[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

KR20150053912A - 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 - Google Patents

서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 Download PDF

Info

Publication number
KR20150053912A
KR20150053912A KR1020157005966A KR20157005966A KR20150053912A KR 20150053912 A KR20150053912 A KR 20150053912A KR 1020157005966 A KR1020157005966 A KR 1020157005966A KR 20157005966 A KR20157005966 A KR 20157005966A KR 20150053912 A KR20150053912 A KR 20150053912A
Authority
KR
South Korea
Prior art keywords
network address
address
server
client
sequence
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020157005966A
Other languages
English (en)
Inventor
스테판느 오노
올리비에 힌
크리스또프 느만
Original Assignee
톰슨 라이센싱
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 톰슨 라이센싱 filed Critical 톰슨 라이센싱
Publication of KR20150053912A publication Critical patent/KR20150053912A/ko
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 네트워크를 통해 접속된 서버에 클라이언트를 등록하기 위한 방법에 관한 것이고, 클라이언트는 결정된 네트워크 어드레스를 할당받는다. 이 방법은 클라이언트에 의해 서버에, 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스를 포함하는 요청을 전송하는 단계; 서버에 의해 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스를 포함하는 요청을 거부하는 단계; 클라이언트에 의해 서버에, 제2 네트워크 어드레스를 포함하는 요청을 전송하는 단계; 제2 네트워크 어드레스가 결정된 네트워크 어드레스로부터 도출되는 경우, 및 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스가 클라이언트와 서버 사이의 공유된 비밀 및 클라이언트의 상기 결정된 네트워크 어드레스를 이용하는 제1 함수로부터 도출되는 경우에, 서버에 의해 제2 네트워크 어드레스를 포함하는 요청을 승인하는 단계를 포함한다. 본 발명은 또한 등록 방법을 구현하는 클라이언트 디바이스 및 서비스에 관한 것이다.

Description

서버에 클라이언트를 등록하기 위한 방법 및 디바이스들{METHOD AND DEVICES FOR REGISTERING A CLIENT TO A SERVER}
본 발명은 일반적으로 네트워킹된 디바이스들의 보안 등록 분야에 관한 것이다. 더욱 정확하게는, 본 발명은 네트워크 어드레스 액세스 제어를 구현하는 서버에 클라이언트를 등록하기 위한 방법 및 디바이스에 관한 것이다.
이 부분은 아래에 설명 및/또는 청구되는 본 발명의 다양한 양태에 관련될 수 있는 다양한 기술 양태에 대하여 독자에게 소개하기 위한 것이다. 이러한 논의는 본 발명의 다양한 양태의 더욱 양호한 이해를 용이하게 하기 위해 배경기술 정보를 독자에게 제공하는 데에 유용할 것으로 생각된다. 따라서, 이러한 서술들은 이러한 견지에서 읽혀야 하며, 종래 기술의 인정으로서 읽혀서는 안된다는 것이 이해되어야 한다.
네트워크를 통한 정보 및 비밀들의 보호는 네트워크에 새로운 디바이스들을 추가하기 위해 보안 방법들의 이용을 필요로 한다. 알려진 보안 방법들은 네트워크 어드레스 액세스 제어 정책을 구현하고, 새로운 디바이스들의 등록 문제를 제기한다. 새로운 네트워크 어드레스에 의해 새로운 디바이스가 식별된다. 네트워크에의 디바이스들의 등록 프로세스를 방해하는 것을 통해서 네트워크 보안을 위반하고 네트워크 정보 및 비밀들에 대한 액세스를 획득하는 것이 가능하다. 보안 위협들을 방지하기 위한 알려진 방법이 디폴트로 거부 정책(deny by default policy)이며, 여기서는 명시적으로 허용되지 않은 모든 것들이 금지된다. 이러한 디폴트로 거부 정책은 보안 네트워크에 대한 디바이스 네트워크 어드레스를 이용하여 액세스를 제어하는 데에 이용되며, 알려지지 않은 네트워크 어드레스로부터의 임의의 통신은 무시된다. 따라서, 네트워크 어드레스들에 기초하여 액세스 제어에 디폴트로 거부 정책(deny by default access control policy)을 구현하는 서비스 또는 사설 네트워크를 고려할 때, 새로운 디바이스는 그러한 서비스 또는 사설 네트워크에 대하여 직접적으로 접속하여 등록 크레덴셜들(registration credentials)을 전송할 수 없다. 게다가, 그러한 방법들에 따르면, 알려지지 않은 네트워크 어드레스로부터 수신된 임의의 페이로드가 무시된다.
이러한 시스템은 새로운 디바이스가 처음에 접속할 수 있기 전에 그 디바이스의 네트워크 어드레스를 등록하고 액세스를 승인할 것을 필요로 한다. 그에 따라 새로운 디바이스의 네트워크 어드레스를 등록하는 몇몇 공지된 방법들이 존재한다. 제1 해법이 수동 등록이다. 디바이스의 사용자는 그의 디바이스로부터 네트워크 어드레스를 검색하고, 이 어드레스를 등록하는 서비스의 관리자에게 네트워크 어드레스를 전송한다. 제2 해법이 웹 서비스와 같은 전용 서비스의 이용이다. 전용 서비스는 등록의 목적으로만 제공된다. 전용 서비스를 통해서, 사용자는 그의 네트워크 어드레스를 안전하게 제공하기 위한 서비스를 접속하기 위한 크레덴셜을 부여받는다.
위에 언급한 바와 같이 등록 프로세스들에 대한 단점들이 존재한다. 수동 프로세스는 성가시고 네트워킹에 대한 최소한의 지식을 요구한다. 네트워크 어드레스가 너무 길면(예를 들어, IPV6 어드레스), 어드레스를 복사할 때 에러 위험이 높다. 전용 서비스가 등록 목적으로만 인터넷에 대한 서비스를 오픈하는 동안, 새로운 인터넷 서비스를 가능하게 하는 것은 공격면(attack surface)을 증대시키므로, 가능하면 회피되어야 한다.
해결해야 할 기술적 과제는 전용 등록 서비스를 오픈/구현하지도 않고, 등록 메시지들의 페이로드를 해석하지도 않고서, 새로운 어드레스를 등록하기 위한 자동화된 해법을 제공하는 것이다.
본 발명은 그러한 해법을 제공한다.
제1 양태에서, 본 발명은 네트워크를 통해 접속된 서버에 클라이언트를 등록하기 위한 방법에 관한 것이고, 클라이언트는 결정된 네트워크 어드레스를 할당받는다. 이 방법은 클라이언트에 의해 서버에, 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스를 포함하는 요청을 전송하는 단계; 서버에 의해 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스를 포함하는 요청을 거부하는 단계; 그 다음에 클라이언트에 의해 서버에, 제2 네트워크 어드레스를 포함하는 요청을 전송하는 단계; 및 제2 네트워크 어드레스가 결정된 네트워크 어드레스로부터 도출되는 경우, 및 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스가 클라이언트와 서버 사이의 공유된 비밀 및 클라이언트의 결정된 네트워크 어드레스를 이용하는 제1 함수로부터 도출되는 경우에, 서버에 의해 제2 네트워크 어드레스를 포함하는 요청을 승인하는 단계를 포함한다. 따라서, 서버는 시퀀스에 이용되는 연속 네트워크 어드레스들이 공유된 비밀을 이용하여 제1 함수로부터 도출된다는 검증을 수행하도록 그리고 접속 어드레스의 검증을 수행하도록 구성된다.
유리한 특성에 따르면, 제1 및 제2 단계는 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 각각의 연속 네트워크 어드레스에 대해 거듭 반복되고, 따라서 적어도 하나의 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 공유된 비밀 및 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 제1 함수로부터 도출된다.
제1 변형예에 있어서, 또한 접속 어드레스인 클라이언트에 의해 전송된 마지막 어드레스인 제2 네트워크 어드레스는 클라이언트의 결정된 네트워크 어드레스를 이용하는 제2 함수로부터 도출된다. 제2 변형예에 있어서, 제2 어드레스는 적어도 하나의 네트워크 어드레스의 시퀀스 중의 어드레스를 이용하는 제2 함수로부터 도출된다. 제3 변형예에 있어서, 제2 어드레스는 적어도 하나의 네트워크 어드레스의 시퀀스로부터의 마지막 어드레스를 이용하는 제2 함수로부터 도출된다. 사실상, 클라이언트 및 서버로부터 알려진 임의의 어드레스가 접속을 위한 베이스 어드레스가 되도록 적응된다. 유리하게는, 이러한 알려진 어드레스는 결정된 어드레스로부터 도출된다.
특정 특성에 따르면, 제2 함수는 균등 함수(equal function), 해시 함수(hash function)이다.
다른 특정 특성에 따르면, 제1 함수는 해시 함수와 같은 일방 함수(one way function)이다. 변형예에 있어서, 제1 함수는 가역 암호화 함수(reversible encryption function)이다. 이러한 변형예는 유리하게는 서버가 클라이언트의 결정된 네트워크 어드레스를 검색할 수 있게 하고 또한 제2 해시 함수를 이용하여 접속 어드레스를 계산할 수 있게 한다.
제1 바람직한 실시예에서, 제2 네트워크 어드레스를 포함하는 요청이 암호화 또는 보호되고, 그에 따라 유리하게는 도청으로부터 제2 네트워크 어드레스를 보호한다. 제2 실시예에서, 제1 네트워크 어드레스 또는 시퀀스로부터의 어드레스를 포함하는 요청이 더 암호화 또는 보호되고, 그에 따라 도청으로부터 시퀀스 네트워크 어드레스의 어드레스들을 더 보호한다.
제2 실시예에서, 일단 클라이언트의 네트워크 어드레스가 서버에 대한 액세스를 이미 승인하였다면, 이전 접속 어드레스로부터 시작해서 방법이 반복된다. 다시 말해, 방법은 제3 네트워크 어드레스를 등록하기 위해 반복되는 4개의 단계를 포함하며, 여기서, 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스는 클라이언트와 서버 사이의 공유된 비밀로부터 그리고 서버에 의해 이전에 승인된 클라이언트의 제2 네트워크 어드레스로부터 도출되고, 제3 네트워크 어드레스는 결정된 네트워크 어드레스로부터 도출된다. 유리하게는, 제3 어드레스가 서버에 대한 액세스 권한이 승인되면, 이전 어드레스 접속은 서버에 대한 액세스가 거부된다.
제3 실시예에서, 서버는 네트워크 어드레스의 등록에 디폴트로 거부를 적용한다.
제2 양태에서, 본 발명은 앞서 설명한 방법에 따라 네트워크에서 클라이언트 디바이스를 등록하기 위한 서버 디바이스에 관한 것이다. 서버 디바이스는 클라이언트 디바이스로부터, 네트워크 어드레스를 포함하는 요청을 수신하기 위한 수단; 적어도 하나의 네트워크 어드레스의 시퀀스로서 수신된 요청 각각으로부터 네트워크 어드레스 각각을 저장하기 위한 수단; 클라이언트 디바이스와 서버 디바이스 사이에 공유된 비밀을 저장하기 위한 수단; 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 공유된 비밀 및 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 제1 함수로부터 도출된다는 것을 검증하기 위한 수단; 적어도 하나의 어드레스의 시퀀스의 검증이 성공하면 클라이언트로부터 마지막에 수신한 요청으로부터의 네트워크 어드레스에 대한 등록을 승인하는 응답을 전송하기 위한 수단을 포함한다.
제2 양태에서, 본 발명은 앞서 설명한 방법에 따라 서버 디바이스에 의해 액세스가 제어되는 네트워크에서 등록을 요청하기 위한 클라이언트 디바이스에 관한 것이다. 클라이언트 디바이스는 결정된 네트워크 어드레스를 저장하기 위한 수단 - 결정된 네트워크 어드레스는 적어도 하나의 어드레스의 시퀀스 중의 제1 네트워크 어드레스임 - ; 클라이언트 디바이스와 서버 디바이스 사이에 공유된 비밀을 저장하기 위한 수단; 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스를 반복적으로 계산하기 위한 수단 - 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 공유된 비밀 및 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 제1 함수로부터 도출됨 - ; 네트워크 어드레스를 포함하는 요청을 서버 디바이스에 전송하기 위한 수단 - 네트워크 어드레스는 제2 네트워크 어드레스가 뒤따르는 적어도 하나의 네트워크 어드레스의 시퀀스에 속함 - ; 제2 네트워크 어드레스로부터의 네트워크 어드레스에 대한 등록을 승인하는 응답을 서버 디바이스로부터 수신하기 위한 수단을 포함한다.
등록 방법에 대해 설명된 임의의 특성 또는 실시예가 개시된 방법에 의해 등록되도록 의도된 네트워크 디바이스와 호환가능하다.
본 발명의 바람직한 특징들은 첨부 도면들을 참조하여, 비한정적인 예에 의해 이제 설명될 것이다.
도 1은 본 발명이 이용될 수 있는 예시적인 네트워크를 도시한다.
도 2는 본 발명의 바람직한 실시예에 따른 예시적인 서버 디바이스를 도시한다.
도 3은 본 발명의 바람직한 실시예에 따른 예시적인 클라이언트 디바이스를 도시한다.
도 4는 본 발명의 제1 실시예에 따른 클라이언트 디바이스에서의 등록 방법의 단계들을 도시한다.
도 5는 본 발명의 바람직한 실시예에 따른 등록 방법의 단계들을 도시한다.
다음의 설명에서, 클라이언트/서버 모델이 개시되며, 여기서 액세스 제어 정책은 서버에 의해 시행된다. 액세스 제어 정책은 예를 들어, 액세스 제어 리스트(Access Control List)(ACL로서 알려짐)를 통해 또는 서버에 의해 관리되는 화이트리스트(whitelist)에 의해 구현되는 디폴트로 거부 정책에 의존한다. 그러한 정책을 구현하기 위한 임의의 알려진 해법이 본 발명에 대해 적응된다. 용어 "서버" 또는 "호스트"는 동일한 대상을 가리킨다. 용어 "클라이언트" 또는 "디바이스"는 동일한 대상을 가리킨다.
설명은 MAC 어드레스에 초점을 맞출 것이고, 여기서 통신을 위해 MAC 프로토콜을 이용하는 컴퓨터 네트워크에 참여하는 각각의 디바이스에는 수치적 라벨이 할당된다. MAC 어드레스는 호스트 또는 네트워크 인터페이스 식별을 제공한다. 그러나, 본 발명은 IPv4 또는 IPv6 어드레싱, 또는 예를 들어 모바일 통신에 이용되는 어드레싱 해법들과 같은 임의의 어드레싱 해법과 호환가능하다.
도 1은 본 발명이 이용될 수 있는 예시적인 네트워크(100)를 도시한다. 네트워크(100)는 서버 디바이스(110) 및 적어도 클라이언트 디바이스(120)를 포함한다. 클라이언트(120) 및 서버(110)는 인터넷과 같은 개방된 네트워크(130)를 통해 통신하도록 구성된다. 서버(110)와 클라이언트(120)는 네트워크 통신을 위해 디바이스를 식별하는 MAC 어드레스를 할당받는다. 바람직한 실시예에서, 클라이언트의 네트워크 어드레스는 네트워크를 통해 통신하기 위한 복수의 네트워크 어드레스를 이용한다. 변형예에서, 클라이언트는 시간에 따라 변하는 어드레스들을 할당받는다. 다른 변형예에서, 클라이언트는 동일한 시간에 몇개의 네트워크 어드레스들을 할당받는다. 서버(110)는 사설 네트워크(140)에 대한 액세스를 보호한다. 사설 네트워크(140)는 예를 들어, 보안 데이터를 저장하는 컴퓨터 또는 HDD와 같은 디바이스들을 포함한다. 서버(110)는 예를 들어, 사설 네트워크(140)에 포함되는 디바이스들에 대한 인터넷 액세스를 제공한다. 서버(110)는 사설 네트워크(140)에 액세스하고자 시도하는 새로운 디바이스(120)에 대해 디폴트로 거부 정책을 적용한다. 그러나, 변형예에서, 사설 네트워크는 존재하지 않고, 서버는 그 자신의 데이터에 대한 액세스를 관리한다.
본 발명의 핵심적인 발명 사상은 등록 요청들(150, 160, 170)에서 새로운 클라이언트에 의해 이용되는 어드레스들의 시퀀스에 대해 검증함으로써 새로운 클라이언트(120)를 인증하는 서버(110)를 갖는다는 것이고, 여기서, 마지막 어드레스(170)는 승인된 어드레스(granted address)이다. 그것을 위해, 클라이언트(120)와 서버(110)는 티켓이라고도 불리는 비밀 k를 공유하고, 그에 의해 클라이언트에 의해 전송된 요청들에서 이용되는 어드레스들의 시퀀스가 서버에 의해 검증가능하다. 제1 단계에서, 클라이언트(120)는 비밀 k로부터 그리고 시퀀스에서의 선행하는 어드레스로부터 도출되는 시퀀스에 따라 그의 네트워크 어드레스를 변경함으로써 그리고 서버(110)를 시퀀스 어드레스들과 접속 시도함으로써 비밀/티켓 k의 소유를 증명한다. 다시 말해, 비밀은 서버에 대한 액세스 요청들에 이용되는 연속 어드레스들을 계산하기 위해 클라이언트에 의해 이용된다. 비밀은 클라이언트에 의해 전송된 요청들 내의 연속 어드레스들을 검증하기 위해 서버에 의해 더 이용된다. 예를 들어, 클라이언트는 제1 및 제2 MAC 어드레스를 이용하여 각각 제1 요청(150) 및 제2 요청(160)을 전송한다. 각각의 요청(150, 160)은 서버에 의해 거부되지만, 서버는 어드레스들이 공유된 비밀 k로부터 도출된다는 것을 검증한다. 시퀀스는 제한적이며, 변형예에서 시퀀스는 유한개의 어드레스, 예를 들어, 1개를 포함한다. 다른 변형예에서, 시퀀스는 시간에 있어서 제한적이며, 예를 들어, 클라이언트는 30초의 유한한 지속기간 동안 접속을 시도한다.
제2 단계에서, 클라이언트는 나중에 요청(170)을 통해 선택된 또는 접속 어드레스와 접속한다. 어드레스들의 전체 시퀀스 플러스 선택된 어드레스를 귀납적으로 체크(a posteriori checking)하기 위한 수단을 갖는 서버는 선택된 어드레스를 이용하여 클라이언트에 대한 액세스를 제공한다. 다시 말해, 어드레스들의 검증이 성공적이면, 서버(110)는 시퀀스의 마지막 어드레스, 클라이언트 원래의 어드레스 또는 임의의 시퀀스 어드레스들로부터 계산되는 선택된 어드레스 중 어느 하나인 접속 어드레스에 대해 클라이언트에 대한 액세스를 승인한다.
어드레스들의 시퀀스를 검증 또는 계산하는 함수 및 비밀은 서버(110) 및 클라이언트 디바이스들(120)에서 하드웨어 또는 소프트웨어로서 구현된다. 서버 액세스가 디폴트로 거부되기 때문에, 서버는 유리하게는 클라이언트 요청에 응답하지 않는다. 유리하게는, 어떤 것도 클라이언트와 서버 사이의 통신을 위해 네트워크에서 보통 이용되는 요청으로부터 본 발명에 따른 서버에 액세스하기 위한 요청(등록 요청이라고도 함)을 구별하지 않는다. 그것은 인증 증거(authentication proof)를 구성하는 어드레스들의 시퀀스이다. 그러므로, 본 발명은 유리하게는 임의의 네트워킹 프로토콜과 호환가능하다. 유리하게는, 본 발명은 전용 등록 서비스를 오픈/구현하는 것도, 클라이언트 디바이스 어드레스를 검색하는 사설 네트워크 관리자를 수반하는 것도, 등록 방법에서 새로운 클라이언트로부터 발행된 요청의 페이로드를 해석하는 것도 요구하지 않는다.
도 2는 본 발명의 바람직한 실시예에 따른 예시적인 서버 디바이스를 도시한다. 서버 디바이스는 예를 들어, 사설 네트워크의 인터넷 네트워크 액세스 포인트이다. 상이한 변형예에 따르면, 서버는 컴퓨터, 게이트웨이, 모바일 디바이스, 게임 콘솔에서 구현될 수 있다. 서버(200)는 ADSL 모뎀과 같은 네트워크 인터페이스(210), 적어도 하나의 프로세서(220)(이하 "프로세서") 및 메모리(230)를 포함한다. 네트워크 인터페이스(210)는 네트워크로부터 등록 요청들을 수신하여, 액세스를 거부 또는 승인하기 위한 응답을 전송하고, 일단 등록이 수행되면 클라이언트 디바이스와 통신하도록 구성된다. 네트워크 인터페이스(210)는 IP 어드레스를 할당받는다. 프로세서(220)는 등록 어드레스들을 검증하도록 구성된다. 프로세서(220)는 암호 알고리즘들을 수행하도록 구성된다. 프로세서는 공유된 비밀 k를 저장한다. 변형예에서, 공유된 비밀뿐만 아니라, 다른 보안 자료들이 스마트 카드에 저장되고, 서버는 스마트 카드 리더를 더 포함한다. 유리하게는, 프로세서는 보안 태스크들을 책임지고 있는 보안 프로세서이다. 게다가, 검증 결과에 기초하여, 프로세서는 등록 요청에 대한 액세스를 승인 또는 거부하도록 더 구성된다. 메모리(230)는 검증 단계에서 이용된 등록 어드레스들의 시퀀스와 같은 데이터를 저장하도록 구성된다. 본 발명의 이해를 위해 필요한 특징들만이 상세하게 설명되며, 서버(200)는 내부 접속들과 가능하게는, 예를 들어, 사설 네트워크에서 통신하기 위한 (유선 기반 또는 무선) 통신 인터페이스 및 사용자 인터페이스를 더 포함할 수 있다는 것이 이해될 것이다.
도 3은 본 발명의 바람직한 실시예에 따른 예시적인 클라이언트 디바이스를 도시한다. 클라이언트 디바이스는 사설 네트워크에 액세스 시도하는 원격 포터블 디바이스에 대한 것이다. 상이한 변형예들에 따르면, 클라이언트는 컴퓨터, 모바일 디바이스, 태블릿에서 구현될 수 있다.
클라이언트 디바이스(300)는 802.11 무선 카드와 같은 네트워크 인터페이스(310), 적어도 하나의 프로세서(320)(이하 "프로세서") 및 메모리(330)를 포함한다. 네트워크 인터페이스(310)는 클라이언트 디바이스를 서버에 접속하여 예를 들어 등록 요청들을 전송하고, 승인된 액세스의 경우에 서버로부터 응답을 수신하도록 구성된다. 네트워크 인터페이스(310)는 변형예에서 제조사에 의해 할당되는 MAC 어드레스를 할당받는다. 프로세서(320)는 등록을 위한 어드레스의 시퀀스를 계산하기 위해 암호화 함수들을 실행하도록 구성된다. 프로세서는 공유된 비밀 k뿐만 아니라 다른 유용한 암호 자료들을 저장한다. 변형예에서, 공유된 비밀은 스마트 카드에 저장되고, 클라이언트는 스마트 카드 리더를 더 포함한다. 변형예에서, 보안 함수들은 보안 프로세서와 같은 하드웨어의 단편에서(in a piece of hardware) 구현된다. 그러나, 이러한 변형예에서, 공유된 비밀과 보안 함수는 재생 가능하지 않다. 본 발명의 이해를 위해 필요한 특징들만이 상세하게 설명된다.
도 4는 본 발명의 제1 실시예에 따른 클라이언트 디바이스에서의 등록 방법의 단계들을 예시한다.
등록 프로세스는 전술한 바와 같이 2단계를 포함하며, 어드레스 인증 단계(420) 및 어드레스 등록 단계(430)를 포함한다. 제1 실시예에서, 단계(420)에서 이용되는 접속 어드레스 @1, …@n는 단계(430)에서 이용되는 어드레스 @c에 의존한다.
예비 단계(410)에서, 서버는 클라이언트 디바이스에 티켓 k를 제공한다. 클라이언트는 예를 들어, 제조 단계에서 또는 네트워크에 의해, 접속 어드레스들의 시퀀스가 도출되는 결정된 어드레스 @c를 승인받는다.
단계(421)에서, 클라이언트는 아래 식과 같이 f로 언급된 함수를 이용하여, @1로 언급된, 시퀀스 내의 제1 어드레스를 계산한다.
@1 = f(k,@c)
변형예들에 따르면, f는 각각 아래 식과 같이 언급되는 해시 기반 메시지 인증 코드(HMAC; hash-based message authentication code), 보안 해시 알고리즘(SHA; Secure Hash Algorithm), 진보된 암호화 표준(AES; Advanced Encryption Standard)과 같은 암호화 함수 또는 암호 일방 함수이다.
@1 = hmac(k,@c); @1 = sha1(k∥@c); @1 = aes(k,@c)
일방 함수를 이용하는 것은 등록되는 어드레스가 관례로 클라이언트와 서버 사이에 사전에 동의되는, 예를 들어, 클라이언트와 서버가 공통 알고리즘 g로부터 주어진 어드레스를 선택하기로 동의하는 실시예들과 호환가능하다.
암호화 함수를 이용하는 것은 클라이언트가 결정된 어드레스, 예를 들어, 그것의 네트워크 인터페이스의 MAC 어드레스를 등록하도록 요청하는 실시예와 유리하게 호환가능하다. 암호화 함수와 달리, 해시 함수는 되돌아갈 수 없다.
단계(422)에서, 클라이언트는 k 및 @c로부터 직접 도출된 제1 어드레스 @1을 이용하여 서버에 접속하기 위한 요청을 전송한다. 어드레스 @1의 수신시, 단계(423)에서, 서버는 어드레스에 대한 임의의 추가 액세스를 승인하지 않고 어드레스들 @1을 저장한다. 유리하게는, 서버는 요청의 데이터 또는 페이로드를 해석하지 않고, 서버는 오직 어드레스 @1을 저장하며, 그에 따라 유리하게는 공격면을 감소시킨다.
단계들(421, 422 및 423)은 어드레스들의 정렬된 시퀀스에서 각각의 연속 어드레스에 대해 거듭 반복된다. 따라서, 단계(424)에서, 클라이언트는 아래 식에서 f로 언급된 일방 함수를 이용하여, @n으로 언급된, 시퀀스에서의 제n 어드레스를 계산한다.
@n = f(k,@n-1)
단계(425)에서, 클라이언트는 k, @c로부터 직접 도출되는 @n을 이용하여 서버에 접속 시도한다. 어드레스의 수신시, 서버는 어드레스에 대한 임의의 추가 액세스를 승인하지 않고 @1,…@n-1로 어드레스 @n을 저장한다.
특정 특성에 따르면, 서로에 대해 사전 지식을 갖지 않는 두 당사자가 안전하지 못한 통신 채널을 거쳐서 공유된 비밀 키를 공동으로 설정할 수 있게 하는 Diffie-Hellman(DH) 키 교환을 구현함으로써 하위 레벨 네트워크 층에 의한 도청에 대해 접속 시도들(422, 425)이 보호된다. 따라서, 접속 시도들에서의 어드레스들 @1,…@n-1은 외부 해커로부터 보호된다. 변형예들에 따르면, TCPcrypt, VPN tunnels, IPsec와 같이, 도청을 방지하기 위해 다른 기법들이 이용될 수 있다.
제2 단계(430)는 접속 어드레스, 즉, 클라이언트가 서버에 접속할 수 있는 어드레스의 등록을 포함한다. 클라이언트와 서버는 또한 접속에서 마지막으로 이용되는 어드레스에 대해 동의한다. 변형예들에 따르면, 클라이언트와 서버는 또한 클라이언트의 실제 어드레스 @c를 이용하는 것, 시퀀스에서의 제(n+1) 어드레스 @(n+1)를 이용하는 것, 또는 시퀀스에서의 제j 어드레스 @j를 이용하는 것을 포함하는 관례에 대해 동의하며, 여기서, j는 1 내지 n에 속하거나 심지어 시퀀스에서의 어드레스들의 조합을 이용한다. 클라이언트 디바이스가 시퀀스 어드레스들에서 이용된 어드레스로부터 발행된 요청에 의해 인증되면, 클라이언트와 서버 사이의 임의의 관례는 본 발명과 호환가능하다. 그러나, 제1 바람직한 실시예에서, 관례는 유리하게 단순하다: 클라이언트는 단계(431)에서 그의 실제 어드레스 @c로 서버에 접속한다. 따라서, 단계(432)에서, 서버는 모든 n 및 화이트리스트들 @c에 대해 @1 = f(k,@c) 및 @n = f(k,@n-1)임을 쉽게 검증한다.
다른 특정 특성에 따르면, 최근의 접속, 즉, 등록된 어드레스를 이용하는 접속은 하위 레벨 네트워크 층에 의해, 예를 들어, DH를 이용하여 도청에 대해 보호되고, 그에 따라 등록된 어드레스 @c는 도청될 수 없다. 변형예들에 따르면, TCPcrypt, VPN tunnels, IPsec와 같이, 도청을 방지하기 위해 다른 기법들이 이용될 수 있다. 따라서, 본 해법은 등록된 어드레스 @c가 도청에 대해 보호될 때 외부 해커에 대해 유리하게 더욱 강건하다. 그렇지 않으면, 해커는 최근의 어드레스 @c를 간단하게 캡처하고 도용하여 사설 네트워크에 대한 액세스를 획득할 수 있다. 또한, 최근의 어드레스 @n는 특히 제1 단계가 보호되지 않는 경우에 유리하게는 접속 어드레스로서 반복되지 않으며, 그렇지 않으면, 해커는 또한 이 최근의 어드레스를 간단하게 캡처하고 도용할 수 있다는 것에 주목해야 한다. 이러한 조건은 통상적으로 전술한 바와 같이 OpenVPN 또는 IP over TCPcrypt와 같은 VPN들에 의해 충족된다. 그러나, 이것은 현재의 802.11 통신에 의해 충족되지 않는다. 따라서, 802.11 통신이 인증 단계와 호환가능한 경우, 이 프로토콜은 바람직하게는 등록된 어드레스에 대해 이용된 통신에 이용되지 않거나 또는 전술한 바와 같이 추가 보호층에 의해 캡슐화(encapsulate)되어야 한다.
다른 특정 특성에 따르면, 클라이언트가 서버와의 제1 접속을 설정하였다면, 그리고 클라이언트가 상이한 어드레스 접속으로 서버에 재접속하기를 원하는 경우, 클라이언트는 어드레스들의 새로운 시퀀스에서의 제1 어드레스로서, 이전의 접속 어드레스, 즉, 등록된 어드레스를 이용한다. 변형 특성에서, 클라이언트는 어드레스들의 새로운 시퀀스에서의 제1 어드레스로서 최근의 어드레스를 이용한다. 따라서, 클라이언트는 유리하게는 그의 실제 어드레스 @c로부터 어드레스들의 시퀀스를 리플레이하는 것을 피한다. 예를 들어, 클라이언트가 서버에 의해 사전에 등록된 어드레스 @n+1를 갖는 경우, 클라이언트는 먼저 새로운 시퀀스에서의 제1 어드레스로서 어드레스 @n+2를 이용하여 서버에 요청을 전송한다.
다른 특정 특성에서, 서버는 등록 단계에서 시퀀스 어드레스들을 검증하지만, 검증은 또한 요청이 클라이언트로부터 수신될 때 가능하다. 게다가, 서버는 사전에 (즉, 시퀀스에서의 이전의 어드레스를 이용하여) 시퀀스에서의 연속 어드레스들을 계산하도록 구성될 수 있고, 그에 따라 검증 단계를 단순 비교로 단순화할 수 있다.
도 5는 본 발명의 바람직한 실시예에 따른 등록 방법의 단계들을 예시한다. 바람직한 실시예에서, 공유된 키에 의존하는 그리고 또한 MAC 어드레스 액세스 제어를 구현하는 OpenVPN 어더넷 터널에 대해 MAC 어드레스가 등록된다. OpenVPN은 가상 사설 네트워크의 구축을 허용하는 클라이언트 및 서버 소프트웨어이다. OpenVPN은 가능하게는 원격 사이트들 사이의 라우팅된 또는 스위칭된 접속들을 구축하는 것을 허용한다. 전송 제어 프로토콜(TCP; Transmission Control Protocol)은 인터넷 네트워크에서의 접속들을 설정하는 데 이용되는 광범위한 프로토콜이다. OpenVPN에서, 클라이언트 디바이스들의 인증은 공유된 키(모든 클라이언트에 의해 공유됨) 또는 인증서들(certificates)에 의존한다. 본 발명의 바람직한 실시예에서, OpenVPN은 공유된 키(Sk)에 의존한다. 게다가, OpenVPN에서 통신을 보호하기 위하여, VPN 접속들 및 암호화된 터널들이 몇 개의 층에서 변형 방법들을 이용하여 설정된다. 따라서, 바람직한 실시예에서, OpenVPN은 공유된 비밀(Sk)을 이용하여 보안 채널을 설정한다. Sk에 대한 지식 없이, 트래픽을 해독하는 것은 가능하지 않다. Sk를 갖는 클라이언트들로부터 도청을 방지하기 위하여, 이들 클라이언트들은 전자의 디바이스(former device)와 서버 사이의 네트워크 링크와 동일하지 않은 네트워크 링크에 있다고 가정한다. 변형 실시예들에서, TCPCrypt 또는 SSL 기반 통신이 또한 도청을 방지하기 위해 이용될 수 있다. 미디어 액세스 제어 어드레스(MAC 어드레스)는 물리적 네트워크 세그먼트에서 통신을 위해 네트워크 인터페이스들에 할당된 고유 식별자이다. MAC 어드레스들은 인터넷을 포함하여, 다수의 네트워크 기술들 및 대부분의 IEEE 802 네트워크 기술들에 대해 이용된다. 본 발명의 바람직한 실시예에서, 공유된 키의 취약성 때문에 MAC 어드레스 기반 액세스 제어가 더 구현된다.
예비 단계(510)에서, 서버는 등록 목적을 위해 클라이언트에 티켓 k, 접속 URL 및 공유 키 Sk를 제공한다. 티켓 k는 클라이언트에서 그리고 서버에서 각각 어드레스들의 시퀀스를 계산 및 검증하는 데 이용되는 공유된 비밀이다. 접속 URL(uniform resource locator)은 가상 사설 네트워크에 액세스하는 데 이용되는 인터넷 서버 리소스에 대한 레퍼런스를 구성한다. 서버는 유리하게는 예를 들어, 디바이스가 물리적으로 사설 네트워크에 접속될 때 또는 우편으로(by mail) 클라이언트에 대역외로(out of band) 보안 자료 Sk, URL, k를 전송한다.
제1 단계(520)에서, 클라이언트는 VPN 애플리케이션을 론치(launch)하고, 접속 URL 및 공유된 키를 선택하고, URL과 연관된 저장된 등록 티켓 k를 검색한다. 클라이언트는 MAC_Wi-fi로 언급된 물리적 디바이스의 특성을 암호화하는 것에 의해 Transient_MAC_addr로 언급된 일시적 MAC 어드레스를 계산한다.
Transient_MAC_addr = Encrypt(ticket k, MAC_Wi-fi)
제2 단계(530)에서, 클라이언트는 일시적 MAC 어드레스로 서버에 접속한다. 이러한 접속 요청은 그것이 통상적으로 VPN 터널들에 대한 경우일 때 도청에 대해 보호된다.
Connect (Transient_Mac_addr, URL, Sk)
제3 단계(540)에서, 서버는 아래와 같이 디바이스 특성을 해독하고, 인증된 MAC_vpn_addr를 계산하고, 모든 정보를 저장하고, MAC_vpn_addr에 대한 권한을 승인한다:
Get device info: MAC_Wi-fi = (Decrypt(ticket k, Transient_Mac_addr))
Compute MAC_vpn_addr = HASH (MAC_Wi-fi)
Save info (MAC_vpn_addr, MAC_Wi-fi)
Grant rights(MAC_vpn_addr)
그 다음에, 서버는 클라이언트를 자동으로 재시작하는 접속을 재설정한다.
결과적으로, 다음 단계(550)에서, 클라이언트는 새로운 접속 어드레스 MAC_vpn_addr를 계산한다.
Compute MAC_vpn_addr = HASH (MAC_Wi-fi)
그리고, 단계(560)에서, 클라이언트는 MAC_vpn_addr로 서버에 재접속한다:
Connect (MAC_vpn_addr, URL, Sk)
마지막 단계(570)에서, 서버는 저장된 디바이스 특성에 관한 주어진 MAC 어드레스 MAC_vpn_addr를 검증한다:
Verify (MAC_vpn_addr, HASH (MAC_Wi-fi))
검증이 성공적이면, 서버는 MAC_vpn_addr에 MAC_Wi-fi의 MAC 어드레스 기반 보안 정책을 적용한다.
동일한 MAC 어드레스 기반 보안 정책은 몇 개의 액세스 수단(WiFi, VPN, …)에 걸쳐서 공유될 수 있다. 이용되는 액세스 수단의 순서에 대해 제약은 없다. 예를 들어, 디바이스는 그의 제1 접속을 위해 WiFi를 이용할 수 있고, 그 다음에 VPN을 통해 재접속할 수 있다. 그 역도 가능하다.
통상의 기술자는 또한 등록 방법이 특수한 설비에 대한 필요성 없이도 매우 쉽게 구현될 수 있으므로, PC, 이동 전화, 홈 네트워크에서의 게이트웨이 등과 같은 '보통의' 사용자 디바이스들에 의해 구현될 수 있다는 것을 알 것이다. 본 발명은 802.11 통신(Wi-Fi), 또는 블루투스 또는 UWB와 같은 임의의 유선 또는 무선 액세스와 더 호환가능하다.
설명은 MAC 어드레스들에 초점을 맞추고 있지만, 본 발명은 예를 들어, IPv4 어드레스들 또는 IPv6 어드레스들에 기반하는 임의의 어드레스 기반 액세스 제어 메커니즘들 또는 예를 들어 이동 전화에 이용되는 다른 어드레스 기반 액세스 제어 메커니즘들과 호환가능하다.
설명 및 (적절한 경우) 청구항들 및 도면들에 개시된 각각의 특징은 독립적으로 또는 임의의 적절한 조합으로 제공될 수 있다. 소프트웨어로 구현되는 것으로 설명된 특징들은 또한 하드웨어로 구현될 수 있고, 그 반대도 가능하다. 청구항들에 보이는 참조 번호들은 예시에 불과하고, 청구항들의 범위에 대한 제한적 효과는 없어야 한다.

Claims (15)

  1. 네트워크(130)를 통해 접속된 서버(110)에 클라이언트(120)를 등록하기 위한 방법 - 상기 클라이언트는 결정된 네트워크 어드레스를 할당받음 - 으로서,
    상기 클라이언트에 의해 상기 서버에, 적어도 하나의 네트워크 어드레스의 시퀀스 중의 제1 네트워크 어드레스를 포함하는 요청(150)을 전송하는 단계;
    상기 서버에 의해 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 상기 제1 네트워크 어드레스를 포함하는 상기 요청을 거부(denying)하는 단계;
    상기 클라이언트에 의해 상기 서버에, 제2 네트워크 어드레스를 포함하는 요청(170)을 전송하는 단계; 및
    상기 제2 네트워크 어드레스가 상기 결정된 네트워크 어드레스로부터 도출되는 경우, 및 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 상기 제1 네트워크 어드레스가 상기 클라이언트와 상기 서버 사이의 공유된 비밀(k) 및 상기 클라이언트의 상기 결정된 네트워크 어드레스를 이용하는 제1 함수로부터 도출되는 경우에, 상기 서버에 의해 상기 제2 네트워크 어드레스를 포함하는 상기 요청을 승인하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서, 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 네트워크 어드레스를 포함하는 요청(150)을 전송하는 단계와 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 네트워크 어드레스를 포함하는 상기 요청을 거부하는 단계는 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 각각의 연속 네트워크 어드레스에 대해 거듭 반복되고(160); 상기 서버에 의해 상기 제2 네트워크 어드레스를 포함하는 상기 요청을 승인하는 단계는 상기 적어도 하나의 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 상기 공유된 비밀 및 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 상기 제1 함수로부터 도출된다는 것을 검증하는 단계를 더 포함하는 방법.
  3. 제1항 또는 제2항에 있어서, 상기 제2 네트워크 어드레스는 상기 결정된 네트워크 어드레스를 이용하는 제2 함수로부터 도출되는 방법.
  4. 제1항 또는 제2항에 있어서, 상기 제2 어드레스는 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 어드레스를 이용하는 제2 함수로부터 도출되는 방법.
  5. 제1항 또는 제2항에 있어서, 상기 제2 어드레스는 상기 적어도 하나의 네트워크 어드레스의 시퀀스로부터의 마지막 어드레스를 이용하는 제2 함수로부터 도출되는 방법.
  6. 제3항 내지 제5항 중 어느 한 항에 있어서, 상기 제2 함수는 균등 함수(equal function)인 방법.
  7. 제3항 내지 제5항 중 어느 한 항에 있어서, 상기 제2 함수는 해시 함수(hash function)인 방법.
  8. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 제1 함수는 해시 함수인 방법.
  9. 제1항 내지 제7항 중 어느 한 항에 있어서, 상기 제1 함수는 가역 암호화 함수(reversible encryption function)인 방법.
  10. 제1항 내지 제9항 중 어느 한 항에 있어서, 상기 클라이언트에 의해 상기 서버에, 제2 네트워크 어드레스를 포함하는 요청을 전송하는 단계는 상기 제2 네트워크 어드레스를 암호화/보호하는 단계를 더 포함하는 방법.
  11. 제1항 내지 제10항 중 어느 한 항에 있어서, 상기 클라이언트에 의해 상기 서버에, 제1 네트워크 어드레스를 포함하는 요청을 전송하는 단계는 상기 제1 네트워크 어드레스를 암호화/보호하는 단계를 더 포함하는 방법.
  12. 제1항 내지 제11항 중 어느 한 항에 있어서, 상기 방법은 제3 네트워크 어드레스를 등록하기 위해 반복되고, 여기서, 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 상기 제1 네트워크 어드레스는 상기 클라이언트와 상기 서버 사이의 공유된 비밀로부터 그리고 상기 서버에 의해 이전에 승인된 상기 클라이언트의 상기 제2 네트워크 어드레스로부터 도출되고, 상기 제3 네트워크 어드레스는 상기 결정된 네트워크 어드레스로부터 도출되는 방법.
  13. 제1항 내지 제12항 중 어느 한 항에 있어서, 상기 서버는 네트워크 어드레스의 등록에 디폴트로 거부를 적용하는 방법.
  14. 네트워크에서 클라이언트 디바이스를 등록하기 위한 서버 디바이스로서,
    상기 클라이언트 디바이스로부터, 네트워크 어드레스를 포함하는 요청을 수신하기 위한 수단;
    적어도 하나의 네트워크 어드레스의 시퀀스로서 상기 수신된 요청 각각으로부터 상기 네트워크 어드레스 각각을 저장하기 위한 수단;
    상기 클라이언트 디바이스와 상기 서버 디바이스 사이의 공유된 비밀을 저장하기 위한 수단;
    상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 상기 공유된 비밀 및 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 제1 함수로부터 도출된다는 것을 검증하기 위한 수단;
    상기 적어도 하나의 어드레스의 시퀀스의 검증이 성공하면 상기 클라이언트로부터 마지막에 수신한 요청으로부터의 네트워크 어드레스에 대한 등록을 승인하는 응답을 전송하기 위한 수단
    을 포함하는 서버 디바이스.
  15. 서버 디바이스에 의해 액세스가 제어되는 네트워크에서 등록을 요청하기 위한 클라이언트 디바이스로서,
    결정된 네트워크 어드레스를 저장하기 위한 수단 - 상기 결정된 네트워크 어드레스는 적어도 하나의 어드레스의 시퀀스 중의 제1 네트워크 어드레스임 - ;
    상기 클라이언트 디바이스와 상기 서버 디바이스 사이의 공유된 비밀을 저장하기 위한 수단;
    상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스를 반복적으로 계산하기 위한 수단 - 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 연속 네트워크 어드레스가 상기 공유된 비밀 및 상기 적어도 하나의 네트워크 어드레스의 시퀀스 중의 이전 네트워크 어드레스를 이용하는 제1 함수로부터 도출됨 - ;
    네트워크 어드레스를 포함하는 요청을 상기 서버 디바이스에 전송하기 위한 수단 - 상기 네트워크 어드레스는 제2 네트워크 어드레스가 뒤따르는 상기 적어도 하나의 네트워크 어드레스의 시퀀스에 속함 - ;
    제2 네트워크 어드레스로부터의 네트워크 어드레스에 대한 등록을 승인하는 응답을 상기 서버 디바이스로부터 수신하기 위한 수단
    을 포함하는 클라이언트 디바이스.
KR1020157005966A 2012-09-11 2013-09-06 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들 Withdrawn KR20150053912A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP12306093.1A EP2706717A1 (en) 2012-09-11 2012-09-11 Method and devices for registering a client to a server
EP12306093.1 2012-09-11
PCT/EP2013/068499 WO2014040925A1 (en) 2012-09-11 2013-09-06 Method and devices for registering a client to a server

Publications (1)

Publication Number Publication Date
KR20150053912A true KR20150053912A (ko) 2015-05-19

Family

ID=47010444

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157005966A Withdrawn KR20150053912A (ko) 2012-09-11 2013-09-06 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들

Country Status (7)

Country Link
US (1) US20150249639A1 (ko)
EP (2) EP2706717A1 (ko)
JP (1) JP2015536061A (ko)
KR (1) KR20150053912A (ko)
CN (1) CN104620556A (ko)
TW (1) TW201412076A (ko)
WO (1) WO2014040925A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL2017032B1 (en) * 2016-06-23 2018-01-19 Mindyourpass Holding B V Password generation device and password verification device
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
CN111464573B (zh) * 2019-01-21 2023-07-28 胡俊喜 一种跨通信协议数据转发的网络通讯系统、方法及装置
US10474809B1 (en) 2019-07-12 2019-11-12 Capital One Services, Llc Computer-based systems and computing devices configured to utilize one or more authentication servers for securing device commands transmissions and methods of use thereof
US11368535B2 (en) * 2019-11-18 2022-06-21 Connectify, Inc. Apparatus and method for client connection establishment
US11425217B1 (en) * 2020-03-10 2022-08-23 Chicago Mercantile Exchange Inc. Graph-based deployment tool
CN112291164B (zh) * 2020-10-20 2023-04-07 浙江华创视讯科技有限公司 重复注册处理方法、计算机设备及可读存储介质
CN114221795A (zh) * 2021-11-30 2022-03-22 麒麟软件有限公司 一种高并发注册方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7249187B2 (en) * 2002-11-27 2007-07-24 Symantec Corporation Enforcement of compliance with network security policies
EP1691507B1 (en) * 2005-02-14 2010-08-18 Irdeto Access B.V. Method of controlling communication between a head-end system and a plurality of client systems
CN101075870B (zh) * 2006-05-16 2010-08-25 华为技术有限公司 一种移动ip密钥的产生及分发方法
CN101155030B (zh) * 2006-09-29 2010-10-06 维豪信息技术有限公司 基于注册鉴权的网络资源整合访问方法
US20080298592A1 (en) * 2007-05-29 2008-12-04 Mohamed Khalid Technique for changing group member reachability information
CN102098671B (zh) * 2009-12-15 2014-11-05 中兴通讯股份有限公司 鉴权方法及系统
CN101873216B (zh) * 2010-07-08 2012-09-05 布日古德 主机认证方法、数据包发送方法和接收方法

Also Published As

Publication number Publication date
JP2015536061A (ja) 2015-12-17
WO2014040925A1 (en) 2014-03-20
CN104620556A (zh) 2015-05-13
TW201412076A (zh) 2014-03-16
EP2896177A1 (en) 2015-07-22
EP2706717A1 (en) 2014-03-12
US20150249639A1 (en) 2015-09-03

Similar Documents

Publication Publication Date Title
CN114553568B (zh) 一种基于零信任单包认证与授权的资源访问控制方法
US20240048985A1 (en) Secure password sharing for wireless networks
EP3090520B1 (en) System and method for securing machine-to-machine communications
EP2632108B1 (en) Method and system for secure communication
JP4071966B2 (ja) 無線ネットワーククライアントに対し認証されたアクセスを提供する有線ネットワークとその方法
US8327143B2 (en) Techniques to provide access point authentication for wireless network
US7673146B2 (en) Methods and systems of remote authentication for computer networks
US9049184B2 (en) System and method for provisioning a unique device credentials
US7913080B2 (en) Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program
CN112566119B (zh) 终端认证方法、装置、计算机设备及存储介质
KR20150053912A (ko) 서버에 클라이언트를 등록하기 위한 방법 및 디바이스들
US11489808B1 (en) Providing a split-configuration virtual private network
US9344427B1 (en) Facilitating multiple authentications
JP2006109449A (ja) 認証された無線局に暗号化キーを無線で提供するアクセスポイント
KR100707805B1 (ko) 사용자 및 인증자별로 제어할 수 있는 인증 시스템
JP6056970B2 (ja) 情報処理装置、端末機、情報処理システム及び情報処理方法
KR101451163B1 (ko) 무선 네트워크 접속 인증 방법 및 그 시스템
JP2009104509A (ja) 端末認証システム、端末認証方法
Sheikh Hacking Wireless Networks
CN113316141B (zh) 无线网络接入方法、共享服务器及无线接入点
US20240364700A1 (en) Method and System for Securely Exchanging Cryptographic Challenge/Response Messages
EP3439260B1 (en) Client device ticket
Kumar ISSUES AND CONCERNS IN ENTITY AUTHENTICATION IN WIRELESS LOCAL AREA NETWORKS (WLANS).
Nagesha et al. A Survey on Wireless Security Standards and Future Scope.
Backman et al. WLAN Information Security

Legal Events

Date Code Title Description
PA0105 International application

Patent event date: 20150306

Patent event code: PA01051R01D

Comment text: International Patent Application

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid