KR20080041220A - 분산된 단일 서명 서비스 방법 - Google Patents

분산된 단일 서명 서비스 방법 Download PDF

Info

Publication number
KR20080041220A
KR20080041220A KR1020087004375A KR20087004375A KR20080041220A KR 20080041220 A KR20080041220 A KR 20080041220A KR 1020087004375 A KR1020087004375 A KR 1020087004375A KR 20087004375 A KR20087004375 A KR 20087004375A KR 20080041220 A KR20080041220 A KR 20080041220A
Authority
KR
South Korea
Prior art keywords
authentication
service provider
key
client
computing device
Prior art date
Application number
KR1020087004375A
Other languages
English (en)
Other versions
KR101265873B1 (ko
Inventor
빈 주
티에루이 첸
시펭 리
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20080041220A publication Critical patent/KR20080041220A/ko
Application granted granted Critical
Publication of KR101265873B1 publication Critical patent/KR101265873B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

기술된 실시예들은 클라이언트 컴퓨팅 장치 및 서비스 제공자 간의 인증된 통신을 확립하는 것에 관한 것이다. 일 구현예에서, 일단 등록 프로시저가 완료되면, 복수의 인증 서버가 클라이언트 컴퓨팅 장치 및 서비스 제공자에 의해 이용되어, 인증된 통신 세션의 확립을 용이하게 한다. 하지만, 인증 서버가 반드시 신뢰 기관은 아니다. 즉, 다양한 기술된 장치들의 비밀은 서로 드러나지 않는다.
인증 서버, 클라이언트 컴퓨팅 장치, 서비스 제공자, 비밀 키

Description

분산된 단일 서명 서비스 방법{DISTRIBUTED SINGLE SIGN-ON SERVICE}
온라인 사용자는, 통상적으로 자신이 액세스하도록 허여된 각각의 서비스 제공자에 대한 인증 증명서 세트(a set of authentication credentials)(예컨대, 사용자 이름 및 패스워드)를 유지하도록 요구된다. 이들 사용자는 종종 고 수준의 보안을 유지하기 위해 개별 서비스 제공자 각각에 대해 서로 다른 인증 증명서를 사용하거나, 또는 다양한 서비스 제공자에 대해 동일한 인증 증명서를 사용하여 축소된 수준의 보안을 초래한다는 딜레마에 직면한다. 빈번히, 후자가 전자에 비해 선택되는데, 왜냐하면 다수의 인증 증명서를 기억시키고 유지하는 것은 어렵기 때문이다. 또한, 보안 내포성(secure implication)을 제외하고는, 사용자가 서비스 제공자에 대한 액세스가 필요할 때마다 인증 증명서를 입력할 것을 요구하는 것은, 일반적으로 성가시고 시간 소모적인 절차이다.
다양한 온라인 서비스에 대한 액세스를 제공하는 인증 증명서의 복수의 세트를 유지할 필요를 경감 또는 제거하기 위한 다양한 통상의 기법들이 제안되어 왔다. 이런 기법 중 하나는, 인증 서비스를 참여 서비스 제공자에게 제공하는 중앙 집중식 신용 관리(centralized credentials management)를 이용하는 것이다. 사용자가 초기에 중앙 집중식 신용 관리와의 관계(relationship)를 확립하고 인증을 행한 후에, 중앙 집중식 신용 관리는, 사용자가 참여 서비스 제공자 중 임의의 서비 스 제공자에 대한 액세스를 후속하여 요청할 때, 인증 프로세스를 실시한다. 이런 기법은 다수의 서비스 제공자에 대한 액세스를 요청해야하는 복잡성을 상당히 감소시킨다. 중앙 집중식 신용 관리는 고 수준의 사용자 보안을 유지하는 동시에 다양한 참여 서비스 제공자와의 인증에 대한 상세를 투명하게 처리한다.
현재의 통상의 중앙 집중식 신용 관리 기법은, 모든 온라인 환경에 적합한 것은 아니다. 한 가지 통상의 중앙 집중식 신용 관리 기법은, 사용자가 인증 서버에 인증을 행하도록 요구한다. 인증 후에, 인증 서버는 인증 티켓을 사용자에게 발행한다. 인증 티켓은, 서비스 액세스 티켓을 발행하는 서버에 대한 액세스를 획득하기 위해 사용자에 의해 사용된다. 서버는, 인증 티켓이 유효하면, 사용자에게 서비스 액세스 티켓을 발행할 것이다. 그런 다음, 사용자는 서비스 액세스 티켓을 이용하여 서비스 제공자에 대한 액세스를 획득한다.
서술된 통상의 중앙 집중식 신용 관리 기법은, 서비스 제공자가 중앙식으로(centrally) 유지될 경우에, 보안 액세스 기능성을 제공한다. 하지만, 서비스 제공자가 다수의 이종의 사용자/엔티티를 갖는 인터넷과 같은 네트워크의 일부인 경우라면, 서비스 제공자에 대한 보안 액세스는 손상된다(compromise).
또 하나의 통상의 인증 기법은, 등록된 사용자 및 그들의 관련된 인증 증명서를 포함하는 중앙 집중식 데이터베이스를 이용한다. 등록된 사용자 각각은 64 비트 ID 넘버를 가진다. 이런 통상의 인증 기법은 또한 참여 서비스 제공자 각각에게 고유한 ID를 지정한다. 이들 고유한 ID 역시 중앙 집중식 데이터베이스에 유지된다. 참여 서비스 제공자는, 중앙 집중식 데이터베이스를 관리하는 엔티티와의 보안 통신을 용이하게 하는 서버 컴포넌트를 구현하는 것에 동의한다. 등록된 사용자가 참여 서비스 제공자와의 인증을 시도할 때, 사용자는 인증을 용이하게 하기 위해 관리 엔티티로 투명하게 다시 향하게 된다. 참여 서비스 제공자와 관리 엔티티 간에 구현된 보안 통신 경로는, 인증 요청이 허가되도록 보장하는 데에 도움이 된다.
전술된 인증 기법은 보안 웹 기반의 인증을 제공한다. 하지만, 그 기법은 인터넷 커뮤니티에 의해 폭넓게 채택되지 않았다. 이는 대체로 그 기법이 중앙 집중식 데이터베이스 설계를 특징으로 하는 데에 기인한다. 일부 서비스 제공자는, 중앙식 데이터베이스가 사용되기 때문에, 그 기법에 동조하지 않는다. 특히, 소정의 서비스 제공자는 성공적인 사용자 인증을 보장하기 위해 중앙 집중식 데이터베이스를 관리하는 엔티티에 의존해야 한다. 그 엔티티가 기술적 어려움을 경험하는 경우, 사용자 인증은 중단될 수 있다. 이러한 중단의 가능성(이는 서비스 제공자가 제어될 수 없게 함)에 의해, 서비스 제공자는 원하지 않는 위험에 직면할 수 있다. 또한, 중앙 집중식 데이터베이스의 사용에 의해, 그 인증 기법은 특히 해커 및 멀웨어(malware)에 의해 공격받기 쉽게 된다.
[요약]
본원에 기술된 구현예는 클라이언트 컴퓨팅 장치와 서비스 제공자 간의 인증된 통신을 확립하는 것에 관한 것이다. 통신은, 클라이언트 컴퓨팅 장치 및 서비스 제공자의 비밀(secrets)을 유지하는 신뢰 기관(trusted authority)을 사용함 없이, 가능해진다.
등록 프로세스 후에, 클라이언트 컴퓨팅 장치는 인증 서버를 이용하여 서비스 제공자와의 인증된 통신을 요청한다. 클라이언트 컴퓨팅 장치는, 자신이 등록될 복수의 인증 서버 중 임의의 세트를 이용하여, 서비스 제공자와의 인증된 통신을 요청하며, 그 세트 내의 서버의 수는 임계값보다 크거나 또는 동일하다. 서비스 제공자는 또한 클라이언트 컴퓨팅 장치가 인증된 통신을 확립하기 위해 사용할 수 있는 인증 서버에 등록되어야 한다.
클라이언트 컴퓨팅 장치는, 서비스 제공자에게 자신의 고유한 식별자 ID, 및 암호화된 인증 토큰을 포함하는 인증 요청을 전송할 수 있으며, 이는 고유한 식별자 ID, 장치의 IP 주소와 같은 네트워크 주소 및 넌스(nonce)를 포함한다. 암호화된 인증 토큰은 인증 서버와의 이전 통신(earlier communication)에서 수신되었다. 인증 서버 각각은, 클라이언트 컴퓨팅 장치가 인증된 통신을 행하길 원하는 서비스 제공자로부터 획득된 분할된 키를 사용하여, 부분 인증 토큰을 암호화하여 생성한다. 서비스 제공자는 드러나지 않은(undisclosed) 비밀 키를 사용하여 인증 토큰을 해독함으로써, 암호화된 인증 정보를 노출시킨다. 이 정보는, 전송된 고유한 식별자 ID와 함께, 서비스 제공자에 의해 사용되어 인증된 통신이 승인될 것인가를 결정한다.
이 요약은 이하의 상세한 설명에서 더 기술되는 몇몇 개념을 간단화된 형태로 소개하기 위해 제공된다. 이 요약은 청구된 발명의 주요 특징 또는 필수적인 특징을 확인하기 위한 것이 아니며, 청구된 발명의 범위를 정하는 데 보조 수단으로서 사용하기 위한 것도 아니다.
제한적인 것이 아니며 총망라하는 것이 아닌 실시예들이 다음의 도면을 참조하여 기술되어 있으며, 같은 참조 부호는 달리 지정되지 않는 한 여러 도면들에 걸쳐 같은 부분을 지칭한다.
도 1은 하나 이상의 서비스 제공자와 통신할 수 있는 여러 개의 클라이언트 컴퓨팅 장치를 포함하는 컴퓨터 네트워크 환경의 예시적 구현예를 도시한다.
도 2는 클라이언트 장치가 클라이언트 장치 서비스 제공자 액세스 프로시저를 사용하여 서비스 제공자와의 인증된 통신을 요청하는 예시적 구현예를 도시한다.
도 3은 서비스 제공자가 서비스 제공자 등록 프로시저를 사용하여 인증 서버에 등록하는 예시적 구현예를 도시한다.
도 4는 클라이언트 컴퓨팅 장치가 클라이언트 장치 등록 프로시저를 사용하여 인증 서버에 등록하는 예시적 구현예를 도시한다.
도 5는 클라이언트 컴퓨팅 장치가 클라이언트 컴퓨팅 장치 인증 프로시저를 사용하여 인증 서버에 등록하는 예시적 구현예를 도시한다.
도 6은 서비스 제공자를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치이다.
도 7은 클라이언트 컴퓨팅 장치를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치이다.
도 8은 인증 서버를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치이다.
개요
서비스 제공자와의 인증을 위한 시스템 및 방법이 기술된다. 하기에서는, 클라이언트 컴퓨팅 장치와 서비스 제공자 간의 인증된 통신을 확립하기 위해, 클라이언트, 서비스 제공자, 및 인증 장치 간에 이용되는 프로시저에 대한 광범위한 설명이 제공된다. 이런 설명은 도 1에 도시된 예시적 환경을 사용할 것이다. 그 후, 다양한 장치들 간에 이용되는 다양한 프로시저의 예시적 구현예가 보다 상세히 기술된다. 특히, 서비스 제공자에 대한 인증된 액세스를 획득하기 위해 클라이언트 컴퓨팅 장치에 의해 사용되는 프로시저에 대한 상세한 설명은 도 2와 관련하여 제공되며, 인증 서버와의 서비스 제공자 등록 프로시저에 대한 상세한 설명은 도 3과 관련하여 제공되며, 인증 서버와의 클라이언트 컴퓨팅 장치 등록 프로시저에 대한 상세한 설명은 도 4와 관련하여 제공되며, 인증 서버와의 클라이언트 컴퓨팅 장치 인증 프로시저에 대한 상세한 설명은 도 5와 관련하여 기술된다. 마지막으로, 서비스 제공자, 클라이언트 컴퓨팅 장치, 및 인증 서버의 예시적 구현예가 도 6 내지 도 8에 관련하여 각각 설명된다.
예시적 환경
도 1은 하나 이상의 서비스 제공자(104(1) 내지 104(n))와 통신할 수 있는 여러 개의 클라이언트 컴퓨팅 장치(102(1) 내지 102(n))를 포함하는 컴퓨터 네트워크 환경(100)의 예시적 구현예를 도시한다. 클라이언트 컴퓨팅 장치(102(1) 내지 102(n))와 서비스 제공자(104(1) 내지 104(n)) 간의 양방향 통신은 네트워크(120)(예컨대, 인터넷)를 이용하여 용이하게 된다. 인증 서버(106(1) 내지 106(n)) 역시 네트워크(120)에 연결된다. 하나 이상의 인증 서버(106)는 인증 서비스를 클라이언트 컴퓨팅 장치(102(1) 내지 102(n)) 및 서비스 제공자(104(1) 내지 104(n))에 제공하기 위해 함께 작업한다. 인증 서버 각각은 일반적으로 다른 인증 서버와 동일한 기능성을 구비한다.
소정의 시간에, 여러 개의 클라이언트 컴퓨팅 장치(102(1) 내지 102(n)) 중 하나(예컨대, 클라이언트 컴퓨팅 장치(102(1)))는 서비스 제공자(104(1) 내지 104(n)) 중 하나(예컨대, 서비스 제공자(104(1)))에 의해 제공되는 서비스를 요청할 수 있다. 인증 서버(106(1) 내지 106(n))의 서브셋(subset)은, 클라이언트 컴퓨팅 장치(102(1))가 서비스 제공자(104(1))에 적절하게 인증하도록 허용하는 기법을 제공한다. 서비스 제공자(104(1))는 일반적으로 적절한 인증이 획득될 때까지 클라이언트 컴퓨팅 장치(102(1) 내지 102(n)) 중 어떤 것에도 서비스를 제공하지 않을 것이다.
서비스 제공자(104(1))와 클라이언트 컴퓨팅 장치(102(1))는 인증 서버(106(1) 내지 106(n))의 인증 서비스를 요청하기 전에 인증 서버(106(1) 내지 106(n))와의 관계를 각각 확립한다. 서비스 제공자(104(1))가 인증 서버(106(1) 내지 106(n))와의 초기 접촉을 확립한 후에, 서버 모듈(130)은 서비스 제공자(104(1))에게 제공된다. 이 서버 모듈(130)은, 서비스 제공자(104(1))가 관계 등록 단계 동안 필요로 할 동작 파라미터를 제공한다. 서버 모듈(130)은 서비스 제공자(104(1))의 휘발성 또는 비휘발성 메모리에 직접 저장될 수 있다. 서비스 제공자(104(1))가 복수의 서버(예컨대, 서버 팜(server farm))를 포함하는 경우, 서버 모듈(130)은 이들 복수의 서버 중 적합한 하나의 서버에 저장될 수 있다.
서버 모듈(130)을 획득한 후에, 서비스 제공자(104(1))는 비밀 암호 키 및 대응하는 비밀 해독 키를 생성한다. 비밀 암호 키는 분할되어 추가 키들을 생성한다. 일 구현예에서, 비밀 키는 임계값 스킴(threshold scheme)을 이용하여 분할된다. 하지만, 기타 분할 스킴이 마찬가지로 이용될 수 있다. 분할된 키는 서비스 제공자(104(1))를 식별하는 고유한 ID와 함께, 인증 서버(106(1))와 같은 인증 서버 각각에 안전하게 전송된다. 인증 서버(106(1))는, 분할된 키 및 서비스 제공자 고유한 ID가 수신된 후에, 성공 응답(success response)을 서비스 제공자(104(1))에 전송한다. 비밀 해독 키는 서비스 제공자(104(1))에 보유되며, 인증 서버(106(1))와 같은 임의의 다른 엔티티에게 절대 공개되지 않는다. 서버 모듈(130)은 비밀 키를 생성하고 비밀 암호 키를 분할하기 위한 루틴을 제공한다.
클라이언트 컴퓨팅 장치(102(1))는 클라이언트 모듈(140)을 수신한다. 클라이언트 모듈(140)은 클라이언트 컴퓨팅 장치(102(1))의 웹 브라우저와 통합되는 웹 브라우저 플러그-인 모듈일 수 있다. 클라이언트 모듈(140)은, 클라이언트 컴퓨팅 장치(102(1))와 각각의 인증 서버(106(i)) 간에 수행되는 관계 등록 프로시저 동안 필요로 되는 동작 파라미터를 제공한다. 클라이언트 모듈(140)은 클라이언트 컴퓨팅 장치(102(1))의 휘발성 또는 비휘발성 메모리에 직접 저장될 수 있다.
클라이언트 모듈(140)을 획득한 후에, 클라이언트 컴퓨팅 장치(102(1))는 인 증 서버(106(i)) 각각에 등록을 진행할 수 있다. 이는, 클라이언트 모듈(140)이 서비스 제공자(104(1) 내지 104(n)) 중 하나 이상으로부터의 서비스를 요청하기 전에 행해져야 한다. 클라이언트 모듈(140)과 인증 서버(106(i)) 간의 등록 프로세스는 클라이언트 모듈(140)을 이용하는 것을 포함한다. 클라이언트 컴퓨팅 장치(102(1))의 사용자는, 관련 웹 브라우저와 같은 사용자 인터페이스를 통해 클라이언트 모듈(140)을 이용하여 고유한 사용자 이름 및 패스워드를 입력한다. 클라이언트 모듈(140)은 고유한 사용자 이름으로부터 고유한 클라이언트 식별자를 생성한다. 클라이언트 모듈(140)은 또한 클라이언트가 인증 서버(106(i))로의 인증을 행하기 위한 클라이언트 인증 키를, 클라이언트 모듈(140)에 수신되었던 고유한 사용자 이름, 패스워드, 및 인증 서버 ID로부터 생성한다. 해싱 함수는 클라이언트 인증 키를 생성하는 데 사용될 수 있다. 클라이언트 모듈(140)은 클라이언트 인증 키 및 클라이언트 식별자를 인증 서버(106(i))에 안전하게 전송한다. 클라이언트 식별자 및 클라이언트 인증 키를 수신 및 보유한 후에, 서버(106(i))는 성공 메시지를 클라이언트 컴퓨팅 장치(102(1))에 전송할 것이다.
인증 서버(106(i)) 각각에 등록한 후에, 클라이언트 컴퓨팅 장치(102(1))는 인증 서버(106(1) 내지 106(n))의 서브셋을 사용하여, 인증 서버(106(1) 내지 106(n))와의 관계를 이미 확립했던 서비스 제공자(104(1) 내지 104(n)) 중 하나와 인증된 통신을 확립할 수 있다.
서비스 제공자(104(1) 내지 104(n)) 중 하나와의 인증된 통신을 요청하기 전에, 클라이언트 컴퓨팅 장치(102(1))는 인증 서버(106(1) 내지 106(n))의 서브셋에 인증을 행할 것이며, 이는 인증 서비스를 클라이언트 컴퓨팅 장치에 제공할 것이다. 이런 인증 프로시저는, 후속 컨피덴셜(confidential) 통신을 위해 클라이언트 컴퓨팅 장치(102(1)) 및 인증 서버(106(1) 내지 106(n))의 서브셋에 의해 사용되는 세션 키(session key)를 확립한다.
인증을 행하기 위해, 클라이언트 컴퓨팅 장치(102(1))의 사용자는 서브셋 내의 인증 서버(106(i)) 각각에게 인증 요청을 전송한다. 인증 요청을 행하고 세션 키를 확립하는 것은 클라이언트 모듈(140)을 사용하여 용이하게 된다. 인증 서버(106(i)) 각각은 클라이언트 컴퓨팅 장치(102(1))에 넌스(nonce)를 전송함으로써 인증 요청에 응답한다. 클라이언트 컴퓨팅 장치(102(1))는, 응답 시에, 클라이언트 식별자, 및 클라이언트 인증 키를 사용하여 암호화된 수신된 넌스를 인증 서버(106(i))에 전송한다. 암호는 또한 클라이언트 장치 랜덤 넘버 및 클라이언트 장치 넌스를 포함한다. 클라이언트 장치 랜덤 넘버 및 클라이언트 장치는 클라이언트 모듈(140)에 의해 생성된다. 클라이언트 식별자 및 클라이언트 인증 키는 전술된 등록 프로세스 동안에 생성되었다.
인증 서버(106(i))는, 등록 프로세스 동안 생성되었던 클라이언트 인증 키를 검색하는 데 클라이언트 식별자를 사용한다. 검색된 클라이언트 인증 키는, 암호화된 인증 서버 넌스, 클라이언트 장치 랜덤 넘버 및 클라이언트 장치 넌스를 해독하는 데 사용된다. 해독이 성공적이고, 해독된 인증 서버 넌스가 선행하는 프로세스에서 인증 서버에 의해 클라이언트에 전송된 넌스와 일치하는 경우, 인증 서버(106(i))는 서버(106)에서 생성된 인증 서버 랜덤 넘버, 그 넌스, 및 클라이언트 장치 넌스를 포함하는 암호를 클라이언트(102(1))에 전송한다. 이 시점에서, 서버(106)와 클라이언트(102(1)) 둘 다는 2개의 랜덤 넘버를 소유한다. 해싱 함수가 서버(106(i)) 및 클라이언트(102(1))에 의해 2개의 랜덤 넘버에 대해 사용되어 양단에서 세션 키를 생성한다. 이 세션 키는, 클라이언트 컴퓨팅 장치(102(1))가 선택된 인증 서버들의 서브셋 내의 인증 서버(106(i))를 사용하여 서비스 제공자(104(1) 내지 104(n)) 중 하나와의 인증된 통신을 확립하는 경우에, 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106(i)) 간의 보안 링크를 확립하는 데에 이용된다.
세션 키를 인증 서버(106(i))로부터 획득한 후에, 클라이언트 컴퓨팅 장치(102(1))는 인증 서버(106(1) 내지 106(n))에 이미 등록된 서비스 제공자(예컨대, 서비스 제공자(104(1))와의 인증된 통신을 요청할 준비가 된다. 이 요청은, 클라이언트 컴퓨팅 장치(102(1))가 액세스 요청을 서비스 제공자(104(1))에게 전송하는 시점에, 개시된다. 서비스 제공자(104(1))는 자신의 고유한 ID 및 챌린지(예컨대, 서비스 제공자 넌스)를 클라이언트 컴퓨팅 장치(102(1))에 전송함으로써 응답한다. 선택적으로, 서비스 제공자(104(1))는 자신이 이미 등록을 행했던 인증 서버의 리스트를 클라이언트 컴퓨팅 장치(102(1))에 전송하여, 클라이언트가 인증 서비스를 이들 서버로부터 요청할 수 있도록 된다. 클라이언트가 리스트 내의 인증 서버에 인증을 행하지 않았다면, 클라이언트는 리스트 내의 인증 서버에 인증을 행하고, 이들 인증 서버 각각과의 후속 컨피덴셜 통신을 위해 세션 키를 확립한다.
이제 클라이언트 컴퓨팅 장치(102(1))는, 서비스 제공자(104(1))와의 인증된 통신을 확립하기 위해, 예를 들어, 인증 서버(106(i))와 같은 인증 서버의 서브셋 내의 인증 서버 각각과 접촉할 준비가 된다. 클라이언트 컴퓨팅 장치(102(1))는 인증 서버(106(i)) 각각에 서비스 제공자 고유한 ID 및 서비스 제공자 넌스를 전송한다. 선택적으로, 클라이언트 컴퓨팅 장치(102(1))는 또한 그 자신의 클라이언트 식별자를 인증 서비스 제공자(104(1))에게 전송할 수 있다. 인증 서버(106(i))는 또한 클라이언트 컴퓨팅 장치(102(1))의 클라이언트 식별자, 및 두 장치 간의 이전 통신으로부터 메모리에 보유된 세션 키를 가져야 한다.
인증 서버(106(i))는 클라이언트 식별자, 클라이언트 컴퓨팅 장치(102(1))의 IP 주소와 같은 네트워크 주소, 및 서비스 제공자 넌스를 서비스 제공자(104(1))로부터 이전에 수신된 분할된 키를 사용하여 암호화한다. 이런 프로세스는 클라이언트 컴퓨팅 장치(102(1))상으로 전달되는 부분 인증 토큰(partial authentication token)을 생성한다. 클라이언트 컴퓨팅 장치(102(1))는 수신된 부분 인증 토큰으로부터 인증 토큰을 생성하고, 인증 토큰을 그 자신의 클라이언트 식별자와 함께 패키지화하고, 그 패키지를 서비스 제공자(104(1))에게 전송한다. 서비스 제공자(104(1))는 암호화된 인증 토큰을 그 비밀 해독 키를 사용하여 해독하는 것을 시도할 것이다. 해독이 성공적이고, 해독된 넌스가 선행하는 인증된 통신에서 클라이언트에게 전송된 넌스와 일치하면, 인증된 통신이 성공적이고, 서비스 제공자에 대한 액세스가 허가된다. 서비스 제공자(104(1))는 클라이언트 컴퓨팅 장치(102(1))에게 인증된 통신이 허가되는지의 여부를 통지한다.
설명된 인증 프로시저의 장점은 적어도 다음과 같다. 서비스 제공자의 비밀 키는 제공자만이 알고 있을 뿐이다. 반드시, 인증 서버가 비밀 키를 알고 있지는 않으며, 서비스 제공자의 비밀 키를 획득하는 것은, 일반적으로 다양한 인증 서버 간의 중대한 결탁(collusion)이 일어나는 경우에 가능할 뿐이다. 클라이언트 컴퓨팅 장치 측에서는, 사용자의 패스워드가 인증 프로세스 동안에 직접 사용되지 않는다. 사실상, 클라이언트 컴퓨팅 장치 및 서비스 제공자인, 인증 프로세스에서의 엔티티 각각은, 그들 자신의 비밀을 제어한다. 이는, 신뢰 기관의 존재가 필요로 되지 않기 때문에, 전술된 인증 프로시저를 매우 매력적으로 되게 한다. 신뢰 기관은 다수의 기타 암호화/인증 기법(예컨대, PKI)과 함께 이용된다.
서비스 제공자 프로시저로의 클라이언트 장치 액세스
도 2는 클라이언트 장치(102(1))가 클라이언트 장치 서비스 제공자 액세스 프로시저(200)를 사용하여 서비스 제공자(104(1))와의 인증된 통신을 요청하는 예시적 구현예를 도시한다. 인증된 통신은 인증 서버(106(1) 내지 106(n))의 서브셋을 사용하여 용이하게 된다. 표 I는 본문에 사용된 표기와 관련된 상세를 다음과 같이 제시한다.
표 I
S 참여 서비스 제공자.
U 참여 클라이언트 장치.
A i i번째 인증 서버.
UID 참여 클라이언트 장치 U에 대한 고유한 클라이언트 ID.
SID 참여 서비스 제공자 S에 대한 고유한 서비스 제공자 ID.
AID i i번째 인증 서버 A i 에 대한 고유한 ID.
K S S에게만 알려진 S에 의해 생성된, 비밀 암호 키.
K S -1 K S 에 대응하는, S에게만 알려진 비밀 해독 키.
K S i 임계값 스킴에 의해 생성된 K s i번째 부분 공유.
K U i Ui번째 인증 서버 A i 에 인증을 행하기 위한 비밀 클라이언트 키.
p 2 , p 1 2개의 적절하게 선택된 소수, p 2 > p 1 .
g
Figure 112008013404778-PCT00001
내의 생성자, 2≤gp 1 - 2.
Figure 112008013404778-PCT00002
사용자 Ui번째 인증 서버 A i 간의 세션 키.
<m>kk를 갖는 대칭적 암호(symmetric cipher)에 의해 암호화된 메시지 m.
<m> k,p 이는 m k mod p(여기서, mZ p )를 의미한다.
n X 엔티티 X에 의해 생성된 넌스.
r X 엔티티 X에 의해 생성된 랜덤 넘버.
Figure 112008013404778-PCT00003
x는 프로토콜을 기술함에 있어서 선택적이다. 꺽쇠 괄호는 설명에 걸쳐 선택적 파라미터를 표시한다.
프로시저는, 클라이언트 컴퓨팅 장치(102(1))가 통신(201) 시에 액세스 요청을 서비스 제공자(104(1))에게 전송할 때, 개시된다. 서비스 제공자(104(1))는 통신(202) 시에 SID , n S ,
Figure 112008013404778-PCT00004
, [ t 인증 서버
Figure 112008013404778-PCT00005
의 리스트](여기서, t는 인증 서비스를 제공하는 데 필요로 되는 인증 서버의 수에 대한 임계값)로 응답한다. 일단 통신(202)이 수신되면, 클라이언트 컴퓨팅 장치(102(1))는 통신(204) 시에 SID , n S ,
Figure 112008013404778-PCT00006
, [UID]를 인증 서버(106)에 송신한다. 인증 서버(106)는, 통신(206) 시에,
Figure 112008013404778-PCT00007
(여기서, U는 클라이언트의 IP 주소(IPAddress)와 같은, 클라이언트 컴퓨팅 장치(102(1))의 네트워크 식별자임)를 송신함으로써 응답한다. 통신(206)의 콘텐츠는 부분 인증 토큰을 규정한다. 클라이언트 컴퓨팅 장치(102(1))는 인증 서버와의 통신(206) 시에 수신된 부분 인증 토큰을 사용하여, 인증 토큰
Figure 112008013404778-PCT00008
을 생성하며, 이는 UID 및
Figure 112008013404778-PCT00009
와 패키지화되어 서비스 제공자(104(1))에 송신되는데, 여기서
Figure 112008013404778-PCT00010
이다. 서비스 제공자(104(1))는 자신의 비밀 해독 키
Figure 112008013404778-PCT00011
를 암호화된 인증 토큰을 해독하는 데 사용하며, 여기서
Figure 112008013404778-PCT00012
이다.
상기 해독, 및 인증 토큰과 함께 수신된 추가 정보에 기초하여, 서비스 제공자(104(1))는 인증된 액세스가 허가되는가를 나타내는 액세스 응답을 통신(210) 시에 클라이언트 컴퓨팅 장치(102(1))로 되돌려 전송할 것이다. 인증된 통신 동안에
Figure 112008013404778-PCT00013
내의 생성자(g)를 선택적으로 사용함으로써, 인증된 세션이 확립된 후에 클라이언트 컴퓨팅 장치(102(1))와 서비스 제공자(104(1)) 간의 후속 보안 통신에 이용되는 세션 키를 생성하는 방법을 제공한다.
통신(204 및 206)은 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106(i)) 간에 확립된 세션 키를 사용하여 보안된다. 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106(i))는 각각 세션 키를 소유한다. 이런 세션 키를 생성하는 것에 대한 상세한 설명은 이후에 기술된다.
다양한 기술된 통신은 클라이언트 모듈 및 서버 모듈(140 및 130)을 사용하여 용이하게 된다. 하지만, 다양한 통신 및 명령어는 이런 통신 및 명령어를 수행하도록 인에이블된 임의의 장치에 의해 수행됨으로써, 기술된 서비스 제공자 프로시저/메소드로의 클라이언트 장치 액세스를 제공할 수 있다.
서비스 제공자 등록 프로시저
도 3은 서비스 제공자(104(1))가 서비스 제공자 등록 프로시저(300)를 사용하여 인증 서버(106(i))에 등록하는 예시적 구현예를 도시한다. 서비스 제공자 등록 프로시저(300)는, 서비스 제공자가 인증 서버에 의해 제공된 인증 서비스로부터 이익을 얻을 수 있기 전에, 수행된다. 상기 표 I는 다음의 본문에 사용된 표기와 관련된 상세를 제공한다.
프로시저가 개시되기 전에, 서비스 제공자(104(1))는 서버 모듈(130)을 다운로드하여 설치한다. 이 구현예에서, 서버 모듈(130)은, 서비스 제공자(104(1))가 인증 서버(106(i))와의 인증 관련 요청 및 통신을 처리하도록 허용하는 기능성을 제공한다. 프로시저는, 서비스 제공자(104(1))가 서비스 제공자 등록을 요청하는 통신(302)을 인증 서버(106(i))에 전송할 때, 개시된다. 인증 서버(106(i))는 자신이 등록을 수락할 준비가 되어있음을 서비스 제공자(104(1))에게 알리는 통신(304)으로 응답한다.
서비스 제공자(104(1))는 서버 모듈(130)을 사용하여 도 3에 도시된 서비스 제공자 등록 프로시저를 완료한다. 서비스 제공자(104(1))는,
Figure 112008013404778-PCT00014
이 되도록, 비밀 키 K S , 1≤K S P 2 - 2를 생성하고, K S -1 을 산출한다. 다음에, 서비스 제공자(104(1))는 (t,n) 임계값 스킴을 사용하여 K S n 분할된 키 공유 K S i , 1≤in로 분할한다. 이들 분할된 키 {K S i } 중 하나와, SID는 보안 통신(306) 시에 인증 서버(106(i)) 각각에 전송된다. 인증 서버(106(i))는 분할된 키 K S i SID를, 도 2와 관련하여 설명된 클라이언트 장치 서비스 제공자 액세스 프로시저(200) 동안에 사용하기 위해 저장한다. 분할된 키 K S i SID를 수신 및 저장한, 인증 서버(106(i))는 통신(308) 시에 서비스 제공자(104(1))에게 성공 응답을 전송한다.
다양한 설명된 통신은 서버 모듈(130)을 사용하여 용이하게 된다. 하지만, 다양한 통신 및 명령어는 이런 통신 및 명령어를 수행하도록 인에이블된 임의의 장치에 의해 수행됨으로써, 기술된 서비스 제공자 등록 프로시저/메소드를 제공하게 된다.
클라이언트 장치 등록 프로시저
도 4는 클라이언트 컴퓨팅 장치(102(1))가 클라이언트 장치 등록 프로시저(400)를 사용하여 인증 서버(106(i)) 각각에 등록하는 예시적 구현예를 도시한다. 클라이언트 장치 등록 프로시저(400)는 인증 서버에 의해 제공된 인증 서비스로부터 이익을 얻을 수 있기 전에 수행된다. 상기 표 I는 다음의 본문에 사용된 표기와 관련된 상세를 제공한다.
프로시저가 개시되기 전에, 클라이언트 컴퓨팅 장치(102(1))는 클라이언트 모듈(140)을 다운로드하여 설치한다. 이 구현예에서, 클라이언트 모듈(140)은, 클라이언트 컴퓨팅 장치(102(1))가 인증 서버(106(i)) 각각과의 통신을 처리하도록 허용하는 기능성을 제공한다. 프로시저는, 클라이언트 컴퓨팅 장치(102(1))가 클라이언트 컴퓨팅 장치 등록을 요구하는 통신(402)을 인증 서버(106(i))에 전송할 때, 개시된다. 인증 서버(106(i))는, 자신이 등록을 수락할 준비가 되어있음을 클라이언트 컴퓨팅 장치(102(1))에게 알리는 통신(404)으로 응답한다.
클라이언트 컴퓨팅 장치(102(1))는 클라이언트 모듈(140)을 사용하여 클라이 언트 컴퓨팅 장치(102(1))의 사용자에 의해 입력된 사용자 이름으로부터 고유한 클라이언트 ID UID를 생성한다. UID는 사용자 이름을 해싱함으로써, 또는 사용자 이름의 일부를 해싱함으로써 생성될 수 있다. 사용자 이름으로부터 고유한 클라이언트 ID UID를 생성하는 다른 프로세스가 마찬가지로 이용될 수 있다. 그런 다음, 클라이언트 컴퓨팅 장치(102(1))는 클라이언트 모듈(140)을 사용하여, 클라이언트 키 K U i = hash ( UserName , Passward , AID i ), 1in을 생성하고, 이는 도 5에 도시된 인증 서버(106(i))와의 클라이언트 컴퓨팅 장치 인증 프로시저(500)에 사용될 것이다. 클라이언트 키는 마찬가지로 사용자 이름만을 사용하여 생성될 수 있다. AID i i번째 인증 서버(이 경우에는, 인증 서버(106(i))임)를 식별한다.
클라이언트 컴퓨팅 장치(102(1))는 UID, K U i , A i , 1in를 보안 통신(406)을 통해 인증 서버(106(i))에 전송한다. 인증 서버(106)는 고유한 클라이언트 ID UID 및 클라이언트 키 K U i 를 후속 사용을 위해 보유한다. 특히, 인증 서버는, 클라이언트 컴퓨팅 장치(102(1))가 서비스 제공자와의 인증 통신을 요청하는 경우, 고유한 클라이언트 ID UID 및 클라이언트 키 K U i 를 사용한다. 서비스 제공자와의 인증 프로세스는 일반적으로 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106(i)) 간의 보안 통신을 필요로 할 것이며, 고유한 클라이언트 ID UID 및 클라이언트 키 K U i 는 이런 목적을 위해 사용된 세션 키의 생성을 용이하게 한다.
다양한 설명된 통신은 클라이언트 모듈(140)을 사용하여 용이하게 된다. 하지만, 다양한 통신 및 명령어는 이런 통신 및 명령어를 수행하도록 인에이블된 임의의 장치에 의해 수행됨으로써, 기술된 클라이언트 컴퓨팅 장치 등록 프로시저/메소드를 제공하게 된다.
클라이언트 장치 인증 프로시저
도 5는 클라이언트 컴퓨팅 장치(102(1))가 클라이언트 컴퓨팅 장치 인증 프로시저(500)를 사용하여 인증 서버(106(i))에 인증을 행하는 예시적 구현예를 도시한다. 클라이언트 컴퓨팅 장치 인증 프로시저(500)는, 클라이언트 컴퓨팅 장치(102(1))를 인증 서버(106(i))에 인증하며, 클라이언트 장치가 서비스 제공자와의 인증된 통신을 확립하는 것을 시도하는 동안 클라이언트 컴퓨팅 장치와 인증 서버에 의해 사용되는 세션 키를 확립하기 위해 수행된다. 상기 표 I는 다음의 본문에 사용된 표기와 관련된 상세를 제공한다.
프로시저는, 클라이언트 컴퓨팅 장치(106(i))가 인증을 요청하는 통신(502)을 전송할 때, 개시된다. 인증 서버(106(i))는 넌스
Figure 112008013404778-PCT00015
를 포함하는 통신(504)으로 응답한다. 클라이언트 컴퓨팅 장치(102(1))는, 클라이언트 모듈(140)에 의한 지원으로, 고유한 클라이언트 ID UID 및 암호
Figure 112008013404778-PCT00016
를 포함하는 통신(506)으로 응답한다. 인증 서버(106(i))는 이전 통신 시에 수신된 클라이언트 키 K U i 를 사용하여, 암호
Figure 112008013404778-PCT00017
를 해독하는 것을 시도할 것이다. 해독이 성공적이고, 해독된 넌스가 선행하는 프로세스에서 클라이언트에게 송신된 넌스
Figure 112008013404778-PCT00018
와 일치하면, 인증 서버(106(i))는
Figure 112008013404778-PCT00019
또는 실패 메시지를 포함하는 통신(508)을 클라이언트 컴퓨팅 장치(102(1))에 전송한다.
이 시점에서, 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106) 양쪽은 랜덤 넘버 값
Figure 112008013404778-PCT00020
을 가진다. 이들 랜덤 넘버 값을 사용하여, 클라이언트 컴퓨팅 장치(102(1))와 인증 서버(106(i)) 양쪽은 세션 키
Figure 112008013404778-PCT00021
를 산출한다. 이 세션 키는, 클라이언트 컴퓨팅 장치(102(1))가 인증 서버(106(i))에 접촉하여 서비스 제공자와의 인증된 통신을 요청하는 경우에, 사용된다. 서비스 제공자와의 인증된 통신을 확립하는 것과 관련하여 세션 키를 사용하는 것은, 이 문서의 앞쪽에 상세히 기술되어 있다.
다양한 설명된 통신은 클라이언트 모듈(140)을 사용하여 용이하게 된다. 하지만, 다양한 통신 및 명령어는 이런 통신 및 명령어들을 수행하도록 인에이블된 임의의 장치에 의해 수행됨으로써, 기술된 클라이언트 컴퓨팅 인증 프로시저/메소드를 제공한다.
예시적 컴퓨팅 장치
도 6 내지 도 8은 기술된 프로시저 및 메소드를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치를 도시한다. 도 6은 서비스 제공자(104(1))의 예시적 구현예 를 도시하며, 도 7은 클라이언트 컴퓨팅 장치(102(1))의 예시적 구현예를 도시하며, 도 8은 컴퓨팅 장치(800)의 예시적 구현예를 도시한다. 인증 서버(106(i))와 같은 인증 서버는, 컴퓨팅 장치(800)와 관련하여 기술된 동작 구성요소를 이용할 수 있다. 이는 또한 본원에 기술된 클라이언트 컴퓨팅 장치 및 서비스 제공자에 대해서도 성립된다.
도 6은 서비스 제공자(104(1))를 구현하는 데 사용될 수 있는 예시적인 컴퓨팅 장치이다. 매우 기본적인 구성에서, 컴퓨팅 장치는 적어도 하나의 처리 장치(604)와 시스템 메모리(606)를 포함한다. 컴퓨팅 장치(600)의 정확한 구성 및 타입에 따라, 시스템 메모리(606)는 휘발성(RAM 등), 비휘발성(ROM, 플래시 메모리 등), 또는 이 둘의 조합일 수 있다. 시스템 메모리(606)는 통상적으로 운영 체제(608), 하나 이상의 프로그램 모듈(610), 및 프로그램 데이터(612)를 포함할 수 있다. 프로그램 모듈(610) 중 적어도 하나는 서버 모듈(130)을 포함한다.
컴퓨팅 장치는 추가 특징 또는 기능성을 가질 수 있다. 예를 들어, 컴퓨팅 장치는, 예컨대, 자기 디스크, 광 디스크 또는 테이프와 같은 추가 데이터 저장 장치(이동식 및/또는 비이동식)도 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체들을 포함한다. 시스템 메모리(606)는 컴퓨터 저장 매체의 일례이다. 그러므로, 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD(digital versatile disk) 또는 기타 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨팅 장치에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다. 이런 컴퓨터 저장 매체는 장치의 일부일 수 있다. 컴퓨팅 장치는 또한 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등의 입력 장치(들)을 포함할 수 있다. 디스플레이, 스피커, 프린터 등의 출력 장치(들) 역시 포함될 수 있다. 이들 장치는 본 기술 분야에서 잘 알려져 있으며, 장황하게 기술/설명할 필요는 없다.
컴퓨팅 장치는 또한 그 장치가 예컨대, 네트워크에 걸쳐 다른 컴퓨팅 장치와 통신하도록 허용하는 통신 접속을 포함할 수 있다. 이런 네트워크는 도 1의 네트워크(120)로서 도시된다. 통신 접속(들)은 통신 매체의 일례이다. 통신 매체는 통상적으로 반송파(carrier wave) 또는 기타 전송 메커니즘(transport mechanism)과 같은 피변조 데이터 신호(modulated data signal)에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 예로서, 통신 매체는 유선 네트워크 또는 직접 배선 접속(direct-wired connection)과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함하지만, 이에 제한되는 것은 아니다. 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있다. 예로서, 컴퓨터 판독가능 매체는 "컴퓨터 저장 매체" 및 "통신 매체"를 포함할 수 있지만, 이에 제한되는 것은 아니 다.
다양한 모듈 및 기법은, 일반적으로 하나 이상의 컴퓨터 또는 기타 장치에 의해 수행되는 프로그램 모듈과 같은 컴퓨터 실행가능 명령어와 관련하여 본원에 기술될 수 있다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 개체, 컴포넌트, 데이터 구조 등을 포함한다. 이들 프로그램 모듈 및 기타 등등은 원시 코드(native code)로서 실행될 수 있거나, 또는 예컨대, 가상 머신 또는 기타 JIT(Just-in-Time) 컴파일 실행 환경에 다운로드되어 실행될 수 있다. 통상적으로, 프로그램 모듈의 기능성은 다양한 실시예들에서 소망에 따라 결합 또는 분산될 수 있다. 이들 모듈 및 기법의 구현예는 소정 형식의 컴퓨터 판독가능 매체에 걸쳐 저장 또는 전송될 수 있다.
도 7은 클라이언트 컴퓨팅 장치(102(1))를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치이다. 매우 기본적인 구성에서, 컴퓨팅 장치는 적어도 하나의 처리 장치(704) 및 시스템 메모리(706)를 포함한다. 컴퓨팅 장치(700)의 정확한 구성 및 타입에 따라, 시스템 메모리(706)는 휘발성(RAM 등), 비휘발성(ROM, 플래시 메모리 등), 또는 이 둘의 조합일 수 있다. 시스템 메모리(706)는 통상적으로 운영 체제(708), 하나 이상의 프로그램 모듈(710), 및 프로그램 데이터(712)를 포함할 수 있다. 프로그램 모듈(710) 중 적어도 하나는 클라이언트 모듈(140)을 포함한다.
컴퓨팅 장치는 추가 특징 또는 기능성을 가질 수 있다. 예를 들어, 컴퓨팅 장치는, 예컨대, 자기 디스크, 광 디스크 또는 테이프와 같은 추가 데이터 저장 장 치(이동식 및/또는 비이동식)도 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체들을 포함한다. 시스템 메모리(706)는 컴퓨터 저장 매체의 일례이다. 그러므로, 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD 또는 기타 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨팅 장치에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다. 이런 컴퓨터 저장 매체는 장치의 일부일 수 있다. 컴퓨팅 장치는 또한 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등의 입력 장치(들)을 포함할 수 있다. 디스플레이, 스피커, 프린터 등의 출력 장치(들) 역시 포함될 수 있다. 이들 장치는 본 기술 분야에서 잘 알려져 있으며, 장황하게 기술/설명할 필요는 없다.
컴퓨팅 장치는 또한 그 장치가 예컨대, 네트워크에 걸쳐 다른 컴퓨팅 장치와 통신하도록 허용하는 통신 접속을 포함할 수 있다. 이런 네트워크는 도 1의 네트워크(120)로서 도시된다. 통신 접속(들)은 통신 매체의 일례이다. 통신 매체는 통상적으로 반송파 또는 기타 전송 메커니즘과 같은 피변조 데이터 신호에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 예로서, 통신 매체는 유선 네트워크 또는 직접 배선 접속과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함하지만, 이에 제한되는 것은 아니다. 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있다. 예로서, 컴퓨터 판독가능 매체는 "컴퓨터 저장 매체" 및 "통신 매체"를 포함할 수 있지만, 이에 제한되는 것은 아니다.
다양한 모듈 및 기법은, 일반적으로 하나 이상의 컴퓨터 또는 기타 장치에 의해 수행되는 프로그램 모듈과 같은 컴퓨터 실행가능 명령어와 관련하여 본원에 기술될 수 있다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 개체, 컴포넌트, 데이터 구조 등을 포함한다. 이들 프로그램 모듈 및 기타 등등은 원시 코드로서 실행될 수 있거나, 또는 예컨대, 가상 머신 또는 기타 JIT(Just-in-Time) 컴파일 실행 환경에서 다운로드되어 실행될 수 있다. 통상적으로, 프로그램 모듈의 기능성은 다양한 실시예들에서 소망에 따라 결합 또는 분산될 수 있다. 이들 모듈 및 기법의 구현예는 소정 형식의 컴퓨터 판독가능 매체에 걸쳐 저장 또는 전송될 수 있다.
도 8은 본원에 기술된 인증 서버, 또는 임의의 기타 컴퓨팅 장치를 구현하는 데 사용될 수 있는 예시적 컴퓨팅 장치(800)이다. 매우 기본적인 구성에서, 컴퓨팅 장치(800)는 적어도 하나의 처리 장치(804)와 시스템 메모리(806)를 포함한다. 컴퓨팅 장치(800)의 정확한 구성 및 타입에 따라, 시스템 메모리(806)는 휘발성(RAM 등), 비휘발성(ROM, 플래시 메모리 등), 또는 이 둘의 조합일 수 있다. 시스템 메모리(806)는 통상적으로 운영 체제(808), 하나 이상의 프로그램 모듈(810), 및 프로그램 데이터(812)를 포함할 수 있다.
컴퓨팅 장치(800)는 추가 특징 또는 기능성을 가질 수 있다. 예를 들어, 컴퓨팅 장치(800)는, 예컨대, 자기 디스크, 광 디스크 또는 테이프와 같은 추가 데이터 저장 장치(이동식 및/또는 비이동식)도 포함할 수 있다. 이런 추가 저장 장치는 이동식 저장 장치(820) 및 비이동식 저장 장치(822)에 의해 도 8에 도시되어 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현되는 휘발성 및 비휘발성, 이동식 및 비이동식 매체들을 포함한다. 시스템 메모리(806), 이동식 저장 장치(820) 및 비이동식 저장 장치(822)는 컴퓨터 저장 매체의 일례이다. 그러므로, 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 기타 메모리 기술, CD-ROM, DVD 또는 기타 광 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 컴퓨팅 장치(800)에 의해 액세스될 수 있고 원하는 정보를 저장하는 데 사용될 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다. 이런 컴퓨터 저장 매체는 장치(800)의 일부일 수 있다. 컴퓨팅 장치(800)는 또한 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등의 입력 장치(들)(824)을 포함할 수 있다. 디스플레이, 스피커, 프린터 등의 출력 장치(들)(826) 역시 포함될 수 있다. 이들 장치는 본 기술 분야에서 잘 알려져 있으며, 장황하게 기술/설명할 필요는 없다.
컴퓨팅 장치(800)는 또한 그 장치가 예컨대, 네트워크에 걸쳐 다른 컴퓨팅 장치(830)와 통신하도록 허용하는 통신 접속을 포함할 수 있다. 이런 네트워크는 도 1의 네트워크(120)로서 도시된다. 통신 접속(들)(828)은 통신 매체의 일례이다. 통신 매체는 통상적으로 반송파 또는 기타 전송 메커니즘과 같은 피변조 데이터 신호에 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터 등을 구현하고 모든 정보 전달 매체를 포함한다. "피변조 데이터 신호"라는 용어는, 신호 내에 정보를 인코딩하도록 그 신호의 특성들 중 하나 이상을 설정 또는 변경시킨 신호를 의미한다. 예로서, 통신 매체는 유선 네트워크 또는 직접 배선 접속과 같은 유선 매체, 그리고 음향, RF, 적외선, 기타 무선 매체와 같은 무선 매체를 포함하지만, 이에 제한되는 것은 아니다. 컴퓨터 판독가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 이용가능한 매체일 수 있다. 예로서, 컴퓨터 판독가능 매체는 "컴퓨터 저장 매체" 및 "통신 매체"를 포함할 수 있지만, 이에 제한되는 것은 아니다.
다양한 모듈 및 기법은, 일반적으로 하나 이상의 컴퓨터 또는 기타 장치에 의해 수행되는 프로그램 모듈과 같은 컴퓨터 실행가능 명령어와 관련하여 본원에 기술될 수 있다. 일반적으로, 프로그램 모듈은 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 루틴, 프로그램, 개체, 컴포넌트, 데이터 구조 등을 포함한다. 이들 프로그램 모듈 및 기타 등등은 원시 코드로서 실행될 수 있거나, 또는 예컨대, 가상 머신 또는 기타 JIT(Just-in-Time) 컴파일 실행 환경에서 다운로드 및 실행될 수 있다. 통상적으로, 프로그램 모듈의 기능성은 다양한 실시예들에서 소망에 따라 결합 또는 분산될 수 있다. 이들 모듈 및 기법의 구현예는 소정 형식의 컴퓨터 판독가능 매체에 걸쳐 저장 또는 전송될 수 있다.
예시적 실시예가 도시 및 기술되었지만, 본 발명은 전술된 자세한 구성 및 리소스에 제한되지 않는 것으로 이해되어야 한다. 당업자에게 자명한 다양한 수정, 변경, 및 변형은 청구된 본 발명의 범위 내에서 본원에 개시된 실시예들의 배치, 동작, 및 상세에 행해질 수 있다.

Claims (20)

  1. 적어도 클라이언트 식별자, 및 복수의 부분 인증 토큰으로부터 도출된 암호화된 인증 토큰을 포함하는 인증 요청을 수신하는 단계(208);
    상기 암호화된 인증 토큰을 비밀 키를 이용하여 해독하는 것을 시도하는 단계; 및
    상기 비밀 키를 사용하여 해독이 가능하며, 상기 암호화된 인증 토큰에 대한 해독된 콘텐츠가 수락될 수 있는 경우, 인증된 통신을 허가하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 암호화된 인증 토큰은 클라이언트 식별자 및 챌린지(challenge)를 포함하는, 방법.
  3. 제2항에 있어서,
    상기 클라이언트 식별자는 서비스 제공자(104(n))와의 인증된 통신을 원하는 클라이언트 장치(102(n))를 식별하는, 방법.
  4. 제2항에 있어서,
    상기 챌린지는 상기 암호화된 인증 토큰을 해독하는 것을 시도하는 서비스 제공자(104(n))에 의해 제공되는, 방법.
  5. 제1항에 있어서,
    상기 암호화된 인증 토큰은 클라이언트 장치(102(n))의 네트워크 주소를 더 포함하는, 방법.
  6. 프로세서(604)를 프로그래밍하는 데 사용하기 위한 제조 물품(article)으로서, 상기 제조 물품은 내장된 적어도 하나의 컴퓨터 프로그램(130)을 포함하는 적어도 하나의 컴퓨터 판독가능 저장 장치(606)를 포함하고, 상기 적어도 하나의 컴퓨터 프로그램은 상기 프로세서(604)로 하여금 제1항의 방법을 수행하게 하는 것인, 프로세서(604)를 프로그래밍하는 데 사용하기 위한 제조 물품.
  7. 컴퓨팅 장치로서,
    프로세서(604); 및
    제1항의 방법을 수행할 수 있는 적어도 하나의 컴퓨터 실행가능 컴포넌트(130)를 갖는 메모리(606)를 포함하는, 컴퓨팅 장치.
  8. 보안 세션(508)이 이전 프로시저에서 확립되지 않았다면, 세션 키로 이러한 보안 세션(508)을 확립하는 단계;
    서비스 제공자(104(n))에 의해 제공된 서비스 제공자 ID 및 챌린지를 수신하 는 단계;
    엔티티의 고유한 ID, 상기 엔티티의 네트워크 주소, 및 서비스 제공자(104(n))에 의해 제공된 챌린지를, 암호 키의 보유자(holder)(106(i))가 알고 있지 않은 비밀 키로부터 도출된 암호 키를 사용하여 암호화하는 단계; 및
    상기 암호 키를 상기 엔티티(102(n))에 제공하는 단계 - 상기 암호 키는 상기 서비스 제공자(104(n))에 대한 액세스를 획득하는 것을 시도할 때 이용될 수 있음 -
    를 포함하는 방법.
  9. 제8항에 있어서,
    상기 세션 키는 인증 키로부터 생성되며, 상기 인증 키는 인증 서버(106(i))의 ID 및 인증을 원하는 엔티티(102(n))의 로그인 증명서(login credentials)로부터 도출되는, 방법.
  10. 제9항에 있어서,
    상기 로그인 증명서는 패스워드 및 사용자 이름을 포함하는, 방법.
  11. 제8항에 있어서,
    인증을 원하는 엔티티(102(n))의 고유한 ID는 적어도 상기 엔티티의 로그인 이름으로부터 도출되는, 방법.
  12. 제9항에 있어서,
    인증 키 및 인증을 원하는 엔티티(102(n))의 고유한 ID는, 이전 프로시저에서의 인증에 의해 저장 및 알려진 보안 세션, 인증 키 및 고유한 ID를 확립하는 인증 프로시저 동안, 인증을 원하는 엔티티(102(n))에서의 모듈(140)에 의해 생성되는, 방법.
  13. 제8항에 있어서,
    상기 암호화하는 단계는 항목(item) 또는 항목의 서명을 암호화하는 단계를 더 포함하고, 상기 항목은 후속 보안 통신을 위한 또 다른 세션 키를 생성하는 데 사용되는, 방법.
  14. 제8항에 있어서,
    상기 수신하는 단계는 항목을 수신하는 단계를 더 포함하며, 상기 항목은 후속 보안 통신을 위한 또 다른 세션 키를 생성하는 데 사용될 것인, 방법.
  15. 프로세서(604, 704, 804)를 프로그래밍하는 데 사용하기 위한 제조 물품으로서, 상기 제조 물품은 내장된 적어도 하나의 컴퓨터 프로그램(610, 710, 810)을 포함하는 적어도 하나의 컴퓨터 판독가능 저장 장치(606, 706, 806)를 포함하고, 상기 적어도 하나의 컴퓨터 프로그램은 상기 프로세서(604, 704, 804)로 하여금 제8 항의 방법을 수행하게 하는 것인, 프로세서(604, 704, 804)를 프로그래밍하는 데 사용하기 위한 제조 물품.
  16. 인증 요청을 복수의 인증 서버(106(i))에서 수신하는 단계 - 상기 인증 요청은 서비스 제공자(104(n))와의 인증된 통신을 요청함 -; 및
    인증 서버(106(i)) 각각이 부분 인증 토큰을 제공하는 단계 - 복수의 부분 인증 토큰은 함께 이용되어 상기 서비스 제공자(104(n))와의 인증된 통신을 획득하는 데 사용되는 인증 토큰을 생성할 수 있음 -
    를 포함하는 방법.
  17. 제16항에 있어서,
    인증 서버(106(i)) 각각은 상기 서비스 제공자(104(n))에 의해 생성된 비밀 키로부터 도출된 분할된 키를 사용하여 부분 인증 토큰을 암호화하는, 방법.
  18. 제17항에 있어서,
    비밀 키로부터 분할된 키를 생성하는 데 임계값 스킴이 이용되는, 방법.
  19. 제16항에 있어서,
    상기 인증 요청은 상기 서비스 제공자(104(n))에 의해 제공된 서비스 제공자 ID 및 챌린지를 포함하고, 상기 서비스 제공자 ID는 상기 서비스 제공자(104(n))와 관련되는, 방법.
  20. 제16항에 있어서,
    부분 인증 토큰 각각은 상기 서비스 제공자(104(n))와의 인증된 통신을 요청하는 엔티티의 ID, 상기 엔티티(102(n))의 네트워크 주소, 및 상기 서비스 제공자(104(n))에 의해 제공된 챌린지를 포함하는, 방법.
KR1020087004375A 2005-08-22 2008-02-22 분산된 단일 서명 서비스 방법 KR101265873B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US11/208,509 2005-08-22
US11/208,509 US7690026B2 (en) 2005-08-22 2005-08-22 Distributed single sign-on service
PCT/US2006/032156 WO2007024626A1 (en) 2005-08-22 2006-08-16 Distributed single sign-on service

Publications (2)

Publication Number Publication Date
KR20080041220A true KR20080041220A (ko) 2008-05-09
KR101265873B1 KR101265873B1 (ko) 2013-05-20

Family

ID=37768631

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087004375A KR101265873B1 (ko) 2005-08-22 2008-02-22 분산된 단일 서명 서비스 방법

Country Status (15)

Country Link
US (1) US7690026B2 (ko)
EP (1) EP1917603B1 (ko)
JP (1) JP5009294B2 (ko)
KR (1) KR101265873B1 (ko)
CN (1) CN100580657C (ko)
AU (1) AU2006283634A1 (ko)
BR (1) BRPI0615053A2 (ko)
CA (1) CA2619420C (ko)
ES (1) ES2701873T3 (ko)
IL (1) IL189131A (ko)
MX (1) MX2008002504A (ko)
NO (1) NO20080532L (ko)
RU (1) RU2417422C2 (ko)
WO (1) WO2007024626A1 (ko)
ZA (1) ZA200801179B (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
WO2014137063A1 (ko) * 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8243636B2 (en) 2003-05-06 2012-08-14 Apple Inc. Messaging system and service
GB0321337D0 (en) * 2003-09-11 2003-10-15 Massone Mobile Advertising Sys Method and system for distributing advertisements
JP4372030B2 (ja) * 2005-03-02 2009-11-25 キヤノン株式会社 印刷装置、印刷装置の制御方法及びコンピュータプログラム
US7877387B2 (en) 2005-09-30 2011-01-25 Strands, Inc. Systems and methods for promotional media item selection and promotional program unit generation
NO324315B1 (no) * 2005-10-03 2007-09-24 Encap As Metode og system for sikker brukerautentisering ved personlig dataterminal
US20070245152A1 (en) * 2006-04-13 2007-10-18 Erix Pizano Biometric authentication system for enhancing network security
WO2008018055A2 (en) * 2006-08-09 2008-02-14 Neocleus Ltd Extranet security
US8200967B2 (en) * 2006-10-18 2012-06-12 Rockstar Bidco Lp Method of configuring a node, related node and configuration server
US20080096507A1 (en) * 2006-10-24 2008-04-24 Esa Erola System, apparatus and method for creating service accounts and configuring devices for use therewith
US20080141352A1 (en) * 2006-12-11 2008-06-12 Motorola, Inc. Secure password distribution to a client device of a network
US8424077B2 (en) * 2006-12-18 2013-04-16 Irdeto Canada Corporation Simplified management of authentication credentials for unattended applications
GB2438475A (en) 2007-03-07 2007-11-28 Cvon Innovations Ltd A method for ranking search results
EP2130322B1 (en) * 2007-03-21 2014-06-25 Intel Corporation Protection against impersonation attacks
WO2008114256A2 (en) * 2007-03-22 2008-09-25 Neocleus Ltd. Trusted local single sign-on
GB2441399B (en) * 2007-04-03 2009-02-18 Cvon Innovations Ltd Network invitation arrangement and method
US8671000B2 (en) 2007-04-24 2014-03-11 Apple Inc. Method and arrangement for providing content to multimedia devices
CN102333100B (zh) * 2007-11-08 2013-11-06 华为技术有限公司 进行认证的方法及终端
US8875259B2 (en) * 2007-11-15 2014-10-28 Salesforce.Com, Inc. On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US8474037B2 (en) 2008-01-07 2013-06-25 Intel Corporation Stateless attestation system
US20090183246A1 (en) * 2008-01-15 2009-07-16 Authlogic Inc. Universal multi-factor authentication
CN101227275A (zh) * 2008-02-13 2008-07-23 刘海云 随机加密和穷举法解密相结合的加密方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
WO2009147631A1 (en) * 2008-06-05 2009-12-10 Neocleus Israel Ltd Secure multi-purpose computing client
US7600253B1 (en) * 2008-08-21 2009-10-06 International Business Machines Corporation Entity correlation service
US20100067035A1 (en) * 2008-09-16 2010-03-18 Kawakubo Satoru Image forming apparatus, information processing apparatus, information processing system, information processing method, and program
WO2010031142A1 (en) * 2008-09-22 2010-03-25 Joseph Elie Tefaye Method and system for user authentication
US8151333B2 (en) 2008-11-24 2012-04-03 Microsoft Corporation Distributed single sign on technologies including privacy protection and proactive updating
US8752153B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Accessing data based on authenticated user, provider and system
WO2010090664A1 (en) 2009-02-05 2010-08-12 Wwpass Corporation Centralized authentication system with safe private data storage and method
US8839391B2 (en) 2009-02-05 2014-09-16 Wwpass Corporation Single token authentication
US8751829B2 (en) 2009-02-05 2014-06-10 Wwpass Corporation Dispersed secure data storage and retrieval
US8713661B2 (en) 2009-02-05 2014-04-29 Wwpass Corporation Authentication service
IT1393199B1 (it) * 2009-02-25 2012-04-11 Asselle Sistema di controllo per la gestione degli accessi ad aree riservate
US8520855B1 (en) * 2009-03-05 2013-08-27 University Of Washington Encapsulation and decapsulation for data disintegration
CN101610515A (zh) * 2009-07-22 2009-12-23 中兴通讯股份有限公司 一种基于wapi的认证系统及方法
US8776214B1 (en) 2009-08-12 2014-07-08 Amazon Technologies, Inc. Authentication manager
US8887250B2 (en) * 2009-12-18 2014-11-11 Microsoft Corporation Techniques for accessing desktop applications using federated identity
US9367847B2 (en) 2010-05-28 2016-06-14 Apple Inc. Presenting content packages based on audience retargeting
KR101770297B1 (ko) * 2010-09-07 2017-09-05 삼성전자주식회사 온라인 서비스 접속 방법 및 그 장치
US8713589B2 (en) * 2010-12-23 2014-04-29 Microsoft Corporation Registration and network access control
US9536074B2 (en) 2011-02-28 2017-01-03 Nokia Technologies Oy Method and apparatus for providing single sign-on for computation closures
US8590017B2 (en) * 2011-02-28 2013-11-19 International Business Machines Corporation Partial authentication for access to incremental data
US20120291096A1 (en) 2011-05-12 2012-11-15 Nokia Corporation Method and apparatus for secure signing and utilization of distributed computations
US8600061B2 (en) * 2011-06-24 2013-12-03 Broadcom Corporation Generating secure device secret key
WO2013012531A2 (en) * 2011-07-18 2013-01-24 Wwpass Corporation Authentication service
US10362019B2 (en) 2011-07-29 2019-07-23 Amazon Technologies, Inc. Managing security credentials
US9767262B1 (en) 2011-07-29 2017-09-19 Amazon Technologies, Inc. Managing security credentials
US11444936B2 (en) 2011-07-29 2022-09-13 Amazon Technologies, Inc. Managing security credentials
US20140310527A1 (en) * 2011-10-24 2014-10-16 Koninklijke Kpn N.V. Secure Distribution of Content
WO2013071087A1 (en) * 2011-11-09 2013-05-16 Unisys Corporation Single sign on for cloud
KR101306442B1 (ko) * 2011-11-30 2013-09-09 에스케이씨앤씨 주식회사 휴대용 디바이스에 발급된 토큰을 이용한 사용자 인증 방법 및 시스템
FR2984555A1 (fr) * 2011-12-19 2013-06-21 Sagemcom Documents Sas Procede d'appairage d'un appareil electronique et d'un compte utilisateur au sein d'un service en ligne
US8819444B2 (en) 2011-12-27 2014-08-26 Majid Shahbazi Methods for single signon (SSO) using decentralized password and credential management
US9356924B1 (en) 2011-12-27 2016-05-31 Majid Shahbazi Systems, methods, and computer readable media for single sign-on (SSO) using optical codes
US8955065B2 (en) 2012-02-01 2015-02-10 Amazon Technologies, Inc. Recovery of managed security credentials
US8863250B2 (en) 2012-02-01 2014-10-14 Amazon Technologies, Inc. Logout from multiple network sites
GB2504457A (en) * 2012-06-06 2014-02-05 Univ Bruxelles Message authentication via distributed secret keys
US20140123300A1 (en) 2012-11-26 2014-05-01 Elwha Llc Methods and systems for managing services and device data
US9886458B2 (en) * 2012-11-26 2018-02-06 Elwha Llc Methods and systems for managing one or more services and/or device data
US9749206B2 (en) 2012-10-30 2017-08-29 Elwha Llc Methods and systems for monitoring and/or managing device data
US10216957B2 (en) 2012-11-26 2019-02-26 Elwha Llc Methods and systems for managing data and/or services for devices
US10091325B2 (en) 2012-10-30 2018-10-02 Elwha Llc Methods and systems for data services
US9088450B2 (en) 2012-10-31 2015-07-21 Elwha Llc Methods and systems for data services
US9282098B1 (en) 2013-03-11 2016-03-08 Amazon Technologies, Inc. Proxy server-based network site account management
US9203832B2 (en) * 2013-03-12 2015-12-01 Cable Television Laboratories, Inc. DTCP certificate authentication over TLS protocol
US9037858B1 (en) * 2013-03-12 2015-05-19 Emc Corporation Distributed cryptography using distinct value sets each comprising at least one obscured secret value
US9032212B1 (en) * 2013-03-15 2015-05-12 Emc Corporation Self-refreshing distributed cryptography
US9628467B2 (en) * 2013-03-15 2017-04-18 Aerohive Networks, Inc. Wireless device authentication and service access
US20140281502A1 (en) * 2013-03-15 2014-09-18 General Instrument Corporation Method and apparatus for embedding secret information in digital certificates
WO2014202214A1 (en) * 2013-06-20 2014-12-24 Pharmathen S.A. Preparation of polylactide-polyglycolide microparticles having a sigmoidal release profile
US9521146B2 (en) * 2013-08-21 2016-12-13 Microsoft Technology Licensing, Llc Proof of possession for web browser cookie based security tokens
US10475018B1 (en) 2013-11-29 2019-11-12 Amazon Technologies, Inc. Updating account data for multiple account providers
JP6398308B2 (ja) * 2014-05-15 2018-10-03 株式会社リコー 情報処理システム、情報処理方法、及びプログラム
US9350545B1 (en) * 2014-06-30 2016-05-24 Emc Corporation Recovery mechanism for fault-tolerant split-server passcode verification of one-time authentication tokens
GB2530726B (en) * 2014-09-25 2016-11-02 Ibm Distributed single sign-on
US9674158B2 (en) * 2015-07-28 2017-06-06 International Business Machines Corporation User authentication over networks
US10509900B1 (en) 2015-08-06 2019-12-17 Majid Shahbazi Computer program products for user account management
KR102368614B1 (ko) * 2015-08-12 2022-02-25 삼성전자주식회사 인증 처리 방법 및 이를 지원하는 전자 장치
US9882901B2 (en) * 2015-12-14 2018-01-30 International Business Machines Corporation End-to-end protection for shrouded virtual servers
CN106341413A (zh) * 2016-09-29 2017-01-18 上海斐讯数据通信技术有限公司 一种portal认证方法及装置
KR101962349B1 (ko) * 2017-02-28 2019-03-27 고려대학교 산학협력단 인증서 기반 통합 인증 방법
EP3376421A1 (en) 2017-03-17 2018-09-19 Gemalto Sa Method for authenticating a user and corresponding device, first and second servers and system
US10116635B1 (en) * 2017-04-27 2018-10-30 Otis Elevator Company Mobile-based equipment service system using encrypted code offloading
US10891372B1 (en) 2017-12-01 2021-01-12 Majid Shahbazi Systems, methods, and products for user account authentication and protection
EP3791533A1 (en) * 2018-05-08 2021-03-17 Visa International Service Association Password based threshold token generation
EP3579595B1 (en) 2018-06-05 2021-08-04 R2J Limited Improved system and method for internet access age-verification
KR20210050525A (ko) * 2018-08-10 2021-05-07 티제로그룹, 인코포레이티드 분할 가능한 증권형 토큰
CN109922042B (zh) * 2019-01-21 2020-07-03 北京邮电大学 遗失设备的子密钥管理方法和系统
CN109698746B (zh) * 2019-01-21 2021-03-23 北京邮电大学 基于主密钥协商生成绑定设备的子密钥的方法和系统
US10862689B1 (en) * 2019-07-23 2020-12-08 Cyberark Software Ltd. Verification of client identities based on non-distributed data
CN111065097B (zh) * 2019-10-11 2021-08-10 上海交通大学 移动互联网中基于共享密钥的通道保护方法及系统
US11314876B2 (en) 2020-05-28 2022-04-26 Bank Of America Corporation System and method for managing built-in security for content distribution
US11652613B2 (en) * 2020-09-04 2023-05-16 Citrix Systems, Inc. Secure information exchange in federated authentication
US11343085B2 (en) * 2020-09-19 2022-05-24 International Business Machines Corporation Threshold encryption for broadcast content
US11792021B2 (en) 2021-06-11 2023-10-17 Humana Inc. Resiliency architecture for identity provisioning and verification
US11941266B2 (en) 2021-10-20 2024-03-26 Samsung Electronics Co., Ltd. Resource isolation in computational storage devices
CN113923056B (zh) * 2021-12-15 2022-03-15 天津联想协同科技有限公司 多网段网盘的匹配认证方法、装置、网盘及存储介质

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5706349A (en) * 1995-03-06 1998-01-06 International Business Machines Corporation Authenticating remote users in a distributed environment
JP3620138B2 (ja) * 1996-02-05 2005-02-16 松下電器産業株式会社 鍵共有システム
US5839119A (en) * 1996-09-27 1998-11-17 Xerox Corporation Method of electronic payments that prevents double-spending
US6185685B1 (en) * 1997-12-11 2001-02-06 International Business Machines Corporation Security method and system for persistent storage and communications on computer network systems and computer network systems employing the same
JPH11282982A (ja) * 1998-03-31 1999-10-15 Oki Electric Ind Co Ltd 利用者カード、通信端末機、通信サーバ、通信システム、および、通信システムの利用者認証方法
US6421768B1 (en) 1999-05-04 2002-07-16 First Data Corporation Method and system for authentication and single sign on using cryptographically assured cookies in a distributed computer environment
EP1264463A2 (en) 2000-03-17 2002-12-11 AT & T Corp. Web-based single-sign-on authentication mechanism
US20030115452A1 (en) * 2000-12-19 2003-06-19 Ravi Sandhu One time password entry to access multiple network sites
KR20020095815A (ko) 2001-06-15 2002-12-28 (주) 비씨큐어 인증서 기반의 전자 신분증 발급 시스템 및 방법
JP2003099403A (ja) * 2001-09-25 2003-04-04 Sony Corp 個人認証システム、個人認証方法、および個人情報収集装置、情報処理装置、並びにコンピュータ・プログラム
JP4148461B2 (ja) * 2003-01-15 2008-09-10 日本電信電話株式会社 匿名サービス提供方法とこの方法を実現するサーバ装置及びプログラム
JP2004334330A (ja) * 2003-04-30 2004-11-25 Sony Corp 端末機器、提供サーバ、電子情報利用方法、電子情報提供方法、端末機器プログラム、提供サーバプログラム、仲介プログラム、及び記憶媒体
KR100626341B1 (ko) 2003-05-12 2006-09-20 학교법인 호서학원 토큰을 이용한 무선 인증시스템과 그 인증방법
JP2005167412A (ja) * 2003-11-28 2005-06-23 Toshiba Corp 通信システム、通信システムで使用される通信端末及びサーバ装置、及び通信システムで使用される接続認証方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101510473B1 (ko) * 2008-10-06 2015-04-08 에스케이커뮤니케이션즈 주식회사 컨텐츠 제공자에 제공되는 회원 정보의 보안을 강화한 인증방법 및 시스템
KR101378520B1 (ko) * 2011-12-28 2014-03-28 경북대학교 산학협력단 위치 기반 의료 정보 제공 시스템 및 방법
WO2014137063A1 (ko) * 2013-03-08 2014-09-12 에스케이플래닛 주식회사 어플리케이션을 이용한 인증 방법, 이를 위한 시스템 및 장치
US10135809B2 (en) 2013-03-08 2018-11-20 Sk Planet Co., Ltd. Method, system and apparatus for authentication using application

Also Published As

Publication number Publication date
IL189131A0 (en) 2008-08-07
BRPI0615053A2 (pt) 2011-04-26
KR101265873B1 (ko) 2013-05-20
AU2006283634A1 (en) 2007-03-01
CN100580657C (zh) 2010-01-13
EP1917603B1 (en) 2018-09-19
RU2417422C2 (ru) 2011-04-27
EP1917603A1 (en) 2008-05-07
US7690026B2 (en) 2010-03-30
JP5009294B2 (ja) 2012-08-22
MX2008002504A (es) 2008-04-07
CN101243438A (zh) 2008-08-13
JP2009505308A (ja) 2009-02-05
ZA200801179B (en) 2009-06-24
CA2619420C (en) 2014-09-30
RU2008106779A (ru) 2009-08-27
CA2619420A1 (en) 2007-03-01
NO20080532L (no) 2008-05-21
IL189131A (en) 2011-10-31
WO2007024626A1 (en) 2007-03-01
ES2701873T3 (es) 2019-02-26
EP1917603A4 (en) 2015-01-21
US20070044143A1 (en) 2007-02-22

Similar Documents

Publication Publication Date Title
KR101265873B1 (ko) 분산된 단일 서명 서비스 방법
US20210058259A1 (en) Confidential authentication and provisioning
CN109088889B (zh) 一种ssl加解密方法、系统及计算机可读存储介质
RU2718689C2 (ru) Управление конфиденциальной связью
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
JP4617763B2 (ja) 機器認証システム、機器認証サーバ、端末機器、機器認証方法、および機器認証プログラム
US8413221B2 (en) Methods and apparatus for delegated authentication
US9137017B2 (en) Key recovery mechanism
US8130961B2 (en) Method and system for client-server mutual authentication using event-based OTP
US20120131331A1 (en) System And Method For End To End Encryption
US20080155267A1 (en) Identity management system with an untrusted identity provider
EP4096147A1 (en) Secure enclave implementation of proxied cryptographic keys
US20080155664A1 (en) Identity management system with an untrusted identity provider
EP4096160A1 (en) Shared secret implementation of proxied cryptographic keys
EP4145763A1 (en) Exporting remote cryptographic keys
CN111404680B (zh) 口令管理方法和装置
Corella et al. Strong and convenient multi-factor authentication on mobile devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160419

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170420

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180417

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190417

Year of fee payment: 7