KR102343134B1 - Rcs용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델 - Google Patents

Rcs용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델 Download PDF

Info

Publication number
KR102343134B1
KR102343134B1 KR1020190079654A KR20190079654A KR102343134B1 KR 102343134 B1 KR102343134 B1 KR 102343134B1 KR 1020190079654 A KR1020190079654 A KR 1020190079654A KR 20190079654 A KR20190079654 A KR 20190079654A KR 102343134 B1 KR102343134 B1 KR 102343134B1
Authority
KR
South Korea
Prior art keywords
user
identity
assertion token
information
server
Prior art date
Application number
KR1020190079654A
Other languages
English (en)
Other versions
KR20200003744A (ko
Inventor
존 에이 영
Original Assignee
아바야 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 인코포레이티드 filed Critical 아바야 인코포레이티드
Publication of KR20200003744A publication Critical patent/KR20200003744A/ko
Application granted granted Critical
Publication of KR102343134B1 publication Critical patent/KR102343134B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/12Messaging; Mailboxes; Announcements
    • H04W4/14Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3231Biological data, e.g. fingerprint, voice or retina
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

일 실시예에 따르면, 신원 인증을 제공하는 것은 신원 서버에 의해, 보안 저장소에 있는 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자에 대한 신원 레코드 내에 신원 증명(POI) 정보를 등록하고 신원 관리 블록체인 내에 사용자에 대한 신원 주장 토큰의 해시를 등록하는 것을 포함한다. 신원 서버는 사용자를 인증하라는 요청을 수신할 수 있고, 요청에 응답하여, 사용자에 대한 암호화된 신원 주장 토큰을 제공할 수 있다. 암호화된 신원 주장 토큰은 인증 기관의 증명을 포함할 수 있으며, 복호화 및 해싱되면, 사용자가 진짜로 인증될 때 신원 관리 블록체인 내의 신원 주장 토큰의 해시와 일치할 수 있다. 또한, 요청에 응답하여, 사용자의 수신된 생체인식 데이터 및 디바이스 데이터가 기준 생체인식 및 디바이스 데이터와 일치하는 정도를 표시하는 인증 스코어가 제공될 수 있다.

Description

RCS용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델{FEDERATED BLOCKCHAIN IDENTITY MODEL AND SECURE PERSONALLY IDENTIFIABLE INFORMATION DATA TRANSMISSION MODEL FOR RCS}
본 개시내용의 실시예는 일반적으로 사용자를 인증하기 위한 방법 및 시스템에 관한 것으로, 더욱 상세하게는 신원 관리 블록체인을 이용하고 개인적으로 식별 가능한 정보(personally identifiable information)를 보안하여 리치 커뮤니케이션 서비스(Rich Communications Services)(RCS) 네트워크 내의 사용자를 인증하는 것에 관한 것이다.
리치 커뮤니케이션 서비스(RCS)는 산업 생태계 내에서 운영자 간 이동통신 서비스의 전개를 촉진하는 국제적인 계획이다. 이것은 이동통신 사업자 간, 그리고 전화기와 이동통신 사업자 간 통신 프로토콜이다. 이것은 전통적인 SMS 메시징을 보다 풍부하고 인-콜 멀티미디어(in-call multimedia)를 전송할 수 있는 차세대 텍스트 메시징 기능으로 대체하는 것을 목표로 한다. RCS의 출현은 "오버 더 톱(Over the Top)" 제공자가 현존 통신 사업자 네트워크를 통해 고 부가가치 서비스를 제공하였던 경쟁 상황에 대처하려는 이동통신 운영자에 의한 대응이었다. RCS 기능의 세트는 다음과 같은 것: 스탠드얼론 메시징, 일대일 채팅, 그룹 채팅, 파일 전송, 콘텐츠 공유, 소셜 프레즌스 정보(Social Presence Information), IP 음성 통화, 최선 노력 영상 통화(Best Effort Video call), 위치 정보 교류(Geolocation Exchange), 오디오 메시징, 네트워크 기반 블랙리스트, 및 프레즌스 또는 SIP OPTIONS에 기초한 기능 교류를 포함한다. VoLTE(Voice over Long-Term Evolution)는 본질적으로 리치 커뮤니케이션 서비스(RCS)가 활용될 수 있는 기반 무선 네트워크 인프라스트럭처를 제공한다.
그러나, RCS 네트워크에는 인정된 다수의 보안 취약점이 있다. 예를 들어, 개별 디바이스에서 RCS 서비스의 인증은 현재 사용자 이름/비밀번호 조합에 기초한 솔루션으로 수행된다. 이러한 자격증명은 멀웨어 애플리케이션에 의해 해킹되어 신원(identity)을 도용하는데 사용될 수 있는 위험이 있다.
다른 예로, 사용자 인증은 애플리케이션과 피어 네트워크 애플리케이션 사이에서 교환되는 자격증명(사용자 이름 및 비밀번호)에 기초한 기본 또는 다이제스트 액세스 인증을 통해 수행된다. 자격증명의 자동 프로비저닝은 디바이스 프로비저닝을 통해 적용된다. 다이제스트 절차 자체는 안전하고 공격으로부터 강인하다. 그러나, 이것은 애플리케이션의 키 저장소로의 액세스를 통해 자격증명을 찾아내는 공격 또는 자격증명 관리 절차(예를 들어, 클라이언트 진위가 검증되지 않은 RCS 애플리케이션인 척하는 멀웨어)에 기반한 스푸핑 공격에 취약하다.
또한 RCS는 실제로, 베어러 세션 내에서 서비스를 사용하기 위한 베어러 셋업 시 사용자의 인증을 연장시키는 싱글-사인-온(Single-Sign-On)(SSO)인 네트워크 기반 사용자 식별(예를 들어, "헤더 강화(header enrichment)")를 지원한다. 3GPP 네트워크에서 베어러 셋업은 전형적으로 SIM 기반 인증 및 키 동의 프로토콜(Authentication and Key Agreement protocol)에 기초한다. 베어러 셋업 시 할당된 IP 주소는 기존 베어러 세션 내에서 사용자를 식별하는 기준으로 사용된다. RCS 서비스 제공자는 신뢰성 있는 네트워크 액세스를 보호하기 위해 예방 조치를 취해야 한다. 이러한 메커니즘은 공격자가 사용자 대신에 베어러 세션을 사용할 허가를 가지면 공격자가 네트워크 서비스에 대한 무단 액세스 권한을 획득할 수 있기 때문에 안전하지 않다.
RCS는 일회용 비밀번호(One-Time Password)(OPT)를 통한 사용자 기반 인증을 활용하며, 이에 의해 사용자 또는 디바이스는 채널을 통해 넘어온 시그널링 트랜잭션을 통해 시도된 신원을 이러한 신원에 대한 인증 컨텍스트, 예를 들면, 다른 디바이스로의 단문 메시지 서비스 또는 외부 보안 토큰 서비스로 주장한다. 일회성 인증에 기초하여, 장기(long-term) 인증 컨텍스트가 생성되어(SSO) 후속 인증 트랜잭션이 필요하지 않게 할 수 있다. 이러한 보안 대책은 예를 들면, 이중 인증(two-factor authentication)의 원칙에 기초한 다른 인증 메커니즘에 대한 추가 대책으로서 사용될 수 있는데, 이는 대부분의 경우 사용자에 미치는 영향이 수반된다. OTP를 통한 단일 토큰 교환은 그 자체로 안전하다. 그러나, 이것은 액세스를 인증하는 데 사용되는 토큰에 대한 액세스 권한을 획득하려는 스푸핑 공격에 취약하다. OTP 인증을 위해 SMS 메시지를 사용하는 것은 본질적으로 안전하지 않다.
따라서, 제 3 자 애플리케이션이 사용자 데이터를 검색하거나 사용자를 대신하여 통신 서비스를 사용할 수 있는 위험이 지속된다. 주요 RCS 취약점은 사용자 식별 및 인증 데이터가 보안 대책이 약한 디바이스 관리 기술을 통해 소비자에게 제공된다는 사실에서 비롯된다. 따라서, RCS 네트워크 또는 서비스의 사용자를 인증하기 위한 개선된 방법 및 시스템이 필요하다.
본 개시내용의 실시예는 신원 관리 블록 체인을 사용하고 개인적으로 식별 가능한 정보를 보안하여 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자를 인증하기 위한 시스템 및 방법을 제공한다. 이러한 모델은 RCS 이동통신 제공자의 생태계 사이에서 RCS 인증 서비스의 전개 및 상호 운용성을 크게 개선할 수 있다. 참여하는 모든 RCS 이동통신 제공자는 각 RCS 사용자마다 고유하게 존재하는 동일한 불변의 "신원 증명(proof-of-identity)" 정보에 대한 공통 액세스 권한을 얻을 수 있다.
일 실시예에 따르면, 신원 인증을 제공하기 위한 방법은 신원 서버에 의해, 보안 저장소에 있는 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자에 대한 신원 레코드 내에 신원 증명(POI) 정보를 등록하고 신원 관리 블록 체인 내에 사용자에 대한 신원 주장 토큰의 해시를 등록하는 단계를 포함할 수 있다. 사용자에 대한 신원 레코드 내에 POI 정보를 등록하는 단계는 신원 서버에 의해 사용자의 디바이스로부터, 하나 이상의 RCS 네트워크 자격 증명, 하나 이상의 신원 주장, 사용자의 디바이스를 고유하게 식별하는 디바이스 정보 및/또는 사용자에 대한 개인적 식별 가능 정보(PII)를 수신하는 단계를 포함할 수 있다. 사용자의 POI 정보는 사용자의 신원 레코드 내에 암호화된 형식으로 저장될 수 있다. 사용자로부터의 신원 주장의 인증은 인증 기관의 신원 서버에 의해 획득될 수 있다. 부가적으로 또는 대안적으로, 사용자에 대한 기준 생체인식 데이터의 세트는 신원 서버에 의해 사용자의 디바이스로부터 수신될 수 있다. 사용자에 대한 기준 생체 인식 데이터 세트가 또한 암호화된 형태로 저장될 수 있다. 그런 다음 인증 기관으로부터 수신되고 사용자에 대한 신원 주장에 대한 인증 기관의 증명을 나타내는 신원 주장 토큰의 해시가 신원 서버에 의해 생성될 수 있고 사용자에 대한 신원 주장 토큰의 해시가 신원 서버에 의해 신원 관리 블록체인에 기입될 수 있다.
그런 다음 사용자를 인증하라는 요청이 신원 서버에 의해 수신될 수 있다. 요청에 응답하여, 신원 서버는 사용자에 대한 신원 정보를 제공할 수 있다. 신원 정보는 사용자에 대한 하나 이상의 암호화된 신원 주장 토큰을 포함할 수 있다. 일 실시예에 따르면, 사용자에 대한 하나 이상의 암호화된 신원 주장 토큰을 제공하는 단계는 사용자의 디바이스로부터, 생체인식 데이터 및 디바이스 데이터를 수신하는 단계와, 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내 데이터와 일치하는지를 결정하는 단계와, 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내 데이터와 일치하는 것에 응답하여, 신원 서버에 의해, 사용자에 대한 하나 이상의 암호화된 신원 주장 토큰 및/또는 암호화된 PII를 해제하는 단계를 더 포함할 수 있다. 부가적으로 또는 대안적으로, 사용자에 대한 하나 이상의 암호화된 신원 주장 토큰 및/또는 암호화된 PII를 제공하는 단계는 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내의 데이터와 일치하는 정도를 표시하는 인증 스코어를 생성하고 요청에 응답하여 인증 스코어를 제공하는 단계를 포함할 수 있다.
다른 실시예에 따르면, 사용자를 인증하기 위한 방법은 이동통신 사업자 시스템에 의해 사용자의 디바이스로부터, 서비스 요청을 수신하는 단계와, 이동통신 사업자 시스템에 의해 사용자의 디바이스로, 서비스 요청에 응답하여, 인증 시도를 제공하는 단계와, 이동통신 사업자 시스템에 의해, 사용자의 디바이스로부터 및 인증 시도에 응답하여, 사용자에 대한 신원 주장 토큰의 해시를 포함하는 신원 관리 블록체인의 주소, 대칭 키 및 신원 서버의 주소를 수신하는 단계를 포함할 수 있고, 하나 이상의 암호화된 신원 토큰이 검색될 수 있고 및/또는 암호화된 PII 데이터가 검색될 수 있는 하나 이상의 주소가 검색될 수 있다. 그런 다음 이동통신 사업자 시스템은 사용자의 디바이스로부터 수신된 주소의 신원 서버로부터 사용자에 대한 신원 주장 토큰을 요청할 수 있다.
사용자에 대한 암호화된 신원 주장 토큰은 요청에 응답하여 신원 서버로부터 이동통신 사업자 시스템에 의해 수신될 수 있다. 사용자의 디바이스로부터 수신된 대칭 키를 사용하여, 이동통신 사업자 시스템은 수신된 암호화된 신원 주장 토큰을 복호화하고, 암호화된 신원 주장 토큰 및/또는 만일 있다면 PII 데이터를 대칭 키를 사용하여 복호화할 수 있고, 복호화된 신원 주장 토큰의 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는지를 결정할 수 있다. 복호화된 신원 주장 토큰의 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는 것에 응답하여, 이동통신 사업자 시스템은 요청된 서비스를 사용자의 디바이스에 제공할 수 있다. 경우에 따라, 이동통신 사업자 시스템은 사용자의 디바이스로부터의 디바이스 정보 및 사용자에 대한 현재의 생체인식 정보의 현재 세트와 이전에 등록된 디바이스 정보 및 생체인식 정보의 비교에 기초하여 신원 서버에 의해 생성된 인증 스코어를 신원 서버로부터 수신할 수 있다. 이러한 경우, 이동통신 사업자 시스템은 인증 스코어에 대한 문턱 값을 정의하는 하나 이상의 보안 정책을 적용할 수 있고, 요청된 서비스를 제공하는 것은 또한 하나 이상의 보안 정책을 적용한 결과에 기초할 수 있다.
또 다른 실시예에 따르면, 시스템은 프로세서 및 프로세서와 연결되고 프로세서에 의해 판독 가능하며, 명령어 세트를 저장하는 메모리를 포함하는 신원 서버를 포함할 수 있고, 명령어 세트는 프로세서에 의해 실행될 때, 프로세서로 하여금 보안 저장소에 있는 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자에 대한 신원 레코드 내에 신원 증명(POI) 정보를 등록하고 신원 관리 블록 체인 내에 사용자에 대한 신원 주장 토큰의 해시를 등록함으로써, 신원 인증을 제공하게 한다. 시스템은 또한 프로세서 및 프로세서와 연결되고 프로세서에 의해 판독 가능하며, 명령어 세트를 저장하는 메모리를 포함하는 이동통신 사업자 시스템을 포함할 수 있고, 명령어 세트는 프로세서에 의해 실행될 때, 프로세서로 하여금, 사용자의 디바이스로부터, 서비스 요청을 수신하고, 서비스 요청에 응답하여 인증 시도를 사용자의 디바이스에 제공하고, 사용자의 디바이스로부터 및 인증 시도에 응답하여, 신원 관리 블록체인의 주소, 대칭 키 및 신원 서버의 주소를 수신하고, 사용자의 디바이스로부터 수신된 주소의 신원 서버로부터 사용자에 대한 신원 주장 토큰을 요청함으로써, 서비스를 요청할 때 사용자를 인증하게 한다.
신원 서버의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금, 이동통신 사업자 시스템으로부터, 사용자의 신원 주장 토큰의 요청을 수신하게 하고, 그 요청에 응답하여, 이동통신 사업자 시스템으로, 사용자에 대한 암호화된 신원 주장 토큰을 제공하게 할 수 있다. 암호화된 신원 주장 토큰은 사용자에 의한 신원 주장에 대한 인증 기관의 증명을 포함할 수 있다.
이동통신 사업자 시스템의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금, 신원 서버로부터, 요청에 응답하여 사용자에 대한 암호화된 신원 주장 토큰을 수신하게 하고, 사용자의 디바이스로부터 수신된 대칭 키를 사용하여 수신된 암호화된 신원 주장 토큰을 복호화하게 하고, 사용자의 디바이스로부터 수신된 대칭 키를 사용하여 복호화된 신원 주장 토큰의 해시를 생성하게 하고, 복호화된 신원 주장 토큰의 생성된 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는지를 결정하게 하며, 복호화된 신원 주장 토큰의 생성된 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는 것에 응답하여 요청된 서비스를 사용자의 디바이스에 제공하게 할 수 있다.
사용자에 대한 신원 레코드 내에 POI 정보를 등록하는 것은 사용자의 디바이스로부터, 하나 이상의 RCS 네트워크 자격증명, 하나 이상의 신원 주장, 그의 디바이스를 고유하게 식별하는 디바이스 정보 및/또는 사용자에 대한 개인적 식별 가능 정보(PII)를 수신하고 사용자에 대한 POI 정보를 사용자에 대한 신원 레코드 내에 암호화된 형태로 저장하는 것을 포함할 수 있다. 신원 서버의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금 사용자에 의해 인증 기관으로부터 제공된 신원 주장의 증명을 획득하게 할 수 있다. 부가적으로 또는 대안적으로, 신원 서버의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금 사용자의 디바이스로부터, 사용자에 대한 기준 생체인식 데이터 세트를 수신하게 하고, 사용자에 대한 기준 생체인식 데이터 세트를 암호화된 형태로 저장하게 할 수 있다.
신원 서버의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금, 사용자에 대한 암호화된 신원 주장 토큰을 이동통신 사업자 시스템에 제공하기 이전에, 사용자의 디바이스로부터, 생체인식 데이터 및 디바이스 데이터를 수신하게 하고, 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내 데이터와 일치하는지를 결정하게 하고, 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내 데이터와 일치하는 것에 응답하여, 사용자에 대한 신원 레코드를 잠금 해제하게 할 수 있다. 경우에 따라, 수신된 요청에 응답하여, 사용자에 대한 암호화된 신원 주장 토큰을 제공하는 것은 또한 수신된 생체인식 데이터 및 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내의 데이터와 일치하는 정도를 표시하는 인증 스코어를 생성하고 요청에 응답하여 인증 스코어를 제공하는 것을 포함할 수 있다. 이러한 경우, 이동통신 사업자 시스템의 프로세서에 의해 실행되는 명령어는 또한 프로세서로 하여금, 신원 서버로부터, 사용자의 디바이스로부터의 디바이스 정보 및 사용자에 대한 현재의 생체인식 정보의 현재 세트와 이전에 등록된 디바이스 정보 및 생체인식 정보의 비교에 기초하여 신원 서버에 의해 생성된 인증 스코어를 수신하게 하고, 인증 스코어에 대한 문턱 값을 정의하는 하나 이상의 보안 정책을 적용하게 할 수 있고, 요청된 서비스를 제공하는 것은 또한 하나 이상의 보안 정책을 적용한 결과에 기초한다. 일 구현예에서, 이동통신 사업자 시스템은 이동통신 사업자 네트워크의 시스템을 포함할 수 있고, 사용자의 디바이스는 이동 디바이스를 포함할 수 있고, 서비스 요청은 RCS 네트워크 액세스에 대한 요청을 포함할 수 있다.
도 1은 본 개시내용의 실시예가 구현될 수 있는 예시적인 컴퓨팅 환경의 요소를 도시하는 블록도이다.
도 2는 본 개시내용의 실시예가 구현될 수 있는 예시적인 컴퓨팅 디바이스의 구성 요소를 도시하는 블록도이다.
도 3은 본 개시내용의 일 실시예에 따라 신원을 등록하기 위한 시스템의 요소를 도시하는 블록도이다.
도 4는 본 개시내용의 일 실시예에 따라 신원을 인증하기 위한 시스템의 요소를 도시하는 블록도이다.
도 5는 본 개시내용의 다른 실시예에 따라 신원을 인증하기 위한 시스템의 요소를 도시하는 블록도이다.
도 6은 본 개시내용의 일 실시예에 따라 신원을 등록하기 위한 예시적인 프로세스를 도시하는 흐름도이다.
도 7은 본 개시내용의 일 실시예에 따라 신원을 인증하기 위한 예시적인 프로세스를 도시하는 흐름도이다.
첨부된 도면에서, 유사한 구성요소 및/또는 특징은 동일한 참조 레이블을 가질 수 있다. 또한, 동일한 유형의 여러 구성요소는 유사한 구성요소를 구별하는 문자가 참조 레이블을 따라 붙어 있음으로써 구별될 수 있다. 명세서에서 제 1 참조 레이블만 사용되면, 설명은 제 2 참조 레이블과 관계없이 동일한 제 1 참조 레이블을 갖는 유사한 구성요소 중 어떤 구성요소에도 적용 가능하다.
다음의 설명에서, 설명 목적을 위해, 본 명세서에 개시된 다양한 실시예의 철저한 이해를 제공하기 위해 다수의 특정 세부 사항이 제시된다. 그러나, 관련 기술분야에서 통상의 기술자에게는 본 개시내용의 다양한 실시예가 일부의 이러한 특정 세부 사항 없이 실시될 수 있음이 명백할 것이다. 다음의 설명은 단지 예시적인 실시예를 제공할 뿐이지 본 개시내용의 범위 또는 적용 가능성을 제한하려는 것은 아니다. 뿐만 아니라, 본 개시내용을 불필요하게 모호하게 하는 것을 피하기 위해, 앞서의 설명은 다수의 공지된 구조 및 디바이스를 생략한다. 이와 같은 생략은 청구항의 범위를 제한하는 것으로 해석되어서는 안된다. 오히려, 예시적인 실시예에 관한 다음의 설명은 관련 기술분야에서 통상의 기술자에게 예시적인 실시예를 구현하기 위한 권능을 부여하는 설명을 제공할 것이다. 그러나, 본 개시내용은 본 명세서에 설명된 특정 세부 사항 이외의 다양한 방식으로 실시될 수 있다는 것을 인식하여야 한다.
본 명세서에서 예시된 예시적인 양태, 실시예 및/또는 구성은 함께 배치된 시스템의 다양한 구성요소를 보여주지만, 시스템의 특정 구성요소는 LAN 및/또는 인터넷과 같은 분산 네트워크의 먼 부분에서 또는 전용 시스템 내에서, 원격으로 위치될 수 있다. 따라서, 시스템의 구성요소는 하나 이상의 디바이스에 결합되거나 또는 아날로그 및/또는 디지털 원격 통신 네트워크, 패킷 교환 네트워크, 또는 회선 교환 네트워크와 같은 분산 네트워크의 특정 노드 상에 함께 배치될 수 있다는 것을 인식하여야 한다. 다음의 설명으로부터 그리고 계산 효율성의 이유로, 시스템의 구성요소는 시스템의 동작에 영향을 미치지 않으면서 구성요소의 분산 네트워크 내의 임의의 위치에 배열될 수 있다는 것이 인식될 것이다.
또한, 요소를 연결하는 다양한 링크는 유선 또는 무선 링크, 또는 이들의 임의의 조합, 또는 연결된 요소로 및 연결된 요소로부터 데이터를 공급 및/또는 전달할 수 있는 임의의 다른 알려진 또는 나중에 개발되는 요소(들)일 수 있다는 것을 인식하여야 한다. 이러한 유선 또는 무선 링크는 또한 보안 링크일 수 있으며 암호화된 정보를 전달할 수도 있다. 예를 들어, 링크로서 사용되는 전송 매체는 동축 케이블, 구리선 및 광섬유를 비롯한, 전기 신호를 위한 임의의 적합한 캐리어일 수 있으며, 전파 및 적외선 데이터 통신 동안 발생되는 것과 같은 음향파 또는 광파의 형태를 취할 수 있다.
본 명세서에 사용되는 바와 같이, "적어도 하나", "하나 이상의", "또는" 및 "및/또는"이라는 문구는 결합되어 동작하고 분리되어 동작하는 둘 모두의 개방형 표현이다. 예를 들어, "A, B 및 C 중 적어도 하나", "A, B 또는 C 중 적어도 하나", "A, B 및 C 중 하나 이상", "A, B 또는 C 중 하나 이상", "A, B 및/또는 C " 및 "A, B 또는 C "는 A 단독, B 단독, C 단독, A 및 B 함께, A 및 C 함께, B 및 C 함께, 또는 A, B 및 C 함께를 의미한다.
용어 "하나" 또는 "한" 엔티티는 하나 이상의 해당 엔티티를 지칭한다. 이와 같이, "하나"(또는 "한"), "하나 이상" 및 "적어도 하나"라는 용어는 본 명세서에서 상호 교환 가능한 것으로 사용될 수 있다. "포함하는", "구비하는" 및 "갖는"이라는 용어는 상호 교환 가능한 것으로 사용될 수 있다는 것을 또한 유의하여야 한다.
본 명세서에서 사용되는 것으로, "자동적" 및 그 변형체는 프로세스 또는 동작이 수행될 때 물질적인 인간의 입력 없이 행해지는 임의의 프로세스 또는 동작을 지칭한다. 그러나, 프로세스 또는 동작을 수행하기 전에 입력이 수신되면, 프로세스 또는 동작의 수행이 물질적이거나 실체가 없는 인간의 입력을 사용하더라도, 프로세스 또는 동작은 자동적일 수 있다. 그러한 입력이 프로세스 또는 동작이 수행되는 방법에 영향을 미친다면, 인간의 입력은 물질적인 것으로 간주된다. 프로세스 또는 동작의 수행에 협조하는 인간의 입력은 "물리적인" 것으로 간주되지 않는다.
본 명세서에서 사용되는 바와 같은 "컴퓨터 판독 가능 매체"라는 용어는 프로세서에게 실행을 위한 명령어를 제공하는데 참여하는 임의의 유형의 저장소 및/또는 전송 매체를 지칭한다. 그러한 매체는 이것으로 제한되는 것은 아니지만, 비 휘발성 매체, 휘발성 매체 및 전송 매체를 비롯한, 많은 형태를 취할 수 있다. 비 휘발성 매체는 예를 들어, NVRAM 또는 자기 또는 광학 디스크를 포함한다. 휘발성 매체는 메인 메모리와 같은 다이나믹 메모리를 포함한다. 컴퓨터 판독 가능 매체의 일반적인 형태는, 예를 들어, 플로피 디스크, 플렉시블 디스크, 하드 디스크, 자기 테이프, 또는 임의의 다른 자기 매체, 광자기 매체, CD-ROM, 임의의 다른 광학 매체, 펀치 카드, 페이퍼 테이프, 구멍 패턴을 갖는 임의의 다른 물리적 매체, RAM, PROM 및 EPROM, FLASH-EPROM, 메모리 카드와 같은 고체 상태 매체, 임의의 다른 메모리 칩 또는 카트리지, 이하에서 설명되는 바와 같은 반송파, 또는 컴퓨터가 판독할 수 있는 임의의 다른 매체를 포함한다. 전자 메일 또는 다른 독립형 정보 아카이브(archive) 또는 아카이브 세트에 대한 디지털 파일 첨부는 유형의 저장 매체와 동등한 배포 매체로 간주된다. 컴퓨터 판독 가능 매체가 데이터베이스로서 구성될 때, 이것은 임의의 유형의 데이터베이스, 예컨대, 관계형, 계층적, 객체 지향적 및/또는 이와 유사한 데이터베이스일 수 있다는 것을 이해하여야 한다. 따라서, 본 개시내용은 본 개시내용의 소프트웨어 구현예가 저장되는 유형의 저장 매체 또는 분배 매체 및 종래 기술로 인식되는 등가물 및 후속 매체를 포함하는 것으로 간주된다.
"컴퓨터 판독 가능 신호" 매체는, 예를 들어, 기저 대역에서 또는 반송파의 일부로서 본 명세서에서 구현된 컴퓨터 판독 가능 프로그램 코드를 갖는 전파된 데이터 신호를 포함할 수 있다. 그러한 전파된 신호는 이것으로 제한되는 것은 아니지만, 전자기, 광학 또는 이들의 임의의 적합한 조합을 비롯하여, 다양한 형태 중 임의의 형태를 취할 수 있다. 컴퓨터 판독 가능 신호 매체는 컴퓨터 판독 가능 저장 매체가 아니며 명령어 실행 시스템, 장치 또는 디바이스에 의해 또는 그와 관련하여 사용하기 위한 프로그램을 전달, 전파 또는 전송할 수 있는 임의의 컴퓨터 판독 가능 매체일 수 있다. 컴퓨터 판독 가능 매체 상에 구현된 프로그램 코드는 무선, 유선, 광섬유 케이블, RF 등, 또는 전술한 것들의 임의의 적합한 조합을 비롯한, 임의의 적절한 매체를 사용하여 전송될 수 있다.
본 명세서에서 사용되는 바와 같은, "결정하다", "계산하다" 및 "컴퓨팅하다" 및 이들의 변형체의 용어는 서로 교환 가능하게 사용되며 임의의 유형의 방법론, 프로세스, 수학적 연산 또는 기술을 포함한다.
본 명세서에서 사용되는 바와 같은, "수단"이라는 용어는 35 U.S.C., 섹션 112, 패러그래프 6에 따라 가능한 가장 광범위한 해석이 주어짐을 이해하여야 한다. 따라서, "수단"이라는 용어를 포함하는 청구항은 본 명세서에 제시된 모든 구조, 재료 또는 행위 및 그의 모든 등가물을 포함할 것이다. 또한, 구조, 재료 또는 행위 및 그 등가물은 본 개시내용의 요약, 도면의 간단한 설명, 상세한 설명, 요약서 및 청구항 자체에 기재된 모든 것을 포함할 것이다.
본 개시내용의 양태는 본 명세서에서 모두 일반적으로 "회로", "모듈" 또는 "시스템"이라고 지칭될 수 있는 전체적으로 하드웨어 실시예, 전체적으로 소프트웨어 실시예(펌웨어, 상주 소프트웨어, 마이크로 코드 등을 포함함) 또는 소프트웨어 양태와 하드웨어 양태를 결합하는 실시예의 형태를 취할 수 있다. 하나 이상의 컴퓨터 판독 가능 매체(들)의 임의의 결합이 이용될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터 판독 가능 신호 매체 또는 컴퓨터 판독 가능 저장 매체일 수 있다.
또 다른 실시예에서, 본 개시내용의 시스템 및 방법은 특수 목적 컴퓨터, 프로그램된 마이크로프로세서 또는 마이크로제어기 및 주변 집적 회로 요소(들), ASIC 또는 다른 집적 회로, 디지털 신호 프로세서, 이산적 요소 회로와 같은 고정 배선 전자 또는 로직 회로, PLD, PLA, FPGA, PAL과 같은 프로그래머블 로직 디바이스 또는 게이트 어레이, 특수 목적 컴퓨터, 또는 임의의 비교 가능한 수단 등과 함께 구현될 수 있다. 일반적으로, 본 명세서에 예시된 방법론을 구현할 수 있는 임의의 디바이스(들) 또는 수단은 본 개시내용의 다양한 양태를 구현하는데 사용될 수 있다. 개시된 실시예, 구성 및 양태에 사용될 수 있는 예시적인 하드웨어는 컴퓨터, 핸드헬드 디바이스, 전화기(예를 들어, 셀룰러, 인터넷 가능, 디지털, 아날로그, 하이브리드 및 기타의 것) 및 관련 기술분야에서 공지된 다른 하드웨어를 포함한다. 이러한 디바이스 중 일부는 프로세서(예를 들어, 단일 또는 다중 마이크로 프로세서), 메모리, 비 휘발성 저장소, 입력 디바이스 및 출력 디바이스를 포함한다. 또한, 이것으로 제한되는 것은 아니지만, 분산 프로세싱 또는 컴포넌트/객체 분산 프로세싱, 병렬 프로세싱 또는 가상 머신 프로세싱을 비롯한 대안적인 소프트웨어 구현예가 또한 본 명세서에 설명된 방법을 구현하도록 구성될 수 있다.
본 명세서에서 설명된 바와 같은 프로세서의 예로는 이것으로 제한되는 것은 아니지만, 4G LTE와 통합되고 64-비트 컴퓨팅 가능한 Qualcomm® Snapdragon® 800 및 801, Qualcomm® Snapdragon® 610 및 615, Apple® A7 프로세서 64-비트 아키텍처, Apple® M7 모션 코프로세서, Samsung® Exynos® 시리즈, Intel® Core™ 프로세서 제품군, Intel® Xeon® 프로세서 제품군, Intel® Atom™ 프로세서 제품군, Intel Itanium® 프로세서 제품군, Intel® Core® i5-4670K 및 i7-4770K 22nm Haswell, Intel® Core® i5-3570K 22nm Ivy Bridge, AMD® FX™ 프로세서 제품군, AMD® FX-4300, FX-6300 및 FX-8350 32nm Vishera, AMD® Kaveri 프로세서, Texas Instruments® Jacinto C6000™ 자동차 인포테인먼트 프로세서, Texas Instruments® OMAP™ 자동차급 모바일 프로세서, ARM® Cortex™-M 프로세서, ARM® Cortex-A 및 ARM926EJ-S™ 프로세서, 기타 업계의 동등한 프로세서를 포함할 수 있으며, 임의의 공지된 또는 미래에 개발되는 표준, 명령어 세트, 라이브러리 및/또는 아키텍처를 사용하여 계산 기능을 수행할 수 있다.
또 다른 실시예에서, 개시된 방법은 다양한 컴퓨터 또는 워크스테이션 플랫폼에서 사용될 수 있는 휴대용 소스 코드를 제공하는 객체 또는 객체 지향 소프트웨어 개발 환경을 사용하여 소프트웨어와 함께 쉽게 구현될 수 있다. 대안적으로, 개시된 시스템은 표준 로직 회로 또는 VLSI 설계를 사용하여 부분적으로 또는 완전히 하드웨어로 구현될 수 있다. 소프트웨어 또는 하드웨어가 본 개시내용에 따라 시스템을 구현하는데 사용되는지는 활용되는 시스템의 속도 및/또는 효율성 요건, 특정 기능, 활용되는 특정 소프트웨어 또는 하드웨어 시스템 또는 마이크로프로세서 또는 마이크로컴퓨터 시스템에 따라 달라진다.
