KR101808146B1 - 인증 크리덴셜의 보안 프로비저닝 - Google Patents

인증 크리덴셜의 보안 프로비저닝 Download PDF

Info

Publication number
KR101808146B1
KR101808146B1 KR1020177004232A KR20177004232A KR101808146B1 KR 101808146 B1 KR101808146 B1 KR 101808146B1 KR 1020177004232 A KR1020177004232 A KR 1020177004232A KR 20177004232 A KR20177004232 A KR 20177004232A KR 101808146 B1 KR101808146 B1 KR 101808146B1
Authority
KR
South Korea
Prior art keywords
client
authentication
client information
encrypted
access point
Prior art date
Application number
KR1020177004232A
Other languages
English (en)
Other versions
KR20170043531A (ko
Inventor
올리비에 진 베노이트
피어라폴 틴나코른스리수팝
Original Assignee
퀄컴 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 퀄컴 인코포레이티드 filed Critical 퀄컴 인코포레이티드
Publication of KR20170043531A publication Critical patent/KR20170043531A/ko
Application granted granted Critical
Publication of KR101808146B1 publication Critical patent/KR101808146B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Abstract

클라이언트 디바이스를 안전하게 프로비저닝하기 위한 기술들이 설명된다. 클라이언트 디바이스는 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스로 출력할 수 있다. 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보가 인증 서버에 송신될 수 있다. 인증 서버는 제 2 클라이언트 정보와 제 1 클라이언트 정보를 링크할 수 있다. 클라이언트 디바이스는 인증 서버로부터 암호화된 인증 크리덴셜을 수신할 수 있다. 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화될 수 있다. 클라이언트 디바이스는 암호화된 인증 크리덴셜을 제 1 클라이언트 정보, 제 2 클라이언트 정보 또는 공유 비밀키를 사용하여 복호화할 수 있다.

Description

인증 크리덴셜의 보안 프로비저닝{SECURE PROVISIONING OF AN AUTHENTICATION CREDENTIAL}
[0001] 본 특허출원은 "Secure Provisioning of an Authentication Credential"이라는 명칭으로 Benoit 등에 의해 2014년 8월 18일자 출원되었으며 본 출원의 양수인에게 양도된 미국 특허출원 제14/462,272호에 대한 우선권을 주장한다.
[0002] 본 개시는 일반적으로 무선 통신 시스템들에 관한 것으로, 보다 구체적으로는 액세스 포인트와의 보안 무선 통신에 관한 것이다.
[0003] 무선 통신 시스템들은, 음성, 비디오, 패킷 데이터, 메시징, 브로드캐스트 등과 같은 다양한 타입들의 통신 콘텐츠를 제공하도록 폭넓게 전개된다. 이러한 시스템들은, 이용 가능한 시스템 자원들(예를 들어, 시간, 주파수 및 전력)을 공유함으로써 다수의 사용자들과의 통신을 지원할 수 있는 다중 액세스 시스템들일 수 있다. 이러한 다중 액세스 시스템들의 예들은 코드 분할 다중 액세스(CDMA: code-division multiple access) 시스템들, 시분할 다중 액세스(TDMA: time-division multiple access) 시스템들, 주파수 분할 다중 액세스(FDMA: frequency-division multiple access) 시스템들 및 직교 주파수 분할 다중 액세스(OFDMA: orthogonal frequency-division multiple access) 시스템들을 포함한다.
[0004] 일반적으로, 무선 다중 액세스 통신 시스템은 다수의 모바일 디바이스들에 대한 통신을 각각이 동시에 지원하는 다수의 기지국들을 포함할 수 있다. 기지국들은 다운스트림 및 업스트림 링크들 상에서 모바일 디바이스들과 통신할 수 있다.
[0005] Wi-Fi 보호 액세스 II(WPA2: Wi-Fi Protected Access II) 엔터프라이즈 프로토콜은 Wi-Fi 네트워크들에 대해 높은 수준의 보안을 제공하지만, WPA2 엔터프라이즈 접속에 의해 액세스 포인트에 접속하도록 클라이언트 디바이스를 구성하는 것은 복잡한 프로세스이다. 네트워크 인증 서버에 의해 지원되는 확장 가능 인증 프로토콜(EAP: Extensible Authentication Protocol) 방법에 따라, 서로 다른 타입들의 크리덴셜들이 클라이언트 디바이스에 프로비저닝된다. 이러한 프로비저닝은 일반적으로 네트워크 관리자에 의해 수동으로 수행되는데, 이는 시간 소모적인 프로세스이다. 추가로, 네트워크 관리자는 네트워크의 상위 계층들을 사용하여 프로비저닝을 수행할 수 있다. 그러나 네트워크의 상위 계층들로부터 프로비저닝된 크리덴셜들은 소프트웨어 공격들을 받을 수 있다.
[0006] 설명되는 특징들은 일반적으로, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 개선된 시스템들, 방법들 및/또는 장치들에 관한 것이다. 클라이언트 디바이스의 제 1 클라이언트 정보가 신뢰할 수 있는 디바이스를 통해 인증 서버에 송신될 수 있다. 제 2 클라이언트 정보가 액세스 포인트를 통해 인증 서버에 송신될 수 있다. 클라이언트 정보는 클라이언트 공개키 또는 클라이언트 공개키로부터 도출된 토큰을 포함할 수 있다. 인증 서버는 제 1 클라이언트 정보와 제 2 클라이언트 정보 사이에 링크가 존재하는지 여부를 결정할 수 있다. 링크가 결정된다면, 인증 서버는 클라이언트 공개키 또는 공유 비밀키로 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 도출될 수 있다. 암호화된 인증 크리덴셜은 액세스 포인트를 통해 클라이언트 디바이스에 송신될 수 있다. 클라이언트 디바이스는 다음에, 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 또는 공유 비밀키를 사용하여 복호화할 수 있다. 그 다음, 클라이언트 디바이스는 인증 크리덴셜을 사용해 인증 프로시저를 수행하여 보안 무선 접속으로 액세스 포인트에 접속할 수 있다.
[0007] 예시적인 예들의 제 1 세트에서, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법이 설명된다. 일례로, 이 방법은 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스로 출력하는 단계, 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 인증 서버에 송신하는 단계 ― 제 2 클라이언트 정보는 인증 서버에 의해 제 1 클라이언트 정보에 링크됨 ―, 인증 서버로부터 암호화된 인증 크리덴셜을 수신하는 단계 ― 암호화된 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―, 및 암호화된 인증 크리덴셜을 복호화하는 단계를 포함할 수 있다.
[0008] 이 방법의 일부 예들에서, 제 1 클라이언트 정보는 클라이언트 공개키를 포함할 수 있고, 제 2 클라이언트 정보는 클라이언트 식별을 포함할 수 있는데, 클라이언트 식별은 클라이언트 공개키로부터 도출된다. 이 방법의 일부 예들에서, 암호화된 인증 크리덴셜은 제 1 클라이언트 정보에서 송신된 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 암호화된 인증 크리덴셜은 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화된다. 이 방법의 일부 예들에서, 제 1 클라이언트 정보는 클라이언트 인증 토큰을 포함할 수 있고, 제 2 클라이언트 정보는 클라이언트 공개키를 포함할 수 있는데, 클라이언트 인증 토큰은 클라이언트 공개키로부터 도출된다. 이 방법의 일부 예들에서, 암호화된 인증 크리덴셜은 제 2 클라이언트 정보에서 송신된 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 암호화된 인증 크리덴셜은 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화된다.
[0009] 일부 예들에서, 이 방법은 인증 서버와 공유 비밀키를 교환하는 단계를 포함할 수 있으며, 여기서 암호화된 인증 크리덴셜은 공유 비밀키에 적어도 부분적으로 기초하여 복호화된다. 일부 예들에서, 이 방법은 복호화된 인증 크리덴셜을 사용하여 인증 프로시저를 완료함으로써 인증 서버와 연관된 액세스 포인트에 접속하는 단계를 포함할 수 있다. 이 방법의 일부 예들에서, 인증 프로시저는 전기 전자 기술자 협회(IEEE: Institute of Electrical and Electronics Engineers) 802.1X 확장 가능 인증 프로토콜을 포함할 수 있으며, 액세스 포인트에 접속하는 것은 Wi-Fi 보호 액세스 II(WPA2) 엔터프라이즈 접속을 포함할 수 있다. 이 방법의 일부 예들에서, 보안 인터페이스는 제 1 클라이언트 정보를 수동으로 입력하는 것, 제 1 클라이언트 정보의 신속 대응(QR: Quick Response) 코드를 스캔하는 것, 대역 외 무선 채널(예를 들어 NFC, 블루투스)을 통해 제 1 클라이언트 정보를 송신하는 것, 또는 이들의 결합을 포함한다. 일부 예들에서, 이 방법은 신뢰할 수 있는 디바이스로부터 서버 인증 토큰을 수신하는 단계 ― 서버 인증 토큰은 인증 서버에 의해 인증 크리덴셜로부터 도출됨 ―, 및 수신된 서버 인증 토큰이 복호화된 인증 크리덴셜로부터 도출된 토큰과 매칭함을 검증하는 단계를 포함할 수 있다.
[0010] 예시적인 예들의 제 2 세트에서, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치가 설명된다. 일례로, 장치는 프로세서, 프로세서와 전자 통신하는 메모리, 및 메모리에 저장된 명령들을 포함할 수 있다. 명령들은, 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스로 출력하고, 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 인증 서버에 송신하고 ― 제 2 클라이언트 정보는 인증 서버에 의해 제 1 클라이언트 정보에 링크됨 ―, 인증 서버로부터 암호화된 인증 크리덴셜을 수신하고 ― 암호화된 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―, 그리고 암호화된 인증 크리덴셜을 복호화하도록 프로세서에 의해 실행 가능할 수 있다. 일부 예들에서, 명령들은 또한 예시적인 예들의 제 1 세트에 대해 앞서 설명한, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법의 하나 또는 그보다 많은 양상들을 구현하도록 프로세서에 의해 실행 가능할 수 있다.
[0011] 예시적인 예들의 제 3 세트에서, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 다른 장치가 설명된다. 일례로, 이 장치는 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스로 출력하기 위한 보안 인터페이스, 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 인증 서버에 송신하기 위한 송신기 ― 제 2 클라이언트 정보는 인증 서버에 의해 제 1 클라이언트 정보에 링크됨 ―, 인증 서버로부터 암호화된 인증 크리덴셜을 수신하기 위한 수신기 ― 암호화된 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―, 및 암호화된 인증 크리덴셜을 복호화하기 위한 인증자를 포함할 수 있다. 일부 예들에서, 이 장치는 예시적인 예들의 제 1 세트에 대해 앞서 설명한, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법의 하나 또는 그보다 많은 양상들을 추가로 구현할 수 있다.
[0012] 예시적인 예들의 제 4 세트에서, 무선 통신을 위한 컴퓨터 실행 가능 코드를 저장하는 비-일시적 컴퓨터 판독 가능 매체가 설명된다. 코드는, 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스로 출력하고, 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 인증 서버에 송신하고 ― 제 2 클라이언트 정보는 인증 서버에 의해 제 1 클라이언트 정보에 링크됨 ―, 인증 서버로부터 암호화된 인증 크리덴셜을 수신하고 ― 암호화된 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―, 그리고 암호화된 인증 크리덴셜을 복호화하도록 프로세서에 의해 실행 가능할 수 있다. 일부 예들에서, 코드는 또한 예시적인 예들의 제 1 세트에 대해 앞서 설명한, 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법의 하나 또는 그보다 많은 양상들을 구현하도록 프로세서에 의해 실행 가능할 수 있다.
[0013] 설명되는 방법들 및 장치들의 적용 가능성의 추가 범위는 다음의 상세한 설명, 청구항들 및 도면들로부터 명백해질 것이다. 설명의 범위 내의 다양한 변형들 및 개조들이 해당 기술분야에서 통상의 지식을 가진 자들에게 명백해질 것이므로, 상세한 설명 및 특정 예들은 단지 예시로만 주어진다.
[0014] 다음 도면들을 참조로 본 개시의 특성 및 이점들의 추가적인 이해가 실현될 수 있다. 첨부된 도면들에서, 유사한 컴포넌트들 또는 피처들은 동일한 참조 부호를 가질 수 있다. 추가로, 동일한 타입의 다양한 컴포넌트들은, 참조 라벨 다음에 대시기호 및 유사한 컴포넌트들 사이를 구별하는 제 2 라벨에 의해 구별될 수 있다. 명세서에서 제 1 참조 부호만 사용된다면, 설명은 제 2 참조 부호와 관계없이 동일한 제 1 참조 부호를 갖는 유사한 컴포넌트들 중 임의의 한 컴포넌트에 적용 가능하다.
[0015] 도 1은 무선 통신 시스템의 블록도를 보여준다.
[0016] 도 2a, 도 2b 및 도 2c는 다양한 실시예들에 따른 클라이언트 디바이스를 예시하는 블록도들을 보여준다.
[0017] 도 3a, 도 3b 및 도 3c는 다양한 실시예들에 따른 신뢰할 수 있는 디바이스를 예시하는 블록도들을 보여준다.
[0018] 도 4a, 도 4b 및 도 4c는 다양한 실시예들에 따른 액세스 포인트를 예시하는 블록도들을 보여준다.
[0019] 도 5는 다양한 실시예들에 따른 인증 서버를 예시하는 블록도를 보여준다이다.
[0020] 도 6은 클라이언트 디바이스, 신뢰할 수 있는 디바이스, 액세스 포인트 그리고 인증 서버 사이의 통신들의 일례를 예시하는 메시지 흐름도를 보여준다.
[0021] 도 7은 클라이언트 디바이스, 신뢰할 수 있는 디바이스, 액세스 포인트 그리고 인증 서버 사이의 통신들의 다른 예를 예시하는 메시지 흐름도를 보여준다.
[0022] 도 8은 클라이언트 디바이스, 신뢰할 수 있는 디바이스, 액세스 포인트 그리고 인증 서버 사이의 통신들의 다른 예를 예시하는 메시지 흐름도를 보여준다.
[0023] 도 9는 액세스 포인트에 안전하게 접속하기 위해 클라이언트 디바이스에 의해 수행되는 방법의 실시예를 예시하는 흐름도를 보여준다.
[0024] 도 10은 클라이언트 디바이스를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스에 의해 수행되는 방법의 실시예를 예시하는 흐름도를 보여준다.
[0025] 도 11은 클라이언트 디바이스에 안전하게 접속하기 위해 액세스 포인트에 의해 수행되는 방법의 실시예를 예시하는 흐름도를 보여준다.
[0026] 도 12는 클라이언트 디바이스를 인증하기 위해 인증 서버에 의해 수행되는 방법의 실시예를 예시하는 흐름도를 보여준다.
[0027] 도 13은 액세스 포인트에 안전하게 접속하기 위해 클라이언트 디바이스에 의해 수행되는 방법의 대안적인 실시예를 예시하는 흐름도를 보여준다.
[0028] 도 14는 클라이언트 디바이스를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스에 의해 수행되는 방법의 대안적인 실시예를 예시하는 흐름도를 보여준다.
[0029] 도 15는 클라이언트 디바이스를 인증하기 위해 인증 서버에 의해 수행되는 방법의 대안적인 실시예를 예시하는 흐름도를 보여준다.
[0030] 도 16은 액세스 포인트에 안전하게 접속하기 위해 클라이언트 디바이스에 의해 수행되는 방법의 대안적인 실시예를 예시하는 흐름도를 보여준다.
[0031] 도 17은 클라이언트 디바이스를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스에 의해 수행되는 방법의 대안적인 실시예를 예시하는 흐름도를 보여준다.
[0032] 도 18은 인증 크리덴셜에 의해 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법의 실시예를 예시하는 흐름도를 보여준다.
[0033] 클라이언트 디바이스가 액세스 포인트와의 보안 무선 접속을 위한 필수 크리덴셜들이 안전하게 프로비저닝될 수 있게 하는 실시예들이 설명된다. 필수 크리덴셜들은 클라이언트 디바이스의 사용자 또는 액세스 포인트의 관리자로부터의 최소 수동 입력으로 클라이언트 디바이스 상에 프로비저닝된다.
[0034] 무선 네트워크들은 인터넷 액세스 및 다른 서비스들을 위해 더 작은 로컬 네트워크들과 함께 점점 더 많이 사용되고 있다. Wi-Fi는 이러한 로컬 네트워크들의 일례이다. Wi-Fi는 전자 디바이스가 고속 인터넷 접속들을 포함하여 컴퓨터 네트워크를 통해 무선으로(예를 들어, 무선파들을 사용하여) 데이터를 교환할 수 있게 하는 대중적인 기술이다. Wi-Fi 얼라이언스는 "전기 전자 기술자 협회(IEEE) 802.11 표준들을 기반으로 한 임의의 무선 근거리 네트워크(WLAN: wireless local area network) 제품"으로서 Wi-Fi를 정의한다.
[0035] IEEE 802.11 표준을 기반으로 한 Wi-Fi 기술들은 Wi-Fi 얼라이언스에 의해 시행된다. 이는 무선 근거리 네트워크(WLAN) 접속들, (Wi-Fi 다이렉트로도 또한 알려진 Wi-Fi 피어 투 피어와 같은) 디바이스 간 접속, 개인 영역 네트워크(PAN: personal area network), 근거리 네트워크(LAN) 그리고 심지어는, IEEE 802.11의 버전들 및 Wi-Fi 얼라이언스에 의해 커버되는 어떤 제한적 광역 네트워크(WAN: wide area network) 접속들을 포함한다.
[0036] Wi-Fi LAN에 접속하기 위해, 컴퓨터 또는 다른 디바이스에는 무선 네트워크 인터페이스 제어기가 장착된다. 무선 네트워크 인터페이스 제어기와 컴퓨터 또는 다른 디바이스의 결합은 스테이션으로서 알려질 수 있다. 스테이션들은 단일 무선 주파수 통신 채널을 공유한다. 이 채널 상에서의 송신은 범위 내의 스테이션들에 의해 수신된다. 하드웨어는 송신이 전달되었음을 사용자에게 시그널링하지 않으며, 따라서 전달 메커니즘은 "최선 노력" 전달 메커니즘으로 알려져 있다. 반송파는 데이터를 "이더넷 프레임들"로 지칭될 수 있는 패킷들로 송신한다. 스테이션은 이용 가능한 송신들을 수신하기 위해 무선 주파수 통신 채널에 대해 일정하게 튜닝된다.
[0037] Wi-Fi 가능 디바이스는 무선 네트워크 범위 내에 있을 때 인터넷이나 다른 자원에 접속할 수 있다. Wi-Fi는 개인 주택들, 커피숍들 및 다른 비즈니스들, 병원들, 그리고 공항들, 호텔들 등과 같은 조직들에서 서비스를 제공할 수 있다.
[0038] Wi-Fi는 LAN들을 위한 보다 저가의 네트워크 전개의 이점을 제공하며, 옥외 영역들 및 역사적 건물들과 같이 케이블들이 연결될 수 없는 곳에서 흔히 사용된다. 가장 최근의 소비자 디바이스들은 무선 네트워크 어댑터들을 포함하고 있어, 기술의 사용을 발전시키는 데 도움이 된다.
[0039] 다음 설명은 예들을 제공하며, 청구항들에 제시된 범위, 적용 가능성 또는 구성의 한정이 아니다. 본 개시의 범위를 벗어나지 않으면서 논의되는 엘리먼트들의 기능 및 배치에 변경들이 이루어질 수 있다. 다양한 실시예들은 다양한 절차들 또는 컴포넌트들을 적절히 생략, 치환 또는 추가할 수 있다. 예컨대, 설명되는 방법들은 설명되는 것과 상이한 순서로 수행될 수도 있고, 다양한 단계들이 추가, 생략 또는 조합될 수도 있다. 또한, 특정 실시예들에 관해 설명되는 특징들은 다른 실시예들로 조합될 수도 있다.
[0040] 도 1은 본 개시의 다양한 양상들에 따른 무선 통신 시스템(100)의 블록도를 보여준다. 무선 통신 시스템(100)은 액세스 포인트(105), 다수의 클라이언트 디바이스들(115), 신뢰할 수 있는 디바이스(125) 및 인증 서버(140)를 포함한다. 액세스 포인트(105)는 무선 접속들(130)을 통해 클라이언트 디바이스들(115)과 통신할 수 있다. 액세스 포인트(105)는 네트워크 접속(132)을 통해 인증 서버(140)와 통신할 수 있다. 네트워크 접속(132)은 유선 또는 무선 통신 링크일 수 있다.
[0041] 신뢰할 수 있는 디바이스(125)는 예를 들어, 사용자의 컴퓨터 또는 인증 서버(140)에 접속되는 다른 관리 디바이스일 수 있다. 신뢰할 수 있는 디바이스(125)는 클라이언트 디바이스(115)의 인증에 관여하도록 인증 서버(140)에 의해 허가될 수 있다. 신뢰할 수 있는 디바이스(125)는 보안 인터페이스(135)를 포함할 수 있다. 보안 인터페이스(135)는 클라이언트 디바이스들(115)로부터의 데이터를 안전하게 입력하고 클라이언트 디바이스들(115)로 안전하게 데이터를 출력할 수 있다. 신뢰할 수 있는 디바이스(125)는 네트워크 접속(132)을 통해 인증 서버(140)와 직접적으로 또는 간접적으로 통신할 수 있다. 네트워크 접속(132)은 유선 또는 무선 접속일 수 있으며, 네트워크 접속(132)을 통한 통신들은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105)를 통해 라우팅될 수 있다.
[0042] 클라이언트 디바이스(115)는 보안 인터페이스(135)를 통해 신뢰할 수 있는 디바이스(125)에 제 1 클라이언트 정보를 출력할 수 있다. 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 인증 토큰을 포함할 수 있다. 신뢰할 수 있는 디바이스(125)는 다음에, 네트워크 접속(132)을 통해 인증 서버(140)로 제 1 클라이언트 정보를 송신할 수 있다. 클라이언트 디바이스(115)는 무선 접속(130)을 통해 액세스 포인트(105)로 제 2 클라이언트 정보를 송신할 수 있고, 액세스 포인트(105)는 네트워크 접속(132)을 통해 인증 서버(140)로 제 2 클라이언트 정보를 송신할 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 식별(ID)을 포함할 수 있다. 그 다음, 인증 서버(140)는 제 1 클라이언트 정보를 제 2 클라이언트 정보에 링크하여 클라이언트 디바이스(115)가 허가된 디바이스임을 결정할 수 있다. 인증 서버(140)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로 수신된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 클라이언트 디바이스(115)와 인증 서버(140)는 예를 들어, Diffie-Hellman 키 교환을 사용하여 공유 비밀키를 교환할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 암호화된 인증 크리덴셜은 액세스 포인트(105)를 통해 클라이언트 디바이스(115)에 송신될 수 있고, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 인증 서버(140)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 그 다음, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜을 사용하여 액세스 포인트(105) 및 인증 서버(140)와 인증 프로시저를 수행할 수 있다. 인증 프로시저를 완료한 후, 클라이언트 디바이스(115)는 보안 무선 접속으로 액세스 포인트(105)에 접속할 수 있다.
[0043] 무선 통신 시스템(100)은 다수의 반송파들(상이한 주파수들의 파형 신호들) 상에서의 동작을 지원할 수 있다. 다중 반송파 송신기들은 변조된 신호들을 다수의 반송파들 상에서 동시에 송신할 수 있다. 예를 들어, 각각의 무선 접속(130)은 다양한 무선 기술들에 따라 변조된 다중 반송파 신호일 수도 있다. 각각의 변조된 신호는 서로 다른 반송파 상에서 전송될 수 있으며, 제어 정보(예컨대, 기준 신호들, 제어 채널들 등), 오버헤드 정보, 사용자 데이터 등을 전달할 수 있다.
[0044] 액세스 포인트(105)는 적어도 하나의 액세스 포인트 안테나를 통해 클라이언트 디바이스들(115)과 무선으로 통신할 수 있다. 일부 실시예들에서, 액세스 포인트(105)는 기지국 트랜시버(BTS: base transceiver station), 무선 기지국, 무선 트랜시버, 기본 서비스 세트(BSS: basic service set), 확장 서비스 세트(ESS: extended service set), NodeB, 진화형 NodeB(eNB: evolved NodeB), 홈 NodeB, 홈 eNodeB, WLAN 액세스 포인트, Wi-Fi 노드, 또는 다른 어떤 적당한 전문용어로 지칭될 수도 있다. 액세스 포인트(105)는 또한 셀룰러 및/또는 WLAN 무선 액세스 기술들과 같은 서로 다른 무선 기술들을 이용할 수 있다. 액세스 포인트(105)는 동일한 또는 서로 다른 액세스 네트워크들 또는 운영자 전개들과 연관될 수도 있다.
[0045] 클라이언트 디바이스들(115)은 무선 통신 시스템(100) 전역에 분산될 수 있으며, 각각의 클라이언트 디바이스(115)는 고정적일 수도 있고 또는 이동할 수도 있다. 클라이언트 디바이스(115)는 또한 해당 기술분야에서 통상의 지식을 가진 자들에 의해 모바일 디바이스, 이동국, 가입자국, 모바일 유닛, 가입자 유닛, 무선 유닛, 원격 유닛, 무선 디바이스, 무선 통신 디바이스, 원격 디바이스, 모바일 가입자국, 액세스 단말, 모바일 단말, 무선 단말, 원격 단말, 핸드셋, 사용자 에이전트, 모바일 클라이언트, 클라이언트, 또는 다른 어떤 적당한 전문용어로 지칭될 수도 있다. 클라이언트 디바이스(115)는 셀룰러폰, 개인용 디지털 보조기기(PDA: personal digital assistant), 무선 모뎀, 무선 통신 디바이스, 핸드헬드 디바이스, 태블릿 컴퓨터, 랩톱 컴퓨터, 코드리스 전화, 시계나 안경과 같은 웨어러블 아이템, 무선 로컬 루프(WLL: wireless local loop) 스테이션 등일 수도 있다. 클라이언트 디바이스(115)는 매크로 eNB들, 피코 eNB들, 펨토 eNB들, 중계기들 등과 통신 가능할 수도 있다. 클라이언트 디바이스(115)는 또한 셀룰러 또는 다른 WWAN 액세스 네트워크들, 또는 WLAN 액세스 네트워크들과 같은 다른 액세스 네트워크들을 통해 통신하는 것이 가능할 수도 있다.
[0046] 무선 통신 시스템(100)에 도시된 무선 접속들(130)은 (예를 들어, 클라이언트 디바이스(115)로부터 액세스 포인트(105)로의) 업링크(UL: uplink) 송신들을 전달하기 위한 업링크들 또는 (예를 들어, 액세스 포인트(105)로부터 클라이언트 디바이스(115)로의) 다운링크(DL: downlink) 송신들을 전달하기 위한 다운링크들을 포함할 수도 있다. UL 송신들은 또한 역방향 링크 송신들로 지칭될 수도 있는 한편, DL 송신들은 또한 순방향 링크 송신들로 지칭될 수도 있다.
[0047] 이제 도 2a를 참조하면, 블록도(200-a)는 다양한 실시예들에 따른 클라이언트 디바이스(115-a)를 예시한다. 클라이언트 디바이스(115-a)는 도 1을 참조로 설명된 클라이언트 디바이스들(115)의 적어도 하나의 양상의 일례일 수 있다. 클라이언트 디바이스(115-a)는 클라이언트 디바이스 입력(205), 클라이언트 디바이스 인증자(210) 및 클라이언트 디바이스 출력(215)을 포함할 수 있다. 이러한 컴포넌트들 각각은 서로 통신할 수도 있다.
[0048] 클라이언트 디바이스(115-a)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC: application-specific integrated circuit)들을 사용하여 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA: Field Programmable Gate Array)들 및 다른 반주문(Semi-Custom) IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0049] 클라이언트 디바이스 출력(215)은 클라이언트 디바이스(115-a)로부터 도 1에 도시된 시스템(100)의 신뢰할 수 있는 디바이스(125) 및 액세스 포인트(105)와 같은 다른 디바이스들로 통신들을 전송할 수 있다. 클라이언트 디바이스 입력(205)은 신뢰할 수 있는 디바이스(125) 및 액세스 포인트(105)와 같은 다른 디바이스들로부터 통신들을 수신할 수 있다. 클라이언트 디바이스 인증자(210)는 인증, 암호화, 복호화, 및 액세스 포인트(105)에 대한 클라이언트 디바이스(115-a)의 접속의 인증 및 보안에 수반되는 다른 동작들을 수행할 수 있다. 클라이언트 디바이스(115-a) 또는 클라이언트 디바이스 인증자(210)는 이러한 기능을 수행하기 위한 프로세서를 포함할 수 있다.
[0050] 도 2b는 다양한 실시예들에 따른 클라이언트 디바이스(115-b)를 예시하는 블록도(200-b)이다. 클라이언트 디바이스(115-b)는 도 1 및/또는 도 2a를 참조로 설명된 클라이언트 디바이스들(115)의 적어도 하나의 양상의 일례일 수 있다. 클라이언트 디바이스(115-b)는 클라이언트 디바이스 입력(205-a), 클라이언트 디바이스 인증자(210-a) 및 클라이언트 디바이스 출력(215-a)을 포함할 수 있다. 이러한 컴포넌트들 각각은 서로 통신할 수 있다.
[0051] 클라이언트 디바이스(115-b)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들을 사용하여 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0052] 클라이언트 디바이스 입력(205-a), 클라이언트 디바이스 인증자(210-a) 및 클라이언트 디바이스 출력(215-a)은 도 2a를 참조로 앞서 설명한 바와 같이 동작들을 수행하도록 구성될 수 있다. 클라이언트 디바이스 입력(205-a)은 무선 수신기(220) 및 보안 인터페이스 입력(225)을 포함할 수 있다. 클라이언트 디바이스 출력(215-a)은 무선 송신기(245) 및 보안 인터페이스 출력(250)을 포함할 수 있다. 클라이언트 디바이스 인증자(210-a)는 클라이언트 정보 생성기(230), 서버 인증자(235) 및 네트워크 인증자(240)를 포함할 수 있다.
[0053] 무선 수신기(220), 보안 인터페이스 입력(225), 무선 송신기(245) 및 보안 인터페이스 출력(250)은 도 1에 도시된 시스템(100)의 액세스 포인트(105) 및 신뢰할 수 있는 디바이스(125)와 통신할 수 있다. 무선 수신기(220)는 액세스 포인트(105)로부터 통신들을 수신할 수 있다. 무선 송신기(245)는 액세스 포인트(105)에 통신들을 송신할 수 있다. 보안 인터페이스 입력(225)은 신뢰할 수 있는 디바이스(125)의 보안 인터페이스(135)로부터의 통신들을 입력할 수 있다. 보안 인터페이스 입력(225)은 예를 들어, 텍스트 입력 인터페이스, 신속 대응(QR) 코드 판독기, 또는 근접장 통신(NFC: near-field communication) 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 포함할 수 있다. 보안 인터페이스 입력(250)은 신뢰할 수 있는 디바이스(125)의 보안 인터페이스(135)로 통신들을 출력할 수 있다. 보안 인터페이스 출력(250)은 예를 들어, 텍스트 또는 QR 코드를 디스플레이하기 위한 디스플레이, 또는 NFC 출력 또는 블루투스 출력과 같은 대역 외 무선 출력을 포함할 수 있다.
[0054] 클라이언트 정보 생성기(230)는 본 명세서에서 설명되는 바와 같이 클라이언트 정보를 생성하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 서버 인증자(235)는 본 명세서에서 설명되는 바와 같이 인증 서버(140)의 아이덴티티를 인증하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 네트워크 인증자(240)는 본 명세서에서 설명되는 바와 같이 클라이언트 디바이스(115-b)와 액세스 포인트(105) 간의 접속을 인증하고 안전하게 하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 클라이언트 정보 생성기(230), 서버 인증자(235) 및 네트워크 인증자(240)는 이러한 동작들의 실행시 클라이언트 디바이스 입력(205-a) 및 클라이언트 디바이스 출력(215-a)과 협력할 수 있다. 클라이언트 디바이스(115-b) 또는 클라이언트 디바이스 인증자(210-a)는 이러한 기능을 수행하기 위한 프로세서를 포함할 수 있다.
[0055] 도 2c는 다양한 실시예들에 따라 클라이언트 디바이스(115-c)를 예시하는 블록도(200-c)이다. 클라이언트 디바이스(115-c)는 도 1, 도 2a 및/또는 도 2b를 참조로 설명된 클라이언트 디바이스들(115)의 적어도 하나의 양상의 일례일 수 있다. 클라이언트 디바이스(115-c)는 개인용 컴퓨터들(예를 들어, 랩톱 컴퓨터들, 넷북 컴퓨터들, 태블릿 컴퓨터들 등), 셀룰러 전화들, PDA들, 디지털 비디오 레코더(DVR)들, 인터넷 기기들, 게임 콘솔들, e-리더들 등과 같은 다양한 구성들 중 임의의 구성을 가질 수 있다. 클라이언트 디바이스(115-c)는 모바일 동작을 가능하게 하기 위해 소형 배터리와 같은 (도시되지 않은) 내부 전원을 가질 수 있다.
[0056] 도시된 구성에서, 클라이언트 디바이스(115-c)는 클라이언트 디바이스 프로세서(255), 클라이언트 디바이스 메모리(260), 클라이언트 디바이스 입력/출력(270), 보안 인터페이스(275) 및 클라이언트 디바이스 안테나들(280)을 포함하며, 이들 각각은 (예를 들어, 버스들(285)을 통해) 서로 직접 또는 간접적으로 통신할 수 있다. 클라이언트 디바이스 입력/출력(270)은 앞서 설명한 바와 같이, 보안 인터페이스(275) 및 클라이언트 디바이스 안테나(들)(280)와 양방향으로 통신하도록 구성된다. 예를 들어, 클라이언트 디바이스 입력/출력(270)은 도 1, 도 2a 및/또는 도 2b의 액세스 포인트(105) 및 신뢰할 수 있는 디바이스(125)와 양방향으로 통신하도록 구성될 수 있다. 클라이언트 디바이스 입력/출력(270)은 앞서 설명한 바와 같이, 도 2a 및/또는 도 2b의 클라이언트 디바이스 입력(205) 및 클라이언트 디바이스 출력(215), 그리고/또는 도 2b의 무선 수신기(220) 및 무선 송신기(245)를 포함할 수 있다. 일 실시예에서, 클라이언트 디바이스 입력/출력(270)은 패킷들을 변조하고 변조된 패킷들을 송신을 위해 클라이언트 디바이스 안테나(들)(280)에 제공하도록, 그리고 클라이언트 디바이스 안테나(들)(280)로부터 수신된 패킷들을 복조하도록 구성된 모뎀을 더 포함할 수 있다. 클라이언트 디바이스(115-c)는 단일 안테나를 포함할 수 있는 한편, 클라이언트 디바이스(115-c)는 통상적으로 다수의 링크들에 대한 다수의 안테나들(280)을 포함할 수 있다.
[0057] 클라이언트 디바이스 메모리(260)는 랜덤 액세스 메모리(RAM: random access memory) 및 판독 전용 메모리(ROM: read-only memory)를 포함할 수 있다. 클라이언트 디바이스 메모리(260)는, 실행될 때 클라이언트 디바이스 프로세서(255)로 하여금, 본 명세서에 설명된 다양한 기능들(예를 들어, 인증, 도출, 암호화, 복호화, 수신, 송신 등)을 수행하게 하도록 구성되는 명령들을 포함하는 컴퓨터 판독 가능한 컴퓨터 실행 가능 소프트웨어 코드(265)를 저장할 수 있다. 대안으로, 소프트웨어(265)는 클라이언트 디바이스 프로세서(255)에 의해 직접 실행 가능할 수 있는 것이 아니라, (예를 들어, 컴파일 및 실행될 때) 클라이언트 디바이스로 하여금, 본 명세서에서 설명된 기능들을 수행하게 하도록 구성될 수 있다. 클라이언트 디바이스 프로세서(255)는 지능형 하드웨어 디바이스, 예를 들면 중앙 처리 유닛(CPU: central processing unit), 마이크로컨트롤러, 주문형 집적 회로(ASIC) 등을 포함할 수도 있다.
[0058] 클라이언트 디바이스 인증자(210-b)는 버스(285)를 통해 클라이언트 디바이스(115-c)의 다른 컴포넌트들 중 일부 또는 전부와 통신하는 클라이언트 디바이스(115-c)의 컴포넌트일 수 있다. 대안으로, 클라이언트 디바이스 인증자(210-b)의 기능은 클라이언트 디바이스 입력/출력(270)의 컴포넌트로서, 컴퓨터 프로그램 제품으로서, 그리고/또는 클라이언트 디바이스 프로세서(255)의 제어기 엘리먼트들로서 구현될 수 있다. 클라이언트 디바이스 인증자(210-b)는 도 2a 및/또는 도 2b를 참조로 설명된 클라이언트 디바이스 인증자들(210) 중 하나에 대한 적어도 하나의 양상의 일례일 수 있다.
[0059] 클라이언트 디바이스(115-c)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 적어도 하나의 주문형 집적 회로(ASIC)들을 사용하여 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서에 의해 실행되도록 포맷화되어 메모리에 포함되는 명령들로 구현될 수도 있다. 언급된 컴포넌트들 각각은 본 명세서에서 설명된 바와 같이 클라이언트 디바이스(115-c)의 동작과 관련된 기능들을 수행하기 위한 수단일 수 있다.
[0060] 이제 도 3a를 참조하면, 블록도(300-a)는 다양한 실시예들에 따른 신뢰할 수 있는 디바이스(125-a)를 예시한다. 신뢰할 수 있는 디바이스(125-a)는 도 1을 참조로 설명된 신뢰할 수 있는 디바이스들(125)의 적어도 하나의 양상의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-a)는 신뢰할 수 있는 디바이스 입력(305) 및 신뢰할 수 있는 디바이스 출력(310)을 포함할 수 있으며, 이들은 서로 통신할 수 있다.
[0061] 신뢰할 수 있는 디바이스(125-a)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0062] 신뢰할 수 있는 디바이스 출력(310)은 신뢰할 수 있는 디바이스(125-a)로부터 도 1에 도시된 시스템(100)의 클라이언트 디바이스들(115) 및 인증 서버(140)와 같은 다른 디바이스들로 통신들을 전송할 수 있다. 신뢰할 수 있는 디바이스 입력(305)은 클라이언트 디바이스들(115) 및 인증 서버(140)와 같은 다른 디바이스들로부터 통신들을 수신할 수 있다. 신뢰할 수 있는 디바이스(125-a)는 이러한 기능을 수행하기 위한 프로세서를 포함할 수 있다.
[0063] 도 3b는 다양한 실시예들에 따른 신뢰할 수 있는 디바이스(125-b)를 예시하는 블록도(300-b)이다. 신뢰할 수 있는 디바이스(125-b)는 도 1 및/또는 도 3a를 참조로 설명된 신뢰할 수 있는 디바이스(125)의 적어도 하나의 양상의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-b)는 신뢰할 수 있는 디바이스 입력(305-a) 및 신뢰할 수 있는 디바이스 출력(310-a)을 포함할 수 있으며, 이들은 서로 통신할 수 있다.
[0064] 신뢰할 수 있는 디바이스(125-b)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들을 사용하여 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0065] 신뢰할 수 있는 디바이스 입력(305-a) 및 신뢰할 수 있는 디바이스 출력(310-a)은 도 3a를 참조로 앞서 설명한 바와 같이 동작들을 수행하도록 구성될 수 있다. 신뢰할 수 있는 디바이스 입력(305-a)은 네트워크 입력(315) 및 보안 인터페이스 입력(320)을 포함할 수 있다. 신뢰할 수 있는 디바이스 출력(310-a)은 네트워크 출력(325) 및 보안 인터페이스 출력(330)을 포함할 수 있다.
[0066] 네트워크 입력(315), 보안 인터페이스 입력(320), 네트워크 출력(325) 및 보안 인터페이스 출력(330)은 도 1에 도시된 시스템(100)의 클라이언트 디바이스들(115) 및 인증 서버(140)와 통신할 수 있다. 네트워크 입력(315)은 인증 서버(140)로부터 통신들을 직접적으로 또는 간접적으로 수신할 수 있다. 예를 들어, 네트워크 입력(315)은 인증 서버(140)와의 네트워크 접속(132)으로부터 직접 인증 서버(140)로부터 통신들을 수신할 수 있다. 대안으로 또는 추가로, 네트워크 입력(315)은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105)를 통해 처음 라우팅되는 네트워크 접속(132)을 통한 통신들을 수신할 수 있다. 따라서 네트워크 입력(315)은 유선 또는 무선 인터페이스를 포함할 수 있다.
[0067] 보안 인터페이스 입력(320) 및 보안 인터페이스 출력(330)은 도 1에 도시된 보안 인터페이스(135)의 컴포넌트일 수 있다. 보안 인터페이스 입력(320)은 도 2b를 참조로 설명된 클라이언트 디바이스(115-b)의 보안 인터페이스 출력(250), 및/또는 도 2c를 참조로 설명된 클라이언트 디바이스(115-c)의 보안 인터페이스(275)로부터의 통신들을 입력할 수 있다. 보안 인터페이스 입력(320)은 예를 들어, 텍스트 입력 인터페이스, 신속 대응(QR) 코드 판독기, 또는 NFC 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 포함할 수 있다. 보안 인터페이스 출력(330)은 도 2b를 참조로 설명된 클라이언트 디바이스(115-b)의 보안 인터페이스 입력(225), 및/또는 도 2c를 참조로 설명된 클라이언트 디바이스(115-c)의 보안 인터페이스(275)로 통신들을 출력할 수 있다. 보안 인터페이스 출력(330)은 예를 들어, 텍스트 또는 QR 코드를 디스플레이하기 위한 디스플레이, 또는 NFC 출력 또는 블루투스 출력과 같은 대역 외 무선 출력을 포함할 수 있다.
[0068] 도 3c는 다양한 실시예들에 따라 신뢰할 수 있는 디바이스(125-c)를 예시하는 블록도(300-c)이다. 신뢰할 수 있는 디바이스(125-c)는 도 1, 도 3a 및/또는 도 3b를 참조로 설명된 신뢰할 수 있는 디바이스(125)의 적어도 하나의 양상의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-c)는 개인용 컴퓨터들(예를 들어, 랩톱 컴퓨터들, 넷북 컴퓨터들, 태블릿 컴퓨터들 등), 셀룰러 전화들, PDA들, 디지털 비디오 레코더(DVR)들, 인터넷 기기들, 게임 콘솔들, e-리더들 등과 같은 다양한 구성들 중 임의의 구성을 가질 수 있다. 신뢰할 수 있는 디바이스(125-c)는 모바일 동작을 가능하게 하기 위해 소형 배터리와 같은 (도시되지 않은) 내부 전원을 가질 수 있다.
[0069] 도시된 구성에서, 신뢰할 수 있는 디바이스(125-c)는 신뢰할 수 있는 디바이스 프로세서(335), 신뢰할 수 있는 디바이스 메모리(340), 신뢰할 수 있는 디바이스 입력/출력(350), 보안 인터페이스(135-a) 및 신뢰할 수 있는 디바이스 네트워크 인터페이스(360)를 포함하며, 이들 각각은 (예를 들어, 버스(365)를 통해) 서로 직접 또는 간접적으로 통신할 수 있다. 보안 인터페이스(135-a)는 도 1을 참조로 설명된 보안 인터페이스(135)의 적어도 하나의 양상의 일례일 수 있다. 신뢰할 수 있는 디바이스 입력/출력(350)은 앞서 설명한 바와 같이, 보안 인터페이스(135) 및 신뢰할 수 있는 디바이스 네트워크 인터페이스(360)와 양방향으로 통신하도록 구성된다. 예를 들어, 신뢰할 수 있는 디바이스 입력/출력(350)은 도 1, 도 2a, 도 2b, 도 2c, 도 3a 및/또는 도 3b의 클라이언트 디바이스(115) 및 인증 서버(140)와 양방향으로 통신하도록 구성될 수 있다. 신뢰할 수 있는 디바이스 입력/출력(350)은 앞서 설명한 바와 같이, 도 3a 및/또는 도 3b의 신뢰할 수 있는 디바이스 입력(305) 및 신뢰할 수 있는 디바이스 출력(310)을 포함할 수 있다. 일 실시예에서, 신뢰할 수 있는 디바이스 입력/출력(350)은 패킷들을 변조하고 변조된 패킷들을 송신을 위해 신뢰할 수 있는 디바이스 네트워크 인터페이스(360)에 제공하도록, 그리고 신뢰할 수 있는 디바이스 네트워크 인터페이스(360)로부터 수신된 패킷들을 복조하도록 구성된 모뎀을 더 포함할 수 있다. 신뢰할 수 있는 디바이스 네트워크 인터페이스(360)는 유선 접속들을 위한 적어도 하나의 포트 및/또는 무선 접속들을 위한 적어도 하나의 안테나를 포함할 수 있다.
[0070] 신뢰할 수 있는 디바이스 메모리(340)는 랜덤 액세스 메모리(RAM) 및 판독 전용 메모리(ROM)를 포함할 수 있다. 신뢰할 수 있는 디바이스 메모리(340)는, 실행될 때 신뢰할 수 있는 디바이스 프로세서(335)로 하여금, 본 명세서에 설명된 다양한 기능들(예를 들어, 인증, 도출, 암호화, 복호화, 수신, 송신 등)을 수행하게 하도록 구성되는 명령들을 포함하는 컴퓨터 판독 가능한 컴퓨터 실행 가능 소프트웨어 코드(345)를 저장할 수 있다. 대안으로, 소프트웨어(345)는 신뢰할 수 있는 디바이스 프로세서(335)에 의해 직접 실행 가능할 수 있는 것이 아니라, (예를 들어, 컴파일 및 실행될 때) 신뢰할 수 있는 디바이스로 하여금, 본 명세서에서 설명된 기능들을 수행하게 하도록 구성될 수 있다. 신뢰할 수 있는 디바이스 프로세서(335)는 지능형 하드웨어 디바이스, 예를 들면 중앙 처리 유닛(CPU), 마이크로컨트롤러, 주문형 집적 회로(ASIC) 등을 포함할 수도 있다.
[0071] 신뢰할 수 있는 디바이스(125-c)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 포함되는 명령들로 구현될 수도 있다. 언급된 컴포넌트들 각각은 본 명세서에서 설명된 바와 같이 신뢰할 수 있는 디바이스(125-c)의 동작과 관련된 기능들을 수행하기 위한 수단일 수 있다.
[0072] 이제 도 4a를 참조하면, 블록도(400-a)는 다양한 실시예들에 따른 액세스 포인트(105-a)를 예시한다. 액세스 포인트(105-a)는 도 1을 참조로 설명된 액세스 포인트(105)의 적어도 하나의 양상의 일례일 수 있다. 액세스 포인트(105-a)는 액세스 포인트 수신기(405), 액세스 포인트 네트워크 인증자(410) 및 액세스 포인트 송신기(415)를 포함할 수 있다. 이러한 컴포넌트들 각각은 서로 통신할 수도 있다.
[0073] 액세스 포인트(105-a)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0074] 액세스 포인트 송신기(415)는 액세스 포인트(105-a)로부터 도 1에 도시된 시스템(100)의 클라이언트 디바이스(115) 및 인증 서버(140)와 같은 다른 디바이스들로 통신들을 전송할 수 있다. 액세스 포인트 수신기(405)는 클라이언트 디바이스(115) 및 인증 서버(140)와 같은 다른 디바이스들로부터 통신들을 수신할 수 있다. 액세스 포인트 네트워크 인증자(410)는 인증, 암호화, 복호화, 및 액세스 포인트(105-a)에 대한 클라이언트 디바이스(115-a)의 접속의 인증 및 보안에 수반되는 다른 동작들을 수행할 수 있다. 액세스 포인트(105-a) 또는 액세스 포인트 네트워크 인증자(410)는 이러한 기능을 수행하기 위한 프로세서를 포함할 수 있다.
[0075] 도 4b는 다양한 실시예들에 따른 액세스 포인트(105-b)를 예시하는 블록도(400-b)이다. 액세스 포인트(105-b)는 도 1 및/또는 도 4a를 참조로 설명된 액세스 포인트(105)의 적어도 하나의 양상의 일례일 수 있다. 액세스 포인트(105-b)는 액세스 포인트 수신기(405-a), 액세스 포인트 네트워크 인증자(410-a) 및 액세스 포인트 송신기(415-a)를 포함할 수 있다. 이러한 컴포넌트들 각각은 서로 통신할 수 있다.
[0076] 액세스 포인트(105-b)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 저장되는 명령들로 구현될 수도 있다.
[0077] 액세스 포인트 수신기(405-a), 액세스 포인트 네트워크 인증자(410-a) 및 액세스 포인트 송신기(415-a)는 도 4a를 참조로 앞서 설명한 바와 같이 동작들을 수행하도록 구성될 수 있다. 액세스 포인트 수신기(405-a)는 무선 수신기(420) 및 네트워크 수신기(425)를 포함할 수 있다. 액세스 포인트 송신기(415-a)는 무선 송신기(430) 및 네트워크 송신기(435)를 포함할 수 있다.
[0078] 무선 수신기(420), 네트워크 수신기(425), 무선 송신기(430) 및 네트워크 송신기(435)는 도 1에 도시된 시스템(100)의 클라이언트 디바이스들(115) 및 인증 서버(140)와 통신할 수 있다. 무선 수신기(420)는 클라이언트 디바이스들(115)로부터 통신들을 수신할 수 있다. 무선 송신기(430)는 클라이언트 디바이스들(115)에 통신들을 송신할 수 있다. 네트워크 수신기(425)는 네트워크 접속(132)을 통해 인증 서버(140)로부터 통신들을 수신할 수 있다. 네트워크 송신기(435)는 네트워크 접속(132)을 통해 인증 서버(140)로부터 통신들을 수신할 수 있다. 네트워크 접속(132)은 유선 또는 무선 통신 링크일 수 있다.
[0079] 액세스 포인트 네트워크 인증자(410-a)는 본 명세서에서 설명되는 바와 같이 클라이언트 디바이스들(115)과 액세스 포인트(105-b) 간의 접속을 인증하고 안전하게 하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 액세스 포인트 네트워크 인증자(410-a)는 이러한 동작들의 실행시 액세스 포인트 수신기(405-a) 및 액세스 포인트 송신기(415-a)와 협력할 수 있다. 액세스 포인트(105-b) 또는 액세스 포인트 네트워크 인증자(410-a)는 이러한 기능을 수행하기 위한 프로세서를 포함할 수 있다.
[0080] 도 4c는 다양한 실시예들에 따라 액세스 포인트(105-c)를 예시하는 블록도(400-c)이다. 액세스 포인트(105-c)는 도 1, 도 4a 및/또는 도 4b를 참조로 설명된 액세스 포인트(105)의 적어도 하나의 양상의 일례일 수 있다. 도시된 구성에서, 액세스 포인트(105-c)는 액세스 포인트 네트워크 인터페이스(440), 액세스 포인트 메모리(445), 액세스 포인트 프로세서(455), 적어도 하나의 액세스 포인트 트랜시버(460) 및 적어도 하나의 액세스 포인트 안테나(465)를 포함하며, 이들 각각은 (예를 들어, 버스(470)를 통해) 서로 직접 또는 간접적으로 통신할 수 있다. 액세스 포인트 트랜시버(들)(460)는 앞서 설명한 바와 같이, 액세스 포인트 네트워크 인터페이스(440) 및 액세스 포인트 안테나(들)(465)와 양방향으로 통신하도록 구성된다. 예를 들어, 액세스 포인트 트랜시버(들)(460)는 액세스 포인트 안테나(들)(465)를 통해 도 1, 도 2a, 도 2b 및/또는 도 2c의 클라이언트 디바이스들(115)과 양방향으로 통신하도록 구성될 수 있다. 추가로, 액세스 포인트 트랜시버(들)(460)는 액세스 포인트 네트워크 인터페이스(440)를 통해 인증 서버(140-a)와 양방향으로 통신하도록 구성될 수 있다. 인증 서버(140-a)는 도 1을 참조로 설명된 인증 서버(140)의 적어도 하나의 양상의 일례일 수 있다. 액세스 포인트 네트워크 인터페이스(440)는 인증 서버(140-a)와의 통신을 위한 유선 및/또는 무선 인터페이스를 포함할 수 있다.
[0081] 액세스 포인트 트랜시버(들)(460)는 앞서 설명한 바와 같이, 도 4a 및/또는 도 4b의 액세스 포인트 수신기(405) 및 액세스 포인트 송신기(415)를 포함할 수 있다. 일 실시예에서, 액세스 포인트 트랜시버(들)는 패킷들을 변조하고 변조된 패킷들을 송신을 위해 액세스 포인트 안테나(들)(465) 및/또는 액세스 포인트 네트워크 인터페이스(440)에 제공하도록, 그리고 액세스 포인트 안테나(들)(465) 및/또는 액세스 포인트 네트워크 인터페이스(440)로부터 수신된 패킷들을 복조하도록 구성된 모뎀을 더 포함할 수 있다. 액세스 포인트(105-c)는 단일 안테나를 포함할 수 있는 한편, 액세스 포인트(105-c)는 통상적으로 다수의 링크들에 대한 다수의 안테나들(465)을 포함할 수 있다.
[0082] 액세스 포인트 메모리(445)는 랜덤 액세스 메모리(RAM) 및 판독 전용 메모리(ROM)를 포함할 수 있다. 액세스 포인트 메모리(445)는, 실행될 때 액세스 포인트 프로세서(455)로 하여금, 본 명세서에 설명된 다양한 기능들(예를 들어, 인증, 도출, 암호화, 복호화, 수신, 송신 등)을 수행하게 하도록 구성되는 명령들을 포함하는 컴퓨터 판독 가능한 컴퓨터 실행 가능 소프트웨어 코드(450)를 저장할 수 있다. 대안으로, 소프트웨어(450)는 액세스 포인트 프로세서(455)에 의해 직접 실행 가능할 수 있는 것이 아니라, (예를 들어, 컴파일 및 실행될 때) 액세스 포인트로 하여금, 본 명세서에서 설명된 기능들을 수행하게 하도록 구성될 수 있다. 액세스 포인트 프로세서(455)는 지능형 하드웨어 디바이스, 예를 들면 중앙 처리 유닛(CPU), 마이크로컨트롤러, 주문형 집적 회로(ASIC) 등을 포함할 수도 있다.
[0083] 액세스 포인트 네트워크 인증자(410-b)는 버스(470)를 통해 액세스 포인트(105-c)의 다른 컴포넌트들 중 일부 또는 전부와 통신하는 액세스 포인트(105-c)의 컴포넌트일 수 있다. 대안으로, 액세스 포인트 네트워크 인증자(410-b)의 기능은 액세스 포인트 트랜시버(들)(460)의 컴포넌트로서, 컴퓨터 프로그램 제품으로서, 그리고/또는 액세스 포인트 프로세서(455)의 제어기 엘리먼트들로서 구현될 수 있다. 액세스 포인트 네트워크 인증자(410-b)는 도 4a 및/또는 도 4b를 참조로 설명된 액세스 포인트 네트워크 인증자들(410) 중 하나에 대한 적어도 하나의 양상의 일례일 수 있다.
[0084] 액세스 포인트(105-c)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 포함되는 명령들로 구현될 수도 있다. 언급된 컴포넌트들 각각은 본 명세서에서 설명된 바와 같이 액세스 포인트(105-c)의 동작과 관련된 기능들을 수행하기 위한 수단일 수 있다.
[0085] 도 5는 다양한 실시예들에 따라 인증 서버(140-b)를 예시하는 블록도(500)이다. 인증 서버(140-b)는 도 1을 참조로 설명된 인증 서버(140)의 적어도 하나의 양상의 일례일 수 있다. 도시된 구성에서, 인증 서버(140-b)는 인증 서버 네트워크 인터페이스(505), 인증 서버 메모리(510), 인증 서버 프로세서(515), 클라이언트 디바이스 인증자(520) 및 네트워크 인증자(525)를 포함하며, 이들 각각은 (예를 들어, 버스(530)를 통해) 서로 직접 또는 간접적으로 통신할 수 있다. 인증 서버 네트워크 인터페이스(505)는 액세스 포인트(105-d) 및 신뢰할 수 있는 디바이스(125-d)와 양방향으로 통신하도록 구성될 수 있다. 액세스 포인트(105-d) 및 신뢰할 수 있는 디바이스(125-d)는 도 1, 도 3a, 도 3b, 도 3c, 도 4a, 도 4b 및/또는 도 4c를 참조로 설명된 액세스 포인트(105) 및 신뢰할 수 있는 디바이스(125)의 적어도 하나의 양상의 일례일 수 있다. 인증 서버 네트워크 인터페이스(505)는 액세스 포인트(105-d) 및 신뢰할 수 있는 디바이스(125-d)와의 통신을 위한 유선 및/또는 무선 인터페이스를 포함할 수 있다. 일 실시예에서, 인증 서버 네트워크 인터페이스(505)는 송신할 패킷들을 변조하도록 그리고 수신된 패킷들을 복조하도록 구성된 모뎀을 더 포함할 수 있다.
[0086] 인증 서버 메모리(510)는 랜덤 액세스 메모리(RAM) 및 판독 전용 메모리(ROM)를 포함할 수 있다. 인증 서버 메모리(510)는, 실행될 때 인증 서버 프로세서(515)로 하여금, 본 명세서에 설명된 다양한 기능들(예를 들어, 인증, 도출, 암호화, 복호화, 수신, 송신 등)을 수행하게 하도록 구성되는 명령들을 포함하는 컴퓨터 판독 가능한 컴퓨터 실행 가능 소프트웨어 코드(535)를 저장할 수 있다. 대안으로, 소프트웨어(535)는 인증 서버 프로세서(515)에 의해 직접 실행 가능할 수 있는 것이 아니라, (예를 들어, 컴파일 및 실행될 때) 인증 서버로 하여금, 본 명세서에서 설명된 기능들을 수행하게 하도록 구성될 수 있다. 인증 서버 프로세서(515)는 지능형 하드웨어 디바이스, 예를 들면 중앙 처리 유닛(CPU), 마이크로컨트롤러, 주문형 집적 회로(ASIC) 등을 포함할 수도 있다.
[0087] 클라이언트 디바이스 인증자(520)는 본 명세서에서 설명되는 바와 같이 클라이언트 디바이스들(115)의 아이덴티티를 인증하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 네트워크 인증자(525)는 본 명세서에서 설명되는 바와 같이 클라이언트 디바이스들(115)과 액세스 포인트(105) 간의 접속을 인증하고 안전하게 하기 위한 다양한 동작들을 실행하도록 구성될 수 있다. 클라이언트 디바이스 인증자(520) 및 네트워크 인증자(525)는 버스(530)를 통해 인증 서버(140-b)의 다른 컴포넌트들 중 일부 또는 전부와 통신할 수 있다. 대안으로, 클라이언트 디바이스 인증자(520) 및 네트워크 인증자(525)의 기능은 컴퓨터 프로그램 제품으로서 그리고/또는 인증 서버 프로세서(515)의 제어기 엘리먼트들로서 구현될 수 있다.
[0088] 인증 서버(140-b)의 컴포넌트들은 적용 가능한 기능들 중 일부 또는 전부를 하드웨어에서 수행하도록 적응된 주문형 집적 회로(ASIC)들로 개별적으로 또는 집합적으로 구현될 수 있다. 대안으로, 기능들은 집적 회로들 상에서 다른 처리 유닛들(또는 코어들)에 의해 수행될 수도 있다. 다른 실시예들에서는, 다른 타입들의 집적 회로들(예를 들어, 구조화된/플랫폼 ASIC들, 필드 프로그래밍 가능 게이트 어레이(FPGA)들 및 다른 반주문 IC들)이 사용될 수도 있고, 이들은 해당 기술분야에 공지된 임의의 방식으로 프로그래밍될 수도 있다. 각각의 유닛의 기능들은 또한 전체적으로 또는 부분적으로, 범용 또는 주문형 프로세서들에 의해 실행되도록 포맷화되어 메모리에 포함되는 명령들로 구현될 수도 있다. 언급된 컴포넌트들 각각은 본 명세서에서 설명된 바와 같이 인증 서버(140-b)의 동작과 관련된 기능들을 수행하기 위한 수단일 수 있다.
[0089] 도 6은 클라이언트 디바이스(115-d), 신뢰할 수 있는 디바이스(125-d), 액세스 포인트(105-d) 그리고 인증 서버(140-d) 사이의 통신들의 일례를 예시하는 메시지 흐름도(600)이다. 클라이언트 디바이스(115-d)는 도 1, 도 2a, 도 2b 및/또는 도 2c를 참조로 설명된 클라이언트 디바이스들(115)의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-d)는 도 1, 도 3a, 도 3b 및/또는 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스(125)의 일례일 수 있다. 액세스 포인트(105-d)는 도 1, 도 4a, 도 4b 및/또는 도 4c를 참조로 설명된 액세스 포인트(105)의 일례일 수 있다. 인증 서버(140-d)는 도 1 및/또는 도 5를 참조로 설명된 인증 서버(140)의 일례일 수 있다.
[0090] 한 구성에서, 클라이언트 디바이스(115-d)는 신뢰할 수 있는 디바이스(125-d)에 제 1 클라이언트 정보를 출력하도록 트리거될 수 있다(도 6에 605로 표시됨). 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 인증 토큰을 포함할 수 있다. 클라이언트 인증 토큰은 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 문자열일 수 있다. 클라이언트 인증 토큰은 클라이언트 디바이스(115-d)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-d)의 디스플레이 상에 텍스트로서 제 1 클라이언트 정보를 디스플레이하거나, 클라이언트 디바이스(115-d)의 디스플레이 상에 QR 코드로서 제 1 클라이언트 정보를 디스플레이하거나, 또는 NFC 또는 블루투스와 같은 대역 외 무선 신호를 통해 클라이언트 디바이스(115-d)로부터 제 1 클라이언트 정보를 송신함으로써 클라이언트 디바이스(115-d)의 보안 인터페이스 출력(250)을 통해 출력될 수 있다. 클라이언트 디바이스(115-d)가 제 1 클라이언트 정보를 출력한 후, 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-d)의 보안 인터페이스(135)에 입력될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-d) 상에 디스플레이된 텍스트를 텍스트 입력 인터페이스에 타이핑하거나, 클라이언트 디바이스(115-d) 상에 디스플레이된 QR 코드를 QR 코드 판독기로 스캔하거나, 또는 NFC 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 통해 대역 외 무선 신호를 수신함으로써 신뢰할 수 있는 디바이스(125-d)의 보안 인터페이스 입력(320)에 입력될 수 있다.
[0091] 제 1 클라이언트 정보가 신뢰할 수 있는 디바이스(125-d)의 보안 인터페이스(135)에 입력된 후, 신뢰할 수 있는 디바이스(125-d)는 제 1 클라이언트 정보를 인증 서버(140-d)에 직접적으로 또는 간접적으로 송신할 수 있다(610에 표시됨). 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-d)의 네트워크 출력(325)을 통해 인증 서버(140-d)에 송신될 수 있다. 송신은 유선 또는 무선 송신일 수 있으며, 송신은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105-d)를 통해 라우팅될 수 있다. 인증 서버(140-d)는 인증 서버 네트워크 인터페이스(505)를 통해 제 1 클라이언트 정보를 수신할 수 있고, 수신된 제 1 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0092] 클라이언트 디바이스(115-d)가 제 1 클라이언트 정보를 출력하도록 트리거되면, 클라이언트 디바이스(115-d)는 또한 액세스 포인트(105-d)에 프로브 요청을 전송하도록 트리거될 수 있다(625에 표시됨). 프로브 요청은 클라이언트 디바이스(115-d)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-d)의 무선 수신기(420)에 의해 수신될 수 있다. 액세스 포인트(105-d)는 프로브 응답으로 프로브 요청에 응답할 수 있다(630에 표시됨). 프로브 응답은 액세스 포인트(105-d)의 무선 송신기(430)에 의해 송신되고 클라이언트 디바이스(115-d)의 무선 수신기(220)에 의해 수신될 수 있다.
[0093] 액세스 포인트(105-d)로부터 프로브 응답을 수신한 후, 클라이언트 디바이스(115-d)는 제 2 클라이언트 정보를 액세스 포인트(105-d)에 송신할 수 있다(635에 표기됨). 제 2 클라이언트 정보는 클라이언트 디바이스(115-d)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-d)의 무선 수신기(420)에 의해 수신될 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 식별(ID)을 포함할 수 있다. 클라이언트 ID는 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 값일 수 있다. 클라이언트 ID는 클라이언트 디바이스(115-d)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다.
[0094] 제 2 클라이언트 정보를 수신한 후, 액세스 포인트(105-d)는 제 2 클라이언트 정보를 인증 서버(140-d)에 송신할 수 있다(640에 표시됨). 제 2 클라이언트 정보는 액세스 포인트(105-d)의 네트워크 송신기(435)에 의해 송신되고 인증 서버(140-d)의 인증 서버 네트워크 인터페이스(505)에 의해 수신될 수 있다. 인증 서버(140-d)는 수신된 제 2 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0095] 제 2 클라이언트 정보를 수신한 후, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 제 1 클라이언트 정보와 제 2 클라이언트 정보를 비교하여 이들이 링크되는지 여부를 결정한다(645에 표시됨). 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 또한 클라이언트 공개키를 포함한다면, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 공개키들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키 및 클라이언트 사용자명을 포함하고, 제 2 클라이언트 정보가 클라이언트 사용자명을 포함한다면, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 사용자명을 포함하고 제 2 클라이언트 정보가 클라이언트 사용자명 및 클라이언트 공개키를 포함한다면, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 인증 토큰을 포함하고 제 2 클라이언트 정보가 클라이언트 공개키를 포함한다면, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-d)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법(예를 들어, 해시 함수)을 사용하여, 수신된 클라이언트 공개키로부터 토큰을 도출할 수 있다. 그 다음, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 도출된 토큰이 제 1 클라이언트 정보로 수신된 클라이언트 인증 토큰과 매칭하는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 클라이언트 ID를 포함한다면, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-d)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법을 사용하여, 수신된 클라이언트 공개키로부터 ID를 도출할 수 있다. 그 다음, 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)는 도출된 ID가 제 2 클라이언트 정보로 수신된 클라이언트 ID와 매칭하는지 여부를 결정할 수 있다.
[0096] 인증 서버(140-d)의 클라이언트 디바이스 인증자(520)가 제 1 클라이언트 정보와 제 2 클라이언트 정보 사이에 링크가 존재한다고 결정한 후, 인증 서버(140-d)의 네트워크 인증자(525)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로 수신된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 인증 서버(140-d)의 네트워크 인증자(525)는 예를 들어, Diffie-Hellman 키 교환을 사용하여 클라이언트 디바이스(115-d)와 교환되는 공유 비밀키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 인증 크리덴셜은 액세스 포인트(105-d)와의 인증 프로시저를 완료하는데 필요한 크리덴셜들을 클라이언트 디바이스(115-d)에 제공할 수 있다. 예를 들어, 인증 크리덴셜은 Wi-Fi 보호 액세스 II(WPA2) 엔터프라이즈 네트워크 크리덴셜(ENC: Enterprise Network Credential)일 수 있다. 암호화된 인증 크리덴셜은 인증 서버(140-d)의 인증 서버 네트워크 인터페이스(505)를 통해 액세스 포인트(105-d)에 송신될 수 있다(650에 표시됨).
[0097] 액세스 포인트(105-d)의 네트워크 수신기(425)는 암호화된 인증 크리덴셜을 수신할 수 있다. 그 다음, 액세스 포인트(105-d)는 암호화된 인증 크리덴셜을 액세스 포인트(105-d)의 무선 송신기(430)를 통해 클라이언트 디바이스(115-d)에 송신할 수 있다(655로 표시됨). 클라이언트 디바이스(115-d)는 암호화된 인증 크리덴셜을 클라이언트 디바이스(115-d)의 무선 수신기(220)를 통해 수신할 수 있다.
[0098] 암호화된 인증 크리덴셜을 수신한 후, 클라이언트 디바이스(115-d)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115-d)는 암호화된 인증 크리덴셜을 인증 서버(140-d)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 클라이언트 디바이스(115-d)의 네트워크 인증자(240)는 복호화된 인증 크리덴셜을 사용하여 액세스 포인트(105-d)의 네트워크 인증자(410) 및 인증 서버(140-d)의 네트워크 인증자(525)와의 인증 프로시저를 완료할 수 있다(670에 표시됨). 인증 프로시저는 IEEE 802.1X 확장 가능 인증 프로토콜(EAP) 인증 프로시저일 수 있다.
[0099] 인증 프로시저를 완료한 후, 클라이언트 디바이스(115-d)는 보안 무선 접속으로 액세스 포인트(105-d)에 접속할 수 있다(680에 표시됨). 보안 무선 접속은 WPA2 엔터프라이즈 프로토콜 접속일 수 있다.
[0100] 도 7은 클라이언트 디바이스(115-e), 신뢰할 수 있는 디바이스(125-e), 액세스 포인트(105-e) 그리고 인증 서버(140-e) 사이의 통신들의 일례를 예시하는 메시지 흐름도(700)이다. 클라이언트 디바이스(115-e)는 도 1, 도 2a, 도 2b 및/또는 도 2c를 참조로 설명된 클라이언트 디바이스들(115)의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-e)는 도 1, 도 3a, 도 3b 및/또는 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스(125)의 일례일 수 있다. 액세스 포인트(105-e)는 도 1, 도 4a, 도 4b 및/또는 도 4c를 참조로 설명된 액세스 포인트(105)의 일례일 수 있다. 인증 서버(140-e)는 도 1 및/또는 도 5를 참조로 설명된 인증 서버(140)의 일례일 수 있다.
[0101] 한 구성에서, 클라이언트 디바이스(115-e)는 신뢰할 수 있는 디바이스(125-e)에 제 1 클라이언트 정보를 출력하도록 트리거될 수 있다(도 7에 705로 표시됨). 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 인증 토큰을 포함할 수 있다. 클라이언트 인증 토큰은 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 문자열일 수 있다. 클라이언트 인증 토큰은 클라이언트 디바이스(115-e)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-e)의 디스플레이 상에 텍스트로서 제 1 클라이언트 정보를 디스플레이하거나, 클라이언트 디바이스(115-e)의 디스플레이 상에 QR 코드로서 제 1 클라이언트 정보를 디스플레이하거나, 또는 NFC 또는 블루투스와 같은 대역 외 무선 신호를 통해 클라이언트 디바이스(115-e)로부터 제 1 클라이언트 정보를 송신함으로써 클라이언트 디바이스(115-e)의 보안 인터페이스 출력(250)을 통해 출력될 수 있다. 클라이언트 디바이스(115-e)가 제 1 클라이언트 정보를 출력한 후, 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-e)의 보안 인터페이스(135)에 입력될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-e) 상에 디스플레이된 텍스트를 텍스트 입력 인터페이스에 타이핑하거나, 클라이언트 디바이스(115-e) 상에 디스플레이된 QR 코드를 QR 코드 판독기로 스캔하거나, 또는 NFC 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 통해 대역 외 무선 신호를 수신함으로써 신뢰할 수 있는 디바이스(125-e)의 보안 인터페이스 입력(320)에 입력될 수 있다.
[0102] 제 1 클라이언트 정보가 신뢰할 수 있는 디바이스(125-e)의 보안 인터페이스(135)에 입력된 후, 신뢰할 수 있는 디바이스(125-e)는 제 1 클라이언트 정보를 인증 서버(140-e)에 직접적으로 또는 간접적으로 송신할 수 있다(710에 표시됨). 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-e)의 네트워크 출력(325)을 통해 인증 서버(140-e)에 송신될 수 있다. 송신은 유선 또는 무선 송신일 수 있으며, 송신은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105-e)를 통해 라우팅될 수 있다. 인증 서버(140-e)는 인증 서버 네트워크 인터페이스(505)를 통해 제 1 클라이언트 정보를 수신할 수 있고, 수신된 제 1 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0103] 제 1 클라이언트 정보를 수신한 후, 인증 서버(140-e)는 신뢰할 수 있는 디바이스(125-e)에 서버 인증 토큰을 송신할 수 있다(715로 표시됨). 서버 인증 토큰은 인증 서버(140-e)의 인증 서버 네트워크 인터페이스(505)를 통해 신뢰할 수 있는 디바이스(125-e)에 송신될 수 있다. 서버 인증 토큰은 신뢰할 수 있는 디바이스(125-e)의 네트워크 입력(315)에 의해 수신될 수 있다. 송신은 유선 또는 무선 송신일 수 있으며, 송신은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105-e)를 통해 라우팅될 수 있다. 서버 인증 토큰은 예를 들어, 인증 크리덴셜의 해시를 계산함으로써 인증 서버(140-e)의 인증 크리덴셜로부터 도출된 문자열일 수 있다. 서버 인증 토큰은 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)에 의해 도출될 수 있다. 신뢰할 수 있는 디바이스(125-e)가 서버 인증 토큰을 수신한 후, 신뢰할 수 있는 디바이스(125-e)는 신뢰할 수 있는 디바이스 메모리(340)에 서버 인증 토큰을 저장하고 수동 검증을 위해 서버 인증 토큰을 디스플레이할 수 있다.
[0104] 클라이언트 디바이스(115-e)가 제 1 클라이언트 정보를 출력하도록 트리거되면, 클라이언트 디바이스(115-e)는 또한 액세스 포인트(105-e)에 프로브 요청을 전송하도록 트리거될 수 있다(725에 표시됨). 프로브 요청은 클라이언트 디바이스(115-e)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-e)의 무선 수신기(420)에 의해 수신될 수 있다. 액세스 포인트(105-e)는 프로브 응답으로 프로브 요청에 응답할 수 있다(730에 표시됨). 프로브 응답은 액세스 포인트(105-e)의 무선 송신기(430)에 의해 송신되고 클라이언트 디바이스(115-e)의 무선 수신기(220)에 의해 수신될 수 있다.
[0105] 액세스 포인트(105-e)로부터 프로브 응답을 수신한 후, 클라이언트 디바이스(115-e)는 제 2 클라이언트 정보를 액세스 포인트(105-e)에 송신할 수 있다(735에 표기됨). 제 2 클라이언트 정보는 클라이언트 디바이스(115-e)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-e)의 무선 수신기(420)에 의해 수신될 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 식별(ID)을 포함할 수 있다. 클라이언트 ID는 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 값일 수 있다. 클라이언트 ID는 클라이언트 디바이스(115-e)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다.
[0106] 제 2 클라이언트 정보를 수신한 후, 액세스 포인트(105-e)는 제 2 클라이언트 정보를 인증 서버(140-e)에 송신할 수 있다(740에 표시됨). 제 2 클라이언트 정보는 액세스 포인트(105-e)의 네트워크 송신기(435)에 의해 송신되고 인증 서버(140-e)의 인증 서버 네트워크 인터페이스(505)에 의해 수신될 수 있다. 인증 서버(140-e)는 수신된 제 2 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0107] 제 2 클라이언트 정보를 수신한 후, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 제 1 클라이언트 정보와 제 2 클라이언트 정보를 비교하여 이들이 링크되는지 여부를 결정한다(745에 표시됨). 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 또한 클라이언트 공개키를 포함한다면, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 공개키들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키 및 클라이언트 사용자명을 포함하고, 제 2 클라이언트 정보가 클라이언트 사용자명을 포함한다면, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 사용자명을 포함하고 제 2 클라이언트 정보가 클라이언트 사용자명 및 클라이언트 공개키를 포함한다면, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 인증 토큰을 포함하고 제 2 클라이언트 정보가 클라이언트 공개키를 포함한다면, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-e)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법을 사용하여, 수신된 클라이언트 공개키로부터 토큰을 도출할 수 있다. 그 다음, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 도출된 토큰이 제 1 클라이언트 정보로 수신된 클라이언트 인증 토큰과 매칭하는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 클라이언트 ID를 포함한다면, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-e)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법을 사용하여, 수신된 클라이언트 공개키로부터 ID를 도출할 수 있다. 그 다음, 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)는 도출된 ID가 제 2 클라이언트 정보로 수신된 클라이언트 ID와 매칭하는지 여부를 결정할 수 있다.
[0108] 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)가 제 1 클라이언트 정보와 제 2 클라이언트 정보 사이에 링크가 존재한다고 결정한 후, 인증 서버(140-e)의 네트워크 인증자(525)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로 수신된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 인증 서버(140-e)의 네트워크 인증자(525)는 예를 들어, Diffie-Hellman 키 교환을 사용하여 클라이언트 디바이스(115-e)와 교환되는 공유 비밀키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 인증 크리덴셜은 액세스 포인트(105-e)와의 인증 프로시저를 완료하는데 필요한 크리덴셜들을 클라이언트 디바이스(115-e)에 제공할 수 있다. 예를 들어, 인증 크리덴셜은 WPA2 ENC일 수 있다. 암호화된 인증 크리덴셜은 인증 서버(140-e)의 인증 서버 네트워크 인터페이스(505)를 통해 액세스 포인트(105-e)에 송신될 수 있다(750에 표시됨).
[0109] 액세스 포인트(105-e)의 네트워크 수신기(425)는 암호화된 인증 크리덴셜을 수신할 수 있다. 그 다음, 액세스 포인트(105-e)는 암호화된 인증 크리덴셜을 액세스 포인트(105-e)의 무선 송신기(430)를 통해 클라이언트 디바이스(115-e)에 송신할 수 있다(755로 표시됨). 클라이언트 디바이스(115-e)는 암호화된 인증 크리덴셜을 클라이언트 디바이스(115-e)의 무선 수신기(220)를 통해 수신할 수 있다.
[0110] 암호화된 인증 크리덴셜을 수신한 후, 클라이언트 디바이스(115-e)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115-e)는 암호화된 인증 크리덴셜을 인증 서버(140-e)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 클라이언트 디바이스(115-e)의 서버 인증자(235)는 서버 인증 토큰을 도출하는데 사용된 인증 서버(140-e)의 클라이언트 디바이스 인증자(520)와 동일한 도출 방법을 사용하여, 복호화된 인증 크리덴셜로부터 토큰을 도출할 수 있다. 그 다음, 클라이언트 디바이스(115-e)는 도출된 토큰이 신뢰할 수 있는 디바이스(125-e)에 의해 디스플레이된 서버 인증 토큰과 매칭하는지 여부를 사용자가 수동으로 검증하도록, 도출된 토큰을 디스플레이할 수 있다(760에 표시됨). 서버 인증 토큰과 매칭하는 도출된 토큰은 수신된 인증 크리덴셜이 신뢰할 수 있는 디바이스(125-e)로부터 제 1 클라이언트 정보를 수신한 인증 서버(140-e)로부터임을 사용자에게 검증할 수 있다.
[0111] 수신된 인증 크리덴셜을 복호화하고 검증한 후, 클라이언트 디바이스(115-e)의 네트워크 인증자(240)는 복호화된 인증 크리덴셜을 사용하여 액세스 포인트(105-e)의 네트워크 인증자(410) 및 인증 서버(140-e)의 네트워크 인증자(525)와의 인증 프로시저를 완료할 수 있다(770에 표시됨). 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다.
[0112] 인증 프로시저를 완료한 후, 클라이언트 디바이스(115-e)는 보안 무선 접속으로 액세스 포인트(105-e)에 접속할 수 있다(780에 표시됨). 보안 무선 접속은 WPA2 엔터프라이즈 프로토콜 접속일 수 있다.
[0113] 도 8은 클라이언트 디바이스(115-f), 신뢰할 수 있는 디바이스(125-f), 액세스 포인트(105-f) 그리고 인증 서버(140-f) 사이의 통신들의 일례를 예시하는 메시지 흐름도(800)이다. 클라이언트 디바이스(115-f)는 도 1, 도 2a, 도 2b 및/또는 도 2c를 참조로 설명된 클라이언트 디바이스들(115)의 일례일 수 있다. 신뢰할 수 있는 디바이스(125-f)는 도 1, 도 3a, 도 3b 및/또는 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스(125)의 일례일 수 있다. 액세스 포인트(105-f)는 도 1, 도 4a, 도 4b 및/또는 도 4c를 참조로 설명된 액세스 포인트(105)의 일례일 수 있다. 인증 서버(140-f)는 도 1 및/또는 도 5를 참조로 설명된 인증 서버(140)의 일례일 수 있다.
[0114] 한 구성에서, 클라이언트 디바이스(115-f)는 신뢰할 수 있는 디바이스(125-f)에 제 1 클라이언트 정보를 출력하도록 트리거될 수 있다(도 8에 805로 표시됨). 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 인증 토큰을 포함할 수 있다. 클라이언트 인증 토큰은 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 문자열일 수 있다. 클라이언트 인증 토큰은 클라이언트 디바이스(115-f)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-f)의 디스플레이 상에 텍스트로서 제 1 클라이언트 정보를 디스플레이하거나, 클라이언트 디바이스(115-f)의 디스플레이 상에 QR 코드로서 제 1 클라이언트 정보를 디스플레이하거나, 또는 NFC 또는 블루투스와 같은 대역 외 무선 신호를 통해 클라이언트 디바이스(115-f)로부터 제 1 클라이언트 정보를 송신함으로써 클라이언트 디바이스(115-f)의 보안 인터페이스 출력(250)을 통해 출력될 수 있다. 클라이언트 디바이스(115-f)가 제 1 클라이언트 정보를 출력한 후, 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-f)의 보안 인터페이스(135)에 입력될 수 있다. 제 1 클라이언트 정보는 예를 들어, 클라이언트 디바이스(115-f) 상에 디스플레이된 텍스트를 텍스트 입력 인터페이스에 타이핑하거나, 클라이언트 디바이스(115-f) 상에 디스플레이된 QR 코드를 QR 코드 판독기로 스캔하거나, 또는 NFC 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 통해 대역 외 무선 신호를 수신함으로써 신뢰할 수 있는 디바이스(125-f)의 보안 인터페이스 입력(320)에 입력될 수 있다.
[0115] 제 1 클라이언트 정보가 신뢰할 수 있는 디바이스(125-f)의 보안 인터페이스(135)에 입력된 후, 신뢰할 수 있는 디바이스(125-f)는 제 1 클라이언트 정보를 인증 서버(140-f)에 직접적으로 또는 간접적으로 송신할 수 있다(810에 표시됨). 제 1 클라이언트 정보는 신뢰할 수 있는 디바이스(125-f)의 네트워크 출력(325)을 통해 인증 서버(140-f)에 송신될 수 있다. 송신은 유선 또는 무선 송신일 수 있으며, 송신은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105-f)를 통해 라우팅될 수 있다. 인증 서버(140-f)는 인증 서버 네트워크 인터페이스(505)를 통해 제 1 클라이언트 정보를 수신할 수 있고, 수신된 제 1 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0116] 제 1 클라이언트 정보를 수신한 후, 인증 서버(140-f)는 신뢰할 수 있는 디바이스(125-f)에 서버 인증 토큰을 송신할 수 있다(815로 표시됨). 서버 인증 토큰은 인증 서버(140-f)의 인증 서버 네트워크 인터페이스(505)를 통해 신뢰할 수 있는 디바이스(125-f)에 송신될 수 있다. 서버 인증 토큰은 신뢰할 수 있는 디바이스(125-f)의 네트워크 입력(315)에 의해 수신될 수 있다. 송신은 유선 또는 무선 송신일 수 있으며, 송신은 라우터 및/또는 액세스 포인트, 예컨대 액세스 포인트(105-f)를 통해 라우팅될 수 있다. 서버 인증 토큰은 예를 들어, 인증 크리덴셜의 해시를 계산함으로써 인증 서버(140-f)의 인증 크리덴셜로부터 도출된 문자열일 수 있다. 서버 인증 토큰은 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)에 의해 도출될 수 있다.
[0117] 신뢰할 수 있는 디바이스(125-f)가 서버 인증 토큰을 수신한 후, 신뢰할 수 있는 디바이스(125-f)는 서버 인증 토큰을 클라이언트 디바이스(115-f)에 출력할 수 있다(820으로 표시됨). 서버 인증 토큰은 예를 들어, 신뢰할 수 있는 디바이스(125-f)의 디스플레이 상에 텍스트로서 서버 인증 토큰을 디스플레이하거나, 신뢰할 수 있는 디바이스(125-f)의 디스플레이 상에 QR 코드로서 서버 인증 토큰을 디스플레이하거나, 또는 NFC 또는 블루투스와 같은 대역 외 무선 신호를 통해 신뢰할 수 있는 디바이스(125-f)로부터 서버 인증 토큰을 송신함으로써 신뢰할 수 있는 디바이스(125-f)의 보안 인터페이스 출력(330)을 통해 출력될 수 있다. 신뢰할 수 있는 디바이스(125-f)가 서버 인증 토큰을 출력한 후, 서버 인증 토큰은 클라이언트 디바이스(115-f)에 입력될 수 있다. 서버 인증 토큰은 예를 들어, 신뢰할 수 있는 디바이스(125-f) 상에 디스플레이된 텍스트를 텍스트 입력 인터페이스에 타이핑하거나, 신뢰할 수 있는 디바이스(125-f) 상에 디스플레이된 QR 코드를 QR 코드 판독기로 스캔하거나, 또는 NFC 입력 또는 블루투스 입력과 같은 대역 외 무선 입력을 통해 대역 외 무선 신호를 수신함으로써 클라이언트 디바이스(115-f)의 보안 인터페이스 입력(225)에 입력될 수 있다. 클라이언트 디바이스(115-f)는 서버 인증 토큰을 클라이언트 디바이스 메모리(260)에 저장할 수 있다.
[0118] 클라이언트 디바이스(115-f)가 제 1 클라이언트 정보를 출력하도록 트리거되면, 클라이언트 디바이스(115-f)는 또한 액세스 포인트(105-f)에 프로브 요청을 전송하도록 트리거될 수 있다(825에 표시됨). 프로브 요청은 클라이언트 디바이스(115-f)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-f)의 무선 수신기(420)에 의해 수신될 수 있다. 액세스 포인트(105-f)는 프로브 응답으로 프로브 요청에 응답할 수 있다(830에 표시됨). 프로브 응답은 액세스 포인트(105-f)의 무선 송신기(430)에 의해 송신되고 클라이언트 디바이스(115-f)의 무선 수신기(220)에 의해 수신될 수 있다.
[0119] 액세스 포인트(105-f)로부터 프로브 응답을 수신한 후, 클라이언트 디바이스(115-f)는 제 2 클라이언트 정보를 액세스 포인트(105-f)에 송신할 수 있다(835에 표기됨). 제 2 클라이언트 정보는 클라이언트 디바이스(115-f)의 무선 송신기(245)에 의해 송신되고 액세스 포인트(105-f)의 무선 수신기(420)에 의해 수신될 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명 및/또는 클라이언트 식별(ID)을 포함할 수 있다. 클라이언트 ID는 예컨대, 클라이언트 공개키의 해시를 계산함으로써 클라이언트 공개키로부터 도출된 값일 수 있다. 클라이언트 ID는 클라이언트 디바이스(115-f)의 클라이언트 정보 생성기(230)에 의해 도출될 수 있다.
[0120] 제 2 클라이언트 정보를 수신한 후, 액세스 포인트(105-f)는 제 2 클라이언트 정보를 인증 서버(140-f)에 송신할 수 있다(840에 표시됨). 제 2 클라이언트 정보는 액세스 포인트(105-f)의 네트워크 송신기(435)에 의해 송신되고 인증 서버(140-f)의 인증 서버 네트워크 인터페이스(505)에 의해 수신될 수 있다. 인증 서버(140-f)는 수신된 제 2 클라이언트 정보를 인증 서버 메모리(510)에 저장할 수 있다.
[0121] 제 2 클라이언트 정보를 수신한 후, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 제 1 클라이언트 정보와 제 2 클라이언트 정보를 비교하여 이들이 링크되는지 여부를 결정한다(845에 표시됨). 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 또한 클라이언트 공개키를 포함한다면, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 공개키들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키 및 클라이언트 사용자명을 포함하고, 제 2 클라이언트 정보가 클라이언트 사용자명을 포함한다면, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 사용자명을 포함하고 제 2 클라이언트 정보가 클라이언트 사용자명 및 클라이언트 공개키를 포함한다면, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 수신된 클라이언트 사용자명들을 직접 비교하여 이들이 링크되는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 인증 토큰을 포함하고 제 2 클라이언트 정보가 클라이언트 공개키를 포함한다면, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-f)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법을 사용하여, 수신된 클라이언트 공개키로부터 토큰을 도출할 수 있다. 그 다음, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 도출된 토큰이 제 1 클라이언트 정보로 수신된 클라이언트 인증 토큰과 매칭하는지 여부를 결정할 수 있다. 제 1 클라이언트 정보가 클라이언트 공개키를 포함하고 제 2 클라이언트 정보가 클라이언트 ID를 포함한다면, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 클라이언트 디바이스(115-f)의 클라이언트 정보 생성기(230)에 의해 사용된 것과 동일한 도출 방법을 사용하여, 수신된 클라이언트 공개키로부터 ID를 도출할 수 있다. 그 다음, 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)는 도출된 ID가 제 2 클라이언트 정보로 수신된 클라이언트 ID와 매칭하는지 여부를 결정할 수 있다.
[0122] 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)가 제 1 클라이언트 정보와 제 2 클라이언트 정보 사이에 링크가 존재한다고 결정한 후, 인증 서버(140-f)의 네트워크 인증자(525)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로 수신된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 인증 서버(140-f)의 네트워크 인증자(525)는 클라이언트 디바이스(115-f)와 교환되는 공유 비밀키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 인증 크리덴셜은 액세스 포인트(105-f)와의 인증 프로시저를 완료하는데 필요한 크리덴셜들을 클라이언트 디바이스(115-f)에 제공할 수 있다. 예를 들어, 인증 크리덴셜은 WPA2 ENC일 수 있다. 암호화된 인증 크리덴셜은 인증 서버(140-f)의 인증 서버 네트워크 인터페이스(505)를 통해 액세스 포인트(105-f)에 송신될 수 있다(850에 표시됨).
[0123] 액세스 포인트(105-f)의 네트워크 수신기(425)는 암호화된 인증 크리덴셜을 수신할 수 있다. 그 다음, 액세스 포인트(105-f)는 암호화된 인증 크리덴셜을 액세스 포인트(105-f)의 무선 송신기(430)를 통해 클라이언트 디바이스(115-f)에 송신할 수 있다(855로 표시됨). 클라이언트 디바이스(115-f)는 암호화된 인증 크리덴셜을 클라이언트 디바이스(115-f)의 무선 수신기(220)를 통해 수신할 수 있다.
[0124] 암호화된 인증 크리덴셜을 수신한 후, 클라이언트 디바이스(115-f)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115-f)는 암호화된 인증 크리덴셜을 인증 서버(140-f)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 클라이언트 디바이스(115-f)의 서버 인증자(235)는 서버 인증 토큰을 도출하는데 사용된 인증 서버(140-f)의 클라이언트 디바이스 인증자(520)와 동일한 도출 방법을 사용하여, 복호화된 인증 크리덴셜로부터 토큰을 도출할 수 있다. 그 다음, 클라이언트 디바이스(115-f)의 서버 인증자(235)는 도출된 토큰이 신뢰할 수 있는 디바이스(125-f)의 보안 인터페이스(135)에 의해 출력된 서버 인증 토큰과 매칭하는지 여부를 검증할 수 있다(860에 표시됨). 서버 인증 토큰과 매칭하는 도출된 토큰은 수신된 인증 크리덴셜이 신뢰할 수 있는 디바이스(125-f)로부터 제 1 클라이언트 정보를 수신한 인증 서버(140-f)로부터임을 클라이언트 디바이스(115-f)에게 검증할 수 있다.
[0125] 수신된 인증 크리덴셜을 복호화하고 검증한 후, 클라이언트 디바이스(115-f)의 네트워크 인증자(240)는 복호화된 인증 크리덴셜을 사용하여 액세스 포인트(105-f)의 네트워크 인증자(410) 및 인증 서버(140-f)의 네트워크 인증자(525)와의 인증 프로시저를 완료할 수 있다(870에 표시됨). 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다.
[0126] 인증 프로시저를 완료한 후, 클라이언트 디바이스(115-f)는 보안 무선 접속으로 액세스 포인트(105-f)에 접속할 수 있다(880에 표시됨). 보안 무선 접속은 WPA2 엔터프라이즈 프로토콜 접속일 수 있다.
[0127] 일부 실시예들에서, 신뢰할 수 있는 디바이스(125)는 임시 액세스 포인트로서의 역할을 할 수 있다. 이러한 실시예들에서, 도 1, 도 3a, 도 3b, 도 3c, 도 4a, 도 4b, 도 4c, 도 6, 도 7 및/또는 도 8을 참조로 설명된 신뢰할 수 있는 디바이스(125) 및 액세스 포인트(105)는 동일한 디바이스일 수 있다. 이러한 실시예들에서, 액세스 포인트(105)로 그리고 액세스 포인트(105)로부터의 송신들은 신뢰할 수 있는 디바이스(125)로 그리고 신뢰할 수 있는 디바이스(125)로부터일 수 있다.
[0128] 도 9는 액세스 포인트(105)에 안전하게 접속하기 위해 클라이언트 디바이스(115)에 의해 수행되는 방법(900)의 실시예를 예시하는 흐름도이다. 간결하게 하기 위해, 방법(900)은 도 6에 도시된 메시지 흐름도(600)를 참조로 그리고/또는 도 1, 도 2a, 도 2b, 도 2c 및/또는 도 6을 참조로 설명된 클라이언트 디바이스들(115) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 2c를 참조로 설명된 클라이언트 디바이스 프로세서(255)는 아래에서 설명되는 기능들을 수행하도록 클라이언트 디바이스(115)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0129] 일 실시예에서는, 블록(905)에서, 클라이언트 디바이스(115)가 보안 인터페이스를 통해 신뢰할 수 있는 디바이스(125)로 제 1 클라이언트 정보를 출력할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보의 텍스트를 디스플레이하는 것, 제 1 클라이언트 정보의 QR 코드를 디스플레이하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 송신하는 것 중 적어도 하나를 포함할 수 있다. 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 인증 토큰을 포함할 수 있다. 블록(910)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 프로브 요청을 송신할 수 있다. 블록(915)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 프로브 응답을 수신할 수 있다. 블록(920)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 제 2 클라이언트 정보를 송신할 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 ID를 포함할 수 있다. 블록(925)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 암호화된 인증 크리덴셜을 수신할 수 있다. 블록(930)에서, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 예를 들어, Diffie-Hellman 키 교환을 사용하여 인증 서버(140)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 블록(935)에서, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜을 사용하여 인증 서버(140) 및 액세스 포인트(105)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다. 블록(940)에서, 클라이언트 디바이스(115)는 보안 무선 접속으로 액세스 포인트(105)에 접속할 수 있다. 보안 무선 접속은 WPA2 엔터프라이즈 접속일 수 있다.
[0130] 도 10은 클라이언트 디바이스(115)를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스(125)에 의해 수행되는 방법(1000)의 실시예를 예시하는 흐름도이다. 방법(1000)은 도 6에 도시된 메시지 흐름도(600)를 참조로 그리고/또는 도 1, 도 3a, 도 3b, 도 3c 및/또는 도 6을 참조로 설명된 신뢰할 수 있는 디바이스들(125) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스 프로세서(335)는 아래에서 설명되는 기능들을 수행하도록 신뢰할 수 있는 디바이스(125)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0131] 일 실시예에서는, 블록(1005)에서, 신뢰할 수 있는 디바이스(125)가 보안 인터페이스를 통해 클라이언트 디바이스(115)로부터 제 1 클라이언트 정보를 수신할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보를 수동으로 입력하는 것, 제 1 클라이언트 정보의 QR 코드를 스캔하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 수신하는 것 중 적어도 하나를 포함할 수 있다. 블록(1010)에서, 신뢰할 수 있는 디바이스(125)가 인증 서버(140)에 제 1 클라이언트 정보를 송신할 수 있다.
[0132] 도 11은 클라이언트 디바이스(115)에 안전하게 접속하기 위해 액세스 포인트(105)에 의해 수행되는 방법(1100)의 실시예를 예시하는 흐름도이다. 방법(1100)은 도 6에 도시된 메시지 흐름도(600)를 참조로 그리고/또는 도 1, 도 4a, 도 4b, 도 4c 및/또는 도 6을 참조로 설명된 액세스 포인트들(105) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 4c를 참조로 설명된 액세스 포인트 프로세서(455)는 아래에서 설명되는 기능들을 수행하도록 액세스 포인트(105)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0133] 일 실시예에서는, 블록(1105)에서, 액세스 포인트(105)가 클라이언트 디바이스(115)로부터 프로브 요청을 수신할 수 있다. 블록(1110)에서, 액세스 포인트(105)는 클라이언트 디바이스(115)에 프로브 응답을 송신할 수 있다. 블록(1115)에서, 액세스 포인트(105)는 클라이언트 디바이스(115)로부터 제 2 클라이언트 정보를 수신할 수 있다. 블록(1120)에서, 액세스 포인트(105)는 인증 서버(140)에 제 2 클라이언트 정보를 송신할 수 있다. 블록(1125)에서, 액세스 포인트(105)는 인증 서버(140)로부터 암호화된 인증 크리덴셜을 수신할 수 있다. 블록(1130)에서, 액세스 포인트(105)는 클라이언트 디바이스(115)에 암호화된 인증 크리덴셜을 송신할 수 있다. 블록(1135)에서, 액세스 포인트는 클라이언트 디바이스(115)와 인증 서버(140)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다. 블록(1140)에서, 액세스 포인트(105)는 보안 무선 접속으로 클라이언트 디바이스(115)에 접속할 수 있다. 보안 무선 접속은 WPA2 엔터프라이즈 접속일 수 있다.
[0134] 도 12는 클라이언트 디바이스(115)를 인증하기 위해 인증 서버(140)에 의해 수행되는 방법(1200)의 실시예를 예시하는 흐름도이다. 방법(1200)은 도 6에 도시된 메시지 흐름도(600)를 참조로 그리고/또는 도 1, 도 5 및/또는 도 6을 참조로 설명된 인증 서버들(140) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 5를 참조로 설명된 인증 서버 프로세서(515)는 아래에서 설명되는 기능들을 수행하도록 인증 서버(140)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0135] 일 실시예에서는, 블록(1205)에서, 인증 서버(140)가 신뢰할 수 있는 디바이스(125)로부터 제 1 클라이언트 정보를 수신할 수 있다. 블록(1210)에서, 인증 서버(140)는 액세스 포인트(105)로부터 제 2 클라이언트 정보를 수신할 수 있다. 블록(1215)에서, 인증 서버(140)는 제 1 클라이언트 정보와 제 2 클라이언트 정보를 링크할 수 있다. 블록(1220)에서, 인증 서버(140)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로부터 리트리브된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 인증 서버(140)는 클라이언트 디바이스(115)와 교환되는 공유 비밀키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 인증 크리덴셜은 WPA2 ENC일 수 있다. 블록(1225)에서, 인증 서버(140)는 액세스 포인트(105)에 암호화된 인증 크리덴셜을 송신할 수 있다. 블록(1230)에서, 인증 서버(140)는 클라이언트 디바이스(115)와 액세스 포인트(105)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다.
[0136] 도 13은 액세스 포인트(105)에 안전하게 접속하기 위해 클라이언트 디바이스(115)에 의해 수행되는 방법(1300)의 대안적인 실시예를 예시하는 흐름도이다. 방법(1300)은 도 7에 도시된 메시지 흐름도(700)를 참조로 그리고/또는 도 1, 도 2a, 도 2b, 도 2c 및/또는 도 7을 참조로 설명된 클라이언트 디바이스들(115) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 2c를 참조로 설명된 클라이언트 디바이스 프로세서(255)는 아래에서 설명되는 기능들을 수행하도록 클라이언트 디바이스(115)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0137] 일 실시예에서는, 블록(1305)에서, 클라이언트 디바이스(115)가 보안 인터페이스를 통해 신뢰할 수 있는 디바이스(125)로 제 1 클라이언트 정보를 출력할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보의 텍스트를 디스플레이하는 것, 제 1 클라이언트 정보의 QR 코드를 디스플레이하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 송신하는 것 중 적어도 하나를 포함할 수 있다. 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 인증 토큰을 포함할 수 있다. 블록(1310)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 프로브 요청을 송신할 수 있다. 블록(1315)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 프로브 응답을 수신할 수 있다. 블록(1320)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 제 2 클라이언트 정보를 송신할 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 ID를 포함할 수 있다. 블록(1325)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 암호화된 인증 크리덴셜을 수신할 수 있다. 블록(1330)에서, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 인증 서버(140)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 블록(1335)에서, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜로부터 토큰을 도출하고 도출된 토큰을 디스플레이할 수 있다. 블록(1340)에서, 클라이언트 디바이스(115)의 사용자는 도출된 토큰이 신뢰할 수 있는 디바이스(125) 상에 디스플레이된 서버 인증 토큰과 매칭함을 검증할 수 있다. 서버 인증 토큰과 매칭하는 도출된 토큰은 복호화된 인증 크리덴셜이 신뢰할 수 있는 디바이스(125)로부터 제 1 클라이언트 정보를 수신한 인증 서버(140)로부터임을 사용자에게 검증할 수 있다. 블록(1345)에서, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜을 사용하여 인증 서버(140) 및 액세스 포인트(105)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다. 블록(1350)에서, 클라이언트 디바이스(115)는 보안 무선 접속으로 액세스 포인트(105)에 접속할 수 있다. 보안 무선 접속은 WPA2 엔터프라이즈 접속일 수 있다.
[0138] 도 14는 클라이언트 디바이스(115)를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스(125)에 의해 수행되는 방법(1400)의 대안적인 실시예를 예시하는 흐름도이다. 방법(1400)은 도 7에 도시된 메시지 흐름도(700)를 참조로 그리고/또는 도 1, 도 3a, 도 3b, 도 3c 및/또는 도 7을 참조로 설명된 신뢰할 수 있는 디바이스들(125) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스 프로세서(335)는 아래에서 설명되는 기능들을 수행하도록 신뢰할 수 있는 디바이스(125)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0139] 일 실시예에서는, 블록(1405)에서, 신뢰할 수 있는 디바이스(125)가 보안 인터페이스를 통해 클라이언트 디바이스(115)로부터 제 1 클라이언트 정보를 수신할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보를 수동으로 입력하는 것, 제 1 클라이언트 정보의 QR 코드를 스캔하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 수신하는 것 중 적어도 하나를 포함할 수 있다. 블록(1410)에서, 신뢰할 수 있는 디바이스(125)가 인증 서버(140)에 제 1 클라이언트 정보를 송신할 수 있다. 블록(1415)에서, 신뢰할 수 있는 디바이스(125)는 인증 서버(140)로부터 서버 인증 토큰을 수신할 수 있다. 블록(1420)에서, 신뢰할 수 있는 디바이스(125)는 사용자가 검증하도록 서버 인증 토큰을 디스플레이할 수 있다.
[0140] 도 15는 클라이언트 디바이스(115)를 인증하기 위해 인증 서버(140)에 의해 수행되는 방법(1500)의 대안적인 실시예를 예시하는 흐름도이다. 방법(1500)은 도 7에 도시된 메시지 흐름도(700) 및 도 8에 도시된 메시지 흐름도(800)를 참조로 그리고/또는 도 1, 도 5, 도 7 및/또는 도 8을 참조로 설명된 인증 서버들(140) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 5를 참조로 설명된 인증 서버 프로세서(515)는 아래에서 설명되는 기능들을 수행하도록 인증 서버(140)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0141] 일 실시예에서는, 블록(1505)에서, 인증 서버(140)가 신뢰할 수 있는 디바이스(125)로부터 제 1 클라이언트 정보를 수신할 수 있다. 블록(1510)에서, 인증 서버(140)는 신뢰할 수 있는 디바이스(125)에 서버 인증 토큰을 송신할 수 있다. 서버 인증 토큰은 인증 서버(140)의 인증 크리덴셜로부터 도출될 수 있다. 블록(1515)에서, 인증 서버(140)는 액세스 포인트(105)로부터 제 2 클라이언트 정보를 수신할 수 있다. 블록(1520)에서, 인증 서버(140)는 제 1 클라이언트 정보와 제 2 클라이언트 정보를 링크할 수 있다. 블록(1525)에서, 인증 서버(140)는 제 1 클라이언트 정보 또는 제 2 클라이언트 정보로부터 리트리브된 클라이언트 공개키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 대안으로, 인증 서버(140)는 클라이언트 디바이스(115)와 교환되는 공유 비밀키를 사용하여 인증 크리덴셜을 암호화할 수 있다. 공유 비밀키는 클라이언트 공개키에 부분적으로 기초하여 설정될 수 있다. 인증 크리덴셜은 WPA2 ENC일 수 있다. 블록(1530)에서, 인증 서버(140)는 액세스 포인트(105)에 암호화된 인증 크리덴셜을 송신할 수 있다. 블록(1535)에서, 인증 서버(140)는 클라이언트 디바이스(115)와 액세스 포인트(105)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다.
[0142] 도 16은 액세스 포인트(105)에 안전하게 접속하기 위해 클라이언트 디바이스(115)에 의해 수행되는 방법(1600)의 대안적인 실시예를 예시하는 흐름도이다. 방법(1600)은 도 8에 도시된 메시지 흐름도(800)를 참조로 그리고/또는 도 1, 도 2a, 도 2b, 도 2c 및/또는 도 8을 참조로 설명된 클라이언트 디바이스들(115) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 2c를 참조로 설명된 클라이언트 디바이스 프로세서(255)는 아래에서 설명되는 기능들을 수행하도록 클라이언트 디바이스(115)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0143] 일 실시예에서는, 블록(1605)에서, 클라이언트 디바이스(115)가 보안 인터페이스를 통해 신뢰할 수 있는 디바이스(125)로 제 1 클라이언트 정보를 출력할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보의 텍스트를 디스플레이하는 것, 제 1 클라이언트 정보의 QR 코드를 디스플레이하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 송신하는 것 중 적어도 하나를 포함할 수 있다. 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 인증 토큰을 포함할 수 있다. 블록(1610)에서, 클라이언트 디바이스(115)는 신뢰할 수 있는 디바이스(125)로부터 서버 인증 토큰을 수신할 수 있다. 블록(1615)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 프로브 요청을 송신할 수 있다. 블록(1620)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 프로브 응답을 수신할 수 있다. 블록(1625)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)에 제 2 클라이언트 정보를 송신할 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 ID를 포함할 수 있다. 블록(1630)에서, 클라이언트 디바이스(115)는 액세스 포인트(105)로부터 암호화된 인증 크리덴셜을 수신할 수 있다. 블록(1635)에서, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 클라이언트 공개키에 대응하는 클라이언트 개인키를 사용하여 복호화할 수 있다. 대안으로, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 인증 서버(140)와 교환되는 공유 비밀키를 사용하여 복호화할 수 있다. 블록(1640)에서, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜로부터 토큰을 도출할 수 있다. 블록(1645)에서, 클라이언트 디바이스(115)는 도출된 토큰이 신뢰할 수 있는 디바이스(125)로부터 수신된 서버 인증 토큰과 매칭함을 검증할 수 있다. 서버 인증 토큰과 매칭하는 도출된 토큰은 복호화된 인증 크리덴셜이 신뢰할 수 있는 디바이스(125)로부터 제 1 클라이언트 정보를 수신한 인증 서버(140)로부터임을 클라이언트 디바이스(115)에게 검증할 수 있다. 블록(1650)에서, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜을 사용하여 인증 서버(140) 및 액세스 포인트(105)와의 인증 프로시저를 완료할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다. 블록(1655)에서, 클라이언트 디바이스(115)는 보안 무선 접속으로 액세스 포인트(105)에 접속할 수 있다. 보안 무선 접속은 WPA2 엔터프라이즈 접속일 수 있다.
[0144] 도 17은 클라이언트 디바이스(115)를 안전하게 인증하기 위해 신뢰할 수 있는 디바이스(125)에 의해 수행되는 방법(1700)의 대안적인 실시예를 예시하는 흐름도이다. 방법(1700)은 도 8에 도시된 메시지 흐름도(800)를 참조로 그리고/또는 도 1, 도 3a, 도 3b, 도 3c 및/또는 도 8을 참조로 설명된 신뢰할 수 있는 디바이스들(125) 중 하나를 참조로 아래에 설명된다. 한 구현에서, 도 3c를 참조로 설명된 신뢰할 수 있는 디바이스 프로세서(335)는 아래에서 설명되는 기능들을 수행하도록 신뢰할 수 있는 디바이스(125)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0145] 일 실시예에서는, 블록(1705)에서, 신뢰할 수 있는 디바이스(125)가 보안 인터페이스를 통해 클라이언트 디바이스(115)로부터 제 1 클라이언트 정보를 수신할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보를 수동으로 입력하는 것, 제 1 클라이언트 정보의 QR 코드를 스캔하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 수신하는 것 중 적어도 하나를 포함할 수 있다. 블록(1710)에서, 신뢰할 수 있는 디바이스(125)가 인증 서버(140)에 제 1 클라이언트 정보를 송신할 수 있다. 블록(1715)에서, 신뢰할 수 있는 디바이스(125)는 인증 서버(140)로부터 서버 인증 토큰을 수신할 수 있다. 블록(1720)에서, 신뢰할 수 있는 디바이스(125)는 클라이언트 디바이스가 인증 서버(140)의 진정성을 검증하도록 클라이언트 디바이스(115)에 서버 인증 토큰을 송신할 수 있다.
[0146] 도 18은 인증 크리덴셜에 의해 클라이언트 디바이스(115)를 안전하게 프로비저닝하기 위한 방법(1800)의 실시예를 예시하는 흐름도이다. 간결하게 하기 위해, 방법(1800)은 도 9, 도 10, 도 11 및 도 12에 도시된 흐름도들을 참조로 그리고/또는 도 1, 도 2a, 도 2b, 도 2c, 도 3a, 도 3b, 도 3c, 도 4a, 도 4b, 도 4c, 도 5 및/또는 도 6을 참조로 설명된 디바이스들을 참조로 아래에 설명된다. 한 구현에서, 도 2c를 참조로 설명된 클라이언트 디바이스 프로세서(255)는 아래에서 설명되는 기능들을 수행하도록 클라이언트 디바이스(115)의 기능 엘리먼트들을 제어하기 위한 코드들의 세트들을 실행할 수 있다.
[0147] 일 실시예에서는, 블록(1805)에서, 클라이언트 디바이스(115)가 인증 서버(140)에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 신뢰할 수 있는 디바이스(125)로 출력할 수 있다. 보안 인터페이스는 제 1 클라이언트 정보의 텍스트를 디스플레이하는 것, 제 1 클라이언트 정보의 QR 코드를 디스플레이하는 것, 그리고 대역 외 무선 채널을 통해 제 1 클라이언트 정보를 송신하는 것 중 적어도 하나를 포함할 수 있다. 제 1 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 인증 토큰을 포함할 수 있다. 블록(1810)에서, 클라이언트 디바이스(115)는 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 인증 서버(140)에 송신할 수 있고, 제 2 클라이언트 정보는 인증 서버(140)에 의해 제 1 클라이언트 정보에 링크될 수 있다. 제 2 클라이언트 정보는 클라이언트 공개키, 클라이언트 사용자명, 및/또는 클라이언트 공개키로부터 도출된 클라이언트 ID를 포함할 수 있다. 블록(1815)에서, 클라이언트 디바이스(115)는 인증 서버(140)로부터 암호화된 인증 크리덴셜을 수신할 수 있고, 인증 크리덴셜은 제 1 클라이언트 정보 또는 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화될 수 있다. 블록(1820)에서, 클라이언트 디바이스(115)는 암호화된 인증 크리덴셜을 제 1 클라이언트 정보 또는 제 2 클라이언트 정보를 사용하여 복호화할 수 있다. 그 다음, 클라이언트 디바이스(115)는 복호화된 인증 크리덴셜을 사용하여 인증 서버(140) 및 액세스 포인트(105)와의 인증 프로시저를 완료하고, 보안 무선 접속으로 액세스 포인트(105)에 접속할 수 있다. 인증 프로시저는 IEEE 802.1X EAP 인증 프로시저일 수 있다. 보안 무선 접속은 WPA2 엔터프라이즈 접속일 수 있다.
[0148] 첨부 도면들과 관련하여 위에 제시된 상세한 설명은 예시적인 실시예들을 설명하며, 청구항들의 범위 내에 있거나 구현될 수 있는 실시예들만을 나타내는 것은 아니다. 이 설명 전반에서 사용된 "예시적인"이라는 용어는 "다른 실시예들에 비해 유리"하거나 "선호"되는 것이 아니라, "예시, 실례 또는 예증으로서의 역할"을 의미한다. 상세한 설명은 설명된 기술들의 이해를 제공할 목적으로 특정 세부사항들을 포함한다. 그러나 이러한 기술들은 이러한 특정 세부사항들 없이 실시될 수도 있다. 어떤 경우들에는, 설명된 실시예들의 개념들을 불명료하게 하는 것을 피하기 위해, 잘 알려진 구조들 및 디바이스들은 블록도 형태로 도시된다.
[0149] 정보 및 신호들은 다양한 서로 다른 기술들 및 기법들 중 임의의 것을 사용하여 표현될 수도 있다. 예를 들어, 상기 설명 전반에 걸쳐 참조될 수 있는 데이터, 명령들, 커맨드들, 정보, 신호들, 비트들, 심벌들 및 칩들은 전압들, 전류들, 전자기파들, 자기 필드들 또는 자기 입자들, 광 필드들 또는 광 입자들, 또는 이들의 임의의 결합들로 표현될 수 있다.
[0150] 본 명세서에서 본 개시와 관련하여 설명된 다양한 예시적인 블록들 및 모듈들은 범용 프로세서, 디지털 신호 프로세서(DSP: digital signal processor), 주문형 집적 회로(ASIC), 필드 프로그래밍 가능 게이트 어레이(FPGA) 또는 다른 프로그래밍 가능한 로직 디바이스, 이산 게이트 또는 트랜지스터 로직, 이산 하드웨어 컴포넌트들, 또는 본 명세서에서 설명된 기능들을 수행하도록 설계된 이들의 임의의 결합으로 구현되거나 이들에 의해 수행될 수 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안으로 프로세서는 임의의 종래 프로세서, 제어기, 마이크로컨트롤러 또는 상태 머신일 수도 있다. 프로세서는 또한 컴퓨팅 디바이스들의 결합, 예를 들어 DSP와 마이크로프로세서의 결합, 다수의 마이크로프로세서들, DSP 코어와 결합된 마이크로프로세서들, 또는 임의의 다른 이러한 구성으로서 구현될 수도 있다.
[0151] 본 명세서에서 설명한 기능들은 하드웨어, 프로세서에 의해 실행되는 소프트웨어, 펌웨어, 또는 이들의 임의의 결합으로 구현될 수도 있다. 프로세서에 의해 실행되는 소프트웨어로 구현된다면, 이 기능들은 컴퓨터 판독 가능 매체 상에 명령들 또는 코드로서 저장되거나 이를 통해 송신될 수도 있다. 다른 예들 및 구현들이 본 개시 및 첨부된 청구항들의 범위 내에 있다. 예를 들어, 소프트웨어의 본질로 인해, 위에서 설명된 기능들은 프로세서에 의해 실행되는 소프트웨어, 하드웨어, 펌웨어, 하드와이어링, 또는 이들 중 임의의 결합들을 사용하여 구현될 수 있다. 기능들을 구현하는 특징들은 또한 기능들의 부분들이 서로 다른 물리적 위치들에서 구현되도록 분산되는 것을 비롯하여 물리적으로 다양한 위치들에 위치될 수 있다. 또한, 청구항들을 포함하여 본 명세서에서 사용된 바와 같이, 항목들의 리스트(예를 들어, "~ 중 적어도 하나" 또는 "~ 중 하나 또는 그보다 많은"과 같은 구로 서문이 쓰여진 항목들의 리스트)에 사용된 "또는"은 예를 들어, "A, B 또는 C 중 적어도 하나"의 리스트가 A 또는 B 또는 C 또는 AB 또는 AC 또는 BC 또는 ABC(즉, A와 B와 C)를 의미하도록 택일적인 리스트를 나타낸다.
[0152] 컴퓨터 판독 가능 매체는 한 장소에서 다른 장소로 컴퓨터 프로그램의 전달을 가능하게 하는 임의의 매체를 포함하는 통신 매체와 컴퓨터 저장 매체를 모두 포함한다. 저장 매체는 범용 또는 특수 목적용 컴퓨터에 의해 액세스 가능한 임의의 이용 가능한 매체일 수도 있다. 한정이 아닌 예시로, 컴퓨터 판독 가능 매체는 RAM, ROM, EEPROM, CD-ROM이나 다른 광 디스크 저장소, 자기 디스크 저장소 또는 다른 자기 저장 디바이스들, 또는 명령들이나 데이터 구조들의 형태로 원하는 프로그램 코드 수단을 전달 또는 저장하는데 사용될 수 있으며 범용 또는 특수 목적용 컴퓨터나 범용 또는 특수 목적용 프로세서에 의해 액세스 가능한 임의의 다른 매체를 포함할 수 있다. 또한, 임의의 접속이 컴퓨터 판독 가능 매체로 적절히 지칭된다. 예를 들어, 소프트웨어가 동축 케이블, 광섬유 케이블, 꼬임 쌍선, 디지털 가입자 회선(DSL: digital subscriber line), 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술들을 이용하여 웹사이트, 서버 또는 다른 원격 소스로부터 전송된다면, 동축 케이블, 광섬유 케이블, 꼬임 쌍선, DSL, 또는 적외선, 라디오 및 마이크로파와 같은 무선 기술들이 매체의 정의에 포함된다. 본 명세서에서 사용된 것과 같은 디스크(disk 및 disc)는 콤팩트 디스크(CD: compact disc), 레이저 디스크(laser disc), 광 디스크(optical disc), 디지털 다기능 디스크(DVD: digital versatile disc), 플로피 디스크(floppy disk) 및 블루레이 디스크(blu-ray disc)를 포함하며, 여기서 디스크(disk)들은 보통 데이터를 자기적으로 재생하는 한편, 디스크(disc)들은 데이터를 레이저들에 의해 광학적으로 재생한다. 상기의 결합들 또한 컴퓨터 판독 가능 매체의 범위 내에 포함된다.
[0153] 본 명세서에서 설명된 기술들은 CDMA, TDMA, FDMA, OFDMA, SC-FDMA 및 다른 시스템들과 같은 다양한 무선 통신 시스템들에 사용될 수 있다. "시스템"과 "네트워크"라는 용어들은 흔히 상호 교환 가능하게 사용된다. CDMA 시스템은 CDMA2000, 범용 지상 무선 액세스(UTRA: Universal Terrestrial Radio Access) 등과 같은 무선 기술을 구현할 수 있다. CDMA2000은 IS-2000, IS-95 및 IS-856 표준들을 커버한다. IS-2000 릴리스(Release) 0 및 릴리스 A는 보통 CDMA2000 1X, 1X 등으로 지칭된다. IS-856(TIA-856)은 흔히 CDMA2000 1xEV-DO, 고속 패킷 데이터(HRPD: High Rate Packet Data) 등으로 지칭된다. UTRA는 광대역 CDMA(WCDMA: Wideband CDMA) 및 CDMA의 다른 변형들을 포함한다. TDMA 시스템은 글로벌 모바일 통신 시스템(GSM: Global System for Mobile Communications)과 같은 무선 기술을 구현할 수 있다. OFDMA 시스템은 울트라 모바일 브로드밴드(UMB: Ultra Mobile Broadband), 진화형 UTRA(E-UTRA: Evolved UTRA), IEEE 802.11(Wi-Fi), IEEE 802.16(WiMAX), IEEE 802.20, 플래시-OFDM 등과 같은 무선 기술을 구현할 수도 있다. UTRA 및 E-UTRA는 범용 모바일 전기 통신 시스템(UMTS: Universal Mobile Telecommunication System)의 일부이다. 3GPP 롱 텀 에볼루션(LTE: Long Term Evolution) 및 LTE 어드밴스드(LTE-A: LTE-Advanced)는 E-UTRA를 사용하는 UMTS의 새로운 릴리스들이다. UTRA, E-UTRA, UMTS, LTE, LTE-A 및 GSM은 "3세대 파트너십 프로젝트"(3GPP: 3rd Generation Partnership Project)로 명명된 조직으로부터의 문서들에 기술되어 있다. CDMA2000 및 UMB는 "3세대 파트너십 프로젝트 2"(3GPP2: 3rd Generation Partnership Project 2)로 명명된 조직으로부터의 문서들에 기술되어 있다. 본 명세서에서 설명한 기술들은 위에서 언급한 시스템들 및 무선 기술들뿐만 아니라, 다른 시스템들 및 무선 기술들에도 사용될 수 있다.
[0154] 본 개시의 상기의 설명은 해당 기술분야에서 통상의 지식을 가진 자가 본 개시를 이용하거나 실시할 수 있게 하도록 제공된다. 본 개시에 대한 다양한 변형들이 해당 기술분야에서 통상의 지식을 가진 자들에게 쉽게 명백할 것이며, 본 명세서에 정의된 일반 원리들은 본 개시의 범위를 벗어나지 않으면서 다른 변형들에 적용될 수 있다. 본 개시 전반에서 "예" 또는 "예시적인"이라는 용어는 예 또는 사례를 나타내며, 언급된 예에 대한 어떠한 선호를 의미하거나 요구하는 것은 아니다. 그러므로 본 개시는 본 명세서에서 설명된 예시들 및 설계들로 한정되는 것이 아니라, 본 명세서에 개시된 원리들 및 신규한 특징들에 부합하는 가장 넓은 범위에 따르는 것이다.

Claims (30)

  1. 클라이언트 디바이스를 안전하게 프로비저닝(provisioning)하기 위한 방법으로서,
    인증 서버에 의해 인증된 신뢰할 수 있는 디바이스로부터 상기 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 상기 신뢰할 수 있는 디바이스로 출력하는 단계;
    상기 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 상기 클라이언트 디바이스로부터 액세스 포인트에 송신하는 단계 ― 상기 액세스 포인트는 상기 제 1 클라이언트 정보를 상기 인증 서버에 송신하기 위한 것이고, 그리고 상기 제 2 클라이언트 정보는 상기 인증 서버에 의해 상기 제 1 클라이언트 정보에 링크됨 ―;
    상기 클라이언트 디바이스에서, 상기 액세스 포인트를 통해 상기 인증 서버로부터 암호화된 인증 크리덴셜(credential)을 수신하는 단계 ― 상기 암호화된 인증 크리덴셜은, 상기 클라이언트 디바이스가 보안 무선 접속을 이용하여 무선 네트워크에 액세스하기 위해 상기 액세스 포인트에 접속하기 위한 것이고, 그리고 상기 제 1 클라이언트 정보 또는 상기 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―; 및
    상기 클라이언트 디바이스에 의해, 상기 암호화된 인증 크리덴셜을 복호화하는 단계; 및
    상기 클라이언트 디바이스에 의해, 복호화된 인증 크리덴셜을 사용하여 인증 프로시저를 완료함으로써 상기 인증 서버와 연관된 상기 액세스 포인트에 접속하는 단계를 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 공개키를 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 식별을 포함하며, 상기 클라이언트 식별은 상기 클라이언트 공개키로부터 도출되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  3. 제 2 항에 있어서,
    상기 암호화된 인증 크리덴셜은 상기 제 1 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  4. 제 1 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 인증 토큰을 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 공개키를 포함하며, 상기 클라이언트 인증 토큰은 상기 클라이언트 공개키로부터 도출되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  5. 제 4 항에 있어서,
    상기 암호화된 인증 크리덴셜은 상기 제 2 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  6. 제 1 항에 있어서,
    상기 인증 서버와 공유 비밀키를 교환하는 단계를 더 포함하고,
    상기 암호화된 인증 크리덴셜은 상기 공유 비밀키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  7. 제 1 항에 있어서,
    상기 인증 프로시저는 전기 전자 기술자 협회(IEEE: Institute of Electrical and Electronics Engineers) 802.1X 확장 가능 인증 프로토콜을 포함하고, 그리고
    상기 액세스 포인트에 접속하는 단계는 Wi-Fi 보호 액세스 II(WPA2: Wi-Fi Protected Access II) 엔터프라이즈 접속을 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  8. 제 1 항에 있어서,
    상기 보안 인터페이스는 상기 제 1 클라이언트 정보를 수동으로 입력하는 것, 상기 제 1 클라이언트 정보의 신속 대응(QR: Quick Response) 코드를 스캔하는 것, 대역 외 무선 채널을 통해 상기 제 1 클라이언트 정보를 송신하는 것, 또는 이들의 조합 중 적어도 하나를 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  9. 제 1 항에 있어서,
    상기 신뢰할 수 있는 디바이스로부터 서버 인증 토큰을 수신하는 단계 ― 상기 서버 인증 토큰은 상기 인증 서버에 의해 상기 암호화된 인증 크리덴셜로부터 도출됨 ―; 및
    수신된 서버 인증 토큰이 상기 복호화된 인증 크리덴셜로부터 도출된 토큰과 매칭함을 검증하는 단계를 더 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 방법.
  10. 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치로서,
    적어도 하나의 프로세서;
    상기 적어도 하나의 프로세서와 전자 통신하는 메모리; 및
    상기 메모리에 저장된 명령들을 포함하고,
    상기 명령들은 상기 적어도 하나의 프로세서에 의해,
    인증 서버에 의해 인증된 신뢰할 수 있는 디바이스로부터 상기 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 상기 신뢰할 수 있는 디바이스로 출력하고;
    상기 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 상기 클라이언트 디바이스로부터 액세스 포인트에 송신하고 ― 상기 액세스 포인트는 상기 제 1 클라이언트 정보를 상기 인증 서버에 송신하기 위한 것이고, 그리고 상기 제 2 클라이언트 정보는 상기 인증 서버에 의해 상기 제 1 클라이언트 정보에 링크됨 ―;
    상기 클라이언트 디바이스에서, 상기 액세스 포인트를 통해 상기 인증 서버로부터 암호화된 인증 크리덴셜을 수신하고 ― 상기 암호화된 인증 크리덴셜은, 상기 클라이언트 디바이스가 보안 무선 접속을 이용하여 무선 네트워크에 액세스하기 위해 상기 액세스 포인트에 접속하기 위한 것이고, 그리고 상기 제 1 클라이언트 정보 또는 상기 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―;
    상기 클라이언트 디바이스에 의해, 상기 암호화된 인증 크리덴셜을 복호화하고; 그리고
    상기 클라이언트 디바이스에 의해, 복호화된 인증 크리덴셜을 사용하여 인증 프로시저를 완료함으로써 상기 인증 서버와 연관된 상기 액세스 포인트에 접속하도록 실행 가능한,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  11. 제 10 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 공개키를 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 식별을 포함하며, 상기 클라이언트 식별은 상기 클라이언트 공개키로부터 도출되고,
    상기 암호화된 인증 크리덴셜은 상기 제 1 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  12. 제 10 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 인증 토큰을 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 공개키를 포함하며, 상기 클라이언트 인증 토큰은 상기 클라이언트 공개키로부터 도출되고, 그리고
    상기 암호화된 인증 크리덴셜은 상기 제 2 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  13. 제 10 항에 있어서,
    상기 적어도 하나의 프로세서에 의해 실행 가능한 명령들은,
    상기 인증 서버와 공유 비밀키를 교환하기 위한 명령들을 더 포함하고,
    상기 암호화된 인증 크리덴셜은 상기 공유 비밀키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  14. 제 10 항에 있어서,
    상기 인증 프로시저는 전기 전자 기술자 협회(IEEE) 802.1X 확장 가능 인증 프로토콜을 포함하고, 그리고
    상기 액세스 포인트에 접속하는 것은 Wi-Fi 보호 액세스 II(WPA2) 엔터프라이즈 접속을 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  15. 제 10 항에 있어서,
    상기 보안 인터페이스는 상기 제 1 클라이언트 정보를 수동으로 입력하는 것, 상기 제 1 클라이언트 정보의 신속 대응(QR) 코드를 스캔하는 것, 그리고 대역 외 무선 채널을 통해 상기 제 1 클라이언트 정보를 송신하는 것 중 적어도 하나를 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  16. 제 10 항에 있어서,
    상기 적어도 하나의 프로세서에 의해 실행 가능한 명령들은,
    상기 신뢰할 수 있는 디바이스로부터 서버 인증 토큰을 수신하고 ― 상기 서버 인증 토큰은 상기 인증 서버에 의해 상기 암호화된 인증 크리덴셜로부터 도출됨 ―; 그리고
    수신된 서버 인증 토큰이 복호화된 인증 크리덴셜로부터 도출된 토큰과 매칭함을 검증하기 위한 명령들을 더 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  17. 클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치로서,
    인증 서버에 의해 인증된 신뢰할 수 있는 디바이스로부터 상기 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 상기 신뢰할 수 있는 디바이스로 출력하기 위한 보안 인터페이스 출력;
    상기 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 상기 클라이언트 디바이스로부터 액세스 포인트에 송신하기 위한 송신기 ― 상기 액세스 포인트는 상기 제 1 클라이언트 정보를 상기 인증 서버에 송신하기 위한 것이고, 그리고 상기 제 2 클라이언트 정보는 상기 인증 서버에 의해 상기 제 1 클라이언트 정보에 링크됨 ―;
    상기 클라이언트 디바이스에서, 상기 액세스 포인트를 통해 상기 인증 서버로부터 암호화된 인증 크리덴셜을 수신하기 위한 수신기 ― 상기 암호화된 인증 크리덴셜은, 상기 클라이언트 디바이스가 보안 무선 접속을 이용하여 무선 네트워크에 액세스하기 위해 상기 액세스 포인트에 접속하기 위한 것이고, 그리고 상기 제 1 클라이언트 정보 또는 상기 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―; 및
    상기 클라이언트 디바이스에 의해 상기 암호화된 인증 크리덴셜을 복호화하고 그리고 상기 클라이언트 디바이스에 의해, 복호화된 인증 크리덴셜을 사용하여 인증 프로시저를 완료함으로써 상기 인증 서버와 연관된 상기 액세스 포인트에 접속하기 위한 인증자를 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  18. 제 17 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 공개키를 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 식별을 포함하며, 상기 클라이언트 식별은 상기 클라이언트 공개키로부터 도출되고,
    상기 암호화된 인증 크리덴셜은 상기 제 1 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  19. 제 17 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 인증 토큰을 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 공개키를 포함하며, 상기 클라이언트 인증 토큰은 상기 클라이언트 공개키로부터 도출되고, 그리고
    상기 암호화된 인증 크리덴셜은 상기 제 2 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  20. 제 17 항에 있어서,
    상기 인증자는 상기 인증 서버와 공유 비밀키를 교환하고, 그리고
    상기 인증자는 상기 공유 비밀키에 적어도 부분적으로 기초하여 상기 암호화된 인증 크리덴셜을 복호화하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  21. 제 17 항에 있어서,
    상기 보안 인터페이스는 상기 제 1 클라이언트 정보를 수동으로 입력하는 것, 상기 제 1 클라이언트 정보의 신속 대응(QR) 코드를 스캔하는 것, 대역 외 무선 채널을 통해 상기 제 1 클라이언트 정보를 송신하는 것, 또는 이들의 조합 중 적어도 하나를 포함하는,
    클라이언트 디바이스를 안전하게 프로비저닝하기 위한 장치.
  22. 무선 통신을 위한 컴퓨터 실행 가능 코드를 저장하는 비-일시적 컴퓨터 판독 가능 저장 매체로서,
    상기 코드는 프로세서에 의해,
    인증 서버에 의해 인증된 신뢰할 수 있는 디바이스로부터 상기 인증 서버에 송신될 제 1 클라이언트 정보를 보안 인터페이스를 통해 상기 신뢰할 수 있는 디바이스로 출력하고;
    상기 제 1 클라이언트 정보와 관련된 제 2 클라이언트 정보를 클라이언트 디바이스로부터 액세스 포인트에 송신하고 ― 상기 액세스 포인트는 상기 제 1 클라이언트 정보를 상기 인증 서버에 송신하기 위한 것이고, 그리고 상기 제 2 클라이언트 정보는 상기 인증 서버에 의해 상기 제 1 클라이언트 정보에 링크됨 ―;
    상기 클라이언트 디바이스에서, 상기 액세스 포인트를 통해 상기 인증 서버로부터 암호화된 인증 크리덴셜을 수신하고 ― 상기 암호화된 인증 크리덴셜은, 상기 클라이언트 디바이스가 보안 무선 접속을 이용하여 무선 네트워크에 액세스하기 위해 상기 액세스 포인트에 접속하기 위한 것이고, 그리고 상기 제 1 클라이언트 정보 또는 상기 제 2 클라이언트 정보에 적어도 부분적으로 기초하여 암호화됨 ―;
    상기 클라이언트 디바이스에 의해, 상기 암호화된 인증 크리덴셜을 복호화하고; 그리고
    상기 클라이언트 디바이스에 의해, 복호화된 인증 크리덴셜을 사용하여 인증 프로시저를 완료함으로써 상기 인증 서버와 연관된 상기 액세스 포인트에 접속하도록 실행 가능한,
    비-일시적 컴퓨터 판독 가능 저장 매체.
  23. 제 22 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 공개키를 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 식별을 포함하며, 상기 클라이언트 식별은 상기 클라이언트 공개키로부터 도출되고,
    상기 암호화된 인증 크리덴셜은 상기 제 1 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    비-일시적 컴퓨터 판독 가능 저장 매체.
  24. 제 22 항에 있어서,
    상기 제 1 클라이언트 정보는 클라이언트 인증 토큰을 포함하고, 상기 제 2 클라이언트 정보는 클라이언트 공개키를 포함하며, 상기 클라이언트 인증 토큰은 상기 클라이언트 공개키로부터 도출되고, 그리고
    상기 암호화된 인증 크리덴셜은 상기 제 2 클라이언트 정보에서 송신되는 상기 클라이언트 공개키에 적어도 부분적으로 기초하여 암호화되고, 그리고 상기 암호화된 인증 크리덴셜은 상기 클라이언트 공개키에 대응하는 클라이언트 개인키에 적어도 부분적으로 기초하여 복호화되는,
    비-일시적 컴퓨터 판독 가능 저장 매체.
  25. 제 22 항에 있어서,
    상기 프로세서에 의해 실행 가능한 명령들은,
    상기 인증 서버와 공유 비밀키를 교환하기 위한 명령들을 더 포함하고,
    상기 암호화된 인증 크리덴셜은 상기 공유 비밀키에 적어도 부분적으로 기초하여 복호화되는,
    비-일시적 컴퓨터 판독 가능 저장 매체.
  26. 제 22 항에 있어서,
    상기 보안 인터페이스는 상기 제 1 클라이언트 정보를 수동으로 입력하는 것, 상기 제 1 클라이언트 정보의 신속 대응(QR) 코드를 스캔하는 것, 대역 외 무선 채널을 통해 상기 제 1 클라이언트 정보를 송신하는 것, 또는 이들의 조합 중 적어도 하나를 포함하는,
    비-일시적 컴퓨터 판독 가능 저장 매체.
  27. 삭제
  28. 삭제
  29. 삭제
  30. 삭제
KR1020177004232A 2014-08-18 2015-08-10 인증 크리덴셜의 보안 프로비저닝 KR101808146B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/462,272 US9654972B2 (en) 2014-08-18 2014-08-18 Secure provisioning of an authentication credential
US14/462,272 2014-08-18
PCT/US2015/044449 WO2016028530A1 (en) 2014-08-18 2015-08-10 Secure provisioning of an authentication credential

Publications (2)

Publication Number Publication Date
KR20170043531A KR20170043531A (ko) 2017-04-21
KR101808146B1 true KR101808146B1 (ko) 2018-01-18

Family

ID=53872187

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177004232A KR101808146B1 (ko) 2014-08-18 2015-08-10 인증 크리덴셜의 보안 프로비저닝

Country Status (7)

Country Link
US (1) US9654972B2 (ko)
EP (1) EP3183857B1 (ko)
JP (1) JP6203985B1 (ko)
KR (1) KR101808146B1 (ko)
CN (1) CN106664554B (ko)
BR (1) BR112017003018A2 (ko)
WO (1) WO2016028530A1 (ko)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9589043B2 (en) 2013-08-01 2017-03-07 Actiance, Inc. Unified context-aware content archive system
US10826900B1 (en) * 2014-12-31 2020-11-03 Morphotrust Usa, Llc Machine-readable verification of digital identifications
US9742780B2 (en) * 2015-02-06 2017-08-22 Microsoft Technology Licensing, Llc Audio based discovery and connection to a service controller
US9660999B2 (en) * 2015-02-06 2017-05-23 Microsoft Technology Licensing, Llc Discovery and connection to a service controller
EP3110099B1 (en) * 2015-06-24 2018-10-31 Accenture Global Services Limited Device authentication
US9922225B2 (en) * 2015-09-16 2018-03-20 CloudMondo, Inc. Cloud-based authentication of user devices for onboarding to a Wi-Fi network
CN105099712B (zh) * 2015-09-17 2018-11-20 深圳三元色数码科技有限公司 一种基于双码验证的数据加密方法
EP3438837A4 (en) 2016-03-29 2019-03-20 Ricoh Company Ltd. SERVICE PROVIDING SYSTEM, SERVICE DISTRIBUTION SYSTEM, SERVICE PROVIDING METHOD, AND PROGRAM
CN109074327B (zh) * 2016-03-29 2022-02-15 株式会社理光 服务提供系统、服务递送系统、服务提供方法和程序
WO2017170255A1 (ja) 2016-03-29 2017-10-05 株式会社リコー サービス提供システム、サービス授受システム、サービス提供方法、及びプログラム
WO2018004303A1 (ko) * 2016-07-01 2018-01-04 엘지전자(주) 블루투스 기술을 사용하는 장치의 인증 방법 및 장치
US10880254B2 (en) 2016-10-31 2020-12-29 Actiance, Inc. Techniques for supervising communications from multiple communication modalities
US20180285875A1 (en) * 2017-03-31 2018-10-04 Simon Law Static token systems and methods for representing dynamic real credentials
SG11202009502UA (en) 2018-03-27 2020-10-29 Visa Int Service Ass System and method for authorizing and provisioning a token to an appliance
WO2019192935A1 (en) * 2018-04-06 2019-10-10 Interdigital Ce Patent Holdings Transfer of credentials during network device insertion
US10931448B2 (en) 2018-06-28 2021-02-23 DISH Technologies L.L.C. Authentication through secure sharing of digital secrets previously established between devices
US11259186B2 (en) * 2019-01-10 2022-02-22 Verizon Patent And Licensing Inc. Systems and methods for validating a device and authenticating a user
US10523708B1 (en) * 2019-03-18 2019-12-31 Capital One Services, Llc System and method for second factor authentication of customer support calls
KR102657527B1 (ko) 2019-03-21 2024-04-15 삼성전자주식회사 계정 관련 정보에 기반하여 장치를 설정하는 방법 및 그 전자 장치
US11810105B2 (en) 2019-06-20 2023-11-07 Visa International Service Association System and method for authorizing and provisioning a token to an appliance
WO2020254614A1 (en) * 2019-06-21 2020-12-24 Assa Abloy Ab Securely sharing private information
US11750599B2 (en) * 2020-06-04 2023-09-05 Wipro Limited Method and server for authentication using continuous real-time stream as an authentication factor
WO2023077280A1 (en) * 2021-11-02 2023-05-11 Huawei Technologies Co., Ltd. Certificate-less authentication and secure communication
WO2023217645A1 (de) 2022-05-10 2023-11-16 Barix Ag Abgesichertes zugriffssystem

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130263211A1 (en) 2012-04-01 2013-10-03 Authentify, Inc. Secure authentication in a multi-party system
US20140223175A1 (en) 2012-12-31 2014-08-07 Piyush Bhatnagar System, design and process for easy to use credentials management for online accounts using out-of-band authentication

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7350076B1 (en) 2001-05-16 2008-03-25 3Com Corporation Scheme for device and user authentication with key distribution in a wireless network
US7680085B2 (en) * 2001-07-24 2010-03-16 Symbol Technologies, Inc. Out-of-band management and traffic monitoring for wireless access points
US20060149858A1 (en) * 2004-12-30 2006-07-06 Microsoft Corporation Establishing wireless universal serial bus (WUSB) connection via a trusted medium
US8001584B2 (en) 2005-09-30 2011-08-16 Intel Corporation Method for secure device discovery and introduction
WO2008122923A2 (en) * 2007-04-05 2008-10-16 International Business Machines Corporation System and method for distribution of credentials
US8583915B1 (en) 2007-05-31 2013-11-12 Bby Solutions, Inc. Security and authentication systems and methods for personalized portable devices and associated systems
CN100566460C (zh) * 2007-07-13 2009-12-02 北京工业大学 利用短消息实现的移动实体间的认证与密钥协商方法
JP5136012B2 (ja) * 2007-11-16 2013-02-06 富士通株式会社 データ送付方法
JP5081085B2 (ja) * 2008-07-15 2012-11-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 サービス連携方法、サービス提供装置、及びプログラム
CN101610514B (zh) * 2009-07-23 2012-07-04 中兴通讯股份有限公司 认证方法、认证系统及认证服务器
US20110219427A1 (en) 2010-03-04 2011-09-08 RSSBus, Inc. Smart Device User Authentication
US8667569B2 (en) * 2011-09-29 2014-03-04 Target Brands, Inc. Credentials management
US9088891B2 (en) 2012-08-13 2015-07-21 Wells Fargo Bank, N.A. Wireless multi-factor authentication with captive portals
EP2747363A1 (en) 2012-12-24 2014-06-25 Orange Transaction validation method using a communications device
US9130929B2 (en) * 2013-03-15 2015-09-08 Aol Inc. Systems and methods for using imaging to authenticate online users

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130263211A1 (en) 2012-04-01 2013-10-03 Authentify, Inc. Secure authentication in a multi-party system
US20140223175A1 (en) 2012-12-31 2014-08-07 Piyush Bhatnagar System, design and process for easy to use credentials management for online accounts using out-of-band authentication

Also Published As

Publication number Publication date
CN106664554B (zh) 2017-12-01
CN106664554A (zh) 2017-05-10
WO2016028530A1 (en) 2016-02-25
EP3183857A1 (en) 2017-06-28
KR20170043531A (ko) 2017-04-21
US9654972B2 (en) 2017-05-16
JP6203985B1 (ja) 2017-09-27
US20160050565A1 (en) 2016-02-18
BR112017003018A2 (pt) 2017-12-12
JP2017535096A (ja) 2017-11-24
EP3183857B1 (en) 2018-07-25

Similar Documents

Publication Publication Date Title
KR101808146B1 (ko) 인증 크리덴셜의 보안 프로비저닝
TWI724132B (zh) 無線通訊的方法、用於無線通訊的裝置以及用於執行該方法的電腦程式軟體
US20220385445A1 (en) EMBEDDED UNIVERSAL INTEGRATED CIRCUIT CARD (eUICC) PROFILE CONTENT MANAGEMENT
EP3340690B1 (en) Access method, device and system for user equipment (ue)
US11863984B2 (en) Method and apparatus for detecting and handling evil twin access points
US10470102B2 (en) MAC address-bound WLAN password
US10057766B2 (en) Methods and systems for authentication interoperability
KR20200107959A (ko) 다중 등록들을 위한 방법 및 장치
JP2014509162A (ja) セキュアエレメントを用いたリモート局の認証方法
EP3700245B1 (en) Communication method and device
US20170238236A1 (en) Mac address-bound wlan password
US11121871B2 (en) Secured key exchange for wireless local area network (WLAN) zero configuration
US11917416B2 (en) Non-3GPP device access to core network
US11711693B2 (en) Non-3GPP device access to core network
US20220295276A1 (en) Mobile device authentication without electronic subscriber identity module (esim) credentials

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant