KR20080053298A - 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 - Google Patents

접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 Download PDF

Info

Publication number
KR20080053298A
KR20080053298A KR1020087006038A KR20087006038A KR20080053298A KR 20080053298 A KR20080053298 A KR 20080053298A KR 1020087006038 A KR1020087006038 A KR 1020087006038A KR 20087006038 A KR20087006038 A KR 20087006038A KR 20080053298 A KR20080053298 A KR 20080053298A
Authority
KR
South Korea
Prior art keywords
server
connection
act
computer system
client computer
Prior art date
Application number
KR1020087006038A
Other languages
English (en)
Inventor
코스틴 하주
엘튼 사울
라즈니쉬 마하잔
서지 에이. 쿠진
조이 칙
존 이. 파슨스
애쉬윈 팔레카
아라 버나디
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20080053298A publication Critical patent/KR20080053298A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/42User authentication using separate channels for security data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 구현은, 접속 셋업 단계의 초기에 클라이언트와 서버를 인증함으로써, 적어도 일부, 클라이언트와 서버 간의 시큐어 접속을 능률적으로 확립한다. 서버와의 접속을 개시하는 클라이언트는 클라이언트에서 인에이블되는 시큐어 통신 프로토콜을 식별하고, 클라이언트가 서버에게 전송한 접속 요청에서의 이들 프로토콜을 식별한다. 서버는 메시지를 처리하여 그것이 접속에 적절하다고 여기는 통신 프로토콜로 응답한다. 이후 클라이언트와 서버는 적절한 인증 정보를 교환하고, 선택된 통신 프로토콜을 구현하는 접속 세션을 확립하고, 교섭된 통신 프로토콜로 메시지를 부호화한다. 추가의 구현은, 많은 접속 자원 오버헤드를 재할애할(recommit) 필요 없이, 가상의 인터넷 프로토콜 어드레스 후면에서 드롭된 접속을 재확립하는 것에 관한 것이다.
Figure P1020087006038
시큐어 통신, 시큐어 통신 프로토콜, 인증, 인증서

Description

접속 프로세스의 비교적 초기에 인증함으로써 시큐어 접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터 실행가능 명령어를 갖는 컴퓨터 프로그램 제품{CREATING SECURE INTERACTIVE CONNECTIONS WITH REMOTE RESOURCES}
컴퓨터화된 시스템이 점점 대중적으로 되어 감에 따라, 크고 작은 네트워크들에서 컴퓨터 시스템의 파일 및 처리 자원을 분산시켜야 할 필요성 또한 증가하고 있다. 일반적으로, 컴퓨터 시스템과 관련 장치들은, 퍼스널 전자 메시지를 교환하기 위해, 상품을 팔기 위해, 계정 정보를 제공하기 위해 등과 같이, 각종 이유로 네트워크를 통해 정보를 교환한다. 그러나, 컴퓨터 시스템과 관련 애플리케이션이 점점 복잡해짐에 따라, 네트워크상에서 데이터와 자원(예를 들면, "장치", "애플리케이션", 또는 "애플리케이션 컴포넌트")을 공유하는 것과 관련된 과제(challenge) 또한 증가한다는 것을 이해할 것이다.
네트워크 내에서 자원을 분산시키는 일부 현재의 방법들로는, 로컬에 자원이 설치되지 않은 하나 이상의 클라이언트와 자원을 공유하는, 중앙 집중형 네트워크 서버를 포함하는, 중앙 집중형 컴퓨팅 시나리오가 있다. 이러한 유형의 기능을 위해 사용된 이러한 하나의 프로토콜은 RDP(Remote Desktop Protocol)이다. 이 RDP로, 중앙 집중형 서버는, 네트워크상에서 원하는 데이터와 자원을 다른 클라이언트들과 공유할 수 있다. 일부 경우, 클라이언트는, 이들 자원들이 마치 로컬에 설치 되어 있는 것과 같이 이 자원들과 상호작용할 수 있다(예를 들면, 마우스 및 키보드 이벤트 등을 전송함). 클라이언트 컴퓨터 시스템과 네트워크 서버 간의 이러한 상호작용은, 클라이언트 컴퓨터 시스템이 마치 그에 설치된 자원으로 데이터를 로컬로 처리한 것처럼 끊임없이(seamlessly) 일어나는 것이 이상적이다.
사용자가 중앙 집중형 서버로의 접속을 개시할 때, 사용자의 클라이언트 컴퓨터 시스템은, 궁극적으로 사용자가 서버 컴퓨터 시스템에 로그인하게 하는, 일련의 프로토콜 교환을 개시한다. 이러한 교환들의 일부는, 시큐어 네트워크 접속의대부분의 유형에 내재하는, 표준 접속의 신호 변경(handshake) 오버헤드이다. 이 오버헤드의 많은 부분이, 사용자가 퍼스널 자격 증명(personal credentials)(예를 들면, 사용자 이름 및 패스워드)으로 인증하는 기회를 가지기도 전의, 클라이언트 컴퓨터 시스템과 중앙 집중형 서버 간의 최초(initial) 접속을 셋업하는 것의 일부이다. 예를 들면, 일부 경우, 사용자에게 로그인 스크린이 제시되기도 전에 중앙 집중형 서버와의 클라이언트 로그인의 일부로 발생하는 16번만큼의 서로 다른 교환이 있을 수 있다. 그 결과, 중앙 집중형 서버와 클라이언트 컴퓨터 시스템은, 통상적으로, 사용자가 인증하는 기회를 실제로 갖기도 전에, 사용자 접속 세션을 생성하기 위해 접속 처리 자원의 상당한 양을 할애한다.
사용자 인증에서의 이러한 관련된 지연으로 인해, 클라이언트/서버 상호작용에 많은 어려움들이 있을 수 있다. 특히, 이러한 유형의 접속 셋업의 문제점들 중 하나는, 인가된 사용자들만이 결국 완전히 인증될 수 있음에도 불구하고, 누구든지 서버로의 접속을 개시할 수 있다는 것이다. 이러한 최초 접속 오버헤드로 인해, 조심성 없는 에이전트가 중앙 집중형 서버에 과부하를 주고 이를 손상시킬 의도로 여러 접속 요청을 개시하는 경우와 같은, 일부 유형의 서비스 거부(Denial of Service, DOS) 공격에 중앙 집중형 서버가 부담을 가질 수도 있다.
이와 같은 접속 시나리오에서 생길 수 있는 또 다른 잠재적 문제점은, 클라이언트와 서버의 접속이 끊어지게 되었을 때 어려움이 있을 수 있다는 것이다. 특히, 통상적으로, 본래의 접속 셋업이 보존되는 경우는 거의 없으므로, 클라이언트 컴퓨터 시스템과 서버는 접속을 재확립할 필요가 있을 것이고, 이것은 이전에 셋업된 오버헤드 시퀀스를 다시 시작함을 의미한다. 이것은, 무선 접속과 같은 변동하는 강도의 접속을 사용하는 클라이언트 컴퓨터 시스템에 문제를 일으킬 수 있으며, 클라이언트 컴퓨터 시스템의 의도된 끊임없는 경험을 방해할 수 있다.
이것은 또한, 클라이언트 컴퓨터 시스템이 서버 팜(server farm)을 통해 중앙 집중형 서버에 접속하고자 하는 상황에서 문제점을 발생시킬 수 있다. 예를 들면, 한 조직은 부하 균형(load balancing) 문제를 공유하기 위해 서버들의 그룹(즉, "서버 팜")을 구성하는 동시에, 하나의 가상 인터넷 프로토콜 어드레스(Virtual Internet Protocol address:VIP)를 통해 어드레스가능하다. 그러나, 클라이언트 컴퓨터 시스템이 서버 팜과의 접속이 끊겼을 때, 클라이언트 컴퓨터 시스템은, 자신과의 접속을 처리하고 있는, 서버 팜 내의 서버에 대한 특정 네트워크 어드레스 대신, VIP만을 알고 있다. 따라서, 클라이언트 컴퓨터 시스템은, 일부 어려움 없이는, 이전에 확립된 통신 설정을 이용하여 중앙 집중형 서버에 자동으로 재접속할 수 없으며, 통신을 계속하기 위해서는, 통상적으로, 일반적인 접속 프로 토콜 교환 전부를 다시 시작해야 할 것이다.
따라서, 특히, 중앙 집중형 컴퓨팅 환경을 처리하는 현재의 접속 개시 프로토콜들에서, 해결될 수 있는 많은 어려움이 있다.
본 발명의 구현은, 이전에 가능했던 것보다 더 안전하게 시큐어 클라이언트 서버 통신에서 자격 증명 정보(credential information)를 확립하도록 구성된 시스템, 방법 및 컴퓨터 프로그램 제품으로, 당분야의 하나 이상의 문제점을 해결한다. 특히, 본 발명의 구현은, 서버가 상당한 양의 접속 자원을 할당할 필요가 없는 시점에서의 인증 정보 교환을 제공한다. 또한, 본 발명의 구현은, 통상적인 1 대 1 클라이언트/서버 접속에서든, 또는 가상 IP 어드레스 후면(behind)의 여러 서버의 서버 팜과 하나의 클라이언트 간에서든, 이미 끊겼던 시큐어 접속을 일관성 있게 재확립할 수 있도록 쉽게 적응될 수 있다.
예를 들면, 접속 프로세스의 비교적 초기에 클라이언트 컴퓨터 시스템과의 시큐어 접속을 생성하는 네트워크 서버 관점으로부터의 방법은, 네트워크 서버의 하나 이상의 원격 서버 자원과 통신하고자 하는 원격 클라이언트로부터의 접속 요청을 수신하는 단계를 포함한다. 일반적으로, 접속 요청은, 원격 클라이언트가 인에이블되는 복수의 시큐어 통신 프로토콜을 나타낸다. 본 방법은 또한, 원격 클라이언트로 접속 응답을 전송하는 단계를 포함하며, 이때, 접속 응답은, 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타낸다. 또한, 본 방법은 바람직한 시큐어 통신 프로토콜의 사용과 원격 클라이언트와의 인증 인증서의 교환을 확인하는 단계뿐만 아니라, 이 바람직한 시큐어 통신 프로토콜을 통해 원격 클라이언트의 원격 클라이언트 자원과 데이터를 통신하는 단계를 포함한다.
네트워크 서버와 시큐어 접속을 생성하는 클라이언트 컴퓨터 시스템 관점으로부터의 방법은, 클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜의 기능들을 식별하는 단계를 포함한다. 본 발명은 또한, 네트워크 서버와 복수의 시큐어 통신 프로토콜의 기능들 중 바람직한 하나를 교섭하는 단계를 포함한다. 이와 같이, 클라이언트와 네트워크 서버는 서로에게 바람직한 시큐어 통신 프로토콜을 식별한다.
또한, 본 발명은, 이 바람직한 시큐어 통신 프로토콜을 이용하여 네트워크 서버의 원격 서버 자원과 인증 정보를 통신함으로써 각각의 아이덴티티를 확인하는 단계를 포함할 수 있다. 일반적으로, 클라이언트는 자기 자신의 인증 정보를 전송할 수 있고, 클라이언트는 서버로부터 인증 인증서를 수신할 것이다. 서버 인증서는 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신한 인증서 중 임의의 하나를 포함할 수 있다. 본 발명은, 바람직한 시큐어 통신 프로토콜을 이용하여 통신된, 하나 이상의 초기 데이터 패킷으로, 네트워크 서버의 아이덴티티를 확인하는 단계를 더 포함할 수 있다.
본 요약은 이하의 발명의 상세한 설명에서 더 기술될 엄선된 개념들을 단순화된 형태로 소개하기 위해 제공된 것이다. 본 요약은 청구된 내용의 중요 특징들 또는 핵심 특징들을 식별하고자 하는 것이 아니며, 또한, 청구된 내용의 범위를 결정하는 것을 돕기 위해 사용되고자 하는 것도 아니다.
본 발명의 추가의 특징 및 이점들은 이하의 설명에 설명될 것이며, 일부분은 이하의 설명으로부터 명백할 것이며, 또는, 본 발명의 실시에 의해 학습될 수 있다. 본 발명의 특징 및 이점들은 첨부된 청구항에서 특별히 지적된 도구와 조합에 의해 실현되고 획득될 수 있다. 본 발명의 이들 및 기타 특징들은 이하의 설명과 첨부된 청구항으로부터 완전히 명백하게 될 것이며, 이하에 설명될 본 발명의 실시예에 의해 학습될 것이다.
도 1a는, 본 발명의 구현에 따른, 클라이언트 컴퓨터 시스템과 네트워크 서버 간의 보안 교섭에 관한 전반적인 개략도.
도 1b는, 본 발명의 구현에 따라, 궁극적으로 시큐어 채널을 확립하기 위해, 클라이언트 컴퓨터 시스템과 네트워크 서버가 시큐어 채널을 교섭하고, 인증 정보를 교환하는 도 1a의 개략도.
도 1c는, 본 발명의 구현에 따라, 클라이언트 컴퓨터 시스템과 네트워크 서버가 보안 프로토콜 기능 및/또는 선택을 확인하는 방식으로 데이터를 교환하는, 도 1a 및 도 1b에 대한 개략도.
도 1d는, 도 1a 내지 도 1c에 도시된 네트워크 서버가 서버 팜의 일부이고, 클라이언트 컴퓨터 시스템과 네트워크 서버가 접속을 드롭한(drop) 후 재접속을 시도하는, 본 발명의 실시예에 따른 또 다른 개략도.
도 2는 본 발명의 실시예에 따른, 시큐어 네트워크 접속을 개시하기 위한, 클라이언트 컴퓨터 시스템과 네트워크 서버의 관점으로부터의 흐름도.
본 발명의 구현은, 이전에 가능했던 것보다 더 안전하게 시큐어 클라이언트 서버 통신으로 자격 증명 정보를 확립하도록 구성된 시스템, 방법 및 컴퓨터 프로그램 제품에 관한 것이다. 특히, 본 발명의 구현은, 서버가 상당한 양의 접속 자원을 할당할 필요가 없는 시점에서 인증 정보의 교환을 제공한다. 또한, 본 발명의 구현은, 끊어졌던 시큐어 접속(이것이 통상적인 1 대 1 클라이언트/서버 접속이든지, 또는 가상 IP 어드레스 후면에서의 다수 서버인 서버 팜과 하나의 클라이언트 간의 접속이든지 간에)의 일관된 재확립을 허용하도록 쉽게 적응될 수 있다.
따라서, 그리고, 이하의 설명 및 청구항으로부터 완전히 이해되는 바와 같이, 이들 원리의 적어도 하나의 이점은, 클라이언트 또는 컴퓨터가 반드시 소정의 유형의 DOS 공격을 당하지 않고서도 시큐어 네트워크 접속을 확립할 수 있다는 점이다. 예를 들면, 클라이언트 컴퓨터 시스템과 네트워크 서버는, 접속 세션을 생성한 후가 아니라, 요청 및 응답 메시지의 초기 집합에서와 같은 인터랙티브 로그온 접속 시퀀스의 초기에 보안 및 자격 증명 정보를 교환할 수 있다. 또한, 본 발명의 구현은, 교섭된 시큐어 통신 프로토콜로 이어서 통신할 때, 클라이언트와 서버에서 확인될 요청 및 응답 메시지를 제공한다. 따라서, 클라이언트와 서버는, 초기에 인증 정보를 제공하지 않거나 또는 접속 생성 시의 하나 이상의 확인 단계(phase)에서 실패하는, 부적당한(unqualified) 요청 엔티티에 상당한 자원을 할당하는 것을 피할 수 있다.
예를 들면, 도 1a는 본 발명의 구현에 따른, 클라이언트 컴퓨터 시스템과 네 트워크 서버 간의 보안 교섭에 관한 개략적인 개략도이다. 도시된 바와 같이, 클라이언트(100)는 원격 클라이언트 애플리케이션(105)을 포함한다. 일반적으로, 원격 클라이언트 애플리케이션(이것은 또한 본 명세서에서 "원격 자원" 또는 "원격 클라이언트 자원"이라 지칭됨)은 또 다른 원격 애플리케이션 또는 관련된 컴포넌트(예를 들면, 원격 서버 애플리케이션(140))에 접속할 수 있고 데이터를 공유할 수 있는 애플리케이션 또는 관련 컴포넌트이다. 예를 들면, 한 구현에서, 원격 클라이언트 애플리케이션(105)은, 시큐어 접속 세션을 확립한 후, 네트워크 서버의 MICROSOFT TERMINAL SERVICES 애플리케이션과 궁극적으로 접속하기 위해 "RDP(Remote Desktop Protocol)"을 사용하는, MICROSOFT TERMINAL SERVICES이다. 이러한 경우, 원격 클라이언트 자원은 소정의 애플리케이션 기능(예를 들면, 워드 프로세싱, 스프레드시트 등)을 제공하기 위해 서버 자원을 액세스할 수 있으며, 이후, 소정의 애플리케이션 기능은 클라이언트 컴퓨터 시스템(100)의 디스플레이 스크린(도시 생략)에 디스플레이된다.
도 1a는, 또한, 원격 클라이언트 애플리케이션(105)이 보안 옵션 컴포넌트(120) 뿐만 아니라 자격 증명 관리자(credential manager)(109)와 인증서 저장소(certificate store)(110)와 통신하고 있음을 도시하고 있고, 이들은 이하에 상세히 설명될 것이다. 일반적으로, 보안 옵션 컴포넌트(120)는, 클라이언트 컴퓨터 시스템(100)에서 인에이블되는(예를 들면, 설치될 수 있거나, 또는 활성인) 모든 시큐어 통신 프로토콜의 리스트(예를 들면, 시스템 구성 테이블)이다. 이 시큐어 통신 프로토콜의 리스트에는, 임의의 개수의, 공지되고 사용가능한 이러한 프로토 콜들이 포함되어 있다. 그럼에도 불구하고, 도 1a에는, 클라이언트(100)의 보안 옵션 컴포넌트(120)가, 예를 들면, "SSL(Secure Socket Layer)" 컴포넌트(130)와 "Cred-SSP(Credential-Security Service Provider, 이는 또한 "Credential-Security Support Provider"라 공지되어 있음)" 컴포넌트(135)를 포함하고 있는 것을 도시하고 있다. Cred-SSP 컴포넌트(135)는, SSL, NTLM(WINDOWS NT LAN MANAGER) 및 Kerberos와 같은 기타 시큐어 통신 프로토콜들의 양태들을 하나로 묶는, 비교적 새로운 WINDOWS SSP(security service provider)이다. 도시되지는 않았지만, 클라이언트(100)는 또한 레거시(Legacy) RDP 보안 인프라스트럭쳐를 사용하도록 구성될 수 있다.
설명을 위해, 컴포넌트들(125, 130 및 135)이 MICROSOFT 운영 체제 환경에서 사용되는 것으로 알려진 시큐어 통신 프로토콜(또는 인프라스트럭쳐 - 예를 들면, 레거시 RDP)로서 도시되었지만, 당업자들은 본 명세서에 약술된 원리가 특정 유형의 시큐어 통신 프로토콜에 제한되지 않으며, 또한, 특정 운영 체제 환경 또는 특정 애플리케이션에 제한되지 않음을 이해할 것이다. 즉, 본 명세서에 기술된 원리는 관련된 기타 시큐어 클라이언트/서버 또는 공유 애플리케이션 및 해당 통신 프로토콜에 쉽게 적용될 수 있으며, 임의의 기타 운영 체제 환경에서도 즉시 구현될 수 있다. 따라서, MICROSOFT 운영 환경에서 통상적으로 이용되는 명칭에 대한 특정 상술은 주로 설명을 편리하게 하기 위함이다.
여하튼, 도 1a는 또한 원격 클라이언트 애플리케이션(105)이 인증 인터페이스(103)를 통해 클라이언트 자격 증명(예를 들면, 사용자 이름 및 패스워드(107)) 을 수신할 수 있음을 도시한다. 예를 들면, 원격 클라이언트 애플리케이션(105)을 개시하라는 소정의 사용자 입력으로부터의 요청을 수신하거나 또는 컴퓨터 시동시에서와 같은 일반적인 로그인 요청을 수신하면, 클라이언트(100)는 사용자에게 인증 인터페이스(103)를 제시한다. 인증 인터페이스(103)는 사용자에게 사용자 이름 및 패스워드, 스마트 카드 또는 일부 다른 인증 정보와 같은 것을 제시할 것을 요청한다. 사용자에 의해 제공된 이들 및 다른 클라이언트 인증 정보는 예를 들면, 자격 증명 관리자(109)에 저장될 수 있다. 클라이언트 인증 정보의 다른 유형은, 스마트 카드 및 PIN(Personal Idendification Numbers)과 같은 것을 포함할 수 있다.
일부 경우, 클라이언트(100)는 또한, 클라이언트 증명서 저장소(110)에 저장되는 클라이언트 증명서(113)의 형태인 인증 정보를 지닐 수 있다. 그러나, 보다 통상적으로, 인증 객체로서의 증명서는 서버(150)에 의해 사용되며, 이는 이하에 더 상세하게 설명된다. 일반적으로, 일부 형태의 입력으로부터 생성되고 증명서 저장소에 저장되어 궁극적으로 사용자 또는 컴퓨터 시스템을 식별하는 데에 사용될 수 있는, 많은 다른 종류의 보안 증명서들이 있다. 일부 경우, 증명서는 단지 암호화 키를 제공하기 위한 플레이스홀더(placeholder)일 뿐일 수 있다. 그럼에도 불구하고, 일부 유형의 증명서들은, 제3자에 의해 배서될(endorse) 필요가 없이 생성자에 의해 서명된 본질적으로 디지털 서명인, "자체 서명 증명서(self-signed certificates)"를 포함한다.
다른 유형의 증명서로는, 사용자가 서버를 액세스하여 자신이 생성했던 바람 직한 증명서를 수동으로 설치하는, 수동 설치 증명서가 있다. 또 다른 유형의 증명서로는, 승인된 인증 기관(recognized authenticating party)에 의해 배서된 디지털 서명과 같은, 제3자 증명서 서버 배서 인프라스트럭쳐를 통해 수신한 것이 있다. 여하튼, 이러한 유형의 증명서들 중 임의의 것이 또는 그 모든 것이 소정의 때에 증명서 저장소(110)(또는 저장소(115))에 저장될 수 있다. 그럼에도 불구하고, 도 1a는 증명서 저장소(110)가 증명서(113)를 보유하고 있음을 도시하고 있고, 이하에 더 상세히 설명되는 바와 같이, 증명서 저장소(110)는 궁극적으로 서버(150)로부터 전송된 서버 증명서(117)(예를 들면, 도 1b 내지 도 1c에 있음)를 보유할 것이다.
원격 클라이언트 애플리케이션(105)의 사용자가 서버(150)와의 시큐어 인터랙티브 로그온 접속을 개시하고자 하는 경우, 클라이언트 애플리케이션(105)은 우선 내부 보안 탐지를 수행할 수 있다. 예를 들면, 클라이언트 애플리케이션(105)은 보안 옵션 컴포넌트(120)의 사용가능하며 인에이블된 시큐어 통신 프로토콜들 각각을 식별할 수 있다. 이후, 클라이언트 애플리케이션(105)은, 시큐어 네트워크 통신에서 각각 사용될 수 있는 최소한의 컴포넌트들(125, 130 및 135)이 있음을 식별할 수 있다. 클라이언트 애플리케이션(105)은, 또한, 일부 환경에서 사용하는 것을 더 선호할 수도 있는 레거시 RDP 인프라스트럭쳐와 같은 기존의 보안 인프라스트럭쳐를 탐지할 수 있다.
이후, 원격 클라이언트 애플리케이션(105)은, 식별된 서로 다른 시큐어 통신 프로토콜들(즉, 참조번호(125, 130, 135 등)) 또는 관련된 보안 인프라스트럭쳐 각 각을 나타내는, 접속 요청 메시지(137)를 작성한다(prepare). 접속 요청 메시지(137)는, 인터랙티브 로그온에서 일반적으로 행해지는 것과 같이, 특정 자원으로의 액세스를 요청하지 않는, 일반적인 접속 요청일 수 있음을 주목한다. 그러나, 당업자들은 본 발명의 원리가, 서버(150)의 특정 자원으로 향하는 로그온 접속 요청에 또한 적용될 수 있음을 이해할 것이다. 그럼에도 불구하고, 접속 요청(137)은, 식별된 다른 시큐어 통신 프로토콜들(즉, "클라이언트 기능(capabilities)")을 포함하도록 확장되는, 적어도 하나의 구현에서의 "X224" 접속 요청 메시지일 수 있다. 이후, 원격 클라이언트 애플리케이션(105)은 네트워크를 통해, 궁극적으로는 원격 서버 애플리케이션(140)으로 접속 요청(137)을 전송한다.
대안의 실시예에서, 클라이언트(100)는 X224 접속 요청 메시지를 작성하는 대신, SSL을 이용하여 서버 측의 Cred-SSP(175)로 직접 메시지(137)를 전송한다. 이후 서버(150)는 메시지(137)의 하나 이상의 초기 패킷에 있는 SSL 및 Cred-SSP 표시를 식별한다. 일부 경우, 이를 이용하여, 클라이언트(100)와 서버(150)는, 직접 전송이 아닐 경우에서의 X224 접속 요청과 응답 메시지의 생성과 관련한 일부 오버헤드 없이, 좀 더 신속하게 보안 협상 단계를 완료할 수 있다.
여하튼, 메시지(137)가 X224 또는 다른 관련된 방법을 이용하여 전송되며, 원격 서버 애플리케이션(140)이 메시지(137)를 수신하여 처리한다고 가정한다. 이후, 서버(150)는 클라이언트(100)에 의해 제안된 시큐어 통신 기능들을 식별하고, 적절한 시큐어 통신 프로토콜(또는 보안 인프라스트럭쳐)을 선택한다. 예를 들면, 도 1a는, 애플리케이션(140)의 결정 모듈(145)을 통해, 서버(150)가 SSL 컴포넌 트(170) 및/또는 Cred-SSP 컴포넌트(175) 중 임의의 것으로 인에이블될 수 있음을 또한 도시하고 있다. 도시되지는 않았지만, 서버(150)는 또한 레거시 RDP 보안 인프라스트럭쳐로도 인에이블될 수 있다. 한 실시예에서, 결정 모듈(145)은, 어느 측면에서는 클라이언트 측 컴포넌트(120)와 유사한, 서버 측 보안 옵션 컴포넌트(예를 들면 컴포넌트(160))를 리뷰함으로써, 특정 시큐어 통신 프로토콜의 사용을 결정한다. 물론, 서버(150)는 클라이언트(100)에 제시된 것보다 더 많은 수 또는 더 작은 수의 시큐어 통신 프로토콜로 인에이블될 수 있다. 이런 경우, 결정 모듈(145)은 클라이언트(100)에 공통인 이들 통신 프로토콜을 식별하여, 바람직한 통신 프로토콜(또는 인프라스트럭쳐)을 고를 수 있다.
결정 모듈(145)은, 시스템 설정, 네트워크 관리자 또는 다른 사용자 환경 설정 및/또는 기타 네트워크 상태를 비롯한(그러나 이에 제한되지 않음) 임의의 개수의 요소에 기초하여 결정을 내릴 수 있다. 그러나, 도 1a에서는 원격 서버 애플리케이션(140)이 Cred-SSP 시큐어 통신 프로토콜(139)을 이용하여 통신하기로 했음을 도시하고 있다. 특히, 도 1a는, 서버(150)가 Cred-SSP(클라이언트(100) 및 서버(150)의 컴포넌트(135) 및 컴포넌트(175))를 이용하여 통신하기를 원한다는 표시를 포함하는 접속 응답 메시지(139)를 원격 서버 애플리케이션(140)이 작성하는 것을 도시한다. 한 구현에서(예를 들면, 메시지(137)는 X224 접속 메시지임), 접속 응답 메시지(139)는 또한 X224 포맷의 접속 응답 메시지이다. 이후, 서버(150)는 메시지(139)를 클라이언트(100)에게 전송하고, 클라이언트(100)가 이를 수신함으로써 요청된 접속의 초기 보안 교섭 단계가 완료된다.
메시지(139)에 바람직한 시큐어 통신 프로토콜의 표시가 포함되어 있지 않을 경우, 클라이언트(100)는, 서버(150)가, 상술된 보안 교섭 단계를 수행할 수 없는 오래된 서버라는 것을 식별할 수 있다. 이러한 경우, 클라이언트(100)는 간단히 접속을 드롭하고(drop), 사용자에게 추가의 액션을 프롬프트하거나(prompt), 또는 클라이언트(100)가 보기에 서버(150)가 이해할 수 있다고 생각되는 디폴트 보안 통신 프로토콜로 조정할 수 있다. 다른 결정에서와 같이, 이 디폴트 설정은, 사용자, 네트워크 관리자 또는 기타 시스템 전반에 걸친 디폴트 설정 중 임의의 것에 기초할 수 있다. 한 구현에서, 시큐어 통신 프로토콜의 환경 설정에 대한 표시 없이 접속 응답 메시지(139)를 수신하게 되면, 원격 클라이언트 애플리케이션(105)은 RDP 통신 프로토콜을 디폴트로 설정한다.
상술된 보안 교섭 단계의 완료 후, 도 1b는 클라이언트 컴퓨터 시스템(100)과 서버(105)가 시큐어 통신 프로토콜을 셋업할 수 있음을 도시하고 있다. 이 특정 예에서, 클라이언트(100)와 서버(150)는, 서로에게 얘기하기 위해, 그 각각의 통신 스택의 보안 계층에 있는 각각의 "Cred-SSP" 컴포넌트를 이용하여, 시큐어 통신 채널을 개시한다. 이것은, 클라이언트(100)의 Cred-SSP 컴포넌트(135)가 서버(150)의 Cred-SSP 컴포넌트(175)와 통신하고 있음을 의미한다(예를 들면, 도 1b의 점선 모양의 양쪽 화살표도 도시되어 있음). 예를 들면, 도 1b는, 원격 클라이언트 애플리케이션(105)이 원격 서버 자원, 즉, 원격 서버 애플리케이션(140)으로 전송될 메시지(167)를 작성하고 있는 것을 도시한다. 이 경우, 메시지(167)는 사용할 하나 이상의 시큐어 채널들(예를 들면, 채널(163))의 제안을 포함한다. 이 후, 서버(100)는 메시지(167)를 리뷰하고, 제안된 채널들 중 어느 것을 사용할지를 결정한다. 이후, 서버(150)는 클라이언트(100)에 의해 제안된 채널들 중 하나(예를 들면, 채널(163))를 사용함을 확인하는 확인 메시지(169)를 전송한다.
클라이언트(100)와 서버(150)는 또한 인증 정보를 교환하여 교섭된 시큐어 채널(예를 들면, 이 경우 채널(163))의 셋업을 마무리한다(finalize). 예를 들면, 도 1b는, 클라이언트(100)가 또한 클라이언트 인증 정보(168)를 (메시지(167)와 함께 또는 바로 뒤에) 서버(150)로 전송하고, 서버(150)도 서버 인증 정보(171)로 응답하는 것을 도시한다. 클라이언트 인증 정보는, 사용자 이름 및 패스워드(107), 스마트 카드 및 PIN(111), 및 일부 경우 클라이언트 인증서(113)와 같은, 각종 인증 메커니즘을 포함할 수 있다.
이와는 대조적으로, 서버 인증 정보(171)는 또한, 예를 들면, 특별히 선택된 서버 인증서 뿐만 아니라 Kerberos 계정의 자격 증명 및/또는 티켓(ticket)과 같은, 각종 인증 메커니즘을 포함할 수 있다. 서버(150)에서, 결정 모듈(145)은, 사용가능한 서버 인증서들 중 어느 것을 사용하는지에 관해 결정을 내린다. 한 구현에서, 결정 모듈(145)은 서버 관리자에 의해 선택된 인증서를 선호하여, 서버(150) 시스템 설정이 인증서에 대한 환경 설정을 나타내는지 여부를 점검하도록 구성된다. 서버 관리자 그리고 서버(150) 둘 다 인증서 환경 설정을 표시하지 않은 경우, 결정 모듈(145)은 서버(145)로 하여금 메시지(171)용의 자체 서명 인증서를 스스로 생성하게 한다. 여하튼, 원격 서버 애플리케이션(145)은 메시지(171)를 작성하고, 선택된 보안 컴포넌트(즉, Cred-SSP(175))는 결정된 서버 증명서를 메시 지(171) 내로 삽입할 수 있다. 이후, 서버(150)는 교섭된 시큐어 채널(예를 들면, 참조번호(163))을 통해 메시지(171)를 전송하고, 서버 증명서(117)의 사본을 클라이언트 측 증명서 저장소(110)에 둔다.
당업자들은, 클라이언트에 의해 또는 서버에 의해 전송된 인증이 수신 측에서 거부될 수 있음을 이해할 것이다. 여기에는, 수신 측에 의해 무효한 것(invalidaty)으로 결정되는 겅우, 인증의 타임 스탬프의 기간이 만료된 경우, ID 정보와 초기 접속 셋업 메시지(137, 139)에서 제공된 ID 정보 간의 모순 등을 비롯한 거부와 같은, 여러 이유가 있을 수 있다. 이러한 경우, 대응하는 수신 애플리케이션(예를 들면, 참조번호(105, 140)) 각각에 의해 사용되는 보안 컴포넌트(예를 들면, Cred-SSP(135, 175))는 거부 이유에 기초하여 특정 액션을 수행하도록 구성될 수 있다. 예를 들면, 결정 모듈(115) 또는 결정 모듈(145)은, 그 구성 설정을 참고하여(consult) 새 인증서를 요청하고, 그 접속을 드롭하고, 사용자에게 추가의 액션을 프롬프트하는 등을 할 수 있다. 일부 경우, 적절한 액션은, 애플리케이션이 이러한 유형의 문제를 해결하기 위해 어떻게 구성되어 있는지를 지시하는(dictate), 사용자 환경 설정 또는 디폴트 시스템 설정에 의존할 수 있다.
여하튼, 일단 클라이언트(100)와 서버(150)가 시큐어 채널 셋업(즉, 시큐어 채널을 교섭하고, 인증을 전송하고, 수신하고 이를 수락하는 것)을 완료하면, 클라이언트(100)와 서버(150)는 사용자 접속 세션을 확립하여, 데이터 패킷의 전송을 시작할 수 있다(예를 들면, 도 1c 참조). 그 결과, 도 1a 및 도 1b는, 클라이언트(100)와 서버(150)가 소정의 사용자 접속 세션을 확립하기 전에 서로를 인증하는 것을 도시한다. 이러한 초기의 인증은 각종 이점을 제공할 수 있는데, 그 중 적어도 일부는 DOS 공격을 완화하는데 사용될 수 있다. 예를 들면, 클라이언트로부터 수신된 접속 요청 메시지들(예를 들면, 참조번호(137, 167, 168))의 초기 집합이 적절한 클라이언트 인증 정보를 포함하지 않거나 또는 클라이언트의 보안 기능들의 표시를 포함하지 않는 경우, 서버(150)는 간단히 그 접속 요청을 드롭함으로써 임의의 접속 처리 오버헤드를 커밋하는 것을 피하도록 구성될 수 있다.
시큐어 채널 셋업을 위한 이들 초기의 접속 요청 및 응답 외에, 도 1c는, 클라이언트(100)와 서버(150)가 시스템의 보안 기능을 증가시키는 추가의 메시지를 전송하는 것을 도시한다. 예를 들면, 클라이언트(100)와 서버(150)는, 보안 프로토콜에서의 선택을 확인하고, 또한, 사용자 접속 세션 동안 데이터 패킷의 초기 집합을 교환할 때 서로를 추가로 인증한다. 특히, 도 1c는, 클라이언트 애플리케이션(105)이 메시지(177)를 작성하는 것을 도시하며, 이 메시지는 원격 애플리케이션 프로토콜(예를 들면, RDP)에 따라 포맷된 데이터를 포함하고, 원격 서버 애플리케이션(150)에 의해 처리되었으면 하고 클라이언트(100)가 의도하는 메시지이다. 도 1c에서는, 메시지(177)가 또한 그에 첨부된 메시지들(137 및/또는 139) 중 임의의 것을 포함할 수 있음을 또한 도시하는데, 이들은, 초기 인증에서 선택된 보안 프로토콜이 실제로 클라이언트 및 서버가 선택하고자 한 것이며 이는 또 다른 측에 의해 함부로 변경되지 않았음을 확인한다.
메시지(177)를 수신하면, 원격 서버 애플리케이션(140)은 대응하는 데이터의 처리를 시작할 수 있다. 그러나, 일부 실시예에서는, 원격 서버 애플리케이 션(140)은 첨부된 메시지들 중 임의의 것이 서버(150)가 기대하는 것과 일치한다는 것을 확인하기 전까지는 메시지(177) 데이터의 처리를 시작하지 않는다. 그럼에도 불구하고, 도 1c는, 메시지(177)를 수신하면, 원격 서버 애플리케이션(140)이 원격 애플리케이션 프로토콜(예를 들면, RDP) 데이터 패킷으로서 또한 포맷된 응답 메시지(179)를 작성하는 것을 도시한다. 또한, 도 1c는, 마찬가지로, 보안 프로토콜을 협상할 때, 서버(150)에 의해 제안된 기능들을 확인하기 위한 한 방법으로서, 메시지(179)가 그에 첨부된 메시지들(137 및/또는 139) 중 임의의 것을 포함할 수 있음을 도시한다.
수신 시, 원격 클라이언트 애플리케이션(105)은 메시지(179)에 포함된 데이터를 처리한다. 그러나, 대안의 실시예에서는, 상술된 바와 같이, 원격 클라이언트 애플리케이션(105)은 우선, 메시지(179)에 포함된 정보(예를 들면, 첨부된 메시지 또는 기타)가 데이터를 처리하기 전에 클라이언트(100)가 기대하는 것인지를 검증할 수 있다. 기대되는 정보가 없을 경우, 클라이언트(100)는 그 접속을 드롭하고, 사용자에게 추가의 액션을 프롬프트하고, 및/또는 새 접속 요청을 전송할 수 있다. 마찬가지로, 메시지(179)에 포함된 정보가 기대했던 것과 여러 가지 점에서 다른 경우, 클라이언트(100)는 그 접속을 드롭하고, 서버로부터의 정정을 요청하거나 또는 간단히 새 접속 요청을 시작하여 새 접속 요청을 행할 수 있다(예를 들면, 도 1a 참조).
클라이언트(100)와 서버(150)가 적절하게 시큐어 통신 채널을 교섭하여 이를 셋업했고, 교섭된 프로토콜을 확인하고, 그 각각의 아이덴티티를 확인했으며, 대응 하는 애플리케이션들(105 및 140)이 선택된 시큐어 통신 프르토콜을 이용하여 계속 통신할 수 있다고 가정해보자. 예를 들면, 클라이언트(100)의 애플리케이션(105)은, 마우스 또는 키보드 명령과 같은 사용자 선택 이벤트를 수신하고, 포맷하고(예를 들면, RDP), 이를 전송하고, 그리고 원격 서버 애플리케이션(140)은 이들 이벤트를 처리하고, 대응하는 응답 데이터를 시큐어 채널(163)을 통해 클라이언트(100)로 전송할 수 있다. 이 통신은 무한히, 또는 통신 당사자 중의 한쪽이 의도적으로 또는 부주의하게 채널(163)을 닫을 때까지 일어날 수 있다. 따라서, 이하의 표는 상술된 바와 같은 이 초기 셋업 프로세스의 구현을 약술한다.
클라이언트(100) 서버(150)
지원되는 프로토콜을 식별함(예를 들면, 도 1a의 참조번호(115)를 통해)
사용가능한 프로토콜과 함께 X224 접속 요청을 송신함(예를 들면, 참조번호(137))
알려진 클라이언트의 프로토콜 중 어떤 것이 사용가능한지를 식별함(예를 들면, 도 1a의 참조번호(145)를 통해)
바람직한 보안 프로토콜로 X224 접속 응답을 전송함(예를 들면, 도 1a의 참조번호(139))
시큐어 채널 셋업을 개시함(예를 들면, 도 1b의 참조번호(167))
시큐어 채널 셋업을 수락함(예를 들면, 도 1b의 참조번호(169))
시큐어 채널 셋업에 필요한 데이터를 교환함(예를 들면, 참조번호(168)) 시큐어 채널 셋업에 필요한 데이터를 교환함(예를 들면, 도 1b의 참조번호(171))
시큐어 채널 셋업이 완료됨(도 1b 참조) 시큐어 채널 셋업이 완료됨(도 1b 참조)
사용가능한 시큐어 프로토콜의 리스트를 확인함(예를 들면, 도 1c의 참조번호(177))
바람직한 시큐어 프로토콜을 확인함(예를 들면, 도 1c의 참조번호(179))
RDP 데이터 교환(도 1c 참조) RDP 데이터 교환(도 1c 참조)
본 발명의 한 실시예에서, 클라이언트(100)는 또한 사용자에게 자격 증명 또는 다른 인증 정보를 다시 프롬프트할 필요 없이, 사용자 접속 세션을 다시 시작할 수 있다. 특히, 클라이언트(100)가 드롭 후 접속을 다시 시작하는 경우(자동 또는 수동 재접속을 통해서와 같이), 클라이언트(100)는 단순히, 이전의 유효한 접속 컨텍스트(즉, 사용자 자격 증명 컨텍스트 또는 핸들)를 다시 말하는(restate) 재접속 요청을 제출한다. 일반적으로, 접속 컨텍스트(예를 들면, 도 1d의 참조번호(111))는, 서버(150)에 이전에 중계된 클라이언트 인증 정보(예를 들면, 참조번호(168))로서 이러한 클라이언트 접속 설정 정보뿐만 아니라 시큐어 통신 프로토콜에서의 선택 및 클라이언트와 서버가 서로를 즉시 식별할 수 있게 하는 임의의 기타 적절한 설정을 포함한다. 상술된 바와 같이, 이것은 통상적으로, 사용자 이름 및 패스워드, 및/또는 스마트카드 및 PIN 인증 컴포넌트들을 포함한다. 따라서, 접속이 드롭되어도, 접속 컨텍스트는 여전히 유효하여(즉, 만료되지 않거나 변경되지 않음), 클라이언트(100)는 사용자에게 인증 정보를 프롬프트하지 않고 그 접속 컨텍스트를 서버(150)에 다시 제출할 수 있어, 클라이언트(100)와 서버(150)의 접속이 드롭된 시점에도 교섭된 채널(163)을 통해 계속해서 통신할 수 있다.
그러나, 지금 막 기술한 것과 같은 재접속은, 부하 조절을 위해 단일 IP 어드레스 후면에서 구성된 서버 그룹과 같은 서버 팜(server farm)에서는 더 복잡할 수 있다. 예를 들면, 도 1d에 도시된 바와 같이, 서버들(148, 149, 150 및 151)의 서버 팜(180)은, 동일한 IP 어드레스, 즉 가상 IP 어드레스(190)("VIP(190)")를 통해 원격 클라이언트 컴퓨터들로 각각 어드레스가능하다. 일반적으로, VIP는 또 다른 에지 서버에 의해, 또는 서버 팜(180)의 각 서버의 구성에 의해 제공된다. 대안으로는, 서버 팜(180)의 각 서버는 동일한 VIP의 서로 다른 양태들을 처리하도록 구성되어 있고, 그리하여 서버 팜의 다른 서버들로 패킷을 또한 중계하고 라우팅한 다. 그럼에도 불구하고, 이들 서버 모두는 하나의 VIP를 통해 접속 부하의 일부를 공유할 수 있고, 소정의 시간에 오직 단 하나의 임의의 서버만이 다른 컴퓨터(예를 들면, 클라이언트(100))와 특정 세션을 처리할 수 있을 것이다.
접속을 확실하게 알기 위해, 책임(responsibility)이 적절하게 처리되는데, 도 1d는 각 서버(148, 149, 150 및 151)가 대응하는 "세션 디렉토리 에이전트(session directory agent)"(183, 185, 187 및 189)를 지니며, 이 세션 디렉토리 에이전트는 그것이 설치된 각각의 서버에서의 접속 세션을 추적한다. 예를 들면, 소정의 접속을 처리하는 서버는, 클라이언트(100)에 대해 상술된 바와 같이, 접속하는 클라이언트에 대한, 사용자 인증 정보를 포함하는 소정의 접속 컨텍스트에 기초하는 하나 이상의 접속 세션을 지닐 것이다. 서버는, 대응하는 세션 디렉토리 에이전트와 중앙 세션 디렉토리 에이전트 서버(153)를 통해, VIP(190) 후면의 서버 팜(180)과 같은 서버 팜의 다른 서버들에 의해 서비스되는 모든 세션들의 위치에 관한 디렉토리 리스트를 또한 지닐 것이다. 즉, 일반적으로 그 어떠한 서버도 서버 팜을 통해 서비스되는 모든 접속에 대한 사용자 세션 전부를 지닐 수는 없지만, 적절한 정보를 지니지 못하는 접속(즉, 소정의 클라이언트 텍스트에 대응하는 세션)을 정보를 지니는 팜의 서버에 돌릴 것이다.
따라서, 예를 들면, 도 1d는 클라이언트(100) 또는 서버(150)가 부주의하게 접속해제된 후의 어느 시점에서, 클라이언트(100)가 재접속 메시지(193)를 작성하고, 이 메시지를 VIP(190)를 통해 전송하는 것을 도시한다. 도 1d는 또한 이 메시지(193)가 서버(150)의 이름 및/또는 네트워크 어드레스, 및/또는 일부 사용자 정 보를 포함하는 쿠키와 같은 이전의 접속 정보를 포함함을 도시한다. 일반적으로, (예를 들면, 서버(153)를 통한) VIP 관리 인프라스트럭쳐는 이 포함된 이전의 접속 정보를 인식할 수 있어, 서버(150)로 메시지(193)를 제대로 라우팅할 수 있다. 이후, 서버(150)는 클라이언트(100)와 시큐어 채널을 확립할 수 있고, 이전 접속에 대한 접속 컨텍스트(111)를 서비스하고 있는 세션 디렉토리 에이전트(187)(또는 세션 디렉토리 서버(153))를 통해 확인할 수 있고, 이후 이전의 접속 세션을 재확립할 수 있다.
자동 재접속이 일어나지 않는 경우, 접속 메시지(193)가 서버 ID 정보를 충분히 포함하지 않을 수 있기 때문에 프로세스가 약간 다를 수 있다. 따라서, 예를 들면, 재접속 메시지(193)는 우선 서버(148)에 도달하고, 이 경우, 이것은 이전 접속을 서비스하지 않는다. 그럼에도 불구하고, 시큐어 채널이 셋업되면, 서버(148)는 세션 디렉토리 에이전트(183)를 통해 또는 세션 디렉토리 서버(153)를 참조함으로써 메시지(193)를 충분히 처리하여, 서버(148)가 세션(191)를 이용하여 접속하기에 적절한 정보를 지니지 않은 것으로 결정할 수 있다. 즉, 서버(148)는 사용자 또는 메시지(193) 내의 서버 ID를 알아보지 못하거나, 또는 이전 접속에 대한 접속 컨텍스트를 지니지 않았음을 식별한다.
이렇게 처리함으로써, 세션 디렉토리 에이전트(183)는 세션 디렉토리 서버(153)와 통신하고, 서버(150)가 (예를 들면, 컨텍스트(111)를 통해) 이 사용자 세션을 위한 레코드를 지니고 있다는 것을 서버(148)에게 알려준다. 그러면, 서버(148)는 이 접속이 가능하지 않으며, 또한 이 접속은 서버(150)에 의해 처리될 수 있음을 나타내는 응답 메시지(195)를 작성한다. 이후, 클라이언트(100)는 메시지(195)를 수신하여 처리하고, 또한 새로운 재접속 메시지(197)를 작성한다. 다시, 클라이언트(100)는 이전 접속 정보를 첨부하고, 이번에는 서버(150)의 사용(예를 들면, 서버 이름 및/또는 서버 어드레스 등)을 명백하게 한다.
따라서, 도 1d에 도시된 바와 같이, 재접속 요청 메시지(197)는 VIP(190)를 통해 서버(150)로 적절하게 라우팅된다. 예를 들면, 인터넷 및 서버 팜(180)과 인터페이스하는 에지(edge) 서버는 서버(150)에 대한 변경된 요청을 식별하고, 접속 요청 메시지(197)를 서버(150)로 전달한다. 서버(150)가 접속 요청(197)을 수신하면, 서버(150)는 메시지 처리를 시작하여 세션 디렉토리 에이전트(187)가 접속 컨텍스트(111)에 대한 레코드를 지니고 있는지를 살펴본다. 세션 디렉토리 에이전트(187)가 접속 컨텍스트(111)에 대한 레코드를 지니고 있기 때문에, 서버(150)는 적절한 재접속 메시지(즉, 메시지(199))로 응답한다. 이러한 간단한 교환 시퀀스는 클라이언트(100)와 서버(150) 간에 이전에 교섭된 통신 채널(163)을 재확립하며, 이를 이용하여 클라이언트와 서버는 새 접속 세션을 개시하기 위해 자원을 재할당할 필요 없이 이전과 같이 계속해서 통신할 수 있다.
따라서, 도 1a 내지 도 1d는, 시큐어 접속을 생성할 때, 비교적 초기에 접속 시퀀스를 인증하기 위한 많은 컴포넌트와 개략도를 제공한다. 특히, 도 1a 내지 도 1d는, 시큐어 접속 요청의 처음 몇 개의 데이터 패킷 내에서 시큐어 접속이 어떻게 확립되는지의 방법을 도시하고 있고, 클라이언트와 서버 간에 많은 수의 확인 계층을 제공하는 그러한 방법으로 도시하고 있다. 이와 같이, 클라이언트와 서버 는 둘 모두 그릇된(falsified) 접속에 귀중한 자원을 할애하는 것을 피할 수 있으며, 그렇지 않을 경우, DOS 공격이 성공할 수 있다.
본 발명의 구현은 또한, 원하는 결과를 달성하기 위한 방법의 액트들의 시퀀스(및/또는 하나 이상의 비기능적인 액트들을 포함하는 기능적 단계들)로서 기술될 수 있다. 예를 들면, 도 2는 시큐어 접속을 개시하기 위한, 클라이언트(100)와 서버(150) 각각의 관점에서 본 방법의 액트들의 흐름도를 도시한다. 도 2에 도시된 액트들은 도 1a 내지 도 1d에 도시된 개략도를 참조하여 이하에 기술된다.
예를 들면, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 복수의 시큐어 통신 프로토콜을 식별하는 액트(200)를 포함하는 것을 도시한다. 액트(200)는 클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜 기능들을 식별하는 것을 포함한다. 예를 들면, 도 1a에 도시된 바와 같이, 원격 클라이언트 애플리케이션(105)은 결정 모듈(115)을 통해, 컴포넌트들(125, 130 및 135)이 유효하며, 시큐어 통신 프로토콜이 클라이언트(100)에서 인에이블되어 있음을 식별한다.
또한, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 네트워크 서버와 바람직한 시큐어 통신 프로토콜을 교섭하는 액트(210)를 포함하는 것을 도시한다. 액트(210)는 복수의 시큐어 통신 프로토콜 기능 중 바람직한 하나를 네트워크 서버와 교섭하여, 서로에게 바람직한 시큐어 통신 프로토콜이 식별되는 것을 포함한다. 예를 들면, 클라이언트 애플리케이션(105)은 메시지(137)를 작성하고 이를 서버(150)로 전송하는 액트를 수행하며, 이때 메시지(137)는 시큐어 접속을 위한 요청을 포함하며, 또한, 프로토콜(125, 130 및 135)이 그 접속에 대해 유효함을 나타 낸다.
이와 같이, 도 2는, 서버(150)의 관점으로부터의 방법이, 보안 기능들을 식별하는 접속 요청을 수신하는 액트(220)를 포함하는 것을 도시한다. 액트(220)는, 네트워크 서버에서 하나 이상의 원격 서버 자원과 통신하기 위한 원격 클라이언트로부터의 접속 요청을 수신하며, 이 접속 요청은 원격 클라이언트가 인에이블되는 복수의 시큐어 접속 프로토콜을 나타낸다. 예를 들면, 도 1a에 도시된 바와 같이, 서버 애플리케이션(140)은 메시지(137)를 수신하며, 처리할 때, 클라이언트(100)가 "SSL" 및/또는 "Cred-SSP" 통신 메커니즘 중 임의의 것이 가능함을 식별한다.
또한, 도 2는, 서버(150)의 관점으로부터의 방법이 바람직한 시큐어 통신 프로토콜을 나타내는 접속 응답을 전송하는 액트(230)를 포함하는 것을 도시한다. 액트(230)는, 복수의 시큐어 접속 프로토콜 중 바람직한 시큐어 접속 프로토콜을 나타내는 접속 응답을 원격 클라이언트에게 전송하는 것을 포함한다. 예를 들면, 도 1a에 도시된 바와 같이, 서버 애플리케이션(140)은 자신이 클라이언트(100)로부터 표시된 것과 동일한 인에이블된 보안 옵션을 지니는 것으로 결정한다. 따라서, 서버 애플리케이션(140)은, 임의의 개수의 환경 설정 또는 시스템 설정에 기초하여 그룹으로부터 바람직한 시큐어 통신 프로토콜(이 경우 "Cred-SSP")을 결정한다. 이후, 서버 애플리케이션(140)은, Cred-SSP를 사용할 환경 설정을 나타내는 접속 응답 메시지(139)를 작성하여 이를 클라이언트(100)에 전송한다. 한 구현에서, 이것은 액트(210)에서 클라이언트에 의해 시행된(institute) 보안 교섭의 초기 단계를 완료한다.
따라서, 도 2는, 클라이언트(100)의 관점으로부터의 방법이, 원격 서버 자원과 인증 인증서를 교환하는 액트(240)를 포함한다. 액트(240)는 바람직한 시큐어 통신 프로토콜을 이용하여 네트워크 서버의 원격 서버 자원과 인증 정보를 교환하는 것을 포함하며, 이 서버 인증 정보는 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신한 인증서 중 임의의 것을 포함한다. 예를 들면, 도 1b에 도시된 바와 같이, 원격 클라이언트 애플리케이션(105)은 하나 이상의 적절한 클라이언트 인증 정보 컴포넌트(예를 들면, 사용자 이름 및 패스워드(107), 스마트 카드 및 PIN(111) 또는 인증서 저장소(110)의 클라이언트 인증서(113))를 식별하고, 선택된 인증 정보를 메시지(137)를 통해 원격 서버 애플리케이션(140)으로 전송한다. 이에 응하여, 원격 클라이언트 애플리케이션은 메시지(171)를 통해 서버(150)로부터의 서버 인증서(117)를 수신한다.
도 2는 또한, 서버(150)의 관점으로부터의 방법이, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트(250)를 포함함을 도시한다. 액트(250)는, 원격 클라이언트 컴퓨터 시스템과의 초기 데이터 패킷의 교환을 통해, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 것을 포함한다. 예를 들면, 도 1c는, 서버 애플리케이션(140)이 메시지(179)를 전송할 때, 서버(150)는, 이전에 전송된 메시지들(137 및 139)의 사본을 포함함으로써 또는 메시지(139)에 이전에 선언되었던 설정을 반복함으로써와 같이, 확인 메시지를 클라이언트(100)에 또한 첨부하는 것을 도시한다.
또한, 도 2는, 서버(150)의 관점으로부터의 방법이, 원격 클라이언트 자원과 데이터를 통신하는 액트(260)를 포함함을 도시한다. 액트(260)는, 바람직한 시큐어 통신 프로토콜을 통해 원격 클라이언트의 원격 클라이언트 자원과 데이터를 통신하는 것을 포함한다. 예를 들면, 도 1c에 도시된 바와 같이, 서버 애플리케이션(140)은 교섭된 통신 채널(163)을 통해 메시지(177)(예를 들면, RDP 데이터 패킷)를 수신하고, 메시지(179)(예를 들면, 메시지(177)에 응하여 RDP 데이터 패킷) 또는 임의의 기타 데이터 통신을 원격 클라이언트 애플리케이션(105)에 전송한다.
이와 같이, 도 2는 또한, 클라이언트(100)의 관점으로부터의 방법이, 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트(270)를 포함함을 도시한다. 액트(270)는 하나 이상의 초기 데이터 패킷으로 네트워크 서버의 아이덴티티를 확인하는 것을 포함한다. 예를 들면, 원격 클라이언트 애플리케이션은 원격 애플리케이션 프로토콜을 통해 메시지(179)(예를 들면, RDP를 이용하여 작성된 메시지)를 수신하며, 이 메시지(179)는, 이전에 전송된 메시지(137 및/또는 139)의 사본과 같은, 서버로부터의 소정의 예상되는 정보를 포함한다. 그러므로, 메시지(179)는 선택되고, 클라이언트(100)와 동의한 시큐어 통신 프로토콜의 사용을 확인한다.
따라서, 본 명세서에 기술된 개략도와 방법은, 시큐어 통신 채널 및 접속 세션을 생성하고 이 시큐어 통신 채널들 및 세션들을 접속 프로세스 초기에 인증하기 위한 많은 컴포넌트와 메커니즘을 제공한다. 특히, 본 발명의 구현은, 인터랙티브 로그온과 원격 자원 통신에 있어 이전에 가능했던 것보다 더 큰 레벨의 보안을 제공할 수 있다. 예를 들면, 클라이언트와 서버는 접속 프로세스의 초기에 서로를 인증할 수 있어, 예상되는 시점에 이러한 인증 정보를 제공하지 않는 클라이언트와 서버에 접속 세션을 할당하는 것을 피할 수 있다. 또한, 클라이언트와 서버는, 그 클라이언트 및/또는 서버 각각의 아이덴티티에 대한 추가의 확신을 제공하기 위해, 접속 시퀀스의 임의의 개수의 시점에서 이전에 전송되었던 메시지 및/또는 설정을 첨부할 수 있다.
본 발명의 구현은, 이하에 상세히 설명되는 바와 같이, 각종 컴퓨터 하드웨어를 비롯한 특수 목적 또는 범용의 컴퓨터를 포함할 수 있다. 특히, 본 발명의 범위 내의 실시예는, 또한, 저장된 컴퓨터 실행가능 명령어 또는 데이터 구조를 수행하거나 또는 이를 갖는 컴퓨터 판독가능 매체를 포함한다. 이러한 컴퓨터 판독가능 매체는, 범용 또는 특수 목적의 컴퓨터에 의해 액세스가능한 임의의 매체일 수 있다. 예로서, 이러한 컴퓨터 판독가능 매체는 RAM, ROM, EEPROM, CD-ROM 또는 기타 광 디스크 저장 장치, 자기 디스크 저장 장치 또는 기타 자기 저장 장치, 또는 범용 또는 특수 목적의 컴퓨터에 의해 액세스될 수 있고 컴퓨터 실행가능 명령어 또는 데이터 구조의 형태로 원하는 프로그램 코드 수단을 수행하거나 또는 이를 저장하는 데에 사용될 수 있는 임의의 기타 매체를 포함하지만 이에 제한되는 것은 아니다.
정보가 네트워크 또는 또 다른 통신 접속(하드 배선, 무선 또는 하드 배선 또는 무선의 조합)을 통해 컴퓨터로 전송되거나 또는 제공될 때, 컴퓨터는 당연히 이 접속을 컴퓨터 판독가능 매체로 본다. 따라서, 이러한 임의의 접속은 당연히 컴퓨터 판독가능 매체라 지칭된다. 상술된 것의 조합 또한 컴퓨터 판독가능 매체의 범위 내에 포함되어야 한다.
예를 들면, 컴퓨터 실행가능 명령어는, 범용 컴퓨터, 특수 목적의 컴퓨터, 또는 특수 목적의 처리 장치로 하여금 소정의 기능 또는 소정의 기능 그룹들을 수행하게 하는 명령어 또는 데이터를 포함한다. 본 내용이 구조적 특징 및/또는 방법론적 액트에 특정한 언어로 기술되었지만, 첨부된 청구항에 정의된 내용이 상술된 특정 특징 또는 액트에 제한될 필요가 없음을 이해할 것이다. 오히려, 상술된 특정 특징 및 액트는 본 청구항을 구현하는 예시적인 형태로서 개시된다.
본 발명은 본 발명의 취지 및 핵심적인 특징으로부터 벗어나지 않고 다른 특정 형태로 구현될 수 있다. 기술된 실시예는 그 모든 측면에서 단지 예시적인 것이고 제한하지 않는 것으로 간주되어야 한다. 따라서, 본 발명의 범위는, 전술된 내용에 의해서가 아니라 첨부된 청구항에 의해 표시된다. 청구항의 동등물의 의미 및 범위 내에 있는 모든 변경들은 그 범위 내에서 포함된다.

Claims (20)

  1. 시큐어 접속(secure connection)을 통해 서버가 클라이언트 컴퓨터 시스템과 데이터를 통신하는 컴퓨터화된 시스템의 서버에서, 접속 프로세스의 비교적 초기에 상기 클라이언트 컴퓨터 시스템으로부터의 접속을 개시하는 사용자를 인증함으로써 상기 시큐어 접속을 생성하는 방법으로서,
    서버의 하나 이상의 원격 서버 자원들과 통신하고자 하는 클라이언트 컴퓨터 시스템으로부터의 접속 요청을 수신하는 액트 -상기 접속 요청은 상기 클라이언트 컴퓨터 시스템이 인에이블되는 복수의 시큐어 통신 프로토콜을 나타냄- ;
    상기 클라이언트 컴퓨터 시스템에 접속 응답을 전송하는 액트 -상기 접속 응답은 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타냄-;
    상기 클라이언트 컴퓨터 시스템과 셋업된 시큐어드 채널(secured channel)에서의 데이터 교환을 통해 상기 바람직한 시큐어 통신 프로토콜의 사용을 확인하는(confirming) 액트; 및
    상기 바람직한 시큐어 통신 프로토콜을 통해 상기 클라이언트 컴퓨터 시스템의 클라이언트 애플리케이션 프로그램과 데이터를 통신하는 액트
    를 포함하는 시큐어 접속 생성 방법.
  2. 제1항에 있어서, 상기 복수의 시큐어 통신 프로토콜은, RDP, SSL, NTLM, Kerberos 보안 프로토콜, 또는 이들의 조합 중 적어도 하나를 포함하는 시큐어 접속 생성 방법.
  3. 제1항에 있어서, 상기 클라이언트 컴퓨터 시스템으로부터의 접속 요청은, 상기 클라이언트 컴퓨터 시스템이 인에이블되는 상기 복수의 시큐어 통신 프로토콜을 포함하도록 확장된 X224 접속 요청이며, 상기 접속 응답은, 상기 바람직한 시큐어 통신 프로토콜을 포함하도록 확장된 X224 접속 응답인 시큐어 접속 생성 방법.
  4. 제1항에 있어서, 상기 클라이언트 컴퓨터 시스템에 의해 표시된 상기 복수의 시큐어 통신 프로토콜 중 적어도 하나와 동일한, 상기 서버에서의 하나 이상의 시큐어 통신 프로토콜을 식별하는 액트를 더 포함하는 시큐어 접속 생성 방법.
  5. 제4항에 있어서, 상기 서버에서의 상기 하나 이상의 시큐어 통신 프로토콜 중 하나가 서버 시스템 설정(setting)에 기초하여 허용되는 것으로 결정하는 액트를 더 포함하는 시큐어 접속 생성 방법.
  6. 제1항에 있어서,
    인증서 저장소(certificate store)에서 복수의 서버 인증서를 식별하는 액트; 및
    상기 클라이언트 컴퓨터 시스템으로 전송할 상기 복수의 서버 인증서 중 바 람직한 서버 인증서를 결정하는 액트
    를 더 포함하는 시큐어 접속 생성 방법.
  7. 제6항에 있어서, 상기 바람직한 서버 인증서는, 사용자에 의해 명시적으로 선택된 인증서, 서버 시스템 정책을 통해 구성된 인증서, 또는 자체 서명된 서버 인증서 중 임의의 것인 시큐어 접속 생성 방법.
  8. 제1항에 있어서,
    클라이언트 컴퓨터 시스템의 인증 정보를 수신하는 액트; 및
    상기 인증 정보를 상기 클라이언트 컴퓨터 시스템에 대한 접속 컨텍스트의 일부로서 저장하는 액트
    를 더 포함하는 시큐어 접속 생성 방법.
  9. 제8항에 있어서,
    상기 클라이언트 컴퓨터 시스템의 인증 정보가 유효하지 않은 것으로 결정하는 단계를 더 포함하며, 상기 단계는,
    (i) 상기 클라이언트 컴퓨터 시스템의 인증 정보의 타임스탬프가 만료되었는지를 식별하는 액트;
    (ii) 예상되는 인증 정보를 포함하지 않는 하나 이상의 메시지가 상기 클라이언트 컴퓨터 시스템으로부터 수신되었는지를 식별하는 액트; 또는
    (iii) 수신된 인증 인증서가, 상기 클라이언트 컴퓨터 시스템으로부터의 접속 요청과 관련된, 예상되는 인증 인증서와 일치하지 않는지를 식별하는 액트
    중 하나 이상을 포함하는 시큐어 접속 생성 방법.
  10. 제1항에 있어서, VIP 어드레스로 향하는 또 다른 접속 요청을 수신하는 액트를 더 포함하며, 상기 또 다른 접속 요청은 이전 접속에 대한 접속 정보를 포함하는 시큐어 접속 생성 방법.
  11. 제10항에 있어서,
    상기 이전 접속에 대해 식별된 접속 컨텍스트가 상기 서버에 저장되어 있음을 식별하는 액트; 및
    상기 요청된 또 다른 접속을 허용하는 액트
    를 더 포함하는 시큐어 접속 생성 방법.
  12. 제10항에 있어서,
    상기 이전 접속에 대한 접속 컨텍스트가 다른 서버에 저장되어 있음을 식별하는 액트; 및
    상기 또 다른 접속 요청에 대해서는 상기 다른 서버가 적절한 서버임을 나타내는 응답 메시지를 상기 클라이언트 컴퓨터 시스템에게 전송하는 액트
    를 더 포함하는 시큐어 접속 생성 방법.
  13. 제1항에 있어서, 초기 접속 요청과 관련하여 상기 클라이언트 컴퓨터 시스템으로부터 이전에 수신되었던 하나 이상의 메시지들을 상기 서버에 의해 준비된 발신 메시지(outgoing message)에 첨부함으로써, 상기 서버는 상기 클라이언트 컴퓨터 시스템에 상기 바람직한 시큐어 통신 프로토콜의 선택을 확인하는 액트를 더 포함하는 시큐어 접속 생성 방법.
  14. 시큐어 접속을 통해 서버와 데이터를 통신하도록 구성된 클라이언트 컴퓨터 시스템에서, 접속 프로세스의 비교적 초기에 인증함으로써 상기 서버와의 상기 시큐어 접속을 생성하는 방법으로서,
    클라이언트 컴퓨터 시스템에서 복수의 시큐어 통신 프로토콜 기능(capability)을 식별하는 액트;
    서로에게 바람직한 시큐어 통신 프로토콜을 식별할 수 있도록, 상기 복수의 시큐어 통신 프로토콜 기능 중 바람직한 시큐어 통신 프로토콜 기능을 서버와 교섭하기(negotiate) 위한 단계;
    상기 바람직한 시큐어 통신 프로토콜을 이용하여 상기 서버와 인증 정보를 교환하는 액트 -상기 서버로부터의 인증 정보는, 자체 서명된 인증서, 수동으로 설치된 인증서, 또는 원격 인증서 인증 기관으로부터 수신된 인증서 중 임의의 하나를 포함함-; 및
    상기 서버와의 교섭 동안, 통신된 하나 이상의 초기 데이터 패킷으로, 상기 서버와 교섭된 상기 시큐어 통신 프로토콜의 사용을 확인하기 위한 단계
    를 포함하는 시큐어 접속 생성 방법.
  15. 제14항에 있어서, 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 교섭하기 위한 단계는,
    상기 클라이언트 컴퓨터 시스템에서 식별된 상기 하나 이상의 시큐어 통신 프로토콜의 표시를 포함하는 접속 요청 메시지를 전송하는 액트; 및
    상기 시큐어 통신 프로토콜들 중 서로에게 바람직한 시큐어 통신 프로토콜을 식별하는, 상기 서버로부터의 응답을 수신하는 액트;
    를 더 포함하는 시큐어 접속 생성 방법.
  16. 제14항에 있어서, 상기 서버와 교섭된 상기 시큐어 통신 프로토콜의 사용을 확인하기 위한 단계는,
    상기 서버로부터 하나 이상의 초기 데이터 패킷을 수신하는 액트; 및
    상기 하나 이상의 초기 데이터 패킷들 중 임의의 패킷에 첨부된, 상기 서버와 이전에 교환되었던 정보를 식별하는 액트
    를 포함하는 시큐어 접속 생성 방법.
  17. 제14항에 있어서, 상기 클라이언트 컴퓨터 시스템의 접속 컨텍스트에 상기 서버로부터 수신된 상기 서버 인증서를 저장하는 액트를 더 포함하는 시큐어 접속 생성 방법.
  18. 제17항에 있어서,
    상기 서버와의 접속이 실패했음을 식별하는 액트; 및
    상기 서버에 대한 가상 IP 어드레스로 재접속 요청 메시지를 전송하는 액트 -상기 재접속 요청 메시지는 상기 접속 컨텍스트에 저장된 적어도 일부의 정보를 포함함-
    를 더 포함하는 시큐어 접속 생성 방법.
  19. 제17항에 있어서,
    상기 서버에 대한 상기 가상 IP 어드레스로부터 접속 거부 메시지를 수신하는 액트 -상기 접속 거부 메시지는 상기 서버에 대한 서버 이름 및 네트워크 어드레스 중 적어도 하나를 포함함-;
    상기 서버에 대한 상기 가상 IP 어드레스로 새로운 재접속 요청 메시지를 전송하는 액트 -상기 새로운 재접속 요청 메시지는 상기 서버에 대한 상기 서버 이름 및 상기 네트워크 어드레스 중 적어도 하나를 포함함-; 및
    상기 접속 컨텍스트에 따라 상기 서버와의 접속을 재확립하는 액트
    를 더 포함하는 시큐어 접속 생성 방법.
  20. 시큐어 접속을 통해 서버가 클라이언트 컴퓨터 시스템과 데이터를 통신하는 컴퓨터화된 시스템의 서버에서, 실행될 때, 상기 서버에서의 하나 이상의 프로세서로 하여금, 접속 프로세스의 비교적 초기에 상기 클라이언트 컴퓨터 시스템을 인증함으로써 상기 시큐어 접속을 생성하는 방법을 수행하게 하는 컴퓨터 실행가능 명령어를 갖는 컴퓨터 프로그램 제품으로서, 상기 방법은,
    서버의 하나 이상의 원격 서버 자원들과 통신하고자 하는 클라이언트 컴퓨터 시스템으로부터의 접속 요청을 수신하는 액트 -상기 접속 요청은 상기 클라이언트 컴퓨터 시스템이 인에이블되는 복수의 시큐어 통신 프로토콜을 나타냄- ;
    상기 클라이언트 컴퓨터 시스템에 접속 응답을 전송하는 액트 -상기 접속 응답은 상기 복수의 시큐어 통신 프로토콜 중 바람직한 시큐어 통신 프로토콜을 나타냄-;
    상기 클라이언트 컴퓨터 시스템과 셋업된 시큐어 채널에서의 데이터 교환을 통해 상기 바람직한 시큐어 통신 프로토콜의 사용을 확인하는 액트; 및
    상기 바람직한 시큐어 통신 프로토콜을 통해 상기 클라이언트 컴퓨터 시스템의 클라이언트 애플리케이션 프로그램과 데이터를 통신하는 액트
    를 포함하는 컴퓨터 프로그램 제품.
KR1020087006038A 2005-09-12 2006-09-11 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품 KR20080053298A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US71655405P 2005-09-12 2005-09-12
US60/716,554 2005-09-12
US11/354,456 US8220042B2 (en) 2005-09-12 2006-02-15 Creating secure interactive connections with remote resources
US11/354,456 2006-02-15

Publications (1)

Publication Number Publication Date
KR20080053298A true KR20080053298A (ko) 2008-06-12

Family

ID=37856885

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020087006038A KR20080053298A (ko) 2005-09-12 2006-09-11 접속 프로세스의 비교적 초기에 인증함으로써 시큐어접속을 생성하는 방법 및 그 방법을 수행하게 하는 컴퓨터실행가능 명령어를 갖는 컴퓨터 프로그램 제품

Country Status (6)

Country Link
US (2) US8220042B2 (ko)
EP (1) EP1934780B1 (ko)
JP (1) JP5010608B2 (ko)
KR (1) KR20080053298A (ko)
CN (1) CN101263468B (ko)
WO (1) WO2007033087A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190019623A (ko) * 2017-08-18 2019-02-27 (주)한드림넷 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법

Families Citing this family (184)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6658091B1 (en) 2002-02-01 2003-12-02 @Security Broadband Corp. LIfestyle multimedia security system
US10375253B2 (en) 2008-08-25 2019-08-06 Icontrol Networks, Inc. Security system with networked touchscreen and gateway
US9531593B2 (en) 2007-06-12 2016-12-27 Icontrol Networks, Inc. Takeover processes in security network integrated with premise security system
US10721087B2 (en) 2005-03-16 2020-07-21 Icontrol Networks, Inc. Method for networked touchscreen with integrated interfaces
US10313303B2 (en) 2007-06-12 2019-06-04 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US11368429B2 (en) 2004-03-16 2022-06-21 Icontrol Networks, Inc. Premises management configuration and control
US9191228B2 (en) 2005-03-16 2015-11-17 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US11489812B2 (en) 2004-03-16 2022-11-01 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US9609003B1 (en) 2007-06-12 2017-03-28 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US8963713B2 (en) 2005-03-16 2015-02-24 Icontrol Networks, Inc. Integrated security network with security alarm signaling system
US11244545B2 (en) 2004-03-16 2022-02-08 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US10156959B2 (en) 2005-03-16 2018-12-18 Icontrol Networks, Inc. Cross-client sensor user interface in an integrated security network
US8635350B2 (en) 2006-06-12 2014-01-21 Icontrol Networks, Inc. IP device discovery systems and methods
US11201755B2 (en) 2004-03-16 2021-12-14 Icontrol Networks, Inc. Premises system management using status signal
US11677577B2 (en) 2004-03-16 2023-06-13 Icontrol Networks, Inc. Premises system management using status signal
US10142392B2 (en) 2007-01-24 2018-11-27 Icontrol Networks, Inc. Methods and systems for improved system performance
US20090077623A1 (en) 2005-03-16 2009-03-19 Marc Baum Security Network Integrating Security System and Network Devices
US11582065B2 (en) 2007-06-12 2023-02-14 Icontrol Networks, Inc. Systems and methods for device communication
US10444964B2 (en) 2007-06-12 2019-10-15 Icontrol Networks, Inc. Control system user interface
US10522026B2 (en) 2008-08-11 2019-12-31 Icontrol Networks, Inc. Automation system user interface with three-dimensional display
US7711796B2 (en) 2006-06-12 2010-05-04 Icontrol Networks, Inc. Gateway registry methods and systems
US10237237B2 (en) 2007-06-12 2019-03-19 Icontrol Networks, Inc. Communication protocols in integrated systems
US11916870B2 (en) 2004-03-16 2024-02-27 Icontrol Networks, Inc. Gateway registry methods and systems
US20170118037A1 (en) 2008-08-11 2017-04-27 Icontrol Networks, Inc. Integrated cloud system for premises automation
US11316958B2 (en) 2008-08-11 2022-04-26 Icontrol Networks, Inc. Virtual device systems and methods
US10062273B2 (en) 2010-09-28 2018-08-28 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US8988221B2 (en) 2005-03-16 2015-03-24 Icontrol Networks, Inc. Integrated security system with parallel processing architecture
US10200504B2 (en) 2007-06-12 2019-02-05 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11277465B2 (en) 2004-03-16 2022-03-15 Icontrol Networks, Inc. Generating risk profile using data of home monitoring and security system
US20050216302A1 (en) 2004-03-16 2005-09-29 Icontrol Networks, Inc. Business method for premises management
US10382452B1 (en) 2007-06-12 2019-08-13 Icontrol Networks, Inc. Communication protocols in integrated systems
US9729342B2 (en) 2010-12-20 2017-08-08 Icontrol Networks, Inc. Defining and implementing sensor triggered response rules
US9141276B2 (en) 2005-03-16 2015-09-22 Icontrol Networks, Inc. Integrated interface for mobile device
US11159484B2 (en) 2004-03-16 2021-10-26 Icontrol Networks, Inc. Forming a security network including integrated security system components and network devices
US20160065414A1 (en) 2013-06-27 2016-03-03 Ken Sundermeyer Control system user interface
US10339791B2 (en) 2007-06-12 2019-07-02 Icontrol Networks, Inc. Security network integrated with premise security system
US11343380B2 (en) 2004-03-16 2022-05-24 Icontrol Networks, Inc. Premises system automation
US11190578B2 (en) 2008-08-11 2021-11-30 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US11113950B2 (en) 2005-03-16 2021-09-07 Icontrol Networks, Inc. Gateway integrated with premises security system
US11811845B2 (en) 2004-03-16 2023-11-07 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US20170180198A1 (en) 2008-08-11 2017-06-22 Marc Baum Forming a security network including integrated security system components
US11615697B2 (en) 2005-03-16 2023-03-28 Icontrol Networks, Inc. Premise management systems and methods
US11496568B2 (en) 2005-03-16 2022-11-08 Icontrol Networks, Inc. Security system with networked touchscreen
US11700142B2 (en) 2005-03-16 2023-07-11 Icontrol Networks, Inc. Security network integrating security system and network devices
US10999254B2 (en) 2005-03-16 2021-05-04 Icontrol Networks, Inc. System for data routing in networks
US9306809B2 (en) 2007-06-12 2016-04-05 Icontrol Networks, Inc. Security system with networked touchscreen
US20120324566A1 (en) 2005-03-16 2012-12-20 Marc Baum Takeover Processes In Security Network Integrated With Premise Security System
US20110128378A1 (en) 2005-03-16 2011-06-02 Reza Raji Modular Electronic Display Platform
US8220042B2 (en) 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
US10079839B1 (en) 2007-06-12 2018-09-18 Icontrol Networks, Inc. Activation of gateway device
US11706279B2 (en) 2007-01-24 2023-07-18 Icontrol Networks, Inc. Methods and systems for data communication
US7633385B2 (en) * 2007-02-28 2009-12-15 Ucontrol, Inc. Method and system for communicating with and controlling an alarm system from a remote server
US8451986B2 (en) 2007-04-23 2013-05-28 Icontrol Networks, Inc. Method and system for automatically providing alternate network access for telecommunications
US8296559B2 (en) * 2007-05-31 2012-10-23 Red Hat, Inc. Peer-to-peer SMIME mechanism
US10498830B2 (en) 2007-06-12 2019-12-03 Icontrol Networks, Inc. Wi-Fi-to-serial encapsulation in systems
US12003387B2 (en) 2012-06-27 2024-06-04 Comcast Cable Communications, Llc Control system user interface
US11089122B2 (en) 2007-06-12 2021-08-10 Icontrol Networks, Inc. Controlling data routing among networks
US10523689B2 (en) 2007-06-12 2019-12-31 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US11601810B2 (en) 2007-06-12 2023-03-07 Icontrol Networks, Inc. Communication protocols in integrated systems
US11218878B2 (en) 2007-06-12 2022-01-04 Icontrol Networks, Inc. Communication protocols in integrated systems
US10389736B2 (en) 2007-06-12 2019-08-20 Icontrol Networks, Inc. Communication protocols in integrated systems
US10666523B2 (en) 2007-06-12 2020-05-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US11237714B2 (en) 2007-06-12 2022-02-01 Control Networks, Inc. Control system user interface
US11423756B2 (en) 2007-06-12 2022-08-23 Icontrol Networks, Inc. Communication protocols in integrated systems
US11316753B2 (en) 2007-06-12 2022-04-26 Icontrol Networks, Inc. Communication protocols in integrated systems
US11646907B2 (en) 2007-06-12 2023-05-09 Icontrol Networks, Inc. Communication protocols in integrated systems
US11212192B2 (en) 2007-06-12 2021-12-28 Icontrol Networks, Inc. Communication protocols in integrated systems
US10051078B2 (en) 2007-06-12 2018-08-14 Icontrol Networks, Inc. WiFi-to-serial encapsulation in systems
US10423309B2 (en) 2007-06-12 2019-09-24 Icontrol Networks, Inc. Device integration framework
US10616075B2 (en) 2007-06-12 2020-04-07 Icontrol Networks, Inc. Communication protocols in integrated systems
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和系统
US8516136B2 (en) * 2007-07-09 2013-08-20 Alcatel Lucent Web-based over-the-air provisioning and activation of mobile terminals
US9264483B2 (en) 2007-07-18 2016-02-16 Hammond Development International, Inc. Method and system for enabling a communication device to remotely execute an application
US11831462B2 (en) 2007-08-24 2023-11-28 Icontrol Networks, Inc. Controlling data routing in premises management systems
US8626936B2 (en) * 2008-01-23 2014-01-07 International Business Machines Corporation Protocol independent server replacement and replication in a storage area network
US11916928B2 (en) 2008-01-24 2024-02-27 Icontrol Networks, Inc. Communication protocols over internet protocol (IP) networks
US8433747B2 (en) * 2008-02-01 2013-04-30 Microsoft Corporation Graphics remoting architecture
US8638941B2 (en) 2008-05-15 2014-01-28 Red Hat, Inc. Distributing keypairs between network appliances, servers, and other network assets
US8321654B2 (en) * 2008-05-20 2012-11-27 Alcatel Lucent Methods for initial bootstrap during activation and initial configuration of user terminals in network
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8898293B2 (en) 2009-01-28 2014-11-25 Headwater Partners I Llc Service offer set publishing to device agent with on-device service selection
US8924469B2 (en) 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8725123B2 (en) 2008-06-05 2014-05-13 Headwater Partners I Llc Communications device with secure data path processing agents
US8924543B2 (en) 2009-01-28 2014-12-30 Headwater Partners I Llc Service design center for device assisted services
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8839387B2 (en) * 2009-01-28 2014-09-16 Headwater Partners I Llc Roaming services network and overlay networks
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US20170185278A1 (en) 2008-08-11 2017-06-29 Icontrol Networks, Inc. Automation system user interface
KR101005853B1 (ko) * 2008-08-07 2011-01-05 한국전자통신연구원 홈 콘텐츠 제공 방법 및 장치
US11792036B2 (en) 2008-08-11 2023-10-17 Icontrol Networks, Inc. Mobile premises automation platform
US11258625B2 (en) 2008-08-11 2022-02-22 Icontrol Networks, Inc. Mobile premises automation platform
US11758026B2 (en) 2008-08-11 2023-09-12 Icontrol Networks, Inc. Virtual device systems and methods
US11729255B2 (en) 2008-08-11 2023-08-15 Icontrol Networks, Inc. Integrated cloud system with lightweight gateway for premises automation
US7941549B2 (en) * 2008-09-16 2011-05-10 Microsoft Corporation Protocol exchange and policy enforcement for a terminal server session
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US8893009B2 (en) 2009-01-28 2014-11-18 Headwater Partners I Llc End user device that secures an association of application to service policy with an application certificate check
US9609510B2 (en) 2009-01-28 2017-03-28 Headwater Research Llc Automated credential porting for mobile devices
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US8606911B2 (en) 2009-03-02 2013-12-10 Headwater Partners I Llc Flow tagging for service policy implementation
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US8638211B2 (en) 2009-04-30 2014-01-28 Icontrol Networks, Inc. Configurable controller and interface for home SMA, phone and multimedia
EP2312804B1 (en) * 2009-10-13 2015-02-25 BlackBerry Limited Methods and apparatus for intelligent selection of a transport protocol for content streaming
KR101299220B1 (ko) * 2010-01-08 2013-08-22 한국전자통신연구원 감성 신호 감지 장치와 감성 서비스 제공 장치 간의 감성 통신 방법
US9626872B2 (en) * 2010-04-30 2017-04-18 Honeywell International Inc. Enhanced flight crew display for supporting multiple controller/pilot data link communications (CPDLC) versions
AU2011250886A1 (en) 2010-05-10 2013-01-10 Icontrol Networks, Inc Control system user interface
CN102377744B (zh) * 2010-08-18 2014-11-26 中国银联股份有限公司 安全性信息资源交互方法及系统
US8836467B1 (en) 2010-09-28 2014-09-16 Icontrol Networks, Inc. Method, system and apparatus for automated reporting of account and sensor zone information to a central station
US11750414B2 (en) 2010-12-16 2023-09-05 Icontrol Networks, Inc. Bidirectional security sensor communication for a premises security system
US9147337B2 (en) 2010-12-17 2015-09-29 Icontrol Networks, Inc. Method and system for logging security event data
US8719926B2 (en) * 2011-02-11 2014-05-06 Verizon Patent And Licensing Inc. Denial of service detection and prevention using dialog level filtering
US9154826B2 (en) 2011-04-06 2015-10-06 Headwater Partners Ii Llc Distributing content and service launch objects to mobile devices
US8578460B2 (en) * 2011-05-23 2013-11-05 Microsoft Corporation Automating cloud service reconnections
DE112012003741T5 (de) * 2011-09-09 2014-08-07 Stoneware Inc. Verfahren und Vorrichtung für eine serverseitige Fernarbeitsaufnahme und -wiedergabe
US9537899B2 (en) * 2012-02-29 2017-01-03 Microsoft Technology Licensing, Llc Dynamic selection of security protocol
JP6055201B2 (ja) * 2012-05-10 2016-12-27 キヤノン株式会社 サーバー装置、システム及びその制御方法
US20140040299A1 (en) * 2012-08-03 2014-02-06 Cisco Technology, Inc. Automated Method of Detecting Pattern Matches between Converged Infrastructure Models and an Operating Converged Infrastructure
US9391979B1 (en) 2013-01-11 2016-07-12 Google Inc. Managing secure connections at a proxy server
EP3691220B1 (en) * 2013-02-28 2021-08-25 Amazon Technologies, Inc. Configurable-quality random data service
US9819727B2 (en) 2013-02-28 2017-11-14 Amazon Technologies, Inc. Computing infrastructure for configurable-quality random data
US9154488B2 (en) * 2013-05-03 2015-10-06 Citrix Systems, Inc. Secured access to resources using a proxy
US9392018B2 (en) * 2013-09-30 2016-07-12 Juniper Networks, Inc Limiting the efficacy of a denial of service attack by increasing client resource demands
US9935977B1 (en) * 2013-12-09 2018-04-03 Amazon Technologies, Inc. Content delivery employing multiple security levels
US10244000B2 (en) 2014-02-24 2019-03-26 Honeywell International Inc. Apparatus and method for establishing seamless secure communications between components in an industrial control and automation system
US11146637B2 (en) 2014-03-03 2021-10-12 Icontrol Networks, Inc. Media content management
US11405463B2 (en) 2014-03-03 2022-08-02 Icontrol Networks, Inc. Media content management
US10841316B2 (en) 2014-09-30 2020-11-17 Citrix Systems, Inc. Dynamic access control to network resources using federated full domain logon
JP6526181B2 (ja) * 2014-09-30 2019-06-05 サイトリックス システムズ,インコーポレイテッド スマートカードによるログオンおよび連携されたフルドメインログオン
KR20160046114A (ko) * 2014-10-20 2016-04-28 삼성전자주식회사 데이터 통신 방법 및 이를 구현하는 전자 장치
CN105100270A (zh) * 2015-08-28 2015-11-25 百度在线网络技术(北京)有限公司 一种信息交互方法及系统
US10038552B2 (en) 2015-11-30 2018-07-31 Honeywell International Inc. Embedded security architecture for process control systems
US10855462B2 (en) 2016-06-14 2020-12-01 Honeywell International Inc. Secure in-band upgrade using key revocation lists and certificate-less asymmetric tertiary key pairs
DE102016222741A1 (de) 2016-11-18 2018-05-24 Continental Automotive Gmbh Verfahren für ein Kommunikationsnetzwerk und elektronische Kontrolleinheit
EP3328016A1 (de) 2016-11-29 2018-05-30 Siemens Aktiengesellschaft Verfahren zum verbinden von geräten mit der sogenannten cloud, computerprogramm mit einer implementation des verfahrens und verarbeitungseinheit zur ausführung des verfahrens
US10587421B2 (en) 2017-01-12 2020-03-10 Honeywell International Inc. Techniques for genuine device assurance by establishing identity and trust using certificates
US10749692B2 (en) 2017-05-05 2020-08-18 Honeywell International Inc. Automated certificate enrollment for devices in industrial control systems or other systems
CN110121168B (zh) * 2018-02-06 2021-09-21 华为技术有限公司 安全协商方法及装置
US10958640B2 (en) 2018-02-08 2021-03-23 Citrix Systems, Inc. Fast smart card login
CN110971576A (zh) * 2018-09-30 2020-04-07 北京国双科技有限公司 一种安全认证的方法和相关装置
US10841153B2 (en) 2018-12-04 2020-11-17 Bank Of America Corporation Distributed ledger technology network provisioner
US11070449B2 (en) 2018-12-04 2021-07-20 Bank Of America Corporation Intelligent application deployment to distributed ledger technology nodes
KR102180481B1 (ko) * 2019-05-03 2020-11-18 삼성전자주식회사 번들 정보를 제공하는 방법 및 장치
CN113785532B (zh) 2019-05-09 2024-02-02 三星电子株式会社 用于管理和验证证书的方法和装置
CN110311949B (zh) * 2019-05-20 2023-05-30 军事科学院系统工程研究院网络信息研究所 一种跨云管理平台的资源管理方法
CN111639116B (zh) * 2020-05-15 2023-06-09 中国银联股份有限公司 数据访问连接会话保护方法以及装置
US11757840B2 (en) * 2021-09-12 2023-09-12 Netflow, UAB Configuring a protocol in a virtual private network

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6085320A (en) * 1996-05-15 2000-07-04 Rsa Security Inc. Client/server protocol for proving authenticity
US6055575A (en) 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US5923756A (en) 1997-02-12 1999-07-13 Gte Laboratories Incorporated Method for providing secure remote command execution over an insecure computer network
US6490620B1 (en) 1997-09-26 2002-12-03 Worldcom, Inc. Integrated proxy interface for web based broadband telecommunications management
US6052785A (en) * 1997-11-21 2000-04-18 International Business Machines Corporation Multiple remote data access security mechanism for multitiered internet computer networks
US6611503B1 (en) * 1998-05-22 2003-08-26 Tandberg Telecom As Method and apparatus for multimedia conferencing with dynamic bandwidth allocation
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
US6631417B1 (en) 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US6336137B1 (en) * 2000-03-31 2002-01-01 Siebel Systems, Inc. Web client-server system and method for incompatible page markup and presentation languages
CA2410431A1 (en) * 2000-05-24 2001-11-29 Gavin Walter Ehlers Authentication system and method
JP2002189976A (ja) 2000-12-20 2002-07-05 Hitachi Ltd 認証システムおよび認証方法
US20020194501A1 (en) * 2001-02-25 2002-12-19 Storymail, Inc. System and method for conducting a secure interactive communication session
US20050198379A1 (en) * 2001-06-13 2005-09-08 Citrix Systems, Inc. Automatically reconnecting a client across reliable and persistent communication sessions
US7281128B2 (en) 2001-10-22 2007-10-09 Extended Systems, Inc. One pass security
MXPA05010126A (es) * 2003-04-04 2005-11-16 Ericsson Telefon Ab L M Metodo de suministro de acceso.
US7526640B2 (en) 2003-06-30 2009-04-28 Microsoft Corporation System and method for automatic negotiation of a security protocol
CA2438357A1 (en) 2003-08-26 2005-02-26 Ibm Canada Limited - Ibm Canada Limitee System and method for secure remote access
US7299354B2 (en) * 2003-09-30 2007-11-20 Intel Corporation Method to authenticate clients and hosts to provide secure network boot
US7519718B2 (en) * 2004-02-27 2009-04-14 International Business Machines Corporation Server-side protocol configuration of accessing clients
US20060013192A1 (en) * 2004-07-16 2006-01-19 Nokia Corporation Obtaining and notifying middle box information
WO2006026402A2 (en) * 2004-08-26 2006-03-09 Availigent, Inc. Method and system for providing high availability to computer applications
US20060239206A1 (en) * 2005-04-22 2006-10-26 Microsoft Corporation Apparatus and method for network identification among multiple applications
US8220042B2 (en) 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190019623A (ko) * 2017-08-18 2019-02-27 (주)한드림넷 네트워크 스위치 및 그것에 의해 수행되는 데이터 링크 계층에서의 암호화 구간 설정 방법

Also Published As

Publication number Publication date
EP1934780B1 (en) 2017-11-08
US9038162B2 (en) 2015-05-19
JP5010608B2 (ja) 2012-08-29
CN101263468A (zh) 2008-09-10
EP1934780A4 (en) 2010-01-13
WO2007033087A1 (en) 2007-03-22
US20120266214A1 (en) 2012-10-18
US8220042B2 (en) 2012-07-10
CN101263468B (zh) 2013-03-13
US20070061878A1 (en) 2007-03-15
EP1934780A1 (en) 2008-06-25
JP2009508261A (ja) 2009-02-26

Similar Documents

Publication Publication Date Title
US8220042B2 (en) Creating secure interactive connections with remote resources
US9401909B2 (en) System for and method of providing single sign-on (SSO) capability in an application publishing environment
EP2705642B1 (en) System and method for providing access credentials
TWI400922B (zh) 在聯盟中主用者之認證
US9781096B2 (en) System and method for out-of-band application authentication
US9432355B2 (en) Single sign-on method in multi-application framework
US20080320566A1 (en) Device provisioning and domain join emulation over non-secured networks
US20160373431A1 (en) Method to enroll a certificate to a device using scep and respective management application
US8191122B2 (en) Provisioning a network appliance
US10404684B1 (en) Mobile device management registration
CN113614691A (zh) 供传统虚拟交付器件使用的连接租用系统和相关方法
TWI569167B (zh) 安全的統一雲端儲存
JP6185934B2 (ja) サーバー・アプリケーションと多数の認証プロバイダーとの統合
EP2568410A2 (en) Printer server, printer control method, and storage medium
US11611541B2 (en) Secure method to replicate on-premise secrets in a cloud environment
US20100287600A1 (en) Assigning User Requests of Different Types or Protocols to a User by Trust Association Interceptors
US11917087B2 (en) Transparent short-range wireless device factor in a multi-factor authentication system

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid