KR100894555B1 - 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법 - Google Patents

속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법 Download PDF

Info

Publication number
KR100894555B1
KR100894555B1 KR1020067023786A KR20067023786A KR100894555B1 KR 100894555 B1 KR100894555 B1 KR 100894555B1 KR 1020067023786 A KR1020067023786 A KR 1020067023786A KR 20067023786 A KR20067023786 A KR 20067023786A KR 100894555 B1 KR100894555 B1 KR 100894555B1
Authority
KR
South Korea
Prior art keywords
attribute
network device
network
attribute certificate
determining
Prior art date
Application number
KR1020067023786A
Other languages
English (en)
Other versions
KR20070032650A (ko
Inventor
아담 케인
크레이그 알. 왓킨스
제레미 바렛
Original Assignee
노키아 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 인크 filed Critical 노키아 인크
Publication of KR20070032650A publication Critical patent/KR20070032650A/ko
Application granted granted Critical
Publication of KR100894555B1 publication Critical patent/KR100894555B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

네트워크 상의 리소스에 대해 네트워크 디바이스를 인가하는 방법들 및 디바이스들이 제공된다. 액세스 서버는, 속성 증명서와 관련된 네트워크 디바이스의 속성에 부분적으로 기초하여, 네트워크 디바이스가 네트워크 상의 리소스에대한 액세스를 인가받을 수 있는지 없는지를 결정한다. 상기 속성은 네트워크 디바이스에 부여된 능력, 속성이 유효하기 위하여 충족되어야할 조건 등등에 관련될 수 있다. 상기 속성은 네트워크 디바이스들의 그룹에 속할 수도 있으며 또는 네트워크 디바이스를 통해 네트워크에 액세스하는 하나 이상의 사용자에게 속할 수도 있다. 일 실시예에서는, 네트워크 디바이스에 대한 자동화된 보안 검색에 기초하여 상기 속성 증명서가 제공될 수도 있다. 또 다른 실시예에서는 상기 액세스 서버가, 상기 속성을 상기 액세스 서버와 연관된 네트워크 리소스에 이용가능케 할 수도 있다.
속성, 인가, 인증, 속성 증명서

Description

속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을 가능케 하는 시스템 및 방법{SYSTEM AND METHOD FOR ENABLING AUTHORIZATION OF A NETWORK DEVICE USING ATTRIBUTE CERTIFICATES}
본 발명은 컴퓨터 보안에 관한 것이며 특히, 속성(attribute) 증명서(certificate)를 사용하여 네트워크상의 자원에 인증된 액세스를 할 수 있는 시스템 및 방법에 관한 것이다.
서로 다른 인증-관련된(authorization-related) 속성들을(attributes) 클라이언트들과 연관시키고자 하는 종래의 시도들에서는, 클라이언트를 식별하는 수단으로서 클라이언트 IP 주소에 종종 의존하고 있었다. 그러나, 이러한 기술은 아주 효율적인 기술은 아니라고 판명되었는데, 네트워크 디바이스의 IP 주소는 쉽게 바뀔수 있기 때문이다. 더 나아가, 네트워크 어드레스 변환(Network Address Translation : NAT) 디바이스들과 가상 사설 통신망(Virtual Private Networks)들의 증식으로 인해, 클라이언트의 IP 주소만에 의해서는 접속 서버가 특정한 클라이언트를 식별하기가 어려워졌다.
통상적으로 사용되는 케르베로스(Kerberos) 티켓들은, 복수개의 어플리케이션들 사이에서 암호적으로 입증된 증명서(cryptographically authenticated credential)를 공유할 수 있는 수단을 제공한다. 하지만, 케르베로스 티켓들은, 중앙 네트워크 서버에 대해 특정한 사용자만이 성공적으로 증명되었음을 단순히 표시하고 있기 때문에, 단일 유저 세션(session)만을 설정하고 있다. 케르베로스 티켓들은 사용자 능력들(capabilities)를 전달하지 못하며 그리고 복수 유저 세션들로 확장하지 못한다.
증명을 위한 하드웨어 토큰들(tokens)의 사용은, 이와 관련된 필요성을 제기한다. 하드웨어 토큰은 사용자로 하여금 특정한 물리적 객체에 대한 소유뿐만 아니라 토큰의 신원(identity)을 입증할 수 있게 한다. 다시 말해, 이와같이 입증된 단정들(assertions)은 네트워크 서비스에 대한 확장된 액세스 권한을 유도할 수도 있다. 하지만, 하드웨어 토큰 역시 클라이언트의 사용자 능력들을 전달할 수 있는 일반적인 수단을 제공하지는 못한다.
따라서, 이러한 제반 사항들과 다른 것들을 고려하여 본 발명이 만들어 지게 되었다.
본 발명은 수반된 도면을 참조로 하여 좀 더 자세히 기술될 것인 바, 상기 도면은 명세서의 일부를 구성하며, 본 발명이 실행될 수도 있는 특정한 예시적인 실시예들을 일례로서 도시한다. 하지만 이러한 본 발명은 이와 다른 많은 형태로 구현될 수도 있으며, 여기에 개시된 실시예들만으로 제한되도록 해석되어서는 안 된다. 또한, 본 개시 내용은 철저하고 완벽할 것이며 본 발명의 기술적 사상을 해당 기술분야의 당업자에게 충분히 전달할 수 있도록 이러한 실시예들이 제공된다. 본 발명은 방법들 또는 장치들로서 구현될 수 있다. 따라서, 본 발명은 전적으로 하드웨어적인 구현예의 형태를 취할 수도 있으며, 전적인 소프트웨어적 구현예를 취할 수도 있고 또는 소프트웨어 양상과 하드웨어 양상을 결합한 구현예를 취할 수도 있다. 따라서, 후술할 본 발명의 상세한 설명은, 본 발명을 이들 중 어느 하나로 제한하는 취지로 간주 되어서는 안 된다.
"∼를 포함하여 이루어지는(comprosing)", "∼를 포함하는(including)", "∼를 내포하는(containing)", "∼를 갖고 있는(having)" 그리고 "∼를 특징으로 하는(chracterized by)" 라는 어구들은 조정가능하거나 또는 포괄적인 의미를 나타내며, 추가적이며 인용하지 않은 구성요소들 또는 방법 단계들을 배제하는 의미는 아니다. 예를 들면, A 와 B 구성요소들을 포함하여 이루어진 조합이라는 말은, A, B 그리고 C 구성요소의 조합이라는 의미로 이해될 수도 있다.
"하나의(a)", "하나(an)", "상기(the)" 라는 의미는 복수의 참조들을 포함할 수도 있다. "∼ 내에(in)" 라는 의미는 "∼ 내에(in)" 라는 의미와 "∼ 상에(on)"라는 의미를 포함한다. 더 나아가, 본 명세서에서 다른 뜻으로 언급하였거나 또는 본 명세서에 개시된 내용과 상반되는 경우가 아니라면은, "단수(singular)" 에 대한 언급은 "복수(plural)" 에 대한 언급을 포함한다.
"또는(or)" 라는 단어는, 문맥상 명확하게 다르게 의미하는 바가 아니라면, "및/또는(and/or)" 을 포함한다.
본 명세서의 "일 실시예에 있어서" 라는 어구는 동일한 실시예를 지칭할 수도 있지만, 반드시 동일한 실시예를 지칭하는 것은 아니다.
"∼를 기초로 하여(based on)" 라는 어구는 문맥상 명확하게 다르게 의미하는 바가 아니라면, 배타적인 의미가 아니며 서술되어 있지 않은 추가적인 요인을 기초로 한다는 의미도 된다.
"플로우(flow)" 라는 단어는 "네트워크를 통한 패킷들의 플로우" 라는 의미를 포함한다. "접속(connection)" 이라는 단어는 공통 소스와 공통 목적지를 전형적으로 공유하는 메시지들의 플로우 또는 플로우들을 나타낸다.
간단히 언급하자면, 본 발명은 속성 증명서들(Attribute Certificates : AC)을 이용하여 네트워크 디바이스를 인증하는 방법 및 시스템에 관한 것이다.
사용자의 소유권들(properties) 및 네트워크에 접속하는데 사용되는 디바이스에 따라, 서로 다른 많은 네트워크 액세스 능력들(capabilities)이 사용자에게 제공될 수도 있다. 본 발명은 네트워크에 대한 액세스로 인정되어 왔음을 시연하는 안전한 방법을 사용자에게 제공할 수도 있다. 속성 증명서는, 사용자 및/또는 디바이스(네트워크에 액세스하는데 사용됨)의 능력들, 제한들, 그리고 유사한 것들에 대한 정보를 포함하고 있는, 디지털적으로 서명된 단정(assertion)일 수 있다. 만일, 클라이언트 디바이스에 대한 자동화된 보안 검사(security scan)가 완료된 후에 속성 증명서가 발행된다면, 디바이스가 클라이언트의 자동화된 보안 검색 결과를 액세스 서버에게 나중에 알려줄 수 있는 안전한 방법을 제공하기 위해 상기 속성 증명서가 채용될 수도 있다. 만일, 속성 증명서가 사용자의 능력들에 기초하여 생성된다면, 네트워크 리소스들을 사용자에게 이용가능케 하는데 필요한 안전한 정보가 상기 속성 증명서에 기초하여 액세스 서버에 제공될 수 있다.
속성 증명서는 사용자에게 발급될 수도 있으며, 사용자는 서로 다른 클라이언트 네트워크 디바이스로부터 액세스 서버로 속성 증명서를 제출할 수도 있다. 또한, 상기 속성 증명서는 클라이언트 네트워크 디바이스에게 발급될 수도 있으며, 이를 통해 서로 다른 사용자들이 동일한 리소스에 액세스할 수도 있다.
후술될 도면들을 참조하여 비 제한적이며 비 배타적인 본 발명의 실시예들이 설명된다. 도면들에서, 유사한 참조번호들은 다르게 특정되지 않았다면 다양한 도면을 통틀어서 유사한 부분을 가리킨다. 첨부된 도면과 함께 후술할 발명의 상세한 설명을 통해 본 발명을 보다 더 이해할 수 있을 것이다.
도1은 본 발명이 동작하는 환경에 관한 일례를 도시한 도면이다.
도2는 클라이언트로 동작하도록 구성될 수도 있는 있는 네트워크 디바이스의 일례에 대한 기능적 블록 다이어그램을 도시한 도면이다.
도3은 클라이언트를 인증하기 위한 속성 증명서를 사용하는 프로세스에 관한 일 실시예의 순서도를 일반적으로 도시한 도면
도4는 본 발명의 일 실시예와 관련된 메시지 플로우를 도시한 도면.
도5는 본 발명의 다른 실시예와 관련된 메시지 플로우를 도시한 도면.
도6은 본 발명의 또 다른 실시예와 관련된 메시지 플로우를 도시한 도면.
예시적인 동작 환경
도1은 시스템이 동작할 수도 있는 환경에 대한 일 실시예를 도시한 도면이 다. 본 발명을 실시하기 위해서는, 도1에 도시된 모든 구성요소들이 꼭 필요한 것은 아니며, 구성요소들의 배열이나 구성요소들의 타입에 관한 다양한 변형예들이 있을 수 있지만, 이것이 본 발명의 기술적 사상이나 범위에서 벗어나는 것은 아니다.
도1에 도시된 바와같이, 시스템(100)은, 근거리 통신망/광대역 통신망(이하, LAN/WAN 이라 한다)(104), 클라이언트(102), 액세스 서버(106), 속성 권한자(108) 및 속성 저장소(110)를 포함한다. 클라이언트(102)와 액세스 서버(106)는 LAN/WAN (104)을 통해 통신한다. 액세스 서버(106)는 또한 속성 권한자(108) 및 속성 저장소(110)와도 통신한다. 속성 권한자(108)와 속성 저장소(110)는 또한 서로간에 통신한다.
LAN/WAN(104)은, 하나의 전기적인 디바이스에서 다른 하나의 전기적인 디바이스로 정보를 통신하기 위하여 임의의 형태의 컴퓨터 판독가능한 매체를 채용할 수 있다. 또한, LAN, WAN, 가령 범용 직렬 버스(USB) 포트를 통하는 것과 같은 직접 채널들(direct channels), 다른 형식의 컴퓨터 판독가능한 매체, 그리고 이들의 임의의 조합 이외에도 LAN/WAN(104)은 인터넷을 포함할 수 있다.
서로 다른 구조들과 프로토콜들에 기반하는 상기한 것들을 포함하는 LAN이 상호연결된 세트에 있어서, 어느 하나에서 다른 하나로 메시지가 전송되게 하는 라우터(router)는 LAN들 사이에서 링크(link)로서 작용한다.
또한, LAN들 내의 통신 링크(communication links)는 전형적으로 트위스트 페어(twisted pair) 또는 동축 케이블을 포함하는 반면에, 네트워크들내의 통신 링 크는 아날로그 전화선, T1, T2, T3 및 T4를 포함하는 완전 또는 부분 디지털 전용선, 종합 정보 통신망(Integrated Services Digital Network : ISDN), 디지털 가입자 라인(Digital Subscriber Lines : DSLs), 위성 링크들을 포함하는 무선링크들, 또는 해당 기술분야의 당업자에게 알려진 다른 통신 링크들을 포함한다. 더 나아가, 무선 컴퓨터들 및 관련된 다른 전기적인 디바이스들은, 모뎀 및 임시 전화선을 통해 근거리 통신망들 또는 광대역 통신망들에 무선으로 연결될 수도 있다. 본질적으로, LAN/WAN(104)는, 클라이언트(102)와 액세스 서버(106)와 같은 네트워크 디바이스들 사이에서 정보가 전송될 수 있도록 하는 임의의 통신 매커니즘을 포함할 수 있다.
클라이언트(102)는, 가령 LAN/WAN(104)와 같은 네트워크를 통해, 액세스 서버(106) 등등과 통신이 가능한 임의의 네트워크 디바이스가 될 수 있다. 이러한 디바이스들의 세트는, 가령 개인용 컴퓨터들, 다중 프로세서 시스템들, 다중 프로세서 기반의 가전제품들 또는 프로그램가능한 가전제품들, 네트워크 PC들, 등등과 같이 네트워크 디바이스로서 동작하도록 구성되는 유선 통신매체를 사용하여 전형적으로 통신을 연결하는 디바이스들을 포함할 수 있다. 또한, 이러한 디바이스들의 세트는, 가령 휴대폰들, 스마트 폰들, 무선 호출기들, 워키토키들, 무선 주파수 디바이스들, 적외선 디바이스들, CB들, 전술한 디바이스들이 하나 이상 결합된 집적 디바이스들 등등과 같이 네트워크 어플라이언스로서 구성된 무선 통신매체를 사용하여 전형적으로 통신을 연결하는 디바이스들을 포함할 수 있다. 또한, 클라이언트(102)는, 가령 PDA, 포켓 PC, 착용가능한(wearable) 컴퓨터, 무선 및/또는 유선 통신매체를 통해 통신하도록 장비되며 네트워크 디바이스로서 동작하는 임의의 다른 디바이스와 같은, 유선 또는 무선 통신 매체를 사용하여 통신을 연결할 수 있는 임의의 디바이스일 수 있다. 이러한 클라이언트(102)는, 웹 서버, 캐시(cache) 서버, 파일 서버, 라우터, 파일 저장 디바이스, 게이트웨이, 스위치, 브리지, 방호벽, 프록시 등등으로서 동작하도록 구성될 수도 있다.
액세스 서버(106)는, LAN/WAN(104)상의 리소스에 대한 인가를 제공할 수 있는 임의의 컴퓨팅 디바이스 또는 디바이스들을 포함할 수 있다. 가령 클라이언트(102)처럼 네트워크 상의 리소스에 대한 액세스를 원하는 디바이스들은, 속성 증명서를 사용하여 액세스 서버(106)에 의해 인가될 수 있다. 액세스 서버(106)로서 동작할 수 있는 디바이스들은, 가령 개인용 컴퓨터들, 데스크톱 컴퓨터들, 다중 프로세서 시스템들, 다중 프로세서 기반의 가전제품들 또는 프로그램가능한 가전제품들, 네트워크 PC들, 웹 서버들, 캐시 서버들, 파일 서버들, 라우터들, 파일 저장 디바이스들, 게이트웨이들, 스위치들, 브리지들, 방호벽들, 프록시들 등등을 포함하지만 이에 한정되지는 않는다. 네트워크 상의 리소스는, 네트워크에 연결된 네트워크 디바이스들(예를들면, 클라이언트(102))이 이용가능한 임의의 네트워크 서비스가 될 수 있다.
속성 권한자(108)는, 인가받기를 원하는 네트워크 디바이스(예를들면, 클라이언트(102))의 속성을 결정할 수 있는 임의의 컴퓨팅 디바이스 또는 디바이스들을 포함한다. 속성 권한자(108)는, 가령 클라이언트(102)와 같은 네트워크 디바이스의 속성을 검증하는 네트워크 디바이스들을 더 포함할 수도 있다. 또한, 속성 권한 자(108)는, 웹 서버, 캐시 서버, 파일 서버, 라우터, 파일 저장 디바이스, 게이트웨이, 스위치, 브리지, 방호벽, 프록시 등등으로서 동작하도록 구성될 수도 있다. 본 발명의 일실시예에서는, 속성 권한자(108)와 액세스 서버(106)는 하나의 컴퓨팅 디바이스내에 존재할 수도 있다.
속성 저장소(110)는, 액세스 서버(106), 속성 권한자(108) 등등 으로부터 속성 증명서를 수신할 수 있는 임의의 컴퓨팅 디바이스 또는 디바이스들을 포함할 수 있으며, 속성 증명서를 배포 준비된 상태로 보존한다. 속성 저장소(110)로서 동작할 수도 있는 디바이스들은, 개인용 컴퓨터들, 데스크톱 컴퓨터들, 다중 프로세서 시스템들, 다중 프로세서 기반의 가전제품들 또는 프로그램가능한 가전제품들, 네트워크 PC들, 서버들을 포함하지만 이에 제한되는 것은 아니다. 속성 저장소(110)는 또한 웹 서비스, FTP 서비스, LDPA 서비스를 포함할 수 있으며, 속성 증명서와 관련된 정보를 관리하도록 구성된 이와 유사한 것을 포함할 수 있다. 일 실시예에서는, 속성 저장소(110)는, 가령 공개키들, 서명들, 액세스 제어 리스트들, 파기 리스트들 등등과 같은 신뢰 정보를 보존하고 있는 저장 구조를 포함할 수도 있다. 속성 저장소(110)는 가입정보, 옵저버 메카니즘 등등을 포함할 수도 있는 바, 이들은 액세스 서버(106) 등등과 같은 네트워크 디바이스가 속성 증명서 및 관련된 정보의 이용가능성을 모니터할 수 있게 한다.
비록 도면에는 도시되어 있지 않지만, 속성 권한자(108)와 속성 저장소(110)는 클라이언트(102)와 직접 통신할 수도 있다.
도2는 본 발명이 실시될 수도 있는 네트워크 디바이스(200)에 관한 일 실시 예의 기능적 블록도이다. 네트워크 디바이스(200)는, 도1의 액세스 서버(106)에 대한 일 실시예를 제공한다. 도2에는 네트워크 디바이스(200)의 모든 구성요소가 도시되어 있는 것이 아님을 유의하여야 하며, 또한 네트워크 디바이스는 도2에 도시된 구성요소들 보다 더 많거나 또는 더 적은 구성요소들을 포함할 수도 있다는 것을 유의해야 한다. 네트워크 디바이스(200)는, 예를 들면 개인용 컴퓨터, 데스크톱 컴퓨터, 다중 프로세서 시스템, 다중 프로세서 기반의 가전제품 또는 프로그램가능한 가전제품, 네트워크 PC, 웹 서버, 캐시 서버, 파일 서버, 라우터, 파일 저장 디바이스, 게이트웨이, 스위치, 브리지, 방호벽, 프록시 등등으로서 동작할 수도 있다. 가령, 도1의 LAN/WAN(104), 인터넷 또는 그 외의 통신 네트워크와 같은 네트워크를 통해 통신이 수행될 수 있다.
도2에 도시된 바와같이, 네트워크 디바이스는, 버스(222)를 통해 서로 연결된 중앙처리유닛(CPU), 비디오 디스플레이 어댑터(214), ROM(232), RAM(216), 하드디스크 드라이브(228), 입력/출력 인터페이스(224), CD롬/DVD롬 드라이브(226) 및 네트워크 인터페이스 유닛(210)을 포함한다.
ROM(232), RAM(216), 하드디스크 드라이브(228) 및 CD롬/DVD 드라이브(226)는 컴퓨터 저장 매체이며, 이들은 가령, 컴퓨터 판독가능한 명령들, 데이터 구조들, 프로그램 모듈들 또는 또 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 테크놀로지가 구현된 휘발성 및 비 휘발성, 소거가능 및 소거불가능한 매체를 포함한다. 컴퓨터 저장 매체의 일례들은, RAM, ROM, EEPROM, 플래쉬 메모리 또는 다른 메모리 기술, CD롬, DVD 또는 또 다른 광학 저장소자, 자기 카세트, 자기 테 이프, 자기 디스크 저장소자 또는 또 다른 마그네틱 저장 디바이스들, 또는 정보를 저장할 수 있고 컴퓨팅 디바이스에 의해 액세스될 수 있는 임의의 다른 매체들을 포함한다.
네트워크 인터페이스 유닛(210)은, TCP/IP 및 UDP/IP 프로토콜을 포함하는 다양한 통신 프로토콜들을 이용하기 위해서 구비된다. 네트워크 인터페이스 유닛(210)은, 패킷들 등등을 무선 및/또는 유선 통신 매체를 통해 전송할 수 있는 회로들 또는 구성요소들을 포함하거나 또는 이들과 인터페이스 할 수 있다. 네트워크 인터페이스 유닛(210)은 때때로 트랜시버, 네트워크 인터페이스 카드(NIC) 등등으로 언급된다. 또한, 네트워크 디바이스(200)는, 외부 디바이스들 또는 사용자들과 통신하기 위한 입력/출력 인터페이스(224)를 포함할 수 있다.
RAM(216)은 일반적으로, ROM(232) 및 하나 이상의 대용량 저장 디바이스(가령, 하드디스크 드라이브(228))와 서로 연결되어 있다. RAM(216)은 네트워크 디바이스(200)의 동작을 제어하는 운영체제(220)를 저장한다. 상기 운영체제(220)는, 가령 UNIX, LINUXTM, WindowsTM 등등과 같은 운영체제를 포함하여 이루어질 수 있다.
일 실시예에서, RAM(216)은 어플리케이션 소프트웨어(250), 인가 프로토콜(240), 속성 증명서 평가 프로토콜(242) 등등을 위한 프로그램 코드를 저장하는 바, 이는 네트워크 디바이스(200)의 인가 기능들을 수행하기 위함이다. 어플리케이션 소프트웨어(250)는 임의의 컴퓨터 프로그램을 포함할 수도 있다. 인가 프로토콜(240)은, 도3에 기술된 바와같은 네트워크 리소스에 대한 액세스를 제어하는 것 에 직접 관련된다. AC 평가 프로토콜(242)은, 인가 프로토콜(240)이 네트워크 상의 상기 리소스에 액세스 하기를 원하는 네트워크 디바이스(예를 들면, 도1의 클라이언트(102))의 속성을 평가하는 것을 가능케 하는 보완적인 프로토콜이 될 수도 있다. 부분적으로, 상기 속성은 클라이언트(102)의 능력, 또 다른 속성이 유효하기 위해 충족되어야 하는 조건, 자동화된 보안 검색의 결과 등등을 기초로 할 수도 있다.
일반적인 동작
도3은 본 발명의 일실시에에 따라, 속성 증명서들을 이용하여 네트워크 디바이스를 인가하는 프로세스(300)를 일반적으로 도시한 순서도이다. 프로세스(300)는 예를 들면, 도1의 액세스 서버(106)내에서 구현될 수도 있다.
도3에 도시된 바와같이 프로세스(300)는, 스타트 블록 이후에 블록(302)에서 시작되는 바, 블록(302)에서는 인가를 원하는 네트워크 디바이스(예를 들면, 도1의 클라이언트(102))의 속성이 결정된다. 상기 속성은, 부분적으로는 네트워크 디바이스의 능력 또는 네트워크 디바이스의 특징에 기초할 수도 있다. 예를 들어, 상기 네트워크 디바이스는 특정한 사용자에게 발행된 랩탑(laptop) 등등 일 수 있다. 이러한 일례에서, 상기 속성은, 부분적으로 네트워크 디바이스 상에서 작동하는 보안 소프트웨어의 상태 등등에 기초할 수도 있다.
블록(302)에서 결정된 이러한 속성은 또한, 다른 속성이 유효하기 위해 충족되어야 하는 조건에 부분적으로 기초할 수도 있다. 상술한 일례에서, 주된(primary) 속성은, 상기 네트워크 디바이스가 안티 바이러스 소프트웨어를 설치 하였다 라는 단정(assertion) 일 수도 있다. 그 이상의 예시로서, 그 이외의(other) 속성은 부분적으로, 상기 안티 바이러스 소프트웨어가 상기 네트워크 디바이스에서 작동중이며, 상기 안티 바이러스 소프트웨어는 5일이 경과되지 않은 바이러스 정의(define)들로 구성되었다 라는 조건에 기초할 수도 있다.
또 다른 실시예에서, 블록(302)에서 결정된 상기 속성은 부분적으로는 인가받기를 원하는 네트워크 디바이스의 상태(가령, 자동화된 보안 검색의 결과)에 더 기초 할 수 있다. 보안상의 이유로, 네트워크 디바이스에 대한 자동화된 보안 검색이 수행될 수도 있으며 그 결과가 속성 증명서(AC)와 관련된다. 자동화된 보안 검색을 AC와 관련시킴으로서, 네트워크 디바이스가 인가를 요청할 때마다, 자동화된 보안 검색들을 반복해서 매번 수행해야할 필요가 없어질 수도 있는데, 이는 상기 AC가 최근의 자동화된 보안 검색에 대한 증거를 제공할 수도 있기 때문이다. 속성 증명서(AC)에 연관되도록 속성에 대한 결정이 수행된 이후에, 프로세스(300)는 블록(304)로 진행한다.
블록(302)에서 결정된 속성에 부분적으로 근거하여, 블록(304)에서 속성 증명서가 생성된다. 상기 속성 증명서는, 인가를 수행하는 디바이스(예를 들면, 도1의 액세스 서버)에 의해, 네트워크 디바이스 그 자체에 의해 또는 제 3 의 네트워크 디바이스(도1의 속성 저장소(110) 등등)에 의해 생성될 수도 있다.
프로세스(300)은 이후에 블록(306)으로 진행하는 바, 여기서 AC가 저장된다. 이러한 AC 저장은, 인가를 수행하는 디바이스(예를 들면, 도1의 액세스 서버)에 의해, 네트워크 디바이스 그 자체에 의해, 제 3 의 네트워크 디바이스(도1의 속성 저 장소(110) 등등)에 의해, 수행될 수도 있다. 블록(306)의 완료 이후에, 프로세스(300)는, 블록(308)에서 인가 요청이 수신될때 까지 기다릴 수도 있다.
블록(308)에서, 네트워크 디바이스는 인가 디바이스에게 인가 요청을 제출한다. 비록 도시되지는 않았지만, 네트워크 디바이스, 저장 디바이스, 외부의 저장 데이터 베이스 등등 으로부터 AC를 복원(retrieve)하는 인가 디바이스의 행동들은, 블록(308)에서 포함될 수도 있으며, 상기한 행동에 제한되지 않는다.
프로세스(300)는 블록(310)으로 진행하며 블록(310)에서, 네트워크로의 연결을 위해 네트워크 디바이스가 인증되었는지 아닌지가 결정된다. 만일, 인증이 검증된다면, 프로세스(300)는 결정 블록(312)으로 진행한다. 만일, 인증이 검증되지 않았다면, 프로세스(300)는 블록(316)으로 진행하며, 이곳에서 통신이 종료된다. 프로세스는 아마도 다른 행동들을 수행하기 위한 호출 절차로 되돌아 갈 것이다.
블록(312)에서, AC의 유효성이 결정된다. AC의 유효성을 결정함에 있어서, AC의 유효기간 범위, AC에 기록된 디바이스 식별자, 디지털 서명 등등을 포함하지만 이에 한정되지는 않는 다수의 인자(factor)들이 사용될 수 있다. 만일, AC가 유효하다면, 프로세스(300)는 블록(314)으로 진행하며, 이곳에서 상기 네트워크 디바이스가 인가된다. 만일, AC가 유효하지 않다면, 프로세스(300)는 블록(316)으로 진행하며, 이곳에서 통신이 중단된다. 프로세스는 아마도 다른 행동들을 수행하기 위한 호출 절차로 되돌아 갈 것이다.
주목해야할 사항으로서, 상기에서 논의된 순서도에 개시된 각각의 블록들 또는 블록들의 조합은 컴퓨터 프로그램 명령들(computer program instructions)에 의 해 구현될 수 있다. 이와같은 프로그램 명령들은 머신(mahine)을 만들기 위해 프로세서에 제공될 수도 있으며, 프로세서상에서 수행되는 이러한 명령들은, 순서도 내의 블럭 또는 블럭들에서 특정된 행동들을 구현하기 위한 수단을 생성한다.
이러한 컴퓨터 프로그램 명령들은, 일련의 조작 단계들이 프로세서에 의해 수행되어 컴퓨터로 구현된(computer-implemented) 절차(프로세서 상에서 실행되며, 순서도내의 블럭 또는 블럭들에서 특정된 행동들을 구현하기 위한 단계들을 제공하는 이러한 명령들)를 만들어 내기 위하여, 프로세서에 의해 실행될 수도 있다.
비록, 네트워크 디바이스와 액세스 서버 사이에서 통신한다는 관점하에서 본 발명이 설명되었지만, 본 발명은 이에 한정되지 않는다. 예를 들면, 본 발명의 기술적 사상의 범위를 벗어남이 없이, 가령 복수의 클라이언트들, 복수의 서버들 및 임의의 다른 디바이스들을 포함하지만 이에 한정되지는 않는 어떠한 자원들 간에서도 상기 통신이 실질적으로 이루어질 수 있다.
따라서, 순서도에서 도시된 블록들에 의해, 특정된 동작들을 수행하는 수단의 조합들, 특정된 동작들을 수행하는 단계들의 조합들 및 특정된 동작들을 수행하는 프로그램 명령 수단들이 뒷받침된다. 또한, 순서도에 도시된 각각의 블록들 또는 블록들의 조합은 특별한 목적을 갖는 하드웨어 기반의 시스템들에 의해서도 구현될 수 있는 바, 상기 하드웨어 기반의 시스템들은 상기 특정한 동작들 또는 단계들을 수행하며 또는 하드웨어의 특별한 목적과 컴퓨터 명령들의 조합을 수행한다.
예시적인 실시예들
도4는 도1에 도시된 시스템과 유사한 시스템에서 메시지 흐름도에 대한 일례 를 도시한 도면이다. 흐름도에 도시된 바와같이, 메시지 흐름(400)은, 그 상단부에서 네트워크 리소스(402), 속성 저장소(404), 액세스 서버(406) 및 클라이언트(408)를 포함한다. 클라이언트(408)와 액세스 서버(406)는 각각, 도1에 도시된 클라이언트(102) 및 액세스 서버(106)와 실질적으로 유사하게 동작할 수 있다. 도면에서 아래쪽으로 갈수록 시간이 경과된다고 여겨질 수 있다.
도4에 도시된 바와같이, 메시지 흐름은 시간라인(410)에 의해 2개의 그룹으로 분리된다. 첫번째 그룹은 AC 생성 및 AC 저장과 연관된 메시지 흐름으로 구성된다. 만일, 클라이언트(408)가 새로운 액세스 서버에 대해 속성 증명서(AC)를 저장하기를 원한다면, 이미 저장되어 있는 속성 증명서(AC)는 여러가지 이유 등등으로 인해 더 이상 유효하지 않기 때문에 이러한 프로세스는 반복될 수도 있다. 액세스 서버(406)가 클라이언트(408)의 속성이 AC와 연관되는지를 결정함으로서, 이러한 프로세스가 시작된다. 상기 속성은 부분적으로는, 클라이언트(408)의 능력에 기초할 수 있다. 예를 들어, 클라이언트(408)는, 네트워크 리소스가 제공하는 프린트 서비스들에 대한 한시적인 이용 허가를 받은 사용자가 이용하는 네트워크 디바이스일 수 있다. 이러한 일례에서, 액세스 서버(406)는 속성 증명서(AC)와 관련된 속성으로서, 네트워크 리소스에 대한 프린팅 능력 허가를 검증할 수도 있다.
이후, 액세스 서버(406)는, 부분적으로는 앞서 결정된 속성을 기초로 하여 속성 증명서(AC)를 생성할 수 있다. AC의 생성에 뒤이어, 액세스 서버(406)는 상기 AC를, AC가 저장되는 속성 저장소(404)로 발송할 수 있다.
클라이언트(408)로부터 인가 요청(request for authorization)을 수신함으로 서, 도4의 시간 라인(401) 아래쪽에서 도시된 인가 프로세스가 시작된다. 클라이언트(408)로부터 인가 요청을 수신한 이후에, 액세스 서버(406)는 클라이언트(408)를 인증한다. 인증은 로그인 패스워드, 디지털 서명, 수명측정 파라미터(biometric parameter) 등등을 기초로 할 수도 있다.
인증 이후에, 액세스 서버(406)는 속성 저장소(404)로부터 AC를 요청한다. 속성 저장소(404)는 AC를 액세스 서버(406)로 송달하며, 액세스 서버(406)에서 AC의 유효성을 검증한다. AC에 목록화된 신원(identity)을 클라이언트의 인증된 신원과 비교하기, AC의 기간 범위(date range), AC 상의 디지털 서명 등등을 포함하지만 이에 한정되지는 않는 수 많은 인자들 중 임의의 하나에 부분적으로 기초하여, AC의 유효성이 검증될 수도 있다.
만일 AC가 유효하다면, 액세스 서버(406)는, AC와 연관된 속성에 부분적으로 기초하여 클라이언트(408)를 인가한다. 전술한 일례를 더 이용하여 설명하면, AC와 관련된 속성에 부분적으로 기초하여, 상기 인가는 네트워크 리소스(402)에 대한 프린팅 능력을 클라이어트(408)에게 제공한다.
도5는 본 발명에 따른 다른 실시예에서, 네트워크 시스템의 메시지 흐름을 도시한 도면이다. 도5f에 도시된 바와같이 메시지 흐름(500)은, 그 상단부에서 네트워크 리소스(502), 액세스 서버(504) 및 클라이언트(506)를 포함한다. 클라이언트(506)와 액세스 서버(504)는 각각, 도1에 도시된 클라이언트(102) 및 액세스 서버(106)와 실질적으로 유사하게 동작할 수 있다. 도면에서 아래쪽으로 갈수록 시간이 경과된다고 여겨질 수 있다.
도5에 도시된 바와같이, 메시지 흐름은 시간라인(508)에 의해 2개의 그룹으로 분리된다. 첫번째 그룹은 AC 생성 및 AC 저장과 연관된 메시지 흐름으로 구성된다. 도5에 도시된 프로세스의 첫번째 부분은, 도4의 타임라인(410) 위쪽에 도시된 첫번째 프로세스와 실질적으로 유사하다. 2개의 프로세스들 사이의 차이점 중 하나는, 액세스 서버(504)가 속성 저장소 대신에 클라이언트(506)에게 AC를 발송한다는 점이며, 클라이언트(506)는 AC를 저장한다.
도5의 타임라인(508) 아래쪽에 도시된 인가 절차는, 통상적으로 클라이언트(506)로부터의 인가 요청을 수신함으로서 개시된다. 클라이언트(506)로부터의 인가 요청을 수신한 이후에, 액세스 서버(504)는 클라이언트(506)를 인증한다. 인증은 로그인 패스워드, 디지털 서명, 수명측정 파라미터(biometric parameter) 등등을 기초로 할 수도 있다.
인증 이후에, 액세스 서버(504)는 클라이언트가 유효한 AC를 갖고 있는지를 검증한다. AC의 유효성은, AC의 기간 범위(date range), AC 상의 디지털 서명, AC에 목록화된 신원(identity)을 클라이언트의 인증된 신원과 비교함 등등을 포함하지만 이에 한정되지는 않는 수 많은 인자들 중 임의의 하나에 부분적으로 기초하여 검증될 수도 있다.
만일 AC가 유효하다면, 액세스 서버(504)는, AC와 연관된 속성에 부분적으로 기초하여 클라이언트(506)를 인가한다. 도4에서 기술된 일례를 이용하여 설명하면, AC와 관련된 속성에 부분적으로 기초하여, 상기 인가는 네트워크 리소스(502)에 대한 프린팅 능력을 클라이어트(506)에게 제공한다.
도6은 본 발명에 따른 또 다른 실시예에서, 네트워크 시스템의 메시지 흐름을 도시한 도면이다. 도6에 도시된 바와같이 메시지 흐름(600)은, 그 상단부에서 액세스 서버(602), 클라이언트(604) 및 속성 저장소(606)를 포함한다. 클라이언트(604)와 액세스 서버(602)는 각각, 도1에 도시된 클라이언트(102) 및 액세스 서버(106)와 실질적으로 유사하게 동작할 수 있다. 도면에서 아래쪽으로 갈수록 시간이 경과된다고 여겨질 수 있다.
도6에 도시된 바와같이, 메시지 흐름은 시간라인(608)에 의해 2개의 그룹으로 분리된다. 첫번째 그룹은 AC 생성 및 AC 저장과 연관된 메시지 흐름으로 구성된다. 상기 프로세스는, 속성 권한자(606)에 의해 수행되는 클라이언트(604)에 대한 자동화된 보안 검색으로 개시된다. 속성 권한자(606)는, 부분적으로는 상기 클라이언트에 대한 자동화된 보안 검색의 결과에 기초하여 AC를 생성하며, 생성된 AC를 저장한다.
도6의 타임라인(608) 아래쪽에 도시된 인가 절차는, 통상적으로 클라이언트(604)로부터의 인가 요청을 수신함으로서 개시된다. 클라이언트(604)로부터의 인가 요청을 수신한 이후에, 액세스 서버(602)는 클라이언트(604)를 인증한다. 인증은 로그인 패스워드, 디지털 서명, 수명측정 파라미터(biometric parameter) 등등을 기초로 할 수도 있다.
인증 이후에, 액세스 서버(602)는 속성 권한자(606)에게 AC를 요청한다. 속성 권한자(606)는 액세스 서버(602)로 AC를 발송하며, 액세스 서버(602)는 AC의 유효성을 검증한다. AC의 유효성은, AC의 기간 범위(date range), AC 상의 디지털 서 명, AC에 목록화된 신원(identity)을 클라이언트의 인증된 신원과 비교함 등등을 포함하지만 이에 한정되지는 않는 수 많은 인자들 중 임의의 하나에 부분적으로 기초하여 검증될 수도 있다.
만일 AC가 유효하다면, 액세스 서버(602)는, AC와 연관된 속성에 부분적으로 기초하여 클라이언트(604)를 인가한다. 이러한 실시예에서, 상기 인가는 네트워크 리소스들에 대한 액세스를 클라이어트에게 제공한다.
상기의 상세한 설명, 실시예들, 데이터는 본 발명에 따른 제조와 구성의 사용에 대한 완벽한 설명을 제공한다. 본 발명에 따른 많은 실시예들이 본 발명의 기술적 사상의 범위내에서 만들어질 수 있기 때문에, 본 발명은 첨부된 특허청구범위에 귀속한다.

Claims (18)

  1. 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 단계;
    적어도 상기 결정된 특성 또는 능력에 기초하여 속성을 결정하는 단계;
    적어도 상기 속성에 기초하여 속성 증명서를 생성하는 단계;
    상기 속성을 포함하는 상기 속성 증명서를 저장하는 단계; 및
    검증된 인증 요청에 응답하여, 상기 속성 증명서가 유효한지를 결정하는 단계 그리고 적어도 상기 속성 증명서에 연관된 상기 속성에 기초하여, 네트워크상의 리소스에 대한 액세스를 인가하는 단계를 포함하여 이루어지는 네트워크 디바이스를 인가하는 방법.
  2. 제1항에 있어서, 상기 속성은
    적어도 상기 네트워크 디바이스에 대한 자동화된 보안 검색에 기초하여 더 결정되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  3. 제1항에 있어서, 상기 속성은
    적어도 충족되어야할 조건에 더 기초하여 결정되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  4. 제1항에 있어서, 상기 속성은
    네트워크 디바이스들의 그룹에 더 연관되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  5. 제1항에 있어서, 상기 속성은
    사용자들의 그룹에 더 연관되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  6. 제1항에 있어서, 상기 속성 증명서는
    네트워크 디바이스, 액세스 서버 및 속성 저장소 중 적어도 하나에 의해 생성되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  7. 제1항에 있어서, 상기 속성 증명서는
    네트워크 디바이스 및 속성 저장소 중 적어도 하나에 의해 저장되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  8. 제7항에 있어서, 상기 속성 증명서는
    쿠키들(cookies), 프로그램, 매뉴얼 업로드(manual upload) 중 적어도 하나의 사용을 통해 액세스 서버에게 제공되는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  9. 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 인터페이스;
    적어도 상기 결정된 특성 또는 능력에 기초하여 속성을 결정하고, 적어도 상기 속성에 기초하여 속성 증명서를 생성하고, 그리고 검증된 인증 요청에 응답하여, 상기 속성 증명서가 유효한지를 결정하여 적어도 상기 속성 증명서에 연관된 상기 속성에 기초하여 네트워크상의 리소스에 대한 액세스를 인가하는 프로세서; 및
    상기 속성을 포함하는 상기 속성 증명서를 저장하는 메모리를 포함하는 장치.
  10. 제9항에 있어서, 상기 프로세서는 충족되어야할 조건에 기초하여 상기 속성 증명서를 생성하도록 더 구성된 것을 특징으로 하는 장치.
  11. 제9항에 있어서,
    상기 인터페이스는 상기 네트워크 디바이스에 대한 자동화된 보안 검색을 수행하도록 더 구성된 것을 특징으로 하는 장치.
  12. 제11항에 있어서, 상기 프로세서는 상기 네트워크 디바이스에 대한 자동화된 보안 검색에 기초하여 상기 속성 증명서를 생성하도록 더 구성된 것을 특징으로 하는 장치.
  13. 제9항에 있어서, 상기 인터페이스는 상기 속성 증명서가 저장되는 상기 네트워크 디바이스로 상기 속성 증명서를 발송하도록 더 구성되는 것을 특징으로 하는 장치.
  14. 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 수단;
    적어도 상기 결정된 특성 또는 능력에 기초하여 속성을 결정하는 수단;
    상기 속성에 기초하여 속성 증명서를 생성하는 수단;
    상기 속성 증명서를 저장하는 수단; 및
    검증된 인증 요청에 응답하여, 상기 속성 증명서가 유효한지를 결정하고 적어도 상기 속성 증명서에 연관된 상기 속성에 기초하여, 네트워크상의 리소스에 대한 액세스를 인가하는 수단을 포함하는 것을 특징으로 하는 네트워크상의 리소스에 대한 인가를 관리하는 디바이스.
  15. 제14항에 있어서,
    상기 네트워크 디바이스의 자동화된 검색을 수행하는 수단을 더 포함하며, 상기 네트워크 디바이스의 자동화된 검색을 수행하는 수단은 인터페이스를 포함하고;그리고
    결정, 생성, 저장하는 수단, 그리고 인가하는 수단은 인터페이스와 메모리에 연결된 CPU를 포함하는 것을 특징으로 하는 디바이스.
  16. 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 단계;
    적어도 상기 결정된 특성 또는 능력에 기초하여 속성을 결정하는 단계;
    적어도 상기 속성에 기초하여 속성 증명서를 생성하는 단계;
    상기 속성을 포함하는 상기 속성 증명서를 저장하는 단계; 및
    검증된 인증 요청에 응답하여, 상기 속성 증명서가 유효한지를 결정하는 단계 그리고 적어도 상기 속성 증명서에 연관된 상기 속성에 기초하여, 네트워크상의 리소스에 대한 액세스를 인가하는 단계를 포함하는 동작들을 수행하도록 프로세서에 의해 실행가능한 컴퓨터 프로그램으로 인코딩된 컴퓨터 판독 가능 매체.
  17. 제1항에 있어서,
    상기 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 단계는 상기 네트워크 디바이스에서 실행되는 안티바이러스 소프트웨어의 상태를 결정하는 단계를 포함하고 상기 속성을 결정하는 단계는 상기 결정된 안티바이러스 소프트웨어의 상태에 또한 기초하는 것을 특징으로 하는 네트워크 디바이스를 인가하는 방법.
  18. 제9항에 있어서,
    상기 인터페이스가 상기 네트워크 디바이스의 적어도 하나의 특성 또는 능력을 결정하는 것은 상기 네트워크 디바이스에서 실행되는 안티바이러스 소프트웨어의 상태를 결정하는 것을 포함하며, 상기 프로세서는 상기 결정된 안티바이러스 소프트웨어의 상태에 기초하여 상기 속성을 결정하는 것을 특징으로 하는 장치.
KR1020067023786A 2004-04-12 2005-03-25 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법 KR100894555B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/823,378 2004-04-12
US10/823,378 US7650409B2 (en) 2004-04-12 2004-04-12 System and method for enabling authorization of a network device using attribute certificates
PCT/IB2005/000828 WO2005096701A2 (en) 2004-04-12 2005-03-25 System and method for enabling authorization of a network device using attribute certificates

Publications (2)

Publication Number Publication Date
KR20070032650A KR20070032650A (ko) 2007-03-22
KR100894555B1 true KR100894555B1 (ko) 2009-04-24

Family

ID=35061838

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067023786A KR100894555B1 (ko) 2004-04-12 2005-03-25 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법

Country Status (5)

Country Link
US (1) US7650409B2 (ko)
EP (1) EP1738274A4 (ko)
KR (1) KR100894555B1 (ko)
CN (1) CN101099143B (ko)
WO (1) WO2005096701A2 (ko)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2350971A (en) * 1999-06-07 2000-12-13 Nokia Mobile Phones Ltd Security Architecture
WO2006070353A2 (en) * 2004-12-30 2006-07-06 Safend Ltd Method and system for securely identifying computer storage devices
US10764264B2 (en) * 2005-07-11 2020-09-01 Avaya Inc. Technique for authenticating network users
DE102006036107A1 (de) 2006-04-11 2007-10-18 Siemens Ag Verfahren zur Ermittlung einer Aufgabenerlaubnis
US8132245B2 (en) * 2006-05-10 2012-03-06 Appia Communications, Inc. Local area network certification system and method
US8010784B2 (en) * 2006-10-10 2011-08-30 Adobe Systems Incorporated Method and apparatus for achieving conformant public key infrastructures
US7945946B2 (en) * 2007-02-06 2011-05-17 Red Hat, Inc. Attribute level access control
US7895441B2 (en) * 2007-05-31 2011-02-22 Red Hat, Inc. LDAP grouping for digital signature creation
US7984490B2 (en) * 2007-05-31 2011-07-19 Red Hat, Inc. Method for issuing attribute certificate from an LDAP entry
US8046585B2 (en) * 2007-05-31 2011-10-25 Red Hat, Inc. Verifying authenticity of an attribute value signature
US8311513B1 (en) * 2007-06-27 2012-11-13 ENORCOM Corporation Automated mobile system
US8495020B1 (en) 2007-06-27 2013-07-23 ENORCOM Corporation Mobile information system
US8910234B2 (en) 2007-08-21 2014-12-09 Schneider Electric It Corporation System and method for enforcing network device provisioning policy
KR100943921B1 (ko) * 2007-09-04 2010-02-24 경원대학교 산학협력단 그룹 속성 인증서 발급 시스템과 그 그룹 속성 인증서를이용한 라이센스 발급 시스템 및 라이센스 발급 방법
US8826034B1 (en) * 2007-09-28 2014-09-02 Symantec Corporation Selective revocation of heuristic exemption for content with digital signatures
US8621561B2 (en) * 2008-01-04 2013-12-31 Microsoft Corporation Selective authorization based on authentication input attributes
US10146926B2 (en) * 2008-07-18 2018-12-04 Microsoft Technology Licensing, Llc Differentiated authentication for compartmentalized computing resources
JP2011191940A (ja) * 2010-03-12 2011-09-29 Canon Inc 検証装置、ジョブチケット検証方法、およびプログラム
DE102010044518A1 (de) * 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
US9762578B2 (en) 2010-10-25 2017-09-12 Schneider Electric It Corporation Methods and systems for establishing secure authenticated bidirectional server communication using automated credential reservation
US10642849B2 (en) 2010-10-25 2020-05-05 Schneider Electric It Corporation Methods and systems for providing improved access to data and measurements in a management system
US8707026B2 (en) * 2011-07-13 2014-04-22 International Business Machines Corporation Apparatus for certificate-based cookie security
US8769651B2 (en) * 2012-09-19 2014-07-01 Secureauth Corporation Mobile multifactor single-sign-on authentication
CN103796342B (zh) * 2014-01-24 2017-02-15 北京奇虎科技有限公司 属性信息的显示系统和路由器
CN106250727A (zh) * 2016-08-16 2016-12-21 深圳市冠旭电子股份有限公司 一种软件保护方法及装置
WO2018053844A1 (zh) * 2016-09-26 2018-03-29 华为技术有限公司 安全认证方法、集成电路及系统
KR102367738B1 (ko) * 2016-11-09 2022-02-25 한국전자기술연구원 가상 리소스의 그룹 멤버 유효성 검증 방법
EP3663956A1 (de) * 2018-12-03 2020-06-10 Steen Harbach AG Mikrocontroller
JP7215342B2 (ja) * 2019-06-06 2023-01-31 富士通株式会社 通信プログラム、通信方法、および、通信装置
US20230239286A1 (en) * 2022-01-26 2023-07-27 Microsoft Technology Licensing, Llc Dynamic attachment of secure properties to machine identity with digital certificates

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
WO2003105400A1 (ja) * 2002-06-07 2003-12-18 ソニー株式会社 データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL133415A (en) * 1997-06-25 2004-01-04 Inforonics Inc Apparatus and method for identifying clients accessing network sites
US6199113B1 (en) * 1998-04-15 2001-03-06 Sun Microsystems, Inc. Apparatus and method for providing trusted network security
US6847995B1 (en) * 2000-03-30 2005-01-25 United Devices, Inc. Security architecture for distributed processing systems and associated method
US7092987B2 (en) * 2001-02-13 2006-08-15 Educational Testing Service Remote computer capabilities querying and certification
US20020144108A1 (en) * 2001-03-29 2002-10-03 International Business Machines Corporation Method and system for public-key-based secure authentication to distributed legacy applications
US6986047B2 (en) * 2001-05-10 2006-01-10 International Business Machines Corporation Method and apparatus for serving content from a semi-trusted server
US8484333B2 (en) * 2001-08-22 2013-07-09 Aol Inc. Single universal authentication system for internet services
JP3791464B2 (ja) * 2002-06-07 2006-06-28 ソニー株式会社 アクセス権限管理システム、中継サーバ、および方法、並びにコンピュータ・プログラム
GB2394803A (en) * 2002-10-31 2004-05-05 Hewlett Packard Co Management of security key distribution using an ancestral hierarchy
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
WO2003105400A1 (ja) * 2002-06-07 2003-12-18 ソニー株式会社 データ処理システム、データ処理装置、および方法、並びにコンピュータ・プログラム

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
김지홍외 2인, "분산시스템에서의 속성인증서를 이용한 접근통제방안", 한국정보기술전략혁신학회지: 정보학연구 6(1), pp. 107-115, 2003*
윤이중, 류재철, "속성인증서 프로파일 연구", 정보보호학회논문지 제11권제5호, 75-84pp, 2001.10*

Also Published As

Publication number Publication date
CN101099143B (zh) 2012-05-30
CN101099143A (zh) 2008-01-02
EP1738274A2 (en) 2007-01-03
WO2005096701A3 (en) 2007-04-05
EP1738274A4 (en) 2016-03-23
KR20070032650A (ko) 2007-03-22
US20050228886A1 (en) 2005-10-13
WO2005096701A2 (en) 2005-10-20
US7650409B2 (en) 2010-01-19

Similar Documents

Publication Publication Date Title
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
US10904240B2 (en) System and method of verifying network communication paths between applications and services
US11190493B2 (en) Concealing internal applications that are accessed over a network
CN109428891B (zh) 权限转移系统及其控制方法和客户端
US9729514B2 (en) Method and system of a secure access gateway
CN110138718B (zh) 信息处理系统及其控制方法
US11444932B2 (en) Device verification of an installation of an email client
US20170302644A1 (en) Network user identification and authentication
JP3877640B2 (ja) 携帯用記憶装置を用いるコンピュータネットワークセキュリティシステム
US8024488B2 (en) Methods and apparatus to validate configuration of computerized devices
KR101534890B1 (ko) 신뢰된 장치별 인증
EP3117578B1 (en) Disposition engine for single sign on (sso) requests
US6785729B1 (en) System and method for authorizing a network user as entitled to access a computing node wherein authenticated certificate received from the user is mapped into the user identification and the user is presented with the opprtunity to logon to the computing node only after the verification is successful
KR20050071359A (ko) 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템
US8387130B2 (en) Authenticated service virtualization
WO2009002705A2 (en) Device provisioning and domain join emulation over non-secured networks
CN100512107C (zh) 一种安全认证方法
Oh et al. The security limitations of sso in openid
US10404684B1 (en) Mobile device management registration
US20220337590A1 (en) Mitigating multiple authentications for a geo-distributed security service using an authentication cache
US20060122936A1 (en) System and method for secure publication of online content
JP7043480B2 (ja) 情報処理システムと、その制御方法とプログラム
Hauser et al. xRAC: Execution and Access Control for Restricted Application Containers on Managed Hosts
Fernandez et al. The Abstract Secure Communication Path (ASCP) pattern and a derived VPN pattern
Maidine et al. Cloud Identity Management Mechanisms and Issues

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130404

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20140403

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20160407

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20170406

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 10