TW202125295A - 於憑證申請過程中確認金鑰對產生演算法之系統及方法 - Google Patents
於憑證申請過程中確認金鑰對產生演算法之系統及方法 Download PDFInfo
- Publication number
- TW202125295A TW202125295A TW108146347A TW108146347A TW202125295A TW 202125295 A TW202125295 A TW 202125295A TW 108146347 A TW108146347 A TW 108146347A TW 108146347 A TW108146347 A TW 108146347A TW 202125295 A TW202125295 A TW 202125295A
- Authority
- TW
- Taiwan
- Prior art keywords
- certificate
- client
- algorithm
- key pair
- authentication server
- Prior art date
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
一種於憑證申請過程中確認金鑰對產生演算法之系統及方法,其透過客戶端使用演算法產生金鑰對,並透過憑證註冊主機將包含產生金鑰對之演算法的演算法訊息的憑證簽署請求傳送至憑證認證伺服器後,憑證認證伺服器可以判斷憑證簽署請求中之演算法訊息是否符合演算要求,並在客戶端產生金鑰對之演算法符合演算要求時才產生數位憑證之技術手段,可以在核發數位憑證之過程中檢查客戶端產生金鑰對之演算法,並達成增加安全性與加解密效能的技術功效。
Description
一種憑證申請系統及其方法,特別係指一種於憑證申請過程中確認金鑰對產生演算法之系統及方法。
公鑰基礎架構(Public Key Infrastructure, PKI),又稱公開金鑰基礎架構、公開金鑰基礎建設、公鑰基礎建設、公鑰基礎設施、或公開密碼基礎建設等,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原數位憑證。由密碼學的角度,公鑰基礎建設藉著數位憑證認證機構(Certificate Authority, CA)將使用者的個人身分跟公開金鑰鏈結在一起。同時,對每個數位憑證認證機構而言,使用者的身分必須是唯一的。
使用者可以使用預定的演算法產生包含公開金鑰(簡稱公鑰)與私有金鑰(簡稱私鑰)的金鑰對,再使用公鑰產生憑證簽署請求,並透過憑證簽署請求向數位憑證認證機構申請數位憑證,如此,使用者便可以使用數位憑證透過公鑰基礎架構在網路上證明自己的身分。
然而,隨著技術的進步,可能出現速度更快、效率更高的加解密演算法,或是某些加解密演算法可能出現漏洞,這表示加解密速度/效率不佳或出現漏洞的加解密演算法需要被淘汰。但公鑰基礎建設的數位憑證認證機構並沒有拒絕被使用者用來產生金鑰對之演算法的有效機制,當數位憑證認證機構接收到使用者的憑證簽署請求後,只要憑證簽署請求通過數位憑證認證機構的驗證,數位憑證認證機構便會核發數位憑證給使用者。
綜上所述,可知先前技術中長期以來一直存在數位憑證認證機構在核發數位憑證之過程中不會檢查使用者產生金鑰對之演算法的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在數位憑證認證機構不會驗證使用者產生金鑰對之演算法的問題,本發明遂揭露一種於憑證申請過程中確認金鑰對產生演算法之系統及其方法,其中:
本發明所揭露之於憑證申請過程中確認金鑰對產生演算法之系統,至少包含:客戶端,用以使用演算法產生包含客戶端公鑰及客戶端私鑰之金鑰對,及用以產生包含該客戶端公鑰及演算法訊息之憑證簽署請求;憑證註冊主機,用以接收憑證簽署請求,及用以產生包含憑證簽署請求之憑證申請資料,並對憑證申請資料簽章以產生主機簽章資料;憑證認證伺服器,用以接收憑證申請資料及主機簽章資料,並依據主機簽章資料驗證憑證申請資料,及用以於憑證申請資料通過驗證時,檢查憑證申請資料,並於憑證申請資料通過檢查時,依據憑證簽署請求中之演算法訊息判斷客戶端所使用之演算法是否符合演算要求,及於演算法符合演算要求時,產生數位憑證,並透過憑證註冊主機傳送數位憑證至客戶端,使客戶端儲存數位憑證。
本發明所揭露之於憑證申請過程中確認金鑰對產生演算法之方法,其步驟至少包括:客戶端使用演算法產生包含客戶端公鑰及客戶端私鑰之金鑰對;客戶端產生包含憑證簽署請求包含客戶端公鑰及演算法訊息之憑證簽署請求,並傳送憑證簽署請求至憑證註冊主機;憑證註冊主機產生包含憑證簽署請求之憑證申請資料,並對憑證申請資料簽章以產生主機簽章資料後,傳送憑證申請資料及主機簽章資料至憑證認證伺服器;憑證認證伺服器依據主機簽章資料成功驗證憑證申請資料後,檢查憑證申請資料;憑證認證伺服器於憑證申請資料通過檢查後,依據憑證簽署請求中之演算法訊息判斷客戶端使用之演算法符合演算要求時,產生數位憑證,並透過憑證註冊主機傳送數位憑證至客戶端;客戶端儲存數位憑證。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過在客戶端使用演算法產生金鑰對,並透過憑證註冊主機將包含產生金鑰對之演算法的演算法訊息的憑證簽署請求傳送至憑證認證伺服器後,憑證認證伺服器可以判斷憑證簽署請求中之演算法訊息是否符合演算要求,並在客戶端產生金鑰對之演算法符合演算要求時才產生數位憑證,藉以解決先前技術所存在的問題,並可以達成增加安全性與加解密效能之技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以讓憑證認證伺服器在接收到客戶端所傳送的憑證簽署請求(Certificate Signing Request, CSR)後,判斷客戶端產生金鑰對所使用之演算法是否符合憑證認證伺服器所接受的演算要求,並在客戶端產生金鑰對所使用之演算法符合演算要求時,產生傳回客戶端的數位憑證(certificate)。其中,憑證認證伺服器為數位憑證認證機構(Certificate Authority, CA)中的一台或多台伺服器。
以下先以「第1圖」本發明所提之於憑證申請過程中確認金鑰對產生演算法之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有客戶端110、憑證註冊主機120、及憑證認證伺服器130。其中,憑證註冊主機120與憑證認證伺服器130通常是數位設備;客戶端110則可以是手機、平板、電腦等數位設備,也可以是執行於數位設備上的特定軟體,但本發明並不以此為限。
本發明所提之計算設備包含但不限於一個或多個處理器、一個或多個記憶體模組、以及連接不同元件(包括記憶體模組和處理器)的匯流排等元件。透過所包含之多個元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行,也可以執行軟體或程式。另外,計算設備也包含一個外殼,上述之各個元件設置於外殼內。
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。
本發明所提之計算設備的處理器與匯流排耦接。處理器包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。處理器可以解釋一連串的多個指令以進行特定的運算或操作,例如,數學運算、邏輯運算、資料比對、複製/移動資料等,藉以運行作業系統或執行各種程式、模組、及/或元件。
計算設備的處理器可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟片、隨身碟(快閃記憶體)、記憶卡(memory card)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器等周邊裝置或介面連接並通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G/5G等行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路裝置、非同步傳輸模式(ATM)裝置、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠透過各種周邊裝置與介面進行資料的輸入與輸出,也能夠與具有上面描述之元件的另一個計算設備進行通訊。
客戶端110可以透過有線或無線網路與憑證註冊主機120連接,並可以傳送資料或訊號給憑證註冊主機120,也可以接收憑證註冊主機120所傳送的資料或訊號。
客戶端110負責使用預定的演算法(加解密演算法)產生包含一把公鑰(public key)及一把私鑰(private key)的金鑰對。一般而言,客戶端110可以呼叫預先安裝之可信任的安控元件使用預先定義的演算法產生金鑰對。
在本發明中,客戶端110所產生之公鑰與私鑰也被稱為客戶端公鑰與客戶端私鑰。本發明所提之演算法可以是符合橢圓曲線密碼學(Elliptic Curve Cryptography, ECC)的演算法等,但本發明並不以此為限。
客戶端110也負責產生包含客戶端公鑰的憑證簽署請求,並可以將所產生的憑證簽署請求傳送給憑證註冊主機120。客戶端110所產生之憑證簽署請求中包含產生金鑰對所使用之演算法的演算法訊息。其中,演算法訊息包含演算法名稱等。
客戶端110也負責接收憑證註冊伺服器120所傳送的數位憑證,並儲存所接收到的數位憑證。更詳細的,客戶端110可以依據申請數位憑證的用途將所申請的數位憑證匯入相對應的載具內儲存。其中,客戶端110申請數位憑證之用途包含但不限於身份識別或加解密等;客戶端110匯入數位憑證之載具包含但不限於晶片卡、電子檔案(如PFX檔)、瀏覽器程式的本地儲存(local storage)等。
憑證註冊主機120為通過數位憑證認證機構審核(也就是獲得數位憑證認證機構簽發數位憑證)而可以做為憑證註冊中心(Registration Authority, RA)的數位設備。憑證註冊主機120可以透過有線或無線網路與客戶端110及/或憑證認證伺服器130連接,並可以接收客戶端110及/或憑證認證伺服器130所傳送的資料或訊號,也可以傳送資料或訊號給客戶端110及/或憑證認證伺服器130。
憑證註冊主機120負責產生憑證申請資料,並使用所擁用之主機私鑰對所產生之憑證申請資料簽章以產生相對應之主機簽章資料。憑證註冊主機120所產生的憑證申請資料包含接收自客戶端110的憑證簽署請求。
憑證註冊主機120也負責接收憑證認證伺服器130所傳送的數位憑證,並將所接收到的數位憑證轉送到客戶端110。一般而言,憑證註冊主機120也可以保存所接收到的數位憑證,也就是保存透過自身申請之客戶端110的數位憑證。
憑證認證伺服器130可以透過有線或無線網路與憑證註冊主機120連接,並可以接收憑證註冊主機120所傳送的資料或訊號,也可以傳送資料或訊號給憑證註冊主機120。
憑證認證伺服器130負責接收憑證註冊主機120所傳送的憑證申請資料與主機簽章資料,並可以依據所接收到之主機簽章資料驗證所接收到的憑證申請資料。
憑證認證伺服器130也負責在接收自憑證註冊主機120之憑證申請資料通過驗證時,進一步檢查所接收到的憑證申請資料。舉例來說,憑證認證伺服器130可以讀出憑證申請資料中的憑證簽署請求,並依據憑證簽署請求中的客戶端簽章資料驗證憑證簽署請求。但憑證認證伺服器130檢查憑證申請資料之方式與過程並不上述為限。
憑證認證伺服器130也負責在憑證申請資料通過檢查時,依據憑證申請資料中之憑證簽署請求所包含的演算法訊息判斷客戶端110產生金鑰對所使用之演算法是否符合憑證認證伺服器130預定的演算要求。舉例來說,演算要求可以是憑證認證伺服器130認可之演算法的演算法名稱,憑證認證伺服器130可以判斷演算要求中是否包含演算法訊息所包含之演算法名稱,若是,表示客戶端110產生金鑰對之演算法符合演算要求;反之,若憑證認證伺服器130所記錄的演算要求中不存在演算法訊息所包含的演算法名稱,則表示客戶端110產生金鑰對之演算法不符合演算要求。但憑證認證伺服器130判斷客戶端110產生金鑰對之演算法是否符合演算要求之方式並不以上述為限,例如,演算要求也可以是時間門檻值,憑證認證伺服器130可以使用一種或多種預定的算式組進行運算,若在時間門檻值內金鑰對被破解,則憑證認證伺服器130可以判斷產生金鑰對之演算法不符合演算要求。
憑證認證伺服器130也負責在憑證申請資料中之憑證簽署請求所包含的演算法符合憑證認證伺服器130預定的演算要求時產生數位憑證。更詳細的,憑證認證伺服器130可以使用伺服器私鑰對憑證簽署請求中之客戶端公鑰簽章以產生相對應的伺服器簽章資料,並產生包含客戶端公鑰及伺服器簽章資料的數位憑證。一般而言,憑證認證伺服器130所產生之客戶端110的數位憑證為終端實體 (end-entity, EE)憑證,但本發明並不以此為限。
憑證認證伺服器130也負責將所產生的數位憑證傳送給憑證註冊主機120,藉以透過憑證註冊主機120將所產生的數位憑證傳送給客戶端110。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之於憑證申請過程中確認金鑰對產生演算法之方法流程圖。在本實施例中,假設客戶端110為電腦,但本發明並不以此為限。
首先,客戶端110使用演算法產生包含客戶端公鑰與客戶端私鑰的金鑰對,並接著產生包含被產生之金鑰對中之客戶端公鑰與產生金鑰對所使用之演算法的演算法訊息的憑證簽署請求,及將所產生之憑證簽署請求傳送給憑證註冊主機120(步驟210),藉以透過憑證註冊主機120向憑證認證伺服器130申請數位憑證。
在憑證註冊主機120接收到客戶端110所傳送的憑證簽署請求後,憑證註冊主機120可以產生包含所接收之憑證簽署請求的憑證申請資料,並可以對所產生之憑證申請資料簽章,藉以在簽章後產生主機簽章資料。之後,憑證註冊主機120可以將所產生之憑證申請資料及主機簽章資料傳送給憑證認證伺服器130(步驟220)。
憑證認證伺服器130在接收到憑證註冊主機120所傳送的憑證申請資料及主機簽章資料後,可以使用所接收到之主機簽章資料驗證所接收之憑證申請資料,並可以依據驗證結果判斷憑證申請資料是否通過以主機簽章資料進行之驗證(步驟230)。
若憑證認證伺服器130判斷憑證申請資料沒有通過驗證,則憑證認證伺服器130可以拒絕客戶端110之憑證申請,並可以透過憑證註冊主機120將拒絕申請訊息傳送到客戶端110,使得客戶端110顯示憑證申請被拒絕的訊息;若憑證認證伺服器130判斷憑證申請資料通過驗證,則憑證認證伺服器130可以進一步檢查憑證申請資料,並可以判斷憑證申請資料是否通過檢查(步驟250)。在本實施例中,憑證認證伺服器130可以依據憑證簽署請求中的客戶端簽章資料驗證憑證簽署請求,若憑證簽署請求沒有通過驗證,則憑證認證伺服器130可以判斷憑證申請資料沒有通過檢查,而若憑證簽署請求通過驗證,則憑證認證伺服器130可以判斷憑證申請資料通過檢查。
若憑證認證伺服器130判斷憑證申請資料沒有通過檢查,憑證認證伺服器130可以拒絕客戶端110之憑證申請,並可以透過憑證註冊主機120將拒絕申請訊息傳送到客戶端110,使得客戶端110顯示憑證申請被拒絕的訊息;若憑證認證伺服器130判斷憑證申請資料通過檢查,則憑證認證伺服器130可以更進一步地判斷憑證簽署請求中之演算法訊息所表示的演算法是否符合預先設定的演算要求(步驟260)。在本實施例中,假設憑證認證伺服器130可以依據演算要求所記錄之演算法名稱中是否存在演算法訊息所包含的演算法名稱判斷客戶端110產生金鑰對所使用之演算法是否符合演算要求。
若憑證認證伺服器130判斷客戶端110所使用之演算法不符合演算要求,也就是憑證認證伺服器130預先設定之演算要求所包含的演算法名稱中不存在憑證簽署請求中之演算法訊息所包含的演算法名稱,憑證認證伺服器130可以拒絕客戶端110之憑證申請,並可以透過憑證註冊主機120將拒絕申請訊息傳送到客戶端110,使得客戶端110顯示憑證申請被拒絕的訊息;若憑證認證伺服器130判斷客戶端110所使用之演算法符合演算要求,也就是憑證簽署請求中之演算法訊息所包含的演算法名稱被記錄在憑證認證伺服器130預先設定之演算要求中,則憑證認證伺服器130可以產生數位憑證,並可以透過憑證註冊主機120將數位憑證傳送給客戶端110(步驟270)。在本實施例中,假設如「第2B圖」所示之流程,憑證認證伺服器130可以使用伺服器私鑰對憑證簽署請求中之客戶端公鑰簽章以產生相對應之伺服器簽章資料(步驟271),並可以產生包含客戶端公鑰及伺服器簽章資料之數位憑證(步驟273),之後,憑證認證伺服器130可以將所產生的數位憑證傳回憑證註冊主機120(步驟275),使得憑證註冊主機120將所接收到的數位憑證轉傳回客戶端110(步驟277)。
繼續回到「第2A圖」,在客戶端110所接收到憑證認證伺服器130透過憑證註冊主機120所傳送的數位憑證後,客戶端110可以儲存所接收到的數位憑證(步驟280)。在本實施例中,客戶端110可以依據申請數位憑證的用途將所接收到的數位憑證匯入晶片卡、特定檔案、或特定軟體等載具中。
如此,透過本發明,憑證認證伺服器130便可以在客戶端110申請憑證的過程中檢查客戶端110產生金鑰對所使用的演算法。
綜上所述,可知本發明與先前技術之間的差異在於具有客戶端使用演算法產生金鑰對,並透過憑證註冊主機將包含產生金鑰對之演算法的演算法訊息的憑證簽署請求傳送至憑證認證伺服器後,憑證認證伺服器可以判斷憑證簽署請求中之演算法訊息是否符合演算要求,並在客戶端產生金鑰對之演算法符合演算要求時才產生數位憑證之技術手段,藉由此一技術手段可以解決先前技術所存在數位憑證認證機構在核發數位憑證之過程中不會檢查使用者產生金鑰對之演算法的問題,進而達成增加安全性與加解密效能之技術功效。
再者,本發明之於憑證申請過程中確認金鑰對產生演算法之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110:客戶端
120:憑證註冊主機
130:憑證認證伺服器
210步驟:客戶端使用演算法產生金鑰對,及產生包含客戶端公鑰及演算法訊息之憑證簽署請求,並傳送憑證簽署請求至憑證註冊主機
220步驟:憑證註冊主機產生包含憑證簽署請求之憑證申請資料,及對憑證申請資料以產生主機簽章資料,並傳送憑證申請資料及主機簽章資料至憑證認證伺服器
230步驟:憑證認證伺服器判斷憑證申請資料是否通過以主機簽章資料進行之驗證
250步驟:憑證認證伺服器判斷憑證申請資料是否通過檢查
260步驟:憑證認證伺服器判斷演算法是否符合演算要求
270步驟:憑證認證伺服器產生數位憑證,並透過憑證註冊主機傳送數位憑證至客戶端
271步驟:憑證認證伺服器使用伺服器私鑰對憑證簽署請求中之客戶端公鑰簽章以產生伺服器簽章資料
273步驟:憑證認證伺服器產生包含客戶端公鑰及伺服器簽章資料之數位憑證
275步驟:憑證認證伺服器傳送數位憑證至憑證註冊主機
277步驟:憑證註冊主機傳送數位憑證至客戶端
280步驟:客戶端儲存數位憑證
第1圖為本發明所提之於憑證申請過程中確認金鑰對產生演算法之系統架構圖。
第2A圖為本發明所提之於憑證申請過程中確認金鑰對產生演算法之方法流程圖。
第2B圖為本發明所提之憑證認證伺服器產生數位憑證並傳回客戶端之方法流程圖。
步驟210:客戶端使用演算法產生金鑰對,及產生包含客戶端公鑰及演算法訊息之憑證簽署請求,並傳送憑證簽署請求至憑證註冊主機
步驟220:憑證註冊主機產生包含憑證簽署請求之憑證申請資料,及對憑證申請資料以產生主機簽章資料,並傳送憑證申請資料及主機簽章資料至憑證認證伺服器
步驟230:憑證認證伺服器判斷憑證申請資料是否通過以主機簽章資料進行之驗證
步驟250:憑證認證伺服器判斷憑證申請資料是否通過檢查
步驟260:憑證認證伺服器判斷演算法是否符合演算要求
步驟270:憑證認證伺服器產生數位憑證,並透過憑證註冊主機傳送數位憑證至客戶端
步驟280:客戶端儲存數位憑證
Claims (10)
- 一種於憑證申請過程中確認金鑰對產生演算法之方法,該方法至少包含下列步驟: 一客戶端使用一演算法產生一金鑰對,該金鑰對包含一客戶端公鑰及一客戶端私鑰; 該客戶端產生一憑證簽署請求,並傳送該憑證簽署請求至一憑證註冊主機,該憑證簽署請求包含該客戶端公鑰及該演算法之一演算法訊息; 該憑證註冊主機產生包含該憑證簽署請求之一憑證申請資料,並對該憑證申請資料簽章以產生一主機簽章資料後,傳送該憑證申請資料及該主機簽章資料至一憑證認證伺服器; 該憑證認證伺服器依據該主機簽章資料成功驗證該憑證申請資料後,檢查該憑證申請資料; 該憑證認證伺服器於該憑證申請資料通過檢查後,依據該演算法訊息判斷該演算法符合演算要求時,產生一數位憑證,並透過該憑證註冊主機傳送該數位憑證至該客戶端;及 該客戶端儲存該數位憑證。
- 如申請專利範圍第1項所述之於憑證申請過程中確認金鑰對產生演算法之方法,其中該憑證認證伺服器產生該數位憑證之步驟更包含該憑證認證伺服器使用一伺服器私鑰對該憑證簽署請求中之該客戶端公鑰簽章以產生一伺服器簽章資料,並產生包含該客戶端公鑰及該伺服器簽章資料之該數位憑證之步驟。
- 如申請專利範圍第1項所述之於憑證申請過程中確認金鑰對產生演算法之方法,其中該客戶端使用該演算法產生該金鑰對之步驟為該客戶端呼叫安控元件使用橢圓曲線演算法產生該金鑰對。
- 如申請專利範圍第1項所述之於憑證申請過程中確認金鑰對產生演算法之方法,其中該憑證認證伺服器檢查該憑證申請資料之步驟更包含該憑證認證伺服器依據該憑證簽署請求中之一客戶端簽章資料驗證該憑證簽署請求之步驟。
- 如申請專利範圍第1項所述之於憑證申請過程中確認金鑰對產生演算法之方法,其中該客戶端儲存該數位憑證之步驟為該客戶端依據該數位憑證之用途將該數位憑證匯入相對應之載具內儲存。
- 一種於憑證申請過程中確認金鑰對產生演算法之系統,該系統至少包含: 一客戶端,用以使用一演算法產生一金鑰對,該金鑰對包含一客戶端公鑰及一客戶端私鑰,及用以產生一憑證簽署請求,該憑證簽署請求包含該客戶端公鑰及該演算法之一演算法訊息; 一憑證註冊主機,用以接收該憑證簽署請求,及用以產生包含該憑證簽署請求之一憑證申請資料,並對該憑證申請資料簽章以產生一主機簽章資料;及 一憑證認證伺服器,用以接收該憑證申請資料及該主機簽章資料,並依據該主機簽章資料驗證該憑證申請資料,及用以於該憑證申請資料通過驗證時,檢查該憑證申請資料,並於該憑證申請資料通過檢查時,依據該演算法訊息判斷該演算法是否符合一演算要求,及於該演算法符合該演算要求時,產生一數位憑證,並透過該憑證註冊主機傳送該數位憑證至該客戶端,使該客戶端儲存該數位憑證。
- 如申請專利範圍第6項所述之於憑證申請過程中確認金鑰對產生演算法之系統,其中該憑證認證伺服器是使用一伺服器私鑰對該憑證簽署請求中之該客戶端公鑰簽章以產生一伺服器簽章資料,並產生包含該客戶端公鑰及該伺服器簽章資料之該數位憑證。
- 如申請專利範圍第6項所述之於憑證申請過程中確認金鑰對產生演算法之系統,其中該客戶端是呼叫安控元件使用橢圓曲線演算法產生該金鑰對。
- 如申請專利範圍第6項所述之於憑證申請過程中確認金鑰對產生演算法之系統,其中該憑證認證伺服器更用以依據該憑證簽署請求中之一客戶端簽章資料驗證該憑證簽署請求。
- 如申請專利範圍第6項所述之於憑證申請過程中確認金鑰對產生演算法之系統,其中該客戶端是依據該數位憑證之用途將該數位憑證匯入相對應之載具內儲存。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108146347A TWI730549B (zh) | 2019-12-18 | 2019-12-18 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108146347A TWI730549B (zh) | 2019-12-18 | 2019-12-18 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI730549B TWI730549B (zh) | 2021-06-11 |
| TW202125295A true TW202125295A (zh) | 2021-07-01 |
Family
ID=77517208
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108146347A TWI730549B (zh) | 2019-12-18 | 2019-12-18 | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI730549B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP7163083B2 (ja) * | 2018-06-29 | 2022-10-31 | キヤノン株式会社 | 情報処理装置、情報処理装置の制御方法、及び、プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002207426A (ja) * | 2001-01-10 | 2002-07-26 | Sony Corp | 公開鍵証明書発行システム、公開鍵証明書発行方法、および電子認証装置、並びにプログラム記憶媒体 |
| CN1679271A (zh) * | 2002-08-28 | 2005-10-05 | 美国多科摩通讯研究所股份有限公司 | 基于认证的加密和公共密钥基础结构 |
| CN104935553B (zh) * | 2014-03-19 | 2018-09-18 | 北京安讯奔科技有限责任公司 | 统一身份认证平台及认证方法 |
| TWI669672B (zh) * | 2018-02-09 | 2019-08-21 | 玉山商業銀行股份有限公司 | 電子交易方法及系統 |
-
2019
- 2019-12-18 TW TW108146347A patent/TWI730549B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| TWI730549B (zh) | 2021-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6151402B2 (ja) | データセンタへのプラットフォームの内包検証 | |
| CN113039544B (zh) | 应用程序完整性证实 | |
| CN113169866B (zh) | 使用同时密钥发布来防止共谋的技术 | |
| WO2022179115A1 (zh) | 用户认证方法、装置、服务器及存储介质 | |
| TWI720738B (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法 | |
| US20240097918A1 (en) | Managing unique secrets in distributed systems | |
| TWM539667U (zh) | 透過載具線上申請憑證以進行網路交易之系統 | |
| CN116264861A (zh) | 分布式安全通信系统 | |
| TWM594186U (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 | |
| TWI644276B (zh) | 於線上完成開戶並申請行動銀行之系統及其方法 | |
| US20230120616A1 (en) | Baseboard management controller (bmc) for storing cryptographic keys and performing cryptographic operations | |
| TWI730549B (zh) | 於憑證申請過程中確認金鑰對產生演算法之系統及方法 | |
| TWM618092U (zh) | 自動化網域驗證的憑證管理系統 | |
| TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
| TWM539668U (zh) | 於線上完成開戶並申請行動銀行之系統 | |
| TWM641468U (zh) | 透過第三方平台的電子憑證與數位證明驗證系統 | |
| TWM640937U (zh) | 由待簽本文產生演算資料以供伺服器簽章之系統 | |
| TWI777105B (zh) | 身份確認時取得附加資料以執行對應作業之系統及方法 | |
| TWI845063B (zh) | 由待簽本文產生演算資料以供伺服器簽章之系統及方法 | |
| TWI729535B (zh) | 透過金融帳戶資料確認使用者身分之系統及方法 | |
| TWI691859B (zh) | 依服務指令進行身份確認以執行對應服務之系統及方法 | |
| TW201824129A (zh) | 透過載具線上申請憑證以進行網路交易之系統及其方法 | |
| KR20230075548A (ko) | 트러스티드 컴퓨팅 시스템 및 이의 증명 방법 | |
| CN114418573A (zh) | 在区块链中的凭证发行方法和凭证验证方法 | |
| TWM602252U (zh) | 電子文件來源與簽樣的核對驗證系統 |