KR101824895B1 - 네트워크 기록을 통한 무선 장치에 대한 보안 접속 - Google Patents

네트워크 기록을 통한 무선 장치에 대한 보안 접속 Download PDF

Info

Publication number
KR101824895B1
KR101824895B1 KR1020167013897A KR20167013897A KR101824895B1 KR 101824895 B1 KR101824895 B1 KR 101824895B1 KR 1020167013897 A KR1020167013897 A KR 1020167013897A KR 20167013897 A KR20167013897 A KR 20167013897A KR 101824895 B1 KR101824895 B1 KR 101824895B1
Authority
KR
South Korea
Prior art keywords
network
record
delete delete
wireless device
acknowledgment
Prior art date
Application number
KR1020167013897A
Other languages
English (en)
Other versions
KR20160075727A (ko
Inventor
이제키엘 크룩릭
Original Assignee
엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 filed Critical 엠파이어 테크놀로지 디벨롭먼트 엘엘씨
Publication of KR20160075727A publication Critical patent/KR20160075727A/ko
Application granted granted Critical
Publication of KR101824895B1 publication Critical patent/KR101824895B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/10Connection setup
    • H04W76/14Direct-mode setup
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

기술은 일반적으로 장치 네트워크 기록을 사용하여 무선 장치 및 다른 장치 또는 인식된 서비스 사이에서 보안 접속을 설정하기 위한 시스템에 대해 설명된다. 일부 예시에 따르면, 무선 장치는 다른 무선 또는 인식된 서비스와 통신 세션을 개시하기 위한 인증 요청을 전송할 수 있다. 인증 요청은 장치와 연관된 네트워크 기록에 기초하여 장치에 의해 합성된, 1 비밀 또는 해시로 암호화될 수 있다. 장치는 네트워크 기록의 네트워크의 복사를 사용하여 인증될 수 있다. 네트워크는 다른 장치 또는 인식된 서비스의 ID를 유사하게 인증할 수 있다. 네트워크는 네트워크 기록에 기초하여 제2 비밀을 합성할 수 있고, 제2 비밀에 의해 보안된 통신 세션이 가능하도록 인식된 서비스 또는 다른 장치에 제2 비밀을 제공할 수 있다.

Description

네트워크 기록을 통한 무선 장치에 대한 보안 접속{SECURE CONNECTION FOR WIRELESS DEVICES VIA NETWORK RECORDS}
여기에서 달리 지적되지 않는다면, 본 섹션에서 설명되는 내용은 본 출원에서 청구범위에 대한 선행 기술이 아니며, 본 섹션에 포함함으로써 선행 기술로 인정되지 않는다.
전형적으로, 모바일 통신 장치 사용자는 사용자의 모바일 통신 장치의 커스터마이제이션(customization)을 위해 허용하는, 소프트웨어 애플리케이션을 선택하고 설치할 자유를 가진다. 또한, 모바일 장치의 동작은 사용자에게 전문적 기술을 거의 요구하지 않는다. 따라서, 취약성(vulnerability), 멀웨어(malware), 위협 및 위협원에 대해 모바일 장치의 내재하는 민감성이 있을 수 있다. 또한, 복잡한 보안 소프트웨어를 동작할 수 있는 데스크톱 컴퓨터와는 달리, 모바일 통신 장치는 일반적으로 유사 소프트웨어를 효율적으로 운영하기 위한 프로세싱 능력 및 리소스가 없다.
기본 시스템과 사용자 사이에 심히 강제되는 경계와 함께, 모바일 장치는 전형적으로 리소스 제한되고 일반적으로 기기와 같게 되도록 설계되므로, 서버 및 데스크톱 도메인에서 발견되는 보안 수단은 일반적으로 모바일 장치에 제대로 옮겨질 수 없다. 사용자는 일반적으로 즉흥적인 방식으로 모바일 장치를 동작하며, 또한 사용자는 그들의 데이터의 보안 상에 시각이 거의 없을 수 있다. 동작의 방식으로 인하여, 종래의 컴퓨팅 도메인으로부터 모바일 장치로의 정보 보안 툴의 전달은 자주 어려울 수 있다. 전술한 보안 문제를 효과적으로 운영하기 위하여, 네트워크 및 모바일 장치 사이의 데이터 전송의 범용이고 안전하며 사용자 친화적인 방법이 유용할 수 있다.
본 개시는 그 중에서도, 무선 장치 네트워크 기록을 사용하여 무선 장치 및 다른 무선 장치 또는 인식된 서비스 사이의 보안 접속의 설정을 일반적으로 설명한다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치에 대해 보안 접속을 설정하기 위한 방법을 설명할 수 있다. 방법은 제1 네트워크에서, 제2 장치와 통신 세션(communication session)을 개시하도록 제1 장치로부터 인증 요청을 수신하는 단계를 포함할 수 있다. 제1 장치의 인증 요청은 제1 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 제1 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 제1 장치를 인증하는 단계 및 인증된 요청을 보안 통신 채널을 통해 제2 네트워크로 제공하는 단계를 포함할 수 있다.
다른 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 방법을 설명할 수 있다. 방법은 네트워크에서, 인식된 서비스와 통신 세션을 개시하도록 장치로부터 인증 요청을 수신하는 단계를 포함할 수 있다. 인증 요청은 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 장치를 인증하는 단계를 포함할 수 있다. 방법은 인식된 서비스의 ID를 인증하는 단계를 포함할 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록에 기초하여 제2 비밀을 합성하는 단계를 포함할 수 있다. 방법은 보안 통신 채널을 통해 제2 비밀을 장치 및 인식된 서비스로 제공하는 단계 및 제2 비밀에 의해 보안된 채널을 통해 장치 및 인식된 서비스 사이의 요청된 통신 세션을 설정하는 단계를 포함할 수 있다.
추가적인 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치에 대해 보안 접속을 설정하기 위한 시스템을 설명할 수 있다. 시스템은 복수의 기지국 또는 셀 타워 및 제1 네트워크의 컨트롤러를 포함할 수 있다. 컨트롤러는 제2 장치와 통신 세션을 개시하도록 제1 장치로부터 인증 요청을 수신하도록 구성될 수 있다. 인증 요청은 제1 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 제1 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 컨트롤러는 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 제1 장치를 인증하고 보안 통신 채널을 통해 제2 장치와 연관된 제2 네트워크로 인증된 요청을 제공하도록 구성될 수 있다. 컨트롤러는 보안 통신 채널을 통해 제2 네트워크로부터 제2 장치의 인증된 응답을 수신하고 제2 네트워크로 제2 비밀에 동의하도록 구성될 수 있다. 컨트롤러는 제2 비밀에 의해 보안된 채널을 통해 제1 장치 및 제2 장치 사이에서 요청된 통신 세션을 설정하도록 구성될 수 있다.
또 다른 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 시스템을 설명할 수 있다. 시스템은 복수의 기지국 또는 셀 타워 및 장치와 연관된 네트워크의 컨트롤러를 포함할 수 있다. 컨트롤러는 인식된 서비스와 통신 세션을 개시하도록 장치로부터 인증 요청을 수신하도록 구성될 수 있다. 인증 요청은 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 컨트롤러는 하나 이상의 네트워크 기록의 확인에 기초하여 장치를 인증하고 인식된 서비스의 ID를 인증하도록 더 구성될 수 있다. 컨트롤러는 하나 이상의 네트워크 기록에 기초하여 제2 비밀을 합성하고 보안 통신 채널을 통해 장치 및 인식된 서비스로 제2 비밀을 제공하도록 더 구성될 수 있다. 컨트롤러는 추가적으로 제2 비밀에 의해 보안된 채널을 통해 장치 및 인식된 서비스 사이에서 요청된 통신 세션을 설정하도록 더 구성될 수 있다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치에 대해 보안 접속을 설정하기 위한 저장된 명령어를 가지는 컴퓨터 판독 가능 저장 매체를 설명할 수 있다. 또한, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 저장된 명령어를 가지는 컴퓨터 판독 가능 저장 매체를 설명할 수 있다.
이상의 요약은 단순히 예시적인 것으로서 어떠한 방식으로든 제한적으로 의도된 것은 아니다. 이하의 상세한 설명과 도면을 참조함으로써, 위에서 설명된 예시적인 양태들, 예시들 및 특징들에 더하여, 추가적인 양태들, 예시들 및 특징들 또한 명확해질 것이다.
본 개시의 전술한 특징 및 다른 특징은 첨부 도면과 결합하여, 다음의 설명 및 첨부된 청구범위로부터 더욱 충분히 명백해질 것이다. 이들 도면은 본 개시에 따른 단지 몇 개의 예시를 도시할 뿐이고, 따라서, 본 개시의 범위를 제한하는 것으로 고려되어서는 안 될 것임을 이해하면서, 본 개시는 첨부 도면의 사용을 통해 더 구체적이고 상세하게 설명될 것이다.
도 1은 장치 기록이 교환되는 예시적 네트워크를 예시하고;
도 2는 제1 무선 장치 및 제2 무선 장치 사이에서 보안 접속을 설정하기 위한 예시적 시나리오를 예시하고;
도 3은 제1 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 도식을 예시하고;
도 4는 네트워크 기록을 이용하여 무선 장치와 보안 접속을 설정하는 데 사용될 수 있는, 범용 컴퓨팅 장치를 예시하고;
도 5는 도 4의 컴퓨팅 장치와 같은 컴퓨팅 장치에 의해 수행될 수 있는 예시적 방법을 예시하는 흐름도이며; 그리고
도 6은 예시적 컴퓨터 프로그램 제품의 블록도를 예시하고,
모두 여기에서 설명된 적어도 일부 실시예에 따라 배열된다.
이하의 상세한 설명에서, 설명의 일부를 이루는 첨부된 도면이 참조된다. 문맥에서 달리 지시하고 있지 않은 한, 도면에서 유사한 부호는 통상적으로 유사한 컴포넌트를 나타낸다. 상세한 설명, 도면 및 청구범위에 설명되는 예시적인 예시들은 제한적으로 여겨지지 않는다. 여기에서 제시되는 대상의 범위 또는 사상에서 벗어나지 않으면서 다른 예시들이 이용될 수 있고, 다른 변경이 이루어질 수 있다. 여기에서 일반적으로 설명되고, 도면에 예시되는 본 개시의 양태는 다양한 다른 구성으로 배열, 대체, 조합, 분리 및 설계될 수 있으며 이 모두가 여기에서 명백히 고려됨을 당업자는 쉽게 이해할 수 있을 것이다.
일반적으로, 프로그램 모듈은 루틴, 프로그램, 컴포넌트, 데이터 구조 및 특정 태스크를 수행하거나 특정 추상 데이터 유형을 구현하는 다른 유형의 구조를 포함한다. 또한, 당업자는 예시들이 휴대용 장치, 멀티프로세서 시스템, 게임 콘솔을 포함하는 마이크로프로세서 기반 또는 프로그램 가능 가전 제품, 미니컴퓨터, 메인프레임 컴퓨터 및 비슷한 컴퓨팅 장치를 포함하는 다른 컴퓨터 시스템 구성으로 실시될 수 있음을 이해할 것이다. 예시들은 통신 네트워크를 통해 연결될 수 있는 원격 프로세싱 장치에 의해 태스크가 수행될 수 있는 분산 컴퓨팅 환경에서 실시될 수도 있다. 분산 컴퓨팅 환경에서, 프로그램 모듈은 로컬 및 원격 메모리 저장 장치 둘 다에 위치될 수 있다.
예시들은 컴퓨터 구현 프로세스(방법), 컴퓨팅 시스템, 또는 컴퓨터 프로그램 제품 또는 컴퓨터 판독 가능 매체와 같은 제조 물품(article of manufacture)으로서 구현될 수 있다. 컴퓨터 프로그램 제품은 컴퓨터 시스템에 의해 판독 가능하고 컴퓨터 또는 컴퓨팅 시스템이 예시적인 프로세스를 수행하게 하기 위한 명령어를 포함하는 컴퓨터 프로그램을 인코딩하는 컴퓨터 저장 매체일 수 있다. 컴퓨터 판독 가능 저장 매체는 컴퓨터 판독 가능 메모리 장치이다. 컴퓨터 판독 가능 저장 매체는, 예컨대 휘발성 컴퓨터 메모리, 비휘발성 메모리, 하드 드라이브, 플래시 드라이브, 플로피 디스크 또는 컴팩트 디스크 및 비슷한 매체 중 하나 이상을 통해 구현될 수 있다.
본 개시는 그 중에서도, 무선 장치 네트워크 기록을 사용하여 무선 장치 및 다른 무선 장치 또는 인식된 서비스 사이의 보안 접속을 설정하기 위한 방법, 시스템 및 컴퓨터 판독 가능 저장 매체에 일반적으로 관련된다.
간략하게 언급하면, 기술은 일반적으로 장치 네트워크 기록을 사용하여 무선 장치 및 다른 무선 장치 또는 인식된 서비스 사이에서 보안 접속을 설정하기 위한 시스템에 대해 설명된다. 일부 예시에서 따르면, 무선 장치는 다른 무선 또는 인식된 서비스와 통신 세션을 개시하기 위한 인증 요청을 전송할 수 있다. 인증 요청은 장치와 연관된 네트워크 기록에 기초하여 장치에 의해 합성된, 제1 비밀 또는 해시(hash)로 암호화될 수 있다. 장치는 네트워크 기록의 네트워크의 복사를 사용하여 인증될 수 있다. 네트워크는 다른 장치 또는 인식된 서비스의 ID를 유사하게 인증할 수 있다. 네트워크는 네트워크 기록에 기초하여 제2 비밀을 합성할 수 있고, 제2 비밀에 의해 보안된 통신 세션이 가능하도록 인식된 서비스 또는 다른 장치에 제2 비밀을 제공할 수 있다.
여기에서 사용된 바에 따른 데이터센터는 하나 이상의 물리적 서버 설치 및 그 서버 설치에서 실행되는 하나 이상의 가상 머신을 통하여 고객을 위한 애플리케이션 또는 서비스를 호스팅하는 엔티티(entity)를 참조한다. 데이터센터의 고객은 테넌트(tenant)로도 칭해지며, 복수의 사용자에 의해 그 서비스에 대한 액세스를 제공하는 조직일 수 있다. 예시적 데이터센터 기반의 서비스 구성은 고객(사용자)에게 소매 영업 서비스를 제공하는 온라인 소매 서비스를 포함할 수 있다. 소매 서비스는 하나 이상의 데이터센터에 의해 호스팅될 수 있는, 복수의 애플리케이션(예컨대, 소매품의 제시, 구입 관리, 운송 관리, 재고 관리 등)을 이용할 수 있다. 고객은 하나 이상의 네트워크를 통한 브라우저와 같은 클라이언트 애플리케이션을 통해 소매 서비스의 그 애플리케이션들과 통신할 수 있고, 어디에서 각각의 애플리케이션이 실제로 실행될 수 있는지 알아차리지 않고 제공된 서비스를 수신할 수 있다. 시나리오는 각 서비스 제공자가 그 애플리케이션을 실행하고 소매 서비스 구내에 물리적으로 위치하는 소매 서비스 소유 서버에 그 사용자를 액세스하게 하는, 예측 가능한 구성과 대비된다.
도 1은 여기에서 설명된 적어도 일부 실시예에 따라 배열된, 장치 기록이 교환되는 예시적 네트워크를 예시한다.
여기에서 설명된 다양한 실시예에 따르는 시스템에서, 셀룰러 장치와 같은 무선 장치는 네트워크 기록의 고유의 세트를 이용하는 다른 무선 장치 및/또는 인식된 제삼자 서비스와 보안 접속을 설정할 수 있다. 도표(100)에 예시된 바에 따라, 셀룰러 또는 모바일 네트워크와 같은 네트워크는 토지 영역 또는 셀을 통해 분산될 수 있고, 각각의 셀은 일반적으로 셀 사이트 또는 기지국으로 알려진 적어도 하나의 위치 고정 트랜스시버 또는 타워(예컨대, 셀 112, 114)를 포함할 수 있다. 함께, 셀은 넓은 지리 영역에 걸친 네트워크 커버리지를 제공한다. 네트워크에서, 각각의 셀은 무선 장치(108) 또는 모바일 장치(116)와 같은, 휴대용 장치가 서비스 제공자의 네트워크에 접속하고 서로 통신하도록 가능하게 한다. 무선 장치(108)가 계속 진행중인 통신 동안 영역을 통하여 이동함에 따라, 무선 장치는 통신 동안 하나 이상의 셀(예컨대, 셀 112, 114)에 접속할 수 있다. 무선 장치(108)는 끊김 없는 자동 핸드오프에서, 중단 없이 그리고 기지국 운영자(operator) 또는 수동 전환 없이 하나의 셀로부터 다른 셀로 전환할 수 있다.
네트워크 기록은 장치가 네트워크를 통하여 이동하고 네트워크 내에서 상이한 셀에 접속함에 따라 접속함에 따라 무선 장치를 유지하거나 기록할 수 있다. 네트워크 기록은 승인(admission) 및 제거(eviction) 기록의 세트를 포함할 수 있다. 승인 기록은 무선 장치가 켜지고 초기에 서비스 제공자의 네트워크에 접속하는 경우뿐 아니라 장치가 다음에 네트워크 내의 새로운 셀에 접속하는 경우에도 생성될 수 있다. 제거 기록은 무선 장치가 꺼지는 경우 및 장치가 신호 장치의 손실로 인하여 셀에서 떨어지거나 장치가 셀을 떠나거나 새로운 셀로 핸드오프되는 경우 생성될 수 있다. 예시적 시나리오에서, 제1 위치에서 제2 위치로의 운전의 결과로 무선 장치가 이동함에 따라, 무선 장치는 루트에 따라 복수의 셀의 범위 안팎으로 이동하고, 무선 장치(108)가 하나의 셀 타워로부터 다른 셀 타워로 핸드오프됨에 따라 승인 및 제거 기록의 고유의 세트를 생성할 수 있다.
무선 장치(108)는 무선 장치 상에 승인 및 제거 기록(106)의 고유의 세트를 로컬 저장할 수 있고, 또한 네트워크의 각각의 셀(112, 114)은 셀 타워에 접속하고 접속을 끊는 복수의 무선 장치에 대한 그 자신의 승인 및 제거 기록(102, 104)의 세트를 생성할 수 있다. 각각의 셀(112, 114)은 그 승인 및 제거 기록(102, 104)의 세트를 보안 채널을 통해 서비스 제공자(110)와 연관되는 중앙 데이터센터에 전송할 수 있고, 여기에서 서비스 제공자(110)는 서비스 제공자의 네트워크 내의 모든 셀 타워에 대해 승인 및 제거 기록을 수집할 수 있다. 서비스 제공자의 네트워크 내의 셀에 대한 수집된 승인 및 제거 기록(102, 104)은 서비스 제공자(110)가 각각의 무선 장치의 로컬 저장된 승인 및 제거 기록의 복사(duplicate)를 가지도록 가능하게 할 수 있다. 예시적 시나리오에서, 무선 장치(108)가 전원을 켜고 끄며 셀 사이를 이동함에 따라, 무선 장치(108)는 그 자신 및 그 서비스 제공자의 중앙 데이터센터에 알려진 승인 및 제거 기록의 고유의 조합을 생성할 수 있다. 제2 장치가 동일한 사람에 의해 운반되더라도, 셀들 사이의 핸드오프가 다르도록 야기할 수 있는 성능 및 안테나 방향에서 약간의 차이를 가질 수 있어서, 각각의 장치는 고유의 승인 및 제거 기록을 가진다.
예시적 실시예에서, 승인 및 제거 기록은 각각의 무선 장치에 대해 고유하고, 승인 및 제거 기록은 보안 접속을 통해 설정되므로, 승인 및 제거 기록은 보안 데이터 접속을 설정하도록 공유된 비밀을 생성하는 데 안전한 방식일 수 있다. 예컨대, 무선 장치는 무선 장치에 대한 승인 및 제거 기록(106)으로부터 생성된 공유된 비밀을 사용하여 무선 장치의 서비스 제공자(110)와 보안 접속을 설정할 수 있다. 그 후, 보안 접속은 승인 및 제거 기록으로부터 생성된 제2 비밀을 사용하여, 은행 계정, 이메일 계정, 또는 온라인 쇼핑 계정과 같은 인식된 서비스 및/또는 다른 무선 장치와 설정될 수 있다. 공유된 비밀이 비보안 접속을 통해 공유되지 않음으로써 보호될 수 있도록, 제2 비밀은 보안 접속을 통해 다른 무선 장치 및/또는 인식된 서비스에 제공될 수 있다.
도 2는 여기에서 설명된 적어도 일부 실시예들에 따라 배열된, 제1 무선 장치 및 제2 무선 장치 사이에서 보안 접속을 설정하기 위한 예시적 시나리오를 예시한다.
도표(200)에 예시된 바에 따라, 제1 사용자 장치(210)는 제1 네트워크(220) 및 제2 네트워크(230)를 통해 제2 사용자 장치(240)와 보안 통신 세션을 설정하도록 요구할 수 있다. 제1 네트워크(220)는 제1 사용자 장치(210)와 연관되는 서비스 제공자 네트워크일 수 있고, 제2 네트워크(230)는 제2 사용자 장치(240)와 연관되는 서비스 제공자 네트워크일 수 있다. 또한 제1 및 제2 네트워크(220, 230)는 예컨대, 셀룰러 네트워크, 브로드밴드 네트워크, WLAN(wireless local area network), WAN(wide area network) 및 유선 네트워크와 같은 다른 네트워크를 포함할 수 있다. 제1 사용자 장치(210) 및 제2 사용자 장치(240) 사이의 보안 통신 세션은 NFC(near-field communication)(예컨대, 블루투스) 또는 사설 또는 공중 무선 네트워크와 같은 무선 접속을 통해 설정될 수 있다. 보안 통신 세션을 설정하기 위하여, 제1 네트워크(220) 및 제2 네트워크(230)는 각각의 장치와 연관되는 승인 및 제거 기록을 이용하여 제1 사용자 장치(210) 및 제2 사용자 장치(240) 각각을 인증할 수 있다.
예시적 실시예에서, 제1 사용자 장치(210)는 제2 사용자 장치(240)와 통신 세션 요청을 개시(202)할 수 있다. 통신 세션을 개시(202)하기 위한 요청은 제1 네트워크(220)에서 제1 사용자 장치(210)를 인증하기 위한 암호화된 인증 데이터(206)를 포함할 수 있다. 암호화된 인증 데이터(206)는 제1 비밀로 암호화된 핸드셰이크(handshake) 데이터일 수 있다. 제1 사용자 장치(210)는 제1 사용자 장치(210)와 연관되는 승인 및 제거 기록에 기초하여 제1 비밀을 합성할 수 있다. 합성된 제1 비밀은 예컨대, 제1 사용자 장치(210)와 연관되는 승인 및 제거 기록의 해시일 수 있다. 제1 사용자 장치(210)는 해시로 핸드셰이크 데이터를 암호화할 수 있고, 인증을 위하여 제1 네트워크(220)로 세션 타임스탬프(204)와 함께 암호화된 핸드셰이크 데이터를 전송할 수 있다. 암호화된 핸드셰이크가 비인가된 제삼자에 의해 가로채지면, 제삼자는 암호화된 데이터를 볼 수 있다. 그러나, 제삼자는 제1 사용자 장치(210)와 연관되는 고유의 승인 및 제거 기록이 없기 때문에 해시를 결정하기 위한 방식을 가질 수 없으므로, 제삼자는 데이터를 해독하기 불가능할 수 있다.
일부 경우에, 승인 및 제거 기록은 장치가 전원을 켜거나 끄지 않거나 상이한 타워 또는 셀에 접속하지 않은 경우와 같이, 기간 동안 고정인 채 있을 수 있고, 이는 비인가된 제삼자에 의한 재전송 공격(replay attack)에 취약성을 야기할 수 있다. 세션 타임스탬프는 일회용 해시를 제공함으로써 향상된 보안 및 인증을 제공하고 재전송 공격에 대한 취약성을 해결하도록 암호화된 인증 데이터(206)가 포함될 수 있다. 세션 타임스탬프(204)는 통신 세션이 개시되고 제1 네트워크(220)에 의해 수락되는 경우의 네트워크 타임스탬프일 수 있다. 인증 데이터를 암호화하는 데 이용되는 예시적 해시는
Figure 112016050274245-pct00001
일 수 있고, 여기에서
Figure 112016050274245-pct00002
은 승인 및 제거 기록의 추출이고,
Figure 112016050274245-pct00003
는 유닉스 시간에서 세션 타임스탬프이며,
Figure 112016050274245-pct00004
는 해시를 생성하도록 선택된 수학 또는 논리 연산이다.
예시적 실시예에서, 제1 네트워크(220)는 제1 사용자 장치(210)를 인증하기 위한 세션 타임스탬프(204) 및 암호화된 핸드셰이크 데이터를 포함하는 암호화된 인증 데이터(206)를 수신할 수 있다. 또한 제1 네트워크(220)는 제1 사용자 장치(210)와 연관되는 제1 네트워크의 승인 및 제거 기록의 자신의 복사로부터 해시를 생성할 수 있다. 제1 네트워크(220)는 생성된 해시를 사용하여 암호화된 인증 데이터(206)를 해독할 수 있고, 제1 네트워크(220)가 성공적으로 암호화된 인증 데이터(206)를 해독하면, 이후 제1 사용자 장치(210)는 인증(208)된다. 제1 사용자 장치(210)의 인증으로, 제1 네트워크(220)는 제1 네트워크(220) 및 제2 네트워크(230) 사이에 설정된 보안 접속을 통해 제2 사용자 장치(204)와 연관되는 제2 네트워크(230)에 인증을 확인(212)할 수 있다.
제2 네트워크(230)는 제2 사용자 장치(240)의 그 자신의 인증을 설정하도록 제2 사용자 장치(240)와 유사한 프로세스를 개시할 수 있다. 예컨대, 제2 사용자 장치(240)는 제2 사용자 장치(240)와 연관되는 승인 및 제거 기록으로부터 생성된 해시로 암호화된 제2 네트워크(230)에 인증 데이터(214)를 제공할 수 있다. 제2 네트워크(230)는 제2 사용자 장치(240)와 연관되는 제2 네트워크(230)의 승인 및 제거 기록의 복사를 이용하여 인증 데이터를 해독함으로써 제2 사용자 장치(240)의 인증을 확인(216)할 수 있다.
일부 실시예에 따른 시스템에서, 제2 사용자 장치(240)의 성공적인 인증으로, 제2 네트워크(230)는 제1 네트워크(220)에 인증을 확인할 수 있다. 제1 네트워크(220) 및 제2 네트워크(230) 사이의 장치들 각각의 인증의 확인으로, 제1 네트워크(220) 및 제2 네트워크(230)는 새로운 공유된 비밀(218)에 동의할 수 있다. 새로운 공유된 비밀(218)은 랜덤 순서의 숫자와 같은 임의의 비밀일 수 있다. 새로운 공유된 비밀(218)은 보안된 인터(inter) 또는 인트라(intra) 데이터센터 링크와 같은 보안 접속을 통해 제1 네트워크(220) 및 제2 네트워크(230) 사이에서 동의될 수 있다. 제1 네트워크(220) 및 제2 네트워크(230) 각각은 개별적 보안 접속을 통해 제1 사용자 장치(210) 및 제2 사용자 장치(240)에 새로운 공유된 비밀(218)을 전달(222, 224)할 수 있다. 개별적 보안 접속은 장치들 및 네트워크들 사이의 이전에 보안된 접속일수 있다. 새로운 공유된 비밀(218)을 수신한 이후, 제1 사용자 장치(210) 및 제2 사용자 장치(240)는 새로운 공유된 비밀(218)에 기초하여 직접 접속(226)을 설정할 수 있다. 도표(200)에 예시된 바에 따라, 비인가된 제삼자 액세스에 대해 보호하기 위해서 비보안 링크 또는 채널을 통해서는 비밀이 공유되지 않을 수 있다. 공유된 비밀에 의해 보안되는 직접 접속은 제1 사용자 장치(210) 및 제2 사용자 장치(240) 사이에서 설정될 수 있다.
도 3은 여기에서 설명된 적어도 일부 실시예들에 따라 배열된, 제1 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 도식을 예시한다.
도표(300)에 예시된 바에 따라, 제1 사용자 장치(310)는 중개(brokerage) 서비스, 은행 서비스, 웹 서비스 또는 다른 인식된 제삼자와 같은 인식된 서비스(340)와 데이터를 보안적으로 공유하기 위한 통신 세션을 개시할 수 있다. 예시적 시나리오에서, 제1 사용자 장치(310) 및 인식된 서비스(340) 사이에서 보안적으로 데이터를 공유하기 위해서, 제1 사용자 장치(310)는 인식된 서비스(340)와 통신 세션을 개시할 수 있다. 서비스 제공자 네트워크와 같은, 제1 사용자 장치(310)와 연관되는 네트워크(320)는 개시된 통신 세션을 가로채거나 제1 사용자 장치(310)를 인증하도록 요청 받을 수 있다. 제1 사용자 장치(310)는 도 2와 함께 위에서 설명된 바에 따라, 암호화된 인증 데이터(306)를 이용하여 네트워크(320)에서 인증될 수 있다. 암호화된 인증 데이터(306)는 제1 사용자 장치(310)와 연관되는 승인 및 제거 기록으로부터 합성된 제1 비밀로 암호화되는 핸드셰이크 데이터일 수 있다. 제1 비밀은 승인 및 제거 기록으로부터 생성된 해시일 수 있다.
예시적 실시예에서, 암호화된 인증 데이터(306)는 추가적인 보안을 제공하기 위한 서비스 식별 정보 및 세션 타임스탬프(304) 또한 포함할 수 있다. 서비스 식별 정보는 제1 사용자 장치(310)가 통신하려고 하는 인식된 서비스의 ID(identity)를 네트워크(320)에 알릴 수 있다. 서비스 식별 정보는 제1 사용자 장치(310) 및 네트워크(320)에 인식된 서비스에 의해 제공된 고유의 식별자일 수 있고, 서비스 식별 정보는 해시를 생성하는 데 사용될 수 있는다. 다른 예시적 실시예에서, 복수의 인식된 서비스는 그 고유의 식별자를 사용자 장치 및 장치와 연관된 네트워크에 제공할 수 있다. 네트워크는 인식된 서비스인 체할 수 있는 비인가된 제삼자 서비스에 대비하여 추가적인 보안을 제공하도록 인식된 서비스 식별자의 보안 데이터베이스를 유지할 수 있다.
세션 타임스탬프(304) 및 서비스 식별 정보를 포함하는 암호화된 인증 데이터(306)의 예시적 해시는
Figure 112016050274245-pct00005
일 수 있다.
Figure 112016050274245-pct00006
은 승인 및 제거 기록의 추출이고,
Figure 112016050274245-pct00007
는 유닉스 시간에서 세션 타임스탬프이고,
Figure 112016050274245-pct00008
는 고유의 서비스 식별 정보이며,
Figure 112016050274245-pct00009
는 해시를 생성하도록 선택된 수학 또는 논리 연산이다. 해시는 고유하고, 일회용이며, 제1 사용자 장치(310)와 보안 통신을 설정하도록 인식된 서비스(340)를 인증하기 위한 서비스 특정 해시일 수 있다. 네트워크(320)는 제1 사용자 장치(310)와 연관되는 승인 및 제거 기록의 그 자신의 복사를 이용하여 수신된 인증 데이터를 해독함으로써 제1 사용자 장치(310)를 인증할 수 있다.
예시적 실시예에서, 제1 사용자 장치로부터 암호화된 인증 데이터(306)를 수신하면, 네트워크(320)는 수신된 서비스 식별 정보를 이용하여 인식된 서비스(340)의 ID(312)를 확인할 수 있다. 인식된 서비스(340)의 ID(312)가 확인되지 않으면, 이후 네트워크(320)는 제1 사용자 장치(310) 및 인식된 서비스(340) 사이의 통신 세션을 종료할 수 있다. 인식된 서비스(340)의 ID(312)가 확인되면, 네트워크(320)는 제1 사용자 장치(310)와 서비스 식별을 확인(308)할 수 있다. 인식된 서비스(340) ID의 확인으로, 네트워크(320)는 제2 비밀을 합성할 수 있다. 제2 비밀은 제1 사용자 장치(310)와 연관되는 승인 및 제거 기록으로부터 합성된 제2 해시일 수 있고, 또한 제2 해시는 위에서 설명된 바에 따라 세션 타임스탬프 및 고유의 서비스 ID를 포함할 수 있다. 제2 비밀은 보안의 인터 데이터센터 링크를 통해 인식된 서비스(340)에 배달(316)될 수 있다. 제1 사용자 장치(310)는 승인 및 제거 기록, 세션 타임스탬프 및 고유의 서비스 ID와 같은, 제1 사용자 장치(310)에서 이미 로컬 저장된 정보로부터 제2 비밀을 컴퓨팅할 수 있다. 일단 제1 사용자 장치(310) 및 인식된 서비스(340) 둘 다 제2 비밀을 가지면, 제1 사용자 장치(310) 및 인식된 서비스(340)는 제2 비밀에 기초하여 보안 접속(326)을 설정할 수 있다. 다른 실시예에서, 제2 비밀은 장치(310) 및 인식된 서비스(340) 둘 다에 의해 보유될 수 있도록, 네트워크(320), 장치(310) 또는 인식된 서비스(340)에서 생성된 데이터의 임의의 체인(chain)일 수 있고 설정된 보안 링크를 통해 전달될 수 있다.
다른 예시적 실시예에서, 제1 사용자 장치(310)에 로컬 저장된 승인 및 제거 기록은 네트워크(320)에서 저장된 승인 및 제거 기록과 매칭하지 않을 수 있다. 예컨대, 손실 기록, 기록의 실패한 전송 또는 전송 지연과 같은 요인은 제1 사용자 장치(310)에서 로컬 저장된 승인 및 제거 기록이 네트워크(320)에 저장된 승인 및 제거 기록과 매칭하지 않도록 야기할 수 있다. 네트워크에서 장치를 인증하는 경우 잘못된 거절을 피하기 위하여, 제1 비밀이 승인 및 제거 기록의 주어진 세트로부터 합성될 수 있다. 승인 및 제거 기록의 제1 세트가 장치를 인증하는 데 실패하면, 기록의 제2 세트가 선택될 수 있고, 여기에서 기록의 제2 세트는 전송 실패 또는 지연과 관련된 문제를 제거하기 위한 이전 타임스탬프를 가질 수 있다. 기록의 제2 세트가 또한 장치를 인증하지 않으면, 제3 세트가 사용될 수 있고, 프로세스는 장치의 인증 실패의 허용 가능한 낮은 가능성을 달성하도록 필요한 바에 따라 랜덤 타임스탬프를 사용하여 반복될 수 있다. 타임스탬프의 수 및 타이밍 또는 승인 및 제거 데이터의 유형은 환경에 맞추어 달라질 수 있다.
도 4는 네트워크 기록을 이용하여 무선 장치와 보안 접속을 설정하는 데 사용될 수 있는, 범용 컴퓨팅 장치를 예시한다. 매우 기본 구성(402)에서, 컴퓨팅 장치(400)는 전형적으로 하나 이상의 프로세서(404) 및 시스템 메모리(406)를 포함한다. 메모리 버스(408)가 프로세서(404)와 시스템 메모리(406) 사이의 통신을 위해 사용될 수 있다.
요구되는 구성에 따라, 프로세서(404)는 마이크로프로세서(μP), 마이크로컨트롤러(μC), 디지털 신호 프로세서(DSP) 또는 그 임의의 조합을 포함하는 임의의 유형일 수 있지만, 이에 한정되는 것은 아니다. 프로세서(404)는 레벨 캐시 메모리(412)와 같은 하나 이상의 레벨의 캐싱, 프로세서 코어(414) 및 하나 이상의 레지스터(416)를 포함할 수 있다. 예시적인 프로세서 코어(414)는 ALU(arithmetic logic unit), FPU(floating point unit), DSP 코어(digital signal processing core) 또는 그 임의의 조합을 포함할 수 있다. 예시적인 메모리 컨트롤러(418)는 또한 프로세서(404)와 사용될 수 있거나 또는 일부 구현예에서, 메모리 컨트롤러(418)는 프로세서(404)의 내부 부품일 수 있다.
요구되는 구성에 따라, 시스템 메모리(406)는 (RAM과 같은) 휘발성 메모리, (ROM, 플래시 메모리 등과 같은) 비휘발성 메모리 또는 그 임의의 조합을 포함할 수 있지만, 이에 제한되지 않는 임의의 유형일 수 있다. 시스템 메모리(406)는 운영 체제(420), 하나 이상의 애플리케이션(422) 및 프로그램 데이터(424)를 포함할 수 있다. 애플리케이션(422)은 비밀 키 모듈(426)을 포함할 수 있고, 여기에서 휴대용 또는 무선 클라이언트 장치 상의 승인 및 제거 기록이 여기에서 설명된 바에 따라 클라이언트 장치 및 다른 클라이언트 장치 및/또는 인식된 제삼자 서비스 사이에서 보안 접속 및 인증하기 위한 보안 데이터 전송에 대한 공유된 비밀로서 작용할 수 있다. 프로그램 데이터(424)는 승인 및 제거 기록(428), 사용자 식별 데이터, 인식된 서비스 식별 데이터 및 다른 유사한 데이터를 포함할 수 있다. 이러한 설명된 기본 구성(402)은 파선 내부에의 그 컴포넌트에 의해 도 4에 예시된다.
컴퓨팅 장치(400)는 추가적인 특징 또는 기능 및 기본 구성(402)과 임의의 요구되는 장치와 인터페이스 간 통신을 용이하게 하기 위한 추가적인 인터페이스를 가질 수 있다. 예컨대, 버스/인터페이스 컨트롤러(430)는 저장 인터페이스 버스(434)를 통한 기본 구성(402)과 하나 이상의 데이터 저장 장치(432) 간의 통신을 용이하게 하는 데 사용될 수 있다. 데이터 저장 장치(432)는 분리형 저장 장치(436), 비분리형 저장 장치(438) 또는 그 조합일 수 있다. 분리형 저장 장치 및 비분리형 저장 장치의 예로는, 몇 가지 말하자면, 플렉서블 디스크 드라이브 및 하드 디스크 드라이브(HDD)와 같은 자기 디스크 장치, 컴팩트 디스크(CD) 드라이브 또는 디지털 다기능 디스크(DVD) 드라이브와 같은 광 디스크 드라이브, 고체 상태 드라이브(solid state drive; SSD) 및 테이프 드라이브가 포함된다. 예시적인 컴퓨터 저장 매체는, 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 다른 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성의, 분리형 및 비분리형 매체를 포함할 수 있다.
시스템 메모리(406), 분리형 저장 장치(436) 및 비분리형 저장 장치(438)는 컴퓨터 저장 매체의 예이다. 컴퓨터 저장 매체는 RAM, ROM, EEPROM, 플래시 메모리 또는 다른 메모리 기술, CD-ROM, 디지털 다기능 디스크(DVD) 또는 다른 광학 저장 장치, 자기 카세트, 자기 테이프, 자기 디스크 저장 장치 또는 다른 자기 저장 장치 또는 원하는 정보를 저장하는데 사용될 수 있고 컴퓨팅 장치(400)에 의해 액세스될 수 있는 임의의 다른 매체를 포함하지만, 이에 한정되는 것은 아니다. 그러한 임의의 컴퓨터 저장 매체는 컴퓨팅 장치(400)의 일부일 수 있다.
컴퓨팅 장치(400)는 또한 버스/인터페이스 컨트롤러(430)를 통한 다양한 인터페이스 장치(예컨대, 출력 장치(442), 주변 인터페이스(444) 및 통신 장치(446))로부터 기본 구성(402)으로의 통신을 용이하게 하기 위한 인터페이스 버스(440)를 포함할 수 있다. 예시적인 출력 장치(442)는 그래픽 처리 유닛(448) 및 오디오 처리 유닛(450)을 포함하며, 이는 하나 이상의 A/V 포트(452)를 통해 디스플레이 또는 스피커와 같은 다양한 외부 장치로 통신하도록 구성될 수 있다. 예시적인 주변 인터페이스(444)는 직렬 인터페이스 컨트롤러(454) 또는 병렬 인터페이스 컨트롤러(456)를 포함하며, 이는 하나 이상의 I/O 포트(458)를 통해 입력 장치(예컨대, 키보드, 마우스, 펜, 음성 입력 장치, 터치 입력 장치 등) 또는 다른 주변 장치(예컨대, 프린터, 스캐너 등)와 같은 외부 장치와 통신하도록 구성될 수 있다. 예시적인 통신 장치(466)는 네트워크 컨트롤러(460)를 포함하며, 이는 하나 이상의 통신 포트(464)를 통해 네트워크 통신 링크 상에서의 하나 이상의 다른 컴퓨팅 장치(462)와의 통신을 용이하게 하도록 배열될 수 있다.
네트워크 통신 링크는 통신 매체의 일 예시일 수 있다. 통신 매체는 전형적으로 컴퓨터 판독 가능 명령어, 데이터 구조, 프로그램 모듈 또는 반송파 또는 다른 전송 메커니즘 같은 변조된 데이터 신호 내의 다른 데이터에 의해 구현될 수 있고, 임의의 정보 전달 매체를 포함할 수 있다. "변조된 데이터 신호"는 신호 내에 정보를 인코딩하기 위한 방식으로 설정되거나 변경된 특성 중 하나 이상을 가지는 신호일 수 있다. 제한적이지 않은 예로서, 통신 매체는 유선 네트워크 또는 직접 유선 접속과 같은 유선 매체 및 음파, 무선 주파수(RF), 마이크로웨이브, 적외선(IR) 및 다른 무선 매체와 같은 무선 매체를 포함할 수 있다. 여기에서 사용된 컴퓨터 판독 가능 매체라는 용어는 저장 매체 및 통신 매체 둘 다를 포함할 수 있다.
컴퓨팅 장치(400)는, 휴대 전화, PDA(personal data assistant), 개인용 미디어 플레이어 장치, 무선 웹-워치(web-watch) 장치, 개인용 헤드셋 장치, 특수 용도 장치, 또는 위 기능 중 임의의 것을 포함하는 하이브리드 장치 같은 소형 폼 팩터(small-form factor)의 휴대용(또는 모바일) 전자 장치의 일부로서 구현될 수 있다. 컴퓨팅 장치(400)는 또한 랩톱 컴퓨터 및 랩톱이 아닌 컴퓨터 구성을 모두 포함하는 개인용 컴퓨터로서 구현될 수 있다. 또한, 컴퓨팅 장치(400)는 네트워크화된 시스템 또는 범용 또는 특화된 서버의 일부로서 구현될 수 있다.
또한 예시적인 실시예는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 다른 장치 및/또는 인식된 서비스 사이에서 보안 접속을 설정하기 위한 방법을 포함할 수 있다. 이러한 방법은 여기에서 설명된 구조를 포함하는 임의의 수의 방식으로 구현될 수 있다. 그러한 하나의 방식은, 기계 동작에 의한, 본 개시에 설명된 유형의 장치이다. 다른 선택적인 방식은 다른 동작이 기계에 의해 수행될 수 있는 한편 동작 중 일부를 수행하는 하나 이상의 인간 운용자와 함께 수행될 방법의 개별 동작 중 하나 이상에 대한 것이다. 이러한 인간 운용자는 서로 함께 위치할 필요는 없지만, 각각은 프로그램 중 일부를 수행하는 기계와만 함께할 수 있다. 다른 예시에서, 인간 상호작용은 기계 자동화될 수 있는 미리 선택된 기준에 의하는 바와 같이 자동화될 수 있다.
도 5는 여기에서 설명된 적어도 일부 실시예들에 따라 배열된, 도 4의 컴퓨팅 장치와 같은 컴퓨팅 장치에 의해 수행될 수 있는 예시적 방법을 예시하는 흐름도이다.
예시적 방법은 블록 522, 524, 526, 528, 530 및/또는 532 중 하나 이상에 의해 예시된 바에 따라 하나 이상의 동작, 기능 또는 행동을 포함할 수 있다. 블록 522 내지 532에 설명된 동작은 또한 컴퓨팅 장치(510)의 컴퓨터 판독 가능 매체(520)와 같은 컴퓨터 판독 가능 매체에 컴퓨터 실행 가능 명령어로서 저장될 수 있다.
무선 장치 네트워크 기록을 사용하여 무선 장치 및 다른 무선 장치 또는 인식된 서비스 사이에서 보안 접속을 설정하기 위한 프로세스는 블록 522, "제2 장치 또는 인식된 서비스 중 하나와 보안 통신 세션을 개시하도록 장치로부터 네트워크 기록에 기초하여 암호화된 비밀로서 인증 요청을 수신"에서 시작할 수 있다. 블록 522에서, 제1 무선 장치와 연관되는 서비스 제공자 네트워크(예컨대, 네트워크(220))는 다른 무선 장치 또는 제삼자 인식된 서비스와 통신 세션을 개시하기 위한 인증 요청을 수신할 수 있다. 인증 요청은 암호화된 인증 데이터일 수 있고, 여기에서 암호화된 인증 데이터는 제1 무선 장치와 연관되는 네트워크 기록으로부터 합성된 제1 비밀을 포함할 수 있다. 네트워크 기록은 제1 무선 장치와 연관되는 승인 및 제거 기록을 포함할 수 있다.
블록 522는 블록 524, "네트워크 기록의 확인에 기초하여 장치를 인증"으로 이어질 수 있다. 블록 524에서, 서비스 제공자 네트워크(예컨대, 네트워크(220))는 네트워크 기록의 확인에 기초하여 제1 무선 장치를 인증할 수 있다. 제1 무선 장치는 장치에서 장치 자신의 승인 및 제거 기록의 로컬 복사를 저장할 수 있다. 서비스 제공자 네트워크는 서비스 제공자 네트워크와 연관되는 복수의 무선 장치와 연관된 승인 및 제거 기록의 데이터베이스를 저장할 수 있다. 서비스 제공자 네트워크는 제1 무선 장치로부터의 암호화된 인증 데이터에서 수신된 승인 및 제거 기록과 서비스 제공자 네트워크의 승인 및 제거 기록을 비교할 수 있고, 제1 무선 장치를 인증할 수 있다.
블록 524는 블록 526, "제2 장치 또는 인식된 서비스 중 하나와 연관된 제2 네트워크에 인증된 요청을 제공"으로 이어질 수 있다. 블록 526에서, 서비스 제공자 네트워크는 인증된 요청을 다른 무선 장치 또는 제삼자 인식된 서비스에 제공할 수 있다. 인증된 요청은 보안 데이터센터 채널을 통해 다른 무선 장치와 연관되는 다른 서비스 제공자 네트워크 또는 인식된 서비스 중 하나에 전송될 수 있다.
블록 526은 블록 528, "제2 장치 또는 인식된 서비스 중 하나를 인증"으로 이어질 수 있다. 블록 528에서, 서비스 제공자 네트워크는 제삼자 인식된 서비스 또는 다른 무선 장치의 ID를 인증할 수 있다. 제삼자 인식된 서비스의 경우에서, 서비스 제공자 네트워크는 고유의 서비스 식별 정보를 이용하여 인식된 서비스의 ID를 확인할 수 있다. 다른 무선 장치의 경우에서, 서비스 제공자 네트워크는 다른 무선 장치와 연관되는 다른 서비스 제공자 네트워크로 다른 무선 장치의 ID를 인증할 수 있다.
블록 528은 블록 530, "장치 및 제2 장치 또는 인식된 서비스 중 하나 사이에 제2 비밀을 공유"로 이어질 수 있다. 인식된 서비스 또는 다른 무선 장치의 인증으로, 제1 서비스 제공자 네트워크는 인식된 서비스 또는 다른 무선 장치와 제2 비밀을 공유할 수 있다. 제2 비밀은 제1 장치와 연관되는 승인 및 제거 기록으로부터 합성된 해시일 수 있고, 또한 세션 타임스탬프 및/또는 고유의 서비스 식별자를 포함할 수 있다. 제2 비밀은 보안 데이터센터 채널을 통해 보안을 보장하도록 공유될 수 있다.
블록 530은 블록 532, "제2 비밀에 의해 보안된 채널을 통하여 보안 접속을 설정"으로 이어질 수 있다. 일단 제1 무선 장치 및 다른 무선 장치 또는 인식된 서비스가 각각 공유된 제2 비밀을 가지면, 보안 직접 접속이 설정될 수 있다.
위에서 설명된 프로세스에 포함되는 블록은 예시 목적을 위한 것이다. 무선 장치 네트워크 기록을 사용하는 무선 장치에 대한 보안 접속의 설정은 더 적은 블록 또는 추가적인 블록으로 유사한 프로세스에 의해 수행될 수 있다. 일부 예시에서, 블록은 상이한 순서로 수행될 수 있다. 일부 다른 예시에서, 다양한 블록이 제거될 수 있다. 또 다른 예시에서, 다양한 블록이 추가적인 블록으로 나누어지거나, 더 적은 블록으로 함께 조합될 수 있다. 연속적인 순서의 동작으로 예시되었으나, 일부 구현예에서, 다양한 동작이 상이한 순서로 수행될 수 있거나, 일부 경우 다양한 동작이 실질적으로 동시에 수행될 수 있다.
도 6은 여기에서 설명된 적어도 일부 실시예들에 따라 배열된, 예시적 컴퓨터 프로그램 제품의 블록도를 예시한다. 일부 예시에서, 도 6에 도시된 바에 따라, 컴퓨터 프로그램 제품(600)은 또한 예컨대, 프로세서에 의해 실행되는 경우, 도 4 및 도 5에 관하여 위에서 설명된 기능을 제공할 수 있는 머신 판독 가능 명령어(604)를 포함할 수 있는 신호 베어링 매체(602)를 포함할 수 있다. 따라서, 예컨대, 프로세서(404)를 참조하면, 비밀 키 모듈(426)은 여기에서 설명된 바에 따라 네트워크 기록을 사용하는 무선 장치에 대한 보안 접속의 설정과 연관되는 행동을 수행하도록 신호 베어링 매체(602)에 의해 프로세서(404)로 전달되는 명령어(604)에 응답하여 도 4에 도시된 태스크 중 하나 이상을 착수할 수 있다. 명령어 중 일부는 제2 장치 또는 인식된 서비스 중 하나와 보안 통신 세션을 개시하도록 장치로부터 네트워크 기록에 기초하여 암호화된 비밀로서 인증 요청을 수신하기 위한 명령어, 네트워크 기록의 확인에 기초하여 장치를 인증하기 위한 명령어, 제2 장치 또는 인식된 서비스 중 하나와 연관된 제2 네트워크에 인증된 요청을 제공하기 위한 명령어, 장치 및 제2 장치 또는 인식된 서비스 중 하나 사이에 제2 비밀을 공유하기 위한 명령어 및/또는 제2 비밀에 의해 보안된 채널을 통하여 보안 접속을 설정하기 위한 명령어를 포함할 수 있다.
일부 구현예에서, 도 6에 도시된 신호 베어링 매체(602)는 하드 디스크 드라이브, CD(compact disc), DVD(digital versatile disk), 디지털 테이프, 메모리 등과 같은 컴퓨터 판독 가능 매체(606)를 포함할 수 있으나, 이에 한정되는 것은 아니다. 일부 구현예에서, 신호 베어링 매체(602)는 메모리, 읽기/쓰기(R/W) CD, R/W DVD 등과 같은 기록 가능 매체(608)를 포함할 수 있으나, 이에 한정되는 것은 아니다. 일부 구현예에서, 신호 베어링 매체(602)는 디지털 및/또는 아날로그 통신 매체(예컨대, 광섬유 케이블, 도파관(waveguide), 유선 통신 링크, 무선 통신 링크 등)와 같은 통신 매체(610)를 포함할 수 있으나, 이에 한정되는 것은 아니다. 따라서, 예컨대, 프로그램 제품(600)은, 신호 베어링 매체(602)가 무선 통신 매체(610)(예컨대, IEEE 802.11 표준에 따르는 무선 통신 매체)에 의해 전달되는 RF 신호 베어링 매체에 의하여 프로세서(404)의 하나 이상의 모듈로 전달될 수 있다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치에 대해 보안 접속을 설정하기 위한 방법을 설명한다. 방법은 제1 네트워크에서, 제2 장치와 통신 세션을 개시하도록 제1 장치로부터 인증 요청을 수신하는 단계를 포함할 수 있다. 제1 장치의 인증 요청은 제1 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 제1 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 제1 장치를 인증하는 단계 및 인증된 요청을 보안 통신 채널을 통해 제2 네트워크로 제공하는 단계를 포함할 수 있다.
추가적인 예시에 따르면, 방법은 보안 통신 채널을 통하여 제2 네트워크로부터 제2 장치의 인증된 응답을 수신하는 단계를 더 포함할 수 있다. 일부 예시에서, 방법은 추가적으로 제2 네트워크로 제2 비밀에 동의하는 단계 및 제2 비밀에 의해 보안된 채널을 통하여 요청된 통신 세션을 설정하는 단계를 포함할 수 있다.
일부 예시에 따르면, 방법은 제2 네트워크로부터 제2 장치의 인증된 응답을 수신하는 단계를 포함할 수 있고, 이는 제2 네트워크로부터 무선 장치의 인증을 수신하는 단계를 포함할 수 있다. 무선 장치의 인증은 제2 네트워크에서 제2 장치와 연관되는 하나 이상의 네트워크 기록에 기초하여 암호화된 비밀을 수신하는 단계 및 제2 장치와 연관되는 하나 이상의 네트워크 기록의 확인에 기초하여 제2 장치를 인증하는 단계에 기초할 수 있다.
추가적인 예시에 따르면, 방법은 비보안 통신 채널을 통하여 인증 요청을 수신하는 단계를 더 포함할 수 있다.
일부 예시에 따르면, 비보안 통신 채널은 NFC(near-field communication) 링크, 홈 무선 네트워크 및 공중 무선 네트워크 중 하나 이상일 수 있다.
추가적인 예시에 따르면, 제1 및 제2 장치 중 적어도 하나는 무선 장치일 수 있다. 일부 예시에 따르면, 방법의 제1 및 제2 네트워크는 셀룰러 네트워크, 브로드밴드 네트워크, WLAN(wireless local area network), WAN(wide area network) 또는 유선 네트워크 중 하나일 수 있다.
다른 예시에 따르면, 네트워크 기록은 제1 장치에 대한 승인 및 제거 기록을 포함할 수 있다. 승인 및 제거 기록은 초기 접속 동안 및 제1 네트워크 내 둘 이상의 기지국 또는 셀 타워 사이의 핸드오프 동안 제1 네트워크에서 제1 장치와 하나 이상의 기지국 또는 셀 타워 사이의 접속의 기록을 포함할 수 있다.
일부 예시에 따르면, 방법은 제1 장치로 하여금 제1 장치와 연관되는 승인 및 제거 기록의 로컬 기록을 저장하도록 하는 단계를 더 포함할 수 있다.
추가적인 예시에 따르면, 하나 이상의 네트워크 기록의 확인에 기초한 방법의 제1 장치를 인증하는 단계는 제1 비밀을 해독하는 단계 및 제1 장치와 연관되는 승인 및 제거 기록을 제1 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 수신된 승인 및 제거 기록과 비교하는 단계를 더 포함할 수 있다.
일부 예시에 따르면, 제1 비밀과 수신된 인증 요청은 암호화된 핸드셰이크 메시지를 포함하는 하나 이상의 네트워크 기록에 기초하여 제1 장치에서 생성된 해시를 포함할 수 있다.
다른 예시에 따르면, 방법은 인증 요청에서 암호화된 타임 스탬프를 수신하는 단계를 더 포함할 수 있다. 일부 예시에 따르면, 방법은 하나 이상의 네트워크 기록 및 타임 스탬프에 기초하여 해시를 생성함으로써 제1 장치를 인증하고 생성된 해시를 사용하여 인증 요청을 해독하는 단계를 더 포함할 수 있다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 방법을 설명할 수 있다. 방법은 네트워크에서, 인식된 서비스와 통신 세션을 개시하도록 장치로부터 인증 요청을 수신하는 단계를 포함할 수 있고, 여기에서 인증 요청은 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 장치를 인증하는 단계를 포함할 수 있다. 방법은 인식된 서비스의 ID를 인증하는 단계를 포함할 수 있다. 방법은 추가적으로 하나 이상의 네트워크 기록에 기초하여 제2 비밀을 합성하는 단계를 포함할 수 있다. 방법은 보안 통신 채널을 통해 제2 비밀을 장치 및 인식된 서비스로 제공하는 단계 및 제2 비밀에 의해 보안된 채널을 통해 장치 및 인식된 서비스 사이의 요청된 통신 세션을 설정하는 단계를 포함할 수 있다.
다른 예시에 따르면, 인식된 서비스는 은행 서비스, 중개 서비스, 개인 데이터(private data)를 제공하고 호스팅하는 웹 서비스 중 하나를 포함할 수 있다.
일부 예시에 따르면, 방법의 네트워크는 셀룰러 네트워크, 브로드밴드 네트워크, WLAN(wireless local area network), WAN(wide area network) 또는 유선 네트워크 중 하나일 수 있다.
일부 예시에 따르면, 방법은 비보안 통신 채널을 통해 인증 요청을 수신하는 단계를 더 포함할 수 있다.
다른 예시에 따르면, 비보안 통신 채널은 NFC(near-field communication) 링크, 홈 무선 네트워크 및 공중 무선 네트워크 중 하나 이상일 수 있다.
추가적인 예시에 따르면, 네트워크 기록은 장치에 대한 승인 및 제거 기록을 포함할 수 있다. 일부 예시에서, 승인 및 제거 기록은 초기 접속 동안 및 네트워크 내 둘 이상의 기지국 또는 셀 타워 사이의 핸드오프 동안 네트워크에서 장치와 하나 이상의 기지국 또는 셀 타워 사이의 접속의 기록을 포함할 수 있다.
일부 예시에 따르면, 방법은 장치로 하여금 장치와 연관되는 승인 및 제거 기록의 로컬 기록을 저장하도록 하는 단계를 더 포함할 수 있다. 추가적인 예시에 따르면, 방법은 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 승인 및 제거 기록을 수신하는 단계를 더 포함할 수 있다.
추가적인 예시에 따르면, 하나 이상의 네트워크 기록의 확인에 기초하여 장치를 인증하는 단계는 제1 비밀을 해독하는 단계 및 장치와 연관되는 승인 및 제거 기록을 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 수신된 승인 및 제거 기록과 비교하는 단계를 더 포함할 수 있다.
다른 예시에 따르면, 제1 비밀과 수신된 인증 요청은 하나 이상의 네트워크 기록에 기초하여 장치에서 생성된 암호화된 핸드셰이크 메시지를 포함하는 해시일 수 있다.
추가적인 예시에 따르면, 방법은 인증 요청에 타임 스탬프를 수신하는 단계를 더 포함할 수 있다. 방법은 추가적으로 인증 요청에 인식된 서비스에 대한 고유의 식별자를 수신하는 단계를 포함할 수 있다. 일부 예시에 따르면, 방법은 하나 이상의 네트워크 기록, 타임 스탬프 및 인식된 서비스에 대한 고유의 식별자에 기초하여 해시를 생성함으로써 장치 및 인식된 서비스의 ID를 인증하고 생성된 해시를 사용하여 인증 요청을 해독하는 단계를 더 포함할 수 있다.
일부 예시에 따르면, 인식된 서비스의 ID가 인증되지 않을 수 있는 결정에 응답하여, 방법은 장치 및 인식된 서비스 사이의 통신 세션을 종료하는 단계를 포함할 수 있다.
일부 예시에 따르면, 제2 비밀을 합성하는 단계는 하나 이상의 네트워크 기록, 타임 스탬프 및 인식된 서비스에 대한 고유의 식별자에 기초하여 해시를 생성하는 단계를 포함할 수 있다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치에 대해 보안 접속을 설정하기 위한 시스템을 설명할 수 있다. 시스템은 셀 타워의 복수의 기지국 및 제1 네트워크의 컨트롤러를 포함할 수 있다. 컨트롤러는 제2 장치와 통신 세션을 개시하도록 제1 장치로부터 인증 요청을 수신하도록 구성될 수 있다. 인증 요청은 제1 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 제1 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 컨트롤러는 추가적으로 하나 이상의 네트워크 기록의 확인에 기초하여 제1 장치를 인증하고 보안 통신 채널을 통해 제2 장치와 연관된 제2 네트워크로 인증된 요청을 제공하도록 구성될 수 있다. 컨트롤러는 보안 통신 채널을 통해 제2 네트워크로부터 제2 장치의 인증된 응답을 수신하고 제2 네트워크로 제2 비밀에 동의하도록 구성될 수 있다. 컨트롤러는 제2 비밀에 의해 보안된 채널을 통해 제1 장치 및 제2 장치 사이에서 요청된 통신 세션을 설정하도록 구성될 수 있다.
일부 예시에 따르면, 제1 및 제2 장치 중 적어도 하나는 무선 장치를 포함할 수 있다. 일부 예시에서, 제1 및 제2 네트워크는 셀룰러 네트워크, 브로드밴드 네트워크, WLAN(wireless local area network), WAN(wide area network) 또는 유선 네트워크 중 하나를 포함할 수 있다.
추가적인 예시에 따르면, 제2 네트워크로부터의 제2 장치의 인증된 응답은 제2 네트워크에서, 제2 장치와 연관되는 하나 이상의 네트워크 기록에 기초하여 암호화된 비밀을 수신 및 제2 장치와 연관되는 하나 이상의 네트워크 기록의 확인에 기초하여 제2 장치를 인증에 기초한 제2 장치의 인증을 포함할 수 있다.
추가적인 예시에 따르면, 컨트롤러는 비보안 통신 채널을 통하여 인증 요청을 수신하도록 더 구성될 수 있다. 추가적인 예시에 따르면, 비보안 통신 채널은 NFC(near-field communication) 링크, 홈 무선 네트워크 및 공중 무선 네트워크 중 하나 이상일 수 있다.
일부 예시에 따르면, 네트워크 기록은 제1 장치에 대한 승인 및 제거 기록일 수 있다. 추가적인 예시에 따르면, 승인 및 제거 기록은 초기 접속 동안 및 제1 네트워크 내 둘 이상의 기지국 또는 셀 타워 사이의 핸드오프 동안 제1 네트워크에서 제1 장치와 하나 이상의 기지국 또는 셀 타워 사이의 접속의 기록을 포함할 수 있다.
다른 예시에 따르면, 컨트롤러는 제1 장치로 하여금 제1 장치와 연관되는 승인 및 제거 기록의 로컬 기록을 저장하게 하도록 구성될 수 있다. 일부 예시에 따르면, 컨트롤러는 제1 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 승인 및 제거 기록을 수신하도록 더 구성될 수 있다.
추가적인 예시에 따르면, 컨트롤러는 제1 비밀을 해독하고 제1 장치와 연관되는 승인 및 제거 기록을 제1 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 수신된 승인 및 제거 기록과 비교하도록 구성될 수 있다.
일부 예시에 따르면, 제1 비밀과 수신된 인증 요청은 암호화된 핸드셰이크 메시지를 포함하는 하나 이상의 네트워크 기록에 기초하여 제1 장치에서 생성된 해시를 포함할 수 있다.
다른 예시에 따르면, 컨트롤러는 인증 요청에 암호화된 타임 스탬프를 수신하도록 더 구성될 수 있다. 일부 예시에 따르면, 컨트롤러는 하나 이상의 네트워크 기록 및 타임 스탬프에 기초하여 해시를 생성함으로써 제1 장치를 인증하고 생성된 해시를 사용하여 인증 요청을 해독하도록 더 구성될 수 있다.
일부 예시에 따르면, 본 개시는 무선 장치 네트워크 기록을 사용하여 무선 장치 및 인식된 서비스 사이에서 보안 접속을 설정하기 위한 시스템을 설명할 수 있다. 시스템은 복수의 기지국 또는 셀 타워 및 장치와 연관된 네트워크의 컨트롤러를 포함할 수 있다. 컨트롤러는 인식된 서비스와 통신 세션을 개시하도록 장치로부터 인증 요청을 수신하도록 구성될 수 있다. 인증 요청은 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 장치에 의해 합성된 제1 비밀로 암호화될 수 있다. 컨트롤러는 하나 이상의 네트워크 기록의 확인에 기초하여 장치를 인증하고 인식된 서비스의 ID를 인증하도록 더 구성될 수 있다. 컨트롤러는 하나 이상의 네트워크 기록에 기초하여 제2 비밀을 합성하고 보안 통신 채널을 통해 장치 및 인식된 서비스로 제2 비밀을 제공하도록 더 구성될 수 있다. 컨트롤러는 추가적으로 제2 비밀에 의해 보안된 채널을 통해 장치 및 인식된 서비스 사이에서 요청된 통신 세션을 설정하도록 더 구성될 수 있다.
일부 예시에 따르면, 인식된 서비스는 은행 서비스, 중개 서비스, 개인 데이터를 제공하고 호스팅하는 웹 서비스 중 하나를 포함할 수 있다. 추가적인 예시에 따르면, 네트워크는 셀룰러 네트워크, 브로드밴드 네트워크, WLAN(wireless local area network), WAN(wide area network) 또는 유선 네트워크 중 하나일 수 있다.
추가적인 예시에 따르면, 컨트롤러는 비보안 통신 채널을 통해 인증 요청을 수신하도록 더 구성될 수 있다. 일부 예시에 따르면, 비보안 통신 채널은 NFC(near-field communication) 링크, 홈 무선 네트워크 및 공중 무선 네트워크 중 하나 이상을 포함할 수 있다.
일부 예시에 따르면, 네트워크 기록은 장치에 대한 승인 및 제거 기록을 포함할 수 있다. 일부 예시에 따르면, 승인 및 제거 기록은 초기 접속 동안 및 네트워크 내 둘 이상의 셀 타워 사이의 핸드오프 동안 네트워크에서 장치와 하나 이상의 셀 타워 사이의 접속의 기록을 포함할 수 있다.
일부 예시에 따르면, 컨트롤러는 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 승인 및 제거 기록을 수신하도록 더 구성될 수 있다. 추가적인 예시에 따르면, 컨트롤러는 제1 비밀을 해독하고 장치와 연관되는 승인 및 제거 기록을 네트워크 내 적어도 하나의 기지국 또는 셀 타워로부터 수신된 승인 및 제거 기록과 비교하도록 더 구성될 수 있다.
추가적인 예시에 따르면, 제1 비밀과 수신된 인증 요청은 하나 이상의 네트워크 기록에 기초하여 장치에서 생성된 암호화된 핸드셰이크 메시지를 포함하는 해시를 포함할 수 있다.
일부 예시에 따르면, 컨트롤러는 인증 요청에 타임 스탬프를 수신하도록 더 구성될 수 있다. 추가적인 예시에 따르면, 컨트롤러는 인증 요청에 인식된 서비스에 대한 고유의 식별자를 수신하도록 더 구성될 수 있다. 추가적인 예시에 따르면, 컨트롤러는 하나 이상의 네트워크 기록, 타임 스탬프 및 인식된 서비스에 대한 고유의 식별자에 기초하여 해시를 생성함으로써 장치 및 인식된 서비스의 ID를 인증하고 생성된 해시를 사용하여 인증 요청을 해독하도록 더 구성될 수 있다.
일부 예시에 따르면, 컨트롤러는 인식된 서비스의 ID가 인증되지 않을 수 있는 결정에 응답하여, 장치 및 인식된 서비스 사이의 통신 세션을 종료하도록 구성될 수 있다.
다른 예시에 따르면, 제2 비밀은 하나 이상의 네트워크 기록, 타임 스탬프 및 인식된 서비스에 대한 고유의 식별자에 기초하여 해시를 생성함으로써 합성될 수 있다.
시스템 양상들의 하드웨어와 소프트웨어 구현 사이에는 구별이 거의 없다. 하드웨어 또는 소프트웨어의 사용은 일반적으로 (그러나 어떤 맥락에서 하드웨어 및 소프트웨어 사이의 선택이 중요하게 될 수 있다는 점에서 항상 그런 것은 아니지만) 비용 대비 효율의 트레이드오프(tradeoff)를 나타내는 설계상 선택(design choice)이다. 여기에서 설명된 프로세스 및/또는 시스템 및/또는 다른 기술들이 영향 받을 수 있는 다양한 수단(vehicles)(예컨대, 하드웨어, 소프트웨어 및/또는 펌웨어)이 있으며, 선호되는 수단은 프로세스 및/또는 시스템 및/또는 다른 기술이 사용되는 맥락에 따라 변경될 것이다. 예컨대, 만약 구현자가 속도 및 정확도가 중요하다고 결정하면, 구현자는 주로 하드웨어 및/또는 펌웨어 수단을 선택할 수 있고, 만약 유연성이 중요하다면, 구현자는 주로 소프트웨어 구현을 선택할 수 있으며, 또는, 또 다른 대안으로서, 구현자는 하드웨어, 소프트웨어, 및/또는 펌웨어 중 일부 조합을 선택할 수 있다.
전술한 상세한 설명은 블록도, 흐름도, 및/또는 예시의 사용을 통해 장치 및/또는 프로세스의 다양한 예시를 설명하였다. 그러한 블록도, 흐름도, 및/또는 예시가 하나 이상의 기능 및/또는 동작을 포함하는 한, 그러한 블록도, 흐름도, 또는 예시 내의 각각의 기능 및/또는 동작은 하드웨어, 소프트웨어, 펌웨어, 또는 실질적으로 그들 임의의 조합의 넓은 범위에 의해 개별적으로 및/또는 집합적으로 구현될 수 있다는 것이 당업자에 의해 이해될 것이다. 일 예시에서, 여기에서 설명된 대상의 몇몇 부분은 ASIC(application specific integrated circuit), FPGA(field programmable gate array), DSP(digital signal processor) 또는 다른 집적의 형태를 통해 구현될 수 있다. 그러나, 당업자라면, 여기에서 설명된 예시의 일부 양상이, 하나 이상의 컴퓨터 상에 실행되는 하나 이상의 컴퓨터 프로그램(예컨대, 하나 이상의 컴퓨터 시스템 상에 실행되는 하나 이상의 프로그램), 하나 이상의 프로세서 상에 실행되는 하나 이상의 프로그램(예컨대, 하나 이상의 마이크로프로세서 상에 실행되는 하나 이상의 프로그램), 펌웨어 또는 실질적으로 그들의 임의의 조합으로서, 전체적으로 또는 부분적으로 균등하게 집적 회로에 구현될 수 있다는 것을 알 수 있으며, 소프트웨어 및/또는 펌웨어를 위한 코드의 작성 및/또는 회로의 설계는 본 개시에 비추어 당업자에게 자명할 것이다.
본 개시는 다양한 태양의 예시로서 의도될 수 있는 본 출원에 설명된 특정 예시에 제한되지 않을 것이다. 당업자에게 명백할 바와 같이, 많은 수정과 변형이 그 사상과 범위를 벗어나지 않으면서 이루어질 수 있다. 여기에 열거된 것들에 더하여, 본 개시의 범위 안에서 기능적으로 균등한 방법과 기구가 위의 설명으로부터 당업자에게 명백할 것이다. 그러한 수정과 변형은 첨부된 청구항의 범위에 들어가도록 의도된 것이다. 본 개시는 첨부된 청구항의 용어에 의해서만, 그러한 청구항에 부여된 균등물의 전 범위와 함께, 제한될 것이다. 본 개시가 물론 다양할 수 있는 특정 방법, 시약, 합성 구성 또는 생물학적 시스템에 제한되지 않는 것으로 이해될 것이다. 또한, 여기에서 사용된 용어는 단지 특정 예시를 설명하기 위한 목적이고, 제한하는 것으로 의도되지 않음이 이해될 것이다.
또한, 당업자라면, 여기에서 설명된 대상의 수단(mechanism)들이 다양한 형태의 프로그램 제품으로 분포될 수 있음을 이해할 것이며, 여기에서 설명된 대상의 예시적 예시는, 분배를 실제로 수행하는 데 사용되는 신호 베어링 매체의 특정 유형과 무관하게 적용됨을 이해할 것이다. 신호 베어링 매체의 예시는, 플로피 디스크, 하드 디스크 드라이브, CD(compact disc), DVD(digital versatile disk), 디지털 테이프, 컴퓨터 메모리 등과 같은 기록 가능 유형의 매체 및 디지털 및/또는 아날로그 통신 매체(예컨대, 광섬유 케이블, 도파관, 유선 통신 링크, 무선 통신 링크 등)와 같은 전송 유형 매체를 포함할 수 있으나, 이에 한정되는 것은 아니다.
당업자라면, 여기서 설명된 형식으로 장치 및/또는 프로세스를 설명하고, 이후, 공학 실무를 사용하여 그러한 설명된 장치 및/또는 프로세스를 데이터 처리 시스템에 통합한다는 것은 당해 분야에서 일반적이란 것을 인식할 것이다. 즉, 여기서 설명된 장치 및/또는 프로세스의 적어도 일부는 합당한 실험 량을 통해 데이터 처리 시스템에 통합될 수 있다. 당업자라면, 전형적인 데이터 처리 시스템은 시스템 유닛 하우징, 비디오 디스플레이 장치, 휘발성 및 비휘발성 메모리 같은 메모리, 마이크로프로세서 및 디지털 신호 프로세서와 같은 프로세서, 운영 체제, 드라이버, 그래픽 사용자 인터페이스 및 애플리케이션 프로그램과 같은 컴퓨터 엔티티(computational entities), 터치 패드 또는 스크린 같은 하나 이상의 상호작용 장치 및/또는 피드백 루프 및 제어 모터를 포함하는 제어 시스템 중 하나 이상을 일반적으로 포함한다는 것을 인식할 것이다.
전형적인 데이터 처리 시스템은 데이터 컴퓨팅/통신 및/또는 네트워크 컴퓨팅/통신 시스템에서 발견되는 바와 같은 임의의 적절한 상업적으로 이용 가능한 컴포넌트를 사용하여 구현될 수 있다. 여기에서 설명된 대상은 때때로 상이한 다른 컴포넌트 내에 결합되거나 또는 함께 결합된 상이한 컴포넌트를 예시한다. 도시된 그러한 아키텍처는 단순히 예시적인 것이고, 사실상 동일한 기능을 달성하는 다른 많은 아키텍처가 구현될 수 있다는 것이 이해되어야 한다. 개념적으로, 동일한 기능을 달성하기 위한 컴포넌트의 임의의 배치는 원하는 기능이 달성되도록 유효하게 "연관"된다. 이에 따라, 특정 기능을 달성하기 위해 여기서 조합된 임의의 두 개의 컴포넌트는, 아키텍처 또는 중간 컴포넌트와는 무관하게, 원하는 기능이 달성되도록 서로 "연관"된 것으로 볼 수 있다. 마찬가지로, 연관된 임의의 두 개의 컴포넌트는 또한 원하는 기능을 달성하기 위해 서로 "동작적으로 연결"되거나 또는 "동작적으로 결합"되는 것으로 볼 수 있고, 그와 같이 연관될 수 있는 임의의 두 개의 컴포넌트는 또한 원하는 기능을 달성하기 위해 서로 "동작적으로 결합 가능"한 것으로 볼 수 있다. 동작적으로 결합 가능하다는 것의 특정예는 물리적으로 연결 가능 및/또는 물리적으로 상호작용하는 컴포넌트 및/또는 무선으로 상호작용 가능 및/또는 무선으로 상호작용하는 컴포넌트 및/또는 논리적으로 상호작용하는 및/또는 논리적으로 상호작용 가능한 컴포넌트를 포함하지만, 이에 한정되는 것은 아니다.
여기에서 실질적으로 임의의 복수 및/또는 단수의 용어 사용에 대하여, 당업자는 맥락 및/또는 응용에 적절하도록, 복수를 단수로 및/또는 단수를 복수로 해석할 수 있다. 다양한 단수/복수의 치환은 명확성을 위해 여기에서 명확히 기재될 수 있다.
당업자라면, 일반적으로 여기에서 사용되며 특히 첨부된 청구범위(예컨대, 첨부된 청구범위의 주요부(body))에 사용된 용어들이 일반적으로 "개방적(open)" 용어(예컨대, 용어 "포함하는"은 "포함하지만 이에 제한되지 않는"으로, 용어 "갖는"는 "적어도 갖는"으로, 용어 "포함하다"는 "포함하지만 이에 한정되지 않는" 등으로 해석되어야 함)로 의도되었음을 이해할 것이다. 또한, 당업자라면, 도입된 청구항 기재사항의 특정 수가 의도된 경우, 그러한 의도가 청구항에 명시적으로 기재될 것이며, 그러한 기재사항이 없는 경우, 그러한 의도가 없음을 이해할 것이다. 예컨대, 이해를 돕기 위해, 이하의 첨부된 청구범위는 "적어도 하나" 및 "하나 이상"의 도입 구절의 사용을 포함하여 청구항 기재사항을 도입할 수 있다. 그러나, 그러한 구절의 사용은, 부정관사 "하나"("a" 또는 "an")에 의한 청구항 기재사항의 도입이, 그러한 하나의 기재사항을 포함하는 예시들로, 그러한 도입된 청구항 기재사항을 포함하는 임의의 특정 청구항을 제한함을 암시하는 것으로 해석되어서는 안되며, 동일한 청구항이 도입 구절인 "하나 이상" 또는 "적어도 하나" 및 "하나"("a" 또는 "an")와 같은 부정관사(예컨대, "하나"는 "적어도 하나" 또는 "하나 이상"을 의미하는 것으로 해석되어야 함)를 포함하는 경우에도 마찬가지로 해석되어야 한다. 이는 청구항 기재사항을 도입하기 위해 사용된 정관사의 경우에도 적용된다. 또한, 도입된 청구항 기재사항의 특정 수가 명시적으로 기재되는 경우에도, 당업자라면 그러한 기재가 적어도 기재된 수(예컨대, 다른 수식어가 없는 "두 개의 기재사항"을 단순히 기재한 것은, 적어도 두 개의 기재사항 또는 두 개 이상의 기재사항을 의미함)를 의미하도록 해석되어야 함을 이해할 것이다.
또한, "A, B 및 C 등 중의 적어도 하나"와 유사한 규칙이 사용된 경우에는, 일반적으로 그러한 해석은 당업자가 그 규칙을 이해할 것이라는 전제가 의도된 것이다(예컨대, "A, B 및 C 중의 적어도 하나를 갖는 시스템"은, A만을 갖거나, B만을 갖거나, C만을 갖거나, A 및 B를 함께 갖거나, A 및 C를 함께 갖거나, B 및 C를 함께 갖거나, A, B 및 C를 함께 갖는 시스템 등을 포함하지만 이에 제한되지 않음). 또한 당업자라면, 실질적으로 임의의 이접 접속어(disjunctive word) 및/또는 두 개 이상의 대안적인 용어들을 나타내는 구절은, 그것이 상세한 설명, 청구범위 또는 도면에 있는지에 상관없이, 그 용어들 중의 하나, 그 용어들 중의 어느 하나 또는 그 용어들 모두를 포함하는 가능성을 고려했음을 이해할 것이다. 예컨대, "A 또는 B"라는 구절은 "A" 또는 "B" 또는 "A 및 B"의 가능성을 포함하는 것으로 이해될 것이다.
다양한 구성, 방법, 시스템 및 장치가 다양한 컴포넌트 또는 단계를 "포함하는"("포함하지만 이에 제한되지 않는"으로 해석) 면에서 설명될 수 있지만, 구성, 방법, 시스템 및 장치는 또한 다양한 컴포넌트 및 단계로 "구성되는" 또는 "본질적으로 구성되는"일 수 있고, 그러한 용어는 본질적으로 닫힌 요소 그룹을 정의하는 것으로 해석되어야 한다.
당업자에게 이해될 바와 같이, 임의의 그리고 모든 목적에서든, 기술 내용을 제공하는 것 등에 있어서, 여기에 개시되어 있는 모든 범위는 임의의 그리고 모든 가능한 하위범위와 그 하위범위의 조합 또한 포함한다. 임의의 열거된 범위는 적어도 1/2, 1/3, 1/4, 1/5, 1/10 등으로 나누어지는 동일한 범위를 충분히 설명하고 실시 가능하게 하는 것으로서 쉽게 인식될 수 있다. 비제한적인 예시로서, 여기서 논의되는 각각의 범위는 하위 1/3, 중앙 1/3 및 상위 1/3 등으로 쉽게 나누어질 수 있다. 또한, "까지", "적어도", "보다 많은", "보다 적은" 등과 같은 모든 언어는 기재된 수를 포함하며, 전술한 하위범위로 후속적으로 나누어질 수 있는 범위를 지칭함이 당업자에게 이해되어야 한다. 마지막으로, 범위는 각각의 개별 요소를 포함함이 당업자에게 이해되어야 한다. 예컨대, 1-3개의 셀을 갖는 그룹은 1, 2 또는 3개의 셀을 갖는 그룹들을 의미한다. 유사하게, 1-5개의 셀을 갖는 그룹은 1, 2, 3, 4 또는 5개의 셀을 갖는 그룹을 의미한다.
다양한 양상 및 예시들이 여기에서 개시되었지만, 다른 양상 및 예시들이 당업자에게 명확할 것이다. 여기에서 개시된 다양한 양상 및 예시들은 예시의 목적을 위한 것이고, 제한하려고 의도된 것이 아니며, 진정한 범위와 사상은 이하 청구범위에 의해 나타난다.

Claims (61)

  1. 무선 장치의 하나 이상의 네트워크 기록을 사용하여 상기 무선 장치에 대한 보안 통신 채널을 설정하기 위한 방법으로서,
    제1 네트워크에서, 제2 장치와 통신 세션(communication session)을 개시하도록 제1 장치로부터 인증 요청을 수신하는 단계 - 상기 인증 요청은 타임 스탬프(time stamp)를 포함하고 상기 제1 장치와 연관된 상기 하나 이상의 네트워크 기록에 기초하여 상기 제1 장치에 의해 합성된 제1 비밀(secret)로 암호화되며, 상기 제1 장치와 연관되는 상기 하나 이상의 네트워크 기록은 상기 제1 네트워크에서 하나 이상의 기지국 또는 하나 이상의 셀 타워(cell tower)와 상기 제1 장치 사이의 이전 접속 동안 안테나 방향의 기록에 기초하여 생성된 승인(admission) 및 제거(eviction) 기록을 포함함 -;
    상기 승인 및 제거 기록 및 상기 타임 스탬프에 기초하여 해시(hash)를 생성함으로써 상기 제1 장치를 인증하는 단계;
    상기 인증된 요청을 상기 보안 통신 채널을 통해 제2 네트워크로 제공하는 단계; 및
    상기 생성된 해시를 사용하여 상기 인증 요청을 해독하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 보안 통신 채널을 통하여 상기 제2 네트워크로부터 상기 제2 장치의 인증된 응답을 수신하는 단계;
    상기 제2 네트워크로 제2 비밀에 동의하는 단계; 및
    상기 제2 비밀에 의해 보안된 다른 보안 통신 채널을 통하여 상기 통신 세션을 설정하는 단계
    를 더 포함하는 방법.
  3. 제2항에 있어서,
    상기 제2 네트워크로부터 상기 제2 장치의 상기 인증된 응답을 수신하는 단계는 상기 제2 네트워크로부터 상기 무선 장치의 인증을 수신하는 단계를 포함하고,
    상기 무선 장치의 상기 인증은,
    상기 제2 네트워크에서, 암호화된 비밀을 수신하는 것 - 상기 암호화된 비밀은 상기 제2 장치와 연관되는 하나 이상의 네트워크 기록에 기초함 -; 및
    상기 제2 장치와 연관되는 상기 하나 이상의 네트워크 기록의 확인에 응답하여 상기 제2 장치를 인증하는 것
    에 기초하는, 방법.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 삭제
  9. 제1항에 있어서,
    상기 승인 및 제거 기록은 상기 제1 네트워크 내 둘 이상의 기지국 또는 둘 이상의 셀 타워 사이의 핸드오프(hand-off) 동안 식별된 다른 접속의 다른 기록을 포함하는 것인, 방법.
  10. 제1항에 있어서,
    상기 제1 장치로 하여금 상기 제1 장치와 연관되는 상기 승인 및 제거 기록의 로컬 기록을 저장하도록 하는 단계를 더 포함하는 방법.
  11. 제1항에 있어서,
    상기 제1 비밀을 해독하고, 그리고 상기 제1 장치와 연관되는 상기 승인 및 제거 기록을 상기 제1 네트워크 내 상기 하나 이상의 기지국 중 적어도 하나의 기지국 또는 상기 하나 이상의 셀 타워 중 적어도 하나의 셀 타워로부터 수신된 추가적인 승인 및 제거 기록과 비교함으로써 상기 승인 및 제거 기록의 확인에 응답하여 상기 제1 장치를 인증하는 단계를 더 포함하는 방법.
  12. 제1항에 있어서,
    상기 인증 요청은 암호화된 핸드셰이크 메시지를 포함하는 상기 승인 및 제거 기록에 기초하여 상기 제1 장치에서 생성된 해시를 포함하는 것인, 방법.
  13. 삭제
  14. 삭제
  15. 무선 장치의 하나 이상의 네트워크 기록을 사용하여 상기 무선 장치 및 인식된 서비스 사이에서 보안 통신 채널을 설정하기 위한 방법으로서,
    네트워크에서, 상기 인식된 서비스와 통신 세션을 개시하도록 상기 무선 장치로부터 인증 요청을 수신하는 단계 - 상기 인증 요청은 타임 스탬프 및 상기 인식된 서비스에 대한 고유의 식별자(identifier)를 포함하고, 상기 인증 요청은 상기 무선 장치와 연관된 하나 이상의 네트워크 기록에 기초하여 상기 무선 장치에 의해 합성된 제1 비밀로 암호화되며, 상기 무선 장치와 연관되는 상기 하나 이상의 네트워크 기록은 상기 네트워크에서 하나 이상의 기지국 또는 하나 이상의 셀 타워와 상기 무선 장치 사이의 이전 접속 동안 안테나 방향의 기록에 기초하여 생성된 승인 및 제거 기록을 포함함 -;
    상기 승인 및 제거 기록의 확인에 기초하여 상기 무선 장치를 인증하는 단계;
    상기 인식된 서비스의 ID(identity)를 인증하는 단계;
    해시를 생성하는 프로세스에 의하여, 상기 하나 이상의 승인 및 제거 기록에 기초하여 제2 비밀을 합성하는 단계 - 상기 해시는 상기 하나 이상의 승인 및 제거 기록, 상기 타임 스탬프 및 상기 인식된 서비스에 대한 상기 고유의 식별자에 기초함 -;
    보안 통신 채널을 통해 상기 제2 비밀을 상기 무선 장치 및 상기 인식된 서비스로 제공하는 단계; 및
    상기 제2 비밀에 의해 보안된 다른 보안 통신 채널을 통해 상기 무선 장치 및 상기 인식된 서비스 사이의 상기 통신 세션을 설정하는 단계
    를 포함하는 방법.
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 제15항에 있어서,
    상기 승인 및 제거 기록은 상기 네트워크 내 둘 이상의 기지국 또는 둘 이상의 셀 타워 사이의 핸드오프 동안 식별된 다른 접속의 다른 기록을 포함하는 것인, 방법.
  22. 제21항에 있어서,
    상기 무선 장치로 하여금 상기 무선 장치와 연관되는 상기 승인 및 제거 기록의 로컬 기록을 저장하도록 하는 단계를 더 포함하는 방법.
  23. 제22항에 있어서,
    상기 네트워크 내 상기 하나 이상의 기지국 중 적어도 하나의 기지국 또는 상기 하나 이상의 셀 타워 중 적어도 하나의 셀 타워로부터 상기 승인 및 제거 기록을 수신하는 단계를 더 포함하는 방법.
  24. 제23항에 있어서,
    상기 승인 및 제거 기록의 상기 확인에 기초하여 상기 무선 장치를 인증하는 단계는,
    상기 제1 비밀을 해독하는 단계; 및
    상기 무선 장치와 연관되는 상기 승인 및 제거 기록을 상기 네트워크 내 상기 하나 이상의 기지국 중 적어도 하나의 기지국 또는 상기 하나 이상의 셀 타워 중 적어도 하나의 셀 타워로부터 수신된 추가적인 승인 및 제거 기록과 비교하는 단계를 포함하는, 방법.
  25. 삭제
  26. 삭제
  27. 삭제
  28. 제15항에 있어서,
    상기 해시를 생성하기 위한 프로세스를 통하여 상기 무선 장치 및 상기 인식된 서비스의 상기 ID를 인증하는 단계 - 상기 해시는 상기 승인 및 제거 기록, 상기 타임 스탬프 및 상기 인식된 서비스에 대한 상기 고유의 식별자에 기초함 -; 및
    상기 해시를 사용하여 상기 인증 요청을 해독하는 단계
    를 더 포함하는 방법.
  29. 제28항에 있어서,
    상기 인식된 서비스의 상기 ID가 인증되지 않는 결정에 응답하여, 상기 무선 장치 및 상기 인식된 서비스 사이의 상기 통신 세션을 종료하는 단계를 더 포함하는 방법.
  30. 삭제
  31. 무선 장치의 하나 이상의 네트워크 기록을 사용하여 상기 무선 장치에 대한 보안 통신 채널을 설정하기 위한 시스템으로서,
    셀 타워와 연관되는 기지국; 및
    제1 네트워크의 컨트롤러를 포함하고, 상기 컨트롤러는,
    제2 장치와 통신 세션을 개시하도록 제1 장치로부터 인증 요청을 수신하고 - 상기 인증 요청은 상기 제1 장치에 의해 합성된 제1 비밀로 암호화되고 상기 제1 장치와 연관된 하나 이상의 네트워크 기록에 기초하며, 상기 제1 장치와 연관되는 상기 하나 이상의 네트워크 기록은 상기 제1 네트워크에서 상기 기지국과 상기 제1 장치 사이의 이전 접속 동안 안테나 방향의 기록에 기초하여 생성된 승인 및 제거 기록을 포함함 -;
    상기 승인 및 제거 기록의 확인에 기초하여 상기 제1 장치를 인증하고;
    상기 보안 통신 채널을 통해 상기 제2 장치와 연관된 제2 네트워크로 상기 인증된 요청을 제공하고;
    상기 보안 통신 채널을 통해 상기 제2 네트워크로부터 상기 제2 장치의 인증된 응답을 수신하고;
    상기 제2 네트워크로 제2 비밀에 동의하고; 그리고
    상기 제2 비밀에 의해 보안된 다른 보안 통신 채널을 통해 상기 제1 장치 및 상기 제2 장치 사이에 상기 통신 세션을 설정하도록 구성되며,
    상기 제1 장치 또는 상기 제2 장치 중 적어도 하나는 무선 장치인 것인 시스템.
  32. 삭제
  33. 삭제
  34. 제31항에 있어서,
    상기 제2 네트워크로부터의 상기 제2 장치의 상기 인증된 응답은,
    상기 제2 네트워크에서, 상기 제2 장치와 연관되는 상기 승인 및 제거 기록에 기초한 암호화된 비밀의 수신과,
    상기 제2 장치와 연관되는 상기 승인 및 제거 기록의 확인에 기초한 상기 제2 장치의 인증
    에 기초하는 상기 제2 장치의 인증을 포함하는, 시스템.
  35. 삭제
  36. 삭제
  37. 삭제
  38. 제31항에 있어서,
    상기 승인 및 제거 기록은 상기 제1 네트워크 내 상기 기지국 중 둘 이상의 기지국 또는 상기 셀 타워 중 둘 이상의 셀 타워 사이의 핸드오프 동안 식별된 다른 접속의 다른 기록을 포함하는 것인, 시스템.
  39. 제38항에 있어서,
    상기 컨트롤러는 상기 제1 장치로 하여금 상기 제1 장치와 연관되는 상기 승인 및 제거 기록의 로컬 기록을 저장하게 하도록 더 구성되는, 시스템.
  40. 제39항에 있어서,
    상기 컨트롤러는 상기 제1 네트워크 내 상기 기지국 중 적어도 하나의 기지국 또는 상기 셀 타워 중 적어도 하나의 셀 타워로부터 상기 승인 및 제거 기록을 수신하도록 더 구성되는, 시스템.
  41. 제40항에 있어서,
    상기 컨트롤러는 상기 제1 비밀을 해독하고, 상기 제1 장치와 연관되는 상기 승인 및 제거 기록을 상기 제1 네트워크 내 상기 기지국 중 적어도 하나의 기지국 또는 상기 셀 타워 중 적어도 하나의 셀 타워로부터 수신된 추가적인 승인 및 제거 기록과 비교하도록 더 구성되는, 시스템.
  42. 삭제
  43. 삭제
  44. 삭제
  45. 삭제
  46. 삭제
  47. 삭제
  48. 삭제
  49. 삭제
  50. 삭제
  51. 삭제
  52. 삭제
  53. 삭제
  54. 삭제
  55. 삭제
  56. 삭제
  57. 삭제
  58. 삭제
  59. 삭제
  60. 삭제
  61. 삭제
KR1020167013897A 2013-10-25 2013-10-25 네트워크 기록을 통한 무선 장치에 대한 보안 접속 KR101824895B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2013/066919 WO2015060876A1 (en) 2013-10-25 2013-10-25 Secure connection for wireless devices via network records

Publications (2)

Publication Number Publication Date
KR20160075727A KR20160075727A (ko) 2016-06-29
KR101824895B1 true KR101824895B1 (ko) 2018-02-02

Family

ID=52993321

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020167013897A KR101824895B1 (ko) 2013-10-25 2013-10-25 네트워크 기록을 통한 무선 장치에 대한 보안 접속

Country Status (3)

Country Link
US (1) US9374707B2 (ko)
KR (1) KR101824895B1 (ko)
WO (1) WO2015060876A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6252309B2 (ja) * 2014-03-31 2017-12-27 富士通株式会社 監視漏れ特定処理プログラム,監視漏れ特定処理方法及び監視漏れ特定処理装置
US10178181B2 (en) * 2014-04-02 2019-01-08 Cisco Technology, Inc. Interposer with security assistant key escrow
JP6485153B2 (ja) * 2015-03-24 2019-03-20 富士ゼロックス株式会社 端末、処理装置、処理システムおよびプログラム
WO2017138851A1 (en) * 2016-02-12 2017-08-17 Telefonaktiebolaget Lm Ericsson (Publ) Methods and devices for providing a secure end-to-end communication
US10659444B2 (en) 2017-06-27 2020-05-19 Uniken, Inc. Network-based key distribution system, method, and apparatus
US10432600B2 (en) 2017-06-27 2019-10-01 Uniken, Inc. Network-based key distribution system, method, and apparatus
US10200195B2 (en) * 2017-06-27 2019-02-05 Uniken, Inc. Method for leveraging a secure telecommunication session
CN109561429B (zh) * 2017-09-25 2020-11-17 华为技术有限公司 一种鉴权方法及设备
CN116401693B (zh) * 2023-06-09 2023-07-28 北京融数联智科技有限公司 一种具有隐私保护的数据库的一对多等值连接方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060094401A1 (en) * 2004-10-29 2006-05-04 Eastlake Donald E Iii Method and apparatus for authentication of mobile devices
US20070136589A1 (en) * 2004-05-20 2007-06-14 Future Internet Security Ip Pty Ltd Identification and authentication system and method
US20070190944A1 (en) * 2006-02-13 2007-08-16 Doan Christopher H Method and system for automatic presence and ambient noise detection for a wireless communication device

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
US20070162961A1 (en) 2005-02-25 2007-07-12 Kelvin Tarrance Identification authentication methods and systems
JP5029534B2 (ja) 2008-08-15 2012-09-19 日本電気株式会社 無線通信システム、移動管理方法、管理装置、および基地局装置
KR20100044525A (ko) * 2008-10-22 2010-04-30 주식회사 팬택 이동단말의 다중구역 관리 방법 및 다중구역 관리를 통한 이동단말의 핸드오프 방법
WO2013138528A1 (en) * 2012-03-14 2013-09-19 Visa International Service Association Point-of-transaction account feature redirection apparatuses, methods and systems
EP2717539B1 (en) * 2012-10-02 2015-04-01 BlackBerry Limited Method and system for hypertext transfer protocol digest authentication

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070136589A1 (en) * 2004-05-20 2007-06-14 Future Internet Security Ip Pty Ltd Identification and authentication system and method
US20060094401A1 (en) * 2004-10-29 2006-05-04 Eastlake Donald E Iii Method and apparatus for authentication of mobile devices
US20070190944A1 (en) * 2006-02-13 2007-08-16 Doan Christopher H Method and system for automatic presence and ambient noise detection for a wireless communication device

Also Published As

Publication number Publication date
KR20160075727A (ko) 2016-06-29
US9374707B2 (en) 2016-06-21
US20150350900A1 (en) 2015-12-03
WO2015060876A1 (en) 2015-04-30

Similar Documents

Publication Publication Date Title
KR101824895B1 (ko) 네트워크 기록을 통한 무선 장치에 대한 보안 접속
US11075893B2 (en) Cryptographic proxy service
US9807610B2 (en) Method and apparatus for seamless out-of-band authentication
US9432088B2 (en) Secure near field communication (NFC) handshake
EP3661120A1 (en) Method and apparatus for security authentication
US8327143B2 (en) Techniques to provide access point authentication for wireless network
EP2632108B1 (en) Method and system for secure communication
WO2015180691A1 (zh) 验证信息的密钥协商方法及装置
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN102271037A (zh) 基于在线密钥的密钥保护装置
US20170118015A1 (en) Method for managing smart home environment, method for joining smart home environment and method for connecting communication session with smart device
WO2015180689A1 (zh) 验证信息的获取方法及装置
CN110635901B (zh) 用于物联网设备的本地蓝牙动态认证方法和系统
CN101588245A (zh) 一种身份认证的方法、系统及存储设备
CN110708291B (zh) 分布式网络中数据授权访问方法、装置、介质及电子设备
CN115001841A (zh) 一种身份认证方法、装置及存储介质
JP2022537739A (ja) 管理されたコンテナ環境における共有機密情報へのアクセス方法、システム、プログラム
CN116633582A (zh) 安全通信方法、装置、电子设备及存储介质
CN109960935B (zh) 确定tpm可信状态的方法、装置及存储介质
CN103916404A (zh) 一种数据管理方法和系统
US11582028B1 (en) Sharing grouped data in an organized storage system
JP2019057827A (ja) 分散認証システムおよびプログラム
CA2797633C (en) System and method for mounting encrypted data based on availability of a key on a network
CN111246480A (zh) 基于sim卡的应用通信方法、系统、设备及存储介质
US20230403142A1 (en) Ultra-wideband session key sharing scheme

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant