[go: up one dir, main page]

TW201511515A - 動態調整雲端憑證狀態驗證之方法 - Google Patents

動態調整雲端憑證狀態驗證之方法 Download PDF

Info

Publication number
TW201511515A
TW201511515A TW102132133A TW102132133A TW201511515A TW 201511515 A TW201511515 A TW 201511515A TW 102132133 A TW102132133 A TW 102132133A TW 102132133 A TW102132133 A TW 102132133A TW 201511515 A TW201511515 A TW 201511515A
Authority
TW
Taiwan
Prior art keywords
ocsp
cloud
voucher
status
dynamically adjusting
Prior art date
Application number
TW102132133A
Other languages
English (en)
Other versions
TWI539784B (zh
Inventor
Yung-Chu Chen
Chang-Cheng Jian
jing-rong Lin
Pin-Jung Chiang
Gan-How Chang
Original Assignee
Chunghwa Telecom Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chunghwa Telecom Co Ltd filed Critical Chunghwa Telecom Co Ltd
Priority to TW102132133A priority Critical patent/TWI539784B/zh
Publication of TW201511515A publication Critical patent/TW201511515A/zh
Application granted granted Critical
Publication of TWI539784B publication Critical patent/TWI539784B/zh

Links

Landscapes

  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

一種動態調整雲端憑證狀態驗證之方法,係指運用線上憑證狀態協定(Online Certificate Status Protocol,以下簡稱OCSP)為基礎,提供高信任度的訊息驗證保護,再以雲端系統架構之方法,來提供更快速的憑證狀態查詢與驗證的服務。主要係由憑證管理中心OCSP系統分析現有過往OCSP伺服器端的查詢使用記錄,取得高查詢頻率的憑證序號群組記錄,以此為基礎預先簽發具有OCSP伺服器端憑證簽章的OCSP回應訊息,這些訊息內容包含有待查詢的憑證狀態資訊、有效使用的時間區間與可信賴的OCSP服務之電子簽章保證,再透過雲端系統架構之方法,建置高速憑證狀態驗證服務系統(Hi-OCSP),用來儲存這些預先簽發的OCSP回應訊息,OCSP用戶端應用系統可以在有線與無線之網路環境,使用OCSP規範的標準應用程式介面,即可以快速地查詢到安全又可靠的憑證狀態資訊。

Description

動態調整雲端憑證狀態驗證之方法
本發明係有關於一種動態調整雲端憑證狀態驗證之方法,特別是指如何在節省使用頻寬的條件下,快速地取得高信任度的電子憑證狀態之資訊。
先前技術於中華民國發明專利第20120804號「具有高信任度的分散式快速驗證憑證狀態之方法」一案中,是藉由OCSP服務主系統,針對憑證管理中心中所有的憑證之狀態資訊皆簽發與封裝成OCSP Response,並存放至輕型OCSP子系統(LightWeight OCSP)系統中。使用者要查詢目前憑證狀態時,可直接至輕型OCSP子系統進行狀態的查詢,而無需至OCSP服務主系統進行查詢。此法的缺點是:
1.需要處理所有的異動資料,此處理流程上OCSP服務主系統會耗費很多系統資源與網路傳輸頻寬的占用。
2.輕型OCSP子系統中儲存許多OCSP Response是使用者不會進行查詢的資料,造成資料庫空間的浪費。
3. OCSP服務主系統使用密碼模組進行OCSP Response數位簽章保護,簽章作業的次數會相當高, 全部更新與預先簽發每一張憑證狀態之新OCSP Response將會耗費很多的時間與系統效能。
本發明之目的即在於提供一種動態調整雲端憑證狀態驗證之方法,係加強舊有的憑證狀態查詢方法所不足之處,以動態調整的方法,避免頻寬與硬體密碼模組簽章處理時間之耗費,同時可減少資料庫空間之需求,進而提供使用者快速取得與驗證電子憑證之狀態。
達成上述發明目的之動態調整雲端憑證狀態驗證之方法,可藉由本發明所提供之動態調整雲端憑證狀態驗證之方法來達成。在本發明中,預先分析現有OCSP服務主系統的查詢使用記錄,OCSP服務主系統找出被查詢頻率高的憑證序號,再使用儲存於硬體保密器中的OCSP伺服器金鑰,將這些憑證序號的相對應憑證狀態資訊,進行預先簽章與封裝成線上憑證狀態通信協定之回覆訊息Hi-OCSP Response封包。
同時Hi-OCSP Response訊息中的「Next Update(下次更新與有效時間)」時間屬性值,必須可動態的依據被查詢頻率的高與低,若是高頻率查詢之憑證序號,可以設定為較短的下次更新Hi-OCSP Response之時間,若是低頻率查詢之憑證序號,可以設定為較長的下次更新Hi-OCSP Response之時間,這樣可以更彈性地安排OCSP服務主系統預先簽發各個憑證之相對應OCSP Response之運作時間,這樣OCSP服務主系統就不必集中在同一個時間大量的更新與重新簽發 OCSP Response,也可以加速與提高查詢狀態之可靠性。最後再透過雲端儲存架構與方法,存入至雲端Hi-OCSP(High Speed LightWeight OCSP System)系統。
接著,當使用者使用OCSP用戶端工具發送OCSPRequest至雲端Hi-OCSP系統進行憑證狀態查詢與驗證時,若在雲端Hi-OCSP系統中無儲存該筆Hi-OCSP Response,或對應的Hi-OCSP Response已經逾時,則雲端Hi-OCSP系統向OCSP服務主系統請求重新為該待查詢的憑證序號之憑證狀態簽發最新的Hi-OCSP Response;然後OCSP服務主系統將會把新簽發的Hi-OCSP Response更新到雲端Hi-OCSP系統中,讓雲端Hi-OCSP系統可以繼續服務該OCSP用戶端。
同時,當OCSP服務主系統透過憑證狀態異動資料庫系統偵測到CA憑證管理中心進行憑證異動作業時,將會因應憑證狀態異動,立即簽發新的Hi-OCSP Response封包,並即時更新到雲端Hi-OCSP系統端。
本發明所提供之動態調整雲端憑證狀態驗證之方法,與其他習用技術相互比較時,更具備下列優點:
1.本發明由於雲端Hi-OCSP系統中只存放較常使用的Hi-OCSP Response封包,因此可節省雲端Hi-OCSP與OCSP服務主系統之間的頻寬。
2.本發明與既有的OCSP服務主系統相較,由於只更新雲端Hi-OCSP中的異動資料,因此可降低OCSP服務主系統與HSM之間的簽章次數。
3.本發明因為於雲端Hi-OCSP系統中只存放較常使用的Hi-OCSP Response封包,因此可減少雲端Hi-OCSP系統所需的資料庫容量。
4.本發明由於雲端Hi-OCSP系統中只存放較常使用的Hi-OCSP Response封包,因此當檢查雲端Hi-OCSP系統中快要過期的Hi-OCSP Response的數量,可以減少所需要檢查Hi-OCSP Response的數量,減少系統檢查時間。
11‧‧‧OCSP用戶端
12‧‧‧雲端Hi-OCSP系統
13‧‧‧已簽章的Hi-OCSP Response
14‧‧‧OCSP服務主系統
15‧‧‧安全簽章保密器
16‧‧‧CA系統
17‧‧‧憑證異動資料
18‧‧‧憑證狀態異動資料庫
M11‧‧‧OCSP請求訊息
M12‧‧‧OCSP回應訊息
21‧‧‧OCSP服務主系統
22‧‧‧雲端Hi-OCSP系統
23‧‧‧安全簽章保密器
請參閱有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效;有關附圖為:圖1為本發明動態調整雲端憑證狀態驗證之方法系統架構圖;以及圖2為本發明動態調整雲端憑證狀態驗證之方法預先分析現有資料之示意圖。
如圖1,為本發明動態調整雲端憑證狀態驗證之方法,說明如下。
首先,預先分析現有OCSP服務主系統14的查詢使用記錄,OCSP服務主系統14找出被查詢頻率高的憑證序號,再使用儲存於安全簽章保密器15中的OCSP伺服器金鑰,將這些憑證序號的相對應憑證狀態資訊,進行預先簽章與封裝成已簽章的Hi-OCSP Response 13封包,並存入至雲端Hi-OCSP系統12。
之後OCSP用戶端11藉由OCSP用戶端應用模組,發送OCSP請求訊息M11到雲端Hi-OCSP系統12,進行高可信度的憑證狀態查詢與驗證作業。雲端Hi-OCSP系統12分析所接收到的OCSP請求訊息M11,取得相對應的OCSP回應訊 息M12,然後將OCSP回應訊息M12傳送給予OCSP用戶端11。
當OCSP用戶端11收到雲端Hi-OCSP系統12所回傳的OCSP回應訊息M12,藉由OCSP用戶端應用模組,進行內容分析,並且以OCSP服務主系統14的OCSP伺服器憑證,驗證該OCSP回應訊息是否確實為OCSP服務主系統14所簽發,若驗證無誤,再取得待查詢的憑證狀態,並且驗證OCSP回應訊息M12內容的訊息時間之設定,是否仍為有效可信賴的時間區間內;若OCSP回應訊息M12內容中的OCSP服務主系統14電子簽章驗證無誤,且OCSP回應訊息M12內容的時間設定符合可信賴的時間規定之內,即可確認OCSP回應訊息M12所記載的憑證狀態資訊是可靠信任的。
上述步驟中,雲端Hi-OCSP系統12若因無儲存該相對應的OCSP回應訊息M12,或相對應的OCSP回應訊息M12已經逾時,則雲端Hi-OCSP系統12請求OCSP服務主系統14,進行簽發對應的Hi-OCSP Response封包,然後OCSP服務主系統14將會把已簽發的Hi-OCSP Response 13封包更新到雲端Hi-OCSP系統12中,並且將OCSP回應訊息M12傳送給予OCSP用戶端11。
同時,由憑證管理中心-CA系統16負責產生憑證狀態異動資訊17。憑證狀態異動資訊17包含有憑證序號、憑證狀態、發生時間、憑證用戶所屬分類群組、自訂欄位內容。若CA系統16內的監控模組,偵測出OCSP服務主系統14中的憑證發生狀態異動,便將憑證狀態異動的相關資訊,透過安全且穩定的傳輸通道,儲存到憑證狀態異動資料庫18。
由OCSP服務主系統14內所使用的常駐系統模組,監控憑證狀態異動資料庫18中的資料異動,再由OCSP服務主系統14系統上所設置的憑證資料查詢模組,進行憑證資料查詢比對,若查詢到該資料庫資料有所異動,OCSP服務主系統14將依據該資料庫中的憑證狀態異動資料,並且使用安全簽章保密器15上的電子簽章模組,立即地針對這些憑證狀態異動資料,加入電子簽章的保護,以成為Hi-OCSP Response訊息,接著OCSP服務主系統14將產製出的Hi-OCSP Response訊息標記在該主機的記錄資料庫裡面。同時,OCSP服務主系統14將已簽發的Hi-OCSP Response 13封包,即時更新到雲端Hi-OCSP系統12。
如圖2所示,為預先分析現有資料機制的方法。
首先,預先分析現有OCSP服務主系統21中OCSP伺服器端的查詢與使用記錄,OCSP服務主系統21找出被查詢頻率高的憑證序號,再使用儲存於硬體保密器23中的OCSP伺服器金鑰,將這些憑證序號的相對應憑證狀態資訊,進行預先簽章與封裝成Hi-OCSP Response封包,並將此Hi-OCSP Response訊息中的「Next Update(下次更新與有效時間)」時間屬性值,動態的依據被查詢頻率的高或低,設定為較短或長的時間。若是高頻率查詢之憑證序號,可以設定為較短的下次更新Hi-OCSP Response之時間,可以更彈性地安排OCSP服務主系統預先簽發各個憑證之相對應OCSP Response之運作時間,這樣OCSP服務主系統就不必集中在同一個時間大量的更新與重新簽發OCSP Response。
完成上述簽章與封裝步驟後,將Hi-OCSP Response發送到雲端Hi-OCSP系統22,若是後續有OCSP用 戶端要請求查詢時,便可即時的將Hi-OCSP Response訊息透過雲端Hi-OCSP系統22傳送給予OCSP用戶端。
上列詳細說明乃針對本發明之一可行實施例進行具體說明,惟該實施例並非用以限制本發明之專利範圍,凡未脫離本發明技藝精神所為之等效實施或變更,均應包含於本案之專利範圍中。
綜上所述,本案不僅於技術思想上確屬創新,並具備習用之傳統方法所不及之上述多項功效,已充分符合新穎性及進步性之法定發明專利要件,爰依法提出申請,懇請貴局核准本件發明專利申請案,以勵發明,至感德便。
11‧‧‧OCSP用戶端
12‧‧‧雲端Hi-OCSP系統
13‧‧‧已簽章的Hi-OCSP Response
14‧‧‧OCSP服務主系統
15‧‧‧安全簽章保密器
16‧‧‧CA系統
17‧‧‧憑證異動資料
18‧‧‧憑證狀態異動資料庫
M11‧‧‧OCSP請求訊息
M12‧‧‧OCSP回應訊息

Claims (9)

  1. 一種動態調整雲端憑證狀態驗證之方法,包含以下步驟:a.由憑證管理中心之憑證認證中心(Certification Authority,CA)主機產生憑證狀態異動資訊;b.該憑證管理中心之CA主機係以安全且穩定的傳輸通道,發送該產生憑證狀態異動資訊至憑證狀態異動資料庫;c.線上憑證狀態協定(Online Certificate Status Protocol,OCSP)服務主系統監控該憑證狀態異動資料庫,發現存在有異動資料之後,由該OCSP服務主系統所查詢到的憑證狀態異動資訊,與安全簽章保密器之簽章功能,簽發出與這些憑證狀態異動資訊相對應的最新線上憑證狀態通信協定之回覆訊息(Hi-OCSP Response)訊息;d.該OCSP用戶端透過所指引的雲端Hi-OCSP系統的OCSP網址所在,發送該OCSP請求訊息,到該雲端Hi-OCSP系統,進行憑證狀態查詢作業;e.該雲端Hi-OCSP系統分析所接收到的該OCSP請求訊息,並取得相對應的該OCSP回應訊息,然後傳送給予OCSP用戶端,以完成高信任度的快速憑證狀態查詢之作業;f.該雲端Hi-OCSP系統分析所接收到的該OCSP請求訊息,如果無儲存該相對應的該OCSP回應訊息,或相對應的該OCSP回應訊息已經逾時,則該雲端Hi-OCSP系統請求該OCSP服務主系統進行簽發對應的該Hi-OCSP Response封包。
  2. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該OCSP用戶端係為符合OCSP協定的應用程式或者系統,該OCSP用戶端應用程式將設置於電腦主機上面或者攜帶式的智慧型主機上。
  3. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該憑證狀態異動資訊所傳遞的過程,係加入網際網路上應用於資料安全傳輸通道(Secure Sockets Layer,SSL)與傳輸層安全協定(Transport Layer Security,TLS)的安全傳輸通道服務,來提供通信安全及資料的完整性。
  4. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該OCSP用戶端中另包含發送的憑證查詢請求訊息,係與雲端Hi-OCSP系統所回應的該Hi-OCSP Response訊息皆符合該OCSP協定的規範。
  5. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該雲端Hi-OCSP系統係加入授權管理機制,只接受與處理特定已被授權的該OCSP用戶端所發送的憑證狀態查詢請求。
  6. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該雲端Hi-OCSP系統與該OCSP用戶端另加入系統校時機制,以確認系統互動之間時間的正確性。
  7. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中該OCSP用戶端係發送該OCSP請求訊息給予該OCSP服務主系統,進行高信任度的憑證狀態查詢。
  8. 如申請專利範圍第1項所述之動態調整雲端憑證狀態驗證之方法,其中另包括預先分析現有資料機制方法,其包含 以下步驟:a.該OCSP服務主系統分析現有該OCSP服務主系統中OCSP伺服器端的查詢與使用記錄,找出被查詢頻率高的憑證序號;b.該OCSP服務主系統係透過安全加密通道,發送到負責儲存的該雲端Hi-OCSP系統上的資料庫裡面;
  9. 如申請專利範圍第8項所述之動態調整雲端憑證狀態驗證之方法,其中該預先分析現有資料機制方法中之Hi-OCSP Response訊息中的「下次更新與有效時間(Next Update)」時間屬性值,係依據該Hi-OCSP Response訊息之使用頻率多寡,進行彈性地延長與設定。
TW102132133A 2013-09-06 2013-09-06 Dynamically adjust the method of cloud certificate status verification TWI539784B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW102132133A TWI539784B (zh) 2013-09-06 2013-09-06 Dynamically adjust the method of cloud certificate status verification

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW102132133A TWI539784B (zh) 2013-09-06 2013-09-06 Dynamically adjust the method of cloud certificate status verification

Publications (2)

Publication Number Publication Date
TW201511515A true TW201511515A (zh) 2015-03-16
TWI539784B TWI539784B (zh) 2016-06-21

Family

ID=53186899

Family Applications (1)

Application Number Title Priority Date Filing Date
TW102132133A TWI539784B (zh) 2013-09-06 2013-09-06 Dynamically adjust the method of cloud certificate status verification

Country Status (1)

Country Link
TW (1) TWI539784B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI628935B (zh) * 2016-01-29 2018-07-01 中華電信股份有限公司 Request traffic grouping method
TWI644542B (zh) * 2016-01-29 2018-12-11 中華電信股份有限公司 Pre-signature method
TWI646808B (zh) * 2016-01-29 2019-01-01 中華電信股份有限公司 Request traffic prediction method
TWI718033B (zh) * 2020-03-18 2021-02-01 中華電信股份有限公司 線上憑證狀態查詢回應器之系統及方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI628935B (zh) * 2016-01-29 2018-07-01 中華電信股份有限公司 Request traffic grouping method
TWI644542B (zh) * 2016-01-29 2018-12-11 中華電信股份有限公司 Pre-signature method
TWI646808B (zh) * 2016-01-29 2019-01-01 中華電信股份有限公司 Request traffic prediction method
TWI718033B (zh) * 2020-03-18 2021-02-01 中華電信股份有限公司 線上憑證狀態查詢回應器之系統及方法

Also Published As

Publication number Publication date
TWI539784B (zh) 2016-06-21

Similar Documents

Publication Publication Date Title
US11924358B2 (en) Method for issuing digital certificate, digital certificate issuing center, and medium
CN111708991B (zh) 服务的授权方法、装置、计算机设备和存储介质
US9172544B2 (en) Systems and methods for authentication between networked devices
US9178868B1 (en) Persistent login support in a hybrid application with multilogin and push notifications
US9288234B2 (en) Security policy enforcement
US20120096272A1 (en) Security model for industrial devices
WO2018214777A1 (zh) 一种数据通信方法、装置、设备和存储介质
CN105656859B (zh) 税控设备软件安全在线升级方法及系统
CN108092776A (zh) 一种身份认证服务器和身份认证令牌
US12212960B1 (en) Dynamic establishment of trust between locally connected devices
WO2016122646A1 (en) Systems and methods for providing data security services
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
TWI539784B (zh) Dynamically adjust the method of cloud certificate status verification
EP3849131A1 (en) Information processing method, information processing program, information processing apparatus, and information processing system
CN106209903A (zh) 一种带有加密设备的远程访问财务系统
US12273461B2 (en) Service registration method and device
CN112118242A (zh) 零信任认证系统
CN103118016A (zh) 一种物联网可信标识确证系统及方法
KR20170119054A (ko) 사물 인터넷 환경의 종단간 보안 플랫폼
CN103401906A (zh) 一种安全联锁装置的远程配置方法
CN107888548A (zh) 一种信息验证方法及装置
CN115473648A (zh) 一种证书签发系统及相关设备
WO2018219260A1 (zh) 用于绑定手机号码的方法、装置及系统
TW201220804A (en) comprising the steps of generating change information; transmitting; signing and issuing the latest message; transmitting to each web domain; sending a request message by a user end; and receiving a response message by the user end
CN118842634A (zh) 数字证书分发方法、属性证书管理端及证书申请终端

Legal Events

Date Code Title Description
MM4A Annulment or lapse of patent due to non-payment of fees