路的需求,故大大減少系統建置成本。另外,被驗裝置利用通訊密鑰對被驗組合資料進行簽章以產生被驗請求資料,而主驗裝置利用預載密鑰對主驗組合資料進行簽章以產生主驗請求資料,因而主驗請求資料由主驗裝置傳回被驗裝置時,
被驗裝置並無法更改主驗請求資料亦或無法偽造簽章,故這樣的機制可確保資料之完整性和正確性。
10:主驗裝置
10’:行動差勤機
11:安全模組
12:感應模組
14:定位模組
15:供電模組
20:被驗裝置
20’:手機
2a:專用應用程式
21:安全模組
22:感應模組
23:網路模組
24:定位模組
30:主驗伺服器
31:安全模組
32:使用者資料庫
33:網路模組
34:主驗裝置資料庫
35:事件資料庫
S101~S104:步驟
S201~S204:步驟
p301:註冊與供裝程序
p302:NFC感應程序
p303:轉送程序
圖1係為本案之離線身分識別驗證之系統之架構方塊示意圖。
圖2係為本案之離線身分識別驗證之系統之實施例之說明示意圖。
圖3係為本案之離線身分識別驗證之方法之流程示意圖。
圖4係為本案之離線身分識別驗證之電腦程式產品所執行之方法之流程示意圖。
以下藉由特定的實施例說明本案之實施方式,熟習此項技藝之人士可由本文所揭示之內容輕易地瞭解本案之其他優點及功效。本說明書所附圖式所繪示之結構、比值、大小等均僅用於配合說明書所揭示之內容,以供熟悉此技藝之人士之瞭解與閱讀,非用於限定本案可實施之限定條件,故任何修飾、改變或調整,在不影響本案所能產生之功效及所能達成之目的下,均應仍落在本案所揭示之技術內容得能涵蓋之範圍內。
於本文中所用之術語「包括」、「包含」、「具有」、「含有」或其任何其他變體都旨在涵蓋非排他性的包含。例如,由一系列元素組成的組合物、混合物、工藝或方法不一定只限於這些元素,還可能包括沒有明確列出的其他元素,或這些組合物、混合物、程序或方法所固有的元素。此外,除非另有說
明,單數形式的措辭,如「一」、「一個」、「該」也適用於複數形式,而「或」、「及/或」等措辭可互換使用。
請參閱圖1,其示意說明本案之離線身分識別驗證之系統之架構,其中,離線身分識別驗證之系統包括主驗裝置10、被驗裝置20、主驗伺服器30。
被驗裝置20響應於來自主驗裝置10之近場通訊的一感應事件,對被驗裝置20中的使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊予以組合以構成一被驗組合資料,再利用通訊密鑰對該被驗組合資料進行簽章以產生一被驗請求資料,進而通過近場通訊傳輸該被驗請求資料至主驗裝置10。
於一實施例中,被驗裝置20包括專用應用程式2a、安全模組21、感應模組22、網路模組23、定位模組24。被驗裝置20例如諸行動裝置(e.g.,手機),專用應用程式2a例如可供載入於行動裝置中的APP,安全模組21例如為因載入專用應用程式2a而存在於行動裝置的功能組件,而感應模組22、網路模組23和定位模組24例如為行動裝置原有的功能組件,其中,感應模組22用於與感應模組12之間的近場通訊,而網路模組23用於與網路模組33之間的網路通訊。
被驗裝置20載入專用應用程式2a,而感應模組22與感應模組12發生感應事件之後,專用應用程式2a組合被驗裝置20中所除儲存之使用者身分識別資訊(user ID)、該感應事件的被驗時間戳記(time stamp)、定位模組24所提供之被驗裝置20的定位資訊(e.g.,衛星定位或基地台定位資訊),以構成被驗組合資料,接著安全模組21利用通訊密鑰對被驗組合資料進行簽章以產生被驗請求資料,接著感應模組22通過近場通訊(e.g.,near-field communication,NFC)傳輸該被驗請求資料至主驗裝置10。
主驗裝置10通過近場通訊自被驗裝置20接收該被驗請求資料,以利用對應之通訊密鑰驗證該被驗請求資料的簽章,且於驗證通過後,組合該被驗請求資料中的該使用者身分識別資訊(user ID)、該被驗時間戳記(time stamp)、該被驗裝置20的被驗裝置定位資訊、主驗裝置10的主驗時間戳記、主驗裝置10的主驗裝置定位資訊,以構成一主驗組合資料,再利用主驗裝置10中的預載密鑰對該主驗組合資料進行簽章,以產生一主驗請求資料,進而通過近場通訊傳輸該主驗請求資料至被驗裝置20。
於一實施例中,主驗裝置10包括安全模組11、感應模組12、定位模組14、供電模組15。主驗裝置10例如部署於外派辦公場域、行動辦公場域等地點之差勤機,安全模組11可驗證來自被驗裝置20的被驗請求資料並可利用預載密鑰對主驗組合資料進行簽章,感應模組12與感應模組22為近場通訊(e.g.,near-field communication,NFC),定位模組14用於提供主驗裝置10的定位資訊(e.g.,衛星定位或基地台定位資訊),供電模組15用於提供主驗裝置10的電能,例如為可設置於主驗裝置10之電源開關的充電電池,若部署場域可提供電源,則電源可直接提供給主驗裝置10運作,並可對供電模組15進行充電。另外,主驗裝置10還包括微電腦運算模組(未圖示),用於控制主驗裝置10的運作、計算處理資料等。
於載有專用應用程式2a的被驗裝置20與主驗裝置10之間發生感應事件之後,感應模組12通過近場通訊接收來自感應模組22的被驗請求資料,接著安全模組11利用對應之通訊密鑰驗證該被驗請求資料的簽章,然後主驗裝置10組合被驗裝置20的使用者身分識別資訊(user ID)、被驗裝置20的被驗時間戳記(time stamp)、被驗裝置20的被驗裝置定位資訊、主驗裝置10的主驗時間戳記(time stamp)、主驗裝置10的主驗裝置定位資訊,以產生主驗組合資料,安全元件11再
利用其中的預載密鑰簽章後產生主驗請求資料,感應模組12通過近場通訊傳輸該主驗請求資料至被驗裝置20。
主驗伺服器30僅與被驗裝置20之間有網路通訊而與主驗裝置10之間沒有網路通訊,主驗伺服器30通過網路自被驗裝置20接收該主驗請求資料,以利用對應的預載密鑰驗證該主驗請求資料的簽章,且於驗證通過後,進一步檢查該主驗請求資料,進而通過網路回傳驗證結果或檢查結果至被驗裝置20。
於一實施例中,主驗伺服器30包括安全模組31、使用者資料庫32、網路模組33、主驗裝置資料庫34、事件資料庫35。於一實施例中,主驗伺服器30架設於雲端,被驗裝置20使用專用應用程式2a連線至主驗伺服器30以進行註冊供裝程序,藉此於主驗伺服器30的使用者資料庫32留下使用者身分識別資訊和被驗裝置識別資訊,換言之,使用者資料庫32用於儲存被驗裝置在註冊供裝程序中的使用者身分識別資訊和被驗裝置識別資訊、及/或使用者個資、通訊密鑰。於一實施例中,於部署主驗裝置10時,主驗伺服器30將其部署相關資訊,包含主驗裝置識別資訊、主驗裝置部署定位資訊、或部署組態資訊、以及其他與主驗裝置相關之服務所需之資料,紀錄於主驗裝置資料庫34。換言之,主驗裝置資料庫34用於儲存主驗裝置識別資訊、預載密鑰、主驗裝置部署定位資訊、及/或部署組態資訊。於一實施例中,安全模組31用於利用其中的對應預載密鑰來驗證主驗請求資料的簽章,以於驗證通過後,將此次感應事件記錄於事件資料庫35中。換言之,事件資料庫35用於儲存該感應事件所對應之主驗時間戳記、主驗裝置識別資訊、被驗時間戳記、被驗裝置識別資訊、主驗裝置定位資訊、被驗裝置定位資訊。
主驗伺服器30通過網路自被驗裝置20接收主驗請求資料,以於利用對應的預載密鑰驗證該主驗請求資料的簽章通過後,需進一步檢查由被驗裝置20轉傳來的主驗請求資料是否被被驗裝置20竄改,是以,於一實施例中,主驗伺服器30比對該主驗請求資料中的被驗裝置20的該被驗時間戳記與主驗伺服器30接收到該主驗請求資料的時間,即兩者的時間誤差值是否在誤差容許範圍內。於又一實施例中,主驗伺服器30比對該主驗請求資料中的被驗裝置20的被驗裝置定位資訊與主驗裝置10的主驗裝置定位資訊,即兩者的定位誤差距離是否在誤差容許範圍內。於再一實施例中,主驗伺服器30比對該主驗請求資料中的主驗裝置10的主驗裝置定位資訊與主驗伺服器30所儲存之主驗裝置部署定位資訊,即兩者的定位誤差距離是否再誤差容許範圍內。
這三種比對方式可擇一比對、依序比對、或全部比對。若該主驗請求資料中的被驗裝置20的該被驗時間戳記與主驗伺服器30接收到該主驗請求資料的時間兩者的時間誤差值超過該誤差容許範圍;或該主驗請求資料中的被驗裝置20的被驗裝置定位資訊與主驗裝置10的主驗裝置定位資訊兩者的定位誤差距離超過該誤差容許範圍;或該主驗請求資料中的主驗裝置10的主驗裝置定位資訊與主驗伺服器30所儲存之主驗裝置部署定位資訊兩者的定位誤差距離超過該誤差容許範圍,則可能該主驗請求資料已被竄改了。
請參閱圖2,其示意說明本案之離線身分識別驗證之系統之具體實施例。須說明的是,圖1中的主驗裝置10和被驗裝置20,在圖2所示之具體實例中為行動差勤機10’和手機20’。
如圖2所示,企業外派或是公出員工使用其員工手機20’,以手機20’中的App連線至主驗伺服器30完成註冊與供裝程序p301之後,員工便可於外
派辦公場域、行動辦公室持手機20’感應行動差勤機10’來進行差勤打卡。當員工持手機20’感應行動差勤機10’時,手機20’中App產生被驗請求資料,再以手機20’中的NFC感應模組建立NFC感應程序p302將被驗請求資料傳送給行動差勤機10’。經過行動差勤機10’正確驗證被驗請求資料之後,行動差勤機10’產生主驗請求資料並透過NFC感應程序p302傳送回手機20’,手機20’再將主驗請求資料透過轉送程序p303傳送至主驗伺服器30,主驗伺服器30將驗證結果透過轉送程序p303傳回給手機20’,使用者便完成一次行動差勤機打卡流程。
於NFC感應程序p302中,手機20’與行動差勤機10’之間的資料安全性確認可利用通訊密鑰簽章或加解密運算或其他演算法等。於轉送程序p303中,行動差勤機10’與主驗伺服器30之間的資料安全性確認可利用預載密鑰簽章或加解密運算或其他演算法等。須說明的是,該預載密鑰係為在行動差勤機10’出廠時即預先載入在行動差勤機10’中,故手機20’難以對其破解或竄改。該通訊密鑰則為在註冊與供裝程序p301時,由主驗伺服器30生產而提供至手機20’中。於一實施例中,該通訊密鑰和該預載密鑰可由密鑰衍生函式(key derivation function,KDF)所產生,可在產生密鑰時經參數設計或調整,使得行動差勤機10’可利用該預載密鑰驗證由手機20’利用該通訊密鑰的簽章,而手機20’無法利用該通訊密鑰破解行動差勤機10’利用該預載密鑰的簽章,但主驗伺服器30可驗證手機20’利用該通訊密鑰的簽章以及行動差勤機10’利用該預載密鑰的簽章。
根據本案圖1和圖2所示之一或多個實施例得以明瞭,本案所揭之系統中的被驗裝置可視為遠近端橋接通道,即主驗裝置無須內建連網能力,同時卻可讓主驗伺服器主導驗證的架構與方法,其關鍵是透過橋接被驗裝置與主驗裝置之間的近場通訊連線以及被驗裝置自身的行動網路,使得離線狀態的被驗
裝置得以透過主驗裝置將待驗證資料(即主驗請求資料)傳送到位於雲端的主驗伺服器,使其具有與既有連線式主驗裝置一樣之驗證正確性保證。因此,本案之遠端的主驗伺服器可以正確且完整的與近端的主驗裝置進行資料交換,而位於中間的被驗裝置同時扮演通道建立與轉送之橋樑。
請參閱圖3,其示意說明本案之離線身分識別驗證之方法之流程。
於步驟S101中,被驗裝置響應於來自主驗裝置之近場通訊的感應事件,對被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生被驗請求資料,進而通過近場通訊傳輸被驗請求資料至主驗裝置,接著進至步驟S102。
於步驟S102中,主驗裝置通過近場通訊自被驗裝置接收被驗請求資料,以對被驗請求資料進行驗證,進一步對包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料,進而通過近場通訊傳輸主驗請求資料至被驗裝置,接著進至步驟S103。
於步驟S103中,被驗裝置通過網路傳輸主驗請求資料至主驗伺服器,接著進至步驟S104。
於步驟S104中,主驗伺服器通過網路自被驗裝置接收主驗請求資料,以對主驗請求資料進行驗證,再檢查主驗請求資料,進而通過網路回傳驗證或檢查結果至被驗裝置。
根據圖3所示之實施例,於本案離線身分識別驗證之方法中,本案所述之被驗裝置即例如一般可上網及可進行近場通訊(NFC)感應之行動裝置,具體像是智慧型手機。本案所述之主驗裝置即專用於採集被驗裝置定位資訊以進
行身分識別與驗證之終端裝置,具體像是差勤機。本案所述之主驗裝置無須內建網路模組,其通過近場通訊技術與被驗裝置交換資料,另為了達到可攜式之要求,主驗裝置的電源選項有外接電源或內建充電電池。本案所述之主驗伺服器,即例如雲端後台,可供使用者註冊之用以及對被驗裝置進行APP供裝,相關狀態與資訊由使用者資料庫紀錄之。當主驗裝置透過作為遠近端橋接通道之被驗裝置將主驗請求資料送至主驗伺服器時,主驗伺服器透過其安全模組可驗證該資料的正確性與完整性,並將其感應事件所屬之時間、被驗裝置識別資訊、主驗裝置識別資訊以及其他資訊寫入事件資料庫。又,本案所述之被驗請求資料,即感應時,被驗裝置專用應用程式會組合使用者身分識別資訊或使用者加密個資、被驗時間戳記、被驗裝置之定位資訊,並以通訊密鑰對上述組合資料進行簽章後產生之。而主驗請求資料,即主驗裝置傳送回被驗裝置並轉送至主驗伺服器之資料。當主驗裝置收到被驗請求資料後,會先驗證其簽章,驗證通過後組合使用者身分識別資訊或使用者加密個資、被驗時間戳記、被驗裝置之定位資訊、主驗裝置之定位資訊和主驗時間戳記,用主驗裝置內的預載密鑰進行簽章後,最終產生主驗請求資料。藉此,因為主驗請求資料會由主驗裝置簽章,當該資料傳回被驗裝置時,被驗裝置無法更改主驗請求資料並偽造簽章,故該機制可確保資料之完整性。
須說明的是,本案之方法可執行在例如伺服器、電腦或其他具有資料處理、運算、儲存、網路通聯等功能的一個單獨或多個集合之設備中,其中,該伺服器、電腦或設備包括中央處理器、硬碟、記憶體等。
請參閱圖4,其示意說明本案之離線身分識別驗證之電腦程式產品所執行之方法之流程。
於步驟S201中,響應於來自主驗裝置之近場通訊的感應事件,對電子裝置中包含使用者身分識別資訊、被驗時間戳記、電子裝置定位資訊之被驗組合資料進行簽章,以產生被驗請求資料,接著進至步驟S202。
於步驟S202中,通過近場通訊傳輸被驗請求資料至主驗裝置,以供主驗裝置對被驗請求資料進行驗證,俾供主驗裝置對包含使用者身分識別資訊、被驗時間戳記、電子裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章,以產生主驗請求資料,接著進至步驟S203。
於步驟S203中,通過近場通訊自主驗裝置接收主驗請求資料,以通過網路傳輸主驗請求資料至主驗伺服器,供主驗伺服器對主驗請求資料進行驗證,俾供主驗伺服器檢查主驗請求資料,接著進至步驟S204。
於步驟S204中,通過網路接收自主驗伺服器接收對主驗請求資料之驗證或檢查結果。
另外,本案之電腦程式產品係經由電腦載入程式後執行該方法。另外,電腦程式(產品)除可儲存於記錄媒體外,亦可在網路上直接傳輸提供,電腦程式(產品)係為載有電腦可讀取之程式且不限外在形式之物。所述電腦包括但不限於具有處理器之電子裝置,例如手機或平板等。
另外,本案還提供一種電腦可讀取記錄媒體,係應用於具有處理器及/或記憶體之計算設備或電腦中,且電腦可讀取記錄媒體儲存有指令,並可利用計算設備或電腦透過處理器及/或記憶體執行電腦可讀取記錄媒體,以於執行電腦可讀取記錄媒體時執行上述方法及/或內容。所述電腦可讀取紀錄媒體(例如硬碟、軟碟、光碟、USB隨身碟)係儲存有該電腦程式(產品)。
綜上所述,本案之主驗裝置可驗證從被驗裝置傳輸至主驗裝置之被驗請求資料是否正確,或可利用點對點加解密機制處理自主驗裝置輸出的主驗請求資料,如此確保負責建置橋接通道之被驗裝置無法變更其通道內資料之內容。而為了資料安全與可信度考量,主驗裝置本身具計時功能,使得在橋接通道內之自主驗裝置輸出的主驗請求資料可帶有主驗時間戳記且對其進行簽章以確保該戳記完整性,此可確保資料的完整性與安全,亦使得主驗裝置無須內建網路模組,且無須再為其進行環境網路設定。換言之,本案之離線的主驗裝置可略去網際網路連線模組的配置與運作,降低電源耗能,減少裝置生產成本,簡化裝置部署時所需要的環境設定,而較低的電源耗能,代表主驗裝置可透過電池實現可攜性;減少裝置生產成本代表得以更大量的生產;簡化部署代表安裝啟用將較以往快速簡便許多.除可應用於既有的固定式差勤機之外,亦可以擴大應用領域,例如以行動差勤機方式應用於行動辦公室,外派人員差勤機等等。
上述實施例僅例示性說明本案之功效,而非用於限制本案,任何熟習此項技藝之人士均可在不違背本案之精神及範疇下對上述該些實施態樣進行修飾與改變。因此本案之權利保護範圍,應如後述之申請專利範圍所列。
S101~S104:步驟
Claims (10)
- 一種離線身分識別驗證之系統,係包括:被驗裝置,係響應於近場通訊的一感應事件,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料,進而通過該近場通訊輸出該被驗請求資料;主驗裝置,係通過該近場通訊自該被驗裝置接收該被驗請求資料,以對該被驗請求資料進行驗證,進而對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料,再通過該近場通訊傳輸該主驗請求資料至該被驗裝置,俾供該被驗裝置不打開該主驗請求資料而是通過網路輸出該主驗請求資料;以及主驗伺服器,其與該主驗裝置之間沒有網路通訊,該主驗伺服器係通過該網路自該被驗裝置接收該主驗請求資料,以對該主驗請求資料進行驗證,俾檢查該主驗請求資料進而通過該網路回傳驗證或檢查結果至該被驗裝置。
- 如請求項1所述之系統,其中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該被驗時間戳記與該主驗伺服器接收到該主驗請求資料的時間、或比對該主驗請求資料中的該被驗裝置定位資訊與該主驗裝置定位資訊、或比對該主驗請求資料中的該主驗裝置定位資訊與該主驗伺服器所儲存之該主驗裝置部署定位資訊。
- 如請求項1所述之系統,其中,該被驗組合資料係由該被驗裝置組合該被驗裝置中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊而構成,且該被驗請求資料係由該被驗裝置利用通訊密鑰對該被驗組合資 料進行簽章而產生,其中,該主驗組合資料係由該主驗裝置組合該被驗請求資料中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、該主驗裝置的該主驗時間戳記、該主驗裝置定位資訊而構成,且該主驗請求資料係由該主驗裝置利用該主驗裝置中的預載密鑰對該主驗組合資料進行簽章而產生。
- 如請求項1所述之系統,其中,該主驗伺服器係包括:使用者資料庫,用於儲存該使用者身分識別資訊、被驗裝置識別資訊、通訊密鑰、及/或使用者個資;主驗裝置資料庫,用於儲存主驗裝置識別資訊、預載密鑰、主驗裝置部署定位資訊、及/或部署組態資訊;以及事件資料庫,用於儲存該感應事件所對應之主驗時間戳記、主驗裝置識別資訊、被驗時間戳記、被驗裝置識別資訊、主驗裝置定位資訊、被驗裝置定位資訊。
- 如請求項1所述之系統,其中,該主驗裝置係包括供電模組,係為該主驗裝置提供電能,該供電模組包括充電電池。
- 一種離線身分識別驗證之方法,係包括:令一被驗裝置響應於來自一主驗裝置之近場通訊的感應事件,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料,進而通過該近場通訊傳輸該被驗請求資料至該主驗裝置;令該主驗裝置通過該近場通訊自該被驗裝置接收該被驗請求資料,以對該被驗請求資料進行驗證,再對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章 以產生一主驗請求資料,進而通過該近場通訊傳輸該主驗請求資料至該被驗裝置;令該被驗裝置不打開該主驗請求資料而是通過網路傳輸該主驗請求資料至一主驗伺服器;以及令該主驗伺服器通過該網路自該被驗裝置接收該主驗請求資料,以對該主驗請求資料進行驗證,俾檢查該主驗請求資料進而通過該網路回傳驗證或檢查結果至該被驗裝置,其中,該主驗伺服器與該主驗裝置之間沒有網路通訊。
- 如請求項6所述之方法,其中,該主驗伺服器對該主驗請求資料之檢查係包括:比對該主驗請求資料中的該被驗時間戳記與該主驗伺服器皆收到該主驗請求資料的時間;或比對該主驗請求資料中的該被驗裝置定位資訊與該主驗裝置定位資訊;或比對該主驗請求資料中的該主驗裝置定位資訊與該主驗伺服器所儲存之該主驗裝置部署定位資訊。
- 如請求項6所述之方法,其中,對該被驗裝置中包含使用者身分識別資訊、被驗時間戳記、被驗裝置定位資訊之被驗組合資料進行簽章以產生一被驗請求資料之步驟係包括:令該被驗裝置組合該被驗裝置中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊以構成該被驗組合資料;以及令該被驗裝置利用通訊密鑰對該被驗組合資料進行簽章以產生該被驗請求資料。
- 如請求項6所述之方法,其中,對包含該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章以產生一主驗請求資料之步驟係包括:令該主驗裝置組合該被驗請求資料中的該使用者身分識別資訊、該被驗時間戳記、該被驗裝置定位資訊、該主驗裝置的該主驗時間戳記、該主驗裝置定位資訊以構成該主驗組合資料;以及令該主驗裝置利用該主驗裝置中的預載密鑰對該主驗組合資料進行簽章以產生該主驗請求資料。
- 一種電腦程式產品,經載入後令具有處理器之電子裝置執行:響應於來自一主驗裝置之近場通訊的感應事件,對該電子裝置中包含使用者身分識別資訊、被驗時間戳記、電子裝置定位資訊之被驗組合資料進行簽章,以產生一被驗請求資料;通過該近場通訊傳輸該被驗請求資料至該主驗裝置,以供該主驗裝置對該被驗請求資料進行驗證,俾供該主驗裝置進一步對包含該使用者身分識別資訊、該被驗時間戳記、該電子裝置定位資訊、主驗裝置定位資訊、主驗時間戳記之主驗組合資料進行簽章,以產生一主驗請求資料;通過該近場通訊自該主驗裝置接收該主驗請求資料,以不打開該主驗請求資料而是通過網路傳輸該主驗請求資料至一主驗伺服器,供該主驗伺服器對該主驗請求資料進行驗證,俾供該主驗伺服器檢查該主驗請求資料,其中,該主驗裝置與該主驗伺服器之間沒有網路通訊;以及通過該網路接收自該主驗伺服器接收對該主驗請求資料之驗證或檢查結果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111131505A TWI811073B (zh) | 2022-08-22 | 2022-08-22 | 離線身分識別驗證之系統、方法以及電腦程式產品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW111131505A TWI811073B (zh) | 2022-08-22 | 2022-08-22 | 離線身分識別驗證之系統、方法以及電腦程式產品 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI811073B true TWI811073B (zh) | 2023-08-01 |
| TW202409869A TW202409869A (zh) | 2024-03-01 |
Family
ID=88585758
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW111131505A TWI811073B (zh) | 2022-08-22 | 2022-08-22 | 離線身分識別驗證之系統、方法以及電腦程式產品 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI811073B (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104408779A (zh) * | 2014-11-14 | 2015-03-11 | 苏州盖雅信息技术有限公司 | 一种基于智能手机的nfc考勤系统及使用方法 |
-
2022
- 2022-08-22 TW TW111131505A patent/TWI811073B/zh active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104408779A (zh) * | 2014-11-14 | 2015-03-11 | 苏州盖雅信息技术有限公司 | 一种基于智能手机的nfc考勤系统及使用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202409869A (zh) | 2024-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10911245B2 (en) | Method of establishing trust between a device and an apparatus | |
| KR102400395B1 (ko) | 법률 서면을 전자적으로 제공하는 시스템 및 방법 | |
| US20150208245A1 (en) | Method, apparatus, and system for providing and using a trusted tag | |
| KR102540090B1 (ko) | 전자 장치 및 그의 전자 키 관리 방법 | |
| WO2019072011A1 (zh) | 基于凭证管理的电动车充电方法和系统 | |
| CN110719203B (zh) | 智能家居设备的操作控制方法、装置、设备及存储介质 | |
| CN107730641A (zh) | 在线发行并激活车载单元的装置、车载设备、终端和后台 | |
| CN111176794B (zh) | 一种容器管理方法、装置及可读存储介质 | |
| CN105493097A (zh) | 用于远程存储的数据的保护方案 | |
| CN104303190A (zh) | 提供对系统的地理保护 | |
| CN109669859B (zh) | 服务测试方法、装置、计算机设备和存储介质 | |
| WO2020011070A1 (zh) | 一种防止北斗差分定位数据泄漏的方法及系统 | |
| CN111488596A (zh) | 数据处理权限验证方法、装置、电子设备及存储介质 | |
| US20220286294A1 (en) | Secure digital signing of a document | |
| CN110825776A (zh) | 空气质量检测报告处理方法、装置及计算设备、存储介质 | |
| CN109413006A (zh) | 账号的处理方法、装置、设备和机器可读介质 | |
| TWI811073B (zh) | 離線身分識別驗證之系統、方法以及電腦程式產品 | |
| US20230177196A1 (en) | Resource management method, computing device, computing equipment, and readable storage medium | |
| Ferraiolo et al. | Personal Identity Verification (PIV) Credentials | |
| TWI740328B (zh) | 用於藍芽定位廣播之系統、其方法以及藍芽廣播設備 | |
| TWI837960B (zh) | 基於行動識別驗證之場域服務自動派送系統、方法及其電腦可讀媒體 | |
| KR20190071494A (ko) | 열람이력 추적의 위치기반 문서보안 방법 및 문서보안 장치 | |
| CN102298675A (zh) | 移动存储装置发送报警信号的方法及其系统 | |
| CN117240608B (zh) | 登录授权方法、装置、计算机设备和存储介质 | |
| CN101527631B (zh) | 基于单向杂凑函数的记录系统与方法 |