TWI668590B - 憑證有效性驗證系統及其方法 - Google Patents
憑證有效性驗證系統及其方法 Download PDFInfo
- Publication number
- TWI668590B TWI668590B TW107141465A TW107141465A TWI668590B TW I668590 B TWI668590 B TW I668590B TW 107141465 A TW107141465 A TW 107141465A TW 107141465 A TW107141465 A TW 107141465A TW I668590 B TWI668590 B TW I668590B
- Authority
- TW
- Taiwan
- Prior art keywords
- voucher
- verification
- online
- signature
- time stamp
- Prior art date
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
本發明提出一種憑證有效性驗證系統及其方法,係根據線上憑證狀態協定回應資訊以及時戳資訊之變更,以達到驗證伺服器可以在簽章後的一段時間,仍可精確的驗證簽章時的憑證狀態,其中,透過複數個線上憑證狀態協定回應資訊以及時戳資訊之組合及封裝,藉此避免因簽章到驗章的時間區段內,由於各種原因之憑證失效,進而導致無法確認過去之憑證狀態。
Description
本發明係有關憑證有效性驗證機制,詳而言之,係關於一種憑證有效性驗證系統及其方法。
當資訊安全環境遭受到威脅或攻擊事件,往往造成重大損失,而行之有年的資訊安全技術領域主要為密碼學,密碼學的技術已經廣泛地應用於各種資訊安全領域,例如通訊安全、資料加密、數位簽章、時戳應用、訊息驗證、身分認證、電子憑證等應用,這些都是網路公開金鑰基礎建設(Web Public Key Infrastructure,Web PKI)中的重要技術。
針對資訊驗證而言,一般都是透過加解密來完成,例如透過對稱金鑰加密系統或公開金鑰加密系統,而對於交易不可否認性,基本上則是利用數位簽章技術來完成的。上述的搭配也可成為數位信封,若應用無誤,則可兼顧訊息的機密性、真確性、身分認證、與不可否認的效果。目前在網路公開金鑰基礎建設,憑證中心(Certification Authority,CA)是信賴的核心單位,其發行的各種類憑證,
被應用在不同領域的交易驗證。為了確保憑證有效性,一般來說會透過驗證中心(Verification Authority,VA)提供驗證服務,介接服務者需要透過其網頁伺服器搭配周邊設備,透過傳輸層安全協議交握(Transport Layer Security Handshake,TLS Handshake)以取得憑證中心及驗證中心的服務。
然以目前技術而言,驗證服務只能確保驗證當下的憑證有效性,然後再確保交易驗證對象的正確性,假若簽章和驗章的時間內憑證出現了任何問題而失效,即使驗證當下憑證又恢復正常,仍無法驗證簽章當下的憑證狀態。另外,假若簽章和驗章的時間內憑證過期,以目前機制而言,也是無法精確的反應此一事實,儘管可透過歷史憑證廢止清冊(certificate revocation list,CRL)來確認過去憑證狀態,然由於其時間範圍性限制,故無法達到即時驗證。
由上可知,若能找出一種精確的憑證有效性驗證機制,特別是,不僅可以確認驗章當下的憑證有效性,也能進一步確保簽章當下的憑證有效性,以達到可精確的驗證簽章時的憑證狀態,此將成為目前本技術領域人員極力追求之技術目標。
本發明之目的係提出一種精確的憑證有效性驗證機制,將對現行Web PKI信賴機制進行改良,其重點在於透過複數個線上憑證狀態協定(Online Certificate Status Protocol,OCSP)回應資訊以及時戳資訊之組合以及封裝,藉此避免因簽章到驗章的時間區段內,由於各種原因之憑
證失效,而無法確認簽章時之憑證狀態。
為了達成上述或其他目的,本發明提出一種憑證有效性驗證系統,其包括憑證中心模組、驗證中心模組、線上憑證狀態協定模組以及時戳伺服器模組。該憑證中心模組係接收憑證服務申請封包,以啟動該憑證服務申請封包之憑證申請流程;該驗證中心模組係依據該憑證申請流程產生線上憑證狀態協定服務申請封包以及時戳服務申請封包,以及於驗證資訊封裝後,接收驗證服務申請封包,以啟動該驗證服務申請封包之驗證流程;該線上憑證狀態協定模組係用於接收欲執行簽章時透過該驗證中心模組所提交之該線上憑證狀態協定服務申請封包,以於查詢待查憑證狀態後在先後不同時點產生第一線上憑證狀態協定回應訊息和第二線上憑證狀態協定回應訊息,俾傳送該第一線上憑證狀態協定回應訊息和該第二線上憑證狀態協定回應訊息至該驗證中心模組;而該時戳伺服器模組係用於接收欲執行簽章時透過該驗證中心模組提交之該時戳服務申請封包,以於確認當前時間資訊後在先後不同時點傳送第一時戳和第二時戳,俾傳送該第一時戳和該第二時戳至該驗證中心模組;且其中,該驗證中心模組將該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該第二時戳、該第二線上憑證狀態協定回應訊息進行封裝以產生簽章者憑證相對應之最終驗證資訊,以於該驗證服務申請封包之驗證流程後,傳送驗證結果。
於一實施例中,該驗證中心模組係對該第一線上憑證
狀態協定回應訊息取其雜湊值後,向該時戳伺服器模組請求該第一時戳。
於另一實施例中,於該第一時戳及欲保護訊息合併後,進行簽章且對該簽章取其雜湊值,向該時戳伺服器模組請求該第二時戳。
於又一實施例中,該線上憑證狀態協定模組係於該時戳伺服器模組產生該第一時戳及該第二時戳後,產生該第二線上憑證狀態協定回應訊息。
於再一實施例中,該驗證中心模組於接收用於執行驗章之驗證服務申請封包時,係解析該驗證服務申請封包的內容以產生驗章時及簽章時的該最終驗證資訊。
於再另一實施例中,該第二線上憑證狀態協定回應訊息由該線上憑證狀態協定模組所簽出之時間係限制在該第一線上憑證狀態協定回應訊息的效期內。
本發明復提出一種憑證有效性驗證方法,係包括下列步驟:接收憑證服務申請封包;對於欲保護訊息進行簽章時,先行請求第一線上憑證狀態協定回應訊息;對該第一線上憑證狀態協定回應訊息取其雜湊值後,請求第一時戳以進行挑戰回應;組合該第一時戳及該欲保護訊息後進行簽章;針對上述之簽章值取其雜湊值後,請求第二時戳以確認該簽章值的真確性;以及請求第二線上憑證狀態協定回應訊息後,封裝所有產生之驗證資訊。
於上述方法中,該所有產生之驗證資訊包括該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該
第二時戳、該第二線上憑證狀態協定回應訊息。
於上述方法中,該第二線上憑證狀態協定回應訊息被簽出之時間係限制在該第一線上憑證狀態協定回應訊息的效期內。
於上述方法中,更包括於接收驗證服務申請封包時,同時提供驗章時及簽章時之憑證有效性驗證資訊。
相較於現有技術,本發明所提出之憑證有效性驗證系統及其方法,除了可回報驗章時的驗證資訊,也能回報簽章時的驗證資訊。另外,本發明透過簽章者簽章與線上憑證狀態協定回應資訊以及時戳資訊的封裝,可解決原本無法準確反應簽章當下憑證狀態的問題,也可避免另存憑證廢止清冊的需求,並解決憑證廢止清冊時間範圍的限制性。值得注意的是,本發明無須改變簽章者提交憑證服務及驗章者提交驗證服務申請流程的既有工作流,應而無須大幅更動現有流程下即可完成上述目的和功效。
1‧‧‧憑證有效性驗證系統
11‧‧‧憑證中心模組
12‧‧‧線上憑證狀態協定模組
13‧‧‧時戳伺服器模組
14‧‧‧驗證中心模組
21‧‧‧簽章者端瀏覽器
22‧‧‧網頁伺服器
23‧‧‧網域名稱伺服器
24‧‧‧代理伺服器
25‧‧‧驗章者端瀏覽器
31‧‧‧憑證中心資料庫
32‧‧‧線上憑證狀態協定回應資料庫
33‧‧‧時戳伺服器資料庫
S21~S26‧‧‧步驟
S41~S49‧‧‧步驟
第1圖為本發明之憑證有效性驗證系統的系統架構圖;第2圖為本發明之憑證有效性驗證方法的步驟圖;第3圖為本發明之憑證有效性驗證系統一具體實施例的系統架構圖;以及第4圖為本發明之憑證有效性驗證方法一具體實施例的步驟圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
本發明的模組、裝置等包括微處理器及記憶體,而演算法、資料、程式等係儲存記憶體或晶片內,微處理器可從記憶體載入資料或演算法或程式進行資料分析或計算等處理,在此不予贅述。例如本發明之憑證中心模組、驗證中心模組、線上憑證狀態協定模組以及時戳伺服器模組為包括有微處理器與記憶體等組件之伺服器或電腦,且各模組內將執行分析運算,因而本發明所述模組其硬體細部結構可以此方式實現。
第1圖說明本發明之憑證有效性驗證系統的系統架構圖。如圖所示,憑證有效性驗證系統1為基於線上憑證狀態協定回應資訊及時戳資訊之變更實施,藉以達到驗證伺服器可以在簽章後的一段時間,仍可精確的驗證簽章時的憑證狀態,其中,憑證有效性驗證系統1包括憑證中心模組11、線上憑證狀態協定模組12、時戳伺服器模組13、以及驗證中心模組14。
憑證中心模組11係接收來自簽章者之憑證服務申請封包,以啟動該憑證服務申請封包之憑證申請流程。憑證中心模組11係用於接收來自簽章者之憑證服務申請封包,且能於執行該憑證服務申請封包之憑證申請流程後,傳送憑證至該簽章者。
具體來說,憑證中心模組11與線上憑證狀態協定模組12和時戳伺服器模組13通訊連結,其可接收簽章者所提交之憑證服務申請,主要功能包含憑證申請、憑證廢止、憑證展期、憑證變更等。另外,於憑證服務處理流程執行後,若符合申請,則會傳送所申請憑證類別之憑證至該簽章者。
線上憑證狀態協定模組12係用於接收來自該簽章者欲執行簽章時透過該驗證中心模組14所提交之該線上憑證狀態協定服務申請封包,以於查詢待查憑證狀態後在先後不同時點產生第一線上憑證狀態協定回應訊息和第二線上憑證狀態協定回應訊息,俾傳送第一線上憑證狀態協定回應訊息和第二線上憑證狀態協定回應訊息至該驗證中心模組14。簡單來說,線上憑證狀態協定模組12可依據線上憑證狀態協定服務申請封包進行憑證狀態查詢,以於查詢待查憑證之狀態後,傳送查詢後之狀態結果至該簽章者。
線上憑證狀態協定模組12與憑證中心模組11和驗證中心模組14通訊連結,其可接收來自該簽章者欲執行簽章時透過驗證中心模組14所提交之線上憑證狀態協定查詢服務申請封包,經解析申請封包的內容,查詢待查憑證的狀態並回覆。另外,線上憑證狀態協定模組12更提供線上憑證狀態協定裝訂功能,可滿足動態回應的效果。
時戳伺服器模組13係用於接收來自該簽章者欲執行簽章時透過該驗證中心模組14提交之該時戳服務申請封
包,以於確認當前時間資訊後在先後不同時點傳送第一時戳和第二時戳,俾傳送第一時戳和第二時戳至該驗證中心模組14。簡言之,時戳伺服器模組13可於確認當前時間資訊後,回傳簽署後時戳封包。
時戳伺服器模組13與憑證中心模組11和驗證中心模組14通訊連結,其可接收來自該簽章者欲執行簽章時透過驗證中心模組14所提交之時戳服務申請封包,解析申請封包的內容以產生簽署後時戳並回覆。具體來說,時戳伺服器模組13需符合標準規範並且同步整合於國家標準時間源,另外,能支援網路時間自動校時機制以確保時間正確性,當時戳簽出後需支援紀錄自動備份封存功能。
驗證中心模組14係依據該憑證申請流程產生線上憑證狀態協定服務申請封包以及時戳服務申請封包並分別傳送至線上憑證狀態協定模組12和時戳伺服器模組13,藉此取得線上憑證狀態協定回應訊息和時戳。驗證中心模組14還將該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該第二時戳、該第二線上憑證狀態協定回應訊息進行封裝以產生簽章者憑證相對應之最終驗證資訊,以於驗證服務申請流程後,傳送驗證結果至該驗章者,也就是驗證資訊封裝後可接收來自驗章者之驗證服務申請封包,以啟動該驗證服務申請封包之驗證流程。
於一實施例中,當驗證中心模組14於接收來自驗章者用於執行驗章之驗證服務申請封包時,係解析該驗證服務申請封包的內容以產生驗章時及簽章時的該最終驗證資訊
以回覆該驗章者。也就是說,驗證中心模組14能接收來自簽章者執行簽章時的封裝資訊以及驗章者執行驗章時之驗證服務申請封包,以於執行該驗證服務申請封包之驗章流程後,進一步回傳簽章當下之憑證有效性驗證結果至該驗章者。
具體而言,驗證中心模組14與線上憑證狀態協定模組12和時戳伺服器模組13通訊連結,其可接收來自該簽章者執行簽章時的封裝資訊以及該驗章者執行驗章時之驗證服務申請封包,經解析申請封包的內容以產生驗證資訊並回覆。驗證中心模組14主要功能包含憑證內容驗證、網域驗證、憑證主體身分驗證、過期資訊驗證、簽章驗證、以及憑證串列驗證等。
另外,驗證中心模組14還需驗證線上憑證狀態協定模組12和時戳伺服器模組13之憑證串列,並且驗證其所簽出的線上憑證狀態協定回應訊息及時戳封包。
於一實施例中,該驗證中心模組14係對該第一線上憑證狀態協定回應訊息取其雜湊值後,向該時戳伺服器模組13請求該第一時戳,次之,於該第一時戳及欲保護訊息合併後,進行簽章且對該簽章取其雜湊值,向該時戳伺服器模組13請求該第二時戳,最後,該線上憑證狀態協定模組12係於該時戳伺服器模組13產生該第一時戳及該第二時戳後,產生該第二線上憑證狀態協定回應訊息。
於上述架構可知,簽章者欲執行簽章時,線上憑證狀態協定模組12首先會產生第一線上憑證狀態協定回應訊
息,待時戳伺服器模組13產生第一及第二時戳之工作流完成後,產生第二線上憑證狀態協定回應訊息。另外,簽章者欲執行簽章時,驗證中心模組14將對第一線上憑證狀態協定回應訊息取其雜湊值,然後向時戳伺服器模組13請求第一時戳,接著於第一時戳及欲保護訊息合併後將進行簽章,並再進一步對該簽章取其雜湊值,然後向時戳伺服器模組13請求第二時戳。
因此,於簽章者執行簽章過程中,驗證中心模組14依序監控第一線上憑證狀態協定回應訊息、第一時戳、簽章者簽章、第二時戳、第二線上憑證狀態協定回應訊息之工作流後進行封裝,此封裝結構將可提供未來驗章者提出驗證服務申請時,能夠進一步驗證簽章者簽章當下的憑證有效性資訊。
於一實施例中,第一線上憑證狀態協定回應訊息及第二線上憑證狀態協定回應訊息之間的可容許時間應盡量縮短,使得第二線上憑證狀態協定回應訊息被線上憑證狀態協定模組12簽出的時間限制在第一線上憑證狀態協定回應訊息的效期內,以確保提供驗證結果給驗章者的準確性。
因此,透過上述系統架構,本發明之憑證有效性驗證系統1能達到驗證伺服器在簽章後的一段時間,仍可精確的驗證簽章時的憑證狀態。
第2圖說明本發明之憑證有效性驗證方法的步驟圖。如圖所示,於步驟S21中,係接收來自簽章者之憑證服務
申請封包。
於步驟S22中,係對於欲保護訊息進行簽章時,先行請求第一線上憑證狀態協定回應訊息。
於步驟S23中,係對該第一線上憑證狀態協定回應訊息取其雜湊值後,請求第一時戳以進行挑戰回應。
於步驟S24中,係組合該第一時戳及該欲保護訊息後進行簽章。於本步驟中,簽章者欲執行簽章之前,驗證中心模組對第一線上憑證狀態協定回應訊息取其雜湊值,然後向時戳伺服器模組請求第一時戳。
於步驟S25中,係針對上述之簽章值取其雜湊值後,請求第二時戳以確認該簽章值的真確性。於本步驟中,於第一時戳及欲保護訊息合併後將進行簽章,接著再進一步對該簽章取其雜湊值,然後向時戳伺服器模組請求第二時戳。
由上可知,簽章者欲執行簽章時,線上憑證狀態協定模組首先會產生第一線上憑證狀態協定回應訊息,待時戳伺服器模組產生第一時戳及第二時戳之工作流完成後,產生第二線上憑證狀態協定回應訊息。
於步驟S26中,係請求第二線上憑證狀態協定回應訊息後,封裝所有產生之驗證資訊。於本步驟中,該所有產生之驗證資訊包括該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該第二時戳、該第二線上憑證狀態協定回應訊息。
另外,第一線上憑證狀態協定回應訊息及第二線上憑
證狀態協定回應訊息之間的可容許時間應盡量縮短,使得第二線上憑證狀態協定回應訊息被線上憑證狀態協定模組簽出的時間限制在第一線上憑證狀態協定回應訊息的效期內,以確保提供驗證結果給驗章者的準確性。
於其他實施例中,上述方法更包括於接收來自驗章者之驗證服務申請封包時,同時提供驗章時及簽章時之憑證有效性驗證資訊至該驗章者。具體來說,當簽章者執行簽章時,驗證中心模組依序監控第一線上憑證狀態協定回應訊息、第一時戳、簽章者簽章、第二時戳、第二線上憑證狀態協定回應訊息之工作流後進行封裝,此封裝結構將可提供未來驗章者提出驗證服務申請時,能夠進一步驗證簽章者簽章當下的憑證有效性資訊。
第3圖說明本發明之憑證有效性驗證系統一具體實施例的系統架構圖,如圖所示,憑證有效性驗證系統1之憑證中心模組11、線上憑證狀態協定模組12、時戳伺服器模組13、以及驗證中心模組14與第1圖所述相同,於此不再贅述。於本實施例中,將進一步搭配系統周邊設備,如TLS交握(Handshake)端以及不同功能資料庫等,以完整說明本系統之運作。
如圖所示,TLS交握端包括簽章者端瀏覽器21、網頁伺服器22、網域名稱伺服器23、代理伺服器24及驗章者端瀏覽器25,另外,基於不同資料存放目的,本實施例更包括憑證中心資料庫31、線上憑證狀態協定回應資料庫32及時戳伺服器資料庫33。
簽章者端瀏覽器21及驗章者端瀏覽器25連結至網頁伺服器22及網域名稱伺服器23,網域名稱伺服器23與網頁伺服器22連結,而網頁伺服器22連結至代理伺服器24。另外,代理伺服器24連結至憑證中心模組11、線上憑證狀態協定模組12及驗證中心模組14,憑證中心資料庫31連結至憑證中心模組11,線上憑證狀態協定回應資料庫32連結至線上憑證狀態協定模組12及驗證中心模組14,而時戳伺服器資料庫33與時戳伺服器模組13及驗證中心模組14連結。
簽章者操作簽章者端瀏覽器21透過網域名稱伺服器23存取網頁伺服器22,網頁伺服器22透過代理伺服器24連結至憑證有效性驗證系統1。簽章者根據自身需要,選擇特定憑證種類進行申請,目標為使用此憑證內公鑰的相對應私鑰來對欲保護訊息進行簽章。需要網頁伺服器22的原因在於需進行線上憑證狀態協定設定,以利後續驗證資訊封裝後之資料結構能進行存取,並且此資料結構是透過成對線上憑證狀態協定回應訊息(即前述第一線上憑證狀態協定回應訊息和第二線上憑證狀態協定回應訊息)為主要結構進行封裝。
憑證中心模組11連結至憑證中心資料庫31,其收到網頁伺服器22透過代理伺服器24送出之憑證服務申請封包後,剖析其服務申請內容,如憑證申請、憑證廢止、憑證展期、憑證變更。之後,在判斷為特定憑證種類之憑證申請封包,此時憑證中心模組11啟用相對應之憑證申請流
程。
簽章者取得憑證中心模組11核發的憑證後,預計使用與憑證內公鑰的相對應之私鑰對欲保護訊息進行簽章,此時將先透過驗證中心模組14向線上憑證狀態協定模組12請求第一線上憑證狀態協定回應訊息,並且需留意此回應訊息的持續時間,需在此有效期限內完成所有後續驗證資訊封裝動作,其中,第一線上憑證狀態協定回應訊息被存入至線上憑證狀態協定回應資料庫32。
為了避免重送攻擊,此時需進行挑戰回應機制,一般來說此機制可透過產生隨機值進行單次交易驗證來完成,然而在此情境下網頁伺服器須額外保留這些暫時性資訊,導致不便之處,故本發明提出可透過向時戳伺服器模組13請求第一時戳,以用來達成挑戰回應的效果,並且此第一時戳為經過時戳伺服器模組13簽章的,因此更具安全性。此時驗證中心模組14對第一線上憑證狀態協定回應訊息取其雜湊值,然後向時戳伺服器模組13請求第一時戳,以進行挑戰回應來確保簽體並非是事先準備,所產生之第一時戳將存入時戳伺服器資料庫33。
於第一時戳及欲保護訊息合併後將進行簽章,以確保此工作流的執行為單次不可否認的交易,接著,驗證中心模組14再進一步對該簽章取其雜湊值,然後向時戳伺服器模組13請求第二時戳,用來確認簽章者簽章後的時間點以及真確性,而此第二時戳將被存入至時戳伺服器資料庫33。
驗證中心模組14向線上憑證狀態協定模組12請求第二線上憑證狀態協定回應訊息後,將所產生之第二線上憑證狀態協定回應訊息存入至線上憑證狀態協定回應資料庫32,並對其監控的第一線上憑證狀態協定回應訊息、第一時戳、簽章者簽章、第二時戳、第二線上憑證狀態協定回應訊息進行封裝,相關資訊除了分別存入線上憑證狀態協定回應資料庫32以及時戳伺服器資料庫33以外,還需建立其關聯性以建立封裝結構。此封裝結構將可提供未來驗章者向驗證中心模組14提出驗證服務申請時,除了驗章當下之驗證以外,還能夠進一步驗證簽章者簽章當下的憑證有效性資訊。
驗章者於之後任意時間點,操作驗章者端瀏覽器25透過網域名稱伺服器23存取網頁伺服器22,向驗證中心模組14提交驗證服務請求,其接受網頁伺服器22透過代理伺服器24所提交之驗證服務申請封包,解析申請封包的內容,執行該驗證服務申請封包之驗證流程後,除了回報驗章當下的驗證結果外,也會回傳簽章當下之驗證結果給驗章者。
另外,憑證有效性驗證系統1還會驗證以下資訊:簽章者對欲保護訊息簽章時所用的憑證是否為憑證中心模組11所核發的憑證,並確認該憑證內之簽章是否正確;欲保護訊息之簽章是否為簽章者使用憑證內公鑰的相對應私鑰所簽,並確認該簽章是否正確;簽章時及驗章時的過期資訊;簽章時及驗章時之憑證狀態;時戳伺服器模組13所用
的憑證是否為憑證中心模組11所核發的憑證,並確認該憑證內之簽章是否正確;第一及第二時戳是否為時戳伺服器模組13所簽發,並確認該簽章是否正確;第一以及第二線上憑證狀態協定回應訊息的有效期限,簽章者簽章是否落在有效期限內;第一以及第二線上憑證狀態協定回應訊息內的簽章值是否為線上憑證狀態協定模組12所簽,並確認該簽章是否正確;第一以及第二線上憑證狀態協定回應訊息內的憑證狀態碼是否為正常;線上憑證狀態協定模組12所用的憑證是否為憑證中心模組11所核發的憑證,並確認該憑證內之簽章是否正確。透過上述驗證,驗章者便可透過操作驗章者端瀏覽器25確認,針對欲保護訊息簽章時以及驗章時的各種驗證結果。
第4圖說明本發明之憑證有效性驗證方法一具體實施例的步驟圖。本發明可透過複數個線上憑證狀態協定回應資訊以及時戳資訊之組合及封裝,藉此避免因簽章到驗章的時間區段內由於各種原因之憑證失效,而無法確認過去之憑證狀態。下面將以具體實施例並配合第3圖所述組件一併說明。
於步驟S41中,係申請憑證。簽章者為了要針對欲保護訊息進行簽章,簽章者操作簽章者端瀏覽器21透過網域名稱伺服器23存取網頁伺服器22,網頁伺服器22透過代理伺服器24連結至憑證有效性驗證系統1。簽章者根據需要,於產生金鑰對以及簽署憑證請求檔後,向憑證中心模組11提交憑證服務申請封包。憑證中心模組11將收到之
憑證服務申請封包進行剖析,辨別所請求的憑證服務種類,執行過程將連結至憑證中心資料庫31,於執行相對應的憑證簽發流程後,將憑證透過安全管道傳輸給簽章者。
於步驟S42中,係準備簽章欲保護訊息。在對欲保護訊息進行簽章之前,為了日後驗證資訊封裝後之資料結構能被正常存取,而此資料結構是透過成對線上憑證狀態協定回應訊息進行封裝,因此需要於網頁伺服器22組態部分進行線上憑證狀態協定之啟用,以存取線上憑證狀態協定模組12。
於步驟S43中,係請求第一線上憑證狀態協定回應訊息。透過驗證中心模組14向線上憑證狀態協定模組12請求第一線上憑證狀態協定回應訊息,驗證中心模組14將監控第一線上憑證狀態協定回應訊息之持續時間,以確保在有效期限內完成後續驗證資訊封裝,執行過程將連結至線上憑證狀態協定回應資料庫32。
於步驟S44中,係請求第一時戳。由於有可能出現重送攻擊,且為了避免簽體被事先準備,驗證中心模組14執行挑戰回應以驗證工作流。由於利用一般常見的隨機值進行單次交易驗證,會有額外增加網頁伺服器22保留一次性隨機值的弊端,因此,驗證中心模組14對第一線上憑證狀態協定回應訊息取其雜湊值後,向時戳伺服器模組13請求第一時戳,此機制同時可確保簽章者無法假冒線上憑證狀態協定回應訊息,執行過程會將所產生之第一時戳存入時戳伺服器資料庫33。
於步驟S45中,係簽章第一時戳及欲保護訊息。簽章者將第一時戳及欲保護訊息合併後,使用與憑證內公鑰相對應之私鑰進行簽章,將第一時戳與欲保護訊息合併簽章可確保此工作流的執行為單次不可否認的交易,用此第一時戳來確認簽章者執行簽章是在此特定時間下所進行,且時間點為經由時戳伺服器模組13所簽發的第一時戳所驗證。
於步驟S46中,係請求第二時戳。驗證中心模組14將簽章者對第一時戳及欲保護訊息的簽章取其雜湊值,然後向時戳伺服器模組13請求第二時戳,以確保簽章者簽章後的時間點以及交易的正確性,並將所產生之第二時戳存入時戳伺服器資料庫33。
於步驟S47中,係請求第二線上憑證狀態協定回應訊息。驗證中心模組14向線上憑證狀態協定模組12請求第二線上憑證狀態協定回應訊息後,將所產生之第二線上憑證狀態協定回應訊息存入至線上憑證狀態協定回應資料庫32,並確認此工作流的執行是在第一線上憑證狀態協定回應訊息的有效期限內完成。
於步驟S48中,係封裝驗證訊息。驗證中心模組14監控線上憑證狀態協定模組12以及時戳伺服器模組13的執行過程工作流,對其監控過程中產生的第一線上憑證狀態協定回應訊息、第一時戳、簽章者簽章、第二時戳、第二線上憑證狀態協定回應訊息進行封裝,相關資訊除了分別存入線上憑證狀態協定回應資料庫32以及時戳伺服器
資料庫33以外,還需建立其關聯性以建立封裝結構。此封裝結構將可提供未來驗章者向驗證中心模組14提出驗證服務申請時,除了驗章當下的驗證外,還能夠進一步驗證簽章者簽章當下的憑證有效性。
於步驟S49中,係驗章已簽章訊息。驗章者於之後任意時間點,操作驗章者端瀏覽器25透過網域名稱伺服器23存取網頁伺服器22,向驗證中心模組14提交驗證服務請求,其接受網頁伺服器22透過代理伺服器24所提交之驗證服務申請封包,解析申請封包的內容,執行該驗證服務申請封包之驗證流程後,除了回報驗章當下的驗證結果外,也會回傳簽章當下之驗證結果至驗章者。
綜上所述,本發明之憑證有效性驗證系統及其方法,除了可回報驗章時的驗證資訊,也能回報簽章時的驗證資訊,再者,本發明透過簽章者簽章與線上憑證狀態協定回應資訊以及時戳資訊的封裝,可解決原本無法準確反應簽章當下憑證狀態的問題,也可避免另存憑證廢止清冊的需求,並解決憑證廢止清冊時間範圍的限制性,重要的是,本發明無須改變簽章者提交憑證服務及驗章者提交驗證服務申請流程的既有工作流,故無須大幅更動現有系統下即可實現。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專
利範圍所列。
Claims (10)
- 一種憑證有效性驗證系統,包括:憑證中心模組,係接收憑證服務申請封包,以啟動該憑證服務申請封包之憑證申請流程;驗證中心模組,係依據該憑證申請流程產生線上憑證狀態協定服務申請封包以及時戳服務申請封包,以及於驗證資訊封裝後,接收驗證服務申請封包,以啟動該驗證服務申請封包之驗證流程;線上憑證狀態協定模組,係用於接收欲執行簽章時透過該驗證中心模組所提交之該線上憑證狀態協定服務申請封包,以於查詢待查憑證狀態後在先後不同時點產生第一線上憑證狀態協定回應訊息和第二線上憑證狀態協定回應訊息,俾傳送該第一線上憑證狀態協定回應訊息和該第二線上憑證狀態協定回應訊息至該驗證中心模組;以及時戳伺服器模組,係用於接收欲執行簽章時透過該驗證中心模組提交之該時戳服務申請封包,以於確認當前時間資訊後在先後不同時點傳送第一時戳和第二時戳,俾傳送該第一時戳和該第二時戳至該驗證中心模組;其中,該驗證中心模組將該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該第二時戳、該第二線上憑證狀態協定回應訊息進行封裝以產生簽章者憑證相對應之最終驗證資訊,以於該驗證服務申請 封包之驗證流程後傳送驗證結果。
- 如申請專利範圍第1項所述之憑證有效性驗證系統,其中,該驗證中心模組係對該第一線上憑證狀態協定回應訊息取其雜湊值後,向該時戳伺服器模組請求該第一時戳。
- 如申請專利範圍第1項所述之憑證有效性驗證系統,其中,於該第一時戳及欲保護訊息合併後,進行簽章且對該簽章取其雜湊值,向該時戳伺服器模組請求該第二時戳。
- 如申請專利範圍第1項所述之憑證有效性驗證系統,其中,該線上憑證狀態協定模組係於該時戳伺服器模組產生該第一時戳及該第二時戳後,產生該第二線上憑證狀態協定回應訊息。
- 如申請專利範圍第1項所述之憑證有效性驗證系統,其中,該驗證中心模組於接收用於執行驗章之驗證服務申請封包時,係解析該驗證服務申請封包的內容以產生驗章時及簽章時的該最終驗證資訊。
- 如申請專利範圍第1項所述之憑證有效性驗證系統,其中,該第二線上憑證狀態協定回應訊息由該線上憑證狀態協定模組所簽出之時間係限制在該第一線上憑證狀態協定回應訊息的效期內。
- 一種憑證有效性驗證方法,係包括下列步驟:接收憑證服務申請封包;對於欲保護訊息進行簽章時,先行請求第一線上 憑證狀態協定回應訊息;對該第一線上憑證狀態協定回應訊息取其雜湊值後,請求第一時戳以進行挑戰回應;組合該第一時戳及該欲保護訊息後進行簽章;針對上述之簽章值取其雜湊值後,請求第二時戳以確認該簽章值的真確性;以及請求第二線上憑證狀態協定回應訊息後,封裝所有產生之驗證資訊。
- 如申請專利範圍第7項所述之憑證有效性驗證方法,其中,該所有產生之驗證資訊包括該第一線上憑證狀態協定回應訊息、該第一時戳、簽章者簽章、該第二時戳、該第二線上憑證狀態協定回應訊息。
- 如申請專利範圍第7項所述之憑證有效性驗證方法,其中,該第二線上憑證狀態協定回應訊息被簽出之時間係限制在該第一線上憑證狀態協定回應訊息的效期內。
- 如申請專利範圍第7項所述之憑證有效性驗證方法,更包括於接收驗證服務申請封包時,同時提供驗章時及簽章時之憑證有效性驗證資訊。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107141465A TWI668590B (zh) | 2018-11-21 | 2018-11-21 | 憑證有效性驗證系統及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW107141465A TWI668590B (zh) | 2018-11-21 | 2018-11-21 | 憑證有效性驗證系統及其方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
TWI668590B true TWI668590B (zh) | 2019-08-11 |
TW202020705A TW202020705A (zh) | 2020-06-01 |
Family
ID=68316469
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW107141465A TWI668590B (zh) | 2018-11-21 | 2018-11-21 | 憑證有效性驗證系統及其方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI668590B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110837633A (zh) * | 2019-10-16 | 2020-02-25 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
TWI717071B (zh) * | 2019-10-25 | 2021-01-21 | 中華電信股份有限公司 | 憑證管理系統及其方法 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
TWI766608B (zh) * | 2021-03-10 | 2022-06-01 | 新加坡商捷普電子(新加坡)公司 | 程式簽章方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
TW201317916A (zh) * | 2011-10-31 | 2013-05-01 | Chunghwa Telecom Co Ltd | 網站及網路物件來源認證的方法 |
TW201600999A (zh) * | 2014-03-07 | 2016-01-01 | 惠普發展公司有限責任合夥企業 | 基於信譽之用於加密通道的網路安全技術 |
TW201701605A (zh) * | 2015-01-26 | 2017-01-01 | 創研騰智權信託有限公司 | 安全動態通訊網絡及協定 |
-
2018
- 2018-11-21 TW TW107141465A patent/TWI668590B/zh active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101953192A (zh) * | 2008-02-22 | 2011-01-19 | 爱立信电话股份有限公司 | 用于管理无线通信装置中的预订凭证的方法和设备 |
TW201317916A (zh) * | 2011-10-31 | 2013-05-01 | Chunghwa Telecom Co Ltd | 網站及網路物件來源認證的方法 |
TW201600999A (zh) * | 2014-03-07 | 2016-01-01 | 惠普發展公司有限責任合夥企業 | 基於信譽之用於加密通道的網路安全技術 |
TW201701605A (zh) * | 2015-01-26 | 2017-01-01 | 創研騰智權信託有限公司 | 安全動態通訊網絡及協定 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110837633A (zh) * | 2019-10-16 | 2020-02-25 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
CN110837633B (zh) * | 2019-10-16 | 2021-10-08 | 支付宝(杭州)信息技术有限公司 | 智能凭证实现方法、系统及可读存储介质 |
TWI717071B (zh) * | 2019-10-25 | 2021-01-21 | 中華電信股份有限公司 | 憑證管理系統及其方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202020705A (zh) | 2020-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10516662B2 (en) | System and method for authenticating the legitimacy of a request for a resource by a user | |
CN110569674B (zh) | 基于区块链网络的认证方法及装置 | |
CN106789090B (zh) | 基于区块链的公钥基础设施系统及半随机联合证书签名方法 | |
US8555069B2 (en) | Fast-reconnection of negotiable authentication network clients | |
CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
TW202036345A (zh) | 使用多重金鑰對簽署的程式執行和資料證明方案 | |
WO2015074547A1 (zh) | 一种对网页内容进行认证的方法和浏览器 | |
JP4690779B2 (ja) | 属性証明書検証方法及び装置 | |
TWI668590B (zh) | 憑證有效性驗證系統及其方法 | |
TW200833060A (en) | Authentication delegation based on re-verification of cryptographic evidence | |
CN109861996B (zh) | 基于区块链的关系证明方法、装置、设备及存储介质 | |
US20110167258A1 (en) | Efficient Secure Cloud-Based Processing of Certificate Status Information | |
KR20120104193A (ko) | 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 | |
KR101890584B1 (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
CN111651745B (zh) | 基于密码设备的应用授权签名方法 | |
JP6742557B2 (ja) | 認証システム | |
TW202324970A (zh) | 預簽憑證管理系統、方法及其電腦可讀媒介 | |
CN111225001B (zh) | 区块链去中心化通讯方法、电子设备及系统 | |
JP3717848B2 (ja) | 電子公証システム及び電子公証方法 | |
Hernandez-Ardieta et al. | An optimistic fair exchange protocol based on signature policies | |
GB2391438A (en) | Electronic sealing for electronic transactions | |
KR100760028B1 (ko) | 전자서명 인증서의 장기검증방법 및 시스템 | |
CN111182004A (zh) | Ssl握手方法、装置及设备 | |
TW201220804A (en) | comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end | |
US20240031341A1 (en) | Methods, devices and system related to a distributed ledger and user identity attribute |