TWI772908B - 以線上快速認證之硬體載具認證並簽章之系統及方法 - Google Patents
以線上快速認證之硬體載具認證並簽章之系統及方法 Download PDFInfo
- Publication number
- TWI772908B TWI772908B TW109133530A TW109133530A TWI772908B TW I772908 B TWI772908 B TW I772908B TW 109133530 A TW109133530 A TW 109133530A TW 109133530 A TW109133530 A TW 109133530A TW I772908 B TWI772908 B TW I772908B
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- data
- client
- certificate
- server
- Prior art date
Links
Images
Landscapes
- Communication Control (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一種以線上快速認證之硬體載具認證並簽章之系統及方法,其透過客戶端與硬體載具連接後,由硬體載具使用所儲存之認證私鑰產生驗證資料,並由客戶端傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,再由客戶端依據驗證結果選擇是否透過硬體載具使用認證私鑰簽章之技術手段,可以讓公鑰基礎架構所使用之私鑰兼顧方便與安全,並達成在 FIDO 架構下提供簽章服務的技術功效。
Description
一種憑證使用系統及方法,特別係指一種以線上快速認證之硬體載具認證並簽章之系統及方法。
認證公鑰基礎架構(Public Key Infrastructure, PKI),又稱公開金鑰基礎架構、公開金鑰基礎建設、認證公鑰基礎建設、認證公鑰基礎設施、或公開密碼基礎建設等,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原數位憑證。由密碼學的角度,公開金鑰基礎建設藉著數位憑證認證機構(CA)將使用者的個人身分跟公開金鑰鏈結在一起。同時,對每個認證機構而言,使用者的身分必須是唯一的。
一般在使用認證公鑰基礎架構的過程中,使用者在產生金鑰對並進行憑證申請時,需要建立一組密碼,並使用所建立的密碼存取金鑰對中的認證私鑰。然而,隨著竊聽、盜錄等影響網路安全的技術不斷進步,單純使用密碼的安全性已經不再足夠,因此,使用密碼保護認證私鑰之認證公鑰基礎架構的安全性也可能受到挑戰。
此外,為避免密碼被猜測、暴力破解,對密碼之複雜度要求與日俱增,同時也要求需定期變更,此一影響雖然加強使用密碼之強度,但也導致使用者不易記憶密碼,導致使用者在使用憑證時覺得不方便。
綜上所述,可知先前技術中長期以來一直存在公鑰基礎架構使用密碼保護私鑰無法兼顧方便與安全的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在公鑰基礎架構使用密碼保護私鑰無法兼顧方便與安全的問題,本發明遂揭露一種以線上快速認證之硬體載具認證並簽章之系統及方法,其中:
本發明所揭露之以線上快速認證之硬體載具認證並簽章之系統,至少包含:身分認證伺服器;硬體載具,其中更包含:儲存模組,用以儲存認證私鑰,認證私鑰對應認證公鑰;資料處理模組,用以於接收認證請求時,使用認證私鑰產生驗證資料;客戶端,其中更包含:連接模組,用以提供硬體載具連接,及用以傳送認證請求至硬體載具,並接收驗證資料及數位憑證;通訊模組,用以傳送驗證資料至身分認證伺服器,使身分認證伺服器使用認證公鑰驗證驗證資料以產生相對應之驗證結果,及用以接收驗證結果;作業處理模組,用以於驗證結果表示驗證資料通過驗證時,透過硬體載具使用該認證私鑰簽章。
本發明所揭露之以線上快速認證之硬體載具認證並簽章之方法,其步驟至少包括:連接客戶端及硬體載具,硬體載具儲存認證私鑰,認證私鑰對應認證公鑰;客戶端傳送認證請求至硬體載具;硬體載具使用認證私鑰產生驗證資料,並透過客戶端傳送驗證資料至身分認證伺服器;身分認證伺服器使用認證公鑰驗證驗證資料以產生相對應之驗證結果,並傳送驗證結果至客戶端;客戶端於驗證結果表示驗證資料通過驗證時,由硬體載具使用認證私鑰簽章。
本發明所揭露之系統與方法如上,與先前技術之間的差異在於本發明透過客戶端與硬體載具連接後,由硬體載具使用所儲存之認證私鑰產生驗證資料,並由客戶端傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,再由客戶端依據驗證結果選擇是否透過硬體載具使用認證私鑰簽章,藉以解決先前技術所存在的問題,並可以達成在 FIDO 架構下提供簽章服務之技術功效。
以下將配合圖式及實施例來詳細說明本發明之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本發明解決技術問題所應用的技術手段並據以實施,藉此實現本發明可達成的功效。
本發明可以使用線上快速認證中用來進行身分驗證之硬體載具所儲存的金鑰進行簽章。
以下先以「第1圖」本發明所提之以線上快速認證之硬體載具認證並簽章之系統架構圖來說明本發明的系統運作。如「第1圖」所示,本發明之系統含有身分認證伺服器110、硬體載具150、客戶端160,及可附加的憑證管理伺服器120、憑證驗證伺服器130。
身分認證伺服器110透過有線或無線網路與憑證管理伺服器120、憑證驗證伺服器130、及客戶端160連接。
身分認證伺服器110可以判斷客戶端160所傳送之服務請求所請求的服務類型,當服務請求是請求FIDO架構的服務時,身分認證伺服器110可以依據客戶端160所傳送的資料或訊號提供對應的FIDO服務,例如註冊與客戶端160所使用之認證私鑰(private key)對應的認證公鑰(public key)等;而當服務請求為請求憑證管理或憑證驗證的服務時,身分認證伺服器110可以將客戶端160所傳送的服務請求轉送給憑證管理伺服器120或憑證驗證伺服器130,並可以將憑證管理伺服器120或憑證驗證伺服器130所產生的資料或訊號轉送回客戶端160。
身分認證伺服器110也可以產生挑戰值(challenge),並可以產生包含所產生之挑戰值及其他參數的確認資料(如FIDO架構中的註冊請求),及可以將所產生的確認資料傳送給客戶端160。本發明所提之挑戰值為經過加密之一定長度的字串;本發明所提之其他參數包含但不限於使用者資訊(如使用者識別碼)等。
憑證管理伺服器120可以透過有線或無線網路與身分認證伺服器110連接,也可以接收身分認證伺服器110所傳送之資料或訊號,並可以傳送資料或訊號給身分認證伺服器110。
憑證管理伺服器120可以接收身分認證伺服器110所傳送的憑證管理請求,並提供與所接收到之憑證管理請求相對應的憑證管理服務。其中,憑證管理請求包含但不限於申請數位憑證的憑證簽署要求(Certificate Signing Request, CSR)、查詢數位憑證的憑證查詢要求、更新數位憑證的憑證更新要求;憑證管理服務包含但不限於憑證查詢、憑證申請、憑證展期/更新等。
更詳細的,憑證管理伺服器120可以是憑證認證伺服器、或可以包含透過有線或無線網路連接的憑證註冊伺服器及憑證認證伺服器。當憑證管理伺服器120為憑證認證伺服器時,憑證管理伺服器120可以處理接收到的所有憑證管理請求(如讀取數位憑證的效期/狀態、簽發數位憑證、延展數位憑證的效期等)並產生相對應的處理結果,及可以將所產生之處理結果透過身分認證伺服器110傳回客戶端160。而若憑證管理伺服器120包含憑證註冊伺服器及憑證認證伺服器,則憑證註冊伺服器可以與身分認證伺服器110連接,在接收到身分認證伺服器110所傳送的憑證管理請求時,可以依據所接收到的憑證管理請求選擇是否由自身處理或是轉送憑證認證伺服器處理。例如,當憑證管理請求為憑證效期/狀態查詢時,憑證註冊伺服器可以選擇自身處理,也就是讀取數位憑證的效期/狀態並透過身分認證伺服器110將所讀出之數位憑證的效期/狀態傳回客戶端160;又如,當憑證管理請求為憑證申請時,憑證註冊伺服器可以選擇將憑證處理請求轉送給憑證認證伺服器處理,也就是當身分認證伺服器110轉送客戶端160所發出之憑證簽署要求給憑證註冊伺服器時,憑證註冊伺服器可以將憑證簽署要求傳送給憑證認證伺服器,使憑證認證伺服器依據憑證簽署要求中的資料簽發數位憑證,並透過憑證註冊伺服器及身分認證伺服器110將所簽發的數位憑證傳回發出憑證簽署要求的客戶端160。
憑證驗證伺服器130透過有線或無線網路與身分認證伺服器110連接,負責依據身分認證伺服器110所傳送之資料或訊號提供對應的憑證驗證服務。例如,當身分認證伺服器110轉送客戶端160所發出之憑證驗證請求至憑證驗證伺服器130時,憑證驗證伺服器130可以依據憑證驗證請求中的簽章值對憑證驗證請求中的資料進行驗證,並透過身份認證伺服器110將驗證後產生之驗證結果傳回發出憑證驗證請求的客戶端160。
硬體載具150可以與客戶端160連接。一般而言,硬體載具150可以透過近端通訊(NFC)或連接線與客戶端160連接。如「第2圖」之元件示意圖所示,硬體載具150可以包含儲存模組201、資料處理模組210,及可附加的金鑰產生模組230。
儲存模組201負責儲存認證私鑰,儲存模組201也可以儲存識別碼(rawID)。本發明所提之識別碼為唯一值,通常可以代表客戶端160的使用者。一般而言,識別碼可以由使用者識別資料、隨機資料、時間戳記、及/或客戶端160的裝置識別資料等資料產生,例如對上述一個或多個資料進行Base64編碼等,但產生識別碼之資料與方式並不以上述為限。其中,使用者識別資料包含但不限於客戶端160之使用者的身分證號、護照號碼、簽證號碼等可以代表客戶端160之使用者的資料;裝置識別資料包含但不限於客戶端160的產品序號、客戶端160上之特定硬體元件的序號等。
資料處理模組210負責由儲存模組201中讀出認證私鑰。在部分的實施例中,資料處理模組210可以先驗證客戶端160所傳來之存取密碼,並可以在存取密碼通過驗證後,再由儲存模組201中讀取出認證私鑰及/或數位憑證。其中,存取密碼可以是文字,也可以是指紋、虹膜、人臉等生物特徵。
資料處理模組210負責使用由儲存模組201所取得的認證私鑰產生驗證資料。一般而言,資料處理模組210可以先使用認證私鑰對客戶端160所傳送的確認資料簽章,再產生包含簽章所產生之簽章值的驗證資料,並將所產生之驗證資料傳回客戶端160,但本發明並不以此為限。
資料處理模組210也可以產生與FIDO架構相容之憑證驗證請求。資料處理模組210所產生的憑證驗證請求包含所產生之驗證資料,也可以包含儲存模組201所取得的數位憑證。在大多數的實施例中,憑證驗證請求還可以包含通訊模組270所接收到的確認資料或預先產生的交易資料。
資料處理模組210也可以產生包含儲存模組201所取得之識別碼的認證資訊。資料處理模組210所產生的認證資訊與FIDO架構相容。
資料處理模組210也可以產生格式與FIDO架構相容之憑證管理請求。舉例來說,資料處理模組210可以先產生憑證簽署要求,並可以產生包含憑證簽署要求及認證資訊的憑證管理請求。
金鑰產生模組230可以產生金鑰對,金鑰產生模組230所產生的金鑰對可以被儲存模組201所儲存。金鑰產生模組230所產生的金鑰對可以在FIDO架構中使用,也就是說,金鑰產生模組230可以使用任何一種橢圓曲線密碼學的演算法產生金鑰對。一般而言,金鑰對包含認證公鑰及認證私鑰。其中,金鑰對可以是由任何一種橢圓曲線密碼學(Elliptic Curve Cryptography, ECC)的演算法所產生。
客戶端160可以透過有線或無線網路與身分認證伺服器110連接。其中,需要特別說明的是,客戶端160不論是向身分認證伺服器110請求FIDO服務或是憑證相關服務,傳送給身分認證伺服器110的服務請求都會符合FIDO架構所定義的格式。
客戶端160可以提供使用者申請數位憑證並註冊及使用FIDO服務,也可以提供使用者透過FIDO架構使用PKI服務完成簽章作業。其中,客戶端160可以如「第2圖」之元件示意圖所示,包含瀏覽元件205。
瀏覽元件205可以透過網頁提供使用者註冊並使用FIDO服務,也可以提供使用者透過FIDO架構實現簽章服務。其中,瀏覽元件205更可以包含連接模組240、作業處理模組260、通訊模組270,及可附加的輸入模組280。
連接模組240負責提供硬體載具150連接,也負責將通訊模組270所接收到的認證請求傳送給硬體載具150,並負責接收硬體載具150所傳送的驗證資料及數位憑證。
作業處理模組260負責依據通訊模組270所接收到的驗證結果選擇是否透過硬體載具150進行簽章。當驗證結果表示資料處理模組210所產生的驗證資料通過驗證時,作業處理模組260可以將待簽章的交易資料傳送給硬體載具150;而當驗證結果表示資料處理模組210所產生的驗證資料沒有通過驗證時,作業處理模組260可以不傳送交易資料給硬體載具150。
通訊模組270可以透過有線或無線網路與身分認證伺服器110連接。通訊模組270可以向身分認證伺服器110請求確認資料,並接收身分認證伺服器110所傳回的確認資料。
通訊模組270也負責將資料處理模組210所產生之包含驗證資料的憑證驗證請求傳送給身分認證伺服器110,使得身分認證伺服器110將憑證驗證請求轉送給憑證驗證伺服器130,並可以接收憑證驗證伺服器130透過身分認證伺服器110所傳回的驗證結果。
通訊模組270也可以將資料處理模組210所產生之憑證管理請求傳送給身分認證伺服器110,藉以透過身分認證伺服器110將憑證管理請求轉送給憑證管理伺服器120,在部分的實施例中,通訊模組270還可以透過身分認證伺服器110接收憑證管理伺服器120所傳回的數位憑證。
接著以一個實施例來解說本發明的運作裝置與方法,並請參照「第3A圖」本發明所提之以線上快速認證之硬體載具認證並簽章之方法流程圖。在本實施例中,假設硬體載具150為金融憑證,客戶端160為智慧型手機,並假設客戶端160中安裝有與本發明相容且包含瀏覽元件205的應用程式,但本發明並不以為限。其中,包含瀏覽元件205的應用程式可以是瀏覽器APP、或包含瀏覽元件的任意APP。
當客戶端160執行應用程式時,本發明客戶端160中之各模組可以被產生。
若在使用者使用應用程式的過程中,應用程式要求使用者進行簽章,例如,在購物網站或購物APP中結帳時,應用程式可以提供使用者選擇身分認證的方式,若使用者選擇使用FIDO機制認證身分,則應用程式可以提示使用者連接客戶端160與硬體載具150。在本實施例中,假設使用者選擇以近端通訊的方式進行FIDO機制認證身分,則使用者可以將金融憑證(硬體載具150)靠向客戶端160,藉以讓客戶端160的連接模組240透過近端通訊與硬體載具150連接。
在客戶端160與硬體載具150連接(步驟310)後,客戶端160的連接模組240可以將客戶端160的通訊模組270所接收到的認證請求傳送給硬體載具160(步驟330)。硬體載具160的資料處理模組210在接收到客戶端160的連接模組240所傳送之認證請求後,可以使用認證私鑰產生驗證資料(步驟350)。在本實施例中,假設資料處理模組210可以先透過通訊模組270連線至身分認證伺服器110取得包含挑戰值的確認資料,並可以使用輸入模組280所取得之認證私鑰對確認資料簽章而產生簽章值後,可以產生包含所產生之簽章值及儲存模組201所取得之識別碼的驗證資料。
在硬體載具160的資料處理模組210產生驗證資料後,資料處理模組210可以透過客戶端160將所產生的驗證資料傳送給身分認證伺服器(步驟360)。在本實施例中,假設資料處理模組210可以先透過客戶端160的連接模組240將驗證資料傳回客戶端160,使得客戶端160的通訊模組270可以將連接模組240所接收到的驗證資料傳送給身分認證伺服器110。
在身分認證伺服器110接收到客戶端160所傳送的驗證資料後,身分認證伺服器110可以使用客戶端160之使用者所擁有的認證公鑰驗證所接收到的驗證資料,並可以在驗證後產生相對應的驗證結果,及可以將所產生的驗證結果傳回客戶端160(步驟370)。在本實施例中,假設身分認證伺服器110可以由驗證資料中讀出簽章值及識別碼,並可以將所讀出之簽章值及識別碼及先前傳送給客戶端160的確認資料傳送給憑證驗證伺服器130;憑證驗證伺服器130可以在接收到身分認證伺服器110所傳送的簽章值、識別碼、與確認資料後,依據識別碼取得客戶端160之使用者的認證公鑰,並可以依據所取得的認證公鑰、所接收到的確認資料及簽章值產生驗證結果,及可以將所產生的驗證結果傳回身分認證伺服器110;身分認證伺服器110在接收到憑證驗證伺服器130所產生的驗證結果後,可以將所接收到的驗證結果傳送給客戶端160。
在客戶端160中的通訊模組270接收到身分認證伺服器110所傳送的驗證結果後,客戶端160中的作業處理模組260可以依據驗證結果選擇是否透過硬體載具150進行簽章作業(步驟380)。在本實施例中,作業處理模組260可以在驗證結果表示資料處理模組210所產生的驗證資料通過驗證時,透過連接模組240將結帳所產生的交易資料傳送給硬體載具150,使得硬體載具150使用儲存模組201所儲存的認證私鑰對所接收到的交易資料簽章並將簽章所產生的簽章結果傳回連接模組240,使得作業處理模組260可以依據連接模組240所接收到的簽章結果完成結帳作業;而若驗證結果表示驗證資料沒有通過驗證,則作業處理模組260可以不傳送交易資料給硬體載具150,並可以在客戶端160上顯示憑證使用失敗的提示訊息。
如此,透過本發明,便可以結合FIDO與認證公鑰基礎架構的優點,使得在FIDO架構下也能使用在FIDO架構中使用的認證私鑰進行憑證作業。
上述實施例中,在客戶端160執行應用程式後,若客戶端160的輸入模組280判斷客戶端160尚未完成任何數位憑證的綁定作業,也就是客戶端160的儲存模組201中沒有儲存任何的認證私鑰與相對應的數位憑證,則如「第3B圖」之流程所示,在連接客戶端160與硬體載具150後,客戶端160的金鑰產生模組230可以產生金鑰對(步驟311)。在本實施例中,假設金鑰產生模組230可以透過FIDO指令使用橢圓曲線密碼學演算法產生金鑰對,並可以產生包含使用者識別資料的識別碼。
接著,客戶端160的資料處理模組210可以透過客戶端160的通訊模組270連線至身分認證伺服器110取得包含不同挑戰值的另一個確認資料(以下將以第二確認資料表示),並可以使用金鑰產生模組230所產生之認證私鑰對第二確認資料簽章而產生簽章值。
之後,客戶端160中的資料處理模組210可以產生包含金鑰產生模組230所產生之認證公鑰的憑證簽署要求並可以產生包含儲存模組201所取得之識別碼的認證資訊,及可以產生包含憑證簽署要求與認證資訊的服務請求,客戶端160中的通訊模組270可以將資料處理模組210所產生的服務請求傳送給身分認證伺服器110(步驟315),藉以讓客戶端160向身分認證伺服器110註冊使用FIDO服務,同時透過身分認證伺服器110向憑證管理伺服器120申請數位憑證。
在身分認證伺服器110接收到客戶端160所傳送的服務請求後,身分認證伺服器110可以依據服務請求中的認證資訊註冊服務請求所包含的認證公鑰,藉以讓客戶端160註冊使用FIDO服務。
另外,身分認證伺服器110還可以將所接收到的憑證簽署要求傳送給憑證管理伺服器120,使得憑證管理伺服器120可以由所接收到的憑證簽署要求中取得客戶端160所產生的認證公鑰等資料並對所取得的資料進行簽署以產生數位憑證。身分認證伺服器110在接收到憑證管理伺服器120所傳回的數位憑證後,可以將所接收到的數位憑證傳送給客戶端160(步驟321),使得客戶端160取得可以在簽章時使用的數位憑證。在本實施例中,假設憑證管理伺服器120包含憑證註冊伺服器與憑證認證伺服器,則在憑證註冊伺服器接收到身分認證伺服器所傳送的憑證簽署要求後,可以產生包含所接收到之憑證簽署要求的憑證申請資料,並對所產生之憑證申請資料簽章後,產生將憑證申請資料及相對應的簽章值傳送給憑證認證伺服器。之後,憑證認證伺服器可以在使用所接收到的簽章值成功驗證所接收到的憑證申請資料後,對憑證簽署要求中的認證公鑰簽章,並產生包含憑證簽署要求中之認證公鑰及相對應之簽章值的數位憑證,及將數位憑證傳回憑證註冊伺服器,使憑證註冊伺服器將數位憑證傳送給身分認證伺服器110。
在客戶端160中的通訊模組270接收到身分認證伺服器110所傳送的數位憑證後,客戶端160的儲存模組201可以將通訊模組270所接收到的數位憑證及客戶端160的金鑰產生模組230所產生的認證私鑰儲存到客戶端160的儲存模組201中(步驟325),如此,客戶端160便完成數位憑證的綁定作業。
綜上所述,可知本發明與先前技術之間的差異在於具有客戶端與硬體載具連接後,由硬體載具使用所儲存之認證私鑰產生驗證資料,並由客戶端傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,再由客戶端依據驗證結果選擇是否使用硬體載具進行簽章作業之技術手段,藉由此一技術手段可以來解決先前技術所存在公鑰基礎架構使用密碼保護私鑰無法兼顧方便與安全的問題,進而達成在 FIDO 架構下提供簽章服務之技術功效。
再者,本發明之以線上快速認證之硬體載具認證並簽章之方法,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本發明所揭露之實施方式如上,惟所述之內容並非用以直接限定本發明之專利保護範圍。任何本發明所屬技術領域中具有通常知識者,在不脫離本發明所揭露之精神和範圍的前提下,對本發明之實施的形式上及細節上作些許之更動潤飾,均屬於本發明之專利保護範圍。本發明之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110:身分認證伺服器
120:憑證管理伺服器
130:憑證驗證伺服器
150:硬體載具
160:客戶端
201:儲存模組
205:瀏覽元件
210:資料處理模組
230:金鑰產生模組
240:連接模組
260:作業處理模組
270:通訊模組
280:輸入模組
步驟301:連接客戶端及硬體載具
步驟311:硬體載具產生金鑰對
步驟315:硬體載具產生包含憑證簽署要求及認證資訊之服務請求並傳送服務請求至身分認證伺服器
步驟321:身分認證伺服器傳送憑證簽署要求至憑證管理伺服器並將憑證管理伺服器所傳回之數位憑證傳送至客戶端
步驟325:硬體載具儲存認證私鑰
步驟330:客戶端傳送認證請求至硬體載具
步驟350:硬體載具使用認證私鑰產生驗證資料
步驟360:硬體載具透過客戶端傳送驗證資料至身分認證伺服器
步驟370:身分認證伺服器使用認證公鑰驗證驗證資料以產生驗證結果,並傳送驗證結果至客戶端
步驟380:客戶端於驗證資料通過驗證時,由硬體載具使用認證私鑰進行簽章認證並簽章
第1圖為本發明所提之以線上快速認證之硬體載具認證並簽章之系統架構圖。
第2圖為本發明所提之以線上快速認證之硬體載具認證並簽章之客戶端之元件示意圖。
第3A圖為本發明所提之以線上快速認證之硬體載具認證並簽章之方法流程圖。
第3B圖為本發明所提之以線上快速認證之硬體載具申請數位憑證之方法流程圖。
步驟301:連接客戶端及硬體載具
步驟330:客戶端傳送認證請求至硬體載具
步驟350:硬體載具使用認證私鑰產生驗證資料
步驟360:硬體載具透過客戶端傳送驗證資料至身分認證伺服器
步驟370:身分認證伺服器使用認證公鑰驗證驗證資料以產生驗證結果,並傳送驗證結果至客戶端
步驟380:客戶端於驗證資料通過驗證時,由硬體載具使用認證私鑰進行簽章
Claims (8)
- 一種以線上快速認證之硬體載具認證並簽章之系統,該系統至少包含:一身分認證伺服器;一硬體載具,其中更包含:一儲存模組,用以儲存一認證私鑰,該認證私鑰對應之一認證公鑰;及一資料處理模組,用以向該身分認證伺服器請求之一確認資料,及用以於接收一認證請求時,使用該認證私鑰對該確認資料簽章以產生一驗證資料;及一客戶端,其中更包含:一連接模組,用以提供該硬體載具連接,及用以傳送該認證請求至該硬體載具,並接收該驗證資料;一通訊模組,用以提供該硬體載具向該身分認證伺服器請求該確認資料,使該連接模組傳送該確認資料給該硬體載具,並用以傳送該驗證資料至該身分認證伺服器,使該身分認證伺服器使用該認證公鑰驗證該驗證資料以產生相對應之一驗證結果,及用以接收該驗證結果;及一作業處理模組,用以於結帳作業時產生一交易資料,及用以於該驗證結果表示該驗證資料通過驗證時,透過該連接模組傳送該交易資料至該硬體載具,藉以透過該硬體載具使用該認證私鑰對該交易資料簽章以產生能夠完成結帳作業之簽章結果。
- 如請求項1所述之以線上快速認證之硬體載具認證並簽章之系統,其中該客戶端更包含一輸入模組,用以輸入一存取密碼,該連接模組更用以傳送該存取密碼至該硬體載具,該資料處理模組更用以於判斷該存取密碼通過驗證時讀出該認證私鑰。
- 如請求項1所述之以線上快速認證之硬體載具認證並簽章之系統,其中該系統更包含一憑證驗證伺服器,用以接收該身分認證伺服器所傳送之該驗證資料所包含之一簽章值、一識別碼與該確認資料,並依據該簽章值、該識別碼、及該確認資料產生該驗證結果,及用以傳送該驗證結果至該身分認證伺服器。
- 如請求項1所述之以線上快速認證之硬體載具認證並簽章之系統,其中該硬體載具更包含一金鑰產生模組,用以產生該認證私鑰及該認證公鑰,該資料處理模組更用以產生包含一憑證簽署要求及一認證資訊之一服務請求,並透過該連接模組傳送該服務請求至該客戶端,該通訊模組更用以傳送該服務請求至該身分認證伺服器,該身分認證伺服器更用以傳送該憑證簽署要求至一憑證管理伺服器申請一數位憑證並將該數位憑證傳送至該客戶端。
- 一種以線上快速認證之硬體載具認證並簽章之方法,該方法至少包含下列步驟:一客戶端於結帳作業時產生一交易資料,連接該客戶端及一硬體載具,該硬體載具儲存一認證私鑰,該認證私鑰對應之一認證公鑰;該客戶端傳送一認證請求至該硬體載具; 該硬體載具向該身分認證伺服器請求一確認資料,並使用該認證私鑰對該確認資料簽章以產生一驗證資料,並透過該客戶端傳送該驗證資料至一身分認證伺服器;該身分認證伺服器使用該認證公鑰驗證該驗證資料以產生相對應之一驗證結果,並傳送該驗證結果至該客戶端;及該客戶端於該驗證結果表示該驗證資料通過驗證時,傳送該交易資料至該硬體載具,藉以透過該硬體載具使用認證私鑰對該交易資料簽章以產生能夠完成結帳作業之簽章結果。
- 如請求項5所述之以線上快速認證之硬體載具認證並簽章之方法,其中該硬體載具使用該認證私鑰產生該驗證資料之步驟,為該硬體載具取得該客戶端所輸入之一存取密碼之步驟,並於判斷該存取密碼通過驗證時讀出該認證私鑰。
- 如請求項5所述之以線上快速認證之硬體載具認證並簽章之方法,其中該身分認證伺服器使用該認證公鑰驗證該驗證資料以產生相對應之該驗證結果之步驟為該身分認證伺服器傳送該驗證資料所包含之一簽章值、一識別碼與該確認資料至一憑證驗證伺服器,使該憑證驗證伺服器依據該簽章值、該識別碼、及該確認資料產生該驗證結果,並接收該憑證驗證伺服器傳回之該驗證結果。
- 如請求項5所述之以線上快速認證之硬體載具認證並簽章之方法,其中該方法於該客戶端傳送該認證請求至該硬體載具之步驟前,更包含該硬體載具產生該認證私鑰及該認證公鑰,並產生包含一憑證簽署要求及一認證資訊之一服務請求後,透過該客戶端傳送該服務請求至該身分認證伺服器,使 該身分認證伺服器傳送該憑證簽署要求至一憑證管理伺服器申請一數位憑證並將該數位憑證傳送至該客戶端之步驟。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109133530A TWI772908B (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之硬體載具認證並簽章之系統及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109133530A TWI772908B (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之硬體載具認證並簽章之系統及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202213132A TW202213132A (zh) | 2022-04-01 |
| TWI772908B true TWI772908B (zh) | 2022-08-01 |
Family
ID=82197380
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109133530A TWI772908B (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之硬體載具認證並簽章之系統及方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI772908B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI841965B (zh) * | 2022-05-23 | 2024-05-11 | 兆豐國際商業銀行股份有限公司 | 信用卡消費授權系統 |
| TWI835652B (zh) * | 2023-05-17 | 2024-03-11 | 中華電信股份有限公司 | 電子文件授權簽署系統、方法及其電腦可讀媒介 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWM594186U (zh) * | 2019-12-16 | 2020-04-21 | 臺灣網路認證股份有限公司 | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 |
| US20200280550A1 (en) * | 2019-02-28 | 2020-09-03 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
-
2020
- 2020-09-26 TW TW109133530A patent/TWI772908B/zh active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200280550A1 (en) * | 2019-02-28 | 2020-09-03 | Nok Nok Labs, Inc. | System and method for endorsing a new authenticator |
| TWM594186U (zh) * | 2019-12-16 | 2020-04-21 | 臺灣網路認證股份有限公司 | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 |
Non-Patent Citations (2)
| Title |
|---|
| 羅正漢,"【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題",IThome,https://www.ithome.com.tw/news/128566,2019/02/05 * |
| 羅正漢,"【全面解析FIDO網路身分識別】無密碼新時代將至!解決網路密碼遭竊與盜用問題",IThome,https://www.ithome.com.tw/news/128566,2019/02/05。 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202213132A (zh) | 2022-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9860245B2 (en) | System and methods for online authentication | |
| KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
| KR101298562B1 (ko) | 일회용 사설키를 사용하여 디지털 서명을 구현하기 위한시스템 및 방법 | |
| US9160732B2 (en) | System and methods for online authentication | |
| US8615663B2 (en) | System and method for secure remote biometric authentication | |
| US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
| AU2011205391B2 (en) | Anytime validation for verification tokens | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| US9722792B2 (en) | Reading of an attribute from an ID token | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| WO2007094165A1 (ja) | 本人確認システムおよびプログラム、並びに、本人確認方法 | |
| US20140164764A1 (en) | Assignment of digital signature and qualification for related services | |
| TWM623435U (zh) | 使用多安全層級驗證客戶身分與交易服務之系統 | |
| CN101243438A (zh) | 分布式单一注册服务 | |
| CN101262342A (zh) | 分布式授权与验证方法、装置及系统 | |
| CN111641615A (zh) | 一种基于证书的分布式身份验证方法及系统 | |
| US20230133418A1 (en) | Personalised, server-specific authentication mechanism | |
| TWI772908B (zh) | 以線上快速認證之硬體載具認證並簽章之系統及方法 | |
| JP2020120173A (ja) | 電子署名システム、証明書発行システム、証明書発行方法及びプログラム | |
| CN111010279A (zh) | 一种基于零知识证明的远程多因子认证协议 | |
| JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
| US20090319778A1 (en) | User authentication system and method without password | |
| TWM606867U (zh) | 以線上快速認證之認證機制啟用數位憑證之系統 | |
| WO2011152084A1 (ja) | 効率的相互認証方法、プログラム、及び装置 | |
| TWM607988U (zh) | 以線上快速認證之硬體載具認證並簽章之系統 |