TWI811072B

TWI811072B - 具實名認證之時效性授權系統、方法及電腦可讀媒介

Info

Publication number: TWI811072B
Application number: TW111131504A
Authority: TW
Inventors: 王傳陞; 洪丞甫; 張本毅; 李家恩
Original assignee: 中華電信股份有限公司
Priority date: 2022-08-22
Filing date: 2022-08-22
Publication date: 2023-08-01
Also published as: TW202409866A

Abstract

本發明揭露一種具實名認證之時效性授權系統、方法及電腦可讀媒介，係由授權者與權限被授予者分別利用第一與第二時效性授權身分資訊載具註冊各自之身分至時效性授權註冊子系統中，以供時效性授權註冊子系統依據各自註冊之身分對授權者與權限被授予者進行實名認證，且將授權檔案與時效性授權註冊子系統之簽章寫入第二時效性授權身分資訊載具。繼之，由時效性授權驗證子系統利用時效性授權註冊子系統之憑證對授權檔案進行驗簽以確認為時效性授權註冊子系統所產製，再於授權檔案與時效性授權註冊子系統之簽章經驗證通過後，由時效性授權驗證子系統檢查授權檔案中之授權時限與權限代碼，俾將授權者之權限授權予權限被授予者。

Description

具實名認證之時效性授權系統、方法及電腦可讀媒介

本發明係關於一種時效性授權技術，特別是指一種具實名認證之時效性授權系統、方法及電腦可讀媒介。

目前市場上對於授權者(如授權方)與權限被授予者(如使用者/代理方)之授權機制並不友善，大多應用情境皆需在授權者與權限被授予者雙方同步(如雙方同時在場)之情況下，才能即時完成授權。

在一現有技術中，提出一種個資授權系統及個資授權方法，係利用行動個資授權系統之概念，然而，整體過程之應用服務皆須與個資授權保持連線，屬於傳統中央集權式之驗證方式。

在另一現有技術中，提出一種具時效性之多卡合一資料授權技術，然而，此授權過程為同步授權，故需授權者與權限被授予者雙方同時參與，且此授權主要是將授權者之證件資料載入權限被授予者之卡片載具中，使權限被授予者暫時獲得授權者之身分，而非以權限被授予者之身分來行使授權者之權限。

再者，上述現有技術皆無法透過授權者之第一時效性授權身分資訊載具、權限被授予者之第二時效性授權身分資訊載具、時效性授權註冊子系統與時效性授權驗證子系統等互相配合，以使授權者可分人、分時或分權授予權限給權限被授予者，亦無法提供去中心化之權限驗證機制，以使授權者與權限被授予者在權限授權及權限取得上能非同步進行，也無法使權限被授予者在使用權限時能利用第二時效性授權身分資訊載具中之資訊向時效性授權驗證子系統請求驗證身分及權限。

因此，如何提供一種創新之時效性授權技術，以解決上述之任一問題或提供相關之功能/服務，已成為本領域技術人員之一大研究課題。

本發明提供一種創新之具實名認證之時效性授權系統、方法及電腦可讀媒介，係能透過授權者之第一時效性授權身分資訊載具、權限被授予者之第二時效性授權身分資訊載具、時效性授權註冊子系統與時效性授權驗證子系統等互相配合，以利授權者可分人、分時或分權授予權限給權限被授予者；或者提供去中心化之權限驗證機制，以使授權者與權限被授予者在權限授權及權限取得上能非同步進行；亦或者使權限被授予者在使用權限時能利用第二時效性授權身分資訊載具中之資訊(如身分金鑰/身分憑證/授權檔案/註冊系統簽章)，以向時效性授權請求驗證子系統驗證身分及權限。

本發明所述具實名認證之時效性授權系統包括：至少一授權者之第一時效性授權身分資訊載具與至少一權限被授予者之第二時效性授權身分資訊載具；一時效性授權註冊子系統，係供授權者與權限被授予者分別利用第一時效性授權身分資訊載具與第二時效性授權身分資訊載具至時效性授權註冊子系統中各自註冊授權者之身分及權限被授予者之身分，以供時效性授權註冊子系統分別依據授權者之身分及權限被授予者之身分對授權者與權限被授予者進行實名認證，且由時效性授權註冊子系統將授權檔案與時效性授權註冊子系統之簽章寫入權限被授予者之第二時效性授權身分資訊載具中；以及一時效性授權驗證子系統，係利用時效性授權註冊子系統之憑證對授權檔案進行驗簽以確認授權檔案是否為時效性授權註冊子系統所產製，以於時效性授權驗證子系統確認授權檔案為時效性授權註冊子系統所產製時，由時效性授權驗證子系統驗證權限被授予者之第二時效性授權身分資訊載具中之授權檔案與時效性授權註冊子系統之簽章，再於權限被授予者之第二時效性授權身分資訊載具中之授權檔案與時效性授權註冊子系統之簽章經驗證通過時，由時效性授權驗證子系統檢查授權檔案中之授權時限與權限代碼，俾將授權者所擁有之權限依據授權檔案中之授權時限與權限代碼授權予權限被授予者。

本發明所述具實名認證之時效性授權方法包括：提供至少一授權者之第一時效性授權身分資訊載具、至少一權限被授予者之第二時效性授權身分資訊載具、一時效性授權註冊子系統與一時效性授權驗證子系統；由授權者與權限被授予者分別利用第一時效性授權身分資訊載具與第二時效性授權身分資訊載具至時效性授權註冊子系統中各自註冊授權者之身分及權限被授予者之身分，以供時效性授權註冊子系統分別依據授權者之身分及權限被授予者之身分對授權者與權限被授予者進行實名認證，且由時效性授權註冊子系統將授權檔案與時效性授權註冊子系統之簽章寫入權限被授予者之第二時效性授權身分資訊載具中；以及由時效性授權驗證子系統利用時效性授權註冊子系統之憑證對授權檔案進行驗簽以確認授權檔案是否為時效性授權註冊子系統所產製，以於時效性授權驗證子系統確認授權檔案為時效性授權註冊子系統所產製時，由時效性授權驗證子系統驗證權限被授予者之第二時效性授權身分資訊載具中之授權檔案與時效性授權註冊子系統之簽章，再於權限被授予者之第二時效性授權身分資訊載具中之授權檔案與時效性授權註冊子系統之簽章經驗證通過時，由時效性授權驗證子系統檢查授權檔案中之授權時限與權限代碼，俾將授權者所擁有之權限依據授權檔案中之授權時限與權限代碼授權予權限被授予者。

本發明之電腦可讀媒介應用於計算裝置或電腦中，係儲存有指令，以執行上述之具實名認證之時效性授權方法。

為使本發明之上述特徵與優點能更明顯易懂，下文特舉實施例，並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點，且此等特徵及優點將部分自所述描述內容可得而知，或可藉由對本發明之實踐習得。應理解，前文一般描述與以下詳細描述二者均為例示性及解釋性的，且不欲約束本發明所欲主張之範圍。

1:具實名認證之時效性授權系統

10:權限代碼清單

20:電子裝置

21:第一時效性授權身分資訊載具

30:第二時效性授權身分資訊載具

40:時效性授權註冊子系統

50:時效性授權驗證子系統

51:時效性授權註冊子系統之憑證

52:時效紀錄模組

A,A1,A2:服務提供端

B:授權者

C,C1,C2:使用者

E1:身分金鑰

E2:身分憑證

F,F1,Fn:授權檔案

G1:對象憑證

G2:授權時限

G3:權限代碼

G4:授權簽章

H:註冊系統簽章

S11至S12,S21至S23,S31至S34:步驟

圖1為本發明所述具實名認證之時效性授權系統之架構示意圖。

圖2為本發明所述具實名認證之時效性授權系統中，有關第一或第二時效性授權身分資訊載具之資料內容之實施例示意圖。

圖3為本發明所述具實名認證之時效性授權系統及其方法中，有關授權者之權限註冊方法之示意圖。

圖4為本發明所述具實名認證之時效性授權系統及其方法中，有關權限被授予者之權限申請方法之示意圖。

圖5為本發明所述具實名認證之時效性授權系統及其方法中，有關服務提供端之驗證權限時效方法之示意圖。

以下藉由特定的具體實施形態說明本發明之實施方式，熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其他優點與功效，亦可因而藉由其他不同具體等同實施形態加以施行或運用。

圖1為本發明所述具實名認證之時效性授權系統1之架構示意圖。如圖所示，具實名認證之時效性授權系統1可包括互相連結或通訊之至少一(如複數)服務提供端A、至少一(如複數)授權者B之電子裝置20與第一時效性授權身分資訊載具21、至少一(如複數)權限被授予者(如使用者C)之第二時效性授權身分資訊載具30、一時效性授權註冊子系統40、以及一時效性授權驗證子系統50等。例如，服務提供端A可為服務提供端A1與服務提供端A2之至少一者，且使用者C(如使用者C1與使用者C2之至少一者)可為權限被授予者。

在一實施例中，服務提供端A可為各種能提供服務之系統等，例如提供電子服務之電子系統，提供門禁服務之門禁系統，提供資源服務(如物品資源服務)之資源服務系統，提供租賃服務(如空間租賃服務)之租賃系統，提供網路服務之網路服務系統，提供資料庫服務之資料庫管理系統，提供通訊服務之通訊系統，提供資訊服務之資訊系統，提供事務處理服務之事務處理系統等。本發明所述「權限」可為服務提供端A所管理並分配給予授權者B之權限等，例如「權限」可為電子系統之電子權限，門禁系統之門禁權限，資源服務系統之資源權限(如物品資源權限)，租賃系統之租賃權限，網路服務系統之存取權限(如系統或網路存取權限)，資料庫管理系統之存取權限，通訊系統之存取權限，資訊系統之存取權限，事務處理系統之事務處理代理人權限等。

在一實施例中，授權者B可為對應於服務提供端A中擁有某些權限或特定權限之授權方、使用者或管理者等，權限被授予者(如使用者C)可為欲向授權者B取得相對應之權限(如電子系統之電子權限/電子服務功能之使用權限等)之使用者或代理方等，且授權者B或權限被授予者(如使用者C)可為個人、團體、公司、單位、組織或機構等。亦即，授權者B可於服務提供端A擁有權限，且授權者B欲將於服務提供端A所擁有之權限授權給使用者C，讓使用者C成為權限被授予者。

在一實施例中，第一時效性授權身分資訊載具21或第二時效性授權身分資訊載具30之硬體部分可為行動裝置、智慧卡、公鑰基礎建設安全載具等，且公鑰基礎建設安全載具可為PKI(公鑰基礎建設；Public Key Infrastructure)USB(通用序列匯流排；Universal Serial Bus)Token(令牌)等。時效性授權驗證子系統50之時效紀錄模組52(見圖5)可為時效紀錄器、時效紀錄晶片、時效紀錄電路、時效紀錄軟體、時效紀錄程式等，亦可為具有時效紀錄功能之電子裝置，且電子裝置可為電腦(如筆記型電腦/平板電腦/桌上型電腦)、伺服器(如資料伺服器/雲端伺服器)、智慧型手機等。

在一實施例中，本發明所述「連結或通訊」可代表以有線方式(如有線網路)或無線方式(如無線網路)互相連結或通訊，「至少一」代表一個以上(如一、二或三個以上)，「複數」代表二個以上(如二、三、四、五或十個以上)。但是，本發明並不以上述實施例所提及者為限。

本發明所述具實名認證之時效性授權系統1及其方法中，係先提供授權者B之第一時效性授權身分資訊載具21、權限被授予者(如使用者C)之第二時效性授權身分資訊載具30、時效性授權註冊子系統40與時效性授權驗證子系統50。繼之，由授權者B與權限被授予者(如使用者C)分別利用第一時效性授權身分資訊載具21與第二時效性授權身分資訊載具30至時效性授權註冊子系統40中各自註冊授權者B之身分(如身分資訊)及權限被授予者之身分(如身分資訊)，以供時效性授權註冊子系統40分別依據授權者B之身分及權限被授予者(如使用者C)之身分對授權者B與權限被授予者(如使用者C)進行實名認證，且由時效性授權註冊子系統40將授權檔案F與時效性授權註冊子系統40之簽章寫入權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中。

然後，由時效性授權驗證子系統50利用時效性授權註冊子系統40之憑證對授權檔案F進行驗簽以確認授權檔案F是否為時效性授權註冊子系統40所產製。當時效性授權驗證子系統50確認授權檔案F為時效性授權註冊子系統40所產製時，由時效性授權驗證子系統50驗證權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之授權檔案F與時效性授權註冊子系統40之簽章，以於權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之授權檔案F與時效性授權註冊子系統40之簽章經驗證通過時，由時效性授權驗證子系統50檢查授權檔案F中之授權時限G2與權限代碼G3(見圖2)，俾將授權者B所擁有之權限依據授權檔案F中之授權時限G2與權限代碼G3授權予權限被授予者(如使用者C)。

本發明係提供去中心化之權限驗證機制，以使具有第一時效性授權身分資訊載具21之授權者B與具有第二時效性授權身分資訊載具30之權限被授予者(如使用者C)彼此在權限授權及權限取得上能非同步進行，俾於權限被授予者(如使用者C)欲使用權限時，由權限被授予者(如使用者C)利用第二時效性授權身分資訊載具30中之資訊(如身分金鑰/身分憑證/授權檔案/註冊系統簽章)向時效性授權驗證子系統50請求驗證身分及權限。

具體而言，本發明可分別利用授權者B之第一時效性授權身分資訊載具21(電子裝置20)、權限被授予者(如使用者C)之第二時效性授權身分資訊載具30、時效性授權註冊子系統40與時效性授權驗證子系統50來完成具實名認證之時效性授權系統1及其方法之整體流程。

授權者B之第一時效性授權身分資訊載具21或權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可為身分載具(如個人身分載具)，並具有身分代表性(如個人身分代表性)之金鑰及憑證。第一時效性授權身分資訊載具21或第二時效性授權身分資訊載具30之硬體部分可包括但不限於行動裝置、智慧卡、公鑰基礎建設安全載具(如PKI USB Token)等，類似於我國之自然人憑證、行動自然人憑證等。

授權者B之第一時效性授權身分資訊載具21或權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可為一包括持有者(如真正持有者/本人)之身分資訊之載具，並具有下列功能：

授權者B之第一時效性授權身分資訊載具21或權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可儲存授權檔案F。

權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可使用身分金鑰E1(見圖2)對時效性授權驗證子系統50所產生之關聯於授權檔案F之防偽參數進行簽署以確認身分。

權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可儲存時效性授權註冊子系統40所產製之授權檔案F與時效性授權註冊子系統40之簽章，以於服務提供端A請求驗證權限時，由權限被授予者(如使用者C)之第二時效性授權身分資訊載具30提供授權檔案F與時效性授權註冊子系統40之簽章給時效性授權驗證子系統50進行檢查，俾依據授權檔案F與時效性授權註冊子系統40之簽章之檢查結果決定權限之開放。

時效性授權註冊子系統40可為一線上或中控之管理系統或伺服器系統，亦可對授權者B與權限被授予者(如使用者C)進行實名認證。授權者B可利用第一時效性授權身分資訊載具21至時效性授權註冊子系統40中註冊授權者B之身分(如身分資訊)，權限被授予者(如使用者C)可利用第二時效性授權身分資訊載具30至時效性授權註冊子系統40中註冊權限被授予者之身分(如身分資訊)，且授權者B與權限被授予者(如使用者C)之身分皆擁有自身之金鑰對(即公鑰加上私鑰)及包括公鑰之憑證。

時效性授權註冊子系統40係具有下列功能：

時效性授權註冊子系統40可對授權者B與權限被授予者(如使用者C)進行實名認證。

時效性授權註冊子系統40可進行線上即時授權流程之管理，包括權限註冊、權限申請與授權檔案F之加簽等，且授權檔案F之加簽可為透過時效性授權註冊子系統40之私鑰進行簽署。

時效性授權註冊子系統40可產製給特定之權限被授予者(如使用者C)之授權檔案F與關聯於此授權檔案F之時效性授權註冊子系統40之簽章，以由時效性授權註冊子系統40將授權檔案F與時效性授權註冊子系統40之簽章寫入特定之權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中，俾供時效性授權驗證子系統50進行身分驗證。

時效性授權驗證子系統50可為一可離線且安裝於端點之認證系統或端點系統等，以供欲使用具實名認證之時效性授權系統1之服務提供端A，於服務提供端A之驗證權限處安裝或介接此時效性授權驗證子系統50。

時效性授權驗證子系統50係具有下列功能：

時效性授權驗證子系統50可產製防偽參數，並設定防偽參數之有效時間、日期與可用次數。

時效性授權驗證子系統50可提供防偽參數予權限被授予者(如使用者C)之第二時效性授權身分資訊載具30，以要求權限被授予者(如使用者C)之第二時效性授權身分資訊載具30使用身分金鑰E1對防偽參數進行簽署。時效性授權驗證子系統50於取得簽章後，可使用權限被授予者(如使用者C)之身分憑證E2對此簽章進行驗簽，且時效性授權驗證子系統50可檢查防偽參數之有效時間、日期與此防偽參數能否使用，以利防止權限被授予者(如使用者C)之身分偽冒。

時效性授權驗證子系統50可確認權限被授予者(如使用者C)是否為本人。

時效性授權驗證子系統50可利用時效性授權註冊子系統之憑證51(見圖5)對授權檔案F進行驗簽，以確認授權檔案F是否為時效性授權註冊子系統40所產製。

當時效性授權驗證子系統50確認授權檔案F為時效性授權註冊子系統40所產製時，時效性授權驗證子系統50可驗證權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之授權檔案F與時效性授權註冊子系統40之簽章，以於權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之授權檔案F與時效性授權註冊子系統40之簽章經驗證通過時，由時效性授權驗證子系統50檢查授權檔案F中之授權時限G2與權限代碼G3(見圖2)，俾將授權者B所擁有之權限依據授權檔案F中之授權時限G2與權限代碼G3授權予權限被授予者(如使用者C)。

本發明所述具實名認證之時效性授權方法中，可包括下列[1]授權者B之授權方法、[2]時效性授權註冊子系統40產生授權檔案F之方法、[3]權限被授予者(如使用者C)取得權限之方法、[4]時效性授權驗證子系統50之授權驗證方法，詳細說明如下：

[1]授權者B之授權方法：可包括

授權者B之實名認證，亦即授權者B可使用第一時效性授權身分資訊載具21向時效性授權註冊子系統40進行實名認證以證明授權者B自身之身分。

產生授權檔案F，亦即授權者B可使用第一時效性授權身分資訊載具21向時效性授權註冊子系統40提出欲授權予權限被授予者(如使用者C)之授權檔案F(如授權相關資料)，且授權檔案F可包括圖2所示權限被授予者(如使用者C)之對象憑證G1、授權者B定義之授權時限G2(如時效限制)、授權者B上傳之權限代碼G3與授權者B對此請求之授權簽章G4等四項資料。

[2]時效性授權註冊子系統40產生授權檔案F之方法：可包括

授權者B之實名認證，亦即時效性授權註冊子系統40可提供一防偽參數予授權者B之第一時效性授權身分資訊載具21，以由授權者B透過第一時效性授權身分資訊載具21對防偽參數進行簽署，再由時效性授權註冊子系統40透過授權檔案F中之對象憑證G1(如授權者B之個人憑證)對防偽參數進行驗簽以確認防偽參數之有效性。

產生授權檔案F並建立對應關係，亦即時效性授權註冊子系統40可產生授權檔案F及建立授權者B授權給權限被授予者(如使用者C)之授權關係連結，且授權檔案F可包括權限被授予者(如使用者C)之對象憑證G1、授權者B定義之授權時限G2(如時效限制)、授權者B上傳之權限代碼G3與授權者B對此請求之授權簽章G4等四項資料。

權限被授予者之實名認證並查詢對應關係，亦即時效性授權註冊子系統40可提供防偽參數予權限被授予者(如使用者C)之第二時效性授權身分資訊載具30，以由權限被授予者(如使用者C)透過第二時效性授權身分資訊載具30對防偽參數進行簽署。

授權檔案F加簽，亦即時效性授權註冊子系統40可透過自身之金鑰對將授權檔案F進行簽署。

[3]權限被授予者(如使用者C)取得權限之方法：可包括

權限被授予者(如使用者C)之實名認證，亦即權限被授予者可使用第二時效性授權身分資訊載具30向時效性授權註冊子系統40證明權限被授予者自身之身分。

儲存授權檔案F，亦即將授權檔案F存放於權限被授予者之第二時效性授權身分資訊載具30中。

[4]時效性授權驗證子系統50之授權驗證方法：可包括

時效性授權驗證子系統50驗證授權檔案F，亦即時效性授權驗證子系統50可使用時效性授權註冊子系統之憑證51對授權檔案F進行驗簽。

時效性授權驗證子系統50驗證權限被授予者(如使用者C)之身分，亦即時效性授權驗證子系統50可產製防偽參數以傳送至權限被授予者(如使用者C)之第二時效性授權身分資訊載具30，且由權限被授予者(如使用者C)透過第二時效性授權身分資訊載具30對防偽參數進行簽署後回傳給時效性授權驗證子系統50，再由時效性授權驗證子系統50使用授權檔案F中之對象憑證Gl(如個人憑證)對簽署之資料進行驗簽並對防偽參數進行有效性之驗證。若前述驗簽與驗證皆通過，則代表權限被授予者(如使用者C)的確是授權者B所授權之人或對象。

申言之，本發明所述具實名認證之時效性授權系統1及其方法中，係包括下列所述之事前程序(事前步驟)，及其後續說明之主要使用功能：[1]授權者B之權限註冊方法、[2]權限被授予者(如使用者C)之權限申請方法、[3]服務提供端A之驗證權限時效方法。

事前程序：服務提供端A中擁有某些權限或特定權限之使用者欲將權限授予他人(如使用者C)時亦稱為授權者B，且授權者B可為個人、團體、公司、單位、組織或機構等。服務提供端A可擁有所屬之授權者B之憑證，當服務提供端A欲採用此具實名認證之時效性授權系統1以供授權者B將權限進行臨時代理、轉讓或開放時，服務提供端A即可自訂或定義所擁有之權限，以由授權者B透過電子裝置20將服務提供端A自訂或定義之權限轉換為例如二進位數字所組成之權限代碼清單10，且任何對象(如使用者C)皆可從權限代碼清單10中得知此授權者B擁有哪些權限可授予他人或其他對象。

再者，服務提供端A需安裝時效性授權驗證子系統50作為授予權限前之管控。時效性授權驗證子系統50可為複數個以分散安裝於複數服務提供端A，時效性授權驗證子系統50能供離線使用，且時效性授權驗證子系統50中具有或附帶時效性授權註冊子系統40之最新憑證。當時效性授權註冊子系統40之舊有憑證被廢止時，時效性授權驗證子系統50亦需更新時效性授權註冊子系統40之舊有憑證。

[1]授權者B之權限註冊方法：註冊權限授予對象可包括由授權者B向權限被授予者(如使用者C)主動發起授權或由權限被授予者(如使用者C)向授權者B發起請求授權，且授權者B向權限被授予者主動發起授權或權限被授予者向授權者B發起請求授權皆可為非同步之授權方式。亦即，授權者B可定義授權檔案F中之授權時限G2(見圖2)以限制授權之時間範圍(如1個月)與此授權之時間範圍內額外之時間限制(如72小時)，例如1個月內可使用此權限為72小時。當授權者B向權限被授予者(如使用者C)主動發起授權(如同意授權)時，授權者B可透過電子裝置20依據服務提供端A自訂或定義之權限代碼清單10向時效性授權註冊子系統40發起註冊之申請。時效性授權註冊子系統40於接受註冊授權後可產生如圖2所示之授權檔案F，且授權檔案F可包括權限被授予者(如使用者C)之對象憑證G1、授權者B定義之授權時限G2、授權者B上傳之權限代碼G3與授權者B對此請求之授權簽章G4等四項資料。

當授權者B向權限被授予者主動發起授權時，授權者B可主動授予權限給使用者C(如使用者C1與使用者C2之一者)，讓使用者C成為權限被授予者。若授權者B欲批次授權，則授權者B可透過電子裝置20 批量選擇複數使用者C(如使用者C1與使用者C2等)作為權限被授予者，以由授權者B透過電子裝置20一次性產生複數授權檔案F(如授權檔案F1至授權檔案Fn,n代表等於或大於2之正整數)，再將複數授權檔案F分別提供予複數權限被授予者(如使用者C1與使用者C2等複數使用者C)之電子裝置(圖未示)，以供複數權限被授予者透過電子裝置使用複數授權檔案F。

當權限被授予者(如使用者C)向授權者B發起請求授權時，權限被授予者(如使用者C)可於知悉有關授權者B之權限代碼清單10之前提下，向時效性授權註冊子系統40申請授權者B之權限。繼之，當授權者B登入時效性授權註冊子系統40時，授權者B可透過電子裝置20收到所申請之權限之通知，並依據前述授權者B向權限被授予者主動發起授權(授予權限)之方式一樣產生新的授權檔案F以授予權限被授予者(如使用者C)。因此，無論由授權者B向權限被授予者主動發起授權或由權限被授予者向授權者B發起請求授權皆可為非同步之授權方式，亦即授權者B與權限被授予者(如使用者C)可以不必同步(同時)進行操作，且後續於驗證權限時，也可以不必由授權者B進行任何額外操作。

[2]權限被授予者(如使用者C)之權限申請方法：於授權者B完成註冊後，在授權檔案F之授權時限G2(如時效限制)之時間超過前之任意時刻，權限被授予者(如使用者C)可憑自身之第二時效性授權身分資訊載具30向時效性授權註冊子系統40申請下載授權檔案F。當時效性授權註冊子系統40依據權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之身分金鑰E1確定權限被授予者為第二時效性授權身分資訊載具30之真正持有者(本人)時，時效性授權註冊子系統40可將此授權檔案F寫入權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中，以完成權限被授予者(如使用者C)之權限申請。

[3]服務提供端A之驗證權限時效方法：權限被授予者(如使用者C)可透過所攜帶之第二時效性授權身分資訊載具30向時效性驗證授權子系統50進行驗證。例如，時效性授權驗證子系統50可先利用時效性授權註冊子系統之憑證51(見圖5)來驗證權限被授予者(如使用者C)之第二時效性授權身分資訊載具30中之授權檔案F確實附有註冊系統簽章H以保證來源，且由時效性授權註冊子系統40產生防偽參數以對第二時效性授權身分資訊載具30中之身分金鑰E1進行簽章，再由時效性授權註冊子系統40利用授權檔案F中之對象憑證G1進行驗簽以確認此授權檔案F確實屬於第二時效性授權身分資訊載具30之身分，從而避免第二時效性授權身分資訊載具30竊取他人或其他對象之授權檔案F而偽冒身分。當時效性授權驗證子系統50確認第二時效性授權身分資訊載具30之身分來源無誤時，可由時效性授權驗證子系統50之時效紀錄模組52(見圖5)確認授權檔案F中之時效是否仍屬於可用狀態。若前述驗證權限時效方法之驗證程序皆全部通過，則時效性授權驗證子系統50可將授權者B之授權檔案F中之權限代碼G3與授權簽章G4放行給予服務提供端A，且服務提供端A於自行確認授權者B之對象身分後，亦可依據服務提供端A所定義或識別之權限代碼清單10開放對應之權限。

因此，本發明所述具實名認證之時效性授權系統1及其方法中，係實現去中心化之不定時授權，以利改變原本授權使用情境之局限性。同時，為了避免任何中心化之系統(如戶政或健保之資料庫系統等)偽造權限資料之疑慮，除授予權限時會驗證中心系統(圖未示)之簽章外，也會一併驗證授權者B確實核發此權限、以及權限被授予者(如使用者C)確實擁有對應此權限之第二時效性授權身分資訊載具30等，以提供安全保障。

本發明所述「權限」可包括但不限於門禁、物品資源或空間租賃、系統或網路存取權限、事務處理代理人權限等，這些權限皆應由服務提供端A進行管理並分配給予授權者B。當服務提供端A欲支援授權者B以將權限進行臨時代理、轉讓或開放時，即能使用此具實名認證之時效性授權系統1及其方法。

本發明能透過授權者B之第一時效性授權身分資訊載具21、權限被授予者(如使用者C)之第二時效性授權身分資訊載具30、時效性授權註冊子系統40與時效性授權驗證子系統50等互相配合，以利授權者B可分人(不同使用者)、分時(不同時間)或分權(不同權限)授予權限給權限被授予者(如使用者C)。在授權者B透過電子裝置20向時效性授權註冊子系統40註冊身分後，可向此時效性授權註冊子系統40登記授權者B所擁有並可授權之權限，且此權限之詳細內容可由此權限所存取之服務提供。而權限被授予者(如使用者C)可向時效性授權註冊子系統40申請取得權限，以將權限寫入權限被授予者(如使用者C)之第二時效性授權身分資訊載具30，再由時效性授權驗證子系統50對第二時效性授權身分資訊載具30驗證通過後，便能由權限被授予者(如使用者C)實際使用此權限。

圖2為本發明所述具實名認證之時效性授權系統1中有關第一時效性授權身分資訊載具21或第二時效性授權身分資訊載具30之資料內容之實施例示意圖，並參閱圖1予以說明。

如圖2所示，授權者B之第一時效性授權身分資訊載具21或權限被授予者(如使用者C)之第二時效性授權身分資訊載具30之資料內容中，授權檔案F可使用TLV(即標籤(Tag)-長度(Length)-值(Value))格式儲存權限被授予者(如使用者C)之對象憑證G1、由授權者B指定之授權時限G2、由服務提供端A產生並由授權者B指定之權限代碼G3、及授權者B以自身之身分金鑰E1對授權檔案F進行簽章之授權簽章G4。授權者B可向時效性授權註冊子系統40註冊以產生此授權檔案F，且此授權檔案F可於授權時限G2未過期前暫存於時效性授權註冊子系統40中。

授權者B與權限被授予者(如使用者C)可分別透過第一時效性授權身分資訊載具21與第二時效性授權身分資訊載具30各自向時效性授權註冊子系統40申請下載屬於自身身分之授權檔案F，且授權者B之第一時效性授權身分資訊載具21或權限被授予者(如使用者C)之第二時效性授權身分資訊載具30可利用身分金鑰E1透過公鑰基礎建設(PKI)技術取得身分憑證E2。由於簽章認證通過才能下載屬於自身之授權檔案F，故此授權檔案F中之對象憑證G1會與身分憑證E2一致。當簽章認證通過將下載授權檔案F前，時效性授權註冊子系統40可使用時效性授權註冊子系統40之私鑰將此授權檔案F加註註冊系統簽章H，再由時效性授權驗證子系統50驗證所加註之註冊系統簽章H以確認授權檔案F之來源確實為來自於時效性授權註冊子系統40。

圖3為本發明所述具實名認證之時效性授權系統1及其方法中有關授權者B之權限註冊方法之示意圖，並參閱圖1至圖2予以說明。

在圖3之步驟S11中，授權者B可使用第一時效性授權身分資訊載具21向服務提供端A取得屬於授權者B之權限代碼清單10，且此權限代碼清單10可以不必寫入第一時效性授權身分資訊載具21。

在圖3之步驟S12中，授權者B可將所擁有之權限以服務提供端A自訂或定義之權限代碼G3之形式搭配授權者B自訂或定義之授權時限G2，向時效性授權註冊子系統40申請註冊。例如，權限代碼G3可採用二進位數字表示為“00010010”，亦即以二進位數字“00010010”表示第五權限與第二權限，且第五權限與第二權限所對應之權限可於透過服務提供端A驗證通行時才實際得知為何種權限。授權者B可自訂或定義授權檔案F中之授權時限G2(如時效限制)為未來一段時間(如30天)內可存取之次數(如3次)，當授權者B向時效性授權註冊子系統40申請註冊成功時，時效性授權註冊子系統40可產生授權檔案F，故擁有此授權檔案F即代表對服務提供端A之第五權限與第二權限於未來一段時間(如30天)內存取之次數為3次。

圖4為本發明所述具實名認證之時效性授權系統1及其方法中有關權限被授予者之權限申請方法之示意圖，並參閱圖1至圖2予以說明。

在圖4之步驟S21中，權限被授予者(如使用者C)可透過所擁有之第二時效性授權身分資訊載具30向時效性授權註冊子系統40申請下載對應權限被授予者(如使用者C)之身分之授權檔案F。

在圖4之步驟S22中，時效性授權註冊子系統40可產生防偽參數，以要求權限被授予者(如使用者C)之第二時效性授權身分資訊載具30利用身分金鑰E1對防偽參數進行簽章，再由時效性授權註冊子系統40利用授權檔案F中之對象憑證G1對已簽章完成之防偽參數進行驗簽。

在圖4之步驟S23中，當利用授權檔案F中之對象憑證G1對已簽章完成之防偽參數進行驗簽之結果為驗簽通過時，代表第二時效性授權身分資訊載具30之持有者(如真正持有者/本人)為此授權檔案F之授權對象，故時效性授權註冊子系統40可對授權檔案F加註註冊系統簽章H以表示此行為已由時效性授權註冊子系統40確認合規，再由時效性授權註冊子系統40下載經加註註冊系統簽章H後之授權檔案F以寫入權限被授予者(如使用者C)之第二時效性授權身分資訊載具30。

圖5為本發明所述具實名認證之時效性授權系統1及其方法中有關服務提供端A之驗證權限時效方法之示意圖，並參閱圖1至圖2與圖4予以說明。

在圖5之步驟S31中，權限被授予者(如使用者C)可透過第二時效性授權身分資訊載具30提供授權檔案F與註冊系統簽章H予時效性授權驗證子系統50進行驗證，以由時效性授權驗證子系統50依據時效性授權註冊子系統之憑證51驗證被寫入第二時效性授權身分資訊載具30中之註冊系統簽章H。

在圖5之步驟S32中，當時效性授權驗證子系統50對註冊系統簽章H驗證通過時，時效性授權驗證子系統50可產生防偽參數，以要求權限被授予者(如使用者C)之第二時效性授權身分資訊載具30使用身分金鑰E1對防偽參數進行簽章，再由時效性授權驗證子系統50將已簽章完成之防偽參數取回後以授權檔案F中之對象憑證G1對防偽參數進行驗簽。

在圖5之步驟S33中，當時效性授權驗證子系統50對防偽參數驗簽通過時，由時效性授權驗證子系統50將時效紀錄模組52所紀錄之對象憑證G1之使用時間或使用次數比對授權檔案F中之授權時限G2，以由時效性授權驗證子系統50依據比對之結果判定對象憑證G1之使用時間或使用次數是否超過授權檔案F中之授權時限G2(如使用效期)。例如，若對象憑證G1之使用時間(如31天)已超過門檻時間(如30天)、或者對象憑證G1之使用次數(如4次)已超過門檻次數(如3次)，則時效性授權驗證子系統50確定對象憑證G1之使用時間或使用次數已超過授權時限G2。

在圖5之步驟S34中，當時效性授權驗證子系統50對授權檔案F或註冊系統簽章H之來源及時效皆驗證通過時，時效性授權驗證子系統50可將授權檔案F中之權限代碼G3與授權簽章G4提供予服務提供端A以驗證授權檔案F之身分，並依據上述事前程序(事前步驟)所自訂或定義之授權者B之權限代碼清單10之核可權限對持有第二時效性授權身分資訊載具30之權限被授予者(如使用者C)開放權限。

另外，本發明還提供一種針對具實名認證之時效性授權方法之電腦可讀媒介，係應用於具有處理器及/或記憶體之計算裝置或電腦中，且電腦可讀媒介儲存有指令，並可利用計算裝置或電腦透過處理器及/或記憶體執行電腦可讀媒介，以於執行電腦可讀媒介時執行上述內容。例如，處理器可為微處理器、中央處理器(CPU)、圖形處理器(GPU)等，記憶體可為隨機存取記憶體(RAM)、記憶卡、硬碟(如雲端/網路硬碟)、資料庫等，但不以此為限。

綜上，本發明所述具實名認證之時效性授權系統、方法及電腦可讀媒介至少具有下列特色、優點或技術功效。

一、本發明能透過授權者之第一時效性授權身分資訊載具、權限被授予者(使用者)之第二時效性授權身分資訊載具、時效性授權註冊子系統與時效性授權驗證子系統等互相配合，以利授權者可分人(不同使用者)、分時(不同時間)或分權(不同權限)授予權限給權限被授予者。

二、相較於現行授權技術或傳統中央集權式之驗證方式，本發明係提供去中心化之權限驗證機制，以使授權者與權限被授予者彼此在權限授權及權限取得上能非同步進行，有利於權限被授予者於取得或利用權限時毋須授權者重複確認同意，亦利於權限之利用能支援不定時授權之形式。

三、本發明能實現去中心化之不定時授權，以利改變原本授權使用情境之局限性。同時，為了避免任何中心化之系統(如戶政或健保之資料庫系統等)偽造權限資料之疑慮，本發明除於授予權限時會驗證中心系統之簽章外，亦會一併驗證授權者確實核發此權限以及權限被授予者確實擁有對應此權限之第二時效性授權身分資訊載具，以提供安全保障。

四、本發明能提供去中心化之權限驗證機制，以利權限被授予者實際欲使用權限時，能利用第二時效性授權身分資訊載具中之資訊(如身分金鑰/身分憑證/授權檔案/註冊系統簽章)，即可向時效性授權驗證子系統請求驗證身分及權限，且此種操作方式可以在離線環境下進行而毋須與線上系統連線。

五、本發明能提供授權者與權限被授予者在非同步之場景下，讓授權者得以獨立制訂授權範圍、授權對象、授權時限及/或授權驗證，亦利於權限被授予者透過時效性授權驗證子系統完成身分驗證與授權驗證。

六、本發明能提供非同步授權之方式，以利授權者透過電子裝置提前或預先註冊授權對象(如使用者)、授權時限(如時效)、權限等資訊，且權限被授予者於後續申請、使用驗證等時機可以毋須再次通知或請求授權者之核可，有利於授權者能批次授權多個對象(如多個權限被授予者)，亦利於免除授權者後續再次確認授權相關事宜之干擾。

七、本發明能提供不定時授權及支援授權時限之最小化，以利於權限被授予者(使用者)需要擁有權限之時間(時機)未能確定時仍可以限制授權時限，而非整段或全部時間皆開放權限，例如授權者可以限制權限被授予者(使用者)只能自行於授權時限內選擇一段時間(如一天)擁有權限，而非授權時限內整段或全部時間(如每一天)皆可擁有此權限。

八、本發明可能應用之產業為例如需進行身分識別與授權驗證之公司、機關、組織或行業(如公務機關、金融業、證券業、電信業、資訊業、資訊安全業等)，且可能應用之產品為例如身分識別證件、身分識別載具、個人行動裝置等，但不以此為限。

上述實施形態僅例示性說明本發明之原理、特點及其功效，並非用以限制本發明之可實施範疇，任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下，對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾，均仍應為申請專利範圍所涵蓋。因此，本發明之權利保護範圍應如申請專利範圍所列。