KR102305943B1 - 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 - Google Patents
전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 Download PDFInfo
- Publication number
- KR102305943B1 KR102305943B1 KR1020207028014A KR20207028014A KR102305943B1 KR 102305943 B1 KR102305943 B1 KR 102305943B1 KR 1020207028014 A KR1020207028014 A KR 1020207028014A KR 20207028014 A KR20207028014 A KR 20207028014A KR 102305943 B1 KR102305943 B1 KR 102305943B1
- Authority
- KR
- South Korea
- Prior art keywords
- user
- credential
- data
- subsystem
- electronic device
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
Abstract
전자 디바이스 상의 다수의 사용자들의 크리덴셜들을 관리하기 위한 시스템들, 방법들, 및 컴퓨터 판독가능 매체들이 제공된다.
Description
관련 출원에 대한 상호 참조
본 출원은 2016년 9월 23일에 출원된 미국 가특허 출원 제62/399,166호의 이익을 주장하며, 이 출원은 이에 의해 전체적으로 본 명세서에 참조로서 포함된다.
기술분야
본 개시내용은 전자 디바이스 상의 다수의 사용자들의 크리덴셜들을 관리하는 것을 포함하는, 전자 디바이스 상의 크리덴셜들을 관리하는 것에 관한 것이다.
휴대용 전자 디바이스들(예컨대, 셀룰러 전화기들 및 랩톱 컴퓨터들)에는 다른 개체(예컨대, 판매자)와의 보안 거래 통신을 인에이블하기 위한 보안 요소들이 제공될 수 있다. 종종, 이들 통신은, 전자 디바이스로 하여금 신용 카드 크리덴셜과 같은 원시(native) 결제 크리덴셜을 보안 요소 상에서 생성하고/하거나, 이에 액세스하고/하거나, 이를 다른 개체와 공유할 것을 요구하는, 상거래들 또는 다른 보안 데이터 거래들과 연관된다. 그러나, 단일 전자 디바이스 상에서 상이한 사용자들에 대한 상이한 원시 결제 크리덴셜들을 저장하는 것은 종종 비효율적이었다.
본 문헌은 전자 디바이스 상에서 다수의 사용자들의 크리덴셜들을 관리하기 위한 시스템들, 방법들, 및 컴퓨터 판독가능 매체들을 기술한다.
일 예로서, 디바이스 보호 서버 및 크리덴셜 보호 서버를 포함하는 관리 개체 서브시스템(administration entity subsystem)을 사용하여 전자 디바이스 상의 복수의 크리덴셜들을 관리하기 위한 방법이 제공되는데, 여기서 전자 디바이스는 디바이스 식별자와 연관될 수 있고, 제1 사용자 식별자와 연관된 제1 사용자에 의해 그리고 제2 사용자 식별자와 연관된 제2 사용자에 의해 사용될 수 있으며, 본 방법은, 제1 사용자가 전자 디바이스 상의 복수의 크리덴셜들 중 제1 크리덴셜의 프로비저닝을 인증할 때, 크리덴셜 보호 서버를 사용하여, 크리덴셜 보호 서버에서, 디바이스 식별자에 대해 그리고 제1 사용자 식별자에 대해 그리고 제1 크리덴셜의 제1 크리덴셜 식별자에 대해 제1 보류 토큰(suspension token)을 저장하고 전자 디바이스 상에 제1 크리덴셜 및 제1 보류 토큰을 프로비저닝하는 단계, 제2 사용자가 전자 디바이스 상의 복수의 크리덴셜들 중 제2 크리덴셜의 프로비저닝을 인증할 때, 크리덴셜 보호 서버를 사용하여, 크리덴셜 보호 서버에서, 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 그리고 제2 크리덴셜의 제2 크리덴셜 식별자에 대해 제2 보류 토큰을 저장하고 전자 디바이스 상에 제2 크리덴셜 및 제2 보류 토큰을 프로비저닝하는 단계, 제2 사용자가 전자 디바이스 상에서 전자 디바이스의 보호 서비스를 인에이블할 때, 디바이스 보호 서버를 사용하여, 디바이스 보호 서버에서, 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 제1 보류 토큰 및 제2 보류 토큰을 저장하는 단계, 제2 사용자에 의해 인에이블된 전자 디바이스의 보호 서비스를 위해 보호 모드가 활성화될 때, 디바이스 보호 서버를 사용하여, 제2 사용자 식별자를 사용하여 제2 사용자를 인증하고, 제1 보류 토큰 및 제2 보류 토큰 각각을 전자 디바이스의 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 디바이스 보호 서버에서 저장된 것으로서 식별하고, 식별된 제1 보류 토큰 및 식별된 제2 보류 토큰 각각을 크리덴셜 보호 서버와 공유하는 단계, 식별된 제1 보류 토큰 및 식별된 제2 보류 토큰 각각이 디바이스 보호 서버에 의해 크리덴셜 보호 서버와 공유될 때, 크리덴셜 보호 서버를 사용하여, 식별된 제1 보류 토큰에 대해 크리덴셜 보호 서버에서 저장되는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류하고 식별된 제2 보류 토큰에 대해 크리덴셜 보호 서버에서 저장되는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류하는 단계, 및 제2 크리덴셜이 보류되는 동안 제2 사용자가 제2 사용자 식별자를 사용하여 전자 디바이스 상에서 제2 사용자를 인증할 때, 크리덴셜 보호 서버를 사용하여, 전자 디바이스로부터의 제2 사용자 식별자를 사용하여 제2 사용자를 인증하고 제2 사용자 식별자에 대해 크리덴셜 보호 서버에서 저장된 크리덴셜 식별자를 갖는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류해제(unsuspend)하는 단계를 포함할 수 있다.
다른 예로서, 디바이스 보호 서버를 사용하여 전자 디바이스를 보호하기 위한 방법이 제공되는데, 여기서 전자 디바이스는 디바이스 식별자를 포함할 수 있고, 전자 디바이스는 또한 제1 사용자 식별자와 연관된 제1 사용자에 대한 제1 보류 토큰 및 연관된 제1 크리덴셜을 포함할 수 있고, 전자 디바이스는 또한 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 보류 토큰 및 연관된 제2 크리덴셜을 포함할 수 있다. 본 방법은, 디바이스 보호 서버를 이용해 전자 디바이스로부터, 제1 보류 토큰, 제2 보류 토큰, 디바이스 식별자, 및 제2 사용자 식별자를 포함하는 디바이스 보류 데이터를 수신하는 단계를 포함할 수 있다. 본 방법은 또한, 수신된 디바이스 보류 데이터를 디바이스 보호 서버에서 저장하는 단계, 및 저장하는 단계 이후에, 디바이스 보호 서버를 이용하여, 디바이스 식별자 및 제2 사용자 식별자를 포함하는 디바이스 보호 인에이블 요청(device protection enablement request)을 수신하는 단계를 포함할 수 있다. 본 방법은 또한, 디바이스 보호 서버를 이용하여, 제1 보류 토큰 및 제2 보류 토큰 각각을, 수신된 디바이스 보호 인에이블 요청의 디바이스 식별자 및 제2 사용자 식별자 둘 모두와 함께, 저장된 디바이스 보류 데이터 내에서 디바이스 보호 서버에서 저장되어 있는 것으로서 식별하는 단계를 포함할 수 있다. 본 방법은 또한, 디바이스 보호 서버로부터 원격 서브시스템으로, 식별된 제1 보류 토큰과 연관된 모든 크리덴셜을 보류하고 식별된 제2 보류 토큰과 연관된 모든 크리덴셜을 보류하도록 원격 서브시스템에 지시하도록 동작하는 크리덴셜 보류 데이터를 전달하는 단계를 포함할 수 있다.
또 다른 예로서, 전자 디바이스를 보호하기 위한 디바이스 보호 서버가 제공되는데, 여기서 전자 디바이스는 디바이스 식별자를 포함할 수 있고, 전자 디바이스는 또한 제1 사용자 식별자와 연관된 제1 사용자에 대한 제1 보류 토큰 및 연관된 제1 크리덴셜을 포함할 수 있고, 전자 디바이스는 또한 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 보류 토큰 및 연관된 제2 크리덴셜을 포함할 수 있다. 디바이스 보호 서버는 복수의 데이터 엔트리들을 포함하는 메모리 컴포넌트를 포함할 수 있다. 디바이스 보호 서버는 또한 제1 보류 토큰, 제2 보류 토큰, 및 제2 사용자 식별자를 포함하는 디바이스 보류 데이터를 전자 디바이스로부터 수신하도록 동작하는 통신 컴포넌트를 포함할 수 있다. 디바이스 보호 서버는 또한, 복수의 데이터 엔트리들 중 어떠한 데이터 엔트리도 제1 사용자 식별자에 대해 디바이스 보류 데이터의 제1 보류 토큰 및 디바이스 보류 데이터의 제2 보류 토큰 중 적어도 하나를 저장하고 있지 않을 때에만, 디바이스 보류 데이터의 제2 사용자 식별자에 대해 디바이스 보류 데이터의 제1 보류 토큰 및 디바이스 보류 데이터의 제2 보류 토큰 각각을 복수의 데이터 엔트리들의 데이터 엔트리 내에 저장하도록 동작하는 프로세서를 포함할 수 있다.
본 발명의 내용은 단지 본 문헌에 기술된 주제의 일부 양태들에 대한 기본적인 이해를 제공하도록 일부 예시적인 실시예들을 요약하기 위해서 제공될 뿐이다. 따라서, 본 발명의 내용에서 기술된 특징들은 단지 예시일 뿐이고 본 명세서에 기술된 주제의 범주 또는 기술적 사상을 어떤 방식으로든 한정하도록 해석되어서는 안된다는 것이 이해될 것이다. 다른 방식으로 진술되지 않는 한, 일 예의 컨텍스트에 기술된 특징들은 하나 이상의 다른 예의 컨텍스트에 기술된 특징들과 조합 또는 함께 사용될 수 있다. 본 명세서에 기술된 주제의 다른 특징들, 양태들 및 이점들은 다음의 상세한 설명, 도면들 및 청구범위로부터 명백해질 것이다.
이하의 논의는 하기 도면들을 참조하며, 도면들에서 유사한 참조 부호들은 전체에 걸쳐 유사한 부분들을 지칭한다.
도 1은 전자 디바이스 상에서 크리덴셜들을 관리하기 위한 예시적인 시스템의 개략도이다.
도 2는 도 1의 시스템의 전자 디바이스의 더 상세한 개략도이다.
도 2a는 도 1 내지 도 2의 전자 디바이스의 다른 더 상세한 개략도이다.
도 3은 도 1 내지 도 2a의 전자 디바이스의 정면도이다.
도 4, 도 4a, 및 도 4b는 도 1의 시스템의 관리 개체 서브시스템의 더 상세한 개략도이다.
도 5 내지 도 7은 전자 디바이스 상에서 크리덴셜들을 관리하기 위한 예시적인 프로세스들의 흐름도이다.
도 1은 전자 디바이스 상에서 크리덴셜들을 관리하기 위한 예시적인 시스템의 개략도이다.
도 2는 도 1의 시스템의 전자 디바이스의 더 상세한 개략도이다.
도 2a는 도 1 내지 도 2의 전자 디바이스의 다른 더 상세한 개략도이다.
도 3은 도 1 내지 도 2a의 전자 디바이스의 정면도이다.
도 4, 도 4a, 및 도 4b는 도 1의 시스템의 관리 개체 서브시스템의 더 상세한 개략도이다.
도 5 내지 도 7은 전자 디바이스 상에서 크리덴셜들을 관리하기 위한 예시적인 프로세스들의 흐름도이다.
하나 이상의 제1 사용자 크리덴셜들(예컨대, 결제 크리덴셜 또는 임의의 다른 적합한 거래 크리덴셜)이 디바이스의 인증된 제1 사용자에 의한 사용을 위해 호스트 전자 디바이스의 보안 요소 상에 프로비저닝될 수 있는 한편, 하나 이상의 제2 사용자 크리덴셜들이 또한 디바이스의 인증된 제2 사용자에 의한 사용을 위해 디바이스 상에 프로비저닝될 수 있다. 보안 계층을 제공하기 위해 그리고/또는 그러한 사용자 크리덴셜들의 사용에 대한 보다 편리한 사용자 경험을 제공하기 위하여, 관리 개체 서브시스템이 관리 개체에 의해 동작될 수 있다. 그러한 관리 개체 서브시스템의 크리덴셜 보호 서브시스템은 전자 디바이스 상에서 (예컨대, 크리덴셜 발행자 서브시스템으로부터의) 그러한 사용자 크리덴셜들의 프로비저닝을 관리하도록 동작할 수 있는 한편, 그러한 관리 개체 서브시스템의 디바이스 보호 서브시스템은 전자 디바이스가 분실되거나 도난당한 것으로 보고될 경우 전자 디바이스를 보호하기 위해 하나 이상의 디바이스 보호 서비스들을 제공하도록 동작할 수 있다. 그러나, 그러한 전자 디바이스가 프로비저닝된 제1 사용자 크리덴셜 및 프로비저닝된 제2 사용자 크리덴셜과 같은 둘 이상의 상이한 사용자들로부터의 민감한 데이터를 포함할 수 있을 때, 모든 그러한 민감한 데이터를 보호하기 위하여, 그러한 디바이스 보호 서브시스템은 디바이스가 분실되어 보호되어야 할 때 디바이스 상에 프로비저닝된 모든 사용자 크리덴셜들의 기능을 보류하도록 구성될 수 있다. 이러한 보호는, 디바이스 보호 서브시스템이 디바이스 상의 각각의 사용자 크리덴셜의 사용이 (예컨대, 크리덴셜 발행자 서브시스템 및/또는 서비스 제공자 서브시스템을 이용해) 임의의 거래에서 사용되는 것을 보류하거나 달리 방지하도록 크리덴셜 보호 서브시스템에 지시하는 것을 포함할 수 있으며, 이에 의해 크리덴셜 보호 서브시스템은, 디바이스로부터의 임의의 크리덴셜 데이터의 보안 통신을 방지하고/하거나, 보호되고 있는 디바이스 상에 프로비저닝된 크리덴셜들을 사용하는 임의의 거래들을 거부하도록 크리덴셜 발행자 서브시스템에 지시하도록 동작할 수 있다. 그러나, 그러한 실시예들에서, 프라이버시 및/또는 보안 침해에 대한 가능성을 제한하기 위하여, 관리 개체 서브시스템은 디바이스 보호 서브시스템이 둘 이상의 특정 사용자를 특정 전자 디바이스에 특정하게 링크시킬 수 있는 정보를 디바이스 보호 서브시스템에서 저장하는 것을 방지하도록 동작할 수 있다. 대신에, 본 개시내용의 시스템은 사용자-익명 보류 토큰들을 사용할 수 있는데, 그 각각은 크리덴셜 보호 서브시스템에서 전자 디바이스의 특정 사용자와 연관될 수 있지만 디바이스 보호 서브시스템에서는 특정 사용자와 연관되지 않을 수 있어서, 디바이스 보호 서브시스템은, 둘 이상의 특정 사용자를 단일 전자 디바이스에 식별시키는 데 사용될 수 있는 데이터에 대한 액세스를 갖지 않을 수 있다.
도 1의 설명
도 1은 전자 디바이스 상의 다수의 사용자들의 크리덴셜들의 관리를 허용할 수 있는 예시적인 시스템(1)의 개략도이다. 예를 들어, 도 1에 도시된 바와 같이, 시스템(1)은 다수의 최종 사용자 호스트 전자 디바이스(100)(예컨대, 랩톱 컴퓨터(예컨대, 도 1 참조) 또는 스마트폰(예컨대, 도 3 참조))를 포함할 수 있으며, 이때 제1 사용자(U1)의 적어도 하나의 제1 사용자 크리덴셜이 그것에 프로비저닝되어 있고 제2 사용자(U2)의 적어도 하나의 제2 사용자 크리덴셜이 그것에 프로비저닝되어 있다(예를 들어, 호스트 전자 디바이스(100)의 보안 요소 상에). 시스템(1)은 또한 관리(또는 상업적 또는 신뢰) 개체 서브시스템(400), 서비스 제공자(또는 판매자 또는 처리) 서브시스템(200), 및 크리덴셜 발행자 서브시스템(300)을 포함할 수 있다. 시스템(1)은 또한, SP 서브시스템(200)을 대신하여 발행자 서브시스템(300)과의 거래를 완료하기 위해 호스트 디바이스(100) 상에 프로비저닝된 크리덴셜에 의해 생성된 크리덴셜 데이터를 활용할 수 있는 매수(또는 결제 프로세서) 서브시스템(도시되지 않음)을 포함할 수 있다. 호스트 전자 디바이스(100), 서비스 제공자(service provider, "SP") 서브시스템(200), 관리 개체(administration entity, "AE") 서브시스템(400), 및 크리덴셜 발행자(또는 금융 기관) 서브시스템(300) 중 임의의 둘 사이에서의 임의의 적합한 데이터의 통신은 임의의 적합한 통신 셋업(9)을 통해 인에이블될 수 있고, 이는 임의의 적합한 유선 통신 경로, 임의의 적합한 무선 통신 경로, 또는 임의의 적합한 통신 프로토콜(들) 및/또는 임의의 적합한 네트워크(들) 및/또는 클라우드 아키텍처(들)를 사용한 2개 이상의 유선 및/또는 무선 통신 경로들의 임의의 적합한 조합을 포함할 수 있다. 통신 셋업(9)을 사용하는 시스템(1)의 임의의 2개의 디바이스들 또는 서브시스템들 사이에서의 각각의 통신 경로들은 하나 이상의 신뢰 서비스 관리자(trusted service manager, "TSM")에 의해 적어도 부분적으로 관리될 수 있다. 통신 네트워크를 생성하도록 동작할 수 있는 임의의 적합한 회로부, 디바이스, 시스템, 또는 이들의 조합(예컨대, 하나 이상의 통신탑, 전기통신 서버 등을 포함할 수 있는 무선 통신 기반시설)을 이용하여 그러한 통신 경로들 중 하나 이상을 제공할 수 있고, 이들은 임의의 적합한 유선 또는 무선 통신 프로토콜을 이용하여 통신을 제공하는 것이 가능할 수 있다. 예를 들어, 그러한 통신 경로들 중 하나 이상은 Wi-Fi(예컨대, 802.11 프로토콜), ZigBee(예컨대, 802.15.4 프로토콜), WiDi™, 이더넷, 블루투스™, BLE, 고주파수 시스템(예컨대, 900 ㎒, 2.4 ㎓, 및 5.6 ㎓ 통신 시스템), 적외선, TCP/IP, SCTP, DHCP, HTTP, 비트토렌트(BitTorrent)™, FTP, RTP, RTSP, RTCP, RAOP, RDTP, UDP, SSH, WDS-브리징, 무선 및 셀룰러 전화기 및 개인용 이메일 디바이스에 의해 사용될 수 있는 임의의 통신 프로토콜(예컨대, GSM, GSM 플러스 EDGE, CDMA, OFDMA, HSPA, 다중대역 등), 저전력 무선 개인 영역 네트워크("6LoWPAN") 모듈에 의해 사용될 수 있는 임의의 통신 프로토콜, 임의의 기타 통신 프로토콜, 또는 이들의 임의의 조합을 지원할 수 있다.
거래 크리덴셜(예컨대, 결제 크리덴셜 또는 임의의 다른 적합한 거래 크리덴셜)은 임의의 적합한 크리덴셜 발행자 서브시스템(300)(예컨대, 발행 은행 서브시스템 또는 금융 기관 서브시스템)으로부터, 크리덴셜 발행자 서브시스템으로부터 직접 또는 AE 서브시스템(400)을 통해, 호스트 전자 디바이스(100) 상에(예컨대, 호스트 전자 디바이스(100)의 보안 요소 또는 다른 저장 컴포넌트 상에) 프로비저닝될 수 있으며, AE 서브시스템(400)은 크리덴셜 데이터를 호스트 디바이스(100) 상으로 안전하게 전달하고 그러한 크리덴셜 데이터를 관리하도록 동작할 수 있다. 예를 들어, 크리덴셜 발행자 서브시스템(300)은 제1 사용자(U1)를 위해 (예컨대, 직접 또는 AE 서브시스템(400)을 통해(예컨대, AE 서브시스템(400)의 크리덴셜 보호 서브시스템(491)을 통해)) 호스트 디바이스(100) 상에 적어도 하나의 제1 사용자 거래 크리덴셜을 프로비저닝하기 위해, 제1 결제 네트워크 기관(예컨대, 미국 뉴욕주 퍼처스(Purchase) 소재의 마스터 카드(MasterCard)와 같은 제1 결제 네트워크)이 있거나 없는 적어도 하나의 제1 크리덴셜 발행 기관(예컨대, 미국 캘리포니아주 샌프란시스코 소재의 웰스 파고(Wells Fargo)와 같은 제1 발행 은행)에 의해 동작될 수 있는 제1 발행 서브시스템(391)을 포함할 수 있다. 크리덴셜 발행자 서브시스템(300)은 제2 사용자(U2)를 위해 (예컨대, 직접 또는 AE 서브시스템(400)을 통해(예컨대, AE 서브시스템(400)의 크리덴셜 보호 서브시스템(491)을 통해)) 호스트 디바이스(100) 상에 적어도 하나의 제2 사용자 거래 크리덴셜을 프로비저닝하기 위해, 제2 결제 네트워크 기관(예컨대, 미국 캘리포니아주 포스터 시티(Foster City) 소재의 비자(Visa)와 같은 제2 결제 네트워크)이 있거나 없는 적어도 하나의 제2 크리덴셜 발행 기관(예컨대, 미국 사우스 다코타주 수 폴즈(Sioux Falls) 소재의 씨티은행(Citibank)과 같은 제2 발행 은행)에 의해 동작될 수 있는 제2 발행 서브시스템(392)을 포함할 수 있다. 그러나, 제1 발행 서브시스템(391)은 제1 사용자(U1)를 위해 디바이스(100) 상에 하나 이상의 제1 사용자 거래 크리덴셜들을 프로비저닝할 뿐만 아니라 제2 사용자(U2)를 위해 디바이스(100) 상에 하나 이상의 제2 사용자 거래 크리덴셜들을 프로비저닝하도록 동작할 수 있다는 것이 이해되어야 하며, 여기서 어떠한 발행 서브시스템도 특정 사용자를 위해 거래 크리덴셜들을 프로비저닝하는 데에만 사용될 수 있는 것은 아니다. 일단 호스트 디바이스(100) 상에 프로비저닝되면, 이어서 거래 크리덴셜은 SP 서브시스템(200)(예컨대, 거래의 일부로서 임의의 적합한 제품 또는 서비스에 대한 액세스를 제공하도록 동작할 수 있는 임의의 적합한 서브시스템)과의 거래(예를 들어, 상업적 또는 금융 거래 또는 임의의 다른 적합한 크리덴셜 거래)에 안전하게 자금을 지원하거나 다른 방식으로 그것을 수행하기 위해 호스트 디바이스(100)에 의해 사용될 수 있다. 예를 들어, 서비스 제공자 제품 또는 서비스에 액세스(예컨대, 구매)하기 위해 (예를 들어, 온라인 리소스(예컨대, 온라인 앱 또는 웹 브라우저)를 통해 또는 비접촉식 근접성 기반 통신 매체를 통해) 서비스 제공자("SP") 서브시스템(200)과 인터페이싱하는 동안, 호스트 디바이스(100)는 서비스 제공자 제품에 액세스하기 위해 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 데 사용될 특정 거래 크리덴셜을 식별할 수 있다.
AE 서브시스템(400)은, 디바이스(100) 상의 크리덴셜들의 프로비저닝에 대해 그리고/또는 거래를 촉진하기 위한 호스트 디바이스(100)로부터 SP 서브시스템(200)으로의 크리덴셜 데이터의 공유에 대해 추가적인 보안 계층 및/또는 효율을 제공하도록 동작할 수 있는 크리덴셜 보호 서브시스템(491)을 포함할 수 있다. 예를 들어, 크리덴셜 보호 서브시스템(491)은 발행 서브시스템으로부터 디바이스(100) 상으로의 크리덴셜 프로비저닝을 인에이블하기 전에 디바이스(100)를 대신하여 크리덴셜 발행자 서브시스템(300)의 하나 이상의 발행 서브시스템들의 신뢰성을 유효성 확인하도록 동작할 수 있고/있거나, 크리덴셜 보호 서브시스템(491)은 디바이스(100) 상의 보안 크리덴셜 프로비저닝을 보장하기 위해 발행 서브시스템으로부터 디바이스(100)로의 거래 크리덴셜 정보의 통신을 암호화, 인코딩, 또는 다른 방식으로 보안하도록 동작할 수 있다. 추가적으로 또는 대안적으로, 크리덴셜 보호 서브시스템(491)은, 거래 크리덴셜 데이터가 디바이스(100)로부터 SP 서브시스템(200)으로 공유될 수 있게 하기 전에 디바이스(100)를 대신하여 SP 서브시스템(200)의 신뢰성을 유효성 확인하도록 동작할 수 있고/있거나, 크리덴셜 보호 서브시스템(491)은 디바이스(100)와 SP 서브시스템(200) 사이의 거래를 촉진하기 위한 보안 거래 크리덴셜 데이터 공유를 보장하기 위해 디바이스(100)로부터 SP 서브시스템(200)으로의 거래 크리덴셜 데이터의 통신을 암호화, 인코딩, 또는 다른 방식으로 보안하도록 동작할 수 있다.
또한, AE 서브시스템(400)은 호스트 디바이스(100)에 추가적인 보안 계층을 제공하도록 동작할 수 있는 디바이스 보호 서브시스템(471)을 포함할 수 있다(예를 들어, 디바이스(100)가 분실되거나 도난당했을 경우). 디바이스 보호 서브시스템(471)은 디바이스(100)의 사용자가 디바이스(100)를 디바이스 보호 서브시스템(471)의 서비스에 등록하게 할 수 있는데, 이는 디바이스(100)의 위치를 추적하고/하거나 디바이스(100)의 하나 이상의 기능들을 원격으로 제어하도록 동작할 수 있으며, 예컨대 알람을 켜고/거나 소정 디바이스 콘텐츠의 유용성을 소거 또는 보류 또는 다른 식으로 종료하고, 예컨대 디바이스(100)의 보안 요소가 서비스 제공자와의 거래를 촉진하는 데 사용하기 위한 거래 크리덴셜 데이터를 생성하는 능력을 보류한다. 그러한 서비스는 디바이스(100)가 분실되거나 도난될 수 있을 때 디바이스가 복구될 수 있도록 그리고/또는 디바이스 상의 민감한 데이터가 액세스되지 않을 수 있도록 디바이스 소유자에게 유용할 수 있다.
그러나, 호스트 디바이스(100)가 제1 사용자(U1)의 프로비저닝된 제1 사용자 거래 크리덴셜 및 제2 사용자(U2)의 프로비저닝된 제2 사용자 거래 크리덴셜과 같은 둘 이상의 상이한 사용자들로부터의 민감한 데이터를 포함할 수 있을 때, 디바이스 보호 서브시스템(471)은 모든 그러한 민감한 데이터를 보호하기 위하여, 디바이스(100)가 분실될 때 호스트 디바이스(100) 상에 프로비저닝된 모든 사용자 거래 크리덴셜들을 보류하도록 구성될 수 있다. 그러한 보호는, 디바이스 보호 서브시스템(471)이 디바이스(100) 상의 크리덴셜들의 사용이 (예컨대, SP 서브시스템(200)을 이용한) 임의의 거래에서 사용되는 것을 보류하거나 달리 방지하도록 크리덴셜 보호 서브시스템(491)에 지시하는 것을 포함할 수 있으며, 이에 의해, 크리덴셜 보호 서브시스템(491)은 디바이스(100)로부터 SP 서브시스템(200)으로의 임의의 크리덴셜 데이터의 보안 통신을 방지하고/하거나, 디바이스(100) 상에 프로비저닝된 크리덴셜들을 사용하는 임의의 거래들을 거부하도록 크리덴셜 발행자 서브시스템(300)에 지시하도록 동작할 수 있다. 그러나, 그러한 실시예들에서, 프라이버시 및/또는 보안 침해에 대한 가능성을 제한하기 위해, AE 서브시스템(400)은 디바이스 보호 서브시스템(471)이, 둘 이상의 특정 사용자를 특정 디바이스에(예를 들어, 제1 사용자(U1) 및 제2 사용자(U2)를 호스트 디바이스(100)에) 특정하게 링크시킬 수 있는 정보를 디바이스 보호 서브시스템(471)에서(예를 들어, 디바이스 보호 서브시스템(471)의 서버 또는 다른 적합한 컴포넌트의 표 또는 임의의 다른 적합한 데이터 구조(473) 내에) 저장하는 것을 방지하도록 동작할 수 있다. 대신에, 시스템(1)은 사용자-익명 보류 토큰들을 사용할 수 있는데, 그 각각은 크리덴셜 보호 서브시스템(491)에서(예컨대, 크리덴셜 보호 서브시스템(491)의 서버 또는 다른 적합한 컴포넌트의 표 또는 임의의 다른 적합한 데이터 구조(493) 내에서) 디바이스(100)의 특정 사용자와 연관될 수 있지만 디바이스 보호 서브시스템(471)에서는 특정 사용자와 연관되지 않을 수 있어서, 디바이스 보호 서브시스템(471)은 둘 이상의 특정 사용자를 단일 전자 디바이스에 식별시키는 데 사용될 수 있는 데이터에 대한 액세스를 갖지 않을 수 있다.
도 2, 도 2a, 및 도 3의 설명
이제 도 2를 참조하면, 도 2는 시스템(1)의 전자 디바이스(100)의 더 상세한 도면을 도시한다. 도 2에 도시된 바와 같이, 예를 들어, 디바이스(100)는 프로세서(102), 메모리(104), 통신 컴포넌트(106), 전원 공급장치(108), 입력 컴포넌트(110), 출력 컴포넌트(112), 안테나(116), 및 근거리 통신 컴포넌트(120)를 포함할 수 있다. 디바이스(100)는 또한, 디바이스(100)의 다양한 다른 컴포넌트들로, 그것들로부터, 또는 그것들 사이에서 데이터 및/또는 전력을 전송하기 위한 하나 이상의 유선 또는 무선 통신 링크들 또는 경로들을 제공할 수 있는 버스(118)를 포함할 수 있다. 디바이스(100)에는 또한, 디바이스(100) 외부의 잔해물 및 다른 분해하는 힘들로부터의 보호를 위해 디바이스(100)의 컴포넌트들 중 하나 이상을 적어도 부분적으로 둘러쌀 수 있는 하우징(101)이 제공될 수 있다. 일부 실시예들에서, 디바이스(100)의 하나 이상의 컴포넌트들은 조합되거나 생략될 수 있다. 게다가, 디바이스(100)는 도 2에서 조합되거나 포함되지 않은 다른 컴포넌트들을 포함할 수 있다. 예를 들어, 디바이스(100)는 임의의 다른 적합한 컴포넌트들 또는 도 2에 도시된 컴포넌트들의 여러 인스턴스들을 포함할 수 있다. 단순화하기 위하여, 컴포넌트들 각각 중 단지 하나만이 도 2에 도시된다. 전자 디바이스(100)는 SP 서브시스템과의 거래를 촉진하는 데 사용하기 위한 하나 이상의 거래 크리덴셜들을 저장하도록 구성된 임의의 휴대용, 모바일, 또는 핸드헬드 전자 디바이스일 수 있다. 대안적으로, 전자 디바이스(100)는 전혀 휴대용이 아닐 수 있고, 대신에 대체로 고정형일 수 있다. 전자 디바이스(100)는 미디어 재생기, 비디오 재생기, 정지 이미지 재생기, 게임 재생기, 기타 미디어 재생기, 음악 레코더, 영화 또는 비디오 카메라 또는 레코더, 스틸 카메라, 기타 미디어 레코더, 라디오, 의료 장비, 가전 제품, 운송 차량 기구, 악기, 계산기, 셀룰러 전화기(예를 들어, 애플 인크.(Apple Inc.)에 의해 입수가능한 아이폰(iPhone)™), 기타 무선 통신 디바이스, 개인용 디지털 어시스턴트, 원격 제어기, 호출기, 컴퓨터(예컨대, 데스크톱, 랩톱, 태블릿, 서버 등), 모니터, 텔레비전, 스테레오 장비, 셋업 박스, 셋톱 박스, 웨어러블 디바이스(예컨대, 애플 인크.의 애플 워치(Apple Watch)™), 붐 박스, 모뎀, 라우터, 프린터, 및 이들의 조합을 포함할 수 있지만, 이들로 제한되지 않는다.
메모리(104)는, 예를 들어, 하드 드라이브, 플래시 메모리, 판독전용 메모리("ROM")와 같은 영구 메모리, 랜덤 액세스 메모리("RAM")와 같은 반-영구 메모리, 임의의 다른 적합한 유형의 저장 컴포넌트, 또는 이들의 임의의 조합을 포함하는, 하나 이상의 저장 매체를 포함할 수 있다. 메모리(104)는, 전자 디바이스 애플리케이션들을 위한 데이터를 임시로 저장하기 위해 사용되는 하나 이상의 상이한 유형의 메모리일 수 있는 캐시 메모리를 포함할 수 있다. 메모리(104)는 미디어 데이터(예컨대, 음악 및 이미지 파일), 소프트웨어(예를 들어, 디바이스(100) 상에서 기능들을 구현하기 위한 애플리케이션), 펌웨어, 선호도 정보(예컨대, 미디어 재생 선호도), 생활방식 정보(예컨대, 음식 선호도), 운동 정보(예컨대, 운동 모니터링 장비에 의해 획득된 정보), 거래 정보, 무선 접속 정보(예컨대, 디바이스(100)가 무선 접속을 설정할 수 있게 하는 정보), 가입 정보(예컨대, 사용자가 가입한 팟캐스트들 또는 텔레비전 쇼들 또는 다른 미디어를 추적하는 정보), 연락처 정보(예컨대, 전화번호들 및 이메일 주소들), 캘린더 정보, 임의의 다른 적합한 데이터, 또는 이들의 조합을 저장할 수 있다. 통신 컴포넌트(106)는 디바이스(100)가 임의의 적합한 통신 프로토콜(들)(예컨대, 통신 셋업(9)을 통해 유선 및/또는 무선 프로토콜(들))을 사용하여 하나 이상의 다른 전자 디바이스들 또는 서버들 또는 서브시스템들(예컨대, 서브시스템들(200, 300, 400) 중 하나 이상)과 통신할 수 있게 하도록 동작할 수 있다. 전원 공급장치(108)는 디바이스(100)의 컴포넌트들 중 하나 이상에 전력을 제공할 수 있다. 일부 실시예들에서, 전원 공급장치(108)는 (예를 들어, 디바이스(100)가 데스크톱 컴퓨터와 같이, 휴대용 디바이스가 아닐 때) 전력 그리드에 결합될 수 있다. 일부 실시예들에서, 전원 공급장치(108)는 (예를 들어, 디바이스(100)가 셀룰러 전화기와 같은 휴대용 디바이스일 때) 전력을 제공하기 위한 하나 이상의 배터리들을 포함할 수 있다. 다른 예로서, 전원 공급장치(108)는 천연 소스로부터 전력을 생성하도록 구성될 수 있다(예컨대, 태양전지를 이용한 태양열 발전). 사용자 또는 주변 환경 또는 데이터 소스들이 디바이스(100)와 상호작용 또는 인터페이싱하도록 하는 하나 이상의 입력 컴포넌트들(110)이 제공될 수 있고/있거나 정보(예컨대, 그래픽, 청각, 및/또는 촉각 정보)를 디바이스(100)의 사용자에게 제시하는 하나 이상의 출력 컴포넌트들(112)이 제공될 수 있다. 하나 이상의 입력 컴포넌트들 및 하나 이상의 출력 컴포넌트들은 때때로 본 명세서에서 총칭하여 입력/출력("I/O") 컴포넌트 또는 I/O 인터페이스(114)로서 지칭될 수 있음을 유의해야 한다(예컨대, I/O 컴포넌트 또는 I/O 인터페이스(114)로서의 입력 컴포넌트(110) 및 출력 컴포넌트(112)). 예를 들어, 입력 컴포넌트(110) 및 출력 컴포넌트(112)는 때때로, 사용자의 디스플레이 스크린의 터치를 통해 입력 정보를 수신할 수 있고 또한 그 동일한 디스플레이 스크린을 통해 사용자에게 시각적 정보를 제공할 수 있는, 터치 스크린과 같은, 단일 I/O 컴포넌트(114)일 수 있다.
디바이스(100)의 프로세서(102)는 디바이스(100)의 하나 이상의 컴포넌트들의 동작들 및 성능을 제어하도록 동작할 수 있는 임의의 처리 회로부를 포함할 수 있다. 예를 들어, 프로세서(102)는 입력 컴포넌트(110)로부터 입력 신호들을 수신하고/하거나 출력 컴포넌트(112)를 통해 출력 신호들을 구동할 수 있다. 호스트 디바이스(100)의 프로세서(102)는 호스트 디바이스(100)의 하나 이상의 컴포넌트들의 동작들 및 성능을 제어하도록 동작할 수 있는 임의의 적합한 처리 회로부를 포함할 수 있다. 도 2에 도시된 바와 같이, 프로세서(102)는 하나 이상의 애플리케이션들(예컨대, 애플리케이션(103) 및/또는 애플리케이션(113))을 실행하는데 사용될 수 있는데, 이 애플리케이션들은 데이터가 디바이스(100)에 의해 수신되고/되거나, 디바이스에서 생성되고/되거나, 디바이스로부터 전달될 수 있는 방식을 적어도 부분적으로 지시할 수 있다. 일 예로서, 애플리케이션(103)은 운영 체제 애플리케이션일 수 있는 반면, 애플리케이션(113)은 제3자 애플리케이션 또는 임의의 다른 적합한 온라인 리소스(예컨대, AE 서브시스템(400)의 디바이스 보호 서브시스템(471)과 연관된 보호 애플리케이션, SP 서브시스템(200)의 판매자와 연관된 애플리케이션 등)일 수 있다. 또한, 도시된 바와 같이, 프로세서(102)는 호스트 디바이스 식별 정보(119)에 액세스할 수 있는데, 이는 디바이스(100)의 사용자 및/또는 AE 서브시스템(400) 및/또는 발행자 서브시스템(300) 및/또는 SP 서브시스템(200)에 의해 디바이스(100)의 식별을 제공하는 데 활용될 수 있다. 단지 하나의 예로서, 호스트 디바이스 식별 정보(119)는 전화번호 또는 이메일 주소 또는 디바이스(100) 또는 그것의 컴포넌트(예컨대, 디바이스(100)의 보안 요소)와 연관될 수 있는 임의의 고유 식별자일 수 있다.
근거리 통신("NFC") 컴포넌트(120)는 SP 서브시스템(200)(예컨대, 소매 상점 또는 호스트 디바이스(100)의 사용자가 크리덴셜을 이용하여 비접촉식 근접성 기반 통신을 통해 근접하게 위치한 SP 단말기와 거래를 수행할 수 있는 임의의 물리적 위치에 위치할 수 있는 SP 서브시스템(200)의 SP NFC 단말기)과의 비접촉식 근접성 기반 통신(예컨대, 근거리 통신)으로서 호스트 결제 크리덴셜 데이터 및/또는 임의의 다른 적합한 데이터를 전달하도록 구성될 수 있다. NFC 컴포넌트(120)는 비교적 낮은 데이터 레이트들(예컨대, 424 kbps)에서 가까운 범위의 통신을 허용할 수 있으며, ISO/IEC 7816, ISO/IEC 18092, ECMA-340, ISO/IEC 21481, ECMA-352, ISO 14443, 및/또는 ISO 15693과 같은 임의의 적합한 표준들을 따를 수 있다. NFC 컴포넌트(120)는 비교적 높은 데이터 레이트들(예컨대, 370 Mbps)에서 가까운 범위의 통신을 허용할 수 있으며, 트랜스퍼젯(TransferJet)™ 프로토콜과 같은 임의의 적합한 표준들을 따를 수 있다. NFC 컴포넌트(120)와 SP 서브시스템(200)의 NFC 컴포넌트 사이의 통신은 대략 2 내지 4 센티미터의 범위와 같은, NFC 컴포넌트와 SP 서브시스템(200) 사이의 임의의 적합한 가까운 범위 거리 내에서 발생할 수 있고, 임의의 적합한 주파수(예컨대, 13.56 ㎒)에서 동작할 수 있다. 예를 들어, NFC 컴포넌트의 그러한 가까운 범위의 통신은 자기장 유도를 통해 발생할 수 있으며, 이는 NFC 컴포넌트가 다른 NFC 디바이스들과 통신하고/하거나 무선 주파수 식별("RFID") 회로부를 갖는 태그들로부터 정보를 검색하게 할 수 있다. NFC 컴포넌트(120)가 근거리 통신에 관하여 기술되었지만, 컴포넌트(120)는 디바이스(100)와, SP 서브시스템(200)의 단말기와 같은 다른 개체 사이의 임의의 적합한 비접촉식 근접성 기반 모바일 결제 또는 임의의 다른 적합한 유형의 비접촉식 근접성 기반 통신을 제공하도록 구성될 수 있다는 것이 이해될 것이다. 예를 들어, NFC 컴포넌트(120)는 전자기/정전기 커플링 기술들을 수반하는 것들과 같은 임의의 적합한 단거리 통신을 제공하도록 구성될 수 있다.
NFC 컴포넌트(120)는 디바이스(100)와 이러한 SP 단말기 간의 비접촉식 근접성 기반 통신을 인에이블하기 위한 임의의 적합한 모듈들을 포함할 수 있다. 도 2에 도시된 바와 같이, 예를 들어, NFC 컴포넌트(120)는 NFC 디바이스 모듈(130), NFC 제어기 모듈(140), 및/또는 NFC 메모리 모듈(150)을 포함할 수 있다. NFC 디바이스 모듈(130)은 NFC 데이터 모듈(132), NFC 안테나(134), 및 NFC 부스터(136)를 포함할 수 있다. NFC 데이터 모듈(132)은 NFC 컴포넌트(120)에 의해 SP 단말기로 비접촉식 근접성 기반 또는 NFC 통신의 일부로서 전송될 수 있는 임의의 적합한 데이터를 포함하거나, 라우팅하거나, 또는 다른 방식으로 제공하도록 구성될 수 있다. NFC 데이터 모듈(132)은 NFC 컴포넌트(120)에 의해 SP 단말기로부터 비접촉식 근접성 기반 기반 통신의 일부로서 수신될 수 있는 임의의 적합한 데이터를 포함하거나, 라우팅하거나, 또는 다른 방식으로 수신하도록 구성될 수 있다. NFC 제어기 모듈(140)은 적어도 하나의 NFC 프로세서 모듈(142)을 포함할 수 있다. NFC 프로세서 모듈(142)은 NFC 디바이스 모듈(130)과 연계하여 동작하여, 디바이스(100)와 SP 단말기 간의 NFC 통신을 전달하기 위해 NFC 컴포넌트(120)를 인에이블하고, 활성화시키고, 허용하고, 그리고/또는 다른 방식으로 제어할 수 있다. NFC 제어기 모듈(140)은, NFC 컴포넌트(120)의 기능을 지시하는 데 도움을 줄 수 있는 NFC 저전력 모드 또는 월렛 애플리케이션(143)과 같은, 하나 이상의 애플리케이션들을 실행하는 데 사용될 수 있는 적어도 하나의 NFC 프로세서 모듈(142)을 포함할 수 있다. NFC 메모리 모듈(150)은 NFC 디바이스 모듈(130) 및/또는 NFC 제어기 모듈(140)과 연계하여 동작하여, 디바이스(100)와 SP 서브시스템(200) 간의 NFC 통신을 허용할 수 있다. NFC 메모리 모듈(150)은 부정조작 방지될 수 있고, 디바이스(100)의 보안 요소(145)의 적어도 일부분을 제공할 수 있다. 예를 들어, 보안 요소(145)는 잘 식별된 신뢰 기관들(예를 들어, 크리덴셜 발행자 서브시스템 및/또는 금융 기관 서브시스템 및/또는 산업 표준의 기관, 예컨대 글로벌플랫폼)의 세트에 의해 제시될 수 있는 규칙 및 보안 요구조건에 따라 애플리케이션들 및 그것들의 기밀 및 암호 데이터(예컨대, 애플릿들(153) 및 키들(155))를 안전하게 호스팅할 수 있는 (예컨대, 싱글칩 또는 멀티칩 보안 마이크로제어기로서) 부정조작 방지 플랫폼을 제공하도록 구성될 수 있다.
도시된 바와 같이, 예를 들어, NFC 메모리 모듈(150)은 발행자 보안 도메인("ISD")(152), 하나 이상의 보충적 보안 도메인("SSD")(154a 내지 154c)(예컨대, 서비스 제공자 보안 도메인("SPSD"), 신뢰 서비스 관리자 보안 도메인("TSMSD"), 크리덴셜 SSD, 액세스 SSD 등) 중 하나 이상을 포함할 수 있으며, 이는 NFC 규격 표준(예컨대, 글로벌플랫폼)에 의해 정의 및 관리될 수 있다. 예를 들어, ISD(152)는, 신뢰 서비스 관리자("TSM") 또는 발행 금융 기관(예컨대, 발행자 서브시스템(300))이, 크리덴셜 콘텐츠 관리, 및/또는 보안 도메인 관리를 위해, (예컨대, 통신 컴포넌트(106)를 통해) 하나 이상의 크리덴셜들(예컨대, 다양한 신용 카드, 은행 카드, 선물 카드, 액세스 카드, 교통 패스, 디지털 통화(예컨대, 비트코인 및 연관된 결제 네트워크) 등과 연관된 크리덴셜들)을 생성하거나 다른 식으로 디바이스(100) 상에 프로비저닝하기 위한 하나 이상의 키들(예컨대, ISD 키(156k)) 및/또는 다른 적합한 정보를 저장할 수 있는, NFC 메모리 모듈(150)의 일부분일 수 있다. 크리덴셜은 사용자/소비자에 배정될 수 있고 전자 디바이스(100) 상에 안전하게 저장될 수 있는 크리덴셜 데이터(예컨대, 크리덴셜 정보(161a)), 예컨대, 신용 카드 결제 번호(예컨대, 디바이스 기본 계좌 번호("DPAN"), DPAN 만료일, CVV 등(예컨대, 토큰으로서 또는 다른 방식으로))를 포함할 수 있다. NFC 메모리 모듈(150)은 적어도 3개의 SSD들(154)(예컨대, 제1 크리덴셜 SSD(154a), 제2 크리덴셜 SSD(154b), 및 액세스 SSD(154c))을 포함할 수 있다. 예를 들어, 제1 크리덴셜 SSD(154a) 및 제2 크리덴셜 SSD(154b) 각각은 특정 특권 또는 결제 권한을 전자 디바이스(100)에 제공할 수 있는 각자의 특정 크리덴셜(예컨대, 발행자 서브시스템(300)에 의해 프로비저닝되는 특정 신용 카드 크리덴셜 또는 특정 대중 교통 카드 크리덴셜)과 연관될 수 있는 반면, 액세스 SSD(154c)는 다른 SSD(예컨대, 제1 SSD(154a) 또는 제2 SSD(154b))의 특정 크리덴셜에 대한 디바이스(100)의 액세스를 제어하여, 예를 들어, 특정 특권 또는 결제 권한을 전자 디바이스(100)에 제공할 수 있는 상업적 또는 관리 개체(예컨대, AE 서브시스템(400)의 개체, 이는 디바이스(100)에 대한 제어 개체일 수 있음)와 연관될 수 있다. 각각의 SSD(154)는 적어도 하나의 애플릿(153)을 포함하고/하거나 그와 연관될 수 있다(예컨대, SSD(154a)는 애플릿(153a)과 연관되고, SSD(154b)는 애플릿(153b)과 연관됨). 예를 들어, SSD(154)의 애플릿(153)은 NFC 컴포넌트(120)의 보안 요소 상에서(예컨대, 글로벌플랫폼 환경에서) 실행될 수 있는 애플리케이션일 수 있다. 크리덴셜 애플릿(153)은 크리덴셜 정보(161)(예컨대, 애플릿(153a)의 정보(161a) 및/또는 애플릿(153b)의 정보(161b))를 포함하거나 또는 그와 연관될 수 있다. 각각의 SSD(154) 및/또는 애플릿(153)은 또한 자체 키들(155) 중 적어도 하나를 포함하고/하거나 그와 연관될 수 있다(예컨대, 애플릿(153a)은 적어도 하나의 액세스 키(155a) 및 적어도 하나의 크리덴셜 키(155a')와 연관되고, 애플릿(153b)은 적어도 하나의 액세스 키(155b) 및 적어도 하나의 크리덴셜 키(155b')와 연관됨).
SSD(154)의 키(155)는 암호화 알고리즘 또는 암호(cipher)의 기능적 출력을 결정할 수 있는 한 편의 정보일 수 있다. 예를 들어, 암호화 시, 키는 평문을 암호문으로 변환하는 특정 변환을 명시할 수 있거나, 또는 복호화 시 그 반대로의 변환을 명시할 수 있다. 키는 또한 디지털 서명 기법 및 메시지 인증 코드와 같은 다른 암호화 알고리즘에 사용될 수 있다. SSD의 키는 다른 개체와의 임의의 적합한 공유 비밀을 제공할 수 있다. 각각의 키 및 애플릿은 TSM 또는 인가된 에이전트에 의해 디바이스(100)의 보안 요소 상에 로딩되거나, 또는 디바이스(100) 상에 처음 제공될 때 보안 요소 상에 사전로딩될 수 있다. 일 예로서, 크리덴셜 SSD(154a)가 특정 신용 카드 크리덴셜과 연관될 수 있지만, 그 특정 크리덴셜은 단지, 그 크리덴셜 SSD(154a)의 애플릿(153a)이 이러한 사용을 위해 인에이블되었거나 또는 다른 방식으로 활성화 또는 잠금해제되었을 때 금융 거래를 위해 디바이스(100)의 보안 요소로부터(예컨대, NFC 컴포넌트(120)로부터) SP 서브시스템(200)으로 호스트 거래 크리덴셜 데이터 통신을 전달하는 데에만 사용될 수 있다.
NFC 컴포넌트(120)의 사용을 인에이블하기 위한 보안 특징부들이 제공될 수 있으며, 이는 크리덴셜의 신용 카드 정보 또는 은행 계좌 정보와 같은 기밀 결제 정보를 전자 디바이스(100)로부터 SP 서브시스템(200)으로(예컨대, AE 서브시스템(400)을 통해) 그리고/또는 발행자 서브시스템(300)으로부터 전자 디바이스(100)로(예컨대, AE 서브시스템(400)을 통해) 전송할 때 특히 유용할 수 있다. 그러한 보안 특징부들은 또한 제한된 액세스를 가질 수 있는 보안 저장 영역을 포함할 수 있다. 예를 들어, 개인 식별 번호("PIN") 입력을 통한, 또는 생체인식 센서와의 사용자 상호작용을 통한 사용자 인증이, 보안 저장 영역에 액세스하기 위해 제공될 필요가 있을 수 있다. 예를 들어, 액세스 SSD(154c)는 애플릿(153c)을 이용하여, 이러한 인증이 다른 SSD들(154)(예컨대, 크리덴셜 SSD(154a) 또는 크리덴셜 SSD(154b))이 그것의 크리덴셜 정보(161)를 전달하는 데 사용되도록 하기 전에 일어났는지 결정할 수 있다. 소정 실시예들에서, 보안 특징부들의 일부 또는 모두가 NFC 메모리 모듈(150) 내에 저장될 수 있다. 또한, 상거래 크리덴셜 데이터를 SP 서브시스템(200)과 교환하기 위한 인증 키와 같은 보안 정보가 NFC 메모리 모듈(150) 내에 저장될 수 있다. 소정 실시예들에서, NFC 메모리 모듈(150)은 전자 디바이스(100) 내에 임베드된 마이크로제어기를 포함할 수 있다. 단지 하나의 예로서, 액세스 SSD(154c)의 애플릿(153c)은 (예컨대, 생체 측정 입력 컴포넌트와 같은 하나 이상의 입력 컴포넌트(110)를 통해) 디바이스(100)의 사용자의 의도 및 로컬 인증을 결정하도록 구성될 수 있고, 이러한 결정에 응답하여, (예컨대, 크리덴셜 SSD(154a)의 크리덴셜을 이용하여) 결제 거래를 수행하기 위하여 다른 특정 SSD를 인에이블하도록 구성될 수 있다.
도 2a에 도시된 바와 같이, 예를 들어, NFC 컴포넌트(120)의 보안 요소(145)는 애플릿(153a), 크리덴셜 정보(161a), 액세스 키(155a), 및/또는 크리덴셜 키(155a')를 포함하거나 또는 그와 연관될 수 있는 SSD(154a); 및 애플릿(153b), 크리덴셜 정보(161b), 액세스 키(155b), 및/또는 크리덴셜 키(155b')를 포함하거나 또는 그와 연관될 수 있는 SSD(154b)를 포함할 수 있다. 일부 실시예들에서, SSD들(154a, 154b) 각각은 특정 특권 또는 결제 권한을 전자 디바이스(100)에 제공할 수 있는 특정 TSM 및 적어도 하나의 특정 상거래 크리덴셜(예컨대, 특정 신용 카드 크리덴셜 또는 특정 대중 교통 카드 크리덴셜)과 연관될 수 있다(예를 들어, SSD(154a)는 발행자 서브시스템(300)의 제1 발행 서브시스템(391)으로부터 제1 사용자(U1)를 위해 프로비저닝된 제1 호스트 거래 크리덴셜과 연관될 수 있고, SSD(154b)는 발행자 서브시스템(300)의 제2 발행 서브시스템(392)으로부터 제2 사용자(U2)를 위해 프로비저닝된 제2 호스트 거래 크리덴셜과 연관될 수 있으며, 이는 도 1에 관하여 언급된 바와 같음). 각각의 SSD(154)는 NFC 디바이스 모듈(130)에 의한 사용을 위해 그 SSD(154)의 기능을 인에이블하기 위해 활성화될 필요가 있을 수 있는 자체 관리자 키(155)(예컨대, 키들(155ak, 155bk)의 각각)를 가질 수 있다. 각각의 SSD(154)는 특정 상거래 크리덴셜과 연관된 자체 크리덴셜 애플리케이션들 또는 크리덴셜 애플릿들(예컨대, Java 카드 애플릿 인스턴스들) 중 적어도 하나를 포함하고/하거나 그와 연관될 수 있으며(예컨대, SSD(154a)의 크리덴셜 애플릿(153a)은 제1 상거래 크리덴셜과 연관될 수 있고/있거나 SSD(154b)의 크리덴셜 애플릿(153b)은 제2 상거래 크리덴셜과 연관될 수 있음), 여기서 크리덴셜 애플릿은 자체 액세스 키(예컨대, 크리덴셜 애플릿(153a)에 대한 액세스 키(155a) 및/또는 크리덴셜 애플릿(153b)에 대한 액세스 키(155b)) 및/또는 자체 크리덴셜 키(예컨대, 크리덴셜 애플릿(153a)에 대한 크리덴셜 키(155a') 및/또는 크리덴셜 애플릿(153b)에 대한 크리덴셜 키(155b'))를 가질 수 있고, 크리덴셜 애플릿은 (예컨대, SP 단말기와의) NFC 통신으로서 그리고/또는 (예컨대, AE 서브시스템(400)을 통한) 디바이스(100)와 SP 서브시스템(200) 간의 온라인 기반 통신으로서 NFC 디바이스 모듈(130)에 의한 사용을 위해 그것의 연관된 상거래 크리덴셜을 인에이블하도록 활성화될 필요가 있을 수 있다.
크리덴셜 애플릿의 크리덴셜 키는 그러한 크리덴셜에 책임이 있을 수 있는 발행자 서브시스템(300)에 의해 생성될 수 있고, 보안 요소(145)와 발행자 서브시스템(300) 간의 그 애플릿의 그 크리덴셜 정보의 보안 전송을 인에이블하기 위하여 그 발행자 서브시스템(300)에 의해 액세스가능할 수 있다. 크리덴셜 애플릿의 액세스 키는 AE 서브시스템(400)에 의해 생성될 수 있고, 보안 요소(145)와 AE 서브시스템(400) 간의 그 애플릿의 그 크리덴셜 정보의 보안 전송을 인에이블하기 위하여 AE 서브시스템(400)에 의해 액세스가능할 수 있다. 도시된 바와 같이, 각각의 애플릿은 자체 고유 애플리케이션 식별자(application identifier, "AID"), 예컨대, 애플릿(153a)의 AID(155aa) 및/또는 애플릿(153b)의 AID(155ba)를 포함할 수 있다. 예를 들어, AID는 특정 카드 기법 및 제품, 프로그램, 또는 네트워크(예컨대, 마스터카드 시러스(MasterCard Cirrus), 비자 플러스(Visa PLUS), 인터랙(Interac) 등)를 식별할 수 있으며, 여기서 AID는 AID와 연관된 크리덴셜의 결제 시스템(예컨대, 카드 기법) 또는 네트워크(예컨대, 마스터카드, 비자, 인터랙 등)를 식별하는 데 사용될 수 있는 등록된 애플리케이션 제공자 식별자(registered application provider identifier, "RID")뿐만 아니라, AID와 연관된 크리덴셜의 제공자 또는 결제 시스템에 의해 제공되는 제품들, 프로그램들, 또는 애플리케이션들을 구분하는 데 사용될 수 있는 독점적 애플리케이션 식별자 확장(proprietary application identifier extension, "PIX")을 포함할 수 있다. 보안 요소(145)의 펌웨어를 관장하도록 동작할 수 있는 임의의 적합한 설명서(예컨대, Java 카드 설명서)는 보안 요소(145) 상의 각각의 AID의 고유함을 보장하거나 또는 다른 방식으로 강요하도록 동작할 수 있다(예컨대, 보안 요소(145) 상의 각각의 크리덴셜 인스턴스는 자체 고유 AID와 연관될 수 있음).
도 2a에 도시된 바와 같이, 보안 요소(145)는 ISD(152)를 포함할 수 있고, 이는 그 보안 도메인과 연관된 신뢰 서비스 관리자(예컨대, AE 서브시스템(400), 도 1b에 도시된 바와 같음)에 또한 알려질 수 있는 ISD 키(156k)를 포함할 수 있다. ISD 키(156k)는 AE 서브시스템(400)과 보안 요소(145) 간의 보안 전송을 인에이블하기 위하여 액세스 키(155a) 및/또는 액세스 키(155b)와 유사하게 그리고/또는 그를 대신하여 AE 서브시스템(400) 및 디바이스(100)에 의해 이용될 수 있다. 또한, 도 2a에 도시된 바와 같이, 프로세서(102)와 보안 요소(145) 간에 다양한 데이터가 교환될 수 있다. 예를 들어, 디바이스(100)의 프로세서(102)는 프로세서(102)의 애플리케이션(113)뿐만 아니라 보안 요소(145), I/O 인터페이스 컴포넌트(114a)(예컨대, I/O 입력 데이터(115i)를 수신 및/또는 I/O 출력 데이터(115o)를 전송하기 위함), 및/또는 통신 컴포넌트(106)와 정보를 교환할 수 있는 디바이스 애플리케이션(103)을 실행하도록 구성될 수 있다. 또한, 도시된 바와 같이, 프로세서(102)는 디바이스 식별 정보(119)에 액세스할 수 있는데, 이는 디바이스(100)와 원격 개체들 간의 보안 통신을 인에이블하기 위하여 활용될 수 있다.
도 2a에 도시된 바와 같이, 보안 요소(145)는 제어 기관 보안 도메인(control authority security domain, "CASD")(158)을 포함할 수 있으며, 이는 CASD 액세스 키트(158k)(예컨대, CASD 키들, 인증서들, 및/또는 서명 모듈들)를 생성하고/하거나 달리 포함하도록 구성될 수 있다. 예를 들어, CASD(158)는 (예컨대, CASD 액세스 키트(158k)를 이용하여) 보안 요소(145) 상의 소정 데이터에 서명한 뒤, 이러한 데이터를 디바이스(100)의 다른 부분(예컨대, 시스템(1)의 다른 서브시스템과 공유하기 위한 통신 컴포넌트(106))에 제공하도록 구성될 수 있다. 보안 요소(145)는 비접촉식 등록 서비스(contactless registry services, "CRS") 애플릿 또는 애플리케이션(151)을 포함할 수 있으며, 이는 소정 보안 도메인 요소들의 수명 주기 상태(예컨대, 활성화, 비활성화, 보류, 잠금 등)를 변경하고 소정 수명 주기 상태들에 있는 소정 보안 도메인 요소들에 관한 소정 출력 정보(115o)를 디바이스(100)의 사용자와 (예컨대, 사용자 I/O 인터페이스(114a)를 통해) 공유하는 로컬 기능을 전자 디바이스(100)에 제공하도록 구성될 수 있고, CRS 리스트(151t)를 포함할 수 있으며, CRS 리스트(151t)는 보안 요소(145) 상의 각각의 보안 도메인 요소의 현재 수명 주기 상태의 리스트를 유지할 수 있고 하나 이상의 보안 도메인 요소들의 수명 주기 상태를 디바이스(100)의 애플리케이션과 공유하도록 구성될 수 있으며(예컨대, 임의의 적합한 애플리케이션 유형으로서, 예컨대, 운영 체제 애플리케이션(103) 내에서 백그라운드 프로세스로서 실행될 수 있는 카드 관리 데몬(card management daemon, "CMD") 애플리케이션(113a) 및/또는 카드 관리 애플리케이션(113b)(예컨대, 애플 인크.에 의한 패스북(Passbook)™ 또는 월렛(Wallet)™ 애플리케이션) 및/또는 디바이스 보호(device protection, "DP") 애플리케이션(113c)(예컨대, AE 서브시스템(400)의 디바이스 보호 서브시스템(471)과 연관될 수 있는 애플리케이션 및/또는 데몬) 및/또는 보안 요소(145)와 통신하기 위해 제1 사용자(U1)에 의해 사용될 제1 사용자 크리덴셜("U1C") 데몬 또는 애플리케이션(113d) 및/또는 보안 요소(145)와 통신하기 위해 제2 사용자(U2)에 의해 사용될 제2 사용자 크리덴셜("U2C") 데몬 또는 애플리케이션(113e)과 같은 데몬), 이는 결과적으로 소정 수명 주기 상태 정보를 디바이스(100)의 사용자에게 출력 정보(115o)로서 I/O 인터페이스(114a) 및 사용자 인터페이스("UI") 애플리케이션(예컨대, 카드 관리 애플리케이션(113b)의 UI)을 통해 제공할 수 있고, 이는 사용자가 보안 도메인 요소의 수명 주기 상태를 변경하게 할 수 있다. CRS(151)는 CRS 액세스 키(151k)를 포함할 수 있고, 이는 CRS(151)와 연관된 신뢰 서비스 관리자(예컨대, AE 서브시스템(400))에게 또한 알려져 있을 수 있고, AE 서브시스템(400)과 보안 요소(145) 사이의 보안 전송을 인에이블하기 위하여 액세스 키(155a) 및/또는 액세스 키(155b)와 유사하게 그리고/또는 그를 대신하여 AE 서브시스템(400) 및 디바이스(100)에 의해 이용될 수 있다.
DP 애플리케이션(113c)은, 운영 체제 애플리케이션(103) 및/또는 카드 관리 애플리케이션(113b) 내에서 백그라운드 프로세스로서 실행될 수 있고/있거나 CMD 애플리케이션(113a)에 의해 제공될 수 있거나 또는 임의의 적합한 개체(예컨대, 디바이스 보호 서브시스템(471)을 책임지는 개체)에 의해 제공된 애플리케이션일 수 있는, 데몬과 같은 임의의 적합한 애플리케이션 유형일 수 있고, 디바이스(100)를 하나 이상의 방식으로 보호하기 위해 임의의 적합한 디바이스 보호 서비스(들)가 디바이스 보호 서브시스템(471)에 의해 나중에 활성화될 수 있게 하도록 동작할 수 있다. 예를 들어, DP 애플리케이션(113c)은 디바이스 보호 서브시스템(471)의 서비스(예를 들어, 애플 인크.의 아이클라우드(iCloud) 서비스)와 연계하여 사용될 수 있는 "내 기기 찾기(Find My Device)" 애플리케이션(예컨대, 애플 인크.에 의한 "내 아이폰 찾기(Find My iPhone)" 또는 "나의 맥 찾기(Find My Mac)" 애플리케이션)일 수 있으며, 이는 디바이스(100)의 위치를 추적하고/하거나 디바이스(100)의 하나 이상의 기능들을 원격으로 제어하기 위한 것이며, 예컨대 알람을 켜고/거나 소정 디바이스 콘텐츠의 유용성을 소거 또는 보류 또는 다른 식으로 종료하며, 예컨대 서비스 제공자와의 거래를 촉진하는 데 사용할 거래 크리덴셜 데이터를 생성하는 디바이스(100)의 보안 요소의 능력을 보류한다. 그러한 서비스는 디바이스(100)가 분실되거나 도난될 수 있을 때 디바이스가 복구될 수 있도록 그리고/또는 디바이스 상의 민감한 데이터가 액세스되지 않을 수 있도록 디바이스 소유자에게 유용할 수 있다. U1C 애플리케이션(113d) 및 U2C 애플리케이션(113e) 각각은 운영 체제 애플리케이션(103) 및/또는 카드 관리 애플리케이션(113b) 내에서 백그라운드 프로세스로서 실행될 수 있고/있거나 CMD 애플리케이션(113a)에 의해 제공될 수 있거나 또는 임의의 적합한 개체(예컨대, 크리덴셜 보호 서브시스템(491)을 책임지는 개체)에 의해 제공된 애플리케이션일 수 있는, 데몬과 같은 임의의 적합한 애플리케이션 유형일 수 있고, 디바이스(100)의 특정 사용자가 디바이스(100) 상에 사용자 거래 크리덴셜들을 프로비저닝할 수 있게 하고/하거나 그렇지 않으면 디바이스(100) 상의 그 사용자에 대한 하나 이상의 크리덴셜들을 관리할 수 있게 하도록 동작할 수 있다.
도 3에 도시된 바와 같이, 호스트 전자 디바이스(100)의 하나의 특정 예는 아이폰™과 같은 핸드헬드 전자 디바이스일 수 있으며, 여기서 하우징(101)은 다양한 입력 컴포넌트들(110a 내지 110i), 다양한 출력 컴포넌트들(112a 내지 112c), 및 디바이스(100)와 사용자 및/또는 주변 환경이 그것을 통해 서로 인터페이싱할 수 있는 다양한 I/O 컴포넌트들(114a 내지 114d)에 대한 액세스를 허용할 수 있다. 예를 들어, 터치 스크린 I/O 컴포넌트(114a)는 디스플레이 출력 컴포넌트(112a) 및 연관된 터치 입력 컴포넌트(110f)를 포함할 수 있으며, 여기서 디스플레이 출력 컴포넌트(112a)는, 사용자가 전자 디바이스(100)와 상호작용할 수 있게 하는 시각적 또는 그래픽 사용자 인터페이스("GUI")(180)를 디스플레이하는 데 사용될 수 있다. GUI(180)는, 디스플레이 출력 컴포넌트(112a)의 영역들 전체 또는 일부에 디스플레이될 수 있는, 다양한 계층, 윈도우, 스크린, 템플릿, 요소, 메뉴, 및/또는 현재 실행중인 애플리케이션(예컨대, 애플리케이션(103) 및/또는 애플리케이션(113) 및/또는 애플리케이션(143))의 다른 컴포넌트들을 포함할 수 있다. 예를 들어, 도 3에 도시된 바와 같이, GUI(180)는 GUI(180)의 하나 이상의 그래픽 요소들 또는 아이콘들(182)을 갖는 제1 스크린(190)을 디스플레이하도록 구성될 수 있다. 특정 아이콘(182)이 선택되면, 디바이스(100)는 그 아이콘(182)과 연관된 새로운 애플리케이션을 열고 그 애플리케이션과 연관된 GUI(180)의 대응하는 스크린을 디스플레이하도록 구성될 수 있다. 예를 들어, "판매자 앱" 텍스트 표시자(181)로 라벨링된 특정 아이콘(182)(즉, 특정 아이콘(183))이 디바이스(100)의 사용자에 의해 선택되면, 디바이스(100)는 특정 제3자 판매자 또는 SP 애플리케이션을 시작하거나 달리 그것에 액세스할 수 있고, 특정 방식으로 디바이스(100)와 상호작용하기 위한 하나 이상의 툴들 또는 특징부들을 포함할 수 있는 특정 사용자 인터페이스의 스크린들을 디스플레이할 수 있다. 다른 예로서, "월렛" 텍스트 표시자(181)로 라벨링된 특정 아이콘(182)(즉, 특정 아이콘(185))이 선택되면, 디바이스(100)는 특정 디바이스 애플리케이션(예컨대, 보안 요소(145) 상의 다양한 크리덴셜들을 관리하기 위한 (예컨대, "월렛" 또는 "패스북" 애플리케이션으로서의) 도 2a의 카드 관리 애플리케이션(113b))을 시작하거나 달리 그것에 액세스할 수 있고, 특정 방식으로 디바이스(100)와 상호작용하기 위한 하나 이상의 툴들 또는 특징부들을 포함할 수 있는 특정 사용자 인터페이스의 스크린들을 디스플레이할 수 있다. 다른 예로서, "보호" 텍스트 표시자(181)로 라벨링된 특정 아이콘(182)(즉, 특정 아이콘(186))이 선택되면, 디바이스(100)는 디바이스(100)를 보호하기 위해(예컨대, 분실, 도난 등의 경우) 소정 디바이스 보호 서비스들이 (예컨대, 디바이스 보호 서브시스템(471)에 의해) 활성화될 수 있게 하기 위해 특정 디바이스 애플리케이션(예컨대, 도 2a의 디바이스 보호 애플리케이션(113c)(예컨대, "내 기기 찾기" 애플리케이션))을 시작하거나 달리 그것에 액세스할 수 있다. 각각의 애플리케이션에 대해, 스크린들이 디스플레이 출력 컴포넌트(112a) 상에 디스플레이될 수 있고 다양한 사용자 인터페이스 요소들을 포함할 수 있다. 각각의 애플리케이션에 대해, 다양한 다른 유형들의 비-시각적 정보가 디바이스(100)의 다양한 다른 출력 컴포넌트들(112)을 통해 사용자에게 제공될 수 있다. 일부 실시예들에서, 디바이스(100)는 GUI 를 제공하도록 동작하는 사용자 인터페이스 컴포넌트를 포함하지 않을 수 있지만, 그 대신에 더 자동화된 디바이스로 간주될 수 있다. 디바이스(100)는 GUI를 제공하도록 동작하는 사용자 인터페이스 컴포넌트를 포함하지 않을 수 있지만, 그 대신에 거래에 자금을 지원하기 위해 결제 크리덴셜의 사용을 선택 및 인증하기 위한 오디오 및/또는 햅틱 출력 컴포넌트 및 기계적 또는 기타 적합한 사용자 입력 컴포넌트들을 제공할 수 있다.
SP 서브시스템(200)은 임의의 적합한 서비스 제공자("SP") 서버(도시되지 않음)를 포함할 수 있으며, 이는 임의의 적합한 데이터를 임의의 적합한 통신 프로토콜(예컨대, Wi-Fi, 블루투스™, 셀룰러, 유선 네트워크 프로토콜 등)을 통해 AE 서브시스템(400)의 통신 컴포넌트와 그리고/또는 디바이스(100)의 통신 컴포넌트(106)와 교환하도록 구성된 임의의 적합한 컴포넌트 또는 서브시스템을 포함할 수 있다. 예를 들어, SP 서버에 의해 관리될 수 있는 디바이스(100) 상에서 실행되는 제3자 SP 애플리케이션, 또는 SP 서버에 의해 타겟 또는 웹 리소스가 관리될 수 있는 URL(uniform resource locator)을 가리킬 수 있는 디바이스(100) 상에서 실행되는 인터넷 애플리케이션(예컨대, 애플 인크.에 의한 사파리(Safari)™)과 같은, 디바이스(100) 상에서 실행되고 있을 수 있는 임의의 적합한 SP 온라인 리소스를 통해 거래를 수행하기 위하여 SP 서버와 디바이스(100)의 사용자가 통신하고 있을 때와 같은, 임의의 적합한 온라인-컨텍스트 내에서, SP 서버는 호스트 디바이스(100)와 잠재적 거래 데이터를 교환하도록 구성될 수 있다. 따라서, 주의할 점은, SP 서버와 디바이스(100) 간의 통신은 무선으로 그리고/또는 유선 경로를 통해 (예컨대, 인터넷을 통해) 일어날 수 있다는 것이다. 그러한 SP 서버는 SP 서브시스템(200)의 판매자 또는 임의의 다른 제어 개체에 의해 (예컨대, 웹사이트 데이터를 호스팅하고/하거나 제3자 애플리케이션 데이터를 관리하는 웹서버로서) 제공될 수 있다. 추가적으로 또는 대안적으로, SP 서브시스템(200)은 임의의 적합한 SP 단말기(예컨대, 판매자 결제 단말기)를 포함할 수 있고, 이는 임의의 적합한 데이터를 호스트 디바이스(100)의 비접촉식 근접성 기반 통신 컴포넌트와 교환하도록 구성된 임의의 적합한 컴포넌트 또는 서브시스템을 포함할 수 있다(예컨대, 디바이스(100)의 NFC 컴포넌트(120)를 이용한 비접촉식 근접성 기반 통신). SP 서브시스템(200)은 SP 서브시스템(200)과 연관된 하나 이상의 SP 키들, 및/또는 거래를 용이하게 하고/하거나 임의의 적합한 보안 통신을 인에이블하기 위하여 SP 서브시스템(200)을 고유하게 식별하기 위해 디바이스(100) 및/또는 AE 서브시스템(400) 및/또는 SP 서브시스템(200) 및/또는 발행자 서브시스템(300)에 의해 이용될 수 있는 임의의 적합한 서비스 제공자 식별("SP ID") 정보를 포함할 수 있다. 단지 하나의 예로서, 이러한 SP ID 정보는 전화번호 또는 이메일 주소 또는 IP 주소 또는 SP 서브시스템(200)과 연관될 수 있는 임의의 고유 식별자일 수 있다. 도시되지 않았지만, SP 서브시스템(200)은 또한 전자 디바이스(100)의 프로세서 컴포넌트(102)와 동일하거나 유사할 수 있는 SP 프로세서 컴포넌트, 전자 디바이스(100)의 통신 컴포넌트(106)와 (예컨대, SP 서버의 일부분으로서) 동일하거나 유사할 수 있는 SP 통신 컴포넌트, 전자 디바이스(100)의 I/O 인터페이스(114)와 동일하거나 유사할 수 있는 SP I/O 인터페이스, 전자 디바이스(100)의 버스(118)와 동일하거나 유사할 수 있는 SP 버스, 전자 디바이스(100)의 메모리 컴포넌트(104)와 동일하거나 유사할 수 있는 SP 메모리 컴포넌트, 및/또는 전자 디바이스(100)의 전원 공급 컴포넌트(108)와 동일하거나 유사할 수 있는 SP 전원 공급 컴포넌트를 포함할 수 있다.
발행자 서브시스템(300)은 제1 발행 서브시스템(391) 및 제2 발행 서브시스템(392)과 같은, 적어도 하나의 발행 서브시스템(예컨대, 발행 은행 서브시스템)을 포함할 수 있다. 또한, 일부 실시예들에서, 발행자 서브시스템(300)은 제1 네트워크 서브시스템 및 제2 네트워크 서브시스템과 같은, 적어도 하나의 네트워크 서브시스템(예컨대, 결제 네트워크 서브시스템(예컨대, 결제 카드 협회 또는 신용 카드 협회))을 포함할 수 있다. 예를 들어, 각각의 발행 서브시스템은, 특정 크리덴셜로 발생될 수 있는 대금을 지불할 소비자의 능력에 대한 1차 책임(primary liability)을 맡을 수 있는 금융 기관일 수 있다. 호스트 디바이스(100)의 하나 이상의 특정 크리덴셜 애플릿들은 특정 사용자의 계정 또는 계정들에 전자적으로 링크될 수 있는 특정 결제 카드와 연관될 수 있다. 신용 카드, 직불 카드, 지불 카드(charge card), 선불 카드, 플릿 카드(fleet card), 선물 카드 등을 포함한, 다양한 유형들의 결제 카드가 적합할 수 있다. 특정 결제 카드의 상거래 크리덴셜은 (예컨대, 직접 또는 AE 서브시스템(400)을 통해) SP 서브시스템(200)과의 상거래 크리덴셜 데이터 통신(예컨대, 비접촉식 근접성 기반 통신 및/또는 온라인 기반 통신)에 사용하기 위해, 발행자 서브시스템(300)의 발행 서브시스템에 의해 호스트 디바이스(100) 상에 (예컨대, 아래에 기재된 바와 같이, NFC 컴포넌트(120)의 크리덴셜 보충적 보안 도메인("SSD")의 크리덴셜로서) 프로비저닝될 수 있다. 각각의 크리덴셜은 발행자 서브시스템(300)의 네트워크 서브시스템에 의해 상표화될 수 있는 결제 카드의 특정 상표일 수 있다. 발행자 서브시스템(300)의 각각의 네트워크 서브시스템은 특정 상표의 결제 카드들(예컨대, 상거래 크리덴셜들)의 사용을 처리할 수 있는 다양한 매수 은행들 및/또는 발행자 서브시스템(300)의 다양한 발행 서브시스템들의 네트워크일 수 있다. 또한 결제 프로세서 또는 매수자로 알려진, 매수 은행 서브시스템은 SP 서브시스템(200)과 연관된 SP의 뱅킹 파트너일 수 있고, 매수 은행 서브시스템은 발행자 서브시스템(300)과 협력하여, 호스트 디바이스(100)에 의해 자금이 지원되도록 시도되는 크리덴셜 거래들을 호스트 거래 크리덴셜 데이터를 이용하여 (예컨대, SP 서브시스템(200)을 통해) 승인 및 해결하도록 구성될 수 있다. 발행자 서브시스템(300)의 네트워크 서브시스템 및 발행 서브시스템은 단일 개체 또는 별개의 개체들일 수 있다. 예를 들어, 아메리칸 익스프레스(American Express)는 네트워크 서브시스템 및 발행 서브시스템 둘 다일 수 있는 반면, 대조적으로, 비자(Visa) 및 마스터카드(MasterCard)는 결제 서브시스템들일 수 있고, 시티뱅크(Citibank), 웰스 파고(Wells Fargo), 뱅크 오브 아메리카(Bank of America) 등과 같은 발행 서브시스템들과 협력하여 동작할 수 있다.
시스템(1) 내에서 금융 거래가 일어나기 위해(예를 들어, 본 명세서에 개시된 개념들에 따라 호스트 디바이스(100)와 SP 서브시스템(200) 사이에서 시스템(1)에 의해 수행될 수 있는 거래들의 많은 적합한 유형들 중 특정 유형), 적어도 하나의 거래 크리덴셜이 호스트 디바이스(100)의 보안 요소 상에 안전하게 프로비저닝되어야 한다. 예를 들어, 그러한 거래 크리덴셜은 발행자 서브시스템(300)으로부터 직접 또는 AE 서브시스템(400)을 통해(예컨대, 크리덴셜 보호 서브시스템(491)을 통해) 호스트 디바이스(100)의 보안 요소(145) 상에 적어도 부분적으로 프로비저닝될 수 있다. 예를 들어, 제1 사용자 크리덴셜 데이터(예컨대, 도 6의 데이터(656))는 NFC 컴포넌트(120)의 크리덴셜 보충적 보안 도메인의 적어도 일부분 또는 전부로서 제1 사용자(U1)를 위해 디바이스(100)의 보안 요소(145) 상에 제1 발행 서브시스템(391)으로부터 프로비저닝될 수 있고, 크리덴셜 정보(161a) 및 크리덴셜 키(155a')를 갖는 크리덴셜 애플릿(153a) 또는 결제 애플리케이션과 같은, 크리덴셜 정보 및/또는 크리덴셜 키를 갖는 크리덴셜 애플릿을 포함할 수 있는 한편, 제2 사용자 크리덴셜 데이터(예컨대, 도 6의 데이터(664))는 NFC 컴포넌트(120)의 크리덴셜 보충적 보안 도메인의 적어도 일부분 또는 전부로서 제2 사용자(U2)를 위해 디바이스(100)의 보안 요소(145) 상에 제2 발행 서브시스템(392)으로부터 프로비저닝될 수 있고, 크리덴셜 정보(161b) 및 크리덴셜 키(155b')를 갖는 크리덴셜 애플릿(153b) 또는 결제 애플리케이션과 같은, 크리덴셜 정보 및/또는 크리덴셜 키를 갖는 크리덴셜 애플릿을 포함할 수 있다. 발행자 서브시스템(300)(예컨대, 제1 발행 서브시스템(391))은 또한 (예컨대, 크리덴셜 키(155a')를 사용하여 디바이스(100)에 의해 암호화된 데이터를 복호화하기 위해) 크리덴셜 키(155a')에 대한 액세스를 가질 수 있고, 발행자 서브시스템(300)(예컨대, 제2 발행 서브시스템(392))은 또한 (예컨대, 크리덴셜 키(155b')를 사용하여 디바이스(100)에 의해 암호화된 데이터를 복호화하기 위해) 크리덴셜 키(155b')에 대한 액세스를 가질 수 있다. 발행자 서브시스템(300)은 크리덴셜 키(155a', 155b')의 관리를 책임질 수 있는데, 이는 이러한 키들의 생성, 교환, 저장, 사용, 및 교체를 포함할 수 있다. 발행자 서브시스템(300)은 자신의 버전의 각각의 크리덴셜 키를 발행자 서브시스템(300)의 하나 이상의 적절한 보안 요소들 내에 저장할 수 있다. NFC 컴포넌트(120)의 그리고 발행자 서브시스템(300)의 크리덴셜 키들(155a', 155b') 각각은 임의의 적합한 공유 비밀(예컨대, 패스워드, 패스프레이즈, 무작위로 선택된 바이트들의 어레이, 하나 이상의 대칭키, 공개키-개인키(예컨대, 비대칭키들) 등)일 수 있으며, 이는 전자 디바이스(100)의 보안 요소 및 발행자 서브시스템(300) 둘 모두에 이용되어, 예컨대, 기능적 출력이 적어도 부분적으로 공유 비밀에 의해 결정될 수 있는 임의의 적합한 암호화 알고리즘 또는 암호를 이용함으로써, 임의의 적합한 암호 데이터(예컨대, 암호) 또는 임의의 다른 적합한 데이터가 전자 디바이스(100) 및 발행자 서브시스템(300)에 의해 독립적으로 생성될 수 있도록 동작할 수 있으며(예컨대, 금융 거래에 대한 결제 데이터를 유효성 확인하기 위함), 여기서 이러한 공유 비밀은 발행자 서브시스템(300)에 의해 디바이스(100) 상에 프로비저닝될 수 있다는 것이 이해될 것이다. 공유 비밀은 사전에 발행자 서브시스템(300)과 호스트 디바이스(100) 간에 공유될 수 있으며(예컨대, 발행자 서브시스템(300)에 의해 디바이스(100) 상에 크리덴셜을 프로비저닝하는 동안), 이 경우 그러한 공유 비밀은 사전공유된 키라고 지칭될 수 있고, 또는 공유 비밀은 특정 금융 거래에 사용하기 전에 키-동의 프로토콜을 이용(예컨대, 디피-헬먼법(Diffie-Hellman)과 같은 공개키 암호화, 또는 커버로스(Kerberos)와 같은 대칭키 암호화를 이용)함으로써 생성될 수 있다. 공유 비밀, 및 기능적 출력이 적어도 부분적으로 공유 비밀에 의해 결정될 수 있는 임의의 적합한 암호화 알고리즘 또는 암호는 디바이스(100)의 보안 요소에 액세스가능할 수 있다.
AE 서브시스템(400)(예컨대, 크리덴셜 보호 서브시스템(491))은 발행자 서브시스템(300)과 호스트 디바이스(100) 간의 중개장치로서 제공될 수 있는데, 여기서 AE 서브시스템(400)은 새로운 보안 계층을 제공하도록 그리고/또는, 크리덴셜이 디바이스(100) 상에 프로비저닝되고 있을 때 및/또는 그러한 프로비저닝된 크리덴셜이 디바이스(100)와 SP 서브시스템(200) 간의 호스트 거래 크리덴셜 데이터 통신의 일부로서 사용되고 있을 때에 더 매끄러운 사용자 경험을 제공하도록 구성될 수 있다. AE 서브시스템(400)은 그 관리 개체와의 사용자-특정 계정에 대한 사용자-특정 로그인 정보를 통해(예컨대, 사용자-특정 식별 및 패스워드의 조합들을 통해) 다양한 서비스들을 디바이스(100)의 사용자에게 제공할 수 있는 임의의 적합한 관리 및/또는 상업적 개체에 의해 제공될 수 있다. 단지 하나의 예로서, AE 서브시스템(400)은 미국 캘리포니아주 쿠퍼티노 소재의 애플 인크.에 의해 제공될 수 있는데, 이는 또한 디바이스(100)의 사용자들에 대한 다양한 관리 및/또는 다른 서비스들의 제공자일 수 있고(예를 들어, 디바이스(100)에 의해 재생되는 미디어를 판매/대여하기 위한 아이튠즈(iTunes)™ 스토어, 디바이스(100) 상에서 사용할 애플리케이션들을 판매/대여하기 위한 애플 앱 스토어(Apple App Store)™(예컨대, 디바이스(100)에 애플리케이션들을 안전하게 전달하기 위한 스토어(420)), 디바이스(100)로부터의 데이터를 저장하기 위한 그리고/또는 사용자를 디바이스와 연관시키기 위한 그리고/또는 (예컨대, 디바이스(100) 상의 DP 애플리케이션(113c)을 이용하여) 디바이스 보호 서비스들을 제공하기 위한 애플 아이클라우드(Apple iCloud)™ 서비스(예컨대, 디바이스 보호 서브시스템(471)의 서비스), 다양한 애플 제품들을 온라인에서 구매하기 위한 애플 온라인 스토어(Apple Online Store), 디바이스들 간에 미디어 메시지들을 통신하기 위한 애플 아이메시지(iMessage)™ 서비스, 디바이스(100) 상에 프로비저닝된 크리덴셜을 보안화 및 관리하기 위한 그리고/또는 서비스 제공자와의 거래를 촉진하기 위해 호스트 디바이스 크리덴셜 데이터를 안전하게 사용하기 위한 애플 페이(Apple Pay)™ 서비스(예를 들어, 크리덴셜 보호 서브시스템(491)의 서비스) 등), 그리고 그것은 또한 디바이스(100) 자체 및/또는 디바이스(100') 자체의(예컨대, 디바이스(100)가 아이팟(iPod)™, 아이패드(iPad)™, 아이폰(iPhone)™, 맥북(MacBook)™, 아이맥(iMac)™, 애플 워치(Apple Watch)™ 등인 경우) 그리고/또는 운영 체제(예컨대, 디바이스 애플리케이션(103))의 또는 디바이스(100)의 임의의 다른 애플리케이션(예컨대, 카드 관리 애플리케이션(113b) 및/또는 DP 애플리케이션(113c))의 제공자, 제조자, 및/또는 개발자일 수 있다. AE 서브시스템(400)을 제공할 수 있는 관리 또는 상업적 개체(예컨대, 애플 인크.)는 발행자 서브시스템(300)의 임의의 크리덴셜 발행 및/또는 금융 개체와 별개이고 그에 독립적일 수 있다. 예를 들어, AE 서브시스템(400)을 제공할 수 있는 관리 또는 상업적 개체는 임의의 신용 카드 또는 최종 사용자 호스트 디바이스(100) 상에 프로비저닝될 임의의 다른 거래 크리덴셜을 제공 및/또는 관리할 수 있는 임의의 결제 네트워크 서브시스템 또는 발행 은행 서브시스템과 별개이고/이거나 그에 독립적일 수 있다. AE 서브시스템(400)을 제공할 수 있는 개체(예컨대, 애플 인크.)는 SP 서브시스템(200)의 임의의 판매자(예를 들어, NFC 통신을 위한 SP 단말기를 제공할 수 있는 SP 서브시스템(200)의 임의의 SP 개체, 온라인 통신을 위한 제3자 애플리케이션, 및/또는 SP 서브시스템(200)의 임의의 다른 양태)와 별개이고/이거나 그에 독립적일 수 있다. 이러한 관리 개체는, 사용자가 발행자 서브시스템(300)에 의해 제공되는 크리덴셜을 호스트 디바이스(100) 상에 프로비저닝하기를 원할 때 및/또는 이러한 프로비저닝된 크리덴셜이 SP 서브시스템(200)과의 호스트 거래 크리덴셜 데이터 통신의 일부로서 거래에 자금을 지원하는 데 사용중일 때 및/또는 디바이스(100)가 디바이스 보호 서브시스템(471)에 의한 임의의 적합한 디바이스 보호 서비스들을 용이하게 하기 위해 (예를 들어, DP 애플리케이션(113c)을 통해) 임의의 디바이스 보호 서비스들을 인에이블했을 수 있을 때, 디바이스(100)의 사용자에게 더 매끄러운 사용자 경험을 제공하기 위하여, 디바이스(100)의 다양한 컴포넌트들(예컨대, 그 개체가 적어도 부분적으로 디바이스(100)를 생성 및 관리할 때의, 디바이스(100)의 소프트웨어 및/또는 하드웨어 컴포넌트들)을 구성 또는 제어하는 자신의 잠재 능력을 이용할 수 있다. 예를 들어, 일부 실시예들에서, 디바이스(100)는 (예컨대, 디바이스(100)와 SP 서브시스템(200) 간의 온라인 기반 호스트 거래 크리덴셜 데이터 통신 동안 그리고/또는 디바이스(100)가 분실되거나 도난당한 것으로 보고되었을 때) 더 높은 수준의 보안을 인에이블할 수 있는 소정 데이터를 공유 및/또는 수신하기 위하여 디바이스(100)의 사용자에게 끊김없이 투명하게 AE 서브시스템(400)과 통신하도록 구성될 수 있다. 도시되지는 않았지만, AE 서브시스템(400)은 또한 디바이스(100)의 컴포넌트들과 동일하거나 유사할 수 있는 프로세서 컴포넌트, 통신 컴포넌트, I/O 인터페이스, 버스, 메모리 컴포넌트, 및/또는 전력 공급 컴포넌트를 포함하거나 그에 대한 액세스를 가질 수 있고, 그 중 하나, 일부 또는 전부는 AE 서브시스템(400)의 디바이스 보호 서브시스템(471) 및 크리덴셜 보호 서브시스템(491) 중 하나, 일부 또는 각각에 의해 적어도 부분적으로 제공될 수 있다.
적어도 하나의 거래 크리덴셜이 호스트 디바이스(100) 상에 프로비저닝되는 것에 추가하여(예컨대, 크리덴셜 키(155a') 및 크리덴셜 정보(161a)를 갖는 제1 크리덴셜 SSD(154a)의 일부분으로서의 제1 사용자 크리덴셜 및/또는 크리덴셜 키(155b') 및 크리덴셜 정보(161b)를 갖는 제2 크리덴셜 SSD(154b)의 일부분으로서의 제2 사용자 크리덴셜), 디바이스(100)가 SP 서브시스템(200)과 금융 또는 다른 보안 거래를 더 안전하게 이행할 수 있게 하기 위하여, 액세스 키(155c)를 갖는 적어도 하나의 액세스 SSD(154c)가 또한 디바이스(100) 상에 프로비저닝될 수 있다. 예를 들어, 액세스 데이터는 AE 서브시스템(400)으로부터 직접 액세스 SSD(154c)의 적어도 일부분으로서 디바이스(100) 상에 프로비저닝될 수 있고, 액세스 키(155c)를 갖는 액세스 애플릿(153c)을 포함할 수 있다. AE 서브시스템(400)(예컨대, 크리덴셜 보호 서브시스템(491))은 또한 액세스 키(155c)에 대한 액세스를 가질 수 있다(예컨대, 디바이스(100)에 의해 암호화된 데이터를 액세스 키(155c)를 이용하여 복호화하기 위함). AE 서브시스템(400)은 액세스 키(155c)의 관리를 책임질 수 있는데, 이는 이러한 키의 생성, 교환, 저장, 사용, 및 교체를 포함할 수 있다. AE 서브시스템(400)은 자신의 버전의 액세스 키(155c)를 AE 서브시스템(400)의 보안 요소 내에 저장할 수 있다. 액세스 키(155c)를 구비한 액세스 SSD(154c)는 (예컨대, 생체 측정 입력 컴포넌트와 같은 디바이스(100)의 하나 이상의 입력 컴포넌트들(110)을 통해) 디바이스(100)의 사용자의 의도 및 로컬 인증을 결정하도록 구성될 수 있고, 이러한 결정에 응답하여, (예컨대, 크리덴셜 SSD(154a) 또는 SSD(154b)의 사용자 크리덴셜을 이용하여) 결제 거래를 수행하기 위하여 다른 특정 SSD를 인에이블하도록 구성될 수 있다. 이러한 액세스 SSD를 디바이스(100)의 보안 요소(145) 내에 저장함으로써, 보안 데이터 거래에 대한 사용자 의도 및 그것의 인증을 신뢰성있게 결정하는 그것의 능력은 증가될 수 있다. 또한, 액세스 키(155c)는 디바이스(100)의 보안 요소의 외부에서 교환될 수 있는 임의의 거래 크리덴셜 데이터에 증가된 암호화를 제공하는 데 사용될 수 있다. 액세스 데이터는 보안 요소(145)의 ISD(152)에 대한 발행자 보안 도메인("ISD") 키(156k)를 포함할 수 있고, 이는 또한 AE 서브시스템(400)에 의해 유지될 수 있고, 액세스 키(155c)(또는 액세스 키들(155a, 155b, 151k, 158k) 중 하나 이상의 다른 액세스 키들)에 더하여 또는 대안으로서 사용될 수 있다.
도 4의 설명
도 4는 시스템(1)의 AE 서브시스템(400)의 다양한 실시예들에 대하여 더 상세하게 도시한다. 도 4에 도시된 바와 같이, AE 서브시스템(400)은 보안 플랫폼 시스템일 수 있고, 서버(410), 온라인 스토어(420), 보안 모바일 플랫폼("SMP") 브로커 컴포넌트(440), SMP 신뢰 서비스 관리자("TSM") 컴포넌트(450), SMP 암호 서비스 컴포넌트(460), 신분 관리 시스템("IDMS") 컴포넌트(470), 사기 시스템 컴포넌트(480), 및/또는 하드웨어 보안 모듈("HSM") 컴포넌트(490)를 포함할 수 있다. 일부 실시예들에서, AE 서브시스템(400)의 하나 이상의 컴포넌트들은 조합되거나 생략될 수 있다. 게다가, AE 서브시스템(400)은 도 4에서 조합되거나 포함되지 않은 다른 컴포넌트들을 포함할 수 있다. 예를 들어, AE 서브시스템(400)은 임의의 다른 적합한 컴포넌트들 또는 도 4에 도시된 컴포넌트들의 여러 인스턴스들을 포함할 수 있다. 단순화하기 위하여, 컴포넌트들 각각 중 단지 하나만이 도 4에 도시된다. AE 서브시스템(400)의 하나의, 일부의, 또는 모든 컴포넌트는, 디바이스(100)의 프로세서 컴포넌트(102)와 동일하거나 유사할 수 있는 하나 이상의 프로세서 컴포넌트들, 디바이스(100)의 메모리 컴포넌트(104)와 동일하거나 유사할 수 있는 하나 이상의 메모리 컴포넌트들, 및/또는 디바이스(100)의 통신 컴포넌트(106)와 동일하거나 유사할 수 있는 하나 이상의 통신 컴포넌트들을 사용하여 구현될 수 있다. AE 서브시스템(400)의 하나의, 일부의, 또는 모든 컴포넌트는, 발행자 서브시스템(300)과 별개이고 그에 독립적일 수 있는 단일 관리 또는 상업적 개체(예컨대, 애플 인크.)에 의해 관리되고, 소유되고, 적어도 부분적으로 제어되고 그리고/또는 달리 제공될 수 있다. 새로운 보안 계층을 제공하고/하거나 더 매끄러운 사용자 경험을 제공하기 위하여, AE 서브시스템(400)의 컴포넌트들은 서로 그리고 발행자 서브시스템(300) 및/또는 호스트 전자 디바이스(100) 및/또는 SP 서브시스템(200)과 집합적으로 상호작용할 수 있다. 일부 실시예들에서, 디바이스 보호 서브시스템(471) 및 크리덴셜 보호 서브시스템(491)은 각각 자신의 처리 컴포넌트, 메모리 컴포넌트, 통신 컴포넌트, 스토어(420), SMP 브로커 컴포넌트(440), SMP TSM 컴포넌트(450), SMP 암호 서비스 컴포넌트(460), IDMS 컴포넌트(470), 사기 시스템 컴포넌트(480), 및/또는 HSM 컴포넌트(490)를 포함할 수 있다.
AE 서브시스템(400)의 SMP 브로커 컴포넌트(440)는 관리 또는 상업적 개체 사용자 계정으로 사용자 인증을 관리하도록 구성될 수 있다. SMP 브로커 컴포넌트(440)는 또한 디바이스(100) 상의 크리덴셜들의 수명 주기 및 프로비저닝을 관리하도록 구성될 수 있다. SMP 브로커 컴포넌트(440)는 디바이스(100) 상의 사용자 인터페이스 요소들(예컨대, GUI(180)의 요소들)을 제어할 수 있는 1차 종점(primary end point)일 수 있다. 최종 사용자 디바이스의 운영 체제 또는 다른 애플리케이션(예컨대, 호스트 디바이스(100)의 애플리케이션(103), 애플리케이션(들)(113), 및/또는 애플리케이션(143))은 특정 애플리케이션 프로그래밍 인터페이스("API")를 호출하도록 구성될 수 있고, SMP 브로커(440)는 이러한 API들의 요청을 처리하고 디바이스(100)의 사용자 인터페이스를 유도할 수 있는 데이터로 응답하고/하거나 디바이스(100)의 보안 요소(145)와 교환할 수 있는 애플리케이션 프로토콜 데이터 유닛("APDU")으로 응답하도록 구성될 수 있다. 그러한 APDU들은 시스템(1)의 TSM(예컨대, AE 서브시스템(400)과 발행자 서브시스템(300) 간의 통신 경로의 TSM)을 통해 발행자 서브시스템(300)으로부터 AE 서브시스템(400)에 의해 수신될 수 있다. AE 서브시스템(400)의 SMP TSM 컴포넌트(450)는 발행자 서브시스템(300)으로부터 디바이스(100) 상의 크리덴셜 프로비저닝 동작들을 이행하는 데 사용될 수 있는 글로벌플랫폼 기반 서비스 또는 임의의 다른 적합한 서비스들을 제공하도록 구성될 수 있다. 글로벌플랫폼, 또는 임의의 다른 적합한 보안 채널 프로토콜은, AE 서브시스템(400)과 발행자 서브시스템(300) 간의 보안 데이터 통신을 위하여 디바이스(100)의 보안 요소(145)와 TSM 사이에서 민감한 계정 데이터를 적절하게 통신하고/하거나 프로비저닝하도록 SMP TSM 컴포넌트(450)를 인에이블할 수 있다.
SMP TSM 컴포넌트(450)는 HSM 컴포넌트(490)를 이용하여 그것의 키들을 보호하고 새로운 키들을 생성하도록 구성될 수 있다. AE 서브시스템(400)의 SMP 암호 서비스 컴포넌트(460)는, 사용자 인증 및/또는 시스템(1)의 다양한 컴포넌트들 사이의 기밀 데이터 전송에 제공될 수 있는 키 관리 및 암호화 동작들을 제공하도록 구성될 수 있다. SMP 암호 서비스 컴포넌트(460)는 안전한 키 저장 및/또는 불분명한(opaque) 암호화 동작들을 위해 HSM 컴포넌트(490)를 이용할 수 있다. SMP 암호 서비스 컴포넌트(460)의 결제 암호 서비스는 IDMS 컴포넌트(470)와 상호작용하여, 파일 상(on-file) 신용 카드와 연관된 정보 또는 관리 개체의 사용자 계정들과 연관된 다른 유형들의 상거래 크리덴셜들을 검색하도록 구성될 수 있다. IDMS 컴포넌트(470)는 호스트 디바이스(100)와 하나 이상의 다른 디바이스들 간의 임의의 적합한 통신, 예컨대 신분 서비스("IDS") 수송을 인에이블하고/하거나 관리하도록 구성될 수 있다(예컨대, 관리-개체 특정(또는 다른 개체 특정) 서비스(예컨대, 애플 인크.의 아이메시지(iMessage)™를 이용함). 예를 들어, 소정 디바이스들은 자동으로 또는 수동으로 이러한 서비스에 등록될 수 있다(예컨대, AE 서브시스템(400)의 에코-시스템 내의 모든 디바이스들이 자동으로 서비스에 등록될 수 있음). 이러한 서비스는 메시지들이 서비스를 이용하여 송신될 수 있기 전에 활성 등록을 요구할 수 있는 엔드-투-엔드 암호화 메커니즘을 제공할 수 있다. IDMS 컴포넌트(470) 및/또는 AE 서브시스템(400)의 임의의 다른 적합한 서버 또는 부분은 주어진 사용자 계정 또는 다른 것과 연관된 임의의 전자 디바이스들 상에 프로비저닝된 임의의 크리덴셜들의 상태를 식별하거나 다른 방식으로 룩업하도록 동작할 수 있어서, AE 서브시스템(400)은 특정 사용자 계정과 연관된 특정 디바이스(예컨대, AE 서브시스템(400)과 패밀리 계정의 다수의 호스트 디바이스들)에 이용가능할 수 있는 하나 이상의 결제 크리덴셜들을 효율적으로 그리고 효과적으로 식별하도록 동작할 수 있다. AE 서브시스템(400)의 사기 시스템 컴포넌트(480)는, 거래 크리덴셜 및/또는 사용자에 관하여 관리 개체에 알려진 데이터에 기초하여(예를 들어, 관리 개체와의 사용자 계정과 연관된 데이터(예컨대, 거래 크리덴셜 정보) 및/또는 관리 개체의 제어 하에 있을 수 있는 임의의 다른 적합한 데이터 및/또는 발행자 서브시스템(300)의 제어 하에 있지 않을 수 있는 임의의 다른 적합한 데이터에 기초하여), 거래 크리덴셜에 대해 관리 개체 사기 체크를 실행하도록 구성될 수 있다. 사기 시스템 컴포넌트(480)는 다양한 인자 또는 임계치에 기초하여 크리덴셜에 대한 관리 개체 사기 점수를 결정하도록 구성될 수 있다. AE 서브시스템(400)은 디바이스(100)의 사용자들에게 다양한 서비스들의 제공자일 수 있는 스토어(420)(예컨대, 디바이스(100)에 의해 재생될 미디어를 판매/대여하기 위한 아이튠즈™ 스토어, 디바이스(100) 상에서 사용하기 위한 애플리케이션들을 판매/대여하기 위한 애플 앱 스토어™ 등)를 포함할 수 있다. 단지 하나의 예로서, 스토어(420)는 애플리케이션(113)을 관리하고 디바이스(100)에 제공하도록 구성될 수 있는데, 여기서 애플리케이션(113)은 임의의 적합한 애플리케이션, 예컨대, 뱅킹 애플리케이션, SP 애플리케이션, 이메일 애플리케이션, 텍스트 메시징 애플리케이션, 인터넷 애플리케이션, 카드 관리 애플리케이션, 디바이스 보호 애플리케이션, 또는 임의의 다른 적합한 통신 애플리케이션일 수 있다. 서버(410)는 임의의 적합한 데이터를 저장 및/또는 처리하는 데 사용될 수 있다. 예를 들어, 디바이스 보호 서브시스템(471)의 서버는 표 또는 데이터 구조(473)의 임의의 적합한 데이터에 액세스하고 이를 처리할 수 있는 한편, 크리덴셜 보호 서브시스템(491)의 서버는 표 또는 데이터 구조(493)의 임의의 적합한 데이터에 액세스하고 처리할 수 있다. 임의의 적합한 통신 프로토콜 또는 통신 프로토콜들의 조합이 AE 서브시스템(400)의 다양한 컴포넌트들 사이에서 데이터를 교환하고/하거나 AE 서브시스템(400)과 시스템(1)의 다른 컴포넌트들(예컨대, 발행자 서브시스템(300) 및/또는 호스트 디바이스(100) 및/또는 SP 서브시스템(200)(예컨대, 통신 셋업(9)을 통해)) 사이에서 데이터를 교환하기 위해 AE 서브시스템(400)의 통신 셋업(495)에 의해 사용될 수 있다.
도 5의 설명
도 5는 디바이스 보호 서버 및 크리덴셜 보호 서버를 포함하는 관리 개체 서브시스템을 사용하여 전자 디바이스 상에서 복수의 크리덴셜들을 관리하기 위한 예시적인 프로세스(500)의 흐름도이며, 여기서 전자 디바이스는 디바이스 식별자와 연관되고, (예컨대, 디바이스 보호 서브시스템(471) 및 크리덴셜 보호 서브시스템(491)을 포함하는 AE 서브시스템(400)을 사용하여) 제1 사용자 식별자와 연관된 제1 사용자에 의해 그리고 제2 사용자 식별자와 연관된 제2 사용자에 의해 사용된다. 동작(502)에서, 제1 사용자가 전자 디바이스 상의 복수의 크리덴셜들 중 제1 크리덴셜의 프로비저닝을 인증할 때, 크리덴셜 보호 서버는, 크리덴셜 보호 서버에서, 디바이스 식별자에 대해 그리고 제1 사용자 식별자에 대해 그리고 제1 크리덴셜의 제1 크리덴셜 식별자에 대해 제1 보류 토큰을 저장하기 위해, 그리고 전자 디바이스 상에 제1 크리덴셜 및 제1 보류 토큰을 프로비저닝하기 위해 사용될 수 있다(예를 들어, 도 6에 관하여 기술된 바와 같이, 크리덴셜 보호 서브시스템(491)은 디바이스 식별자(ED-ID)에 대해 그리고 제1 사용자 식별자(U1-ID)에 대해 그리고 제1 크리덴셜 식별자(C1-ID)에 대해 제1 보류 토큰(ST-1)을 저장할 수 있고, 디바이스(100) 상에 제1 보류 토큰(ST-1)을 포함하는 제1 사용자 크리덴셜 데이터(658)를 프로비저닝할 수 있다). 동작(504)에서, 제2 사용자가 전자 디바이스 상의 복수의 크리덴셜들 중 제2 크리덴셜의 프로비저닝을 인증할 때, 크리덴셜 보호 서버는, 크리덴셜 보호 서버에서, 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 그리고 제2 크리덴셜의 제2 크리덴셜 식별자에 대해 제2 보류 토큰을 저장하기 위해, 그리고 전자 디바이스 상에 제2 크리덴셜 및 제2 보류 토큰을 프로비저닝하기 위해 사용될 수 있다(예를 들어, 도 6에 관하여 기술된 바와 같이, 크리덴셜 보호 서브시스템(491)은 디바이스 식별자(ED-ID)에 대해 그리고 제2 사용자 식별자(U2-ID)에 대해 그리고 제2 크리덴셜 식별자(C2-ID)에 대해 제2 보류 토큰(ST-2)을 저장할 수 있고, 디바이스(100) 상에 제2 보류 토큰(ST-2)을 포함하는 제2 사용자 크리덴셜 데이터(664)를 프로비저닝할 수 있다). 동작(506)에서, 제2 사용자가 전자 디바이스 상에서 전자 디바이스의 보호 서비스를 인에이블할 때, 디바이스 보호 서버는, 디바이스 보호 서버에서, 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 제1 보류 토큰 및 제2 보류 토큰을 저장하는 데 사용될 수 있다(예컨대, 도 6에 관하여 기술된 바와 같이, 디바이스 보호 서브시스템(471)은 디바이스 식별자(ED-ID)에 대해 그리고 제2 사용자 식별자(U2-ID)에 대해 제1 보류 토큰(ST-1) 및 제2 보류 토큰(ST-2)을 저장할 수 있다). 동작(508)에서, 제2 사용자에 의해 인에이블된 전자 디바이스의 보호 서비스를 위해 보호 모드가 활성화될 때, 디바이스 보호 서버는, 제2 사용자 식별자를 이용하여 제2 사용자를 인증하기 위해, 그리고 제1 보류 토큰 및 제2 보류 토큰 각각을 전자 디바이스의 디바이스 식별자에 대해 그리고 제2 사용자 식별자에 대해 디바이스 보호 서버에서 저장된 것으로서 식별하기 위해, 그리고 식별된 제1 보류 토큰 및 식별된 제2 보류 토큰 각각을 크리덴셜 보호 서버와 공유하기 위해 사용될 수 있다(예를 들어, 도 6에 관하여 기술된 바와 같이, 디바이스 보호 서브시스템(471)은 제2 사용자 식별자(U2-ID)를 사용하여 제2 사용자(U2)를 인증하고, ST-1 및 ST-2를 ED-ID 및 U2-ID에 대해 저장된 것으로서 식별하고, ST-1 및 ST-2를 크리덴셜 보호 서버(491)와 공유할 수 있다). 동작(510)에서, 식별된 제1 보류 토큰 및 식별된 제2 보류 토큰 각각이 디바이스 보호 서버에 의해 크리덴셜 보호 서버와 공유될 때, 크리덴셜 보호 서버는, 식별된 제1 보류 토큰에 대해 크리덴셜 보호 서버에서 저장되는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류하고, 식별된 제2 보류 토큰에 대해 크리덴셜 보호 서버에서 저장되는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류하는 데 사용될 수 있다(예를 들어, 도 6에 관하여 기술된 바와 같이, 크리덴셜 보호 서브시스템(491)은 ST-1에 대해 저장된 각각의 크리덴셜을 보류하고 ST-2에 대해 저장된 각각의 크리덴셜을 보류할 수 있다). 동작(512)에서, 제2 크리덴셜이 보류되는 동안 제2 사용자가 제2 사용자 식별자를 사용하여 전자 디바이스 상에서 제2 사용자를 인증할 때, 크리덴셜 보호 서버는, 전자 디바이스로부터 제2 사용자 식별자를 사용하여 제2 사용자를 인증하고, 제2 사용자 식별자에 대해 크리덴셜 보호 서버에서 저장된 크리덴셜 식별자를 갖는 복수의 크리덴셜들 중 각각의 크리덴셜을 보류해제하는 데 사용될 수 있다(예컨대, 도 6에 관하여 기술된 바와 같이, 크리덴셜 보호 서브시스템(491)은 제2 사용자 식별자(U2-ID)를 사용하여 제2 사용자(U2)를 인증하고, U2-ID에 대해 저장된 크리덴셜 식별자를 갖는 각각의 크리덴셜을 보류해제할 수 있다).
도 5의 프로세스(500)에 나타난 동작들은 단지 예시적인 것이고, 기존의 동작들은 수정되거나 또는 생략될 수 있고, 추가적인 동작들이 추가될 수 있으며, 소정 동작들의 순서가 변경될 수 있다는 것이 이해된다. 또한, 일부 구현예들에서, 2개 이상의 동작들이, 기술된 것과 병렬로 또는 상이한 순서로 발생할 수 있다.
도 6의 설명
도 6은 전자 디바이스 상의 다수의 사용자들의 크리덴셜들을 관리하기 위한 예시적인 프로세스(600)의 흐름도이다. 프로세스(600)는 호스트 디바이스(100) 및 AE 서브시스템(400)에 의해 구현되는 것으로 도시된다. 그러나, 프로세스(600)는 임의의 다른 적합한 컴포넌트들 또는 서브시스템들을 이용하여 구현될 수 있다는 것이 이해되어야 한다. 프로세스(600)는 AE 서브시스템(400)의 디바이스 보호 서브시스템(471) 및 크리덴셜 보호 서브시스템(491)을 사용하여 전자 디바이스(100) 상의 다수의 사용자들의 크리덴셜들을 안전하고 효율적으로 관리하기 위한 매끄러운 사용자 경험을 제공하면서, 디바이스 보호 서브시스템(471)이 둘 이상의 특정 사용자들을 디바이스(100)에 특정하게 링크시킬 수 있는 정보를 디바이스 보호 서브시스템(471)에서 저장하는 것을 방지함으로써 프라이버시 및/또는 보안 침해에 대한 가능성을 제한할 수 있다. 도 6의 프로세스(600)에 따라 전자 디바이스 상의 다수의 사용자들의 크리덴셜들을 관리하기 위한 시스템(1)의 동작에 관한 하기의 논의를 용이하게 하기 위해, 도 1 내지 도 4의 개략도들의 시스템(1)의 다양한 컴포넌트들 및 도 4a 및 도 4b의 데이터 구조들(473, 493)의 콘텐츠가 참조된다.
동작(602)에서, 디바이스(100)(예컨대, U1C 애플리케이션(113d))는, 하나 이상의 제1 사용자 거래 크리덴셜들이 제1 사용자(U1)를 위해 디바이스(100) 상에 프로비저닝될 것을 요청하도록 동작할 수 있는 제1 사용자 크리덴셜 요청 데이터(652)를 크리덴셜 보호 서브시스템(491)으로 송신할 수 있다. 예를 들어, 동작(602)은 디바이스(100)의 제1 사용자(U1)가 (예컨대, 임의의 적합한 방식으로 디바이스(100)와 상호작용함으로써) 디바이스(100) 상에 프로비저닝될 크리덴셜 발행자 서브시스템(300)의(예컨대, 제1 발행 서브시스템(391)의) 특정 제1 사용자 거래 크리덴셜을 선택할 때 적어도 부분적으로 수행될 수 있다. 제1 사용자 크리덴셜 요청 데이터(652)는 프로비저닝될 제1 사용자 거래 크리덴셜의 임의의 적합한 식별(예컨대, 기본 계좌 번호("PAN"), PAN 만료일, CVV 등의 적어도 일부분), 제1 사용자(U1)를 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 임의의 적합한 데이터일 수 있는 제1 사용자 식별자(U1-ID) 및/또는 그와 연관된 임의의 적합한 제1 사용자 패스워드 데이터(U1-PW)(예컨대, 관리 개체에 관한 사용자-특정 계정에 대한 사용자-특정 로그인 정보(예컨대, 사용자-특정 식별 및 패스워드 조합들을 통함)), 전자 디바이스(100)를 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 임의의 적합한 데이터일 수 있는 전자 디바이스 식별자(ED-ID)(예컨대, 디바이스 ID(119) 등) 등을 포함할 수 있다.
동작(604)에서, 크리덴셜 보호 서브시스템(491)은, 예를 들어, 크리덴셜 발행자 서브시스템(300)과 연계하여, 제1 사용자 크리덴셜 요청 데이터(652)를 처리하고, 제1 사용자 크리덴셜 요청 데이터(652)에 기초하여(예컨대, 제1 사용자 거래 크리덴셜의 식별에 기초하여) 제1 사용자(U1)를 위해 디바이스(100) 상에 프로비저닝될 크리덴셜 정보를 크리덴셜 발행자 서브시스템(300)으로부터 획득하고, 제1 사용자 거래 크리덴셜을 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 제1 사용자 거래 크리덴셜 식별자(C1-ID)를 결정(예컨대, 생성 및/또는 획득)하고, AE 서브시스템(400)에 고유한 제1 보류 토큰(ST-1)에 액세스(예컨대, 생성 및/또는 획득)하고, 이어서 크리덴셜 보호 서브시스템(491)의 임의의 적합한 메모리 컴포넌트 내에, 예컨대 도 1 및 도 4b의 표(493)의 제1 링크된 데이터 엔트리(493a) 내에, (예컨대, 그러한 데이터를 임의의 적합한 데이터 링크(들)와 링크시킴으로써) 제1 사용자 거래 크리덴셜 식별자(C1-ID) 및/또는 전자 디바이스 식별자(ED-ID) 및/또는 제1 사용자 식별자(U1-ID) 및/또는 제1 사용자 패스워드 데이터(U1-PW)에 대해 제1 보류 토큰(ST-1)을 저장하도록 동작할 수 있다. 그러한 고유한 제1 보류 토큰(ST-1)은 임의의 적합한 크기의 임의의 적합한 데이터 요소일 수 있는데, 예컨대 AE 서브시스템(400)에 의해 랜덤하게 또는 고유하게 생성될 수 있는 8- 또는 9-문자 영숫자 스트링이거나, 또는 그렇지 않으면 제1 사용자(U1) 및/또는 디바이스(100)의 각각의 제1 사용자 거래 크리덴셜을 나타내는 임의의 적합한 데이터와 연관될 수 있지만, 제1 보류 토큰(ST-1)은 디바이스(100)의 다른 사용자와(예컨대, 제2 사용자(U2)와) 연관되지 않을 수 있도록 한다.
동작(606)에서, 제1 보류 토큰(ST-1)이, 제1 사용자 크리덴셜 데이터(656)로서 디바이스(100) 상에 프로비저닝하기 위한 크리덴셜 발행자 서브시스템(300)으로부터의 크리덴셜 정보와 함께 디바이스(100)로(예컨대, U1C 애플리케이션(113d)으로) 전달될 수 있다. 예를 들어, 적어도 그러한 제1 사용자 크리덴셜 데이터(656)의 크리덴셜 정보는 적어도 부분적으로, 제1 보류 토큰(ST-1)과 함께 크리덴셜 발행자 서브시스템(300)(도 6에 도시되지 않음)으로부터 직접 또는 크리덴셜 보호 서브시스템(491)을 통해 디바이스(100)의 보안 요소(145) 상에 프로비저닝될 수 있다. 언급된 바와 같이, 제1 사용자 크리덴셜 데이터(656)의 그러한 제1 사용자 거래 크리덴셜 정보는 제1 크리덴셜 SSD(154a)의 적어도 일부분 또는 전부로서 디바이스(100)의 보안 요소(145) 상에 프로비저닝될 수 있고, 크리덴셜 정보(161a) 및/또는 크리덴셜 키(155a') 및/또는 키(155ak)를 갖는 크리덴셜 애플릿(153a)을 포함할 수 있다. 제1 사용자 크리덴셜 데이터(656)는 또한 액세스 키(155a)를 포함할 수 있는데, 이는 초기에 AE 서브시스템(400)으로부터 발행자 서브시스템(300)에 제공될 수 있고/있거나 AE 서브시스템(400)에 의해 추가될 수 있다. 일부 실시예들에서, 제1 사용자 크리덴셜 데이터(656)의 이러한 제1 사용자 거래 크리덴셜 정보는 프로비저닝되고 있는 결제 크리덴셜의 크리덴셜 정보(예컨대, 애플릿(153a)의 크리덴셜 정보(161a))의 적어도 일부분으로서의 기본 계좌 번호, AID(예컨대, SSD(154a)에서 프로비저닝되고 있는 결제 크리덴셜의 데이터의 애플릿(153a)에 대한 AID(155aa)), SSD 식별자, 및/또는 SSD 카운터를 포함할 수 있다. 동작(608)에서, 제1 보류 토큰(ST-1)을 갖는 제1 사용자 크리덴셜 데이터(656)를 수신하는 것에 응답하여, 디바이스(100)(예컨대, U1C 애플리케이션(113d))는 제1 보류 토큰(ST-1)을 제1 보류 토큰 데이터(658)의 적어도 일부분으로서 DP 애플리케이션(113c)에 등록할 수 있다. 제1 보류 토큰 데이터(658)의 제1 보류 토큰(ST-1)은 DP 애플리케이션(113c)에 이용가능한 임의의 적합한 레지스터 또는 데이터 구조 내에(예를 들어, 디바이스(100)의 메모리(104)의 임의의 적합한 부분 내에(예컨대, 애플 인크.의 키체인(Keychain)을 사용하여)) 저장될 수 있다.
나중에, 디바이스(100) 상에 적어도 하나의 제1 사용자 거래 크리덴셜을 프로비저닝하기 위해 제1 사용자(U1)가 디바이스(100)와 상호작용한 후(예컨대, 동작(602)에서), 제2 사용자(U2)가 활성 사용자로서 디바이스(100)에 로그인할 수 있다. 이어서, 동작(610)에서, 디바이스(100)(예컨대, U2C 애플리케이션(113e))는, 하나 이상의 제2 사용자 거래 크리덴셜들이 제2 사용자(U2)를 위해 디바이스(100) 상에 프로비저닝될 것을 요청하도록 동작할 수 있는 제2 사용자 크리덴셜 요청 데이터(660)를 크리덴셜 보호 서브시스템(491)으로 송신할 수 있다. 예를 들어, 동작(610)은 디바이스(100)의 제2 사용자(U2)가 (예컨대, 임의의 적합한 방식으로 디바이스(100)와 상호작용함으로써) 디바이스(100) 상에 프로비저닝될 크리덴셜 발행자 서브시스템(300)의(예컨대, 제1 발행 서브시스템(391)의 또는 제2 발행 서브시스템(392)의) 특정 제2 사용자 거래 크리덴셜을 선택할 때 적어도 부분적으로 수행될 수 있다. 제2 사용자 크리덴셜 요청 데이터(660)는 프로비저닝될 제2 사용자 거래 크리덴셜의 임의의 적합한 식별(예컨대, 기본 계좌 번호("PAN"), PAN 만료일, CVV 등의 적어도 일부분), 제2 사용자(U2)를 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 임의의 적합한 데이터일 수 있는 제2 사용자 식별자(U2-ID) 및/또는 그와 연관된 임의의 적합한 제2 사용자 패스워드 데이터(U2-PW)(예컨대, 관리 개체에 관한 사용자-특정 계정에 대한 사용자-특정 로그인 정보(예컨대, 사용자-특정 식별 및 패스워드 조합들을 통함)), 전자 디바이스(100)를 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 임의의 적합한 데이터일 수 있는 전자 디바이스 식별자(ED-ID)(예컨대, 디바이스 ID(119) 등) 등을 포함할 수 있다.
동작(612)에서, 크리덴셜 보호 서브시스템(491)은, 예를 들어, 크리덴셜 발행자 서브시스템(300)과 연계하여, 제2 사용자 크리덴셜 요청 데이터(660)를 처리하고, 제2 사용자 크리덴셜 요청 데이터(660)에 기초하여(예컨대, 제2 사용자 거래 크리덴셜의 식별에 기초하여) 제2 사용자(U2)를 위해 디바이스(100) 상에 프로비저닝될 크리덴셜 정보를 크리덴셜 발행자 서브시스템(300)으로부터 획득하고, 제2 사용자 거래 크리덴셜을 AE 서브시스템(400)에 고유하게 식별시킬 수 있는 제2 사용자 거래 크리덴셜 식별자(C2-ID)를 결정(예컨대, 생성 및/또는 획득)하고, AE 서브시스템(400)에 고유한 제2 보류 토큰(ST-2)에 액세스(예컨대, 생성 및/또는 획득)하고, 이어서 크리덴셜 보호 서브시스템(491)의 임의의 적합한 메모리 컴포넌트 내에, 예컨대 도 1 및 도 4b의 표(493)의 제2 링크된 데이터 엔트리(493b) 내에, (예컨대, 그러한 데이터를 임의의 적합한 데이터 링크(들)와 링크시킴으로써) 제2 사용자 거래 크리덴셜 식별자(C2-ID) 및/또는 전자 디바이스 식별자(ED-ID) 및/또는 제2 사용자 식별자(U2-ID) 및/또는 제2 사용자 패스워드 데이터(U2-PW)에 대해 제2 보류 토큰(ST-2)을 저장하도록 동작할 수 있다. 그러한 고유한 제2 보류 토큰(ST-2)은 임의의 적합한 크기의 임의의 적합한 데이터 요소일 수 있는데, 예컨대 AE 서브시스템(400)에 의해 랜덤하게 또는 고유하게 생성될 수 있는 8- 또는 9-문자 영숫자 스트링이거나, 또는 그렇지 않으면 제2 사용자(U2) 및/또는 디바이스(100)의 각각의 제2 사용자 거래 크리덴셜을 나타내는 임의의 적합한 데이터와 연관될 수 있지만, 제2 보류 토큰(ST-2)은 디바이스(100)의 다른 사용자와(예컨대, 제1 사용자(U1)와) 연관되지 않을 수 있도록 한다.
동작(614)에서, 제2 보류 토큰(ST-2)이, 제2 사용자 크리덴셜 데이터(664)로서 디바이스(100) 상에 프로비저닝하기 위한 크리덴셜 발행자 서브시스템(300)으로부터의 크리덴셜 정보와 함께 디바이스(100)로(예컨대, U2C 애플리케이션(113e)으로) 전달될 수 있다. 예를 들어, 적어도 그러한 제2 사용자 크리덴셜 데이터(664)의 크리덴셜 정보는 적어도 부분적으로, 제2 보류 토큰(ST-2)과 함께 크리덴셜 발행자 서브시스템(300)(도 6에 도시되지 않음)으로부터 직접 또는 크리덴셜 보호 서브시스템(491)을 통해 디바이스(100)의 보안 요소(145) 상에 프로비저닝될 수 있다. 언급된 바와 같이, 제2 사용자 크리덴셜 데이터(664)의 그러한 제2 사용자 거래 크리덴셜 정보는 제2 크리덴셜 SSD(154b)의 적어도 일부분 또는 전부로서 디바이스(100)의 보안 요소(145) 상에 프로비저닝될 수 있고, 크리덴셜 정보(161b) 및/또는 크리덴셜 키(155b') 및/또는 키(155bk)를 갖는 크리덴셜 애플릿(153b)을 포함할 수 있다. 제2 사용자 크리덴셜 데이터(664)는 또한 액세스 키(155b)를 포함할 수 있는데, 이는 초기에 AE 서브시스템(400)으로부터 발행자 서브시스템(300)에 제공될 수 있고/있거나 AE 서브시스템(400)에 의해 추가될 수 있다. 일부 실시예들에서, 제2 사용자 크리덴셜 데이터(664)의 이러한 제2 사용자 거래 크리덴셜 정보는 프로비저닝되고 있는 결제 크리덴셜의 크리덴셜 정보(예컨대, 애플릿(153b)의 크리덴셜 정보(161b))의 적어도 일부분으로서 기본 계좌 번호, AID(예컨대, SSD(154b)에서 프로비저닝되고 있는 결제 크리덴셜의 데이터의 애플릿(153b)에 대한 AID(155ba)), SSD 식별자, 및/또는 SSD 카운터를 포함할 수 있다. 동작(616)에서, 제2 보류 토큰(ST-2)을 갖는 제2 사용자 크리덴셜 데이터(664)를 수신하는 것에 응답하여, 디바이스(100)(예컨대, U2C 애플리케이션(113e))는 제2 보류 토큰(ST-2)을 제2 보류 토큰 데이터(666)의 적어도 일부분으로서 DP 애플리케이션(113c)에 등록할 수 있다. 제2 보류 토큰 데이터(66)의 제2 보류 토큰(ST-2)은 DP 애플리케이션(113c)에 이용가능한 임의의 적합한 레지스터 또는 데이터 구조 내에(예를 들어, 디바이스(100)의 메모리(104)의 임의의 적합한 부분 내에(예컨대, 애플 인크.의 키체인을 사용하여)) 저장될 수 있다.
디바이스(100)의 사용자가 디바이스 보호 서브시스템(471)에서 디바이스(100)에 대한 하나 이상의 디바이스 보호 서비스들을 활성화시킬 수 있는 동작(626) 이전의 프로세스(600) 중 임의의 적합한 시간에, 디바이스(100)의 임의의 적합한 사용자는 디바이스(100) 상의 DP 애플리케이션(113c)을 사용하여 디바이스(100)에 대한 하나 이상의 디바이스 보호 서비스들을 인에이블할 수 있다. 예를 들어, 도 6에 도시된 바와 같이, 제2 사용자(U2)는, 디바이스(100)에 로그인하는 동안, 동작(618)에서 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블하기 위한 임의의 적합한 방식으로 디바이스(100)와 상호작용하도록 동작할 수 있다. 예를 들어, 동작(618)에서, 제2 사용자(U2)는 DP 애플리케이션(113c)과 상호작용하여, DP 애플리케이션(113c)에 의해 용이하게 되는 "내 기기 찾기" 옵션을 인에이블할 수 있고, 이는 이어서, 디바이스 보호 서브시스템(471)이 디바이스(100) 상의 하나 이상의 디바이스 보호 서비스들을 활성화시키도록 DP 애플리케이션(113c)에 원격 지시하도록, DP 애플리케이션(113c)을 구성할 수 있고, 예컨대 알람을 켜고/켜거나 소정 디바이스 콘텐츠의 유용성을 소거하거나 보류하거나 달리 종료한다(예를 들어, 동작들(634, 636)에 관하여 기술된 바와 같음). 특정 사용자가 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블하기 위해 디바이스(100)와 상호작용했을 때(예컨대, 동작(618)에서), DP 애플리케이션(113c)은 디바이스 애플리케이션(113c)에 의해 디바이스(100) 상에 등록된 임의의 보류 토큰들을 나타내는 디바이스 보류 데이터(670)를 동작(620)에서 디바이스 보호 서브시스템(471)과 공유하도록 동작할 수 있다. 예를 들어, 일부 실시예들에서, 디바이스 보류 데이터(670)는 제1 보류 토큰(ST-1), 제2 보류 토큰(ST-2), 전자 디바이스 식별자(ED-ID), 및 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블한 제2 사용자(U2)의 식별, 예컨대 제2 사용자 식별자(U2-ID) 및/또는 제2 사용자 패스워드 데이터(U2-PW)를 포함할 수 있다. 대안적으로, 제2 사용자(U2)가, 보류 토큰이 디바이스(100) 상에 프로비저닝되고 DP 애플리케이션(113c)에서 등록되기 전에, DP 애플리케이션(113c)의 디바이스 보호 서비스(들)를 인에이블하는 경우(예를 들어, 동작(618)이 동작들(602 내지 616) 이전에 발생하였다면), DP 애플리케이션(113c)은, 보류 토큰이 DP 애플리케이션(113c)에 등록될 때마다, 적절한 디바이스 보류 데이터를 디바이스 보호 서브시스템(471)에 전달하도록 구성될 수 있다(예를 들어, DP 애플리케이션(113c)에 등록된 각각의 보류 토큰을 포함할 수 있는 디바이스 보류 데이터, 디바이스 식별자(ED-ID), 및 디바이스 보호 서비스들을 인에이블한 사용자의 식별).
도 6의 예를 계속 참조하면, 제1 보류 토큰(ST-1), 제2 보류 토큰(ST-2), 전자 디바이스 식별자(ED-ID), 및 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블한 제2 사용자(U2)의 식별, 예컨대 제2 사용자 식별자(U2-ID) 및/또는 제2 사용자 패스워드 데이터(U2-PW)를 나타내는 데이터와 함께, 디바이스 보류 데이터(670)가 동작(620)에서 DP 애플리케이션(113c)에 의해 디바이스 보호 서브시스템(471)과 공유될 수 있을 때, 이어서 디바이스 보호 서브시스템(471)은 동작(622)에서 그러한 디바이스 보류 데이터(670)를 처리하고 그 디바이스 보류 데이터의 적어도 일부분을 디바이스 보호 서브시스템(471)에서 등록하도록 동작할 수 있다. 예를 들어, 동작(622)에서, 디바이스 보호 서브시스템(471)은, 예컨대 디바이스 보류 데이터(670)의 제2 사용자 식별자(U2-ID) 및 제2 사용자 패스워드 데이터(U2-PW)를 유효성 확인하거나 달리 인증함으로써 그러한 데이터를 AE 서브시스템(400)에 이미 이용가능한 사용자-특정 계정 정보와 비교함으로써, DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블한 사용자와 연관된 임의의 적합한 정보를 유효성 확인하도록 동작할 수 있고, 사용자(U2)가 인증될 수 있는 경우, 디바이스 보호 서브시스템(471)은 전자 디바이스 식별자(ED-ID) 및/또는 제2 사용자 식별자(U2-ID) 및/또는 제2 사용자 패스워드 데이터(U2-PW)에 대해 디바이스 보류 데이터(670)의 각각의 보류 토큰(예컨대, 제1 보류 토큰(ST-1) 및 제2 보류 토큰(ST-2))을, 디바이스 보호 서브시스템(471)의 임의의 적합한 메모리 컴포넌트 내에, 예컨대 도 1 및 도 4a의 표(473)의 제2 링크된 데이터 엔트리(473b) 내에, (예컨대, 그러한 데이터를 임의의 적합한 데이터 링크(들)와 링크시킴으로써) 저장하도록 동작할 수 있다(예를 들어, 표(473)의 제1 링크된 데이터 엔트리(473a)가 제1 사용자(U1)에 대해 AE 서브시스템(400)에 이미 이용가능한 사용자-특정 계정 정보를 적어도 포함할 수 있는 경우(예를 들어, 제1 사용자(U1)가 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 인에이블한 사용자였던 경우 제1 사용자(U1)를 인증하는 데 사용될 수 있는 정보)). 이어서, 일단 디바이스 보류 데이터(670)가 동작(622)에서, DP 애플리케이션(113c)의 디바이스 보호 서비스(들)을 가장 최근에 인에이블했던 사용자(예컨대, 제2 사용자(U2))의 식별에 대해 처리되고 저장되었으면, 디바이스 보호 서브시스템(471)은 동작(624)에서, 디바이스(100)의 각각의 보류 토큰이 DP 애플리케이션(113c)의 디바이스 보호 서비스(들)를 가장 최근에 인에이블했던 사용자에 대해 디바이스 보호 서브시스템(471)에 적절히 등록되었음을 디바이스(100)에 확인시킬 수 있는 임의의 적합한 보류 저장 확인 데이터(674)를 생성하여 디바이스(100)에(예를 들어, DP 애플리케이션(113c)에) 전달하도록 동작할 수 있다.
따라서, 표(473)의 데이터 엔트리(473b)는 제1 보류 토큰(ST-1) 및 제2 보류 토큰(ST-2) 및 제2 사용자(U2)를 전자 디바이스(100)와 링크시키는 데이터를 포함할 수 있지만, 디바이스 보호 서브시스템(471)의 표(473)는 제1 사용자(U1) 및 제2 사용자(U2) 둘 모두를 전자 디바이스(100)에 링크시키는 민감한 데이터를 포함하지 않을 수 있다. 일부 실시예들에서, 디바이스(100)로부터 동작(620)에서 새로운 디바이스 보류 데이터를 수신하는 것에 응답하여 동작(622)에서 디바이스 보호 서브시스템(471)에서의 디바이스(100)에 대한 새로운 보류 데이터의 임의의 저장은, 먼저 디바이스(100)에 대해 디바이스 보호 서브시스템(471)에서 임의의 이전에 저장된 보류 데이터를 소거하는 것을 포함할 수 있다. 예를 들어, 동작(616) 이후에 그러나 동작(618 내지 624) 이전에, 제1 사용자(U1)가 DP 애플리케이션(113c)의 디바이스 보호 서비스(들)를 인에이블하였고 전자 디바이스 식별자(ED-ID) 및/또는 제1 사용자 식별자(U1-ID) 및/또는 제1 사용자 패스워드 데이터(U1-PW)에 대해 각각의 보류 토큰(예컨대, 제1 보류 토큰(ST-1) 및 제2 보류 토큰(ST-2))을, 디바이스 보호 서브시스템(471)의 임의의 적합한 메모리 컴포넌트 내에, 예컨대 도 1 및 도 4a의 표(473)의 제1 링크된 데이터 엔트리(473a) 내에, (예컨대, 그러한 데이터를 임의의 적합한 데이터 링크(들)과 링크시킴으로써) 저장하기 위해 적절한 디바이스 보류 데이터가 디바이스 보호 서브시스템(471)과 공유되었다면(예컨대, 제1 사용자에 의해 개시된 동작들(618 내지 622)의 초기의 반복에서), 이후 동작들(618 내지 622)은, 디바이스 보호 서브시스템(471)의 표(473)가 제1 사용자(U1) 및 제2 사용자(U2) 둘 모두를 전자 디바이스(100)에 그리고/또는 보류 토큰들(ST-1, ST-2)에 링크시키는 민감한 데이터를 포함하지 않을 수 있도록 보장하기 위하여, 제2 사용자(U2) 및 디바이스(100)를 보류 토큰들(ST-1, ST-2)에 링크시키는 새로운 보류 데이터를 저장하기 전에, 먼저 디바이스 보호 서브시스템(471)에서 제1 사용자(U1) 및 디바이스(100) 및 보류 토큰들(ST-1, ST-2) 사이의 그러한 링크를 소거하도록 동작할 수 있다(예를 들어, ED-ID 및 ST-1 및 ST-2를 U2-ID 및 U2-PW와 링크시키는 데이터를 표(473)의 데이터 엔트리(473b) 내에 저장하기 전에, 표(473)의 데이터 엔트리(473a)로부터 적어도 ED-ID 및 ST-1 및 ST-2를 삭제함).
도 6의 예를 계속 참조하면, 동작(622)에서 디바이스 보류 데이터(670)가 처리되고 DP 애플리케이션(113c)의 디바이스 보호 서비스(들)를 가장 최근에 인에이블한 사용자(예를 들어, 제2 사용자(U2))의 식별에 대해 저장되었고 동작(624)에서 임의의 적절한 보류 저장 확인 데이터(674)가 디바이스(100)로 전달된 후의 임의의 적합한 시간에, DP 애플리케이션(113c)의 디바이스 보호 서비스(들)를 가장 최근에 인에이블한 사용자(예를 들어, 제2 사용자(U2)) 또는 임의의 다른 적합한 개체는 이어서, DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스(들)를 활성화시키기 위해 동작(626)에서 임의의 적합한 방식으로 디바이스 보호 서브시스템(471)과 인터페이싱할 수 있다. 예를 들어, 제2 사용자(U2)는 자신의 U2-ID 및 U2-PW 계정 정보를 사용하여, (예를 들어, 전자 디바이스(100) 이외의 사용자 디바이스로부터) 디바이스 보호 서브시스템(471)의 서버에 로그인할 수 있고, 이어서 디바이스(100)를 식별하기 위해 임의의 적합한 방식으로 디바이스 보호 서브시스템(471)의 서비스와 인터페이싱하고(예를 들어, ED-ID를 제공하거나 선택함으로써) 디바이스(100) 상에서 제2 사용자(U2)에 의해 이전에 인에이블된(예컨대, 동작(618)에서 DP 애플리케이션(113c)을 통해) 디바이스(100)에 대한 적어도 하나의 디바이스 보호 서비스를 활성화시킬 수 있다. 그러한 활성화된 서비스는 "내 기기 찾기" 서비스일 수 있으며, 이는 디바이스(100)의 콘텐츠를 안전하게 하고/하거나 사용자가 디바이스(100)의 위치를 찾을 수 있게(예컨대, "분실 모드"에 진입할 수 있게) 하는 것을 용이하게 할 수 있는 디바이스(100) 상의 임의의 적합한 모드들 또는 기능들을 조정하도록 디바이스 보호 서브시스템(471)을 인에이블할 수 있다. 예를 들어, 동작들(622, 626) 사이에서, 디바이스(100)는 잘못 배치되거나, 분실되거나, 도난당할 수 있어서, 사용자(U2)가 디바이스 보호 서브시스템(471) 및 DP 애플리케이션(113c)의 하나 이상의 디바이스 보호 서비스들을 활성화시킴으로써, 예컨대 디바이스(100)의 위치를 추적하고/하거나 디바이스(100)의 하나 이상의 기능들을 원격으로 제어하도록 동작할 수 있는 디바이스 보호 서브시스템(471)의 서비스를 활성화시킴으로써, 디바이스(100)를 하나 이상의 방식으로 보호하기를 원할 수 있으며, 이는 예컨대 알람을 켜고/거나 소정 디바이스 콘텐츠의 유용성을 소거 또는 보류 또는 다른 식으로 종료하는 것이며, 예컨대 디바이스(100)의 보안 요소가 서비스 제공자와의 거래를 촉진하는 데 사용하기 위한 거래 크리덴셜 데이터를 생성하는 능력을 보류하는 것이다.
디바이스 보호 서브시스템(471)이 사용자(U2)(예를 들어, U2-ID 및/또는 U2-PW) 및 디바이스(100)(예컨대, ED-ID)를 적절하게 식별하는 정보를 수신하는 것에 의해 동작(626)에서 디바이스 보호 서브시스템(471) 및 DP 애플리케이션(113c)의 디바이스 보호 서비스가 활성화되는 것에 응답하여, 디바이스 보호 서브시스템(471)은 동작(628)에서 디바이스(100)와 연관된 각각의 보류 토큰을 식별하고 이어서 보류된 디바이스 보류 데이터(678)를 크리덴셜 보호 서브시스템(491)과 공유하도록 동작할 수 있다. 예를 들어, 디바이스 보호 서브시스템(471)은 동작(626)에서 디바이스 보호 서브시스템(471)에 제공된 바와 같이 ED-ID 및/또는 U2-ID 및/또는 U2-PW에 대해 표(473) 내에(예컨대, 표(473)의 제2 링크된 데이터 엔트리(473b) 내에) 저장될 수 있는 각각의 보류 토큰을 식별함으로써 적절한 보류 토큰들(ST-1, ST-2)을 식별하도록 동작할 수 있다. 이어서, 디바이스 보호 서브시스템(471)은 동작(628)에서 식별된 보류 토큰들(ST-1, ST-2) 각각을 보류된 디바이스 보류 데이터(678)의 적어도 일부분으로서 크리덴셜 보호 서브시스템(491)으로 전달할 수 있으며, 여기서 보류된 디바이스 보류 데이터(678)는 임의의 다른 적합한 데이터, 예컨대 ED-ID 및/또는 U2-ID 및/또는 U2-PW의 식별, 및/또는 동작(626)에서 디바이스(100)에 대해 활성화된 디바이스 보호 서비스의 적어도 일부분을 수행하기 위하여, 식별된 보류 토큰들 중 임의의 것과 연관될 수 있는 각각의 크리덴셜을 보류하도록 크리덴셜 보호 서브시스템(491)에 지시하도록 동작할 수 있는 임의의 적합한 명령어를 포함할 수 있다.
이어서, 동작(630)에서, 크리덴셜 보호 서브시스템(491)은 보류된 디바이스 보류 데이터(678)에 의해 식별된 보류 토큰들 중 임의의 것과 연관될 수 있는 각각의 크리덴셜을 식별하고 보류하기 위하여 수신된 보류된 디바이스 보류 데이터(678)를 처리하도록 동작할 수 있다. 예를 들어, 보류 토큰(ST-1) 및 보류 토큰(ST-2)을 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C1-ID에 의해 고유하게 식별된 제1 사용자 거래 크리덴셜이 제1 보류 토큰(ST-1)과 연관될 수 있다고 결정하고(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-1에 링크된 것으로서 표(493)의 제1 링크된 데이터 엔트리(493a) 내의 C1-ID를 식별함으로써), 그 제1 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 유사하게, 보류 토큰(ST-1) 및 보류 토큰(ST-2)을 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C2-ID에 의해 고유하게 식별된 제2 사용자 거래 크리덴셜이 제2 보류 토큰(ST-2)과 연관될 수 있다고 결정하고(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-2에 링크된 것으로서 표(493)의 제2 링크된 데이터 엔트리(493b) 내의 C2-ID를 식별함으로써), 그 제2 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 또한, 보류 토큰(ST-1) 및 보류 토큰(ST-2)을 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C3-ID에 의해 고유하게 식별된 제3 사용자 거래 크리덴셜이 제2 보류 토큰(ST-2)과 연관될 수 있다고 결정하고(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-2에 링크된 것으로서 표(493)의 제3 링크된 데이터 엔트리(493c) 내의 C3-ID를 식별함으로써(예컨대, 동작(614)의 다른 인스턴스에서 제2 사용자(U2)에 대해 디바이스(100) 상에 프로비저닝되었을 수 있는 다른 크리덴셜)), 그 제3 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하도록 동작하여(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써), 2개 이상의 크리덴셜들이 동일한 보류 토큰과 연관될 수 있도록 할 수 있다. 그러나, 특정 고유 보류 토큰은 단지 특정 사용자에 대해 특정 디바이스 상에 프로비저닝된 하나 이상의 크리덴셜들과만 연관될 수 있다는 것이 이해될 것이다.
이어서, 일단 보류된 디바이스 보류 데이터(678)가 동작(630)에서 보류된 디바이스 보류 데이터(678)에 의해 식별된 임의의 보류 토큰과 연관된 각각의 사용자 거래 크리덴셜의 실행 가능성을 보류하기 위해 크리덴셜 보호 서브시스템(491)에 의해 처리되었으면, 크리덴셜 보호 서브시스템(491)은, 보류된 디바이스 보류 데이터(678)에 의해 식별된 임의의 보류 토큰과 연관된 각각의 사용자 거래 크리덴셜의 실행 가능성이 적절히 보류되었음을 디바이스 보호 서브시스템(471)에 확인시킬 수 있는 임의의 적합한 보류된 크리덴셜 확인 데이터(682)를 동작(632)에서 생성하고 디바이스 보호 서브시스템(471)에 전달하도록 동작할 수 있다. 또한, 일단 디바이스 보호 서브시스템(471)이 디바이스(100)에 대해 적어도 하나의 디바이스 보호 서비스를 활성화시키도록 지시되었으면, 디바이스 보호 서브시스템(471)은 동작(634)에서 임의의 적합한 디바이스 보호 서비스 커맨드 데이터(684)를 디바이스(100)에(예를 들어, DP 애플리케이션(113c)에) 전달하도록 동작할 수 있고, 디바이스(100)(예컨대, DP 애플리케이션(113c))는 디바이스(100) 상의 하나 이상의 적절한 디바이스 보호 서비스들을 활성화시키기 위해 동작(636)에서 그러한 디바이스 보호 서비스 커맨드 데이터(684)를 수신하고 처리하도록 동작할 수 있으며, 예컨대 알람을 켜고/거나(예를 들어, 디바이스(100)의 출력 컴포넌트(112)를 사용하여) 패스코드로 디바이스(100)를 잠그고/거나 소정 디바이스 콘텐츠의 유용성을 소거 또는 보류 또는 달리 종료하며, 예컨대 디바이스(100)의 보안 요소(145)가 임의의 사용자 거래 크리덴셜을 사용하여 서비스 제공자와의 거래를 촉진하는 데 사용할 거래 크리덴셜 데이터를 생성하는 능력을 보류한다(예컨대, CRS 애플리케이션(151)을 사용하여, 디바이스(100) 상의 보류 토큰과 연관된 각각의 사용자 거래 크리덴셜(예컨대, 애플릿들(153a, 153b)의 크리덴셜들)의 수명 사이클 상태를 보류된 수명 사이클 상태로 조정함).
동작(636) 이후 임의의 적합한 순간에(예를 들어, 분실된 디바이스가 발견된 후), 디바이스(100)의 사용자는 (예를 들어, 동작(636)에서 활성화되는 바와 같은) 임의의 적합한 활성화된 디바이스 보호 서비스들을 비활성화시키기 위해 동작(638)에서 임의의 적합한 방식으로 디바이스(100)를 이용하여(예를 들어, DP 애플리케이션(113c)을 이용하여) 자신을 적절히 인증할 수 있다. 예를 들어, 사용자(U1) 또는 사용자(U2)는 디바이스(100)의 DP 애플리케이션(113c)에 액세스할 수 있으며(예를 들어, 적절한 인증 정보(예컨대, U1-ID 및 U1-PW 또는 U2-ID 및 U2-PW)를 이용하여), 이는, 이전에 활성화된 디바이스 보호 서비스(들)가 디바이스(100) 상에서 비활성화되었다는 것을 디바이스 보호 서브시스템(471)에 지시하도록 동작(639)에서 디바이스 비활성화 데이터(689)의 적어도 일부분으로서 디바이스 보호 서브시스템(471)으로 전달될 수 있다. 그 후에, 임의의 사용자는 디바이스(100)의 사용자 크리덴셜 애플리케이션으로 자신을 적절히 인증하여, 그 사용자와 연관된 하나 이상의 크리덴셜들을 보류해제할 수 있다. 예를 들어, 도 6에 도시된 바와 같이, 동작(640)에서, 제2 사용자(U2)는 디바이스(100)의 U2C 애플리케이션(113e)에 액세스할 수 있으며(임의의 적절한 인증 정보(예를 들어, U2-ID 및 U2-PW)를 이용하여), 이는 이어서, 사용자(U2)와 연관된 디바이스(100)의 각각의 적절한 크리덴셜을 보류해제하도록 크리덴셜 보호 서브시스템(491)에서 제2 사용자(U2)를 인증하기 위해 동작(641)에서 제2 사용자 인증 데이터(691)의 적어도 일부분으로서 크리덴셜 보호 서브시스템(491)으로 전달될 수 있다. 예를 들어, 제2 사용자 인증 데이터(691)는 U2-ID 및/또는 U2-PW 및 ED-ID를 포함할 수 있으며, 이는 제2 사용자 인증 데이터(691)에 의해 식별된 제2 사용자(U2) 및 디바이스(100)와 연관될 수 있는 각각의 크리덴셜을 식별 및 보류해제하기 위해 동작(642)에서 크리덴셜 보호 서브시스템(491)에 의해 처리될 수 있다. 예를 들어, U2-ID(및/또는 U2-PW) 및 ED-ID를 나타낼 수 있는 제2 사용자 인증 데이터(691)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C2-ID에 의해 고유하게 식별된 제2 사용자 거래 크리덴셜이 U2-ID(및/또는 U2-PW) 및 ED-ID와 연관될 수 있다고 결정하고(예컨대, 제2 사용자 인증 데이터(691)의 U2-ID(및/또는 U2-PW) 및 ED-ID에 링크된 것으로서 표(493)의 제2 링크된 데이터 엔트리(493b) 내의 C2-ID를 식별함으로써), 그 제2 사용자 거래 크리덴셜의 기능을 보류해제하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅해제(unflag)함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 보류해제하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 유사하게, U2-ID(및/또는 U2-PW) 및 ED-ID를 나타낼 수 있는 제2 사용자 인증 데이터(691)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C3-ID에 의해 고유하게 식별된 제3 사용자 거래 크리덴셜이 U2-ID(및/또는 U2-PW) 및 ED-ID와 연관될 수 있다고 결정하고(예컨대, 제2 사용자 인증 데이터(691)의 U2-ID(및/또는 U2-PW) 및 ED-ID에 링크된 것으로서 표(493)의 제3 링크된 데이터 엔트리(493c) 내의 C3-ID를 식별함으로써), 그 제3 사용자 거래 크리덴셜의 기능을 보류해제하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅해제함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 보류해제하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 이어서, 일단 제2 사용자 인증 데이터(691)가 동작(642)에서 제2 사용자 인증 데이터(691)에 의해 식별된 U2-ID(및/또는 U2-PW) 및 ED-ID와 연관된 각각의 사용자 거래 크리덴셜의 실행 가능성을 보류해제하기 위해 크리덴셜 보호 서브시스템(491)에 의해 처리되었으면, 크리덴셜 보호 서브시스템(491)은 동작(643)에서 제2 사용자(U2)에 대한 디바이스(100) 상의 각각의 제2 사용자 거래 크리덴셜이 적절히 보류해제되었음을 디바이스(100)(및 그것의 사용자(예컨대, 제2 사용자(U2)))에 확인시킬 수 있는 임의의 적합한 보류해제된 제2 사용자 크리덴셜 확인 데이터(693)를 생성하고 디바이스(100)에(예컨대, U2C 애플리케이션(113e)에) 전달하도록 동작할 수 있다. 추가적으로 또는 대안적으로, 도 6에 도시된 바와 같이, 동작(644)에서, 제1 사용자(U1)는 디바이스(100)의 U1C 애플리케이션(113d)에 액세스할 수 있으며(임의의 적절한 인증 정보(예를 들어, U1-ID 및 U1-PW)를 이용하여), 이는 이어서, 사용자(U1)와 연관된 디바이스(100)의 각각의 적절한 크리덴셜을 보류해제하도록 크리덴셜 보호 서브시스템(491)에서 제1 사용자(U1)를 인증하기 위해 동작(645)에서 제1 사용자 인증 데이터(695)의 적어도 일부분으로서 크리덴셜 보호 서브시스템(491)으로 전달될 수 있다. 예를 들어, 제1 사용자 인증 데이터(695)는 U1-ID 및/또는 U1-PW 및 ED-ID를 포함할 수 있으며, 이는 제1 사용자 인증 데이터(695)에 의해 식별된 제1 사용자(U1) 및 디바이스(100)와 연관될 수 있는 각각의 크리덴셜을 식별 및 보류해제하기 위해 동작(646)에서 크리덴셜 보호 서브시스템(491)에 의해 처리될 수 있다. 예를 들어, U1-ID(및/또는 U1-PW) 및 ED-ID를 나타낼 수 있는 제1 사용자 인증 데이터(695)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C1-ID에 의해 고유하게 식별된 제1 사용자 거래 크리덴셜이 U1-ID(및/또는 U1-PW) 및 ED-ID와 연관될 수 있다고 결정하고(예컨대, 제1 사용자 인증 데이터(695)의 U1-ID(및/또는 U1-PW) 및 ED-ID에 링크된 것으로서 표(493)의 제1 링크된 데이터 엔트리(493a) 내의 C1-ID를 식별함으로써), 그 제1 사용자 거래 크리덴셜의 기능을 보류해제하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅해제함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 보류해제하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 이어서, 일단 제1 사용자 인증 데이터(695)가 동작(646)에서 제1 사용자 인증 데이터(695)에 의해 식별된 U1-ID(및/또는 U1-PW) 및 ED-ID와 연관된 각각의 사용자 거래 크리덴셜의 실행 가능성을 보류해제하기 위해 크리덴셜 보호 서브시스템(491)에 의해 처리되었으면, 크리덴셜 보호 서브시스템(491)은 동작(647)에서 제1 사용자(U1)에 대한 디바이스(100) 상의 각각의 제1 사용자 거래 크리덴셜이 적절히 보류해제되었음을 디바이스(100)(및 그것의 사용자(예컨대, 제1 사용자(U1)))에 확인시킬 수 있는 임의의 적합한 보류해제된 제1 사용자 크리덴셜 확인 데이터(697)를 생성하고 디바이스(100)에(예컨대, U1C 애플리케이션(113d)에) 전달하도록 동작할 수 있다. 동작들(644 내지 647)이 동작들(640 내지 643) 이전에 발생할 수 있거나, 또는 동작들(640 내지 643)이 발생하지 않으면서 발생할 수 있다는 것이 이해되어야 한다. 일부 실시예들에서, 동작들(644 내지 647)은 동작들(638 내지 643) 이전에 발생할 수 있거나, 또는 동작들(638 내지 643)이 발생하지 않으면서 발생할 수 있다.
일부 실시예들에서, 임의의 디바이스 보호 서비스(들)를 활성화시키는 사용자와 연관된 크리덴셜들만이 보류될 수 있다. 예를 들어, 디바이스 보호 서브시스템(471) 및 DP 애플리케이션(113c)의 디바이스 보호 서비스는, 동작(626)에서 디바이스 보호 서브시스템(471)이 사용자(U2)(예컨대, U2-ID 및/또는 U2-PW) 및 디바이스(100)(예컨대, ED-ID)를 적절히 식별하는 정보를 수신하는 것에 의해, 그리고 또한 서비스(들)를 활성화할 때 그 사용자와 연관된 크리덴셜들만을 보류하라는 명령어에 의해 활성화될 수 있다. 대안적으로, AE 서브시스템(400)은 서비스들을 활성화시키는 사용자의 크리덴셜들만을 보류하도록 구성될 수 있다. 따라서, 디바이스 보호 서브시스템(471)은 동작(628)에서 디바이스(100)와 연관된 각각의 보류 토큰을 식별하고, 이어서 서비스(들)를 활성화시킨 사용자(예컨대, U2-ID 및/또는 U2-PW)를 나타낼 수 있는 보류된 디바이스 보류 데이터(678)를 크리덴셜 보호 서브시스템(491)과 공유하도록 동작하여, 크리덴셜 보호 서브시스템(491)은 이어서 (예컨대, 표(493) 내에서) 그 사용자와 또한 연관되는 보류 토큰과 연관된 크리덴셜들만을 보류할 수 있다. 예를 들어, 디바이스 보호 서브시스템(471)은 동작(626)에서 디바이스 보호 서브시스템(471)에 제공된 것으로서, ED-ID 및/또는 U2-ID 및/또는 U2-PW에 대해 표(473) 내에(예컨대, 표(473)의 제2 링크된 데이터 엔트리(473b) 내에) 저장될 수 있는 각각의 보류 토큰을 식별함으로써, 적절한 보류 토큰들(ST-1, ST-2)을 식별하도록 동작할 수 있다. 이어서, 디바이스 보호 서브시스템(471)은 동작(628)에서 식별된 보류 토큰들(ST-1, ST-2) 각각을 보류된 디바이스 보류 데이터(678)의 적어도 일부분으로서 크리덴셜 보호 서브시스템(491)으로 전달할 수 있으며, 여기서 보류된 디바이스 보류 데이터(678)는 임의의 다른 적합한 데이터, 예컨대 U2-ID 및/또는 U2-PW의 식별, 및/또는 동작(626)에서 디바이스(100)에 대해 활성화된 디바이스 보호 서비스의 적어도 일부분을 수행하기 위하여, 식별된 보류 토큰들 중 임의의 것 하지만 또한 사용자(U2)의 그 식별과 연관될 수 있는 각각의 크리덴셜을 보류하도록 크리덴셜 보호 서브시스템(491)에 지시하도록 동작할 수 있는 임의의 적합한 명령어를 포함할 수 있다. 따라서, 이어서, 동작(630)에서, 크리덴셜 보호 서브시스템(491)은 사용자(U2)와 또한 연관되는 보류된 디바이스 보류 데이터(678)에 의해 식별된 보류 토큰들 중 임의의 것과 연관될 수 있는 각각의 크리덴셜을 식별하고 보류하기 위해 수신된 보류된 디바이스 보류 데이터(678)를 처리하도록 동작할 수 있다. 예를 들어, 보류 토큰(ST-1) 및 보류 토큰(ST-2) 및 U2-ID를 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C1-ID에 의해 고유하게 식별된 제1 사용자 거래 크리덴셜이 제1 보류 토큰(ST-1)과 연관될 수 있을지라도(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-1에 링크된 것으로서 표(493)의 제1 링크된 데이터 엔트리(493a) 내의 C1-ID를 식별함으로써) 그것은 또한 사용자(U2)의 U2-ID와 연관되지 않는다고 결정하도록 동작할 수 있고, 따라서 그 제1 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하지 않을 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 그러나, 보류 토큰(ST-1) 및 보류 토큰(ST-2) 및 사용자(U2)의 U2-ID를 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C2-ID에 의해 고유하게 식별된 제2 사용자 거래 크리덴셜이 제2 보류 토큰(ST-2) 및 사용자(U2)의 U2-ID와 연관될 수 있다고 결정하고(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-2 및 사용자(U2)의 U2-ID에 링크된 것으로서 표(493)의 제2 링크된 데이터 엔트리(493b) 내의 C2-ID를 식별함으로써), 그 제2 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하도록 동작할 수 있다(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써). 또한, 보류 토큰(ST-1) 및 보류 토큰(ST-2) 및 사용자(U2)의 U2-ID를 나타내는 보류된 디바이스 보류 데이터(678)를 수신하는 것에 응답하여, 크리덴셜 보호 서브시스템(491)은 C3-ID에 의해 고유하게 식별된 제3 사용자 거래 크리덴셜이 제2 보류 토큰(ST-2) 및 사용자(U2)의 U2-ID와 연관될 수 있다고 결정하고(예컨대, 보류된 디바이스 보류 데이터(678)의 ST-2 및 사용자(U2)의 U2-ID에 링크된 것으로서 표(493)의 제3 링크된 데이터 엔트리(493c) 내의 C3-ID를 식별함으로써(예컨대, 동작(614)의 다른 인스턴스에서 제2 사용자(U2)에 대해 디바이스(100) 상에 프로비저닝되었을 수 있는 다른 크리덴셜)), 그 제3 사용자 거래 크리덴셜의 기능을 일시적으로 보류하기 위한 임의의 적합한 동작을 취하도록 동작하여(예컨대, 크리덴셜을, 디바이스(100)로부터 수신된 경우 거래에서 안전하게 처리되지 않을 크리덴셜로서 플래깅함으로써, 그리고/또는 임의의 서비스 제공자와의 임의의 거래에 자금을 지원하거나 다른 방식으로 그것을 촉진하는 것으로부터 크리덴셜의 능력을 일시적으로 보류하도록 크리덴셜 발행자 서브시스템(300)에 지시함으로써), 2개 이상의 크리덴셜들이 동일한 보류 토큰과 연관될 수 있도록 할 수 있다. 따라서, 디바이스(100)의 보류 토큰과 연관된 그리고 동작(626)에서 디바이스 보호 서비스(들)를 활성화시킨 사용자와 연관된 크리덴셜들만이 동작(630)에서 AE 서브시스템(400)에 의해 보류되거나 달리 조작될 수 있다.
더욱이, 시스템(1)의 임의의 적합한 사용자에게는, 그 사용자가 사용자(U1) 및 사용자(U2)와 연관된 임의의 특권을 갖게 할 수 있는 관리자("관리자(admin)") 특권(예컨대, 디바이스(100) 및/또는 디바이스 보호 서브시스템(471) 및/또는 크리덴셜 보호 서브시스템(491)에 대한 관리자 로그인 크리덴셜들)이 제공될 수 있어, 관리자 사용자가 사용자(U1)의 특정한 하나의, 일부의, 또는 각각의 크리덴셜 및/또는 사용자(U2)의 특정한 하나의, 일부의, 또는 각각의 크리덴셜을 보류할 수 있도록 할 수 있다.
도 6의 프로세스(600)에 나타난 동작들은 단지 예시적인 것이고, 기존의 동작들은 수정되거나 또는 생략될 수 있고, 추가적인 동작들이 추가될 수 있으며, 소정 동작들의 순서가 변경될 수 있다는 것이 이해된다. 또한, 일부 구현예들에서, 2개 이상의 동작들이, 기술된 것과 병렬로 또는 상이한 순서로 발생할 수 있다.
도 7의 설명
도 7은 디바이스 보호 서버를 사용하여 전자 디바이스를 보호하기 위한 예시적인 프로세스(700)의 흐름도이며, 여기서 전자 디바이스는 디바이스 식별자, 제1 사용자 식별자와 연관된 제1 사용자에 대한 제1 보류 토큰 및 연관된 제1 크리덴셜, 및 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 보류 토큰 및 연관된 제2 크리덴셜을 포함한다. 프로세스(700)의 동작(702)에서, 디바이스 보류 데이터는 디바이스 보호 서버를 이용해 전자 디바이스로부터 수신될 수 있으며, 여기서 디바이스 보류 데이터는 제1 보류 토큰, 제2 보류 토큰, 디바이스 식별자, 및 제2 사용자 식별자(예컨대, 디바이스 보류 데이터(670))를 포함할 수 있다. 프로세스(700)의 동작(704)에서, 동작(702)에서 수신된 디바이스 보류 데이터는 디바이스 보호 서버에서 저장될 수 있다(예컨대, 동작(622)과 유사함). 프로세스(700)의 동작(706)에서, 동작(704) 이후에, 디바이스 보호 서버는 디바이스 식별자 및 제2 사용자 식별자를 포함할 수 있는 디바이스 보호 인에이블 요청을 수신할 수 있다(예컨대, 동작(626)과 유사함). 프로세스(700)의 동작(708)에서, 디바이스 보호 서버는 제1 보류 토큰 및 제2 보류 토큰 각각을, 수신된 디바이스 보호 인에이블 요청의 디바이스 식별자 및 제2 사용자 식별자 둘 모두와 함께, 저장된 디바이스 보류 데이터 내에서 디바이스 보호 서버에서 저장되어 있는 것으로서 식별할 수 있다. 프로세스(700)의 동작(710)에서, 디바이스 보호 서버는 식별된 제1 보류 토큰과 연관된 모든 크리덴셜을 보류하고 식별된 제2 보류 토큰과 연관된 모든 크리덴셜을 보류하도록 원격 서브시스템에 지시하도록 동작하는 크리덴셜 보류 데이터를 원격 서브시스템에 전달할 수 있다(예컨대, 디바이스 보류 데이터(678)).
도 7의 프로세스(700)에 나타난 동작들은 단지 예시적인 것이고, 기존의 동작들은 수정되거나 또는 생략될 수 있고, 추가적인 동작들이 추가될 수 있으며, 소정 동작들의 순서가 변경될 수 있다는 것이 이해된다.
도 1 내지 도 7의 추가 설명
도 1 내지 도 7에 관하여 기술된 프로세스들 중 하나, 일부, 또는 모두는 각각 소프트웨어에 의해 구현될 수 있지만, 또한 하드웨어, 펌웨어, 또는 소프트웨어와 하드웨어와 펌웨어의 임의의 조합으로 구현될 수 있다. 이들 프로세스를 수행하기 위한 명령어들은 또한 기계 또는 컴퓨터 판독가능 매체 상에 기록되는 기계 또는 컴퓨터 판독가능 코드로서 구현될 수 있다. 일부 실시예들에서, 컴퓨터 판독가능 매체는 비일시적 컴퓨터 판독가능 매체일 수 있다. 그러한 비일시적 컴퓨터 판독가능 매체의 예들은, 판독 전용 메모리, 랜덤 액세스 메모리, 플래시 메모리, CD-ROM, DVD, 자기 테이프, 탈착가능한 메모리 카드, 및 데이터 저장 디바이스(예컨대, 도 2의 메모리(104) 및/또는 메모리 모듈(150))를 포함하지만 이들로 제한되지 않는다. 다른 실시예들에서, 컴퓨터 판독가능 매체는 일시적 컴퓨터 판독가능 매체일 수 있다. 그러한 실시예들에서, 일시적 컴퓨터 판독가능 매체는 컴퓨터 판독가능 코드가 분산 방식으로 저장되고 실행되도록 네트워크로 연결된 컴퓨터 시스템들에 걸쳐 분산되어 있을 수 있다. 예를 들어, 그러한 일시적 컴퓨터 판독가능 매체는 임의의 적합한 통신 프로토콜을 이용하여 하나의 전자 디바이스로부터 다른 전자 디바이스로 전달될 수 있다(예를 들어, 컴퓨터 판독가능 매체는 통신 컴포넌트(106)를 통해 전자 디바이스(100)로 (예를 들어, 애플리케이션(103)의 적어도 일부분으로서 그리고/또는 애플리케이션(113)의 적어도 일부분으로서 그리고/또는 애플리케이션(143)의 적어도 일부분으로서) 전달될 수 있음). 그러한 일시적 컴퓨터 판독가능 매체는 컴퓨터 판독가능 코드, 명령어들, 데이터 구조들, 프로그램 모듈들, 또는 다른 데이터를 반송파 또는 다른 전송 메커니즘과 같은 변조된 데이터 신호에서 구현할 수 있으며, 임의의 정보 전달 매체를 포함할 수 있다. 변조된 데이터 신호는, 신호 내에 정보를 인코딩하는 방식으로 그 신호의 특성들 중 하나 이상이 설정 또는 변경된 신호일 수 있다.
시스템(1)의 임의의, 각각의, 또는 적어도 하나의 모듈 또는 컴포넌트 또는 서브시스템은 소프트웨어 구조, 펌웨어 구조, 하나 이상의 하드웨어 컴포넌트, 또는 이들의 조합으로 제공될 수 있다는 것이 이해될 것이다. 예를 들어, 시스템(1)의 임의의, 각각의, 또는 적어도 하나의 모듈 또는 컴포넌트 또는 서브시스템은, 하나 이상의 컴퓨터 또는 다른 디바이스들에 의해 실행될 수 있는 프로그램 모듈들과 같은 컴퓨터 실행가능 명령어들의 일반적 맥락으로 기술될 수 있다. 일반적으로, 프로그램 모듈은 하나 이상의 특정한 태스크를 수행할 수 있거나 하나 이상의 특정한 추상 데이터 형(abstract data type)을 구현할 수 있는 하나 이상의 루틴, 프로그램, 객체, 컴포넌트, 및/또는 데이터 구조를 포함할 수 있다. 시스템(1)의 모듈들 및 컴포넌트들 및 서브시스템들의 수, 구성, 기능, 및 상호접속은 단지 예시적인 것이며, 기존 모듈들, 컴포넌트들 및/또는 서브시스템들의 수, 구성, 기능, 및 상호접속이 수정되거나 생략될 수 있고, 추가적인 모듈들, 컴포넌트들 및/또는 서브시스템들이 추가될 수 있으며, 소정 모듈들, 컴포넌트들 및/또는 서브시스템들의 상호접속이 변경될 수 있다는 것이 또한 이해될 것이다.
시스템(1)의 모듈들 또는 컴포넌트들 또는 서브시스템들 중 하나 이상의 적어도 일부분은, 임의의 적합한 방식으로 (예를 들어, 디바이스(100)의 메모리(104) 내에(예컨대, 애플리케이션(103)의 적어도 일부분으로서 그리고/또는 애플리케이션(113)의 적어도 일부분으로서 그리고/또는 애플리케이션(143)의 적어도 일부분으로서)) 시스템(1)의 개체에 저장되거나 달리 그에 액세스가능할 수 있다. 예를 들어, NFC 컴포넌트(120)의 임의의 또는 각각의 모듈은 임의의 적합한 기술들을 이용하여(예를 들어, 하나 이상의 집적회로 디바이스로서) 구현될 수 있으며, 상이한 모듈들이 구조, 기능들, 및 동작에 있어서 동일하거나 동일하지 않을 수 있다. 시스템(1)의 모듈들 또는 다른 컴포넌트들 중 임의의 것 또는 모두는, 확장 카드 상에 장착되거나, 시스템 마더보드 상에 직접 장착되거나, 또는 시스템 칩셋 컴포넌트 내에(예컨대, "노스 브리지(north bridge)" 칩 내에) 통합될 수 있다.
시스템(1)의 임의의 또는 각각의 모듈 또는 컴포넌트(예컨대, NFC 컴포넌트(120)의 임의의 또는 각각의 모듈)는 다양한 버스 표준들에 맞춰진 하나 이상의 확장 카드들을 이용하여 구현되는 전용 시스템일 수 있다. 예를 들어, 모듈들 모두는 상이한 상호접속된 확장 카드들 상에 장착될 수 있거나, 모듈들 모두가 하나의 확장 카드 상에 장착될 수 있다. NFC 컴포넌트(120)에 관하여, 단지 예로서, NFC 컴포넌트(120)의 모듈들은, 확장 슬롯(예컨대, 주변장치 상호접속(peripheral component interconnect, "PCI") 슬롯 또는 PCI 익스프레스 슬롯)을 통해 디바이스(100)의 프로세서(102) 또는 마더보드와 인터페이싱할 수 있다. 대안적으로, NFC 컴포넌트(120)는 탈착가능할 필요는 없으며, 모듈의 이용에 전용되는 메모리(예컨대, RAM)를 포함할 수 있는 하나 이상의 전용 모듈을 포함할 수 있다. 다른 실시예들에서, NFC 컴포넌트(120)는 디바이스(100) 내에 통합될 수 있다. 예를 들어, NFC 컴포넌트(120)의 모듈은 디바이스(100)의 디바이스 메모리(104)의 일부분을 이용할 수 있다. 시스템(1)의 임의의 또는 각각의 모듈 또는 컴포넌트(예컨대, NFC 컴포넌트(120)의 임의의 또는 각각의 모듈)는 자신의 처리 회로부 및/또는 메모리를 포함할 수 있다. 대안적으로, 시스템(1)의 임의의 또는 각각의 모듈 또는 컴포넌트(예컨대, NFC 컴포넌트(120)의 임의의 또는 각각의 모듈)는, NFC 컴포넌트(120)의 임의의 다른 모듈 및/또는 디바이스(100)의 프로세서(102) 및/또는 메모리(104)와, 처리 회로부 및/또는 메모리를 공유할 수 있다.
본 개시내용은 사용자 디바이스(100)의 현재 위치와 같은, 그러한 개인 정보 데이터의 본 기술에서의 이용이, 사용자들에게 이득을 주기 위해 사용될 수 있음을 인식한다. 예를 들어, 개인 정보 데이터는 수행되는 금융 거래에 대한 더 나은 보안 및 위험 평가를 제공하는 데 사용될 수 있다. 따라서, 그러한 개인 정보 데이터의 이용은 금융 거래의 계산된 보안을 가능하게 한다. 게다가, 사용자에 이득을 주는 개인 정보 데이터에 대한 다른 이용들이 또한 본 개시내용에 의해 고려된다.
본 개시내용은 그러한 개인 정보 데이터의 수집, 분석, 공개, 전달, 저장, 또는 다른 이용을 책임지고 있는 개체들이 잘 확립된 프라이버시 정책들 및/또는 프라이버시 관례들을 준수할 것이라는 것을 추가로 고려한다. 특히, 그러한 개체들은, 대체로 개인 정보 데이터를 사적이고 안전하게 유지시키기 위한 산업적 또는 행정적 요건들을 충족시키거나 넘어서는 것으로 인식되는 프라이버시 정책들 및 관례들을 구현하고 지속적으로 이용해야 한다. 예를 들어, 사용자들로부터의 개인 정보는 개체의 적법하며 적정한 사용들을 위해 수집되어야 하고, 이들 적법한 사용들을 벗어나서 공유되거나 판매되지 않아야 한다. 또한, 그러한 수집은 단지 사용자들의 고지에 입각한 동의를 수신한 후에만 발생해야 한다. 부가적으로, 그러한 개체들은 그러한 개인 정보 데이터에 대한 액세스를 보호하고 안전하게 하며 개인 정보 데이터에 대한 액세스를 갖는 다른 사람들이 그들의 프라이버시 정책들 및 절차들을 고수한다는 것을 보장하기 위한 임의의 필요한 단계들을 취하거나 소정 동작들을 수행할 것이다. 게다가, 그러한 개체들은 널리 인정된 프라이버시 정책들 및 관례들에 대한 그들의 고수를 증명하기 위해 제3자들에 의해 그들 자신들이 평가를 받을 수 있다.
전술한 것에도 불구하고, 본 개시내용은 또한 사용자가 개인 정보 데이터의 사용, 또는 그에 대한 액세스를 선택적으로 차단하는 실시예들을 고려한다. 즉, 본 개시내용은 그러한 개인 정보 데이터에 대한 액세스를 방지하거나 차단하기 위해 하드웨어 및/또는 소프트웨어 요소들이 제공될 수 있다는 것을 고려한다. 예를 들어, 금융 거래 서비스들의 경우에, 본 기술은 사용자들이 그러한 서비스들을 위한 등록 중에 개인 정보 데이터의 수집 시의 참여의 "동의함" 또는 "동의하지 않음"을 선택하는 것을 허용하도록 구성될 수 있다. 다른 예에서, 사용자들은 금융 거래 서비스들을 위한 위치 정보를 제공하지 않도록 선택할 수 있다. 또 다른 예에서, 사용자들은 정확한 위치 정보를 제공하지 않지만 위치 구역 정보의 전달을 허용하도록 선택할 수 있다.
따라서, 본 개시내용이 하나 이상의 다양한 개시된 실시예들을 구현하기 위해 개인 정보 데이터의 사용을 광범위하게 커버하지만, 본 개시내용은 다양한 실시예들이 또한 그러한 개인 정보 데이터에 액세스할 필요 없이 구현될 수 있다는 것을 또한 고려한다. 즉, 본 기술의 다양한 실시예들은 그러한 개인 정보 데이터의 모두 또는 일부분의 결여로 인해 동작 불가능하게 되지 않는다. 예를 들어, 금융 거래 서비스들은, 사용자와 연관된 디바이스에 의해 수행되는 금융 거래, 금융 거래 서비스들에 이용가능한 다른 비-개인 정보, 또는 공개적으로 입수가능한 정보와 같은 비-개인 정보 데이터, 또는 최소량의 개인 정보에 기초하여 선호도 또는 상황을 추론함으로써 제공될 수 있다.
설명한 개념들의 추가 응용들
전자 디바이스 상의 다수의 사용자들의 크리덴셜들을 관리하기 위한 시스템들, 방법들, 및 컴퓨터 판독가능 매체들이 기술되었지만, 어떤 식으로든 본 명세서에 기술된 주제의 기술적 사상 및 범주로부터 벗어나지 않으면서 본 명세서에서 많은 변경들이 행해질 수 있다는 것이 이해될 것이다. 현재 알려져 있거나 추후에 고안되는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자의 관점에서 보아 청구된 주제로부터의 비실질적인 변경들은, 청구범위의 범주 내에 동등하게 있는 것으로 명백히 고려된다. 따라서, 현재 또는 추후에 통상의 기술자에게 알려지는 명확한 대안물들이, 정의된 요소들의 범주 내에 있는 것으로 규정된다.
따라서, 이들 통상의 기술자는, 본 발명이, 제한이라기보다는 예시의 목적으로 제시되는, 기술된 실시예들 이외의 것에 의해 실시될 수 있다는 것을 이해할 것이다.
Claims (20)
- 디바이스 보호 서버 및 크리덴셜 보호 서버를 사용하여 전자 디바이스를 보호하기 위한 방법으로서,
상기 전자 디바이스는 디바이스 식별자를 포함하고, 상기 방법은:
상기 전자 디바이스에서, 상기 크리덴셜 보호 서버로부터, 제1 사용자에 대한 제1 보류 토큰(suspension token) 및 연관된 제1 크리덴셜을 수신하는 단계;
상기 제1 보류 토큰 및 상기 연관된 제1 크리덴셜을 상기 전자 디바이스 상에 저장하는 단계;
상기 전자 디바이스에서, 상기 크리덴셜 보호 서버로부터, 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 보류 토큰 및 연관된 제2 크리덴셜을 수신하는 단계;
상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 상기 전자 디바이스 상에 저장하는 단계; 및
상기 전자 디바이스로부터 상기 디바이스 보호 서버로, 디바이스 보류 데이터를 송신하는 단계를 포함하고, 상기 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제2 사용자 식별자를 포함하는, 방법. - 제1항에 있어서, 상기 송신은 상기 제2 사용자가 상기 전자 디바이스에 로그인되고 상기 제1 사용자가 상기 전자 디바이스에서 로그아웃될 때 발생하는, 방법.
- 제1항에 있어서, 상기 송신 전에, 그리고 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장한 후에:
상기 전자 디바이스에서, 상기 제2 사용자 식별자를 사용하여 디바이스 보호 서비스를 인에이블하는 단계를 더 포함하고, 상기 송신은 상기 인에이블에 응답하여 발생하는, 방법. - 제1항에 있어서, 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장하기 전에:
상기 전자 디바이스에서, 상기 제2 사용자 식별자를 사용하여 디바이스 보호 서비스를 인에이블하는 단계를 더 포함하고, 상기 송신은 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장하는 것에 응답하여 발생하는, 방법. - 제1항에 있어서, 상기 송신된 디바이스 보류 데이터는 상기 디바이스 보호 서버가 상기 송신된 디바이스 보류 데이터의 모든 보류 토큰과 연관된 모든 크리덴셜을 보류할 수 있게 하는, 방법.
- 제1항에 있어서, 상기 송신 전에:
상기 전자 디바이스로부터 상기 디바이스 보호 서버로, 초기의 디바이스 보류 데이터를 전송하는 단계를 더 포함하고, 상기 초기의 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제1 사용자와 연관된 제1 사용자 식별자를 포함하는, 방법. - 제6항에 있어서, 상기 전송은 상기 제1 사용자가 상기 전자 디바이스에 로그인되고 상기 제2 사용자가 상기 전자 디바이스에서 로그아웃될 때 발생하는, 방법.
- 제6항에 있어서, 상기 전송 전에, 그리고 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장한 후에:
상기 전자 디바이스에서, 상기 제1 사용자 식별자를 사용하여 디바이스 보호 서비스를 인에이블하는 단계를 더 포함하고, 상기 전송은 상기 인에이블에 응답하여 발생하는, 방법. - 제6항에 있어서, 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장하기 전에:
상기 전자 디바이스에서, 상기 제1 사용자 식별자를 사용하여 디바이스 보호 서비스를 인에이블하는 단계를 더 포함하고, 상기 전송은 상기 제2 보류 토큰 및 상기 연관된 제2 크리덴셜을 저장하는 것에 응답하여 발생하는, 방법. - 제6항에 있어서, 상기 송신은 상기 제2 사용자가 상기 전자 디바이스에 로그인되고 상기 제1 사용자가 상기 전자 디바이스에서 로그아웃될 때 발생하는, 방법.
- 제6항에 있어서, 상기 송신 전에, 그리고 상기 전송 후에:
상기 전자 디바이스에서, 상기 제2 사용자 식별자를 사용하여 디바이스 보호 서비스를 인에이블하는 단계를 더 포함하고, 상기 송신은 상기 인에이블에 응답하여 발생하는, 방법. - 제6항에 있어서,
상기 송신된 초기의 디바이스 보류 데이터는 상기 디바이스 보호 서버가 상기 제1 사용자 식별자에 의해 요청될 때 상기 송신된 초기의 디바이스 보류 데이터의 모든 보류 토큰과 연관된 모든 크리덴셜을 보류할 수 있게 하고;
상기 송신된 디바이스 보류 데이터는 상기 디바이스 보호 서버가 상기 제2 사용자 식별자에 의해 요청될 때 상기 송신된 디바이스 보류 데이터의 모든 보류 토큰과 연관된 모든 크리덴셜을 보류할 수 있게 하는, 방법. - 제6항에 있어서, 상기 제1 보류 토큰은 상기 제1 사용자 식별자 또는 상기 제2 사용자 식별자 중 하나와 함께 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 통신되는, 방법.
- 제13항에 있어서, 상기 제2 보류 토큰은 상기 제1 사용자 식별자 또는 상기 제2 사용자 식별자 중 하나와 함께 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 통신되는, 방법.
- 제1항에 있어서,
상기 제1 보류 토큰은 상기 제1 사용자와 연관된 제1 사용자 식별자 또는 상기 제2 사용자 식별자 중 하나와 함께 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 통신되고;
상기 제2 보류 토큰은 상기 제1 사용자 식별자 또는 상기 제2 사용자 식별자 중 하나와 함께 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 통신되는, 방법. - 디바이스 보호 서버 및 크리덴셜 보호 서버를 사용하여 전자 디바이스를 보호하기 위한 방법으로서,
상기 전자 디바이스는 디바이스 식별자, 보안 요소, 제1 사용자 식별자와 연관된 제1 사용자에 대한 제1 사용자 크리덴셜 애플리케이션, 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 사용자 크리덴셜 애플리케이션, 및 디바이스 보호 애플리케이션을 포함하고, 상기 방법은:
상기 전자 디바이스의 상기 제1 사용자 크리덴셜 애플리케이션에서 상기 크리덴셜 보호 서버로부터, 제1 사용자 트랜잭션 크리덴셜 정보와 연관된 제1 보류 토큰을 포함하는 제1 사용자 크리덴셜 데이터를 수신하는 단계;
상기 제1 사용자 트랜잭션 크리덴셜 정보를 상기 보안 요소 상에 저장하는 단계;
상기 제1 사용자 크리덴셜 데이터를 수신한 후에, 상기 제1 사용자 크리덴셜 애플리케이션을 사용하여, 상기 디바이스 보호 애플리케이션에 상기 제1 보류 토큰을 등록하는 단계;
상기 제1 사용자 크리덴셜 데이터를 수신한 후에, 상기 전자 디바이스의 상기 제2 사용자 크리덴셜 애플리케이션에서, 상기 크리덴셜 보호 서버로부터, 제2 사용자 트랜잭션 크리덴셜 정보와 연관된 제2 보류 토큰을 포함하는 제2 사용자 크리덴셜 데이터를 수신하는 단계;
상기 제2 사용자 트랜잭션 크리덴셜 정보를 상기 보안 요소 상에 저장하는 단계;
상기 제2 사용자 크리덴셜 데이터를 수신한 후에, 상기 제2 사용자 크리덴셜 애플리케이션을 사용하여, 상기 디바이스 보호 애플리케이션에 상기 제2 보류 토큰을 등록하는 단계; 및
다음 단계들:
상기 제2 사용자 크리덴셜 데이터를 수신한 후에 그리고 상기 제1 사용자가 상기 전자 디바이스 상의 디바이스 보호 서비스를 인에이블하는 것에 응답하여, 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 제1 디바이스 보류 데이터를 송신하는 단계 - 상기 제1 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제1 사용자 식별자를 포함함 -; 또는
상기 제2 사용자 크리덴셜 데이터를 수신한 후에 그리고 상기 제2 사용자가 상기 전자 디바이스 상의 디바이스 보호 서비스를 인에이블하는 것에 응답하여, 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 제2 디바이스 보류 데이터를 송신하는 단계 - 상기 제2 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제2 사용자 식별자를 포함함 -
중 하나의 단계를 포함하는, 방법. - 제16항에 있어서, 상기 제2 사용자 크리덴셜 데이터를 수신한 후에 그리고 상기 제1 사용자가 상기 전자 디바이스 상의 디바이스 보호 서비스를 인에이블하는 것에 응답하여:
상기 전자 디바이스로부터 상기 디바이스 보호 서버로 제1 디바이스 보류 데이터를 송신하는 단계를 더 포함하고, 상기 제1 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제1 사용자 식별자를 포함하는, 방법. - 제16항에 있어서, 상기 제2 사용자 크리덴셜 데이터를 수신한 후에 그리고 상기 제2 사용자가 상기 전자 디바이스 상의 디바이스 보호 서비스를 인에이블하는 것에 응답하여:
상기 전자 디바이스로부터 상기 디바이스 보호 서버로 제2 디바이스 보류 데이터를 송신하는 단계를 더 포함하고, 상기 제2 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제2 사용자 식별자를 포함하는, 방법. - 제18항에 있어서,
상기 제2 디바이스 보류 데이터를 송신한 후에 그리고 상기 제1 사용자가 상기 전자 디바이스 상의 상기 디바이스 보호 서비스를 인에이블하는 것에 응답하여, 상기 전자 디바이스로부터 상기 디바이스 보호 서버로 제1 디바이스 보류 데이터를 송신하는 단계를 더 포함하고, 상기 제1 디바이스 보류 데이터는:
상기 제1 보류 토큰;
상기 제2 보류 토큰;
상기 디바이스 식별자; 및
상기 제1 사용자 식별자를 포함하는, 방법. - 디바이스 보호 서버 및 크리덴셜 보호 서버를 사용하여 전자 디바이스를 보호하기 위한 방법으로서,
상기 전자 디바이스는 제1 사용자 식별자와 연관된 제1 사용자에 대한 제1 사용자 크리덴셜 애플리케이션, 제2 사용자 식별자와 연관된 제2 사용자에 대한 제2 사용자 크리덴셜 애플리케이션, 및 디바이스 보호 애플리케이션을 포함하고, 상기 방법은:
상기 전자 디바이스에서, 상기 크리덴셜 보호 서버로부터, 제1 사용자 트랜잭션 크리덴셜 정보와 연관된 제1 보류 토큰을 포함하는 제1 사용자 크리덴셜 데이터를 수신하는 단계;
상기 제1 사용자 크리덴셜 데이터를 수신한 후에, 상기 제1 사용자 크리덴셜 애플리케이션을 사용하여, 상기 디바이스 보호 애플리케이션에 상기 제1 보류 토큰을 등록하는 단계;
상기 제1 사용자 크리덴셜 데이터를 수신한 후에, 상기 전자 디바이스의 상기 제2 사용자 크리덴셜 애플리케이션에서, 상기 크리덴셜 보호 서버로부터, 제2 사용자 트랜잭션 크리덴셜 정보와 연관된 제2 보류 토큰을 포함하는 제2 사용자 크리덴셜 데이터를 수신하는 단계;
상기 제2 사용자 크리덴셜 데이터를 수신한 후에, 상기 제2 사용자 크리덴셜 애플리케이션을 사용하여, 상기 디바이스 보호 애플리케이션에 상기 제2 보류 토큰을 등록하는 단계; 및
상기 전자 디바이스로부터 상기 디바이스 보호 서버로, 보류 데이터를 통신하는 단계를 포함하고, 상기 보류 데이터는:
상기 디바이스 보호 애플리케이션에 등록된 각각의 보류 토큰; 및
상기 제1 사용자 식별자 및 상기 제2 사용자 식별자 중 하나를 포함하는, 방법.
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662399166P | 2016-09-23 | 2016-09-23 | |
| US62/399,166 | 2016-09-23 | ||
| PCT/US2017/051563 WO2018057392A1 (en) | 2016-09-23 | 2017-09-14 | Managing credentials of multiple users on an electronic device |
| KR1020197000252A KR102163597B1 (ko) | 2016-09-23 | 2017-09-14 | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020197000252A Division KR102163597B1 (ko) | 2016-09-23 | 2017-09-14 | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20200116551A KR20200116551A (ko) | 2020-10-12 |
| KR102305943B1 true KR102305943B1 (ko) | 2021-09-27 |
Family
ID=59982493
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020197000252A KR102163597B1 (ko) | 2016-09-23 | 2017-09-14 | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
| KR1020207028014A KR102305943B1 (ko) | 2016-09-23 | 2017-09-14 | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020197000252A KR102163597B1 (ko) | 2016-09-23 | 2017-09-14 | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 |
Country Status (6)
| Country | Link |
|---|---|
| US (3) | US10567408B2 (ko) |
| EP (2) | EP3883216A1 (ko) |
| KR (2) | KR102163597B1 (ko) |
| CN (2) | CN113950047A (ko) |
| AU (1) | AU2017332645B2 (ko) |
| WO (1) | WO2018057392A1 (ko) |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101825157B1 (ko) | 2012-09-18 | 2018-03-14 | 구글 엘엘씨 | 복수의 서비스 제공자 신뢰 서비스 관리기들과 보안 요소들을 인터페이싱하기 위한 시스템들, 방법들, 및 컴퓨터 프로그램 제품들 |
| US10614099B2 (en) | 2012-10-30 | 2020-04-07 | Ubiq Security, Inc. | Human interactions for populating user information on electronic forms |
| US20170277773A1 (en) * | 2012-10-30 | 2017-09-28 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| US9842227B2 (en) | 2014-09-23 | 2017-12-12 | FHOOSH, Inc. | Secure high speed data storage, access, recovery, and transmission |
| US10579823B2 (en) | 2014-09-23 | 2020-03-03 | Ubiq Security, Inc. | Systems and methods for secure high speed data generation and access |
| JP6250595B2 (ja) | 2015-07-01 | 2017-12-20 | e−Janネットワークス株式会社 | 通信システム及びプログラム |
| US11061706B2 (en) * | 2017-01-06 | 2021-07-13 | Cisco Technology, Inc. | Method of tracking usage of virtual machines |
| CN108337210B (zh) * | 2017-01-19 | 2021-05-18 | 钉钉控股(开曼)有限公司 | 设备配置方法及装置、系统 |
| US10608882B2 (en) * | 2017-02-16 | 2020-03-31 | International Business Machines Corporation | Token-based lightweight approach to manage the active-passive system topology in a distributed computing environment |
| US10757123B2 (en) | 2018-01-25 | 2020-08-25 | Bank Of America Corporation | Dynamic record identification and analysis computer system with event monitoring components |
| US11349656B2 (en) | 2018-03-08 | 2022-05-31 | Ubiq Security, Inc. | Systems and methods for secure storage and transmission of a data stream |
| US10579839B1 (en) * | 2018-10-30 | 2020-03-03 | Yubico Ab | Activation for near-field communication device |
| US11281754B2 (en) | 2018-12-21 | 2022-03-22 | Verizon Patent And Licensing Inc. | Biometric based self-sovereign information management |
| US11288386B2 (en) | 2018-12-21 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| US11288387B2 (en) | 2018-12-21 | 2022-03-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| US11062006B2 (en) | 2018-12-21 | 2021-07-13 | Verizon Media Inc. | Biometric based self-sovereign information management |
| US11514177B2 (en) * | 2018-12-21 | 2022-11-29 | Verizon Patent And Licensing Inc. | Method and system for self-sovereign information management |
| US20200274713A1 (en) * | 2019-02-25 | 2020-08-27 | Tbcasoft, Inc. | Credential verification and issuance through credential service providers |
| JP7234699B2 (ja) * | 2019-03-05 | 2023-03-08 | ブラザー工業株式会社 | アプリケーションプログラムおよび情報処理装置 |
| US20210004454A1 (en) * | 2019-07-07 | 2021-01-07 | Apple Inc. | Proof of affinity to a secure event for frictionless credential management |
| US11140239B2 (en) * | 2019-12-30 | 2021-10-05 | Motorola Mobility Llc | End a shareable device interactive session based on user intent |
| US11640453B2 (en) | 2019-12-30 | 2023-05-02 | Motorola Mobility Llc | User authentication facilitated by an additional device |
| US11019191B1 (en) | 2019-12-30 | 2021-05-25 | Motorola Mobility Llc | Claim a shareable device for personalized interactive session |
| US11284264B2 (en) | 2019-12-30 | 2022-03-22 | Motorola Mobility Llc | Shareable device use based on user identifiable information |
| US11379574B2 (en) * | 2020-01-02 | 2022-07-05 | Disney Enterprises, Inc. | Secure recognition of mobile devices |
| CN111435503B (zh) * | 2020-02-27 | 2023-06-30 | 中国银联股份有限公司 | 用于获取电子凭据的方法和装置 |
| US11246032B1 (en) | 2020-10-29 | 2022-02-08 | Motional Ad Llc | Device provisioning and authentication |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140372319A1 (en) | 2011-09-28 | 2014-12-18 | Lionel Wolovitz | Methods and apparatus for brokering a transaction |
| US20150264050A1 (en) | 2012-04-01 | 2015-09-17 | Authentify, Inc. | Secure authentication in a multi-party system |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8700729B2 (en) | 2005-01-21 | 2014-04-15 | Robin Dua | Method and apparatus for managing credentials through a wireless network |
| US8527354B2 (en) * | 2006-08-08 | 2013-09-03 | Serverside Group Limited | Affinity group |
| CN101714921A (zh) * | 2008-10-06 | 2010-05-26 | 许先才 | 基于硬件令牌确认网站访问者身份的方法与系统 |
| RU2602394C2 (ru) | 2011-06-07 | 2016-11-20 | Виза Интернешнл Сервис Ассосиэйшн | Устройства, способы и системы токенизации конфиденциальности платежей |
| CN102254264A (zh) * | 2011-08-17 | 2011-11-23 | 广州广电运通金融电子股份有限公司 | 手机支付安全控制方法及系统 |
| WO2013123982A1 (en) | 2012-02-22 | 2013-08-29 | Nokia Siemens Networks Oy | Controlling access |
| US9590959B2 (en) * | 2013-02-12 | 2017-03-07 | Amazon Technologies, Inc. | Data security service |
| CN102891859B (zh) * | 2012-10-22 | 2016-05-25 | 北京奇虎科技有限公司 | 一种令牌接口过期处理系统及方法 |
| US10210341B2 (en) * | 2013-02-12 | 2019-02-19 | Amazon Technologies, Inc. | Delayed data access |
| US9143492B2 (en) * | 2013-03-15 | 2015-09-22 | Fortinet, Inc. | Soft token system |
| US10154025B2 (en) * | 2013-03-15 | 2018-12-11 | Qualcomm Incorporated | Seamless device configuration in a communication network |
| WO2014146259A1 (en) | 2013-03-20 | 2014-09-25 | Nokia Corporation | An identification token |
| CA2912695A1 (en) | 2013-05-15 | 2014-11-20 | Visa International Service Association | Mobile tokenization hub |
| AU2014293042A1 (en) * | 2013-07-24 | 2016-02-11 | Visa International Service Association | Systems and methods for communicating risk using token assurance data |
| GB2516828A (en) * | 2013-07-25 | 2015-02-11 | Visa Europe Ltd | Processing electronic tokens |
| US20150199679A1 (en) | 2014-01-13 | 2015-07-16 | Karthikeyan Palanisamy | Multiple token provisioning |
| US20150371234A1 (en) * | 2014-02-21 | 2015-12-24 | Looppay, Inc. | Methods, devices, and systems for secure provisioning, transmission, and authentication of payment data |
| US9942043B2 (en) * | 2014-04-23 | 2018-04-10 | Visa International Service Association | Token security on a communication device |
| EP3198907B1 (en) * | 2014-09-26 | 2019-04-10 | Visa International Service Association | Remote server encrypted data provisioning system and methods |
| CN104980925B (zh) * | 2015-06-01 | 2019-05-28 | 走遍世界(北京)信息技术有限公司 | 用户请求的认证方法和装置 |
-
2017
- 2017-09-14 US US15/704,849 patent/US10567408B2/en active Active
- 2017-09-14 AU AU2017332645A patent/AU2017332645B2/en active Active
- 2017-09-14 EP EP21173918.0A patent/EP3883216A1/en active Pending
- 2017-09-14 EP EP17777457.7A patent/EP3456034B1/en active Active
- 2017-09-14 CN CN202111208226.7A patent/CN113950047A/zh active Pending
- 2017-09-14 CN CN201780042138.XA patent/CN109417574B/zh active Active
- 2017-09-14 KR KR1020197000252A patent/KR102163597B1/ko active IP Right Grant
- 2017-09-14 WO PCT/US2017/051563 patent/WO2018057392A1/en unknown
- 2017-09-14 KR KR1020207028014A patent/KR102305943B1/ko active IP Right Grant
-
2020
- 2020-02-17 US US16/792,809 patent/US11277394B2/en active Active
-
2022
- 2022-02-25 US US17/652,679 patent/US20220417230A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140372319A1 (en) | 2011-09-28 | 2014-12-18 | Lionel Wolovitz | Methods and apparatus for brokering a transaction |
| US20150264050A1 (en) | 2012-04-01 | 2015-09-17 | Authentify, Inc. | Secure authentication in a multi-party system |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2017332645B2 (en) | 2019-12-19 |
| US20200186561A1 (en) | 2020-06-11 |
| KR20200116551A (ko) | 2020-10-12 |
| US11277394B2 (en) | 2022-03-15 |
| AU2017332645A1 (en) | 2019-01-17 |
| KR20190015508A (ko) | 2019-02-13 |
| US20220417230A1 (en) | 2022-12-29 |
| EP3456034A1 (en) | 2019-03-20 |
| US20180091538A1 (en) | 2018-03-29 |
| US10567408B2 (en) | 2020-02-18 |
| CN109417574B (zh) | 2021-10-29 |
| WO2018057392A1 (en) | 2018-03-29 |
| CN109417574A (zh) | 2019-03-01 |
| KR102163597B1 (ko) | 2020-10-08 |
| EP3456034B1 (en) | 2021-06-23 |
| EP3883216A1 (en) | 2021-09-22 |
| CN113950047A (zh) | 2022-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102305943B1 (ko) | 전자 디바이스 상에서의 다수의 사용자의 크리덴셜 관리 | |
| KR102323382B1 (ko) | 사용자 계정들 사이에서의 자금 이체의 용이화 | |
| TWI792284B (zh) | 用於驗證對安全裝置功能性之線上存取之方法 | |
| CN107067251B (zh) | 使用具有地理上受限的非本地凭据的电子设备进行交易 | |
| US20210004454A1 (en) | Proof of affinity to a secure event for frictionless credential management | |
| KR102051931B1 (ko) | 전자 디바이스의 보안 요소를 사용한 온라인 결제 | |
| JP6482601B2 (ja) | 電子デバイスとサービスプロバイダの間のセキュリティ保護された取引の管理 | |
| US20170357798A1 (en) | Removal of credentials from an electronic device | |
| US20150310432A1 (en) | Secure element architectural services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A107 | Divisional application of patent | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |