TW201140366A - Apparatus and methods for protecting network resources - Google Patents
Apparatus and methods for protecting network resources Download PDFInfo
- Publication number
- TW201140366A TW201140366A TW099134289A TW99134289A TW201140366A TW 201140366 A TW201140366 A TW 201140366A TW 099134289 A TW099134289 A TW 099134289A TW 99134289 A TW99134289 A TW 99134289A TW 201140366 A TW201140366 A TW 201140366A
- Authority
- TW
- Taiwan
- Prior art keywords
- organization
- authentication
- client
- network
- cde
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Description
201140366 六、發明說明: 【發明所屬之技術領域】 本發明涉及電腦系統與資料安全領域。更詳細來說, 提供用於保護網路資源在允許新用戶端裝置存取網路資源 時遭遇未授權存取的設備與方法。 【先前技術】 有效配置並操作網路式電腦系統所需的知識水準相當 高。大型組織通常雇用相對大量的 IT(Information Technology :資訊技術)員工來配置新設備、維護現有設 備、協助用戶操作設備、套用安全政策、監控網路安全等。 然而,某些組織,尤其是小型組織,因爲無法雇用經驗豐 富的全職IT員工來執行相同工作,所以在這種組織內被交 與IT職責的人對於可能發生的無數問題與挑戰可能是沒 有準備好的。 例如,防範組織網路資源遭遇未授權存取是一項可輕 易被以不完整或無效率之方式執行的重要工作。由於問題 複雜,所以要到網路已被侵害,組織才會清楚獲悉缺乏有 效性。因爲以電子方式儲存的資料量與日俱增,所以讓網 路安全更加重要。 難以充分保全網路資源的一項原因合理允許正當使用 資源的需求、與避免所有不正當使用之要求間之拉鋸。此 拉鋸隨著運用的資源數量與類型增加而提高。 -4 - 201140366 每一種新類型的資源都可用不同方式配置來存取允許 的資源、套用所要求的安全等級等。保全一個組織的網路 資源只是許多工作中的一項,並且在IT員工不夠的情況 下,面臨.用戶需要即時援助時可能需要盡速解決。因此, 配置與監控網路安全會與像是幫助用戶配置在組織內所使 用的設備這類的工作發生爭持。 某些組織選擇利用自動設置,來籌備在其網路內所使 用的新裝置。不過,若組織的安全政策未涵蓋自動設置之 設備與公用程式,且未與新裝置的保全設定檔之配置配 合,則安全弱點會隨新裝置被引進組織內。或者,若以隨 意或匆忙的方式執行設置,則可能無法正確或完全地套用 安全政策。 總而言之,新網路裝置的安裝或配置常常都是在沒有 正確套用適當安全政策的情況下執行,尤其是當組織沒有 充足的全職且訓練精良之IT人員時。 【發明內容】 在本發明的某些具體實施例內,所提供的設備及方法 係用來保護組織的網路資源,尤其係關於組織內新用戶端 裝置的自動供應。保全資源免於未授權的存取,同時完整 支援存取權限給所有授權人員,這都是因爲使用兩種合作 的公鑰基礎建設PKI(Public Key Infrastructure)架構’對嘗 試使用資源的所有實體進行認證式驗證。 -5- 201140366 第一全球PKI架構以全球可用的驗證伺服器(例如,可 透過網際網路存取的伺服器)爲根本。用來驗證用戶端並且 同意存取組織網路的網路裝置、驗證碼,以及用來供應新 用戶端.裝置的用戶端裝置啓用碼(CDEs)都屬於全球ΡΚΙ內 發出的認證,這是由在因爲操作因素而需要知道哪個組織 將使用即將供應的網路裝置、用戶端裝置及驗證碼之前, 將這些裝置和驗證碼啓動來達成。 記錄網路裝置的識別、驗證碼以及連結至特定組織的 CDE(例如,利用序號、用戶端認證),並且在組織的驗證碼 之間分享,以幫助限制對授權人員與裝置的網路存取。驗 證碼可爲獨立的網路組件,或可與存取點(例如,無線存取 點)、交換器或其他通訊設備在一起。 第二每一組織的PKI架構也以驗證伺服器或其他具有 較高可用性的資源爲根本。每一個組織都維護一個個別最 高層'認證機構CA(CertificateAuthority)。在組織的PKI之 內,組織的驗證碼發出組織次高層(中間)CA認證,這允許 其發出用戶端認證給新用戶端裝置,這可在即使根CA暫 時無法使用或離線時,讓驗證碼發出新認證。 若要供應新用戶端裝置用於特定組織,CDE使用全球 PKI下發出的認證,連結至使用組織驗證碼其中之一互相 驗證的組織。在成功驗證之後,在組織的PKI之內,CDE 要求並且驗證碼發出新組織用戶端認證給用戶端裝置。 -6- 201140366 在供應用戶端裝置之後,該裝置使用組織認證來對驗 證碼進行驗證,並且存取組織的網路。在某些具體實施例 內,將用戶端的認證(或其指紋)新增至組織驗證碼之間共 享的白名單內,若是並且在此白名單可取得時,全球管理 伺服器都可共享此白名單,或可透過區域方式共享。 組織驗證碼的識別(例如認證、認證指紋、其他識別碼) 與CDE也可如同白名單一樣傳播,若是當此白名單可用 時,此白名單可透過全球管理伺服器傳播,或透過其他區 域方式傳播。損失、遭竊或遺失的組件或裝置要從其白名 單中移除及/或放入黑名單中,以避免遭使用。
在某些具體實施例內,若是或在連線至全球最高層CA 可用時,在供應新用戶端之後,該供應中驗證碼的中間CA 認證(在組織PKI內)以及該供應中CDE的用戶端認證(在全 球PKI內)在使用之後取代或更新。例如,在新認證當中可 改變計數器或其他分辨資料欄位。藉著定期更新這些認 證,若驗證碼或CDE遺失、遭竊或遭破解’都可輕鬆套用 修正動作(即是從白名單中移除適當認證並加入黑名單 中)。利用輪替C D E用戶端認證以及驗證碼中間C A認證, 盡可能使用所發出號碼最小的用戶端認證’這麼一來重新 引動或列入黑名單的衝擊會最小。此外’可更迅速偵測CDE 的複製。 201140366 【實施方式】 下列說明讓任何熟習本技術人士可製造並使用本發 明,並且呈現在特定應用及其需求的情境中。熟習本技術 人士應明白所揭示之具體實施例可進行各種修改,而且此 處所定義的通用原理可套用於其他具體實施例和申請案而 不背離本發明之範疇。因此,本發明並非欲受限於此處所 示的具體實施例,而係符合與此處所提供之原理及特徵一 致之最廣範疇。 在本發明的某些具體實施例內,提供用來保護組織的 網路資源免於未授權存取,不需要大量專業知識以及組織 部分努力之設備及方法》在這些具體實施例內,供應個別 裝置(例如新用戶端裝置)進行網路內的操作時,連結安全 架構。 運用多種PKI(公鑰基礎建設)來驗證網路裝置,並且允 許網路操作,不過組織不需要維護PKI管理與操作專用的 伺服器。反之,由雲端型驗證伺服器監督基礎建設,如此 即使伺服器無法使用還是可繼續運作。在PKI的標題之 下,在存取組織網路之前要發出認證,並且組件必須通過 認證型驗證架構。 尤其是,全球PKI架構將認證分配給組織的用戶端裝 置啓用碼(CDE),其操作來供應組織的新用戶端計算裝置, 並且操作來進行組織的驗證(例如無線存取點、交換器), 這些裝置在可存取組織網路之前與CDE和用戶端裝置相互 201140366 驗證。因此,使用全球PKI認證來執行CDE與驗證碼之間 的驗證,並且用於驗證新用戶端。這允許在因爲運作因素 而需要知道要使用CDE的是哪個組織之前供應CDE。全球 管理伺服器內保留一個表格,用來追蹤任何CDE的所有權。 每一個組織PKI架構將中間CA(認證機構)認證以及伺 服器認證分配給組織的驗證碼,並且可將用戶端認證分配 給組織用戶端。因此,組織網路的定期使用需要與組織認 證相互驗證(針對不同目的,網路裝置可連同多個組織認證 發出-例如,中間CA認證允許其發出用戶端認證,並且伺 服器認證允許其與用戶端相互驗證該網路)。 第1圖描繪本發明某些具體實施例可以實施的計算環 境之方塊圖。 在這些具體實施例中,全球伺服器110管理一或多個 組織的PKI,並且可透過網路140存取,網路140可包含 網際網路、組織企業內網路及/或其他公開及/或私用網 路。如底下將討論,組織的網路與網路資源都受到保護, 並且即使在全球伺服器無法使用時(例如,因爲網路1 40中 斷),可讓授權的用戶完整存取。 全球伺服器1 1 0可以稱爲驗證伺服器,因爲其用來作 爲一或多個PKI的最高層。在其他具體實施例內,伺服器 1 10的功能(例如,驗證、PKI管理、裝置註冊)可分散在許 多實體之間。 -9 * 201140366 組織的無線存取點(AP)及/或其他通訊設備以及網路 裝置都由網路1 40連結至全球伺服器1 1 0,例如,無線存 取點(WAP) 130a-130m代表個別組織(即是組織A)操作來提 供網路存取以及資源之間的通訊。該組織的資源也包含任 何數量與類型的用戶端裝置132,像是膝上型與筆記型電 腦、個人數位助理(P D A s )、筆記型電腦、桌上型電腦、工 作站等》 無線存取點130可稱爲驗證碼,因爲其參與相互驗證 架構來限制授權實體存取網路資源。 無線存取點1 3 0僅例示可由組織用來提供並保護對網 路資源存取的驗證碼之形式,可作爲驗證碼來保護對網路 資源存取的其他種設備包含交換器、路由器、虛擬私人網 路(VPN)閘道器等。 用戶端裝置啓用碼(CDE) 120配置成利用執行供應邏 輯122,幫助供應在組織內操作的新用戶端裝置。在本發 明的某些具體實施例內,C D E 1 2 0包含萬用序列匯流排 USB(Universal Serial Bus)裝置、光碟或其他可移除式儲存 媒體。在其他具體實施例內,CDE 120包含可透過網路下 載、電子郵件、即時通訊或其他方式傳遞給裝置的邏輯集 合。 在要配置新裝置時,CDE連結或安裝在該裝置上。然 後執行該供應邏輯,以配置該裝置在該組織網路內操作’ 這牽涉到安裝一或多個數位認證。 -10- 201140366 在本發明的某些具體實施例內,用戶端裝置啓用碼可 使用多次,來供應多個用戶端裝置。每次使用時,都必須 與組織的驗證碼其中之一相互驗證其本身。驗證碼不只驗 證CDE供應的數位認證,也針對核准在組織內使用CDE 的清單(例如白名單)來檢查CDE的識別(例如其認證內的 序號)。此驗證與確認也可藉由針對可接受的指紋清單(已 經由全球管理伺服器或其他區域方式分配給所有組織的驗 證碼),來檢查CDE認證的指紋而執行。 某些用戶端裝置啓用碼有使用次數限制(例如,1、5、 10)。使用這種CDE供應用戶端時,中央資料庫內(例如在 全球伺服器1 1 〇上)的計數器及/或組織A P 1 3 0之間共享的 清單都會遞增。在CDE已經被使用而到達核准的使用次數 之後,就會從資料庫及/或可接受清單中移除,並且以後不 再被視爲有效CDE » 在本發明的某些具體實施例內,組織網路內的無線存 取點可支援兩種操作模式。一種模式提供網路資源的完整 使用權限給已授權、驗證過的裝置,此模式可用於已經供 應並且用組織PKI內發出的用戶端數位認證配置之用戶端 裝置。 第二種模式允許有限使用某些網路資源。在此第二操 作模式內’ 「訪客」用戶端(例如尙未供應好的新用戶端裝 置)可建立足夠的存取權限,以透過電子郵件、網路下載或 其他傳輸方式接收軟體式CDE。在已經下載CDE並且執行 201140366 來供應用戶端裝置之後,該裝置將可在完整網路存取權限 的第一操作模式下操作。 針對保全網路與網路資源的目的而言,全球伺服器110 包含資料庫112和許多PKI認證。資料庫112儲存經過授 權參與組織網路的裝置與設備之識別。例如,在像是無線 存取點與用戶端裝置啓用碼這些新網路資源授權用於組織 網路時,其識別與該組織相關聯並儲存在資料庫內。 在全球伺服器所儲存PKI認證中爲全球CA(認證機構) 最髙層認證1 5 0之間,並且用於全球伺服器所服務的每一 個組織,CA最高層認證1 70對該組織來說獨一無二。例如, 對於組織A-N,該全球伺服器儲存組織的CA最高層認證 1 70a-170η ° 因此,多個PKI s錨定在該全球伺服器上。以CA最高 層認證150爲根本的全球PKI提供用來實施全球安全架構 的整體數位認證框架,避免未授權裝置使用網路資源,同 時允許CDE和驗證碼在組織內供應新用戶端裝置,這可稱 爲」全球」PKI。 每個組織一個的額外PKIs以其個別CA最高層認證爲 根本,並且用於建立在對應組織內使用的數位認證之框 架。每一個組織認證都用於後續供應,來判定對組.織網路 的定期存取。這些PKIs可稱爲「組織」PKIs。 針對所維護的每一個最高層認證,全球伺服器也擁有 對應的私鑰。這允許該伺服器發出新認證給設備與裝置。 -12- 201140366 吾人可注意,利用管理全球伺服器上的全球Ρκι和組織 PKIs,個別組織並不需要投入努力或資源來管理其ΡΚΙ。 組織的驗證碼(例如組織A的無線存取點130m)也儲存 許多數位認證,這些認證可包含由全球最高層認證150簽 署的伺服器認證154,用於在CDE嘗試供應新用戶端裝置 時針對用戶端裝置啓用碼驗證其本身。A.P 13 0m尙包含也 由全球最高層認證150簽署的全球用戶端認證156,用來 針對全球伺服器110驗證其本身。 如同組織A的ΡΚΙ,AP 1 30m包含組織最高層認證1 70a 的副本(與對應的公鑰合倂),這允許該AP驗證一個用戶 端。若使用用戶端白名單,則AP也將包含可接受用戶端認 證的清單或者可接受用戶端認證的指紋清單。每當連接可 用時,全球管理伺服器就會更新此清單。 AP 1 3 0m也包含一個用於組織A的中間CA認證(認證 172a),其由組織CA最高層認證170a簽署並且附屬於此最 高層認證。這允許該AP發出組織PKI內的用戶端數位認 證,不牽涉到全球伺服器(如此讓新用戶端可在伺服器離線 時啓用)。最後,該AP也擁有最高層認證1 70a簽署的伺服 器認證1 74,這允許該AP針對用戶端裝置驗證其本身。 在第1圖內描述的本發明具體實施例內,用戶端裝置 啓用碼(CDE)120擁有全球用戶端認證158(由全球最高層 認證150簽署),用於在CDE操作來供應新用戶端裝置時 針對無線存取點驗證其本身。如同用於組織PKI,CDE 120 201140366 具有最高層認證1 7 0 a的副本以及對應的公鑰,用此來驗證 組織無線存取點1 3 0。 無線存取點130m及/或CDE120也儲存全球CA最高層 認證1 5 0的副本。 在第1圖所反映的本發明具體實施例內,個別用戶端 132只擁有組織PKI內所發出的認證。尤其是,一個用戶 端具有組織A的最高層C A認證1 70a之副本,如此可在連 接至組織網路時驗證 AP。該用戶端也擁有用戶端認證 176a,其由中間CA認證172a(延伸意思就是由最高層認證 17〇a)以及該發出的驗證碼中間CA認證172a所簽署;這些 認證允許該裝置針對該AP驗證其本身。 在由用戶端裝置啓用碼供應該裝置時,會組合組織用 戶端裝置1 3 2上的此認證組態。在供應之前,用戶端裝置 可能沒有組織認證,並且無法存取組織網路(有限制的「訪 客」模式除外)。 不過在本發明的其他具體實施例內,用戶端裝置可由 已經配備全球C A最高層認證1 5 0所簽署之全球用戶端認 證的組織所接收。此認證可用來運用驗證碼啓用初始驗 證’之後使用已經安裝在用戶端上或從驗證碼或其他網路 位置下載的軟體來供應。 因此,在此處所述的本發明具體實施例內,使用該全 球PKI來啓用用戶端裝置啓用碼與組織驗證碼(例如無線 存取點)間之信賴通訊,以便允許安全供應新用戶端裝置。 -14- 201140366 該全球PKI也允許驗證碼與全球伺服器針對彼此相互驗證 其本身。 組織的ΡΚΙ用來授權使用組織的網路資源,因此在允 許CDE供應新用戶端裝置之後,該用戶端配置成使用組織 ΡΚΙ內發出的認證,以針對一無線存取點驗證其本身。 在本發明的某些具體實施例內,組織的驗證碼共享一 或多個白名單190及/或黑名單,以幫助判定哪些實體可以 和不可以存取組織的網路。 例如,在新用戶端已經供應並且該網路接受之後’其 用戶端認證及/或其他識別會新增至用戶端白名單內’一旦 該白名單分配至所有驗證碼,就可直接驗證該用戶端(即是 不用透過其認證鍊來驗證有效與否)° 就例示而言,該用戶端白名單可包含已核准用戶端認 證的指紋(例如雜湊値),並且在用戶端提交其認證進行驗 證時,驗證碼從提交的認證當中只產生比對指紋’並且與 白名單當中的該指紋比對,以證明該用戶端的識別與授權。 對於新用戶端供應與已更新白名單分配之間的時間週 期而言,驗證碼可用正常方式(透過其認證錬)驗證該用戶 端。若認爲用戶端不合法,則只要從白名單中移除其認證 及/或新增至黑名單中,以避免其存取該網路。 另一可在組織驗證碼之間共享的白名單爲驗證碼的組 織中間C Α認證(或其指紋)之清單。這幫助在用戶端認證新 增至用戶端白名單之前,個別驗證碼驗證由另一認證碼發 出給新用戶端裝置的組織用戶端認證。 -15- 201140366 可共享的又—白名單包含有效用戶端裝置啓用碼的全 球用戶端認證(或其指紋)。在CDE變成無效時,像是供應 預定數量的用戶端之後,或已經遺失/遭竊’則可從CD E 白名單中移除,這將避免驗證碼辨識該CDE並且允許其供 應另一裝置。 在本發明的某些具體實施例內,可實施個別CDE管理 伺服器(或CMS)來註冊組織的CDE。該CMS可位於組織的 網路之內或網路之外(例如,與第1圖的全球伺服器1 1 〇 — 起)。連結至該組織的每一個CDE都必須在該CMS上註冊, 及/或該CMS可配置成產生或發出新CDE,像是利用下載 該CDE邏輯或發出內含該CDE邏輯的電子郵件,或利用將 該軟體儲存在USB隨身碟 '光碟或其他可攜式儲存裝置上。 第2圖爲展示根據本發明某些具體實施例之供應新用 戶端裝置同時保護網路資源免於遭遇未授權存取的方法之 流程圖。 在這些具體實施例內,運用可延伸的驗證通訊協定·運 輸層安全性 EAP-TLS(Extensible Authentication Protocol -Tran sport LayerSecurity)來提供安全認證式架構,用於網 路實體之間相互驗證。ΕΑΡ-TLS安全架構的TLS部分並未 戶料 用資 該端 證戶 驗用 是該 而密 , 加 線於 連用 料將 資換 的交 端全 戶安 用許。 內允鑰 路且金 網並密 織,加 組路他 密網其 加該的 於與線 用端連 -16- 201140366 ΕΑΡ-TLS提供或支援上述的「組織」PKI,而「全球」 PKI則維持在ΕΑΡ-TLS架構之外。雖然結合第2圖描述的 方法使用單一組織PKI,熟習本技術人士將瞭解如何使用 雙PKIs,如ΕΑΡ-TLS說明當中所提供,可在不超過本發明 範疇之下套用。 在操作200內,使用全球PKI的CA最高層認證來配 置全球驗證伺服器。隨著組織選擇如此處所述保護其網路 時,該全球伺服器也將具備個別組織PKIs的CA最高層認 證。 好處是該驗證伺服器受到安全促進措施或專門保護組 織網路與資源的其他實體之管理,這排除該等組織必須保 持在安全警戒狀態、管理數位認證的頒發和撤銷、配置CDE 等。 在操作2 02內’該驗證伺服器發出適當數位認證給全 球PKI內選取的驗證碼裝置(例如無線存取點' 交換器), 例如,驗證碼可爲了針對該全球伺服器驗證其本身而發出 用戶端全球認證,以及發出伺服器全球認證來允許針對其 他設備驗證其本身’像是操作來供應用戶端裝置的用戶端 裝置啓用碼。 —個驗證碼範例,就是無線存取點(AP),用來描述第 2圖內所呈現本發明方法之操作。本發明的其他具體實施 例可運用其他種驗證碼。 -17- 201140366 在操作204內,該驗證伺服器發出適當數位認證給用 戶端裝置啓用碼。尤其是在這些具體實施例內,CDE發出 用戶端全球認證,如此可針對已運用的無線存取點驗證本 身。在某些具體實施例內,無線存取點及/或CDE也可具有 驗證伺服器全球最高層認證的副本以及對應的公鑰。 吾人可注意,在操作202-204內接收全球數位認證的 無線存取點與用戶端裝置啓用碼尙未使用、尙未關聯於組 織並且尙未發出任何組織數位認證。不過,因爲其具有適 當的全球認證,所以可視需求運用(例如由組織要求時)、 在全球PKI內驗證其本身,然後接收必須的組織認證,如 簡述。 在操作206內,選擇一或多個APS和CDEs來運用至 組織並且在其內’例如,操作該全球驗證伺服器的實體可 維護此設備’直到組織需要爲止。在組織預訂該設備時, 即使在接收透過組織PKI發出的任何認證之前,都可立即 傳送APs和CDEs。 在本發明的這些具體實施例內,CDE爲包含硬體與軟 體的物品’像是儲存該必要供應邏輯與資料的USB隨身 碟。不過在本發明的其他具體實施例內,CDE包含可輕易 在網路實體之間複製、以電子郵件寄送、下載或傳輸之軟 體。 在本發明的某些具體實施例內,每一個無線存取點都 裝運一或多個CDE ’因此在本發明的這些具體實施例內, 201140366 組織接收讓一或多個用戶端裝置啓動並且在組織 作所需之所有設備。該全球管理伺服器儲存哪個 些AP裝運的映射,如此在AP註冊至特定組織時 起裝運的CDE也自動註冊至該組織。 在操作208內,所選AP和CDE的識別都儲 伺服器上並且連結至該組織,例如,儲存j IP(Internet Protocol :網際網路通訊協定 MAC(Medium Access Control:媒體存取控制)位 識別標記。 稍後,在設備連線至伺服器時(例如,第一次 織網路之後),該全球伺服器可確認該設備已經關 接至該正確組織,該設備並未暗中切換用於不同 又,在操作2 0 8內,使用選取CDE的用戶端 或其指紋,將該組織的CDE白名單初始化,並且 .認證(或認證指紋)將AP白名單初始化。在驗證伺 管理這些白名單(或組成名單的資料)。另外在操竹 AP和CDE裝運或遞送給該組織。 在操作210內,該組織接收並運用這些選取 取點。在連線至組織的網路時,新運用的AP將嘗 球伺服器。在連線時,兩實體將使用其全球認證 其本身。AP可接收任何相關白名單的副本(或其j 時連接至全球驗證伺服器。 網路內運 CDE隨哪 ,盥苴一 〆、 〆、 存在全球 $序號、 )位址、 址或其他 連接至組 聯於並連 項目等。 全球認證 .用AP的 服器上可 Ξ 208 內· 的無線存 試接觸全 相互驗證 匿新),同 -19- 201140366 然後’全球伺服器將一組組織認證發出給該AP,尤其 用來保護該組織的網路資源。CDE除了可用來供應新用戶 端裝置以外,只有擁有組織PKI內所發出認證的設備可完 整使用該組織的網路。 在本發明的這些具體實施例內,該AP接收組織C A最 高層認證的副本(以及對應的公鑰)、以AP的名稱發出之新 中間CA認證(用此將發出組織用戶端認證給用戶端裝置) 以及組織伺服器認證,用此認證將針對嘗試存取組織網路 的用戶端裝置驗證其本身。 在操作212內,將CD E插入供應用於網路存取的用戶 端裝置內,或在只有軟體的CDE案例中,載入CDE於該裝 置上。在這些具體實施例內,用戶端裝置包含主要可攜式 計算裝置,但也可或反而包含固定式(例如,桌上型、工作 站)電腦。連接CDE之前,視需求實際配置該用戶端裝置(例 如,具有無線網路卡、一或多個USB連接埠、資料儲存裝 置)。 針對用戶端供應的一部分,該CDE可用任何讓該裝置 在組織網路內安全運作的所需方式配置該用戶端裝置。例 如,其可載入網路磁碟機' 配置網路連線、設定安全參數、 安裝防毒或其他防護軟體等。在新用戶端裝置可與無線存 取點通訊時,可當成要完成該供應程序,或者可考慮該供 應繼續進行額外操作(例如操作214至218或220),直到用 戶端裝置配置成完整參與該組織網路爲止。 -20- 201140366 在操作214內,透過用戶端裝置,CDE與組織的其中 一個無線存取點連線,並且CDE和AP相互驗證其本身。 在本發明的這些具體實施例內,使用全球PKI內發出的數 位認證(例如AP的伺服器認證以及CDE的用戶端認證)執 行該驗證。互相驗證讓CDE和AP開啓加密的TLS通訊作 業。· 在操作216內,CDE在TLS作業內運行標準金鑰管理 通訊協定,以向AP要求用戶端的組織用戶端數位認證。 在操作218內,AP產生並簽署用戶端的用戶端認證(使 用其組織中間CA認證),並搭配組織最高層認證的副本以 及對應的公鑰傳輸給用戶端。因此新用戶端認證具有簽署 鍊,包含AP (其組織中間CA認證)以及驗證伺服器(作爲組 織CA最局層認證)。 在操作220內,AP新增用戶端至組織的用戶端白名單 內。在某些具體實施例內,這由開啓與全球驗證伺服器的 安全通訊作業(例如使用全球PKI),以及新增用戶端的新認 證(或其指紋)至白名單的資料庫或集中副本來達成:該白 名單也可包含新用戶端的某些識別(例如序號、網路位址)。 然後將已更新的白名單分配在組織的AP之間。這種更 新可在每次白名單修改過後分配,或定期分配(例如1 〇分 鐘、1小時)。 可注意到,即使AP無法與全球驗證伺服器通訊,也可 用有效組織用戶端數位認證來供應與提供該新用戶端裝 -2 1 - 201140366 置。因此’即使組織外沒有網路連線,還是可配置新組織 用戶端裝置並投入運作。 不過’直到新用戶端的認證傳播給所有AP之前,若該 用戶端透過非發出其認證的AP連接至組織網路,則該認證 必須經過該另一 AP充份驗證。一旦分配該已更新的白名單 之後’另一 AP只需要產生該用戶端認證(驗證過程期間所 接收)的指紋’並且與白名單內儲存的指紋比對即可。 因此,在操作220之後,新用戶端裝置可開啓與組織 無線存取點的安全通訊作業、使用其新的組織用戶端認證 相互驗證,並且存取該組織的網路。 在選擇性操作222內,可以更新或覆蓋一或多個實體 的數位認證,例如,在本發明的某些具體實施例內,每次 AP簽署新組織用戶端數位認證時,會與全球驗證伺服器接 觸,以要求新的/已更新的組織中間CA認證,該已更新的/ 取代的認證可包含已更新的計數器、新時間戳記,,或允許 該認證與發出給該AP的其他組織中間CA認證區別之某些 其他資料値。就例示而言,這可同時完成或屬於更新一或 多份白名單中的一部分。 在本發明的這些具體實施例內,定期更新AP的組織中
間CA認證(例如每次供應新用戶端之後)意味著,若該AP - · · · 已遺失、遭竊或下落不明,則可輕鬆識別其消失後所發出 的任何用戶端認證。因此若AP已遺失,則會從組織的AP 白名單中移除(及/或放入黑名單中),並且該AP稍後產生 並呈現給有效組織AP的任何用戶端認證都將視爲無效。 -22- 201140366 類似地,每次使用CDE的全球用戶端認證供應用戶端 裝置時,都可以更新、覆蓋或取代。如先前所述,在本發 明的某些具體實施例內,CDE的有效使用次數有限,在該 使用次數之後(在全球伺服器及/或其他地方可追蹤),就不 會接收新認證,並且從組織的CDE白名單中移除(及/或放 入黑名單中)。 藉由定期更新或取代CDE的全球用戶端認證,若CDE 遺失或遭竊時就會失效。尤其是,在判斷CDE已經遺失時, 則從組織的CDE白名單中移除(及/或放入黑名單中),如此 並無組織AP將允許CDE供應新用戶端(即是不會回應CDE 的要求而發出新組織用戶端認證此外,因爲更新CDE 的認證,所以可識別並隔離在該CDE被破解之後所供應的 任何用戶端。 因爲全球驗證伺服器在某些時候可能中斷連線(例如 組織與網際網路的連線中斷時),直到伺服器重新上線之 前,會延後更新AP、CDE及/或其他設備的數位認證。就 例示而言,受影響的組件(例如AP、CDE)可同時繼續正常 使用。 另外在本發明的某些具體實施例內,AP可直接分配新 用戶端認證(或其指紋)給其他組織AP(例如若全球伺服器 連線中斷時)。 在本發明的某些具體實施例內,在使用用戶端裝置啓 用碼憑證來供應用戶端裝置之前,必須先通過全球驗證伺 -23- 201140366 服器的核准,並且在核准時更新或覆蓋。在這些具體實施 例內,CDE首先針對驗證碼驗證本身,其中由CDE所呈現 的認證中產生之指紋與白名單指紋比對,若CDE通過此步 驟,表示其憑證已經傳遞至驗證伺服器。 驗證伺服器針對此CDE搜尋其CDE記錄、驗證並更新 該CDE的憑證、簽署這些憑證、更新其組織CDE記錄,然 後將已更新的憑證回傳給驗證碼用於回傳至CDE。驗證伺 服器也將已更新的指紋分配給所有組織AP。 第3圖爲根據本發明某些具體實施例之用來保護對於 一個組織中網路資源的存取之設備方塊圖。 全球管理伺服器3 00包含通訊機構3 10、全球PKI最 高層機構312、每一個組織PKI最高層機構314、驗證機構 316、PKI管理機構318、選擇性裝置註冊機構320以及白 名單機構322。在本發明的其他具體實施例內,這些機構 的任一者或全部都可結合或再細分。 通訊機構3 1 0經過調整來與組織的驗證碼(例如無線存 取點、交換器)交換通訊。該通訊機構可與用戶介面相關 聯,該介面由驗證伺服器的操作員操縱來幫助伺服器配置 及/或操作。該通訊受到相互驗證與加密的保護,例如TLS 或 HTTPS。 全球PKI最高層機構312經過調整,作爲全球PKI的 最高層CA(認證機構),如此用戶端裝置啓用碼(CDE)和驗 證碼可在供應新用戶端裝置之前相互驗證。 -24- 201140366 每一個組織PKI最高層機構3 1 4經過調整,作爲個別 組織的最高層C Α。每一個機構3 1 4都作爲發出組織數位認 證給將在對應的組織網路內運作的裝置和設備之最高層。 驗證機構316經過調整,來驗證驗證碼、CDE或嘗試 開啓與驗證伺服器3 00安全通訊作業的其他外部裝置。根 據該作業的性質或目的,可使用全球PKI最高層機構312 或每一個組織PKI最高層機構314,驗證一驗證碼或其他 實體所提供的數位認證。 PKI管理機構318經過調整,用來管理PKI最高層機 構312及/或機構314。例如,PKI管理機構可幫助發出已 更新或取代的數位認證(例如驗證碼的組織中間CA認證、 CDE的全球用戶端認證),可能與對應的PKI最高層機構合 作。 選擇性裝置註冊機構320經過調整,來註冊要在全球 PKI及/或每一個組織PKI內運作的一或多種裝置或設備, 例如,裝置註冊機構3 20可註冊用於組織內的CDE及/或驗 證碼,或可由另一實體執彳了這種註冊。就例不而言,若CDE 已經在驗證伺服器300上註冊’該伺服器也可配置成下載 軟體式CDE至驗證碼及/或用戶端裝置。 白名單機構322經過調整’用來識別經過授權在組織 網路內運作的裝置或設備。因此針對已知組織而言,可維 護一或多份白名單來識別有效驗證碼、CDE及/或用戶端裝 置。這些組件可用數位認證(或其指紋或其他製品)、序號 -25- 201140366 或其他標記來識別。白名單機構322可包含一或多份各別 的白名單,用來分佈於組織的網路資源之間,或可包含產 生這些白名單的資料之集合(例如資料庫、表格)。 在本發明的某些具體實施例內,也可操作一或多個黑 名單機構,來識別明確禁止在一或多個組織網路內操作之 驗證碼CDE及/或其他實體。 第4圖爲根據本發明某些具體實施例的驗證伺服器之 方塊圖。 第4圖的驗證伺服器400包含處理器402、記億體404 和儲存裝置406,該儲存裝置可包含一或多種光學及/或磁 性儲存組件。驗證伺服器400可連接(永久或暫時)至鍵盤 412、定點裝置414和顯示器416。 驗證伺服器的儲存裝置406儲存可載入記億體404 內,由處理器402執行的邏輯,這種邏輯包含PKI邏輯 422、驗證邏輯424以及組件識別邏輯426。 PKI邏輯422包含處理器可執行指令,用來操作一或 多個公鑰基礎建設,包含發出認證、更換認證、建立新PKI 等。 驗證邏輯424包含處理器可執行指令,用來驗證呈現 給驗證伺服器400的數位認證。 組件識別邏輯4 2 6包含處理器可執行指令,用來識別 有效組織組件(例如驗證碼、用戶端、用戶端裝置啓用碼) 給那些組件的對點。這種資訊就例示而言,可用白名單及/ 或黑名單的形式傳播。 -26- 201140366 在本發明的其他具體實施例內,驗證伺服器可包含額 外邏輯,像是用來註冊個別組件、管理伺服器的操作、複 製伺服器資料至驗證伺服器的其他實例等。 【圖式簡單說明】 第1圖爲描繪本發明某些具體實施例可以實施的計算 環境之方塊圖。 第2圖爲展示根據本發明某些具體實施例之供應新用 戶端裝置同時保護網路資源免於遭遇未授權存取的方法之 流程圖。 第3圖爲根據本發明某些具體實施例之用來保護對於 一個組織中網路資源的存取之硬體設備方塊圖。 第4圖爲根據本發明某些具體實施例的驗證伺服器之 方塊圖。 【主要元件符號說明】 110 全球伺服器 1 12 資料庫 120 用戶端裝置啓用碼 122 供應邏輯 130a-130m 無線存取點 1 32 用戶端裝置 140 網路 15 0 全球CA(認證機構)最高層認證 154 .伺服器認證 -27- 201140366 156 全球用戶端認證 15 8 全球用戶端認證 170a-170η CA最高層認證 172a 中間CA認證 174 伺服器認證 176 a 用戶端認證 190 白名單 300 全球管理伺服器/驗證伺服器 3 10 通訊機構 3 12 全球PKI最高層機構 3 14 每一個組織PKI最高層機構 3 16 驗證機構 3 18 PKI管理機構 320 裝置註冊機構 322 白名單機構 400 驗證伺服器 402 處理器 404 記憶體 406 儲存裝置 4 12 鍵盤 4 14 定點裝置 4 16 顯示器 422 PKI邏輯 -28- 201140366 424 驗證邏輯 426 組件識別邏輯 -29-
Claims (1)
- 201140366 七、申請專利範圍: 1. 一種保護一組織中之網路資源之方法’其包括: 維持一第一加密基礎設施的一最高層認證; 維持與該組織相連的一第二加密基礎設施之一最高 層認證; 對該組織所操作之一網路內每一個驗證碼發出該第 二加密基礎設施內之一初始中間C A認證;以及 在一已知驗證碼對一新用戶端計算裝置發出該第二 加密基礎設施內之一用戶端認證之後’將一替代中間CA 認證發給該已知驗證碼° 2. 如申請專利範圍第1項之方法’尙包括: 對每一個用戶端裝置啓用碼發出該第一加密基礎設 施內之一初始用戶端認證,該等用戶端裝置啓用碼係配 置以供應該組織網路內之一用戶端計算裝置。 3 .如申請專利範圍第2項之方法’尙包括·· ’ 在操作一已知用戶端裝置啓用碼來供應一用戶端計 算裝置之後,將該第一加密基礎設施內之一替代用戶端 認證發給該已知用戶端裝置啓用碼。 4 ·如申請專利範圍第2項之方法,尙包括: 記錄經授權在該組織網路內操作的驗證碼識別符以 及用戶端裝置啓用碼。 -30-
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/577,684 US8555054B2 (en) | 2009-10-12 | 2009-10-12 | Apparatus and methods for protecting network resources |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| TW201140366A true TW201140366A (en) | 2011-11-16 |
Family
ID=43505145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099134289A TW201140366A (en) | 2009-10-12 | 2010-10-08 | Apparatus and methods for protecting network resources |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US8555054B2 (zh) |
| EP (1) | EP2333689A3 (zh) |
| JP (1) | JP2011082983A (zh) |
| KR (1) | KR20110040690A (zh) |
| CN (1) | CN102045342A (zh) |
| TW (1) | TW201140366A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112287313A (zh) * | 2019-07-24 | 2021-01-29 | 鸿富锦精密电子(天津)有限公司 | 设备验证系统和方法 |
Families Citing this family (40)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100313262A1 (en) | 2009-06-03 | 2010-12-09 | Aruba Networks, Inc. | Provisioning remote access points |
| US8521697B2 (en) * | 2010-05-19 | 2013-08-27 | Cleversafe, Inc. | Rebuilding data in multiple dispersed storage networks |
| CN104537293B (zh) * | 2010-08-20 | 2018-01-19 | Nxp股份有限公司 | 认证设备和系统 |
| US20120066750A1 (en) * | 2010-09-13 | 2012-03-15 | Mcdorman Douglas | User authentication and provisioning method and system |
| KR101091697B1 (ko) * | 2011-05-27 | 2011-12-08 | 주식회사 시큐클라우드 | 탐지되기 어려운 디도스 공격을 방어하는 방법 |
| US9936441B2 (en) * | 2011-08-01 | 2018-04-03 | Aruba Networks, Inc. | Infrastructure-assisted client management using synthesized beacon reports |
| US10848979B2 (en) | 2011-08-01 | 2020-11-24 | Hewlett Packard Enterprise Development Lp | System, apparatus and method for managing client devices within a wireless network |
| US9326313B2 (en) | 2011-08-01 | 2016-04-26 | Aruba Networks, Inc. | System, apparatus and method for managing client devices within a wireless network |
| KR20130048807A (ko) | 2011-11-03 | 2013-05-13 | 한국전자통신연구원 | 클라우드 컴퓨팅 시스템 및 이를 위한 클라우드 서버관리 방법 |
| KR101286177B1 (ko) * | 2011-12-06 | 2013-07-30 | 한전케이디엔주식회사 | 모바일 오피스를 위한 보안 시스템 및 방법 |
| US10484355B1 (en) | 2017-03-08 | 2019-11-19 | Amazon Technologies, Inc. | Detecting digital certificate expiration through request processing |
| DE102013010171A1 (de) * | 2013-06-19 | 2014-12-24 | Airbus Defence and Space GmbH | Rechnernetz, Netzknoten und Verfahren zur Bereitstellung von Zertifizierungsinformationen |
| KR101534476B1 (ko) * | 2013-10-29 | 2015-07-07 | 삼성에스디에스 주식회사 | 비인가 액세스 포인트 탐지 방법 및 장치 |
| US9430649B2 (en) * | 2013-12-17 | 2016-08-30 | Microsoft Technology Licensing, Llc | Automatic strong identity generation for cluster nodes |
| US9258117B1 (en) | 2014-06-26 | 2016-02-09 | Amazon Technologies, Inc. | Mutual authentication with symmetric secrets and signatures |
| US10218692B2 (en) * | 2014-08-21 | 2019-02-26 | International Business Machines Corporation | Management of digital certificates |
| US20160105528A1 (en) * | 2014-10-08 | 2016-04-14 | Microsoft Corporation | Client-assisted fulfillment of a resource request |
| US9923764B2 (en) * | 2014-11-19 | 2018-03-20 | Parallel Wireless, Inc. | HealthCheck access point |
| US10270651B2 (en) * | 2014-11-19 | 2019-04-23 | Parallel Wireless, Inc. | HealthCheck access point |
| US9780952B1 (en) | 2014-12-12 | 2017-10-03 | Amazon Technologies, Inc. | Binding digitally signed requests to sessions |
| US10298404B1 (en) * | 2014-12-12 | 2019-05-21 | Amazon Technologies, Inc. | Certificate echoing for session security |
| US10057067B2 (en) | 2015-05-27 | 2018-08-21 | International Business Machines Corporation | Automatic root key rollover during digital signature verification |
| US10122689B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Load balancing with handshake offload |
| US10122692B2 (en) | 2015-06-16 | 2018-11-06 | Amazon Technologies, Inc. | Handshake offload |
| US9819653B2 (en) | 2015-09-25 | 2017-11-14 | International Business Machines Corporation | Protecting access to resources through use of a secure processor |
| DE102016205203A1 (de) * | 2016-03-30 | 2017-10-05 | Siemens Aktiengesellschaft | Datenstruktur zur Verwendung als Positivliste in einem Gerät, Verfahren zur Aktualisierung einer Positivliste und Gerät |
| WO2018015200A1 (en) * | 2016-07-18 | 2018-01-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Authorization of user equipment for mobile communications network that has previously been authorized by trusted traffic authority |
| JP6776689B2 (ja) * | 2016-07-22 | 2020-10-28 | 富士ゼロックス株式会社 | 情報処理装置、セキュリティシステム及びプログラム |
| US10771261B1 (en) * | 2016-09-29 | 2020-09-08 | EMC IP Holding Company LLC | Extensible unified multi-service certificate and certificate revocation list management |
| EP3337119B1 (en) | 2016-12-13 | 2019-09-11 | Nxp B.V. | Updating and distributing secret keys in a distributed network |
| CN106897631B (zh) * | 2017-02-03 | 2020-01-17 | Oppo广东移动通信有限公司 | 数据处理方法、装置及系统 |
| US10615987B2 (en) * | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
| US10516542B2 (en) * | 2017-03-08 | 2019-12-24 | Amazon Technologies, Inc. | Digital certificate issuance and monitoring |
| US11487868B2 (en) * | 2017-08-01 | 2022-11-01 | Pc Matic, Inc. | System, method, and apparatus for computer security |
| EP3782058B1 (en) * | 2018-04-20 | 2024-03-20 | Vishal Gupta | Decentralized document and entity verification engine |
| TW202019189A (zh) * | 2018-11-05 | 2020-05-16 | 財團法人資訊工業策進會 | 用於裝置連線之雲端平台及裝置連線方法 |
| KR20200082944A (ko) | 2018-12-31 | 2020-07-08 | 주식회사 에스씨솔루션 | 디바이스 인증 시스템 |
| EP3681102B1 (de) * | 2019-01-10 | 2022-03-16 | Siemens Aktiengesellschaft | Verfahren zur validierung eines digitalen nutzerzertifikats |
| US11265325B2 (en) * | 2019-07-22 | 2022-03-01 | Whitestar Communications, Inc. | Systems and methods of salutation protocol to communicate using a private overlay peer to peer network |
| US11601288B1 (en) * | 2019-08-21 | 2023-03-07 | Cox Communications, Inc. | On-demand security certificates for improved home router security |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5491796A (en) | 1992-10-23 | 1996-02-13 | Net Labs, Inc. | Apparatus for remotely managing diverse information network resources |
| US7761910B2 (en) * | 1994-12-30 | 2010-07-20 | Power Measurement Ltd. | System and method for assigning an identity to an intelligent electronic device |
| CA2347211A1 (en) | 1998-10-23 | 2000-05-04 | L-3 Communications Corporation | Apparatus and methods for managing key material in heterogeneous cryptographic assets |
| US20020007346A1 (en) | 2000-06-06 | 2002-01-17 | Xin Qiu | Method and apparatus for establishing global trust bridge for multiple trust authorities |
| JP4626033B2 (ja) | 2000-08-31 | 2011-02-02 | ソニー株式会社 | 公開鍵証明書利用システム、公開鍵証明書利用方法、および情報処理装置、並びにプログラム提供媒体 |
| US20020073310A1 (en) * | 2000-12-11 | 2002-06-13 | Ibm Corporation | Method and system for a secure binding of a revoked X.509 certificate to its corresponding certificate revocation list |
| US7325140B2 (en) | 2003-06-13 | 2008-01-29 | Engedi Technologies, Inc. | Secure management access control for computers, embedded and card embodiment |
| JP2004102558A (ja) | 2002-09-09 | 2004-04-02 | Murata Mach Ltd | サーバ装置 |
| US7366906B2 (en) * | 2003-03-19 | 2008-04-29 | Ricoh Company, Ltd. | Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium |
| US7395428B2 (en) * | 2003-07-01 | 2008-07-01 | Microsoft Corporation | Delegating certificate validation |
| US20050071630A1 (en) * | 2003-08-15 | 2005-03-31 | Imcentric, Inc. | Processing apparatus for monitoring and renewing digital certificates |
| US7500100B1 (en) * | 2003-09-10 | 2009-03-03 | Cisco Technology, Inc. | Method and apparatus for verifying revocation status of a digital certificate |
| US20080010448A1 (en) * | 2003-09-29 | 2008-01-10 | Ayman Llc | Delegated Certificate Authority |
| JP2005107707A (ja) | 2003-09-29 | 2005-04-21 | Canon Inc | 情報処理装置 |
| WO2006026737A2 (en) | 2004-08-31 | 2006-03-09 | Ntt Docomo Inc. | Revocation of cryptographic digital certificates |
| US8181017B2 (en) * | 2004-10-22 | 2012-05-15 | Nds Limited | Certificate renewal |
| EP1653655B1 (en) * | 2004-10-29 | 2006-11-29 | Research In Motion Limited | System and method for verifying digital signatures on certificates |
| US20060159269A1 (en) * | 2005-01-20 | 2006-07-20 | Matsushita Electric Industrial Co., Ltd. | Cryptographic system for resource starved CE device secure upgrade and re-configuration |
| US8266424B2 (en) | 2005-03-30 | 2012-09-11 | Arris Group, Inc. | Method and system for in-field recovery of security when a certificate authority has been compromised |
| JP4750515B2 (ja) | 2005-09-07 | 2011-08-17 | 株式会社エヌ・ティ・ティ・ドコモ | 安全なアドホックネットワークを構築するシステム |
| US20070086449A1 (en) | 2005-10-18 | 2007-04-19 | Aten International Co., Ltd | System and method for remote management |
| US8225313B2 (en) | 2005-10-19 | 2012-07-17 | Ca, Inc. | Object-based virtual infrastructure management |
| US7929703B2 (en) * | 2005-12-28 | 2011-04-19 | Alcatel-Lucent Usa Inc. | Methods and system for managing security keys within a wireless network |
| GB2435362B (en) | 2006-02-20 | 2008-11-26 | Cramer Systems Ltd | Method of configuring devices in a telecommunications network |
| US7904909B1 (en) | 2006-03-31 | 2011-03-08 | Emc Corporation | Architecture for using a model-based approach for managing resources in a networked environment |
| US7483978B2 (en) | 2006-05-15 | 2009-01-27 | Computer Associates Think, Inc. | Providing a unified user interface for managing a plurality of heterogeneous computing environments |
| US7913084B2 (en) | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
| JP5464794B2 (ja) * | 2006-07-24 | 2014-04-09 | コニカミノルタ株式会社 | ネットワーク管理方法およびネットワーク管理システム |
| JP4892008B2 (ja) | 2007-02-07 | 2012-03-07 | 日本電信電話株式会社 | 証明書認証方法、証明書発行装置及び認証装置 |
| JP5078422B2 (ja) | 2007-05-07 | 2012-11-21 | 株式会社リコー | サーバ装置、情報処理装置、プログラムおよび記録媒体 |
| JP2009048329A (ja) | 2007-08-16 | 2009-03-05 | Canon Inc | ネットワーク装置の制御方法及びそのシステムと、該システムを構成するネットワーク装置 |
| US20090126001A1 (en) * | 2007-11-08 | 2009-05-14 | Microsoft Corporation | Techniques to manage security certificates |
| US8407769B2 (en) | 2008-02-22 | 2013-03-26 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatus for wireless device registration |
| US9479339B2 (en) | 2008-02-29 | 2016-10-25 | Blackberry Limited | Methods and apparatus for use in obtaining a digital certificate for a mobile communication device |
| KR101552907B1 (ko) | 2009-02-27 | 2015-09-14 | 삼성전자주식회사 | 디지털 촬영장치, 그 제어방법 및 제어방법을 실행시키기 위한 프로그램을 저장한 기록매체 |
| KR20100098124A (ko) | 2009-02-27 | 2010-09-06 | 삼성전자주식회사 | 디지털 영상 처리장치 및 그 제어방법 |
| JP2010226314A (ja) | 2009-03-23 | 2010-10-07 | Casio Computer Co Ltd | 動画処理装置、動画処理方法及び動画処理プログラム |
| JP2010229523A (ja) | 2009-03-27 | 2010-10-14 | Bridgestone Corp | 導電性透明化合物薄膜の成膜方法および導電性透明化合物薄膜 |
| US8131850B2 (en) | 2009-10-12 | 2012-03-06 | Palo Alto Research Center Incorporated | Apparatus and methods for managing network resources |
| US8954732B1 (en) * | 2012-06-27 | 2015-02-10 | Juniper Networks, Inc. | Authenticating third-party programs for platforms |
| US9614833B1 (en) * | 2014-10-31 | 2017-04-04 | Symantec Corporation | Automated certificate management for a website associated with multiple certificates |
-
2009
- 2009-10-12 US US12/577,684 patent/US8555054B2/en active Active
-
2010
- 2010-10-04 EP EP10186372A patent/EP2333689A3/en not_active Ceased
- 2010-10-06 JP JP2010226314A patent/JP2011082983A/ja active Pending
- 2010-10-08 TW TW099134289A patent/TW201140366A/zh unknown
- 2010-10-08 KR KR1020100098123A patent/KR20110040690A/ko not_active Application Discontinuation
- 2010-10-12 CN CN2010105180587A patent/CN102045342A/zh active Pending
-
2015
- 2015-10-07 US US14/877,503 patent/USRE48821E1/en active Active
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112287313A (zh) * | 2019-07-24 | 2021-01-29 | 鸿富锦精密电子(天津)有限公司 | 设备验证系统和方法 |
| TWI727396B (zh) * | 2019-07-24 | 2021-05-11 | 鴻齡科技股份有限公司 | 設備驗證系統和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110087882A1 (en) | 2011-04-14 |
| CN102045342A (zh) | 2011-05-04 |
| KR20110040690A (ko) | 2011-04-20 |
| EP2333689A3 (en) | 2011-08-31 |
| US8555054B2 (en) | 2013-10-08 |
| USRE48821E1 (en) | 2021-11-16 |
| EP2333689A2 (en) | 2011-06-15 |
| JP2011082983A (ja) | 2011-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TW201140366A (en) | Apparatus and methods for protecting network resources | |
| US11849029B2 (en) | Method of data transfer, a method of controlling use of data and cryptographic device | |
| US10678555B2 (en) | Host identity bootstrapping | |
| US9774452B2 (en) | System and method for enabling unconfigured devices to join an autonomic network in a secure manner | |
| US8627083B2 (en) | Online secure device provisioning with online device binding using whitelists | |
| US9219607B2 (en) | Provisioning sensitive data into third party | |
| US7747851B1 (en) | Certificate distribution via license files | |
| EP2559219B1 (en) | Online secure device provisioning framework | |
| EP3850510B1 (en) | Infrastructure device enrolment | |
| US20140282922A1 (en) | Distribution of secure or cryptographic material | |
| US8312518B1 (en) | Island of trust in a service-oriented environment | |
| US20110138177A1 (en) | Online public key infrastructure (pki) system | |
| TW201251482A (en) | Apparatus and methods for storing electronic access clients | |
| CA2827175C (en) | Dynamically configurable online data update system | |
| US9059962B2 (en) | Secure access to applications behind firewall | |
| JP2020088726A (ja) | 鍵生成装置、鍵更新方法および鍵更新プログラム | |
| Klingaman | The PlanetLab Boot Manager |