TWM606867U - 以線上快速認證之認證機制啟用數位憑證之系統 - Google Patents
以線上快速認證之認證機制啟用數位憑證之系統 Download PDFInfo
- Publication number
- TWM606867U TWM606867U TW109212768U TW109212768U TWM606867U TW M606867 U TWM606867 U TW M606867U TW 109212768 U TW109212768 U TW 109212768U TW 109212768 U TW109212768 U TW 109212768U TW M606867 U TWM606867 U TW M606867U
- Authority
- TW
- Taiwan
- Prior art keywords
- authentication
- certificate
- verification
- data
- server
- Prior art date
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一種以線上快速認證之認證機制啟用數位憑證之系統,其透過客戶端依據被輸入之生物特徵取得與被選擇之數位憑證對應的認證私鑰,並使用認證私鑰產生驗證資料後,傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,並依據驗證結果選擇是否使用認證私鑰簽章之技術手段,可以使用生物特徵保護私鑰,並達成在 FIDO 架構上使用數位憑證的技術功效。
Description
一種憑證啟用系統,特別係指一種以線上快速認證之認證機制啟用數位憑證之系統。
認證公鑰基礎架構(Public Key Infrastructure, PKI),又稱公開金鑰基礎架構、公開金鑰基礎建設、認證公鑰基礎建設、認證公鑰基礎設施、或公開密碼基礎建設等,是一組由硬體、軟體、參與者、管理政策與流程組成的基礎架構,其目的在於創造、管理、分配、使用、儲存以及復原數位憑證。由密碼學的角度,公開金鑰基礎建設藉著數位憑證認證機構(CA)將使用者的個人身分跟公開金鑰鏈結在一起。同時,對每個認證機構而言,使用者的身分必須是唯一的。
一般在使用認證公鑰基礎架構的過程中,使用者在產生金鑰對並進行憑證申請時,需要建立一組密碼,並使用所建立的密碼存取金鑰對中的認證私鑰。然而,隨著竊聽、盜錄等影響網路安全的技術不斷進步,單純使用密碼的安全性已經不再足夠,因此,使用密碼保護認證私鑰之認證公鑰基礎架構的安全性也可能受到挑戰。此外,為避免密碼被猜測、暴力破解,對密碼之複雜度要求與日俱增,同時也要求需定期變更,此一影響雖然加強使用密碼之強度,但也導致使用者不易記憶密碼,導致使用者在使用憑證時覺得不方便。
綜上所述,可知先前技術中長期以來一直存在公鑰基礎架構使用密碼保護私鑰不夠方便但又需兼顧安全的問題,因此有必要提出改進的技術手段,來解決此一問題。
有鑒於先前技術存在公鑰基礎架構使用密碼保護私鑰可能已不夠方便但又需兼顧安全的問題,本創作遂揭露一種以線上快速認證之認證機制啟用數位憑證之系統,其中:
本創作所揭露之以線上快速認證之認證機制啟用數位憑證之系統,至少包含:身分認證伺服器;客戶端,其中更包含:輸入模組,用以輸入生物特徵,及用以選擇數位憑證,數位憑證對應金鑰對,金鑰對包含認證公鑰及認證私鑰;資料存取模組,用以使用生物特徵取得認證私鑰;資料處理模組,用以使用認證私鑰產生驗證資料;通訊模組,用以傳送驗證資料至身分認證伺服器,使身分認證伺服器使用認證公鑰驗證驗證資料以產生相對應之驗證結果,及用以接收驗證結果;作業處理模組,用以於驗證結果表示驗證資料通過驗證時,使用認證私鑰簽章。
本創作所揭露之系統如上,與先前技術之間的差異在於本創作透過客戶端依據被輸入之生物特徵取得與被選擇之數位憑證對應的認證私鑰,並使用認證私鑰產生驗證資料後,傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,並依據驗證結果選擇是否使用認證私鑰簽章,藉以解決先前技術所存在的問題,並可以達成在 FIDO 架構上使用數位憑證之技術功效。公鑰基礎架構使用密碼保護私鑰可能已不夠安全的
以下將配合圖式及實施例來詳細說明本創作之特徵與實施方式,內容足以使任何熟習相關技藝者能夠輕易地充分理解本創作解決技術問題所應用的技術手段並據以實施,藉此實現本創作可達成的功效。
以下先以「第1圖」本創作所提之以線上快速認證之認證機制啟用數位憑證之系統架構圖來說明本創作的運作。如「第1圖」所示,本創作之系統含有身分認證伺服器110、客戶端150,及可附加的憑證管理伺服器120、憑證驗證伺服器130。
身分認證伺服器110透過有線或無線網路與憑證管理伺服器120、憑證驗證伺服器130、及客戶端150連接。
身分認證伺服器110可以判斷客戶端150所傳送之服務請求所請求的服務類型,當服務請求是請求FIDO架構的服務時,身分認證伺服器110可以依據客戶端150所傳送的資料或訊號提供對應的FIDO服務,例如註冊與客戶端150所使用之認證私鑰(private key)對應的認證公鑰(public key)等;而當服務請求為請求憑證管理或憑證驗證的服務時,身分認證伺服器110可以將客戶端150所傳送的服務請求轉送給憑證管理伺服器120或憑證驗證伺服器130,並可以將憑證管理伺服器120或憑證驗證伺服器130所產生的資料或訊號轉送回客戶端150。
身分認證伺服器110也可以產生挑戰值(challenge),並可以產生包含所產生之挑戰值及其他參數的確認資料(如FIDO架構中的註冊請求),及可以將所產生的確認資料傳送給客戶端150。本創作所提之挑戰值為經過加密之一定長度的字串;本創作所提之其他參數包含但不限於使用者資訊(如使用者識別碼)等。
憑證管理伺服器120可以透過有線或無線網路與身分認證伺服器110連接,也可以接收身分認證伺服器110所傳送之資料或訊號,並可以傳送資料或訊號給身分認證伺服器110。
憑證管理伺服器120可以接收身分認證伺服器110所傳送的憑證管理請求,並提供與所接收到之憑證管理請求相對應的憑證管理服務。其中,憑證管理請求包含但不限於申請數位憑證的憑證簽署要求(Certificate Signing Request, CSR)、查詢數位憑證的憑證查詢要求、更新數位憑證的憑證更新要求;憑證管理服務包含但不限於憑證查詢、憑證申請、憑證展期/更新等。
更詳細的,憑證管理伺服器120可以是憑證認證伺服器、或可以包含透過有線或無線網路連接的憑證註冊伺服器及憑證認證伺服器。當憑證管理伺服器120為憑證認證伺服器時,憑證管理伺服器120可以處理接收到的所有憑證管理請求(如讀取數位憑證的效期/狀態、簽發數位憑證、延展數位憑證的效期等)並產生相對應的處理結果,及可以將所產生之處理結果透過身分認證伺服器110傳回客戶端150。而若憑證管理伺服器120包含憑證註冊伺服器及憑證認證伺服器,則憑證註冊伺服器可以與身分認證伺服器110連接,在接收到身分認證伺服器110所傳送的憑證管理請求時,可以依據所接收到的憑證管理請求選擇是否由自身處理或是轉送憑證認證伺服器處理。例如,當憑證管理請求為憑證效期/狀態查詢時,憑證註冊伺服器可以選擇自身處理,也就是讀取數位憑證的效期/狀態並透過身分認證伺服器110將所讀出之數位憑證的效期/狀態傳回客戶端150;又如,當憑證管理請求為憑證申請時,憑證註冊伺服器可以選擇將憑證處理請求轉送給憑證認證伺服器處理,也就是當身分認證伺服器110轉送客戶端150所發出之憑證簽署要求給憑證註冊伺服器時,憑證註冊伺服器可以將憑證簽署要求傳送給憑證認證伺服器,使憑證認證伺服器依據憑證簽署要求中的資料簽發數位憑證,並透過憑證註冊伺服器及身分認證伺服器110將所簽發的數位憑證傳回發出憑證簽署要求的客戶端150。
憑證驗證伺服器130透過有線或無線網路與身分認證伺服器110連接,負責依據身分認證伺服器110所傳送之資料或訊號提供對應的憑證驗證服務。例如,當身分認證伺服器110轉送客戶端150所發出之憑證驗證請求至憑證驗證伺服器130時,憑證驗證伺服器130可以依據憑證驗證請求中的簽章值對憑證驗證請求中的資料進行驗證,並透過身份認證伺服器110將驗證後產生之驗證結果傳回發出憑證驗證請求的客戶端150。
客戶端150可以透過有線或無線網路與身分認證伺服器110連接。其中,需要特別說明的是,客戶端150不論是向身分認證伺服器110請求FIDO服務或是憑證相關服務,傳送給身分認證伺服器110的服務請求都會符合FIDO架構所定義的格式。
客戶端150可以提供使用者申請數位憑證並註冊及使用FIDO服務,也可以提供使用者透過FIDO服務使用數位憑證。其中,客戶端150可以如「第2圖」之元件示意圖所示,包含安全元件201與瀏覽元件205。
安全元件201可以是硬體元件,如可信平台模組(Trusted Platform Module, TPM)、可信賴執行環境(Trusted Execution Environment, TEE)、或特定的晶片等,也可以是由執行於客戶端150上之作業系統或軟體程式模擬出之可讀寫特定儲存空間的虛擬元件,本創作沒有特別的限制。
安全元件201負責儲存認證私鑰及數位憑證,安全元件也可以儲存識別碼(rawID)。本創作所提之識別碼為唯一值,通常可以代表客戶端150的使用者。一般而言,識別碼可以由使用者識別資料、隨機資料、時間戳記、及/或客戶端150的裝置識別資料等資料產生,例如對上述一個或多個資料進行Base64編碼等,但產生識別碼之資料與方式並不以上述為限。其中,使用者識別資料包含但不限於客戶端150之使用者的身分證號、護照號碼、簽證號碼等可以代表客戶端150之使用者的資料;裝置識別資料包含但不限於客戶端150的產品序號、客戶端150上之特定硬體元件的序號等。
瀏覽元件205可以透過網頁提供使用者註冊並使用FIDO服務,也可以提供使用者透過FIDO架構使用數位憑證。其中,瀏覽元件205更可以包含輸入模組210、資料存取模組220、資料處理模組230、通訊模組240、作業處理模組250,及可附加的金鑰產生模組270。
輸入模組210負責輸入生物特徵。輸入模組210所輸入之生物特徵通常為指紋或人臉,但本創作並不以此為限。
輸入模組210也負責選擇數位憑證。在本創作中,輸入模組210所選擇的數位憑證已與客戶端150綁定。一般而言,一個數位憑證對應一組金鑰對(key pair),且金鑰對包含認證公鑰及認證私鑰。其中,金鑰對可以是由任何一種橢圓曲線密碼學(Elliptic Curve Cryptography, ECC)的演算法所產生。
資料存取模組220負責使用輸入模組210所輸入之生物特徵取得儲存於安全元件201中的認證私鑰及/或數位憑證。一般而言,資料存取模組220可以呼叫瀏覽元件205所包含之用於網頁驗證的應用程式介面(API),藉以取得儲存於安全元件201中的認證私鑰及/或數位憑證。
資料存取模組220也可以先驗證輸入模組210所輸入之生物特徵,並可以在生物特徵通過驗證後,再由安全元件中讀取出認證私鑰及/或數位憑證。
通訊模組240可以透過有線或無線網路與身分認證伺服器110連接。通訊模組240可以向身分認證伺服器110請求確認資料,並接收身分認證伺服器110所傳回的確認資料。
通訊模組240也負責將資料處理模組230所產生之包含驗證資料的憑證驗證請求傳送給身分認證伺服器110,使得身分認證伺服器110將憑證驗證請求轉送給憑證驗證伺服器130,並可以接收憑證驗證伺服器130透過身分認證伺服器110所傳回的驗證結果。
相似的,通訊模組240也可以將資料處理模組230所產生之憑證管理請求傳送給身分認證伺服器110,藉以透過身分認證伺服器110將憑證管理請求轉送給憑證管理伺服器120,在部分的實施例中,通訊模組240還可以透過身分認證伺服器110接收憑證管理伺服器120所傳回的數位憑證。
資料處理模組230負責使用資料存取模組220所取得的認證私鑰產生驗證資料。一般而言,資料處理模組230可以先使用資料存取模組220所取得之認證私鑰對通訊模組240所接收到的確認資料簽章,再產生包含簽章所產生之簽章值的驗證資料,但本創作並不以此為限。
資料處理模組230也可以產生與FIDO架構相容之憑證驗證請求。資料處理模組230所產生的憑證驗證請求包含所產生之驗證資料,也可以包含資料存取模組220所取得的數位憑證。在大多數的實施例中,憑證驗證請求還可以包含通訊模組240所接收到的確認資料或預先產生的交易資料。
資料處理模組230也可以產生包含資料存取模組220所取得之識別碼的認證資訊。資料處理模組230所產生的認證資訊與FIDO架構相容。
資料處理模組230也可以產生格式與FIDO架構相容之憑證管理請求。舉例來說,資料處理模組230可以先產生憑證簽署要求,並可以產生包含憑證簽署要求及認證資訊的憑證管理請求。
作業處理模組250負責依據通訊模組240所接收到的驗證結果選擇是否使用認證私鑰進行簽章。當驗證結果表示資料處理模組230所產生的驗證資料通過驗證時,作業處理模組250可以使用認證私鑰簽章;而當驗證結果表示資料處理模組230所產生的驗證資料沒有通過驗證時,作業處理模組250可以不使用認證私鑰簽章。
作業處理模組250也可以在選擇使用認證私鑰簽章時,使用資料存取模組220所取得的認證私鑰對通訊模組240接收自身分認證伺服器110的確認資料或預先產生的交易資料簽章以產生簽章值。
金鑰產生模組270負責產生金鑰對,金鑰產生模組270所產生的金鑰對可以被資料存取模組220儲存到安全元件201中。金鑰產生模組270所產生的金鑰對可以在FIDO架構中使用,也就是說,金鑰產生模組270可以使用任何一種橢圓曲線密碼學的演算法產生金鑰對。
接著以一個實施例來解說本創作的運作系統,並請參照「第3A圖」本創作所提之以線上快速認證之認證機制啟用數位憑證之流程圖。在本實施例中,假設客戶端150為智慧型手機,並假設客戶端150中安裝有與本創作相容且包含瀏覽元件205的應用程式,但本創作並不以為限。其中,包含瀏覽元件205的應用程式可以是瀏覽器APP、或包含瀏覽元件的任意APP。
當客戶端150執行應用程式時,本創作上述之各模組可以被產生。在本實施例中,若應用程式已經完成綁定作業,也就是客戶端150中的安全元件201已儲存有客戶端150之使用者所擁有的認證私鑰及一個以上的數位憑證。
若在使用者使用應用程式的過程中,應用程式要求使用者進行簽章,例如,在購物網站或購物APP中結帳時,應用程式的輸入模組210可以提供使用者選擇欲使用的數位憑證(步驟320)。在本實施例中,假設輸入模組210可以在客戶端150上顯示所有完成綁定之數位憑證的相關訊息,藉以提供使用者選擇欲使用的數位憑證,其中,輸入模組210可以在完成綁定之數位憑證只有一個時,直接選擇已綁定的數位憑證。
在客戶端150的輸入模組210選擇數位憑證(步驟320)後,輸入模組210可以提供使用者輸入生物特徵(步驟330)。在本實施例中,假設使用者所輸入之生物特徵為指紋。
在客戶端150的輸入模組210輸入生物特徵(步驟330)後,客戶端150的資料存取模組220可以使用輸入模組210所輸入的生物特徵由客戶端150的安全元件201中取得認證私鑰(步驟350)。在本實施例中,假設資料存取模組220可以先呼叫FIDO架構中之用於驗證生物特徵的應用程式介面以驗證被輸入的生物特徵,並可以在生物特徵通過驗證後,呼叫FIDO架構中之用於讀取資料的應用程式介面,藉以由安全元件201中讀出識別碼與認證私鑰。
在客戶端150的資料存取模組220取得認證私鑰後,客戶端150中的資料處理模組230可以使用資料存取模組220所取得的認證私鑰產生驗證資料,客戶端150的通訊模組240可以將資料處理模組230所產生的驗證資料傳送給身分認證伺服器(步驟360)。在本實施例中,假設資料處理模組230可以先透過通訊模組240連線至身分認證伺服器110取得包含挑戰值的確認資料,並可以使用輸入模組210所取得之認證私鑰對確認資料簽章而產生簽章值後,可以產生包含所產生之簽章值及資料存取模組220所取得之識別碼的驗證資料,並可以透過通訊模組240將所產生的驗證資料傳送給身分認證伺服器110。
在身分認證伺服器110接收到客戶端150所傳送的驗證資料後,身分認證伺服器110可以使用客戶端150之使用者所擁有的認證公鑰驗證所接收到的驗證資料,並可以在驗證後產生相對應的驗證結果,及可以將所產生的驗證結果傳回客戶端150(步驟370)。在本實施例中,假設身分認證伺服器110可以由驗證資料中讀出簽章值及識別碼,並可以將所讀出之簽章值及識別碼及先前傳送給客戶端150的確認資料傳送給憑證驗證伺服器130;憑證驗證伺服器130可以在接收到身分認證伺服器110所傳送的簽章值、識別碼、與確認資料後,依據識別碼取得客戶端150之使用者的認證公鑰,並可以依據所取得的認證公鑰、所接收到的確認資料及簽章值產生驗證結果,及可以將所產生的驗證結果傳回身分認證伺服器110;身分認證伺服器110在接收到憑證驗證伺服器130所產生的驗證結果後,可以將所接收到的驗證結果傳送給客戶端150。
在客戶端150中的通訊模組240接收到身分認證伺服器110所傳送的驗證結果後,客戶端150中的作業處理模組250可以依據驗證結果選擇是否使用該認證私鑰簽章(步驟380)。在本實施例中,作業處理模組250可以在驗證結果表示資料處理模組230所產生的驗證資料通過驗證時,選擇使用該認證私鑰對結帳所產生的交易資料簽章,藉以完成結帳作業;而若驗證結果表示驗證資料沒有通過驗證,則作業處理模組250可以選擇不使用認證私鑰簽章,並可以在客戶端150上顯示憑證啟用失敗的提示訊息。
如此,透過本創作,便可以結合FIDO與認證公鑰基礎架構的優點,使得在FIDO架構下也能使用在FIDO架構中使用的認證私鑰進行憑證作業。
上述實施例中,在客戶端150執行應用程式後,若客戶端150的輸入模組210判斷客戶端150尚未完成任何數位憑證的綁定作業,也就是客戶端150的安全元件201中沒有儲存任何的認證私鑰與相對應的數位憑證,則如「第3B圖」之流程所示,客戶端150的金鑰產生模組270可以產生金鑰對(步驟301)。在本實施例中,假設金鑰產生模組270可以透過FIDO指令使用橢圓曲線密碼學演算法產生金鑰對,並可以產生包含使用者識別資料的識別碼。
接著,客戶端150的資料處理模組230可以透過客戶端150的通訊模組240連線至身分認證伺服器110取得包含不同挑戰值的另一個確認資料(以下將以第二確認資料表示),並可以使用金鑰產生模組270所產生之認證私鑰對第二確認資料簽章而產生簽章值。
之後,客戶端150中的資料處理模組230可以產生包含金鑰產生模組270所產生之認證公鑰的憑證簽署要求並可以產生包含資料存取模組220所取得之識別碼的認證資訊,及可以產生包含憑證簽署要求與認證資訊的服務請求,客戶端150中的通訊模組240可以將資料處理模組230所產生的服務請求傳送給身分認證伺服器110(步驟305),藉以讓客戶端150向身分認證伺服器110註冊使用FIDO服務,同時透過身分認證伺服器110向憑證管理伺服器120申請數位憑證。
在身分認證伺服器110接收到客戶端150所傳送的服務請求後,身分認證伺服器110可以依據服務請求中的認證資訊註冊服務請求所包含的認證公鑰,藉以讓客戶端150註冊使用FIDO服務。
另外,身分認證伺服器110還可以將所接收到的憑證簽署要求傳送給憑證管理伺服器120,使得憑證管理伺服器120可以由所接收到的憑證簽署要求中取得客戶端150所產生的認證公鑰等資料並對所取得的資料進行簽署以產生數位憑證。身分認證伺服器110在接收到憑證管理伺服器120所傳回的數位憑證後,可以將所接收到的數位憑證傳送給客戶端150(步驟311),使得客戶端150取得可以在簽章時使用的數位憑證。在本實施例中,假設憑證管理伺服器120包含憑證註冊伺服器與憑證認證伺服器,則在憑證註冊伺服器接收到身分認證伺服器所傳送的憑證簽署要求後,可以產生包含所接收到之憑證簽署要求的憑證申請資料,並對所產生之憑證申請資料簽章後,產生將憑證申請資料及相對應的簽章值傳送給憑證認證伺服器。之後,憑證認證伺服器可以在使用所接收到的簽章值成功驗證所接收到的憑證申請資料後,對憑證簽署要求中的認證公鑰簽章,並產生包含憑證簽署要求中之認證公鑰及相對應之簽章值的數位憑證,及將數位憑證傳回憑證註冊伺服器,使憑證註冊伺服器將數位憑證傳送給身分認證伺服器110。
在客戶端150中的通訊模組240接收到身分認證伺服器110所傳送的數位憑證後,客戶端150的資料存取模組220可以將通訊模組240所接收到的數位憑證及客戶端150的金鑰產生模組270所產生的認證私鑰儲存到客戶端150的安全元件201中(步驟315),如此,客戶端150便完成數位憑證的綁定作業。
綜上所述,可知本創作與先前技術之間的差異在於具有客戶端依據被輸入之生物特徵取得與被選擇之數位憑證對應的認證私鑰,並使用認證私鑰產生驗證資料後,傳送驗證資料至身分認證伺服器,使身分認證伺服器使用與認證私鑰對應之認證公鑰驗證驗證資料,並依據驗證結果選擇是否使用認證私鑰簽章之技術手段,藉由此一技術手段可以來解決先前技術所存在公鑰基礎架構使用密碼保護私鑰可能已不夠安全的問題,進而達成在 FIDO 架構上使用數位憑證之技術功效。
再者,本創作之以線上快速認證之認證機制啟用數位憑證之系統,可實現於硬體、軟體或硬體與軟體之組合中,亦可在電腦系統中以集中方式實現或以不同元件散佈於若干互連之電腦系統的分散方式實現。
雖然本創作所揭露之實施方式如上,惟所述之內容並非用以直接限定本創作之專利保護範圍。任何本創作所屬技術領域中具有通常知識者,在不脫離本創作所揭露之精神和範圍的前提下,對本創作之實施的形式上及細節上作些許之更動潤飾,均屬於本創作之專利保護範圍。本創作之專利保護範圍,仍須以所附之申請專利範圍所界定者為準。
110:身分認證伺服器
120:憑證管理伺服器
130:憑證驗證伺服器
150:客戶端
201:安全元件
205:瀏覽元件
210:輸入模組
220:資料存取模組
230:資料處理模組
240:通訊模組
250:作業處理模組
270:金鑰產生模組
步驟301:客戶端產生金鑰對
步驟305:客戶端產生包含憑證簽署要求及認證資訊之服務請求並傳送服務請求至身分認證伺服器
步驟311:身分認證伺服器傳送憑證簽署要求至憑證管理伺服器並將憑證管理伺服器所傳回之數位憑證傳送至客戶端
步驟315:客戶端儲存認證私鑰及數位憑證
步驟320:客戶端選擇數位憑證
步驟330:客戶端輸入生物特徵
步驟350:客戶端使用生物特徵取得認證私鑰
步驟360:客戶端使用認證私鑰產生驗證資料,並傳送驗證資料至身分認證伺服器
步驟370:身分認證伺服器使用認證公鑰驗證驗證資料以產生驗證結果,並傳送驗證結果至客戶端
步驟380:客戶端依據驗證結果選擇是否使用認證私鑰簽章
第1圖為本創作所提之以線上快速認證之認證機制啟用數位憑證之系統架構圖。
第2圖為本創作所提之以線上快速認證之認證機制啟用數位憑證之客戶端之元件示意圖。
第3A圖為本創作所提之以線上快速認證之認證機制啟用數位憑證之流程圖。
第3B圖為本創作所提之以線上快速認證之認證機制申請數位憑證之流程圖。
110:身分認證伺服器
120:憑證管理伺服器
130:憑證驗證伺服器
150:客戶端
Claims (10)
- 一種以線上快速認證之認證機制啟用數位憑證之系統,該系統至少包含: 一身分認證伺服器;及 一客戶端,其中更包含: 一輸入模組,用以輸入一生物特徵,及用以選擇一數位憑證,該數位憑證對應一金鑰對,該金鑰對包含一認證公鑰及一認證私鑰; 一資料存取模組,用以使用該生物特徵取得該認證私鑰; 一資料處理模組,用以使用該認證私鑰產生一驗證資料; 一通訊模組,用以傳送該驗證資料至該身分認證伺服器,使該身分認證伺服器使用該認證公鑰驗證該驗證資料以產生相對應之一驗證結果,及用以接收該驗證結果;及 一作業處理模組,用以於該驗證結果表示該驗證資料通過驗證時,啟用該數位憑證。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該資料存取模組更用以驗證該生物特徵,並於該生物特徵通過驗證後,由安全元件中讀取該認證私鑰。
- 請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該客戶端更包含一安全元件,該資料存取模組是透過呼叫FIDO應用程式介面(API)由該安全元件中存取該認證私鑰。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該資料處理模組更用以透過該通訊模組向該身分認證伺服器請求一確認資料,並使用該認證私鑰對該確認資料簽章以產生該驗證資料。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該系統更包含一憑證驗證伺服器,用以接收該身分認證伺服器所傳送之該驗證資料,並依據該驗證資料產生該驗證結果,及用以傳送該驗證結果至該身分認證伺服器。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該客戶端更包含一金鑰產生模組,用以產生該金鑰對。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該身分認證伺服器更用以依據該客戶端所傳送之一服務請求之服務類型選擇由該身分認證伺服器執行該服務請求或轉送該服務請求。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該資料處理模組更用以產生包含一憑證簽署要求及一認證資訊之一服務請求,該通訊模組更用以傳送該服務請求至該身分認證伺服器,該身分認證伺服器更用以傳送該憑證簽署要求至一憑證管理伺服器申請該數位憑證並將該數位憑證傳送至該客戶端,該資料存取模組更用以儲存認證金鑰及該數位憑證至安全元件。
- 如請求項1所述之以線上快速認證之認證機制啟用數位憑證之系統,其中該生物特徵為指紋、虹膜、或人臉。
- 如請求項1所述之以線上快速認證之硬體載具認證並簽章之系統,其中該身分認證伺服器更用以註冊該認證公鑰。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109212768U TWM606867U (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之認證機制啟用數位憑證之系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW109212768U TWM606867U (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之認證機制啟用數位憑證之系統 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TWM606867U true TWM606867U (zh) | 2021-01-21 |
Family
ID=75239100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW109212768U TWM606867U (zh) | 2020-09-26 | 2020-09-26 | 以線上快速認證之認證機制啟用數位憑證之系統 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWM606867U (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI772225B (zh) * | 2021-11-11 | 2022-07-21 | 中華電信股份有限公司 | 一種基於fido之打卡系統、方法及其電腦可讀媒介 |
| TWI813905B (zh) * | 2020-09-26 | 2023-09-01 | 臺灣網路認證股份有限公司 | 以線上快速認證之認證機制啟用數位憑證之系統及方法 |
-
2020
- 2020-09-26 TW TW109212768U patent/TWM606867U/zh unknown
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI813905B (zh) * | 2020-09-26 | 2023-09-01 | 臺灣網路認證股份有限公司 | 以線上快速認證之認證機制啟用數位憑證之系統及方法 |
| TWI772225B (zh) * | 2021-11-11 | 2022-07-21 | 中華電信股份有限公司 | 一種基於fido之打卡系統、方法及其電腦可讀媒介 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10616222B2 (en) | Authenticator centralization and protection based on authenticator type and authentication policy | |
| US9860245B2 (en) | System and methods for online authentication | |
| WO2020062668A1 (zh) | 一种身份认证方法、身份认证装置及计算机可读介质 | |
| US20180144114A1 (en) | Securing Blockchain Transactions Against Cyberattacks | |
| US9596089B2 (en) | Method for generating a certificate | |
| US7689832B2 (en) | Biometric-based system and method for enabling authentication of electronic messages sent over a network | |
| KR101863953B1 (ko) | 전자 서명 서비스 시스템 및 방법 | |
| TW201741922A (zh) | 一種基於生物特徵的安全認證方法及裝置 | |
| CN112953970B (zh) | 一种身份认证方法及身份认证系统 | |
| US20100042848A1 (en) | Personalized I/O Device as Trusted Data Source | |
| CA3045817A1 (en) | Anytime validation for verification tokens | |
| US20070255951A1 (en) | Token Based Multi-protocol Authentication System and Methods | |
| US20170005800A9 (en) | Reading of an attribute from an id token | |
| CN101335754B (zh) | 一种利用远程服务器进行信息验证的方法 | |
| JP7309261B2 (ja) | 生体決済機器の認証方法、生体決済機器の認証装置、コンピュータ機器、及びコンピュータプログラム | |
| CN111641615A (zh) | 一种基于证书的分布式身份验证方法及系统 | |
| WO2013044192A2 (en) | Securing transactions against cyberattacks | |
| TWM595792U (zh) | 跨平台授權存取資源的授權存取系統 | |
| US20230133418A1 (en) | Personalised, server-specific authentication mechanism | |
| TWM606867U (zh) | 以線上快速認證之認證機制啟用數位憑證之系統 | |
| TWM594186U (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及系統 | |
| TWI772908B (zh) | 以線上快速認證之硬體載具認證並簽章之系統及方法 | |
| TWM607988U (zh) | 以線上快速認證之硬體載具認證並簽章之系統 | |
| TWI720738B (zh) | 結合線上快速認證及公鑰基礎架構以識別身分之裝置及方法 | |
| TWI813905B (zh) | 以線上快速認證之認證機制啟用數位憑證之系統及方法 |