KR101699874B1 - 디바이스 검증에 기초한 조건부 제한적 서비스 허가 - Google Patents

디바이스 검증에 기초한 조건부 제한적 서비스 허가 Download PDF

Info

Publication number
KR101699874B1
KR101699874B1 KR1020167027048A KR20167027048A KR101699874B1 KR 101699874 B1 KR101699874 B1 KR 101699874B1 KR 1020167027048 A KR1020167027048 A KR 1020167027048A KR 20167027048 A KR20167027048 A KR 20167027048A KR 101699874 B1 KR101699874 B1 KR 101699874B1
Authority
KR
South Korea
Prior art keywords
service
access
computing device
various embodiments
credential
Prior art date
Application number
KR1020167027048A
Other languages
English (en)
Other versions
KR20160119265A (ko
Inventor
스티븐 더블유. 데우츠흐
아브히라샤 브하르가브-스판첼
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20160119265A publication Critical patent/KR20160119265A/ko
Application granted granted Critical
Publication of KR101699874B1 publication Critical patent/KR101699874B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/065Continuous authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/082Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying multi-factor authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/50Service provisioning or reconfiguring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

동작 상태 동안에 서비스에 대한 액세스를 허가할 지에 대한 판정을 위해 디바이스의 성능 증명을 받아들이는 장치, 컴퓨터 구현 방법, 시스템, 디바이스 및 컴퓨터 판독가능한 매체의 실시예들이 본 명세서에서 개시된다. 다양한 실시예들에서, 요구된 서비스에 대한 액세스는 증명된 성능의 검증에 응답하여 조건부로 허가될 수 있다. 다양한 실시예들에서, 동작 상태 동안에, 서비스에 대한 액세스가 제한적으로 허가될 수 있다.

Description

디바이스 검증에 기초한 조건부 제한적 서비스 허가{CONDITIONAL LIMITED SERVICE GRANT BASED ON DEVICE VERIFICATION}
본 발명의 실시예는 일반적으로 데이터 처리 기술 분야에 관한 것이고, 보다 구체적으로는, 예를 들어, 계획되거나 계획되지 않은 이벤트 이전에, 이벤트 동안에 및/또는 이벤트 이후에 디바이스 검증에 기초한 조건부 제한적 서비스 허가에 관한 것이다.
본 명세서에서 제공되는 배경 설명은 일반적으로 본 개시내용의 맥락을 제시하기 위한 것이다. 본 배경기술 부분에서 기술되는 정도까지의, 출원시에 달리 종래 기술로서 인정받을 수 없는 설명의 양태들뿐만 아니라 본원의 발명자의 작업도 본원의 개시내용에 대한 종래 기술로서 명시적으로도 묵시적으로도 인정될 수 없다. 본 명세서에서 달리 나타내지 않는 한, 본 절에서 설명된 접근법들은 본 개시내용의 특허청구범위에 대한 종래 기술이 아니며, 본 절에 포함시킴으로써 종래기술로써 인정되지 않는다.
자연 재해 이후, 또는 다른 계획되거나 계획되지 않은 이벤트 이전, 이벤트 동안, 또는 이벤트 이후와 같은 위급한 시기에, 통신 네트워크에 대한 액세스와 같은 서비스에 대한 요구는 이러한 서비스들의 이용 가능성을 초과할 수 있다. 예를 들어, 초동 대처자들(예를 들어, 소방관, 경찰관, 구급대원)과 같은 응급 요원은 통상적인 사용자에 의한 휴대전화 네트워크의 이용량이 많기 때문에 위급한 시기에 휴대전화 네트워크를 액세스하는데 어려움을 가질 수 있다.
실시예들은 첨부하는 도면들과 함께 이하의 상세한 설명에 의해 용이하게 이해될 것이다. 설명을 용이하게 하기 위해, 유사한 참조 번호들은 유사한 구성요소들을 지칭한다. 실시예들은 첨부하는 도면들의 그림들에서 한정이 아닌 예로써 예시된다.
도 1은, 다양한 실시예에 따른, 초동 대처자 디바이스가 동작 상태 동안 서비스에 대한 액세스를 얻기 위해 다양한 유형의 정보를 제공할 수 있는 방법에 대한 예를 개략적으로 예시한다.
도 2는, 다양한 실시예에 따른, 서비스의 제공자와 연관된 컴퓨팅 디바이스에 의해 구현될 수 있는 예시적인 방법을 개략적으로 도시한다.
도 3은, 다양한 실시예에 따른, 초동 대처자 디바이스에 의해 구현될 수 있는 예시적인 방법을 개략적으로 도시한다.
도 4는, 다양한 실시예에 따른, 개시된 방법 및 컴퓨터 판독가능한 매체가 구현될 수 있는 예시적인 컴퓨팅 디바이스를 개략적으로 도시한다.
이하의 상세한 설명에서, 실시예들이 실시될 수 있는 예시의 방법으로 도시되며, 전체에 걸쳐서 유사한 참조 번호가 유사한 부분들을 지칭하는, 본 명세서의 일부를 이루고 있는 첨부하는 도면들에 대한 참조가 이루어진다. 그 외의 실시예들이 이용될 수 있고 구조적 또는 논리적 변경이 본 개시내용의 범주를 벗어나지 않고 이루어질 수 있다는 것이 이해되어야 한다. 따라서, 이하의 상세한 설명은 한정적인 의미에서 이해되어서는 안되며, 실시예들의 범주는 첨부하는 특허청구범위 및 그 등가물에 의해 정의된다.
다양한 동작들이 청구된 주제를 이해하는데 가장 도움이 되는 방식으로 다수의 개별 동작 또는 동작들로서 차례로 기술될 수 있다. 그러나, 설명의 순서가 이들 동작들이 반드시 순서에 의존적이라는 것을 암시하는 것으로 해석되어서는 안된다. 특히, 이들 동작은 제시된 순서대로 수행되지 않을 수 있다. 설명된 동작들은 설명된 실시예와는 다른 순서로 수행될 수 있다. 다양한 추가적인 동작이 수행될 수 있고/될 수 있거나 설명된 동작들은 추가적인 실시예에서 생략될 수 있다.
본 개시내용을 위해, "A 및/또는 B"라는 구문은 (A), (B), 또는 (A 및 B)를 의미한다. 본 개시내용을 위해, "A, B, 및/또는 C"는 라는 구문은 (A), (B), (C), (A 및 B), (A 및 C), (B 및 C) 또는 (A, B 및 C)를 의미한다.
상세한 설명에서 "실시예에서" 또는 "실시예들에서"라는 문구가 사용될 수 있으며, 이는 각각 동일하거나 서로 다른 실시예들 중 하나 이상을 지칭할 수 있다. 또한, 본 개시내용의 실시예와 관련하여 사용된, "포함하는(comprising)", "포함하는(including)", "갖는(having)" 등의 용어들은 동의어들이다.
본원에서 사용된 바와 같이, "모듈"이라는 용어는, 하나 이상의 소프트웨어 또는 펌웨어 프로그램을 실행하는 주문형 집적 회로( "ASIC"), 전자 회로, 프로세서(공유, 전용 또는 그룹) 및/또는 메모리(공유, 전용 또는 그룹), 조합 논리 회로, 및/또는 설명 된 기능을 제공하는 다른 적절한 구성 요소의 일부임을 나타낼 수 있거나, 이를 포함할 수 있다.
이제 도 1을 참조하면, 다양한 실시예에서, (본 개시내용의 교시의 적용 가능한 부분들로 구성된) 디바이스(10)는 서비스가 제한적으로 허가되는 위급한 시기와 같은 동작 상태 동안에 서비스에 대한 액세스를 요구할 수 있다. 다양한 실시예에서, 서비스는 휴대전화 네트워크와 같은 통신 네트워크에 대한 우선순위화된 액세스일 수 있고, 그에 대한 액세스는 하나 이상의 동작의 상태(예를 들어, 위급한 시기) 동안에 조건부 및/또는 제한적으로 허가될 수 있다. 다양한 실시예에서, "우선순위화된 액세스"는 다른 디바이스에 제공되는 서비스 품질("QoS")보다 높은 수준을 포함할 수 있다.
다양한 실시예에서, "동작 상태"는 특정 장소에서 또는 특정 지역 내에 응급 상황(예를 들어, 자연 재해, 화재, 폭동, 테러 공격 등)과 같은 이벤트가 발생하기 이전에, 발생하는 동안에 및/또는 발생한 이후에 존재할 수 있다. 다양한 실시예에서, 이벤트는 계획된 것(예를 들면, 스포츠 이벤트, 정치 집회, 시위 등)일 수 있거나 계획되지 않은 것(예를 들어, 자연 재해, 테러 공격, 정전 등)일 수 있다. 다양한 실시예에서, 디바이스(10)는 이동 전화기(예를 들어, 스마트 폰)일 수 있거나 경찰관, 소방관 또는 구급대원과 같은, 위치 또는 지역과 연관된 초동 대처자(first responder)의 그외의 컴퓨팅 디바이스일 수 있다. 예를 들어, 지역은 특정 관할구역의 공무원에 의해 감시될 수 있고, 디바이스(10)는 이들 경찰관에 지급된 이동 전화기와 같은 통신 디바이스의 유형일 수 있다.
디바이스(10)는 요구된 서비스의 제공자로부터 원격 배치될 수 있다. 예를 들어, 도 1에서, 디바이스(10)는 보안 컴퓨팅 디바이스(12)로부터 원격 배치되어 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는 3GPP 롱 텀 에볼루션("LTE") 릴리즈 10(2011년 3월)("LTE 표준")에 설명된 바와 같이, 서비스의 제공자(14)에 대한 게이트키퍼로서 역할하도록 본 개시내용의 교시의 적용가능한 부분으로 구성되는, 진화형 노드(Evolved Node) B("eNB")와 같은 기구 또는 다른 컴퓨팅 디바이스일 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 3G, 4G, 5G, 그 이상에 대해 지정되는 임의의 다른 무선 프로토콜들 뿐 아니라, WiFi(IEEE802.11 군), WiMAX(IEEE802.16 군) Ev-DO, HSPA+, HSDPA+, HSUPA+, EDGE, GSM, GPRS, CDMA, TDMA, DECT, Bluetooth, 그들의 파생물을 포함하지만, 그것으로 제한되는 것은 아닌 다수의 그외의 무선 표준들 또는 프로토콜들 중 임의의 것을 구현할 수 있다.
다양한 실시예에서, 제공자(14)는 휴대전화 네트워크 제공자와 같은 통신 회사의 하나 이상의 컴퓨팅 디바이스(본 개시내용의 교시의 적용가능한 부분들로 구성될 수 있거나 구성될 수 없음)를 포함할 수 있다. 다양한 실시예에서, 게이트 키퍼의 역할을 수행하기 위해, 보안 컴퓨팅 디바이스(12)는 디바이스(10)로부터 다양한 유형의 정보를 받아들일 수 있고, 그 정보를 이용하여 여러가지 확인을 수행한 이후 디바이스(10)에 의해 요구된 서비스에 대한 액세스를 조건부로 허가할 수 있다. 다양한 실시예에서, 별도의 게이트 키퍼 보안 컴퓨팅 디바이스(12) 대신에, 위급한 시기 등의 동작 상태 동안에 제공자(14) 자신이 게이트 키퍼로서 기능할 수 있다.
다양한 실시예에서, 디바이스(10)에 의해 보안 컴퓨팅 디바이스(12)에 제공된 정보는 디바이스(10)의 성능 증명(capability attestation)을 포함할 수 있다. 다양한 실시예에서, 성능 증명은 하드웨어 성능 증명을 포함할 수 있고, 디바이스(10)의 신뢰된 파티션(18)으로부터 이루어질 수 있다. 다양한 실시예에서, 신뢰된 파티션(18)은 하나 이상의 컴포넌트(예를 들어, 메모리, 프로세서, 실행 애플리케이션 등)를 포함할 수 있으며, 그에 대한 액세스는 다양한 다른 컴포넌트로 제한 또는 제약될 수 있다. 예를 들어, 신뢰된 파티션(18)은 운영 체제, 디바이스 드라이버 및/또는 하나 이상의 애플리케이션 중 하나 이상에 의해 액세스 불가능할 수 있다. 요구되는 것은 아니지만, 다양한 실시예에서, 도 1에 도시된 실시예와 같이, 신뢰된 파티션(18)은 신뢰된 플랫폼 모듈(trusted platform module)("TPM")(16)을 포함할 수 있다. 또한 요구되는 것은 아니지만, 다양한 실시예에서, 도 1에 도시된 실시예와 같이, 디바이스(10)의 신뢰된 파티션(18)은 캘리포니아주 산타 클라라 소재의 Intel®사에 의해 개발된 신뢰된 실행 기술(Trusted Execution Technology)("TXT") 하드웨어 컴포넌트(19)를 포함할 수 있다.
다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 요청된 방식으로 디바이스(10)에 의해 증명된 성능의 검증에 응답하여 디바이스(10)에 의해 요구된 서비스를 조건부로 허가하도록 구성될 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는 제삼자를 통해 성능 증명을 용이하게 할 수 있다. 예를 들어, 도 1에서, 보안 컴퓨팅 디바이스(12)는 디바이스(10)에 의해 증명된 하드웨어 성능을, 증명된 하드웨어 성능을 검증할 수 있는 성능 증명 검증 컴퓨팅 디바이스(20)(본 개시내용의 교시의 적용가능한 부분들로 구성될 수도, 구성되지 않을 수도 있음)에 전달할 수 있다.
다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 디바이스(10)에 의해, 예를 들어, 성능 증명 검증 컴퓨팅 디바이스(20)에 의해 이루어진 성능 증명의 검증이, 디바이스(10)가 초동 대처자 디바이스인 것을 나타내는지에 기초하여 디바이스(10)에 의해 요구된 서비스를 조건부로 허가할 수 있다. 예를 들어,(예를 들어, 보안 컴퓨팅 디바이스(12) 및/또는 제공자(14)와 연관된 하나 이상의 컴퓨팅 디바이스 상의 상태 값에 의해 나타내어질 수 있는) 동작 상태가 존재하고, 그 동안에 서비스들이 조건부 또는 제한적으로 허가되는 경우, 디바이스(10)에 의해 증명된 성능이, 소방관에게 지급된 이동 전화기의 유형 또는 클래스와 같은 초동 대처자 디바이스인 것을 나타내면, 보안 컴퓨팅 디바이스(12)는 서비스에 대한 디바이스(10) 액세스(예를 들어, 휴대전화 네트워크에 대한 우선순위화된 액세스)를 허가할 수 있다.
다양한 실시예에서, 디바이스(10)와 같은 디바이스는 디바이스(10)의 하드웨어 성능에 부가하여 또는 그 대신에, 다른 정보에 기초하여 서비스에 대한 액세스를 조건부로 허가받을 수 있다. 예를 들어, 보안 컴퓨팅 디바이스(12)는 디바이스(10)의 사용자의 아이덴티티(도시되지 않음)에 기초하여 디바이스(10)에 의해 요구된 서비스를 조건부로 허가할 수 있다. 보안 컴퓨팅 디바이스(12)는 디바이스(10)의 사용자의 자격증명(credential)을 받아들일 수 있고, 자격증명의 인증이, 사용자가 경찰관 또는 소방관과 같은 초동 대처자인 것을 나타내는지에 기초하여 요구된 서비스를 조건부로 허가할 수 있다. 다양한 실시예에서, 인증은 사용자가 초동 대처자인지를 판정하는 것뿐 아니라 초동 대처자의 자격증명이 여전히 유효한지 또는 취소되었는지를 판정하는 것을 포함할 수 있다. 자격증명은, 사용자에 의해 선택되거나 사용자에게 할당된 개인 식별 번호("PIN") 또는 (망막 또는 지문 데이터와 같은) 생체 데이터를 포함하는 다른 유형의 사용자 특정 정보와 같은, 사용자와 연관된 다양한 유형의 정보일 수 있다. 예를 들어, 디바이스(10)는 사용자에게, 예를 들어, 사용자가 PIN을 타이핑함으로써 또는 지문 판독기에 손가락을 누름으로써 자격증명을 제공할 것을 촉구할 수 있다.
다양한 실시예에서, 디바이스(10)와 같은 디바이스는, 보안 컴퓨팅 디바이스(12)에 의해 디바이스(10)로부터 받아들여진 일회용 패스워드의 유효성확인(validation)에 응답하여, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 서비스에 대한 액세스를 조건부로 허가받을 수 있다. 다양한 실시예에서, (증명된 하드웨어 성능과 마찬가지로) 일회용 패스워드는 디바이스(10)의 신뢰된 파티션(18)에 생성될 수 있다. 예를 들어, 디바이스(10)는 일회용 패스워드를 생성 및/또는 제공하기 위해, 캘리포니아주 산타 클라라 소재의 Intel®사에 의해 개발된, 아이덴티티 보호 기술(Identity Protection Technology)("IPT")을 포함하는, 도 1의 일회용 패스워드 생성기(22)로 구성될 수 있다. 일회용 패스워드 생성기(22)는 도 18의 신뢰된 파티션 내에 도시되어 있지만, 다양한 실시예에서, 디바이스(10)의 상이한 보호된 파티션일 수 있거나, 디바이스(10)의 임의의 보호된 파티션의 외부일 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 도 1의 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24)(본 개시내용의 교시의 적용가능한 부분들로 구성될 수도 있고, 구성되지 않을 수도 있음)와 같은 제3자에 의한 일회용 패스워드의 유효성확인을 용이하게 할 수 있다.
다양한 실시예에서, 사용자가 디바이스(10)와 같은 디바이스를 받은 이후, 사용자는 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24)에 디바이스(10)를 등록할 수 있다. 다양한 실시예에서, 사용자는, 예를 들어, 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24) 및/또는 보안 컴퓨터 시스템(12)을 이용하여 적절한 사용자 자격증명을 또한 획득할 수 있다. 예를 들어, 사용자는 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24)와 연관된 웹사이트에 로그인할 수 있고, 일회용 패스워드 기능이 사용자의 디바이스(10) 상에 구성되도록 요청할 수 있다. 동시에, 다양한 실시예에서, 사용자는 또한 PIN과 같은 자격증명 및/또는 사용자이름을 일회용 패스워드와 연관시킬 수 있다.
다양한 실시예에서, 디바이스(10)와 같은 디바이스는 디바이스(10)에 의해 제공된 고유 식별자에 기초하여, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 서비스에 대한 액세스를 조건부로 허가받을 수 있다. 예를 들어, 다양한 실시예에서, 플랫폼 임베디드 비대칭 토큰(Platform Embedded Asymmetrical Token) 또는 "PEAT"는 디바이스(10)의 신뢰된 파티션(18)에 저장될 수 있고, 서비스에 대한 디바이스(10) 액세스를 조건부로 허가하기 위해, 다양한 다른 유형의 정보에 부가하여 또는 그에 대신하여 사용될 수 있다.
다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는 정보 유형들의 다양한 조합에 기초하여 액세스를 디바이스(10)에 조건부로 허가할 수 있다. 예를 들어, 보안 컴퓨팅 디바이스(12)는 디바이스(10)에 의해 증명된 성능의 검증에 전적으로 응답하여 서비스에 대한 액세스를 조건부로 허가할 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는 디바이스(10)에 의해 증명된 성능의 검증에 응답하여 그리고 디바이스(10)의 사용자와 연관된 자격증명의 인증에 응답하여 서비스에 대한 액세스를 조건부로 허가할 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 디바이스의 사용자와 연관된 자격증명의 인증에 응답하여 그리고 디바이스(10)와 연관된 일회용 패스워드의 유효성확인에 응답하여, 디바이스(10)에 의해 증명된 성능의 검증에 기초하여 서비스에 대한 액세스를 조건부로 허가할 수 있다. 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는 디바이스의 사용자와 연관된 자격증명의 인증에 응답하여 그리고 디바이스(10)와 연관된 일회용 패스워드의 유효성확인에 응답하여 서비스에 대한 액세스를 조건부로 허가할 수 있다. 다양한 실시예에서, 서비스에 대한 액세스는 디바이스(10)에 의해 증명된 성능의 검증 및 디바이스(10)와 연관된 일회용 패스워드의 유효성확인에 응답하여 조건부로 허가될 수 있다. 서비스에 대한 액세스를 조건부로 허가하기 전에 정보 유형들의 임의의 다른 조합이 확인될 수 있다.
보안 디바이스(12)와 같은 디바이스에 의해 구현될 수 있는 예시적인 방법(200)이 도 2에 도시된다. 블록(202)에서, 서비스에 대한 액세스를 요구하는 원격 배치된 디바이스, 예를 들어, 디바이스(10)의 성능 증명이 특정 동작 상태 동안에, 예를 들어, 위급한 시기 동안에, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 받아들여질 수 있다. 블록(204)에서, 증명된 성능은 (예를 들어, TXT 또는 유사 기술로 구성될 수 있는) 성능 증명 검증 컴퓨팅 디바이스(20)와 같은 제3자를 통하여, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 검증될 수 있다. 증명된 성능이 검증될 수 없다면(예를 들어, 디바이스(10)가 초동 대처자 디바이스로서 등록되어 있지 않음), 그 후 방법(200)은 블록(206)으로 진행할 수 있다. 원격 배치된 디바이스는 요구된 서비스에 대하여, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 액세스가 거부될 수 있고, 방법(200)은 종료될 수 있다.
그러나, 증명된 성능이 검증되면, 그 후 블록(208)에서, 원격 배치된 디바이스의 사용자의 자격증명이, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 받아들여질 수 있다. 예를 들어, 사용자는, 예를 들어, 초동 대처자로서 사용자를 인증하는데 이용될 수 있는 PIN, 망막 데이터, 지문 데이터 등을 제공할 수 있다. 블록(210)에서, 자격증명이, 예를 들어, 보안 컴퓨팅 디바이스(12) 자체에 의해 또는 제3자(도시되지 않음)를 통해 인증될 수 있다. 자격증명이 인증될 수 없다면, 그 후 방법은 블록(206)으로 진행할 수 있다. 원격 배치된 디바이스에 대하여, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 서비스에 대한 액세스가 거부될 수 있고, 방법(200)이 종료될 수 있다.
그러나 제공된 자격 증명이 인증되면, 그 후 블록(212)에서, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 일회용 패스워드가 원격 배치된 디바이스로부터 받아들여질 수 있다. 블록(214)에서, 일회용 패스워드는 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24)와 같은 제3자를 통해, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 유효성이 확인될 수 있다. 일회용 패스워드가 유효성이 확인될 수 없는 경우, 그 후 방법(200)은 블록(206)으로 진행할 수 있다. 디바이스에 의한 서비스에 대한 액세스는, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 거부될 수 있고, 방법(200)은 종료될 수 있다. 그러나, 일회용 패스워드가 유효성이 확인되면, 그 후 블록(216)에서, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 서비스에 대한 액세스가 원격 배치된 디바이스에게 허가될 수 있다. 액세스가 허가된 후, 방법은 종료할 수 있다.
도 2의 방법(200)에서, 세 종류의 정보(원격 배치된 디바이스의 성능, 사용자의 자격증명, 일회용 패스워드)가, 제공되는 서비스에 대한 액세스 이전에 확인된다. 그러나, 전술한 바와 같이, 이것은 한정하는 것이 아니다. 다양한 실시예에서의 방법은 방법(200)에 의해 확인된 임의의 한 종류, 두 종류, 또는 세 종류의 정보에 대한 확인을 포함할 수 있다. 또한, 이러한 종류의 정보는 도 2에 도시 된 것과 상이한 순서로 확인될 수 있다. 추가적으로 또는 대안적으로, 서비스에 대한 액세스의 상이한 레벨, 예를 들면, 셀룰러 네트워크 상의 다양한 QoS 레벨은 주어진 디바이스에 대해 성공적으로 확인되는 정보의 종류의 수에 기초하여 허가될 수 있다.
도 3은 도 1에서의 디바이스(10)와 같은 디바이스 상에서 구현될 수 있는 예시적인 방법(300)을 도시한다. 블록(302)에서, 접속 절차가, 예를 들어, 디바이스(10)에 의해 개시될 수 있다. 블록(304)에서, 위급한 상태와 같은 특정 동작 상태가 존재하는지에 대한 판정이, 예를 들어, 디바이스(10)에 의해 이루어질 수 있다. 예를 들어, 초기 접속시에, 디바이스(10)는 동작 상태가 존재하는지를, 예를 들어, 보안 컴퓨팅 디바이스(12)에 질의할 수 있다. 동작 상태가 존재하지 않으면, 그 후 블록(306)에서, 통상의 접속 절차가, 예를 들어, 디바이스(10)에 의해 이용될 수 있다. 그러한 경우, 보안 컴퓨팅 디바이스(12)는 단순히 디바이스(10)와 제공자(14)의 하나 이상의 컴퓨팅 디바이스, 및/또는 리디렉트(redirect) 디바이스(10) 사이에서 메시지를 전달하여 제공자(14)의 하나 이상의 컴퓨팅 디바이스와 직접 메시지를 교환할 수 있다. 블록(306) 이후에, 방법(300)은 종료될 수 있다.
그러나, 특정 동작 상태(예를 들어, 위급한 시기)가 존재하면, 그 후 블록(308)에서, 디바이스(10)는 디바이스(10)의 성능(예를 들어, 하드웨어) 증명을, 예를 들어, 보안 컴퓨팅 디바이스(12)에 전송할 수 있다. 예를 들어, 디바이스(10)는 TPM(16)으로부터의 자신의 하드웨어 성능의 원격 증명을, 예를 들어, 보안 컴퓨팅 디바이스(12)에 제공할 수 있다. 도 2의 블록(204)에서, 증명된 성능이, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 검증되면, 그 후 블록(310)에서, 사용자 자격증명에 대한 요청이, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 디바이스(10)에 전송될 수도 있고, 전송되지 않을 수도 있다.
사용자 자격증명에 대한 어떤 요청도 전송되지 않으면, 그 후 다양한 실시예에서, 블록(312)에서, 디바이스(10)는 자신이 요구한 서비스를 액세스할 수 있다. 이는 보안 컴퓨팅 디바이스(12)가 서비스에 대한 액세스를 제공하기 위해 하드웨어 성능의 증명만을 필요로 하는 경우에 발생할 수 있다. 블록(312) 이후에, 방법(300)은 종료될 수 있다.
그러나, 사용자 자격증명에 대한 요청이 전송되면, 그 후 다양한 실시예에서, 블록(314)에서, 디바이스(10)는, 예를 들어, 보안 컴퓨팅 디바이스(12)에 사용자 자격증명을 제공할 수 있다. 예를 들어, 디바이스(10)의 사용자는 디바이스(10)의 키보드를 이용하여 PIN을 타이핑할 수 있다. 다양한 실시예에서, 디바이스(10)는 자격증명으로서, 사용자로부터 망막 또는 지문 데이터를 수집할 수 있는 망막 또는 지문 판독 장치를 포함할 수 있다.
사용자 자격증명이 도 2의 블록(210)에서, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 인증되면, 그 후 다양한 실시예에서, 블록(316)에서, 일회용 패스워드에 대한 요청이, 예를 들어, 보안 컴퓨팅 디바이스(12)에 의해 디바이스(10)로 전송될 수 있거나, 전송되지 않을 수 있다. 일회용 패스워드에 대한 요청이 전송되지 않으면, 그 후 다양한 실시예에서, 방법(300)은 블록(312)으로 진행할 수 있고, 디바이스(10)는 서비스를 액세스할 수 있다. 이것은 보안 컴퓨팅 디바이스(12)가 서비스에 대한 액세스를 얻기 위해 하드웨어 성능 증명 및 사용자 자격증명을 요구하지만, 일회용 패스워드를 요구하지 않는 경우의 실시예들에서 발생할 수 있다. 그러한 실시예에서, 블록(312) 후에, 방법(300)이 종료될 수 있다. 그러나, 일회용 패스워드가 요청되면, 그 후 다양한 실시예에서, 블록(318)에서, 디바이스(10)는, 예를 들어, 보호된 IPT 모듈(22)로부터 일회용 패스워드를 제공할 수 있다. 전술한 바와 같이, 다양한 실시예에서, 보안 컴퓨팅 디바이스(12)는, 예를 들어, 블록(214)에서 일회용 패스워드 유효성확인 컴퓨팅 디바이스(24)와 같은 제3자를 통해 일회용 패스워드의 유효성을 확인한다. 일회용 패스워드의 유효성이 확인되었다고 가정하면, 그 후 블록(312)에서, 디바이스(10)는 서비스를 액세스하도록 허용될 수 있다. 블록(312) 이후, 방법(300)은 종료될 수 있다.
본 명세서에 설명된 실시예 및 예들이 위급한 시기를 나타낼 수 있는 동작 상태 동안의 서비스에 대한 우선순위화된 액세스를 초동 대처자에게 제공하는 것과 주로 관련이 있지만 개시된 기술들은 그외의 시나리오로 구현될 수 있다. 예를 들어, 기업 인트라넷에 대한 액세스와 같은 서비스가 기업에 의해 제공될 수 있다. 특정 동작 상태, 예를 들어, 합병 또는 분기 말 동안에, 기업의 고위 경영진에게 지급된 이동 전화기, 랩톱 컴퓨터 또는 컴퓨팅 태블릿과 같은 디바이스는 기업 인트라넷에 대한 우선순위화된 액세스를 허가 받을 수 있다.
다양한 용어가 명확성을 위해 특정 맥락에서 사용되었으며, 다른 용어와 서로 교환가능할 수 있다. 예를 들어, "검증(verification)"은 디바이스의 하드웨어 성능을 확인하는 방법을 설명하는데 사용되었다. "인증(Authentication)"은 사용자의 자격 증명을 확인하는 방법을 설명하는데 사용되었다. 그리고 "유효성확인(Validation)"은 일회용 패스워드를 확인하는 방법을 설명하는데 사용되었다. 그러나, 이러한 별개의 용어는 이러한 유형의 정보에 대한 확인을 수행하는 방법을 제한하려는 의도는 아니다.
도 4는 다양한 실시예에 따른, 디바이스(10) 또는 보안 컴퓨터 시스템(12)으로서 사용하기에 적합한 예시적인 컴퓨팅 디바이스(400)(시스템이라고도 지칭될 수도 있음)를 예시한다. 컴퓨팅 디바이스는 인쇄 회로 기판(PCB)(402), 프로세서(404) 및 적어도 하나의 통신 칩(406)을 포함하지만, 이것으로 제한되는 것은 아닌 다수의 컴포넌트를 포함할 수 있다. 다양한 실시예에서, 프로세서(404)는 프로세서 코어일 수 있다. 다양한 실시예에서, 적어도 하나의 통신 칩(406)은 또한, 예를 들어, PCB(402)를 통해 프로세서(404)에 물리적으로 및 전기적으로 결합될 수 있다. 추가의 구현에서, 통신 칩(406)은 프로세서(404)의 일부일 수 있다.
예를 들면, 디바이스(10) 또는 보안 컴퓨터 시스템(12)으로서의 그의 응용에 따라서, 컴퓨팅 디바이스(400)는 PCB(402)에 물리적으로 및 전기적으로 결합될 수 있거나 결합될 수 없는 다른 컴포넌트를 포함할 수 있다. 이들 다른 컴포넌트는, 메모리 제어기(407), 휘발성 메모리(예를 들어, "DRAM"이라고도 지칭되는 동적 랜덤 액세스 메모리(408), 비휘발성 메모리(예를 들어, "ROM"이라고도 지칭되는 판독 전용 메모리(410)), 플래시 메모리(412), 그래픽 프로세서(414), 디지털 신호 프로세서(도시되지 않음), 암호화 프로세서(도시되지 않음), 입력/출력("I/O") 제어기(416), 안테나(418), 디스플레이(도시되지 않음), 터치 스크린 디스플레이(420), 터치 스크린 제어기(422), 배터리(424), 오디오 코덱(도시되지 않음), 비디오 코덱(도시되지 않음), 전력 증폭기(426), 전역 위치확인 시스템(global positioning system)("GPS") 디바이스(428), 나침반(430), 가속도계(도시되지 않음), 자이로스코프(도시되지 않음), 스피커(432), 카메라(434), 및 (하드 디스크 드라이브, 고체 상태 드라이브, 컴팩트 디스크("CD"), 디지털 다기능 디스크("DVD")와 같은) 대용량 저장 디바이스(도시되지 않음) 등을 포함할 수 있으나, 이것으로 한정되는 것은 아니다. 다양한 실시예에서, 프로세서(404)는 메모리 제어기(407) 및/또는 I/O 제어기(416)와 같은 다른 컴포넌트와 동일한 다이 상에 집적되어 시스템 온 칩("SoC")을 형성할 수 있다.
다양한 실시예에서, 방법(200) 및/또는 방법(300)의 전부 또는 선택된 양태를 실시하도록, 휘발성 메모리(예를 들면, DRAM(408)), 비휘발성 메모리(예를 들어, ROM(410)), 플래시 메모리(412), 및 대용량 저장 디바이스는 프로세서(들)(404)에 의한 실행에 응답하여 컴퓨팅 디바이스(400)를 인에이블하도록 구성된 프로그래밍 명령어를 포함할 수 있다. 예를 들어, 휘발성 메모리(예를 들면, DRAM(408)), 비 휘발성 메모리(예를 들어, ROM(410)) 플래시 메모리(412), 및 대용량 저장 디바이스와 같은 메모리 컴포넌트 중 하나 이상은 방법(200) 및/또는 방법(300)의 전부 또는 선택된 양태 등의 개시된 기술을 실시하도록 구성된 제어 모듈(436)의 일시적인 및/또는 영구적인 사본을 포함할 수 있다.
통신 칩(406)은 컴퓨팅 디바이스(400)로의 그리고 디바이스(400)로부터의 데이터의 전달을 위한 유선 및/또는 무선 통신을 인에이블할 수 있다. "무선"이라는 용어 및 그 파생물은 비-고체 매체(non-solid medium)를 통한 변조된 전자기 방사의 사용에 의해 데이터를 통신할 수 있는 회로, 디바이스, 시스템, 방법, 기술, 통신 채널 등을 설명하는데 사용될 수 있다. 일부 실시예에서 그렇지 않을 수도 있지만, 상기 용어는 연관된 디바이스가 임의의 와이어를 포함하지 않는 것을 암시하지 않는다. 통신 칩(406)은, 3G, 4G, 5G, 그 이상으로서 지정된 임의의 다른 무선 프로토콜 뿐만 아니라, Wi-Fi(IEEE 802.11 군), WiMAX(IEEE 802.16 군), IEEE 802.20, 롱 텀 에볼루션("LTE"), Ev-DO, HSPA+, HSDPA+, HSUPA+, EDGE, GSM, GPRS, CDMA, TDMA, DECT, Bluetooth, 그 파생물을 포함하는 다수의 무선 표준 또는 프로토콜 중 임의의 것을 구현할 수 있으나, 이것으로 한정되는 것은 아니다. 컴퓨팅 디바이스(400)는 복수의 통신 칩(406)을 포함할 수 있다. 예를 들어, 제1 통신 칩(406)은 Wi-Fi 및 Bluetooth와 같은 단거리 무선 통신에 전용될 수 있고, 제2 통신 칩(406)은 GPS, EDGE, GPRS, CDMA, WiMAX, LTE, Ev-DO 등과 같은 장거리 무선 통신에 전용될 수 있다.
컴퓨팅 디바이스(400)의 프로세서(404)는, 그 프로세서(404) 내에 패키징된 집적 회로 다이를 포함할 수 있다. 다양한 실시예에서, 프로세서(404)의 집적 회로 다이는 본 명세서에서 설명된 하나 이상의 기술을 사용하여 ECC 코드워드의 반복 디코딩을 용이하게 하도록 형성되는 트랜지스터 또는 금속 상호접속부와 같은 하나 이상의 디바이스를 포함할 수 있다. "프로세서"라는 용어는 레지스터 및/또는 메모리로부터의 전자 데이터를 처리하여 레지스터 및/또는 메모리에 저장될 수 있는 다른 전자 데이터로 그 전자 데이터를 변환하는 임의의 디바이스 또는 디바이스의 일부를 지칭할 수 있다.
통신 칩(406)은 또한 그 통신 칩(406) 내에 패키징된 집적 회로 다이를 포함할 수 있다. 다양한 실시예에서, 통신 칩(406)의 집적 회로 다이는 ECC 코드워드의 반복 디코딩을 용이하게 하도록 형성되는 트랜지스터 또는 금속 상호접속부와 같은 하나 이상의 디바이스를 포함할 수 있다.
다양한 구현 예에서, 컴퓨팅 디바이스(400)는 랩톱, 넷북, 노트북, 울트라북, 스마트 폰, 컴퓨팅 태블릿, 개인용 디지털 보조도구("PDA"), 울트라 모바일 PC, 이동 전화기, 데스크톱 컴퓨터, 서버, 프린터, 스캐너, 모니터, 셋톱 박스, 엔터테인먼트 제어 유닛(예를 들어, 게임 콘솔), 디지털 카메라, 휴대용 음악 플레이어, 또는 디지털 비디오 레코더일 수 있다. 추가의 구현에서, 컴퓨팅 디바이스(400)는 데이터를 처리하는 임의의 다른 전자 디바이스일 수 있다.
동작 상태 동안에 서비스에 대한 액세스를 허가할지에 대한 판정을 위해 디바이스의 성능 증명을 받아들이는 장치, 컴퓨터 구현 방법, 시스템, 디바이스, 및 컴퓨터 판독가능한 매체의 실시예들이 본 명세서에서 설명된다. 다양한 실시예에서, 증명된 성능의 검증에 응답하여 요구된 서비스에 대한 액세스가 조건부로 허가될 수 있다. 다양한 실시예에서, 동작 상태 동안에, 서비스에 대한 액세스가 제한적으로 허가될 수 있다.
다양한 실시예에서, 성능 증명은 하드웨어 성능 증명을 포함할 수 있다. 다양한 실시예에서, 증명된 성능의 검증은 제3자를 이용하여 증명된 성능의 검증을 포함할 수 있다. 다양한 실시예에서, 증명된 성능의 검증은 신뢰된 실행 기술을 사용하는 증명된 성능의 검증을 포함할 수 있다.
다양한 실시예에서, 서비스는 통신 네트워크에 대해 우선 순위화된 액세스를 포함할 수 있다. 다양한 실시예에서, 요구된 서비스는 성능 증명이 디바이스가 초동 대처자 디바이스인 것을 나타내는지에 기초하여 조건부로 허가될 수 있다. 다양한 실시예에서, 요구된 서비스는 디바이스의 사용자의 아이덴티티에 추가적으로 기초하여 조건부로 허가될 수 있다. 다양한 실시예에서, 디바이스의 사용자의 자격증명이 받아들여질 수 있다. 다양한 실시예에서, 요구된 서비스는 자격증명의 인증이 사용자가 초동 대처자인 것을 나타내는지에 추가적으로 기초하여 조건부로 허가될 수 있다.
다양한 실시예에서, 디바이스로부터의 일회용 패스워드가 받아들여질 수 있다. 다양한 실시예에서, 요구된 서비스는 일회용 패스워드의 유효성확인에 추가적으로 응답하여 조건부 허가될 수 있다. 다양한 실시예에서, 일회용 패스워드는 아이덴티티 보호 기술에 의해 신뢰된 파티션 내에 제공될 수 있다.
다양한 실시예에서, 이동 전화기, 태블릿 컴퓨터, 다른 디바이스와 같은 디바이스의 제어 모듈은, 동작 상태 동안에, 신뢰된 파티션으로부터 서비스의 제공자와 연관된 컴퓨팅 시스템으로 그 시스템의 성능 증명을 전송할 수 있다. 다양한 실시예에서, 제어 모듈은 증명된 성능의 검증에 응답하여 서비스의 제공자와 연관된 컴퓨팅 시스템으로부터 서비스에 대한 액세스의 조건부 허가를 수신할 수 있다.
설명을 위해 본 명세서에서 특정 실시예들이 예시되고 설명되었으나, 도시되고 설명된 실시예들은 본 발명의 범주로부터 벗어나지 않고 동일한 목적을 달성하기 위한 다양한 대안의 실시예 및/또는 등가의 실시예 또는 계산된 구현예들로 대체할 수 있다. 본 출원은 본 명세서에서 논의된 실시예들의 임의의 각색 또는 변형을 포함하는 것으로 의도된다. 따라서, 본 명세서에서 논의된 실시예들은 명백하게 오직 특허청구범위 및 그 등가물들에 의해서만 제한되도록 의도된다.
개시내용에서 "하나의" 또는 "제1" 구성요소 또는 그 등가물을 언급하고 있는 경우, 그러한 개시내용은 하나 이상의 그러한 구성요소를 포함하며, 둘 이상의 그러한 구성요소를 요구하는 것도 배제하는 것도 아니다. 또한, 달리 구체적으로 언급하지 않는 한, 식별된 구성요소들에 대한 서수 지시자들(예를 들어, 제1, 제2 또는 제3)은 구성요소들 간의 구별에 이용되는 것이고, 그러한 구성요소들의 요구되는 수 또는 제한되는 수를 나타내거나 암시하지 않으며, 그러한 구성요소들의 특정 위치 또는 순서를 나타내지 않는다.

Claims (12)

  1. 컴퓨터 구현 방법으로서,
    컴퓨팅 디바이스(12)에 의해, 동작 상태가 존재한다고 판정하는 단계 - 상기 동작 상태 동안에, 서비스에 대한 액세스가 제한적으로 허가됨 -;
    상기 컴퓨팅 디바이스(12)에 의해, 상기 서비스에 대한 액세스를 요구하는 디바이스(10)의 사용자와 연관된 자격증명(credential)을 받아들이는 단계 - 상기 디바이스(10)는 상기 컴퓨팅 디바이스(12)로부터 원격으로 배치됨 -;
    상기 컴퓨팅 디바이스(12)에 의해, 상기 동작 상태 동안에 상기 요구된 서비스에 대한 액세스를 허가할 지에 대한 판정을 위해, 상기 디바이스(10)의 신뢰된 파티션(18)으로부터 이루어지는 상기 디바이스(10)의 하드웨어 성능 증명을 받아들이는 단계 - 상기 하드웨어 성능 증명은, 상기 디바이스가 상기 동작 상태 동안에 상기 서비스에 대한 액세스를 허가받도록 지급된 디바이스들의 유형 또는 클래스라는 것을 나타내는 정보를 포함함 -;
    상기 컴퓨팅 디바이스(12)에 의해, 일회용 패스워드를 받아들이는 단계; 및
    상기 컴퓨팅 디바이스(12)에 의해, 상기 자격증명의 인증 및 상기 일회용 패스워드의 유효성확인(validation)에 응답하여, 그리고 동작 상태가 존재한다는 판정에 응답하여, 그리고 증명된 하드웨어 성능의 검증에 추가적으로 응답하여, 상기 요구된 서비스에 대한 액세스를 조건부로 허가하는 단계
    를 포함하는 컴퓨터 구현 방법.
  2. 제1항에 있어서,
    상기 컴퓨팅 디바이스에 의해, 상기 자격증명의 인증이 상기 사용자가 초동 대처자(first responder)인 것을 나타내는지에 기초하여, 요구된 서비스를 조건부로 허가하는 단계를 더 포함하는, 컴퓨터 구현 방법.
  3. 제1항에 있어서,
    상기 서비스는 통신 네트워크에 대한 우선순위화된 액세스를 포함하는, 컴퓨터 구현 방법.
  4. 제1항에 있어서,
    상기 증명된 하드웨어 성능의 검증은 제3자를 이용하는 증명된 하드웨어 성능의 검증을 포함하는, 컴퓨터 구현 방법.
  5. 시스템(400)으로서,
    하나 이상의 프로세서(404);
    상기 하나 이상의 프로세서에 동작가능하게 결합된 메모리(408, 410, 412);
    신뢰된 파티션(18); 및
    동작 상태 동안에, 상기 신뢰된 파티션으로부터 서비스의 제공자와 연관된 컴퓨팅 시스템으로, 상기 동작 상태 동안에 요구된 서비스에 대한 액세스를 허가할 지에 대한 판정을 위해, 상기 시스템(400)의 상기 신뢰된 파티션으로부터 이루어지는 상기 시스템의 하드웨어 성능 증명을 전송하도록 동작가능한 상기 하나 이상의 프로세서에 의해 동작되는 제어 모듈(436) - 상기 하드웨어 성능 증명은, 상기 시스템이 상기 동작 상태 동안에 상기 서비스에 대한 액세스를 허가받도록 지급된 시스템들의 유형 또는 클래스라는 것을 나타내는 정보를 포함하고, 상기 제어 모듈은 또한, 상기 시스템의 사용자의 자격증명 및 일회용 패스워드를 상기 제공자와 연관된 상기 컴퓨팅 시스템으로 전송하도록 동작가능하고, 증명된 하드웨어 성능의 검증, 상기 자격증명의 인증, 및 상기 일회용 패스워드의 유효성확인에 응답하여 상기 서비스에 대한 액세스의 조건부 허가를 상기 서비스의 상기 제공자와 연관된 상기 컴퓨팅 시스템으로부터 수신하도록 동작가능하고, 상기 동작 상태 동안에, 서비스는 제한적으로 허가됨 -
    을 포함하는 시스템.
  6. 제5항에 있어서,
    상기 증명된 하드웨어 성능의 검증은 제3자를 이용하는 증명된 하드웨어 성능의 검증을 포함하는, 시스템.
  7. 제5항에 있어서,
    상기 신뢰된 파티션으로부터의 상기 하드웨어 성능 증명은, 상기 신뢰된 파티션 내의 신뢰된 실행 기술(Trusted Execution Technology)의 컴포넌트들에 의한 하드웨어 성능 증명을 포함하는, 시스템.
  8. 제5항에 있어서,
    상기 하드웨어 성능 증명은 상기 시스템이 초동 대처자 시스템인지 나타내는, 시스템.
  9. 제5항 내지 제8항 중 어느 한 항에 있어서,
    상기 제어 모듈은 또한, 상기 자격증명의 인증이 상기 사용자가 초동 대처자인 것을 나타내는 지에 추가적으로 응답하여 상기 서비스에 대한 액세스의 조건부 허가를 상기 제공자와 연관된 상기 컴퓨팅 시스템으로부터 수신하도록 동작가능한, 시스템.
  10. 제5항 내지 제8항 중 어느 한 항에 있어서,
    상기 제어 모듈은 또한, 상기 신뢰된 파티션으로부터의 상기 일회용 패스워드를 상기 제공자와 연관된 상기 컴퓨팅 시스템으로 전송하도록 동작가능한, 시스템.
  11. 제10항에 있어서,
    상기 일회용 패스워드는 아이덴티티 보호 기술(Identity Protection Technology)에 의해 제공되는, 시스템.
  12. 제5항 내지 제8항 중 어느 한 항에 있어서,
    터치 스크린 디스플레이를 더 포함하는 시스템.
KR1020167027048A 2012-03-28 2012-03-28 디바이스 검증에 기초한 조건부 제한적 서비스 허가 KR101699874B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/030809 WO2013147757A1 (en) 2012-03-28 2012-03-28 Conditional limited service grant based on device verification

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020147022937A Division KR20140116510A (ko) 2012-03-28 2012-03-28 디바이스 검증에 기초한 조건부 제한적 서비스 허가

Publications (2)

Publication Number Publication Date
KR20160119265A KR20160119265A (ko) 2016-10-12
KR101699874B1 true KR101699874B1 (ko) 2017-01-25

Family

ID=49260826

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020167027048A KR101699874B1 (ko) 2012-03-28 2012-03-28 디바이스 검증에 기초한 조건부 제한적 서비스 허가
KR1020147022937A KR20140116510A (ko) 2012-03-28 2012-03-28 디바이스 검증에 기초한 조건부 제한적 서비스 허가

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020147022937A KR20140116510A (ko) 2012-03-28 2012-03-28 디바이스 검증에 기초한 조건부 제한적 서비스 허가

Country Status (5)

Country Link
US (1) US9338656B2 (ko)
EP (1) EP2847926B1 (ko)
KR (2) KR101699874B1 (ko)
CN (1) CN104205722B (ko)
WO (1) WO2013147757A1 (ko)

Families Citing this family (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9887983B2 (en) * 2013-10-29 2018-02-06 Nok Nok Labs, Inc. Apparatus and method for implementing composite authenticators
US9367676B2 (en) 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US10270748B2 (en) 2013-03-22 2019-04-23 Nok Nok Labs, Inc. Advanced authentication techniques and applications
US9961077B2 (en) 2013-05-30 2018-05-01 Nok Nok Labs, Inc. System and method for biometric authentication with device attestation
US9577999B1 (en) 2014-05-02 2017-02-21 Nok Nok Labs, Inc. Enhanced security for registration of authentication devices
US9413533B1 (en) 2014-05-02 2016-08-09 Nok Nok Labs, Inc. System and method for authorizing a new authenticator
US9654469B1 (en) 2014-05-02 2017-05-16 Nok Nok Labs, Inc. Web-based user authentication techniques and applications
US10148630B2 (en) 2014-07-31 2018-12-04 Nok Nok Labs, Inc. System and method for implementing a hosted authentication service
US9875347B2 (en) 2014-07-31 2018-01-23 Nok Nok Labs, Inc. System and method for performing authentication using data analytics
US9749131B2 (en) 2014-07-31 2017-08-29 Nok Nok Labs, Inc. System and method for implementing a one-time-password using asymmetric cryptography
US9455979B2 (en) 2014-07-31 2016-09-27 Nok Nok Labs, Inc. System and method for establishing trust using secure transmission protocols
US9736154B2 (en) 2014-09-16 2017-08-15 Nok Nok Labs, Inc. System and method for integrating an authentication service within a network architecture
US9767324B2 (en) * 2014-11-22 2017-09-19 Intel Corporation Transparent execution of secret content
US20170116432A1 (en) * 2015-01-22 2017-04-27 Daniel Minoli System and methods for cyber-and-physically-secure high grade weaponry
US10554662B2 (en) * 2015-06-30 2020-02-04 Mcafee, Llc Security service for an unmanaged device
US10637853B2 (en) 2016-08-05 2020-04-28 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10769635B2 (en) 2016-08-05 2020-09-08 Nok Nok Labs, Inc. Authentication techniques including speech and/or lip movement analysis
US10250582B2 (en) * 2016-08-08 2019-04-02 Microsoft Technology Licensing, Llc Secure private location based services
US10091195B2 (en) 2016-12-31 2018-10-02 Nok Nok Labs, Inc. System and method for bootstrapping a user binding
US10237070B2 (en) 2016-12-31 2019-03-19 Nok Nok Labs, Inc. System and method for sharing keys across authenticators
US11868995B2 (en) 2017-11-27 2024-01-09 Nok Nok Labs, Inc. Extending a secure key storage for transaction confirmation and cryptocurrency
US11831409B2 (en) 2018-01-12 2023-11-28 Nok Nok Labs, Inc. System and method for binding verifiable claims
US12041039B2 (en) 2019-02-28 2024-07-16 Nok Nok Labs, Inc. System and method for endorsing a new authenticator
US11792024B2 (en) 2019-03-29 2023-10-17 Nok Nok Labs, Inc. System and method for efficient challenge-response authentication
US20220166762A1 (en) * 2020-11-25 2022-05-26 Microsoft Technology Licensing, Llc Integrated circuit for obtaining enhanced privileges for a network-based resource and performing actions in accordance therewith
US20220294639A1 (en) * 2021-03-15 2022-09-15 Synamedia Limited Home context-aware authentication

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060236408A1 (en) 2005-04-14 2006-10-19 International Business Machines Corporation Method and apparatus for device dependent access control for device independent web content
US20090143046A1 (en) 2007-11-29 2009-06-04 Rivada Networks, Llc Method and System For Providing Tiered Priority Access to Communication Network Resources
KR101088029B1 (ko) 2009-11-19 2011-11-29 최운호 스마트카드와 통신단말기를 이용한 전자화폐 인증 시스템

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0917119A3 (en) * 1997-11-12 2001-01-10 Citicorp Development Center, Inc. Distributed network based electronic wallet
US7774824B2 (en) 2004-06-09 2010-08-10 Intel Corporation Multifactor device authentication
US20080254850A1 (en) * 2005-05-06 2008-10-16 Wms Gaming Inc. Trusted Computing in a Wagering Game Machine
US8468361B2 (en) 2005-09-21 2013-06-18 Broadcom Corporation System and method for securely provisioning and generating one-time-passwords in a remote device
US7787600B1 (en) 2005-10-07 2010-08-31 At&T Mobility Ii, Llc Handling emergency calls using EAP
US8522018B2 (en) 2006-08-18 2013-08-27 Fujitsu Limited Method and system for implementing a mobile trusted platform module
US7945786B2 (en) * 2007-03-30 2011-05-17 Intel Corporation Method and apparatus to re-create trust model after sleep state
US8127292B1 (en) * 2007-06-22 2012-02-28 Parallels Holdings, Ltd. Virtualization system with hypervisor embedded in bios or using extensible firmware interface
GB2458470A (en) * 2008-03-17 2009-09-23 Vodafone Plc Mobile terminal authorisation arrangements
EP2335177A4 (en) * 2008-10-06 2012-06-20 Ericsson Telefon Ab L M DIGITAL RIGHTS MANAGEMENT IN A USER-CONTROLLED ENVIRONMENT
US8589672B2 (en) * 2008-11-14 2013-11-19 International Business Machines Corporation Method for securely merging multiple nodes having trusted platform modules
JP2012520027A (ja) * 2009-03-06 2012-08-30 インターデイジタル パテント ホールディングス インコーポレイテッド 無線装置のプラットフォームの検証と管理
US8245053B2 (en) * 2009-03-10 2012-08-14 Dell Products, Inc. Methods and systems for binding a removable trusted platform module to an information handling system
US8635705B2 (en) * 2009-09-25 2014-01-21 Intel Corporation Computer system and method with anti-malware
CN101917398A (zh) * 2010-06-28 2010-12-15 北京星网锐捷网络技术有限公司 一种客户端访问权限控制方法及设备
WO2013040241A1 (en) * 2011-09-13 2013-03-21 Privatecore, Inc. Software cryptoprocessor

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060236408A1 (en) 2005-04-14 2006-10-19 International Business Machines Corporation Method and apparatus for device dependent access control for device independent web content
US20090143046A1 (en) 2007-11-29 2009-06-04 Rivada Networks, Llc Method and System For Providing Tiered Priority Access to Communication Network Resources
KR101088029B1 (ko) 2009-11-19 2011-11-29 최운호 스마트카드와 통신단말기를 이용한 전자화폐 인증 시스템

Also Published As

Publication number Publication date
CN104205722B (zh) 2018-05-01
KR20160119265A (ko) 2016-10-12
EP2847926A4 (en) 2015-12-16
EP2847926A1 (en) 2015-03-18
EP2847926B1 (en) 2019-08-21
CN104205722A (zh) 2014-12-10
US20130337777A1 (en) 2013-12-19
KR20140116510A (ko) 2014-10-02
WO2013147757A1 (en) 2013-10-03
US9338656B2 (en) 2016-05-10

Similar Documents

Publication Publication Date Title
KR101699874B1 (ko) 디바이스 검증에 기초한 조건부 제한적 서비스 허가
US11647023B2 (en) Out-of-band authentication to access web-service with indication of physical access to client device
CN110915183B (zh) 经由硬/软令牌验证的区块链认证
US20140282992A1 (en) Systems and methods for securing the boot process of a device using credentials stored on an authentication token
KR101641809B1 (ko) 일회용 비밀번호를 이용한 분산된 오프-라인 로그온을 위한 방법 및 시스템
US9479337B2 (en) Method and apparatus for deriving a certificate for a primary device
ES2951585T3 (es) Autenticación de transacciones usando un identificador de dispositivo móvil
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US20180183880A1 (en) Hardware resource access systems and techniques
US10755237B2 (en) Method for creating, registering, revoking authentication information and server using the same
US20120159172A1 (en) Secure and private location
KR20160097323A (ko) Nfc 인증 메커니즘
WO2014105341A1 (en) System and method for scoping a user identity assertion to collaborative devices
EP3206329B1 (en) Security check method, device, terminal and server
US11176280B2 (en) Secure circuit control to disable circuitry
CN116529729A (zh) 用于获得基于网络的资源的增强权限并根据其执行动作的集成电路
US9621546B2 (en) Method of generating one-time password and apparatus for performing the same
KR102187545B1 (ko) 얼굴인식 기반의 사용자 인증을 통해 보안 문서를 제공하는 문서 관리 장치 및 그 동작 방법
WO2020254614A1 (en) Securely sharing private information
Kim et al. Puf-based iot device authentication scheme on iot open platform
KR20180034199A (ko) 싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템
KR102702681B1 (ko) 전자 장치 및 전자 장치에서의 인증 방법
KR101966929B1 (ko) 광 파장을 이용한 디지털 키 운영 방법 및 이를 실행하는 시스템
KR20150145224A (ko) Scep 인증서 등록 요청을 검증하기 위한 시스템 및 방법
CN115146253A (zh) 一种移动App登录方法、移动设备及系统

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant