KR101159355B1 - 클라이언트 장치를 안전하게 준비하는 방법 및 시스템 - Google Patents

클라이언트 장치를 안전하게 준비하는 방법 및 시스템 Download PDF

Info

Publication number
KR101159355B1
KR101159355B1 KR1020050118811A KR20050118811A KR101159355B1 KR 101159355 B1 KR101159355 B1 KR 101159355B1 KR 1020050118811 A KR1020050118811 A KR 1020050118811A KR 20050118811 A KR20050118811 A KR 20050118811A KR 101159355 B1 KR101159355 B1 KR 101159355B1
Authority
KR
South Korea
Prior art keywords
computing device
client
network address
client computing
server computing
Prior art date
Application number
KR1020050118811A
Other languages
English (en)
Other versions
KR20060064544A (ko
Inventor
칼빈 씨. 초에
비벡 피. 카매스
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060064544A publication Critical patent/KR20060064544A/ko
Application granted granted Critical
Publication of KR101159355B1 publication Critical patent/KR101159355B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Communication Control (AREA)
  • Circuits Of Receivers In General (AREA)
  • Automobile Manufacture Line, Endless Track Vehicle, Trailer (AREA)
  • Soil Working Implements (AREA)

Abstract

동적 구성 프로세스 동안 클라이언트를 인증함으로써 클라이언트를 안전하게 준비하는 메커니즘이 개시된다. 본 발명은, 사후구성 인증 스킴에 의존하기보다는 보안성과 동적 구성을 하나의 통합된 스킴으로 결합시킨다. 네트워크에 액세스하려는 임의의 클라이언트 장치는 그 네트워크와 연관된 구성 서버로부터 구성 정보를 요청할 수 있지만, 서버는 클라이언트가 네트워크에 대한 구성 정보를 수신하도록 허가된 장치로서 그 자신이 성공적으로 인증될 때까지 요청에 응하지 않는다. 구성 서버는 클라이언트가 인증 프로세스와 함께 진행하는 것은 허용하지만 클라이언트가 네트워크에 완전하게 액세스하는 것은 부정하는 일시적 구성 정보를 클라이언트에 제공할 수 있다. 성공적인 인증시, 서버는 클라이언트에게 새로운, 비일시적 구성 정보를 제공할 수 있거나 일시적인 것으로부터 이미 주어진 정보의 상태를 더 완전한 액세스를 제공하는 상태로 변경할 수 있다.
Figure R1020050118811
DHCP 서버, 미사용 ID, EAP 성능 옵션, 구성 클라이언트, 네트워크, IP 어드레스

Description

클라이언트 장치를 안전하게 준비하는 방법 및 시스템{METHOD AND SYSTEM FOR SECURELY PROVISIONING A CLIENT DEVICE}
첨부된 특허청구범위가 본 발명의 특징을 기술하고 있지만, 본 발명과 그 목적 및 장점은 첨부된 도면과 아래의 상세한 설명으로부터 가장 잘 이해될 것이다.
도 1은 보안 구성 서버에 의해서 "보호되는(guarded)" 네트워크에 참여하려하는 클라이언트 장치를 도시하는 블럭도.
도 2는 본 발명을 지원하는 예시적인 컴퓨팅 장치를 도시하는 개략도.
도 3a 내지 3c는 클라이언트와 보안 구성 서버 사이의 예시적인 교환을 도시하는 논리 흐름도.
도 4a 및 4b는 DHCP 및 EAP 메시지들이 보안 구성 스킴을 구현하는 데에 어떻게 이용될 수 있는지를 도시하는 통신 흐름도.
도 5는 DHCP 메시지의 옵션 필드 내에 포함되는 EAP 메시지의 데이터 구조도.
*도면의 주요부분에 대한 부호의 설명*
100: 네트워크 106: 구성 클라이언트
104: 보안 구성 서버 200: 프로세싱 유니트
202: 메모리 206: 분리성 기억장치
210: 통신채널 502: 옵션 필드
본 발명은 전반적으로 컴퓨터 통신에 관한 것으로, 보다 구체적으로는 클라이언트 장치를 원격으로 준비하는(provisioning) 것에 관한 것이다.
과거에는 일단 컴퓨터가 작업 환경에 대하여 구성되고 나면 이러한 구성은 거의 혹은 전혀 변경되지 않았다. 그러나, 근래의 동적 컴퓨팅 환경에서는 컴퓨터는 그 구성을 빈번하게 변경할 필요가 있을 수 있을 것이다. 예컨대, 이동식 컴퓨터가 한 무선 네트워크에서 다른 무선 네트워크로 이동하는 경우에는 이동식 컴퓨터는 네트워크 어드레스를 새로운 네트워크에 적절한 네트워크 어드레스로 변경할 것이다. 또한, 컴퓨터가 일시적으로 ad hoc 네트워크 그룹에 참여하는 경우에, 관리 및 보안 정책은 컴퓨터가 그 구성을 ad hoc 그룹에 더 적절한 것으로 변경시키는 것을 요구할 수 있을 것이다. 제3의 예에서, 몇몇 컴퓨터는 ISP(Internet Service Provider)를 통해서 인터넷에 액세스할 때마다 자신의 구성을, 적어도 자신의 네트워크 어드레스를 변경한다.
동적 구성의 다양한 측면을 지원하기 위한 프로토콜이 개발되어왔다. 일 예로서, DHCP(Dynamic Host Configuration Protocol)는, 다른 네트워크 구성 정보 가운데, IP(Internet Protocol) 어드레스를 요청 컴퓨터에 제공한다. DHCP는 IP 어드레스를 필요로 하는 클라이언트 컴퓨터가 DHCP 서버 중 하나를 요청하는 클라이 언트-서버 모델을 이용한다. ISP에 의해서 제공되는 몇몇 경우에, DHCP 서버는 IP 어드레스의 풀(pool)을 제어한다. 클라이언트의 요청을 수신하는 경우에, DHCP 서버는 3가지 어드레스 할당 모드 중 하나를 수행한다. "자동 할당" 모드에서, DHCP 서버는 자신의 풀(pool)로부터 미사용(unused) IP 어드레스를 선택하고, 이를 요청 클라이언트에 영구적으로 할당한다. "수동 할당" 모드에서, 네트워크 관리자는 어드레스를 선택한다. 동적 구성에서 가장 관심을 끄는 "동적 할당" 모드에서, DHCP 서버는 현재 미사용 IP 어드레스를 클라이언트에 할당하지만, 이러한 동적 어드레스는 DHCP 서버에 의해서 설정된 제한된 시간의 기간 동안 또는 클라이언트가 명시적으로 어드레스의 사용을 포기할 때까지만 유효하다. 이용된 할당 모드에 관계없이, 동적 할당의 경우에, DHCP 서버는 할당된 IP 어드레스와 함께 할당의 시간 주기를 클라이언트에 알림으로써 클라이언트의 요청에 응답한다. DHCP 서버가 IP 어드레스를 제공할 수 없는 경우에는(아마도 그 풀 내의 모든 어드레스들이 현재 사용중이기 때문일 것임), DHCP 서버는 클라이언트에게 이러한 사실을 알리고 클라이언트는 나중에 네트워크에 액세스할 때까지 기다려야 한다.
임의의 동적 컴퓨팅 시스템에서, 구성의 용이함은 보안 관계와 균형을 이루어야 한다. 많은 단체가 그 단체의 내부(즉, 사적인) 작업을 수행하기 위하여 동적 네트워크를 확립하고, 그러한 단체는 권한없는 컴퓨터가 자신을 동적으로 구성하고 네트워크에 참여할 것이 허락된다면 타협될 수 있을 것이다. 비록 이들이 유용하기는 하지만, DHCP를 포함하는 동적 구성 프로토콜은 통상적으로 보안 영역에 있어서는 취약점을 가진다. 자신의 네트워크의 보안을 유지하기 위하여 (암호 키 기반 인증 메커니즘과 같은)사후구성 프로세스(post-configuration process)에 상당히 의존함으로써, 몇몇 구성 서버들은 무의식중에 악의의 클라이언트를 허용한다. 사후구성 스킴은 대개 악의의 클라이언트의 액세스 및 가능한 해악을 제한하도록 선전되는 바와 같이 작용하지만, 여전히 몇몇 해악은 사후구성 보호 스킴에 굴복되기 전에도 악의자에 의해서 행해져서 아마도 실패할 수 있을 것이다.
전술한 바와 같이, 본 발명은 동적 구성 프로세스 동안에 클라이언트를 인증함으로써 클라이언트를 안전하게 준비하는 메커니즘을 제공한다. 본 발명은 사후구성 인증 체계에 의존하지 않고 보안성 및 동적 구성을 하나의 통합된 스킴으로 묶는다.
네트워크에 액세스하려고 시도하는 임의의 클라이언트 장치는 그 네트워크와 관련된 구성 서버로부터 구성 정보를 요청할 수 있을 것이지만, 서버는 그러한 클라이언트가 네트워크에 대한 구성 정보를 수신하도록 권한을 부여받은 장치임을 성공적으로 자신을 증명할 때까지 그러한 요청에 따르지 않는다. 일 실시예에서, 구성 서버는 클라이언트에게 클라이언트가 인증 프로세스를 진행하는 것을 허용하기는 하지만 네트워크에의 전적인 액세스는 부인하는, 예컨대 일시적인 네트워크 어드레스와 같은 일시적인 구성 정보를 제공할 수 있을 것이다. 성공적인 인증시에, 서버는 클라이언트에게 새로운, 일시적이지 않은 구성 정보를 제공하거나, 이미 주어진 일시적인 정보의 상태를 더욱 전적인 액세스를 부여하는 상태로 변경할 수 있을 것이다.
일 실시예에서, 본 발명은 프로토콜을 변경할 것을 요구하지 않고 DHCP와 같은 기존 동적 구성 프로토콜을 이용한다. 인증 프로세스에서 이용되는 메시지는 기존 구성 메시지 내에, 예컨대 DHCP 메시지의 옵션 필드 내에서 전달된다.
다른 실시예에서, 본 발명은 기존 보안 프로토콜을 동적 구성 환경에 적용한다. 예컨대, EAP(Extensible Authentication Protocol)가 본 발명의 많은 보안 작업에 대하여 인증 프레임워크로서 변형없이 이용될 수 있다.
이전의 2개의 문단의 실시예들을 결합하면 EAP 메시지가 DHCP 메시지의 옵션 필드 내에서 전달될 수 있다. 클라이언트가 구성 정보를 요청하는 경우에는 DHCP 메시지 내에 EAP 성능 옵션(capability option)을 포함한다. EAP는 클라이언트가 DHCP 서버에 대하여 자신을 증명할 때까지 유지된다(그리고, 어떤 시나리오에서는 서버가 클라이언트에 대하여 자신을 인증하기도 함). 이때에, DHCP 서버는 요청된 구성 정보를 제공함으로써 초기 요청에 응답할 수 있다.
안전한, 동적 준비 메커니즘(dynamic provisioning mechanism)의 일부로서, 구성 서버는 서브중인 네트워크에 대하여 설정된 정책을 적용할 수 있다. 예컨대, 제공된 구성 정보는 기간 또는 범위에 있어서 제한될 수 있다.
동일한 참조 부호가 동일한 요소를 나타내는 도면을 참조하면, 본 발명은 적절한 컴퓨팅 환경에서 구현되는 것으로 도시되어 있다. 아래의 설명은 본 발명의 실시예에 근거하고 있으며, 여기에 명시적으로 기술되지 않은 다른 실시예와의 관계에서 본 발명을 제한하는 것으로 간주되어서는 안된다.
아래의 설명에서, 본 발명에 관한 환경은 달리 표현되지 않는 한, 하나 이상의 컴퓨팅 장치들에 의해서 수행되는 연산의 동작 및 기호적인 표현을 참조하여 기술된다. 이처럼, 가끔은 컴퓨터에 의해서 실행되는 것으로 일컬어지는 이러한 동작 및 연산은 데이터를 구조화된 형태로 나타내는 전기적인 신호의 컴퓨팅 장치의 처리 유닛에 의한 처리를 포함한다. 이러한 처리는 데이터를 변형하거나, 데이터를 컴퓨팅 장치의 메모리 시스템 내의 위치에 유지하며, 이것은 장치의 동작을 본 기술 분야에 공지된 방식으로 재구성하거나 변경한다. 데이터가 유지되는 데이터 구조는 데이터의 포맷에 의해서 정의되는 특정한 속성을 가지는 메모리의 물리적 위치이다. 그러나, 본 발명은 전술한 맥락으로 기술되지만, 본 기술 분야의 당업자가 이후에 기술된 다양한 동작과 연산이 하드웨어로도 구현될 수 있음을 이해하는 바와 같이 제한적인 것은 아니다.
도 1은 본 발명의 다양한 측면의 개관을 나타내는 데에 유용하다. 보다 상세한 논의는 다른 도면을 참조하여 아래에 기술될 것이다. 보안된 네트워크(100)가 도 1에 도시되어 있다. 간단하게 말하자면, 여기서 보안되었다는 것은 네트워크(100)가 권한을 가지지 않는 사용자들에게는 폐쇄되었음을 의미한다. 보안(security)은 구성 파라미터의 세트들에 의해서 실행되며, 이미 네트워크(100) 내에 있는 장치(102)는 적절한 구성 파라미터를 가지므로 다른 장치와 자유롭게 통신할 수 있을 것이다. 구성 클라이언트(106)와 같은 아웃사이더는 적절한 구성 파라미터의 세트를 가지지 않으므로 이들 장치(102)들과 통신할 수 없다. 구성 클라이언트(106)가 네트워크(100)에 참여하기를 바라기 때문에, 구성 클라이언트(106)는 네트워크(100)를 "보호하는" 보안 구성 서버(104)를 통해서 허가를 구한다. 네트워크(100)로의 게이트웨이로서, 임의의 외부장치는 보안 구성 서버(104)와 자유로이 통신할 수 있다.
네트워크(100)에 참여하려는 구성 클라이언트(106)의 요청을 수신한 후, 그러나 구성 클라이언트(106)에 적절한 구성 파라미터의 세트를 제공하기 전에, 보안 구성 서버(104)는 구성 클라이언트(106)가 자신을 증명하도록, 즉 네트워크(100)에 참여하도록 권한이 부여된 장치일 것을 증명하도록 강제된다. 권한 부여(authorization)가 초기에 어떻게 설정되었는지는 본 발명의 범위를 벗어나는 것이지만, 많은 방법이 본 기술 분야에 공지되어 있다.
구성 클라이언트(106)는 자신의 아이덴티티(identity)를 보안 구성 서버(104)에 증명하기 위하여 절차를 진행한다. 이러한 인증 프로세스의 상세한 예는 도 3a 내지 3c, 4a, 4b 및 5에 도시되어 있다. 몇몇 네트워크에서, 보안 구성 서버는 또한 자신의 아이덴티티를 요청 구성 클라이언트에 증명한다. 이러한 양방향, 즉 상호적인 인증은 악의의 장치가 네트워크의 보안 구성 서버를 모방하는 것을 방지함으로써 이들 네트워크의 보안을 강화한다.
인증 프로세스가 성공적으로 완료되면, 보안 구성 서버(104)는 구성 클라이언트(106)가 네트워크(100)에 참여할 권한이 부여되었음을 알게 된다. 그 후에, 보안 구성 서버(104)는 구성 파라미터의 적절한 세트를 구성 클라이언트(106)에 제공하며, 구성 클라이언트(106)는 이들 파라미터를 이용하여 네트워크(100)에 참여하고, 이미 네트워크(100)에 있는 다른 장치들(102)과 자유롭게 통신한다.
종국적으로는, 구성 클라이언트(106)는 네트워크(100)를 떠나게 된다. 이것은 구성 클라이언트(106)의 결정일 수 있으며, 혹은 구성 클라이언트에 제공된 구성 파라미터의 세트가 만료한 경우일 수도 있을 것이다. 어떠한 경우든지, 이들 구성 파라미터는 더 이상 유효하지 않으며, 구성 클라이언트(106)가 네트워크(100)에 재참여하기를 원할 때마다 상기 프로세스를 반복한다.
도 1의 시나리오는 본 발명의 관련된 측면에 집중하기 위하여 의도적으로 단순화되었다. 도 1의 보안 구성 서버(104)는 몇몇 네트워크에서 실제로는 별도의 보안 서버와 작업하는 구성 서버일 수 있을 것이다. 또한, (설명에 상관없이) 보안 구성 서버(104)는 실제로 네트워크(100)내에 상주하지 않을 수도 있으며, 즉 네트워크(100)의 릴레이 에이전트가 구성 및 인증 메시지를 원격 배치된 보안 구성 서버에 전송할 수 있다. 릴레이 에이전트는 모든 보안 네트워크 세그먼트에서 보안 구성 서버를 구비할 필요성을 제거한다.
도 1의 구성 클라이언트(106) 및 보안 구성 서버(104)는 임의의 아키텍처로 구성될 수 있다. 도 2는 본 발명을 지원하는 컴퓨터 시스템 예를 일반적으로 도시하는 블록도이다. 도 2의 컴퓨터 시스템은 단지 적합한 환경의 일 예로, 본 발명의 이용 또는 기능성의 범주에 대해 어떠한 제한도 하려는 것이 아니다. 클라이언트(106) 및 보안 구성 서버(104)는 도 2에 도시된 구성요소들중 임의의 하나 또는 조합에 관해 어떠한 의존성 또는 조건을 갖는 것으로 해석되어서는 안 된다. 본 발명은 다수의 다른 일반 목적 또는 특별한 목적의 컴퓨팅 환경 또는 구성에 따라 동작할 수 있다. 본 발명과 함께 이용하기 위해 적합한 컴퓨팅 시스템, 환경, 및 구성들의 잘 알려진 예들은, 개인용 컴퓨터, 서버, 휴대형 혹은 랩탑 장치, 멀티프로세서 시스템, 마이크로프로세서 기반 시스템, 셋톱 박스, 프로그램가능 소비자 전자기기, 네트워크 PC, 미니컴퓨터, 메인프레임 컴퓨터, 및 상기 시스템들 또는 장치들 중 임의의 것을 포함하는 분산 컴퓨팅 환경을 포함하지만, 이에 국한되지는 않는다. 이들 대부분의 기본 구성에 있어서, 클라이언트(106) 및 보안 구성 서버(104)는 일반적으로 적어도 하나의 프로세싱 유닛(200) 및 메모리(202)를 포함한다. 메모리(202)는 (RAM과 같은) 휘발성, (ROM 또는 플래시 메모리와 같은) 비휘발성 또는 이 둘의 어떤 조합일 수 있다. 이러한 가장 기본적인 구성은 도 2에서 점선(204)으로 도시되어 있다. 클라이언트(106) 및 보안 구성 서버(104)는 추가적인 특징 및 기능성을 가질 수도 있다. 예컨대, 그들은 자기 및 광 디스크 및 테이프를 포함하는(이에 한정되는 것은 아님) 추가의 기억장치(분리성 및 비분리성)를 포함할 수도 있다. 이러한 추가의 기억장치는 분리성 기억장치(206) 및 비분리성 기억장치(208)로 도 2에 도시되어 있다. 컴퓨터 기억 매체는 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈 또는 그 밖의 데이터와 같은 정보의 기억을 위한 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 분리성 및 비분리성 매체를 포함한다. 메모리(202), 분리성 기억장치(206) 및 비분리성 기억장치(208)는 모두 컴퓨터 기억 매체의 예들이다. 컴퓨터 기억 매체는 RAM, ROM, EEPROM, 플래시 메모리, 그 밖의 메모리 기술, CD-ROM, 디지털 다용도 디스크, 기타 광학 기억장치, 자기 카세트, 자기 테이프, 자기 디스크 기억장치, 그 밖의 자기 기억장치, 및 원하는 정보를 기억하는데 이용될 수 있고 클라이언트(106) 또는 보안 구성 서 버(104)에 의해 액세스될 수 있는 임의의 기타 매체를 포함하는데, 이에 국한되지는 않는다. 임의의 이러한 컴퓨터 저장 매체는 클라이언트(106) 또는 보안 구성 서버(104)의 일부분일 수도 있다. 또한, 클라이언트(106) 및 보안 구성 서버(104)는 그들이 네트워크(100)상의 장치들을 포함하는 다른 장치들과 통신하게 하는 통신 채널(210)을 포함할 수도 있다. 통신 채널(210)은 통신 매체들의 일 예이다. 통신 매체는 일반적으로 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈, 또는 반송파 혹은 기타 전송 메카니즘과 같은 변조 데이터 신호에서의 그 밖의 데이터를 구현하고 임의의 정보 전송 매체를 포함한다. "변조 데이터 신호"란 용어는 신호에 정보를 인코드하는 것과 같은 방식으로 설정 또는 변경된 하나 이상의 특성 세트를 갖는 신호를 의미한다. 예로서, 통신 매체는 광 매체, 유선 네트워크 및 직통 유선 접속과 같은 유선 매체, 및 음향, RF, 적외선 및 그 밖의 무선 매체와 같은 무선 매체를 포함하는데, 이에 국한되지는 않는다. 본 명세서에서 이용되는 바와 같은 "컴퓨터 판독가능 매체"란 용어는 기억 매체와 통신 매체 모두를 포함한다. 또한, 클라이언트(106) 및 보안 구성 서버(104)는 터치-감지 디스플레이 스크린, 하드웨어 키보드, 마우스, 음성-입력 장치 등과 같은 입력 장치(212)를 가질 수도 있다. 출력 장치(214)는 터치-감지 디스플레이 스크린, 스피커 및 프린터와 같은 장치 그 자체와 이러한 장치들을 구동하기 위한 (흔히 "어댑터"로 불리는) 렌더링 모듈을 포함한다. 이러한 장치들 모두는 본 기술 분야에서 잘 알려져 있기 때문에 본 명세서에서 상세히 설명하지는 않는다. 클라이언트(106) 및 보안 구성 서버(104) 각각은 전원(216)을 구비하고 있다.
도 1을 보다 구체적으로 검토하기 위해, 도 3a 내지 도 3c는 본 발명에 따른 예시적인 보안 구성 스킴의 세부 사항을 제공한다. 예시를 위해, 이러한 도면들의 논리 흐름도는 주어진 실시예에서 적용하지 않을 수도 있는 옵션 및 변경 사항들을 포함한다. 특히, 도면들에서의 단계들은 논리 태스크를 나타내는데, 개별 메시지들에 대해 반드시 일 대 일로 대응하지는 않는다. 메시지 교환 및 메시지 포맷을 포함하는 특정한 실시예의 보다 구체적 세부사항에 대해서는 도 4a, 도 4b 및 도 5와 관련하여 설명하겠다.
도 3a의 논리 순서는 구성 클라이언트(106)가 네트워크(100)상의 이용에 유효한 한 세트의 구성 파라미터를 보안 구성 서버(104)로부터 요청하는 경우인 단계300에서 개시된다. 보안 구성 서버(104)는 이 요청에 즉시 응하기보다는, 단계302에서 구성 클라이언트(106)에게 자신을 인증할 것을 요구한다. 몇몇 실시예들(특히 도 4a의 단계 400 참조)에 있어서, 구성 클라이언트(106)는 보안 구성 서버(104)가 인증을 요청하길 기다리는 않고, 대신에 그 처음의 구성 요청과 동시에 인증 프로세스를 개시한다.
구성 클라이언트(106)가 보안 구성 서버(104)와의 통신을 지속하기 위해 구성 파라미터의 유효한 세트를 이용할 필요가 있는 몇몇 네트워크 구성이 있다. 이것은 다소의 캐치-22이다 : 보안상의 이유로 인해, 보안 구성 서버(104)는 클라이언트(106)가 구성 정보를 수신하는 것이 허가된 장치로서 그 자신을 인증할 때까지 구성 클라이언트(106)에게 유효한 구성 정보를 제공하길 원하지 않지만, 인증 절차는 클라이언트(106)가 한 세트의 유효 파라미터를 가질 때까지 진행할 수 없다. 단계들(304 및 306)은 본 발명의 몇몇 실시예들에 있어 이러한 딜레마에 대한 한 가지 돌파구를 제시한다. 단계(304)에서, 보안 구성 서버(104)는 클라이언트(106)가 인증 프로세스를 계속할 수 있도록 구성 파라미터의 유효한 세트를 구성 클라이언트(106)에게 제공한다. 하지만, 제공된 구성 정보는 유효하지만 "임시적"인 것으로, 인증 동안에만 유용하다. 예컨대, 구성 정보는 완전히 인증된 것이 아닌 것으로 어드레스의 사용자를 표시하는 IP 어드레스를 포함할 수 있다. 단계(306)에서, 구성 클라이언트(106)는 일시적 구성 정보를 수신하고, 인증 프로세스의 나머지 동안에 그것을 이용할 것이다. 몇 가지 예에서, 일시적 구성 정보는 구성 클라이언트(106)가 보안 구성 서버(104) 이외의 네트워크(100)의 임의의 장치와 대화하지 못하게 한다: 이 구성 클라이언트(106)는 "격리된(quarantine)" 상태라고 지칭된다.
단계(308)에서, 구성 클라이언트(106) 및 보안 구성 서버(104)는 인증 프로세스를 통해 진행한다. 많은 수의 이러한 인증 프로세스들이 본 기술 분야에서 잘 알려져 있으며, 이들 중 임의의 프로세스가 본 명세서에서 이용될 수 있다. 몇몇 실시예들에 있어서, 이용될 특정한 인증 프로세스는 구성 클라이언트(106)와 보안 구성 서버(104) 간에 절충된다. 도 1에 관해 전술한 바와 같이, 인증 프로세스는 각각이 그 자신을 다른 것에 인증시키는 구성 클라이언트(106) 및 보안 구성 서버(104)로 상호적일 수 있다.
물론, 인증 프로세스가 실패하면, 구성 클라이언트(106)는 네트워크(100)로의 액세스가 거절된다. 구성 클라이언트(106)가 단계(306)에서 일시적 구성 정보 를 수신하였다면, 네트워크(100)는 정보가 제공될 수 있는 제한적 이용으로 인해 여전히 안전하다. 인증 프로세스가 성공하면, 도 3b의 단계(310)에서, 보안 구성 서버(104)는 요청된 구성 정보를 어떻게 제공할지를 결정하기 위해 네트워크(100)에 적절한 정책이 있다면 이를 적용한다. 이러한 정책은, 예를 들면, 구성 정보 이용의 기간 또는 범위를 제한할 수도 있다(예컨대, 이 정보는 1시간 "리스(lease)" 동안만 유효하다).
가능하다면, 단계(312)에서, 보안 구성 서버(104)는 단계(310)에서 정책에 의해 설정된 이용에 대한 임의의 제한에 관한 정보와 함께, 요청된 구성 정보를 구성 클라이언트(106)에게 제공한다. 물론, 네트워크(100)가 이 요청을 이행하는데 필요한 리소스를 소모해 버렸다면(예컨대, 모든 할당 가능 IP 어드레스들이 이미 사용중임), 구성 프로세스는 인증 프로세스가 성공되었다 하더라도 실패한다. 몇몇 실시예들에서, 리소스 유용성은 인증 프로세스로 진행하기 전에 검사되고, 보안 구성 서버(104)는 단계(302)에서 인증 프로세스를 개시하는 대신에 이 기준에 따라 구성 요청을 거절할 수 있다. 하지만, 이것은 바람직하지 않은데, 이는 인증되지도 않았고 네트워크(100)에 손해가 되게 이 정보를 이용할 수도 있는 구성 클라이언트(106)에게 (네트워크(100) 자원이 부족하다는) 기밀 정보를 제공하기 때문이다.
단계(314)에서, 구성 클라이언트(106)에게 일시적 구성 정보가 단계(304)에서 제공되었다면, 몇몇 실시예들에서, 보안 구성 서버(104)는 새로운 세트의 구성 파라미터를 전송하기보다는 이 정보의 상태를 비일시적으로 간단히 변경하는 것을 선택할 수도 있다는 점에 유의하기 바란다. 이 효과는 어느 경우에서나 동일하다.
인증이 완료되고, 비일시적 구성 정보가 제공되었다면, 구성 클라이언트(106)는 이제 네트워크(100)상의 장치이고, 도 3c의 단계(316)에서 (상기 제공된 구성 정보에 어떠한 정책 제한이 부과되었는지에 따르면서) 다른 장치들(102)과 통신할 수 있다. 이것은 구성 클라이언트(106)가 제공된 구성 정보를 포기하길 선택하거나 또는 정보에 대한 리스가 만료되는 단계(318)까지 계속된다. 후자의 경우에, 보안 구성 서버(104)는 제공된 구성 정보를 무효로 표시한다. 어느 경우에나, 클라이언트(106)는 네트워크(100)를 떠나고, 만일 통신을 계속하길 원한다면, 보안 구성 프로세스(단계(320))를 반복한다.
도 3a 내지 도 3c에 관한 설명은 (본 명세서의 임의의 설명에 의해서가 아니라 본 청구범위의 범주에 의해 궁극적으로 규정되는) 본 발명의 애플리케이션 폭을 예시하기 위해 높은 수준으로 제공되었다. 추가 설명을 위해, 도 4a 및 도 4b는 본 발명의 특정한 실시예를 제공한다.
일반적으로, 어느 한쪽 당사자가 보안 구성 프로세스를 개시할 수 있는 한편, 도 4a의 단계(400)에서는 구성 클라이언트(106)는 DHCP Discover 메시지를 보안 구성 서버(104)에게 전송하여 이 프로세스를 개시한다. 이 DHCP 메시지는 구성 정보에 대한 구성 클라이언트(106)의 요청을 포함한다. DHCP Discover 메시지의 옵션 필드내에서 전송되는 것은 구성 클라이언트(106)가 EAP를 이용하여 그 자신을 인증시킬 준비가 되어 있다는 통지이다. 이러한 두 가지 프로토콜, 즉 DHCP 및 EAP는 본 기술 분야에서 잘 알려져 있어서, 본 명세서에서는 상세히 설명하지 않겠 다. 이들은 제각기 본 명세서에 전반적으로 참조 결합된 Requests for Comments 2131 and 3748 of the Internet Engineering Task Force에서 규정된다.
보안 구성 서버(104)가 구성 정보를 비인증 클라이언트에게 제공하지 않을 것이기 때문에, 그것은 단계(402)에서 구성 클라이언트(106)의 아이덴티티를 요청하는 EAP 메시지를 그 옵션 필드내에 포함하는 DHCP Offer 메시지에 응답한다. 구성 클라이언트(106)는 단계(404)에서 그 아이덴티티를 포함하는 EAP 메시지를 전송하여 응답한다. EAP 메시지는 다시 한번 DHCP 메시지의 옵션 필드내에 포함된다.
EAP는 구성 클라이언트(106) 및 보안 구성 서버(104)가 다수의 인증 메카니즘 중 임의의 것을 결정하고 이용하도록 한다. 단계(406 및 408)에서, 두 당사자는 이들이 선택했던 인증 메카니즘 및 EAP의 세부 사항을 통하여 진행한다. 몇몇 실시예들에서, EAP는 본 발명을 위해 어떤 식으로든 변경될 필요가 없어서, 본 기술 분야에서 알려진 EAP의 세부 사항들이 본 명세서에 또한 적용된다. 단계(406 및 408)에서, 도 4a의 이전 단계들에서와 같이, EAP 메시지는 DHCP 메시지의 옵션 필드내에서 전송된다.
인증 프로세스가 성공적인 결론으로 진행하면, 보안 구성 서버(104)는 구성 클라이언트(106)의 인증(authenticity)을 받아들이고, 도 4b의 단계 410에서, DHCP ACK 메시지의 옵션 필드에서 전송된 EAP Success 메시지를 송신한다. 그 DHCP 메시지는 또한 요청된 구성 정보를 포함한다.
구성 클라이언트(106)가 네트워크(100)와의 그 작업을 종료한 경우, 단계 412에서 DHCP Release 메시지를 송신함으로써 구성 정보를 포기한다.
도 5는 옵션 필드(502) 내에, EAP 메시지(504)를 포함하는 DHCP 메시지(500)의 예시적인 데이터 구조도이다. EAP 메시지의 중심은 데이터 필드(506)이다.
본 발명의 원리가 적용될 수 있는 많은 가능한 실시예들의 관점에서, 상기 도면들과 관련하여 여기에서 설명된 실시예들은 예시적인 것일 뿐이며 본 발명의 범위를 제한하는 것으로 이해되어서는 안된다는 점이 인식되어야 한다. 당업자는 구성 및 인증 프로토콜과 같은 일부 실시 세부사항들은 특정한 상황에 의하여 결정되는 것을 인식한다. 본 발명의 환경은 소프트웨어 모듈 또는 구성요소들에 관하여 설명되지만, 일부 프로세스들은 하드웨어 구성요소들에 의하여 균등하게 수행될 수 있다. 따라서, 여기에서 기술된 바와 같은 본 발명은 다음의 청구범위 및 그 균등물의 범위 내에 있을 수 있는 실시예들 모두를 고려한다.
공지된 구성 프로토콜 DHCP를 공지된 인증 프레임워크 프로토콜 EAP와 결합함으로써, 본 발명의 실시예는 어느 프로토콜에 대하여도 임의의 변화를 요구하지 않고서 구성 프로세스에 보안(security)을 제공한다.

Claims (36)

  1. 클라이언트/서버 컴퓨팅 환경에서 이용되는 네트워크 어드레스를 클라이언트 컴퓨팅 장치에 안전하게 제공하는 방법으로서,
    상기 클라이언트 컴퓨팅 장치에 의하여, 네트워크 어드레스를 요청하는 단계;
    서버 컴퓨팅 장치에 의하여, 네트워크 어드레스에 대한 클라이언트의 요청을 수신하는 단계;
    상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 인증하려고 시도하는 단계 동안 상기 클라이언트 컴퓨팅 장치에 의해 일시적 네트워크 어드레스가 이용되고, 상기 요청하는 단계는 DHCP(Dynamic Host Configuration Protocol)를 이용하는 단계를 포함하며, 상기 인증하려고 시도하는 단계는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 단계를 포함함 - ;
    상기 클라이언트 컴퓨팅 장치를 격리시키는(quarantining) 단계 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - ; 및
    상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용된 것으로 인증되면,
    상기 서버 컴퓨팅 장치에 의하여, 상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하는 단계;
    상기 서버 컴퓨팅 장치에 의하여, 상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하는 단계;
    상기 서버 컴퓨팅 장치에 의하여, 상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 제공하는 단계; 및
    상기 클라이언트 컴퓨팅 장치에 의하여, 상기 할당된 네트워크 어드레스를 수신하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 할당된 네트워크 어드레스는 IP(Internet Protocol) 어드레스인 방법.
  3. 제1항에 있어서, 상기 인증하려고 시도하는 단계는 EAP(Extensible Authentication Protocol)를 이용하는 단계를 포함하는 방법.
  4. 제1항에 있어서, 상기 요청하는 단계는 DHCP(Dynamic Host Configuration Protocol)를 이용하는 단계를 포함하고, 상기 인증하려고 시도하는 단계는 EAP를 이용하는 단계를 포함하며, EAP 메시지들은 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 방법.
  5. 제1항에 있어서, 상기 인증하려고 시도하는 단계는 상기 클라이언트 컴퓨팅 장치에 의하여 개시되는 방법.
  6. 제1항에 있어서, 상기 인증하려고 시도하는 단계는 상기 서버 컴퓨팅 장치에 의하여 개시되는 방법.
  7. 제1항에 있어서, 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되지 않는 경우에도 네트워크 어드레스를 식별하는 단계가 수행되는 방법.
  8. 제1항에 있어서, 상기 일시적 네트워크 어드레스는 제한된 이용을 위하여 상기 서버 컴퓨팅 장치에 의하여 상기 클라이언트 컴퓨팅 장치에 할당되는 방법.
  9. 제1항에 있어서, 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용된 것으로 인증되면, 상기 할당된 네트워크 어드레스는 상기 일시적 네트워크 어드레스와 동일한 방법.
  10. 클라이언트/서버 컴퓨팅 환경에서, 클라이언트 컴퓨팅 장치에 네트워크 어드레스를 안전하게 제공하는 방법을 수행하기 위한 컴퓨터 실행 가능 명령들을 갖는 컴퓨터 판독 가능 기억 매체에 있어서, 상기 방법은,
    상기 클라이언트 컴퓨팅 장치에 의하여, 네트워크 어드레스를 요청하는 단계;
    서버 컴퓨팅 장치에 의하여, 네트워크 어드레스에 대한 클라이언트의 요청을 수신하는 단계;
    상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 인증하려고 시도하는 단계 동안 상기 클라이언트 컴퓨팅 장치에 의해 일시적 네트워크 어드레스가 이용되고, 상기 요청하는 단계는 DHCP(Dynamic Host Configuration Protocol)를 이용하는 단계를 포함하며, 상기 인증하려고 시도하는 단계는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 단계를 포함함 - ;
    상기 클라이언트 컴퓨팅 장치를 격리시키는(quarantining) 단계 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - ; 및
    상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용된 것으로 인증되면,
    상기 서버 컴퓨팅 장치에 의하여, 상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하는 단계;
    상기 서버 컴퓨팅 장치에 의하여, 상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하는 단계;
    상기 서버 컴퓨팅 장치에 의하여, 상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 제공하는 단계; 및
    상기 클라이언트 컴퓨팅 장치에 의하여, 상기 할당된 네트워크 어드레스를 수신하는 단계
    를 포함하는 컴퓨터 판독 가능 기억 매체.
  11. 클라이언트/서버 컴퓨팅 환경에서 이용되는 네트워크 어드레스를 서버 컴퓨팅 장치가 클라이언트 컴퓨팅 장치에 안전하게 제공하는 방법으로서,
    네트워크 어드레스에 대한 클라이언트의 DHCP(Dynamic Host Configuration Protocol) 요청을 수신하는 단계;
    상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 인증하려고 시도하는 단계 동안 사용하기 위해 상기 클라이언트 컴퓨팅 장치에 일시적 네트워크 어드레스가 할당되고, 상기 인증하려고 시도하는 단계는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 단계를 포함함 - ;
    상기 클라이언트 컴퓨팅 장치를 격리시키는(quarantining) 단계 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - ; 및
    상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면,
    상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하는 단계;
    상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하는 단계; 및
    상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 제공하는 단계
    를 포함하는 방법.
  12. 제11항에 있어서, 상기 할당된 네트워크 어드레스는 IP 어드레스인 방법.
  13. 제11항에 있어서, 상기 인증하려고 시도하는 단계는 EAP를 이용하는 단계를 포함하는 방법.
  14. 제13항에 있어서, EAP 메시지는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드 내에서 전달되는 방법.
  15. 제11항에 있어서, 상기 인증하려고 시도하는 단계는 상기 서버 컴퓨팅 장치에 의하여 개시되는 방법.
  16. 제11항에 있어서, 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되지 않는 경우에도 네트워크 어드레스 식별하는 단계가 수행되는 방법.
  17. 제11항에 있어서, 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면, 상기 할당된 네트워크 어드레스는 상기 일시적 네트워크 어드레스와 동일한 방법.
  18. 클라이언트/서버 컴퓨팅 환경에서 이용되는 네트워크 어드레스를 서버 컴퓨팅 장치가 클라이언트 컴퓨팅 장치에 안전하게 제공하는 방법을 수행하기 위한 컴퓨터 실행 가능 명령들을 갖는 컴퓨터 판독 가능 기억 매체에 있어서, 상기 방법은,
    네트워크 어드레스에 대한 클라이언트의 DHCP(Dynamic Host Configuration Protocol) 요청을 수신하는 단계;
    상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 인증하려고 시도하는 단계 동안 사용하기 위해 상기 클라이언트 컴퓨팅 장치에 일시적 네트워크 어드레스가 할당되고, 상기 인증하려고 시도하는 단계는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 단계를 포함함 - ;
    상기 클라이언트 컴퓨팅 장치를 격리시키는(quarantining) 단계 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - ; 및
    상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면,
    상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하는 단계;
    상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하는 단계; 및
    상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 제공하는 단계
    를 포함하는 컴퓨터 판독 가능 기억 매체.
  19. 클라이언트/서버 컴퓨팅 환경에서, 클라이언트 컴퓨팅 장치에 네트워크 어드레스를 안전하게 제공하는 시스템으로서,
    네트워크 어드레스를 요청하고, 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하고 - 요청하는 것은 DHCP(Dynamic Host Configuration Protocol)를 이용하는 것을 포함하고, 인증하려고 시도하는 것은 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 것을 포함함 - , 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면, 할당된 네트워크 어드레스를 수신하도록 구성되는 상기 클라이언트 컴퓨팅 장치; 및
    네트워크 어드레스에 대한 클라이언트의 요청을 수신하고, 상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하고 - 상기 인증하려고 시도하는 중에 이용하기 위하여 상기 클라이언트 컴퓨팅 장치에 일시적 네트워크 어드레스가 할당됨 - , 상기 클라이언트 컴퓨팅 장치를 격리시키고 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - , 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면, 상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하고, 상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하며, 상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 제공하도록 구성되는 상기 서버 컴퓨팅 장치
    를 포함하는 시스템.
  20. 제19항에 있어서, 상기 할당된 네트워크 어드레스는 IP 어드레스인 시스템.
  21. 클라이언트/서버 컴퓨팅 환경에서, 클라이언트 컴퓨팅 장치에 네트워크 어드레스를 안전하게 제공하는 방법을 수행하기 위한 컴퓨터 실행가능 명령들을 갖는 컴퓨터 판독가능 기억 매체에 있어서, 상기 방법은,
    상기 클라이언트 컴퓨팅 장치에 의해, 네트워크 어드레스를 요청하는 단계, 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 요청하는 단계는 DHCP(Dynamic Host Configuration Protocol)를 이용하는 단계를 포함하며, 상기 인증하려고 시도하는 단계는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드들 내에서 전달되는 메시지들을 이용하는 단계를 포함함 - , 및 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면, 할당된 네트워크 어드레스를 수신하는 단계; 및
    상기 서버 컴퓨팅 장치에 의해, 네트워크 어드레스에 대한 클라이언트의 요청을 수신하는 단계, 상기 서버 컴퓨팅 장치에 대하여 상기 클라이언트 컴퓨팅 장치를 인증하려고 시도하는 단계 - 상기 인증하려고 시도하는 단계 중에 사용하기 위하여 상기 클라이언트 컴퓨팅 장치에 일시적 네트워크 어드레스가 할당됨 - , 상기 클라이언트 컴퓨팅 장치를 격리시키는 단계 - 상기 일시적 네트워크 어드레스는 상기 클라이언트 컴퓨팅 장치가 상기 서버 컴퓨팅 장치 이외의 네트워크 내의 어떠한 장치와도 대화하는 것을 방지함 - , 및 상기 클라이언트 컴퓨팅 장치가 상기 클라이언트/서버 컴퓨팅 환경에서 네트워크 어드레스를 수신하도록 허용되는 것으로 인증되면, 상기 클라이언트/서버 컴퓨팅 환경에 적절하고 컴퓨팅 장치에 현재 할당되지 않은 네트워크 어드레스를 식별하는 단계, 상기 식별된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치에 할당하는 단계, 및 상기 할당된 네트워크 어드레스를 상기 클라이언트 컴퓨팅 장치로 제공하는 단계
    를 포함하는 컴퓨터 판독가능 기억 매체.
  22. 제4항 또는 제14항에 있어서, 각각의 옵션 필드는 데이터 구조의 일부이며, 상기 데이터 구조는,
    제2 데이터 필드를 포함하는 DHCP(Dynamic Host Configuration Protocol) 메시지를 나타내는 데이터를 포함하는 제1 데이터 필드;
    제3 데이터 필드를 포함하는 DHCP(Dynamic Host Configuration Protocol) 옵션 필드를 나타내는 데이터를 포함하는 제2 데이터 필드; 및
    EAP 메시지를 나타내는 데이터를 포함하는 제3 데이터 필드를 포함하는 방법.
  23. 제22항에 있어서, 상기 제1 데이터 필드 내의 DHCP(Dynamic Host Configuration Protocol) 메시지는, DHCPDISCOVER, DHCPOFFER, 및 DHCPREQUEST로 구성되는 그룹으로부터 선택되는 방법.
  24. 제22항에 있어서, 상기 제3 데이터 필드 내의 상기 EAP 메시지는, 요청, 응답, 성공, 및 실패로 구성되는 그룹으로부터 선택되는 방법.
  25. 삭제
  26. 삭제
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
  31. 삭제
  32. 삭제
  33. 삭제
  34. 삭제
  35. 삭제
  36. 삭제
KR1020050118811A 2004-12-08 2005-12-07 클라이언트 장치를 안전하게 준비하는 방법 및 시스템 KR101159355B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/007,122 2004-12-08
US11/007,122 US7558866B2 (en) 2004-12-08 2004-12-08 Method and system for securely provisioning a client device

Publications (2)

Publication Number Publication Date
KR20060064544A KR20060064544A (ko) 2006-06-13
KR101159355B1 true KR101159355B1 (ko) 2012-06-25

Family

ID=35759413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050118811A KR101159355B1 (ko) 2004-12-08 2005-12-07 클라이언트 장치를 안전하게 준비하는 방법 및 시스템

Country Status (14)

Country Link
US (1) US7558866B2 (ko)
EP (1) EP1670215B1 (ko)
JP (1) JP4673734B2 (ko)
KR (1) KR101159355B1 (ko)
CN (1) CN1832490B (ko)
AT (1) ATE410020T1 (ko)
AU (1) AU2005239707B2 (ko)
BR (1) BRPI0505394B1 (ko)
CA (1) CA2529230C (ko)
DE (1) DE602005010033D1 (ko)
MY (1) MY148705A (ko)
RU (1) RU2390828C2 (ko)
TW (1) TWI405088B (ko)
ZA (1) ZA200509936B (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237257B1 (en) 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
WO2007062108A2 (en) 2005-11-23 2007-05-31 Pak Siripunkaw Method of upgrading a platform in a subscriber gateway device
US8745253B2 (en) * 2006-03-08 2014-06-03 Alcatel Lucent Triggering DHCP actions from IEEE 802.1x state changes
US7831997B2 (en) * 2006-06-22 2010-11-09 Intel Corporation Secure and automatic provisioning of computer systems having embedded network devices
CN101132629B (zh) * 2006-08-25 2010-07-14 华为技术有限公司 发现呼叫控制系统入口的方法和系统
US8628522B2 (en) 2007-05-21 2014-01-14 Estech, Inc. (Endoscopic Technologies, Inc.) Cardiac ablation systems and methods
US8006193B2 (en) * 2007-10-03 2011-08-23 Microsoft Corporation Web service user experience without upfront storage expense
US8108911B2 (en) * 2007-11-01 2012-01-31 Comcast Cable Holdings, Llc Method and system for directing user between captive and open domains
US9178857B2 (en) * 2007-11-19 2015-11-03 Verizon Patent And Licensing Inc. System and method for secure configuration of network attached devices
EP2088734A1 (en) * 2008-02-07 2009-08-12 Nokia Siemens Networks Oy Method and device for data processing and communication system comprising such device
JP5029994B2 (ja) * 2008-03-24 2012-09-19 Necアクセステクニカ株式会社 通信システム、通信装置、アドレス割当装置、通信制御方法、及び通信制御プログラム
US8661252B2 (en) * 2008-06-20 2014-02-25 Microsoft Corporation Secure network address provisioning
JP4710966B2 (ja) * 2008-12-12 2011-06-29 コニカミノルタビジネステクノロジーズ株式会社 画像処理装置、画像処理装置の制御方法、及び画像処理装置の制御プログラム
CN102148712B (zh) * 2011-04-21 2014-05-14 天讯天网(福建)网络科技有限公司 基于云计算的服务管理系统
US8837741B2 (en) 2011-09-12 2014-09-16 Qualcomm Incorporated Systems and methods for encoding exchanges with a set of shared ephemeral key data
US9143937B2 (en) 2011-09-12 2015-09-22 Qualcomm Incorporated Wireless communication using concurrent re-authentication and connection setup
US9439067B2 (en) 2011-09-12 2016-09-06 George Cherian Systems and methods of performing link setup and authentication
US9690638B2 (en) * 2011-09-29 2017-06-27 Oracle International Corporation System and method for supporting a complex message header in a transactional middleware machine environment
US9054874B2 (en) * 2011-12-01 2015-06-09 Htc Corporation System and method for data authentication among processors
CN104011699A (zh) * 2011-12-16 2014-08-27 华为技术有限公司 用于同时进行地址分配和认证的系统和方法
US9055611B2 (en) * 2012-12-21 2015-06-09 Broadcom Corporation Resilient peer network with 802.11 technology
JP6334940B2 (ja) * 2014-02-12 2018-05-30 キヤノン株式会社 通信装置、通信装置の制御方法およびプログラム
WO2016047105A1 (ja) * 2014-09-25 2016-03-31 日本電気株式会社 通信制御装置、通信制御方法、通信制御プログラムが格納された記録媒体、及び、情報システム
US10805291B2 (en) * 2015-09-11 2020-10-13 Comcast Cable Communications, Llc Embedded authentication in a service provider network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003023420A (ja) 2001-03-26 2003-01-24 Nec Corp 信頼されないアクセス局を介した通信方法
JP2004247955A (ja) 2003-02-13 2004-09-02 Toshiba Solutions Corp 通信システムおよび通信方法

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6643696B2 (en) * 1997-03-21 2003-11-04 Owen Davis Method and apparatus for tracking client interaction with a network resource and creating client profiles and resource database
US6412025B1 (en) 1999-03-31 2002-06-25 International Business Machines Corporation Apparatus and method for automatic configuration of a personal computer system when reconnected to a network
US6393484B1 (en) * 1999-04-12 2002-05-21 International Business Machines Corp. System and method for controlled access to shared-medium public and semi-public internet protocol (IP) networks
US6684243B1 (en) 1999-11-25 2004-01-27 International Business Machines Corporation Method for assigning a dual IP address to a workstation attached on an IP data transmission network
US6643694B1 (en) * 2000-02-09 2003-11-04 Michael A. Chernin System and method for integrating a proxy server, an e-mail server, and a DHCP server, with a graphic interface
US7451312B2 (en) * 2000-03-07 2008-11-11 General Instrument Corporation Authenticated dynamic address assignment
AU2001287257A1 (en) * 2000-03-20 2001-10-03 At & T Corp. Service selection in a shared access network using dynamic host configuration protocol
US6792474B1 (en) * 2000-03-27 2004-09-14 Cisco Technology, Inc. Apparatus and methods for allocating addresses in a network
US6618757B1 (en) * 2000-05-17 2003-09-09 Nortel Networks Limited System and method for dynamic IP address management
JP3447687B2 (ja) * 2000-10-13 2003-09-16 日本電気株式会社 無線ネットワークシステム及びネットワークアドレス割当方法
US6728718B2 (en) 2001-06-26 2004-04-27 International Business Machines Corporation Method and system for recovering DHCP data
JP2003224577A (ja) * 2001-10-05 2003-08-08 Toyo Commun Equip Co Ltd インターネット中継装置
JP2003152731A (ja) * 2001-11-16 2003-05-23 Mitsumi Electric Co Ltd 通信装置、ipアドレス取得方法、ローミング方法
ES2295336T3 (es) * 2002-05-01 2008-04-16 Telefonaktiebolaget Lm Ericsson (Publ) Sistema, aparato y metodo para la autentificacion y encriptacion basadas en sim (modulo de identificacion del suscriptor) en el acceso de una red de area local inalambrica (wlan).
JP4023240B2 (ja) * 2002-07-10 2007-12-19 日本電気株式会社 ユーザ認証システム
ATE291321T1 (de) * 2002-12-20 2005-04-15 Cit Alcatel Verfahren und vorrichtung zur authentifizierung eines benutzers
CN100499483C (zh) * 2003-11-07 2009-06-10 华为技术有限公司 对不同类型用户实现统一动态地址分配的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003023420A (ja) 2001-03-26 2003-01-24 Nec Corp 信頼されないアクセス局を介した通信方法
JP2004247955A (ja) 2003-02-13 2004-09-02 Toshiba Solutions Corp 通信システムおよび通信方法

Also Published As

Publication number Publication date
DE602005010033D1 (de) 2008-11-13
EP1670215B1 (en) 2008-10-01
TW200629085A (en) 2006-08-16
JP4673734B2 (ja) 2011-04-20
CN1832490A (zh) 2006-09-13
RU2005138105A (ru) 2007-06-20
AU2005239707A1 (en) 2006-06-22
TWI405088B (zh) 2013-08-11
CN1832490B (zh) 2010-12-29
BRPI0505394B1 (pt) 2018-01-16
US7558866B2 (en) 2009-07-07
CA2529230A1 (en) 2006-06-08
BRPI0505394A (pt) 2006-09-12
JP2006191552A (ja) 2006-07-20
AU2005239707B2 (en) 2010-02-25
ZA200509936B (en) 2008-05-28
ATE410020T1 (de) 2008-10-15
MY148705A (en) 2013-05-31
RU2390828C2 (ru) 2010-05-27
KR20060064544A (ko) 2006-06-13
CA2529230C (en) 2016-05-31
EP1670215A1 (en) 2006-06-14
US20060123118A1 (en) 2006-06-08

Similar Documents

Publication Publication Date Title
KR101159355B1 (ko) 클라이언트 장치를 안전하게 준비하는 방법 및 시스템
CN102047262B (zh) 用于分布式安全内容管理系统的认证
US11190493B2 (en) Concealing internal applications that are accessed over a network
US11444932B2 (en) Device verification of an installation of an email client
US8799441B2 (en) Remote computer management when a proxy server is present at the site of a managed computer
US9438630B2 (en) Network access control using subnet addressing
US20180198786A1 (en) Associating layer 2 and layer 3 sessions for access control
US7764677B2 (en) Method and system for policy-based address allocation for secure unique local networks
JP4879643B2 (ja) ネットワークアクセス制御システム、端末、アドレス付与装置、端末システム認証装置、ネットワークアクセス制御方法、及び、コンピュータプログラム
US20120311660A1 (en) SYSTEM AND METHOD FOR MANAGING IPv6 ADDRESS AND ACCESS POLICY
JP2005318584A (ja) デバイスのセキュリティ状況に基づいたネットワーク・セキュリティのための方法および装置
CN101455041A (zh) 网络环境的检测
JP2022533890A (ja) 異なる認証クレデンシャルを有する認証トークンに基づいてセッションアクセスを提供するコンピューティングシステムおよび方法
US9548982B1 (en) Secure controlled access to authentication servers
CN113039745B (zh) 文件系统服务器、应用于其中的方法、计算机可读介质
US7558845B2 (en) Modifying a DHCP configuration for one system according to a request from another system
US8910250B2 (en) User notifications during computing network access
JP2009123207A (ja) ネットワークにアクセスする方法及び装置
US9143510B2 (en) Secure identification of intranet network
KR101787404B1 (ko) Dhcp 기반 보안 주소 할당 방법
US8504665B1 (en) Management of a device connected to a remote computer using the remote computer to effect management actions
CN113765905B (zh) 一种基于可信服务代理的数据通信方法
CN116015692A (zh) 一种网络准入控制方法、装置、终端及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150515

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160517

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170522

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180516

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190515

Year of fee payment: 8