TW201828187A - 透過交易信物執行憑證作業之系統、裝置及其方法 - Google Patents
透過交易信物執行憑證作業之系統、裝置及其方法 Download PDFInfo
- Publication number
- TW201828187A TW201828187A TW106103024A TW106103024A TW201828187A TW 201828187 A TW201828187 A TW 201828187A TW 106103024 A TW106103024 A TW 106103024A TW 106103024 A TW106103024 A TW 106103024A TW 201828187 A TW201828187 A TW 201828187A
- Authority
- TW
- Taiwan
- Prior art keywords
- voucher
- job
- identification data
- service
- transaction token
- Prior art date
Links
Landscapes
- Information Transfer Between Computers (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一種透過交易信物執行憑證作業之系統、裝置及其方法,其透過業務伺服器在客戶端使用瀏覽程式成功登入後,依據客戶端所傳送的識別資料連線至閘道器取得交易信物,並在需要執行憑證作業時,透過瀏覽程式傳送包含所取得之交易信物的作業請求至客戶端的服務程式,並由服務程式將作業請求傳送到閘道器,使閘道器在成功驗證交易信物後,執行與作業請求對應的憑證作業之技術手段,可以讓交易系統之使用者介面獨立開發無須整合憑證作業系統之使用者介面,並達成簡化需要執行憑證作業時之服務流程的技術功效。
Description
一種執行憑證作業之系統、裝置及其方法,特別係指一種由客戶端傳送交易信物以執行憑證作業之系統、裝置及其方法。
電子憑證,又稱為數位憑證,是一種用於電腦系統的身分識別機制。電子憑證是一個或一組電腦檔案,其中記載了擁有人的身份資料及一組公開密碼。電子憑證的擁有人可向電腦系統認證自己的身分,從而存取或使用某一特定的電腦服務。
早期因網路安全性未如現今受到重視,需要透過電子憑證存取或使用的電腦服務大多以網頁附掛安控外掛元件的型態提供,意即使用者在存取或使用這些服務時,是透過瀏覽器來向遠端伺服器進行憑證申請、展期及查詢等相關服務。
如今,因近年來網路安全漸受重視,瀏覽器對於運作於其上的網頁及外掛元件之安全性要求及檢核愈益嚴苛,限制大幅增加且支援度下降,造成過去可順利在瀏覽器上執行的憑證新申請、展期、查詢等相關作業因之操作失敗比率大增,反而對使用者造成困擾。為了解決上述的問題,目前已有將憑證作業分離至外部閘道器執行的解決方案,此一解決方式是讓交易作業由客戶端連線到業務伺服器上執行,憑證作業則由客戶端連線到閘道器上執行。
但在交易作業的執行過程中,不論客戶端是在瀏覽器中使用外掛元件執行憑證作業,或是連線到閘道器執行憑證作業,若客戶端沒有憑證,則交易作業將會暫時中斷,並引導客戶端連線到憑證註冊伺服器或閘道器進行憑證申請。在正常情況下,客戶端的使用者並不熟悉憑證的申請流程,業務伺服器也不會特別說明不屬於自身業務的憑證申請過程,因此,使用者在進行憑證申請時往往會遇到問題而無法完成憑證申請流程,進而導致無法完成交易,造成使用者不便,同時也增加業務伺服器之客服人員的困擾。
綜上所述,可知先前技術中長期以來一直存在在交易過程中需要中斷交易流程改為進行憑證申請流程造成使用者與客服人員困擾的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在在交易過程中需要額外進行憑證申請流程往往造成使用者與客服人員困擾的問題,本發明遂揭露一種透過交易信物執行憑證作業之系統、裝置及其方法,其中:
本發明所揭露之透過交易信物執行憑證作業之系統,至少包含:客戶端,其中包含服務程式;以及提供輸入識別資料的瀏覽程式;業務伺服器,提供瀏覽程式連接,用以驗證識別資料;閘道器,提供業務伺服器與服務程式連接,用以接收業務伺服器所傳送之包含識別資料之帳號資訊,並產生與識別資料對應之交易信物,及傳送交易信物至業務伺服器,使業務伺服器透過瀏覽程式傳送識別資料及交易信物至服務程式,及用以接收服務程式所傳送之包含識別資料及交易信物之作業請求,並驗證作業請求所包含之識別資料與交易信物,當識別資料與交易信物通過之驗證後,執行與作業請求相對應之憑證作業,及傳送與憑證作業相對應之執行結果至服務程式,使服務程式依據該執行結果產生一作業結果,並傳送該作業結果至瀏覽程式顯示。
本發明所揭露之透過交易信物執行憑證作業之裝置,至少包含:信物產生模組,用以產生交易信物;通訊模組,用以接收業務伺服器所傳送之帳號資訊,並傳送交易信物至業務伺服器,及用以接收客戶端所傳送之作業請求,其中,帳號資訊包含識別資料,作業請求包含識別資料及交易信物,且識別資料與交易信物相對應;資料驗證模組,用以驗證作業請求所包含之識別資料與交易信物;憑證作業模組,用以於識別資料與交易信物通過驗證時,執行與作業請求相對應之憑證作業,使服務程式依據與憑證作業相對應之執行結果產生作業結果,並傳送作業結果至客戶端顯示。
本發明所揭露之透過交易信物執行憑證作業之方法,其步驟至少包括:客戶端執行瀏覽程式及服務程式;瀏覽程式提供輸入識別資料,並傳送識別資料至業務伺服器;業務伺服器驗證識別資料,並在識別資料通過驗證後傳送包含識別資料之帳號資訊至閘道器;閘道器產生與識別資料對應之交易信物,並傳送交易信物至業務伺服器;業務伺服器透過瀏覽程式傳送識別資料及交易信物至服務程式;服務程式傳送包含識別資料及交易信物之作業請求至閘道器;閘道器驗證作業請求所包含之識別資料與交易信物,並於識別資料與交易信物通過閘道器之驗證時,執行與作業請求相對應之憑證作業,並傳送與憑證作業相對應之執行結果至服務程式;服務程式依據執行結果產生作業結果;瀏覽程式顯示作業結果。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過業務伺服器在客戶端使用瀏覽程式成功登入後,依據客戶端所傳送的識別資料連線至閘道器取得交易信物,並在需要執行憑證作業時,透過瀏覽程式傳送包含所取得之交易信物的作業請求至客戶端的服務程式,並由服務程式將作業請求傳送到閘道器,使閘道器在成功驗證交易信物後,執行與作業請求對應的憑證作業,藉以解決先前技術所存在的問題,並可以達成降低業務伺服器之開發複雜度的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以在客戶端連線到業務伺服器進行交易的過程中,需要進行憑證作業時,由業務伺服器將閘道器(Gateway)所產生的交易信物(token)提供給客戶端,使得客戶端可以自動使用交易信物連線到閘道器完成憑證作業,藉以簡化在交易過程中的憑證作業流程。其中,本發明所提之憑證作業包含但不限於申請憑證、檢視憑證內容、廢止憑證、或使用憑證簽章等。
以下先以「第1圖」本發明所提之透過交易信物執行憑證作業之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有客戶端100、業務伺服器190、以及閘道器200。
客戶端100為具有資料處理功能與資料通訊功能的裝置,包含但不限於電視、個人電腦、筆記型電腦、手機、平板、導航裝置、多媒體播放機、電子書閱讀器、電子字典、車用電腦、隨身聽、電視遊樂器、掌上型遊樂器等。其中,客戶端100更可以包含瀏覽程式110以及服務程式130。
客戶端100可以透過瀏覽程式110連線到業務伺服器190,並由瀏覽程式110登入業務伺服器190並執行一個或多個業務功能。客戶端100也可以透過服務程式130在瀏覽程式110需要時連線到閘道器200執行憑證作業。客戶端100可以透過有線或無線網路的方式與業務伺服器190以及閘道器200連接,並傳送資料或訊號至業務伺服器190及閘道器200,以及接收業務伺服器190及閘道器200所傳送的資料或訊號。
瀏覽程式110可以是獨立執行的應用程式,例如瀏覽器等,瀏覽程式110也可以是其他應用程式中的子程式,本發明並沒有特別的限制。
瀏覽程式110負責提供輸入識別資料。瀏覽程式110提供輸入之識別資料可以由任意數量的字母、數字、符號等字符任意排列而成,用來提供給業務伺服器190識別使用者的身份,例如帳號密碼,但本發明並不以此為限。在部分的實施例中,瀏覽程式110也提供輸入欲執行之憑證作業所需要之使用者的姓名、生日、地址、電話、電子郵件帳號等憑證作業資料。一般而言,瀏覽程式110可以顯示識別資料的使用者介面,藉以提供使用者透過客戶端100的鍵盤、滑鼠、觸控板、觸控螢幕等輸入裝置(圖中未示)輸入識別資料(及憑證作業資料)。
瀏覽程式110也可以依據使用者的操作行為產生相對應的服務請求,並將所產生的服務請求傳送至業務伺服器190。瀏覽程式110所產生的服務請求可以包含瀏覽程式110提供輸入的憑證作業資料。
瀏覽程式110也負責接收業務伺服器190所傳送之作業請求,並將所接收到的作業請求提供給服務程式130。瀏覽程式110可以透或呼叫服務程式130之應用程式介面(API)的方式,將所接收到之作業請求中的控制指令、識別資料以及交易信物等資料以參數的方式提供給服務程式130,也可以將所接收到之作業請求中的各個資料寫入共用記憶體中,使得服務程式130在執行後可以至共用記憶體讀取瀏覽程式110所接收到之作業請求中的控制指令、識別資料以及交易信物等資料,但瀏覽程式110將所接收到的作業請求提供給服務程式130的方式並不以上述為限。本發明所提之交易信物與瀏覽程式110提供輸入之識別資料相對應,可以是由任意數量的字母、數字、符號等字符任意排列而成,但本發明並不以此為限。
瀏覽程式110可以偵測客戶端100是否已安裝並執行服務程式130,若瀏覽程式110判斷客戶端100尚未安裝服務程式130,則瀏覽程式110可以透過連線至業務伺服器190或其他伺服器(圖中未示)下載服務程式130,使客戶端100可以在完成服務程式130的下載後,安裝並執行服務程式130。而若瀏覽程式110判斷客戶端100已安裝服務程式130,但客戶端100未執行服務程式130,則瀏覽程式110可以在客戶端100上啟動服務程式130,使得服務程式130在客戶端100上執行。
瀏覽程式110也負責顯示服務程式130所產生的作業結果。
服務程式130負責取得瀏覽程式110所提供的作業請求,以及將所取得的作業請求傳送到閘道器200,使閘道器200進行憑證作業。
服務程式130也負責保護與客戶端100之使用者對應的私鑰。在部分的實施例中,服務程式130可以使用作業請求包含之憑證作業資料中的憑證密碼解密所保護的私鑰,並使用所保護的私鑰對作業請求包含之憑證作業資料中的待簽資料執行簽章作業。另外,服務程式130也可以在憑證作業資料中的憑證密碼錯誤或憑證作業資料中沒有包含憑證密碼時,提供輸入憑證密碼,藉以解密所保護的私鑰,僅而使用所保護的私鑰進行簽章作業。
服務程式130也負責接收閘道器200傳回之憑證作業的執行結果,並可以依據所接收到執行結果產生作業結果。另外,服務程式130也負責將所產生的作業結果提供給瀏覽程式110顯示。與瀏覽程式110相似的,服務程式130可以透過應用程式介面或共用記憶體等方式,將所產生的執行結果提供給瀏覽程式110。
業務伺服器190提供業務功能,例如,登入、開戶(包含文件上傳下載、簽章等)、交易等,但本發明並不以此為限。業務伺服器190可以連線到閘道器200,並提供客戶端100的瀏覽程式110連接,負責傳送資料給瀏覽程式110,並接收瀏覽程式110所傳送的資料。
業務伺服器190可以接收客戶端100之瀏覽程式110所傳送的識別資料,並驗證所接收到的識別資料,例如判斷所接收到的識別資料是否正確等。
業務伺服器190也可以產生與客戶端100之瀏覽程式110所傳送的識別資料是否通過驗證相對應的登入結果,並可以將所產生的登入結果傳回瀏覽程式110。若識別資料成功通過業務伺服器190的驗證,則業務伺服器190所產生的登入結果可以表示與識別資料相對應的使用者成功登入業務伺服器190(在本發明中亦使用「成功登入」表示),而若識別資料沒有通過業務伺服器190的驗證,則業務伺服器190所產生的登入結果可以表示使用者未登入業務伺服器190及/或業務伺服器190拒絕使用者登入。
業務伺服器190負責在客戶端100之瀏覽程式110所傳送的識別資料通過驗證後產生帳號資訊,並將所產生的帳號資訊傳送到閘道器200,藉以向閘道器200請求與瀏覽程式110所傳送之識別資料相對應的交易信物,以及接收閘道器200所傳回之交易信物。其中,業務伺服器190所產生的帳號資訊包含瀏覽程式110所傳送的識別資料。
在部分的實施例中,業務伺服器190所產生的帳號資訊還包含執行權限及/或時間訊息。其中,執行權限可以由任意數量的字母、數字、符號等字符任意排列而成,用來記錄可以被執行的功能;時間訊息可以表示一個特定的時間,例如帳號資訊被產生的時間或是帳號資訊有效的時間等,通常是由固定數量的數字與符號來表示,例如常見之包含年月日與時分秒的時間格式,或是由一定數量的數字來表示,例如自某個固定時間起到被表示之特定時間的秒數等,本發明沒有特別的限制。
業務伺服器190也負責依據瀏覽程式110所傳送的服務請求產生相對應的作業請求,並透過客戶端100的瀏覽程式110將所產生的作業請求傳送給客戶端100的服務程式130。
業務伺服器190所產生的作業請求包含與服務請求對應的控制指令、通過驗證的識別資料、以及接收自閘道器200之與識別資料對應的交易信物等。但業務伺服器190所產生的作業請求並不以此為限,例如,作業請求也可以包含瀏覽程式110所傳送之服務請求所包含的憑證作業資料。其中,本發明所提之控制指令為可以控制閘道器200執行特定憑證作業的指令,可以由任意數量的文字、數字、符號等字符任意排列而成,但本發明並不以此為限。
閘道器200負責產生交易信物,並依據所接收到的作業請求執行憑證作業。其中,如「第2圖」所示,閘道器200更可以包含通訊模組210、信物產生模組220、資料驗證模組250、以及憑證作業模組260。
通訊模組210提供業務伺服器190、客戶端100以及憑證註冊伺服器(Registration Authority, RA)410等外部裝置連接,負責接收業務伺服器190、客戶端100、或憑證註冊伺服器410所傳送的資料或訊號,並傳送資料或訊號至業務伺服器190、客戶端100、或憑證註冊伺服器410。例如,接收業務伺服器190所傳送之的帳號資訊、傳送信物產生模組220所產生的交易信物到業務伺服器190、接收客戶端100之服務程式130所傳送的作業請求、傳送憑證作業模組260所產生之作業結果給服務程式130、接收憑證註冊伺服器410所傳回之憑證等。
其中,通訊模組210與業務伺服器190可以透過電纜線、乙太網路等有線方式連接或透過WiFi、Zigbee等無線網路連接,但本發明並不限制業務伺服器190與閘道器200的連接方式。當業務伺服器190與閘道器200並非使用專線連接,而是透過有線或無線網路連接時,業務伺服器190與閘道器200可以透過非對稱金鑰加密所傳送的資料,並在接收到資料時解密,藉以增加資料傳遞的安全性。
信物產生模組220負責產生與通訊模組210所接收到之帳號資訊中包含之識別資料相對應的交易信物。信物產生模組220在一定時間內所產生的交易信物不會重複,上述之一定時間例如三天、一週、兩個月、半年、甚至可以是數十年等,本發明沒有特別的限制。一般而言,信物產生模組220在產生與識別資料相對應的交易信物後,可以將相對應之識別資料與交易信物做為一筆記錄儲存到儲存模組240中。
儲存模組240負責儲存通訊模組210所接收到之帳號資訊中的各項資料,例如識別資料、執行權限及/或時間訊息等,以及儲存與識別資料相對應的交易信物。儲存模組240可以透過檔案或資料庫的方式儲存資料,但本發明並不以此為限。
資料驗證模組250負責驗證通訊模組210所接收到之作業請求中包含的識別資料與交易信物。一般而言,在資料驗證模組250驗證所接收到的識別資料與交易信物時,資料驗證模組250可以比對所接收到的識別資料與交易信物是否存在儲存模組240所儲存的記錄中。若存在一筆記錄中的識別資料與交易信物與通訊模組210所接收到的識別資料與交易信物完全相符,則表示通訊模組210所接收到的交易信物通過資料驗證模組250的驗證,而若不存在與通訊模組210所接收到的識別資料與交易信物完全相符的記錄,則表示交易信物無法通過資料驗證模組250的驗證。但資料驗證模組250驗證交易信物的方式並不以此為限。
憑證作業模組260負責在通訊模組210所接收到的識別資料與交易信物通過資料驗證模組250的驗證後,依據通訊模組210所接收到之作業請求中的控制指令執行相對應的憑證作業,藉以產生相對應的執行結果。例如,當控制指令表示執行憑證申請作業時,憑證作業模組260可以由通訊模組210所接收到的作業請求中讀取出憑證作業資料,並透過通訊模組210將所讀出的憑證作業資料傳送給憑證註冊伺服器410,藉以透過憑證註冊伺服器410向憑證伺服器(Certificate Authority, CA)420申請憑證,以及在通訊模組210接收到憑證註冊伺服器410所傳回的憑證時,產生表示申請成功且包含憑證伺服器420所核發之憑證的執行結果;又如控制指令表示執行憑證展期、憑證更新、憑證查詢、或憑證廢止作業時,憑證作業模組260可以由通訊模組210所接收到的作業請求中讀取出憑證作業資料,並透過通訊模組210將所讀出的憑證作業資料傳送給憑證註冊伺服器410,藉以透過憑證註冊伺服器410完成憑證展期、憑證更新、憑證查詢、憑證廢止作業,以及透過通訊模組210接收憑證註冊伺服器410所傳回之經過展延的新期限、憑證更新訊息、查詢到之憑證內容、憑證廢止訊息等執行結果。但憑證作業模組260可以執行之憑證作業與產生之執行結果並不以上述為限。
在憑證作業模組260執行與客戶端100之服務程式130所傳送的作業請求所包含之控制指令相對應的憑證作業前,憑證作業模組260可以先依據業務伺服器190所傳送之帳號資訊所包含的執行權限判斷與服務程式130所傳送之控制指令相對應的憑證作業是否被允許執行。當執行權限表示與控制指令相對應的憑證作業允許執行時,憑證作業模組260才會執行與控制指令相對應的憑證作業,並產生相對應執行結果;而當執行權限表示與控制指令相對應的憑證作業不被允許執行時,憑證作業模組260不會執行與控制指令相對應的憑證作業,並可以產生表示為權限不足無法執行憑證作業的執行結果。
相似的,在憑證作業模組260執行與客戶端100之服務程式130所傳送的作業請求中之控制指令相對應的憑證作業前,憑證作業模組260也可以先判斷服務程式130所傳送之作業請求所包含的時間訊息是否符合檢核條件。上述之檢核條件例如作業請求所包含的時間訊息晚於當前時間,或是作業請求所包含的時間訊息與當前時間的時間差在預定的值內等,本發明並不以此為限。若作業請求所包含的時間訊息符合檢核條件,憑證作業模組260才會執行與作業請求相對應的憑證作業;而若作業請求所包含的時間訊息不符合檢核條件,則憑證作業模組260不會執行與作業請求相對應的憑證作業。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第3圖」本發明所提之透過交易信物執行憑證作業之方法流程圖。在本實施例中,假設客戶端100已安裝瀏覽程式110。
在使用者操作客戶端100登入業務伺服器190前,使用者可以先操作客戶端100執行瀏覽程式110,並透過瀏覽程式110由業務伺服器190下載服務程式130,並在瀏覽程式110完成服務程式130的下載後,操作客戶端100安裝並執行服務程式130(步驟301),使得服務程式130可以在背景執行。
當使用者操作客戶端100的瀏覽程式110連線到業務伺服器190後,瀏覽程式110可以顯示下載自業務伺服器190的網頁,並提供使用者在被顯示的網頁上輸入識別資料(步驟310)。在使用者完成識別資料的輸入後,瀏覽程式110可以將使用者所輸入的識別資料傳送到業務伺服器190。在本實施例中,假設識別資料為使用者登入業務伺服器190的帳號密碼。
在業務伺服器190接收到瀏覽程式110所傳送的識別資料後,業務伺服器190可以驗證瀏覽程式110所傳送的識別資料。在本實施例中,假設業務伺服器190可以比對所接收到的帳號密碼(識別資料)是否存在於會員資料庫中,若否,則業務伺服器190可以判斷瀏覽程式110所傳送的識別資料不正確,並可以產生表示為登入失敗的提示訊息,以及將所產生的提示訊息傳回瀏覽程式110,使得使用者再次透過瀏覽程式110輸入識別資料登入業務伺服器190。
而若瀏覽程式110所傳送的識別資料存在於會員資料庫中,則業務伺服器190可以判斷瀏覽程式110所傳送的識別資料通過驗證,並依據會員資料庫中與識別資料對應的記錄產生帳號資訊,以及將所產生的帳號資訊傳送到閘道器200(步驟325)。
在閘道器200的通訊模組210接收到業務伺服器190所傳送的帳號資訊後,閘道器200的儲存模組240可以儲存通訊模組210所接收到之帳號資訊所包含的各項資料,閘道器200的信物產生模組220可以產生與通訊模組210所接收到之帳號資訊中的識別資料對應的交易信物,並由通訊模組210將信物產生模組220所產生的交易信物傳送到業務伺服器190(步驟330)。在本實施例中,假設信物產生模組220可以隨機產生一組固定長度的字串作為交易信物,並將所產生的交易信物與相對應之識別資料儲存至儲存模組240中。
同樣在業務伺服器190判斷瀏覽程式110所傳送的識別資料通過驗證後,業務伺服器190可以產生表示為登入成功的提示訊息,並將所產生的提示訊息以及使用者可以執行的服務項目傳送給瀏覽程式110顯示,藉以讓使用者得知已成功登入業務伺服器190,並可以讓使用者操作客戶端100的瀏覽程式110選擇欲執行的服務。瀏覽程式110可以依據使用者所選擇的服務產生相對應的服務請求,並將所產生的服務請求傳送給業務伺服器190。在本實施例中,假設使用者選擇執行線上開戶的服務,瀏覽程式110可以提供使用者輸入線上開戶服務所需要的資料,並在使用者完成資料的輸入後,產生與線上開戶服務對應的服務請求,且瀏覽程式110所產生之服務請求中包含使用者所輸入的資料。
在業務伺服器190接收到瀏覽程式110所傳送的服務請求後,業務伺服器190可以產生包含通過驗證之識別資料以及閘道器200所傳回之交易信物的作業請求,並透過瀏覽程式110將所產生的作業請求傳送給服務程式130(步驟350)。在本實施例中,假設業務伺服器190在接收到服務請求後,可以依據所接收到的服務請求判斷使用者欲執行的功能是否需要使用憑證,若否,則業務伺服器190可以執行與服務請求對應的功能,並將執行結果傳回瀏覽程式110顯示。由於使用者選擇了線上開戶的服務,此一服務需要使用使用者的憑證對開戶文件進行簽章,因此,業務伺服器190可以判斷出使用者欲執行的功能需要使用憑證。跟著,業務伺服器190可以依據服務請求中所包含之使用者所輸入的資料產生開戶文件,且由服務請求(以及會員資料)中讀出必要的資料,並將所產生之開戶文件、以及所讀出之必要資料作為憑證作業資料,業務伺服器190也可以依據服務請求產生表示為簽署開戶文件的執行指令,並可以依據所產生之執行指令、所產生之憑證作業資料、通過驗證之識別資料、以及閘道器200所傳回之交易信物產生作業請求。
在服務程式130取得業務伺服器190透過瀏覽程式110所傳送的作業請求後,服務程式130可以依據所接收到之作業請求中的執行指令判斷需要執行簽章作業,服務程式130可以在讀出所保存之客戶端100使用者的私鑰後,依據作業請求所包含之憑證作業資料中的憑證密碼解密所讀出的私鑰,並依據解密後的私鑰對作業請求所包含之憑證作業資料中的開戶文件進行簽章,之後,再將簽章產生的簽章結果作為作業結果,並將作業結果傳回瀏覽程式110。
而若服務程式130無法讀取出私鑰,也就是客戶端100之使用者為曾申請過憑證,則服務程式130可以產生表示為申請憑證的執行指令,並將所取得之包含識別資料、所產生之執行指令與交易信物的作業請求傳送到閘道器200(步驟360)。
在閘道器200的通訊模組210接收到服務程式130所傳送的作業請求後,閘道器200的資料驗證模組250可以驗證通訊模組210所接收到之作業請求中的識別資料與交易信物(步驟371)。若通訊模組210所接收到的識別資料與交易信物沒有通過資料驗證模組250的驗證,例如,資料驗證模組250無法由閘道器200的儲存模組240中搜尋到符合通訊模組210所接收到之識別資料與交易信物的記錄,則資料驗證模組250可以產生表示為驗證失敗的作業結果,並可以將所產生的作業結果傳回服務程式130。
而若通訊模組210所接收到的識別資料與交易信物通過資料驗證模組250的驗證,閘道器200的憑證作業模組260可以執行與通訊模組210所接收到之作業請求中的執行指令對應的憑證作業,並在執行憑證作業後產生相對應的執行結果,以及將所產生之與憑證作業對應的執行結果傳回服務程式130(步驟375)。在本實施例中,憑證作業模組260可以由通訊模組210所接收到的作業請求中讀取出憑證作業資料,並透過通訊模組210將所讀出之憑證作業資料中的必要資料傳送給憑證註冊伺服器410,藉以透過憑證註冊伺服器410向憑證伺服器420申請憑證,之後,憑證作業模組260可以透過通訊模組210接收憑證註冊伺服器410所傳回的憑證(執行結果),並將所接收到的憑證傳送給客戶端100。
在客戶端100的服務程式130接收到閘道器200所傳送的執行結果後,可以依據所接收到的執行結果產生作業結果(步驟380)。在本實施例中,假設服務程式130可以保存憑證作業模組260所傳送的憑證,並使用所接收到之憑證中的私鑰對作業請求所包含之憑證作業資料中的開戶文件進行簽章,再將簽章產生的簽章結果作為作業結果。
在服務程式130產生作業結果後,服務程式130可以將所產生到的作業結果提供給瀏覽程式110,使得瀏覽程式110顯示服務程式130所產生的作業結果(步驟390)。如此,透過本發明,客戶端100的服務程式130可以透過閘道器200在背景完成業務伺服器190所需要的憑證作業,簡化了客戶端100提供給使用者的服務流程,並使得客戶端100不會因為需要執行憑證作業而中斷服務流程。
上述的實施例中,在閘道器200的資料驗證模組250成功驗證接收到之作業請求所包含的識別資料與交易信物(步驟371)後,若閘道器200之儲存模組240所儲存的帳號資訊包含執行權限及/或時間訊息,則閘道器200的憑證作業模組260可以依據帳號資訊所包含的執行權限及時間訊息判斷憑證作業是否可以被執行,若否,則閘道器200將不會執行憑證作業;若是,則閘道器200的憑證作業模組260將會執行憑證作業。
另外,在本發明中,客戶端100並不一定需要在使用者操作客戶端100登入業務伺服器190前,預先安裝並執行服務程式130。實務上,客戶端100的瀏覽程式110可以在接收到業務伺服器190所傳送之包含識別資料以及交易信物的作業請求時,偵測客戶端100是否已安裝並執行服務程式130,若是,則瀏覽程式110可以直接將所接收到的作業請求提供給服務程式130(步驟350)。若客戶端100沒有執行服務程式130,則瀏覽程式110可以呼叫服務程式130,使服務程式開始執行,而若客戶端100尚未安裝服務程式130,則瀏覽程式110可以下載服務程式130,並在完成下載服務程式130的下載後,提示使用者在客戶端100上安裝並執行服務程式130。如此,當服務程式130在客戶端100上執行後,瀏覽程式110便可以將接收自業務伺服器190的作業請求提供給服務程式130。
綜上所述,可知本發明與先前技術之間的差異在於具有透過業務伺服器在客戶端使用瀏覽程式成功登入後,依據客戶端所傳送的識別資料連線至閘道器取得交易信物,並在需要執行憑證作業時,透過瀏覽程式傳送包含所取得之交易信物的作業請求至客戶端的服務程式,並由服務程式將作業請求傳送到閘道器,使閘道器在成功驗證交易信物後,執行與作業請求對應的憑證作業之技術手段,藉由此一技術手段可以解決先前技術所存在分離憑證作業至外部執行需要整合交易系統與憑證作業系統之使用者介面的問題,進而達成簡化業務伺服器在需要執行憑證作業時之服務流程的技術功效。
再者,本發明之透過交易信物執行憑證作業之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
100‧‧‧客戶端
110‧‧‧瀏覽程式
130‧‧‧服務程式
190‧‧‧業務伺服器
200‧‧‧閘道器
210‧‧‧通訊模組
220‧‧‧信物產生模組
240‧‧‧儲存模組
250‧‧‧資料驗證模組
260‧‧‧憑證作業模組
410‧‧‧憑證註冊伺服器
420‧‧‧憑證伺服器
步驟301‧‧‧客戶端執行瀏覽程式及服務程式
步驟310‧‧‧瀏覽程式提供輸入識別資料
步驟325‧‧‧業務伺服器於瀏覽程式傳送之識別資料通過驗證後,傳送包含識別資料之帳號資訊至閘道器
步驟330‧‧‧閘道器產生與識別資料對應之交易信物,並傳送交易信物至業務伺服器
步驟350‧‧‧業務伺服器透過瀏覽程式傳送識別資料及交易信物至服務程式
步驟360‧‧‧服務程式傳送包含識別資料及交易信物之作業請求至閘道器
步驟371‧‧‧閘道器是否成功驗證識別資料與交易信物
步驟375‧‧‧閘道器執行與作業請求相對應之憑證作業,並傳送與憑證作業相對應之執行結果至服務程式
步驟380‧‧‧服務程式依據執行結果產生作業結果
步驟390‧‧‧瀏覽程式顯示作業結果
第1圖為本發明所提之透過交易信物執行憑證作業之系統架構圖。 第2圖為本發明所提之閘道器之元件示意圖。 第3圖為本發明所提之透過交易信物執行憑證作業之方法流程圖。
Claims (10)
- 一種透過交易信物執行憑證作業之系統,該系統至少包含: 一客戶端,其中更包含: 一瀏覽程式,用以提供輸入一識別資料;及 一服務程式; 一業務伺服器,提供該瀏覽程式連接,用以驗證該識別資料;及 一閘道器,提供該業務伺服器與該服務程式連接,用以接收該業務伺服器所傳送之包含該識別資料之一帳號資訊,並產生與該識別資料對應之一交易信物,及傳送該交易信物至該業務伺服器,使該業務伺服器透過該瀏覽程式傳送該識別資料及該交易信物至該服務程式,及用以接收該服務程式所傳送之包含該識別資料及該交易信物之一作業請求,並驗證該作業請求所包含之該識別資料與該交易信物,當該識別資料與該交易信物通過之驗證後,執行與該作業請求相對應之一憑證作業,及傳送與該憑證作業相對應之一執行結果至該服務程式,使該服務程式依據該執行結果產生一作業結果,並傳送該作業結果至該瀏覽程式顯示。
- 如申請專利範圍第1項所述之透過交易信物執行憑證作業之系統,其中該業務伺服器與該閘道器之間使用加密機制進行通訊。
- 如申請專利範圍第1項所述之透過交易信物執行憑證作業之系統,其中該閘道器更用以依據該帳號資訊所包含之一執行權限判斷該憑證作業是否被允許執行。
- 如申請專利範圍第1項所述之透過交易信物執行憑證作業之系統,其中該閘道器更用以判斷該作業請求所包含之一時間訊息是否符合一檢核條件。
- 一種透過交易信物執行憑證作業之裝置,提供一客戶端及一業務伺服器連接,該裝置至少包含: 一信物產生模組,用以產生一交易信物; 一通訊模組,用以接收該業務伺服器所傳送之一帳號資訊,並傳送該交易信物至該業務伺服器,及用以接收該客戶端所傳送之一作業請求,其中,該帳號資訊包含一識別資料,該作業請求包含該識別資料及該交易信物,且該識別資料與該交易信物相對應; 一資料驗證模組,用以驗證該作業請求所包含之該識別資料與該交易信物;及 一憑證作業模組,用以於該識別資料與該交易信物通過驗證時,執行與該作業請求相對應之一憑證作業,使該服務程式依據與該憑證作業相對應之一執行結果產生一作業結果,並傳送該作業結果至該客戶端顯示。
- 如申請專利範圍第5項所述之透過交易信物執行憑證作業之裝置,其中該憑證作業模組更用以依據該帳號資訊所包含之一執行權限判斷該憑證作業是否被允許執行。
- 如申請專利範圍第5項所述之透過交易信物執行憑證作業之裝置,其中該資料驗證模組更用以判斷該作業請求所包含之一時間訊息是否符合一檢核條件。
- 一種透過交易信物執行憑證作業之方法,該方法至少包含下列步驟: 一客戶端執行一瀏覽程式及一服務程式; 該瀏覽程式提供輸入一識別資料,並傳送該識別資料至一業務伺服器; 該業務伺服器驗證該識別資料,並在該識別資料通過驗證後傳送包含該識別資料之一帳號資訊至一閘道器; 該閘道器產生與該識別資料對應之一交易信物,並傳送該交易信物至該業務伺服器; 該業務伺服器透過該瀏覽程式傳送該識別資料及該交易信物至該服務程式; 該服務程式傳送包含該識別資料及該交易信物之一作業請求至該閘道器; 該閘道器驗證該作業請求所包含之該識別資料與該交易信物,並於該識別資料與該交易信物通過該閘道器之驗證時,執行與該作業請求相對應之一憑證作業,並傳送與該憑證作業相對應之一執行結果至該服務程式; 該服務程式依據該執行結果產生一作業結果;及 該瀏覽程式顯示該作業結果。
- 如申請專利範圍第8項所述之透過交易信物執行憑證作業之方法,其中該方法於該閘道器執行與該作業請求相對應之該憑證作業之步驟前,更包含該閘道器依據該帳號資訊所包含之一執行權限判斷該憑證作業是否被允許執行之步驟。
- 如申請專利範圍第8項所述之透過交易信物執行憑證作業之方法,其中該閘道器驗證該作業請求所包含之該識別資料與該交易信物之步驟,更包含該閘道器判斷該作業請求所包含之一時間訊息是否符合一檢核條件之步驟。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106103024A TWI645345B (zh) | 2017-01-25 | 2017-01-25 | 透過交易信物執行憑證作業之系統、裝置及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW106103024A TWI645345B (zh) | 2017-01-25 | 2017-01-25 | 透過交易信物執行憑證作業之系統、裝置及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201828187A true TW201828187A (zh) | 2018-08-01 |
TWI645345B TWI645345B (zh) | 2018-12-21 |
Family
ID=63960207
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW106103024A TWI645345B (zh) | 2017-01-25 | 2017-01-25 | 透過交易信物執行憑證作業之系統、裝置及其方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI645345B (zh) |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TW201002025A (en) * | 2008-06-20 | 2010-01-01 | Otp Systems Corp | Method and system of using OTP dynamic password verification combined with a pay platform |
US20160232607A1 (en) * | 2015-02-06 | 2016-08-11 | NewComLink, Inc. | Tokenized Authorization |
-
2017
- 2017-01-25 TW TW106103024A patent/TWI645345B/zh active
Also Published As
Publication number | Publication date |
---|---|
TWI645345B (zh) | 2018-12-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102219008B1 (ko) | 데이터 공유 방법, 클라이언트, 서버, 컴퓨팅 장치 및 저장 매체 | |
US10362013B2 (en) | Out of box experience application API integration | |
US9871821B2 (en) | Securely operating a process using user-specific and device-specific security constraints | |
CN104982005B (zh) | 实施虚拟化环境中的特权加密服务的计算装置及方法 | |
CN105378744B (zh) | 在企业系统中的用户和设备认证 | |
US9569602B2 (en) | Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device | |
US20130067243A1 (en) | Secure Data Synchronization | |
US10484372B1 (en) | Automatic replacement of passwords with secure claims | |
US9325680B2 (en) | Digital rights management retrieval system | |
CN106716957A (zh) | 高效且可靠的认证 | |
CN104025505A (zh) | 用于管理用户认证的方法、装置和系统 | |
CN107528830B (zh) | 账号登陆方法、系统及存储介质 | |
US10664585B2 (en) | Authentication using multiple mobile devices | |
JP5193787B2 (ja) | 情報処理方法、中継サーバおよびネットワークシステム | |
US10135808B1 (en) | Preventing inter-application message hijacking | |
JP2022525840A (ja) | 顧客サポート呼の事前認証のためのシステムおよび方法 | |
CN112738021A (zh) | 单点登录方法、终端、应用服务器、认证服务器及介质 | |
TWM601411U (zh) | 藉由自動櫃員機獲得認證以進行數帳申請之系統 | |
EP1542135B1 (en) | A method which is able to centralize the administration of the user registered information across networks | |
JP5036500B2 (ja) | 属性証明書管理方法及び装置 | |
TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
JP2018055149A (ja) | 出荷製品認証システムおよびサーバ装置 | |
TWI645345B (zh) | 透過交易信物執行憑證作業之系統、裝置及其方法 | |
KR101676719B1 (ko) | 가상 머신 클라이언트 구동 방법, 온라인 금융 서비스 제공 방법 및 이를 수행하는 장치 | |
KR102001891B1 (ko) | 사용자 인증 서비스 제공 방법, 웹 서버 및 사용자 단말 |