系統設定階段

快速離線驗證平台採取非集權式(Serverless)驗證協定架構，使用者在執行驗 證機制前需至可信任的公正第三方機構取得授權，在本論文所提出的快速離線驗 證平台，使用者需至公開金鑰基礎建設(Public Key Infrastructure, PKI)取得合法憑 證資料(Certificate)以及利用此憑證資料向快速離線驗證平台所提供的授權伺服 器(Authority Server)註冊，成為合法系統使用者。

接下來將針對公開金鑰基礎建設(Public Key Infrastructure, PKI)授權憑證申 請驗證協定以及快速離線驗證平台所提供的授權伺服器(Authority Server)註冊驗 證流程進行說明。

4.2.1 合法憑證申請

在使用安全物流系統所提供的服務(快速離線驗證平台)前，須先至可信任的 公開金鑰基礎建設(Open CA)所提供的憑證機構(Certification Authorities , CA)註 冊，通過憑證機構審核後即可取得合法的憑證，其運作流程如圖 十六所示：

圖 十六：使用者憑證申請流程

使用者利用 FOLVCG 產生公開金鑰對(Public Key/ Private Key)後，使用 FOLVCG 所提供的憑證產生模組執行 PKCS10 封裝後，得到未經 CA 審核的憑 證資料(Certificate)，緊接著將此憑證資料傳送至 OpenCA 架構下的憑證機構(CA) 審核，當憑證通過審核後，憑證機構會在該憑證內容附加上本身的簽章，以保證 此資料已通過驗證。

31

4.2.2 合法憑證登入

當使用者取得Open CA 所建製的憑證機構所核發憑證後，接下來須至快速 離線驗證平台所建置的授權伺服器(Authority Server)，註冊合法憑證與使用者配 對資料，藉由此步驟，當供應商運送貨物抵達目的地時，快速離線驗證平台貨物 驗證模組才可經由貨物識別標籤所提供的資訊，篩選符合憑證資料以進行貨物的 合法性判別，使用者需填寫的配對資料如圖 十七所示：

圖 十七：供應商憑證配對資料

在圖 十七中公司統一編號代碼以及註冊憑證編號欄位合併後資料，用來表 示此憑證的註冊ID。

申請人姓名、申請人編制單位、申請人組織名稱、申請人所在縣市或區域以 及申請人所在單位二位國碼，這五個資料欄位構成憑證機構(CA)，用來識別憑證 資料的名稱(Distinguished Names , DN)。

當使用者送出註冊資料後，授權伺服器(Authority Server)自動連結至憑證機 構(CA)，且利用圖 十七所填申請人姓名、申請人編制單位、申請人組織名稱、

申請人所在縣市或區域以及申請人所在單位二位國碼所構成的憑證識別名稱查 詢，憑證機構合法憑證清單中是否有該筆資料，若有則回傳合法憑證資訊且授權 伺服器會發送合法使用者通知給該註冊公司，否則回傳 Null 且授權伺服器傳送 憑證資訊錯誤訊息給該註冊公司。

32

4.2.3 有效憑證更新

憑證機構(CA)所核發的憑證會有下列三種合法憑證清單項目變動的情形發 生，第一種使用者憑證過期、第二種使用者向憑證機構(CA)申請註銷憑證以及憑 證機構主動註銷憑證，當公開金鑰基礎建設(Public Key Infrastructure, PKI)的合法 憑 證 有 所 變 動 時 ， 被 註 銷 的 憑 證 資 料 會 被 紀 錄 在 證 書 撤 銷 列 表(Certificate Revocation List , CRL)中，因此授權伺服器(Authority Server)需定期的更新儲存的 憑證資料，以避免使用已被註銷的憑證資料來驗證貨物，其運作的情境如圖 十 八所示。

圖 十八：憑證資料更新流程 在圖 十八中有效憑證更新流程如下：

步驟 1：

授權伺服器向OpenCA 所提供的憑證機構要求下載最新證書 冊銷列表。

步驟 2：

憑證機構(CA)傳送最新證書冊銷列表(Certificate Revocation List)資料至授權伺服器。

步驟 3：

授權伺服器將所收到的證書冊銷列表資料與內部資料庫所記 錄的合法憑證做比對，更新資料庫憑證資訊。

33