KR20020016760A - 로밍 유저에게 인증서를 보안분배하는 방법 및 장치 - Google Patents

로밍 유저에게 인증서를 보안분배하는 방법 및 장치 Download PDF

Info

Publication number
KR20020016760A
KR20020016760A KR1020017006327A KR20017006327A KR20020016760A KR 20020016760 A KR20020016760 A KR 20020016760A KR 1020017006327 A KR1020017006327 A KR 1020017006327A KR 20017006327 A KR20017006327 A KR 20017006327A KR 20020016760 A KR20020016760 A KR 20020016760A
Authority
KR
South Korea
Prior art keywords
certificate
requester
server
challenge
iii
Prior art date
Application number
KR1020017006327A
Other languages
English (en)
Inventor
카우식발라스나타라잔
바라다라잔라모한
Original Assignee
바라다라잔 라모한
아르코트 시스템즈 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US09/196,430 external-priority patent/US6263446B1/en
Application filed by 바라다라잔 라모한, 아르코트 시스템즈 인코포레이티드 filed Critical 바라다라잔 라모한
Publication of KR20020016760A publication Critical patent/KR20020016760A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

컴퓨터 서버(110)에 액세스해서 전자 상거래를 수행하기 위해 인증서(예를들어 개인키:230)를 요구하는 로밍 유저(150)는, 컴퓨터 네트워크를 통해서 유저에게 액세스가능한 인증서 서버(160)로부터 온-디멘드 방식으로 인증서(230)를 획득할 수 있다. 인증서(230)는 간단한 공유 비밀번호, 일대일 해싱(210)을 거친 공유 비밀번호 또는 지문인식등의 생체학적 방식등의 일이상의 챌린지-응답 프로토콜에 의해 보호받을 수 있다. 만약 위장이 사용되어서 인증서(230)를 보호한다면, 위장해제는 서버(160) 또는 유저의 서버(160)에서 수행될 것이다.

Description

로밍 유저에게 인증서를 보안분배하는 방법 및 장치{METHOD AND APPARATUS FOR SECURE DISTRIBUTION OF AUTHENTICATION CREDENTIALS TO ROAMING USERS}
네트워크화된 컴퓨터 전개방식에서, 클라이언트 컴퓨터의 유저는, 전자 메일, 특권이 주어지는 또는 기밀 정보로의 액세스, 상품 또는 서비스의 획득 및 기타 전자 상거래등을 이용하기 위해서, 서버 컴퓨터에 자신을 인증시킬 필요가 있다. 관련된 정보가 비교적 저렴한 것일 때는, 유저가 간단한 패스워드로 자신을 인증시키는 것만으로 충분하다. 그러나, 정보가 고가이거나, 또는 데이터 네트워크가 보안되지 못하면, 액세스를 효과적으로 제어하기에 간단한 패스워드는 충분하지 못하다. 예를들어, 컴퓨터가 인터넷을 통해서 액세스될 때, 패스워드는 패스워드가 네트워크를 통과할 때 필터링 패킷에 의해 용이하게 캡쳐된다. 대안적으로, 패스워드가 종종 여섯 또는 그 이하의 문자이기 때문에, 패스워드는 추측되거나 총명한 도전자에 의해 "크랙"될 수 있다. 즉, 패스워드의 편리성으로 인해서 패스워드는 쉽게 알려지게 된다-만약 유저가 기억하기 쉬운 패스워드라면, 해커도 추측하기 쉽다.
패스워드의 비보안성을 극복하기 위해, 대안적인 기술이 개발되어 왔다. 이런 기술중의 하나가 비대칭형 암호화 방식이다. 이 기술에서, 유저는 개인키를 사용해서 디지털의 양으로 암호화작업(예를들어, 암호 또는 디지털 서명)을 수행하므로, 이 양은 유저의 공개키에만 액세스할 수 있는 유일한 검정기(verifier)에 의해 인증될 수 있다. 따라서 공개키는 유저의 인증서로서의 역할을 한다. 즉, 검정기는 유저를 인증하기 위해 유저의 개인키를 알아야 할 필요가 없다. 개인키는 비밀로 남아있는 반면에 공개키는 널리 퍼지기 때문에, 강화된 보안성으로 더 확실한 인증을 제공한다. 개인키는 일반적으로 유저가 기억하기에는 너무 길고 복잡해서, 통상 소프트웨어 또는 하드웨어 토큰에 저장해서, 사용하기 전에 컴퓨터와 인터페이스한다.
상기 소프트웨어 토큰을 소위 소프트웨어 웰렛이라 하고, 이 웰렛은 패스워드 또는 기타 액세스 제어 데이터로 암호화된다. 상기 소프트웨어 웰렛에서, 침입자가 개인키를 찾을 때까지, 소모적인 방식으로 반복적으로 패스워드를 시험해 보는 것을 막을 수 없다. 이는 상기 설명된 간단한 패스워드 방식이 아날로그 보안의 위험에 놓이게 한다. 또한, 소프트웨어 웰렛은 유저의 컴퓨터에 저장되어서, 유저가 일 위치에서 다른 위치로 자유롭게 로밍해야할 필요가 있을 때, 불편하게 할 수 있다.
소프트웨어 웰렛에 비해서, 스마트 카드등의 하드웨어 토큰은 더 보안적이고, 유저의 로밍에 따라서 편리하게 이동될 수 있다. 전형적인 하드웨어 스마트 카드에, 개인키는 하드웨어에 저장되고, 워치독 칩에 의해 보호받으며, 이 워치독 칩은 유저가 스마트 카드를 언로크하는 올바른 패스워드를 입력하면, 유저를 개인키에 액세스하는 것을 가능하게 한다. 스마트 카드는 또한, 마약 해커가 패스워드를 추측하려는 시도를 하면, 소수의 계속된 올바르지 않은 시도후에는, 카드를 잠그도록 구성되는 것도 가능하다. 하드웨어 토큰의 단점은 (1) 로밍은 적합한 토큰 판독기가 하드웨어에 인스톨되어 있는 위치로 제한된다. (2) 하드웨어 토큰은 소프트웨어 토큰에 비해서 고가이다 (3) 하드에어 토큰은 유저가 로밍하고자 하는 위치로 물리적으로 이동되어야 한다 (4) 하드웨어 토큰은 분실되거나, 위치를 망각하거나 도둑맞는다.
이와같이, 하드웨어 토큰 시스템은 보안성을 더 증가시키지만, 소프트웨어에 기초한 시스템에 비해서 몇 가지단점을 가지고 있다. 따라서, 하드웨어 시스템과 소프트웨어 시스템의 장점만을 결합시킨 시스템을 구비하는 것이 바람직하다.
본 출원은 계류중인 미국 출원 제 08/996,758호의 일부 계속 출원이다.
도 1은 액세스 컨트롤 서버에 의해서 보호되는 상거래 서버를 가지고 전자 상거래를 하기 위해 유저가 웹서버에 액세스하는 본발명의 실시예를 도시한 도면,
도 2는 개인키가 PIN에 의해 보호되는 웰렛의 실시예를 도시한 도면,
도 3은 도 2의 웰렛이 암호화 위장의 형태로 보호되는 실시예를 도시한 도면.
발명의 개요
본 발명의 명세서에는 인증서를 로밍유저에게 온-디멘드 방식으로 전달하는 방법 및 장치를 제공한다. 인증서는 추가적인 하드웨어를 요하지 않고, 소프트웨어로 저장되고, 전달되고, 전송된다. 본 시스템의 기본 실시예에서, 유저는 유저가 인증서 서버와 에스크로우(escrow)한 공유 비밀번호의 형태로 신분증명을 제공할 때, 자신의 인증서를 마음대로 요구할 수 있다. 공유 비밀번호는 유저에 의해 선택될 수 있어서, 어머니의 처녀적 이름, 3학년때 선생님등과 같이 용이하게 기억해낼 수 있는 비밀번호가 될 수 있다. 유저는, 서버가 유저의 인증서를 제공하기 전에 질문에 대한 정답을 요구하는, 챌린지-응답 프로토콜을 통해서 서버로부터의 챌린지에 응답한다. 본말명의 기타 실시예에서, 유저의 인증서는 서버에 저장되어서, 패스워드, 지문이나 망막의 이미지 등의 생체학적 인증 시스템 또는 일대일 해시된 공유 비밀번호등의 간단한 공유 비밀번호 방식에 의해 보호받는다. 본발명의 또다른 실시예에서, 유저는 암호화 방식으로 위장(camouflage)된 챌린지-응답 프로토콜을 통해서 서버와 대화한다. 특히, 만약 유저가 서버의 챌린지에 올바르게 응답하면, 유저는 인증서를 받을 것이다. 그러나, 만약 해커가 시스템을 브레이크하려고 시도하는 것과 같은 경우에, 유저가 올바르지 못하게 응답하면, 유저는 그럴듯하고 유사하지만 효력없는 인증서를 받을 것이다. 또한, 인증서는 자체가 유저에게 공지된 추가 비밀번호로 암호화되고 위장될 수 있다. 인증서는 다수의 유사한(의사-밸리드) 데이터의 피스 사이에서 실시될 때, 암호화방식으로 위장된 형태가 된다. 이 데이터는 유저가 기억해 낼 수 있는 공유 비밀번호를 사용해서 어려움없이 올바른 피스를 찾을 수 있다는 점에서 상당한 차이가 있다. 그러나, 데이터의 피스는 또한 침입자가 충분히 모든 데이터의 피스를 그럴듯하게 동일하게 찾을 수 있다는 점에서 유사하다. 상기 암호화방식으로 위장된 인증서는 위장된 위장해제(decamouflage)된 형태로 유저에게 제공되고, 위장해제는 인증서 서버 또는 유저의 컴퓨터에서 수행될 수 있다. 상기 설명된 본 발명의 다양한 실시예는 일이상의 하기 이점을 제공한다.
추가적으로 컴퓨터를 전개할 필요는 없다. 이는 공지된 방식으로 카드 및 카드 판독기를 전개시켜야하는 스마트 카드등의 하드웨어 토큰과 비교한 것이다.
(1) 높은 유저 편리성. 로밍 유저는 토큰을 가지고 다닐 필요없이 필요할때, 요구할 수 있다.
(2) 낮은 관리비용. 토큰을 분실하거나, 보관 위치를 잃어버린 유저가 관리자의 개입을 신청할 필요가 없다.
(3) 신속한 전개 속도. 로밍 액세스를 구비한 소프트웨어 인증서는 유저/관리자의 트레이닝을 요하지 않고, 직관적으로 사용되기 때문에 빠르게 전개된다.
(4) 완전한 원-팩터 시스템상의 강화된 보안성.
발명의 상세한 설명
우리는, 일이상의 원격 서버에 액세스하기 위해 유저가 웹브라우저를 동작시키는 예시적인 상황을 사용해서, 본발명의 다양한 실시예를 설명하고, 이 상황에서 유저는 그의 인증서에 대한 액세스를 유지하는 동안에는 인터넷을 자유롭게 로밍할 수 있다. 당업자는 본발명이 데이터 베이스, 메디컬 클라이언트 스테이션 및 금융거래 스테이션에 한하지 않는 것을 포함한 기타 클라이언트-서버 환경에도 적용될 수 있음을 인식할 것이다. 또한, 네트워크 환경이 반드시 인터넷일 필요는 없고,인트라넷 또는 임의로 배치된 컴퓨터 네트워크가 될 수 있다.
도 1을 참조로, 브라우저(140)는 전자 상거래를 수행하기 위해서 웹서버(110)에 액세스한다. 웹서버(110)는 액세스 컨트롤 서버(120)에 의해 보호되어서 인증되지 않은 상거래서버(130)로의 액세스를 차단한다. 예를들어서, 웹서버(110)는 한 회사의 홈페이지가 될 수 있고, 액세스 컨트롤 서버(120)는 파이어 월이 될 수 있고, 상거래 서버(130)는 유저가 액세스하려하는 모회사의 데이터를 포함할 수 있다. 기타 실시예에서, 액세스 컨트롤 서버(120)는 멤버쉽 또는 크레디트/지불 검정 시스템이 될 수 있고, 상거래 서버(130)는 백엔드 시핑(backend shipping)/전달 시스템이 될 수 있다. 당업자는 서버중 임의의 서버 또는 모든 서버(110, 120, 130)가 단일 서버에 연결될 수 있고, 기타 특정 기능을 수행하기 위해서 몇개의 추가적인 서버가 있을 수 있고, 이들 서버중 임의의 서버는 같은 장소에 배치되거나 널리 분포될 수 있다는 것등을 이해할 것이다. 유사하게, 전자 상거래는 특히 제한을 두지는 않지만, 전자메일을 보안하는 것을 포함하고, 특권 또는 비밀 정보에 액세스하고, 및 전자 또는 물리적인 상품 및 서비스를 구입하는 임의의 가상적인 유형이 될 수 있다.
전자 상거래를 수행하기 위해서 상거래 서버(130)에 액세스하기 이전에, 유저는 액세스 컨트롤 서버(120)에 대해서 자신을 인증할 필요가 있다. 종래의 기술에서 설명된 것과 같이, 유저는 액세스 컨트롤 서버(120)에 의해 전송된 챌린지로 암호화 동작을 수행하기 위해서 개인키로 자신을 인증시키는 것이 전형적이다. 이 암호화 동작은 간단한 코드화, (통상 디지털 서명으로 간주되는)코드화에 따른 해시 또는 당업자에게 공지된 기타 프로토콜이 될 수 있다. 물론, 보안성이 낮은 어플리케이션에서는 인증서는 간단한 패스워드가 될 수 있다. 개인키, 패스워드 및 기타 인증서는 당업자에게 공지되어 있으므로 여기서는 자세한 설명을 하지 않는다. 예를들어, 독자는 Applied Cryptography(Bruce Schneier, Second Edition, 1996, pp.101-112 & 548-549)와 같은 표준 텍스트로, 상세하게 공지된 것으로 간주된다.
인증서 및 프로토콜에 관계없이 만약 액세스 컨트롤서버(120)가 유저를 인증하면, 그 유저는 상거래 서버에 액세스할 수 있다. 본발명은 필요시에, 다양한 브라우저(140)를 통해서 서버(110, 120 및/또는 130)로의 액세스가 가능하기를 원하는 유저 (소위 "로밍 유저")에게 인증서를 제공하는 방법 및 장치를 제공한다.
이 온-디멘드 로밍 성능은 인증서 서버(160)에 의해 제공되고, 소프트웨어 웰렛을 통해서 브라우저(140)의 유저에게 인증서(예를들어 개인키)를 다운로드해 준다. 사용될 때, 웰렛(150)은 기본적인 인증서의 용기의 역할만을 할 필요가 있다. 이와같이, 인증서가 제시되는 간단한 구조로 고려될 수 있거나, 디지털 인증서 또는 디지털 화폐(전자화폐 또는 지폐를 포함해서, 제한을 두지 않고)등의 기타 유저가 가지는 아이템을 조정하는 성능을 구비한 더 복잡한 용기가 될 수 있다. 본발명의 기초적인 실시예에서, 인증서 서버(160)는 웹서버로 구현된다. 유저는 그의 웹서버(14)가 인증서 서버를 향하게 하고(point), 인증서 서버는 이전에 셋-업 단계에서 유저와 협의한 공유 비밀번호의 형태의 챌린지를 유저에게 전송한다. 이 공유 비밀번호는 하기의 형태가 될 수 있다.
질문: 어머니의 처녀시절 이름은? 답: 존스
질문: 애완견의 이름은? 답: 러키
질문: 좋아하는 스포츠는? 답: 풋볼
질문: PIN? 답: PIN
실제 질문의 수는 인증서 서버마다, 각각의 보안 정책에 따라서 변할 수 있다. 만약 유저가 정답을 제시하면, 인증서 서버(160)는 (인증서 서버(160)의 일부가 되거나 될 수 없는) 웰렛 데이터 베이스(170)로부터 유저의 웰렛을 획득해서 브라우저(140)에서 웰렛을 제공한다. 대안적인 실시예에서, 웰렛, 또는 그 일부는 서버(110, 120, 130)중 어느것에 의해 제공될 수 있다.
상기 설명에서, 웰렛은 1) 소프트웨어 프로그램의 메모리 스페이스 및/또는 수반해서 2) 하드드라이브 또는 기타 컴퓨터의 물리적인 메모리에 인스톨될 수 있다. 만약 전자라면, 세션이 종료되었을 때, 인증서는 소멸된다. 만약 후자라면, 인증서는 각각의 컴퓨터의 다수의 세션에 걸쳐서 사용가능하다. 유저가 다른 컴퓨터로 로밍할 때, 어느 이벤트에서, 프로세스는 필요시에 물리적인 토큰을 신청하지 않고도 소망의 인증서에 액세스하는 것을 반복할 수 있다(비록, 소망하는 바에 따라서, 본발명이 물리적인 토큰과 연관되어 사용될 수 있을 지라도).
소위 공유 비밀번호를 사용하는 것이 상기에 설명되었고, 여기서 유저 및 서버는 시스템에 액세스할 때 요구되는 정보의 카피를 공유한다. 물론, 본발명은 원래 부도덕한 서버에 의해 남용되기 쉬운 간단한 프로토콜로 제한되는 것은 아니다. 예를들어, 유저는 그의 어머니의 처녀시절 이름(또는 기타 비밀 정보)을 알고 있다고, 유저가 서버에 실제로 그 이름을 제시하지 않고도 증명할 수 있는 영 지식증명(zero knowledge proof)이 사용될 수 있다. 간단한 실시예에서, 검정기는 개인키를 검정하기 위해 대응하는 공개키를 알려고 하기 때문에, 유저의 공개키 자체는 이런 방식으로 사용될 수 있다. 영 지식증명의 원리 및 실시예는 당업자에게는 공지되어 있으므로 여기서 설명할 필요는 없다. 독자는 Applied Cryptography와 같은 표준 텍스트로, 상세하게 공지된 것으로 간주된다.
본발명의 일실시예에서, 웰렛은 공유 비밀번호에 의해 보호된다. 예를들어, 도 2는 개인키가 PIN에 의해 보호받는 웰렛의 실시예가 도시되어 있다. 상기 설명된 바와 같이, PIN(더 일반적으로는 공유 비밀번호)는 유저에 의해 인증서 서버(160)에 전송되는 공유 비밀번호가 될 수 있고, 웰렛의 개인키(더 일반적으로는 인증서)는 인증서 서버(160)에 의해 해독되어서, 브라우저(140)로 유저에게 암호가 아닌 명문으로 제공된다. 대안적으로, 전체 웰렛(암호화된 형식의 인증서를 포함한)은 유저가 브라우저(140)에서 국부적으로 해독할 수 있도록 유저에게 제공된다. 어느 어프로치를 가지고도, PIN-보호 인증서를 해독하는 과정은 하기와 같다. 유저는 웰렛을 언로크하기 위해서 PIN(200: 더 일반적으로는 액세스 코드)을 입력하고, PIN은 일대일 해시함수(210)를 통과한다. 당업자에게 공지된 바와 같이, 해시함수는 솔트값(salt value) 또는 기타 보안 강화 특성을 포함한다. 입력된 PIN의 해시된 값(215)은 저장된 해시값(220), 즉 정확한 PIN의 해시값과 비교된다. 만약 두개의 해시값이 일치하면, PIN은 해독 모듈(210)을 통과한다. (암호키에 따라 정확한 PIN을 가지고)암호화되어서 필드(230)에 저장된 개인키는 해독 모듈(240)에의해 해독되고, 이 해독 모듈은 전형적으로 DES 또는 예를들어, 트리플-DES, IDEA 또는 BLOWFISH등의 기타 해독 함수이다.
해시값을 계산하고 저장된 해시값을 해독하는 해독 연산은 일이상의 해독 로직(예를들어 소프트웨어 또는 하드웨어)모듈을 사용해서 실시될 수 있고, 정확한 해시값 및 개인키는 보호된 데이터 필드 또는 다른 형태의 메모리(예를들어, ROM 또는 컴퓨터 판독가능 매체를 통해서 판독되는 등)에 저장될 수 있다. 전형적인 키 웰렛은 키 및 기타 데이터를 관리하고, 보고, 카피하고, 조정하는 로직과 함께, 후보 PIN을 수신하고, 복호된 개인키를 출력하는 입출력 로직을 포함한다.
해시함수의 일대일 특성으로 인해서 정확한 PIN 및 정확한 PIN만이 키 웰렛을 언로크할 것이라는 것이 확실해진다. 불행하게도, 악의를 가진 해커가 브루트 포스 서치(brute force search)를 통해 전체 PIN을 추측하는 것이 가능하다. 예를들어, 해커는 총 6 자리숫자의 PIN 코드를 간단히 체크하는 프로그램을 키웰렛상에 기록할 수 있다. 만약 해커가 키 웰렛의 사본을 입수한다면, 전혀 추적되지 않고, 자동화된 방식으로, 그의 컴퓨터 상에서 이런 어택을 몇분이내에 행할 수 있다.
PIN 해시 어택을 방지하기 위해서 본발명의 기타 실시예는 소위 암호 위장(cryptographic camouflaging)을 사용해서, 인증서와 연관된 더 높은 보안성을 제공한다. 암호 위장은, 도 3을 참조로 개략적으로 설명될 것이며, 독자는 본명세서에 참조로서 포함되는, 계류중인 미국 특허 제 08/996,758호를 참조할 수 있다.
도 3을 참조로, 인증서(예를들어, 개인키)는 도 2의 액세스 코드를 통해서 보호된다. 그러나, 일대일해시는 다대일해시 즉, 다수의 입력이 동일한 출력값을생성하는(즉, 재생성하는) 해시로 대치된다. 본 실시예에서, 다대일해시 함수(310)는 6자리 코드를 2자리 해시값으로 해시할 수 있다. 종래의 키 웰렛을 참조로, 입력된 PIN(300)의 해시값(315)은 저장된 해시값과 비교되고, 이 저장된 해시값은 정확한 PIN의 해시값이다. 만약, 두개의 해시값이 일치하면, 키웰렛은 오픈된다. 개인키는 키웰렛의 필드(300)에, 암호화 키로서 정확한 PIN을 가지고 암호화되어서 다시 저장된다. 정확한 PIN이 입력될 때, 저장된 암호화된 키는 해독되고, 정확한 개인키(350)는 사용하기 위해 해방된다. 그러나, 해시함수가 다대일이기 때문에, 입력된 핀중에서 해시 챌린지를 만족시켜서 키 웰렛을 오픈할 다수 핀이 존재할 것이다(정확한 PIN으로서 동일한 해시값으로 해시되는 PIN은 정확한 PIN을 포함해서 의사-밸리드 PIN으로 간주한다). 예를들어, 만약 해시 함수가 6자리 코드를 2자리 해시값으로 해시하면, 전체 1,000,000개의 가능한 6자리 코드 중에서 키 웰렛을 오픈할 6자리의 의사-밸리드 PIN은 10,000개가 존재할 수 있다. 의사-밸리드 PIN은 저장된 암호화된 키를 해독하기 위해서 해독 모듈(340)로 패스되어서 후보키를 생성한다. 그러나, 이들 후보키중에 하나만 제외하고는 모두 저장된(정확한) 개인키의 부정확한 암호가 될 것이다. 입력된 PIN이 정확한 PIN일 때, 정확한 개인키가 나타난다.
바람직하게는, 상기 다대일해시 함수는 굿 해시가 되도록 선택되어야 한다. 예를들어, MD5 및 SHA는 공지된 굿 해시함수이다. 굿 해시함수는 모든 가능한 PIN에 의사-밸리드 PIN을 균일하게 분배하는 하나의 수단이다. 예를들어, 6자리 코드를 2자리 해시값으로 해시하는 해시함수를 생각하면, 1,000,000개의 가능한 입력값중에서, 10,000개는 의사-밸리드 PIN이 될 것이다. 만약 해시 함수가 굿 해시이면, 이들 값은 실질적으로 균일하게 분배될 것이다. 특히, 수백개의 PIN중의 하나가 의사-밸리드가 될 것이고, 이들은 효과적으로 랜덤하게 분배될 것이다. 상세하게는, 만약, 유저가 정확한 PIN을 입력할 때, 오기를 범하면, 결과로 나온 PIN이 의사-밸리드 PIN이 될 확률은 1/100이다.
기타 가능한 실시예는 위크해시(weak hash)를 사용하는 것으로, 위크해시는 의사-밸리드 PIN을 클러스터링하게 해서, 하나의 의사-밸리드 PIN을 추측한 침입자가 용이하게 다른 것도 찾을 수 있다. 1자리의 오기를 연속해서 범하는 합법적인 유저도 의사 밸리드 PIN의 시퀀스를 얻을 수 있어서, 개인키 또는 개인키에 의해 암호화된 메시지를 입수한 시스템은 페일이 반복될 때에는, 경고를 울리거나 불가능하게 하는 특성을 가지기 때문에, 의도하지 않고도 유저를 선별할 수 있다. 이와같이, 위크해시는 전형적으로 굿 해시에 비해 인기가 없다. 그럼에도 불구하고, 위크해시가 제공하는 계산 효율 및 특정 어플리케이션에 이점을 가지는 실시의 용이성등의 어떤 특성을 제공하는 어플리케이션이 있을 수 있다.
상기에서는 일대일 또는 다대일해시를 가지고 웰렛을 보호하는 기술이 설명되었다. 당업자는 암호처리(200-250, 300-350:예를들어, 암호 위장)가 유저의 컴퓨터 또는 인증서 서버(160)에서 실행될 수 있음을 이해할 것이다. 전자의 경우에, 웰렛은 암호화된 형태로 유저에게 다운로드되고, 후자의 경우에, 웰렛은 유저에게 다운로드되기 이전에 인증서 서버에서 암호화된다.
더 일반적으로는, 요점만 설명된 (예를들어, 간단한 공유 비밀번호; 지문인식등의 생체학적인 방법; 도 2의 일대일 해시 비밀번호; 및 도 3의 다대일해시 비밀번호)다양한 챌린지-응답 프로토콜이 인증서 서버(160) 또는 브라우저(140)에서 사용될 수 있고, 임의의 조합이나 치환이 발생할 수 있다는 것이 이해될 것이다. 예를들어, 최소한의 보안성을 가질 때, 인증서 서버(160)는 간단한 비밀번호로도 액세스될 수 있으며, 웰렛은 암호화되지 않은 명문으로 다운로드된다. 대안적으로, 웰렛은 일대일 또는 다대일(예를들어, 암호화되어서 위장되는) 해시된 공유 비밀번호에 의해 보호받거나 유저의 적절한 챌린지-응답 프로토콜에 대한 응답에 응해서 인증서 서버에서 해독될 수 있다. 해독된(또는 다대일해시의 경우에 위장된) 웰렛은 암호화되지 않은 명문으로 유저에게 다운로드될 수 있다. 보안성이 큰 경우에, 웰렛은 위장된 형태로 유저에게 다운로드되서 유저의 컴퓨터에서 위장해제된다. 보안성이 더 큰 경우에, 일대일 또는 다대일해시 처리는 초기 서버 액세스를 위해 간단한 공유 비밀번호로 대치될 수 있다. 그래서, 간단한 공유 비밀번호, 일대일 해시 기술, 다대일해시 기술이 수반되는 웰렛 다운로드 단계에서 전개되는 반면에, 일반적으로는 일대일 해시 또는 다대일해시는 초기 서버 액세스 단계에서 전개된다. 당업자가 납득할만한 이런 변형물 및 기타 변형물 때문에, 본발명의 범위가 본명세서에 설명된 특정 실시예로 제한되지 않는다는 것이 이해될 것이며, 첨부된 청구의 범위에 한정된다.

Claims (52)

  1. 네트워크 환경에서 전자 상거래를 수행하는데 사용가능한 인증서를 획득하는 컴퓨터 실행 방법에 있어서, 상기 방법은:
    (a) 네트워크 상에서, 소정의 인증서를 신청하기 위해 서버에 액세스하는 단계;
    (b) 상기 서버로부터 상기 인증서의 소유자와 연관된 소정의 응답을 요하는 챌린지를 수신하는 단계;
    (c) 상기 챌린지에 대한 답을 전송하는 단계; 및
    (d) 상기 답이 상기 챌린지를 만족시킨다고 서버가 판정하는 것에 응해서, 상기 서버로부터 인증서를 수신하는 단계를 포함하고,
    상기 인증서는:
    (ⅰ) 상기 신청이 있기 이전에 상기 서버에 존재하고 있고,
    (ⅱ) 인증서의 리퀘스터를 유일하게 식별하고
    (ⅲ) 전자 상거래 수행시에 사용에 적합한 것이고,
    상기 방법은 복수의 리퀘스터 위치로부터의 상기 리퀘스터에 의해 반복가능한 온-디멘드 방식으로 실행가능한 것을 특징으로 하는 컴퓨터 실행 방법.
  2. 제 1 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀인증서를 포함하는 것을 특징으로 하는 방법.
  3. 제 2 항에 있어서, 상기 비밀인증서는 개인키인 것을 특징으로 하는 방법.
  4. 제 2 항에 있어서,
    (e) 상기 전자 상거래를 수행하기 위해서 인증서를 사용하는 단계;
    (f) 상기 인증서를 상기 리퀘스터의 컴퓨팅 디바이스에서 삭제하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  5. 제 2 항에 있어서, 상기 리퀘스터의 컴퓨팅 디바이스는 웹 브라우저를 포함하고, 상기 네트워크는 분배된 컴퓨터 네트워크인 것을 특징으로 하는 방법.
  6. 제 2 항에 있어서, 상기 리퀘스터의 컴퓨팅 디바이스는 디지털 웰렛을 포함한 것을 특징으로 하는 방법.
  7. 제 2 항에 있어서, 상기 응답은 상기 서버와 상기 리퀘스터 사이의 공유 비밀번호를 포함한 것을 특징으로 하는 방법.
  8. 제 1 항에 있어서,
    (e) 상기 전자 상거래를 수행하기 위해서 상기 인증서를 사용하는 단계;
    (f) 상기 인증서를 상기 리퀘스터의 컴퓨팅 디바이스에서 삭제하는 단계를더 포함하는 것을 특징으로 하는 방법.
  9. 제 8 항에 있어서, 상기 인증서는 상기 리퀘스터의 개인키를 포함한 것을 특징으로 하는 방법.
  10. 제 1 항에 있어서 상기 수신된 인증서는 암호화되어 위장된 형태인 것을 특징으로 하는 방법.
  11. 제 10 항에 있어서, 상기 인증서는 액세스 코드로 암호화되고,
    (ⅰ) 리퀘스터로부터 후보 액세스 코드를 수신하는 단계;
    (ⅱ) 상기 후보 액세스 코드가 의사-밸리드 응답의 군에 속하는 것을 입증하는 단계; 및
    (ⅲ) 상기 저장된 인증서를 해독하기 위해 상기 의사-밸리드 후보 액세스 코드를 사용하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  12. 제 11 항에 있어서, 상기 의사-밸리드 응답은 상기 액세스 코드와 동일한 출력값으로 해시가능한 특성을 가지는 것을 특징으로 하는 방법.
  13. 제 12 항에 있어서, 상기 인증서는 상기 리퀘스터의 개인키를 포함한 것을 특징으로 하는 방법.
  14. 제 10 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀 인증서를 포함한 것을 특징으로 하는 방법.
  15. 제 10 항에 있어서,
    (e) 상기 전자 상거래를 실행하기 위해서 인증서를 사용하는 단계;
    (f) 상기 인증서를 상기 리퀘스터의 컴퓨팅 디바이스에서 삭제하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  16. 제 1 항에 있어서, 상기 챌린지 및 상기 응답은 영지식증명 프로토콜의 부재인 것을 특징으로 하는 방법
  17. 제 1 항에 있어서, 상기 단계 (b) 및 (c)는 암호 위장 챌린지-응답 프로토콜의 일부인 것을 특징으로 하는 방법.
  18. 제 1 항에 있어서, 상기 서버로부터 상기 인증서와 함께 디지털 화폐를 다운로드 하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  19. 네트워크 환경에서 전자 상거래를 수행하는데 사용가능한 인증서를 획득하는 장치에 있어서, 상기 장치는:
    (a)
    (ⅰ) 네트워크 상에서, 소정의 인증서를 서버에 신청하기 위해 액세스하고,
    (ⅱ) 상기 서버로부터 상기 인증서의 상기 리퀘스터와 연관된 소정의 응답을 요하는 챌린지를 수신하도록 구성된 네트워크 인터페이스;
    (b) 상기 리퀘스터로부터 상기 챌린지에 대한 답을 수신하도록 구성된 유저 인터페이스;
    (c) 상기 답이 상기 챌린지를 만족시킨다고 서버가 판정하는 것에 응해서, 상기 인증서를 수신하도록 구성된 상기 네트워크 인터페이스; 및
    (d) 상기 리퀘스터의 컴퓨팅 디바이스에 상기 인증서를 저장하도록 구성된 메모리;를 포함하고,
    상기 인증서는:
    (A) 상기 신청이 있기 이전에 상기 서버에 존재하고 있고,
    (B) 인증서의 리퀘스터를 유일하게 식별하고,
    (C) 전자 상거래 수행시에 사용에 적합한 것이고,
    상기 장치는 복수의 리퀘스터 위치로부터의 반복되는 온-디멘드 액세스를 획득하기 위해 유저에 의해 사용될 수 있는 것을 특징으로 하는 장치.
  20. 제 19 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀 인증서를 포함한 것을 특징으로 하는 장치.
  21. 제 20 항에 있어서, 상기 비밀 인증서는 개인키인 것을 특징으로 하는 장치.
  22. 제 19 항에 있어서, 상기 장치는 웹 브라우저로서 사용되도록 구성되고, 상기 네트워크는 분배된 컴퓨터 네트워크인 것을 특징으로 하는 장치.
  23. 제 19 항에 있어서, 디지털 웰렛으로서 사용되도록 구성된 것을 특징으로 하는 장치.
  24. 제 19 항에 있어서, 상기 서버는 상기 인증서를 암호화되어 위장된 형식으로 저장하도록 구성된 것을 특징으로 하는 장치.
  25. 제 24 항에 있어서,
    (ⅰ) 상기 인증서는 액세스 코드로 암호화되고;
    (ⅱ) 상기 유저 인터페이스는 상기 리퀘스터로부터 후보 액세스 코드를 수신하도록 구성되고;
    (ⅲ) 하기의 (ⅳ) 및 (ⅴ)를 이행하도록 구성된 암호화 로직을 더 포함하고,
    (ⅳ) 상기 후보 액세스 코드가 의사-밸리드 응답의 군에 속하는 것을 입증하고;
    (ⅴ) 상기 저장된 인증서를 해독하기 위해 상기 의사-밸리드 후보 액세스 코드를 사용하는 것을 특징으로 하는 장치.
  26. 제 25 항에 있어서, 상기 의사-밸리드 응답은 상기 액세스 코드와 동일한 출력값으로 해시가능한 특성을 가지는 것을 특징으로 하는 장치.
  27. 제 26 항에 있어서, 상기 인증서는 상기 리퀘스터의 개인키를 포함한 것을 특징으로 하는 장치.
  28. 제 19 항에 있어서, 상기 챌린지 및 상기 소정의 응답은 암호 위장 챌린지-응답 프로토콜의 일부인 것을 특징으로 하는 장치.
  29. 제 24 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀 인증서를 포함한 것을 특징으로 하는 장치.
  30. 네트워크 환경에서 전자 상거래를 수행하는데 사용가능한 인증서를 제공하는 컴퓨터 실행 방법에 있어서, 상기 방법은:
    (a) 네트워크상에서 리퀘스터로부터 소정의 인증서에 대한 신청을 받는 단계;
    (b) 상기 리퀘스터와 관련된 소정의 응답을 요하는 챌린지를 상기 리퀘스터에게 전송하는 단계
    (c) 상기 챌린지에 대한 답을 수신하는 단계;
    (d) 상기 답이 상기 챌린지를 만족시키는지 판정하는 단계; 및
    (e) 상기 리퀘스터에게 상기 인증서를 전송하는 단계;를 포함하고,
    상기 인증서는:
    (ⅰ) 상기 신청이 있기 이전에 상기 서버에 존재하고 있고,
    (ⅱ) 인증서의 리퀘스터를 유일하게 식별하고
    (ⅲ) 전자 상거래 수행시에 사용에 적합한 것이고,
    상기 방법은 복수의 리퀘스터 위치로부터의 상기 리퀘스터에 의한 반복되는 온-디멘드 인증서 신청을 처리하도록 실행가능한 것을 특징으로 하는 방법.
  31. 제 30 항에 있어서, 인증서는 상기 리퀘스터의 비밀 인증서를 포함한 것을 특징으로 하는 방법.
  32. 제 31 항에 있어서, 상기 비밀 인증서는 개인키인 것을 특징으로 하는 방법.
  33. 제 31 항에 있어서, 상기 리퀘스터는 웹 브라우저에 있고, 상기 네트워크는 분배된 네트워크인 것을 특징으로 하는 방법.
  34. 제 31 항에 있어서, 상기 전송은 상기 리퀘스터의 디지털 웰렛으로 하는 것을 특징으로 하는 방법.
  35. 제 31 항에 있어서, 상기 응답은 상기 서버와 상기 리퀘스터 사이의 공유 비밀번호를 포함한 것을 특징으로 하는 방법.
  36. 제 30 항에 있어서, 상기 서버는 상기 인증서를 암호화되어 위장된 형식으로 저장하도록 구성된 것을 특징으로 하는 방법.
  37. 제 36 항에 있어서, 상기 인증서는 액세스 코드로 암호화되고, 상기 답이 상기 챌린지를 만족한다고 판정하는 상기 단계는:
    (ⅰ) 상기 답이 의사-밸리드 응답의 군에 속하는 것을 입증하는 단계; 및
    (ⅱ) 상기 저장된 인증서를 해독하기 위해 상기 응답을 사용하는 단계를 더 포함하는 것을 특징으로 하는 방법.
  38. 제 37 항에 있어서, 상기 의사-밸리드 응답은 상기 액세스 코드와 동일한 출력값으로 해시가능한 특성을 가지는 것을 특징으로 하는 방법.
  39. 제 38 항에 있어서, 상기 인증서는 상기 리퀘스터의 개인키를 포함한 것을 특징으로 하는 방법.
  40. 제 36 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀 인증서를 포함한것을 특징으로 하는 방법.
  41. 제 36 항에 있어서, 상기 단계 (e)는 암호화되어서 위장된 형식으로 상기 리퀘스터에게 전송되어서, 상기 인증서를 상기 리퀘스터가 암호 위장 해제하는 단계를 포함한 것을 특징으로 하는 방법.
  42. 제 30 항에 있어서, 상기 인증서와 함께 디지털 화폐를 리퀘스터에게 전송하는 단계를 더 포함한 것을 특징으로 하는 방법.
  43. 네트워크 환경에서 전자 상거래를 수행하는데 사용가능한 인증서를 제공하는 장치에 있어서, 상기 장치는:
    (a)
    (ⅰ) 네트워크 상에서 리퀘스터로부터 소정의 인증서에 대한 신청을 수신하고,
    (ⅱ) 상기 리퀘스터와 관련된 소정의 응답을 요하는 챌린지를 전송하고,
    (ⅲ) 상기 소유자로부터 상기 챌린지에 대한 답을 수신하도록 구성된 네트워크 인터페이스;
    (b) 상기 답이 상기 챌린지를 만족시키는지 여부를 판정하도록 구성된 로직; 및
    (c) 상기 인증서를 상기 리퀘스터가 릴리스하게 저장되도록 구성된 메모리,를 포함하고,
    상기 인증서는:
    (A) 상기 신청이 있기 이전에 상기 서버에 존재하고 있고,
    (B) 인증서의 리퀘스터를 유일하게 식별하고,
    (C) 전자 상거래 수행시에 사용에 적합한 것이고,
    상기 장치는 복수의 리퀘스터 위치에서 상기 리퀘스터에 의해 반복되는 온-디멘드 인증서 신청을 처리하도록 실행가능한 것을 특징으로 하는 장치.
  44. 제 43 항에 있어서, 상기 인증서는 상기 리퀘스터의 비밀 인증서를 포함한 것을 특징으로 하는 장치.
  45. 제 44 항에 있어서, 상기 비밀 인증서는 개인키인 것을 특징으로 하는 장치.
  46. 제 44 항에 있어서, 상기 응답은 상기 서버와 상기 리퀘스터 사이의 공유 비밀번호를 포함한 것을 특징으로 하는 장치.
  47. 제 43 항에 있어서, 상기 서버는 상기 인증서를 암호화되어 위장된 형식으로 저장하도록 구성된 것을 특징으로 하는 장치.
  48. 제 47 항에 있어서, 상기 인증서는 액세스 코드를 사용하여 해독되고, 상기 답이 상기 챌린지를 만족시키는지 여부를 판정하는 로직은
    (ⅰ) 상기 답이 의사-밸리드 응답의 군에 속하는 것을 입증하는 암호 로직;
    (ⅱ) 상기 저장된 인증서를 해독하기 위해 상기 답을 사용하는 암호화 로직;을 포함한 것을 특징으로 하는 장치.
  49. 제 48 항에 있어서, 상기 의사-밸리드 응답은 상기 액세스 코드와 동일한 출력값으로 해시가능한 특성을 가지는 것을 특징으로 하는 장치.
  50. 제 49 항에 있어서, 상기 인증서는 개인키인 것을 특징으로 하는 장치.
  51. 제 50 항에 있어서, 상기 네트워크 인터페이스는 암호화되어서 위장된 형식으로 상기 리퀘스터에게 릴리스되어서, 상기 인증서를 상기 리퀘스터가 암호 위장 해제하는 단계를 포함한 것을 특징으로 하는 방법.
  52. 제 47 항에 있어서, 상기 인증서는 상기 유저의 비밀 인증서를 포함한 것을 특징으로 하는 장치.
KR1020017006327A 1998-11-19 1999-11-19 로밍 유저에게 인증서를 보안분배하는 방법 및 장치 KR20020016760A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/196,430 1998-11-19
US09/196,430 US6263446B1 (en) 1997-12-23 1998-11-19 Method and apparatus for secure distribution of authentication credentials to roaming users
PCT/US1999/027621 WO2000030285A1 (en) 1997-12-23 1999-11-19 Method and apparatus for secure distribution of authentication credentials to roaming users

Publications (1)

Publication Number Publication Date
KR20020016760A true KR20020016760A (ko) 2002-03-06

Family

ID=22725393

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020017006327A KR20020016760A (ko) 1998-11-19 1999-11-19 로밍 유저에게 인증서를 보안분배하는 방법 및 장치

Country Status (15)

Country Link
EP (1) EP1131911B1 (ko)
JP (1) JP4612951B2 (ko)
KR (1) KR20020016760A (ko)
CN (1) CN1303778C (ko)
AT (1) ATE374490T1 (ko)
AU (1) AU1631200A (ko)
BR (1) BR9915474A (ko)
CA (1) CA2347893C (ko)
DE (1) DE69937196T2 (ko)
HK (1) HK1039228B (ko)
IL (1) IL142836A (ko)
NO (1) NO20012463D0 (ko)
NZ (1) NZ511397A (ko)
PL (1) PL364752A1 (ko)
RU (1) RU2001116571A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100722663B1 (ko) * 2005-05-31 2007-05-28 에스케이 텔레콤주식회사 데이터 라디오 채널을 이용해 분실된 이동통신 단말기의인증서를 보호하는 방법
KR100744850B1 (ko) * 2006-02-27 2007-08-01 주식회사 에이스테크놀로지 시소 밸런싱을 개선한 알에프 스위치

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7379551B2 (en) * 2004-04-02 2008-05-27 Microsoft Corporation Method and system for recovering password protected private data via a communication network without exposing the private data
WO2008030526A2 (en) * 2006-09-06 2008-03-13 Devicescape Software, Inc. Systems and methods for obtaining network access
US10764748B2 (en) 2009-03-26 2020-09-01 Qualcomm Incorporated Apparatus and method for user identity authentication in peer-to-peer overlay networks
US8695105B2 (en) * 2010-12-30 2014-04-08 Trans Union Llc Identity verification systems and methods
US9832189B2 (en) * 2012-06-29 2017-11-28 Apple Inc. Automatic association of authentication credentials with biometrics
CN102866960A (zh) * 2012-09-05 2013-01-09 中兴通讯股份有限公司 一种在存储卡中实现加密的方法、解密的方法和装置
US11941610B2 (en) 2018-07-13 2024-03-26 Circle Internet Financial, Ltd Cryptocurrency securing system and method
US11386429B2 (en) * 2018-10-12 2022-07-12 Cybavo Pte. Ltd. Cryptocurrency securing method and device thereof

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04345232A (ja) * 1991-05-22 1992-12-01 Mitsubishi Electric Corp 認証方法
US5491752A (en) * 1993-03-18 1996-02-13 Digital Equipment Corporation, Patent Law Group System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
EP0720796B1 (en) * 1993-09-20 1997-07-16 International Business Machines Corporation System and method for changing the key or password in a secure distributed communications network
JPH07131449A (ja) * 1993-11-04 1995-05-19 Nippon Telegr & Teleph Corp <Ntt> ディジタル情報通信システム
JPH07131373A (ja) * 1993-11-08 1995-05-19 Matsushita Electric Ind Co Ltd データ配信システム
US5668876A (en) * 1994-06-24 1997-09-16 Telefonaktiebolaget Lm Ericsson User authentication method and apparatus
US5809144A (en) * 1995-08-24 1998-09-15 Carnegie Mellon University Method and apparatus for purchasing and delivering digital goods over a network
JPH09139735A (ja) * 1995-11-15 1997-05-27 Hitachi Software Eng Co Ltd 暗号化データ通信システム
GB2318486B (en) * 1996-10-16 2001-03-28 Ibm Data communications system
US5923756A (en) * 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
DE19718547C2 (de) * 1997-05-02 2002-06-20 Deutsche Telekom Ag System zum gesicherten Lesen und Ändern von Daten auf intelligenten Datenträgern

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100722663B1 (ko) * 2005-05-31 2007-05-28 에스케이 텔레콤주식회사 데이터 라디오 채널을 이용해 분실된 이동통신 단말기의인증서를 보호하는 방법
KR100744850B1 (ko) * 2006-02-27 2007-08-01 주식회사 에이스테크놀로지 시소 밸런싱을 개선한 알에프 스위치

Also Published As

Publication number Publication date
DE69937196D1 (de) 2007-11-08
CN1303778C (zh) 2007-03-07
DE69937196T2 (de) 2008-06-19
IL142836A (en) 2006-12-31
NO20012463L (no) 2001-05-18
JP4612951B2 (ja) 2011-01-12
NO20012463D0 (no) 2001-05-18
BR9915474A (pt) 2001-07-31
IL142836A0 (en) 2002-03-10
CA2347893A1 (en) 2000-05-25
HK1039228A1 (en) 2002-04-12
JP2002530930A (ja) 2002-09-17
CN1354929A (zh) 2002-06-19
NZ511397A (en) 2003-03-28
RU2001116571A (ru) 2003-06-10
CA2347893C (en) 2005-02-01
PL364752A1 (en) 2004-12-13
ATE374490T1 (de) 2007-10-15
HK1039228B (zh) 2008-03-14
EP1131911B1 (en) 2007-09-26
EP1131911A1 (en) 2001-09-12
EP1131911A4 (en) 2005-08-10
AU1631200A (en) 2000-06-05

Similar Documents

Publication Publication Date Title
US6263446B1 (en) Method and apparatus for secure distribution of authentication credentials to roaming users
CA2551113C (en) Authentication system for networked computer applications
US6173400B1 (en) Methods and systems for establishing a shared secret using an authentication token
US6073237A (en) Tamper resistant method and apparatus
US7185194B2 (en) System and method for distributed group management
US8041954B2 (en) Method and system for providing a secure login solution using one-time passwords
US6173402B1 (en) Technique for localizing keyphrase-based data encryption and decryption
US7409543B1 (en) Method and apparatus for using a third party authentication server
US5491752A (en) System for increasing the difficulty of password guessing attacks in a distributed authentication scheme employing authentication tokens
US7111172B1 (en) System and methods for maintaining and distributing personal security devices
CN105743638B (zh) 基于b/s架构系统客户端授权认证的方法
US7051209B1 (en) System and method for creation and use of strong passwords
US20030188201A1 (en) Method and system for securing access to passwords in a computing network environment
EP1402681A2 (en) Application-specific biometric templates
WO2000079368A1 (en) Software smart card
JP4612951B2 (ja) ローミング中のユーザに認証信用証明を安全に配布するための方法および装置
WO1999046691A1 (en) Internet, intranet and other network communication security systems utilizing entrance and exit keys
JP2001069138A (ja) 共有鍵暗号型のicカードによるインターネット上のユーザー認証方式
Laferriere et al. Authentication and authorization techniques in distributed systems
Smid et al. A Token Based Access Control System for Computer Networks
JP2004021591A (ja) 管理装置及び認証装置
MXPA01004925A (es) Metodo y aparato para asegurar la distribucion de credenciales de autentificacion para usuarios itinerantes fuera del area de servicio.
Yu A Study of Password Authentications
AU2002339767A1 (en) Authentication using application-specific biometric templates

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid