TWI786981B - 預簽憑證管理系統、方法及其電腦可讀媒介 - Google Patents
預簽憑證管理系統、方法及其電腦可讀媒介 Download PDFInfo
- Publication number
- TWI786981B TWI786981B TW110145683A TW110145683A TWI786981B TW I786981 B TWI786981 B TW I786981B TW 110145683 A TW110145683 A TW 110145683A TW 110145683 A TW110145683 A TW 110145683A TW I786981 B TWI786981 B TW I786981B
- Authority
- TW
- Taiwan
- Prior art keywords
- certificate
- signed
- transparency
- center module
- log
- Prior art date
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Testing Of Coins (AREA)
Abstract
本發明之預簽憑證管理系統及其方法,係於註冊中心模組接收用以申請憑證之憑證服務申請封包後,透過憑證中心模組執行憑證申請流程以及日誌介接模組執行憑證透明度服務後,由該憑證中心模組依據前述結果產生對應之終端實體憑證並回傳給該註冊中心模組,或是廢止該憑證中心模組內儲存之預簽憑證,本發明藉由預簽憑證及終端實體憑證之擴充、組合,及相關驗證紀錄的變更實施,以避免因憑證簽發過程之時間區段內因故失效及預簽憑證被盜用之問題。本發明復提供一種電腦可讀媒介,係用於執行本發明之方法。
Description
本發明係關於預簽憑證之管理機制,尤指一種有關預簽憑證與終端實體憑證之關聯有效性驗證機制之預簽憑證管理系統、方法及其電腦可讀媒介。
網路上之行為,例如透過網頁進行網站造訪或網頁瀏覽等,網頁伺服器需要設定伺服器憑證,以達到安全資料交換之目的,故憑證之安全且有效之發放過程相當重要。
目前主要使用之憑證透明度傳輸機制中,以X509v3憑證延伸(certificate extension)之機制為例,其於發放終端實體憑證前,須先經形成預簽憑證,藉以與對應之終端實體憑證相互關聯,以確保所發放之終端實體憑證之有效性。惟,前述X509v3之憑證機制中,於形成預簽憑證後,可能因為許多原因而未據以形成終端實體憑證,如此將導致所形成之預簽憑證存在被盜用的風險。
有鑑於此,如何提供一種預簽憑證之管理機制,以對現行憑證透明度運作機制進行改良,藉以確保所形成之預簽憑證已確實據以產製對應之終端實體憑證,將為目前本技術領域人員急欲追求之目標。
為解決上述現有技術之問題,本發明揭露一種預簽憑證管理系統,係包括:註冊中心模組,係接收憑證服務申請封包;憑證中心模組,係自該註冊中心模組接收該憑證服務申請封包,且據之執行憑證申請流程以產生憑證透明度日誌紀錄申請封包;日誌介接模組,係自該憑證中心模組接收該憑證透明度日誌紀錄申請封包,以據之執行憑證透明度服務後,回傳該憑證透明度服務之執行結果至該憑證中心模組,俾由該憑證中心模組依據該執行結果進行憑證接受流程而產生對應之終端實體憑證,或是進行憑證廢止流程而廢止該憑證中心模組內儲存之預簽憑證;以及驗證中心模組,係用以接收該註冊中心模組、該憑證中心模組及該日誌介接模組提供之驗證服務申請封包,以據之執行對應之驗證服務,再回傳該驗證服務之處理結果。
於一實施例中,於該執行結果為未取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳或是取得該已簽章憑證時戳但無需簽出憑證時,執行該憑證廢止流程以廢止該預簽憑證。
於一實施例中,於該執行結果為取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳且該預簽憑證能與該已簽章憑證時戳綁定時,執行該憑證接受流程以產生該終端實體憑證。
於另一實施例中,執行該憑證透明度服務係指該日誌介接模組將該憑證透明度日誌紀錄申請封包之內容轉換為符合憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊為正確時,接收該憑證透明度日誌所回傳之已簽章憑證時戳。
於另一實施例中,該日誌介接模組存取該憑證透明度日誌係由憑證透明度日誌詮釋資料庫存取日誌介接資訊,以及於該日誌介接模組確認該憑證透明度日誌所回傳之該已簽章憑證時戳為正確時,儲存該已簽章憑證時戳對應之憑證透明度資訊至驗證中心資料庫。
於另一實施例中,該驗證中心模組係於該日誌介接模組儲存該已簽章憑證時戳對應之憑證透明度資訊於該驗證中心資料庫時,對該驗證中心資料庫形成交易鎖。
於另一實施例中,該驗證中心模組係連接用以提供時戳及時戳簽章之時戳伺服器。
於另一實施例中,該註冊中心模組於接收該憑證服務申請封包時,先執行身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章提交至該憑證中心模組。
於又一實施例中,該註冊中心模組於該憑證中心模組執行該憑證處理流程而產生該終端實體憑證時,將該終端實體憑證回傳至對應該身分驗證程序之憑證申請者。
另外,本發明復提供一種預簽憑證管理方法,係包括:由註冊中心模組接收憑證服務申請封包;由憑證中心模組分析該憑證服務申請封包,以執行憑證申請流程而據之產生憑證透明度日誌紀錄申請封包;由日誌介接模組
分析該憑證透明度日誌紀錄申請封包,以據之執行憑證透明度服務後,回傳該憑證透明度服務之執行結果至該憑證中心模組;以及由該憑證中心模組判斷該執行結果以進行憑證接受流程而產生對應之終端實體憑證,或是進行憑證廢止流程而廢止該憑證中心模組內儲存之預簽憑證。
於上述方法中,於判斷該執行結果為未取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳或是取得該已簽章憑證時戳但無需簽出憑證,執行該憑證廢止流程以廢止該預簽憑證。
於上述方法中,於判斷該執行結果為取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳且該預簽憑證能與該已簽章憑證時戳綁定時,執行該憑證接受流程以產生該終端實體憑證。
於上述方法中,執行該憑證透明度服務係指該日誌介接模組將該憑證透明度日誌紀錄申請封包之內容轉換為符合憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊為正確時,接收該憑證透明度日誌所回傳之該已簽章憑證時戳。
於上述方法中,於該註冊中心模組接收該憑證服務申請封包時,先執行身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章提交至該憑證中心模組。
於上述方法中,於該憑證中心模組執行該憑證處理流程而產生該終端實體憑證時,令該註冊中心模組將該終端實體憑證回傳至對應該身分驗證程序之憑證申請者。
本發明另提出一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行前述之預簽憑證管理方法。
由上可知,本發明之預簽憑證管理系統、方法及其電腦可讀媒介係透過預簽憑證及終端實體憑證之擴充、組合,及相關驗證紀錄的變更實施,藉以達到避免因憑證簽發過程之時間區段內因故失效之目的,更能達到避免預簽憑證被盜用之功效。
1:預簽憑證管理系統
11:註冊中心模組
12:憑證中心模組
13:日誌介接模組
14:驗證中心模組
21:TLS客戶端瀏覽器
22:TLS網頁伺服器
23:網域名稱伺服器
24:代理伺服器
3:憑證透明度日誌
41:憑證中心資料庫
42:憑證透明度日誌詮釋資料庫
43:驗證中心資料庫
44:時戳伺服器
S300~S330:步驟
S400~S440b:步驟
圖1係本發明之預簽憑證管理系統之示意架構圖。
圖2係本發明之預簽憑證管理系統運作時之系統架構圖。
圖3係本發明之預簽憑證管理方法之步驟圖。
圖4係本發明之預簽憑證管理方法於一實施例之流程圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。
圖1為本發明之預簽憑證管理系統之示意架構圖。如圖所示,本發明之預簽憑證管理系統1係包括註冊中心模組11、憑證中心模組12、日誌介接模組13以及驗證中心模組14,其中,於註冊中心模組11接收用以申請憑證之憑證服務申請封包後,透過憑證中心模組12執行憑證申請流程以及日誌介接模組13執行憑證透明度服務後,由該憑證中心模組12依據前述結果產生對應之終端實體憑證,並回傳給註冊中心模組11,而驗證中心模組14則用以進行相關服務驗證及驗證結果回傳。
在一實施例中,本發明所述之模組、裝置等,係可包括微處理器及記憶體,而演算法、資料或程式係可儲存記憶體或晶片內,據此,透過微處理器自記憶體載入資料、演算法或程式,進行資料分析或計算處理。亦即,本發明之憑證中心模組12、註冊中心模組11、日誌介接模組13以及驗證中心模組14可為包括有微處理器與記憶體等組件之伺服器或電腦,且各模組內將執行分析運算,因而本發明所述模組其硬體細部結構可以此方式實現。
此外,本發明之預簽憑證管理系統1所接收的憑證服務申請之憑證格式係鎖定於Web Public Key Infrastructure(公開金鑰基礎建設,PKI)背景下之安全通訊協定(Secure Sockets Layer,SSL)憑證,特別是延伸驗證(Extended Validation,EV)SSL憑證。
關於本發明之預簽憑證管理系統,詳述如下。
註冊中心模組11用以於憑證申請者有憑證申請之需求時,自憑證申請者處接收憑證服務申請封包(例如SSL憑證服務申請封包)。進言之,註冊中心模組11於接收該憑證服務申請封包時,先執行該憑證申請者之身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章提交至該憑證中心模組12;另外,註冊中心模組11復於該憑證中心模組12執行憑證處理流程而產生終端實體憑證時,將該終端實體憑證回傳至對應該身分驗證程序之該憑證申請者。
詳言之,註冊中心模組11係與憑證中心模組12以及驗證中心模組14通訊連結,用以接收憑證申請者所提交之SSL憑證服務申請封包。註冊中心模組11能依照憑證實務作業基準之規範起始憑證使用者之身分識別與鑑別驗證程序,係主要包含憑證主體身分驗證、網域所有權驗證、憑證服務申請封包格
式以及內容驗證。具體來說,註冊中心模組11能驗證憑證服務申請封包格式及內容以及主體身分及網域所有權,俾於憑證申請封包格式及內容驗證無誤,且憑證主體及網域所有權也驗證無誤時,由註冊中心模組11提交憑證服務申請封包給憑證中心模組12。亦即,註冊中心模組11於上述之相關身分識別與鑑別之驗證程序確認無誤後,將憑證服務申請封包以註冊中心模組11私鑰簽章後提交給憑證中心模組12。憑證主體身分驗證流程依照申請之SSL憑證種類而異,將分別對應不同的身分認證保證等級,而網域所有權驗證服務為多種服務之組合,如驗證申請者為網域名稱聯絡人、對特定網頁內容的約定變更、網域名稱系統之變更等,可依照外部環境之變更或憑證申請者的需求進行調整及選用。
此外,註冊中心模組11復將憑證申請流程中相關簽章驗證、憑證格式確認以及憑證狀態驗證等驗證檢查,透過驗證服務申請封包提交至驗證中心模組14來進行驗證。
憑證中心模組12自該註冊中心模組11接收憑證服務申請封包,以據之執行憑證申請流程並產生憑證透明度日誌紀錄申請封包;另外,憑證中心模組12於執行憑證申請流程後,若有產生終端實體憑證,則將該終端實體憑證回傳至註冊中心模組11,以透過該註冊中心模組11將終端實體憑證回傳給憑證申請者。
具體而言,憑證中心模組12與註冊中心模組11、日誌介接模組13及驗證中心模組14通訊連結,以接收經註冊中心模組11驗證後之憑證服務申請封包。憑證中心模組12係主要包含憑證申請、憑證廢止、憑證展期、憑證變更等。當憑證服務處理流程執行後,若符合申請,則會回傳SSL憑證至註冊中心模組11。另外,憑證中心模組12亦將憑證服務申請流程中相關簽章驗證、憑證
格式確認及憑證狀態驗證等驗證的驗證服務申請封包,提交給驗證中心模組14進行驗證。
日誌介接模組13與憑證中心模組12和驗證中心模組14通訊連結,以接收憑證中心模組12提交之憑證串鍊,係主要包含憑證串鍊格式及簽章確認、根憑證驗證其是否為憑證透明度日誌所接受的對象、原始憑證串鍊重組為憑證透明度日誌所接受的格式、選用特定已簽章憑證時戳傳輸機制等,其中,相關之憑證紀錄資訊係分別儲存於複數個憑證透明度日誌內,以由憑證透明度日誌詮釋資料庫進行識別。易言之,日誌介接模組13其可自憑證中心模組12接收憑證透明度日誌紀錄申請封包,以於判讀該憑證透明度日誌紀錄申請封包後,據之執行憑證透明度服務,接著,將該憑證透明度服務之執行結果回傳至憑證中心模組12,俾於該執行結果為取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳且該已簽章憑證時戳與該憑證中心模組12內儲存之預簽憑證能綁定時,該憑證中心模組12依據該執行結果進行憑證接受流程,以產生對應之終端實體憑證;另外,於該執行結果為未取得該已簽章憑證時戳或取得該已簽章憑證時戳但無需簽出憑證時,執行憑證廢止流程,以廢止該預簽憑證。
該憑證透明度服務係指日誌介接模組13將該憑證透明度日誌紀錄申請封包之內容重組後轉換為符合憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊中所有憑證為正確時,接收該憑證透明度日誌所回傳之已簽章憑證時戳,其中,日誌介接模組13係於憑證串鍊中所有憑證為正確時,將其重組後以特定格式提交至各已設定之憑證透明度日誌,以請求該憑證透明度日誌回傳該已簽章憑證時戳。另外,日誌介接
模組13支援重送機制,當憑證透明度日誌運作失效時,日誌介接模組13將於組態設定的時間點進行重送。
驗證中心模組14與憑證中心模組12、註冊中心模組11以及日誌介接模組13通訊連結,其用以接收來自該註冊中心模組11、該憑證中心模組12以及該日誌介接模組13之驗證服務申請封包,亦即,驗證中心模組14係接收憑證中心模組12與註冊中心模組11提交之相關簽章驗證、憑證格式確認、及憑證狀態驗證等的驗證服務申請封包,據之執行對應之驗證服務,以回傳該驗證服務之處理結果。另外,驗證中心模組14亦驗證及紀錄日誌介接模組13與各憑證透明度日誌的介接結果,以完成預簽憑證及終端實體憑證之關聯性驗證。
於一實施例中,驗證中心模組14於驗證到日誌介接模組13之憑證串鍊起始為預簽憑證類別時,將另起交易鎖(詳如後述),以依據日誌介接模組13更新憑證透明度之相關資訊的情況,進行簽章及簽發時戳,藉以確保終端實體憑證有確實為憑證中心模組12所簽出,且經註冊中心模組11回傳給憑證申請者。
圖2為本發明之預簽憑證管理系統運作時之系統架構圖。如圖所示,本發明之預簽憑證管理系統係與提出憑證申請之傳輸層安全性協定(Transport Layer Security,TLS)交握(Handshake)端以及憑證透明度日誌3、憑證中心資料庫41、憑證透明度日誌詮釋資料庫42、驗證中心資料庫43以及時戳伺服器44連結。
TLS交握端包括TLS客戶端瀏覽器21、TLS網頁伺服器22、網域名稱伺服器23以及代理伺服器24,其中,TLS客戶端瀏覽器21連結至TLS網頁伺服器22以及網域名稱伺服器23,網域名稱伺服器23與TLS網頁伺服器22連
結,而TLS網頁伺服器22連結至代理伺服器24。TLS用戶操作TLS客戶端瀏覽器21透過網域名稱伺服器23存取TLS網頁伺服器22,TLS網頁伺服器22透過代理伺服器24連結至預簽憑證管理系統1。TLS網頁伺服器22若欲對外提供服務,需要設定SSL憑證於其組態設定中。以往主流之瀏覽器已逐漸內建相關之檢查機制,其中,憑證透明度亦為檢查項目之一,亦即,在未通過檢查機制下,TLS用戶將無法順利存取TLS網頁伺服器22。此時,TLS網頁伺服器22將藉由代理伺服器24向註冊中心模組11送出SSL憑證申請請求,亦即憑證服務申請封包,其中,憑證申請請求須由設備或應用軟體之擁有者提出憑證申請。
憑證申請者填寫憑證申請資料且同意用戶約定條款後,將憑證申請資料及相關證明資料傳送給註冊中心模組11,憑證申請者須以自行產製之金鑰簽章並產生PKCS#10憑證申請檔,於提出憑證申請時,憑證申請者將該憑證申請檔透過安全管道提交給註冊中心模組11,且指定其憑證中心模組12為授權簽發單位。於一實施例中,預簽憑證管理系統1不進行代產金鑰或者提供代管金鑰服務。
憑證中心模組12連結至憑證中心資料庫41,於註冊中心模組11審核通過之憑證服務申請封包後,依據該憑證服務申請封包進行剖析,以得到憑證服務申請封包所對應之服務申請內容,例如憑證申請、憑證廢止、憑證展期、憑證變更,憑證中心模組12依據憑證服務申請封包啟用相對應流程。憑證服務申請封包經憑證中心模組12確認後,啟用憑證申請流程,其先查驗註冊中心模組11之授權狀態,以確認憑證服務申請封包之被授權的保證等級與範圍,俾依據憑證服務申請資料執行對應之憑證簽發流程。其中,為確保憑證中心模組12及註冊中心模組11之間傳輸資料之安全、完整及不可否認性,憑證中心模
組12及註冊中心模組11之間係經數位簽章及傳輸層安全協定方式加密,以透過網路進行安全資料傳輸。
為了使簽發之SSL憑證通過上述瀏覽器之驗證,憑證中心模組12需針對要簽發之SSL憑證向各憑證透明度日誌3取得已簽章憑證時戳,為此,憑證中心模組12須先產製憑證透明度日誌紀錄申請封包,傳送至日誌介接模組13以執行憑證紀錄申請流程,其中,憑證紀錄申請流程可以非同步機制啟用。
關於上述之已簽章憑證時戳的傳輸機制主要包括X509v3 certificate extension、傳輸層安全性協定延伸(TLS extension)以及線上憑證狀態協定裝訂(Online Certificate Status Protocol Stapling,OCSP Stapling)。其中,TLS extension運作模式通常為一般憑證用戶所用,且此模式需要重新編譯其網頁伺服器、額外加入憑證透明度模組、並修改配置,並且不支援動態傳輸之特性,因此該運作模式較不嚴謹。
此外,目前主流已簽章憑證時戳傳輸機制為X509v3 certificate extension模式,且依據各瀏覽器公告之憑證透明度政策,採用X.509v3 Extension機制具有如下優點。
首先,SSL憑證客戶可用過去申請憑證方式取得符合憑證透明度規範的SSL憑證;其次,無存在額外限制如RFC 6962所列的OCSP Stapling SCT傳輸機制(須啟用客戶端網頁伺服器OCSP Stapling組態設定,且至今仍有少數網頁伺服器不支援OCSP Stapling);又,日誌介接模組13僅須確保目標憑證簽發當下所介接的憑證透明度日誌3狀態正常,因此可不受日後憑證透明度日誌3狀態變更所影響。故在本發明之一實施例中,係以日誌介接模組13採用X509v3 certificate extension模式作為示例來進行相關說明。
另外,前述OCSP Stapling模式以及X509v3 certificate extension模式之兩種已簽章憑證時戳傳輸機制對於日誌介接模組13提交到各憑證透明度日誌3,其主要差異為X509v3 certificate extension採用添加預植證書鏈(add-pre-chain)介面,其輸入為PrecertChainEntry,而OCSP Stapling採用添加證書鏈(add-chain)介面,其輸入為X509ChainEntry。對於憑證串鍊而言,預簽憑證並非終端實體憑證,其憑證延伸欄位與終端實體憑證不同,其後依照簽發順序反向串接到根憑證,層級依照憑證中心之架構而定。
日誌介接模組13將憑證透明度日誌紀錄申請封包內容組成PrecertChainEntry格式後,再存取憑證透明度日誌詮釋資料庫42以取得日誌介接資訊,接著,透過add-pre-chain介面向各憑證透明度日誌3提出紀錄申請。於一實施例中,不同憑證透明度日誌3具有不同之介面以及狀態,故不同憑證透明度日誌3之存取採用不同執行緒執行之方式,以避免憑證透明度日誌3之間互相干擾。
有關日誌介接模組13向憑證透明度日誌3提出紀錄申請之結果有三。
其一,已簽章憑證時戳之種類及數量符合規範,亦即PrecertChainEntry與已簽章憑證時戳串鍊可正常綁定,且將照正常憑證簽發流程簽出終端實體憑證;其二,無法順利取回足夠的已簽章憑證時戳以滿足瀏覽器公告之憑證透明度政策規範,此時日誌介接模組13需再進行重送並再次進行確認,然後將結果更新於驗證中心資料庫43;其三,取回之已簽章憑證時戳已符合規範,但因為各種原因該終端實體憑證並不需要簽出,儘管此情境當下並無違反任何規範,但該預簽憑證將有可能成為攻擊標的。
於上述之第一種結果中,憑證透明度日誌3於接收日誌介接模組13之紀錄申請,且驗證憑證透明度日誌紀錄申請封包之憑證串鍊無誤後,在最大匯入延遲時間之範圍內,將憑證記錄於其資料結構後回傳已簽章憑證時戳。日誌介接模組13於接收到各憑證透明度日誌3所回傳的已簽章憑證時戳時,先檢視目前各憑證透明度政策之規範,以於確認當前審核標準後,再依照其條件進行驗證。當日誌介接模組13確認所有已簽章憑證時戳為正確時,即已簽章憑證時戳之內容及格式無誤後,於驗證中心資料庫43中儲存該已簽章憑證時戳對應之憑證透明度資訊,亦即,將已簽章憑證時戳之相關結果以及狀態資訊連同PrecertChainEntry寫入驗證中心資料庫43。
於上述第二種結果中,由於各憑證透明度日誌3之狀態各異,故日誌介接模組13針對沒順利取回已簽章憑證時戳之情況,將以排程設定重送機制。
於上述第三種結果中,由於日誌介接模組13取回已簽章憑證時戳時,可能因故而未真正簽出終端實體憑證,因此,若該預簽憑證被截取,則將可能遭到攻擊而變更其結構,進而取代真正的憑證申請者。為了預防此情況,驗證中心模組14於該日誌介接模組13儲存該已簽章憑證時戳對應之憑證透明度資訊於該驗證中心資料庫43時,發動交易鎖之機制。
詳言之,驗證中心模組14於偵測到驗證中心資料庫43欲寫入新憑證透明度資訊時,驗證中心模組14首先於所新增之憑證透明度資訊形成交易鎖,再以其私鑰進行簽章,此後,方於驗證中心資料庫43中寫入該憑證透明度資訊。於一實施例中,本發明之預簽憑證管理系統1之驗證中心模組14係連接用以提供時戳及時戳簽章給該驗證中心模組14之時戳伺服器44,以於驗證中心
模組14對新增之憑證透明度資訊加上交易鎖之同時,亦依據時戳伺服器44所提供之時戳以及時戳簽章,對欲寫入之該憑證透明度資訊加上時戳以及時戳簽章;另外,寫入之該憑證透明度資訊復分別針對人、事、時、地、物等物件屬性額外加以紀錄。於驗證中心資料庫43中之該憑證透明度資訊之資料狀態發生變更時,例如經重送機制取回憑證透明度日誌3回傳之已簽章憑證時戳,則驗證中心模組14亦於偵測及確認後,對該已簽章憑證時戳所對應之憑證透明度資訊加上時戳、時戳簽章以及紀錄其異動資訊,並加以簽章。
進言之,於前述日誌介接模組13向憑證透明度日誌3提出紀錄申請之三種結果若未執行完成,則該交易鎖不能被驗證中心模組14釋放。其中,若為前述第一種結果,以憑證簽發流程進行後續作業,反之,若為第二種結果以及第三種結果,情況則將工作流導入憑證廢止流程。有關憑證簽發流程以及憑證廢止流程,詳述如下。
當進行憑證簽發流程,即已完成第一種結果,此時,驗證中心模組14會將該筆鎖定釋放,使日誌介接模組13從驗證中心資料庫43將合規的已簽章憑證時戳組成已簽章憑證時戳串鍊後回傳給憑證中心模組12。憑證中心模組12須驗證過程中所有憑證透明度資訊異動紀錄及其簽章以及相對應的時戳資訊及其簽章,以確保紀錄資訊的不可否認性及完整性。當憑證中心模組12確認已簽章憑證時戳串鍊無誤後,會再將該已簽章憑證時戳串鍊嵌入於終端實體憑證之特定憑證延伸欄位,並以憑證中心模組12之私鑰簽發該終端實體憑證,然後回傳給註冊中心模組11。註冊中心模組11收到該終端實體憑證後,將驗證該憑證內的憑證中心模組12簽章以及憑證串鍊,驗證通過後方可啟用憑證接受流程給憑證用戶進行最終確認,都沒問題後將結束該筆憑證簽發流程。
於一實施例中,終端實體憑證以非同步方式回傳至TLS網頁伺服器22。憑證簽發流程執行時,憑證透明度日誌服務相關之憑證紀錄申請將依照介接對象之數量分別啟用其它執行序進行處理。
當進行憑證廢止流程,即已完成上述之第二種結果或第三種結果,此時,驗證中心模組14亦會將該筆鎖定釋放,並使日誌介接模組13通知憑證中心模組12進行憑證廢止,憑證中心模組12使用與簽發憑證時相同的管理中心私鑰將廢止憑證序號與憑證廢止理由等憑證廢止相關資訊,經由數位簽章後記載於憑證廢止清冊,且提供線上憑證狀態協定查詢服務,以確保該憑證已被廢止。
圖3係本發明之預簽憑證管理方法之步驟圖。本發明之預簽憑證管理方法係於一預簽憑證管理系統中執行,於一具體實施例中,所述之預簽憑證管理系統可包括前述之註冊中心模組、憑證中心模組、日誌介接模組以及驗證中心模組,更甚者,該預簽憑證管理系統係進一步與憑證中心資料庫、憑證透明度日誌詮釋資料庫、驗證中心資料庫、時戳伺服器以及憑證透明度日誌連結,有關預簽憑證管理系統之詳細說明已如上述,故不贅述。如圖所示,本發明之預簽憑證管理方法係執行以下步驟。
於步驟S300中,令註冊中心模組接收憑證申請者發出之憑證服務申請封包。憑證申請者於有憑證申請之需求時,發出請求憑證服務,亦即,憑證申請者自行產製金鑰簽章以及產生PKCS#10憑證申請檔,並形成SSL憑證服務申請封包以提交給預簽憑證管理系統之註冊中心模組。
於步驟S310中,令憑證中心模組分析該憑證服務申請封包,以執行憑證申請流程而據之產生憑證透明度日誌紀錄申請封包。簡言之,預簽憑
證管理系統之註冊中心模組於接收到憑證申請者之憑證服務申請封包後轉交給憑證中心模組,由憑證中心模組剖析所接收之憑證服務申請封包,以執行憑證申請流程。
於一實施例中,憑證申請流程之工作流可以非同步方式執行。於剖析憑證服務申請封包後,預簽憑證管理系統據以產製憑證透明度日誌紀錄申請封包,其中,憑證透明度日誌紀錄申請封包之格式可為預簽憑證串鍊或一般憑證串鍊。
於步驟S320中,令日誌介接模組分析該憑證透明度日誌紀錄申請封包,以據之執行憑證透明度服務後,回傳該憑證透明度服務之執行結果至該憑證中心模組。預簽憑證管理系統之日誌介接模組於接收到憑證透明度日誌紀錄申請封包時,將進行分析以執行憑證透明度服務。於一實施例中,該憑證透明度服務係指該日誌介接模組將該憑證透明度日誌紀錄申請封包之內容組成轉換為符合憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊為正確時,接收該憑證透明度日誌所回傳之該已簽章憑證時戳。再者,預簽憑證管理系統係與複數個憑證透明度日誌介接,可依不同執行緒分別向各憑證透明度日誌提交憑證透明度日誌紀錄申請封包,接著,預簽憑證管理系統分析及紀錄各憑證透明度日誌回傳之憑證透明度服務的執行結果,此時,同時對所有已簽章憑證時戳之取回狀態分別進行驗證及記錄。
於步驟S330中,令該憑證中心模組判斷該執行結果以進行憑證接受流程而產生對應之終端實體憑證,或是進行憑證廢止流程而廢止該憑證中心模組內儲存之預簽憑證。於此步驟中,預簽憑證管理系統依據執行結果來進
行憑證接受流程或是憑證廢止流程,於憑證接受流程中將執行簽發終端實體憑證,亦即,預簽憑證管理系統對於憑證服務申請封包之預簽憑證串鍊可正常與已簽章憑證時戳串鍊綁定,以繼續進行憑證簽發流程,並將終端實體憑證回傳給憑證申請者,另外,若為憑證廢止流程,則是廢止憑證中心模組內儲存之預簽憑證。
圖4係本發明之預簽憑證管理方法於一實施例之流程圖。如圖所示,其中,於本實施例中,步驟S400係接收憑證申請者發出之憑證服務申請封包,步驟S410係分析該憑證服務申請封包,以執行憑證申請流程而據之產生憑證透明度日誌紀錄申請封包,步驟S420係分析該憑證透明度日誌紀錄申請封包,以據以執行憑證透明度服務後回傳該憑證透明度服務之執行結果,與前一實施例大致相同,其不同之處於步驟S400和步驟S410之間包含步驟S401,以及步驟S420後包含憑證接受流程或是憑證廢止流程。
於步驟S401中,於接收該憑證服務申請封包時,先執行該憑證申請者之身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章後提交。亦即,本步驟旨在識別及鑑別憑證主體(即憑證申請者)身分,其中,驗證流程主要包含憑證主體身分驗證、網域所有權驗證、憑證服務申請封包格式及內容驗證。
另外,步驟S420後可包含三種結果,包括包含憑證接受流程或是憑證廢止流程。
於步驟S430a中,簽發終端實體憑證,並進至步驟S440a。簡言之,判斷該執行結果若為取得該憑證透明度日誌紀錄申請封包對應之已簽章憑證時戳且該預簽憑證能與該已簽章憑證時戳綁定時,即可核發終端實體憑證。
於步驟S440a中,起始憑證接受流程,即依據該執行結果進行憑證接受流程,以產生對應之終端實體憑證。具體言之,將該終端實體憑證回傳至對應該身分驗證程序之憑證申請者,且於回傳之終端實體憑證時,亦先進行憑證主體之身分驗證,以確保終端實體憑證回傳至初始之憑證申請者。
於步驟S430b中,回傳資訊不滿足要求,並進至步驟S440b。於此步驟中,係判斷該執行結果若為無取得該已簽章憑證時戳,也就是回傳資訊無法匹配要求,簡言之,回傳之已簽章憑證時戳與憑證透明度日誌紀錄申請封包無法匹配,例如無法自部分憑證透明度日誌中取得對應之已簽章憑證時戳,據此,針對無法順利取得之已簽章憑證時戳的憑證透明度日誌,須進行批次重送,是以,預簽憑證管理系統支援重送機制,於憑證透明度日誌運作失效時,於組態設定的時間點進行重送。
於步驟S430c中,預簽憑證與終端實體憑證不成對,並進至步驟S440b。於本步驟中,係判斷該執行結果若為取得該已簽章憑證時戳而不需簽出憑證的情況,也就是預簽憑證與終端實體憑證無需成對,於此情況下,已簽章憑證時戳之種類及數量雖合乎憑證透明度政策規範,但終端實體憑證此時無需被簽發。
於步驟S440b中,起始憑證廢止流程,即依據該執行結果進行憑證廢止流程,以廢止該預簽憑證。具體言之,因為終端實體憑證無法被簽發,故須啟用憑證廢止流程,即不允許在無簽發終端實體憑證的情況下單獨留存預簽憑證。
此外,本發明還揭示一種電腦可讀媒介,係應用於具有處理器(例如,CPU、GPU等)及/或記憶體的計算裝置或電腦中,且儲存有指
令,並可利用此計算裝置或電腦透過處理器及/或記憶體執行此電腦可讀媒介,以於執行此電腦可讀媒介時執行上述之方法及各步驟。
綜上所述,本發明之預簽憑證管理系統、方法及其電腦可讀媒介,係透過預簽憑證及終端實體憑證之擴充、組合,以及相關驗證紀錄的變更實施,藉此避免因憑證簽發及審驗過程的時間區段內由於各種原因之失效,而導致預簽憑證有可能被盜用的風險。易言之,本發明之預簽憑證管理系統藉由基於預簽憑證以及終端實體憑證相關驗證紀錄之變更實施,能達到避免預簽憑證遭攻擊者盜用的目標。因此,相較於習知技術,能有效避免習知技術中之預簽憑證遭盜用而延伸資安事件之風險;另外,本發明無須改變憑證用戶提交憑證服務申請流程的既有工作流,應而無須大幅更動現有流程下即可完成本發明目的,並能達到以下功效。
首先,本發明透過不同情境之預簽憑證狀態資訊,啟用相對應終端實體憑證處理流程,除了可回報預簽憑證的驗證資訊,也能回報相對應終端實體憑證的驗證資訊。
其次,本發明透過預簽憑證以及終端實體憑證之紀錄驗證,可解決原本可能沒簽發終端實體憑證,但預簽憑證卻被竊取及竄改後盜用之風險。
又,本發明無須於憑證申請者端另外加裝任何客戶端軟體,因此不會改變憑證服務申請流程的既有工作流,也不會額外增加前端網頁伺服器的組態負擔。
上述實施例僅為例示性說明,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施例進行修飾與
改變。因此,本發明之權利保護範圍係由本發明所附之申請專利範圍所定義,只要不影響本發明之效果及實施目的,應涵蓋於此公開技術內容中。
1:預簽憑證管理系統
11:註冊中心模組
12:憑證中心模組
13:日誌介接模組
14:驗證中心模組
Claims (16)
- 一種預簽憑證管理系統,係包括:註冊中心模組,係接收憑證服務申請封包;憑證中心模組,係自該註冊中心模組接收該憑證服務申請封包,且據之執行憑證申請流程以產生憑證透明度日誌紀錄申請封包;日誌介接模組,係自該憑證中心模組接收該憑證透明度日誌紀錄申請封包,以據之執行憑證透明度服務後,回傳該憑證透明度服務之執行結果至該憑證中心模組,俾由該憑證中心模組依據該執行結果進行憑證接受流程而產生對應之終端實體憑證,或是進行憑證廢止流程而廢止該憑證中心模組內儲存之預簽憑證;以及驗證中心模組,係用以接收該註冊中心模組、該憑證中心模組及該日誌介接模組提供之驗證服務申請封包,以據之執行對應之驗證服務,再回傳該驗證服務之處理結果。
- 如請求項1所述之預簽憑證管理系統,其中,於該執行結果為未取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳或是取得該已簽章憑證時戳但無需簽出憑證時,執行該憑證廢止流程以廢止該預簽憑證。
- 如請求項1所述之預簽憑證管理系統,其中,於該執行結果為取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳且該預簽憑證能與該已簽章憑證時戳綁定時,執行該憑證接受流程以產生該終端實體憑證。
- 如請求項1所述之預簽憑證管理系統,其中,執行該憑證透明度服務係指該日誌介接模組將該憑證透明度日誌紀錄申請封包之內容轉換為符合 憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊為正確時,接收該憑證透明度日誌所回傳之已簽章憑證時戳。
- 如請求項4所述之預簽憑證管理系統,其中,該日誌介接模組存取該憑證透明度日誌係由憑證透明度日誌詮釋資料庫存取日誌介接資訊,以及於該日誌介接模組確認該憑證透明度日誌所回傳之該已簽章憑證時戳為正確時,儲存該已簽章憑證時戳對應之憑證透明度資訊至驗證中心資料庫。
- 如請求項5所述之預簽憑證管理系統,其中,該驗證中心模組係於該日誌介接模組儲存該已簽章憑證時戳對應之憑證透明度資訊於該驗證中心資料庫時,對該驗證中心資料庫形成交易鎖。
- 如請求項1所述之預簽憑證管理系統,其中,該驗證中心模組係連接用以提供時戳及時戳簽章之時戳伺服器。
- 如請求項1所述之預簽憑證管理系統,其中,該註冊中心模組於接收該憑證服務申請封包時,先執行身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章提交至該憑證中心模組。
- 如請求項8所述之預簽憑證管理系統,其中,該註冊中心模組於該憑證中心模組執行該憑證處理流程而產生該終端實體憑證時,將該終端實體憑證回傳至對應該身分驗證程序之憑證申請者。
- 一種預簽憑證管理方法,係包括:由註冊中心模組接收憑證服務申請封包;由憑證中心模組分析該憑證服務申請封包,以執行憑證申請流程而據之產生憑證透明度日誌紀錄申請封包;由日誌介接模組分析該憑證透明度日誌紀錄申請封包,以據之執行憑證透明度服務後,回傳該憑證透明度服務之執行結果至該憑證中心模組;以及由該憑證中心模組判斷該執行結果以進行憑證接受流程而產生對應之終端實體憑證,或是進行憑證廢止流程而廢止該憑證中心模組內儲存之預簽憑證。
- 如請求項10所述之預簽憑證管理方法,其中,於判斷該執行結果為未取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳或是取得該已簽章憑證時戳但無需簽出憑證,執行該憑證廢止流程以廢止該預簽憑證。
- 如請求項10所述之預簽憑證管理方法,其中,於判斷該執行結果為取得對應該憑證透明度日誌紀錄申請封包之已簽章憑證時戳且該預簽憑證能與該已簽章憑證時戳綁定時,執行該憑證接受流程以產生該終端實體憑證。
- 如請求項10所述之預簽憑證管理方法,其中,執行該憑證透明度服務係指該日誌介接模組將該憑證透明度日誌紀錄申請封包之內容轉換為符合憑證透明度日誌之格式,以於該憑證透明度日誌驗證該憑證透明度日誌紀錄申請封包之憑證串鍊為正確時,接收該憑證透明度日誌所回傳之已簽章憑證時戳。
- 如請求項10所述之預簽憑證管理方法,其中,於該註冊中心模組接收該憑證服務申請封包時,先執行身分驗證程序,以於該身分驗證程序確認無誤時,將該憑證服務申請封包經私鑰簽章提交至該憑證中心模組。
- 如請求項14所述之預簽憑證管理方法,其中,於該憑證中心模組執行該憑證處理流程而產生該終端實體憑證時,令該註冊中心模組將該終端實體憑證回傳至對應該身分驗證程序之憑證申請者。
- 一種電腦可讀媒介,應用於計算裝置或電腦中,係儲存有指令,以執行如請求項10至15之任一者所述之預簽憑證管理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110145683A TWI786981B (zh) | 2021-12-07 | 2021-12-07 | 預簽憑證管理系統、方法及其電腦可讀媒介 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW110145683A TWI786981B (zh) | 2021-12-07 | 2021-12-07 | 預簽憑證管理系統、方法及其電腦可讀媒介 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI786981B true TWI786981B (zh) | 2022-12-11 |
| TW202324970A TW202324970A (zh) | 2023-06-16 |
Family
ID=85794990
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW110145683A TWI786981B (zh) | 2021-12-07 | 2021-12-07 | 預簽憑證管理系統、方法及其電腦可讀媒介 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI786981B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI815750B (zh) * | 2022-12-12 | 2023-09-11 | 中華電信股份有限公司 | 自動網域驗證系統、憑證簽發方法與電腦可讀媒體 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160212174A1 (en) * | 2009-01-28 | 2016-07-21 | Headwater Partners I Llc | Security techniques for device assisted services |
| CN106972931A (zh) * | 2017-02-22 | 2017-07-21 | 中国科学院数据与通信保护研究教育中心 | 一种pki中证书透明化的方法 |
| TWI650990B (zh) * | 2017-12-22 | 2019-02-11 | 中華電信股份有限公司 | 憑證透明度監督系統及其方法 |
-
2021
- 2021-12-07 TW TW110145683A patent/TWI786981B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160212174A1 (en) * | 2009-01-28 | 2016-07-21 | Headwater Partners I Llc | Security techniques for device assisted services |
| CN106972931A (zh) * | 2017-02-22 | 2017-07-21 | 中国科学院数据与通信保护研究教育中心 | 一种pki中证书透明化的方法 |
| TWI650990B (zh) * | 2017-12-22 | 2019-02-11 | 中華電信股份有限公司 | 憑證透明度監督系統及其方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI815750B (zh) * | 2022-12-12 | 2023-09-11 | 中華電信股份有限公司 | 自動網域驗證系統、憑證簽發方法與電腦可讀媒體 |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202324970A (zh) | 2023-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8572673B2 (en) | Data processing apparatus and method | |
| EP2882156B1 (en) | Computer implemented method and a computer system to prevent security problems in the use of digital certificates in code signing and a computer program product thereof | |
| CN100583768C (zh) | 基于安全需求的远程证明方法及其系统 | |
| JP5147713B2 (ja) | ネットワーク環境における協働的な否認防止メッセージ交換 | |
| US7711951B2 (en) | Method and system for establishing a trust framework based on smart key devices | |
| CN110785760A (zh) | 用于登记数字文档的方法和系统 | |
| KR100697132B1 (ko) | 타임 스탬프 서비스 시스템, 타임 스탬프 정보 검증 서버 장치, 및 기록 매체 | |
| JP4690779B2 (ja) | 属性証明書検証方法及び装置 | |
| WO2020143318A1 (zh) | 数据验证方法及终端设备 | |
| US7849326B2 (en) | Method and system for protecting master secrets using smart key devices | |
| TW201909013A (zh) | 在公開匿名環境驗證身份及保護隱私的系統與方法 | |
| KR20180041043A (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
| TWI786981B (zh) | 預簽憑證管理系統、方法及其電腦可讀媒介 | |
| KR100646948B1 (ko) | 전자문서의 공증 및 검증 처리가 가능한 공증 센터 서버 및 그 방법 | |
| JP2004104750A (ja) | ディジタル署名の検証方法 | |
| TWI668590B (zh) | 憑證有效性驗證系統及其方法 | |
| KR102356725B1 (ko) | 계층 블록체인을 이용한 인증 및 정책 관리 방법 | |
| KR101849908B1 (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
| JP2001331105A (ja) | 情報の保証方法、およびそのシステム | |
| CN113302612A (zh) | 基于区块链的可信平台 | |
| WO2004012415A1 (en) | Electronic sealing for electronic transactions | |
| KR20180041052A (ko) | m of n 다중 서명에 의한 인증서 서비스를 제공하는 방법 및 이를 이용한 서버 | |
| TWI732247B (zh) | 證明簽章時憑證有效性的紀錄方法 | |
| TWI650990B (zh) | 憑證透明度監督系統及其方法 | |
| Wang et al. | DomainPKI: Domain aware certificate management |