TWI818209B - 基於分散式分類帳之憑證鑑別及憑證發布之方法及系統 - Google Patents
基於分散式分類帳之憑證鑑別及憑證發布之方法及系統 Download PDFInfo
- Publication number
- TWI818209B TWI818209B TW109141617A TW109141617A TWI818209B TW I818209 B TWI818209 B TW I818209B TW 109141617 A TW109141617 A TW 109141617A TW 109141617 A TW109141617 A TW 109141617A TW I818209 B TWI818209 B TW I818209B
- Authority
- TW
- Taiwan
- Prior art keywords
- certificate
- issuer
- distributed ledger
- server
- transaction
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000012797 qualification Methods 0.000 claims description 48
- 238000012790 confirmation Methods 0.000 claims description 13
- 230000008901 benefit Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 3
- 238000012217 deletion Methods 0.000 description 8
- 230000037430 deletion Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000001010 compromised effect Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 229920000638 styrene acrylonitrile Polymers 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本發明揭露自分散式分類帳用以發布新增及刪除角色及憑證之交易的方法與系統,該方法與系統憑證鑑別兩個相互連接的伺服器。該角色界定哪個伺服器針對那種角色及憑證發布何種交易。當角色被請求時,新增角色及核發者憑證的兩個交易被發布至分散式分類帳。當具有任何角色的伺服器之憑證被請求時,僅僅發布新增憑證至分散式分類帳的交易。所有的交易皆經由憑證請求伺服器、憑證核發伺服器、以及維護分散式分類帳的分散式分類帳網路的執行而發布。兩個相互連接的伺服器可藉由自分散式分類帳找回憑證的方式相互確認對方身分的真實性,其具有分散式分類帳技術的憑證不可變性以及可用性等優勢。
Description
本發明涉及建立憑證鑑別及憑證發布的通訊連接之方法及系統,尤其關於利用分散式分類帳技術來建立憑證鑑別及憑證發布的通訊連接之方法及系統。
為了確保網路連接的安全性,相互鑑別(mutual authentication)為各個實體在通信前相互認證的安全流程。在網路環境中,戶端及伺服器兩者必需提供憑證以證明身分。相互鑑別流程中,客戶端及伺服器必需先交換、確認、並信任對方之憑證後才能建立連接。而業界已發展出傳送層保全(Transport Layer Security/TLS)協定以及先前的安全套接層(Secure Socket Layer/SSL)協定憑證交換及身分確認的方案。SSL/TLS協定採用廣泛使用的X.509憑證,其為由X.509標準定義的公開金鑰憑證。TX.509憑證與密碼金鑰對相關聯,並具有網頁、個體、或組織的身分。
然而,在憑證不可變性(immutability)、憑證可用性(availability)、以及憑證歷史上,X.509憑證並非完善。駭客可攻擊竄改X.509憑證。一旦根憑證或任何憑證權限(CA)遭受到破壞,系統安全也
將遭受破壞。X.509憑證可用性的缺點在於伺服器必需具有自己的憑證資料庫,這將造成不同憑證資料庫之間資料不一致的狀況發生。關於憑證歷史方面,X.509的缺點在於X.509憑證之資料庫不包含所有新增及作廢憑證的紀錄。
本發明之目的在於提供發布核發者資格及核發者憑證的方法及系統,用以發布伺服器憑證至分散式分類帳以執行憑證鑑別。當確認分散式分類帳中的憑證時,在分散式分類帳中新增及刪除伺服器憑證,該自分散式分類帳由分散式分類帳網路維護以改善憑證不可變性及憑證可用性。
為了達到上述目的,本發明揭露一種經由一憑證核發節點(CI)及一憑證請求伺服器(CR)發布一核發者資格以及一核發者憑證至由包含於該CI的一分散式分類帳網路所維護的一分散式分帳的方法,該CI及該CR可相互通信,該方法包括:
(a)該CI自該CR接收資格相關資料;(b)該CI簽署並提交一核發者資格交易至該分散式分類帳;(c)當該核發者憑證的一簽署者並非該CR時,該CR及該CI其中之一產生並簽署一核發者憑證給該CR並寄送該核發者憑證至該CR;以及(d)該核發者資格交易在該分散式分類帳中產生後,該CR及該CI的其中之一簽署該核發者憑證的一核發者憑證交易並提交該核發者憑證交易至該分散式分類帳。
為了達到上述目的,本發明揭露一種藉由一憑證核發伺服器(CI)
及一憑證請求伺服器(CR)發布一伺服器憑證的方法,該CI及該CR可相互通訊且可與包含該CI的一分散式分類帳網路維護的一分散式分類帳相互通訊,該方法包括:(a)一CI自一CR接收憑證相關資料;(b)該CI針對該CR產生並簽署一伺服器憑證並寄送該伺服器憑證至該CR;以及(c)該CI簽署並提交一伺服器憑證交易至該分散式分類帳。
為了達到上述目的,本發明揭露一種用於一連接伺服器(connecting server/CS)及一接收伺服器(receiving server/RS)的憑證鑑別方法,該CS及該RS可相互通訊的地相互連接且可相互通訊的地連接至一分散式分類帳網路,該分散式分類帳網路維護一分散式分類帳,該方法包括:(a)該RS與該CS交換一身分識別;(b)該RS根據一CS身分識別自該分散式分類帳找回一CS之憑證及一CS憑證核發者之公開金鑰;(c)該RS以該CS憑證核發者之公開金鑰確認該CS之憑證是否真實;(d)CS之憑證確認為真實後,該RS判定該CS已被認證,並自該RS接收秘密資料。
為了達到上述目的,用於發布核發者資格及核發者憑證的分散式分類帳系統包含憑證請求伺服器(CR)及一分散式分類帳網路。
分散式分類帳網路維護分散式分類帳,其可相互通訊的地連接至CR,並包含憑證核發節點(CI)。該CI自該CR接收資格相關資料,簽署並提交核發者資格交易至該分散式分類帳。當該核發者憑證的一簽署者並非該CR時,該
CR及該CI其中之一產生並簽署一核發者憑證給該CR並寄送該核發者憑證至該CR。該核發者資格交易在該分散式分類帳中產生後,該CR及該CI的其中之一簽署該核發者憑證的一核發者憑證交易並提交該核發者憑證交易至該分散式分類帳。
為了達到上述目的,用於發布伺服器憑證至分散式分類帳的分散式分類帳系統包含憑證請求伺服器(CR)及一分散式分類帳網路。
該分散式分類帳網路包有分散式分類帳,且該分散式分類帳網路可相互通訊的地連接至CR,並包含一憑證核發伺服器(CI)。該CI自該CR接收憑證相關資料,產生並簽署該CR的伺服器憑證,發送該伺服器憑證至該CR,並簽署及提交伺服器憑證交易至該分散式分類帳。
為了達到上述目的,本發明揭露了一種分散式分類帳之憑證鑑別系統,包括一分散式分類帳網路,一連接伺服器(CS)及一接收伺服器(RS)。
該分散式分類帳網路維護一分散式分類帳。
該CS可相互通訊的地連接至該分散式分類帳網路。
該RS可相互通訊的地連接至該分散式分類帳網路,與該CS交換一身分識別,基於一CS身分識別自該分散式分類帳找回一CS之憑證及一CS憑證核發者之公開金鑰以確認該CS之憑證是否真實,當CS之憑證確認為真實後,該RS判定該CS已被認證,並自該RS接收秘密資料。
根據以上的描述,所有具有角色或不具有角色的伺服器皆具有個別的憑證,該憑證由授權的伺服器自分散式分類帳新增或刪除。分散式分類帳中的角色定義何種角色的伺服器具有新增或刪除何種角色及憑證的權力,藉此以防止未被授權的個體破壞分散式分類帳中的憑證及角色。而分散式分類帳具有分散
的(decentralized)本質。由於不具有集中的個體(centralized entity)可成為惡意行為攻擊的目標,因此本發明更富有安全性。另外,由於分散式分類帳可以複製的模式全域地展開,以避免產生單點故障。因此,發布至分散式分類帳的角色及憑證可受益於分散的分類帳的不可變性。根據共識機制(consensus mechanism),分散式分類帳中的憑證及角色可隨時快速更新,分散式分類帳中憑證及角色的不一致性將不再發生。因此,以本發明的方法及系統新增憑證至分散式分類帳使得伺服器必需以憑證鑑別的手法相互辨識身分,其對提升伺服器通訊的安全性極為重要。再者,分散式分類帳的透明性也被視為一項優勢。分散式分類帳可使得所有儲存的資料容易被存取,使得伺服器通信時提昇相互憑證鑑別的透明度。
本發明的其他目的,優勢及具新穎性的技術特徵在以下做進一步地描述。
10:憑證請求伺服器(CR)
20:憑證核發伺服器(CI)
30:分散式分類帳網路
40:連接伺服器(CS)
50:接收伺服器(RS)
圖1為說明根據本發明之由伺服器產生的伺服器角色及憑證之間的關係的方塊圖;圖2為說明根據本發明之發布核發者資格及核發者憑證至分散式分類帳的方法流程圖;圖3為說明圖2中CR請求成為受託人角色以及CI為受託人群體角色的方法流程圖;圖4為說明圖2中CR請求成為操作者角色以及CI為受託人角色的方法的一實施例的流程圖;圖5為說明圖2中CR請求成為操作者角色以及CI為受託人角色的方法的另一
實施例的流程圖;圖6為說明圖2中產生核發者憑證方法的步驟流程圖;圖7為說明根據本發明之發布伺服器憑證至分散式分類帳的方法流程圖;圖8為說明根據本發明之連接伺服器及一接收伺服器的憑證鑑別方法的一實施例的流程圖;圖9為說明圖8中方法的另一實施例流程圖;圖10為根據本發明之發布核發者資格及核發者憑證之分散式分類帳系統一實施例的網路結構圖;圖11為說明圖9中之分散式分類帳系統及一發布伺服器憑證的分散式分類帳系統之另一實施例的網路結構圖;以及圖12為說明憑證鑑別之分散式分類帳網路的網路結構圖。
本文中所使用的詞彙係用來描述本發明特定具體實施例中的細節,所有的詞彙應以最大的範疇做合理解讀。某些詞彙將在以下特別強調;任何限制性用語將由具體實施例定義。
以下所述之實施例可由可程式電路程式或由軟體及/或韌體配置,或整體由特殊功能電路,或上述的組合來實施。該特殊功能電路(如果本案有包含)可以以下型式實施,例如:一個或多個特殊應用積體電路(ASIC)、可程式邏輯裝置(PLD)、場域可程式化邏輯閘陣列(FPGA)...等。
本發明中的每個伺服器具有其身分的憑證,該憑證係儲存於分散式分類帳網路維護的分散式分類帳中。一第一伺服器的憑證係提交至與該第一伺服器連接的一第二伺服器,以確認該憑證的真實性。憑證確認後,該第二伺服器
信賴該第一伺服器並發送秘密資料至該第一伺服器。同樣的,第二伺服器亦可提供其憑證至該第一伺服器作確認。僅具有核發者資格的伺服器可自分散式分類帳新增或刪除憑證。因此,核發者資格應自分散式分類帳新增或刪除以監測哪一個伺服器可新增或刪除何種核發者資格以及憑證。分散式分類帳規則負責訂定伺服器核發者資格的種類,新增及刪除對應的交易,或廢止其他伺服器核發者資格及憑證。
簡單來說,在此所描述的實施例涉及一種或多種發布分散式分類帳中的核發者資格及憑證用以作為憑證鑑別的方法及系統。為了達成任何兩個伺服器連接的憑證鑑別,自分散式分類帳找回的憑證可根據伺服器的身分識別及伺服器交換的憑證而被確認是否存在或找回的憑證是否與交換的憑證相匹配,其可作為在伺服器之間傳輸的啟動鑑別的資料的基礎。在此採用分散式分類帳是因為其憑證信任以及不變性的優勢;且,其技術核心在於分散式分類帳中儲存複數個核發者資格及憑證的憑證儲存區。正如其名稱所示,具核發權限的伺服器擁有核發者資格,該伺服器可在分散式分類帳新增或刪除核發者資格及其他伺服器憑證。分散式分類帳中也具有核發者資格或核發者角色的伺服器之憑證,而不具有核發者資格的伺服器僅僅可以在分散式分類帳維護其憑證。新增具有核發者角色的伺服器時,新增伺服器憑證的交易以及新增伺服器核發者角色的交易藉由分散式分類帳,及憑證請求伺服器(CR)及一憑證核發節點(CI)之間的互動來發布,其為分散式分類帳網路中的複數個伺服器其中的兩個。新增不具有核發者角色的伺服器時,新增伺服器憑證的交易係發布至分散式分類帳。除了發布交易,在此的執行也涉及以分類帳金鑰對(key pair)簽署及交易的確認,及以一憑證金鑰對簽署及確認憑證。當核發者角色或憑證自分散式分類帳刪除或作廢,刪除核發者角色
或廢止憑證的交易被發布至分散式分類帳。本發明中方法及系統將會在以下有進一步說明。
本發明的目的在於強調僅有核發者可簽署或發布憑證。為了達到此目的,本發明包含兩種核發者角色,其為受託人及操作者;以及三種憑證,分別為根(root)憑證,管理者憑證,以及伺服器憑證。雖然所有憑證必需發布至分散式分類帳;在允許的分散式分類帳網路中,只有具有核發者角色的伺服器可為其他伺服器發布憑證及發布核發者角色。受託人及操作者的核發者角色代表其受到信任,而每一個位置控制伺服器執行的管理者被授權可發布憑證及核發者角色。為了簡化,在此「角色」一詞將取代「核發者角色」。具有受託人角色、操作者角色、以及不具角色的伺服器具有個別具有根憑證(root certificate)、管理者憑證、及伺服器憑證。儘管名稱不同,以共同資料欄位的角度而言,上述三種憑證基本上皆相同,除了他們使用公開金鑰進行確認的方法不同以外。根憑證以及管理者憑證屬於核發者憑證,其公開金鑰可被用來確認核發者憑證的核發者所簽署的憑證,而伺服器憑證中的公開金鑰不可被用來確認其他憑證,這是因為具有伺服器憑證的伺服器沒有核發任何憑證的權利且沒有任何具有伺服器憑證的伺服器簽署的憑證。
每個憑證及簽署者憑證之間的簽署關係為核發者憑證簽署及確認核發者所簽署的憑證。任何確認的憑證,核發者憑證簽署該憑證可安全的找出自分散式分類帳以確認憑證,且該確認流程可被追朔至最初的憑證,也就是根憑證。請參照圖1,其描述憑證種類以及具有核發者角色的實體之示例,左方的方塊為分散式分類帳網路中具有核發者角色的伺服器,右方的方塊表示三種由授權的伺服器發布至分散式分類帳的憑證。如圖1所示,具有操作者角色的伺服器負
責發布新增其管理者憑證以及其他伺服器的伺服器憑證的交易,而不擔任分散式分類帳的核發者角色,具備受託人角色的伺服器具有發布新增其根憑證至分散式分類帳的交易之權利。在圖1的右側顯示分散式分類帳中三種不同的憑證。每個管理者憑證可用於確認由管理者憑證所簽署的伺服器憑證,且根憑證可用於確認由發布該根憑證伺服器簽署的管理者憑證。憑證的確認流程可在任何伺服器憑證或管理者憑證所在的位置開始,並在根憑證結束;介於伺服器憑證或管理者憑證與根憑證之間的其他中間管理者憑證(如果存在的話)則依序確認。同時,確認流程不需要執行到根憑證,只要符合一條件,或是不符合一條件,即可終止。該條件包含(但不受限於)正在進行確認的憑證是否在預先核可的清單中或確認的開始與結束皆在同一個憑證。無論如何,具有受託人及操作者角色的伺服器之數量,根憑證、管理者憑證、及伺服器憑證的數量,憑證階級結構都不受限於圖1。
以下的表格說明分散式分類帳中何種角色可發布何種交易至分散式分類帳的規則,其更詳細說明角色及憑證之間的關係。
分散式分類帳規則表格
根據上述表格,具有受託人角色的伺服器有權利發布新增及刪除操作者角色、根憑證、以及分散式分類帳相關的伺服器的管理者憑證的交易。值
得注意的是具有受託人角色的伺服器沒有權利新增或作廢其他伺服器的伺服器憑證。具有受託人角色的伺服器沒有權利單獨發布新增及刪除其他伺服器的受託人角色的交易,除非該伺服器是分散式分類帳唯一具有受託人角色的伺服器。而具有受託人群體的角色(其被定義為分散式分類帳中至少一伺服器的絕對多數的集合(congregate)角色,該至少一伺服器具有受託人的角色)之伺服器,有權利發布新增及刪除具有受託人角色的伺服器的交易。相反於受託人角色,具有操作者角色的伺服器有權利發布新增及刪除或廢止操作者角色、管理者憑證及一分散式分類帳其他伺服器之伺服器憑證的交易。值得注意的是具有受託人角色伺服器以及具有操作者角色的伺服器兩者皆可發布新增、刪除及廢止伺服器操作者角色及管理者憑證的交易。不具有角色伺服器則無權發布任何交易。
具有核發者角色及憑證的分散式分類帳中的憑證儲存區對於兩個相連接的伺服器的憑證鑑別而言還尚未成熟前,如何發布新增及刪除角色及憑證的交易為優先。當憑證儲存區剛開始建立時,發布創始交易(genesis transaction)至該憑證儲存區以產生第一個具有受託人角色的伺服器。創始交易包含受託人之分散識別符(decentralized identifier/DID)、用以確認由受託人發布的任何交易之分散式分類帳簽名的公開金鑰、以及受託人角色。
請參照圖2,其提供根據本發明之發布核發者資格以及核發者憑證至分散式分類帳之方法的實施例。在此實施例中的該方法涉及憑證請求伺服器(CR)及一憑證核發節點(CI),其兩者皆為分散式分類帳網路的一部分。CI可包含一個或複數個伺服器。當CI為分散式分類帳中具有受託人角色群體或受託人角色的一節點,且CR請求由CI將其以受託人角色或操作者被新增至分散式分類帳時,採用該方法。在該方法中,暫不討論不具有任何角色的伺服器及伺服器憑證。
發布至該分散式分類帳的交易可意圖新增或刪除角色及憑證,該方法包含以下步驟S210至S240:
步驟S200:CI判別將發布的交易之種類。交易的種類包含新增角色及憑證、刪除角色、以及作廢憑證。
步驟S210:當判別新增角色及憑證的交易之種類時,CI自CR接收資格相關的資料。在新增CR之核發者資格或角色的交易中,資格相關資料為必要的,資格相關資料係被新增至分散式分類帳並包含DID、分類帳公開金鑰、及CR的角色。基本上,憑證儲存區中的每一個具有角色的伺服器具有分類帳金鑰對及憑證金鑰對,兩者皆屬於非對稱金鑰對。分類帳對具有分類帳公開金鑰及分類帳私密金鑰,而憑證對具有憑證公開金鑰及憑證私密金鑰。與伺服器相關的分類帳私密金鑰儲存於伺服器,且伺服器利用該分類帳私密金鑰簽署將發布至憑證儲存區的交易。與伺服器相關的分類帳公開金鑰被傳送至新增伺服器至分散式分類帳的交易,該交易可為新增CR的當前步驟。因此,分散式分類帳可確認任何之後由伺服器透過伺服器之分類帳公開金鑰簽署的交易。在另一方面,伺服器藉由伺服器的憑證私密金鑰簽署其他伺服器的憑證,該憑證可為管理者憑證及伺服器憑證其中之一。伺服器之憑證公開金鑰係包含於伺服器的憑證中,用以確認由伺服器簽署的其他伺服器之憑證。
步驟S220:CI簽署及提交核發者資格交易至分散式分類帳。核發者資格交易使CR登錄在分散式分類帳上,核發者資格交易包含DID及CR之分類帳公開金鑰、CI之DID、以及將被新增至分散式分類帳之CR之角色,該核發者資格交易由CI的分類帳私密金鑰簽署。根據上述的分散式分類帳規則表格,CR可提出請求以成為受託人角色或操作者,而CI可提出請求以成為受託人角色群體
或受託人。當CR請求成為受託人角色時,CI應成為受託人角色群體並包含至少一伺服器。當CR請求成為操作者角色,CI可成為受託人角色或操作者並為一單獨的伺服器。
步驟S230:當核發者憑證之簽署者並非CR時,CR及CI其中之一產生並簽署CR的核發者憑證並發送該核發者憑證至CR。當CR請求成為受託人角色時,CR產生並簽署核發者憑證,且該核發者憑證為根憑證。當CR請求成為操作者角色時,CI產生並簽署該核發者憑證,且核發者憑證為一管理者憑證。取決於CR的角色請求,核發者憑證由CR及CI其中之一的憑證私密金鑰簽署,而該CR及CI產生核發者憑證。當核發者憑證的產生者為CI時,CI必需發送核發者憑證至CR以便儲存以及之後的確認。
步驟S240:分散式分類帳中產生核發者資格交易後,具有核發者憑證的CR及CI任何其中之一簽署核發者憑證交易並提交核發者憑證交易至分散式分類帳。僅有在核發者資格交易在分散式分類帳中產生後,核發者資格交易應被簽署並提交至分散式分類帳。當CR請求成為受託人角色時,CR產生自己的根憑證,且僅有該CR擁有根憑證;從而如圖3所示,CR簽署並提交核發者憑證交易至分散式分類帳。當CR請求成為操作者角色時,CI為CR產生及簽署管理者憑證並進一步發送管理者憑證至CR,CI及CR兩者具有管理者憑證,因此CI或CR可簽署及提交核發者憑證交易至分散式分類帳,如圖4-5所示。核發者憑證交易包含提交者的DID、憑證識別、核發者憑證、及提交者簽名。提交者可為CR或CI兩者之一,並具有核發者憑證。憑證識別為核發者憑證的一雜湊值(hash value)。核發者憑證包含CR的身分識別及一憑證公開金鑰、CR的可選的角色、以及由核發者憑證的憑證簽署者之憑證私密金鑰簽署的簽名。CR之身分識別為一主題備用名稱
(SAN),其可為一網址,例如:www.tbcasoft.com。CR的角色為可選的,其為確認及使用與擁有核發者憑證之伺服器相關的核發者憑證角色所必需的。發布核發者憑證交易之前,核發者憑證交易提交者以其分類帳私密金鑰簽署核發者憑證交易。
取決於憑證請求伺服器的角色,步驟S230可包含不同的步驟。當CR的角色為受託人時,圖3說明CR請求成為受託人角色的流程圖,圖4及5說明CR請求成為操作者角色的流程圖。請參閱圖6,為實施CR請求的角色,步驟S230包含以下步驟:
步驟S231:當CR請求的角色為受託人時,CR產生根憑證。CR產生根憑證。本發明中,分散式分類帳規則規定僅有具有受託人角色的伺服器可新增根憑證。
當CR的角色為操作者時,步驟S230包含以下步驟:
步驟S232:當CR請求的角色為操作者時,CR發送管理者憑證簽署請求(CSR)至CI。管理者CSR包含操作者資料以及CR的憑證公開金鑰。操作者資料包含CR的SAN、公司名稱、部門名稱、城市、州或省、國家、及連絡電子郵件信箱。
步驟S233:CI以管理者CSR產生管理者憑證並以CI的憑證公開金鑰簽署管理者憑證,產生管理者憑證,以及發送管理者憑證至CR。CI產生管理者憑證。本發明中,分散式分類帳規則規定具有受託人角色或為操作者的伺服器可新增管理者憑證。
圖4及5不同處在於發布核發者憑證交易的伺服器。只要伺服器具有發布核發者憑證交易的角色,CR或CI發布核發者憑證交易皆可。當即將發布
的角色為操作者時,圖4中具有受託人角色的CI或圖5中具有操作者角色的CR可發布核發者憑證交易。
當想要在憑證儲存區中刪除伺服器或作廢任何憑證時,刪除伺服器或廢止憑證的交易可發布至分散式分類帳。因此,上述方法更包含下列步驟以自分散式分類帳中刪除具有角色的伺服器及廢止憑證。請參閱圖2,上述方法更包含以下步驟以刪除及廢止角色與憑證。
步驟S250:當判別刪除角色的種類以及刪除具有受託人角色的伺服器時,具有受託人角色之至少一伺服器的絕對多數產生受託人刪除交易以刪除伺服器,簽署受託人刪除交易,並提交受託人刪除交易至分散式分類帳。本步驟涉及刪除具有受託人角色的伺服器。受託人刪除交易包含伺服器的DID以及至少一對應至少一伺服器的絕對多數的DID,且受託人刪除交易由至少一伺服器的絕對多數之至少一分類帳私密金鑰簽署;
步驟S260:當判別刪除角色的種類以及刪除具有操作者角色的第一伺服器時,第二伺服器產生操作者刪除交易以自分散式分類帳刪除第一伺服器,簽署操作者刪除交易並提交操作者刪除交易至分散式分類帳,該第二伺服器原先具有受託人角色或為操作者並新增第一伺服器至分散式分類帳。當前步驟涉及刪除具有操作者角色的伺服器。操作者刪除交易包含第二伺服器之DID及一第一伺服器之DID,且該操作者刪除交易由第二伺服器的分類帳私密金鑰簽署。
步驟S270:當判別廢止憑證的種類以及廢止在分散式分類帳中具有受託人角色或為操作者的第一伺服器之核發者憑證時,具有受託人角色或操作者並新增核發者憑證的第二伺服器產生憑證廢止交易以自分散式分類帳作中廢核發者憑證,簽署憑證廢止交易,並提交憑證廢止交易至分散式分類帳。當第
一伺服器具有受託人角色時,第二伺服器應亦具有受託人角色,且當第一伺服器具有操作者角色時,第二伺服器可具有受託人角色或為操作者。當前步驟涉及刪除核發者憑證,核發者憑證可能為根憑證或管理者憑證,當第一伺服器具有受託人角色而第二伺服器具有受託人角色時為根憑證;當第一伺服器具有操作者角色而第二角色為受託人或操作者時為管理者憑證。憑證廢止交易包含核發者憑證及第二伺服器的DID之憑證識別,該憑證廢止交易由第二伺服器之分類帳私密金鑰簽署。
由於只有一個新增伺服器憑證至分散式分類帳的交易,發布伺服器憑證至分散式分類帳的方法與上述發布核發者資格憑證之方法的不同之處在於核發者資格交易的省略。圖7為一流程圖,其說明根據本發明之發布伺服器憑證至分散式分類帳的方法,其包含下列步驟。分散式分類帳網路維護一分散式分類帳。分散式分類帳網路包含複數個伺服器,其中兩者為憑證核發節點(CI)及憑證請求伺服器(CR)。
步驟S610:CI自CR接收憑證相關資料。在此僅需要產生伺服器憑證,而CI僅需要自CR取得憑證相關資料。憑證相關資料包含伺服器資料及鑑別公開金鑰。伺服器資料包含網際網路協定(IP)地址及CR主機名稱。
步驟S620:CI為CR產生並簽署伺服器憑證且發送伺服器憑證至CR。伺服器憑證包含CR的SAN以及鑑別公開金鑰,伺服器憑證由CI的憑證私密金鑰簽署。
步驟S630:CI簽署並提交伺服器憑證交易至分散式分類帳。伺服器憑證交易包含伺服器憑證、伺服器憑證、以及CI之DID之憑證識別,伺服器憑證交易由CI之分類帳私密金鑰署。憑證IS為伺服器憑證之雜湊值。
作廢新增至分散式分類帳的伺服器憑證,發布伺服器憑證至分散式分類帳的方法進一步包含以下步驟:具有操作者角色並新增伺服器憑證之伺服器產生憑證廢止交易以自分散式分類帳中作廢伺服器憑證、簽署憑證廢止交易、並提交憑證廢止交易至分散式分類帳。憑證廢止交易包含伺服器憑證及新增伺服器憑證之伺服器的DID的憑證識別,憑證廢止交易由新增核發者憑證之伺服器的分類帳私密金鑰簽署。
討論如何自分散式分類帳新增及刪除角色與憑證後,接下來將討論如何使用彼此連接的伺服器之憑證以確認伺服器憑證的真實性,以達成資料交換彼此鑑別。請參照圖8,分散式分類帳網路中連接伺服器(CS)及接收伺服器(RS)之憑證鑑別方法,該分散式分類帳網路維護根據本發明的分散式分類帳,該方法包含以下RS端的步驟:
步驟S710:RS及CS交換其身分識別。RS之身分識別為RS的SAN而CS之身分識別為CS的SAN。RS及CS彼此交換其SAN。除了身分識別外,在某些實施例中,RS及CS可進一步交換其憑證,如圖9所示。
步驟S720:RS根據CS身分識別自該分散式分類帳找回CS之憑證及CS憑證核發者之公開金鑰。CS身分識別可被運用來自分散式分類帳找回CS之憑證及CS憑證核發者之憑證,該憑證具有CS憑證核發者之公開金鑰。CS憑證核發者之公開金鑰用以確認CS之憑證,該憑證由具有CS憑證核發者之憑證的CS憑證核發者簽署。如果以RS之身分識別無法自分散式分類帳找回憑證,這表示RS之憑證非為真實。
步驟S730:RS以CS憑證核發者之公開金鑰確認CS之憑證是
否真實。當CS之憑證及CS憑證核發者之公開金鑰可被RS存取,CS之憑證及CS憑證核發者之公開金鑰可直接被運用來確認CS之憑證是否真實。本發明中包含有其他確認方法。其中一個確認方法為利用交換的憑證,RS進一步確認交換的CS之憑證與找回的CS之憑證兩者與CS憑證核發者之公開金鑰是否相匹配。在另一個確認方法中,RS初始化CS之憑證作為目前憑證,並以迴圈的方式找回下一個憑證,該下個憑證以該下個憑證的憑證核發者的私密金鑰簽署該目前憑證,利用該下個憑證中的該公開金鑰確認該目前憑證,當目前憑證已被確認,或者一確認條件已被滿足時,以判定該CS之憑證被確認為真實,否則的話,更新該當前憑證至該下個憑證。舉例而言,確認條件可為即將被確認的憑證是否在於事先核准的清單之中。
CS之憑證確認為真實後,這表示RS邊的單邊憑證鑑別以成功確認CS為一可信任的交換資料之伺服器,而RS願意自CS發送與接收秘密資料。
該方法更包含以下類似RS之憑證鑑別之步驟。
步驟S740:CS根據RS身分識別自分散式分類帳找回RS之憑證及RS憑證核發者之公開金鑰。
步驟S750:CS以RS憑證核發者之公開金鑰確認RS之憑證是否真實。
同樣的,RS之憑證確認為真實後,這表示CS邊的單邊憑證鑑別以成功確認RS為一可信任的交換資料之伺服器,而CS願意自RS發送與接收秘密資料。
由於RS及CS之憑證鑑別類似,步驟S740及S750的細節將不在此贅述。
說明上述方法後,將進一步說明執行上述方法之系統。如同本發明揭露三種發布核發者資格及核發者憑證至分散式分類帳、發布伺服器憑證至分散式分類帳、以及分散式分類帳網路中兩伺服器之憑證鑑別的方法,本發明揭露三種對應個別方法的系統;即,發布核發者資格及核發者憑證至分散式分類帳之分散式分類帳系統、發布伺服器憑證至分散式分類帳之分散式分類帳系統、以及憑證鑑別之分散式分類帳系統。
發布核發者資格及核發者憑證之分散式分類帳系統涉及CR、CI、及分散式分類帳網路。CR及CI各別為伺服器及節點。當CI具有受託人角色群體時,其包含至少一伺服器;而當CI具有受託人角色或為操作者時,可為單一伺服器。取決於CR及CI是否需要發布交易至分散式分類帳,CR及CI可為分散式分類帳網路的一部分或非為一部分。當CR10請求成為受託人角色而CI20成為受託人角色群體時,CR10及CI20都必需留在分散式分類帳網路30中,如圖10所示,這是由於CR10及CI20兩者皆為新增根憑證及CR10具備受託人角色而發布交易至分散式分類帳。由於核發者憑證交易可由CR10或CI20,當CR10請求成為操作者角色而CI20具有受託人角色時,CI20必需留在分散式分類帳網路30中,而CR10非一定需要留在分散式分類帳網路30。當核發者憑證交易由CR10發布時,CR10必需留在分散式分類帳網路30中,如圖10所示。當核發者憑證交易由CI發布時,CR不需要留在分散式分類帳網路30中,如圖11所示,但必需與分散式分類帳網路30連接。用於發布伺服器憑證之分散式分類帳系統也包含CR10及CI20,其皆為伺服器。CI20是唯一具有發布伺服器憑證至分散式分類帳權利的角色,因此CI20必需留在分散式分類帳網路30。不像CI20,CR10不具有發布交易的角色,因此不具有留在分散式分類帳網路30的必要性。儘管如此,CR10
仍需要連接至分散式分類帳網路。如圖12所示,用於憑證鑑別的分散式分類帳系統中,連接伺服器(CS)40及接收伺服器(RS)50必需連接至分散式分類帳網路30。憑證鑑別於發布交易非有直接關聯性,連接伺服器(CS)40及接收伺服器(RS)兩者在確認流程中必需讀取分散式分類帳。此外,連接伺服器(CS)40及接收伺服器(RS)兩者需彼此連接。
由於分散式分類帳具不可變性且不被單一集中的管理者控制,本發明中的方法及系統可提供憑證也具有不可變性,這使得分散式分類帳有利於運用在憑證鑑別。再者,憑證核發及註銷歷史也被記錄在分散式分類帳中。憑證可得性(availability)而言,由於分散式分類帳由共通機構共同維護,分散式分類帳網路中的伺服器不需要管理分散式分類帳,也確保了分散式分類帳的一致性。
以上雖然闡述了本發明諸多技術特徵及優勢,但其揭露的功能及細部結構皆為示例性說明。在不背離本發明的精神下,本發明申請專利範圍的權利範疇最大解讀方式涵蓋基於本說明書的教示而改變本發明形狀、大小、及部件的配置方式所得的改良。”
Claims (28)
- 一種憑證發布及鑑別之方法,當經由可相互通信之一憑證核發節點(CI)及一憑證請求伺服器(CR)發布一核發者資格以及一核發者憑證至包含該CI之一分散式帳本網路所維持之一分散式帳本時,該方法包括:(a)該CI自該CR接收資格相關資料;(b)該CI簽署並提交一核發者資格交易至該分散式帳本;(c)當該核發者憑證的一簽署者並非該CR時,該CR及該CI其中之一產生並簽署用於該CR的一核發者憑證並傳送該核發者憑證至該CR;以及(d)在該核發者資格交易在該分散式帳本中產生後,具有該核發者憑證的該CR及該CI的其中之一簽署一核發者憑證交易並提交該核發者憑證交易至該分散式帳本;其中該核發者憑證交易包含該核發者憑證及該核發者憑證包含該資格相關資料。
- 如請求項1所述之方法,其中與資格相關的資料包含一去中心化辨識碼(Decentralized Identifier/DID)、一帳本公開金鑰及該CR的角色。
- 如請求項1所述之方法,其中,該核發者資格交易包含新增至該分散式分類帳的一DID及該CR之一分類帳公開金鑰,一CI之DID,以及一CR之角色。
- 如請求項1所述之方法,其中,該CI以一CI之分類帳私密金鑰簽署該核發者資格交易。
- 如請求項3所述之方法,其中該核發者憑證交易包含一提交者之DID,一憑證識別,該核發者憑證,以及該提交者之一簽名,其中該憑證識別為 該核發者憑證之一雜湊值,該核發者憑證包含一身分識別及該CR之一憑證公開金鑰,該CR之一可選的角色,以及由該核發者憑證的該憑證簽署者之一憑證私密金鑰所簽署的一簽名。
- 如請求項5所述之方法,其中該CR之身分識別為一主題備用名稱(Subject Alternative Name)。
- 如請求項1所述之方法,其中一核發者憑證交易提交者以其帳本私密金鑰簽署該核發者憑證交易,當該核發者憑證交易由該CR提交時,該分散式帳本網路包含該CR,而當該核發者憑證交易由該CI提交時,該分散式帳本網路不包含該CR。
- 如請求項3所述之方法,其中欲新增至該分散式帳本的該CR之角色為受託人(Trustee),而分散式帳本中該CI之角色為受託人群體(Trustee Quorum),該受託人群體被定義為該分散式帳本中具有該受託人角色的至少一伺服器的一絕對多數之一核發角色,且該CI包含該至少一伺服器的該絕對多數。
- 如請求項8所述之方法,其中欲新增至該分散式帳本之該CR之角色為操作者(operator),且該分散式帳本中該CI之角色為受託人或操作者。
- 如請求項8所述之方法,其中在該步驟(c),該CR產生該核發者憑證並以該CR的一憑證私密金鑰簽署該核發者憑證,該CR的該憑證私密金鑰可與該CR之該憑證公開金鑰配對。
- 如請求項9所述之方法,其中在該步驟(c),該CI自該CR接收一核發者憑證簽署請求(CSR),並以該核發者CSR產生該核發者憑證,並以該CI之一憑證私密金鑰簽署該核發者憑證,該CI之該憑證私密金鑰可與該CI的該憑證公開金鑰配對,其中該核發者CSR包含操作者資料以及該CR之憑證公 開金鑰。
- 如請求項11所述之方法,其中該操作者資料包含該CR的主題備用名稱、公司名稱、部門名稱、城市、州或省、國家以及連絡電子郵件信箱。
- 如請求項1所述之方法,當鑑別可相互通訊且可通訊連接至該分散式分類帳網路之一連接伺服器(connecting server/CS)及一接收伺服器(receiving server/RS)之憑證時,該方法包括:(e)該RS與該CS交換一身分識別;(f)該RS根據一CS身分識別自該分散式分類帳找回一CS之憑證及一CS憑證核發者之公開金鑰;(g)該RS以該CS憑證核發者之公開金鑰確認該CS之憑證是否真實;以及(h)在該CS之憑證確認為真實後,該RS判定該CS已被認證,並自該RS接收秘密資料。
- 如請求項13所述之方法,其中:(1)根據一RS身分識別,該CS自該分散式分類帳找回一RS之憑證及一RS憑證核發者之公開金鑰;(2)該CS以該RS憑證核發者之公開金鑰確認該RS之憑證是否為真實;以及(3)在該RS之憑證被確認後,該CS判定該RS已被認證,並自該CS接收秘密資料。
- 如請求項14所述之方法,其中在該步驟(e),該RS進一步與該CS交換一憑證。
- 如請求項15所述之方法,其中在該步驟(g)及(2),該RS進一步以該CS憑證核發者之公開金鑰確認該交換的CS之憑證及找回的該CS之憑證 是否匹配,且該CS進一步以該RS憑證核發者之公開金鑰確認該交換的RS之憑證及找回的該RS之憑證是否匹配。
- 如請求項13所述之方法,其中該CS身分識別為該CS之一主題備用名稱(Subject Alternative Name),而該RS身分識別為該RS之一主題備用名稱。
- 如請求項13所述之方法,其中,在該步驟(g),該RS初始化該CS之憑證作為一目前憑證,並循環找回一下個憑證,其中該下個憑證以該下個憑證的一憑證核發者的一私密金鑰簽署該目前憑證,利用該下個憑證中的該公開金鑰確認該目前憑證,以及當目前憑證已被確認,或者一確認條件已被滿足時,判定該CS之憑證被確認為真實,否則的話,更新該當前憑證為該下個憑證;以及在該步驟(2),該CS初始化該RS之憑證作為一目前憑證,並循環找回一下個憑證,該下個憑證以該下個憑證的一憑證核發者的一私密金鑰簽署該目前憑證,利用該下個憑證中的該公開金鑰確認該目前憑證,以及當目前憑證已被確認,或者一確認條件已被滿足時,判定該RS之憑證被確認為真實,否則的話,更新該當前憑證至該下個憑證。
- 一種用於發布及鑑別憑證之分散式帳本系統,包括:一憑證請求伺服器(CR);以及一分散式帳本網路,其維持一分散式帳本,以可通訊方式連接至該CR,並包含一憑證核發節點(CI);其中該CI自該CR接收資格相關資料,簽署並提交一核發者資格交易至該分散式帳本; 當該核發者憑證的一簽署者並非該CR時,該CR及該CI其中之一產生並簽署用於該CR的一核發者憑證給並傳送該核發者憑證至該CR;在該核發者資格交易在該分散式帳本中產生後,具有該核發者憑證的該CR及該CI的其中之一簽署一核發者憑證交易並提交該核發者憑證交易至該分散式分類帳;其中該核發者憑證交易包含該核發者憑證及該核發者憑證包含該資格相關資料。
- 如請求項19所述之系統,其中該資格相關資料包含該CR的一去中心化辨識碼(decentralized identifier/DID)、一帳本公開金鑰及一角色。
- 如請求項19所述之系統,其中該核發者資格交易包含新增至該分散式分類帳的該CR的一DID及該一帳本公開金鑰、該CI之一DID以及該CR之一角色。
- 如請求項第19項所述之系統,其中該CI以一CI之帳本私密金鑰簽署該核發者資格交易。
- 如請求項22所述之系統,其中該核發者憑證交易包含提交者之一DID、一憑證識別、該核發者憑證以及該提交者之一簽名,其中該憑證識別為該核發者憑證之一雜湊值,該核發者憑證包含該CR之一身分識別及一憑證公開金鑰、該CR之一可選的角色以及由該核發者憑證的該憑證簽署者之一憑證私密金鑰所簽署的一簽名。
- 如請求項19所述之系統,其中一核發者憑證交易提交者以其帳本私密金鑰簽署該核發者憑證交易,當該CR提交該核發者憑證交易時,該分散式分類帳網路包含該CR,且當該CI提交該核發者憑證交易時,該分散式分類帳網 路不包含該CR。
- 如請求項19所述之系統,包括:一連接伺服器(CS),其以可通訊方式連接至該分散式帳本網路;以及一接收伺服器(RS),其以可通訊方式連接至該分散式帳本網路,與該CS交換一身分識別,基於一CS身分識別自該分散式帳本找回一CS之憑證及一CS憑證核發者之公開金鑰以確認該CS之憑證是否真實,當該CS之憑證確認為真實後,判定該CS已被認證,並自該RS接收秘密資料。
- 如請求項25所述之系統,其中該CS基於一RS身分識別自該分散式帳本找回一RS之憑證以及一RS憑證核發者之公開金鑰以確認該RS之憑證是否為真實,當該RS之憑證確認為真實後,並判定該RS已被認證以自該CS接收秘密資料。
- 如請求項26所述之系統,其中該RS進一步與該CS交換一憑證。
- 如請求項27所述之系統,其中該RS以該CS憑證核發者之公開金鑰確認交換的CS之憑證及找回的CS之憑證兩者是否匹配,且該CS以該RS憑證核發者之公開金鑰確認交換的RS之憑證及找回的RS之憑證兩者是否匹配。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201962923472P | 2019-10-18 | 2019-10-18 | |
| PCT/US2020/056393 WO2021077120A1 (en) | 2019-10-18 | 2020-10-19 | Distributed ledger-based methods and systems for certificate authentication |
| WOPCT/US20/56393 | 2020-10-19 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW202217701A TW202217701A (zh) | 2022-05-01 |
| TWI818209B true TWI818209B (zh) | 2023-10-11 |
Family
ID=75538778
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109141617A TWI818209B (zh) | 2019-10-18 | 2020-11-26 | 基於分散式分類帳之憑證鑑別及憑證發布之方法及系統 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20220294647A1 (zh) |
| EP (1) | EP4046330A4 (zh) |
| JP (1) | JP2022552420A (zh) |
| CN (1) | CN114930770A (zh) |
| TW (1) | TWI818209B (zh) |
| WO (1) | WO2021077120A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210314293A1 (en) * | 2020-04-02 | 2021-10-07 | Hewlett Packard Enterprise Development Lp | Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication |
| US20220393883A1 (en) * | 2021-06-03 | 2022-12-08 | Unisys Corporation | Machine-to machine authentication through trusted chain of ownership |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150244690A1 (en) * | 2012-11-09 | 2015-08-27 | Ent Technologies, Inc. | Generalized entity network translation (gent) |
| CN109417549A (zh) * | 2016-04-30 | 2019-03-01 | 西伟科技有限公司 | 使用集中式或分布式分类账来提供信息证明的方法和设备 |
| US20190158298A1 (en) * | 2016-05-24 | 2019-05-23 | Sead Muftic | Public key infrastructure based on the public certificates ledger |
| TW202025666A (zh) * | 2018-09-21 | 2020-07-01 | 安地卡及巴布達商區塊鏈控股有限公司 | 用於共享公共秘密之電腦實施系統及方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9280651B2 (en) * | 2012-09-10 | 2016-03-08 | Microsoft Technology Licensing, Llc | Securely handling server certificate errors in synchronization communication |
| US10419218B2 (en) * | 2016-09-20 | 2019-09-17 | United States Postal Service | Methods and systems for a digital trust architecture |
| US11055802B2 (en) * | 2017-09-22 | 2021-07-06 | Sensormatic Electronics, LLC | Methods and apparatus for implementing identity and asset sharing management |
| CN113204532A (zh) * | 2017-10-04 | 2021-08-03 | 邓白氏公司 | 跨全异的不可变分布式账本网络进行身份解析的系统和方法 |
| US11641278B2 (en) * | 2018-03-27 | 2023-05-02 | Workday, Inc. | Digital credential authentication |
| JP7054559B2 (ja) * | 2018-09-05 | 2022-04-14 | コネクトフリー株式会社 | 情報処理方法、情報処理プログラム、情報処理装置及び情報処理システム |
-
2020
- 2020-10-19 US US17/769,759 patent/US20220294647A1/en active Pending
- 2020-10-19 EP EP20877681.5A patent/EP4046330A4/en active Pending
- 2020-10-19 JP JP2022523229A patent/JP2022552420A/ja active Pending
- 2020-10-19 WO PCT/US2020/056393 patent/WO2021077120A1/en unknown
- 2020-10-19 CN CN202080072879.4A patent/CN114930770A/zh active Pending
- 2020-11-26 TW TW109141617A patent/TWI818209B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150244690A1 (en) * | 2012-11-09 | 2015-08-27 | Ent Technologies, Inc. | Generalized entity network translation (gent) |
| CN109417549A (zh) * | 2016-04-30 | 2019-03-01 | 西伟科技有限公司 | 使用集中式或分布式分类账来提供信息证明的方法和设备 |
| US20190158298A1 (en) * | 2016-05-24 | 2019-05-23 | Sead Muftic | Public key infrastructure based on the public certificates ledger |
| TW202025666A (zh) * | 2018-09-21 | 2020-07-01 | 安地卡及巴布達商區塊鏈控股有限公司 | 用於共享公共秘密之電腦實施系統及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2022552420A (ja) | 2022-12-15 |
| CN114930770A (zh) | 2022-08-19 |
| TW202217701A (zh) | 2022-05-01 |
| EP4046330A1 (en) | 2022-08-24 |
| EP4046330A4 (en) | 2024-02-14 |
| US20220294647A1 (en) | 2022-09-15 |
| WO2021077120A1 (en) | 2021-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10764067B2 (en) | Operation of a certificate authority on a distributed ledger | |
| CN110569674B (zh) | 基于区块链网络的认证方法及装置 | |
| JP7109569B2 (ja) | デジタル証明書の検証方法並びにその、装置、コンピュータ機器並びにコンピュータプログラム | |
| CN109829326B (zh) | 基于区块链的跨域认证与公平审计去重云存储系统 | |
| CN108696358B (zh) | 数字证书的管理方法、装置、可读存储介质及服务终端 | |
| US20170251025A1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| JP5215289B2 (ja) | 分散式の委任および検証のための方法、装置、およびシステム | |
| JP2022504420A (ja) | デジタル証明書の発行方法、デジタル証明書発行センター、記憶媒体およびコンピュータプログラム | |
| EP3966997B1 (en) | Methods and devices for public key management using a blockchain | |
| CN112818368A (zh) | 一种基于区块链智能合约的数字证书认证方法 | |
| US20140136838A1 (en) | Entity network translation (ent) | |
| KR102118962B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| KR102116235B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| KR20190114434A (ko) | 블록체인 기반의 권한 인증 방법, 단말 및 이를 이용한 서버 | |
| Li et al. | Decentralized public key infrastructures atop blockchain | |
| Garba et al. | LightLedger: a novel blockchain-based domain certificate authentication and validation scheme | |
| JP2023503607A (ja) | 自動デジタル証明書検証のための方法およびデバイス | |
| JPWO2020010279A5 (zh) | ||
| TWI818209B (zh) | 基於分散式分類帳之憑證鑑別及憑證發布之方法及系統 | |
| KR102118947B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| CN112560005A (zh) | 身份可信服务系统、方法、电子设备和计算机可读介质 | |
| CN111682941B (zh) | 基于密码学的集中式身份管理、分布式认证与授权的方法 | |
| KR102118921B1 (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 | |
| Osmov et al. | On the blockchain-based general-purpose public key infrastructure | |
| KR20200130191A (ko) | 블록체인 네트워크를 이용하여 사용자의 아이덴티티를 관리하는 방법 및 서버, 그리고, 블록체인 네트워크 기반의 사용자 아이덴티티를 이용하여 사용자를 인증하는 방법 및 단말 |