TWI746920B - 透過入口伺服器跨網域使用憑證進行認證之系統及方法 - Google Patents
透過入口伺服器跨網域使用憑證進行認證之系統及方法 Download PDFInfo
- Publication number
- TWI746920B TWI746920B TW108100440A TW108100440A TWI746920B TW I746920 B TWI746920 B TW I746920B TW 108100440 A TW108100440 A TW 108100440A TW 108100440 A TW108100440 A TW 108100440A TW I746920 B TWI746920 B TW I746920B
- Authority
- TW
- Taiwan
- Prior art keywords
- portal server
- management center
- server
- digital certificate
- authentication
- Prior art date
Links
Images
Abstract
一種透過入口伺服器跨網域使用憑證進行認證之系統及其方法,其透過管理中心與入口伺服器連線後,若連線資料通過入口伺服器的驗證,則入口伺服器將外部業務伺服器所使用的數位憑證傳回管理中心,使得管理中心使用數位憑證判斷身分認證結果之技術手段,可以將數位憑證存放於伺服器上以方便管理,並達成跨伺服器共用數位憑證的技術功效。
Description
一種使用憑證進行身分認證之系統及方法,特別係指一種透過入口伺服器跨網域使用憑證進行認證之系統及方法。
電子憑證,又稱為數位憑證,是一種用於電腦系統的身分識別機制。電子憑證是一個或一組電腦檔案,其中記載了擁有人的身份資料及一組公開密碼。電子憑證的擁有人可向電腦系統認證自己的身分,從而存取或使用某一特定的電腦服務。
早期因網路安全性未如現今受到重視,需要透過電子憑證存取或使用的電腦服務大多以網頁附掛安控外掛元件的型態提供,意即使用者在存取或使用這些服務時,是透過瀏覽器來向遠端伺服器進行憑證申請、展期及查詢等相關作業。
如今,因近年來網路安全漸受重視,瀏覽器對於運作於其上的網頁及外掛元件之安全性要求及檢核愈益嚴苛,限制大幅增加且支援度下降,造成過去可順利在瀏覽器上執行的憑證相關作業因之操作失敗比率大增,反而對使用者造成困擾。為了解決上述的問題,目前已有將憑證相關作業分離至外部伺服器執行的解決方案,此一解決方式是讓交易作業由客戶端連線到業務伺服器上執行,憑證相關作業則由客戶端連線到其他伺服器上執行。
另外,隨著政府法令的開放,以往許多需要臨櫃的業務已逐漸開放,只需要使用憑證在線上進行身分認證,便可以取代傳統臨櫃確認身分的過程,直接在線上辦理業務。這對於不方便臨櫃的人而言是一大福音。
然而,由上述可知,目前有些憑證解決方案是將憑證相關作業與交易作業分開在不同伺服器執行,為了避免安全疑慮以及管理上的方便,憑證的擁有者大多選擇將憑證存放在伺服器上,而不會將憑證匯出存放在所使用的裝置中。如此一來,使用者的憑證就無法在其他伺服器上使用。
綜上所述,可知先前技術中長期以來一直存在為了方便管理而將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,本發明遂揭露一種透過入口伺服器跨網域使用憑證進行認證之系統及方法,其中:
本發明所揭露之透過入口伺服器跨網域使用憑證進行認證之系統,至少包含:管理中心,用以產生連線資料;應用程式,與服務主機連接,用以向管理中心請求身分認證;入口伺服器,對應業務伺服器,用以接收並驗證連線資料,及用以於連線資料通過驗證時,判斷是否儲存與業務伺服器對應之數位憑證,若未儲存數位憑證,則申請數位憑證,並傳送數位憑證至管理中心,其中,管理中心更用以於已儲存數位憑證時,使用數位憑證判斷認證結果,並傳送認證結果至服務主機。
本發明所揭露之透過入口伺服器跨網域使用憑證進行認證之方法,其步驟至少包括:應用程式向管理中心請求身分認證;管理中心提供選擇入口伺服器;管理中心產生連線資料,並傳送連線資料至入口伺服器,其中,入口伺服器對應業務伺服器;入口伺服器驗證連線資料;當連線資料通過入口伺服器的驗證時,入口伺服器判斷是否儲存與業務伺服器對應之數位憑證;若入口伺服器未儲存數位憑證,則入口伺服器申請數位憑證,並傳送數位憑證至管理中心;若入口伺服器已儲存數位憑證,則入口伺服器傳送數位憑證至管理中心;管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過管理中心與入口伺服器連線後,若連線資料通過入口伺服器的驗證,則入口伺服器將外部業務伺服器所使用的數位憑證傳回管理中心,使得管理中心使用數位憑證判斷身分認證結果,藉以解決先前技術所存在的問題,並可以達成跨伺服器使用同一憑證的技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以讓應用程式所連接的服務主機透過管理中心使用入口伺服器所保存之數位憑證取得身分認證的認證結果。
其中,應用程式可以是在電腦、手機或平板等客戶端上執行的程式,例如,在各種客戶端之各個作業系統中執行的瀏覽程式,或是內嵌瀏覽器的程式等,但本發明並不以上述為限;管理中心可以是透過網路與執行應用程式之客戶端以及入口伺服器連接的身分識別伺服器,也可以是安裝在執行應用程式之客戶端上的憑證管理程式。
以下先以「第1A圖」及「第1B圖」本發明所提之兩種透過入口伺服器跨網域使用憑證進行認證之系統架構圖來說明本發明的系統運作。如「第1A圖」與「第1B圖」所示,本發明之系統含有服務主機110、應用程式121、管理中心130、以及入口伺服器150。在「第1A圖」中,應用程式121執行於客戶端120中且管理中心130為身分識別伺服器,而在「第1B圖」中,應用程式121與管理中心130均為可以在客戶端120中執行的程式。
其中,服務主機110、客戶端120、身分識別伺服器、入口伺服器150均為計算設備。本發明所提之計算設備包含但不限於一個或多個處理器、一個或多個記憶體模組、以及連接不同元件(包括記憶體模組和處理器)的匯流排等元件。透過所包含之多個元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行。
本發明所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。
本發明所提之計算設備的處理器與匯流排耦接。處理器包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全的被設置在處理晶片上,或全部或部分被設置在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。
計算設備的處理器可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置或儲存媒體,例如,硬碟機、光碟、磁帶機、隨身碟(快閃記憶體)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器等周邊裝置或介面通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等,周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等,周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G/5G等行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路設備、非同步傳輸模式(ATM)設備、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠進行資料的輸入與輸出,也能夠與具有上述描述之元件的另一個計算設備進行通訊。
服務主機110透過通訊介面可以提供應用程式121連接,並可以接收應用程式121所傳送的資料或訊號,也可以傳送資料或訊號給應用程式121。其中,服務主機110可以透過乙太網路等有線方式或WiFi、藍牙、或3G/4G/5G等無線方式提供應用程式121連接。
服務主機110可以提供應用程式121各種服務,包含需要身分認證的服務,例如線上報稅、或是線上查詢證券交易資料等,但本發明並不以此為限。在服務主機110提供應用程式121身分驗證服務時,若管理中心130為身分識別伺服器,則服務主機110可以將應用程式121導向至身分識別伺服器;而若管理中心130為憑證管理程式,則服務主機110可以傳送指令控制應用程式121呼叫憑證管理程式。
應用程式121可以透過客戶端120的通訊介面與服務主機110及/或入口伺服器150連接,並可以接收服務主機110/入口伺服器150所傳送的資料,及傳送資料至服務主機110/入口伺服器150。若管理中心130為身分識別伺服器,則應用程式121可以透過客戶端120的通訊介面與管理中心130連接,並可以接收管理中心130所傳送的資料及傳送資料至管理中心130;而若管理中心130為客戶端120中所執行的程式,則應用程式121可以透過呼叫或記憶體共享等方式傳送資料給管理中心130並取得管理中心130所提供的資料。
應用程式121負責向管理中心130請求身分認證。一般而言,應用程式121是在使用服務主機110所提供之服務的過程中,需要進行身分認證時,向管理中心130請求身分認證的服務。
在部分的實施例中,應用程式121也可以透過管理中心130接收入口伺服器150所傳送的請求訊息,並依據所接收到的請求訊息提示輸入登入資料,例如,請求訊息可以包含訊號或畫面,應用程式121可以直接顯示所接收到的畫面或顯示依據所接收到之訊號轉換產生的畫面,藉以提示輸入登入資料。應用程式121也可以將完成輸入的登入資料傳回入口伺服器150。其中,登入資料包含但不限於預先在業務伺服器160註冊的帳號密碼、指紋或人臉資訊等。
管理中心130負責產生連線資料。舉例來說,管理中心130可以產生包含一組註冊碼的驗證參數,並使用特定的雜湊函數對所產生的驗證參數進行計算以產生校驗資料,再產生包含所產生之驗證參數以及所計算出的校驗資料的連線資料。但管理中心130產生連線資料的方式並不以上述為限。
管理中心130所產生之驗證參數中的註冊碼為預先至入口伺服器150註冊取得的資料,其中包含鍵值與對應值。在部分的實施例中,管理中心130所產生的驗證參數除了註冊碼之外,還可以包含需要傳送給入口伺服器150的元資料。
管理中心130也負責傳送連線資料至入口伺服器150。若管理中心130為身分識別伺服器,則在服務主機110將應用程式121導向至身分識別伺服器時,身分識別伺服器可以提供應用程式121的使用者透過應用程式121選擇欲連接的入口伺服器150,並連線至被選擇的入口伺服器150;而若管理中心130為憑證管理程式,則在服務主機110控制應用程式121呼叫憑證管理程式時,憑證管理程式可以提供應用程式121的使用者在憑證管理程式中選擇欲連接的入口伺服器150,並與被選擇的入口伺服器150建立連線。
管理中心130也負責使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳送給應用程式121。
值得一提的是,管理中心130可以在被應用程式121請求進行身分認證時,先判斷是否儲存有應用程式121欲連接之入口伺服器150的數位憑證,若有,則管理中心130可以直接使用所儲存之該數位憑證判斷認證結果,無需連接入口伺服器150以取得數位憑證。若管理中心130沒有儲存欲連接之入口伺服器150的數位憑證,管理中心130才需要連接入口伺服器150以取得數位憑證,並在接收到入口伺服器150所傳送的數位憑證後,使用所接收到的數位憑證判斷認證結果。
管理中心130也可以接收請求身分認證之應用程式121欲連接之入口伺服器150所傳送之登入資料的請求訊息,並可以在接收到登入資料的請求訊息時,引導應用程式121與入口伺服器150連接。
入口伺服器150透過通訊介面可以與應用程式121、管理中心130、業務伺服器160以及憑證伺服器140連接,並可以接收應用程式121、管理中心130、業務伺服器160、及/或憑證伺服器140所傳送的資料或訊號,也可以傳送資料或訊號給應用程式121、管理中心130、業務伺服器160、及/或憑證伺服器140。其中,入口伺服器150可以透過乙太網路等有線方式或WiFi、藍牙、或3G/4G/5G等無線方式與客戶端120、管理中心130、業務伺服器160、及/或憑證伺服器140連接。
入口伺服器150與業務伺服器160對應。一般而言,一個入口伺服器可以對應一個或多個業務伺服器,其中,與同一個入口伺服器對應所有業務伺服器可以使用同一個數位憑證進行身分認證或進行線上交易。
入口伺服器150負責接收並驗證管理中心130所傳送的連線資料。舉例來說,入口伺服器150可以依據所接收到之連線資料所包含之註冊碼的鍵值讀出相對應的註冊值,並產生包含連線資料中之元資料、註冊碼的鍵值、以及所讀出之註冊值的待驗資料,以及使用與傳送連線資料之管理中心130所使用之相同的雜湊函數對待驗資料進行計算,藉以計算出雜湊資料,再依據所接收到之連線資料中的校驗資料是否與所計算出的雜湊資料是否相同來判斷連線資料是否通過驗證。其中,若校驗資料與雜湊資料相同,表示連線資料通過驗證,而若校驗資料與雜湊資料不同,表示連線資料沒有通過驗證;另外,若入口伺服器150判斷所接收到之連線資料沒有包含註冊碼的鍵值,或是無法依據註冊碼的鍵值讀出相對應的註冊值,則同樣表示程式連線資料沒有通過驗證。但入口伺服器150驗證連線資料的方式並不以上述為限。
入口伺服器150也負責在所接收的連線資料通過驗證時,判斷是否儲存與相對應之業務伺服器160對應的數位憑證,若入口伺服器150沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到RA等憑證伺服器140申請與業務伺服器160對應的數位憑證,並在完成數位憑證的申請後,儲存所申請到的數位憑證,以及將所申請到的數位憑證傳送到管理中心130。另外,入口伺服器150也可以將所申請到的數位憑證傳送給曾經連線到業務伺服器160的瀏覽程式(圖中未示),使得瀏覽程式將所接收到的數位憑證儲存到與業務伺服器160對應的本地儲存區(Local Storage)中。
入口伺服器150也負責在所接收到的連線資料沒有通過驗證時,傳送登入資料的請求訊息給管理中心130,藉以與受到管理中心130引導之應用程式121連接,並向應用程式121請求輸入登入資料。
入口伺服器150也可以接收應用程式121所傳送的登入資料,並透過業務伺服器160判斷登入資料是否通過驗證。
接著以第一實施例來解說本發明的運作系統與方法,並請參照「第2A圖」本發明所提之透過入口伺服器跨網域使用憑證進行認證之方法流程圖。在本實施例中,假設應用程式121為執行於客戶端120中的瀏覽程式,管理中心130為身分識別伺服器,但本發明並不以此為限。
當使用者在客戶端120上操作應用程式121使用服務主機110所提供的服務時,若服務主機110請求應用程式121進行身分驗證,則應用程式121可以向管理中心130請求身分認證(步驟201)。在本實施例中,假設服務主機110提供報稅服務,且服務主機110在請求應用程式121進行身分驗證時,可以將應用程式121導向至管理中心130。
在應用程式121連線到管理中心130後,管理中心130可以提供應用程式121選擇入口伺服器150(步驟211)。在本實施例中,假設管理中心130可以傳送選擇業務單位的網頁給應用程式121顯示,且上述可被選擇之業務單位都提供有入口伺服器150,藉以提示應用程式121的使用者操作應用程式121選擇一個業務單位所提供的入口伺服器150。其中,業務單位包含但不限於各個券商,入口伺服器150可以是各個券商所提供的交易伺服器。
在應用程式121選擇入口伺服器150後,管理中心130可以判斷是否儲存與應用程式121所選擇之入口伺服器150對應的數位憑證(步驟215)。若是,管理中心130可以直接使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳回服務主機110(步驟290)。
而若管理中心130判斷沒有儲存與應用程式121所選擇之入口伺服器150對應的數位憑證,則管理中心130可以產生連線資料,並將所產生的連線資料傳送到入口伺服器150(步驟220)。在本實施例中,假設管理中心130所產生的連線資料可以是將導向至入口伺服器150的連結,使得應用程式121依據連結被導向至入口伺服器150,藉以將連線資料傳送給入口伺服器150。
在入口伺服器150接收到連線資料後,入口伺服器150可以判斷所接收到的連線資料是否通過驗證(步驟230)。在本實施例中,假設入口伺服器150可以先判斷連線資料中是否包含註冊碼與校驗資料,若否,則表示連線資料沒有通過驗證;若連線資料中包含註冊碼與校驗資料,則入口伺服器150可以進一步由連線資料中取出元資料與註冊碼,並依據註冊碼中的鍵值讀出相對應的註冊值後,產生包含元資料、鍵值與註冊值的待驗資料後,使用雜湊函數對待驗資料進行計算,藉以計算出雜湊資料,並在所接收到之連線資料中的校驗資料與所計算出的待驗資料相同時,判斷連線資料通過驗證,而在所接收到之連線資料中的校驗資料與所計算出的待驗資料不同時,判斷連線資料沒有通過驗證。
若入口伺服器150判斷連線資料通過驗證,則入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。
而若入口伺服器150判斷連線資料沒有通過驗證,則入口伺服器150可以傳送登入資料的請求訊息至管理中心130,管理中心130在接收到登入資料的請求訊息後,引導應用程式121與入口伺服器150連接,入口伺服器150可以在與應用程式121連接後,請求應用程式121輸入登入資料(步驟240)。在本實施例中,假設入口伺服器150可以傳送輸入登入資料的網頁300給應用程式121顯示,藉以提示應用程式121的使用者輸入在先前所選擇之業務單位註冊的帳號與密碼,如「第3圖」所示。
在使用者操作應用程式121完成登入資料的輸入後,應用程式121可以將被輸入的登入資料傳送至入口伺服器150,入口伺服器150可以透過使用者先前所選擇之業務單位的業務伺服器160驗證應用程式121所傳送的登入資料,藉以判斷接收自應用程式121的登入資料是否通過驗證(步驟250)。若登入資料沒有通過驗證,則入口伺服器150可以再次請求應用程式121輸入登入資料(步驟240),或是通知管理中心130,使管理中心130拒絕應用程式121之身分驗證的請求。
若入口伺服器150判斷應用程式121所傳送之登入資料通過業務伺服器160的驗證,則如「第2B圖」之流程所示,入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。
當入口伺服器150判斷儲存有與業務伺服器160對應的數位憑證時,入口伺服器150可以將與業務伺服器160對應的數位憑證傳送到管理中心130(步驟280)。而若入口伺服器150判斷沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到憑證伺服器140申請與業務伺服器160對應的數位憑證(步驟270),並在完成數位憑證的申請後,可以儲存所申請到的數位憑證,並可以將所申請到的數位憑證傳送給管理中心130(步驟280)。
管理中心130在接收到入口伺服器150所傳送的數位憑證後,可以儲存所接收到的數位憑證,並可以使用所接收到的數位憑證判斷身分認證的認證結果,以及將判斷產生的認證結果傳送給服務主機110(步驟290)。
繼續以第二實施例來解說本發明的運作系統與方法,同樣請繼續參照「第2A圖」。在本實施例中,假設應用程式121為安裝於行動裝置(客戶端120)上的特定程式,管理中心130為安裝在同一行動裝置上的憑證管理程式,但本發明並不以此為限。
當使用者操作應用程式121使用服務主機110所提供的服務時,若服務主機110請求應用程式121進行身分驗證,則應用程式121可以向管理中心請求身分認證(步驟201)。在本實施例中,假設服務主機110提供證券交易的查詢服務,且服務主機110在請求應用程式121進行身分驗證時,可以透過應用程式121呼叫管理中心130。
在管理中心130開始執行後,管理中心130可以提供選擇入口伺服器150(步驟211)。在本實施例中,假設管理中心130可以顯示包含多個業務單位的使用者介面,其中每一個業務單位都有一個對應的入口伺服器150,藉以提示應用程式121的使用者選擇入口伺服器150。
在管理中心130提供選擇入口伺服器150後,管理中心130可以判斷是否儲存與應用程式121所選擇之入口伺服器150對應的數位憑證(步驟215)。若是,管理中心130可以直接使用所儲存的數位憑證判斷身分認證的認證結果,並將判斷產生的認證結果傳回應用程式121(步驟290)。
而若管理中心130判斷沒有儲存與應用程式121所選擇之入口伺服器150對應的數位憑證,則管理中心130可以產生連線資料,並傳送所產生的連線資料到入口伺服器150(步驟220)。在本實施例中,假設管理中心130可以透過內嵌的瀏覽器開啟包含連線資料的連結,藉以在連線至入口伺服器150的同時,將連線資料傳送至入口伺服器150。
在管理中心130連線到入口伺服器150後,入口伺服器150可以判斷與管理中心130建立連線時所接收到的連線資料是否通過驗證(步驟230)。在本實施例中,假設管理中心130所產生的連線資料並沒有包含註冊碼及/或校驗資料,則入口伺服器150可以判斷連線資料沒有通過驗證,並可以傳送登入資料的請求訊息至管理中心130,使管理中心130引導應用程式121與入口伺服器150連接,藉以請求應用程式121輸入登入資料(步驟240)。
在使用者操作應用程式121完成登入資料的輸入後,應用程式121可以將被輸入的登入資料傳送至入口伺服器150,入口伺服器150可以透過使用者先前所選擇之業務單位的業務伺服器160驗證應用程式121所傳送的登入資料,藉以判斷接收自應用程式121的登入資料是否通過驗證(步驟250)。
若入口伺服器150判斷應用程式121所傳送之登入資料通過業務伺服器160的驗證,則如「第2B圖」之流程所示,入口伺服器150可以判斷是否儲存與業務伺服器160對應的數位憑證(步驟260)。在本實施例中,若入口伺服器150判斷儲存有與業務伺服器160對應的數位憑證,則入口伺服器150可以將與業務伺服器160對應的數位憑證傳送到管理中心130(步驟280)。
而若入口伺服器150判斷沒有儲存與業務伺服器160對應的數位憑證,則入口伺服器150可以連線到憑證伺服器140申請與業務伺服器160對應的數位憑證(步驟270),並在完成數位憑證的申請後,可以儲存所申請到的數位憑證,並可以將所申請到的數位憑證傳送給管理中心130(步驟280)。
管理中心130在接收到入口伺服器150所傳送的數位憑證後,可以儲存所接收到的數位憑證,並可以使用所接收到的數位憑證判斷身分認證的認證結果,以及將判斷產生的認證結果傳送給服務主機110(步驟290)。
如上述兩實施例,透過本發明,應用程式121便可以透過管理中心130使用在外部之業務伺服器160中使用的數位憑證進行身分認證。
綜上所述,可知本發明與先前技術之間的差異在於具有管理中心與入口伺服器連線後,若連線資料通過入口伺服器的驗證,則入口伺服器將外部業務伺服器所使用的數位憑證傳回管理中心,使得管理中心使用數位憑證判斷身分認證結果之技術手段,藉由此一技術手段可以解決先前技術所存在為了方便管理而將憑證存放於伺服器上導致憑證無法在其他伺服器上使用的問題,進而達成跨伺服器使用同一憑證的技術功效。
再者,本發明之透過入口伺服器跨網域使用憑證進行認證之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110:服務主機120:客戶端121:應用程式130:管理中心140:憑證伺服器150:入口伺服器160:業務伺服器300:網頁步驟201:應用程式向管理中心請求身分認證步驟211:管理中心提供選擇入口伺服器步驟215:管理中心判斷是否儲存與業務伺服器對應之數位憑證步驟220:管理中心產生連線資料,並傳送連線資料至入口伺服器步驟230:入口伺服器判斷連線資料是否通過驗證步驟240:入口伺服器請求應用程式輸入登入資料步驟250:入口伺服器透過業務伺服器判斷登入資料是否通過驗證步驟260:入口伺服器判斷是否儲存與業務伺服器對應之數位憑證步驟270:入口伺服器申請數位憑證步驟280:入口伺服器傳送數位憑證至管理中心步驟290:管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機
第1A圖為本發明所提之透過入口伺服器跨網域使用憑證進行認證之系統架構圖。 第1B圖為本發明所提之另一種透過入口伺服器跨網域使用憑證進行認證之系統架構圖。 第2A圖為本發明所提之透過入口伺服器跨網域使用憑證進行認證之方法流程圖。 第2B圖為本發明所提之入口伺服器申請憑證之方法流程圖。 第3圖為本發明實施例所提之網頁示意圖。
步驟201:應用程式向管理中心請求身分認證
步驟211:管理中心提供選擇入口伺服器
步驟215:管理中心判斷是否儲存與業務伺服器對應之數位憑證
步驟220:管理中心產生連線資料,並傳送連線資料至入口伺服器
步驟230:入口伺服器判斷連線資料是否通過驗證
步驟240:入口伺服器請求應用程式輸入登入資料
步驟250:入口伺服器透過業務伺服器判斷登入資料是否通過驗證
步驟280:入口伺服器傳送數位憑證至管理中心
步驟290:管理中心使用數位憑證判斷認證結果,並傳送認證結果至服務主機
Claims (10)
- 一種透過入口伺服器跨網域使用憑證進行認證之方法,該方法至少包含下列步驟:一應用程式需要在一服務主機上進行身分認證時,向一管理中心請求身分認證;該管理中心提供該應用程式選擇一入口伺服器,其中,該入口伺服器對應一業務伺服器;該管理中心判斷未儲存與該業務伺服器對應之一數位憑證時產生一連線資料,並傳送該連線資料至該入口伺服器;該入口伺服器驗證該連線資料;當該連線資料通過該入口伺服器的驗證時,該入口伺服器判斷是否儲存該數位憑證;若該入口伺服器未儲存該數位憑證,則該入口伺服器申請該數位憑證,並傳送該數位憑證至該管理中心;若該入口伺服器已儲存該數位憑證,則該入口伺服器傳送該數位憑證至該管理中心;及該管理中心使用該數位憑證判斷一認證結果,並傳送該認證結果至該服務主機。
- 如申請專利範圍第1項所述之透過入口伺服器跨網域使用憑證進行認證之方法,其中該方法於該管理中心產生該連線資料之步驟前,更包含該管理中心判斷已儲存該數位憑證時,使用該數位憑證判斷該認證結果,並傳送該認證結果至該服務主機之步驟。
- 如申請專利範圍第1項所述之透過入口伺服器跨網域使用憑證進行認證之方法,其中該方法更包含當該連線資料沒有通過該入口伺服器的驗證時,該入口伺服器要求該應用程式輸入一登入資料,並透過一業務伺服器判斷該登入資料是否通過驗證之步驟。
- 如申請專利範圍第1項所述之透過入口伺服器跨網域使用憑證進行認證之方法,其中該管理中心產生該連線資料之步驟更包含該管理中心產生包含預先由該入口伺服器取得之一組註冊碼之一認證參數,並以一雜湊函數對該認證參數進行計算以產生一校驗資料,及產生包含該認證參數及該校驗資料之該連線資料之步驟,且該入口伺服器驗證該連線資料之步驟為該入口伺服器使用該認證參數及該雜湊函數計算一雜湊資料,並判斷該校驗資料是否與該雜湊資料相同。
- 如申請專利範圍第1項所述之透過入口伺服器跨網域使用憑證進行認證之方法,其中該入口伺服器傳送該數位憑證至該管理中心之步驟為該入口伺服器呼叫該管理中心之元件以傳送該數位憑證至該管理中心,或該入口伺服器該應用程式將該數位憑證傳送至該管理中心。
- 一種透過入口伺服器跨網域使用憑證進行認證之系統,該系統至少包含:一服務主機;一管理中心,用以於判斷未儲存與一業務伺服器對應之一數位憑證時產生一連線資料;一應用程式,與該服務主機連接,用以需要在該服務主機上進行身份驗證時,向該管理中心請求身分認證;及 一入口伺服器,對應該業務伺服器,用以接收並驗證該連線資料,及用以於該連線資料通過驗證時,判斷是否儲存與該業務伺服器對應之一數位憑證,若未儲存該數位憑證,則申請該數位憑證,並傳送該數位憑證至該管理中心,使該管理中心使用該數位憑證判斷一認證結果,並傳送該認證結果至該服務主機。
- 如申請專利範圍第6項所述之透過入口伺服器跨網域使用憑證進行認證之系統,其中該管理中心更用以於該應用程式請求身分認證時,先判斷是否儲存有該數位憑證,並在已儲存有該數位憑證時,使用該數位憑證判斷該認證結果,並傳送該認證結果至該服務主機。
- 如申請專利範圍第6項所述之透過入口伺服器跨網域使用憑證進行認證之系統,其中該入口伺服器更用以於該連線資料沒有通過驗證時,要求該應用程式輸入一登入資料,並透過一業務伺服器判斷該登入資料是否通過驗證。
- 如申請專利範圍第6項所述之透過入口伺服器跨網域使用憑證進行認證之系統,其中該管理中心是產生包含預先由該入口伺服器取得之一組註冊碼之一認證參數,並以雜湊函數對該認證參數進行計算以產生一校驗資料,及產生包含該認證參數及該校驗資料之該連線資料,且該入口伺服器是使用該認證參數及該雜湊函數計算一雜湊資料,依據該校驗資料是否與該雜湊資料相同判斷該連線資料是否通過驗證。
- 如申請專利範圍第6項所述之透過入口伺服器跨網域使用憑證進行認證之系統,其中該管理中心為一身分識別伺服器或一憑證管理程式,且當該管理中心為該身分識別伺服器時,該服務主機是將請求身分認證之應用程式 導向至該身分識別伺服器,當該管理中心為該憑證管理程式時,該服務主機是控制請求身分認證之應用程式呼叫該憑證管理程式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108100440A TWI746920B (zh) | 2019-01-04 | 2019-01-04 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108100440A TWI746920B (zh) | 2019-01-04 | 2019-01-04 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202026928A TW202026928A (zh) | 2020-07-16 |
| TWI746920B true TWI746920B (zh) | 2021-11-21 |
Family
ID=73004851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108100440A TWI746920B (zh) | 2019-01-04 | 2019-01-04 | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI746920B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI322609B (en) * | 2003-07-11 | 2010-03-21 | Ibm | System and method for authenticating clients in a client-server environment |
| CN102111271A (zh) * | 2009-12-25 | 2011-06-29 | 林茂聪 | 网络安全认证方法及其装置,及手持式电子装置认证方法 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| TW201251413A (en) * | 2011-06-03 | 2012-12-16 | Neowiz Games Corp | Authentication agent apparatus, and method and system for authenticating online service |
| TWI439103B (zh) * | 2006-05-26 | 2014-05-21 | Microsoft Corp | 網路資源之單一登入以及安全存取的政策導向憑證授權 |
-
2019
- 2019-01-04 TW TW108100440A patent/TWI746920B/zh active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI322609B (en) * | 2003-07-11 | 2010-03-21 | Ibm | System and method for authenticating clients in a client-server environment |
| TWI439103B (zh) * | 2006-05-26 | 2014-05-21 | Microsoft Corp | 網路資源之單一登入以及安全存取的政策導向憑證授權 |
| CN102111271A (zh) * | 2009-12-25 | 2011-06-29 | 林茂聪 | 网络安全认证方法及其装置,及手持式电子装置认证方法 |
| CN102111410A (zh) * | 2011-01-13 | 2011-06-29 | 中国科学院软件研究所 | 一种基于代理的单点登录方法及系统 |
| TW201251413A (en) * | 2011-06-03 | 2012-12-16 | Neowiz Games Corp | Authentication agent apparatus, and method and system for authenticating online service |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202026928A (zh) | 2020-07-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8819801B2 (en) | Secure machine enrollment in multi-tenant subscription environment | |
| JP6949064B2 (ja) | 認証及び承認方法並びに認証サーバー | |
| US11539526B2 (en) | Method and apparatus for managing user authentication in a blockchain network | |
| KR20220019834A (ko) | 디바이스로의 보안 자격증명 전송을 인증하는 방법 및 시스템 | |
| TWI754811B (zh) | 以裝置識別資料透過電信伺服器識別身份之系統及方法 | |
| WO2022052780A1 (zh) | 身份验证方法、装置、设备及存储介质 | |
| TWM594186U (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 | |
| TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
| TWI746920B (zh) | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 | |
| TWM580206U (zh) | System for identifying identity through device identification by device identification data | |
| TWI698823B (zh) | 於簽章時驗證使用者身分之系統及方法 | |
| TWM588313U (zh) | 透過金融帳戶資料確認使用者身分之系統 | |
| TWI690820B (zh) | 以嵌入式瀏覽器模組管理憑證之系統及方法 | |
| TWM586390U (zh) | 依服務指令進行身份確認以執行對應服務之系統 | |
| TWM586494U (zh) | 以網路識別資料透過電信伺服器識別身份之系統 | |
| TWI691859B (zh) | 依服務指令進行身份確認以執行對應服務之系統及方法 | |
| TWI777105B (zh) | 身份確認時取得附加資料以執行對應作業之系統及方法 | |
| TWI729535B (zh) | 透過金融帳戶資料確認使用者身分之系統及方法 | |
| TWI745015B (zh) | 身分認證時產生授權內容以供交易前檢核之系統及方法 | |
| TWM576680U (zh) | System for authenticating credentials across the domain through the portal server | |
| TWM576681U (zh) | Computing device for verifying user identity at the time of signature | |
| TWI697802B (zh) | 依客戶環境選擇資料傳遞方式以進行憑證作業之系統及方法 | |
| TW202040392A (zh) | 以裝置識別資料透過電信伺服器進行登入之系統及方法 | |
| TWI780341B (zh) | 以網路識別資料透過電信伺服器識別身份之系統及方法 | |
| TWI767113B (zh) | 使用實體載具儲存數位憑證以進行線上交易之系統及方法 |