KR970049735A - 상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품 - Google Patents

Abstract

LAN 서버 머신은 기존의 메카니즘을 이용해서 포괄적 보안 서브 시스템(generic security subsystem : GSS)의 분산 컴퓨터 환경(distributing environment : DCE) 크리덴셜(credentials)을 제공하도록 구성된다. 서버 관리 블럭(server management block : SMB) 프로토콜은 크리덴셜의 교환을 용이하게 수행하기 위해 확장되며, 서버는 크리덴셜을 획득 및 유효화시키기 위해 GSS API 인터페이스를 사용한다. GSS 인터페이스는 클라이언트(client)와 서버간에 상호 인증을 수행하는데 필요한 모든 정보를 캡슐화(encapsulate)하는 토큰(tokens)을 제공한다. 프로토콜 설정(negotiate protocol : NP) SMB에서 교환되는 새로운 프로토콜 이름을 포함하는 새로운 프ㄹ로로로토콜 확장에 대해 정의된다. 서버가 seckgX SMB의 교환을 지원하는 것을 나타내는 NP 응답시, 기존의 LAN 서버는 비트를 턴온시킨다. 그후, 서버는 SMB secpkgX 또는 SMB seessetupX 응답을 대기한다. 전자의 응답은 전형적인 LAN 서버 메카니즘을 이용하여 사용자/클라이언트 및 서버가 GSS 토큰을 교환할 수 있도록 하며, 이로 인해 상호 인증이 이루어진다.

Description

상호 인증을 개선하는 방법 및 장치와, 컴퓨터 판독가능한 프로그램 제품

본 내용은 요부공개 건이므로 전문내용을 수록하지 않았음

제1도는 본 발명에서 바람직하게 사용되는 컴퓨터 네트워크의 기능 블록도

제2도는 프로토콜 설정은 개략적으로 도시한 도면

Claims (24)

1. 원격 절차 호출(remote procedure calls : RPC)을 본질적으로 지원하지 않는 LAN 서버 환경내에 상호접속된 클라이언트(clients)와 서버 사이에 분산 컴퓨터 환경(distributed computing envirionment : DCE) 크리덴셜(credentials)을 이용해서 세션 셋업(session setup) 동안의 상호 인증(mutual authentication)을 개선하는 방법에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(server management block : SMB) 프로토콜의 확장을 사전정의하는 단계와, ② 상기 서버를 이용해서, 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(a generic security subsystem : GSS)을 상기 사전 정의된 확장의 함수로서 액세스하는 단계와, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 단계를 포함하는 상호 인증을 개선하는 방법.
2. 제1항에 있어서, 상기 액세스하는 단계는, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는 필요한 정보를 캡슐화(encapsulate)하는 토큰(tokens)을 검색하는 더 포함하는 상호 인증을 개선하는 방법.
3. 제2항에 있어서, 상기 SMB 프로토콜의 상기 확장은, 프로토콜 설정(negotiate protocol : NP) 응답시, SMB-secmode 필드내의 제2비트를 활성화하는 단계를 포함하는 상호 인증을 개선하는 방법.
4. 제3항에 있어서, 상기 서버를 이용해서 SMBsecpkgX 응답을 검출하는 단계와, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
5. 제4항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
6. 제5항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context 함수를 호출하는 단계와, ② 상기 제1토큰에 응답하여, 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_ context 함수에 전송하는 단계와, ③ 상기 GSS_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환(returm)하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
7. 제6항에 있어서, ① 상기 SMBsecpkgX 응답을 검출하는 상기 단계에 응답하여, 상기 서버를 이용해서 상기 제2토큰을 추출하는 단계와, ② GSS_initiate_sec_ context 함수를 이용해서 상기 추출된 토큰을 처리하는 단계와, ③ 클라이언트 인증 (a client authentication)에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS를 수신하는 단계와, ④ 상기 SMBsecpkgX 응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 단계와, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 단계와, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조(session data structures)에 접속하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
8. 제7항에 있어서, 상기 서버는 리디렉터(a redirector)를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링(different rings)에서 동작하고, 상기 방법은, 크리덴셜 관리자 프로세스(a credential manager process)를 상기 리디렉터와 상기 GSS간의 중간매체로서 설정하는 단계를 더 포함하는 상호 인증을 개선하는 방법.
9. 원격 프로시듀어 호출(DCE)을 본질적으로 지원하지 않는 LAN 서버 환경내에 상호접속된 클라이언트와 서버 사이에 분산 컴퓨터 환경(DCE) 크리덴셜을 이용해서 세션 셋업(session setup) 동안의 상호 인증(mutual authentication)을 개선하는 장치에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(SMB)의 확장을 사전정의하는 수단과, ② 상기 서버를 이용해서, 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(a generic security subsystem : GSS)을 상기 사전 정의된 확장의 함수로서 액세스하는 단계와, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 수단을 포함하는 상호 인증을 개선하는 장치.
10. 제9항에 있어서, 상기 액세스 수단은, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는데 필요한 정보를 캡슐화하는 토큰을 검색하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
11. 제10항에 있어서, 상기 SMB 프로토콜의 상기 확장 수단은, 프로토콜 설정(NP) 응답시, SMB_secmode 필드내의 제2비트를 활성화시키는 수단을 포함하는 상호 인증을 개선하는 장치.
12. 제11항에 있어서, 상기 서버를 이용해서 SMBsecpkgX 응답을 검출하는 수단과, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
13. 제12항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
14. 제13항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context 함수를 호출하는 단계와, ② 상기 제1토큰에 응답하여 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_ context 함수에 전송하는 수단과, ③ 상기 GSS_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환(returm)하는 단계를 더 포함하는 상호 인증을 개선하는 장치.
15. 제14항에 있어서, ① 상기 SMBsecpkgX 응답 검출에 응답하여, 상기 서버를 이용해서 상기 제2토큰을 추출하는 단계와, ② GSS_initiate_sec_context 함수를 이용해서 상기 추출된 토큰을 처리하는 단계와, ③ 클라이언트 인증에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS를 수신하는 수단과, ④ 상기 SMBsecpkgX 응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 단계와, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 수단과, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조에 접속시키는 수단을 더 포함하는 상호 인증을 개선하는 장치.
16. 제15항에 있어서, 상기 서버는 리디렉터를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링에서 동작하고, 상기 장치는, 크리덴셜 관리자 프로세스를 상기 리디렉터와 상기 GSS간의 중간매체로서 설정하는 수단을 더 포함하는 상호 인증을 개선하는 장치.
17. 원격 절차 호출(RPC)을 본질적으로 지원하지 않는 LAN 서버 환경내에 상호 접속된 클라이언트와 서버 사이에 분산 컴퓨터 환경(DCE) 크리덴셜을 이용해서 세션 셋업 동안의 상호 인증을 개선하는 컴퓨터 프로그램 제품(a computer programproduct)에 있어서, ① 크리덴셜을 교환하기 위해 서버 관리 블럭(SMB) 프로토콜의 확장을 사전정의하는 컴퓨터 판독가능한 프로그램 코드 수단(computer readable programcode means)과, ② 상기 서버를 이용해서, 상기 DCE에 의해 정의된 GSS API 인터페이스를 통해 포괄적 보안 서브시스템(GSS)을 상기 사전 정의된 확장의 함수로서 액세스하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 상기 액세스에 응답하여, 상기 GSS로부터 상기 크리덴셜을 획득 및 유효화하는 컴퓨터 판독가능한 프로그램 코드 수단을 포함하는 컴퓨터 판독가능한 프로그램 제품.
18. 제17항에 있어서, 액세스하는 상기 컴퓨터 판독가능한 프로그램 코드 수단은, 상기 클라이언트 및 상기 서버를 이용해서, 상기 상호 인증을 수행하는데 필요한 정보를 캡슐화하는 토큰을 검색하는 컴퓨터 판독가능한 프로그램 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
19. 제18항에 있어서, 상기 SMB 프로토콜을 확장하는 상기 컴퓨터 판독가능한 프로그램 코드 수단은, 프로토콜 설정(NP)응답시, SMB_secmode 필드내의 제2비트를 활성화하는 컴퓨터 판독가능한 프로그램 코드 수단을 포함하는 컴퓨터 판독가능한 프로그램 제품.
20. 제19항에 있어서, 상기 서버를 이용해서 SMBsecpkgX 응답을 검출하는 컴퓨터 판독가능한 프로그램 코드 수단과, 상기 검출에 응답하여, 상기 클라이언트와 상기 서버간에 GSS 토큰을 교환하여 상기 상호 인증을 수행하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
21. 제20항에 있어서, 상기 SMBsecpkgX 응답에 대응하는 GSS/DCE 토큰 패키지를 정의하는 컴퓨터 판독 가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
22. 제21항에 있어서, ① 상기 서버에 전송할 제1토큰을 획득하기 위해, 상기 클라이언트를 이용해서 GSS_initiate_sec_context 함수를 호출하는 단계와, ② 상기 제1토큰에 응답하여, 제2토큰을 상기 클라이언트로부터 상기 GSS_initiate_sec_ context 함수에 전송하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 상기 GSS_initiate_sec_context 함수를 이용해서, 상기 서버가 인증되었는지의 여부를 반환하는 컴퓨터 판독가능한 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
23. 제22항에 있어서, ① 상기 SMBsecpkgX 응답 검출에 응답하여, 상기 서버를 이용해서 제2토큰을 추출하는 컴퓨터 판독가능한 프로그램 코드 수단과, ②GSS_initiate_sec_context 함수를 이용해서 상기 추출된 토큰을 처리하는 컴퓨터 판독가능한 프로그램 코드 수단과, ③ 클라이언트 인증에 응답하여, 상기 서버를 이용해서 상기 클라이언트에 전송할 GSS 토큰을 수신하는 컴퓨터 판독가능한 프로그램 코드 수단과, ④ 상기 SMBsecpkgX 응답시, 상기 GSS 토큰을 상기 클라이언트에 전송하는 컴퓨터 판독가능한 프로그램 코드 수단과, ⑤ 상기 서버를 이용해서 상기 GSS 토큰으로부터 상기 사용자의 상기 크리덴셜을 추출하는 컴퓨터 판독가능한 프로그램 코드 수단과, ⑥ 상기 클라이언트가 상기 네트워크의 자원에 액세스할 때 사용하기 위해, 상기 추출된 크리덴셜을 세션 데이타 구조에 접속하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.
24. 제23항에 있어서, 상기 서버는 리디렉터를 포함하고, 상기 리디렉터 및 상기 GSS는 상이한 링에서 동작하고, 상기 컴퓨터 프로그램 제품은, 프리덴셜 관리자 프로세스를 상기 리디렉터와 상기 GSS간의 중간매체로서 설정하는 컴퓨터 판독가능한 프로그램 코드 수단을 더 포함하는 컴퓨터 판독가능한 프로그램 제품.

    ※ 참고사항 : 최초출원 내용에 의하여 공개하는 것임.