KR100992356B1 - 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체 - Google Patents

컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체 Download PDF

Info

Publication number
KR100992356B1
KR100992356B1 KR1020067013803A KR20067013803A KR100992356B1 KR 100992356 B1 KR100992356 B1 KR 100992356B1 KR 1020067013803 A KR1020067013803 A KR 1020067013803A KR 20067013803 A KR20067013803 A KR 20067013803A KR 100992356 B1 KR100992356 B1 KR 100992356B1
Authority
KR
South Korea
Prior art keywords
message
public key
key
client
certificate
Prior art date
Application number
KR1020067013803A
Other languages
English (en)
Other versions
KR20060123465A (ko
Inventor
폴 안소니 애쉴리
로버트 앤드류 파이페
마이클 제임스 토마스
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20060123465A publication Critical patent/KR20060123465A/ko
Application granted granted Critical
Publication of KR100992356B1 publication Critical patent/KR100992356B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Abstract

클라이언트와 서버 사이에 메시지를 통신하기 위한 보안 콘텍스트를 확립하는 방법이 개시되고, 이 방법은 GSS-API(Gerneric Security Services application programming interface)와 호환된다. 클라이언트는 클라이언트에 의해 생성된 제 1 대칭 비밀 키와 인증 토큰을 포함하는 제 1 메시지를 송신한다; 제 1 메시지는 서버의 퍼블릭 키 인증서(516)로부터의 퍼블릭 키로 보안된다. 서버가 이 인증 토큰을 기반으로 클라이언트를 인증한 후에, 클라이언트는 서버로부터 제 2 메시지를 수신하는데, 이 제 2 메시지는 제 1 대칭 비밀 키로 보안되고 제 2 비밀 대칭 키(522)를 포함한다. 클라이언트와 서버는 제 2 대칭 키를 채용하여 클라이언트와 서버 사이에 송신되는 후속 메시지를 안전하게 한다. 인증 토큰은 클라이언트, 사용자이름-패스워드 쌍, 또는 보안 티켓과 관련된 퍼블릭 키 인증서일 수도 있다.

Description

컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체{ESTABLISHING A SECURE CONTEXT FOR COMMUNICATING MESSAGES BETWEEN COMPUTER SYSTEMS}
본 발명은 향상된 데이터 처리 시스템에 관한 것으로, 특히 멀티 컴퓨터 데이터 전달 방법 및 장치에 관한 것이다. 더욱 상세하게는, 본 발명은 암호화를 이용하는 멀티 컴퓨터 통신 방법 및 장치를 제공한다.
E-커머스 웹 사이트 및 다른 형태의 애플리케이션은 사용자와 클라이언트를 대표해서 컴퓨터 네트워크상에서 트랜잭션을 수행한다. 클라이언트를 대신해서 요청된 동작을 수행하기 전에, 그 클라이언트는 클라이언트 신원(identity)이 보안 목적의 확실성의 적절한 레벨임을 증명하기 위한 인증 절차를 통과해야만 한다.
많은 데이터 처리 시스템은 GSS-API(Gerneric Security Services application programming interface)를 통해 클라이언트 인증 동작을 지원하며, GSS-API는 린(Linn)의 "Gerneric Security Services Application Programming Interface", IETF(Internet Engineering Task Force) RFC(Request for Comments) 1508, 1993년 9월에 기재되어 있으며, 린의 "Gerneric Security Services Application Programming Interface, Version 2", IETF RFC 2078, 1997년 1월에 의해 개량되었다. 그러한 문헌들에 기술된 바와 같이, GSS-API는 포괄적인 방식으로 호출자(caller)에 대한 보안 서비스를 제공한다. GSS-API는 규정된 서비스 및 원형(primitives)을 통해 근원적인 메커니즘과 기술의 범위를 지원하며, 따라서 상이한 연산 및 프로그래밍 언어 환경에 대한 애플리케이션의 소스-레벨 휴대능력을 허가한다.
다른 GSS-API 메커니즘은 아담스(Adams)의 "The Simple Public-Key GSS-API Mechanism(SPKM)", IETF RFC 2025, 1996 10월 및 아이슬러(Eisler)의 "LIPKEY--A Low Infrastructure Public Key Mechanism Using SPKM", IETF RFC 2847, 2000년 7월에 제시되었다. 그러한 문헌들에 기재된 바와 같이, SKPM은 공유 키 구조를 이용하여 온-라인 분산 애플리케이션 환경에서 인증, 키 제정, 데이터 무결성 및 데이터 비밀성을 제공한다. GSS-API, SKPM에 부합시킴으로써 보안 서비스 액세스용 GSS-API 호를 이용하는 임의의 애플리케이션에 의해 이용될 수 있다. 택일적으로, LIPKEY는 또한 클라이언트와 서버 간에 보안 채널을 제공하는 방법을 제공한다. LIPKEY는 전송 계층 보안(Transport Layer Security, TLS)의 공통 저(low) 인프라 활용에 대해 다소 모호한데, 이 TLS는 보안 기능 -인증, 데이터 보전성 및 데이터 프라이버시- 을 구현하기 위한 GSS-API에 대한 택일적인 방법이다; TLS는 디어크스(Dierks) 등의 "THE TLS Protocol, Version 1.0", IETF RFC 2246, 1999년 1월에 의해 기재되었다. LIPKEY는 분리 GSS-API 메커니즘이 전술한 SPKM로 계층화된 바 와 같이, SPKM에 영향을 준다.
비지(busy) 서버 시스템의 계산적 요구가 주어지면, 유연하고 경량(light weight)의 보안 동작이 필요하다. 따라서, 클라이언트 인증의 다수의 형태를 다루는 GSS-API-호환 메커니즘을 가지는 것이 바람직하다.
클라이언트와 서버 간에 메시지를 교환하는 보안 컨텍스트를 확립하는 방법, 데이터 처리 시스템, 장치 및 컴퓨터 프로그램 제품이 제시되고, 이는 GSS-API와 호환된다. 클라이언트는 서버로 제 1 메시지를 송신하고, 이 제 1 메시지는 클라이언트와 인증 토큰에 의해 생성된 제 1 대칭 비밀 키를 포함한다; 제 1 메시지는 서버와 관련된 퍼블릭 키 인증서로부터 퍼블릭 키를 안전하게 된다. 서버가 인증 토큰을 토대로 클라이언트를 인증할 수 있다고 가정하면, 클라이언트는 서버로부터 제 2 메시지를 수신하며, 이 제 2 메시지는 제 1 대칭 비밀 키로 안전하게 되고 제 2 대칭 비밀 키를 포함한다. 클라이언트와 서버는 제 2 대칭 비밀 키를 채택하여 클라이언트와 서버 사이의 후속 메시지를 안전하게 한다. 인증 토큰은 클라이언트, 사용자 이름-패스워드 쌍, 또는 보안 티켓과 관련된 퍼블릭 키 인증이 될 수도 있다.
본 발명의 바람직한 실시예가 이하의 도면을 참조하여 예를 통해 상세하게 기술될 것이다:
도 1a는 본 발명의 바람직한 실시예를 각각 구현할 수 있는 데이터 처리 시스템의 대표적인 네트워크를 나타낸다.
도 1b는 본 발명의 바람직한 실시예가 구현될 수 있는 데이터 처리 시스템 내에서 사용될 수도 있는 대표적인 컴퓨터 구조를 도시한다.
도 2는 개인이 디지털 인증서를 얻는 대표적인 방법을 나타내는 블록도이다.
도 3은 엔티티가 데이터 처리 시스템에 대해 인증될 디지털 인증서를 이용할 수도 있는 대표적인 방법을 나타내는 블록도이다.
도 4는 클라이언트와 서버 사이에 보안 통신 컨텍스트를 확립하는 대표적인 GSS-API-호환 메커니즘을 나타내는 데이터 흐름도이다.
도 5는 본 발명의 실시예에 따른 클라이언트와 서버 사이의 보안 통신 컨텍스트를 확립하는 대표적인 GSS-API-호환 메커니즘을 나타내는 데이터 흐름도이다.
일반적으로, 본 발명의 바람직한 실시예를 포함하거나 관련된 장치는 매우 다양한 데이터 처리 기술을 포함한다. 따라서, 종래기술에서와 같이, 분산 데이터 처리 시스템 내의 하드웨어 및 소프트웨어 요소의 대표적인 구성은 본 발명의 바람직한 실시예를 기술하기에 앞서 좀 더 상세히 기술한다.
이제 도면을 참조하면, 도 1a는 본 발명의 바람직한 실시예를 각각 구현할 수 있는 데이터 처리 시스템의 대표적인 네트워크를 나타낸다. 분산 데이터 처리 시스템(100)은 네트워크(101)를 포함하며, 이 네트워크는 분산 데이터 처리 시스템 내에서 서로 연결된 다양한 장치들 및 컴퓨터들 사이의 통신 링크를 제공하는데 이용된다. 네트워크(101)는 유선 또는 광섬유 케이블과 같은 영구적 연결이나, 전화기 또는 무선 통신을 통해 제공된 일시적 접속을 포함할 수도 있다. 도시된 예에서, 서버(102)와 서버(103)는 저장 유닛(104)과 함께 네트워크(101)에 연결된다. 추가로, 클라이언트(105-107)는 또한 네트워크(101)와 연결된다. 클라이언트(105-107)와 서버(102, 103)는 메인 프레임, 개인용 컴퓨터, 개인용 디지털 보조장치(PDAs) 등과 같은 다양한 컴퓨팅 장치에 의해 표현될 수도 있다. 분산 데이터 처리 시스템(100)은 추가적인 서버와, 클라이언트와, 라우터와, 다른 장치들과, 도시되지 않은 피어 투 피어 구조를 포함할 수도 있다.
기재된 예에서, 분산 데이터 처리 시스템(100)은 네트워크의 세계적인 집합체를 표현하는 네트워크(101)와, 서로들 사이에서 통신하기 위해 LDAP(Lightweight Directory Access Protocol), TCP/IP(Transport Control Protocol/Internet Protocol), HTTP(Hypertext Transport Protocol), WAP(Wireless Application Protocol) 등과 같은 다양한 프로토콜을 이용하는 게이트웨이를 갖는 인터넷을 포함할 수도 있다. 물론, 분산 데이터 처리 시스템(100)은 또한 예컨대, 인트라넷, LAN 또는 WAN과 같은 다수의 상이한 형태의 네트워크를 포함할 수도 있다. 예컨대, 서버(102)는 클라이언트(109)와 네트워크(110)를 직접 지원하고, 무선 통신 링크와 통합한다. 네트워크-가능한 전화기(111)는 무선 링크(112)를 통해 네트워크(110)와 연결하고, PDA(113)는 무선 링크(114)를 통해 네트워크(110)와 연결한다. 전화기(111) 및 PDA(113)는 또한 블루투스(Bluetooth™) 무선 기술과 같은 적절한 기술을 이용하여 무선 링크(115)를 통해 서로 데이터를 직접적으로 전달할 수 있으므로, 소위 개인 영역 네트워크(personal area network, PAN) 또는 개인 전용 네트워크(personal ad-hoc network)를 생성한다. 유사한 방식으로, PDA(113)는 무선 통신 링크(116)를 통해 PDA(107)를 전달할 수 있다.
본 발명의 바람직한 실시예는 다양한 하드웨어 플랫폼상에서 구현될 수 있다. 도 1a는 본 발명의 바람직한 실시예에 대하여 이종 컴퓨팅 환경의 예를 의도한 것이지 구조적 제한을 의도한 것은 아니다.
이제, 도 1b를 참조하면, 도면은 도 1a에 도시된 바와 같은 데이터 처리 시스템의 대표적인 컴퓨터 구조를 도시하고, 그 구조에서 본 발명의 바람직한 실시예가 구현될 수도 있다. 데이터 처리 시스템(120)은 내부 시스템 버스(123)와 연결된 하나 또는 그 이상의 중앙 처리 장치(CPU, 122)를 포함하는데, 이 버스는 RAM(124), ROM(126) 및 입출력 어댑터(128)와 상호연결되고, 이 입출력 어댑터는 프린터(130), 디스크 유닛(132) 또는 다른 도시되지 않은 장치 -오디오 출력 시스템 등과 같은- 들과 같은 다양한 I/O장치들을 지원한다. 시스템 버스(123)는 또한 통신 링크(136)로의 액세스를 제공하는 통신 어댑터(134)와 연결한다. 사용자 인터페이스 어댑터(148)는 키보드(140)와 마우스(142) 등과 같은 다양한 사용자 장치들 또는 터치 스크린, 스타일러스(stylus), 마이크로폰 등과 같은 도시되지 않은 다른 장치들과 연결한다. 디스플레이 어댑터(144)는 시스템 버스(123)를 디스플레이 장치(146)와 연결한다.
도 1b의 하드웨어가 시스템 구현에 따라 변할 수도 있는 것은 이 기술분야의 숙련자들은 이해할 것이다. 예컨대, 시스템은 인텔(Intel®) 펜티엄(Pentium®)기반의 프로세서와 디지털 신호 프로세서(DSP)와 같은 하나 또는 그 이상의 프로세서와, 하나 또는 그 이상의 형태의 휘발성 및 비-휘발성 메모리를 구비할 수도 있다. 다른 주변 장치들은 도 1b에 도시된 하드웨어 대신에 또는 부수적으로 이용될 수도 있다. 도시된 예는 본 발명의 바람직한 실시예에 대해서 구조적인 제한을 암시하도록 의미하지 않는다.
다양한 하드웨어 플랫폼상에서 구현될 수 있는 것에 추가로, 본 발명의 바람직한 실시예는 다양한 소프트웨어 환경에서 구현될 수도 있다. 대표적인 운영 체계는 각 데이터 처리 시스템 내에서 프로그램 실행을 제어하도록 사용될 수도 있다. 예컨대, 다른 장치가 단순한 자바(Java®)실행 환경을 포함하는 반면에, 하나의 장치는 유닉스(UNIX®)운영 체제에서 구동할 수도 있다. 대표적인 컴퓨터 플랫폼은 브라우저를 포함할 수도 있는데, 이 브라우저는, 그래픽 파일, 워드 처리 파일, XML(Extensible Markup Language), HTML(Hypertext Markup Language), HDML(Handheld Device Markup Language), WML(Wireless Markup Language) 및 다양한 다른 포맷과 파일의 형태와 같은 다양한 포맷에서 하이퍼텍스트 문서에 액세스하기 위한 잘 알려진 소프트웨어 애플리케이션이다.
본 명세서의 도면의 기재는 클라이언트 장치 또는 클라이언트 장치의 사용자 중 어느 하나에 의한 임의의 동작을 포함한다. 이 기술분야의 숙련자는 응답 및/ 또는 클라이언트에/로부터(to/from) 응답은 때때로 사용자에 의해 개시되고, 다른 시간에서는 종종 클라이언트의 사용자를 대신하여 클라이언트에 의해 자동으로 개시된다. 따라서, 클라이언트 또는 클라이언트의 사용자가 도면의 기재에서 언급되면, 이는 용어 "클라이언트" 및 "사용자"가 그 기재된 과정들의 의미에 심각하게 영향을 주지않고 상호 사용될 수 있는 것이 이해되어야 한다.
본 발명의 바람직한 실시예는, 도 1a 및 도 1b에 관해서 전술한 바와 같이, 다양한 하드웨어 및 소프트웨어 플랫폼상에서 구현될 수도 있다. 더욱 상세하게는, 본 발명의 바람직한 실시예는 GSS-API에 적합한 클라이언트 및 서버 사이의 통신을 위한 보안 콘텍스트를 확립하는 향상된 공개-키-기반의 메커니즘을 가리킨다; 보안 콘텍스트는, 다중 보안 메시지가 통신하는 엔티티들 사이에서 상호교환될 수도 있는 동안에, 통신 세션의 존속기간 동안 둘 또는 그 이상의 통신하는 엔티티들 사이에서 공유되는 정보를 포함한다. 본 발명의 바람직한 실시예를 좀 더 상세히 기재하기에 앞서, 디지털 인증서에 대한 일부 종래의 정보는 동작 효율 및 본 발명의 바람직한 실시예의 장점을 평가하기 위해 제공된다.
디지털 인증서는 통신 또는 트랜잭션이 수반되는 퍼블릭 키 암호화를 지원하는데, 이 통신 또는 트랜잭션은 쌍방이 퍼블릭 키 및 비밀 키로 일컫는 키의 쌍을 가진다. 쌍방의 퍼블릭 키는, 비밀 키가 비밀이 유지되는데 반해, 각각 공개된다. 퍼블릭 키는 특정 엔티티와 관련된 개수이며, 그 엔티티와 신뢰성 있는 상호 작용을 가지는데 필요한 누구에게나 공개되도록 계획된다. 비밀 키는 단지 특정 엔티티 - 즉, 비밀이 유지되는- 에게 공개되어야만 하는 개수이다. 대표적인 비대칭 암호화 시스템에서, 비밀 키는 정확히 하나의 퍼블릭 키에 대응한다.
퍼블릭 키 암호화 시스템 내에서, 모든 통신들이 단지 퍼블릭 키만 포함하고 그리고 비밀 키는 전달되거나 공유되지 않기 때문에, 은밀한 메시지는 단지 공개 정보를 이용하여 생성될 수 있고 그리고 의도한 수신자만이 소유하는 비밀 키만을 이용하여 해독될 수 있다. 추가로, 퍼블릭 키 암호화는 인증 -즉, 디지털 서명- 뿐만 아니라 프라이버시 -즉, 암호화- 를 위해 사용될 수 있다.
암호화는 비밀 해독 키 없이 누구나에 의해서 판독될 수 없는 형태로 데이터를 변환한다; 암호화는, 암호화된 데이터를 볼 수 있는 사람들이라도 의도하지 않은 모두로부터 감추어진 정보의 내용을 유지함으로써 프라이버시를 보증한다. 인증은 디지털 메시지의 수신자가 송신자의 식별자 및/또는 메시지의 무결성을 확신하게 될 수 있는 과정이다.
예컨대, 송신자가 메시지를 암호화하면, 수신자의 퍼블릭 키는 그 원래의 메시지 내의 데이터를 암호화된 콘텐츠로 변환하는데 사용된다. 송신자는 의도된 수신자의 퍼블릭 키를 이용하여 암호화하고, 수신자는 그의 비밀 키를 이용하여 그 암호화된 메시지를 해독한다.
데이터를 인증할 때, 데이터는 서명자의 비밀 키를 이용하여 그 데이터로부터 디지털 서명을 컴퓨팅함으로써 서명될 수 있다. 일단 그 데이터가 디지털적으로 서명되면, 서명자의 식별자 및 그 데이터가 서명자로부터 기원하였음을 증명하는 서명과 함께 저장될 수 있다. 서명자는 그의 비밀 키를 이용하여 데이터에 서명하고, 수신자는 서명자의 퍼블릭 키를 이용하여 그 서명을 확인한다.
인증서는 개인, 컴퓨터 시스템, 시스템에서 구동하는 특정 서버 등과 같은 엔티티의 식별자 및 키 소유에 대해 보증한다. 인증서는 인증 기관에 의해 발급된다. 인증 기관(CA)은 엔티티이고, 보통 트랜잭션에 대해 신뢰성 있는 제 3 자이며, 다른 사람들이나 엔티티를 위해 인증서에 서명하거나 발급하도록 신뢰된다. CA는 보통 인증서가 서명된 엔티티를 신뢰하도록 하는 퍼블릭 키와 그것의 소유자 간의 결합을 보증하는 다양한 종류의 법률적 책임성을 갖게 된다. 많은 상업적 인증 기관이 있다; 이러한 기관은, 그 인증서를 발급할 때, 엔티티의 식별자 및 키 소유자를 확인할 책임이 있다.
만일 인증 기관이 엔티티를 위해 인증서를 발급하면, 엔티티는 그 엔티티에 대한 퍼블릭 키와 일부 정보를 제공해야 한다. 웹 브라우저가 특별하게 장착된 바와 같은 소프트웨어 도구는 이러한 정보를 디지털적으로 서명할 수도 있으며, 그것을 인증 기관에 송신한다. 인증 기관은 신뢰성 있는 제 3 자 인증 기관 서비스를 제공하는 상업적 회사가 될 수도 있다. 그러면, 인증 기관은 인증서를 생성하고 그것을 반환한다. 인증서는 인증서가 허가하는 기간의 일련 번호 및 날짜와 같은 다른 정보를 포함할 수도 있다. 인증 기관에 의해 제공된 그 값의 일부는 확인 필요성의 일부를 기반으로 중립적이고 신뢰성 있는 안내 서비스로서 사용되고, 이는 공개적으로 그들의 인증 서비스 실무(Certification Service Practices)에서 공개된다.
CA는 다른 식별하는 정보와 함께 요청하는 엔티티의 퍼블릭 키를 내장함으로써 그리고 CA의 비밀 키로 디지털 인증서에 서명함으로써 새로운 디지털 인증서를 생성한다. 트랜잭션 또는 통신 기간에 디지털 인증서를 수신한 자는 CA의 퍼블릭 키를 이용하여 그 인증서 내의 서명된 퍼블릭 키를 확인할 수 있다. 이러한 의도는 CA의 서명이 디지털 인증서상에서 마치 부정조작 방지용 봉인과 같이 동작하므로, 인증서에서 데이터의 무결성을 확신한다.
또한, 인증서 처리의 다른 점이 규격화된다. 인증서 요청 메시지 포맷(CRMF)(RFC 2511)은 신뢰하는 자가 CA로부터 인증서를 요청할 때마다 사용하도록 추천되었던 포맷을 기술한다. 인증서 관리 프로토콜은 또한 인증서 전달을 위해 보급되어왔다. 본 발명의 바람직한 실시예는 디지털 인증서를 채택한 분산 데이터 처리 시스템에 잔재한다; 도 2-3의 기재는 디지털 서명을 포함하는 대표적인 동작에 대한 종래의 정보를 제공한다.
이제 도 2를 참조하면, 개인이 디지털 인증서를 얻는 대표적인 방식을 도시하는 블록도이다. 클라이언트 컴퓨터의 일부 형태로 동작하는 사용자(202)는 공개/비밀 키 쌍, 예컨대 사용자 퍼블릭 키(204) 및 사용자 비밀 키(206)를 미리 얻거나 생성한다. 사용자(202)는 사용자 퍼블릭 키(204)를 포함하는 인증서(208) 요청을 생성하고, 이는 CA 퍼블릭 키(212)와 CA 비밀 키(214)를 소유하는 인증 기관(210)으로 그 요청을 송신한다. 인증 기관(210)은 일부 방식으로 사용자(202)의 식별자를 확인하고, 사용자 퍼블릭 키(218)를 포함하는 X.509 디지털 인증서(216)를 발생한다. 전체 인증서는 CA 비밀 키(214)로 서명되고; 그 인증서는 사용자의 퍼블릭 키와, 사용자와 관련된 이름과, 다른 속성을 포함한다. 사용자(202)는 새롭게 생성된 디지털 인증서(216)를 수신하고, 이어 사용자(202)는 신뢰성 있는 트랜잭션 또는 신뢰성 있는 통신에 연동할 필요가 있음에 따라 디지털 인증서를 제시할 수도 있다. 사용자(202)로부터 디지털 인증서(216)를 수신하는 엔티티는 CA 퍼블릭 키(212)를 이용함으로써 CA의 서명을 확인할 수도 있으며, 이 퍼블릭 키는 공개되어 엔티티를 확인하는데 이용할 수 있다.
이제, 도 3을 참조하면, 블록도는, 엔티티가 데이터 처리 시스템에 대해 인증되도록 디지털 인증서를 이용하는 대표적인 방식으로 도시한다. 사용자(302)는 X.509 디지털 인증서(304)를 소유하고, 이 인증서는 호스트 시스템(308) 상에서 인터넷 또는 인트라넷 애플리케이션(306)에 전송된다; 애플리케이션(306)은 디지털 인증서를 처리하고 사용하는 X.509 기능을 포함한다. 사용자(302)는 그의 비밀 키로 애플리케이션(306)에 전송할 데이터에 서명하거나 암호화한다.
인증서(304)를 수신한 엔티티는 애플리케이션, 시스템, 서브시스템 등이 될 수도 있다. 인증서(304)는 애플리케이션(306)에 대해 사용자(302)를 식별하는 주체 이름(subject name) 또는 주체 식별자(subject identity)을 포함하고, 이 애플리케이션은 사용자(302)에 대한 일부 형태의 서비스를 수행할 수도 있다. 인증서(304)를 이용하는 엔티티는, 사용자(302)로부터의 서명된 또는 암호화된 데이터에 대해서 인증서를 이용하기 전에 그 인증서의 진품 여부를 확인한다.
또한, 호스트 시스템(308)은 시스템(308) 내에서 서비스와 자원에 액세스하는 사용자(302)를 허가하는데 이용되는 시스템 레지스트리(310)를 포함할 수도 있다. 예컨대, 시스템 관리자는 사용자의 식별자가 보안 그룹에 확실하게 속하도록 구성될 수도 있고, 사용자는 전체적으로 보안 그룹에 대해 이용가능하도록 구성된 그러한 자원만 액세스할 수도 있도록 제한된다. 권한부여 구조가 부여된 다양하게 공지된 방법은 시스템 내에서 채택될 수도 있다.
디지털 인증서를 적절히 인가하고 확인하기 위해서, 애플리케이션은 그 인증서가 폐기되었는지 여부를 검사하여야 한다. 인증 기관이 그 인증서를 발급하면, 그 인증 기관은 인증서가 식별되도록 하는 단일 일련 번호를 생성하고, 이 일련 번호는 X.509 인증서 내의 "일련번호(Serial Number)" 필드 내에 저장된다. 대표적으로, 폐기된 X.509 인증서는 그 인증서의 일련번호를 통해 CRL내에서 식별된다; 폐기된 인증서의 일련번호는 CRL 내의 일련번호 리스트에서 나타난다.
인증서(304)가 여전히 유효한지에 대한 여부를 판정하기 위해서, 애플리케이션(306)은 CRL 저장부(312)로부터 인증서 폐기 리스트(CRL)를 얻고 그 CRL을 유효화시킨다. 애플리케이션(306)은 인증서 내의 일련번호와 복구된 CRL내의 일련번호 리스트를 비교하고, 만일 CRL이 일치하는 일련번호를 가진다면, 인증서(304)는 거부될 것이고, 애플리케이션(306)은 임의의 제어된 자원에 대한 사용자의 액세스 요청을 거부할 적절한 조치를 취할수 있다.
도 3은 클라이언트가 서버 액세스용 디지털 인증서를 채택하기 위한 진정방법을 도시하는 반면에, 도 4는 도 3과 관련하여 기술되지 않은 보안 통신 콘텍스트를 확립하는 클라이언트와 서버 사이의 정보 전달을 상세하게 도시한다.
도 4를 참조하면, 데이터 흐름도는 클라이언트와 서버 사이에 보안 통신 콘텍스트를 확립하는 대표적인 GSS-API-호환 메커니즘을 도시한다. 그 과정은 서버 의 퍼블릭 키 인증서(단계 406)에 대해서 서버로의 요청을 클라이언트(402)로 송신하는 것으로서 개시한다. 서버는 그 요청을 처리하고, 서버의 퍼블릭 키 인증서의 복제를 수반하거나 포함하는 응답을 생성하고(단계 408), 요청하는 클라이언트에게 반환된다(단계 410).
클라이언트는 서버의 퍼블릭 키 인증서를 허가하고 세션 키(412)를 생성한다(단계 412); 세션 키는 바람직하게 대칭 비밀 키이다. 이어, 클라이언트는 안전하게 그 세션 키를 서버로 송신한다(단계 414). 예컨대, 클라이언트는 서버의 퍼블릭 키 인증서로부터 미리 추출되었던 서버의 퍼블릭 키로서 그 세션 키를 암호화한다. 이 암호화된 세션 키는 클라이언트의 비밀 키로 디지털적으로 서명된 메시지에 배치된다. 서버는 클라이언트의 퍼블릭 키로 그 메시지 상에 디지털 서명을 확인하여, 클라이언트에 의해 그 메시지가 생성되었고 서명된 메시지라는 것을 보장할 수 있고, 그리고 그 세션 키는 단지 서버에 의해서 해독될 수 있다. 디지털 엔빌로프와 디지털 서명에 대해서 응용 가능한 포맷의 기재에 대해서 "PKCS #7: 암호 메시지 체계 규격(Cryptographic Message Syntax Standard)", 버전 1.5, RSA 실험실 기술 노트, 11/01/1993을 참조하라.
서버는 후속 그 세션 키 -예컨대, 클라이언트의 디지털 서명을 확인하고 그 세션 키를 해독한 후에- 를 받고, 이어 보안 응답을 생성하되(단계 416), 이 응답은 클라이언트로 반환된다(단계 418). 이어 클라이언트는 클라이언트 인증 토큰을 생성하고 암호화하고(단계 420), 안전하게 클라이언트 인증 토큰을 서버로 송신한다(단계 422). 수신된 메시지로부터 클라이언트 인증 토큰을 추출한 후에, 서버는 클라이언트를 인증하고 응답을 생성하되(단계 424), 이 응답은 클라이언트로 안전하게 반환된다(단계 426). 이어, 클라이언트는 그 클라이언트가 서버에 의해 긍정적 인증 여부 또는 서버가 그 클라이언트의 인증 요청을 거절했는지 여부를 판정하기 위해서 응답을 분석하고(단계 428), 그 과정이 종료된다.
전술한 바와 같이, 도 4는 공지된 GSS-API-호환 메커니즘에 따라 보안 통신 콘텍스트를 확보하는 대표적인 방법을 도시한다. 역으로, 본 접근은, 잔여 도면에 관하여 이하에서 기술되는 바와 같이, 보안 통신 콘텍스트를 확립하는 향상된 공개-키-기반의 GSS-API-호환 메커니즘을 가리킨다.
이제, 도 5를 참조하면, 데이터 흐름도는 본 발명의 바람직한 실시예에 따라 서버와 클라이언트 사이에서 보안 통신 콘텍스트를 확립하는 대표적인 GSS-API-호환 메커니즘을 도시한다. 그 과정은 클라이언트(502)가 서버(504)로 요청을 송신하여 서버의 퍼블릭 키 인증서를 얻음으로써 개시된다 -예컨대, 클라이언트가 서버 애플리케이션을 바인딩하려고 시도할 때- (단계 506). 그 요청을 받으면, 서버는 요청을 처리하고 서버의 퍼블릭 키 인증서의 사본을 포함하거나 수반한 응답을 생성하며(단계 508), 그 응답은 요청한 클라이언트로 반환된다(단계 510).
서버의 디지털 인증서를 수신한 후에, 클라이언트는 서버의 퍼블릭 키 인증서를 인가하고, 그것이 신뢰성 있는 인증 기관에 의해 서명되었음을 보장한다(단계 512). 클라이언트가 이 서버의 퍼블릭 키 인증서의 사본을 인가하고 저장한 것을 인식할 수도 있으므로, 클라이언트가 로컬 캐시로부터 그것을 복구함으로써 서버의 인증서를 얻도록 한다는 점을 주의해야 한다. 택일적으로, 서버의 퍼블릭 키 인증 서는, 예컨대 디렉토리 또는 유사한 데이터 저장부로부터 클라이언트에 의해 서버의 퍼블릭 키 인증서의 복구를 통해, 일부 다른 방식으로 제공될 수도 있다.
서버의 인증서가 긍정적으로 허가되는 것을 보장하면, 클라이언트는 인증서와 캐시로부터 서버의 퍼블릭 키를 추출한다. 이어, 클라이언트는 그 인증 토큰과 함께 랜덤 대칭 비밀 키를 생성한다(단계 514); 이 특별한 비밀 키는 본 명세서에서 전송 키(transport key)로서 인용된다. 인증 토큰은 사용자이름-패스워드 쌍, 주요 인증자로터의 시간이 기록된 보안 티켓, 클라이언트와 관련된 퍼블릭 키 인증서, 또는 일부 다른 인증가능한 정보를 포함할 수도 있다; 클라이언트는, 적절할 때, 보안 티켓과 같이, 단지 데이터 항목을 복사함으로써, 인증 토큰을 생성할 수도 있다.
이어, 클라이언트는 서버로 전송 키와 인증 토큰을 송신한다(단계 516). 클라이언트에서 서버로의 전송 키와 인증 토큰의 전송은 서버의 퍼블릭 키를 이용한 암호화를 통한 일부 방식으로 보안된다. 예컨대, 전송 키와 인증 토큰은 서버의 퍼블릭 키를 이용하여 암호화되어 서버로 송신되는 메시지 상에서 디지털 엔빌로프를 형성할 수도 있다. 택일적으로, 전송 키와 인증 토큰은 서버에 대한 메시지를 포함하기 위해 개별적으로 암호화될 수도 있다.
클라이언트로부터 보안 메시지를 수신하면, 서버는 서버의 비밀 키로 디지털 엔빌로프를 해독한다. 이어, 서버는, 서버로 송신되었던 인증 토큰의 유형에 적절한 과정을 이용하여 -즉, 클라이언트에 의해 서버로 송신되었던 인증 토큰의 유형을 기반으로- 클라이언트 또는 클라이언트의 사용자를 인증한다(단계 518). 예컨대, 서버는 사용자이름-패스워드 쌍을 위한 LADP 룩업을 수행하거나, 보안 티켓 -예컨대, 케베로스 티켓(Kerberos ticket)- 을 인가할 수도 있다. 인증 토큰이 클라이언트 인증서인 경우에, 인증은 서버가 클라이언트 퍼블릭 키(디지털 엔빌로프)에 의해 암호화된 랜덤 세션 키로 응답할 때 달성되는데, 이 클라이언트 퍼블릭 키는 진정한 클라이언트만이 클라이언트 인증서에서 그 퍼블릭 키와 관련된 비밀 키를 이용하여 해독할 수 있다; 디지털 엔빌로프는, 클라이언트가 서버로 송신하여 중재자 공격(man in the middle attack)을 방지하는, 전송 키 하에서 여전히 암호화되어 송신된다. 클라이언트가 인증된 것으로 가정하면, 서버는 클라이언트와 서버 사이에서 생성된 통신 콘텍스트 내의 메시지가 안전하게 하기 위하여 사용될 랜덤 대칭 비밀 키를 생성한다(단계 520); 이러한 특별한 비밀 키는 본 명세서에서 세션 키로서 인용된다.
이어, 서버는 클라이언트로 세션 키를 안전하게 송신한다(단계 522). 서버에서 클라이언트로의 세션 키의 전송은 전송 키를 이용하여 암호화를 통한 일부 방식으로 안전하게 된다. 예컨대, 서버는 세션 키를 서버가 전송 키로 암호화하는 세션 토큰에 둘 수도 있다; 이어, 서버는 암호화된 세션 토큰을 서버가 클라이언트의 퍼블릭 키로 봉인한 메시지에 둘 수도 있고, 전송 키로 그 결과적인 엔빌로프를 암호화할 수도 있다. 택일적으로, 서버는, 그 암호화된 세션 키를 클라이언트에 전송하도록 메시지에 두기 전에, 세션 키를 개별적으로 암호화하는데 전송 키를 이용할 수도 있다. 보안 메시지를 생성하는 다른 예로서, 서버는 전송 키를 이용하여 세션 키를 포함하는 메시지 상에서 디지털 엔빌로프를 생성할 수도 있다.
메시지를 수신한 후에, 클라이언트는 전송 키를 이용하여 메시지의 적절한 부분을 해독하고 세션 키를 추출함으로써(단계 524), 그 과정을 종료한다. 사용되는 인증 메커니즘에 따르면, 서버는 상이한 포맷으로 메시지를 생성할 수도 있다; 따라서, 클라이언트는 세션 토큰으로부터 직접 세션 키를 얻거나, 클라이언트는, 만일 서버가 또한 클라이언트의 퍼블릭 키를 이용하여 세션 키를 암호화하거나 그 세션 키가 포함된 메시지의 일부를 암호화한다면, 클라이언트의 비밀 키로서 세션 키를 해독할 필요가 있을 수도 있다. 추가로, 클라이언트와 서버 간의 메시지는 응답 공격(reply attack)에 대항하여 안전을 지키기 위해 일련 번호를 포함할 수도 있다.
이 과정이 종료되면, 클라이언트와 서버는 클라이언트와 서버 사이의 메시지를 안전하게 하도록 다음에 채용된 세션 키의 사본을 둘 모두가 소유하므로, 클라이언트와 서버 사이의 통신 콘텍스트를 위해 데이터 신뢰성 및 데이터 무결성을 안전하게 보장한다. 예컨대, 클라이언트는 세션 키를 이용하여 안전하게 요청 메시지를 서버로 송신하여 서버에 의해 제어되는 자원을 액세스할 수도 있다. 이 기술분야의 숙련자는 그 세션 키가 서버와 클라이언트 사이의 주어진 통신 세션을 위해 채용될 수도 있고, 서버와 클라이언트 사이의 그 주어진 통신 세션은 서버와 클라이언트 사이의 및/또는 다른 서버들 -본 발명의 바람직한 실시예에 따른 GSS-API-호환 메커니즘에 의해 제공된 보안 콘텍스트 내에서의 또는 일부 다른 메커니즘에 의해 제공된 보안 콘텍스트 내에서의- 의 다른 보안 통신 세션과 동시에 발생할 수도 있으며, 그리고 그 주어진 통신 세션이 이러한 동시에 발생하는 세션이 계속되 도록 하는 한편 종료될 수도 있다는 것을 이해해야 한다.
이러한 접근의 장점은 위에서 제공된 상세한 설명에 비추어 투명해야 한다. 보안 통신 콘텍스트를 확립하기 위한 종래 기술의 GSS-API-호환 메커니즘과 비교하면, 본 발명의 바람직한 실시예는, 이전에 구현된 사용자이름-패스워드 솔루션과 동일한 GSS-API-호환 메커니즘을 계속해서 사용하는 한편, 필요에 따른 원칙상에서 클라이언트-서버 인증 동작의 사용자이름-패스워드 유형에서 전체 공개-키 구조(PKI) 솔루션에 이르기까지의 확장 가능성을 제공한다. 추가로, 본 발명의 바람직한 실시예는 클라이언트가 퍼블릭 키 인증서를 이용하여 인증되도록 하나, LIPKEY는 인증되지 않는다. 더욱이, 본 발명의 바람직한 실시예는, 사용자이름-패스워드, 보안 티켓, 또는 퍼블릭 키 인증서 등과 같이, SPKM이 지원되지 않은 다양한 클라이언트 인증 메커니즘을 허락한다. 또한, 본 발명의 바람직한 실시예는, 예컨대 클라이언트와 서버 사이에서 LIPKEY의 6개의 메시지 대신에 4개의 메시지가 교환되므로, LIPKEY와 비교하여 네트워크 트래픽과 암호 동작을 최소화한다.
본 발명의 바람직한 실시예가 전체적으로 기능적인 데이터 처리 시스템의 콘텍스트에서 기재되었지만, 본 발명의 바람직한 실시예의 과정들이, 특정한 유형의 신호 기반 매체가 배포를 수행하는데 이용되는 것과 관계없이, 컴퓨터 판독 가능한 매체와 다양한 다른 형태에서 명령어의 형태로 배포될 수 있다는 것을 이 기술분야의 숙련자가 이해할 것이라는 점을 주목하는 것이 중요하다. 컴퓨터 판독 가능한 매체는 EPROM, ROM, 테이프, 페이퍼, 플로피 디스크, 하드 디스크 드라이브, RAM 및 CD-ROM 등과 같은 매체 및 디지털 및 아날로그 통신 링크와 같은 전송용 매체를 포함한다.
방법은 대체로 원하는 결과를 이끄는 일련의 일관성 있는 단계가 되도록 인식된다. 이러한 단계는 물리적 정량의 물리적 조작이 필요하다. 통상적으로, 반드시 필요하지 않을지라도, 이러한 정량이 저장되고, 전달되고, 결합되고, 비교되고, 그렇지 않으면 조작될 수 있는 전기적 또는 자기적 신호의 형태를 취한다. 보통의 사용에 대한 이유를 때때로, 원리적으로 비트, 수치, 파라미터, 항목, 요소, 물체, 심볼, 캐릭터, 용어, 숫자 등과 같이 이러한 신호를 인용하는 것이 편리하다. 그러나, 이러한 용어들 및 유사한 용어들 모두가 적당한 물리적 정량과 관련되어 있고, 편리한 라벨은 이러한 정량이 적용되지 않는 것에 주의해야 한다.
본 발명의 바람직한 실시예의 기재는 설명을 위해 제시되었지만 그 기재된 실시예를 소모시키거나 제한하려는 의도는 아니다. 많은 수정과 변경이 이 기술분야의 당업자에게는 자명할 것이다.

Claims (6)

  1. 제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트(context) 확립 방법으로서,
    퍼블릭 키를 포함하는 제 1 퍼블릭 키 인증서를 인증할 수 있는 상기 제 2 시스템에 의해서 상기 제 1 시스템의 상기 제 1 퍼블릭 키 인증서를 획득하는 단계와,
    상기 제 2 시스템에 의해서 대칭 비밀 키인 전송 키(transport key)를 발생시키는 단계와,
    상기 제 2 시스템에 의해서 상기 전송 키와 인증 토큰을 상기 퍼블릭 키로 보안된 제 1 메시지 내에 위치시키는 단계와,
    상기 제 1 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템으로 송신하는 단계와,
    상기 제 1 메시지를 상기 제 1 시스템으로 송신한 것에 대한 응답으로, 상기 전송 키로 보안된 제 2 메시지를 상기 제 2 시스템에서 상기 제 1 시스템으로부터 수신하는 단계와,
    상기 제 2 시스템의 제 2 퍼블릭 키 인증서와 관련된 비밀 키를 이용하는 상기 제 2 시스템에 의해서, 대칭 비밀 키인 세션 키를 포함하는 상기 제 2 메시지에서 디지털 엔빌로프(envelope)를 해독하는 단계와,
    상기 제 2 시스템에 의해서 상기 제 2 메시지로부터 상기 세션 키를 추출하는 단계와,
    상기 세션 키를 사용하여 상기 제 2 시스템에 의해서 상기 제 1 시스템으로 송신된 후속 메시지를 보안하는 단계를 포함하되,
    상기 인증 토큰은 상기 제 2 퍼블릭 키 인증서를 포함하고, 상기 제 1 시스템은 상기 제 2 퍼블릭 키 인증서를 인증할 수 있으며,
    상기 디지털 엔빌로프는 상기 제 2 퍼블릭 키 인증서에 포함된 퍼블릭 키를 이용하여 상기 제 1 시스템에 의해 생성되는
    제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법.
  2. 제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트(context) 확립 방법으로서,
    상기 제 1 시스템에 의해서 상기 제 1 시스템과 관련된 퍼블릭 키 인증서를 제공하는 단계 - 상기 제 2 시스템은 상기 퍼블릭 키 인증서를 인증할 수 있음 - 와,
    제 1 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템에서 수신하는 단계 - 상기 제 1 메시지는 상기 제 1 시스템과 관련된 상기 퍼블릭 키 인증서로부터의 퍼블릭 키로 보안되고, 상기 제 1 메시지는 전송 키와 인증 토큰을 포함하며, 상기 전송 키는 대칭 비밀 키임 - 와,
    상기 인증 토큰을 기반으로 상기 제 1 시스템에 의해서 상기 제 2 시스템을 인증하는 단계와,
    상기 제 1 시스템에 의해서 대칭 비밀 키인 세션 키를 생성하는 단계와,
    상기 제 1 시스템에 의해서 상기 세션 키를 상기 전송 키로 보안된 제 2 메시지 내로 위치시키는 단계와,
    상기 제 2 시스템과 관련된 퍼블릭 키 인증서에 포함된 퍼블릭 키를 이용하는 상기 제 1 시스템에 의해서, 상기 세션 키를 포함하는 상기 제 2 메시지에서 디지털 엔빌로프를 생성하는 단계와,
    상기 제 1 메시지를 수신하는 것에 응답하여 상기 제 1 시스템으로부터 상기 제 2 시스템으로 상기 제 2 메시지를 송신하는 단계와,
    상기 세션 키로 보안된 후속 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템에서 수신하는 단계를 포함하되,
    상기 인증 토큰은 상기 제 2 시스템과 관련된 상기 퍼블릭 키 인증서를 포함하는
    제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법.
  3. 데이터 처리 시스템에서 실행될 때, 상기 데이터 처리 시스템이 청구항 제 1 항에 따른 방법을 수행하도록 지시하는 컴퓨터 프로그램 코드를 포함하는 컴퓨터 판독 가능 기록 매체.
  4. 데이터 처리 시스템에서 실행될 때, 상기 데이터 처리 시스템이 청구항 제 2 항에 따른 방법을 수행하도록 지시하는 컴퓨터 프로그램 코드를 포함하는 컴퓨터 판독 가능 기록 매체.
  5. 제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트(context) 확립 장치로서,
    퍼블릭 키를 포함한 제 1 퍼블릭 키 인증서를 인증할 수 있는 상기 제 2 시스템에 의해서 상기 제 1 시스템의 상기 제 1 퍼블릭 키 인증서를 획득하는 수단과,
    상기 제 2 시스템에 의해서 대칭 비밀 키인 전송 키를 발생시키는 수단과,
    상기 제 2 시스템에 의해서 상기 전송 키와 인증 토큰을 상기 퍼블릭 키로 보안된 제 1 메시지 내에 위치시키는 수단과,
    상기 제 1 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템으로 송신하는 수단과,
    상기 제 1 시스템으로 상기 제 1 메시지를 송신한 것에 응답하여 상기 전송 키로 보안된 제 2 메시지를 상기 제 1 시스템으로부터 상기 제 2 시스템에서 수신하는 수단과,
    상기 제 2 시스템에 의해서 상기 제 2 메시지로부터 대칭 비밀 키인 세션 키를 추출하는 수단과,
    상기 세션 키를 사용하여 상기 제 2 시스템에 의해서 상기 제 1 시스템으로 송신된 후속 메시지를 보안하는 수단을 포함하되,
    상기 인증 토큰은 상기 제 2 시스템의 제 2 퍼블릭 키 인증서를 포함하고, 상기 제 1 시스템은 상기 제 2 퍼블릭 키 인증서를 인증할 수 있으며,
    상기 장치는,
    상기 제 2 퍼블릭 키 인증서와 관련된 비밀 키를 이용하는 상기 제 2 시스템에 의해서, 상기 세션 키를 포함하는 상기 제 2 메시지에서 디지털 엔빌로프를 해독하는 수단을 더 포함하되,
    상기 디지털 엔빌로프는 상기 제 2 퍼블릭 키 인증서에 포함된 퍼블릭 키를 이용하여 상기 제 1 시스템에 의해 생성되는
    제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 장치.
  6. 제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트(context) 확립 장치로서,
    상기 제 1 시스템에 의해서 상기 제 1 시스템과 관련된 퍼블릭 키 인증서를 제공하는 수단 - 상기 제 2 시스템은 상기 퍼블릭 키 인증서를 인증할 수 있음 - 과,
    제 1 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템에서 수신하는 수단 - 상기 제 1 메시지는 상기 제 1 시스템과 관련된 상기 퍼블릭 키 인증서로부터 퍼블릭 키로 보안되고, 상기 제 1 메시지는 전송 키와 인증 토큰을 포함하며, 상기 전송 키는 대칭 비밀 키임 - 과,
    상기 인증 토큰을 기반으로 상기 제 1 시스템에 의해서 상기 제 2 시스템을 인증하는 수단과,
    상기 제 1 시스템에 의해서 대칭 비밀 키인 세션 키를 생성하는 수단과,
    상기 제 1 시스템에 의해서 상기 세션 키를 상기 전송 키로 보안된 제 2 메시지 내로 위치시키는 수단과,
    상기 제 1 메시지를 수신하는 것에 응답하여 상기 제 1 시스템에서 상기 제 2 시스템으로 상기 제 2 메시지를 송신하는 수단과,
    상기 세션 키로 보안된 후속 메시지를 상기 제 2 시스템으로부터 상기 제 1 시스템에서 수신하는 수단을 포함하되,
    상기 인증 토큰은 상기 제 2 시스템과 관련된 퍼블릭 키 인증서를 포함하고,
    상기 장치는,
    상기 제 2 시스템과 관련된 상기 퍼블릭 키 인증서에 포함된 퍼블릭 키를 이용한 상기 제 1 시스템에 의해서, 상기 세션 키를 포함하는 상기 제 2 메시지에서 디지털 엔빌로프를 생성하는 수단을 더 포함하는
    제 1 시스템과 제 2 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 장치.
KR1020067013803A 2004-01-08 2005-01-05 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체 KR100992356B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/753,842 US20050154889A1 (en) 2004-01-08 2004-01-08 Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol
US10/753,842 2004-01-08

Publications (2)

Publication Number Publication Date
KR20060123465A KR20060123465A (ko) 2006-12-01
KR100992356B1 true KR100992356B1 (ko) 2010-11-04

Family

ID=34739273

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067013803A KR100992356B1 (ko) 2004-01-08 2005-01-05 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체

Country Status (8)

Country Link
US (1) US20050154889A1 (ko)
EP (1) EP1714422B1 (ko)
JP (1) JP4600851B2 (ko)
KR (1) KR100992356B1 (ko)
CN (1) CN100574184C (ko)
AT (1) ATE367025T1 (ko)
DE (1) DE602005001613T2 (ko)
WO (1) WO2005069531A1 (ko)

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9794237B2 (en) * 2005-01-31 2017-10-17 Unisys Corporation Secured networks and endpoints applying internet protocol security
US7743254B2 (en) * 2005-03-23 2010-06-22 Microsoft Corporation Visualization of trust in an address bar
US7725930B2 (en) * 2005-03-30 2010-05-25 Microsoft Corporation Validating the origin of web content
JP4755472B2 (ja) * 2005-09-29 2011-08-24 ヒタチグローバルストレージテクノロジーズネザーランドビーブイ データ転送方法及びシステム
US7587045B2 (en) * 2005-10-03 2009-09-08 Kabushiki Kaisha Toshiba System and method for securing document transmittal
US8108677B2 (en) * 2006-10-19 2012-01-31 Alcatel Lucent Method and apparatus for authentication of session packets for resource and admission control functions (RACF)
EP1924047B1 (en) * 2006-11-15 2012-04-04 Research In Motion Limited Client credential based secure session authentication method and apparatus
EP1926278B1 (en) * 2006-11-22 2009-04-01 Research In Motion Limited System and method for secure record protocol using shared knowledge of mobile user credentials
US8285989B2 (en) 2006-12-18 2012-10-09 Apple Inc. Establishing a secured communication session
US8364975B2 (en) * 2006-12-29 2013-01-29 Intel Corporation Methods and apparatus for protecting data
US20080167888A1 (en) * 2007-01-09 2008-07-10 I4 Commerce Inc. Method and system for identification verification between at least a pair of entities
US7899188B2 (en) 2007-05-31 2011-03-01 Motorola Mobility, Inc. Method and system to authenticate a peer in a peer-to-peer network
US8528058B2 (en) 2007-05-31 2013-09-03 Microsoft Corporation Native use of web service protocols and claims in server authentication
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和系统
KR101351110B1 (ko) * 2007-08-24 2014-01-16 한국과학기술원 통신 시스템에서 암호화된 데이터 송수신 장치 및 방법
KR100981419B1 (ko) * 2008-01-31 2010-09-10 주식회사 팬택 디지털 권한 관리를 위한 사용자 도메인 가입방법 및 그정보 교환 방법
CA2621147C (en) * 2008-02-15 2013-10-08 Connotech Experts-Conseils Inc. Method of bootstrapping an authenticated data session configuration
DE202008007826U1 (de) 2008-04-18 2008-08-28 Samedi Gmbh Anordnung zum sicheren Austausch von Daten zwischen Dienstleister und Kunde, insbesondere zur Terminplanung
US9356925B2 (en) 2008-10-31 2016-05-31 GM Global Technology Operations LLC Apparatus and method for providing location based security for communication with a remote device
US8443431B2 (en) * 2009-10-30 2013-05-14 Alcatel Lucent Authenticator relocation method for WiMAX system
US9806890B2 (en) * 2010-05-19 2017-10-31 Koninklijke Philips N.V. Attribute-based digital signature system
CN102348201B (zh) * 2010-08-05 2014-02-19 华为技术有限公司 获取安全上下文的方法和装置
US9563751B1 (en) * 2010-10-13 2017-02-07 The Boeing Company License utilization management system service suite
US8769299B1 (en) 2010-10-13 2014-07-01 The Boeing Company License utilization management system license wrapper
EP2587715B1 (en) 2011-09-20 2017-01-04 BlackBerry Limited Assisted certificate enrollment
CN103095662B (zh) * 2011-11-04 2016-08-03 阿里巴巴集团控股有限公司 一种网上交易安全认证方法及网上交易安全认证系统
US9397980B1 (en) * 2013-03-15 2016-07-19 Microstrategy Incorporated Credential management
WO2015013412A1 (en) * 2013-07-23 2015-01-29 Azuki Systems, Inc. Media client device authentication using hardware root of trust
CN106170944B (zh) * 2014-01-31 2019-11-26 快普特奥姆特里有限公司 确保系统通信安全的方法、安全通信设备、公钥服务器
JP2015192377A (ja) * 2014-03-28 2015-11-02 富士通株式会社 鍵送信方法、鍵送信システム、及び鍵送信プログラム
US10021088B2 (en) * 2014-09-30 2018-07-10 Citrix Systems, Inc. Fast smart card logon
KR102021213B1 (ko) * 2014-10-31 2019-09-11 콘비다 와이어리스, 엘엘씨 엔드 투 엔드 서비스 계층 인증
US9735970B1 (en) * 2014-11-24 2017-08-15 Veewear Ltd. Techniques for secure voice communication
JP2018518854A (ja) 2015-03-16 2018-07-12 コンヴィーダ ワイヤレス, エルエルシー 公開キー機構を用いたサービス層におけるエンドツーエンド認証
US20160300234A1 (en) * 2015-04-06 2016-10-13 Bitmark, Inc. System and method for decentralized title recordation and authentication
EP3113501A1 (en) * 2015-06-29 2017-01-04 Nagravision SA Content protection
CN107852404A (zh) * 2015-06-30 2018-03-27 维萨国际服务协会 保密通信的相互认证
US9877123B2 (en) 2015-07-02 2018-01-23 Gn Hearing A/S Method of manufacturing a hearing device and hearing device with certificate
US9887848B2 (en) 2015-07-02 2018-02-06 Gn Hearing A/S Client device with certificate and related method
US10158953B2 (en) 2015-07-02 2018-12-18 Gn Hearing A/S Hearing device and method of updating a hearing device
US10318720B2 (en) 2015-07-02 2019-06-11 Gn Hearing A/S Hearing device with communication logging and related method
DK201570433A1 (en) 2015-07-02 2017-01-30 Gn Hearing As Hearing device with model control and associated methods
EP3113516B1 (en) * 2015-07-02 2023-05-31 GN Hearing A/S Hearing device and method of updating security settings of a hearing device
US10104522B2 (en) * 2015-07-02 2018-10-16 Gn Hearing A/S Hearing device and method of hearing device communication
US10158955B2 (en) 2015-07-02 2018-12-18 Gn Hearing A/S Rights management in a hearing device
US11070380B2 (en) 2015-10-02 2021-07-20 Samsung Electronics Co., Ltd. Authentication apparatus based on public key cryptosystem, mobile device having the same and authentication method
US10467421B2 (en) * 2015-10-23 2019-11-05 Oracle International Corporation Establishing trust between containers
US9832024B2 (en) 2015-11-13 2017-11-28 Visa International Service Association Methods and systems for PKI-based authentication
US9769142B2 (en) * 2015-11-16 2017-09-19 Mastercard International Incorporated Systems and methods for authenticating network messages
US9876783B2 (en) * 2015-12-22 2018-01-23 International Business Machines Corporation Distributed password verification
GB2547025A (en) 2016-02-05 2017-08-09 Thales Holdings Uk Plc A method of data transfer, a method of controlling use of data and a cryptographic device
CN105791301B (zh) * 2016-03-24 2019-04-30 杭州安恒信息技术股份有限公司 一种面向多用户组群信密分离的密钥分发管理方法
WO2018010957A1 (en) * 2016-07-12 2018-01-18 Deutsche Telekom Ag Method for providing an enhanced level of authentication related to a secure software client application provided by an application distribution entity in order to be transmitted to a client computing device; system, application distribution entity, software client application, and client computing device for providing an enhanced level of authentication related to a secure software client application, program and computer program product
US10348713B2 (en) 2016-09-16 2019-07-09 Oracle International Corporation Pluggable authentication for enterprise web application
CN107392591B (zh) * 2017-08-31 2020-02-07 恒宝股份有限公司 行业卡的在线充值方法、系统及蓝牙读写装置
CN109962767A (zh) * 2017-12-25 2019-07-02 航天信息股份有限公司 一种安全通信方法
EP3506560A1 (en) * 2017-12-29 2019-07-03 Nagravision S.A. Secure provisioning of keys
US11546310B2 (en) * 2018-01-26 2023-01-03 Sensus Spectrum, Llc Apparatus, methods and articles of manufacture for messaging using message level security
CN112019647A (zh) * 2018-02-12 2020-12-01 华为技术有限公司 一种获得设备标识的方法及装置
CN110166227B (zh) * 2018-02-12 2024-03-26 开利公司 与非联网控制器的无线通信
CN112019503B (zh) * 2018-03-01 2023-11-07 北京华为数字技术有限公司 一种获得设备标识的方法、通信实体、通信系统及存储介质
US11159333B2 (en) * 2018-06-25 2021-10-26 Auth9, Inc. Method, computer program product and apparatus for creating, registering, and verifying digitally sealed assets
US11777744B2 (en) * 2018-06-25 2023-10-03 Auth9, Inc. Method, computer program product and apparatus for creating, registering, and verifying digitally sealed assets
EP3895464A4 (en) * 2019-01-29 2022-08-03 Schneider Electric USA, Inc. SECURITY CONTEXT DISTRIBUTION SERVICE
US11805419B2 (en) * 2019-04-22 2023-10-31 Google Llc Automatically paired devices
US11469894B2 (en) * 2019-05-20 2022-10-11 Citrix Systems, Inc. Computing system and methods providing session access based upon authentication token with different authentication credentials
US11368444B2 (en) * 2019-09-05 2022-06-21 The Toronto-Dominion Bank Managing third-party access to confidential data using dynamically generated application-specific credentials
US11259082B2 (en) 2019-10-22 2022-02-22 Synamedia Limited Systems and methods for data processing, storage, and retrieval from a server
US11838413B2 (en) * 2019-10-22 2023-12-05 Synamedia Limited Content recognition systems and methods for encrypted data structures
CN111182004B (zh) * 2020-03-10 2022-01-04 核芯互联(北京)科技有限公司 Ssl握手方法、装置及设备
CN113299018A (zh) * 2021-06-22 2021-08-24 上海和数软件有限公司 一种atm的软件远程升级方法
CN113672898B (zh) * 2021-08-20 2023-12-22 济南浪潮数据技术有限公司 服务授权方法、授权设备、系统、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020080958A1 (en) 1997-09-16 2002-06-27 Safenet, Inc. Cryptographic key management scheme
US20040260363A1 (en) 2003-06-23 2004-12-23 Arx Jeffrey A. Von Secure long-range telemetry for implantable medical device

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5265164A (en) * 1991-10-31 1993-11-23 International Business Machines Corporation Cryptographic facility environment backup/restore and replication in a public key cryptosystem
JPH1056447A (ja) * 1996-08-12 1998-02-24 Nippon Telegr & Teleph Corp <Ntt> 非対称ネットワークシステムによる情報暗号化提供方法
JP3595109B2 (ja) * 1997-05-28 2004-12-02 日本ユニシス株式会社 認証装置、端末装置、および、それら装置における認証方法、並びに、記憶媒体
US6363154B1 (en) * 1998-10-28 2002-03-26 International Business Machines Corporation Decentralized systems methods and computer program products for sending secure messages among a group of nodes
US6874084B1 (en) * 2000-05-02 2005-03-29 International Business Machines Corporation Method and apparatus for establishing a secure communication connection between a java application and secure server
JP2002300150A (ja) * 2001-03-29 2002-10-11 Nippon Telegr & Teleph Corp <Ntt> Icカードの鍵生成方法及びシステム
JP2002344438A (ja) * 2001-05-14 2002-11-29 Nippon Telegr & Teleph Corp <Ntt> 鍵共有システム及び装置並びにプログラム
CN1191696C (zh) * 2002-11-06 2005-03-02 西安西电捷通无线网络通信有限公司 一种无线局域网移动设备安全接入及数据保密通信的方法
US20040250073A1 (en) * 2003-06-03 2004-12-09 Cukier Johnas I. Protocol for hybrid authenticated key establishment
US7568098B2 (en) * 2003-12-02 2009-07-28 Microsoft Corporation Systems and methods for enhancing security of communication over a public network

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020080958A1 (en) 1997-09-16 2002-06-27 Safenet, Inc. Cryptographic key management scheme
US20040260363A1 (en) 2003-06-23 2004-12-23 Arx Jeffrey A. Von Secure long-range telemetry for implantable medical device

Also Published As

Publication number Publication date
DE602005001613T2 (de) 2008-04-10
JP2007518324A (ja) 2007-07-05
WO2005069531A1 (en) 2005-07-28
CN100574184C (zh) 2009-12-23
EP1714422A1 (en) 2006-10-25
US20050154889A1 (en) 2005-07-14
EP1714422B1 (en) 2007-07-11
DE602005001613D1 (de) 2007-08-23
ATE367025T1 (de) 2007-08-15
CN1906886A (zh) 2007-01-31
KR20060123465A (ko) 2006-12-01
JP4600851B2 (ja) 2010-12-22

Similar Documents

Publication Publication Date Title
KR100992356B1 (ko) 컴퓨터 시스템 사이의 메시지 통신용 보안 콘텍스트 확립 방법과 그 장치 및 컴퓨터 판독 가능 기록 매체
KR100872099B1 (ko) 컴퓨터 그리드에 대한 싱글-사인-온 액세스를 위한 방법 및시스템
US8340283B2 (en) Method and system for a PKI-based delegation process
US9819666B2 (en) Pass-thru for client authentication
US8185938B2 (en) Method and system for network single-sign-on using a public key certificate and an associated attribute certificate
RU2279186C2 (ru) Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала
EP1312191B1 (en) Method and system for authentification of a mobile user via a gateway
US7747856B2 (en) Session ticket authentication scheme
US7366905B2 (en) Method and system for user generated keys and certificates
EP1697818B1 (en) Authentication system for networked computer applications
US7356690B2 (en) Method and system for managing a distributed trust path locator for public key certificates relating to the trust path of an X.509 attribute certificate
US20020144108A1 (en) Method and system for public-key-based secure authentication to distributed legacy applications
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
JP5062870B2 (ja) 任意通信サービスのセキュリティ確保
JP2013236185A (ja) 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法
JP2000261428A (ja) 分散処理システムにおける認証装置
Leahu et al. Security Aspects in Virtual and Remote Laboratories-Implementations in the Virtual Electro Lab project.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee