TWM640772U - 憑證系統 - Google Patents
憑證系統 Download PDFInfo
- Publication number
- TWM640772U TWM640772U TW111209455U TW111209455U TWM640772U TW M640772 U TWM640772 U TW M640772U TW 111209455 U TW111209455 U TW 111209455U TW 111209455 U TW111209455 U TW 111209455U TW M640772 U TWM640772 U TW M640772U
- Authority
- TW
- Taiwan
- Prior art keywords
- certificate
- confirmation code
- public key
- mobile device
- additional
- Prior art date
Links
Images
Landscapes
- Preparation Of Compounds By Using Micro-Organisms (AREA)
- Paper (AREA)
Abstract
一種憑證系統,係透過程序將已經綁定在行動裝置之第一安全晶片上的用戶身分識別資訊、私鑰與公鑰憑證,經由線上身分認證,轉換為綁定在行動裝置之第二安全晶片上的私鑰,並由憑證認證伺服器簽發對應的公鑰憑證,藉以增加其使用性、便利性及安全性。
Description
本創作係有關憑證的請求與簽發,且特別係有關私鑰與公鑰憑證和安全晶片的綁定關係的轉換。
在一種端到端加密(End-to-End Encryption,E2EE)的網際網路協定(Internet Protocol,IP)語音傳輸(Voice over IP,VoIP)通訊中,用戶會事先取得通訊系統核發之用戶身分模組(Subscriber Identity Module,SIM),其中已包含用戶的金鑰對(Key Pair),包括私鑰(Private Key)及公鑰(Public Key)。
當用戶透過手機中的VoIP應用程式登入通訊系統後,可呼叫其他用戶,當被呼叫的用戶同意接聽,在完成呼叫的交握協定後,雙方的VoIP應用程式會運用各自的用戶身分模組中的私鑰及公鑰進行金鑰交換(Key Exchange),以透過金鑰交換的程序產生雙方共同的對話金鑰(Session Key),然後雙方通話的語音資料封包會以對話金鑰進行加密,再透過安全即時傳輸協定(Secure Real-time Transport Protocol,Secure RTP)傳送給對方。每次通話皆會利用雙方的用戶身分模組,以安全方式隨機交換產生共同的對話金鑰,確保意圖竊聽者無法取得用戶的私鑰及通話的對話金鑰,而只有通話雙方可以解密及聽取對方的交談內容。
然目前有些手機的作業系統不能直接存取用戶身分模組,例如,蘋果公司的iOS作業系統並不提供可對用戶身分模組傳送指令的應用程式介面(Application Program Interface,API),若要使用這種手機進行E2EE VoIP,前述的技術方案就不適用,導致其使用性、便利性及安全性不足。
為解決上述問題,本創作提供一種憑證系統,係包括互相通訊連接之行動裝置及憑證認證伺服器,該行動裝置包括內建安全晶片及附加安全晶片,以執行:在該內建安全晶片中產生成對之內建公鑰及內建私鑰;根據該內建私鑰產生憑證請求檔,其中,該憑證請求檔包括用戶身分識別資訊及該內建公鑰;將該憑證請求檔傳送至該憑證認證伺服器,以接收該憑證認證伺服器傳送之確認碼;利用該附加安全晶片中之附加私鑰簽署該確認碼,再將該確認碼傳送至該憑證認證伺服器;以及自該憑證認證伺服器下載公鑰憑證,其中,該公鑰憑證包括該用戶身分識別資訊及該內建公鑰,而該憑證認證伺服器係執行:接收該行動裝置傳送之該憑證請求檔;根據該憑證請求檔產生該確認碼,以將該確認碼傳送至該行動裝置;以及接收已經過該行動裝置之該附加私鑰簽署的該確認碼,再利用對應該附加私鑰之附加公鑰驗證該確認碼,以於該確認碼驗證成功時,簽發該公鑰憑證,再將該公鑰憑證傳送至該行動裝置。
本創作係藉由上述之確認碼的簽署與驗證,關聯內建安全晶片與附加安全晶片之用戶身分,以將用戶與附加安全晶片的金鑰對之間的綁定關係,轉換成用戶與內建安全晶片的金鑰對之間的綁定關係,藉以增加其使用性、便利性及安全性。
101~116:方法步驟
210:行動裝置
220:應用程式
230:內建安全晶片
240:附加安全晶片
241:公鑰架構模組
242:無線通訊模組
250:密碼保護區
260:憑證認證伺服器
310,410:載具
340,440:附加安全晶片
341,441:公鑰架構模組
342,442:無線通訊模組
圖1為根據本創作一實施例的憑證請求方法與憑證簽發方法的流程圖。
圖2為根據本創作一實施例的憑證請求方法與憑證簽發方法的應用環境及其憑證系統示意圖。
圖3為根據本創作一實施例的附加安全晶片與其載具的示意圖。
圖4為根據本創作另一實施例的附加安全晶片與其載具的示意圖。
以下藉由特定的具體實施例說明本創作之實施方式,在本技術領域具有通常知識者可由本說明書所揭示之內容輕易地瞭解本創作之其他優點及功效。
請參照圖1與圖2。圖1為根據本創作一實施例的憑證請求方法與憑證簽發方法的流程圖。以圖1中的垂直虛線為界,虛線左側的步驟屬於圖2中的行動裝置210所執行的憑證請求方法,而虛線右側的步驟則屬於圖2中的憑證認證(Certificate Authority,CA)伺服器260所執行的憑證簽發方法。
在一實施例中,行動裝置210包括應用程式220、內建安全晶片230、附加安全晶片240、以及密碼保護區250。附加安全晶片240包括公鑰架構(Public Key Infrastructure,PKI))模組241及無線通訊模組242。行動裝置210可為智慧型手機或平板電腦。內建安全晶片230內建於行動裝置210的硬體架構
中。附加安全晶片240則可製作成用戶身分模組(Subscriber Identity Module,SIM)安裝在行動裝置210中。在一實施例中,公鑰架構(Public Key Infrastructure,PKI))模組係以PKI程式實現;在其他實施例中,上述模組均可為軟體、硬體或韌體;若為硬體,則可為具有資料處理與運算能力之處理單元、處理器、電腦或伺服器;若為軟體或韌體,則可包括處理單元、處理器、電腦或伺服器可執行之指令,且可安裝於同一硬體裝置或分布於不同的複數硬體裝置。
在本實施例中,附加安全晶片240包含可用於進行E2EE VoIP通訊的金鑰對,然由於行動裝置210的作業系統不能直接存取附加安全晶片240,因此,必須執行圖1所示的憑證請求方法與憑證簽發方法,以將已經綁定在附加安全晶片240上的用戶身分識別資訊、私鑰與公鑰憑證(Public Key Certificate),轉換為綁定在內建安全晶片230上的私鑰,並由憑證認證伺服器260簽發對應的公鑰憑證。之後,內建安全晶片230可用做VoIP E2EE通訊所需的安全元件(Secure Element),以保護內建安全晶片230的私鑰、進行金鑰交換產生對話金鑰、並保護對話金鑰,以進行VoIP E2EE通訊。
在執行圖1的方法流程之前,用戶需要向通訊系統提出申請,以取得通訊系統核發的附加安全晶片240,通訊系統核發的附加安全晶片240已包含用戶的金鑰對,包括私鑰與公鑰(以下分別稱為附加私鑰與附加公鑰),其中,附加私鑰受附加安全晶片240保護,無法從附加安全晶片240匯出,而附加公鑰則可從附加安全晶片240匯出。
用戶可將附加安全晶片240貼合到行動裝置210原有的標準用戶身分模組上,再將貼合後的附加安全晶片240與標準用戶身分模組一起置入行動裝置210中。之後,行動裝置210可透過其用戶身分模組卡槽的接腳介面(未
繪示),將加密、解密及金鑰相關的指令送至附加安全晶片240進行運算,而附加安全晶片240會將原有行動通訊相關之用戶身分模組指令轉發至原有的標準用戶身分模組,再回傳該指令的處理結果至行動裝置210,故不會影響原有的行動通訊功能。
以下說明圖1所示的方法流程。
首先,在步驟101,用戶操作行動裝置210的應用程式220在內建安全晶片230中產生金鑰對,即成對之公鑰與私鑰(以下分別稱為內建公鑰及內建私鑰),其中,內建私鑰受內建安全晶片230保護,無法從內建安全晶片230匯出,而公鑰則可從內建安全晶片230匯出。
在步驟102,應用程式220根據內建私鑰產生憑證請求檔(Certificate Signing Request,CSR)。憑證請求檔可包括行動裝置210的使用者的用戶身分識別資訊(例如用戶名稱或用戶識別碼)及內建公鑰,且憑證請求檔已經過內建私鑰簽署。
在步驟103,應用程式220將憑證請求檔傳送至憑證認證伺服器260。
在步驟104,憑證認證伺服器260接收應用程式220傳送之憑證請求檔。
在步驟105,憑證認證伺服器260根據憑證請求檔產生確認碼。確認碼係根據憑證請求檔及隨機亂數而產生,且確認碼和憑證請求檔彼此間具有一對一的對應關係。
在步驟106,憑證認證伺服器260將確認碼傳送至行動裝置210。
在步驟107,應用程式220接收憑證認證伺服器260傳送之確認碼。
在步驟108,行動裝置210以附加安全晶片240中之附加私鑰簽署確認碼。
然後在步驟109,將已經簽署之確認碼傳送至憑證認證伺服器260。
在本實施例中,行動裝置210的作業系統不提供任何對附加安全晶片240傳送指令的應用程式介面,故應用程式220無法直接存取附加安全晶片240。為完成步驟108及109,用戶可操作附加安全晶片240所提供之功能選單,以令公鑰架構模組241以附加私鑰簽署確認碼,再令無線通訊模組242將已經過簽署的確認碼傳送至憑證認證伺服器260。例如,若行動裝置210為蘋果公司的iPhone,則無線通訊模組242可利用附加安全晶片240的用戶身分模組應用程式工具組(SIM Application Toolkit,STK),透過載送者獨立協定(Bearer Independent Protocol,BIP)的管道及超文本傳輸協定(Hyper Text Transfer Protocol,HTTP)的連線方式,將已經過簽署的確認碼傳送至憑證認證伺服器260。
接著,在步驟110,憑證認證伺服器260接收已經過行動裝置210之附加私鑰簽署的確認碼。
在步驟111,憑證認證伺服器260以對應該附加私鑰之附加公鑰驗證該確認碼。憑證認證伺服器260可儲存多位用戶的附加公鑰,且根據在步驟104接收的憑證請求檔中的用戶身分識別資訊,自上述多位用戶之複數附加公鑰中,取得對應附加安全晶片240之附加私鑰的附加公鑰,以驗證確認碼。該確認碼的驗證包括驗證該確認碼的數位簽章,以及檢查該確認碼是否正確無誤。
若步驟111的驗證失敗,則流程進入步驟112,憑證認證伺服器260不簽發任何公鑰憑證,且不傳送任何公鑰憑證至行動裝置210。若步驟111的驗證成功,表示行動裝置210的使用者即附加安全晶片240所綁定的用戶,則流程進入步驟113。
在步驟113,憑證認證伺服器260簽發公鑰憑證。公鑰憑證係根據在步驟104接收的憑證請求檔而產生,因此,公鑰憑證包括該憑證請求檔中的用戶身分識別資訊及內建公鑰,另包括有效日期等資訊。
在步驟114,憑證認證伺服器260將公鑰憑證傳送至行動裝置210。
在步驟115,行動裝置210的應用程式220自憑證認證伺服器260下載公鑰憑證。
在一實施例中,在步驟114的傳送公鑰憑證之前,憑證認證伺服器260可先推送公鑰憑證已經核發且已經可下載的通知訊息至應用程式220。用戶看到通知訊息後,可操作應用程式220開始下載公鑰憑證,然後憑證認證伺服器260執行步驟114,且應用程式220執行步驟115。
完成步驟115的下載後,在步驟116,應用程式220將公鑰憑證儲存於行動裝置210之作業系統的密碼保護區250中。例如,若行動裝置210為蘋果公司的iPhone,則密碼保護區250為iOS的鑰匙串(KeyChain)密碼管理系統。
完成圖1所示的方法後,附加安全晶片240的附加私鑰所對應的用戶身分已經與內建安全晶片230的內建私鑰、內建公鑰和公鑰憑證綁定。因此,應用程式220可以行動裝置210中的內建安全晶片230與密碼保護區250做
為安全元件(Secure Element),且利用內建安全晶片230中的內建私鑰與密碼保護區250中的公鑰憑證,進行身分認證及金鑰交換,以與另一用戶的行動裝置進行E2EE VoIP通訊。
本創作不限定將附加安全晶片240製作為用戶身分模組。例如,在一實施例中,行動裝置210自身和附加安全晶片240中的無線通訊模組242可支援相同的短距離無線通訊協定,例如藍芽或近場通訊(Near Field Communication,NFC)協定。藉此,應用程式220可在步驟108透過該無線通訊協定發送指令,以令公鑰架構模組241以附加私鑰簽署確認碼,接著在步驟109將已經過附加私鑰簽署的確認碼傳送至憑證認證伺服器260。
圖3為根據本創作另一實施例的附加安全晶片340與其載具310的示意圖。
附加安全晶片340設置於載具310中且包括通訊連接的公鑰架構模組341與無線通訊模組342。本實施例的行動裝置210不包含附加安全晶片240,且載具310為行動裝置210外部的獨立組件。行動裝置210自身和附加安全晶片340中的無線通訊模組342支援相同的短距離無線通訊協定,例如藍芽或近場通訊協定。藉此,應用程式220可在步驟108透過該無線通訊協定發送指令,以令公鑰架構模組341以附加私鑰簽署確認碼,接著在步驟109將已經過附加私鑰簽署的確認碼傳送至憑證認證伺服器260。此外,本實施例的其餘技術細節如同圖2所示的實施例。
圖4為根據本創作又一實施例的附加安全晶片440與其載具410的示意圖。
附加安全晶片440設置於載具410中且包括公鑰架構模組441,載具410包括無線通訊模組442。公鑰架構模組441與無線通訊模組442通訊連接。本實施例的行動裝置210不包含附加安全晶片240,且載具410為行動裝置210外部的獨立組件。行動裝置210自身和載具410中的無線通訊模組442支援相同的短距離無線通訊協定,例如藍芽或近場通訊協定。藉此,應用程式220可在步驟108透過該無線通訊協定發送指令,以令公鑰架構模組441以附加私鑰簽署確認碼,接著在步驟109將已經過附加私鑰簽署的確認碼傳送至憑證認證伺服器260。此外,本實施例的其餘技術細節如同圖2所示的實施例。
在一實施例中,本創作另提供一種電腦可讀媒體,例如記憶體、軟碟、硬碟或光碟。該電腦可讀媒體應用於行動裝置或伺服器中,係儲存有指令,以執行上述之憑證請求方法或憑證簽發方法。
上述實施形態僅例示性說明本創作之原理及其功效,而非用於限制本創作。任何在本技術領域具有通常知識者均可在不違背本創作之精神及範疇下,對上述實施形態進行修飾與改變。因此,本創作之權利保護範圍,應如後述之申請專利範圍所列。
210:行動裝置
220:應用程式
230:內建安全晶片
240:附加安全晶片
241:公鑰架構模組
242:無線通訊模組
250:密碼保護區
260:憑證認證伺服器
Claims (8)
- 一種憑證系統,係包括互相通訊連接之行動裝置及憑證認證伺服器,其中,該行動裝置包括內建安全晶片及附加安全晶片,以執行:在該內建安全晶片中產生成對之內建公鑰及內建私鑰;根據該內建私鑰產生憑證請求檔,其中,該憑證請求檔包括用戶身分識別資訊及該內建公鑰;將該憑證請求檔傳送至該憑證認證伺服器,以接收該憑證認證伺服器傳送之確認碼;利用該附加安全晶片中之附加私鑰簽署該確認碼,再將該確認碼傳送至該憑證認證伺服器;以及自該憑證認證伺服器下載公鑰憑證,其中,該公鑰憑證包括該用戶身分識別資訊及該內建公鑰;以及該憑證認證伺服器係執行:接收該行動裝置傳送之該憑證請求檔;根據該憑證請求檔產生該確認碼,以將該確認碼傳送至該行動裝置;以及接收已經過該行動裝置之該附加私鑰簽署的該確認碼,再利用對應該附加私鑰之附加公鑰驗證該確認碼,以於該確認碼驗證成功時,簽發該公鑰憑證,再將該公鑰憑證傳送至該行動裝置。
- 如請求項1所述之憑證系統,其中,在該行動裝置將該憑證請求檔傳送至該憑證認證伺服器之前,該憑證請求檔已經過該內建私鑰簽署。
- 如請求項1所述之憑證系統,其中,該附加安全晶片包括公鑰架構模組及無線通訊模組,且該行動裝置對該確認碼之所述簽署與傳送包括:令該公鑰架構模組利用該附加私鑰簽署該確認碼;以及令該無線通訊模組將該確認碼傳送至該憑證認證伺服器。
- 如請求項1所述之憑證系統,其中,該附加安全晶片包括公鑰架構模組,該附加安全晶片支援無線通訊協定或設置於支援該無線通訊協定之載具中,且該行動裝置對該確認碼之所述簽署包括:藉由該無線通訊協定發送指令,以令該公鑰架構模組利用該附加私鑰簽署該確認碼。
- 如請求項1所述之憑證系統,其中,該行動裝置復執行:將該公鑰憑證儲存於該行動裝置之作業系統的密碼保護區中。
- 如請求項1所述之憑證系統,其中,該確認碼係根據該憑證請求檔及隨機亂數而產生。
- 如請求項1所述之憑證系統,其中,該憑證認證伺服器對該確認碼之所述驗證包括:根據該用戶身分識別資訊,自複數用戶之複數公鑰中,取得對應該附加私鑰之該附加公鑰,以驗證該確認碼。
- 如請求項1所述之憑證系統,其中,該憑證認證伺服器復執行:若該確認碼驗證失敗,則不簽發且不傳送該公鑰憑證。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW111209455U TWM640772U (zh) | 2022-08-31 | 2022-08-31 | 憑證系統 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW111209455U TWM640772U (zh) | 2022-08-31 | 2022-08-31 | 憑證系統 |
Publications (1)
Publication Number | Publication Date |
---|---|
TWM640772U true TWM640772U (zh) | 2023-05-11 |
Family
ID=87382746
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW111209455U TWM640772U (zh) | 2022-08-31 | 2022-08-31 | 憑證系統 |
Country Status (1)
Country | Link |
---|---|
TW (1) | TWM640772U (zh) |
-
2022
- 2022-08-31 TW TW111209455U patent/TWM640772U/zh unknown
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
KR100451557B1 (ko) | 무선 응용 프로토콜에 기반을 둔 안전한 세션 설정 | |
CN107358441B (zh) | 支付验证的方法、系统及移动设备和安全认证设备 | |
WO2018113437A1 (zh) | 基于鉴权装置的电子身份证认证服务系统 | |
US20190251561A1 (en) | Verifying an association between a communication device and a user | |
JP2019521414A (ja) | 車載端末のための決済認証方法、装置、及び、システム | |
JP2018038068A (ja) | 通信端末および関連システムのユーザーの識別情報を確認するための方法 | |
KR101706117B1 (ko) | 휴대용 단말기에서 다른 휴대용 단말기를 인증하는 장치 및 방법 | |
JP2010532107A (ja) | ソフトsimクレデンシャルのセキュア転送 | |
TW201813361A (zh) | 圖形碼資訊提供、獲取方法、裝置及終端 | |
CN104683107B (zh) | 数字证书保管方法和装置、数字签名方法和装置 | |
WO2012126392A1 (zh) | 基于互联网的安全性信息交互设备及方法 | |
WO2021120924A1 (zh) | 一种证书申请方法及设备 | |
CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
CN112020716A (zh) | 远程生物特征识别 | |
CN114331456A (zh) | 一种通信方法、装置、系统以及可读存储介质 | |
JP2021073564A (ja) | 通信装置、通信方法、およびコンピュータプログラム | |
TWI818703B (zh) | 憑證請求方法、憑證簽發方法、憑證系統與其電腦可讀媒體 | |
TWM640772U (zh) | 憑證系統 | |
WO2016165429A1 (zh) | 业务处理方法及装置、终端 | |
CN113535852A (zh) | 基于区块链的文件处理方法、文件访问方法、装置及系统 | |
CN114765544A (zh) | 可信执行环境数据离线迁移方法及装置 | |
WO2016176902A1 (zh) | 一种终端认证方法、管理终端及申请终端 | |
TWI751433B (zh) | 安全通訊金鑰協商方法 | |
WO2023240587A1 (zh) | 一种设备权限配置方法及装置、终端设备 |