KR20060024384A - 분산형 애플리케이션 환경에서 제 3 티어 서버를 인증하는방법, 서버 시스템, 클라이언트 시스템 및 컴퓨터 프로그램제품 - Google Patents

분산형 애플리케이션 환경에서 제 3 티어 서버를 인증하는방법, 서버 시스템, 클라이언트 시스템 및 컴퓨터 프로그램제품 Download PDF

Info

Publication number
KR20060024384A
KR20060024384A KR1020057022393A KR20057022393A KR20060024384A KR 20060024384 A KR20060024384 A KR 20060024384A KR 1020057022393 A KR1020057022393 A KR 1020057022393A KR 20057022393 A KR20057022393 A KR 20057022393A KR 20060024384 A KR20060024384 A KR 20060024384A
Authority
KR
South Korea
Prior art keywords
server
certificate
tier server
tier
distributed application
Prior art date
Application number
KR1020057022393A
Other languages
English (en)
Other versions
KR100850191B1 (ko
Inventor
디에즈 아드리안 알바레즈
프랑크 레오 미엘케
Original Assignee
인터내셔널 비지네스 머신즈 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인터내셔널 비지네스 머신즈 코포레이션 filed Critical 인터내셔널 비지네스 머신즈 코포레이션
Publication of KR20060024384A publication Critical patent/KR20060024384A/ko
Application granted granted Critical
Publication of KR100850191B1 publication Critical patent/KR100850191B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Multi Processors (AREA)

Abstract

본 발명은 클라이언트 시스템 측에서 제 3 티어 서버 인증서를 인식하고 관리하는 중앙 과정을 사용하여 분산형 애플리케이션 환경의 제 3 티어 서버를 인증하는 방법 및 시스템을 개시한다. 중앙 과정에 의해 액셉트된 제 3 티어 서버 인증서는 분산형 애플리케이션 환경의 공통 데이터베이스에 저장되고, 클라이언트 시스템은 제 3 티어 서버를 액셉트하거나 거절할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트된 상기 제 3 티어 서버 인증서의 모든 필수 정보를 보안 커넥션을 거쳐서 서버 시스템에 송신한다. 본 발명의 바람직한 실시예에서는, 상기 제 3 티어 서버 인증서를 송신한 서버의 이름과 함께 신뢰할 수 있는 것으로서 액셉트된 제 3 티어 서버 인증서의 지문, 및 인증서 이름만이 보안 커넥션을 거쳐서 분산형 애플리케이션 환경의 서버 시스템으로 이송된다.

Description

분산형 애플리케이션 환경에서 제 3 티어 서버를 인증하는 방법, 서버 시스템, 클라이언트 시스템 및 컴퓨터 프로그램 제품{METHOD AND SYSTEM FOR AUTHENTICALLY SERVERS IN A DISTRIBUTED APPLICATION ENVIRONMENT}
본 발명은 분산형 애플리케이션 환경에서 서버의 인증에 관한 것으로서, 보다 구체적으로는, 비연속 클라이언트-서버 커넥션을 갖는 안전한 분산형 애플리케이션 환경에서 제 3 티어(tier) 서버의 인증에 관한 것이다.
분산형 애플리케이션 환경은, 전형적으로, 분산형 애플리케이션의 일부분을 구비하는 하나 이상의 클라이언트 시스템(예를 들어, GUI 소자, 처리 소자(클라이언트 애플리케이션)), 분산형 애플리케이션의 나머지 부분을 구비하는 서버계 시스템(서버 애플리케이션 또는 서버 소자), 및 클라이언트 시스템과 서버 시스템 사이에서 데이터를 교환(예를 들어, 애플리케이션 데이터용 저장소를 제공)하는 제 3 티어 서버 시스템(third tier server system)으로 구성된다. 예를 들어, SAP R/3(SAP의 상표)은 애플리케이션이 클라이언트 부분(예를 들면, IBM 싱크패드와 같은 워크스테이션 상에서 구동됨)과 다수의 서버 부분(예를 들어, IBM zSeries 메인 프레임 시스템 상에서 구동됨)으로 분할되는 분산형 애플리케이션의 전형적인 예이다.
분산형 애플리케이션 환경의 시스템들 사이의 통신은 안전한 통신 환경 또는 안전하지 않은 통신 환경에서 일어날 수 있다. 예를 들어, 안전한 통신은 통상적으로 인트라넷에서 주어지며, 안전하지 않은 통신은 인터넷에서 주어진다. (특히 운용 시스템 구성 데이터와 같은 민감 정보를 처리하는) 분산형 애플리케이션은 분산형 소자들 사이에서 데이터베이스와 같은 다른 애플리케이션을 사용하는 데이터 상호 교환이 설립된 보안 메커니즘에 의해 보호되어야 한다는 것을 요구한다.
클라이언트 시스템과 서버 시스템 사이의 통신을 보호하는 통상적인 방법은 보안 세션을 설립하는 것에 의한 것으로서, 이러한 보안 세션에서는 모든 통신이 대칭 키를 사용하여 암호화된다. 이 대칭 키는 공개키 암호화 기법을 사용하여 파트너들 사이에 교환된다. 이 교환은 전형적으로 파트너의 인증과 결합된다.
이러한 보안 메커니즘의 가장 중요한 설명은 "인터넷 상에서 메시지 송신의 보안성을 관리하기 위해 가장 보편적으로 사용되는 프로토콜"을 나타내는 SSL(Secure Socket Layer)이다. 특히, SSL은 이른바 '서버 인증서'를 사용하여, 커넥션에서 서버 부분의 아이덴티티(identity)를 조사하고 보증한다. 인증서는 공개키를 분산시키는 데 사용된다. 또한, 인증서는 소유자의 이름, 인증서 이름, 만료일, 인증서의 서명자의 공개키, 및 인증서에 적용되는 소유자의 비밀키에 의해 생성되는 디지털 서명을 포함한다. 분산형 애플리케이션의 각 소자에서 이러한 인증서의 검사, 승인 및 관리는 직접적인 사용자 상호작용이 가능하지 않은 경우에는 문제가 되며, 특히 서버 소자에서의 경우에 문제가 될 수 있다.
그 프로토콜을 사용함으로써, 사용자는 거의 힘들이지 않고 높은 수준으로 보호받는다는 이익을 얻는다. 안전한 커넥션을 설립하기 위해서, 보안 프로토콜은 커넥션의 신호변경(handshake) 중에 클라이언트 또는 서버 인증서를 교환한다. 예를 들어, SSL 신호변경의 정의 및 메시지 흐름은 RFC2246에서 찾을 수 있다. 인증서는 참여자를 식별하고 인증한다.
수신자는 두 가지의 상이한 방식으로 인증서를 검증할 수 있다. 제 1 방법으로, 인증서가 다른 인증서에 의해 서명되었고, 그 인증서가 수신자에 의해 이미 신뢰받은 경우, 새로운 인증서는 자동으로 신뢰받을 수 있다. 이미 신뢰받은 인증서는 다음의 커넥션 신호변경에서 검증 과정 동안 데이터베이스에 보관된다. 제 2 방법으로, 유입되는 피어 인증서를 신뢰할 수 있는 것으로 확인하는 데이터베이스의 수신자에게 인증서가 없는 경우, 사용자는 인증서를 액셉트할 것인지 거절할 것인지를 결정해야 한다. 이것은, 인증서 정보에 적용된 해시 함수의 결과를 안전하게 공개한 값과 비교함으로써 이루어진다. 사용자가 인증서를 거절할 것을 선택하는 경우, 커넥션은 설립되지 않는다.
종래기술
도 1은 클라이언트 시스템 상에서 구동하는 소자(1)와, 커넥션을 통해 통신하는 다수의 서버(n개의 서버 시스템) 상에서 구동하는 여러 개의 소자(2)로 구성된 종래기술의 분산형 애플리케이션 환경을 나타내고 있다. 사용자는 클라이언트 애플리케이션(1)을 제어하지만, 관리의 경우를 제외하면, 서버 소자(2)와는 직접적인 사용자 상호작용이 없다.
클라이언트 시스템에 대한 예는 Windows®가 될 수 있다. 서버 애플리케이션은, 예를 들어, IBM zSeries 메인프레임 시스템 상에서 구동될 수 있다.
클라이언트 시스템과 서버 시스템은 양측 모두 대응하는 커넥션(b, c)을 통해 제 3 티어 서버 시스템(3)(예를 들어, 데이터베이스 또는 LDAP 서버와 같은 다른 종류의 저장소)과 통신한다. 양 커넥션은 모두 데이터를 클라이언트 애플리케이션(1)으로부터 서버 애플리케이션(2)으로 전달하는 데 사용되며, 그 반대도, 즉, 클라이언트 애플리케이션(1)이 공통 데이터베이스(제 3 티어 서버 시스템(3)) 내로 정보를 기록하고 서버 시스템(2)이 그 데이터베이스로부터 정보를 검색하는 데에도 사용된다. 서버 애플리케이션(2)의 처리 동안, 처리 결과는 데이터베이스에 기록된 후, 클라이언트 애플리케이션으로부터 검출될 수 있다. 클라이언트 시스템(1)과 서버 시스템(2)은 로컬 인증서 데이터베이스를 사용하여, 들어오는 인증서를 제 3 티어 서버(3)로부터 검증한다.
분산형 애플리케이션 환경의 소자들 사이의 데이터 흐름은 다음과 같이 간단히 요약될 수 있다. 클라이언트 시스템(1)은 커넥션(b)을 설립하라는 요청을 제 3 티어 서버(3)에 전송한다. 커넥션의 신호변경 동안, 제 3 티어 서버(3)는 제 3 티어 서버를 식별하는 클라이언트 시스템으로 제 3 티어 서버의 인증서를 반송한다. 클라이언트 시스템(1)은 인증서 데이터베이스(4)를 사용하여, 제 3 티어 서버의 인증서를 검증한다. 이러한 자동 검증이 실패한 경우, 사용자는 인증서를 수동으로 거절하거나 액셉트해야 한다. 이것은 대화에 의하여 이루어질 수 있다. 후자의 경우, 액셉트된 인증서는 인증서 데이터베이스(4) 내에 저장된다. 클라이언트 시스템(1)은 프로그램 제어를 서버 시스템(2)으로 전달한다. 서버 시스템(2)은 제 3 티어 서버 시스템(3)으로 접속시키고자 한다. 서버 시스템은 커넥션(c)을 설립하라는 요청을 전송한다. 커넥션의 신호변경 동안, 제 3 티어 서버(3)는 제 3 티어 서버(3)를 식별하는 서버 시스템(2)으로 제 3 티어 서버의 인증서를 반송한다. 서버 시스템(2)은 인증서 데이터베이스(5)를 사용하여 제 3 티어 서버를 검증한다. 이 검증이 실패한 경우, 인증서가 액셉트될 수 있는지를 결정하는 메커니즘이 사용되어야 한다. 클라이언트 시스템(1)으로의 커넥션이 영구적이고 안정한 경우, 가능한 솔루션은 인증서 데이터베이스(4) 또는 수동의 사용자 상호작용을 사용하는 것으로 구성된다. 다른 방법으로는 결정을 확정하는 서버 시스템 상에서의 정책 집합이 될 수 있다.
종래기술의 단점
각각의 서버 애플리케이션은 로컬 인증서 데이터베이스를 구비하고 있으며, 이는 인증서 데이터를 유지하고 보호하는 데에 추가적인 노력을 들여야 한다는 것을 의미한다. 예를 들어, 100개의 서버 시스템이 있는 경우, 부당한 변경에 대비하여 각각의 인증서 데이터베이스를 보호하는 데에는 막대한 노력이 든다. 또한, 위치(파일명) 및 데이터베이스에 액세스하기 위한 패스워드나 사용자 이름과 같은 다수의 파라미터가 인증서 데이터베이스에 액세스하기 위한 서버 시스템에 알려져 있어야 한다. 이들 파라미터는 각각의 시스템마다 상이할 수 있으며, 각각의 서버 애플리케이션마다 지정되어야 한다. 특정한 이유로, 인증서가 더 이상 신뢰할 수 없는 경우, 모든 서버 인증서 데이터베이스가 수동으로 변경되어 쓸모 없어진 인증서를 제거해야 하는 경우도 생길 수 있다.
때때로, 알려지지 않은 인증서가 신뢰할 수 있는지를 사용자가 결정하게 할 필요가 있다. 이것은, 사용자가 통상적으로 서버 애플리케이션과 직접적으로 상호작용하지 않기 때문에 문제가 된다. 사용자에게 검증 요청을 전송하는 데 사용될 수 있는 클라이언트로의 연속적이고 안전한 개봉 방지 커넥션이 존재하는 것은 당연시 될 수 없다. 클라이언트와 서버가 반드시 항상 동시에 작용하는 것은 아니다. 이것은, 특히, 서버 애플리케이션이 클라이언트에 의해 시작되는 배치(batch) 과정인 경우에 확실하다. 서버 과정이 시작된 후에 커넥션이 분리되면, 서버 애플리케이션이 클라이언트 시스템으로의 안전한 커넥션을 개시하는 것은 쉽지 않다. 알려지지 않은 인증서가 액셉트될 수 있는지를 결정하기 위해 하드 코딩된 정책을 사용하는 것은, 충분히 탄력적이지 못하며 보안성의 누출이 될 수 있다.
본 발명의 목적
이로부터, 본 발명의 목적은 종래기술의 단점을 방지하는 분산형 애플리케이션 환경에서의 서버 인증 방법 및 시스템을 제공하는 데 있다.
본 발명은 클라이언트 시스템 측에서 제 3 티어 서버 인증서를 인식하고 관리하는 중앙 과정을 사용하여 분산형 애플리케이션 환경의 제 3 티어 서버를 인증하는 방법 및 시스템을 개시한다. 중앙 과정에 의해 액셉트된 제 3 티어 서버 인증서는 분산형 애플리케이션 환경의 공통 데이터베이스에 저장되고, 클라이언트 시스템은 제 3 티어 서버에 대한 커넥션을 액셉트하거나 거절할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트된 상기 제 3 티어 서버 인증서의 모든 필수 정보를 보안 커넥션을 거쳐서 서버 시스템에 송신한다. 본 발명의 바람직한 실시예에서는, 상기 제 3 티어 서버 인증서를 송신한 서버의 이름과 함께 신뢰할 수 있는 것으로서 액셉트된 제 3 티어 서버 인증서의 지문, 및 인증서 이름만이 보안 커넥션을 거쳐서 분산형 애플리케이션 환경의 서버 시스템으로 이송된다.
본 발명의 전술한 특징 및 장점 뿐 아니라 추가적인 목적은 하기에 상세히 기록한 설명에서 명백해 질 것이다.
본 발명의 신규한 특징은 첨부한 청구범위에 기술되어 있다. 그러나, 본 발명 자체와, 바람직한 사용 모드, 추가의 목적 및 장점은 첨부한 도면과 함께 읽을 때 예시한 실시예에 대한 하기의 상세한 설명을 참조하면 최상으로 이해될 것이다.
도 1은 종래기술의 분산형 애플리케이션 환경을 나타낸 도면,
도 2a 내지 도 2c는 클라이언트 시스템 및 서버 시스템에서의 독창적인 시스템을 분산형 애플리케이션 환경에서 통상의 인증서 인식 및 관리에 대한 새로운 개 념과 함께 나타낸 도면,
도 3은 분산형 애플리케이션 환경에서 통상의 인증서 인식 및 관리에 대한 본 발명의 개념을 사용하여 클라이언트, 서버 및 제 3 티어 서버 사이의 독창적인 데이터 흐름을 나타낸 도면,
도 4는 분산형 애플리케이션 환경의 작업 흐름 환경에서 인증서 인식 및 관리에 대한 독창적인 개념을 사용하는 본 발명의 특정 실시예를 나타낸 도면,
도 5는 클라이언트 시스템과 제 3 티어 서버 시스템 사이에 논리적 연관성을 갖는 분산형 애플리케이션 환경에서 인증서 인식 및 관리에 대한 독창적인 개념을 사용하는 본 발명의 다른 특정 실시예를 나타낸 도면이다.
도 2a를 참조하면, 분산형 애플리케이션 내에 통상의 인증서 관리에 대한 독창적인 개념을 갖는 시스템 다이어그램이 도시되어 있다. 종래기술과의 중요한 차이점은 서버 측에 인증서를 위한 데이터베이스가 더 이상 필요하지 않다는 것이다. 독창적인 개념을 지원하는 클라이언트 시스템과 서버 시스템은 도 2b 및 도 2c에 더욱 상세히 예시되어 있다.
도 2b를 참조하면, 통상의 인증서 관리에 대한 독창적인 개념을 지원하는 클라이언트 시스템의 클라이언트 소자가 도시되어 있다. 클라이언트 소자는 데이터 액세스 프로토콜 클라이언트 소자(70), 커넥션 협상기 소자(60), 인증서 검증기 소자(50), 사용자 인터페이스 소자(40), 인증서 송신기 소자(30), 및 이송 클라이언 트 소자(20)로 구성된다.
클라이언트 시스템의 독창적인 소자는 다음과 같다.
- 제 3 티어 서버로부터 커넥션(b)을 통해 제 3 티어 서버 인증서를 수신하는 기능을 갖는 커넥션 협상기 소자(60),
- 수신된 제 3 티어 서버 인증서를 분산형 애플리케이션 환경의 공통 데이터베이스(4)에 저장된 인증서 정보에 대해 조사하는 기능을 갖는 인증서 검증기 소자(50),
- 알려지지 않은 제 3 티어 서버 인증서가 액셉트될 수 있는지를 사용자에게 질문하는 기능을 갖는 사용자 인터페이스 소자(40),
- 모든 신뢰받은 인증서의 인증서 정보를 공통 데이터베이스(4)로부터 추출하는 기능을 갖는 인증서 송신기 소자(30),
- 분산형 애플리케이션 환경에 대해 신뢰할 수 있는 것으로 액셉트된 상기 제 3 티어 서버로부터 수신되는 제 3 티어 서버 인증서를 포함하는 분산형 애플리케이션 환경의 공통 데이터베이스(4).
다음의 통신 소자는 통상적으로 종래기술의 클라이언트 시스템에서 사용되어, 서버 시스템 및/또는 제 3 티어 서버와의 통신을 설립한다.
- 제 3자 서버와 통신하는 기능을 갖는 데이터 액세스 프로토콜 클라이언트 소자(70). 가능한 사용 프로토콜은, 예를 들어, LDAP(Lightweight Directory Access Protocol)-서버에 접속시키기 위한 LDAP 또는 상관 데이터베이스에 접속시 키기 위한 JDBC(Java Database Connectivity)이다.
- 서버 시스템과 통신하는 기능을 갖는 이송 클라이언트 소자(20). 예는 SFTP-클라이언트 실행 또는 HTTPS-클라이언트 실행이다.
도 2c를 참조하면, 통상의 인증서 관리에 대한 독창적인 개념을 지원하는 서버 시스템의 서버 소자가 도시된다. 서버 소자는 바람직하게는 데이터 액세스 프로토콜 클라이언트 소자(150), 커넥션 협상기 소자(140), 인증서 검증기 소자(130), 및 이송 서버 소자(120)로 이루어진다.
서버 시스템의 독창적인 소자는 다음의 소자이다.
- 제 3 티어 서버 인증서를 제 3 티어 서버 시스템으로부터 수신하는 기능을 갖는 커넥션 협상기 소자(140),
- 수신된 인증서를 클라이언트 시스템으로부터 커넥션(a)을 통해 수신된 인증서 정보에 대해 조사하는 기능을 갖는 인증서 검증기 소자(130). 이 커넥션은 서버의 전체 수명 동안 지속될 필요가 없다.
다음의 통신 소자는 통상적으로 종래기술의 서버 시스템에서 사용되어, 클라이언트 시스템 또는 다른 제 3 티어 서버 시스템과의 통신을 설립한다.
- 제 3자 서버와 통신하는 기능을 갖는 데이터 액세스 프로토콜 클라이언트 소자(150). 가능한 사용 프로토콜은, 예를 들어, LDAP(Lightweight Directory Access Protocol)-서버에 접속시키기 위한 LDAP 또는 상관 데이터베이스에 접속시 키기 위한 JDBC(Java Database Connectivity)이다.
- 동일한 프로토콜 동안 클라이언트 시스템과 통신하는 기능을 갖는 이송 클라이언트 소자(120). 예는 안전한 FTP-서버 실행 또는 HTTPS-서버 실행이다.
도 2a 내지 도 2c에 따른 통상의 인증서 관리에 대한 독창적인 개념의 바람직한 실시예가 이제 설명된다.
클라이언트 시스템(1)은, 분산형 애플리케이션 환경의 공통 데이터베이스에 저장된 모든 인증서마다 적어도 하나의 지문(지문은 바람직하게는 인증서에 적용된 해시 함수를 사용하여 생성됨), 바람직하게는, 2개의 상이한 지문을 (예를 들어, SHA 및 MD5 알고리즘을 사용하여) 계산하는 인증서 송신기 소자(30)를 포함한다(그러나, 지문의 생성이 본 발명을 실행하기 위한 필수적인 특징은 아니며, 본 발명은 또한 전체 제 3자 인증서를 서버 소자로 송신함으로써 적용된다는 점에 유의해야 한다). 이 정보는 인증서를 전송한 제 3 티어 서버 시스템의 호스트명 및 인증서 명칭과 함께 서버 시스템(2)에 전송된다. 이것이 인증서가 클라이언트 시스템에 의해 액세스되었음을 검증하는 데 필요한 모든 정보이다. 클라이언트 시스템은 분산 환경에서 임의의 서버 시스템 이전에 제 3 티어 서버로의 성공적인 커넥션을 구축할 필요가 있다. 이것은 통상적으로 대부분의 분산형 애플리케이션에서 전제가 될 수 있다. 클라이언트 시스템(1)에 의해 액셉트된 모든 인증서는 또한 모든 서버 시스템(2)에 의해 액셉트될 것이다.
예를 들어, 클라이언트 시스템과 서버 시스템이 인터넷을 통해 통신할 경우, 클라이언트 시스템과 서버 시스템 사이의 커넥션은 클라이언트 시스템에 의해 전송된 인증서 정보의 변경을 방지할 수 있도록 안전해야 한다. 이 개념은 바람직하게는 통상적으로 모든 서버 시스템 상에서 사용될 수 있는 표준 송신 프로토콜(예를 들어, FTP)에 의존한다. 보안성이 생명인 환경에서, 프로토콜의 보안 특징은 디폴트에 의해서 사용될 수 있어야 한다. 서버 시스템으로의 안전한 커넥션을 설립하는 데 더 이상의 추가 노력을 들일 필요가 없다.
인증서 관리의 관점에 볼 때, 커넥션의 정보 흐름만이 단방향일 필요가 있다. 서버 시스템이 인증서를 액셉트하거나 거절하기 위하여 피드백 정보를 클라이언트 시스템으로 전송할 필요도 없다.
클라이언트 시스템과 서버 시스템 사이의 커넥션은 서버 소자 프로세스의 완전한 수명 동안 지속될 필요가 없다. 짧은 시간프레임은 필요한 인증서 데이터를 클라이언트로부터 서버로 송신하는 데 충분하다.
서버 시스템(2)의 각각의 서버는 클라이언트 시스템에 의해 전송된 인증서 정보를 사용하여 제 3 티어 서버(3)에 대한 커넥션을 검증한다. 유입되는 제 3 티어 서버 인증서의 지문은 클라이언트 시스템으로부터 수신된 인증서 데이터의 집합에 대해 비교되어, 인증서가 액셉트되는지와 이에 의해 커넥션(c)이 액셉트되는지를 결정한다. 인증서 이름 및 제 3자 인증서로부터 도출된 제 3자 서버 호스트이름은 클라이언트 소자로부터 수신되었던 대응하는 인증서 정보와 비교된다. 인증서는, 모든 속성(양측 지문, 인증서 이름 및 호스트이름)이 일치하는지만이 검증된다. 이 기법은 사용자가 인증서를 수동으로 검증하는 방법을 따른다. 따라서, 높 은 보안성 수준이 유지된다.
어떤 로컬 인증서 데이터베이스도 서버 시스템(2) 상에 존재하지 않는다. 인증서 검증은 오로지 클라이언트 시스템에 의해 전송된 인증서 정보에 의해서만 처리된다. 서버 시스템 상에서는 임의의 제 3 티어 서버 인증서를 국소적으로 관리할 필요가 없다. 이것은 종래기술에 비해 주요한 개선점을 나타낸다.
클라이언트 시스템은 분산형 애플리케이션의 보안성 인프라구조에서 단일 제어점으로서 작용하고 있다. 그것은 보안성 특정 관리 노력을 필요로 하는 유일한 애플리케이션이다.
본 발명의 바람직한 실시예에서, 다음의 속성은 서버 시스템의 인증서 검증기 소자에게 알려져 있어야 한다.
- 인증서 이름,
- 2개의 상이한 지문(예를 들어, SHA 및 MD5 알고리즘으로 생성됨),
- 인증서가 수신된 서버 이름.
인증서 정보의 무결성을 보증하기 위해서는 2개의 상이한 지문을 생성하는 것이 필수적이다. 실제적으로, 다른 인증서와 동일한 2개의 지문을 갖게 한 위조 인증서를 생성하는 것은 불가능하다. 호스트이름은 잘못된 제 3자 서버가 신뢰받은 서버에 속하는 유효한 인증서를 재사용하는 것을 회피시키는 데 필요하다. 호스트이름은 클라이언트가 상이한 값을 액셉트한 경우에 인증서 이름에서 인용된 호스트이름과 상이할 수 있다.
본 발명의 대안 실시예에서는, 그 인증서를 송신했던 제 3 티어 서버의 이름을 포함한 전체 제 3자 인증서가 서버 시스템으로 이송된다. 그러나, 이 대안의 과정은 서버 시스템 상에 더 많은 저장소를 초래하며, 지문 과정에 비해 더 적은 보안성을 제공한다.
본 발명의 또 다른 실시예에 있어서는, 단 하나의 지문이 생성되어, 제 3자 티어 인증서를 송신했던 서버의 이름과 함께, 서버 시스템으로 전송된다. 그것은 2개-지문 과정에 비해 더 적은 보안성을 제공할 것이다.
인증서 이름, 2개의 상이한 지문, 및 제 3자 인증서를 제공했던 서버의 이름을 포함하는 제 3 티어 서버 인증서로부터 도출된 송신 속성의 예는 다음과 같다.
인증서 이름: "cn=Pollux1065.de.ibm.com, ou=dev,0=IBM, c=DE"
SHA 지문: f4:e2:54:0c:9a:2a:5f:94:1d:c0:60:03:e4:b0:
지문: e4:25:12:08:6a:ab:10:83:1e:7c:ed:c4:36:8f:
서버 이름: Castor1065.de.ibm.com
도 3은 도 2a 내지 도 2c에 따른 클라이언트 시스템, 제 3 티어 서버 시스템, 및 서버 시스템 사이의 데이터 흐름을 도시하고 있다.
클라이언트 시스템은 제 3 티어 서버 시스템과의 안전한 커넥션의 설립한다(310). 제 3 티어 서버 시스템은 그 인증서를 클라이언트 시스템으로 송신한다(320). 클라이언트 시스템은 수신된 제 3 티어 서버 인증서를 분산형 애플리케이션 환경의 공통 데이터베이스에 저장된 인증서 정보에 대해 조사한다(320). 제 3 티어 서버 인증서가 상기 공통 데이터베이스에 저장된 정보와 매칭되는 경우, 인증서는 신뢰할 수 있는 것으로 액셉트되고 제 3 티어 서버에 대한 안전한 커넥션이 설립될 수 있다(330). 클라이언트 시스템은 인증서 송신기 소자(30)를 포함하여, 분산형 애플리케이션 환경의 공통 데이터베이스에 저장된 모든 인증서마다 적어도 하나의 지문, 바람직하게는 2개의 상이한 지문을 (예를 들어, SHA 및 MD5 알고리즘을 사용하여) 계산하고 이들 지문을 인증서가 수신된 제 3 티어 서버의 인증서 이름 및 호스트이름과 함께 서버 시스템으로 전송한다(340). 인증서 정보는 바람직하게는 서버 애플리케이션의 각각의 호출(invocation) 동안 서버 시스템으로 전송된다. 또한, 클라이언트 시스템과 서버 시스템 사이의 커넥션은 바람직하게는 안전하고 비연속적인 클라이언트-서버 커넥션이다. 서버 시스템은 신호변경을 초기화함으로써 제 3 티어 서버와의 커넥션을 준비한다(350). 제 3 티어 서버는 그 인증서를 서버 시스템으로 전송하고, 서버 시스템은 인증서 정보를 클라이언트 시스템으로부터 수신된 정보와 비교한다(360). 클라이언트 시스템에서 2개의 상이한 지문을 생성하도록 적용된 2개의 상이한 알고리즘에 대한 액세스를 갖는 서버 시스템은 각각의 알고리즘을 사용하여 제 3 티어 서버 시스템으로부터 수신된 인증서의 지문을 계산한다. 지문이 클라이언트 시스템으로부터 수신된 지문과 일치하는 경우, 제 3 티어 서버는 액셉트되고 안전한 커넥션이 설립될 수 있다(370).
도 4는 작업흐름 환경에서 인증서 인식 및 관리의 독창적인 개념을 사용하는 본 발명의 특정 실시예를 도시하고 있다.
정보 흐름이 일련의 호출로 조직되어 있는 시나리오에 있어서는, 새로운 개 념이 모든 서버로부터 제 3자로의 데이터 스트림 및 서버 자신들간의 데이터 스트림을 보호하는 데 사용될 수 있다.
데이터 흐름의 제 1 부분은 이미 전술한 시나리오와 동일하다. 작업흐름 프로세스에서, 서버 시스템(2a)은 다른 서버 시스템(2b)으로의 후속 보안 커넥션(a2)에서 안전한 커넥션 개시자로서 작용할 수 있다. 각각의 서버 시스템은 초기에 클라이언트 시스템에서 사용된 모듈과 동일한 추가의 "인증서 송신" 모듈과 "이송 클라이언트" 모듈로 확장되어야 한다.
서버 시스템들 사이의 보안 커넥션의 캐스케이드를 시작하기 위해서, 클라이언트 시스템(1)은 제 3 티어 서버(400)에 관련된 인증서 정보 및 호출 체인(calling chain) 내의 모든 서버의 인증서 정보(300)를 송신해야 한다. 각각의 서버는 이 인증서 정보를 서버로 인계하여 실행해야 한다.
이 과정으로, 서버들 사이 및 서버와 제 3 티어 서버(3) 사이의 모든 커넥션은 검증된 인증서로 고정된다.
또한, 클라이언트 시스템(1)은 분산형 작업흐름 애플리케이션의 보안 인프라구조에서 단일 제어점이다.
도 5는 클라이언트 시스템과 제 3 티어 서버 사이의 로직 관련성을 갖는 환경에서 인증서 관리의 독창적인 관리를 사용하는 본 발명의 특정 실시예에 대해 설명한다.
이 시나리오는 인증서 정보를 관련된 클라이언트의 실질적인 필요성에 맞출 가능성을 강조한다. 이 경우, 모든 클라이언트 시스템은 개별적인 제 3 티어 서버 에 관련된다. 모든 클라이언트 시스템은 같은 서버 상에서 동일한 서버 시스템과 통신하지만, 각각의 클라이언트 시스템은 그 서버 시스템이 상이한 제 3 티어 서버와 상호작용할 것을 요구한다.
예로서, 클라이언트 시스템(1a)은 제 3 티어 서버(3a) 상에 데이터를 비축하며, 서버 시스템(2)을 그 저장소에 접속시킬 것을 필요로 한다. 커넥션(a1)을 통해서 서버 시스템을 실행시키는 경우, 클라이언트 시스템은 제 3 티어 서버(3a)에 관련된 인증서 정보를 송신하여 서버 시스템(2)이 커넥션(c1)을 통해 제 3 티어 서버(3a)에 안전하게 접속할 수 있도록 보증하게 한다.
대조적으로, 클라이언트 시스템(1b)은 데이터를 제 3자 티어 서버(3b)에 저장한다. 클라이언트 시스템(1b)은 제 3 티어 서버(3b)에 연결된 인증서 정보를 커넥션(a2)을 거쳐서 서버 시스템으로 송신한다. 이에 의해, 클라이언트 시스템은, 서버 시스템(2)이 커넥션(c2)을 통해서 제 2 티어 서버(3b)에 안전하게 접속할 수 있다는 것을 보증한다.

Claims (17)

  1. 분산형 애플리케이션 환경에서 제 3 티어 서버 시스템을 인증하는 방법으로서,
    상기 분산형 애플리케이션 환경은, 분산형 애플리케이션의 일부를 갖는 클라이언트 시스템, 상기 분산형 애플리케이션(서버 애플리케이션 또는 서버 소자)의 나머지 부분을 갖는 서버 시스템, 및 상기 클라이언트 시스템과 상기 서버 시스템 사이에서 데이터를 교환하는 제 3 티어 서버 시스템을 포함하고,
    상기 클라이언트 시스템은 제 3 티어 서버인증서를 인식하고 관리하는 단일점으로서 작용하고, 상기 분산형 애플리케이션 환경에서 신뢰할 수 있는 것으로서 액셉트되었던 상기 제 3 티어 서버로부터 수신된 제 3 티어 서버 인증서를 포함하는 상기 분산형 애플리케이션 환경의 공통 데이터베이스에 대한 액세스를 제공하며,
    상기 서버 시스템 측에서, 상기 방법은,
    신뢰할 수 있는 것으로 액셉스된 상기 제 3 티어 서버 인증서의 모든 필수 정보를 상기 클라이언트 시스템의 상기 공통 데이터베이스로부터 수신하여, 상기 제 3 티어 서버로의 커넥션을 액셉트할 것인지 또는 거절할 것인지를 결정하는 단계와,
    상기 클라이언트 시스템으로부터 수신된 상기 정보를 상기 제 3 티어 서버 시스템으로부터 수신된 제 3 티어 서버 인증서와 비교하는 단계와,
    상기 클라이언트 시스템으로부터의 상기 정보와 상기 제 3 티어 서버 인증서가 일치하는 경우에는 상기 제 3 티어 서버 시스템이 인증된 것으로 액셉트하는 단계를 포함하는
    방법.
  2. 제 1 항에 있어서,
    상기 클라이언트 시스템으로부터의 상기 정보는 비연속 클라이언트-서버 커넥션을 통해 수신되는
    방법.
  3. 제 2 항에 있어서,
    상기 비연속 클라이언트-서버 커넥션은 안전한 송신 프로토콜을 사용하고 있는
    방법.
  4. 제 1 항에 있어서,
    상기 제 2 티어 서버 인증서의 상기 필수 정보는 상기 분산형 애플리케이션 의 상기 공통 데이터베이스에 정장된 원래의 제 3 티어 서버 인증서와, 상기 원래의 제 3 티어 서버 인증서를 상기 클라이언트 시스템으로 송신한 서버 이름으로 구성되는
    방법.
  5. 제 1 항에 있어서,
    상기 제 3 티어 서버 인증서의 상기 필수 정보는 원래의 제 3 티어 서버 인증서의 지문과, 상기 제 3 티어 서버 인증서를 상기 클라이언트 시스템으로 송신한 서버 이름으로 구성되는
    방법.
  6. 제 1 항에 있어서,
    상기 제 3 티어 서버 인증서의 상기 필수 정보는, 원래의 제 3 티어 서버 인증서의 2개의 상이한 지문, 상기 원래의 제 3 티어 서버 인증서를 상기 클라이언트 시스템으로 송신한 서버 이름, 및 인증서 이름으로 구성되는
    방법.
  7. 분산형 애플리케이션 환경에서 제 3 티어 서버 시스템을 인증하는 방법으로서,
    상기 분산형 애플리케이션 환경은 분산형 애플리케이션의 일부를 갖는 클라이언트 시스템, 상기 분산형 애플리케이션(서버 애플리케이션 또는 서버 소자)의 나머지 부분을 갖는 서버 시스템, 및 상기 클라이언트 시스템과 상기 서버 시스템 사이에서 데이터를 교환하는 제 3 티어 서버 시스템을 포함하고,
    상기 클라이언트 시스템은 상기 분산형 애플리케이션 환경에서 신뢰할 수 있는 것으로서 액셉트되었던 상기 제 3 티어 서버로부터 수신된 제 3 티어 서버 인증서를 포함하는 상기 분산형 애플리케이션 환경의 공통 데이터베이스에 대한 액세스를 제공하며,
    상기 서버 시스템 측에서, 상기 방법은,
    제 3 티어 서버 인증서를 제 3 티어 서버 시스템으로부터 수신하는 단계와,
    상기 수신된 제 3 티어 서버 인증서가 신뢰할 수 있는 것으로서 액셉트될 수 있는지를 판별하는 단계와,
    상기 제 3 티어 서버 인증서가 신뢰할 수 있는 것으로서 액셉트된 경우, 상기 분산형 애플리케이션 환경의 상기 공통 데이터베이스에 상기 제 3 티어 서버 인증서를 저장하는 단계와,
    신뢰할 수 있는 것으로 액셉트된 상기 제 3 티어 서버 인증서의 모든 필수 정보를 상기 클라이언트 시스템의 각각의 서버로 이송하여, 제 3 티어 서버 시스템 을 액셉트할 것인지 또는 거절할 것인지를 결정하는 단계를 포함하는
    방법.
  8. 제 7 항에 있어서,
    상기 저장 단계는 상기 제 3 티어 서버 인증서를 송신한 상기 제 3 티어 서버 시스템의 이름을 추가로 포함하는
    방법.
  9. 제 7 항에 있어서,
    상기 제 3 티어 서버 인증서는 안전한 송신 프로토콜을 통해서 수신되는
    방법.
  10. 제 7 항에 있어서,
    상기 제 3 티어 서버 인증서의 상기 필수 정보는 비연속의 안전한 커넥션을 통해 상기 서버 시스템의 상기 각각의 서버로 송신되는
    방법.
  11. 제 8 항에 있어서,
    상기 클라이언트 시스템의 인증은 사용자 ID 및/또는 패스워드에 의해 달성되는
    방법.
  12. 분산형 애플리케이션 환경에서 제 3 티어 서버 시스템(3)을 인증하는 서버 시스템(2)으로서,
    상기 분산형 애플케이션 환경은,
    분산형 애플리케이션의 일부를 갖는 클라이언트 시스템(1)과,
    유입되는 제 3 티어 서버 인증서를 상기 제 3 티어 서버(3)로부터 커넥션을 거쳐 수신하는 커넥션 협상기 소자(6)와,
    상기 제 3 티어 서버(3)로부터 수신되며 상기 분산형 애플리케이션 환경에 대해 신뢰할 수 있는 것으로서 액셉트되는 제 3 티어 서버 인증서를 포함하는 상기 분산형 애플리케이션 환경의 공통 데이터베이스(4)와,
    수신된 제 3 티어 서버 인증서를 상기 공통 데이터베이스에 저장된 정보와 비교하여, 일치하는 경우에는 상기 공통 데이터베이스 내로 저장하는 인증서 검증기 소자(50)와,
    상기 공통 데이터베이스 내에 포함되지 않은 미지의 제 3 티어 서버 인증서 를 거절하거나 액셉트하게 하는 사용자 인터페이스 소자(40)와,
    상기 공통 데이터베이스로부터의 제 3 티어 서버를 액셉트하거나 결정할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트되는 상기 제 3 티어 서버 인증서의 모든 필수 정보를 추출하여 보안 커넥션(a)을 거쳐 상기 서버 시스템(2)으로 송신하는 인증서 송신기 소자(30)와,
    상기 분산형 애플리케이션(서버 애플리케이션 또는 서버 소자)의 나머지 부분을 갖는 서버 시스템(2)과,
    상기 클라이언트 시스템(1)과 상기 서버 시스템(2) 사이에 데이터를 교환하는 상기 제 3 티어 서버 시스템(3)을 포함하되,
    상기 서버 시스템들 각각은,
    상기 제 3 티어 서버 시스템(3)으로의 커넥션을 액셉트하거나 거절할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트된 상기 제 3 티어 서버 인증서의 모든 필수 정보를 수신하는 비연속적이고 안전한 클라이언트-서버 커넥션을 지원하는 이송 서버 소자(120)와,
    유입되는 제 3 티어 서버 인증서를 상기 서버 시스템과 상기 제 3 티어 서버 사이의 안전한 커넥션을 거쳐서 수신하는 커넥션 협상기 소자(140)와,
    상기 제 3 티어 서버를 액셉트하거나 거절할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트된 상기 제 3 티어 서버 인증서의 모든 필수 정보와 상기 제 3 티어 서버 인증서를 비교하는 인증서 검증기 소자(130)를 포함하는
    서버 시스템.
  13. 제 12 항에 있어서,
    상기 제 3 티어 서버 인증서의 상기 필수 정보는 상기 원래 제 3 티어 서버 인증서의 2개의 상이한 지문, 즉, 상기 제 3 티어 서버 인증서를 상기 클라이언트 시스템으로 송신하는 상기 서버의 이름 및 인증서 이름을 포함하는
    서버 시스템.
  14. 제 13 항에 있어서,
    상기 상이한 지문은 2개의 상이한 알고리즘을 상기 공통 데이터베이스로부터 수신된 상기 제 3 티어 서버 인증서에 적용함으로써 생성되는
    서버 시스템.
  15. 제 14 항에 있어서,
    상기 서버 시스템은 상기 2개의 상이한 지문을 생성하는 데 사용된 바와 동일한 알고리즘을 포함하는
    서버 시스템.
  16. 분산형 애플리케이션 환경에서 제 3 티어 서버(3)를 인증하는 클라이언트 시스템(1)으로서,
    상기 분산형 애플리케이션 환경은,
    분산형 애플리케이션의 일부를 갖는 클라이언트 시스템(1)과,
    상기 분산형 애플리케이션(서버 애플리케이션 또는 서버 소자)의 나머지 부분을 가지며, 비연속적이고 안전한 클라이언트-서버 커넥션을 지원하는 이송 서버 소자(120)를 갖는 서버 시스템(2)과,
    유입되는 제 3 티어 서버 인증서를 상기 서버 시스템(2)과 상기 제 3 티어 서버(3) 사이의 보안 커넥션을 거쳐서 수신하는 커넥션 협상기 소자(140)와,
    제 3 티어 서버를 액셉트 또는 거절할 것을 결정하기 위하여 상기 제 3 티어 서버로부터 수신된 상기 제 3 티어 서버 인증서를 상기 클라이언트 시스템으로부터 수신된 상기 정보와 비교하는 인증서 검증기 소자와,
    상기 클라이언트 시스템과 상기 서버 시스템 사이에 데이터를 교환하는 제 3 티어 서버를 포함하며,
    상기 클라이언트 시스템(1)은,
    유입되는 제 3 티어 서버 인증서를 상기 제 3 티어 서버(3)로부터 보안 커넥션을 거쳐서 수신하는 커넥션 협상기 소자(60)와,
    상기 분산형 애플리케이션 환경에 대해 신뢰할 수 있는 것으로서 액셉트된 상기 제 3 티어 서버 시스템(3)으로부터 수신된 상기 제 3 티어 서버 인증서를 포 함하는 상기 분산형 애플리케이션 환경의 공통 데이터베이스(4)와,
    수신된 제 3 티어 서버 인증서를 상기 공통 데이터베이스(4)에 저장된 정보와 비교하여, 일치하는 경우에는 상기 공통 데이터베이스 내로 저장하는 인증서 검증기 소자(50)와,
    상기 공통 데이터베이스 내에 포함되지 않은 미지의 제 3 티어 서버 인증서를 거절하거나 액셉트하게 하는 사용자 인터페이스 소자(40)와,
    상기 공통 데이터베이스로부터의 제 3 티어 서버를 액셉트하거나 결정할 것을 결정하기 위하여 신뢰할 수 있는 것으로서 액셉트되는 상기 제 3 티어 서버 인증서의 모든 필수 정보를 추출하여 보안 커넥션(a)을 거쳐 상기 서버 시스템(2)으로 송신하는 인증서 송신기 소자(30)를 포함하는
    클라이언트 시스템.
  17. 디지털 컴퓨터의 내부 메모리에 저장된 컴퓨터 프로그램 제품으로서,
    상기 제품이 컴퓨터상에서 실행되는 경우, 청구항 제 1 항 내지 제 11 항에 따른 방법을 실행하는 소프트웨어 코드의 일부를 포함하는
    컴퓨터 프로그램 제품.
KR1020057022393A 2003-06-24 2004-04-22 제 3 티어 서버 시스템 인증 방법 및 서버 시스템, 제 3 티어 서버 시스템 인증 클라이언트 시스템 및 내부 메모리 KR100850191B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03101858 2003-06-24
EP03101858.3 2003-06-24

Publications (2)

Publication Number Publication Date
KR20060024384A true KR20060024384A (ko) 2006-03-16
KR100850191B1 KR100850191B1 (ko) 2008-08-05

Family

ID=33522395

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057022393A KR100850191B1 (ko) 2003-06-24 2004-04-22 제 3 티어 서버 시스템 인증 방법 및 서버 시스템, 제 3 티어 서버 시스템 인증 클라이언트 시스템 및 내부 메모리

Country Status (9)

Country Link
US (1) US8990415B2 (ko)
EP (1) EP1636937B1 (ko)
JP (1) JP4493653B2 (ko)
KR (1) KR100850191B1 (ko)
CN (1) CN100559752C (ko)
AT (1) ATE459146T1 (ko)
DE (1) DE602004025699D1 (ko)
TW (1) TWI278214B (ko)
WO (1) WO2004114586A1 (ko)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8042165B2 (en) * 2005-01-14 2011-10-18 Citrix Systems, Inc. Method and system for requesting and granting membership in a server farm
US20060236385A1 (en) * 2005-01-14 2006-10-19 Citrix Systems, Inc. A method and system for authenticating servers in a server farm
CN100437502C (zh) * 2005-12-30 2008-11-26 联想(北京)有限公司 基于安全芯片的防病毒方法
US7984479B2 (en) 2006-04-17 2011-07-19 International Business Machines Corporation Policy-based security certificate filtering
US8468359B2 (en) * 2006-06-30 2013-06-18 Novell, Inc. Credentials for blinded intended audiences
US20080034212A1 (en) * 2006-08-07 2008-02-07 Emanuele Altieri Method and system for authenticating digital content
US20080195862A1 (en) * 2007-02-12 2008-08-14 Research In Motion Limited Providing personal certificate warnings in a system and method for processing messages composed by a user
US9602499B2 (en) 2009-04-07 2017-03-21 F-Secure Corporation Authenticating a node in a communication network
GB2469287B (en) * 2009-04-07 2013-08-21 F Secure Oyj Authenticating a node in a communication network
US8788630B2 (en) * 2011-04-02 2014-07-22 Open Invention Network, Llc System and method for proxy address neutrality
CN102231742B (zh) * 2011-06-27 2014-10-29 中国建设银行股份有限公司 基于sftp协议的文件上传与下载方法、***及相关设备
CN103067338B (zh) * 2011-10-20 2017-04-19 上海贝尔股份有限公司 第三方应用的集中式安全管理方法和***及相应通信***
AU2013200916B2 (en) * 2012-02-20 2014-09-11 Kl Data Security Pty Ltd Cryptographic Method and System
US9756669B2 (en) * 2012-11-14 2017-09-05 General Motors Llc Method of establishing a mobile-terminated packet data connection
US20170026186A1 (en) * 2015-07-26 2017-01-26 Fortinet, Inc. Detection of fraudulent digital certificates
CN105516179B (zh) * 2015-12-30 2018-09-21 绿网天下(福建)网络科技股份有限公司 一种防网络入侵的数据安全传输***及方法
US10545940B2 (en) * 2017-02-22 2020-01-28 Red Hat, Inc. Supporting secure layer extensions for communication protocols
US11605065B2 (en) * 2018-08-24 2023-03-14 Mastercard International Incorporated Systems and methods for secure remote commerce
CN111131207B (zh) * 2019-12-13 2021-12-07 新华三大数据技术有限公司 分布式任务中的证书校验方法、装置及服务器

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0817380B2 (ja) * 1993-02-22 1996-02-21 日本電気株式会社 秘密情報通信方法及び秘密情報通信装置
US6233577B1 (en) * 1998-02-17 2001-05-15 Phone.Com, Inc. Centralized certificate management system for two-way interactive communication devices in data networks
US6301658B1 (en) * 1998-09-09 2001-10-09 Secure Computing Corporation Method and system for authenticating digital certificates issued by an authentication hierarchy
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
AU3712300A (en) * 1999-06-11 2001-01-02 Liberate Technologies Hierarchical open security information delegation and acquisition
EP1132797A3 (en) 2000-03-08 2005-11-23 Aurora Wireless Technologies, Ltd. Method for securing user identification in on-line transaction systems
JP2001326632A (ja) * 2000-05-17 2001-11-22 Fujitsu Ltd 分散グループ管理システムおよび方法
JP2003107994A (ja) * 2001-10-02 2003-04-11 Nippon Telegr & Teleph Corp <Ntt> 公開鍵証明証の経路検証装置及び経路検証方法
US8601566B2 (en) * 2001-10-23 2013-12-03 Intel Corporation Mechanism supporting wired and wireless methods for client and server side authentication

Also Published As

Publication number Publication date
JP4493653B2 (ja) 2010-06-30
CN1698310A (zh) 2005-11-16
TW200516941A (en) 2005-05-16
WO2004114586A1 (en) 2004-12-29
KR100850191B1 (ko) 2008-08-05
DE602004025699D1 (de) 2010-04-08
ATE459146T1 (de) 2010-03-15
JP2009514254A (ja) 2009-04-02
TWI278214B (en) 2007-04-01
CN100559752C (zh) 2009-11-11
US20060161975A1 (en) 2006-07-20
EP1636937A1 (en) 2006-03-22
US8990415B2 (en) 2015-03-24
EP1636937B1 (en) 2010-02-24

Similar Documents

Publication Publication Date Title
KR100850191B1 (ko) 제 3 티어 서버 시스템 인증 방법 및 서버 시스템, 제 3 티어 서버 시스템 인증 클라이언트 시스템 및 내부 메모리
JP6924798B2 (ja) フェデレーテッドブロックチェーンのアイデンティティモデル及びrcsのための個人的に識別可能な安全な情報データ送信モデル
US7802099B2 (en) Method and apparatus for establishing a secure connection
US7051204B2 (en) Methods and system for providing a public key fingerprint list in a PK system
US6895501B1 (en) Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure
US6490679B1 (en) Seamless integration of application programs with security key infrastructure
US8392980B1 (en) Trusted host list for TLS sessions
US7698736B2 (en) Secure delegation using public key authentication
KR101150108B1 (ko) 피어-투-피어 인증 및 허가
US6367009B1 (en) Extending SSL to a multi-tier environment using delegation of authentication and authority
KR100989487B1 (ko) 서비스 제공자의 서비스에 대한 사용자를 인증하는 방법
US8220032B2 (en) Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith
EP3149887B1 (en) Method and system for creating a certificate to authenticate a user identity
US20070067620A1 (en) Systems and methods for third-party authentication
US20090290715A1 (en) Security architecture for peer-to-peer storage system
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
JP2000003348A (ja) 遠隔的にコマンドを実行する装置
US8085937B1 (en) System and method for securing calls between endpoints
JP4783340B2 (ja) 移動ネットワーク環境におけるデータトラフィックの保護方法
KR102278808B1 (ko) Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
WO2007030517A2 (en) Systems and methods for third-party authentication
CN115361147A (zh) 设备注册方法及装置、计算机设备、存储介质
JP2000224162A (ja) 不可逆関数を用いたクライアント認証方法
CN114070573A (zh) 一种网络访问的认证方法、装置与***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee