TWI744844B - 憑證安全簽發與管理系統及方法 - Google Patents

憑證安全簽發與管理系統及方法 Download PDF

Info

Publication number
TWI744844B
TWI744844B TW109110833A TW109110833A TWI744844B TW I744844 B TWI744844 B TW I744844B TW 109110833 A TW109110833 A TW 109110833A TW 109110833 A TW109110833 A TW 109110833A TW I744844 B TWI744844 B TW I744844B
Authority
TW
Taiwan
Prior art keywords
certificate
unit
issuance
verification
attachment
Prior art date
Application number
TW109110833A
Other languages
English (en)
Other versions
TW202137033A (zh
Inventor
賴育承
呂佳諺
Original Assignee
尚承科技股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 尚承科技股份有限公司 filed Critical 尚承科技股份有限公司
Priority to TW109110833A priority Critical patent/TWI744844B/zh
Priority to US17/111,401 priority patent/US11418350B2/en
Priority to JP2020218801A priority patent/JP7191926B2/ja
Priority to EP20217648.3A priority patent/EP3890263A1/en
Publication of TW202137033A publication Critical patent/TW202137033A/zh
Application granted granted Critical
Publication of TWI744844B publication Critical patent/TWI744844B/zh

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • H04L9/0841Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols
    • H04L9/0844Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these involving Diffie-Hellman or related key agreement protocols with user authentication or key authentication, e.g. ElGamal, MTI, MQV-Menezes-Qu-Vanstone protocol or Diffie-Hellman protocols using implicitly-certified keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

一種憑證安全簽發與管理系統及方法,憑證簽發子系統是建構在受控管場所的設備中,外部除非得到授權,否則無法任意存取內部的資料,而且申請憑證的各單元都需要進行身分的確認,增加了憑證申請與簽發的安全性。另外,憑證簽發子系統是具有運算能力的設備,其運行速度快,可以增加憑證簽發的效率。因為申請憑證的單位不需要自行建置簽發憑證的系統,只要跟本發明的憑證簽發子系統連線,即可申請及獲取憑證,可節省企業營運成本。

Description

憑證安全簽發與管理系統及方法
本發明係有關於一種憑證申請及簽發的技術領域,特別是有關於一種憑證安全簽發與管理系統及方法。
現有的憑證簽發系統是儲存在快閃磁碟(flash disk)中,將快閃磁碟連接於製造端的設備後,由快閃磁碟中的憑證簽發系統簽發憑證。但是這種簽發憑證的方式,由於是儲存在快閃磁碟中,可以任意攜帶,而且沒有保護內部檔案的設施,有極大的風險被第三方竊取。另外,由於這樣的憑證簽發系統是儲存在快閃磁碟中,執行速度較差。而且現有的憑證簽發系統須由有憑證需求的單位自行建置,會提高所需要的成本。
有鑑於此,本發明的目的在於提供一種憑證安全簽發與管理系統及方法。可以解決現有技術在安全性、執行速度及建置成本的問題。
為了解決上述技術問題,本發明的憑證安全簽發與管理系統的一實施例包括一憑證需求端、一憑證附加子系統以及一憑證簽發子系統。憑證需求端使用非對稱演算法生成一對公鑰及私鑰,該私鑰無法由外部存 取,需事先經過授權才能存取。憑證附加子系統包括一憑證附加單元、一憑證檢核單元以及一第一檢核單元;憑證附加單元連接於憑證需求端,用於將一憑證加入憑證需求端。憑證檢核單元連接於證附加單元且具有一憑證檢核單元識別資訊;第一檢核單元連接於憑證檢核單元,且具安全運算能力,需事先經過授權才能存取。憑證簽發子系統包括一註冊審批單元、一憑證簽發單元以及一第二檢核單元。註冊審批單元連接於憑證檢核單元且具有一註冊審批單元識別資訊;憑證簽發單元連接於註冊審批單元且具有一憑證簽發單元識別資訊;第二檢核單元連接註冊審批單元以及憑證簽發單元,且具有安全運算能力,需事先經過授權才能存取。憑證附加單元受信任於憑證檢核單元,憑證檢核單元受信任於註冊審批單元,及註冊審批單元受信任於憑證簽發單元。
在另一實施例中,第一檢核單元生成一憑證檢核單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證檢核單元憑證,且以憑證檢核單元憑證綁定憑證檢核單元識別資訊。
在另一實施例中,第一檢核單元連接於憑證附加單元,憑證附加單元具一憑證附加單元識別資訊,第一檢核單元生成一憑證附加單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證附加單元憑證,且以憑證附加單元憑證綁定憑證附加單元識別資訊,憑證附加單元受信任於憑證檢核單元。
在另一實施例中,憑證附加單元連接於一第三檢核單元,憑證附加單元具一憑證附加單元識別資訊,第三檢核單元生成一憑證附加單元公私鑰,對並據以向一共用上層憑證簽發單元申請一憑證附加單元憑證,且以憑證附加單元憑證綁定該證附加單元識別資訊,憑證附加單元受信任於憑證檢核單元。
在另一實施例中,第二檢核單元連接於註冊審批單元,註冊審批單元具一註冊審批單元識別資訊,第二檢核單元生成一註冊審批單元公私鑰對,並據以向一共用上層憑證簽發單元申請一註冊審批單元憑證,且以註冊審批單元憑證綁定註冊審批單元識別資訊,憑證檢核單元受信任於註冊審批單元。
在另一實施例中,第二檢核單元連接於憑證簽發單元,憑證簽發單元具一憑證簽發單元識別資訊,第二檢核單元生成一憑證簽發單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證簽發單元憑證,且以憑證簽發單元憑證綁定憑證簽發單元識別資訊,註冊審批單元受信任於憑證簽發單元。
在另一實施例中,憑證需求端產生一對公鑰及私鑰,並據以生成一憑證簽發請求,憑證檢核單元可透過憑證附加單元安全取得憑證簽發請求。
在另一實施例中,憑證需求端產生一對公鑰及私鑰,憑證檢核單元可透過憑證附加單元安全取得該公鑰,並據以生成憑證需求端的一憑證簽發請求。
在另一實施例中,憑證檢核單元可透過該註冊審批單元向憑證簽發單元安全傳送憑證簽發請求。
在另一實施例中,憑證簽發單元經由第二檢核單元簽發一憑證,憑證經由註冊審批單元以及憑證檢核單元傳送至憑證附加單元,由憑證附加單元將憑證加入憑證需求端。
為了解決上述技術問題,本發明的憑證安全簽發與管理方法的一實施例包括下列步驟:一憑證需求端使用非對稱演算法生成一對公鑰及私鑰,並據以生成一憑證簽發請求;一憑證附加單元自憑證需求端安全取得憑證簽發請求;一憑證檢核單元自憑證附加單元安全取得憑證簽發請求;憑證檢核單元安全傳送憑證簽發請求至一註冊審批單元;註冊審批單 元安全傳送憑證簽發請求至一憑證簽發單元;憑證簽發單元使用儲存於一第二檢核單元之一憑證簽發單元私鑰,針對憑證簽發請求簽發一憑證;憑證簽發單元透過註冊審批單元及憑證檢核單元安全傳送憑證至憑證附加單元;以及憑證附加單元將憑證加入憑證需求端。
為了解決上述技術問題,本發明的憑證安全簽發與管理方法的另一實施例包括下列步驟:一憑證需求端生成一對公鑰及私鑰;一憑證附加單元自憑證需求端安全取得該公鑰;一憑證檢核單元自憑證附加單元安全取得該公鑰;憑證檢核單元使用公鑰生成該憑證需求端之一憑證簽發請求;憑證檢核單元安全傳送憑證簽發請求至一註冊審批單元;註冊審批單元安全傳送憑證簽發請求至一憑證簽發單元;憑證簽發單元使用內置於第二檢核單元之憑證簽發單元之私鑰,針對憑證簽發請求簽發一憑證;憑證簽發單元透過註冊審批單元及憑證檢核單元安全傳送憑證至憑證附加單元;以及憑證附加單元將憑證加入憑證需求端。
本發明的憑證安全簽發與管理系統及方法中,憑證簽發子系統是建構在受控管場所的設備中,外部除非得到授權,否則無法任意存取內部的資料,而且申請憑證的各單元都需要進行身分的確認,增加了憑證申請與簽發的安全性。另外,憑證簽發子系統是具有運算能力的設備,其運行速度快,可以增加憑證簽發的效率。因為申請憑證的單位不需要自行建置簽發憑證的系統,只要跟本發明的憑證簽發子系統連線,即可申請及獲取憑證,可節省企業營運成本。
10:憑證需求端
20:憑證附加子系統
21:憑證附加單元
22:憑證檢核單元
23:第一檢核單元
24:第三檢核單元
30:憑證簽發子系統
31:註冊審批單元
32:憑證簽發單元
33:第二檢核單元
S101~S112:步驟
S201~S213:步驟
圖1為本發明的憑證安全簽發與管理系統的一實施例的方塊圖。
圖2為本發明的憑證安全簽發與管理系統的另一實施例的方塊圖。
圖3為本發明的憑證安全簽發與管理方法的一實施例的示意圖。
圖4為圖3的憑證安全簽發與管理方法的流程圖。
圖5為本發明的憑證安全簽發與管理方法的另一實施例的示意圖。
圖6為圖5的憑證安全簽發與管理方法的流程圖。
請參閱圖1,其表示本發明的憑證安全簽發與管理系統的一實施例。本發明的憑證安全簽發與管理系統100包括一憑證需求端10、一憑證附加子系統20以及一憑證簽發子系統30。
憑證需求端10使用非對稱演算法生成一對公鑰及私鑰,私鑰無法由外部存取,需事先經過授權才能存取。在本實施例中,私鑰儲存於憑證需求端10的具有安全保護的單元中,外部無法讀取私鑰。憑證需求端10利用公鑰產生憑證簽發請求(certificate signing request,CSR)。
憑證附加子系統20包括一憑證附加單元21、一憑證檢核單元22以及一第一檢核單元23;憑證附加單元21連接於憑證需求端10,用於將一憑證加入憑證需求端10。憑證檢核單元22連接於憑證附加單元21且具有一憑證檢核單元識別資訊;第一檢核單元23連接於憑證檢核單元22,且具安全運算能力,需事先經過授權才能存取。第一檢核單元23對應於憑證附加單元21及憑證檢核單元22分別產生一組公鑰及私鑰。憑證附加單元21及憑證檢核單元22的私鑰儲存於第一檢核單元23中,且私鑰無法由外部進行存取。憑證附加單元21及憑證檢核單元22的公鑰則分別傳送至上層的憑證 簽發單元簽發憑證附加單元憑證與憑證檢核單元憑證。憑證附加單元21具有憑證附加單元識別資訊,憑證附加單元憑證係綁定於憑證附加單元識別資訊。同樣地,憑證檢核單元22具有憑證檢核單元識別資訊,憑證檢核單元憑證係綁定於憑證檢核單元識別資訊。藉此,憑證附加單元21在傳送資料時,可以藉由綁定憑證附加單元憑證的憑證附加單元識別資訊並與儲存於第一檢核單元23中的私鑰運算後來識別其身分。同樣地,憑證檢核單元22在傳送資料時,可以藉由綁定憑證檢核單元憑證的憑證檢核單元識別資訊並與儲存於第一檢核單元23中的私鑰運算後來識別其身分。如此在資訊傳送的路徑上,各單元需先確認身分後再進行傳送,可以確保傳送的安全性。而且確認身分的私鑰無法由第一檢核單元23的外部存取,更增加身分識別的安全性及準確性。
憑證簽發子系統30包括一註冊審批單元31、一憑證簽發單元32以及一第二檢核單元33。註冊審批單元31連接於憑證檢核單元32且具有一註冊審批單元識別資訊;憑證簽發單元32連接於註冊審批單元31且具有一憑證簽發單元識別資訊;第二檢核單元33連接註冊審批單元31以及憑證簽發單元32,且具有安全運算能力,需事先經過授權才能存取。第二檢核單元33對應於註冊審批單元31及憑證簽發單元32分別產生一組公鑰及私鑰。註冊審批單元31及憑證簽發單元32的私鑰儲存於第二檢核單元33中且無法由外部存取。註冊審批單元31及憑證簽發單元32的公鑰傳送至上層憑證簽發單元簽發註冊審批單元憑證及憑證簽發單元憑證。註冊審批單元31具有註冊審批單元識別資訊,註冊審批單元憑證係綁定於註冊審批單元識別資訊。憑證簽發單元32具有憑證簽發單元識別資訊,憑證簽發單元憑證 係綁定於憑證簽發單元識別資訊。藉此,註冊審批單元31在傳送資料時,可以藉由綁定註冊審批單元憑證的註冊審批單元識別資訊並與儲存於第二檢核單元33中的私鑰運算後來識別其身分。同樣地,憑證簽發單元32在傳送資料時,可以藉由綁定憑證簽發單元憑證的憑證簽發單元識別資訊並與儲存於第二檢核單元33中的私鑰運算後來識別其身分。如此在資訊傳送的路徑上,各單元需先確認身分後再進行傳送,可以確保傳送的安全性。而且確認身分的私鑰無法由第二檢核單元33的外部存取,更增加身分識別的安全性及準確性。
憑證附加子系統20的憑證檢核單元22與憑證簽發子系統30的註冊審批單元31連接,當憑證檢核單元22傳送憑證簽發請求給註冊審批單元31時,註冊審批單元31也需要檢核憑證檢核單元22的身分。其驗證身分的方式,在本實施例中,憑證檢核單元22會將其公鑰傳送至註冊審批單元31,註冊審批單元31利用隨機程序產生一隨機數,且利用憑證檢核單元22傳送的公鑰對該隨機數進行加密,並將加密後的隨機數傳送至憑證檢核單元22,憑證檢核單元22將加密後的隨機數傳送至第一檢核單元23進行解密,憑證檢核單元22將解密後的隨機數傳送回到註冊審批單元31,註冊審批單元31核對解密後的隨機數與其原來產生的隨機數是否相符,如果相符表示憑證檢核單元22通過身分驗證。
藉由以上的過程,憑證附加單元21受信任於憑證檢核單元22,憑證檢核單元22受信任於註冊審批單元31,及註冊審批單元31受信任於憑證簽發單元32。如此形成一條信任鍊。憑證檢核單元22可透過註冊審批單元31向憑證簽發單元32安全傳送憑證簽發請求,憑證簽發單元32經由第二檢 核單元33簽發一憑證,該憑證經由註冊審批單元31以及憑證檢核單元22傳送至憑證附加單元21,由憑證附加單元21將憑證加入憑證需求端10。
請參閱圖3及圖4,其表示本發明的憑證安全簽發與管理方法的一實施例。同時請參閱圖1,首先在步驟S101中,一憑證需求端10使用非對稱演算法生成一對公鑰及私鑰,並據以生成一憑證簽發請求。
接著進入步驟S102,在步驟S102中,憑證附加單元21自憑證需求端10安全取得憑證簽發請求。
接著進入步驟S103,在步驟S103中,憑證檢核單元22自憑證附加單元21藉由上述身分驗證的方式安全取得憑證簽發請求。
接著進入步驟S104,在步驟S104中,憑證檢核單元22藉由上述身分驗證的方式安全傳送憑證簽發請求至註冊審批單元31。
接著進入步驟S105,在步驟S105中,註冊審批單元31安全傳送憑證簽發請求至憑證簽發單元32。
接著進入步驟S106,在步驟S106中,憑證簽發單元32將憑證簽發請求傳送至第二檢核單元33。
接著進入步驟S107,在步驟S107中,憑證簽發單元32使用儲存於第二檢核單元33的一憑證簽發單元私鑰,針對憑證簽發請求簽發一憑證。
接著進入步驟S108,在步驟S108中,該憑證從第二檢核單元33傳送至憑證簽發單元32。
接著進入步驟S109,在步驟S109中,憑證簽發單元32以上述身分識別方式安全地將憑證傳送至註冊審批單元31。
接著進入步驟S110,在步驟S110中,註冊審批單元31以上述身分識別方式安全地將憑證傳送至憑證檢核單元22。
接著進入步驟S111,在步驟S111中,憑證檢核單元22安全傳送憑證至憑證附加單元21。
接著進入步驟S112,在步驟S112中,憑證附加單元21將憑證加入憑證需求端10。
請參閱圖2,其表示本發明的憑證安全簽發與管理系統的另一實施例。本實施例與圖1的實施例的結構大致上相同,因此相同的元件給予相同的符號並省略其說明。本實施例與圖1的實施例的差異在於本實施例的憑證附加子系統20更包括一第三檢核單元24。憑證附加單元21連接於第三檢核單元24,憑證附加單元21具一憑證附加單元識別資訊,第三檢核單元24生成一憑證附加單元公私鑰,對並據以向一共用上層憑證簽發單元申請一憑證附加單元憑證,且以該憑證附加單元憑證綁定該憑證附加單元識別資訊,憑證附加單元21受信任於憑證檢核單元22。第三檢核單元24可以使用成本較低的設備建置,這樣可以降低整體設備建置的成本。
請參閱圖5及圖6,本發明的憑證安全簽發與管理方法的另一實施例。請同時參閱圖2,在本實施例中,憑證需求端10生成一對公鑰及私鑰,但是憑證需求端10本身不產生憑證簽發請求,而是將公鑰傳送至憑證檢核單元22,由憑證檢核單元22產生憑證簽發請求。
首先在步驟S201中,憑證需求端10生成一對公鑰及私鑰。
接著進入步驟S202,在步驟S202中,憑證附加單元21自憑證需求端10安全取得公鑰。
接著進入步驟S203,在步驟S203中,憑證檢核單元22自憑證附加單元21安全取得公鑰。
接著進入步驟S204,在步驟S204中,憑證檢核單元22使用公鑰生成憑證需求端10的憑證簽發請求。
接著進入步驟S205,在步驟S205中,憑證檢核單元22安全傳送憑證簽發請求至註冊審批單元31。
接著進入步驟S206,在步驟S206中,註冊審批單元31安全傳送憑證簽發請求至憑證簽發單元32。
接著進入步驟S207,在步驟S207中,憑證簽發單元32將憑證簽發請求傳送至第二檢核單元33。
接著進入步驟S208,在步驟S2108中,憑證簽發單元32使用儲存於第二檢核單元33的一憑證簽發單元私鑰,針對憑證簽發請求簽發一憑證。
接著進入步驟S209,在步驟S209中,該憑證從第二檢核單元33傳送至憑證簽發單元32。
接著進入步驟S210,在步驟S210中,憑證簽發單元32以上述身分識別方式安全地將憑證傳送至註冊審批單元31。
接著進入步驟S211,在步驟S211中,註冊審批單元31以上述身分識別方式安全地將憑證傳送至憑證檢核單元22。
接著進入步驟S212,在步驟S212中,憑證檢核單元22安全傳送憑證至憑證附加單元21。
接著進入步驟S213,在步驟S213中,憑證附加單元21將憑證加入憑證需求端10。
本發明的憑證安全簽發與管理系統及方法中,憑證簽發子系統是建構在受控管場所的設備中,外部除非得到授權,否則無法任意存取內部的資料,而且申請憑證的各單元都需要進行身分的確認,增加了憑證申請與簽發的安全性。另外,憑證簽發子系統是具有運算能力的設備,其運行速度快,可以增加憑證簽發的效率。因為申請憑證的單位不需要自行建置簽發憑證的系統,只要跟本發明的憑證簽發子系統連線,即可申請及獲取憑證,可節省企業營運成本。
10:憑證需求端
20:憑證附加子系統
21:憑證附加單元
22:憑證檢核單元
23:第一檢核單元
30:憑證簽發子系統
31:註冊審批單元
32:憑證簽發單元
33:第二檢核單元

Claims (10)

  1. 一種憑證安全簽發與管理系統,其包括:-憑證需求端,使用非對稱演算法生成-對公鑰及私鑰,該私鑰無法由外部存取,需事先經過授權才能存取;-憑證附加子系統,其包括:-憑證附加單元,連接於該憑證需求端,用於將一憑證加入該憑證需求端;-憑證檢核單元,其連接於該憑證附加單元且具有一憑證檢核單元識別資訊;一第一檢核單元,其連接於該憑證檢核單元,且具安全運算能力,需事先經過授權才能存取,該第一檢核單元生成一憑證檢核單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證檢核單元憑證,且以該憑證檢核單元憑證綁定該憑證檢核單元識別資訊,以及一憑證簽發子系統,其包括:一註冊審批單元,其連接於該憑證檢核單元且具有一註冊審批單元識別資訊;一憑證簽發單元,其連接於該註冊審批單元且具有一憑證簽發單元識別資訊;及一第二檢核單元,其連接該註冊審批單元以及該憑證簽發單元,且具有安全運算能力,需事先經過授權才能存取,該第二檢核單元連接於該憑證簽發單元,該憑證簽發單元具一憑證簽發單元識別資訊,該第二檢核單元生成一憑證簽發單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑 證簽發單元憑證,且以該憑證簽發單元憑證綁定該憑證簽發單元識別資訊,該註冊審批單元受信任於該憑證簽發單元;其中該憑證附加單元受信任於該憑證檢核單元,該憑證檢核單元受信任於該註冊審批單元,及該註冊審批單元受信任於該憑證簽發單元。
  2. 如請求項1所述之憑證安全簽發與管理系統,其中該第一檢核單元連接於該憑證附加單元,該憑證附加單元具一憑證附加單元識別資訊,該第一檢核單元生成一憑證附加單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證附加單元憑證,且以該憑證附加單元憑證綁定該憑證附加單元識別資訊,該憑證附加單元受信任於該憑證檢核單元。
  3. 如請求項1所述之憑證安全簽發與管理系統,其中該憑證附加單元連接於一第三檢核單元,該憑證附加單元具一憑證附加單元識別資訊,該第三檢核單元生成一憑證附加單元公私鑰,對並據以向一共用上層憑證簽發單元申請-憑證附加單元憑證,且以該憑證附加單元憑證綁定該憑證附加單元識別資訊,該憑證附加單元受信任於該憑證檢核單元。
  4. 如請求項1所述之憑證安全簽發與管理系統,其中該第二檢核單元連接於該憑證簽發單元,該憑證簽發單元具一憑證簽發單元識別資訊,該第二檢核單元生成一憑證簽發單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證簽發單元憑證,且以該憑證簽發單元憑證綁定該憑證簽發單元識別資訊,該註冊審批單元受信任於該憑證簽發單元。
  5. 如請求項1所述之憑證安全簽發與管理系統,其中該憑證需求端產生一對公鑰及私鑰,並據以生成一憑證簽發請求,該憑證檢核單元可透過該憑證附加單元安全取得該憑證簽發請求。
  6. 如請求項1所述之憑證安全簽發與管理系統,其中該憑證需求端產生一對公鑰及私鑰,該憑證檢核單元可透過該憑證附加單元安全取得該公鑰,並據以生成該憑證需求端的一憑證簽發請求。
  7. 如請求項5或6所述之憑證安全簽發與管理系統,其中該憑證檢核單元可透過該註冊審批單元向該憑證簽發單元安全傳送該憑證簽發請求。
  8. 如請求項7所述之憑證安全簽發與管理系統,其中該憑證簽發單元經由該第二檢核單元簽發一憑證,該憑證經由該註冊審批單元以及該憑證檢核單元傳送至該憑證附加單元,由該憑證附加單元將該憑證加入該憑證需求端。
  9. 一種憑證安全簽發與管理方法,其包括:一憑證需求端使用非對稱演算法生成一對公鑰及私鑰,並據以生成一憑證簽發請求;一憑證附加單元自該憑證需求端安全取得該憑證簽發請求;一憑證檢核單元自該憑證附加單元安全取得該憑證簽發請求;該憑證檢核單元安全傳送該憑證簽發請求至一註冊審批單元;該註冊審批單元安全傳送該憑證簽發請求至一憑證簽發單元;該憑證簽發單元使用儲存於一第二檢核單元之一憑證簽發單元私鑰,針對該憑證簽發請求簽發一憑證;該憑證簽發單元透過該註冊審批單元及該憑證檢核單元安全傳送該憑證至該憑證附加單元;以及該憑證附加單元將該憑證加入該憑證需求端; 該第二檢核單元連接於該憑證簽發單元,該憑證簽發單元具一憑證簽發單元識別資訊,該第二檢核單元生成一憑證簽發單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證簽發單元憑證,且以該憑證簽發單元憑證綁定該憑證簽發單元識別資訊,該註冊審批單元受信任於該憑證簽發單元。
  10. 一種憑證安全簽發與管理方法,其包括:一憑證需求端生成一對公鑰及私鑰;一憑證附加單元自該憑證需求端安全取得該公鑰;一憑證檢核單元自該憑證附加單元安全取得該公鑰;該憑證檢核單元使用該公鑰生成該憑證需求端之一憑證簽發請求;該憑證檢核單元安全傳送該憑證簽發請求至一註冊審批單元;該註冊審批單元安全傳送該憑證簽發請求至一憑證簽發單元;該憑證簽發單元使用內置於該第二檢核單元之該憑證簽發單元之私鑰,針對該憑證簽發請求簽發一憑證;該憑證簽發單元透過該註冊審批單元及該憑證檢核單元安全傳送該憑證至該憑證附加單元;以及該憑證附加單元將該憑證加入該憑證需求端;該第二檢核單元連接於該憑證簽發單元,該憑證簽發單元具一憑證簽發單元識別資訊,該第二檢核單元生成一憑證簽發單元公私鑰對,並據以向一共用上層憑證簽發單元申請一憑證簽發單元憑證,且以該憑證簽發單元憑證綁定該憑證簽發單元識別資訊,該註冊審批單元受信任於該憑證簽發單元。
TW109110833A 2020-03-30 2020-03-30 憑證安全簽發與管理系統及方法 TWI744844B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
TW109110833A TWI744844B (zh) 2020-03-30 2020-03-30 憑證安全簽發與管理系統及方法
US17/111,401 US11418350B2 (en) 2020-03-30 2020-12-03 Management system and method for secure signing of certificates
JP2020218801A JP7191926B2 (ja) 2020-03-30 2020-12-28 証明書安全発行・管理システム及び方法
EP20217648.3A EP3890263A1 (en) 2020-03-30 2020-12-29 Management system and method for secure signing of certificates

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109110833A TWI744844B (zh) 2020-03-30 2020-03-30 憑證安全簽發與管理系統及方法

Publications (2)

Publication Number Publication Date
TW202137033A TW202137033A (zh) 2021-10-01
TWI744844B true TWI744844B (zh) 2021-11-01

Family

ID=74105773

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109110833A TWI744844B (zh) 2020-03-30 2020-03-30 憑證安全簽發與管理系統及方法

Country Status (4)

Country Link
US (1) US11418350B2 (zh)
EP (1) EP3890263A1 (zh)
JP (1) JP7191926B2 (zh)
TW (1) TWI744844B (zh)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201941565A (zh) * 2018-03-23 2019-10-16 眾議科技股份有限公司 讓憑證簽發機構發行備有證明的憑證的方法與系統

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1102430A1 (en) 1999-10-27 2001-05-23 Telefonaktiebolaget Lm Ericsson Method and arrangement in an ad hoc communication network
FI20001837A (fi) * 2000-08-18 2002-02-19 Nokia Corp Autentikointi
WO2003105400A1 (ja) * 2002-06-07 2003-12-18 ソニー株式会社 データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム
KR100493885B1 (ko) * 2003-01-20 2005-06-10 삼성전자주식회사 공개키 기반 구조(pki) 도메인간의 이동 사용자를 위한스마트카드 인증서 등록 및 검증 시스템 및 방법
US20050076198A1 (en) * 2003-10-02 2005-04-07 Apacheta Corporation Authentication system
US8984280B2 (en) * 2007-02-16 2015-03-17 Tibco Software Inc. Systems and methods for automating certification authority practices
JP2012531822A (ja) 2009-06-24 2012-12-10 デバイススケープ・ソフトウェア・インコーポレーテッド ネットワーク信用証明書を取得するためのシステム及び方法
CN101674182B (zh) 2009-09-30 2011-07-06 西安西电捷通无线网络通信股份有限公司 引入在线可信第三方的实体公钥获取、证书验证及鉴别的方法及系统
US9032204B2 (en) * 2011-01-07 2015-05-12 Mastercard International Incorporated Methods and systems for providing a signed digital certificate in real time
US9386008B2 (en) * 2013-08-19 2016-07-05 Smartguard, Llc Secure installation of encryption enabling software onto electronic devices
US9600302B2 (en) * 2015-02-19 2017-03-21 Juniper Networks, Inc. Using a public key infrastructure for automatic device configuration
US10791110B2 (en) * 2015-07-09 2020-09-29 Cloudflare, Inc. Certificate authority framework
US10701060B2 (en) * 2016-05-20 2020-06-30 Avaya Inc. Public key infrastructure exchange using netconf for Openflow enabled switches
US11082846B2 (en) * 2018-03-20 2021-08-03 Qualcomm Incorporated Method and system for onboard equipment misbehavior detection report routing
US10977024B2 (en) * 2018-06-15 2021-04-13 Sierra Wireless, Inc. Method and apparatus for secure software update
US11206142B2 (en) * 2018-08-17 2021-12-21 Cable Television Laboratories, Inc. Systems and methods for automated certificate renewal management

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201941565A (zh) * 2018-03-23 2019-10-16 眾議科技股份有限公司 讓憑證簽發機構發行備有證明的憑證的方法與系統

Also Published As

Publication number Publication date
US11418350B2 (en) 2022-08-16
US20210306159A1 (en) 2021-09-30
JP2021164152A (ja) 2021-10-11
JP7191926B2 (ja) 2022-12-19
TW202137033A (zh) 2021-10-01
EP3890263A1 (en) 2021-10-06

Similar Documents

Publication Publication Date Title
US10862892B2 (en) Certificate system for verifying authorized and unauthorized secure sessions
US10447486B2 (en) Remote attestation of a security module's assurance level
KR100962399B1 (ko) 익명 공개 키 기반구조 제공 방법 및 이를 이용한 서비스제공 방법
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
US7526649B2 (en) Session key exchange
TW201911807A (zh) 區塊鏈節點間通訊方法、數位憑證管理方法、裝置和電子設備
JP2023502346A (ja) 量子安全ネットワーキング
US10432595B2 (en) Secure session creation system utililizing multiple keys
US20180262339A1 (en) Secure verification system
US10374808B2 (en) Verification system for creating a secure link
US11526596B2 (en) Remote processing of credential requests
KR102078913B1 (ko) Pki 기반의 사물인터넷 기기 인증방법 및 인증시스템
TWI744844B (zh) 憑證安全簽發與管理系統及方法
CN116707983A (zh) 授权认证方法及装置、接入认证方法及装置、设备、介质
CN117196618A (zh) 一种基于区块链的分布式交易用户跨域认证方法及系统
CN115022039B (zh) 信息处理方法、装置、设备和存储介质
KR101868564B1 (ko) 사용자 본인 확인(identification) 등록과 로컬 인증을 연계한 사용자 인증 장치 및 방법
CN111614466B (zh) 凭证安全签发与管理系统及方法
JP2024513521A (ja) 組み込みデバイスの安全な信頼の起点登録及び識別管理
Lim et al. A V2X access authorization mechanism based on decentralized ID (DID) and verifiable credentials (VC)
CN113647079B (zh) 用于为用户签发加密保护的真实性证书的方法
CN117521135A (zh) 基于区块链的数据处理方法、装置及设备、介质、产品
JP2024513526A (ja) ルートオブトラスト登録及びデバイス拘束された公開鍵登録
CN117997559A (zh) 基于区块链的身份验证方法、装置和计算机设备