KR20070032885A - 유비쿼터스 망의 보안 시스템 및 방법 - Google Patents

유비쿼터스 망의 보안 시스템 및 방법 Download PDF

Info

Publication number
KR20070032885A
KR20070032885A KR1020050087462A KR20050087462A KR20070032885A KR 20070032885 A KR20070032885 A KR 20070032885A KR 1020050087462 A KR1020050087462 A KR 1020050087462A KR 20050087462 A KR20050087462 A KR 20050087462A KR 20070032885 A KR20070032885 A KR 20070032885A
Authority
KR
South Korea
Prior art keywords
network
server
access
authentication
ubiquitous
Prior art date
Application number
KR1020050087462A
Other languages
English (en)
Inventor
윤찬엽
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020050087462A priority Critical patent/KR20070032885A/ko
Priority to US11/533,728 priority patent/US20070118879A1/en
Publication of KR20070032885A publication Critical patent/KR20070032885A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Abstract

본 발명에 따라 유비쿼터스 망에 안전한 접근을 획득하는 방법은 유비쿼터스 망의 하나의 특정한 망 영역에 가입하는 단계와, 대칭적인 키 인증과 함께 싱글 사인 온 절차를 수행하여 상기 하나의 특정한 망 영역에서 인증을 받는 단계와, 상기 하나의 특정한 망 영역에서 받은 인증에 따라 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역들에 접근하는 단계로 이루어진다. 본 발명의 보안 프로토콜 모델은 텔레매틱스(telematics) 기술과 함께 구현될 수 있으며 길에서 운전하는 사용자가 다양한 여러 망 영역들을 출입하며 다른 망 서버들과 안전하고 한결같은 통신 연결을 가질 수 있다.

Description

유비쿼터스 망의 보안 시스템 및 방법{SECURITY SYSTEM AND METHOD FOR UBIQUITOUS NETWORKS}
도 1은 개념적인 유비쿼터스 망 환경을 나타낸 도면.
도 2는 유비쿼터스 환경의 보안 환경을 나타낸 도면.
도 3은 유비쿼터스 망에서 본 발명에 따라 제안한 보안 모델의 개요를 나타낸 도면.
도 4는 유비쿼터스 망에서 본 발명에 따라 제안된 영역 간(inter-domain)의 보안 모델의 개요를 나타낸 도면.
도 5는 본 발명의 제안된 보안 모델을 구현한 이동통신단말의 예시적인 구조를 나타낸 도면.
본 발명은 계산적으로 빠르고 적은 메모리 자원이 요구되는 유비쿼터스 망을 위한 보안 프로토콜 모델에 관한 것이다.
유비쿼터스 망 기술은 널리 보급되는 컴퓨터 통신 및 통신 자원의 유용성을 상징한다. 한편, 소위 "전능망 또는 환경망(Ambient Networks)" 기술은 최근에 개 발되고 있는 제 4 세대 (4G) 시스템을 위한 완전 인터넷 프로토콜(all-IP)을 기반으로 하며, 다른 망 사업자들의 다수의 망들로 이루어져 있고 여러 다른 접근 기술들을 사용한다. 이는 사용자들이 접근 기술, 어플리케이션 및 서비스들을 선택할 수 있는 자유를 주며 유비쿼터스 망 통신의 증가 추세를 초래한다. 물리적인 환경에 전반적으로 이용 가능하도록 하며 사용자들에게는 실제적으로 느끼지 못하도록 이동 장치들과 컴퓨터들의 사용을 증대하는 방법들도 존재한다. 유비쿼터스 통신의 역동성 때문에 해커가 사용자 장치에 대한 제어를 획득하거나, 통신 채널의 도청, 민감한 모바일 상거래(m-commerce)의 변경, 서비스 거부 (Denial of Service: DoS), 타인의 신분으로 서비스 또는 상품 거래, 등과 같은 여러 가지 위협들이 존재한다. 따라서, 이런 위협들에 대한 보호책 및 대응책들을 제공해야 할 뿐만 아니라, 무선 네트워킹 및 광대역 기술들의 연속적이고 한결같은 사용이 존재하는 늘어나고 있는 상호 연결되는 유비쿼터스 망들에서의 보안 어플리케이션들의 개발되어야 한다. 또한, 그 어떤 사람과, 그 어떤 조직과, 어제, 어디서나, 그 어떤 말 및 어떤 장치들과의 안전한 통신이 이루어져야 한다.
따라서, 본 발명은 상기와 같은 문제점을 해결하기 위하여 창출한 것으로, 유비쿼터스 망의 보호를 위한 보안 프로토콜 모델을 제공하는 유비쿼터스 망의 보안 시스템 및 방법을 제공함에 그 목적이 있다.
상기 목적의 달성을 위해, 본 발명에 따라 유비쿼터스 망에 대한 안전한 접근을 획득하는 방법은, 유비쿼터스 망의 하나의 망 영역에 사용자가 가입하는 것을 인지하고, 그 가입한 사용자를 대칭적 키 인증과 함께 하나의 등록(싱글 사인 온: single sign-on) 절차를 수행하여 상기 하나의 망 영역으로부터 인증을 하고, 인증 받은 사용자가 상기 하나의 망 영역으로부터 받은 인증을 기초로 상기 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역에 접근을 허용하는 단계를 포함하는 것을 특징으로 한다.
여기서, 대칭적 키 인증은 타임 스탬프(time stamp) 정보 및 논스(nonce) 정보를 이용할 수 있으며, 싱글 사인 온 절차는 패스워드 보호 체계와 함께 사용되는 사용자 생물측정학(biometrics) 데이터 확인을 포함할 수 있다. 또한, 상기 허용하는 단계는 인증 받은 사용자가 안전하거나 불안정한 링크들로 연결된 여러 유비쿼터스 망 서버들에서 제공하는 하나 또는 그 이상의 유비쿼터스 망 서비스를 안전하게 사용할 수 있도록 해준다. 그리고, 망 영역들은 공통적으로 대칭적 암호화(encryption) 키들을 사용하여 최소의 메모리 자원으로 계산적으로 빠른 방식으로 인증을 수행한다.
이하, 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다.
본 발명에 따른 유비쿼터스 망의 보안에 대한 몇 가지 실시 예들을 구체적으로 설명된 것이며 그 예들은 첨부된 도면에 도시되어 있다.
개발되는 유비쿼터스 망들은, 유선 및 무선 망들과 피어-대-피어(peer-to-peer: P2P) 오버레이(overlay) 망들 간에, 여러 종류의 장치들 사이의 상호동작 (interactions)을 할 수 있게 하줄 것이다. 통신 기술들의 통합(convergence) 및 매우 적응적인 재구성 가능한 장치들에 의해, 동적이고(dynamic), 이질적이고(heterogeneous) 및 분포된(distributed) P2P 오버레이(overlay) 망들은 새로운 유비쿼터스 서비스들의 개발을 도모할 것이다. 본 발명은 계산적으로 빠르고 낮은 메모리 자원이 요구되며 유비쿼터스 망들을 위한 실용적인 보안 프로토콜 모델을 제공한다. 본 발명은 대칭적인 키들을 기반으로 한 망 인증 기술 및 하나의 등록(싱글 사인 온: single sign-on) 방식을 합쳐놓은 것이다. 본 발명은 또한 전능망(Ambient Networks)의 서비스들과 망 어플리캐이션들의 사용자들을 위한 보안 요구사항들을 완전히 충족시킬 수 있다.
기본적으로, 유비쿼터스 망들의 보안 해결책의 요구사항들에는 두 가지 분류가 있는데, 일반적인 사항과 구체적인 사항이 있다.
A. 일반적인 보안
일반적인 보안 요구사항에는 (1) 비밀성(confidentiality) 및 무결성(integrity), (2) 인증(authentication), (3) 허가 (authorization) 및 (4) 비부인성(non-repudiation) 있다.
비밀성 및 무결성은 정보의 허가된 접근을 보장하기 위한 서비스이다. 유비쿼터스 망 관리 정보는 저장될 때와 전송할 동안 보호되어야 한다. 이런 보호의 일 예로는 패스워드에 의한 것이다. 다른 보호책으로서는 파일의 내용에 대한 암호 해쉬 (cryptographic hash)를 그 파일의 저장 및 검색(retrieval)할 때 키로 사용하는 것이다.
인증은 한 객체가 다른 객체의 실체를 확인할 수 있게 해주기 때문에 모든 보안 서비스들 중 가장 중요하다. 유비쿼터스 망에서는 상호 인증이 요구된다. 따라서, 상호 인증 프로토콜들은 사용자-대-장치(User-to-Device: U2D), 장치-대-장치(Device-to-Device: D2D), 장치-대-망(Device-to-Network: D2N), 및 사용자-대-서비스제공자(User-to-Service Provider: U2S)의 인증에서 중간 개입자 ("man-in-the-middle")현상을 방지하기 위해 필요하다.
허가는 유비쿼터스 망 장치에 태스크(task)를 실행하고 사용자가 그 장치에 대하여 접근 권한을 부여하는 것을 허락해주는 절차를 의미한다. 본 장치들(home devices)에 대해서는, 유비쿼터스 망 환경 인증은 특정한 장치들을 위한 사용자의 접근 권한에 대응한다. 외부 장치들(foreign devices)에 대해서는, 장치의 소유자는 특정한 접근 권한을 외부 사용자들에게 부여하여 이런 외부 장치들의 이용에 대하여 대부분의 경우, 사용 요금을 지불해야 할 것이다.
비부인성(non-repudiation)은 한 객체가 기존의 책임들(commitments) 또는 행동들을 거부하는 것을 방지하는 서비스이다.
B. 구체적 보안
구체적 보안 요구사항들에는 (1) 지역적인 보안 해결책들과의 상호 운용성(interoperability), (2) 유비쿼터스 망 관리의 유용성(availability), (3) 자격(credentials)의 보호, 철회(revocation), 및 갱신 (4) 위임(delegation), (5) 플랫폼(platform)의 보호, (6) 하나의 등록 (싱글 사인 온: single sign-on), 및 (7) 콘텐츠 보호를 포함한다.
지역적인 보안 해결책들과의 연동성에 대해서는, 유비쿼터스 망에는 다른 보안 영역들 내에 존재하는 장치들로 구성된다. 각 영역에는 지역적인 보안 해결책들이 있지만, 다른 지역들의 보안 해결책들과 유비쿼터스 망 수준에서 서로 잘 조화될 것인지 의심스럽다. 이런 지역적인 보안 해결책들의 변경이 아주 어렵기 때문에, 유비쿼터스 망 구조의 보안은 기존의지역적인 보안 해결책들과 호환가능해야 한다.
유비쿼터스 망 관리기능들의 유용성에 대해서는, 유비쿼터스 망 기술은 장치들의 망 가입과 망 이탈이 이루어지는 아주 동적인 자체 적응하는 환경을 지니고 있다. 한 장치가 서브-망의 게이트웨이의 성질을 지니고 있다면, 이탈할 때 서브-망 전체에 영향을 미칠 것이다. 이런 동적인 변화에도 불구하고 유비쿼터스 망 환경이 제대로 동작해야 하기 때문에, 이런 동작을 유지하기 위한 유비쿼터스 장치 관리(Ubiquitous Device Management: UDM) 기능들이 포괄적인 유용할 필요성이 있다.
자격의 보호, 철회, 및 갱신에 대하여, 유비쿼터스 망 사용자의 자격들은 다른 여러 계층에 존재한다. 예를 들어, 이런 자격들은 유선 및 무선 통신을 위한 링크 계층에 존재할 수 있고, 그리고 망 계층에는IP (및 IPSec)가 존재한다. 전송 계층에는, SSL/TLS 보안 프로토콜들이 내장될 수 있다. 유비쿼터스 망 사용자 자격은, 전송 계층 위에 있지만 어플리케이션 계층(즉, 서비스들이 실행되는 미들웨어 계층) 밑에 있는 유비쿼터스 망 오버레이에도 존재한다. 물론, 이 모든 자격들은 충분히 보호되야 하며, 이들의 철회 및 갱신을 위한 프로토콜들이 존재해야 한다. 또한, 기술에 따라 보안 관계들의 끝점들이 다를 수 있다는 것을 염두에 두어야 한다. 유비쿼터스 망 내부구조의 서브-망들에는 다른 보안 프로토콜들이 존재하며, 유비쿼터스 망 단계에서는 균일한(uniform) 프로토콜들이 필요하다. 이런 프로토콜들은 이질적이고 동적인 환경의 기존 해결책들을 통일시켜준다.
위임에 대해서는, 유비쿼터스 망 기술은 유비쿼터스 망 사용자들을 위한 여러 장치들과 여기에 실행되는 서비스들에 참가하는 환경을 가진다. 유비쿼터스 망 기술의 자체 적응 특성 때문에, 한 서비스는 장치를 바꿀 수도 있고 그 서비스가 실행되고 있는 서브-망 전체를 바꿀 수도 있으며, 장치가 자동차 망 환경에서 집 망 환경으로 이동할 때가 일 예이다. 유비쿼터스 망 사용자들이 이 모든 변화를 인증하기엔 아주 복잡하며, 사용자들이 모바일 에이전트(mobile agents)들을 이용하여 그들의 권한을 그들을 대신하여 행동하는 관리 기능에게 위임할 필요가 있다.
플랫폼(platform) 보호에 대해서는, 유비쿼터스 망 기술의 주요 개발 동기(motivation)는 유비쿼터스 장치들에게 어플리케이션들을 안전하게 다운로드하는 기능과, 안전한 방식으로 유비쿼터스 망 장치들이 재구성될 수 있도록 허용하는 것이다. 유비쿼터스 망 장치들의 목적이 여러 다양한 서비스들의 접근을 제공하기 위함이기 때문에, 다운로드된 어플리케이션들의 근원에 제한을 두지 않으면, 해로운 어플리케이션들이 허용되지 않은 방식으로 그 장치를 재구성할 위험이 있다. 따라서, 그 어떤 형태의 안전한 이동 실행 환경(Secure Mobile Execution Environment (SMExE)을 제공하여 플랫폼에 대한 이런 공격들로부터 보호하는 것이 중요하다.
하나의 등록(싱글 사인 온: single sign-on)에 대해서는, 유비쿼터스 망들 은 기존의 환경들과 연동하는데, 각각 특정한 인증 내부 구조를 가지고 있다. 사용자들이 제각각 다른 역할을 하는 다른 장치, 망 및 서비스들을 인증해야되기 때문에, 하나의 등록 해답의 구현이 필요하다. 이는 사용자들이 단 한 번의 인증으로 유비쿼터스 망들의 한결 같은(seamless) 동작을 모든 망 영역들에서 가능하게 해줄 것이다. 이에 따라 유비쿼터스 사용자들이 중단 없이 유비쿼터스 망들에 이탈 및 참가할 수 있게 해준다.
콘텐츠 보호에 대해서는, 유비쿼터스 망 사용자들에게 새로운 서비스들을 제공할 수 있는 능력이 유비쿼터스 망 기술 개발의 주요 원동력이다. 이런 서비스들 중 상당수는 차세대 디지털 (이동) 멀티미디어 방송(Digital Multimedia Broadcasting: DMB)의 이동 콘텐츠를 최종 사용자들에게 제공하고 전달할 것으로 예상되고 있다. 이런 디지털 콘텐츠의 디지털 특성이 완벽한 복제를 허용하기 때문에 콘텐츠 제공자들은 자신들의 저작권이 보호되기를 원할 것이다. 유비쿼터스 망 환경들이 DMB 이동 콘텐츠에 대한 접근 가능성을 최대한 이용하기 위해, 그 어떤 형태의 디지털 권리 관리(Digital Rights Management: DRM) 시스템이 유비쿼터스 장치들에 구현될 필요성이 있다.
유비쿼터스 망들의 보호 특성들에 대해서는, (a) 이질적 특성, (b) 동적이고 자체 편성하는(self-organizing) 특성, 및 (c) 비공개(프라이버시: privacy) 및 신뢰(trust) 특성들이 있다. 유비쿼터스 망들에는 찾기 어렵고 secure하기 힘든 여러 위협들이 존재한다. 예를 들어, 여러 한결 같은(seamless) 망 환경에서 해커가 사용자 장치에 대한 제어를 획득하거나, 통신 채널의 도청, 민감한 모바일 상거래 (m-commerce)의 변경, 서비스 거부 (Denial of Service: DoS), 타인의 신분으로 서비스 또는 상품 거래 등이 있다. 따라서, 유비쿼터스 망 내부 구조는 참가하는 사용자 장치들간의 어느 정도의 보안 제공이 요구된다.
이질적(heterogeneous) 특성에 대해서는, 유비쿼터스 망 내부 구조의 가장 중요한 목표중에 하나가 유선 및 무선망들의 상호 연결을 허용하여, 그 어느 망에서 서비스들과 어플리케이션들이 접근 가능하도록 해주는 것이다. 그 어떤 망에서 악의적인(malicious) 노드들로부터 공격이 일어날 수 있다. 예를 들어, 요청에 대하여 잘못된 응답을 제공하여 어플리케이션 레벨 통신에 오류를 발생하거나 트래픽을 잘못 라우팅하는 DoS 공격이 있을 수 있다. 따라서, 적합한 보안 프로토콜들 및 자격의 관리를 도입해서 DoS 공격을 방지하고, 최대한 방해되지 않게 사용자 입장에서 끝단-대-끝단(end-to-end) 보안을 이루는 것이 쟁점이다.
동적이고 자체 편성하는 특성들에 대해서는, 편재성(ubiquity)의 주 동기는 유비쿼터스 망 사용자들이 여러 가지 서비스들을 다양한 서비스 제공자들로부터 얻을 수 있도록 허용하는 것이다. 따라서, 보안 정책을 시행하면서 요구에 따라 제공될 수 있는 여러 서비스들이 존재한다. 이런 서비스들은 여러 종류의 유비쿼터스 망 사용자 장치들에 의해 이용될 수 있다. 따라서, 유비쿼터스 망 사용자들에 의해 이용될 수 있는 서비스 품질(Quality of Service: QoS) 순위들은 그들의 위치와 어떤 특정한 시간에 이용가능한 처리 자원에 의해 좌우될 것이다. 유비쿼터스 사용자들이 하나의 망에서 다른 망들로 이동할 때, 망에 가입, 이탈 또는 재가이발 때 유비쿼터스 망 사용자의 망 환경이 변할 수 있기 때문에 보안이 역동적으로 재구성되 어야 한다. 더구나, 한 망에 가해지는 보안 위협들은 다른 망들과 다르다. 따라서, 이런 역동성 때문에, 유비쿼터스 망 사용자 장치들은 계산적으로 빠른 인증이 필요하며, 유비쿼터스 망에 가입, 이탄, 또는 재가입할 때 허가 보안 프로토콜이 고안되어야 할 것이다.
비밀 보장 및 신뢰 특성에 대해서는, 유비쿼터스 망들에서 서비스들을 접근하기 위해 다른 사용자들과 그들의 장치들을 위해 다른 정도의 신뢰가 필요할 수도 있다. 이는 사용자들 및 그들의 장치들이 접근이 허용되었는지를 판단하기 위한 유비쿼터스 망 기록 및 자원들에 반영될 것이다. 구현된 어플리케이션들은 제대로 동작하기를 신뢰할 수 있어야 하며 망과 장치들의 자원들을 접근할 완전한 특권을 가져야 한다. 실상을 기반으로 한 신뢰(trust) 모델들 및 신뢰에 대해 판단할 능력을 개발하기 위해 신뢰할 수 있는 객체들을 구분하기 위한 사회적 특성이 유비쿼터스 망들에 요구된다. 따라서, 유비쿼터스 망 환경을 위한 보안 구조는 실상과 사회적 개요에서의 신뢰할 수 있는 어플리케이션들의 안전한 실행을 허용하도록 만들어져야 한다.
현재 3G 통신 시스템 및 무선 LAN 기술(와이파이: WiFi)의 사용으로, 미래의 이동 장치들은 더욱 증가하는 서비스들에 대한 접근이 요구될 것이 분명하다. 다양한 통신 기술들을 이용하여 이러한 서비스들을 다양한 유비쿼터스 컴퓨팅 장치들에게 제공하는데 있어서 큰 가능성이 존재한다.
도1에 도시된 바와 같이, 이런 장치들 중 일부는 무선 개인 영역 망 (Wireless Personal Area Networks: WPANs)에 연결되어, GPS 인공 위성(18)의 적용 범위 내에 위치한 사용자들이 집, 자동차,사무실 및 상거래 망들(10, 12, 14, 16)과의 접근을 허용해줄 수 있다. 무선 개인 네트워킹 개념을 고려할 때, 광범위한 유비쿼터스 통신 기술들을 이용하여 개인 장치들간의 상호동작을 허용하는 내부구조를 전망할 수 있다. 피어-대-피어 (Peer-to-Peer: P2P) 오버레이 망 환경의 이용가능성은 즉각 요구(on-demand) 서비스들의 더 광범위한 접근을 가능하게 할 것이며, 유비쿼터스 망들의 오버레이(overlay)들를 형성할 것이다. 이는 소비자, 망 사업자 및 서비스 제공자들에게 여러 이익을 가져다 준다. 따라서, 안전한 유비쿼터스 어플리케이션들과 이들이 실행가능한 안전한 환경의 제공에 대한 개발에 대한 노력이 필요하다.
유비쿼터스 네트워킹의 기본 개념은 미래의 유비쿼터스 tele통신 시스템들이 광범위한 서비스들에 대한 이질적 유선 및 무선 접근을 허용할 것이라는 신뢰를 기초로 한다. 그 결과, 이동적 특별 P2P (Mobile Ad hoc P2P: MAP2P) 망과 같은 많은 협력 망들이 형성되며, 이들은 자체 편성 P2P 내부 구조를 형성한다. 유비쿼터스 망은 다른 망들을 통해 여러 개의 서비스들에 접근하는 여러 사용자 장치들과 연관 가질 수 있다. 이 상황은 UST WSI 프로젝트의 "멀티스피어" (MultiSphere) 개념과 조금 비슷한데, 여기서 사용자는 게이트웨이들과 서로 연결된 여러 사용자 장치들에 대한 접근을 할 수 있다.
유비쿼터스 망의 적용 범위는(coverage) 그다지 광범위하지 않지만 작은 범위(coverage) 구역이나 섬(island) 구역으로 이루어질 수 있다. 이들은 협동하는 망들의 집단과 서로 연결될 수도 있고 그렇지 않을 수도 있다. 따라서, 특정한 세 션(session)은 한결같지 않을 수도 있으며, 사용자가 서비스 전달 수단(mechanisms) 범위 내에 있을 때마다 설정되거나 계속 이루어진다. 이런 전달 수단들은 디지털 (이동) 멀티미디어 방송(Digital Multimedia Broadcast: DMB) 망, 무선 망, 또는 개인 MAP2P 망들로 이루어질 수 있다.
도 2에 도시된 바와 같이, MAP2P에 그룹을 형성하는 장치들은 다양하며 사용자들이 연관지은 다른 유비쿼터스 컴퓨팅 환경들로부터, 즉, 사무실 환경 (24) (예, 원격 접근 제어, 법인 인트라넷, 등), 집안 환경 (20) (예, 집PC, 소비자 가전 제품, 셋-톱 박스(Set-Top Boxes: STB), 집 게이트웨이, 등), 차량 또는 이동성 환경 (22) (예, 자동차 망, DMB 시스템, 항법(네비게이션) 시스템, 등), 상거래 환경 (26) 및 개인 (WPAN) 환경 (28) (예, 이동 장치, 포켓 PC, WiFi 노트북 컴퓨터, 등)에서 유래된다.
예를 들어, 유비쿼터스 망 사용자는 집 서버 또는 집 망 내의 STB를 쉽게 구성하여 원하는 영화 선택을 위한 일정을 확인할 수 있다. 사용자가 여행중일 때, 곤 상영될 선택된 영화에 대한 메시지를 STB로부터 수신할 수 있다. 사용자는 이런 메시지를 3G 또는 IEEE 802.11/802.15 시스템들에 의해 제공되는 멀티미디어 메시징 서비스(Multimedia Messaging Service: MMS)를 통해서 받을 수 있다. 사용자는 집 서버(또는 STB)로 지시를 보내서 유비쿼터스 망 내부 구조를 통해 그에게 영화를 전송해달라고 요구할 수 있다. 이런 서비스의 전달은 서로 연결된 다른 망 내부구조에 의해 제공되며, 사용자가 방해 없이 그 서비스를 한결같이 계속 즐길 수 있도록 해준다. 이런 흐름을 이용하기 위해, "조직적인" 또는 "비조직적인" P2P 오버 레이들을 형성하여 자체 편성 MAP2P 서브스트레이트(substrate)를 만들 수 있다. 이들 이런 오버레이 망들은 유비쿼터스 망 내부 구조의 일부를 이루며 크기 조정 가능하고(scalable), 자체 편성적이고(self-organizing), 결함에 내성이 있어서(fault-tolerant) 효과적인 부하 균형(load-balancing)을 제공한다.
유비쿼터스-대-유비쿼터스 사용자 (Ubiquitous-to-Ubiquitous User: 이하U3 사용자)를 위한 본 발명의 보안 프로토콜 제안의 동기는 U3 사용자 및 장치들이 계산적으로 빠른 방식으로 인증하여, 모든 망 영역들(즉, 집, 사무실, 차량, WPAN 망 환경)에 대하여 한결같고 안전한 접근을 가능하게 해주는 것이다. 즉, U3 사용자는 안전하지 못한 망들에 의해 연결된 다른 유비쿼터스 서버들에 의해 제공되는 하나 또는 그 이상의 유비쿼터스 서비스들을 안전하게 사용할 수 있을 것이다.
여기서, 하나의 특정한 망 영역에 속하는 모든 장치들은 그 망 영역 내의 유비쿼터스 망 서버와 안전하게 초기 적재(bootstrapped) 되었다는 것을 가정한다. 본 발명의 보안 프로토콜은 개선된 케르버로스(Kerberos) 방식 ("케르버로스 망 인증 서비스", J. Kohl 및 C. Neuman, Network Working Group Request for Comments: 1510, Tech. Rep., 1993년 9월, 에서 설명) 기반을 두며, 대칭적 키 암호의 기초를 가지며, 키 관리는 trust 관계들로 이루어질 수 있다 ("Pervasive 컴퓨팅 환경에서의 신뢰-기반 보안", IEEE Computer, vol. 24, no. 12, pp. 154-157, 2001년 12월 에서 설명).
개념적으로, 케르버로스 방식은 간단하며 기본적인 요소는 티켓(tickets)들과 세션 키(session keys)들이 있다. 다른 사람들에게 자신의 자격을 증명하기 위 해, 중앙 관리소로부터 티켓을 먼저 획득해야 하고 이 티켓을 제시해야 한다. 케르버로스에서는 이 권한을 키 분배 중심지(Key Distribution Center: KDC)라고 하며, 이런 서비스는 각 망 영역 제어기에 구현된다. 하지만, 케르버로스 방식은 하나의 망 내에서 클라이언트-대-서버의 보안 프로토콜에만 관한 것이다. 그러나, 본 발명은 클라언트와 서버 사이뿐만 아니라, 각각 최소한 하나의 서버를 가진 다른 망 영역들 사이의 보안 프로토콜에 관한 것이며, 하나 또는 그 이상의 망 영역들에 가입, 이탈, 또는 재가입할 수 있는 사용자들의 이동성을 고려한 것이다. 따라서, 여러 다른 망 영역들 사이를 이동하는 사용자들의 이동성을 처리할 수 있는 사용자들을 위한 보안 프로토콜을 제공하는데에 있어서 여러 가지 기술적인 고려 사항들이 있기 때문이다. 기존의 케르버로스 방식을 유비쿼터스 환경에 바로 적용할 수 없다. 따라서, 본 발명은 기존의 케르버로스 방식을 개선하기 위해 타임 스템프(time stamp) 및 논스(nonce 즉, 반복하지 않는 지시자)의 특징들을 사용하여 하나의 등록(싱글 사인 온: single sign-on) 수단 (즉, 생물측정학: biometrics)과 함께 모든 로밍(roaming) 영역들에 대하여 적용한다.
대칭적인 키 인증을 사용하는 장점은 비대칭적 공용 키 알고리즘보다 계산적으로 빠르다. 대부분의 U3 이동 장치들은 크기가 작으며 제한적인 계산 능력과 메모리 자원을 가진다. 이는 유비쿼터스 망을 위한 암호 primitives의 사용에 엄격한 제한을 둔다. 길이가 긴 암호 키들을 저장하고 연산을 수행하여 실질적인 보안을 보장하기에는 자원 소비가 클 것이다. 이런 장치들의 메모리는 장치 구동 시스템과 유비쿼터스 망들의 어플리케이션들과 함께 나누어 이용해야 할 필요가 있을 수도 있다. 그 결과, 흔히 사용 가능한 암호 요소(primitives)들을 구현하기 위한 메모리가 그 장치에 부족할 수 있다. 이런 제한들 때문에, 비대칭적 암호를 구현하기 어려울 수 있으며, 더 작은 크기의 키를 사용하고 계산적인 측면에서 수 배 빠른 대칭적인 암호가 더 실현 가능한 방안일 것이다. 이런 계산적으로 빠른 안전한 환경으로, U3 사용자들은 하나의 유비쿼터스 망 영역에서 다른 영역으로 쉽게 이동 가능하며, 최소한의 자원을 이용하여 통신 세션을 가입 또는 이탈이 한결 같이할 수 있다.
도 3은 본 발명의 보안 모델에 대한 전반적인 설명과 알고리즘을 도시하는데 이동 단말기(30), 영역 3(32), 운영자 AAA 서버(34), 인증 서버(AS) (35), 티켓 허가 서버(TGS)(36), 및 서비스 서버(37)로 구성된다. 기본적으로, 유비쿼터스 망에서 사용자 및 어플리케이션 접근의 보안에는 세 단계가 있으며, 인증, 접근 제어, 및 키 협상에 대하여 이하 더 자세히 설명한다.
(1) 인증 단계
U3 사용자들은 먼저 하나의 등록 (싱글 사인 온: single sign-on) 기술을 이용하여 인증 서버(Authentication Server: AS)에 자신을 인증하고, 서비스들에 접근을 요구하기 위한 임시 허가를 사용자들에게 부여한다. 이 허가는 티켓 허가 티켓(Ticket-Granting Ticket: TGT)라고 하며, 제한된 유효 기간(수명)을 가진 여권(패스포트: passport)와 비교될 수 있다.
(2) 접근 제어 단계
두 번째 단계에서 각 U3 사용자는 TGT를 이용하여 서비스별 접근 허기를 받 는데, 예를 들어, 망 서비스를 제공하는 서버 S 1 , S 2 , .., S N 를 접근하는데 이용될 수 있다. 티켓 허가 티켓 서버(Ticket Granting Server: TGS)는 각 U3 사용자가 요청한 서비스에 접근 가능하다는 것을 확인하고 서버들 (S 1 , S 2 , ..., S N )을 위한 서비스 허가 티켓(Service Granting Ticket: SGT)으로 응답한다.
(3) 키 협상 단계
AS는 U3 사용자들 및 티켓 허가 서버(Ticket Granting Server: TGS) 사이의 통신을 위해 세션 키를 생성하고, TGS 는 U3 사용자들과 서비스별 서버들 사이의 통신을 위해 대응되는 세션 키를 생성한다.
도 3의 절차들이 이하 더 자세히 설명될 것이다.
제 1 단계에서는, 사용자가 자신의 이동 장치에 로그-인(log-in) 하여 특정한 서비스에 대한 접근을 요구한다. 이동 장치는 제1 메시지 M1 을 사용자의 타임 스템프 T U3 및 논스 N U3 를 보내는데, 다음과 같이 나타낼 수 있다:
M1 : U3 --> AS : ( U3 , TGS , T U3 , N U3 ) .
제 2 단계에서는, AS 사용자 데이터베이스를 통해서 그 사용자(U3)에 대해서 알고 있다는 것을 확인한다. 그리고 사용자 데이터베이스에 저장된 사용자의 생물측정학(biometrics) 데이터로부터 (예, 스캐닝된 지문, 패스워드 보호와 함께 실행되는 음성 및 얼굴 인식), 대칭적 키(K U3 )를 생성한다. 그 다음, AS는 수신한 사용자 프로토콜 데이터로부터 사용자 장치(ID U3 )의 IP 주소 및 MAC 주소 등과 같은 자격을 획득한다. AS는 티켓(Ticket TGS ) 및 세션 키(K U3 , TGS )를 생성하여 제 2 메시지(M2)를 사용자(U3)에게 보내는데, 이를 다음과 같이 나타낼 수 있다:
M2 : AS --> U3 : E KU3 ( K U3 , TGS , TGS , N U3 , T AS , L TGS , Ticket TGS ) ,
여기서, E K 는 대칭적인 키 K를 이용한 암호화, K x 는 x의 비밀 키, K x ,y 는 x 및 y를 위한 세션 키, 그리고 LTicket TGS 의 생명(유효 기간)이며 다음과 같이 정의된다:
Ticket TGS = E AS , TGS ( K U3 , TGS , U3 , ID U3 , TGS , T AS , L TGS ) .
제3 단계에서, M2를 수신하면, 이동 장치는 생물측정학(biometric) 데이터와 패스워드를 입력하도록 사용자에게 요구한다. 이 것들은 대칭적인 키 K U3 를 계산하는데 이용되며 이동 장치가 메시지를 해독할 수 있도록 해준다. 사용자가 정확한 패스워드를 입력하지 않았으면, 키 K U3 는 정확하게 계산되지 않고 결과적으로 실패할 것이다. 마지막으로, 사용자(즉, 이동 장치)는 Authenticator를 생성하여 TGT와 함께, 그리고 원하는 서버의 이름(S 1 , S 2 , ..., S N )을 TGS로 보내는데, 이를 다음과 같이 나타낼 수 있다:
M3 : U3 --> TGS : ( S 3 , Ticket TGS , N' U3 , Authenticator U3 , TGS ) ,
여기서, Authenticator U3 , TGS = E KU3 , TGS ( U3 , ID U3 , T U 3 , N' U3 ), T' U3 는 사용자(U3)와 같은 이동 단말이 그 특정한 시기에 생성한 타임 스템프이며, N' U3 는 논스(즉, 반복하지 않는 지시자)이며 같은 이동 단말에 의해 다른 시기에 생성된다.
제 4 단계에서, TGS가 Ticket TGS 를 해독한 후에, 세션 키 K U3 , TGS 를 획득하며 Authenticator U3,TGS 를 해독하는데 사용된다. 그 후에, TGS는 사용자의 이름과 타임 스템프를 확인한다. 이 절차들이 성공적이면, U3 사용자는 서버(예, S 3 )에 대한 접근 권한이 허용될 것이다. 서버 S 3 에 대한 접근을 위해 타임 스템프 T TGS , 세션 키 K U3 , S3 , 및 티켓 Ticket S3 이 생성된다. TGS는 다음과 같은 메시지 M4를 U3 사용자(들)에게 보낼 수 있다:
M4 : TGS --> U3 : E KU3 , TGS ( K U3 , S3 , S 3 , N U3 , T TGS , Ticket S3 ) ,
여기서 Ticket S3 = E KU3 , S3 ( K U3 , S3 , U3 , ID U3 , S 3 , T AS , L S3 ) .
제 5단계에서, U3 사용자는 M4 를 해독하여 서버 S 3 과의 안전한 통신을 수행하기 위한 세션 키를 획득한다. U3 사용자는 새로운 인증자 (Authenticator)를 생성하여 U3 사용자의 티켓과 함께 S 3 로 보낸다:
M5 : U3 --> S3 : ( Ticket S3 , Authenticator U3 , S3 ) ,
여기서 Authenticator U3 , S3 = E KU3 , S3 ( U3 , ID U3 , T' U3 ).
제 6 단계에서, 서버 S 3 는 키 K TGS , S3 를 이용하여 수신한 티켓을 해독하고, 세션 키K U3 , S3 를 획득한다. 그 후, 서버 S 3 는 이 키를 이용하여 Authenticator 를 확인하고 메시지 M6를 U3 사용자(들)에게 보낸다:
M6 : S 3 --> U3 : E KU3 , S3 ( T' U3 + 1 ).
제 7단계에서, U3 사용자는 이 메시지(M6)를 해독하고 하나 증가된 타임 스템프를 확인한다. 이 절차들이 성공적이면, U3 사용자는 TGS가 아닌 오직 하나의 서버 S 3 와 안전한 통신을 설정해야 할 것이다.
상기에서 설명된 본 발명의 보안 프로토콜은, 같은 영역 내(inter-domain) 인증에도 확장 가능하다. 예를 들어, 서버 S3에 접근 가능한 U3 사용자들은 다른 위치에 있는 다른 망 영역들(S 1 , S 2 , ..., S N )의 서비스들과 접근할 수 있다.
도 4는 상기 설명된 기본 보안 프로토콜을 같은 영역 내의 통신을 위해 확장된 제안을 도시하는데, 영역 3 (41) 내에는 이동 단말 (40)과, AS(43)와 TGS(44)를 포함하는 운영자 AAA 서버 (42)가 있고, 영역 1 (45) 내에는 서버 (S1)(46), AS(47) 및 TGS(48)가 있다. 같은 영역 내의 인증은 한 망 영역에서 다른 망 영역으로 신뢰할 수 있는 경로를 설정하기 위해 다른 망 영역에 속하는 두 개의 TGS가 필요하며, 서로 협의된 비밀 키들이 있어야 하는데, 그 예로 망 영역 3 및 1 내의TGS 3 TGS 1 를 위한K TGS3, TGS1 가 각각 필요하다. 같은 영역 보안 프로토콜에 따라, 서버 S3의 지역 TSG3는 서버 S1 의 원격 TGS1를 "원격 로밍" 서버로 간주하며 TGS3는 TGS1을 위해 티켓을 발급할 수 있다.
U3 사용자가 원격 망 영역 1을 위한 Ticket TGS1 을 획득한 후에, U3 사용자는 원격 망 영역 1의 원격 TGS1 에 요청을 보내고, 요청한 서버S1와의 안전한 통신 설정을 위해 TGS1은, 상기 설명된 알고리즘 단계들에 의해 U3 사용자에게 Ticket S1 을 발행한다. 여기서 주요한 점은, 원격 망 영역이 지역 영역의 AS를 신뢰하지 않으며, 원격 AS는 방문하는 U3 사용자들에 대한 자신의 인증 확인을 수행하지 않는다. 따라서, 유비쿼터스 망 접근을 위한 본 제안의 보안 프로토콜을 이용하여 계산적으로 빠르고 균일한 자격들을 안전하고 한결같이 획득할 수 있다.
본 발명의 보안 모델은 대칭적인 알고리즘을 이용하여 유비쿼터스 망들에서 안전한 통신을 확보할 수 있다. 이런 인증 방식은 계산적으로 빠르다. 본 발명은 또한 생물측정학(biometrics) 데이터(즉, "당신이 무엇이다"라는 것)와 함께 패스워드 보호(즉, "당신이 무엇을 알고 있느냐"라는 것)를 수행하여 (패스워드 알아 맞추기와 같은) 해킹을 최소화할 수 있다. 본 발명은 타임 스템프와 논스를 추가하고 하나의 등록(싱글 사인 온) 수단을 함께 사용하여 기존의 케르버로스 방식을 개선하였다. 타임 스템프와 논스는 유비쿼터스 망 환경에서 메시지의 신선도(freshness)를 위해 도입된 것이며, 이는 응답 공격 발생을 방지할 수 있다. 타임 스템프는 양측 통신을 위해 동기화된 클럭들이 필요할 수 있기 때문에, 추가적인 대응책(countermeasure)으로, 즉, 논스를 또한 사용한다. 그리고, 본 발명의 보안 모델은 자격 소유를 확인하기 위한 티켓과 세션 키들을 이용하여, 다른 망 영역의 유비쿼터스 서비스들을 접근할 때 다른 사람의 자격을 위장하는 수동적인(passive) 및 적극적인(active) 공격자들을 방지할 수 있다. 이런 같은 영역내의 보안 프로토콜은 기존의 인증, 허가 및 과금 (Authentication, Authorization and Accounting: AAA) 서버들 및 기존의 이동 사업자 망 내부구조에 제공된 인증 접속 사용자 서비스(Authentication Dial-In User Service: RADIUS)를 이용하여 쉽게 구현될 수 있으며, 이런 망 영역들에서 다른 유비쿼터스 망 서비스들의 접근을 허용해 준다.
전능 지능(Ambient Intelligence)은, 무선 세계 주도권 (Wireless World Initiative: WWI) 내의 IST EU 6th 프레임워크 프로그램(Framework Program: FP6)의 연구 노력으로 개발되었으며, 그 목적은 경제적이고 계산적으로 빠른 4G 유비쿼터스 망들을 정의하여 타인들과 안전하게 통신할 수 있는 방안들을 열어주는데 있다. 이런 틀 내에, 전능 망들(Ambient Networks)은 완전 IP 기반 4G 망들에 기초를 두며 IPv6를 채용했다. 또한, 완전 IP 기반 4G 망들은 전능망 서비스들을 쉽게 이용할 수 있게 해줄 것이다. 이는 멀티미디어 트래픽을 지원하고, 유비쿼터스 망들에서 완전한 이동성, 및 다양한 무선 접근 기술들을 위한 것이다. 전능 망(Ambient Networks)들은 또한 영역 구조적이며, 피어-대-피어 관점 망 제어를 제공할 목표를 가지며, 다양한 망 제어 기술들로부터 발생하는 이질성(heterogeneity)을 수용할 수 있을 것으로 예상된다. 이 것들은 망 어플리케이션들과 서비스들의 사용자들에게 동등(homogeneous)해 보이도록 만들어진다. 따라서, 본 발명에 의한 유비쿼터스 망을 위한 보안 프로토콜 모델은 전능 망들(Ambient Networks)의 보안 요구사항들 도 완전히 충족할 수 있다.
개발되는 유비쿼터스 통신 시스템들은 인터넷으로 동작가능 하거나 완전 IP 구성을 기반으로 한 점점 다양해지는 장치들간의 상호동작을 가능하게 만들 것이다. 이는 사용자들에게 여러 망 영역에서 다른 통신 기술들을 이용하여 유비쿼터스 서비스들의 이용을 허용할 것이다. 역동적이고 이질적으로 분배된 망들은 통신 기술들의 집약을 통해 새로운 기회들을 생성할 것이며 매우 적응이 빠른 재구성 가능한 장치들의 개발을 가져다줄 것이다. 그러나, 증가된 이동성은 여러 종류의 보안 쟁점들을 가져다준다.
이 설명은 유비쿼터스 망들에 대한 여려 보안 특성들과 쟁점들을 설명하며 하나의 등록 (싱글 사인 온: single sign-on) 수단과 계산적으로 빠른 망 인증 방식을 기초로한 한결같은 보안 프로토콜 모델을 정의한다. 이런 보안 모델의 목적은 다양한 망 영역들에서 다른 접근 기술들을 가진 유비쿼터스 망들의 다양한 보안 요구사항들을 만족하는 포괄적이고 한결같은 보안 구조를 정의하는데 있다. 상기 설명된 본 발명은 이 목적을 달성하지만, 접근 제어 권한에서 위임 및 철회 문제들을 해결하는 추가 개선 및 개선들도 고려될 수 있다.
공용 암호 키(예, 비부인성 및 암호 키 위탁)가 요구되는 서비스들에 대하여, 유비쿼터스 망들에서의 디지털 서명과 같은 비대칭적인 암호화 기술의 도입은, 상당히 많은 컴퓨팅 자원이 필요하며 유비쿼터스 망에서 이동 장치들간의 상호 인증 서비스로 구현하기에는 실현성이 없거나 또는 비경제적일 수 있다. 대칭적/비밀 키 암호는 공용의 비밀 키들을 사용하지만, 이것의 단점은 시작하기가 어렵고 ( 즉, 비밀 메시지를 보내기 전에 A는 B를 먼저 만나야 한다), 크기 조정하기 어려우며 (즉, A가 C에게 메시지를 보내고 싶을 때, 새로운 비밀을 가지고 다시 시작해야 함), 그리고 모순적이다 (즉, A와 B 모두 비밀 키를 가지면, A는 B를 완전히 신뢰해야 함). 그 반대로, 비대칭/공용 키 암호는 공통 비밀 키들이 없다는 장점이 있다. 따라서, 유비쿼터스 환경에서 하이브리드(hybrid)적이고 경량의 비대칭적 및 대칭적 키 기술을 개발하는 것이 유리할 것이며, 비대칭적 키 암호는 키 분배 문제를 해결하는데 이용되고 대칭적 키 암호는 다량의 데이터를 암호화하는데 사용될 수 있다. ID-기반 암호-시스템들과 같은 가벼운 비대칭적 기술은 같은 영역 내부의 망 환경에서 어플리케이션들을 보안하기 위한 지능적인 설비들을 제공할 수 있으며, 군사 어플리케이션들을 보안할 수도 있다. ID-기반 시스템들은 이용가능한 명백한 공공 키가 필요 없으며, 키는 공공적으로 이용가능한 정보로부터 구성된다. 비대칭적 시스템에서는, 사용자의 독자적인 이름이 공적인 키의 역할을 한다. 따라서, 이런 ID-기반 기술의 특성들은 포괄적 유비쿼터스 망 보안 구조에 아주 적합하다.
본 발명은 유비쿼터스 망의 하나의 특정한 망 영역에 가입하는 단계와;대칭적인 키 인증과 함께 싱글 사인 온 절차를 수행하여 상기 하나의 특정한 망 영역에서 인증을 받는 단계와; 상기 하나의 특정한 망 영역에서 받은 인증에 따라 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역들에 접근하는 단계들을 포함하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법을 제공한다.
상기 대칭적인 키 인증은 타임 스템프 정보와 논스 정보를 이용할 수 있다. 상기 싱글 사인 온 절차는 패스워드 보호 체계와 생물측정학(biometrics) 데이터 확인을 함께 사용할 수 있다. 상기 인증은 안전하거나 안전하지 못한 통신 링크로 연결된 하나 또는 그 이상의 유비쿼터스 서버들에서 제공되는 하나 또는 그 이상의 유비쿼터스 망 서비스들의 이용을 허용해줄 수 있다. 상기 망 영역들은 대칭적인 암호 키들을 공통으로 사용하여 계산적으로 빠르고 최소한의 메모리 자원을 이용하여 인증을 수행할 수 있다.
본 발명은 또한, 사용자가 싱글 사인 온 절차를 수행하여 인증 서버에게 자신을 인증하여, 그 서버는 임시 허가를 발행하여 망 서비스에 대한 접근을 요청하는 인증하는 단계와; 사용자가 상기 임시 허가를 이용하여 망 서비스 서버로부터 제공하는 특정한 망 서비스에 대한 접근 허가를 받고, 상기 사용자가 상기 요청한 망 서비스에 접근이 허용되었다는 것을 제 1 접근 서버가 환인 한 후에 서비스 허가 티켓을 받아서 사용자가 상기 망 서비스 서버에 대한 접근을 허용하는 접근 제어 단계와; 사용자와 상기 제 1 접근 서버 사이의 통신을 허용하기 위해 상기 사용자는 상기 인증 서버로부터 생성된 세션 키를 받고, 상기 제 1 접근 서버에서 생성한 대응 세션 키를 받아서 사용자와 상기 망 서비스 서버 사이의 통신을 허용하는 키 협상 단계를 포함하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법을 제공한다.
상기 인증 서버, 상기 접근 서버, 및 상기 망 서비스 서버는 같은 망 영역의 일부이며, 상기 서비스 허가 티켓은 성기 제 1 접근 서버에서 제공될 수 있다. 상기 접근 제어 단계는, 제 2 접근 서버로부터 상기 서비스 허가 티켓을 받는 것을 더 포함하며, 상기 제 2 접근 서버와 상기 망 서비스 서버는 상기 제 1 접근 서버와 다른 망 영역의 일부일 수 있다. 상기 키 협상 단계는, 사용자와 또 다른 망 서비스 서버 사이의 통신을 허용하는 상기 제 2 접근 서버에서 생성한 또 다른 대응 세션 키를 받는 것을 더 포함할 수 있다. 상기 인증 서버와 상기 제 1 접근 서버는 운영자의 인증, 허가, 및 과금 서버의 일부일 수 있다. 상기 임시 허가는 유효 기간이 제한된 티켓 허가 티켓(Ticket Granting Ticket: TGT)일 수 있다. 상기 인증 단계는 타임 스템프 정보와 논스 정보를 이용하는 대칭적인 키 인증을 사용할 수 있다. 상기 싱글 사인 온 절차는 패스워드 보호와 사용자 생물측정학(biometrics) 데이터 확인을 함께 사용할 수 있다. 상기 제 1 및 제 2 접근 서버들은 각각의 망 영역들 사이에 신뢰할 수 있는 통신 경로가 설정되어 있을 수 있다. 상기 제 1 및 제 2 접근 서버들은 각각 서로 협의된 비밀 키들을 가지고 있을 수 있다.
도 5에 도시된 바와 같이, 본 발명은 유비쿼터스 망과 통신을 수행하는 송수신기(52)와; 상기 통신이 안전하게 이루어질 수 있도록 해주는 보안 프로토콜을 저장하는 메모리(53)와; 상기 송수신기 및 메모리와 협력하도록 구성되어 상기 보안 프로토콜(55, 56, 57)을 사용하여, 유비쿼터스 망의 하나의 특정한 망 영역에 가입하는 단계와; 대칭적인 키 인증과 함께 싱글 사인 온 절차를 수행하여 상기 하나의 특정한 망 영역에서 인증을 받는 단계와; 상기 하나의 특정한 망 영역에서 받은 인증에 따라 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역들에 접근하는 단계들을 수행하는 프로세서(54)를 포함하는 것을 특징으로 하는 이동 단말기(50)를 제공한다.
또한, 도 5에 도시된 바와 같이, 본 발명은 유비쿼터스 망과 통신을 수행하는 송수신기(52)와; 상기 통신이 안전하게 이루어질 수 있도록 해주는 보안 프로토콜을 저장하는 메모리(53)와; 상기 송수신기 및 메모리와 협력하도록 구성되어 상기 보안 프로토콜(55, 56, 57)을 사용하여, 사용자가 싱글 사인 온 절차를 수행하여 인증 서버에게 자신을 인증하여, 그 서버는 임시 허가를 발행하여 망 서비스에 대한 접근을 요청하는 인증하는 단계(55)와; 사용자가 상기 임시 허가를 이용하여 망 서비스 서버로부터 제공하는 특정한 망 서비스에 대한 접근 허가를 받고, 상기 사용자가 상기 요청한 망 서비스에 접근이 허용되었다는 것을 제 1 접근 서버가 환인 한 후에 서비스 허가 티켓을 받아서 사용자가 상기 망 서비스 서버에 대한 접근을 허용하는 접근 제어 단계(56)와; 사용자와 상기 제 1 접근 서버 사이의 통신을 허용하기 위해 상기 사용자는 상기 인증 서버로부터 생성된 세션 키를 받고, 상기 제 1 접근 서버에서 생성한 대응 세션 키를 받아서 사용자와 상기 망 서비스 서버 사이의 통신을 허용하는 키 협상 단계(57)를 수행하는 프로세서(54)를 포함하는 것을 특징으로 하는 이동 단말기(50)를 제공한다.
여기서, 본 발명의 보안 프로토콜은 하드웨어, 소프트웨어 및/또는 그들의 조합으로 구현될 수 있다. 예를 들어, 미이크로프로세서(54)는 인증 모듈(55), 접근 제어 모듈(56), 및 협상 모듈(57)로 이루어질 수 있다.
본 발명은 도면에 도시된 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
본 발명은 다양한 실용적인 응용이 가능하다는 것이 이해될 것이다. 예를 들어, 본 발명의 보안 프로토콜 모델은 텔레매틱스(telematics) 기술과 함께 구현될 수 있으며 길에서 운전하는 사용자가 다양한 여러 망 영역들을 출입하며 다른 망 서버들과 안전하고 한결같은 통신 연결을 가질 수 있다. 또한, 무선 및 이동 통신 기술이 계속 발전하여 망 수용 능력과 데이터 전송 스루풋(throughput)이 증가하겠지만, 안전하고 한결같은 연결이 필요하기 때문에 본 발명은 이렇게 앞으로 개발될 기술들에도 적용가능하다. 미래에 개선될 기술의 예로서는 소위 말하는 고압선 통신(power line communications: PLC) 기술이 있는데, 이는 고압선을 통해 데이터 신호들의 송수신을 허용하여 망 접속(예를 들어, 인터넷 검색)을 전력 출구단(즉, 콘센트)를 통해 허용할 것이며, 홈 네트워킹(home networking) 및 유비쿼터스 망 기술들의 개발을 계속 해줄 것이다. 또한, 제 4세대 (4G) 통신 기술이 계속 발전함에 따라, 본 발명의 특징들이 다양한 종류의 유비쿼터스 망들과 통합망들에도 적용 가능하다.

Claims (30)

  1. 유비쿼터스 망의 하나의 특정한 망 영역에 가입하는 단계와;
    대칭적인 키 인증과 함께 싱글 사인 온 절차를 수행하여 상기 하나의 특정한 망 영역에서 인증을 받는 단계와;
    상기 하나의 특정한 망 영역에서 받은 인증에 따라 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역들에 접근하는 단계들을 포함하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  2. 제 1항에 있어서, 상기 대칭적인 키 인증은 타임 스템프 정보와 논스 정보를 이용하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  3. 제 1항에 있어서, 상기 싱글 사인 온 절차는 패스워드 보호 체계와 생물측정학(biometrics) 데이터 확인을 함께 사용하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  4. 제 1항에 있어서, 상기 인증은 안전하거나 안전하지 못한 통신 링크로 연결된 하나 또는 그 이상의 유비쿼터스 서버들에서 제공되는 하나 또는 그 이상의 유비쿼터스 망 서비스들의 이용을 허용해주는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  5. 제 1항에 있어서, 상기 망 영역들은 대칭적인 암호 키들을 공통으로 사용하여 계산적으로 빠르고 최소한의 메모리 자원을 이용하여 인증을 수행한다는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  6. 사용자가 싱글 사인 온 절차를 수행하여 인증 서버에게 자신을 인증하여, 그 서버는 임시 허가를 발행하여 망 서비스에 대한 접근을 요청하는 인증하는 단계와;
    사용자가 상기 임시 허가를 이용하여 망 서비스 서버로부터 제공하는 특정한 망 서비스에 대한 접근 허가를 받고, 상기 사용자가 상기 요청한 망 서비스에 접근이 허용되었다는 것을 제 1 접근 서버가 환인 한 후에 서비스 허가 티켓을 받아서 사용자가 상기 망 서지스 서버에 대한 접긍을 허용하는 접근 제어 단계와;
    사용자와 상기 제 1 접근 서버 사이의 통신을 허용하기 위해 상기 사용자는 상기 인증 서버로부터 생성된 세션 키를 받고, 상기 제 1 접근 서버에서 생성한 대응 세션 키를 받아서 사용자와 상기 망 서비스 서버 사이의 통신을 허용하는 키 협상 단계를 포함하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  7. 제 6항에 있어서, 상기 인증 서버, 상기 접근 서버, 및 상기 망 서비스 서버는 같은 망 영역의 일부이며, 상기 서비스 허가 티켓은 성기 제 1 접근 서버에서 제공되는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  8. 제 6항에 있어서, 상기 접근 제어 단계는,
    제 2 접근 서버로부터 상기 서비스 허가 티켓을 받는 것을 더 포함하며, 상기 제 2 접근 서버와 상기 망 서비스 서버는 상기 제 1 접근 서버와 다른 망 영역의 일부인 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  9. 제 8항에 있어서, 상기 키 협상 단계는,
    사용자와 또 다른 망 서비스 서버 사이의 통신을 허용하는 상기 제 2 접근 서버에서 생성한 또 다른 대응 세션 키를 받는 것을 더 포함하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  10. 제 6항에 있어서, 상기 인증 서버와 상기 제 1 접근 서버는 운영자의 인증, 허가, 및 과금 서버의 일부인 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  11. 제 6항에 있어서, 상기 임시 허가는 유효 기간이 제한된 티켓 허가 티켓(Ticket Granting Ticket: TGT)인 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  12. 제 6항에 있어서, 상기 인증 단계는 타임 스템프 정보와 논스 정보를 이용하는 대칭적인 키 인증을 사용하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  13. 제 6항에 있어서, 상시 싱근 사인 온 절차는 패스워드 보호와 사용자 생물측정학(biometrics) 데이터 확인을 함께 사용하는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  14. 제 8항에 있어서, 상기 제 1및 제 2 접근 서버들은 각각의 망 영역들 사이에 신뢰할 수 있는 통신 경로가 설정되어 있는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  15. 제 14항에 있어서, 상기 제 1 및 제 2 접근 서버들은 각각 서로 협의된 비밀 키들을 가지고 있는 것을 특징으로 하는 유비쿼터스 망에 안전한 접근을 획득하는 방법.
  16. 유비쿼터스 망과 통신을 수행하는 송수신기와;
    상기 통신이 언전하게 이루어질 수 있도록 해주는 보안 프로토콜을 저장하는 메모리와;
    상기 송수신기 및 메모리와 협력하도록 구성되어 상기 보안 프로토콜을 사 용하여,
    유비쿼터스 망의 하나의 특정한 망 영역에 가입하는 단계와;
    대칭적인 키 인증과 함께 싱글 사인 온 절차를 수행하여 상기 하나의 특정한 망 영역에서 인증을 받는 단계와;
    상기 하나의 특정한 망 영역에서 받은 인증에 따라 유비쿼터스 망의 하나 또는 그 이상의 다른 망 영역들에 접근하는 단계들을 수행하는 프로세서를 포함하는 것을 특징으로 하는 이동 단말기.
  17. 제 16항에 있어서, 상기 대칭적인 키 인증은 타임 스템프 정보와 논스 정보를 이용하는 것을 특징으로 하는 이동 단말기.
  18. 제 16항에 있어서, 상기 싱글 사인 온 절차는 패스워드 보호 체계와 생물측정학(biometrics) 데이터 확인을 함께 사용하는 것을 특징으로 하는 이동 단말기.
  19. 제 16항에 있어서, 상기 인증은 안전하거나 안전하지 못한 통신 링크로 연결된 하나 또는 그 이상의 유비쿼터스 서버들에서 제공되는 하나 또는 그 이상의 유비쿼터스 망 서비스들의 이용을 허용해주는 것을 특징으로 하는 이동 단말기.
  20. 제 16항에 있어서, 상기 망 영역들은 대칭적인 암호 키들을 공통으로 사용하여 계산적으로 빠르고 최소한의 메모리 자원을 이용하여 인증을 수행한다는 것을 특징으로 하는 이동 단말기.
  21. 유비쿼터스 망과 통신을 수행하는 송수신기와;
    상기 통신이 안전하게 이루어질 수 있도록 해주는 보안 프로토콜을 저장하는 메모리와;
    상기 송수신기 및 메모리와 협력하도록 구성되어 상기 보안 프로토콜을 사용하여,
    사용자가 싱글 사인 온 절차를 수행하여 인증 서버에게 자신을 인증하여, 그 서버는 임시 허가를 발행하여 망 서비스에 대한 접근을 요청하는 인증하는 단계와;
    사용자가 상기 임시 허가를 이용하여 망 서비스 서버로부터 제공하는 특정한 망 서비스에 대한 접근 허가를 받고, 상기 사용자가 상기 요청한 망 서비스에 접근이 허용되었다는 것을 제 1 접근 서버가 환인 한 후에 서비스 허가 티켓을 받아서 사용자가 상기 망 서비스 서버에 대한 접근을 허용하는 접근 제어 단계와;
    사용자와 상기 제 1 접근 서버 사이의 통신을 허용하기 위해 상기 사용자는 상기 인증 서버로부터 생성된 세션 키를 받고, 상기 제 1 접근 서버에서 생성한 대응 세션 키를 받아서 사용자와 상기 망 서비스 서버 사이의 통신을 허용하는 키 협상 단계를 수행하는 프로세서를 포함하는 것을 특징으로 하는 이동 단말기.
  22. 제 21항에 있어서, 상기 인증 서버, 상기 접근 서버, 및 상기 망 서비스 서 버는 같은 망 영역의 일부이며, 상기 서비스 허가 티켓은 성기 제 1 접근 서버에서 제공되는 것을 특징으로 하는 이동 단말기.
  23. 제 21항에 있어서, 상기 접근 제어 단계는,
    제 2 접근 서버로부터 상기 서비스 허가 티켓을 받는 것을 더 포함하며, 상기 제 2 접근 서버와 상기 망 서비스 서버는 상기 제 1 접근 서버와 다른 망 영역의 일부인 것을 특징으로 하는 이동 단말기.
  24. 제 23항에 있어서, 상기 키 협상 단계는,
    사용자와 또 다른 망 서비스 서버 사이의 통신을 허용하는 상기 제 2 접근 서버에서 생성한 또 다른 대응 세션 키를 받는 것을 더 포함하는 것을 특징으로 하는 이동 단말기.
  25. 제 21항에 있어서, 상기 인증 서버와 상기 제 1 접근 서버는 운영자의 인증, 허가, 및 과금 서버의 일부인 것을 특징으로 하는 이동 단말기.
  26. 제 21항에 있어서, 상기 임시 허가는 유효 기간이 제한된 티켓 허가 티켓(Ticket Granting Ticket: TGT)인 것을 특징으로 하는 이동 단말기.
  27. 제 21항에 있어서, 상기 인증 단계는 타임 스템프 정보와 논스 정보를 이용 하는 대칭적인 키 인증을 사용하는 것을 특징으로 하는 이동 단말기.
  28. 제 21항에 있어서, 상시 싱근 사인 온 절차는 패스워드 보호와 사용자 생물측정한(biometrics) 데이터 확인을 함께 사용하는 것을 특징으로 하는 이동 단말기.
  29. 제 23항에 있어서, 상기 제 1및 제 2 접근 서버들은 각각의 망 영역들 사이에 신뢰할 수 있는 통신 경로가 설정되어 있는 것을 특징으로 하는 이동 단말기.
  30. 제 29항에 있어서, 상기 제 1 및 제 2 접근 서버들은 각각 서로 협의된 비밀 키들을 가지고 있는 것을 특징으로 하는 이동 단말기.
KR1020050087462A 2005-09-20 2005-09-20 유비쿼터스 망의 보안 시스템 및 방법 KR20070032885A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020050087462A KR20070032885A (ko) 2005-09-20 2005-09-20 유비쿼터스 망의 보안 시스템 및 방법
US11/533,728 US20070118879A1 (en) 2005-09-20 2006-09-20 Security protocol model for ubiquitous networks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020050087462A KR20070032885A (ko) 2005-09-20 2005-09-20 유비쿼터스 망의 보안 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20070032885A true KR20070032885A (ko) 2007-03-23

Family

ID=38054922

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050087462A KR20070032885A (ko) 2005-09-20 2005-09-20 유비쿼터스 망의 보안 시스템 및 방법

Country Status (2)

Country Link
US (1) US20070118879A1 (ko)
KR (1) KR20070032885A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100826455B1 (ko) * 2007-07-23 2008-04-29 경북대학교 산학협력단 이동 단말 사용자를 위한 신뢰관리 시스템 및 그 방법
KR101005879B1 (ko) * 2007-07-20 2011-01-06 브로드콤 코포레이션 네트워크 구성요소들 상에 사용자의 바이오메트릭아이덴티티를 이용하여 보안 네트워크 링크들을 생성하기위한 방법 및 시스템

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8380854B2 (en) 2000-03-21 2013-02-19 F5 Networks, Inc. Simplified method for processing multiple connections from the same client
US7343413B2 (en) 2000-03-21 2008-03-11 F5 Networks, Inc. Method and system for optimizing a network by independently scaling control segments and data flow
US20080072303A1 (en) * 2006-09-14 2008-03-20 Schlumberger Technology Corporation Method and system for one time password based authentication and integrated remote access
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US8217992B2 (en) * 2007-01-11 2012-07-10 The Jackson Laboratory Microscopic imaging techniques
CN101227458B (zh) * 2007-01-16 2011-11-23 华为技术有限公司 移动ip系统及更新家乡代理根密钥的方法
US8837722B2 (en) * 2007-10-16 2014-09-16 Microsoft Corporation Secure content distribution with distributed hardware
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management
US8806053B1 (en) 2008-04-29 2014-08-12 F5 Networks, Inc. Methods and systems for optimizing network traffic using preemptive acknowledgment signals
US8910255B2 (en) * 2008-05-27 2014-12-09 Microsoft Corporation Authentication for distributed secure content management system
US8566444B1 (en) 2008-10-30 2013-10-22 F5 Networks, Inc. Methods and system for simultaneous multiple rules checking
US9538355B2 (en) * 2008-12-29 2017-01-03 Google Technology Holdings LLC Method of targeted discovery of devices in a network
US9148423B2 (en) * 2008-12-29 2015-09-29 Google Technology Holdings LLC Personal identification number (PIN) generation between two devices in a network
US8904172B2 (en) * 2009-06-17 2014-12-02 Motorola Mobility Llc Communicating a device descriptor between two devices when registering onto a network
WO2010150817A1 (ja) * 2009-06-23 2010-12-29 パナソニック電工株式会社 認証システム
US10157280B2 (en) 2009-09-23 2018-12-18 F5 Networks, Inc. System and method for identifying security breach attempts of a website
US10721269B1 (en) 2009-11-06 2020-07-21 F5 Networks, Inc. Methods and system for returning requests with javascript for clients before passing a request to a server
US8868961B1 (en) 2009-11-06 2014-10-21 F5 Networks, Inc. Methods for acquiring hyper transport timing and devices thereof
US9313047B2 (en) 2009-11-06 2016-04-12 F5 Networks, Inc. Handling high throughput and low latency network data packets in a traffic management device
US9286485B2 (en) * 2010-03-23 2016-03-15 Fujitsu Limited Using trust points to provide services
US20110238980A1 (en) 2010-03-23 2011-09-29 Fujitsu Limited System and methods for remote maintenance in an electronic network with multiple clients
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8239572B1 (en) * 2010-06-30 2012-08-07 Amazon Technologies, Inc. Custom routing decisions
US8296459B1 (en) 2010-06-30 2012-10-23 Amazon Technologies, Inc. Custom routing decisions
US8908545B1 (en) 2010-07-08 2014-12-09 F5 Networks, Inc. System and method for handling TCP performance in network access with driver initiated application tunnel
US8347100B1 (en) 2010-07-14 2013-01-01 F5 Networks, Inc. Methods for DNSSEC proxying and deployment amelioration and systems thereof
US9083760B1 (en) 2010-08-09 2015-07-14 F5 Networks, Inc. Dynamic cloning and reservation of detached idle connections
US8630174B1 (en) 2010-09-14 2014-01-14 F5 Networks, Inc. System and method for post shaping TCP packetization
US8886981B1 (en) 2010-09-15 2014-11-11 F5 Networks, Inc. Systems and methods for idle driven scheduling
US8463909B1 (en) 2010-09-15 2013-06-11 F5 Networks, Inc. Systems and methods for managing server resources
US8804504B1 (en) 2010-09-16 2014-08-12 F5 Networks, Inc. System and method for reducing CPU load in processing PPP packets on a SSL-VPN tunneling device
WO2012058486A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. Automated policy builder
WO2012058643A2 (en) 2010-10-29 2012-05-03 F5 Networks, Inc. System and method for on the fly protocol conversion in obtaining policy enforcement information
US8627467B2 (en) 2011-01-14 2014-01-07 F5 Networks, Inc. System and method for selectively storing web objects in a cache memory based on policy decisions
US10135831B2 (en) 2011-01-28 2018-11-20 F5 Networks, Inc. System and method for combining an access control system with a traffic management system
US9246819B1 (en) 2011-06-20 2016-01-26 F5 Networks, Inc. System and method for performing message-based load balancing
US9270766B2 (en) 2011-12-30 2016-02-23 F5 Networks, Inc. Methods for identifying network traffic characteristics to correlate and manage one or more subsequent flows and devices thereof
US10230566B1 (en) 2012-02-17 2019-03-12 F5 Networks, Inc. Methods for dynamically constructing a service principal name and devices thereof
US9231879B1 (en) 2012-02-20 2016-01-05 F5 Networks, Inc. Methods for policy-based network traffic queue management and devices thereof
US9172753B1 (en) 2012-02-20 2015-10-27 F5 Networks, Inc. Methods for optimizing HTTP header based authentication and devices thereof
WO2013163648A2 (en) 2012-04-27 2013-10-31 F5 Networks, Inc. Methods for optimizing service of content requests and devices thereof
CN103795763B (zh) * 2012-11-02 2018-08-03 中兴通讯股份有限公司 一种泛在网中提供统一业务的方法及统一业务平台
US10375155B1 (en) 2013-02-19 2019-08-06 F5 Networks, Inc. System and method for achieving hardware acceleration for asymmetric flow connections
US10187317B1 (en) 2013-11-15 2019-01-22 F5 Networks, Inc. Methods for traffic rate control and devices thereof
US10015143B1 (en) 2014-06-05 2018-07-03 F5 Networks, Inc. Methods for securing one or more license entitlement grants and devices thereof
US11838851B1 (en) 2014-07-15 2023-12-05 F5, Inc. Methods for managing L7 traffic classification and devices thereof
US10122630B1 (en) 2014-08-15 2018-11-06 F5 Networks, Inc. Methods for network traffic presteering and devices thereof
US10182013B1 (en) 2014-12-01 2019-01-15 F5 Networks, Inc. Methods for managing progressive image delivery and devices thereof
US11895138B1 (en) 2015-02-02 2024-02-06 F5, Inc. Methods for improving web scanner accuracy and devices thereof
US10834065B1 (en) 2015-03-31 2020-11-10 F5 Networks, Inc. Methods for SSL protected NTLM re-authentication and devices thereof
US10505818B1 (en) 2015-05-05 2019-12-10 F5 Networks. Inc. Methods for analyzing and load balancing based on server health and devices thereof
US11350254B1 (en) 2015-05-05 2022-05-31 F5, Inc. Methods for enforcing compliance policies and devices thereof
US11757946B1 (en) 2015-12-22 2023-09-12 F5, Inc. Methods for analyzing network traffic and enforcing network policies and devices thereof
US10404698B1 (en) 2016-01-15 2019-09-03 F5 Networks, Inc. Methods for adaptive organization of web application access points in webtops and devices thereof
US10797888B1 (en) 2016-01-20 2020-10-06 F5 Networks, Inc. Methods for secured SCEP enrollment for client devices and devices thereof
US11178150B1 (en) 2016-01-20 2021-11-16 F5 Networks, Inc. Methods for enforcing access control list based on managed application and devices thereof
US10791088B1 (en) 2016-06-17 2020-09-29 F5 Networks, Inc. Methods for disaggregating subscribers via DHCP address translation and devices thereof
US9769668B1 (en) 2016-08-01 2017-09-19 At&T Intellectual Property I, L.P. System and method for common authentication across subscribed services
US11063758B1 (en) 2016-11-01 2021-07-13 F5 Networks, Inc. Methods for facilitating cipher selection and devices thereof
US10505792B1 (en) 2016-11-02 2019-12-10 F5 Networks, Inc. Methods for facilitating network traffic analytics and devices thereof
US11496438B1 (en) 2017-02-07 2022-11-08 F5, Inc. Methods for improved network security using asymmetric traffic delivery and devices thereof
US10791119B1 (en) 2017-03-14 2020-09-29 F5 Networks, Inc. Methods for temporal password injection and devices thereof
US10812266B1 (en) 2017-03-17 2020-10-20 F5 Networks, Inc. Methods for managing security tokens based on security violations and devices thereof
US10931662B1 (en) 2017-04-10 2021-02-23 F5 Networks, Inc. Methods for ephemeral authentication screening and devices thereof
US10972453B1 (en) 2017-05-03 2021-04-06 F5 Networks, Inc. Methods for token refreshment based on single sign-on (SSO) for federated identity environments and devices thereof
US11343237B1 (en) 2017-05-12 2022-05-24 F5, Inc. Methods for managing a federated identity environment using security and access control data and devices thereof
US11122042B1 (en) 2017-05-12 2021-09-14 F5 Networks, Inc. Methods for dynamically managing user access control and devices thereof
US11122083B1 (en) 2017-09-08 2021-09-14 F5 Networks, Inc. Methods for managing network connections based on DNS data and network policies and devices thereof
US11658995B1 (en) 2018-03-20 2023-05-23 F5, Inc. Methods for dynamically mitigating network attacks and devices thereof
US10764134B2 (en) * 2018-06-22 2020-09-01 Blackberry Limited Configuring a firewall system in a vehicle network
US11044200B1 (en) 2018-07-06 2021-06-22 F5 Networks, Inc. Methods for service stitching using a packet header and devices thereof
CN111682936B (zh) * 2020-06-03 2022-08-30 金陵科技学院 一种基于物理不可克隆函数的Kerberos鉴权方法
WO2022010978A1 (en) * 2020-07-08 2022-01-13 The @ Co. Automation of user identity using network protocol providing secure granting or revocation of secured access rights

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7194764B2 (en) * 2000-07-10 2007-03-20 Oracle International Corporation User authentication
US7069435B2 (en) * 2000-12-19 2006-06-27 Tricipher, Inc. System and method for authentication in a crypto-system utilizing symmetric and asymmetric crypto-keys
US7353383B2 (en) * 2002-03-18 2008-04-01 Jpmorgan Chase Bank, N.A. System and method for single session sign-on with cryptography
US7421732B2 (en) * 2003-05-05 2008-09-02 Nokia Corporation System, apparatus, and method for providing generic internet protocol authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101005879B1 (ko) * 2007-07-20 2011-01-06 브로드콤 코포레이션 네트워크 구성요소들 상에 사용자의 바이오메트릭아이덴티티를 이용하여 보안 네트워크 링크들을 생성하기위한 방법 및 시스템
KR100826455B1 (ko) * 2007-07-23 2008-04-29 경북대학교 산학협력단 이동 단말 사용자를 위한 신뢰관리 시스템 및 그 방법

Also Published As

Publication number Publication date
US20070118879A1 (en) 2007-05-24

Similar Documents

Publication Publication Date Title
KR20070032885A (ko) 유비쿼터스 망의 보안 시스템 및 방법
Xu et al. An identity management and authentication scheme based on redactable blockchain for mobile networks
Hsu et al. Reconfigurable security: Edge-computing-based framework for IoT
Seitz et al. RFC 9200: Authentication and Authorization for Constrained Environments Using the OAuth 2.0 Framework (ACE-OAuth)
US20160364553A1 (en) System, Apparatus And Method For Providing Protected Content In An Internet Of Things (IOT) Network
EP1997292B1 (en) Establishing communications
EP1763947B1 (en) Authenticating users
Riabi et al. A survey on Blockchain based access control for Internet of Things
US7669229B2 (en) Network protecting authentication proxy
US20070220598A1 (en) Proactive credential distribution
US20120011360A1 (en) Key management systems and methods for shared secret ciphers
Sharma et al. BlockAPP: Using blockchain for authentication and privacy preservation in IoV
US7266705B2 (en) Secure transmission of data within a distributed computer system
Togan et al. A smart-phone based privacy-preserving security framework for IoT devices
Pranata et al. Securing and governing access in ad-hoc networks of internet of things
Beltran et al. Overview of device access control in the iot and its challenges
Pippal et al. CTES based Secure approach for Authentication and Authorization of Resource and Service in Clouds
Chen et al. Identity, authentication and authorization in forestry 4.0 using oauth 2.0
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
Yeun et al. Security for emerging ubiquitous networks
Tao et al. An interest‐based access control scheme via edge verification in Named Data Networking
Pham et al. Resource-constrained IoT authentication protocol: an ECC-based hybrid scheme for device-to-server and device-to-device communications
Santos et al. A federated lightweight authentication protocol for the internet of things
Kumar et al. MABFWA: Mobile Agent Based Framework for Wireless Authentication
Lee et al. Intelligent home network authentication: S/Key-based home device authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
E801 Decision on dismissal of amendment
B601 Maintenance of original decision after re-examination before a trial
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070608

Effective date: 20080324