KR100872099B1 - 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 - Google Patents

컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 Download PDF

Info

Publication number
KR100872099B1
KR100872099B1 KR1020067000046A KR20067000046A KR100872099B1 KR 100872099 B1 KR100872099 B1 KR 100872099B1 KR 1020067000046 A KR1020067000046 A KR 1020067000046A KR 20067000046 A KR20067000046 A KR 20067000046A KR 100872099 B1 KR100872099 B1 KR 100872099B1
Authority
KR
South Korea
Prior art keywords
network access
grid
authentication
certificate
user
Prior art date
Application number
KR1020067000046A
Other languages
English (en)
Other versions
KR20060096979A (ko
Inventor
데니스 마리 젠티
스완 패트릭 물렌
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20060096979A publication Critical patent/KR20060096979A/ko
Application granted granted Critical
Publication of KR100872099B1 publication Critical patent/KR100872099B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

사용자 디바이스는 네트워크 액세스 디바이스를 통해 네트워크 액세스 인증 서버, 즉, RADIUS 서버에 의한 네트워크 액세스 인증 동작을 개시하고, 상기 라디우스 서버는 또한 X.509 프록시 인증서를 발생시키고 상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스로 복귀되는 네트워크 액세스 파라미터들의 세트와 같은 정보와 함께 상기 프록시 인증서를 포함한다. 상기 사용자 디바이스는 상기 프록시 인증서를 추출하여 저장한다. 상기 네트워크 액세스 파라미터들은 그리드를 지지하는 네트워크 상에서 상기 네트워크 액세스 디바이스를 통해 통신하도록 상기 사용자 디바이스에 의해 사용된다. 상기 사용자 디바이스가 그리드내의 자원에 액세스할 때, 프록시 인증서는 이미 사용가능하고, 그럼으로써 새로운 프록시 인증서를 발생시킬 필요성을 제거하고 사용자 디바이스의 사용자는 네트워크 액세스와 그리드 액세스에 대한 통합된 싱글-사인-온(single-sign-on)을 경험할 수 있다.
네트워크 액세스 디바이스, 인증 서버, 네트워크 액세스, 그리드 액세스

Description

컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및 시스템{METHOD AND SYSTEM FOR A SINGLE-SIGN-ON ACCESS TO A COMPUTER GRID}
본 발명은 개선된 데이터 프로세싱 시스템에 관한 것으로, 특히, 멀티컴퓨터 데이터 전달 방법 및 장치에 관한 것이다. 보다 구체적으로, 본 발명은 컴퓨터-대-컴퓨터 인증 방법 및 장치를 제공한다.
기업들은 일반적으로 인터넷을 포함하는 다양한 네트워크 전체에 걸쳐 사용자 친화적으로 권한 부여된 사용자들에게 보호 자원들에 대한 안전한 액세스를 제공하는 것을 소망한다. 원격 인증 다이얼-인 사용자 서비스(RADIUS; Remote Authentication Dial-In User Service)프로토콜은 매우 널리 사용되고 있는 네트워크들에 대한 원격 액세스를 안전하게 하는 서버 인증 및 어카운팅(accounting)프로토콜이다. 그러나, 적절하게 인증된 사용자가 네트워크에 대한 액세스를 획득한 이후에, 네트워크상의 악의적인 사용자가 상기 사용자로부터의 전자 메시지들을 엿들을 수 있고 또는 상기 사용자로부터의 메시지들을 속일 수 있다. 전자 통신의 무결성 및 비밀에 대한 관심이 인터넷-기반 서비스들의 채택에 따라 커지고 있다. 다양한 암호화 및 인증 기술들이 개발되어 비대칭 암호화키와 같은 전자 통신을 보호하고 있다.
디지털 인증서들에 대한 표준들의 X.509 세트가 공표되어 암호키의 사용을 포함하는 공통, 안전한, 계산 프레임워크를 생성하고 있다. X.509 디지털 인증서는 인터넷 엔지니어링 태스크 포스(IETF)에 의해 채택된 국제 전기 통신 연합(ITU)의 표준이다. 그것은 인증서내의 피인증인명에 의해 아마도 식별된 인증서 홀더를 그의 공개 암호키로 암호적으로 설정한다. 이러한 암호 설정은 인증 기관(CA)으로 불리우는 X.509 인증서들에 대한 인터넷 공개키 인프라스트럭처(PKIX)내의 신뢰된 엔티티의 관련에 기초하고 있다. 그 결과, 인증서 홀더와 그의 공개키 사이의 강하고 신뢰된 연관은 부정방지 및 신뢰할 수 있는 공개 정보로 될 수 있다. 이러한 신뢰성의 중요한 양태는 인증서가 사용을 위해 공개되기 전에 인증 기관이 인증서 상에 날인하는 디지털 서명이다. 그 이후로, 인증서가 서비스의 사용을 위해 시스템에게 제공될 때마다 피인증인(subject)홀더가 인증되기 전에 그의 서명이 검증된다. 인증 프로세스가 성공적으로 완료된 이후에, 인증서 홀더는 어떤 정보, 서비스들, 또는 다른 제어된 자원들에 대한 액세스를 제공받을 수 있다, 즉, 인증서 홀더는 어떤 시스템에 액세스하도록 권한 부여될 수 있다.
인터넷-관련 기술 및 웹-관련 기술의 광범위한 채택은, 주로 하이퍼텍스트 트랜스포트 프로토콜(HTTP)과 같은 통신 프로토콜의 채택 뿐만 아니라 X.509 인증서와 같은 표준의 채택을 보다 적은 정도로 포함하여, 수 천개의 조직과 사업체들 및 수 백만의 개인에 의해 물리적으로 지원되고 있는 상호접속된 컴퓨터들의 글로벌 네트워크를 성장시킬 수 있었다. 최근에, 기업들은 많은 컴퓨터의 계산 능력을 그리드(grid)로 조직화하기 위해 노력하고 있으며, 그리드는 개별적인 컴퓨터에 대 해 국소적이고 자율적인 제어를 유지하면서 계산 능력 및 데이터 저장 능력을 집합적으로 공유하는 많은 컴퓨터의 논리적인 조직화이다. 이들 많은 기업은 그리드 컴퓨팅에 대한 커뮤니티-주도 표준을 개발하기 위해 GGF, Inc. 에 의해 지원되고 있는 Global Grid ForumTM 에서 협력하고 있다.
Global Grid ForumTM 은 그리드-관련 기술들을 개발하기 위해 정부 기관, 법인, 및 대학들에 의해 지원되어 온 하나의 노력으로, 오픈 그리드 서비스 아키텍처(OGSA)를 개발하였으며, 웹 서비스들에 기초한 서비스-지향 프레임워크에 그리드 개념을 포함시키는데 주도적이다. Globus Toolkit® 는 그리드-이용가능 애플리케이션들을 개발하기 위한 소프트웨어 프로그래밍 도구를 제공하는 오픈 그리드 서비스 아키텍처의 구현이고, 그리드 시큐리티 인프라스트럭처(GSI)는 시큐리티 기능을 구현하는 Globus Toolkit® 의 일부분이다. GSI 는 그리드내의 사용자 인증을 위한 기초로서 X.509 인증서를 사용한다.
안전한 인증 메카니즘을 제공하는 것이 보호 자원들에 대한 권한부여되지 않은 액세스의 위험을 감소시킬 수 있지만, 동일 인증 메카니즘은 보호 자원들과 사용자의 상호작용에 대한 장벽이 될 수 있다. 사용자들은 일반적으로 애플리케이션들을 지원하는 각각의 특별한 시스템을 보호하는 인증 장벽에 상관없이 일방의 애플리케이션과의 상호작용으로부터 타방의 애플리케이션과의 상호작용으로 점프하는 능력을 소망한다.
사용자들이 보다 약아짐에 따라, 그들은 컴퓨터 시스템들이 그들의 실행을 조정하여 사용자에게 가해지는 부담이 감소될 것을 기대한다. 이러한 종류의 기대들은 또한 인증 프로세스에도 적용된다. 사용자는 일단 그가 또는 그녀가 컴퓨터 시스템에 의해 인증되었으면, 사용자가 때때로 볼 수 없는 다양한 컴퓨터 아키텍처에 상관없이 사용자의 작업 세션 전체에 걸쳐 또는 적어도 특정한 시간 동안, 인증 신임장(credentials)이 유효해야 한다라고 가정할 수 있다. 기업들은 일반적으로 사용자를 위로할 뿐만 아니라 사용자 능률을 증가시키기 위해 그들의 작동 시스템의 특징으로 이들 기대를 충족시키려 노력하며, 사용자가 주어진 시간 프레임에서 다수의 인증 프로세스를 거치는 것은 사용자의 능률에 현저하게 영향을 줄 수 있기 때문에, 사용자의 능률은 고용인 생산성 또는 고객 만족에 관련되어 있다.
다양한 기술들이 사용자들 및 컴퓨터 시스템 관리자에 가해지는 인증 부담을 저감시키기 위해 사용되었다. 이들 기술은 그들이 공통 목적을 갖기 때문에 일반적으로 "싱글-사인-온"(SSO)프로세스로서 기재된다: 사용자가 사인-온 동작을 완료한 후에, 즉, 인증된 후에, 후속으로 사용자는 다른 인증 동작을 수행할 필요가 없다. 목표는 사용자의 세션 동안 단 한 번의 인증 프로세스만을 완료하도록 사용자에게 요구한다는 것이다.
그리드의 고도로 분산된 성질 때문에, 싱글-사인-온 기능의 개념을 그리드 아키텍처의 인프라스트럭처에 포함시키려는 노력이 있었다. 예를 들어, Globus Toolkit® 는 X.509 인증서의 사용을 통해 싱글-사인-온 기능을 구현한다; 상기 싱글-사인-온 기능은 그리드내의 자원들에 적용되므로 그리드내의 다수의 서비스의 사용자는 사용되고 있는 각 서비스에 대한 인증 도전을 통과할 것이 요구되지 않는다.
그러나, 사용자는 그리드내의 서비스들에 액세스를 시도하기 전에 네트워크에 대한 초기 액세스를 획득하기 위하여 인증 도전을 통과할 것이 통상적으로 요구된다. 사용자가 네트워크에 대한 인증 동작을 완료한 후에, 사용자는 네트워크를 통해 그리드내의 자원들에 대한 액세스를 시도할 수 있다. 그러므로, 사용자는 그리드내의 자원들에 대한 액세스를 획득하기 위해 통상적으로 2개의 인증 도전을 통과해야 하고, 이것은 싱글-사인-온 동작의 개념과 반대이고 그리드 인프라스트럭처에 싱글-사인-온 기능을 포함시키려는 노력을 없앤다.
그러므로, 성공적으로 완료될 때, 네트워크에 대한 액세스를 허용하고 후속으로 네트워크를 통해 액세스되는 그리드 내의 자원들에 대한 액세스를 허용하는 싱글-사인-온 동작을 제공하는 방법을 갖는 것이 유리할 것이다. RADIUS 서버와 GlobusTM-이용가능 그리드와 같은 표준 상세에 따라 공통으로 구현되는 엔티티들에 순응하는 싱글-사인-온 동작을 제공하는 것이 특별히 유리할 것이다.
RADIUS 서버와 같은 네트워크 액세스 인증 서버를 위한 사용자 레지스트리는 사용자의 비밀키 및 사용자의 공개키 인증서를 유지하도록 구성되어 있고, 이들 사용자의 비밀키 및 사용자의 공개키 인증서는 RADIUS 프로토콜에 따라 구현되는 대로, 네트워크 액세스 인증 동작 동안 네트워크 액세스 인증 서버에 대해 이용가능하다. 사용자 레지스트리 내의 정보를 사용하여, 네트워크 액세스 인증 서버는 사용자를 위한 네트워크 액세스 인증 동작 동안 사용자를 위한 프록시 인증서를 생성할 수 있다. 프록시 인증서는 네트워크 액세스 디바이스를 통해 사용자 디바이스로 네트워크 액세스 파라미터들과 함께 복귀된다. 프록시 인증서는 사용자 디바이스에서 적절한 위치에 저장되고, 그 다음에 프록시 인증서는 잡(job)들이 그리드 내부에 의뢰될 때 그리드-클라이언트 애플리케이션들에 대해 이용가능하다.
이후의 어느 시점에서, 그리드-클라이언트 애플리케이션은 그리드 내부로의 잡의 의뢰를 준비한다. 그리드-클라이언트 애플리케이션이 네트워크 액세스 인증 동작 동안 미리 저정되었던 유효하고, 새로운 프록시 인증서를 발견하면, 그리드-클라이언트 애플리케이션은 새로운 프록시 인증서의 생성을 보류한다. 그러므로, 새로운 프록시 인증서의 생성과 관련되어 있는 인증 동작에 대한 필요성이 그 때에는 새로운 프록시 인증서가 사용자 디바이스에서 생성될 필요가 없다는 사실에 의해 제거된다.
제 1 양태의 관점에서 본 발명은 인증 동작 방법을 제공한다. 상기 방법은 네트워크 액세스 디바이스를 통해 사용자 디바이스로부터 네트워크 액세스 인증 서버로의 네트워크 액세스 인증 동작을 시작하는 단계; 상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스에서 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 수신하는 단계; 상기 수신된 정보로부터 프록시 인증서를 추출하는 단계; 및 상기 사용자 디바이스에서 상기 프록시 인증서를 저장하는 단계를 구비한다.
본 발명은 네트워크 액세스 디바이스를 통해 트랜잭션 요청 메시지를 그리드 내부로 전송하는 단계; 및 상기 그리드에 상기 프록시 인증서를 제공하는 단계를 구비하는 것이 바람직하다.
본 발명은 상기 그리드에 대한 동작들이 Globus Toolkit® 를 사용하는 소프트웨어에 의해 수행되는 방법을 제공하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 방법을 제공하는 것이 바람직하다.
제 2 양태의 관점에서 본 발명은 인증 동작에 대한 방법을 제공한다. 상기 방법은 네트워크 액세스 디바이스를 통해 사용자 디바이스를 위한 네트워크 액세스 인증 서버에서 네트워크 액세스 인증 동작을 수행하는 단계; 네트워크 액세스 인증 서버에서 프록시 인증서를 생성하는 단계; 및 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 사용자 디바이스에 대한 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 송신하는 단계를 구비하고, 여기에서 상기 정보는 생성된 프록시 인증서를 포함한다.
본 발명은 네트워크 액세스 인증 동작을 시작했던 엔티티와 관련되어 있는 프록시 인증서를 제공하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 서버에서 공개키 인증서 및 사용자 레지스트리로부터의 관련 비밀키를 검색하는 단계; 공개키 인증서로부터의 정보를 프록시 인증서 내부에 삽입하는 단계; 및 비밀키를 사용하여 프록시 인증서에 디지털 서명하는 단계를 더 구비하는 방법을 제공하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 방법을 제공하는 것이 바람직하다.
본 발명은 프록시 인증서가 RADIUS 프로토콜에서의 벤더 특유 속성(VSA:vendor-specific attributes)내에서 송신되는 방법을 제공하는 것이 바람직하다.
제 3 양태의 관점에서 본 발명은 인증 동작을 위한 데이터 프로세싱 시스템에서 사용하는 컴퓨터 판독가능한 매체내의 컴퓨터 프로그램 제품을 제공하며, 상기 컴퓨터 프로그램 제품은 네트워크 액세스 디바이스를 통해 사용자 디바이스로부터 네트워크 액세스 인증 서버로의 네트워크 액세스 인증 동작을 시작하는 수단; 상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스에서 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 수신하는 수단; 상기 수신된 정보로부터 프록시 인증서를 추출하는 수단; 및 상기 사용자 디바이스에서 상기 프록시 인증서를 저장하는 수단를 구비한다.
본 발명은 네트워크 액세스 디바이스를 통해 트랜잭션 요청 메시지를 그리드 내부로 전송하는 수단; 및 상기 그리드에 상기 프록시 인증서를 제공하는 수단을 더 구비하는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
본 발명은 상기 그리드에 대한 동작들이 Globus Toolkit® 를 사용하는 소프트웨어에 의해 수행되는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
제 4 양태의 관점에서 본 발명은 인증 동작을 위한 데이터 프로세싱 시스템에서 사용하는 컴퓨터 판독가능한 매체내의 컴퓨터 프로그램 제품을 제공하며, 상기 컴퓨터 프로그램 제품은 네트워크 액세스 디바이스를 통해 사용자 디바이스를 위한 네트워크 액세스 인증 서버에서 네트워크 액세스 인증 동작을 수행하는 수단; 네트워크 액세스 인증 서버에서 프록시 인증서를 생성하는 수단; 및 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 사용자 디바이스에 대한 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 송신하는 수단을 구비하고, 여기에서 상기 정보는 생성된 프록시 인증서를 포함한다.
본 발명은 프록시 인증서가 네트워크 액세스 인증 동작을 시작했던 엔티티와 관련되어 있는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
본 발명은, 네트워크 액세스 인증 서버에서 공개키 인증서 및 사용자 레지스트리로부터의 관련 비밀키를 검색하는 수단; 공개키 인증서로부터의 정보를 프록시 인증서 내부에 삽입하는 수단; 및 비밀키를 사용하여 프록시 인증서에 디지털 서명하는 수단을 구비하는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
본 발명은 프록시 인증서가 RADIUS 프로토콜에서의 벤더 특유 속성 내에서 송신되는 컴퓨터 프로그램 제품을 제공하는 것이 바람직하다.
제 5 양태의 관점에서 본 발명은 인증 동작을 위한 장치를 제공한다. 상기 장치는, 네트워크 액세스 디바이스를 통해 사용자 디바이스로부터 네트워크 액세스 인증 서버로의 네트워크 액세스 인증 동작을 시작하는 수단; 상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스에서 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 수신하는 수단; 상기 수신된 정보로부터 프록시 인증서를 추출하는 수단; 및 상기 사용자 디바이스에서 상기 프록시 인증서를 저장하는 수단를 구비한다.
본 발명은 상기 네트워크 액세스 디바이스를 통해 트랜잭션 요청 메시지를 그리드 내부로 전송하는 수단; 및 상기 그리드에 상기 프록시 인증서를 제공하는 수단을 더 구비하는 장치를 제공하는 것이 바람직하다.
본 발명은 상기 그리드에 대한 동작들이 Globus Toolkit® 를 사용하는 소프트웨어에 의해 수행되는 장치를 제공하는 것이 바람직하다.
본 발명은 상기 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 장치를 제공하는 것이 바람직하다.
제 6 양태의 관점에서 본 발명은 인증 동작을 위한 장치를 제공한다. 상기 장치는, 네트워크 액세스 디바이스를 통해 사용자 디바이스를 위한 네트워크 액세스 인증 서버에서 네트워크 액세스 인증 동작을 수행하는 수단; 네트워크 액세스 인증 서버에서 프록시 인증서를 생성하는 수단; 및 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 사용자 디바이스에 대한 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 송신하는 수단을 구비하고, 여기에서 상기 정보는 생성된 프록시 인증서를 포함한다.
본 발명은 프록시 인증서가 네트워크 액세스 인증 동작을 시작했던 엔티티와 관련되어 있는 장치를 제공하는 것이 바람직하다.
본 발명은, 네트워크 액세스 인증 서버에서 공개키 인증서 및 사용자 레지스트리로부터의 관련 비밀키를 검색하는 수단; 공개키 인증서로부터의 정보를 프록시 인증서 내부에 삽입하는 수단; 및 비밀키를 사용하여 프록시 인증서에 디지털 서명하는 수단을 더 구비하는 것이 바람직하다.
본 발명은 네트워크 액세스 인증 동작이 RADIUS 프로토콜을 사용하여 수행되는 장치를 제공하는 것이 바람직하다.
본 발명은 프록시 인증서가 RADIUS 프로토콜에서의 VSA 내에서 송신되는 장치를 제공하는 것이 바람직하다.
이하, 첨부된 도면을 참조하여, 예시적으로만, 본 발명의 실시예들을 상세히 설명한다.
도 1a 는 통상적인 데이터 프로세싱 시스템들의 네트워크를 나타내고, 이들 각각은 본 발명을 실행할 수 있고;
도 1b 는 본 발명이 실행될 수 있는 데이터 프로세싱 시스템에서 사용될 수 있는 통상적인 컴퓨터 아키텍처를 나타내고;
도 1c 는 엔티티(entity)가 디지털 인증서를 획득하는 통상적인 방식을 나타 내고;
도 1d 는 엔티티가 분산 데이터 프로세싱 시스템에서 디지털 인증서를 사용할 수 있는 통상적인 방식을 나타내는 블록 다어어그램이고;
도 2a 는 네트워크 및 네트워크를 통해 그리드에 액세스하는 사용자 디바이스를 포함하는 통상적인 데이터 프로세싱 시스템을 나타내는 블록 다이어그램이고;
도 2b 는 본 발명의 일 실시예에 따라 네트워크 및 그리드에 액세스하는 사용자 디바이스를 포함하는 데이터 프로세싱 시스템을 나타내는 블록 다이어그램이고;
도 3 은 본 발명의 일 실시예에 따라 사용자 레지스트리내에 그리드-관련 정보를 확립하는 프로세스를 나타내는 흐름도이고;
도 4 는 본 발명의 일 실시예에 따라 네트워크 액세스를 위한 인증 동작과 그리드 액세스를 위한 인증 동작을 통합하여 조합된 네트워크-앤드-그리드 싱글-사인-온 동작을 제공하는 서버측 프로세스를 나타내는 흐름도이고; 또한
도 5 는 본 발명의 일 실시예에 따라 네트워크 액세스를 위한 인증 동작과 그리드 액세스를 위한 인증 동작을 통합하여 조합된 네트워크-앤드-그리드 싱글-사인-온 동작을 제공하는 클라이언트측 프로세스를 나타내는 흐름도이다.
일반적으로, 본 발명을 구성하거나 또는 본 발명과 관련 있는 디바이스들은 매우 다양한 데이터 프로세싱 기술을 포함한다. 그러므로, 본 발명을 보다 상세하게 설명하기에 앞서 분산 데이터 프로세싱 시스템 내의 하드웨어와 소프트웨어 컴 포넌트들의 통상적인 구성을 배경지식으로서 설명한다.
이제 도면을 참조하면, 도 1a 는 통상적인 데이터 프로세싱 시스템들의 네트워크를 나타내고, 이들 각각은 본 발명의 일부를 실행할 수 있다. 분산 데이터 프로세싱 시스템(100)은 네트워크(101)를 포함하고, 상기 네트워크는 분산 데이터 프로세싱 시스템(100)내에 함께 접속된 다양한 디바이스와 컴퓨터 사이의 통신 링크를 제공하는데 사용될 수 있는 매체이다. 네트워크(101)은 배선 케이블 또는 광섬유 케이블과 같은 영구 접속, 또는 전화 혹은 무선 통신을 통해 행해지는 임시 접속을 포함할 수 있다. 도시된 예에서, 서버(102 및 103)는 저장 유닛(104)과 함께 네트워크(101)에 접속되어 있다. 또한, 클라이언트(105-107)도 또한 네트워크(101)에 접속되어 있다. 클라이언트(105-107)및 서버(102-103)는 메인프레임, 개인용 컴퓨터, 개인용 휴대정보 단말기(PDA)와 같은 다양한 컴퓨팅 디바이스에 의해 표현될 수 있다. 분산 데이터 프로세싱 시스템(100)은 부가적인 서버, 클라이언트, 라우터, 다른 디바이스들 및 도시되지 않은 피어-투-피어(peer-to-peer)아키텍처를 포함할 수 있다.
도시된 예에서, 분산 데이터 프로세싱 시스템(100)은 서로 통신하기 위해 LDAP(Lightweight Directory Access Protocol), TCP/IP(Transport Control Protocol/Internet Protocol), HTTP(Hypertext Transport Protocol), WAP(Wireless Application protocol)등과 같은 다양한 프로토콜을 사용하는 네트워크들 및 게이터웨이들의 세계적인 집합을 대표하는 네트워크(101)를 갖는 인터넷을 포함할 수 있다. 물론, 분산 데이터 프로세싱 시스템(100)은 또한 예를 들어, 인트라넷, LAN(Local Area Network), 또는 WAN(Wide Area Network)과 같은 많은 상이한 종류의 네트워크를 포함할 수 있다. 예를 들어, 서버(102)는 직접 클라이언트(109)및 무선 통신 링크를 포함하는 네트워크(110)를 지원한다. 네트워크-활용 전화기(111)는 무선 링크(112)를 통해 네트워크(110)에 접속하고, PDA(113)는 무선 링크(114)를 통해 네트워크(110)에 접속한다. 전화기(111)와 PDA(113)는 또한 BluetoothTM 무선 기술과 같은 적절한 기술을 사용하는 무선 링크(115)를 통해 그들 사이에서 직접 데이터를 전송하여 소위 PAN(Personal Area Network)또는 개인 애드-혹(ad-hoc)네트워크를 생성할 수 있다. 유사한 방식으로, PDA(113)는 무선 통신 링크(116)를 통해 PDA(107)로 데이터를 전송할 수 있다. 본 발명은 다양한 하드웨어 플랫폼 상에서 실행될 수 있다. 도 1a 는 본 발명에 대한 아키텍처 한계로서가 아니라 혼성 컴퓨팅 환경의 예로서 의도되어 있다.
도 1b 를 참조하면, 도 1a 에 도시된 바와 같은, 본 발명이 실행될 수 있는데이터 프로세싱 시스템의 통상적인 컴퓨터 아키텍처를 나타내고 있다. 데이터 프로세싱 시스템(120)은 내부 시스템 버스(123)에 접속된 하나 이상의 CPU(122)를 포함하고, 상기 시스템 버스는 RAM(124), ROM(126), 및 입/출력 어댑터(128)를 상호접속하고, 상기 입/출력 어댑터는 프린터(130), 디스크 유닛(132), 또는 오디오 출력 시스템 등의 도시되지 않은 다른 디바이스와 같은 다양한 I/O 디바이스를 지원한다. 시스템 버스(123)는 또한 통신 링크(136)에 대한 액세스를 제공하는 통신 어댑터(134)를 접속한다. 사용자 인터페이스 어댑터(148)는 키보드(140)와 마우스 (142), 또는 터치 스크린, 스타일러스(stylus), 마이크로폰, 등의 다른 디바이스와 같은 다양한 사용자 디바이스들을 접속한다. 디스플레이 어댑터(144)는 시스템 버스(123)를 디스플레이 디바이스(146)에 접속한다.
당업자는 도 1b 에서의 하드웨어가 시스템 구현에 의존하여 변할 수 있음을 이해할 것이다. 예를 들어, 상기 시스템은 Intel® Pentium® 프로세서와 DSP(digital signal processor)와 같은 하나 이상의 프로세서, 및 하나 이상 종류의 휘발성 및 비휘발성 메모리를 가질 수 있다. 도 1b 에 도시된 하드웨어에 부가하여 또는 하드웨어를 대체하여 다른 주변 디바이스들이 사용될 수 있다. 도시된 예들은 본 발명에 대한 아키텍처 한계를 의미하는 것은 아니다.
다양한 하드웨어 플랫폼 상에서 구현될 수 있다는 것에 부가하여, 본 발명은 다양한 소프트웨어 환경에서 구현될 수 있다. 통상적인 오퍼레이팅 시스템을 사용하여 각 데이터 프로세싱 시스템내의 프로그램 실행을 제어할 수 있다. 예를 들어, 일방의 디바이스는 Unix® 오퍼레이팅 시스템을 실행할 수 있고, 타방의 디바이스는 단순한 Java® 런타임 환경을 포함할 수 있다. 대표적인 컴퓨터 플랫폼은, 그래픽 파일, 워드 프로세서 파일, XML(Extensible Markup Language), HTML(Hypertext Markup Language), HDML(Handheld Device Markup Language), WML(Wireless Markup Language)와 같은 다양한 포맷과 언어, 및 다양한 다른 포맷과 다른 종류의 파일로 하이퍼텍스트 문서를 액세스하는 주지된 소프트웨어 애플리케이션인 브라우저를 포함할 수 있다.
여기에서 다이어그램의 기재는 사용자 디바이스 또는 디바이스의 사용자에 의한 어떤 행동을 포함한다. 당업자라면 클라이언트에 대한 응답 및/또는 요구/클라이언트로부터의 응답 및/또는 요구는 어떤 경우에는 사용자에 의해 개시되고 다른 경우에는 클라이언트의 사용자를 대신하여 종종 클라이언트에 의해 자동적으로 개시된다. 그러므로, 클라이언트 또는 클라이언트의 사용자가 다이어그램의 기재에 언급될 때, 용어 "클라이언트" 및 "사용자" 는 설명된 프로세스의 의미에 현저하게 영향을 주지 않고 상호교환가능하게 때때로 사용될 수 있음을 이해할 것이다.
본 발명은 도 1a 와 도 1b 에 대해 상술된 바와 같이, 다양한 하드웨어와 소프트웨어 플랫폼 상에 구현될 수 있다. 보다 구체적으로, 본 발명은 디지털 인증서를 사용하는 인증 동작의 향상에 관한 것이다. 향상된 인증 서비스를 보다 상세하게 설명하기 전에, 비대칭 암호키 및 디지털 인증서의 사용을 설명한다.
디지털 인증서는 통신 또는 트랜잭션에 관련된 각각의 당사자가 공개키와 비밀키로 불리우는 한 쌍의 키를 갖는 공개키 암호화를 지원한다. 각 당사자의 공개키는 공개되지만 비밀키는 비밀로 유지된다. 공개키들은 특정한 엔티티와 관련된 숫자들이고 상기 엔티티와의 상호작용의 신뢰를 요구하는 모든 사람에게 주지된다. 비밀키들은 특정한 엔티티에 대해서만 주지되어 있다, 즉, 비밀로 유지된다. 통상적인 비대칭 암호 시스템에 있어서, 비밀키는 정확하게 하나의 공개키에 대응한다.
공개키 암호화 시스템내에서, 모든 통신은 공개키에만 관련되고 비밀키는 전송되거나 혹은 공유되지 않기 때문에, 비밀 메시지들은 공개 정보만을 사용하여 생성될 수 있고 의도된 수령자만이 소유하고 있는 비밀키만을 사용하여 암호해독될 수 있다. 또한, 공개키 암호화는 암호화를 통한 비밀 뿐만 아니라 디지털 서명을 통한 인증에도 사용될 수 있다. 암호화는 비밀 암호해독키없이 어느 누구에 의해서도 판독할 수 없는 형태로 데이터를 변환하는 것이고; 암호화에 의해, 비록 의도되지 않은 사람이 암호화된 데이터를 볼 수 있을 지라도, 의도되지 않은 사람으로부터 정보의 내용을 은닉함으로써 비밀을 보장한다. 인증은 디지털 메시지의 수신자가 송신자의 신원 및/또는 메시지의 무결성(integrity)을 확신할 게 하는 프로세스이다.
예를 들어, 송신자가 메시지를 암호화할 때, 수신자의 공개키를 사용하여 원래의 메시지내의 데이터를 암호화된 메시지의 내용으로 변환한다. 송신자는 의도된 수령자의 공개키를 사용하여 데이터를 암호화하고, 수신자는 그의 비밀키를 사용하여 암호화된 메시지를 암호해독한다.
데이터를 인증할 때, 서명자의 비밀키를 사용하여 데이터로부터 디지털 서명을 계산함으로써 데이터가 서명될 수 있다. 일단 데이터가 디지털 서명되면, 상기 데이터는 서명자의 신원 및 서명과 함께 저장될 수 있고 상기 서명은 상기 데이터가 서명자로부터 유래한 데이터임을 검증한다. 서명자는 그의 비밀키를 사용하여 데이터를 서명하고 수신자는 서명자의 공개키를 사용하여 서명을 검증한다.
인증서는 개인, 컴퓨터 시스템, 상기 시스템상에서 실행하는 특정한 서버, 등과 같은 엔티티들의 신원 및 키 소유권을 보증하는 디지털 문서이다. 인증서들은 인증 기관에 의해 발행된다. 인증 기관(CA)은 보통 트랜잭션에 대해 신뢰된 제 3 자로서 다른 사람 또는 엔티티에 대해 인증서들을 서명 또는 발행하도록 신뢰받은 엔티티이다. CA 는 보통 인증서에 서명한 엔티티를 신뢰할 수 있게 하는 공개키와 그것의 소유자 사이의 바인딩(binding)의 보증에 대해 일종의 법적인 책임을 갖는다. 상업적인 인증 기관은 많이 있다. 이들 인증 기관은 인증서를 발행할 때 엔티티의 신원과 키 소유권을 검증할 책임이 있다.
만일 인증 기관이 어느 엔티티에 대한 인증서를 발행하면, 상기 엔티티는 공개키와 상기 엔티티에 대한 정보를 제공해야 한다. 특수하게 장비된 웹(Web)브라우저와 같은 소프트웨어 도구는 이러한 정보를 디지털 서명하여 그것을 인증 기관으로 송신할 수 있다. 인증 기관은 신뢰하는 제 3 자 인증 기관 서비스들을 제공하는 회사일 수 있다. 인증 기관은 인증서를 생성하여 그것을 되돌려줄 것이다. 인증서는 일련 번호 및 인증서가 유효한 날짜와 같은 다른 정보를 포함할 수 있다. 인증 기관에 의해 제공된 값들의 일 부분은, 다양한 인증 서비스 관례(CSPs; certification service practices)로 숨김없이 공개되어 있는 그들의 검증 요구사항에 부분적으로 의존하여, 중립적이고 신뢰하는 도입 서비스로서 기능할 것이다.
CA 는 요구하는 엔티티의 공개키와 함께 다른 식별 정보를 끼워 넣은 다음 CA 의 비밀키로 디지털 인증서에 서명함으로써 새로운 디지털 인증서를 생성한다. 트랜잭션 또는 통신 동안 디지털 인증서를 수신하는 모든 사람은 CA 의 공개키를 사용하여 인증서내의 서명된 공개키를 검증할 수 있다. 그 의도는 CA 의 서명이 디지털 인증서에 대한 부정 방지 봉인(tamper-proof seal)으로서 작용하고, 그럼으로써 인증서내의 데이터의 무결성을 보장한다는 것이다.
인증서 프로세싱의 다른 양태들은 또한 표준화되고, X.509 공개키 인프라스 트럭처(PKIX)에 대한 보다 많은 정보는 www.ietf.org 의 인터넷 엔지니어링 태스크 포스(IETF; Internet Engineering Task Force)로부터 얻을 수 있다. 예를 들어, 인증서 요구 메시지 포맷(RFC2511)은 신뢰 당사자(relying party)가 CA 로부터 인증서를 요구할 때마다 사용하도록 추천되어 있는 포맷을 명시한다. 인증서 관리 프로토콜은 또한 인증서들을 전송을 위해 공표되어 있다. 본 발명은 디지털 인증서를 처리하는 분산 데이터 프로세싱 시스템에 상주하기 때문에, 도 1c 및 도 1d 를 사용하여 디지털 인증서에 대해 유용한 배경 정보를 예시한다.
이제 도 1c 를 참조하면, 블록 다이어그램은 개인이 디지털 인증서를 획득하는 통상적인 방법을 나타낸다. 일종의 클라이언트 컴퓨터를 통해 조작하는 사용자(152)는 사전에 공개키/비밀키 쌍, 즉 사용자 공개키(154)와 사용자 비밀키(156)를 획득하거나 또는 생성했다. 사용자(152)는 사용자 공개키(154)를 포함하는 인증서 요구(158)를 생성하고 CA 공개키(162)및 CA 비밀키(164)를 소유하고 있는 인증 기관(160)으로 상기 요구를 송신한다. 인증 기관(160)은 어떤 방식으로 사용자(152)의 신원을 검증하고 사용자 공개키(154)를 포함하는 X.509 디지털 인증서(166)를 생성한다. 완전한 인증서는 CA 비밀키(164)로 서명되며; 상기 인증서는 사용자의 공개키, 사용자와 관련된 명칭, 및 다른 속성을 포함한다. 사용자(152)는 새롭게 생성된 디지털 인증서(166)를 수신한 다음, 사용자(152)는 필요에 따라 디지털 인증서(166)를 제공하여 신뢰된 트랜잭션 또는 신뢰된 통신에 참가할 수 있다. 사용자(152)로부터 디지털 인증서(166)를 수신하는 엔티티는 CA 공개키(162)를 사용하여 CA 의 서명을 검증할 수 있으며, 상기 CA 공개키는 인증 기관의 공개키 인증서 에 공개되어 있으며, 상기 인증 기관의 공개키 인증서는 검증 엔티티에 대해 입수가능하거나 또는 검증 엔티티에 의해 획득가능하다.
이제 도 1d 를 참조하면, 블록 다이어그램은 엔티티가 인터넷 시스템 또는 애플리케이션에 대해 인증되기 위해 디지털 인증서를 사용하는 통상적인 방법을 나타낸다. 사용자(172)는 X.509 디지털 인증서(174)를 소유하며, 상기 디지털 인증서는 호스트 시스템(178)상의 애플리케이션(176)으로 전송되거나 또는 애플리케이션에 의해 획득가능하고; 애플리케이션(176)은 디지털 인증서들을 처리하고 사용하는 X.509 기능(functionality)을 구비한다. 사용자(172)는 데이터에 서명하거나 또는 암호화하여 그의 공개키와 함께 애플리케이션(176)으로 송신한다.
인증서(174)를 수신하거나 또는 획득하는 엔티티는 애플리케이션, 시스템, 서브시스템 등일 수 있다. 인증서(174)는 애플리케이션(176)에 대해 사용자(172)를 식별하는 피인증자 명칭 또는 피인증자 식별기를 포함하며, 상기 애플리케이션은 사용자(172)를 위한 일종의 서비스를 수행할 수 있다. 인증서(174)를 사용하는 엔티티는 사용자(172)로부터의 서명된 또는 암호화된 데이터에 대해 인증서를 사용하기 전에 인증서의 인증을 검증한다.
호스트 시스템(178)은 또한, 시스템(178)내의 서비스들 및 자원에 액세스하는 사용자(172)를 인증하는데, 즉, 사용자의 신원과 사용자 특권을 일치시키는데 사용되고 있는 시스템 레지스트리(180)를 포함할 수 있다. 예를 들어, 시스템 관리자는 사용자의 신원이 어떤 시큐리티 그룹에 속하도록 구성할 수 있고, 사용자는 총괄적으로 시큐리티 그룹에 대해 사용가능하도록 구성되어 있는 그들의 자원에만 액세스할 수 있도록 제한된다. 권한부여 방식을 부여하는 다양한 주지의 방법이 시스템에서 사용될 수 있다.
종래 기술에 대해 미리 기재한 바와 같이, 디지털 인증서를 적절하게 검증하기 위해, 애플리케이션은 인증서가 권한제거 되었는지 여부를 체크해야 한다. 인증 기관이 인증서를 발행할 때, 인증 기관은 고유한 일련 번호를 생성하고 이 일련 번호에 의해 인증서가 식별되고, 이러한 일련 번호는 X.509 인증서내의 "일련 번호" 필드내에 저장된다. 통상적으로, 권한제거된 X.509 인증서는 인증서의 일련 번호를 통해 CRL 내에서 식별되고; 권한제거된 인증서의 일련 번호는 CRL 내의 일련 번호들의 리스트에 나타난다.
인증서(174)가 아직은 유효한가를 결정하기 위해, 애플리케이션(176)은 CRL 리포지토리(repository;182)로부터 인증서 권한제거 리스트(CRL; certificate revocation list)를 획득하고 CRL 을 허가한다. 애플리케이션(176)은 인증서(174)내의 일련 번호와 검색된 CRL 내의 일련 번호 리스트를 비교하고, 만일 일치하는 일련 번호가 없으면, 애플리케이션(176)은 인증서(174)를 허가한다. 만일 CRL 이 일치하는 일련 번호를 가지면, 인증서(174)는 거절되어야 하고, 애플리케이션(176)은 임의의 컨트롤러 자원에 대한 액세스를 위한 사용자의 요구를 거절하도록 적절한 대책을 취할 수 있다.
이제 도 2a 를 참조하면, 블록 다이어그램은 네트워크 및 상기 네트워크를 통해 그리드에 액세스하는 사용자 디바이스를 포함하는 통상적인 데이터 프로세싱 시스템을 나타낸다. 사용자 디바이스(200)는 네트워크 액세스 디바이스(204)를 통 해 네트워크(202)상에서 데이터를 송신하고 수신한다. 사용자 디바이스(200)는 도 1a 에 도시되어 있는 클라이언트(105-107)와 유사하고, 네트워크(202)는 도 1a 의 네트워크(101)와 유사하다. 네트워크 액세스 디바이스(204)는 네트워크 액세스 서버, 이서넷 스위치, 무선 액세스 포인트, 또는 접속을 인증하고 권한을 부여하기 위한 RADIUS 프로토콜 또는 유사한 프로토콜을 실행시킬 수 있는 다른 종류의 네트워크 액세스 디바이스일 수 있다.
네트워크 액세스 인증 서버(206)는 사용자가 적절한 프로토콜을 사용하여 네트워크에 접속하도록 사용자를 인증하고 권한 부여하는 요구들을 다루며; 바람직한 실시예에서, 서버(206)는 RADIUS 프로토콜을 지원하고, 이 경우에 네트워크 액세스 디바이스(204)는 RADIUS 클라이언트로서 간주되고 사용자 디바이스(200)는 액세스 클라이언트로서 간주될 것이다. 서버(206)는 다양한 엔티티에 의해, 즉, 데스크톱 컴퓨터와 같은 많은 액세스 클라이언트를 동작시키는 법인에 의해, 또는 액세스 클라이언트를 동작시키는 개별 사용자에게 그의 서비스를 판매하는 ISP(Internet Service provider)에 의해 동작될 수 있다.
서버(206)는 데이터 베이스 또는 다른 종류의 데이터 저장소일 수 있는 사용자 레지스트리(208)내의 사용자 정보를 저장하고 검색한다. 사용자 레지스트리(208)는 각 사용자에 대한 계정 정보를 저장하며 상기 계정 정보에 대해 네트워크 액세스가 서버(206)에 의해 제어될 것이다. 서버(206)의 동작을 위한 시스템 관리자는 각 사용자에 대한 등록 동작을 완료한다고 가정될 수 있다. 사용자 레지스트리(208)는 사용자 디바이스(200)를 동작시키는 특정한 사용자에 대한 계정 정보 (210)를 포함하는 것으로 예시되어 있지만, 다른 사용자들에 대한 계정 정보도 또한 사용자 레지스트리(208)내에 저장될 것이고; 계정 정보(210)는 상기 특정한 사용자에 대한 사용자명(212)및 비밀문구(passphrase; 214)를 포함한다.
서버(206)가 RADIUS 프로토콜에 따라 동작하는 것으로 가정하면, 사용자 디바이스(200)는 다음의 단순화된 예에서 네트워크(202)에 액세스할 수 있다. 사용자 디바이스(200)는 네트워크 액세스 디바이스(204)와 함께 포인트-투-포인트 프로토콜(PPP)인증 동작을 시작한다, 즉, 사용자 디바이스(200)의 사용자에 응답하여 웹 브라우저 애플리케이션을 시작하고, 차례로, 자동적으로 다이얼-업 네트워킹 프로그램을 시작한다. 네트워크 액세스 디바이스(204)는 사용자명과 비밀구문에 대한 요구와 함께 응답하고, 사용자 디바이스(200)는 사용자로부터 사용자명 및 그와 관련된 비밀구문을 획득하고 상기 값들의 쌍을 네트워크 액세스 디바이스(204)로 되돌리고, 상기 네트워크 액세스 디바이스는 사용자명 및 비밀구문을 RADIUS 서버(206)로 송신한다; 상기 비밀구문은 프로세스 전체에 걸쳐 적절한 암호화에 의해 보호된다라고 가정될 수 있다. RADIUS 서버(206)는 수신된 사용자면/비밀구문 조합을 사용자 레지스트리(208)내의 정보에 따라 확인하고 허용 응답 또는 거절 응답에 따라 응답한다. 사용자 정보가 성공적으로 확인되는 것으로 가정하면, RADIUS 서버(206)는 배치구성 정보를 네트워크 액세스 디바이스(204)로 복귀시키고 이것은 사용자 디바이스(200)에게 서비스를 제공할 것을 요구, 즉, IP 어드레스와 같은 세션(session)을 위해 사용될 파라미터들을 서술하는 속성값 쌍들의 리스트가 사용자 디바이스(200)에 할당된다. 네트워크 액세스 디바이스(204)는 정보를 사용자 디바 이스(200)로 복귀시키고, 사용자 디바이스(200)는 데이터 트래픽을 네트워크 액세스 디바이스(204)로 전송하도록 진행하고, 상기 네트워크 액세스 디바이스는 상기 데이터를 네트워크(202)를 통해 전송한다.
네트워크(202)내의 서비스들에 액세스할 필요가 있을 때, 사용자 디바이스(200)상에서 실행하는 애플리케이션들은 클라이언트 데이터 저장소(216)에 대한 액세스를 갖고, 상기 클라이언트 데이터 저장소(datastore)는 사용자 비밀키(218)와 함께 그와 관련된 사용자 공개키 인증서(220)를 안전하게 저장한다; 사용자 비밀키(218)는 비밀구문(214)또는 다른 비밀 정보를 사용하여 암호화될 수 있고, 또는 다른 수단을 통해 보호될 수 있다. 사용자 디바이스(200)는 웹 브라우저 애플리케이션과 같은 많은 상이한 종류의 애플리케이션을 지원할 수 있고, 클라이언트 데이터 저장소(216)는 다양한 애플리케이션내의 저장소를 포함하고 또는 다양한 애플리케이션에 의해 제어되는, 다양한 상이한 형태로 하나 이상의 데이터 저장소로서 구현될 수 있다.
사용자 디바이스(200)는 또한 그리드-클라이언트 애플리케이션(230), 즉, 그리드(232)내의 서비스/자원을 요구하거나 또는 액세스할 수 있는 클라이언트 애플리케이션을 지원하고; 그리드-클라이언트 애플리케이션(230)은 예를 들어, 스탠드-얼론(stand-alone)프로그램, 애플릿, 또는 소프트에어 모듈의 형태로 변할 수 있다. 상술된 바와 같이, 그리드는 개별적인 컴퓨터에 대한 국소적이고 자율적인 제어를 유지하면서 계산 능력 및 데이터 저장 능력의 집합적인 공유를 제공하는 많은 컴퓨터들의 논리적/가상적 조직화이다. 그리드는 하나 이상의 네트워크내의 물리적으로 지원된 엘리먼트들의 가상적인 조직화이기 때문에, 그리고 네트워크(202)는 하나 이상의 네트워크(인터넷을 포함할 수 있음)를 대표하기 때문에, 그리드(234)는 네트워크(202)내의 자원들의 부분집합으로서 도 2a 에 예시되어 있다.
본 발명의 바람직한 실시예에서, 그리드-클라이언트 애플리케이션(230)은 Globus Toolkit® 에 따라 동작하고, 상기 Globus Toolkit® 의 양태들이 아래에 간략하게 설명된다. 잡(job)들이 "글로버스런(globusrun)" 명령어의 사용을 통해 그리드 내부로 의뢰되고, 각 잡은 X.509 프록시 인증서에 의해 동반되고, 상기 프록시 인증서를 사용하여 사용자 또는 그리드 클라이언트를 인증한다. 그러므로, 프록시 인증서는 잡이 그리드 상에서 실행(run)될 수 있기 전에 생성되어야 한다.
프록시 인증서가 그리드 클라이언트에 의해 그리드 서비스로 전송될 때, 그리드 클라이언트는 그것이 그리드 클라이언트일 지라도 그리드 서비스에 대한 권리를 다른 그리드 서비스들로 권한 부여하도록 한다. 잡이 그리드내에서 처리됨에 따라, 다수의 서비스들이 트리거되어 의뢰된 잡의 처리를 보조할 수 있다. 프록시 인증서가 그리드내의 잡을 동반하기 때문에, 그리드내의 싱글-사인-온 동작을 용이하게 하고; 그리드 자원 또는 서비스로의 각 액세스에 대해 인증 도전이 발생하지 않는다.
프록시 인증서는 통상적으로 몇 시간 정도의 제한된 수명을 갖는 단기 세션 인증서이다. 특정한 프록시 인증서는 특정한 공개키 인증서에 기초하고 있고; 공개키 인증서에서 식별되는 피인증자는 프록시 인증서를 생성할 수 있다. 공개키 인증 서내의 특정한 공개키에 대한 대응하는 비밀키를 사용하여 프록시 인증서를 디지털 서명하고, 그럼으로써 프록시 인증서는 아래에 보다 상세하게 설명되는 바와 같이 X.509 인증서의 사용에서 암묵적인 계층적인 신뢰 경로(trust path)에 따라 검증될 수 있다.
도 2a 에 도시된 예에서, 그리드 인증 기관(CA)(236)은 사용자들에게 인증서를 발행하고 상기 사용자들은 그리드(234)내의 인증서들을 도 1c 및 도 1d 에 대해 상술한 것과 유사하게 사용할 것이다. 대안 실시예에서는, 그리드와 독립적인 다른 CA, 즉, 그리드(234)를 지원하는 사람들에 부가하여 다른 조직화에 대해 인증서들을 발행하도록 신뢰받는 제 3 자 벤더(vendor)를 채용할 수 있다. 그러나, 그리드(234)내의 싱글-사인-온 동작들의 이점을 획득하기 위해, 그리드(234)내의 모든 자원은 CA(236)과 같은 주어진 CA 를 신뢰하는 것으로 가정해야 한다. 달리 표현하면, 그리드 CA(236)은 그리드(234)에 대해 루트(root)CA 인 것으로 간주된다. 본 발명에 대하여, 그렇지만, 공개키 인증서(220)의 사용자/피인증자 및 그리드 자원/서비스(232)양방이 그리드 CA(236)를 신뢰한다고 가정하는 것으로 충분하다.
공개키 인증서(220)는 그것의 공개키를 사용하여 CA(236)에 의해 서명되었다. 일반적으로, 사용자 디바이스(200)가 서비스(232)에게 트랜잭션 요청 메시지를 송신함으로써 서비스(232)와의 트랜잭션을 시작할 때, 그것은 그것의 비밀키(218)로 트랜잭션-관련 메시지에 서명한다. 사용자 디바이스(200)는 상기 트랜잭션-관련 메시지와 함께 서비스(232)에 대한 공개키 인증서(220)의 사본을 전송할 수 있고, 또는 서비스(232)가 LDAP 디렉토리와 같은 주지된 위치(location)로부터 공개키 인증서(220)의 사본을 획득할 수 있다. 트랜잭션-관련 메시지에 서명하는데 사용되었던 비밀키(218)에 대응하는 공개키 인증서(220)의 공개키를 사용하여, 서비스(232)는 트랜잭션-관련 메시지상의 디지털 서명의 유효성을 확인한다.
유사한 방법으로, 서비스(232)는 공개키 인증서(220)에 서명하는데 사용되었던 CA 의 비밀키에 대응하는 CA(236)의 공개키 인증서의 사본에서의 공개키를 사용하여 공개키 인증서(220)의 수신된 또는 검색된 사본의 인증의 유효성을 확인한다. 서비스(232)는 주지된 위치로부터 CA(236)의 공개키 인증서의 사본을 획득할 수 있고, 또는 CA(236)의 공개키 인증서의 사본은 또한 트랜잭션-관련 메시지와 함께 전송될 수도 있다; 사용자 디바이스(200)는 CA 공개키 인증서(238)를 저장할 수 있다. 이런 방식으로, 소위 계층적인 신뢰의 체인, 신뢰 경로, 또는 인증서 경로가 형성된다; 필요하다면, 유효성 확인은 루트 CA 까지 신뢰 경로를 진행할 수 있다. 서비스(232)는 암묵적으로 CA(236)를 신뢰하기 때문에, 서비스(232)는 공개키 인증서(220)내에 식별되어 있는 피인증인에 의해 인증적으로 생성되었던 트랜잭션-관련 메시지를 신뢰하는 것으로 간주된다.
유사한 방식으로, 사용자 디바이스(200)는 비밀키(218)를 사용하여 서명된 프록시 인증서(240)를 생성하기 위해 인증 기관으로서 작용할 수 있다; 상기 생성된 프록시 인증서는 고유한 명칭 및 비대칭 암호키 쌍의 공개키를 포함한다. 프록시 인증서(240)가 사용자 디바이스(200)에 의해 서비스(232)로 전송될 때, 서비스(232)는, 필요하다면, 공개키 인증서(220), CA 공개키 인증서(238)및 신뢰 경로내의 다른 인증서들을 사용하여 프록시 인증서(240)의 신뢰 경로의 유효성을 확인한 다. 프록시 인증서(240)의 성질 때문에, 서비스(232)는 다른 서비스들에 대해 사용자 디바이스(200)를 대신하여 프록시로서 작용할 수 있다.
상술한 바와 같이, 그리드-클라이언트 애플리케이션(230)은 본 발명의 바람직한 실시예에서 Globus Toolkit® 에 따라 동작하고, 프록시 인증서는 잡이 Globus Toolkit® 를 사용하여 그리드 상에서 실행될 수 있기 전에 생성되어야 한다. "그리드-프록시-이닛(grid-proxy-init)" 명령어는 프록시 인증서를 생성하고, 그것을 특정한 파일내에 저장한다. 일 구현예에서, 상기 파일은 경로명 "/tmp/<파일명>" 에 저장되며, 여기에서 파일명은 "x509up_u<uid>" 이고, 여기에서 사용자 식별자는 "그리드-프록시-이닛" 명령어를 실행하고 있는 사용자와 관련되어 있다. 상기 파일은 프록시 인증서를 상기 프록시 인증서가 기초하고 있는 그것의 대응하는 비밀키 및 공개키 인증서의 사본과 함께 저장한다.
프록시 인증서에 디지털 서명하는데 사용되는 사용자의 비밀키는 다른 파일내에서 암호화된 채로 남아 있고; 일 구현예에서, 그것은 파일 "$HOME/ .globus/userkey.pem" 에 저장된다. 비밀키는 사용자의 그리드 비밀구문으로 액세스될 수 있다; 일 구현예에서, 이러한 비밀구문은 사용자의 공개키 인증서가 "그리드-서트-요구(grid-cert-request)" 명령어의 사용을 통해 그리드 인증 기관에 의해 생성되었을 때 사용자에 의해 제공되었던 비밀구문과 동일하다.
그러므로, 사용자가 그리드-클라이언트 애플리케이션(230)을 동작시킬 때, 그리드-클라이언트 애플리케이션(230)은 특정한 파일내에 저장되어 있는 프록시 인 증서를 사용한다; "그리드-프록시-이닛" 은 프록시 인증서를 생성하기 위해 사전에 실행되어야 한다. "글로버스런" 명령어가 불리워질 때, 실행 루틴은 파일 위치를 알고 상기 파일 위치로부터 그리드 내부로 의뢰되는 잡을 동반하는 프록시 인증서를 검색한다.
상술된 바와 같이, 프록시 인증서의 사용을 통해 구현되고 있는 그리드 싱글-사인-온 기능은 그리드 내의 자원에만 적용한다. 그러므로, 사용자가 네트워크 액세스 인증 서버를 통해 네트워크에 대한 인증 동작을 완료한 이후에, 사용자는 그리드-클라이언트 애플리케이션을 통해 그리드에 대한 다른 인증 동작을 완료하기 위해 도전될 것이다. 그러므로, 종래기술에서, 사용자는 통상적으로 그리드내의 자원들에 대한 액세스를 획득하기 위해 2 개의 인증 도전을 통과할 것이 요구되고, 이것은 싱글-사인-온 동작의 개념에 반하고 그리드 인프라스트럭처에 싱글-사인-온 기능을 포함시키려는 노력을 저감시킨다. 본 발명은 이러한 문제점에 대한 해결책을 제공한다.
이제 도 2b 를 참조하면, 블록 다이어그램은 본 발명의 일 실시예에 따라 네트워크 및 그리드에 액세스하는 사용자 디바이스를 포함하는 데이터 프로세싱 시스템을 나타낸다. 도 2b 는 도 2a 와 유사하고, 유사한 참조 번호는 유사한 구성요소를 나타낸다. 그러나, 도 2 의 실시예에서, 사용자 레지스트리에서의 사용자 계정 정보는 각 그리드 사용자의 보호된 비밀키(218)의 사본 및 공개키 인증서(220)를 포함하도록 변형되었다. 부가적으로, 도 2a 에서의 네트워크 액세스 인증 서버 및 사용자 디바이스는 부가적인 기능을 포함하도록 변형되었다. 도 2b 에서, 네트워크 액세스 인증 서버(250)는 그리드 프록시 인증서 생성기(252)를 구비하고, 사용자 디바이스(260)는 수정된 다이얼-업 프로그램(262)을 구비한다. 수정된 계정 정보 및 부가적인 기능이 채용되는 방법이 보다 상세하게 설명된다.
도 3 을 참조하면, 본 발명의 일 실시예에 따라 사용자 레지스트리 내에 그리드-관련 정보를 확립하는 프로세스를 흐름도로 나타내고 있다. 상기 프로세스는 RADIUS 서버와 같은 네트워크 액세스 인증 서버에 의해 사용되고 있는 사용자 레지스트리 데이터베이스 내의 사용자 계정을 확립하는 통상적인 사용자 등록 동작과 함께 시작된다(단계 302); 이러한 사용자 등록 동작은 도 2a 에 도시되어 있는 데이터 프로세싱 시스템에서 요구되는 사용자 등록 동작과 실질적으로 유사하다. 네트워크 액세스 인증 서버는 사용자가 네트워크에 대한 액세스하도록 허용되어야 하는가를 결정하기 위해 실질적으로 사용자 레지스트리를 사용한다.
도 2a 에 도시되어 있는 데이터 프로세싱 시스템과는 달리, 그렇지만, 도 2b 에 도시되어 있는 데이터 프로세싱 시스템은 특정한 사용자가 본 발명의 이점을 가질 것이라면 특정한 사용자의 계정 정보 내에 부가적인 정보를 저장할 것을 요구한다. 그러므로, 사용자 등록 동작 동안, 사용자의 비밀키 및 사용자의 공개키 인증서는 또한 사용자의 다른 계정 정보와 관련하여 저장되고(단계 304), 이것으로 수정된 등록 프로세스가 완료된다. 사용자의 비밀키는 사용자의 비밀구문으로 그것을 암호화함으로써 보호되는 것이 바람직하다. 이들 데이터 항목은 아웃-오브-밴드(out-of-band)프로세스를 통해 계정 등록기관(registrar)으로 전송될 수 있다; 즉, 시스템 관리자는 사용자로부터 직접 사용자의 비밀키 및 사용자의 공개키 인증서를 획득하는 것에 대해 책임을 질 수 있다.
이제 도 4 를 참조하면, 본 발명의 일 실시예에 따라 네트워크 액세스에 대한 인증 동작과 그리드 액세스에 대한 인증 동작을 통합하여 조합된 네트워크-앤드-그리드 싱글-사인-온 동작을 제공하는 서버측 프로세스를 흐름도를 나타낸다. 도 4 는 서버 상에서 발생하는 싱글-사인-온 동작을 위한 프로세스의 일부를 나타내고, 도 5 는 사용자 디바이스 상에서 발생하는 싱글-사인-온 동작을 위한 프로세스의 일부를 나타낸다. 상기 프로세스는 네트워크 액세스 인증 동작을 수행하는 네트워크 액세스 인증 서버로 시작된다(단계 402). 사용자가 성공적으로 인증된 것으로 가정된다; 그렇지 않으면, 적절한 거절 응답이 복귀될 것이다. 예를 들어, 도 2b 에 도시된 그리드 프록시 인증서 생성기 기능과 같은 확장된 기능을 갖는 RADIUS 서버는, 도 2a 에 대해 상술한 바와 같이, RADIUS 프로토콜에 따라 인증 동작을 수행한다.
그러나, 성공적인 인증을 위해 네트워크 액세스 파라미터들을 복귀시키기 전에, 네트워크 액세스 인증 서버는 사용자의 비밀키의 사본 및 사용자의 공개키 인증서의 사본, 즉, 사용자 계정 레지스트리로부터의 사본들을 획득한다(단계 404); 만일 사용자의 비밀키가 보호되면, 사용자의 비밀키의 암호화된 사본이 암호해독된다. 그리드에 액세스하지 않는 일부 사용자가 있다면 단계 404 및 단계 406 은 선택적으로 제어될 수 있음에도 불구하고, 도 3 에 도시되어 있는 프로세스의 완료에 의해 사용자의 계정 정보는 사용자의 비밀키의 사본 및 사용자의 공개키 인증서의 사본을 포함하는 것으로 가정된다. 예를 들어, 사용자의 계정 정보는 사용자가 통 합된 네트워크-그리드 싱글-사인-온 동작을 필요로 하는 그리드 사용자인지 아니지를 가리키는 값을 포함할 수 있다.
사용자가 그리드에 대한 액세스를 요구한다라고 가정하면, 네트워크 액세스 인증 서버는 상술된 바와 유사하게 프록시 인증서(단계 406)를 생성한다; 상기 프록시 인증서는 사용자의 공개키 인증서, 즉, "피인증인(subject)" 식별자로부터 복사되었던 일부 정보를 포함하고, 상기 프록시 인증서는 사용자의 비밀키로 디지털 서명된다. 그 다음에 네트워크 액세스 인증 서버는 프록시 인증서를 네트워크 액세스 파라미터들과 함께 복귀시키고(단계 408), 그럼으로써 통합된 인증 프로세스를 완료한다. 예를 들어, 도 2b 에 도시된 그리드 프록시 인증서 생성기 기능과 같은 확장된 기능을 갖는 RADIUS 서버는 벤더가 RADIUS 프로토콜내의 확장된 속성들을 지원할 수 있게 하는 벤더 특유 속성(VSA:vendor-specific attributes)내의 프록시 인증서들을 복귀시킬 수 있다.
이제 도 5 를 참조하면, 본 발명의 일 실시예에 따라 네트워크 액세스에 대한 인증 동작과 그리드 액세스에 대한 인증 동작을 통합하여 조합된 네트워크-앤드-그리드 싱글-사인-온 동작을 제공하는 클라이언트측 프로세스를 흐름도를 나타낸다. 상기 프로세스는 네트워크에 대한 액세스를 획득하려고 시도하면서 네트워크 액세스 인증 동작을 시작하고 인증 동작에 참여하는 사용자 디바이스로 시작된다(단계 502).
이후의 시점에서, 네트워크 액세스 파라미터들의 세트가 네트워크 액세스 인증 서버로부터 복귀되고 사용자 디바이스는 네트워크상의 통신을 위한 적절한 네트 워크 패킷들을 생성할 때 사용을 위해 저장한다. 수정된 다이얼-업 프로그램은 사전에 사용자 디바이스 상에 배치구성되었다; 수정된 다이얼-업 프로그램은 네트워크 액세스 인증 동작에 참여하고, 수정된 다이얼-업 프로그램은 복귀된 네트워크 액세스 파라미터들을 처리한다. 네트워크 액세스 파라미터들이 복귀되는 중이므로, 수정된 다이얼-업 프로그램은 프록시 인증서의 존재를 검출한다(단계 504). 수정된 다이얼-업 프로그램은 프록시 인증서를 추출하고 그것을 사용자 디바이스 상의 적절한 파일에 저장하고(단계 506), 그럼으로써 프로세스를 완료한다. 예를 들어, 사용자 디바이스가 Globus Toolkit® 를 사용하는 애플리케이션들로 구성되어 있다면, 수정된 다이얼-업 프로그램은 프록시 인증서를 포함하는 파일을 생성한다.
본 발명에서는, 통상적인 사용자 디바이스 및 통상적인 네트워크 액세스 인증 서버가 프록시 인증서의 전달을 수용하도록 변형되었다. 프록시 인증서가 네트워크 액세스 인증 서버로부터 사용자 디바이스로 전달되는 방법은 본 발명의 다른 실시예들에서 변할 수 있다. 본 발명의 바람직한 실시예에서, 사용자 디바이스와 네트워크 액세스 인증 서버는 아래에 서술된 기능을 지원한다.
사용자 디바이스는(포인트-투-포인트 프로토콜(PPP)와 관련된)PPP 확장가능 인증 프로토콜(Extensible Authentication protocol; 이하, EAP 로 약칭)로 통신한다; EAP 는 블렁크(Blunk)등의 "PPP Extensible Authentication protocol(EAP)", RFC 2284, Internet Engineering task Force(IETF), 1998년 3월에 정의되어 있다. RFC 2284 에 기재된 바와 같이, PPP 는 포인트-투-포인트 링크를 통해 멀티-프로토 콜 데이터그램(datagram)을 전송하는 표준 방법을 제공한다. 포인트-투-포인트 링크를 통한 통신을 확립하기 위해, PPP 링크의 각 단(end)은 링크 확립 단계 동안 데이터 링크를 구성하도록 링크 컨트롤 프로토콜(LCP; Link Control Protocol)패킷들을 초기에 송신해야 한다. 링크가 확립된 이후에, PPP 는 네트워크 레이어 프로토콜 단계로 진행하기 전에 선택적인 인증 단계를 제공한다. 디폴트에 의해, 인증은 필수가 아니지만, 링크의 인증이 요망되면, 링크 확립 단계 동안 구현예는 인증-프로토콜 배치구성 옵션(Authentication-Protocol Configuration Option)을 지정해야 한다; EAP 는 특정한 인증 프로토콜을 정의한다. 접속 인증 단계가 도달되면, 엔드포인트 디바이스들(때때로 "피어(peers)" 로 지칭)은 EAP 타입으로서 알려진 특정한 EAP 인증 방식의 사용을 협상한다.
EAP 는 요구 패킷과 응답 패킷을 정의한다; 각 요구는 어떤 정보가 요구되어 있는 중인지를 가리키는 타입 필드를 갖는다. EAP 는 초기의 EAP 타입들의 세트를 정의하고 상기 EAP 타입들의 세트는 요구/응답 교환에 사용된다. 일단 EAP 타입이 일치하면, EAP 는 파라미터들 및 접속의 필요성에 기초하여 변할 수 있는 사용자 디바이스(액세스 클라이언트)와 네트워크 액세스 인증 서버(즉, RADIUS 서버)사이의 메시지들의 개방형(open-ended)교환을 허용한다. 엔드포인트들 사이의 대화는 인증 정보에 대한 일련의 요구들 및 응답들을 구성한다.
본 발명은 EAP-정의된 "타입 6"을 사용할 수 있으며, 상기 타입 6 는 사용자 입력을 요구하는 일반적인 토큰 카드들(generic token cards)을 지원하는데 통상적으로 사용된다. 요구는 통상적으로 ASCII 텍스트 메시지를 포함한다. 응답은 통상 적으로 인증을 위해 필요한 토큰 카드 정보를 포함한다; 통상적으로, 이것은 토큰 카드 디바이스로부터 사용자에 의해 판독된 다음 ASCII 텍스트로서 입력되는 정보일 것이다.
바람직한 실시예에서는, 인증 정보(사용자명/비밀구문)가 사용자 디바이스로부터 이미 요구되고 사용자 디바이스로부터 수신된 이후에, 프록시 인증서가 "타입 6" 의 EAP 요구로서 사용자 디바이스로 전달되며, 상기 "타입 6" 의 EAP 요구는 64 킬로바이트의 가변 길이를 가질 수 있고, 64 킬로바이트는 프록시 인증서를 유지하는데 충분한 것 이상이다; 프록시 인증서는 UU-인코딩과 같은 다양한 알고리듬에 따라 모든-ASCII 텍스트 스트링으로 변환될 수 있다.
이런 방식으로, 이러한 데이터 필드가 EAP 상세에 의해 의도된 것 이외의 데이터 페이로드(payload)를 실행하도록 "오버로딩" 된다. 따라서, 사용자 디바이스로부터의 EAP 응답의 내용은 확인응답 또는 가변 더미 데이터와 같은 다양한 정보를 가질 수 있다.
EAP 는 양쪽 엔드포인트에서 인증 플러그-인 모듈들을 허용하도록 설계되어 있고, 그럼으로써 기회를 갖는 벤더가 새로운 인증 방식을 제공할 수 있다. 사용자 디바이스상의 수정된 다이얼-업 프로그램은 "타입 6" 의 오버로딩된 EAP 요구를 인식하고, ASCII 텍스트의 콘텐츠 페이로드를 추출한다; 그것은 필요하다면 UU-디코딩 알고리듬을 통해 ASCII 텍스트를 변환하여 프록시 인증서를 얻고, 프록시 인증서를 적절한 위치, 즉, 상술된 바와 같이 그리드-클라이언트 애플리케이션에 의해 사용되는 파일에 저장한다.
네트워크 액세스 디바이스는 단지 인증 패킷들의 내용을 전달하고, 그래서 네트워크 액세스 디바이스는 프록시 인증서가 전달되는 방법에 의해 영향을 받지 않는다. RADIUS 프로토콜을 실행하는 본 발명의 바람직한 실시예에서, 네트워크 액세스 디바이스는 네트워크 액세스 디바이스를 통해 임의의 EAP 타입의 EAP 메시지를 RADIUS 서버로 전달하는 소위 "RADIUS 상의 EAP"를 지원한다. 액세스 클라이언트(사용자 디바이스)와 RADIUS 서버 사이에서 송신된 EAP 메시지는 "EAP-Message" 속성으로서 포맷되고 네트워크 액세스 디바이스와 RADIUS 서버 사이에서 RADIUS 메시지로 송신된다. 따라서, 네트워크 액세스 디바이스는 액세스 클라이언트와 RADIUS 서버 사이에서 EAP 메시지들을 통과시키는 송신통과(passthrough)디바이스가 된다; EAP 메시지들은 네트워크 액세스 디바이스에서가 아니라, 액세스 클라이언트와 RADIUS 서버에서 처리된다.
네트워크 액세스 디바이스는 단지 인증 프로토콜로서 EAP 의 협상을 지원하고 EAP 메시지들을 RADIUS 서버로 통과시키는 것만이 요구되며, 이것은 많은 상업적으로 구입가능한 네트워크 액세스 디바이스에 의해 제공되는 기능이다. "EAP-Message" 속성은 리그니(Rigney)등의 "RADIUS Extensions", RFC 2869, IETF, 2000년 6월에 정의되어 있음에 유의해야 한다. 그러므로, 본 발명의 바람직한 실시예에서, 네트워크 액세스 디바이스는 그것의 인증 제공자(provider)로서 EAP 및 RADIUS 를 사용하도록 구성되어 있다. 접속 시도가 행해질 때, 사용자 디바이스는 네트워크 액세스 디바이스와 EAP 의 사용을 협상한다. 사용자 디바이스가 EAP 메시지를 네트워크 액세스 디바이스로 송신할 때, 네트워크 액세스 디바이스는 EAP 메시지를 RADIUS 메시지로서 밀봉하고 그것을 그의 배치구성된 RADIUS 서버로 송신한다. RADIUS 서버는 EAP 메시지를 처리하여 RADIUS-포맷된 EAP 메시지를 네트워크 액세스 디바이스로 되돌려 송신하고, 상기 네트워크 액세스 디바이스는 EAP 메시지를 사용자 디바이스로 보낸다.
본 발명의 이점은 위에 제공되어 있는 상세한 설명의 관점에서 명백해져야 한다. RADIUS 서버와 같은 네트워크 액세스 인증 서버를 위한 사용자 레지스트리는 사용자의 비밀키 및 사용자의 공개키 인증서를 보유하도록 구성되어 있고, 상기 사용자의 비밀키 및 사용자의 공개키 인증서는 RADIUS 프로토콜에 따라 구현된 대로,네트워크 액세스 인증 동작 동안 네트워크 액세스 인증 서버에 대해 이용가능하다. 사용자 레지스트리내의 정보를 사용하여, 네트워크 액세스 인증 서버는 사용자를 위한 네트워크 액세스 인증 동작 동안 사용자를 위한 프록시 인증서를 생성할 수 있다. 상기 프록시 인증서는 네트워크 액세스 디바이스를 통해 네트워크 액세스 파라미터들과 함께 사용자 디바이스로 복귀된다. 프록시 인증서는 사용자 디바이스에서 적절한 위치에 저장되고, 그 다음에, 프록시 인증서는 잡들이 그리드 내부에 의뢰되었을 때 그리드-클라이언트 애플리케이션들에 대해 이용가능하다.
이후의 시점에서, 그리드-클라이언트 애플리케이션은 그리드 내부로의 잡의 의뢰를 준비한다. 그리드-클라이언트 애플리케이션이 네트워크 액세스 인증 동작 동안 사전에 저장되었던 유효한, 새로운, 프록시 인증서를 발견하면, 그리드-클라이언트 애플리케이션은 그것을 사용한다. 그러므로, 새로운 프록시 인증서의 생성과 관련 있는 인증 동작에 대한 필요성은 새로운 프록시 인증서는 그 당시에 사용 자 디바이스 상에서 생성될 필요가 없다는 사실에 의해 제거된다. 이러한 방식으로, 네트워크 액세스 및 그리드 액세스에 대해 오직 한 번의 인증 동작이 수행되고, 그럼으로써 네트워크 및 그리드의 사용자에 대한 싱글-사인-온 경험을 달성한다.
본 발명은 완전히 기능하는 데이터 프로세싱 시스템의 문맥으로 설명되었지만, 당업자라면 본 발명의 프로세스들은, 분산을 실행하는데 실제로 사용되는 신호 베어링(bearing)매체의 특별한 타입에 관계없이, 컴퓨터 판독가능 매체에서의 지시의 형태 및 다양한 다른 형태로 분산될 수 있음을 이해할 것이다라는 것에 주목하는 것이 중요하다. 컴퓨터 판독가능 매체의 예들은 EPROM, ROM, 테이프, 종이, 플로피 디스크, 하드디스크 드라이버, RAM, 및 CD-ROM 과 같은 매체 및 디지털 통신 링크와 아날로그 통신 링크와 같은 전송-타입 매체를 포함한다.
방법은 소망의 결과로 인도하는 단계들의 자체-일관적인(self-consistent)시퀀스인 것으로 일반적으로 생각된다. 이들 단계는 물리량들의 물리적인 조작(manipulation)을 요구한다. 보통, 반드시 그렇지는 않지만, 이들 물리량은 저장, 전달, 조합, 비교 및 조작될 수 있는 전기적인 또는 자기적인 신호들의 형태를 취한다. 이들 신호를 비트, 값, 파라미터, 항목, 요소, 대상물, 심볼, 캐릭터, 용어, 숫자 등으로서 언급하는 것이 원리상 공통 사용의 이유로 때때로 편리하다. 그러나, 이들 모든 용어 및 유사한 용어들은 적절한 물리량들과 관련되어 있고 이들 물리량들에 적용된 단지 편리한 라벨들임에 유의해야 한다.
본 발명의 설명은 예시의 목적으로 제공되었으며 개시된 실시예들로 제한되 는 것은 의도되지 있지 않다. 당업자에게 많은 변형 및 변동이 분명할 것이다. 실시예들은 본 발명의 원리 및 그것의 실용적인 응용을 설명하기 위해 선택되었고 또한 다른 예상된 용도에 적합할 수 있는 다양한 실시예들을 다양한 변형에 의해 구현하기 위해 당업자들이 본 발명을 이해할 수 있도록 하기 위해 선택되었다.

Claims (10)

  1. 인증 동작을 위한 방법으로서,
    네트워크 액세스 디바이스를 통해 사용자 디바이스로부터 네트워크 액세스 인증 서버로의 네트워크 액세스 인증 동작을 시작하는 단계로서, 상기 사용자 디바이스와 관련된 비밀키 및 상기 사용자 디바이스와 관련된 공개키를 상기 네트워크 액세스 디바이스에 송신하는 단계를 포함하는, 상기 시작 단계;
    상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스에서 네트워크 액세스 파라미터들의 세트를 포함하는 정보를 수신하는 단계로서, 상기 정보는 상기 네트워크 액세스 인증 서버에 의해 생성된 프록시 인증서를 더 포함하고, 상기 프록시 인증서는 수 시간 정도의 제한된 수명을 갖는 단기 세션 인증서이고, 상기 프록시 인증서는 상기 공개키로부터 복사된 제2 정보를 포함하며, 상기 프록시 인증서는 상기 비밀키로 서명된 것인, 상기 수신 단계;
    상기 사용자 디바이스에서 상기 프록시 인증서를 저장하는 단계;
    상기 사용자 디바이스로부터의 트랜잭션 요청 메시지를 상기 네트워크 액세스 디바이스를 통해 그리드로 전송하는 단계로서, 상기 트랜잭션 요청 메시지는 상기 프록시 인증서 및 그리드 자원 사용 요청을 포함하고, 상기 그리드는 복수의 컴퓨터 중 개별 컴퓨터에 대한 국소적이고 자율적인(autonomous) 제어를 유지하면서 계산 능력 및 데이터 저장 능력의 집합적 공유(collective sharing)를 제공하는 상기 복수의 컴퓨터의 가상 조직을 포함하고, 사용자는 상기 그리드 자원에 대한 액세스를 획득하기 위하여 제1 인증 도전(challenge) 및 제2 인증 도전 모두를 통과할 것이 요구되고, 상기 제1 인증 도전은 상기 네트워크 액세스 인증 서버에 대한 액세스를 획득하기 위하여 통과되어야 하고 상기 제2 인증 도전은 상기 그리드 자원에 대한 액세스를 획득하기 위해 통과되어야 하며, 상기 제2 인증 도전은 상기 제1 인증 도전 이후에 수행되며, 상기 네트워크 액세스 인증 동작의 시작에 의해 상기 제1 인증 도전이 만족되고 상기 네트워크 액세스 인증 동작이 성공적으로 완료되는 것인, 상기 전송 단계; 및
    상기 그리드에 상기 프록시 인증서를 제공하는 단계로서, 상기 그리드로의 상기 프록시 인증서의 제공에 의해 상기 제2 인증 도전이 만족되고, 상기 제2 인증 도전의 만족에 의해 상기 네트워크 액세스 인증 동작이 상기 제1 인증 도전과 상기 제2 인증 도전을 모두 만족시키게 되는 것인, 상기 제공 단계
    를 포함하는 인증 동작 방법.
  2. 제1항에 있어서, 상기 프록시 인증서를 그리드 자원 또는 서비스에 의해 검증하는 단계로서, 상기 그리드 자원 또는 서비스는 다른 서비스와 관련하여 상기 사용자를 대신하여 프록시로서 작용할 수 있는 것인 상기 검증 단계를 더 포함하는 인증 동작 방법.
  3. 제1항에 있어서, 상기 그리드와 관련된 동작은 오픈 그리드 서비스 아키텍처 프로토콜을 이용하는 소프트웨어에 의해 수행되는 것인 인증 동작 방법.
  4. 제1항에 있어서, 상기 네트워크 액세스 인증 동작은 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 사용하여 수행되는 것인 인증 동작 방법.
  5. 인증 동작을 위한 방법으로서,
    네트워크 액세스 디바이스를 통해 사용자 디바이스에 대한 네트워크 액세스 인증 서버에서의 네트워크 액세스 인증 동작을 수행하는 단계로서, 상기 네트워크 액세스 디바이스에서 상기 사용자 디바이스와 연관된 비밀키와 상기 사용자 디바이스와 연관된 공개키를 수신하는 단계를 포함하는, 상기 수행 단계;
    상기 네트워크 액세스 인증 서버에서 프록시 인증서를 생성하는 단계로서, 상기 프록시 인증서는 수 시간 정도의 제한된 수명을 갖는 단기 세션 인증서이고,상기 프록시 인증서는 상기 공개키로부터 복사된 정보를 포함하고, 상기 프록시 인증서는 상기 비밀키로 서명된 것인, 상기 생성 단계;
    상기 네트워크 액세스 인증 동작의 성공적인 완료에 응답하여 상기 사용자 디바이스에 네트워크 액세스 파라미터의 세트를 포함하는 제2 정보를 전송하는 단계로서, 상기 제2 정보는 프록시 인증서를 포함하고, 상기 네트워크 액세스 인증 서버를 통해 잡(job)이 상기 사용자 디바이스로부터 그리드로 의뢰될 때 상기 프록시 인증서가 그리드-클라이언트 애플리케이션에 대해 이용가능하고, 상기 그리드는 복수의 컴퓨터 중 개별 컴퓨터에 대한 국소적이고 자율적인(autonomous) 제어를 유지하면서 계산 능력 및 데이터 저장 능력의 집합적인 공유(collective sharing)를 제공하는 상기 복수의 컴퓨터의 가상적인 조직을 포함하고, 사용자는 그리드 자원에 대한 액세스를 획득하기 위해 제1 인증 도전(challenge) 및 제2 인증 도전 모두를 통과할 것이 요구되고, 상기 제1 인증 도전은 상기 네트워크 액세스 인증 서버에 대한 액세스를 획득하기 위해 통과되어야 하고, 상기 제2 인증 도전은 상기 그리드 자원에 대한 액세스를 획득하기 위해 통과되어야 하며, 상기 제2 인증 도전은 상기 제1 인증 도전 후에 수행되며, 상기 네트워크 액세스 인증 동작의 수행에 의해 상기 제1 인증 도전이 만족되고 상기 네트워크 액세스 인증 동작이 성공적으로 완료되는 것인, 상기 전송 단계; 및
    상기 제2 인증 도전을 만족시키기 위해 상기 그리드에 상기 프록시 인증서를 제공하는 단계로서, 상기 제2 인증 도전의 만족에 의해 상기 네트워크 액세스 인증 동작이 상기 제1 인증 도전과 상기 제2 인증 도전을 모두 만족시키게 되는 것인, 상기 제공 단계
    를 포함하는 인증 동작 방법.
  6. 제5항에 있어서, 상기 프록시 인증서는 상기 사용자 디바이스와 관련되는 것인 인증 동작 방법.
  7. 제5항에 있어서, 상기 네트워크 액세스 인증 동작은 RADIUS(Remote Authentication Dial-In User Service) 프로토콜을 사용하여 수행되는 것인 인증 동작 방법.
  8. 제5항에 있어서, 상기 프록시 인증서는 RADIUS(Remote Authentication Dial-In User Service) 프로토콜에서의 벤더 특유 속성(vendor-specific attributes) 내에서 전송되는 것인 인증 동작 방법.
  9. 제1항에 있어서,
    상기 그리드에 상기 프록시 인증서를 제공하는 단계 후에, 상기 그리드로의 잡(job)의 의뢰(submission)를 준비하는 단계로서, 이 준비는 그리드-클라이언트 애플리케이션에 의해 수행되는 것인 상기 준비 단계;
    상기 그리드-클라이언트 애플리케이션에 의해 상기 프록시 인증서를 발견하는 단계;
    상기 프록시 인증서의 발견에 대응하여, 새로운 프록시 인증서의 생성을 수행하는 단계
    를 더 포함하는 인증 동작 방법.
  10. 삭제
KR1020067000046A 2003-07-01 2004-06-08 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 KR100872099B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/610,980 US7496755B2 (en) 2003-07-01 2003-07-01 Method and system for a single-sign-on operation providing grid access and network access
US10/610,980 2003-07-01

Publications (2)

Publication Number Publication Date
KR20060096979A KR20060096979A (ko) 2006-09-13
KR100872099B1 true KR100872099B1 (ko) 2008-12-05

Family

ID=33564250

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067000046A KR100872099B1 (ko) 2003-07-01 2004-06-08 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템

Country Status (6)

Country Link
US (2) US7496755B2 (ko)
JP (1) JP4632315B2 (ko)
KR (1) KR100872099B1 (ko)
CN (1) CN1701295B (ko)
TW (1) TWI321939B (ko)
WO (1) WO2005003934A1 (ko)

Families Citing this family (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7475146B2 (en) * 2002-11-28 2009-01-06 International Business Machines Corporation Method and system for accessing internet resources through a proxy using the form-based authentication
US7787497B1 (en) * 2003-03-03 2010-08-31 Cisco Technology, Inc. System for grouping attributes in packets in a radius protocol
US8473620B2 (en) * 2003-04-14 2013-06-25 Riverbed Technology, Inc. Interception of a cloud-based communication connection
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access
KR100519770B1 (ko) * 2003-07-08 2005-10-07 삼성전자주식회사 애드 혹 망에서 분산 인증서 관리 방법 및 그 시스템
US7823199B1 (en) 2004-02-06 2010-10-26 Extreme Networks Method and system for detecting and preventing access intrusion in a network
US7467303B2 (en) 2004-03-25 2008-12-16 International Business Machines Corporation Grid mutual authorization through proxy certificate generation
EP1766915B1 (en) * 2004-06-24 2008-11-19 Telecom Italia S.p.A. Method and system for controlling access to communication networks, related network and computer program therefor
US7814216B2 (en) * 2004-09-07 2010-10-12 Route 1 Inc. System and method for accessing host computer via remote computer
US7721328B2 (en) * 2004-10-01 2010-05-18 Salesforce.Com Inc. Application identity design
CA2594468A1 (en) * 2005-01-28 2006-08-03 Telefonaktiebolaget Lm Ericsson (Publ) User authentication and authorisation in a communications system
US8286223B2 (en) 2005-07-08 2012-10-09 Microsoft Corporation Extensible access control architecture
US8478986B2 (en) * 2005-08-10 2013-07-02 Riverbed Technology, Inc. Reducing latency of split-terminated secure communication protocol sessions
US8438628B2 (en) * 2005-08-10 2013-05-07 Riverbed Technology, Inc. Method and apparatus for split-terminating a secure network connection, with client authentication
US8613071B2 (en) * 2005-08-10 2013-12-17 Riverbed Technology, Inc. Split termination for secure communication protocols
US20090083537A1 (en) * 2005-08-10 2009-03-26 Riverbed Technology, Inc. Server configuration selection for ssl interception
CN100466657C (zh) * 2005-12-06 2009-03-04 南京邮电大学 一种网格计算环境下的访问控制决策器
US8782393B1 (en) 2006-03-23 2014-07-15 F5 Networks, Inc. Accessing SSL connection data by a third-party
PT2011301E (pt) * 2006-04-10 2011-09-23 Trust Integration Services B V Sistema e método para a transmissão segura de dados
US20070283143A1 (en) * 2006-06-06 2007-12-06 Kabushiki Kaisha Toshiba System and method for certificate-based client registration via a document processing device
JP4882546B2 (ja) * 2006-06-28 2012-02-22 富士ゼロックス株式会社 情報処理システムおよび制御プログラム
TWI470989B (zh) * 2006-08-22 2015-01-21 Interdigital Tech Corp 在應用及網際網路為基礎服務上提供信任單一登入存取方法及裝置
EP1898330A1 (de) * 2006-09-06 2008-03-12 Nokia Siemens Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Peer-To-Peer-Anwendungen
US8555335B2 (en) * 2006-11-01 2013-10-08 Microsoft Corporation Securing distributed application information delivery
KR100901872B1 (ko) * 2006-12-01 2009-06-09 한국전자통신연구원 그리드 서비스를 이용한 이종 노매딕/이동 통신 네트워크간 협업 시스템 및 그 방법
WO2008066277A1 (en) * 2006-12-01 2008-06-05 Electronics And Telecommunications Research Institute Collaboration system and method among heterogeneous nomadic and mobile communication networks using grid services
US7974286B2 (en) * 2006-12-04 2011-07-05 International Business Machines Corporation Reduced redundant security screening
US7643175B2 (en) * 2006-12-14 2010-01-05 Eastman Kodak Company Color print enhancement system with conversion of PCS encoded picture into photographic process confined PCS and correction for finish
US7886339B2 (en) * 2007-01-20 2011-02-08 International Business Machines Corporation Radius security origin check
US8429734B2 (en) * 2007-07-31 2013-04-23 Symantec Corporation Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes
US8418238B2 (en) * 2008-03-30 2013-04-09 Symplified, Inc. System, method, and apparatus for managing access to resources across a network
US8327143B2 (en) * 2008-08-04 2012-12-04 Broadcom Corporation Techniques to provide access point authentication for wireless network
US8707043B2 (en) * 2009-03-03 2014-04-22 Riverbed Technology, Inc. Split termination of secure communication sessions with mutual certificate-based authentication
MY150173A (en) * 2009-03-16 2013-12-13 Mimos Berhad Method of generating a proxy certificate
US8156546B2 (en) * 2009-10-29 2012-04-10 Satyam Computer Services Limited Of Mayfair Centre System and method for flying squad re authentication of enterprise users
EP2348447B1 (en) 2009-12-18 2014-07-16 CompuGroup Medical AG A computer implemented method for generating a set of identifiers from a private key, computer implemented method and computing device
EP2348450B1 (en) * 2009-12-18 2013-11-06 CompuGroup Medical AG Database system, computer system, and computer-readable storage medium for decrypting a data record
EP2348452B1 (en) 2009-12-18 2014-07-02 CompuGroup Medical AG A computer implemented method for sending a message to a recipient user, receiving a message by a recipient user, a computer readable storage medium and a computer system
US8549300B1 (en) 2010-02-23 2013-10-01 Juniper Networks, Inc. Virtual single sign-on for certificate-protected resources
EP2365456B1 (en) * 2010-03-11 2016-07-20 CompuGroup Medical SE Data structure, method and system for predicting medical conditions
US8700892B2 (en) 2010-03-19 2014-04-15 F5 Networks, Inc. Proxy SSL authentication in split SSL for client-side proxy agent resources with content insertion
BR112012029148A2 (pt) * 2010-05-19 2016-08-09 Koninkl Philips Electronics Nv sistema de assinatura digital com base no atributo, estação de trabalho, estação de trabalho, aparelho de aquisição de imagem clínica, método de processamento de assinatura digital com base no atributo e produto de programa de computador
JP2012043154A (ja) * 2010-08-18 2012-03-01 Canon Inc 情報処理装置及びその制御方法
US8566596B2 (en) * 2010-08-24 2013-10-22 Cisco Technology, Inc. Pre-association mechanism to provide detailed description of wireless services
US8924715B2 (en) * 2010-10-28 2014-12-30 Stephan V. Schell Methods and apparatus for storage and execution of access control clients
KR20140035918A (ko) * 2011-04-28 2014-03-24 인터디지탈 패튼 홀딩스, 인크 다수의 sso 기술들에 대한 sso 프레임워크
US20130198513A1 (en) * 2012-01-27 2013-08-01 DoctorCom, Inc. Encryption method and system for network communication
US8874766B2 (en) 2012-03-09 2014-10-28 Mcafee, Inc. System and method for flexible network access control policies in a network environment
US9003507B2 (en) * 2012-03-23 2015-04-07 Cloudpath Networks, Inc. System and method for providing a certificate to a third party request
US9760939B2 (en) 2012-03-23 2017-09-12 The Toronto-Dominion Bank System and method for downloading an electronic product to a pin-pad terminal using a directly-transmitted electronic shopping basket entry
US9842335B2 (en) 2012-03-23 2017-12-12 The Toronto-Dominion Bank System and method for authenticating a payment terminal
US9152957B2 (en) 2012-03-23 2015-10-06 The Toronto-Dominion Bank System and method for downloading an electronic product to a pin-pad terminal after validating an electronic shopping basket entry
US9935953B1 (en) * 2012-11-06 2018-04-03 Behaviometrics Ab Secure authenticating an user of a device during a session with a connected server
KR20140131764A (ko) * 2013-05-06 2014-11-14 삼성전자주식회사 무선 통신 시스템에서 이동 단말의 접속 인증 방법 및 장치
FR3006536A1 (fr) * 2013-05-28 2014-12-05 France Telecom Technique de distribution d'un contenu dans un reseau de distribution de contenus
US20160021097A1 (en) * 2014-07-18 2016-01-21 Avaya Inc. Facilitating network authentication
JP2016085641A (ja) * 2014-10-27 2016-05-19 キヤノン株式会社 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム
US9843452B2 (en) 2014-12-15 2017-12-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US9843572B2 (en) * 2015-06-29 2017-12-12 Airwatch Llc Distributing an authentication key to an application installation
JP6672964B2 (ja) * 2016-03-31 2020-03-25 ブラザー工業株式会社 仲介サーバ
JP6540642B2 (ja) * 2016-09-21 2019-07-10 京セラドキュメントソリューションズ株式会社 認証システムおよび認証方法
JP6652074B2 (ja) * 2017-01-10 2020-02-19 京セラドキュメントソリューションズ株式会社 認証システムおよび認証方法
US11025608B2 (en) * 2017-11-10 2021-06-01 Cisco Technology, Inc. Enabling zero-touch bootstrap for devices across network perimeter firewalls
PE20210992A1 (es) * 2018-12-31 2021-06-01 Lleidanetworks Serveis Telematics Sa Metodo de contratacion cualificada certificada universal
US10856170B1 (en) * 2019-06-12 2020-12-01 Cisco Technology, Inc. Reducing traffic in a low power and lossy network based on removing redundant certificate from authentication message destined for constrained wireless device via authenticated wireless device
CN111787044A (zh) * 2019-12-23 2020-10-16 北京沃东天骏信息技术有限公司 物联网终端平台
CN111191202B (zh) * 2019-12-31 2022-08-02 北京指掌易科技有限公司 移动应用的单点登录方法、装置及系统
CN112464205A (zh) * 2020-11-20 2021-03-09 南京酷开智慧屏科技有限公司 一种用于触点连接设备的权鉴认证系统及权鉴认证方法
US11870919B2 (en) 2020-12-18 2024-01-09 Visa International Service Association Method and system for authentication credential
US20230403138A1 (en) * 2022-06-13 2023-12-14 Cyberark Software Ltd. Agentless single sign-on techniques

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144119A1 (en) * 2001-03-29 2002-10-03 Ibm Corporation Method and system for network single sign-on using a public key certificate and an associated attribute certificate

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5944824A (en) * 1997-04-30 1999-08-31 Mci Communications Corporation System and method for single sign-on to a plurality of network elements
US6694025B1 (en) * 1999-06-02 2004-02-17 Koninklijke Philips Electronics N.V. Method and apparatus for secure distribution of public/private key pairs
US6286104B1 (en) 1999-08-04 2001-09-04 Oracle Corporation Authentication and authorization in a multi-tier relational database management system
US6892307B1 (en) 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US7069440B2 (en) * 2000-06-09 2006-06-27 Northrop Grumman Corporation Technique for obtaining a single sign-on certificate from a foreign PKI system using an existing strong authentication PKI system
JP2002278933A (ja) * 2001-03-15 2002-09-27 Hitachi Software Eng Co Ltd 巡回系列による複数のサーバ間の相互認証方法及びシングルサインオン実現方法
US7353383B2 (en) * 2002-03-18 2008-04-01 Jpmorgan Chase Bank, N.A. System and method for single session sign-on with cryptography
NO318842B1 (no) * 2002-03-18 2005-05-09 Telenor Asa Autentisering og tilgangskontroll
US7200657B2 (en) * 2002-10-01 2007-04-03 International Business Machines Corporation Autonomic provisioning of network-accessible service behaviors within a federated grid infrastructure
US20040123232A1 (en) * 2002-12-18 2004-06-24 Hodges Donna K. System and method for providing a service-oriented container
US7421500B2 (en) * 2003-01-10 2008-09-02 Hewlett-Packard Development Company, L.P. Grid computing control system
US7496755B2 (en) * 2003-07-01 2009-02-24 International Business Machines Corporation Method and system for a single-sign-on operation providing grid access and network access

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144119A1 (en) * 2001-03-29 2002-10-03 Ibm Corporation Method and system for network single sign-on using a public key certificate and an associated attribute certificate

Also Published As

Publication number Publication date
KR20060096979A (ko) 2006-09-13
US7496755B2 (en) 2009-02-24
US20090113533A1 (en) 2009-04-30
US7752443B2 (en) 2010-07-06
TWI321939B (en) 2010-03-11
CN1701295B (zh) 2011-01-12
TW200509640A (en) 2005-03-01
US20050021956A1 (en) 2005-01-27
CN1701295A (zh) 2005-11-23
JP4632315B2 (ja) 2011-02-16
WO2005003934A1 (en) 2005-01-13
JP2009514046A (ja) 2009-04-02

Similar Documents

Publication Publication Date Title
KR100872099B1 (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
CN109936569B (zh) 一种基于以太坊区块链的去中心化数字身份登录管理系统
JP4600851B2 (ja) コンピュータシステム間でメッセージを通信するための安全なコンテキストの確立
US8340283B2 (en) Method and system for a PKI-based delegation process
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
JP5021215B2 (ja) Webサービス用の信頼できる第三者認証
US7356690B2 (en) Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate
US8627440B2 (en) PassThru for client authentication
JP5635133B2 (ja) セキュアな動的権限委譲
KR100986441B1 (ko) 정보 보안 방법, 정보 보안 시스템, 및 보안 프로토콜을 갖는 컴퓨터 판독 가능 저장 매체
US20020144108A1 (en) Method and system for public-key-based secure authentication to distributed legacy applications
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US20020144109A1 (en) Method and system for facilitating public key credentials acquisition
US20040064691A1 (en) Method and system for processing certificate revocation lists in an authorization system
JP2001229078A (ja) 公開鍵暗号技術に基づいた認可インフラストラクチャ
JP2009514262A (ja) 既存のsslセッションを中断することなく証明書ベースの認証にステップアップするための方法及びシステム
JP2004531914A (ja) 非安全通信チャネルを安全にするためのシステムおよび方法
US20020194471A1 (en) Method and system for automatic LDAP removal of revoked X.509 digital certificates
US11777721B2 (en) Method and apparatus for two-step data signing
Arnedo-Moreno et al. Secure communication setup for a p2p-based jxta-overlay platform
JP2012181662A (ja) アカウント情報連携システム
Moralis et al. Security Standards and Issues for Grid Computing
Leahu et al. Security Aspects in Virtual and Remote Laboratories-Implementations in the Virtual Electro Lab project.
Jeannot Kerberos V5
Norris Milton et al. Web Service Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee