CN114244541A - 凭证转移系统及凭证转移方法 - Google Patents
凭证转移系统及凭证转移方法 Download PDFInfo
- Publication number
- CN114244541A CN114244541A CN202010934274.3A CN202010934274A CN114244541A CN 114244541 A CN114244541 A CN 114244541A CN 202010934274 A CN202010934274 A CN 202010934274A CN 114244541 A CN114244541 A CN 114244541A
- Authority
- CN
- China
- Prior art keywords
- credential
- certificate
- transfer
- management host
- host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012546 transfer Methods 0.000 title claims abstract description 152
- 238000000034 method Methods 0.000 title claims description 40
- 238000005516 engineering process Methods 0.000 claims description 10
- 230000007246 mechanism Effects 0.000 claims description 8
- 238000007726 management method Methods 0.000 description 114
- 238000004891 communication Methods 0.000 description 16
- 238000010586 diagram Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 7
- 230000006855 networking Effects 0.000 description 6
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000009429 electrical wiring Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种凭证转移系统包含:第一凭证管理主机以及凭证转移管理主机。第一凭证管理主机用以产生第一凭证,并以第一凭证签属电子设备,并传送第一因特网地址至该电子设备,以完成签发凭证操作。凭证转移管理主机用以存储转移装置名单及第二因特网地址。其中,电子设备于完成签发凭证操作后,将第一凭证依据第一因特网地址传送到第一凭证主机,当第一凭证主机验证第一凭证正确且判断第一凭证符合转移装置名单的其中的一者,则第一凭证主机回传凭证转移管理主机地址至电子设备。
Description
技术领域
本发明是关于一种转移系统,特别是关于一种凭证转移系统及凭证转移方法。
背景技术
传统上,要识别能够联网的设备是采用序列号码加上密码,以作为设备的身份识别。然而,采用序列号码加上密码的方法可能存在以下风险与问题:设备的序列号码有重复的可能性。在封闭式的网络环境中(例如公司内部的设备),可以使每个设备对应到唯一的序列号码,然而,在开放式的因特网中,多台设备可能对应到重复的序列号码,设备身份一旦无法确认,就存在机密数据外泄的风险,另外,序列号码是一串有规则的连续编号,黑客只要了解其规则,非常容易变造序列号码,由于此方法容易被黑客破解,特别是当联网设备数量庞大又位于远处,设备管理者难以一一为设备设定不同密码,最常见的做法是每台设备都使用相同的密码,更增加了被黑客取得设备数据的不安全性,再者,采用序列号码加上密码仅提供后台设备主机验证联网设备身份,却无法提供联网设备验证后台设备主机的身份,也无法轻易的转移连网设备的序列号码。
因此,如何让连网设备自动地进行凭证转移,已成为本领域需解决的问题之一。
发明内容
为了解决上述的问题,本发明内容提供了一种凭证转移系统。凭证转移系统包含:第一凭证管理主机以及凭证转移管理主机。第一凭证管理主机用以产生第一凭证,并以第一凭证签属电子设备,并传送第一因特网地址至该电子设备,以完成签发凭证操作。凭证转移管理主机用以存储转移装置名单及第二因特网地址。其中,电子设备于完成签发凭证操作后,将第一凭证依据第一因特网地址传送到第一凭证主机,当第一凭证主机验证第一凭证正确且判断第一凭证符合转移装置名单中的其中的凭证,则第一凭证主机回传凭证转移管理主机地址至电子设备,电子设备将第一凭证依据该凭证转移管理主机地址传送到凭证转移管理主机,凭证转移管理主机验证第一凭证正确后,传送第二因特网地址至电子设备。
本发明的又提供一种凭证转移方法,凭证转移方法的步骤包含:借由第一凭证管理主机产生第一凭证,并以第一凭证签属电子设备,并传送第一因特网地址至电子设备,以完成签发凭证操作;以及借由凭证转移管理主机存储转移装置名单及第二因特网地址;其中,电子设备于完成签发凭证操作后,将第一凭证依据第一因特网地址传送到第一凭证主机,当第一凭证主机验证第一凭证正确且判断第一凭证符合转移装置名单中的其中的凭证,则第一凭证主机回传凭证转移管理主机地址至电子设备,电子设备将第一凭证依据凭证转移管理主机地址传送到凭证转移管理主机,凭证转移管理主机验证第一凭证正确后,传送第二因特网地址至电子设备。
本发明的凭证转移系统及凭证转移方法提供了自动转移电子设备的凭证方法,凭证转移的机制不限于应用在公司与公司的服务器之间,也可以应用在用户的服务器与公司的服务器之间。借由此方法,设备购买者可以安全的从设备商自动移转大量的联网电子设备到设备购买者的联网设备维运平台上。
附图说明
图1依照本发明实施例绘示凭证转移系统的示意图。
图2依照本发明实施例绘示凭证转移方法的示意图。
图3依照本发明实施例绘示凭证转移系统的配置的示意图。
图4依照本发明实施例绘示电子设备身份自动转移方法的示意图。
具体实施方式
以下说明为完成发明的较佳实现方式,其目的在于描述本发明的基本精神,但并不用以限定本发明。实际的发明内容必须参考之后的权利要求范围。
必须了解的是,使用于本说明书中的“包含”、“包括”等词,用以表示存在特定的技术特征、数值、方法步骤、作业处理、组件以及/或组件,但并不排除可加上更多的技术特征、数值、方法步骤、作业处理、组件、组件,或以上的任意组合。
于权利要求中使用如“第一”、“第二”、“第三”等词用来修饰权利要求中的组件,并非用来表示之间具有优先权顺序,先行关系,或者是一个组件先于另一个组件,或者是执行方法步骤时的时间先后顺序,仅用来区别具有相同名字的组件。
请参照图1和图2,图1依照本发明实施例绘示凭证转移系统100的示意图。图2依照本发明实施例绘示凭证转移方法200的示意图。
在实施例中,如图1所示,凭证转移系统100包含第一凭证管理主机10 及凭证转移管理主机20。在实施例中,凭证转移系统100包含第一凭证管理主机10、凭证转移管理主机20、第二凭证管理主机30及电子设备40。
在实施例中,第一凭证管理主机10及凭证转移管理主机20之间以无线通信方式(例如应用Wi-Fi、3G、4G、5G、LTE等技术)或是有线通信方式建立通信链接LK1。电子设备40与第一凭证管理主机10以无线通信方式(例如应用 Wi-Fi、3G、4G、5G、LTE等技术)或是有线通信方式建立通信链接LK2。电子设备40与第二凭证管理主机20以无线通信方式(例如应用Wi-Fi、3G、4G、 5G、LTE等技术)或是有线通信方式建立通信链接LK3。
在实施例中,电子设备40为具有连网功能的设备,例如为手机、平板、笔记本电脑等等。
在实施例中,第一凭证管理主机10、凭证转移管理主机20、第二凭证管理主机30可以是服务器、计算机或其他具有运算能力的装置。
在实施例中,第一凭证管理主机10中包含中继凭证装置12,凭证转移管理主机20中包含中继凭证装置22,第二凭证管理主机30中包含各自中继凭证装置32。在实施例中,中继凭证装置12、22、32可以分别被实施为例如为微控制单元(microcontroller)、微处理器(microprocessor)、数字信号处理器(digital signal processor)、特殊应用集成电路(application specific integrated circuit,ASIC) 或逻辑电路。在实施例中,中继凭证装置22可以由软件、韧体及或硬件实现。由于必须将根(root)凭证置于数层安全防护之后,因此我们利用中继凭证装置12、 22、32作为代理(proxy)装置,确保跟证书的密钥绝对无法被存取。由于跟证书本身签署了中继凭证,中继凭证可以被用来签署我们的客户安装与维护的安全套接字层(Secure Sockets Layer,SSL),此为一种标准技术,故此处不赘述之。
在实施例中,X.509凭证链技术可以是多层式的架构(例如树状结构),每个层凭证都可以往上推到跟证书,签署到最后一层(没有子凭证)称为叶凭证, X.509凭证链技术的此种特性可以更弹性的使用于多种模型设备上,例如某公司第一类型的模型设备(例如有100台)以一层中继凭证(例如采用100个中继凭证)作签发,第二类型的模型设备(例如有200台)以另一层中继凭证(例如采用 200个另一层中继凭证)作签发。因此,采用X.509凭证链技术可以使凭证的签发更具有弹性。
在实施例中,本案采用的凭证(如后述的第一凭证、第二凭证)皆为叶凭证。
在实施例中,电子设备40在工厂出厂前,例如电子设备40位于设备生产在线,电子设备40可以借由凭证管理方法签发专属的第一凭证。
在实施例中,第一凭证管理主机10产生第一凭证,并以第一凭证签属电子设备40,并传送第一因特网地址至电子设备40,电子设备40存储第一因特网地址及第一凭证,以完成签发凭证操作。当电子设备40被签发第一凭证后,则可准备出厂。其中,第一凭证管理主机10可以例如为生产电子设备40的公司的服务器。借此以完成第一凭证管理主机10对电子设备40的签属。
在实施例中,凭证转移管理主机20用以存储转移装置名单及第二因特网地址。在实施例中,在电子设备40出厂前,凭证转移管理主机20可以事先由输出/输入接口(例如由其他装置传入、由用户通过键盘、鼠标、触摸屏等方式)接收默认转移装置名单及第二因特网地址。
在实施例中,凭证转移管理主机20可以事先由输出/输出接口输入预计移转的设备其设备凭证信号(例如第二凭证管理主机30的凭证序号为计移转的设备)与第二凭证管理主机30的因特网位置(即第二因特网地址)至转移名单与转移地址表中。凭证转移管理主机20用以存储转移名单与转移地址表。
在实施例中,转移装置名单中包含将转移的装置的凭证(如第一凭证)及对应此凭证的第二因特网地址(例如,默认将转移到的服务器的因特网地址)。
在实施例中,第一凭证管理主机10或凭证转移管理主机20可以事先将转移装置名单依据第二因特网地址,传送到第二凭证管理主机30中,以利后续第二凭证管理主机30验证第一凭证的使用。
例如,凭证转移管理主机20属于A公司,凭证转移管理主机20中的转移装置名单中记录100台装置各自对应到的凭证及第二因特网地址(例如为B公司的服务器因特网地址),此100台装置将在出厂后,依据第二因特网地址向B公司的服务器发出更新第一凭证为第二凭证的请求。
又例如,凭证转移管理主机20属于A公司,凭证转移管理主机20中的转移装置名单中记录100台装置各自对应到的凭证及各自对应到的第二因特网地址(例如第二因特网地址中包含B、C、D公司的服务器因特网地址),此100台装置将在出厂后,各自依据第二因特网地址将向B、C、D公司的服务器发出更新第一凭证为第二凭证的请求。
然,此处仅为一些例子,凭证转移的机制不限于应用在公司与公司的服务器之间,也可以应用在用户的服务器与公司的服务器之间,也可以应用在用户与用户的服务器之间。详细方法请参后续叙述。
在实施例中,如图1所示,电子设备40出厂后,需要将生产电子设备40 的公司(或生产线)区域R1所签发的第一凭证转换成用户的自身、用户公司(或其他生产线)的区域R2中的服务器所签发的第二凭证。然而,将第一凭证转换成第二凭证的需要许多验证机制,才不会造成安全上的疏失。
以下进一步叙述凭证转移系统及凭证转移系统方法。
在实施例中,如图2所示,电子设备40于完成签发凭证操作后,将第一凭证依据第一因特网地址传送到第一凭证主机(步骤S1),当第一凭证主机10验证第一凭证正确且判断第一凭证符合转移装置名单中的其中的凭证,则第一凭证主机10回传凭证转移管理主机地址(如凭证转移管理主机20的地址)至电子设备40(步骤S2)。电子设备40将第一凭证依据凭证转移管理主机地址传送到凭证转移管理主机(步骤S3),凭证转移管理主机20验证第一凭证正确后,传送第二因特网地址(如第二凭证管理主机30的位置)至电子设备40(步骤S4)。
其中,第一凭证主机10验证第一凭证正确后,可以到凭证转移管理主机 20查询第一凭证是否在转移装置名单中,以判断电子设备40是否被允许转移凭证,若第一凭证不在转移装置名单中,则第一凭证主机10回传无法移转信息到电子设备40。
其中,第一凭证主机10验证第一凭证与凭证转移管理主机20验证第一凭证的方法为:通过公钥基础架设架构(Public Key Infrastructure,PKI)身份验证机制,以中继凭证装置12、22对第一凭证进行多个验证操作,此些验证操作包含:确认电子设备40确实拥有第一凭证、确认第一凭证为X.509凭证链技术中的叶凭证、检查第一凭证不在凭证撤除清单里及检查设备凭证的有效时间未过期。
在实施例中,当第一凭证通过所有的验证操作,第一凭证主机10传送验证成功信息至电子设备40,并允许电子设备40进行后续操作,例如第一凭证主机10传送信息至电子设备40。当第一凭证没有通过所有的验证操作,第一凭证主机10传送验证失败信息至电子设备10。
其中,在密码学上,公钥基础架设架构借着数字证书认证机构将用户的个人身份跟公钥链结在一起。每个凭证中心用户的身份必须是唯一的。链结关系通过注册和发布过程建立,取决于担保级别,链结关系可能由凭证中心的各种软件或在人为监督下完成。公钥基础架设架构的确定链结关系的这角色称为注册管理中心。注册管理中心确保公钥和个人身份链结,可以防抵赖。关于公钥基础架设架构为已知技术,故此处不赘述之。
在实施例中,中继凭证装置12位于第一凭证管理主机10中,中继凭证装置12为X.509凭证装置,中继凭证装置12产生的第一凭证为第一X.509凭证;第一凭证为X.509凭证链技术中的叶凭证,叶凭证以非对称密钥加密。
在实施例中,中继凭证装置12、22、32皆为X.509凭证装置,采用树状结构或阶层式结构的凭证产生方式。
在实施例中,第一凭证管理主机10产生跟证书,第一凭证管理主机10依据跟证书产生中继凭证,第一凭证管理主机10依据中继凭证产生叶凭证,并将此叶凭证视为第一凭证。
在实施例中,如图2所示,电子设备40将第一凭证依据第二因特网地址传到第二凭证管理主机30(步骤S5),第二凭证管理主机30验证第一凭证正确后,签发第二凭证,并将第二凭证传送到电子设备40(步骤S6),电子设备40以第二凭证向第二凭证管理主机30发送联机请求(步骤S7)。
在实施例中,于步骤S7后,当第二凭证管理主机30判断第二凭证正确,则允许电子设备40进行后续操作,例如电子设备40存取第二凭证管理主机30 中的数据。借此,完成凭证转移的操作。
其中,第二凭证管理主机30验证第二凭证的方法为:通过公钥基础架设架构身份验证机制,以中继凭证装置32对第二凭证进行多个验证操作,此些验证操作包含:确认电子设备40确实拥有第二凭证、确认第二凭证为X.509凭证链技术中的叶凭证、检查第一凭证不在凭证撤除清单里及检查设备凭证的有效时间未过期。
在实施例中,当第二凭证通过所有的验证操作,第二凭证管理主机30传送验证成功信息至电子设备40,并允许电子设备40进行后续操作,例如第二凭证管理主机30中的档案。当第二凭证没有通过所有的验证操作,服务器20传送验证失败信息至电子设备40。
在实施例中,中继凭证装置32位于第二凭证管理主机30中,中继凭证装置32为X.509凭证装置,中继凭证装置32产生的第二凭证为第二X.509凭证;第二凭证为X.509凭证链技术中的叶凭证,第二X.509凭证以非对称密钥加密。
在实施例中,第二凭证管理主机30产生跟证书,第二凭证管理主机30依据跟证书产生中继凭证,第二凭证管理主机30依据中继凭证产生叶凭证,并将此叶凭证视为第二凭证。
在实施例中,请参阅图3,图3依照本发明实施例绘示凭证转移系统的配置300的示意图。在一例子中,区域R1中的设备可以视为制造方(甲方)的设备,区域R2中的设备可以视为购买方(乙方)的设备。甲方的设备中包含第一凭证管理主机10及凭证转移管理主机20。第一凭证管理主机10可以采用凭证转移管理主机20中包含中继凭证装置22及转移名单与转移地址表24。
在实施例中,第一凭证管理主机10及凭证转移管理主机20之间以无线通信方式(例如应用Wi-Fi、3G、4G、5G、LTE等技术)或或是有线通信方式建立通信链接LK1。
在实施例中,区域R2中包含第二凭证管理主机30。
在实施例中,中继凭证装置12位于第一凭证管理主机10中,中继凭证装置12为X.509凭证装置,中继凭证装置12产生的第一凭证为第一X.509凭证;第一凭证为X.509凭证链技术中的叶凭证,叶凭证以非对称密钥加密。
在实施例中,中继凭证装置12、22、32皆为X.509凭证装置,采用树状结构或阶层式结构的凭证产生方式。
在实施例中,中继凭证装置12、22、32皆为X.509凭证装置,各自产生自己的中继凭证。
在实施例中,甲方布署第一凭证管理主机10(又称设备凭证生命周期管理主机),产生甲方跟证书(Root X.509CA)以及中继凭证(Intermedia X.509CA)。电子设备于生产线生产时,经由甲方中继凭证(Intermedia X.509CA)为每一台联网设备签署属于此台设备的设备凭证(Device X.509cert)。在实施例中,第一凭证管理主机10可应用图1凭证转移系统100对应段落所述的方式对电子设备进行签属。
其中,电子设备为联网设备,具有连网功能,例如为手机、平板、笔记本电脑等等。
接着,甲方布署凭证转移管理主机20(又称设备凭证转移管理主机);乙方布署第二凭证管理主机30(又称设备凭证生命周期管理主机。乙方于第二凭证管理主机30上,产生乙方跟证书(Root X.509CA)以及中继凭证(Intermedia X.509 CA)。乙方于第二凭证管理主机30上,汇入甲方的凭证转移管理主机20的中继凭证(Intermedia X.509CA)。于甲方的凭证转移管理主机20上,预计转移设备的名单以及移转地址(转移设备例如为乙方的第二凭证管理主机30)。
在实施例中,请参阅图4,图4依照本发明实施例绘示电子设备身份自动转移方法400的示意图。在一例子中,区域R1中的设备可以视为制造方(甲方) 的设备,区域R2中的设备可以视为购买方(乙方)的设备。甲方的设备中包含第一凭证管理主机10及凭证转移管理主机20。第一凭证管理主机10可以采用凭证转移管理主机20中包含中继凭证装置22及转移名单与转移地址表24。
在实施例中,第一凭证管理主机10及凭证转移管理主机20之间以无线通信方式(例如应用Wi-Fi、3G、4G、5G、LTE等技术)或是有线通信方式建立通信链接LK1。
在实施例中,区域R2中包含第二凭证管理主机30。
在实施例中,中继凭证装置12位于第一凭证管理主机10中,中继凭证装置12为X.509凭证装置,中继凭证装置12产生的第一凭证为第一X.509凭证;第一凭证为X.509凭证链技术中的叶凭证,叶凭证以非对称密钥加密。
在实施例中,中继凭证装置12、22、32皆为X.509凭证装置,采用树状结构或阶层式结构的凭证产生方式。
在实施例中,中继凭证装置12、22、32皆为X.509凭证装置,各自产生自己的中继凭证。
在实施例中,当电子设备40(即联网设备)启动时,电子设备40携带原甲方的设备凭证(Device X.509Cert)向甲方的第一凭证管理主机10发送联机请求(步骤S11)。
甲方的第一凭证管理主机10确认此电子设备40的原设备凭证(DeviceX.509Cert)后,从甲方的凭证转移管理主机20取得联网网址。因此电子设备40 在转移列表中,此网址为乙方的第二凭证管理主机30的网址(步骤S12)。
甲方的第一凭证管理主机10回传乙方的第二凭证管理主机30网址给电子设备40(步骤S13)。
电子设备40携带甲方的设备凭证(Device X.509Cert)向乙方的第二凭证管理主机30发出联机请求(步骤S14)。
乙方的第二凭证管理主机30通过甲方凭证转移管理主机20的中继凭证(Intermedia X.509CA)核对此子设备40的发放单位是甲方的第一凭证管理主机10后,使用乙方的第二凭证管理主机30的中继凭证(Intermedia X.509CA),为此电子设备40重新签发设备凭证(步骤S15)。
乙方的第二凭证管理主机30回传新设备凭证给此电子设备40(步骤S16)。
此电子设备40携带新设备凭证(Device X.509Cert)向乙方的第二凭证管理主机30发送联机请求(步骤S17)。
本发明的方法,或特定型态或其部份,可以以程序代码的型态存在。程序代码可以包含于实体媒体,如软盘、光盘片、硬盘、或是任何其他机器可读取(如计算机可读取)存储介质,亦或不限于外在形式的计算机程序产品,其中,当程序代码被机器,如计算机加载且执行时,此机器变成用以参与本发明的装置。程序代码也可以通过一些传送媒体,如电线或电缆、光纤、或是任何传输型态进行传送,其中,当程序代码被机器,如计算机接收、加载且执行时,此机器变成用以参与本发明的装置。当在一般用途处理单元实作时,程序代码结合处理单元提供操作类似于应用特定逻辑电路的独特装置。
本发明的凭证转移系统及凭证转移方法提供了自动转移电子设备的凭证方法,凭证转移的机制不限于应用在公司与公司的服务器之间,也可以应用在用户的服务器与公司的服务器之间。借由此方法,设备购买者可以安全的从设备商自动移转大量的联网电子设备到设备购买者的联网设备维运平台上。
虽然本发明已以实施方式揭露如上,然其并非用以限定本发明,任何本领域技术人员,在不脱离本发明的精神和范围内,当可作各种的更动与润饰,因此本发明的保护范围当权利要求书所界定者为准。
【符号说明】
100:凭证转移系统
R1,R2:区域
10:第一凭证管理主机
20:凭证转移管理主机
30:第二凭证管理主机
12,22,32:中继凭证装置
LK1~LK3:通信链接
40:电子设备
200:凭证转移方法
S1~S7,S11~S17:步骤
24:转移名单与转移地址表。
Claims (14)
1.一种凭证转移系统,包含:
第一凭证管理主机,用以产生第一凭证,并以该第一凭证签属电子设备,并传送第一因特网地址至该电子设备,以完成签发凭证操作;以及
凭证转移管理主机,用以存储转移装置名单及第二因特网地址;
其中,当该第一凭证主机接收到来自该电子装置所签发的该第一凭证后,该第一凭证主机验证该第一凭证正确且判断该第一凭证符合该转移装置名单中的其中的凭证,则该第一凭证主机回传凭证转移管理主机地址至该电子设备,该第一凭证由该电子设备依据该凭证转移管理主机地址传送到该凭证转移管理主机,该凭证转移管理主机验证该第一凭证正确后,传送该第二因特网地址至该电子设备。
2.如权利要求1所述的凭证转移系统,更包含:
第二凭证管理主机,用以汇入该凭证转移管理主机的该转移装置名单及该第二因特网地址;
其中,转移名单与转移地址表包含该转移装置名单及该第二因特网地址,该转移名单与转移地址表存储于该第一凭证管理主机中。
3.如权利要求1所述的凭证转移系统,其中,该电子设备将该第一凭证依据该第二因特网地址传到第二凭证管理主机,该第二凭证管理主机验证该第一凭证正确后,签发第二凭证,并将该第二凭证传送到该电子设备,该电子设备以该第二凭证向该第二凭证管理主机发送联机请求。
4.如权利要求1所述的凭证转移系统,其中,该第一凭证主机通过公钥基础架设架构身份验证机制,以该中继凭证装置对该第一凭证进行复数个验证操作,该些验证操作包含:确认该电子设备确实拥有该第一凭证、确认该第一凭证为该X.509凭证链技术中的叶凭证、检查该第一凭证不在凭证撤除清单里及检查该设备凭证的有效时间未过期。
5.如权利要求1所述的凭证转移系统,其中,该第一凭证管理主机用以产生根凭证,该第一凭证管理主机依据该跟证书产生该中继凭证,该第一凭证管理主机依据该中继凭证产生叶凭证,并将该叶凭证视为该第一凭证。
6.如权利要求5所述的凭证转移系统,其中,第一中继凭证装置位于该第一凭证管理主机中,该第一中继凭证装置为X.509凭证装置,该第一中继凭证装置产生的该第一凭证为第一X.509凭证;
其中,该第一凭证为X.509凭证链技术中的该叶凭证,该叶凭证以非对称密钥加密。
7.如权利要求3所述的凭证转移系统,其中,第二中继凭证装置位于该第二凭证管理主机中,该第二中继凭证装置为X.509凭证装置,该第二中继凭证装置产生的该第二凭证为第二X.509凭证;
其中,该第二凭证为X.509凭证链技术中的叶凭证,该第二X.509凭证以非对称密钥加密。
8.一种凭证转移方法,包含:
借由第一凭证管理主机产生第一凭证,并以该第一凭证签属电子设备,并传送第一因特网地址至该电子设备,以完成签发凭证操作;以及
借由凭证转移管理主机存储转移装置名单及第二因特网地址;
其中,当该第一凭证主机接收到来自该电子装置所签发的该第一凭证后,该第一凭证主机验证该第一凭证正确且判断该第一凭证符合该转移装置名单中的其中的凭证,则该第一凭证主机回传凭证转移管理主机地址至该电子设备,该第一凭证由该电子设备依据该凭证转移管理主机地址传送到该凭证转移管理主机,该凭证转移管理主机验证该第一凭证正确后,传送该第二因特网地址至该电子设备。
9.如权利要求8所述的凭证转移方法,更包含:
借由第二凭证管理主机,用以汇入该凭证转移管理主机的该转移装置名单及该第二因特网地址;
其中,转移名单与转移地址表包含该转移装置名单及该第二因特网地址,该转移名单与转移地址表存储于该第一凭证管理主机中。
10.如权利要求8所述的凭证转移方法,其中,该电子设备将该第一凭证依据该第二因特网地址传到第二凭证管理主机,该第二凭证管理主机验证该第一凭证正确后,签发第二凭证,并将该第二凭证传送到该电子设备,该电子设备以该第二凭证向该第二凭证管理主机发送联机请求。
11.如权利要求8所述的凭证转移方法,其中,该第一凭证主机通过公钥基础架设架构身份验证机制,以该中继凭证装置对该第一凭证进行复数个验证操作,该些验证操作包含:确认该电子设备确实拥有该第一凭证、确认该第一凭证为该X.509凭证链技术中的叶凭证、检查该第一凭证不在凭证撤除清单里及检查该设备凭证的有效时间未过期。
12.如权利要求8所述的凭证转移方法,其中,该第一凭证管理主机用以产生根凭证,该第一凭证管理主机依据该跟证书产生该中继凭证,该第一凭证管理主机依据该中继凭证产生叶凭证,并将该叶凭证视为该第一凭证。
13.如权利要求12所述的凭证转移方法,其中,第一中继凭证装置位于该第一凭证管理主机中,该第一中继凭证装置为X.509凭证装置,该第一中继凭证装置产生的该第一凭证为第一X.509凭证;
其中,该第一凭证为X.509凭证链技术中的该叶凭证,该叶凭证以非对称密钥加密。
14.如权利要求10所述的凭证转移方法,其中,第二中继凭证装置位于该第二凭证管理主机中,该第二中继凭证装置为X.509凭证装置,该第二中继凭证装置产生的该第二凭证为第二X.509凭证;
其中,该第二凭证为X.509凭证链技术中的叶凭证,该第二X.509凭证以非对称密钥加密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010934274.3A CN114244541A (zh) | 2020-09-08 | 2020-09-08 | 凭证转移系统及凭证转移方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010934274.3A CN114244541A (zh) | 2020-09-08 | 2020-09-08 | 凭证转移系统及凭证转移方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114244541A true CN114244541A (zh) | 2022-03-25 |
Family
ID=80742456
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010934274.3A Pending CN114244541A (zh) | 2020-09-08 | 2020-09-08 | 凭证转移系统及凭证转移方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114244541A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012172533A1 (en) * | 2011-06-16 | 2012-12-20 | Accuris Technologies Limited | A device authentication method and devices |
| EP2790374A1 (en) * | 2013-04-11 | 2014-10-15 | Fujitsu Limited | Certificate generation method, certificate generation apparatus and information processing apparatus |
| KR101968079B1 (ko) * | 2017-10-12 | 2019-08-13 | 주식회사 디지털존 | 전자증명서 관리 시스템 및 그 방법 |
| CN110417758A (zh) * | 2019-07-15 | 2019-11-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
| US20200015087A1 (en) * | 2017-04-13 | 2020-01-09 | Arm Ltd | Reduced bandwidth handshake communication |
-
2020
- 2020-09-08 CN CN202010934274.3A patent/CN114244541A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012172533A1 (en) * | 2011-06-16 | 2012-12-20 | Accuris Technologies Limited | A device authentication method and devices |
| EP2790374A1 (en) * | 2013-04-11 | 2014-10-15 | Fujitsu Limited | Certificate generation method, certificate generation apparatus and information processing apparatus |
| US20200015087A1 (en) * | 2017-04-13 | 2020-01-09 | Arm Ltd | Reduced bandwidth handshake communication |
| KR101968079B1 (ko) * | 2017-10-12 | 2019-08-13 | 주식회사 디지털존 | 전자증명서 관리 시스템 및 그 방법 |
| CN110417758A (zh) * | 2019-07-15 | 2019-11-05 | 中国人民解放军战略支援部队信息工程大学 | 基于证书请求的安全邻居发现运行模式探测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11924358B2 (en) | Method for issuing digital certificate, digital certificate issuing center, and medium | |
| US7904952B2 (en) | System and method for access control | |
| US8392702B2 (en) | Token-based management system for PKI personalization process | |
| EP3756328B1 (en) | Identity-based certificate authority system architecture | |
| US9967290B2 (en) | Systems and methods for automating client-side discovery of public keys of external contacts that are secured by DANE using DNSSEC | |
| EP3606000B1 (en) | Component commissioning to iot hub using permissioned blockchain | |
| US10609070B1 (en) | Device based user authentication | |
| CN111783075A (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
| JP2010531516A (ja) | 安全でないネットワークを介する装置のプロビジョニング及びドメイン加入エミュレーション | |
| US11184336B2 (en) | Public key pinning for private networks | |
| US8560851B1 (en) | Managing digital certificates | |
| US7930763B2 (en) | Method of authorising a computing entity | |
| JP5193787B2 (ja) | 情報処理方法、中継サーバおよびネットワークシステム | |
| JP2011215753A (ja) | 認証システムおよび認証方法 | |
| CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
| CN114760070A (zh) | 数字证书颁发方法、数字证书颁发中心和可读存储介质 | |
| CN113647080B (zh) | 以密码保护的方式提供数字证书 | |
| EP3965391B1 (en) | Certificate transfer system and certificate transfer method | |
| JP2012181662A (ja) | アカウント情報連携システム | |
| CN114244541A (zh) | 凭证转移系统及凭证转移方法 | |
| US11481504B2 (en) | Cloud-based communication system | |
| TWI698113B (zh) | 電子裝置之認證方法及系統 | |
| TWI804754B (zh) | 憑證管理系統及憑證管理方法 | |
| CN114244542B (zh) | 凭证管理系统及凭证管理方法 | |
| JP4543789B2 (ja) | トランザクションに基づく証明書検証情報管理方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |