TWI718033B - 線上憑證狀態查詢回應器之系統及方法 - Google Patents
線上憑證狀態查詢回應器之系統及方法 Download PDFInfo
- Publication number
- TWI718033B TWI718033B TW109108966A TW109108966A TWI718033B TW I718033 B TWI718033 B TW I718033B TW 109108966 A TW109108966 A TW 109108966A TW 109108966 A TW109108966 A TW 109108966A TW I718033 B TWI718033 B TW I718033B
- Authority
- TW
- Taiwan
- Prior art keywords
- ocsp
- cloud
- certificate
- response message
- responder
- Prior art date
Links
Images
Abstract
本發明揭露一種線上憑證狀態查詢回應器之系統及方法。首先,電子憑證管理中心之線上憑證狀態協定(OCSP)回應訊息簽發模組產製出具有電子簽章之OCSP回應訊息,以發佈或設置到雲端運算區域雲之雲端化OCSP回應器中。然後,在OCSP用戶端連線至待查詢之網站服務時,網路服務連結點(POP)導引OCSP用戶端之瀏覽器連線至距離最近之雲端化OCSP回應器,以取得待查詢之網站服務的憑證相對應之具有電子簽章之OCSP回應訊息,俾由OCSP用戶端之瀏覽器依據具有電子簽章之OCSP回應訊息對待查詢之網站服務的憑證進行憑證狀態驗證作業。
Description
本發明係關於一種線上憑證狀態查詢或驗證技術,特別是指一種線上憑證狀態查詢回應器之系統及方法。
在一現有技術中,提出一種憑證有效性驗證系統及其方法,係以線上憑證狀態協定(Online Certificate Status Protocol;OCSP)規範為基礎來進行設計,在OCSP回應訊息中加入國際公開金鑰基礎建設(Public Key Infrastructure;PKI)組織新公告的屬性內容來強化OCSP回應訊息(如時戳資訊)的準確性。惟,此現有技術雖提高了OCSP回應訊息的可信度,卻也增加了產製OCSP回應訊息的複雜度與時間,亦增加了OCSP用戶端之應用工具的解析與驗證OCSP回應訊息的程序步驟。
在另一現有技術中,提出一種具有高信任度的分散式快速驗證憑證狀態之方法,係以複數分散式運作架構的OCSP回應器(OCSPResponder)來加速OCSP服務之憑證狀態驗證作業。惟,此現有技術需由電子憑證管理中心本身耗費資源與功能來控管複數分散式結構的OCSP回應器,且會出現絕大多數OCSP服務查詢是集中在特定少數幾個
OCSP回應器之情形。
因此,如何提供一種新穎且創新之線上憑證狀態查詢回應器之技術,以提升回應OCSP用戶端之查詢憑證狀態的效率,或避免服務查詢都集中在少數幾個回應器上而延長了憑證狀態的驗證時間,實已成為本領域技術人員之一大研究課題。
本發明提供一種新穎且創新之線上憑證狀態查詢回應器之系統及方法,例如能提升回應OCSP用戶端之查詢憑證狀態的效率,或者能證明雲端化OCSP回應器所回傳之訊息中的憑證狀態資訊,沒有被竄改而具有高度的可信賴性,抑或者能避免如現有技術中出現OCSP服務查詢都集中在特定少數幾個OCSP回應器上而延長了憑證狀態的驗證時間。
本發明中線上憑證狀態查詢回應器之系統,至少包括:一具有線上憑證狀態協定(OCSP)回應訊息簽發模組之電子憑證管理中心,且OCSP回應訊息簽發模組係用以產製出至少一具有電子簽章之OCSP回應訊息;複數雲端化OCSP回應器,係設置於至少一雲端運算區域雲中,且OCSP回應訊息簽發模組將所產製之具有電子簽章之OCSP回應訊息發佈或設置到各雲端運算區域雲之雲端化OCSP回應器中;以及一網路服務連結點(POP),係連線至OCSP用戶端,以於OCSP用戶端連線至待查詢之網站服務時,由網路服務連結點導引OCSP用戶端之瀏覽器連線至與OCSP用戶端之距離最近之雲端化OCSP回應器,再通過距離最近之雲端化OCSP回應器,取得待查詢之網站服務的憑證相對應之具有電子簽章之OCSP回
應訊息予OCSP用戶端,俾由OCSP用戶端之瀏覽器依據具有電子簽章之OCSP回應訊息,對待查詢之網站服務的憑證進行憑證狀態驗證作業。
本發明中線上憑證狀態查詢回應器之方法,至少包括:由電子憑證管理中心之線上憑證狀態協定(OCSP)回應訊息簽發模組產製出至少一具有電子簽章之OCSP回應訊息,以由OCSP回應訊息簽發模組將所產製之具有電子簽章之OCSP回應訊息發佈或設置到至少一雲端運算區域雲之複數雲端化OCSP回應器中;以及將OCSP用戶端連線至網路服務連結點(POP),以於OCSP用戶端連線至待查詢之網站服務時,由網路服務連結點導引OCSP用戶端之瀏覽器連線至與OCSP用戶端之距離最近之雲端化OCSP回應器,再通過距離最近之雲端化OCSP回應器,取得待查詢之網站服務的憑證相對應之具有電子簽章之OCSP回應訊息予OCSP用戶端,俾由OCSP用戶端之瀏覽器依據具有電子簽章之OCSP回應訊息,對待查詢之網站服務的憑證進行憑證狀態驗證作業。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉實施例,並配合所附圖式作詳細說明。在以下描述內容中將部分闡述本發明之額外特徵及優點,且此等特徵及優點將部分自所述描述內容可得而知,或可藉由對本發明之實踐習得。應理解,前文一般描述與以下詳細描述二者均僅為例示性及解釋性的,且不欲約束本發明所欲主張之範圍。
1:線上憑證狀態查詢回應器之系統
10:電子憑證管理中心
11:資料庫
12:安全簽章保密器
13:線上憑證狀態協定(OCSP)回應訊息簽發模組
13':可簽發混合效期之OCSP回應訊息簽發模組
14:具有電子簽章之OCSP回應訊息
15:OCSP查詢量反饋模組
20:雲端運算區域雲
21:雲端化OCSP回應器
30:網路服務連結點(POP)
40:OCSP用戶端
41:瀏覽器
S1、S2:步驟
第1圖為本發明中線上憑證狀態查詢回應器之系統的架構示意圖;
第2圖為本發明中線上憑證狀態查詢回應器之系統的反饋方式示意圖;以及
第3圖為本發明中線上憑證狀態查詢回應器之方法的流程示意圖。
以下藉由特定的具體實施形態說明本發明之實施方式,熟悉此技術之人士可由本說明書所揭示之內容了解本發明之其他優點與功效,亦可因而藉由其他不同的具體等同實施形態加以施行或應用。
第1圖為本發明中(高效率)線上憑證狀態查詢回應器之系統1的架構示意圖。如圖所示,線上憑證狀態查詢回應器之系統1包括一電子憑證管理中心10、至少一或複數(如二或三個以上)雲端運算區域雲20、至少一網路服務連結點(point-of-presence;POP)30與至少一線上憑證狀態協定(OCSP)用戶端40。電子憑證管理中心10具有一資料庫11、一安全簽章保密器12與一線上憑證狀態協定(OCSP)回應訊息簽發模組13,各雲端運算區域雲20中皆設有至少一或複數(如二或三個以上)雲端化OCSP回應器21,且OCSP用戶端40具有一瀏覽器41。
例如,電子憑證管理中心10可為電子憑證管理中心系統(子系統)、電子憑證管理中心平台、電子憑證管理中心裝置等。資料庫11可為憑證管理中心(Certificate Authority;CA)資料庫等,亦可表示各種的資料儲存媒介(如資料伺服器、資料儲存器、硬碟/雲端硬碟、記憶體)。線上憑證狀態協定(OCSP)回應訊息簽發模組13可為OCSP回應訊息簽發器或OCSP回應訊息簽發程式等。OCSP用戶端40可為行動裝置(如智慧型手機
/智慧型手錶)、電腦(如平板電腦/桌上型電腦/筆記型電腦)等。瀏覽器41可為各種的網際網路瀏覽器等。但是,本發明並不以此為限。
電子憑證管理中心10之線上憑證狀態協定(OCSP)回應訊息簽發模組13可使用或透過安全簽章保密器12(或安全簽章保密器12之電子簽章模組),以定期或不定期地針對電子憑證管理中心10之資料庫11中(所有)已簽發憑證之狀態與憑證之相關資訊加入電子簽章的保護,以據之產製出至少一或複數具有電子簽章之線上憑證狀態協定(OCSP)回應訊息14,且此具有電子簽章之OCSP回應訊息14符合OCSP協定中所規範之OCSP回應訊息的封包格式。
電子憑證管理中心10之線上憑證狀態協定(OCSP)回應訊息簽發模組13可將所產製之具有電子簽章之OCSP回應訊息14,透過雲端運算安全傳輸方法(雲端運算環境安全傳輸方法)發佈或設置到各雲端運算區域雲20之雲端化OCSP回應器21(如複數不同區域、不同位置或不同距離之雲端化OCSP回應器21)中以作為OCSP服務的回應訊息,俾使雲端化OCSP回應器21能提供符合OCSP協定規範的OCSP服務予OCSP用戶端40。此線上憑證狀態查詢回應器之系統1的架構可依據運作環境之用量需求而設置複數或n個(如二或三個以上)雲端運算區域雲20,且各雲端運算區域雲20會將各自區域內的雲端化OCSP回應器21註冊到網路服務連結點(POP)30上。
當OCSP用戶端40透過本身之運作平台上的瀏覽器41(網際網路瀏覽器),以有線或無線網路連線至待查詢之網站服務(如超文本傳輸安全協定(HyperText Transfer Protocol Secure;HTTPS)網站服務)時,
OCSP用戶端40可透過瀏覽器41(網際網路瀏覽器)內建之OCSP應用程式介面模組連線至網路服務連結點(POP)30,使網路服務連結點(POP)30快速地導引OCSP用戶端40之運作平台上的瀏覽器41(網際網路瀏覽器),連線至與OCSP用戶端40之距離最近之雲端化OCSP回應器21的所在,以通過距離最近之雲端化OCSP回應器21,快速地取得待查詢之網站服務之憑證(如安全套接層(Secure Sockets Layer;SSL)憑證)相對應之具有電子簽章之OCSP回應訊息14予OCSP用戶端40,使OCSP用戶端40之瀏覽器41(網際網路瀏覽器)快速地依據相對應之具有電子簽章之OCSP回應訊息14,對待查詢之網站服務(如HTTPS網站服務)的憑證(如SSL憑證)進行憑證狀態驗證作業,且以上之作業將會在OCSP用戶端40之運作平台無感覺之下快速地完成。
具有電子簽章之OCSP回應訊息14的訊息格式符合OCSP協定之規範,且具有電子簽章之OCSP回應訊息14包括產製時間(thisUpdate)與下次更新時間(nextUpdate)等兩個時間屬性值。產製時間說明預先簽發具有電子簽章之OCSP回應訊息14的時間,而下次更新時間說明具有電子簽章之OCSP回應訊息14的有效使用時間,且此產製時間與下次更新時間(兩個時間屬性值)之間隔設定可以依據實際運作環境條件來設定,使OCSP用戶端40依據產製時間與下次更新時間(兩個時間屬性值或屬性條件),判斷或驗證具有電子簽章之OCSP回應訊息14的時效性。
線上憑證狀態查詢回應器之系統1能以線上憑證狀態協定(OCSP)為基礎,提供快速的憑證狀態回應訊息來驗證憑證的有效性,且在複數雲端運算區域雲20(雲端運算環境)中分別建置至少一或複數(如二或
三個以上)雲端化OCSP回應器21。當OCSP用戶端40查詢憑證狀態時,可透過網路服務連結點(POP)30連線至與OCSP用戶端40之距離最近之雲端化OCSP回應器21,以透過距離最近之雲端化OCSP回應器21取得快速回覆又可信賴的憑證狀態查詢服務。
申言之,電子憑證管理中心10之OCSP回應訊息簽發模組13可預先產製至少一或複數具有電子簽章之OCSP回應訊息14(電子憑證之OCSP回應訊息),且具有電子簽章之OCSP回應訊息14(電子憑證之OCSP回應訊息)包括憑證狀態資訊、有效日期與電子憑證管理中心10之電子簽章的保證。接著,電子憑證管理中心10之OCSP回應訊息簽發模組13可透過雲端運算區域雲20的雲端運算安全傳輸方法(雲端運算環境安全傳輸方法),將預先產製的具有電子簽章之OCSP回應訊息14提供予雲端化OCSP回應器21,而OCSP用戶端40可藉由OCSP規範的應用程式介面或工具,透過網際網路服務提供者(Internet Service Provider;ISP)所提供的網路服務連結點(POP)30之運作連線至與OCSP用戶端40之距離最近之雲端化OCSP回應器21,以透過距離最近之雲端化OCSP回應器21快速地查詢到可信賴之憑證狀態資訊。然後,第2圖所示電子憑證管理中心10之OCSP查詢量反饋模組15可分析或統計哪些憑證的被查詢量(被查詢的次數或被查詢的使用量)較多,以由雲端化OCSP回應器21依據被查詢量較多的憑證來調校或提升OCSP回應訊息簽發模組13的簽發效能。
舉例而言,電子憑證管理中心10在複數區域(如北區、中區、南區等三區)之雲端運算區域雲20設置複數雲端化OCSP回應器21,且複數區域(如北區、中區、南區等三區)之雲端運算區域雲20會將各自區域內
之複數雲端化OCSP回應器21註冊到網際網路服務提供者(ISP)所提供的網路服務連結點(POP)30上。
電子憑證管理中心10可簽發複數網站服務之憑證(如SSL憑證)給予各地區之網站系統,讓這些網站系統可以採用HTTPS安全傳輸環境來傳遞網站服務內容。當OCSP用戶端40透過瀏覽器41(網際網路瀏覽器)使用網站服務時,瀏覽器41(網際網路瀏覽器)需要先驗證憑證狀態資訊(如SSL憑證狀態資訊)才可信任網站服務內容。
現行OCSP用戶端40上的瀏覽器41(網際網路瀏覽器),大多數都可支援內建之OCSP應用程式介面來運作OCSP服務,以查驗網站服務所使用的憑證狀態資訊(如SSL憑證狀態資訊)。因此,OCSP用戶端40之瀏覽器41(網際網路瀏覽器)可先連線至有註冊憑證(如SSL憑證)中記載OCSP服務網址之網路服務連結點(POP)30,再透過網路服務連結點(POP)30快速地導引瀏覽器41(網際網路瀏覽器),連線至與OCSP用戶端40之距離最近之雲端化OCSP回應器21的所在,以通過距離最近之雲端化OCSP回應器21快速地取得待查詢之網站服務之憑證(如SSL憑證)相對應之具有電子簽章之OCSP回應訊息14,使瀏覽器41(網際網路瀏覽器)快速地對HTTPS網站服務之憑證(如SSL憑證)進行憑證狀態驗證作業。
以上之作業將會OCSP用戶端40無感覺之下快速地完成,使OCSP用戶端40可以安心繼續地瀏覽或使用各個HTTPS網站服務。假若電子憑證管理中心10所簽發的憑證(如SSL憑證)是給予國際上各個國家之網站系統使用,雲端化OCSP回應器21便能設置在各個國家之雲端運算區域雲20,以提供高效率的線上憑證查詢與驗證服務給予各個國家的
OCSP用戶端40來驗證HTTPS網站服務的安全性與可信度。
本發明採用雲端運算資源來設計或控管雲端化OCSP回應器21,並安全傳輸具有電子簽章之OCSP回應訊息14至雲端化OCSP回應器21,其中控管與指派雲端化OCSP回應器21皆由雲端運算區域雲20來調派資源,而電子憑證管理中心10僅需負責簽發或傳輸具有電子簽章之OCSP回應訊息14,其他網路影響因素與訊息的安全傳遞皆由雲端運算區域雲20來控管。因此,本發明中線上憑證狀態查詢回應器之系統1能因應現行之HTTPS網站服務普及化,提供安全傳輸的憑證(如SSL憑證)狀態驗證與查詢作業之需求量非常大,且要求電子憑證管理中心10必須快速地回傳可信賴之憑證狀態資訊的情形。
本發明可使電子憑證管理中心10不用再直接面對大量頻繁的OCSP查詢需求,亦不會面臨產製或回傳具有電子簽章之OCSP回應訊息14之處理速度太慢的問題,也能減輕電子憑證管理中心10(電子憑證管理系統)之運作與管理上的負擔。對於大量的HTTPS網站服務的伺服器(如SSL伺服器)之憑證狀態查詢與驗證作業,透過本發明同樣能提供符合國際標準OCSP協定之憑證狀態查詢服務,以快速地取得可信賴之憑證狀態資訊(如SSL憑證狀態資訊),使OCSP用戶端40能安心瀏覽或使用各個HTTPS網站服務。
本發明可無須額外新增與產製具有電子簽章之OCSP回應訊息14之屬性,以減輕OCSP回應訊息簽發模組13之耗費資源的負擔,使OCSP回應訊息簽發模組13能加快預先簽發具有電子簽章之OCSP回應訊息14的速度,亦能使OCSP用戶端40執行具有電子簽章之OCSP回
應訊息14之驗證程序。因此,本發明可以既有的電子憑證管理中心10之電子簽章的保證,便能提供安全又可靠的憑證狀態回應資訊。
本發明採用雲端運算資源來設計雲端化OCSP回應器21,且控管與指派雲端化OCSP回應器21皆由雲端運算區域雲20來調派資源。所以,除了網路斷線之情形,本發明不會發生OCSP用戶端40找不到附近的雲端化OCSP回應器21之困擾,亦不會如現有技術將OCSP用戶端的查詢請求傳輸或集中在特定少數幾個OCSP回應器,從而提供快速又穩定的OCSP服務予OCSP用戶端40來驗證電子憑證狀態的有效性。
第2圖為本發明中線上憑證狀態查詢回應器之系統1的反饋方式示意圖。如圖所示,各雲端運算區域雲20之雲端化OCSP回應器21可記錄或統計憑證(憑證序號)之被查詢量(被查詢的使用量),以將憑證(憑證序號)之被查詢量(被查詢的使用量),反饋至電子憑證管理中心10之OCSP查詢量反饋模組15,且OCSP查詢量反饋模組15可將憑證(憑證序號)之被查詢量(被查詢的使用量)儲存於電子憑證管理中心10之資料庫11(如CA資料庫)中。
電子憑證管理中心10具有一可簽發混合效期之OCSP回應訊息簽發模組13',且可簽發混合效期之OCSP回應訊息簽發模組13'可針對被查詢量較多的憑證(憑證序號)簽發混合效期之具有電子簽章之OCSP回應訊息14,使可簽發混合效期之OCSP回應訊息簽發模組13'不用頻繁地更新全部的具有電子簽章之OCSP回應訊息14,只需要針對被查詢量較多的憑證進行簽發或重新產製混合效期之具有電子簽章之OCSP回應訊息14。此混合效期之設計能提高憑證狀態的準確性,不會被OCSP用戶端40
懷疑效期太長時,該憑證狀態是否有所異動,以提升OCSP用戶端40的信賴性。例如,混合效期可為短效期(如0.5天的效期)、中效期(如1.5天的效期)與長效期(如3天的效期)其中任二者之混合或組合。
當雲端化OCSP回應器21遇到查詢不到的網站憑證狀態(如SSL憑證狀態)時,雲端化OCSP回應器21會以OCSP協定規範為基礎,將具有電子簽章之OCSP回應訊息14(OCSP回應訊息封包)中的OCSP回應訊息狀態(OCSPResponseStatus)之屬性值設定為未授權查詢(unauthorized),用以告知OCSP用戶端40,表示待查詢網站的憑證(如SSL憑證)為未被授權查詢的狀態,亦即代表該網站憑證狀態為不可信任的。
舉例而言,雲端化OCSP回應器21可記錄或統計憑證(憑證序號)之被查詢量(被查詢的使用量),以將憑證(憑證序號)之被查詢量(被查詢的使用量),反饋至電子憑證管理中心10之OCSP查詢量反饋模組15。接著,可簽發混合效期之OCSP回應訊息簽發模組13'可依據憑證之被查詢量的紀錄,進行具有電子簽章之OCSP回應訊息14之效期(有效期)的群組區分。例如,第一群組具有最頻繁被查詢的頻率,則可簽發混合效期之OCSP回應訊息簽發模組13'簽發出具有電子簽章之OCSP回應訊息14之效期可為最短或短效期,如0.5天的效期(表示每0.5天就被更新);第二群組具有適中被查詢的頻率,則可簽發混合效期之OCSP回應訊息簽發模組13'簽發出具有電子簽章之OCSP回應訊息14之效期可為適中或中效期,如1.5天的效期(表示每1.5天就被更新);以及第三群組具有最少被查詢的頻率,則可簽發混合效期之OCSP回應訊息簽發模組13'簽發出具有電子簽章之OCSP回應訊息14之效期可為最長或長效期,如3天的效期(表示
每3天就被更新)。
當OCSP用戶端40透過瀏覽器41(網際網路瀏覽器)連線至最多流量的網站服務系統時,便能取得混合效期之具有電子簽章之OCSP回應訊息14來驗證網站服務之憑證(如SSL憑證)的有效性,也不用擔心短效期(如0.5天內)之憑證(如SSL憑證)有被廢止或者其他異動,以提升OCSP用戶端40對網站服務之憑證(如SSL憑證)的信賴度。因此,可簽發混合效期之OCSP回應訊息簽發模組13'能依據被查詢的頻率進行簽發作業與資源之效能調配,而不會佔用到電子憑證管理中心10之其他運作功能的資源。
本發明採用雲端運算資源來設計雲端化OCSP回應器21,電子憑證管理中心10之OCSP回應訊息簽發模組13可將預先簽發之具有電子簽章之OCSP回應訊息14,透過雲端運算安全傳輸方法(雲端運算環境安全傳輸方法)傳送至各雲端運算區域雲20之雲端化OCSP回應器21,且電子憑證管理中心10之OCSP查詢量反饋模組15具有反饋機制設計以找出被查詢量較多的網站服務之憑證(如SSL憑證),使可簽發混合效期之OCSP回應訊息簽發模組13'僅針對被查詢量(被查詢的使用量)較多的憑證(憑證序號)簽發混合效期之具有電子簽章之OCSP回應訊息14(OCSP回應訊息封包),故可簽發混合效期之OCSP回應訊息簽發模組13'不用每次都更新全部的OCSP回應訊息,只需針對被查詢量較多的憑證,進行重新產製混合效期之具有電子簽章之OCSP回應訊息14(OCSP回應訊息封包)即可。此混合效期之設計能提高憑證狀態的準確性,不會被OCSP用戶端40懷疑效期太長時,該憑證狀態是否有所異動,故可簽發混合效期之OCSP
回應訊息簽發模組13'之運作資源能適度地調配使用,不需要一次簽發整個資料庫11(CA資料庫)中的所有憑證,亦不會佔用資料庫11(CA資料庫)的太多查詢資源。
第3圖為本發明中線上憑證狀態查詢回應器之方法的流程示意圖,並參照第1圖予以說明。同時,此線上憑證狀態查詢回應器之方法的主要技術內容如下,其餘內容相同於上述第1圖至第2圖之詳細說明,於此不再重覆敘述。
在第3圖之步驟S1中,由第1圖所示電子憑證管理中心10之一線上憑證狀態協定(OCSP)回應訊息簽發模組13產製出至少一具有電子簽章之線上憑證狀態協定(OCSP)回應訊息14,以由OCSP回應訊息簽發模組13將所產製之具有電子簽章之OCSP回應訊息14發佈或設置到至少一雲端運算區域雲20之複數雲端化線上憑證狀態協定(OCSP)回應器21(如不同區域、不同位置或不同距離之複數雲端化OCSP回應器21)中。
在第3圖之步驟S2中,將第1圖所示OCSP用戶端40連線至網路服務連結點(POP)30,以於OCSP用戶端40連線至待查詢之網站服務時,由網路服務連結點(POP)30導引OCSP用戶端40之瀏覽器41,連線至與OCSP用戶端40之距離最近之雲端化OCSP回應器21,再通過距離最近之雲端化OCSP回應器21,取得待查詢之網站服務的憑證相對應之具有電子簽章之OCSP回應訊息14予OCSP用戶端40,俾由OCSP用戶端40之瀏覽器41依據具有電子簽章之OCSP回應訊息14,對待查詢之網站服務的憑證進行憑證狀態驗證作業。
綜上,本發明中線上憑證狀態查詢回應器之系統及方法可至
少具有下列特色、優點或技術功效。
一、本發明利用線上憑證狀態協定(OCSP)與雲端化OCSP回應器之結合來提升回應OCSP用戶端之查詢憑證狀態的效率,再藉由網路服務連結點(POP)快速地連線至與OCSP用戶端之距離最近之雲端化OCSP回應器,以通過距離最近之雲端化OCSP回應器快速地取得待查詢之網站服務之憑證(如SSL憑證)相對應之具有電子簽章之OCSP回應訊息,俾利OCSP用戶端之瀏覽器快速地進行憑證狀態驗證作業。同時,本發明能避免如現有技術中出現OCSP服務查詢都集中在特定少數幾個OCSP回應器上而延長了憑證(如SSL憑證)狀態的驗證時間。
二、本發明之具有電子簽章之OCSP回應訊息包括電子憑證管理中心之電子簽章的保證,以利證明各雲端化OCSP回應器所回傳之訊息中的憑證狀態資訊沒有被竄改而具有高度的可信賴性。
三、本發明能使電子憑證管理中心減輕線上憑證狀態查詢服務之負擔,不用再直接面對大量的OCSP查詢要求,亦不會有產製或回傳OCSP回應訊息之速度太慢的問題,而是交付雲端化OCSP回應器來處理。同時,本發明能因應現行之超文本傳輸安全協定(HTTPS)網站服務普及化,提供安全傳輸加密封包的憑證(如SSL憑證)狀態,查詢與驗證憑證(如SSL憑證)狀態的需求量非常大,並要求電子憑證管理中心必須快速地回傳可信賴之憑證狀態資訊的情形。
四、本發明能找出被查詢量較多的網站服務之憑證(如SSL憑證),使OCSP回應訊息簽發模組針對被查詢量(被查詢的使用量)較多的憑證(憑證序號)簽發混合效期之具有電子簽章之OCSP回應訊息(封包),故
OCSP回應訊息簽發模組不用每次更新全部的OCSP回應訊息,只需針對被查詢量較多的憑證,進行重新產製混合效期之具有電子簽章之OCSP回應訊息(封包)即可,且此混合效期之設計能提高憑證狀態的準確性,不會被OCSP用戶端懷疑效期太長時,該憑證狀態是否有所異動。
五、本發明透過OCSP查詢量反饋模組將OCSP回應訊息簽發模組之運作資源適度地調配使用,不需要一次簽發整個資料庫(如CA資料庫)中的所有憑證,亦不會佔用資料庫(CA資料庫)的太多查詢資源。
六、本發明之電子憑證管理中心與雲端化OCSP回應器間之傳輸模式,皆可以結合網際網路上軟硬體模式的資訊安全傳輸方法,或者採用雲端運算環境中所提供的資訊安全傳遞模式,俾能確實達到資訊安全傳輸。
七、本發明利用OCSP驗證方法為基礎,而憑證應用系統端使用既有的OCSP用戶端程式介面,不限制於瀏覽器(網際網路瀏覽器)這個工具,即可以在不需要花費介接或使用成本的情形之下,便能直接使用本發明進行可信賴的憑證狀態查詢與驗證作業。
八、本發明可能應用於公開金鑰基礎建設(PKI)相關系統或電子憑證管理中心,若有簽發伺服器(如SSL伺服器)之應用憑證,便需建置OCSP回應器之環境來提供快速穩定的OCSP服務,使OCSP用戶端進行驗證電子憑證狀態作業。同時,用以提供快速又穩定的線上憑證查詢狀態服務之電子憑證管理中心,皆可採用本發明來建置高效能的線上憑證狀態查詢系統。
上述實施形態僅例示性說明本發明之原理、特點及其功效,
並非用以限制本發明之可實施範疇,任何熟習此項技藝之人士均能在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。任何使用本發明所揭示內容而完成之等效改變及修飾,均仍應為申請專利範圍所涵蓋。因此,本發明之權利保護範圍,應如申請專利範圍所列。
1:線上憑證狀態查詢回應器之系統
10:電子憑證管理中心
11:資料庫
12:安全簽章保密器
13:線上憑證狀態協定(OCSP)回應訊息簽發模組
14:具有電子簽章之OCSP回應訊息
20:雲端運算區域雲
21:雲端化OCSP回應器
30:網路服務連結點(POP)
40:OCSP用戶端
41:瀏覽器
Claims (16)
- 一種線上憑證狀態查詢回應器之系統,包括:一具有線上憑證狀態協定(OCSP)回應訊息簽發模組之電子憑證管理中心,且該OCSP回應訊息簽發模組係用以產製出至少一具有電子簽章之OCSP回應訊息;複數不同區域、不同位置或不同距離之雲端化OCSP回應器,係設置於至少一雲端運算區域雲中,且該電子憑證管理中心之該OCSP回應訊息簽發模組將所產製之該具有電子簽章之OCSP回應訊息發佈或設置到該雲端運算區域雲之複數不同區域、不同位置或不同距離之雲端化OCSP回應器中;以及一網路服務連結點(POP),係連線至一OCSP用戶端,以於該OCSP用戶端連線至待查詢之網站服務時,由該網路服務連結點導引該OCSP用戶端之瀏覽器連線至該雲端運算區域雲之複數不同區域、不同位置或不同距離之雲端化OCSP回應器中與該OCSP用戶端之距離最近之該雲端化OCSP回應器,再通過距離最近之該雲端化OCSP回應器取得該待查詢之網站服務的憑證相對應之該具有電子簽章之OCSP回應訊息予該OCSP用戶端,俾由該OCSP用戶端之瀏覽器依據該具有電子簽章之OCSP回應訊息,對該待查詢之網站服務的憑證進行憑證狀態驗證作業。
- 如申請專利範圍第1項所述之系統,其中,該OCSP回應訊息簽發模組係將所產製之該具有電子簽章之OCSP回應訊息,透過雲端運算安全傳輸方法發佈或設置到該雲端運算區域雲之雲端化OCSP回應器中, 以作為OCSP服務的回應訊息,俾使該雲端化OCSP回應器提供符合OCSP協定規範的OCSP服務予該OCSP用戶端。
- 如申請專利範圍第1項所述之系統,其中,該具有電子簽章之OCSP回應訊息係包括產製時間與下次更新時間,該產製時間說明預先簽發之該具有電子簽章之OCSP回應訊息的時間,且該下次更新時間說明該具有電子簽章之OCSP回應訊息的有效使用時間,以供該OCSP用戶端依據該產製時間與該下次更新時間,判斷或驗證該具有電子簽章之OCSP回應訊息的時效性。
- 如申請專利範圍第1項所述之系統,係採用雲端運算資源來設計該雲端化OCSP回應器,其中,控管與指派該雲端化OCSP回應器皆由該雲端運算區域雲來調派資源,而該電子憑證管理中心僅負責簽發或傳輸該具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第1項所述之系統,其中,該電子憑證管理中心更具有一安全簽章保密器,以由該OCSP回應訊息簽發模組透過該安全簽章保密器或該安全簽章保密器之電子簽章模組,將該電子憑證管理中心之資料庫中已簽發憑證之狀態與該憑證之相關資訊加入電子簽章的保護,以據之產製出該具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第1項所述之系統,其中,該電子憑證管理中心更具有一OCSP查詢量反饋模組,且該雲端化OCSP回應器更記錄或統計該憑證之被查詢量,以由該雲端化OCSP回應器將該憑證之被查詢量反饋至該OCSP查詢量反饋模組,再由該OCSP查詢量反饋模組將該憑證之被查詢量儲存於該電子憑證管理中心之資料庫。
- 如申請專利範圍第1項所述之系統,其中,該電子憑證管理中心更具有一可簽發混合效期之OCSP回應訊息簽發模組,且該可簽發混合效期之OCSP回應訊息簽發模組,針對被查詢量較多的憑證簽發或重新產製混合效期之具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第1項所述之系統,其中,當該雲端化OCSP回應器遇到查詢不到的網站憑證狀態時,該雲端化OCSP回應器將該具有電子簽章之OCSP回應訊息中的OCSP回應訊息狀態之屬性值設定為未授權查詢,用以表示待查詢網站的憑證為未被授權查詢的狀態或該網站憑證狀態為不可信任。
- 一種線上憑證狀態查詢回應器之方法,包括:由電子憑證管理中心之線上憑證狀態協定(OCSP)回應訊息簽發模組產製出至少一具有電子簽章之OCSP回應訊息,以由該電子憑證管理中心之該OCSP回應訊息簽發模組將所產製之該具有電子簽章之OCSP回應訊息發佈或設置到至少一雲端運算區域雲之複數不同區域、不同位置或不同距離之雲端化OCSP回應器中;以及將OCSP用戶端連線至網路服務連結點(POP),以於該OCSP用戶端連線至待查詢之網站服務時,由該網路服務連結點導引該OCSP用戶端之瀏覽器連線至該雲端運算區域雲之複數不同區域、不同位置或不同距離之雲端化OCSP回應器中與該OCSP用戶端之距離最近之該雲端化OCSP回應器,再通過距離最近之該雲端化OCSP回應器取得該待查詢之網站服務的憑證相對應之該具有電子簽章之OCSP回應訊息予該OCSP用戶端,俾 由該OCSP用戶端之瀏覽器依據該具有電子簽章之OCSP回應訊息對該待查詢之網站服務的憑證進行憑證狀態驗證作業。
- 如申請專利範圍第9項所述之方法,更包括由該OCSP回應訊息簽發模組將所產製之該具有電子簽章之OCSP回應訊息,透過雲端運算安全傳輸方法發佈或設置到該雲端運算區域雲之雲端化OCSP回應器中,以作為OCSP服務的回應訊息,俾使該雲端化OCSP回應器提供符合OCSP協定規範的OCSP服務予該OCSP用戶端。
- 如申請專利範圍第9項所述之方法,其中,該具有電子簽章之OCSP回應訊息係包括產製時間與下次更新時間,該產製時間說明預先簽發之該具有電子簽章之OCSP回應訊息的時間,且該下次更新時間說明該具有電子簽章之OCSP回應訊息的有效使用時間,以供該OCSP用戶端依據該產製時間與該下次更新時間,判斷或驗證該具有電子簽章之OCSP回應訊息的時效性。
- 如申請專利範圍第9項所述之方法,係採用雲端運算資源來設計該雲端化OCSP回應器,其中,控管與指派該雲端化OCSP回應器皆由該雲端運算區域雲來調派資源,而該電子憑證管理中心僅負責簽發或傳輸該具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第9項所述之方法,更包括由該OCSP回應訊息簽發模組透過一安全簽章保密器或該安全簽章保密器之電子簽章模組,將該電子憑證管理中心之資料庫中已簽發憑證之狀態與該憑證之相關資訊加入電子簽章的保護,以據之產製出該具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第9項所述之方法,更包括由該雲端化OCSP回應器記錄或統計該憑證之被查詢量,以由該雲端化OCSP回應器將該憑證之被查詢量,反饋至該電子憑證管理中心之OCSP查詢量反饋模組,再由該OCSP查詢量反饋模組將該憑證之被查詢量儲存於該電子憑證管理中心之資料庫。
- 如申請專利範圍第9項所述之方法,更包括由該電子憑證管理中心之可簽發混合效期之OCSP回應訊息簽發模組,針對被查詢量較多的憑證簽發或重新產製混合效期之具有電子簽章之OCSP回應訊息。
- 如申請專利範圍第9項所述之方法,更包括當該雲端化OCSP回應器遇到查詢不到的網站憑證狀態時,該雲端化OCSP回應器將該具有電子簽章之OCSP回應訊息中的OCSP回應訊息狀態之屬性值設定為未授權查詢,用以表示待查詢網站的憑證為未被授權查詢的狀態或該網站憑證狀態為不可信任。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109108966A TWI718033B (zh) | 2020-03-18 | 2020-03-18 | 線上憑證狀態查詢回應器之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109108966A TWI718033B (zh) | 2020-03-18 | 2020-03-18 | 線上憑證狀態查詢回應器之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI718033B true TWI718033B (zh) | 2021-02-01 |
| TW202137731A TW202137731A (zh) | 2021-10-01 |
Family
ID=75745627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109108966A TWI718033B (zh) | 2020-03-18 | 2020-03-18 | 線上憑證狀態查詢回應器之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI718033B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI760160B (zh) * | 2021-03-26 | 2022-04-01 | 凌群電腦股份有限公司 | 降低伺服端運作壓力並提升回應時間之流量控制方法及其系統 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201220804A (en) * | 2010-11-09 | 2012-05-16 | Chunghwa Telecom Co Ltd | comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end |
| CN103888360A (zh) * | 2014-03-19 | 2014-06-25 | 西安交通大学 | 基于贪婪算法的集合覆盖方法获取sdn网中服务节点的方法 |
| TW201511515A (zh) * | 2013-09-06 | 2015-03-16 | Chunghwa Telecom Co Ltd | 動態調整雲端憑證狀態驗證之方法 |
| CN107295510A (zh) * | 2016-03-31 | 2017-10-24 | 中国移动通信有限公司研究院 | 基于ocsp实现家庭基站准入控制的方法、设备及系统 |
| EP1706954B1 (en) * | 2004-01-09 | 2018-07-25 | Assa Abloy Ab | Signature-efficient real time credentials for ocsp and distributed ocsp |
| US20190182237A1 (en) * | 2016-09-13 | 2019-06-13 | Queralt, Inc. | Mobile Authentication And Registration For Digital Certificates |
-
2020
- 2020-03-18 TW TW109108966A patent/TWI718033B/zh active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1706954B1 (en) * | 2004-01-09 | 2018-07-25 | Assa Abloy Ab | Signature-efficient real time credentials for ocsp and distributed ocsp |
| TW201220804A (en) * | 2010-11-09 | 2012-05-16 | Chunghwa Telecom Co Ltd | comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end |
| TW201511515A (zh) * | 2013-09-06 | 2015-03-16 | Chunghwa Telecom Co Ltd | 動態調整雲端憑證狀態驗證之方法 |
| CN103888360A (zh) * | 2014-03-19 | 2014-06-25 | 西安交通大学 | 基于贪婪算法的集合覆盖方法获取sdn网中服务节点的方法 |
| CN107295510A (zh) * | 2016-03-31 | 2017-10-24 | 中国移动通信有限公司研究院 | 基于ocsp实现家庭基站准入控制的方法、设备及系统 |
| US20190182237A1 (en) * | 2016-09-13 | 2019-06-13 | Queralt, Inc. | Mobile Authentication And Registration For Digital Certificates |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI760160B (zh) * | 2021-03-26 | 2022-04-01 | 凌群電腦股份有限公司 | 降低伺服端運作壓力並提升回應時間之流量控制方法及其系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202137731A (zh) | 2021-10-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7273148B2 (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
| CN112422532B (zh) | 业务通信方法、系统、装置及电子设备 | |
| US8627409B2 (en) | Framework for automated dissemination of security metadata for distributed trust establishment | |
| JP5522307B2 (ja) | 仮想機械によるソフトウェアテストを用いた電子ネットワークにおけるクライアントシステムの遠隔保守のためのシステム及び方法 | |
| JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
| JP4474845B2 (ja) | Crl発行通知機能付き認証基盤システム | |
| US7178029B2 (en) | Method and apparatus for validating a digital signature | |
| CN110069908A (zh) | 一种区块链的权限控制方法及装置 | |
| US20180020008A1 (en) | Secure asynchronous communications | |
| CN1783781A (zh) | 附带电子签名的电子文件交换支持方法及信息处理装置 | |
| TWI718033B (zh) | 線上憑證狀態查詢回應器之系統及方法 | |
| WO2022088710A1 (zh) | 一种镜像管理方法及装置 | |
| EP4203377A1 (en) | Service registration method and device | |
| TWI539784B (zh) | Dynamically adjust the method of cloud certificate status verification | |
| US20220318356A1 (en) | User registration method, user login method and corresponding device | |
| TW201220804A (en) | comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end | |
| CN114861144A (zh) | 基于区块链的数据权限处理方法 | |
| KR102639228B1 (ko) | 익명 이벤트 증명 | |
| CN112994882A (zh) | 基于区块链的鉴权方法、装置、介质及设备 | |
| US20210258172A1 (en) | Method for monitoring digital certificates | |
| CN116846682B (zh) | 通信信道建立方法、装置、设备及介质 | |
| KR101355080B1 (ko) | 컨텐츠 프로바이더를 위한 디지털 원본 컨텐츠 배포 시스템 및 방법 | |
| JP4582030B2 (ja) | Crl発行通知機能付き認証基盤システム | |
| Huawei Technologies Co., Ltd. | Cloud Computing System | |
| KR20240059302A (ko) | 분산 id 기반 서비스의 암복호화 통신 방법 및 장치 |