KR101615572B1 - 장치-특정 일회용 패스워드를 통한 네트워크 인증 - Google Patents

장치-특정 일회용 패스워드를 통한 네트워크 인증 Download PDF

Info

Publication number
KR101615572B1
KR101615572B1 KR1020147017727A KR20147017727A KR101615572B1 KR 101615572 B1 KR101615572 B1 KR 101615572B1 KR 1020147017727 A KR1020147017727 A KR 1020147017727A KR 20147017727 A KR20147017727 A KR 20147017727A KR 101615572 B1 KR101615572 B1 KR 101615572B1
Authority
KR
South Korea
Prior art keywords
otp
client device
session
private network
authenticator
Prior art date
Application number
KR1020147017727A
Other languages
English (en)
Other versions
KR20140105498A (ko
Inventor
짐 에스 바카
홍 리
토비아스 엠 콜렌버그
데이비드 스태나솔로비치
마크 에이치 프라이스
스티븐 제이 버켈
케네스 더블유 리즈
로날드 타포야
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20140105498A publication Critical patent/KR20140105498A/ko
Application granted granted Critical
Publication of KR101615572B1 publication Critical patent/KR101615572B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

전반적으로, 본 개시는 장치-특정 일회용 패스워드를 통해 네트워크에 인증하는 방법 및 시스템을 기술한다. 일 실시예의 방법은 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 1 일회용 패스워드(one-time password, OTP)를 생성하는 단계와, 제 1 세션 동안 사설망에 연관된 인증자에게 제 1 OTP를 제공하는 단계를 포함하되, 인증자는 제 1 세션에 후속하는 제 2 세션을 위하여 제공된 제 1 OTP에 기초하여 클라이언트 장치를 사설망과 사설망 내에 포함된 보호 콘텐츠 중 적어도 하나에 인증하도록 구성된다.

Description

장치-특정 일회용 패스워드를 통한 네트워크 인증{AUTHENTICATING TO A NETWORK VIA A DEVICE-SPECIFIC ONE TIME PASSWORD}
본 개시는 네트워크 인증에 관한 것이며, 보다 상세하게는 장치-특정 일회용 패스워드를 통한 네트워크 인증에 관한 것이다.
많은 비즈니스는 사설망(private network)을 갖는다. 사설망은 로컬 네트워크(LAN) 및/또는 전사(enterprise) 네트워크를 포함한다. 근무자들은 인터넷 같은 공중망을 통해 이러한 사설망에 원격으로 접속하기를 원할 수 있다. 공중망을 통해 사설망으로의 접속을 제공하고 또한 공중망을 통해 사용자의 컴퓨팅 장치와 사설망 간의 메시지 및 데이터의 안전하고 암호화된 전송을 제공하는 기술이 존재한다. 이러한 기술 중의 하나가 가상 사설망(VPN)이다.
사설망은 비인가된 사용자가 사설망에 접속하는 것을 막고 오직 인가된 사용자만이 사설망에 접속하는 및/또는 사설망 내에 저장된 정보에 접속하는 것을 허용하도록 구성될 수 있다. 이와 같은 인가된 사용자를 인식하는 것은 일반적으로 사용자의 신분을 검증하는 것, 즉 사용자를 네트워크에 인증하는 것에 의존한다. 일반적으로, 사용자는 사설망에 인증하고 접속하기 위하여 사용자 이름과 패스워드를 제공하도록 요구된다. 어떤 환경에서는, 사용자는 패스코드와 같은 추가적인 인증을 제공하도록 요청받을 수 있다.
컴퓨팅 장치를 이용하여 사설망에 접속하고자 하는 사용자는 사용자 이름과 패스워드를 사용하여 컴퓨팅 장치에 인증하고, 다른 패스워드와 아마도 다른 사용자 이름을 사용하여 사설망에 인증하도록 요구될 수 있다. 보안을 보장하기 위하여, 패스워드는 비교적 자주 변경되는 것이 좋다. 이때, 사용자는 패스워드를 암기하거나 또는 추후의 검색을 위하여 패스워드를 기록하여야 한다. 이 기법은 특별히 신뢰할만하지도 않고 기록된 패스워드는 사용자 이외의 누군가에 의해서 검색되어, 잠재적으로 보안을 위협하게 될 수 있다.
다음의 상세한 설명이 진행됨에 따라, 그리고 도면을 참조하여, 청구된 주제에 대한 실시예의 특징과 이점이 명백해질 것이며, 도면 내의 유사한 번호는 유사한 구성을 나타낸다.
도 1은 본 개시의 다양한 실시예에 따른 장치-특정 일회용 패스워드 인증 시스템을 도시한다.
도 2는 본 개시의 다양한 실시예에 따른 장치-특정 일회용 패스워드 인증 시스템의 동작 예의 흐름도를 도시한다.
도 3은 본 개시의 일 실시예에 따른 일회용 패스워드를 생성하도록 구성되는 클라이언트 장치의 동작 예의 흐름도를 도시한다.
도 4는 본 개시의 다양한 실시예에 따른 제 2 인증을 제공하도록 구성되는 장치-특정 일회용 패스워드 인증 시스템의 동작 예의 또 다른 흐름도를 도시한다.
비록 이하 상세한 설명이 도해적인 실시예를 참조하여 진행되지만, 그에 대한 많은 대안, 변경, 그리고 수정은 본 발명이 속하는 기술분야의 통상의 지식을 가진 자에게 명백할 것이다.
일반적으로, 본 개시는 일회용 패스워드(one-time password, OTP)를 사용하여 사설망에 인증하기 위한 방법과 시스템을 기술한다. 클라이언트 장치는 장치 속성에 적어도 부분적으로 기초하여 일회용 패스워드를 생성하도록 구성된다. 장치 속성은 파일 시스템 속성, 장치 설정(소프트웨어와 하드웨어 둘다), 하드웨어 특징 및 장치(사용자) 콘텍스트를 포함할 수 있지만, 이에 한정되지는 않는다.
장치 속성은 전형적으로 장치-특정되며 다른 장치에 복제되지 않을 것이다. OTP 생성에 사용되는 특정 장치 속성은, 예를 들면, 본 출원에서 기술되는, 시스템 관리자에 의해, 선택가능할 수 있다. OTP는 장치가 사설망에 연결되는 세션동안 클라이언트 장치에 의해 생성될 수 있다. 그 다음, OTP는 클라이언트 장치에 저장될 수 있고 사설망과 연관된 인증자에게 제공될 수 있다. OTP는 다음 세션에서 클라이언트 장치를 사설망에 인증하도록 사용될 수 있다. 따라서, 다른 장치에 복제되지 않는 장치 속성에 기초하는 잠재적으로 유일한 무작위 OTP에 의해 클라이언트 장치가 사설망에 인증될 수 있다. 사용자는 이러한 패스워드를 기억하도록 요구받지 않을 수 있다. 사용자가 클라이언트 장치에 인증한 다음 클라이언트 장치가 사설망에 인증할 수 있다.
세션 OTP는 클라이언트 장치를 사설망에 인증하는데 사용될 수 있다. 세션 OTP는 유사하게 사설망 내에 포함된 보호 콘텐츠로의 접근을 제어하는데 사용될 수 있다. 콘텐츠는 정보, 데이터 및/또는 애플리케이션을 포함할 수 있다. 세션 OTP를 사용하여 사설망에 인증한 클라이언트 장치는 보호 콘텐츠에 접근하기 위한 추가적인 인증을 제공하도록 구성될 수 있다. 추가적인 인증은, 본 출원에서 기술되듯이, 정적 세션 OTP 및/또는 제 2(동적) 세션 OTP를 포함할 수 있다.
일 실시예에서, 제 2 인증이 수행될 수 있다. 이 실시예에서, 클라이언트 장치는, 인증 시에, 장치 속성에 기초하여 제 2(동적) OTP를, 생성하도록 구성될 수 있다. 인증자는, 제 2 OTP가 이전 세션동안 클라이언트 장치에 의해 제공된 저장된 OTP의 미리결정된 허용치(tolerance) 이내이면, 성공적인 인증으로 결정하도록 구성될 수 있다. 제 2 인증은 저장된 세션 OTP를 생성한 클라이언트 장치가 제 2 인증을 시도하는 클라이언트 장치인지를 검증하도록 구성된다.
예를 들면, 선택된 파일 시스템 속성들이 장치-특정 세션 OTP를 생성하도록 사용될 수 있다. 파일 시스템 속성들은, 예를 들면, 시스템 관리자에 의해, 정의된 미리 결정된 규칙에 기초하여 선택될 수 있다. 이러한 예에서, 선택된 파일 시스템 속성은 클라이언트 장치 내에 포함된 하드 디스크의 특정 부분(region)이나 부분들에 대응될 수 있다. 선택된 부분들은 정적일 수 있고 또는 비교적 드물게 변경되도록 구성될 수 있다. 선택된 부분들은 스캐닝될 수 있으며, 스캐닝된 부분에 저장된 데이터는 캡처될 수 있다. 그 후, 캡처된 데이터는 장치-특정 OTP를 생성하도록 처리될 수 있다. 예를 들어, 캡처된 데이터는 원하는 크기의 OTP를 제공하도록 구성되는 암호 해시(cryptographic hash) 함수를 사용하여 처리될 수 있다. 이에 따라, 장치-특정 OTP는 장치-특정 장치 속성에 기초하여 생성될 수 있다.
도 1은 본 개시의 다양한 실시예에 따른 장치-특정 일회용 패스워드 인증 시스템(100)을 보여준다. 시스템(100)은 일반적으로 클라이언트 장치(102), 사설망(104), 네트워크(106)를 포함한다. 사설망(104)은 일반적으로 인증 서버 "인증자"(108), 하나 이상의 서버(들)(140) 및 하나 이상의 저장 장치(들)(142)를 포함한다. 저장 장치(들)(142)는, 본 출원에서 기술되듯이, 하드 디스크 드라이버(들) 및/또는 다른 저장 매체를 포함할 수 있다. 인증자(108)는 사설망(104) 내에 포함될 수 있는 및/또는 사설망(104)(예를 들면, 게이트웨이)과 연관될 수 있다. 사용자는 클라이언트 장치(102)를 사용하여 네트워크(106)를 통해 사설망(104)에 접속할 수 있다. 네트워크(106)는 공중망, 예를 들면, 인터넷일 수 있다.
클라이언트 장치(102)는 보안 저장소(110), 프로세서 "CPU"(112), 메모리(114), 하나 이상의 저장 장치(들)(116) 및 통신 모듈(118)을 포함할 수 있다. 본 출원에서 사용되는 "클라이언트 장치"는, 모바일 전화기, 스마트폰, 태블릿 컴퓨터, 노트북 컴퓨터, 데스크톱 컴퓨터, 울트라포터블 컴퓨터, 울트라모바일 컴퓨터, 넷북 컴퓨터, 서브노트북 컴퓨터, 개인용 디지털 보조기, 전사적 디지털 보조기, 모바일 인터넷 장치 및 유사한 장치들을 포함하는, 모든 컴퓨팅 장치를 의미하지만, 이에 한정되지는 않는다. CPU(112)는 클라이언트 장치(102) 내의 애플리케이션 및/또는 모듈과 연관되는 동작을 수행하도록 구성된다. 메모리(114)는 클라이언트 장치(102)에 대한 애플리케이션 및/또는 데이터를 저장하도록 구성된다. 저장 장치(들)(116)는, 본 출원에서 기술되듯이, 하드디스크 드라이버, 탈착가능한 저장 장치, 및/또는 다른 저장 매체를 포함할 수 있다. 통신 모듈(118)은 클라이언트 장치(102)에 대한 네트워크 연결성을 제공하도록 구성된다. 통신 장치(118)는, 하나 이상의 통신 프로토콜을 사용하여, 유선으로 또는 무선으로 네트워크(106)에 연결되도록 구성될 수 있다.
보안 저장소(110)는 보안 저장소(110) 내에 포함된 구성요소로의 접근을 제한하도록 구성된다. 보안 저장소(110)는 보안 엔진(120), 세션 OTP 생성기 모듈(122), 세션 OTP(123)를 포함할 수 있는 로컬 세션 OTP 저장소(124), 세션 OTP 규칙(126)을 포함하고 또한 동적 세션 OTP(128)를 포함할 수 있다. 보안 엔진(120)은 보안 저장소(110)를 관리하고, 보안 저장소(110)로의 접근을 통제하도록 구성되고, 그리고 암호 및/또는 해시 연산을 수행하도록 구성될 수 있다.
세션 OTP 생성기 모듈(122)은 장치 속성(130)과 세션 OTP 규칙(126)에 기초하여 제 1(정적) 세션 OTP(123)를 생성하도록 구성된다. 세션 OTP 생성기(122)는, 본 출원에서 기술되듯이, 제 2(동적) 세션 OTP(128)를 생성하도록 추가적으로 구성될 수 있다. 정적 세션 OTP(123)는 현재 세션 종료 직전에 생성될 수 있다. 이후, 정적 세션 OTP(123)는 다음 세션에서 사설망(104)에 클라이언트 장치(102)를 인증하도록 활용될 수 있다. 몇몇 실시예들에서, 정적 세션 OTP(123)는 정적 세션 OTP(123)의 만료일을 포함하도록 구성되는 데이트 필드(a date field)를 포함할 수 있다.
세션 OTP 생성기 모듈(122)은 세션 OTP 규칙(126)에 기초하여 복수의 장치 속성을 선택하고 클라이언트 장치(102)를 스캐닝하도록 구성된다. 이때, 선택된 복수의 장치 속성은, 세션 OTP 규칙(126)에 적어도 부분적으로 기초하여, OTP 생성기 모듈(122)에 의해 선택적으로 결합되고, 암호화되고(encrypted) 그리고/또는 해싱될 수 있다. 해싱(hashing)은 원하는 길이(크기)의 세션 OTP를 제공하도록 구성된다. 그 결과는 이후 로컬 정적 세션 OTP 저장소(124)에 저장되고, 추후 사용을 위해 저장되도록 인증자(108)에게 제공될 수 있다
장치 속성(130)은, 파일 시스템 속성, 하드웨어 특징, 소프트웨어 구성 설정 및 사용자 콘텍스트를 포함할 수 있지만, 이에 한정되지는 않는다. 파일 시스템 속성은 디렉토리(폴더), 서브디렉토리(서브폴더), 파일 및 파일-특정 정보(파일 위치, 파일명, 저작자, 날짜/시간 스탬프, 파일 크기, 파일 유형, 파일 내의 스트링, 파일 통계 및/또는 다른 파일 특정 정보) 및/또는 다른 파일 시스템 속성을 포함한다. 하드웨어 특징은 메모리 크기, MAC 어드레스, 저장 장치 스트링, 그래픽 속성 및/또는 다른 하드웨어 특징을 포함한다. 사용자 콘텍스트는 사용자(클라이언트 장치(102)) 위치, 사용자 프로파일, 사용자 생체측정 및/또는 다른 사용자 콘텍스트 데이터를 포함한다. 장치 속성(103)은 여타 장치-특정 속성을 포함할 수 있다. 따라서, 장치-특정 속성은 다른 장치에 복제되지 않을 복수의 장치-특정 데이터를 포함한다.
세션 OTP 규칙(126)은 어떤 장치 속성들이 선택되는지와 선택되는 장치 속성의 수를 정의하도록 구성되며 해싱 파라미터를 정의하도록 구성될 수 있다. 세션 OTP 규칙(126)은, 예를 들면, 사설망(104)과 연관되는 시스템 관리자에 의해 결정될 수 있다. 선택되는 특정 장치 속성들과, 선택된 장치 속성의 수는 원하는 보안 레벨에 기초할 수 있다. 예를 들면, 더 많은 장치 속성을 선택하는 것은 더 적은 장치 속성을 선택하는 것에 비하여 유일한 OTP를 생성할 가능성이 더 커진다. 세션 OTP 규칙(126)은 적어도 비교적 잘 변경되지 않는 몇몇 장치 속성을 선택하는 것을 포함할 수 있다. 세션 OTP 규칙(126)은 적어도 몇몇 무작위(random) 기능성을 포함할 수 있다. 무작위 기능성은 각기 생성된 OTP가 이전이나 이후에 생성된 OTP들과 비교하여 유일할 공산이 있음을 보장하도록 구성될 수 있다. 예를 들면, 특정 장치 속성은 무작위로 선택될 수 있다. 다른 예에서, 장치 속성의 개수는 무작위일 수 있으며, 임계값보다 더 크도록 제약될 수 있다. 따라서, 일반적으로 유일한 OTP는 복수의 장치 속성에 기초하여 생성될 수 있다.
예를 들면, 만일 선택된 장치 속성이 애플리케이션에 대한 구성 설정을 포함한다면, 사용자 프로파일 속성 스트링(들)이 세션 OTP를 생성하기 위하여 사용될 수 있다. 사용자 프로파일 속성 스트링(들)은 스캐닝되고 캡처될 수 있다. 캡처된 데이터는 세션 OTP를 생성하도록 해싱될 수 있다. 해싱 파라미터는 특정 크기의 세션 OTP를 제공하도록 구성될 수 있다.
생성된 세션 OTP(123)는 로컬 세션 OTP 저장소(124) 내의 클라이언트 장치(102)에 저장될 수 있으며, 또한 인증자(108)에게 제공될 수 있다. 인증자(108)는 사설망(104)에 대한 인증 서비스를 제공하도록 구성될 수 있다. 인증자(108)는 클라이언트 세션 OTP 검증 모듈(150)과 클라이언트 세션 OTP 저장소(152)를 포함하며 동적 세션 OTP 검증 모듈(154)과 OTP 검증 규칙(156)을 포함할 수 있다.
클라이언트 세션 OTP 검증 모듈(150)은 클라이언트 장치(102)로부터 세션 OTP, 예를 들면, 제 1 세션 OTP(123)를 수신하고 또한 클라이언트 세션 OTP를 검증하는 것을 관리하도록 구성될 수 있다. 세션 OTP(123)는, 본 출원에서 기술되듯이, 다음 세션에서 클라이언트 장치(102)를 인증하는데 사용하도록 구성될 수 있다. 인증자(108)는 수신된 세션 OTP(123)를 추후 사용을 위하여 클라이언트 세션 OTP 저장소(152) 내에 저장하도록 구성된다. 따라서, 일단 세션 OTP가 클라이언트 장치(102)에 의해 생성되면, 생성된 세션 OTP(123)는 클라이언트 장치(102)의 로컬 세션 OTP 저장소(124) 및 인증자(108)의 클라이언트 세션 OTP 저장소(152) 내에 저장될 수 있다.
사용자가 클라이언트 장치(102)를 이용하여 사설망(104)에 접속하고자 할 때, 사용자는 클라이언트 장치(102)에 자신을 인증할 수 있으며, 그 후 클라이언트 장치(102)는 사설망(104)에 인증을 시도할 수 있다. 인증 프로세스의 부분으로서, 로컬 세션 OTP 저장소(124) 내에 저장된 세션 OTP("로컬 세션 OTP")가 인증자(108)에게 제공될 수 있다. 클라이언트 세션 OTP 검증 모듈(150)은 로컬 세션 OTP를 수신하고 수신한 로컬 세션 OTP를 클라이언트 세션 OPT 저장소(152)에 저장된 세션 OTP("클라이언트 세션 OTP")와 비교하도록 구성된다. 로컬 세션 OTP가 클라이언트 세션 OTP와 일치한다면, 이때 클라이언트 장치(102)는 사설망(104)에 인증되고 접속이 허용될 수 있다.
클라이언트 장치(102)가 세션이 종료된다는 지시를 수신하면, 세션 OTP 생성자 모듈(122)은 새로운 세션 OTP를 생성하고, 새로운 세션 OTP를 로컬 세션 OTP 저장소(124)에 저장하고 또한 새로운 세션 OTP를 인증자(108)에게 제공하도록 구성될 수 있다. 인증자(108)는 수신한 새로운 세션 OTP를 다음 세션에서의 사용을 위하여 클라이언트 세션 OTP 저장소(152)에 저장할 수 있다.
따라서, 유일한 장치-특정 세션 OTP는 다음 세션에서 클라이언트 장치(102)를 사설망(104)에 인증하도록 현재 세션 동안 생성되고 저장될 수 있다. 이 유일한 장치-특정 세션 OTP 또는 또 다른 장치-특정 세션 OTP는 클라이언트 장치(102)가 사설망 내의 보호 콘텐츠에 접속하는 것을 인증하도록 활용될 수 있다. 세션 OTP는 클라이언트 장치 속성(130)과 세션 OTP 규칙(126)에 기초하여 생성될 수 있다. 사용자는 사설망(104) 접속을 위해 자주 변경되는 패스워드를 기억하도록 요구받지는 않을 것이다. 세션 OTP는 클라이언트 장치(102)와 사설망(104) 간의 공유 비밀에 상응한다.
어떤 상황에서, 사설망(104) 및/또는 사설망(104) 내의 보호 콘텐츠에 접속하기 위하여 제 2 인증을 요청하는 것이 바람직할 수 있다. 이러한 제 2 인증은 단지 제 1 인증만 가용한 보안보다 상대적으로 더 높은 수준의 보안을 제공하도록 구성될 수 있다. 제 2 인증은 인증을 시도하는 장치가 이전 세션에서 제 1 세션 OTP(123)를 제공했던 클라이언트 장치(102)라는 것을 확인하도록 구성된다. 제 1 인증은, 본 출원에서 기술되듯이, 제 1 (정적) 세션 OTP를 사용하여 수행될 수 있다. 제 2 인증은 다음으로 제 2(동적) 세션 OTP를 사용하여 수행될 수 있다. 제 1 세션 OTP는 클라이언트 장치(102)에 의해 생성되고, 클라이언트 장치(102) 내에 저장되며 또한 인증자(108)에게 제공되어, 본 출원에서 기술되듯이, 다음 세션에서의 사용을 위하여 저장될 수 있다. 따라서, 제 1 세션 OTP는 다음 세션 이전에 클라이언트 장치(102) 내에 존재한다. 제 2(동적) 세션 OTP는 이전 세션 동안이 아니라 인증을 시도할 때 생성되도록 구성된다. 따라서, 제 2 세션 OTP는 인증 시의 장치 속성에 기초하여 생성된다. 제 2 인증은 사설망에 인증을 시도하는 장치가 인증자(108) 내에 저장된 제 1 세션 OTP(123)를 제공한 클라이언트 장치(102)라는 것을 확인하도록 구성된다.
만일 (정책에 기초하여) 제 2(동적) 인증이 요청되면, 제 2 동적 세션 OTP(128)는 장치 속성(130)과 세션 OTP 규칙(126)에 기초하여 생성될 수 있다. 제 2(동적) 세션 OTP(128)를 생성하도록 사용되는 세션 OTP 규칙(126)은 제 1(정적) 세션 OTP(123)를 생성하도록 사용된 세션 OTP 규칙(126)과 일치한다. 다시 말해서, 동일한 규칙이 제 1 세션 OTP(123)와 제 2 세션 OTP(128) 모두를 생성하는데 사용될 수 있다. 유사하게, 동일한 장치 속성(130)이 제 1 세션 OTP(123)와 제 2 세션 OTP(128)를 모두 생성하는데 사용될 수 있다. 그러나, 장치 속성과 연관된 값들은 제 1 세션 OTP(123)의 생성과 제 2 세션 OTP(128)의 생성 사이에 변경될 수 있다. 예를 들면, 파일이 편집되었을 수 있다. 다른 예에서, 장치 설정이 변경될 수 있다. 또 다른 예에서, 장치 콘텍스트, 예를 들면 위치가 변경될 수 있다. 따라서 허용치(즉, 범위)는 제 2 세션 OTP(128)가 제 1 세션 OTP(123)와 일치하는지 여부를 평가할 때 활용될 수 있다. 만일 제 2 세션 OTP(128)가 제 1 세션 OPT(123)의 허용치 이내라면, 제 2 인증은 성공적이라고 여겨질 수 있다.
동적 세션 OTP 검증 모듈(154)은, OTP 검증 규칙(156)에 적어도 부분적으로 기초하여, 제 2 인증을 수행하도록 구성된다. OTP 검증 규칙(156)은 제 2 검증을 위해 활용되는 허용치 파라미터(들)를 포함할 수 있다. 제 2(동적) 세션 OTP(128)는 제 2 인증에 대한 요청에 응답하여 생성될 수 있다. 제 2 세션 OTP(128)는 세션 OTP 생성기 모듈(122)에 의해 생성되고 인증자(108)에게 제공될 수 있다. 동적 세션 OTP 검증 모듈(154)은 제 2 세션 OTP(128)를 수신하고, 제 2 세션 OTP(128)를 클라이언트 세션 OTP 저장소(152)로부터의 제 1(정적) 세션 OTP(123)와 비교하고 그리고 제 2 세션 OTP(128)가 제 1(정적) 세션 OTP(123)와 일치하는지 여부를 OTP 검증 규칙(156)에 기초하여 결정하도록 구성된다.
예를 들면, 세션 OTP를 생성하기 위한 기초로서 선택된 장치 속성은 파일 시스템 속성을 포함할 수 있다. 파일 시스템은 스캐닝되어 미리 결정된 범위 내의 복수의 임의의 위치 내의 데이터가 캡처된다. 그러면 보안 해시가 스캐닝된(그리고 캡처된) 속성에 적용되어 세션 OTP를 생성할 수 있다. 보안 해시는 원하는 크기의 세션 OTP를 생성하도록 구성될 수 있다. 이후 세션 OTP는 인증자(108)에게 제공될 수 있다. 인증자(108)는 세션 OTP를 저장하고 또한 저장된 세션 OTP와 함께 타임 스탬프를 포함할 수 있다. 만일 제 2 인증이 요청되면, 파일 시스템은 동일한 범위 내의 복수의 위치에서 스캐닝될 수 있다. 캡처된 스캔 결과는 해싱되어 제 2(동적) OTP를 생성하할 수 있다. 제 2 OTP는 인증자(108)에게 제공될 수 있다. 인증자(108)는 이때 저장된 세션 OTP를 동적 OTP와 비교할 수 있다. 파일 시스템 속성은 제 1 세션 OTP를 생성하는 단계와 제 2 세션 OTP를 생성하는 단계 사이에 변경되었을 수 있기 때문에, 클라이언트 장치는 제 2 세션 OTP가 제 1 세션 OTP와 미리 결정된 비율(예를 들면 90%) 내에서 일치하는지 여부를 검증받을 수 있다.
또 다른 예에서, 장치 속성은 타임 스탬프를 포함할 수 있다. 이 예에서, 하드웨어 속성이 제 1 세션 OTP와 제 2 세션 OTP를 생성하기 위하여 활용될 수 있다. 이 예에서, 미리 결정된 시간 간격 마다 임계값 미만의 하드웨어 속성 변경은 성공적인 검증을 초래하는 한편, 미리 결정된 시간 간격 마다 임계값을 초과하는 하드웨어 속성의 변경은 검증 실패를 야기할 수 있다.
도 2는 본 개시의 다양한 실시예에 따른 장치-특정 OTP 인증 시스템의 동작 예의 흐름도(200)를 보여준다. 흐름도(200)의 동작은 클라이언트 장치, 예를 들면, 클라이언트 장치(102), 및/또는 인증자, 예를 들면, 인증자(108)에 의해 수행될 수 있다. 특히, 흐름도(200)는, 본 개시에 따른, 장치-특정 OTP를 사용하여, 클라이언트 장치를 사설망에 인증하도록 구성되는 동작의 예를 보여준다.
흐름도(200)의 동작은 클라이언트 장치에 사용자가 로그인 하면서 시작(202)할 수 있다. 사설망 접속 요구는 동작(204)에서 개시될 수 있다. 인증자 내에 유효한 클라이언트 세션 OTP가 존재하는지 여부는 동작(206)에서 결정될 수 있다. 만일 유효한 클라이언트 세션 OTP가 인증자 내에 존재하지 않으면, 표준 사용자 인증이 동작(208)에서 수행될 수 있다. 표준 인증이 성공적인지 여부는 동작(210)에서 결정될 수 있다. 만일 표준 인증이 성공적이지 않다면, 연결은 동작(212)에서 해제될 수 있다. 만일 표준 인증이 성공적이라면, 프로그램 흐름은, 본 출원에서 기술되듯이, 동작(218)으로 진행할 수 있다.
동작(206)으로 돌아가서, 만일 유효한 클라이언트 세션 OTP가 인증자 내에 존재하면, 동작(214)에서 로컬 세션 OTP가 클라이언트 장치로부터 요청될 수 있다. 수신한 로컬 세션 OTP가 인증자에 저장된 클라이언트 세션 OTP와 일치하는지 여부는 동작(216)에서 결정된다. 만일 수신한 로컬 세션 OTP가 저장된 클라이언트 세션 OTP와 일치하지 않는다면, 표준 사용자 인증이 동작(208)에서 수행될 수 있다. 만일 로컬 세션 OTP가 저장된 세션 OTP와 일치한다면, 동작(218)에서, 접속이 허용되고 그리고/또는 정책에 따라, 제 2(동적) 사용자 인증이 요청될 수 있다. 세션이 종료되는지 여부는 동작(220)에서 결정될 수 있다. 만일 세션이 종료되면, 동작(222)에서 새로운 세션 OTP가 클라이언트 장치에 의해 생성되고 인증자에게 제공될 수 있다. 새로운 세션 OTP는 동작(224)에서 인증자에 의해 클라이언트 세션 OTP로서 저장될 수 있다. 세션은 그 후 동작(226)에서 종료될 수 있다.
도 3은 본 개시의 일 실시예에 따른, 장치-특정 OTP를 생성하도록 구성되는 클라이언트 장치의 동작 예의 흐름도(300)를 보여준다. 흐름도(300)의 동작은 클라이언트 장치, 예를 들면, 클라이언트 장치(102)에 의해 수행되며 또한 이는 도 2의 동작(222)에 대응될 수 있다. 특히, 흐름도(300)는 세션 OTP를 생성하고 이를 인증자에게 제공함으로서 다음 세션에서 클라이언트 장치를 인증하는 데에 사용되도록 구성되는 동작 예를 보여준다. 프로그램 흐름은 세션의 종료(302)의 표시와 함께 시작할 수 있다. 동작(304)은 선택된 장치 속성을 검색하는 단계(캡처하는 단계)를 포함할 수 있다. 캡처된 특정 장치 속성은 세션 OTP 규칙에 기초할 수 있다. 동작(306)에서, 새로운 세션 OTP는 선택된 장치 속성과 세션 OTP 규칙에 적어도 부분적으로 기초하여 생성될 수 있다. 동작(308)은 새로운 세션 OTP를 클라이언트 장치의 로컬 세션 OTP에 저장하는 단계 및 새로운 세션 OTP를 인증자에게 제공하는 단계를 포함할 수 있다. 세션은 그 후 동작(310)에서 종료될 수 있다.
도 4는 본 개시의 일 실시예에 따른, 제 2 인증을 제공하도록 구성되는 장치-특정 OTP 인증 시스템의 동작 예의 흐름도(400)를 보여준다. 흐름도(400)의 동작은 클라이언트 장치, 예를 들면, 클라이언트 장치(102) 및 인증자, 예를 들면, 인증자(108)에 의해 수행될 수 있다. 특히, 흐름도(400)는 장치 속성에 기초하여 인증시에 생성된 제 2(동적) OTP를 사용하여 제 2 인증을 수행하도록 구성되는 동작 예를 보여준다. 흐름도(400)의 동작은 도 2의 동작(218)에 포함될 수 있다. 흐름도(400)의 동작들은 제 2 사용자 인증에 대한 요청(402)으로 시작할 수 있다. 동작(404)는 제 2(동적) 세션 OTP를, 적어도 부분적으로 장치 속성과 세션 OTP 규칙에 기초하여 생성하는 단계를 포함할 수 있다. 제 2(동적) 세션 OTP는 동작(406)에서 인증자에게 제공될 수 있다. 동적 세션 OTP가 저장된 클라이언트 세션 OTP와 미리 결정된 허용치 범위 내에서 일치하는지 여부는 동작(408)에서 결정될 수 있다. 만일 동적 세션 OTP가 저장된 클라이언트 세션 OTP와 미리 결정된 허용치 내에 일치하지 않는다면, 동작(410)에서 동적 인증이 실패하고 또한 동작(412)에서 세션이 종료될 수 있다. 만일 동적 세션 OTP가 저장된 클라이언트 세션 OTP와 미리 결정된 허용치 내에 일치한다면, 동작(414)에서 동적 인증이 성공하고 동작(416)에서 세션이 계속될 수 있다.
따라서, 클라이언트 장치는 복수의 장치 속성 및 세션 OTP 규칙에 기초하여 생성된 세션 OTP를 사용하여 사설망 및/또는 보호 콘텐츠에 인증될 수 있다. 복수의 장치 속성은 장치 "지문"에 상응하는 장치-특정적이다. 장치 속성은 시간에 따라 변경될 수 있으며 세션 OTP를 생성하도록 선택된 장치 속성 또한 변경될 수 있다. 따라서, 생성된 각 세션 OTP는 실질적으로 유일하며 일반적으로 무작위일 수 있다. 세션 OTP는 다음 세션을 위한 인증에 사용될 수 있도록 현재 세션 동안 생성될 수 있다. 따라서, 세션 OTP는 클라이언트 장치와 인증자 간의 공유 비밀에 상응할 수 있다.
어떤 실시예에서, 제 2 동적 인증은 인증 시도에 앞서 생성된 제 1 세션 OTP와 인증 시도 동안 생성된 제 2 세션 OTP를 이용하여 수행될 수 있다. 제 2 세션 OTP는 클라이언트 장치의 신원을 더 높은 레벨의 신뢰도로 검증하도록 구성될 수 있다. 제 2 세션 OTP는 인증시에 생성되고 클라이언트에 저장되지 않기 때문에, 제 2 세션 OTP는 상대적으로 좀 더 안전하다. 장치 속성은 제 1 세션 OTP를 생성하는 단계와 제 2 세션 OTP를 생성하는 단계 사이에 변경되었을 수 있기 때문에, 제 1 세션 OTP와 제 2 세션 OTP 간의 약간의 차이가 예상될 수 있다. 따라서, 허용치 및/또는 임계값은 이러한 차이를 고려하기 위해 사용된다.
도 2 내지 도 4는 일 실시예에 따른 다양한 동작을 보여주지만, 도 2 내지 도 4에 도시된 모든 동작이 다른 실시예에 필수적인 것은 아니라는 것이 이해되어야 한다. 실제로, 본 개시의 다른 실시예에서, 도 2 내지 도 4에 도시된 동작 및/또는 본 출원에서 기술된 다른 동작이 어느 도면에도 특별하게 명시적으로 도시되지 않았지만, 여전히 본 개시와 전적으로 일치하는, 방식으로 조합될 수 있다는 것이 충분히 예상된다. 따라서, 도면에 정확하게 도시되지 않은 특징 및/또는 동작과 관련된 청구항들은 본 개시의 범위와 내용 내에 속하는 것으로 여겨진다.
본 출원에서 기술되는 어떠한 동작도 하나 이상의 저장 매체를 포함하는 시스템에서 구현될 수 있으며, 명령어들이, 개별적으로, 또는 결합하여, 시스템에 저장되고, 명령어들은 하나 이상의 프로세서에 의해 실행될 때 방법들을 수행한다. 본 출원에서, 프로세서는, 예를 들면, 클라이언트 장치 CPU, 서버 CPU, 및/또는 다른 프로그래머블 회로를 포함할 수 있다. 또한, 본 출원에서 기술되는 동작은, 하나 이상의 다른 물리적 위치에 있는 프로세싱 구조와 같은 복수의 물리적 장치에 걸쳐 나뉘어 분포될 수 있다. 저장 매체는 어떠한 종류의 유형 매체라도 포함할 수 있는데, 예를 들면, 하드 디스크, 플로피 디스크, 광 디스크, 컴팩트 디스크 읽기-전용 메모리(CD-ROMs), 컴팩트 디스크 리라이터블(CD-RWs) 및 자기-광 디스크 같은 여타 유형의 디스크, 읽기-전용 메모리(ROMs), 동적 및 정적 RAMs 같은 랜덤 액세스 메모리(RAMs), 삭제가능한 프로그래머블 읽기-전용 메모리(EPROMs), 전기적으로 소거가능한 프로그래머블 읽기-전용 메모리(EEPROMs), 플래시 메모리, 솔리드 상태 디스크(SSDs), 마그네틱 또는 광 카드와 같은 반도체 장치들, 또는 전기적 명령어의 저장에 적합한 여타 종류의 매체라도 포함할 수 있다. 다른 실시예는 프로그래머블 제어 장치에 의해 실행되는 소프트웨어 모듈로서 구현될 수 있다. 저장 매체는 비-일시적일 수 있다.
앞서 언급한 것이 표본적인 시스템 아키텍처와 방법론으로 표현되지만, 본 개시에 대한 변경이 가능하다. 예를 들면, 클라이언트 장치 메모리(114), 인증자 메모리 및/또는 서버 메모리와 같은 메모리는, 반도체 펌웨어 메모리, 프로그래머블 메모리, 비-휘발성 메모리, 읽기 전용 메모리, 전기적으로 프로그래머블한 메모리, 랜덤 액세스 메모리, 플래시 메모리, 마그네틱 디스크 메모리, 및/또는 광 디스크 메모리와 같은 유형의 메모리 중 하나 이상을 포함할 수 있다. 추가적으로 또는 대안으로, 클라이언트 장치 메모리(114), 인증자 메모리 및/또는 서버 메모리는 다른 및/또는 나중에-개발될 유형의 컴퓨터-판독가능한 메모리를 포함할 수 있다.
클라이언트 장치(102)는 다양한 통신 프로토콜을 사용하여 네트워크(106) 및/또는 사설망(104)과 통신하도록 구성될 수 있다. 통신 프로토콜은, Wi-Fi, 3G, 4G 및/또는 여타 통신 프로토콜과 같은 무선 통신 프로토콜을 포함할 수 있지만, 이것으로 제한되지는 않는다. 통신 프로토콜은 다른 관련된 인터넷 엔지니어링 태스크 포스(Internet Engineering Task Force (IETF)) 표준을 준수하며 그리고/또는 그와 호환가능하다.
Wi-Fi 프로토콜은, 전기전자 엔지니어 협회(Institute of Electrical and Electronics Engineers, IEEE)에서 발행하였으며, 2007년 3월 8일에 "IEEE 802.11-2007 표준, 시스템간의 정보 기술-전기통신 및 정보 교환을 위한 IEEE 표준 - 로컬 및 메트로폴리탄 지역 네트워크-특정 요구사항 - 파트 II: 무선 LAN 매체 접속 제어(MAC) 및 물리 계층(PHY) 사양서"라는 제목으로 발행된, 802.11 표준, 및/또는 이 표준의 그 이후 버전을 준수하거나 그와 호환될 수 있다.
3G 프로토콜은, 국제 전기통신 연합(International Telecommunication Union, ITU)에 의해 발행되었으며, 2000년에 "IMT-2000"이라는 제목으로 발행된, 국제 모바일 전기통신(International Mobile Telecommunications, IMT) 표준, 및/또는 표준의 그 이후 버전을 준수하거나 그와 호환될 수 있다. 4G 프로토콜은, 2008년에 "IMT-Advanced"라는 제목으로 발행된 IMT 표준 및/또는 그 표준의 이후 버전을 준수하거나 그와 호환될 수 있다.
클라이언트 장치(102)는 네트워크(106) 및/또는 사설망(104)과 선택된 패킷 스위칭된 네트워크 통신 프로토콜을 사용하여 통신할 수 있다. 통신 프로토콜의 일 예는 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP)을 사용하여 통신을 허용할 수 있는 이더넷 통신 프로토콜을 포함할 수 있다. 이더넷 프로토콜은, 전기전자 엔지니어 협회(IEEE)에서 발행하였으며, 2002년 3월에 "IEEE 802.3 표준"이라는 제목으로 발행된 이더넷 표준 및/또는 그 표준의 이후 버전을 준수하거나 그와 호환될 수 있다. 대안으로 또는 추가적으로, 클라이언트 장치(102)는, X.25 통신 프로토콜을 사용하여, 네트워크(106) 및/또는 사설망(104)과 통신할 수 있다. X.25 통신 프로토콜은 국제전기통신연합 전기통신표준화부문(International Telecommunication Union-Telecommunication Standardization Sector, ITU-T)에 의해 공표된 표준을 준수하거나 그와 호환될 수 있다. 대안으로 또는 추가적으로, 클라이언트 장치(102)는, 프레임 릴레이 통신 프로토콜을 사용하여, 네트워크(106) 및/또는 사설망(104)과 통신할 수 있다. 프레임 릴레이 통신 프로토콜은, 국제 전신전화 자문 위원회(Consultative Committee for International Telegraph and Telephone, CCITT) 및/또는 미국 표준 협회(American National Standards Institute, ANSI)에 의해 공표된 표준을 준수하거나 그와 호환될 수 있다. 대안으로 또는 추가적으로, 클라이언트 장치(102)는, 비동기 전송 모드(ATM) 통신 프로토콜을 사용하여, 네트워크(106) 및/또는 사설망(104)과 통신할 수 있다. ATM 통신 프로토콜은, ATM 포럼에서 발행하였으며, 2001년 8월에 "ATM-MPLS 네트워크 인터워킹 1.0"이라는 제목으로 발행된 ATM 표준 및/또는 이 표준의 이후 버전을 준수하거나 그와 호환될 수 있다. 물론, 다른 통신 프로토콜 및/또는 나중에-개발된 연결-지향 네트워크 통신 프로토콜도 본 출원에서 동일하게 고려된다.
본 출원의 여느 실시예에서 사용된, "회로"는, 예를 들면, 하드웨어 내장된(hardwired) 회로, 프로그래머블 회로, 상태 장치 회로, 및/또는 프로그래머블 회로에 의해 실행되는 명령어를 저장하는 펌웨어를 단일하게 또는 조합하여, 포함할 수 있다. 본 출원의 여느 실시예에서 사용되는, 애플리케이션 및/또는 모듈은 회로로서 포함될 수 있다. 회로는, 집적 회로 칩 같은, 집적 회로로서 포함될 수 있다.
이와 같이, 장치-특정 세션 OTP를 사용하여 사설망에 인증하는 방법과 시스템이 기술되었다. 클라이언트 장치는 장치 속성에 적어도 부분적으로 기초하여 세션 OTP를 생성하도록 구성된다. 세션 OTP는 장치가 사설망에 연결되는 세션 동안 클라이언트 장치에 의해서 생성될 수 있다. 이때, 세션 OTP는 클라이언트 장치에 저장되고 사설망과 연관된 인증자에게 제공될 수 있다. 세션 OTP는 다음 세션에서 클라이언트 장치를 사설망에 인증하도록 사용될 수 있다. 일 실시예에서, 제 2 인증이 수행될 수 있다. 이 실시예에서, 클라이언트 장치는, 인증 시점에 장치 속성에 기초하여 제 2(동적) OTP를 생성하도록 구성될 수 있다. 이 실시예에서, 인증자는 제 2 OTP가 이전 세션동안 클라이언트 장치에 의해 제공된 저장된 OTP의 미리 결정된 허용치 이내라면 성공적인 인증이라고 결정하도록 구성될 수 있다.
따라서, 클라이언트 장치는 장치 속성에 기초하여 잠재적으로 유일한, 무작위 OTP에 의해 사설망에 인증될 수 있다. 사용자는 그 후 그러한 패스워드를 기억하도록 요구되지 않을 수 있다. 사용자는 클라이언트 장치에 인증할 수 있으며 그 후 클라이언트 장치는 사설망에 인증할 수 있다. 제 2 인증은 클라이언트 장치에 저장된 세션 OTP에 의존하지 않는 상대적으로 좀더 강건한 인증을 제공하도록 구성될 수 있다.
일 양태에 따른 방법이 제공된다. 방법은 적어도 부분적으로 복수의 클라이언트 장치 속성에 기초하여 제 1 일회용 패스워드(one-time password, OTP)를 생성하는 단계와 제 1 세션 동안 사설망(private network)과 연관된 인증자에게 상기 제 1 OTP를 제공하는 단계를 포함하되, 상기 인증자는 상기 제 1 세션에 후속하는 제 2 세션을 위하여 상기 제공된 제 1 OTP에 기초하여 상기 클라이언트 장치를 사설망과 상기 사설망 내에 포함된 보호 콘텐츠 중 적어도 하나에 인증하도록 구성된다.
다른 양태에 따른 시스템이 제공된다. 시스템은 클라이언트 장치 및 인증자를 포함할 수 있다. 클라이언트 장치는 적어도 부분적으로 복수의 클라이언트 장치 속성에 기초하여 제 1 일회용 패스워드(one-time password, OTP)를 생성하고, 제 1 세션 동안 사설망(private network)과 연관된 상기 인증자에게 상기 제 1 OTP를 제공하도록 구성되며, 그리고 상기 인증자는 상기 제 1 세션에 후속하는 제 2 세션을 위하여 상기 제공된 제 1 OTP에 기초하여 상기 클라이언트 장치를 사설망과 상기 사설망 내에 포함된 보호 콘텐츠 중 적어도 하나에 인증하도록 구성된다.
또 다른 양태에 따른 시스템이 제공된다. 시스템은 하나 이상의 저장 매체를 포함할 수 있으며, 이 시스템에 개별적으로 또는 결합하여, 저장된 명령어들은 하나 이상의 프로세서에 의해 실행될 때, 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 1 일회용 패스워드(one-time password, OTP)를 생성하는 것과, 제 1 세션 동안 사설망(private network)과 연관된 인증자에게 상기 제 1 OTP를 제공하는 것을 포함하는 동작들을 야기하고, 상기 인증자는 상기 제 1 세션에 후속하는 제 2 세션을 위하여 상기 제공된 제 1 OTP에 기초하여 상기 클라이언트 장치를 사설망과 상기 사설망 내에 포함된 보호 콘텐츠 중 적어도 하나에 인증하도록 구성된다.
본 출원에서 채택된 용어와 표현들은 한정이 아닌 설명을 위한 용어로서 사용되는 것이며, 또한 그러한 용어와 표현의 사용에 있어서, 도시되고 기술된 특징과 균등한 어느 것(또는 그 부분)도 배제할 의도가 없으며, 또한 다양한 변경이 본 청구항들의 영역 내에서 가능하다는 것을 알 수 있다. 따라서 청구항들은 이러한 모든 균등물을 포함하는 것으로 의도된다.

Claims (15)

  1. 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 1 일회용 패스워드(one-time password; OTP)를 생성하는 단계와,
    제 1 세션 동안 사설망(private network)에 연관된 인증자에게 상기 제 1 OTP를 제공하는 단계와,
    상기 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 2 OTP를 생성하는 단계를 포함하되,
    상기 인증자는 상기 제 1 세션에 후속하는 제 2 세션을 위하여 상기 제공된 제 1 OTP에 기초하여 상기 사설망과 상기 사설망 내에 포함된 보호 콘텐츠(protected content) 중 적어도 하나에 대해 상기 클라이언트 장치를 인증하도록 구성되고,
    상기 제 2 OTP는 상기 클라이언트 장치가 상기 제 2 세션을 위하여 상기 사설망에 인증될 때 생성되고 상기 제 2 OTP는 제 2 인증(secondary authentication)을 제공하도록 구성되는
    방법.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 제 1 OTP를 상기 클라이언트 장치에 저장하는 단계와,
    상기 저장된 제 1 OTP를 상기 인증자에게 제공된 제 1 OTP와 비교하는 단계를 더 포함하되, 상기 저장된 제 1 OTP가 상기 인증자에게 제공된 제 1 OTP와 일치하는 경우, 상기 클라이언트 장치는 상기 사설망에 인증되는
    방법.
  4. 제 1 항에 있어서,
    상기 제 1 OTP를 상기 제 2 OTP와 비교하는 단계를 더 포함하되, 상기 제 1 OTP가 상기 제 2 OTP의 허용치(tolerlance) 이내인 경우, 상기 클라이언트 장치는 상기 사설망에 인증되는
    방법.
  5. 제 1 항에 있어서,
    미리 결정된 OTP 규칙에 기초하여 상기 복수의 클라이언트 장치 속성을 선택하는 단계를 더 포함하는
    방법.
  6. 제 1 항에 있어서,
    상기 제 1 OTP를 생성하는 단계는 보안 해시(a secure hash)를 상기 복수의 클라이언트 장치 속성에 적용하는 단계를 포함하는
    방법.
  7. 제 1 항 및 제 3항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 클라이언트 장치 속성은 파일 시스템 속성, 하드웨어 특징, 소프트웨어 구성 설정 및 사용자 콘텍스트(context) 중 적어도 하나를 포함하는
    방법.
  8. 시스템으로서,
    클라이언트 장치와,
    인증자(an authenticator)를 포함하되,
    상기 클라이언트 장치는 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 1 일회용 패스워드(one-time password; OTP)를 생성하고 제 1 세션 동안 사설망(private network)에 연관된 상기 인증자에게 상기 제 1 OTP를 제공하도록 구성되며, 상기 인증자는 상기 제 1 세션에 후속하는 제 2 세션을 위하여 상기 제공된 제 1 OTP에 기초하여 상기 사설망과 상기 사설망 내에 포함된 보호 콘텐츠 중 적어도 하나에 대해 상기 클라이언트 장치를 인증하도록 구성되고,
    상기 클라이언트 장치는 상기 복수의 클라이언트 장치 속성에 적어도 부분적으로 기초하여 제 2 OTP를 생성하도록 더 구성되되, 상기 제 2 OTP는 상기 클라이언트 장치가 상기 제 2 세션을 위하여 상기 사설망에 인증할 때 생성되고 상기 제 2 OTP는 제 2 인증을 제공하도록 구성되는
    시스템.
  9. 삭제
  10. 제 8 항에 있어서,
    상기 클라이언트 장치는 상기 제 1 OTP를 저장하도록 더 구성되고, 상기 인증자는 상기 클라이언트 장치에 저장된 제 1 OTP를 상기 인증자에게 제공된 제 1 OTP와 비교하도록 더 구성되며, 상기 저장된 제 1 OTP가 상기 인증자에게 제공된 제 1 OTP와 일치하는 경우, 상기 클라이언트 장치는 상기 사설망에 인증되는
    시스템.
  11. 제 8 항에 있어서,
    상기 인증자는 상기 제 1 OTP를 상기 제 2 OTP와 비교하도록 더 구성되며, 상기 제 1 OTP가 상기 제 2 OTP의 허용치(tolerlance) 이내인 경우, 상기 클라이언트 장치는 상기 사설망에 인증되는
    시스템.
  12. 제 8 항에 있어서,
    상기 클라이언트 장치는 미리 결정된 OTP 규칙에 기초하여 상기 복수의 클라이언트 장치 속성을 선택하도록 더 구성되는
    시스템.
  13. 제 8 항 및 제10항 내지 제 12 항 중 어느 한 항에 있어서,
    상기 클라이언트 장치 속성은 파일 시스템 속성, 하드웨어 특징, 소프트웨어 구성 설정 및 사용자 콘텍스트(context) 중 적어도 하나를 포함하는
    시스템.
  14. 명령어들이, 개별적으로 또는 결합하여, 저장된 하나 이상의 저장 매체를 포함하는 시스템으로서,
    상기 명령어들은 하나 이상의 프로세서에 의해 실행될 때,
    제 1항 및 제3항 내지 제 6항 중 어느 한 항에 따른 방법의 동작들을 야기하는
    시스템.
  15. 제 14 항에 있어서,
    상기 클라이언트 장치 속성은 파일 시스템 속성, 하드웨어 특징, 소프트웨어 구성 설정 및 사용자 콘텍스트(context) 중 적어도 하나를 포함하는
    시스템.
KR1020147017727A 2011-12-27 2011-12-27 장치-특정 일회용 패스워드를 통한 네트워크 인증 KR101615572B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/067437 WO2013100918A1 (en) 2011-12-27 2011-12-27 Authenticating to a network via a device-specific one time password

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020157018785A Division KR101716221B1 (ko) 2011-12-27 2011-12-27 장치-특정 일회용 패스워드를 통한 네트워크 인증

Publications (2)

Publication Number Publication Date
KR20140105498A KR20140105498A (ko) 2014-09-01
KR101615572B1 true KR101615572B1 (ko) 2016-04-26

Family

ID=48698162

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020147017727A KR101615572B1 (ko) 2011-12-27 2011-12-27 장치-특정 일회용 패스워드를 통한 네트워크 인증
KR1020157018785A KR101716221B1 (ko) 2011-12-27 2011-12-27 장치-특정 일회용 패스워드를 통한 네트워크 인증

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020157018785A KR101716221B1 (ko) 2011-12-27 2011-12-27 장치-특정 일회용 패스워드를 통한 네트워크 인증

Country Status (6)

Country Link
US (3) US9380026B2 (ko)
EP (2) EP3576343A1 (ko)
JP (1) JP6248329B2 (ko)
KR (2) KR101615572B1 (ko)
CN (1) CN104025504B (ko)
WO (1) WO2013100918A1 (ko)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015507406A (ja) * 2011-12-22 2015-03-05 インテル・コーポレーション 共同的エンターテイメントプラットフォーム
EP2798772A4 (en) * 2011-12-28 2015-10-21 Intel Corp WEB AUTHENTICATION USING THE TRUST ROOT OF A CLIENT PLATFORM
US9292670B2 (en) * 2012-02-29 2016-03-22 Infosys Limited Systems and methods for generating and authenticating one time dynamic password based on context information
US9203818B1 (en) * 2012-08-23 2015-12-01 Amazon Technologies, Inc. Adaptive timeouts for security credentials
US20140304789A1 (en) * 2013-04-05 2014-10-09 International Business Machines Corporation Convenient one-time password
WO2015126744A1 (en) 2014-02-18 2015-08-27 Secureauth Corporation Fingerprint based authentication for single sign on
US20150261948A1 (en) * 2014-03-12 2015-09-17 Cognitas Technologies, Inc. Two-factor authentication methods and systems
JP6181588B2 (ja) * 2014-03-28 2017-08-16 株式会社Nttドコモ 情報通信システム及び情報通信方法
US9836594B2 (en) * 2014-05-19 2017-12-05 Bank Of America Corporation Service channel authentication token
WO2016007785A1 (en) 2014-07-11 2016-01-14 Cryptography Research, Inc. Secure data provisioning
US10250594B2 (en) 2015-03-27 2019-04-02 Oracle International Corporation Declarative techniques for transaction-specific authentication
CN106341372A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 终端的认证处理、认证方法及装置、系统
US9769157B2 (en) 2015-09-21 2017-09-19 American Express Travel Related Services Company, Inc. Systems and methods for secure one-time password validation
US10181020B2 (en) 2015-09-21 2019-01-15 American Express Travel Related Services Company, Inc. Systems and methods for gesture based biometric security
US10257205B2 (en) 2015-10-22 2019-04-09 Oracle International Corporation Techniques for authentication level step-down
US10225283B2 (en) 2015-10-22 2019-03-05 Oracle International Corporation Protection against end user account locking denial of service (DOS)
US10164971B2 (en) 2015-10-22 2018-12-25 Oracle International Corporation End user initiated access server authenticity check
EP3365824B1 (en) 2015-10-23 2020-07-15 Oracle International Corporation Password-less authentication for access management
US20170148009A1 (en) * 2015-11-20 2017-05-25 Afirma Consulting & Technologies, S.L. Dynamic multilayer security for internet mobile-related transactions
US10461932B2 (en) * 2016-03-08 2019-10-29 Oath Inc. Method and system for digital signature-based adjustable one-time passwords
US10009340B2 (en) * 2016-03-25 2018-06-26 Fortinet, Inc. Secure, automatic second factor user authentication using push services
CN113014568B (zh) 2016-10-10 2023-06-30 创新先进技术有限公司 账户登录方法、设备和服务器
US10878218B2 (en) * 2018-06-18 2020-12-29 Salesforce.Com, Inc. Device fingerprinting, tracking, and management
US11283793B2 (en) 2018-10-18 2022-03-22 Oracle International Corporation Securing user sessions
US11463433B1 (en) * 2018-12-28 2022-10-04 Arpitha Chiruvolu Secure bearer-sensitive authentication and digital object transmission system and method for spoof prevention
CN111817851B (zh) * 2020-09-10 2020-12-08 北京深思数盾科技股份有限公司 Otp生成方法、验证方法、终端、服务器、芯片和介质
US11924198B2 (en) 2021-04-27 2024-03-05 Mastercard Technologies Canada ULC Behavioral one-time-passcode (OTP) generation
KR102486480B1 (ko) * 2022-08-17 2023-01-09 주식회사 에스케어 Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080168544A1 (en) * 2007-01-05 2008-07-10 Ebay Inc. Token device re-synchronization through a network solution
US20090172402A1 (en) * 2007-12-31 2009-07-02 Nguyen Tho Tran Multi-factor authentication and certification system for electronic transactions
US20090313691A1 (en) 2008-06-11 2009-12-17 Chunghwa Telecom Co., Ltd. Identity verification system applicable to virtual private network architecture and method of the same
US20110271330A1 (en) 2008-12-31 2011-11-03 Nokia (China) Investment Co. Ltd. Solutions for identifying legal user equipments in a communication network

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4020520B2 (ja) 1998-12-28 2007-12-12 富士通株式会社 接続装置
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US8020199B2 (en) * 2001-02-14 2011-09-13 5th Fleet, L.L.C. Single sign-on system, method, and access device
US8484710B2 (en) * 2001-02-14 2013-07-09 Pass Protect Technology, Llc System and method for securely sending a network one-time-password utilizing a mobile computing device
US20030163694A1 (en) * 2002-02-25 2003-08-28 Chaing Chen Method and system to deliver authentication authority web services using non-reusable and non-reversible one-time identity codes
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
WO2004105333A1 (ja) * 2003-05-22 2004-12-02 Fujitsu Limited 安全な仮想プライベート・ネットワーク
JP2005025610A (ja) * 2003-07-04 2005-01-27 Fujitsu Support & Service Kk システムのセキュリティ方法及びセキュリティシステム
US7886345B2 (en) * 2004-07-02 2011-02-08 Emc Corporation Password-protection module
CN101076807B (zh) * 2004-10-15 2014-09-03 弗里塞恩公司 一次性密码验证的方法和系统
US20060136739A1 (en) * 2004-12-18 2006-06-22 Christian Brock Method and apparatus for generating one-time password on hand-held mobile device
AU2006244447B2 (en) * 2005-05-06 2011-08-18 Symantec Corporation Token sharing system and method
JP2007018140A (ja) * 2005-07-06 2007-01-25 Matsushita Electric Ind Co Ltd 通信装置、パスワード変更方法、およびパスワード変更プログラム
US7752450B1 (en) * 2005-09-14 2010-07-06 Juniper Networks, Inc. Local caching of one-time user passwords
TWI308692B (en) * 2005-10-26 2009-04-11 Sunplus Technology Co Ltd Programmable memory and accessing method of the same
US7849323B2 (en) * 2005-11-09 2010-12-07 Emc Corporation Password presentation for multimedia devices
US20070130474A1 (en) * 2005-12-05 2007-06-07 Tri-D Systems, Inc. Creating multiple one-time passcodes
US8181234B2 (en) * 2005-12-09 2012-05-15 Hitachi Software Engineering Co., Ltd. Authentication system in client/server system and authentication method thereof
KR100645401B1 (ko) * 2006-05-01 2006-11-15 주식회사 미래테크놀로지 휴대폰에서의 시간동기 방식 오티피 발생장치와 방법
US20080034216A1 (en) * 2006-08-03 2008-02-07 Eric Chun Wah Law Mutual authentication and secure channel establishment between two parties using consecutive one-time passwords
JP4936819B2 (ja) * 2006-08-08 2012-05-23 ソフトバンクモバイル株式会社 携帯端末、パスコード生成プログラムおよびパスコード生成方法
JP4983197B2 (ja) * 2006-10-19 2012-07-25 富士ゼロックス株式会社 認証システム、認証サービス提供装置、および認証サービス提供プログラム
US20090125997A1 (en) 2007-04-03 2009-05-14 Debra L Cook Network node with one-time-password generator functionality
JP5184627B2 (ja) * 2007-06-26 2013-04-17 G3−ビジョン リミテッド コミュニケーション装置、認証システム及び方法、並びにキャリア媒体
US8788835B2 (en) * 2007-08-28 2014-07-22 Alcatel Lucent Methods for selectively capturing and replicating one-time password generator functionality from device to device
US8565723B2 (en) * 2007-10-17 2013-10-22 First Data Corporation Onetime passwords for mobile wallets
JP5045417B2 (ja) * 2007-12-19 2012-10-10 ソニー株式会社 ネットワークシステム及びダイレクトアクセス方法
US8438618B2 (en) * 2007-12-21 2013-05-07 Intel Corporation Provisioning active management technology (AMT) in computer systems
US8775793B2 (en) * 2008-02-20 2014-07-08 Telefonaktiebolaget L M Ericsson (Publ) Flexible node identity for telecom nodes
US20080208758A1 (en) * 2008-03-03 2008-08-28 Spiker Norman S Method and apparatus for secure transactions
JP2010015541A (ja) * 2008-06-04 2010-01-21 Fujitsu Ltd 認証システム、端末装置、パスワード発行装置及び認証方法
JP2011164837A (ja) * 2010-02-08 2011-08-25 Nomura Research Institute Ltd 認証システムおよび認証方法
KR101486782B1 (ko) * 2010-06-27 2015-01-28 킹 사우드 유니버시티 무한 중첩된 해시 체인들에 의한 1회용 패스워드 인증
US8627424B1 (en) * 2010-06-30 2014-01-07 Emc Corporation Device bound OTP generation
US8370899B2 (en) * 2010-08-11 2013-02-05 Emc Corporation Disposable browser for commercial banking
US8640206B2 (en) * 2010-08-20 2014-01-28 Regis J. Betsch System and method for controlling access to information stored at plurality of sites
CN102026195B (zh) * 2010-12-17 2013-05-15 北京交通大学 基于一次性口令的移动终端身份认证方法和系统
US8832788B1 (en) * 2011-11-01 2014-09-09 Symantec Corporation Automated human assisted authentication
US20130139222A1 (en) * 2011-11-29 2013-05-30 Rawllin International Inc. Authentication of mobile device
US20130159195A1 (en) * 2011-12-16 2013-06-20 Rawllin International Inc. Authentication of devices

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080168544A1 (en) * 2007-01-05 2008-07-10 Ebay Inc. Token device re-synchronization through a network solution
US20090172402A1 (en) * 2007-12-31 2009-07-02 Nguyen Tho Tran Multi-factor authentication and certification system for electronic transactions
US20090313691A1 (en) 2008-06-11 2009-12-17 Chunghwa Telecom Co., Ltd. Identity verification system applicable to virtual private network architecture and method of the same
US20110271330A1 (en) 2008-12-31 2011-11-03 Nokia (China) Investment Co. Ltd. Solutions for identifying legal user equipments in a communication network

Also Published As

Publication number Publication date
KR101716221B1 (ko) 2017-03-14
KR20140105498A (ko) 2014-09-01
EP2798775B1 (en) 2019-06-19
WO2013100918A1 (en) 2013-07-04
JP6248329B2 (ja) 2017-12-20
US20160301688A1 (en) 2016-10-13
US20180375854A1 (en) 2018-12-27
EP3576343A1 (en) 2019-12-04
CN104025504B (zh) 2018-07-31
EP2798775A4 (en) 2015-10-14
US10574649B2 (en) 2020-02-25
CN104025504A (zh) 2014-09-03
EP2798775A1 (en) 2014-11-05
JP2015507266A (ja) 2015-03-05
US9380026B2 (en) 2016-06-28
US20140250490A1 (en) 2014-09-04
US10075434B2 (en) 2018-09-11
KR20150089090A (ko) 2015-08-04

Similar Documents

Publication Publication Date Title
US10574649B2 (en) Authenticating to a network via a device-specific one time password
US11165581B2 (en) System for improved identification and authentication
US10009340B2 (en) Secure, automatic second factor user authentication using push services
US9454656B2 (en) System and method for verifying status of an authentication device through a biometric profile
US10826882B2 (en) Network-based key distribution system, method, and apparatus
US9736131B2 (en) Secure login for subscriber devices
US9692603B2 (en) Biometric PKI authentication
US20120144202A1 (en) Secure authentication for client application access to protected resources
US11792179B2 (en) Computer readable storage media for legacy integration and methods and systems for utilizing same
CN101714918A (zh) 一种登录vpn的安全系统以及登录vpn的安全方法
US8738920B2 (en) Information processing apparatus and authentication information migration method
WO2016078419A1 (zh) 一种开放授权方法、装置及开放平台
WO2014109794A1 (en) Enhanced mobile security
KR102278808B1 (ko) Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법
JP2009123207A (ja) ネットワークにアクセスする方法及び装置
US20140250499A1 (en) Password based security method, systems and devices
CN101764788A (zh) 基于扩展802.1x认证系统的安全接入方法
JP6131354B2 (ja) デバイス固有のワンタイムパスワードによるネットワークからの認証
US11102198B2 (en) Portable security tool for user authentication
GB2541449A (en) Restricted service access method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
A107 Divisional application of patent
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190328

Year of fee payment: 4