TWI407750B - 用於點對點網路中認證以及授權的機制 - Google Patents
用於點對點網路中認證以及授權的機制 Download PDFInfo
- Publication number
- TWI407750B TWI407750B TW094126091A TW94126091A TWI407750B TW I407750 B TWI407750 B TW I407750B TW 094126091 A TW094126091 A TW 094126091A TW 94126091 A TW94126091 A TW 94126091A TW I407750 B TWI407750 B TW I407750B
- Authority
- TW
- Taiwan
- Prior art keywords
- computing device
- user
- voucher
- trusted
- store
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3265—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Description
本發明概有關於點對點通訊,且特別是有關於用以認證及授權在該點對點網路中之各端點的機制。
傳統上,網路連線是構成於一客戶端計算裝置與一伺服器計算裝置之間,其中該伺服器會作為一中央資料存庫。如此,一客戶端可選擇一能夠滿足該客戶端之需要的特定伺服器,並且會嘗試連接至該伺服器。在嘗試連接至該伺服器過程中,該客戶端會提供一種形式之識別以及,若屬適當,一可讓該客戶端能夠存取經保全之資訊的密碼或類似保全資訊。該伺服器會將該客戶端的識別資料,並如有必要,以及該保全資訊,比較於一該伺服器既已同意准允對此進行存取之客戶端資料庫。如該客戶端的識別資料及保全資訊相符於該資料庫內的項目,則該伺服器准允該客戶端進行存取。
然而,在上述系統裡會假設該客戶端具有一些該客戶端能夠藉此來驗證出該伺服器之身分的機制。例如,許多客戶端是藉由電話公司所指配予該伺服器之電話號碼進行撥號,透過數據機而連接至一特定伺服器。在此一情況下,可確保該客戶端會由該適當的伺服器來接收該客戶端的認證資訊,這是因為該電話號碼是由電話公司保證僅會連接至所指配之目的地。然而,隨著網際網路的崛起以及「全
球資訊網」的成長,經由通過稱為路由器之中介計算裝置的專屬網接連線,構成出愈來愈多的客戶端及伺服器間之連線。這些路由器會根據將人類可讀取之伺服器名稱關聯於通常為可變的網際網路位址之路由表或類似資訊,將客戶端通訊導引至特定伺服器。如一或更多的路由表受損,則客戶端的通訊或會被導引到不適當的伺服器。通常這種不適當的伺服器會將其本身呈現為適當的伺服器,目的是取得該客戶端的認證資訊。從而會需要一種機制,而使一伺服器能夠藉此機制向一客戶端證明該伺服器確為其所應代表者。
「憑證授權者(Certificate Authority,CA)」可作為一種該客戶端所與其相通訊之伺服器確為其本身所代表者的獨立驗證項目。詳細地說,該伺服器可對該客戶端提供一種像是一經簽署之憑證的受保護識別碼,而該客戶端可與該客戶端所信任之第三方CA進行驗證。在一種令日常見的所用機制裡,客戶端能夠驗證受保護的識別碼,這是因為該客戶端既已按一可信賴方式收到該CA的公開金鑰,而該客戶端可利用此者來對所保護之識別碼加以解碼。利用此一機制,該伺服器提供給該客戶端之經保護識別碼可為經該CA私密金鑰所簽署的伺服器憑證。由於僅該CA能存取至該CA的私密金鑰,並且僅該CA的公開金鑰能夠將像是一經簽署憑證加以解碼,因此若該經簽署之憑證被該客戶端利用該CA的公開金鑰所適當地解碼,則該客戶端會決定該CA既已簽署該憑證,並且既已驗證過包含於
其內的資訊。一旦該客戶端確信該伺服器確為其所應為者,則該客戶端可如前述繼續向該伺服器進行自我識別。
不過,在點對點網路裡,並沒有該客戶端可對其相連接之伺服器。取而代之的是,客戶端計算裝置會與另一者相通訊,從一系列的客戶端對客戶端連線構成出一個網路。
一客戶端對客戶端連線雖可按前述方式加以保全,然而對於各個別客戶端裝置來說,向一獨立第三方CA進行自我登註並不實際。因此,所需要的是一種一客戶端能夠藉此向另一客戶端進行自我認證,並且沒有成本及向第三方進行登註之複雜度的機制。類似地,一旦該客戶端確經認證之後,會需要一種對於能夠讓一客戶端存取另一客戶端之資料及資源的認證機制。
因此,在本發明之一具體實施例裡,一受信任者儲存所可按人工方式手動填入(populate)各憑證,使得能夠對呈現出符合該受信任者儲存所內之憑證的憑證之各客戶端加以認證,而無需第三方憑證授權者證器。
在另一具體實施例裡,可透過一特殊地產生之群組憑證來對一客戶端群組進行認證。
在一進一步具體實施例裡,可藉由呈現一憑證串鏈來對一客戶端或一客戶端群組進行認證,其中該憑證串鏈係證明自各客戶端之憑證到一出現於該受信任者儲存所或該受信任根級儲存所內之憑證的受信任串鏈。
又在一另進一步具體實施例裡,一旦某一客戶端經另一者所認證後,可藉由將在該第二客戶端上之第一客戶端帳戶密碼改變成一已知數值,並且接著將該第一客戶端登錄於上,藉此產生一可用來准允存取該第二客戶端之資料及資源的使用者符記(token),以准允該第一者存取在另一客戶端上的資料及資源。
本揭說明雖主要地聚焦於點對點網路內之各計算裝置的認證及授權作業,然應了解該說明確等同地適用於較為傳統的客戶端-伺服器網路環境,或任何其中使用一第三方憑證授權者非屬實用之網路拓樸。此外,後文說明中雖參考為在個別計算裝置上執行的各項處理,然本揭所述機制確等同地適用於一具有多重處理器或是按一多重處理方式而運作之單一計算裝置。自如後之示範性具體實施例詳細說明,連同參考各隨附圖式,本發明之其他特性及優點可為顯見。
可對一計算裝置上之一受信任者儲存所手動填入關於受信任裝置的資訊,且可用以提供該等受信任裝置以對該計算裝置進行自我認證,而無需訴諸於由第三方「憑證授權者(CA)」所簽署之憑證的開支及複雜度。基本上,是由該使用者手動、或由該計算裝置上之一受信任程序來執行CA的功能,以決定哪些裝置為受信任者而能夠將其資訊放置在該受信任者儲存所內。一旦在該受信任者儲存所之
內後,可將該資訊與自其他裝置所收到的識別資訊相比較,讓該計算裝置能夠決定送出該識別資訊的裝置是否確為一受信任裝置。
一旦一裝置既經認證後,即可藉產生一適合於該經認證之裝置的使用者符記來准允該裝置存取到資料及計算資源。用於對應於該信任裝置之帳戶的密碼可由依一已知數量而在核心模式(kernel mode)下運作的各項程序加以改變,像是一可從儲存所在該受信任者儲存所內之資訊所導出的識別碼。一旦既經改變後,即可藉由登入該經認證之裝置來產生該使用者符記,藉以對此授權而存取到某些資源及資料。
對於裝置認證及其對於存取系統資源及資料的授權兩者,可充分利用現有軟硬體元件以提供最高度的向後相容性,並可供盡可能有效率地設計出該認證及授權功能。
現回到各圖式,其中類似參考編號是指相仿元件,本發明示範性地描述為按像是第1圖內所示之計算裝置100的互連計算裝置情境下所實作。雖非必要者,然亦可按電腦可執行指令,像是由此一計算裝置所執行之程式模組,的廣義情境來描述本發明。一般說來,程式模組包含可執行特定任務或實作特別抽象資料型態的副程式、程式、物件、組件、資料結構等。此外,熟諳本項技藝之人士應即瞭解可藉由許多不同計算裝置實作出本發明,包含手持式裝置、多重處理器系統、微處理器基礎式或可程式化消費性電子裝置、網路PC、迷你電腦、大型主機電腦等等。即如
前述,亦可在分散式計算環境下實作本發明,其中會由透過一通訊網路所鏈結之遠端處理裝置執行各項任務。在一分散式計算環境裡,程式模組可位於本地及遠端記憶體儲存所裝置兩者處。
現回到第1圖,圖中顯示一可將本發明實作於其上之示範性計算裝置100。該計算裝置100僅為一適當計算裝置之範例,且非用以意指對於本發明用途或功能性之範圍的任何限制。該示範性計算裝置100可像是透過記憶體分割、虛擬機器、多重處理器或類似程式設計技術,實作出一或更多的虛擬計算裝置,俾供一實體計算結構以執行如後對於多重計算裝置所述之動作。
可按像是由電腦所執行之程式模組的電腦可執行指令之一般情境來描述本發明。一般說來,程式模組包含執行特定任務或實作特定抽象資料型態之副程式、程式、物件、元件、資料結構等。在分散式計算環境裡,可由透過一通訊網路所鏈結之遠端處理裝置來執行各項任務。在一分散式計算環境裡,程式模組可位在含有記憶體儲存裝置之本地及遠端電腦儲存媒體兩者處。
該計算裝置100的各項元件可包含,但不限於此,一處理單元120、一系統記憶體130,以及一將包含該系統記憶體之各種系統元件耦接至該處理單元120的系統匯流排121。該系統匯流排121可為多種匯流排結構之任者,此者含有一記憶體匯流排或記憶體控制器、一週邊匯流排,及一利用各式匯流排架構任者之區域匯流排。藉以範例,而
非限制,這種架構包含「工業標準架構(ISA)」匯流排、「微通道架構(MCA)」匯流排、「強化之ISA(EISA)」匯流排、「視訊電子裝置標準協會(VESA)」區域匯流排以及「週邊元件互連(PCI)」匯流排,此者又稱為Mezzanine匯流排。此外,該處理單元120可含有一或更多的實體處理器或處理核心。
該計算裝置100通常包含各種電腦可讀取媒體。電腦可讀取媒體可為任何能夠由該計算裝置100所存取的可用媒體,且包含揮發性及非揮發性媒體、可移除與非可移除媒體兩者。僅以範例,且非限於此,電腦可讀取媒體可包括電腦儲存媒體及通訊媒體。電腦儲存媒體包括依照任何用於儲存像是電腦可讀取指令、資料結構、程式模組或其他資料之資訊的方法或技術所實作之揮發性及非揮發性、可移除與非可移除媒體媒體兩者。電腦儲存媒體包括,但不限於此,RAM、ROM、EEPROM、快閃記憶體或其他記憶體技術、CD-ROM、數位光碟(DVD)或其他光學碟片儲存物、磁匣、磁帶、磁碟裝置或其他磁性儲存裝置,或是任何其他可用於儲存所欲資訊而可由該計算裝置100予以存取的媒體。通訊媒體通常可在像是載波之經調變資料信號或其他傳送機制內具體實作各項電腦可讀取指令、資料結構、程式模組或其他資料,且可含有任何資訊遞送媒體。該名詞「經調變資料信號」意思是一具有一或更多其特徵集合,或按此方法而變化,以將資訊編碼於其信號之內的信號。僅以範例,且非限於此,通訊媒體包含像是有線網
路或直接接線連接的有線媒體,以及像是音響式、RF、紅外線及其他無線媒體的無線媒體。上述任者之組合亦應被納入在該電腦可讀取媒體的範圍內。
該系統記憶體130包含按揮發性及/或非揮發性記憶體形式之電腦儲存媒體,像是唯讀記憶體(ROM)131及隨機存取記憶體(RAM)132。通常會將一包含有助於像是在開機啟動時,於該計算裝置100內各元件間傳送資訊之基本副程式的基本輸入/輸出系統133(BIOS)儲存在ROM 131內。RAM 132通常含有可由該處理單元120立即存取及/或加以運作的資料及/或程式模組。僅以範例,且非限於此,第1圖說明作業系統134、應用程式135、其他程式模組136及程式資料137。
該計算裝置100也可包含其他可移除/非可移除、揮發性/非揮發性電腦儲存媒體。僅以為範例,第1圖說明一可對非可移除、非揮發性磁性媒體讀取或寫入的硬碟機141、一可對可移除、非揮發性磁性媒體152讀取或寫入的磁碟機151,及一可對像是CD-ROM或其他光學媒體之可移除、非揮發性光碟156讀取或寫入的光碟機155。其他可用於示範性作業環境之可移除/非可移除、揮發性/非揮發性電腦儲存媒體包含,但不限於此,磁帶匣、快閃記憶卡、數位光碟、數位影帶、全晶體RAM、全晶體ROM等。該硬碟機141通常會透過一像是介面140之非可移除記憶體介面而連接到該系統匯流排121,而磁碟機151及光碟機155則通常是藉由一像是介面150之可移除記憶體介面
連接到該系統匯流排121。
該等如前述且按第1圖所示之碟機與彼等相關電腦儲存媒體可供儲存對於該計算裝置100的電腦可讀取指令、資料結構、程式模組及其他資料。在第1圖裡,例如該硬碟機141經繪示為儲存作業系統144、應用程式145、其他程式模組146及程式資料147。注意這些組件可與該等作業系統134、應用程式135、其他程式模組136及程式資料137相同或不同。在此該等作業系統144、應用程式145、其他程式模組146及程式資料147經給定為不同編號以說明至少該等為不同份數。一使用者可透過像是鍵盤162及通常稱為滑鼠、軌跡球或觸控板之點指裝置161的輸入裝置,將命令及資訊輸入給計算裝置100。其他輸入裝置(未以圖示)可包含麥克風、搖桿、遊戲板、衛星碟、掃描器等。這些及其他輸入裝置通常會透過一耦接於該系統匯流排的使用者輸入介面160連接到該處理單元120,但是可藉其他介面及匯流排結構所連接,像是一平行埠、遊戲埠或通用序列埠(USB)。一監視器191或其他種類的顯示器裝置也可經由一像是視訊介面190之介面而連接到該系統匯流排121。除監視器外,電腦亦可包含其他像是喇叭197及印表機196的週邊輸出裝置,這可為經由一輸出週邊介面195而連接。
該計算裝置100可利用接往一或更多像是遠端電腦之遠端電腦的邏輯連接而運作於一網接環境內。第1圖說明一接往一遠端計算裝置180的一般網路連線171。該一般
網路連線171,以及如第1圖所繪之網路連線,可為各種不同型態的網路及網路連線,包含一「區域網路(LAN)」、「廣域網路(WAN)」、一無線網路、符合乙太網路協定之網路,「符記-環」協定或其他含有網際網路或全球資訊網之邏輯、實體或無線網路。
當用於一網接環境內時,該計算裝置100會透過一網路介面或配接器170而連接於該一般網路連線171,此者可為有線或無線網路介面卡、一數據機或類似網接裝置。在一網接環境下,可將對於該計算裝置100,或其局部,所述之程式模組儲存於該遠端記憶體儲存裝置內。應了解所示之網路連線僅屬示範性,且確可採用其他用以在該等電腦之間建立通訊鏈結的方式。
在如後敘述裡,除另說明者外,會參照於由一或更多計算裝置所執行之各項動作及操作的符號表示來敘述本發明。據此,應瞭解此等動作及操作,有時又稱為被電腦所執行者,包含由一計算裝置處理單元對於按一結構化形式之資料的電子信號之操縱作業。此操縱作業可將資料加以轉換,或是將其維護在該計算裝置之記憶體系統內的位置,這可按熟請本項技藝之人士即能良好瞭解的方式,將計算裝置之各項操作予以重新組態設定或另予替換。其中維護著資料的資料結構為該記憶體的實體位置,該者具有如該資料之格式所定義的特定性質。然而,本發明雖為按前揭情境所說明,然此非具限制性質者,即如熟諳本項技藝之人士應即瞭解在此敘述的各項動作及操作確亦可按硬
體方式所實作。
現參照第2圖,其中說明一系列在一計算裝置201及一計算裝置202之間的通訊作業。該等計算裝置201及202可為與如前經詳細說明之計算裝置100相同型態的計算裝置,或者該等可為任何其他如前所列之型態的計算裝置,包含,但不限於此,手持式計算裝置、膝上型計算裝置、大型主機計算裝置、任務特定計算裝置等等。即如第2圖所示,該等計算裝置201及202為「端點」,此即在於無一計算裝置係經設計以作為一多重客戶端網路之集線器的專屬伺服器。相反地,各計算裝置201及202類似地包含類似計算功能,取亦類似地由一或更多人類使用者所直接地使用。然即如熟諳本項技藝之人士應可顯知,端點計算裝置並不需用以作為一端點而在計算功能方面具有近似性。
一點對點網路通訊連線可在計算裝置201及計算裝置202所構成。第2圖說明一稱為「傳送層保全(TLS)協定」的常用保全協定。底下說明雖將聚焦於該TLS協定,然本發明並不限於此一協定,即如熟諸本項技藝之人士所應瞭解者,其他許多協定確可對計算裝置201及202各者提供足以讓該等計算裝置201及202能夠執行經本發明具體實施例所慮及之認證機制的資訊。
即如第2圖中所繪,該TLS協定可由一端點裝置所啟動,在本例中為該計算裝置201,該端點裝置將一或更多的啟動訊息210發送至另一端點裝置,該等訊息210可包含一ClientHello結構。該ClientHello結構可包含,除他
者外,目前時間、隨機數值、由該計算裝置201所支援之加密演算法列表,以及一該計算裝置201所支援之壓縮演算法列表。為要描述如第2圖所述之通訊作業,該TLS協定會利用名詞「客戶端」及「伺服器」;換言之,該「客戶端」為啟動該通訊作業之計算裝置,而該「伺服器」是經予啟動該通訊作業的計算裝置。此外,即如熟諳本項技藝之人士所知悉,包含該ClientHello結構之各訊息210雖經描繪如啟動訊息,然第2圖所繪之通訊確可等同地由一來自該計算裝置202之請求所啟動,而其中該計算裝置201發送一ClientHello結構。在此情況下,來自該計算裝置202的請求會由包含如前所述之ClientHello結構的各訊息210所回應。
回應於該等訊息210,該計算裝置202可發送包含一ServerHello結構之訊息212、對該計算裝置202之一憑證或憑證串鏈、一ServerKeyExchange結構、一CertificateRequest結構以及一ServerHelloDone訊息。該ServerHello結構可包含,除他者外,一隨機數值(不同於ClientHello內的隨機數值)、一會期識別碼、一從該ClientHello內所提供之列表中選擇出的所選擇加密演算法,以及一從該ClientHello內所提供之列表中選擇出的所選擇壓縮演算法。對於該裝置202之憑證或憑證串鏈,即如後文進一步詳述,可包含一適合於在該ServerHello結構內經予標定之所選擇加密演算法的憑證或憑證串鏈。而該ServerKeyExchange結構可包含像是公開金鑰之資訊,這可由該計算
裝置201用來保護該前置主要密值之通訊作業,或是用以完成一獲致該前置主要密值之鍵值交換。而若是該憑證或憑證串鏈含有足夠的資訊以供該計算裝置201交換該前置主要密值,則訊息212並不需要含有一ServerKeyExchange結構。該CertificateRequest結構可包含一要求該計算裝置201提供其憑證之請求,並且可進一步包含一所請求之憑證型態的列表,以及一可接受憑證授權者之列表。而該ServerHelloDone訊息可表示上述會被發送作為訊息212之資訊的傳輸作業確已完畢。
回應於該等訊息212,該計算裝置201可利用透過訊息212所接收之憑證或憑證串鏈,以藉由參考儲存在該受信任者儲存所203內或是該受信任根級儲存所205的憑證來對該計算裝置202進行認證。如該計算裝置202確經認證,該計算裝置201可發送含有對於該計算裝置201之憑證或憑證串鏈、一ClientKeyExchange結構、一CertificateVerify結構、一ChangeCipherSpec訊息以及一Finished訊息的訊息214。該計算裝置201之憑證或該憑證串鏈即如後文所進一步詳述,可包含一適合於在訊息212之ServerHello結構中所標定的經選擇加密演算法之憑證或憑證串鏈。該ClientKeyExchange結構可包含一該前置主要密值之經加密版本,或是對於該計算裝置201及202兩者足以按獨立方式導衍出相同前置主要密值之資訊。該CertificateVerify結構可供以對該計算裝置201之憑證或各憑證進行顯明的驗證作業。該ChangeCipherSpec訊息表示該計算裝置201
既已採取所同意之加密演算法,並且會藉由所同意之鍵值加以運用俾以傳送後續之訊息,而此訊息即如前述般為該Finished訊息,這表示既已完成包含於訊息214內之資訊的傳輸作業。
在收到訊息214內而來自該計算裝置201之憑證及憑證串鏈後,該計算裝置202即可按如後文所進一步詳述之方式,藉由參考該等儲存所在該受信任根級儲存所206或該受信任者儲存所204內之憑證,利用該憑證或憑證串鏈以認證該計算裝置201。如該計算裝置201既經認證,該計算裝置202可核准發送該Finished訊息作為訊息214之一部分,以確保正在使用適當的加密演算法及加密鍵值。該計算裝置202可後續地傳送含有一該計算裝置202會利用所同意之加密演算法及鍵值的表示項目之訊息214,以對後續通訊作業進行加密,以及一按所示方式加密的Finished訊息。
如該計算裝置201可適當地將被發送作為該等訊息214之部分的Finished訊息予以解碼,則這可驗證該計算裝置202正使用該適當加密演算法及鍵值。由於該計算裝置201及202兩者既已向對方自我認證,並且已建立一共用加密演算法及一組鍵值,因此該等計算裝置201及202可按一安全的方式交換資料220。
即如前述,傳統的憑證可認證一計算裝置,因為憑證是由一「憑證授權者(CA)」所簽署。在一已知機制裡,CA會藉由利用該CA的私密金鑰來將一些像是來自該憑證本
身之資料的資料予以加密,以簽署一憑證。即如熟諳本項技藝之人士應即瞭解,可藉一單一個體秘密地維護一私密金鑰,並且用該私密金鑰來將資訊加密,接著該已加密之資訊可再藉由一相對應的公開金鑰來解密。由於該私密金鑰無法從該公開金鑰導出,因此該公開金鑰可為廣泛地散佈。如此,若一計算裝置知悉一CA的公開金鑰,且若該計算裝置可適當地將在該憑證內之經加密資料加以解碼,則該計算裝置可決定該CA確簽署該憑證。此外,如該計算裝置「信任」該CA,則該計算裝置可將該項信任性擴展至呈現該經簽署憑證之裝置,並因此認證該裝置。
傳統的CA包含其業務為對於各種內部網路、企業資訊技術(IT)部門驗證資訊及簽署憑證之公司。例如,在一由該企業之IT部門所維護及保全的企業網路裡,該IT部門可運作如一CA,並且可簽署該企業內之雇員的憑證,藉以表示該等雇員可被其他的雇員所信任。然而,此一CA會僅適用於企業內部通訊作業。如一雇員尋求對一位於該企業外部的計算裝置進行連線,則有可能該外部裝置會無法將該企業IT部門辨識為一受信任的授權者,並從而會無法基於由該企業之IT部門所簽署的憑證來認證該雇員。在此一情況下,即可運用一第三方CA,像是一其業務為驗證資訊之公司。例如,一第三方公司可作為一獨立CA,並且任何想要提供一由該CA所簽署之憑證的人士會被要求遞交各種資訊,使得該公司在簽署其憑證之前,能夠先行驗證該識別該請求者的身分及合法性。若該公司在簽署
憑證之前先已勤奮地驗證資訊,則此舉可發展出可供信賴之CA的聲譽,並且可用以讓來自像是不同企業個體之不同環境的兩個以上計算裝置能夠相互認證。
來自該CA之憑證被稱為經「自我簽署」,這是因為包含在該憑證內之經加密資訊是由該CA本身的私密金鑰所加密。這種來自該CA之經自我簽署憑證稱為「根級」憑證,且可按一足可信賴的方式遞送至一或更多計算裝置。例如,在上述企業的情境下,可由該IT部門將一讓該企業之IT部門運作為一CA的根級憑證預先安裝在各個計算裝置上,或者可按由該IT部門的成員利用可攜式存媒體進行手動安裝。在此一情況下,當該企業之其一計算裝置尋求連接至另一者時,該者即可呈示一由該企業之IT部門所簽署的憑證。而另一裝置能夠驗證該憑證,這是因為所需以將該經加密資訊予以解密並藉此驗證出該憑證的公開金鑰已位在該裝置上以作為該根級憑證的一部分。類似地,可由該製造廠商將用於獨立第三方CA之根級憑證預先安裝於一計算裝置上,或該用於獨立第三方CA之根級憑證可與來自個別使用者可信賴之來源處的軟體裹綁(bundled),該軟體像是一來自於已知軟體公司或組織之網頁瀏覽器或檔案傳送程式。在此等情況下,如一計算裝置將一由一已知第三方CA所簽署之憑證呈示給另一計算裝置,則另一計算裝置可驗證該憑證並認證該第一計算裝置,這是由於藉由既已預先安裝該第三方CA之自我簽署憑證,對該另一計算裝置提供該CA公開金鑰,而讓其能
夠驗證出該經加密資訊確為利用該CA私密金鑰所加密,從而認證該呈示裝置的事實之緣故。
不幸地,即如前述,獨立的第三方CA通常會要求付款以簽署一憑證,使得將這種CA運用在個人、小型組織、教育性機構慈善團體等等會變得不切實際。例如,一小型天文俱樂部或希望讓其會員能夠透過含有點對點連線之網路共享其數位天文相片,節省俱樂部購買一專屬伺服器計算裝置成本。類似地,某一個人或希望設定一點對點網路,藉以能夠與他的朋友玩遊戲或共享檔案。在任一情況下,會需要一種用以對尋求建立此點對點連線之計算裝置進行認證,並又非基於昂貴第三方CA的機制。
現參考第3圖,圖中繪示一種根據本發明之一具體實施例用以對裝置進行認證之機制。傳統上,即如前述,會透過某些經信任方式將對於一CA之根級憑證預先儲存在一計算裝置上。這些憑證會識別該CA及其公開金鑰,並利用一相對應私密金鑰而自我簽署。當儲存在一裝置上時,該根級憑證可被儲存所在一共用位置處,該共用位置可稱為「受信任根級儲存所」。即如熟諳本項技藝之人士應即瞭解,該受信任根級儲存所,像是如第2圖中所示之受信任根級儲存所205及206,並不需要是一特定檔案夾或類似的檔案系統個體,而可僅為一種概念性的根級憑證集組,無論其在一給定計算裝置之檔案系統內的位置如何皆可。
如此,即如第3圖中所示,對一根據本發明之一具體實施例之連接裝置進行認證,該接收裝置可先接收該憑證,
即如步驟301所示。接下來,在步驟303處,該接收裝置可嘗試著決定該接收裝置所收到的憑證是否由一CA所簽署,而該CA之憑證是儲存在該受信任根級儲存所內。通常,一連接裝置會提供一憑證串鏈,而該連接裝置本身之憑證係該串鏈內的第一個憑證。該第一憑證可含有一經加密局部,可利用在該憑證串鏈中之後續憑證內所標定的公開金鑰對該加密局部予以解密。由於僅該私密金鑰之擁有者能製成該加密局部,因此該第一憑證的加密局部可作為對應於該第二憑證之個體對於該第一憑證的驗證資料。按此方式,各憑證可由在該憑證串鏈內之後續憑證進行審核。而最終地,除非該串鏈結束於一由一CA所簽署的憑證,該CA具有一經儲存在該受信任根級儲存所內之憑證,否則該接收計算裝置或不會對該連接裝置予以認證。
如此,在步驟303,該接收裝置可首先決定由該連接裝置發送之憑證是否經該接收裝置能夠信任的CA認證。即如前述,若一CA之憑證確經儲存於一客戶端的受信任根級儲存所內,則該客戶端會信任該CA。亦如同前述般,當一憑證含有僅能由一CA之憑證所標定的公開金鑰予以解密之加密資料,藉此表示該憑證確經該CA所加密時,則可決定該憑證確為由該CA所認證,這是因為只有該CA能夠存取到其本身的私密金鑰之故。如一憑證串鏈確經發送,則該接收裝置可在步驟303處決定該憑證串鏈內的最後一個憑證是否經該接收裝置所信任的CA認證。
若該憑證由一該接收裝置所信任之CA所認證,則該接
收裝置可接著決定該憑證是否對應於該連接裝置,即如步驟307所示。若該憑證僅為該憑證串鏈內的最後憑證,則該憑證不會識別該連接裝置。然而,若該連接裝置僅發送一單一憑證,則該憑證應經一該接收裝置所信任之CA所認證並且應適當地識別該連接裝置。若該憑證達到以上兩者,則該接收裝置可允許如第3圖中步驟317所示之連線。
不過,若該連接裝置僅發送一個憑證,並且該憑證無法識別該連接裝置,則該接收裝置會在步驟307決定該憑證並無法識別該連接裝置,並於步驟309處決定在串鏈裡並無其他憑證,因此會拒絕由該連接裝置所尋求的連線,即如步驟315所述。而若一憑證串鏈並未以一能夠識別該連接裝置之憑證為開始,則該接收裝置也會類似地拒絕該連線。
在步驟309處,若該接收裝置決定在一具有一由一受信任CA所認證之最終憑證的憑證串鏈中確有額外的憑證,則該接收裝置會在步驟311檢視該隨即於前之憑證,並如步驟313處所示決定該前行憑證是否被該後循憑證所認證。即如熟諳本項技藝之人士應即瞭解,若在一憑證串鏈內之各憑證無法對前行憑證加以認證,則該信任關係會破壞,且該憑證串鏈會無法對發送此串鏈之裝置加以認證。因此,在步驟313,若該接收裝置確定在該憑證串鏈出現斷裂,則該接收裝置會如圖所示在步驟315拒絕連線。然若目前正被檢視的憑證確由後隨憑證所認,則該接收裝置可回返到步驟307,以決定該目前所檢視的憑證是否可識
別出該連接裝置。即如前述,若確為如此,則在步驟317處該接收裝置可認證該發送裝置並提供連線,然若非如此,則該接收裝置可進一步檢查該串鏈內的憑證,即如步驟309處以及前文所述。
不過,如前述般,要求在各種點對點網接情況下的個別裝置呈現由第三方CA所簽署之憑證可為不切實際。因此,除一受信任根級儲存所外,可另運用一由本發明具體實施例所慮及之「受信任者儲存所」。類似於一受信任根級儲存所,一受信任者儲存所可由來自於在一給定計算裝置上之特定使用者個體信任的憑證所產佈。然而,不同於受信任根級儲存所,不會允許其憑證位於該受信任者儲存所內之個體作為針對該使用者的CA。即如前文參照於該受信任根級儲存所所述,該受信任者儲存所無須參指於一計算裝置之檔案系統的特定區段或元件,而是參照於該受信任者儲存所經考量部分之所有憑證的概念性集組,可常駐於該檔案系統內之任意位置處。
該受信任根級儲存所與該受信任者儲存所之間的另一項差別,即在於可由個別使用者更為簡易地產佈該受信任者儲存所。由於讓個別使用者能夠選擇信任何者會降低潛在的安全防衛,因此可藉由將該受信任者儲存所的施用性限制在僅對於那些憑證既經初始地放置於此之既選使用者,來消除掉任何風險的增加結果。
使用者可透過各種機制接收憑證,並且可個別地決定是否應信任該等憑證。例如,兩個友人可透過一電話通話或
個人會談,同意將該等的憑證電子郵寄至另一者,藉此讓彼等的電腦構成一點對點連線。如兩友人其中一者後續地接收到一來自於另一者而其中含有一憑證的電子郵件,則會存在足夠的信賴度指數,而該收信者可選擇以將該憑證加入到其受信任者儲存所內。或另者,可按頻帶外之方式來接收可信賴的憑證,像是藉由實體地將該憑證帶於一可攜式電腦可讀取媒體上並將其拷貝至一計算裝置,或者是透過一包裹遞送服務以將該憑證發送至一可攜式電腦可讀取媒體。
一旦在一計算裝置上的受信任者儲存所包含一對一受信任個體之憑證,該個體可構成一與該計算裝置之點對點連線,而無需首先取得一由一第三方CA所簽署的憑證。詳細地說,如一個體的憑證位在該受信任者儲存所內,則可利用該憑證來認證該個體。例如,若一發送計算裝置既已在該接收計算裝置之受信任者儲存所內具有一識別該裝置的自我簽署憑證,則該發送計算裝置可藉由提供一自我簽署之憑證而成為經認證。這種自我簽署之憑證,即如前文所詳述,包含關於該發送裝置的資訊,且包含被該發送裝置之私密金鑰所加密的加密資訊。由於該發送裝置的自我憑證既已在該受信任者儲存所內,因此該接收裝置可利用由在該受信任者儲存所內之憑證所提供的公開金鑰,且可將由該發送裝置所發送之自我簽署憑證的一部分之的加密資訊予以解密,同時可藉以決定該自我簽署憑證確為由該發送裝置的私密金鑰所簽署,藉此認證該發送裝置。
作為一替代性範例,該發送計算裝置可具有一可識別該者而經儲存在該接收計算裝置之受信任者儲存所內的經第三方簽署之憑證。在此情況下,該發送計算裝置可按類似於前文中詳細說明的方式,藉由提供該經第三方簽署之憑證而成為經認證。此種排置方式具有讓使用者能夠產佈其具有經第三方簽署之憑證的受信任者儲存所,而無須要求該使用者接受任何經該第三方所簽署之憑證的另增優點(即如僅將該第三方增入該受信任根級儲存所內之情況)。從而可觀察到儲存在該受信任者儲存所內的憑證僅需要識別一個體,並且根據本發明並不要求此等憑證僅能為經自我簽署之憑證。
現回返到第3圖,若在步驟303該接收裝置決定該所收憑證或憑證串鏈並未被任何其憑證位在該受信任根級儲存所之內的CA所簽署,則此者可在步驟305檢查該受信任者儲存所。如此,若該等裝置之一者須例如送出一自我簽署憑證,嘗試與該接收裝置構成一點對點網路,則該自我簽署憑證會足夠以認證之,這是因為該裝置之憑證是在該受信任者儲存所內,且該裝置可作為針對其本身的一CA。按此一方式,尋求構成點對點連線的裝置不需要承受令其憑證由一第三方CA簽署的支出及無效率性。
即如前文所詳述,且如第3圖之步驟307-313所示,一連接裝置可發送憑證串鏈,以對該接收裝置進行自我認證。若該憑證串鏈具有一群組憑證以作為一根級憑證,則此一憑證串鏈可等同地有效,這可按如後文而知讓個人能
夠產生對於一組單一憑證,簡化在一小型組織、俱樂部、慈善單位等內之各個體間的點對點連線。例如,回到上述假設的天文俱樂部,其中尋求在其部分的成員之間建立點對點網路,以助於影像分享,其中一成員可產生一憑證群組,這是類比於一如前文詳述之經自我簽署憑證,然後由其他的成員接受該組憑證。詳細地說,當其他成員各者「接受」一群組憑證時,該等表示該等願意認證該俱樂部的任何成員。從而,該群組憑證可按類似於一根級憑證之方式運作,即如後文所詳述。然而,為避免伴隨於將該群組憑證增入該受信任根級儲存所,或是該受信任者儲存所,之內的保全問題,本發明之具體實施例既已慮及一種機制,可將該群組憑證維護在其本身的儲存所內,並在當有必要時將其提供給該認證處理。因此該等認證處理可按如前方式進行,並且可將該群組憑證視為是一根級憑證。例如,對於任意數量的群組以構成一與任何其他成員的點對點連線,各成員可僅須對其他成員呈現該等由該群組憑證所簽署的憑證。因為該群組憑證被視為一根級憑證,所以由該群組憑證所簽署之憑證即足以認證該發送成員。然而,由於該群組憑證事實上並未出現在該根級儲存所或該受信任者儲存所內之內,因此可按一能夠由該機制所控制之個別基礎來進行該群組織成員的認證作業,將該群組憑證提供至該等認證處理。
此外,其他或無法接觸到該群組產生者的成員可僅詢請其他參與群組成員而具授權以發出憑證之其一者,像是監
管者,以簽署其憑證。當該等成員尋求構成一點對點連線時,該等可呈現一含其憑證及另一成員之憑證的憑證串鏈,在此其憑證是由另一成員之憑證所簽署,而該另一成員之憑證則是由該群組憑證所簽署。即如第3圖所示,如在步驟301,一接收裝置接收此一憑證串鏈,則此者可決定該串鏈內的最後憑證是否經一作為一根級憑證之群組憑證所簽署,即如步驟303處所示。如是,則該接收裝置可如步驟307-313所示般迭遞旅經該串鏈,確保各憑證是由後隨憑證所簽署,並且該串鏈內的第一個憑證可對該尋求一點對點連線之裝置加以識別。在上述範例裡,此一處理顯現出該串鏈內的最後憑證,亦即該另一成員之憑證,確由該群組憑證所簽署而此者可作為一CA,並且該加入成員之憑證是由另一成員所簽署,從而完成串鏈及認證該加入成員。
即如前述,憑證或憑證串鏈可被交換作為像是前文中經詳細說明之TLS演算法的演算法的一部分。因此,可藉由充分發揮像是TLS演算法的能力,並且在既已交換各憑證後僅需插入額外機制以執行上述步驟,而有效率地實作出本發明之具體實施例所慮及的機制。由於這種插入會影響到像是TLS而基於儲存在該受信任根級儲存所內之CA以認證裝置的演算法之要件,因此本發明之具體實施例所慮及的額外機制可執行這種型態的認證作業,像是第3圖之步驟303中所示者。或另者,這些本發明之具體實施例所慮及的機制可排他性地聚焦於呈現憑證或憑證串鏈,而最
終地按照儲存在該受信任者儲存所內之CA所認證的個體之認證作業。
現參照第4圖,上述機制之一種可能實作方式可為透過「動態鏈結程式館(DLL)」或類似元件,像是第4圖中所示之peerssp.dll 403。該peerssp.dll 403可提供一「保全服務提供者(SSP)」介面405,可讓一應用程式能夠存取到該peerssp.dll 403的能力,例如包含像是藉由參考該受信任根級儲存所、該受信任者儲存所或一群組憑證,以在一點對點連線裡認證各個體之能力。
一旦兩個以上的裝置透過一點對點網路而連接後,各裝置其一者可尋求存取至另一裝置的受信任資源。在此一情況下,主置有該受信任資源之裝置可藉由決定該請求裝置是否經授權進行存取,以決定是否准允該請求裝置進行存取。一般說來,在點對點網路之情境以外,如該使用者具有一能夠讓該使用者存取至該等資源之該計算裝置帳號,則會授權該使用者存取該計算裝置的資源。這種帳號准允可反映在當該使用者於一計算裝置上登入其帳號時,一由該計算裝置之作業系統的「本地系統授權(LSA)」元件所產生之符記裡。傳統上,一使用者藉由向該LSA提供以一使用者名稱與密碼來登入其帳號。如該使用者名稱與密碼符合經指配給一特定帳戶的使用者名稱與密碼時,該使用者可由該LSA登入該帳號,並且可產生一適當符記。
當一使用者接著尋求存取一受信任資源時,該作業系統或其他能夠准允該使用者存取至該資源的處理可首先檢查
該使用者的符記,來決定該使用者是否確經授權以存取該受信任資源。如該使用者確經授權,則該作業系統或其他處理壞回應於該使用者的請求。更詳細地說,使用者請求存取資源一般說來是透過一應用程式,即如第4圖所繪之應用程式401。該應用程式401可在該使用者的請求下,藉由按如該請求之一參數以標定受信任資源,利用一「open file(開啟檔案)」命令或是類似命令,來尋求存取一受信任資源。該作業系統或是其他能夠准允存取至該資源的處理,可在檢查該使用者的符記之後,決定是否准允該使用者存取至該資源。如該使用者確經授權,則該作業系統或其他處理可回應以一成功指示器。當收到該指示器時,該應用程式401可接著發出一「發送位元組」或類似請求,以真正地接收該受信任資源的內容,藉以對該等進行處理並將此項資訊提供給該使用者。不過,如該使用者未經授權,則可回應以一失敗指示器,這會由該應用程式401按一對話盒或類似的通知形式呈現給該使用者。
可准允在點對點網路裡的使用者透過類比裝置存取到在遠端計算裝置上的受信任資源。詳細地說,一透過一點對點網路而通信的應用程式可令一執行於所經存取之計算裝置上的遠端處理擬人化該存取使用者。不過,為在所經存取之計算裝置上產生一對於該存取使用者的符記,可讓該存取使用者能夠登入到該計算裝置上。為避免對每一個計算裝置上的每一位使用者以人工方式產生帳戶,本發明具體實施例慮及一種自動化機制,使用者可藉此登入而無
需按人工方式產生一帳戶。
現參照第5圖,圖中說明一種本發明之具體實施例所慮及,用以將一使用者自動化地登入於一遠端計算裝置上的機制。即如圖示,在步驟501可按如前所詳述之方式,將一使用者之資訊增加至該受信任使用者儲存所。一旦將一使用者新增至該受信任使用者儲存所之後,可在該計算裝置上對於其該受信任使用者儲存所既經增入之使用者產生一帳戶,即如步驟503所示。接著,在該自一請求裝置而運作之使用者構成一與該主機裝置的點對點連線後,該使用者可請求一要求認證之資源,像是一受信任資源,即如步驟505所示。
為在該主機裝置上擬人化該使用者,藉此決定是否准允該使用者存取該所要求之資源,由本發明之一具體實施例所慮及的一或更多處理可藉利用在步驟503處所產生的帳戶將該遠端使用者登入於該主機裝置上以令產生一對一遠端使用者之符記,以及一處理可改變為已知數值的密碼。由於可按本地系統處理之方式來執行一或更多執行該擬人化作業之處理,因此該等可改變在步驟503所產生之帳戶的密碼。詳細地說,可將該密碼改變成一由擬人化該使用者之該(等)處理自動地決定的數值,像是部份或所有包含在該遠端使用者之憑證內的資訊之雜湊。如此,即如在步驟507處所述,當該遠端使用者在步驟505請求一受信任資源之後,在該主機計算裝置上擬人化該遠端使用者之(各)處理可將該使用者帳戶的密碼改變成一已知數值,然後可
利用新近選定之密碼藉由登入該使用者帳戶以在步驟509令產生一使用者符記。在一些作業系統上,不以改變對應於該遠端使用者之帳戶的密碼,而是當登入該使用者時,擬人化該遠端使用者之(各)處理可僅標定一像是一憑證雜湊之不同型態密碼而非較傳統的密碼,如Kerberos密碼。
一旦產生一使用者符記後,即可按一類似於前文所詳述方式以嘗試存取該受信任資源。詳細地說明,在一主機計算裝置上擬人化該遠端使用者之(各)處理可利用一「Open file(開啟檔案)」命令以令該作業系統或其他控制對該受信任資源之存取的處理檢查該使用者的符記,俾決定該使用者是否確經授權以存取該受信任資源。如該使用者並未經授權以存取該受信任資源,則該作業系統或其他控制對該受信任資源之存取的處理可回返一失敗指示值給該(等)擬人化該遠端使用者的處理,並且可將所表示之失敗透過該點對點網路轉傳到該請求裝置上的一或更多處理,這可通知使用者此項失敗結果。然若該使用者確經授權存取該受信任資源,則該作業系統或其他控制對該受信任資源之存取的處理可將一成功指示值回返給該(等)擬人化該遠端使用者的處理,而該(等)擬人化處理可對此會利用一「發送位元組」命令以請求包含在該受信任資源內的資料。不過,不以耗用在該主機計算裝置上的資料,可逕行將按一「發送位元組」命令之結果所接收的資料透過點對點網路轉傳至該遠端計算裝置,在此一或各本地處理可耗用該資料並將其呈現給該使用者。
現回到第4圖,一單一DLL,像是peerssp.dll 403可提供多數的上述擬人化功能性。例如,一像是應用程式401之應用程式除了在遠端裝置上以外,可藉由叫用被一遠端裝置上之DLL曝出的適當函式,像是該peerssp.dll 403,而在該應用程式之處理空間內所經實例化,以請求存取在一主機裝置上之受信任資源。可將該項請求轉傳到在該主機裝置上而可將在該主機裝置上之遠端使用者擬人化的其一DLL,即如第4圖中所繪之peerssp.dll 403。由於產生該符記可為具有高度權限性的處理,因此該peerssp.dll 403可與一像是認證服務411之具有更高權限性的元件相通信。如此,在擬人化該遠端使用者過程中,一像是該peerssp.dll 403之處理可傳通必要的機密資料,以透過一遠端程序呼叫407將該使用者登入於該高度權限性認證服務411。如該使用者的登入成功,則該高度權限性認證服務411可透過類似的遠端程序呼叫機制,將該所獲符記回返給一像是該peerssp.dll之使用者模式處理。
有些現代的作業系統可讓多重使用者能夠同時地登入一計算裝置。在此情況下,某一使用者可既已將一對於一端點計算裝置之憑證增加至其受信任者儲存所內,而其他的使用者或非如此。本發明之一具體實施例所慮及的機制可供進行檢查以決定哪一使用者目前正存取該計算裝置的資源,並且利用該使用者的受信任者儲存所作為基礎以供認證該遠端裝置。
即如觀察得知,本發明之具體實施例慮及一可在一使用
者之控制下產佈一受信任者儲存所,並且能夠認證端點裝置,而無須要求最終地由一第三方CA所簽署之憑證或憑證串鏈。此外,本發明之具體實施例慮及一種在一主機計算裝置上之遠端使用者擬人化作業,藉此充分發揮現有的機制來決定該遠端使用者是否確經授權存取受信任資源。上述細節雖係基於特定演算法,然此非為本發明僅要求該等演算法而排除掉其他的類似演算法。例如,上述憑證雖經利用公眾/私密金鑰加密技術所簽署,然任何其他由任何適當加密演算法所保全之憑證確可等同地適用於本發明。類似地,上述之詳細說明雖係參照於一單一DLL模組,然本發明之具體實施例確可按任何程式館、副程式、子程式、作業系統處理之組合,或者是任何其他具功能性之程式設計構項所實作。
有鑒於多項可施用本發明原理之可能具體實施例,應了解在此按照各圖式之所述具體實施例僅係為示範性,而不應被視為限制本發明之範圍。例如,熟請本項技藝之人士應即瞭解按如軟體所繪之所述具體實施例的部分元件可為按硬體而實作且反是,或者可對所述之具體實施例在排置及細節方面加以修改,而不致悖離本發明之精神。從而,在此所述之本發明確慮及所有該等即如歸屬後載之申請專利範圍及其等同項目疇域內的具體實施例。
100‧‧‧計算裝置
120‧‧‧處理單元
121‧‧‧系統匯流排
130‧‧‧系統記憶體
131‧‧‧唯讀記憶體(ROM)
132‧‧‧隨機存取記憶體(RAM)
133‧‧‧基本輸入/輸出系統(BIOS)
134‧‧‧作業系統
135‧‧‧應用程式
136‧‧‧其他程式模組
137‧‧‧程式資料
140‧‧‧非可移除非揮發性記憶體介面
141‧‧‧硬碟機
144‧‧‧作業系統
145‧‧‧應用程式
146‧‧‧其他程式模組
147‧‧‧程式資料
150‧‧‧可移除非揮發性記憶體介面
151‧‧‧磁碟機
152‧‧‧磁性媒體
155‧‧‧光碟機
156‧‧‧光碟
160‧‧‧使用者輸入介面
161‧‧‧滑鼠
162‧‧‧鍵盤
170‧‧‧網路介面
171‧‧‧一般網路連線
180‧‧‧遠端計算裝置
190‧‧‧視訊介面
191‧‧‧監視器
195‧‧‧輸出週邊介面
196‧‧‧印表機
197‧‧‧喇叭
201‧‧‧計算裝置
202‧‧‧計算裝置
203‧‧‧受信任者儲存所
204‧‧‧受信任者儲存所
205‧‧‧受信任根級儲存所
206‧‧‧受信任根級儲存所
210‧‧‧啟動訊息
212‧‧‧訊息
214‧‧‧訊息
220‧‧‧應用程式資料
401‧‧‧應用程式
403‧‧‧peerssp.dll
405‧‧‧保全服務提供者(SSP)介面
407‧‧‧遠端程序呼叫
411‧‧‧認證服務
413‧‧‧scannel.ssp
後載申請專利範圍雖係按特定性以陳述本發明之各項
特性,然確可自如後詳細說明,併同於各隨附圖式,而最佳瞭解本發明以及其目的與優點,其中:第1圖係一區塊圖,其中概略說明一可藉以實作出本發明各項具體實施例之示範性計算裝置;第2圖概略說明一根據本發明其一具體實施例之認證機制的操作;第3圖概略說明由一根據本發明其一具體實施例之認證機制所執行的操作;第4圖概略說明由本發明其一具體實施例所慮及之授權機制加以運用的各軟體元件;以及第5圖概略說明由一根據本發明其一具體實施例之授權機制所執行的操作。
401‧‧‧應用程式
403‧‧‧peerssp.dll
405‧‧‧保全服務提供者(SSP)介面
407‧‧‧遠端程序呼叫
411‧‧‧認證服務
413‧‧‧scannel.ssp
Claims (20)
- 一種具有用以在一第二計算裝置處認證一第一計算裝置之電腦可執行指令的電腦可讀取媒體,其中該等電腦可執行指令可執行包含如下之步驟:在該第二計算裝置處,接收一或更多來自該第一計算裝置的憑證;決定該一或更多憑證之一最後憑證是否經一受信任者儲存所個體所簽署,其中該受信任者儲存所個體是由一放置在該第二計算裝置之一受信任者儲存所內的經簽署憑證所識別,且其中該第二計算裝置之該受信任者儲存所更含有不同於該第二計算裝置之一受信任根級儲存所的憑證;決定該一或更多憑證之一第一憑證是否可識別該第一計算裝置;決定該一或更多憑證之各憑證是否由該一或更多憑證之一先前憑證所認證;及若該一或更多憑證之該最後憑證確被該受信任者儲存所個體所簽署,若該等一或更多憑證之該第一憑證確可識別該第一計算裝置,以及若該一或更多憑證之各憑證確由該一或更多憑證之該先前憑證所認證,則認證該第一計算裝置。
- 如申請專利範圍第1項所述之電腦可讀取媒體,其 中該第二計算裝置的該受信任者儲存所包含由該第二計算裝置之一使用者視為係可信任的各個個體所簽署的憑證,該等經簽署之憑證既已在該第二計算裝置之該使用者的導引下,被放置在該第二計算裝置之該受信任者儲存所內。
- 如申請專利範圍第1項所述之電腦可讀取媒體,其中該一或更多的憑證包含一結束於一群組憑證之憑證串鏈,其中該群組憑證是按一個別基礎而經提供作為一根級憑證,而不被儲存在該受信任根級儲存所或該受信任者儲存所內。
- 如申請專利範圍第1項所述之電腦可讀取媒體,其中該第二計算裝置之該受信任者儲存所係一對應於一目前登入該第二計算裝置上之使用者的登入使用者之受信任者儲存所,且其中該第二計算裝置之各使用者更具有一相對應受信任者儲存所。
- 如申請專利範圍第1項所述之電腦可讀取媒體,其中由該第二計算裝置之該受信任者儲存所內的一經簽署憑證所識別之各個個體在該第二計算裝置上具有一相對應帳戶。
- 如申請專利範圍第1項所述之電腦可讀取媒體,其 中該等電腦可執行指令更執行下列步驟:接收一來自該第一計算裝置之一使用者的請求,以存取一在該第二計算裝置上之受信任資源;改變該使用者在該第二計算裝置上之帳戶的一密碼元件;利用該經改變之密碼元件,藉由登入該使用者之帳戶以擬人化該使用者,其中該登入該使用者之帳戶的步驟會產生一符記(token);藉該符記以存取該受信任資源;以及將該存取步驟之結果提供給在該第一計算裝置處的該使用者。
- 如申請專利範圍第6項所述之電腦可讀取媒體,其中該登入該使用者之帳戶的步驟包含透過一遠端程序呼叫,來將機密資料及該經改變的密碼元件提供給一核心模式(kernel mode)程序。
- 一種具有電腦可執行指令之電腦可讀取媒體,該等電腦可執行指令係用以授權一在一第一計算裝置之使用者存取一在一第二計算裝置處的受信任資源,該等電腦可執行指令可執行如下步驟:從該使用者接收一用以存取在該第二計算裝置上之該受信任資源的請求; 改變在該第二計算裝置上之該使用者之帳戶的一密碼元件;利用該經改變之密碼元件,藉由登入該使用者之帳戶以擬人化該使用者,其中該登入該使用者之帳戶的步驟會產生一符記;藉該符記以存取該受信任資源;以及將該存取步驟之結果提供給在該第一計算裝置處的該使用者。
- 如申請專利範圍第8項所述之電腦可讀取媒體,其中該改變該使用者之帳戶的密碼元件之步驟包含改變一密碼協定,藉此利用該使用者之憑證的一雜湊以登入該使用者的帳戶。
- 如申請專利範圍第8項所述之電腦可讀取媒體,其中該登入該使用者的帳戶之步驟包含透過一遠端程序呼叫,來將機密資料及該經改變之密碼元件提供至一高度權限性程序。
- 如申請專利範圍第8項所述之電腦可讀取媒體,其中該提供該等結果的步驟包含若該藉該符記以存取該受信任資源的步驟並未成功,則將一失敗指示提供給該第一計算裝置處之該使用者,以及若該藉該符記存取該受信任資 源的步驟成功,則將資料從該受信任資源提供給在該第一計算裝置處之該使用者,該資料係透過一發送位元組型態命令所獲致。
- 如申請專利範圍第8項所述之電腦可讀取媒體,其中該等電腦可執行命令更執行下列步驟:在該第二計算裝置處接收一或更多來自該第一計算裝置的憑證;決定該一或更多憑證之一最後憑證是否經一受信任者儲存所個體所簽署,其中該受信任者儲存所個體是由一放置在該第二計算裝置之一受信任者儲存所內的經簽署憑證所識別,且其中該第二計算裝置之該受信任者儲存所更含有不同於一該第二計算裝置之受信任根級儲存所的憑證;決定該一或更多憑證之一第一憑證是否可識別該第一計算裝置;決定該一或更多憑證之各憑證是否由該一或更多憑證之一先前憑證所認證;及若該一或更多憑證之該最後憑證確被該受信任者儲存所個體所簽署,若該一或更多憑證之該第一憑證確可識別該第一計算裝置,以及若該一或更多憑證之各憑證確由該一或更多憑證之該先前憑證所認證,則認證該第一計算裝置。
- 如申請專利範圍第12項所述之電腦可讀取媒體,其中該第二計算裝置之該受信任者儲存所含有被該第二計算裝置之一使用者視為係可信任的個體所簽署的憑證,該等經簽署的憑證既已在該第二計算裝置之該使用者的導引下被放置在該第二計算裝置的該受信任者儲存所。
- 如申請專利範圍第12項所述之電腦可讀取媒體,其中該第二計算裝置之該受信任者儲存所係一對應於一目前登入該第二計算裝置上之使用者的登入使用者之受信任者儲存所,且其中該第二計算裝置之各使用者更具有一相對應受信任者儲存所。
- 一種計算裝置,包含:一受信任根級儲存所,該受信任根級儲存所包含不同於一受信任者儲存所的經簽署憑證;該受信任者儲存所包含被該計算裝置之一使用者視為係可信任的個體之經簽署憑證,該等經簽署憑證既已在該使用者之導引下被放置在該受信任者儲存所內;一網路介面,該網路介面執行如下步驟:接收一或更多來自另一計算裝置的憑證;以及一處理單元,該處理單元執行包含以下之步驟:若該一或更多憑證之一最後憑證確經一受信任者儲存所個體所簽署,則認證該另一計算裝置,其中若該一或更多憑證之 一第一憑證確識別該另一計算裝置,以及若該一或更多憑證之各憑證確由該一或更多憑證之一先前憑證所認證,則該受信任者儲存所個體被在該受信任者儲存所內之一經簽署憑證所識別。
- 如申請專利範圍第15項所述之計算裝置,其中該網路介面更執行下列步驟:接收一來自該另一計算裝置之一使用者的請求,以存取在該計算裝置上之一受信任資源;且其中該處理單元更執行下列步驟:改變該使用者在該計算裝置上之帳戶的一密碼元件、利用該經改變之密碼元件,並藉由登入該使用者之帳戶以擬人化該使用者,其中該登入該使用者之帳戶的步驟會產生一符記、藉該符記以存取該受信任資源;以及將該存取步驟之結果提供給在該另一計算裝置處的該使用者。
- 如申請專利範圍第16項所述之計算裝置,其中該改變該使用者帳戶的密碼元件之步驟包含改變一密碼協定,藉此利用該使用者之憑證的一雜湊以登入該使用者的帳戶。
- 如申請專利範圍第16項所述之計算裝置,其中該登入該使用者的帳戶之步驟包含透過一遠端程序呼叫,來將機密資料及該經改變之密碼元件提供至一核心模式程 序。
- 如申請專利範圍第15項所述之計算裝置,其中該受信任者儲存所係特定於該計算裝置之各使用者。
- 如申請專利範圍第15項所述之計算裝置,其中由在該受信任者儲存所內之一經簽署憑證所識別的各個體,在該計算裝置上具有一相對應的帳戶。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/110,592 US7350074B2 (en) | 2005-04-20 | 2005-04-20 | Peer-to-peer authentication and authorization |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW200638723A TW200638723A (en) | 2006-11-01 |
| TWI407750B true TWI407750B (zh) | 2013-09-01 |
Family
ID=37188454
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW094126091A TWI407750B (zh) | 2005-04-20 | 2005-08-01 | 用於點對點網路中認證以及授權的機制 |
Country Status (11)
| Country | Link |
|---|---|
| US (1) | US7350074B2 (zh) |
| EP (1) | EP1872502B1 (zh) |
| JP (1) | JP4965558B2 (zh) |
| KR (1) | KR101150108B1 (zh) |
| CN (1) | CN101171782B (zh) |
| BR (1) | BRPI0520174A2 (zh) |
| MX (1) | MX2007011601A (zh) |
| MY (1) | MY149418A (zh) |
| RU (1) | RU2390945C2 (zh) |
| TW (1) | TWI407750B (zh) |
| WO (1) | WO2006115522A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI679551B (zh) * | 2015-04-30 | 2019-12-11 | 香港商阿里巴巴集團服務有限公司 | 進程的身份認證方法和裝置 |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7065587B2 (en) * | 2001-04-02 | 2006-06-20 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith |
| US20060294381A1 (en) * | 2005-06-22 | 2006-12-28 | Mitchell Douglas P | Method and apparatus for establishing a secure connection |
| US8417949B2 (en) * | 2005-10-31 | 2013-04-09 | Microsoft Corporation | Total exchange session security |
| JP4983165B2 (ja) * | 2006-09-05 | 2012-07-25 | ソニー株式会社 | 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体 |
| US8091134B2 (en) * | 2006-11-29 | 2012-01-03 | Lenovo (Singapore) Pte. Ltd. | System and method for autonomic peer-to-peer virus inoculation |
| US8590002B1 (en) | 2006-11-29 | 2013-11-19 | Mcafee Inc. | System, method and computer program product for maintaining a confidentiality of data on a network |
| US8621008B2 (en) | 2007-04-26 | 2013-12-31 | Mcafee, Inc. | System, method and computer program product for performing an action based on an aspect of an electronic mail message thread |
| SE531820C2 (sv) * | 2007-06-13 | 2009-08-18 | Headweb Ab | Förfarande och system för legal fildelning |
| US8199965B1 (en) | 2007-08-17 | 2012-06-12 | Mcafee, Inc. | System, method, and computer program product for preventing image-related data loss |
| US20130276061A1 (en) | 2007-09-05 | 2013-10-17 | Gopi Krishna Chebiyyam | System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session |
| US7949771B1 (en) * | 2007-09-05 | 2011-05-24 | Trend Micro Incorporated | Authentication of unknown parties in secure computer communications |
| GB2456290B (en) * | 2007-10-05 | 2011-03-30 | Iti Scotland Ltd | Distributed protocol for authorisation |
| PL2056563T3 (pl) * | 2007-11-05 | 2013-04-30 | Alcatel Lucent | Sieć typu każdy z każdym |
| CN100553212C (zh) | 2007-11-16 | 2009-10-21 | 西安西电捷通无线网络通信有限公司 | 一种基于三元对等鉴别的可信网络接入控制系统 |
| US8893285B2 (en) | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
| US8353053B1 (en) * | 2008-04-14 | 2013-01-08 | Mcafee, Inc. | Computer program product and method for permanently storing data based on whether a device is protected with an encryption mechanism and whether data in a data structure requires encryption |
| US7979899B2 (en) | 2008-06-02 | 2011-07-12 | Microsoft Corporation | Trusted device-specific authentication |
| US8996726B2 (en) | 2008-06-19 | 2015-03-31 | Qualcomm Incorporated | Methods and apparatus for event distribution and routing in peer-to-peer overlay networks |
| US9077684B1 (en) | 2008-08-06 | 2015-07-07 | Mcafee, Inc. | System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy |
| JP5347403B2 (ja) * | 2008-09-22 | 2013-11-20 | ソニー株式会社 | 情報処理装置および方法、プログラム、並びに、情報処理システム |
| US8412930B2 (en) | 2008-10-09 | 2013-04-02 | Microsoft Corporation | Device authentication within deployable computing environment |
| US8032930B2 (en) | 2008-10-17 | 2011-10-04 | Intuit Inc. | Segregating anonymous access to dynamic content on a web server, with cached logons |
| US20100235625A1 (en) * | 2009-03-13 | 2010-09-16 | Ravi Kant Pandey | Techniques and architectures for preventing sybil attacks |
| CN101534262B (zh) * | 2009-03-30 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 消息传输方法、网络装置及网络系统 |
| US8281381B2 (en) * | 2009-08-03 | 2012-10-02 | Novell, Inc. | Techniques for environment single sign on |
| US8914628B2 (en) | 2009-11-16 | 2014-12-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing radio communication with an object in a local environment |
| US8875285B2 (en) * | 2010-03-24 | 2014-10-28 | Microsoft Corporation | Executable code validation in a web browser |
| US10482254B2 (en) * | 2010-07-14 | 2019-11-19 | Intel Corporation | Domain-authenticated control of platform resources |
| US8826010B2 (en) * | 2010-09-17 | 2014-09-02 | Skype | Certificate revocation |
| US8856516B2 (en) | 2010-09-17 | 2014-10-07 | Skype | Certificate revocation |
| US9270471B2 (en) | 2011-08-10 | 2016-02-23 | Microsoft Technology Licensing, Llc | Client-client-server authentication |
| US9544148B2 (en) * | 2011-12-02 | 2017-01-10 | Blackberry Limited | Method of sending a self-signed certificate from a communication device |
| KR20160127167A (ko) * | 2012-03-08 | 2016-11-02 | 인텔 코포레이션 | 다중 팩터 인증 기관 |
| US8811950B2 (en) * | 2012-03-30 | 2014-08-19 | Qualcomm Incorporated | Methods and apparatus for controlling devices with no or limited WWAN capability in peer to peer communication |
| US9202016B2 (en) * | 2012-08-15 | 2015-12-01 | Verizon Patent And Licensing Inc. | Management of private information |
| CN103873248B (zh) * | 2012-12-16 | 2017-04-12 | 航天信息股份有限公司 | 带有证书的基于身份的加密方法和装置 |
| US9197700B2 (en) * | 2013-01-18 | 2015-11-24 | Apple Inc. | Keychain syncing |
| US9077759B2 (en) | 2013-01-18 | 2015-07-07 | Apple Inc. | Conflict resolution for keychain syncing |
| US20140281502A1 (en) * | 2013-03-15 | 2014-09-18 | General Instrument Corporation | Method and apparatus for embedding secret information in digital certificates |
| US10404520B2 (en) | 2013-05-29 | 2019-09-03 | Microsoft Technology Licensing, Llc | Efficient programmatic memory access over network file access protocols |
| US9641614B2 (en) | 2013-05-29 | 2017-05-02 | Microsoft Technology Licensing, Llc | Distributed storage defense in a cluster |
| US9838424B2 (en) | 2014-03-20 | 2017-12-05 | Microsoft Technology Licensing, Llc | Techniques to provide network security through just-in-time provisioned accounts |
| US20150281225A1 (en) * | 2014-03-27 | 2015-10-01 | Microsoft Corporation | Techniques to operate a service with machine generated authentication tokens |
| US9716716B2 (en) * | 2014-09-17 | 2017-07-25 | Microsoft Technology Licensing, Llc | Establishing trust between two devices |
| US10489309B2 (en) * | 2014-10-21 | 2019-11-26 | Intel Corporation | Memory protection key architecture with independent user and supervisor domains |
| TW201626767A (zh) * | 2015-01-15 | 2016-07-16 | Universal Global Scient Ind Co | 物聯網裝置離線分享之存取權限控制方法 |
| GB2535165B (en) * | 2015-02-09 | 2021-09-29 | Arm Ip Ltd | A method of establishing trust between a device and an apparatus |
| CN104703252B (zh) * | 2015-02-13 | 2018-06-22 | 小米科技有限责任公司 | 终端设备接入无线网络的方法及装置 |
| US9979553B2 (en) * | 2015-08-06 | 2018-05-22 | Airwatch Llc | Secure certificate distribution |
| SG11201803010UA (en) | 2015-10-14 | 2018-05-30 | Cambridge Blockchain Llc | Systems and methods for managing digital identities |
| US10614532B1 (en) | 2016-03-11 | 2020-04-07 | Opower, Inc. | Interactive analytics platform responsive to data inquiries |
| US10050963B2 (en) * | 2016-03-29 | 2018-08-14 | Microsoft Technology Licensing, Llc | Securing remote authentication |
| WO2018022109A1 (en) * | 2016-07-29 | 2018-02-01 | Hewlett-Packard Development Company, L.P. | Workflow-authorizing computing device authentication |
| US10320571B2 (en) * | 2016-09-23 | 2019-06-11 | Microsoft Technology Licensing, Llc | Techniques for authenticating devices using a trusted platform module device |
| US11182349B2 (en) * | 2017-06-04 | 2021-11-23 | Apple Inc. | Synchronizing content |
| GB2565282B (en) * | 2017-08-02 | 2021-12-22 | Vnc Automotive Ltd | Remote control of a computing device |
| US11290466B2 (en) * | 2017-08-16 | 2022-03-29 | Cable Television Laboratories, Inc. | Systems and methods for network access granting |
| EP3585028A1 (de) * | 2018-06-20 | 2019-12-25 | Siemens Aktiengesellschaft | Verfahren zur anbindung eines endgerätes in eine vernetzbare rechner-infrastruktur |
| US11316857B2 (en) * | 2018-07-11 | 2022-04-26 | Cyber Ark Software Ltd. | Automated creation of dynamic privileged access resources |
| CN108833445B (zh) * | 2018-07-31 | 2021-04-16 | 中国银联股份有限公司 | 一种适用于物联网系统的认证方法及装置 |
| US10965676B2 (en) * | 2018-10-02 | 2021-03-30 | Ca, Inc. | Peer authentication by source devices |
| US11068598B2 (en) * | 2018-11-01 | 2021-07-20 | Dell Products L.P. | Chassis internal device security |
| US10873468B2 (en) * | 2019-02-22 | 2020-12-22 | Beyond Identity Inc. | Legacy authentication for user authentication with self-signed certificate and identity verification |
| US11172362B2 (en) * | 2019-05-09 | 2021-11-09 | Samsung Electronics Co., Ltd. | Method and apparatus for managing and verifying certificate |
| CN110728386A (zh) * | 2019-08-28 | 2020-01-24 | 中铁程科技有限责任公司 | 信息验证方法、装置和计算机设备 |
| CN110728611A (zh) * | 2019-08-28 | 2020-01-24 | 中铁程科技有限责任公司 | 接送站服务的提供方法、装置和计算机设备 |
| WO2021230636A1 (en) * | 2020-05-11 | 2021-11-18 | Samsung Electronics Co., Ltd. | System and method for certificate based authentication for tethering |
| CN114168924B (zh) * | 2022-02-10 | 2022-07-12 | 亿次网联(杭州)科技有限公司 | 一种基于数字证书的群成员相互认证的方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6308266B1 (en) * | 1998-03-04 | 2001-10-23 | Microsoft Corporation | System and method for enabling different grades of cryptography strength in a product |
| US20030188156A1 (en) * | 2002-03-27 | 2003-10-02 | Raju Yasala | Using authentication certificates for authorization |
| TWI221722B (en) * | 2001-11-15 | 2004-10-01 | Ind Tech Res Inst | Access control system of work-flow proceeded on basis of electronic certificate and method thereof |
| TWI221979B (en) * | 2002-03-15 | 2004-10-11 | Ibm | Secured and access controlled peer-to-peer resource sharing method and apparatus |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5638448A (en) * | 1995-10-24 | 1997-06-10 | Nguyen; Minhtam C. | Network with secure communications sessions |
| US6144959A (en) * | 1997-08-18 | 2000-11-07 | Novell, Inc. | System and method for managing user accounts in a communication network |
| US6134327A (en) * | 1997-10-24 | 2000-10-17 | Entrust Technologies Ltd. | Method and apparatus for creating communities of trust in a secure communication system |
| US6615347B1 (en) * | 1998-06-30 | 2003-09-02 | Verisign, Inc. | Digital certificate cross-referencing |
| US6304974B1 (en) * | 1998-11-06 | 2001-10-16 | Oracle Corporation | Method and apparatus for managing trusted certificates |
| US6363376B1 (en) * | 1999-08-02 | 2002-03-26 | Individual Software, Inc. | Method and system for querying and posting to multiple career websites on the internet from a single interface |
| US7065587B2 (en) * | 2001-04-02 | 2006-06-20 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith |
| US7380279B2 (en) * | 2001-07-16 | 2008-05-27 | Lenel Systems International, Inc. | System for integrating security and access for facilities and information systems |
| US7068789B2 (en) * | 2001-09-19 | 2006-06-27 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) group security infrastructure and method |
| US7493363B2 (en) * | 2001-09-19 | 2009-02-17 | Microsoft Corporation | Peer-to-peer group management and method for maintaining peer-to-peer graphs |
| US7299351B2 (en) * | 2001-09-19 | 2007-11-20 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) security infrastructure and method |
| US7051102B2 (en) * | 2002-04-29 | 2006-05-23 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) security infrastructure and method |
| US20030236976A1 (en) * | 2002-06-19 | 2003-12-25 | Microsoft Corporation | Efficient membership revocation by number |
| US7392375B2 (en) * | 2002-09-18 | 2008-06-24 | Colligo Networks, Inc. | Peer-to-peer authentication for real-time collaboration |
| US7461260B2 (en) * | 2002-12-31 | 2008-12-02 | Intel Corporation | Methods and apparatus for finding a shared secret without compromising non-shared secrets |
| US7397922B2 (en) * | 2003-06-27 | 2008-07-08 | Microsoft Corporation | Group security |
| US7188254B2 (en) * | 2003-08-20 | 2007-03-06 | Microsoft Corporation | Peer-to-peer authorization method |
| US7546373B2 (en) * | 2003-11-14 | 2009-06-09 | Microsoft Corporation | Secure dynamic credential distribution over a network |
-
2005
- 2005-04-20 US US11/110,592 patent/US7350074B2/en not_active Expired - Fee Related
- 2005-08-01 MX MX2007011601A patent/MX2007011601A/es active IP Right Grant
- 2005-08-01 EP EP05781898.1A patent/EP1872502B1/en not_active Not-in-force
- 2005-08-01 BR BRPI0520174-8A patent/BRPI0520174A2/pt not_active IP Right Cessation
- 2005-08-01 RU RU2007138936/09A patent/RU2390945C2/ru not_active IP Right Cessation
- 2005-08-01 MY MYPI20053581A patent/MY149418A/en unknown
- 2005-08-01 WO PCT/US2005/027273 patent/WO2006115522A1/en active Application Filing
- 2005-08-01 CN CN2005800492397A patent/CN101171782B/zh not_active Expired - Fee Related
- 2005-08-01 JP JP2008507628A patent/JP4965558B2/ja not_active Expired - Fee Related
- 2005-08-01 KR KR1020077023983A patent/KR101150108B1/ko active IP Right Grant
- 2005-08-01 TW TW094126091A patent/TWI407750B/zh active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6308266B1 (en) * | 1998-03-04 | 2001-10-23 | Microsoft Corporation | System and method for enabling different grades of cryptography strength in a product |
| TWI221722B (en) * | 2001-11-15 | 2004-10-01 | Ind Tech Res Inst | Access control system of work-flow proceeded on basis of electronic certificate and method thereof |
| TWI221979B (en) * | 2002-03-15 | 2004-10-11 | Ibm | Secured and access controlled peer-to-peer resource sharing method and apparatus |
| US20030188156A1 (en) * | 2002-03-27 | 2003-10-02 | Raju Yasala | Using authentication certificates for authorization |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI679551B (zh) * | 2015-04-30 | 2019-12-11 | 香港商阿里巴巴集團服務有限公司 | 進程的身份認證方法和裝置 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2390945C2 (ru) | 2010-05-27 |
| JP2008537256A (ja) | 2008-09-11 |
| US7350074B2 (en) | 2008-03-25 |
| EP1872502B1 (en) | 2019-07-17 |
| CN101171782B (zh) | 2012-08-15 |
| EP1872502A1 (en) | 2008-01-02 |
| KR20070122495A (ko) | 2007-12-31 |
| TW200638723A (en) | 2006-11-01 |
| MX2007011601A (es) | 2007-11-22 |
| BRPI0520174A2 (pt) | 2009-04-22 |
| EP1872502A4 (en) | 2008-08-06 |
| CN101171782A (zh) | 2008-04-30 |
| JP4965558B2 (ja) | 2012-07-04 |
| WO2006115522A1 (en) | 2006-11-02 |
| US20060242405A1 (en) | 2006-10-26 |
| RU2007138936A (ru) | 2009-04-27 |
| KR101150108B1 (ko) | 2012-06-11 |
| MY149418A (en) | 2013-08-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI407750B (zh) | 用於點對點網路中認證以及授權的機制 | |
| EP3424176B1 (en) | Systems and methods for distributed data sharing with asynchronous third-party attestation | |
| US20210377263A1 (en) | Distributed computing systems for strong user authentication and related methods | |
| US8209394B2 (en) | Device-specific identity | |
| Bertino et al. | Identity management: Concepts, technologies, and systems | |
| JP4756817B2 (ja) | アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム | |
| TWI438642B (zh) | 供應數位身份表徵的系統及方法 | |
| KR101534890B1 (ko) | 신뢰된 장치별 인증 | |
| CN115699000A (zh) | 通过计算机网络进行安全的多边数据交换的方法、装置和计算机可读介质 | |
| CN111316267B (zh) | 使用委托身份的认证 | |
| WO2020002009A1 (en) | Delegating credentials with a blockchain member service | |
| US20140281491A1 (en) | Identity escrow management for minimal disclosure credentials | |
| Laborde et al. | A user-centric identity management framework based on the W3C verifiable credentials and the FIDO universal authentication framework | |
| Paquin | U-prove technology overview v1. 1 | |
| JP6792647B2 (ja) | 監査能力を備えた仮想スマートカード | |
| Polychronaki et al. | Identity Management in Internet of Things with Blockchain | |
| Zhang et al. | Achieving fine‐grained access control in virtual organizations | |
| Brail et al. | OAuth The Big Picture | |
| Winnard et al. | Managing Digital Certificates Across the Enterprise | |
| Tysowski | OAuth standard for user authorization of cloud services | |
| Tijms et al. | Jakarta EE Foundations | |
| Boettcher et al. | Unleash the power of single sign-on with Microsoft and SAP | |
| GB2607282A (en) | Custody service for authorising transactions | |
| GUF et al. | Identity Management Infrastructure Protocols for Privacy-enabled SOA | |
| Mihindukulasooriya | WSO2 WSAS–Web Services Security in Practice |