TWM655123U - 支援混合型應用程式的身分驗證系統 - Google Patents

支援混合型應用程式的身分驗證系統 Download PDF

Info

Publication number
TWM655123U
TWM655123U TW113200995U TW113200995U TWM655123U TW M655123 U TWM655123 U TW M655123U TW 113200995 U TW113200995 U TW 113200995U TW 113200995 U TW113200995 U TW 113200995U TW M655123 U TWM655123 U TW M655123U
Authority
TW
Taiwan
Prior art keywords
identity verification
server
identification code
electronic device
module
Prior art date
Application number
TW113200995U
Other languages
English (en)
Inventor
章欣倫
鄭家慶
邱郁雯
吳御廷
Original Assignee
元大證券投資信託股份有限公司
Filing date
Publication date
Application filed by 元大證券投資信託股份有限公司 filed Critical 元大證券投資信託股份有限公司
Publication of TWM655123U publication Critical patent/TWM655123U/zh

Links

Images

Abstract

一種支援混合型應用程式的身分驗證系統包括伺服器及電子裝置。電子裝置執行包括原生應用程式元件及網頁應用程式元件的混合型應用程式。原生應用程式元件響應於使用者操作而向伺服器發送第一身分驗證請求。伺服器響應於第一身分驗證請求執行第一身分驗證程序。而後,電子裝置自伺服器獲得交談識別碼並儲存交談識別碼於像素標籤。網頁應用程式元件向伺服器發送包括從像素標籤取出的交談識別碼的第二身分驗證請求。伺服器響應於第二身分驗證請求執行第二身分驗證程序,其係依據交談識別碼執行身分驗證,而無需使用者再次執行身分驗證操作。

Description

支援混合型應用程式的身分驗證系統
本創作是有關於一種身分驗證系統,特別是指一種支援混合型應用程式的身分驗證系統。
網際網路持續發展且日益普及的狀況下,網站及行動應用程式已是投資人經常使用的投資工具。投資人在使用網站或行動應用程式進行投資行為前,需透過如登入帳號密碼的機制驗證投資人身分後進行交易。
而現今的行動應用程式開發方式因使用效能、製作效率、更版便利性等因素,經常使用元件式切分多模組方式開發。而若是開發方式有包含不同前端應用技術時,例如以行動應用原生模式結合網站模式開發,需面臨使用者於同一個行動裝置應用系統中於不同前端技術應用中分別進行登入的問題。亦即,雖使用者是操作一個應用程式,然因此應用程式結合異質技術開發元件,造成使用者應用程式中的不同技術應用元件上皆需要進行輸入帳號密碼驗證的動作。從使用者的角度來看,是在同一裝置重複輸入相同的帳號密碼進行登入驗證,並不方便亦不合理。
有鑑於此,本創作一實施例提出一種支援混合型應用程式的身分驗證系統,用以改善前述結合異質技術開發元件之應用程式的身分驗證流程,以在安全的機制下增進使用者的登入體驗。
在一實施例中,支援混合型應用程式的身分驗證系統包括伺服器及電子裝置。伺服器響應於第一身分驗證請求執行第一身分驗證程序,並響應於第二身分驗證請求執行第二身分驗證程序。電子裝置通訊連接伺服器,並執行混合型應用程式。混合型應用程式包括原生應用程式元件及網頁應用程式元件。原生應用程式元件向伺服器發送第一身分驗證請求,在第一身分驗證程序完成後,電子裝置自伺服器獲得交談識別碼並儲存交談識別碼於網頁應用程式元件的像素標籤。網頁應用程式元件向伺服器發送的第二身分驗證請求包括從像素標籤取出的交談識別碼。第二身分驗證程序依據交談識別碼執行身分驗證,而無需使用者再次執行身分驗證操作。
依據本創作一些實施例之支援混合型應用程式的身分驗證系統,可讓使用者僅需執行一次身分驗證操作,不需為了原生應用程式元件及網頁應用程式元件執行二次身分驗證操作,提高使用者操作的便利性,同時維持身分驗證之安全需求。
參照圖1,係為本創作一實施例之支援混合型應用程式的身分驗證系統的架構示意圖。所述系統包括一或多個電子裝置30(在此僅以一個示意)及一伺服器40。電子裝置30通訊連接伺服器40,亦即電子裝置30與伺服器40之間具有通訊鏈路,經由通訊鏈路來交換訊息。該通訊鏈路可經由一種或多種通訊技術銜接來完成,所述通訊技術之範疇涵蓋有線通訊與無線通訊。一般來說,所述通訊鏈路架構於網際網路上,但本創作非限於此。
電子裝置30執行有一混合型應用程式50。混合型應用程式50包括原生應用程式元件51及網頁應用程式元件52。原生應用程式元件51是指可在特定行動作業系統(如iOS、Android等)運行的應用程式,其透過相應的程式語言及開發工具來編寫。網頁應用程式元件52是以網頁技術(如HTML)編寫,並透過原生應用程式元件51所內建的Webview元件嵌入於原生應用程式元件51的顯示畫面中。舉例來說,在iOS系統,Webview元件指UIWebView或WKWebView;在Android系統,Webview元件指Webview。
為了讓伺服器40提供相應於電子裝置30的使用者的個人化資訊(例如使用者的投資組合資訊、資產資訊等),混合型應用程式50需要向伺服器40執行身分驗證來登入使用者帳號。具體來說,原生應用程式元件51經使用者執行一身分驗證操作之後,向伺服器40發送第一身分驗證請求。伺服器40響應於來自電子裝置30的第一身分驗證請求而執行第一身分驗證程序。在第一身分驗證程序完成後,電子裝置30自伺服器40獲得一交談識別碼(Token)並儲存交談識別碼於網頁應用程式元件52的像素標籤(Cookie)。而後,網頁應用程式元件52向伺服器40發送第二身分驗證請求,該第二身分驗證請求包括從像素標籤取出的交談識別碼。伺服器40響應於來自電子裝置30的第二身分驗證請求而執行第二身分驗證程序。此第二身分驗證程序是依據交談識別碼執行身分驗證,以確認電子裝置30已完成第一身分驗證程序並得知所登入的使用者帳號為何。在驗證完成之後,網頁應用程式元件52可依據使用者帳號運行。如此,使用者僅需執行一次身分驗證操作,不需為了原生應用程式元件51及網頁應用程式元件52執行二次身分驗證操作。所述身分驗證操作可例如是鍵入帳號與密碼、生物辨識(如指紋辨識、臉部辨識)、單一登入(Single Sign-On,SSO)、鍵入一次性密碼(One-Time Password,OTP)或基於前述任二種驗證方式之多因子認證(Multi-Factor Authentication, MFA)。
如圖1所示,伺服器40包括應用程式介面模組41、身分驗證模組42及資料儲存模組43。身分驗證模組42耦接應用程式介面模組41及資料儲存模組43。身分驗證模組42配置為執行前述身分驗證。應用程式介面模組41作為混合型應用程式50與身分驗證模組42之間的橋樑,使得混合型應用程式50與身分驗證模組42之間進行通訊、資料傳遞和功能調用。資料儲存模組43儲存身分驗證模組42所需的資料與提供使用者所需服務的資料。伺服器40還包括提供前述使用者所需服務的程式模組(圖未示),耦接於資料儲存模組43,以取用其中儲存的相關資料,例如使用者基本資料、使用者的投資組合資訊、資產資訊等。本創作一些實施例雖是以提供投資組合資訊、資產資訊等服務為例,但本創作非以此為限,在其他金融領域應用或非金融領域應用中,只要有混合型應用程式50之身分驗證需求皆可使用。
接著說明前述模組的具體動作。應用程式介面模組41接收電子裝置30發送之第一身分驗證請求及第二身分驗證請求並予以回應,其中第一身分驗證請求包括待驗證資訊及電子裝置30的裝置識別符。以帳號與密碼之身分驗證方式為例,待驗證資訊為使用者帳號與使用者密碼。所述裝置識別符為有關於電子裝置30的一唯一碼,例如電子裝置30的產品序號、國際移動裝置識別碼(International Mobile Equipment Identity,IMEI)、媒體存取控制地址(Media Access Control Address)或廣告識別碼(Advertising Identifier)等。資料儲存模組43儲存供執行第一身分驗證程序所需的帳號資訊。在使用帳號與密碼之身分驗證方式之例中,帳號資訊包括使用者帳號及使用者密碼。為了安全考量,在一些實施例中,資料儲存模組43中所儲存的使用者密碼是經過雜湊加密處理的密碼雜湊值(後稱預存雜湊值)。身分驗證模組42在第一身分驗證程序中,自資料儲存模組43中取出帳號資訊並與待驗證資訊比對驗證,於通過身分驗證後產生與裝置識別符相對應的交談識別碼並回傳予電子裝置30,以供後續第二身分驗證程序使用。
接下來說明身分驗證的具體流程。參照圖2,係為本創作一實施例之支援混合型應用程式的身分驗證流程的示意圖。
在步驟S1中,電子裝置30發送第一身分驗證請求至伺服器40。具體來說,響應於使用者的身分驗證操作(如輸入帳號密碼),原生應用程式元件51經由應用程式介面模組41發送第一身分驗證請求至身分驗證模組42。第一身分驗證請求包括使用者帳號及使用者密碼,其係使用者透過原生應用程式元件51所提供的輸入介面所輸入。輸入介面包括供分別輸入使用者帳號與使用者密碼的欄位。輸入資訊至欄位的方式包含但不限於透過實體鍵盤或虛擬鍵盤鍵入資訊、語音轉文字等方式。為了安全考量,在一些實施例中,第一身分驗證請求中所包括的使用者密碼是經過雜湊加密處理的密碼雜湊值。
在步驟S2中,伺服器40執行第一身分驗證程序。具體係,身分驗證模組42根據第一身分驗證請求中的使用者帳號,取用資料儲存模組43所儲存與該使用者帳號相對應的預存雜湊值;並將該預存雜湊值與第一身分驗證請求中的密碼雜湊值相比較。若兩者相符,表示身分驗證通過,進一步產生一密鑰對與交談識別碼。此密鑰對可以是隨機產生的一組相對應的公鑰及私鑰,係可利用如RSA或橢圓曲線密碼學(Elliptic Curve Cryptography)等非對稱加密算法產生。交談識別碼係與電子裝置30的裝置識別符相對應。身分驗證模組42將所產生的私鑰與交談識別碼兩者與使用者帳號/裝置識別符相關聯地儲存於資料儲存模組43,以供後續可根據使用者帳號/裝置識別符查找對應的私鑰與交談識別碼,或根據私鑰與交談識別碼查找對應的使用者帳號/裝置識別符。
在一些實施例中,身分驗證模組42,根據第一身分驗證請求中包括的裝置識別符,產生一唯一碼作為交談識別碼。舉例而言,可以對裝置識別符進行雜湊演算來產生交談識別碼。
在一些實施例中,身分驗證模組42除了根據裝置識別符之外,還結合當下時間戳來產生交談識別碼。例如,將裝置識別符與當下時間戳串接之後再進行雜湊演算來產生交談識別碼。如此,所產生的交談識別碼除了與該電子裝置30的裝置識別符相關,還與當下時間有關,進一步增加偽造訊息的難度。
在一些實施例中,身分驗證模組42還將據以生成交談識別碼的裝置識別符及當前時間戳儲存於資料儲存模組43,如此可作為後續查核登入有效性的依據。例如,在後續需要查核登入有效性時,重新依據所儲存的裝置識別符及當前時間戳,執行相同的雜湊演算,並確認演算結果是否與交談識別碼相同。若是,則代表交談識別碼為真實,登入有效。若否,則為登入無效。
在步驟S3中,伺服器40回傳步驟S2所產生的公鑰至電子裝置30。具體來說,身分驗證模組42透過應用程式介面模組41發送公鑰至原生應用程式元件51。
在步驟S4中,當網頁應用程式元件52欲向伺服器40執行身分驗證時(如使用者取用網頁應用程式元件52時),向伺服器40發送電子裝置30的裝置識別符,即經由應用程式介面模組41發送裝置識別符至身分驗證模組42。在一些實施例中,所發送的裝置識別符是經由公鑰加密的。
步驟S5係裝置驗證程序。在步驟S5中,響應於伺服器40接收到裝置識別符,身分驗證模組42自資料儲存模組43取得對應於裝置識別符的交談識別碼。在一些實施例中,若所收到的裝置識別符是經由公鑰加密的,則先以私鑰對其還原(解密)出裝置識別符,再自資料儲存模組43取得對應於裝置識別符的交談識別碼。
在步驟S6中,伺服器40將此交談識別碼傳送回電子裝置30。具體係,身分驗證模組42經由透過應用程式介面模組41回傳交談識別碼至網頁應用程式元件52。在一些實施例中,所回傳的交談識別碼是經由對應於該裝置識別符的私鑰所加密的。
在步驟S7中,網頁應用程式元件52以公鑰對所收到的交談識別碼進行還原(解密),並將交談識別碼儲存於網頁應用程式元件52的像素標籤。
在步驟S8中,當網頁應用程式元件52欲向伺服器40執行身分驗證時(如使用者取用網頁應用程式元件52時),網頁應用程式元件52向伺服器40發送第二身分驗證請求。此第二身分驗證請求包括從像素標籤取出的交談識別碼。在一些實施例中,第二身分驗證請求包括的交談識別碼是經過公鑰加密的。
在步驟S9中,伺服器40執行第二身分驗證程序。具體來說,響應於經由透過應用程式介面模組41收到第二身分驗證請求,身分驗證模組42比對資料儲存模組43中是否儲存了與第二身分驗證請求中的交談識別碼相同的交談識別碼。若有,則代表驗證通過,而經由應用程式介面模組41回傳對應此交談識別碼的使用者帳號至電子裝置30(步驟S10)。若否,則表示驗證失敗。在一些實施例中,身分驗證模組42先以私鑰對第二身分驗證請求中的交談識別碼解密(還原),再比對資料儲存模組43中是否儲存相同的交談識別碼。在一些實施例中,步驟S10中回傳的使用者帳號是經由私鑰加密的。
當網頁應用程式元件52收到使用者帳號之後,即可讓使用者以登入狀態繼續操作。在一些實施例中,當收到經加密的使用者帳號時,網頁應用程式元件52以公鑰對經加密的使用者帳號進行還原(解密)來取得使用者帳號,以讓使用者以登入狀態繼續操作。
在一些實施例中,步驟S2不產生密鑰對,因此前述有關密鑰對之傳送、使用(加密、解密)與儲存等步驟可以省略。
前述伺服器40由單一伺服器或一伺服器群集實現。電子裝置30為手機、電腦、平板電腦等電子通訊裝置。電子裝置30與伺服器40各自包括但不限於用以執行程式與運算能力之處理單元、用以儲存資料的記憶單元(包括揮發式儲存媒體及非揮發式儲存媒體)、用以提供前述通訊能力的通訊單元及用以提供前述單元運行所需電力之電力單元等。
綜上所述,依據本創作一些實施例之支援混合型應用程式的身分驗證系統,可讓使用者僅需執行一次身分驗證操作,不需為了原生應用程式元件51及網頁應用程式元件52執行二次身分驗證操作,提高使用者操作的便利性,同時維持身分驗證之安全需求。
30:電子裝置 40:伺服器 41:應用程式介面模組 42:身分驗證模組 43:資料儲存模組 50:混合型應用程式 51:原生應用程式元件 52:網頁應用程式元件 S1~S10:步驟
圖1為本創作一實施例之支援混合型應用程式的身分驗證系統的架構示意圖。 圖2為本創作一實施例之支援混合型應用程式的身分驗證流程的示意圖。
30:電子裝置
40:伺服器
41:應用程式介面模組
42:身分驗證模組
43:資料儲存模組
50:混合型應用程式
51:原生應用程式元件
52:網頁應用程式元件

Claims (10)

  1. 一種支援混合型應用程式的身分驗證系統,包括: 一伺服器,響應於一第一身分驗證請求執行一第一身分驗證程序,並響應於一第二身分驗證請求執行一第二身分驗證程序;以及 一電子裝置,通訊連接該伺服器,並執行一混合型應用程式,該混合型應用程式包括一原生應用程式元件及一網頁應用程式元件,該原生應用程式元件向該伺服器發送該第一身分驗證請求,在該第一身分驗證程序完成後,該電子裝置自該伺服器獲得一交談識別碼並儲存該交談識別碼於該網頁應用程式元件的一像素標籤; 其中,該網頁應用程式元件向該伺服器發送的該第二身分驗證請求包括從該像素標籤取出的該交談識別碼,該第二身分驗證程序是依據該交談識別碼執行身分驗證。
  2. 如請求項1所述之支援混合型應用程式的身分驗證系統,其中該伺服器包括: 一應用程式介面模組,接收該電子裝置發送之該第一身分驗證請求及該第二身分驗證請求並予以回應,其中該第一身分驗證請求包括一待驗證資訊及該電子裝置的一裝置識別符; 一資料儲存模組,儲存供執行該第一身分驗證程序所需的一帳號資訊;以及 一身分驗證模組,耦接該應用程式介面模組及該資料儲存模組,以在該第一身分驗證程序中,自該資料儲存模組中取出該帳號資訊並與該待驗證資訊比對驗證,於通過身分驗證後產生與該裝置識別符相對應的該交談識別碼。
  3. 如請求項2所述之支援混合型應用程式的身分驗證系統,其中該交談識別碼是依據該電子裝置的該裝置識別符及一當前時間戳產生的一唯一碼。
  4. 如請求項3所述之支援混合型應用程式的身分驗證系統,其中該資料儲存模組還儲存該裝置識別符及該當前時間戳。
  5. 如請求項4所述之支援混合型應用程式的身分驗證系統,其中該網頁應用程式元件欲向該伺服器執行身分驗證時,向該伺服器發送該電子裝置的該裝置識別符,其中響應於該伺服器接收到該裝置識別符,該身分驗證模組自該資料儲存模組取得對應於該裝置識別符的該交談識別碼並傳送至該電子裝置。
  6. 如請求項2所述之支援混合型應用程式的身分驗證系統,其中該身分驗證模組在該第一身分驗證程序中除了產生該交談識別碼,還產生一密鑰對,該密鑰對包括相對應的一公鑰及一私鑰。
  7. 如請求項6所述之支援混合型應用程式的身分驗證系統,其中該身分驗證模組經由該應用程式介面模組回傳該公鑰至該電子裝置,並將該私鑰及該交談識別碼儲存於該資料儲存模組。
  8. 如請求項7所述之支援混合型應用程式的身分驗證系統,其中在該第二身分驗證程序中,該身分驗證模組比對該第二身分驗證請求中的該交談識別碼與該資料儲存模組中儲存的該交談識別碼相符後,回傳對應的一使用者帳號至該電子裝置。
  9. 如請求項8所述之支援混合型應用程式的身分驗證系統,其中該第二身分驗證請求中的該交談識別碼經由該公鑰加密,回傳至該電子裝置的該使用者帳號經由該私鑰加密。
  10. 如請求項2所述之支援混合型應用程式的身分驗證系統,其中該身分驗證模組在該第一身分驗證程序中將所產生的該交談識別碼儲存於該資料儲存模組中。
TW113200995U 2024-01-26 支援混合型應用程式的身分驗證系統 TWM655123U (zh)

Publications (1)

Publication Number Publication Date
TWM655123U true TWM655123U (zh) 2024-05-01

Family

ID=

Similar Documents

Publication Publication Date Title
JP6992105B2 (ja) 認証能力を決定するためのクエリシステム及び方法
US10404754B2 (en) Query system and method to determine authentication capabilities
EP3320523B1 (en) Method and device for authentication using dynamic passwords
KR102408761B1 (ko) 비대칭 암호화를 이용하여 otp를 구현하기 위한 시스템 및 방법
US8689290B2 (en) System and method for securing a credential via user and server verification
US8661254B1 (en) Authentication of a client using a mobile device and an optical link
US9219732B2 (en) System and method for processing random challenges within an authentication framework
US9306754B2 (en) System and method for implementing transaction signing within an authentication framework
US7775427B2 (en) System and method for binding a smartcard and a smartcard reader
US11882226B1 (en) Gesture-extracted passwords for authenticated key exchange
CN113302894B (zh) 安全账户访问
US20140189791A1 (en) System and method for implementing privacy classes within an authentication framework
BR102014023229B1 (pt) Método para autenticação de transação de vários fatores utilizando dispositivos vestíveis
WO2015188424A1 (zh) 一种密钥存储设备及其使用方法
US20180025332A1 (en) Transaction facilitation
US11949785B1 (en) Biometric authenticated biometric enrollment
JP7309261B2 (ja) 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム
WO2019140790A1 (zh) 业务跟踪方法、装置、终端设备及存储介质
US11036864B2 (en) Operating system based authentication
SG175860A1 (en) Methods of robust multi-factor authentication and authorization and systems thereof
TWM594186U (zh) 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統
TWM655123U (zh) 支援混合型應用程式的身分驗證系統
JP2015176167A (ja) ユーザ識別情報を安全に検証するためのネットワーク認証方法