TWI818850B - 基於公鑰基礎建設的數位銘牌建立系統及其方法 - Google Patents
基於公鑰基礎建設的數位銘牌建立系統及其方法 Download PDFInfo
- Publication number
- TWI818850B TWI818850B TW112100634A TW112100634A TWI818850B TW I818850 B TWI818850 B TW I818850B TW 112100634 A TW112100634 A TW 112100634A TW 112100634 A TW112100634 A TW 112100634A TW I818850 B TWI818850 B TW I818850B
- Authority
- TW
- Taiwan
- Prior art keywords
- attributes
- host
- verification
- digital nameplate
- nameplate
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000012795 verification Methods 0.000 claims abstract description 115
- 238000004519 manufacturing process Methods 0.000 claims abstract description 59
- 238000013503 de-identification Methods 0.000 claims description 4
- 230000007246 mechanism Effects 0.000 abstract description 3
- 230000006870 function Effects 0.000 description 13
- 230000008569 process Effects 0.000 description 10
- 238000004458 analytical method Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000835 fiber Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000001902 propagating effect Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 150000003839 salts Chemical group 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001568 sexual effect Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Abstract
一種基於公鑰基礎建設的數位銘牌建立系統及其方法,透過製造端主機將裝置規格傳送至驗證端主機進行驗證,並且在接收到驗證結果後,傳送裝置規格、驗證結果及裝置屬性至註冊端主機,以便註冊端主機向信任錨註冊及建立裝置屬性,當申請數位銘牌時,製造端主機驅動裝置生成一組金鑰對,並且使裝置向註冊端主機要求登錄裝置,接著在註冊端主機完成對裝置屬性的識別與驗證後,傳送憑證簽署請求至信任錨,使信任錨建立綁定此組金鑰對之數位銘牌並傳送至裝置儲存,用以達到提升物聯網裝置導入場域的效率及正確性之技術功效。
Description
本發明涉及一種數位銘牌建立系統及其方法,特別是基於公鑰基礎建設的數位銘牌建立系統及其方法。
近年來,隨著物聯網的蓬勃發展,各種物聯網應用便如雨後春筍般湧現。然而,如何在滿足安全性的前提下,讓物聯網中的各裝置相互識別與溝通便成為各家廠商亟欲解決的問題之一。
一般而言,傳統的裝置/設備單純依靠本身的唯一識別碼作為身分識別,當裝置進入使用者場域(如:使用者的物聯網)時,使用者需要基於此唯一識別碼進行相應的權限設定,當裝置數量大量增加時,不但需要耗費大量時間進行設定,同時也容易發生設定錯誤的情況,故具有物聯網裝置導入場域的效率及正確性不佳的問題。
綜上所述,可知先前技術中長期以來一直存在物聯網裝置導入場域的效率及正確性不佳之問題,因此實有必要提出改進的技術手段,來解決此一問題。
本發明揭露一種基於公鑰基礎建設的數位銘牌建立系統及其方法。
首先,本發明揭露一種基於公鑰基礎建設的數位銘牌建立系統,此系統包含:驗證端主機、信任錨(Trust Anchor)、註冊端主機及製造端主機。其中,驗證端主機用以驗證裝置的裝置規格以生成驗證結果並進行傳送;信任錨用以接收裝置屬性以在所述信任錨註冊及建立所述裝置屬性作為裝置的身分憑證,並且建立所述裝置屬性的索引值,以及根據接收到的憑證簽署請求(Certificate Signing Request, CSR)及信任根生成符合公鑰憑證格式標準的數位銘牌,使裝置與數位銘牌進行綁定,並且將所述數位銘牌傳送至裝置;註冊端主機連接信任錨及裝置,用以向信任錨註冊接收到的裝置屬性,以及在接收到裝置的登錄請求時,識別及驗證裝置的裝置屬性,當裝置屬性通過驗證後,傳送所述憑證簽署請求至信任錨;製造端主機連接驗證端主機及裝置,所述製造端主機包含驗證模組及申請模組,其中,驗證模組用以將裝置的裝置規格傳送至驗證端主機以進行驗證,並且在接收到驗證端主機生成的驗證結果後,傳送裝置規格、驗證結果及裝置屬性;以及申請模組連接驗證模組,用以在信任錨建立裝置屬性後,驅動裝置生成一組金鑰對,並且使裝置向註冊端主機傳送登錄請求以要求登錄所述裝置,其中,所述登錄請求包含此組金鑰對的公鑰。
另外,本發明還揭露一種基於公鑰基礎建設的數位銘牌建立方法,應用在包含驗證端主機、信任錨、註冊端主機、製造端主機及裝置的網路環境,其步驟包括:製造端主機將裝置的裝置規格傳送至驗證端主機進行驗證,並且自驗證端主機接收驗證結果;製造端主機在接收到驗證結果後,將裝置規格、驗證結果及裝置屬性傳送至註冊端主機;註冊端主機向信任錨註冊接收到的裝置屬性,使信任錨建立所述裝置屬性作為裝置的身分憑證,以及建立裝置屬性的索引值;在信任錨建立所述裝置屬性後,製造端主機驅動裝置生成一組金鑰對,並且使裝置向註冊端主機傳送登錄請求以要求登錄所述裝置,其中,登錄請求包含此組金鑰對的公鑰;註冊端主機在接收到登錄請求後,識別與驗證裝置的裝置屬性,當裝置屬性通過驗證後,傳送憑證簽署請求至信任錨;以及信任錨根據憑證簽署請求及信任根生成符合公鑰憑證格式標準的數位銘牌,使裝置與數位銘牌進行綁定,並且將此數位銘牌傳送至裝置。
本發明所揭露之系統與方法如上,與先前技術的差異在於本發明是透過製造端主機將裝置規格傳送至驗證端主機進行驗證,並且在接收到驗證結果後,傳送裝置規格、驗證結果及裝置屬性至註冊端主機,以便註冊端主機向信任錨註冊及建立裝置屬性,當申請數位銘牌時,製造端主機驅動裝置生成一組金鑰對,並且使裝置向註冊端主機要求登錄裝置,接著在註冊端主機完成對裝置屬性的識別與驗證後,傳送憑證簽署請求至信任錨,使信任錨建立綁定此組金鑰對的數位銘牌並傳送至裝置儲存。
透過上述的技術手段,本發明可以達成提升物聯網裝置導入場域的效率及正確性之技術功效。
以下將配合圖式及實施例來詳細說明本發明之實施方式,藉此對本發明如何應用技術手段來解決技術問題並達成技術功效的實現過程能充分理解並據以實施。
在說明本發明所揭露之基於公鑰基礎建設的數位銘牌建立系統及其方法之前,先對本發明所自行定義的名詞作說明,本發明所述的「信任錨」是指數位銘牌之頂層發行機構,例如:垂直架構的信任根源為根憑證(Root CA),其下有數個次級憑證(Subordinate CA),可為水平或垂直部署,以因應客戶與風險管理原則;所述「數位銘牌」是指裝置的身分憑證,包含裝置的製造屬性、性能屬性及安全屬性等等,其以國際電信聯盟制定的「ITU-T x.509」規格所發行的數位憑證與裝置的私密金鑰(簡稱私鑰)綁定,憑證延伸欄位具有:裝置檢驗報告、安規符合性驗證、聲明功能符合性驗證等索引值,其揭露資訊皆具備來源可驗證、資訊完整性與正確性的保障機制。在實際實施上,欄位紀錄的裝置屬性可包含裝置的製造屬性、功能屬性及安全屬性至少其中之一,其中製造屬性可以明碼表示,而功能屬性及安全屬性則可選擇以明碼表示或以去識別化且執行雜湊函式後的索引值表示。更進一步來說,所述「製造屬性」是指製造商資訊、流水號或唯一識別碼、以信任錨簽章之簽章值等需要或可公開揭露之資訊,可用於導入應用場域時驗證此裝置來源、型號、識別,以便納入使用者的裝置管理系統中,並執行對應的功能與安全解析程序。所述「功能屬性」是指裝置具有什麼特定的業務功能,如:具備自走車的協定、三軸機器手臂的協定、加工機床的邊緣AI端點等功能,需要與信任錨註冊並取得的屬性代號,可用於確認裝置功能,開啟對應協定投入服務場域。所述「安全屬性」是指裝置私鑰所對應的公開金鑰(簡稱公鑰)或其金鑰唯一識別序號,與裝置具有什麼特定的安全功能,如:具備某信賴平台模組(Trusted Platform Module, TPM)、具備虛擬機(Virtual Machine, VM)的防護、或是某款端點偵測及回應(Endpoint Detection and Response, EDR)等安全功能,或關鍵參數更新使用時的加料混淆的資訊。需要與信任錨註冊並取得的屬性代號,可用於確認裝置的安全機制,開啟對應協定,與投入服務場域時所需的安全部署。
以下配合圖式對本發明基於公鑰基礎建設的數位銘牌建立系統及其方法做進一步說明,請先參閱「第1圖」,「第1圖」為本發明基於公鑰基礎建設的數位銘牌建立系統的系統方塊圖,此系統包含:驗證端主機110、信任錨120、註冊端主機130、製造端主機140及裝置150。其中,驗證端主機110用以驗證裝置150的裝置規格並包含製造端提出的資訊,以生成驗證結果並進行傳送。在實際實施上,驗證端主機110是指位於可信第三方實驗室的主機,可提供裝置檢驗報告、安規符合性驗證、聲明功能符合性驗證等等。所述裝置150則是欲投入使用者的服務場域之設備,以便納入使用者的裝置管理系統中。
信任錨120用以接收裝置屬性以在所述信任錨120註冊及建立所述裝置屬性作為裝置150的身分憑證,並且建立所述裝置屬性的索引值,以及根據接收到的憑證簽署請求及信任根生成符合公鑰憑證格式標準(如:「ITU-T x.509」)的數位銘牌,使裝置150與數位銘牌進行綁定,並且將所述數位銘牌傳送至裝置150。在實際實施上,產生的數位銘牌可根據其延伸欄位的紀錄方式分為兩種類型,第一種類型的數位銘牌是製造屬性以明碼表示,功能屬性及安全屬性皆以去識別化的索引值表示。所述索引值由信任錨120以雜湊方法建立,原文包含:功能屬性與安全屬性。實際上,雜湊具備加料(Salt)功能,使同樣功能與安全屬性的註冊裝置150,也能產生不同的索引值,以保持去識別化的資訊揭露。信任錨120可保存註冊的裝置屬性、索引值與申請數位銘牌的裝置之唯一識別碼與公鑰的連結資訊。使用第一種類型的數位銘牌,需透過信任錨120驗證數位銘牌與裝置的金鑰對之連結關係,離線應用須先透過信任錨120解析對應數位銘牌的功能與安全屬性後納入管理。第二種類型的數位銘牌則是將製造屬性、功能屬性、安全屬性皆以明碼表示。
註冊端主機130連接信任錨120及裝置150,用以向信任錨註冊接收到的裝置屬性,以及在接收到裝置150的登錄請求時,識別及驗證裝置的裝置屬性,當裝置屬性通過驗證後,傳送所述憑證簽署請求至信任錨120。在實際實施上,註冊端主機130是指由信任錨120提供的服務主機,可落地在生產製造商的系統中,也可以使用雲端平台提供服務,負責註冊裝置屬性(包含裝置檢驗報告、安規符合性驗證、聲明功能符合性驗證等等)及申請裝置150的數位銘牌。
接著,在製造端主機140的部分,其連接驗證端主機110及裝置150,所述製造端主機140包含驗證模組141及申請模組142。在實際實施上,製造端主機140是指由裝置製造商所管理的主機,負責整合裝置硬體、軟體,對信任錨聲明製造事實、裝置屬性與檢驗驗證事實。其中,驗證模組141用以將裝置150的裝置規格傳送至驗證端主機110以進行驗證,並且在接收到驗證端主機110生成的驗證結果後,傳送裝置規格、驗證結果及裝置屬性。
申請模組142連接驗證模組141,用以在信任錨120建立裝置屬性後,驅動裝置150生成一組金鑰對,並且使裝置150向註冊端主機130傳送登錄請求以要求登錄所述裝置150,其中,所述登錄請求包含此組金鑰對的公鑰。在實際實施上,這組金鑰對可用於簽章、驗章、加密及解密等等。
要補充說明的是,所述系統更可包含終端機160,允許裝置150向終端機160傳送數位銘牌,終端機始得驗證裝置是否持有此組金鑰對的私鑰,並且以此組金鑰對的公鑰解密確認所述裝置以私鑰加密之約定資訊,或透過零知識證明方法驗證此裝置是否為數位銘牌所紀錄之裝置,並使用信任錨120的公鑰驗證數位銘牌的完整性。在實際實施上,終端機160是指位於終端用戶(即:使用裝置的終端使用者)的主機。假設信任錨120生成的數位銘牌係以去識別化且執行雜湊函式後的索引值紀錄裝置屬性,當終端機160解析數位銘牌時,信任錨120根據終端機160傳送的數位銘牌序號及屬性索引值編號回應裝置屬性以供終端機160解析出製造屬性、功能屬性及安全屬性至少其中之一;假設信任錨120生成的數位銘牌係以明碼紀錄裝置屬性,當終端機160解析數位銘牌時,終端機160直接根據數位銘牌解析出製造屬性、功能屬性及安 全屬性至少其中之一。另外,以前述零知識證明方法為例,可使用挑戰值(基於非對稱式密碼學的金鑰持有的驗證),透過驗證方(如:終端機160)提出之約定資訊,由私鑰持有方(如:裝置150)加密後,再由驗證方以相應的公鑰解密確認是否為約定資訊以達成確認持有私鑰的事實。其中,所述約定資訊為驗證方與私鑰持有方相互約定的任意資料。
特別要說明的是,在實際實施上,本發明所述模組皆可利用各種方式來實現,包含軟體、硬體或其任意組合,例如,在某些實施方式中,各模組可利用軟體及硬體或其中之一來實現,除此之外,本發明亦可部分地或完全基於硬體來實現,例如,系統中的一個或多個模組可以透過積體電路晶片、系統單晶片(System on Chip, SoC)、複雜可程式邏輯裝置(Complex Programmable Logic Device, CPLD)、現場可程式邏輯閘陣列(Field Programmable Gate Array, FPGA)等來實現。本發明可以是系統、方法及/或電腦程式。電腦程式可以包括電腦可讀儲存媒體,其上載有用於使處理器實現本發明的各個方面的電腦可讀程式指令,電腦可讀儲存媒體可以是可以保持和儲存由指令執行設備使用的指令的有形設備。電腦可讀儲存媒體可以是但不限於電儲存設備、磁儲存設備、光儲存設備、電磁儲存設備、半導體儲存設備或上述的任意合適的組合。電腦可讀儲存媒體的更具體的例子(非窮舉的列表)包括:硬碟、隨機存取記憶體、唯讀記憶體、快閃記憶體、光碟、軟碟以及上述的任意合適的組合。此處所使用的電腦可讀儲存媒體不被解釋爲瞬時信號本身,諸如無線電波或者其它自由傳播的電磁波、通過波導或其它傳輸媒介傳播的電磁波(例如,通過光纖電纜的光信號)、或者通過電線傳輸的電信號。另外,此處所描述的電腦可讀程式指令可以從電腦可讀儲存媒體下載到各個計算/處理設備,或者通過網路,例如:網際網路、區域網路、廣域網路及/或無線網路下載到外部電腦設備或外部儲存設備。網路可以包括銅傳輸電纜、光纖傳輸、無線傳輸、路由器、防火牆、交換器、集線器及/或閘道器。每一個計算/處理設備中的網路卡或者網路介面從網路接收電腦可讀程式指令,並轉發此電腦可讀程式指令,以供儲存在各個計算/處理設備中的電腦可讀儲存媒體中。執行本發明操作的電腦程式指令可以是組合語言指令、指令集架構指令、機器指令、機器相關指令、微指令、韌體指令、或者以一種或多種程式語言的任意組合編寫的原始碼或目的碼(Object Code),所述程式語言包括物件導向的程式語言,如:Common Lisp、Python、C++、Objective-C、Smalltalk、Delphi、Java、Swift、C#、Perl、Ruby與PHP等,以及常規的程序式(Procedural)程式語言,如:C語言或類似的程式語言。所述電腦程式指令可以完全地在電腦上執行、部分地在電腦上執行、作爲一個獨立的軟體執行、部分在客戶端電腦上部分在遠端電腦上執行、或者完全在遠端電腦或伺服器上執行。
請參閱「第2圖」,「第2圖」為本發明基於公鑰基礎建設的數位銘牌建立方法的方法流程圖,應用在包含驗證端主機110、信任錨120、註冊端主機130、製造端主機140及裝置150的網路環境,其步驟包括:製造端主機140將裝置150的裝置規格傳送至驗證端主機110進行驗證,並且自驗證端主機110接收驗證結果(步驟210);製造端主機140在接收到驗證結果後,將裝置規格、驗證結果及裝置屬性傳送至註冊端主機130(步驟220);註冊端主機130向信任錨120註冊接收到的裝置屬性,使信任錨120建立所述裝置屬性作為裝置150的身分憑證,以及建立裝置屬性的索引值(步驟230);在信任錨120建立所述裝置屬性後,製造端主機140驅動裝置150生成一組金鑰對,並且使裝置150向註冊端主機130傳送登錄請求以要求登錄所述裝置150,其中,登錄請求包含此組金鑰對的公鑰(步驟240);註冊端主機130在接收到登錄請求後,識別與驗證裝置150的裝置屬性,當裝置屬性通過驗證後,傳送憑證簽署請求至信任錨120(步驟250);信任錨120根據憑證簽署請求及信任根生成符合公鑰憑證格式標準的數位銘牌,使裝置150與數位銘牌進行綁定,並且將此數位銘牌傳送至裝置150(步驟260)。透過上述步驟,即可透過製造端主機140將裝置規格傳送至驗證端主機110進行驗證,並且在接收到驗證結果後,傳送裝置規格、驗證結果及裝置屬性至註冊端主機130,以便註冊端主機130向信任錨120註冊及建立裝置屬性,當申請數位銘牌時,製造端主機140驅動裝置生成一組金鑰對,並且使裝置150向註冊端主機130要求登錄裝置,接著在註冊端主機130完成對裝置屬性的識別與驗證後,傳送憑證簽署請求至信任錨120,使信任錨120建立綁定此組金鑰對之數位銘牌並傳送至裝置儲存。
接著,如「第3圖」所示意,「第3圖」為應用本發明建立的數位銘牌之驗證與解析方法的方法流程圖。在產生數位銘牌之後,裝置150還可向終端機160傳送數位銘牌,使終端機160驗證裝置150是否持有金鑰對的私鑰,並且以這組金鑰對的公鑰驗證,以及使用信任錨120的公鑰驗證數位銘牌的完整性(步驟310);假設信任錨120生成(或稱之為建立)的數位銘牌係以去識別化且執行雜湊函式後的索引值紀錄所述裝置屬性,當終端機160解析數位銘牌時,信任錨120根據終端機160傳送的數位銘牌序號及屬性索引值編號回應所述裝置屬性以供終端機160解析出製造屬性、功能屬性及安全屬性至少其中之一(步驟320);假設信任錨120生成的數位銘牌係以明碼(或稱之為明文)紀錄所述裝置屬性,當終端機160解析數位銘牌時,終端機160直接根據數位銘牌解析出製造屬性、功能屬性及安全屬性至少其中之一(步驟330)。在實際實施上,可以通過數位銘牌紀錄的索引值連結到信任錨120提供的應用程式介面(Application Programming Interface, API)來進行驗證,也可以定期下載到本地端的主機離線使用。其中,所述索引值可以搭配去識別化及雜湊函式進行處理。
以下配合「第4A圖」至「第5圖」以實施例的方式進行如下說明,請先參閱「第4A圖」及「第4B圖」,「第4A圖」及「第4B圖」為應用本發明建立數位銘牌之示意圖。在初始時,各主機、裝置及信任錨需加入協議以使用信任錨服務,接著,如數位銘牌生成流程400a所示意,製造端主機140傳送裝置規格至驗證端主機110進行驗證,並且在驗證完成後由驗證端主機110回傳驗證結果給製造端主機140,當製造端主機140接收到驗證結果後,將裝置規格、驗證結果及裝置屬性傳送至註冊端主機130,使其向信任錨120註冊所述裝置屬性及建立索引值。至此,即完成建立裝置屬性。當欲申請數位銘牌時,製造端主機140會啟動註冊端主機130及裝置150,使裝置生成一組包含公鑰及私鑰的金鑰對。接下來,如數位銘牌生成流程400b所示意,裝置150會向註冊端主機130要求登錄所述裝置150,並且與註冊端主機130互動以識別、驗證裝置屬性,舉例來說,由註冊端主機130確認裝置屬性,在確認過程中,資料是通過雙向傳遞來回查驗。當驗證通過後,註冊端主機130向信任錨120發出憑證簽署請求,使信任錨120產生數位銘牌以傳送至裝置150。特別要說明的是,產生的數位銘牌可以根據其延伸欄位的紀錄方式區分為兩種類型,例如:第一種類型是製造屬性以明碼表示,功能屬性及安全屬性皆以去識別化的索引值表示;第二種類型是將製造屬性、功能屬性、安全屬性皆以明碼表示。至此,裝置150便可將接收到的數位銘牌與自身進行綁定。
如「第5圖」所示意,「第5圖」為應用本發明驗證與解析數位銘牌之示意圖。當已綁定數位銘牌的裝置150進入使用者場域後,便如驗證及解析流程500所示意,裝置150會將自身的數位銘牌傳送至位於使用者場域的終端機160,以便由終端機160驗證所述裝置150是否持有私鑰。接著,終端機160會向裝置150要求證明持有私鑰,例如:零知識證明,並且以裝置150的公鑰解密透過私鑰加密的資訊,以及使用信任錨120的公鑰驗證數位銘牌的完整性。以上便是驗證數位銘牌的流程,接著,在解析數位銘牌時,假設是前述第一種類型的數位銘牌,可如第一類型數位銘牌解析510的流程所示意,終端機160會向信任錨120查詢與取得明碼索引資訊,以便將數位銘牌序號及屬性索引值編號傳送至信任錨120,並且由信任錨120回應相應的裝置屬性以供終端機160解析出製造屬性、功能屬性及安全屬性等等。反之,假設是前述第二種類型的數位銘牌(即:以明碼/明文紀錄裝置屬性),可如第二類型數位銘牌解析520所示意,終端機160直接根據數位銘牌解析出其明文屬性,例如:製造屬性、功能屬性及安全屬性等等。
綜上所述,可知本發明與先前技術之間的差異在於透過製造端主機將裝置規格傳送至驗證端主機進行驗證,並且在接收到驗證結果後,傳送裝置規格、驗證結果及裝置屬性至註冊端主機,以便註冊端主機向信任錨註冊及建立裝置屬性,當申請數位銘牌時,製造端主機驅動裝置生成一組金鑰對,並且使裝置向註冊端主機要求登錄裝置,接著在註冊端主機完成對裝置屬性的識別與驗證後,傳送憑證簽署請求至信任錨,使信任錨建立綁定此組金鑰對之數位銘牌並傳送至裝置儲存,藉由此一技術手段可以解決先前技術所存在的問題,進而達成提升物聯網裝置導入場域的效率及正確性之技術功效。
雖然本發明以前述之實施例揭露如上,然其並非用以限定本發明,任何熟習相像技藝者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之專利保護範圍須視本說明書所附之申請專利範圍所界定者為準。
110:驗證端主機
120:信任錨
130:註冊端主機
140:製造端主機
141:驗證模組
142:申請模組
150:裝置
160:終端機
400a,400b:數位銘牌生成流程
500:驗證及解析流程
510:第一類型數位銘牌解析
520:第二類型數位銘牌解析
步驟210:製造端主機傳送裝置的一裝置規格至驗證端主機進行驗證,並且自該驗證端主機接收一驗證結果
步驟220:所述製造端主機在接收到該驗證結果後,將該裝置規格、該驗證結果及一裝置屬性傳送至註冊端主機
步驟230:該註冊端主機向該信任錨註冊接收到的該裝置屬性,使該信任錨建立該裝置屬性作為該裝置的一身分憑證,以及建立該裝置屬性的一索引值
步驟240:在該信任錨建立該裝置屬性後,該製造端主機驅動該裝置生成一組金鑰對,並且使該裝置向該註冊端主機傳送一登錄請求以要求登錄該裝置,其中,所述登錄請求包含該組金鑰對的公鑰
步驟250:該註冊端主機在接收到該登錄請求後,識別與驗證該裝置的該裝置屬性,當該裝置屬性通過驗證後,傳送一憑證簽署請求(Certificate Signing Request, CSR)至該信任錨
步驟260:該信任錨根據該憑證簽署請求及一信任根生成符合一公鑰憑證格式標準的一數位銘牌,使該裝置與該數位銘牌進行綁定,並且將該數位銘牌傳送至該裝置
步驟310:該裝置向一終端機傳送該數位銘牌,該終端機始驗證該裝置是否持有該組金鑰對的私鑰,並且以該組金鑰對的公鑰解密確認是否與該裝置以該私鑰加密之約定資訊一致,或透過零知識證明方法驗證該裝置是否為該數位銘牌所紀錄之裝置,並使用該信任錨的公鑰驗證該數位銘牌的完整性
步驟320:該信任錨生成的該數位銘牌係以去識別化且執行雜湊函式後的該索引值紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該信任錨根據該終端機傳送的一數位銘牌序號及一屬性索引值編號回應所述裝置屬性以供該終端機解析出製造屬性、功能屬性及安全屬性至少其中之一
步驟330:該信任錨生成的該數位銘牌係以明碼紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該終端機直接根據所述數位銘牌解析出製造屬性、功能屬性及安全屬性至少其中之一
第1圖為本發明基於公鑰基礎建設的數位銘牌建立系統的系統方塊圖。
第2圖為本發明基於公鑰基礎建設的數位銘牌建立方法的方法流程圖。
第3圖為應用本發明建立的數位銘牌之驗證與解析方法的方法流程圖。
第4A圖及第4B圖為應用本發明建立數位銘牌之示意圖。
第5圖為應用本發明驗證與解析數位銘牌之示意圖。
110:驗證端主機
120:信任錨
130:註冊端主機
140:製造端主機
141:驗證模組
142:申請模組
150:裝置
160:終端機
Claims (10)
- 一種基於公鑰基礎建設的數位銘牌建立系統,該系統包含: 一驗證端主機,用以驗證一裝置的一裝置規格以生成一驗證結果並進行傳送; 一信任錨,用以接收一裝置屬性以在該信任錨註冊及建立所述裝置屬性作為該裝置的一身分憑證,並且建立所述裝置屬性的一索引值,以及根據接收到的一憑證簽署請求(Certificate Signing Request, CSR)及一信任根生成符合一公鑰憑證格式標準的一數位銘牌,使該裝置與該數位銘牌進行綁定,並且將該數位銘牌傳送至該裝置; 一註冊端主機,連接該信任錨及該裝置,用以向該信任錨註冊接收到的所述裝置屬性,以及在接收到該裝置的一登錄請求時,識別及驗證該裝置的所述裝置屬性,當所述裝置屬性通過驗證後,傳送所述憑證簽署請求至該信任錨;以及 一製造端主機,連接該驗證端主機及該裝置,該製造端主機包含: 一驗證模組,用以將該裝置的所述裝置規格傳送至該驗證端主機以進行驗證,並且在接收到該驗證端主機生成的所述驗證結果後,傳送所述裝置規格、所述驗證結果及所述裝置屬性;以及 一申請模組,連接該驗證模組,用以在該信任錨建立所述裝置屬性後,驅動該裝置生成一組金鑰對,並且使該裝置向該註冊端主機傳送所述登錄請求以要求登錄該裝置,其中,所述登錄請求包含該組金鑰對的公鑰。
- 如請求項1之基於公鑰基礎建設的數位銘牌建立系統,其中該系統更包含一終端機,該裝置向該終端機傳送該數位銘牌,該終端機始驗證該裝置是否持有該組金鑰對的私鑰,並且以該組金鑰對的公鑰解密確認是否與該裝置以該私鑰加密之約定資訊一致,或透過零知識證明方法驗證該裝置是否為該數位銘牌所紀錄之裝置,並使用該信任錨的公鑰驗證該數位銘牌的完整性。
- 如請求項1之基於公鑰基礎建設的數位銘牌建立系統,其中所述裝置屬性包含該裝置的製造屬性、功能屬性及安全屬性至少其中之一。
- 如請求項2之基於公鑰基礎建設的數位銘牌建立系統,其中該信任錨生成的該數位銘牌係以去識別化且執行雜湊函式後的該索引值紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該信任錨根據該終端機傳送的一數位銘牌序號及一屬性索引值編號回應所述裝置屬性以供該終端機解析出製造屬性、功能屬性及安全屬性至少其中之一。
- 如請求項2之基於公鑰基礎建設的數位銘牌建立系統,其中該信任錨生成的該數位銘牌係以明碼紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該終端機直接根據所述數位銘牌解析出製造屬性、功能屬性及安全屬性至少其中之一。
- 一種基於公鑰基礎建設的數位銘牌建立方法,應用在包含一驗證端主機、一信任錨(Trust Anchor)、一註冊端主機、一製造端主機及一裝置的網路環境,其步驟包括: 該製造端主機將該裝置的一裝置規格傳送至該驗證端主機進行驗證,並且自該驗證端主機接收一驗證結果; 所述製造端主機在接收到該驗證結果後,將該裝置規格、該驗證結果及一裝置屬性傳送至該註冊端主機; 該註冊端主機向該信任錨註冊接收到的該裝置屬性,使該信任錨建立該裝置屬性作為該裝置的一身分憑證,以及建立該裝置屬性的一索引值; 在該信任錨建立該裝置屬性後,該製造端主機驅動該裝置生成一組金鑰對,並且使該裝置向該註冊端主機傳送一登錄請求以要求登錄該裝置,其中,所述登錄請求包含該組金鑰對的公鑰; 該註冊端主機在接收到該登錄請求後,識別與驗證該裝置的該裝置屬性,當該裝置屬性通過驗證後,傳送一憑證簽署請求(Certificate Signing Request, CSR)至該信任錨;以及 該信任錨根據該憑證簽署請求及一信任根生成符合一公鑰憑證格式標準的一數位銘牌,使該裝置與該數位銘牌進行綁定,並且將該數位銘牌傳送至該裝置。
- 如請求項6之基於公鑰基礎建設的數位銘牌建立方法,其中該方法更包含該裝置向一終端機傳送該數位銘牌,該終端機始驗證該裝置是否持有該組金鑰對的私鑰,並且以該組金鑰對的公鑰解密確認是否與該裝置以該私鑰加密之約定資訊一致,或透過零知識證明方法驗證該裝置是否為該數位銘牌所紀錄之裝置,並使用該信任錨的公鑰驗證該數位銘牌的完整性的步驟。
- 如請求項6之基於公鑰基礎建設的數位銘牌建立方法,其中所述裝置屬性包含該裝置的製造屬性、功能屬性及安全屬性至少其中之一。
- 如請求項7之基於公鑰基礎建設的數位銘牌建立方法,其中該信任錨生成的該數位銘牌係以去識別化且執行雜湊函式後的該索引值紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該信任錨根據該終端機傳送的一數位銘牌序號及一屬性索引值編號回應所述裝置屬性以供該終端機解析出製造屬性、功能屬性及安全屬性至少其中之一。
- 如請求項7之基於公鑰基礎建設的數位銘牌建立方法,其中該信任錨生成的該數位銘牌係以明碼紀錄該裝置屬性,當該終端機解析所述數位銘牌時,該終端機直接根據所述數位銘牌解析出製造屬性、功能屬性及安全屬性至少其中之一。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW112100634A TWI818850B (zh) | 2023-01-06 | 2023-01-06 | 基於公鑰基礎建設的數位銘牌建立系統及其方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW112100634A TWI818850B (zh) | 2023-01-06 | 2023-01-06 | 基於公鑰基礎建設的數位銘牌建立系統及其方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWI818850B true TWI818850B (zh) | 2023-10-11 |
Family
ID=89857703
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW112100634A TWI818850B (zh) | 2023-01-06 | 2023-01-06 | 基於公鑰基礎建設的數位銘牌建立系統及其方法 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWI818850B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138907A1 (en) * | 2008-12-01 | 2010-06-03 | Garret Grajek | Method and system for generating digital certificates and certificate signing requests |
CN102035838B (zh) * | 2010-12-07 | 2014-02-19 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务系统 |
TW201838374A (zh) * | 2017-04-10 | 2018-10-16 | 美商高通公司 | 將分級裝置證書中之唯一裝置識別符表示為完全合格域名 |
TW202014878A (zh) * | 2018-10-12 | 2020-04-16 | 香港商阿里巴巴集團服務有限公司 | 區塊鏈節點服務部署方法、裝置、系統、計算設備及媒介 |
TW202123651A (zh) * | 2019-07-31 | 2021-06-16 | 美商數據輸出入公司 | 利用系統產生的裝置程式化 |
TWM641418U (zh) * | 2023-01-06 | 2023-05-21 | 臺灣網路認證股份有限公司 | 基於公鑰基礎建設的數位銘牌建立系統 |
-
2023
- 2023-01-06 TW TW112100634A patent/TWI818850B/zh active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100138907A1 (en) * | 2008-12-01 | 2010-06-03 | Garret Grajek | Method and system for generating digital certificates and certificate signing requests |
CN102035838B (zh) * | 2010-12-07 | 2014-02-19 | 中国科学院软件研究所 | 一种基于平台身份的信任服务连接方法与信任服务系统 |
TW201838374A (zh) * | 2017-04-10 | 2018-10-16 | 美商高通公司 | 將分級裝置證書中之唯一裝置識別符表示為完全合格域名 |
TW202014878A (zh) * | 2018-10-12 | 2020-04-16 | 香港商阿里巴巴集團服務有限公司 | 區塊鏈節點服務部署方法、裝置、系統、計算設備及媒介 |
TW202123651A (zh) * | 2019-07-31 | 2021-06-16 | 美商數據輸出入公司 | 利用系統產生的裝置程式化 |
TWM641418U (zh) * | 2023-01-06 | 2023-05-21 | 臺灣網路認證股份有限公司 | 基於公鑰基礎建設的數位銘牌建立系統 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6613909B2 (ja) | 相互認証方法、認証装置および認証プログラム | |
CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
US8095788B2 (en) | Method and apparatus for integrated provisioning of a network device with configuration information and identity certification | |
US8555069B2 (en) | Fast-reconnection of negotiable authentication network clients | |
WO2019153701A1 (zh) | 一种获得设备标识的方法及装置 | |
WO2016107203A1 (zh) | 一种身份认证方法及装置 | |
US20180198764A1 (en) | System and method for a multi system trust chain | |
US10257171B2 (en) | Server public key pinning by URL | |
US10277406B1 (en) | Authentication process for issuing sequence of short-lived digital certificates | |
KR20230078706A (ko) | 포스트 양자 암호화를 사용하는 인증서 기반 보안 | |
CN106060078A (zh) | 应用于云平台的用户信息加密方法、注册方法及验证方法 | |
WO2013081441A1 (en) | A system and method for establishing mutual remote attestation in internet protocol security (ipsec) based virtual private network (vpn) | |
WO2020102974A1 (zh) | 一种数据访问方法、数据访问装置及移动终端 | |
CN109981680A (zh) | 一种访问控制实现方法、装置、计算机设备及存储介质 | |
JP2023505471A (ja) | プロビジョニング方法及び端末機器 | |
CN107135219B (zh) | 一种物联网信息安全传输方法 | |
WO2022170821A1 (zh) | 业务证书管理方法、装置、系统及电子设备 | |
TWM641418U (zh) | 基於公鑰基礎建設的數位銘牌建立系統 | |
CN111340485A (zh) | 一种用于联盟区块链的数字证书的配置方法、终端和根证书服务器 | |
US10171441B2 (en) | System and method for transforming Channel ID communications in man-in-the-middle context | |
TWI818850B (zh) | 基於公鑰基礎建設的數位銘牌建立系統及其方法 | |
CN110719174B (zh) | 基于Ukey的证书签发方法 | |
US11804970B2 (en) | Baseboard management controller group administration | |
CN110855442A (zh) | 一种基于pki技术的设备间证书验证方法 | |
CN115348015A (zh) | 安全接入方法及装置、计算机可读存储介质、电子设备 |