TW202026928A - System for using certificate to verify identity from different domain through portal and method thereof - Google Patents
System for using certificate to verify identity from different domain through portal and method thereof Download PDFInfo
- Publication number
- TW202026928A TW202026928A TW108100440A TW108100440A TW202026928A TW 202026928 A TW202026928 A TW 202026928A TW 108100440 A TW108100440 A TW 108100440A TW 108100440 A TW108100440 A TW 108100440A TW 202026928 A TW202026928 A TW 202026928A
- Authority
- TW
- Taiwan
- Prior art keywords
- portal server
- management center
- server
- digital certificate
- authentication
- Prior art date
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
一種使用憑證進行身分認證之系統及方法,特別係指一種透過入口伺服器跨網域使用憑證進行認證之系統及方法。A system and method for using certificates for identity authentication, in particular, refers to a system and method for using certificates for authentication across network domains through a portal server.
電子憑證,又稱為數位憑證,是一種用於電腦系統的身分識別機制。電子憑證是一個或一組電腦檔案,其中記載了擁有人的身份資料及一組公開密碼。電子憑證的擁有人可向電腦系統認證自己的身分,從而存取或使用某一特定的電腦服務。Electronic certificates, also known as digital certificates, are an identification mechanism used in computer systems. An electronic certificate is a computer file or a set of computer files, which records the owner's identity information and a set of public passwords. The owner of an electronic certificate can authenticate himself to the computer system to access or use a specific computer service.
早期因網路安全性未如現今受到重視,需要透過電子憑證存取或使用的電腦服務大多以網頁附掛安控外掛元件的型態提供,意即使用者在存取或使用這些服務時,是透過瀏覽器來向遠端伺服器進行憑證申請、展期及查詢等相關作業。In the early days, because network security was not as important as it is today, computer services that need to be accessed or used through electronic certificates are mostly provided in the form of webpages with security plug-ins, which means that when users access or use these services, It uses a browser to perform related operations such as certificate application, renewal, and query to the remote server.
如今,因近年來網路安全漸受重視,瀏覽器對於運作於其上的網頁及外掛元件之安全性要求及檢核愈益嚴苛,限制大幅增加且支援度下降,造成過去可順利在瀏覽器上執行的憑證相關作業因之操作失敗比率大增,反而對使用者造成困擾。為了解決上述的問題,目前已有將憑證相關作業分離至外部伺服器執行的解決方案,此一解決方式是讓交易作業由客戶端連線到業務伺服器上執行,憑證相關作業則由客戶端連線到其他伺服器上執行。Nowadays, due to the increasing importance of network security in recent years, browsers have become more stringent in their security requirements and checks for web pages and plug-in components that operate on them. The restrictions have increased significantly and the support has decreased, resulting in smooth browsers in the past. The operation failure rate of the certificate-related operations performed on the Internet has increased greatly, which causes confusion to users. In order to solve the above-mentioned problems, there is currently a solution that separates the certificate-related operations to an external server for execution. This solution is to allow the client to connect to the business server for transaction operations and perform the certificate-related operations by the client Connect to other servers to execute.
另外,隨著政府法令的開放,以往許多需要臨櫃的業務已逐漸開放,只需要使用憑證在線上進行身分認證,便可以取代傳統臨櫃確認身分的過程,直接在線上辦理業務。這對於不方便臨櫃的人而言是一大福音。In addition, with the opening of government laws and regulations, many businesses that required front-end counters have gradually opened up. You only need to use vouchers to perform identity authentication online, which can replace the traditional process of verifying your identity at the counter and directly handle business online. This is a great boon for those who are inconvenient to come to the closet.
然而,由上述可知,目前有些憑證解決方案是將憑證相關作業與交易作業分開在不同伺服器執行,為了避免安全疑慮以及管理上的方便,憑證的擁有者大多選擇將憑證存放在伺服器上,而不會將憑證匯出存放在所使用的裝置中。如此一來,使用者的憑證就無法在其他伺服器上使用。However, it can be seen from the above that some certificate solutions currently separate certificate-related operations and transaction operations on different servers. In order to avoid security concerns and facilitate management, most certificate owners choose to store the certificate on the server. The certificate will not be exported and stored in the device used. In this way, the user's certificate cannot be used on other servers.
綜上所述,可知先前技術中長期以來一直存在為了方便管理而將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,因此有必要提出改進的技術手段,來解決此一問題。In summary, it can be seen that in the prior art, there has been a long-standing problem in the prior art that storing the certificate on the server for convenient management makes the certificate unable to be used on other servers. Therefore, it is necessary to propose improved technical methods to solve this problem. .
有鑒於先前技術存在將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,本發明遂揭露一種透過入口伺服器跨網域使用憑證進行認證之系統及方法,其中:In view of the problem of storing the certificate on the server in the prior art that the certificate cannot be used on other servers, the present invention discloses a system and method for cross-domain authentication using a certificate through a portal server, wherein:
本發明所揭露之透過入口伺服器跨網域使用憑證進行認證之系統,至少包含:管理中心,用以產生連線資料;應用程式,與服務主機連接,用以向管理中心請求身分認證;入口伺服器,對應業務伺服器,用以接收並驗證連線資料,及用以於連線資料通過驗證時,判斷是否儲存與業務伺服器對應之數位憑證,若未儲存數位憑證,則申請數位憑證,並傳送數位憑證至管理中心,其中,管理中心更用以於已儲存數位憑證時,使用數位憑證判斷認證結果,並傳送認證結果至服務主機。The system for cross-domain authentication using a certificate through an entry server disclosed in the present invention includes at least: a management center for generating connection data; an application program connected to a service host for requesting identity authentication from the management center; The server, corresponding to the business server, is used to receive and verify the connection data, and to determine whether to store the digital certificate corresponding to the business server when the connection data is verified. If the digital certificate is not stored, apply for the digital certificate , And send the digital certificate to the management center, where the management center is used to determine the authentication result using the digital certificate when the digital certificate has been stored, and send the authentication result to the service host.
本發明所揭露之透過入口伺服器跨網域使用憑證進行認證之方法,其步驟至少包括:應用程式向管理中心請求身分認證;管理中心提供選擇入口伺服器;管理中心產生連線資料,並傳送連線資料至入口伺服器,其中,入口伺服器對應業務伺服器;入口伺服器驗證連線資料;當連線資料通過入口伺服器的驗證時,入口伺服器判斷是否儲存與業務伺服器對應之數位憑證;若入口伺服器未儲存數位憑證,則入口伺服器申請數位憑證,並傳送數位憑證至管理中心;若入口伺服器已儲存數位憑證,則入口伺服器傳送數位憑證至管理中心;管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機。The method of using certificates for cross-domain authentication through portal servers disclosed in the present invention includes at least the following steps: application programs request identity certification from management center; management center provides selected portal servers; management center generates connection data and transmits Connect the data to the portal server, where the portal server corresponds to the business server; the portal server verifies the connection data; when the connection data is verified by the portal server, the portal server determines whether to store the data corresponding to the business server Digital certificate; if the portal server does not store the digital certificate, the portal server applies for the digital certificate and sends the digital certificate to the management center; if the portal server has stored the digital certificate, the portal server sends the digital certificate to the management center; Use the digital certificate to determine the authentication result and send the authentication result to the service host.
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過管理中心與入口伺服器連線後,若連線資料通過入口伺服器的驗證,則入口伺服器將外部業務伺服器所使用的數位憑證傳回管理中心,使得管理中心使用數位憑證判斷身分認證結果,藉以解決先前技術所存在的問題,並可以達成跨伺服器使用同一憑證的技術功效。The system and method disclosed in the present invention are as above. The difference with the prior art is that after the present invention connects to the portal server through the management center, if the connection data is verified by the portal server, the portal server will serve the external service The digital certificate used by the server is returned to the management center, so that the management center uses the digital certificate to determine the identity authentication result, so as to solve the problems of the previous technology and achieve the technical effect of using the same certificate across servers.
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。The following will describe the features and implementation of the present invention in detail with the drawings and embodiments. The content is sufficient to enable anyone familiar with the relevant art to easily and fully understand the technical means used by the present invention to solve the technical problems and implement them accordingly. The achievable effect of the present invention.
本發明可以讓應用程式所連接的服務主機透過管理中心使用入口伺服器所保存之數位憑證取得身分認證的認證結果。The present invention can allow the service host connected to the application program to obtain the authentication result of the identity authentication through the management center using the digital certificate stored in the portal server.
其中,應用程式可以是在電腦、手機或平板等客戶端上執行的程式,例如,在各種客戶端之各個作業系統中執行的瀏覽程式,或是內嵌瀏覽器的程式等,但本發明並不以上述為限;管理中心可以是透過網路與執行應用程式之客戶端以及入口伺服器連接的身分識別伺服器,也可以是安裝在執行應用程式之客戶端上的憑證管理程式。Among them, the application program can be a program executed on a client terminal such as a computer, a mobile phone or a tablet, for example, a browser program executed in each operating system of various client terminals, or a program embedded with a browser, etc. However, the present invention does not Not limited to the above; the management center can be an identity server connected to the client running the application and the portal server via the network, or it can be a certificate management program installed on the client running the application.
以下先以「第1A圖」及「第1B圖」本發明所提之兩種透過入口伺服器跨網域使用憑證進行認證之系統架構圖來說明本發明的系統運作。如「第1A圖」與「第1B圖」所示,本發明之系統含有服務主機110、應用程式121、管理中心130、以及入口伺服器150。在「第1A圖」中,應用程式121執行於客戶端120中且管理中心130為身分識別伺服器,而在「第1B圖」中,應用程式121與管理中心130均為可以在客戶端120中執行的程式。In the following, the two system architecture diagrams mentioned in "Figure 1A" and "Figure 1B" of the present invention that use certificates for cross-domain authentication through a portal server are used to illustrate the system operation of the present invention. As shown in “FIG. 1A” and “FIG. 1B”, the system of the present invention includes a
其中,服務主機110、客戶端120、身分識別伺服器、入口伺服器150均為計算設備。本發明所提之計算設備包含但不限於一個或多個處理器、一個或多個記憶體模組、以及連接不同元件(包括記憶體模組和處理器)的匯流排等元件。透過所包含之多個元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行。Among them, the
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。The bus of the computing device mentioned in the present invention may include one or more types, for example, including data bus, address bus, control bus, and extended function bus ( expansion bus), and/or local bus (local bus). The bus of computing equipment includes, but is not limited to, parallel industry standard architecture (ISA) bus, peripheral component interconnect (PCI) bus, Video Electronics Standards Association (VESA) local bus, and serial universal serial bus (USB), PCI-E bus, etc.
本發明所提之計算設備的處理器與匯流排耦接。處理器包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。The processor of the computing device provided by the present invention is coupled with the bus. The processor contains a register group or register space. The register group or register space can be completely set on the processing chip, or all or part of it can be set outside the processing chip and connected via a dedicated electrical connection And/or coupled to the processor via the bus. The processor may be a processing unit, a microprocessor, or any suitable processing element. If the computing device is a multi-processor device, that is, the computing device includes multiple processors, the processors included in the computing device are all the same or similar, and they are coupled and communicated through a bus.
計算設備的處理器可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。The processor of the computing device can be coupled to the chipset or electrically connected to the chipset through a bus. The chipset is composed of one or more integrated circuits (ICs), including a memory controller and peripheral input/output (I/O) controllers, that is, the memory controller and peripheral input/output controllers can be included in In an integrated circuit, two or more integrated circuits can also be used. Chipsets usually provide I/O and memory management functions, as well as multiple general-purpose and/or special-purpose registers, timers, etc., among which the aforementioned general-purpose and/or special-purpose registers and timers can be coupled or One or more processors electrically connected to the chipset are accessed or used.
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟、磁帶機、隨身碟(快閃記憶體)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。The processor of the computing device can also access the data in the memory module and mass storage area installed on the computing device through the memory controller. The above-mentioned memory modules include any type of volatile memory (volatile memory) and/or non-volatile memory (NVRAM), such as static random access memory (SRAM), dynamic random access Memory (DRAM), flash memory (Flash), read-only memory (ROM), etc. The aforementioned mass storage area can include any type of storage device or storage medium, such as hard disk drives, optical discs, tape drives, flash drives (flash memory), solid state disks (Solid State Disk, SSD), or any Other storage devices, etc. In other words, the memory controller can access data in static random access memory, dynamic random access memory, flash memory, hard disk drives, and solid state drives.
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器等周邊裝置或介面通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G/5G等行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路設備、非同步傳輸模式(ATM)設備、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠進行資料的輸入與輸出,也能夠與具有上述描述之元件的另一個計算設備進行通訊。The processor of the computing device can also communicate with peripheral output devices, peripheral input devices, communication interfaces, and GPS receivers and other peripheral devices or interfaces through the peripheral I/O bus through the peripheral I/O controller. The peripheral input device can be any type of input device, such as a keyboard, mouse, trackball, touchpad, joystick, etc. The peripheral output device can be any type of output device, such as a display, a printer, etc., a peripheral input device It can also be the same device as the peripheral output device, such as a touch screen. The communication interface can include a wireless communication interface and/or a wired communication interface. The wireless communication interface can include a mobile communication network that supports Wi-Fi, Zigbee and other wireless local area networks, Bluetooth, infrared, near field communication (NFC), 3G/4G/5G, etc. The wired communication interface can be Ethernet equipment, asynchronous transmission mode (ATM) equipment, DSL modem, cable modem, etc. The processor can periodically poll various peripheral devices and interfaces, so that the computing device can input and output data, and can also communicate with another computing device having the above-described components.
服務主機110透過通訊介面可以提供應用程式121連接,並可以接收應用程式121所傳送的資料或訊號,也可以傳送資料或訊號給應用程式121。其中,服務主機110可以透過乙太網路等有線方式或WiFi、藍牙、或3G/4G/5G等無線方式提供應用程式121連接。The
服務主機110可以提供應用程式121各種服務,包含需要身分認證的服務,例如線上報稅、或是線上查詢證券交易資料等,但本發明並不以此為限。在服務主機110提供應用程式121身分驗證服務時,若管理中心130為身分識別伺服器,則服務主機110可以將應用程式121導向至身分識別伺服器;而若管理中心130為憑證管理程式,則服務主機110可以傳送指令控制應用程式121呼叫憑證管理程式。The
應用程式121可以透過客戶端120的通訊介面與服務主機110及/或入口伺服器150連接,並可以接收服務主機110/入口伺服器150所傳送的資料,及傳送資料至服務主機110/入口伺服器150。若管理中心130為身分識別伺服器,則應用程式121可以透過客戶端120的通訊介面與管理中心130連接,並可以接收管理中心130所傳送的資料及傳送資料至管理中心130;而若管理中心130為客戶端120中所執行的程式,則應用程式121可以透過呼叫或記憶體共享等方式傳送資料給管理中心130並取得管理中心130所提供的資料。The
應用程式121負責向管理中心130請求身分認證。一般而言,應用程式121是在使用服務主機110所提供之服務的過程中,需要進行身分認證時,向管理中心130請求身分認證的服務。The
在部分的實施例中,應用程式121也可以透過管理中心130接收入口伺服器150所傳送的請求訊息,並依據所接收到的請求訊息提示輸入登入資料,例如,請求訊息可以包含訊號或畫面,應用程式121可以直接顯示所接收到的畫面或顯示依據所接收到之訊號轉換產生的畫面,藉以提示輸入登入資料。應用程式121也可以將完成輸入的登入資料傳回入口伺服器150。其中,登入資料包含但不限於預先在業務伺服器160註冊的帳號密碼、指紋或人臉資訊等。In some embodiments, the
管理中心130負責產生連線資料。舉例來說,管理中心130可以產生包含一組註冊碼的驗證參數,並使用特定的雜湊函數對所產生的驗證參數進行計算以產生校驗資料,再產生包含所產生之驗證參數以及所計算出的校驗資料的連線資料。但管理中心130產生連線資料的方式並不以上述為限。The
管理中心130所產生之驗證參數中的註冊碼為預先至入口伺服器150註冊取得的資料,其中包含鍵值與對應值。在部分的實施例中,管理中心130所產生的驗證參數除了註冊碼之外,還可以包含需要傳送給入口伺服器150的元資料。The registration code in the verification parameter generated by the
管理中心130也負責傳送連線資料至入口伺服器150。若管理中心130為身分識別伺服器,則在服務主機110將應用程式121導向至身分識別伺服器時,身分識別伺服器可以提供應用程式121的使用者透過應用程式121選擇欲連接的入口伺服器150,並連線至被選擇的入口伺服器150;而若管理中心130為憑證管理程式,則在服務主機110控制應用程式121呼叫憑證管理程式時,憑證管理程式可以提供應用程式121的使用者在憑證管理程式中選擇欲連接的入口伺服器150,並與被選擇的入口伺服器150建立連線。The
管理中心130也負責使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳送給應用程式121。The
值得一提的是,管理中心130可以在被應用程式121請求進行身分認證時,先判斷是否儲存有應用程式121欲連接之入口伺服器150的數位憑證,若有,則管理中心130可以直接使用所儲存之該數位憑證判斷認證結果,無需連接入口伺服器150以取得數位憑證。若管理中心130沒有儲存欲連接之入口伺服器150的數位憑證,管理中心130才需要連接入口伺服器150以取得數位憑證,並在接收到入口伺服器150所傳送的數位憑證後,使用所接收到的數位憑證判斷認證結果。It is worth mentioning that the
管理中心130也可以接收請求身分認證之應用程式121欲連接之入口伺服器150所傳送之登入資料的請求訊息,並可以在接收到登入資料的請求訊息時,引導應用程式121與入口伺服器150連接。The
入口伺服器150透過通訊介面可以與應用程式121、管理中心130、業務伺服器160以及憑證伺服器140連接,並可以接收應用程式121、管理中心130、業務伺服器160、及/或憑證伺服器140所傳送的資料或訊號,也可以傳送資料或訊號給應用程式121、管理中心130、業務伺服器160、及/或憑證伺服器140。其中,入口伺服器150可以透過乙太網路等有線方式或WiFi、藍牙、或3G/4G/5G等無線方式與客戶端120、管理中心130、業務伺服器160、及/或憑證伺服器140連接。The
入口伺服器150與業務伺服器160對應。一般而言,一個入口伺服器可以對應一個或多個業務伺服器,其中,與同一個入口伺服器對應所有業務伺服器可以使用同一個數位憑證進行身分認證或進行線上交易。The
入口伺服器150負責接收並驗證管理中心130所傳送的連線資料。舉例來說,入口伺服器150可以依據所接收到之連線資料所包含之註冊碼的鍵值讀出相對應的註冊值,並產生包含連線資料中之元資料、註冊碼的鍵值、以及所讀出之註冊值的待驗資料,以及使用與傳送連線資料之管理中心130所使用之相同的雜湊函數對待驗資料進行計算,藉以計算出雜湊資料,再依據所接收到之連線資料中的校驗資料是否與所計算出的雜湊資料是否相同來判斷連線資料是否通過驗證。其中,若校驗資料與雜湊資料相同,表示連線資料通過驗證,而若校驗資料與雜湊資料不同,表示連線資料沒有通過驗證;另外,若入口伺服器150判斷所接收到之連線資料沒有包含註冊碼的鍵值,或是無法依據註冊碼的鍵值讀出相對應的註冊值,則同樣表示程式連線資料沒有通過驗證。但入口伺服器150驗證連線資料的方式並不以上述為限。The
入口伺服器150也負責在所接收的連線資料通過驗證時,判斷是否儲存與相對應之業務伺服器160對應的數位憑證,若入口伺服器150沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到RA等憑證伺服器140申請與業務伺服器160對應的數位憑證,並在完成數位憑證的申請後,儲存所申請到的數位憑證,以及將所申請到的數位憑證傳送到管理中心130。另外,入口伺服器150也可以將所申請到的數位憑證傳送給曾經連線到業務伺服器160的瀏覽程式(圖中未示),使得瀏覽程式將所接收到的數位憑證儲存到與業務伺服器160對應的本地儲存區(Local Storage)中。The
入口伺服器150也負責在所接收到的連線資料沒有通過驗證時,傳送登入資料的請求訊息給管理中心130,藉以與受到管理中心130引導之應用程式121連接,並向應用程式121請求輸入登入資料。The
入口伺服器150也可以接收應用程式121所傳送的登入資料,並透過業務伺服器160判斷登入資料是否通過驗證。The
接著以第一實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之透過入口伺服器跨網域使用憑證進行認證之方法流程圖。在本實施例中,假設應用程式121為執行於客戶端120中的瀏覽程式,管理中心130為身分識別伺服器,但本發明並不以此為限。Next, the first embodiment is used to explain the operating system and method of the present invention, and please refer to "Figure 2A" for the flow chart of the method of cross-domain authentication through the portal server mentioned in the present invention. In this embodiment, it is assumed that the
當使用者在客戶端120上操作應用程式121使用服務主機110所提供的服務時,若服務主機110請求應用程式121進行身分驗證,則應用程式121可以向管理中心130請求身分認證(步驟201)。在本實施例中,假設服務主機110提供報稅服務,且服務主機110在請求應用程式121進行身分驗證時,可以將應用程式121導向至管理中心130。When the user operates the
在應用程式121連線到管理中心130後,管理中心130可以提供應用程式121選擇入口伺服器150(步驟211)。在本實施例中,假設管理中心130可以傳送選擇業務單位的網頁給應用程式121顯示,且上述可被選擇之業務單位都提供有入口伺服器150,藉以提示應用程式121的使用者操作應用程式121選擇一個業務單位所提供的入口伺服器150。其中,業務單位包含但不限於各個券商,入口伺服器150可以是各個券商所提供的交易伺服器。After the
在應用程式121選擇入口伺服器150後,管理中心130可以判斷是否儲存與應用程式121所選擇之入口伺服器150對應的數位憑證(步驟215)。若是,管理中心130可以直接使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳回服務主機110(步驟290)。After the
而若管理中心130判斷沒有儲存與應用程式121所選擇之入口伺服器150對應的數位憑證,則管理中心130可以產生連線資料,並將所產生的連線資料傳送到入口伺服器150(步驟220)。在本實施例中,假設管理中心130所產生的連線資料可以是將導向至入口伺服器150的連結,使得應用程式121依據連結被導向至入口伺服器150,藉以將連線資料傳送給入口伺服器150。If the
在入口伺服器150接收到連線資料後,入口伺服器150可以判斷所接收到的連線資料是否通過驗證(步驟230)。在本實施例中,假設入口伺服器150可以先判斷連線資料中是否包含註冊碼與校驗資料,若否,則表示連線資料沒有通過驗證;若連線資料中包含註冊碼與校驗資料,則入口伺服器150可以進一步由連線資料中取出元資料與註冊碼,並依據註冊碼中的鍵值讀出相對應的註冊值後,產生包含元資料、鍵值與註冊值的待驗資料後,使用雜湊函數對待驗資料進行計算,藉以計算出雜湊資料,並在所接收到之連線資料中的校驗資料與所計算出的待驗資料相同時,判斷連線資料通過驗證,而在所接收到之連線資料中的校驗資料與所計算出的待驗資料不同時,判斷連線資料沒有通過驗證。After the
若入口伺服器150判斷連線資料通過驗證,則入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。If the
而若入口伺服器150判斷連線資料沒有通過驗證,則入口伺服器150可以傳送登入資料的請求訊息至管理中心130,管理中心130在接收到登入資料的請求訊息後,引導應用程式121與入口伺服器150連接,入口伺服器150可以在與應用程式121連接後,請求應用程式121輸入登入資料(步驟240)。在本實施例中,假設入口伺服器150可以傳送輸入登入資料的網頁300給應用程式121顯示,藉以提示應用程式121的使用者輸入在先前所選擇之業務單位註冊的帳號與密碼,如「第3圖」所示。If the
在使用者操作應用程式121完成登入資料的輸入後,應用程式121可以將被輸入的登入資料傳送至入口伺服器150,入口伺服器150可以透過使用者先前所選擇之業務單位的業務伺服器160驗證應用程式121所傳送的登入資料,藉以判斷接收自應用程式121的登入資料是否通過驗證(步驟250)。若登入資料沒有通過驗證,則入口伺服器150可以再次請求應用程式121輸入登入資料(步驟240),或是通知管理中心130,使管理中心130拒絕應用程式121之身分驗證的請求。After the user operates the
若入口伺服器150判斷應用程式121所傳送之登入資料通過業務伺服器160的驗證,則如「第2B圖」之流程所示,入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。If the
當入口伺服器150判斷儲存有與業務伺服器160對應的數位憑證時,入口伺服器150可以將與業務伺服器160對應的數位憑證傳送到管理中心130(步驟280)。而若入口伺服器150判斷沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到憑證伺服器140申請與業務伺服器160對應的數位憑證(步驟270),並在完成數位憑證的申請後,可以儲存所申請到的數位憑證,並可以將所申請到的數位憑證傳送給管理中心130(步驟280)。When the
管理中心130在接收到入口伺服器150所傳送的數位憑證後,可以儲存所接收到的數位憑證,並可以使用所接收到的數位憑證判斷身分認證的認證結果,以及將判斷產生的認證結果傳送給服務主機110(步驟290)。After receiving the digital certificate sent by the
繼續以第二實施例來解說本發明的運作系統與方法,同樣請繼續參照「第2A圖」。在本實施例中,假設應用程式121為安裝於行動裝置(客戶端120)上的特定程式,管理中心130為安裝在同一行動裝置上的憑證管理程式,但本發明並不以此為限。Continue to use the second embodiment to explain the operating system and method of the present invention. Please also continue to refer to "Figure 2A". In this embodiment, it is assumed that the
當使用者操作應用程式121使用服務主機110所提供的服務時,若服務主機110請求應用程式121進行身分驗證,則應用程式121可以向管理中心請求身分認證(步驟201)。在本實施例中,假設服務主機110提供證券交易的查詢服務,且服務主機110在請求應用程式121進行身分驗證時,可以透過應用程式121呼叫管理中心130。When the user operates the
在管理中心130開始執行後,管理中心130可以提供選擇入口伺服器150(步驟211)。在本實施例中,假設管理中心130可以顯示包含多個業務單位的使用者介面,其中每一個業務單位都有一個對應的入口伺服器150,藉以提示應用程式121的使用者選擇入口伺服器150。After the
在管理中心130提供選擇入口伺服器150後,管理中心130可以判斷是否儲存與應用程式121所選擇之入口伺服器150對應的數位憑證(步驟215)。若是,管理中心130可以直接使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳回應用程式121(步驟290)。After the
而若管理中心130判斷沒有儲存與應用程式121所選擇之入口伺服器150對應的數位憑證,則管理中心130可以產生連線資料,並傳送所產生的連線資料到入口伺服器150(步驟220)。在本實施例中,假設管理中心130可以透過內嵌的瀏覽器開啟包含連線資料的連結,藉以在連線至入口伺服器150的同時,將連線資料傳送至入口伺服器150。If the
在管理中心130連線到入口伺服器150後,入口伺服器150可以判斷與管理中心130建立連線時所接收到的連線資料是否通過驗證(步驟230)。在本實施例中,假設管理中心130所產生的連線資料並沒有包含註冊碼及/或校驗資料,則入口伺服器150可以判斷連線資料沒有通過驗證,並可以傳送登入資料的請求訊息至管理中心130,使管理中心130引導應用程式121與入口伺服器150連接,藉以請求應用程式121輸入登入資料(步驟240)。After the
在使用者操作應用程式121完成登入資料的輸入後,應用程式121可以將被輸入的登入資料傳送至入口伺服器150,入口伺服器150可以透過使用者先前所選擇之業務單位的業務伺服器160驗證應用程式121所傳送的登入資料,藉以判斷接收自應用程式121的登入資料是否通過驗證(步驟250)。After the user operates the
若入口伺服器150判斷應用程式121所傳送之登入資料通過業務伺服器160的驗證,則如「第2B圖」之流程所示,入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。在本實施例中,若入口伺服器150判斷儲存有與業務伺服器160對應的數位憑證,則入口伺服器150可以將與業務伺服器160對應的數位憑證傳送到管理中心130(步驟280)。If the
而若入口伺服器150判斷沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到憑證伺服器140申請與業務伺服器160對應的數位憑證(步驟270),並在完成數位憑證的申請後,可以儲存所申請到的數位憑證,並可以將所申請到的數位憑證傳送給管理中心130(步驟280)。If the
管理中心130在接收到入口伺服器150所傳送的數位憑證後,可以儲存所接收到的數位憑證,並可以使用所接收到的數位憑證判斷身分認證的認證結果,以及將判斷產生的認證結果傳送給服務主機110(步驟290)。After receiving the digital certificate sent by the
如上述兩實施例,透過本發明,應用程式121便可以透過管理中心130使用在外部之業務伺服器160中使用的數位憑證進行身分認證。As in the above two embodiments, through the present invention, the
綜上所述,可知本發明與先前技術之間的差異在於具有管理中心與入口伺服器連線後,若連線資料通過入口伺服器的驗證,則入口伺服器將外部業務伺服器所使用的數位憑證傳回管理中心,使得管理中心使用數位憑證判斷身分認證結果之技術手段,藉由此一技術手段可以解決先前技術所存在為了方便管理而將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,進而達成跨伺服器使用同一憑證的技術功效。In summary, it can be seen that the difference between the present invention and the prior art is that after the management center and the portal server are connected, if the connection data passes the verification of the portal server, the portal server will use the external business server The digital certificate is sent back to the management center, which enables the management center to use the digital certificate to determine the technical means of the identity authentication result. This technical means can solve the problem of storing the certificate on the server for the convenience of management in the prior art, and the certificate cannot be used on other servers. The problem of using on the server to achieve the technical effect of using the same certificate across servers.
再者,本發明之透過入口伺服器跨網域使用憑證進行認證之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。Furthermore, the cross-domain authentication method of the present invention through a portal server can be implemented in hardware, software, or a combination of hardware and software, and can also be implemented in a centralized manner in a computer system or with different components Distributed in several interconnected computer systems.
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。Although the embodiments of the present invention are disclosed as above, the content described is not intended to directly limit the scope of patent protection of the present invention. Anyone with ordinary knowledge in the technical field to which the present invention belongs, without departing from the spirit and scope of the present invention, makes some modifications in the form and details of the implementation of the present invention, all belong to the patent protection of the present invention range. The scope of patent protection of the present invention shall still be determined by the scope of the attached patent application.
110:服務主機120:客戶端121:應用程式130:管理中心140:憑證伺服器150:入口伺服器160:業務伺服器300:網頁步驟201:應用程式向管理中心請求身分認證步驟211:管理中心提供選擇入口伺服器步驟215:管理中心判斷是否儲存與業務伺服器對應之數位憑證步驟220:管理中心產生連線資料,並傳送連線資料至入口伺服器步驟230:入口伺服器判斷連線資料是否通過驗證步驟240:入口伺服器請求應用程式輸入登入資料步驟250:入口伺服器透過業務伺服器判斷登入資料是否通過驗證步驟260:入口伺服器判斷是否儲存與業務伺服器對應之數位憑證步驟270:入口伺服器申請數位憑證步驟280:入口伺服器傳送數位憑證至管理中心步驟290:管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機 110: Service host 120: Client 121: Application 130: Management center 140: Certificate server 150: Entry server 160: Business server 300: Web page Step 201: Application requests identity authentication from the management center Step 211: Management center Provide selection of portal server Step 215: The management center determines whether to store the digital certificate corresponding to the business server Step 220: The management center generates connection data and sends the connection data to the portal server Step 230: The portal server determines the connection data Validation step 240: The portal server requests the application to enter the login data Step 250: The portal server determines whether the login data passes the verification through the business server Step 260: The portal server determines whether to store the digital certificate corresponding to the business server Step 270 : The portal server applies for a digital certificate. Step 280: The portal server sends a digital certificate to the management center. Step 290: The management center uses the digital certificate to determine the authentication result and sends the authentication result to the service host
第1A圖為本發明所提之透過入口伺服器跨網域使用憑證進行認證之系統架構圖。 第1B圖為本發明所提之另一種透過入口伺服器跨網域使用憑證進行認證之系統架構圖。 第2A圖為本發明所提之透過入口伺服器跨網域使用憑證進行認證之方法流程圖。 第2B圖為本發明所提之入口伺服器申請憑證之方法流程圖。 第3圖為本發明實施例所提之網頁示意圖。Figure 1A is a system architecture diagram of the cross-domain authentication using a certificate through a portal server according to the present invention. Figure 1B is a diagram of another system architecture that uses certificates for cross-domain authentication through a portal server according to the present invention. Figure 2A is a flow chart of the method of using certificates for cross-domain authentication through a portal server according to the present invention. Figure 2B is a flowchart of the method for applying for a certificate by the portal server according to the present invention. Figure 3 is a schematic diagram of a web page according to an embodiment of the present invention.
步驟201:應用程式向管理中心請求身分認證 Step 201: The application requests identity verification from the management center
步驟211:管理中心提供選擇入口伺服器 Step 211: The management center provides the selected entry server
步驟215:管理中心判斷是否儲存與業務伺服器對應之數位憑證 Step 215: The management center determines whether to store the digital certificate corresponding to the business server
步驟220:管理中心產生連線資料,並傳送連線資料至入口伺服器 Step 220: The management center generates connection data and sends the connection data to the portal server
步驟230:入口伺服器判斷連線資料是否通過驗證 Step 230: The portal server determines whether the connection data is verified
步驟240:入口伺服器請求應用程式輸入登入資料 Step 240: The portal server requests the application to enter the login information
步驟250:入口伺服器透過業務伺服器判斷登入資料是否通過驗證 Step 250: The portal server uses the business server to determine whether the login data is verified
步驟280:入口伺服器傳送數位憑證至管理中心 Step 280: The portal server sends the digital certificate to the management center
步驟290:管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機 Step 290: The management center uses the digital certificate to determine the authentication result, and transmits the authentication result to the service host
Claims (10)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108100440A TWI746920B (en) | 2019-01-04 | 2019-01-04 | System for using certificate to verify identity from different domain through portal and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW108100440A TWI746920B (en) | 2019-01-04 | 2019-01-04 | System for using certificate to verify identity from different domain through portal and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
TW202026928A true TW202026928A (en) | 2020-07-16 |
TWI746920B TWI746920B (en) | 2021-11-21 |
Family
ID=73004851
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW108100440A TWI746920B (en) | 2019-01-04 | 2019-01-04 | System for using certificate to verify identity from different domain through portal and method thereof |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI746920B (en) |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
ATE391385T1 (en) * | 2003-07-11 | 2008-04-15 | Ibm | METHOD AND SYSTEM FOR USER AUTHENTICATION IN A USER PROVIDER ENVIRONMENT |
US7913084B2 (en) * | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
CN102111271B (en) * | 2009-12-25 | 2015-07-29 | 卡巴斯克 | Network security certification method and device thereof |
CN102111410B (en) * | 2011-01-13 | 2013-07-03 | 中国科学院软件研究所 | Agent-based single sign on (SSO) method and system |
KR101273285B1 (en) * | 2011-06-03 | 2013-06-11 | (주)네오위즈게임즈 | Authentification agent and method for authentificating online service and system thereof |
-
2019
- 2019-01-04 TW TW108100440A patent/TWI746920B/en active
Also Published As
Publication number | Publication date |
---|---|
TWI746920B (en) | 2021-11-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8819801B2 (en) | Secure machine enrollment in multi-tenant subscription environment | |
US9569602B2 (en) | Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device | |
US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
JP6949064B2 (en) | Authentication and approval method and authentication server | |
KR20220019834A (en) | Method and system for authenticating transmission of secure credentials to a device | |
TWM594186U (en) | Device and system combining online rapid authentication and public key infrastructure to identify identity | |
WO2022052780A1 (en) | Identity verification method and apparatus, and device and storage medium | |
TWM592629U (en) | System to obtain appended data and execute corresponding operation when identity is confirmed | |
TWI746920B (en) | System for using certificate to verify identity from different domain through portal and method thereof | |
TWM580206U (en) | System for identifying identity through telecommunication server by identification data device | |
TWI720738B (en) | System for combining architectures of fido and pki to identity user and method thereof | |
TWI690820B (en) | System for using embedded browser module to manage certificate and method thereof | |
TWM603573U (en) | System generating authorization content during identity verification before transaction | |
TWI698823B (en) | System for verifying user identity when processing digital signature and method thereof | |
TWM586390U (en) | A system for performing identity verification according to the service instruction to execute the corresponding service | |
TWI691859B (en) | System for identifying according to instruction to execute service and method thereof | |
TWI777105B (en) | System for obtaining additional data when identifying to execute operation and method thereof | |
TWM586494U (en) | ID recognition system using network identification data through telecommunication server | |
TWI745015B (en) | System and method for providing authorized content generated during identity authentication for verifying transaction data before transaction | |
TWM583978U (en) | System of using physical carrier to store digital certificate for performing online transaction | |
TWI697802B (en) | System and method for selecting data transmission mode according to client environment for certificate operation | |
TWI729535B (en) | System for using financial account to confirm identity and method thereof | |
TWI767113B (en) | System for using certificate stored in carrier to conduct online transactions and method thereof | |
TWM576680U (en) | Authentication system using certificate through inter-domain portal server | |
TWI803907B (en) | System for confirming identity on different devices by verifying valid certification and method thereof |