TWI666907B - 讓憑證簽發機構發行備有證明的憑證的方法與系統 - Google Patents

讓憑證簽發機構發行備有證明的憑證的方法與系統 Download PDF

Info

Publication number
TWI666907B
TWI666907B TW107109933A TW107109933A TWI666907B TW I666907 B TWI666907 B TW I666907B TW 107109933 A TW107109933 A TW 107109933A TW 107109933 A TW107109933 A TW 107109933A TW I666907 B TWI666907 B TW I666907B
Authority
TW
Taiwan
Prior art keywords
certificate
email
dkim
server
field
Prior art date
Application number
TW107109933A
Other languages
English (en)
Other versions
TW201941565A (zh
Inventor
張晏誠
Original Assignee
眾議科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 眾議科技股份有限公司 filed Critical 眾議科技股份有限公司
Priority to TW107109933A priority Critical patent/TWI666907B/zh
Priority to US15/933,535 priority patent/US20190296918A1/en
Priority to CN201810290963.8A priority patent/CN110299997A/zh
Application granted granted Critical
Publication of TWI666907B publication Critical patent/TWI666907B/zh
Publication of TW201941565A publication Critical patent/TW201941565A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Abstract

本發明揭露一種讓憑證簽發機構(Certificate Authority)發行備有證明的憑證的方法與系統。該系統包含一輸入/輸出執行模組與一憑證生成模組。本發明技術性地將一憑證簽發請求嵌入一DKIM(Domain Keys Identified Mail)電子郵件中並利用該DKIM電子郵件作為憑證發行授權的證明,使得於一非常短的時間內失效之大量用完即可棄的數位憑證可以被發行,而現行憑證簽發機構無法這樣做因為缺少可驗證性。如此使得信任從憑證簽發機構轉移到掌控DKIM電子郵件伺服器的第三方。因為私鑰能被動態創建並立即從電腦記憶體中刪除,不再需要用於保存私鑰的硬體裝置。肇因於數位憑證的快速失效時間,撤銷檢查變得不必要,或是只需為了兼容性而被模擬。本發明解決了數位簽章的可用性問題和憑證簽發機構的可驗證性問題。

Description

讓憑證簽發機構發行備有證明的憑證的方法與系統
本發明關於一種讓憑證簽發機構(Certificate Authority,CA)發行憑證的方法與系統,特別是關於一種讓憑證簽發機構發行備有證明的憑證,以使憑證簽發機構本身可驗證的方法與系統。該備有證明的憑證可用於數位簽章。
數位簽章技術,其涉及了密碼學密鑰,早在幾十年前就為了無紙化工作流程而發明,但可以說現在還沒有被廣泛使用。Adobe Acrobat Reader與Microsoft Word,兩個最普遍使用的數位文件軟體應用程式,都附帶有創建數位簽章的工具。然而,只有少數人知道這些內置功能的好處。是故還是有很多的文件等待著手寫簽章或電子公證簽章(例如DocuSign),因為這些簽章通常被接受做為身份和簽署意圖的證明以便日常工作的完成。
大多數現有的數位簽章基礎設施(又名公鑰基礎設施,Public Key Infrastructures,PKIs)需要硬體裝置(例如智能卡)來充分保護用戶私鑰的安全,以及撤銷檢查(例如憑證撤銷清單,Certificate Revocation Lists,CRLs)來確認用戶公鑰的在特定時間點的有效性。與硬體裝置相關的成本和不便性極大地阻 止了公眾採用該技術,而建構在不透明的基礎上,撤銷檢查的不可核實性可能會導致信任崩潰,後者反過來會導致對該技術的負面輿論。
為了消除上述障礙,有必要知道為什麼公鑰基礎設施需要硬體裝置和撤銷檢查。公鑰基礎設施中心化於一憑證簽發機構,該憑證簽發機構是一個受信任的第三方,透過發行公鑰憑證以證實用戶的公鑰。如果用戶想使用相對應的私鑰來創建有效的數位簽章,用戶需要從憑證簽發機構申請其公鑰的憑證,而該私鑰通常出於安全原因嵌入硬體裝置中。憑證簽發機構可以因某個因素而在其憑證上指定的到期時間(通常在發行後1~5年)之前撤銷已發行的憑證,從而,需要為每個人提供一種方法來檢查憑證在給定時間是否仍然有效。撤銷檢查是確認已發行憑證的有效性的一種方法。此外,如果可以得到這種在特定時間點的有效性的證明,它便可以與一數位簽章相關聯,使該數位簽章可以被長期確認(Long-Term Validated,LTV),可以被長期確認是一種可以確保以下內容的特性:在未來的任何時候(即使在相應的憑證失效或被撤銷後),必須能夠確認文件以證實數位簽章在簽署時有效。從上面的描述可很明顯地獲知,因為在信任鏈中的作用,公鑰基礎設施依賴硬體裝置和撤銷檢查。
回到憑證簽發機構。在發行一個憑證前,憑證簽發機構必須接收來自申請方的憑證簽發請求(Certificate Signing Request,CSR)。該憑證簽發請求通常包含該憑證應該針對發行的一公鑰、識別資訊(例如電子郵件地址)及該申請方的數位簽章。在將包含此類識別資訊的憑證發給申請方之前,傳統憑證簽發機構有責任確保這類識別資訊符合發出憑證簽發請求的申請方的真實身份,而用戶和依賴方需要信任傳統憑證簽發機構可以負起這責任。基於這一點,如果有技術方法來取代這樣的信任,於一非常短的時間內失效之大量用完即可棄的數位憑證便可能被發行,進而硬體裝置和撤銷檢查也可能成為不必要。具體而言,如果對憑證簽發機構的信任可以利用技術方法轉移給其它信任方,就可 以解決阻止憑證簽發機構發行大量用完即可棄的數位憑證的可驗證性問題,而大量用完即可棄的數位憑證可以解決數位簽章的可用性問題。然而,目前沒有可行的實用解決方案。
本段文字提取和編譯本發明的某些特點。其它特點將被揭露於後續段落中。其目的在涵蓋附加的申請專利範圍之精神和範圍中,各式的修改和類似的排列。
為了解決上述問題,本發明揭露一種讓憑證簽發機構發行備有證明的憑證的方法。該方法包含步驟:a)由安裝於一計算裝置的一軟體應用程式產生一私鑰與一公鑰,該計算裝置具有運作該軟體應用程式的一處理單元與儲存該些密鑰的一記憶單元;b)由該軟體應用程式創建包含該公鑰的一憑證簽發請求;c)由該軟體應用程式致能使用一特定域(domain)的一域名密鑰識別郵件(Domain Keys Identified Mail,DKIM)電子郵件伺服器的一DKIM電子郵件帳戶;d)由該軟體應用程式編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿中;e)由該軟體應用程式命令該DKIM電子郵件伺服器由該DKIM電子郵件帳戶寄出基於該電子郵件底稿的一DKIM電子郵件到一認證機構伺服器或一證機構伺服器叢集;f)由該認證機構伺服器或該認證機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中該憑證的一對象名稱欄位(subject name field)或一對象替代名稱欄位(subject alternative name field)設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位(public key field)設為該憑證簽發請求中的公鑰;該DKIM電子郵件被編碼並嵌入該憑證的一保留欄位(reserved field)做為一證明;DKIM電子郵件的編碼保留DKIM簽 章及該DKIM簽章所有涵蓋的部分;由此產生的憑證是備有證明的憑證;及g)由該認證機構伺服器或該認證機構伺服器叢集的另一伺服器以電子郵件的形式寄回該備有證明的憑證給該DKIM電子郵件伺服器以供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
依照本發明,該計算裝置可以是筆記型電腦、桌上型電腦、平板電腦、智慧型手機或伺服器。該憑證簽發請求可由PKCS#10規範定義格式,由Base64進行編碼並置入該DKIM電子郵件的本體欄位(body field)或表頭欄位(header field)中。該DKIM電子郵件的電子郵件標題、其它表頭欄位或本體的一部份可設為一指定片語(phrase),以供該認證機構伺服器或該認證機構伺服器叢集辨識請求該備有證明的憑證的意圖。一特定電子郵件地址可被指定來為該認證機構伺服器或該認證機構伺服器叢集接收該DKIM電子郵件。
最好,該備有證明的憑證可包含該編碼的DKIM電子郵件,該編碼的DKIM電子郵件嵌入依照X.509規範的該備有證明的憑證的一延伸欄位(Extensions field)中。該備有證明的憑證只在一短時間內有效,該短時間由其中依照X.509規範的一不早於欄位(Not Before field)與一不晚於欄位(Not After field)所定義,而該短時間範圍界於10秒到1800秒。
本發明亦揭露一種讓憑證簽發機構發行備有證明的憑證的替代方法,該方法包含步驟:a)由安裝於一計算裝置的一軟體應用程式產生一私鑰與一公鑰,該計算裝置具有運作該軟體應用程式的一處理單元與儲存該些密鑰的一記憶單元;b)由該軟體應用程式創建包含該公鑰的一憑證簽發請求;c)由該軟體應用程式致能使用一特定域的一域名密鑰識別郵件電子郵件伺服器的一DKIM電子郵件帳戶;d)由該軟體應用程式編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿中;e)由該軟體應用程式命令該DKIM電子 郵件伺服器由該DKIM電子郵件帳戶寄出基於該電子郵件底稿的一DKIM電子郵件到一憑證簽發機構伺服器或一憑證簽發機構伺服器叢集;f)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中該憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位設為該憑證簽發請求中的公鑰;該DKIM電子郵件做為一證明被保留在該憑證簽發機構伺服器、憑證簽發機構伺服器叢集之一伺服器或另一儲存伺服器中,以一指定統一資源定位符(Uniform Resource Locator,URL)供下載;該統一資源定位符可以由該憑證得出;由此產生的憑證是備有證明的憑證;及g)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集的另一伺服器以電子郵件的形式寄回該備有證明的憑證給該DKIM電子郵件伺服器以供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
在另一方面,本發明亦揭露一種為憑證簽發機構發行備有證明的憑證的系統,該系統安裝或設置於一伺服器或一伺服器叢集中,並包含:一輸入/輸出執行模組,用以接收寄自一DKIM電子郵件伺服器的一DKIM電子郵件,其中該DKIM電子郵件伺服器被一軟體應用程式命令由一DKIM電子郵件帳戶寄出該DKIM電子郵件,該軟體應用程式安裝於一連接到該輸入/輸出執行模組之計算裝置;該計算裝置具有一處理單元與一記憶單元;該軟體應用程式由該處理單元運作並用以產生一私鑰與一公鑰、創建包含該公鑰的一憑證簽發請求、致能使用一特定域的該DKIM電子郵件伺服器的該DKIM電子郵件帳戶,及編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿;該DKIM電子郵件基於該電子郵件底稿;該記憶單元儲存該些密鑰;及一憑證生成模組,與該 輸入/輸出執行模組信號連接,用以依照X.509規範以來自該輸入/輸出執行模組的該DKIM電子郵件創建一憑證,其中該憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位設為該憑證簽發請求中的公鑰;該DKIM電子郵件被編碼且嵌入該憑證的一保留欄位中做為一證明;DKIM電子郵件的編碼保留DKIM簽章及該DKIM簽章所有涵蓋的部分;由此產生的憑證是備有證明的憑證。該輸入/輸出執行模組進一步以電子郵件的形式寄回該備有證明的憑證到該DKIM電子郵件伺服器供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
依照本發明,該計算裝置可以是筆記型電腦、桌上型電腦、平板電腦、智慧型手機或伺服器。該憑證簽發請求可由PKCS#10規範定義格式,由Base64進行編碼並置入該DKIM電子郵件的本體欄位或表頭欄位中。該DKIM電子郵件的電子郵件標題、其它表頭欄位或本體的一部份可設為一指定片語,以供該輸入/輸出執行模組辨識請求該備有證明的憑證的意圖。一特定電子郵件地址可被指定來為該輸入/輸出執行模組接收該DKIM電子郵件。
最好,該備有證明的憑證可包含該編碼的DKIM電子郵件,該編碼的DKIM電子郵件嵌入依照X.509規範的該備有證明的憑證的一延伸欄位中。該備有證明的憑證只在一短時間內有效,該短時間由其中依照X.509規範的一不早於欄位與一不晚於欄位所定義,而該短時間範圍界於10秒到1800秒。該輸入/輸出執行模組與該憑證生成模組可以是安裝於一伺服器或一伺服器叢集上的程式,或設置於一伺服器或一伺服器叢集中的外接板卡。該DKIM電子郵件可被保留在該伺服器、該伺服器叢集之一伺服器或另一儲存伺服器中以一指定統一資源定位符供下載,而非被編碼且嵌入該憑證的一保留欄位中,該統一資源定位符可以由該憑證得出。
本發明技術性地將一憑證簽發請求嵌入一DKIM電子郵件中並利用該DKIM電子郵件作為憑證發行授權的證明使得於一非常短的時間內失效之大量用完即可棄的數位憑證可以被發行,而現行憑證簽發機構無法這樣做因為缺少可驗證性。如此使得信任從認證機構轉移到掌控DKIM電子郵件伺服器的第三方。憑證簽發機構可以成為不需被信任的。由於私鑰能被動態創建並立即從電腦記憶體中刪除,不再需要用於保存私鑰的硬體裝置。肇因於數位憑證的快速失效時間,撤銷檢查變得不必要,或是只需為了兼容性而被模擬。上述的問題可以獲得解決。本發明大大改變了數位簽章的規則。
110‧‧‧第一伺服器
120‧‧‧第二伺服器
130‧‧‧第三伺服器
140‧‧‧第四伺服器
210‧‧‧軟體應用程式模組
220‧‧‧輸入/輸出執行模組
230‧‧‧憑證生成模組
240‧‧‧備援模組
310‧‧‧連接通道
320‧‧‧互聯網
510‧‧‧桌上型電腦
511‧‧‧處理單元
512‧‧‧記憶單元
513‧‧‧儲存單元
514‧‧‧輸入/輸出單元
520‧‧‧智慧型手機
600‧‧‧軟體應用程式
700‧‧‧DKIM電子郵件伺服器
圖1為依照本發明的一種讓憑證簽發機構發行備有證明的憑證的系統的一元件示意圖,該系統安裝或設置於一伺服器叢集中。
圖2顯示部分對驗證而言不可或缺的DKIM電子郵件內容。
圖3為依照本發明的一種讓憑證簽發機構發行備有證明的憑證的系統流程圖。
圖4為依照本發明的另一種讓憑證簽發機構發行備有證明的憑證的系統的一元件示意圖,該系統安裝或設置於一伺服器中。
本發明將藉由參照下列的實施方式而更具體地描述。
請參閱圖1,揭露依照本發明的一種讓憑證簽發機構發行備有證明的憑證的系統的一實施例,該系統安裝或設置於一伺服器叢集中。運作該系統的基 礎設施包含伺服器叢集中的3個伺服器,它們是一第二伺服器120、一第三伺服器130及一第四伺服器140。伺服器通過連接通道310連接。如果伺服器位於個別的伺服器機架中,則連接通道310可以是以太網路;如果伺服器安裝在一個機架上,該連接通道可以是系統匯流排。每一伺服器具有安裝或設置於其內之系統的一獨特的模組:第二伺服器120具有一輸入/輸出執行模組220、第三伺服器130具有一憑證生成模組230,及第四伺服器140具有一備援模組240。每一模組可以是一安裝於對應伺服器的程式,它也可以是設置於該伺服器上的一個外接板卡。模組的功能、模組間的互動及運作該系統的環境將於下方詳細說明。
一軟體應用程式600需要安裝於一計算裝置中,該計算裝置連接到系統並能夠利用系統提供的服務。請見圖1,有一些計算裝置通過互聯網320連接到該些伺服器。軟體應用程式600可以是獨立的,以便它可以僅執行請求備有證明的憑證的功能;它也可以是用於製作文件的商業軟體產品,例如Microsoft WordTM、Adobe AcrobatTM,或用於網頁瀏覽,例如ChromeTM,其具有內嵌所述功能的特定特徵。這些商業軟件產品可以透過使用開放API或開源庫(未繪示)來實現這些功能。實作上,軟體應用程式600可進一步為依照來自一遠端來源(如一台伺服器)的腳本格式的指令來執行某些功能。例如,EdgeTM瀏覽器依照來自訪問的網頁伺服器的JavaScriptTM程式碼來執行密鑰產生與憑證簽發請求功能,這仍然是依照本發明精神的軟體應用程式的實現。計算裝置可以是,但不限於,筆記型電腦、桌上型電腦、平板電腦、智慧型手機或甚至是伺服器。在本實施例中,一台桌上型電腦510用以作為說明。還有其它的計算裝置,例如一個智慧型手機520,與桌上型電腦510同時上線利用系統提供的服務。桌上型電腦510與所有連接到該系統的計算裝置具有相似的硬體元件:一處理單元511、一記憶單元512、一儲存單元513及一輸入/輸出單元514。以桌上型電腦510為例,處理單元511負責桌上型電腦510的運作。事實上,它是個中央處理單元(Central Processing Unit,CPU)。處理單元511也可以執行來運作軟體應用程式600(由一個虛線圓角矩形框所標記)。記憶單元512,諸如一個動態隨機存取記憶體(Dynamic Random Access Memory,DRAM),例如DDR3,暫時保存軟體應用程式600的程式碼和必要資料。當軟體應用程式600未驅動時,所有的程式碼和資料都存儲在儲存單元513,比如一個硬碟中。輸入/輸出單元514,主要是指處理外部設備訊號輸入和輸出的模組,是一個聯網模組(例如Wi-Fi、LTE、Ethernet),可以透過互聯網320接收來自系統的資訊及將訊息傳輸到聯網接入點(未繪示)以備進一步使用。
軟體應用程式600的一個工作職能是產生一私鑰與一公鑰。記憶單元512儲存這些密鑰,該對密鑰用於數位簽章且屬於非對稱密碼學範疇。有很多方法可以實現這個目標,例如,Rivest-Shamir-Adleman(RSA)演算法、橢圓曲線密碼學(Elliptic Curve Cryptography,ECC)演算法等等。軟體應用程式600也創建憑證簽發請求。憑證簽發請求的格式並未受限。最好,它可以符合PKCS#10規範的要求。在其它實施例中,它也可以遵從Signed Public Key And Challenge(SPKAC)規範。從而,憑證簽發請求內含由軟體應用程式600產生的公鑰。
同時,軟體應用程式600可致能使用一特定域(如apple.com)的一DKIM電子郵件伺服器700的一DKIM電子郵件帳戶,這是本發明的一個重要特徵。DKIM是一種電子郵件的認證方法,旨在檢測電子郵件欺騙(email spoofing),並允許接收方檢查聲稱來自特定域的電子郵件確實獲得該域所有者的授權。易言之,DKIM允許域名所有者以數位方式簽名發出之電子郵件的某些部分,而該電子郵件包含某些電子郵件表頭欄位(通常包含From:欄位,其指出寄件人)與電子郵件的本體(它可以體現附件)。習慣上,憑證簽發請求中會包含識別資訊和公鑰。識別資訊可能包含區分用名稱,例如Tim Cook、組織名稱,例如Apple Inc.及電子郵件地址,例如tim_cook@apple.com。在將包含此類識別資訊 的憑證發給申請方之前,傳統憑證簽發機構有責任確保這類識別資訊符合發出憑證簽發請求的申請方的真實身份,而用戶和依賴方需要信任傳統憑證簽發機構可以負起這責任。本發明的一項特色是不再需要識別資訊,因為DKIM電子郵件帳戶的電子郵件地址將被用做識別資訊。換句話說,信任被轉移到DKIM電子郵件伺服器上,或是說,轉移到掌控DKIM電子郵件伺服器的域名所有者上。為了達成這目的,致能使用DKIM電子郵件伺服器700的電子郵件帳戶至關重要。此外,軟體應用程式600編碼其創建的憑證簽發請求並將編碼的憑證簽發請求嵌入一電子郵件底稿中,該電子郵件底稿將會成為DKIM電子郵件伺服器700中的DKIM電子郵件並於之後發出(該DKIM電子郵件基於該電子郵件底稿)。憑證簽發請求由Base64進行編碼並置入該DKIM電子郵件的本體欄位或表頭欄位中。為了對DKIM電子郵件的格式有較佳的理解,請參閱圖2,該圖顯示部分對驗證而言不可或缺的DKIM電子郵件內容。DKIM簽章(b=)涵蓋了電子郵件本體(bh=)的雜湊值(hash)與重要表頭欄位(h=):MIME-Version、From、Date、Message-ID、Subject與To。“BEGIN CERTIFICATE REQUEST”與“END CERTIFICATE REQUEST”間的密文是Base64編碼的憑證簽發請求。從而,寄發到系統以請求一個數位憑證的憑證簽發請求的處理與傳統做法不同因為憑證簽發請求來自DKIM訊息。
DKIM電子郵件的格式強制遵循一些規則。首先,DKIM電子郵件的電子郵件標題、其它表頭欄位或本體的一部份設為一指定片語以供輸入/輸出執行模組220辨識請求該備有證明的憑證的意圖,不然輸入/輸出執行模組220不會處理該DKIM電子郵件。在一個例子中,該指定片語為“Certificate Signing Request”。只要輸入/輸出執行模組220理解,指定片語就可以任意指派配。第二,該DKIM電子郵件使用了一個特定電子郵件地址做為其Sent To欄位。例如,特定電子郵件地址為ca@proofshow.net。該特定電子郵件地址也指定來供輸入/ 輸出執行模組220接收DKIM電子郵件。當然,只有兩種限制之一被採用也是可以接受的。在DKIM電子郵件準備完成之後,軟體應用程式600便將驅動桌上型電腦510,要求DKIM電子郵件伺服器700發出帶有憑證簽發請求的DKIM電子郵件到輸入/輸出執行模組220。要強調的是軟體應用程式600執行的程序是桌上型電腦510的用戶所看不到的,在文件將要簽署之前,它們將在桌上型電腦510的操作系統的背景進行處理。
輸入/輸出執行模組220被用來接收寄自DKIM電子郵件伺服器700的DKIM電子郵件。輸入/輸出執行模組220可進一步以電子郵件的形式寄回由憑證生成模組230創建的一個備有證明的憑證到DKIM電子郵件伺服器700供桌上型電腦510下載,或者使備有證明的憑證可供桌上型電腦510下載。事實上,第二伺服器120應為一個電子郵件伺服器,其具有特別供憑證下載的設計,例如遵照文件傳輸協定(File Transfer Protocol,FTP),如果需要的話,可以表現為FTP伺服器。實作上,輸入/輸出執行模組220可以是一個電子郵件客戶端,這意味輸入/輸出執行模組220能自其它的電子郵件伺服器之儲存設備中取得電子郵件,而不是將這個工作交由第二伺服器120來執行。
憑證生成模組230與輸入/輸出執行模組220信號連接。憑證生成模組230的主要功能是依照X.509規範以來自該輸入/輸出執行模組220的DKIM電子郵件創建一憑證。為了產生一可驗證的憑證基於發行憑證的授權(即申請方授權憑證簽發機構發行基於申請方的名稱和特定公鑰的憑證),某些X.509規範定義的欄位必須特定。憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址。例如,“tim_cook@apple.com”或“Tim Cook<tim_cook@apple.com>”都可以設置為對象名稱欄位中的一般名稱(common name)或電子郵件(email)。前者(即tim_cook@apple.com)是一基於RFC5322的地址規格,而後者是一常用位址包含關聯的顯示名稱(Tim Cook)以及由<> 符號圍住之基於RFC5322的地址規格。在這項發明當中兩者都是有效的電子郵件地址。該憑證的一公鑰欄位設為憑證簽發請求中的公鑰。最重要的是,該DKIM電子郵件被編碼並嵌入憑證的一保留欄位中作為證明,DKIM電子郵件的編碼保留DKIM簽章及該DKIM簽章所有涵蓋的部分。由此產生的憑證便是備有證明的憑證。更具體地,該備有證明的憑證包含編碼的DKIM電子郵件,該編碼的DKIM電子郵件嵌入依照X.509規範的該備有證明的憑證的一延伸欄位中。因為DKIM電子郵件可以辨識發送憑證簽發請求的實體,它也可以證明同一實體授權憑證簽發機構發行憑證。如果DKIM簽章有效(既不是偽造特定域的電子郵件,也不是在抵達前修改過的DKIM電子郵件),憑證生成模組230將完成數位憑證的所有其它欄位並進行簽名。
傳統的憑證簽發機構通常發行失效時間為發行後1~5年的數位憑證。有時候,他們會為了某個原因,在他們給定的失效時間前撤銷一個發出的數位憑證。因此,需要為每個人提供一種方法來檢查數位憑證在給定時間是否仍然有效。過去,這是通過提供一份冗長憑證撤銷清單完成的,該憑證撤銷清單現在被更高效的線上憑證狀態協定(Online Certificate Status Protocol,OCSP)取代。憑證撤銷清單或是線上憑證狀態協定的回應都需要由憑證簽發機構進行數位簽名。依照本發明,與傳統方式相比,另一個關鍵特徵是設置數位憑證發行後的失效時間“非常快”,以致相對應的私鑰變為用完即可棄,且撤銷檢查變得不必要。數位憑證在發行後多久應該失效取決於使用實例,數位憑證的擁有者應該有足夠長時間完成至少一個(也許一些)數位簽章,且時間足夠短以使數位憑證本身比正常的撤銷程序更早失效。一個可行的時間是90秒。當然,由於不同的場景應用,應該可被使用非90秒的不同的短時間。例如,該短時間可以是10、30、60、180、600秒等。依照用戶研究結果,較佳的短時間範圍界於10秒到1800秒間。備有證明的憑證失效的短時間可以由備有證明的憑證中依照X.509規範的之 一不早於欄位(Not Before field)與一不晚於欄位(Not After field)來定義。也就是說,不晚於欄位內的時間與失效時間相同,例如發行時間之後90秒,而該發行時間通常等於不早於欄位中的時間。不早於欄位內的時間最好晚於DKIM電子郵件接收的時間。當失效時間設為發行後90秒時,留給軟體應用程式600(或桌上型電腦510)相同的延時去獲得數位憑證、完成數位簽章及等待數位憑證的“最終時刻”到來。該對密鑰與公鑰可能在最終時刻之前從電腦記憶體中被刪除(例如在完成期望的數位簽章之後)。數位憑證的生命週期雖短,但憑證發行授權的證明持續有效直至對DKIM電子郵件伺服器700的域名所有者之信任消逝,這使長期確認(long-term validation)變為可能。
第四伺服器140是個備用伺服器,備援模組240用作備援輸入/輸出執行模組220與憑證生成模組230之中任一者。一旦這些模組中的任何一個出現故障,相同的功能可以很快地轉移到備援模組240以維持對申請方和依賴方的正常服務。
在本實施例中,系統沒有中介代理將軟體應用程式600發布到計算裝置中。在其它的實施例中,存在這種中介代理。請見圖4,該圖為依照本發明,另一種為憑證簽發機構發行備有證明的憑證的系統之元件示意圖,該系統安裝或設置於一伺服器叢集中。不同於圖1,圖4具有一個軟體應用程式模組210。所有模組安裝或設置於一第一伺服器110上。由於僅應用一個伺服器,因此不需要連接通道310來連接各模組。軟體應用程式模組210運作以提供軟體應用程式600安裝於計算裝置中。軟體應用程式模組210可以是獨立的,因此它可以在不與其它模組互動的情況下執行設定的功能;它也可以與其它模組中的一個相關聯。在前一實施例中,一個模組部署到一台伺服器上。在本實施例中,所有的模組安裝或設置於一台伺服器上也是實施本發明的可行方式。
還有一種可能的配置,即某些模組被安裝或設置在一台伺服器上,而其它模組分別被部署到單獨的伺服器上。例如,輸入/輸出執行模組220與憑證生成模組230安裝於第二伺服器120,而其它配置保持不變。如果需要,可以使用具有額外功能的模組,例如在一第四伺服器(未繪示)的一OCSP模組用於回應憑證狀態的請求。
系統的運作能藉使用上述設備與模組的一種為憑證簽發機構發行備有證明的憑證的方法來說明。請參閱圖3,其為所述方法的流程圖。該方法的第一步為由安裝於一計算裝置的軟體應用程式600產生一私鑰與一公鑰(S01)。計算裝置例如桌上型電腦510,其具有運作軟體應用程式600的處理單元511及儲存密鑰的記憶單元512。接著,由軟體應用程式600創建包含該公鑰的一憑證簽發請求(S02)。
該方法的第三步為由軟體應用程式600致能使用一特定域的DKIM電子郵件伺服器700的DKIM電子郵件帳戶(S03)。該方法的第四步為由軟體應用程式600編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿中(S04)。接著,由軟體應用程式600命令DKIM電子郵件伺服器700由該DKIM電子郵件帳戶寄出基於該電子郵件底稿的一DKIM電子郵件到一認證機構伺服器(第一伺服器110包含憑證生成模組230)或一認證機構伺服器叢集(S05)。之後,由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中憑證的一對象名稱欄位或一對象替代名稱欄位應設為該DKIM電子郵件帳戶的一電子郵件地址,憑證的一公鑰欄位應設為該憑證簽發請求中的公鑰,DKIM電子郵件被編碼並嵌入該憑證的一保留欄位做為一證明,DKIM電子郵件的編碼保留DKIM簽章及該DKIM簽章所有涵蓋的部分,由此產生的憑證是備有證明的憑證(S06)。該方法的最後一步為由憑證簽發機構伺服器或憑證簽發機構伺服器叢集的另一伺服器以電子郵件的形式寄回該備有 證明的憑證給DKIM電子郵件伺服器700以供計算裝置下載,或使該備有證明的憑證可供計算裝置下載(S07)。如果可能的話,在步驟S05和步驟S06之間可能會有額外的步驟:檢查DKIM電子郵件的DKIM簽章是否有效。如果答案為是,則進行步驟S06;如果答案為否,則放棄該DKIM電子郵件。上述要件的細節與系統中公開的內容相同,不再重複。
依照本發明,有一種替代方法可以達到上述相同的目標。除了S06之外,該方法的所有步驟都與先前方法所公開的相同。該替代方法替代S06的S06'是由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中該憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位設為該憑證簽發請求中的公鑰;該DKIM電子郵件做為一證明被保留在該憑證簽發機構伺服器、憑證簽發機構伺服器叢集之一伺服器或另一儲存伺服器中,以一指定統一資源定位符供下載;該統一資源定位符可以由該憑證得出;由此產生的憑證是備有證明的憑證。應該注意的是該證明,DKIM電子郵件,保存在某處供需要時下載,而不是被編碼並嵌入該憑證的一保留欄位以寄回。該統一資源定位符成了另一個由DKIM電子郵件支持的”證明”。相應地,應該調整憑證生成模組230的功能,以便該DKIM電子郵件可保留在該伺服器、該伺服器叢集之一伺服器或另一儲存伺服器中以一指定統一資源定位符供下載,而非被編碼且嵌入該憑證的一保留欄位中,該統一資源定位符可放在該憑證的一保留欄位。
雖然本發明已以實施方式揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。

Claims (19)

  1. 一種讓憑證簽發機構(Certificate Authority,CA)發行備有證明的憑證的方法,包含步驟:a)由安裝於一計算裝置的一軟體應用程式產生一私鑰與一公鑰,該計算裝置具有運作該軟體應用程式的一處理單元與儲存該些密鑰的一記憶單元;b)由該軟體應用程式創建包含該公鑰的一憑證簽發請求(Certificate Signing Request,CSR);c)由該軟體應用程式致能使用一特定域(domain)的一域名密鑰識別郵件(Domain Keys Identified Mail,DKIM)電子郵件伺服器的一DKIM電子郵件帳戶;d)由該軟體應用程式編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿中;e)由該軟體應用程式命令該DKIM電子郵件伺服器由該DKIM電子郵件帳戶寄出基於該電子郵件底稿的一DKIM電子郵件到一憑證簽發機構伺服器或一憑證簽發機構伺服器叢集;f)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中該憑證的一對象名稱欄位(subject name field)或一對象替代名稱欄位(subject alternative name field)設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位(public key field)設為該憑證簽發請求中的公鑰;該DKIM電子郵件被編碼並嵌入該憑證的一保留欄位(reserved field)做為一證明;DKIM電子郵件的編碼保留DKIM簽章及該DKIM簽章所有涵蓋的部分;由此產生的憑證是備有證明的憑證;及g)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集的另一伺服器以電子郵件的形式寄回該備有證明的憑證給該DKIM電子郵件伺服器以供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
  2. 如申請專利範圍第1項所述的方法,其中該計算裝置為筆記型電腦、桌上型電腦、平板電腦、智慧型手機或伺服器。
  3. 如申請專利範圍第1項所述的方法,其中該憑證簽發請求由PKCS#10規範定義格式,由Base64進行編碼並置入該DKIM電子郵件的本體欄位(body field)或表頭欄位(header field)中。
  4. 如申請專利範圍第1項所述的方法,其中該DKIM電子郵件的電子郵件標題、其它表頭欄位或本體的一部份設為一指定片語(phrase),以供該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集辨識請求該備有證明的憑證的意圖。
  5. 如申請專利範圍第1項所述的方法,其中一特定電子郵件地址被指定來為該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集接收該DKIM電子郵件。
  6. 如申請專利範圍第1項所述的方法,其中該備有證明的憑證包含該編碼的DKIM電子郵件,該編碼的DKIM電子郵件嵌入依照X.509規範的該備有證明的憑證的一延伸欄位(Extensions field)中。
  7. 如申請專利範圍第1項所述的方法,其中該備有證明的憑證只在一短時間內有效,該短時間由其中依照X.509規範的一不早於欄位(Not Before field)與一不晚於欄位(Not After field)所定義。
  8. 如申請專利範圍第7項所述的方法,其中該短時間範圍界於10秒到1800秒。
  9. 一種讓憑證簽發機構發行備有證明的憑證的方法,包含步驟:a)由安裝於一計算裝置的一軟體應用程式產生一私鑰與一公鑰,該計算裝置具有運作該軟體應用程式的一處理單元與儲存該些密鑰的一記憶單元;b)由該軟體應用程式創建包含該公鑰的一憑證簽發請求;c)由該軟體應用程式致能使用一特定域的一域名密鑰識別郵件電子郵件伺服器的一DKIM電子郵件帳戶;d)由該軟體應用程式編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿中;e)由該軟體應用程式命令該DKIM電子郵件伺服器由該DKIM電子郵件帳戶寄出基於該電子郵件底稿的一DKIM電子郵件到一憑證簽發機構伺服器或一憑證簽發機構伺服器叢集;f)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集中之一伺服器依照X.509規範創建一憑證,其中該憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位設為該憑證簽發請求中的公鑰;該DKIM電子郵件做為一證明被保留在該憑證簽發機構伺服器、憑證簽發機構伺服器叢集之一伺服器或另一儲存伺服器中,以一指定統一資源定位符(Uniform Resource Locator,URL)供下載;該統一資源由該憑證得出;由此產生的憑證是備有證明的憑證;及g)由該憑證簽發機構伺服器或該憑證簽發機構伺服器叢集的另一伺服器以電子郵件的形式寄回該備有證明的憑證給該DKIM電子郵件伺服器以供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
  10. 一種為憑證簽發機構發行備有證明的憑證的系統,安裝或設置於一伺服器或一伺服器叢集中,包含:一輸入/輸出執行模組,用以接收寄自一DKIM電子郵件伺服器的一DKIM電子郵件,其中該DKIM電子郵件伺服器被一軟體應用程式命令由一DKIM電子郵件帳戶寄出該DKIM電子郵件,該軟體應用程式安裝於一連接到該輸入/輸出執行模組之計算裝置;該計算裝置具有一處理單元與一記憶單元;該軟體應用程式由該處理單元運作並用以產生一私鑰與一公鑰、創建包含該公鑰的一憑證簽發請求、致能使用一特定域的該DKIM電子郵件伺服器的該DKIM電子郵件帳戶,及編碼該憑證簽發請求並把該編碼的憑證簽發請求嵌入一電子郵件底稿;該DKIM電子郵件基於該電子郵件底稿;該記憶單元儲存該些密鑰;及一憑證生成模組,與該輸入/輸出執行模組信號連接,用以依照X.509規範以來自該輸入/輸出執行模組的該DKIM電子郵件創建一憑證,其中該憑證的一對象名稱欄位或一對象替代名稱欄位設為該DKIM電子郵件帳戶的一電子郵件地址;該憑證的一公鑰欄位設為該憑證簽發請求中的公鑰;該DKIM電子郵件被編碼且嵌入該憑證的一保留欄位中做為證明;DKIM電子郵件的編碼保留DKIM簽章及該DKIM簽章所有涵蓋的部分;由此產生的憑證是備有證明的憑證;其中該輸入/輸出執行模組進一步以電子郵件的形式寄回該備有證明的憑證到該DKIM電子郵件伺服器供該計算裝置下載,或使該備有證明的憑證可供該計算裝置下載。
  11. 如申請專利範圍第10項所述的系統,其中該計算裝置為筆記型電腦、桌上型電腦、平板電腦、智慧型手機或伺服器。
  12. 如申請專利範圍第10項所述的系統,其中該憑證簽發請求由PKCS#10規範定義格式,由Base64進行編碼並置入該DKIM電子郵件的本體欄位或表頭欄位中。
  13. 如申請專利範圍第10項所述的系統,其中該DKIM電子郵件的電子郵件標題、其它表頭欄位或本體的一部份設為一指定片語,以供該輸入/輸出執行模組辨識請求該備有證明的憑證的意圖。
  14. 如申請專利範圍第10項所述的系統,其中一特定電子郵件地址被指定來為該輸入/輸出執行模組接收該DKIM電子郵件。
  15. 如申請專利範圍第10項所述的系統,其中該備有證明的憑證包含該編碼的DKIM電子郵件,該編碼的DKIM電子郵件嵌入依照X.509規範的該備有證明的憑證的一延伸欄位(Extensions field)中。
  16. 如申請專利範圍第10項所述的系統,其中該備有證明的憑證只在一短時間內有效,該短時間由其中依照X.509規範的一不早於欄位與一不晚於欄位所定義。
  17. 如申請專利範圍第16項所述的系統,其中該短時間範圍界於10秒到1800秒。
  18. 如申請專利範圍第10項所述的系統,其中該輸入/輸出執行模組與該憑證生成模組是安裝於一伺服器或一伺服器叢集上的程式,或設置於一伺服器或一伺服器叢集中的外接板卡。
  19. 如申請專利範圍第10項所述的系統,其中該DKIM電子郵件做為一證明被保留在該伺服器、該伺服器叢集之一伺服器或另一儲存伺服器中以一指定統一資源定位符供下載,而非被編碼且嵌入該憑證的一保留欄位中,該統一資源定位符由該憑證得出。
TW107109933A 2018-03-23 2018-03-23 讓憑證簽發機構發行備有證明的憑證的方法與系統 TWI666907B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107109933A TWI666907B (zh) 2018-03-23 2018-03-23 讓憑證簽發機構發行備有證明的憑證的方法與系統
US15/933,535 US20190296918A1 (en) 2018-03-23 2018-03-23 Method and system for issuing proof-equipped certificates for certificate authority
CN201810290963.8A CN110299997A (zh) 2018-03-23 2018-04-03 具有证明的凭证的发行方法与系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107109933A TWI666907B (zh) 2018-03-23 2018-03-23 讓憑證簽發機構發行備有證明的憑證的方法與系統

Publications (2)

Publication Number Publication Date
TWI666907B true TWI666907B (zh) 2019-07-21
TW201941565A TW201941565A (zh) 2019-10-16

Family

ID=67983255

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107109933A TWI666907B (zh) 2018-03-23 2018-03-23 讓憑證簽發機構發行備有證明的憑證的方法與系統

Country Status (3)

Country Link
US (1) US20190296918A1 (zh)
CN (1) CN110299997A (zh)
TW (1) TWI666907B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11165591B2 (en) * 2016-09-08 2021-11-02 Cable Television Laboratories, Inc. System and method for a dynamic-PKI for a social certificate authority
TWI744844B (zh) * 2020-03-30 2021-11-01 尚承科技股份有限公司 憑證安全簽發與管理系統及方法
US11803631B2 (en) * 2020-05-06 2023-10-31 Arris Enterprises Llc Binding a hardware security token to a host device to prevent exploitation by other host devices
US20220210146A1 (en) * 2020-12-30 2022-06-30 Citrix Systems, Inc. Uniform resource locator validation

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090080650A1 (en) * 2007-09-24 2009-03-26 Selgas Thomas D Secure email communication system
US20100293371A1 (en) * 2005-07-19 2010-11-18 The Go Daddy Group, Inc. Generating pki email accounts on a web-based email system
US20110145567A1 (en) * 2009-12-16 2011-06-16 Verisign, Inc. Method and system to combine multiple digital certificates using the subject alternative name extension
TW201732701A (zh) * 2016-02-01 2017-09-16 蘋果公司 驗證對安全裝置功能性之線上存取

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7039807B2 (en) * 2001-01-23 2006-05-02 Computer Associates Think, Inc. Method and system for obtaining digital signatures
JP2008165307A (ja) * 2006-12-27 2008-07-17 Murata Mach Ltd 電子メール通信装置
US9565198B2 (en) * 2014-01-31 2017-02-07 Microsoft Technology Licensing, Llc Tenant based signature validation
SG10201806366TA (en) * 2015-03-25 2018-08-30 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100293371A1 (en) * 2005-07-19 2010-11-18 The Go Daddy Group, Inc. Generating pki email accounts on a web-based email system
US20090080650A1 (en) * 2007-09-24 2009-03-26 Selgas Thomas D Secure email communication system
US20110145567A1 (en) * 2009-12-16 2011-06-16 Verisign, Inc. Method and system to combine multiple digital certificates using the subject alternative name extension
TW201732701A (zh) * 2016-02-01 2017-09-16 蘋果公司 驗證對安全裝置功能性之線上存取

Also Published As

Publication number Publication date
CN110299997A (zh) 2019-10-01
TW201941565A (zh) 2019-10-16
US20190296918A1 (en) 2019-09-26

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
US9992189B2 (en) Generation and validation of derived credentials
TWI666907B (zh) 讓憑證簽發機構發行備有證明的憑證的方法與系統
US7568114B1 (en) Secure transaction processor
CN111316267B (zh) 使用委托身份的认证
US9455838B2 (en) Creating a digital certificate for a service using a local certificate authority having temporary signing authority
JP2021516495A (ja) キー管理方法、装置、システム、コンピュータ機器及びコンピュータプログラム
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
US8984283B2 (en) Private certificate validation method and apparatus
US20070055867A1 (en) System and method for secure provisioning of encryption keys
US9100171B1 (en) Computer-implemented forum for enabling secure exchange of information
CN105635070B (zh) 一种数字文件的防伪方法及系统
MX2008015958A (es) Estructura de verificacion de credencial biometrica.
JP2008511232A (ja) 制御認証のためのパーソナルトークンおよび方法
JP2002024177A (ja) 電子公証システムおよび電子公証方法
CN113743921B (zh) 数字资产的处理方法、装置、设备及存储介质
JP2023503607A (ja) 自動デジタル証明書検証のための方法およびデバイス
JP2005502269A (ja) デジタル証明書を作成するための方法及び装置
US11082236B2 (en) Method for providing secure digital signatures
Reddy et al. Trust anchor management requirements
KR100760028B1 (ko) 전자서명 인증서의 장기검증방법 및 시스템
EP3544255A1 (en) Method and system for issuing proof-equipped certificates for certificate authority
US20240031175A1 (en) Single-purpose certificates with hash values tied to specific artifacts or connections related applications
JP2010245712A (ja) Id有効性管理装置及び通信装置及びid有効性管理方法及びデータ処理方法及びプログラム
Chang How to Use Sigstore without Sigstore

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees