TWI533654B - 自動完成憑證申請之網路裝置、註冊閘道器及其方法 - Google Patents
自動完成憑證申請之網路裝置、註冊閘道器及其方法 Download PDFInfo
- Publication number
- TWI533654B TWI533654B TW103125916A TW103125916A TWI533654B TW I533654 B TWI533654 B TW I533654B TW 103125916 A TW103125916 A TW 103125916A TW 103125916 A TW103125916 A TW 103125916A TW I533654 B TWI533654 B TW I533654B
- Authority
- TW
- Taiwan
- Prior art keywords
- voucher
- application
- message
- network device
- gateway
- Prior art date
Links
Description
一種申請憑證之網路裝置、註冊閘道器及其方法,特別係指一種自動完成憑證申請之網路裝置、註冊閘道器及其方法。
數位憑證(在本發明中簡稱為「憑證」)是一種用於數位裝置的身分識別機制,是一個或一組檔案,該些檔案記錄數位憑證之擁有人的身份資料及公開金鑰(公鑰)。數位憑證可用來識別數位裝置,數位憑證的擁有人可向電腦系統認證自己的身分。
數位憑證可以由任何的單位核發,例如,許多公司或學校會使用自行核發的數位憑證,但實際上,未經過認證的單位所核發的憑證並不被公眾認可。若想要申請被公眾認可的數位憑證,則需要至經過認證的憑證申請中心申請。
然而,目前數位憑證的申請流程非常繁雜,且數位憑證的申請流程中多處需要由人工進行,例如,申請憑證時至少需要人工填寫相關申請網頁,以及需要人工上傳憑證申請請求(CSR)檔,在憑證申請中心則需要人工檢核申請人的申請資格,在安裝憑證時則需要人工匯入等。明顯的,現行申請數位憑證來使用過程並不方便。
綜上所述,可知先前技術中長期以來一直存在憑證申請流程需要使用者介入的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在證申請流程需要使用者介入的問題,本發明遂揭露一種自動完成憑證申請之網路裝置、註冊閘道器及其方法,其中:
本發明所揭露之自動完成憑證申請之網路裝置,透過註冊閘道器與憑證管理伺服器連接,至少包含:請求處理模組,用以於憑證申請事件被觸發時產生憑證申請訊息;裝置傳輸模組,用以傳送憑證申請訊息至註冊閘道器,使註冊閘道器依據憑證申請訊息向憑證管理伺服器請求核發裝置憑證,及用以接收註冊閘道器所傳回之裝置憑證;憑證驗證模組,用以驗證裝置憑證,並儲存通過驗證之裝置憑證,藉以提供網路裝置使用通過驗證之裝置憑證。
本發明所揭露之自動完成憑證申請之註冊閘道器,連接網路裝置及憑證管理伺服器,至少包含:儲存媒體,用以儲存憑證管理伺服器所提供之閘道識別資料;閘道傳輸模組,用以接收網路裝置於憑證申請事件被觸發時所傳送之憑證申請訊息;訊息處理模組,用以依據憑證申請訊息及閘道識別資料產生憑證請求訊息;其中,閘道傳輸模組更用以傳送憑證請求訊息傳送至憑證管理伺服器,使憑證管理伺服器核發裝置憑證,並將憑證管理伺服器所傳回之裝置憑證傳送到網路裝置。
本發明所揭露之自動完成憑證申請之方法,其步驟至少包括:憑證管理伺服器提供閘道識別資料予註冊閘道器;網路裝置於憑證申請事件被觸發時產生憑證申請訊息;網路裝置傳送憑證申請訊息至註冊閘道器;註冊閘道
器依據憑證申請訊息及閘道識別資料產生憑證請求訊息;註冊閘道器將憑證請求訊息傳送至憑證管理伺服器,並等待憑證管理伺服器傳回所核發之裝置憑證;註冊閘道器傳送裝置憑證至網路裝置;網路裝置儲存並使用裝置憑證。
本發明所揭露之網路裝置、註冊閘道器與方法如上,與先前技術之間的差異在於本發明透過在憑證申請事件於網路裝置上被觸發後,由網路裝置產生憑證申請訊息,並將所產生的憑證申請訊息傳送至註冊閘道器,註冊閘道器在依據憑證申請訊息及閘道識別資料產生憑證請求訊息後,將憑證請求訊息傳送至憑證管理伺服器,並在憑證管理伺服器將所核發之裝置憑證傳回給註冊閘道器後,註冊閘道器傳送裝置憑證給網路裝置使用,藉以解決先前技術所存在的問題,並可以達成方便使用者申請憑證的技術功效。
100‧‧‧憑證管理伺服器
200‧‧‧網路裝置
220‧‧‧請求處理模組
230‧‧‧身分確認模組
250‧‧‧裝置傳輸模組
280‧‧‧憑證驗證模組
300‧‧‧註冊閘道器
310‧‧‧儲存媒體
350‧‧‧閘道傳輸模組
360‧‧‧請求驗證模組
370‧‧‧訊息處理模組
380‧‧‧憑證驗證模組
步驟402‧‧‧憑證管理伺服器提供閘道識別資料予註冊閘道器
步驟411‧‧‧網路裝置判斷憑證申請狀態是否表示憑證申請中
步驟415‧‧‧網路裝置記錄憑證申請狀態表示憑證申請中
步驟420‧‧‧網路裝置於憑證申請事件被觸發時產生憑證申請訊息
步驟431‧‧‧網路裝置驗證網路裝置之使用者身分
步驟435‧‧‧網路裝置傳送憑證申請訊息至註冊閘道器
步驟440‧‧‧註冊閘道器檢核憑證申請資格
步驟451‧‧‧註冊閘道器依據憑證申請訊息中之使用者識別資料判斷網路裝置是否未完成憑證申請
步驟453‧‧‧註冊閘道器判斷憑證申請訊息是否與前次之申請相同
步驟455‧‧‧註冊閘道器驗證憑證申請訊息
步驟459‧‧‧註冊閘道器繼續完成前次之申請
步驟460‧‧‧註冊閘道器依據憑證申請訊息及閘道識別資料產生憑證請求訊息
步驟462‧‧‧依據憑證申請訊息中之使用者識別資料判斷裝置憑證之申請類型
步驟464‧‧‧計算裝置憑證之到期日
步驟466‧‧‧產生交易訊息,交易訊息包含申請類型與到期日
步驟468‧‧‧對交易訊息進行簽章
步驟470‧‧‧註冊閘道器將憑證請求訊息傳送至憑證管理伺服器,並等待憑證管理伺服器傳回所核發之裝置憑證
步驟471‧‧‧註冊閘道器將憑證請求訊息傳送至憑證管理伺服器
步驟475‧‧‧註冊閘道器判斷與憑證管理伺服器間之連線是否異常中斷
步驟479‧‧‧註冊閘道器接收憑證管理伺服器所核發之裝置憑證
步驟486‧‧‧註冊閘道器傳送裝置憑證至網路裝置
步驟491‧‧‧網路裝置驗證裝置憑證
步驟495‧‧‧網路裝置儲存並使用裝置憑證
第1圖為本發明所提之自動完成憑證申請之網路架構圖。
第2圖為本發明所提之自動完成憑證申請之網路裝置之元件示意圖。
第3圖為本發明所提之自動完成憑證申請之註冊閘道器之元件示意圖。
第4A圖為本發明所提之自動完成憑證申請之方法流程圖。
第4B圖為本發明所提之產生憑證申請訊息之附加方法流程圖。
第4C圖為本發明所提之產生憑證請求訊息之附加方法流程圖。
第4D圖為本發明所提之產生憑證請求訊息之附加方法流程圖。
第4E圖為本發明所提之接收裝置憑證之附加方法流程圖。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以提供使用者在網路裝置的管理介面中進行操作,使得網路裝置自動的透過註冊閘道器取得憑證管理伺服器(CA)所核發的裝置憑證,並在使用所獲得的裝置憑證。
其中,隨著網路裝置的不同,網路裝置使用裝置憑證的方式也可能不同,例如,部分的網路裝置可以使用裝置憑證提供具有SSL的網頁管理介面,而另一部分的網路裝置則可能使用裝置憑證作為在網路上的識別資料,本發明並沒有特別的限制。
以下先以「第1圖」本發明所提之自動完成憑證申請之網路架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有憑證管理伺服器100、網路裝置200、以及註冊閘道器300。
憑證管理伺服器100負責核發提供給網路裝置200使用的裝置憑證。
網路裝置200具有裝置識別資料,網路裝置200負責透過註冊閘道器300向憑證管理伺服器100申請裝置憑證,並使用所申請到之裝置憑證。其中,網路裝置200可以如「第2圖」所示,包含請求處理模組220、裝置傳輸模組250、以及憑證驗證模組280。在部分的實施例中,網路裝置200更可以包含身分確認模組230。
請求處理模組220負責在憑證申請事件被觸發時,產生憑證申請訊息。被請求處理模組220所產生的憑證申請訊息包含身分驗證資料以及憑證申請資料。其中,身分驗證資料至少包含網路裝置200之使用者的使用者識別資料以及網路裝置200的裝置識別資料等,憑證申請資料至少包含裝置識別資料以及請求處理模組220所產生的憑證申請請求。
本發明所提之憑證申請事件是在網路裝置200之使用者欲為網路裝置申請裝置憑證時,對網路裝置所進行之特定操作而產生,例如,在網路裝置之管理介面中的特定按鈕被使用者點擊時產生,或是在使用者按壓網路裝置之控制面板上的特定按鍵時產生等,但憑證申請事件的產生時間並不以此為限。
請求處理模組220需要先產生金鑰,而後才能依據所產生的金鑰簽發憑證申請請求(CSR)。請求處理模組220所產生的金鑰通常包含公鑰(public key)與私鑰(private key),但本發明並不以此為限。一般而言,可以要求使用者輸入密碼,藉以保護請求處理模組220所產生之金鑰中的私鑰,但本發明並不以此為限。其中,請求處理模組220通常會使用預先設定的儲存格式儲存所產生的金鑰,也通常會使用預先設定的加密演算法加密私鑰。
在部分的實施例中,請求處理模組220在簽發憑證申請請求時,可以依據網路裝置200的裝置識別資料產生申請主旨,並將所產生的申請主旨、所產生之金鑰中的公鑰、以及公鑰的簽章包裝為憑證申請請求。其中,請求處理模組220可以依照預先定義的格式產生申請主旨、可以依照預先設定的簽章演算法產生公鑰的簽章,也可以依照欲先設定的格式包裝產生憑證申請請求。
在實務上,本發明所提之憑證申請請求的內容並不限於上述項目,例如,當網路裝置200提供網頁服務時,請求處理模組220所產生的憑證申請請求中也可以包含網路裝置200所提供的網站名稱等。
特別值得一提的是,在部分的實施例中,請求處理模組220可以在憑證申請事件被觸發時,判斷網路裝置200的憑證申請狀態,並在憑證申請狀態未表示網路裝置200處於憑證申請中之狀態時,才會產生憑證申請訊息,並將所簽發的憑證申請訊息傳送到註冊閘道器300,以及將憑證申請狀態記錄為表示網路裝置200處於憑證申請中之狀態,並儲存所產生的憑證申請訊息。而當憑證申請狀態表示網路裝置200處於憑證申請中之狀態時,請求處理模組220可以直接讀取先前所儲存之憑證申請訊息,並將所讀取之憑證申請訊息傳送到註冊閘道器300。
此外,若請求處理模組220判斷在傳送憑證申請訊息到註冊閘道器300時,若裝置傳輸模組250與註冊閘道器300之間的連線異常,則請求處理模組220可以重新傳送所簽發的憑證申請訊息。
身分確認模組230可以驗證網路裝置200之使用者的使用者身分。一般而言,身分確認模組230會要求使用者輸入使用者識別資料,但身分確認模組230驗證使用者身份的方式並不以此為限。
身分確認模組230除了可以在使用者欲進入網路裝置200的管理介面時驗證使用者身份外,在部分的實施例中,身分確認模組230可以在請求處理模組220產生憑證申請訊息後,裝置傳輸模組250傳送憑證申請訊息前,再次驗證申使用者身分。
裝置傳輸模組250負責將請求處理模組220所產生之憑證申請訊息傳送到註冊閘道器300,也負責接收註冊閘道器300所傳回的裝置憑證。
在部分的實施例中,裝置傳輸模組250可以在開始傳送憑證申請訊息到完整接收裝置憑證的過程中,持續偵測與註冊閘道器300的連接狀態,並可以在偵測到與註冊閘道器300的連線異常時,通知請求處理模組220重新傳送憑證申請訊息給註冊閘道器300。
憑證驗證模組280負責驗證裝置傳輸模組250所接收到的裝置憑證。在部分的實施例中,憑證驗證模組280可以判斷裝置憑證中所包含的根憑證是否正確,例如判斷根憑證是否來自憑證管理伺服器100,若是表示根憑證正確;憑證驗證模組280也可以判斷裝置憑證中所包含的裝置識別資料是否與網路裝置200相符,以及判斷裝置憑證中所包含的公鑰是否與請求處理模組220所產生之金鑰中的私鑰成對等,但憑證驗證模組280驗證裝置憑證之方式並不以上述為限。
憑證驗證模組280也負責儲存通過驗證的裝置憑證,藉以提供網路裝置200使用通過驗證的裝置憑證。其中,憑證驗證模組280可以將通過驗證的裝置憑證儲存在網路裝置200的特定目錄中,但本發明並不以此為限。另外,憑證驗證模組280也可以在裝置憑證通過驗證後,刪除請求處理模組220所產生的憑證申請訊息。
註冊閘道器300負責依據網路裝置所傳送的憑證申請訊息代替網路裝置200向憑證管理伺服器100申請裝置憑證,並將憑證管理伺服器100核發給網路裝置200的裝置憑證傳回網路裝置200。其中,註冊閘道器300可以如「第3圖」所示,包含儲存媒體310、閘道傳輸模組350、以及訊息處理模組370。在部
分的實施例中,註冊閘道器300更可以包含請求驗證模組360、以及憑證驗證模組380。
儲存媒體310負責儲存憑證管理伺服器100所提供之一閘道識別資料。
閘道傳輸模組350負責接收網路裝置200於憑證申請事件被觸發時所傳送的憑證申請訊息,並將訊息處理模組370所產生之憑證請求訊息以及儲存媒體310所儲存的閘道識別資料傳送到憑證管理伺服器100,使憑證管理伺服器100核發提供給網路裝置200使用的裝置憑證。
閘道傳輸模組350也負責接收憑證管理伺服器100所傳送之裝置憑證,並將所接收到的裝置憑證傳送到網路裝置200。
其中,閘道傳輸模組350可以在開始傳送憑證請求訊息到完整接收到裝置憑證的過程中,偵測與憑證管理伺服器100的連線狀態,並在偵測到與憑證管理伺服器100的連線異常時,通知訊息處理模組370。
請求驗證模組360可以對閘道傳輸模組350所接收到之憑證申請訊息進行憑證申請資格的檢核,並丟棄沒有通過憑證申請資格之檢核的憑證申請訊息。一般而言,請求驗證模組360可以判斷閘道傳輸模組350所接收到的憑證申請訊息是否確實由網路裝置200所傳送。請求驗證模組360也可以判斷憑證申請訊息中的使用者識別資料是否有效,例如,判斷使用者識別資料是否確實被註冊,或判斷該使用者是否完成付費程序等。請求驗證模組360還可以判斷網路裝置200所使用的網路位址是否被禁止憑證申請。甚至,請求驗證模組360還可以判斷憑證申請訊息中的網站名稱是否由使用者所註冊。但請求驗證模組360檢核憑證申請資格的方式並不以上述為限。
請求驗證模組360也可以依照憑證申請訊息中的使用者識別資料及/或裝置識別資料判斷網路裝置200的憑證申請狀態,並在憑證申請狀態表示網路裝置200處於憑證申請中之狀態時,進一步比對閘道傳輸模組350所接收到之憑證申請訊息與申請中之憑證申請訊息,當閘道傳輸模組350所接收到之憑證申請訊息與申請中之憑證申請訊息不同時,或是憑證申請狀態未表示網路裝置200處於憑證申請中之狀態時,驗證憑證申請訊息。一般而言,請求驗證模組360可以依據憑證申請訊息中之公鑰的簽章,使用預先設定的簽章演算法驗證憑證申請訊息中的公鑰,可以判斷憑證申請訊息中的網路裝置識別資料是否正確,可以判斷公鑰的長度是否正確,可以判斷公鑰品質,可以檢查公鑰是否已存在等。但請求驗證模組360驗證憑證申請訊息的方式並不以上述為限。
訊息處理模組370負責依據閘道傳輸模組350所接收到的憑證申請訊息產生憑證請求訊息,並儲存所產生的憑證請求訊息。在部分的實施例中,訊息處理模組370可以在每一次需要產生憑證請求訊息時,產生一個交易代碼,並將儲存媒體310所儲存之閘道識別資料、所產生之交易代碼、閘道傳輸模組350所接收到的憑證申請訊息包裝為交易訊息後,對交易訊息進行簽章,以及將交易訊息以及交易訊息的簽章作為憑證請求訊息。其中,訊息處理模組370可以使用預先設定的格式包裝產生交易訊息,可以使用預先設定的簽章演算法產生交易訊息的簽章。
實務上,訊息處理模組370包裝產生之交易訊息並不以閘道識別資料、交易代碼、憑證申請訊息為限,例如,訊息處理模組370還可以將依據憑證申請訊息中之使用者識別資料判斷出之裝置憑證的申請類型,及/或依據申請類型判斷出之裝置憑證的到期日包裝到交易訊息中。
另外,訊息處理模組370也可以在請求驗證模組360判斷網路裝置200處於憑證申請中之狀態,且閘道傳輸模組350所接收到之憑證申請訊息與申請中之憑證申請訊息相同時,繼續完成前次申請;訊息處理模組370也可以在請求驗證模組360判斷網路裝置200未處理憑證申請中之狀態,或判斷網路裝置200處於憑證申請中之狀態,且閘道傳輸模組350所接收到之憑證申請訊息與申請中之憑證申請訊息不同時,才依據憑證申請訊息產生憑證請求訊息。
此外,訊息處理模組370還可以在閘道傳輸模組350通知與憑證管理伺服器100之連線異常中斷時,讀取在產生後便被儲存的憑證請求訊息,並再次透過閘道傳輸模組350重新傳送憑證請求訊息到憑證管理伺服器100,使憑證管理伺服器依據憑證請求訊息中所包含之相同的交易代碼重新提供網路裝置200之裝置憑證給註冊閘道器300,而不會產生新的裝置憑證。
憑證驗證模組380可以驗證閘道傳輸模組350所接收到的裝置憑證。其中,憑證驗證模組380與網路裝置200中之憑證驗證模組280相似,可以使用判斷裝置憑證中所包含的根憑證是否正確、判斷裝置憑證中所包含的裝置識別資料是否與網路裝置200相符、判斷裝置憑證中所包含的公鑰是否與請求處理模組220所產生之金鑰中的私鑰成對等方式驗證裝置憑證,但本發明並不以此為限,例如,憑證驗證模組380還可以判斷裝置憑證中的憑證到期日是否與訊息處理模組370所判斷出之憑證到期日相符等。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第4A圖」本發明所提之自動完成憑證申請之方法流程圖。在本實施例中,假設憑證管理伺服器100被設置於憑證管理中心,網路裝置200為網路附加儲存(Network Attached Storage,NAS)裝置,被設置於使用者家中,註冊閘道器300
同樣由網路裝置200之開發廠商所製造,被設置於網路裝置200之開發廠商的機房中,但本發明並不以此為限,例如,註冊閘道器300也可以不為網路裝置200之開發廠商,且與憑證管理伺服器100一同被設置於憑證管理中心。
首先,憑證管理伺服器100可以提供閘道識別資料給註冊閘道器300(步驟402)。在本實施例中,假設網路裝置200之開發廠商在製造註冊閘道器300的過程中,透過憑證管理伺服器100取得核發給註冊閘道器300的閘道識別碼以及識別憑證,並定義識別憑證的有效期限、使用網域等相關資訊。
在使用者購買網路裝置200後,使用者可以操作電腦連線到註冊閘道器300註冊使用者識別資料以及網路裝置200所使用之網頁管理介面的網站名稱。
而後,在使用者希望為網路裝置200的網頁管理介面加入SSL,則使用者可以先操作電腦登入網路裝置200的網頁管理介面,並在網頁管理介面中觸發憑證申請事件,藉以讓網路裝置200的網頁管理介面啟用SSL。在本實施例中,假設使用者透過點擊「申請憑證」的網頁按鍵觸發憑證申請事件。
在憑證申請事件被觸發時,網路裝置200的請求處理模組220可以產生憑證申請訊息(步驟420)。在本實施例中,假設請求處理模組220會先要求使用者輸入密碼,在使用者輸入密碼後,請求處理模組220會產生RSA金鑰,並依照預設的AES-192-CBC加密演算法,使用使用者所輸入的密碼加密所產生的私鑰,並將加密後的私鑰以預設的PKCS#12格式儲存,之後,請求處理模組220會呼叫網路裝置200所提供的應用程式介面(Application Programming Interface,API),藉以取得網路裝置200之網頁管理介面的網站名稱以及網路裝置200的裝置識別資料,並使用所取得的網站名稱與裝置識別資料產生申請主
旨,例如,「OU=裝置識別資料,CN=網站名稱」,接著,請求處理模組220會使用預設的SHA256 with RSA簽章演算法為所產生的公鑰簽章,並使用PKCS#10,RFC2986之格式將所產生的申請主旨、公鑰、以及公鑰的簽章包裝為憑證申請請求(CSR)。而後,請求處理模組220會取得使用者識別資料,並將包含使用者識別資料、裝置識別資料、與網站名稱之身分驗證資料以及包含裝置識別資料、網站名稱、與憑證申請請求之憑證申請資料作為憑證申請訊息。
在網路裝置200的請求處理模組220產生憑證申請訊息(步驟420)後,網路裝置200的裝置傳輸模組250可以將請求處理模組220所產生的憑證申請訊息傳送到註冊閘道器300(步驟435)。
事實上,網路裝置200的請求處理模組220更可以如「第4B圖」之流程所示,在憑證申請事件被觸發時,判斷網路裝置200的憑證申請狀態是否表示憑證申請中(步驟411),若否,則請求處理模組220可以記錄憑證申請狀態為表示網路裝置200的憑證申請中,產生憑證申請訊息(步驟420),儲存所產生的憑證申請訊息,並由網路裝置200的裝置傳輸模組250將所產生的憑證申請訊息傳送到註冊閘道器300(步驟435);若是,也就是網路裝置200處於憑證申請中之狀態,則請求處理模組220可以讀取被儲存的憑證申請訊息,並由裝置傳輸模組250將所讀出之憑證申請訊息傳送到註冊閘道器300(步驟435)。
另外,為了確保確實是使用者進行憑證的申請,因此,網路裝置200的身分確認模組230可以在網路裝置200的請求處理模組220產生憑證申請訊息(步驟420)後,網路裝置200的裝置傳輸模組250傳送憑證申請訊息到註冊閘道器300(步驟435)前,驗證網路裝置200之使用者的使用者身分。在本實施例中,也就是要求使用者輸入網路管理介面的識別資料。
繼續回到「第4A圖」,在註冊閘道器300的閘道傳輸模組350接收到網路裝置200所傳送的憑證申請訊息後,註冊閘道器300的請求驗證模組360可以依據閘道傳輸模組350所接收到的憑證申請訊息檢核使用者的憑證申請資格(步驟440)。在本實施例中,假設請求驗證模組360會確認憑證申請訊息是由網路裝置200所發送,會依據憑證申請訊息之身分識別資料中的使用者識別資料判斷使用者的有效性,會依據身分識別資料中的使用者識別資料與網站名稱判斷網站名稱是否由使用者所註冊,會判斷網路裝置200所使用的網路位址是否被禁止等。
在註冊閘道器300的請求驗證模組360依據註冊閘道器300的閘道傳輸模組350所接收到的憑證申請訊息檢核使用者的憑證申請資格(步驟440)後,註冊閘道器300的訊息處理模組370可以依據閘道傳輸模組350所接收到的憑證申請訊息以及儲存於註冊閘道器300之儲存媒體310中的閘道識別資料產生憑證請求訊息(步驟460)。在本實施例中,訊息處理模組370會先產生一個交易代碼,並讀取至儲存媒體310中讀取閘道識別資料,以及由憑證請求訊息中讀取出憑證申請請求,之後,使用預設的RFC3852格式,將閘道識別資料、交易代碼、以及憑證請求訊息包裝為交易訊息,並使用預定的SHA256 with RSA簽章演算法產生交易訊息的簽章後,將交易訊息以及交易訊息的簽章作為憑證請求訊息。
事實上,註冊閘道器300的訊息處理模組370在依據憑證申請訊息以及閘道識別資料產生憑證請求訊息(步驟460)時,還可以如「第4C圖」之流程所示,先依據憑證申請訊息中之使用者識別資料判斷裝置憑證的申請類型(步驟462),並依據所判斷出之申請類型計算裝置憑證的到期日(步驟464)。
在本實施例中,若註冊閘道器300的訊息處理模組370會先依據使用者識別資料檢查是否存在相對應之有效的裝置憑證,並依據使用者識別資料判斷使用者的付費狀況,當不存在有效的裝置憑證,且付費狀況表示該使用者可申請新憑證,則訊息處理模組370可以判斷申請類型為「新申請」,否則訊息處理模組370會丟棄憑證申請訊息以拒絕使用者的憑證申請。而當註冊閘道器300的訊息處理模組370判斷存在有效的裝置憑證,且付費狀況表示該使用者可申請新憑證時,訊息處理模組370可以選出最新核發的裝置憑證,並進一步判斷被選出之裝置憑證是否即將到期,例如,判斷裝置憑證的有效期限是否小於預定日數,若是,則訊息處理模組370可以判斷申請類型為「更新」,而若存在有效的裝置憑證,且付費狀況未表示該使用者可申請新憑證,或被選出之裝置憑證尚未即將到期時,訊息處理模組370可以判斷申請類型為「更名」/「重發」。
當申請類型為「新申請」時,註冊閘道器300的訊息處理模組370可以假設新申請的裝置憑證為一年期,因此,訊息處理模組370會將當下之時間視為申請時間,並計算申請時間之一年後的日期作為到期日,例如,當申請時間為2013/12/27 20:39:47,則到期日為2014/12/27 23:59:59;當申請類型為「更新」時,訊息處理模組370可以依據裝置憑證的憑證序號查詢當前的到期日,若預期裝置憑證為一年期,則訊息處理模組370會將當前之到期日加算一年,並以加算後的日期作為新的到期日,例如,不論裝置憑證的申請時間為何,當裝置憑證當前的到期日為2013/12/27 23:59:59,則新的到期日為2014/12/27 23:59:59;而當申請類型為「更名」或「重發」時,訊息處理模組370可以依據裝置憑證的憑證序號查詢到期日,並以原本的到期日作為新裝置憑證的到期日。
在註冊閘道器300的訊息處理模組370依據憑證申請訊息中之使用者識別資料判斷裝置憑證的申請類型(步驟462),並依據所判斷出之申請類型計算裝置憑證的到期日(步驟464)後,訊息處理模組370可以將包含閘道識別資料、交易代碼、申請類型、預期到期日、以及憑證請求訊息包裝為交易訊息(步驟466),並在使用預定的簽章演算法產生交易訊息的簽章(步驟468)後,將交易訊息以及交易訊息的簽章作為憑證請求訊息,如此,訊息處理模組370便完成憑證請求訊息的產生(步驟460)。
事實上,在註冊閘道器300的訊息處理模組370依據憑證申請訊息以及閘道識別資料產生憑證請求訊息(步驟460)前,訊息處理模組370更可以如「第4D圖」之流程所示,先依據憑證申請訊息中之使用者識別資料判斷網路裝置200是否未完成憑證申請(步驟451),若是,則訊息處理模組370可以進一步判斷註冊閘道器300的閘道傳輸模組350所接收到的憑證申請訊息是否與網路裝置200前次申請憑證時所傳送的憑證申請訊息相同(步驟453),若是,表示網路裝置200與前次進行相同的憑證申請,訊息處理模組370會繼續完成前次之申請(步驟459),之後,註冊閘道器300的閘道傳輸模組350可以等待憑證管理伺服器100傳回所核發之裝置憑證,並可以將所接收到的裝置憑證傳回網路裝置200(步驟486)。
而若註冊閘道器300的訊息處理模組370判斷網路裝置200沒有未完成的憑證申請,或是判斷網路裝置200有未完成的憑證申請,但註冊閘道器300的閘道傳輸模組350所接收到的憑證申請訊息與網路裝置200前次申請憑證時所傳送的憑證申請訊息不同,則表示網路裝置200需要申請新的裝置憑證,此時,註冊閘道器300的請求驗證模組360可以驗證憑證申請訊息(步驟455),訊息處
理模組370可以在憑證申請訊息通過請求驗證模組360的驗證後,產生憑證請求訊息(步驟460)。其中,請求驗證模組360會使用預設的簽章演算法驗證憑證申請訊息中之憑證申請請求所包含的公鑰簽章,藉以判斷使用者擁有與公鑰對應的私鑰;請求驗證模組360也會判斷憑證申請請求之申請主旨的OU欄位與CN欄位的資料與裝置識別資料及提供網路裝置200之網頁管理介面的網站名稱相符,判斷憑證申請請求所包含之公鑰的長度是否正確,透過debian weak keys判斷金鑰的品質,以及判斷公鑰是否重複等。
繼續回到「第4A圖」,在註冊閘道器300的訊息處理模組370產生憑證請求訊息(步驟460)後,註冊閘道器300的閘道傳輸模組350可以將訊息處理模組370所產生的憑證請求訊息傳送到憑證管理伺服器100,並等待憑證管理伺服器100傳回所核發之裝置憑證(步驟470)。在本實施例中,假設閘道傳輸模組350如「第4E圖」之流程所示,在將憑證請求訊息傳送至憑證管理伺服器100(步驟471)時,會判斷與憑證管理伺服器100之間的連線是否異常中斷(步驟475),若是,則訊息處理模組370可以透過閘道傳輸模組350再次將所產生的憑證請求訊息發送到憑證管理伺服器100,或是由閘道傳輸模組350主動將訊息處理模組370所產生的憑證請求訊息再次發送到憑證管理伺服器100(步驟471),若否,則表示註冊閘道器300與憑證管理伺服器100之間的連線沒有中斷,在憑證管理伺服器100核發網路裝置200的裝置憑證後,閘道傳輸模組350可以接收到憑證管理伺服器100所傳回之網路裝置200的裝置憑證(步驟479)。
繼續回到「第4A圖」,在註冊閘道器300的閘道傳輸模組350將接收到憑證管理伺服器100所傳回的裝置憑證後,閘道傳輸模組350可以將所接收到的裝置憑證傳回網路裝置200(步驟486)。
實務上,在註冊閘道器300的閘道傳輸模組350將所接收到的裝置憑證傳回網路裝置200(步驟486)前,註冊閘道器300的憑證驗證模組380可以驗證所接收到的裝置憑證。在本實施例中,假設憑證驗證模組380可以依照預設的PKCS#7格式,由閘道傳輸模組350所接收到的裝置憑證中解析出根憑證、中繼憑證、與使用者憑證,並在使用預設的RFC5280格式解析各個憑證後,驗證裝置憑證的憑證鏈路,也就是串聯使用者憑證、中繼憑證至根憑證,藉以確認使用者憑證可以信賴,並確認根憑證是由憑證管理伺服器100所發出,之後,憑證驗證模組380可以比對使用者憑證中之申請主旨所包含的OU欄位與CN欄位的資料是否與憑證請求訊息中之憑證申請請求所包含的OU欄位與CN欄位的資料相符,並比對使用者憑證中之到期日是否與註冊閘道器300之訊息處理模組370所計算出的到期日相符,以及比對使用者憑證中的公鑰簽章是否與憑證請求訊息中之憑證申請請求所包含的公鑰簽章一致。
在註冊閘道器300之閘道傳輸模組350所接收到的裝置憑證通過註冊閘道器300之憑證驗證模組380的驗證後,閘道傳輸模組350便可以將通過驗證的裝置憑證傳送到網路裝置200。
在網路裝置200的裝置傳輸模組250接收到註冊閘道器300所傳送的裝置憑證後,網路裝置200的憑證驗證模組280可以驗證裝置傳輸模組250所接收到的裝置憑證(步驟491)。在本實施例中,假設憑證驗證模組280可以依照預設的PKCS#7格式,由裝置傳輸模組250所接收到的裝置憑證中解析出根憑證、中繼憑證、與使用者憑證,並在使用預設的RFC5280格式解析各個憑證後,驗證裝置憑證的憑證鏈路,也就是串聯使用者憑證、中繼憑證至根憑證,藉以確認使用者憑證可以信賴,並確認根憑證是由憑證管理伺服器100所發出,之
後,憑證驗證模組280可以比對使用者憑證中之申請主旨所包含的OU欄位與CN欄位的資料是否與憑證申請請求中之申請主旨所包含的OU欄位與CN欄位的資料相符,並比對使用者憑證中的公鑰是否與被網路裝置200之請求處理模組220產生並儲存的私鑰成對。
在網路裝置200之裝置傳輸模組250所接收到的裝置憑證通過網路裝置200之憑證驗證模組280驗證後,憑證驗證模組280可以儲存通過驗證的裝置憑證,使得網路裝置200可以開始使用裝置憑證(步驟495)。在本實施例中,假設憑證驗證模組280依據網頁管理介面的設定,將網路裝置200之請求處理模組220所產生的金鑰、裝置憑證中的使用者憑證與中繼憑證安裝到網路裝置200的網頁管理介面中,並刪除請求處理模組220先前所儲存憑證申請訊息。
如此,透過本發明,網路裝置200的使用者便可以僅在管理介面中觸發憑證申請事件,便可以完成網頁管理介面之憑證的安裝,使得網路裝置200提供SSL的連線。
綜上所述,可知本發明與先前技術之間的差異在於具有在憑證申請事件於網路裝置上被觸發後,由網路裝置產生憑證申請訊息,並將所產生的憑證申請訊息傳送至註冊閘道器,註冊閘道器在依據憑證申請訊息及閘道識別資料產生憑證請求訊息後,將憑證請求訊息傳送至憑證管理伺服器,並在憑證管理伺服器將所核發之裝置憑證傳回給註冊閘道器後,註冊閘道器傳送裝置憑證給網路裝置使用之技術手段,藉由此一技術手段可以解決先前技術所存在憑證申請流程需要使用者介入的問題,進而達成方便使用者申請憑證的技術功效。
再者,本發明之自動完成憑證申請之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
步驟402‧‧‧憑證管理伺服器提供閘道識別資料予註冊閘道器
步驟420‧‧‧網路裝置於憑證申請事件被觸發時產生憑證申請訊息
步驟435‧‧‧網路裝置傳送憑證申請訊息至註冊閘道器
步驟440‧‧‧註冊閘道器檢核憑證申請資格
步驟460‧‧‧註冊閘道器依據憑證申請訊息及閘道識別資料產生憑證請求訊息
步驟470‧‧‧註冊閘道器將憑證請求訊息傳送至憑證管理伺服器,並等待憑證管理伺服器傳回所核發之裝置憑證
步驟486‧‧‧註冊閘道器傳送裝置憑證至網路裝置
步驟491‧‧‧網路裝置驗證裝置憑證
步驟495‧‧‧網路裝置儲存並使用裝置憑證
Claims (10)
- 一種自動完成憑證申請之方法,該方法至少包含下列步驟:一憑證管理伺服器提供一閘道識別資料予一註冊閘道器;一網路裝置於一憑證申請事件被觸發時產生一憑證申請訊息;該網路裝置傳送該憑證申請訊息至該註冊閘道器;該註冊閘道器依據該憑證申請訊息及該閘道識別資料產生一憑證請求訊息;該註冊閘道器將該憑證請求訊息傳送至該憑證管理伺服器,並等待該憑證管理伺服器傳回所核發之一裝置憑證;該註冊閘道器傳送該裝置憑證至該網路裝置;及該網路裝置儲存並使用該裝置憑證。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該方法更包含該網路裝置判斷一憑證申請狀態,並於該憑證申請狀態未表示該網路裝置處於憑證申請中之狀態時,產生該憑證申請訊息,記錄該憑證申請狀態表示該網路裝置處於憑證申請中之狀態,並傳送該憑證申請訊息至該註冊閘道器,及於該憑證申請狀態表示該網路裝置處於憑證申請中之狀態時,直接傳送該憑證申請訊息至該註冊閘道器之步驟。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該方法於該註冊閘道器傳送該裝置憑證至該網路裝置之步驟前,及該網路裝置儲存並使用該裝置憑證之步驟前,更包含該註冊閘道器/該網路裝置判斷該裝置憑證中之一根憑證正確,判斷該裝置憑證中之一裝置識別資料與該網路裝置相符,及判斷該裝置憑證中之一公鑰與一私鑰成對之步驟。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該方法更包含該註冊閘道器依據該憑證申請訊息中之一使用者識別資料判斷該網路裝置之憑證申請狀態,並於該網路裝置未完成憑證申請,且該憑證申請訊息與未完成之申請的憑證申請訊息相同時,該註冊閘道器繼續完成前次申請,及於該網路裝置未完成憑證申請,且該憑證申請訊息與未完成之申請的憑證申請訊息不同時,依據該憑證申請訊息產生該憑證請求訊息之步驟。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該方法於該註冊閘道器依據該憑證申請訊息產生該憑證請求訊息之步驟前,更包含該註冊閘道器依據該憑證申請訊息中之一使用者識別資料判斷相對應之該裝置憑證之一申請類型,及計算該裝置憑證之到期日之步驟;該方法於該註冊閘道器依據該憑證申請訊息產生該憑證請求訊息之步驟前,更包含該註冊閘道器依據該憑證申請訊息中之一使用者識別資料判斷相對應之該裝置憑證之一申請類型,及計算該裝置憑證之到期日之步驟。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該方法於該註冊閘道器將該憑證請求訊息傳送至該憑證管理伺服器之步驟後,更包含判斷與該憑證管理伺服器之連線異常中斷時,重新傳送該憑證請求訊息,藉以透過該憑證請求訊息中所包含之一交易代碼向該憑證管理伺服器重新請求該裝置憑證之步驟。
- 如申請專利範圍第1項所述之自動完成憑證申請之方法,其中該網路裝置使用該裝置憑證之步驟為該網路裝置將該裝置憑證作為身分識別資料,或該網路裝置使用該裝置憑證提供網頁服務。
- 一種自動完成憑證申請之網路裝置,該網路裝置透過一註冊閘道器與一憑證管理伺服器連接,該網路裝置至少包含:一請求處理模組,用以於一憑證申請事件被觸發時產生一憑證申請訊息;一裝置傳輸模組,用以傳送該憑證申請訊息至該註冊閘道器,使該註冊閘道器依據該憑證申請訊息向該憑證管理伺服器請求核發一裝置憑證,及用以接收該註冊閘道器所傳回之該裝置憑證;及一憑證驗證模組,用以驗證該裝置憑證,並儲存通過驗證之該裝置憑證,藉以提供該網路裝置使用該通過驗證之裝置憑證。
- 一種自動完成憑證申請之註冊閘道器,用以連接一網路裝置及一憑證管理伺服器,該註冊閘道器至少包含:一儲存媒體,用以儲存該憑證管理伺服器所提供之一閘道識別資料;一閘道傳輸模組,用以接收該網路裝置於一憑證申請事件被觸發時所傳送之一憑證申請訊息;及一訊息處理模組,用以依據該憑證申請訊息及該閘道識別資料產生一憑證請求訊息;其中,該閘道傳輸模組更用以傳送該憑證請求訊息傳送至該憑證管理伺服器,使該憑證管理伺服器核發一裝置憑證,並將該憑證管理伺服器所傳回之該裝置憑證傳送到該網路裝置。
- 如申請專利範圍第9項所述之自動完成憑證申請之註冊閘道器,其中該訊息處理模組更用以依據該憑證申請訊息中之一使用者識別資料判斷相對應之該裝置憑證之一申請類型,及計算該裝置憑證之到期日;該訊息處理模 組更用以依據該憑證申請訊息中之一使用者識別資料判斷相對應之該裝置憑證之一申請類型,或計算該裝置憑證之到期日。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103125916A TWI533654B (zh) | 2014-07-29 | 2014-07-29 | 自動完成憑證申請之網路裝置、註冊閘道器及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW103125916A TWI533654B (zh) | 2014-07-29 | 2014-07-29 | 自動完成憑證申請之網路裝置、註冊閘道器及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201605219A TW201605219A (zh) | 2016-02-01 |
TWI533654B true TWI533654B (zh) | 2016-05-11 |
Family
ID=55809759
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW103125916A TWI533654B (zh) | 2014-07-29 | 2014-07-29 | 自動完成憑證申請之網路裝置、註冊閘道器及其方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI533654B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI775405B (zh) * | 2021-04-23 | 2022-08-21 | 臺灣網路認證股份有限公司 | 自動化網域驗證的憑證管理系統及其方法 |
-
2014
- 2014-07-29 TW TW103125916A patent/TWI533654B/zh active
Also Published As
Publication number | Publication date |
---|---|
TW201605219A (zh) | 2016-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7175269B2 (ja) | モノのインターネットデバイスの記録検証方法及び装置、ならびにid認証方法及び装置 | |
EP3665857B1 (en) | Blockchain architecture with record security | |
KR101780636B1 (ko) | 인증 정보의 발급 방법 및 이를 지원하는 블록체인기반 인증 정보 관리 서버 | |
WO2020062668A1 (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
WO2018059334A1 (zh) | 区块链网络、分支节点、区块链网络应用方法及存储介质 | |
US8261080B2 (en) | System and method for managing digital certificates on a remote device | |
US10708047B2 (en) | Computer-readable recording medium storing update program and update method, and computer-readable recording medium storing management program and management method | |
JP2005537559A (ja) | トランザクションの安全な記録 | |
JP6609788B1 (ja) | 情報通信機器、情報通信機器用認証プログラム及び認証方法 | |
CN103200176A (zh) | 一种基于银行独立通信渠道的认证方法、装置及系统 | |
CN111160909B (zh) | 区块链供应链交易隐藏静态监管系统及方法 | |
CN110189184B (zh) | 一种电子发票存储方法和装置 | |
CN113312664B (zh) | 用户数据授权方法及用户数据授权系统 | |
CN100527144C (zh) | 一种在数字版权管理中实现准确计费的方法及装置 | |
JP2013179419A (ja) | ネットワークシステム、証明書管理方法及び証明書管理プログラム | |
JP2003150735A (ja) | 電子証明書システム | |
JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
TWI533654B (zh) | 自動完成憑證申請之網路裝置、註冊閘道器及其方法 | |
JP6199506B2 (ja) | 複数のサービスシステムを制御するサーバシステム及び方法 | |
WO2014038034A1 (ja) | 情報処理システム,情報処理方法,プログラム | |
TWI646480B (zh) | 結合區塊鏈的憑證發行與驗證之系統及其方法 | |
US20160164677A1 (en) | Selective revocation of certificates | |
CN102882882B (zh) | 一种用户资源授权方法 | |
TWI698113B (zh) | 電子裝置之認證方法及系統 | |
KR101118424B1 (ko) | 인증서 자동갱신 처리 시스템 |