CN1433537A - 动态网络中的安全链路管理 - Google Patents
动态网络中的安全链路管理 Download PDFInfo
- Publication number
- CN1433537A CN1433537A CN01810304A CN01810304A CN1433537A CN 1433537 A CN1433537 A CN 1433537A CN 01810304 A CN01810304 A CN 01810304A CN 01810304 A CN01810304 A CN 01810304A CN 1433537 A CN1433537 A CN 1433537A
- Authority
- CN
- China
- Prior art keywords
- computational resource
- user
- certificate
- computer
- visit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2129—Authenticate client device independently of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
描述了一种用于建立并管理带有安全密钥交换、认证和授权的安全数据/音频/视频链路的方法。本发明的一种实施方式能够利用信任机器的机器标识符建立带有有限特权的安全链路。当机器的用户没有适合认证的用户标识信息,该方法特别有用。此外,用户通过提交默认的用户标识信息,请求系统管理员进行干预,而不是完全拒绝。分散过程允许新用户访问网络,而无需亲自访问中央设备以提交证书。本发明的另一种实施方式能够使远程用户连接到具有有限特权的安全网络。
Description
技术领域
本发明一般涉及推进动态网络和计算环境中的视频/音频和数据链路,更确切地说,涉及建立并管理此类环境中带有加密和安全功能的链路。
背景技术
基于网络的电子商务的显著增长导致大量全新应用,包括空间租赁、操作和管理远程链路和网络。此类应用允许用户在利用安全链路进行商业交易或跟踪感兴趣的信息时彼此交互。
用于安全访问计算资源的安全链路或连接通常包括以下三种考虑中的一种或多种考虑—认证、授权和计费(AAA)。因此,术语安全包括为防止无意识的收件人或第三方进行窃听而认证当事人和/或加密信息的能力。安全网络是安全链路上的通信构成的。然而,可以理解,可以使用各种各样的认证和加密级别,并且均在本发明的范围内。缺少认证的明文通信是不安全通信,尽管在确定通信是否安全时环境决定需要使用的阈值。
在商业环境中,重要的是认证用户,然后授权经过认证的用户访问资源,并在使用此类资源时进行计费。利用移动计算特别是无线链路的“漫游用户”,使得AAA任务越来越有前途。在此类环境中,安全协议必须适应无线链路和分散操作。在网络访问个人区域网络(PAN)、局域网(LAN)或广域网(WAN)时会遇到相当长的等待时间。然而,与移动计算装置进行交互时固有的瞬时性质需要低等待时间的连接,以便向用户提供可接受的计算体验。特别地,用户应该能够在安全链路上快速建立连接,而无需考虑接入点是在内联网内,还是在外部动态建立的链路上。新用户或新雇员应该能够获得至少一部分有限特权,以使用安全网络。在实现采用高级网络访问控制和加密/认证方案或灵活会议布局的安全链路时,上述问题依然存在。上述问题向支持无线网络的网络服务器系统提出了新挑战。
发明内容
本文描述的发明能够解决上述问题,并且便于创建计算机网络,以建立在更广范围的网络链路上建立安全连接的客户与服务器设备之间的动态安全链路。特别地,描述了客户端协议,以交换用于建立安全连接的信息。此外,具体体现本发明的方法和系统建立无线连接计算环境中的密钥交换协议。通过审慎选择的扩展认证协议(EAP)和传输层安全(TLS),实现密钥交换。
本文阐述了用于建立并管理带有安全密钥交换、认证和授权的安全数据/音频/视频连接的方法。该方法包括在EAP内实现TLS。本发明的一种实施方式允许机器建立具有有限特权的安全连接,如果机器的用户不能提供令人满意的用户标识信息的话。该方法允许灵活管理由不同安全能力和敏感度的机器和网络链路组成的网络。此外,如果用户不能提交用户标识认证信息,则启动机器登录过程,从而放松与典型登录过程有关的要求,并且在适当时提供基础访问级。
本发明的一种实施方式允许通过非安全链路连接到安全网络的用户,在认证后有限访问安全网络。通过非安全链路登录的用户比通过安全链路登录的相同用户收到的特权要少。
在本发明的一种实施方式中,机器可以在用户不登录的情况下建立安全链路。因此,关键任务服务器能够在不要求用户登录的情况下在网络上停留。并且用户登录不会使机器的安全访问中断。
通过参照附图阅读所示实施方式的详细说明,将更加了解本发明的附加特征和优点。
附图说明
附属权利要求书详细阐述本发明的特征,通过连同附图阅读以下详细说明书,将更好地理解本发明、其目的和优点,其中附图为:
图1是一个框图,一般表示实现本发明的典型计算机系统;
图2表示运行本发明之实施方式的普通计算环境;
图3表示适合安全网络中的接入点和移动计算装置之间的无线链路的另一种计算环境;
图4表示经由远程代理radius服务器利用带有认证功能的移动计算装置进行远程访问的计算环境,其中移动计算装置信任或者移动计算装置访问的安全网络至少了解远程代理radius服务器;
图5是一个流程图,表示信任用户获得某台机器的机器身份的步骤;
图6是一个流程图,表示缺少证书的机器或用户在系统管理员的干预下利用信任机器登录以及利用默认用户标识进行登录的步骤;
图7是一个流程图,概述利用机器身份访问安全网络中的计算资源的步骤;
图8是一个流程图,概述利用默认用户标识符请求系统管理员允许不满足认证信息的用户在不亲自拜访中央设备的情况下就访问网络的步骤;
图9是一个流程图,概述远程移动计算装置经由代理radius服务器访问安全网络的步骤;以及
图10是一个流程图,概述请求访问安全网络上的资源的远程用户的认证步骤。
具体实施方式
转到附图,其中相同参考号数表示相同部件,以在适当计算环境中实现本发明的方式,说明本发明。尽管在诸如计算环境执行的程序模块之类的计算机可执行指令的上下文中说明本发明,但并不做此规定。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。此外,熟练技术人员可以了解,可以利用其他计算机系统配置实现本发明,这些配置包括手持设备、多处理器系统、基于微处理器的消费类电子产品或可编程的消费类电子产品、网络PC、小型机和大型计算机等。也可以在利用远程处理设备执行任务的分布式计算环境中,实现本发明,其中通过通信网络连接远程处理设备。在分布式计算环境中,可以在本地或远程记忆体存储设备中存储程序模块。
图1表示其上能够实现本发明的适合计算系统环境100的示例。计算系统环境100只是适合计算环境的一个示例,并不表示对本发明之使用范围或功能性的任何限制。请不要把本计算环境100解释为具有与操作环境100所示的任意组件或其组合有关的从属性或需求。
本发明可以在其他通用或专用计算系统环境或配置上运行。适合与本发明一起使用的公知计算系统、环境和配置的示例包括但不限于个人计算机、服务器、手持设备或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程的消费类电子产品、网络PC、小型机、大型计算机以及包括上述系统或设备的分布式计算环境。
在计算机执行的诸如程序模块之类的计算机可执行指令的上下文中说明本发明。通常,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。也可以在利用远程处理设备执行任务的分布式计算环境中,实现本发明,其中通过通信网络连接远程处理设备。在分布式计算环境中,可以在本地或远程记忆体存储设备中存储程序模块。
参照图1,用于实现本发明的典型系统包括通用计算设备,如计算机110。计算机110的组件包括但不限于包括处理部件120、系统存储器130和系统总线121,系统总线121将包括系统存储器在内的各种系统组件,连接到处理部件120。系统总线120可以为各种类型的总线结构,包括存储总线或存储控制器、外围总线以及使用各种总线体系结构的局域总线。例如,此类体系结构包括但不限于工业标准结构(ISA)总线,微通道结构(MCA)总线,扩展工业标准结构(EISA)总线,视频电子标准协会(VESA)局域总线,以及称为Mezzanine总线的周边元件扩展接口(PCI)总线。
计算机110通常包括多种计算机可读介质。计算机可读介质为计算机110能够存取的任何可用介质,包括易失和非易失介质,可更换和不可更换介质。例如,计算机可读介质包括但不限于计算机存储介质和传播介质。计算机存储介质包括用来存储诸如计算机可读指令、数据结构、程序模块或其他数据之类的信息的、采用任何方法或技术实现的易失和非易失、可更换和不可更换介质。计算机存储介质包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、EEPROM、闪存、或其他存储技术、CD-ROM、数字多功能光盘(DVD)、或其他光盘存储器、盒式磁带、磁带机、磁盘存储器、或其他磁性存储设备、或用于存储所需信息并且可由计算机110存取的任何其他介质。传播介质通常以诸如载波或其他传送机制之类的调制数据信号,体现计算机可读指令、数据结构、程序模块或其他数据,并且包括所有信息传输介质。术语“调制数据信号”意指调整或改变其一个或多个特征以便在该信号中编码信息的信号。例如,传播介质包括但不限于有线网络,以及诸如声、RF、红外和光学介质之类的无线介质。
系统存储器130包括易失和非易失存储器形式的计算机存储介质,如ROM 131和RAM 132。通常,在ROM 131中存储包含基本例程的基本输入/输出系统(BIOS)133,其中在启动时,基本例程帮助在计算机110内的部件之间传送信息。RAM 132通常包括数据和程序模块,处理部件120能够快速存取或处理RAM 132。例如,图1举例说明操作系统134、应用程序135、其他程序模块136和程序数据137,但并不限于此。通常,操作系统134通过一个或多个应用编程接口(API)(未示出)向应用程序135提供服务。由于操作系统134包括上述服务,所以应用程序135的开发人员无需再次开发就能使用上述服务。技术人员熟知诸如微软“WINDOWS”之类的操作系统提供的API示例。
计算机110还包括其他可更换/不可更换的、易失/非易失计算机存储介质。例如,图1举例说明硬盘接口140,用于读写不可更换的非易失磁性介质;用于读写可更换的、非易失磁盘152的内部或外部磁盘驱动器151;以及读写诸如CD ROM之类的可更换的、非易失光盘156的光盘驱动器155。可以在典型操作环境中使用的其他可更换/不可更换、易失/非易失计算机存储介质包括但不限于盒式磁带、闪存存储卡、DVD、数字录像带、固态RAM和固态ROM。通过诸如接口140之类的不可更换的存储接口,把内部或外部硬盘驱动器141连接到系统总线121,利用诸如接口150之类的可更换存储接口,把磁盘驱动器151和光盘驱动器155连接到系统总线121。
图1所示的上述驱动器及其关联的计算机存储介质,为计算机110提供计算机可读指令、数据结构、程序模块以及其他数据的存储器。例如,在图1中,硬盘驱动器141存储操作系统144、应用程序145、其他程序模块146和程序数据147。请注意,上述组件可以与操作系统134、应用程序135、其他程序模块136和程序数据137相同,也可以不同。本文为操作系统144、应用程序145、其他程序模块146和程序数据147指定不同号码,以表示它们可以是不同副本。
用户通过诸如键盘162和定点设备161之类的输入设备,把命令和信息输入到计算机110中,定点设备通常称为鼠标、跟踪球或触垫。其他输入设备(未示出)包括麦克风、操纵杆、游戏控制器、圆盘式卫星电视天线或扫描仪等。通常,通过与系统总线相连的用户输入接口160,把上述输入设备连接到处理部件120,也可以利用诸如并行端口、游戏端口或通用串行总线(USB)之类的其他接口,进行连接。经由诸如视频接口190之类的接口,把监视器191或其他类型的显示设备连接到系统总线121。除监视器之外,计算机还包括诸如扬声器197和打印机196之类的其他外围输出设备,其中通过输出外围接口195连接其他外围输出设备。
计算机110可以在网络环境中运行,其中利用逻辑连接将计算机连接到一台或几台远程计算机,如远程计算机180。远程计算机180可以为个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,通常包括相对于计算机110描述的许多或所有组件,尽管图1仅仅举例说明记忆体存储设备181。图1描述的逻辑连接包括局域网(LAN)171,广域网(WAN)173,也可以包括其他网络。上述网络环境在办公室、企业计算机网络、内联网和因特网中很普通。
当在LAN网络环境中使用时,通过网络接口或适配器170,把计算机110连接到LAN 171。当在WAN网络环境中使用时,计算机110通常包括用于在诸如因特网之类的WAN 173上建立通信链路的调制解调器172或其他装置。经由用户输入接口160或其他适当机制,把内置或外置调制解调器172连接到系统总线121。在网络环境中,可以在远程记忆体存储设备中,存储相对于计算机110或其某些部分描述的程序模块。例如,图1表示驻留在远程计算机180之内部或外部存储设备181上的远程应用程序185,但并不限于此。可以理解,所示网络连接只是示范性的,也可以使用用于在计算机之间建立通信链路的其他装置。
在以下说明中,将参照一台或几台计算机执行的动作和操作的符号表示,描述本发明,除非另有说明。同样,可以理解,有时称为计算机执行的动作和操作,包括表示结构数据的电信号的计算机的处理部件进行的处理。此类处理把数据传送或保存到计算机的存储系统中的某个位置,此类处理以熟练技术人员理解的方式,重新配置或改变计算机的操作。保存数据的数据结构为存储器的物理位置,存储器的物理位置具有数据格式定义的特定属性。然而,正如熟练技术人员理解的那样,尽管在上述上下文中描述本发明,但并不意味着此类限制,可以利用硬件实现下文描述的各种动作和操作。
在认证/加密方案中,建立网络访问或连接需要克服的第一个障碍就是认证使用链路的各当事人。通常,借助信任源发行的证书完成以上处理。在安全会议中,参加安全会议的当事人必须提供其声称的身份。在某些实施方式中,要求会议节点提供其身份。证书包含提交证书的当事人的信息,并且包含安全措施,从而能够检测所有窜改,包括提交信息的当事人所做的更改。
通过考虑非对称密钥加密方案,可以理解基本过程。在该方案中,加密/解密过程使用两个密钥,通常称为公有密钥和私有密钥。安全保存私有密钥,例如,存储在计算机存储器中的安全位置或智能卡上。自由分发公有密钥。公有密钥和私有密钥数学相关,但并不容易根据一个密钥计算出另一个密钥。特别地,知道公有密钥并不能在适当时间间隔内算出私有密钥。另外,利用一个密钥加密的报文,只能利用另一个密钥进行解密。
需要认证其身份的用户请求信任证书授权(CA)发行有关其身份的证书。最好利用CA的公有密钥对该请求进行编码。实现上述目标有许多方法,例如,首先利用用户的私有密钥对其声称的身份进行加密,然后利用CA的公有密钥对该报文以及潜在新用户的公有密钥的副本进行加密。从而当CA利用它的私有密钥对该消息进行解密时,确保CA知道利用哪个公有密钥进行解密。此外,报文的成功解密使CA确信能够利用用户的公有密钥,对利用该用户的私有密钥编码的该用户发起的报文进行解密。因此,CA,特别是发行用户的私有密钥的CA能够检查数据库以验证用户声称的身份。
CA利用它的私有密钥,对包括与私有密钥相对应的公有密钥在内的用户的身份信息进行加密,以形成认证证书,可能带有数字签名。请求认证用户身份的当事人利用CA的公有密钥对证书解密。因此,证书也可以向请求认证用户身份的当事人提供用户的公有密钥。
尽管用户能够读取CA认证的信息,但用户不可能在不被发现的情况下改变信息,因为用户并不了解CA的私有密钥。此外,CA可以附加一个经过加密的单向散列报文,从而收件人能够增强整个报文均真实可信的信心,即使该报文是以较小部分为单位接收的。选用单向散列函数的原因在于,在保持相同散列结果时改变报文很难保证进一步证明附属报文的真实性。换句话说,由于解密密钥是公有密钥,所以许多人都可以读取经过加密的报文,但是不可能在不标记更改状态的情况下更改报文。另外,可以在有限使用期限内提供认证证书和有关密钥,从而很难进行窜改和逆向工程。
在附录“IEEE 802.11安全白皮书”、“IEEE 802.1X支持方案”以及“蓝牙安全体系结构版本1.0”的附属文件中,详细描述支持安全客户服务器通信的密钥交换、认证和授权请求,本申请全文引用作为参考。
图2表示具有一组动态链路、一组静态链路和许多设备的典型计算环境200。计算环境200包括与路由器210相连的内联网205,路由器210又与因特网215相连。至少一个移动计算装置220经由动态链路225连接到因特网215。作为选择,移动计算装置220也可以利用链路230连接到内联网205,链路230的存在不排除动态链路225。移动计算装置220不一定是计算机,可以是任何移动计算设备,如能够进行蜂窝通信的设备,或能够访问联机内容的音频/视频内容提供设备。计算环境200中的设备包括工作站235、服务器240和服务器240控制的打印机245。静态链路指定义内联网205的连接,而动态链路指故障可能性较高的连接,如移动计算装置220与因特网215之间的连接225或移动计算装置220与内联网205之间的连接230。
确保静态链路的安全性要比提供安全动态链路更容易。安全动态链路难以实现的原因在于,动态链路的短暂性以及此类链路上的更长等待时间和带宽限制。此外,由于诸如计算装置220之类的便携计算设备的移动性,所以需要预防非授权网络访问。
依据传递的信任关系,向信任用户以及有关信任机器扩展安全连接的策略,无需集中管理所有安全关系,就能实现安全计算环境。明确的信任关系能够追查泄密。此外,明确的信任关系有助于易管理的认证过程,同时在建立安全连接时保持低等待时间。
限制访问信任用户以及利用软件或硬件实现的信任机器是非常有利的,因为它仅仅允许信任机器访问网络而不允许经过认证的用户访问网络,同时允许信任用户使用任何机器访问网络。上述策略禁止不合格的认证用户和机器取得非授权访问。另一方面,基于机器的认证允许具有有效证书标准访问级的机器供具有有效证书的用户使用。没有有效证书的用户获得没有有效证书的机器上有限授权访问。上述访问允许非认证用户拥有基本访问级。此类用户可以为来宾、新雇员或前雇员以及需要部分访问安全网络的人员。信任用户可以利用与网络相连的信任或非信任机器访问网络资源。
向新用户或密码错误从而不能正确登录的用户提供有限访问,会使其计算体验更顺畅,并使用户受到的较少胁迫。同样,通过允许充分访问以使新用户和新雇员直接与系统管理员进行交互,能够在保持集中控制的情况下分散添加和删除用户的处理。分散的意义在于新雇员无需亲自到中央位置接受授权,以访问内部计算资源。可以定制对非认证用户施加的访问限制,以避免危及网络资源的安全性。为此目的,同一用户具有不同授权,以便更好地反映与该用户登录环境有关的相对安全风险。例如,从远程站点访问计算资源的用户,比使用建筑物内联网205内的机器的用户或使用信任机器的用户,具有更有限的特权。因此,所公开的方法和系统,允许具有移动计算装置的用户,根据移动计算装置的身份和/或请求访问的环境,访问具有各种访问级(即,授权)的计算环境。
图3表示适合支持无线链路的计算环境300。移动计算装置305通过具有接入点315的链路310,与计算环境300联系在一起。接入点315作为移动计算装置305的认证机构,以允许其访问计算环境300内的计算资源。接入点315将宣称的身份和证书,转发到远程认证拨入用户服务(“radius”)服务器325,以便认证从移动计算装置305接收的宣称身份。RADIUS服务器325将身份请求和身份证明转发到接入点315,以进一步转发到移动计算装置305,目的是防止radius服务器325与非认证移动计算装置305之间的直接通信。
图4表示试图从远程站点访问内联网405的移动计算装置400。移动计算装置400与远程接入点410联系在一起,接入点410作为认证机构,并使用代理radius服务器415认证移动计算装置400。在成功认证后,接入点410将指向网络的数据包,转发到VLAN交换机420。VLAN交换机420参照注册登记服务器430,确定是否允许移动计算装置400远程访问与内联网405相连的VLAN 425。如果移动计算装置400已按时注册,则正确转发指向VLAN 425或指向服务器435的通信,其中经由内联网405连接服务器435。如果认证失败,则阻止数据包传播到VLAN 425或服务器435。
根据本发明,用户和机器分别具有两种登录状态:具有有效证书的用户;没有有效证书的用户;具有有效证书的机器以及没有有效证书的机器。机器和用户登录状态共同生成四种可能登录状态。本发明包括能够体现一种登录状态优先于另一种登录状态的实施方式。
在本发明的实施方式中,如果用户不能提供经过认证的身份,则该用户使用的机器可以提供一个身份,以允许基于机器的登录过程提供有限访问。图5表示允许信任机器利用其机器身份登录的一组可能步骤,请不要把图5解释为限制步骤变更。为此目的,信任用户开始建立机器的信任状态。图5的步骤500表示信任用户请求该用户使用的机器的机器身份。在步骤505中,诸如域控制器之类的网络服务器确定该用户是否可信,并且在步骤510中,确定该用户是否有权发出请求。如果用户有权发出请求,则网络服务器提供唯一机器标识(步骤515)。否则,在步骤520中,网络服务器拒绝请求。在步骤525中,网络服务器请求CA提供证书,以证实机器身份,并且在步骤530中,将该证书转发到机器。在步骤535中,在该机器上存储机器标识和证书,以便随后使用。
在图6所示的本发明的实施方式中,利用可接受的证书或默认的用户ID,执行机器认证和用户认证,以允许系统管理员干预机器或用户认证。步骤600包括一个网络访问请求。如果机器证书可用,则控制从步骤605转到步骤610,并且机器认证。尽管在本实施方式中,用户不能在同一机器上进行认证,也不应解释为对本发明之范围的限制。步骤610对于在不要求用户登录的情况下就启动网络上的服务器非常有用。此外,位于特许位置的某些机器甚至不提供用户界面。如果机器不能认证,则控制转移到步骤615。另一方面,如果机器没有证书,则控制从步骤605转到步骤620。步骤620包括该机器利用默认用户标识符开始机器认证,其结果是步骤625成功,步骤630失败。控制从步骤620、625和630转到步骤635。步骤635包括开始用户登录的命令。如果用户证书可用,则控制转到步骤645,步骤645表示用户认证成功和过程结束。另一方面,如果用户证书不能接受,则用户认证失败(步骤650),并且过程结束。在步骤640中,如果用户证书不可用,则通过成功使用默认用户标识符,使控制转到步骤655。如果使用默认用户标识符的认证失败,则控制转到步骤660,并最终结束认证过程。
与环境兼容的扩展认证协议(EAP)中的典型实施方式包括EAP启动信息。当然,在其他环境中,也可以采用其他启动信息,目的是减少最初处理使用的信息总数。
图7表示在信任机器上进行的认证过程的实施方式。在步骤700中,用户发出启动信息,表示对访问计算环境感兴趣。无线接入点接收启动信息,以建立无线链路。把无线接入点配置为:既不向基础有线网络转发数据通信量,也不向未经认证的连接的其他无线移动计算设备转发数据通信量。充当认证机构的接入点提供有限交互,以便在建立相配链路前认证申请人。为此,在步骤705中,接入点请求申请人的身份,以开始认证过程,如果启动信息中缺少此类身份的话。作为对上述请求的响应,在步骤710中,申请人提供可以认证的身份,如果有的话。以上判定包括超时期限。作为选择,申请人明确表示不能提供被请求的身份。
如果被请求的身份可用,则在步骤715中执行标准认证过程。在标准过程中,接入点将宣称身份转发到radius服务器。RADIUS服务器将应答传送到接入点,接入点又将应答转发到移动计算装置。移动计算装置和radius服务器不能直接通信,以确保网络资源的安全性。然而,如果没有提供有效身份,则信任机器提供机器身份(步骤720)。接入点将信任机器身份转发到radius服务器,然后由radius服务器向移动计算装置提供接入点转发的应答。
在步骤725中,接入点通过请求根据radius服务器提供的应答证明宣称身份,应答宣称身份。在步骤730中,移动计算装置向接入点提交证书,以证明宣称的机器身份。在步骤735中,如果证书有效,则接入点提供与宣称的、经过认证的机器身份匹配的有限访问。
图8表示利用默认用户身份请求系统管理员干预的方法。在不要求新用户亲自访问中央设备的情况下认证并登记新用户时,该方法非常有用。在步骤800中,发出启动信息以请求访问计算环境,然后在步骤805中,请求宣称的身份。在步骤810中,用户提供默认的用户标识,可以为空串。作为对接收的默认用户标识的响应,该系统并不拒绝所有用户访问,而是请求系统管理员确定是否允许用户访问计算环境以及授权级别(步骤815)。在步骤820中,如果系统管理员验证用户的身份,即,认证用户,则域控制器允许用户登录。在步骤825中,域控制器提供证书,以证明用户的身份。在步骤825中,对计算资源的后继访问利用该证书来证明用户的身份,而无需请求系统管理员干预。
图9表示为远程非安全站点中的用户提供有限访问的典型方法,远程非安全站点的定义是:需要使用一台或几台身份不明的机器,或者实际位置在内联网之外。在此类环境中,提供不反映特定用户在安全站点或安全机器上操作时具有的所有特权的有限访问更有利。在步骤900中,请求通过代理服务器访问远程接入点,在步骤905中,请求宣称的身份。在步骤910中,提供身份,可以是用户身份或机器身份,在步骤915中,进行应答,以证明宣称的身份。在步骤920中,申请人通过提供从信任证书机构取得的证书,证明宣称的身份。在步骤925中,RADIUS代理服务器转发有关处理,并且负责安全策略的radius服务器向用户提供统一资源定位符(URL),实际为端口地址,以允许访问计算环境。通常,该URL向用户提供的网络资源访问级低于用户通过网络中的接入点获得的访问级。
图10总结了用于远程访问安全计算资源的本发明的另一种实施方式中的步骤。在步骤1000中,远程用户请求访问安全计算环境中的资源。可以在另一网络中的接入点或通过因特网发出请求。在步骤1005中,RADIUS服务器处理该请求,并提供URL以允许申请人在远程站点进行认证。正如步骤1010所示,该连接很可能是安全连接,并且可以使用SSL或其他类似技术来认证申请人。另外,认证网页可以请求并接受信息,以便进行计费处理。上述信息包括信用卡号、时间以及请求的资源种类。在步骤1015中,确定请求的服务是否可用。如果服务可用并且认证令人满意,则在步骤1020中提供授权,以访问请求的资源,然后终止该过程。另一方面,如果请求的资源不可用,则控制从步骤1015转到步骤1030,通知申请人资源或访问不可用,然后终止(步骤1025)。
通过将基于机器和用户的认证与反映不同用户和链路之相对安全风险的各种授权级别结合起来,上述方法能够自动管理具有动态链路的网络中的众多用户,其中某些用户具有移动计算装置。
利用本文所述方法建立的安全链路包括加密。接入点和移动计算装置通过交换至少一个密钥并生成附加密钥,进行加密,从而实现通信安全。密钥可以是对称密钥或非对称密钥。加密包括经常变换密钥,以提高安全性。此外,如果安全链路中断,然后重新建立与先前使用的接入点相连的新接入点,则移动计算装置仅仅提交先前使用的接入点的身份,并坚持其身份。新接入点确认先前认证的移动计算装置,并且无需重新认证移动计算装置,就允许其访问。与超时结合的上述策略,通过减少由于认证新移动装置造成的等待时间,提供更好的计算体验。
由于可以将本发明的原理应用于许多可能的实施方式,所以应该理解,参照附图叙述的实施方式只是说明性的,而并不能视为对本发明的限制。例如,一般技术人员可以理解,可以利用硬件实现用软件表示的实施方式中的组件,反之亦然,可以在排列或细节方面修改所示实施方式而并不背离本发明的实质。因此,本文叙述的发明认为所有此类实施方式均在附属权利要求书及其等价物的范围内。
这里全文引用包含专利、专利申请以及出版物在内的所有文献作为参考。
Claims (36)
1.一种为移动计算装置提供特权访问计算资源的方法,该方法包括以下步骤:
获得带有唯一机器标识符的证书,以便于认证移动计算装置的身份;
向认证机构提供证书,以证明机器身份,认证机构控制对计算资源的访问;以及
利用从认证机构获得的授权信息,建立到计算资源的访问,授权信息与经过认证的移动计算装置的身份相对应。
2.权利要求1的方法,其中移动计算装置使用至少一条无线链路与计算资源通信。
3.权利要求1的方法,其中授权信息包括一个密钥,用于加密从移动计算装置到输入端口的通信。
4.权利要求3的方法,其中密钥为对称会话密钥。
5.权利要求1的方法还包括以下步骤:检测移动计算装置的用户不能登录访问计算资源,以及作为响应,执行获取证书的步骤。
6.权利要求1的方法还包括,确定移动计算装置没有证明机器身份的证书,以及作为响应,执行获取步骤。
7.权利要求1的方法还包括以下步骤:在移动计算装置上存储唯一机器标识符,以供随后使用。
8.权利要求1的方法还包括以下步骤:在移动计算装置上存储证书。
9.权利要求1的方法还包括以下步骤:接收唯一机器标识符。
10.权利要求1的方法还包括以下步骤:利用域控制器从证书机构获取证书;以及从域控制器接收证书。
11.权利要求10的方法,其中域控制器响应来自用户的用户请求获取证书,用户利用移动计算装置访问计算资源。
12.一种向用户提供特权访问计算资源的方法,其中限制访问计算资源,该方法包括以下步骤:
请求访问计算资源;
提供默认的用户标识符开始登录,以便有限访问计算资源;
管理员接收默认的用户标识符,并且作为响应,提供信息以访问计算资源;以及
向计算资源发送数据或从计算资源那里接收数据以完成登录。
13.权利要求12的方法还包括以下步骤:如果成功登录到与计算资源相对应的域控制器,则接收访问计算资源。
14.权利要求12的方法还包括以下步骤:域控制器获得用于认证用户的证书,用户从域控制器那里接收用于认证用户的证书。
15.权利要求12的方法,其中用户使用至少一条无线链路访问计算资源。
16.一种向用户提供的从外部站点安全访问计算资源的方法,该方法包括以下步骤:
发送需要访问计算资源的请求;
通过远程接入点,向代理认证服务器提供用户标识符,用户标识符与宣称的身份相对应;
响应应答,通过远程接入点,向代理认证服务器提供证书,以认证宣称的身份;以及
接收地址,以便向计算资源发送数据或从计算资源那里接收数据,地址与计算资源的有限访问相对应。
17.权利要求16的方法,其中用于发送、接收数据的地址为统一资源定位符。
18.权利要求17的方法还包括:用户接收密钥,以便对到达计算资源的信息进行加密。
19.权利要求18的方法还包括:使用密钥对来自计算资源的信息进行解密。
20.一种在使用无线传输的服务器和客户机之间建立安全链路的方法,其中客户机是无线站,服务器为认证机构,客户机和服务器安全交换密钥,以建立安全链路,安全链路对客户机和服务器交换的至少一条信息进行加密,该方法包括以下步骤:
声明身份;
通过提供证书证明宣称的身份,响应认证请求;以及
根据证书中的信息,生成初始密钥,以便对安全链路上的信息进行加密。
21.一种具有计算机可执行指令的计算机可读介质,所述指令用于执行向机器提供计算资源之特权访问方法的步骤,该方法包括以下步骤:
获得带有唯一机器标识符的证书,以认证移动计算装置的身份;
向认证机构提供证书,以证明机器身份,认证机构控制对计算资源的访问;以及
利用从认证机构获得的授权信息,建立对计算资源的访问,授权信息与经过认证的移动计算装置的身份相对应。
22.权利要求21的计算机可读介质,具有执行以下步骤的计算机可执行指令:如果机器上的用户不能登录访问计算资源,则使用机器身份。
23.权利要求21的具有计算机可执行指令的计算机可读介质,其中移动计算装置使用至少一条无线链路与计算资源通信。
24.权利要求21的具有计算机可执行指令的计算机可读介质,其中授权信息包括一个密钥,用于加密从移动计算装置到输入端口的通信。
25.权利要求21的计算机可读介质,具有执行以下附加步骤的计算机可执行指令:在移动计算装置上存储唯一机器标识符,以供随后使用。
26.权利要求21的计算机可读介质,具有执行以下附加步骤的计算机可执行指令:在移动计算装置上存储证书。
27.权利要求21的计算机可读介质,具有执行以下附加步骤的计算机可执行指令:利用域控制器从证书机构获取证书;以及从域控制器接收证书。
28.权利要求27的具有计算机可执行指令的计算机可读介质,其中域控制器响应使用计算资源的用户的用户请求,获取证书。
29.一种具有计算机可执行指令的计算机可读介质,所述指令用于执行向用户提供计算资源之特权访问方法的步骤,其中限制访问计算资源,该方法包括以下步骤:
请求访问计算资源;
提供默认的用户标识符开始登录,以便有限访问计算资源;
管理员接收默认的用户标识符,并且作为响应,提供访问计算资源的信息;以及
向计算资源发送数据或从计算资源那里接收数据以完成登录。
30.权利要求29的计算机可读介质,具有执行以下步骤的计算机可执行指令:如果成功登录到与计算资源相对应的域控制器,则访问计算资源。
31.权利要求29的计算机可读介质,具有执行以下步骤的计算机可执行指令:域控制器获得用于认证用户的证书,用户从域控制器那里接收用于认证用户的证书。
32.权利要求29的具有计算机可执行指令的计算机可读介质,其中用户使用至少一条无线链路访问计算资源。
33.一种具有计算机可执行指令的计算机可读介质,所述指令用于执行向用户提供从外部站点安全访问计算资源的方法的步骤,该方法包括以下步骤:
发送需要访问计算资源的请求;
提供用户标识符以便开始登录访问计算资源,用户标识符与宣称的身份相对应;
响应应答提供证书,认证宣称的身份,以获得对计算资源的访问;以及
接收地址,以便向计算资源发送数据或从计算资源那里接收数据。
34.权利要求33的具有计算机可执行指令的计算机可读介质,其中用于发送、接收数据的地址为统一资源定位符。
35.权利要求34的计算机可读介质,具有执行以下步骤的计算机可执行指令:接收密钥,以便对到达计算资源的信息进行加密。
36.权利要求35的计算机可读介质,具有执行以下步骤的计算机可执行指令:使用密钥对来自计算资源的信息进行解密。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US55794500A | 2000-04-24 | 2000-04-24 | |
| US09/557,945 | 2000-04-24 | ||
| US09/694,514 | 2000-10-23 | ||
| US09/694,514 US7257836B1 (en) | 2000-04-24 | 2000-10-23 | Security link management in dynamic networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1433537A true CN1433537A (zh) | 2003-07-30 |
| CN100580610C CN100580610C (zh) | 2010-01-13 |
Family
ID=27071571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN01810304A Expired - Fee Related CN100580610C (zh) | 2000-04-24 | 2001-02-23 | 动态网络中的安全链路管理方法 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US7257836B1 (zh) |
| EP (4) | EP1277099A2 (zh) |
| JP (2) | JP4917233B2 (zh) |
| CN (1) | CN100580610C (zh) |
| AT (1) | ATE400015T1 (zh) |
| AU (2) | AU2001243262A1 (zh) |
| BR (1) | BR0110332A (zh) |
| CA (1) | CA2407482C (zh) |
| DE (1) | DE60134678D1 (zh) |
| ES (1) | ES2308087T3 (zh) |
| HK (2) | HK1052996A1 (zh) |
| MX (1) | MXPA02010499A (zh) |
| RU (1) | RU2297037C2 (zh) |
| WO (2) | WO2001082037A2 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801705B (zh) * | 2005-01-07 | 2011-01-05 | 华为技术有限公司 | 一种预认证方法 |
| WO2011110101A1 (zh) * | 2010-03-11 | 2011-09-15 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| CN102377617A (zh) * | 2010-08-14 | 2012-03-14 | 尼尔森(美国)有限公司 | 监视移动互联网活动的系统、方法和设备 |
| CN102395006A (zh) * | 2011-10-24 | 2012-03-28 | 南京大学 | 一种基于视频流的外网安全审查系统 |
| CN101764803B (zh) * | 2004-03-19 | 2013-02-27 | 微软公司 | 参与与计算系统的认证的方法 |
| CN103444126A (zh) * | 2011-03-25 | 2013-12-11 | 三菱电机株式会社 | 密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法以及密码处理程序 |
| CN106790702A (zh) * | 2017-02-24 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
| US11849001B2 (en) | 2010-08-14 | 2023-12-19 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| US12095877B2 (en) | 2014-10-31 | 2024-09-17 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
Families Citing this family (42)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU7584298A (en) * | 1997-05-21 | 1998-12-11 | E.S.P. Communications, Inc. | System, method and apparatus for "caller only" initiated two-way wireless communication with caller generated billing |
| US20020026584A1 (en) * | 2000-06-05 | 2002-02-28 | Janez Skubic | Method for signing documents using a PC and a personal terminal device |
| US7218739B2 (en) | 2001-03-09 | 2007-05-15 | Microsoft Corporation | Multiple user authentication for online console-based gaming |
| FR2826536B1 (fr) * | 2001-06-20 | 2004-01-23 | Gemplus Card Int | Procede de communication radiofrequence securisee |
| FI114953B (fi) * | 2001-09-28 | 2005-01-31 | Nokia Corp | Menetelmä käyttäjän tunnistamiseksi päätelaitteessa, tunnistusjärjestelmä, päätelaite ja käyttöoikeuksien varmistuslaite |
| US7203835B2 (en) * | 2001-11-13 | 2007-04-10 | Microsoft Corporation | Architecture for manufacturing authenticatable gaming systems |
| US7730321B2 (en) * | 2003-05-09 | 2010-06-01 | Emc Corporation | System and method for authentication of users and communications received from computer systems |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7272714B2 (en) | 2002-05-31 | 2007-09-18 | International Business Machines Corporation | Method, apparatus, and program for automated trust zone partitioning |
| CN1191696C (zh) * | 2002-11-06 | 2005-03-02 | 西安西电捷通无线网络通信有限公司 | 一种无线局域网移动设备安全接入及数据保密通信的方法 |
| CN1781099B (zh) | 2003-03-14 | 2011-11-09 | 汤姆森特许公司 | 在公共热点中的客户终端的自动配置 |
| US7454615B2 (en) * | 2003-05-08 | 2008-11-18 | At&T Intellectual Property I, L.P. | Centralized authentication system |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| US7457953B2 (en) * | 2003-12-18 | 2008-11-25 | Intel Corporation | Method and apparatus to provide secure communication |
| US20060068757A1 (en) * | 2004-09-30 | 2006-03-30 | Sukumar Thirunarayanan | Method, apparatus and system for maintaining a persistent wireless network connection |
| US7598855B2 (en) | 2005-02-01 | 2009-10-06 | Location Based Technologies, Inc. | Apparatus and method for locating individuals and objects using tracking devices |
| US7640430B2 (en) * | 2005-04-04 | 2009-12-29 | Cisco Technology, Inc. | System and method for achieving machine authentication without maintaining additional credentials |
| US7958368B2 (en) | 2006-07-14 | 2011-06-07 | Microsoft Corporation | Password-authenticated groups |
| US8948395B2 (en) | 2006-08-24 | 2015-02-03 | Qualcomm Incorporated | Systems and methods for key management for wireless communications systems |
| US8578159B2 (en) | 2006-09-07 | 2013-11-05 | Motorola Solutions, Inc. | Method and apparatus for establishing security association between nodes of an AD HOC wireless network |
| US8200191B1 (en) * | 2007-02-08 | 2012-06-12 | Clearwire IP Holdings | Treatment of devices that fail authentication |
| US8307411B2 (en) | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| US8201231B2 (en) | 2007-02-21 | 2012-06-12 | Microsoft Corporation | Authenticated credential-based multi-tenant access to a service |
| US8774827B2 (en) | 2007-04-05 | 2014-07-08 | Location Based Technologies, Inc. | Apparatus and method for generating position fix of a tracking device in accordance with a subscriber service usage profile to conserve tracking device power |
| US8244468B2 (en) | 2007-11-06 | 2012-08-14 | Location Based Technology Inc. | System and method for creating and managing a personalized web interface for monitoring location information on individuals and objects using tracking devices |
| US8224355B2 (en) | 2007-11-06 | 2012-07-17 | Location Based Technologies Inc. | System and method for improved communication bandwidth utilization when monitoring location information |
| US8102256B2 (en) | 2008-01-06 | 2012-01-24 | Location Based Technologies Inc. | Apparatus and method for determining location and tracking coordinates of a tracking device |
| US8497774B2 (en) | 2007-04-05 | 2013-07-30 | Location Based Technologies Inc. | Apparatus and method for adjusting refresh rate of location coordinates of a tracking device |
| US9111189B2 (en) | 2007-10-31 | 2015-08-18 | Location Based Technologies, Inc. | Apparatus and method for manufacturing an electronic package |
| US10091648B2 (en) | 2007-04-26 | 2018-10-02 | Qualcomm Incorporated | Method and apparatus for new key derivation upon handoff in wireless networks |
| CZ306790B6 (cs) * | 2007-10-12 | 2017-07-07 | Aducid S.R.O. | Způsob navazování chráněné elektronické komunikace mezi různými elektronickými prostředky, zejména mezi elektronickými prostředky poskytovatelů elektronických služeb a elektronickými prostředky uživatelů elektronických služeb |
| US8654974B2 (en) | 2007-10-18 | 2014-02-18 | Location Based Technologies, Inc. | Apparatus and method to provide secure communication over an insecure communication channel for location information using tracking devices |
| CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| JP4394730B1 (ja) * | 2008-06-27 | 2010-01-06 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法及び移動局 |
| JP4390842B1 (ja) * | 2008-08-15 | 2009-12-24 | 株式会社エヌ・ティ・ティ・ドコモ | 移動通信方法、無線基地局及び移動局 |
| CN102171969B (zh) * | 2008-10-06 | 2014-12-03 | 皇家飞利浦电子股份有限公司 | 用于操作网络的方法,用于其的系统管理设备、网络和计算机程序 |
| US9112863B2 (en) * | 2009-12-14 | 2015-08-18 | International Business Machines Corporation | Method, program product and server for controlling a resource access to an electronic resource stored within a protected data environment |
| US9443078B2 (en) | 2010-04-20 | 2016-09-13 | International Business Machines Corporation | Secure access to a virtual machine |
| US9363267B2 (en) | 2014-09-25 | 2016-06-07 | Ebay, Inc. | Transaction verification through enhanced authentication |
| US10108849B2 (en) * | 2016-10-14 | 2018-10-23 | Bank Of America Corporation | Biometric facial recognition for accessing device and authorizing event processing |
| EP3407559A1 (en) | 2017-05-26 | 2018-11-28 | Authentic Vision GmbH | System and method to manage privileges based on the authentication of an uncloneable security device |
| US11886605B2 (en) * | 2019-09-30 | 2024-01-30 | Red Hat, Inc. | Differentiated file permissions for container users |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5369702A (en) * | 1993-10-18 | 1994-11-29 | Tecsec Incorporated | Distributed cryptographic object method |
| US5371794A (en) * | 1993-11-02 | 1994-12-06 | Sun Microsystems, Inc. | Method and apparatus for privacy and authentication in wireless networks |
| US5999711A (en) | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
| US5787177A (en) * | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
| JP3006504B2 (ja) * | 1996-08-27 | 2000-02-07 | 日本電気株式会社 | 無線ネットワークにおける無線端末の認証方法および無線ネットワーク |
| US5991877A (en) * | 1997-04-03 | 1999-11-23 | Lockheed Martin Corporation | Object-oriented trusted application framework |
| US6049877A (en) | 1997-07-16 | 2000-04-11 | International Business Machines Corporation | Systems, methods and computer program products for authorizing common gateway interface application requests |
| US6233577B1 (en) * | 1998-02-17 | 2001-05-15 | Phone.Com, Inc. | Centralized certificate management system for two-way interactive communication devices in data networks |
| JPH11261731A (ja) * | 1998-03-13 | 1999-09-24 | Nec Corp | 移動通信システム、移動通信システムにおける接続方法及びこれが書き込まれた記憶媒体 |
| US6308273B1 (en) * | 1998-06-12 | 2001-10-23 | Microsoft Corporation | Method and system of security location discrimination |
| AU4824499A (en) | 1998-06-17 | 2000-01-05 | Sun Microsystems, Inc. | Method and apparatus for authenticated secure access to computer networks |
| US6643774B1 (en) * | 1999-04-08 | 2003-11-04 | International Business Machines Corporation | Authentication method to enable servers using public key authentication to obtain user-delegated tickets |
| US6571221B1 (en) * | 1999-11-03 | 2003-05-27 | Wayport, Inc. | Network communication service with an improved subscriber model using digital certificates |
-
2000
- 2000-10-23 US US09/694,514 patent/US7257836B1/en not_active Expired - Fee Related
-
2001
- 2001-02-23 BR BR0110332-6A patent/BR0110332A/pt not_active Application Discontinuation
- 2001-02-23 EP EP01916208A patent/EP1277099A2/en not_active Ceased
- 2001-02-23 DE DE60134678T patent/DE60134678D1/de not_active Expired - Lifetime
- 2001-02-23 EP EP04025104A patent/EP1498801A1/en not_active Ceased
- 2001-02-23 EP EP04025103A patent/EP1498800B1/en not_active Expired - Lifetime
- 2001-02-23 CA CA2407482A patent/CA2407482C/en not_active Expired - Fee Related
- 2001-02-23 RU RU2002131451/09A patent/RU2297037C2/ru not_active IP Right Cessation
- 2001-02-23 EP EP08010382.3A patent/EP1959368B1/en not_active Expired - Lifetime
- 2001-02-23 AT AT04025103T patent/ATE400015T1/de not_active IP Right Cessation
- 2001-02-23 CN CN01810304A patent/CN100580610C/zh not_active Expired - Fee Related
- 2001-02-23 WO PCT/US2001/005938 patent/WO2001082037A2/en active Application Filing
- 2001-02-23 AU AU2001243262A patent/AU2001243262A1/en not_active Abandoned
- 2001-02-23 ES ES04025103T patent/ES2308087T3/es not_active Expired - Lifetime
- 2001-02-23 MX MXPA02010499A patent/MXPA02010499A/es active IP Right Grant
- 2001-02-23 JP JP2001579064A patent/JP4917233B2/ja not_active Expired - Fee Related
- 2001-03-26 WO PCT/US2001/009448 patent/WO2001082038A2/en not_active Application Discontinuation
- 2001-03-26 AU AU2001255191A patent/AU2001255191A1/en not_active Abandoned
-
2003
- 2003-07-21 HK HK03105228.0A patent/HK1052996A1/zh unknown
- 2003-11-06 HK HK03108065.0A patent/HK1055822A1/xx not_active IP Right Cessation
-
2011
- 2011-12-09 JP JP2011270401A patent/JP5243593B2/ja not_active Expired - Fee Related
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101764803B (zh) * | 2004-03-19 | 2013-02-27 | 微软公司 | 参与与计算系统的认证的方法 |
| CN1801705B (zh) * | 2005-01-07 | 2011-01-05 | 华为技术有限公司 | 一种预认证方法 |
| US8713320B2 (en) | 2010-03-11 | 2014-04-29 | Huawei Technologies Co., Ltd. | Security authentication method, apparatus, and system |
| WO2011110101A1 (zh) * | 2010-03-11 | 2011-09-15 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102196436A (zh) * | 2010-03-11 | 2011-09-21 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102196436B (zh) * | 2010-03-11 | 2014-12-17 | 华为技术有限公司 | 安全认证方法、装置及系统 |
| CN102271037A (zh) * | 2010-06-03 | 2011-12-07 | 微软公司 | 基于在线密钥的密钥保护装置 |
| CN102271037B (zh) * | 2010-06-03 | 2016-03-02 | 微软技术许可有限责任公司 | 基于在线密钥的密钥保护装置 |
| CN102377617A (zh) * | 2010-08-14 | 2012-03-14 | 尼尔森(美国)有限公司 | 监视移动互联网活动的系统、方法和设备 |
| US11849001B2 (en) | 2010-08-14 | 2023-12-19 | The Nielsen Company (Us), Llc | Systems, methods, and apparatus to monitor mobile internet activity |
| CN103444126A (zh) * | 2011-03-25 | 2013-12-11 | 三菱电机株式会社 | 密码处理系统、密钥生成装置、加密装置、解密装置、密码处理方法以及密码处理程序 |
| CN103444126B (zh) * | 2011-03-25 | 2017-04-12 | 三菱电机株式会社 | 密码处理系统、密钥生成装置、加密装置、解密装置以及密码处理方法 |
| CN102395006A (zh) * | 2011-10-24 | 2012-03-28 | 南京大学 | 一种基于视频流的外网安全审查系统 |
| US12095877B2 (en) | 2014-10-31 | 2024-09-17 | The Nielsen Company (Us), Llc | Methods and apparatus to improve usage crediting in mobile devices |
| CN106790702A (zh) * | 2017-02-24 | 2017-05-31 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
| CN106790702B (zh) * | 2017-02-24 | 2020-05-05 | 腾讯科技(深圳)有限公司 | 一种基于物理场景的资源特权分发方法和管理端以及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1498800B1 (en) | 2008-07-02 |
| HK1055822A1 (en) | 2004-01-21 |
| JP2003532185A (ja) | 2003-10-28 |
| EP1277099A2 (en) | 2003-01-22 |
| WO2001082038A3 (en) | 2002-08-01 |
| AU2001255191A1 (en) | 2001-11-07 |
| JP2012100294A (ja) | 2012-05-24 |
| JP5243593B2 (ja) | 2013-07-24 |
| RU2297037C2 (ru) | 2007-04-10 |
| CA2407482C (en) | 2010-10-26 |
| CN100580610C (zh) | 2010-01-13 |
| EP1959368B1 (en) | 2018-05-23 |
| MXPA02010499A (es) | 2003-09-22 |
| ATE400015T1 (de) | 2008-07-15 |
| HK1052996A1 (zh) | 2003-10-03 |
| EP1959368A3 (en) | 2012-06-27 |
| WO2001082037A2 (en) | 2001-11-01 |
| BR0110332A (pt) | 2004-12-21 |
| RU2002131451A (ru) | 2004-03-10 |
| EP1498800A1 (en) | 2005-01-19 |
| CA2407482A1 (en) | 2001-11-01 |
| WO2001082037A3 (en) | 2002-08-08 |
| US7257836B1 (en) | 2007-08-14 |
| EP1959368A2 (en) | 2008-08-20 |
| WO2001082038A2 (en) | 2001-11-01 |
| JP4917233B2 (ja) | 2012-04-18 |
| EP1498801A1 (en) | 2005-01-19 |
| AU2001243262A1 (en) | 2001-11-07 |
| DE60134678D1 (de) | 2008-08-14 |
| ES2308087T3 (es) | 2008-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100580610C (zh) | 动态网络中的安全链路管理方法 | |
| KR102678262B1 (ko) | 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴 | |
| KR101150108B1 (ko) | 피어-투-피어 인증 및 허가 | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| KR101459802B1 (ko) | 암호화 증명의 재검증에 기반을 둔 인증 위임 | |
| US9137017B2 (en) | Key recovery mechanism | |
| KR101482564B1 (ko) | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 | |
| KR20170106515A (ko) | 다중 팩터 인증 기관 | |
| CN1608362A (zh) | 认证方法 | |
| CA2798024C (en) | One time passwords with ipsec and ike version 1 authentication | |
| US11909889B2 (en) | Secure digital signing | |
| JP5992535B2 (ja) | 無線idプロビジョニングを実行するための装置及び方法 | |
| WO2022033350A1 (zh) | 注册服务的方法及设备 | |
| WO2023082894A1 (zh) | 一种终端侧设备与网络侧设备之间的认证方法、系统 | |
| CN114726606A (zh) | 一种用户认证方法、客户端、网关及认证服务器 | |
| JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
| US11520937B2 (en) | NVMe over fabrics authentication system | |
| CN114003892A (zh) | 可信认证方法、安全认证设备及用户终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1055822 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150507 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150507 Address after: Washington State Patentee after: Micro soft technique license Co., Ltd Address before: Washington State Patentee before: Microsoft Corp. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100113 Termination date: 20190223 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |