TWM571518U - A system for cross-domain use of credentials used by other servers - Google Patents
A system for cross-domain use of credentials used by other serversInfo
- Publication number
- TWM571518U TWM571518U TWM571518U TW M571518 U TWM571518 U TW M571518U TW M571518 U TWM571518 U TW M571518U
- Authority
- TW
- Taiwan
- Prior art keywords
- application
- server
- service server
- digital certificate
- digital
- Prior art date
Links
- 230000000875 corresponding Effects 0.000 claims abstract description 62
- 238000000034 method Methods 0.000 claims abstract description 19
- 230000004048 modification Effects 0.000 claims description 4
- 238000006011 modification reaction Methods 0.000 claims description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 230000002093 peripheral Effects 0.000 description 14
- 238000004891 communication Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 4
- 239000007787 solid Substances 0.000 description 2
- 230000003068 static Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003247 decreasing Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Abstract
一種跨網域使用於其他伺服器使用之憑證之系統,其透過入口伺服器依據預先設定之關聯網域及業務伺服器之網域判斷與業務伺服器對應之數位憑證不存在時,申請數位憑證並傳送數位憑證至執行網頁程式的應用程式,以及在數位憑證存在時,傳送數位憑證至執行網頁程式的應用程式,使得應用程式讀取出網頁程式所儲存的數位憑證,並使用數位憑證於業務伺服器中完成交易之技術手段,可以不中斷交易流程完成數位憑證的申請,並達成跨網域使用相同數位憑證及減少需管理之數位憑證之數量的技術功效。
Description
一種跨網域使用憑證之系統,特別係指一種跨網域使用於其他伺服器使用之憑證之系統。
電子憑證,又稱為數位憑證,是一種用於電腦系統的身分識別機制。電子憑證是一個或一組電腦檔案,其中記載了擁有人的身份資料及一組公開密碼。電子憑證的擁有人可向電腦系統認證自己的身分,從而存取或使用某一特定的電腦服務。
早期因網路安全性未如現今受到重視,需要透過電子憑證存取或使用的電腦服務大多以網頁附掛安控外掛元件的型態提供,意即使用者在存取或使用這些服務時,是透過瀏覽器來向遠端伺服器進行憑證申請、展期及查詢等相關服務。
如今,因近年來網路安全漸受重視,瀏覽器對於運作於其上的網頁及外掛元件之安全性要求及檢核愈益嚴苛,限制大幅增加且支援度下降,造成過去可順利在瀏覽器上執行的憑證新申請、展期、查詢等相關作業因之操作失敗比率大增,反而對使用者造成困擾。為了解決上述的問題,目前已有將憑證作業分離至外部伺服器執行的解決方案,此一解決方式是讓交易作業由客戶端連線到業務伺服器上執行,憑證作業則由客戶端連線到外部伺服器上執行。
但在交易作業的執行過程中,不論客戶端是在瀏覽器中使用外掛元件執行憑證作業,或是連線到外部伺服器執行憑證作業,若客戶端沒有憑證,則業務伺服器將會暫時中斷交易流程,並引導客戶端連線到憑證註冊伺服器(RA)或外部伺服器進行憑證申請作業,直到客戶端完成憑證申請作業後,才會繼續交易流程,這樣的過程往往讓客戶端之使用者無法理解為何交易流程或被中斷,造成客戶端之使用者的疑惑與困擾。另外,在正常情況下,客戶端的使用者通常不熟悉憑證的申請流程,業務伺服器也不會特別說明不屬於自身業務的憑證申請過程,因此,使用者在進行憑證申請時往往會遇到問題而無法完成憑證申請流程,進而導致無法完成交易,造成使用者不便,同時也增加業務伺服器之客服人員的困擾。
綜上所述,可知先前技術中長期以來一直存在交易過程中可能需要先中斷交易流程改為進行憑證申請流程導致使用者與客服人員困擾的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在交易過程中可能需要先中斷交易流程改為進行憑證申請流程導致使用者與客服人員困擾的問題,本創作遂揭露一種跨網域使用於其他伺服器使用之憑證之系統,其中:
本創作所揭露之跨網域使用於其他伺服器使用之憑證之系統,至少包含:業務伺服器;入口伺服器,用以設定關聯網域,關聯網域包含業務伺服器之網域,及用以依據關聯網域及業務伺服器之網域判斷與業務伺服器對應之數位憑證存在時,傳送數位憑證;客戶端,用以執行應用程式,應用程式用以登入業務伺服器,及用以接收並執行業務伺服器所傳送之網頁程式,網頁程式用以判斷應用程式之本地儲存區中是否儲存數位憑證,當本地儲存區中未儲存數位憑證時,連線至入口伺服器,並將入口伺服器所傳回之數位憑證儲存於本地儲存區中,當本地儲存區中已儲存數位憑證時,應用程式由該本地儲存區中讀取數位憑證,並使用數位憑證於業務伺服器中完成交易。
本創作所揭露之系統如上,與先前技術之間的差異在於本創作透過客戶端之應用程式所執行的網頁程式判斷應用程式之本地儲存區中是否儲存與業務伺服器對應之數位憑證,若本地儲存區中未儲存該數位憑證,則入口伺服器依據預先設定之關聯網域及業務伺服器之網域判斷與業務伺服器對應之數位憑證是否存在,當數位憑證存在時,入口伺服器傳送數位憑證至應用程式以將數位憑證儲存至本地儲存區中,以及當數位憑證不存在時,入口伺服器連線至憑證伺服器申請數位憑證並傳送數位憑證至應用程式以將數位憑證儲存至本地儲存區中,使得應用程式在本地儲存區中已儲存該數位憑證時,可以使用數位憑證於業務伺服器中完成交易,藉以解決先前技術所存在的問題,並可以達成跨網域使用相同憑證及減少需管理之憑證數量的技術功效。
以下將配合圖式及實施例來詳細說明本創作之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本創作解決技術問題所應用的技術手段並據以實施,藉此實現本創作可達成的功效。
本創作可以讓應用程式透過入口伺服器(Portal)取得在與業務伺服器(Web Server)在同一關聯網域中之其他伺服器中所使用的數位憑證,並使用所取得的數位憑證在業務伺服器中完成交易。
本創作所提之應用程式為可以解碼HTML語法的程式,例如網頁瀏覽器、內嵌瀏覽元件的程式等,但本創作並不以此為限;本創作所提之關聯網域包含多個網域(domain),關聯網域中的每一個網域至少被一個裝置使用,且使用各個網域的裝置之間可以互相信任,例如,同一企業所提供之不同服務的多個伺服器,各個伺服器所使用的網域可以被設定為關聯網域。需要說明的是,在本說明書中,描述使用同一關聯網域中所包含之不同網域的不同裝置的關係時,可能以「屬於同一關聯網域中的第一裝置與第二裝置」或「與第一裝置屬於同一關聯網域的第二裝置」等類似描述表示。
以下先以「第1圖」本創作所提之跨網域使用於其他伺服器使用之憑證之系統架構圖來說明本創作的系統運作。如「第1圖」所示,本創作之系統含有業務伺服器110、入口伺服器120、以及客戶端130。其中,業務伺服器110、入口伺服器120、以及客戶端130均為計算設備。本創作所提之計算設備包含但不限於一個或多個處理器、一個或多個記憶體模組、以及連接不同元件(包括記憶體模組和處理器)的匯流排等元件,透過所包含之多個元件,計算設備可以載入並執行作業系統,使作業系統在計算設備上運行,同時,計算設備也可以執行安裝於作業系統中的應用程式。
本創作所提之計算設備的匯流排可以包含一種或多個類型,例如包含資料匯流排(data bus)、位址匯流排(address bus)、控制匯流排(control bus)、擴充功能匯流排(expansion bus)、及/或局域匯流排(local bus)等類型的匯流排。計算設備的匯流排包括但不限於並列的工業標準架構(ISA)匯流排、周邊元件互連(PCI)匯流排、視頻電子標準協會(VESA)局域匯流排、以及串列的通用序列匯流排(USB)、快速周邊元件互連(PCI-E)匯流排等。
本創作所提之計算設備的處理器與匯流排耦接。處理器包含包含暫存器(Register)組或暫存器空間,暫存器組或暫存器空間可以完全在做為處理器的處理晶片上,或全部或部分在處理晶片外並經由專用電氣連接及/或經由匯流排耦接至處理器。處理器可為處理單元、微處理器或任何合適的處理元件。若計算設備為多處理器設備,也就是計算設備包含多個處理器,則計算設備所包含的處理器都相同或類似,且透過匯流排耦接與通訊。
計算設備的處理器可以與晶片組耦接或透過匯流排與晶片組電性連接。晶片組是由一個或多個積體電路(IC)組成,包含記憶體控制器以及周邊輸出入(I/O)控制器,也就是說,記憶體控制器以及周邊輸出入控制器可以包含在一個積體電路內,也可以使用兩個或更多的積體電路實現。晶片組通常提供了輸出入和記憶體管理功能、以及提供多個通用及/或專用暫存器、計時器等,其中,上述之通用及/或專用暫存器與計時器可以讓耦接或電性連接至晶片組的一個或多個處理器存取或使用。
計算設備的處理器也可以透過記憶體控制器存取安裝於計算設備上的記憶體模組和大容量儲存區中的資料。上述之記憶體模組包含任何類型的揮發性記憶體(volatile memory)及/或非揮發性(non-volatile memory, NVRAM)記憶體,例如靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、快閃記憶體(Flash)、唯讀記憶體(ROM)等。上述之大容量儲存區可以包含任何類型的儲存裝置,例如,硬碟機、光碟、磁帶機、隨身碟(快閃記憶體)、固態硬碟(Solid State Disk, SSD)、或任何其他儲存裝置等。也就是說,記憶體控制器可以存取靜態隨機存取記憶體、動態隨機存取記憶體、快閃記憶體、硬碟機、固態硬碟中的資料。
計算設備的處理器也可以透過周邊輸出入控制器經由周邊輸出入匯流排與周邊輸出裝置、周邊輸入裝置、通訊介面、以及GPS接收器等周邊裝置或介面通訊。周邊輸入裝置可以是任何類型的輸入裝置,例如鍵盤、滑鼠、軌跡球、觸控板、搖桿等;周邊輸出裝置可以是任何類型的輸出裝置,例如顯示器、印表機等;周邊輸入裝置與周邊輸出裝置也可以是同一裝置,例如觸控螢幕等。通訊介面可以包含無線通訊介面及/或有線通訊介面,無線通訊介面可以包含支援Wi-Fi、Zigbee等無線區域網路、藍牙、紅外線、近場通訊(NFC)、3G/4G行動通訊網路或其他無線資料傳輸協定的介面,有線通訊介面可為乙太網路設備、非同步傳輸模式(ATM)設備、DSL數據機、纜線(Cable)數據機等。處理器可以週期性地輪詢(polling)各種周邊裝置與介面,使得計算設備能夠進行資料的輸入與輸出,也能夠與具有上述描述之元件的另一個計算設備進行通訊。
業務伺服器110使用一個網域,並可以提供一個或多個客戶端130連接,藉以接收所連接之客戶端130所傳送的資料或訊號,及/或傳送資料或訊號至所連接的客戶端130。其中,業務伺服器110可以提供客戶端130使用有線網路或無線網路連接。在部分的實施例中,業務伺服器110也可以透過有線或無線網路與入口伺服器120連接,並可以接收所入口伺服器120所傳送的資料或訊號,也可以傳送資料或訊號至入口伺服器120。
業務伺服器110負責接收並驗證客戶端130所執行之應用程式131所傳送之登入資料,並負責在登入資料通過驗證後,依據所接收到之登入資料將應用程式131登入業務伺服器110。上述之登入資料包含但不限於客戶端130之使用者對應業務伺服器110的帳號密碼等。
業務伺服器110也負責將網頁程式傳送給成功登入業務伺服器110的應用程式131。業務伺服器110可以在將應用程式131登入業務伺服器110後立刻傳送網頁程式給應用程式131,也可以在應用程式131需要進行交易前才傳送網頁程式給應用程式131,本創作並沒有特別的限制。其中,本創作所提之網頁程式包含應用程式131可解碼的HTML語法及/或應用程式131可執行的腳本(Script)或程式碼。
入口伺服器120負責設定一組或多組關聯網域,其中,至少一組關聯網域包含業務伺服器110a所使用的網域以及包含業務伺服器110b所使用的網域。
入口伺服器120也負責提供客戶端130透過有線或無線網路連接。一般而言,入口伺服器120可以拒絕客戶端130所執行之應用程式131的直接連線,而可以只接受應用程式131經由網頁程式連線到業務伺服器110再連線到入口伺服器120的間接連線。
入口伺服器120也可以依據預先設定的關聯網域判斷應用程式131在業務伺服器110a上使用之與業務伺服器110a對應的數位憑證是否存在。舉例來說,入口伺服器120可以先判斷與業務伺服器110a之網域以及應用程式131之程式識別資料對應的數位憑證是否存在,若是,則可以判斷應用程式131在業務伺服器110a上使用的數位憑證存在;若否,則入口伺服器120可以進一步判斷是否存在與業務伺服器110a屬於同一關聯網域之其他業務伺服器(如業務伺服器110b)的網域以及應用程式131之程式識別資料對應的數位憑證,若是,同樣可以判斷應用程式131在業務伺服器110a上使用的數位憑證存在,若否,則可以判斷應用程式131在業務伺服器110a上使用的數位憑證不存在。
入口伺服器120也負責判斷應用程式131在業務伺服器110上使用的數位憑證存在時,讀取並傳送數位憑證至執行網頁程式的應用程式131。更詳細的,入口伺服器120可以透過業務伺服器110將數位憑證傳送給執行網頁程式的應用程式131,也可以直接將數位憑證傳送給執行網頁程式的應用程式131。
入口伺服器120也負責在判斷應用程式131在業務伺服器110上使用的數位憑證不存在時,連線至憑證伺服器140為操作應用程式131登入業務伺服器110的使用者申請數位憑證。入口伺服器120也負責接收憑證伺服器140所傳回的數位憑證,並可以儲存所接收到的數位憑證,以及將所接收到的數位憑證主動佈署至與業務伺服器110屬於同一關聯網域之所有業務伺服器。舉例來說,入口伺服器120可以為操作應用程式131登入業務伺服器110a的使用者申請數位憑證,並可以將所接收到的數位憑證傳送給執行網頁程式的應用程式131,並可以將數位憑證傳送給與業務伺服器110a屬於同一關聯網域之其他業務伺服器(如業務伺服器110b)。其中,本創作所提之憑證伺服器140通常是憑證註冊伺服器(RA),但本創作並不以此為限,例如,憑證伺服器140也可以是憑證管理伺服器(CA)。
入口伺服器120也可以提供數位憑證的效期展延、變更密碼等憑證管理作業。入口伺服器120也可以在判斷數位憑證經過憑證管理作業而被更動(如數位憑證經過變更密碼等憑證管理作業)時,傳送更動後的數位憑證至執行網頁程式的應用程式131。
客戶端130可以是桌上型電腦、筆記型電腦、手機、平板、導航裝置、數位相機、投影機、多媒體播放機、電子書閱讀機、電子辭典、電視遊樂器、掌上型電動玩具等,但本創作並不以此為限。
客戶端130可以透過有線或無線網路與業務伺服器110連接,並可以傳送資料或訊號至業務伺服器110,也可以接收業務伺服器110所傳送的資料或訊號。在部分的實施例中,客戶端130也可以透過有線或無線網路與入口伺服器120連接,並可以接收入口伺服器120所傳送的資料或訊號,也可以傳送資料或訊號至入口伺服器120。
客戶端130負責執行應用程式131。應用程式131可以提供輸入登入資料藉以登入業務伺服器110,應用程式131也可以接收並執行業務伺服器110所傳送的網頁程式。其中,應用程式131可以在登入業務伺服器110後、由業務伺服器110載入交易頁面後、或交易過程中執行網頁程式,但本創作並不以此為限。
應用程式131也可以接收入口伺服器120所傳送的數位憑證(包含入口伺服器120申請的數位憑證以及入口伺服器120更動過的數位憑證),並可以利用HTML 5的規範,將所接收到的數位憑證分別儲存到屬於同一關聯網域之每一個業務伺服器對應的本地儲存區(Local Storage)中,例如,應用程式可以逐一將所接收到的數位憑證儲存至與業務伺服器110a對應的本地儲存區中、儲存至與業務伺服器110b對應的本地儲存區中、…等,使得被儲存的數位憑證分別成為與業務伺服器110a、110b對應的數位憑證。
應用程式131所執行的網頁程式負責判斷應用程式131中與業務伺服器110對應的本地儲存區中是否儲存數位憑證。當應用程式131所執行的網頁程式判斷應用程式131中與業務伺服器110對應之本地儲存區中儲存有數位憑證時,應用程式131可以直接由本地儲存區中讀取數位憑證,並使用所讀出之數位憑證於業務伺服器110中完成交易。
當應用程式131所執行的網頁程式判斷應用程式131中與業務伺服器110對應之本地儲存區中沒有儲存數位憑證時,網頁程式可以連線至入口伺服器120,並可以偵測應用程式131的程式識別資料,以及可以將應用程式131的程式識別資料傳送給入口伺服器120。
需要特別說明的是,應用程式131所執行的網頁程式只有在應用程式131中與業務伺服器110對應的本地儲存區中沒有儲存與業務伺服器110對應的數位憑證時,才需要連線至入口伺服器120取得數位憑證。若使用者在同一個交易頁面中進行兩次交易,網頁程式在第一次交易的過程中已連線到入口伺服器120取得與業務伺服器110對應的數位憑證,則應用程式131可以在第二次交易的過程中直接由與業務伺服器110對應的本地儲存區中讀取出與業務伺服器110對應的數位憑證。
應用程式131也可以在入口伺服器120佈署數位憑證時,也就是在應用程式131接收到入口伺服器120主動傳送的數位憑證時,產生憑證更動訊息。
應用程式131也可以判斷與業務伺服器110對應之本地儲存區中的數位憑證是否更新,並可以在判斷應用程式131中與業務伺服器110對應之本地儲存區中的數位憑證被更新後,存取與業務伺服器110對應之本地儲存區中的數位憑證時,產生憑證更新提示,且可以在客戶端130上顯示所產生的憑證更新提示。其中,應用程式131可以依據應用程式131中與業務伺服器110對應的本地儲存區中是否存在入口伺服器120佈署數位憑證至應用程式131時由應用程式131產生的憑證更動訊息來判斷數位憑證是否被更動,也可以依據應用程式131中與業務伺服器110對應之本地儲存區中的數位憑證的修改時間(入口伺服器120佈署數位憑證至應用程式131時,應用程式131中與業務伺服器110對應之本地儲存區中的數位憑證的修改時間會被更新為應用程式131接收到數位憑證的時間)是否改變來判斷數位憑證是否被更動,但應用程式131判斷數位憑證是否被更動的方式並不以上述為限。
接著以一個實施例來解說本創作的運作系統,並請參照「第2圖」本創作所提之跨網域使用於其他伺服器使用之憑證之流程圖。在本實施例中,假設本創作應用於券商所提供的證券線上下單系統中,但本創作並不以此為限。
首先,入口伺服器120可以設定一組關聯網域(步驟201)。在本實施例中,假設入口伺服器120可以設定券商所提供之兩個不同的證券線上下單伺服器(業務伺服器110a、110b)的網域為關聯網域。
當有使用者在客戶端130a上操作應用程式131連線到業務伺服器110a時,業務伺服器110a可以要求客戶端130a的應用程式131提供登入資料,使得客戶端130a的應用程式131顯示輸入登入資料的網頁以提供使用者輸入登入資料。在本實施例中,假設登入資料為預先在業務伺服器110a上所註冊的帳號與密碼。
在使用者操作客戶端130a在應用程式131中輸入先前在業務伺服器110a上所註冊的帳號與密碼後,客戶端130a的應用程式131可以將登入資料傳送給業務伺服器110a。若被傳送的登入資料沒有通過業務伺服器110a的驗證,則業務伺服器110a可以再次要求客戶端130a的應用程式131提供登入資料;而若登入資料通過業務伺服器110a的驗證,則業務伺服器110a可以將客戶端130a的應用程式131登入業務伺服器110a(步驟211),並可以將網頁程式傳送至客戶端130a的應用程式131。在本實施例中,網頁程式為符合HTML 5規範的腳本。
在客戶端130a的應用程式131接收到業務伺服器110a所傳送的網頁程式後,可以執行所接收到的網頁程式(步驟215)。在本實施例中,若網頁程式包含在表示登入成功的網頁中,則客戶端130a的應用程式131可以成功登入業務伺服器110a時,也就是在載入表示登入成功的網頁時,執行網頁程式;而若網頁程式包含在如「第3A圖」之交易網頁310中,則客戶端130a的應用程式131可以在下載交易網頁310時,或是使用者操作客戶端130點擊交易網頁310中的交易按鍵311a或交易按鍵311b以進行交易時,執行網頁程式。
在客戶端130a的應用程式131執行業務伺服器110a所傳送的網頁程式後,網頁程式可以先判斷客戶端130a的應用程式131中與業務伺服器110a對應的本地儲存區中是否儲存數位憑證(步驟230)。若客戶端130a的應用程式131中與業務伺服器110a對應的本地儲存區中儲存有數位憑證,則網頁程式可以結束執行,客戶端130a的應用程式131可以由與業務伺服器110a對應的本地儲存區中讀取出與業務伺服器110a對應的數位憑證,並使用所讀出的數位憑證於業務伺服器110a中完成交易(步驟290)。
而若客戶端130a之應用程式131所執行的網頁程式判斷應用程式131中與業務伺服器110a對應的本地儲存區中沒有儲存數位憑證,則應用程式131所執行的網頁程式可以連線到入口伺服器120(步驟240)。在本實施例中,網頁程式在執行時,可以先控制客戶端130a的應用程式131開啟新視窗302,如「第3B圖」所示,再載入包含iframe的網頁,藉以透過iframe連線到入口伺服器120,並透過iframe傳送客戶端130a之應用程式131的程式識別資料給入口伺服器120;網頁程式也可以控制客戶端130a的應用程式131開啟直接連線到入口伺服器120的新視窗302,並透過新視窗302傳送客戶端130a之應用程式131的程式識別資料給入口伺服器120。但網頁程式連線到入口伺服器120的方式並不以上述為限。
在客戶端130a的應用程式131所執行之網頁程式連線到入口伺服器120(步驟240)後,入口伺服器120可以依據包含業務伺服器110a之網域的關聯網域判斷與客戶端130a的應用程式131及業務伺服器110a對應的數位憑證是否存在(步驟250)。在本實施例中,假設入口伺服器120可以先判斷與業務伺服器110a之網域及客戶端130a的應用程式131之程式識別資料對應的數位憑證是否存在,若是,則表示與客戶端130a之應用程式131及業務伺服器110a對應的數位憑證存在;若否,則入口伺服器120可以進一步判斷與業務伺服器110a屬於同一關聯網域之其他伺服器(如業務伺服器110b)所使用的網域及客戶端130a之應用程式131之程式識別資料對應的數位憑證是否存在,若是,則表示與客戶端130a之應用程式131及業務伺服器110a對應的數位憑證存在,入口伺服器120可以讀取與業務伺服器110a屬於同一關聯網域之其他伺服器所使用的網域及客戶端130a之應用程式131之程式識別資料對應的數位憑證,並可以將所讀出的數位憑證傳送到執行網頁程式之客戶端130a的應用程式131。在本實施例中,假設入口伺服器120可以透過HTML 5中之postMessage的方法將數位憑證傳送給客戶端130a的應用程式131。
假設入口伺服器120判斷與業務伺服器110a屬於同一關聯網域之其他業務伺服器110b所使用的網域及客戶端130a之應用程式131之程式識別資料對應的數位憑證不存在,也就是入口伺服器120判斷與客戶端130a之應用程式131及業務伺服器110a對應的數位憑證不存在,則入口伺服器120可以連線到憑證伺服器140為客戶端130的使用者申請與客戶端130a之應用程式131及業務伺服器110a對應的數位憑證(步驟260)。在本實施例中,假設入口伺服器120可以在新視窗302中要求客戶端130a的使用者透過應用程式131輸入身分驗證資料以及憑證密碼,並在接收到客戶端130a的應用程式131所傳送的身分驗證資料以及憑證密碼後,連線至業務伺服器110a驗證身分驗證資料。若身分驗證資料沒有通過驗證,則入口伺服器120可以再次要求輸入身份驗證資料;而若身分驗證資料通過驗證,則入口伺服器120可以將憑證密碼傳送到憑證伺服器140以申請數位憑證。
在入口伺服器120透過憑證伺服器140完成數位憑證的申請,並接收到憑證伺服器140所傳回的數位憑證後,入口伺服器120可以將所申請到的數位憑證儲存為與客戶端130a之應用程式131及業務伺服器110a對應的數位憑證,並可以將所申請到的數位憑證主動佈署至與業務伺服器110a屬於同一關聯網域之所有業務伺服器110b(步驟270),也就是將數位憑證傳送到執行網頁程式之客戶端130a的應用程式131,以及傳送給執行於客戶端130a上的應用程式131等。在本實施例中,假設入口伺服器120可以透過HTML 5中之postMessage的方法傳送數位憑證。
在客戶端130a中之應用程式131接收到入口伺服器120所傳送的數位憑證後,可以將所接收到的數位憑證分別儲存為與業務伺服器110a屬於同一關聯網域之所有業務伺服器110b對應的數位憑證(步驟280)。在本實施例中,假設客戶端130a的應用程式131可以透過HTML 5規範,將數位憑證分別儲存到客戶端130a之應用程式131中與業務伺服器110a以及業務伺服器110b對應的本地儲存區中。
在客戶端130a中之應用程式131儲存數位憑證(步驟280)後,客戶端130a的應用程式131可以由與業務伺服器110a對應的本地儲存區中讀取數位憑證,並使用所讀出的數位憑證於業務伺服器110a中完成交易(步驟290)。在本實施例中,客戶端130a的應用程式131可以使用數位憑證對交易資料做簽章,並將交易資料以及簽章傳送給業務伺服器110a以完成證券下單的線上交易。
之後,當相同的使用者使用客戶端130a連線到券商所提供之另一個業務伺服器110b時,業務伺服器110b同樣可以要求客戶端130a的應用程式131提供登入資料,使得使用者可以操作客戶端130a在應用程式131中輸入登入資料後,客戶端130a的應用程式131可以將登入資料傳送給業務伺服器110b。
若登入資料通過業務伺服器110b的驗證,則業務伺服器110b可以將客戶端130a的應用程式131登入業務伺服器110b(步驟211),並可以將網頁程式傳送至客戶端130a的應用程式131,使得客戶端130a的應用程式131執行所接收到的網頁程式(步驟215)。在本實施例中,與上述相同的,若網頁程式包含在表示登入成功的網頁中,則客戶端130a的應用程式131可以成功登入業務伺服器110b時,也就是在載入表示登入成功的網頁時,執行網頁程式;而若網頁程式包含在交易網頁310中,則客戶端130a的應用程式131可以在下載交易網頁310時執行網頁程式,或是可以使用者操作客戶端130在交易網頁310中進行交易時執行網頁程式。
在客戶端130a的應用程式131執行業務伺服器110b所傳送的網頁程式後,業務伺服器110b所傳送的網頁程式可以先判斷客戶端130a之應用程式131中與業務伺服器110b對應的本地儲存區中是否儲存數位憑證(步驟230)。由於客戶端130a的應用程式131先前所執行之業務伺服器110a所傳送的網頁程式已經將與數位憑證儲存至與業務伺服器110b對應的本地儲存區中,因此,業務伺服器110b所傳送的網頁程式可以判斷客戶端130a之應用程式131中與業務伺服器110a對應的本地儲存區中儲存有數位憑證,則業務伺服器110b所傳送的網頁程式可以結束執行,客戶端130a的應用程式131可以直接由與業務伺服器110b對應的本地儲存區中讀取出與業務伺服器110b對應的數位憑證,並使用所讀出的數位憑證於業務伺服器110b中完成交易(步驟290)。
如此,透過本創作,可以在不造成交易流程中斷的條件下,幫助使用者申請數位憑證以完成線上交易。
上述實施例中,在客戶端130a中之應用程式131接收到入口伺服器120所佈署的數位憑證後,儲存所接收到的數位憑證(步驟280)時,客戶端130a的應用程式131可以產生憑證更動訊息並將所產生的憑證更動訊息儲存於與各個業務伺服器110對應的本地儲存區中,客戶端130a的應用程式131在由與業務伺服器110對應的本地儲存區中讀取數位憑證時,可以檢查與業務伺服器110對應的本地儲存區中是否存在憑證更動訊息,若否,則客戶端130a的應用程式131可以直接使用所讀出的數位憑證在業務伺服器110中完成交易(步驟290);若存在憑證更動訊息,則客戶端130a的應用程式131可以依據憑證更動訊息產生並顯示憑證更新提示,並使用所讀出的數位憑證在業務伺服器110中完成交易(步驟290)。
另外,客戶端130a之應用程式131所執行的網頁程式在判斷客戶端130a之應用程式131中與業務伺服器110a對應的本地儲存區中是否儲存數位憑證(步驟230)時,若客戶端130a之應用程式131中與業務伺服器110a對應的本地儲存區中儲存有數位憑證,則應用程式131可以進一步判斷數位憑證是否經被更動,若應用程式131判斷數位憑證被更動,則應用程式131在由與業務伺服器110a對應的本地儲存區中讀取數位憑證時,可以產生並顯示憑證更新提示。
綜上所述,可知本創作與先前技術之間的差異在於具有入口伺服器依據預先設定之關聯網域及業務伺服器之網域判斷與業務伺服器對應之數位憑證不存在時,連線至憑證伺服器申請數位憑證並傳送數位憑證至執行網頁程式的應用程式,以及在數位憑證存在時,傳送數位憑證至執行網頁程式的應用程式,使得應用程式讀取出網頁程式所儲存的數位憑證,並使用數位憑證於業務伺服器中完成交易之技術手段,藉由此一技術手段可以解決先前技術所存在交易過程中可能需要先中斷交易流程改為進行憑證申請流程導致使用者與客服人員困擾的問題,進而達成跨網域使用相同憑證及減少需管理之憑證數量的技術功效。
再者,本創作之跨網域使用於其他伺服器使用之憑證之系統,可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本創作所揭露之實施方式如上,惟所述之內容並非用以直接限定本創作之專利保護範圍。任何本創作所屬技術領域中具有通常知識者,在不脫離本創作所揭露之精神和範圍的前提下,對本創作之實施的形式上及細節上作些許之更動潤飾,均屬於本創作之專利保護範圍。本創作之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110‧‧‧業務伺服器
110a、110b‧‧‧業務伺服器
120‧‧‧入口伺服器
130‧‧‧客戶端
130a‧‧‧客戶端
131‧‧‧應用程式
140‧‧‧憑證伺服器
302‧‧‧新視窗
310‧‧‧交易網頁
311a、311b‧‧‧按鍵
步驟201‧‧‧入口伺服器設定關聯網域
步驟211‧‧‧應用程式登入業務伺服器
步驟215‧‧‧應用程式接收並執行業務伺服器所傳送之網頁程式
步驟230‧‧‧網頁程式判斷應用程式之本地儲存區中是否儲存數位憑證
步驟240‧‧‧網頁程式連線至入口伺服器
步驟250‧‧‧入口伺服器依據關聯網域判斷數位憑證是否存在
步驟260‧‧‧入口伺服器連線至憑證伺服器申請數位憑證
步驟270‧‧‧入口伺服器佈署數位憑證至業務伺服器
步驟280‧‧‧應用程式儲存入口伺服器所傳送的數位憑證
步驟290‧‧‧應用程式讀取數位憑證,並使用數位憑證於業務伺服器中完成交易
第1圖為本創作所提之跨網域使用於其他伺服器使用之憑證之系統架構圖。 第2圖為本創作所提之跨網域使用於其他伺服器使用之憑證之流程圖。 第3A圖為本創作實施例所提之交易網頁示意圖。 第3B圖為本創作實施例所提之連線至入口伺服器以取得數位憑證之示意圖。
Claims (10)
- 一種跨網域使用於其他伺服器使用之憑證之系統,該系統至少包含: 一業務伺服器; 一入口伺服器,用以設定一組關聯網域,該組關聯網域包含該業務伺服器之網域,及用以依據該組關聯網域判斷與該業務伺服器對應之一數位憑證存在時,傳送該數位憑證;及 一客戶端,用以執行一應用程式,該應用程式用以登入該業務伺服器,及用以接收並執行該業務伺服器所傳送之一網頁程式,該網頁程式用以判斷該應用程式中與該業務伺服器對應之一本地儲存區中是否儲存該數位憑證,當該本地儲存區中未儲存該數位憑證時,該網頁程式連線至該入口伺服器,使該應用程式將該入口伺服器所傳回之該數位憑證儲存於該本地儲存區中,當該本地儲存區中已儲存該數位憑證時,該應用程式由該本地儲存區中讀取該數位憑證,並使用該數位憑證於該業務伺服器中完成交易。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該入口伺服器更用以判斷該數位憑證不存在時,連線至一憑證伺服器申請該數位憑證,並傳送該數位憑證至該應用程式,使該應用程式儲存該數位憑證,藉以提供該應用程式讀取該數位憑證,並使用該數位憑證於該業務伺服器中完成交易。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該入口伺服器是先判斷與該業務伺服器之網域及該應用程式之程式識別資料對應之該數位憑證是否存在,並在與該業務伺服器及該應用程式對應之該數位憑證不存在時,再依據與該組關聯網域所包含之所有其他業務伺服器之網域及該應用程式之程式識別資料對應之該數位憑證是否存在判斷與該業務伺服器對應之該數位憑證是否存在。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該入口伺服器更用以傳送該數位憑證至使用該組關聯網域所包含之其他網域之其他伺服器。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該應用程式更用以將接收自該入口伺服器之該數位憑證分別儲存到屬於該組關聯網域之所有業務伺服器所對應的本地儲存區中。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該業務伺服器是在該應用程式登入業務伺服器時傳送該網頁程式至該應用程式,或是在該應用程式進行交易時傳送該網頁程式至該應用程式。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該應用程式是在登入該業務伺服器後、由該業務伺服器載入交易頁面後、或交易過程中執行該網頁程式。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該應用程式更用以於接收到該數位憑證時產生一憑證更動訊息,及依據該憑證更動訊息於該客戶端上顯示憑證更新提示。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該應用程式更用以於該網頁程式判斷該本地儲存區中已儲存該數位憑證時,依據該本地儲存區中是否存在一憑證更動訊息或依據該數位憑證之修改時間是否改變判斷該數位憑證是否被更動,並於判斷該數位憑證被更動時產生並顯示憑證更新提示。
- 如申請專利範圍第1項所述之跨網域使用於其他伺服器使用之憑證之系統,其中該入口伺服器是透過該業務伺服器傳送該數位憑證至該應用程式,或直接傳送該數位憑證至該應用程式。
Family
ID=
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI694348B (zh) * | 2019-01-14 | 2020-05-21 | 臺灣網路認證股份有限公司 | 透過多媒體檔案匯出與匯入憑證之系統及方法 |
| TWI767113B (zh) * | 2019-03-19 | 2022-06-11 | 彰化商業銀行股份有限公司 | 使用實體載具儲存數位憑證以進行線上交易之系統及方法 |
| TWI769028B (zh) * | 2021-07-27 | 2022-06-21 | 玉山綜合證券股份有限公司 | 證券下單驗證方法 |
| TWI781071B (zh) * | 2021-07-27 | 2022-10-11 | 玉山綜合證券股份有限公司 | 證券下單驗證方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI694348B (zh) * | 2019-01-14 | 2020-05-21 | 臺灣網路認證股份有限公司 | 透過多媒體檔案匯出與匯入憑證之系統及方法 |
| TWI767113B (zh) * | 2019-03-19 | 2022-06-11 | 彰化商業銀行股份有限公司 | 使用實體載具儲存數位憑證以進行線上交易之系統及方法 |
| TWI769028B (zh) * | 2021-07-27 | 2022-06-21 | 玉山綜合證券股份有限公司 | 證券下單驗證方法 |
| TWI781071B (zh) * | 2021-07-27 | 2022-10-11 | 玉山綜合證券股份有限公司 | 證券下單驗證方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8819801B2 (en) | Secure machine enrollment in multi-tenant subscription environment | |
| EP2756444B1 (en) | Resource access authorization | |
| US9569602B2 (en) | Mechanism for enforcing user-specific and device-specific security constraints in an isolated execution environment on a device | |
| US20230120160A1 (en) | Authentication aggregator | |
| US20210377248A1 (en) | Authentication token refresh | |
| JP2014153805A (ja) | 情報処理システム、情報処理装置、認証方法及びプログラム | |
| TWI644276B (zh) | 於線上完成開戶並申請行動銀行之系統及其方法 | |
| TWM539667U (zh) | 透過載具線上申請憑證以進行網路交易之系統 | |
| TWM618092U (zh) | 自動化網域驗證的憑證管理系統 | |
| TWM641468U (zh) | 透過第三方平台的電子憑證與數位證明驗證系統 | |
| TWM539668U (zh) | 於線上完成開戶並申請行動銀行之系統 | |
| TWM592629U (zh) | 身份確認時取得附加資料以執行對應作業之系統 | |
| TWM642428U (zh) | 於非營業時間進行金融交易的防範與驗證系統 | |
| TWI690820B (zh) | 以嵌入式瀏覽器模組管理憑證之系統及方法 | |
| TWM571518U (zh) | A system for cross-domain use of credentials used by other servers | |
| TWM583978U (zh) | 使用實體載具儲存數位憑證以進行線上交易之系統 | |
| TWM580295U (zh) | System and computing device for managing credentials by embedded browser module | |
| TWI664590B (zh) | 透過入口伺服器於關聯網域使用相同憑證之系統及方法 | |
| TWI746920B (zh) | 透過入口伺服器跨網域使用憑證進行認證之系統及方法 | |
| TWM574269U (zh) | 依客戶環境選擇資料傳遞方式以進行憑證作業之系統 | |
| TWM576680U (zh) | System for authenticating credentials across the domain through the portal server | |
| US11316843B1 (en) | Systems for authenticating users from a separate user interface | |
| TWI691859B (zh) | 依服務指令進行身份確認以執行對應服務之系統及方法 | |
| TWI767113B (zh) | 使用實體載具儲存數位憑證以進行線上交易之系統及方法 | |
| TWI645345B (zh) | 透過交易信物執行憑證作業之系統、裝置及其方法 |