KR20050002628A - 보안 프로토콜의 자동 협상 시스템 및 방법 - Google Patents
보안 프로토콜의 자동 협상 시스템 및 방법 Download PDFInfo
- Publication number
- KR20050002628A KR20050002628A KR1020040049661A KR20040049661A KR20050002628A KR 20050002628 A KR20050002628 A KR 20050002628A KR 1020040049661 A KR1020040049661 A KR 1020040049661A KR 20040049661 A KR20040049661 A KR 20040049661A KR 20050002628 A KR20050002628 A KR 20050002628A
- Authority
- KR
- South Korea
- Prior art keywords
- security
- protocol
- node
- external
- internal
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Multi Processors (AREA)
- Small-Scale Networks (AREA)
Abstract
프로토콜 협상 플랫폼에 의해 보안-인에이블된 도메인 외측에 존재하는 컴퓨터 또는 기타 노드가 상기한 도메인 내의 서버 또는 기타 노드와 지원가능한 보안 프로토콜을 협상할 수 있게 된다. Active Directory™, 커베로스(Kerberos) 및 기타 보안 네트워크 기술에 의해 도메인 내의 에이전트 또는 기타 노드들이 디폴트 프로토콜, 키, 인증서 또는 기타 인증 기법을 이용하여 서로 안전하게 통신할 수 있게 된다. 종래의 익스터널 에이전트는 상기한 도메인에 투명한(transparent) 방식으로 진입할 수 있는 방법이 없었으며, 상기한 도메인 경계에서 이용하기 위한 프로토콜을 수동으로 선택해야 했다. 본 발명에서는 익스터널 에이전트 또는 인터널 에이전트 어느 것이나 상기한 도메인 경계에서의 안전한 세션 확립을 위한 시도를 개시하여, 수신측 머신에 한 세트의 지원가능한 프로토콜을 포함하는 요청을 전송할 수 있다. 그러면 협상 엔진이 해당 세션의 시작 또는 끝에서 상기한 에이전트, 노드 또는 머신들에서의 이용가능한 프로토콜을 비교하여 호환가능한 프로토콜이 발견된 경우 선택하게 된다. 인터널 에이전트 및 익스터널 에이전트는 마찬가지로 키, 인증서 또는 기타 메커니즘을 이용하여 서로 인증할 수 있다.
Description
본 발명은 네트워크 컴퓨팅 기술에 관한 것으로, 특히 보안-인에이블된 도메인과 하나 이상의 익스터널 노드 사이의 보안 프로토콜의 자동 협상에 관한 것이다.
네트워킹 기술의 발전으로 네트워크 관리자 등은 네트워크 및 기타 설비(installation)에 대한 보안 컨트롤을 보다 정교하게 유지할 수 있게 되었다. 예를 들어, Microsoft Windows™NT 2000 및 관련 제품은 관리자가 Active Directory™(AD) 구조를 이용하여 보안-인에이블된 네트워크 도메인을 전개(deploy)할 수 있도록 한다. 마찬가지로 공지의 커베로스(Kerberos) 네트워크 표준도 네트워크 내의 노드들이 키/인증 플랫폼을 이용하여 서로 인증할 수 있도록 한다. 이러한 오프레이팅 기술을 이용함으로써, 네트워크 관리자는 네트워크 서버로부터 예를 들어 규칙들, 애플리케이션, 패치, 드라이브 및 기타 자원들을, 안전한 방식으로 개별 워크스테이션 또는 기타 클라이언트에 대해 일률적인 설치를 위해 푸시(push)할 수 있다. 상기한 보안-인에이블된 도메인 내의 모든 머신들은 이들 및 기타 타입의 데이터의 전송을 투명(transparent)한 방식으로 식별 및 인증할 수 있다.
그러나, 워크스테이션에 대해 규칙, 애플리케이션 또는 기타 자원을 전달하는 것은 노드가 상기한 보안-인에이블된 도메인 외측에 존재하는 경우에는 훨씬 어려워진다. 예를 들어, 한 회사 내의 LAN 상에 수개의 컴퓨터가 존재하는 한편, Active Directory™ 또는 기타 보안-인에이블된 도메인에 속하지 않는 원격지 내의 컴퓨터와도 상호작용하는 경우가 있을 수 있다. 상기한 도메인에 대해 인터널인 머신과 그 외측의 머신 사이의 접속 확립에는 상호 지원되는 보안 프로토콜에 대한 합의가 있어야 하므로, 보안 도메인의 경계에서 통신하는 것은 보다 복잡하게 된다.
따라서, 시스템 관리자 등은 세션이 시작되기 전에 인터널 머신과 익스터널 머신 사이에 호환되는 프로토콜을 식별함으로써 익스터널 에이전트 또는 노드의 보안-인에이블된 도메인으로의 진입(entry)을 구성하기 위해 시도해야만 한다. 예를 들어, 익스터널 에이전트는 TLS(transport layer security) 프로토콜, 커베로스-기반 프로토콜, SSL(secure socket layer) 또는 기타 프로토콜을 이용하여 상기한 보안-인에이블된 도메인 내의 관리 서버와 통신하도록 구성될 수 있다. 상기한 머신은 나아가 그 프로토콜, 즉 디폴트 프로토콜 내에 프로토콜 장애(failure)를 표시하고 상기한 익스터널 노드 또는 에이전트에 대해 프로토콜의 스위칭을 요청하거나 또는 다른 응답을 할 수도 있다. 따라서, 보안, 트랜스퍼 및 기타 프로토콜의 수동 세팅 또는 조정이 필요하며, 이 프로세스는 많은 시간이 소요될 뿐만 아니라 에러를 유발할 수 있다. 그 외에도 다른 문제가 존재할 수 있다.
도 1은 본 발명의 실시예가 동작될 수 있는 네트워크 구조를 예시한 도면.
도 2는 본 발명의 실시예에 따른 인터널 노드와 익스터널 노드 사이의 협상 프로세스를 예시한 도면.
도 3은 본 발명의 실시예에 따른 프로토콜 테이블들 사이의 비교를 예시한 도면.
도 4는 본 발명의 실시예에 따른 전반적인 프로토콜 협상 프로세싱을 예시한 도면.
<도면의 주요 부분에 대한 부호의 설명>
102: 보안-인에이블된 도메인
104: 매니저
106: 인터널 에이전트
108: 인증서
110: 인증서 기관
112: 인터넷
114: 익스터널 에이전트
116: 인증서
본 발명은 전술한 종래기술의 문제점을 해결한 것으로, 일 태양에 따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로, 익스터널 에이전트 또는 노드와의 안전한 통신이 확립되고 식별 인증될 수 있도록 한 보안 프로토콜의 자동 협상 시스템 및 방법이 제공된다. 본 발명의 일 태양에 따르면, 보안-인에이블된 도메인 내의 네트워크 매니저 또는 기타 에이전트 또는 노드가 익스터널 에이전트 또는 노드와의 안전한 접속을 확립하기 위한 시도를 개시할 수 있다. 상기한 요청은 상기한 매니저가 이용가능한 한 세트의 보안 프로토콜을 나타내는 데이터 필드를 포함하고 있다. 익스터널 에이전트는 상기한 요청을 수신하고 상기한 인터널 에이전트 또는 매니저가 이용가능한 프로토콜을 상기한 익스터널 에이전트에 의해 지원되는 한 세트의 프로토콜과 비교한다. 이용가능한 프로토콜들 사이에 매칭이 발견되면, 선택된 프로토콜에 기초하여 통신이 진행되게 된다. 본 실시예에서, 상기한 각각의 익스터널 에이전트 및 인터널 에이전트는 키, 인증서 또는 기타 인증 메커니즘을 통해 서로 인증할 수 있다.
<실시예>
도 1은 본 발명의 실시예에 따른 프로토콜 협상 플랫폼 및 방법이 수행될 수 있는 네트워크 구조를 예시한 것이다. 도시된 바와 같이, 예시된 실시예에서는, 한 세트의 클라이언트, 서버, 에이전트 또는 기타 노드 또는 머신들이 보안-인에이블된 도메인(102)에서 동작한다. 보안-인에이블된 도메인은 본 실시예에서는 예를 들어, Microsoft Windows™ Active Directory™, 커베로스(Kerberos) 또는 기타 인증서-기반 또는 키-기반 도메인, 또는 기타 폐쇄 또는 안전 분산 디렉토리 또는 기타 환경이거나 또는 이들을 포함할 수 있다. 상기한 보안-인에이블된 도메인 내에는 예시를 위해 인터널 매니저(104)가 존재하며, 이것은 본 실시예에서 한 세트의 인터널 에이전트(106)(A1, A2, ..., AN으로 도시됨; N은 임의의 수) 뿐만 아니라 서버 또는 기타 노드이거나 이들을 포함할 수 있다.
본 실시예에서 상기한 세트의 인터널 에이전트(106)는 추가의 서버, 워크스테이션 또는 기타 클라이언트, 또는 상기한 보안-인에이블된 도메인(102) 내에서 동작하며 상기한 인터널 매니저(104)와 통신하는 기타 인터널 에이전트 또는 노드로 구성되거나 이들을 포함할 수 있다. 본 실시예에서 상기한 인터널 매니저(104)는 상기한 세트의 인터널 에이전트(106)에 대하여 전송 또는 "푸싱" 네트워크 규칙 또는 기타 데이터와 같은 네트워크 관리 기능을 스케줄링 또는 수행하며, 상기한 기타 데이터로는 스토리지(예컨대, RAID 정책, 장애(failover) 평가기준, 메모리 한계), 대역폭 이용에 관한 동작 가이드라인 또는 기타의 규칙 또는 데이터가 있다. 이들 또는 기타 타입의 데이터를 통신하는 경우, 상기한 인터널 매니저(104) 및 상기한 세트의 인터널 에이전트(106)는 보안-인에이블된 도메인의 보안 자원을 이용하여 네트워크의 완전성(integrity) 및 규칙 및 기타 데이터의 배포를 담보한다.
본 실시예에서는 상기한 보안-인에이블된 도메인(102)은 예컨대 인증서 108과 같은 인증서를 이용하여 허가 서비스를 제공할 수 있으며, 상기한 인증서는 X.509 또는 기타 표준 또는 포맷에 따라서 구성된 인증서이거나 또는 이를 포함할 수 있다. 키 또는 기타의 메커니즘이 마찬가지로 사용될 수도 있다. 도시된 바와같이, 인증서(108)는 인터널 매니저(104)에 대한 허가 데이터와 연관되어 있거나 또는 이를 제공할 수도 있다. 상기한 세트의 인터널 에이전트(106) 중 어느 하나는 인증서(108)를 검증(verification)을 위해 인증서 기관(110)에 통신함으로써 인터널 매니저(104)로부터 수신한 규칙, 명령 또는 기타 데이터를 허가할 수 있다. 인증서 기관(110)은 그 자신이 보안-인에이블된 도메인(102)의 내부에 위치하거나 또는 도시된 바와 같이 상기한 보안-인에이블된 도메인(102)의 외측에 위치할 수도 있다.
본 실시예에서, 인증서 기관(110)은 인증서(108) 또는 기타 허가 메커니즘을 판독 및 복호하여 그 결과를 상기한 세트의 인터널 에이전트(106) 또는 다른 노드들에 대해 리턴하도록 구성된 서버 또는 기타 노드이거나 또는 이들을 포함할 수 있다. 상기한 세트의 인터널 에이전트(106) 내의 각 노드들은 마찬가지로 상기한 보안-인에이블된 도메인(102)과 호환되는 인증서, 키 또는 기타 허가 데이터와 연관되어 있을 수 있다. 상기한 인터널 에이전트(106) 내의 노드들은 마찬가지로 인증서 또는 기타 메커니즘을 이용하여 서로 통신하여 상호 허가할 수도 있다.
도 1에 도시된 실시예에서, 익스터널 에이전트(114)는 마찬가지로 통신 네트워크(112)를 통해 인터널 매니저(104)와 통신하도록 구성될 수도 있다. 상기한 익스터널 에이전트(114)도 서버, 워크스테이션 또는 기타 노드 또는 자원이거나 또는 이들을 포함할 수 있다. 또한, 상기한 익스터널 에이전트(114)는 마찬가지로 허가를 위해 상기한 익스터널 에이전트(114)를 식별하는 인증서(116)와 연관되어 있을 수도 있다. 본 실시예에서, 익스터널 에이전트(114)가 인터널 매니저(104) 또는기타 인터널 노드와 통신을 수행할 수 있는 통신 네트워크(112)로는, 예를 들어 인터넷, 인트라넷, LAN, WAN, MAN(metropolitan area network), SAN, 프레임 릴레이 접속, AIN(Advanced Intelligent Network) 접속, SONET(synchronous optical network) 접속, 디지털 T1,T3,E1,E3 라인, DDS(Digital Data Service) 접속, ATM 접속, FDDI(Fiber Distributed Data Interface), CDDI(Copper Distributed Data Interface) 기타 유선, 무선 또는 광학 접속 중 어느 하나 이상이거나, 이들을 포함하거나 이들과 인터페이스할 수 있다. 익스터널 에이전트(114)는 본 실시예에서 워크스테이션, 서버, 무선 네트워크-인에이블된 장치, 또는 네트워크 통신용으로 구성된 기타 노드, 에이전트 또는 플랫폼이거나 또는 이들을 포함할 수 있다.
종래의 크로스-도메인 통신 구현과 달리, 본 발명에 따르면 상기한 익스터널 에이전트(114)는 인터널 매니저(104)와 컨택을 개시하여 상호 호환되는 프로토콜에 기초하여 자동 또는 투명한 방식으로 호환 프로토콜을 서로 선택함으로써 안전 접속을 확립할 수 있다. 도 2에 예시된 바와 같이, 익스터널 에이전트(114)에서 실행되는 익스터널 애플리케이션(130)은 익스터널 협상 엔진(126)을 통해 인터널 매니저와 컨택을 개시할 수 있다. 익스터널 애플리케이션(130)은 데이터 백업 스케줄러, 방화벽, 바이러스 보호 또는 기타 애플리케이션 등과 같은 시스템 유틸리티, 생산성(productivity) 또는 기타 애플리케이션이거나 이들을 포함할 수 있다. 익스터널 애플리케이션(130)은 예를 들어 각종의 태스크를 수행하여 인터널 매니저(104)와 상기한 통신을 수행하기 위한 사용자 프로파일, 업데이트 또는 기타 데이터를 필요로 할 수 있다.
익스터널 협상 엔진(126)은 익스터널 애플리케이션(130)에 의해 요청된 통신을 처리 및 관리하여 상기한 인터널 매니저(104)에 대한 상호 호환가능한 통신 링크를 보안-인에이블된 도메인(102)에 확립할 수 있다. 본 실시예에서는 도시된 바와 같이 상기한 익스터널 협상 엔진(126)은 협상 모듈(1180을 개시 및 관리할 수 있으며, 이것은 공지된 SPNEGO(Simple and Protected GSS-API Negotiation) 프로토콜의 구현예이다. 다른 프로토콜이 사용될 수도 있다. 본 실시예에서, 상기한 협상 모듈(118)은 익스터널 에이전트(114)의 오퍼레이팅 시스템인 예를 들어 애플리케이션 프로그램 인터페이스(API) 또는 기타 메커니즘을 통해 액세스, 개시 또는 발생될 수 있다.
익스터널 협상 엔진(126)은 마찬가지로 프로토콜 협상 프로세스를 실행하기 위해 익스터널 에이전트(114)에 의해 채용될 수 있는 기타 채널 또는 메시지-기반 채널을 지시하는 익스터널 트랜스포트 지정자(120)(specifier)를 포함 또는 발생시킬 수 있다. 예를 들어, 본 실시예에서 익스터널 트랜스포트 지정자(120)는 Microsoft .NET 아키텍처의 일부분으로서 SSPI(Security Support Provider Interface) 프로토콜을 지정하여, 익스터널 애플리케이션(130) 또는 기타 소프트웨어 또는 모듈들이 예컨대 DLL(dynamic link libraries) 또는 표준 암호(cryptographic) 또는 기타 인코딩 방식을 지원하는 기타 자원에 액세스할 수 있도록 할 수 있다. 익스터널 트랜스포트 지정자(120) 내에 다른 프로토콜이 사용 또는 지정될 수도 있다. 익스터널 협상 엔진(126)은 도 2에 도시된 바와 같이 결과적으로 상기한 데이터 또는 기타 데이터를 지시하는 데이터그램(datagram)을 인터널 매니저(104)에 접속된 인터널 협상 엔진(128)에 통신할 수 있다.
인터널 협상 엔진(128)은 마찬가지로 협상 모듈(122) 및 인터널 트랜스포트 지정자(124)를 포함하거나 또는 이들을 인터페이스할 수 있다. 인터널 협상 엔진(128)은 또한 인터널 매니저(104)에서 실행되거나 또는 인터널 매니저(104)에 의해 액세스된 인터널 애플리케이션(132)과 통신할 수 있다. 예를 들어, 인터널 애플리케이션(132)은 시스템 관리, 생산성 또는 기타 애플리케이션이거나 또는 이를 포함할 수 있다. 상기한 인터널 협상 엔진(128)은 인터널 매니저(104)와의 통신 확립 요청을 수신하면, 예를 들어 상기한 SSPI 프로토콜을 이용하여 채널 통신을 확인(confirm)함으로써 인터널 트랜스포트 지정자(124)를 통해 익스터널 에이전트(114)와 메시지-기반 또는 기타 채널을 확립할 수 있다.
익스터널 에이전트(114)와 인터널 매니저104) 사이에 예비(preliminary) 채널이 확립된 상태에서, 상기한 익스터널 협상 엔진(126) 및 익스터널 협상 엔진(128)은 프로토콜 협상 및 감축(reduction)을 개시할 수 있다. 본 실시예에서, 익스터널 에이전트(114)는 도 3에 도시된 익스터널 프로토콜 테이블(134)을 익스터널 매니저(104)에 전송한다. 상기한 익스터널 프로토콜 테이블(134)은 익스터널 에이전트(114)가 구성된 프로토콜을 지정할 수 있다. 상기한 인터널 매니저(104)가 익스터널 프로토콜 테이블(134)을 수신하면, 상기한 테이블(134)은 인터널 매니저(104)에서 이용가능한 한 세트의 보안 프로토콜을 나타내는 인터널 프로토콜 테이블(136)과 비교된다. 상기한 익스터널 프로토콜 테이블(134)과 인터널 프로토콜 테이블(136) 중 어느 하나는 예를 들어 TLS(transport layersecurity), SSL(secure socket layer), 커베로스(Kerberos), IPSec(secure IP) 또는 기타 이용가능한 프로토콜 또는 표준을 나타내는 필드를 포함하고 있다. 상기한 인터널 매니저(104)에 접속된 협상 엔진(128)은 도 3에 도시된 바와 같이 익스터널 에이전트(114) 및 인터널 매니저(104)에 의해 상호 지원되는 하나 이상의 프로토콜을 식별하게 된다.
본 실시예에서, 협상 엔진(128)은 마찬가지로 프로토콜 비교를 위해 익스터널 에이전트(114)에 접속된 협상 엔진(126)에 인터널 프로토콜 테이블(136)을 통신한다. 협상 엔진(126) 및 협상 엔진(128)은 그 결과 보안-인에이블된 도메인에서 안전 통신을 확립하기 위하여 서로 이용가능한 프로토콜의 선택을 협상한다. 예를 들어, 익스터널 에이전트(114)와 인터널 매니저(104) 양방에 단지 하나의 공통 프로토콜이 이용가능하다면, 익스터널 에이전트(114) 및 인터널 매니저(104)는 TLS 또는 기타 프로토콜 등 해당 프로토콜을 이용하여 세션을 셋업하는데 합의할 것이다. 협상 엔진(126) 및 협상 엔진(128)이 공통 프로토콜이 발견되지 않을 것이라는데 합의한다면, 크로스-도메인 통신을 확립하기 위한 시도는 종료될 것이다. 반대로, 협상 엔진(126) 및 협상 엔진(128)이 다수의 프로토콜이 공통인 것을 확인한다면, 전송(transfer) 속도, 키의 비트 깊이(depth) 또는 기타 보안 메커니즘 등의 네트워크 평가기준 또는 기타의 팩터에 기초하여 사용할 하나의 프로토콜을 선택할 것이다.
상호 호환되는 프로토콜을 위치시켜 두면, 익스터널 에이전트(114)와 인터널 매니저(104) 사이에는 안전 세션이 확립될 것이다. 본 실시예에서는 보안을 강화하기 위하여 익스터널 에이전트(114) 및 인터널 매니저(104)는 각각 마찬가지로 인증(authentication) 단계를 수행하여 상대방 노드의 ID, 특권(privilege) 레벨 또는 기타 보안 상세를 검증(verify)할 것이다. 도 1에 도시된 바와 같이, 이것은 인증서 또는 기타 보안 메커니즘을 이용하여 수행될 수 있다. 익스터널 에이전트(114)는 인증서(108)를 인증서 기관(110)에 통신함으로써 인터널 매니저(104)를 인증할 수 있다. 반대로, 인터널 매니저(104)는 인증서(116)를 인증서 기관(110)에 통신함으로써 익스터널 에이전트(114)를 인증할 수 있다. 기타의 보안 메커니즘이 이용될 수도 있다.
본 실시예에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 교환되는 데이터의 타입 또는 콘텐트는 이들 2개 노드 사이의 상호 인증에 종속할 것이다. 예를 들어, 네트워크 관리 규칙 또는 파라미터에의 액세스는 인터널 노드 또는 익스터널 노드에 대해 예비되어 있고 단지 주어진 액세스의 특권 레벨만을 지시할 수도 있다. 기타의 인증 규칙 또는 평가기준이 이용될 수도 있다. 동작상의 보안 프로토콜이 확립되고 인증 처리가 완료된 후, 상기한 익스터널 에이전트(114)와 인터널 매니저(104)는 데이터, 애플리케이션, 규칙 또는 기타 정보를 교환하게 된다. 트래픽이 완료되면, 협상 엔진(126) 및 협상 엔진(128)은 상기한 통신 링크를 해제(release) 또는 종료(terminate)한다.
도 4는 본 발명의 실시예에 따른 전반적인 네트워크 협상 프로세싱을 예시하고 있다. 단계 402에서 프로세싱이 개시된다. 단계 404에서, 익스터널 에이전트(114), 인터널 매니저(104) 또는 기타 클라이언트, 에이전트 또는 노드에의해 보안-인에이블된 네트워크(102)에서의 안전 접속 확립을 위한 요청이 생성된다. 단계 406에서, 상기 안전 접속 확립 요청이 수신측 노드에 전송되며, 여기서 수신측 노드는 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있으며, 상기한 요청은 전송측 노드와 호환되는 제1 프로토콜 세트를 포함하고 있다. 단계 408에서, 상기 요청이 수신측 노드에 수신된다. 단계 410에서, 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있는 수신측 노드가 상기 제1 프로토콜 세트를 상기 수신측 노드의 제2 프로토콜 세트와 비교하여, 이용가능한 프로토콜들 중에서 매칭 여부를 판정한다.
상기한 제1 프로토콜 세트와 제2 프로토콜 세트 사이에 매칭이 발견되면, 상기한 프로세싱은 단계 412로 진행하여, 하나 이상의 매칭 프로토콜이 발견되었는지를 판정한다. 하나 이상의 매칭 프로토콜이 발견되었다면, 단계 414로 프로세싱을 진행하여, 전송 속도, 키의 비트 깊이 또는 기타 보안 메커니즘 등의 프로토콜 평가기준 또는 기타의 팩터에 기초하여 매칭 프로토콜들 중에서 사용할 하나의 프로토콜을 선택한다. 그런 다음, 단계 416으로 프로세싱을 진행하여, 선택된 프로토콜에 기초하여 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션이 개시된다. 마찬가지로, 단계 412에서 단지 하나의 매칭 프로토콜이 발견된 경우에도, 단계 416으로 프로세싱을 진행하여, 안전 접속 또는 세션이 개시될 수 있다. 예를 들어, 본 실시예에서 지정된 포트들은 상기한 TCP/IP 또는 기타 통신 또는 기타 프로토콜 아래에서 개방될 것이다.
단계 418에서, 상기한 매칭 프로토콜에 따라 핸드쉐이크 및 기타 단계를 진행함으로써 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 프로토콜-특정 교환이 개시되게 된다. 단계 420에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 중 어느 하나 또는 양방은 [상기한 익스터널 에이전트(114)의] 대응하는 인증서(116) 또는 [상기한 인터널 매니저(104)의] 대응하는 인증서(108)를 인증서 기관(110)에 절절하게 전송함으로써 대응하는 상대방 노드를 인증할 수 있다. 본 실시예에서, 상기한 인증서 116 또는 인증서 108 또는 기타 보안 데이터는 X.509 표준 또는 기타 표준 또는 포맷에 합치하는 인증서 오브젝트이거나 이들을 포함할 수 있다. 적절한 인증이 완료되면, 단계 422로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션을 수행하게 된다. 예를 들어, 이들 2개 노드 사이에서 시스템 관리 또는 기타의 목적으로 네트워크 또는 기타 규칙이 통신될 수도 있다.
안전 세션이 완료되면 단계 424로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이의 안전 접속을 종료 또는 해제한다. 단계 426에서, 프로세싱이 종료되거나 반복 수행되어, 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다. 마찬가지로, 단계 410에서 매칭 프로토콜이 확인되지 않은 것으로 판정된 경우, 단계 426으로 진행하여 프로세싱을 종료하거나 반복 수행하거나 또는 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다.
전술한 설명은 예시를 위한 것일 뿐이며 본 기술분야의 전문가라면 구성 및구현시 각종의 수정이 가능할 것이다. 예를 들어, 본 발명을 하나의 익스터널 에이전트(114)와 관련하여 설명하였지만, 복수의 익스터널 에이전트 또는 노드가 보안-인에이블된 도메인(102) 내의 인터널 매니저(104) 또는 기타 클라이언트 또는 노드와의 매칭 프로토콜 협상을 자동적으로 수행하도록 구성할 수도 있다. 마찬가지로, 인증 메커니즘에 있어서도 상기한 메커니즘이 X.509 또는 기타 표준을 이용하여 하나의 인증 엔티티(110)에 의해 지원되고 있는 것으로 설명하였지만, 다수의 인증 엔티티 또는 기타 인증 또는 허가 플랫폼이 채용될 수도 있다. 그밖에도, 하드웨어, 소프트웨어 또는 기타 자원들을 하나만 도시/설명하였지만 이들이 분산되어 있을 수도 있으며, 마찬가지로 분산되어 있는 것으로 도시/설명된 자원들이 결합되어 있을 수도 있다.
또한, 보안-인에이블된 도메인(102)에 대해 익스터널인 일방 또는 타방의 노드 또는 에이전트와, 상기한 도메인에 대해 인터널인 노드 또는 에이전트가 보안 프로토콜의 협상을 개시하는 것으로 설명하였지만, 본 발명에 따라 구성된 임의의 노드 또는 에이전트는 상기한 도메인에 대해 익스터널 또는 인터널인지에 무관하게 프로토콜 프로세싱을 개시할 수 있다. 마찬가지로, 인터널 및 익스터널 에이전트의 어느 일방 또는 양방이 상대방 에이전트 또는 노드에 대한 인증을 개시할 수도 있다. 따라서, 본 발명의 범위는 특허청구범위에 의해서만 제한되는 것으로 이해되어야 한다.
전술한 바와 같이, 본 발명의 보안 프로토콜의 자동 협상 시스템 및 방법에따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로 익스터널 에이전트 또는 노드와의 안전한 통신 확립 및 인증이 가능하게 된다.
Claims (62)
- 보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법에 있어서,인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제5항에 있어서,상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제6항에 있어서,상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로하는 보안 프로토콜 자동 협상 방법.
- 제8항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제10항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료(terminate)하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제1항에 있어서,상기 인터널 노드 및 상기 익스터널 노드 중 적어도 하나를 허가하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 제15항에 있어서,상기 허가 단계는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
- 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 대한 제1 인터페이스;보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 대한 제2 인터페이스; 및상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 엔진을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제21항에 있어서,상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제22항에 있어서,상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제24항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제26항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제17항에 있어서,상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제31항에 있어서,상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 인터페이스하기 위한 제1 인터페이스 수단;보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 인터페이스하기 위한 제2 인터페이스 수단; 및상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 수단을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제36항에 있어서,상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제37항에 있어서,상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제38항에 있어서,상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제40항에 있어서,상기 보안 허가 요청은 상기 인터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제42항에 있어서,상기 보안 허가 요청은 상기 익스터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제33항에 있어서,상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 제47항에 있어서,상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
- 보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법을 실행하기 위한 프로그램을 저장하고 있는 컴퓨터 판독가능 매체에 있어서,상기 방법은,인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계를 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제53항에 있어서,상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제54항에 있어서,상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제56항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제58항에 있어서,상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제49항에 있어서,상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제43항에 있어서,상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
- 제43항에 있어서,상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/608,334 US7526640B2 (en) | 2003-06-30 | 2003-06-30 | System and method for automatic negotiation of a security protocol |
US10/608,334 | 2003-06-30 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20050002628A true KR20050002628A (ko) | 2005-01-07 |
KR101086576B1 KR101086576B1 (ko) | 2011-11-23 |
Family
ID=33490832
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020040049661A KR101086576B1 (ko) | 2003-06-30 | 2004-06-29 | 보안 프로토콜의 자동 협상 시스템 및 방법 |
Country Status (5)
Country | Link |
---|---|
US (1) | US7526640B2 (ko) |
EP (1) | EP1501256B1 (ko) |
JP (1) | JP4819328B2 (ko) |
KR (1) | KR101086576B1 (ko) |
CN (1) | CN1578215B (ko) |
Families Citing this family (52)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8244875B2 (en) * | 2002-12-13 | 2012-08-14 | ANXeBusiness Corporation | Secure network computing |
US8332464B2 (en) * | 2002-12-13 | 2012-12-11 | Anxebusiness Corp. | System and method for remote network access |
CA2534919C (en) * | 2003-08-08 | 2011-04-05 | T.T.T. Kabushikikaisha | Transport layer encryption for extra-security ip networks |
CN100389584C (zh) * | 2004-12-31 | 2008-05-21 | 北京邮电大学 | 一种用于应用服务器的安全能力的协商方法 |
US8316129B2 (en) | 2005-05-25 | 2012-11-20 | Microsoft Corporation | Data communication coordination with sequence numbers |
US8220042B2 (en) * | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
CN1980125B (zh) * | 2005-12-07 | 2010-08-11 | 华为技术有限公司 | 一种身份认证方法 |
JP5123209B2 (ja) * | 2006-01-24 | 2013-01-23 | ▲ホア▼▲ウェイ▼技術有限公司 | モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ |
JP2007207067A (ja) * | 2006-02-03 | 2007-08-16 | Nippon Telegr & Teleph Corp <Ntt> | サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム |
US8990153B2 (en) * | 2006-02-07 | 2015-03-24 | Dot Hill Systems Corporation | Pull data replication model |
US7783850B2 (en) * | 2006-03-28 | 2010-08-24 | Dot Hill Systems Corporation | Method and apparatus for master volume access during volume copy |
US9419955B2 (en) * | 2006-03-28 | 2016-08-16 | Inventergy Inc. | System and method for carrying trusted network provided access network information in session initiation protocol |
US20070255958A1 (en) * | 2006-05-01 | 2007-11-01 | Microsoft Corporation | Claim transformations for trust relationships |
DE102006038592B4 (de) * | 2006-08-17 | 2008-07-03 | Siemens Ag | Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks |
US8369212B2 (en) * | 2006-08-29 | 2013-02-05 | Hewlett-Packard Development Company, L.P. | Network path validation based on user-specified criteria |
US20080095178A1 (en) * | 2006-10-12 | 2008-04-24 | Raydon Corporation | Metaprotocol for Network Communications |
GB0623101D0 (en) * | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
US7831565B2 (en) * | 2007-01-18 | 2010-11-09 | Dot Hill Systems Corporation | Deletion of rollback snapshot partition |
US8751467B2 (en) * | 2007-01-18 | 2014-06-10 | Dot Hill Systems Corporation | Method and apparatus for quickly accessing backing store metadata |
US7827405B2 (en) * | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
US7716183B2 (en) * | 2007-04-11 | 2010-05-11 | Dot Hill Systems Corporation | Snapshot preserved data cloning |
US7975115B2 (en) * | 2007-04-11 | 2011-07-05 | Dot Hill Systems Corporation | Method and apparatus for separating snapshot preserved and write data |
EP1990969A1 (en) * | 2007-05-09 | 2008-11-12 | Nokia Siemens Networks Oy | Method for data communication and device as well as communication system comprising such device |
US7783603B2 (en) * | 2007-05-10 | 2010-08-24 | Dot Hill Systems Corporation | Backing store re-initialization method and apparatus |
US8001345B2 (en) * | 2007-05-10 | 2011-08-16 | Dot Hill Systems Corporation | Automatic triggering of backing store re-initialization |
US8204858B2 (en) * | 2007-06-25 | 2012-06-19 | Dot Hill Systems Corporation | Snapshot reset method and apparatus |
GB0813298D0 (en) * | 2008-07-19 | 2008-08-27 | Univ St Andrews | Multipad encryption |
US10015286B1 (en) * | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
US8631277B2 (en) | 2010-12-10 | 2014-01-14 | Microsoft Corporation | Providing transparent failover in a file system |
US8739244B1 (en) * | 2011-06-07 | 2014-05-27 | Riverbed Technology, Inc. | Configuring and authenticating WAN optimization devices for accessing content delivery networks |
US9331955B2 (en) | 2011-06-29 | 2016-05-03 | Microsoft Technology Licensing, Llc | Transporting operations of arbitrary size over remote direct memory access |
US8856582B2 (en) | 2011-06-30 | 2014-10-07 | Microsoft Corporation | Transparent failover |
DE102011079399A1 (de) * | 2011-07-19 | 2013-01-24 | Bayerische Motoren Werke Aktiengesellschaft | Steuervorrichtung für ein Kraftfahrzeug, Programmiervorrichtung und Programmiersystem |
US8788579B2 (en) | 2011-09-09 | 2014-07-22 | Microsoft Corporation | Clustered client failover |
US20130067095A1 (en) | 2011-09-09 | 2013-03-14 | Microsoft Corporation | Smb2 scaleout |
US8782395B1 (en) | 2011-09-29 | 2014-07-15 | Riverbed Technology, Inc. | Monitoring usage of WAN optimization devices integrated with content delivery networks |
US9538561B2 (en) * | 2013-05-22 | 2017-01-03 | Intel IP Corporation | Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point |
US9961125B2 (en) | 2013-07-31 | 2018-05-01 | Microsoft Technology Licensing, Llc | Messaging API over HTTP protocol to establish context for data exchange |
US9396338B2 (en) | 2013-10-15 | 2016-07-19 | Intuit Inc. | Method and system for providing a secure secrets proxy |
US9894069B2 (en) | 2013-11-01 | 2018-02-13 | Intuit Inc. | Method and system for automatically managing secret application and maintenance |
US9467477B2 (en) | 2013-11-06 | 2016-10-11 | Intuit Inc. | Method and system for automatically managing secrets in multiple data security jurisdiction zones |
US9444818B2 (en) | 2013-11-01 | 2016-09-13 | Intuit Inc. | Method and system for automatically managing secure communications in multiple communications jurisdiction zones |
US10440066B2 (en) * | 2013-11-15 | 2019-10-08 | Microsoft Technology Licensing, Llc | Switching of connection protocol |
CN103826225B (zh) * | 2014-02-19 | 2017-10-10 | 西安电子科技大学 | 一种无线网络中身份认证协议选择方法 |
US10121015B2 (en) * | 2014-02-21 | 2018-11-06 | Lens Ventures, Llc | Management of data privacy and security in a pervasive computing environment |
KR20160046114A (ko) * | 2014-10-20 | 2016-04-28 | 삼성전자주식회사 | 데이터 통신 방법 및 이를 구현하는 전자 장치 |
CN106161224B (zh) | 2015-04-02 | 2019-09-17 | 阿里巴巴集团控股有限公司 | 数据交换方法、装置及设备 |
US10936711B2 (en) | 2017-04-18 | 2021-03-02 | Intuit Inc. | Systems and mechanism to control the lifetime of an access token dynamically based on access token use |
EP3442193B1 (de) * | 2017-08-09 | 2020-05-06 | Siemens Mobility GmbH | Verfahren zum aufbau eines sicheren kommunikationskanals zwischen einer ersten und einer zweiten netzwerkeinrichtung |
US10587611B2 (en) * | 2017-08-29 | 2020-03-10 | Microsoft Technology Licensing, Llc. | Detection of the network logon protocol used in pass-through authentication |
US10635829B1 (en) | 2017-11-28 | 2020-04-28 | Intuit Inc. | Method and system for granting permissions to parties within an organization |
CN112672363B (zh) * | 2019-10-15 | 2023-04-18 | 华为技术有限公司 | 随流信息遥测能力的确认方法和设备 |
Family Cites Families (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5008879B1 (en) * | 1988-11-14 | 2000-05-30 | Datapoint Corp | Lan with interoperative multiple operational capabilities |
US5010572A (en) * | 1990-04-27 | 1991-04-23 | Hughes Aircraft Company | Distributed information system having automatic invocation of key management negotiations protocol and method |
US5204961A (en) * | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
US5828893A (en) * | 1992-12-24 | 1998-10-27 | Motorola, Inc. | System and method of communicating between trusted and untrusted computer systems |
US5471461A (en) * | 1993-04-28 | 1995-11-28 | Allen-Bradley Company, Inc. | Digital communication network with a moderator station election process |
US5530758A (en) * | 1994-06-03 | 1996-06-25 | Motorola, Inc. | Operational methods for a secure node in a computer network |
US5530703A (en) * | 1994-09-23 | 1996-06-25 | 3Com Corporation | Remote communication server with automatic filtering |
US5913024A (en) * | 1996-02-09 | 1999-06-15 | Secure Computing Corporation | Secure server utilizing separate protocol stacks |
US6216231B1 (en) * | 1996-04-30 | 2001-04-10 | At & T Corp. | Specifying security protocols and policy constraints in distributed systems |
US6205148B1 (en) * | 1996-11-26 | 2001-03-20 | Fujitsu Limited | Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system |
US6125122A (en) | 1997-01-21 | 2000-09-26 | At&T Wireless Svcs. Inc. | Dynamic protocol negotiation system |
US6055575A (en) | 1997-01-28 | 2000-04-25 | Ascend Communications, Inc. | Virtual private network system and method |
US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
JP2000315997A (ja) * | 1999-04-30 | 2000-11-14 | Toshiba Corp | 暗号通信方法及びノード装置 |
US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
DE10028715B4 (de) * | 2000-06-08 | 2005-08-11 | Siemens Ag | Verfahren zur Kommunikation zwischen Kommunikationsnetzen |
US20020078371A1 (en) * | 2000-08-17 | 2002-06-20 | Sun Microsystems, Inc. | User Access system using proxies for accessing a network |
US6996841B2 (en) * | 2001-04-19 | 2006-02-07 | Microsoft Corporation | Negotiating secure connections through a proxy server |
US6934702B2 (en) * | 2001-05-04 | 2005-08-23 | Sun Microsystems, Inc. | Method and system of routing messages in a distributed search network |
CN1268088C (zh) * | 2001-11-29 | 2006-08-02 | 东南大学 | 基于pki的vpn密钥交换的实现方法 |
US6845452B1 (en) * | 2002-03-12 | 2005-01-18 | Reactivity, Inc. | Providing security for external access to a protected computer network |
CN1173529C (zh) * | 2002-06-05 | 2004-10-27 | 华为技术有限公司 | 基于边界网关协议报文的控制报文安全保护方法 |
-
2003
- 2003-06-30 US US10/608,334 patent/US7526640B2/en not_active Expired - Fee Related
-
2004
- 2004-06-04 EP EP04102520.6A patent/EP1501256B1/en not_active Expired - Lifetime
- 2004-06-24 JP JP2004187041A patent/JP4819328B2/ja not_active Expired - Fee Related
- 2004-06-29 KR KR1020040049661A patent/KR101086576B1/ko active IP Right Grant
- 2004-06-30 CN CN2004100632794A patent/CN1578215B/zh not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP1501256A3 (en) | 2007-02-21 |
EP1501256B1 (en) | 2013-07-24 |
CN1578215B (zh) | 2010-05-12 |
KR101086576B1 (ko) | 2011-11-23 |
CN1578215A (zh) | 2005-02-09 |
US20040268118A1 (en) | 2004-12-30 |
US7526640B2 (en) | 2009-04-28 |
EP1501256A2 (en) | 2005-01-26 |
JP2005025739A (ja) | 2005-01-27 |
JP4819328B2 (ja) | 2011-11-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101086576B1 (ko) | 보안 프로토콜의 자동 협상 시스템 및 방법 | |
US7356601B1 (en) | Method and apparatus for authorizing network device operations that are requested by applications | |
RU2439692C2 (ru) | Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам | |
US8621567B2 (en) | Network security and applications to the fabric environment | |
US7873984B2 (en) | Network security through configuration servers in the fabric environment | |
Ertaul et al. | Security Challenges in Cloud Computing. | |
US6470453B1 (en) | Validating connections to a network system | |
US7036013B2 (en) | Secure distributed time service in the fabric environment | |
JP4304055B2 (ja) | クライアントセッションフェイルオーバーを提供する方法および構造 | |
US20090052675A1 (en) | Secure remote support automation process | |
JPH09160876A (ja) | Lanサーバ環境における相互確認の方法及び装置 | |
US20030120915A1 (en) | Node and port authentication in a fibre channel network | |
JP2008072180A (ja) | 情報の管理方法及び情報処理装置 | |
CN100484027C (zh) | 一种应用简单网络管理协议的网络管理***和方法 | |
US7243367B2 (en) | Method and apparatus for starting up a network or fabric | |
EP3703331B1 (en) | Systems and methods for network management | |
BRPI0615752A2 (pt) | provisão de aplicação consistente ciente de travessia de parede corta-fogo | |
EP3580901B1 (en) | Connection apparatus for establishing a secured application-level communication connection | |
KR100555745B1 (ko) | 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법 | |
Bornstein et al. | Shell Protocols | |
Graupner et al. | Globus Grid and Firewalls: Issues and Solutions Globus Grid and Firewalls: Issues and Solutions in a Utility Data Center Environment1 | |
KR20050078834A (ko) | 메신저 프로그램을 이용한 vpn 기술 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20141017 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20151016 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20161019 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20171018 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20181018 Year of fee payment: 8 |