替移动电子装置申请电子凭证及传递秘钥的系统、装置及方法

技术领域

本发明涉及一种为移动电子装置申请电子凭证及传递秘钥的装置及 方法；更具体地说，涉及一种利用计算机为移动电子装置申请电子凭证及 传递秘钥的装置及方法。

背景技术

近年来，由于电子商务技术快速发展，越来越多的商业交易在因特网 上进行，也因此有关身份认证等问题也越来越为重要。公钥密码技术 (Public Key Cryptography)及电子凭证(Digital Certificate)是用来解决此问 题的一种方式。计算机申请凭证的技术已发展多年，故其技术较为成熟。 然而，近年来移动电子装置(如手机、个人数字助理)越来越普及，这些移 动电子装置也都具备上网功能，因此，现在也有一些研究关于如何为移动 电子装置申请电子凭证。

目前手机申请电子凭证的做法主要可分为三类。第一类由手机自行产 生密钥并申请凭证，第二类则是将计算机上既有的凭证与密钥输出给手机 使用，第三类则是由外界系统将凭证与密钥写入通用用户识别模块 (Universal Subscriber Identity Module，简称USIM)卡中，再插到手机上使 用。

针对第一类做法，目前大部分的移动电子装置(如手机)不具备密钥产 生或电子凭证申请功能。即使具有此功能，仍太过简单，无法与既有复杂 的电子凭证作业接口互通运作。针对第二类做法，计算机上现有的凭证功 能无法申请手机特殊需求的凭证，例如以手机号码为主体名字(Subject Name)的凭证，亦即，计算机上既有的凭证无法满足手机移动应用需求。 再者，计算机与移动电子装置之间，若要进行输出/输入的动作，则需使用 记忆卡、USB连接线、蓝牙近端无线通信等软硬件设备，然而，并非所有 的移动电子装置都支持这些配备。

至于第三类的做法，使用者需将USIM卡片以人工方式交给外界系统 将凭证与密钥写入，其作业程序复杂。因此，如何提供简易的方式，使移 动电子装置申请电子凭证，仍值得业界投注心力研究。

发明内容

本发明的一个目的在于提供一种使计算机为移动电子装置向服务器 申请电子凭证及索取秘钥的系统。该计算机包含产生模块、签章模块以及 传送接口。该计算机的该产生模块用以产生申请信号，表示该移动电子装 置申请该电子凭证及该秘钥。该计算机的该签章模块用以利用该秘钥对该 申请信号进行数字签章。该计算机的该传送接口用以传送该申请信号至该 服务器，以通知该服务器该移动电子装置申请该电子凭证及该秘钥。该服 务器包含接收接口、产生模块及传送接口。该服务器地该接收接口用以接 收来自该计算机的该申请信号，以及用以自该移动电子装置接收身份验证 回复信号。该服务器的该产生模块用以根据该申请信号产生身份验证请求 信号。该服务器的该传送接口用以传送该身份验证请求信号至该移动电子 装置，以求证该移动电子装置为申请该电子凭证者，以及用以根据该身份 验证回复信号传送电子凭证信息。该移动电子装置包含接收接口、传送接 口以及摄取模块。该移动电子装置的该接收接口用以自该服务器接收该身 份验证请求信号，以及用以接收该电子凭证信息。该移动电子装置的该传 送接口用以根据该身份验证请求信号，传送该身份验证回复信号，以通知 该服务器该移动电子装置确为请求该电子凭证者。该移动电子装置的该摄 取模块用以自该电子凭证信息中摄取该电子凭证及该秘钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥的系统。该 系统包含计算机、服务器及移动电子装置。该计算机包含产生模块、签章 模块、传送接口以及接收接口。该服务器包含接收接口、产生模块以及传 送接口。该移动电子装置包含接收接口、传送接口以及摄取模块。该计算 机的该产生模块用以产生申请信号，以及用以产生身份验证回复信号。该 计算机的该签章模块用以利用该秘钥对该申请信号进行数字签章。该计算 机的该传送接口用以传送该申请信号，以及用以传送该身份验证回复信 号。该计算机的该接收接口用以接收身份验证请求信号。该服务器的该接 收接口用以自该计算机接收该申请信号，以及用以自该计算机接收该身份 验证回复信号。该服务器的该产生模块用以根据该申请信号产生该身份验 证请求信号，以及用以根据该身份验证回复信号产生电子凭证信息。该服 务器的该传送接口用以传送该身份验证请求信号，以及用以根据该身份验 证回复信号传送该电子凭证信息。该移动电子装置的该接收接口用以自该 服务器接收该身份验证请求信号以及用以自该服务器接收该电子凭证信 息。该移动电子装置的该传送接口用以传送该身份验证请求信号至该计算 机。该移动电子装置的该摄取模块用以自该电子凭证信息中摄取该电子凭 证及该秘钥。该申请信号用以表示该移动电子装置申请该电子凭证及索取 该秘钥，该申请信号传送至该服务器以通知该服务器该移动电子装置申请 该电子凭证及索取该秘钥，该身份验证回复信号用以通知该服务器该移动 电子装置确为申请该电子凭证者，以及该身份验证请求信号用以求证该移 动电子装置为申请该电子凭证者。

本发明的另一目的在于提供一种申请电子凭证及索取秘钥的移动电 子装置，该装置包含接收接口、传送接口以及摄取模块。该接收接口用以 自服务器接收身份验证请求信号，其中该身份验证请求信号为根据由计算 机为该移动电子装置申请该电子凭证及该秘钥而产生。根据该身份验证请 求信号，该传送接口用以传送身份验证相关信号，以通知该服务器该移动 电子装置确为申请该电子凭证者。随后该接收接口接收电子凭证信息，该 摄取模块自该电子凭证信息中摄取该电子凭证及该秘钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥到移动电 子装置的计算机。该计算机包含产生模块以及传送接口。该产生模块用以 产生申请信号表示该移动电子装置申请该电子凭证及索取该秘钥，以及用 以产生密钥加密密钥。该传送接口用以传送该申请信号至服务器，以通知 该服务器该移动电子装置申请该电子凭证及该秘钥，以及用以传送该密钥 加密密钥至该移动电子装置，以使该移动电子装置利用该密钥加密密钥处 理该电子凭证及该秘钥。

本发明的另一目的在于提供一种传递电子凭证及秘钥至移动电子装 置的服务器。该服务器包含接收接口、产生模块以及传送接口。该接收接 口用以自计算机接收申请信号，该申请信号用以表示该移动电子装置申请 该电子凭证及索取该秘钥。该产生模块用以根据该申请信号产生身份验证 请求信号，随后该传送接口用以传送该身份验证请求信号至该移动电子装 置，以求证该移动电子装置为申请该电子凭证者。该接收接口接收身份验 证回复信号，该身份验证回复信号用以表示该移动电子装置确为申请该电 子凭证者。根据该身份验证回复信号，该传送接口传送电子凭证信息，该 电子凭证信息包含该电子凭证及该秘钥密文。

本发明的另一目的在于提供一种使计算机为移动电子装置向服务器 申请电子凭证及索取秘钥的方法。该方法包含下列步骤：使该计算机产生 申请信号，用以表示该移动电子装置申请该电子凭证及索取该秘钥；使该 计算机利用该秘钥对该申请信号进行数字签章；使该计算机传送该申请信 号至该服务器，以通知该服务器该移动电子装置申请该电子凭证及索取该 秘钥；使该服务器接收来自该计算机的该申请信号；使该服务器根据该申 请信号产生身份验证请求信号；使该服务器传送该身份验证请求信号至该 移动电子装置，以求证该移动电子装置为申请该电子凭证者；使该移动电 子装置自该服务器接收该身份验证请求信号；使该移动电子装置根据该身 份验证请求信号，传送身份验证回复信号，以通知该服务器该移动电子装 置确为请求该电子凭证者；使该服务器接收该身份验证回复信号；使该服 务器根据该身份验证回复信号产生电子凭证信息；使该服务器根据该身份 验证回复信号传送电子凭证信息；使该移动电子装置接收该电子凭证信 息；以及使该移动电子装置自该电子凭证信息中摄取该电子凭证及该秘 钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥的方法。该 方法包含下列步骤：使计算机产生申请信号，用以表示移动电子装置申请 该电子凭证及索取该秘钥；使该计算机利用该秘钥对该申请信号进行数字 签章；使该计算机传送该申请信号至服务器，以通知该服务器该移动电子 装置申请该电子凭证及索取该秘钥；使该服务器接收来自该计算机的该申 请信号；使该服务器根据该申请信号产生身份验证请求信号；使该服务器 传送该身份验证请求信号至该移动电子装置，以求证该移动电子装置为申 请该电子凭证者；使该移动电子装置自该服务器接收该身份验证请求信 号；使该移动电子装置传送该身份验证请求信号至该计算机；使该计算机 自该移动电子装置接收该身份验证请求信号；使该计算机产生身份验证回 复信号；使该计算机根据该身份验证请求信号，传送该身份验证回复信号， 以通知该服务器该移动电子装置确为申请该电子凭证者；使该服务器接收 该身份验证回复信号；使该服务器根据该身份验证回复信号产生电子凭证 信息；使该服务器根据该身份验证回复信号传送该电子凭证信息；使该移 动电子装置接收该电子凭证信息；以及使该移动电子装置自该电子凭证信 息中摄取该电子凭证及该秘钥。

本发明的另一目的在于提供一种使移动电子装置申请电子凭证及索 取秘钥的方法。该方法包含下列步骤：自服务器接收身份验证请求信号， 其中该身份验证请求信号为根据计算机为该移动电子装置申请该电子凭 证而产生；根据该身份验证请求信号，传送身份验证相关信号，以通知该 服务器该移动电子装置确为申请该电子凭证者；接收电子凭证信息；以及 自该电子凭证信息中摄取该电子凭证及该秘钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥到移动电 子装置的方法。该方法包含下列步骤：产生申请信号，用以表示该移动电 子装置申请该电子凭证及索取该秘钥；传送该申请信号至服务器，以通知 该服务器该移动电子装置申请该电子凭证及索取该秘钥；产生密钥加密密 钥；以及传送该密钥加密密钥至该移动电子装置，以使该移动电子装置利 用该密钥加密密钥处理以得该秘钥。

本发明的另一目的在于提供一种使服务器传递电子凭证及秘钥至移 动电子装置的方法。该方法包含下列步骤：接收来自计算机的申请信号， 该申请信号用以表示该移动电子装置申请该电子凭证及索取该秘钥；根据 该申请信号产生身份验证请求信号；传送该身份验证请求信号至该移动电 子装置，以求证该移动电子装置为申请该电子凭证者；接收身份验证回复 信号，该身份验证回复信号用以表示该移动电子装置确为申请该电子凭证 者；产生与该电子凭证及该秘钥相关的电子凭证信息；以及根据该身份验 证回复信号传送该电子凭证信息；其中，该移动电子装置可通过该电子凭 证信息取得该电子凭证及该秘钥。

本发明的另一目的在于提供一种使计算机为移动电子装置向服务器 申请电子凭证及索取秘钥的方法。该方法包含下列步骤：使该计算机的产 生模块产生申请信号，用以表示该移动电子装置申请该电子凭证及索取该 秘钥；使该计算机的签章模块利用该秘钥对该申请信号进行数字签章；使 该计算机的传送接口传送该申请信号至该服务器，以通知该服务器该移动 电子装置申请该电子凭证及索取该秘钥；使该服务器的接收接口接收来自 该计算机的该申请信号；使该服务器的产生模块根据该申请信号产生身份 验证请求信号；使该服务器的传送接口传送该身份验证请求信号至该移动 电子装置，以求证该移动电子装置为申请该电子凭证者；使该移动电子装 置的接收接口自该服务器接收该身份验证请求信号；使该移动电子装置的 传送接口根据该身份验证请求信号，传送身份验证回复信号，以通知该服 务器该移动电子装置确为请求该电子凭证者；使该服务器的该接收接口接 收该身份验证回复信号；使该服务器的该产生模块根据该身份验证回复信 号产生电子凭证信息；使该服务器的该传送接口根据该身份验证回复信号 传送电子凭证信息；使该移动电子装置的该接收接口接收该电子凭证信 息；以及使该移动电子装置的摄取模块自该电子凭证信息中摄取该电子凭 证及该秘钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥的方法。该 方法包含下列步骤：使计算机的产生模块产生申请信号，用以表示移动电 子装置申请该电子凭证及索取该秘钥；使该计算机的签章模块利用该秘钥 对该申请信号进行数字签章；使该计算机的传送接口传送该申请信号至服 务器，以通知该服务器该移动电子装置申请该电子凭证及索取该秘钥；使 该服务器的接收接口接收来自该计算机的该申请信号；使该服务器的产生 模块根据该申请信号产生身份验证请求信号；使该服务器的传送接口传送 该身份验证请求信号至该移动电子装置，以求证该移动电子装置为申请该 电子凭证者；使该移动电子装置的接收接口自该服务器接收该身份验证请 求信号；使该移动电子装置的传送接口传送该身份验证请求信号至该计算 机；使该计算机的接收接口自该移动电子装置接收该身份验证请求信号； 使该计算机的该产生模块产生身份验证回复信号；使该计算机的该传送接 口根据该身份验证请求信号，传送该身份验证回复信号，以通知该服务器 该移动电子装置确为申请该电子凭证者；使该服务器的该接收接口接收该 身份验证回复信号；使该服务器的该产生模块根据该身份验证回复信号产 生电子凭证信息；使该服务器的该传送接口根据该身份验证回复信号传送 该电子凭证信息；使该移动电子装置的该接收接口接收该电子凭证信息； 以及使该移动电子装置的摄取模块自该电子凭证信息中摄取该电子凭证 及该秘钥。

本发明的另一目的在于提供一种使移动电子装置申请电子凭证及索 取秘钥的方法。该方法包含下列步骤：使该移动电子装置的接收接口自服 务器接收身份验证请求信号，其中该身份验证请求信号为根据计算机为该 移动电子装置申请该电子凭证而产生；使该移动电子装置的传送接口根据 该身份验证请求信号，传送身份验证相关信号，以通知该服务器该移动电 子装置确为申请该电子凭证者；使该接收接口接收电子凭证信息；以及使 该移动电子装置的摄取模块自该电子凭证信息中摄取该电子凭证及该秘 钥。

本发明的另一目的在于提供一种申请电子凭证及传递秘钥到移动电 子装置的方法。该方法包含下列步骤：使计算机的产生模块产生申请信号， 用以表示该移动电子装置申请该电子凭证及索取该秘钥；使该计算机的传 送接口传送该申请信号至服务器，以通知该服务器该移动电子装置申请该 电子凭证及索取该秘钥；使该产生模块产生密钥加密密钥；以及使该传送 接口传送该密钥加密密钥至该移动电子装置，以使该移动电子装置利用该 密钥加密密钥处理以得该秘钥。

本发明的另一目的在于提供一种使服务器传递电子凭证及秘钥至移 动电子装置的方法。该方法包含下列步骤：使该服务器的接收接口接收来 自计算机的申请信号，该申请信号用以表示该移动电子装置申请该电子凭 证及索取该秘钥；使该服务器的产生模块根据该申请信号产生身份验证请 求信号；使该服务器的传送接口传送该身份验证请求信号至该移动电子装 置，以求证该移动电子装置为申请该电子凭证者；使该接收接口接收身份 验证回复信号，该身份验证回复信号用以表示该移动电子装置确为申请该 电子凭证者；使该产生模块产生与该电子凭证及该秘钥相关的电子凭证信 息；以及使该传送接口根据该身份验证回复信号传送该电子凭证信息；其 中，该移动电子装置可通过该电子凭证信息取得该电子凭证及该秘钥。

本发明的服务器本身具有认证中心(Certificate Authority，简称CA)CA/ 注册管理中心(Registration Authority，简称RA)的功能。或者可通过连接 具有CA/RA功能的设备来达到相对应的效果。

通过上述设置，移动电子装置欲申请电子凭证时，可通过计算机使用 较安全及较有效率的传输联机以得到电子凭证。若计算机端先前已取得电 子凭证，亦可在服务器认证该移动电子装置的身份后，将计算机端的电子 凭证传至该移动电子装置，达到节省成本的另一效果。

本发明利用具有较佳电子凭证管理以及网络联机功能的计算机，使之 替移动电子装置向服务器申请电子凭证及索取秘钥。在申请电子凭证的不 同阶段，可采用不同的方式实现。具体地说，该服务器会对该移动电子装 置做身份确认，身份确认可以用不同方式完成。此外，该服务器可直接传 递该电子凭证至该移动电子装置，或通过该计算机传送给该移动电子装 置。此外，替该移动电子装置的该计算机有可能已具有该电子凭证，亦有 可能不具有该电子凭证。若有，则该计算机会将自身具有的该电子凭证通 过该服务器传给该移动电子装置，以节省费用。在这些过程当中，同时可 加入不同的加解密方式，以保护传送的该电子凭证、该秘钥等的安全。通 过上述的安排，本发明可针对实际环境做不同的调整，达到通过该计算机 替该移动电子装置向该服务器申请该电子凭证及索取秘钥的目的。

在参照附图及随后描述的实施方式后，所属技术领域的技术人员即可 了解本发明的其它目的，以及本发明的技术手段及实施方式。

附图说明

图1表示本发明的第一及第二实施例；

图2表示本发明的第三实施例；

图3A表示本发明第四及第五实施例的部分方法流程图；

图3B表示本发明第四及第五实施例的部分方法流程图；

图4A表示本发明第六实施例的部分方法流程图；

图4B表示本发明第六实施例的部分方法流程图。

主要元件标记说明

1：系统                 11：移动电子装置

12：计算机              13：服务器

111：接收接口           112：传送界面

113：摄取模块           114：产生模块

115：解密模块

121：产生模块           122：传送界面

123：加密模块           124：签章模块

125：接收接口

131：接收接口           132：产生模块

133：传送界面           134：验证模块

151：申请信号           152：密钥加密密钥

153：身份验证请求信号   154：身份验证相关信号

155：验证请求信息       156：验证响应信息

157：电子凭证信息

2：系统                 21：移动电子装置

22：计算机              23：服务器

211：接收接口           212：传送界面

213：摄取模块            214：产生模块

215：解密模块

221：产生模块            222：传送界面

223：加密模块            224：签章模块

225：接收接口            226：摄取模块

227：解密模块

231：接收接口            232：产生模块

233：传送界面            234：验证模块

251：申请信号            252：密钥加密密钥

253：身份验证请求信号    254：身份验证相关信号

255：身份验证回复信号    256：电子凭证

257：电子凭证信息

具体实施方式

本发明提供系统、装置及方法使移动电子装置可通过计算机向服务器 申请电子凭证，并使移动电子装置通过服务器取得计算机所具有的秘钥。 为了便于阅读，本发明所使用的专有名词的中英对照列于表1。

表1

图1表示本发明的第一实施例，其为申请电子凭证及传递秘钥的系统 1。该系统1包含移动电子装置11、计算机12以及服务器13，其中，移 动电子装置11与计算机12由同一使用者所管理或拥有。移动电子装置11 与计算机12间的联机可为USB联机、红外线联机等等，两者之间也可没 有联机。移动电子装置11(例如手机)欲向服务器13申请电子凭证及索取 秘钥。由于计算机12具有较佳的电子凭证管理以及网络联机功能，因此， 本实施例由移动电子装置11通过计算机12向服务器13申请电子凭证， 并通过服务器13向计算机索取秘钥。

移动电子装置11包含接收接口111、传送接口112、摄取模块113、 产生模块114以及解密模块115。计算机12包含产生模块121、传送接口 122、加密模块123、签章模块124以及接收接口125。服务器13包含接 收接口131、产生模块132、传送接口133以及验证模块134。

首先，使用者在计算机12上执行替移动电子装置11申请电子凭证及 索取秘钥的程序。亦即，在计算机12上执行的程序，会替移动电子装置 11申请电子凭证，并传送秘钥至移动电子装置11。计算机12的产生模块 121利用公知技术产生公钥、秘钥及密钥加密密钥，其中公钥与秘钥相对 应。接着，加密模块123利用该密钥加密密钥加密该秘钥，得到秘钥密文。 具体而言，密钥加密密钥可以三种不同的方式实现：(1)密码(Password)、 (2)对称性(Symmetric)密钥或(3)非对称性(Asymmetric)公钥。针对这三种不 同的型态，加密模块123可分别使用对称式算法(Symmetric Algorithm)或 非对称式算法(Asymmetric Algorithm)加密该秘钥。

之后，产生模块121再产生申请信号，表示移动电子装置11申请电 子凭证及索取秘钥(即，向服务器13申请电子凭证及通过服务器13向计 算机索取秘钥)，其中，申请信号包含该公钥、该秘钥密文及移动电子装 置11的手机号码。签章模块124利用该秘钥对该申请信号进行数字签章， 如何进行数字签章为所属技术领域的技术人员的通常知识，故不赘述。计 算机12的传送接口122传送前述的申请信号151至服务器13。另一方面， 传送接口122也视实际状况与移动电子装置11搭配传送及交换前述的密 钥加密密钥152，使移动电子装置11后续可利用密钥加密密钥152处理电 子凭证及秘钥。

在此要说明的是，对于前述三种不同方式的密钥加密密钥，计算机12 及移动电子装置11可利用三种不同的方式传递及交换。第一种方式当它 是密码时，该密码可由计算机12产生，之后以人工方式从计算机12屏幕 读取并从按键(Keypad)输入到移动电子装置11中。第二种方式当它是对称 性密钥时，该密钥可由计算机12及移动电子装置11双方共同以 Diffie-Hellman密钥交换技术协商产生，协商过程的数据可通过双方与服 务器13的联机管道转送，或通过计算机12及移动电子装置11两者之间 的直接联机(如红外线或USB联机)管道传送。第三种方式当它是非对称性 公钥时，该公钥与对应的秘钥由移动电子装置11产生，并通过与第二种 方式相同的联机管道将该公钥传递给计算机12。上述的密钥加密密钥的传 递与交换方式并非用来限制本发明的范围。

服务器13自接收接口131接收计算机12传来的申请信号151。验证 模块134使用申请信号151中的公钥验证申请信号151的签章，以确认申 请信号151的内容的正确性，并获得前述的公钥、秘钥密文及移动电子装 置的手机号码。然而，在此实施例中，服务器13必须进一步确认移动电 子装置11是否确为申请电子凭证及索取秘钥的申请者。因此，服务器13 的产生模块132根据申请信号151产生身份验证请求信号，此身份验证请 求信号包含由产生模块132以随机方式产生的验证请求码。要强调的是， 产生验证请求码的方式，并非用来限制本发明的范围，产生模块132亦可 以其它方式产生验证请求码。同时，身份验证请求信号亦包含统一资源定 位符(Uniform Resource Locator，简称URL)，用以让使用者在移动电子装 置11接收到身份验证请求信号后，可连结至此URL做认证的动作。接着， 服务器13通过传送接口133通过移动电话网络的短信服务系统(Short Message Service，简称SMS)以短信的方式传送前述的身份验证请求信号 153至该手机号码(即移动电子装置11)。

移动电子装置11通过接收接口111接收来自服务器13的身份验证请 求信号153，此时移动电子装置11必须根据身份请求信号153向服务器 13作身份确认。其方式则是产生模块114根据身份验证请求信号153产生 身份验证相关信号，再通过传送接口112传送此身份验证相关信号154至 服务器13，使之确认移动电子装置11确为申请电子凭证者。此实施例产 生身份验证相关信号154的方式有二：第一种为摄取模块113自身份验证 请求信号153中摄取该验证请求码，产生模块114直接将该验证请求码加 载到身份验证相关信号154中。第二种需通过计算机12的协助，摄取模 块113自身份验证请求信号153摄取验证请求码、产生模块114产生包含 验证请求码的验证请求信息、通过传送接口112传送该验证请求信息155 至计算机12。计算机12的接收接口125接收验证请求信息155后，签章 模块124利用该秘钥对验证请求信息155所包含的验证请求码做签章运 算，以得验证响应码，之后计算机12再通过传送接口122将包含前述的 验证响应码的验证响应信息156传回移动电子装置11。移动电子装置11 的接收接口111接收验证响应信息156，产生模块114再将其所包含的验 证响应码加载到身份验证相关信号154中。

前述计算机12及移动电子装置11间验证请求码与验证响应码的传送 方式，可以用人工方式从一方的屏幕读取再从另一方的键盘输入，或者通 过两者之间的直接联机(如红外线或USB联机)管道传送。

服务器13的接收接口131接收来自移动电子装置11的身份验证回复 信号(即身份验证相关信号154)后，验证模块134验证其包含的验证请求 码或验证响应码，便可判断移动电子装置11是否确为申请电子凭证及索 取秘钥者。具体地说，若身份验证回复信号154包含验证请求码，则服务 器13判断此验证请求码是否与先前传送的验证请求码相同。若身份验证 回复信号154包含验证响应码，则服务器13利用公钥验证验证响应码， 以验证是否对应至先前传送的验证请求码。若是，由于第一实施例的服务 器13本身具有认证中心(Certificate Authority，简称CA)CA/注册管理中心 (Registration Authority，简称RA)的功能，因此兼负CA/RA任务的产生模 块132利用公知技术产生移动电子装置11所申请的电子凭证，并将该电 子凭证与秘钥密文一并到电子凭证信息中，再使用传送接口133传送前述 的电子凭证信息157至移动电子装置11。在此要强调的是，服务器13本 身不一定要具有CA/RA的功能，其亦可与具有CA/RA功能的计算机联机， 由其产生电子凭证，再将电子凭证传至服务器13。

移动电子装置11则通过其接收接口111接收电子凭证信息157，摄取 模块113自电子凭证信息157中摄取电子凭证及秘钥。更具体地说，摄取 模块113自电子凭证信息157摄取电子凭证及秘钥密文，解密模块115利 用之前取得的密钥加密密钥解密该秘钥密文以得该秘钥。移动电子装置11 自此可利用该电子凭证及该秘钥在网络上交换信息的安全保护。

由于计算机12具有较佳的电子凭证管理功能以及较快速的网络联机 能力，因此第一实施例通过上述的设置，使移动电子装置11通过计算机 12向服务器13申请电子凭证及索取秘钥。第一实施例提供了较公知技术 更为完善的方式使计算机12为移动电子装置11申请电子凭证。另外，第 一实施例也可利用不同的验证方式以确定移动电子装置的身份，更加强了 第一实施例的安全性。

本发明的第二实施例亦为申请电子凭证及传递秘钥的系统(即，移动 电子装置向服务器申请电子凭证及通过服务器向计算机索取秘钥)，同样 包含移动电子装置、计算机以及服务器。第二实施例的移动电子装置、计 算机及服务器的具体结构与第一实施例的各装置相同，主要差异在于第二 实施例的计算机先前已申请电子凭证，因此装置间所传送及接收的信号有 所不同。

参照图1，由于计算机12已具有电子凭证、公钥及秘钥，因此，产生 模块121不需要产生公钥及秘钥，只需产生密钥加密密钥。接着，加密模 块123利用该密钥加密密钥加密该秘钥，得到秘钥密文。之后，产生模块 121产生申请信号，表示申请将电子凭证及秘钥转送给移动电子装置11， 此申请信号包含秘钥密文、移动电子装置11的手机号码、以及先前申请 的电子凭证。签章模块124利用该秘钥对该申请信号进行数字签章。传送 接口122再传送前述的申请信号151至服务器13。同样地，传送接口122 亦传送密钥加密密钥152至移动电子装置11，使移动电子装置11后续可 利用密钥加密密钥152处理电子凭证及秘钥。

服务器13自接收接口131接收计算机12传来的申请信号151后，验 证模块134使用申请信号151中的公钥验证申请信号151内的签章，以确 认申请信号151的内容的正确性，并获得前述的秘钥密文、移动电子装置 的手机号码及电子凭证。同样地，服务器13必须进一步确认移动电子装 置11是否确为申请电子凭证及索取秘钥者。因此，产生模块132根据申 请信号151产生身份验证请求信号，此身份验证请求信号包含产生模块 132以随机方式产生的验证请求码。接着，服务器13通过传送接口133 通过移动电话网络的短信服务系统(Short Message Service，简称SMS)以短 信的方式传送身份验证请求信号153至该手机号码(即移动电子装置11)。

移动电子装置11通过接收接口111接收来自服务器13的身份验证请 求信号153，此时移动电子装置11必须根据身份请求信号153向服务器 13作身份确认，即传送身份验证相关信号至服务器13，其中身份验证相 关信号包含身份验证请求码或身份验证响应码，其具体实现的方式与第一 实施例所描述的二种方式相同，故不赘述。

服务器13的接收接口131接收来自移动电子装置11的身份验证回复 信号(即身份验证相关信号154)后，验证模块134验证此验证回复信号中 的验证响应码，即可判断移动电子装置11是否确为申请电子凭证及索取 秘钥者。若是，产生模块132接着产生电子凭证信息，其包含先前接收自 计算机12的电子凭证及秘钥密文，传送接口133传送电子凭证信息157 至移动电子装置11。移动电子装置11则通过其接收接口111接收电子凭 证信息157，摄取模块113再以如第一实施例中所述的方式自电子凭证信 息157中摄取电子凭证及秘钥。移动电子装置11自此可利用该电子凭证 及该秘钥在网络上交换信息的安全保护。

第二实施例除了具有第一实施例的优点外，更具有重复利用电子凭证 的优点。亦即，当计算机已有了电子凭证，便可跟移动电子装置分享同一 个电子凭证，以降低申请及维护的成本。

本发明的第三实施例如图2所示，为申请电子凭证及索取秘钥的系统 2，包含移动电子装置21、计算机22以及服务器23。移动电子装置21包 含接收接口211、传送接口212、摄取模块213、产生模块214以及解密模 块215。计算机22包含产生模块221、传送接口222、加密模块223、签 章模块224、接收接口225、摄取模块226以及解密模块227。服务器23 包含接收接口231、产生模块232、传送接口233以及验证模块234。

第三实施例与第一实施例的主要差异在于当移动电子装置21自服务 器23接收身份验证请求信号253后，移动电子装置21、计算机22及服务 器23的后续动作。移动电子装置21自服务器23接收身份验证请求信号 253后，传送接口212传送身份验证相关254信号至计算机22，而计算机 22的接收接口225接收身份验证相关信号254，其中身份验证相关信号254 包含身份验证请求信号253的内容。接着，计算机22根据身份验证相关 信号254，传送身份验证回复信号255至服务器23，以通知服务器23移 动电子装置21确为申请电子凭证者。具体地说，计算机22可利用如第一 实施例所描述的二种方式产生身份验证回复信号255。亦即，第一种方式 为计算机22的摄取模块226自身份验证相关信号254摄取验证请求码， 签章模块224利用秘钥对验证请求码做签章运算以得验证响应码，传送接 口222传送包含验证响应码的身份验证回复信号255至服务器；第二种较 为简易的方式则是使身份验证回复信号255直接包含验证请求码，不需经 过签章的动作。

服务器23的接收接口231接收身份验证回复信号255后，其验证模 块234验证此身份验证回复信号中的验证请求码或验证响应码是否正确。 具体地说，若为验证请求码，则验证模块234判断是否与先前所传送的验 证请求码相同。若为验证响应码，则验证模块234利用公钥验证此验证响 应码。若验证的结果为正确，传送接口233根据身份验证回复信号255， 传送电子凭证信息256至移动电子装置21。移动电子装置21的接收接口 211接收此电子凭证信息后，利用摄取模块213摄取出电子凭证及秘钥密 文。移动电子装置21再利用其解密模块215解密此秘钥密文以得此秘钥。

通过上述的设置，第三实施例提供取得电子凭证及秘钥的另一途径。

第三实施例也具有第一实施例的优点。换言之，第三实施例使具有较 佳的电子凭证管理功能以及较快速的网络联机能力的计算机22替移动电 子装置21向服务器23申请电子凭证及索取秘钥，提供了较公知技术更为 完善的方式。另外，第三实施例还可利用不同的验证方式以确定移动电子 装置的身份，更加强了第一实施例的安全性。

本发明的第四实施例为一种为移动电子装置申请电子凭证及索取秘 钥的方法(即，移动电子装置向服务器申请电子凭证及通过服务器向计算 机索取秘钥)，此方法应用于前述的系统1中。该方法由移动电子装置11、 计算机12及服务器13分别执行，分别表示于图3A及3B。图3A及3B 中，流程方框排为三行，自左边起第一行为移动电子装置11执行的步骤， 第二行为计算机12执行的步骤，而第三行则为服务器13执行的动作。

首先，该计算机12的产生模块121执行步骤321产生密钥加密密钥。 接着，该计算机12的传送接口122执行步骤322以传送该密钥加密密钥 至该移动电子装置11，使该移动电子装置11在将来可利用该密钥加密密 钥处理该电子凭证及该秘钥。接着，该计算机12的产生模块121执行步 骤323以产生公钥及秘钥，再以加密模块123执行步骤324以利用该密钥 加密密钥加密该秘钥以得秘钥密文。接着，该计算机12的产生模块121 执行步骤325，为该移动电子装置11产生申请信号，用以表示该移动电子 装置11申请该电子凭证及该秘钥，其中该申请信号包含该移动电子装置 11的号码、该秘钥密文及与该秘钥相对应的公钥。该计算机12的签章模 块接着执行步骤326，利用该秘钥对该申请信号进行数字签章。之后，该 计算机12的传送接口122执行步骤327以传送该申请信号至该服务器13， 通知该服务器13该移动电子装置11申请该电子凭证及该秘钥。

接着，该服务器13的接收接口131执行步骤341自该计算机12接收 该申请信号。接着，该服务器13的验证模块134执行步骤342利用该申 请信号中的公钥验证该申请信号。接着，该服务器13的产生模块132执 行步骤343，根据该申请信号产生身份验证请求信号，传送接口133再执 行步骤344以传送该身份验证请求信号至该移动电子装置11，以求证该移 动电子装置11为申请该电子凭证者，其中，该身份验证请求信号包含验 证请求码。

该移动电子装置11的接收接口111接着执行步骤311，自该服务器 13接收该身份验证请求信号。接着，该移动电子装置11的摄取模块113 执行步骤312，自该身份验证请求信号摄取该验证请求码，该移动电子装 置11的产生模块114执行步骤319产生包含该验证请求码的验证请求信 息，传送接口112再执行步骤313传送该验证请求码至该计算机12。该计 算机12的接收接口125则执行步骤328以接收该验证请求信息，并使签 章模块124执行步骤329以利用该秘钥对验证请求信息所包含的验证请求 码签章，以得验证回应码。之后，该计算机12的传送接口122执行步骤 330，传送包含该验证响应码的验证响应信息。该移动电子装置11的接收 接口111接着执行步骤314，接收该验证响应信息。接着，该移动电子装 置11的产生模块114执行步骤315产生该身份验证相关信号(亦即验证回 复信号)，该身份验证相关信号包含该验证响应码。接着，传送接口112 再执行步骤316以传送身份验证相关信号。值得一提的是，该移动电子装 置11亦可在执行步骤312后，直接执行步骤315产生该身份验证相关信 号，此时，该身份验证相关信号则是包含该验证请求码，而非该验证回应 码。接着，该移动电子装置11根据该身份验证请求信号，传送该身份验 证相关信号，以通知该服务器13该移动电子装置11确为申请该电子凭证 者。

接着，该服务器13的接收接口131执行步骤345接收身份验证回复 信号，其中，该身份验证回复信号为该身份验证相关信号。之后，该服务 器的验证模块134执行步骤346验证该身份验证回复信号中的验证响应 码。接着，该服务器13的传送接口133执行步骤347以根据该身份验证 回复信号传送电子凭证信息，其中，该电子凭证信息包含该电子凭证及该 秘钥密文。

该移动电子装置11的接收接口111接着执行步骤317以接收电子凭 证信息，摄取模块113再执行步骤318以自该电子凭证信息中摄取该电子 凭证及该秘钥。具体地说，步骤318还包含自该计算机12接收该密钥加 密密钥；自该电子凭证信息摄取该秘钥密文；以及利用该密钥加密密钥解 密该秘钥密文以得该秘钥。

除了前述的步骤外，第四实施例亦可执行第一实施例的所有操作，所 属技术领域的技术人员可通过第一实施例的说明，理解第四实施例的相对 应步骤或动作，故不再赘述。因此，第四实施例亦具有第一实施例所具有 的优点。

本发明的第五实施例为一种为移动电子装置申请电子凭证及秘钥的 方法(即，移动电子装置向服务器申请电子凭证及通过服务器向计算机索 取秘钥)，此方法应用于前述第二实施例的系统1中。该方法由移动电子 装置11、计算机12及服务器13分别执行。第五实施例中，该移动电子装 置11、该计算机12及该服务器13所执行的步骤与第四实施例类似，主要 的差别仅在于传递的信号的内容。因此，在此仅描述两实施例相异之处。

第五实施例的情形为，该计算机在先前已申请电子凭证，因此可将该 计算机12的该电子凭证与该移动电子装置11分享，以节省成本。由于该 计算机12已具有该电子凭证，故该计算机12在申请该电子凭证前已具有 公钥及秘钥。因此，该计算机12不需执行步骤323以产生该公钥及该秘 钥。而该计算机12所执行的步骤325所产生的申请信号，则还包含了先 前申请的该电子凭证。另一差异处则是在于服务器13执行的步骤346，以 及移动电子装置11所执行的步骤317，其中，电子凭证信息中所包含的电 子凭证为该计算机12先前申请的。

除了前述的步骤外，第五实施例亦可执行第二实施例的所有操作，此 技术领域具有通常知识者可通过第二实施例的说明，明了第五实施例的相 对应步骤或动作，故不再赘述。因此，第五实施例亦具有第二实施例所具 有的优点。

本发明的第六实施例为为移动电子装置申请电子凭证及秘钥的方法 (即，移动电子装置向服务器申请电子凭证及通过服务器向计算机索取秘 钥)，此方法应用于前述的系统2中。该方法由移动电子装置21、计算机 22及服务器23分别执行，分别表示于第4A、4B图。第六实施例的该移 动电子装置21、该计算机22及该服务器23所执行的步骤亦与第四实施例 类似，因此，在此仅强调相异的处。

首先，该计算机22执行步骤321至327；接着，该服务器23执行步 骤341至步骤344。之后，该移动电子装置22根据该服务器23使接收接 口211执行步骤311以接收身份验证请求信号。该移动电子装置21的传 送接口212接着执行步骤316传送身份验证相关信号至该计算机22。

该计算机22的接收接口接着执行步骤421，自该移动电子装置21接 收身份验证相关信号。然后，该计算机22的摄取模块226执行步骤422， 自该身份验证相关信号摄取验证请求码，并再使签章模块224执行步骤 423，以该秘钥对该验证请求码进行数字签章以得验证响应码；以及使传 送接口222执行步骤424以传送身份验证回复信号至该服务器23，用以通 知该服务器23该移动电子装置21确为申请该电子凭证者，其中，该身份 验证回复信号包含该验证响应码。于某些情况，该计算机22亦可于步骤 422后，直接执行步骤424，此时，该身份验证回复信号则是包含该验证 请求码。

该服务器23接着使接收接口231执行步骤345，接收身份验证回复信 号，亦即，来自该计算机22的该身份验证回复信号。之后，该服务器23 的验证模块234验证身份验证回复信号中的验证响应码。接着，该服务器 23的传送接口233再执行步骤347，传送电子凭证至该移动电子装置21。

该移动电子装置21则接续执行步骤317及步骤318以得到该电子凭 证及该秘钥。

除了前述的步骤外，第六实施例亦可执行第三实施例的所有操作，所 属技术领域的技术人员可通过第三实施例的说明，理解第四实施例的相对 应步骤或动作，故不再赘述。因此，第六实施例亦具有第三实施例所具有 的优点。

前述的方法可利用一种计算机可读取媒体，其储存计算机程序来执行 前述的步骤。此计算机可读取媒体可以是软盘、硬盘、光盘、随身碟、磁 带、可由网络存取的数据库或所属技术领域的技术人员可轻易想到具有相 同功能的储存媒体。

综上所述，本发明利用具有较佳电子凭证管理以及网络联机功能的计 算机，使之替移动电子装置向服务器申请电子凭证及索取秘钥。在申请电 子凭证的不同阶段，可采用不同的方式实现。具体地说，该服务器会对该 移动电子装置做身份确认，身份确认可以用不同方式完成。此外，该服务 器可直接传递该电子凭证至该移动电子装置，或通过该计算机传送给该移 动电子装置。再者，替该移动电子装置的该计算机有可能已具有该电子凭 证，亦有可能不具有该电子凭证。若有，则该计算机会将自身具有的该电 子凭证通过该服务器传给该移动电子装置，以节省费用。在这些过程当中， 同时可纳入不同的加解密方式，以保护传送的该电子凭证、该秘钥等的安 全。通过上述的安排，本发明可针对实际环境做不同的调整，达到通过该 计算机替该移动电子装置向该服务器申请该电子凭证及索取秘钥的目的。

上述实施例仅为举例说明本发明的原理及其效果，而非用于限制本发 明。任何所属技术领域的技术人员均可在不违背本发明的技术原理及精神 的情况下，对上述实施例进行修改及变化。因此本发明的权利保护范围应 如权利要求所列。