KR20050002628A - 보안 프로토콜의 자동 협상 시스템 및 방법 - Google Patents

보안 프로토콜의 자동 협상 시스템 및 방법 Download PDF

Info

Publication number
KR20050002628A
KR20050002628A KR1020040049661A KR20040049661A KR20050002628A KR 20050002628 A KR20050002628 A KR 20050002628A KR 1020040049661 A KR1020040049661 A KR 1020040049661A KR 20040049661 A KR20040049661 A KR 20040049661A KR 20050002628 A KR20050002628 A KR 20050002628A
Authority
KR
South Korea
Prior art keywords
security
protocol
node
external
internal
Prior art date
Application number
KR1020040049661A
Other languages
English (en)
Other versions
KR101086576B1 (ko
Inventor
다리오바잔 베자라노
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20050002628A publication Critical patent/KR20050002628A/ko
Application granted granted Critical
Publication of KR101086576B1 publication Critical patent/KR101086576B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Multi Processors (AREA)
  • Small-Scale Networks (AREA)

Abstract

프로토콜 협상 플랫폼에 의해 보안-인에이블된 도메인 외측에 존재하는 컴퓨터 또는 기타 노드가 상기한 도메인 내의 서버 또는 기타 노드와 지원가능한 보안 프로토콜을 협상할 수 있게 된다. Active Directory™, 커베로스(Kerberos) 및 기타 보안 네트워크 기술에 의해 도메인 내의 에이전트 또는 기타 노드들이 디폴트 프로토콜, 키, 인증서 또는 기타 인증 기법을 이용하여 서로 안전하게 통신할 수 있게 된다. 종래의 익스터널 에이전트는 상기한 도메인에 투명한(transparent) 방식으로 진입할 수 있는 방법이 없었으며, 상기한 도메인 경계에서 이용하기 위한 프로토콜을 수동으로 선택해야 했다. 본 발명에서는 익스터널 에이전트 또는 인터널 에이전트 어느 것이나 상기한 도메인 경계에서의 안전한 세션 확립을 위한 시도를 개시하여, 수신측 머신에 한 세트의 지원가능한 프로토콜을 포함하는 요청을 전송할 수 있다. 그러면 협상 엔진이 해당 세션의 시작 또는 끝에서 상기한 에이전트, 노드 또는 머신들에서의 이용가능한 프로토콜을 비교하여 호환가능한 프로토콜이 발견된 경우 선택하게 된다. 인터널 에이전트 및 익스터널 에이전트는 마찬가지로 키, 인증서 또는 기타 메커니즘을 이용하여 서로 인증할 수 있다.

Description

보안 프로토콜의 자동 협상 시스템 및 방법{SYSTEM AND METHOD FOR AUTOMATIC NEGOTIATION OF A SECURITY PROTOCOL}
본 발명은 네트워크 컴퓨팅 기술에 관한 것으로, 특히 보안-인에이블된 도메인과 하나 이상의 익스터널 노드 사이의 보안 프로토콜의 자동 협상에 관한 것이다.
네트워킹 기술의 발전으로 네트워크 관리자 등은 네트워크 및 기타 설비(installation)에 대한 보안 컨트롤을 보다 정교하게 유지할 수 있게 되었다. 예를 들어, Microsoft Windows™NT 2000 및 관련 제품은 관리자가 Active Directory™(AD) 구조를 이용하여 보안-인에이블된 네트워크 도메인을 전개(deploy)할 수 있도록 한다. 마찬가지로 공지의 커베로스(Kerberos) 네트워크 표준도 네트워크 내의 노드들이 키/인증 플랫폼을 이용하여 서로 인증할 수 있도록 한다. 이러한 오프레이팅 기술을 이용함으로써, 네트워크 관리자는 네트워크 서버로부터 예를 들어 규칙들, 애플리케이션, 패치, 드라이브 및 기타 자원들을, 안전한 방식으로 개별 워크스테이션 또는 기타 클라이언트에 대해 일률적인 설치를 위해 푸시(push)할 수 있다. 상기한 보안-인에이블된 도메인 내의 모든 머신들은 이들 및 기타 타입의 데이터의 전송을 투명(transparent)한 방식으로 식별 및 인증할 수 있다.
그러나, 워크스테이션에 대해 규칙, 애플리케이션 또는 기타 자원을 전달하는 것은 노드가 상기한 보안-인에이블된 도메인 외측에 존재하는 경우에는 훨씬 어려워진다. 예를 들어, 한 회사 내의 LAN 상에 수개의 컴퓨터가 존재하는 한편, Active Directory™ 또는 기타 보안-인에이블된 도메인에 속하지 않는 원격지 내의 컴퓨터와도 상호작용하는 경우가 있을 수 있다. 상기한 도메인에 대해 인터널인 머신과 그 외측의 머신 사이의 접속 확립에는 상호 지원되는 보안 프로토콜에 대한 합의가 있어야 하므로, 보안 도메인의 경계에서 통신하는 것은 보다 복잡하게 된다.
따라서, 시스템 관리자 등은 세션이 시작되기 전에 인터널 머신과 익스터널 머신 사이에 호환되는 프로토콜을 식별함으로써 익스터널 에이전트 또는 노드의 보안-인에이블된 도메인으로의 진입(entry)을 구성하기 위해 시도해야만 한다. 예를 들어, 익스터널 에이전트는 TLS(transport layer security) 프로토콜, 커베로스-기반 프로토콜, SSL(secure socket layer) 또는 기타 프로토콜을 이용하여 상기한 보안-인에이블된 도메인 내의 관리 서버와 통신하도록 구성될 수 있다. 상기한 머신은 나아가 그 프로토콜, 즉 디폴트 프로토콜 내에 프로토콜 장애(failure)를 표시하고 상기한 익스터널 노드 또는 에이전트에 대해 프로토콜의 스위칭을 요청하거나 또는 다른 응답을 할 수도 있다. 따라서, 보안, 트랜스퍼 및 기타 프로토콜의 수동 세팅 또는 조정이 필요하며, 이 프로세스는 많은 시간이 소요될 뿐만 아니라 에러를 유발할 수 있다. 그 외에도 다른 문제가 존재할 수 있다.
도 1은 본 발명의 실시예가 동작될 수 있는 네트워크 구조를 예시한 도면.
도 2는 본 발명의 실시예에 따른 인터널 노드와 익스터널 노드 사이의 협상 프로세스를 예시한 도면.
도 3은 본 발명의 실시예에 따른 프로토콜 테이블들 사이의 비교를 예시한 도면.
도 4는 본 발명의 실시예에 따른 전반적인 프로토콜 협상 프로세싱을 예시한 도면.
<도면의 주요 부분에 대한 부호의 설명>
102: 보안-인에이블된 도메인
104: 매니저
106: 인터널 에이전트
108: 인증서
110: 인증서 기관
112: 인터넷
114: 익스터널 에이전트
116: 인증서
본 발명은 전술한 종래기술의 문제점을 해결한 것으로, 일 태양에 따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로, 익스터널 에이전트 또는 노드와의 안전한 통신이 확립되고 식별 인증될 수 있도록 한 보안 프로토콜의 자동 협상 시스템 및 방법이 제공된다. 본 발명의 일 태양에 따르면, 보안-인에이블된 도메인 내의 네트워크 매니저 또는 기타 에이전트 또는 노드가 익스터널 에이전트 또는 노드와의 안전한 접속을 확립하기 위한 시도를 개시할 수 있다. 상기한 요청은 상기한 매니저가 이용가능한 한 세트의 보안 프로토콜을 나타내는 데이터 필드를 포함하고 있다. 익스터널 에이전트는 상기한 요청을 수신하고 상기한 인터널 에이전트 또는 매니저가 이용가능한 프로토콜을 상기한 익스터널 에이전트에 의해 지원되는 한 세트의 프로토콜과 비교한다. 이용가능한 프로토콜들 사이에 매칭이 발견되면, 선택된 프로토콜에 기초하여 통신이 진행되게 된다. 본 실시예에서, 상기한 각각의 익스터널 에이전트 및 인터널 에이전트는 키, 인증서 또는 기타 인증 메커니즘을 통해 서로 인증할 수 있다.
<실시예>
도 1은 본 발명의 실시예에 따른 프로토콜 협상 플랫폼 및 방법이 수행될 수 있는 네트워크 구조를 예시한 것이다. 도시된 바와 같이, 예시된 실시예에서는, 한 세트의 클라이언트, 서버, 에이전트 또는 기타 노드 또는 머신들이 보안-인에이블된 도메인(102)에서 동작한다. 보안-인에이블된 도메인은 본 실시예에서는 예를 들어, Microsoft Windows™ Active Directory™, 커베로스(Kerberos) 또는 기타 인증서-기반 또는 키-기반 도메인, 또는 기타 폐쇄 또는 안전 분산 디렉토리 또는 기타 환경이거나 또는 이들을 포함할 수 있다. 상기한 보안-인에이블된 도메인 내에는 예시를 위해 인터널 매니저(104)가 존재하며, 이것은 본 실시예에서 한 세트의 인터널 에이전트(106)(A1, A2, ..., AN으로 도시됨; N은 임의의 수) 뿐만 아니라 서버 또는 기타 노드이거나 이들을 포함할 수 있다.
본 실시예에서 상기한 세트의 인터널 에이전트(106)는 추가의 서버, 워크스테이션 또는 기타 클라이언트, 또는 상기한 보안-인에이블된 도메인(102) 내에서 동작하며 상기한 인터널 매니저(104)와 통신하는 기타 인터널 에이전트 또는 노드로 구성되거나 이들을 포함할 수 있다. 본 실시예에서 상기한 인터널 매니저(104)는 상기한 세트의 인터널 에이전트(106)에 대하여 전송 또는 "푸싱" 네트워크 규칙 또는 기타 데이터와 같은 네트워크 관리 기능을 스케줄링 또는 수행하며, 상기한 기타 데이터로는 스토리지(예컨대, RAID 정책, 장애(failover) 평가기준, 메모리 한계), 대역폭 이용에 관한 동작 가이드라인 또는 기타의 규칙 또는 데이터가 있다. 이들 또는 기타 타입의 데이터를 통신하는 경우, 상기한 인터널 매니저(104) 및 상기한 세트의 인터널 에이전트(106)는 보안-인에이블된 도메인의 보안 자원을 이용하여 네트워크의 완전성(integrity) 및 규칙 및 기타 데이터의 배포를 담보한다.
본 실시예에서는 상기한 보안-인에이블된 도메인(102)은 예컨대 인증서 108과 같은 인증서를 이용하여 허가 서비스를 제공할 수 있으며, 상기한 인증서는 X.509 또는 기타 표준 또는 포맷에 따라서 구성된 인증서이거나 또는 이를 포함할 수 있다. 키 또는 기타의 메커니즘이 마찬가지로 사용될 수도 있다. 도시된 바와같이, 인증서(108)는 인터널 매니저(104)에 대한 허가 데이터와 연관되어 있거나 또는 이를 제공할 수도 있다. 상기한 세트의 인터널 에이전트(106) 중 어느 하나는 인증서(108)를 검증(verification)을 위해 인증서 기관(110)에 통신함으로써 인터널 매니저(104)로부터 수신한 규칙, 명령 또는 기타 데이터를 허가할 수 있다. 인증서 기관(110)은 그 자신이 보안-인에이블된 도메인(102)의 내부에 위치하거나 또는 도시된 바와 같이 상기한 보안-인에이블된 도메인(102)의 외측에 위치할 수도 있다.
본 실시예에서, 인증서 기관(110)은 인증서(108) 또는 기타 허가 메커니즘을 판독 및 복호하여 그 결과를 상기한 세트의 인터널 에이전트(106) 또는 다른 노드들에 대해 리턴하도록 구성된 서버 또는 기타 노드이거나 또는 이들을 포함할 수 있다. 상기한 세트의 인터널 에이전트(106) 내의 각 노드들은 마찬가지로 상기한 보안-인에이블된 도메인(102)과 호환되는 인증서, 키 또는 기타 허가 데이터와 연관되어 있을 수 있다. 상기한 인터널 에이전트(106) 내의 노드들은 마찬가지로 인증서 또는 기타 메커니즘을 이용하여 서로 통신하여 상호 허가할 수도 있다.
도 1에 도시된 실시예에서, 익스터널 에이전트(114)는 마찬가지로 통신 네트워크(112)를 통해 인터널 매니저(104)와 통신하도록 구성될 수도 있다. 상기한 익스터널 에이전트(114)도 서버, 워크스테이션 또는 기타 노드 또는 자원이거나 또는 이들을 포함할 수 있다. 또한, 상기한 익스터널 에이전트(114)는 마찬가지로 허가를 위해 상기한 익스터널 에이전트(114)를 식별하는 인증서(116)와 연관되어 있을 수도 있다. 본 실시예에서, 익스터널 에이전트(114)가 인터널 매니저(104) 또는기타 인터널 노드와 통신을 수행할 수 있는 통신 네트워크(112)로는, 예를 들어 인터넷, 인트라넷, LAN, WAN, MAN(metropolitan area network), SAN, 프레임 릴레이 접속, AIN(Advanced Intelligent Network) 접속, SONET(synchronous optical network) 접속, 디지털 T1,T3,E1,E3 라인, DDS(Digital Data Service) 접속, ATM 접속, FDDI(Fiber Distributed Data Interface), CDDI(Copper Distributed Data Interface) 기타 유선, 무선 또는 광학 접속 중 어느 하나 이상이거나, 이들을 포함하거나 이들과 인터페이스할 수 있다. 익스터널 에이전트(114)는 본 실시예에서 워크스테이션, 서버, 무선 네트워크-인에이블된 장치, 또는 네트워크 통신용으로 구성된 기타 노드, 에이전트 또는 플랫폼이거나 또는 이들을 포함할 수 있다.
종래의 크로스-도메인 통신 구현과 달리, 본 발명에 따르면 상기한 익스터널 에이전트(114)는 인터널 매니저(104)와 컨택을 개시하여 상호 호환되는 프로토콜에 기초하여 자동 또는 투명한 방식으로 호환 프로토콜을 서로 선택함으로써 안전 접속을 확립할 수 있다. 도 2에 예시된 바와 같이, 익스터널 에이전트(114)에서 실행되는 익스터널 애플리케이션(130)은 익스터널 협상 엔진(126)을 통해 인터널 매니저와 컨택을 개시할 수 있다. 익스터널 애플리케이션(130)은 데이터 백업 스케줄러, 방화벽, 바이러스 보호 또는 기타 애플리케이션 등과 같은 시스템 유틸리티, 생산성(productivity) 또는 기타 애플리케이션이거나 이들을 포함할 수 있다. 익스터널 애플리케이션(130)은 예를 들어 각종의 태스크를 수행하여 인터널 매니저(104)와 상기한 통신을 수행하기 위한 사용자 프로파일, 업데이트 또는 기타 데이터를 필요로 할 수 있다.
익스터널 협상 엔진(126)은 익스터널 애플리케이션(130)에 의해 요청된 통신을 처리 및 관리하여 상기한 인터널 매니저(104)에 대한 상호 호환가능한 통신 링크를 보안-인에이블된 도메인(102)에 확립할 수 있다. 본 실시예에서는 도시된 바와 같이 상기한 익스터널 협상 엔진(126)은 협상 모듈(1180을 개시 및 관리할 수 있으며, 이것은 공지된 SPNEGO(Simple and Protected GSS-API Negotiation) 프로토콜의 구현예이다. 다른 프로토콜이 사용될 수도 있다. 본 실시예에서, 상기한 협상 모듈(118)은 익스터널 에이전트(114)의 오퍼레이팅 시스템인 예를 들어 애플리케이션 프로그램 인터페이스(API) 또는 기타 메커니즘을 통해 액세스, 개시 또는 발생될 수 있다.
익스터널 협상 엔진(126)은 마찬가지로 프로토콜 협상 프로세스를 실행하기 위해 익스터널 에이전트(114)에 의해 채용될 수 있는 기타 채널 또는 메시지-기반 채널을 지시하는 익스터널 트랜스포트 지정자(120)(specifier)를 포함 또는 발생시킬 수 있다. 예를 들어, 본 실시예에서 익스터널 트랜스포트 지정자(120)는 Microsoft .NET 아키텍처의 일부분으로서 SSPI(Security Support Provider Interface) 프로토콜을 지정하여, 익스터널 애플리케이션(130) 또는 기타 소프트웨어 또는 모듈들이 예컨대 DLL(dynamic link libraries) 또는 표준 암호(cryptographic) 또는 기타 인코딩 방식을 지원하는 기타 자원에 액세스할 수 있도록 할 수 있다. 익스터널 트랜스포트 지정자(120) 내에 다른 프로토콜이 사용 또는 지정될 수도 있다. 익스터널 협상 엔진(126)은 도 2에 도시된 바와 같이 결과적으로 상기한 데이터 또는 기타 데이터를 지시하는 데이터그램(datagram)을 인터널 매니저(104)에 접속된 인터널 협상 엔진(128)에 통신할 수 있다.
인터널 협상 엔진(128)은 마찬가지로 협상 모듈(122) 및 인터널 트랜스포트 지정자(124)를 포함하거나 또는 이들을 인터페이스할 수 있다. 인터널 협상 엔진(128)은 또한 인터널 매니저(104)에서 실행되거나 또는 인터널 매니저(104)에 의해 액세스된 인터널 애플리케이션(132)과 통신할 수 있다. 예를 들어, 인터널 애플리케이션(132)은 시스템 관리, 생산성 또는 기타 애플리케이션이거나 또는 이를 포함할 수 있다. 상기한 인터널 협상 엔진(128)은 인터널 매니저(104)와의 통신 확립 요청을 수신하면, 예를 들어 상기한 SSPI 프로토콜을 이용하여 채널 통신을 확인(confirm)함으로써 인터널 트랜스포트 지정자(124)를 통해 익스터널 에이전트(114)와 메시지-기반 또는 기타 채널을 확립할 수 있다.
익스터널 에이전트(114)와 인터널 매니저104) 사이에 예비(preliminary) 채널이 확립된 상태에서, 상기한 익스터널 협상 엔진(126) 및 익스터널 협상 엔진(128)은 프로토콜 협상 및 감축(reduction)을 개시할 수 있다. 본 실시예에서, 익스터널 에이전트(114)는 도 3에 도시된 익스터널 프로토콜 테이블(134)을 익스터널 매니저(104)에 전송한다. 상기한 익스터널 프로토콜 테이블(134)은 익스터널 에이전트(114)가 구성된 프로토콜을 지정할 수 있다. 상기한 인터널 매니저(104)가 익스터널 프로토콜 테이블(134)을 수신하면, 상기한 테이블(134)은 인터널 매니저(104)에서 이용가능한 한 세트의 보안 프로토콜을 나타내는 인터널 프로토콜 테이블(136)과 비교된다. 상기한 익스터널 프로토콜 테이블(134)과 인터널 프로토콜 테이블(136) 중 어느 하나는 예를 들어 TLS(transport layersecurity), SSL(secure socket layer), 커베로스(Kerberos), IPSec(secure IP) 또는 기타 이용가능한 프로토콜 또는 표준을 나타내는 필드를 포함하고 있다. 상기한 인터널 매니저(104)에 접속된 협상 엔진(128)은 도 3에 도시된 바와 같이 익스터널 에이전트(114) 및 인터널 매니저(104)에 의해 상호 지원되는 하나 이상의 프로토콜을 식별하게 된다.
본 실시예에서, 협상 엔진(128)은 마찬가지로 프로토콜 비교를 위해 익스터널 에이전트(114)에 접속된 협상 엔진(126)에 인터널 프로토콜 테이블(136)을 통신한다. 협상 엔진(126) 및 협상 엔진(128)은 그 결과 보안-인에이블된 도메인에서 안전 통신을 확립하기 위하여 서로 이용가능한 프로토콜의 선택을 협상한다. 예를 들어, 익스터널 에이전트(114)와 인터널 매니저(104) 양방에 단지 하나의 공통 프로토콜이 이용가능하다면, 익스터널 에이전트(114) 및 인터널 매니저(104)는 TLS 또는 기타 프로토콜 등 해당 프로토콜을 이용하여 세션을 셋업하는데 합의할 것이다. 협상 엔진(126) 및 협상 엔진(128)이 공통 프로토콜이 발견되지 않을 것이라는데 합의한다면, 크로스-도메인 통신을 확립하기 위한 시도는 종료될 것이다. 반대로, 협상 엔진(126) 및 협상 엔진(128)이 다수의 프로토콜이 공통인 것을 확인한다면, 전송(transfer) 속도, 키의 비트 깊이(depth) 또는 기타 보안 메커니즘 등의 네트워크 평가기준 또는 기타의 팩터에 기초하여 사용할 하나의 프로토콜을 선택할 것이다.
상호 호환되는 프로토콜을 위치시켜 두면, 익스터널 에이전트(114)와 인터널 매니저(104) 사이에는 안전 세션이 확립될 것이다. 본 실시예에서는 보안을 강화하기 위하여 익스터널 에이전트(114) 및 인터널 매니저(104)는 각각 마찬가지로 인증(authentication) 단계를 수행하여 상대방 노드의 ID, 특권(privilege) 레벨 또는 기타 보안 상세를 검증(verify)할 것이다. 도 1에 도시된 바와 같이, 이것은 인증서 또는 기타 보안 메커니즘을 이용하여 수행될 수 있다. 익스터널 에이전트(114)는 인증서(108)를 인증서 기관(110)에 통신함으로써 인터널 매니저(104)를 인증할 수 있다. 반대로, 인터널 매니저(104)는 인증서(116)를 인증서 기관(110)에 통신함으로써 익스터널 에이전트(114)를 인증할 수 있다. 기타의 보안 메커니즘이 이용될 수도 있다.
본 실시예에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 교환되는 데이터의 타입 또는 콘텐트는 이들 2개 노드 사이의 상호 인증에 종속할 것이다. 예를 들어, 네트워크 관리 규칙 또는 파라미터에의 액세스는 인터널 노드 또는 익스터널 노드에 대해 예비되어 있고 단지 주어진 액세스의 특권 레벨만을 지시할 수도 있다. 기타의 인증 규칙 또는 평가기준이 이용될 수도 있다. 동작상의 보안 프로토콜이 확립되고 인증 처리가 완료된 후, 상기한 익스터널 에이전트(114)와 인터널 매니저(104)는 데이터, 애플리케이션, 규칙 또는 기타 정보를 교환하게 된다. 트래픽이 완료되면, 협상 엔진(126) 및 협상 엔진(128)은 상기한 통신 링크를 해제(release) 또는 종료(terminate)한다.
도 4는 본 발명의 실시예에 따른 전반적인 네트워크 협상 프로세싱을 예시하고 있다. 단계 402에서 프로세싱이 개시된다. 단계 404에서, 익스터널 에이전트(114), 인터널 매니저(104) 또는 기타 클라이언트, 에이전트 또는 노드에의해 보안-인에이블된 네트워크(102)에서의 안전 접속 확립을 위한 요청이 생성된다. 단계 406에서, 상기 안전 접속 확립 요청이 수신측 노드에 전송되며, 여기서 수신측 노드는 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있으며, 상기한 요청은 전송측 노드와 호환되는 제1 프로토콜 세트를 포함하고 있다. 단계 408에서, 상기 요청이 수신측 노드에 수신된다. 단계 410에서, 인터널 매니저(104), 익스터널 에이전트(114) 또는 기타의 클라이언트, 에이전트 또는 노드일 수 있는 수신측 노드가 상기 제1 프로토콜 세트를 상기 수신측 노드의 제2 프로토콜 세트와 비교하여, 이용가능한 프로토콜들 중에서 매칭 여부를 판정한다.
상기한 제1 프로토콜 세트와 제2 프로토콜 세트 사이에 매칭이 발견되면, 상기한 프로세싱은 단계 412로 진행하여, 하나 이상의 매칭 프로토콜이 발견되었는지를 판정한다. 하나 이상의 매칭 프로토콜이 발견되었다면, 단계 414로 프로세싱을 진행하여, 전송 속도, 키의 비트 깊이 또는 기타 보안 메커니즘 등의 프로토콜 평가기준 또는 기타의 팩터에 기초하여 매칭 프로토콜들 중에서 사용할 하나의 프로토콜을 선택한다. 그런 다음, 단계 416으로 프로세싱을 진행하여, 선택된 프로토콜에 기초하여 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션이 개시된다. 마찬가지로, 단계 412에서 단지 하나의 매칭 프로토콜이 발견된 경우에도, 단계 416으로 프로세싱을 진행하여, 안전 접속 또는 세션이 개시될 수 있다. 예를 들어, 본 실시예에서 지정된 포트들은 상기한 TCP/IP 또는 기타 통신 또는 기타 프로토콜 아래에서 개방될 것이다.
단계 418에서, 상기한 매칭 프로토콜에 따라 핸드쉐이크 및 기타 단계를 진행함으로써 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 프로토콜-특정 교환이 개시되게 된다. 단계 420에서, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 중 어느 하나 또는 양방은 [상기한 익스터널 에이전트(114)의] 대응하는 인증서(116) 또는 [상기한 인터널 매니저(104)의] 대응하는 인증서(108)를 인증서 기관(110)에 절절하게 전송함으로써 대응하는 상대방 노드를 인증할 수 있다. 본 실시예에서, 상기한 인증서 116 또는 인증서 108 또는 기타 보안 데이터는 X.509 표준 또는 기타 표준 또는 포맷에 합치하는 인증서 오브젝트이거나 이들을 포함할 수 있다. 적절한 인증이 완료되면, 단계 422로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이에 안전 접속 또는 세션을 수행하게 된다. 예를 들어, 이들 2개 노드 사이에서 시스템 관리 또는 기타의 목적으로 네트워크 또는 기타 규칙이 통신될 수도 있다.
안전 세션이 완료되면 단계 424로 프로세싱을 진행하여, 상기한 익스터널 에이전트(114)와 인터널 매니저(104) 사이의 안전 접속을 종료 또는 해제한다. 단계 426에서, 프로세싱이 종료되거나 반복 수행되어, 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다. 마찬가지로, 단계 410에서 매칭 프로토콜이 확인되지 않은 것으로 판정된 경우, 단계 426으로 진행하여 프로세싱을 종료하거나 반복 수행하거나 또는 선행 프로세싱 포인트로 리턴하거나 또는 다른 액션을 수행할 수도 있다.
전술한 설명은 예시를 위한 것일 뿐이며 본 기술분야의 전문가라면 구성 및구현시 각종의 수정이 가능할 것이다. 예를 들어, 본 발명을 하나의 익스터널 에이전트(114)와 관련하여 설명하였지만, 복수의 익스터널 에이전트 또는 노드가 보안-인에이블된 도메인(102) 내의 인터널 매니저(104) 또는 기타 클라이언트 또는 노드와의 매칭 프로토콜 협상을 자동적으로 수행하도록 구성할 수도 있다. 마찬가지로, 인증 메커니즘에 있어서도 상기한 메커니즘이 X.509 또는 기타 표준을 이용하여 하나의 인증 엔티티(110)에 의해 지원되고 있는 것으로 설명하였지만, 다수의 인증 엔티티 또는 기타 인증 또는 허가 플랫폼이 채용될 수도 있다. 그밖에도, 하드웨어, 소프트웨어 또는 기타 자원들을 하나만 도시/설명하였지만 이들이 분산되어 있을 수도 있으며, 마찬가지로 분산되어 있는 것으로 도시/설명된 자원들이 결합되어 있을 수도 있다.
또한, 보안-인에이블된 도메인(102)에 대해 익스터널인 일방 또는 타방의 노드 또는 에이전트와, 상기한 도메인에 대해 인터널인 노드 또는 에이전트가 보안 프로토콜의 협상을 개시하는 것으로 설명하였지만, 본 발명에 따라 구성된 임의의 노드 또는 에이전트는 상기한 도메인에 대해 익스터널 또는 인터널인지에 무관하게 프로토콜 프로세싱을 개시할 수 있다. 마찬가지로, 인터널 및 익스터널 에이전트의 어느 일방 또는 양방이 상대방 에이전트 또는 노드에 대한 인증을 개시할 수도 있다. 따라서, 본 발명의 범위는 특허청구범위에 의해서만 제한되는 것으로 이해되어야 한다.
전술한 바와 같이, 본 발명의 보안 프로토콜의 자동 협상 시스템 및 방법에따르면, 관리자의 개입을 필요로 하지 않고 자동화된 방식으로 익스터널 에이전트 또는 노드와의 안전한 통신 확립 및 인증이 가능하게 된다.

Claims (62)

  1. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법에 있어서,
    인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;
    상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및
    상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계
    를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  2. 제1항에 있어서,
    상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  3. 제1항에 있어서,
    상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  4. 제1항에 있어서,
    상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  5. 제1항에 있어서,
    상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  6. 제5항에 있어서,
    상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  7. 제6항에 있어서,
    상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  8. 제1항에 있어서,
    상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로하는 보안 프로토콜 자동 협상 방법.
  9. 제8항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  10. 제1항에 있어서,
    상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  11. 제10항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  12. 제1항에 있어서,
    상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료(terminate)하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  13. 제1항에 있어서,
    상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  14. 제1항에 있어서,
    복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  15. 제1항에 있어서,
    상기 인터널 노드 및 상기 익스터널 노드 중 적어도 하나를 허가하는 단계를 더 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  16. 제15항에 있어서,
    상기 허가 단계는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 방법.
  17. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,
    보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 대한 제1 인터페이스;
    보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 대한 제2 인터페이스; 및
    상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 엔진
    을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  18. 제17항에 있어서,
    상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  19. 제17항에 있어서,
    상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  20. 제17항에 있어서,
    상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  21. 제17항에 있어서,
    상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  22. 제21항에 있어서,
    상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  23. 제22항에 있어서,
    상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  24. 제17항에 있어서,
    상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  25. 제24항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  26. 제17항에 있어서,
    상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  27. 제26항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  28. 제17항에 있어서,
    상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  29. 제17항에 있어서,
    상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  30. 제17항에 있어서,
    상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  31. 제17항에 있어서,
    상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  32. 제31항에 있어서,
    상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  33. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 시스템에 있어서,
    보안-인에이블된 도메인에 대해 인터널이며 연관된 제1 프로토콜 세트를 갖는 인터널 프로토콜에 인터페이스하기 위한 제1 인터페이스 수단;
    보안-인에이블된 도메인에 대해 익스터널이며 연관된 제2 프로토콜 세트를 갖는 익스터널 프로토콜에 인터페이스하기 위한 제2 인터페이스 수단; 및
    상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신하고, 상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하여, 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 협상 수단
    을 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  34. 제33항에 있어서,
    상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  35. 제33항에 있어서,
    상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  36. 제33항에 있어서,
    상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  37. 제36항에 있어서,
    상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  38. 제37항에 있어서,
    상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  39. 제38항에 있어서,
    상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  40. 제33항에 있어서,
    상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  41. 제40항에 있어서,
    상기 보안 허가 요청은 상기 인터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  42. 제33항에 있어서,
    상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  43. 제42항에 있어서,
    상기 보안 허가 요청은 상기 익스터널 노드에 의해 수신되는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  44. 제33항에 있어서,
    상기 협상 엔진은 상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  45. 제33항에 있어서,
    상기 협상 엔진은 상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  46. 제33항에 있어서,
    상기 협상 엔진은 복수의 매칭 프로토콜이 발견된 경우 상기 안전 접속을 확립하는데 사용하기 위한 프로토콜을 선택하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  47. 제33항에 있어서,
    상기 인터널 노드 및 상기 익스터널 노드 중 적어도 일방은 다른 일방을 허가하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  48. 제47항에 있어서,
    상기 허가는 인증서를 인증서 기관(certificate authority)에 통신하는 단계를 포함하는 것을 특징으로 하는 보안 프로토콜 자동 협상 시스템.
  49. 보안 프로토콜(security protocol)의 자동 협상(negotiate) 방법을 실행하기 위한 프로그램을 저장하고 있는 컴퓨터 판독가능 매체에 있어서,
    상기 방법은,
    인터널 노드와 익스터널 노드 사이의 안전 접속을 확립하기 위한 보안 허가 요청(authorization request)을 수신 - 상기 인터널 노드는 보안-인에이블된 도메인에 대해 인터널이며, 상기 익스터널 노드는 상기 보안-인에이블된 도메인에 대해 익스터널임 - 하는 단계;
    상기 인터널 노드에 연관된 제1 프로토콜 세트와 상기 익스터널 노드에 연관된 제2 프로토콜 세트를 비교하는 단계; 및
    상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이의 매칭 프로토콜이 발견된 때에 상기 인터널 노드와 상기 익스터널 노드 사이의 안전 접속을 확립하는 단계
    를 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  50. 제49항에 있어서,
    상기 익스터널 노드는 컴퓨터 및 네트워크-인에이블된 무선 디바이스 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  51. 제49항에 있어서,
    상기 인터널 노드는 클라이언트 컴퓨터 및 서버 중 적어도 하나를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  52. 제49항에 있어서,
    상기 보안-인에이블된 도메인은 분산(distributed) 디렉토리 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  53. 제49항에 있어서,
    상기 보안-인에이블된 도메인은 인증서-기반(certificate-based) 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  54. 제53항에 있어서,
    상기 인증서-기반 도메인은 커베로스(Kerberos)-인에이블된 도메인을 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  55. 제54항에 있어서,
    상기 매칭 프로토콜은 X.509 인증서를 구비하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  56. 제49항에 있어서,
    상기 보안 허가 요청은 상기 익스터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  57. 제56항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 인터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  58. 제49항에 있어서,
    상기 보안 허가 요청은 상기 인터널 노드에 의해 발생되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  59. 제58항에 있어서,
    상기 보안 허가 요청을 수신하는 단계는 상기 익스터널 노드에 의해 실행되는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  60. 제49항에 있어서,
    상기 익스터널 노드와 상기 인터널 노드 사이의 세션이 완료된 경우 상기 안전 접속을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  61. 제43항에 있어서,
    상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
  62. 제43항에 있어서,
    상기 제1 프로토콜 세트와 상기 제2 프로토콜 세트 사이에 매칭이 발견되지 않은 경우 접속 프로세싱을 종료하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터 판독가능 매체.
KR1020040049661A 2003-06-30 2004-06-29 보안 프로토콜의 자동 협상 시스템 및 방법 KR101086576B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/608,334 US7526640B2 (en) 2003-06-30 2003-06-30 System and method for automatic negotiation of a security protocol
US10/608,334 2003-06-30

Publications (2)

Publication Number Publication Date
KR20050002628A true KR20050002628A (ko) 2005-01-07
KR101086576B1 KR101086576B1 (ko) 2011-11-23

Family

ID=33490832

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040049661A KR101086576B1 (ko) 2003-06-30 2004-06-29 보안 프로토콜의 자동 협상 시스템 및 방법

Country Status (5)

Country Link
US (1) US7526640B2 (ko)
EP (1) EP1501256B1 (ko)
JP (1) JP4819328B2 (ko)
KR (1) KR101086576B1 (ko)
CN (1) CN1578215B (ko)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8244875B2 (en) * 2002-12-13 2012-08-14 ANXeBusiness Corporation Secure network computing
US8332464B2 (en) * 2002-12-13 2012-12-11 Anxebusiness Corp. System and method for remote network access
CA2534919C (en) * 2003-08-08 2011-04-05 T.T.T. Kabushikikaisha Transport layer encryption for extra-security ip networks
CN100389584C (zh) * 2004-12-31 2008-05-21 北京邮电大学 一种用于应用服务器的安全能力的协商方法
US8316129B2 (en) 2005-05-25 2012-11-20 Microsoft Corporation Data communication coordination with sequence numbers
US8220042B2 (en) * 2005-09-12 2012-07-10 Microsoft Corporation Creating secure interactive connections with remote resources
CN1980125B (zh) * 2005-12-07 2010-08-11 华为技术有限公司 一种身份认证方法
JP5123209B2 (ja) * 2006-01-24 2013-01-23 ▲ホア▼▲ウェイ▼技術有限公司 モバイルネットワークに基づくエンドツーエンド通信での認証の方法、システム、および認証センタ
JP2007207067A (ja) * 2006-02-03 2007-08-16 Nippon Telegr & Teleph Corp <Ntt> サーバクライアントシステムおよび該システムにおけるアクセス制御方法、ならびにそのためのプログラム
US8990153B2 (en) * 2006-02-07 2015-03-24 Dot Hill Systems Corporation Pull data replication model
US7783850B2 (en) * 2006-03-28 2010-08-24 Dot Hill Systems Corporation Method and apparatus for master volume access during volume copy
US9419955B2 (en) * 2006-03-28 2016-08-16 Inventergy Inc. System and method for carrying trusted network provided access network information in session initiation protocol
US20070255958A1 (en) * 2006-05-01 2007-11-01 Microsoft Corporation Claim transformations for trust relationships
DE102006038592B4 (de) * 2006-08-17 2008-07-03 Siemens Ag Verfahren und Anordnung zum Bereitstellen eines drahtlosen Mesh-Netzwerks
US8369212B2 (en) * 2006-08-29 2013-02-05 Hewlett-Packard Development Company, L.P. Network path validation based on user-specified criteria
US20080095178A1 (en) * 2006-10-12 2008-04-24 Raydon Corporation Metaprotocol for Network Communications
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US7831565B2 (en) * 2007-01-18 2010-11-09 Dot Hill Systems Corporation Deletion of rollback snapshot partition
US8751467B2 (en) * 2007-01-18 2014-06-10 Dot Hill Systems Corporation Method and apparatus for quickly accessing backing store metadata
US7827405B2 (en) * 2007-01-19 2010-11-02 Microsoft Corporation Mechanism for utilizing kerberos features by an NTLM compliant entity
US7716183B2 (en) * 2007-04-11 2010-05-11 Dot Hill Systems Corporation Snapshot preserved data cloning
US7975115B2 (en) * 2007-04-11 2011-07-05 Dot Hill Systems Corporation Method and apparatus for separating snapshot preserved and write data
EP1990969A1 (en) * 2007-05-09 2008-11-12 Nokia Siemens Networks Oy Method for data communication and device as well as communication system comprising such device
US7783603B2 (en) * 2007-05-10 2010-08-24 Dot Hill Systems Corporation Backing store re-initialization method and apparatus
US8001345B2 (en) * 2007-05-10 2011-08-16 Dot Hill Systems Corporation Automatic triggering of backing store re-initialization
US8204858B2 (en) * 2007-06-25 2012-06-19 Dot Hill Systems Corporation Snapshot reset method and apparatus
GB0813298D0 (en) * 2008-07-19 2008-08-27 Univ St Andrews Multipad encryption
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
US8631277B2 (en) 2010-12-10 2014-01-14 Microsoft Corporation Providing transparent failover in a file system
US8739244B1 (en) * 2011-06-07 2014-05-27 Riverbed Technology, Inc. Configuring and authenticating WAN optimization devices for accessing content delivery networks
US9331955B2 (en) 2011-06-29 2016-05-03 Microsoft Technology Licensing, Llc Transporting operations of arbitrary size over remote direct memory access
US8856582B2 (en) 2011-06-30 2014-10-07 Microsoft Corporation Transparent failover
DE102011079399A1 (de) * 2011-07-19 2013-01-24 Bayerische Motoren Werke Aktiengesellschaft Steuervorrichtung für ein Kraftfahrzeug, Programmiervorrichtung und Programmiersystem
US8788579B2 (en) 2011-09-09 2014-07-22 Microsoft Corporation Clustered client failover
US20130067095A1 (en) 2011-09-09 2013-03-14 Microsoft Corporation Smb2 scaleout
US8782395B1 (en) 2011-09-29 2014-07-15 Riverbed Technology, Inc. Monitoring usage of WAN optimization devices integrated with content delivery networks
US9538561B2 (en) * 2013-05-22 2017-01-03 Intel IP Corporation Systems and methods for enabling service interoperability functionality for WiFi Direct devices connected to a network via a wireless access point
US9961125B2 (en) 2013-07-31 2018-05-01 Microsoft Technology Licensing, Llc Messaging API over HTTP protocol to establish context for data exchange
US9396338B2 (en) 2013-10-15 2016-07-19 Intuit Inc. Method and system for providing a secure secrets proxy
US9894069B2 (en) 2013-11-01 2018-02-13 Intuit Inc. Method and system for automatically managing secret application and maintenance
US9467477B2 (en) 2013-11-06 2016-10-11 Intuit Inc. Method and system for automatically managing secrets in multiple data security jurisdiction zones
US9444818B2 (en) 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
US10440066B2 (en) * 2013-11-15 2019-10-08 Microsoft Technology Licensing, Llc Switching of connection protocol
CN103826225B (zh) * 2014-02-19 2017-10-10 西安电子科技大学 一种无线网络中身份认证协议选择方法
US10121015B2 (en) * 2014-02-21 2018-11-06 Lens Ventures, Llc Management of data privacy and security in a pervasive computing environment
KR20160046114A (ko) * 2014-10-20 2016-04-28 삼성전자주식회사 데이터 통신 방법 및 이를 구현하는 전자 장치
CN106161224B (zh) 2015-04-02 2019-09-17 阿里巴巴集团控股有限公司 数据交换方法、装置及设备
US10936711B2 (en) 2017-04-18 2021-03-02 Intuit Inc. Systems and mechanism to control the lifetime of an access token dynamically based on access token use
EP3442193B1 (de) * 2017-08-09 2020-05-06 Siemens Mobility GmbH Verfahren zum aufbau eines sicheren kommunikationskanals zwischen einer ersten und einer zweiten netzwerkeinrichtung
US10587611B2 (en) * 2017-08-29 2020-03-10 Microsoft Technology Licensing, Llc. Detection of the network logon protocol used in pass-through authentication
US10635829B1 (en) 2017-11-28 2020-04-28 Intuit Inc. Method and system for granting permissions to parties within an organization
CN112672363B (zh) * 2019-10-15 2023-04-18 华为技术有限公司 随流信息遥测能力的确认方法和设备

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5008879B1 (en) * 1988-11-14 2000-05-30 Datapoint Corp Lan with interoperative multiple operational capabilities
US5010572A (en) * 1990-04-27 1991-04-23 Hughes Aircraft Company Distributed information system having automatic invocation of key management negotiations protocol and method
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5828893A (en) * 1992-12-24 1998-10-27 Motorola, Inc. System and method of communicating between trusted and untrusted computer systems
US5471461A (en) * 1993-04-28 1995-11-28 Allen-Bradley Company, Inc. Digital communication network with a moderator station election process
US5530758A (en) * 1994-06-03 1996-06-25 Motorola, Inc. Operational methods for a secure node in a computer network
US5530703A (en) * 1994-09-23 1996-06-25 3Com Corporation Remote communication server with automatic filtering
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US6216231B1 (en) * 1996-04-30 2001-04-10 At & T Corp. Specifying security protocols and policy constraints in distributed systems
US6205148B1 (en) * 1996-11-26 2001-03-20 Fujitsu Limited Apparatus and a method for selecting an access router's protocol of a plurality of the protocols for transferring a packet in a communication system
US6125122A (en) 1997-01-21 2000-09-26 At&T Wireless Svcs. Inc. Dynamic protocol negotiation system
US6055575A (en) 1997-01-28 2000-04-25 Ascend Communications, Inc. Virtual private network system and method
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
JP2000315997A (ja) * 1999-04-30 2000-11-14 Toshiba Corp 暗号通信方法及びノード装置
US6871284B2 (en) * 2000-01-07 2005-03-22 Securify, Inc. Credential/condition assertion verification optimization
DE10028715B4 (de) * 2000-06-08 2005-08-11 Siemens Ag Verfahren zur Kommunikation zwischen Kommunikationsnetzen
US20020078371A1 (en) * 2000-08-17 2002-06-20 Sun Microsystems, Inc. User Access system using proxies for accessing a network
US6996841B2 (en) * 2001-04-19 2006-02-07 Microsoft Corporation Negotiating secure connections through a proxy server
US6934702B2 (en) * 2001-05-04 2005-08-23 Sun Microsystems, Inc. Method and system of routing messages in a distributed search network
CN1268088C (zh) * 2001-11-29 2006-08-02 东南大学 基于pki的vpn密钥交换的实现方法
US6845452B1 (en) * 2002-03-12 2005-01-18 Reactivity, Inc. Providing security for external access to a protected computer network
CN1173529C (zh) * 2002-06-05 2004-10-27 华为技术有限公司 基于边界网关协议报文的控制报文安全保护方法

Also Published As

Publication number Publication date
EP1501256A3 (en) 2007-02-21
EP1501256B1 (en) 2013-07-24
CN1578215B (zh) 2010-05-12
KR101086576B1 (ko) 2011-11-23
CN1578215A (zh) 2005-02-09
US20040268118A1 (en) 2004-12-30
US7526640B2 (en) 2009-04-28
EP1501256A2 (en) 2005-01-26
JP2005025739A (ja) 2005-01-27
JP4819328B2 (ja) 2011-11-24

Similar Documents

Publication Publication Date Title
KR101086576B1 (ko) 보안 프로토콜의 자동 협상 시스템 및 방법
US7356601B1 (en) Method and apparatus for authorizing network device operations that are requested by applications
RU2439692C2 (ru) Управляемое политиками делегирование учетных данных для единой регистрации в сети и защищенного доступа к сетевым ресурсам
US8621567B2 (en) Network security and applications to the fabric environment
US7873984B2 (en) Network security through configuration servers in the fabric environment
Ertaul et al. Security Challenges in Cloud Computing.
US6470453B1 (en) Validating connections to a network system
US7036013B2 (en) Secure distributed time service in the fabric environment
JP4304055B2 (ja) クライアントセッションフェイルオーバーを提供する方法および構造
US20090052675A1 (en) Secure remote support automation process
JPH09160876A (ja) Lanサーバ環境における相互確認の方法及び装置
US20030120915A1 (en) Node and port authentication in a fibre channel network
JP2008072180A (ja) 情報の管理方法及び情報処理装置
CN100484027C (zh) 一种应用简单网络管理协议的网络管理***和方法
US7243367B2 (en) Method and apparatus for starting up a network or fabric
EP3703331B1 (en) Systems and methods for network management
BRPI0615752A2 (pt) provisão de aplicação consistente ciente de travessia de parede corta-fogo
EP3580901B1 (en) Connection apparatus for establishing a secured application-level communication connection
KR100555745B1 (ko) 클라이언트 시스템과 특정 도메인 서버간의 보안 시스템및 그 방법
Bornstein et al. Shell Protocols
Graupner et al. Globus Grid and Firewalls: Issues and Solutions Globus Grid and Firewalls: Issues and Solutions in a Utility Data Center Environment1
KR20050078834A (ko) 메신저 프로그램을 이용한 vpn 기술

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141017

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151016

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161019

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171018

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20181018

Year of fee payment: 8