KR101700171B1 - 네트워크 액세스 관련 애플리케이션의 인증 - Google Patents

네트워크 액세스 관련 애플리케이션의 인증 Download PDF

Info

Publication number
KR101700171B1
KR101700171B1 KR1020147017998A KR20147017998A KR101700171B1 KR 101700171 B1 KR101700171 B1 KR 101700171B1 KR 1020147017998 A KR1020147017998 A KR 1020147017998A KR 20147017998 A KR20147017998 A KR 20147017998A KR 101700171 B1 KR101700171 B1 KR 101700171B1
Authority
KR
South Korea
Prior art keywords
identification packet
controller
electronic device
logic
remote authentication
Prior art date
Application number
KR1020147017998A
Other languages
English (en)
Other versions
KR20140104983A (ko
Inventor
산제이 박시
네드 스미스
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20140104983A publication Critical patent/KR20140104983A/ko
Application granted granted Critical
Publication of KR101700171B1 publication Critical patent/KR101700171B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3224Transactions dependent on location of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/327Short range or proximity payments by means of M-devices
    • G06Q20/3278RFID or NFC payments by means of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • H04L2209/805Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor

Abstract

일 실시예에서, 컨트롤러는 근접장 통신 링크를 통해, 원격 인증 제공자에 의해 생성된 식별 패킷을 수신하고, 전자 서명을 상기 식별 패킷과 연계시키고, 상기 식별 패킷을 상기 원격 인증 제공자에게 전송하고, 상기 원격 인증 제공자로부터 허가를 수신하고, 상기 식별 패킷과 연계된 로그인 정보를 수신하고, 상기 로그인 정보를 이용하여 로그인 절차를 개시하도록 하는 로직을 포함한다. 다른 실시예가 기술될 수 있다.

Description

네트워크 액세스 관련 애플리케이션의 인증{AUTHENTICATION FOR NETWORK ACCESS RELATED APPLICATIONS}
본 출원에 개시된 주제는 일반적으로 네트워크 액세스의 분야에 관한 것으로, 특히, 전자 장치들이 원격 인증 제공자에 의해 운영된 제3자 인증 시스템을 활용하여 네트워크 액세스를 위한 인증 프로토콜을 실시하게 해주는 시스템 및 방법에 관한 것이다.
대기업 네트워크는 보통 인증된 사용자가 네트워크를 액세스할 수 있게 해주면서 인증되지 않은 직원이 네트워크를 액세스하는 것을 금지 또는 방지하는 인증 기술에 의해 보호된다. 소기업 환경은 사내 네트워크를 보안하는데 있어서 많은 어려운 도전에 직면하고 있다. 비즈니스급 인증 기술은 비싸고 복잡하며, 대개의 경우 소기업의 재정적 및 기술적인 역량을 넘어 서고 있다.
따라서, 컴퓨팅 환경을 보안하는 인증 기술을 제공하는 시스템 및 기술은, 특히 소기업 환경에서 유용성을 찾을 수 있다.
상세한 설명은 첨부 도면을 참조하여 기술된다.
도 1은 일부 실시예에 따른 네트워크 액세스를 위한 인증을 구현하는 기반설비(infrastructure)를 포함하도록 적응될 수 있는 예시적인 전자 장치의 개략도이다.
도 2는 일부 실시예에 따른 네트워크 액세스를 위한 인증용의 예시적인 아키텍처의 하이-레벨 개략도이다.
도 3은 일부 실시예에 따른 네트워크 액세스를 위한 예시적인 인증 아키텍처의 개략도이다.
도 4는 일부 실시예에 따른 네트워크 액세스를 위한 예시적인 인증 시스템의 개략도이다.
도 5는 일부 실시예에 따른 네트워크 액세스를 위한 인증을 구현하는 방법의 동작을 도시하는 플로우차트이다.
본 출원에는 전자 장치에서 네트워크 액세스를 위한 인증을 구현하는 예시적인 시스템 및 방법이 기술된다. 본 출원에 기술된 시스템 및 방법 중 일부 실시예는 네트워크 보안이라는 문맥에서, 특히 소기업 환경에서 유용성을 찾을 수 있다. 본 출원에 기술된 일부 실시예는 제3자가 원격 인증 제공자로서 기능하도록, 소기업이 제3자에 의해 제공된 인증 플랫폼을 활용하게 해줄 수 있다. 예를 들어, 시스템의 사용자는 제3자 또는 제3자들에 의해 발급된 자격보증서(credentials)를 포함할 수 있는 식별 패킷(identification packet)을 할당 받을 수 있다. 식별 패킷은 적절한 메모리 위치, 예를 들면, 자기 띠(magnetic strip) 카드, 스마트 카드, 또는 전자 장치와 연관된 메모리 모듈에 저장될 수 있다.
네트워크에 액세스하기를 희망하는 사용자는 전자 장치를 통해 로그인 절차를 시작할 수 있다. 로그인 절차 동안, 식별 패킷은 전자 장치로부터 보안 통신 채널을 통하여 원격 인증 제공자에게 전송될 수 있다. 원격 인증 제공자는 인증 패킷 내 데이터를 이용하여 하나 이상의 인증 루틴을 구현할 수 있으며 사용자가 네트워크 액세스를 위한 권한이 있는지 확인 또는 거절하는 응답을 반환할 수 있다. 이 응답에 근거하여, 전자 장치는 네트워크로의 로그인 절차를 완료 또는 종료한다.
본 명세서는 네트워크 액세스의 인증이 구현될 수 있는 하드웨어 및 소프트웨어 환경 그리고 그 네트워크 액세스를 위한 인증을 구현하는 예시적인 동작의 하드웨어 및 소프트웨어 환경의 설명을 제공한다. 하기 설명에서, 여러 실시예의 완전한 이해를 제공하기 위해 많은 특정 세부사항이 제시된다. 그러나, 본 기술에서 통상의 지식을 가진 자들이라면 여러 실시예가 구체적인 세부사항 없이도 실시될 수 있음을 이해할 것이다. 다른 사례에서, 공지의 방법, 절차, 컴포넌트, 및 회로는 특정 실시예를 불명료하게 만들지 않도록 하기 위해 상세히 기술되거나 설명되지 않았다.
도 1은 일부 실시예에 따른 네트워크 액세스의 인증을 구현하기에 적당한 예시적인 전자 장치(110)의 개략도이다. 도 1에 도시된 바와 같이, 전자 장치(110)는 모바일 폰, 태블릿 컴퓨터, 휴대용 컴퓨터, 또는 개인 휴대 정보 단말(PDA)과 같은 통상의 모바일 장치로서 구체화될 수 있다.
일부 실시예에서, 전자 장치는 신뢰할 수 있는 실행 엔진 또는 때때로 보안 요소 또는 관리 엔진(manageability engine)이라고 지칭될 수도 있는 신뢰할 수 있는 실행 환경(trusted execution environment)을 포함할 수 있다. 신뢰할 수 있는 실행 환경은 때로는 신뢰할 수 없는 실행 환경(untrusted execution environment)이라고 지칭되는, 일차 실행 환경에서 분리된 하나 이상의 컨트롤러를 포함할 수 있다. 이러한 분리는 신뢰할 수 있는 실행 환경이 신뢰할 수 없는 실행 환경으로부터 물리적으로 별개일 수 있다는 점에서 물리적인 것일 수 있다. 이와 달리, 신뢰할 수 있는 실행 환경은 그 신뢰할 수 있는 실행 환경이 신뢰할 수 없는 실행 환경을 호스트하는 동일 칩 또는 칩셋에서는 호스트될 수 있지만, 신뢰할 수 있는 실행 환경이 안전하도록 실리콘 레벨에서 분리될 수 있다.
여러 실시예에서, 전자 장치(110)는 디스플레이, 하나 이상의 스피커, 키보드, 하나 이상의 다른 I/O 장치(들), 또는 마우스 등을 포함하는 하나 이상의 동반하는 입력/출력 장치들을 포함하거나 그 장치들에 결합될 수 있다. 예시적인 I/O 장치(들)는 전자 장치(110)가 사용자로부터 입력을 수신하게 해주는 터치 스크린, 음성 작동 입력 장치, 트랙 볼, 지오로케이션 장치(geolocation device), 가속도계/자이로스코프, 생체 특징 입력 장치, 및 다른 모든 장치를 포함할 수 있다.
전자 장치(110)는 랜덤 액세스 메모리 및/또는 리드-온리 메모리로서 구현될 수 있는 시스템 하드웨어(120) 및 메모리(140)를 포함한다. 파일 스토어는 컴퓨팅 장치(110)에 통신 가능하게 결합될 수 있다. 파일 스토어는, 예를 들면, eMMC, SSD, 하나 이상의 하드 드라이브, 또는 다른 형태의 스토리지 장치와 같이 컴퓨팅 장치(110)의 내부에 있을 수 있다. 파일 스토어(180)는 또한, 예를 들면, 하나 이상의 외부 하드 드라이브, 네트워크 부착형 스토리지, 또는 개별 스토리지 네트워크와 같이 컴퓨터(110)의 외부에 있을 수 있다.
시스템 하드웨어(120)는 하나 이상의 프로세서(122), 그래픽스 프로세서(124), 네트워크 인터페이스(126), 및 버스 구조(128)를 포함할 수 있다. 일 실시예에서, 프로세서(122)는 미국 캘리포니아 산타 클라라 소재의 인텔 코포레이션에서 구입가능한 Intel® Atom™ 프로세서, Intel® Atom™ 기반 시스템-온-칩(SOC) 또는 Intel ® Core2 Duo® 프로세서로서 구현될 수 있다. 본 출원에서 사용된 바와 같은 용어 "프로세서"는 마이크로프로세서, 마이크로컨트롤러, 복합 명령 집합 컴퓨팅(CISC) 마이크로프로세서, 축소 명령 집합(RISC) 마이크로프로세서, 초장 명령어(very long instruction word (VLIW)) 마이크로프로세서, 또는 다른 임의의 형태의 프로세서나 프로세싱 회로와 같은 임의의 형태의 컴퓨팅 요소를 의미하지만, 이것으로 제한되지 않는다.
그래픽스 프로세서(들)(124)는 그래픽스 및/또는 비디오 동작을 관리하는 보조 프로세서로서 기능할 수 있다. 그래픽스 프로세서(들)(124)는 전자 장치(110)의 마더보드에 통합되거나 또는 마더보드의 확장 슬롯을 통해 결합될 수 있다.
일 실시예에서, 네트워크 인터페이스(126)는 이더넷 인터페이스(예를 들면, 2002년, 전기 전자 엔지니어 학회/IEEE802.3을 참조할 것) 또는 IEEE 802.11a, b or g-규격 인터페이스와 같은 무선 인터페이스(예를 들면, 2003년, IEEE IT 표준 - 시스템 LAN/MAN 간 통신 및 정보 교환 파트 II: 무선 LAN 매체 액세스 제어(MAC) 및 물리 계층(PHY) 사양 개정 4: 2.4 GHz 대역에서 더 높은 데이터 속도 확장, 802.11G, 을 참조할 것(IEEE Standard for IT-Telecommunications and information exchange between systems LAN/MAN - Part II: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications Amendment 4: Further Higher Data Rate Extension in the 2.4 GHz Band, 802.11G))일 수 있다. 무선 인터페이스의 다른 예는 일반 패킷 무선 서비스(general packet radio service (GPRS)) 인터페이스일 것이다(예를 들면, 2002년 12월, GPRS 핸드셋 요구 사항에 관한 지침, 글로벌 이동 통신 시스템/GSM 협회, Ver. 3.0.1 (Guidelines on GPRS Handset Requirements, Global System for Mobile Communications/GSM Association, Ver. 3.0.1)을 참조할 것).
버스 구조(128)는 시스템 하드웨어(128)의 각종 컴포넌트를 연결한다. 일 실시예에서, 버스 구조(128)는, 이것으로 제한되지 않지만, 11-비트 버스, 산업 표준 아키텍처(Industrial Standard Architecture (ISA)), 마이크로-채널 아키텍처(Micro-Channel Architecture (MSA)), 확장 ISA(Extended ISA (EISA)), 지능형 드라이브 전자장치(Intelligent Drive Electronics (IDE)), VESA 로컬 버스(VESA Local Bus (VLB)), 주변 장치 상호연결(Peripheral Component Interconnect (PCI)), 범용 직렬 버스(Universal Serial Bus (USB)), 고급 그래픽스 포트(Advanced Graphics Port (AGP)), 퍼스널 컴퓨터 메모리 카드 국제 협회 버스(Personal Computer Memory Card International Association) (PCMCIA), 및 소형 컴퓨터 시스템 인터페이스(Small Computer Systems Interface (SCSI)), 고속 동기 직렬 인터페이스(High Speed Synchronous Serial Interface (HSI)), 또는 직렬 저전력 인터-칩 미디어 버스(Serial Low-power Inter-chip Media Bus (SLIMbus®)) 등을 포함하는 각종의 모든 입수 가능한 버스 아키텍처를 이용하는 메모리 버스, 주변 장치 버스 또는 외부 버스, 및/또는 로컬 버스를 포함하는 한가지 이상의 여러 유형의 버스 구조(들)일 수 있다.
전자 장치(110)는 RF 신호를 송수신하는 RF 송수신기(130), 근접장 통신(NFC) 라디오(134), 및 RF 송수신기(130)에 의해 수신된 신호를 처리하는 신호 처리 모듈(132)을 포함할 수 있다. RF 송수신기는, 예를 들면, 블루투스 또는 802.11X. IEEE 802.11a, b or g-규격 인터페이스(예를 들면, 2003년, IEEE IT 표준 - 시스템 LAN/MAN 간 통신 및 정보 교환 ~ 파트 II: 무선 LAN 매체 액세스 제어(MAC) 및 물리 계층(PHY) 사양 개정 4: 2.4 GHz 대역에서 더 높은 데이터 속도 확장, 802.11G, 을 참조할 것)와 같은 프로토콜을 통해 로컬 무선 접속을 구현할 수 있다. 무선 인터페이스의 또 다른 예는 WCDMA, LTE, 일반 패킷 무선 서비스(GPRS) 인터페이스(예를 들면, 2002년 12월, GPRS 핸드셋 요구 사항에 관한 지침, 글로벌 이동 통신 시스템/GSM 협회, Ver. 3.0.1 을 참조할 것)일 것이다.
전자 장치(110)는, 예를 들면, 키패드(136) 및 디스플레이(138)와 같은 하나 이상의 입력/출력 인터페이스를 더 포함할 수 있다. 일부 실시예에서, 전자 장치(110)는 키패드를 갖지 않을 수 있고 입력을 위해 터치 패널을 사용할 수 있다.
메모리(140)는 컴퓨팅 장치(110)의 동작을 관리하는 운영 체제(142)를 포함할 수 있다. 일 실시예에서, 운영 체제(142)는 시스템 하드웨어(120)에 인터페이스를 제공하는 하드웨어 인터페이스 모듈(154)을 포함한다. 또한, 운영 체제(140)는 컴퓨팅 장치(110)의 동작에서 사용된 파일을 관리하는 파일 시스템(150) 및 컴퓨팅 장치(11)에서 실행하는 프로세스를 관리하는 프로세스 제어 서브시스템(152)을 포함할 수 있다.
운영 체제(142)는 시스템 하드웨어(120)와 함께 동작하여 데이터 패킷 및/또는 데이터 스트림을 원격 소스로부터 송수신할 수 있는 하나 이상의 통신 인터페이스(146)를 포함(또는 관리)할 수 있다. 운영 체제(142)는 운영 체제(142)와 메모리(130) 내에 상주하는 하나 이상의 애플리케이션과의 사이에서 인터페이스를 제공하는 시스템 호 인터페이스 모듈(system call interface module)(144)을 더 포함할 수 있다. 운영 체제(142)는 UNIX 운영 체제 또는 그의 모든 파생 시스템(예를 들면, 리눅스, 안드로이드 등) 또는 Windows® 상표의 운영 체제, 또는 기타 운영 체제로서 실시될 수 있다.
전자 장치(110)는 신뢰할 수 있는 실행 엔진(trusted execution engine)(170)을 포함할 수 있다. 일부 실시예에서, 신뢰할 수 있는 실행 엔진(170)은 전자 장치(110)의 마더보드에 배치된 독립적인 집적 회로로서 구현될 수 있고, 한편 다른 실시예에서 신뢰할 수 있는 실행 엔진(170)은 동일한 SOC 다이 상의 전용 프로세서 블록으로서 구현될 수 있고, 한편 다른 실시예에서 신뢰할 수 있는 실행 엔진은 HW 보강 메커니즘(HW enforced mechanisms)을 이용하여 나머지 프로세서(들)로부터 구분된 일부 프로세서(들)(122)의 일부분에서 구현될 수 있다.
도 1에 도시된 실시예에서, 신뢰할 수 있는 실행 엔진(170)은 프로세서(172), 메모리 모듈(174), 하나 이상의 인증 모듈(들)(176), 및 I/O 모듈(178), 근접장 통신(NFC) 모듈, 네가 보는 것은 네가 뜻하는 것이다(what you see is what you sign (WYSIWYS)) 모듈 (182), 향상된 프라이버시 식별(enhanced privacy identification (EPID)) 모듈(184), 및 하나 이상의 응용 프록시(186)를 포함한다. 일부 실시예에서, 메모리 모듈(174)은 영구 플래시 메모리(persistent flash memory) 모듈을 포함할 수 있으며 각종 기능 모듈은 영구 메모리 모듈에서 인코드된 로직 명령(logic instructions), 예를 들면, 펌웨어 또는 소프트웨어으로서 구현될 수 있다. I/O 모듈(178)은 직렬 I/O 모듈 또는 병렬 I/O 모듈을 포함할 수 있다. 신뢰할 수 있는 실행 엔진(170)이 메인 프로세서(들)(122) 및 운영 체제(142)로부터 분리되어 있기 때문에, 신뢰할 수 있는 실행 엔진(170)은 안전해질 수 있다, 즉, 통상 호스트 프로세서(122)로부터 SW 공격을 개시하는 해커에게 액세스불가할 수 있다.
일부 실시예에서, 신뢰할 수 있는 실행 엔진은 네트워크 액세스 절차를 위한 인증이 구현될 수 있는 호스트 전자 장치 내에 신뢰할 수 있는 실행 환경을 규정할 수 있다. 도 2는 일부 실시예에 따른 네트워크 액세스를 위한 인증용의 예시적인 아키텍처의 하이-레벨 개략도이다. 도 2를 참조하면, 호스트 장치(210)는 신뢰할 수 없는 실행 환경 및 신뢰할 수 있는 실행 환경을 갖는 것으로서 특징지을 수 있다. 호스트 장치(210)가 전자 장치(110)로서 구현될 때, 신뢰할 수 있는 실행 환경은 신뢰할 수 있는 실행 엔진(170)에 의해 실행되고, 한편 신뢰할 수 없는 실행 환경은 시스템(100)의 메인 프로세서(들)(122) 및 운영 체제(140)에 의해 실행될 수 있다. 도 2에 도시된 바와 같이, 도 2에서 발급자(230)로서 식별된 자격보증서를 발급하는 원격 엔티티는 호스트 장치(210)의 신뢰할 수 있는 실행 환경에 저장된 자격보증서를 공급한다. 사용시, 발급된 자격보증서 및 하나 이상의 사용자 자격보증서(224)는 입력으로서 하나 이상의 인증 알고리즘(222)에 제공되며, 인증 알고리즘은 자격보증서를 처리하며 하나 이상의 신뢰 당사자(240)에게 제공될 수 있는 토큰을 생성한다. 신뢰할 수 있는 실행 환경의 무결성은 신뢰할 수 있는 실행 환경과 자격 보증서를 (220)에 발급할 수 있게 해주는 엔티티 또는 신뢰할 수 있는 실행 환경의 콘텐츠 및 알고리즘(222)에의 라이프 사이클 관리(235)와의 사이에서 배타적이고 암호에 의해 보호된 관계를 통해 유지될 수 있다.
도 3은 일부 실시예에 따른 가상의 매장 거래를 위한 예시적인 아키텍처의 더 상세한 개략도이다. 도 3에 도시된 실시예에서, 신뢰할 수 있는 실행 계층은 프로비저닝 및 라이프사이클 관리 모듈(310), 플랫폼 센서 자격보증서 모듈(320), 및 한 셋의 자격보증서 보관소(340)를 포함한다. 토큰 액세스 관리자 모듈(352)은 입력으로서 신뢰할 수 있는 실행 계층에 저장된 하나 이상의 토큰 액세스 방법 및 룰(350)을 받아들인다.
도 3에 도시된 실시예에서, 플랫폼 센서 자격보증서는 보안된 키보드 입력 경로 자격보증서(322), GPS 위치 자격보증서, 생체 자격보증서(326), 가속도계 또는 자이로스코프 자격보증서(328), 또는 멀웨어-가로채기-방지(malware-interception-resistant) 보안 스크린 입력 메커니즘 자격보증서(330) 중 하나 이상을 포함할 수 있다. 자격보증서 보관소(340)는 NFC 입력 장치(342), 하나 이상의 보안 요소(344), 및 클라우드 자격보증서 스토어 액세스 메커니즘(346)을 포함할 수 있다.
신뢰할 수 없는 실행 계층(즉, 호스트 운영 체제 계층)은 신뢰할 수 있는 실행 계층 컴포넌트들과의 통신을 용이하게 하기 위하여 하나 이상의 프록시를 실행한다. 그러므로, 신뢰할 수 없는 실행 계층은 프로비저닝 및 라이프사이클 관리 모듈(310) 및 자격보증서의 원격 발급자(230)와 신뢰할 수 있는 실행 계층을 안전하게 관리하도록 위임받은 엔티티와의 사이에서 통신을 용이하게 해주기 위해 라이프사이클 관리 프록시(360)를 유지한다. 유사하게, 호스트 프록시(362)는 신뢰할 수 없는 실행 계층에서 실행하는 하나 이상의 클라이언트 애플리케이션(380)과 토큰 액세스 매니저(352)와의 사이에서 통신을 용이하게 해준다. 영구 프록시(364)는 토큰 액세스 매니저(352)와 플랫폼 데이터 스토어(366)와의 사이에서 통신 링크를 제공한다. 클라우드 프록시(370)는 클라우드 자격보증서 스토어(250)와 클라우드 스토어 액세스 메커니즘(346)과의 사이에서 통신 링크를 제공한다.
사용 시, 시스템은 각종 소스로부터 자격보증서를 획득할 수 있다. 예를 들면, 발급자(230)는 자격보증서를 LCM 프록시(360)를 통해 시스템에게 발급할 수 있다. 발급된 자격보증서는 동적인 일회성 패스워드(one-time password (OTP)) 생성 시드, 사용자 인증서(예를 들면, 공중/개인 키 쌍으로 된 x509 인증서), 금융 정보(예를 들면, 신용 카드 정보), 또는 은행 카드 정보 등을 포함할 수 있다. 발급된 자격보증서는 자격보증서 보관소(340) 중 하나 이상의 보관소에 저장될 수 있다. 대조적으로, 플랫폼 센서 자격보증서(320)는 신뢰 당사자로부터의 요청에 응답하여 인증 프로세스 동안 실시간으로 또는 사전에 사용자로부터 획득될 수 있다. 본 기술에서 통상의 지식을 가진 자들이라면, 아래에서 기술되는 바와 같이, 플랫폼 센서 자격보증서는 신뢰 당사자가 다른 자격보증서를 요청하는 결과로서 간접적으로 요청될 수 있거나 또는 신뢰 당사자에 의해 직접적으로도 요청될 수 있다는 것을 인식할 것이다. 예로서, 생체 서명은 사용자별로 카탈로그화될 수 있어서, 인증 증명 시스템이 중앙에서 실행될 수 있다. 본 출원에서 기술된 실시예를 이용하면, 신뢰 당사자는 지문 자격보증서를 위한 플랫폼을 요청할 수도 있다. 이 플랫폼은 자신의 지문 획득 하드웨어를 이용하여 이 자격보증서를 획득하고, 이 정보를 요청 당사자/신뢰 당사자에게 반환할 것이다.
도 4는 일부 실시예에 따른 네트워크 액세스를 위한 인증용 시스템의 개략도이다. 도 4를 참조하면, 전자 장치(110)는 네트워크(440)를 통해 하나 이상의 네트워크 자원(420) 및 하나 이상의 인증 서버(430)에 결합될 수 있다. 전자 장치(110)는 원격 장치, 예를 들면, 직불/신용 또는 ID 카드(410)와의 무선 통신을 가능하게 해주는 근접장 통신(NFC) 인터페이스를 포함할 수 있다. 일부 실시예에서, 전자 장치(110)는 앞에서 전자 장치(110)를 참조하여 기술된 바와 같은 모바일 텔레폰, 태블릿, PDA, 또는 다른 모바일 컴퓨팅 장치로서 구현될 수 있다. 네트워크(440)는, 예를 들면, 인터넷과 같은 공중 통신 네트워크, 또는 사설 통신 네트워크, 또는 이들의 조합으로서 구현될 수 있다. 직불/신용 카드 또는 ID 카드(410)는 사용자를 식별하는 자기띠 데이터를 포함할 수 있다. 일부 실시예에서, 자기띠 데이터는 암호화 키를 이용하여 보호될 수 있다.
인증 서버(들)(430)는 컴퓨터 시스템으로서 구현될 수 있다. 일부 실시예에서, 서버(들)(430)는 인증 서버로서 구현될 수 있으며 보안 플랫폼을 운용하는 판매 회사(vendor) 또는 제3자에 의해 관리될 수 있다. 인증 서버(들)(430)는 판매 회사 또는 제3자 지불 시스템, 예를 들면, 거래 청산 서비스(transaction clearing service) 또는 신용 카드 서비스에 의해 운용될 수 있다.
네트워크 액세스의 인증을 위한 여러 가지 구조의 시스템 이 설명되었지만, 그러한 시스템의 동작 양태는 도 5를 참조하여 설명될 것이며, 도 5는 일부 실시예에 따른 네트워크 액세스를 위한 인증을 구현하는 방법의 동작들을 도시하는 플로우차트이다. 일부 실시예에서, 도 5의 플로우차트에 도시된 동작은 도 1에 도시된 신뢰할 수 있는 실행 엔진(170)의 각종 모듈(들)(176)에 의해, 단독으로 또는 전자 장치의 운영 체제에서 실행할 수 있는 소프트웨어 모듈과 조합하여 실행될 수 있다.
도 5를 참조하면, 일부 실시예에서, 도 5에 도시된 동작은 인증 서버(430)에 의해 제공된 제3자 인증 기능을 활용하여 사용자가 네트워크 액세스를 위한 인증을 실행할 수 있게 한다. 일부 실시예에서, 전자 장치는 도 1 내지 도 5에 도시된 바와 같은 신뢰할 수 있는 실행 엔진을 포함하는 휴대용 컴퓨팅 장치로서 구현될 수 있다. 마찬가지로, 인증 서버는 도 1 내지 도 5에 도시된 바와 같은 신뢰할 수 있는 실행 엔진을 포함하는 컴퓨팅 장치로서 구현될 수 있다. 도 5를 참조하면, 동작(510)에서, 전자 장치에 의해 인증 요청이 수신된다. 예로서, 일부 실시예에서, 인증 요청은, 예를 들면, 자기띠 데이터 카드를 전자 장치(110)에 대고 가볍게 대줌으로써 또는 그렇지 않으면 인증 애플리케이션을 실행함으로써 로그인 시퀀스를 시작하는 사용자에 의해 시작될 수 있다. 그 인증 요청에 응답하여, 신뢰할 수 있는 실행 엔진(170)의 프로세서(172)는 인증 모듈(176)을 시작한다.
동작(515)에서, 전자 장치는 근접장(NFC) 통신 링크를 통해 제3자 인증 패킷을 수신한다. 예로서, 일부 실시예에서, 인증 모듈(176)은 보안 통신 링크를 개시되게 하는 NFC 모듈(180)을 불러와서 신뢰할 수 있는 실행 엔진 상의 I/O 인터페이스를 통하여 자기띠 데이터 카드 상의 자기띠 데이터에 인코드된 식별 패킷을 검색한다. I/O 동작은 신뢰할 수 있는 실행 엔진으로부터 실행되기 때문에, 자기 띠 카드로부터 검색된 데이터는 결코 전자 장치의 운영 체제에 노출되지 않으며, 그러므로 악의적으로 액세스되는 것으로부터 안전하다.
동작(520)에서, 전자 장치는 로그인 허가를 수신한다. 예로서, 일부 실시예에서, WYSIWYS 모듈(182)은 전자 장치의 디스플레이 상에서 보안 윈도우를 열고 그 윈도우를 통해 허가 요청을 제공한다. 전자 장치의 사용자는 보안 윈도우에다 입력을 넣음으로써 허가 요청에 응답하며, 이로써 로그인 요청을 허가한다. WYSIWYS 모듈(182)은 그 입력과 연관된 핀을 생성한다.
동작(525)에서, 식별 패킷은 원격 인증 제공자에게 전송하기 위해 서명되고 보호를 위해 감싸인다. 예로서, 일부 실시예에서, 인증 모듈(176)은 EPID 모듈을 불러오며, EPID 모듈은 식별 패킷을 보호를 위해 감싸며 그 패킷이 NFC 통신 링크를 통하여 안전하게 획득되었으며 또한 WYS 핀이 WYSIWYS 모듈을 이용하여 안전하게 획득되었음을 증명하는 서명을 적용한다.
동작(530)에서, 전자 장치(110)는 감싸인 식별 패킷을 원격 인증 서버(430)에 포워드하고, 동작(535)에서 이 서버는 패킷을 수신한다. 예로서, 일부 실시예에서, 인증 모듈(176)은 식별 패킷 내 데이터를 이용하여 원격 인증 서버(430)와 단말간 보안 세션(secure end-to-end session)을 설정하여 원격 인증 제공자(430)와 함께 사용자의 계정 정보를 획득한다.
동작(540)에서, 원격 인증 제공자(430)는 인증 패킷과 함께 제공된 데이터를 이용하여 사용자를 인증하고 허가한다. 예로서, 일부 실시예에서, 원격 인증 제공자(430)는 사용자가 인증 대상이며 식별 패킷 내 데이터의 부정 사용을 검출 및/또는 금지하는 하나 이상의 사기-방어 프로세스를 수행할 수 있음을 증명한다. 원격 인증 서버(430)는 허가 응답을 전자 장치(110)에게 반환한다.
동작(545)에서, 전자 장치(110)는 허가 응답을 수신한다. 예로서, 일부 실시예에서, 이 응답은 신뢰할 수 있는 실행 엔진(170) 내 I/O 인터페이스(178)를 통해 수신되며 그러므로 전자 장치(110)의 신뢰할 수 없는 오퍼레이팅 환경에 액세스할 수 없다.
동작(550)에서, 인증 모듈(176)은 원격 인증 제공자로부터의 응답을 검토한다. 만일, 동작(550)에서, 원격 인증 서버(430)로부터의 응답이 로그인이 허가되지 않는다고 표시하면, 제어는 동작(555)으로 진행하고 로그인 절차가 종료되고 액세스가 거절된다. 반대로, 동작(550)에서, 만일 원격 인증 서버(430)로부터의 응답이 로그인이 허가된다고 표시하면, 제어는 동작(560)으로 진행하고 사용자의 로그인 정보가 검색된다. 예로서, 일부 실시예에서, 인증 모듈(176)은 네트워크 사용자 및 도메인으로부터 식별 패킷 내 데이터와 연관된 계정 정보에 이르기까지의 맵핑을 갖고 있는 로컬 데이터베이스를 검색한다.
동작(565)에서, 로그인 정보는 인증 모듈(176)로부터 호스트 프록시에 송신된다. 로그인 정보의 특정 형태는 요청된 로그인의 형태의 함수일 수 있다. 예로서, 로컬 로그인이 요청되었으면, 로컬 로그인 자격보증서가 반환된다. 대조적으로, 도메인 로그인이 요청되었으면, 도메인 로그인 자격보증서가 반환된다. 유사하게, 웹 로그인이 요청되었으면, 웹 자격보증서가 반환된다. 호스트 프록시는 적절한 백엔드 서비스와의 접속을 설정하고 자격보증서를 공급하며, 동작(570)에서 정상적인 로그인 절차가 실행될 수 있다.
일부 실시예에서, 원격 인증 서버(430)는 인증 서비스를 제공하는 제3자 서비스 제공자에 의해 관리될 수 있다. 예로서, 일부 실시예에서, 신용 카드(410)는 VISA에 의해 발급될 수 있으며 VISA 네트워크는 인증 및 사기 탐지 서비스를 제공하는데 활용될 수 있다. 본 기술에서 통상의 지식을 가진 자들이라면 대안의 서비스 제공자가 활용될 수 있음을 인식할 것이다.
그래서, 본 출원에서는 전자 장치에서 네트워크 액세스를 위한 인증을 실행하는 아키텍처 및 연관된 방법이 기술된다. 일부 실시예에서, 아키텍처는 전자 장치 플랫폼에 내장된 하드웨어 기능을 이용하여 거래-허가 당사자들에게 거래가 허가받은 개인에 의해 만들어졌다는 보장을 제공한다. 본 출원에서 기술된 실시예에서, 인증 및 지속성은 호스트 운영 체제와 별개의 신뢰할 수 있는 환경 내에서 일어나는 처리를 기반으로 한다. 실행 환경은 사용자 식별을 획득하고 증명하고 나서 식별 증명의 증명을 제공하는 신뢰할 수 있는 실행 엔진에서 구현될 수 있으며, 거래 요건을 만족시키는데 필요한 다른 요소를 제공할 수 있다. 그 결과는 이렇게 필요한 요소들의 이행을 신뢰 당사자에게 제공하는 플랫폼-발급 토큰(platform-issued token)이다. 일부 실시예에서, 신뢰할 수 있는 실행 엔진은 원격 또는 부착형 장치, 예를 들면, 동글에서 구현될 수 있다.
본 출원에서 언급된 것으로서 "로직 명령"이라는 용어는 하나 이상의 논리적 동작을 수행하기 위한 하나 이상의 머신에 의해 이해될 수 있는 표현과 관계가 있다. 예를 들면, 로직 명령은 하나 이상의 데이터 객체에서 하나 이상의 동작을 실행하기 위한 프로세서 컴파일러에 의해 해석가능한 명령을 포함할 수 있다. 그러나, 이것은 단지 머신 판독가능한 명령의 일예일 뿐이며 실시예는 이러한 관점으로 제한되지 않는다.
본 출원에서 언급된 것으로서 "컴퓨터 판독가능한 매체"라는 용어는 하나 이상의 머신에 의해 인식가능한 표현을 유지할 수 있는 매체와 관계가 있다. 예를 들면, 컴퓨터 판독가능한 매체는 컴퓨터 판독가능한 명령 또는 데이터를 저장하는 하나 이상의 저장 장치를 포함할 수 있다. 그러한 저장 장치는 예를 들면, 광, 자기 또는 반도체 저장 매체와 같은 저장 매체를 포함할 수 있다. 그러나, 이것은 단지 컴퓨터-판독가능한 매체의 일예일 뿐이며 실시예는 이런 관점으로 제한되지 않는다.
본 출원에서 언급된 것으로서 "로직"이라는 용어는 하나 이상의 논리적 연산을 수행하는 구조와 관계가 있다. 예를 들면, 로직은 하나 이상의 입력 신호에 의거하여 하나 이상의 출력 신호를 제공하는 회로를 포함할 수 있다. 그러한 회로는 디지털 입력을 수신하고 디지털 출력을 제공하는 유한 상태 머신, 또는 하나 이상의 아날로그 입력 신호에 응답하여 하나 이상의 아날로그 출력 신호를 제공하는 회로를 포함할 수 있다. 그러한 회로는 주문형 반도체(ASIC) 또는 현장 프로그램가능 게이트 어레이(FPGA) 내에 제공될 수 있다. 또한, 로직은 그러한 머신 판독가능한 명령을 실행하는 처리 회로와 조합하여 메모리에 저장된 머신-판독가능한 명령을 포함할 수 있다. 그러나, 이러한 것들은 단지 로직을 제공할 수 있는 구조의 예일 뿐이며 실시예는 이런 관점으로 제한되지 않는다.
본 출원에서 기술된 방법 중 일부는 컴퓨터-판독가능한 매체에서 로직 명령으로서 구현될 수 있다. 프로세서에서 실행될 때, 로직 명령은 프로세서가 기술된 방법을 실행하는 특수 목적 머신으로서 프로그램되게 한다. 프로세서는 본 출원에 기술된 방법을 실행하는 로직 명령에 의해 구성될 때, 기술된 방법을 수행하는 구조를 구성한다. 이와 달리, 본 출원에 기술된 방법은 예를 들면, 필드 프로그램가능 게이트 어레이(FPGA) 또는 주문형 반도체(ASIC) 상의 로직으로 축소될 수 있다.
상세한 설명과 청구범위에서, "결합된" 그리고 "연결된"이라는 용어나 그 파생어가 사용될 수 있다. 특정 실시예에서, "연결된"은 둘 이상의 요소들이 서로 직접적인 물리적 또는 전기적 접촉하는 것을 표시하는데 사용될 수 있다. "결합된"은 둘 이상의 요소가 직접 물리적 또는 전기적 접촉하고 있음을 의미한다. 그러나, "결합된"도 또한 둘 이상의 요소들이 서로 직접 접촉하여 있지 않지만, 그래도 여전히 서로 협력 또는 상호작용할 수 있다는 것을 의미할 수 있다.
명세서에서 "일 실시예" 또는 "일부 실시예"라는 언급은 실시예와 관련하여 기술된 특별한 특징, 구조 또는 특성이 적어도 구현예에 포함되어 있음을 의미한다. 명세서의 여러 곳에서 "일 실시예에서"라는 문구의 출현은 모두 동일한 실시예를 언급하는 것이거나 또는 그렇지 않을 수 있다.
비록 실시예가 구조적 특징 및/또는 방법론적 행위로 특정한 표현으로 기술되었을지라도, 청구 대상은 기술된 특정한 특징 또는 행위로 제한되지 않을 수 있음은 물론이다. 그 보다는, 특정한 특징 및 행위는 청구 대상을 구현하는 예시 형태로서 기술된다.

Claims (27)

  1. 로직을 포함하는 컨트롤러로서,
    상기 로직은,
    로그인 절차의 사용자 개시(user initiation)를 통해 액세스 인증을 위한 사용자로부터 인증 요청을 수신하고,
    상기 액세스 인증 동안에 데이터 카드를 이용한 근접장 통신 링크(near field communication link)를 통해, 원격 인증 제공자(a remote authentication provider)에 의해 생성된 식별 패킷(an identification packet)을 수신하고,
    상기 식별 패킷이 상기 근접장 통신 링크를 통해 안전하게 수신되었으며, 상기 사용자가 상기 인증 요청을 허가하였음을 증명하기 위해서 상기 식별 패킷을 서명하고,
    상기 식별 패킷을 상기 원격 인증 제공자에게 전송하고,
    상기 식별 패킷 내의 정보에 응답한 상기 원격 인증 제공자로부터의 허가(an authorization)를 수신하고,
    상기 허가의 수신 이후, 로컬 스토리지로부터 상기 식별 패킷과 연계된 로그인 정보를 탐색하고,
    상기 사용자로 하여금 상기 컨트롤러에 원격으로 연결된 네트워크 자원에 액세스하는 것을 가능하게 하도록 상기 로그인 정보를 이용하여 상기 로그인 절차를 구현하는
    컨트롤러.
  2. 제1항에 있어서,
    상기 로직은 원격 장치와 통신하는 근접장 무선 통신 인터페이스를 포함하는
    컨트롤러.
  3. 제1항에 있어서,
    개시 입력 신호를 검출하는 로직을 더 포함하는
    컨트롤러.
  4. 제3항에 있어서,
    상기 식별 패킷은 상기 원격 인증 제공자에 의해 발급된 상기 데이터 카드와 연계된 데이터를 포함하며,
    상기 개시 입력 신호는 상기 컨트롤러의 미리결정된 물리적인 근접 위치 내에 있는 상기 데이터 카드에 응답하여 생성되는
    컨트롤러.
  5. 제1항에 있어서,
    상기 컨트롤러와 상기 원격 인증 제공자 사이에서 보안 통신 채널을 생성하는 로직을 더 포함하는
    컨트롤러.
  6. 제1항에 있어서,
    상기 컨트롤러의 상기 사용자로부터 거래 허가(a transaction authorization)를 획득하는 로직을 더 포함하는
    컨트롤러.
  7. 제1항에 있어서,
    상기 컨트롤러에 결합된 전자 장치에 로그인 자격보증서(a login credential)를 제공하는 로직을 더 포함하는
    컨트롤러.
  8. 전자 장치로서,
    신뢰할 수 없는 컴퓨팅 환경을 구현하는 운영 체제를 실행하는 프로세서와,
    컨트롤러를 포함하되,
    상기 컨트롤러는,
    메모리와,
    로직 - 로그인 절차의 사용자 개시를 통해 액세스 인증을 위한 사용자로부터 인증 요청을 수신하고,
    상기 액세스 인증 동안에 데이터 카드를 이용한 근접장 통신 링크를 통해, 원격 인증 제공자에 의해 생성된 식별 패킷을 수신하고,
    상기 식별 패킷이 상기 근접장 통신 링크를 통해 안전하게 수신되었으며, 상기 사용자가 상기 인증 요청을 허가하였음을 증명하기 위해서 상기 식별 패킷을 서명하고,
    상기 식별 패킷을 상기 원격 인증 제공자에게 전송하고,
    상기 식별 패킷 내의 정보에 응답한 상기 원격 인증 제공자로부터의 허가를 수신하고,
    상기 허가의 수신 이후, 로컬 스토리지로부터 상기 식별 패킷과 연계된 로그인 정보를 탐색하고,
    상기 사용자로 하여금 상기 컨트롤러에 원격으로 연결된 네트워크 자원에 액세스하는 것을 가능하게 하도록 상기 로그인 정보를 이용하여 로그인 절차를 구현하도록 함 - 을 포함하는
    전자 장치.
  9. 제8항에 있어서,
    상기 로직은 원격 장치와 통신하는 근접장 무선 통신 인터페이스를 포함하는
    전자 장치.
  10. 제8항에 있어서,
    개시 입력 신호(an initiation inut signal)를 검출하는 로직을 더 포함하는
    전자 장치.
  11. 제10항에 있어서,
    상기 식별 패킷은 상기 원격 인증 제공자에 의해 발급된 상기 데이터 카드와 연계된 데이터를 포함하며,
    상기 개시 입력 신호는 상기 컨트롤러의 미리결정된 물리적인 근접 위치 내에 있는 상기 데이터 카드에 응답하여 생성되는
    전자 장치.
  12. 제8항에 있어서,
    상기 컨트롤러와 상기 원격 인증 제공자 사이에서 보안 통신 채널을 생성하는 로직을 더 포함하는
    전자 장치.
  13. 제8항에 있어서,
    상기 컨트롤러의 상기 사용자로부터 거래 허가(a transation authorization)를 획득하는 로직을 더 포함하는
    전자 장치.
  14. 제8항에 있어서,
    전자 장치에게 로그인 자격보증서를 제공하는 로직을 더 포함하는
    전자 장치.
  15. 액세스 인증 동안에 데이터 카드를 이용한 근접장 통신 링크를 통해, 원격 인증 제공자에 의해 생성된 식별 패킷을 수신하는 단계와,
    전자 서명을 상기 식별 패킷과 연계시키는 단계와,
    상기 식별 패킷을 상기 원격 인증 제공자에게 전송하는 단계와,
    상기 식별 패킷 내의 정보에 응답한 상기 원격 인증 제공자로부터의 허가를 수신하는 단계와,
    상기 허가에 응답하여, 로컬 데이터베이스로부터 전자 장치의 호스트 프록시(a host proxy) 내의 상기 식별 패킷과 연계된 로그인 정보를 탐색하는 단계와,
    사용자로 하여금 상기 전자 장치에 원격으로 연결된 네트워크 자원에 액세스하는 것을 가능하게 하도록 상기 로그인 정보를 이용하여 로그인 절차를 개시하는 단계를 포함하는
    방법.
  16. 제15항에 있어서,
    개시 입력 신호를 검출하는 단계를 더 포함하는
    방법.
  17. 제16항에 있어서,
    상기 식별 패킷은 상기 원격 인증 제공자에 의해 발급된 상기 데이터 카드와 연계된 데이터를 포함하며,
    상기 개시 입력 신호는 컨트롤러의 미리결정된 물리적인 근접 위치 내에 있는 상기 데이터 카드에 응답하여 생성되는
    방법.
  18. 제15항에 있어서,
    컨트롤러와 상기 원격 인증 제공자 사이에서 보안 통신 채널을 생성하는 단계를 더 포함하는
    방법.
  19. 제15항에 있어서,
    컨트롤러의 사용자로부터 거래 허가를 획득하는 단계를 더 포함하는
    방법.
  20. 삭제
  21. 로직 명령어를 포함하는 컴퓨터 판독가능 저장매체로서,
    상기 로직 명령어는, 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
    액세스 인증 동안에 데이터 카드를 이용한 근접장 통신 링크를 통해, 원격 인증 제공자에 의해 생성된 식별 패킷을 수신하고,
    전자 서명을 상기 식별 패킷과 연계시키고,
    상기 식별 패킷을 상기 원격 인증 제공자에게 전송하고,
    상기 식별 패킷 내의 정보에 응답한 상기 원격 인증 제공자로부터의 허가를 수신하고,
    상기 허가에 응답하여, 로컬 데이터베이스로부터 전자 장치의 호스트 프록시 내의 상기 식별 패킷과 연계된 로그인 정보를 탐색하고,
    사용자로 하여금 상기 전자 장치에 원격으로 연결된 네트워크 자원에 액세스하는 것을 가능하게 하도록 상기 로그인 정보를 이용하여 로그인 절차를 개시하도록 구성하는
    컴퓨터 판독가능 저장매체.
  22. 제21항에 있어서,
    원격 장치와 통신하기 위해 근접장 무선 통신 인터페이스를 구현하는 로직 명령어를 더 포함하는
    컴퓨터 판독가능 저장매체.
  23. 제21항에 있어서,
    개시 입력 신호를 검출하는 로직 명령어를 더 포함하는
    컴퓨터 판독가능 저장매체.
  24. 제23항에 있어서,
    상기 식별 패킷은 상기 원격 인증 제공자에 의해 발급된 상기 데이터 카드와 연계된 데이터를 포함하며,
    상기 개시 입력 신호는 컨트롤러의 미리결정된 물리적인 근접 위치 내에 있는 상기 데이터 카드에 응답하여 생성되는
    컴퓨터 판독가능 저장매체.
  25. 제24항에 있어서,
    상기 전자 장치와 상기 원격 인증 제공자 사이에서 보안 통신 채널을 생성하는 로직 명령어를 더 포함하는
    컴퓨터 판독가능 저장매체.
  26. 삭제
  27. 삭제
KR1020147017998A 2011-12-28 2011-12-28 네트워크 액세스 관련 애플리케이션의 인증 KR101700171B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2011/067532 WO2013100954A1 (en) 2011-12-28 2011-12-28 Authentication for network access related applications

Publications (2)

Publication Number Publication Date
KR20140104983A KR20140104983A (ko) 2014-08-29
KR101700171B1 true KR101700171B1 (ko) 2017-01-26

Family

ID=48698197

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147017998A KR101700171B1 (ko) 2011-12-28 2011-12-28 네트워크 액세스 관련 애플리케이션의 인증

Country Status (6)

Country Link
US (2) US9391967B2 (ko)
EP (1) EP2807792B1 (ko)
JP (1) JP5927681B2 (ko)
KR (1) KR101700171B1 (ko)
CN (1) CN104012034B (ko)
WO (1) WO2013100954A1 (ko)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5927681B2 (ja) 2011-12-28 2016-06-01 インテル・コーポレーション ネットワークアクセスに関連したアプリケーションのための認証
US9578664B1 (en) 2013-02-07 2017-02-21 Sprint Communications Company L.P. Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system
US9602500B2 (en) 2013-12-20 2017-03-21 Intel Corporation Secure import and export of keying material
GB201408539D0 (en) * 2014-05-14 2014-06-25 Mastercard International Inc Improvements in mobile payment systems
US9686240B1 (en) 2015-07-07 2017-06-20 Sprint Communications Company L.P. IPv6 to IPv4 data packet migration in a trusted security zone
US9749294B1 (en) * 2015-09-08 2017-08-29 Sprint Communications Company L.P. System and method of establishing trusted operability between networks in a network functions virtualization environment
US10542115B1 (en) 2015-10-01 2020-01-21 Sprint Communications Company L.P. Securing communications in a network function virtualization (NFV) core network
US9811686B1 (en) 2015-10-09 2017-11-07 Sprint Communications Company L.P. Support systems interactions with virtual network functions in a trusted security zone
US9781016B1 (en) 2015-11-02 2017-10-03 Sprint Communications Company L.P. Dynamic addition of network function services
WO2018013089A1 (en) * 2016-07-12 2018-01-18 Hewlett-Packard Development Company, L.P. Credential for a service
US10250498B1 (en) 2016-10-03 2019-04-02 Sprint Communications Company L.P. Session aggregator brokering of data stream communication
US10348488B1 (en) 2017-08-25 2019-07-09 Sprint Communications Company L.P. Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network
WO2019100150A1 (en) * 2017-11-24 2019-05-31 Elsi Inc. Devices, systems, and methods for securely storing and managing sensitive information
US10601828B2 (en) * 2018-08-21 2020-03-24 HYPR Corp. Out-of-band authentication based on secure channel to trusted execution environment on client device
US10939295B1 (en) 2018-08-21 2021-03-02 HYPR Corp. Secure mobile initiated authentications to web-services
US11178148B2 (en) 2018-08-21 2021-11-16 HYPR Corp. Out-of-band authentication to access web-service with indication of physical access to client device
US11057366B2 (en) 2018-08-21 2021-07-06 HYPR Corp. Federated identity management with decentralized computing platforms
JP2022508010A (ja) * 2018-10-02 2022-01-19 キャピタル・ワン・サービシーズ・リミテッド・ライアビリティ・カンパニー 非接触カードの暗号化認証のためのシステムおよび方法
US11876798B2 (en) * 2019-05-20 2024-01-16 Citrix Systems, Inc. Virtual delivery appliance and system with remote authentication and related methods
CN110635916B (zh) * 2019-09-30 2022-07-12 四川虹微技术有限公司 基于tee的安全应用认证方法
US20220108004A1 (en) * 2020-10-06 2022-04-07 T-Mobile Usa, Inc. Trusted execution environment (tee) detection of systemic malware in a computing system that hosts the tee
US11847205B1 (en) 2020-10-26 2023-12-19 T-Mobile Innovations Llc Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035604A1 (en) * 2008-10-21 2011-02-10 Habraken G Wouter Dual-Interface Key Management
WO2011057007A2 (en) * 2009-11-04 2011-05-12 Visa International Service Association Verification of portable consumer devices for 3-d secure services

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7889052B2 (en) * 2001-07-10 2011-02-15 Xatra Fund Mx, Llc Authorizing payment subsequent to RF transactions
KR20010025234A (ko) * 2000-11-09 2001-04-06 김진삼 지문정보를 이용한 카드거래 인증방법 및 그 시스템
KR20040087690A (ko) * 2003-04-07 2004-10-15 주식회사 씨크롭 지문정보를 이용한 신용거래 시스템 및 방법
CN1707493A (zh) * 2004-06-04 2005-12-14 创群科技股份有限公司 传送动态密码的交易确认方法及系统
US20060183462A1 (en) * 2005-02-11 2006-08-17 Nokia Corporation Managing an access account using personal area networks and credentials on a mobile device
JP2006277199A (ja) * 2005-03-29 2006-10-12 Fujitsu Ltd 配達物管理システムおよび配達物保管庫
US8112787B2 (en) * 2005-12-31 2012-02-07 Broadcom Corporation System and method for securing a credential via user and server verification
WO2007145687A1 (en) 2006-02-21 2007-12-21 Weiss Kenneth P Method and apparatus for secure access payment and identification
JP4499678B2 (ja) * 2006-03-08 2010-07-07 三菱電機インフォメーションシステムズ株式会社 複数端末利用者認証システム、認証サーバ及び認証統合端末
US8116734B2 (en) * 2006-08-22 2012-02-14 Verizon Patent And Licensing Inc. Party identification in a wireless network
JP2008217626A (ja) * 2007-03-07 2008-09-18 Fuji Xerox Co Ltd サービス提供システム及びサービス提供プログラム
US20080307223A1 (en) * 2007-06-08 2008-12-11 Brickell Ernest F Apparatus and method for issuer based revocation of direct proof and direct anonymous attestation
GB2457062A (en) * 2008-02-01 2009-08-05 Iti Scotland Ltd Tag reader / writer process partitioned for execution between secure and non-secure processing environments
US8214890B2 (en) 2008-08-27 2012-07-03 Microsoft Corporation Login authentication using a trusted device
JP2010198341A (ja) * 2009-02-25 2010-09-09 Fujitsu Fsas Inc 認証処理プログラム及び装置
JP2010238090A (ja) * 2009-03-31 2010-10-21 West Japan Railway Co 認証システム及び認証方法
JP5927681B2 (ja) 2011-12-28 2016-06-01 インテル・コーポレーション ネットワークアクセスに関連したアプリケーションのための認証

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035604A1 (en) * 2008-10-21 2011-02-10 Habraken G Wouter Dual-Interface Key Management
WO2011057007A2 (en) * 2009-11-04 2011-05-12 Visa International Service Association Verification of portable consumer devices for 3-d secure services

Also Published As

Publication number Publication date
EP2807792A1 (en) 2014-12-03
CN104012034B (zh) 2018-02-06
JP5927681B2 (ja) 2016-06-01
CN104012034A (zh) 2014-08-27
JP2015509234A (ja) 2015-03-26
US10083445B2 (en) 2018-09-25
EP2807792A4 (en) 2015-11-11
US20140259115A1 (en) 2014-09-11
EP2807792B1 (en) 2018-07-04
US9391967B2 (en) 2016-07-12
US20160247162A1 (en) 2016-08-25
WO2013100954A1 (en) 2013-07-04
KR20140104983A (ko) 2014-08-29

Similar Documents

Publication Publication Date Title
KR101700171B1 (ko) 네트워크 액세스 관련 애플리케이션의 인증
KR101614643B1 (ko) 확장성 보안 실행
KR101805476B1 (ko) 가상의 판매시점관리
KR101938445B1 (ko) 신뢰성 있는 서비스 상호작용
US9602492B2 (en) Privacy enhanced key management for a web service provider using a converged security engine
US8656455B1 (en) Managing data loss prevention policies
US20120167194A1 (en) Client hardware authenticated transactions
JP6172549B2 (ja) ネットワークアクセスに関連したアプリケーションのための認証

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
E90F Notification of reason for final refusal
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant