TW201640409A - 用以傳送憑證之系統及方法 - Google Patents

Abstract

一種用於進行異動的系統和方法，該異動涉及把連接到被稱為提供者之一實體或一個人的憑證傳送到一被稱為網路端點之經允許的目的地，依照來自一接受者的請求並同時保持在該等憑證中的該默契。該系統包含有與一控制伺服器進行通信的提供裝置和接受裝置。該控制伺服器接收來自該等接受和提供裝置的通信，其包含有唯一於該個體或提供者的一秘密鍵碼、提供者識別碼以及一共享鍵碼，並且若該等通信匹配，特定於提供者識別碼的憑證被允許將被公開給一已知的網路端點。

Description

用以傳送憑證之系統及方法

本發明涉及資訊和通信技術、賦予資訊和通信技術有資料交換的默契、以及在以資訊和通信技術所傳送之憑證中保存和保護有該默契存在的領域。默契係指涉及一實體之任何資訊、或連接一實體和任一特定個體之任一憑證集的擁有或參與。具體而言，本發明涉及，但不侷限於允許公佈包含有私有個人資料和受控憑證資料，該憑證集所屬一方會希望同意並允許以一種受保護且安全的方式秘密地公開，同時確保用於各種目之該等私有個人資料和受控憑證之機密性和隱私性其保存和維護可持續地進行。受控憑證係指連接到該等受控憑證之擁有者/發行者和該等受控憑證的持有者/所有者之這種資訊。

發明背景

在現代社會中，每一個人與個人資料之一巨大的陣列相關聯。這種個人資料的一些例子包含有但不侷限於：姓名、地址、出生日期、國籍、社會安全號碼、護照號碼、駕照號碼、會員編號(用於一給定的組織)、娘家姓(若適用的話)、母親的娘家姓、雇主資訊、銀行賬號、信用卡 號、等等。當個人與其他個人和組織進行互動時，這些個人資料以多種方式被使用。許多的這些互動大量地依賴於既特定該個人亦必要於該進行互動之一資料集的準確性。因此，由於每一這種資料集(以下簡稱為「憑證集」)是既特定於某個人且必要於該互動，其係最好可保持在一種默契狀態中的敏感資訊。該資訊是敏感的(並且合意地被保持在一種默契狀態)附加相關的資料，諸如屬於附加安全功能的資料，例如，與一給定工具相關聯的一秘密鍵碼。將被理解的是，即使打算要從一記錄公開一憑證集，但可能必須確保該相關的資料不會被公開，特別是當它涉及到附加的安全功能時。

通常這種記錄登記係以以下的方式被填入。屬於一提供者的憑證集被提供給該控制器且該憑證集被驗證和確認。一旦該憑證集被驗證和確認，一工具被產生來承載該憑證集，且這個憑證集被提供給該提供者。該憑證集也被輸入到在該記錄登記上的一筆新的記錄並且通常被補充有任何有關於該對應工具的資料(諸如序號、等等)以及任何其他相關的資料(諸如附加的安全功能資料，包含有但不侷限於生物測量等等)。

方法已經演進到把憑證集呈現到這種定制工具上。從歷史上看，這種資料可能已被墨印、鍵入或標記在該發行的工具上。接著，這種資料可能已經被壓花或雕刻或編碼或嵌入在該發行的工具上。更為最近的是，機器可讀取媒體(諸如磁帶或晶片)已經被使用作為工具，該等相關 的憑證集被電子式地儲存在這種媒體上。許多工具的格式(並且其中憑證集被儲存在其上的該格式)係由International Organization for Standardization來管轄。例如，ISO 7501管轄機器可讀取旅行文件的格式；ISO 7810和ISO 7811管理識別卡的格式；以及ISO 7812和ISO 7816管理卡可以從不同的發行者來提供的方式。

儘管在提供工具來承載提供者憑證集的方面有進步，但仍然存在有欺詐的危險。仍然需要既能夠驗證承載包含有該憑證集之該工具的該提供者係有效的/真實的提供者(即該工具未被盜用或複製並因此沒有被欺詐使用)也需驗證包含該憑證集的該提供工具確是真實的(即該等憑證係正確的且該工具不是一完整的偽造)。這個問題受到越來越多的關注，因為這類工具的持有者在一日益頻繁的基礎上公開他們的憑證集。雖然該等憑證集最初被持有在一種保密/隱私的一種環境中，存在於憑證集的該等提供者與它們的控制器之間，但每當該憑證集在一個與第三方交換的期間中被公開時，這種保密/隱私的環境會受到損害。雖然在該等憑證集公開的方法中在該安全性改進方面都已力求加強這種保密/隱私的環境，但弱點依然存在。

例如，即使用於讀取護照工具之自動化系統已有所進步，但當一乘客提供他們的護照給任何檢查點人員或任何邊界控制機構(該「接受者」)時，在該讀取裝置擷取該等受控憑證的之前和之後，在該發行工具上該受控憑證係可見於該接受者並由該接受者處理。若一在違反隱私政策 中譬如該等檢視的憑證被該接受者複製和分享，不只是只有擷取並處理而已，該護照工具憑證原先所處之該默契狀態被破壞。在已開發用於其他工具，諸如駕駛執照、會員/會員卡、和支付卡之自動化憑證擷取系統中，存在有類似的不足之處。

仍然需要有改進的方法和系統，由其該提供者可在與其他個體或組織交換的期間中以一種即可保證該憑證集之真實性和持有該憑證集提供者之真實性的方式來提供憑證集。當憑證集將被披露時，提供方法和系統來確保一環境有完全保密/隱私係高度所欲的。強烈所欲的是任何這種經改進的方法和系統能與正在一般使用之現有的方法和系統可向後相容，使得該等經改進的方法和系統可以順利地且逐步地切入。這將是非常有利的，因為這將消除轉換到新的系統和方法所需的成本和耗時。進一步所欲的是任何新經改進的方法和系統係可調整的使得它們可以透過一單一系統和方法來配合數個不同的憑證集。

本發明的一方面包含有一種系統，用於允許把至少一組連接到一提供者之受控憑證傳送到一網路端點，同時保持在該等連接到該提供者之受控憑證中的默契有效，其中該系統包含有至少一個接收裝置、至少一個提供裝置、至少一個網路端點以及至少一個伺服器，並且該等伺服器中之一包含有一或多筆記錄。每一筆記錄隸屬於一給定的提供者，包含有一提供者識別碼，和綁定到每一個提 供者識別碼之一秘密鍵碼，並被連結到與連接到該提供者之一組受控憑證有關的至少一個條目。每一個條目有關於至少一組與該給定提供者相關聯的憑證。每一個條目還可以有關於至少一個別名，每一個別名分別與該等憑證集之一連接。每一個網路端點係連接到提供者之受控憑證之一指定接收者的一種類型，該端點不是該接收裝置就是連結到該接受裝置之一指定第三方的接收裝置；其中允許把至少一組連接到一提供者之受控憑證傳送到一網路端點被執行在該提供互動者與該接受互動者之間互動的一環境中；且其中該許可所涉及之該憑證集與該提供互動者相關聯。該等伺服器中之一充當一控制伺服器，其更被組配來(a)接受來自一接受裝置的通信，其以下被稱為一接受裝置通信，該通信包括有關於該提供者之一秘密鍵碼和一個一次性共享鍵碼；(b)接受來自一提供裝置的通信，其以下被稱為一提供裝置通信，該通信包括有關於該提供者之一提供者識別碼和一個一次性共享鍵碼；(c)尋求包含在該接受裝置通信中該一次性共享鍵碼與包含在該提供裝置通信中對應之該一次性共享鍵碼間的匹配；(d)藉由連結包含在該接受裝置通信中該秘密鍵碼與包含在該提供裝置通信中該提供者識別碼，啟動搜尋一目標記錄，其中該等兩個通信包含有該相同的一次性共享鍵碼；(e)進行一搜尋來找出該目標記錄，其包含有該秘密鍵碼和該提供者識別碼兩者；(f)確認隸屬於該目標記錄中的一條目，該條目有關於一組連接到該提供者的受控憑證；(g)允許屬於該條目之該憑證集 的檢索，並允許把該憑證集公開給該網路端點，該端點係一組連接到該提供者之受控憑證之該經允許的接收者，該端點不是該接收裝置就是連結到該接受裝置之一指定第三方的接收裝置。

本發明的另一方面包含有一種方法來允許把至少一組連接到一提供者之受控憑證，從一伺服器傳送到一網路端點，同時保持在該連接到該提供者之受控憑證中的默契有效；並且其中一伺服器包含有一或多筆記錄，每一筆記錄屬於一提供者(註冊在該伺服器作為一提供者及/或作為一個接受者之給定一方)，且每一筆記錄包含有一提供者識別碼(及/或接受者識別碼)和綁定到該提供者識別碼之一(提供者及/或接受者)秘密鍵碼，並且每一筆記錄與一條目相連結，該條目涉及一組連接到該提供者(與該方相關聯的)受控憑證；該方法包含有：(a)在一接受裝置，製作出一次性共享鍵碼提供給一/該提供互動者；(b)在該接受裝置，接收有關該提供互動者的一(提供者)秘密鍵碼，其中該(提供者)秘密鍵碼係由該提供互動者在該接受裝置處的輸入；(c)在該接受裝置，傳送一接受裝置通信給該等伺服器中的至少一個，該接受裝置通信包含有該一次性共享鍵碼和該(提供者)秘密鍵碼；(d)在該提供互動者的一提供裝置上，接收該一次性共享鍵碼；(e)在該提供裝置處，從該提供裝置的一儲存位置檢索出屬於該提供者之一提供者識別碼；以及(f)在該提供裝置，傳送一提供裝置通信給該伺服器，該提供裝置通信包含有該一次性共享鍵碼和該提供者 識別碼；其中，(g)在接收到該接受裝置通信和該提供裝置通信時，在一伺服器處理該等通信以判定是否它被允許傳送一組連接到該提供者的受控憑證，從而允許其在一伺服器處的檢索，從而允許在其公開到給一網路端點，該端點係一被允許的接收者，且該端點不是該接收裝置就是連結到該接受裝置之一指定第三方的接收裝置。

在本發明的一方面，連接到該提供者的所有憑證集(或隸屬於憑證集的別名)可構成在該記錄中的條目。

在本發明的另一方面，連接到該提供者的所有憑證集(或隸屬的別名)可在一可與一控制伺服器進行通信之不同的伺服器上構成分開的條目。另外，連接到該提供者的一些憑證集和隸屬的別名可構成該記錄中的條目，而其他的可構成該伺服器中分開的條目或在不同的伺服器中分開的條目。

該接受裝置通信可透過一第一通信通道被傳送到該伺服器而該提供裝置通信可透過一第二通信通道被傳送到該伺服器。

在本發明的一方面，在該一次性共享鍵碼被提供給該提供互動者或/及該提供裝置使用之前，該一次性共享鍵碼也可以在該伺服器處產生並被傳送到該接收裝置。

在本發明的另一方面，該一次性共享鍵碼也可以在該一次性共享鍵碼被提供給該提供互動者或/及該提供裝置使用之前在該接收裝置處被產生。

該一次性共享鍵碼的一份拷貝可以從該接收裝 置經由一無線技術傳送給該提供裝置，該無線技術可選擇性地從WiFi、藍牙、NFC或RFID所構成的一群組中選出。

在本發明的一方面，一有效期可被分配給該接收裝置通信和提供裝置通信及/或該共享鍵碼。如以下所討論的，這樣可確保若在一特定的時框內(該有效期)一接受裝置通信沒有匹配到提供裝置通信，那麼這一通信失效，並由此成為無效呈現進一步處理冗餘。其中在這種通信失效和成為無效呈現進一步處理冗餘，有關於該通信的該資料可以被清除，釋放資源用於進一步通信的處理。在其中被產生、發送、或接收的通信包括持有一有效期的共享鍵碼，該有效期可確保較短、較不複雜的共享鍵碼可被使用，因為共享鍵碼的再利用係因而可行的。在一共享鍵碼的該有效期屆滿後，該相同的共享鍵碼也可被重新用於該方法的一後續迭代中。

在本發明的一方面，該一次性共享鍵碼的一份拷貝可經由包括在該接收裝置或從該接收裝置的一印出畫面上被提供給該提供互動者或/及提供裝置，其中要麼：(a)該一次性共享鍵碼的一份拷貝可用機器可讀取字元格式來提供，例如UTF-8，而該一次性共享鍵碼的該拷貝係經由來自該提供互動者及/或接受互動者或/及接受裝置的輸入在該提供週邊被接收的；要麼(b)該一次性共享鍵碼的一份拷貝被包含在一QR碼中，並且該一次性共享鍵碼的該份拷貝在該提供裝置被接收的方式係經由內含在該提供裝置的一相機功能，其被使用來擷取該快速響應碼並提取出該一次 性共享鍵碼的一份拷貝。

該接受裝置通信更可包含有一或多個預定的輔助參數，以及該提供裝置通信還更可包含有該等一或多個預定的輔助參數。在確證成功以啟動和進行搜尋用於尋找任何的目標記錄之前，這些輔助參數也可選擇性地必須被匹配，這將在下面被進一步描述。在該確證過程中這種進一步匹配的條件，其中命令在該共享鍵碼之上，進一步增強了該方法，因為它在尋求匹配一接受裝置通信和提供裝置通信的該過程中引入了附加的準則。該預定的輔助參數可以是在接受互動者與該提供互動者之間同意的一種碼，或者它可以是有關於在該提供互動者與該接受互動者之間互動的一個值，諸如該預期異動的該值。

若一有效期被分配到該一次性共享鍵碼，該共享鍵碼在其有效期的持續時間內可能是獨一無二的。

本發明的另一方面包含有一種方法來允許把至少一組連接到一提供者之受控憑證，從一伺服器傳送到一網路端點，同時保持在該連接到該提供者之受控憑證中的默契有效；其中該許可包括包含有一共享鍵碼和一提供者秘密鍵碼的一接收裝置通信，和包含有一共享鍵碼和一提供者識別碼的一提供裝置通信，該方法包含有：(a)在一/該伺服器接收該接受裝置通信；(b)在一/該伺服器接收該提供裝置通信；(c)在一/該伺服器尋求包含在該接受裝置通信中該一次性共享鍵碼與包含在該提供裝置通信中對應之該一次性共享鍵碼間的匹配；(d)在一/該伺服器藉由連結包含 在該接受裝置通信中該(提供者)秘密鍵碼與包含在該提供裝置通信中的該提供者識別碼，啟動搜尋一目標記錄，其中該等兩個通信包含有該相同的一次性共享鍵碼；(e)在一/該伺服器進行一搜尋來找出該目標記錄，其包含有該(提供者)秘密鍵碼和該提供者識別碼兩者；(f)若一目標記錄被確認，在一/該伺服器確認隸屬於該目標記錄中的一條目，該條目有關於一組連接到該提供者的受控憑證；(g)在一/該伺服器允許檢索屬於該條目之該憑證集，並允許把該憑證集公開給該網路端點，該端點係一組連接到該提供者之受控憑證之該經允許的接收者，該端點不是該接收裝置就是連結到該接受裝置之一指定第三方的接收裝置。

在該伺服器的該目標記錄更可包含有一別名，該別名相關聯到屬於每一個連接到該提供者之憑證集的該條目，並且該提供裝置通信更可包含有從逐項陳列在該提供裝置之一別名列表中選出一別名拷貝，其中進行一搜尋用於找出包含有該相同提供者識別碼和秘密鍵碼之目標記錄的步驟也利用了內含在該提供裝置通信中該別名拷貝來搜尋除了有該相同提供者識別碼和秘密鍵碼之外還有該相同別名的目標記錄。

有關於連接到該提供者之該憑證集的該條目可被包含在該控制伺服器上的該目標記錄中，該控制伺服器被組配來允許檢索和公開該連接到該提供者之該憑證集的，而檢索該連接到該提供者之該憑證集和公開該連接到該提供者之該憑證集的該等步驟係在被組配來允許檢索和 公開該連接到該提供者之該憑證集的該控制伺服器上執行。

連接到該提供者之該憑證集可被包含在一不同的伺服器上分開的條目中，該不同的伺服器係分開於被組配來允許該連接到該提供者之該憑證集的該檢索和公開的該控制伺服器，該分開的條目隸屬於該目標記錄，而檢索和公開該憑證集之該等步驟要麼係在該被組配來允許該連接到該提供者之該憑證集的該檢索和公開的控制伺服器上執行，要麼係在分開於該被組配來允許該連接到該提供者之該憑證集之該檢索和公開的控制伺服器之該不同的伺服器上執行。

一有效期可被分配給該接收裝置通信及/或該提供裝置通信及/或包含在該接收裝置通信及/或在該提供裝置通信中的該共享鍵碼，其中尋求內含在一接受裝置通信中該一次性共享鍵碼與內含在該提供裝置通信中該一次性共享鍵碼間之匹配的該等步驟更包含有確定該有效期是否已過期。如以下所討論的，這樣可以確保若在一特定的時框內(該有效期)一接受裝置通信沒有匹配到提供裝置通信，那麼這一互動/通知/通信失效，並由此成為無效呈現進一步處理冗餘。其中任何這種有效期失誤和成為無效呈現進一步處理冗餘之處，有關於該通信的該資料可以被清除，釋放資源用於進一步通信的處理。在其中通信被產生/發送/接收並持有一有效期的共享鍵碼，該有效期可以確保較短、較不複雜的共享鍵碼可被使用，因為共享鍵碼的再 利用係因此可行的。在一共享鍵碼的該有效期屆滿後，該相同的共享鍵碼也可被重新用於該方法的一後續迭代中。

若一有效期被分配到該一次性共享鍵碼，該共享鍵碼在其有效期的持續期間中可能是獨一無二的。

該接受裝置通信更可包含有一或多個預定的輔助參數，以及該提供裝置通信更可包含有該等一或多個預定的輔助參數。其中尋求匹配共享鍵碼的該等步驟更包含有尋求包含在該接受裝置通信中預定輔助參數與包含在該提供裝置通信中預定輔助參數間之該確證步驟。

本發明的另一方面包含有一種方法來允許把一組連接到一提供者之受控憑證，從一伺服器傳送到一網路端點，同時保持在該連接到該提供者之受控憑證中的該默契有效，根據以上所述本發明該等方面之任一來製作/賦予一許可，該方法包含有：(a)在一/該伺服器接收該接受裝置通信；(b)在一/該伺服器接收該提供裝置通信；(c)在該伺服器尋求包含在該接受裝置通信中該一次性共享鍵碼與包含在該提供互動者通信中該對應之一次性共享鍵碼間的匹配，(從而匹配該接受裝置通信與該提供裝置通信)；(d)在一/該伺服器藉由連結包含在該接受裝置通信中該秘密鍵碼與包含在該提供裝置通信中的該提供者識別碼，啟動尋找一目標記錄；(e)在一/該伺服器進行一搜尋來找出該目標記錄，其包含有該秘密鍵碼和該提供者識別碼兩者；(f)若一目標記錄被確認，確認有關於連接到該提供者之一憑證集並相關聯的一條目；(g)若連接到該提供者之一憑證集被 確認，在一/該伺服器允許檢索連接到該提供者之該憑證集，並允許把連接到該提供者之該憑證集公開給該網路端點，該端點係連接到該提供者之該憑證集之該經允許的接收者，該端點不是該接收裝置就是連結到該接受裝置之一指定第三方的接收裝置。

若連接到該提供者之該等憑證集被包含在組配來允許檢索和公開該等憑證集之該控制伺服器上的該等記錄中，檢索該連接到提供者之該憑證集和傳送該連接到提供者之憑證集的該等步驟可在被組配來允許檢索和公開該等受控憑證之該控制伺服器上執行。

若連接到該提供者之該等憑證集被包含在一不同伺服器上分開的條目中，該不同的伺服器係分開於被組配來允許檢索和公開該等受控憑證之該控制伺服器，(確認一條目屬於一連接到提供者之憑證集之該步驟可被執行在該不同的伺服器上，該不同的伺服器係分開於被組配來允許檢索和公開該等受控憑證之該控制伺服器)，而檢索該連接的憑證集以及公開該連接的憑證集之該等步驟可要麼在該被組配來允許檢索和公開該連接到該提供者之該憑證集之控制伺服器上執行，要麼在分開於該被組配來允許檢索和公開該連接到該提供者之該憑證集之控制伺服器的該不同伺服器上執行。

尋求匹配該等共享鍵碼的該步驟更可包含有確定是否該有效期已期滿。

尋求匹配該等共享鍵碼的該步驟更可包含有尋 求包含在該接受裝置通信中該預定的輔助參數與包含在該提供裝置通信中該對應的預定輔助參數間之匹配。

若一有效期被分配到該一次性共享鍵碼，該共享鍵碼在其有效期的持續期間中可能是獨一無二的。

在本發明的另一方面，一方法包含有：(a)一接受裝置製作出一次性共享鍵碼提供給該提供互動者；(b)在該接受裝置，接收屬於該提供互動者的一提供者秘密鍵碼，其中該提供者秘密鍵碼係由該提供互動者在該接受裝置處的輸入；(c)從該接受裝置傳送一接受裝置通信給該伺服器，該接受裝置通信包含有該一次性共享鍵碼和該提供者秘密鍵碼；(d)該提供裝置上接收該一次性共享鍵碼；(e)該提供者裝置從該提供裝置的一儲存位置檢索出屬於該提供互動者的一提供者識別碼；以及(f)該提供裝置傳送一提供裝置通信給該控制伺服器，該提供裝置通信包含有該一次性共享鍵碼和該提供者識別碼。

在該伺服器的該目標記錄更可包含有一別名，該別名被相關聯到屬於每一個連接到該提供者之憑證集的該條目，並且該提供裝置通信更可包含有從逐項陳列在該提供裝置之一別名列表中選出之一別名拷貝，並且其中進行一搜尋用於找出包含有該相同提供者識別碼和秘密鍵碼之一目標記錄的該步驟也利用了內含在該提供裝置通信中該別名來搜尋除了有該相同的提供者識別碼和秘密鍵碼之外還有該相同別名的一目標記錄。

該憑證集可構成為在該控制伺服器上一目標記 錄中的一條目，該控制伺服器被組配來允許檢索和公開該等受控憑證，而檢索該憑證集和公開該憑證集的該等步驟在被組配來允許檢索和公開該等受控憑證的該控制伺服器上執行。

該憑證集可構成為在一不同伺服器上的一條目，該不同伺服器係分開於被組配來允許該等受控憑證之該檢索和公開的該控制伺服器，該分開的條目係隸屬於該目標記錄，而其中檢索及公開該憑證集之該等步驟要麼在被組配來允許該等受控憑證之該檢索和公開的該控制伺服器上執行，要麼在分開於被組配來允許檢索和公開該等受控憑證之該控制伺服器的該不同伺服器上執行。

本發明的一其他方面包含有一提供裝置，其被組配來執行如以上所述之該等提供裝置步驟之一或多個。

本發明的一另一方面包含有一接收裝置，其被組配來執行如以上所述之該等接收裝置步驟之一或多個。

本發明的一其他方面包含有一伺服器，其被組配來執行如以上所述之該等伺服器步驟之一或多個。

本發明的一另外方面包含有一種系統，其包含有該等提供裝置的二或多個、該等接受裝置的二或多個、以及被組配來執行如以上所述之該等實施例之一或多個的該控制伺服器。

本發明的一額外方面包含有一種在其上儲存有一電腦程式之一電腦可讀取儲存媒體，該程式包含有電腦可執行指令，其被調適成當由一或多個處理模組執行時， 可執行如以上所述之該等方法步驟之一或多個。

較佳實施例之詳細說明

圖1係一示意圖，其圖示出該中央系統來以一種方式來保有默契，也有利於允許公開一儲存的憑證集給由該憑證集合所屬的參與者所批准的接收者。該系統100是安全的，因為它保護該等憑證集不會被未經授權之想成為該等憑證集接收者的未經授權存取，同時對於一些會以欺騙手段弄成像是自己的東西一樣來公開憑證集的人，也可以防止該等憑證集被那種人來使用。註冊到該系統的一方根據其在本發明方法中所扮演的角色和與本發明系統互動的方式，被指定為「提供者」和「接受者」。在一提供者和一接受者之間互動的過程中，該提供者公開與他們相關聯的一憑證集會是有必要的。積極從事這一互動的提供者和接受者被分別指定為「提供互動者」和「接受互動者」。將被理解的是，在本發明的許多實施例中，提供者各自與他們獨一無二的憑證集相關聯，使得該等提供者係與該等憑證集的關聯係一種「一對一」的方式。然而，本發明也設想 到在提供者與憑證集之間有一種「多對一」關係的情境，其中許多提供者都與一單一憑證集關聯，但保持該憑證集在一種默契的狀態中仍為所欲。

根據本發明的一實施例，本發明的該系統和方法被這一種提供互動者使用來把與該提供互動者相關聯的一憑證集以一種維持該憑證集該默契的方式公開給一或多個指定的接收者。根據本發明的一其他實施例，本發明的該系統和方法被這一種接受互動者使用來把與該提供互動者相關聯的一憑證集公開給一或多個指定的接收者同時維持該憑證集的該默契狀態。本發明的其他實施例設想同時並行地公開分別與提供互動者和接受互動者相關聯的提供者和接收者憑證集。該提供者和該接受者兩者合作以便於這種憑證集從該系統來公開。該指定的接收者可以是該接受互動者、該提供互動者、或可以是一可信的第三方。

該系統100包含有至少一個伺服器101，該伺服器包含有提供者記錄102的一集合。每一筆提供者記錄屬於已經註冊到該伺服器101為一提供者之一位給定的參與者，並且每一筆該記錄包含有該一或多個有關於該提供者之憑證集。更具體地說，每一筆提供者記錄包含有一提供者識別碼、一提供者秘密鍵碼、至少一組與該提供者相關聯的憑證、以及至少一個別名，其中每一組憑證分別與一別名連接，從而在一提供者紀錄中的每一個別名可與該提供者記錄之剩餘別名做區分。該提供者識別碼係被使用來確認該提供者記錄集合之一給定提供者記錄之獨一無二的字串。 該提供者秘密鍵碼係一僅為該提供者知曉的字串。當一提供者與該系統互動，想要把一提供者的憑證集公開給一指定的接收者(此一提供者被稱為是一「提供互動者」)，他們提供了他們自己的提供者識別碼，然後他們的提供者秘密鍵碼可被利用來在任何憑證集被公開之前認證該提供互動者。除了該提供者識別碼和該提供者秘密鍵碼之外，每一筆提供者記錄包含有至少一組憑證。如之前所描述的，每一憑證集包含有特定於某個個人與必要於一給定互動之一組個人資料。每一憑證集也與一可區分的別名相關聯。透過說明的方式，一位叫做「約翰．布朗」的人可具有有關於駕駛執照的一第一組憑證，以及有關於商店會員卡的一第二組憑證。該第一組憑證可以包含有該名字「約翰．布朗」、生日、駕照號碼、以及一有效日期。該第二組憑證可以包含有該名字「約翰．布朗」、住址、以及一會員俱樂部會員編號。該第一組憑證可以與該別名「駕駛執照」相關聯，而該第二組憑證可以與該別名「會員卡1」相關聯。將被理解的是，在假設每一筆提供者記錄將只包含有一憑證集之本發明實施例中，該等提供者記錄要更包含有連接到每一憑證集的一別名會是沒必要的。相反的是，在這種情況下，確認屬於該互動提供者的該記錄將自動地指出該將被公開的憑證集。

另外，在本發明的一些實施例中，該伺服器101還包含有分開的接受者記錄的一集合。每一筆接受者記錄屬於已經註冊到該伺服器101為一接受者之一個人或組 織，並且包含有一或多個與該接受者相關聯之憑證集。每一筆接受者記錄包含有一接受者識別碼，和一可選擇的接受者秘密鍵碼。該接受者識別碼係被使用來確認在該接受者記錄集合中一給定接受者記錄之一獨一無二的字串。該接受者秘密鍵碼(若適用的話)係一僅為該接受者知曉的字串。當一接受者與該系統互動以期便利於把一與該提供互動者相關聯的一提供者憑證集公開給一指定的接收者(此一接收者被稱為是一「接收互動者」)，該接受互動者的該接受者識別碼被提供，然後該接受互動者的接受者密鍵碼(若使用的話)可被利用來在任何憑證集被公開之前認證該接受互動者。

將被理解的是，儘管在此描述的本發明實施例中，該等提供者記錄和接受者記錄係不同的，並且通常被維護為分開的記錄集合，但在本發明的其他實施例中，該伺服器101可包括同時包含有提供者和接受者兩者的一單一記錄集合。此外，也將被理解的是，儘管在一實施例中一接受器及/或提供者的憑證集被儲存在一伺服器上，但多台伺服器也是可被設想到的，其中每一個伺服器的任務係儲存包含有一或多種憑證集類型的記錄。

可被額外地設想到的是，在本發明的一些實施例中，該伺服器101將只包含有提供者記錄，將不包含有接受者記錄。合意的是，在這種實施例中，該伺服器101和潛在的接受互動者將能夠經由他們現有的軟體系統彼此地進行通信。本發明的這一實施例係為有利的，因為不需要接受 者的預先註冊，並且這消除了在各個潛在接受互動者之間使用本發明之該系統和方法的障礙。因此，這提升了該系統和方法的易用性。

該伺服器101可在一通信通道上與一或多個裝置109進行通信。將被理解的是，該通信通道107可包含有該網際網路、一專有網路、或該等二者的一種組合。裝置109可處於完全不同的位置上，並且可藉由各種技術之一或多個連接到該通信通道107，諸如PSTN、乙太網路、DSL、ISDN、Wi-Fi、WiMax、2G、3G、LTE、4G、等等。該等裝置109可以是各種裝置的任一種，包括桌上型個人電腦、筆記型電腦、平板個人電腦、個人數位助理、行動電話、智慧型手機、等等。該裝置109可以替代地包括如被使用在各種工業中之定制的運算系統，包括銀行、金融、航空、旅遊、國土安全、邊境控制、能源、運輸、零售及/或電信。因此，該等裝置可以包含有被組配為當作銷售時點裝置的裝置。在本發明的情境中，這些裝置將被稱為「接受裝置」。

該伺服器101也可在一通信通道106上與一或多個裝置108進行通信。這種裝置可以包含有，舉例來說，可經由一無線基地台或路由器與該伺服器101進行通信的無線裝置。該等無線裝置可包括任何形式的無線裝置，包括筆記型電腦、平板個人電腦、個人數位助理、行動電話、智慧型手機等等。這種週邊裝置更可包含有可經由一有線連接透過通信通道106進行通信的裝置，並因此可以是，舉例來說，包含有上面所提到的桌上型電腦以及特定行業之 定制的運算系統，包含有但不侷限於銷售時點系統。在本發明的情境中，這些週邊裝置將被稱為「提供裝置」。在一實施例中，該提供裝置還可以是受密碼保護的或可能需要來自提供者額外的許可來啟動通信。該等提供裝置可處於完全不同的位置上，並且可以經由各種手段透過通信通道108與該伺服器101進行通信，諸如PSTN、乙太網路、DSL和ISDN。包含有無線裝置之提供裝置可以經由各種無線通信技術之一或多個與伺服器101進行通信，諸如Wi-Fi、WiMax、2G、3G、LTE、4G、等等。該通信通道106可包含有該網際網路、一專有網路、或該等二者的一種組合。該提供裝置108被組配有一利於與該伺服器101進行通信的應用程式。由於在該接受裝置109和該伺服器101之間的該連接包括一第一通信通道107和在該提供裝置108和該伺服器101之間的該連接包含有一第二通信通道106，該系統100可以被認為是「多通道的」組合物。這確保了一更為安全的機制，透過其憑證集和其他的敏感資料可被儲存並公開到網路端點110，同時保持在一種默契的狀態。在一些實施例中，該網路端點110不是一分開的裝置就是該接收裝置其本身，取決於在該接收裝置通信中指定的目的地。

儘管在此實施例中已經描述了該等憑證集和連接的別名被包含在該伺服器上該等提供者及/或接受者記錄中，但在本發明的其他實施例中，可被預料的是該等憑證集和連接的別名可以用可供選擇的方法來被隸屬於該等提供者及/或接受者記錄。例如，該等憑證集和隸屬的別名 可被包含在分開於在該伺服器上包含有該等識別碼和密鑰記錄之該(等)記錄集的一或多個記錄集中。這些分開的記錄集可被容納在一或多個不同的伺服器中。在本發明的一些實施例中，容納該等憑證集之該等不同的伺服器係由負責發行包含有該等憑證集之該等工具的該等控制器來管理。

圖2係一流程圖，其根據本發明的一實施例說明一位新潛在申請人如何可在該伺服器101中註冊成為一提供者。在步驟200，由該伺服器101代管的一網頁由該新提供者申請人存取，最好係使用他們的提供裝置108。該網頁被組配為使得在這一步驟中，該新提供者申請人提供了一般的註冊細節諸如姓名、住址、電子郵件位址、住所的國家、等等，並提交這些資訊給該伺服器101。將被理解的是，雖然在本發明的一些實施例中，該等註冊資訊被直接提供給該伺服器101，但在其他的實施例中，在把該等細節輸入到該伺服器101之前，該等註冊資訊可被間接地預先提供用於前處理。該網頁可在該過程的該持續期間透過一連接來被存取，或者安全連接可僅被使用在當敏感資訊(諸如一憑證集或額外的資料諸如一提供者的秘密鍵碼)正被傳輸時。將被理解的是，註冊的替代方式係有可能的，諸如透過電子郵件、傳真、等等來提交一完成表格的方式來達成。

然後，在步驟202，一新帳戶在該伺服器101上被創建用於該提供者申請人。這個的達成係藉由在該提供者記錄的集合中產生一筆新的提供者記錄。不是在步驟200就是在步驟202，會提示該新提供者申請人選擇並輸入一新的 提供者秘密鍵碼，然後將其新增到該新提供者申請人的提供者紀錄。在本發明的一替代實施例中，該新提供者記錄會被自動的提供有一臨時的提供者秘密鍵碼，其可隨後被該提供者申請人之後更新為一自定的提供者秘密鍵碼。這一臨時秘密鍵碼可由該網頁來提供，或最好可透過包含有任何形式通信的一第二通信通道的方式來提供，包含有電子郵件、SMS訊息、電話呼叫或貼文。在本發明的一些實施例中還有一額外的申請專利範圍用於提供替換的秘密鍵碼，例如在該原來的秘密鍵碼被遺忘或洩露的該事件發生中。這種更換秘密鍵碼同樣地可經由任何形式的通訊，包括經由一網站、電子郵件、SMS、電話呼叫或貼文。

在步驟204，該新提供者申請人被提示要新增憑證集到一新提供者申請人之新創建的帳戶。如之前所述，這些憑證集可包含有各種個人資料，並且可能涉及到由各種不同的政府或商業監督機構所發出之憑證集承載工具。每一個憑證集將被連接到一獨一無二於其父提供者記錄之別名(即每一個別名為「本地唯一」)。在一實施例中，該新提供者申請人會在步驟206被提示要為每一個提供的憑證集提供一本地唯一的別名。在另一實施例中，一預設的別名可被提供用於每一個憑證集。在一實施例中，該等別名可隨後被該提供者編輯。在本發明的一些實施例中，在註冊已經達到現有憑證集和連接別名可被編輯或刪除及/或新憑證集和連接別名可被新增的程度之後，該提供者記錄係可編輯的。在本發明的一些實施例中，在註冊已經達到 現有憑證集和連接別名可被編輯或刪除及/或該新憑證集和連接別名可被新增的程度之後，該提供互動者記錄係可編輯的。

在步驟206，該新提供者申請人被給予機會來設置與特定政府或商業監督機構相關聯之憑證集之該處理和使用以及它們所屬該互動類型相關聯的特定偏好。舉例來說，針對有關於一航空公司會員的一憑證集，可給予該提供者可根據他們的會員偏好來設置額外偏好的該選項，諸如合意的飛機餐、座位參考、或當地機場。舉另外一例，針對有關於一信用卡的憑證集，可給予該提供者來啟用功能的該選擇，諸如卡的偏好使用、直接貨幣兌換、旅客的增值稅退稅或使用多張卡分割付款。

然後，在步驟208，提示該新提供者申請人在他們的提供裝置108上安裝一定制的應用程式。該定制的應用程式被組配來在允許該伺服器公開一憑證集的該過程中和認證這一經發送許可的該過程中便於與該伺服器依需要進行通信，如將在以下做更詳細地描述的。在安裝該定制應用程式的該過程中，該應用程式與該保留在該提供週邊上之一獨一無二的提供者識別碼相關聯。在一個較佳的實施例中，該提供者識別碼係由該伺服器指派，並在該應用程式被安裝在該提供裝置之前、期間或之後被嵌入到該應用程式中。可替代地，該提供者識別碼可衍生自原生於該提供裝置的一字元序列，例如一IMEI號碼或序號。此字元序列可被修改以達成一獨一無二的提供者識別碼。除了保留 在該提供裝置上，該提供者識別碼也被加入到在該伺服器101上該提供者記錄集合的該提供者記錄中。在安裝該定制應用程式的過程中，該應用程式還被提供有連接到在步驟204中一給定提供者所儲存之該等該憑證集的該等別名。因此，當該應用程式被該新提供者使用在一種互動中時，在其處置下既有一提供者識別碼也有連接到該等新提供者憑證集的該等別名，使得適當時該提供者識別碼和一別名可被傳送到該伺服器101。

在一較佳的實施例中，一開始該應用程式的一通用版本可被安裝在一新提供者申請人的提供裝置上。後續於在步驟200-208所描述的該過程中，該新提供者申請人可能會被提示要透過回覆一郵件來認證其帳戶及/或在回覆來自該伺服器的一提示時來確認他們的提供者的秘密鍵碼。在這認證之後，在該新提供者申請人的提供裝置上之該應用程式的該通用版本可以使用該新提供者申請人的提供者識別碼、連接到該新提供者申請人的憑證集的該等別名、以及如在步驟206中所組配之該等新提供者申請人的偏好來被定制。這個資料可以在該新提供者申請人的提供裝置上以一種加密的格式被儲存。圖3係一流程圖，其類似於圖2所描繪的該等步驟，根據本發明的一實施例經由其一方可在該伺服器101被註冊為一接受者。如前面所指出的，本發明所設想的實施例中有的接受者必須主動地向該伺服器註冊，以及有的實施例接受者沒有必要註冊到該伺服器。此外，在本發明的其他實施例中，該接受者的註冊可被「被 動地」進行，如將在以下做更詳細地描述的。在步驟300，由該伺服器101代管的一網頁係由一方(以下，稱為一「新接受者申請人」)來存取，最好係使用該接受裝置109。以一種類似於圖2之步驟200的方式，該網頁被組配來使得在這一步驟中，該新接受者申請人提供了一般的註冊細節諸如該個人或組織的名字、住址、電子郵件位址、等等，並提交這些資訊給該伺服器101。該網頁可在該過程的該持續期間透過一連接來被存取，或者安全的連接可僅被使用在當敏感資訊(諸如一接受者的秘密鍵碼或一接受者的憑證集)正被傳輸時。將被進一步理解的是，新接受者申請人的註冊可透過其他的手段方式來發生，諸如透過電子郵件或傳真。可替代地，若該接受者所操作的一接受裝置其係由一經鏈接的第三方來遠端地控制(諸如，舉例來說，由Acquirers所使用的終端管理系統來管理卡片支付銷售時點裝置，一接受者的註冊可透過該經鏈接的第三方來啟動。在這樣的情況下，要該接受者自己提供任何資訊可能是不必要的。

在步驟302，一新帳戶在該伺服器101上被創建，藉由在該接受者記錄的集合中產生一筆新接收受者申請人記錄。

為了安排公開一提供者憑證集，必須進一步如以下描述地來給定許可。在本發明的一實施例中，發出自一接受者用於公開一提供者憑證集之任何的許可將要求要確認該接受者，因此，用於公開一提供者憑證集之任何許可 要求要初始規定一接受者憑證集。因此，可被設想的是，正如同該等提供者記錄的情況，針對一接受者希望參與之每一種互動類型，在一接受者記錄中一個別的接受者憑證集是需要的。互動類型可被廣泛地限定，例如，公開一駕駛執照工具和公開一支付卡工具會被視為不同的互動類型。另外，互動類型可被狹義地限定一例如不同的支付卡工具(例如，Mastercard、Visa Debit)的該公開可被看作是不同的互動類型。因此，雖然在一些實施例中，例如，一接受者憑證集可普遍地適用於所有的支付卡，在其他實施例中，一接受者會有不同的憑證集用於由該接受者所處理之每一種不同的支付卡類型。

在步驟306，該新接受者申請人被給予機會來設置與特定互動類型相關聯之憑證集之該處理和使用相關聯之特定偏好。舉例來說，針對有關於一信用卡的一憑證集，可給予該新接受者申請人該選擇來指出一旦該接受者憑證集已被公開，他們是否願意提供與該憑證集相關聯的下游功能，諸如直接貨幣兌換、旅客的增值稅退稅或使用多張卡分割付款。

在步驟308，該接受者裝置然後被組配使得它可以與該伺服器進行通信。這可以以各種方式來完成。另外，在該接受者裝置係由一第三方來遠端控制之本發明的實施例中，若需要的話該第三方可以啟動該接受者裝置的一自動重新組配。在本發明的其他實施例中，該新接受者申請人可以經由類似於在圖2中所描述之安裝一定制應用程式 的方式來啟動重新組配。

圖4根據本發明的一實施例係一種方法的流程圖，其圖示出允許公開至少一組連接到一提供者之受控憑證，同時保持在該等憑證中的默契有效。該控制伺服器接收包含有一秘密鍵碼和一個一次性共享鍵碼之一接收裝置通信和包含有一提供者識別碼和一個一次性共享鍵碼之提供裝置通信。在步驟403，該等通信訊息進行比較。一不成功的匹配終止該方法且該互動指令沒被完成。若該共享鍵碼匹配，在步驟404，藉由連接該秘密鍵碼和提供者識別碼在該伺服器上啟動搜尋一目標記錄。搜尋出任何包含有相同於被載於該接受裝置通信和提供裝置通信中該提供者識別碼和秘密鍵碼的目標記錄。若找到一目標記錄，有關於該記錄出現儲存位置的該憑證集被檢索，並允許將被公開到係為該網路端點的一指定目的地。

圖5A和5B揭露了在接受者裝置所執行的該處理。一個一次性共享鍵碼係由該接受裝置產生，並被傳送到該提供裝置。該接受裝置進一步接收該提供者秘密鍵碼，並產生一通信，該通信將被發送到如在圖1中由101所描繪出的該控制伺服器。該通信係由該提供者秘密鍵碼和該一次性共享鍵碼所構成。

圖6A和6B揭露了在該提供裝置處所執行的該過程。該提供者識別碼從記憶體中被檢索出。在從該接收裝置接收該一次性共享鍵碼時，由該提供者秘密鍵碼和該一次性共享鍵碼所構成的一通信被發送到該控制伺服器 101。圖7和圖8係有關於連接到該提供者之該等受控憑證的條目的一種呈現。該等條目的每一個係與一提供者識別碼和一秘密鍵碼相關聯。圖7A至7E表示在該控制伺服器或憑證伺服器101上儲存記錄的各種實施例。在某些實施例中，提供互動者的記錄可以使用查詢列表來被遮罩和定位，如在圖7A和7C中所描述的。可能有另一實施例其中每一筆提供者互動者記錄係與一別名相關聯。

圖9A和9B揭露了圖形呈現，該等呈現有關於在該控制伺服器傳送來自該等提供和接受互動者之訊息的該過程以及調度受控憑證到經允許目的地的該過程。圖10根據本發明的一實施例係一順序圖表，其圖示出透過其許可可被給出的過程，本發明的該實施例涉及一伺服器1001、提供互動者1002、提供裝置1003、網路端點1004、以及接受裝置1005，以在儲存器中在由該提供互動者1002所確認的一位置處檢索一組憑證並公開一組憑證給由該提供互動者1002所允許之一接收者的設備。將被理解的是，給予許可來檢索和公開一提供者憑證集合也可被伴隨於同時用於檢索一接受者憑證集的請求，其中該接受裝置1005和該提供裝置1003仍然提交該等各自的通信給該伺服器1001。在本發明的一些實施例中將被進一步認體認到的是，公開該憑證集的該許可將明確地是可把一提供者憑證集(與一提供互動者1002相關聯)公開給該網路端點1004或給一接受裝置1005的一許可。然而，在本發明的其他實施例中，該許可將會是可分享該接受者或提供者憑證集給鏈接到該網 路端點1004或該接受裝置1005之一受信任的第三方。例如在許可被提交以分享有關於支付卡工具的一提供者憑證集的情況中；可能意圖要把該支付卡憑證集發送給一受信任的第三方交易處理器。

在圖10中，擁有被組配來產生和發送一提供裝置通信給該伺服器1001之一提供裝置1003的一提供互動者1002，確認運行在包含有一網路端點1004及/或接受裝置1005之一接受互動者處的一設備(其中該網路端點1004係一接受裝置1005，或其中該網路端點1004被鏈接到一接受裝置1005)，並其中該接受裝置1005被組配來產生和發送一接受裝置通信給該伺服器1001。該提供互動者1002可以決定在這一設備上互動，以期連接到該提供互動者1002之一憑證集的讀取將允許被公開給該網路端點1004或該接受裝置1005。該接受互動者也可以決定在這一設備上互動，以期請求連接到該接受互動者之一憑證集的讀取將被傳回給該網路端點1004或該接受裝置1005，當在該網路端點1004或該接受裝置1005處接收連接到該提供互動者1002之該憑證集時。更具體地說，在本發明的較佳實施例中，在連接到該提供互動者1002之該憑證集中的一默契存在狀態被保留，其中對連接到該提供互動者1002之該憑證集的讀取係不可見於或可存取於該接受互動者也沒傳送給提供裝置1003，但只保密地傳送給該網路端點1004或接受裝置1005。

在圖10中，並在該事件先行者1010處，在該網路端點1004或該接受裝置1005一信號被傳送給該提供互動者 1002，指出本發明所設計的該方法係提供在該網路端點1004或該接受裝置1005處可用於該提供互動者1002的一種方法，其中該網路端點1004被組配有這種接受裝置1005並且其中這種接受裝置1005被組配來與伺服器1001進行通信。在效果上，本發明所設計的該方法係提供在該網路端點1004可用於從提供互動者1002獲取憑證的該等方法之一。

在圖10中，並在該事件先行者1011處，一提供互動者1002決定在該接受互動者操作的該設備上按照本發明所設計的方法啟動一互動，藉由援用組配來產生和發送一提供裝置通信給這伺服器1001之該提供裝置1003，以及援用一接受裝置1005，其被組配來產生和發送一接受裝置通信給這伺服器1001。在效果上，該提供互動者1002選擇以在該接受互動者操作的該設備被按照本發明所設計的方法啟動一互動，拒絕在該接受互動者操作的該設備上使用提供在該網路端點1004可從該提供互動者1002獲得憑證之現有方法之任何其他程序來啟動一互動。

在階段1012，藉由啟用被組配來便於與伺服器1001進行接受裝置通信之該接受裝置1005，啟動一互動。在1012的啟用時，一個一次性共享鍵碼被產生1012在該接受裝置1005處。在一實施例中，該共享鍵碼是由該伺服器1001產生並被傳送到該接受裝置1005。在另一實施例中，該共享鍵碼係在該接受裝置1005被產生。

在階段1013，藉由啟用便於與伺服器1001進行提 供裝置通信之該提供裝置1003，啟動一互動。在1013的啟用時，提供者識別碼係從該提供裝置1003上的一儲存位置處被檢索。在一實施例中，與相關於該提供者識別碼之連接到該提供互動者1002之該等憑證相關聯的一別名列表也從該提供裝置1003的某一儲存位置處被檢索。在這種實施例中，與連接到該提供互動者1002之該等憑證相關聯的這一別名列表被逐項地表列於該提供裝置1003上用以由該提供互動者1002進行選擇。

在階段1014，一共享鍵碼被呈現在該接受裝置1005處以提供給提供互動者1002和提供裝置1003。在1014的一實施例中，在接受裝置1005處它被呈現成人類可讀取的形式。在1014的另一實施例中，在接受裝置1005處它被呈現成機器可讀取的形式。

在階段1015，該共享鍵碼被相應地在該提供裝置1003處獲得。在一實施例中，係藉由在該接受裝置1005處讀取它，並將其輸入到該提供裝置1003來獲得。在另一實施例中，係藉由在該接受裝置1005處掃描它並把它擷取到該提供裝置1003上來獲得的。在一實施例中，該接受裝置1005直接1014發送該一次性共享鍵碼給該提供裝置1003，而在另一實施例中，該接受裝置1005使該共享鍵碼提供給1014該提供互動者1002，該提供互動者1002在1016把它輸到該提供裝置1003。在本發明的一些實施例中，一有效期可被分配給該共享鍵碼。這確保若一經接收的接收裝置通信和一經接收的提供裝置通信沒有在一特定的時框(該有 效期)內透過尋求匹配該等一次性共享鍵碼(如下面將進一步討論的)來在一特定的時框內被證實，則該互動會失效，從而成為無效呈現進一步處理冗餘。在一共享鍵碼的有效期屆滿時，該相同的共享鍵碼從而可被重新使用在該方法的一後續迭代中。因此，一有效期可以確保較短、較不複雜的秘密鍵碼可被使用，因為共享鍵碼再利用係可行的。在該提供互動者須要輸入該共享鍵碼到該提供裝置1003的本發明實施例中，這是有利的，因為降低的鍵碼複雜性將使該方法的這種實施例係更易於管理。

在一些實施例中，該提供裝置1003還可以顯示有關於連接到該提供互動者1002之不同提供者憑證集的一別名列表。該提供互動者1002然後選擇關聯到連接到該提供互動者1002之該所欲憑證集的一別名。

在階段1016，該接受裝置尋求獲得該提供互動者1002的該秘密鍵碼，藉由提示該提供互動者1002輸入該提供者的秘密鍵碼在該接受裝置1005上。在一實施例中，該接受裝置1005可在1012另外顯示一預定的輔助參數給該提供互動者1002以進一步相關到該互動並確證該接受裝置通信和該提供裝置通信。

在1017，該接受裝置1005獲得該秘密鍵碼。在一實施例中，該提供互動者1002使用一鍵盤來輸入該秘密鍵碼在該接受裝置1005上。在另一實施例中，該提供者互動者1002可使用一裝置來傳送該秘密鍵碼到該接受裝置1005。

在階段1019，該接受裝置1005然後發送一接受裝置通信給該伺服器1001允許公開連接到該提供互動者1003之一或多個特定的憑證集給由該提供互動者1002所允許之該接受者的設備。該接受裝置通信包含了在1017所獲得之該提供者的秘密鍵碼和在1012處所產生的該一次性共享鍵碼。該接收裝置通信也可包含屬於該接受互動者的一識別碼，若有在1012被檢索出的話，以及任何的輔助預定參數，若有在1012被擷取出的話。

在階段1018，該提供裝置1003發送一提供裝置通信給該伺服器1001允許檢索連接到該提供互動者1002之該(等)特定的憑證集，在儲存器中由該提供互動者1002所確認之位置處。該提供裝置通信包含在1013所檢索的一提供者識別碼和在1015所獲得的該一次性共享鍵碼。該提供裝置通信也可含有相關聯到該選擇憑證集的一別名若其逐項陳列在1013並選擇在1016的話，並且還可以包含任何預定的輔助參數若有在1016被擷取出的話。

在1020，該伺服器1001試圖匹配該接收到的接受裝置通訊和接收到的提供裝置通信，藉由尋求匹配包含在該接受裝置通訊中的該一次性共享鍵碼與包含在提供裝置通信中的該一次性共享鍵碼。在一些實施例中，該接受裝置通信及/或該提供裝置通信可被分配一有效期1020。若該接收裝置通信和提供裝置通信在該指定有效期內不匹配，該互動失效，並被視為無效呈現進一步處理冗餘。凡一互動失效並成為無效呈現進一步處理冗餘時，有關於該互動 (即該互動者通信)的該資料可被從該系統被清除，釋放資源用於處理其他被接收到的許可。在其他實施例中，一個值或預定的輔助參數可能已被包含在1019的該接受裝置通信和在1018的該提供裝置通信中。若是這樣，則除了共享鍵碼之外，使用該值作為該預定輔助參數以在1020尋求在一接收裝置通信與提供裝置通信間的一匹配。

在階段1021，以及在1020發現一匹配的情況下，該伺服器1001透過1021連接包含在該提供裝置通信中該提供識別碼和包含在該接受裝置通信中該秘密鍵碼，啟動一搜尋，其中包含在該提供裝置通信中的該共享鍵碼係相同於包含在該接受裝置通信中的該共享鍵碼，在1020。若在1020沒有發現匹配，該方法因此不繼續到1021，而該伺服器1001可以相應地傳回一資訊給該接受裝置1005或該提供裝置1003。

在階段1022，該伺服器1001主導1022一搜尋以在包含有在該匹配提供裝置通信中所載該提供者識別碼和在該匹配接受裝置通信中所載該秘密鍵碼的提供者記錄集合中尋找一目標記錄。在一實施例中，並在該事件1022中，按照1018相關聯於該提供者識別碼的一別名被包含在該提供裝置通信，則除了該提供互動者1002之該提供者識別碼和秘密鍵碼之外該別名也被使用來確定1022包含有該別名的一目標記錄。

在階段1023，並在包含有該提供者識別碼和提供者秘密鍵碼的一記錄在1022被找到的情況下，一搜尋被繼 續，藉由確認1023一隸屬於在1022被找到該目標記錄的一條目，其中該條目涉及連接到該提供互動者1002之該組憑證(在一實施例中，該有關的憑證集可以是連接到在步驟1022由該提供互動者1002所選擇該別名的該憑證集)。在一實施例中，該經確認的條目包含有一讀取，其包含有連接到該提供互動者1002之該等憑證。在另一實施例中，該經確認的條目包含有一指標，其定位出連接到該提供互動者1002之該等憑證。在包含有該提供者識別碼和提供者秘密鍵碼的一記錄並沒有在步驟1022被找到的該情況中，該程序因此不繼續至1023，而該伺服器1001可相應地傳回一訊息給該接受裝置1005及/或該提供裝置1003。

在1024，一搜尋的完成係藉由允許在儲存器中用在1023該經確認位置檢索連接到該提供互動者1002之該等憑證的讀取，以及允許把連接到該提供互動者1002之該等憑證的讀取公開給由該提供互動者1002所許可之該接受者的該設備。

在階段1025，以該提供互動者1002所指出的位置從檢索儲存器一讀取。在一實施例中，在組配來執行設計在1020至1024中該方法的該控制伺服器上儲存和檢索一讀取1025。在另一實施例中，在與組配來執行設計在1020至1024中該方法之該控制伺服器不同的另一伺服器上儲存和檢索一讀取1025。

在階段1026，該等憑證的讀取被公開1026給由該提供互動者1002所允許之該接受者的該設備。在一實施例 中，該讀取被公開並被分派給該網路端點1004。在另一實施例中，該讀取被公開並被分派給該接受裝置1005。

在圖10中，如後續於1027和1028的該等事件，該伺服器1001傳回一訊息給該提供互動者1002的該提供裝置1003，指出該讀取是否正如所確認的被檢索和正如該提供互動者1002所允許的被公開；在這種補充的實施例中，一記錄被維護在該伺服器1001中列舉出發生在1020和1024之間的事件狀態，該提供互動者1002可以在該提供裝置1003處來檢視。

參照該等附圖來描述之本發明的實施例包含有一電腦設備及/或執行在一電腦設備中的程序。然而，本發明還擴展到電腦程式，特別是有電腦程式儲存在其上或其中之一載體，其適於使本發明付諸實踐。該程式可以是一種來源碼、目的碼、或在來源碼和目的碼間一中間碼的形式，諸如有部分已編譯的形式或適用來實現根據本發明實施例之該方法的任何其他形式。該載體可以包含有一種儲存媒體諸如ROM，例如CD ROM，或磁性記錄媒體，例如一軟碟或硬碟。該載體可以是可經由一電或光纜或由無線電或其他的方式來傳送之一電氣信號或光信號。

「包含/包含有」和「具有/包括」等詞當被用於本文中來參照本發明時係被使用來指定所陳述的特徵、整數、步驟或組件的存在，但不排除有一或多個其他的特徵、整數、步驟、組件或它們的組合的存在或添加。

可被理解的是，本發明的某些特徵，其為了清楚 起見，是在個別實施例的環境中來描述的，但也可以在一單一實施例的組合中被提供。相反地，本發明的各種特徵，其為了簡潔起見是在一單一實施例的環境中來描述的，也可以分別地或以任何合適的子組合來被提供。

100‧‧‧系統

100a‧‧‧中央比較器

100b‧‧‧遠端資源

101、1001‧‧‧伺服器

102‧‧‧互動者紀錄

103‧‧‧憑證條目

104‧‧‧接受裝置通信

105、A902‧‧‧提供裝置通信

106、107、111‧‧‧網路

108、A903‧‧‧在提供裝置的訊息產生器

108a‧‧‧互動器識別碼

108b‧‧‧共享鍵碼拷貝

109、A905‧‧‧在接受裝置的訊息產生器

109a‧‧‧秘密鍵碼拷貝

109b、A902a、A904a‧‧‧共享鍵碼

110、1004‧‧‧網路端點

200~208、300~308、400~430、501~503、601~603‧‧‧方塊

701、B901‧‧‧系統伺服器

701a‧‧‧訊息接受者

701b‧‧‧調度整理者

701‧‧‧(限定)提供者識別碼

702‧‧‧(許可)秘密鍵碼

703‧‧‧(位置)連接的憑證

801‧‧‧(訂戶)互動器識別碼

802‧‧‧(目的地)參與的端點或接受裝置

A901‧‧‧在系統伺服器的訊息接受者

A902b‧‧‧提供者識別碼

A904‧‧‧許可訊息

A904b‧‧‧秘密鍵碼

B901‧‧‧讀取檢索

B902‧‧‧限定的位置

B903‧‧‧讀取公開

B904‧‧‧允許的目的地

1002‧‧‧提供互動者

1003‧‧‧提供裝置

1005‧‧‧接受裝置

1010、1011、1012、1013、1014、1015、1016、1017、1018、1019、1020、1021、1022、1023、1024、1025、1026、1027、1028‧‧‧階段

100‧‧‧系統

100a‧‧‧中央比較器

100b‧‧‧遠端資源

101‧‧‧伺服器

102‧‧‧互動者紀錄

103‧‧‧憑證條目

104‧‧‧接受裝置通信

105‧‧‧提供裝置通信

106、107、111‧‧‧網路

108‧‧‧在提供裝置的訊息產生器

108a‧‧‧互動者識別碼

108b‧‧‧共享鍵碼拷貝

109‧‧‧在接受裝置的訊息產生器

109a‧‧‧秘密鍵碼拷貝

109b‧‧‧共享鍵碼

Claims (37)

1. 一種系統用於允許把至少一組連接到一提供者之受控憑證的通信從一伺服器傳送到一網路端點，該至少一組連接到該提供者之受控憑證包含有至少一組連接的受控憑證，該系統包含有：至少一個網路端點；至少一個接收裝置被組配來發送一接受裝置通信，該接受裝置通信包含一有關於該提供者的一秘密鍵碼和一個一次性共享鍵碼；至少一個提供裝置被組配來發送一提供裝置通信，該提供裝置通信包含一有關於該提供者的一提供者識別碼和該一次性共享鍵碼；至少一個伺服器，其更包含有一處理器、至少一個通信介面和記憶體，該記憶體儲存與該至少一組連接的受控憑證有關的至少一個條目，每一個條目係隸屬於至少一筆記錄，該記錄屬於任一位提供者並包含有一提供者識別碼和綁定到該提供者識別碼的秘密鍵碼；其中該至少一個伺服器被組配來：(a)接收該接受裝置通信；(b)接收該提供裝置通信；(c)尋求包含在該接受裝置通信中該一次性共享鍵碼與包含在該提供裝置通信中該一次性共享鍵碼間的一匹配； (d)藉由連結在該接受裝置通信中該秘密鍵碼與在該提供裝置通信中該提供者識別碼，啟動一搜尋來尋找一目標記錄，該接受裝置通信和該提供裝置通信兩者包含有該相同的一次性共享鍵碼；(e)進行一搜尋來找出包含有該秘密鍵碼和該提供者識別碼兩者的該目標記錄；(f)確認隸屬於該目標記錄的一條目；(g)允許檢索屬於該條目之該至少一組受控憑證，並允許公開該至少一組受控憑證給該網路端點，該網路端點係該至少一組連接的受控憑證之一種類型的一指定接收者。
2. 如請求項1之系統，其中該至少一個伺服器包含有一控制伺服器。
3. 如請求項2之系統，其中該控制伺服器更被組配來產生該共享的一次性鍵碼，並使其在該接受裝置處可使用。
4. 如請求項2之系統，其中該控制伺服器更被組配來產生該共享的一次性鍵碼，從該提供者接收該秘密鍵碼並發送該接收裝置通信給該控制伺服器。
5. 如請求項3之系統，其中該提供裝置更被組配來從該接受裝置接收該共享的一次性鍵碼，從其記憶體檢索出提供者識別碼並發送該提供裝置通信給該控制伺服器。
6. 如前述任一請求項之系統，其中包含有該提供者識別碼和該秘密鍵碼的該記錄更包含有相關聯到該提供者識別碼和隸屬於有關該至少一組連接的受控憑證之該條 目的一別名。
7. 如前述任一請求項之系統，其中該提供裝置通信更包含有相關聯到該提供者識別碼和附屬於有關該至少一組連接的受控憑證之該條目的一別名，並且其中該搜尋以尋找該目標記錄更利用了包含在該提供裝置通信中的該別名以尋找出除了包含有該提供者識別碼和該秘密鍵碼之外包含有該別名的該目標記錄。
8. 如前述任一請求項之系統，其中該網路端點包含有該接受裝置並被配置成該至少一組連接的受控憑證之一或多種類型的一指定接收者。
9. 如請求項1至7任一項之系統，其中該網路端點被連接到該接收裝置並被配置成該至少一組連接的受控憑證之一或多種類型的一指定接收者。
10. 如請求項2之系統，其中該至少一組連接的受控憑證包含有一條目在該控制伺服器上的一目標記錄中。
11. 如請求項2之系統，其中該至少一組連接的受控憑證包含有在該至少一個伺服器之另一個上的一條目，其係附屬在該控制伺服器上的該目標記錄。
12. 如前述任一請求項之系統，其中一有效期被分配給該接收裝置通信，並且其中步驟c)更包含有確定是否該有效期已過期。
13. 如請求項1至11任一項之系統，其中一有效期被分配給該提供裝置通信，並且其中步驟c)更包含有確定是否該有效期已過期。
14. 如請求項1至11任一項之系統，其中一有效期被分配給該共享的一次性鍵碼，並且其中步驟c)更包含有確定是否該有效期已過期。
15. 如請求項14之系統，其中該共享的一次性鍵碼在其有效期的該持續期間係獨一無二的。
16. 如前述任一請求項之系統，其中該接收裝置通信更包含有一或多個預定的輔助參數，以及該提供裝置通信更包含有該等一或多個預定的輔助參數。
17. 如請求項16之方法，當取決於請求項2至5之任一項時，其中該控制伺服器尋求把來自該提供裝置通信之該等預定輔助參數中的至少一個匹配來自該接受裝置通信之該(等)對應的預定輔助參數以進一步提供以下的至少一個：相關聯和確證。
18. 如請求項2至5任一項之系統，其中，若該等受控憑證包含有條目在該控制伺服器上的該等記錄中，該搜尋用於找出至少一組連接的受控憑證係在該控制伺服器處被執行，該至少一組連接之受控憑證的檢索係在該控制伺服器處被執行，以及該至少一組連接之受控憑證的傳送係從該控制伺服器處被執行。
19. 如請求項2至5任一項之系統，其中，若任一該等至少一組連接之受控憑證包含有分開的條目在一異於該控制伺服器的伺服器上，該搜尋用於找出至少一組連接的受控憑證、該至少一組連接之受控憑證的檢索、以及該至少一組連接之受控憑證的傳送係使用以下之一來執 行：該控制伺服器和該不同的伺服器。
20. 如請求項2至5任一項之系統，其中，在該控制伺服器若無匹配被發現在該接受裝置通信與提供裝置通信之間，該控制伺服器終止進一步經組配的操作並記錄在該處之這種狀態。
21. 如請求項2至5任一項之系統，其中在該控制伺服器若無目標記錄被發現，該控制伺服器終止進一步經組配的操作並記錄在該處之這種狀態。
22. 如請求項2至5任一項之系統，其中該控制伺服器更被組配來記錄該等發生事件的該狀態並中繼這種狀態至以下的至少一個：該接受裝置和該提供裝置。
23. 如前述任一請求項之系統，其中該等伺服器、網路端點、以及提供和接受裝置的每一個更包含有以下的至少一個：一處理器、通信介面、記憶體、輸入裝置以及輸出裝置。
24. 如前述任一請求項之系統，其中該系統可操作在一通信網路上。
25. 一種方法用以允許把至少一組連接到一提供者之受控憑證的通信從一伺服器送到一網路端點，該至少一組連接到該提供者之受控憑證包含有至少一組連接的受控憑證，該方法包含有。(a)在一伺服器接收一接受裝置通信，該通信包括一有關於該提供者和一個一次性共享鍵碼的秘密鍵碼；(b)在一伺服器接收該提供裝置通信，該通信包括一 有關於該提供者和一次性共享鍵碼的一提供者識別碼；(c)在一伺服器尋求包含在該接受裝置通信中該一次性共享鍵碼與包含在該提供裝置通信中該一次性共享鍵碼間的一匹配；(d)在一伺服器藉由連結在該接受裝置通信中該秘密鍵碼與在該提供裝置通信中該提供者識別碼，啟動一搜尋來尋找一目標記錄，該接受裝置通信和該提供裝置通信兩者包含有該相同的一次性共享鍵碼；(e)在一伺服器進行一搜尋來找出包含有該秘密鍵碼和該提供者識別碼兩者的該目標記錄；(f)在一伺服器確認隸屬於該目標記錄的一條目，該條目有關於該等至少一組連接的受控憑證；以及(g)在一伺服器允許檢索屬於該條目之該等至少一組受控憑證，並允許公開該等至少一組受控憑證給該網路端點，該網路端點係該等至少一組連接的受控憑證之一經允許的接收者。
26. 如請求項25之方法，其中包含有該提供者識別碼和該秘密鍵碼的一記錄更包含有相關聯到該提供者識別碼和隸屬於有關該至少一組連接的受控憑證之該條目的一別名，並且該提供裝置通信更包含有相關聯到該提供者識別碼和隸屬於有關該至少一組連接的受控憑證之該條目的一別名，並且其中步驟(c)更包含有匹配該記錄和該提供裝置通信之各自的別名。
27. 如請求項25或26之方法，其中該伺服器包含有一控制伺 服器且步驟(a)至(g)係在其上被執行。
28. 如請求項27之方法，其中該等至少一組連接之受控憑證包含有一條目在一異於該控制伺服器的伺服器上，該條目被附屬於該目標記錄，並且其中確認一憑證集的該步驟被執行在該不同的伺服器上，以及其中步驟(g)係在以下之一上來執行：該控制伺服器和一不同的伺服器。
29. 如請求項25至28任一項之方法，更包含有分配一有效期給以下的至少一個：該接收裝置通信、該提供裝置通信以及該共享鍵碼，並且步驟(c)更包含有判定是否該有效期已過期。
30. 如請求項29之方法，其中該共享的鍵碼在其有效期的該持續期間係獨一無二的。
31. 如請求項25至29任一項之方法，其中該提供裝置通信和該接收裝置通信的每一個更包含有一或多個預定的輔助參數，並且其中步驟(c)更包含有尋求把在該提供裝置通信中之該等預定輔助參數中的至少一個匹配在該接受裝置通信中之對應預定輔助參數的至少一個。
32. 如請求項27之方法，其中，若該等受控憑證構成在該控制伺服器上該等記錄中的條目，在該控制伺服器上執行確認該等至少一組連接的受控憑證的步驟，在該控制伺服器上執行檢索該等至少一組連接之受控憑證的步驟，以及從該控制伺服器執行公開該等至少一組連接之受控憑證的步驟。
33. 如請求項27之方法，其中，若該等憑證集構成在一異於 該控制伺服器的伺服器上分開的條目，在該不同的伺服器執行搜尋用於找出該等至少一組連接之受控憑證的該等步驟、在該不同的伺服器執行檢索該等至少一組連接之受控憑證的該等步驟、以及從該控制伺服器和該不同的伺服器之任一公開該等至少一組連接之受控憑證。
34. 如請求項27之方法，其中，若該等憑證集構成在一不同的伺服器上分開的條目，在該不同的伺服器執行確認該等至少一組連接之受控憑證的該步驟，以及從該控制伺服器和該不同的伺服器之一執行檢索該等至少一組連接之受控憑證和公開該等至少一組連接之受控憑證的該等步驟。
35. 如請求項27之方法，其中，若無匹配被發現在該接受裝置通信與提供裝置通信之間，終止進一步經配置的行動並在該控制伺服器記錄這種狀態。
36. 如請求項27之方法，其中，若無目標記錄被發現，終止進一步經配置的行動並在該控制伺服器記錄這種狀態。
37. 如請求項27之方法，更包含有在該控制伺服器記錄該等事件的該狀態並中繼這種狀態至以下的至少一個：該接受裝置和該提供裝置。