KR102193644B1 - 설비 검증 방법 및 장치 - Google Patents

설비 검증 방법 및 장치 Download PDF

Info

Publication number
KR102193644B1
KR102193644B1 KR1020177020079A KR20177020079A KR102193644B1 KR 102193644 B1 KR102193644 B1 KR 102193644B1 KR 1020177020079 A KR1020177020079 A KR 1020177020079A KR 20177020079 A KR20177020079 A KR 20177020079A KR 102193644 B1 KR102193644 B1 KR 102193644B1
Authority
KR
South Korea
Prior art keywords
facility
certificate
target
verification
request
Prior art date
Application number
KR1020177020079A
Other languages
English (en)
Other versions
KR20170098890A (ko
Inventor
홍하이 구어
샤오펑 리
Original Assignee
알리바바 그룹 홀딩 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알리바바 그룹 홀딩 리미티드 filed Critical 알리바바 그룹 홀딩 리미티드
Publication of KR20170098890A publication Critical patent/KR20170098890A/ko
Application granted granted Critical
Publication of KR102193644B1 publication Critical patent/KR102193644B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0637Strategic management or analysis, e.g. setting a goal or target of an organisation; Planning actions based on goals; Analysis or evaluation of effectiveness of goals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • H04L29/06
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Human Resources & Organizations (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • General Business, Economics & Management (AREA)
  • Educational Administration (AREA)
  • Power Engineering (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Operations Research (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Development Economics (AREA)
  • Accounting & Taxation (AREA)
  • Finance (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 설비 검증 방법 및 장치를 제공하며, 설비 검증 방법은 목표 서비스 수행을 요청하는 목표 설비 검증을 위해 사용되고, 한 방법은: 검증 대상 목표 설비에 의해 송신되는 설비 검증 요청 수신--상기 설비 검증 요청은 설비 인증서 및 상기 목표 설비의 제1 설비 속성 정보를 포함하며, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--; 및 상기 설비 지문에 따라 상기 설비 인증서가 유효한 것으로 확인되고, 상기 설비 지문이 상기 제1 설비 속성 정보와 매칭될 때, 상기 설비 인증서가 상기 목표 설비의 인증서인 것으로 판단, 및 상기 목표 설비가 상기 목표 서비스를 수행하도록 허용을 포함한다. 본 발명은 설비 검증을 더 신뢰성 있게 만든다.

Description

설비 검증 방법 및 장치
본 발명은 네트워크 보안 기술에 관한 것이며, 구체적으로, 설비 검증 방법 및 장치에 관한 것이다.
네트워크 기술의 발전에 따라, 네트워크 보안 문제에 더 많은 관심이 주어지고 있다. 예를 들면, 많은 웹 사이트 서비스에서, 서비스 처리의 보안을 보장하기 위하여 서비스를 수행하는 설비(device)를 식별하여야 하며, 이에 따라 설비가 안전한 설비인지 여부를 판단해야 한다. 그러나, 현재의 설비 검증 기술에서는, 전적으로 설비의 하드웨어 속성에 따라 설비가 식별되며, 위조와 같은 보안 위험 사건이 발생하기 쉽고, 검증 방법의 신뢰성이 낮다.
이를 고려하여, 설비 검증의 신뢰성을 개선하기 위하여 본 발명은 설비 검증 방법 및 장치를 제공한다.
구체적으로, 본 발명은 다음의 기술적 해결책을 통해 구현된다.
제1 양상에서, 설비 검증 방법이 제공되고, 설비 검증 방법은 목표 서비스 수행을 요청하는 목표 설비 검증을 위해 사용되며, 상기 방법은:
검증 대상 목표 설비에 의해 송신되는 설비 검증 요청 수신--상기 설비 검증 요청은 설비 인증서 및 상기 목표 설비의 제1 설비 속성 정보를 포함하며, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--; 및
상기 설비 지문에 따라 상기 설비 인증서가 유효한 것으로 확인되고, 상기 설비 지문이 상기 제1 설비 속성 정보와 매칭될 때, 상기 설비 인증서가 상기 목표 설비의 인증서인 것으로 판단, 및 상기 목표 설비가 상기 목표 서비스를 수행하도록 허용을 포함한다.
제2 양상에서, 설비 검증 방법이 제공되고, 설비 검증 방법은 서버로 목표 서비스 수행 요청을 송신할 때 사용되며, 상기 방법은:
제1 설비 속성 정보 수집; 및
상기 서버로 설비 검증 요청 송신을 포함하며, 상기 설비 검증 요청은 설비 인증서 및 상기 제1 설비 속성 정보를 포함하고, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함하여, 상기 서버가 상기 설비 지문이 상기 제1 설비 속성 정보와 매칭된다고 판단할 때 상기 목표 서비스가 수행된다.
제3 양상에서, 설비 검증 장치가 제공되고, 상기 장치는 서버에 적용되며,
검증 대상 목표 설비에 의해 송신되는 설비 검증 요청을 수신하는데 사용되는 요청 수신 유닛--상기 설비 검증 요청은 설비 인증서 및 상기 목표 설비의 제1 설비 속성 정보를 포함하며, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--; 및
상기 설비 지문에 따라 상기 설비 인증서가 유효한 것으로 확인되고, 상기 설비 지문이 상기 제1 설비 속성 정보와 매칭될 때, 상기 설비 인증서가 상기 목표 설비의 인증서인 것으로 판단, 및 상기 목표 설비가 상기 목표 서비스를 수행하는 것을 허용하는 것에 사용되는 설비 검증 유닛을 포함한다.
제4 양상에서, 설비 검증 장치가 제공되고, 상기 장치는 목표 설비에 적용되며,
제1 설비 속성 정보를 수집하는데 사용되는 정보 획득 유닛; 및
서버로 설비 검증 요청을 송신하는데 사용되는 요청 송신 유닛을 포함하며, 상기 설비 검증 요청은 설비 인증서 및 상기 제1 설비 속성 정보를 포함하고, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함하여, 상기 서버가 상기 설비 지문이 상기 제1 설비 속성 정보와 매칭된다고 판단할 때 상기 목표 서비스가 수행된다.
본 발명의 실시예의 설비 검증 방법 및 장치에서, 검증을 요청할 때 목표 설비는 설비 인증서를 전달하고, 설비 인증서는 설비 속성에 따라 생성되는 설비 지문을 포함한다. 목표 설비는 설비 인증서 및 설비 지문에 따라 검증되고, 목표 설비는 설비 지문이 목표 설비의 설비 속성과 매칭되는 것으로 판단되고 인증서가 목표 설비의 인증서인 때에만 서비스에 액세스하도록 허용되어, 불법적인 액세스 설비가 더 효과적으로 식별될 수 있으며, 설비 검증이 더욱 신뢰할 만하다.
도 1은 본 발명의 실시예에 따른 설비 검증 방법의 응용 시나리오 도면이다.
도 2는 본 발명의 실시예에 따른 설비 검증 방법의 개략적인 신호도이다.
도 3은 본 발명의 실시예에 따른 다른 설비 검증 방법의 개략적인 신호도이다.
도 4는 본 발명의 실시예에 따른 설비 검증 장치의 개략적인 구조도이다.
도 5는 본 발명의 실시예에 따른 다른 설비 검증 장치의 개략적인 구조도이다.
도 6은 본 발명의 실시예에 따른 또 다른 설비 검증 장치의 개략적인 구조도이다.
도 7은 본 발명의 실시예에 따른 또 다른 설비 검증 장치의 개략적인 구조도이다.
도 1은 본 발명의 실시예에 따른 설비 검증 방법의 응용 시나리오를 개략적으로 도시한다. 도 1에 나타난 바와 같이, 웹사이트 상에서 지불 서비스를 수행하는 사용자를 예로 들면, 지불 서비스는, 예를 들면, 사용자가 자신의 계정을 사용하여 서비스에 대해 지불하는 것과 같은 서비스 동작이다. 사용자는 일반적으로 지불 서비스를 수행하기 위하여 자신의 컴퓨터(11)를 사용한다. 서비스가 더 높은 보안을 요구하므로, 서버(12)는 사용자 계정과 사용자에 의해 통상 사용되는 컴퓨터(11) 사이의 대응관계를 저장할 수 있으며, 사용자의 계정이 컴퓨터(11) 상에서 사용되면, 서버(12)는 서비스가 안전하게 수행되는 것으로 간주할 수 있다. 지불 서비스 수행을 요청할 때 계정이, 사용자에 의해 통상 사용되는 컴퓨터 대신, 컴퓨터(13)를 사용하는 것을 서버(12)가 알게 되면, 서버(12)는 사용자의 계정이 해커에 의해 불법적으로 취득되어, 해커가 컴퓨터(13)를 사용하여 불법적으로 조작하는지를 의심할 수 있으며, 따라서 서버(12)는 서비스의 수행을 불허할 수 있다.
위의 예는 설비 검증 응용 시나리오로서, 즉, 서비스의 보안을 확인하여 서비스가 안전하게 수행될 수 있는지 확인하기 위하여 웹사이트 서버가 설비(예를 들면, 컴퓨터)를 식별하는 것이다. 이어서 설명될 본 발명의 실시예에 따른 설비 검증 방법은 검증 결과가 더 정확하고 신뢰할 수 있도록 보장하기 위하여 서버가 설비를 검증하는 방법을 설명한다. 물론, 설비 검증의 예는 도 1에 나타난 시나리오에 제한되지 않으며, 다른 유사한 시나리오가 본 발명의 실시예에 따른 설비 검증 방법을 또한 채택할 수 있다.
도 2는 본 발명의 실시예에 따른 설비 검증 방법의 개략적인 신호도이다. 도 2에 나타난 바와 같이, 방법은 설비와 서버 사이에서 수행되는 설비 검증 흐름을 개략적으로 나타내고 있다. 예를 들면, 사용자가 지불 서비스를 수행하기 위하여 설비를 사용하고, 서버 측은 서비스의 보안을 보장하기 위하여 검증을 수행하도록 설비에 명령할 수 있으며, 서버는 검증이 성공적인 후에만 설비에 서비스의 재개를 허용할 수 있다.
이하의 과정은 설비가 서버로부터 검증되어야 한다고 요청하는 명령을 수신한 후에 수행되는 처리를 설명한다. 검증 대상 설비는 목표 설비로 지칭될 수 있으며, 설비에 의해 수행될 서비스는 목표 서비스로 지칭된다.
201. 목표 설비가 제1 설비 속성 정보를 수집한다.
검증 대상 목표 설비가 서버에 의해 송신되는 설비 검증 요청 명령을 수신한 후에, 목표 설비는 목표 설비 자신에 대응하는 제1 설비 속성 정보("제1"은 이후의 실시예에서 나타나는 다른 속성 정보와 구분하기 위해서만 사용되며, 다른 제한적인 의미를 갖지 않는다)를 수집할 것이다. 구체적으로, 제1 설비 속성 정보는 목표 설비의 하드웨어 고유 속성이다.
예를 들어, 목표 설비가 컴퓨터인 것을 예로 들면, 컴퓨터는 네트워크 카드, 디스플레이 카드, CPU 및 메모리 칩과 같은 다양한 하드웨어를 가지며, 그러한 하드웨어의 속성 정보가 수집되어야 한다. 예를 들면, 디스플레이 카드에 대해서, 디스플레이 카드의 속성은, 예를 들면, 모델, 이름, 전달(delivery) ID, 해상도 등을 포함할 수 있다. 이들은 모두 하드웨어, 이 경우에는, 디스플레이 카드의 속성 정보로 지칭될 수 있다. 구체적으로 어떤 속성(들)이 수집될 것인지, 예를 들면, 모델 또는 전달 ID가 수집될 것인지의 여부는 이 실시예에서 한정되지 않는다. 그러나, 획득되는 하드웨어 속성에 대한 요구사항이 있는데, 속성은 하드웨어의 고유한 속성, 즉, 하드웨어에 대해 변하지 않는 속성이라는 점이다. 예를 들면, 계속 디스플레이 카드를 예로 들어, 전달 ID 또는 모델이 수집될 수 있으며, 이들 속성은 고정되고 불변이지만, 해상도는, 디스플레이 카드의 속성이기는 하지만 변할 수 있다. 예를 들면, 컴퓨터 구성이 조정된 후에, 해상도는 증가하거나 감소할 수 있으며, 이러한 가변 속성 정보는 제1 설비 속성 정보로 수집될 수 없다.
또한, 이 단계에서 수집되는 제1 설비 속성 정보는 통상 여러 개일 수 있다. 예를 들면, 3개의 속성 정보 또는 5개의 속성 정보가 수집될 수 있다. 여러 개의 속성 정보는 하나의 하드웨어 대응하는 다수의 속성일 수 있으며, 또한 다수의 하드웨어에 각각 대응하는 다수의 속성일 수도 있음을 유의하여야 한다.
예를 들면, 3개의 속성 정보, 즉 속성 A, 속성 B 및 속성 C가 수집된다고 가정하고, 3개의 속성이 디스플레이 카드와 같은 동일한 하나의 하드웨어에 대응하며, 각각 디스플레이 카드의 모델, 전달 ID 및 이름이거나, 또는 3개의 속성이 각각 다른 하드웨어에 대응하고, 예를 들면, 속성 A는 네트워크 카드의 모델, 속성 B는 디스플레이 카드의 전달 ID, 속성 C는 CPU의 모델 등일 수 있다. 물론 여기에서 자세히 서술하지 않은 다른 예들이 있다.
202. 목표 설비가 서버로 설비 검증 요청을 송신하며, 요청은 설비 인증서 및 목표 설비의 제1 설비 속성 정보를 포함하고, 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함한다.
제1 설비 속성 정보를 수집한 후에, 목표 설비는 서버로 설비 검증 요청을 송신하여, 목표 설비에 대한 설비 검증을 수행하도록 서버에 요청한다. 검증 요청은 201에서 수집된 제1 설비 속성 정보를 포함하며, 또한 설비 인증서를 포함한다.
일반적으로, 목표 설비가 적법한 사용자 장비라고 가정하면, 설비 인증서는 이 설비 검증 과정 전에 서버에 의해 목표 설비에 발행되며, 목표 설비는 서버에 의해 전송된 설비 인증서를 저장하고, 이 단계에서 검증 요청 내에 설비 인증서를 전달하는 것만이 요구된다. 이 지점에서, 제2 설비 속성 정보에 따라 생성되고 설비 인증서 내에서 전달되는 설비 지문은 그 속성, 예를 들면, 201에서 열거된 속성에 따라 목표 설비에 의해 생성되는 지문이다.
검증 대상 목표 설비가 해커에 의해 사용되는 불법 설비라고 가정하면, 설비 인증서는 해커에 의해 도난당한 적법한 사용자의 설비 인증서일 수 있으며, 설비 인증서 내에서 전달되는 설비 지문은 여전히 그 속성에 따라 목표 설비에 의해 생성된 지문이다. 설비 인증서의 내용에 대해 이루어지는 임의의 변경이 인증서를 무효화할 것이기 때문에 해커는 설비 인증서 내에 포함되는 설비 지문을 변경할 수 없다.
선택적으로, 설비 인증서는 목표 설비의 신뢰된 플랫폼 모듈 TPM 내에 저장될 수 있으며, TPM 하드웨어는 인증서의 저장에 대하여 더 신뢰성 있는 안전 보장을 제공할 수 있다.
203. 서버가 제1 설비 속성 정보가 설비 인증서 내의 설비 지문과 매칭되는지 판단한다.
이 단계에서 서버가 제1 설비 속성 정보가 설비 인증서 내의 설비 지문과 매칭되는지 판단하기 전에, 서버는, 설비 지문에 따라, 설비 인증서가 유효한지를 더 판단한다. 예를 들면, 인증서가 유효한지를 판단할 때, 설비 지문이 손상되었는지 확인할 수 있다. 예를 들면, 서버는 인증서 내의 설비 지문을 서버 내에 사전 저장된 지문과 비교하여 설비 지문이 손상되었는지 판단할 수 있다. 서버는 또한 설비 지문을 사용하여 무결성 시험을 수행하여 인증서 내용이 완전한지 등을 판단할 수 있다.
인증서가 유효한 것으로 판단된 후에, 서버는 202에서 목표 설비에 의해 제출된 제1 설비 속성 정보를 인증서 내의 설비 지문과 비교하여, 두 가지가 서로 매칭되는지 판단한다.
선택적으로, 제1 설비 속성 정보가 인증서 내의 설비 지문과 매칭되는 두 가지 방법이 있을 수 있다. 예를 들면, 제1 설비 속성 정보가 제2 설비 속성 정보와 매칭, 예를 들면, 목표 설비에 의해 수집된 제1 설비 속성 정보가 속성 A, 속성 B 및 속성 C를 포함하고, 인증서 내의 설비 지문을 생성하기 위한 제2 설비 속성 정보가 또한 속성 A, 속성 B 및 속성 C를 포함, 즉, 설비 지문이 또한 3개의 속성에 따라 생성되면, 제1 설비 속성 정보는 제2 설비 속성 정보와 매칭된다. 달리 말하자면, 제1 설비 속성 정보는 인증서 내의 설비 지문과 매칭된다. 다른 예를 들면, 다른 설비 지문이 또한 목표 설비에 의해 수집되는 제1 설비 속성 정보에 따라 생성될 수 있으며, 다른 설비 지문이 설비 인증서 내의 설비 지문과 동일하면, 이는 제1 설비 속성 정보가 인증서 내의 설비 지문과 매칭되는 것을 나타낸다.
또한, 제1 설비 속성 정보가 제2 설비 속성 정보와 매칭될 때, 속성 정보 사이의 매칭은, 예를 들면, 제1 설비 속성 정보 및 제2 설비 속성 정보 내의 대응하는 속성 값이 동일하거나, 또는 속성 값의 전체 수에 대한 일치하는 속성 값의 수의 비가 사전 설정된 비 임계치에 도달하는 것을 가리킨다.
예를 들어, 속성 A, 속성 B, 속성 C 및 속성 D의 4개의 속성이 있다고 가정하면, 서버는 목표 설비에 의해 수집된 4개의 속성이 설비 인증서 내의 4개의 대응하는 속성과 일치하는지 비교할 수 있다. 네트워크 카드를 예로 들면, 설비 인증서 내의 속성 A가 네트워크 카드의 전달 ID 이고, 목표 설비에 의해 수집된 제1 설비 속성 정보가 또한 목표 설비의 네트워크 카드의 전달 ID를 가지면, 서버는 두 전달 ID가 동일한지, 즉 동일한 하드웨어의 대응하는 유형의 속성이 동일한지 비교할 수 있으며, 인증서 내의 각 속성에 대해 위의 비교가 요구된다.
비교 동안, 3가지 경우가 있을 수 있다. 한 경우에서, 속성 값(속성 값은, 예를 들면, 네트워크 카드의 전달 ID이다)이 동일, 예를 들면, 전달 ID가 일치한다. 다른 경우에서, 속성 값이 상이, 예를 들면, 전달 ID가 상이하거나, 또는 디스플레이 카드의 모델이 상이하다. 또 다른 경우에서, 수집된 속성 값이 없을(null) 수 있다. 예를 들면, 설비 인증서 내의 하나의 속성이 네트워크 카드의 모델이지만, 목표 설비에 의해 수집된 제1 설비 속성 정보 내에서 네트워크 카드 모델이 없는, 즉, 네트워크 카드 모델이 수집되지 않은 경우이다. 이는 수집 환경 또는 수집 동안의 다른 요소에 의해 영향을 받은 것일 수 있으며, 속성이 획득되지 않은 것이다.
위의 3가지 비교 경우에 기반하여, 속성 정보 사이의 매칭은 다음과 같이 정의될 수 있다.
예를 들면, 제1 설비 속성 정보 및 제2 설비 속성 정보 내의 대응하는 속성 값이 완전 동일, 즉, 목표 설비는 인증서 내의 모든 속성 값을 수집해야 하고 속성 값이 동일하여야 한다. 그러면 서버는 제1 설비 속성 정보가 제2 설비 속성 정보와 매칭된다고 판단할 수 있다.
다른 예를 들면, 제1 설비 속성 정보 및 제2 설비 속성 정보 내의 대응하는 속성 값이 완전 동일해야 하며, 일부 수집된 대응하는 속성 값이 없는 것이 허용될 수 있지만, 수집된 모든 속성 값이 없는 것은 허용되지 않는다. 인증서 내의 속성 값이 목표 설비에 의해 수집되지 않고, 이들이 모두 없으면, 서버는 제1 설비 속성 정보가 제2 설비 속성 정보와 매칭되지 않는다고 판단한다. 4개의 속성 A, B, C 및 D에 대하여, 속성 B만이 목표 설비에 의해 수집되지 않고 다른 속성 값이 동일하면, 속성 A는 무시될 수 있으며, 제1 설비 속성 정보가 제2 설비 속성 정보와 매칭된다고 판단한다.
다른 예를 들면, 제1 설비 속성 정보 및 제2 설비 속성 정보 내의 대응하는 속성 값 중에서, 속성 값의 전체 수에 대한 일치하는 속성 값의 수의 비가 사전 설정된 비 임계치에 도달한다. 예를 들면, 위의 네 속성 중에서, 비교 중에 단지 하나의 대응하는 속성만이 상이하고, 다른 3개가 동일할 때, 속성 값의 전체 수에 대한 일치하는 속성 값의 수의 비는 3/4이고, 사전 설정된 비 임계치 1/2보다 크면, 이들은 서로 매칭되는 것으로 판단한다. 3개의 속성의 속성값이 상이하면, 속성 값의 전체 수에 대한 일치하는 속성 값의 수의 비는 1/4이고, 사전 설정된 비 임계치 1/2보다 작으면, 이들은 서로 매칭되지 않는 것으로 판단한다.
위에서 서술한 매칭 조건의 예는 전부(exhaustive)가 아니라 단지 예일 뿐이며, 매칭 조건은 설비 검증에 요구되는 보안 제어의 엄격성 정도에 따라 유연하게 설정될 수 있음을 유의하여야 한다.
이 단계의 속성 비교가 도 1에 나타난 응용 시나리오의 예와 함께 도시되며, 설비가 안전한지, 및 설비가 안전한 설비 또는 불법적인 설비인지 서버가 판단하는 방법이 설명된다.
도 1에서, 사용자가 적법한 사용자이고, 서버(12)에 액세스하기 위하여 자신의 컴퓨터(11)를 사용한다고 가정하면, 컴퓨터(11)가 설비 검증 요청을 송신할 때, 그 내부에 실려 전달되는 설비 인증서는 서버(12)에 의해 컴퓨터(11)로 발행된 인증서이며, 인증서 내의 제2 설비 속성 정보는 컴퓨터(11)에 대응하는 속성, 예를 들면, 컴퓨터(11)의 디스플레이 카드 속성 및 네트워크 카드 속성이다. 설비 검증 요청이 송신될 때, 컴퓨터(11)의 디스플레이 카드 및 네트워크 카드 속성이 또한 컴퓨터(11)에 의해 수집된 제1 속성 정보 내에 있으며, 서버 측에서 판단될 때 두 개의 속성 정보는 통상 일치한다.
대응하여, 도 1에서, 사용자가 적법한 사용자의 컴퓨터(11)에 대응하는 설비 인증서를 훔친 불법 사용자이고 컴퓨터(13)를 통해 서버(12)에 액세스한다고 가정하면, 컴퓨터(13)가 설비 검증 요청을 송신할 때, 그 내부에 실려 전달되는 설비 인증서는 서버(12)에 의해 컴퓨터(11)로 발행된 인증서이며, 인증서 내의 설비 지문은 컴퓨터(11)의 속성에 따라 생성되는 반면, 컴퓨터(13)에 의해 수집된 제1 설비 속성 정보는 컴퓨터(13)에 대응하는 하드웨어 정보이고, 따라서, 서버 측에서 판단할 때, 설비 지문과 제1 설비 속성 정보는 서로 매칭되지 않는 것으로 판단될 것이다.
이 단계에서, 설비 지문에 따라 설비 인증서가 유효한 것으로 판단되면, 판단 결과는 설비 인증서 내의 설비 지문이 제1 설비 속성 정보와 매칭된다는 것이며, 이는 설비 인증서가 목표 설비의 인증서임을 나타내며, 204가 수행된다. 그렇지 않으면, 205가 수행된다.
204. 서버는 목표 설비가 목표 서비스를 수행하도록 허용한다.
이 단계에서, 서버는 목표 설비로 검증 성공 응답을 회신할 수 있거나, 또는 성공 응답을 회신하지 않고 바로 목표 설비가 후속 서비스 동작을 수행하도록 허용할 수 있다.
205. 서버는 목표 설비가 목표 서비스를 수행하는 것을 불허한다.
예를 들면, 서버는 목표 설비로 검증 실패 응답을 회신하며, 예를 들면, 위의 예에서 설명된 것과 같이 불법적인 사용자가 컴퓨터(13)를 사용하여 서버에 액세스할 때, 사용자가 서비스를 수행하는 것이 서버에 의해 허용되지 않을 것이다.
이 실시예의 설비 검증 방법에서, 설비 속성 정보에 따라 생성되는 설비 지문은 설비에 대해 발행된 설비 인증서 내에서 전달되며, 설비의 검증 동안, 설비 속성이 인증서 내의 설비 지문과 매칭될 때에만 서비스의 수행이 허용되어, 설비 검증의 보안과 신뢰성이 개선된다.
위의 예에서, 설비 검증 방법 수행의 과정은 목표 설비가 설비 인증서를 저장한 것에 기반하여 수행되며, 목표 설비는 설비 검증 요청을 송신할 때 설비 인증서를 전달하기만 하면 된다. 실제로, 설비 인증서는 서버에 의해 목표 설비로 발행되며, 설비 검증 과정을 수행하기 전에 서버로의 신청을 통해 목표 설비에 의해 획득된다. 인증서 신청은 이하에서 자세히 설명될 것이다.
도 3은 본 발명의 실시예에 따른 다른 설비 검증 방법의 개략적인 신호도로서, 설비가 서버로 인증서를 신청하는 과정 및 서버가 인증서를 생성하는 방법을 설명하는 데 사용되며, 이하의 단계를 포함한다.
301. 목표 설비가 제2 설비 속성 정보를 수집하고, 공개-개인 키 쌍을 생성한다.
서버에 의해 설비 인증서가 만들어질 때, 설비의 하드웨어 속성이 또한 인증서 내에 설정되며, 따라서, 목표 설비가 인증서를 신청할 때, 제2 설비 속성 정보로 지칭될 수 있는, 설비의 하드웨어 속성의 수집이 수행되어야 하며, 이들이 서버로 제출되고, 상응하여 서버가 설비 인증서를 생성할 수 있도록 한다.
이 단계에서, 목표 설비에 의해 수집된 제2 설비 속성 정보는 설비 인증서 내의 속성 정보와 상응하여 완전히 일치할 필요가 없을 수 있음을 유의하여야 한다. 예를 들면, 설비 인증서 내에 3개의 속성 A, B 및 C가 있다고 가정하면, 이 단계에서 제2 설비 속성 정보는 목표 설비가 목표 설비 자신의 모든 하드웨어 고유 속성을 수집하거나, 또는 5개 등, 요컨대, 설비 인증서 내에 포함된 속성보다 많을 수 있는 속성을 수집하고, 설비 인증서 내의 속성은 다수의 속성으로부터 선택된 일부 속성인 것일 수 있다. 자세한 사항은 이어지는 303의 설명을 참조한다. 물론, 제2 설비 속성 정보는 인증서 내의 속성과 또한 일치할 수 있으며, 예를 들면, 3개의 속성 A, B 및 C가 수집되고, 3개의 속성이 인증서가 만들어질 때 인증서 내에 또한 설정된다.
또한, 이 단계에서 제2 설비 속성 정보의 수집에 더하여, 목표 설비는 공개 키와 개인 키를 포함하는 공개-개인 키 쌍을 더 생성한다. 공개 키는 304에서 인증서를 생성하는 데 사용되며, 인증서가 신청될 때 개인 키는 서버로 전송되지 않는다. 예를 들면, 개인 키는 검증 성공 후에 정보 전송 동안 정보 암호화에 사용될 수 있으며, 예를 들면, 목표 설비에 의해 서버로 송신되는 정보가 개인 키에 의해 암호화되고, 서버는 공개 키를 사용하여 정보를 해독한다.
302. 목표 설비가 서버로 인증서 신청 요청을 전송하고, 인증서 신청 요청은 제2 설비 속성 정보 및 공개-개인 키 쌍 내의 공개 키를 포함한다.
목표 설비가 서버로 인증서 신청 요청을 송신할 때, 301에서 수집된 제2 설비 속성 정보 및 생성된 공개-개인 키 쌍 내의 공개 키가 전달될 것이다.
선택적으로, 목표 설비는 서버에 대해 설비 인증서를 신청할 수 있으며, 신청은 다음에서 열거된 두 경우에서 서버에 대해 개시될 수 있다.
한 경우에서, 목표 설비가 설비 인증서가 없는 것을 발견한다. 인증서는 서버에 의해 설비로 송신되므로, 인증서는 설비에 저장될 것이며, 설비가 서버에 설비 검증을 요청할 때, 인증서가 설비 검증 요청 내에 실려 전달된다. 목표 설비가 로컬 저장된 설비 인증서가 없는 것을 확인할 때, 그 후에 설비 검증이 수행될 수 없으며, 따라서, 목표 설비는 인증서 신청을 개시할 것이다.
다른 경우에서, 목표 설비가 서버에 의해 회신된 검증 실패 응답을 수신할 때이며, 달리 말하자면, 이 때에는 목표 설비에 의한 인증서 신청 전에, 목표 설비가 서버에 검증을 요청하기 위하여 다른 설비의 인증서를 아마도 사용할 수 있으며, 그 결과, 서버가 속성 정보가 매칭되지 않는다고 판단하고, 설비 인증서가 그 설비의 인증서가 아니라는 것을 나타내는 검증 실패를 회신하여, 이에 따라 목표 설비가 그 자신의 설비 인증서를 다시 신청하여야 한다.
303. 서버가 제2 설비 속성 정보에 따라 설비 지문을 생성한다.
이 단계에서, 목표 설비에 의해 수집된 제2 설비 속성 정보 내의 속성 수가 설비 지문이 생성될 때 기반하여야 하는 속성 정보의 수보다 크면, 속성이 제2 설비 속성 정보로부터 선택될 수 있으며, 목표 설비에 의해 수집된 제2 설비 속성 정보 내의 속성 수가 설비 지문이 생성될 때 기반하여야 하는 속성 정보의 수와 같으면, 지문이 이들 모두를 기반으로 생성될 수 있다.
상기에서, 설비 지문이 생성되는 기반인 제2 설비 속성 정보의 획득이 속성의 수의 관점에서 설명되었으며, 수집된 제2 설비 속성 정보가 속성 A(예를 들면, CPU 모델), 속성 B(예를 들면, 네트워크 카드 모델), 속성 C(예를 들면, 디스플레이 카드의 전달 ID) 및 속성 D(예를 들면, 메모리의 이름)을 포함한다고 가정하면, 지문이 생성되는 것에 기반하여 속성을 획득할 때, 예를 들면, 이하에서 예시된 방식으로 정보가 추가로 처리되어야 한다.
표 1. 속성 값에 대해 취해지는 해시 값
속성 해시 값
속성 A 속성 A의 해시 값
속성 B 속성 B의 해시 값
속성 C 속성 C의 해시 값
속성 D 속성 D의 해시 값
위의 표 1에 나타난 바와 같이, 표 1은 전송의 안전을 보장하기 위하여 목표 설비가 수집된 4개의 속성 정보의 속성 값에 대해 해시 값을 취하는 것을 나타내며, 사실상 수집된 속성 값의 해시 값이 서버로 전송된다. 서버 측에서, 목표 설비를 식별하기 위한 설비 지문을 형성하기 위해, 이들 속성의 해시 값이 조합되어야 한다.
예를 들어, 제2 설비 속성 정보로부터 일부 속성을 선택하는 것을 예로 들면, 제2 설비 속성 정보는 다수의 속성 값을 포함하며, 각 속성 값은 목표 설비의 하나의 설비 고유 속성에 대응하고, 예를 들면, 상기 표 1 내의 4개의 속성 값이다. 서버는 4개의 속성으로부터 사전 설정된 수의 속성 값, 예를 들면, 이 실시예에서는, 3개의 속성 값 A, B 및 C가 선택되고, 이들 속성 값이 조합되어 설비의 지문 정보를 생성한다. 조합은 다음의 방법에 따라 수행될 수 있다. 상기 표 1의 속성 A, 속성 A의 해시 값, 속성 B, 속성 B의 해시 값, 속성 C 및 속성 C의 해시 값이 모두 합성되어 해시를 취하며, 설비 지문 정보의 역할을 한다. 물론, 3개의 속성과 연관된 정보가 포함되기만 하면 다른 조합 방법이 또한 있을 수 있으며, 이는 자세히 설명되지 않는다.
위에서 설명한 바와 같이 제2 설비 속성 정보로부터 일부 속성을 선택하여 설비 지문을 생성하는 방식은 설비 검증 방식을 더 신뢰성 있고 안전하게 하며, 이는 목표 설비가 그 모든 하드웨어 고유 속성을 수집한다고 하면, 설비 지문을 생성하기 위해 서버에 의해 어떤 속성이 선택될 것인지 목표 설비가 알 수 없으며, 해커와 같은 불법 사용자가 설비 인증서 내에 어떤 속성이 포함되는지 알지 못하므로, 해커는, 속성을 위조(예를 들면, 해커가 설비 검증 요청을 보고할 때 적법한 설비의 하드웨어 속성을 변경하고, 이를 자신의 하드웨어 속성으로 대체)하려고 하더라도, 어떤 속성을 위조하여야 하는지 알 수 없어, 해커의 불법적 행위의 난이도를 증가시켜 검증 방식이 더 높은 신뢰성을 갖도록 한다.
또한, 목표 설비는 인증서를 신청할 때 목표 설비에 의해 수집된 하드웨어 고유 속성을 저장할 수 있으며, 이 방법으로 동일한 설비 속성이 이후에 설비 검증이 요청될 때 또한 수집될 수 있고, 이 방법에 의해서만 수집된 속성 정보가 설비 인증서 내의 대응하는 속성을 포함하는 것을 보장할 수 있으며, 서버는 속성을 매칭하고 비교할 수 있다.
304. 서버가 설비 지문 및 공개 키를 포함하는 설비 인증서를 생성한다.
이하의 표 2는 이 단계에서 생성되는 설비 인증서의 구조를 단순화된 방식으로 나타낸다.
표 2 설비 인증서 구조
인증서의 주요 정보 인증서의 확장된 정보
서명을 갖는 공개 키 설비 지문
위의 표 2에 나타난 바와 같이, 설비 인증서는 인증서의 확장된 정보 내에 포함된 설비 지문을 갖는 디지털 인증서이며, 디지털 인증서는, 예를 들면, X.509 V3 포맷의 인증서이다. 설비 지문 생성의 설명은 303의 설명에서 찾을 수 있다. 설비 인증서는 CA 서명을 갖는 공개 키를 더 포함하며, 공개 키는 목표 설비에 의해 생성된 공개-개인 키 쌍의 공개 키이다. 정보의 손상은 인증서를 무효화할 것이다.
또한, 설비 인증서가 생성될 때, 인증서 일련 번호가 인증서의 고유 속성으로 또한 생성된다. 서버 측은 생성된 설비 인증서와 설비 지문 사이의 대응관계를 저장할 수 있다. 구체적으로, 서버 측은, 예를 들면, 인증서의 인증서 일련 번호와 설비 지문 사이의 대응관계와 설비 고유 속성(속성은 이를 기반으로 지문이 생성되는 속성을 지칭한다)을 다음의 표 3에 나타난 바와 같이 저장할 수 있다.
표 3 설비 인증서 대응관계
인증서
일련 번호
설비 지문 설비 고유 속성 인증서
생성 시간
인증서
사용 시간
속성 A ##### ****
속성 B
속성 C
표 3의 대응관계가 기록된 후에, 이어서 서버가 목표 설비에 의해 송신된 설비 검증 요청 내에 실려 전달된 설비 인증서를 수신할 때, 설비 인증서는 인증서 일련 번호의 인증서 속성을 포함하며, 서버는 인증서 일련 번호에 따라 표 3을 검색하여, 설비 인증서에 대응하는 설비 지문에 대응하는 속성 A, 속성 B 및 속성 C를 획득하고, 속성을 목표 설비에 의해 수집된 제1 설비 속성 정보와 비교하여, 이들이 서로 매칭되는지 판단한다.
인증서 일련 번호가 또한 설비 인증을 더 신뢰성 있게 하는 것을 유의하여야 한다. 예를 들면, 두 설비의 속성이 동일하다고, 예를 들어, 네트워크 카드의 모델 및 디스플레이 카드의 전달 ID가 모두 동일하다고 가정하면, 두 설비가 설비 인증서를 신청할 때, 서버는 두 설비에 대해 설비 인증서를 발행할 수 있으며, 설비 인증서 내에 전달되는 설비 지문이 동일할 수 있다. 그러나, 각 인증서는 고유한 인증서 일련 번호에 대응하며, 두 설비 인증서의 인증서 일련 번호는 상이하므로, 서버는 두 설비를 여전히 구분할 수 있다.
달리 말하자면, 목표 설비의 설비 검증 요청을 수신할 때, 서버는 위의 예에서 설명된 설비 속성 정보를 매칭하고 비교하여야 할 뿐 아니라, 예를 들면, 인증서의 일련 번호가 동일한지, 인증서가 유효 기간 내인지, 인증서 정보가 완전한지 아니면 손상되었는지 등의 일부 기본적인 인증서 검증을 수행하여야 한다.
305. 서버가 설비 인증서를 목표 설비로 송신한다.
본 발명의 이 실시예의 설비 검증 방법은 디지털 인증서와 설비 지문의 조합 메커니즘을 사용하여, 디지털 인증서가 위조 불가이므로 인증서 내의 설비 지문이 위조 불가하도록 한다. 한편, 디지털 인증서의 고유성이 또한 사용되어, 설비 검증의 신뢰성을 크게 개선한다.
이하와 같이 설비 검증 장치가 더 제공되어 상술한 설비 검증 방법을 장치를 통해 구현한다.
도 4는 본 발명의 실시예에 따른 설비 검증 장치의 개략적인 구조도이며, 장치는 서버, 예를 들면, 서버 단말기 내의 소프트웨어 세트에 응용될 수 있다. 도 4에 나타난 바와 같이, 장치는 요청 수신 유닛(41) 및 설비 검증 유닛(42)을 포함할 수 있다.
요청 수신 유닛(41)은 검증 대상 목표 설비에 의해 송신되는 설비 검증 요청을 수신하는데 사용되며, 설비 검증 요청은 설비 인증서 및 목표 설비의 제1 설비 속성 정보를 포함하고, 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함한다.
설비 검증 유닛(42)은, 설비 지문에 따라 설비 인증서가 유효한 것으로 확인되고, 설비 지문이 제1 설비 속성 정보와 매칭될 때, 설비 인증서가 목표 설비의 인증서라고 판단하고, 목표 설비가 목표 서비스를 수행하는 것을 허용하는 것에 사용된다.
도 5는 본 발명의 실시예에 따른 다른 설비 검증 장치의 개략적인 구조도이다. 도 4에 나타난 구조에 기반하여, 장치는 인증서 생성 유닛(43) 및 인증서 송신 유닛(44)을 더 포함한다.
요청 수신 유닛(41)은 목표 설비에 의해 송신되는 인증서 신청 요청을 수신하는 것에도 사용되며, 인증서 신청 요청은 목표 설비에 의해 수집되는 제2 설비 속성 정보를 포함한다.
인증서 생성 유닛(43)은 제2 설비 속성 정보에 따라 설비 지문을 생성하고, 생성된 설비 인증서 내에 설비 지문을 설정하는데 사용된다.
인증서 송신 유닛(44)은 설비 인증서를 목표 설비로 송신하는데 사용된다.
또한, 인증서 생성 유닛(43)은, 제2 설비 속성 정보에 따라 설비 지문을 생성할 때, 제2 설비 속성 정보에 포함된 다수의 속성 값으로부터 사전 설정된 수의 속성 값을 선택하고, 목표 설비를 식별하기 위한 설비 지문을 생성하기 위하여 사전 설정된 수의 속성 값을 조합하는 것에도 사용되며, 각 속성 값은 목표 설비의 하나의 설비 고유 속성에 대응한다.
도 6은 본 발명의 실시예에 따른 또 다른 설비 검증 장치의 개략적인 구조도이다. 장치는 목표 설비, 예를 들면, 목표 설비 측의 클라이언트 단말기 소프트웨어 세트에 응용될 수 있다. 도 6에 나타난 바와 같이, 장치는 정보 획득 유닛(61) 및 요청 송신 유닛(62)을 포함할 수 있다.
정보 획득 유닛(61)은 제1 설비 속성 정보를 수집하는데 사용된다.
요청 송신 유닛(62)은 서버로 설비 검증 요청을 송신하는데 사용되며, 설비 검증 요청은 설비 인증서 및 제1 설비 속성 정보를 포함하고, 설비 인증서는 제2 설비 속성 정보에 따라 생성된 설비 지문을 포함하여, 설비 지문이 제1 설비 속성 정보와 매칭된다고 서버가 판단할 때 목표 서비스가 수행된다.
도 7은 본 발명의 실시예에 따른 또 다른 설비 검증 장치의 개략적인 구조도이다. 도 6에 나타난 구조에 기반하여, 장치는 인증서 수신 유닛(63)을 더 포함한다.
정보 획득 유닛(61)은 제2 설비 속성 정보를 수집하는 것에도 사용된다.
요청 송신 유닛(62)은 서버로 인증서 신청 요청을 송신하는 것에도 사용되고, 인증서 신청 요청은 제2 설비 속성 정보를 포함하여, 서버가 제2 설비 속성 정보에 따라 설비 지문을 생성하고 설비 인증서 내에 설비 지문을 설정하도록 한다.
인증서 수신 유닛(63)은 서버에 의해 회신되는 설비 인증서를 수신하는데 사용된다.
또한, 요청 송신 유닛(62)은 로컬 저장된 설비 인증서가 없는 것으로 확인되거나, 또는 서버에 의해 회신되는 검증 실패 응답이 수신될 때 인증서 신청 요청을 송신하는데도 사용된다.
상기는 단지 본 발명의 바람직한 실시예이며, 본 발명을 제한하고자 의도하지 않는다. 본 발명의 사상 및 원리 내에서 이루어지는 임의의 변경, 균등한 대체, 개선 등은 모두 본 발명의 보호 범위 내에 있다.

Claims (20)

  1. 설비 검증 장치에 의해 수행되는, 목표 서비스 수행을 요청하는 목표 설비 검증을 위한 설비 검증 방법에 있어서, 상기 방법은:
    상기 목표 설비에 의해 송신되는 설비 검증 요청을 수신하는 단계--상기 설비 검증 요청은 설비 인증서 및 상기 목표 설비의 제1 설비 속성 정보를 포함하며, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--;
    상기 설비 지문이 상기 제1 설비 속성 정보와 일치하는지 판단하는 단계; 및
    상기 설비 지문이 상기 제1 설비 속성 정보와 일치한다는 판단에 대응하여, 상기 목표 설비가 상기 목표 서비스를 수행하도록 허용하는 단계를 포함하는 설비 검증 방법.
  2. 제1항에 있어서, 상기 목표 설비에 의해 송신되는 설비 검증 요청을 수신하는 단계 이전에, 상기 방법은:
    상기 목표 설비에 의해 송신되는 인증서 신청 요청을 수신하는 단계--상기 인증서 신청 요청은 상기 목표 설비에 의해 수집되는 상기 제2 설비 속성 정보를 포함--;
    상기 제2 설비 속성 정보에 따라 상기 설비 지문 생성하는 단계; 및
    상기 목표 설비로 상기 설비 인증서를 송신하는 단계--상기 설비 인증서는 상기 설비 지문을 포함--를 더 포함하는 설비 검증 방법.
  3. 제2항에 있어서, 상기 제2 설비 속성 정보는 다수의 속성 값--각 속성 값은 상기 목표 설비의 하나의 설비 속성에 대응--을 포함하고;
    상기 제2 설비 속성 정보에 따라 상기 설비 지문을 생성하는 단계는:
    상기 다수의 속성 값으로부터 사전 설정된 수의 속성 값을 선택하는 단계, 및 상기 설비 지문을 생성하기 위하여 상기 사전 설정된 수의 속성 값을 조합하는 단계를 더 포함하는 설비 검증 방법.
  4. 제1항에 있어서, 상기 설비 지문이 상기 제1 설비 속성 정보와 일치하는지 판단하는 단계는:
    상기 제1 설비 속성 정보가 상기 제2 설비 속성 정보의 적어도 일부와 매칭; 또는
    상기 제1 설비 속성 정보에 따라 다른 설비 지문을 생성하고, 다른 설비 지문이 상기 설비 인증서 내의 상기 설비 지문과 매칭하는 것을 특징으로 하는 설비 검증 방법.
  5. 제4항에 있어서, 상기 제1 설비 속성 정보가 상기 제2 설비 속성 정보의 적어도 일부와 매칭은:
    상기 제1 설비 속성 정보 및 상기 제2 설비 속성 정보 내의 대응하는 속성 값이 동일한 것; 또는
    속성 값의 전체 수에 대한 일치하는 속성 값의 수의 비가 사전 설정된 비 임계치에 만족하는 것을 특징으로 하는 설비 검증 방법.
  6. 목표 설비에 의해 수행되는, 목표 서비스의 수행 요청이 서버로 전송될 때 사용되는 설비 검증 방법에 있어서, 상기 방법은:
    제1 설비 속성 정보를 수집하는 단계;
    상기 서버로 설비 검증 요청 송신하는 단계--상기 설비 검증 요청은 설비 인증서 및 상기 제1 설비 속성 정보를 포함하고, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--; 및
    상기 설비 지문이 상기 제1 설비 속성 정보와 일치된다는 판단에 근거한 상기 목표 서비스를 수행하는 단계를 포함하는 설비 검증 방법.
  7. 제6항에 있어서, 상기 제1 설비 속성 정보를 수집하는 단계 이전에, 상기 방법은:
    상기 제2 설비 속성 정보를 수집하는 단계;
    상기 서버로 인증서 신청 요청을 송신하는 단계--상기 인증서 신청 요청은 상기 설비 지문을 생성하는데 사용되는 상기 제2 설비 속성 정보를 포함--; 및
    상기 서버에 의해 회신되는 상기 설비 인증서를 수신하는 단계를 더 포함하는 설비 검증 방법.
  8. 제7항에 있어서,
    상기 제2 설비 속성 정보는 다수의 속성 값--각 속성 값은 상기 목표 설비의 설비 속성에 대응--을 포함하고;
    상기 설비 지문은 상기 다수의 속성 값으로부터 선택된 사전 설정된 수의 속성 값들의 조합에 따라 획득되며;
    상기 설비 지문은 상기 목표 설비의 식별을 위하여 사용되는 설비 검증 방법.
  9. 제7항에 있어서, 상기 서버로 인증서 신청 요청 송신하는 단계 이전에, 상기 방법은:
    로컬 저장된 설비 인증서가 없음을 확인하는 단계; 또는
    상기 서버에 의해 회신된 검증 실패 응답을 수신하는 단계를 더 포함하는 설비 검증 방법.
  10. 제6항에 있어서, 상기 설비 인증서는 신뢰된 플랫폼 모듈 TPM에 저장되는 설비 검증 방법.
  11. 설비 검증 장치에 있어서, 상기 장치는 서버에 적용되며,
    목표 설비에 의해 송신되는 설비 검증 요청을 수신하는데 사용되는 요청 수신 유닛--상기 설비 검증 요청은 설비 인증서 및 상기 목표 설비의 제1 설비 속성 정보를 포함하며, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함--; 및
    상기 설비 지문이 제1 설비 속성 정보와 일치되는지 판단하고, 상기 지문이 상기 제1 설비 속성 정보와 일치된다는 판단에 대응하여 상기 목표 설비가 목표 서비스를 수행하는 것을 허용하는 것에 사용되는 설비 검증 유닛을 포함하는 설비 검증 장치.
  12. 제11항에 있어서,
    상기 요청 수신 유닛은 상기 목표 설비에 의해 송신되는 인증서 신청 요청을 수신하는 것에도 사용되고--상기 인증서 신청 요청은 상기 목표 설비에 의해 수집되는 상기 제2 설비 속성 정보를 포함--;
    상기 장치는 인증서 생성 유닛 및 인증서 송신 유닛을 더 포함하는--상기 인증서 생성 유닛은 상기 제2 설비 속성 정보에 따라 상기 설비 지문을 생성하고, 상기 인증서 송신 유닛은 상기 목표 설비로 상기 설비 인증서를 송신하는데 사용되고, 상기 설비 인증서는 상기 설비 지문을 포함-- 설비 검증 장치.
  13. 제12항에 있어서,
    상기 인증서 생성 유닛은, 상기 제2 설비 속성 정보에 따라 상기 설비 지문을 생성할 때:
    상기 제2 설비 속성 정보 내에 포함된 다수의 속성 값으로부터 사전 설정된 수의 속성 값을 선택하고,
    상기 설비 지문을 생성하기 위한 상기 사전 설정된 수의 속성 값을 조합하는 것에 구체적으로 사용되고;
    각 속성 값은 상기 목표 설비의 설비 속성에 대응하는 설비 검증 장치.
  14. 설비 검증 장치에 있어서, 상기 장치는 목표 설비에 적용되며,
    제1 설비 속성 정보를 수집하는 것에 사용되는 정보 획득 유닛; 및
    서버로 설비 검증 요청을 송신하는 것에 사용되는 요청 송신 유닛을 포함하며, 상기 설비 검증 요청은 설비 인증서 및 상기 제1 설비 속성 정보를 포함하고, 상기 설비 인증서는 제2 설비 속성 정보에 따라 생성되는 설비 지문을 포함하고,
    상기 설비 지문이 상기 제1 설비 속성 정보와 일치된다는 판단에 기초하여 목표 서비스가 수행되는 설비 검증 장치.
  15. 제14항에 있어서,
    상기 정보 획득 유닛은 상기 제2 설비 속성 정보를 수집하는 것에도 사용되고;
    상기 요청 송신 유닛은 상기 서버로 인증서 신청 요청을 송신하는 것에도 사용되고--상기 인증서 신청 요청은 상기 설비 지문을 생성하기 위해 사용되는 상기 제2 설비 속성 정보를 포함하고--;
    상기 장치는 상기 서버에 의해 회신되는 상기 설비 인증서를 수신하는 것에 사용되는 인증서 수신 유닛을 더 포함하는 설비 검증 장치.
  16. 제15항에 있어서,
    상기 요청 송신 유닛은,
    로컬 저장된 설비 인증서가 없음을 확인하는 것, 또는
    상기 서버에 의해 회신되는 검증 실패 응답을 수신하는 것 이후에 상기 인증서 신청 요청을 송신하는 설비 검증 장치.
  17. 제1항에 있어서,
    상기 설비 지문에 기초하여 상기 설비 인증서가 유효한지 판단하는 단계를 더 포함하는 설비 검증 방법.
  18. 삭제
  19. 삭제
  20. 삭제
KR1020177020079A 2014-12-18 2015-12-09 설비 검증 방법 및 장치 KR102193644B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410797833.5 2014-12-18
CN201410797833.5A CN105763521B (zh) 2014-12-18 2014-12-18 一种设备验证方法及装置
PCT/CN2015/096797 WO2016095739A1 (zh) 2014-12-18 2015-12-09 一种设备验证方法及装置

Publications (2)

Publication Number Publication Date
KR20170098890A KR20170098890A (ko) 2017-08-30
KR102193644B1 true KR102193644B1 (ko) 2020-12-22

Family

ID=56125904

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177020079A KR102193644B1 (ko) 2014-12-18 2015-12-09 설비 검증 방법 및 장치

Country Status (9)

Country Link
US (1) US10587604B2 (ko)
EP (1) EP3236630B1 (ko)
JP (1) JP6703539B2 (ko)
KR (1) KR102193644B1 (ko)
CN (1) CN105763521B (ko)
ES (1) ES2804471T3 (ko)
PL (1) PL3236630T3 (ko)
SG (1) SG11201705053YA (ko)
WO (1) WO2016095739A1 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9407443B2 (en) 2012-06-05 2016-08-02 Lookout, Inc. Component analysis of software applications on computing devices
CN105763521B (zh) 2014-12-18 2019-09-20 阿里巴巴集团控股有限公司 一种设备验证方法及装置
CN107872428A (zh) * 2016-09-26 2018-04-03 平安科技(深圳)有限公司 应用程序的登录方法及装置
CN106535301B (zh) * 2016-12-30 2020-02-21 珠海赛纳打印科技股份有限公司 建立通信连接的方法、设备及系统
CN108270610A (zh) * 2017-02-16 2018-07-10 广州市动景计算机科技有限公司 数字证书监控的方法与装置
CN107025272B (zh) * 2017-03-10 2020-01-10 合肥鑫晟光电科技有限公司 网版操控方法、系统及其设备
US10663958B2 (en) 2017-03-10 2020-05-26 Boe Technology Group., Ltd. Screen control method, system, equipment and server
CN108804908B (zh) * 2017-05-04 2023-05-09 腾讯科技(深圳)有限公司 一种设备指纹生成方法、装置及计算设备
CN108989039A (zh) * 2017-05-31 2018-12-11 中兴通讯股份有限公司 证书获取方法及装置
US10218697B2 (en) * 2017-06-09 2019-02-26 Lookout, Inc. Use of device risk evaluation to manage access to services
US10445143B2 (en) * 2017-06-14 2019-10-15 Vmware, Inc. Device replacement for hyper-converged infrastructure computing environments
CN107426235B (zh) * 2017-08-08 2020-01-24 北京梆梆安全科技有限公司 基于设备指纹的权限认证方法、装置及系统
CN107516038B (zh) * 2017-08-08 2020-03-31 北京梆梆安全科技有限公司 一种确定设备指纹的方法及装置
US11182780B2 (en) * 2017-11-13 2021-11-23 American Express Travel Related Services Company, Inc. Secured account provisioning and payments for NFC-enabled devices
CN109818906B (zh) * 2017-11-21 2022-04-15 深圳市腾讯计算机系统有限公司 一种设备指纹信息处理方法、装置及服务器
CN110737881B (zh) * 2018-07-18 2021-01-26 马上消费金融股份有限公司 一种智能设备指纹验证方法及装置
KR102135502B1 (ko) * 2018-08-09 2020-07-17 현대위아 주식회사 사설 블록체인을 기반으로 하는 장비 라이선스 확인 시스템, 등록 방법 및 인증 방법
CN109257378A (zh) * 2018-11-05 2019-01-22 杭州安恒信息技术股份有限公司 一种快速识别物联网环境非法接入资产的方法与系统
CN109657447B (zh) * 2018-11-28 2023-03-14 腾讯科技(深圳)有限公司 一种设备指纹生成方法及装置
CN111414597B (zh) * 2019-01-07 2023-03-28 中国移动通信有限公司研究院 一种获取设备指纹的方法、装置及设备指纹服务器
CN110175448B (zh) * 2019-04-28 2022-02-11 众安信息技术服务有限公司 一种可信设备登录认证方法及具有认证功能的应用系统
KR20210049603A (ko) * 2019-10-25 2021-05-06 삼성전자주식회사 권한 정보에 기초한 인증서를 사용하여 액세스 컨트롤하는 방법 및 장치
CN110928788B (zh) * 2019-11-22 2023-09-19 泰康保险集团股份有限公司 服务验证方法及设备
CN111416800A (zh) * 2020-03-09 2020-07-14 西安万像电子科技有限公司 数据传输方法及系统
US11962698B2 (en) * 2020-03-17 2024-04-16 Arris Enterprises Llc Token node locking with fingerprints authenticated by digital certificates
CN111698255B (zh) * 2020-06-15 2022-07-22 南京领行科技股份有限公司 一种业务数据传输方法、设备及系统
CN111709059B (zh) * 2020-06-19 2021-06-01 山东省计算中心(国家超级计算济南中心) 基于国密算法的终端认证信息生成方法及系统
CN111478986B (zh) * 2020-06-22 2020-09-25 腾讯科技(深圳)有限公司 设备指纹的生成方法、装置、设备及存储介质
EP4068719A1 (de) * 2021-03-31 2022-10-05 Siemens Aktiengesellschaft Verfahren zum kryptographisch gesicherten nachweis eines geräteursprungs, gerät und überprüfungseinrichtung
CN113849802A (zh) * 2021-06-30 2021-12-28 五八有限公司 一种设备认证方法、装置、电子设备及存储介质
CN113901417B (zh) * 2021-10-09 2024-01-30 中原银行股份有限公司 一种移动设备指纹生成方法及可读存储介质
CN114640531B (zh) * 2022-03-25 2024-03-15 北京奇艺世纪科技有限公司 设备指纹生成方法、装置、电子设备及存储介质
US20240114039A1 (en) * 2022-09-30 2024-04-04 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Detecting identity theft or identity change in managed systems

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023876A (zh) 2012-11-22 2013-04-03 中国科学院声学研究所 一种网络终端及其安全认证、注册激活方法,服务器
CN103414699A (zh) 2013-07-23 2013-11-27 北京星网锐捷网络技术有限公司 客户端证书认证方法、服务器和客户端

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10260939A (ja) * 1997-03-19 1998-09-29 Fujitsu Ltd コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
JP3840399B2 (ja) * 2000-12-05 2006-11-01 健太 堀 ソフトウエアの不正利用防止方法及びプログラム並びに記憶媒体
US7218739B2 (en) * 2001-03-09 2007-05-15 Microsoft Corporation Multiple user authentication for online console-based gaming
US20040054913A1 (en) 2002-02-28 2004-03-18 West Mark Brian System and method for attaching un-forgeable biometric data to digital identity tokens and certificates, and validating the attached biometric data while validating digital identity tokens and certificates
JP4397675B2 (ja) 2003-11-12 2010-01-13 株式会社日立製作所 計算機システム
US7644278B2 (en) 2003-12-31 2010-01-05 International Business Machines Corporation Method for securely creating an endorsement certificate in an insecure environment
JP2005318527A (ja) * 2004-03-29 2005-11-10 Sanyo Electric Co Ltd 無線伝送装置、相互認証方法および相互認証プログラム
GB2434724A (en) * 2006-01-13 2007-08-01 Deepnet Technologies Ltd Secure transactions using authentication tokens based on a device "fingerprint" derived from its physical parameters
US8261072B2 (en) * 2006-03-24 2012-09-04 Atmel Corporation Method and system for secure external TPM password generation and use
US8316421B2 (en) * 2009-10-19 2012-11-20 Uniloc Luxembourg S.A. System and method for device authentication with built-in tolerance
AU2011100168B4 (en) 2011-02-09 2011-06-30 Device Authority Ltd Device-bound certificate authentication
CN103024090B (zh) * 2011-09-20 2015-07-01 阿里巴巴集团控股有限公司 一种识别用户终端的方法和系统
JP2014174560A (ja) * 2013-03-05 2014-09-22 Canon Inc 情報処理装置及びサーバとその制御方法、プログラム及び記憶媒体
CN104184713B (zh) 2013-05-27 2018-03-27 阿里巴巴集团控股有限公司 终端识别方法、机器识别码注册方法及相应系统、设备
CN105763521B (zh) 2014-12-18 2019-09-20 阿里巴巴集团控股有限公司 一种设备验证方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023876A (zh) 2012-11-22 2013-04-03 中国科学院声学研究所 一种网络终端及其安全认证、注册激活方法,服务器
CN103414699A (zh) 2013-07-23 2013-11-27 北京星网锐捷网络技术有限公司 客户端证书认证方法、服务器和客户端

Also Published As

Publication number Publication date
SG11201705053YA (en) 2017-07-28
KR20170098890A (ko) 2017-08-30
CN105763521A (zh) 2016-07-13
ES2804471T3 (es) 2021-02-08
EP3236630B1 (en) 2020-06-24
JP2018501567A (ja) 2018-01-18
EP3236630A1 (en) 2017-10-25
JP6703539B2 (ja) 2020-06-03
WO2016095739A1 (zh) 2016-06-23
US10587604B2 (en) 2020-03-10
US20170289139A1 (en) 2017-10-05
EP3236630A4 (en) 2018-01-03
PL3236630T3 (pl) 2020-09-07
CN105763521B (zh) 2019-09-20

Similar Documents

Publication Publication Date Title
KR102193644B1 (ko) 설비 검증 방법 및 장치
WO2020048241A1 (zh) 区块链跨链的认证方法、系统、服务器及可读存储介质
US11669605B1 (en) Dynamic enrollment using biometric tokenization
US8239927B2 (en) Authentication ticket validation
EP3346660B1 (en) Authentication information update method and device
CN110990827A (zh) 一种身份信息验证方法、服务器及存储介质
CN110086608A (zh) 用户认证方法、装置、计算机设备及计算机可读存储介质
US20080120698A1 (en) Systems and methods for authenticating a device
US20080120707A1 (en) Systems and methods for authenticating a device by a centralized data server
US10193884B1 (en) Compliance and audit using biometric tokenization
WO2016014120A1 (en) Device authentication agent
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN101174953A (zh) 一种基于S/Key系统的身份认证方法
WO2019205389A1 (zh) 电子装置、基于区块链的身份验证方法、程序和计算机存储介质
US10404689B2 (en) Password security
CN112437068B (zh) 认证及密钥协商方法、装置和系统
CN106161348A (zh) 一种单点登录的方法、系统以及终端
CN106453378A (zh) 数据认证的方法、装置及系统
JP2007280393A (ja) コンピューターログインをコントロールする装置およびその方法
CN106209793A (zh) 一种身份验证方法及验证系统
CN102868702A (zh) 系统登录装置和系统登录方法
CN110740140A (zh) 一种基于云平台的网络信息安全监管系统
JP6801146B2 (ja) 生体認証を用いた電子決裁システム、方法、およびプログラム
CN109936522B (zh) 设备认证方法及设备认证系统
CN110858803B (zh) 认证方法、系统、服务器和计算机可读存储介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant