KR20050071359A - 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템 - Google Patents

인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템 Download PDF

Info

Publication number
KR20050071359A
KR20050071359A KR1020040117001A KR20040117001A KR20050071359A KR 20050071359 A KR20050071359 A KR 20050071359A KR 1020040117001 A KR1020040117001 A KR 1020040117001A KR 20040117001 A KR20040117001 A KR 20040117001A KR 20050071359 A KR20050071359 A KR 20050071359A
Authority
KR
South Korea
Prior art keywords
certificate
client
server
network
authenticating
Prior art date
Application number
KR1020040117001A
Other languages
English (en)
Inventor
와킨스알.크레이그
바렛제레미
케인아담
Original Assignee
노키아 인크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 노키아 인크 filed Critical 노키아 인크
Publication of KR20050071359A publication Critical patent/KR20050071359A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

본 발명은 네트워크를 통하여 클라이언트를 인증하는 방법 및 시스템에 관한 것이다. 클라이언트는 인증서를 생성하고, 이를 신뢰성있는 메커니즘을 통하여 서버로 전송한다. 서버는 수신된 인증서를 저장하도록 구성된다. 클라이언트가 네트워크를 통하여 인증을 요구할 때에, 클라이언트는 보안 세션과 관련된 파라메터와 함께 인증서를 다시 제공한다. 서버는 보안 세션과 관련된 파라메터를 검증하고, 인증서가 저장된 인증서와 실질적으로 동일한지를 결정한다. 만일 인증서가 저장된 것으로 결정된다면, 서버는 네트워크를 통하여 클라이언트를 인증한다. 다른 실시예에서, 클라이언트는 클라이언트의 공개 키에 부분적으로 기초한 제 3자 인증 기관(CA)에 의해 생성된 인증서를 전송한다.

Description

인프라구조없는 인증서를 사용한 인증을 위한 방법 및 시스템{METHOD AND SYSTEM FOR AUTHENTICATION USING INFRASTRUCTURELESS CERTIFICATES}
본 발명은 일반적으로 컴퓨터 보안에 관한 것으로, 특히 인프라구조없는 인증서를 사용하여 클라이언트를 인증하는 것에 관한 것이다.
보안 통신의 많이 필요함에 따라, 네트워킹 시스템을 위한 다른 타입의 보안 시스템 및 측정이 이제껏 진보되어왔다. 네트워크를 통하여 교환된 정보를 암호화하고 복호화하는 개인 키의 사용을 수반하는 초기 모델의 네트워크 보안 시스템은 정밀하면서도 복잡한 보안 세션 프로토콜로 교체되었다. 많은 모뎀 프로토콜은 신뢰성있는 인증 기관(Certificate Authorities: CA)의 체인(chain) 등을 통한 클라이언트 및 서버와 같은 피어 네트워크 디바이스의 인증을 포함한다.
보안 소켓 계층/전송 계층 보안(Secure Socket Layer/Transport Layer Security: SSL/TLS) 프로토콜은 공통으로 사용되는 보안 통신 프로토콜이며, 디지털 인증서를 사용하여 클라이언트, 및 선택적으로 서버의 인증을 제공하는 것을 포함한다. SSL/TLS 핸드쉐이크 동안에, 클라이언트는 클라이언트의 인증서에 참조된 공개 키에 대응하는 개인 키를 사용하여 서버에 의해 발행된 챌린지(challenge)를 디지털로 서명한다. 클라이언트는 또한 핸드쉐이크 동안에 서버에 클라이언트의 공개 키 인증서를 전달한다. 일단 핸드쉐이크가 성공적으로 완료되면, 클라이언트는 자신이 클라이언트 인증서의 공개 키에 대응하는 개인 키를 소유하고 있음을 증명하게 된다. 다시 말하면, 클라이언트는 자신이 SSL/TLS 핸드쉐이크의 클라이언트 인증 부분에서 사용된 인증서를 소유함을 증명한다.
통상적으로, 인터넷 상의 클라이언트와 서버는 종래에 알려지지않은, 신뢰성 있지않은 인증서를 사용하여 상호간에 인증한다. 이는 "자발적인(spontaneous)" 보안 통신을 허용하는데, 인증서를 갖거나 교환하지 않은 두 당사자도 여전히 상호간의 인증서의 신뢰성을 확립하고, 이들 인증서로 인증을 수행할 수 있다. 이 신뢰성을 확립하기 위하여, 양 참가자 모두는 전형적으로 공개 키 인프라구조(Public Key Infrastructure: PKI)에 속하도록 구성된다. 이는 양 참가자 모두가 인증서를 발행한 하나 이상의 CA를 신뢰하고 있음을 의미한다. 서버가 피어의 인증서를 검증할 때에, 서버는 신뢰성있는 CA에 피어의 인증서를 링크하는 인증서 체인의 유효성을 확인한다. 인증서 체인의 각 링크에 대하여, 서버는 인증서들간의 링크상에서 디지털 서명을 검증하고, 잠재적으로 유효 날짜 기간, 실제 도메인 네임 등과 같은 다른 요구를 검사한다. 더욱이, PKI의 인증서를 사용하는데 요구되는 구성 및 유효성은 지나치게 복잡할 수 있다.
따라서, 본 산업분야에서, 클라이언트를 인증하기 위한 개선된 방법 및 시스템이 요구된다. 이에 따라, 이들 고려 및 다른 사항들의 관점에서, 본 발명이 착상되었다.
본 발명의 일 양상에 따르면, 네트워크를 통하여 클라이언트를 인증하는 방법이 제공된다. 상기 방법은 제 1 인증서를 생성하고, 이를 저장될 서버에 전송하는 것을 포함한다. 상기 방법은 만일 인증이 바람직하다면 제 2 인증서를 요구하고, 제 2 인증서를 전송하며, 그리고 제 1 및 제 2 인증서를 비교하는 것을 더 포함한다. 만일 제 1 및 제 2 인증서가 실질적으로 동일하다면, 클라이언트는 인증된다.
본 발명의 다른 양상에 따르면, 네트워크를 통하여 클라이언트를 인증하는 방법이 제공된다. 상기 방법은 신뢰성있는 메터니즘을 통하여 클라이언트로부터의 인증서를 수신하고, 이를 서버에 저장하며, 만일 인증이 바람직하다면 다른 인증서를 요구하며, 그리고 수신 및 저장 인증서를 비교하는 것을 포함한다. 만일 수신 및 저장 인증서가 실질적으로 동일하다면, 클라이언트는 인증된다.
본 발명의 또 다른 양상에 따르면, 네트워크를 통하여 인증을 수신하는 방법이 제공된다. 상기 방법은 인증서를 생성하고, 인증서를 저장될 다른 네트워크에 전송하며, 인증서를 상기 다른 네트워크에 재전송하며, 그리고 만일 저장 인증서 및 재전송 인증서가 실질적으로 동일하다면, 인증을 수신하는 것을 포함한다.
본 발명의 추가적 양상에 따르면, 네트워크를 통하여 클라이언트를 인증하는 장치가 제공된다. 상기 장치는 제 1 및 제 2 인증서를 수신하는 제 1 구성요소와, 및 제 1 및 제 2 인증이 실질적으로 동일한지를 결정하고, 만일 제 1 및 제 2 인증서가 실질적으로 동일하다면 클라이언트를 인증하는 제 2 구성요소를 포함한다.
본 발명의 다른 추가적 양상에 따르면, 네트워크를 통하여 인증을 수신하는 장치가 제공된다. 상기 장치는 인증서를 생성하는 제 1 구성요소와, 및 인증서를 저장될 서버에 전송하는 제 2 구성요소와, 및 인증서를 서버에 재전송하며, 만일 저장 인증서 및 재전송 인증서가 실질적으로 동일하다면 인증을 수신하는 제 3 구성요소를 포함한다.
본 발명의 또 다른 양상에 의하면, 클라이언트를 인증하는 시스템이 제공된다. 상기 시스템은 클라이언트 및 서버를 포함한다. 클라이언트는 제 1 인증서를 생성하고, 제 1 인증서를 저장될 서버에 전송하며, 그리고 만일 인증이 요구된다면 제 2 인증서를 서버에 전송하도록 구성된다. 서버는 만일 제 1 인증서가 처음으로 수신된다면 이를 저장하고, 제 1 인증서를 제 2 인증서와 비교하며, 그리고 만일 제 1 인증서 및 제 2 인증서가 실질적으로 동일하다면 클라이언트를 인증하도록 구성된다.
본 발명의 비-제한적인 및 전부가 아닌(non-exhaustive) 실시예는 하기의 도면들을 참조하여 설명된다. 첨부 도면의 여러 도면에서 달리 특정하지 않는한 동일한 참조 번호는 동일한 부분을 나타낸다.
본 발명을 잘 이해할 수 있도록 하기의 본 발명의 상세한 설명은 첨부 도면을 참조하여 기술하기로 한다.
본 발명은 상기 언급된 단점, 결함, 문제점에 대처하는 것이며, 하기의 명세서를 읽고 해석함으로써 이해될 것이다.
본 발명은 첨부 도면을 참조하여 하기에서 더욱 완전하게 설명될 것이며, 여기서 첨부 도면은 본 발명의 일부를 형성하며, 도시에 의하여 특정의 예시적 실시예(이에 의해 본 발명이 실시될 수 있는)를 보여준다. 하지만, 본 발명은 많은 다른 형태로 구체화될 수 있으며, 본원에서 제시된 실시예에 한정되어 해석되어서는 아니되며; 오히려 이들 실시예는 이런 개시가 철저하고 완전하며, 당업자에게 본 발명의 범주를 완전하게 전달할 수 있도록 제공된다. 무엇보다도, 본 발명은 방법들 또는 디바이스들로서 구체화될 수 있다. 따라서, 본 발명은 전체적으로 하드웨어 구체화, 전체적으로 소프트웨어적 구체화, 또는 소프트웨어적 및 하드웨어적 양상을 결합한 구체화 형태를 취할 수 있다. 따라서, 하기의 상세한 설명은 제한적 의미로 해석되지 않는다.
용어 "포함하는", "구비하는", "내포하는", "갖는", 및 " ~을 특징으로 하는" 의 의미는 개방적인(open-ended), 또는 포괄적인 전이부의 구성을 말하는 것이며, 이는 부가적인, 인용되지않은 요소, 또는 방법 단계를 배제하지 않는다. 예컨대, A 및 B 요소를 포함하는 조합은 또한 A, B, 및 C의 조합으로도 해석된다.
용어 "클라이언트" 및 "서버"는 상호간에 통신중인 임의의 네트워크 디바이스를 포함하며, 이들은 일 특정 실시예에 제한되어 해석되지 않아야 한다. 예컨대, 네트워크 컴퓨터, 게이트웨이, ATM 머신, 피어 투 피어 응용 등이 이들 상호간의 관계에 부분적으로 기초하여 클라이언트 또는 서버로 동작할 수 있다.
단수 표현은 복수 표현을 의미하기도 한다. "에"의 의미는 "~에" 및 "~상의"의 의미를 포함한다. 부가적으로, 단수 기재의 참조는 만일 이와달리 진술되지않았거나 본원의 개시와 모순되지 않는다면 복수 기재를 참조하는 것을 의미하기도 한다.
요약하면, 본 발명은 인프라구조없는 인증서를 사용하여 클라이언트를 인증하기 위한 방법 및 시스템에 관한 것이다. 본 발명은 신뢰성있는 메커니즘을 통하여 수신된 인증서를 저장하고, 그리고 저장된 인증서와 실질적으로 동일한 다른 인증서가 수신될 때에 클라이언트를 인증하는 것에 관한 것이다. 비교된 인증서들의 모든 파라메터가 동일할 때에, 저장 인증서 및 수신 인증서는 실질적으로 동일하다. 인증서들은 동일하지 않고 비교되지 않은 다른 파라메터들을 가질 수 있다.
SSL/TLS과 같은 공통으로 사용된 보안 인증 프로토콜에서, 서버는 제 3자 CA와 같은 신뢰성있는 소스에 의해 생성된 인증서를 사용하여 클라이어트를 인증한다. 서버가 클라이언트에 의한 인증서를 제공받았을 때에, 서버는 대개 다수의 제 3자 CA를 통하는 인증서 체인의 유효성을 확인한다. 본 발명은 서버와 클라이언트 간의 신뢰성있는 관계를 확립함으로써 체인 유효성 과정을 불필요하게 한다. 이는 신뢰성있는 메커니즘을 통하여 보안 세션을 확립하기 이전에 제공된 인증서를 저장함으로써 수행될 수 있다. 신뢰성있는 메커니즘은 서버의 인증서의 매뉴얼 엔트리(manual entry), 보안 채널, 전용 채널 등일 수 있다. 저장된 인증서가 서버에 의해 이미 신뢰되었기 때문에, 제 3자 CA를 통한 인증서의 추가적인 유효성 확인은 요구되지 않는다. 더욱이, 인증서는 다수의 소스에 의해 생성될 수 있다. 클라이언트는 자체로서 인증서를 생성할 수 있다. 클라이언트는 클라이언트를 위한 인증서를 생성하기 위하여 개별의 제 3자 CA를 이용할 수 있다. 인증서는 심지어 클라이언트의 인증을 수행하는 서버에 의해 생성될 수 있다.
예시적 동작 환경
도 1은 본 발명이 실시될 수 있는 네트워크 시스템(100)의 일 실시예를 도시한다. 하기에서 더욱 상세히 설명될 바와같이, 본 발명은 일반적으로 클라이언트를 인증하는 것에 관한 것이다. 네트워크 시스템(100)은 도시된 것보다 더 많거나 적은 구성요소를 포함할 수 있지만, 도시된 것들이 본 발명을 실시하기 위한 예시적 환경을 개시하는데 충분하다.
도면에 도시된 바와같이, 네트워크 시스템(100)은 근거리망/광역망(Local Area Network/Wide Area Network: LAN/WAN)(106), 및 클라이언트(102)와 서버(104)를 포함한다. 클라이언트(102) 및 서버(104)는 LAN/WAN(106)을 통하여 통신한다.
LAN/WAN(106)은 일 전자 디바이스로부터 타 전자 디바이스로 정보를 통신하는 임의 형태의 컴퓨터 판독가능 매체를 이용할 수 있다. 부가적으로, LAN/WAN(106)은 근거리망, 광역망, 공통 직렬 버스(USB) 포트를 통한 다이렉트 채널, 다른 형태의 컴퓨터 판독가능한 매체, 및 모든 이들의 조합에 부가하여 인터넷을 포함할 수 있다. 다른 아키텍처 및 프로토콜에 기반한 것들을 포함하는 상호접속된 LAN 세트상에서, 라우터는 LAN들간의 링크로서 동작하여 메시지가 일 LAN에서 타 LAN으로 전송되도록 한다. 또한, LAN 내부의 통신 링크는 전형적으로 연선 쌍 또는 동축 케이블을 수반하는 반면에, 네트워크간의 통신 링크는 아날로그 전화기 라인, T1, T2, T3, T4를 포함하는 전체 또는 부분적인 전용 디지털 라인, 통합 서비스 디지털 네트워크(Integrated Services Digital Networks:ISDN), 디지털 가입자 라인(Digital Subscriber Lines:DSL), 위성 링크를 포함하는 무선 링크, 또는 당업자들에게 알려진 다른 통신 링크를 사용할 수 있다. 이에 추가하여, 원격 컴퓨터 및 다른 관련 전자 디바이스가 모뎀 및 임시의 전화기 링크를 통하여 LAN이나 WAN에 원격으로 접속될 수 있다. 본질적으로 LAN/WAN(106)은 정보가 클라이언트(102) 및 서버(104)와 같은 네트워크 디바이스들 사이에서 이동할 수 있는 임의의 통신 방식을 포함할 수 있다.
클라이언트(102) 및 서버(104)는 본 발명의 일 실시예에 따른 인프라구조없는 인증서 인증을 이용하여 상호간에 통신하도록 구성된다. 다른 실시예에서, 클라이언트(102) 및 서버(104)는 LAN/WAN(106) 내에 있으며, 다른 네트워크 디바이스에 접속될 수 있다.
클라이언트(102) 및 서버(104)는 네트워크 접속을 갖는 휴대용 또는 데스크탑 컴퓨터, 개인용 디지털 어시스턴트(PDA), 게이트웨이, 방화벽, 네트워크 변환 디바이스, 서버 어레이 제어기, 프록시 서버 등으로서 동작하도록 구성될 수 있다.
더욱이, 비록 도 1이 서버/클라이언트 관계를 도시하고 있지만은, 본 발명은 이에 제한되지는 않는다. 예컨대, 클라이언트(102) 및 서버(104)는 본 발명의 범주를 벗어남이 없이 피어-투-피어 구성에서 동작하도록 구성될 수 있다.
도 2는 본 발명이 실시될 수 있는 서버(200)의 일 실시예에 대한 기능적 블록도를 도시한다. 서버(200)는 도 1의 서버(104)에 대한 일 실시예를 제공한다. 이해할 사항으로서, 서버(200)의 모든 구성요소가 도시되지 않았으며, 서버(200)는 도면에 도시된 것보다 더 많거나 적은 구성요소를 포함할 수 있다. 서버(200)는 에를 들어, 네트워크 접속을 갖는 휴대용 또는 데스크탑 컴퓨터, PDA, 게이트웨이, 방화벽, 트래픽 관리 디바이스, 분배기, 서버 어레이 제어기, 또는 프록시 서버로서 동작할 수 있다. 통신은 도 1의 LAN/WAN(106), 인터넷, 또는 어떤 다른 통신 네트워크와 같은 네트워크를 통하여 발생할 수 있다.
도 2에 도시된 바와같이, 서버(200)는 버스(206)를 통해 상호접속된 중앙 처리 유닛(CPU)(204), 비디오 처리기(210), 읽기 전용 메모리(ROM)(208), 메모리(218), 저장 디바이스(216), 입/출력 인터페이스(I/O)(212), 및 네트워크 인터페이스 유닛(214)을 포함한다.
일 실시예에서, 메모리(218)는 응용 소프트웨어 및 서버(200)의 네트워킹 기능을 수행하는 네트워킹 소프트웨어(222)를 위한 프로그램 코드를 저장한다. 네트워킹 소프트웨어(222)는 또한 네트워크 통신 등을 관리하는데 이용될 수 있는 프로토콜을 포함할 수 있다. 이 프로토콜들은 전송 프로토콜(226), 인증 프로토콜(228), 및 응용 프로토콜(230)을 포함할 수 있다.
전송 프로토콜(226)은 네트워크를 통하여 전송 및 라우팅을 통제하는 전송 통신 프로토콜/인터넷 프로토콜(TCP/IP), 사용자 데이터그램 프로토콜/인터넷 프로토콜(User Datagram Protocol/Internet Protocol: UDP/IP) 등을 포함할 수 있다. 인증 프로토콜(228)은 SSL/TSL 등과 같은 표준 또는 사유의 보안 통신 프로토콜을 포함할 수 있다. 응용 프로토콜(230)은 하이퍼텍스트 전송 프로토콜(HTTP), 경량 디렉토리 액세스 프로토콜(Lightweight Directory Access Protocol: LDAP), 인터넷 메시징 액세스 프로토콜(IMAP) 등을 포함할 수 있다. 이들 프로토콜은 웹 페이지를 디스플레이하거나 이메일 서버를 실행하는 것 등과 같은 전형적인 응용 태스크를 지원할 수 있다.
메모리(218)은 일반적으로 랜덤 액세스 메모리(RAM)를 포함하며, ROM(208) 및 저장 디바이스(216)와 같은 하나 이상의 영구 대용량 저장 디바이스에 상호접속된다. 대용량 메모리는 네트워크 디바이스(200)의 동작을 제어하기 위해 운영 체제(220)를 저장한다. 운영 체제(220)는 UNIX, LINUXTM, WindowsTM 등과 같은 운영 체제를 포함할 수 있다.
메모리(218), ROM(208), 및 저장 디바이스(216)는 컴퓨터 저장 매체이며, 이는 컴퓨터 판독가능 명령, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보 저장을 위한 임의의 방법 또는 기술에서 구현된 휘발성, 비휘발성, 소거가능, 및 비-소거가능 매체를 포함할 수 있다. 컴퓨터 저장 매체의 예는 RAM, ROM, EEPROM, 플래쉬 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다용도 디스크(DVD) 또는 다른 광 저장소, 자기 카세트, 자기 테이프, 자기 디스크 저장소 또는 다른 자기 저장 디바이스, 정보를 저장할 수 있고, 컴퓨팅 디바이스에 의해 액세스될 수 있는 임의의 다른 매체를 포함한다.
네트워크 인터페이스 유닛(214)은 TCP/IP 및 UDP/IP 프로토콜을 포함하는 다양한 통신 프로토콜을 사용하여 구성된다. 네트워크 인터페이스 유닛(214)은 유선 그리고/또는 무선 통신 매체를 통하여 패킷 등을 전송하기 위한 회로 및 구성요소를 포함하거나 이들과 인터페이스할 수 있다. 네트워크 인터페이스 유닛(214)은 종종 송수신기, 네트워크 인터페이스 카드(NIC) 등으로 지칭된다.
서버(200)는 또한 외부 디바이스 또는 사용자와 통신하기 위해 I/O 인터페이스(212)를 포함할 수 있다.
전반적인 동작
도 3은 본 발명에 따른 인증의 일부로서 저장될 클라이언트에 의하여 인증서를 생성하고 전송하기 위한 과정의 일 실시예를 일반적으로 보여주는 흐름도를 도시한다. 과정(300)은 예를 들어, 도 1의 클라이언트(102)내에서 동작할 수 있다.
도 3에서 도시된 바와같이, 시작 블록 이후에, 블록(302)에서 저장 과정(300)이 시작되며, 여기서 클라이언트는 공개/개인 키 쌍을 생성한다.
과정은 결정 블록(304)으로 진행하며, 여기서 클라이언트가 공개/개인 키 쌍에 기초하여 인증서를 생성할 때에 CA로서 동작할 것인지, 또는 다른 CA가 사용될 것인지에 대한 결정을 한다. 만일 클라이언트가 CA로서 동작하는 것으로 결정된다면, 과정은 블록(306)으로 분기하며, 그렇지 않은 경우에는, 프로세싱은 블록(308)으로 진행한다.
블록(306)에서, 클라이언트는 공개/개인 키 쌍에 기초하여 인증서를 생성한다. 블록(306)에서 생성된 인증서는 유효 날짜 기간, 발행한 클라이언트의 신원, 클라이언트에 의해 생성된 공개 키로부터의 디지털 서명, 클라이언트의 도메인 네임 등을 포함할 수 있다. 블록(306)이 완료되자마자, 과정은 블록(310)으로 진행한다.
만알 클라이언트가 블록(304)에서 다른 CA를 사용할 것이라고 결정된다면, 인증서는 블록(308)에서 다른 CA에 의해 생성된다. CA는 개별 제 3자 CA, 인증 서버 등일 수 있다. CA는 인증서를 생성하기 위하여 클라이언트로부터 공개 키를 수신한다. 블록(308)에서 생성된 인증서는 유효 날짜 기간, CA의 신원, 클라이언트로부터 생성된 공개 키에 의한 디지털 서명, 발행하는 CA가 신뢰성있는 CA인지의 검증 등을 포함할 수 있다. 공개 키로 생성된 인증서는 이후에 클라이언트에 제공된다. 블록(308)이 완료되자마자, 과정(300)은 블록(310)으로 진행한다.
블록(310)에서, 클라이언트에 의해 서버로의 신뢰성있는 메커니즘을 통한 인증서가 제공된다. 신뢰성있는 메커니즘은 다양한 메커니즘 중 임의의 것을 포함할 수 있는데, 여기서 다양한 메커니즘은 서버의 인증서의 매뉴얼 엔트리, 보안 채널, 전용 채널 등을 포함하지만, 이에 제한되지 않는다. 신뢰성있는 메커니즘은 서버로의 클라이언트의 인증, 인증서에 대한 클라이언트의 소유권 증명 등을 더 포함할 수 있다. 클라이언트는 디지털 서명, 암호화 키 등을 제공함으로써 인증서의 소유권을 증명할 수 있다. 신뢰성있는 메커니즘은 네트워크 디바이스와 허가된 네트워크 디바이스가 통신하는 네트워크와 동일 네트워크를 통할 필요는 없다. 블록(310)이 완료되자마자, 과정(300)은 다른 동작을 수행하기 위해 호출 과정으로 복귀한다.
도 4는 본 발명에 따른 클라이언트를 인증하기 위한 과정의 일 실시예를 일반적으로 보여주는 흐름도를 도시한다. 과정(400)은 예를 들어, 도 1의 서버(104)내에 동작할 수 있다.
도 4에서 도시된 바와같이, 시작 블록 이후에, 인증 과정(400)은 블록(402)에서 시작하며, 여기서 정보는 보안 세션을 초기화하기위해 수신된다. 이 정보는 클라이언트의 SSL 정보, 암호 설정, 랜덤 데이터 등을 포함할 수 있지만, 이에 제한되지 않는다.
과정은 블록(404)으로 진행하며, 여기서 수신 정보는 서버에 의해 확인된다. SSL 버젼, 암호 설정, 및 랜덤 데이터를 포함하는(이에 제한되지는 않지만) 서버 자신의 보안 세션 정보는 클라이언트에 전달된다. 만일 클라이언트가 서버를 인증한다면, 서버의 인증서는 클라이언트의 인증서에 대한 요구와 함께 클라이언트로 전송된다. 일 실시예에서, 클라이언트는 자신의 인증서를 서버로 전송하기 이전에 서버를 인증할 수 있다. 서버는 또한 인증 요구를 클라이언트로 전송하여 클라이언트의 인증서를 요청한다.
블록(404)이 완료되자마자, 과정은 블록(406)으로 진행하는데, 여기서 클라이언트의 디지털 서명으로 서명된 프리-마스터 비밀(pre-master secret)이 수신된다. 프리-마스터 비밀은 또한 클라이언트의 공개 키로 암호화될 수 있다. 블록(406)에서 전달된 클라이언트의 인증서는 유효 날짜 기간, 발행하는 CA의 신원, 클라이언트의 디지털 서명, 클라이언트의 도메인 네임 등을 포함할 수 있다.
이후에, 과정은 다수의 결정 블록으로 진행하며, 여기서 클라이언트에 의해 제공된 보안 세션의 파라메터의 유효성에 관해 예비적 결정을 한다. 결정 블록(408)에서 디지털 서명이 유효한지가 결정된다. 만일 서명이 유효하다면, 과정은 결정 블록(410)으로 진행한다. 만일 서명이 유효하지 않다면, 과정은 블록(418)로 분기하는데, 여기서 인증 시도가 종결되고 클라이언트에 통지된다. 결정 블록(410)은 인증서의 유효 날짜 기간이 만료되었는지를 결정한다. 만일 유효 날짜 기간이 존재한다면, 과정은 블록(412)으로 진행한다. 만일 유효 날짜 기간이 만료되었다면, 과정은 블록(418)으로 분기하는데, 여기서 인증 시도는 종결되고 클라이언트에 통지된다. 과정(400)은 과정 이후에, 이전에, 또는 결정 블록들(408 및 410) 사이에서 클라이언트에 의해 제공된 다른 정보의 유효성을 결정하는 부가적인 결정 블록들을 포함할 수 있다.
예비적 결정 블록들(408 및 410)의 긍정적 결과는 블록(412)로 분기한다. 블록(412)에서, 서버는 클라이언트의 인증서를 서버에 저장된 인증서와 비교한다. 블록(412)의 비교 결과는 결정 블록(414)으로 분기한다.
블록(414)에서, 만일 서버가 인증서와 저장된 인증서가 실질적으로 동일하다고 결정한다면, 과정은 블록(416)으로 진행한다. 만일 인증서와 저장된 인증서가 실질적으로 동일하지 않는 경우에, 과정은 블록(418)으로 분기하는데, 여기서 인증 시도는 종결되고 클라이언트에 통지된다.
블록(416)에서, 클라이언트 인증은 완료된다. 일 실시예에서, 인증은 클라이언의 허가에 의해 계속될 수 있으며, 여기서 서버는 네트워크를 통한 자원으로의 액세스를 허여한다. 네트워크를 통한 자원은 웹 서버의 페이지, 데이터베이스, 입/출력(I/O) 디바이스 그룹 등일 수 있다. 블록(416)이 완료되자마자, 과정(400)은 호출 과정으로 복귀한다.
도 3 및 도 4의 흐름도 예시의 각 블록, 및 흐름도 예시의 블록들의 조합이 하드웨어-기반 시스템 및 소프트웨어 명령의 조합에 의해 구현될 수 있음이 이해될 것이다. 상기 과정이 클라이언트와 서버의 실시예에 관해 설명되었지만, 상기 과정은 인증될 수 있는 임의의 네트워크 디바이스에 적용된다. 다른 특정 실시예의 예는 네트워크 접속을 갖는 휴대용 또는 데스크탑 컴퓨터, 개인용 디지털 어시스턴트(PDA), 방화벽, 게이트웨이, 트래픽 관리 디바이스, 분배기, 서버 어레이 제어기, 프록시 서버 등을 포함한다. 소프트웨어 명령은 처리기에 의해 수행될 일련의 동작 단계로 하여금 컴퓨터 구현된 과정을 생성하도록 처리기에 의해 실행될 수 있으며, 이에 따라 처리기에 의해 실행된 명령들은 흐름도 블록 또는 블록들에서 특정된 동작들의 일부 또는 모두를 구현하기 위한 단계를 제공하게 된다.
따라서, 흐름도 예시 블록은 특정 동작을 수행하는 수단의 조합, 특정 동작을 수행하는 단계의 조합, 및 특정 동작을 수행하는 프로그램 명령 수단을 지원한다. 흐름도의 각 블록, 및 상기 흐름도에서 블록들의 조합은 특정 목적의 하드웨어-기반의 시스템에 의해 구현될 수 있음이 또한 이해되어야 하며, 여기서 하드웨어-기반의 시스템은 특정 동작 또는 단계, 또는 특정 목적 하드웨어 및 컴퓨터 명령의 조합을 수행한다.
도 5는 도 1에서 도시된 시스템에 대한 메시지 흐름도의 일 실시예를 도시하며, 여기서 제 3자 CA는 인증서를 생성하는데 이용된다. 도면에서 도시된 바와같이, 패킷 흐름(500)은 상부를 통하여 제 3자 CA(502), 클라이언트(504), 및 서버(506)를 포함한다. 클라이언트(504) 및 서버(506) 각각은 도 1의 클라이언트(102)와 서버(104)와 실질적으로 유사하게 동작할 수 있다. 시간은 도면에서 아래방향으로 흐르는 것으로서 보여진다.
도 5에 도시된 바와같이, 메시지 흐름은 시간라인(508)에 의해 분리된 두 그룹으로 나눠진다. 제 1 그룹은 인증서의 저장과 관련된 메시지 흐름을 포함한다. 이 과정은 만일 클라이언트(504)가 새로운 서버에 인증서를 저장하기를 원한다면 반복될 수 있으며, 저장된 인증서는 어떤 다양한 이유 등에 대하여도 더 이상 유효하지 않다. 저장 과정은 클라이언트(504)가 공개/개인 키 쌍을 생성하는 것으로서 시작된다. 클라이언트(504)는 인증서 요구를 자신의 공개 키를 사용하여 제 3자 CA(502)로 전송한다. 제 3자 CA(502)는 클라이언트를 위한 인증서를 생성하고, 이를 클라이언트(504)에 전송한다. 회답으로, 클라이언트(504)는 인증서를 서버(506)에 전송한다. 서버(506)는 인증서를 저장한다. 서버(506)는 제 3자 CA(502) 또는 임의의 다른 신뢰성있는 소스를 조사함으로써 인증서의 인증을 검증할 필요가 없다. 클라이언트(504)로부터 서버(506)로의 인증서의 전송은 전형적으로 신뢰성있는 메커니즘을 통하여 발생한다. 신뢰성있는 메커니즘은 서버(506)의 인증서의 매뉴얼 엔트리, 보안 채널, 전용 채널 등을 포함할 수 있다.
도 5의 시간라인(508) 하부에서 도시된 바와같이, 인증 과정은 네트워크를 통하여 클라이언트(504)와 서버(506) 사이에서 일어난다. 과정은 전형적으로 서버(506)에 의해 네트워크를 통하여 보안 세션 초기화 정보 및 인증 요구를 수신함으로써 시작된다. 이 과정은 클라이언트(504)가 인증을 원하는 만큼 여러 번 반복될 수 있다.
클라이언트(504)로부터 보안 세션 초기화 메시지를 수신하자마자, 서버(506)는 보안 세션 정보의 확인으로 응답한다. 이는 서버(506) 자신의 SSL 버젼, 암호 설정, 및 랜덤 데이터를 포함할 수 있다. 서버(506)는 또한 클라이언트(504)의 인증서 요구를 전송한다.
클라이언트(504)는 서버(506)로 클라이언트(504)의 디지털 서명으로 서명된 프리-마스터 비밀 및 인증서를 역 전송한다.
서버(506)는 다수의 유효성 단계를 통과하는데, 여기서 유효성 단계는 클라이언트(504)의 디지털 서명을 검증하는 것, 인증서의 날짜 기간의 유효성을 검증하는 것 등을 포함하지만, 이에 제한되지는 않는다. 마지막으로, 서버(506)는 인증서를 서버(506)에 저장된 인증서와 비교한다. 만일 인증서가 저장된 인증서와 실질적으로 동일하다면, 보안 세션은 확립되고, 서버(506)는 클라이언트(504)를 인증한다.
도 6은 도 1에서 도시된 시스템에 대한 메시지 흐름도의 다른 실시예를 도시하는데, 여기서 클라이언트는 자체로 CA로서 동작하여 인증서를 생성한다. 도면에서 도시된 바와같이, 패킷 흐름(600)은 상부를 통하여 클라이언트(602) 및 서버(604)를 포함한다. 시간은 도면에서 아래방향으로 흐르는 것으로서 보여진다.
도 6에서 도시된 바와같이, 메시지 흐름은 시간라인(606)에 의해 분리된 두 그룹으로 다시 나눠진다. 제 1 그룹은 인증서의 저장과 관련된 메시지 흐름을 포함한다. 이 과정은 만일 클라이언트(602)가 새로운 서버에 인증서를 저장하기를 원하거나 저장된 인증서가 임의의 다양한 이유로 더 이상 유효하지 않은 경우에 반복될 수 있다. 저장 과정은 클라이언트(602)가 공개/개인 키 쌍 및 상기 공개/개인 키 쌍에 부분적으로 기초된 인증서를 생성하는 것으로서 시작된다. 이후에, 클라이언트는 인증서를 서버(604)에 전송한다. 서버(604)는 인증서를 저장한다. 클라이언트(602)로부터 서버(604)로의 인증서의 전송은 전형적으로 신뢰성있는 메커니즘을 통하여 발생한다. 신뢰성있는 메커니즘은 서버(604)의 인증서의 매뉴얼 엔트리, 보안 채널, 전용 채널 등을 포함할 수 있다.
도 5의 시간라인(508) 하부에서 도시된 바와같이, 인증 과정은 네트워크를 통하여 클라이언트(504)와 서버(506) 사이에서 일어나며, 이는 도 5의 시간라인 하부에서 설명된 인증 과정과 실질적으로 유사하다.
도 5 및 도 6의 메시지 흐름 예시의 각 요소, 및 메시지 흐름 예시의 요소들의 조합이 하드웨어-기반 시스템 및 소프트웨어 명령의 조합에 의해 구현될 수 있음이 이해될 것이다. 상기 메시지 흐름이 클라이언트와 서버의 실시예에 관해 설명되었지만, 상기 메시지 흐름은 인증될 수 있는 임의의 네트워크 디바이스에 적용된다. 다른 특정 실시예의 예는 네트워크 접속을 갖는 휴대용 또는 데스크탑 컴퓨터, 개인용 디지털 어시스턴트(PDA), 방화벽, 게이트웨이, 트래픽 관리 디바이스, 분배기, 서버 어레이 제어기, 프록시 서버 등을 포함한다. 소프트웨어 명령은 처리기에 의해 수행될 일련의 동작 단계로 하여금 컴퓨터 구현된 과정을 생성하도록 처리기에 의해 실행될 수 있으며, 이에 따라 처리기에 의해 실행된 명령들은 메시지 흐름 요소들에서 특정된 동작들의 일부 또는 모두를 구현하기 위한 단계를 제공하게 된다.
따라서, 메시지 흐름 예시 요소들은 특정 동작을 수행하는 수단의 조합, 특정 동작을 수행하는 단계의 조합, 및 특정 동작을 수행하는 프로그램 명령 수단을 지원한다. 메시지 흐름 예시의 각 요소, 및 상기 메시지 흐름 예시의 요소들의 조합은 특정 목적의 하드웨어-기반의 시스템에 의해 구현될 수 있음이 또한 이해되어야 하며, 여기서 하드웨어-기반의 시스템은 특정 동작 또는 단계, 또는 특정 목적 하드웨어 및 컴퓨터 명령의 조합을 수행한다.
상기 명세서, 예, 및 데이터는 본 발명의 제조 및 구성 사용에 대해 완전한 설명을 제공한다. 본 발명의 많은 실시예들이 본 발명의 사상 또는 범주를 벗어남이 없이 실현가능하므로, 본 발명은 하기에 첨부된 청구범위 내에 드는 것이다.
도 1은 본 발명이 실시될 수 있는 네트워크 시스템의 일 실시예를 도시한다.
도 2는 본 발명을 수행하는데 이용될 수 있는 네트워크 디바이스의 일 실시예에 대한 기능적 블록도를 도시한다.
도 3은 클라이언트에 의해, 저장될 인증서를 생성하고 전송하는 과정의 일 실시예를 일반적으로 보여주는 흐름도를 도시한다.
도 4는 클라이언트를 인증하는 과정의 일 실시예를 일반적으로 보여주는 흐름도를 도시한다.
도 5는 본 발명의 일 실시예에 관한 메시지 흐름을 도시한다.
도 6은 본 발명에 따른 메시지 흐름의 다른 실시예를 도시한다.

Claims (27)

  1. 네트워크를 통하여 클라이언트를 인증하기 위한 방법에 있어서,
    제 1 인증서를 생성하는 단계와;
    상기 제 1 인증서를 서버로 전송하는 단계와, 여기서 상기 서버는 상기 제 1 인증서를 저장하도록 구성되며;
    만일 상기 네트워크를 통한 인증이 요구되는 경우에, 상기 제 2 인증서를 요구하는 단계와;
    상기 제 2 인증서를 상기 네트워크를 통하여 상기 서버로 전송하는 단계와;
    상기 제 2 인증서와 상기 서버의 상기 제 1 인증서를 비교하는 단계와; 그리고 만일 상기 제 1 인증서와 상기 제 2 인증서가 동일하다면, 상기 클라이언트를 인증하는 단계를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  2. 제 1항에 있어서, 상기 서버는 상기 제 1 인증서를 생성하도록 구성되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  3. 제 1항에 있어서, 상기 제 1 인증서를 전송하는 단계는 인증서의 매뉴얼 엔트리, 보안 채널, 및 전용 채널 중 적어도 하나로부터 선택된 신뢰성있는 메커니즘을 사용하는 것을 더 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  4. 제 3항에 있어서, 상기 신뢰성있는 메커니즘은 상기 서버로 인증하는 상기 클라이언트와, 상기 서버로의 상기 인증서의 소유권을 증명하는 상기 클라이언트 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  5. 제 1항에 있어서, 상기 클라이언트는 상기 제 1 인증서를 생성하도록 구성되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  6. 제 1항에 있어서, 제 3자 인증 기관(CA)은 상기 제 1 인증서를 생성하도록 구성되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  7. 네트워크를 통하여 클라이언트를 인증하기 위한 방법에 있어서,
    신뢰성있는 메커니즘을 통하여 상기 클라이언트로부터 인증서를 수신하는 단계와;
    상기 인증서를 서버에 저장하는 단계와;
    만일 인증이 요구되는 경우에, 다른 인증서를 요구하는 단계와;
    상기 다른 인증서와 상기 저장된 인증서를 비교하는 단계와; 그리고 만일 상기 다른 인증서와 상기 저장된 인증서가 동일한 경우에, 상기 클라이언트를 인증하는 단계를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  8. 제 7항에 있어서, 상기 신뢰성있는 메커니즘은 인증서의 매뉴얼 엔트리, 보안 채널, 및 전용 채널 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  9. 제 8항에 있어서, 상기 신뢰성있는 메커니즘은 상기 서버로 인증하는 상기 클라이언트와, 상기 서버로의 상기 인증서의 소유권을 증명하는 상기 클라이언트 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  10. 제 7항에 있어서, 상기 서버는 상기 인증서를 저장하고 비교하도록 구성된 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  11. 제 7항에 있어서, 상기 인증서는 하드 디스크, 테이프 디스크, 및 대용량 저장 디바이스 중 적어도 하나에 저장되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 방법.
  12. 네트워크를 통하여 네트워크 디바이스를 인증하기 위한 방법에 있어서,
    인증서를 생성하는 단계와;
    상기 인증서를 다른 네트워크 디바이스에 전송하는 단계와, 여기서 상기 다른 네트워크 디바이스는 상기 인증서를 저장할수 있으며;
    상기 인증서를 상기 다른 네트워크에 재전송하는 단계와; 그리고
    만일 상기 재전송 인증서와 상기 저장된 인증서가 동일한 경우에, 인증을 수신하는 단계를 포함하는 것을 특징으로 하는 네트워크를 통한 네트워크 디바이스 인증 방법.
  13. 제 12항에 있어서, 상기 인증서를 생성하는 단계는 상기 다른 네트워크 디바이스에 의해 수행되는 것을 특징으로 하는 네트워크를 통한 네트워크 디바이스 인증 방법.
  14. 제 12항에 있어서, 상기 네트워크 디바이스는 상기 제 1 인증서를 생성하도록 구성된 것을 특징으로 하는 네트워크를 통한 네트워크 디바이스 인증 방법.
  15. 제 12항에 있어서, 제 3자 인증 기관(CA)은 상기 제 1 인증서를 생성하도록 구성된 것을 특징으로 하는 네트워크를 통한 네트워크 디바이스 인증 방법.
  16. 네트워크를 통하여 클라이언트를 인증하기 위한 장치에 있어서,
    제 1 인증서와 제 2 인증서를 수신하도록 구성된 제 1 구성요소와; 그리고
    상기 제 1 구성요소에 결합되어 동작을 수행하도록 구성된 제 2 구성요소를 포함하며, 상기 동작은:
    상기 제 1 인증서와 상기 제 2 인증서가 동일한지를 결정하는 동작과, 그리고
    만일 상기 제 1 인증서와 상기 제 2 인증서가 동일한 것으로 결정되는 경우에, 상기 제 1 인증서 및 상기 제 2 인증서와 관련된 상기 클라이언트를 인증하는 동작으로 구성되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 장치.
  17. 제 16항에 있어서, 상기 장치는 서버, 게이트웨이, 서버 어레이 중 적어도 하나로서 동작하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 장치.
  18. 제 16항에 있어서, 상기 제 1 구성요소는 상기 제 1 인증서를 저장하도록 더 구성된 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 장치.
  19. 제 16항에 있어서, 상기 제 1 구성요소에 결합되고, 상기 클라이언트에 의해 제공된 정보에 부분적으로 기초하여 상기 제 1 인증서를 생성하도록 구성된 제 3 구성요소를 더 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 장치.
  20. 네트워크를 통하여 인증을 수신하기 위한 장치에 있어서,
    인증서를 생성하도록 구성된 제 1 구성요소와;
    상기 제 1 구성요소에 결합되며, 상기 인증서를 서버로 전송하도록 구성된 제 2 구성요소와; 그리고
    상기 제 2 구성요소에 결합되며, 상기 인증서를 상기 네트워크를 통하여 상기 서버에 재전송하도록 구성된 제 3 구성요소를 포함하며, 여기서 상기 인증서는 상기 서버에게 상기 전송 인증서 및 상기 재전송 인증서의 비교에 부분적으로 기초하여 상기 클라이언트를 인증할 수 있게 하는 것을 특징으로 하는 네트워크를 통한 인증 수신 장치.
  21. 제 20항에 있어서, 상기 장치는 클라이언트, 휴대용 컴퓨터, 및 개인용 디지털 어시스턴트 중 적어도 하나로서 동작하는 것을 특징으로 하는 네트워크를 통한 인증 수신 장치.
  22. 제 20항에 있어서, 상기 인증서는 인증서의 매뉴얼 엔트리, 보안 채널, 및 전용 채널 중 적어도 하나로부터 선택된 신뢰성있는 메커니즘을 사용하여 상기 서버에 전송되는 것을 특징으로 하는 네트워크를 통한 인증 수신 장치.
  23. 제 22항에 있어서, 상기 신뢰성있는 메커니즘은 상기 서버로 인증하는 상기 클라이언트와, 상기 서버로의 상기 인증서의 소유권을 증명하는 상기 클라이언트 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 인증 수신 장치.
  24. 네트워크를 통하여 클라이언트를 인증하기 위한 시스템에 있어서,
    제 1 인증서를 생성하는 동작과, 상기 제 1 인증서를 저장될 서버에 전송하는 동작과, 그리고 만일 상기 네트워크를 통한 인증이 요구되는 경우에 제 2 인증서를 전송하는 동작을 포함하는 동작들을 수행하도록 구성된 클라이언트와; 그리고
    상기 클라이언트와 통신하며, 만일 상기 제 1 인증서가 처음으로 수신되는 경우에 상기 제 1 인증서를 상기 서버에 저장하는 동작과, 상기 제 2 인증서를 상기 제 1 인증서와 비교하는 동작과, 그리고 만일 상기 제 1 인증서가 상기 제 2 인증서와 동일한 경우에 상기 네트워크를 통하여 상기 클라이언트를 인증하는 동작을 포함하는 동작들을 수행하도록 구성된 서버를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 시스템.
  25. 제 24항에 있어서, 상기 네트워크를 통하여 상기 클라이언트를 인증하는 동작은 보안 세션을 확립하는 것을 더 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 시스템.
  26. 네트워크를 통하여 클라이언트를 인증하기 위한 시스템에 있어서,
    제 1 인증서를 생성하는 수단과, 상기 제 1 인증서를 저장될 서버에 전송하는 수단과, 그리고 만일 상기 네트워크를 통한 인증이 요구되는 경우에 제 2 인증서를 전송하는 수단을 포함하는 클라이언트와; 그리고
    상기 클라이언트와 통신하며, 만일 상기 제 1 인증서가 처음으로 수신되는 경우에 상기 제 1 인증서를 상기 서버에 저장하는 수단과, 상기 제 2 인증서를 상기 제 1 인증서와 비교하는 수단과, 그리고 만일 상기 제 1 인증서가 상기 제 2 인증서와 동일한 경우에 상기 클라이언트를 인증하는 수단을 포함하는 서버로 구성되는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 시스템.
  27. 제 26항에 있어서, 상기 저장 수단은 하드 디스크, 테이프 디스크, 및 대용량 저장 디바이스 중 적어도 하나를 포함하는 것을 특징으로 하는 네트워크를 통한 클라이언트 인증 시스템.
KR1020040117001A 2003-12-30 2004-12-30 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템 KR20050071359A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/748,760 US7321970B2 (en) 2003-12-30 2003-12-30 Method and system for authentication using infrastructureless certificates
US10/748,760 2003-12-30

Publications (1)

Publication Number Publication Date
KR20050071359A true KR20050071359A (ko) 2005-07-07

Family

ID=34710981

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040117001A KR20050071359A (ko) 2003-12-30 2004-12-30 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템

Country Status (5)

Country Link
US (1) US7321970B2 (ko)
EP (1) EP1702053A4 (ko)
KR (1) KR20050071359A (ko)
CN (1) CN1645795A (ko)
WO (1) WO2005065007A2 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100947119B1 (ko) * 2007-12-26 2010-03-10 한국전자통신연구원 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
KR20170002577A (ko) * 2014-05-08 2017-01-06 후아웨이 테크놀러지 컴퍼니 리미티드 증서 획득 방법 및 장치

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7600113B2 (en) * 2004-02-20 2009-10-06 Microsoft Corporation Secure network channel
US7631183B2 (en) * 2004-09-01 2009-12-08 Research In Motion Limited System and method for retrieving related certificates
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US8099324B2 (en) * 2005-03-29 2012-01-17 Microsoft Corporation Securely providing advertising subsidized computer usage
CN100571134C (zh) * 2005-04-30 2009-12-16 华为技术有限公司 在ip多媒体子系统中认证用户终端的方法
US7844816B2 (en) * 2005-06-08 2010-11-30 International Business Machines Corporation Relying party trust anchor based public key technology framework
FR2896646A1 (fr) * 2006-01-24 2007-07-27 France Telecom Certification avec autorite de certification distribuee
US20080276309A1 (en) * 2006-07-06 2008-11-06 Edelman Lance F System and Method for Securing Software Applications
CN101512535B (zh) * 2006-08-31 2011-05-18 国际商业机器公司 计算平台的证明
US8341843B2 (en) 2006-09-14 2013-01-01 Nsk Ltd. Method for manufacturing wheel supporting rolling bearing unit and method for inspecting double row rolling bearing unit
US7899188B2 (en) 2007-05-31 2011-03-01 Motorola Mobility, Inc. Method and system to authenticate a peer in a peer-to-peer network
US8806565B2 (en) * 2007-09-12 2014-08-12 Microsoft Corporation Secure network location awareness
US8516705B2 (en) 2007-10-02 2013-08-27 Nsk Ltd. Method of manufacturing bearing ring member for rolling bearing unit
US8555367B2 (en) * 2008-03-12 2013-10-08 Yahoo! Inc. Method and system for securely streaming content
JP4342595B1 (ja) * 2008-05-09 2009-10-14 株式会社東芝 情報処理装置、情報処理システム、および暗号化情報管理方法
CN101383846B (zh) * 2008-10-06 2011-12-28 华为终端有限公司 媒体传输协议的连接方法以及系统和装置
GB2469287B (en) * 2009-04-07 2013-08-21 F Secure Oyj Authenticating a node in a communication network
US9602499B2 (en) * 2009-04-07 2017-03-21 F-Secure Corporation Authenticating a node in a communication network
US20120173874A1 (en) * 2011-01-04 2012-07-05 Qualcomm Incorporated Method And Apparatus For Protecting Against A Rogue Certificate
US8844015B2 (en) * 2012-01-31 2014-09-23 Hewlett-Packard Development Company, L.P. Application-access authentication agent
US9338159B2 (en) * 2012-03-19 2016-05-10 Nokia Technologies Oy Method and apparatus for sharing wireless network subscription services
US20140325232A1 (en) * 2013-04-30 2014-10-30 Unisys Corporation Requesting and storing certificates for secure connection validation
TW201446023A (zh) * 2013-05-27 2014-12-01 Hon Hai Prec Ind Co Ltd 網路監控系統及方法
DE102014102168A1 (de) * 2014-02-20 2015-09-03 Phoenix Contact Gmbh & Co. Kg Verfahren und System zum Erstellen und zur Gültigkeitsprüfung von Gerätezertifikaten
US10454919B2 (en) * 2014-02-26 2019-10-22 International Business Machines Corporation Secure component certificate provisioning
US10517056B2 (en) 2015-12-03 2019-12-24 Mobile Tech, Inc. Electronically connected environment
US11109335B2 (en) 2015-12-03 2021-08-31 Mobile Tech, Inc. Wirelessly connected hybrid environment of different types of wireless nodes
US10251144B2 (en) 2015-12-03 2019-04-02 Mobile Tech, Inc. Location tracking of products and product display assemblies in a wirelessly connected environment
US10728868B2 (en) 2015-12-03 2020-07-28 Mobile Tech, Inc. Remote monitoring and control over wireless nodes in a wirelessly connected environment
US9445270B1 (en) 2015-12-04 2016-09-13 Samsara Authentication of a gateway device in a sensor network
US10116634B2 (en) * 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
CN106685911B (zh) * 2016-07-29 2020-12-04 腾讯科技(深圳)有限公司 一种数据处理方法及鉴权服务器、客户端
CN107018155B (zh) * 2017-05-31 2020-06-19 南京燚麒智能科技有限公司 一种外网终端安全访问内网特定数据的方法和系统
US20220070620A1 (en) 2018-10-25 2022-03-03 Mobile Tech, Inc Proxy nodes for expanding the functionality of nodes in a wirelessly connected environment
US10614682B1 (en) 2019-01-24 2020-04-07 Mobile Tech, Inc. Motion sensing cable for tracking customer interaction with devices
US10873468B2 (en) 2019-02-22 2020-12-22 Beyond Identity Inc. Legacy authentication for user authentication with self-signed certificate and identity verification
US20210157791A1 (en) * 2019-11-27 2021-05-27 Klarna Bank Ab Image-based record linkage
CN113132321A (zh) * 2019-12-31 2021-07-16 航天信息股份有限公司 一种建立通信连接的方法、装置及存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5903882A (en) * 1996-12-13 1999-05-11 Certco, Llc Reliance server for electronic transaction system
US6085976A (en) * 1998-05-22 2000-07-11 Sehr; Richard P. Travel system and methods utilizing multi-application passenger cards
US6145079A (en) * 1998-03-06 2000-11-07 Deloitte & Touche Usa Llp Secure electronic transactions using a trusted intermediary to perform electronic services
WO2001009701A1 (en) * 1999-08-03 2001-02-08 Amr Mohsen Network-based information management system for the creation, production, fulfillment, and delivery of prescription medications and other complex products and services
US7069234B1 (en) * 1999-12-22 2006-06-27 Accenture Llp Initiating an agreement in an e-commerce environment
US6829584B2 (en) * 1999-12-31 2004-12-07 Xactware, Inc. Virtual home data repository and directory
KR20000024217A (ko) 2000-01-29 2000-05-06 장승욱 데이터 센터의 전자거래 인증시스템 및 인증서비스 제공방법
US7552333B2 (en) * 2000-08-04 2009-06-23 First Data Corporation Trusted authentication digital signature (tads) system
US6957199B1 (en) * 2000-08-30 2005-10-18 Douglas Fisher Method, system and service for conducting authenticated business transactions
KR20030052194A (ko) 2001-12-20 2003-06-26 한국전자통신연구원 생체정보를 이용한 사용자 인증 시스템, 상기 시스템에서인증서를 등록하는 방법 및 사용자 인증방법
US7603720B2 (en) * 2002-04-29 2009-10-13 The Boeing Company Non-repudiation watermarking protection based on public and private keys

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100947119B1 (ko) * 2007-12-26 2010-03-10 한국전자통신연구원 인증서 검증 방법, 인증서 관리 방법 및 이를 수행하는단말
KR20170002577A (ko) * 2014-05-08 2017-01-06 후아웨이 테크놀러지 컴퍼니 리미티드 증서 획득 방법 및 장치
US10225246B2 (en) 2014-05-08 2019-03-05 Huawei Technologies Co., Ltd. Certificate acquiring method and device

Also Published As

Publication number Publication date
CN1645795A (zh) 2005-07-27
EP1702053A4 (en) 2011-05-04
WO2005065007A2 (en) 2005-07-21
US7321970B2 (en) 2008-01-22
WO2005065007A3 (en) 2007-03-01
US20050149723A1 (en) 2005-07-07
EP1702053A2 (en) 2006-09-20

Similar Documents

Publication Publication Date Title
KR20050071359A (ko) 인프라구조없는 인증서를 사용한 인증을 위한 방법 및시스템
JP4746333B2 (ja) コンピューティングシステムの効率的かつセキュアな認証
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US8689301B2 (en) SIP signaling without constant re-authentication
US9407617B2 (en) Pass-thru for client authentication
KR100894555B1 (ko) 속성 증명서를 이용하여 네트워크 디바이스에 대한 인증을가능케 하는 시스템 및 방법
US20030140223A1 (en) Automatic configuration of devices for secure network communication
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
US20090307486A1 (en) System and method for secured network access utilizing a client .net software component
US20080137859A1 (en) Public key passing
WO2018075965A1 (en) Dark virtual private networks and secure services
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
JP4870427B2 (ja) デジタル証明書交換方法、端末装置、及びプログラム
Duncan An overview of different authentication methods and protocols
Rescorla Writing protocol models
US20230077053A1 (en) Authentication using a decentralized and/or hybrid dencentralized secure crypographic key storage method
Cisco Configuring Certification Authority Interoperability
Ali et al. Flexible and scalable public key security for SSH
JP2024010700A (ja) 証明書発行サーバを備えるネットワークシステムおよび証明書発行方法
Singh et al. Mechanisms for Security and Authentication of Wi-Fi devices
Shankar Computer and Network Security CMSC 414 STANDARDS
Malygin INVESTIGATION OF DIGITAL CERTIFICATES: Creation of self-signed certificate on Windows 8
Zizhao et al. WEEK 5 Lecture Note
Leahu et al. Security Aspects in Virtual and Remote Laboratories-Implementations in the Virtual Electro Lab project.
Klemetti Authentication in Extranets

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee