CN101764803B - 参与与计算***的认证的方法 - Google Patents

参与与计算***的认证的方法 Download PDF

Info

Publication number
CN101764803B
CN101764803B CN2009102222871A CN200910222287A CN101764803B CN 101764803 B CN101764803 B CN 101764803B CN 2009102222871 A CN2009102222871 A CN 2009102222871A CN 200910222287 A CN200910222287 A CN 200910222287A CN 101764803 B CN101764803 B CN 101764803B
Authority
CN
China
Prior art keywords
authentication
client
server
client computer
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN2009102222871A
Other languages
English (en)
Other versions
CN101764803A (zh
Inventor
B·D·阿博巴
D·R·西蒙
T·M·穆尔
T·W·弗里曼
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of CN101764803A publication Critical patent/CN101764803A/zh
Application granted granted Critical
Publication of CN101764803B publication Critical patent/CN101764803B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Information Transfer Between Computers (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明的原理涉及更有效地和安全地认证计算机***的***、方法和计算机程序产品。在一些实施例中,有限用途凭证被用于提供更永久的凭证。客户机接收有限用途(如,单次使用)凭证并将此有限用途凭证从安全链路上提交到服务器。服务器提供附加的凭证(用于随后的认证)并将附加的凭证从安全链路发送到客户机。在另一些实施例中,计算机***使用可扩展的协议自动地协商认证方法。选择相互采用的认证方法,并通过用来加密(以及随后的解密)在客户机和服务器之间传送认证内容的隧道密钥实施安全认证。隧道密钥从共享的机密(如,会话密钥)和不重性中获得。

Description

参与与计算***的认证的方法
本申请是2005年3月18日提交的、申请号为200510059224.0、发明名称为“计算机***的有效的和安全的认证”的发明专利申请的分案申请。
技术领域
本发明涉及可扩展的认证和凭证提供。具体地说,本发明涉及认证机制的自动协商和可用来提供附加凭证的有限用途(limited-use)凭证。
背景技术
计算机***和相关技术影响了社会的很多方面。的确,计算机***处理信息的能力已经转变了我们生活和工作的方式。现在计算机***普遍地履行了许多在计算机***出现之前由人工实施的任务(如,文字处理、调度和数据库管理)。最近,计算机***已被相互耦合形成计算机网络,通过它计算机***可电子化通信从而共享数据。结果,许多在计算机***进行的任务(如,收发电子邮件和网络浏览),包括了经由计算机网络(例如,因特网)与一个或多个其它计算机***的电子化通信。
为了使一个计算机***能与其它计算机***电子化通信,计算机***,以及相应的计算机***用户,可能需要与其它计算机***(或授权访问其它计算机***的计算机***)进行认证(如,证明其身份)。视环境而定,可使用例如,克贝罗斯(Kerberos)、安全套接层(“SSL”),NT局域网管理程序(“NTLM”),和/或摘要认证(Digest authentication)许多种不同计算机认证机制中的任何一种。
一些认证机制包括交互式登录。例如,在一个计算机***可在因特网上电子化通信前,该计算机***的用户常被要求与可授权访问互联网的因特网服务供应商(下文中用“ISP”表示)进行接入。与ISP的注册通常包括将用户凭证(如,用户名和口令)从计算机***提交到ISP。一旦接收到凭证后,ISP将凭证与凭证数据库比较,如果凭证是正确的,计算机***被授权与因特网通信。
不幸的是,总是有一些非授权用户获得授权用户的凭证并使用这些凭证扮演授权用户的风险。由于授权用户的凭证从根本上允许对特定***上的所有的授权用户资源(如,文件、电子消息、个人和金融数据、等等)的完全访问,所以凭证中的任何内容可提供非授权用户复制和破坏授权用户的资源的能力。特别是,口令易遭受假想的攻击,例如,受到来自顺序地提交词典中每一个词作为口令(通常被成为“词典攻击”)的程序的攻击。
其它认证机制不包括交互式登录,这样就不存在可被获取的用户凭证。例如,网络服务器可使用SSL对网络客户机证明其身份。当网络客户机接通网络服务器上一个安全的网页(例如,以“https:”开头的网页)时,网络服务器应答,自动地发送一个认证网络服务器的数字证书。网络客户机生成一个独一无二的会话密钥对与网络服务器的所有通信加密。网络客户机用网络服务器的公开密钥(如,在证书中指出)对会话加密,因此只有网络服务器可以阅读会话密钥。这样,不需要任何用户的操作就建立了安全会话。
尽管已经描述了交互式认证和非交互式认证机制的示例,应该理解交互式认证和非交互式认证的实现可在网络和计算机***之间变化。例如,一个网络可被配置使用克贝罗斯认证,而另一个网络则被配置使用一些其它交互式认证机制。此外,特定的认证机制可具有不同的配置选择,导致认证机制不同地运作。例如,当建立安全会话时,一些SSL的实现允许选择不同的加密算法。
不幸的是,确定计算机***或网络已经采用的认证机制和/或配置选择是困难或甚至是不可能的。因此,一个计算机***可能试图使用其它计算机***未采用的认证机制和/或配置选择与其它计算机***进行认证。结果,认证会失败并阻止计算机***的通信。
在分布式***中试图使用未采用的认证机制认证的尝试的潜在可能性特别高。分布式***常包括许多互联的计算机***和网络,其中分布式***的不同部分在不同实体的控制之下。这些不同的实体可能各自采用不同的认证机制,并可能不一定告知或公布所采用的认证机制的指示。因此,因为第一个部件不知道(可能无法确定)第二个部件所采用的认证机制,分布式计算机***的第一个部件可能会被阻止与分布式***的第二个部件认证。
其它认证问题可发生在无线环境中。例如,为使一个设备与混合的有线/无线网络进行无线认证,此设备可能被要求具有与所述网络相应的证书。然而,该网络可能被配置为只允许经认证的设备访问证书。因此,此设备可能会被要求开头经由有线连接连接到网络。要求有线连接来访问证书会加重用户的负担(如,用户可能需要查找网络分接口),并且在一些环境中可能是困难的(如,网络分接口可能处在限制的访问区域中)或甚至是不可能的(例如,一些设备不是为有线访问配置的)。因而,即使是授权的用户也可能被阻止无线地访问网络。
因此,自动协商的认证方法和更安全的凭证提供将是有益的。
发明内容
通过针对更有效和安全地认证的计算机***的本发明原理,解决了现有技术存在的上述问题。在一些实施例中,客户机计算***收到有限用途的凭证。在客户机计算***和服务器计算***相互之间建立安全的链路。客户机计算***在已建立的安全链路上将有限用途的凭证提交到服务器计算***。
服务器计算***在已建立的安全链路上接收来自客户机计算***的有限用途凭证。服务器计算***基于接收到的限制性用户凭证,为客户机计算***提供一个附加的凭证。服务器计算***在已建立的安全链路上将附加凭证发送到客户机计算***。客户机计算***从服务器计算***接收附加的凭证。随后客户机服务器***可随意地使用收到的附加凭证与服务器计算***进行认证。
在其它实施例中,服务器发送至少包括服务器计算***采用的认证机制的第一个请求。客户机接收此第一个请求,并发送至少包括客户机计算***采用的认证机制的第一个应答。客户机和服务器确定一个可被用于加密客户机计算***和服务器计算***之间传递的内容的隧道密钥(tunnel key)。
服务器发送包括加密的认证内容(用隧道密钥加密)的第二个请求,指出相互采用的认证机制。客户机接收第二个请求,并用隧道密钥对加密的认证内容进行解密以揭示未加密的认证内容。未加密的认证内容指出相互采用的认证机制。客户机发送第二个应答,包括应答未加密的认证内容的加密的应答数据。加密的应答数据包含按照相互采用的认证机制与服务器进行认证的信息。服务器接收第二个应答,它包括加密的、包含按照相互采用的认证机制与服务器进行认证的信息的应答数据。
本发明的其它特点和优点将在下面的描述中阐明,从描述中部分将是显而易见的,或需通过本发明的实施才能了解。通过在所附的权利要求中特别指出的手段和组合,可实现和获得本发明的特点和优点。本发明的这些或其它的特点将通过下面的描述和所附的权利要求变得更清楚,或通过下文阐述的本发明的实施得以了解。
附图说明
为了描述可获取本发明上述的和其它优点和特点的方式,将通过对附图中例示的本发明的特定实施例的说明,更具体描述以上简述的本发明。应理解这些附图仅描述了本发明的典型实施例,而不应因此被认为限制其范围,将通过使用附图更具体和详细地描述和解释本发明,其中:
图1说明了根据本发明的、有助于使计算机***更有效和安全地进行认证的计算机体系结构示例。
图2说明了一个根据本发明的提供凭证的示例方法的流程图。
图3说明了一个自动协商认证方法的消息交换过程。
图4说明了一个实现本发明原理的适合的操作环境。
具体实施方式
本发明的原理涉及为了更有效和安全地进行计算机***认证的***,方法,和计算机程序产品。本发明范围内的实施例包括,用于承载或具有其上存储着计算机可执行的指令或数据结构的计算机可读介质。所述计算机可读介质可以是任何可被通用的或专用的计算机***存取的可用介质。作为例子,但不作为限制,所述计算机可读介质可包括:物理存储介质,诸如RAM,ROM,EPROM,CD-ROM或其它光盘存储器,磁盘存储器或其它磁存储设备,或任何其它可用于承载或保存所需的以计算机可执行指令,计算机可读指令,或数据结构等形式存在的程序代码方法,并可被通用或专用计算机***访问的介质。
在本描述和下列权利要求中,“网络”被定义为能使计算机***和/或模块之间进行电子数据传输的一个或多个数据链路。当信息通过网络或其它通信连接(或是有线的,无线的,或是有线和无线的组合)被传输或提供到计算机***时,该连接完全可被看作计算机可读的介质。因而,任何这种连接完全可被定义为计算机可读介质。上述连接的组合也应被包括在计算机可读介质的范围内。计算机可执行指令包括:例如,使通用计算机***或专用计算机***能实现某种功能或功能群的指令和数据。计算机可执行指令可以是:例如,二进制的,中间格式的指令,诸如汇编语言,或甚至是源代码等。
在本描述和下列权利要求中,“计算机***”被定义为一个或多个软件模块,一个或多个硬件模块,或它们的组合,它们共同工作实现对电子数据的操作。例如,计算机***的定义包括,个人电脑的硬件部件,以及诸如个人电脑的操作***等软件模块。模块的物理布局是不重要的。计算机***可包括通过网络耦合的一台或多台计算机。同样地,计算机***可包括单独的物理设备(诸如移动电话或个人数字助理“PDA”),其中内部模块(诸如存储器和处理器)共同工作以实现对电子数据的操作。
术语“模块”或“部件”用在这里可以指在计算机***中执行的软件目标或例行程序。这里描述的不同的部件,模块,引擎,和服务器可被作为计算机***中(例如,作为独立的线程)执行的目标或进程来实现。尽管在这里描述的***和方法中,最好在软件中实现,但在软件和硬件中,或硬件中实现也是可行的和可以考虑的。
本领域的熟练技术人员可通过许多类型的计算机***配置,包括,个人计算机,便携式计算机,掌上设备,多处理器***,基于微处理器或可编程的消费电子产品,网络PC机,微型计算机,大型计算机,移动电话,PDA,寻呼机,以及相关设备,将本发明实施于网络计算机环境中。本发明也可实施于分布式***环境,其中通过网络链路(或通过有线数据链路,无线数据链路,或通过有线和无线数据链路的组合)的本地和远程计算机***共同完成任务。在分布式***环境中,程序模块可位于或本地或远程记忆存储设备中。
图1说明了根据本发明的有助于更有效和安全地进行计算机***认证的示例计算机体系结构100。如计算机体系结构100中所述,客户机计算***101包括密钥对103。密钥对103包括公开密钥104和对应的私有密钥106,例如,一组Diffie-Hellman密钥对。服务器计算***111包括凭证提供模块112和密钥对113。凭证提供模块112被配置为接收第一种类型的凭证,例如,有限用途的凭证,和基于第一种类型的凭证,提供第二种类型的凭证,例如,一个更永久的凭证。与密钥对103类似,密钥对113包括公开密钥114和对应的私有密钥116,例如,一组Diffie-Hellman密钥对。
图2说明了根据本发明用于提供凭证的一种示例方法200的流程图。将根据计算机体系结构100中的计算机***和模块描述方法200。方法200包括一个接收有限用途凭证的动作(动作201)。例如,客户机计算***101可接收有限用途凭证102。
有限用途凭证的使用可被限制在任何数量的方法中。例如,有限用途的凭证可对特定使用次数,特定时间段,或直到特定事件的发生有效。基于所采用的安全策略,有限用途凭证可被限定为任何有效使用的次数(如,三次使用)。对认证有效只有一次的有限用途凭证可称为“单次使用凭证”。在特定次数的使用后,此有限用途凭证不再作为有效的凭证被接受。
基于所采用的安全策略,有限用途凭证可被限定于任何特定时间段使用(如,五分钟)。在特定的时间段过去后,此有限用途凭证不再作为有效的凭证被接受。基于所采用的安全策略,任何特定事件可限制有限用途凭证的使用。例如,在提供更永久的凭证后,有限用途凭证可被驳回。
有限用途凭证可经由诸如电话通信或邮件等通信方法,被非常规地(out-of-band)接收。作为代替,也可使用可信的电脑化通信方法接受有限用途凭证(如,将在电子邮件消息中加密有限用途凭证)。
方法200包括客户机方建立安全链路(动作202)和服务器方建立安全链路(动作205)的动作。例如,客户机计算***101和服务器计算***111可建立安全链路122。建立安全链路可包括客户机计算***101和服务器计算***111交换公开密钥以建立会话密钥。例如,公开密钥104和公开密钥114可被交换,建立会话密钥131。在一些实施例中,会话密钥的建立可足以进行随后的认证,例如,当客户机计算***101和服务器计算***111用静态Diffie-Hellman密钥配置。
作为代替,可获得其它密钥提供其它证明。例如,在应答来自服务器计算***的查问时,客户机计算***可使用从Diffie-Hellman会话密钥和口令获得的加密密钥加密一个口令,并将加密密钥发送到服务器计算***。因此,当服务器计算***接收到这个加密的口令后,服务器计算***可将口令解密,并将口令与凭证数据库比较以确定口令是否有效。
类似地,客户机计算***可使用从共享密文和Diffie-Hellman会话密钥获得的加密密钥加密一个信任锚(trust anchor),并将该信任锚传送到服务器计算***。因此,当服务器计算***接收到这个加密的信任锚后,服务器计算***可对该信任锚进行解密和验证。信任锚包括认证相关的数据,例如,证书、(如,X.509证书)、安全令牌(如,WS安全令牌)、证书的散列(hash)(如,SHA-1)和统一资源标识符(“URI”)(如,统一资源***(“URL”)),或安全令牌的散列和URI。
同样地,客户机计算***可发送一个用包括用先前建立的信任锚的摘要签名或包括先前建立的信任锚的摘要的新信任锚。因而,服务器计算***可基于先前建立的信任锚的签名或散列验证新信任锚。
回到图2,方法200包括在已建立的安全链路上提交有限用途凭证的动作(动作203)。例如,客户机计算***101可在安全链路122上将有限用途凭证102提交到服务器计算***111。如上所述,从Diffie-Hellman会话密钥和口令中获得的加密密钥可用来加密口令。这样,有限用途凭证102就可能是使用从会话密钥131和有限用途凭证102中获得的加密密钥进行加密。
方法200包括在已建立的安全链路上接收有限用途凭证的动作(动作206)。例如,服务器计算***111可在安全链路122上从客户机计算***101接收有限用途凭证102。同样,作为对先前请求的应答,服务器计算***111也可从客户机计算***101接收加密密钥(如,用来加密有限用途凭证102的)。
方法200包括基于接收到的有限用途凭证,为客户机提供附加凭证的动作(动作207)。例如,凭证提供模块121可基于有限用途凭证102为客户机计算***101提供一个更永久的凭证(或多个凭证)。条件适当时,服务器计算***111可使用先前接收到的加密密钥对有限用途凭证102进行解密。
凭证提供模块112可将有限用途凭证102与凭证数据库进行比较,以确定有限用途凭证102是否有效。当有限用途凭证102无效时,服务器计算***111可终止有限用途凭证102的进程。取决于安全策略,服务器计算***111可通报或不通报客户机计算***101有限用途凭证102的进程被终止。另一方面,当有限用途凭证有效时,客户机计算***101身份的可靠性增加了。因而,服务器计算***可为客户机计算***101生成一个更永久的凭证(或多个凭证)。例如,凭证提供模块112可生成附加凭证117。
附加凭证117可与有限用途凭证是相同类型的凭证。例如,在应答接收到合适的单次使用口令时,服务器计算***111可发布更永久的口令。作为代替,附加的凭证117可以是不同类型的凭证。例如,在应答接收到合适的单次使用口令时,服务器计算***111可发布一个证书,一个令牌(如,WS-安全令牌或Kerberos令牌),一个证书的散列和URI,或一个令牌的散列和URI。
其它凭证支持的数据,例如,证书链,证书撤销表,在线证书状态协议应答,WS-安全令牌,和与交换相关的元数据,也可被识别。被识别的元数据可包括可扩展标记语言(eXtensible Mark-up Language)(“XML”)指令。
方法200包括一个发送附加凭证的动作(动作208)。例如,服务器计算***111可向客户机计算***101发送附加凭证117。方法200包括接收附加凭证的动作(动作204)。例如,客户机计算***101可从服务器计算***111接收附加凭证117。
因而,本发明的实施例可有助于实现对网络的访问,否则访问可能会被阻止。例如,无线计算机***可利用有限用途(或单次使用)凭证帮助实现对用于无线访问网络的证书的访问。并且,有限用途凭证可减少计算机***对词典攻击的脆弱性。例如,在一个恶意用户最终破解有限用途凭证时,有限用途凭证可能不再有效。特别地,既然单次使用的凭证在这一次使用之后变为无效,单次使用的凭证可显著减少词典攻击的脆弱性。
图3说明了用于协商认证机制的消息交换300。应该理解消息交换300可在认证期间其它消息交换之前或之后发生。例如,客户机计算***和服务器计算***可交换一个或多个可扩展认证协议(Extensible Authentication Protocol)(“EAP”)的请求/应答对,后者对客户机计算***和服务器计算***相互之间进行初步的识别。
消息交换300中所述的请求和应答可以是认证协议的消息。每条消息可包括认证协议的版本号(如,代表受支持的净荷载的类型),消息体,和部分消息体的散列消息认证代码(Hashed Message Authentication Code)(“HMAC”)。HMAC可使用任何加密的散列功能生成,例如,MD5,SHA-1,等。认证协议的消息可被嵌入EAP消息中。
服务器方360可发送服务器请求301到客户机方305。服务器请求301包括前次的数据包ID 302,不重性(nonce)303,和认证方法304。前次的数据包ID302可指示对应于在客户机方350和服务器方360之间被交换的(如,在前次的请求/应答交换中的数据包的数据包ID)最后数据包的数据包ID。不重性(nonce)303可以是服务器方360生成的随机数据。认证方法305可包括在服务器360方支持的推荐的认证机制。服务器方可支持任何数量的不同的认证机制(如,如前所述的查问和应答、MS-CHAP v2、用MD5的认证、用属性令牌卡(Generic Token Card)的认证、用Kerberos的认证、用X.509的认证和用WS-安全认证)。
在应答服务器请求301时,客户机方350可发送客户机应答306到服务器方306。客户机应答306可包括前次的数据包ID307、不重性(nonce)308、安全协议(security association(s))309、公开密钥311和认证方法312。前次的数据包ID307可指示对应服务器请求301的数据包ID。不重性(nonce)308可以是在客户机方360生成的随机数据。安全协议309可包括在客户机方350支持的推荐的安全协议。表1指出了一些可被支持的安全协议。
Figure GSB00000883267700091
表1
公开密钥311可包括一个或多个公开密钥。公开密钥311可包括一个对每个支持的安全协议来说具有适当长度(如,1024位,2048位等)的密钥。公开密钥311可以是一个或多个Diffie-Hellman公开密钥,包括,例如公开密钥104。认证方法312可包括在客户机方350受支持的认证机制,并选自认证方法304中包括的认证机制。
在应答客户机应答306时,服务器方360可发送服务器请求313。服务器请求313可包括前次的数据包ID 314,安全协议316,公开密钥317,和其它基于该认证方法的认证数据。前次的数据包ID314可指示对应于客户机应答306的数据包ID。安全协议316可指示在服务器方360支持的安全协议,并选自安全协议309包括的认证方法。公开密钥317可以是一个对安全协议316中所指示的安全协议来说具有适当长度的密钥。公开密钥317可以是一个Diffie-Hellman公开密钥,例如公开密钥114。
因而,基于来自公开密钥311和公开密钥317的、长度适当的密钥,可在客户机方350和服务器方360之间建立一个安全链路。
通常,在客户机方350和服务器方360之间发送的加密的数据是使用隧道密钥加密的。隧道密钥可通过将Diffie-Hellman共享的机密(如,会话密钥131)与客户机和服务器的不重性(nonce)重组经散列后获得。例如,可按照以下公式获得隧道密钥:
隧道密钥=HASH[DHss+Nc+Ns]
隧道密钥是一个对称的密钥。这就是说隧道密钥可用来对使用隧道密钥加密的加密数据进行解密。因而,客户机方350可用隧道密钥对将要发送到服务器方360的数据加密,并可用隧道密钥对从服务器方360接收的内容进行解密。类似地,服务器方360可用隧道密钥对将要发送到客户机方350的数据加密,并可用隧道密钥对从客户机方350接收的内容进行解密。
当客户机方350和服务器方360进行协商时,服务器请求313可包括协商加密的内容318。协商加密的内容318可包括查问319,认证方法321,和信任锚322。查问319可以是先前数据包ID(如,前次的数据包ID314)使用共享密码(如,会话密钥131)的一个HMAC。例如,查问319可按照以下公式设置:
查问=HMACss[PPid]
服务器方360可对查问维持适当的应答。例如,一个适当的应答可以是查问使用共享密码的HMAC。一个适当的应答可按照以下公式设置:
应答s=HMACss[查问]
认证方法321可指出客户机方350和服务器方360相互支持的认证方法。信任锚322可以是如前所述的信任锚。
当客户机方350与服务器方再认证时(如,协商后若干时间的认证),服务器请求313可转而包括再认证加密的328。加密的再认证内容可包括认证签名329和身份证书331。认证签名329可包括签名ID类型(如,SHA-1(密钥ID长度=20字节)或SHA256(密钥ID长度=32字节)),签名密钥ID,和签名类型(如,HMAC,RSA PKCS#1,RSA PSS,或DSA)。身份证书331可包括,例如,X.509证书、Kerberos令牌、WS-安全令牌、原始公开密钥(RawPublic Key)、X.509证书的散列和URL、WS-安全令牌的散列和URL、原始公开密钥(Raw Public Key)的散列和URL。
应该理解,服务器请求313中可交替地包括其它类型的加密的认证内容(代替协商加密的内容318或再认证加密的内容328)。例如,当使用存在的用户名和口令引导一台客户机时,服务器请求313可能已经加密了包括认证签名、身份证书和认证方法等内容。
当用X.509证书引导一台新的客户机时,服务器请求313可能已经加密了包括查问,信任锚,认证方法,和注册请求等内容。注册请求可包括请求类型(如,Kerberos TGT请求、Kerberos AS请求、PCKS#10请求、或CMC请求)、密钥类型(如,RSA签名,DSA,ECDSA,或DH+ECDH)、密钥子类型(如,PSA签名密钥或DH+ECDH密钥)和密钥大小(如,1024位)。当用X.509证书认证时,请求313可能已经加密了包括认证签名、认可的证书、和认证方法等内容。
当用Kerberos权证(ticket)引导一台新的客户机时,服务器请求313可能已经加密了包括查问和注册请求等内容。
应答服务器请求313时,客户机方350可发送客户机应答332。客户机应答332可包括前次的数据包ID333和应答包含在服务器请求313中的加密内容的数据。前次的数据包ID333可指示对应服务器请求313的数据包ID。当客户机方350和服务器方360进行协商时,客户机应答332可包括加密的应答334(用隧道密钥加密)。加密的应答334可以是查问319的应答。
客户机方350可对查问319生成适当的应答。例如,适当的应答可以是查问119使用共享密码的HMAC。一个适当的应答可按照以下公式设置:
应答c=HMACss[查问]
当客户机方350与服务器方360再认证时,客户机应答332可包括认证签名336。
应该理解应答加密认证内容(代替加密的应答334或认证签名336)的其它类型的数据,可交替地包括在客户机应答332中。例如,当使用存在的用户名和口令引导一台客户机时,客户机应答332可能已经加密了应答数据,包括查问、终端用户身份的净荷载和域身份的净荷载。终端用户身份的净荷载和域身份的净荷载可包括一个称名类型(如,完全资格的DNS名称、e-mail地址、Ipv4地址、Ipv6地址、DER编码的X.500识别名称或区域名称)。
当用X.509证书引导新客户机时,客户机应答332可能已经加密了包括应答和证书请求等应答数据。当用X.509证书认证时,客户机应答332可能已经加密了包括认证签名和认可的证书等应答数据。当用Kerberos权证引导新客户机时,客户机应答332可能已经加密了包括应答和证书请求的应答数据。
本发明的实施例有助于从许多不同的认证机制中实现协商性的认证机制。客户机计算***和服务器计算***可识别相互支持的认证机制,并将识别的机制用于认证。自动化的协商将用户从必须了解可能被网络采用的认证机制中解放出来。因而,可更有效地进行认证。
图4和以下论述旨在对可实现本发明的合适的计算机环境作简要、概括的描述。尽管未被要求,本发明将在计算机可执行指令的一般环境中描述,例如正在被计算机***执行的程序模块。通常,程序模块包括例行程序,程序,对象,组件,数据结构,以及类似模块,它们实施特定任务或实现特定抽象数据类型。计算机可执行指令,相关的数据结构,和程序模块代表程序代码方法的示例,用来执行这里揭示的方法的动作。
如图4所示,一个实现本发明的示例***,包括以计算机***420为形式的通用计算机设备,包括处理单元421,***存储器422,和***总线423,后者将包括***存储器的各种***部件耦合到处理单元421。处理单元421可执行用来实现计算机***420的特点(包括本发明的特点)而设计的计算机可执行指令。***总线423可任选自多种类型的总线结构,包括存储总线或存储控制器、***设备总线和使用多种总线体系结构中的一种局部总线。***存储器包括只读存储器(“ROM”)424和随机存取存储器(“RAM”)425。基本输入/输出***(“BIOS”)426,包含在诸如启动时帮助在计算机***420的元件之间传递信息的基本例行程序,可储存在ROM 424中。
计算机***420也可包括用来从硬磁盘439读出和写入的硬磁盘驱动器427,用来从可移动磁盘429读出和写入的磁盘驱动器428,和用来从可移动光盘,例如,CD-ROM或其它光介质431读出和写入的光盘驱动器430。硬磁盘驱动器427,磁盘驱动器428,和光盘驱动器430分别通过硬磁盘驱动器接口432,磁盘驱动器接口433和光驱动器接口434连接到***总线423。这些驱动器和它们相关的计算机可读介质,提供了计算机可执行指令,数据结构,程序模块,和用于计算机***420的其它数据的非易失的存储。尽管此处描述的示例环境采用了硬磁盘439,可移动磁盘429和可移动光盘431,也可使用其它类型用于存储数据的计算机可读介质,包括盒式磁带、闪存卡、数字多用光盘、伯努力磁带(Bernoulli cartridges)、RAMs、ROMs等。存储器132可以是所述类型的计算机可读介质的一部分。
程序代码方法包含可储存在硬盘439,磁盘429,光盘431,ROM 424或RAM 425中的一个或多个程序模块,包括操作***435,一个或多个应用程序436,其它程序模块437,和程序数据438。用户可通过键盘440、指示设备442、或其输入设备(未显示),例如,话筒、游戏操纵杆、游戏板、扫描仪等将命令和信息输入计算机***420。这些和其它输入设备可通过耦合到***总线423的输入/输出接口446连接到处理单元421。输入/输出接口446逻辑上代表任何多种可能的接口,例如,串行端口接口,PS/2接口,并行端口接口,通用串行总线(“USB”)接口,或电气和电子工程师协会(“IEEE”)1394接口(即防火线(Fire Wire),或甚至在逻辑上可代表不同接口的组合。
监视器447或其它显示设备也经由视频接口448被连接到***总线423。监视器447可显示单色和/或彩色图形对象,包括计算机***420生成的文本。其它***设备(未显示),例如,扬声器,打印机,和扫描仪,也可被连接到计算机***420。连接到计算机***447的打印机可打印单色和/或彩色图形对象,包括计算机***420生成的文本。
计算机***420可连接到各种网络,例如,办公室或企业范围的计算机网络,家庭网络,内联网,和/或因特网。计算机***420可通过这些网络与例如,远程计算机***,远程应用,和/或远程数据库的外部资源交换数据。
计算机***420包括网络接口453,通过它计算机***420从外部资源接收数据和/或传输数据到外部资源。如图4所述,网络接口453有助于实现经由链路451与远程计算机***483的数据交换。网络接口453逻辑上可代表一个或多个软件和/或硬件模块,例如,网络接口卡和对应的网络驱动器接口规范(“NDIS”)栈。链路451代表网络的一部分(如,以太网分段),远程计算机***483代表网络的一个结点。
同样地,计算机***420包括输入/输出接口446,通过它们计算机***420从外部资源接收数据和/或传输数据到外部资源。输入/输出接口446被耦合到调制解调器454(如,标准调制解调器,电缆调制解调器,或数字用户线(“DSL”)调制解调器),通过它们计算机***420从外部资源接收数据和/或传输数据到外部资源。如图4所述,输入/输出接口446和调制解调器454有助于实现经由链路452与远程计算机***493的数据交换。链路452代表网络的一部分,远程计算机***493代表网络的一个结点。
尽管图4代表了本发明一个合适的操作环境,但本发明的原理可被任何可实现本发明的原理的***采用,如有必要可适当地修改。图4说明的环境仅是说明性的,决不代表大量的可实现本发明原理的环境中的哪怕是一小部分。
按照本发明,例如凭证提供模块112的模块,以及相关的程序数据,例如,有限用途凭证102,密钥对103和113,服务器请求301和313,和客户机应答306和332,可在与任何计算机***420相关的计算机可读介质中存储和被访问。例如,部分这种模块和部分相关程序数据可包括在存储在***存储器422中的操作***435、应用程序436、程序模块437和/或程序数据438中。
当一个大容量存储设备,例如硬磁盘439被耦合到计算机***420时,这种模块和相关程序数据也可存储在此大容量存储设备中。在网络化环境中,所述的涉及计算机***420的程序模块,或其一部分,可存储在远程记忆存储设备中,例如,***存储器和/或与远程计算机***483和/或远程计算机***493相关的大容量存储设备。这种模块的执行可在分布式环境中实施。
在不背离精神或本质特征的情况下,本发明可以其它特定形式中实施。所述实施例在任何方面将仅是说明性的,而非限制性的。所以本发明的范围由所附的权利要求,而不是以上的描述给出。所有等价于权利要求的含义和范围内的改变,都将被归入权利要求的范围内。

Claims (22)

1.在客户机计算***中的一种参与与服务器计算***的认证的方法,所述方法包括:
由所述客户机计算***接收第一服务器请求,所述第一服务器请求至少包括关于在服务器计算***采用的认证机制的第一指示以及服务器不重性;
由所述客户机计算***向所述服务器计算***发送第一应答,所述第一应答包括客户机公开密钥、客户机不重性以及包含在来自所述服务器计算***的第一指示中的且同样在所述客户机计算***采用的选择的一组认证机制;
识别能用于加密在所述客户机计算***和所述服务器计算***之间传送的内容的隧道密钥,所述隧道密钥包括会话密钥和所述服务器不重性及客户机不重性串接后的散列;
接收包括加密的认证内容的第二服务器请求,所述加密的认证内容是用所述隧道密钥加密的且包括服务器查问、相互采用的认证机制以及信任锚;
用所述隧道密钥对所述加密的认证内容解密以显示未加密的认证内容,所述未加密的认证内容指示出所述相互采用的认证机制、所述服务器查问以及所述信任锚;以及
发送对所述第二服务器请求的第二应答,所述第二应答包括响应于所述未加密的认证内容的加密的应答数据,所述加密的应答数据包括客户机查问、对应于所述服务器查问的经散列的消息认证代码和客户机认证签名中的至少一个,所述加密的应答数据用于按照所述相互采用的认证机制来与服务器计算***认证所述客户机计算***。
2.如权利要求1所述的方法,其特征在于,所述第一服务器请求包括与存在于所述客户机计算***和所述服务器计算***之间的前次会话对应的前次数据包ID。
3.如权利要求1所述的方法,其特征在于,在所述服务器计算***采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
4.如权利要求1所述的方法,其特征在于,在所述客户机计算***采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
5.如权利要求1所述的方法,其特征在于,所述第一应答包括多个公开密钥。
6.如权利要求1所述的方法,其特征在于,接收第二服务器请求包括:接收对应于一认证方法的加密的认证内容,所述认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
7.如权利要求6所述的方法,其特征在于,所述第二服务器请求包括前次的数据包ID。
8.如权利要求6所述的方法,其特征在于,发送第二应答包括:发送用于一认证方法的加密的应答数据,该认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
9.如权利要求7所述的方法,其特征在于,所述第二应答包括所述前次的数据包ID。
10.如权利要求1所述的方法,其特征在于,所述第一应答还包括多个安全协议,所述第二请求包括从所述多个安全协议中选择的一个安全协议。
11.如权利要求1所述的方法,其特征在于,所述第二应答包括所述客户机查问。
12.如权利要求1所述的方法,其特征在于,所述第二应答包括所述经散列的消息认证代码。
13.如权利要求1所述的方法,其特征在于,所述第二应答包括所述客户机认证签名。
14.在服务器计算***中的一种用于参与与客户机计算***的认证的方法,所述方法包括:
由所述服务器计算***发送第一请求,所述第一请求至少包括关于在所述服务器计算***采用的认证机制的第一指示和服务器不重性;
由所述服务器计算***接收对所述第一请求的第一客户机应答,所述第一客户机应答包括客户机公共密钥、客户机不重性以及包含在所述服务器计算***采用的认证机制的第一指示中的且同样在所述客户机计算***采用的选择的一组认证机制;
识别能用于加密在所述客户机计算***和所述服务器计算***之间传送的内容的隧道密钥,所述隧道密钥包括会话密钥和所述服务器不重性及客户机不重性串接后的散列;
发送包括加密的认证内容的第二请求,所述加密的认证内容是用所述隧道密钥加密的,所述加密的认证内容包括服务器查问、相互采用的认证机制以及信任锚;以及
接收第二客户机应答,所述第二客户机应答包括响应于所述加密的认证内容的加密的应答数据,所述加密的应答数据包括客户机查问、对应于所述服务器查问的经散列的消息认证代码和客户机认证签名中的至少一个,所述加密的应答数据用于按照所述相互采用的认证机制来与服务器计算***认证所述客户机计算***。
15.如权利要求14所述的方法,其特征在于,所述第一请求包括与存在于所述客户机计算***和所述服务器计算***之间的前次会话对应的前次数据包ID。
16.如权利要求14所述的方法,其特征在于,在所述服务器计算***采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
17.如权利要求14所述的方法,其特征在于,在所述客户机计算***采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证、和用WS-安全的认证中的一个或多个认证机制。
18.如权利要求14所述的方法,其特征在于,所述第一客户机应答包括多个公开密钥。
19.如权利要求14所述的方法,其特征在于,发送第二请求包括:发送对应于一认证方法的加密的认证内容,所述认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
20.如权利要求19所述的方法,其特征在于,所述第二请求包括前次的数据包ID。
21.如权利要求19所述的方法,其特征在于,接收第二客户机应答包括:接收用于一认证方法的加密的应答数据,该认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证,和用Kerberos令牌引导新客户机。
22.如权利要求21所述的方法,其特征在于,所述第二客户机应答包括所述前次的数据包ID。
CN2009102222871A 2004-03-19 2005-03-18 参与与计算***的认证的方法 Active CN101764803B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/804,591 2004-03-19
US10/804,591 US7549048B2 (en) 2004-03-19 2004-03-19 Efficient and secure authentication of computing systems

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
CNA2005100592240A Division CN1722658A (zh) 2004-03-19 2005-03-18 计算机***的有效的和安全的认证

Publications (2)

Publication Number Publication Date
CN101764803A CN101764803A (zh) 2010-06-30
CN101764803B true CN101764803B (zh) 2013-02-27

Family

ID=34838939

Family Applications (2)

Application Number Title Priority Date Filing Date
CN2009102222871A Active CN101764803B (zh) 2004-03-19 2005-03-18 参与与计算***的认证的方法
CNA2005100592240A Pending CN1722658A (zh) 2004-03-19 2005-03-18 计算机***的有效的和安全的认证

Family Applications After (1)

Application Number Title Priority Date Filing Date
CNA2005100592240A Pending CN1722658A (zh) 2004-03-19 2005-03-18 计算机***的有效的和安全的认证

Country Status (6)

Country Link
US (1) US7549048B2 (zh)
EP (2) EP1577736B1 (zh)
JP (1) JP4746333B2 (zh)
KR (1) KR101130356B1 (zh)
CN (2) CN101764803B (zh)
ES (1) ES2595105T3 (zh)

Families Citing this family (116)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
CN100592678C (zh) * 2004-02-11 2010-02-24 艾利森电话股份有限公司 用于网络元件的密钥管理
US8074287B2 (en) * 2004-04-30 2011-12-06 Microsoft Corporation Renewable and individualizable elements of a protected environment
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US7725716B2 (en) * 2004-06-28 2010-05-25 Japan Communications, Inc. Methods and systems for encrypting, transmitting, and storing electronic information and files
US7760882B2 (en) * 2004-06-28 2010-07-20 Japan Communications, Inc. Systems and methods for mutual authentication of network nodes
US20060026268A1 (en) * 2004-06-28 2006-02-02 Sanda Frank S Systems and methods for enhancing and optimizing a user's experience on an electronic device
US7603700B2 (en) * 2004-08-31 2009-10-13 Aol Llc Authenticating a client using linked authentication credentials
US8347078B2 (en) 2004-10-18 2013-01-01 Microsoft Corporation Device certificate individualization
US8117452B2 (en) * 2004-11-03 2012-02-14 Cisco Technology, Inc. System and method for establishing a secure association between a dedicated appliance and a computing platform
US8336085B2 (en) 2004-11-15 2012-12-18 Microsoft Corporation Tuning product policy using observed evidence of customer behavior
US7114648B2 (en) * 2005-01-31 2006-10-03 Stratitec, Inc. Networked time-keeping system
JP2008530879A (ja) * 2005-02-11 2008-08-07 ノキア コーポレイション 通信ネットワークにおいてブートストラッピング手順を提供する方法及び装置
US8438645B2 (en) 2005-04-27 2013-05-07 Microsoft Corporation Secure clock with grace periods
US7640430B2 (en) * 2005-04-04 2009-12-29 Cisco Technology, Inc. System and method for achieving machine authentication without maintaining additional credentials
US7975140B2 (en) * 2005-04-08 2011-07-05 Nortel Networks Limited Key negotiation and management for third party access to a secure communication session
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US7739505B2 (en) * 2005-04-22 2010-06-15 Microsoft Corporation Linking Diffie Hellman with HFS authentication by using a seed
US9436804B2 (en) 2005-04-22 2016-09-06 Microsoft Technology Licensing, Llc Establishing a unique session key using a hardware functionality scan
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
US8181232B2 (en) * 2005-07-29 2012-05-15 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US20070067780A1 (en) * 2005-08-24 2007-03-22 Samsung Electronics Co., Ltd. Method and system for asynchronous eventing over the internet
US20070050630A1 (en) * 2005-08-24 2007-03-01 Samsung Electronics Co., Ltd. Authentication method and system for asynchronous eventing over the internet
US7904946B1 (en) 2005-12-09 2011-03-08 Citicorp Development Center, Inc. Methods and systems for secure user authentication
US9002750B1 (en) 2005-12-09 2015-04-07 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US9768963B2 (en) * 2005-12-09 2017-09-19 Citicorp Credit Services, Inc. (Usa) Methods and systems for secure user authentication
US8091120B2 (en) * 2005-12-21 2012-01-03 At&T Intellectual Property I, L.P. Adaptive authentication methods, systems, devices, and computer program products
CN101060406B (zh) * 2006-04-20 2010-05-12 华为技术有限公司 一种端到端通信认证的方法及装置
CN101009919A (zh) * 2006-01-24 2007-08-01 华为技术有限公司 一种基于移动网络端到端通信的认证方法
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
US20070220598A1 (en) * 2006-03-06 2007-09-20 Cisco Systems, Inc. Proactive credential distribution
CN101051898B (zh) * 2006-04-05 2010-04-21 华为技术有限公司 无线网络端到端通信认证方法及其装置
CN101102180B (zh) * 2006-07-03 2010-08-25 联想(北京)有限公司 基于硬件安全单元的***间绑定及平台完整性验证方法
US7565539B2 (en) * 2006-07-03 2009-07-21 Viasat Inc. Method and apparatus for secure communications
US7958368B2 (en) * 2006-07-14 2011-06-07 Microsoft Corporation Password-authenticated groups
US7865727B2 (en) * 2006-08-24 2011-01-04 Cisco Technology, Inc. Authentication for devices located in cable networks
US20080072292A1 (en) * 2006-09-01 2008-03-20 Narjala Ranjit S Secure device introduction with capabilities assessment
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US8707416B2 (en) * 2007-01-19 2014-04-22 Toshiba America Research, Inc. Bootstrapping kerberos from EAP (BKE)
US8307411B2 (en) * 2007-02-09 2012-11-06 Microsoft Corporation Generic framework for EAP
EP1965558B1 (en) * 2007-03-01 2011-10-19 Mitsubishi Electric Corporation Method, apparatuses and computer program product for robust digest authentication using two types of nonce values
US8817990B2 (en) * 2007-03-01 2014-08-26 Toshiba America Research, Inc. Kerberized handover keying improvements
US8381268B2 (en) * 2007-05-11 2013-02-19 Cisco Technology, Inc. Network authorization status notification
US8539233B2 (en) * 2007-05-24 2013-09-17 Microsoft Corporation Binding content licenses to portable storage devices
CN101340281B (zh) * 2007-07-02 2010-12-22 联想(北京)有限公司 针对在网络上进行安全登录输入的方法和***
KR100948604B1 (ko) * 2008-03-25 2010-03-24 한국전자통신연구원 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법
US8094812B1 (en) * 2007-09-28 2012-01-10 Juniper Networks, Inc. Updating stored passwords
CN102333100B (zh) * 2007-11-08 2013-11-06 华为技术有限公司 进行认证的方法及终端
US8347374B2 (en) * 2007-11-15 2013-01-01 Red Hat, Inc. Adding client authentication to networked communications
ES2589112T3 (es) * 2007-11-30 2016-11-10 Telefonaktiebolaget Lm Ericsson (Publ) Gestión de claves para comunicación segura
US8503679B2 (en) * 2008-01-23 2013-08-06 The Boeing Company Short message encryption
US8943560B2 (en) * 2008-05-28 2015-01-27 Microsoft Corporation Techniques to provision and manage a digital telephone to authenticate with a network
US8181861B2 (en) 2008-10-13 2012-05-22 Miri Systems, Llc Electronic transaction security system and method
CN102227734B (zh) * 2008-11-28 2014-02-26 国际商业机器公司 用于保护机密文件的客户端计算机和其服务器计算机以及其方法
EP2401711A4 (en) * 2009-02-25 2016-12-28 Miri Systems Llc PAYMENT SYSTEM AND METHOD
US8230231B2 (en) * 2009-04-14 2012-07-24 Microsoft Corporation One time password key ring for mobile computing device
IN2012DN03242A (zh) * 2009-10-05 2015-10-23 Miri Systems Llc
US8606234B2 (en) * 2009-12-31 2013-12-10 Symantec Corporation Methods and apparatus for provisioning devices with secrets
EP2604017B1 (en) * 2010-08-10 2017-10-04 Google Technology Holdings LLC System and method for cognizant transport layer security
US9645992B2 (en) 2010-08-21 2017-05-09 Oracle International Corporation Methods and apparatuses for interaction with web applications and web application data
CN102025748B (zh) * 2011-01-04 2013-01-23 深信服网络科技(深圳)有限公司 获取Kerberos认证方式的用户名的方法、装置和***
DE102011013562B3 (de) * 2011-03-10 2012-04-26 Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, vertreten durch den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik Verfahren zur Authentisierung, RF-Chip-Dokument, RF-Chip-Lesegerät und Computerprogrammprodukte
US8793780B2 (en) * 2011-04-11 2014-07-29 Blackberry Limited Mitigation of application-level distributed denial-of-service attacks
WO2013003535A1 (en) * 2011-06-28 2013-01-03 Interdigital Patent Holdings, Inc. Automated negotiation and selection of authentication protocols
US9183380B2 (en) 2011-10-11 2015-11-10 Citrix Systems, Inc. Secure execution of enterprise applications on mobile devices
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
WO2013115792A1 (en) * 2012-01-31 2013-08-08 Hewlett-Packard Development Company, L.P. Selection of a configuration link to receive activation data
US9722972B2 (en) 2012-02-26 2017-08-01 Oracle International Corporation Methods and apparatuses for secure communication
US9031050B2 (en) * 2012-04-17 2015-05-12 Qualcomm Incorporated Using a mobile device to enable another device to connect to a wireless network
US8997193B2 (en) * 2012-05-14 2015-03-31 Sap Se Single sign-on for disparate servers
US9774658B2 (en) 2012-10-12 2017-09-26 Citrix Systems, Inc. Orchestration framework for connected devices
US9392077B2 (en) 2012-10-12 2016-07-12 Citrix Systems, Inc. Coordinating a computing activity across applications and devices having multiple operation modes in an orchestration framework for connected devices
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US20140109176A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
EP2909715B1 (en) 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9166969B2 (en) * 2012-12-06 2015-10-20 Cisco Technology, Inc. Session certificates
US10051467B2 (en) 2013-01-23 2018-08-14 Microsoft Technology Licensing, Llc Restricted-use authentication codes
US9344422B2 (en) 2013-03-15 2016-05-17 Oracle International Corporation Method to modify android application life cycle to control its execution in a containerized workspace environment
WO2014145039A1 (en) 2013-03-15 2014-09-18 Oracle International Corporation Intra-computer protected communications between applications
US9129112B2 (en) * 2013-03-15 2015-09-08 Oracle International Corporation Methods, systems and machine-readable media for providing security services
WO2014154660A1 (en) * 2013-03-28 2014-10-02 Thomson Licensing Network system comprising a security management server and a home network, and method for including a device in the network system
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US9413736B2 (en) 2013-03-29 2016-08-09 Citrix Systems, Inc. Providing an enterprise application store
US9985850B2 (en) 2013-03-29 2018-05-29 Citrix Systems, Inc. Providing mobile device management functionalities
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9225516B1 (en) * 2013-10-03 2015-12-29 Whatsapp Inc. Combined authentication and encryption
US20150134966A1 (en) 2013-11-10 2015-05-14 Sypris Electronics, Llc Authentication System
WO2015179849A2 (en) * 2014-05-22 2015-11-26 Sypris Electronics, Llc Network authentication system with dynamic key generation
CN106663018B (zh) 2014-09-24 2020-09-15 甲骨文国际公司 修改移动设备应用生命周期的***、方法、介质和设备
US9998449B2 (en) * 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
US9760501B2 (en) 2014-11-05 2017-09-12 Google Inc. In-field smart device updates
US20160128104A1 (en) * 2014-11-05 2016-05-05 Google Inc. In-field smart device updates
CN104660583B (zh) * 2014-12-29 2018-05-29 国家电网公司 一种基于Web加密服务的加密服务方法
US9565172B2 (en) 2015-06-17 2017-02-07 Telefonaktiebolaget Lm Ericsson (Publ) Method for enabling a secure provisioning of a credential, and related wireless devices and servers
CA2990656A1 (en) * 2015-06-30 2017-01-05 Visa International Service Association Mutual authentication of confidential communication
WO2017001022A1 (en) 2015-07-02 2017-01-05 Telefonaktiebolaget Lm Ericsson (Publ) Method for obtaining initial access to a network, and related wireless devices and network nodes
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
US10575273B2 (en) * 2016-03-31 2020-02-25 Intel Corporation Registration of devices in secure domain
US10142323B2 (en) * 2016-04-11 2018-11-27 Huawei Technologies Co., Ltd. Activation of mobile devices in enterprise mobile management
US10742625B2 (en) * 2016-09-30 2020-08-11 Panasonic Avionics Corporation Automated delivery of security credentials to scheduled crew
EP4354926A2 (en) * 2016-12-08 2024-04-17 GN Hearing A/S Hearing device system, devices and method of creating a trusted bond between a hearing device and a user application
EP3937513A1 (en) 2016-12-08 2022-01-12 GN Hearing A/S Hearing system, devices and method of securing communication for a user application
US10574445B2 (en) * 2016-12-21 2020-02-25 Intel IP Corporation Range constrained device configuration
WO2018147878A1 (en) * 2017-02-13 2018-08-16 Hewlett-Packard Development Company, L.P. Credentialed encryption
US11075906B2 (en) * 2017-12-28 2021-07-27 Shoppertrak Rct Corporation Method and system for securing communications between a lead device and a secondary device
WO2020024021A1 (pt) * 2018-07-29 2020-02-06 Nouvenn Corporation Método de segurança para rede de comunicação de dados
US10791462B2 (en) * 2018-10-15 2020-09-29 Cisco Technology, Inc. Flexible device onboarding via bootstrap keys
TWI690820B (zh) * 2019-01-15 2020-04-11 臺灣網路認證股份有限公司 以嵌入式瀏覽器模組管理憑證之系統及方法
EP3796613B1 (en) * 2019-09-17 2023-04-12 Mastercard International Incorporated Techniques for repeat authentication
CN112688782B (zh) * 2019-10-17 2023-09-08 华为技术有限公司 一种组合式设备的远程证明方法及设备
US11870768B1 (en) 2020-04-10 2024-01-09 Cisco Technology, Inc. Certificate-based techniques to securely onboard a radio interface unit
WO2022157784A1 (en) 2021-01-25 2022-07-28 Volumez Technologies Ltd. Operating system based storage method and system
CN113378141A (zh) * 2021-08-12 2021-09-10 明品云(北京)数据科技有限公司 一种文本数据传输方法、***、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001011452A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Access management system and method employing secure credentials
WO2001054379A1 (en) * 2000-01-18 2001-07-26 Telefonaktiebolaget Lm Ericsson (Publ) A secure communication method for mobile ip
CN1433537A (zh) * 2000-04-24 2003-07-30 微软公司 动态网络中的安全链路管理

Family Cites Families (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04245818A (ja) * 1991-01-31 1992-09-02 Pioneer Electron Corp 情報伝送システム
JPH0515422A (ja) * 1991-07-12 1993-01-26 Matsushita Seiko Co Ltd 調理装置
JPH06261033A (ja) * 1993-03-08 1994-09-16 Nippon Telegr & Teleph Corp <Ntt> 認証制御方式
US7136903B1 (en) * 1996-11-22 2006-11-14 Mangosoft Intellectual Property, Inc. Internet-based shared file service with native PC client access and semantics and distributed access control
US7756986B2 (en) * 1998-06-30 2010-07-13 Emc Corporation Method and apparatus for providing data management for a storage system coupled to a network
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US6845395B1 (en) * 1999-06-30 2005-01-18 Emc Corporation Method and apparatus for identifying network devices on a storage network
US6892307B1 (en) * 1999-08-05 2005-05-10 Sun Microsystems, Inc. Single sign-on framework with trust-level mapping to authentication requirements
US6609198B1 (en) * 1999-08-05 2003-08-19 Sun Microsystems, Inc. Log-on service providing credential level change without loss of session continuity
US6782412B2 (en) * 1999-08-24 2004-08-24 Verizon Laboratories Inc. Systems and methods for providing unified multimedia communication services
US7085931B1 (en) * 1999-09-03 2006-08-01 Secure Computing Corporation Virtual smart card system and method
JP3437990B2 (ja) * 2000-03-17 2003-08-18 インターナショナル・ビジネス・マシーンズ・コーポレーション 通信方法、通信端末、無線アドホックネットワークおよび携帯電話
US6907546B1 (en) * 2000-03-27 2005-06-14 Accenture Llp Language-driven interface for an automated testing framework
US6636966B1 (en) * 2000-04-03 2003-10-21 Dphi Acquisitions, Inc. Digital rights management within an embedded storage device
WO2001084761A1 (en) * 2000-04-28 2001-11-08 Swisscom Mobile Ag Method for securing communications between a terminal and an additional user equipment
WO2001086386A2 (en) * 2000-05-10 2001-11-15 Tech Link International Entertainment Ltd. Security system for high level transactions between devices
JP2002041474A (ja) * 2000-07-31 2002-02-08 Oki Electric Ind Co Ltd 認証方法
FR2812504B1 (fr) * 2000-07-31 2003-01-24 At Sky Systeme de cryptage/decryptage "a la volee" pour la diffusion de donnees
US6912522B2 (en) * 2000-09-11 2005-06-28 Ablesoft, Inc. System, method and computer program product for optimization and acceleration of data transport and processing
US6807569B1 (en) * 2000-09-12 2004-10-19 Science Applications International Corporation Trusted and anonymous system and method for sharing threat data to industry assets
US20020116611A1 (en) * 2000-10-31 2002-08-22 Cornell Research Foundation, Inc. Secure distributed on-line certification authority
KR100353731B1 (ko) * 2000-11-01 2002-09-28 (주)니트 젠 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법
JP2002152317A (ja) * 2000-11-10 2002-05-24 Fujitsu Ltd 試験装置
SE0004338L (sv) * 2000-11-24 2002-05-25 Columbitech Ab Datanätbaserat system
US7114080B2 (en) * 2000-12-14 2006-09-26 Matsushita Electric Industrial Co., Ltd. Architecture for secure remote access and transmission using a generalized password scheme with biometric features
US7181762B2 (en) * 2001-01-17 2007-02-20 Arcot Systems, Inc. Apparatus for pre-authentication of users using one-time passwords
US6983381B2 (en) * 2001-01-17 2006-01-03 Arcot Systems, Inc. Methods for pre-authentication of users using one-time passwords
US20020161826A1 (en) * 2001-01-25 2002-10-31 Carlos Arteaga System and method for remote communication transactions
JP4437370B2 (ja) * 2001-01-26 2010-03-24 大阪瓦斯株式会社 認証方法、認証システム、通信装置、プログラム、及び記録媒体
US7243370B2 (en) * 2001-06-14 2007-07-10 Microsoft Corporation Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication
US6944678B2 (en) 2001-06-18 2005-09-13 Transtech Networks Usa, Inc. Content-aware application switch and methods thereof
US6954792B2 (en) * 2001-06-29 2005-10-11 Sun Microsystems, Inc. Pluggable authentication and access control for a messaging system
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
GB2381423B (en) * 2001-10-26 2004-09-15 Ericsson Telefon Ab L M Addressing mechanisms in mobile IP
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US20030084171A1 (en) 2001-10-29 2003-05-01 Sun Microsystems, Inc., A Delaware Corporation User access control to distributed resources on a data communications network
JP2003150735A (ja) * 2001-11-13 2003-05-23 Hitachi Ltd 電子証明書システム
KR100420265B1 (ko) * 2001-11-15 2004-03-02 한국전자통신연구원 무선 인터넷 망간 접속 방법
US6996714B1 (en) * 2001-12-14 2006-02-07 Cisco Technology, Inc. Wireless authentication protocol
US7313816B2 (en) * 2001-12-17 2007-12-25 One Touch Systems, Inc. Method and system for authenticating a user in a web-based environment
US7996888B2 (en) * 2002-01-11 2011-08-09 Nokia Corporation Virtual identity apparatus and method for using same
US8184603B2 (en) * 2002-01-31 2012-05-22 Lgc Wireless, Llc Communication system having a community wireless local area network for voice and high speed data communication
US20030177390A1 (en) * 2002-03-15 2003-09-18 Rakesh Radhakrishnan Securing applications based on application infrastructure security techniques
US6993683B2 (en) * 2002-05-10 2006-01-31 Microsoft Corporation Analysis of pipelined networks
US7523490B2 (en) * 2002-05-15 2009-04-21 Microsoft Corporation Session key security protocol
US7529933B2 (en) * 2002-05-30 2009-05-05 Microsoft Corporation TLS tunneling
US7275156B2 (en) * 2002-08-30 2007-09-25 Xerox Corporation Method and apparatus for establishing and using a secure credential infrastructure
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US7313618B2 (en) * 2002-10-31 2007-12-25 Sap Aktiengesellschaft Network architecture using firewalls
AU2003276588A1 (en) * 2002-11-18 2004-06-15 Nokia Corporation Faster authentication with parallel message processing
US7587598B2 (en) * 2002-11-19 2009-09-08 Toshiba America Research, Inc. Interlayer fast authentication or re-authentication for network communication
US8387106B2 (en) * 2002-12-11 2013-02-26 Broadcom Corporation Method and system for secure linking with authentication and authorization in a media exchange network
US7685295B2 (en) * 2002-12-19 2010-03-23 Chantry Networks Inc. Wireless local area communication network system and method
JP4446330B2 (ja) * 2003-03-19 2010-04-07 株式会社リコー 通信装置
US7103772B2 (en) * 2003-05-02 2006-09-05 Giritech A/S Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers
AU2003227747A1 (en) * 2003-05-12 2004-11-26 Docomo Communications Laboratories Europe Gmbh Network security method and system
US7275157B2 (en) * 2003-05-27 2007-09-25 Cisco Technology, Inc. Facilitating 802.11 roaming by pre-establishing session keys
US7519989B2 (en) * 2003-07-17 2009-04-14 Av Thenex Inc. Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions
JP4504130B2 (ja) * 2003-07-25 2010-07-14 株式会社リコー 通信装置、通信システム、証明書送信方法及びプログラム
US20050114713A1 (en) * 2003-11-25 2005-05-26 Shawn Beckman Automated subscription and purchasing service for a data computing device
US20050120213A1 (en) * 2003-12-01 2005-06-02 Cisco Technology, Inc. System and method for provisioning and authenticating via a network
US7181493B2 (en) * 2003-12-23 2007-02-20 Unisys Corporation Platform independent model-based framework for exchanging information in the justice system
JP3918827B2 (ja) * 2004-01-21 2007-05-23 株式会社日立製作所 セキュアリモートアクセスシステム
US7860978B2 (en) * 2004-01-22 2010-12-28 Toshiba America Research, Inc. Establishing a secure tunnel to access router
JP2005259111A (ja) * 2004-01-26 2005-09-22 Ricoh Co Ltd ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体
US20050188211A1 (en) * 2004-02-19 2005-08-25 Scott Steven J. IP for switch based ACL's
US20060067272A1 (en) * 2004-09-30 2006-03-30 Wang Huayan A Method and system for fast roaming of a mobile unit in a wireless network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2001011452A2 (en) * 1999-08-05 2001-02-15 Sun Microsystems, Inc. Access management system and method employing secure credentials
WO2001054379A1 (en) * 2000-01-18 2001-07-26 Telefonaktiebolaget Lm Ericsson (Publ) A secure communication method for mobile ip
CN1433537A (zh) * 2000-04-24 2003-07-30 微软公司 动态网络中的安全链路管理

Also Published As

Publication number Publication date
JP2005269656A (ja) 2005-09-29
EP2105819B1 (en) 2016-07-13
KR101130356B1 (ko) 2012-03-28
EP1577736B1 (en) 2018-04-25
JP4746333B2 (ja) 2011-08-10
EP1577736A3 (en) 2006-12-27
KR20060044410A (ko) 2006-05-16
EP2105819A1 (en) 2009-09-30
ES2595105T3 (es) 2016-12-27
CN1722658A (zh) 2006-01-18
US20050210252A1 (en) 2005-09-22
CN101764803A (zh) 2010-06-30
US7549048B2 (en) 2009-06-16
EP1577736A2 (en) 2005-09-21

Similar Documents

Publication Publication Date Title
CN101764803B (zh) 参与与计算***的认证的方法
US10554393B2 (en) Universal secure messaging for cryptographic modules
KR100990320B1 (ko) 공용 서버로부터 콘텐츠를 요청할 때 클라이언트프라이버시를 제공하는 방법 및 시스템
EP1589695B1 (en) A method for the access of the mobile terminal to the WLAN and for the data communication via the wireless link securely
JP4599852B2 (ja) データ通信装置および方法、並びにプログラム
US7334255B2 (en) System and method for controlling access to multiple public networks and for controlling access to multiple private networks
CN108599925B (zh) 一种基于量子通信网络的改进型aka身份认证***和方法
US7688975B2 (en) Method and apparatus for dynamic generation of symmetric encryption keys and exchange of dynamic symmetric key infrastructure
MXPA04007547A (es) Sistema y metodo para proporcionar un protocolo de manejo de clave con verificacion de cliente de autorizacion.
KR100842267B1 (ko) 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법
JP3914193B2 (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
CN112035820B (zh) 一种用于Kerberos加密环境下的数据解析方法
Woo et al. Composing kerberos and multimedia internet keying (MIKEY) for authenticatedtransport of group keys
Boonkrong et al. Authentication and key establishment protocols
JP2007043750A (ja) 認証を得て暗号通信を行う方法、認証システムおよび方法
Bhandari et al. Analysis of Windows Authentication Protocols: NTLM and Kerberos
Sriramulu et al. A Secure Network Communication Based on Kerberos & MD5

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
ASS Succession or assignment of patent right

Owner name: MICROSOFT TECHNOLOGY LICENSING LLC

Free format text: FORMER OWNER: MICROSOFT CORP.

Effective date: 20150429

C41 Transfer of patent application or patent right or utility model
TR01 Transfer of patent right

Effective date of registration: 20150429

Address after: Washington State

Patentee after: Micro soft technique license Co., Ltd

Address before: Washington State

Patentee before: Microsoft Corp.