WO2021243592A1

WO2021243592A1 - 用于第三方认证的身分的注册与接入控制方法

Info

Publication number: WO2021243592A1
Application number: PCT/CN2020/094083
Authority: WO
Inventors: 许乃赫; 李纪广; 陈俞任
Original assignee: 铨鸿资讯有限公司
Priority date: 2020-06-03
Filing date: 2020-06-03
Publication date: 2021-12-09

Abstract

本发明提出一种用于第三方认证的身分的注册与接入控制方法，包括注册步骤与接入控制步骤。注册步骤包括：于控制用户端计算机设备取得用户的身分证件的身分影像；对身分影像执行处理以获得解析身分数据；自身分证件取得内嵌身分数据；于比对数据相符时设定并注册身分数据。接入控制步骤包括：控制用户端计算机设备于收到来自身分接入请求时，对用户进行身分验证；于用户通过身分验证时，产生并回传对应的回传身分数据至请求端计算机设备。本发明可有效确保注册用户的真实性，杜绝假账号的注册，大幅简化注册流程，并提升身分接入控制的安全性。

Description

用于第三方认证的身分的注册与接入控制方法

技术领域

本发明与身分认证有关，特别有关于用于第三方认证的身分的注册与接入控制方法。

背景技术

于现有身分注册方式(如购物网站或其他服务网站的会员注册)中，多是由用户自行输入身分数据来完成注册。上述注册方式由于无法验证用户输入的身分数据进行真实性，而无法杜绝假账号的注册。

目前另有一种注册方式，用户必须于注册时提供身分证件的影像，以供验证所输入身分数据的真实性。上述注册方式由于无法验证身分证件的影像的真实性，并无法确认用户是否确实持有此身分证件，同样无法杜绝假账号的注册。

此外，于现有身分接入控制方式中，各个网站间并不能共享会员数据，这使得当用户欲使用不同网站的服务时，不仅需重新注册来达成身分认证，还必须同时记得多个网站的账号密码，这对用户造成相当大的不便。

是以，现有身分注册与接入控制方式存在上述问题，而亟待更有效的方案被提出。

发明内容

本发明的主要目的，在于提供一种用于第三方认证的身分的注册与接入控制方法，可于注册过程中确认用户是否确实持有用于注册的身分证件，并可于数据接入控制过程中以第三方认证方式来提供用户的真实的身分数据给网站。

为达上述目的，本发明提供一种用于第三方认证的身分的注册与接入控制方法，包括以下步骤：于注册模式下于用户端计算机设备取得用户的身分证件的身分影像，其中身分影像是经由影像撷取模块拍摄身分证件的身分数据页所获得；对身分影像执行光学文字识别处理及身份解析处理以获得解析身分数据；经由用户端计算机设备的通信模块自身分证件取得内嵌身分数据；于比对解析身分数据与内嵌身分数据至少部分相符时，依据解析身分数据与内嵌身分数据的至少其中的一设定用户的身分数据并进行注册；于接入控制模式下于用户端计算机设备收到来自请求端计算机设备的身分接入请求时，对当前的用户进行身分验证；及，于当前的用户通过身分验证时，依据用户的身分数据及身分接入请求产生回传身分数据，并回传至请求端计算机设备。

本发明可有效确保注册用户的真实性，杜绝假账号的注册，大幅简化认证流程，并可提升身分接入控制的安全性。

附图说明

图1为本发明一实施例的身分接入控制***的架构图。

图2为本发明第一实施例的身分注册的流程图。

图3为本发明第二实施例的身分接入控制的流程图。

图4为本发明第三实施例的身分注册的流程图。

图5为本发明第四实施例的身分注册的部分流程图。

图6为本发明第五实施例的身分接入控制的流程图。

图7为本发明一实施例的身分注册操作的示意图。

图8为本发明一实施例的身分接入控制操作的第一示意图。

图9为本发明一实施例的身分接入控制操作的第二示意图。

图10为本发明一实施例的保存身分数据的示意图。

图11为本发明一实施例的保存身分数据的示意图。

图12为本发明一实施例的保存身分数据的示意图。

组件标号说明：

1…身分接入控制***

10…用户端计算机设备

100…处理模块

101…影像撷取模块

102…通信模块

103…连网模块

104…生物特征撷取模块

105...人机界面

106…存储模块

1060…计算机程序

107…安全模块

108…安全输入模块

20…身分证件

200…运算单元

21…身分注册卡

210…运算单元

211…验证输入模块

212…指示模块

30…网络

31…云端服务器

32…请求端计算机设备

33…区块链

40…显示模块

5…外部计算机设备

60-61...影像

62、64...信息

63…按键

70…身分证件

701…运算单元

702...照片

703…字段数据

704…机械可读取码

71...影像

80…身分注册卡

800…运算单元

801…输入模块

81…身分注册卡

82...安全模块

820…安全输入模块

S10-S17…第一注册步骤

S20-S26…第一接入控制步骤

S30-S39…第二注册步骤

S40-S41…数据比对步骤

S42-S44…注册步骤

S50-S58…第二接入控制步骤

具体实施方式

以下在实施方式中详细叙述本发明的详细特征以及优点，其内容足以使任何熟习相关技艺者了解本发明的技术内容并据以实施，且根据本说明书所揭露的内容、权利要求书及说明书附图，任何熟习相关技艺者可轻易地理解本发明相关的目的及优点。以下的实施例进一步详细说明本发明的观点，但非以任何观点限制本发明的范畴。

请参阅图1，为本发明一实施例的身分接入控制***的架构图。本发明公开了一种身分接入控制***1，可用来执行后述的用于第三方认证的身分的注册与接入控制方法。身分接入控制***1可接受用户注册并验证用户所提供的身分证件的真实性，以取得用户的真实的身分数据。并且，身分接入控制***1还可提供第三方认证功能，来提供用户的真实的身分数据至指定的请求端计算机设备32(如网站的注册服务器)以快速地完成身分认证，而使用户不须进行手动注册即可使用请求端计算机设备32所提供的服务。

值得一提的是，于本发明中，使用者所持有的身分证件20设置有运算单元200(如芯片护照或是芯片身分证)，而不是单纯纸本证件。前述运算单元200存储有用户的电子的身分数据(如姓名、出生日期、证件编号及/或国籍等等，即内嵌身分数据)。

并且，前述运算单元200所存储的内嵌身分数据报括身分证件20以印刷方式呈现的内容(即身分证件20的内嵌身分数据页所记载的内容)的全部或部分。

在一实施例中，运算单元200还可存储身分证件20未以印刷方式呈现的内容(如指纹特征或虹膜特征之类的用户生物特征，或用户的地址或电话号码之类的个人数据等等)。

身分接入控制***1包括用户端计算机设备10。用户端计算机设备10(如智能型手机、穿戴式设备、平板计算机、笔记本电脑等等)可由用户所持有，并可包括影像撷取模块101、通信模块102、连网模块103及电性连接上述模块的处理模块100。

影像撷取模块101(如照相机)用以拍摄外部影像。通信模块102用以与外部设备(如身分证件20的运算单元200)建立近距离(包括接触式)通信。连网模块103(如行动网络模块、Wi-Fi模块或以太网络模块)用以连接网络30(如因特网)以进行数据通信。处理模块100用以控制用户端计算机设备10。

在一实施例中，通信模块102可为无线近距离通信模块，如NFC模块、蓝牙模块、超音波模块等等，或者为接触式通信模块，如接触式IC卡卡片阅读机。并且，身分证件20可包括电性连接运算单元200的通信接口。前述通信接口是采用与通信模块102兼容的通信技术，而可与通信模块102进行数据通信。

本发明经由采用近距离通信来取得身分证件20的运算单元200所存储的内嵌身分数据，可确保用户确实持有身分证件20，而避免身分证件20的盗用。

在一实施例中，用户端计算机设备10更包括电性连接处理模块100的人机接口105(如按键模块、触控模块等输入模块及/或显示模块、指示灯等输出模块)。人机接口105用以接受用户操作并提供用户信息。

在一实施例中，用户端计算机设备10更包括电性连接处理模块100的存储模块106。存储模块106用以存储数据。

在一实施例中，存储模块106可包括非瞬时存储媒体，前述非瞬时存储媒体存储有计算机程序1060(如应用程序)，计算机程序1060包括有计算机可执行程序代码。处理模块100通过执行前述计算机可执行程序代码，可进一步实现本发明各实施例的方法。

本发明的用于第三方认证的身分的注册与接入控制方法主要包括注册流程(即后述的注册模式)与接入控制流程(即后述的注册模式)。以下将分别就注册流程与接入控制流程进行说明。

续请同时参阅图1、图2及图7，图2为本发明第一实施例的身分注册的流程图，图7为本发明一实施例的身分注册操作的示意图。本实施例的注册流程包括以下步骤。

步骤S10：用户端计算机设备10依据用户操作(或于指定条件满足时)切换至注册模式，以开始为用户进行身分注册。

步骤S11：处理模块100取得用户的身分证件的身分影像。

在一实施例中，如图7所示，用户所拥有的身分证件70可设置有运算单元701(运算单元701是与前述运算单元200相同或相似，于此不再赘述)，并有印刷形式的身分数据页。身分数据页可包括用户的照片702、用户的身分数据的多个字段数据703(以图7为例，姓名为Andy Lee，发照地为Taipei City，出生日期为1980年1月1日)。用户可操作用户端计算机设备10使用影像撷取模块101拍摄身分证件70的身分数据页以获得身分影像71。并且，用户端计算机设备10可经由人机接口105(图7以显示模块40为例)实时显示所拍摄的身分影像71以供用户确认影像质量。

在一实施例中，身分证件70的身分数据页可进一步记载一组机械可读取码704。机械可读取码704(如对加密多个字段数据703进行编码所产生)是用以验证字段数据703的真实性的防伪机制，其具体验证方式将于后续进行说明。

步骤S12：处理模块100对所获得的身分影像执行光学文字识别处理以识别身分影像71中的多个字符与其排列方式，并进一步对所示别出的多个字符与其排列方式执行身份解析处理以经由分析多个字符与其排列方式来获得解析身分数据，即前述的解析身分数据是记录有多个字段数据703及/或机械可读取码704。

步骤S13：处理模块100经由通信模块102自身分证件取得内嵌身分数据。

在一实施例中，如图7所示，通信模块102可为NFC模块(亦可改为RFID模块)，身分证件70可包括电性连接运算单元701的NFC通信接口。用户可于通信模块102被致能后将身分证件70靠近通信模块102以进行近场感应通信。藉此，处理模块100可经由通信模块102及NFC通信界面向运算单元701请求内嵌身分数据(并提供运算单元701与NFC通信接口运作所需电力)，并且，运算单元701可回传内嵌身分数据至用户端计算机设备10。

在一实施例中，通信模块102可为接触式IC卡卡片阅读机，用户可将身分证件20***通信模块102，即使通信模块102接触运算单元200。藉此，用户端计算机设备10可自运算单元200取得内嵌身分数据。

步骤S14：处理模块100比对经由光学识别所获得的解析身分数据与经由电子通信所获得的内嵌身分数据是否相符(如比较内容是否完全相符或部分相符)。

在一实施例中，处理模块100是与解析身分数据与内嵌身分数据完全相符时才判定两者相符，但不以此限定。

在一实施例中，只要解析身分数据与内嵌身分数据有相符时(即有部分数据内容是重复的)，处理模块100便可判定两者相符。

在一实施例中，如图7所示，处理模块100是比对解析身分数据中的机械可读取码704与内嵌身分数据所记录的机械可读取码是否相符。

在一实施例中，处理模块100是译码解析身分数据中的机械可读取码704为多个字段数据，并比较译码获得的多个解析字段数据与内嵌身分数据所记录的多个内嵌字段数据是否相符。

若处理模块100比对解析身分数据与内嵌身分数据相符，则执行步骤S15。否则，处理模块100执行步骤S17。

步骤S15：处理模块100依据解析身分数据与内嵌身分数据设定用户的身分数据。

具体而言，处理模块100可将解析身分数据直接设定为用户的身分数据，或将内嵌身分数据直接设定为用户的身分数据。由于光学文字辨识与身分解析处理有可能发生错误，当直接将内嵌身分数据设定为用户的身分数据时，可避免上述处理错误造成设定了错误的身分数据。

步骤S16：处理模块100依据所设定用户的身分数据进行身分注册，如将此用户的身分数据上传至网络30或者存储于存储模块106，不加以限定。

于步骤S14中，若处理模块100比对解析身分数据与内嵌身分数据不符，则执行步骤S17：处理模块100经由人机接口105发出错误提示(如发出警示声或显示错误信息)，以指示用户注册失败，即身分证件20的身分信息页的内容与运算单元的200的数据不符，如身分证件20可能是伪造的，或是光学识别所获得的解析身分数据可能有误。

本发明经由对注册用的身分证件进行双重验证可有效确保注册用户的真实性，避免恶意用户使用伪造证件进行注册或输入伪造的身分数据。

续请同时参阅图1及图3，图3为本发明第二实施例的身分接入控制的流程图。具体而言，用户于完成身分数据的注册后，即可使用快速认证功能。本实施例的接入控制流程包括用以实现快速认证功能的以下步骤。

步骤S20：用户端计算机设备10的处理模块100依据用户操作(或于指定条件满足时)切换至接入控制模式，以开始为用户进行身分的快速认证。

步骤S21：处理模块100判断是否收到来自请求端计算机设备32的身分接入请求。

具体而言，如图1所示，用户端计算机设备10的连网模块103可经由网络30连接请求端计算机设备32(如购物网站或其他服务网站的服务器)。当用户欲使用服务而必须进行身分认证(如登入网站)时，请求端计算机设备32可产生身分接入请求来向用户端计算机设备10请求用户的身分数据以认证用户的身分。

若处理模块100收到来自请求端计算机设备32的身分接入请求时，则执行步骤S22。否则，处理模块100再次执行步骤S21。

步骤S22：处理模块100对当前的用户进行身分验证以确认当前的用户是否为已注册的用户本人。

在一实施例中，前述身分验证可为生物特征验证(如指纹辨识、虹膜辨识、静脉辨识等等)、人脸影像验证(即比对当前的用户的人脸影像与预存的为已注册的用户人脸影像是否相符)、密码验证(如比对当前的用户所输入的字符串密码或图形密码是否与默认的字符串密码或图形密码相符)、操作验证(比对当前的用户所输入的操作行为是否与预设的操作行为相符，如按压指定的按键)或问答验证(如显示默认的问题，并判断当前的用户所回答的答案是否正确)。

在一实施例中，前述身分验证可为用户端计算机设备10的软件锁(如屏幕锁定)，如于用户端计算机设备10已解除屏幕锁定时判定当前的用户通过身分验证。

若处理模块100判断当前的用户通过身分验证，则执行步骤S23。否则，处理模块100执行步骤S26。

步骤S23：处理模块100取得已通过身分验证的用户先前注册的身分数据。

步骤S24：处理模块100依据用户的身分数据及身分接入请求产生回传身分数据。

在一实施例中，身分数据报括多个字段数据(如照片、姓名、出生日期、住址等等)。处理模块100是依据身分接入请求选择多个字段数据的部分，并以所选择的字段数据来产生回传身分数据。藉此，可避免提供非必要的字段数据，而造成用户的其他身分数据外流。

步骤S25：处理模块100回传所产生的回传身分数据至请求端计算机设备32。接着，请求端计算机设备32依据所收到的回传身分数据对用户进行认证，并于认证通过后，授权用户使用网站服务。

若处理模块100判断当前的用户未通过身分验证，则执行步骤S26：处理模块100经由人机接口105发出错误提示，以指示身分验证失败，即当前的用户并非已注册的用户。并且，于此情况下，处理模块100不会产生或传送已注册用户的回传身分数据至请求端计算机设备32，以避免已注册用户的身分数据外流。

请同时参阅图8及图9，图8为本发明一实施例的身分接入控制操作的第一示意图，图9为本发明一实施例的身分接入控制操作的第二示意图。图8及图9用以示例性说明本发明的快速认证功能的一种实施方式。

首先，如图8所示，当用户希望于使用外部计算机设备5(如台式计算机)使用请求端计算机设备32的服务时，需先进行身分认证，请求端计算机设备32可将前述身分接入请求嵌入于二维条形码60中(亦可改用其他机械可读取格式)并传送至外部计算机设备5以显示于外部计算机设备5的显示器。

接着，用户可操作用户端计算机设备10的影像撷取模块101拍摄二维条形码60以获得输入条形码影像61，并对输入条形码影像61进行译码以获得身分接入请求。

接着，如图9所示，用户端计算机设备10可解析身分接入请求，并将解析获得的信息62(如请求者名称、请求的字段数据、请求者是否通过验证等等)显示于显示模块40。

更进一步地，用户端计算机设备10还提供同意请求键63，当用户通过身分验证后可直接按下同意请求键63来允许身分接入，即发送回传身分数据至请求端计算机设备32。

最后，请求端计算机设备32于判断回传身分数据通过认证后，可显示认证结果信息64(如登入完成)，并允许外部计算机设备5使用服务。藉此，用户不须手动于请求端计算机设备32进行注册也可完成身分认证并使用服务。

本发明经由于用户通过身分验证后才提供身分数据，可提升身分接入控制的安全性。

并且，本发明经由以第三方认证方式来提供网站所需的真实的用户的身分数据，可大幅简化认证程序，让用户快速使用网站的服务，并杜绝假账号的注册。

续请同时参阅图1及图4，图4为本发明第三实施例的身分注册的流程图。于本实施例中，对于用户的本人验证提出了不同的实施方式。本实施例的注册流程包括以下步骤。

步骤S30：用户端计算机设备10切换至注册模式。

步骤S31：处理模块100经由影像撷取模块101取得用户的身分证件的身分影像。

步骤S32：处理模块100对身分影像执行光学文字识别处理及身份解析处理以获得解析身分数据。

步骤S33：处理模块100经由通信模块102自身分证件取得内嵌身分数据。

在一实施例中，内嵌身分数据更包括内嵌脸部影像及/或内嵌生物特征。

步骤S34：处理模块100经由影像撷取模块101拍摄用户以获得用户脸部影像。

步骤S35：处理模块100经由生物特征撷取模块撷取用户的用户生物特征。

具体而言，如图1所示，用户端计算机设备10更包括电性连接处理模块100的生物特征撷取模块104(如指纹辨识模块、虹膜辨识模块或静脉辨识模块等等)。生物特征撷取模块104可用来撷取用户的生物特征(指纹特征、虹膜特征或静脉特征等等)。

步骤S36：处理模块100比对内嵌身分数据是否符合解析身分数据，且与用户本人相符(如用户脸部影像是否符合内嵌身分数据的内嵌脸部影像、及/或用户生物特征是否符合内嵌身分数据的内嵌生物特征)。

若处理模块100判断数据相符时，则执行步骤S37。否则，处理模块100执行步骤S39。

步骤S37：处理模块100依据内嵌身分数据设定此用户的身分数据。

步骤S38：处理模块100依据所设定用户的身分数据进行身分注册。

若处理模块100判断数据不符时，则执行步骤S39：处理模块100经由人机接口105发出错误提示。

本发明经由结合用户的脸部与生物特征进行验证，可有效提升验证安全性，并有效判断当前用户是否为活体(即避免使用电子数据来仿冒注册)。

续请同时参阅图1、图2、图5、图10、图11及图12，图5为本发明第四实施例的身分注册的部分流程图，图10为本发明一实施例的保存身分数据的示意图，图11为本发明一实施例的保存身分数据的示意图，图12为本发明一实施例的保存身分数据的示意图。相较于图2所示的注册流程，于本实施例中，注册流程的步骤S14更包括步骤S40-S41，步骤S16更包括步骤S42-S44。

具体而言，用户端计算机设备10于取得解析身分数据(步骤S12)及取得内嵌身分数据(步骤S13)后可执行以下步骤。

步骤S40：处理模块100对解析身分数据的多个解析字段数据执行加密处理以产生解析密文数据。

在一实施例中，前述加密处理是不可逆的加密，如哈希(hash)处理。处理模块100是对解析身分数据执行哈希处理来获得一组哈希值(hash value)并作为解析密文数据。

更进一步地，处理模块100是对解析身分数据的多个解析字段数据分别执行哈希处理来获得多组哈希值，再依据多组哈希值产生解析密文数据(如对多组哈希值再执行一次哈希处理)。

步骤S41：处理模块100比对解析密文数据与内嵌身分数据的内嵌密文数据是否相符，以判断解析身分数据与内嵌身分数据是否相符。

在一实施例中，处理模块100可依据内嵌身分数据取得一组公钥(如经由公钥基础建设(PKI)取得)，并比对公钥是否与解析密文数据及内嵌密文数据相符，以判断身分证件20的真实性。

若处理模块100比对数据相符，则用户端计算机设备10依据内嵌身分数据(或解析身分数据)来设定用户的身分数据(步骤S15)。若处理模块100比对数据不符，则执行步骤S17以发出错误提示。

在一实施例中，处理模块100可依据内嵌身分数据的一或多个内嵌字段数据设定用户的身分数据的多个字段数据。

于设定完成，用户端计算机设备10接着执行以下步骤S42-S44的至少其中之一来对用户的身分数据进行注册。

步骤S42：连网模块103可经由网络30连接云端服务器31或区块链33，处理模块100可加密用户的身分数据为密文身分数据，并将密文身分数据上传至区块链33或云端服务器31。

步骤S43：处理模块100经由用户端计算机设备10的安全模块107加密用户的身分数据为密文身分数据，并将密文身分数据存储于用户端计算机设备10的存储模块106。

具体而言，如图1所示，用户端计算机设备10更包括电性连接处理模块100的安全模块107(如Google的Titan M芯片)。安全模块107是独立设置而可独立运作不受处理模块100的限制。

于本发明中，安全模块107可用来对存储于存储模块106的机敏数据(如身分数据)进行独立加密以产生加密数据(如密文身分数据)，或者对已加密数据进行解密以还原为未加密的机敏数据。由于处理模块100并无法得知机敏数据的加密算法与密钥为何，并无法自行对加密数据进行解密，这进一步提升了数据的安全性。

在一实施例中，用户端计算机设备10更包括电性连接安全模块107的安全输入模块108(如实体按键或传感器)。安全模块107是于安全输入模块108被触发后才会对数据执行加密或解密。由于安全输入模块108并未连接处理模块100，处理模块100无法以软件方式仿真安全输入模块108的触发信号来欺骗安全模块107执行加密/解密，更进一步提升了数据的安全性。

举例来说，如图12所示，用户端计算机设备10设置有安全模块82，并设置有安全输入模块820(于此为实体按键)。当欲对数据执行加密或解密(如图9所示显示模块40的画面)时，用户可直接按下安全输入模块820以控制安全模块82执行加密或解密，而不是经由处理模块100执行加密或解密。

步骤S44：处理模块100经由通信模块102传输用户的身分数据至用户的身分注册卡21的运算单元210以将用户的身分数据加密存储于运算单元210。

具体而言，如图1所示，身分接入控制***1可包括身分注册卡21。身分注册卡21包括运算单元210。用户端计算机设备10可经由通信模块102将所取得的用户的身分数据存储于身分注册卡21的身分芯片210。本发明经由将身分数据保存于独立的身分注册卡21，可避免因遗失用户端计算机设备10而导致用户的身分数据外泄。更进一步地，身分注册卡21可包括电性连接运算单元210的通信接口。前述通信接口是采用与通信模块102兼容的通信技术，而可与通信模块102进行数据通信。

在一实施例中，身分注册卡21可进一步包括电性连接运算单元210的验证输入模块211与指示模块212。验证输入模块211(如指纹辨识模块、按键组或其他可产生不同输入信号的输入模块)用以接受用户的验证输入(如输入指纹或密码)，以供运算单元210验证输入是否正确(如与预存的指纹或密码相符)。若运算单元210验证输入正确，则可允许身分注册卡21自接收用户端计算机设备10接收并存储身分数据，或者读取并传送用户的身分数据至身分数据。

举例来说，如图10所示，身分注册卡80包括NFC通信界面。当用户欲接入身分数据时，可将身分注册卡80靠近用户端计算机设备10的通信模块102以建立NFC联机。

接着，用户可经由身分注册卡80的输入模块801输入密码(如指纹或字符串密码)。身分注册卡80的运算单元800于验证密码正确时可允许用户端计算机设备10读取(于接入控制模式下)或写入(于注册模式下)身分数据。

于另一例子中，如图11所示，身分注册卡81是可卸式连接通信模块102。当用户将身分注册卡81***通信模块102中时，可实现前述的身分数据读写功能。

藉此，本发明可提供多种安全存放用户的身分数据的方式，而可提升信息安全，避免身分数据遭窃取。

续请同时参阅图1及图6，图6为本发明第五实施例的身分接入控制的流程图。本实施例的接入控制流程包括用以实现快速认证功能的以下步骤。

步骤S50：用户端计算机设备10的处理模块100切换至接入控制模。

步骤S51：处理模块100处理模块100判断是否收到来自请求端计算机设备32的身分接入请求。

若处理模块100收到来自请求端计算机设备32的身分接入请求时，则执行步骤S52。否则，处理模块100再次执行步骤S51。

步骤S52：处理模块100对身分接入请求进行解析以取出身分接入请求的请求端数字签名，并对请求端数字签名进行请求端验证，即验证请求端数字签名是否经过合法认证或是否有效。

若处理模块100判断身分接入请求的请求端数字签名通过验证，则执行步骤S53。否则，处理模块100执行步骤S58。

步骤S53：处理模块100处理模块100对当前的用户进行身分验证。

若处理模块100判断当前的用户通过身分验证，则执行步骤S54。否则，处理模块100执行步骤S58。

步骤S54：处理模块100取得用户所对应的密文身分数据，并对密文身分数据进行解密以获得明文的身分数据。

在一实施例中，如图1所示，处理模块100自区块链33或云端服务器31取得用户所对应的密文身分数据，并使用解密密钥对密文身分数据进行解密以获得明文的身分数据。

在一实施例中，如图1、12所示，处理模块100自用户端计算机设备10的存储模块106读取用户所对应的密文身分数据，并(于安全输入模块108(或安全输入模块820)被触发时)经由用户端计算机设备10的安全模块107(或安全模块82)对密文身分数据进行解密以获得明文的身分数据。

在一实施例中，如图1、10、11所示，处理模块100经由通信模块102连接身分注册卡21(或身分注册卡80、81)，身分注册卡21的运算单元210(或身分注册卡80的运算单元800)判断当前的用户通过身分验证时，对所存储的密文身分数据进行解密以获得明文的身分数据，并经由通信模块102传送明文的身分数据至用户端计算机设备10。

步骤S55：处理模块100依据身分接入请求选择用户的身分数据的多个字段数据的部分。

步骤S56：处理模块100依据所选择的部分字段数据产生回传身分数据。

步骤S57：处理模块100回传所产生的回传身分数据至请求端计算机设备32。

在一实施例中，所选择的部分多个字段数据是以明文方式或可逆加密方式被记录于回传身分数据。

若处理模块100判断请求端数字签名未通过验证或用户未通过身分验证，则执行步骤S58：处理模块100经由人机接口105发出错误提示以指示请求端验证失败或身分验证失败。

藉此，本发明可确保请求端的真实性，并降低身分数据遭窃的风险。

虽然本发明以前述的实施例揭露如上，然其并非用以限定本发明。在不脱离本发明的精神和范围内，所为的更动与润饰，均属本发明的权利要求范围。关于本发明所界定的保护范围请参考所附的权利要求书。

Claims

一种用于第三方认证的身分的注册与接入控制方法，其特征为，包括以下步骤：

a)于一注册模式下于一用户端计算机设备取得一用户的一身分证件的一身分影像，其中该身分影像是经由一影像撷取模块拍摄该身分证件的身分数据页所获得；

b)对该身分影像执行一光学文字识别处理及一身份解析处理以获得解析身分数据；

c)经由该用户端计算机设备的一通信模块自该身分证件取得内嵌身分数据；

d)于比对该解析身分数据与该内嵌身分数据至少部分相符时，依据该解析身分数据与该内嵌身分数据的至少其中之一设定该用户的身分数据并进行注册；

e)于一接入控制模式下于该用户端计算机设备收到来自一请求端计算机设备的一身分接入请求时，对当前的该用户进行一身分验证；及

f)于当前的该用户通过该身分验证时，依据该用户的该身分数据及该身分接入请求产生回传身分数据，并回传至该请求端计算机设备。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该通信模块为一NFC模块或一蓝芽模块，该步骤c)是于该通信模块感应到该身分证件的一运算单元时，自该运算单元接收该内嵌身分数据。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该通信模块为一智能卡读写模块，该步骤c)是于该通信模块接触该身分证件的一运算单元时，自该运算单元接收该内嵌身分数据。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该解析身分数据报括多个解析字段数据；

该步骤d)包括以下步骤：

d1)对该解析身分数据的该多个字段数据执行一加密处理以产生解析密文数据；及

d2)于比对该解析密文数据与该内嵌身分数据的内嵌密文数据相符时，判定该解析身分数据与该内嵌身分数据相符。
如权利要求4所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该内嵌身分数据报括多个内嵌字段数据，该步骤d)更包括以下步骤：

d3)依据该内嵌字段数据设定该用户的该身分数据的多个字段数据；及

d4)对该用户的该身分数据进行注册。
如权利要求5所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤d4)包括加密该用户的该身分数据为一密文身分数据，并将该密文身分数据上传至一区块链或一云端服务器。
如权利要求5所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤d4)包括经由该用户端计算机设备的一安全模块加密该用户的该身分数据为一密文身分数据，并将该密文身分数据存储于该用户端计算机设备。
如权利要求5所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤d4)包括经由该通信模块传输该用户的该身分数据至该用户的一身分注册卡的一运算单元以将该用户的该身分数据加密存储于该身分注册卡的该运算单元。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该身分验证为一生物特征验证、一人脸影像验证、一密码验证、一操作验证或一问答验证。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤f)包括以下步骤：

f1)于当前的该用户通过该身分验证时，取得该用户所对应的一密文身分数据，并对该密文身分数据进行解密以获得明文的该身分数据；

f2)依据该身分接入请求选择该用户的该身分数据的多个字段数据的部分；及

f3)依据所选择的部分该多个字段数据产生该回传身分数据，并回传至该请求端计算机设备，其中所选择的部分该多个字段数据是以明文方式或可逆加密方式被记录于该回传身分数据。
如权利要求10所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤f1)包括自一区块链或一云端服务器取得该用户所对应的该密文身分数据，并使用一解密密钥对该密文身分数据进行解密以获得明文的该身分数据。
如权利要求10所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤f1) 包括自该用户端计算机设备读取该用户所对应的该密文身分数据，并经由该用户端计算机设备的一安全模块对该密文身分数据进行解密以获得明文的该身分数据。
如权利要求10所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤f1)包括于一身分注册卡的一运算单元判断当前的该用户通过该身分验证时，对所存储的该密文身分数据进行解密以获得明文的该身分数据，并经由该通信模块传送明文的该身分数据至该用户端计算机设备。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，于该步骤d)之前更包括一步骤g)于注册模式下于该用户端计算机设备经由该影像撷取模块拍摄该用户以获得一用户脸部影像；

该步骤d)是于该解析身分数据与该内嵌身分数据相符且该用户脸部影像符合该内嵌身分数据的一内嵌脸部影像时，设定该用户的该身分数据并进行注册。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，于该步骤d)之前更包括一步骤h)于注册模式下于该用户端计算机设备经由一生物特征撷取模块撷取该用户的一用户生物特征；

该步骤d)是于该解析身分数据与该内嵌身分数据相符且该用户生物特征符合该内嵌身分数据的一内嵌生物特征时，设定该用户的该身分数据并进行注册。
如权利要求1所述的用于第三方认证的身分的注册与接入控制方法，其特征为，该步骤f)之前更包括一步骤i)于该接入控制模式下于该用户端计算机设备收到来自该请求端计算机设备的该身分接入请求时，对该身分接入请求的一请求端数字签名进行一请求端验证；

该步骤f)是于当前的该用户通过该身分验证且该身分接入请求通过该请求端验证时，产生该回传身分数据，并回传至该请求端计算机设备。