CN1645795A - 利用无需基础设施的证书的鉴权方法和系统 - Google Patents
利用无需基础设施的证书的鉴权方法和系统 Download PDFInfo
- Publication number
- CN1645795A CN1645795A CNA2004100817131A CN200410081713A CN1645795A CN 1645795 A CN1645795 A CN 1645795A CN A2004100817131 A CNA2004100817131 A CN A2004100817131A CN 200410081713 A CN200410081713 A CN 200410081713A CN 1645795 A CN1645795 A CN 1645795A
- Authority
- CN
- China
- Prior art keywords
- certificate
- server
- client computer
- authentication
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
通过网络鉴权客户机的方法和系统。客户机产生证书并通过可信机制将证书发送给服务器。服务器被配置成存储接收的证书。当客户机请求通过网络的鉴权时,它再次提供证书,以及与安全会话相关的参数。服务器核实与安全会话相关的参数,并确定所述证书是否与存储的证书基本上相同。如果所述证书被确定为是存储的证书,那么服务器通过网络鉴权客户机。在另一实施例中,客户机传送由第三方发证机构(CA)部分地根据客户机的公共密钥产生的证书。
Description
技术领域
本发明涉及计算机安全,更具体地说,涉及采用无需基础设施的证书鉴权客户机。
背景技术
随着对更安全通信的需要,随着时间的过去逐渐形成了用于组网系统的不同类型的安全系统和措施。涉及使用专用密钥对通过网络交换的信息加密和解密的早期网络安全系统已被完善的,同时复杂的安全会话协议代替。许多现代的协议涉及通过一系列的可信发证机构(CA)等,鉴权同层的网络设备,例如客户机和服务器。
安全套接字层/传输层安全性(SSL/TLS)协议是常用的安全通信协议,包括利用数字证书鉴权客户机,以及可选地鉴权服务器的规定。在SSL/TLS握手期间,客户机利用与在客户机的证书中引用的公共密钥对应的专用密钥,数字签署服务器发出的质询。在握手期间,客户机还向服务器发送客户机的公共密钥证书。一旦成功完成握手,那么客户机已证明它拥有与客户机证书中的公共密钥对应的专用密钥。换句话说,客户机证明它拥有在SSL/TLS握手的客户机鉴权部分中使用的证书。
通常,因特网上的客户机和服务器利用事先未知或者可信的证书相互鉴权。这允许“自发的”安全通信,其中从未相遇或者交换证书的双方仍可建立对彼此的证书的信任,并利用这些证书进行鉴权。为了建立这种信任,参与双方一般被配置成属于公共密钥基础结构(PKI)。这意味着参与双方信任发出证书的一个或多个CA。当服务器核实对等体的证书时,服务器可确认连接对等体的证书和可信CA的一系列证书。对于证书链中的每个链接,服务器可核实数字签名,并且可选地检查对证书间的链接的其它请求,例如有效日期范围,实际域名等。此外,服务器还可利用证书注销列表(CRL),在线证书核实协议等,检查证书链中的每个证书是否已被吊销。
从而,在PKI中使用证书所需的结构和确认会非常复杂。于是,本行业中需要一种改进的鉴权客户机的方法和系统。从而,正是关于这些及其它考虑因素,做出了本发明。
发明内容
根据本发明的一个方面,一种方法的目的在于通过网络鉴权客户机。所述方法包括产生第一证书,并将其发送给服务器存储。所述方法还包括如果请求鉴权,那么请求第二证书,发送第二证书,并比较第一和第二证书。如果第一和第二证书相同,那么客户机被鉴权。
根据本发明的另一方面,一种方法的目的在于通过网络鉴权客户机。所述方法包括通过可信机制从客户机接收证书,将证书存储在服务器,如果请求鉴权,那么请求另一证书,并比较接收的证书和存储的证书。如果接收的证书和存储的证书相同,那么客户机被鉴权。
根据本发明的另一方面,一种方法的目的在于通过网络接受鉴权。所述方法包括产生证书,将证书发送给另一网络设备存储,将证书重新发送给所述另一网络设备,如果存储的证书和重新发送的证书相同,那么接受鉴权。
根据本发明的另一方面,一种设备的目的在于通过网络鉴权客户机。所述设备包括接收第一和第二证书的第一组件,确定第一和第二证书是否基本上相同,并且如果第一和第二证书基本上相同,那么鉴权客户机的第二组件。
根据本发明的另一方面,一种设备的目的在于通过网络接受鉴权的设备。所述设备包括产生证书的第一组件,将证书发送给服务器存储的第二组件,和将证书重新发送给服务器,并且如果存储的证书和重新发送的证书基本上相同,那么接收鉴权的第三组件。
根据本发明的另一方面,一种系统的目的在于鉴权客户机。所述系统包括一个客户机和一个服务器。客户机被安排成产生第一证书,将第一证书发送给服务器存储,并且如果请求鉴权,那么将第二证书发送给服务器。服务器被安排成如果首次收到第一证书,那么存储该第一证书,比较第一证书和第二证书,并且如果第一证书和第二证书基本上相同,那么鉴权客户机。
附图说明
参考附图,说明了本发明的非限制性和非排他性实施例。附图中,除非另有说明,否则相同的附图标记代表各个图中的相同部分。
结合附图,参考下面的本发明的详细说明,可更好地理解本发明,其中:
图1图解说明可在其中实践本发明的网络系统的一个实施例;
图2图解说明可被用于实现本发明的网络设备的一个实施例的功能方框图;
图3图解说明表示产生并发送将由客户机存储的证书的过程的一个
实施例的流程图;
图4图解说明表示鉴权客户机的过程的一个实施例的流程图;
图5图解说明在本发明的一个实施例中涉及的消息流程;
图6图解说明根据本发明的消息流程的另一实施例。
具体实施方式
本发明的目的在于解决上面提及的缺点、不利和问题,并且通过阅读和理解下面的说明书,将理解本发明。
下面将参考附图更充分地说明本发明,附图构成详细说明的一部分,并且举例说明了可实践本发明的具体例证实施例。但是,本发明可用许多不同的形式具体体现,不应被理解成局限于这里陈述的实施例;相反,提供这些实施例,以致本公开将更透彻和完整,并且将向本领域的技术人员完整地通报本发明的范围。除了其它之外,本发明可被具体体现成方法和设备。因此,本发明可采用全硬件实施例,全软件实施例或者组合软件和硬件的实施例的形式。于是,下面的详细说明不要被理解为对本发明的限制。
术语“包含”、“包括”、“含有”、“具有”和“其特征在于”指的是开放式的或者包含的过渡结构,并不排除另外的、未列举的部件或方法步骤。例如,包括A和B部件的组合也可理解为A、B和C部件的组合。
术语“客户机”和“服务器”包括相互通信的任意网络设备,不应被理解为局限于一个特殊的实施例。例如,部分根据它们彼此的关系,组网计算机、网关、ATM机、对等应用程序等可起客户机或服务器的作用。
“a”、“an”和“the”的含义包括复数引用。“在…中”的含义包括“在…中”和“在…上”。另外,除非另作说明或者与这里的公开不一致,否则对单数的引用包括对复数的引用。
简单地说,本发明的目的在于一种利用无基础设施的证书,鉴权客户机的方法和系统。本发明的目的还在于存储通过可信机制接收的证书,当收到与存储的证书基本上相同的另一证书时,鉴权客户机。当比较的证书的所有参数都相同时,存储的证书和接收的证书基本上相同。证书呆具有不相同,但是不被比较的其它参数。
在通常使用的安全会话协议,例如SSL/TSL中,服务器利用可信源,例如第三方CA产生的证书,鉴权客户机。当客户机向服务器提供证书时,服务器通常通过许多第三方CA,确认一系列的证书。本发明通过在服务器和客户机之间建立可信关系,使证书链确认过程变不得必要。这可通过存储在建立安全会话之前,通过可信机制提供的证书来实现。可信机制可以是在服务器的证书的手工输入、安全通道、专用通道等。由于存储的证书已被服务器信任,因此不需要通过第三方CA的证书的进一步确认。此外,证书可由许多源产生。客户机可自己产生证书。客户机可使用独立的第三方CA来产生客户机的证书。证书甚至可由执行客户机的鉴权的服务器产生。
例证的工作环境
图1图解说明其中可实践本发明的网络系统100的一个实施例。如下更详细所述,本发明一般涉及鉴权客户机。网络系统100可包括比图中所示更多或更少的组件,但是,图中所示的组件足以公开用于实践本发明的例证环境。
如图1中所示,网络系统100包括局域网/广域网(LAN/WAN)106,客户机102和服务器104。客户机102和服务器104通过LAN/WAN 106通信。
LAN/WAN 106能够采用任意形式的计算机可读媒介将信息从一个电子设备传送给另一电子设备。另外,除了局域网,广域网,直接连接,例如通过通用串行总线(USB)端口的直接连接,其它形式的计算机可读媒介和它们的任意组合之外,LAN/WAN 106还可包括因特网。在一组互连的LAN(包括基于不同的体系结构和协议的那些LAN)上,路由器充当LAN之间的链路,使消息能够从一个LAN发送给另一LAN。另外,LAN内的通信链路一般包括双绞线或同轴电缆,而网络之间的通信链路可利用模拟电话线,完全专用或部分专用数字线路(包括T1、T2、T3和T4),综合业务数字网(ISDN),数字用户线(DSL),包括卫星链路的无线链路,或者本领域的技术人员已知的其它通信链路。此外,远程计算机和其它相关电子设备可通过调制解调器和临时电话链路,远程地与LAN或WAN连接。本质上,LAN/WAN 106可包括借助其,信息可在网络设备,例如客户机102和服务器104之间传送的任意通信机制。
根据本发明的一个实施例,客户机102和服务器104被配置成通过采用无基础设施的证书鉴权相互通信。在另一实施例中,客户机102和服务器104可驻留在LAN/WAN 106内,并且可与其它网络设备连接。
客户机102和服务器104可被配置成起具有网络连接的便携式或桌上型计算机、个人数字助理(PDA)、网关、防火墙、网络转换设备、服务器阵列控制器、代理服务器等的作用。
此外,虽然图1图解说明了服务器/客户机关系,不过本发明并不局限于此。例如,客户机102和服务器104可被配置成在对等结构中工作,而不会脱离本发明的范围。
图2图解说明了其中可实践本发明的服务器200的一个实施例的功能方框图。服务器200提供图1的服务器104的一个实施例。要认识到并不是服务器200的所有组件都被图示,服务器200可包括比图2中所示组件更多或更少的组件。服务器200可起例如具有网络连接的便携式或桌上型计算机、PDA、防火墙、网关、通信网络设备、分配器、服务器阵列控制器或者代理服务器的作用。通信可通过网络,例如图1中的LAN/WAN 106,因特网或者其它一些通信网络进行。
如图2中所示,服务器200包括通过总线206互连的中央处理器(CPU)204,视频处理器210,只读存储器(ROM)208,存储器218,存储装置216,输入/输出接口(I/O)212和网络接口单元214。
在一个实施例中,存储器218存储应用软件224和用于实现服务器200的组网功能的组网软件222的程序代码。组网软件222可包括用于管理网络通信的协议等。这样的协议可包括传输协议226,鉴权协议228和应用协议230。
传输协议226可包括管理网络内数据的传输和路由的传输通信协议/网际协议(TCP/IP),用户数据报协议/网际协议(UDP/IP)等。鉴权协议228可包括标准或专有安全通信协议,例如SSL/TSL等。应用协议230可包括超文本传输协议(HTTP),轻型目录接入协议(LDAP),因特网消息接入协议(IMAP)等。这些协议可支持典型的应用任务,例如显示网页或者运行电子邮件服务程序等。
存储器一般包括随机存取存储器(RAM),并与ROM 208和一个或多个永久大容量存储装置,例如存储装置216互连。大容量存储器存储控制网络设备200的操作的操作系统220。操作系统220可包括诸如UNIX、LINUXTM,WindowsTM之类的操作系统。
存储器218、ROM 208和存储装置216是计算机存储媒介,它可包括按照任意方法或技术实现的,用于存储信息,例如计算机可读指令,数据结构,程序模块或其它数据的易失性和非易失性,可拆卸的和不可拆卸的媒介。计算机存储媒介的例子包括RAM、ROM、EEPROM、快速存储器或者其它存储器技术,CD-ROM,数字通用光盘(DVD)或者其它光学存储器、盒式磁带、磁带、磁盘存储器或者其它磁性存储装置,或者可存储信息,并且可被计算机设备接入的任意其它媒介。
网络接口单元214被构造成供包括TCP/IP和UDP/IP协议在内的各种通信协议使用。网络接口单元214可包括通过有线和/或无线通信媒介传输分组的电路和组件等,或者与之连接。网络接口单元214有时被称为收发器,网络接口卡(NIC)等。
服务器200还可包括用于与外部设备或者用户通信的I/O接口212。
一般操作
图3图解说明表示作为根据本发明的鉴权的一部分,客户机产生并发送将被存储的证书的过程的一个实施例的流程图。过程300可在例如图1的客户机102内工作。
如图3中所示,在开始方框之后,存储过程300开始于方框302,在方框302,客户机产生一个公共/专用密钥对。
处理进行到判定方框304,确定客户机是否将充当根据公共/专用密钥对产生证书的CA,还是将使用另一CA。如果确定客户机将充当CA,那么处理分支到方框306;否则,处理分支到方框308。
在方框306,客户机根据公共/专用密钥对产生证书。在方框306产生的证书可包括有效性的日期范围,颁发客户机的身份识别,客户机根据公共密钥产生的数字签名,客户机的域名等。当方框306结束时,处理进行到方框310。
如果在方框图304确定客户机将使用另一CA,那么在方框308由该CA产生证书。该CA可以是独立的第三方CA,鉴权服务器等。该CA从客户机接收公共密钥以便产生证书。在方框308产生的证书可包括有效性的日期范围,CA的身份识别,客户机根据公共密钥产生的数字签名,CA的域名,颁发CA是可信CA的核实等。随后将产生的具有公共密钥的证书提供给客户机。当方框308结束时,过程300进行到方框310。
在方框310,通过可信机制,客户机将证书提供给服务器。可信机制可包括任意各种机制,包括(但不限于)在服务器的证书的手工输入、安全通道、专用通道等。可信机制还可包括对服务器的客户机鉴权,客户机的证书所有权的证实等。通过提供数字签名,加密密钥等,客户机可证实证书的所有权。可信机制不必在网络设备和授权网络设备在其中通信的相同网络内。当方框310结束时,过程300返回调用过程以便执行其它动作。
图4图解说明表示根据本发明鉴权客户机的过程的一个实施例的流程图。过程400可在例如图1的服务器104内工作。
如图4中所示,在开始方框之后,鉴权过程400开始于方框402,在方框402,接收信息以便启动安全会话。这样的信息可包括(但不限于)客户机的SSL信息,密码设置,随机数据等。
处理进行到方框404,在方框404,服务器确认接收的信息。服务器自己的安全会话信息(包括(但不限于)它的SSL版本,密码设置,和随机数据)被传送给客户机。如果客户机要鉴权服务器,那么服务器的证书,连同对客户机证书的请求一起被传送给客户机。在一个实施例中,在将其证书发送给服务器之前,客户机可鉴权服务器。通过请求客户机的证书,服务器还向客户机发送一个鉴权请求。
当方框404结束时,处理进行到方框406,在方框406,接收用客户机的数字签名签署的预主机密。预主机密也可用客户机的公共密钥加密。在方框406传送的客户机的证书可包括有效性的日期范围,颁发CA的身份识别,客户机的数字签名,客户机的域名等。
处理随后进行到许多判定框,这里关于客户机提供的安全会话的参数的有效性进行初步确定。判定框408确定数字签名是否有效。如果签名有效,那么处理进行到判定框410。如果签名无效,那么处理进行到方框418,终止鉴权努力,并通知客户机。判定框410确定证书的有效日期范围是否已到期。如果目前在有效性的日期范围中,那么处理进行到方框412。如果有效性的日期范围已到期,那么处理进行到方框418,终止鉴权努力,并通知客户机。过程400可包括在判定框408和410之后,之前或者之间的其它判定框,确定客户机提供的其它信息的有效性。
初步判定框408和410的肯定结果通向方框412。在方框412,服务器比较客户机的证书和存储在服务器的证书。方框412的比较结果通向判定框414。
在方框414,如果服务器确定证书和存储的证书本质相同,处理进行到方框416。如果证书和存储的证书实质上不相同,那么处理分支到方框418,终止鉴权努力,并通知客户机。
在方框416,完成客户机的鉴权。在一个实施例中,鉴权之后可以是客户机的授权,服务器批准对网络上的资源的接入。网络上的资源可以是web服务器的页面,数据库,一组输入/输出(I/O)装置等。当完成方框416时,过程400返回调用过程。
显然图3和图4的流程图中的每个方框,以及上述流程图中的方框的组合可用基于硬件的系统和软件指令的组合来实现。虽然关于客户机和服务器的实施例说明了上述过程,不过这些过程适用于待鉴权的任意网络设备。其它特殊实施例的例子包括具有网络连接的便携式或桌上型计算机,个人数字助理(PDA),防火墙,网关,通信管理设备,分配器,服务器阵列控制器,代理服务器等。软件指令可由处理器执行,使处理器执行一系列的操作步骤,从而产生计算机实现的过程,以致在处理器上执行的指令提供用于实现在流程图方框中规定的一些或全部动作的步骤。
因此,流程图的方框支持实现规定动作的装置的组合,实现规定动作的步骤的组合,以及实现规定动作的程序指令装置。另外要明白流程图的每个方框,以及流程图中的方框的组合可由实现规定动作或步骤的基于专用硬件的系统,或者专用硬件和计算机指令的组合来实现。
图5图解说明了图1中所示的系统的消息流程图的一个实施例,这里利用第三方CA产生证书。如图5中所示,分组流程500包括顶部的第三方CA 502,客户机504和服务器506。客户机504和服务器506分别类似于图1的客户机102和服务器104工作。图中,时间可被看作向下流动。
如图5中所示,消息流程被分成由时间线508分离的两组。第一组包括存储证书所涉及的消息流程。如果客户机504希望借助新服务器存储证书,由于任意各种原因,存储的证书不再有效等,可重复该过程。存储过程从客户机504产生公共/专用密钥对开始。客户机504利用其公共密钥,将证书请求发送给第三方CA 502。第三方CA 502产生给客户机的证书,并将其传送给客户机504。客户机504再将证书传送给服务器506。服务器506存储该证书。服务器506不必通过检查第三方CA 502或任意其它可信源,核实证书的真实性。一般通过可信机制进行从客户机504到服务器506的证书的传输。可信机制可包括在服务器506的证书的手工输入,安全通道,专用通道等。
图5中如时间线508以下所示的鉴权过程通过网络,在客户机504和服务器506之间发生。该过程一般由服务器506通过网络收到安全会话启动信息和鉴权请求来启动。可和客户机504希望鉴权的次数一样多地重复该过程。
当从客户机504收到安全会话启动消息时,服务器506以安全会话消息的确认表示回答。这可包括服务器506自己的SSL版本,密码设置和随机数据。服务器506还发送对客户机504的证书的请求。
客户机504将用客户机504的数字签名签署的预主机密和证书回送给服务器506。
服务器506经过许多确认步骤,包括(但不限于)核实客户机504的数字签名,核实证书有效性的日期范围等。最后,服务器506比较该证书和存储在服务器506的证书。如果该证书实质上与存储的证书相同,那么建立安全会话,服务器506证实客户机504。
图6图解说明了图1中所示的系统的消息流程图的另一实施例,这里客户机充当自己的CA来产生证书。如图6中所示,分组流程600包括顶部的客户机602和服务器604。图6中,时间可被看作向下流动。
如图6中所示,消息流程被分成由时间线606分离的两组。第一组包括存储证书所涉及的消息流程。如果客户机602希望借助新服务器存储证书,由于任意各种原因,存储的证书不再有效,可重复该过程。存储过程从客户机602产生公共/专用密钥对,并部分根据公共/专用密钥对产生证书开始。客户机602随后将证书发送给服务器604。服务器604存储证书。一般通过可信机制完成从客户机602到服务器604的证书的传输。可信机制可包括在服务器604的证书的手工输入、安全通道、专用通道等。
图6中如时间线606以下所示的鉴权过程通过网络,在客户机602和服务器604之间发生,基本上与图5中所述的时间线508之下的鉴权过程相似。
显然图5和6的消息流程图中的每个部件,以及上述消息流程图中部件的组合可由基于硬件的系统和软件指令的组合来实现。虽然关于客户机和服务器的实施例说明了上面的消息流程,但是该消息流程适用于待鉴权的任意网络设备。其它特殊实施例的例子包括具有网络连接的便携式或桌上型计算机、个人数字助理(PDA)、防火墙、网关、通信管理设备、分配器、服务器阵列控制器、代理服务器等。软件指令可由处理器执行,使处理器执行一系列的操作步骤,从而产生计算机实现的过程,以致在处理器上执行的指令提供用于实现在消息流程部件中规定的一些或全部动作的步骤。
因此,消息流程图的部件支持实现规定动作的装置的组合,实现规定动作的步骤的组合,以及实现规定动作的程序指令装置。另外要明白消息流程图的每个部件,以及消息流程图中的部件的组合可由实现规定动作或步骤的基于专用硬件的系统,或者专用硬件和计算机指令的组合来实现。
上述说明、例子和数据提供本发明的组成物的制造和使用的完整描述。由于在不脱离本发明的精神和范围的情况下,可做出本发明的许多实施例,因此本发明的范围由下面附加的权利请求限定。
Claims (27)
1、一种通过网络鉴权客户机的方法,所述方法包括:
产生第一证书;
将所述第一证书发送给服务器,其中所述服务器被配置成存储第一证书;
如果请求通过所述网络的鉴权,那么请求第二证书;
通过所述网络将所述第二证书发送给所述服务器;
在所述服务器中比较所述第二证书与所述第一证书,如果所述第二证书和所述第一证书基本上相同,那么鉴权所述客户机。
2、按照权利请求1所述的方法,其中所述服务器还被配置成产生所述第一证书。
3、按照权利请求1所述的方法,其中所述发送第一证书还包括利用选自证书的手工输入、安全通道和专用通道至少之一的可信机制。
4、按照权利请求3所述的方法,其中所述可信机制还包括所述客户机向所述服务器进行鉴权,以及所述客户机向所述服务器证实证书的所有权中的至少之一。
5、按照权利请求1所述的方法,其中所述客户机还被配置成产生所述第一证书。
6、按照权利请求1所述的方法,其中第三方发证机构(CA)被配置成产生所述第一证书。
7、一种通过网络鉴权客户机的方法,所述方法包括:
通过可信机制从所述客户机接收证书;
将所述证书存储在服务器;
如果请求鉴权,那么请求另一证书;
比较所述另一证书和所述存储的证书,如果所述另一证书和所述存储的证书基本上相同,那么鉴权所述客户机。
8、按照权利请求7所述的方法,其中所述可信机制还包括证书的手工输入、安全通道和专用通道中的至少之一。
9、按照权利请求8所述的方法,其中所述可信机制还包括所述客户机向所述服务器进行鉴权以及所述客户机向所述服务器证实证书的所有权中的至少之一。
10、按照权利请求7所述的方法,其中所述服务器还被配置成存储和比较证书。
11、按照权利请求7所述的方法,其中所述证书被存储在硬盘、磁盘和大容量存储器至少之一中。
12、一种通过网络鉴权网络设备的方法,所述方法包括:
产生证书;
将所述证书发送给另一网络设备,其中所述另一网络设备能够存储所述证书;
将所述证书重新发送给所述另一网络设备;和
如果所述重新发送的证书和所述存储的证书基本上相同,那么接受鉴权。
13、按照权利请求12所述的方法,其中产生证书由所述另一网络设备执行。
14、按照权利请求12所述的方法,其中所述网络设备被配置成产生所述第一证书。
15、按照权利请求12所述的方法,其中所述第三方发证机构(CA)被配置成产生所述第一证书。
16、一种通过网络鉴权客户机的设备,所述设备包括:
接收第一证书和第二证书的第一组件;和
与所述第一组件耦接、被配置成执行下述动作的第二组件:
确定所述第一证书和所述第二证书是否基本上相同;和
如果确定所述第一证书和所述第二证书基本上相同,那么鉴权与所述第一证书和所述第二证书相关联的客户机。
17、按照权利请求16所述的设备,其中所述设备至少起到服务器、网关和服务器阵列之一的作用。
18、按照权利请求16所述的设备,其中所述第一组件还被配置成存储所述第一证书。
19、按照权利请求16所述的设备,还包括与所述第一组件耦接、并被配置成部分根据客户机提供的信息而产生所述第一证书的第三组件。
20、一种通过网络接受鉴权的设备,所述设备包括:
被配置为产生证书的第一组件;
与所述第一组件耦接、并被配置成将所述证书发送给服务器的第二组件;和
与所述第二组件耦接、并被配置成通过所述网络将所述证书重新发送给所述服务器的第三组件,其中重新发送证书使所述服务器能够部分地根据所述发送的证书与所述重新发送的证书的比较来鉴权所述客户机。
21、按照权利请求20所述的设备,其中所述设备至少起到客户机、便携式计算机和个人数字助理之一的作用。
22、按照权利请求20所述的设备,其中利用选自证书的手工输入、安全通道和专用通道至少之一的可信机制,将所述证书发送给所述服务器。
23、按照权利请求22所述的设备,其中所述可信机制还包括所述客户机向所述服务器进行鉴权,以及所述客户机向所述服务器证实证书的所有权中的至少之一。
24、一种通过网络鉴权客户机的系统,所述系统包括:
客户机,所述客户机被配置成执行下述动作:
产生第一证书;
将所述第一证书发送给服务器用以存储;和
如果请求通过所述网络的鉴权,那么发送第二证书;和
与所述客户机通信的服务器,所述服务器被配置成执行下述动作:
如果首次收到所述第一证书,那么将所述第一证书存储在所述服务器;
比较所述第二证书和所述第一证书;和
如果所述第一证书和所述第二证书基本上相同,那么通过所述网络鉴权所述客户机。
25、按照权利请求24所述的系统,其中通过网络鉴权客户机还包括建立安全会话。
26、一种通过网络鉴权客户机的系统,包括:
客户机,所述客户机还包括:
产生第一证书的装置;
将所述第一证书发送给服务器用以存储的装置;和
如果请求通过所述网络的鉴权,那么发送第二证书的装置;和
与所述客户机通信的服务器,所述服务器还包括:
如果首次收到所述第一证书,那么将所述第一证书存储在所述服务器的装置;
比较所述第二证书和所述第一证书的装置;和
如果所述第一证书和所述第二证书基本上相同,那么鉴权所述客户机的装置。
27、按照权利请求26所述的系统,其中所述存储装置至少包括硬盘、磁盘和大容量存储器之一。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/748,760 | 2003-12-30 | ||
| US10/748,760 US7321970B2 (en) | 2003-12-30 | 2003-12-30 | Method and system for authentication using infrastructureless certificates |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1645795A true CN1645795A (zh) | 2005-07-27 |
Family
ID=34710981
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2004100817131A Pending CN1645795A (zh) | 2003-12-30 | 2004-12-30 | 利用无需基础设施的证书的鉴权方法和系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7321970B2 (zh) |
| EP (1) | EP1702053A4 (zh) |
| KR (1) | KR20050071359A (zh) |
| CN (1) | CN1645795A (zh) |
| WO (1) | WO2005065007A2 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101512535B (zh) * | 2006-08-31 | 2011-05-18 | 国际商业机器公司 | 计算平台的证明 |
| CN101383846B (zh) * | 2008-10-06 | 2011-12-28 | 华为终端有限公司 | 媒体传输协议的连接方法以及系统和装置 |
| CN103314550A (zh) * | 2011-01-04 | 2013-09-18 | 高通股份有限公司 | 用于防范流氓证书的方法和装置 |
| CN106685911B (zh) * | 2016-07-29 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及鉴权服务器、客户端 |
| US12107970B2 (en) | 2020-05-26 | 2024-10-01 | Motorola Solutions, Inc. | Method of establishing a future 2-way authentication between a client application and an application server |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
| US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
| US7600113B2 (en) * | 2004-02-20 | 2009-10-06 | Microsoft Corporation | Secure network channel |
| US7631183B2 (en) * | 2004-09-01 | 2009-12-08 | Research In Motion Limited | System and method for retrieving related certificates |
| US8347078B2 (en) | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
| US8336085B2 (en) | 2004-11-15 | 2012-12-18 | Microsoft Corporation | Tuning product policy using observed evidence of customer behavior |
| US8099324B2 (en) * | 2005-03-29 | 2012-01-17 | Microsoft Corporation | Securely providing advertising subsidized computer usage |
| CN100571134C (zh) * | 2005-04-30 | 2009-12-16 | 华为技术有限公司 | 在ip多媒体子系统中认证用户终端的方法 |
| US7844816B2 (en) * | 2005-06-08 | 2010-11-30 | International Business Machines Corporation | Relying party trust anchor based public key technology framework |
| FR2896646A1 (fr) * | 2006-01-24 | 2007-07-27 | France Telecom | Certification avec autorite de certification distribuee |
| US20080276309A1 (en) * | 2006-07-06 | 2008-11-06 | Edelman Lance F | System and Method for Securing Software Applications |
| US8341843B2 (en) | 2006-09-14 | 2013-01-01 | Nsk Ltd. | Method for manufacturing wheel supporting rolling bearing unit and method for inspecting double row rolling bearing unit |
| US7899188B2 (en) | 2007-05-31 | 2011-03-01 | Motorola Mobility, Inc. | Method and system to authenticate a peer in a peer-to-peer network |
| US8806565B2 (en) * | 2007-09-12 | 2014-08-12 | Microsoft Corporation | Secure network location awareness |
| CN101784397B (zh) | 2007-10-02 | 2013-01-30 | 日本精工株式会社 | 滚动轴承单元用滚道环构件的制造方法 |
| KR100947119B1 (ko) * | 2007-12-26 | 2010-03-10 | 한국전자통신연구원 | 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말 |
| US8555367B2 (en) * | 2008-03-12 | 2013-10-08 | Yahoo! Inc. | Method and system for securely streaming content |
| JP4342595B1 (ja) * | 2008-05-09 | 2009-10-14 | 株式会社東芝 | 情報処理装置、情報処理システム、および暗号化情報管理方法 |
| GB2469287B (en) * | 2009-04-07 | 2013-08-21 | F Secure Oyj | Authenticating a node in a communication network |
| US9602499B2 (en) * | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
| US8844015B2 (en) * | 2012-01-31 | 2014-09-23 | Hewlett-Packard Development Company, L.P. | Application-access authentication agent |
| US9338159B2 (en) * | 2012-03-19 | 2016-05-10 | Nokia Technologies Oy | Method and apparatus for sharing wireless network subscription services |
| US20140325232A1 (en) * | 2013-04-30 | 2014-10-30 | Unisys Corporation | Requesting and storing certificates for secure connection validation |
| TW201446023A (zh) * | 2013-05-27 | 2014-12-01 | Hon Hai Prec Ind Co Ltd | 網路監控系統及方法 |
| DE102014102168A1 (de) * | 2014-02-20 | 2015-09-03 | Phoenix Contact Gmbh & Co. Kg | Verfahren und System zum Erstellen und zur Gültigkeitsprüfung von Gerätezertifikaten |
| US10454919B2 (en) * | 2014-02-26 | 2019-10-22 | International Business Machines Corporation | Secure component certificate provisioning |
| JP6299047B2 (ja) * | 2014-05-08 | 2018-03-28 | 華為技術有限公司Huawei Technologies Co.,Ltd. | 証明取得方法及び装置 |
| US10728868B2 (en) | 2015-12-03 | 2020-07-28 | Mobile Tech, Inc. | Remote monitoring and control over wireless nodes in a wirelessly connected environment |
| US10251144B2 (en) | 2015-12-03 | 2019-04-02 | Mobile Tech, Inc. | Location tracking of products and product display assemblies in a wirelessly connected environment |
| US10517056B2 (en) | 2015-12-03 | 2019-12-24 | Mobile Tech, Inc. | Electronically connected environment |
| US11109335B2 (en) | 2015-12-03 | 2021-08-31 | Mobile Tech, Inc. | Wirelessly connected hybrid environment of different types of wireless nodes |
| US9445270B1 (en) | 2015-12-04 | 2016-09-13 | Samsara | Authentication of a gateway device in a sensor network |
| US10116634B2 (en) * | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
| CN107018155B (zh) * | 2017-05-31 | 2020-06-19 | 南京燚麒智能科技有限公司 | 一种外网终端安全访问内网特定数据的方法和系统 |
| US12035422B2 (en) | 2018-10-25 | 2024-07-09 | Mobile Tech, Inc. | Proxy nodes for expanding the functionality of nodes in a wirelessly connected environment |
| US10593443B1 (en) | 2019-01-24 | 2020-03-17 | Mobile Tech, Inc. | Motion sensing cable for intelligent charging of devices |
| US20200274859A1 (en) | 2019-02-22 | 2020-08-27 | Beyond Identity Inc. | User authentication system with self-signed certificate and identity verification with offline root certificate storage |
| US20210157791A1 (en) * | 2019-11-27 | 2021-05-27 | Klarna Bank Ab | Image-based record linkage |
| CN113132321A (zh) * | 2019-12-31 | 2021-07-16 | 航天信息股份有限公司 | 一种建立通信连接的方法、装置及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5903882A (en) * | 1996-12-13 | 1999-05-11 | Certco, Llc | Reliance server for electronic transaction system |
| US6085976A (en) * | 1998-05-22 | 2000-07-11 | Sehr; Richard P. | Travel system and methods utilizing multi-application passenger cards |
| US6145079A (en) * | 1998-03-06 | 2000-11-07 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary to perform electronic services |
| WO2001009701A1 (en) * | 1999-08-03 | 2001-02-08 | Amr Mohsen | Network-based information management system for the creation, production, fulfillment, and delivery of prescription medications and other complex products and services |
| US7069234B1 (en) * | 1999-12-22 | 2006-06-27 | Accenture Llp | Initiating an agreement in an e-commerce environment |
| US6829584B2 (en) * | 1999-12-31 | 2004-12-07 | Xactware, Inc. | Virtual home data repository and directory |
| KR20000024217A (ko) | 2000-01-29 | 2000-05-06 | 장승욱 | 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법 |
| US7552333B2 (en) * | 2000-08-04 | 2009-06-23 | First Data Corporation | Trusted authentication digital signature (tads) system |
| US6957199B1 (en) * | 2000-08-30 | 2005-10-18 | Douglas Fisher | Method, system and service for conducting authenticated business transactions |
| KR20030052194A (ko) | 2001-12-20 | 2003-06-26 | 한국전자통신연구원 | 생체정보를 이용한 사용자 인증 시스템, 상기 시스템에서인증서를 등록하는 방법 및 사용자 인증방법 |
| US7603720B2 (en) * | 2002-04-29 | 2009-10-13 | The Boeing Company | Non-repudiation watermarking protection based on public and private keys |
-
2003
- 2003-12-30 US US10/748,760 patent/US7321970B2/en active Active - Reinstated
-
2004
- 2004-11-23 WO PCT/IB2004/003824 patent/WO2005065007A2/en not_active Application Discontinuation
- 2004-11-23 EP EP04798941A patent/EP1702053A4/en not_active Withdrawn
- 2004-12-30 CN CNA2004100817131A patent/CN1645795A/zh active Pending
- 2004-12-30 KR KR1020040117001A patent/KR20050071359A/ko active IP Right Grant
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101512535B (zh) * | 2006-08-31 | 2011-05-18 | 国际商业机器公司 | 计算平台的证明 |
| CN101383846B (zh) * | 2008-10-06 | 2011-12-28 | 华为终端有限公司 | 媒体传输协议的连接方法以及系统和装置 |
| CN103314550A (zh) * | 2011-01-04 | 2013-09-18 | 高通股份有限公司 | 用于防范流氓证书的方法和装置 |
| CN103314550B (zh) * | 2011-01-04 | 2016-10-05 | 高通股份有限公司 | 用于防范流氓证书的方法和装置 |
| CN106685911B (zh) * | 2016-07-29 | 2020-12-04 | 腾讯科技(深圳)有限公司 | 一种数据处理方法及鉴权服务器、客户端 |
| US12107970B2 (en) | 2020-05-26 | 2024-10-01 | Motorola Solutions, Inc. | Method of establishing a future 2-way authentication between a client application and an application server |
Also Published As
| Publication number | Publication date |
|---|---|
| US7321970B2 (en) | 2008-01-22 |
| WO2005065007A3 (en) | 2007-03-01 |
| US20050149723A1 (en) | 2005-07-07 |
| WO2005065007A2 (en) | 2005-07-21 |
| EP1702053A2 (en) | 2006-09-20 |
| KR20050071359A (ko) | 2005-07-07 |
| EP1702053A4 (en) | 2011-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1645795A (zh) | 利用无需基础设施的证书的鉴权方法和系统 | |
| US7716469B2 (en) | Method and system for providing a circle of trust on a network | |
| CN1212716C (zh) | 因特网上不同应用系统间用户认证信息共享的方法 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| KR100872099B1 (ko) | 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템 | |
| CN1941700A (zh) | 电信系统中的特权授予与资源共享 | |
| CN101064695A (zh) | 一种P2P(Peer to Peer)安全连接的方法 | |
| US9432198B2 (en) | Method for certificate-based authentication | |
| US6785729B1 (en) | System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful | |
| CN101076796A (zh) | 为漫游用户建立虚拟专用网络 | |
| CN1655506A (zh) | 用于验证家庭网络设备的装置和方法 | |
| CN1722658A (zh) | 计算机系统的有效的和安全的认证 | |
| KR20050012900A (ko) | 보이스 오버 인터넷 프로토콜(브이오아이피) 커뮤니케이션내에서 디지털-증명서를 등록하고 자동으로 검색하는 방법및 시스템 | |
| CN1864384A (zh) | 用于保护网络管理帧的系统和方法 | |
| WO2009109136A1 (zh) | 一种实用的基于可信第三方的实体双向鉴别方法 | |
| DE102009041805A1 (de) | SIP-Signalisierung ohne ständige Neu-Authentifizierung | |
| CN1805341A (zh) | 跨安全域的网络认证和密钥分配方法 | |
| JP2008511232A (ja) | 制御認証のためのパーソナルトークンおよび方法 | |
| CN1905436A (zh) | 保证数据交换安全的方法 | |
| US20100235625A1 (en) | Techniques and architectures for preventing sybil attacks | |
| KR20120104193A (ko) | 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템 | |
| CN1976337A (zh) | 一种三元结构的对等访问控制方法 | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| CN1694400A (zh) | 设备认证 | |
| CN1976338A (zh) | 一种三元结构的对等访问控制系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NOKIA AND SIEMENS NETWORKS CO., LTD. Free format text: FORMER OWNER: NOKIA NETWORKS OY Effective date: 20080718 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080718 Address after: Espoo, Finland Applicant after: Nokia Siemens Networks Ltd. Address before: Espoo, Finland Applicant before: NOKIA Corp. Effective date of registration: 20080718 Address after: Espoo, Finland Applicant after: NOKIA Corp. Address before: Texas, USA Applicant before: NOKIA Corp. |
|
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20050727 |