KR101130356B1 - 컴퓨팅 시스템의 효율적이고 안전한 인증 - Google Patents

컴퓨팅 시스템의 효율적이고 안전한 인증 Download PDF

Info

Publication number
KR101130356B1
KR101130356B1 KR1020050022709A KR20050022709A KR101130356B1 KR 101130356 B1 KR101130356 B1 KR 101130356B1 KR 1020050022709 A KR1020050022709 A KR 1020050022709A KR 20050022709 A KR20050022709 A KR 20050022709A KR 101130356 B1 KR101130356 B1 KR 101130356B1
Authority
KR
South Korea
Prior art keywords
authentication
client
computing system
server
response
Prior art date
Application number
KR1020050022709A
Other languages
English (en)
Other versions
KR20060044410A (ko
Inventor
버나드 디. 아보바
다니엘 알. 사이몬
티모시 엠. 무어
트레버 윌리암 프리맨
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060044410A publication Critical patent/KR20060044410A/ko
Application granted granted Critical
Publication of KR101130356B1 publication Critical patent/KR101130356B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

본 발명의 원리는 보다 효율적이고 안전하게 컴퓨팅 시스템을 인증하는 시스템, 방법 및 컴퓨터 프로그램 제품에 관한 것이다. 몇몇 실시예에서, 한정사용 자격 증명이 보다 영구적인 자격 증명을 준비하는데 사용된다. 클라이언트는 한정사용(예를 들면, 일회용) 자격 증명을 수신하여 이 한정사용 자격 증명을 보안 링크를 통해 서버에 제출한다. 서버는 (후속 인증을 위한)추가 자격 증명을 준비하고 이 추가 자격 증명을 보안 링크를 통해 클라이언트에 전송한다. 다른 실시예에서, 컴퓨팅 시스템은 확장형 프로토콜을 사용하여 인증 메소드를 자동 협상한다. 상호 배치된 인증 메소드가 선택되어 보안 인증은 클라이언트와 서버 사이에 전송되는 인증 컨텐츠를 암호화(그 후 복호화)하는데 사용되는 터널 키에 의해 용이하게 된다. 터널 키는 공유 비밀(예를 들면, 세션 키)과 난스(nonce)로부터 유도된다.
한정사용 자격 증명, 보안 링크, 시스템 인증, 컴퓨팅 시스템, 난스

Description

컴퓨팅 시스템의 효율적이고 안전한 인증{EFFICIENT AND SECURE AUTHENTICATION OF COMPUTING SYSTEMS}
도 1은 본 발명에 따른 컴퓨팅 시스템의 보다 효율적이고 안전한 인증을 용이하게 하는 예시적인 컴퓨터 아키텍처를 나타내는 도면.
도 2는 본 발명에 따른 자격 증명(credentials)을 준비하는 예시적인 방법의 흐름도.
도 3은 인증 방법을 자동 협상하는 메시지 교환을 나타내는 도면.
도 4는 본 발명의 원리를 구현하는 적절한 운영 환경을 나타내는 도면.
<도면의 주요 부분에 대한 부호의 설명>
101 : 클라이언트 컴퓨팅 시스템
102 : 한정사용 자격 증명
103, 113 : 키 쌍
104, 114 : 공개 키
106, 116 : 전용 키
111 : 서버 컴퓨팅 시스템
112 : 자격 증명 준비 모듈
117 : 추가 자격 증명
122 : 보안 키
131 : 세션 키
본 발명은 확장형 인증 및 자격 증명 준비에 관한 것이다. 보다 구체적으로는, 본 발명은 추가 자격 증명을 준비하는데 사용될 수 있는 한정된 사용의 자격 증명과 인증 메커니즘의 자동화된 협상에 관한 것이다.
컴퓨터 시스템 및 관련 기술은 다방면의 사회에 영향을 미친다. 즉, 정보를 처리하는 컴퓨터 시스템의 능력은 생활 및 작업 방식을 변화시키고 있다. 현재, 컴퓨터 시스템은 컴퓨터 시스템의 도래 이전에는 수동으로 수행되었던 다수의 작업(예를 들면, 워드프로세싱, 스케줄링, 및 데이터베이스 관리)을 통상 수행한다. 보다 최근에는, 컴퓨터 시스템이 다른 것과 결합되어 컴퓨터 시스템이 전자적으로 통신하여 데이터를 공유하는 컴퓨터 네트워크를 형성한다. 그 결과, 컴퓨터 시스템에서 수행된 많은 작업들(예를 들면, 전자 메일 접근 및 웹 브라우징)은 컴퓨터 네트워크(예를 들면, 인터넷)를 통해 하나 이상의 다른 컴퓨터 시스템과의 전자 통신을 포함한다.
하나의 컴퓨터 시스템이 다른 컴퓨터 시스템과 전자적으로 통신하기 위해서, 컴퓨터 시스템뿐만 아니라 대응하는 컴퓨터 시스템 사용자는 다른 컴퓨터 시스템(또는 다른 컴퓨터 시스템으로의 액세스를 인증하는 컴퓨터 시스템)을 인증(즉, 그 아이덴티티를 증명)할 필요가 있을 수 있다. 환경에 따라, 광범위한 서로 다른 컴퓨터화된 인증 메커니즘 중 임의의 것, 예를 들면, 커베로스(Kerberos), 안전 소켓 레이어("SSL"), NT LAN 관리자("NTLM") 및/또는 다이제스트 인증이 사용될 수 있다.
일부 인증 메커니즘은 대화형 로그온을 포함한다. 예를 들면, 컴퓨터 시스템이 인터넷 상에 전자적으로 통신할 수 있기 전에, 컴퓨터 시스템의 사용자는 종종 인터넷으로의 액세스를 인증할 수 있는 인터넷 서비스 제공자(이하, "ISP"라 함)에 로그인하는 것이 필요하다. ISP에의 로그인은 통상 컴퓨터 시스템에서 ISP로의 사용자 자격 증명(예를 들면, 사용자명과 패스워드)의 제출을 포함한다. 자격 증명의 수신 시에, ISP는 이 자격 증명을 자격 증명 데이터베이스와 비교하고 이 자격 증명이 적절하면 컴퓨터 시스템은 인터넷과의 통신이 인가된다.
불행히도, 비인가된 사용자가 인가된 사용자의 자격 증명을 획득하고 이 자격 증명을 사용하여 인가된 사용자로 위장할 위험은 항상 존재한다. 인가된 사용자의 자격 증명이 기본적으로 특정 시스템 상의 인가된 사용자 자원(예를 들면, 파일, 전자 메시지, 개인 및 재정 데이터 등) 전체로의 완전 액세스를 가능하게 하기 때문에, 자격 증명을 포함하는 임의의 것은 비인가 사용자에게 인가된 사용자 자원을 복사하여 파괴할 능력을 제공할 수 있다. 특히, 패스워드는 공격 예측에, 예를 들면, 사전 내의 각 단어를 패스워드로서 순차 제출하는 프로그램으로부터(통상 "사전 공격(dictionary attack)"이라고 함), 손상받기 쉽다.
다른 인증 메커니즘은 대화형 로그온을 포함하지 않기 때문에 획득될 수 있는 사용자 자격 증명이 없다. 예를 들면, 웹 서버는 SSL을 사용하는 웹 클라이언트에 대한 그 아이덴티티를 증명할 수 있다. 웹 클라이언트는 안전한 웹 페이지를 웹 서버(예를 들면, "https:"로 시작하는 페이지)에서 접촉하는 경우, 웹 서버는 응답하여 웹 서버를 인증하는 디지털 인증서를 자동 전송한다. 웹 클라이언트는 고유 세션 키를 생성하여 웹 서버와의 모든 통신을 암호화한다. 웹 클라이언트는 웹 서버의 공개 키(예를 들면, 인증서에 참조됨)를 사용하여 세션을 암호화하기 때문에 단지 이 웹 서버만이 세션 키를 판독할 수 있다. 따라서, 안전한 세션이 임의의 사용자 동작을 요구하지 않으면서 설정된다.
대화형 인증 및 비대화형 인증 메커니즘의 예를 설명하였지만, 대화형 인증 및 비대화형 인증의 구현이 네트워크와 컴퓨터 시스템 사이에 변할 수 있음을 이해하여야 한다. 예를 들면, 하나의 네트워크는 커베로스 인증을 사용하도록 구성되는 반면, 다른 네트워크는 몇몇 다른 대화형 인증 메커니즘을 사용하도록 구성된다. 또한, 특정 인증 메커니즘은 인증 메커니즘이 상이하게 동작하게 하는 상이한 구성 옵션을 가질 수 있다. 예를 들면, SSL의 몇몇 구현은 상이한 암호화 알고리즘이 안전한 세션을 설정할 때 선택될 수 있게 한다.
불행히도, 컴퓨터 시스템 또는 네트워크가 배치하는 인증 메커니즘 및/또는 구성 옵션을 결정하는 것이 어렵거나 심지어 불가능할 수 있다. 따라서, 하나의 컴퓨팅 시스템은 다른 컴퓨팅 시스템과의 인증을 다른 컴퓨팅 시스템에 배치된 인증 메커니즘 및/또는 구성 옵션을 사용하여 시도할 수 있다. 그 결과, 인증이 실 패하여 컴퓨터 시스템이 통신하지 않게 할 수 있다.
배치되지 않은 인증 메커니즘을 사용하여 인증을 시도할 가능성은 특히 분산 시스템에서 높다. 분산 시스템은 종종 다양한 분산 시스템의 부분이 상이한 엔티티의 제어 하에 있는 다수의 상호접속된 컴퓨터 시스템 및 네트워크를 포함한다. 이들 상이한 엔티티는 상이한 인증 메커니즘을 각각 배치할 수 있으며 배치된 인증 메커니즘의 표시를 반드시 광고 또는 공개하지 않을 수 있다. 따라서, 분산 시스템의 제1 컴포넌트는, 제1 컴포넌트가 제2 컴포넌트에 배치된 인증 메커니즘을 인식하지 않기 때문에(또는 결정할 방법이 없을 수 있기 때문에), 분산 시스템의 제2 컴포넌트의 인증이 방지될 수 있다.
다른 인증 문제가 무선 환경에서 발생할 수 있다. 예를 들면, 혼합된 유무선 네트워크에서 무선 인증하는 장치에 있어서, 이 장치는 네트워크에 대응하는 인증서를 가질 것을 요구할 수 있다. 그러나, 네트워크는 인증된 장치에만 인증서를 액세스하게 할 수 있도록 구성될 수 있다. 따라서, 이 장치는 유선 접속을 통해 네트워크에 초기 접속할 필요가 있을 수 있다. 인증서로의 액세스를 위한 유선 접속의 요구는 사용자에게는 부담이 될 수 있으며(예를 들면, 사용자는 네트워크 탭을 배치할 필요가 있을 수 있음), 일부 환경에서는 어렵거나(예를 들면, 네트워크 탭이 제한된 액세스 위치에 있을 수 있음) 심지어 불가능할 수 있다(예를 들면, 몇몇 장치는 유선 네트워크 액세스용으로 구성되지 않는다). 따라서, 인가된 사용자조차 네트워크의 무선 액세스가 가능하지 않을 수 있다.
따라서, 인증 방법을 자동 협상하고 자격 증명 준비를 보다 안전하게 제공하 는 메커니즘이 필요하다.
종래 기술의 상기 문제점들은 컴퓨팅 시스템을 보다 효율적이고 안전하게 인증하는 본 발명의 원리에 의해 극복된다. 몇몇 실시예에서, 클라이언트 컴퓨팅 시스템은 한정사용의 자격 증명을 수신한다. 클라이언트 컴퓨팅 시스템과 서버 컴퓨팅 시스템은 서로 보안 링크를 설정한다. 클라이언트 컴퓨팅 시스템은 한정사용의 자격 증명을 설정된 보안 링크를 통해 서버 컴퓨터 시스템에 제출한다.
서버 컴퓨팅 시스템은 설정된 보안 링크 상으로 클라이언트 컴퓨팅 시스템에서의 한정사용의 자격 증명을 수신한다. 서버 컴퓨팅 시스템은 수신된 한정사용 자격 증명에 따라 클라이언트 컴퓨팅 시스템에 대한 추가 자격 증명을 준비한다. 서버 컴퓨팅 시스템은 설정된 보안 링크 상으로 추가 자격 증명을 클라이언트 컴퓨팅 시스템에 전송한다. 클라이언트 컴퓨팅 시스템은 서버 컴퓨팅 시스템으로부터 추가 자격 증명을 수신한다. 선택적으로, 클라이언트 컴퓨팅 시스템은 수신된 추가 자격 증명을 사용하여 서버 컴퓨팅 시스템에 인증한다.
다른 실시예에서, 서버는 서버 컴퓨팅 시스템에서 배치되는 적어도 인증 메커니즘을 포함하는 제1 요청을 전송한다. 클라이언트는 제1 요청을 수신하여 클라이언트 컴퓨팅 시스템에 배치되는 적어도 인증 메커니즘을 포함하는 제1 응답을 전송한다. 클라이언트와 서버는 클라이언트 컴퓨팅 시스템과 서버 컴퓨팅 시스템 사이에 전송되는 컨텐츠를 암호화하는데 사용될 수 있는 터널 키를 식별한다.
서버는 상호 배치된 인증 메커니즘을 나타내는 암호화된 인증 컨텐츠(터널 키로 암호화됨)를 포함하는 제2 요청을 전송한다. 클라이언트는 제2 요청을 수신하고 터널 키를 사용하여 암호화된 인증 컨텐츠를 복호화하여 비암호화된 인증 컨텐츠를 나타낸다. 비암호화된 인증 컨텐츠는 상호 배치된 인증 메커니즘을 나타낸다. 클라이언트는 비암호화된 인증 컨텐츠에 응답하는 암호화된 응답 데이터를 포함하는 제2 응답을 전송한다. 암호화된 응답 데이터는 상호 배치된 인증 메커니즘에 따라 서버에 인증하는 정보를 포함한다. 서버는 상호 배치된 인증 메커니즘에 따라 서버에 인증하는 정보를 포함하는 암호화된 응답 데이터를 포함하는 제2 응답을 포함한다.
본 발명의 다른 특징 및 이점은 후술하는 설명에 나타낼 수 있으며, 그 일부가 명세서에서 명확해질 수 있거나 본 발명의 실시에 의해 습득될 수 있다. 본 발명의 특징 및 이점은 청구항에 특히 나타낸 도구 및 조합에 의해 실현 및 획득될 수 있다. 본 발명의 이들 및 다른 특징은 후술하는 설명 및 청구항으로부터 보다 충분히 명확하게 될 수 있고, 또는, 후술하는 본 발명의 실시예 의해 습득될 수 있다.
<실시예>
본 발명의 상기 및 다른 이점 및 특징이 획득될 수 있는 방식을 나타내기 위해서, 상기 간략히 설명한 본 발명의 보다 구체적인 설명이 첨부 도면에 도시된 특정 실시예를 참조하여 행해진다. 이들 도면은 본 발명의 단지 통상의 실시예를 도시하며 그 범위를 한정하려는 것이 아님이 이해될 것이며, 본 발명은 첨부 도면을 통해 구체적으로 세부사항을 설명한다.
본 발명의 원리는 컴퓨팅 시스템을 보다 효율적이고 안전하게 인증하는 시스템, 방법, 및 컴퓨터 프로그램 제품에 관한 것이다. 본 발명의 범위 내의 실시예는 이에 저장된 컴퓨터 실행가능 명령 또는 데이터 구조를 구비하거나 갖는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨팅 판독가능 매체는 임의의 이용가능 매체일 수 있으며, 범용 또는 특정 목적의 컴퓨팅 시스템에 의해 액세스가능하다. 한정이 아닌 예를 들면, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EPROM, CD-ROM 또는 다른 광 디스크 스토리지와 같은 물리적 스토리지 매체, 자기 디스크 스토리지 또는 다른 자기 스토리지 장치, 또는 컴퓨터 실행가능 명령, 컴퓨터 판독가능 명령 및 데이터 구조의 형태로 원하는 프로그램 코드 수단을 구비하거나 저장하는데 사용될 수 있고 범용 또는 특정 목적 컴퓨팅 시스템에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다.
본 명세서와 후술하는 청구항에서, "네트워크"는 컴퓨팅 시스템 및/또는 모듈 사이의 전자 데이터의 전송을 가능하게 하는 하나 이상의 데이터 링크로서 정의된다. 정보가 네트워크 또는 다른 통신 접속(유선, 무선 또는 유선과 무선의 조합) 상으로 컴퓨팅 시스템에 전송되거나 제공되는 경우, 접속은 컴퓨터 판독가능 매체로서 적절하게 간주된다. 따라서, 임의의 이러한 접속은 컴퓨터 판독가능 매체로 적절하게 불린다. 상기의 것의 조합은 컴퓨터 판독가능 매체의 범위 내에서 또한 포함되어야 한다. 컴퓨터 실행가능 명령은, 예를 들면, 범용 컴퓨팅 시스템 또는 특정 목적 컴퓨팅 시스템이 특정 펑션 또는 펑션의 그룹을 수행하게 하는 명령 및 데이터를 포함한다. 컴퓨터 실행가능 명령은, 예를 들면, 이진, 어셈블리어 와 같은 중간 포맷 명령, 또는 심지어 소스 코드일 수 있다.
본 명세서와 후술하는 청구항에서, "컴퓨팅 시스템"은 연동하여 전자 데이터에 대한 연산을 수행하는 하나 이상의 소프트웨어 모듈, 하나 이상의 하드웨어 모듈, 또는 이들의 조합으로서 정의된다. 예를 들면, 컴퓨팅 시스템의 정의는 개인용 컴퓨터의 하드웨어 컴포넌트와 같은 소프트웨어 모듈뿐만 아니라 개인용 컴퓨터의 하드웨어 컴포넌트를 포함한다. 모듈의 물리 레이아웃은 중요하지 않다. 컴퓨팅 시스템은 네트워크를 통해 결합된 하나 이상의 컴퓨터를 포함할 수 있다. 유사하게, 컴퓨팅 시스템은 내부 모듈(메모리 및 프로세서 등)이 연동하여 전자 데이터 상의 연산을 수행하는 (이동 전화 또는 개인용 디지털 단말 "PDA"와 같은)단일 물리 장치를 포함할 수 있다.
여기서 사용되는 바와 같이, "모듈" 또는 "컴포넌트"라는 용어는 컴퓨팅 시스템 상에 실행하는 소프트웨어 객체 또는 루틴이라고 불릴 수 있다. 여기서 설명하는 상이한 컴포넌트, 모듈, 엔진 및 서비스는 컴퓨팅 시스템 상에서 실행하는 객체 또는 프로세스(예를 들면, 개별 스레드)로서 구현될 수 있다. 여기서 설명한 시스템 및 방법은 소프트웨어로 구현되는 것이 바람직하지만, 소프트웨어 및 하드웨어 또는 하드웨어로의 구현이 또한 가능하며 고찰된다.
당업자는 본 발명이 개인용 컴퓨터, 랩탑 컴퓨터, 핸드헬드 장치, 멀티프로세서 시스템, 멀티프로세서 기반 또는 프로그래밍가능 소비자 전자제품, 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 이동 전화, PDA, 호출지 등을 포함하는 다양한 유형의 컴퓨팅 시스템 구성을 갖는 네트워크 컴퓨팅 환경에서 실시될 수 있다. 또한, 본 발명은 네트워크를 통해 (유선 데이터 링크, 무선 데이터 링크, 또는 유선 및 무선 데이터 링크의 조합에 의해)연결된 로컬 및 원격 컴퓨팅 시스템이 모두 작업을 수행하는 분산 시스템 환경에서 실시될 수 있다. 분산 시스템 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 스토리지 장치에 배치될 수 있다.
도 1은 본 발명에 따른 컴퓨팅 시스템의 보다 효율적이고 안전한 인증을 용이하게 하는 예시적인 컴퓨터 아키텍처(100)를 나타낸다. 컴퓨터 아키텍처(100)에서 도시한 바와 같이, 클라이언트 컴퓨팅 시스템(101)은 키 쌍(103)을 포함한다. 키 쌍(103)은 공개 키(104)와, 예를 들면, 디피 헬만 키 쌍(Diffie-Hellman key pair)인 대응 전용 키(106)를 포함한다. 서버 컴퓨팅 시스템(111)은 자격 증명 준비 모듈(112)과 키 쌍(113)을 포함한다. 자격 증명 준비 모듈(112)은, 예를 들면, 한정사용 자격 증명과 같은 제1 유형의 자격 증명을 수신하고, 제1 유형의 자격 증명에 기초하여, 예를 들면, 보다 영구적인 자격 증명과 같은 제2 유형의 자격 증명을 준비하도록 구성될 수 있다. 유사하게, 키 쌍(103)에 대하여, 키 쌍(113)은 공개 키(114)와 예를 들면 디피 헬만(Diffie-Hellman) 키 쌍인 대응 전용 키(116)를 포함한다.
도 2는 본 발명에 따른 자격 증명을 준비하는 예시적인 방법(200)의 흐름도를 나타낸다. 방법(200)은 컴퓨터 아키텍처(100) 내의 컴퓨팅 시스템 및 모듈에 대하여 설명한다. 이 방법(200)은 한정사용 자격 증명의 수신 단계를 포함한다(단계 201). 예를 들면, 클라이언트 컴퓨팅 시스템(101)은 한정사용 자격 증명(102)을 수신할 수 있다.
한정사용 자격 증명의 사용은 임의 개수의 방식으로 한정될 수 있다. 예를 들면, 한정사용 자격 증명은, 특정 기간 동안, 또는 특정 이벤트의 발생까지 유효할 수 있다. 한정사용 자격 증명은 이용가능한 보안 정책에 따라 임의 개수의 유효 사용(예를 들어, 3번 사용)에 한정될 수 있다. 인증을 하는데 단지 한 번만 유효한 한정사용 자격 증명은 "일회용 자격 증명"으로 불릴 수 있다. 특정 사용 횟수 후에, 한정사용 자격 증명은 유효한 자격 증명으로서 더 이상 허용되지 않는다.
한정사용 자격 증명은 이용가능한 보안 정책에 따라 특정 기간(예를 들면, 5분)에 한정될 수 있다. 특정 기간이 만료한 후에, 한정사용 자격 증명은 유효한 자격 증명으로서 더 이상 허용되지 않는다. 임의의 특정 이벤트는 이용가능한 보안 정책에 따라 한정사용 자격 증명의 사용을 한정할 수 있다. 예를 들면, 한정사용 자격 증명은 보다 영구적인 자격 증명이 준비된 후에는 거절될 수 있다.
한정사용 자격 증명은, 예를 들면, 전화 통신 또는 메일과 같은 통신 방법을 통해 대역외(out-of-band)에서 수신될 수 있다. 다르게는, 믿을 수 있는 컴퓨터화된 통신 방법이 한정사용 자격 증명을 수신하는데 사용될 수 있다(예를 들면, 전자 메일 메시지로 한정사용 자격 증명을 암호화).
이 방법(200)은 클라이언트 측이 보안 링크를 설정하고(단계 202) 서버 사이드가 보안 링크를 설정(단계 205)하는 단계를 포함한다. 예를 들면, 클라이언트 컴퓨팅 시스템(101)과 서버 컴퓨팅 시스템(111)은 보안 링크(122)를 설정할 수 있다. 보안 링크의 설정은 클라이언트 컴퓨팅 시스템(101)과 서버 컴퓨팅 시스템(111)이 공개 키를 교환하여 세션 키를 설정하는 것을 포함할 수 있다. 예를 들면, 공개 키(104)와 공개 키(114)는 세선 키(131)를 설정하도록 교환될 수 있다. 몇몇 실시예에서, 세션 키의 설정은, 예를 들면, 클라이언트 컴퓨팅 시스템(101)과 서버 컴퓨팅 시스템(111)이 정적 디피 헬만 키로 구성되는 경우 등과 같은 후속 인증에 충분할 수 있다.
다르게는, 다른 키가 다른 증거를 제공하기 위해 유도될 수 있다. 예를 들면, 서버 컴퓨터 시스템으로부터의 도전에 응답하여, 클라이언트 컴퓨팅 시스템은 디피 헬만 세션 키와 패스워드로부터 유도된 암호화 키를 사용하여 패스워드를 암호화하고 이 암호화 키를 서버 컴퓨팅 시스템에 전송할 수 있다. 따라서, 서버 컴퓨팅 시스템이 암호화된 패스워드를 수신하는 경우, 서버 컴퓨팅 시스템은 패스워드를 복호화하고 이 패스워드를 자격 증명 데이터베이스와 비교하여 패스워드가 유효한지를 판정할 수 있다.
유사하게, 클라이언트 컴퓨팅 시스템은 공유 비밀과 디피 헬만 세션 키로부터 유도된 암호화 키를 사용하여 신뢰 앵커(trust anchor)를 암호화하여 암호화된 신뢰 앵커를 서버 컴퓨팅 시스템에 전송할 수 있다. 따라서, 서버 컴퓨팅 시스템이 암호화된 신뢰 앵커를 수신하는 경우, 서버 컴퓨팅 시스템은 신뢰 앵커를 복호화하고 확인할 수 있다. 신뢰 앵커는, 예를 들면, 인증서(예를 들어, X.509 인증서), 보안 토큰(예를 들어, WS-보안 토큰), 해시(예를 들어, SHA-1), 및 인증서의 균일 자원 식별자("URI")(예를 들어, 균일 자원 위치 입력치("URL")), 보안 토큰의 해시 및 URI와 같은 데이터 관련 인증을 포함한다.
유사하게, 클라이언트 컴퓨팅 시스템은 서명된 새로운 신뢰 앵커를 전송하거 나 이전에 설정된 신뢰 앵커의 요약을 포함할 수 있다. 따라서, 서버 컴퓨팅 시스템은 이전에 설정된 신뢰 앵커의 서버 또는 해시에 따라 새로운 신뢰 앵커를 확인할 수 있다.
도 2를 다시 참조하면, 방법(200)은 설정된 보안 링크 상으로 한정사용 자격 증명을 제출하는 단계(단계 203)를 포함한다. 예를 들면, 클라이언트 컴퓨팅 시스템(101)은 보안 링크(122) 상으로 한정사용 자격 증명(102)을 서버 컴퓨팅 시스템(111)에 제출할 수 있다. 상술한 바와 같이, 디피 헬만 세션 키와 패스워드로부터 유도된 암호화 키는 패스워드를 암호화하는데 사용될 수 있다. 따라서, 한정사용 자격 증명(102)은 세션 키(131)와 한정사용 자격 증명(102)으로부터 유도된 암호화 키를 사용하여 암호화된다.
방법(200)은 설정된 보안 링크 상으로 한정사용 자격 증명을 수신하는 단계(단계 206)를 포함한다. 예를 들면, 서버 컴퓨팅 시스템(111)은 보안 링크(122) 상으로 클라이언트 컴퓨팅 시스템(101)으로부터 한정사용 자격 증명(102)을 수신할 수 있다. 또한, 이전의 요청에 응답하여, 서버 컴퓨팅 시스템(111)은 (예를 들어, 한정사용 자격 증명(102)을 암호화하기 위해 사용되는)암호화 키를 클라이언트 컴퓨팅 시스템(101)으로부터 수신할 수 있다.
방법(200)은 수신된 한정사용 자격 증명에 따라 클라이언트에 대한 추가 자격 증명을 준비하는 단계(단계(207))를 포함한다. 예를 들면, 자격 증명 준비 모듈(112)은 한정사용 자격 증명(102)에 따라 클라이언트 컴퓨팅 시스템(101)에 대한 보다 영구적인 자격 증명(또는 자격증명들)을 준비할 수 있다. 적절한 경우, 서버 컴퓨팅 시스템(111)은 이전에 수신된 암호화 키를 사용하여 한정사용 자격 증명(102)을 암호화할 수 있다.
자격 증명 준비 모듈(112)은 한정사용 자격 증명(102)을 자격 증명 데이터베이스와 비교하여 한정사용 자격 증명(102)이 유효한지를 판정할 수 있다. 한정사용 자격 증명(102)이 유효하지 않은 경우, 서버 컴퓨팅 시스템(111)은 한정사용 자격 증명(102)의 처리를 종료할 수 있다. 보안 정책에 따라, 서버 컴퓨팅 시스템(111)은 한정사용 자격 증명(102)의 처리가 종료되었음을 클라이언트 컴퓨팅 시스템(101)에 통지하거나 하지 않을 수 있다. 한편, 한정사용 자격 증명(102)이 유효한 경우, 클라이언트 컴퓨팅 시스템(101)의 아이덴티티의 신뢰도가 증가한다. 따라서, 서버 컴퓨팅 시스템은 클라이언트 컴퓨팅 시스템(101)에 대한 보다 많은 영구적인 자격 증명(또는 자격 증명들)을 생성할 수 있다. 예를 들면, 자격 증명 준비 모듈(112)은 추가 자격 증명(117)을 생성할 수 있다.
추가 자격 증명(117)은 한정사용 자격 증명(102)으로서 동일 유형의 자격 증명일 수 있다. 예를 들면, 적절한 일회용 패스워드를 수신하는 것에 응답하여, 서버 컴퓨팅 시스템(111)은 보다 영구적인 패스워드를 발행할 수 있다. 다르게는, 추가 자격 증명(117)은 상이한 유형의 자격 증명일 수 있다. 예를 들면, 적절한 일회용 자격 증명의 수신에 응답하여, 서버 컴퓨팅 시스템(111)은 인증서, 토큰(예를 들면, WS-보안 토큰 또는 커베로스 토큰), 인증서의 해시 및 URI, 또는 토큰의 해시 및 URI를 발행할 수 있다.
인증서 체인, 인증서 취소 리스트, 온라인 인증서 상태 프로토콜 응답, WS- 보안 토큰, 및 교환에 관련될 메타데이터 등의 다른 자격 증명 지원 데이터가 또한 식별될 수 있다. 식별된 메타 데이터는 확장형 마크업 언어("XML") 명령을 포함할 수 있다.
방법(200)은 추가 자격 증명의 전송 단계(단계 208)를 포함한다. 예를 들면, 서버 컴퓨팅 시스템(111)은 추가 자격 증명(117)을 클라이언트 컴퓨팅 시스템(101)에 전송할 수 있다. 방법(200)은 추가 자격 증명의 수신 단계(단계 204)를 포함한다. 예를 들면, 클라이언트 컴퓨팅 시스템(101)은 서버 컴퓨팅 시스템(111)으로부터 추가 자격 증명(117)을 수신할 수 있다.
따라서, 본 발명의 실시예는 액세스가 다른 면에서 금지된 경우 네트워크로의 액세스를 용이하게 할 수 있다. 예를 들면, 한정사용(또는 일회용) 자격 증명은 무선 컴퓨팅 시스템에 의해 사용되어 네트워크에 무선 액세스하는데 사용되는 인증서에 대한 액세스를 용이하게 할 수 있다. 또한, 한정사용 자격 증명은 사전 공격에 대한 컴퓨팅 시스템의 취약성을 감소시킨다. 예를 들면, 한정사용 자격 증명은 악의의 사용자가 한정사용 자격 증명을 크래킹하는 경우 더 이상 유효하지 않을 수 있다. 특히, 일회용 자격 증명은 한번 사용된 후에는 무효가 되기 때문에, 일회용 자격 증명은 사전 공격에 대한 취약성을 상당히 감소시킬 수 있다.
도 3은 협상 인증 메커니즘에 대한 메시지 교환(300)을 나타낸다. 메시지 교환(300)은 인증 동안 다른 메시지의 교환 전에 또는 후에 발생할 수 있다. 예를 들면, 클라이언트 컴퓨팅 시스템 및 서버 컴퓨팅 시스템은 이 클라이언트 컴퓨팅 시스템과 서버 컴퓨팅 시스템을 서로에 대하여 예비적으로 식별하는 하나 이상의 확장형 인증 프로토콜("EAP") 요청/응답 쌍을 교환할 수 있다.
메시지 교환(300)에 나타낸 교환 및 응답은 인증 프로토콜의 메시지일 수 있다. 각 메시지는 인증 프로토콜(예를 들면, 지원 유료 부하 유형을 표시)의 버전 번호, 메시지 본문, 및 메시지 본문 일부의 해싱된 메시지 인증 코드("HMAC")를 포함할 수 있다. HMAC는 예를 들면, MD5, SHA-1 등과 같은 암호 해시 펑션을 사용하여 생성될 수 있다. 인증 프로토콜의 메시지는 EAP 메시지 내에서 임베디드될 수 있다.
서버측(360)은 클라이언트측(305)에 서버 요청(301)을 전송할 수 있다. 서버 요청(301)은 이전 패킷 ID(302), 난스(nonce; 303), 및 인증 메소드(304)를 포함한다. 이전의 패킷 ID(302)는 클라이언트측(350)과 서버측(360) 간에 교환된 마지막 패킷에 대응하는 패킷 ID(예를 들면, 이전 요청/응답 교환 내 패킷의 패킷 ID)를 나타낼 수 있다. 난스(303)는 서버측(360)에서 생성된 랜덤 데이터일 수 있다. 인증 메소드(305)는 서버측(360)에서 지원되는 제안 인증 메커니즘을 포함할 수 있다. 서버측은 임의 개수의 상이한 인증 메커니즘(예를 들면, 상술한 바와 같은 시도(challenges) 및 응답, MS-CHAP v2, MD5를 사용한 인증, 일반 토큰 카드를 이용한 인증, 커베로스를 이용한 인증, X.509를 이용한 인증, 및 WS-보안을 이용한 인증)을 지원할 수 있다.
서버 요청(301)에 응답하여, 클라이언트측(350)과 클라이언트 응답(306)을 서버측(360)에 전송할 수 있다. 클라이언트 응답(306)은 이전 패킷 ID(307), 난스(308), 보안 결합(309), 공개 키(311) 및 인증 메소드(312)를 포함할 수 있다. 이전 패킷 ID(307)는 서버 요청(301)에 대응하는 패킷 ID를 나타낼 수 있다. 난스(308)는 클라이언트측(360)에서 생성된 랜덤 데이터일 수 있다. 보안 결합(309)은 클라이언트 측(350)에서 지원되는 제안 보안 결합을 포함할 수 있다. 표 1은 지원될 수 있는 몇몇 보안 결합을 나타낸다.
128비트 AES CBC 모드
디피-헬만 그룹 2(1024 비트)
SHA-1 + HMAC
SHA-1 해시
128비트 AES CBC 모드
디피-헬만 그룹 5(1536 비트)
SHA-1 + HMAC
SHA-1 해시
128비트 AES CBC 모드
디피-헬만 그룹 14(2048 비트)
SHA-1 + HMAC
SHA-1 해시
128비트 AES CBC 모드
ECC 디피-헬만 그룹 4(185 비트)
SHA256 HMAC
SHA256 해시
공개 키(311)는 하나 이상의 공개 키를 포함할 수 있다. 공개 키(311)는 각각의 지원 보안 결합에 대하여 적절한 길이(예를 들면, 1024비트, 2048비트 등)의 키를 포함할 수 있다. 공개 키(311)는, 예를 들면, 공개 키(104)를 포함하는 하나 이상의 디피-헬만 공개 키일 수 있다. 인증 메소드(312)는 클라이언트측(350)에 지원되고 인증 메소드(304)에서 포함된 인증 메커니즘 중에서 선택된 인증 메커니즘을 포함할 수 있다.
클라이언트 응답(306)에 응답하여, 서버측(360)은 서버 요청(313)을 전송할 수 있다. 서버 요청(313)은 이전 패킷 ID(314), 보안 결합(316), 공개 키(317), 및 인증 메소드에 기초한 다른 인증 데이터를 포함할 수 있다. 이전 패킷 ID(314)는 클라이언트 응답(306)에 대응하여 패킷 ID를 나타낼 수 있다. 보안 결합(316)은 서버측(360)에서 지원되고 보안 애플리케이션(309)에 포함된 인증 메소드 중에서 선택된 보안 결합을 나타낼 수 있다. 공개 키(317)는 보안 결합(316)에 나타낸 보안 결합에 대한 적절한 길이의 키일 수 있다. 공개 키(317)는, 예를 들면, 공개 키(114)에 대한 델피-헬만 공개 키일 수 있다.
따라서, 공개 키(311)와 공개 키(317)로부터의 적절한 길이에 따라, 보안 링크는 클라이언트측(350)과 서버측(360) 사이에 설정될 수 있다.
통상, 클라이언트측(350)과 서버측(360) 간에 전송된 암호화 데이터는 터널 키를 사용하여 암호화된다. 터널 키는 클라이언트 및 서버 난스와 함께 델피-헬만 공유 비밀(예를 들면, 세션 키(131))의 접합을 해싱하여 유도될 수 있다. 예를 들면, 터널 키는 다음 식에 따라 유도될 수 있다:
터널 키 = HASH[DHSS+NC+NS]
터널 키는 대칭 키일 수 있다. 즉, 터널 키는 이 터널 키를 사용하여 암호화된 암호화 데이터를 복호화하는데 사용될 수 있다. 따라서, 클라이언트측(350)은 터널 키를 사용하여 서버측(360)에 전송될 데이터를 암호화할 수 있으며 이 터널 키를 사용하여 서버측(360)에서 수신된 컨텐츠를 복호화할 수 있다. 유사하게, 서버측(360)은 터널 키를 사용하여 클라이언트측(350)에 전송될 데이터를 암호화할 수 있으며 이 터널 키를 사용하여 클라이언트측(350)에서 수신된 컨텐츠를 복호화할 수 있다.
클라이언트측(350)과 서버측(360)이 협상을 수행하는 경우, 서버 요청(313)은 협상 암호화 컨텐츠(318)를 포함할 수 있다. 협상 암호화 컨텐츠(318)는 시도(319), 인증 메소드(321) 및 신뢰 앵커(322)를 포함할 수 있다. 시도(319)는 공유 비밀(예를 들면, 세션 키(131))을 사용하는 이전 패킷 ID(예를 들면, 이전 패킷 ID(314))의 HMAC일 수 있다. 예를 들면, 시도(319)는 다음 식에 따라 구성될 수 있다:
시도 = HMACSS[PPid]
서버측(360)은 시도에 대한 적절한 응답을 유지할 수 있다. 예를 들면, 적절한 응답은 공유 비밍를 사용하는 시도의 HMAC일 수 있다. 적절한 응답은 다음 식에 따라 구성될 수 있다:
응답S = HMACSS[Challenge]
인증 메소드(321)는 클라이언트측(350)과 서버측(360)에서 상호 지지되는 인증 메소드를 나타낼 수 있다. 신뢰 앵커(322)는 상술한 신뢰 앵커일 수 있다.
클라이언트측(350)은 서버측(360)에 재인증하는 경우(예를 들면, 협상 얼마 후에 인증), 다르게는, 서버 요청(313)은 암호화된 재인증(328)을 포함할 수 있다. 재인증 암호화 컨텐츠는 인증 서명(329)과 아이덴티티 인증서(331)를 포함할 수 있다. 인증서 서명(329)은 서명 ID 유형(예를 들면, SHA-1(키 ID 길이=20 옥텟) 또는 SHA256(키 ID 길이=32 옥텟)), 서명 키 ID, 및 서명 유형(예를 들면, HMAC, RSA PKCS #1, RSA PSS, 또는 DSA)을 포함할 수 있다. 아이덴티티 인증서(331)는, 예를 들면, X.509 인증서, 커베로스 토큰(Kerberos token), WS-보안 토큰, 미가공(raw) 공개 키, 해시 및 URL 또는 X.509 인증서, WS-보안 토큰의 해시 및 URL, 미가공 공개 키의 해시 및 URL을 포함할 수 있다.
암호화된 인증 컨텐츠(협상 암호화 컨텐츠(318) 또는 재인증 암호화 컨텐츠(328) 대신)의 다른 유형이 달리 서버 요청(313)에 포함될 수 있다. 예를 들면, 기존 사용자명과 패스워드를 사용하여 클라이언트를 초기 적재(bootstrap)하는 경우, 서버 요청(313)은 인증 서명, 아이덴티티 인증서 및 인증 메소드를 포함하는 암호화 컨텐츠를 가질 수 있다.
X.509 인증서를 사용하여 새로운 클라이언트를 초기 적재하는 경우, 서버 요청(313)은 시도, 신뢰 앵커, 인증 메소드 및 등록 요청을 포함하는 암호화 컨텐츠를 가질 수 있다. 등록 요청은 요청 유형(예를 들면, 커베로스 TGT 요청, 커베로스 AS 요청, PCKS #10 요청, 또는 CMC 요청), 키 유형(예를 들면, RSA 서명, DSA, ECDSA 또는 DH+ECDH), 키 서브유형(예를 들면, PSA 서명 키 또는 DH+ECDH 키), 및 키 사이즈(예를 들면, 1024 비트)을 포함할 수 있다. X.509 인증서를 사용하여 인증하는 경우, 요청(313)은 인증 서명, 아이덴티티 인증서, 및 인증 방법을 포함하는 암호화 컨텐츠를 가질 수 있다.
커베로스 티켓을 사용하여 새로운 클라이언트를 초기 적재하는 경우, 서버 요청(313)은 시도와 등록 요청을 포함하는 컨텐츠를 암호화할 수 있다.
서버 요청(313)에 응답하여, 클라이언트측(350)은 클라이언트 응답(332)을 전송할 수 있다. 클라이언트 응답(332)은 서버 요청(313) 내에 포함된 암호화된 컨텐츠에 응답하여 이전 패킷 ID(333)와 데이터를 포함할 수 있다. 이전 패킷 ID(333)는 서버 요청(313)에 대응하여 패킷 ID를 나타낼 수 있다. 클라이언트측(350)과 서버측(360)이 협상을 수행하고 있는 경우, 클라이언트 응답(332)은 (터널 키로 암호화된) 암호화된 응답(334)을 포함할 수 있다. 암호화된 응답(334)은 시도(319)에 대한 응답일 수 있다.
클라이언트측(350)은 시도(319)에 대한 적절한 응답을 생성할 수 있다. 예를 들면, 적절한 응답은 공유 비밀을 사용하여 시도(119)의 HMAC일 수 있다. 적절한 응답은 다음 식에 따라 구성될 수 있다:
응답C = HMACSS[Challenge]
클라이언트측(350)은 서버측(360)에 재인증하는 경우, 클라이언트 응답(332)은 인증 서명(336)을 포함할 수 있다.
(암호화된 응답(334) 또는 인증 서명(336) 대신)암호화된 인증 컨텐츠에 응답하는 다른 유형의 데이터가 클라이언트 응답(332)에 달리 포함될 수 있음이 이해되어야 한다. 예를 들면, 기존 사용자명과 패스워드를 사용하여 클라이언트를 초기 적재하는 경우, 클라이언트 응답(332)은 시도, 최종 사용자 아이덴티티 유료부하, 및 도메인 아이덴티티 유료 부하를 포함하는 암호화된 응답 데이터를 가질 수 있다. 최종 사용자 아이덴티티 유료 부하 및 도메인 아이덴티티 유료 부하는 이름 유형(예를 들면, 완전 자격 DNS명, 이메일 주소, IPv4 주소, 및 IPv6 주소, DER 인코딩 X.500 구별명, 또는 영역명)을 포함할 수 있다.
X.509 인증서를 사용하여 새로운 클라이언트를 초기 적재하는 경우, 클라이언트 응답(332)은 응답 및 인증서 요청을 포함하는 암호화된 응답 데이터를 가질 수 있다. X.509 인증서를 사용하여 인증하는 경우, 클라이언트 응답(332)은 인증 서명 및 아이덴티티 인증서를 포함하는 암호화된 응답 데이터를 가질 수 있다. 커베로스 티켓을 사용하여 새로운 클라이언트를 초기 적재하는 경우, 클라이언트 응답(332)은 응답 및 인증서 요청을 포함하는 암호화된 응답 데이터를 가질 수 있다.
본 발명의 실시예는 다수의 상이한 인증 메커니즘 중에서 협상 인증 메커니즘을 용이하게 한다. 클라이언트 컴퓨팅 시스템 및 서버 컴퓨팅 시스템은 상호 지원된 인증 메커니즘을 식별하고 인증에 대한 식별 메커니즘을 사용할 수 있다. 자동화된 협상은 사용자 네트워크용으로 배치될 수 있는 인증 메커니즘을 인식하여야 하는 것을 경감한다. 따라서, 인증이 보다 효율적으로 수행될 수 있다.
도 4와 다음 설명은 본 발명이 구현될 수 있는 적절한 컴퓨팅 환경의 간단하고 일반적인 설명을 제공하려는 것이다. 비록 필수적인 것은 아니지만, 본 발명은 컴퓨터 시스템에 의해 실행되는, 프로그램 모듈과 같은, 컴퓨터 실행가능 명령의 일반적인 경우에 대하여 설명한다. 통상, 프로그램 모듈은 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조 등을 포함하며, 특정 작업 또는 특정 추상 데이터형을 구현한다. 컴퓨터 실행가능 명령, 관련 데이터 구조, 및 프로그램 모듈은 여기서 설명하는 방법의 단계를 실행하는 프로그램 코드 수단의 예를 나타낸다.
도 4를 참조하면, 본 발명을 구현하는 예시적인 시스템은 처리부(421), 시스템 메모리(422), 및 시스템 메모리(422)를 포함하는 다양한 시스템 컴포넌트를 처리부(421)에 결합하는 시스템 버스(423)를 포함하는, 컴퓨터 시스템(420)의 형태의 범용 컴퓨팅 장치를 포함한다. 처리부(421)는 본 발명의 특징을 포함하는 컴퓨터 시스템(420)의 특징을 구현하도록 설계된 컴퓨터 실행가능 명령을 실행할 수 있다. 시스템 버스(423)는 메모리 버스 또는 메모리 컨트롤러, 주변 버스 및 다양한 버스 아키텍처 중 임의의 것을 사용한 로컬 버스 등의 여러 유형의 버스 구조 중 임의의 것일 수 있다. 시스템 메모리는 판독 전용 메모리(ROM; 424) 및 랜덤 액세스 메모리(RAM; 425)를 포함한다. 기본 입출력 시스템(BIOS; 426)은 시동 동안과 같이 컴퓨터 시스템(420) 내의 요소들 사이의 정보 전송을 지원하는 기본 루틴을 포함하며, ROM(424)에 저장될 수 있다.
또한, 컴퓨터 시스템(420)은 자기 하드 디스크(439)로부터 판독하고 이에 기입하는 자기 하드 디스크 드라이브(427), 분리형 자기 디스크(429)로부터 판독하고 이에 기입하는 자기 디스크 드라이브(428), 및 예를 들면 CD-ROM 또는 다른 광 매체와 같은 분리형 광 디스크(431)로부터 판독하고 이에 기입하는 광 디스크 드라이브(430)를 포함할 수 있다. 자기 하드 디스크 드라이브(427), 자기 디스크 드라이브(428), 및 광 디스크 드라이브(430)는 각각 하드 디스크 드라이브 인터페이스(432), 자기 디스크 드라이브 인터페이스(433), 및 광 드라이브 인터페이스(434)에 의해 시스템 버스(423)에 접속된다. 드라이브 및 이들의 관련 컴퓨터 판독가능 매체는 컴퓨터 실행가능 명령, 데이터 구조, 프로그램 모듈, 및 기타 데이터의 비휘발성 스토리지를 컴퓨터 시스템(420)에 제공한다. 여기서 설명하는 예시적인 환경은 자기 하드 디스크(439), 분리형 자기 디스크(429) 및 분리형 광 디스크(431)를 사용하지만, 자기 카세트, 플래시 메모리 카드, 디지털 다용도 디스크, 베르누이 카트리지, RAM, ROM 등을 포함하는, 데이터를 저장하기 위한 다른 유형의 컴퓨터 판독가능 매체가 사용될 수 있다.
운영 체계(435), 하나 이상의 애플리케이션 프로그램(436), 다른 프로그램 모듈(437) 및 프로그램 데이터 등의 하나 이상의 프로그램 모듈을 포함하는 프로그램 코드 수단은 하드 디스크(439), 자기 디스크(429), 광 디스크(431), ROM(424) 또는 RAM(425) 상에서 저장될 수 있다. 사용자는 키보드(440), 포인팅 장치(442), 또는, 예를 들면, 마이크로폰, 조이스틱, 게임패드, 스캐너 등의 다른 입력 장치(미도시)를 통해 컴퓨터 시스템(420)에 명령 및 정보를 입력할 수 있다. 이들 및 다른 입력 장치는 시스템 버스(423)에 결합된 입출력 인터페이스(446)를 통해 처리부(421)에 접속될 수 있다. 입출력 인터페이스(446)는, 예를 들면, 직렬 포트 인터페이스, PS/2 인터페이스, 병렬 포트 인터페이스, 범용 직렬 버스(USB) 인터페이스, 또는 전기전자공학협회(IEEE) 1394 인터페이스(즉, 파이어와이어(FireWire) 인터페이스)와 같은 광범위하게 가능한 인터페이스 중 임의의 것을 논리적으로 나타내며, 또는, 상이한 인터페이스의 조합을 논리적으로 나타낼 수도 있다.
모니터(447) 또는 다른 디스플레이 장치가 또한 비디오 인터페이스(448)를 통해 시스템 버스(423)에 접속된다. 모니터(447)는 컴퓨터 시스템(420)에 의해 생성된, 텍스트를 포함하는 흑백 및/또는 컬러 그래픽 객체를 디스플레이할 수 있다. 예를 들면, 스피커, 프린터 및 스캐너와 같은 다른 주변 장치(미도시)는 컴퓨터 시스템(420)에 접속될 수 있다. 컴퓨터 시스템(447)에 접속된 프린터는 컴퓨터 시스템(420)에 의해 생성된, 텍스트를 포함하는 흑백 및/또는 컬러 그래픽 객체를 프린트할 수 있다.
컴퓨터 시스템(420)은, 예를 들면, 사무실, 범사내망, 홈 네트워크, 인트라넷 및/또는 인터넷과 같은 네트워크에 접속가능하다. 컴퓨터 시스템(420)은 이러한 네트워크를 통해 데이터를, 예를 들면, 원격 컴퓨터 시스템, 원격 애플리케이션, 및/또는 원격 데이터베이스와 같은 외부 소스와 교환할 수 있다.
컴퓨터 시스템(420)은 네트워크를 인터페이스(453)를 포함하며, 이를 통해 컴퓨터 시스템(420)은 외부 소스로부터 데이터를 수신하거나 및/또는 데이터를 외부 소스에 전송한다. 도 4에 도시한 바와 같이, 네트워크 인터페이스(453)는 링크(451)를 통해 원격 컴퓨터 시스템(483)과의 데이터 교환을 용이하게 한다. 네트워크 인터페이스(453)는, 예를 들면, 네트워크 인터페이스 카드 및 대응하는 네트워크 드라이버 인터페이스 사양(NDIS) 스택과 같은 하나 이상의 소프트웨어 및/또는 하드웨어 모듈을 논리적으로 나타낼 수 있다. 링크(451)는 네트워크의 일부(예를 들면, 이더넷 세그먼트)를 나타내고 원격 컴퓨터 시스템(483)은 네트워크의 노드를 나타낸다.
유사하게, 컴퓨터 시스템(420)은 입출력 인터페이스(446)를 포함하고, 이를 통해 컴퓨터 시스템(420)은 외부 소스로부터 데이터를 수신하고 및/또는 데이터를 외부 소스에 전송한다. 입출력 인터페이스(446)는 모뎀(454; 예를 들면, 표준 모뎀, 케이블 모뎀, 또는 디지털 가입자 라인(DSL) 모뎀)에 결합되고, 이를 통해 컴퓨터 모뎀(420)은 외부 소스로부터 데이터를 수신하고 및/또는 이에 데이터를 전송한다. 도 4를 도시한 바와 같이, 입출력 인터페이스(446) 및 모뎀(454)은 링크(452)를 통해 원격 컴퓨터 시스템(493)과의 데이터 교환을 용이하게 한다. 링크(452)는 네트워크의 일부를 나타내고 원격 컴퓨터 시스템(493)은 네트워크의 노드를 나타낸다.
도 4는 본 발명의 적절한 운영 환경을 나타내지만, 본 발명의 원리는 필요시 적절한 변형으로 본 발명의 원리를 구현할 수 있는 임의의 시스템에서 사용될 수 있다. 도 4에 나타낸 실시예는 단지 예시적이며 본 발명의 원리가 구현될 수 있는 광범위한 환경의 일부만일 뿐이다.
본 발명에 따르면, 예를 들어 자격 증명 준비 모듈(112)과 같은 모듈뿐만 아니라 예를 들어 한정사용 자격 증명(102), 키 쌍(103 및 113), 서버 요청(301 및 313), 클라이언트 응답(306 및 332)이 컴퓨터 시스템(420)에 관련된 컴퓨터 판독가능 매체 중 임의의 것으로부터 저장 및 액세스될 수 있다. 예를 들면, 이러한 모듈의 일부 및 관련 프로그램 데이터의 일부는 운영 체계(435), 애플리케이션 프로그램(436), 프로그램 모듈(437), 및/또는 프로그램 데이터(438)를 시스템 메모리(422)의 스토리지에 대하여 포함될 수 있다.
예를 들면, 자기 하드 디스크(439)와 같은 대용량 스토리지 장치는 컴퓨터 시스템(420)에 결합되는 경우, 이러한 모듈 및 관련 프로그램 데이터가 또한 대용량 스토리지 장치에 저장될 수 있다. 네트워크 환경에서, 컴퓨터 시스템(420) 또는 그 일부에 대하여 도시된 프로그램 모듈은 원격 컴퓨터 시스템(483) 및/또는 원격 컴퓨터 시스템(493)에 관련된 시스템 메모리 및/또는 대용량 스토리지 장치와 같은 원격 메모리 스토리지 장치에 저장될 수 있다. 이러한 모듈의 실행은 분산 환경에서 수행될 수 있다.
본 발명은 그 취지 또는 기본 특성에서 벗어나지 않으면서 다른 특정 형태로 구체화될 수 있다. 설명한 실시예는 모든 측면에서 예시적이고 한정적이 아님이 간주되어야 한다. 따라서, 본 발명의 범위는 상기 설명이 아닌 첨부된 청구항에 의해 나타낸다. 청구항의 의미 및 균등 범위 내에 해당하는 모든 변화는 이 범위에 포함되어야 한다.
상술한 본 발명에 따르면, 인증 방법을 자동 협상하고 자격 증명 준비를 보다 안전하게 제공하는 메커니즘을 제공함으로써, 보다 효율적이고 안전하게 컴퓨팅 시스템을 인증할 수 있다.

Claims (28)

  1. 클라이언트 컴퓨팅 시스템에서, 서버 컴퓨팅 시스템에의 인증에 참여하는 방법으로서,
    상기 클라이언트 컴퓨팅 시스템이 적어도 상기 서버 컴퓨팅 시스템에 배치된 인증 메커니즘의 제1 표시(indication) 및 서버 난스(nonce)를 포함하는 제1 서버 요청을 수신하는 단계(act);
    상기 클라이언트 컴퓨팅 시스템이 상기 서버 컴퓨팅 시스템에 제1 응답을 전송하는 단계 - 상기 제1 응답은 클라이언트 공개 키, 클라이언트 난스, 및 상기 서버 컴퓨팅 시스템으로부터 수신된 상기 인증 메커니즘의 상기 제1 표시에 포함되어 있고, 또한 상기 클라이언트 컴퓨팅 시스템에 배치된 상기 인증 메커니즘의 선택된 집합을 포함함 - ;
    상기 클라이언트 컴퓨팅 시스템이 상기 클라이언트 컴퓨팅 시스템과 상기 서버 컴퓨팅 시스템 사이에 전송되는 컨텐츠를 암호화하는데 사용될 수 있는 터널 키를 식별하는 단계 - 상기 터널 키는 상기 서버 난스 및 상기 클라이언트 난스와 함께 세션 키의 접합(concatenation)의 해시를 포함함 - ;
    상기 클라이언트 컴퓨팅 시스템이 암호화된 인증 컨텐츠를 포함하는 제2 서버 요청을 수신하는 단계 - 상기 암호화된 인증 컨텐츠는 상기 터널 키를 사용하여 암호화되고, 서버 시도(challenge), 상호 배치된 인증 메소드 및 신뢰 앵커를 포함함 - ;
    상기 클라이언트 컴퓨팅 시스템이 상기 터널 키로 상기 암호화된 인증 컨텐츠를 복호화하여 비암호화된 인증 컨텐츠를 나타내는 단계 - 상기 비암호화된 인증 컨텐츠는 상호 배치된 인증 메커니즘, 상기 서버 시도 및 상기 신뢰 앵커를 포함함 -; 및
    상기 클라이언트 컴퓨팅 시스템이 상기 제2 서버 요청에 대한 제2 응답을 상기 서버 컴퓨팅 시스템으로 전송하는 단계 - 상기 제2 응답은 상기 비암호화된 인증 컨텐츠에 응답하는 암호화된 응답 데이터를 포함하고, 클라이언트 시도, 상기 서버 시도에 대응하는 해시된 메시지 인증 코드, 또는 클라이언트 인증 서명 중 적어도 하나를 포함하고, 상기 암호화된 응답 데이터는 상기 상호 배치된 인증 메커니즘에 따라 상기 서버 컴퓨팅 시스템에 상기 클라이언트 컴퓨팅 시스템을 인증하기 위해 사용됨 -
    를 포함하는 인증 참여 방법.
  2. 제1항에 있어서,
    상기 제1 서버 요청은 상기 클라이언트 컴퓨팅 시스템과 상기 서버 컴퓨팅 시스템 사이에 존재하는 이전 세션에 대응하는 이전 패킷 ID를 포함하는 인증 참여 방법.
  3. 제1항에 있어서,
    상기 서버 컴퓨팅 시스템에 배치된 상기 인증 메커니즘은 MS-CHAP v2, MD5를 사용한 인증, 일반 토큰 카드(Generic Token Card)를 사용한 인증, 커베로스(Kerberos)를 사용한 인증, X.509를 사용한 인증, 및 WS-보안을 사용한 인증 중에서 선택되는 하나 이상의 인증 메커니즘을 포함하는 인증 참여 방법.
  4. 제1항에 있어서,
    상기 클라이언트 컴퓨팅 시스템에 배치된 상기 인증 메커니즘은 MS-CHAP v2, MD5를 사용한 인증, 일반 토큰 카드를 사용한 인증, 커베로스를 사용한 인증, X.509를 사용한 인증, 및 WS-보안을 사용한 인증 중에서 선택되는 하나 이상의 인증 메커니즘을 포함하는 인증 참여 방법.
  5. 제1항에 있어서,
    상기 제1 응답은 복수의 공개 키를 포함하는 인증 참여 방법.
  6. 제1항에 있어서,
    상기 제2 서버 요청을 수신하는 단계는, 기존 사용자명과 패스워드를 사용한 클라이언트의 초기 적재(boot-strapping), X.509 인증서를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 인증, 및 커베로스 토큰을 사용한 새로운 클라이언트의 초기 적재 중에서 선택된 인증 메소드에 대응하는 암호화된 인증 컨텐츠를 수신하는 단계를 포함하는 인증 참여 방법.
  7. 제6항에 있어서,
    상기 제2 서버 요청은 이전 패킷 ID를 포함하는 인증 참여 방법.
  8. 제6항에 있어서,
    상기 제2 응답을 전송하는 단계는, 기존 사용자명과 패스워드를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 인증, 및 커베로스 토큰을 사용한 새로운 클라이언트의 초기 적재 중에서 선택된 인증 메소드에 대하여 암호화된 응답 데이터를 전송하는 단계를 포함하는 인증 참여 방법.
  9. 제7항에 있어서,
    상기 제2 응답은 상기 이전 패킷 ID를 포함하는 인증 참여 방법.
  10. 서버 컴퓨팅 시스템에서, 클라이언트 컴퓨팅 시스템에의 인증에 참여하는 방법으로서,
    상기 서버 컴퓨팅 시스템이 적어도 상기 서버 컴퓨팅 시스템에 배치된 인증 메커니즘의 제1 표시 및 서버 난스를 포함하는 제1 요청을 전송하는 단계;
    상기 서버 컴퓨팅 시스템이 상기 제1 요청에 대한 제1 클라이언트 응답을 수신하는 단계 - 상기 제1 클라이언트 응답은 클라이언트 공개 키, 클라이언트 난스, 및 상기 서버에 의해 배치된 상기 인증 메커니즘의 상기 제1 표시에 포함되어 있고, 또한 상기 클라이언트 컴퓨팅 시스템에 배치된 상기 인증 메커니즘의 선택된 집합을 포함함 - ;
    상기 서버 컴퓨팅 시스템이 상기 클라이언트 컴퓨팅 시스템과 상기 서버 컴퓨팅 시스템 사이에 전송되는 컨텐츠를 암호화하는데 사용될 수 있는 터널 키를 식별하는 단계 - 상기 터널 키는 상기 서버 난스 및 상기 클라이언트 난스와 함께 세션 키의 접합의 해시를 포함함 - ;
    상기 서버 컴퓨팅 시스템이 암호화된 인증 컨텐츠를 포함하는 제2 서버 요청을 전송하는 단계 - 상기 암호화된 인증 컨텐츠는 상기 터널 키를 사용하여 암호화되고, 상기 암호화된 인증 컨텐츠는 서버 시도, 상호 배치된 인증 메커니즘 및 신뢰 앵커를 포함함 - ; 및
    상기 서버 컴퓨팅 시스템이 상기 클라이언트 컴퓨팅 시스템으로부터의 상기 제2 클라이언트 응답을 수신하는 단계 - 상기 제2 클라이언트 응답은 상기 암호화된 인증 컨텐츠에 응답하는 암호화된 응답 데이터를 포함하고, 클라이언트 시도, 상기 서버 시도에 대응하는 해시된 메시지 인증 코드, 또는 클라이언트 인증 서명 중 적어도 하나를 포함하고, 상기 암호화된 응답 데이터는 상기 상호 배치된 인증 메커니즘에 따라 상기 서버 컴퓨팅 시스템에 상기 클라이언트 컴퓨팅 시스템을 인증하기 위해 사용됨 -
    을 포함하는 인증 참여 방법.
  11. 제10항에 있어서,
    상기 제1 요청은 상기 클라이언트 컴퓨팅 시스템과 상기 서버 컴퓨팅 시스템 사이에 존재하는 이전 세션에 대응하는 이전 패킷 ID를 포함하는 인증 참여 방법.
  12. 제10항에 있어서,
    상기 서버 컴퓨팅 시스템에 배치된 상기 인증 메커니즘은 MS-CHAP v2, MD5를 사용한 인증, 일반 토큰 카드를 사용한 인증, 커베로스를 사용한 인증, X.509를 사용한 인증, 및 WS-보안을 사용한 인증 중에서 선택되는 하나 이상의 인증 메커니즘을 포함하는 인증 참여 방법.
  13. 제10항에 있어서,
    상기 클라이언트 컴퓨팅 시스템에 배치된 상기 인증 메커니즘은 MS-CHAP v2, MD5를 사용한 인증, 일반 토큰 카드를 사용한 인증, 커베로스를 사용한 인증, X.509를 사용한 인증, 및 WS-보안을 사용한 인증 중에서 선택되는 하나 이상의 인증 메커니즘을 포함하는 인증 참여 방법.
  14. 제10항에 있어서,
    상기 제1 클라이언트 응답은 복수의 공개 키를 포함하는 인증 참여 방법.
  15. 제10항에 있어서,
    상기 제2 요청을 전송하는 단계는, 기존 사용자명과 패스워드를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 인증, 및 커베로스 토큰을 사용한 새로운 클라이언트의 초기 적재 중에서 선택된 인증 메소드에 대응하는 암호화된 인증 컨텐츠를 전송하는 단계를 포함하는 인증 참여 방법.
  16. 제15항에 있어서,
    상기 제2 요청은 이전 패킷 ID를 포함하는 인증 참여 방법.
  17. 제15항에 있어서,
    상기 제2 클라이언트 응답을 수신하는 단계는, 기존 사용자명과 패스워드를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 클라이언트의 초기 적재, X.509 인증서를 사용한 인증, 및 커베로스 토큰을 사용한 새로운 클라이언트의 초기 적재 중에서 선택된 인증 메소드에 대하여 암호화된 응답 데이터를 수신하는 단계를 포함하는 인증 참여 방법.
  18. 제17항에 있어서,
    상기 제2 클라이언트 응답은 이전 패킷 ID를 포함하는 인증 참여 방법.
  19. 제1항에 있어서, 상기 제1 응답은 복수의 보안 결합(associations)을 또한 포함하고, 상기 제2 요청은 상기 복수의 보안 결합들 중에서 선택되는 상기 복수의 보안 결합중 하나를 포함하는 인증 참여 방법.
  20. 제1항에 있어서, 상기 제2 응답은 상기 클라이언트 시도를 포함하는 인증 참여 방법.
  21. 제1항에 있어서, 상기 제2 응답은 상기 해시된 메시지 인증 코드를 포함하는 인증 참여 방법.
  22. 제1항에 있어서, 상기 제2 응답은 상기 클라이언트 인증 서명을 포함하는 인증 참여 방법.
  23. 삭제
  24. 삭제
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
KR1020050022709A 2004-03-19 2005-03-18 컴퓨팅 시스템의 효율적이고 안전한 인증 KR101130356B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/804,591 2004-03-19
US10/804,591 US7549048B2 (en) 2004-03-19 2004-03-19 Efficient and secure authentication of computing systems

Publications (2)

Publication Number Publication Date
KR20060044410A KR20060044410A (ko) 2006-05-16
KR101130356B1 true KR101130356B1 (ko) 2012-03-28

Family

ID=34838939

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050022709A KR101130356B1 (ko) 2004-03-19 2005-03-18 컴퓨팅 시스템의 효율적이고 안전한 인증

Country Status (6)

Country Link
US (1) US7549048B2 (ko)
EP (2) EP1577736B1 (ko)
JP (1) JP4746333B2 (ko)
KR (1) KR101130356B1 (ko)
CN (2) CN1722658A (ko)
ES (1) ES2595105T3 (ko)

Families Citing this family (116)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
EP1714418B1 (en) * 2004-02-11 2017-01-11 Telefonaktiebolaget LM Ericsson (publ) Key management for network elements
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US8074287B2 (en) * 2004-04-30 2011-12-06 Microsoft Corporation Renewable and individualizable elements of a protected environment
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
US7725716B2 (en) * 2004-06-28 2010-05-25 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8117452B2 (en) * 2004-11-03 2012-02-14 Cisco Technology, Inc. System and method for establishing a secure association between a dedicated appliance and a computing platform
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US7114648B2 (en) * 2005-01-31 2006-10-03 Stratitec, Inc. Networked time-keeping system
JP2008530879A (ja) * 2005-02-11 2008-08-07 ノキア コーポレイション 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US7640430B2 (en) * 2005-04-04 2009-12-29 Cisco Technology, Inc. System and method for achieving machine authentication without maintaining additional credentials
US7975140B2 (en) * 2005-04-08 2011-07-05 Nortel Networks Limited Key negotiation and management for third party access to a secure communication session
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US7739505B2 (en) * 2005-04-22 2010-06-15 Microsoft Corporation Linking Diffie Hellman with HFS authentication by using a seed
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US20070050630A1 (en) * 2005-08-24 2007-03-01 Samsung Electronics Co., Ltd. Authentication method and system for asynchronous eventing over the internet
US20070067780A1 (en) * 2005-08-24 2007-03-22 Samsung Electronics Co., Ltd. Method and system for asynchronous eventing over the internet
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US9768963B2 (en) 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US8091120B2 (en) * 2005-12-21 2012-01-03 At&T Intellectual Property I, L.P. Adaptive authentication methods, systems, devices, and computer program products
KR101009330B1 (ko) * 2006-01-24 2011-01-18 후아웨이 테크놀러지 컴퍼니 리미티드 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
CN101060406B (zh) * 2006-04-20 2010-05-12 华为技术有限公司 一种端到端通信认证的方法及装置
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法
US20070220598A1 (en) * 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution
CN101051898B (zh) * 2006-04-05 2010-04-21 华为技术有限公司 无线网络端到端通信认证方法及其装置
CN101102180B (zh) * 2006-07-03 2010-08-25 联想(北京)有限公司 基于硬件安全单元的系统间绑定及平台完整性验证方法
US7565539B2 (en) * 2006-07-03 2009-07-21 Viasat Inc. Method and apparatus for secure communications
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7865727B2 (en) * 2006-08-24 2011-01-04 Cisco Technology, Inc. Authentication for devices located in cable networks
US20080072292A1 (en) * 2006-09-01 2008-03-20 Narjala Ranjit S Secure device introduction with capabilities assessment
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
ATE529995T1 (de) 2007-03-01 2011-11-15 Mitsubishi Electric Corp Verfahren, vorrichtungen und programmprodukt zur robusten digest-authentifizierung mittels zwei verschiedener arten von nonce-werten
US8381268B2 (en) * 2007-05-11 2013-02-19 Cisco Technology, Inc. Network authorization status notification
US8539233B2 (en) * 2007-05-24 2013-09-17 Microsoft Corporation Binding content licenses to portable storage devices
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和系统
KR100948604B1 (ko) * 2008-03-25 2010-03-24 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US8094812B1 (en) * 2007-09-28 2012-01-10 Juniper Networks, Inc. Updating stored passwords
CN102333100B (zh) * 2007-11-08 2013-11-06 华为技术有限公司 进行认证的方法及终端
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
JP5496907B2 (ja) * 2007-11-30 2014-05-21 テレフオンアクチーボラゲット エル エム エリクソン(パブル) セキュアな通信のための鍵管理
US8503679B2 (en) * 2008-01-23 2013-08-06 The Boeing Company Short message encryption
US8943560B2 (en) * 2008-05-28 2015-01-27 Microsoft Corporation Techniques to provision and manage a digital telephone to authenticate with a network
US8181861B2 (en) 2008-10-13 2012-05-22 Miri Systems, Llc Electronic transaction security system and method
CN102227734B (zh) * 2008-11-28 2014-02-26 国际商业机器公司 用于保护机密文件的客户端计算机和其服务器计算机以及其方法
EP2401711A4 (en) * 2009-02-25 2016-12-28 Miri Systems Llc PAYMENT SYSTEM AND METHOD
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device
EP2486693B1 (en) 2009-10-05 2023-05-31 Miri Systems, LLC Electronic transaction security system and method
US8606234B2 (en) * 2009-12-31 2013-12-10 Symantec Corporation Methods and apparatus for provisioning devices with secrets
US8856509B2 (en) * 2010-08-10 2014-10-07 Motorola Mobility Llc System and method for cognizant transport layer security (CTLS)
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
CN102025748B (zh) * 2011-01-04 2013-01-23 深信服网络科技(深圳)有限公司 获取Kerberos认证方式的用户名的方法、装置和系统
DE102011013562B3 (de) * 2011-03-10 2012-04-26 Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, vertreten durch den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik Verfahren zur Authentisierung, RF-Chip-Dokument, RF-Chip-Lesegerät und Computerprogrammprodukte
US8793780B2 (en) * 2011-04-11 2014-07-29 Blackberry Limited Mitigation of application-level distributed denial-of-service attacks
TW201306610A (zh) * 2011-06-28 2013-02-01 Interdigital Patent Holdings 驗證協定之自動協商及選擇
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9137262B2 (en) 2011-10-11 2015-09-15 Citrix Systems, Inc. Providing secure mobile device access to enterprise resources using application tunnels
EP2810206A4 (en) * 2012-01-31 2015-11-11 Hewlett Packard Development Co SELECTION OF A CONFIGURATION CONNECTION FOR THE RECEPTION OF ACTIVATION DATA
US9722972B2 (en) 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US8997193B2 (en) * 2012-05-14 2015-03-31 Sap Se Single sign-on for disparate servers
US20140108558A1 (en) 2012-10-12 2014-04-17 Citrix Systems, Inc. Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9170800B2 (en) 2012-10-16 2015-10-27 Citrix Systems, Inc. Application wrapping for application management framework
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US10051467B2 (en) 2013-01-23 2018-08-14 Microsoft Technology Licensing, Llc Restricted-use authentication codes
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
JP6480908B2 (ja) 2013-03-15 2019-03-13 オラクル・インターナショナル・コーポレイション アプリケーション間におけるコンピュータ間の保護された通信
US9129112B2 (en) 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
EP2979420B1 (en) * 2013-03-28 2019-07-03 InterDigital CE Patent Holdings Network system comprising a security management server and a home network, and method for including a device in the network system
US9369449B2 (en) 2013-03-29 2016-06-14 Citrix Systems, Inc. Providing an enterprise application store
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9225516B1 (en) * 2013-10-03 2015-12-29 Whatsapp Inc. Combined authentication and encryption
US20150134966A1 (en) 2013-11-10 2015-05-14 Sypris Electronics, Llc Authentication System
US10382962B2 (en) * 2014-05-22 2019-08-13 Analog Devices, Inc. Network authentication system with dynamic key generation
EP3198418B1 (en) 2014-09-24 2020-04-22 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US20160128104A1 (en) * 2014-11-05 2016-05-05 Google Inc. In-field smart device updates
US9760501B2 (en) 2014-11-05 2017-09-12 Google Inc. In-field smart device updates
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
CN107924437A (zh) 2015-06-17 2018-04-17 瑞典爱立信有限公司 用于使得能够实现凭证的安全供应的方法以及相关无线装置和服务器
WO2017004466A1 (en) * 2015-06-30 2017-01-05 Visa International Service Association Confidential authentication and provisioning
WO2017001022A1 (en) 2015-07-02 2017-01-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for obtaining initial access to a network, and related wireless devices and network nodes
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
US10575273B2 (en) * 2016-03-31 2020-02-25 Intel Corporation Registration of devices in secure domain
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US10742625B2 (en) * 2016-09-30 2020-08-11 Panasonic Avionics Corporation Automated delivery of security credentials to scheduled crew
DK3334188T3 (da) * 2016-12-08 2021-06-28 Gn Hearing As Høreindretning, brugerapplikation og fremgangsmåde til oprettelse af en sikker forbindelse mellem en høreindretning og en brugerapplikation
EP3334185B1 (en) 2016-12-08 2021-06-02 GN Hearing A/S Hearing system, devices and method of securing communication for a user application
US10574445B2 (en) * 2016-12-21 2020-02-25 Intel IP Corporation Range constrained device configuration
EP3520320A4 (en) * 2017-02-13 2020-03-04 Hewlett-Packard Development Company, L.P. AUTHENTICATED ENCRYPTION
US11075906B2 (en) * 2017-12-28 2021-07-27 Shoppertrak Rct Corporation Method and system for securing communications between a lead device and a secondary device
WO2020024021A1 (pt) * 2018-07-29 2020-02-06 Nouvenn Corporation Método de segurança para rede de comunicação de dados
US10791462B2 (en) * 2018-10-15 2020-09-29 Cisco Technology, Inc. Flexible device onboarding via bootstrap keys
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
EP3796613B1 (en) * 2019-09-17 2023-04-12 Mastercard International Incorporated Techniques for repeat authentication
CN112688907B (zh) 2019-10-17 2023-06-30 华为技术有限公司 组合式设备远程证明模式协商方法及相关设备,存储介质
US11870768B1 (en) 2020-04-10 2024-01-09 Cisco Technology, Inc. Certificate-based techniques to securely onboard a radio interface unit
WO2022157785A1 (en) 2021-01-25 2022-07-28 Volumez Technologies Ltd. Method and system for orchestrating remote block device connection between servers
CN113378141A (zh) * 2021-08-12 2021-09-10 明品云(北京)数据科技有限公司 一种文本数据传输方法、系统、设备及介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6983381B2 (en) * 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords

Family Cites Families (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04245818A (ja) * 1991-01-31 1992-09-02 Pioneer Electron Corp 情報伝送システム
JPH0515422A (ja) * 1991-07-12 1993-01-26 Matsushita Seiko Co Ltd 調理装置
JPH06261033A (ja) * 1993-03-08 1994-09-16 Nippon Telegr & Teleph Corp <Ntt> 認証制御方式
US7136903B1 (en) * 1996-11-22 2006-11-14 Mangosoft Intellectual Property, Inc. Internet-based shared file service with native PC client access and semantics and distributed access control
US7756986B2 (en) * 1998-06-30 2010-07-13 Emc Corporation Method and apparatus for providing data management for a storage system coupled to a network
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6845395B1 (en) * 1999-06-30 2005-01-18 Emc Corporation Method and apparatus for identifying network devices on a storage network
US6892307B1 (en) * 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6668322B1 (en) * 1999-08-05 2003-12-23 Sun Microsystems, Inc. Access management system and method employing secure credentials
US6782412B2 (en) * 1999-08-24 2004-08-24 Verizon Laboratories Inc. Systems and methods for providing unified multimedia communication services
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
GB2364477B (en) * 2000-01-18 2003-11-05 Ericsson Telefon Ab L M Virtual private networks
JP3437990B2 (ja) * 2000-03-17 2003-08-18 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信方法、通信端末、無線アドホックネットワークおよび携帯電話
US6907546B1 (en) * 2000-03-27 2005-06-14 Accenture Llp Language-driven interface for an automated testing framework
US6636966B1 (en) * 2000-04-03 2003-10-21 Dphi Acquisitions, Inc. Digital rights management within an embedded storage device
US7257836B1 (en) 2000-04-24 2007-08-14 Microsoft Corporation Security link management in dynamic networks
ATE472208T1 (de) * 2000-04-28 2010-07-15 Swisscom Ag Verfahren zur sicherung der kommunikation zwischen einem endgerät und einer zusätzlichen benutzervorrichtung
EP1287418A2 (en) * 2000-05-10 2003-03-05 Tech Link International Entertainment Limited Security system for high level transactions between devices
FR2812504B1 (fr) * 2000-07-31 2003-01-24 At Sky Systeme de cryptage/decryptage "a la volee" pour la diffusion de donnees
JP2002041474A (ja) * 2000-07-31 2002-02-08 Oki Electric Ind Co Ltd 認証方法
US6912522B2 (en) * 2000-09-11 2005-06-28 Ablesoft, Inc. System, method and computer program product for optimization and acceleration of data transport and processing
US6807569B1 (en) * 2000-09-12 2004-10-19 Science Applications International Corporation Trusted and anonymous system and method for sharing threat data to industry assets
US20020116611A1 (en) * 2000-10-31 2002-08-22 Cornell Research Foundation, Inc. Secure distributed on-line certification authority
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
JP2002152317A (ja) * 2000-11-10 2002-05-24 Fujitsu Ltd 試験装置
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
US7114080B2 (en) * 2000-12-14 2006-09-26 Matsushita Electric Industrial Co., Ltd. Architecture for secure remote access and transmission using a generalized password scheme with biometric features
US7181762B2 (en) * 2001-01-17 2007-02-20 Arcot Systems, Inc. Apparatus for pre-authentication of users using one-time passwords
US20020161826A1 (en) * 2001-01-25 2002-10-31 Carlos Arteaga System and method for remote communication transactions
JP4437370B2 (ja) * 2001-01-26 2010-03-24 大阪瓦斯株式会社 認証方法、認証システム、通信装置、プログラム、及び記録媒体
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US6944678B2 (en) 2001-06-18 2005-09-13 Transtech Networks Usa, Inc. Content-aware application switch and methods thereof
US6954792B2 (en) * 2001-06-29 2005-10-11 Sun Microsystems, Inc. Pluggable authentication and access control for a messaging system
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
GB2381423B (en) * 2001-10-26 2004-09-15 Ericsson Telefon Ab L M Addressing mechanisms in mobile IP
US20030084171A1 (en) 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
JP2003150735A (ja) * 2001-11-13 2003-05-23 Hitachi Ltd 電子証明書システム
KR100420265B1 (ko) * 2001-11-15 2004-03-02 한국전자통신연구원 무선 인터넷 망간 접속 방법
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7313816B2 (en) * 2001-12-17 2007-12-25 One Touch Systems, Inc. Method and system for authenticating a user in a web-based environment
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US8184603B2 (en) * 2002-01-31 2012-05-22 Lgc Wireless, Llc Communication system having a community wireless local area network for voice and high speed data communication
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US6993683B2 (en) * 2002-05-10 2006-01-31 Microsoft Corporation Analysis of pipelined networks
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7275156B2 (en) * 2002-08-30 2007-09-25 Xerox Corporation Method and apparatus for establishing and using a secure credential infrastructure
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7313618B2 (en) * 2002-10-31 2007-12-25 Sap Aktiengesellschaft Network architecture using firewalls
AU2003276588A1 (en) * 2002-11-18 2004-06-15 Nokia Corporation Faster authentication with parallel message processing
US7587598B2 (en) * 2002-11-19 2009-09-08 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
US8387106B2 (en) * 2002-12-11 2013-02-26 Broadcom Corporation Method and system for secure linking with authentication and authorization in a media exchange network
US7685295B2 (en) * 2002-12-19 2010-03-23 Chantry Networks Inc. Wireless local area communication network system and method
JP4446330B2 (ja) * 2003-03-19 2010-04-07 株式会社リコー 通信装置
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
WO2004100487A1 (en) * 2003-05-12 2004-11-18 Docomo Communications Laboratories Europe Gmbh Network security method and system
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7519989B2 (en) * 2003-07-17 2009-04-14 Av Thenex Inc. Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions
JP4504130B2 (ja) * 2003-07-25 2010-07-14 株式会社リコー 通信装置、通信システム、証明書送信方法及びプログラム
US20050114713A1 (en) * 2003-11-25 2005-05-26 Shawn Beckman Automated subscription and purchasing service for a data computing device
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US7181493B2 (en) * 2003-12-23 2007-02-20 Unisys Corporation Platform independent model-based framework for exchanging information in the justice system
JP3918827B2 (ja) * 2004-01-21 2007-05-23 株式会社日立製作所 セキュアリモートアクセスシステム
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
JP2005259111A (ja) * 2004-01-26 2005-09-22 Ricoh Co Ltd ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体
US20050188211A1 (en) * 2004-02-19 2005-08-25 Scott Steven J. IP for switch based ACL's
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6983381B2 (en) * 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A Scheme for Authentication and Dynamic Key Exchange in 802.1x Networks, April 30, 2002. *

Also Published As

Publication number Publication date
EP1577736A3 (en) 2006-12-27
EP2105819B1 (en) 2016-07-13
JP4746333B2 (ja) 2011-08-10
EP2105819A1 (en) 2009-09-30
US7549048B2 (en) 2009-06-16
EP1577736B1 (en) 2018-04-25
CN101764803A (zh) 2010-06-30
JP2005269656A (ja) 2005-09-29
US20050210252A1 (en) 2005-09-22
KR20060044410A (ko) 2006-05-16
CN101764803B (zh) 2013-02-27
ES2595105T3 (es) 2016-12-27
CN1722658A (zh) 2006-01-18
EP1577736A2 (en) 2005-09-21

Similar Documents

Publication Publication Date Title
KR101130356B1 (ko) 컴퓨팅 시스템의 효율적이고 안전한 인증
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
US7900247B2 (en) Trusted third party authentication for web services
JP4744785B2 (ja) セッションキー・セキュリティプロトコル
US20080320566A1 (en) Device provisioning and domain join emulation over non-secured networks
US20090113537A1 (en) Proxy authentication server
US11184336B2 (en) Public key pinning for private networks
WO2001082037A2 (en) Security link management in dynamic networks
US20100235625A1 (en) Techniques and architectures for preventing sybil attacks
US11218317B1 (en) Secure enclave implementation of proxied cryptographic keys
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
WO2022143935A1 (zh) 基于区块链的sdp访问控制方法及系统
US20220006654A1 (en) Method to establish an application level ssl certificate hierarchy between master node and capacity nodes based on hardware level certificate hierarchy
EP4145763A1 (en) Exporting remote cryptographic keys
US20220045848A1 (en) Password security hardware module
CN114765551A (zh) 基于区块链的sdp访问控制方法及装置
Chen et al. Parsing ambiguities in authentication and key establishment protocols
Singh et al. Survey and analysis of Modern Authentication system
Sriramulu et al. A Secure Network Communication Based on Kerberos & MD5

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150217

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160218

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170220

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180219

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200218

Year of fee payment: 9