[go: up one dir, main page]

KR20050026478A - 암호화된 네트워크 - Google Patents

암호화된 네트워크 Download PDF

Info

Publication number
KR20050026478A
KR20050026478A KR1020057000614A KR20057000614A KR20050026478A KR 20050026478 A KR20050026478 A KR 20050026478A KR 1020057000614 A KR1020057000614 A KR 1020057000614A KR 20057000614 A KR20057000614 A KR 20057000614A KR 20050026478 A KR20050026478 A KR 20050026478A
Authority
KR
South Korea
Prior art keywords
cryptographic
key server
server
key
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020057000614A
Other languages
English (en)
Inventor
토마스 파운턴
앨란 프린델
Original Assignee
인그리안 네트웍스, 인코퍼레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인그리안 네트웍스, 인코퍼레이티드 filed Critical 인그리안 네트웍스, 인코퍼레이티드
Publication of KR20050026478A publication Critical patent/KR20050026478A/ko
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0485Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C3/00Typewriters for ciphering or deciphering cryptographic text
    • G09C3/04Typewriters for ciphering or deciphering cryptographic text wherein the operative connections between the keys and the type-bars are automatically and continuously permuted, during operation, by a coding or key member
    • G09C3/08Typewriters for ciphering or deciphering cryptographic text wherein the operative connections between the keys and the type-bars are automatically and continuously permuted, during operation, by a coding or key member the connections being electrical
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 네트워크를 경유하여 암호키 서버에 결합된 원거리 장치에 암호 서비스를 제공하기 위한 암호키 서버에 관한 것으로써, 상기 암호키 서버는 상기 암호키 서버상에서 실행되는 보안 네트워크 인터페이스 엔진, 상기 보안 네트워크 인터페이스 엔진은 적어도 하나의 원거리 장치와 함께 보안 네트워크 통신 채널을 개설할 수 있고; 상기 적어도 하나의 원거리 장치에서 수신된 보안된 암호 서비스 요청을 언마셜(unmarshal) 할 수 있으며, 상기 적어도 하나의 원거리 장치로 보안 암호 서비스 응답을 마셜(marshal)하고 전송할 수 있고; 상기 암호키 서버상에서 수행되는 암호 서비스 엔진, 상기 보안 네트워크 인터페이스 엔진과 양-방향 통신에 구비되는 상기 암호 서비스 엔진, 상기 보안 네트워크 인터페이스 엔진을 경유하여 적어도 하나의 원거리 장치에 의해 요청되는 암호 서비스를 공급할 수 있는 암호 서비스 엔진을 포함한다.

Description

암호화된 네트워크{Network Attached Encryption}
본 발명은 데이터 보안 분야에 관한 것으로, 특히 암호화된 네트워크 서비스 및 네트워크 환경에 보안 암호키를 제공하는 것에 관한 것이다.
민감한 컨텐츠를 다루는 컴퓨터 시스템은 네트워크 전송과 지역화 된 저장수단사이에 이러한 보안 내용을 보호하기 위해 애쓰고 있다. 예를 들어서, e-상업 웹사이트는 전송 중에 사용자의 신용카드 번호와 사용자 비밀번호를 보호하기 위하여 다양한 메커니즘을 사용한다. 종종 이러한 사이트는 소비자의 컴퓨터에서 웹사이트로 통과하는 동안에 모든 민감 데이터를 보호하기 위하여 잘 알려진 보호 소켓 레이어(Secure Socket Layer, 이하 'SSL')와 전송 레이어 보안(Transport Layer Security, 이하 'TLS') 프로토콜을 사용한다.
SSL 과 TLS는 오직 웹사이트와 사용자의 컴퓨터에게만 알려진 세션-키,(즉, 암호키)를 사용한 데이터를 암호화하는 것에 의해 전송되는 동안 데이터를 보호한다. 수신 서버는 데이터(유효한 신용 카드 번호)를 처리하고, 종종 서버 데이터베이스에 민감 데이터를 저장한다.
웹 클라이언트와 내부 웹 서버사이에 SSL 접속을 설정하기 위해 사용되어지는 암호키는 같은 내부 웹 서버에 저장된다. 유사하게, 암호화는 백-엔드 어플리케이션 서버와 데이터베이스 상에 저장되어지는 데이터 상에 행해지고, 암호키는 같은 백-엔드 어플리케이션 서버에 저장된다. 상기 백-엔드 어플리케이션 서버는 보안화가 이루어지지 못한 플랫폼이다.
암호화 과정이 직접적으로 행해지는 웹서버와 어플리케이션 서버는 암호화과정을 처리하기 위해 요구되어지는 것 때문에 낮은 성능을 보여준다. 한가지 접근법으로, 암호화 가속 카드와 같은 고가의 하드웨어가 서버의 성능 향상을 위해 그러한 서버에 사용된다. 그러나, 이것은 각 웹/어플리케이션 서버상에 고가의 암호화 가속기를 설치하기 위해서 비용제약이 따른다.
암호키를 보호하는 것뿐만 아니라 암호화 서비스가 필요한 각 웹/어플리케이션 서버상에 비싼 암호화 가속기를 설치하지 않고 암호화 과정을 수행하는데 다른 방법이 필요하다.
도 1은 본 발명의 일 실시예에 따른 네트워크 암호 서비스를 제공하는 컴퓨터 서버 환경 10을 도시한 것이다.
도 2는 본 발명의 일 실시예에 따른 소프트웨어 구조를 도시한 것이다.
도 3A는 본 발명의 일 실시예에 따른 네트워크 암호키 서버를 위해 적합한 하드웨어 구도이다.
도 3B는 본 발명의 일 실시예에 따른 k-out-of-n 비밀 분배를 제공하는 암호 서버에 관한 개인 키의 백업 및 저장을 위한 동작 150이다.
도 4는 본 발명의 일 실시예에 따른 네트워크 암호키 서버가 암호 서비스를 제공하는 것에 의해 컴퓨터로 구현된 방법을 도시한 것이다.
도 5는 본 발명의 일 실시예에 따른 암호 요청의 인증 및 인증분석을 수행하는 컴퓨터로 구현된 방법을 도시한 것이다.
도 6은 어플리케이션 서버상에 구현된 어플리케이션이 표준 암호 API를 통해 원거리와 지역 암호 서비스에 접근 가능하도록 하는 방법을 컴퓨터로 구현된 방법을 도시한 것이다.
도 7은 본 발명의 일 실시예에 따른 암호 서비스 컴퓨팅 환경을 도시한 것이다.
도 8은 본 발명의 일 실시예에 따른 네트워크 암호키 서비스를 제공하는 네트워크 보안 장치의 시스템 구조를 나타낸 것이다.
도 9는 명확한 복호화 네트워크 보안 장치와 암호키 서버를 포함하는 네트워크 구조를 도시한 것이다.
하기의 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 한해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하며, 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 공지 기능 및 구성에 대한 상세한 설명은 생략한다.
도 1은 본 발명의 일 실시예에 따른 네트워크화된 암호화 서비스를 제공하는 컴퓨터 서버환경 10 을 도시한 것이다. 컴퓨터 서버환경 10은 복수의 클라이언트 12, 어플리케이션 서버 14, 암호키 서버 16, 모든 방향으로 결합된 컴퓨터 네트워크 18을 포함한다. 컴퓨터 네트워크 18은 인터넷이나 지역 네트워크와 같은 어떠한 적당한 네트워크의 형태를 가질 수 있다. 양 방향으로 결합된 어플리케이션 서버 14는 네트워크 데이터베이스 20이다. 어플리케이션 서버 14는 컴퓨터 네트워크 18을 경유하여 클라이언트 12에게 요청되어진 서비스를 제공한다. 클라이언트 12에 의하여 요청되어진 서비스는 특별히 암호화 서비스를 포함할지도 모르고, 암호화 서비스를 위한 준비를 재촉할지도 모른다. 예를 들어서, 클라이언트가 요구한 서비스가 네트워크 데이터베이스 20에 민감 데이터의 저장을 요구하거나, 네트워크 데이터베이스 20에서 암호화된 데이터의 검색을 요구할 지도 모른다. 암호키 서버 16은 암호 서비스를 수행하기 위해 어플리케이션 서버 14에 유용하다. 이러한 것은 어플리케이션 서버 14에서 암호화 서비스의 계산에 대한 무거운 짐을 덜어준다.
이와 관련된 암호키 서버는 통신망 접속 암호 장치(Networked Attached Encryption)로써 알려져 있다. 암호화 서비스의 성질뿐만 아니라 그러한 기능을 구현하기 위한 다양한 메커니즘은 이하 상세하게 기술될 것이다.
도 2는 본 발명의 일 실시예에 따른 어플리케이션 서버 52와 암호키 서버 54을 위한 소프트웨어 구조 50을 나타낸 도식도이다. 도 2의 소프트웨어 구조는 어플리케이션 서버에 제한되지 않으며, 다양하게 구현되는 것이 가능하다. 복수의 컴퓨터 장치와 시스템은 암호키 서버 54의 클라이언트가 될 수 있다. 바람직한 실시예로, 어플리케이션 서버 52와 암호키 서버 54는 보안 네트워크 통신 채널 56을 경유하여 양 방향으로 결합된다. 보안 네트워크 통신 채널 56은 SSL 또는 TLS와 같은 어떠한 적당한 보안 통신 기술을 통하여 실시될 수 있다. 대안으로는, 보안채널이 직접적인 물리적 결합 또는 이 분야의 당업자의 수준에 맞게 구현이 가능하다. 소프트웨어 기반 어플리케이션 52는 단지 암호키 서버의 암호 서비스를 필요로 하는 클라이언트의 한가지 예이다.
도 2의 어플리케이션 서버 52는 복수의 어플리케이션 60, 암호 어플리케이션 프로그램 인터페이스(API), 및 보안 네트워크 인터페이스 엔진 64를 포함한다. 어플리케이션 60은 어플리케이션 서버 52상에서 실행되는 소프트웨어 프로그램이다. 이러한 어플리케이션들은 어플리케이션 서버 52의 지역 유저에게 서비스를 제공하고, 네트워크 접속을 경유하여 먼거리 클라이언트에게 네트워크 서비스를 제공할 것이다.
암호 API 62는 복수개의 암호 서비스를 호출(invoke)할 수 있는 복수의 어플리케이션 60에 의해 표준 셋을 제공한다. 본 발명에 따르면 적어도 하나의 암호서비스는 암호키 서버 54에 의해 먼 거리로 수행된다. 통신망 암호 서비스를 수행하기 위하여, 암호 API 62는 암호 서비스를 요청하기 위하여 암호 네트워크 인터페이스 엔진 64을 이용하기 위한 원거리 암호 서비스를 위해 요청에 민감하다.
암호 API는 바람직하게 어플리케이션 개발자가 그들의 소프트웨어로 쉽사리 통합할 수 있는 표준화된 소프트웨어 암호 API이다. 이와 같이, 암호 API 62는 하위 컴퓨터 환경에 관계된 특별한 형태를 수용한다. 하위 컴퓨터 환경의 몇몇 예는 자바, 마이크로소프트, PKCS #11/Cryptoki Provider, 오라클9i 이고, 이하 그 자세한 내용을 기술하도록 한다.
자바 컴퓨팅 환경에서는 암호 API가 자바 암호 확장(Java Cryptography Extensions, 'JEC')으로써 어플리케이션에 노출된다. JEC는 자바 서버 페이지(JSP), 자바 서블릿 또는 엔터프라이즈 자바 빈스(EJB)를 포함한 다양한 소스에 의해서 호출(invoke)된다. JCE를 사용할 수 있는 자바 어플리케이션은 액티브 서버 페이지(ASP)에 의해서 호출된다. 본 발명의 다른 예에서, 어플리케이션 60은 암호 API 62의 도움 없이 암호키 서버 54에 직접적으로 접근할 수 있다.
마이크로소프트's .NET와 같은 ASP 컴퓨팅 환경에서는, 암호 기능이 마이크로소프트 암호 API(MS-CAPI)의 사용으로 통신하는 크립토 서비스 제공자(Crypto Service Provider, 'CSP')를 경유하여 VBScript를 사용하는 것에 의해 노출된다. 이러한 경우에, CSP 또는 암호 API는 많은 암호화 과정을 어플리케이션 60에 노출한 동적 연결 라이브러리(DLL)로써 구현된다. 암호화 기능의 이전 묘사와 암호 API는 웹 어플리케이션 서버의 환경이다. 그러나, 암호기능과 암호 API는 JCE를 사용하지 않는 웹을 기초로 하지 않는 자바 어플리케이션과 MS-CAPI를 호출하는 웹을 기초로 하지 않는 윈도우 어플리케이션과 같은 웹을 기반으로 하지 않은 어플리케이션 서버에 적합하다.
보안 통신 인터페이스 엔진 64는 원거리 암호키 서버 54와 보안 통신 채널 56을 설립하는 것이 가능하다. 유사하게, 원거리 암호키 서버 54는 보안 네트워크 인터페이스 엔진 64를 가지고 보안 네트워크 통신을 설립하는 것이 가능하다. 어플리케이션 서버 52와 원거리 암호키 서버 54사이에 보안 네트워크 통신 채널 56이 설립된 이후, 보안 네트워크 인터페이스 엔진은 원거리 암호키 서버 54에 암호 서비스를 위한 보안 요청을 전송하고 정렬하고, 보안 서비스를 위한 요청에 보안 응답을 수신하고 정렬하지 않으며, 그러한 응답을 보안 API 62에 전송하는 것이 가능하다. 차례로, 암호 API 62는 요청 어플리케이션 60에 응답을 제공한다.
보안 네트워크 인터페이스 엔진 64는 어플리케이션 60과 어플리케이션 서버 52의 클라이언트 사이에 보안 통신 채널을 공급하는데 사용되기 위한 어플리케이션 60에 보안 네트워크 서비스를 드러낸다. 도 2에서, 보안 API 62와 보안 네트워크 인터페이스 엔진 64는 어플리케이션 서버 52에서 구현된, 두 개의 다른 프로세스로 나타난다.
도 2에 다른 참조로써, 암호키 서버 54는 암호 서비스 엔진 70, 보안 네트워크 인터페이스 엔진 72, 및 개인 키 엔진 74를 포함한다. 암호키 서버 54는 보안 네트워크 통신 채널 56을 경유하여 상기 암호키 서버에 결합된 어플리케이션 서버 52에 암호 서비스를 제공하기 위해 적당하다. 보안 네트워크 인터페이스 엔진 72는 어플리케이션 서버 52를 이용하여 보안 네트워크 통신 채널 56을 설립할 수 있다. 유사하게, 어플리케이션 서버 52는 보안 네트워크 인터페이스 엔진 72를 이용하여 보안 네트워트 통신 채널을 설립할 수 있다. 게다가, 보안 네트워크 인터페이스 엔진 72는 어플리케이션 서버 52에서 수신된 보안된 암호 서비스 요청을 정동하지 않거나, 어플리케이션 서버 52에 보안 암호 서비스 응답을 전달하고 전송한다.
암호키 서버 54상에서 실행되는 암호 서비스 엔진 70은 보안 네트워크 인터페이스 엔진 72에 양 방향으로 결합된다. 암호 서비스 엔진 70은 보안 네트워크 인터페이스 엔진 72를 경유하여 어플리케이션 서버 52에 의해 요청된 보안 서비스를 공급할 수 있다. 보안 서비스는 다음을 포함한다. 1) 해쉬 동작, 2) RSA 와 DSA 같은 서명 및 인증
어플리케이션 60에서 나타난 보안 기능은 원거리 클라이언트에 의해 요구되는 가장 바람직한 것이다. 이러한 보안 기능은 어플리케이션 서버 52 혹은 더 바람직하게는 암호 서비스를 성취하는 어플리케이션 서버 52에서 부담을 경감하기 위해서 암호키 서버 54에서 행해지는 것이 틀림없다. 이와 같이, 어떠한 노출된 암호 서비스를 수행할 수 있는 암호 서비스 엔진 70이 어플리케이션 서버 52에 제공하지 않는 것은 바람직한 일이다. 전형적인 노출된 기능은, 이로 한정되는 것은 아니지만, 암호화와 복호화(예로써, DES, 3DES, AES, RSA, DSA, ECC 등), 서명 및 인증(예로써, RSA, DSA 등) 및 해쉬 및 인증(예로써, SHA-1, HMAC등)이 있다. 일반적으로 암호화 및 복호화기능은 다음을 포함한다.
대칭 블록 암호
일반 암호 모드
스트림 암호 모드
공개-키 암호화
공개-키 시스템을 위한 패딩 스킴
키 배열 스킴
타원 곡선 암호화
단 방향 해쉬 기능
메시지 인증 코드
해쉬 기능에 기초한 암호 구조
가상 랜덤 수 생성
키 도출 기능에 근거한 암호
Shamir의 비밀 분배 스킴과 로빈의 정보 분배 알고리즘(IDA)
gzip(RFC 1952)와 zlib 포맷(RFC 1950)을 지원하는 DEFLATE(RFC 1951)압축/해제
고속 자중 정밀 정수(bignum) 및 다항식 연산
GF(p)와 GF("2") 및 프라임 수 생성 및 인증을 포함하는 유한 필드 연산
개인 키 엔진 74는 암호 연산을 수행하기 위해 요구되는 개인 키를 암호 서비스 엔진 74에 제공한다. 그러한 개인키는 일반적으로 잘 알려진 다양한 메커니즘에 의해 생성되고 저장되며, 본 발명에 의해서 예상되는 다양한 방법에 의해서도 생성 및 저장된다. 개인키를 생성되고 핸들링하기 위한 바람직한 실시예는 도 3과 함께 하기에서 설명된다.
도 2에서, 암호 서비스 엔진 70과 보안 네트워크 인터페이스 엔진 72는 암호 서비스 엔진 70상에서 각각 구현되는 두 개의 다른 프로세스로 나타난다. 이것은 이들의 프로세스의 분리된 변형을 허락한다. 그러나, 본 발명의 다른 구현에서는 암호 서비스 엔진 70과 보안 네트워크 인터페이스 엔진 72가 단일 프로세스로 공급됨을 지시한다.
도 3A는 본 발명의 일 실시예에 따른 도 2의 암호키 서버 54로써 네트워크 암호키 서버를 위한 적당한 하드웨어 구조 100이다. 하드웨어 구조 100은 중앙처리장치(CPU) 104, 하드디스크와 같은 영구 기억 장치, RAM과 같은 일시기억장치, 네트워크 입출력 장치, 암호화 가속 카드와 같은 암호 장치 112, 하드웨어 보안 모듈(HSM),및 스마트 카드 인터페이스, 모든 양방향으로 결합된 데이터 버스 102를 포함한다. 다른 부가적인 구성요소는 하드웨어 구조 100의 부분일수도 있다.
도 3A에 구현예에 따르면, 개인키 120은 HSM 114로 로드되고, 암호화된 포맷으로 저장된다. 보다 바람직하게는, HSM 114는 템퍼 레지스턴트(tamper resistant) 장치이다. 개인키 120은 단지 소규모이고 미리 정의된 암호키 서버 그룹에서만 알려진 그룹 키를 이용하여 암호화된다. 이러한 그룹 키들은 스마트 카드에 의해 보호된다. 백업 작동이 암호 서버의 미리 정의된 그룹의 하나상에서 실현될 때, 원본 암호키의 암호화된 폼은 백업 파일로써 생성된다. 장치의 미리 정의된 그룹의 부분인 암호 서버는 분리된 암호키를 사용하여 암호화된 키를 복호화 할 수 있다.
하나의 실시예로써, 암호 서버는 증가되는 보안을 위해 그룹 키의 k-out-of-n 비밀 분배를 지원한다. 이것은 개인키의 백업 및 복원을 위해 스마트 키를 요구한다는 것을 의미한다. 예를 들어서, 그룹 키 정보가 5개의 스마트 카드(n) 그룹을 가로질러 분배된다면, 그룹 데이터는 스마트 카드 리더 116에 3개의 스마트 카드(k)를 삽입한 이후 접근되도록 세팅될 수 있다. 3개의 스마트 카드보다 적은 것을 가지고 데이터를 접근하기 시도한다면 실패한다. k of n 스킴의 사용은 데이터의 안전을 보장한다. 만약 하나의 카드가 도난당한다면, 그 카드를 홈쳐간 사람은 HSM 114 상에 저장된 구성 데이터를 접근할 수 없다. 왜냐하면, 그 카드의 침탈자는 상기에서 설명된 k of n 범주를 만족할 만한 충분한 카드를 가지고 있지 않기 때문이다. 확실한 구현에 따라서, 도 3B는 그룹 키의 k-out-of-n 비밀분배를 지원하는 암호 서버에 관하여 개인 키의 백업 및 복원을 위한 작동 150이 도시되어 있다. 단계 154에서, 백업을 위한 요청에 응답에서, 적어도 k-out-of-n 스마트 카드가 백업을 위해 요청되는 암호 서버와 관련된 스마트 카드 인터페이스 장치에 삽입되어 있어야 한다. 만약 적어도 k-out-of-n 스마트 카드가 삽입되어 있지 않으면, 단계 156에서, 백업 및 복원을 위한 요청이 거부된다. 만약 적어도 k-out-of-n 스마트 카드가 삽입되어 있으면, 단계 158에서, 백업 및 복원을 위한 요청이 허락된다.
도 4를 참조하면, 암호키 서버 56 또는 54와 같은 네트워크 암호키 서버에 의해 컴퓨터로 구현되는 방법 200은 앞으로 묘사될 본 발명의 일 실시예에 따라서 암호화 서비스를 제공한다. 초기 단계 202에서, 개인키 셋은 네트워크 키 서버상에 설립된다. 이러한 개인키는 적당한 메커니즘에 따라서 생성되고 유지된다. 바람직하게는, 개인키는 탬퍼-레지스턴트 하드웨어 장치 안에 저장되고, 네트워크상으로 분배되지 않는다. 하지만, 도 3의 HSM114에 참조와 함께 묘사된 것과 같은 프로세스를 통하여 관리된다. 개인키의 세트가 이미 네트워크 키서버상에서 설치된 주어진 어플리케이션 서버에 의한 암호 서비스를 위한 연속적인 요청은 단계 202에 포함되지 않는다.
다음 초기단계 204에서, 보안 네트워크 통신 채널은 어플리케이션 서버와 암호키 서버 사이에 개설된다. 하나의 실시예에서, 연결 풀(pool)은 어떠한 특별한 암호 서비스의 클라이언트가 요청하기 이전에 어플리케이션 서버와 키서버 사이에서 개설된다. 연결 풀은 무한히 유지될 수 있거나, 비활성 때문에 닫혀질지도 모른다. 보안 연결의 개설은 강화된 프로세싱이므로, 보안연결이 개설되기만 하면, 보안연결을 유지하는 것은 효과가 있다. 보안채널은 SSL, TLS와 개설될 수도 있고, 이미 알려진 기술과 함께 개설되는 것도 가능하다. 많은 상황에서, 서버와 클라이언트 인증서를 가지는 HTTPS가 사용되어 질 것이다. 게다가, 단계 204에서 요청 실체(entity)의 주체는 확인, 즉 인증된다. 이것은 어플리케이션 서버의 식별부호의 확인을 포함하고, 어플리케이션 서버상에서 실행되는 어플리케이션의 식별번호의 확인을 포함하며, 적당하다면, 어플리케이션 서버의 클라이언트 요청 서비스의 인증을 포함한다. 만약 요청 실체의 인증이 실패하면, 암호서비스의 요청은 거부된다. 게다가, 어떠한 실시예에서는 요청 실체의 인증이 실패하면, 프로세스 제어는 단계 216으로 이동하고, 이하 설명하는 서비스를 위한 실패 요청과 관련된 정리작업(housekeeping)을 수행한다.
개인키가 단계 202에서 개설되면, 보안 네트워크 채널은 단계 204에서 개설되고, 인증 과정은 완료된다. 암호키 서버는 암호서비스를 제공하기 위하여 사용되어 질 수 있다. 따라서, 단계 206에서 키서버는 보안 채널을 경유하여 암호 서비스를 위한 요청을 수신한다. 암호서비스요청을 수신함에 있어서, 키서버는 복호화된 네트워크 포맷에서의 요청을 언마셜할 것이다. 도 2에서 설명한 것처럼, 어떠한 실시예에서, 이것은 보안 네트워크 인터페이스 엔진에 의해서 수행될 것이다. 단계 208에서, 키서버는 암호 서비스 요청의 인가분석을 행할 것이다.
단계 208의 인가분석은 요청된 서비스가 요청한 클라이언트에게 공급되었는지를 결정한다. 단계 208의 실시예는 도 4와 함께 보다 상세하게 설명될 것이다.
단계 208이 요청이 성취되었는지를 결정했을 때, 프로세스 제어는 단계 208에서 요청된 암호 서비스를 수행하는 단계 210으로 흐른다. 예를 들어서, 어플리케이션 서버는 데이터가 암호화 또는 복호화 되도록 요청되어 진다. 단계 212에서, 암호키 서버는 보안 채널을 경유하여 어플리케이션 서버에 응답한다. 이것은 네트워크를 가로질러 전송을 위한 보안 포맷으로의 데이터를 마쉘링하는 것을 포함한다. 다음 단계 214에서, 인증된 요청의 만족과 관련된 다양한 정리작업은 성취된다. 하나의 실시예에서, 이러한 것은 암호요청(시간, 클라이언트 식별, 서비스 요청, 만족스런 완료 등)과 관련된 데이터베이스를 유지하는 것을 포함한다.
단계 208은 요청이 인증단계 208의 실패를 위한 수행되지 않을 때, 단계 216은 서비스를 위한 실패 요청에 관련된 정리기능을 수행한다. 하나의 실시예에서, 이것은 암호요청(시간, 클라이언트 식별, 서비스 요청 등)과 관련된 데이터베이스를 유지하기 위한 것을 포함한다. 이러한 데이터베이스는 공격이 행해지는지 여부를 판단하기 위한 평가를 위해 사용되거나, 시스템의 에러를 결정한다.
도 5에서, 본 발명의 일 실시예에 따른 암호요청의 인증분석을 수행하기 위한 컴퓨터로 구현된 방법 208이 상세하게 설명된다. 상기 도 4에서 설명한 바와 같이, 단계 208은 원거리 어플리케이션 서버가 암호키 서버가 어플리케이션 서버를 위해 어떠한 암호 기능을 수행하는 것을 요청할 때, 호출된다. 첫 번째 단계 250에서, 어플리케이션 서버, 어플리케이션, 클라이언트에 허락된 인증 특권은 결정된다. 만약 어플리케이션 서버, 어플리케이션, 클라이언트에 허락된 인증 특권은 결정될 수 없다면, 단계 250의 인증 검사는 실패할 것이다. 단계 250의 인증검사가 실패했을 때, 요청은 단계 252에서 부정된다. 단계 250의 인증 테스트가 성공하면, 단계 254는 특별한 요청이 요청 엔티티의 권리안에 있는지를 결정한다. 예를 들어서, 어플리케이션 서버상에서 운용되는 어떠한 어플리케이션이 어떠한 데이터를 복호화할 권리를 부여받지 못하거나, 같은 어플리케이션이 데이터를 복호화할 권리를 부여받았을 지라도, 어떠한 데이터를 복호화할 권리를 부여받지 못한다. 어떠한 이벤트에서, 요청이 요청 엔터티의 권리안에 존재하지 않으면, 요청은 단계 252에서 부정된다. 요청이 요청 엔터티안에 존재할 때, 요청은 단계 256에서 승인되고, 프로세스 제어는 요청된 암호 서비스의 구현을 위해 시작한다.
도 6을 참조하면, 어플리케이션 서버상에 구현되는 어플리케이션이 표준 암호 API를 통하여 원거리와 지역 암호 서비스를 접근을 가능하게 하기 위한 컴퓨터로 구현된 방법 300이다. 단계 320과 304는 어플리케이션에 유용한 암호 서비스를 생성하기 위한 초기화 과정이다. 단계 32에서 표준화된 소프트웨어 암호 API는 어플리케이션 서버 내부로 통합된다. 상기 도 2에서 상술한 바와 같이, 암호 API는 어플리케이션 서버의 특별한 컴퓨팅 환경(자바, 마이크로소프트 등)을 위해 고안되어 질 수 있다. 단계 304에서, 암호 서비스는 서비스 요청이 실현되는 어플리케이션 상에서 생성하기 위해 어플리케이션 상에 구현되는 어플리케이션에 노출된다. 암호 제공자는 프로그래머가 암호 API에 의해 유용하게 생성된 표준 암호화를 사용하는 어플리케이션 소프트웨어를 개발할 수 있도록 한다.
단계 306에서 어플리케이션은 암호함수와 서비스를 위해 요청받은 암호 API를 호출한다. 이러한 요청은 요청이 원거리암호 서버를 따라 전달되었는지, 지역적으로 수행되었는지, 어플리케이션 서버가 암호 서비스를 위한 요청이 전달 가능하도록 하기 이전에 지역적으로 몇몇 인증을 수행하였는지를 결정하기 위한 암호 API에 의해 처리된다. 요청이 원거리 암호 서버에 전송되기 위할 때, 단계 208은 마쉘링하고 요청을 전송한다. 바람직한 실시예로써, 마쉘링과 전송은 이전에 개설된 보안 네트워크 전송 채널을 경유하여 보안 네트워크 인터페이스 엔진에 의해서 수행된다. 단계 310에서, 어플리케이션 서버는 암호 서비스 요청에 응답을 수신하고 언마쉘한다. 이 응답은 단계 312에서 암호 API에 공급되고, 암호 API는 적당한 포맷에 요청되는 어플리케이션에 응답을 공급한다.
도 7은 본 발명의 일 실시예에 따른 분배 암호 서비스 컴퓨팅 환경 400을 도시한 것이다. 컴퓨팅 환경 400은 복수의 암호키 서버 402, 복수의 어플리케이션 서버 404, 및 복수의 클라이언트 406, 인터넷과 같은 양방향으로 결합된 광역 네트워크 408을 포함한다. 암호키 서버 402와 어플리케이션 서버 404는 적당한 형태를 이용한다. 예를 들어서, 도 1 내지 도 3에서 상술한 실시예가 바람직할 것이다.
분산된 암호 서비스 컴퓨팅 환경 400의 작용을 구현하기 위한 다양한 방법은 심사숙고된다. 예를 들어서, 복수의 암호키 서버 402는 독립 스타일에서 작동할 수 있으며, 독립적인 스타일에 서비스를 제공할 수 있다. 선택적으로, 특별한 암호키 서버 402는 미리 결정된 부하 균형 스킴에 기초한 다른 암호키 서버에 어플리케이션 서버에서 모든 요청을 지시하는 모든 서비스의 관리자로써 행동할 수 있다.
도 8은 네트워크 암호키 서비스를 제공하는 네트워크 보안 장치의 시스템 구조의 블록도이다. 시스템 구조는 복수의 클라이언트 502와 인터넷과 같은 광대역 네트워크 504, 네트워크 보안 장치 506, 어플리케이션 서버 508을 포함한다. 네트워크 보안 장치 506의 제외하고, 모든 도 8의 요소는 상기 도 1 내지 도7에서 설명한 것에 의해서 충분히 이해될 수 있을 것이다.
네트워크 보안 장치 506은 물리적으로 어플리케이션 서버 508과 네트워크 504사이에 위치한다. 이전의 기술들은 네트워크 보안 장치 및 그들의 일반적인 작동에 익숙할 것이다. 네트워크 보안 장치 506에 의해 제공되는 몇몇 서비스들은 클라이언트 502와 어플리케이션 서버 508사이에서 보안전송을 포함하고, 어플리케이션 서버 508에 억압을 감소하고 유저, SSL ,TLS가속, 투명 암호 서비스, 클라이언트 인증 등을 향상시키는 보안 캐시를 포함한다. 도 8의 실시예에 따라서, 네트워크 보안 서버 506은 어플리케이션 서버 508에 암호키 서비스를 더 제공한다. 네트워크 보안 장치 506은 도 2의 암호키 서버 54에 관련된 상기 묘사된 소프트웨어 구조를 가진다. 이와 같이, 네트워크 보안 장치는 도 3의 암호키 서버에 관련된 상기에서 묘사된 바와 같이 하드웨어 구조 100을 가진다. 상기 도 4내지 도6에서 묘사된 방법은 네트워크 보안 장치와 어플리케이션 서버 508의 작동에 적용된다.
도 9는 네트워크 구조를 도시한 것으로써, 복수의 클라이언트, 인터넷과 같은 광역 네트워크, 투명 암호 장치 606, 복수의 어플리케이션 서버 608, 지역 네트워크 610, 적어도 하나의 암호키 서버 612, 적어도 두개 이상의 네트워크 데이터베이스 614, 및 복수의 백-엔드 서버 616을 포함한다. 관련 특허 장치에서 묘사된 바와 같이, 투명 암호 장치 606은 네트워크 604를 경유하여 사이트에 인입되는 모든 요청을 검사하기 위해 구성되고, 인스톨된 개인키 120의 하나를 사용하는 민감 데이터를 부호화한다. 투명 암호 장치 606과 암호키 서버 612는 그룹키를 분배하는 TE어플리케이션의 미리 정의된 그룹멤버와 같은 개인키 120에 로드된다. 다중 어플리케이션 서버 608은 지역 네트워크 610을 경유하여 백-엔드 서버 616으로써 암호키 서버 612에서 암호 서비스를 요청할 수 있다.
도해하기 위해서, 인터넷 상의 재정 단체를 가지는 클라이언트 602 레지스터를 가정한다. 이러한 예에서, 어플리케이션 서버 608은 웹 서버이고, 클라이언트 602는 보안 세션을 경유하여 네트워크 604상에 웹서버 608에 신용 카드 넘버를 제공한다. TE장치 606은 신용카드 넘버가 민감한 정보이고, 인스톨된 개인 키120의 하나를 사용하는 이러한 데이터를 부호화하여, 웹 서버 608은 명확하게 민감한 정보를 관리하지 않는다. 유사하게, 신용카드 넘버는 부호화된 형태로 네트워크 데이터베이스 614에 저장된다. 백-엔드 서버 616은 계정 정보를 검색하기 위해서 모든 클라이언트 신용 카드 넘버에 접근하기 위하여 필요하다. 이러한 예로써, 밴-엔드 서버 616은 클라이언트 신용카드 넘버에 접근하기 위해 인증하고, 그 결과로 암호키 서버는 612는 요청되는 것처럼 신용카드 넘버를 암호화한다.
지금까지 구성과 의논은 간결하고, 본 발명이 구현될 수 있는 관점에서 적당한 컴퓨팅 환경의 일반적인 묘사로 제공된다. 요구되어 지지는 않지만, 본 발명의 실시예는 일반적인 목적의 컴퓨터(서버, 또는 개인용 컴퓨터)에 의해 수행되는 루틴으로써 컴퓨터 실행가능한 지시의 일반적인 문맥으로 묘사된다. 관련된 종래 기술은 발명의 관점이 인터넷 기구, 손으로 이동 가능한 장치, 입는 것이 가능한 컴퓨터, 셀룰러 또는 모바일폰, 멀티-프로세서 컴퓨터, 마이크로프로세서 기반 혹은 프로그램 소비자 전기기계, 셋톱박스, 네트워크 PCs, 미니컴퓨터, 메인프레임 컴퓨터를 포함하는 다른 컴퓨터 시스템 구성에 실용적이다.
본 발명의 관점은 이하에서 설명되는 적어도 하나 이상의 컴퓨터로 실행 가능한 지시자를 수행하기 위한 특별히 프로그램화되고, 구성되고, 구조화된 데이터 프로세서 혹은 특별 목적 컴퓨터에서 구현된다. 사실, 일반적으로 여기에서 "컴퓨터"라는 단어는 상기 장치뿐만 아니라 어떠한 데이타 프로세스를 참조한다. 게다가, 여기에서 사용된 "프로세스"라는 용어는 적어도 하나이상의 중앙처리장치(CPU), 디지털 신호 프로세서(DSP), ASIC을 참조하기 위하여 사용된다.
이전의 명세서에서, 본 발명의 실시예는 구현에서 구현으로 다양화하는 수개의 특별한 항목을 참조하면서 묘사된다. 이와 같이, 본 발명의 출원인에 의해 의도된 유일하고 배척적인 지시자는 어떠한 연속적인 수정을 포함하여 그러한 클레임이 이슈된 특별한 형태에서, 이러한 명세서에서 이슈된 클레임의 셋이다. 그러한 클레임에 포함된 용어를 위해 여기에서 표시된 표현정의는 클레임에 사용된 것처럼 그러한 용어의 의미를 지배한다. 그러므로, 클레임에 명백하게 열거하지 않은 이익 또는 특성, 특성, 속성, 요소, 무제한은 어떠한 방법으로 그러한 클레임의 범위에 제한된다. 따라서, 명세서와 도면은 제한된 감각보다는 도시된 것으로 간주된다.
여기에서 언급된 모든 레퍼런스와 미국특허 및 어플리케이션은 참조에 의해서 구체화된다. 본 발명의 관점은 본 발명의 다른 실시예를 제공하기 위하여 묘사된 다양한 특허 및 어플리케이션의 시스템, 기능 및 개념을 사용하게 위하여 가능하다면 변경할 수 있다. 이것과 다른 변경은 상세한 묘사의 견지에서 본 발명을 생성할 수 있다.
본 발명의 어떠한 관점이 어떠한 클레임 형태에 이하 제공되는 동안, 본 발명자는 클레임 형태의 어떠한 숫자에서 다양한 발명의 관점을 심사숙고한다. 예를 들어서, 본 발명의 하나의 관점이 컴퓨터로 읽을 수 있는 매체로 구현가능 하면, 다른 관점은 컴퓨터로 일기 가능한 메체에서 구현될 것이다. 따라서, 본 발명자는 본 발명의 다른 관점을 위해서 부가되는 클레임 폼을 추구하기 위해 어플리케이션을 출원한 후 부가되는 클레임을 추가할 수 있는 권리를 보존한다.

Claims (53)

  1. 네트워크를 경유하여 암호키 서버에 결합된 원거리 장치에 암호 서비스를 제공하기 위한 암호키 서버에 있어서,
    상기 암호키 서버는 상기 암호키 서버상에서 실행되는 보안 네트워크 인터페이스 엔진, 상기 보안 네트워크 인터페이스 엔진은
    적어도 하나의 원거리 장치와 함께 보안 네트워크 통신 채널을 개설할 수 있고;
    상기 적어도 하나의 원거리 장치에서 수신된 보안된 암호 서비스 요청을 언마셜(unmarshal) 할 수 있으며,
    상기 적어도 하나의 원거리 장치로 보안 암호 서비스 응답을 마셜(marshal)하고 전송할 수 있고;
    상기 암호키 서버상에서 수행되는 암호 서비스 엔진, 상기 보안 네트워크 인터페이스 엔진과 양-방향 통신에 구비되는 상기 암호 서비스 엔진, 상기 보안 네트워크 인터페이스 엔진을 경유하여 적어도 하나의 원거리 장치에 의해 요청되는 암호 서비스를 공급할 수 있는 암호 서비스 엔진을 포함하는 것을 특징으로 하는 암호키 서버.
  2. 제 1항에 있어서, 상기 적어도 하나의 장치는 어플리케이션 서버인 것을 특징으로 하는 암호키 서버.
  3. 제 1항에 있어서 상기 보안 네트워크 인터페이스 엔진은 상기 보안 네트워크 통신 채널이 보안 소켓 레이어(SSL) 포로토콜에 따라 개설되는 것과 같이 배열되는 것을 특징으로 하는 암호키 서버.
  4. 제 1항에 있어서, 상기 네트워크 인터페이스 엔진은 상기 보안 네트워크 통신 채널이 전송 레이어 보안(TLS) 프로토콜에 따라 개설되는 것과 같이 배열되는 것을 특징으로 하는 암호키 서버.
  5. 제 1항에 있어서, 상기 보안 네트워크 인터페이스 엔진은 보안 소켓 레이어(SSL) 프로토콜과 전송 레이어 보안(TLS) 프로토콜을 포함한 다중 통신 프로토콜을 지원하고, 상기 네트워크 인터페이스 엔진은 상기 적어도 하나의 장치에 의해 선택되는 프로토콜에 따라서 상기 보안 네트워크 통신 채널을 개설하기 위한 상기 적어도 하나의 장치에 응답하는 것을 특징으로 하는 보안 키 서버.
  6. 제 1항에 있어서, 상기 보안 서비스 엔진과 상기 보안 네트워크 인터페이스엔진은 상기 보안 키 서버에서 실행되는 단일 프로세스의 요소인 것을 특징으로 하는 보안 키 서버.
  7. 제 1항에 있어서, 상기 보안 서비스 엔진은 암호화와 복호화 기능을 수행할 수 있는 것을 특징으로 하는 보안 키 서버.
  8. 제 7항에 있어서, 상기 암호화 및 복호화 기능은
    대칭 블록 암호;
    일반 암호 모드;
    스트림 암호 모드;
    공개-키 암호화;
    공개-키 시스템을 위한 패딩 스킴;
    키 배열 스킴;
    타원 곡선 암호화;
    단 방향 해쉬 기능;
    메시지 인증 코드;
    해쉬 기능에 기초한 암호 구조;
    가상 랜덤 수 생성;
    키 도출 기능에 근거한 암호;
    Shamir의 비밀 분배 스킴과 로빈의 정보 분배 알고리즘(IDA);
    gzip(RFC 1952)와 zlib 포맷(RFC 1950)을 지원하는 DEFLATE(RFC 1951)압축/해제;
    고속 자중 정밀 정수(bignum) 및 다항식 연산;
    GF(p)와 GF("2") 및 프라임 수 생성 및 인증을 포함하는 유한 필드 연산; 및
    프라임 수 생성 및 인증을 포함하는 것을 특징으로 하는 암호키 서버.
  9. 제 7항에 있어서, 상기 암호화 및 복호화 기능은
    DES, 3DES, AES, RSA, DSA, ECC, RC6, MARS, Twofish, Serpent, CAST-256, DESX, RC2, RC5, Blowfish, Diamond2, TEA, SAFER, 3-WAY, Gost, SHARK, CAST-128, Square, Shipjack, ECB, CBC, CTS, CFB, OFB, counter mode(CTR), Panama, ARC4, SEAL, WAKE, Wake-OFB, BlumBlumshub, ElGamal, Nyberg-Rueppel(NR), Rabin, Rabin-Williams(RW), LUC, LUCELG, DLIES(variants of DHAES), ESIGN padding schemes for public-key system:PKCS#1 v2.0, OAEP, PSSR, IEE P1363 EMSA2, Diffie-Hellman(DH), Unified Diffie-Hellman(DH2), Menezes-Qu-Vanstone(MQV), LUCDIF, XTR-DH, ECDSA, ECNR, ECIES, ECDH, ECMQV, SHA1, MD2, MD4, MD5, HAVAL, RIPEMD-160, Tiger, SHA-2(SHA-256, SHA-384, 및 SHA-512), Panama, MD5-MAC, HMAC, XOR-MAC, CBC-MAC, DMAC, Luby-Packoff, MDC, ANSI X9.17 appendix C, PGP's RandPool, PBKDF1, PBKDSF2 from PKCS #5 를 포함하는 것을 특징으로 하는 보안 키 서버.
  10. 제 1항에 있어서, 상기 보안 서비스 엔진은 서명 및 인증 기능을 수행할 수 있는 것을 특징으로 하는 보안 키 서버.
  11. 제 10항에 있어서, 상기 서명 및 인증 기능은 RSA 및 DSA를 포함하는 것을 특징으로 하는 보안 키 서버.
  12. 제 1항에 있어서, 상기 암호 서비스 엔진은 해쉬(hash)연산을 수행할 수 있는 것을 특징으로 하는 보안 키 서버.
  13. 제 10항에 있어서, 상기 해쉬 연산은 SHA-1이 동반되는 HMAC를 포함하는 것을 특징으로 하는 보안 키 서버.
  14. 제 1항에 있어서, 상기 암호 서비스 엔진은 상기 암호 서비스의 수행하는 상태에 따라서 암호 서비스를 위한 요구의 허가를 결정하고 인증할 수 있는 것을 특징으로 하는 보안 키 서버.
  15. 제 14항에 있어서, 상기 암호 서비스를 위한 요구의 인증은 적어도 다음을 포함하는 하나이상의 셋의 식별번호를 확인하는 것을 특징으로 하는 보안 키 서버.
    암호 서비스를 위한 요청을 하는 클라이언트;
    암호 서비스를 위한 상기 클라이언트의 요구한 상기 적어도 하나의 원거리 장치;
    상기 적어도 하나의 원거리 장치 상에서 수행되는 함수 또는 프로그램.
  16. 제 14항에 있어서, 암호 서비스를 위한 요구의 인증을 결정하는 것은 다음을 포함하는 적어도 하나 이상의 허락된 인증 특권을 포함하는 것을 특징으로 하는 암호키 서버.
    암호 서비스를 요청하는 클라이언트;
    상기 클라이언트가 암호 서비스를 요청한 적어도 하나의 원거리 장치;
    상기 원거리 장치에서 수행되는 함수 또는 프로그램.
  17. 제 16항에 있어서, 암호 서비스를 위해 인증 요청을 결정하는 동작은 상기 암호 서비스를 위한 요청이 암호 서비스를 위한 상기 요청과 관련된 요청자의 특권안에 존재하는지 여부를 판단하는 것을 더 포함하는 것을 특징으로 하는 암호키 서버.
  18. 제 1항에 있어서, 상기 암호 서비스 엔진은 암호 서비스를 위한 요청을 추적할 수 있는 것을 특징으로 하는 암호키 서버.
  19. 제 1항에 있어서, 상기 암호키 서버는 암호 서비스를 수행하는 상기 암호 서비스 엔진에 의해 사용되는 개인 키를 공급할 수 있는 개인 키 엔진을 더 포함하는 것을 특징으로 하는 암호키 서버.
  20. 제 1항에 있어서, 상기 암호키 서버는 네트워크 보안 장치인 것을 특징으로 하는 암호키 서버.
  21. 제 1항에 있어서, 상기 암호키 서버는 상기 암호 서비스 엔진과 상기 보안 네트워크 인터페이스 엔진을 제공하는 컴퓨터 하드웨어 구조를 가지고, 상기 컴퓨터 하드웨어 구조는
    데이터 버스;
    상기 데이터 버스와 양 방향으로 결합된 중앙처리장치;
    상기 데이터 버스와 양방향으로 결합된 영구저장장치;
    상기 데이터 버스와 양방향으로 결합된 일지저장장치;
    상기 데이터 버스와 양방향으로 결합된 네트워크 입출력 장치;
    상기 데이터 버스와 양방향으로 결합된 암호화 가속 카드;
    상기 데이터 버스와 양 방향으로 결합되고 개인 키를 저장하기 위한 하드웨어 보안 모듈; 및
    스마트 카드 인터페이스를 포함하는 것을 특징으로 하는 암호키 서버.
  22. 제 21항에 있어서, 상기 하드웨어 보안 모듈은 탬퍼 레지스턴트(tamper resistant)장치인 것을 특징으로 하는 암호키 서버.
  23. 제 21항에 있어서, 상기 개인 키는 상기 하드웨어 보안 모듈로 로드되고 암호화된 포맷으로 저장되는 것을 특징으로 하는 암호키 서버.
  24. 제 21항에 있어서, 상기 개인 키는 상기 암호화된 개인 키를 저장한 스마트 카드를 경유하여 상기 하드웨어 보안 모듈에 로드되는 것을 특징으로 하는 암호키 서버.
  25. 제 24항에 있어서, 상기 암호키 서버는 상기 개인키가 k 스마트 카드가 삽입된 이후에 상기 암호키 서버에 의해 유일하게 접근되는 방법에 의하는 k-out-of n 비밀 분배를 제공하는 것을 특징으로 하는 암호키 서버.
  26. 네트워크를 경유하여 암호키 서버에 결합된 원거리 장치에 암호 서비스를 제공하기 위한 암호키 서버에 있어서,
    데이터 버스와 양 방향 결합된 암호 가속기;
    스마트 카드 인터페이스 장치;
    상기 데이터 버스와 양방향 결합되고 데이터 보안을 위해 적합한 하드웨어 보안 모듈을 포함하고,
    상기 보안 데이터는 k-out-of-n 스마트 카드가 상기 스마트 카드 인터페이스 장치에 삽입되었을 때에만 접근이 가능한 것을 특징으로 하는 암호키 서버.
  27. 다수의 어플리케이션을 호스팅하고, 네트워크를 경유하여 다수의 클라이언트에게 서비스를 제공하는 어플리케이션 서버에 있어서,
    상기 어플리케이션 서버는
    원거리 암호키 서버에 의해 수행되는 상기 다수의 암호 서비스 중 적어도 하나의 암호 서비스를 호출할 수 있는 암호 어플리케이션 프로그램 인터페이스(API);
    원거리 암호키 서버와 보안 네트워크 통신 체널을 개설할 수 있는 보안 네트워크 인터페이스를 포함하는 것을 특징으로 하는 암호키 서버.
  28. 제 27항에 있어서, 상기 암호 API는 원거리 암호 서비스를 요청하기 위한 상기 보안 네트워크 인터페이스 엔진을 이용할 수 있는 것을 특징으로 하는 암호키 서버.
  29. 제 27항에 있어서, 상기 암호 API는 상기 다수의 어플리케이션에 자바 암호 확장(JCE)으로써 노출되어 있는 것을 특징으로 하는 암호키 서버.
  30. 제 27항에 있어서 상기 암호 API는 암호화 서비스 제공자(CSP)를 경유하여 노출되고, 상기 암호 API는 동적 연결 라이브러리로써 구현되는 것을 특징으로 하는 암호키 서버.
  31. 제 27항에 있어서, 상기 암호 API는 MS-CAPI를 경유하여 노출되는 것을 특징으로 하는 암호키 서버.
  32. 다수의 함수 및 프로그램을 실행하는 장치에 있어서,
    상기 장치는 네트워크 인터페이스 엔진과 암호 어플리케이션 프로그램(API)를 포함하고,
    상기 인터페이스 엔진은 상기 장치상에서 실행되며, 적어도 하나의 원거리 암호키 서버에 보안 네트워크 통신 채널을 개설할 수 있고, 적어도 하나의 원거리 암호키 서버에 암호 서비스를 위한 보안 요청을 마셜(marshal) 및 전송하며,
    상기 API는 상기 장치상에서 실행되며, 상기 보안 네트워크 인터페이스 엔진에 양 방향으로 결합되고, 대응하는 다수의 암호 서비스를 호출할 수 있는 함수 및 프로그램의 표준 셋을 제공하며,
    적어도 다수의 암호 서비스 중 하나는 상기 적어도 하나의 암호키 서버에 의해 원거리에서 수행되며, 상기 암호 API는 상기 암호 서비스를 요청하기 위한 보안 네트워크 인터페이스 엔진을 이용하기 위해 적어도 하나의 원거리 암호 서비스를 위한 요청에 응답하는 것을 특징으로 하는 장치.
  33. 암호키 서비스를 제공하기 위해서 컴퓨터로 구현된 방법에 있어서,
    네트워크 키 서버상에 개인 키 셋을 개설하는 단계;
    네트워크 장치와 상기 네트워크 키 서버사이에 보안 통신 채널을 개설하는 단계;
    상기 보안 네트워크 통신 채널을 경유하여 상기 네트워크 장치에서 네트워크 키 서버에 암호키 서비스를 위한 요청을 수신하는 단계;
    암호키 서비스를 위한 상기 요청을 인증하는 단계;
    암호키 서비스를 위한 상기 요청의 인증을 결정하는 단계;
    상기 요청인 인증되었을 때, 상기 개인 키를 이용한 상기 네트워크 키 서버에 암호키 서비스를 위한 상기 요청을 수행하는 단계를 포함하는 컴퓨터로 구현된 방법.
  34. 제 33항에 있어서, 상기 네트워크 서버상에 개인 키를 개설하는 단계는 상기 새인 키 셋을 암호화하는 복호화하는 과정을 포함하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  35. 제 33항에 있어서, 상기 개인 티의 셋을 복호화 하는 과정은 k-out-of-n 비밀 분배 방법을 사용하여 행하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  36. 제 33항에 있어서, 상기 보안 네트워크 통신 채널을 개설하는 방법은 SSL프로토콜을 이용하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  37. 제 33항에 있어서, 상기 보안 네트워크 통신 채널을 개설하는 방법은 TLS프로토콜을 이용하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  38. 제 33항에 있어서, 상기 요청을 인증하는 방법은
    암호 서비스를 요청하는 클라이언트;
    상기 클라이언트가 암호서비스를 위해 요청하는 상기 네트워크 장치 및
    상기 네트워크 장치상에서 수행되는 함수 및 프로그램을 포함하는 적어도 하나 이상의 셋(set)의 식별자를 인증하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  39. 제 33항에 있어서, 상기 인증을 결정하는 방법은
    암호 서비스를 요청하는 클라이언트;
    상기 클라이언트가 암호서비스를 위해 요청하는 상기 네트워크 장치 및
    상기 네트워크 장치상에서 수행되는 함수 및 프로그램을 포함하는 적어도 하나 이상의 셋(set)에 허락된 인증 특권을 결정하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  40. 제 38항에 있어서, 상기 요청의 인증을 결정하는 방법은 상기 요청이 암호 서비스를 위한 상기 요청과 연관된 요청자의 권리안에 있는지를 결정하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  41. 제 33항에 있어서, 암호 서비스를 위한 모든 요청을 추적하는 단계를 더 포함하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  42. 네트워크 암호키 서비스를 제공하기 위한 컴퓨터로 구현된 방법에 있어서,
    어플리케이션 서버에 암호 API를 통합하는 단계;
    상기 암호 API를 경유하여 상기 어플리케이션 서버상에 수행되는 다수의 어플리케이션에 암호 서비스를 노출하는 단계;
    상기 어플리케이션 서버와 원거리 암호키 서버사이에 보안 네트워크 통신 채널을 개설하는 단계;
    상기 암호 API에 어플리케이션에서 암호 서비스를 위한 요청을 수신하는 단계;
    상기 암호키 서버로 전송을 위한 암호 서비스를 위한 상기 요청을 마셜(marshal)하는 단계;
    상기 보안 네트워크 통신 채널을 경유하여 상기 암호키 서버로 암호 서비스를 위한 마셜(marshal)된 요청을 전송하는 단계;
    상기 보안 네트워크 통신 채널을 경유하여 상기 요청에 응답을 수신하는 단계;
    상기 응답을 언마셜(unmarshal)하는 단계; 및
    상기 암호 API를 경유하여 상기 요청된 어플리케이션에 알맞은 응답을 제공하는 단계를 포함하는 컴퓨터로 구현된 방법.
  43. 서버 시스템 내부에 암호키를 보안하기 위한 방법에 있어서,
    컴퓨터로 구현된 방법은
    복호화된 데이터를 사용하기 위한 암호화된 키를 키 서버에 저장하는 단계; 및
    상기 키서버는 보안 통신 채널을 사용하는 상기 서버 시스템의 적어도 하나의 구성과 통신하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  44. 서버 시스템 내부에 암호키를 보안하기 위한 방법에 있어서,
    컴퓨터로 구현된 방법은
    키 서버상에 복호화된 데이터를 사용하는 암호키를 저장하는 단계; 및
    상기 키 서버는 상기 네트워크 시스템의 적어도 하나의 요소에 대신하여 암호 연산을 수행하는 네트워크 장치로써 작동하는 것을 특징으로 하는 컴퓨터로 구현된 방법.
  45. 제 44항에 있어서, 상기 암호 연산은 보안 소켓 레이어(SSL) 프로토콜 하에서 행해지는 것을 특징으로 하는 방법.
  46. 제 44항에 있어서, 상기 암호 연산은 전송 레이어 보안(TLS) 프로토콜 하에서 행해지는 것을 특징으로 하는 방법.
  47. 제 44항에 있어서, 민감한 데이터는 복호화된 형태로 상기 네트워크 시스템에 저장되는 것을 특징으로 하는 방법,
  48. 네트워크 시스템 안에서 암호키를 보안하기 위해서 암호키 서버 장치에 있어서, 상기 암호키 서버는 암호키를 저장하고 저장된 암호키에 접근을 제어하는 것을 특징으로 하는 암호키 서버 장치.
  49. 제 48항에 있어서, 상기 접근은 암호 연산을 위해 단독으로 상기 저장된 키의 적어도 하나에 사용되는 것을 특징으로 하는 암호키 서버 장치.
  50. 제 48항에 있어서, 상기 접근은 암호화 연산을 위해 독립적으로 상기 저장된 암호키의 적어도 하나를 사용하는 것을 특징으로 하는 암호키 서버 장치.
  51. 서버 시스템내부에 민감 정보를 보호하기 위한 암호 장치에 있어서,
    데이터 통신 버스;
    상기 데이터 통신 버스에 양 방향 결합된 중앙 처리장치;
    데이터 버스;
    상기 데이터 통신 버스와 양 방향으로 결합된 중앙처리장치;
    상기 데이터 통신 버스와 양방향으로 결합된 영구저장장치;
    상기 데이터 통신 버스와 양방향으로 결합된 일지저장장치;
    상기 데이터 통신 버스와 양방향으로 결합된 네트워크 입출력 장치;
    상기 데이터 통신 버스와 양방향으로 결합된 암호화 가속 카드;
    상기 데이터 통신 버스와 양 방향으로 결합되고 개인 키를 저장하기 위한 하드웨어 보안 모듈 및
    상기 데이터 통신 버스와 결합된 스마트 카드 인터페이스를 포함하는 암호 장치.
  52. 네트워크 시스템에서 암호 서비스를 제공하기 위한 컴퓨터로 구현된 방법에 있어서,
    키 서버상상에 암호키를 안전하게 로딩하는 단계;
    상기 네트워크 시스템의 첫 번째 구성요소와 상기 키 서버 사이에 보안 전송 세션을 개설하는 단계;
    상기 키 서버에 상기 첫 번째 구성요소를 포함하는 상기 네트워크의 적어도 하나 이상의 요소를 인증하는 단계;
    상기 키 서버에 상기 첫 번째 구성요소를 포함하는 상기 네트워크의 적어도 하나 이상의 요소를 인증을 결정하는 단계;
    상기 키 서버에 상기 첫 번째 구성요소에서 암호 연산을 위한 요청을 생성하는 단계;
    상기 요청이 인증과 인증을 결정하는 과정과 연관된 결과에 기초한 상기 키 서버에 의해 수행되는지를 결정하는 단계;
    상기 요청이 인증된 것이라면, 상기 키 서버상에 상기 요청된 암호 연산을 수행하는 단계; 및 상기 보안 전송 세션을 경유하여 상기 키 서버에서 상기 첫 번째 구성요소로 상기 요청된 암호 연산의 결과를 제공하는 단계를 포함하는 컴퓨터로 구현된 방법.
  53. 네트워크 시스템에서 데이터를 보호하는 방법에 있어서, 컴퓨터로 구현되는 방법은
    어플리케이션 서버로 라우팅된 데이터를 가로채고 검사하기 위한 그룹 키를 배분하는 암호 서버의 미리 정의된 그룹의 부분인 네트워크 장치를 제공하는 단계를 포함하고,
    상기 네트워크 장치는
    상기 데이터가 민감 데이터인지를 결정하는 단계;
    상기 데이터가 인감한 것이면 복호화 데이터를 형성하기 위하여 암호 서버의 미리 정의된 그룹에 의해 분배된 그룹 키를 사용하여 상기 데이터를 복호화 하는 단계;
    상기 어플리케이션 서버과 관련된 저장매체상에 복호화된 데이터를 저장하는 단계 및
    만약 적어도 하나 이상의 백-엔드 어플리케이션 서버가 상기 데이터를 접근하는 것을 인증한다면, 상기 저장장치에서 상기 복호화된 데이터를 재생하고 상기 복호화된 데이터를 암호화하기 위한 암호 서비스의 미리 정의된 그룹을 고용하도록 적어도 하나 이상의 백-엔드 어플리케이션 서버를 허락하는 단계를 수행할 수 있는 것을 특징으로 하는 컴퓨터로 구현되는 방법
KR1020057000614A 2002-07-12 2003-07-11 암호화된 네트워크 Withdrawn KR20050026478A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US39568502P 2002-07-12 2002-07-12
US60/395,685 2002-07-12

Publications (1)

Publication Number Publication Date
KR20050026478A true KR20050026478A (ko) 2005-03-15

Family

ID=30115910

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020057000614A Withdrawn KR20050026478A (ko) 2002-07-12 2003-07-11 암호화된 네트워크

Country Status (6)

Country Link
EP (1) EP1540628A4 (ko)
JP (1) JP2005533438A (ko)
KR (1) KR20050026478A (ko)
CN (1) CN1679066B (ko)
AU (1) AU2003251853A1 (ko)
WO (1) WO2004008676A2 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101008896B1 (ko) * 2009-04-16 2011-01-17 동서대학교산학협력단 에이티에이 기반 가상 저장 시스템을 위한 안전한 데이터 전송 방법
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
KR20230010963A (ko) * 2021-07-13 2023-01-20 한국과학기술원 신뢰실행환경(tee)에서 안전하게 가속기로 연산을 오프로딩하는 기법

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4961798B2 (ja) * 2005-05-20 2012-06-27 株式会社日立製作所 暗号化通信方法及びシステム
CN101141251B (zh) * 2006-09-08 2012-05-23 华为技术有限公司 通信系统中消息加密签名的方法及系统和设备
US20080178010A1 (en) 2007-01-18 2008-07-24 Vaterlaus Robert K Cryptographic web service
US9118665B2 (en) 2007-04-18 2015-08-25 Imation Corp. Authentication system and method
JP4902633B2 (ja) * 2008-12-17 2012-03-21 日本電信電話株式会社 Webシステムおよびリクエスト処理方法
JP2012064995A (ja) 2010-09-14 2012-03-29 Hitachi Ltd 暗号装置管理方法、暗号装置管理サーバ、プログラム及び記憶媒体
US9197407B2 (en) 2011-07-19 2015-11-24 Cyberlink Corp. Method and system for providing secret-less application framework
US20130179676A1 (en) * 2011-12-29 2013-07-11 Imation Corp. Cloud-based hardware security modules
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US9590959B2 (en) * 2013-02-12 2017-03-07 Amazon Technologies, Inc. Data security service
US9286491B2 (en) 2012-06-07 2016-03-15 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10210341B2 (en) * 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US9608813B1 (en) 2013-06-13 2017-03-28 Amazon Technologies, Inc. Key rotation techniques
US9705674B2 (en) 2013-02-12 2017-07-11 Amazon Technologies, Inc. Federated key management
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US9300464B1 (en) 2013-02-12 2016-03-29 Amazon Technologies, Inc. Probabilistic key rotation
US9367697B1 (en) 2013-02-12 2016-06-14 Amazon Technologies, Inc. Data security with a security module
WO2015008623A1 (ja) * 2013-07-18 2015-01-22 日本電信電話株式会社 鍵保管装置、鍵保管方法、及びそのプログラム
CN105474575B (zh) * 2013-08-22 2018-12-14 日本电信电话株式会社 多方安全认证系统、认证服务器、中间服务器、多方安全认证方法以及程序
CN103532964B (zh) * 2013-10-22 2016-09-07 邱文乔 一种验证tcp连接安全性的方法
CN104717195A (zh) * 2013-12-17 2015-06-17 中国移动通信集团福建有限公司 业务系统密码管理方法和装置
JP6287282B2 (ja) * 2014-02-04 2018-03-07 日本電気株式会社 情報処理装置及び情報処理方法、情報処理システム、並びにコンピュータ・プログラム
CN103916233B (zh) * 2014-03-28 2018-05-29 小米科技有限责任公司 一种信息加密方法及装置
US9397835B1 (en) 2014-05-21 2016-07-19 Amazon Technologies, Inc. Web of trust management in a distributed system
US9438421B1 (en) 2014-06-27 2016-09-06 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
JP6792133B2 (ja) * 2014-08-07 2020-11-25 キヤノンマーケティングジャパン株式会社 サーバと、その処理方法及びプログラム
US9866392B1 (en) 2014-09-15 2018-01-09 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN105991622A (zh) * 2015-03-05 2016-10-05 阿里巴巴集团控股有限公司 一种报文验证方法及设备
CN106157028B (zh) * 2015-04-15 2021-03-26 航天信息股份有限公司 一种基于可信平台的金融ic卡多次发卡系统及方法
KR101610182B1 (ko) 2015-06-18 2016-04-08 (주)가바플러스 원격서비스 시스템의 클라이언트 단말기 보안장치 및 그 방법
CN105516083A (zh) * 2015-11-25 2016-04-20 上海华为技术有限公司 一种数据安全管理的方法、装置及系统
CN105704148A (zh) * 2016-03-24 2016-06-22 广州三星通信技术研究有限公司 安全传输信息的方法和设备
CN106027646B (zh) * 2016-05-19 2019-06-21 北京云钥网络科技有限公司 一种加速https的方法及装置
EP3382612A1 (de) * 2017-03-31 2018-10-03 Siemens Aktiengesellschaft Verfahren und vorrichtung zum rechnergestützten bereitstellen sicherheitsgeschützter satellitennavigationsdatensätze
CN109005187A (zh) * 2018-08-21 2018-12-14 广州飞硕信息科技股份有限公司 一种通信信息保护方法及装置
CN110912852B (zh) * 2018-09-14 2022-04-08 阿里巴巴集团控股有限公司 获取密钥的方法、装置和系统,存储介质和计算机终端
JP7041650B2 (ja) * 2019-07-31 2022-03-24 株式会社Sbi Bits 秘密鍵を再製するためのシステム
AR126203A1 (es) 2021-06-23 2023-09-27 Arris Entpr Llc Sistema y método para entregar claves y encriptar contenido de forma segura en entornos informáticos en la nube

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07170280A (ja) * 1993-12-15 1995-07-04 Ricoh Co Ltd ローカルエリアネットワーク
US5828832A (en) * 1996-07-30 1998-10-27 Itt Industries, Inc. Mixed enclave operation in a computer network with multi-level network security
US6397330B1 (en) * 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
JPH1188321A (ja) * 1997-09-02 1999-03-30 Kiyadeitsukusu:Kk ディジタル署名生成サーバ
US6202157B1 (en) * 1997-12-08 2001-03-13 Entrust Technologies Limited Computer network security system and method having unilateral enforceable security policy provision
US6073242A (en) * 1998-03-19 2000-06-06 Agorics, Inc. Electronic authority server
US6484259B1 (en) * 1999-07-23 2002-11-19 Microsoft Corporation Methods and arrangements for mapping widely disparate portable tokens to a static machine concentric cryptographic environment
WO2001035194A2 (en) * 1999-11-10 2001-05-17 Unisys Corporation Method and apparatus for providing redundant and resilient cryptographic services
US7373656B2 (en) * 2000-10-27 2008-05-13 Sandisk Il Ltd. Automatic configuration for portable devices

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101008896B1 (ko) * 2009-04-16 2011-01-17 동서대학교산학협력단 에이티에이 기반 가상 저장 시스템을 위한 안전한 데이터 전송 방법
KR101693249B1 (ko) * 2015-09-08 2017-01-06 충북대학교 산학협력단 어플리케이션 관리 시스템 및 방법
KR20230010963A (ko) * 2021-07-13 2023-01-20 한국과학기술원 신뢰실행환경(tee)에서 안전하게 가속기로 연산을 오프로딩하는 기법

Also Published As

Publication number Publication date
WO2004008676A3 (en) 2004-04-01
AU2003251853A1 (en) 2004-02-02
CN1679066A (zh) 2005-10-05
EP1540628A2 (en) 2005-06-15
JP2005533438A (ja) 2005-11-04
WO2004008676A2 (en) 2004-01-22
EP1540628A4 (en) 2010-08-04
CN1679066B (zh) 2011-08-31
AU2003251853A8 (en) 2004-02-02

Similar Documents

Publication Publication Date Title
KR20050026478A (ko) 암호화된 네트워크
US20060149962A1 (en) Network attached encryption
CA3058236C (en) Retrieving public data for blockchain networks using highly available trusted execution environments
US8626929B2 (en) Scalable session management using an encrypted session key
US9530011B2 (en) Method and system for provision of cryptographic services
US7657531B2 (en) Systems and methods for state-less authentication
EP1714422B1 (en) Establishing a secure context for communicating messages between computer systems
US8719572B2 (en) System and method for managing authentication cookie encryption keys
US9137017B2 (en) Key recovery mechanism
US11675922B2 (en) Secure storage of and access to files through a web application
CN110489996B (zh) 一种数据库数据安全管理方法及系统
KR20200116012A (ko) 다중키 쌍 시그너처를 사용한 프로그램 실행 및 데이터 증명 체계
US20020150243A1 (en) Method and system for controlled distribution of application code and content data within a computer network
US20080263644A1 (en) Federated authorization for distributed computing
CN112005522A (zh) 基于云的密钥管理
CN104283880A (zh) 安全工作组管理和通信的系统和方法
Koved et al. Security challenges for Enterprise Java in an e-business environment
CN114244508B (zh) 数据加密方法、装置、设备及存储介质
CN116250209A (zh) 分布式计算系统中的数据管理和加密
CN116210199A (zh) 分布式计算系统中的数据管理和加密
JP4256361B2 (ja) 認証管理方法及びシステム
US9053297B1 (en) Filtering communications
CA3172049A1 (en) Exporting remote cryptographic keys
CN113849801B (zh) 单点登录方法、装置、计算机设备及存储介质
WO2003067850A1 (en) Verifying digital content integrity

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20050112

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid