CN101764803B - 参与与计算系统的认证的方法 - Google Patents
参与与计算系统的认证的方法 Download PDFInfo
- Publication number
- CN101764803B CN101764803B CN2009102222871A CN200910222287A CN101764803B CN 101764803 B CN101764803 B CN 101764803B CN 2009102222871 A CN2009102222871 A CN 2009102222871A CN 200910222287 A CN200910222287 A CN 200910222287A CN 101764803 B CN101764803 B CN 101764803B
- Authority
- CN
- China
- Prior art keywords
- authentication
- client
- server
- computing system
- client computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明的原理涉及更有效地和安全地认证计算机系统的系统、方法和计算机程序产品。在一些实施例中,有限用途凭证被用于提供更永久的凭证。客户机接收有限用途(如,单次使用)凭证并将此有限用途凭证从安全链路上提交到服务器。服务器提供附加的凭证(用于随后的认证)并将附加的凭证从安全链路发送到客户机。在另一些实施例中,计算机系统使用可扩展的协议自动地协商认证方法。选择相互采用的认证方法,并通过用来加密(以及随后的解密)在客户机和服务器之间传送认证内容的隧道密钥实施安全认证。隧道密钥从共享的机密(如,会话密钥)和不重性中获得。
Description
本申请是2005年3月18日提交的、申请号为200510059224.0、发明名称为“计算机系统的有效的和安全的认证”的发明专利申请的分案申请。
技术领域
本发明涉及可扩展的认证和凭证提供。具体地说,本发明涉及认证机制的自动协商和可用来提供附加凭证的有限用途(limited-use)凭证。
背景技术
计算机系统和相关技术影响了社会的很多方面。的确,计算机系统处理信息的能力已经转变了我们生活和工作的方式。现在计算机系统普遍地履行了许多在计算机系统出现之前由人工实施的任务(如,文字处理、调度和数据库管理)。最近,计算机系统已被相互耦合形成计算机网络,通过它计算机系统可电子化通信从而共享数据。结果,许多在计算机系统进行的任务(如,收发电子邮件和网络浏览),包括了经由计算机网络(例如,因特网)与一个或多个其它计算机系统的电子化通信。
为了使一个计算机系统能与其它计算机系统电子化通信,计算机系统,以及相应的计算机系统用户,可能需要与其它计算机系统(或授权访问其它计算机系统的计算机系统)进行认证(如,证明其身份)。视环境而定,可使用例如,克贝罗斯(Kerberos)、安全套接层(“SSL”),NT局域网管理程序(“NTLM”),和/或摘要认证(Digest authentication)许多种不同计算机认证机制中的任何一种。
一些认证机制包括交互式登录。例如,在一个计算机系统可在因特网上电子化通信前,该计算机系统的用户常被要求与可授权访问互联网的因特网服务供应商(下文中用“ISP”表示)进行接入。与ISP的注册通常包括将用户凭证(如,用户名和口令)从计算机系统提交到ISP。一旦接收到凭证后,ISP将凭证与凭证数据库比较,如果凭证是正确的,计算机系统被授权与因特网通信。
不幸的是,总是有一些非授权用户获得授权用户的凭证并使用这些凭证扮演授权用户的风险。由于授权用户的凭证从根本上允许对特定系统上的所有的授权用户资源(如,文件、电子消息、个人和金融数据、等等)的完全访问,所以凭证中的任何内容可提供非授权用户复制和破坏授权用户的资源的能力。特别是,口令易遭受假想的攻击,例如,受到来自顺序地提交词典中每一个词作为口令(通常被成为“词典攻击”)的程序的攻击。
其它认证机制不包括交互式登录,这样就不存在可被获取的用户凭证。例如,网络服务器可使用SSL对网络客户机证明其身份。当网络客户机接通网络服务器上一个安全的网页(例如,以“https:”开头的网页)时,网络服务器应答,自动地发送一个认证网络服务器的数字证书。网络客户机生成一个独一无二的会话密钥对与网络服务器的所有通信加密。网络客户机用网络服务器的公开密钥(如,在证书中指出)对会话加密,因此只有网络服务器可以阅读会话密钥。这样,不需要任何用户的操作就建立了安全会话。
尽管已经描述了交互式认证和非交互式认证机制的示例,应该理解交互式认证和非交互式认证的实现可在网络和计算机系统之间变化。例如,一个网络可被配置使用克贝罗斯认证,而另一个网络则被配置使用一些其它交互式认证机制。此外,特定的认证机制可具有不同的配置选择,导致认证机制不同地运作。例如,当建立安全会话时,一些SSL的实现允许选择不同的加密算法。
不幸的是,确定计算机系统或网络已经采用的认证机制和/或配置选择是困难或甚至是不可能的。因此,一个计算机系统可能试图使用其它计算机系统未采用的认证机制和/或配置选择与其它计算机系统进行认证。结果,认证会失败并阻止计算机系统的通信。
在分布式系统中试图使用未采用的认证机制认证的尝试的潜在可能性特别高。分布式系统常包括许多互联的计算机系统和网络,其中分布式系统的不同部分在不同实体的控制之下。这些不同的实体可能各自采用不同的认证机制,并可能不一定告知或公布所采用的认证机制的指示。因此,因为第一个部件不知道(可能无法确定)第二个部件所采用的认证机制,分布式计算机系统的第一个部件可能会被阻止与分布式系统的第二个部件认证。
其它认证问题可发生在无线环境中。例如,为使一个设备与混合的有线/无线网络进行无线认证,此设备可能被要求具有与所述网络相应的证书。然而,该网络可能被配置为只允许经认证的设备访问证书。因此,此设备可能会被要求开头经由有线连接连接到网络。要求有线连接来访问证书会加重用户的负担(如,用户可能需要查找网络分接口),并且在一些环境中可能是困难的(如,网络分接口可能处在限制的访问区域中)或甚至是不可能的(例如,一些设备不是为有线访问配置的)。因而,即使是授权的用户也可能被阻止无线地访问网络。
因此,自动协商的认证方法和更安全的凭证提供将是有益的。
发明内容
通过针对更有效和安全地认证的计算机系统的本发明原理,解决了现有技术存在的上述问题。在一些实施例中,客户机计算系统收到有限用途的凭证。在客户机计算系统和服务器计算系统相互之间建立安全的链路。客户机计算系统在已建立的安全链路上将有限用途的凭证提交到服务器计算系统。
服务器计算系统在已建立的安全链路上接收来自客户机计算系统的有限用途凭证。服务器计算系统基于接收到的限制性用户凭证,为客户机计算系统提供一个附加的凭证。服务器计算系统在已建立的安全链路上将附加凭证发送到客户机计算系统。客户机计算系统从服务器计算系统接收附加的凭证。随后客户机服务器系统可随意地使用收到的附加凭证与服务器计算系统进行认证。
在其它实施例中,服务器发送至少包括服务器计算系统采用的认证机制的第一个请求。客户机接收此第一个请求,并发送至少包括客户机计算系统采用的认证机制的第一个应答。客户机和服务器确定一个可被用于加密客户机计算系统和服务器计算系统之间传递的内容的隧道密钥(tunnel key)。
服务器发送包括加密的认证内容(用隧道密钥加密)的第二个请求,指出相互采用的认证机制。客户机接收第二个请求,并用隧道密钥对加密的认证内容进行解密以揭示未加密的认证内容。未加密的认证内容指出相互采用的认证机制。客户机发送第二个应答,包括应答未加密的认证内容的加密的应答数据。加密的应答数据包含按照相互采用的认证机制与服务器进行认证的信息。服务器接收第二个应答,它包括加密的、包含按照相互采用的认证机制与服务器进行认证的信息的应答数据。
本发明的其它特点和优点将在下面的描述中阐明,从描述中部分将是显而易见的,或需通过本发明的实施才能了解。通过在所附的权利要求中特别指出的手段和组合,可实现和获得本发明的特点和优点。本发明的这些或其它的特点将通过下面的描述和所附的权利要求变得更清楚,或通过下文阐述的本发明的实施得以了解。
附图说明
为了描述可获取本发明上述的和其它优点和特点的方式,将通过对附图中例示的本发明的特定实施例的说明,更具体描述以上简述的本发明。应理解这些附图仅描述了本发明的典型实施例,而不应因此被认为限制其范围,将通过使用附图更具体和详细地描述和解释本发明,其中:
图1说明了根据本发明的、有助于使计算机系统更有效和安全地进行认证的计算机体系结构示例。
图2说明了一个根据本发明的提供凭证的示例方法的流程图。
图3说明了一个自动协商认证方法的消息交换过程。
图4说明了一个实现本发明原理的适合的操作环境。
具体实施方式
本发明的原理涉及为了更有效和安全地进行计算机系统认证的系统,方法,和计算机程序产品。本发明范围内的实施例包括,用于承载或具有其上存储着计算机可执行的指令或数据结构的计算机可读介质。所述计算机可读介质可以是任何可被通用的或专用的计算机系统存取的可用介质。作为例子,但不作为限制,所述计算机可读介质可包括:物理存储介质,诸如RAM,ROM,EPROM,CD-ROM或其它光盘存储器,磁盘存储器或其它磁存储设备,或任何其它可用于承载或保存所需的以计算机可执行指令,计算机可读指令,或数据结构等形式存在的程序代码方法,并可被通用或专用计算机系统访问的介质。
在本描述和下列权利要求中,“网络”被定义为能使计算机系统和/或模块之间进行电子数据传输的一个或多个数据链路。当信息通过网络或其它通信连接(或是有线的,无线的,或是有线和无线的组合)被传输或提供到计算机系统时,该连接完全可被看作计算机可读的介质。因而,任何这种连接完全可被定义为计算机可读介质。上述连接的组合也应被包括在计算机可读介质的范围内。计算机可执行指令包括:例如,使通用计算机系统或专用计算机系统能实现某种功能或功能群的指令和数据。计算机可执行指令可以是:例如,二进制的,中间格式的指令,诸如汇编语言,或甚至是源代码等。
在本描述和下列权利要求中,“计算机系统”被定义为一个或多个软件模块,一个或多个硬件模块,或它们的组合,它们共同工作实现对电子数据的操作。例如,计算机系统的定义包括,个人电脑的硬件部件,以及诸如个人电脑的操作系统等软件模块。模块的物理布局是不重要的。计算机系统可包括通过网络耦合的一台或多台计算机。同样地,计算机系统可包括单独的物理设备(诸如移动电话或个人数字助理“PDA”),其中内部模块(诸如存储器和处理器)共同工作以实现对电子数据的操作。
术语“模块”或“部件”用在这里可以指在计算机系统中执行的软件目标或例行程序。这里描述的不同的部件,模块,引擎,和服务器可被作为计算机系统中(例如,作为独立的线程)执行的目标或进程来实现。尽管在这里描述的系统和方法中,最好在软件中实现,但在软件和硬件中,或硬件中实现也是可行的和可以考虑的。
本领域的熟练技术人员可通过许多类型的计算机系统配置,包括,个人计算机,便携式计算机,掌上设备,多处理器系统,基于微处理器或可编程的消费电子产品,网络PC机,微型计算机,大型计算机,移动电话,PDA,寻呼机,以及相关设备,将本发明实施于网络计算机环境中。本发明也可实施于分布式系统环境,其中通过网络链路(或通过有线数据链路,无线数据链路,或通过有线和无线数据链路的组合)的本地和远程计算机系统共同完成任务。在分布式系统环境中,程序模块可位于或本地或远程记忆存储设备中。
图1说明了根据本发明的有助于更有效和安全地进行计算机系统认证的示例计算机体系结构100。如计算机体系结构100中所述,客户机计算系统101包括密钥对103。密钥对103包括公开密钥104和对应的私有密钥106,例如,一组Diffie-Hellman密钥对。服务器计算系统111包括凭证提供模块112和密钥对113。凭证提供模块112被配置为接收第一种类型的凭证,例如,有限用途的凭证,和基于第一种类型的凭证,提供第二种类型的凭证,例如,一个更永久的凭证。与密钥对103类似,密钥对113包括公开密钥114和对应的私有密钥116,例如,一组Diffie-Hellman密钥对。
图2说明了根据本发明用于提供凭证的一种示例方法200的流程图。将根据计算机体系结构100中的计算机系统和模块描述方法200。方法200包括一个接收有限用途凭证的动作(动作201)。例如,客户机计算系统101可接收有限用途凭证102。
有限用途凭证的使用可被限制在任何数量的方法中。例如,有限用途的凭证可对特定使用次数,特定时间段,或直到特定事件的发生有效。基于所采用的安全策略,有限用途凭证可被限定为任何有效使用的次数(如,三次使用)。对认证有效只有一次的有限用途凭证可称为“单次使用凭证”。在特定次数的使用后,此有限用途凭证不再作为有效的凭证被接受。
基于所采用的安全策略,有限用途凭证可被限定于任何特定时间段使用(如,五分钟)。在特定的时间段过去后,此有限用途凭证不再作为有效的凭证被接受。基于所采用的安全策略,任何特定事件可限制有限用途凭证的使用。例如,在提供更永久的凭证后,有限用途凭证可被驳回。
有限用途凭证可经由诸如电话通信或邮件等通信方法,被非常规地(out-of-band)接收。作为代替,也可使用可信的电脑化通信方法接受有限用途凭证(如,将在电子邮件消息中加密有限用途凭证)。
方法200包括客户机方建立安全链路(动作202)和服务器方建立安全链路(动作205)的动作。例如,客户机计算系统101和服务器计算系统111可建立安全链路122。建立安全链路可包括客户机计算系统101和服务器计算系统111交换公开密钥以建立会话密钥。例如,公开密钥104和公开密钥114可被交换,建立会话密钥131。在一些实施例中,会话密钥的建立可足以进行随后的认证,例如,当客户机计算系统101和服务器计算系统111用静态Diffie-Hellman密钥配置。
作为代替,可获得其它密钥提供其它证明。例如,在应答来自服务器计算系统的查问时,客户机计算系统可使用从Diffie-Hellman会话密钥和口令获得的加密密钥加密一个口令,并将加密密钥发送到服务器计算系统。因此,当服务器计算系统接收到这个加密的口令后,服务器计算系统可将口令解密,并将口令与凭证数据库比较以确定口令是否有效。
类似地,客户机计算系统可使用从共享密文和Diffie-Hellman会话密钥获得的加密密钥加密一个信任锚(trust anchor),并将该信任锚传送到服务器计算系统。因此,当服务器计算系统接收到这个加密的信任锚后,服务器计算系统可对该信任锚进行解密和验证。信任锚包括认证相关的数据,例如,证书、(如,X.509证书)、安全令牌(如,WS安全令牌)、证书的散列(hash)(如,SHA-1)和统一资源标识符(“URI”)(如,统一资源定位器(“URL”)),或安全令牌的散列和URI。
同样地,客户机计算系统可发送一个用包括用先前建立的信任锚的摘要签名或包括先前建立的信任锚的摘要的新信任锚。因而,服务器计算系统可基于先前建立的信任锚的签名或散列验证新信任锚。
回到图2,方法200包括在已建立的安全链路上提交有限用途凭证的动作(动作203)。例如,客户机计算系统101可在安全链路122上将有限用途凭证102提交到服务器计算系统111。如上所述,从Diffie-Hellman会话密钥和口令中获得的加密密钥可用来加密口令。这样,有限用途凭证102就可能是使用从会话密钥131和有限用途凭证102中获得的加密密钥进行加密。
方法200包括在已建立的安全链路上接收有限用途凭证的动作(动作206)。例如,服务器计算系统111可在安全链路122上从客户机计算系统101接收有限用途凭证102。同样,作为对先前请求的应答,服务器计算系统111也可从客户机计算系统101接收加密密钥(如,用来加密有限用途凭证102的)。
方法200包括基于接收到的有限用途凭证,为客户机提供附加凭证的动作(动作207)。例如,凭证提供模块121可基于有限用途凭证102为客户机计算系统101提供一个更永久的凭证(或多个凭证)。条件适当时,服务器计算系统111可使用先前接收到的加密密钥对有限用途凭证102进行解密。
凭证提供模块112可将有限用途凭证102与凭证数据库进行比较,以确定有限用途凭证102是否有效。当有限用途凭证102无效时,服务器计算系统111可终止有限用途凭证102的进程。取决于安全策略,服务器计算系统111可通报或不通报客户机计算系统101有限用途凭证102的进程被终止。另一方面,当有限用途凭证有效时,客户机计算系统101身份的可靠性增加了。因而,服务器计算系统可为客户机计算系统101生成一个更永久的凭证(或多个凭证)。例如,凭证提供模块112可生成附加凭证117。
附加凭证117可与有限用途凭证是相同类型的凭证。例如,在应答接收到合适的单次使用口令时,服务器计算系统111可发布更永久的口令。作为代替,附加的凭证117可以是不同类型的凭证。例如,在应答接收到合适的单次使用口令时,服务器计算系统111可发布一个证书,一个令牌(如,WS-安全令牌或Kerberos令牌),一个证书的散列和URI,或一个令牌的散列和URI。
其它凭证支持的数据,例如,证书链,证书撤销表,在线证书状态协议应答,WS-安全令牌,和与交换相关的元数据,也可被识别。被识别的元数据可包括可扩展标记语言(eXtensible Mark-up Language)(“XML”)指令。
方法200包括一个发送附加凭证的动作(动作208)。例如,服务器计算系统111可向客户机计算系统101发送附加凭证117。方法200包括接收附加凭证的动作(动作204)。例如,客户机计算系统101可从服务器计算系统111接收附加凭证117。
因而,本发明的实施例可有助于实现对网络的访问,否则访问可能会被阻止。例如,无线计算机系统可利用有限用途(或单次使用)凭证帮助实现对用于无线访问网络的证书的访问。并且,有限用途凭证可减少计算机系统对词典攻击的脆弱性。例如,在一个恶意用户最终破解有限用途凭证时,有限用途凭证可能不再有效。特别地,既然单次使用的凭证在这一次使用之后变为无效,单次使用的凭证可显著减少词典攻击的脆弱性。
图3说明了用于协商认证机制的消息交换300。应该理解消息交换300可在认证期间其它消息交换之前或之后发生。例如,客户机计算系统和服务器计算系统可交换一个或多个可扩展认证协议(Extensible Authentication Protocol)(“EAP”)的请求/应答对,后者对客户机计算系统和服务器计算系统相互之间进行初步的识别。
消息交换300中所述的请求和应答可以是认证协议的消息。每条消息可包括认证协议的版本号(如,代表受支持的净荷载的类型),消息体,和部分消息体的散列消息认证代码(Hashed Message Authentication Code)(“HMAC”)。HMAC可使用任何加密的散列功能生成,例如,MD5,SHA-1,等。认证协议的消息可被嵌入EAP消息中。
服务器方360可发送服务器请求301到客户机方305。服务器请求301包括前次的数据包ID 302,不重性(nonce)303,和认证方法304。前次的数据包ID302可指示对应于在客户机方350和服务器方360之间被交换的(如,在前次的请求/应答交换中的数据包的数据包ID)最后数据包的数据包ID。不重性(nonce)303可以是服务器方360生成的随机数据。认证方法305可包括在服务器360方支持的推荐的认证机制。服务器方可支持任何数量的不同的认证机制(如,如前所述的查问和应答、MS-CHAP v2、用MD5的认证、用属性令牌卡(Generic Token Card)的认证、用Kerberos的认证、用X.509的认证和用WS-安全认证)。
在应答服务器请求301时,客户机方350可发送客户机应答306到服务器方306。客户机应答306可包括前次的数据包ID307、不重性(nonce)308、安全协议(security association(s))309、公开密钥311和认证方法312。前次的数据包ID307可指示对应服务器请求301的数据包ID。不重性(nonce)308可以是在客户机方360生成的随机数据。安全协议309可包括在客户机方350支持的推荐的安全协议。表1指出了一些可被支持的安全协议。
表1
公开密钥311可包括一个或多个公开密钥。公开密钥311可包括一个对每个支持的安全协议来说具有适当长度(如,1024位,2048位等)的密钥。公开密钥311可以是一个或多个Diffie-Hellman公开密钥,包括,例如公开密钥104。认证方法312可包括在客户机方350受支持的认证机制,并选自认证方法304中包括的认证机制。
在应答客户机应答306时,服务器方360可发送服务器请求313。服务器请求313可包括前次的数据包ID 314,安全协议316,公开密钥317,和其它基于该认证方法的认证数据。前次的数据包ID314可指示对应于客户机应答306的数据包ID。安全协议316可指示在服务器方360支持的安全协议,并选自安全协议309包括的认证方法。公开密钥317可以是一个对安全协议316中所指示的安全协议来说具有适当长度的密钥。公开密钥317可以是一个Diffie-Hellman公开密钥,例如公开密钥114。
因而,基于来自公开密钥311和公开密钥317的、长度适当的密钥,可在客户机方350和服务器方360之间建立一个安全链路。
通常,在客户机方350和服务器方360之间发送的加密的数据是使用隧道密钥加密的。隧道密钥可通过将Diffie-Hellman共享的机密(如,会话密钥131)与客户机和服务器的不重性(nonce)重组经散列后获得。例如,可按照以下公式获得隧道密钥:
隧道密钥=HASH[DHss+Nc+Ns]
隧道密钥是一个对称的密钥。这就是说隧道密钥可用来对使用隧道密钥加密的加密数据进行解密。因而,客户机方350可用隧道密钥对将要发送到服务器方360的数据加密,并可用隧道密钥对从服务器方360接收的内容进行解密。类似地,服务器方360可用隧道密钥对将要发送到客户机方350的数据加密,并可用隧道密钥对从客户机方350接收的内容进行解密。
当客户机方350和服务器方360进行协商时,服务器请求313可包括协商加密的内容318。协商加密的内容318可包括查问319,认证方法321,和信任锚322。查问319可以是先前数据包ID(如,前次的数据包ID314)使用共享密码(如,会话密钥131)的一个HMAC。例如,查问319可按照以下公式设置:
查问=HMACss[PPid]
服务器方360可对查问维持适当的应答。例如,一个适当的应答可以是查问使用共享密码的HMAC。一个适当的应答可按照以下公式设置:
应答s=HMACss[查问]
认证方法321可指出客户机方350和服务器方360相互支持的认证方法。信任锚322可以是如前所述的信任锚。
当客户机方350与服务器方再认证时(如,协商后若干时间的认证),服务器请求313可转而包括再认证加密的328。加密的再认证内容可包括认证签名329和身份证书331。认证签名329可包括签名ID类型(如,SHA-1(密钥ID长度=20字节)或SHA256(密钥ID长度=32字节)),签名密钥ID,和签名类型(如,HMAC,RSA PKCS#1,RSA PSS,或DSA)。身份证书331可包括,例如,X.509证书、Kerberos令牌、WS-安全令牌、原始公开密钥(RawPublic Key)、X.509证书的散列和URL、WS-安全令牌的散列和URL、原始公开密钥(Raw Public Key)的散列和URL。
应该理解,服务器请求313中可交替地包括其它类型的加密的认证内容(代替协商加密的内容318或再认证加密的内容328)。例如,当使用存在的用户名和口令引导一台客户机时,服务器请求313可能已经加密了包括认证签名、身份证书和认证方法等内容。
当用X.509证书引导一台新的客户机时,服务器请求313可能已经加密了包括查问,信任锚,认证方法,和注册请求等内容。注册请求可包括请求类型(如,Kerberos TGT请求、Kerberos AS请求、PCKS#10请求、或CMC请求)、密钥类型(如,RSA签名,DSA,ECDSA,或DH+ECDH)、密钥子类型(如,PSA签名密钥或DH+ECDH密钥)和密钥大小(如,1024位)。当用X.509证书认证时,请求313可能已经加密了包括认证签名、认可的证书、和认证方法等内容。
当用Kerberos权证(ticket)引导一台新的客户机时,服务器请求313可能已经加密了包括查问和注册请求等内容。
应答服务器请求313时,客户机方350可发送客户机应答332。客户机应答332可包括前次的数据包ID333和应答包含在服务器请求313中的加密内容的数据。前次的数据包ID333可指示对应服务器请求313的数据包ID。当客户机方350和服务器方360进行协商时,客户机应答332可包括加密的应答334(用隧道密钥加密)。加密的应答334可以是查问319的应答。
客户机方350可对查问319生成适当的应答。例如,适当的应答可以是查问119使用共享密码的HMAC。一个适当的应答可按照以下公式设置:
应答c=HMACss[查问]
当客户机方350与服务器方360再认证时,客户机应答332可包括认证签名336。
应该理解应答加密认证内容(代替加密的应答334或认证签名336)的其它类型的数据,可交替地包括在客户机应答332中。例如,当使用存在的用户名和口令引导一台客户机时,客户机应答332可能已经加密了应答数据,包括查问、终端用户身份的净荷载和域身份的净荷载。终端用户身份的净荷载和域身份的净荷载可包括一个称名类型(如,完全资格的DNS名称、e-mail地址、Ipv4地址、Ipv6地址、DER编码的X.500识别名称或区域名称)。
当用X.509证书引导新客户机时,客户机应答332可能已经加密了包括应答和证书请求等应答数据。当用X.509证书认证时,客户机应答332可能已经加密了包括认证签名和认可的证书等应答数据。当用Kerberos权证引导新客户机时,客户机应答332可能已经加密了包括应答和证书请求的应答数据。
本发明的实施例有助于从许多不同的认证机制中实现协商性的认证机制。客户机计算系统和服务器计算系统可识别相互支持的认证机制,并将识别的机制用于认证。自动化的协商将用户从必须了解可能被网络采用的认证机制中解放出来。因而,可更有效地进行认证。
图4和以下论述旨在对可实现本发明的合适的计算机环境作简要、概括的描述。尽管未被要求,本发明将在计算机可执行指令的一般环境中描述,例如正在被计算机系统执行的程序模块。通常,程序模块包括例行程序,程序,对象,组件,数据结构,以及类似模块,它们实施特定任务或实现特定抽象数据类型。计算机可执行指令,相关的数据结构,和程序模块代表程序代码方法的示例,用来执行这里揭示的方法的动作。
如图4所示,一个实现本发明的示例系统,包括以计算机系统420为形式的通用计算机设备,包括处理单元421,系统存储器422,和系统总线423,后者将包括系统存储器的各种系统部件耦合到处理单元421。处理单元421可执行用来实现计算机系统420的特点(包括本发明的特点)而设计的计算机可执行指令。系统总线423可任选自多种类型的总线结构,包括存储总线或存储控制器、外围设备总线和使用多种总线体系结构中的一种局部总线。系统存储器包括只读存储器(“ROM”)424和随机存取存储器(“RAM”)425。基本输入/输出系统(“BIOS”)426,包含在诸如启动时帮助在计算机系统420的元件之间传递信息的基本例行程序,可储存在ROM 424中。
计算机系统420也可包括用来从硬磁盘439读出和写入的硬磁盘驱动器427,用来从可移动磁盘429读出和写入的磁盘驱动器428,和用来从可移动光盘,例如,CD-ROM或其它光介质431读出和写入的光盘驱动器430。硬磁盘驱动器427,磁盘驱动器428,和光盘驱动器430分别通过硬磁盘驱动器接口432,磁盘驱动器接口433和光驱动器接口434连接到系统总线423。这些驱动器和它们相关的计算机可读介质,提供了计算机可执行指令,数据结构,程序模块,和用于计算机系统420的其它数据的非易失的存储。尽管此处描述的示例环境采用了硬磁盘439,可移动磁盘429和可移动光盘431,也可使用其它类型用于存储数据的计算机可读介质,包括盒式磁带、闪存卡、数字多用光盘、伯努力磁带(Bernoulli cartridges)、RAMs、ROMs等。存储器132可以是所述类型的计算机可读介质的一部分。
程序代码方法包含可储存在硬盘439,磁盘429,光盘431,ROM 424或RAM 425中的一个或多个程序模块,包括操作系统435,一个或多个应用程序436,其它程序模块437,和程序数据438。用户可通过键盘440、指示设备442、或其输入设备(未显示),例如,话筒、游戏操纵杆、游戏板、扫描仪等将命令和信息输入计算机系统420。这些和其它输入设备可通过耦合到系统总线423的输入/输出接口446连接到处理单元421。输入/输出接口446逻辑上代表任何多种可能的接口,例如,串行端口接口,PS/2接口,并行端口接口,通用串行总线(“USB”)接口,或电气和电子工程师协会(“IEEE”)1394接口(即防火线(Fire Wire),或甚至在逻辑上可代表不同接口的组合。
监视器447或其它显示设备也经由视频接口448被连接到系统总线423。监视器447可显示单色和/或彩色图形对象,包括计算机系统420生成的文本。其它外围设备(未显示),例如,扬声器,打印机,和扫描仪,也可被连接到计算机系统420。连接到计算机系统447的打印机可打印单色和/或彩色图形对象,包括计算机系统420生成的文本。
计算机系统420可连接到各种网络,例如,办公室或企业范围的计算机网络,家庭网络,内联网,和/或因特网。计算机系统420可通过这些网络与例如,远程计算机系统,远程应用,和/或远程数据库的外部资源交换数据。
计算机系统420包括网络接口453,通过它计算机系统420从外部资源接收数据和/或传输数据到外部资源。如图4所述,网络接口453有助于实现经由链路451与远程计算机系统483的数据交换。网络接口453逻辑上可代表一个或多个软件和/或硬件模块,例如,网络接口卡和对应的网络驱动器接口规范(“NDIS”)栈。链路451代表网络的一部分(如,以太网分段),远程计算机系统483代表网络的一个结点。
同样地,计算机系统420包括输入/输出接口446,通过它们计算机系统420从外部资源接收数据和/或传输数据到外部资源。输入/输出接口446被耦合到调制解调器454(如,标准调制解调器,电缆调制解调器,或数字用户线(“DSL”)调制解调器),通过它们计算机系统420从外部资源接收数据和/或传输数据到外部资源。如图4所述,输入/输出接口446和调制解调器454有助于实现经由链路452与远程计算机系统493的数据交换。链路452代表网络的一部分,远程计算机系统493代表网络的一个结点。
尽管图4代表了本发明一个合适的操作环境,但本发明的原理可被任何可实现本发明的原理的系统采用,如有必要可适当地修改。图4说明的环境仅是说明性的,决不代表大量的可实现本发明原理的环境中的哪怕是一小部分。
按照本发明,例如凭证提供模块112的模块,以及相关的程序数据,例如,有限用途凭证102,密钥对103和113,服务器请求301和313,和客户机应答306和332,可在与任何计算机系统420相关的计算机可读介质中存储和被访问。例如,部分这种模块和部分相关程序数据可包括在存储在系统存储器422中的操作系统435、应用程序436、程序模块437和/或程序数据438中。
当一个大容量存储设备,例如硬磁盘439被耦合到计算机系统420时,这种模块和相关程序数据也可存储在此大容量存储设备中。在网络化环境中,所述的涉及计算机系统420的程序模块,或其一部分,可存储在远程记忆存储设备中,例如,系统存储器和/或与远程计算机系统483和/或远程计算机系统493相关的大容量存储设备。这种模块的执行可在分布式环境中实施。
在不背离精神或本质特征的情况下,本发明可以其它特定形式中实施。所述实施例在任何方面将仅是说明性的,而非限制性的。所以本发明的范围由所附的权利要求,而不是以上的描述给出。所有等价于权利要求的含义和范围内的改变,都将被归入权利要求的范围内。
Claims (22)
1.在客户机计算系统中的一种参与与服务器计算系统的认证的方法,所述方法包括:
由所述客户机计算系统接收第一服务器请求,所述第一服务器请求至少包括关于在服务器计算系统采用的认证机制的第一指示以及服务器不重性;
由所述客户机计算系统向所述服务器计算系统发送第一应答,所述第一应答包括客户机公开密钥、客户机不重性以及包含在来自所述服务器计算系统的第一指示中的且同样在所述客户机计算系统采用的选择的一组认证机制;
识别能用于加密在所述客户机计算系统和所述服务器计算系统之间传送的内容的隧道密钥,所述隧道密钥包括会话密钥和所述服务器不重性及客户机不重性串接后的散列;
接收包括加密的认证内容的第二服务器请求,所述加密的认证内容是用所述隧道密钥加密的且包括服务器查问、相互采用的认证机制以及信任锚;
用所述隧道密钥对所述加密的认证内容解密以显示未加密的认证内容,所述未加密的认证内容指示出所述相互采用的认证机制、所述服务器查问以及所述信任锚;以及
发送对所述第二服务器请求的第二应答,所述第二应答包括响应于所述未加密的认证内容的加密的应答数据,所述加密的应答数据包括客户机查问、对应于所述服务器查问的经散列的消息认证代码和客户机认证签名中的至少一个,所述加密的应答数据用于按照所述相互采用的认证机制来与服务器计算系统认证所述客户机计算系统。
2.如权利要求1所述的方法,其特征在于,所述第一服务器请求包括与存在于所述客户机计算系统和所述服务器计算系统之间的前次会话对应的前次数据包ID。
3.如权利要求1所述的方法,其特征在于,在所述服务器计算系统采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
4.如权利要求1所述的方法,其特征在于,在所述客户机计算系统采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
5.如权利要求1所述的方法,其特征在于,所述第一应答包括多个公开密钥。
6.如权利要求1所述的方法,其特征在于,接收第二服务器请求包括:接收对应于一认证方法的加密的认证内容,所述认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
7.如权利要求6所述的方法,其特征在于,所述第二服务器请求包括前次的数据包ID。
8.如权利要求6所述的方法,其特征在于,发送第二应答包括:发送用于一认证方法的加密的应答数据,该认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
9.如权利要求7所述的方法,其特征在于,所述第二应答包括所述前次的数据包ID。
10.如权利要求1所述的方法,其特征在于,所述第一应答还包括多个安全协议,所述第二请求包括从所述多个安全协议中选择的一个安全协议。
11.如权利要求1所述的方法,其特征在于,所述第二应答包括所述客户机查问。
12.如权利要求1所述的方法,其特征在于,所述第二应答包括所述经散列的消息认证代码。
13.如权利要求1所述的方法,其特征在于,所述第二应答包括所述客户机认证签名。
14.在服务器计算系统中的一种用于参与与客户机计算系统的认证的方法,所述方法包括:
由所述服务器计算系统发送第一请求,所述第一请求至少包括关于在所述服务器计算系统采用的认证机制的第一指示和服务器不重性;
由所述服务器计算系统接收对所述第一请求的第一客户机应答,所述第一客户机应答包括客户机公共密钥、客户机不重性以及包含在所述服务器计算系统采用的认证机制的第一指示中的且同样在所述客户机计算系统采用的选择的一组认证机制;
识别能用于加密在所述客户机计算系统和所述服务器计算系统之间传送的内容的隧道密钥,所述隧道密钥包括会话密钥和所述服务器不重性及客户机不重性串接后的散列;
发送包括加密的认证内容的第二请求,所述加密的认证内容是用所述隧道密钥加密的,所述加密的认证内容包括服务器查问、相互采用的认证机制以及信任锚;以及
接收第二客户机应答,所述第二客户机应答包括响应于所述加密的认证内容的加密的应答数据,所述加密的应答数据包括客户机查问、对应于所述服务器查问的经散列的消息认证代码和客户机认证签名中的至少一个,所述加密的应答数据用于按照所述相互采用的认证机制来与服务器计算系统认证所述客户机计算系统。
15.如权利要求14所述的方法,其特征在于,所述第一请求包括与存在于所述客户机计算系统和所述服务器计算系统之间的前次会话对应的前次数据包ID。
16.如权利要求14所述的方法,其特征在于,在所述服务器计算系统采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证和用WS-安全的认证中的一个或多个认证机制。
17.如权利要求14所述的方法,其特征在于,在所述客户机计算系统采用的认证机制包括选自MS-CHAP v2、用MD5的认证、用属性令牌卡的认证、用Kerberos的认证、用X.509的认证、和用WS-安全的认证中的一个或多个认证机制。
18.如权利要求14所述的方法,其特征在于,所述第一客户机应答包括多个公开密钥。
19.如权利要求14所述的方法,其特征在于,发送第二请求包括:发送对应于一认证方法的加密的认证内容,所述认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证和用Kerberos令牌引导新客户机。
20.如权利要求19所述的方法,其特征在于,所述第二请求包括前次的数据包ID。
21.如权利要求19所述的方法,其特征在于,接收第二客户机应答包括:接收用于一认证方法的加密的应答数据,该认证方法选自:用存在的用户名和口令引导客户机、用X.509证书引导客户机、用X.509证书认证,和用Kerberos令牌引导新客户机。
22.如权利要求21所述的方法,其特征在于,所述第二客户机应答包括所述前次的数据包ID。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/804,591 | 2004-03-19 | ||
| US10/804,591 US7549048B2 (en) | 2004-03-19 | 2004-03-19 | Efficient and secure authentication of computing systems |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100592240A Division CN1722658A (zh) | 2004-03-19 | 2005-03-18 | 计算机系统的有效的和安全的认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101764803A CN101764803A (zh) | 2010-06-30 |
| CN101764803B true CN101764803B (zh) | 2013-02-27 |
Family
ID=34838939
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009102222871A Expired - Lifetime CN101764803B (zh) | 2004-03-19 | 2005-03-18 | 参与与计算系统的认证的方法 |
| CNA2005100592240A Pending CN1722658A (zh) | 2004-03-19 | 2005-03-18 | 计算机系统的有效的和安全的认证 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005100592240A Pending CN1722658A (zh) | 2004-03-19 | 2005-03-18 | 计算机系统的有效的和安全的认证 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7549048B2 (zh) |
| EP (2) | EP2105819B1 (zh) |
| JP (1) | JP4746333B2 (zh) |
| KR (1) | KR101130356B1 (zh) |
| CN (2) | CN101764803B (zh) |
| ES (1) | ES2595105T3 (zh) |
Families Citing this family (116)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7370212B2 (en) | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
| EP1714418B1 (en) * | 2004-02-11 | 2017-01-11 | Telefonaktiebolaget LM Ericsson (publ) | Key management for network elements |
| US20060242406A1 (en) | 2005-04-22 | 2006-10-26 | Microsoft Corporation | Protected computing environment |
| US8074287B2 (en) * | 2004-04-30 | 2011-12-06 | Microsoft Corporation | Renewable and individualizable elements of a protected environment |
| WO2006012044A1 (en) * | 2004-06-28 | 2006-02-02 | Japan Communications, Inc. | Methods and systems for encrypting, transmitting, and storing electronic information and files |
| US20060026268A1 (en) * | 2004-06-28 | 2006-02-02 | Sanda Frank S | Systems and methods for enhancing and optimizing a user's experience on an electronic device |
| WO2006012058A1 (en) * | 2004-06-28 | 2006-02-02 | Japan Communications, Inc. | Systems and methods for mutual authentication of network |
| US7603700B2 (en) * | 2004-08-31 | 2009-10-13 | Aol Llc | Authenticating a client using linked authentication credentials |
| US8347078B2 (en) | 2004-10-18 | 2013-01-01 | Microsoft Corporation | Device certificate individualization |
| US8117452B2 (en) * | 2004-11-03 | 2012-02-14 | Cisco Technology, Inc. | System and method for establishing a secure association between a dedicated appliance and a computing platform |
| US8336085B2 (en) | 2004-11-15 | 2012-12-18 | Microsoft Corporation | Tuning product policy using observed evidence of customer behavior |
| US7114648B2 (en) * | 2005-01-31 | 2006-10-03 | Stratitec, Inc. | Networked time-keeping system |
| WO2006085207A1 (en) * | 2005-02-11 | 2006-08-17 | Nokia Corporation | Method and apparatus for providing bootstrapping procedures in a communication network |
| US8438645B2 (en) | 2005-04-27 | 2013-05-07 | Microsoft Corporation | Secure clock with grace periods |
| US7640430B2 (en) * | 2005-04-04 | 2009-12-29 | Cisco Technology, Inc. | System and method for achieving machine authentication without maintaining additional credentials |
| US7975140B2 (en) * | 2005-04-08 | 2011-07-05 | Nortel Networks Limited | Key negotiation and management for third party access to a secure communication session |
| US8725646B2 (en) | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
| US7739505B2 (en) * | 2005-04-22 | 2010-06-15 | Microsoft Corporation | Linking Diffie Hellman with HFS authentication by using a seed |
| US9436804B2 (en) | 2005-04-22 | 2016-09-06 | Microsoft Technology Licensing, Llc | Establishing a unique session key using a hardware functionality scan |
| US9363481B2 (en) | 2005-04-22 | 2016-06-07 | Microsoft Technology Licensing, Llc | Protected media pipeline |
| US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
| US8181232B2 (en) * | 2005-07-29 | 2012-05-15 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| US20070050630A1 (en) * | 2005-08-24 | 2007-03-01 | Samsung Electronics Co., Ltd. | Authentication method and system for asynchronous eventing over the internet |
| US20070067780A1 (en) * | 2005-08-24 | 2007-03-22 | Samsung Electronics Co., Ltd. | Method and system for asynchronous eventing over the internet |
| US9002750B1 (en) | 2005-12-09 | 2015-04-07 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US7904946B1 (en) | 2005-12-09 | 2011-03-08 | Citicorp Development Center, Inc. | Methods and systems for secure user authentication |
| US9768963B2 (en) | 2005-12-09 | 2017-09-19 | Citicorp Credit Services, Inc. (Usa) | Methods and systems for secure user authentication |
| US8091120B2 (en) * | 2005-12-21 | 2012-01-03 | At&T Intellectual Property I, L.P. | Adaptive authentication methods, systems, devices, and computer program products |
| KR101009330B1 (ko) * | 2006-01-24 | 2011-01-18 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터 |
| CN101060406B (zh) * | 2006-04-20 | 2010-05-12 | 华为技术有限公司 | 一种端到端通信认证的方法及装置 |
| CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| CN101051898B (zh) * | 2006-04-05 | 2010-04-21 | 华为技术有限公司 | 无线网络端到端通信认证方法及其装置 |
| US7565539B2 (en) * | 2006-07-03 | 2009-07-21 | Viasat Inc. | Method and apparatus for secure communications |
| CN101102180B (zh) * | 2006-07-03 | 2010-08-25 | 联想(北京)有限公司 | 基于硬件安全单元的系统间绑定及平台完整性验证方法 |
| US7958368B2 (en) * | 2006-07-14 | 2011-06-07 | Microsoft Corporation | Password-authenticated groups |
| US7865727B2 (en) * | 2006-08-24 | 2011-01-04 | Cisco Technology, Inc. | Authentication for devices located in cable networks |
| US20080072292A1 (en) * | 2006-09-01 | 2008-03-20 | Narjala Ranjit S | Secure device introduction with capabilities assessment |
| US7827405B2 (en) * | 2007-01-19 | 2010-11-02 | Microsoft Corporation | Mechanism for utilizing kerberos features by an NTLM compliant entity |
| US8707416B2 (en) * | 2007-01-19 | 2014-04-22 | Toshiba America Research, Inc. | Bootstrapping kerberos from EAP (BKE) |
| US8307411B2 (en) * | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| EP1965558B1 (en) * | 2007-03-01 | 2011-10-19 | Mitsubishi Electric Corporation | Method, apparatuses and computer program product for robust digest authentication using two types of nonce values |
| US8817990B2 (en) * | 2007-03-01 | 2014-08-26 | Toshiba America Research, Inc. | Kerberized handover keying improvements |
| US8381268B2 (en) * | 2007-05-11 | 2013-02-19 | Cisco Technology, Inc. | Network authorization status notification |
| US8539233B2 (en) * | 2007-05-24 | 2013-09-17 | Microsoft Corporation | Binding content licenses to portable storage devices |
| CN101340281B (zh) * | 2007-07-02 | 2010-12-22 | 联想(北京)有限公司 | 针对在网络上进行安全登录输入的方法和系统 |
| KR100948604B1 (ko) * | 2008-03-25 | 2010-03-24 | 한국전자통신연구원 | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 |
| US8094812B1 (en) | 2007-09-28 | 2012-01-10 | Juniper Networks, Inc. | Updating stored passwords |
| CN101431413B (zh) * | 2007-11-08 | 2012-04-25 | 华为技术有限公司 | 进行认证的方法、系统、服务器及终端 |
| US8347374B2 (en) * | 2007-11-15 | 2013-01-01 | Red Hat, Inc. | Adding client authentication to networked communications |
| EP3079298B1 (en) * | 2007-11-30 | 2018-03-21 | Telefonaktiebolaget LM Ericsson (publ) | Key management for secure communication |
| US8503679B2 (en) * | 2008-01-23 | 2013-08-06 | The Boeing Company | Short message encryption |
| US8943560B2 (en) * | 2008-05-28 | 2015-01-27 | Microsoft Corporation | Techniques to provision and manage a digital telephone to authenticate with a network |
| US8181861B2 (en) | 2008-10-13 | 2012-05-22 | Miri Systems, Llc | Electronic transaction security system and method |
| CA2738466C (en) * | 2008-11-28 | 2018-03-13 | International Business Machines Corporation | Apparatus for shielding sensitive file, server computer of the same, method and computer program product for the same |
| CA2753576A1 (en) * | 2009-02-25 | 2010-09-02 | Miri Systems, Llc | Payment system and method |
| US8230231B2 (en) * | 2009-04-14 | 2012-07-24 | Microsoft Corporation | One time password key ring for mobile computing device |
| MX2012004070A (es) * | 2009-10-05 | 2012-08-17 | Miri Systems Llc | Sistema y metodo de seguridad de transaccion electronica. |
| US8606234B2 (en) * | 2009-12-31 | 2013-12-10 | Symantec Corporation | Methods and apparatus for provisioning devices with secrets |
| EP2604017B1 (en) * | 2010-08-10 | 2017-10-04 | Google Technology Holdings LLC | System and method for cognizant transport layer security |
| US9645992B2 (en) | 2010-08-21 | 2017-05-09 | Oracle International Corporation | Methods and apparatuses for interaction with web applications and web application data |
| CN102025748B (zh) * | 2011-01-04 | 2013-01-23 | 深信服网络科技(深圳)有限公司 | 获取Kerberos认证方式的用户名的方法、装置和系统 |
| DE102011013562B3 (de) * | 2011-03-10 | 2012-04-26 | Bundesrepublik Deutschland, vertreten durch das Bundesministerium des Innern, vertreten durch den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik | Verfahren zur Authentisierung, RF-Chip-Dokument, RF-Chip-Lesegerät und Computerprogrammprodukte |
| US8793780B2 (en) * | 2011-04-11 | 2014-07-29 | Blackberry Limited | Mitigation of application-level distributed denial-of-service attacks |
| US8914636B2 (en) * | 2011-06-28 | 2014-12-16 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
| US8886925B2 (en) | 2011-10-11 | 2014-11-11 | Citrix Systems, Inc. | Protecting enterprise data through policy-based encryption of message attachments |
| US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US20150009522A1 (en) * | 2012-01-31 | 2015-01-08 | Hewlett-Packarsd Development Company, L.P. | Selection of a configuration link to receive activation data |
| US9722972B2 (en) | 2012-02-26 | 2017-08-01 | Oracle International Corporation | Methods and apparatuses for secure communication |
| US9031050B2 (en) * | 2012-04-17 | 2015-05-12 | Qualcomm Incorporated | Using a mobile device to enable another device to connect to a wireless network |
| US8997193B2 (en) * | 2012-05-14 | 2015-03-31 | Sap Se | Single sign-on for disparate servers |
| US9774658B2 (en) | 2012-10-12 | 2017-09-26 | Citrix Systems, Inc. | Orchestration framework for connected devices |
| US9189645B2 (en) | 2012-10-12 | 2015-11-17 | Citrix Systems, Inc. | Sharing content across applications and devices having multiple operation modes in an orchestration framework for connected devices |
| US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| WO2014062804A1 (en) | 2012-10-16 | 2014-04-24 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US9166969B2 (en) * | 2012-12-06 | 2015-10-20 | Cisco Technology, Inc. | Session certificates |
| US10051467B2 (en) | 2013-01-23 | 2018-08-14 | Microsoft Technology Licensing, Llc | Restricted-use authentication codes |
| JP6480908B2 (ja) | 2013-03-15 | 2019-03-13 | オラクル・インターナショナル・コーポレイション | アプリケーション間におけるコンピュータ間の保護された通信 |
| US9129112B2 (en) | 2013-03-15 | 2015-09-08 | Oracle International Corporation | Methods, systems and machine-readable media for providing security services |
| US9344422B2 (en) | 2013-03-15 | 2016-05-17 | Oracle International Corporation | Method to modify android application life cycle to control its execution in a containerized workspace environment |
| US9961078B2 (en) * | 2013-03-28 | 2018-05-01 | Thomson Licensing | Network system comprising a security management server and a home network, and method for including a device in the network system |
| US9413736B2 (en) | 2013-03-29 | 2016-08-09 | Citrix Systems, Inc. | Providing an enterprise application store |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9225516B1 (en) * | 2013-10-03 | 2015-12-29 | Whatsapp Inc. | Combined authentication and encryption |
| US20150134966A1 (en) | 2013-11-10 | 2015-05-14 | Sypris Electronics, Llc | Authentication System |
| WO2015179849A2 (en) * | 2014-05-22 | 2015-11-26 | Sypris Electronics, Llc | Network authentication system with dynamic key generation |
| KR102263913B1 (ko) | 2014-09-24 | 2021-06-14 | 오라클 인터내셔날 코포레이션 | 컨테이너화된 작업공간 환경에서 그것의 실행을 제어하기 위하여 안드로이드 애플리케이션 라이프 사이클을 수정하기 위한 방법 |
| US9998449B2 (en) * | 2014-09-26 | 2018-06-12 | Qualcomm Incorporated | On-demand serving network authentication |
| US20160128104A1 (en) * | 2014-11-05 | 2016-05-05 | Google Inc. | In-field smart device updates |
| US9760501B2 (en) | 2014-11-05 | 2017-09-12 | Google Inc. | In-field smart device updates |
| CN104660583B (zh) * | 2014-12-29 | 2018-05-29 | 国家电网公司 | 一种基于Web加密服务的加密服务方法 |
| WO2016202375A1 (en) | 2015-06-17 | 2016-12-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for enabling a secure provisioning of a credential, and related wireless devices and servers |
| AU2016287728B2 (en) | 2015-06-30 | 2020-05-21 | Visa International Service Association | Confidential authentication and provisioning |
| CN108028829A (zh) | 2015-07-02 | 2018-05-11 | 瑞典爱立信有限公司 | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 |
| KR101693249B1 (ko) * | 2015-09-08 | 2017-01-06 | 충북대학교 산학협력단 | 어플리케이션 관리 시스템 및 방법 |
| US10575273B2 (en) * | 2016-03-31 | 2020-02-25 | Intel Corporation | Registration of devices in secure domain |
| US10142323B2 (en) * | 2016-04-11 | 2018-11-27 | Huawei Technologies Co., Ltd. | Activation of mobile devices in enterprise mobile management |
| US10742625B2 (en) * | 2016-09-30 | 2020-08-11 | Panasonic Avionics Corporation | Automated delivery of security credentials to scheduled crew |
| EP4354926A3 (en) * | 2016-12-08 | 2024-08-14 | GN Hearing A/S | Hearing device system, devices and method of creating a trusted bond between a hearing device and a user application |
| DK3334185T3 (da) | 2016-12-08 | 2021-09-13 | Gn Hearing As | Hearing system, devices and method of securing communication for a user application |
| US10574445B2 (en) | 2016-12-21 | 2020-02-25 | Intel IP Corporation | Range constrained device configuration |
| WO2018147878A1 (en) * | 2017-02-13 | 2018-08-16 | Hewlett-Packard Development Company, L.P. | Credentialed encryption |
| US11075906B2 (en) | 2017-12-28 | 2021-07-27 | Shoppertrak Rct Corporation | Method and system for securing communications between a lead device and a secondary device |
| CN112997449A (zh) * | 2018-07-29 | 2021-06-18 | 诺文公司 | 用于数据通信网络的安全方法 |
| US10791462B2 (en) * | 2018-10-15 | 2020-09-29 | Cisco Technology, Inc. | Flexible device onboarding via bootstrap keys |
| TWI690820B (zh) * | 2019-01-15 | 2020-04-11 | 臺灣網路認證股份有限公司 | 以嵌入式瀏覽器模組管理憑證之系統及方法 |
| EP4203394A1 (en) * | 2019-09-17 | 2023-06-28 | Mastercard International Incorporated | Techniques for repeat authentication |
| CN112688907B (zh) * | 2019-10-17 | 2023-06-30 | 华为技术有限公司 | 组合式设备远程证明模式协商方法及相关设备,存储介质 |
| US11870768B1 (en) | 2020-04-10 | 2024-01-09 | Cisco Technology, Inc. | Certificate-based techniques to securely onboard a radio interface unit |
| EP4281851A4 (en) | 2021-01-25 | 2025-04-02 | Volumez Tech Ltd | REMOTE STORAGE METHOD AND SYSTEM |
| CN113378141A (zh) * | 2021-08-12 | 2021-09-10 | 明品云(北京)数据科技有限公司 | 一种文本数据传输方法、系统、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001011452A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| WO2001054379A1 (en) * | 2000-01-18 | 2001-07-26 | Telefonaktiebolaget Lm Ericsson (Publ) | A secure communication method for mobile ip |
| CN1433537A (zh) * | 2000-04-24 | 2003-07-30 | 微软公司 | 动态网络中的安全链路管理 |
Family Cites Families (69)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH04245818A (ja) * | 1991-01-31 | 1992-09-02 | Pioneer Electron Corp | 情報伝送システム |
| JPH0515422A (ja) * | 1991-07-12 | 1993-01-26 | Matsushita Seiko Co Ltd | 調理装置 |
| JPH06261033A (ja) * | 1993-03-08 | 1994-09-16 | Nippon Telegr & Teleph Corp <Ntt> | 認証制御方式 |
| US7058696B1 (en) * | 1996-11-22 | 2006-06-06 | Mangosoft Corporation | Internet-based shared file service with native PC client access and semantics |
| US7756986B2 (en) * | 1998-06-30 | 2010-07-13 | Emc Corporation | Method and apparatus for providing data management for a storage system coupled to a network |
| US6182142B1 (en) * | 1998-07-10 | 2001-01-30 | Encommerce, Inc. | Distributed access management of information resources |
| US6304973B1 (en) * | 1998-08-06 | 2001-10-16 | Cryptek Secure Communications, Llc | Multi-level security network system |
| US6845395B1 (en) * | 1999-06-30 | 2005-01-18 | Emc Corporation | Method and apparatus for identifying network devices on a storage network |
| US6892307B1 (en) * | 1999-08-05 | 2005-05-10 | Sun Microsystems, Inc. | Single sign-on framework with trust-level mapping to authentication requirements |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| US6782412B2 (en) * | 1999-08-24 | 2004-08-24 | Verizon Laboratories Inc. | Systems and methods for providing unified multimedia communication services |
| US7085931B1 (en) * | 1999-09-03 | 2006-08-01 | Secure Computing Corporation | Virtual smart card system and method |
| JP3437990B2 (ja) * | 2000-03-17 | 2003-08-18 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 通信方法、通信端末、無線アドホックネットワークおよび携帯電話 |
| US6907546B1 (en) * | 2000-03-27 | 2005-06-14 | Accenture Llp | Language-driven interface for an automated testing framework |
| US6636966B1 (en) * | 2000-04-03 | 2003-10-21 | Dphi Acquisitions, Inc. | Digital rights management within an embedded storage device |
| ATE472208T1 (de) * | 2000-04-28 | 2010-07-15 | Swisscom Ag | Verfahren zur sicherung der kommunikation zwischen einem endgerät und einer zusätzlichen benutzervorrichtung |
| WO2001086386A2 (en) * | 2000-05-10 | 2001-11-15 | Tech Link International Entertainment Ltd. | Security system for high level transactions between devices |
| JP2002041474A (ja) * | 2000-07-31 | 2002-02-08 | Oki Electric Ind Co Ltd | 認証方法 |
| FR2812504B1 (fr) * | 2000-07-31 | 2003-01-24 | At Sky | Systeme de cryptage/decryptage "a la volee" pour la diffusion de donnees |
| US6912522B2 (en) * | 2000-09-11 | 2005-06-28 | Ablesoft, Inc. | System, method and computer program product for optimization and acceleration of data transport and processing |
| US6807569B1 (en) * | 2000-09-12 | 2004-10-19 | Science Applications International Corporation | Trusted and anonymous system and method for sharing threat data to industry assets |
| US20020116611A1 (en) * | 2000-10-31 | 2002-08-22 | Cornell Research Foundation, Inc. | Secure distributed on-line certification authority |
| KR100353731B1 (ko) * | 2000-11-01 | 2002-09-28 | (주)니트 젠 | 일회성 지문템플릿을 이용한 사용자 인증시스템 및 방법 |
| JP2002152317A (ja) * | 2000-11-10 | 2002-05-24 | Fujitsu Ltd | 試験装置 |
| SE0004338L (sv) * | 2000-11-24 | 2002-05-25 | Columbitech Ab | Datanätbaserat system |
| US7114080B2 (en) * | 2000-12-14 | 2006-09-26 | Matsushita Electric Industrial Co., Ltd. | Architecture for secure remote access and transmission using a generalized password scheme with biometric features |
| US7181762B2 (en) * | 2001-01-17 | 2007-02-20 | Arcot Systems, Inc. | Apparatus for pre-authentication of users using one-time passwords |
| US6983381B2 (en) * | 2001-01-17 | 2006-01-03 | Arcot Systems, Inc. | Methods for pre-authentication of users using one-time passwords |
| US20020161826A1 (en) * | 2001-01-25 | 2002-10-31 | Carlos Arteaga | System and method for remote communication transactions |
| JP4437370B2 (ja) * | 2001-01-26 | 2010-03-24 | 大阪瓦斯株式会社 | 認証方法、認証システム、通信装置、プログラム、及び記録媒体 |
| US7243370B2 (en) * | 2001-06-14 | 2007-07-10 | Microsoft Corporation | Method and system for integrating security mechanisms into session initiation protocol request messages for client-proxy authentication |
| US6944678B2 (en) | 2001-06-18 | 2005-09-13 | Transtech Networks Usa, Inc. | Content-aware application switch and methods thereof |
| US6954792B2 (en) * | 2001-06-29 | 2005-10-11 | Sun Microsystems, Inc. | Pluggable authentication and access control for a messaging system |
| US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| GB2381423B (en) * | 2001-10-26 | 2004-09-15 | Ericsson Telefon Ab L M | Addressing mechanisms in mobile IP |
| US20030084171A1 (en) | 2001-10-29 | 2003-05-01 | Sun Microsystems, Inc., A Delaware Corporation | User access control to distributed resources on a data communications network |
| US7085840B2 (en) * | 2001-10-29 | 2006-08-01 | Sun Microsystems, Inc. | Enhanced quality of identification in a data communications network |
| JP2003150735A (ja) * | 2001-11-13 | 2003-05-23 | Hitachi Ltd | 電子証明書システム |
| KR100420265B1 (ko) * | 2001-11-15 | 2004-03-02 | 한국전자통신연구원 | 무선 인터넷 망간 접속 방법 |
| US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
| US7313816B2 (en) * | 2001-12-17 | 2007-12-25 | One Touch Systems, Inc. | Method and system for authenticating a user in a web-based environment |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
| US8184603B2 (en) * | 2002-01-31 | 2012-05-22 | Lgc Wireless, Llc | Communication system having a community wireless local area network for voice and high speed data communication |
| US20030177390A1 (en) * | 2002-03-15 | 2003-09-18 | Rakesh Radhakrishnan | Securing applications based on application infrastructure security techniques |
| US6993683B2 (en) * | 2002-05-10 | 2006-01-31 | Microsoft Corporation | Analysis of pipelined networks |
| US7523490B2 (en) * | 2002-05-15 | 2009-04-21 | Microsoft Corporation | Session key security protocol |
| US7529933B2 (en) * | 2002-05-30 | 2009-05-05 | Microsoft Corporation | TLS tunneling |
| US7275156B2 (en) * | 2002-08-30 | 2007-09-25 | Xerox Corporation | Method and apparatus for establishing and using a secure credential infrastructure |
| KR100480258B1 (ko) * | 2002-10-15 | 2005-04-07 | 삼성전자주식회사 | 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법 |
| US7313618B2 (en) * | 2002-10-31 | 2007-12-25 | Sap Aktiengesellschaft | Network architecture using firewalls |
| WO2004046844A2 (en) * | 2002-11-18 | 2004-06-03 | Nokia Corporation | Faster authentication with parallel message processing |
| US7587598B2 (en) * | 2002-11-19 | 2009-09-08 | Toshiba America Research, Inc. | Interlayer fast authentication or re-authentication for network communication |
| US8387106B2 (en) * | 2002-12-11 | 2013-02-26 | Broadcom Corporation | Method and system for secure linking with authentication and authorization in a media exchange network |
| US7685295B2 (en) * | 2002-12-19 | 2010-03-23 | Chantry Networks Inc. | Wireless local area communication network system and method |
| JP4446330B2 (ja) * | 2003-03-19 | 2010-04-07 | 株式会社リコー | 通信装置 |
| US7103772B2 (en) * | 2003-05-02 | 2006-09-05 | Giritech A/S | Pervasive, user-centric network security enabled by dynamic datagram switch and an on-demand authentication and encryption scheme through mobile intelligent data carriers |
| WO2004100487A1 (en) * | 2003-05-12 | 2004-11-18 | Docomo Communications Laboratories Europe Gmbh | Network security method and system |
| US7275157B2 (en) * | 2003-05-27 | 2007-09-25 | Cisco Technology, Inc. | Facilitating 802.11 roaming by pre-establishing session keys |
| US7519989B2 (en) * | 2003-07-17 | 2009-04-14 | Av Thenex Inc. | Token device that generates and displays one-time passwords and that couples to a computer for inputting or receiving data for generating and outputting one-time passwords and other functions |
| JP4504130B2 (ja) * | 2003-07-25 | 2010-07-14 | 株式会社リコー | 通信装置、通信システム、証明書送信方法及びプログラム |
| US20050114713A1 (en) * | 2003-11-25 | 2005-05-26 | Shawn Beckman | Automated subscription and purchasing service for a data computing device |
| US20050120213A1 (en) * | 2003-12-01 | 2005-06-02 | Cisco Technology, Inc. | System and method for provisioning and authenticating via a network |
| US7181493B2 (en) * | 2003-12-23 | 2007-02-20 | Unisys Corporation | Platform independent model-based framework for exchanging information in the justice system |
| JP3918827B2 (ja) * | 2004-01-21 | 2007-05-23 | 株式会社日立製作所 | セキュアリモートアクセスシステム |
| US7860978B2 (en) * | 2004-01-22 | 2010-12-28 | Toshiba America Research, Inc. | Establishing a secure tunnel to access router |
| JP2005259111A (ja) * | 2004-01-26 | 2005-09-22 | Ricoh Co Ltd | ユーザ情報取扱い装置、ユーザ情報取扱いプログラム及び記録媒体 |
| US20050188211A1 (en) * | 2004-02-19 | 2005-08-25 | Scott Steven J. | IP for switch based ACL's |
| US20060067272A1 (en) * | 2004-09-30 | 2006-03-30 | Wang Huayan A | Method and system for fast roaming of a mobile unit in a wireless network |
-
2004
- 2004-03-19 US US10/804,591 patent/US7549048B2/en active Active
-
2005
- 2005-03-16 EP EP09006596.2A patent/EP2105819B1/en not_active Expired - Lifetime
- 2005-03-16 ES ES09006596.2T patent/ES2595105T3/es not_active Expired - Lifetime
- 2005-03-16 EP EP05102065.9A patent/EP1577736B1/en not_active Expired - Lifetime
- 2005-03-18 CN CN2009102222871A patent/CN101764803B/zh not_active Expired - Lifetime
- 2005-03-18 JP JP2005080088A patent/JP4746333B2/ja not_active Expired - Fee Related
- 2005-03-18 KR KR1020050022709A patent/KR101130356B1/ko not_active Expired - Lifetime
- 2005-03-18 CN CNA2005100592240A patent/CN1722658A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001011452A2 (en) * | 1999-08-05 | 2001-02-15 | Sun Microsystems, Inc. | Access management system and method employing secure credentials |
| WO2001054379A1 (en) * | 2000-01-18 | 2001-07-26 | Telefonaktiebolaget Lm Ericsson (Publ) | A secure communication method for mobile ip |
| CN1433537A (zh) * | 2000-04-24 | 2003-07-30 | 微软公司 | 动态网络中的安全链路管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050210252A1 (en) | 2005-09-22 |
| CN1722658A (zh) | 2006-01-18 |
| JP2005269656A (ja) | 2005-09-29 |
| KR101130356B1 (ko) | 2012-03-28 |
| ES2595105T3 (es) | 2016-12-27 |
| JP4746333B2 (ja) | 2011-08-10 |
| EP1577736A3 (en) | 2006-12-27 |
| CN101764803A (zh) | 2010-06-30 |
| KR20060044410A (ko) | 2006-05-16 |
| US7549048B2 (en) | 2009-06-16 |
| EP2105819B1 (en) | 2016-07-13 |
| EP1577736B1 (en) | 2018-04-25 |
| EP2105819A1 (en) | 2009-09-30 |
| EP1577736A2 (en) | 2005-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101764803B (zh) | 参与与计算系统的认证的方法 | |
| US7900247B2 (en) | Trusted third party authentication for web services | |
| EP1959368B1 (en) | Security link management in dynamic networks | |
| JP4965558B2 (ja) | ピアツーピア認証及び権限付与 | |
| US20090113537A1 (en) | Proxy authentication server | |
| US20230421394A1 (en) | Secure authentication of remote equipment | |
| WO2009002705A2 (en) | Device provisioning and domain join emulation over non-secured networks | |
| US11722303B2 (en) | Secure enclave implementation of proxied cryptographic keys | |
| US11418329B1 (en) | Shared secret implementation of proxied cryptographic keys | |
| US11804957B2 (en) | Exporting remote cryptographic keys | |
| WO2022143935A1 (zh) | 基于区块链的sdp访问控制方法及系统 | |
| WO2022143898A1 (zh) | 基于区块链的sdp访问控制方法及装置 | |
| JP2009239496A (ja) | 鍵暗号方式を用いたデータ通信方法、データ通信プログラム、データ通信プログラム記憶媒体、データ通信システム | |
| CN116488853A (zh) | 一种移动办公场景的可信认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: MICROSOFT TECHNOLOGY LICENSING LLC Free format text: FORMER OWNER: MICROSOFT CORP. Effective date: 20150429 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20150429 Address after: Washington State Patentee after: MICROSOFT TECHNOLOGY LICENSING, LLC Address before: Washington State Patentee before: Microsoft Corp. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20130227 |