TW202218375A - 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介 - Google Patents

基於既有憑證換取新憑證之系統、方法及電腦可讀媒介 Download PDF

Info

Publication number
TW202218375A
TW202218375A TW109137669A TW109137669A TW202218375A TW 202218375 A TW202218375 A TW 202218375A TW 109137669 A TW109137669 A TW 109137669A TW 109137669 A TW109137669 A TW 109137669A TW 202218375 A TW202218375 A TW 202218375A
Authority
TW
Taiwan
Prior art keywords
certificate
serial number
existing
new
replacement server
Prior art date
Application number
TW109137669A
Other languages
English (en)
Other versions
TWI746235B (zh
Inventor
林韋丞
童韋豪
游菀瑄
林邦曄
繆嘉新
Original Assignee
中華電信股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 中華電信股份有限公司 filed Critical 中華電信股份有限公司
Priority to TW109137669A priority Critical patent/TWI746235B/zh
Application granted granted Critical
Publication of TWI746235B publication Critical patent/TWI746235B/zh
Publication of TW202218375A publication Critical patent/TW202218375A/zh

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本發明為一種基於既有憑證換取新憑證之系統及其方法,透過建立一換證伺服器來接收有憑證的裝置中的既有憑證,利用這張既有憑證,搭配無憑證的裝置所發出的憑證請求檔去向憑證管理中心獲取一張與既有憑證互相對應且合法的新憑證,以供無憑證的裝置儲存和使用,本發明透過以證換證的方式,藉以改善擁有憑證的裝置其簽章能力有限的問題。本發明另提供一種基於既有憑證換取新憑證之方法的電腦可讀媒介。

Description

基於既有憑證換取新憑證之系統、方法及電腦可讀媒介
本發明係關於憑證取得之技術,特別是指一種基於既有憑證換取新憑證之系統、方法及電腦可讀媒介。
隨著科技進步與電子設備應用快速發展,許多網路互動或交易也頻繁產生,為了確保雙方身份確認,對於連網裝置和網路服務來說,數位憑證是進行授權和身份驗證的常用方法,透過數位憑證的使用以提升互動的安全性。一般來說,數位憑證可由憑證管理或註冊中心來頒發,目的是用於註冊裝置和應用程式(APP),藉此使裝置和應用程式使用上更具安全性。
在數位憑證廣泛應用下,使用者的多個設備、實體組件或是應用程式都可能需要憑證,當每一個單獨去申請憑證,特別是需要立即進行互動或交易時,若要等待新的憑證註冊,恐費時且麻煩,若能讓同一使用者的裝置、實體組件或應用程式能快速取得憑證,當有利於降低使用者的困擾,惟上述的設備、實體組件或是應用程式的憑證恐無法輕易交換或 共用,可能是兩者演算法不同的因素;另外,有些裝置的簽章能力有限,可能只能手動輸入要簽章的值,當需要被簽章的明文是不可見碼時,即無法做簽章,又或者當需要簽章的字串過長時,不易手動操作、進行輸入,上述都將導致憑證申請受阻。舉例來說,電信業者的用戶識別模塊卡(SIM卡)具有憑證,若安卓(Android)系統手機內其他應用軟體想取得憑證時,可透過特殊軟體進行憑證擷取,但此方式對於蘋果iOS系統手機,恐因為安全性問題而無類似特殊軟體可使用,亦即無法輕易取得所需憑證。
因此,若能找出一種有關憑證取得之技術,特別是針對簽章能力有限或難以進行簽章的裝置或組件,藉由讓有簽章能力的設備或組件能取得具關連性之憑證,進而滿足相對應之簽章需求,此將成為本技術領域人員急欲追求解決方案之目標。
為解決上述現有技術之問題,本發明提出一種基於既有憑證去換取新憑證之技術,利用既有憑證為其做背書,去向註冊管理中心(Registration Authority,RA)換取新憑證,之後透過軟體來下載新憑證,透過以證換證之方式,以有效改進裝置本身簽章能力有限性之問題。
本發明係揭露一種基於既有憑證換取新憑證之系統,係包括:待憑證裝置,係用於產生憑證請求檔,以及接收對應該憑證請求檔之交易序號;存有憑證裝置,係用於傳送該交易序號以及該存有憑證裝置所具有之既有憑證;換證伺服器,係接收來自該存有憑證裝置之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,俾傳送該憑證序號及與該 交易序號相對應之該憑證請求檔;註冊管理中心,係接收來自該換證伺服器之該憑證序號及該憑證請求檔,以利用該憑證序號查詢該既有憑證,俾產生申請新憑證請求;以及憑證管理中心,係接收來自該註冊管理中心之該申請新憑證請求以產生新憑證,且透過該註冊管理中心回傳該新憑證至該換證伺服器,以供該待憑證裝置依據該交易序號下載該新憑證。
於一實施例中,該換證伺服器收到來自該待憑證裝置之該憑證請求檔後,產生該交易序號,以傳送該交易序號至該待憑證裝置。
於一實施例中,該存有憑證裝置復包括利用該交易序號做簽章以產生簽章值,其中,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
於一實施例中,該待憑證裝置復包括產生私密金鑰,以供該待憑證裝置取得該新憑證時,利用該私密金鑰進行簽章。
本發明復提出一種基於既有憑證換取新憑證之系統,係包括:使用者裝置,係包含等待憑證之軟體模組以及具有憑證之實體組件,其中,該軟體模組係產生憑證請求檔以及接收對應該憑證請求檔之交易序號,該實體組件係傳送該交易序號以及該實體組件所具有之既有憑證;換證伺服器,係接收來自該實體組件之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,俾傳送該憑證序號及與該交易序號相對應之該憑證請求檔;註冊管理中心,係接收來自該換證伺服器之該憑證序號及該憑證請求檔,以利用該憑證序號查詢該既有憑證,俾產生申請新憑證請求;以及憑證管理中心,係接收來自該註冊管理中心之該申請新憑證請求以產生 新憑證,且透過該註冊管理中心回傳該新憑證至該換證伺服器,以供該軟體模組依據該交易序號下載該新憑證。
於一實施例中,該換證伺服器收到來自該軟體模組之該憑證請求檔後,產生該交易序號,以傳送該交易序號至該軟體模組。
於一實施例中,該實體組件復包括利用該交易序號做簽章以產生簽章值,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
於一實施例中,該軟體模組復包括產生私密金鑰,以供該軟體模組取得該新憑證時,利用該私密金鑰進行簽章。
本發明復提出一種基於既有憑證換取新憑證之方法,係包括:令軟體模組提供憑證請求檔至換證伺服器,並接收該換證伺服器所回傳之交易序號;令具有既有憑證之實體組件傳送該交易序號及該既有憑證至該換證伺服器;令該換證伺服器由該既有憑證取得憑證序號,以傳送該憑證序號及與該交易序號相對應之該憑證請求檔至註冊管理中心;令該註冊管理中心利用該憑證序號以確認該既有憑證之合法性和有效性,以於該既有憑證合法且有效時,產生申請新憑證請求;令該註冊管理中心利用該既有憑證,向憑證管理中心申請新憑證;以及令該註冊管理中心傳送該新憑證至該換證伺服器,以供該軟體模組下載。
於上述方法中,該軟體模組與該實體組件係位於同一裝置內,或是分屬兩個不同裝置。
於上述方法中,該實體組件復包括利用該交易序號做簽章以產生簽章值,其中,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
於上述方法中,該軟體模組復包括產生私密金鑰,以供該軟體模組取得該新憑證時,利用該私密金鑰進行簽章。
本發明復提供一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行前述之基於既有憑證換取新憑證之方法。
由上可知,本發明提出一種基於既有憑證換取新憑證之系統、方法及電腦可讀媒介,相較於現有技術,本發明是基於既有憑證換取新憑證之技術,除了可以換取新憑證給予未持有憑證的軟體模組能進行簽章動作外,也可以解決即便裝置中存有憑證,但其簽章能力有限的受限性,讓簽章能力更佳的裝置去做簽章。另外,本發明所換取的新憑證跟既有憑證並非完全不相關,且換取到的新憑證植基於既有憑證的背書,所以裝置中所換取到的新憑證與既有憑證是有關連性的,而換取到的新憑證其簽章演算法可隨著應用需求變更,因而改善了既有憑證所使用的演算法的限制性,也讓取得新憑證的裝置能延伸其簽章演算法。
1、2:基於既有憑證換取新憑證之系統
11:待憑證裝置
12:存有憑證裝置
13、23:換證伺服器
14、24:註冊管理中心
15、25:憑證管理中心
20:使用者裝置
21:軟體模組
22:實體組件
S31-S36:步驟
S41-S47:流程
圖1為本發明之基於既有憑證換取新憑證之系統一實施例的系統架構圖。
圖2為本發明之基於既有憑證換取新憑證之系統另一實施例的系統架構圖。
圖3為本發明之基於既有憑證換取新憑證之方法的步驟圖。
圖4為本發明之本發明之基於既有憑證換取新憑證之方法一具體實施例的流程圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
圖1為本發明之基於既有憑證換取新憑證之系統一實施例的系統架構圖。本發明之基於既有憑證換取新憑證之系統1其目的為以既有憑證換取新憑證,利用擁有憑證的裝置為未持有憑證的裝置背書,進而使未持有憑證之裝置能獲取憑證,如圖所示,該基於既有憑證換取新憑證之系統1係包括待憑證裝置11、存有憑證裝置12、換證伺服器13、註冊管理中心14以及憑證管理中心15,其中,該待憑證裝置11中無憑證,而該存有憑證裝置12已存有憑證,但其簽章能力有限。
待憑證裝置11用於產生憑證請求檔,以及接收對應該憑證請求檔之交易序號。詳言之,待憑證裝置11裡面沒有憑證,但其簽章能力較佳,可做延伸簽章演算法能力,能夠使用、支援不同演算法,做簽章可以直接複製、選擇要做簽章的項目。因此,待憑證裝置11因內無憑證,所以傳送憑證請求檔給換證伺服器13,以於之後向憑證管理中心15申請新憑證,另外,待憑證裝置11也用於之後下載、存放所換取的新憑證。
於一實施例中,該換證伺服器13收到來自該待憑證裝置11之該憑證請求檔後,產生該交易序號並回傳至該待憑證裝置11。上述即說明當待憑證裝置11傳送憑證請求檔至換證伺服器13後,會由換證伺服器13取得一交易序號,此交易序號也是後續令待憑證裝置11和存有憑證裝置12兩者相關聯的主要機制。
存有憑證裝置12用於傳送該交易序號以及該存有憑證裝置所具有之既有憑證。詳言之,存有憑證裝置12裡面存有憑證,但支援演算法固定、單一,簽章能力有限,裝置可能僅能手動輸入要簽章的值,當需要被簽章的明文是不可見碼時,即無法做簽章,又或是當需要簽章的字串過長時,不易手動操作、進行輸入。由上可知,待憑證裝置11無法使用存有憑證裝置12做簽章,且存有憑證裝置12其簽章能力有限,因而利用存有憑證裝置12與換證伺服器13通訊連結,該換證伺服器13能接收該存有憑證裝置12所傳送的既有憑證,以執行以證換證的程序。
於一實施例中,該存有憑證裝置12復包括利用該交易序號做簽章以產生簽章值,其中,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器13,以供該換證伺服器13進行簽章驗證。換言之,該存有憑證裝置12會利用交易序號與裝置中的私密金鑰(Private Key)產生簽章值,此簽章值將隨著交易序號一併傳送到換證伺服器13,如此該換證伺服器13才能驗章,以確保交易正確性。
換證伺服器13係接收來自該存有憑證裝置12之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,並傳送該憑證序號及與該交易序號相對應之該憑證請求檔。具體來說,換證伺服器13係接收待憑證 裝置11的憑證請求檔以及驗章存有憑證裝置12所傳來的既有簽章,換證伺服器13於收到憑證請求檔後提供交易序號給予待憑證裝置11,並利用交易序號使得待憑證裝置11跟存有憑證裝置12有關連性,其中,換證伺服器13會由既有憑證取得憑證序號,並搭配交易序號所對應的憑證請求檔,一同傳至給註冊管理中心14,須說明者,因為註冊管理中心14都有既有憑證的相關資料,故註冊管理中心14僅需有憑證序號即可找出所需的既有憑證,故為了減少傳輸資料量,換證伺服器13不會傳遞整個憑證至註冊管理中心14,而是僅有憑證序號。
另外,換證伺服器13於獲取新憑證後,讓待憑證裝置11能利用交易序號來下載。
註冊管理中心14係接收來自該換證伺服器13之該憑證序號及該憑證請求檔,利用該憑證序號查詢該既有憑證是否存在,俾於確認該既有憑證存在時,產生申請新憑證請求。具體來說,註冊管理中心14會利用憑證序號以檢驗此既有憑證是否存在,並於驗證既有憑證存在下與憑證管理中心15連線去申請新憑證,同樣地,在申請到新憑證後,註冊管理中心14會將新憑證傳送到換證伺服器13。由上可知,註冊管理中心14會以憑證序號(Certificate Serial Number)查詢既有憑證是否存在,藉此檢驗該既有憑證的合法性與有效性,並於確認無誤後再向憑證管理中心15申請新憑證,回傳給換證伺服器13,以供待憑證裝置11能下載使用。
憑證管理中心15係接收來自該註冊管理中心14之該申請新憑證請求以產生新憑證,且透過該註冊管理中心14回傳該新憑證至該換證伺服器13,以供該待憑證裝置11依據該交易序號下載該新憑證。換言之, 憑證管理中心15收到註冊管理中心14所發出之新憑證請求後,會產出新憑證給予註冊管理中心14。
於另一實施例中,該待憑證裝置11復包括產生私密金鑰,以供該待憑證裝置11取得該新憑證時,利用該私密金鑰進行簽章。上述說明待憑證裝置11產出憑證請求檔時會一併產生一私密金鑰,此私密金鑰可於待憑證裝置11取得新憑證後,進行簽章等憑證應用。
另外,該私密金鑰也確保新憑證不被盜用,具體來說,在新憑證產生後,若交易序號被其他裝置知悉或猜測中而取得新憑證,基於其他裝置無該私密金鑰,故無法與該新憑證搭配而進行簽章應用。
於上述架構下,待憑證裝置11可為一行動裝置(如手機)的應用程式,其無憑證但具有簽章能力,而存有憑證裝置12可為另一行動裝置(如手機)內含的SIM卡,其具有憑證但簽章能力有限,由於SIM卡與應用程式兩者無法直接溝通,且SIM卡為RSA加密演算法的簽章,應用程式可能為橢圓曲線密碼編碼學(Elliptic Curves Cryptography,ECC)的簽章,兩者也無法共用,為了方便使用者進行憑證應用,本發明透過利用SIM卡的既有憑證去申請一個新憑證給應用程式使用,以便應用程式可利用新憑證進行簽章等應用,由於新憑證與既有憑證具有關聯性,故兩個憑證內部資訊多數相同。
由上可知,本發明之基於既有憑證換取新憑證之系統1可達到利用存有憑證裝置12中既有憑證當作背書,去換取一張有關連性的新憑證,新憑證將提供給無憑證但具有簽章的裝置,以利於改善簽章能力有限的存有憑證裝置12,有能執行簽章的替代方式。
圖2為本發明之基於既有憑證換取新憑證之系統另一實施例的系統架構圖。如圖所示,基於既有憑證換取新憑證之系統2中之換證伺服器23、註冊管理中心24以及憑證管理中心25與圖1中所示之換證伺服器13、註冊管理中心14以及憑證管理中心15相同,於本實施例中,主要是無憑證者與具有既有憑證者是位在單一裝置內,即使用者裝置20,該使用者裝置20可為一電子設備。
使用者裝置20包含等待憑證之軟體模組21以及具有憑證之實體組件22,其中,該軟體模組21係產生憑證請求檔以及接收對應該憑證請求檔之交易序號,而該實體組件22則是傳送該交易序號以及該實體組件所具有之既有憑證,具體來說,該軟體模組21傳送憑證請求檔至換證伺服器13後,換證伺服器13會回傳一交易序號給予該軟體模組21。
換證伺服器23用於接收來自該實體組件22之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,並傳送該憑證序號及與該交易序號相對應之該憑證請求檔至註冊管理中心24。
註冊管理中心24接收來自該換證伺服器23之該憑證序號及該憑證請求檔,以利用該憑證序號查詢該既有憑證是否存在,俾於確認該既有憑證存在時,產生申請新憑證請求並傳送給憑證管理中心25。
憑證管理中心25接收來自該註冊管理中心24之該申請新憑證請求以產生新憑證,且透過該註冊管理中心24回傳該新憑證至該換證伺服器23,以供該軟體模組21依據該交易序號下載該新憑證。
本實施例與圖1的最大差別在於需要新憑證和具有既有憑證的單元都在同一個裝置內,其餘換證伺服器23、註冊管理中心24以及憑證 管理中心25的運作皆與圖1所述相同。舉例來說,軟體模組21為手機中的APP應用程式,裡面沒有憑證,但其能有較佳的簽章能力,能複製、選擇要做簽章的項目,且具有延伸簽章演算法能力,能依照應用需求使用、支援不同演算法,而擁有既有憑證之實體組件22為手機裝置中的全球用戶識別卡(UMTS Subscriber Identity Module,USIM),其簽章能力有限,支援演算法固定、單一,且操作不便利,只能手動輸入要簽章的值,若需要被簽章的明文是不可見碼時,即無法進行簽章,又或者當需要簽章的字串過長時,不易手動操作、進行輸入。
使用者手機裝置中的全球用戶識別卡因具有憑證,為了快速讓手機中的APP應用程式也有憑證,甚至用於替全球用戶識別卡進行憑證應用,故利用全球用戶識別卡的既有憑證來產生新憑證,由於兩個憑證具有關聯性,故憑證內多數資訊相同。
於一實施例中,該實體組件22復包括利用該交易序號做簽章以產生簽章值,其中,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器23,以供該換證伺服器進行簽章驗證。由上可知,該實體組件22利用交易序號與裝置中的私密金鑰產生簽章質,簽章值會隨著交易序號一併傳送到換證伺服器23,以供該換證伺服器23執行驗章,確保交易正確性。
於一實施例中,該軟體模組21復包括產生私密金鑰,以供該軟體模組21取得該新憑證時,利用該私密金鑰進行簽章。換言之,軟體模組21產出憑證請求檔時會一併產生一私密金鑰,以於取得新憑證後,能搭配進行簽章等憑證應用,同時也能避免他人以不合法方式取得新憑證時,也無法使用。
本發明重點在於透過建立一個換證伺服器23去接收既有憑證,利用這張既有憑證,搭配軟體模組21所發出的憑證請求檔(Certificate Signing Request,CSR)去向憑證管理中心(Certification Authority,CA)獲取一張與既有憑證互相對應且合法的新憑證,提供給軟體模組21使用,如此能改善擁有既有憑證的實體組件22其簽章能力有限的問題,藉此可有效解決裝置的受限性、不易操作,亦即本發明之技術為基於實體組件22中既有憑證作為背書,去向憑證管理中心15換取新憑證,儲存於無憑證的軟體模組21中以便使用,達到以證換證的效果。
圖3為本發明之基於既有憑證換取新憑證之方法的步驟圖。
於步驟S31,令軟體模組提供憑證請求檔至換證伺服器,並接收該換證伺服器所回傳之交易序號。本步驟係軟體模組提供憑證請求檔至換證伺服器,換證伺服器會回覆一交易序號。
於步驟S32,令具有既有憑證之實體組件傳送該交易序號及該既有憑證至該換證伺服器。本步驟係說明存有既有憑證之設備或組件會傳送交易序號和既有憑證到至換證伺服器,以供換證伺服器進行以證換證的程序,其中,本發明利用交易序號使得兩個設備或組件之間有所關聯性。
於一實施例中,該實體組件復包括利用該交易序號做簽章以產生簽章值,其中,該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。也就是說,存有既有憑證之設備或組件會利用交易序號做簽章,並將交易序號、簽章值、既有憑證傳至換證伺服器中。
於步驟S33,令該換證伺服器由該既有憑證取得憑證序號,並傳送該憑證序號及與該交易序號相對應之該憑證請求檔至註冊管理中心。如前所述,換證伺服器會對簽章值進行驗章,在驗章後,換證伺服器會取出既有憑證的憑證序號,以利減少後續傳輸資料的大小,接著將憑證序號以及利用讓兩個裝置有所關聯的交易序號所對應的憑證請求檔,傳至註冊管理中心。
於步驟S34,令該註冊管理中心利用該憑證序號以確認該既有憑證之合法性和有效性,以於該既有憑證合法且有效時,產生申請新憑證請求。本步驟係說明註冊管理中心利用憑證序號確定此憑證是否存在。
於步驟S35,令該註冊管理中心利用該既有憑證,向憑證管理中心申請新憑證。接續前一步驟,本步驟即在驗證成功後,註冊管理中心向憑證管理中心申請新憑證。
於步驟S36,令該註冊管理中心回傳該新憑證至該換證伺服器,以供該軟體模組下載。本步驟係說明註冊管理中心會將申請到的新憑證傳至換證伺服器之中,讓軟體裝置能使用交易序號來下載新憑證於裝置之中。
圖4為本發明之本發明之基於既有憑證換取新憑證之方法一具體實施例的流程圖,請一併參考圖2,於此以需要新憑證和存有既有憑證的兩者皆在同一裝置的範例來作說明。
於流程S41,提出憑證請求檔。本流程為軟體模組產生金鑰,並提供憑證請求檔,最終作為註冊管理中心申請新憑證時使用,而金鑰搭配獲取的新憑證,可進行簽章等憑證應用。具體實施時,利用軟體模組(例 如APP應用程式)做投單的動作,進行投單之前,APP應用程式會產生憑證請求檔以及私密金鑰,在投單時會將憑證請求檔傳送給換證伺服器,從換證伺服器取得一交易序號。
於流程S42,提供既有憑證。本流程為實體組件裡面存有既有憑證,提供既有憑證給予換證伺服器。具體實施時,利用流程S41所取得的交易序號,讓實體組件(例如USIM)將交易序號做簽章,將交易序號、簽章值以及USIM裡的既有憑證傳給換證伺服器,於此,透過交易序號使得APP應用程式與USIM之間有所關聯性。
於流程S43,取出憑證序號。本流程為換證伺服器取出既有憑證的憑證序號。具體實施時,換證伺服器會驗證簽章是否無誤,之後會取出憑證的序號來減少後續傳輸的資料量。
於流程S44,將憑證序號以及憑證請求檔傳至註冊管理中心。本流程為換證伺服器將憑證序號和軟體模組所提供的憑證請求檔,一併傳給註冊管理中心。具體實施時,換證伺服器透過讓APP應用程式以及USIM能建立關聯性的交易序號,從資料庫取出投單時所取得的憑證請求檔,搭配流程S43所取得的憑證序號一同傳送給註冊管理中心。
於流程S45,確定是否存在憑證。本流程為註冊管理中心會利用憑證序號去查詢此憑證的合法性和有效性。具體實施時,註冊管理中心會利用所獲得的憑證序號去查看是否有這張憑證存在。
於流程S46,向憑證管理中心申請新憑證。本流程為註冊管理中心以既有憑證資訊,向憑證管理中心申請一張新憑證。具體實施時,註冊管理中心利用憑證序號所查到的這張既有的憑證去做背書,向憑證管 理中心申請新憑證,而申請下來的新憑證與既有憑證彼此之間是有所關聯的。
於流程S47,回傳新憑證讓裝置下載。本流程為註冊管理中心回傳新憑證給換證伺服器,讓軟體模組能下載新憑證。具體實施時,憑證管理中心將申請下來的新憑證傳給換證伺服器,讓其存於資料庫之中,之後APP應用程式可以利用交易序號向換證伺服器獲取新憑證於應用軟體中,便可利用新憑證以及先前產出的私密金鑰做簽章。
由上可知,可解決當存有憑證裝置其簽章能力有限時,可以依交易序號建立裝置與軟體模組的關聯性,之後換取一張新憑證給予軟體模組,使其解決裝置簽章的受限性,讓簽章能力更佳的裝置去做簽章。另外,本發明所換取的新憑證因為是基於既有憑證去背書所換取的,所以彼此之間是有所關聯性的,而非一張完全全新、互不相關的新憑證。
另外,本發明還提供一種基於既有憑證換取新憑證之方法的電腦可讀媒介,係應用於具有處理器(例如,CPU、GPU等)及/或記憶體的計算裝置或電腦中,且儲存有指令,並可利用此計算裝置或電腦透過處理器及/或記憶體執行此電腦可讀媒介,以於執行此電腦可讀媒介時執行上述內容。
綜上所述,本發明提出一種基於既有憑證換取新憑證之系統、方法及電腦可讀媒介,本發明係透過有憑證的裝置與憑證管理中心(CA)中間所建立的換證伺服器,取出憑證中的憑證序號,搭配裝置之前所做投單的憑證請求檔去向憑證管理中心申請新憑證,可以傳輸更少量資料至註冊管理中心,亦能加以比對既有憑證是否存在。另外,本發明為基於既有憑證換取新憑證之技術,所換取之新憑證與既有憑證有一對一的關聯性, 能有效的解決既有憑證裝置不易簽章的受限性,以及簽章演算法的受限性,讓未持有憑證的裝置能申請到合法憑證,進而做到對於簽章受限的改善。
上述實施例僅為例示性說明,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與改變。因此,本發明之權利保護範圍係由本發明所附之申請專利範圍所定義,只要不影響本發明之效果及實施目的,應涵蓋於此公開技術內容中。
1:基於既有憑證換取新憑證之系統
11:待憑證裝置
12:存有憑證裝置
13:換證伺服器
14:註冊管理中心
15:憑證管理中心

Claims (13)

  1. 一種基於既有憑證換取新憑證之系統,係包括:
    待憑證裝置,係用於產生憑證請求檔,以及接收對應該憑證請求檔之交易序號;
    存有憑證裝置,係用於傳送該交易序號以及該存有憑證裝置所具有之既有憑證;
    換證伺服器,係接收來自該存有憑證裝置之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,俾傳送該憑證序號及與該交易序號相對應之該憑證請求檔;
    註冊管理中心,係接收來自該換證伺服器之該憑證序號及該憑證請求檔,以利用該憑證序號查詢該既有憑證,俾產生申請新憑證請求;以及
    憑證管理中心,係接收來自該註冊管理中心之該申請新憑證請求以產生新憑證,且透過該註冊管理中心回傳該新憑證至該換證伺服器,以供該待憑證裝置依據該交易序號下載該新憑證。
  2. 如請求項1所述之基於既有憑證換取新憑證之系統,其中,該換證伺服器收到來自該待憑證裝置之該憑證請求檔後,產生該交易序號,以傳送該交易序號至該待憑證裝置。
  3. 如請求項1所述之基於既有憑證換取新憑證之系統,其中,該存有憑證裝置復包括利用該交易序號做簽章以產生簽章值,而該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
  4. 如請求項1所述之基於既有憑證換取新憑證之系統,其中,該待憑證裝置復包括產生私密金鑰,以供該待憑證裝置取得該新憑證時,利用該私密金鑰進行簽章。
  5. 一種基於既有憑證換取新憑證之系統,係包括:
    使用者裝置,係包含等待憑證之軟體模組以及具有憑證之實體組件,其中,該軟體模組係產生憑證請求檔以及接收對應該憑證請求檔之交易序號,該實體組件係傳送該交易序號以及該實體組件所具有之既有憑證;
    換證伺服器,係接收來自該實體組件之該交易序號及該既有憑證,以由該既有憑證取得憑證序號,俾傳送該憑證序號及與該交易序號相對應之該憑證請求檔;
    註冊管理中心,係接收來自該換證伺服器之該憑證序號及該憑證請求檔,以利用該憑證序號查詢該既有憑證,俾產生申請新憑證請求;以及
    憑證管理中心,係接收來自該註冊管理中心之該申請新憑證請求以產生新憑證,且透過該註冊管理中心回傳該新憑證至該換證伺服器,以供該軟體模組依據該交易序號下載該新憑證。
  6. 如請求項5所述之基於既有憑證換取新憑證之系統,其中,該換證伺服器收到來自該軟體模組之該憑證請求檔後,產生該交易序號,以傳送該交易序號至該軟體模組。
  7. 如請求項5所述之基於既有憑證換取新憑證之系統,其中,該實體組件復包括利用該交易序號做簽章以產生簽章值,而該簽章值隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
  8. 如請求項5所述之基於既有憑證換取新憑證之系統,其中,該軟體模組復包括產生私密金鑰,以供該軟體模組取得該新憑證時,利用該私密金鑰進行簽章。
  9. 一種基於既有憑證換取新憑證之方法,係包括:
    令軟體模組提供憑證請求檔至換證伺服器,並接收該換證伺服器所回傳之交易序號;
    令具有既有憑證之實體組件傳送該交易序號及該既有憑證至該換證伺服器;
    令該換證伺服器由該既有憑證取得憑證序號,以傳送該憑證序號及與該交易序號相對應之該憑證請求檔至註冊管理中心;
    令該註冊管理中心利用該憑證序號以確認該既有憑證之合法性和有效性,以於該既有憑證合法且有效時,產生申請新憑證請求;
    令該註冊管理中心利用該既有憑證,向憑證管理中心申請新憑證;以及
    令該註冊管理中心傳送該新憑證至該換證伺服器,以供該軟體模組下載。
  10. 如請求項9所述之基於既有憑證換取新憑證之方法,其中,該軟體模組與該實體組件係位於同一裝置內,或是分屬兩個不同裝置。
  11. 如請求項9所述之基於既有憑證換取新憑證之方法,其中,該實體組件復包括利用該交易序號做簽章以產生簽章值,而該簽章值 隨著該交易序號及該既有憑證傳送至該換證伺服器,以供該換證伺服器進行簽章驗證。
  12. 如請求項9所述之基於既有憑證換取新憑證之方法,其中,該軟體模組復包括產生私密金鑰,以供該軟體模組取得該新憑證時,利用該私密金鑰進行簽章。
  13. 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項9至12其中任一項所述之基於既有憑證換取新憑證之方法。
TW109137669A 2020-10-29 2020-10-29 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介 TWI746235B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW109137669A TWI746235B (zh) 2020-10-29 2020-10-29 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109137669A TWI746235B (zh) 2020-10-29 2020-10-29 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介

Publications (2)

Publication Number Publication Date
TWI746235B TWI746235B (zh) 2021-11-11
TW202218375A true TW202218375A (zh) 2022-05-01

Family

ID=79907503

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109137669A TWI746235B (zh) 2020-10-29 2020-10-29 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介

Country Status (1)

Country Link
TW (1) TWI746235B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8843740B2 (en) * 2011-12-02 2014-09-23 Blackberry Limited Derived certificate based on changing identity
TWI591991B (zh) * 2016-01-29 2017-07-11 Chunghwa Telecom Co Ltd System and method for pre-signing vouchers for forecasting requests for traffic
CN107395343B (zh) * 2017-07-10 2019-10-25 腾讯科技(深圳)有限公司 证书管理方法及系统

Also Published As

Publication number Publication date
TWI746235B (zh) 2021-11-11

Similar Documents

Publication Publication Date Title
CA3049761C (en) Method for providing payment gateway service using utxo-based protocol and server using same
US11159307B2 (en) Ad-hoc trusted groups on a blockchain
US10027670B2 (en) Distributed authentication
WO2019011179A1 (zh) 证书管理方法、系统、网络设备及计算机可读存储介质
KR101418799B1 (ko) 모바일용 오티피 서비스 제공 시스템
WO2019136959A1 (zh) 数据处理方法、装置、计算机设备和存储介质
WO2020186827A1 (zh) 用户认证方法、装置、计算机设备及计算机可读存储介质
WO2019127278A1 (zh) 安全访问区块链的方法、装置、系统、存储介质及电子设备
TW201916633A (zh) 基於憑證管理的電動車充電方法和系統
KR101985179B1 (ko) 블록체인 기반의 ID as a Service
CA2914956C (en) System and method for encryption
CN112671720B (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
WO2018166359A1 (zh) 移动支付转授权方法、及利用该方法实现的支付系统
WO2016173211A1 (zh) 一种管理应用标识的方法及装置
CN111314066B (zh) 基于区块链的数据转移方法、终端及计算机可读存储介质
WO2011139135A1 (en) System and method for issuing endorsement key credential in trusted computing environment using local certificate authority
CN111062059B (zh) 用于业务处理的方法和装置
CN106656507B (zh) 一种基于移动终端的电子认证方法及装置
CN110610418B (zh) 基于区块链的交易状态查询方法、系统、设备及存储介质
CN109257381A (zh) 一种密钥管理方法、系统及电子设备
TWI746235B (zh) 基於既有憑證換取新憑證之系統、方法及電腦可讀媒介
US9882891B2 (en) Identity verification
US20240031341A1 (en) Methods, devices and system related to a distributed ledger and user identity attribute
WO2016165662A1 (zh) 一种手机准数字证书子系统及其系统及其方法
WO2010045885A1 (zh) 一种内容管理方法和装置