KR20080053298A - 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 - Google Patents
접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 Download PDFInfo
- Publication number
- KR20080053298A KR20080053298A KR1020087006038A KR20087006038A KR20080053298A KR 20080053298 A KR20080053298 A KR 20080053298A KR 1020087006038 A KR1020087006038 A KR 1020087006038A KR 20087006038 A KR20087006038 A KR 20087006038A KR 20080053298 A KR20080053298 A KR 20080053298A
- Authority
- KR
- South Korea
- Prior art keywords
- server
- connection
- act
- computer system
- client computer
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2107—File encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명의 구현은, 접속 셋업 단계의 초기에 클라이언트와 서버를 인증함으로써, 적어도 일부, 클라이언트와 서버 간의 시큐어 접속을 능률적으로 확립한다. 서버와의 접속을 개시하는 클라이언트는 클라이언트에서 인에이블되는 시큐어 통신 프로토콜을 식별하고, 클라이언트가 서버에게 전송한 접속 요청에서의 이들 프로토콜을 식별한다. 서버는 메시지를 처리하여 그것이 접속에 적절하다고 여기는 통신 프로토콜로 응답한다. 이후 클라이언트와 서버는 적절한 인증 정보를 교환하고, 선택된 통신 프로토콜을 구현하는 접속 세션을 확립하고, 교섭된 통신 프로토콜로 메시지를 부호화한다. 추가의 구현은, 많은 접속 자원 오버헤드를 재할애할(recommit) 필요 없이, 가상의 인터넷 프로토콜 어드레스 후면에서 드롭된 접속을 재확립하는 것에 관한 것이다.
시큐어 통신, 시큐어 통신 프로토콜, 인증, 인증서
Description
컴퓨터화된 시스템이 점점 대중적으로 되어 감에 따라, 크고 작은 네트워크들에서 컴퓨터 시스템의 파일 및 처리 자원을 분산시켜야 할 필요성 또한 증가하고 있다. 일반적으로, 컴퓨터 시스템과 관련 장치들은, 퍼스널 전자 메시지를 교환하기 위해, 상품을 팔기 위해, 계정 정보를 제공하기 위해 등과 같이, 각종 이유로 네트워크를 통해 정보를 교환한다. 그러나, 컴퓨터 시스템과 관련 애플리케이션이 점점 복잡해짐에 따라, 네트워크상에서 데이터와 자원(예를 들면, "장치", "애플리케이션", 또는 "애플리케이션 컴포넌트")을 공유하는 것과 관련된 과제(challenge) 또한 증가한다는 것을 이해할 것이다.
네트워크 내에서 자원을 분산시키는 일부 현재의 방법들로는, 로컬에 자원이 설치되지 않은 하나 이상의 클라이언트와 자원을 공유하는, 중앙 집중형 네트워크 서버를 포함하는, 중앙 집중형 컴퓨팅 시나리오가 있다. 이러한 유형의 기능을 위해 사용된 이러한 하나의 프로토콜은 RDP(Remote Desktop Protocol)이다. 이 RDP로, 중앙 집중형 서버는, 네트워크상에서 원하는 데이터와 자원을 다른 클라이언트들과 공유할 수 있다. 일부 경우, 클라이언트는, 이들 자원들이 마치 로컬에 설치 되어 있는 것과 같이 이 자원들과 상호작용할 수 있다(예를 들면, 마우스 및 키보드 이벤트 등을 전송함). 클라이언트 컴퓨터 시스템과 네트워크 서버 간의 이러한 상호작용은, 클라이언트 컴퓨터 시스템이 마치 그에 설치된 자원으로 데이터를 로컬로 처리한 것처럼 끊임없이(seamlessly) 일어나는 것이 이상적이다.
사용자가 중앙 집중형 서버로의 접속을 개시할 때, 사용자의 클라이언트 컴퓨터 시스템은, 궁극적으로 사용자가 서버 컴퓨터 시스템에 로그인하게 하는, 일련의 프로토콜 교환을 개시한다. 이러한 교환들의 일부는, 시큐어 네트워크 접속의대부분의 유형에 내재하는, 표준 접속의 신호 변경(handshake) 오버헤드이다. 이 오버헤드의 많은 부분이, 사용자가 퍼스널 자격 증명(personal credentials)(예를 들면, 사용자 이름 및 패스워드)으로 인증하는 기회를 가지기도 전의, 클라이언트 컴퓨터 시스템과 중앙 집중형 서버 간의 최초(initial) 접속을 셋업하는 것의 일부이다. 예를 들면, 일부 경우, 사용자에게 로그인 스크린이 제시되기도 전에 중앙 집중형 서버와의 클라이언트 로그인의 일부로 발생하는 16번만큼의 서로 다른 교환이 있을 수 있다. 그 결과, 중앙 집중형 서버와 클라이언트 컴퓨터 시스템은, 통상적으로, 사용자가 인증하는 기회를 실제로 갖기도 전에, 사용자 접속 세션을 생성하기 위해 접속 처리 자원의 상당한 양을 할애한다.
사용자 인증에서의 이러한 관련된 지연으로 인해, 클라이언트/서버 상호작용에 많은 어려움들이 있을 수 있다. 특히, 이러한 유형의 접속 셋업의 문제점들 중 하나는, 인가된 사용자들만이 결국 완전히 인증될 수 있음에도 불구하고, 누구든지 서버로의 접속을 개시할 수 있다는 것이다. 이러한 최초 접속 오버헤드로 인해, 조심성 없는 에이전트가 중앙 집중형 서버에 과부하를 주고 이를 손상시킬 의도로 여러 접속 요청을 개시하는 경우와 같은, 일부 유형의 서비스 거부(Denial of Service, DOS) 공격에 중앙 집중형 서버가 부담을 가질 수도 있다.
이와 같은 접속 시나리오에서 생길 수 있는 또 다른 잠재적 문제점은, 클라이언트와 서버의 접속이 끊어지게 되었을 때 어려움이 있을 수 있다는 것이다. 특히, 통상적으로, 본래의 접속 셋업이 보존되는 경우는 거의 없으므로, 클라이언트 컴퓨터 시스템과 서버는 접속을 재확립할 필요가 있을 것이고, 이것은 이전에 셋업된 오버헤드 시퀀스를 다시 시작함을 의미한다. 이것은, 무선 접속과 같은 변동하는 강도의 접속을 사용하는 클라이언트 컴퓨터 시스템에 문제를 일으킬 수 있으며, 클라이언트 컴퓨터 시스템의 의도된 끊임없는 경험을 방해할 수 있다.
이것은 또한, 클라이언트 컴퓨터 시스템이 서버 팜(server farm)을 통해 중앙 집중형 서버에 접속하고자 하는 상황에서 문제점을 발생시킬 수 있다. 예를 들면, 한 조직은 부하 균형(load balancing) 문제를 공유하기 위해 서버들의 그룹(즉, "서버 팜")을 구성하는 동시에, 하나의 가상 인터넷 프로토콜 어드레스(Virtual Internet Protocol address:VIP)를 통해 어드레스가능하다. 그러나, 클라이언트 컴퓨터 시스템이 서버 팜과의 접속이 끊겼을 때, 클라이언트 컴퓨터 시스템은, 자신과의 접속을 처리하고 있는, 서버 팜 내의 서버에 대한 특정 네트워크 어드레스 대신, VIP만을 알고 있다. 따라서, 클라이언트 컴퓨터 시스템은, 일부 어려움 없이는, 이전에 확립된 통신 설정을 이용하여 중앙 집중형 서버에 자동으로 재접속할 수 없으며, 통신을 계속하기 위해서는, 통상적으로, 일반적인 접속 프로 토콜 교환 전부를 다시 시작해야 할 것이다.
따라서, 특히, 중앙 집중형 컴퓨팅 환경을 처리하는 현재의 접속 개시 프로토콜들에서, 해결될 수 있는 많은 어려움이 있다.
본 발명의 구현은, 이전에 가능했던 것보다 더 안전하게 시큐어 클라이언트 서버 통신에서 자격 증명 정보(credential information)를 확립하도록 구성된 시스템, 방법 및 컴퓨터 프로그램 제품으로, 당분야의 하나 이상의 문제점을 해결한다. 특히, 본 발명의 구현은, 서버가 상당한 양의 접속 자원을 할당할 필요가 없는 시점에서의 인증 정보 교환을 제공한다. 또한, 본 발명의 구현은, 통상적인 1 대 1 클라이언트/서버 접속에서든, 또는 가상 IP 어드레스 후면(behind)의 여러 서버의 서버 팜과 하나의 클라이언트 간에서든, 이미 끊겼던 시큐어 접속을 일관성 있게 재확립할 수 있도록 쉽게 적응될 수 있다.
예를 들면, 접속 프로세스의 비교적 초기에 클라이언트 컴퓨터 시스템과의 시큐어 접속을 생성하는 네트워크 서버 관점으로부터의 방법은, 네트워크 서버의 하나 이상의 원격 서버 자원과 통신하고자 하는 원격 클라이언트로부터의 접속 요청을 수신하는 단계를 포함한다. 일반적으로, 접속 요청은, 원격 클라이언트가 인에이블되는 복수의 시큐어 통신 프로토콜을 나타낸다. 본 방법은 또한, 원격 클라이언트로 접속 응답을 전송하는 단계를 포함하며, 이때, 접속 응답은, 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타낸다. 또한, 본 방법은 바람직한 시큐어 통신 프로토콜의 사용과 원격 클라이언트와의 인증 인증서의 교환을 확인하는 단계뿐만 아니라, 이 바람직한 시큐어 통신 프로토콜을 통해 원격 클라이언트의 원격 클라이언트 자원과 데이터를 통신하는 단계를 포함한다.
네트워크 서버와 시큐어 접속을 생성하는 클라이언트 컴퓨터 시스템 관점으로부터의 방법은, 클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜의 기능들을 식별하는 단계를 포함한다. 본 발명은 또한, 네트워크 서버와 복수의 시큐어 통신 프로토콜의 기능들 중 바람직한 하나를 교섭하는 단계를 포함한다. 이와 같이, 클라이언트와 네트워크 서버는 서로에게 바람직한 시큐어 통신 프로토콜을 식별한다.
또한, 본 발명은, 이 바람직한 시큐어 통신 프로토콜을 이용하여 네트워크 서버의 원격 서버 자원과 인증 정보를 통신함으로써 각각의 아이덴티티를 확인하는 단계를 포함할 수 있다. 일반적으로, 클라이언트는 자기 자신의 인증 정보를 전송할 수 있고, 클라이언트는 서버로부터 인증 인증서를 수신할 것이다. 서버 인증서는 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신한 인증서 중 임의의 하나를 포함할 수 있다. 본 발명은, 바람직한 시큐어 통신 프로토콜을 이용하여 통신된, 하나 이상의 초기 데이터 패킷으로, 네트워크 서버의 아이덴티티를 확인하는 단계를 더 포함할 수 있다.
본 요약은 이하의 발명의 상세한 설명에서 더 기술될 엄선된 개념들을 단순화된 형태로 소개하기 위해 제공된 것이다. 본 요약은 청구된 내용의 중요 특징들 또는 핵심 특징들을 식별하고자 하는 것이 아니며, 또한, 청구된 내용의 범위를 결정하는 것을 돕기 위해 사용되고자 하는 것도 아니다.
본 발명의 추가의 특징 및 이점들은 이하의 설명에 설명될 것이며, 일부분은 이하의 설명으로부터 명백할 것이며, 또는, 본 발명의 실시에 의해 학습될 수 있다. 본 발명의 특징 및 이점들은 첨부된 청구항에서 특별히 지적된 도구와 조합에 의해 실현되고 획득될 수 있다. 본 발명의 이들 및 기타 특징들은 이하의 설명과 첨부된 청구항으로부터 완전히 명백하게 될 것이며, 이하에 설명될 본 발명의 실시예에 의해 학습될 것이다.
도 1a는, 본 발명의 구현에 따른, 클라이언트 컴퓨터 시스템과 네트워크 서버 간의 보안 교섭에 관한 전반적인 개략도.
도 1b는, 본 발명의 구현에 따라, 궁극적으로 시큐어 채널을 확립하기 위해, 클라이언트 컴퓨터 시스템과 네트워크 서버가 시큐어 채널을 교섭하고, 인증 정보를 교환하는 도 1a의 개략도.
도 1c는, 본 발명의 구현에 따라, 클라이언트 컴퓨터 시스템과 네트워크 서버가 보안 프로토콜 기능 및/또는 선택을 확인하는 방식으로 데이터를 교환하는, 도 1a 및 도 1b에 대한 개략도.
도 1d는, 도 1a 내지 도 1c에 도시된 네트워크 서버가 서버 팜의 일부이고, 클라이언트 컴퓨터 시스템과 네트워크 서버가 접속을 드롭한(drop) 후 재접속을 시도하는, 본 발명의 실시예에 따른 또 다른 개략도.
도 2는 본 발명의 실시예에 따른, 시큐어 네트워크 접속을 개시하기 위한, 클라이언트 컴퓨터 시스템과 네트워크 서버의 관점으로부터의 흐름도.
본 발명의 구현은, 이전에 가능했던 것보다 더 안전하게 시큐어 클라이언트 서버 통신으로 자격 증명 정보를 확립하도록 구성된 시스템, 방법 및 컴퓨터 프로그램 제품에 관한 것이다. 특히, 본 발명의 구현은, 서버가 상당한 양의 접속 자원을 할당할 필요가 없는 시점에서 인증 정보의 교환을 제공한다. 또한, 본 발명의 구현은, 끊어졌던 시큐어 접속(이것이 통상적인 1 대 1 클라이언트/서버 접속이든지, 또는 가상 IP 어드레스 후면에서의 다수 서버인 서버 팜과 하나의 클라이언트 간의 접속이든지 간에)의 일관된 재확립을 허용하도록 쉽게 적응될 수 있다.
따라서, 그리고, 이하의 설명 및 청구항으로부터 완전히 이해되는 바와 같이, 이들 원리의 적어도 하나의 이점은, 클라이언트 또는 컴퓨터가 반드시 소정의 유형의 DOS 공격을 당하지 않고서도 시큐어 네트워크 접속을 확립할 수 있다는 점이다. 예를 들면, 클라이언트 컴퓨터 시스템과 네트워크 서버는, 접속 세션을 생성한 후가 아니라, 요청 및 응답 메시지의 초기 집합에서와 같은 인터랙티브 로그온 접속 시퀀스의 초기에 보안 및 자격 증명 정보를 교환할 수 있다. 또한, 본 발명의 구현은, 교섭된 시큐어 통신 프로토콜로 이어서 통신할 때, 클라이언트와 서버에서 확인될 요청 및 응답 메시지를 제공한다. 따라서, 클라이언트와 서버는, 초기에 인증 정보를 제공하지 않거나 또는 접속 생성 시의 하나 이상의 확인 단계(phase)에서 실패하는, 부적당한(unqualified) 요청 엔티티에 상당한 자원을 할당하는 것을 피할 수 있다.
예를 들면, 도 1a는 본 발명의 구현에 따른, 클라이언트 컴퓨터 시스템과 네 트워크 서버 간의 보안 교섭에 관한 개략적인 개략도이다. 도시된 바와 같이, 클라이언트(100)는 원격 클라이언트 애플리케이션(105)을 포함한다. 일반적으로, 원격 클라이언트 애플리케이션(이것은 또한 본 명세서에서 "원격 자원" 또는 "원격 클라이언트 자원"이라 지칭됨)은 또 다른 원격 애플리케이션 또는 관련된 컴포넌트(예를 들면, 원격 서버 애플리케이션(140))에 접속할 수 있고 데이터를 공유할 수 있는 애플리케이션 또는 관련 컴포넌트이다. 예를 들면, 한 구현에서, 원격 클라이언트 애플리케이션(105)은, 시큐어 접속 세션을 확립한 후, 네트워크 서버의 MICROSOFT TERMINAL SERVICES 애플리케이션과 궁극적으로 접속하기 위해 "RDP(Remote Desktop Protocol)"을 사용하는, MICROSOFT TERMINAL SERVICES이다. 이러한 경우, 원격 클라이언트 자원은 소정의 애플리케이션 기능(예를 들면, 워드 프로세싱, 스프레드시트 등)을 제공하기 위해 서버 자원을 액세스할 수 있으며, 이후, 소정의 애플리케이션 기능은 클라이언트 컴퓨터 시스템(100)의 디스플레이 스크린(도시 생략)에 디스플레이된다.
도 1a는, 또한, 원격 클라이언트 애플리케이션(105)이 보안 옵션 컴포넌트(120) 뿐만 아니라 자격 증명 관리자(credential manager)(109)와 인증서 저장소(certificate store)(110)와 통신하고 있음을 도시하고 있고, 이들은 이하에 상세히 설명될 것이다. 일반적으로, 보안 옵션 컴포넌트(120)는, 클라이언트 컴퓨터 시스템(100)에서 인에이블되는(예를 들면, 설치될 수 있거나, 또는 활성인) 모든 시큐어 통신 프로토콜의 리스트(예를 들면, 시스템 구성 테이블)이다. 이 시큐어 통신 프로토콜의 리스트에는, 임의의 개수의, 공지되고 사용가능한 이러한 프로토 콜들이 포함되어 있다. 그럼에도 불구하고, 도 1a에는, 클라이언트(100)의 보안 옵션 컴포넌트(120)가, 예를 들면, "SSL(Secure Socket Layer)" 컴포넌트(130)와 "Cred-SSP(Credential-Security Service Provider, 이는 또한 "Credential-Security Support Provider"라 공지되어 있음)" 컴포넌트(135)를 포함하고 있는 것을 도시하고 있다. Cred-SSP 컴포넌트(135)는, SSL, NTLM(WINDOWS NT LAN MANAGER) 및 Kerberos와 같은 기타 시큐어 통신 프로토콜들의 양태들을 하나로 묶는, 비교적 새로운 WINDOWS SSP(security service provider)이다. 도시되지는 않았지만, 클라이언트(100)는 또한 레거시(Legacy) RDP 보안 인프라스트럭쳐를 사용하도록 구성될 수 있다.
설명을 위해, 컴포넌트들(125, 130 및 135)이 MICROSOFT 운영 체제 환경에서 사용되는 것으로 알려진 시큐어 통신 프로토콜(또는 인프라스트럭쳐 - 예를 들면, 레거시 RDP)로서 도시되었지만, 당업자들은 본 명세서에 약술된 원리가 특정 유형의 시큐어 통신 프로토콜에 제한되지 않으며, 또한, 특정 운영 체제 환경 또는 특정 애플리케이션에 제한되지 않음을 이해할 것이다. 즉, 본 명세서에 기술된 원리는 관련된 기타 시큐어 클라이언트/서버 또는 공유 애플리케이션 및 해당 통신 프로토콜에 쉽게 적용될 수 있으며, 임의의 기타 운영 체제 환경에서도 즉시 구현될 수 있다. 따라서, MICROSOFT 운영 환경에서 통상적으로 이용되는 명칭에 대한 특정 상술은 주로 설명을 편리하게 하기 위함이다.
여하튼, 도 1a는 또한 원격 클라이언트 애플리케이션(105)이 인증 인터페이스(103)를 통해 클라이언트 자격 증명(예를 들면, 사용자 이름 및 패스워드(107)) 을 수신할 수 있음을 도시한다. 예를 들면, 원격 클라이언트 애플리케이션(105)을 개시하라는 소정의 사용자 입력으로부터의 요청을 수신하거나 또는 컴퓨터 시동시에서와 같은 일반적인 로그인 요청을 수신하면, 클라이언트(100)는 사용자에게 인증 인터페이스(103)를 제시한다. 인증 인터페이스(103)는 사용자에게 사용자 이름 및 패스워드, 스마트 카드 또는 일부 다른 인증 정보와 같은 것을 제시할 것을 요청한다. 사용자에 의해 제공된 이들 및 다른 클라이언트 인증 정보는 예를 들면, 자격 증명 관리자(109)에 저장될 수 있다. 클라이언트 인증 정보의 다른 유형은, 스마트 카드 및 PIN(Personal Idendification Numbers)과 같은 것을 포함할 수 있다.
일부 경우, 클라이언트(100)는 또한, 클라이언트 증명서 저장소(110)에 저장되는 클라이언트 증명서(113)의 형태인 인증 정보를 지닐 수 있다. 그러나, 보다 통상적으로, 인증 객체로서의 증명서는 서버(150)에 의해 사용되며, 이는 이하에 더 상세하게 설명된다. 일반적으로, 일부 형태의 입력으로부터 생성되고 증명서 저장소에 저장되어 궁극적으로 사용자 또는 컴퓨터 시스템을 식별하는 데에 사용될 수 있는, 많은 다른 종류의 보안 증명서들이 있다. 일부 경우, 증명서는 단지 암호화 키를 제공하기 위한 플레이스홀더(placeholder)일 뿐일 수 있다. 그럼에도 불구하고, 일부 유형의 증명서들은, 제3자에 의해 배서될(endorse) 필요가 없이 생성자에 의해 서명된 본질적으로 디지털 서명인, "자체 서명 증명서(self-signed certificates)"를 포함한다.
다른 유형의 증명서로는, 사용자가 서버를 액세스하여 자신이 생성했던 바람 직한 증명서를 수동으로 설치하는, 수동 설치 증명서가 있다. 또 다른 유형의 증명서로는, 승인된 인증 기관(recognized authenticating party)에 의해 배서된 디지털 서명과 같은, 제3자 증명서 서버 배서 인프라스트럭쳐를 통해 수신한 것이 있다. 여하튼, 이러한 유형의 증명서들 중 임의의 것이 또는 그 모든 것이 소정의 때에 증명서 저장소(110)(또는 저장소(115))에 저장될 수 있다. 그럼에도 불구하고, 도 1a는 증명서 저장소(110)가 증명서(113)를 보유하고 있음을 도시하고 있고, 이하에 더 상세히 설명되는 바와 같이, 증명서 저장소(110)는 궁극적으로 서버(150)로부터 전송된 서버 증명서(117)(예를 들면, 도 1b 내지 도 1c에 있음)를 보유할 것이다.
원격 클라이언트 애플리케이션(105)의 사용자가 서버(150)와의 시큐어 인터랙티브 로그온 접속을 개시하고자 하는 경우, 클라이언트 애플리케이션(105)은 우선 내부 보안 탐지를 수행할 수 있다. 예를 들면, 클라이언트 애플리케이션(105)은 보안 옵션 컴포넌트(120)의 사용가능하며 인에이블된 시큐어 통신 프로토콜들 각각을 식별할 수 있다. 이후, 클라이언트 애플리케이션(105)은, 시큐어 네트워크 통신에서 각각 사용될 수 있는 최소한의 컴포넌트들(125, 130 및 135)이 있음을 식별할 수 있다. 클라이언트 애플리케이션(105)은, 또한, 일부 환경에서 사용하는 것을 더 선호할 수도 있는 레거시 RDP 인프라스트럭쳐와 같은 기존의 보안 인프라스트럭쳐를 탐지할 수 있다.
이후, 원격 클라이언트 애플리케이션(105)은, 식별된 서로 다른 시큐어 통신 프로토콜들(즉, 참조번호(125, 130, 135 등)) 또는 관련된 보안 인프라스트럭쳐 각 각을 나타내는, 접속 요청 메시지(137)를 작성한다(prepare). 접속 요청 메시지(137)는, 인터랙티브 로그온에서 일반적으로 행해지는 것과 같이, 특정 자원으로의 액세스를 요청하지 않는, 일반적인 접속 요청일 수 있음을 주목한다. 그러나, 당업자들은 본 발명의 원리가, 서버(150)의 특정 자원으로 향하는 로그온 접속 요청에 또한 적용될 수 있음을 이해할 것이다. 그럼에도 불구하고, 접속 요청(137)은, 식별된 다른 시큐어 통신 프로토콜들(즉, "클라이언트 기능(capabilities)")을 포함하도록 확장되는, 적어도 하나의 구현에서의 "X224" 접속 요청 메시지일 수 있다. 이후, 원격 클라이언트 애플리케이션(105)은 네트워크를 통해, 궁극적으로는 원격 서버 애플리케이션(140)으로 접속 요청(137)을 전송한다.
대안의 실시예에서, 클라이언트(100)는 X224 접속 요청 메시지를 작성하는 대신, SSL을 이용하여 서버 측의 Cred-SSP(175)로 직접 메시지(137)를 전송한다. 이후 서버(150)는 메시지(137)의 하나 이상의 초기 패킷에 있는 SSL 및 Cred-SSP 표시를 식별한다. 일부 경우, 이를 이용하여, 클라이언트(100)와 서버(150)는, 직접 전송이 아닐 경우에서의 X224 접속 요청과 응답 메시지의 생성과 관련한 일부 오버헤드 없이, 좀 더 신속하게 보안 협상 단계를 완료할 수 있다.
여하튼, 메시지(137)가 X224 또는 다른 관련된 방법을 이용하여 전송되며, 원격 서버 애플리케이션(140)이 메시지(137)를 수신하여 처리한다고 가정한다. 이후, 서버(150)는 클라이언트(100)에 의해 제안된 시큐어 통신 기능들을 식별하고, 적절한 시큐어 통신 프로토콜(또는 보안 인프라스트럭쳐)을 선택한다. 예를 들면, 도 1a는, 애플리케이션(140)의 결정 모듈(145)을 통해, 서버(150)가 SSL 컴포넌 트(170) 및/또는 Cred-SSP 컴포넌트(175) 중 임의의 것으로 인에이블될 수 있음을 또한 도시하고 있다. 도시되지는 않았지만, 서버(150)는 또한 레거시 RDP 보안 인프라스트럭쳐로도 인에이블될 수 있다. 한 실시예에서, 결정 모듈(145)은, 어느 측면에서는 클라이언트 측 컴포넌트(120)와 유사한, 서버 측 보안 옵션 컴포넌트(예를 들면 컴포넌트(160))를 리뷰함으로써, 특정 시큐어 통신 프로토콜의 사용을 결정한다. 물론, 서버(150)는 클라이언트(100)에 제시된 것보다 더 많은 수 또는 더 작은 수의 시큐어 통신 프로토콜로 인에이블될 수 있다. 이런 경우, 결정 모듈(145)은 클라이언트(100)에 공통인 이들 통신 프로토콜을 식별하여, 바람직한 통신 프로토콜(또는 인프라스트럭쳐)을 고를 수 있다.
결정 모듈(145)은, 시스템 설정, 네트워크 관리자 또는 다른 사용자 환경 설정 및/또는 기타 네트워크 상태를 비롯한(그러나 이에 제한되지 않음) 임의의 개수의 요소에 기초하여 결정을 내릴 수 있다. 그러나, 도 1a에서는 원격 서버 애플리케이션(140)이 Cred-SSP 시큐어 통신 프로토콜(139)을 이용하여 통신하기로 했음을 도시하고 있다. 특히, 도 1a는, 서버(150)가 Cred-SSP(클라이언트(100) 및 서버(150)의 컴포넌트(135) 및 컴포넌트(175))를 이용하여 통신하기를 원한다는 표시를 포함하는 접속 응답 메시지(139)를 원격 서버 애플리케이션(140)이 작성하는 것을 도시한다. 한 구현에서(예를 들면, 메시지(137)는 X224 접속 메시지임), 접속 응답 메시지(139)는 또한 X224 포맷의 접속 응답 메시지이다. 이후, 서버(150)는 메시지(139)를 클라이언트(100)에게 전송하고, 클라이언트(100)가 이를 수신함으로써 요청된 접속의 초기 보안 교섭 단계가 완료된다.
메시지(139)에 바람직한 시큐어 통신 프로토콜의 표시가 포함되어 있지 않을 경우, 클라이언트(100)는, 서버(150)가, 상술된 보안 교섭 단계를 수행할 수 없는 오래된 서버라는 것을 식별할 수 있다. 이러한 경우, 클라이언트(100)는 간단히 접속을 드롭하고(drop), 사용자에게 추가의 액션을 프롬프트하거나(prompt), 또는 클라이언트(100)가 보기에 서버(150)가 이해할 수 있다고 생각되는 디폴트 보안 통신 프로토콜로 조정할 수 있다. 다른 결정에서와 같이, 이 디폴트 설정은, 사용자, 네트워크 관리자 또는 기타 시스템 전반에 걸친 디폴트 설정 중 임의의 것에 기초할 수 있다. 한 구현에서, 시큐어 통신 프로토콜의 환경 설정에 대한 표시 없이 접속 응답 메시지(139)를 수신하게 되면, 원격 클라이언트 애플리케이션(105)은 RDP 통신 프로토콜을 디폴트로 설정한다.
상술된 보안 교섭 단계의 완료 후, 도 1b는 클라이언트 컴퓨터 시스템(100)과 서버(105)가 시큐어 통신 프로토콜을 셋업할 수 있음을 도시하고 있다. 이 특정 예에서, 클라이언트(100)와 서버(150)는, 서로에게 얘기하기 위해, 그 각각의 통신 스택의 보안 계층에 있는 각각의 "Cred-SSP" 컴포넌트를 이용하여, 시큐어 통신 채널을 개시한다. 이것은, 클라이언트(100)의 Cred-SSP 컴포넌트(135)가 서버(150)의 Cred-SSP 컴포넌트(175)와 통신하고 있음을 의미한다(예를 들면, 도 1b의 점선 모양의 양쪽 화살표도 도시되어 있음). 예를 들면, 도 1b는, 원격 클라이언트 애플리케이션(105)이 원격 서버 자원, 즉, 원격 서버 애플리케이션(140)으로 전송될 메시지(167)를 작성하고 있는 것을 도시한다. 이 경우, 메시지(167)는 사용할 하나 이상의 시큐어 채널들(예를 들면, 채널(163))의 제안을 포함한다. 이 후, 서버(100)는 메시지(167)를 리뷰하고, 제안된 채널들 중 어느 것을 사용할지를 결정한다. 이후, 서버(150)는 클라이언트(100)에 의해 제안된 채널들 중 하나(예를 들면, 채널(163))를 사용함을 확인하는 확인 메시지(169)를 전송한다.
클라이언트(100)와 서버(150)는 또한 인증 정보를 교환하여 교섭된 시큐어 채널(예를 들면, 이 경우 채널(163))의 셋업을 마무리한다(finalize). 예를 들면, 도 1b는, 클라이언트(100)가 또한 클라이언트 인증 정보(168)를 (메시지(167)와 함께 또는 바로 뒤에) 서버(150)로 전송하고, 서버(150)도 서버 인증 정보(171)로 응답하는 것을 도시한다. 클라이언트 인증 정보는, 사용자 이름 및 패스워드(107), 스마트 카드 및 PIN(111), 및 일부 경우 클라이언트 인증서(113)와 같은, 각종 인증 메커니즘을 포함할 수 있다.
이와는 대조적으로, 서버 인증 정보(171)는 또한, 예를 들면, 특별히 선택된 서버 인증서 뿐만 아니라 Kerberos 계정의 자격 증명 및/또는 티켓(ticket)과 같은, 각종 인증 메커니즘을 포함할 수 있다. 서버(150)에서, 결정 모듈(145)은, 사용가능한 서버 인증서들 중 어느 것을 사용하는지에 관해 결정을 내린다. 한 구현에서, 결정 모듈(145)은 서버 관리자에 의해 선택된 인증서를 선호하여, 서버(150) 시스템 설정이 인증서에 대한 환경 설정을 나타내는지 여부를 점검하도록 구성된다. 서버 관리자 그리고 서버(150) 둘 다 인증서 환경 설정을 표시하지 않은 경우, 결정 모듈(145)은 서버(145)로 하여금 메시지(171)용의 자체 서명 인증서를 스스로 생성하게 한다. 여하튼, 원격 서버 애플리케이션(145)은 메시지(171)를 작성하고, 선택된 보안 컴포넌트(즉, Cred-SSP(175))는 결정된 서버 증명서를 메시 지(171) 내로 삽입할 수 있다. 이후, 서버(150)는 교섭된 시큐어 채널(예를 들면, 참조번호(163))을 통해 메시지(171)를 전송하고, 서버 증명서(117)의 사본을 클라이언트 측 증명서 저장소(110)에 둔다.
당업자들은, 클라이언트에 의해 또는 서버에 의해 전송된 인증이 수신 측에서 거부될 수 있음을 이해할 것이다. 여기에는, 수신 측에 의해 무효한 것(invalidaty)으로 결정되는 겅우, 인증의 타임 스탬프의 기간이 만료된 경우, ID 정보와 초기 접속 셋업 메시지(137, 139)에서 제공된 ID 정보 간의 모순 등을 비롯한 거부와 같은, 여러 이유가 있을 수 있다. 이러한 경우, 대응하는 수신 애플리케이션(예를 들면, 참조번호(105, 140)) 각각에 의해 사용되는 보안 컴포넌트(예를 들면, Cred-SSP(135, 175))는 거부 이유에 기초하여 특정 액션을 수행하도록 구성될 수 있다. 예를 들면, 결정 모듈(115) 또는 결정 모듈(145)은, 그 구성 설정을 참고하여(consult) 새 인증서를 요청하고, 그 접속을 드롭하고, 사용자에게 추가의 액션을 프롬프트하는 등을 할 수 있다. 일부 경우, 적절한 액션은, 애플리케이션이 이러한 유형의 문제를 해결하기 위해 어떻게 구성되어 있는지를 지시하는(dictate), 사용자 환경 설정 또는 디폴트 시스템 설정에 의존할 수 있다.
여하튼, 일단 클라이언트(100)와 서버(150)가 시큐어 채널 셋업(즉, 시큐어 채널을 교섭하고, 인증을 전송하고, 수신하고 이를 수락하는 것)을 완료하면, 클라이언트(100)와 서버(150)는 사용자 접속 세션을 확립하여, 데이터 패킷의 전송을 시작할 수 있다(예를 들면, 도 1c 참조). 그 결과, 도 1a 및 도 1b는, 클라이언트(100)와 서버(150)가 소정의 사용자 접속 세션을 확립하기 전에 서로를 인증하는 것을 도시한다. 이러한 초기의 인증은 각종 이점을 제공할 수 있는데, 그 중 적어도 일부는 DOS 공격을 완화하는데 사용될 수 있다. 예를 들면, 클라이언트로부터 수신된 접속 요청 메시지들(예를 들면, 참조번호(137, 167, 168))의 초기 집합이 적절한 클라이언트 인증 정보를 포함하지 않거나 또는 클라이언트의 보안 기능들의 표시를 포함하지 않는 경우, 서버(150)는 간단히 그 접속 요청을 드롭함으로써 임의의 접속 처리 오버헤드를 커밋하는 것을 피하도록 구성될 수 있다.
시큐어 채널 셋업을 위한 이들 초기의 접속 요청 및 응답 외에, 도 1c는, 클라이언트(100)와 서버(150)가 시스템의 보안 기능을 증가시키는 추가의 메시지를 전송하는 것을 도시한다. 예를 들면, 클라이언트(100)와 서버(150)는, 보안 프로토콜에서의 선택을 확인하고, 또한, 사용자 접속 세션 동안 데이터 패킷의 초기 집합을 교환할 때 서로를 추가로 인증한다. 특히, 도 1c는, 클라이언트 애플리케이션(105)이 메시지(177)를 작성하는 것을 도시하며, 이 메시지는 원격 애플리케이션 프로토콜(예를 들면, RDP)에 따라 포맷된 데이터를 포함하고, 원격 서버 애플리케이션(150)에 의해 처리되었으면 하고 클라이언트(100)가 의도하는 메시지이다. 도 1c에서는, 메시지(177)가 또한 그에 첨부된 메시지들(137 및/또는 139) 중 임의의 것을 포함할 수 있음을 또한 도시하는데, 이들은, 초기 인증에서 선택된 보안 프로토콜이 실제로 클라이언트 및 서버가 선택하고자 한 것이며 이는 또 다른 측에 의해 함부로 변경되지 않았음을 확인한다.
메시지(177)를 수신하면, 원격 서버 애플리케이션(140)은 대응하는 데이터의 처리를 시작할 수 있다. 그러나, 일부 실시예에서는, 원격 서버 애플리케이 션(140)은 첨부된 메시지들 중 임의의 것이 서버(150)가 기대하는 것과 일치한다는 것을 확인하기 전까지는 메시지(177) 데이터의 처리를 시작하지 않는다. 그럼에도 불구하고, 도 1c는, 메시지(177)를 수신하면, 원격 서버 애플리케이션(140)이 원격 애플리케이션 프로토콜(예를 들면, RDP) 데이터 패킷으로서 또한 포맷된 응답 메시지(179)를 작성하는 것을 도시한다. 또한, 도 1c는, 마찬가지로, 보안 프로토콜을 협상할 때, 서버(150)에 의해 제안된 기능들을 확인하기 위한 한 방법으로서, 메시지(179)가 그에 첨부된 메시지들(137 및/또는 139) 중 임의의 것을 포함할 수 있음을 도시한다.
수신 시, 원격 클라이언트 애플리케이션(105)은 메시지(179)에 포함된 데이터를 처리한다. 그러나, 대안의 실시예에서는, 상술된 바와 같이, 원격 클라이언트 애플리케이션(105)은 우선, 메시지(179)에 포함된 정보(예를 들면, 첨부된 메시지 또는 기타)가 데이터를 처리하기 전에 클라이언트(100)가 기대하는 것인지를 검증할 수 있다. 기대되는 정보가 없을 경우, 클라이언트(100)는 그 접속을 드롭하고, 사용자에게 추가의 액션을 프롬프트하고, 및/또는 새 접속 요청을 전송할 수 있다. 마찬가지로, 메시지(179)에 포함된 정보가 기대했던 것과 여러 가지 점에서 다른 경우, 클라이언트(100)는 그 접속을 드롭하고, 서버로부터의 정정을 요청하거나 또는 간단히 새 접속 요청을 시작하여 새 접속 요청을 행할 수 있다(예를 들면, 도 1a 참조).
클라이언트(100)와 서버(150)가 적절하게 시큐어 통신 채널을 교섭하여 이를 셋업했고, 교섭된 프로토콜을 확인하고, 그 각각의 아이덴티티를 확인했으며, 대응 하는 애플리케이션들(105 및 140)이 선택된 시큐어 통신 프르토콜을 이용하여 계속 통신할 수 있다고 가정해보자. 예를 들면, 클라이언트(100)의 애플리케이션(105)은, 마우스 또는 키보드 명령과 같은 사용자 선택 이벤트를 수신하고, 포맷하고(예를 들면, RDP), 이를 전송하고, 그리고 원격 서버 애플리케이션(140)은 이들 이벤트를 처리하고, 대응하는 응답 데이터를 시큐어 채널(163)을 통해 클라이언트(100)로 전송할 수 있다. 이 통신은 무한히, 또는 통신 당사자 중의 한쪽이 의도적으로 또는 부주의하게 채널(163)을 닫을 때까지 일어날 수 있다. 따라서, 이하의 표는 상술된 바와 같은 이 초기 셋업 프로세스의 구현을 약술한다.
클라이언트(100) | 서버(150) |
지원되는 프로토콜을 식별함(예를 들면, 도 1a의 참조번호(115)를 통해) | |
사용가능한 프로토콜과 함께 X224 접속 요청을 송신함(예를 들면, 참조번호(137)) | |
알려진 클라이언트의 프로토콜 중 어떤 것이 사용가능한지를 식별함(예를 들면, 도 1a의 참조번호(145)를 통해) | |
바람직한 보안 프로토콜로 X224 접속 응답을 전송함(예를 들면, 도 1a의 참조번호(139)) | |
시큐어 채널 셋업을 개시함(예를 들면, 도 1b의 참조번호(167)) | |
시큐어 채널 셋업을 수락함(예를 들면, 도 1b의 참조번호(169)) | |
시큐어 채널 셋업에 필요한 데이터를 교환함(예를 들면, 참조번호(168)) | 시큐어 채널 셋업에 필요한 데이터를 교환함(예를 들면, 도 1b의 참조번호(171)) |
시큐어 채널 셋업이 완료됨(도 1b 참조) | 시큐어 채널 셋업이 완료됨(도 1b 참조) |
사용가능한 시큐어 프로토콜의 리스트를 확인함(예를 들면, 도 1c의 참조번호(177)) | |
바람직한 시큐어 프로토콜을 확인함(예를 들면, 도 1c의 참조번호(179)) | |
RDP 데이터 교환(도 1c 참조) | RDP 데이터 교환(도 1c 참조) |
본 발명의 한 실시예에서, 클라이언트(100)는 또한 사용자에게 자격 증명 또는 다른 인증 정보를 다시 프롬프트할 필요 없이, 사용자 접속 세션을 다시 시작할 수 있다. 특히, 클라이언트(100)가 드롭 후 접속을 다시 시작하는 경우(자동 또는 수동 재접속을 통해서와 같이), 클라이언트(100)는 단순히, 이전의 유효한 접속 컨텍스트(즉, 사용자 자격 증명 컨텍스트 또는 핸들)를 다시 말하는(restate) 재접속 요청을 제출한다. 일반적으로, 접속 컨텍스트(예를 들면, 도 1d의 참조번호(111))는, 서버(150)에 이전에 중계된 클라이언트 인증 정보(예를 들면, 참조번호(168))로서 이러한 클라이언트 접속 설정 정보뿐만 아니라 시큐어 통신 프로토콜에서의 선택 및 클라이언트와 서버가 서로를 즉시 식별할 수 있게 하는 임의의 기타 적절한 설정을 포함한다. 상술된 바와 같이, 이것은 통상적으로, 사용자 이름 및 패스워드, 및/또는 스마트카드 및 PIN 인증 컴포넌트들을 포함한다. 따라서, 접속이 드롭되어도, 접속 컨텍스트는 여전히 유효하여(즉, 만료되지 않거나 변경되지 않음), 클라이언트(100)는 사용자에게 인증 정보를 프롬프트하지 않고 그 접속 컨텍스트를 서버(150)에 다시 제출할 수 있어, 클라이언트(100)와 서버(150)의 접속이 드롭된 시점에도 교섭된 채널(163)을 통해 계속해서 통신할 수 있다.
그러나, 지금 막 기술한 것과 같은 재접속은, 부하 조절을 위해 단일 IP 어드레스 후면에서 구성된 서버 그룹과 같은 서버 팜(server farm)에서는 더 복잡할 수 있다. 예를 들면, 도 1d에 도시된 바와 같이, 서버들(148, 149, 150 및 151)의 서버 팜(180)은, 동일한 IP 어드레스, 즉 가상 IP 어드레스(190)("VIP(190)")를 통해 원격 클라이언트 컴퓨터들로 각각 어드레스가능하다. 일반적으로, VIP는 또 다른 에지 서버에 의해, 또는 서버 팜(180)의 각 서버의 구성에 의해 제공된다. 대안으로는, 서버 팜(180)의 각 서버는 동일한 VIP의 서로 다른 양태들을 처리하도록 구성되어 있고, 그리하여 서버 팜의 다른 서버들로 패킷을 또한 중계하고 라우팅한 다. 그럼에도 불구하고, 이들 서버 모두는 하나의 VIP를 통해 접속 부하의 일부를 공유할 수 있고, 소정의 시간에 오직 단 하나의 임의의 서버만이 다른 컴퓨터(예를 들면, 클라이언트(100))와 특정 세션을 처리할 수 있을 것이다.
접속을 확실하게 알기 위해, 책임(responsibility)이 적절하게 처리되는데, 도 1d는 각 서버(148, 149, 150 및 151)가 대응하는 "세션 디렉토리 에이전트(session directory agent)"(183, 185, 187 및 189)를 지니며, 이 세션 디렉토리 에이전트는 그것이 설치된 각각의 서버에서의 접속 세션을 추적한다. 예를 들면, 소정의 접속을 처리하는 서버는, 클라이언트(100)에 대해 상술된 바와 같이, 접속하는 클라이언트에 대한, 사용자 인증 정보를 포함하는 소정의 접속 컨텍스트에 기초하는 하나 이상의 접속 세션을 지닐 것이다. 서버는, 대응하는 세션 디렉토리 에이전트와 중앙 세션 디렉토리 에이전트 서버(153)를 통해, VIP(190) 후면의 서버 팜(180)과 같은 서버 팜의 다른 서버들에 의해 서비스되는 모든 세션들의 위치에 관한 디렉토리 리스트를 또한 지닐 것이다. 즉, 일반적으로 그 어떠한 서버도 서버 팜을 통해 서비스되는 모든 접속에 대한 사용자 세션 전부를 지닐 수는 없지만, 적절한 정보를 지니지 못하는 접속(즉, 소정의 클라이언트 텍스트에 대응하는 세션)을 정보를 지니는 팜의 서버에 돌릴 것이다.
따라서, 예를 들면, 도 1d는 클라이언트(100) 또는 서버(150)가 부주의하게 접속해제된 후의 어느 시점에서, 클라이언트(100)가 재접속 메시지(193)를 작성하고, 이 메시지를 VIP(190)를 통해 전송하는 것을 도시한다. 도 1d는 또한 이 메시지(193)가 서버(150)의 이름 및/또는 네트워크 어드레스, 및/또는 일부 사용자 정 보를 포함하는 쿠키와 같은 이전의 접속 정보를 포함함을 도시한다. 일반적으로, (예를 들면, 서버(153)를 통한) VIP 관리 인프라스트럭쳐는 이 포함된 이전의 접속 정보를 인식할 수 있어, 서버(150)로 메시지(193)를 제대로 라우팅할 수 있다. 이후, 서버(150)는 클라이언트(100)와 시큐어 채널을 확립할 수 있고, 이전 접속에 대한 접속 컨텍스트(111)를 서비스하고 있는 세션 디렉토리 에이전트(187)(또는 세션 디렉토리 서버(153))를 통해 확인할 수 있고, 이후 이전의 접속 세션을 재확립할 수 있다.
자동 재접속이 일어나지 않는 경우, 접속 메시지(193)가 서버 ID 정보를 충분히 포함하지 않을 수 있기 때문에 프로세스가 약간 다를 수 있다. 따라서, 예를 들면, 재접속 메시지(193)는 우선 서버(148)에 도달하고, 이 경우, 이것은 이전 접속을 서비스하지 않는다. 그럼에도 불구하고, 시큐어 채널이 셋업되면, 서버(148)는 세션 디렉토리 에이전트(183)를 통해 또는 세션 디렉토리 서버(153)를 참조함으로써 메시지(193)를 충분히 처리하여, 서버(148)가 세션(191)를 이용하여 접속하기에 적절한 정보를 지니지 않은 것으로 결정할 수 있다. 즉, 서버(148)는 사용자 또는 메시지(193) 내의 서버 ID를 알아보지 못하거나, 또는 이전 접속에 대한 접속 컨텍스트를 지니지 않았음을 식별한다.
이렇게 처리함으로써, 세션 디렉토리 에이전트(183)는 세션 디렉토리 서버(153)와 통신하고, 서버(150)가 (예를 들면, 컨텍스트(111)를 통해) 이 사용자 세션을 위한 레코드를 지니고 있다는 것을 서버(148)에게 알려준다. 그러면, 서버(148)는 이 접속이 가능하지 않으며, 또한 이 접속은 서버(150)에 의해 처리될 수 있음을 나타내는 응답 메시지(195)를 작성한다. 이후, 클라이언트(100)는 메시지(195)를 수신하여 처리하고, 또한 새로운 재접속 메시지(197)를 작성한다. 다시, 클라이언트(100)는 이전 접속 정보를 첨부하고, 이번에는 서버(150)의 사용(예를 들면, 서버 이름 및/또는 서버 어드레스 등)을 명백하게 한다.
따라서, 도 1d에 도시된 바와 같이, 재접속 요청 메시지(197)는 VIP(190)를 통해 서버(150)로 적절하게 라우팅된다. 예를 들면, 인터넷 및 서버 팜(180)과 인터페이스하는 에지(edge) 서버는 서버(150)에 대한 변경된 요청을 식별하고, 접속 요청 메시지(197)를 서버(150)로 전달한다. 서버(150)가 접속 요청(197)을 수신하면, 서버(150)는 메시지 처리를 시작하여 세션 디렉토리 에이전트(187)가 접속 컨텍스트(111)에 대한 레코드를 지니고 있는지를 살펴본다. 세션 디렉토리 에이전트(187)가 접속 컨텍스트(111)에 대한 레코드를 지니고 있기 때문에, 서버(150)는 적절한 재접속 메시지(즉, 메시지(199))로 응답한다. 이러한 간단한 교환 시퀀스는 클라이언트(100)와 서버(150) 간에 이전에 교섭된 통신 채널(163)을 재확립하며, 이를 이용하여 클라이언트와 서버는 새 접속 세션을 개시하기 위해 자원을 재할당할 필요 없이 이전과 같이 계속해서 통신할 수 있다.
따라서, 도 1a 내지 도 1d는, 시큐어 접속을 생성할 때, 비교적 초기에 접속 시퀀스를 인증하기 위한 많은 컴포넌트와 개략도를 제공한다. 특히, 도 1a 내지 도 1d는, 시큐어 접속 요청의 처음 몇 개의 데이터 패킷 내에서 시큐어 접속이 어떻게 확립되는지의 방법을 도시하고 있고, 클라이언트와 서버 간에 많은 수의 확인 계층을 제공하는 그러한 방법으로 도시하고 있다. 이와 같이, 클라이언트와 서버 는 둘 모두 그릇된(falsified) 접속에 귀중한 자원을 할애하는 것을 피할 수 있으며, 그렇지 않을 경우, DOS 공격이 성공할 수 있다.
본 발명의 구현은 또한, 원하는 결과를 달성하기 위한 방법의 액트들의 시퀀스(및/또는 하나 이상의 비기능적인 액트들을 포함하는 기능적 단계들)로서 기술될 수 있다. 예를 들면, 도 2는 시큐어 접속을 개시하기 위한, 클라이언트(100)와 서버(150) 각각의 관점에서 본 방법의 액트들의 흐름도를 도시한다. 도 2에 도시된 액트들은 도 1a 내지 도 1d에 도시된 개략도를 참조하여 이하에 기술된다.
예를 들면, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 복수의 시큐어 통신 프로토콜을 식별하는 액트(200)를 포함하는 것을 도시한다. 액트(200)는 클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜 기능들을 식별하는 것을 포함한다. 예를 들면, 도 1a에 도시된 바와 같이, 원격 클라이언트 애플리케이션(105)은 결정 모듈(115)을 통해, 컴포넌트들(125, 130 및 135)이 유효하며, 시큐어 통신 프로토콜이 클라이언트(100)에서 인에이블되어 있음을 식별한다.
또한, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 네트워크 서버와 바람직한 시큐어 통신 프로토콜을 교섭하는 액트(210)를 포함하는 것을 도시한다. 액트(210)는 복수의 시큐어 통신 프로토콜 기능 중 바람직한 하나를 네트워크 서버와 교섭하여, 서로에게 바람직한 시큐어 통신 프로토콜이 식별되는 것을 포함한다. 예를 들면, 클라이언트 애플리케이션(105)은 메시지(137)를 작성하고 이를 서버(150)로 전송하는 액트를 수행하며, 이때 메시지(137)는 시큐어 접속을 위한 요청을 포함하며, 또한, 프로토콜(125, 130 및 135)이 그 접속에 대해 유효함을 나타 낸다.
이와 같이, 도 2는, 서버(150)의 관점으로부터의 방법이, 보안 기능들을 식별하는 접속 요청을 수신하는 액트(220)를 포함하는 것을 도시한다. 액트(220)는, 네트워크 서버에서 하나 이상의 원격 서버 자원과 통신하기 위한 원격 클라이언트로부터의 접속 요청을 수신하며, 이 접속 요청은 원격 클라이언트가 인에이블되는 복수의 시큐어 접속 프로토콜을 나타낸다. 예를 들면, 도 1a에 도시된 바와 같이, 서버 애플리케이션(140)은 메시지(137)를 수신하며, 처리할 때, 클라이언트(100)가 "SSL" 및/또는 "Cred-SSP" 통신 메커니즘 중 임의의 것이 가능함을 식별한다.
또한, 도 2는, 서버(150)의 관점으로부터의 방법이 바람직한 시큐어 통신 프로토콜을 나타내는 접속 응답을 전송하는 액트(230)를 포함하는 것을 도시한다. 액트(230)는, 복수의 시큐어 접속 프로토콜 중 바람직한 시큐어 접속 프로토콜을 나타내는 접속 응답을 원격 클라이언트에게 전송하는 것을 포함한다. 예를 들면, 도 1a에 도시된 바와 같이, 서버 애플리케이션(140)은 자신이 클라이언트(100)로부터 표시된 것과 동일한 인에이블된 보안 옵션을 지니는 것으로 결정한다. 따라서, 서버 애플리케이션(140)은, 임의의 개수의 환경 설정 또는 시스템 설정에 기초하여 그룹으로부터 바람직한 시큐어 통신 프로토콜(이 경우 "Cred-SSP")을 결정한다. 이후, 서버 애플리케이션(140)은, Cred-SSP를 사용할 환경 설정을 나타내는 접속 응답 메시지(139)를 작성하여 이를 클라이언트(100)에 전송한다. 한 구현에서, 이것은 액트(210)에서 클라이언트에 의해 시행된(institute) 보안 교섭의 초기 단계를 완료한다.
따라서, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 원격 서버 자원과 인증 인증서를 교환하는 액트(240)를 포함한다. 액트(240)는 바람직한 시큐어 통신 프로토콜을 이용하여 네트워크 서버의 원격 서버 자원과 인증 정보를 교환하는 것을 포함하며, 이 서버 인증 정보는 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신한 인증서 중 임의의 것을 포함한다. 예를 들면, 도 1b에 도시된 바와 같이, 원격 클라이언트 애플리케이션(105)은 하나 이상의 적절한 클라이언트 인증 정보 컴포넌트(예를 들면, 사용자 이름 및 패스워드(107), 스마트 카드 및 PIN(111) 또는 인증서 저장소(110)의 클라이언트 인증서(113))를 식별하고, 선택된 인증 정보를 메시지(137)를 통해 원격 서버 애플리케이션(140)으로 전송한다. 이에 응하여, 원격 클라이언트 애플리케이션은 메시지(171)를 통해 서버(150)로부터의 서버 인증서(117)를 수신한다.
도 2는 또한, 서버(150)의 관점으로부터의 방법이, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트(250)를 포함함을 도시한다. 액트(250)는, 원격 클라이언트 컴퓨터 시스템과의 초기 데이터 패킷의 교환을 통해, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 것을 포함한다. 예를 들면, 도 1c는, 서버 애플리케이션(140)이 메시지(179)를 전송할 때, 서버(150)는, 이전에 전송된 메시지들(137 및 139)의 사본을 포함함으로써 또는 메시지(139)에 이전에 선언되었던 설정을 반복함으로써와 같이, 확인 메시지를 클라이언트(100)에 또한 첨부하는 것을 도시한다.
또한, 도 2는, 서버(150)의 관점으로부터의 방법이, 원격 클라이언트 자원과 데이터를 통신하는 액트(260)를 포함함을 도시한다. 액트(260)는, 바람직한 시큐어 통신 프로토콜을 통해 원격 클라이언트의 원격 클라이언트 자원과 데이터를 통신하는 것을 포함한다. 예를 들면, 도 1c에 도시된 바와 같이, 서버 애플리케이션(140)은 교섭된 통신 채널(163)을 통해 메시지(177)(예를 들면, RDP 데이터 패킷)를 수신하고, 메시지(179)(예를 들면, 메시지(177)에 응하여 RDP 데이터 패킷) 또는 임의의 기타 데이터 통신을 원격 클라이언트 애플리케이션(105)에 전송한다.
이와 같이, 도 2는 또한, 클라이언트(100)의 관점으로부터의 방법이, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트(270)를 포함함을 도시한다. 액트(270)는 하나 이상의 초기 데이터 패킷으로 네트워크 서버의 아이덴티티를 확인하는 것을 포함한다. 예를 들면, 원격 클라이언트 애플리케이션은 원격 애플리케이션 프로토콜을 통해 메시지(179)(예를 들면, RDP를 이용하여 작성된 메시지)를 수신하며, 이 메시지(179)는, 이전에 전송된 메시지(137 및/또는 139)의 사본과 같은, 서버로부터의 소정의 예상되는 정보를 포함한다. 그러므로, 메시지(179)는 선택되고, 클라이언트(100)와 동의한 시큐어 통신 프로토콜의 사용을 확인한다.
따라서, 본 명세서에 기술된 개략도와 방법은, 시큐어 통신 채널 및 접속 세션을 생성하고 이 시큐어 통신 채널들 및 세션들을 접속 프로세스 초기에 인증하기 위한 많은 컴포넌트와 메커니즘을 제공한다. 특히, 본 발명의 구현은, 인터랙티브 로그온과 원격 자원 통신에 있어 이전에 가능했던 것보다 더 큰 레벨의 보안을 제공할 수 있다. 예를 들면, 클라이언트와 서버는 접속 프로세스의 초기에 서로를 인증할 수 있어, 예상되는 시점에 이러한 인증 정보를 제공하지 않는 클라이언트와 서버에 접속 세션을 할당하는 것을 피할 수 있다. 또한, 클라이언트와 서버는, 그 클라이언트 및/또는 서버 각각의 아이덴티티에 대한 추가의 확신을 제공하기 위해, 접속 시퀀스의 임의의 개수의 시점에서 이전에 전송되었던 메시지 및/또는 설정을 첨부할 수 있다.
본 발명의 구현은, 이하에 상세히 설명되는 바와 같이, 각종 컴퓨터 하드웨어를 비롯한 특수 목적 또는 범용의 컴퓨터를 포함할 수 있다. 특히, 본 발명의 범위 내의 실시예는, 또한, 저장된 컴퓨터 실행가능 명령어 또는 데이터 구조를 수행하거나 또는 이를 갖는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨터 판독가능 매체는, 범용 또는 특수 목적의 컴퓨터에 의해 액세스가능한 임의의 매체일 수 있다. 예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EEPROM, CD-ROM 또는 기타 광 디스크 저장 장치, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 범용 또는 특수 목적의 컴퓨터에 의해 액세스될 수 있고 컴퓨터 실행가능 명령어 또는 데이터 구조의 형태로 원하는 프로그램 코드 수단을 수행하거나 또는 이를 저장하는 데에 사용될 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다.
정보가 네트워크 또는 또 다른 통신 접속(하드 배선, 무선 또는 하드 배선 또는 무선의 조합)을 통해 컴퓨터로 전송되거나 또는 제공될 때, 컴퓨터는 당연히 이 접속을 컴퓨터 판독가능 매체로 본다. 따라서, 이러한 임의의 접속은 당연히 컴퓨터 판독가능 매체라 지칭된다. 상술된 것의 조합 또한 컴퓨터 판독가능 매체의 범위 내에 포함되어야 한다.
예를 들면, 컴퓨터 실행가능 명령어는, 범용 컴퓨터, 특수 목적의 컴퓨터, 또는 특수 목적의 처리 장치로 하여금 소정의 기능 또는 소정의 기능 그룹들을 수행하게 하는 명령어 또는 데이터를 포함한다. 본 내용이 구조적 특징 및/또는 방법론적 액트에 특정한 언어로 기술되었지만, 첨부된 청구항에 정의된 내용이 상술된 특정 특징 또는 액트에 제한될 필요가 없음을 이해할 것이다. 오히려, 상술된 특정 특징 및 액트는 본 청구항을 구현하는 예시적인 형태로서 개시된다.
본 발명은 본 발명의 취지 및 핵심적인 특징으로부터 벗어나지 않고 다른 특정 형태로 구현될 수 있다. 기술된 실시예는 그 모든 측면에서 단지 예시적인 것이고 제한하지 않는 것으로 간주되어야 한다. 따라서, 본 발명의 범위는, 전술된 내용에 의해서가 아니라 첨부된 청구항에 의해 표시된다. 청구항의 동등물의 의미 및 범위 내에 있는 모든 변경들은 그 범위 내에서 포함된다.
Claims (20)
- 시큐어 접속(secure connection)을 통해 서버가 클라이언트 컴퓨터 시스템과 데이터를 통신하는 컴퓨터화된 시스템의 서버에서, 접속 프로세스의 비교적 초기에 상기 클라이언트 컴퓨터 시스템으로부터의 접속을 개시하는 사용자를 인증함으로써 상기 시큐어 접속을 생성하는 방법으로서,서버의 하나 이상의 원격 서버 자원들과 통신하고자 하는 클라이언트 컴퓨터 시스템으로부터의 접속 요청을 수신하는 액트 -상기 접속 요청은 상기 클라이언트 컴퓨터 시스템이 인에이블되는 복수의 시큐어 통신 프로토콜을 나타냄- ;상기 클라이언트 컴퓨터 시스템에 접속 응답을 전송하는 액트 -상기 접속 응답은 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타냄-;상기 클라이언트 컴퓨터 시스템과 셋업된 시큐어드 채널(secured channel)에서의 데이터 교환을 통해 상기 바람직한 시큐어 통신 프로토콜의 사용을 확인하는(confirming) 액트; 및상기 바람직한 시큐어 통신 프로토콜을 통해 상기 클라이언트 컴퓨터 시스템의 클라이언트 애플리케이션 프로그램과 데이터를 통신하는 액트를 포함하는 시큐어 접속 생성 방법.
- 제1항에 있어서, 상기 복수의 시큐어 통신 프로토콜은, RDP, SSL, NTLM, Kerberos 보안 프로토콜, 또는 이들의 조합 중 적어도 하나를 포함하는 시큐어 접속 생성 방법.
- 제1항에 있어서, 상기 클라이언트 컴퓨터 시스템으로부터의 접속 요청은, 상기 클라이언트 컴퓨터 시스템이 인에이블되는 상기 복수의 시큐어 통신 프로토콜을 포함하도록 확장된 X224 접속 요청이며, 상기 접속 응답은, 상기 바람직한 시큐어 통신 프로토콜을 포함하도록 확장된 X224 접속 응답인 시큐어 접속 생성 방법.
- 제1항에 있어서, 상기 클라이언트 컴퓨터 시스템에 의해 표시된 상기 복수의 시큐어 통신 프로토콜 중 적어도 하나와 동일한, 상기 서버에서의 하나 이상의 시큐어 통신 프로토콜을 식별하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제4항에 있어서, 상기 서버에서의 상기 하나 이상의 시큐어 통신 프로토콜 중 하나가 서버 시스템 설정(setting)에 기초하여 허용되는 것으로 결정하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제1항에 있어서,인증서 저장소(certificate store)에서 복수의 서버 인증서를 식별하는 액트; 및상기 클라이언트 컴퓨터 시스템으로 전송할 상기 복수의 서버 인증서 중 바 람직한 서버 인증서를 결정하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제6항에 있어서, 상기 바람직한 서버 인증서는, 사용자에 의해 명시적으로 선택된 인증서, 서버 시스템 정책을 통해 구성된 인증서, 또는 자체 서명된 서버 인증서 중 임의의 것인 시큐어 접속 생성 방법.
- 제1항에 있어서,클라이언트 컴퓨터 시스템의 인증 정보를 수신하는 액트; 및상기 인증 정보를 상기 클라이언트 컴퓨터 시스템에 대한 접속 컨텍스트의 일부로서 저장하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제8항에 있어서,상기 클라이언트 컴퓨터 시스템의 인증 정보가 유효하지 않은 것으로 결정하는 단계를 더 포함하며, 상기 단계는,(i) 상기 클라이언트 컴퓨터 시스템의 인증 정보의 타임스탬프가 만료되었는지를 식별하는 액트;(ii) 예상되는 인증 정보를 포함하지 않는 하나 이상의 메시지가 상기 클라이언트 컴퓨터 시스템으로부터 수신되었는지를 식별하는 액트; 또는(iii) 수신된 인증 인증서가, 상기 클라이언트 컴퓨터 시스템으로부터의 접속 요청과 관련된, 예상되는 인증 인증서와 일치하지 않는지를 식별하는 액트중 하나 이상을 포함하는 시큐어 접속 생성 방법.
- 제1항에 있어서, VIP 어드레스로 향하는 또 다른 접속 요청을 수신하는 액트를 더 포함하며, 상기 또 다른 접속 요청은 이전 접속에 대한 접속 정보를 포함하는 시큐어 접속 생성 방법.
- 제10항에 있어서,상기 이전 접속에 대해 식별된 접속 컨텍스트가 상기 서버에 저장되어 있음을 식별하는 액트; 및상기 요청된 또 다른 접속을 허용하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제10항에 있어서,상기 이전 접속에 대한 접속 컨텍스트가 다른 서버에 저장되어 있음을 식별하는 액트; 및상기 또 다른 접속 요청에 대해서는 상기 다른 서버가 적절한 서버임을 나타내는 응답 메시지를 상기 클라이언트 컴퓨터 시스템에게 전송하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제1항에 있어서, 초기 접속 요청과 관련하여 상기 클라이언트 컴퓨터 시스템으로부터 이전에 수신되었던 하나 이상의 메시지들을 상기 서버에 의해 준비된 발신 메시지(outgoing message)에 첨부함으로써, 상기 서버는 상기 클라이언트 컴퓨터 시스템에 상기 바람직한 시큐어 통신 프로토콜의 선택을 확인하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 시큐어 접속을 통해 서버와 데이터를 통신하도록 구성된 클라이언트 컴퓨터 시스템에서, 접속 프로세스의 비교적 초기에 인증함으로써 상기 서버와의 상기 시큐어 접속을 생성하는 방법으로서,클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜 기능(capability)을 식별하는 액트;서로에게 바람직한 시큐어 통신 프로토콜을 식별할 수 있도록, 상기 복수의 시큐어 통신 프로토콜 기능 중 바람직한 시큐어 통신 프로토콜 기능을 서버와 교섭하기(negotiate) 위한 단계;상기 바람직한 시큐어 통신 프로토콜을 이용하여 상기 서버와 인증 정보를 교환하는 액트 -상기 서버로부터의 인증 정보는, 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신된 인증서 중 임의의 하나를 포함함-; 및상기 서버와의 교섭 동안, 통신된 하나 이상의 초기 데이터 패킷으로, 상기 서버와 교섭된 상기 시큐어 통신 프로토콜의 사용을 확인하기 위한 단계를 포함하는 시큐어 접속 생성 방법.
- 제14항에 있어서, 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 교섭하기 위한 단계는,상기 클라이언트 컴퓨터 시스템에서 식별된 상기 하나 이상의 시큐어 통신 프로토콜의 표시를 포함하는 접속 요청 메시지를 전송하는 액트; 및상기 시큐어 통신 프로토콜들 중 서로에게 바람직한 시큐어 통신 프로토콜을 식별하는, 상기 서버로부터의 응답을 수신하는 액트;를 더 포함하는 시큐어 접속 생성 방법.
- 제14항에 있어서, 상기 서버와 교섭된 상기 시큐어 통신 프로토콜의 사용을 확인하기 위한 단계는,상기 서버로부터 하나 이상의 초기 데이터 패킷을 수신하는 액트; 및상기 하나 이상의 초기 데이터 패킷들 중 임의의 패킷에 첨부된, 상기 서버와 이전에 교환되었던 정보를 식별하는 액트를 포함하는 시큐어 접속 생성 방법.
- 제14항에 있어서, 상기 클라이언트 컴퓨터 시스템의 접속 컨텍스트에 상기 서버로부터 수신된 상기 서버 인증서를 저장하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 제17항에 있어서,상기 서버와의 접속이 실패했음을 식별하는 액트; 및상기 서버에 대한 가상 IP 어드레스로 재접속 요청 메시지를 전송하는 액트 -상기 재접속 요청 메시지는 상기 접속 컨텍스트에 저장된 적어도 일부의 정보를 포함함-를 더 포함하는 시큐어 접속 생성 방법.
- 제17항에 있어서,상기 서버에 대한 상기 가상 IP 어드레스로부터 접속 거부 메시지를 수신하는 액트 -상기 접속 거부 메시지는 상기 서버에 대한 서버 이름 및 네트워크 어드레스 중 적어도 하나를 포함함-;상기 서버에 대한 상기 가상 IP 어드레스로 새로운 재접속 요청 메시지를 전송하는 액트 -상기 새로운 재접속 요청 메시지는 상기 서버에 대한 상기 서버 이름 및 상기 네트워크 어드레스 중 적어도 하나를 포함함-; 및상기 접속 컨텍스트에 따라 상기 서버와의 접속을 재확립하는 액트를 더 포함하는 시큐어 접속 생성 방법.
- 시큐어 접속을 통해 서버가 클라이언트 컴퓨터 시스템과 데이터를 통신하는 컴퓨터화된 시스템의 서버에서, 실행될 때, 상기 서버에서의 하나 이상의 프로세서로 하여금, 접속 프로세스의 비교적 초기에 상기 클라이언트 컴퓨터 시스템을 인증함으로써 상기 시큐어 접속을 생성하는 방법을 수행하게 하는 컴퓨터 실행가능 명령어를 갖는 컴퓨터 프로그램 제품으로서, 상기 방법은,서버의 하나 이상의 원격 서버 자원들과 통신하고자 하는 클라이언트 컴퓨터 시스템으로부터의 접속 요청을 수신하는 액트 -상기 접속 요청은 상기 클라이언트 컴퓨터 시스템이 인에이블되는 복수의 시큐어 통신 프로토콜을 나타냄- ;상기 클라이언트 컴퓨터 시스템에 접속 응답을 전송하는 액트 -상기 접속 응답은 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타냄-;상기 클라이언트 컴퓨터 시스템과 셋업된 시큐어 채널에서의 데이터 교환을 통해 상기 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트; 및상기 바람직한 시큐어 통신 프로토콜을 통해 상기 클라이언트 컴퓨터 시스템의 클라이언트 애플리케이션 프로그램과 데이터를 통신하는 액트를 포함하는 컴퓨터 프로그램 제품.
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US71655405P | 2005-09-12 | 2005-09-12 | |
US60/716,554 | 2005-09-12 | ||
US11/354,456 US8220042B2 (en) | 2005-09-12 | 2006-02-15 | Creating secure interactive connections with remote resources |
US11/354,456 | 2006-02-15 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20080053298A true KR20080053298A (ko) | 2008-06-12 |
Family
ID=37856885
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020087006038A KR20080053298A (ko) | 2005-09-12 | 2006-09-11 | 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8220042B2 (ko) |
EP (1) | EP1934780B1 (ko) |
JP (1) | JP5010608B2 (ko) |
KR (1) | KR20080053298A (ko) |
CN (1) | CN101263468B (ko) |
WO (1) | WO2007033087A1 (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190019623A (ko) * | 2017-08-18 | 2019-02-27 | (주)한드림넷 | 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 |
Families Citing this family (184)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6658091B1 (en) | 2002-02-01 | 2003-12-02 | @Security Broadband Corp. | LIfestyle multimedia security system |
US10375253B2 (en) | 2008-08-25 | 2019-08-06 | Icontrol Networks, Inc. | Security system with networked touchscreen and gateway |
US9531593B2 (en) | 2007-06-12 | 2016-12-27 | Icontrol Networks, Inc. | Takeover processes in security network integrated with premise security system |
US10721087B2 (en) | 2005-03-16 | 2020-07-21 | Icontrol Networks, Inc. | Method for networked touchscreen with integrated interfaces |
US10313303B2 (en) | 2007-06-12 | 2019-06-04 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
US11368429B2 (en) | 2004-03-16 | 2022-06-21 | Icontrol Networks, Inc. | Premises management configuration and control |
US9191228B2 (en) | 2005-03-16 | 2015-11-17 | Icontrol Networks, Inc. | Cross-client sensor user interface in an integrated security network |
US11489812B2 (en) | 2004-03-16 | 2022-11-01 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
US9609003B1 (en) | 2007-06-12 | 2017-03-28 | Icontrol Networks, Inc. | Generating risk profile using data of home monitoring and security system |
US8963713B2 (en) | 2005-03-16 | 2015-02-24 | Icontrol Networks, Inc. | Integrated security network with security alarm signaling system |
US11244545B2 (en) | 2004-03-16 | 2022-02-08 | Icontrol Networks, Inc. | Cross-client sensor user interface in an integrated security network |
US10156959B2 (en) | 2005-03-16 | 2018-12-18 | Icontrol Networks, Inc. | Cross-client sensor user interface in an integrated security network |
US8635350B2 (en) | 2006-06-12 | 2014-01-21 | Icontrol Networks, Inc. | IP device discovery systems and methods |
US11201755B2 (en) | 2004-03-16 | 2021-12-14 | Icontrol Networks, Inc. | Premises system management using status signal |
US11677577B2 (en) | 2004-03-16 | 2023-06-13 | Icontrol Networks, Inc. | Premises system management using status signal |
US10142392B2 (en) | 2007-01-24 | 2018-11-27 | Icontrol Networks, Inc. | Methods and systems for improved system performance |
US20090077623A1 (en) | 2005-03-16 | 2009-03-19 | Marc Baum | Security Network Integrating Security System and Network Devices |
US11582065B2 (en) | 2007-06-12 | 2023-02-14 | Icontrol Networks, Inc. | Systems and methods for device communication |
US10444964B2 (en) | 2007-06-12 | 2019-10-15 | Icontrol Networks, Inc. | Control system user interface |
US10522026B2 (en) | 2008-08-11 | 2019-12-31 | Icontrol Networks, Inc. | Automation system user interface with three-dimensional display |
US7711796B2 (en) | 2006-06-12 | 2010-05-04 | Icontrol Networks, Inc. | Gateway registry methods and systems |
US10237237B2 (en) | 2007-06-12 | 2019-03-19 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11916870B2 (en) | 2004-03-16 | 2024-02-27 | Icontrol Networks, Inc. | Gateway registry methods and systems |
US20170118037A1 (en) | 2008-08-11 | 2017-04-27 | Icontrol Networks, Inc. | Integrated cloud system for premises automation |
US11316958B2 (en) | 2008-08-11 | 2022-04-26 | Icontrol Networks, Inc. | Virtual device systems and methods |
US10062273B2 (en) | 2010-09-28 | 2018-08-28 | Icontrol Networks, Inc. | Integrated security system with parallel processing architecture |
US8988221B2 (en) | 2005-03-16 | 2015-03-24 | Icontrol Networks, Inc. | Integrated security system with parallel processing architecture |
US10200504B2 (en) | 2007-06-12 | 2019-02-05 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
US11277465B2 (en) | 2004-03-16 | 2022-03-15 | Icontrol Networks, Inc. | Generating risk profile using data of home monitoring and security system |
US20050216302A1 (en) | 2004-03-16 | 2005-09-29 | Icontrol Networks, Inc. | Business method for premises management |
US10382452B1 (en) | 2007-06-12 | 2019-08-13 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US9729342B2 (en) | 2010-12-20 | 2017-08-08 | Icontrol Networks, Inc. | Defining and implementing sensor triggered response rules |
US9141276B2 (en) | 2005-03-16 | 2015-09-22 | Icontrol Networks, Inc. | Integrated interface for mobile device |
US11159484B2 (en) | 2004-03-16 | 2021-10-26 | Icontrol Networks, Inc. | Forming a security network including integrated security system components and network devices |
US20160065414A1 (en) | 2013-06-27 | 2016-03-03 | Ken Sundermeyer | Control system user interface |
US10339791B2 (en) | 2007-06-12 | 2019-07-02 | Icontrol Networks, Inc. | Security network integrated with premise security system |
US11343380B2 (en) | 2004-03-16 | 2022-05-24 | Icontrol Networks, Inc. | Premises system automation |
US11190578B2 (en) | 2008-08-11 | 2021-11-30 | Icontrol Networks, Inc. | Integrated cloud system with lightweight gateway for premises automation |
US11113950B2 (en) | 2005-03-16 | 2021-09-07 | Icontrol Networks, Inc. | Gateway integrated with premises security system |
US11811845B2 (en) | 2004-03-16 | 2023-11-07 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
US20170180198A1 (en) | 2008-08-11 | 2017-06-22 | Marc Baum | Forming a security network including integrated security system components |
US11615697B2 (en) | 2005-03-16 | 2023-03-28 | Icontrol Networks, Inc. | Premise management systems and methods |
US11496568B2 (en) | 2005-03-16 | 2022-11-08 | Icontrol Networks, Inc. | Security system with networked touchscreen |
US11700142B2 (en) | 2005-03-16 | 2023-07-11 | Icontrol Networks, Inc. | Security network integrating security system and network devices |
US10999254B2 (en) | 2005-03-16 | 2021-05-04 | Icontrol Networks, Inc. | System for data routing in networks |
US9306809B2 (en) | 2007-06-12 | 2016-04-05 | Icontrol Networks, Inc. | Security system with networked touchscreen |
US20120324566A1 (en) | 2005-03-16 | 2012-12-20 | Marc Baum | Takeover Processes In Security Network Integrated With Premise Security System |
US20110128378A1 (en) | 2005-03-16 | 2011-06-02 | Reza Raji | Modular Electronic Display Platform |
US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
US10079839B1 (en) | 2007-06-12 | 2018-09-18 | Icontrol Networks, Inc. | Activation of gateway device |
US11706279B2 (en) | 2007-01-24 | 2023-07-18 | Icontrol Networks, Inc. | Methods and systems for data communication |
US7633385B2 (en) * | 2007-02-28 | 2009-12-15 | Ucontrol, Inc. | Method and system for communicating with and controlling an alarm system from a remote server |
US8451986B2 (en) | 2007-04-23 | 2013-05-28 | Icontrol Networks, Inc. | Method and system for automatically providing alternate network access for telecommunications |
US8296559B2 (en) * | 2007-05-31 | 2012-10-23 | Red Hat, Inc. | Peer-to-peer SMIME mechanism |
US10498830B2 (en) | 2007-06-12 | 2019-12-03 | Icontrol Networks, Inc. | Wi-Fi-to-serial encapsulation in systems |
US12003387B2 (en) | 2012-06-27 | 2024-06-04 | Comcast Cable Communications, Llc | Control system user interface |
US11089122B2 (en) | 2007-06-12 | 2021-08-10 | Icontrol Networks, Inc. | Controlling data routing among networks |
US10523689B2 (en) | 2007-06-12 | 2019-12-31 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
US11601810B2 (en) | 2007-06-12 | 2023-03-07 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11218878B2 (en) | 2007-06-12 | 2022-01-04 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US10389736B2 (en) | 2007-06-12 | 2019-08-20 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US10666523B2 (en) | 2007-06-12 | 2020-05-26 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11237714B2 (en) | 2007-06-12 | 2022-02-01 | Control Networks, Inc. | Control system user interface |
US11423756B2 (en) | 2007-06-12 | 2022-08-23 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11316753B2 (en) | 2007-06-12 | 2022-04-26 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11646907B2 (en) | 2007-06-12 | 2023-05-09 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US11212192B2 (en) | 2007-06-12 | 2021-12-28 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
US10051078B2 (en) | 2007-06-12 | 2018-08-14 | Icontrol Networks, Inc. | WiFi-to-serial encapsulation in systems |
US10423309B2 (en) | 2007-06-12 | 2019-09-24 | Icontrol Networks, Inc. | Device integration framework |
US10616075B2 (en) | 2007-06-12 | 2020-04-07 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
CN101340281B (zh) * | 2007-07-02 | 2010-12-22 | 联想(北京)有限公司 | 针对在网络上进行安全登录输入的方法和系统 |
US8516136B2 (en) * | 2007-07-09 | 2013-08-20 | Alcatel Lucent | Web-based over-the-air provisioning and activation of mobile terminals |
US9264483B2 (en) | 2007-07-18 | 2016-02-16 | Hammond Development International, Inc. | Method and system for enabling a communication device to remotely execute an application |
US11831462B2 (en) | 2007-08-24 | 2023-11-28 | Icontrol Networks, Inc. | Controlling data routing in premises management systems |
US8626936B2 (en) * | 2008-01-23 | 2014-01-07 | International Business Machines Corporation | Protocol independent server replacement and replication in a storage area network |
US11916928B2 (en) | 2008-01-24 | 2024-02-27 | Icontrol Networks, Inc. | Communication protocols over internet protocol (IP) networks |
US8433747B2 (en) * | 2008-02-01 | 2013-04-30 | Microsoft Corporation | Graphics remoting architecture |
US8638941B2 (en) | 2008-05-15 | 2014-01-28 | Red Hat, Inc. | Distributing keypairs between network appliances, servers, and other network assets |
US8321654B2 (en) * | 2008-05-20 | 2012-11-27 | Alcatel Lucent | Methods for initial bootstrap during activation and initial configuration of user terminals in network |
US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
US8898293B2 (en) | 2009-01-28 | 2014-11-25 | Headwater Partners I Llc | Service offer set publishing to device agent with on-device service selection |
US8924469B2 (en) | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
US8725123B2 (en) | 2008-06-05 | 2014-05-13 | Headwater Partners I Llc | Communications device with secure data path processing agents |
US8924543B2 (en) | 2009-01-28 | 2014-12-30 | Headwater Partners I Llc | Service design center for device assisted services |
US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
US8839387B2 (en) * | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
US20170185278A1 (en) | 2008-08-11 | 2017-06-29 | Icontrol Networks, Inc. | Automation system user interface |
KR101005853B1 (ko) * | 2008-08-07 | 2011-01-05 | 한국전자통신연구원 | 홈 콘텐츠 제공 방법 및 장치 |
US11792036B2 (en) | 2008-08-11 | 2023-10-17 | Icontrol Networks, Inc. | Mobile premises automation platform |
US11258625B2 (en) | 2008-08-11 | 2022-02-22 | Icontrol Networks, Inc. | Mobile premises automation platform |
US11758026B2 (en) | 2008-08-11 | 2023-09-12 | Icontrol Networks, Inc. | Virtual device systems and methods |
US11729255B2 (en) | 2008-08-11 | 2023-08-15 | Icontrol Networks, Inc. | Integrated cloud system with lightweight gateway for premises automation |
US7941549B2 (en) * | 2008-09-16 | 2011-05-10 | Microsoft Corporation | Protocol exchange and policy enforcement for a terminal server session |
US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
US11973804B2 (en) | 2009-01-28 | 2024-04-30 | Headwater Research Llc | Network service plan design |
US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US8893009B2 (en) | 2009-01-28 | 2014-11-18 | Headwater Partners I Llc | End user device that secures an association of application to service policy with an application certificate check |
US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US8606911B2 (en) | 2009-03-02 | 2013-12-10 | Headwater Partners I Llc | Flow tagging for service policy implementation |
US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
US8638211B2 (en) | 2009-04-30 | 2014-01-28 | Icontrol Networks, Inc. | Configurable controller and interface for home SMA, phone and multimedia |
EP2312804B1 (en) * | 2009-10-13 | 2015-02-25 | BlackBerry Limited | Methods and apparatus for intelligent selection of a transport protocol for content streaming |
KR101299220B1 (ko) * | 2010-01-08 | 2013-08-22 | 한국전자통신연구원 | 감성 신호 감지 장치와 감성 서비스 제공 장치 간의 감성 통신 방법 |
US9626872B2 (en) * | 2010-04-30 | 2017-04-18 | Honeywell International Inc. | Enhanced flight crew display for supporting multiple controller/pilot data link communications (CPDLC) versions |
AU2011250886A1 (en) | 2010-05-10 | 2013-01-10 | Icontrol Networks, Inc | Control system user interface |
CN102377744B (zh) * | 2010-08-18 | 2014-11-26 | 中国银联股份有限公司 | 安全性信息资源交互方法及系统 |
US8836467B1 (en) | 2010-09-28 | 2014-09-16 | Icontrol Networks, Inc. | Method, system and apparatus for automated reporting of account and sensor zone information to a central station |
US11750414B2 (en) | 2010-12-16 | 2023-09-05 | Icontrol Networks, Inc. | Bidirectional security sensor communication for a premises security system |
US9147337B2 (en) | 2010-12-17 | 2015-09-29 | Icontrol Networks, Inc. | Method and system for logging security event data |
US8719926B2 (en) * | 2011-02-11 | 2014-05-06 | Verizon Patent And Licensing Inc. | Denial of service detection and prevention using dialog level filtering |
US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
US8578460B2 (en) * | 2011-05-23 | 2013-11-05 | Microsoft Corporation | Automating cloud service reconnections |
DE112012003741T5 (de) * | 2011-09-09 | 2014-08-07 | Stoneware Inc. | Verfahren und Vorrichtung für eine serverseitige Fernarbeitsaufnahme und -wiedergabe |
US9537899B2 (en) * | 2012-02-29 | 2017-01-03 | Microsoft Technology Licensing, Llc | Dynamic selection of security protocol |
JP6055201B2 (ja) * | 2012-05-10 | 2016-12-27 | キヤノン株式会社 | サーバー装置、システム及びその制御方法 |
US20140040299A1 (en) * | 2012-08-03 | 2014-02-06 | Cisco Technology, Inc. | Automated Method of Detecting Pattern Matches between Converged Infrastructure Models and an Operating Converged Infrastructure |
US9391979B1 (en) | 2013-01-11 | 2016-07-12 | Google Inc. | Managing secure connections at a proxy server |
EP3691220B1 (en) * | 2013-02-28 | 2021-08-25 | Amazon Technologies, Inc. | Configurable-quality random data service |
US9819727B2 (en) | 2013-02-28 | 2017-11-14 | Amazon Technologies, Inc. | Computing infrastructure for configurable-quality random data |
US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
US9392018B2 (en) * | 2013-09-30 | 2016-07-12 | Juniper Networks, Inc | Limiting the efficacy of a denial of service attack by increasing client resource demands |
US9935977B1 (en) * | 2013-12-09 | 2018-04-03 | Amazon Technologies, Inc. | Content delivery employing multiple security levels |
US10244000B2 (en) | 2014-02-24 | 2019-03-26 | Honeywell International Inc. | Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system |
US11146637B2 (en) | 2014-03-03 | 2021-10-12 | Icontrol Networks, Inc. | Media content management |
US11405463B2 (en) | 2014-03-03 | 2022-08-02 | Icontrol Networks, Inc. | Media content management |
US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
JP6526181B2 (ja) * | 2014-09-30 | 2019-06-05 | サイトリックス システムズ,インコーポレイテッド | スマートカードによるログオンおよび連携されたフルドメインログオン |
KR20160046114A (ko) * | 2014-10-20 | 2016-04-28 | 삼성전자주식회사 | 데이터 통신 방법 및 이를 구현하는 전자 장치 |
CN105100270A (zh) * | 2015-08-28 | 2015-11-25 | 百度在线网络技术(北京)有限公司 | 一种信息交互方法及系统 |
US10038552B2 (en) | 2015-11-30 | 2018-07-31 | Honeywell International Inc. | Embedded security architecture for process control systems |
US10855462B2 (en) | 2016-06-14 | 2020-12-01 | Honeywell International Inc. | Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs |
DE102016222741A1 (de) | 2016-11-18 | 2018-05-24 | Continental Automotive Gmbh | Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit |
EP3328016A1 (de) | 2016-11-29 | 2018-05-30 | Siemens Aktiengesellschaft | Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens |
US10587421B2 (en) | 2017-01-12 | 2020-03-10 | Honeywell International Inc. | Techniques for genuine device assurance by establishing identity and trust using certificates |
US10749692B2 (en) | 2017-05-05 | 2020-08-18 | Honeywell International Inc. | Automated certificate enrollment for devices in industrial control systems or other systems |
CN110121168B (zh) * | 2018-02-06 | 2021-09-21 | 华为技术有限公司 | 安全协商方法及装置 |
US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
CN110971576A (zh) * | 2018-09-30 | 2020-04-07 | 北京国双科技有限公司 | 一种安全认证的方法和相关装置 |
US10841153B2 (en) | 2018-12-04 | 2020-11-17 | Bank Of America Corporation | Distributed ledger technology network provisioner |
US11070449B2 (en) | 2018-12-04 | 2021-07-20 | Bank Of America Corporation | Intelligent application deployment to distributed ledger technology nodes |
KR102180481B1 (ko) * | 2019-05-03 | 2020-11-18 | 삼성전자주식회사 | 번들 정보를 제공하는 방법 및 장치 |
CN113785532B (zh) | 2019-05-09 | 2024-02-02 | 三星电子株式会社 | 用于管理和验证证书的方法和装置 |
CN110311949B (zh) * | 2019-05-20 | 2023-05-30 | 军事科学院系统工程研究院网络信息研究所 | 一种跨云管理平台的资源管理方法 |
CN111639116B (zh) * | 2020-05-15 | 2023-06-09 | 中国银联股份有限公司 | 数据访问连接会话保护方法以及装置 |
US11757840B2 (en) * | 2021-09-12 | 2023-09-12 | Netflow, UAB | Configuring a protocol in a virtual private network |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6085320A (en) * | 1996-05-15 | 2000-07-04 | Rsa Security Inc. | Client/server protocol for proving authenticity |
US6055575A (en) | 1997-01-28 | 2000-04-25 | Ascend Communications, Inc. | Virtual private network system and method |
US5923756A (en) | 1997-02-12 | 1999-07-13 | Gte Laboratories Incorporated | Method for providing secure remote command execution over an insecure computer network |
US6490620B1 (en) | 1997-09-26 | 2002-12-03 | Worldcom, Inc. | Integrated proxy interface for web based broadband telecommunications management |
US6052785A (en) * | 1997-11-21 | 2000-04-18 | International Business Machines Corporation | Multiple remote data access security mechanism for multitiered internet computer networks |
US6611503B1 (en) * | 1998-05-22 | 2003-08-26 | Tandberg Telecom As | Method and apparatus for multimedia conferencing with dynamic bandwidth allocation |
US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
US6631417B1 (en) | 2000-03-29 | 2003-10-07 | Iona Technologies Plc | Methods and apparatus for securing access to a computer |
US6336137B1 (en) * | 2000-03-31 | 2002-01-01 | Siebel Systems, Inc. | Web client-server system and method for incompatible page markup and presentation languages |
CA2410431A1 (en) * | 2000-05-24 | 2001-11-29 | Gavin Walter Ehlers | Authentication system and method |
JP2002189976A (ja) | 2000-12-20 | 2002-07-05 | Hitachi Ltd | 認証システムおよび認証方法 |
US20020194501A1 (en) * | 2001-02-25 | 2002-12-19 | Storymail, Inc. | System and method for conducting a secure interactive communication session |
US20050198379A1 (en) * | 2001-06-13 | 2005-09-08 | Citrix Systems, Inc. | Automatically reconnecting a client across reliable and persistent communication sessions |
US7281128B2 (en) | 2001-10-22 | 2007-10-09 | Extended Systems, Inc. | One pass security |
MXPA05010126A (es) * | 2003-04-04 | 2005-11-16 | Ericsson Telefon Ab L M | Metodo de suministro de acceso. |
US7526640B2 (en) | 2003-06-30 | 2009-04-28 | Microsoft Corporation | System and method for automatic negotiation of a security protocol |
CA2438357A1 (en) | 2003-08-26 | 2005-02-26 | Ibm Canada Limited - Ibm Canada Limitee | System and method for secure remote access |
US7299354B2 (en) * | 2003-09-30 | 2007-11-20 | Intel Corporation | Method to authenticate clients and hosts to provide secure network boot |
US7519718B2 (en) * | 2004-02-27 | 2009-04-14 | International Business Machines Corporation | Server-side protocol configuration of accessing clients |
US20060013192A1 (en) * | 2004-07-16 | 2006-01-19 | Nokia Corporation | Obtaining and notifying middle box information |
WO2006026402A2 (en) * | 2004-08-26 | 2006-03-09 | Availigent, Inc. | Method and system for providing high availability to computer applications |
US20060239206A1 (en) * | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Apparatus and method for network identification among multiple applications |
US8220042B2 (en) | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
-
2006
- 2006-02-15 US US11/354,456 patent/US8220042B2/en active Active
- 2006-09-11 KR KR1020087006038A patent/KR20080053298A/ko not_active Application Discontinuation
- 2006-09-11 JP JP2008531219A patent/JP5010608B2/ja active Active
- 2006-09-11 EP EP06803347.1A patent/EP1934780B1/en active Active
- 2006-09-11 WO PCT/US2006/035333 patent/WO2007033087A1/en active Application Filing
- 2006-09-11 CN CN2006800331991A patent/CN101263468B/zh active Active
-
2012
- 2012-06-25 US US13/532,593 patent/US9038162B2/en active Active
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190019623A (ko) * | 2017-08-18 | 2019-02-27 | (주)한드림넷 | 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법 |
Also Published As
Publication number | Publication date |
---|---|
EP1934780B1 (en) | 2017-11-08 |
US9038162B2 (en) | 2015-05-19 |
JP5010608B2 (ja) | 2012-08-29 |
CN101263468A (zh) | 2008-09-10 |
EP1934780A4 (en) | 2010-01-13 |
WO2007033087A1 (en) | 2007-03-22 |
US20120266214A1 (en) | 2012-10-18 |
US8220042B2 (en) | 2012-07-10 |
CN101263468B (zh) | 2013-03-13 |
US20070061878A1 (en) | 2007-03-15 |
EP1934780A1 (en) | 2008-06-25 |
JP2009508261A (ja) | 2009-02-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8220042B2 (en) | Creating secure interactive connections with remote resources | |
US9401909B2 (en) | System for and method of providing single sign-on (SSO) capability in an application publishing environment | |
EP2705642B1 (en) | System and method for providing access credentials | |
TWI400922B (zh) | 在聯盟中主用者之認證 | |
US9781096B2 (en) | System and method for out-of-band application authentication | |
US9432355B2 (en) | Single sign-on method in multi-application framework | |
US20080320566A1 (en) | Device provisioning and domain join emulation over non-secured networks | |
US20160373431A1 (en) | Method to enroll a certificate to a device using scep and respective management application | |
US8191122B2 (en) | Provisioning a network appliance | |
US10404684B1 (en) | Mobile device management registration | |
CN113614691A (zh) | 供传统虚拟交付器件使用的连接租用系统和相关方法 | |
TWI569167B (zh) | 安全的統一雲端儲存 | |
JP6185934B2 (ja) | サーバー・アプリケーションと多数の認証プロバイダーとの統合 | |
EP2568410A2 (en) | Printer server, printer control method, and storage medium | |
US11611541B2 (en) | Secure method to replicate on-premise secrets in a cloud environment | |
US20100287600A1 (en) | Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors | |
US11917087B2 (en) | Transparent short-range wireless device factor in a multi-factor authentication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid |