TWI600308B - 以有效憑證線上申請行動憑證之系統及其方法 - Google Patents
以有效憑證線上申請行動憑證之系統及其方法 Download PDFInfo
- Publication number
- TWI600308B TWI600308B TW104113883A TW104113883A TWI600308B TW I600308 B TWI600308 B TW I600308B TW 104113883 A TW104113883 A TW 104113883A TW 104113883 A TW104113883 A TW 104113883A TW I600308 B TWI600308 B TW I600308B
- Authority
- TW
- Taiwan
- Prior art keywords
- voucher
- client
- data
- server
- credential
- Prior art date
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
一種憑證申請系統及其方法,特別係指一種以有效憑證線上申請行動憑證之系統及其方法。
電子憑證,又稱為數位憑證,是一種用於電腦系統的身分識別機制。電子憑證是身份認證機構加在數位身份證上的一個簽名,這一行為表示身份認證機構已認定擁有數位身分證的使用者。電子憑證是一個或一組電腦檔案,其中記載了擁有人的身份資料及一組公開密碼匙。電子憑證的擁有人可向電腦系統認證自己的身分,從而存取或使用某一特定的電腦服務。
近年來因為網路安全漸受重視,故使用電子憑證的需求越來越高。然而,目前電子憑證往往需要申請人攜帶身分證明文件親自到申請電子憑證之業務的櫃檯辦理,藉以確認電子憑證之申請人的身分,這對於電子憑證的申請人而言並不方便,連帶造成電子憑證不易普及。
綜上所述,可知先前技術中長期以來一直存在申請電子憑證需要確認申請人身分導致申請人需要親自臨櫃而造成申請人不便的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在申請電子憑證需要確認申請人身分導致申請人需要親自臨櫃而造成不便的問題,本發明遂揭露一種以有效憑證線上申請行動憑證之系統及其方法,其中:
本發明所揭露之以有效憑證線上申請行動憑證之系統,至少包含:第一客戶端,用以提供有效憑證;驗證伺服器;註冊伺服器,用以透過驗證伺服器驗證有效憑證,並透過驗證伺服器取得與有效憑證對應之申請者資料,並提供輸入驗證資料,及用以接收第一客戶端使用有效憑證對憑證申請資料簽章所產生之憑證申請簽章,其中,憑證申請資料包含申請者資料及驗證資料;第二客戶端,用以提供輸入確認資料及憑證請求檔;憑證管理伺服器,用以接收註冊伺服器傳送之憑證申請資料及憑證申請簽章,並依據憑證申請簽章驗證憑證申請資料,判斷第二客戶端所傳送之確認資料與憑證申請資料相符時,依據第二客戶端所傳送之憑證請求檔產生行動憑證,並傳送行動憑證至第二客戶端。
本發明所揭露之以有效憑證線上申請行動憑證之方法,其步驟至少包括:註冊伺服器接收第一客戶端所提供之有效憑證;註冊伺服器透過驗證伺服器驗證有效憑證;當有效憑證通過驗證時,註冊伺服器透過驗證伺服器取得與有效憑證對應之申請者資料,並提供輸入驗證資料;註冊伺服器接收第一客戶端使用有效憑證對憑證申請資料(包含申請者資料及驗證資料)簽章所產生之憑證申請簽章,並傳送憑證申請資料及憑證申請簽章至憑證管理伺服器;憑證管理伺服器依據憑證申請簽章驗證憑證申請資料;當憑證申請資料通過驗證時,憑證管理伺服器依據憑證申請資料產生行動憑證之註冊資料;第二客戶端提供輸入確認資料,並傳送憑證請求檔及確認資料至憑證管理伺服器;憑證管理伺服器判斷確認資料與憑證申請資料相符時,依據憑證請求檔產生行動憑證,並傳送行動憑證至第二客戶端。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過客戶端所提供之有效憑證通過驗證伺服器之驗證後,由註冊伺服器確認申請者資料並產生包含申請者資料及驗證資料的憑證申請資料以及相對應的憑證申請簽章,憑證管理伺服器依據憑證申請簽章成功驗證憑證申請資料後,依據憑證申請資料產生行動憑證之註冊資料,並在判斷相同或不同客戶端所傳送的確認資料與憑證申請資料相符時,將所產生之行動憑證傳送給傳送確認資料的客戶端,藉以解決先前技術所存在的問題,並可以達成方便電子憑證申請的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以提供申請人使用所持有之有效憑證申請行動憑證,並在完成行動憑證的申請後,使用在申請行動憑證之過程中所輸入的申請人資料與驗證資料下載所申請的行動憑證。其中,本發明所提之有效憑證為可以當下通過憑證驗證伺服器(Validation Authority, VA)驗證的憑證,包含但不限於金融憑證、自然人憑證、工商憑證等。
另外,本發明所提之申請者資料包含但不限於申請人姓名、申請人身分證號、申請人識別資料、及/或通訊資料等可以辨識申請人身分的資料;本發明所提之驗證資料為可以驗證申請人身分的資料,例如,認證碼及/或驗證密碼等,但本發明並不以此為限,其中,通訊資料包含但不限於電子郵件地址、手機號碼等。
以下先以「第1A圖」本發明所提之以有效憑證線上申請行動憑證之第一種系統架構圖來說明本發明的系統運作。如「第1A圖」所示,本發明之系統含有第一客戶端110a、第二客戶端110b、註冊伺服器130、驗證伺服器140、以及憑證管理伺服器160。
第一客戶端110a可以是電腦,也可以是行動裝置,但本發明並不以此為限。
第一客戶端110a可以提供輸入申請者資料及驗證資料。一般而言,第一客戶端110a可以與註冊伺服器130連接,並可以顯示能夠進行行動憑證之申請程序的使用者介面、顯示輸入申請者資料的使用者介面、以及顯示輸入申請者資料及驗證資料的使用者介面。第一客戶端110a所顯示之一個或多個使用者介面的內容可以預先儲存在第一客戶端110a中,也可以接收自註冊伺服器130,本發明並沒有特別的限制。
其中,上述能夠進行行動憑證之申請程序的使用者介面可以包含畫面變更物件,例如按鍵(button)或連結(link)等,但本發明並不以此為限。當畫面變更物件被點擊時,第一客戶端110a可以由當前的使用者介面切換為顯示申請行動憑證的起始畫面。
第一客戶端110a也負責依據有效憑證登入註冊伺服器130。一般而言,第一客戶端110a所儲存的有效憑證可以為驗證伺服器140所接受,使得第一客戶端110a可以使用有效憑證登入註冊伺服器130,但本發明並不以此為限。
第一客戶端110a還負責使用登入註冊伺服器130之有效憑證對與註冊伺服器130所產生之憑證申請資料進行簽章,藉以產生與憑證申請資料相對應的憑證申請簽章。
第二客戶端110b通常是行動裝置,例如智慧型手機、平板電腦等,但本發明並不以此為限。
第二客戶端110b負責提供輸入在行動憑證之申請過程中被輸入的申請人資料與驗證資料。在本發明中,第二客戶端110b提供輸入之申請人資料與驗證資料被稱為「確認資料」。第二客戶端110b可以顯示輸入確認資料的使用者介面,藉以提供在被顯示的使用者介面中輸入確認資料。第二客戶端110b提供輸入之確認資料可以包含全部或部份的申請人資料及/或全部或部份的驗證資料,例如,確認資料可以包含申請人識別資料、通訊資料及驗證密碼,也可以只有申請人識別資料與驗證密碼,但本發明並不以此為限。
第二客戶端110b負責傳送被輸入的確認資料及被產生的憑證請求檔至憑證管理伺服器160。一般而言,被第二客戶端110b所產生的憑證請求檔包含第二客戶端110b所產生之金鑰對中的公鑰、使用所產生之金鑰對中之私鑰產生的簽章、以及所產生之金鑰對的使用者資訊。
第二客戶端110b也可以接收憑證管理伺服器160所傳送的行動憑證。一般而言,第二客戶端110b中可以安裝憑證管理程式,憑證管理程式可以儲存並管理第二客戶端110b所下載的行動憑證。
在部分的實施例中,第二客戶端110b可以接收憑證管理伺服器160透過驗證資料包含之通訊資料所傳送的下載資訊,並依據所接收到的下載資訊至憑證管理伺服器160或其他伺服器(圖中未示)下載並安裝憑證管理程式。其中,第二客戶端110b所接收到的下載資訊為可以使第二客戶端110b下載憑證管理程式的資料,例如憑證管理程式的下載連結(link)、引導第二客戶端110b開啟憑證管理程式之下載畫面的二維條碼或QR code等,但本發明並不以此為限。
另外,在部分的實施例中,第二客戶端110b可以執行憑證管理程式,並透過所執行之憑證管理程式提供輸入確認資料、產生憑證請求檔、傳送確認資料及憑證請求檔至憑證管理伺服器160、以及接收並儲存憑證管理伺服器160所傳回的行動憑證。
註冊伺服器130負責接收第一客戶端110a所傳送之有效憑證。在部分的實施例中,註冊伺服器130可以將提供有效憑證的使用者介面傳送到第一客戶端110a顯示。
註冊伺服器130也負責透過驗證伺服器140驗證有效憑證。
註冊伺服器130也可以提供第一客戶端110a輸入申請者資料以及驗證資料。在部份的實施例中,註冊伺服器130可以傳送輸入申請者資料的使用者介面與驗證資料的使用者介面至第一客戶端110a顯示,藉以提供第一客戶端110a在所顯示的使用者介面中輸入申請者資料與驗證資料,並接收第一客戶端110a所傳送的申請者資料與驗證資料。其中,註冊伺服器130可以傳送一個提供輸入申請者資料與驗證資料的使用者介面至第一客戶端110a,或是分別傳送提供輸入申請者資料與驗證資料的不同使用者介面至第一客戶端110a。
註冊伺服器130也負責依據接收自第一客戶端110a的申請者資料及驗證資料產生憑證申請資料,一般而言,註冊伺服器130可以組合申請者資料與驗證資料作為憑證申請資料,或是組合申請者資料、驗證資料、以及其他資料作為憑證申請資料,但本發明並不以此為限。也就是說,本發明所提之憑證申請資料至少包含申請者資料與驗證資料。
在部分的實施例中,註冊伺服器130中可以包含註冊模組131,但本發明並不以此為限。在註冊模組131被註冊伺服器130執行後,可以取得申請者資料與驗證資料,並產生憑證申請資料,以及引導第一客戶端110a產生憑證申請簽章。
驗證伺服器140負責驗證註冊伺服器130所接收到的有效憑證,並可以在註冊伺服器130所接收到的有效憑證通過驗證後,取得與有效憑證相對應的申請者資料。一般而言,驗證伺服器140即為憑證驗證伺服器。
憑證管理伺服器160負責接收註冊伺服器130所傳送的憑證申請資料以及憑證申請簽章,並依據接收到之憑證申請簽章驗證接收到之憑證申請資料。
憑證管理伺服器160也負責在憑證申請資料通過驗證後,依據通過驗證的憑證申請資料產生行動憑證之註冊資料。
在部分的實施例中,憑證管理伺服器160可以在憑證申請資料通過驗證後,依據通過驗證之憑證申請資料所包含的通訊資料傳送憑證管理程式的下載資訊至第二客戶端110b,藉以提供第二客戶端110b下載憑證管理程式。其中,憑證管理伺服器160傳送憑證管理程式之下載資訊的方式隨著通訊資料的不同有所不同,例如,當通訊資料為申請人的電子郵件地址時,憑證管理伺服器160可以將下載資訊以電子郵件傳送給申請人(通常也就是第二客戶端110b的使用者),使得申請人可以依據所接收到之電子郵件中的下載資訊操作第二客戶端110b將管理程式下載到第二客戶端110b安裝,如拍攝QR code等;而若通訊資料為申請人的手機號碼時,憑證管理伺服器160可以將下載資訊以簡訊傳送給申請人,使得申請人可以依據所接收到之簡訊中的下載資訊操作第二客戶端110b下載並安裝管理程式,如點擊下載連結。
另外,在部分的實施例中,憑證管理伺服器160可以接收第二客戶端110b所傳送的憑證請求檔及確認資料,並判斷所接收到的確認資料與註冊伺服器130所傳送的憑證申請資料是否相符。當憑證管理伺服器160判斷所接收到的確認資料與註冊伺服器130所傳送的憑證申請資料相符時,可以產生與憑證請求檔相對應的行動憑證,並依據憑證申請資料傳送所產生之行動憑證至第二客戶端110b。
其中,憑證管理伺服器160可以分別比對確認資料所包含的項目與憑證申請資料所包含之對應項目是否相同。當憑證管理伺服器160對確認資料與憑證申請資料所比對之項目的資料都相同時,憑證管理伺服器160可以判斷確認資料與憑證申請資料相符;而若有任何一個進行比對之項目的資料不完全相同,則憑證管理伺服器160可以判斷確認資料與憑證申請資料不相符。例如,若確認資料包含申請人姓名與申請人身分證號等申請者資料、手機號碼與電子郵件地址等通訊資料、以及驗證密碼時,憑證管理伺服器160可以分別比對確認資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址及驗證密碼與憑證申請資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址及驗證密碼,並在確認資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址及驗證密碼都與憑證申請資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址及驗證密碼都相同時,才可以判斷確認資料與憑證申請資料相符;而若確認資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址與憑證申請資料所包含的申請人姓名、申請人身分證號、手機號碼、電子郵件地址及驗證密碼有任何一項不同,則憑證管理伺服器160可以判斷確認資料與憑證申請資料不相符。另外,憑證管理伺服器160也可以依據憑證請求檔中的使用者資訊判斷憑證請求檔中之公鑰的使用者是否經過註冊,以及依據憑證請求檔中之公鑰與憑證請求檔中之簽章判斷憑證請求檔是否為確實憑證請求檔中之公鑰的使用者所發出。
在部分的實施例中,憑證管理伺服器160也可以判斷傳送憑證管理程式的下載資訊至第二客戶端110b的時間與接收到第二客戶端110b所傳送之確認資料的時間之時間差是否符合預定值,也就是判斷產生行動憑證之註冊資料的時間與接收到第二客戶端110b所傳送之確認資料的時間之時間差是否符合預定值,並在時間差符合預定值時,才會產生行動憑證。
以下再以「第1B圖」本發明所提之以有效憑證線上申請行動憑證之第二種系統架構圖來說明本發明的系統運作。如「第1B圖」所示,本發明之系統含有客戶端110、入口伺服器120、註冊伺服器130、驗證伺服器140、以及憑證管理伺服器160。
「第1B圖」中之客戶端110的運作與「第1A圖」中之第一客戶端110a與第二客戶端110b大部份相同。也就是說,客戶端110可以顯示能夠進行行動憑證之申請程序的使用者介面以及在申請行動憑證的過程中顯示輸入申請者資料與驗證資料的使用者介面,也負責提供輸入確認資料與產生憑證請求檔,並將被輸入的確認資料及被產生的憑證請求檔傳送到憑證管理伺服器160,以及接收憑證管理伺服器160所傳回的行動憑證。另外,客戶端110也可以接收憑證管理伺服器160透過驗證資料包含之通訊資料所傳送的下載資訊,並依據所接收到的下載資訊至憑證管理伺服器160或其他伺服器下載並安裝憑證管理程式。
與「第1A圖」中之第一客戶端110a與第二客戶端110b都不同的是,客戶端110不會直接將有效憑證傳送到註冊伺服器130,而是先與入口伺服器120連接,再依據入口伺服器120的引導,將有效憑證傳送到註冊伺服器130。其中,入口伺服器120可以傳送將有效憑證傳送到註冊伺服器130的指示給客戶端110,使得客戶端110依據所所接收到的指示與註冊伺服器130連接,並傳送有效憑證,但本發明並不以此為限,在部分的實施例中,入口伺服器120也可能直接將客戶端110導向到註冊伺服器130。
另外,在部分的實施例中,客戶端110可以執行合作應用程式,合作應用程式在被客戶端110執行後,可以顯示能夠進行行動憑證之申請程序的使用者介面。
在部分的實施例中,若存在多個合作目標所提供的註冊伺服器130,則入口伺服器120可以將選擇使用合作目標之服務的使用者介面提供給客戶端110顯示,使得客戶端110可以與被選擇之合作目標相對應的註冊伺服器130連接,並傳送有效憑證。例如,有兩台註冊伺服器130,其中一台提供證券交易管理的服務,另一台提供繳稅的服務,入口伺服器120提供給客戶端110的使用者介面可以包含與證券交易管理對應的物件以及與繳稅對應的物件,當提供選擇證券交易管理或繳稅的物件被客戶端110選擇時,入口伺服器120可以依據客戶端110選擇選擇證券交易管理或繳稅的物件而將有效憑證傳送到提供證券交易管理之服務或繳稅服務的註冊伺服器130。
註冊伺服器130、驗證伺服器140、憑證管理伺服器160均與「第1A圖」中之註冊伺服器130、驗證伺服器140、憑證管理伺服器160相似,故不再詳加描述。
另外,本發明所提之系統架構也可以如「第1C圖」所示,在「第1C圖」,客戶端110被分為第二客戶端110b與第三客戶端110c兩個裝置,其中,第二客戶端110b與「第1A圖」中的第二客戶端110b相同。但第三客戶端110c則可以先與入口伺服器120連接,再依據入口伺服器120的引導,將有效憑證傳送到註冊伺服器130,以及可以顯示能夠進行行動憑證之申請程序的使用者介面以及顯示在申請行動憑證的過程中顯示輸入驗證資料的使用者介面。
入口伺服器120、註冊伺服器130、驗證伺服器140、憑證管理伺服器160均與「第1B圖」中之入口伺服器120、註冊伺服器130、驗證伺服器140、憑證管理伺服器160相似,故不再詳加描述。
接著以一個實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之以有效憑證線上申請行動憑證之方法流程圖。在本實施例中,假設第一客戶端110a為個人電腦,註冊伺服器130為網頁伺服器,但本發明所提之第一客戶端110a與註冊伺服器130並不以上述為限。
當使用者操作第一客戶端110a瀏覽註冊伺服器130所提供的網頁時,若註冊伺服器130所提供的網頁中包含申請行動憑證的按鍵或連結,且使用者操作第一客戶端點擊(click)申請行動憑證的按鍵或連結後,第一客戶端110a可以讀取使用者的有效憑證,並將所讀出的有效憑證傳送到註冊伺服器130。
在註冊伺服器130接收到第一客戶端110a所提供的有效憑證(步驟210)後,註冊伺服器130可以透過驗證伺服器140驗證有效憑證(步驟221)。
在驗證伺服器140驗證註冊伺服器130所接收到的有效憑證後,可以將驗證結果傳回註冊伺服器130,註冊伺服器130可以依據驗證伺服器140所傳送的驗證結果判斷有效憑證是否通過驗證(步驟225)。若註冊伺服器130判斷所接收到的有效憑證沒有通過驗證伺服器140的驗證,則註冊伺服器130將不會進行後續動作,使得申請行動憑證的程序結束。
而若註冊伺服器130所接收到的有效憑證通過驗證伺服器140的驗證,則註冊伺服器130可以提供第一客戶端110a輸入申請者資料以及驗證資料(步驟230)。在本實施例中,假設註冊伺服器130提供輸入的申請者資料與驗證資料包含使用者的姓名、身分證號、電子郵件帳號、手機號碼、驗證密碼。
在註冊伺服器130提供第一客戶端110a輸入申請者資料與驗證資料(步驟230)後,第一客戶端110a可以使用先前傳送到註冊伺服器130的有效憑證對包含申請者資料及驗證資料之憑證申請資料簽章以產生憑證申請簽章(步驟240),並將所產生之憑證申請簽章傳送給註冊伺服器130。在本實施例中,假設註冊伺服器130中執行有註冊模組131,註冊模組131可以接收驗證伺服器140所傳送的申請者資料以及接收第一客戶端110a所傳送的驗證資料,並使用所接收到的申請者資料、驗證資料、以及其他資料組成憑證申請資料,接著,第一客戶端110a可以使用通過驗證伺服器140驗證的有效憑證對註冊模組131所組成的憑證申請資料進行簽章的運算,如此,第一客戶端110a在完成簽章運算後,可以產生與憑證申請資料相對應的憑證申請簽章,並將所產生的憑證申請簽章傳送到註冊模組131,之後,註冊模組131便可以將所產生的憑證申請資料以及憑證申請簽章傳送到憑證管理伺服器160。
在憑證管理伺服器160接收到註冊伺服器130所傳送的憑證申請資料以及憑證申請簽章(步驟249)後,憑證管理伺服器160可以依據憑證申請簽章對憑證申請資料進行驗證(步驟251),並在驗證後產生相對應的驗證結果。
憑證管理伺服器160可以依據所產生的驗證結果判斷憑證申請資料是否通過驗證(步驟255)。若憑證申請資料沒有通過憑證管理伺服器160的驗證,則憑證管理伺服器160將不會進行後續動作,使得申請行動憑證的程序結束。
而若憑證管理伺服器160判斷憑證申請資料通過驗證,則憑證管理伺服器160可以依據憑證申請資料產生行動憑證的註冊資料(步驟260),並依據憑證申請資料或註冊資料中的通訊資料傳送憑證管理程式的下載資訊給使用者。在本實施例中,假設憑證管理伺服器160可以依據憑證申請資料中的電子郵件地址透過電子郵件傳送憑證管理程式的下載連結與下載QR code給使用者,使用者可以操作第一客戶端110a下載並讀取憑證管理伺服器160所傳送的電子郵件,藉以取得憑證管理程式的下載連結或下載QR code,或操作第二客戶端110b依據使用者所取得的下載連結下載憑證管理程式或操作第二客戶端110b拍攝下載QR code後進入憑證管理程式的下載畫面;憑證管理伺服器160也可以依據憑證申請資料中的手機號碼(通訊資料)透過簡訊傳送憑證管理程式的下載連結或下載QR code至第二客戶端110b,使得第二客戶端110b可以依據所接收到之簡訊中的下載連結或下載QR code下載憑證管理程式。
在第二客戶端110b下載並安裝憑證管理程式後,憑證管理程式可以透過第二客戶端110b提供輸入確認資料,並產生憑證請求檔,以及將被輸入的確認資料及被產生的憑證請求檔傳送到憑證管理伺服器160(步驟280)。在本實施例中,假設憑證管理程式可以如「第2B圖」之流程所示,先提供使用者輸入在申請過程中所輸入的身份證號,並可以透過第二客戶端110b將被輸入的身份證號傳送至憑證管理伺服器160(步驟282),憑證管理伺服器160判斷所接收到的身份證號存在於所產生的註冊資料中時,可以依據具有身份證號之註冊資料所包含的通訊資料傳送認證碼給使用者(步驟284),使得使用者可以將認證碼與申請過程中所輸入的驗證密碼輸入至憑證管理程式,憑證管理程式可以再次透過第二客戶端110b將被輸入的認證碼與驗證密碼傳送至憑證管理伺服器160(步驟286)。
繼續回到「第2A圖」,在第二客戶端110b將確認資料及憑證請求檔傳送到憑證管理伺服器160(步驟280)後,憑證管理伺服器160可以判斷所接收到的確認資料是否與註冊資料相符(步驟291)。在本實施例中,假設第二客戶端110b提供使用者所輸入的確認資料包含使用者認證碼及確認密碼,憑證管理伺服器160可以在所產生之註冊資料中搜尋,藉以搜尋出包含與所接收到之確認資料中所包含之使用者識別資料的註冊資料,並比對所搜尋出之註冊資料所包含的認證碼、驗證密碼是否與確認資料中所包含的認證碼、確認密碼相同,若否,憑證管理伺服器160將不會進行後續動作,也就是不會將行動憑證提供給第二客戶端110b。
而若被搜尋出之註冊資料所包含的認證碼、驗證密碼與確認資料中所包含的認證碼、確認密碼相同,則憑證管理伺服器160可以判斷所接收到的確認資料與註冊資料相符,並可以依據被接收到之憑證請求檔中的公鑰產生行動憑證,以及將所產生的行動憑證提供給第二客戶端110b(步驟295)。
第二客戶端110b在接收到憑證管理伺服器160所傳送的行動憑證後,可以儲存所接收到的行動憑證。在本實施例中,假設第二客戶端110b是透過所執行的管理程式儲存並管理所接收到的行動憑證。如此,透過本發明,使用者便可以使用有效憑證申請行動憑證,無須再次臨櫃才能申請行動憑證。
在上述的實施例中,若第一客戶端110a與第二客戶端110b是相同的裝置,假設是智慧型手機(客戶端110),但本發明並不以為限。
則在客戶端110執行應用程式時,被執行之應用程式顯示包含申請行動憑證的按鍵或連結,且使用者操作客戶端110點擊(click)申請行動憑證的按鍵或連結後,如「第2C圖」之流程所示,客戶端110所執行的應用程式可以連線到入口伺服器120(步驟211)。
接著,入口伺服器120可以引導客戶端110讀取使用者的有效憑證,並將所讀出的有效憑證傳送到註冊伺服器130(步驟215),使得註冊伺服器130可以接收到客戶端110所提供的有效憑證(步驟210)。
在上述的實施例中,若入口伺服器120與多個註冊伺服器130連接,在入口伺服器120引導客戶端110將有效憑證傳送到註冊伺服器130(步驟215)前,入口伺服器120可以提供客戶端110選擇一個註冊伺服器130。例如,假設入口伺服器120為網頁伺服器,且入口伺服器120與提供稅務服務的註冊伺服器130以及可以提供股務服務的註冊伺服器130連接,則在客戶端110與入口伺服器120連接後,入口伺服器120可以將選擇稅務服務或股務服務之註冊伺服器130的網頁傳送至客戶端110,使客戶端110的使用者選擇與客戶端110傳送之有效憑證對應的註冊伺服器130為稅務服務或股務服務之註冊伺服器130,並依據客戶端110之使用者的選擇,引導客戶端110與被選擇的註冊伺服器130連接。
綜上所述,可知本發明與先前技術之間的差異在於具有客戶端所提供之有效憑證通過驗證伺服器之驗證後,由註冊伺服器產生包含申請者資料及驗證資料的憑證申請資料以及由客戶端簽署之與憑證申請資料相對應的憑證申請簽章,憑證管理伺服器依據憑證申請簽章成功驗證憑證申請資料後,依據憑證申請資料產生行動憑證之註冊資料,並在判斷相同或不同客戶端所傳送的確認資料與憑證申請資料相符時,將依客戶端所傳送的憑證請求檔所產生的行動憑證傳送給傳送確認資料與憑證請求檔的客戶端之技術手段,藉由此一技術手段可以解決先前技術所存在申請電子憑證需要確認申請人身分導致申請人需要親自臨櫃而造成申請人不便的問題,進而達成方便電子憑證申請的技術功效。
再者,本發明之以有效憑證線上申請行動憑證之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110‧‧‧客戶端
110a‧‧‧第一客戶端
110b‧‧‧第二客戶端
110c‧‧‧第三客戶端
120‧‧‧入口伺服器
130‧‧‧註冊伺服器
131‧‧‧註冊模組
140‧‧‧驗證伺服器
160‧‧‧憑證管理伺服器
步驟210‧‧‧註冊伺服器接收第一客戶端所提供之有效憑證
步驟211‧‧‧第一客戶端連線至入口伺服器
步驟215‧‧‧入口伺服器引導第一客戶端傳送有效憑證至註冊伺服器
步驟221‧‧‧註冊伺服器透過驗證伺服器驗證有效憑證
步驟225‧‧‧註冊伺服器判斷有效憑證是否通過驗證
步驟230‧‧‧註冊伺服器提供第一客戶端輸入申請人資料及驗證資料
步驟240‧‧‧註冊伺服器接收第一客戶端使用有效憑證對憑證申請資料簽章所產生之憑證申請簽章
步驟249‧‧‧憑證管理伺服器接收註冊伺服器傳送之憑證申請資料及憑證申請簽章
步驟251‧‧‧憑證管理伺服器依據憑證申請簽章驗證憑證申請資料
步驟255‧‧‧憑證管理伺服器判斷憑證申請資料是否通過驗證
步驟260‧‧‧憑證管理伺服器依據憑證申請資料產生行動憑證之註冊資料
步驟280‧‧‧第二客戶端提供輸入確認資料,並傳送確認資料及憑證請求檔至憑證管理伺服器
步驟282‧‧‧第二客戶端傳送身分識別資料至憑證管理伺服器
步驟284‧‧‧憑證管理伺服器傳送認證碼至第二客戶端
步驟286‧‧‧第二客戶端傳送認證碼與驗證密碼至憑證管理伺服器
步驟291‧‧‧憑證管理伺服器判斷確認資料是否與憑證申請資料相符
步驟295‧‧‧憑證管理伺服器傳送依據憑證請求檔產生之行動憑證至第二客戶端
110a‧‧‧第一客戶端
110b‧‧‧第二客戶端
110c‧‧‧第三客戶端
120‧‧‧入口伺服器
130‧‧‧註冊伺服器
131‧‧‧註冊模組
140‧‧‧驗證伺服器
160‧‧‧憑證管理伺服器
步驟210‧‧‧註冊伺服器接收第一客戶端所提供之有效憑證
步驟211‧‧‧第一客戶端連線至入口伺服器
步驟215‧‧‧入口伺服器引導第一客戶端傳送有效憑證至註冊伺服器
步驟221‧‧‧註冊伺服器透過驗證伺服器驗證有效憑證
步驟225‧‧‧註冊伺服器判斷有效憑證是否通過驗證
步驟230‧‧‧註冊伺服器提供第一客戶端輸入申請人資料及驗證資料
步驟240‧‧‧註冊伺服器接收第一客戶端使用有效憑證對憑證申請資料簽章所產生之憑證申請簽章
步驟249‧‧‧憑證管理伺服器接收註冊伺服器傳送之憑證申請資料及憑證申請簽章
步驟251‧‧‧憑證管理伺服器依據憑證申請簽章驗證憑證申請資料
步驟255‧‧‧憑證管理伺服器判斷憑證申請資料是否通過驗證
步驟260‧‧‧憑證管理伺服器依據憑證申請資料產生行動憑證之註冊資料
步驟280‧‧‧第二客戶端提供輸入確認資料,並傳送確認資料及憑證請求檔至憑證管理伺服器
步驟282‧‧‧第二客戶端傳送身分識別資料至憑證管理伺服器
步驟284‧‧‧憑證管理伺服器傳送認證碼至第二客戶端
步驟286‧‧‧第二客戶端傳送認證碼與驗證密碼至憑證管理伺服器
步驟291‧‧‧憑證管理伺服器判斷確認資料是否與憑證申請資料相符
步驟295‧‧‧憑證管理伺服器傳送依據憑證請求檔產生之行動憑證至第二客戶端
第1A圖為本發明所提之以有效憑證線上申請行動憑證之系統架構圖。 第1B圖為本發明所提之另一種以有效憑證線上申請行動憑證之系統架構圖。 第1C圖為本發明所提之另一種以有效憑證線上申請行動憑證之系統架構圖。 第2A圖為本發明所提之以有效憑證線上申請行動憑證之方法流程圖。 第2B圖為本發明所提之客戶端下載憑證管理程式之方法流程圖。 第2C圖為本發明所提之透過憑證管理程式下載行動憑證之方法流程圖。
步驟210‧‧‧註冊伺服器接收第一客戶端所提供之有效憑證
步驟221‧‧‧註冊伺服器透過驗證伺服器驗證有效憑證
步驟225‧‧‧註冊伺服器判斷有效憑證是否通過驗證
步驟230‧‧‧註冊伺服器提供第一客戶端輸入申請人資料及驗證資料
步驟240‧‧‧註冊伺服器接收第一客戶端使用有效憑證對憑證申請資料簽章所產生之憑證申請簽章
步驟249‧‧‧憑證管理伺服器接收註冊伺服器傳送之憑證申請資料及憑證申請簽章
步驟251‧‧‧憑證管理伺服器依據憑證申請簽章驗證憑證申請資料
步驟255‧‧‧憑證管理伺服器判斷憑證申請資料是否通過驗證
步驟260‧‧‧憑證管理伺服器依據憑證申請資料產生行動憑證之註冊資料
步驟280‧‧‧第二客戶端提供輸入確認資料,並傳送確認資料及憑證請求檔至憑證管理伺服器
步驟291‧‧‧憑證管理伺服器判斷確認資料是否與憑證申請資料相符
步驟295‧‧‧憑證管理伺服器傳送依據憑證請求檔所產生之行動憑證至第二客戶端
Claims (4)
- 一種以有效憑證線上申請行動憑證之方法,該方法至少包含下列步驟:一註冊伺服器接收一第一客戶端所提供之一有效憑證;該註冊伺服器透過一驗證伺服器驗證該有效憑證;當該有效憑證通過驗證時,該註冊伺服器提供該第一客戶端輸入一申請人資料及一驗證資料,並接收該第一客戶端使用該有效憑證對一憑證申請資料簽章所產生之一憑證申請簽章,其中,該憑證申請資料包含該申請者資料及該驗證資料;一憑證管理伺服器接收該註冊伺服器傳送之該憑證申請資料及該憑證申請簽章,並依據該憑證申請簽章驗證該憑證申請資料;當該憑證申請資料通過驗證時,該憑證管理伺服器依據該憑證申請資料產生一行動憑證之一註冊資料;一第二客戶端提供輸入一確認資料,並傳送該確認資料及一憑證請求檔至該憑證管理伺服器;及該憑證管理伺服器判斷該確認資料與該憑證申請資料相符時,依據該憑證請求檔產生該行動憑證,該憑證管理伺服器判斷產生該行動憑證之註冊資料之時間與接收該確認資料之時間的時間差符合一預定值時,傳送該行動憑證至該第二客戶端。
- 如申請專利範圍第1項所述之以有效憑證線上申請行動憑證之方法,其中該註冊伺服器接收該第一客戶端所提供之該有效憑證之步驟更包含該 第一客戶端連線至一入口伺服器,及該入口伺服器引導該第一客戶端傳送該有效憑證至該註冊伺服器之步驟。
- 如申請專利範圍第1項所述之以有效憑證線上申請行動憑證之方法,其中該方法於該憑證管理伺服器依據該憑證申請資料產生該行動憑證之該註冊資料之步驟後更包含該第二客戶端取得該憑證管理伺服器所傳送之一憑證管理程式之一下載連結,並依據該下載連結下載該憑證管理程式之步驟。
- 一種以有效憑證線上申請行動憑證之系統,該系統至少包含:一第一客戶端,用以提供一有效憑證;一驗證伺服器;一註冊伺服器,用以透過該驗證伺服器驗證該有效憑證,及用以於該有效憑證通過驗證時,提供該第一客戶端輸入一申請人資料及一驗證資料,並透過該第一客戶端使用該有效憑證對一憑證申請資料簽章以產生一憑證申請簽章,其中,該憑證申請資料包含該申請者資料及該驗證資料;一第二客戶端,用以提供輸入一確認資料及傳送一憑證請求檔,取得一下載連結並依據該下載連結下載一憑證管理程式,該憑證管理程式用以儲存該行動憑證;及一憑證管理伺服器,用以接收該註冊伺服器傳送之該憑證申請資料及該憑證申請簽章,並依據該憑證申請簽章驗證該憑證申請資料,及用以依據該憑證申請資料產生一行動憑證之一註冊資料,並判斷該第二客戶端所傳送之該確認資料與該憑證申請資料相符時,依據該第二客戶端所傳送的憑證請求檔產生該行動憑證,判斷產生該行動憑證之註冊資料之時間與接收該確認資料之時間的時間差是否符合一預定值,並於產生該行動憑證之 註冊資料之時間與接收該確認資料之時間的時間差符合該預定值時,傳送該行動憑證至該第二客戶端,以及傳送該憑證管理程式之該下載連結至該第二客戶端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104113883A TWI600308B (zh) | 2015-04-30 | 2015-04-30 | 以有效憑證線上申請行動憑證之系統及其方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW104113883A TWI600308B (zh) | 2015-04-30 | 2015-04-30 | 以有效憑證線上申請行動憑證之系統及其方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201639329A TW201639329A (zh) | 2016-11-01 |
| TWI600308B true TWI600308B (zh) | 2017-09-21 |
Family
ID=57850435
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW104113883A TWI600308B (zh) | 2015-04-30 | 2015-04-30 | 以有效憑證線上申請行動憑證之系統及其方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI600308B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
| TWI831029B (zh) * | 2021-07-19 | 2024-02-01 | 臺灣網路認證股份有限公司 | 依憑證及驗證資料在不同裝置上確認身分之系統及方法 |
-
2015
- 2015-04-30 TW TW104113883A patent/TWI600308B/zh active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI672606B (zh) * | 2018-08-28 | 2019-09-21 | 國立暨南國際大學 | 基於認證和密鑰協商協議之授權認證方法 |
| TWI831029B (zh) * | 2021-07-19 | 2024-02-01 | 臺灣網路認證股份有限公司 | 依憑證及驗證資料在不同裝置上確認身分之系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW201639329A (zh) | 2016-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9741033B2 (en) | System and method for point of sale payment data credentials management using out-of-band authentication | |
| KR101883156B1 (ko) | 인증 시스템 및 방법과 이를 수행하기 위한 사용자 단말, 인증 서버 및 서비스 서버 | |
| TWI526037B (zh) | 用於交易鑑認之抽象化及隨機化單次使用密碼之方法及系統 | |
| CA2862334C (en) | Applications login using a mechanism relating sub-tokens to the quality of a master token | |
| US9094212B2 (en) | Multi-server authentication token data exchange | |
| US9756040B2 (en) | User authentication method with enhanced security | |
| US20200389317A1 (en) | Dynamic management and implementation of consent and permissioning protocols using container-based applications | |
| US11855978B2 (en) | Sharing credentials | |
| US8549602B2 (en) | System and method for handling permits for user authentication tokens | |
| US20130262303A1 (en) | Secure transactions with a mobile device | |
| CN102158488B (zh) | 动态口令生成方法及装置、认证方法及系统 | |
| KR20130107188A (ko) | 사운드 코드를 이용한 인증 서버 및 인증방법 | |
| WO2011143244A1 (en) | One-time use password systems and methods | |
| US9124571B1 (en) | Network authentication method for secure user identity verification | |
| CN109684801A (zh) | 电子证件的生成、签发和验证方法及装置 | |
| US20190149541A1 (en) | Systems and methods for performing biometric registration and authentication of a user to provide access to a secure network | |
| KR102665574B1 (ko) | 거래 인가 | |
| KR20150106198A (ko) | 인증 방법, 인증 중계 서버 및 단말 | |
| US10867326B2 (en) | Reputation system and method | |
| JP5707204B2 (ja) | 身元確認システムおよび身元確認方法 | |
| TWI600308B (zh) | 以有效憑證線上申請行動憑證之系統及其方法 | |
| JP2007272600A (ja) | 環境認証と連携した本人認証方法、環境認証と連携した本人認証システムおよび環境認証と連携した本人認証用プログラム | |
| TWM504991U (zh) | 以有效憑證線上申請行動憑證之系統 | |
| EP2916509B1 (en) | Network authentication method for secure user identity verification | |
| CN112541820A (zh) | 数字资产管理方法、装置、计算机设备及可读存储介质 |