또 다른 실시예에서, 개시된 방법은 제어기 및 메모리, 특수 목적 컴퓨터, 마이크로프로세서 등과 협력하여, 저장 매체 상에 저장되고, 프로그램된 범용 컴퓨터상에서 실행될 수 있는 소프트웨어로 부분적으로 구현될 수 있다. 이러한 경우에, 본 개시내용의 시스템 및 방법은 애플릿, JAVA® 또는 CGI 스크립트와 같은 퍼스널 컴퓨터 상에 내장된 프로그램으로서, 서버 또는 컴퓨터 워크스테이션 상에 상주하는 자원으로서, 전용 계측 시스템에 내장된 루틴으로서, 또는 이와 유사한 것으로서 구현될 수 있다. 시스템은 또한 시스템 및/또는 방법을 소프트웨어 및/또는 하드웨어 시스템에 물리적으로 통합함으로써 구현될 수 있다.
본 개시내용은 특정 표준 및 프로토콜을 참조하여 양태, 실시예 및/또는 구성에서 구현된 구성요소 및 기능을 설명하지만, 양태, 실시예 및/또는 구성은 이러한 표준 및 프로토콜로 제한되지 않는다. 본 명세서에 언급되지 않은 다른 유사한 표준 및 프로토콜이 존재하며 본 개시 내용에 포함되는 것으로 간주된다. 더욱이, 본 명세서에 언급된 표준 및 프로토콜과 본 명세서에 언급되지 않은 다른 유사한 표준 및 프로토콜은 본질적으로 동일한 기능을 갖는 더 빠르고 보다 효과적인 등가물로 주기적으로 대체된다. 동일한 기능을 갖는 그러한 대체 표준 및 프로토콜은 본 개시내용에 포함된 등가물로 간주된다.
이하, 도면을 참조하여 본 개시내용의 실시예의 다양한 추가의 세부 사항이 설명될 것이다. 흐름도가 이벤트의 특정 시퀀스와 관련하여 논의되고 도시 되지만, 이 시퀀스에 대한 변경, 추가 및 생략은 개시된 실시예, 구성 및 양태의 동작에 물질적으로 영향을 미치지 않고 일어날 수 있음을 인식하여야 한다.
도 1은 본 개시내용의 실시예가 구현될 수 있는 예시적인 컴퓨팅 환경의 요소를 도시하는 블록도이다. 보다 구체적으로, 본 예는 본 명세서에서 제공되고 설명되는 서버, 사용자 컴퓨터, 또는 다른 시스템으로서 기능할 수 있는 컴퓨팅 환경(100)을 도시한다. 환경(100)은 컴퓨팅 디바이스(104), 통신 디바이스(108) 및/또는 기타(112)와 같은 하나 이상의 사용자 컴퓨터, 또는 컴퓨팅 디바이스를 포함한다. 컴퓨팅 디바이스(104, 108, 112)는 범용 퍼스널 컴퓨터(단지 예로서, 마이크로소프트 사의 Windows® 및/또는 애플 사의 Macintosh® 오퍼레이팅 시스템의 다양한 버전을 실행하는 퍼스널 컴퓨터 및/또는 랩톱 컴퓨터를 포함함) 및/또는 각종의 상업적으로 입수 가능한 UNIX® 또는 UNIX 유사 오퍼레이팅 시스템 중 임의의 오퍼레이팅 시스템을 실행하는 워크스테이션 컴퓨터를 포함할 수 있다. 이러한 컴퓨팅 디바이스(104, 108, 112)는 또한 예를 들어, 데이터베이스 클라이언트 및/또는 서버 애플리케이션 및 웹 브라우저 애플리케이션을 비롯한 각종의 애플리케이션 중 임의의 애플리케이션을 가질 수 있다. 대안적으로, 컴퓨팅 디바이스(104, 108, 112)는 네트워크(110)를 통해 통신할 수 있고 및/또는 웹 페이지 또는 다른 유형의 전자 문서를 디스플레이하고 탐색할 수 있는 씬-클라이언트 컴퓨터, 인터넷 가능 이동 전화기 및/또는 개인 휴대 정보 단말기와 같은 임의의 다른 전자 디바이스일 수 있다. 예시적인 컴퓨터 환경(100)이 두 개의 컴퓨팅 디바이스를 갖는 것으로 도시되어 있지만, 임의의 개수의 사용자 컴퓨터 또는 컴퓨팅 디바이스가 지원될 수 있다.
환경(100)은 네트워크(110)를 더 포함한다. 네트워크(110)는 제한을 두지 않고 SIP, TCP/IP, SNA, IPX, 및 AppleTalk 등을 비롯한 다양한 상업적으로 입수 가능한 프로토콜 중 임의의 프로토콜을 사용하여 데이터 통신을 지원할 수 있는 관련 기술분야에서 통상의 기술자에게 친숙한 임의의 유형의 네트워크일 수 있다. 단지 예일 뿐으로, 네트워크(110)는 이더넷 네트워크, 토큰-링 네트워크 및/또는 이와 유사한 것과 같은 로컬 영역 네트워크(local area network)("LAN"); 광역 네트워크; 제한을 두지 않고 가상 사설 네트워크(virtual private network)("VPN")를 비롯한 가상 네트워크; 인터넷; 인트라넷; 엑스트라넷; 공중 교환 전화 네트워크(public switched telephone network)("PSTN"); 적외선 네트워크; 무선 네트워크(예를 들어, IEEE 802.9 프로토콜 제품군, 관련 기술분야에서 공지된 블루투스® 프로토콜 및/또는 임의의 다른 무선 프로토콜 중 임의의 프로토콜하에서 동작하는 네트워크); 및/또는 이들 및/또는 다른 네트워크의 임의의 조합일 수 있다.
시스템은 또한 하나 이상의 서버(114, 116)를 포함할 수 있다. 본 예에서, 서버(114)는 웹 서버로서 도시되고 서버(116)는 애플리케이션 서버로서 도시된다. 웹 서버(114)는 컴퓨팅 디바이스(104, 108, 112)로부터 웹 페이지 또는 다른 전자 문서에 대한 요청을 처리하는데 사용될 수 있다. 웹 서버(114)는 임의의 상업적으로 입수 가능한 서버 오퍼레이팅 시스템뿐만 아니라 위에서 논의된 임의의 오퍼레이팅 시스템을 비롯한 오퍼레이팅 시스템을 실행할 수 있다. 웹 서버(114)는 또한 세션 개시 프로토콜(Session Initiation Protocol)(SIP) 서버, HTTP(들) 서버, FTP 서버, CGI 서버, 데이터베이스 서버, 자바 서버 등을 비롯한, 다양한 서버 애플리케이션을 실행할 수 있다. 경우에 따라, 웹 서버(114)는 동작 이용 가능한 동작을 하나 이상의 웹 서비스로서 발행할 수 있다.
환경(100)은 또한 오퍼레이팅 시스템 이외에, 하나 이상의 컴퓨팅 디바이스(104, 108, 112) 상에서 실행 중인 클라이언트에 의해 액세스 가능한 하나 이상의 애플리케이션을 포함할 수 있는 하나 이상의 파일 및/또는 애플리케이션 서버(116)를 포함할 수 있다. 서버(들)(116 및/또는 114)은 컴퓨팅 디바이스(104, 108, 112)에 응답하여 프로그램 또는 스크립트를 실행할 수 있는 하나 이상의 범용 컴퓨터일 수 있다. 일례로서, 서버(116, 114)는 하나 이상의 웹 애플리케이션을 실행할 수 있다. 웹 애플리케이션은 JavaTM, C, C#®, 또는 C++와 같은 임의의 프로그래밍 언어, 및/또는 Perl, Python 또는 TCL과 같은 임의의 스크립팅 언어뿐만 아니라, 임의의 프로그래밍/스크립팅 언어의 조합으로 작성된 하나 이상의 스크립트 또는 프로그램으로서 구현될 수 있다. 애플리케이션 서버(들)(116)은 제한을 두지 않고 컴퓨팅 디바이스(104, 108, 112) 상에서 실행 중인 데이터베이스 클라이언트로부터의 요청을 처리할 수 있는 Oracle®, Microsoft®, Sybase®, IBM® 등으로부터 상업적으로 입수 가능한 서버를 비롯한 데이터베이스 서버를 포함할 수 있다.
서버(114 및/또는 116)에 의해 생성된 웹 페이지는 웹 (파일) 서버(114, 116)를 통해 컴퓨팅 디바이스(104, 108, 112)로 포워딩될 수 있다. 마찬가지로, 웹 서버(114)는 컴퓨팅 디바이스(104, 108, 112)(예를 들어, 사용자 컴퓨터 등)로부터 웹 페이지 요청, 웹 서비스 호출 및/또는 입력 데이터를 수신할 수 있고, 웹 페이지 요청 및/또는 입력 데이터를 웹 (애플리케이션) 서버(116)에 포워딩할 수 있다. 다른 실시예에서, 서버(116)는 파일 서버로서 기능할 수 있다. 설명을 용이하게 하기 위해, 도 1은 별개의 웹 서버(114) 및 파일/애플리케이션 서버(116)를 도시하지만, 관련 기술분야에서 통상의 기술자라면 서버(114, 116)와 관련하여 설명된 기능은 구현 특정 요구사항 및 파라미터에 따라 단일 서버 및/또는 복수의 특화된 서버에 의해 수행될 수 있다는 것을 인식할 것이다. 컴퓨터 시스템(104, 108, 112), 웹 (파일) 서버(114) 및/또는 웹 (애플리케이션) 서버(116)는 본 명세서에서 설명된 시스템, 디바이스 또는 구성요소로서 기능할 수 있다.
환경(100)은 또한 데이터베이스(118)를 포함할 수 있다. 데이터베이스(118)는 다양한 위치에 상주할 수 있다. 예로서, 데이터베이스(118)는 컴퓨터(104, 108, 112, 114, 116) 중 하나 이상의 컴퓨터에 국부적인 (및/또는 컴퓨터에 존재하는) 저장 매체 상에 상주할 수 있다. 대안적으로, 데이터베이스는 컴퓨터(104, 108, 112, 114, 116) 중 임의의 컴퓨터 또는 모든 컴퓨터로부터 멀리 떨어져 있고 이들 중 하나 이상과 (예를 들어, 네트워크(110)를 통해) 통신할 수 있다. 데이터베이스(118)는 관련 기술분야에서 통상의 기술자에게 친숙한 저장소 영역 네트워크(storage-area network)(SAN)에 상주할 수 있다. 유사하게, 컴퓨터(104, 108, 112, 114, 116)에 귀속되는 기능을 수행하기 위한 임의의 필요한 파일은 각각의 컴퓨터에 국부적으로 및/또는 적절하게는 원격적으로 저장될 수 있다. 데이터베이스(118)는 SQL 형식의 커맨드에 응답하여 데이터를 저장, 업데이트 및 검색하도록 적응된 Oracle 20i®와 같은 관계형 데이터베이스 일 수 있다.
도 2는 본 개시내용의 실시예가 구현될 수 있는 예시적인 컴퓨팅 디바이스의 구성 요소를 도시하는 블록도이다. 보다 구체적으로, 본 예는 위에서 설명된 서버, 사용자 컴퓨터, 컴퓨팅 디바이스, 또는 다른 시스템이나 구성요소가 배치되거나 실행될 수 있는 컴퓨터 시스템(200)의 일 실시예를 도시한다. 컴퓨터 시스템(200)은 버스(204)를 통해 전기적으로 연결될 수 있는 하드웨어 요소를 포함하는 것으로 도시된다. 하드웨어 요소는 하나 이상의 중앙 처리 유닛(central processing unit)(CPU)(208); 하나 이상의 입력 디바이스(212)(예를 들어, 마우스, 키보드 등); 및 하나 이상의 출력 디바이스(216)(예를 들어, 디스플레이 디바이스, 프린터 등)를 포함할 수 있다. 컴퓨터 시스템(200)은 또한 하나 이상의 저장 디바이스(220)를 포함할 수 있다. 예로서, 저장 디바이스(들)(220)는 디스크 드라이브, 광학 저장 디바이스, 프로그래머블 플래시-업데이트 가능할 수 있는 것 및/또는 이와 유사한 것일 수 있는 랜덤 액세스 메모리(random access memory)("RAM") 및/또는 판독 전용 메모리(read-only memory)("ROM")와 같은 고체 상태 저장 디바이스일 수 있다.
컴퓨터 시스템(200)은 또한 컴퓨터 판독 가능 저장 매체 판독기(224); 통신 시스템(228)(예를 들어, 모뎀, 네트워크 카드(무선 또는 유선), 적외선 통신 디바이스 등); 및 위에서 설명한 바와 같은 RAM 및 ROM 디바이스를 포함할 수 있는 작업 메모리(236)를 포함한다. 컴퓨터 시스템(200)은 또한 DSP, 특수 목적 프로세서 등을 포함할 수 있는 프로세싱 가속 유닛(232)을 포함할 수 있다.
컴퓨터 판독 가능 저장 매체 판독기(224)는 또한 원격, 국부, 고정 및/또는 착탈 가능한 저장 디바이스(들)(220)뿐만 아니라 컴퓨터 판독 가능 정보를 일시적으로 및/또는 보다 영구적으로 수용하기 위한 저장 매체를 포괄적으로 표현하는 컴퓨터 판독 가능 저장 매체에 함께(및 임의적으로, 저장 디바이스(들)(220)과 조합하여) 연결될 수 있다. 통신 시스템(228)은 데이터가 본 명세서에 설명된 컴퓨터 환경과 관련하여 위에서 설명된 네트워크 및/또는 임의의 다른 컴퓨터와 교환되게 할 수 있다. 더욱이, 본 명세서에 개시된 바와 같이, "저장 매체"라는 용어는 판독 전용 메모리(ROM), 랜덤 액세스 메모리(RAM), 자기 RAM, 코어 메모리, 자기 디스크 저장 매체, 광학 저장 디바이스 매체, 플래시 메모리 디바이스 및/또는 정보를 저장하기위한 다른 머신 판독 가능 매체를 비롯한, 데이터를 저장하기 위한 하나 이상의 디바이스를 나타낼 수 있다.
컴퓨터 시스템(200)은 또한 오퍼레이팅 시스템(240) 및/또는 다른 코드(244)를 비롯한, 작업 메모리(236) 내에 현재 위치되어 있는 것으로 도시된 소프트웨어 요소를 포함할 수 있다. 컴퓨터 시스템(200)의 대안적인 실시예는 위에서 설명한 것으로부터 다양한 변형예를 가질 수 있다는 것을 인식하여야 한다. 예를 들어, 맞춤형 하드웨어가 사용될 수도 있고 및/또는 특정 요소가 하드웨어, 소프트웨어(애플릿과 같은 휴대용 소프트웨어를 포함함), 또는 이들 둘 모두로 구현될 수도 있다. 또한, 네트워크 입/출력 디바이스와 같은 다른 컴퓨팅 디바이스와의 연결이 이용될 수 있다.
본 명세서에서 설명된 바와 같은 프로세서(208)의 예는 이것으로 제한되는 것은 아니지만, 4G LTE와 통합되고 64-비트 컴퓨팅 가능한 Qualcomm® Snapdragon® 800 및 801, Qualcomm® Snapdragon® 620 및 615, Apple® A7 프로세서 64-비트 아키텍처, Apple® M7 모션 코프로세서, Samsung® Exynos® 시리즈, Intel® Core™ 프로세서 제품군, Intel® Xeon® 프로세서 제품군, Intel® Atom™ 프로세서 제품군, Intel Itanium® 프로세서 제품군, Intel® Core® i5-4670K 및 i7-4770K 22nm Haswell, Intel® Core® i5-3570K 22nm Ivy Bridge, AMD® FX™ 프로세서 제품군, AMD® FX-4300, FX-6300 및 FX-8350 32nm Vishera, AMD® Kaveri 프로세서, Texas Instruments® Jacinto C6000™ 자동차 인포테인먼트 프로세서, Texas Instruments® OMAP™ 자동차급 모바일 프로세서, ARM® Cortex™-M 프로세서, ARM® Cortex-A 및 ARM926EJ-S™ 프로세서, 기타 업계의 동등한 프로세서를 포함할 수 있으며, 임의의 공지된 또는 미래에 개발되는 표준, 명령어 세트, 라이브러리 및/또는 아키텍처를 사용하여 계산 기능을 수행할 수 있다.
일 실시예에 따르면, 위에서 설명된 시스템 및 디바이스는 리치 커뮤니케이션 서비스(RCS) 네트워크를 구현하는데 사용될 수 있다. 블록체인 기술이 활용되어 RCS 네트워크 사용자를 위한 분산되고 고도로 보안적인 신원 모델을 실현될 수 있다. 블록체인은 각 RCS 네트워크 사용자 마다 영구적이고, 투명하며 안전한 신원 증명(POI) 모델을 지원할 수 있다. 이와 같은 동일한 모델은 사용자가 디지털 트랜잭션을 착수하려고 생각하는 상대방에게 RCS 사용자의 네트워크의 보안 디지털 전송을 지원한다. 이러한 모델은 RCS 이동통신 제공자의 생태계 사이에서 RCS 인증 서비스의 전개 및 상호 운용성을 크게 개선할 수 있다. 참여하는 모든 RCS 이동통신 제공자는 각 RCS 사용자마다 고유하게 존재하는 동일한 불변의 "신원 증명(proof-of-identity)" 정보에 대한 공통 액세스 권한을 얻을 수 있다.
관련 기술분야에서 공지된 바와 같이, 블록체인은 지속적으로 증가하는 순서가 매겨진 블록의 리스트를 유지하는 분산형 데이터베이스/원장(ledger) 기술이다. 분산형 원장은 네트워크 내의 모든 구성원 사이에 공유, 복제 및 동기화되는 유형의 데이터베이스이다. 네트워크의 참여자는 원장의 업데이트에 관한 합의에 의해 통제되고 의견을 일치한다. 중앙 집중식 권한은 없다. 블록체인은 전형적으로 원래 트랜잭션 정보보다는 트랜잭션 데이터의 수학적 해시(예를 들어, SHA-256)를 저장한다. 해싱된 트랜잭션 레코드는 함께 그룹화되어 블록체인에 불변적으로/영구적으로 저장된 개개의 블록을 형성한다. 블록은 불가분하게 연결되어 이전 블록의 콘텐츠를 부당하게 변경하려는 사소한의 시도조차도 모든 해시를 무효화시킬 것이다.
일 실시예에 따르면, 아래에서 더 상세하게 설명되는 바와 같이, 이러한 모델을 사용하여 신원 인증을 제공하는 것은 신원 서버에 의해, 보안 저장소에 있는 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자에 대한 신원 레코드 내에 신원 증명(POI) 정보를 등록하고 신원 관리 블록 체인 내에 사용자에 대한 신원 주장 토큰의 해시를 등록하는 것을 포함할 수 있다. 신원 서버는 사용자를 인증하라는 요청을 수신할 수 있고, 요청에 응답하여, 사용자에 대한 암호화된 신원 정보를 제공할 수 있다. 암호화된 신원 정보는 사용자에 대한 하나 이상의 암호화된 신원 주장 토큰을 포함할 수 있다. 그 다음에 인증 당사자는 이전에 합의된 해싱 알고리즘 또는 신원 서버에 의해 인증 당사자에게 식별된 해싱 알고리즘을 사용하여 신원 서버에 의해 제공된 신원 주장 토큰을 복호화하고 해싱할 수 있다. 사용자가 진짜로 인증될 때 이러한 복호화된 신원 주장 토큰의 해시는 신원 관리 블록체인 내의 신원 주장 토큰의 해시와 일치할 것이다.
도 3은 본 개시내용의 일 실시예에 따라 신원을 등록하기 위한 시스템의 요소를 도시하는 블록도이다. 본 예에 도시된 바와 같이, 시스템(300)은 이동 디바이스와 같은 사용자 디바이스(305) 및 위에서 설명한 하나 이상의 서버 또는 다른 컴퓨터를 포함하는 RCS 신원 서비스를 포함할 수 있다. 사용자 디바이스(305) 및 신원 서비스(310)는 위에서 설명한 바와 같이 이동 네트워크, 인터넷 및/또는 다른 네트워크와 같은 하나 이상의 네트워크(여기서는 도시되지 않음)를 통해 통신할 수 있다.
일 실시예에 따르면, 각각의 RCS 사용자는 등록 프로세스를 거칠 것이고, 이에 의해 사실상 일부가 임의적인 여러 유형의 POI 데이터(315)가 사용자 디바이스(305)를 통해 신원 서비스(310)의 신원 서버(345)에 제공되어 사용자의 "신원 증명"의 기초를 형성할 수 있다. 예를 들어, 이 정보는 이것으로 제한되는 것은 아니지만, 사용자 이름 및 비밀번호, 사용자 식별 데이터, 특수 질문(들)/답변(들) 등을 포함할 수 있다. 일반적으로, 제공되는 POI 정보(315)는 사용자가 상이한 조직/기업과의 다운스트림 상호 작용 중에 사용하려는 정보일 수 있다. 디바이스 데이터(320)는 또한 신원 서버(345)에 제공될 수 있다(325). 디바이스 데이터(320)는 예를 들어, 디바이스 일련 번호, SIM 데이터, 및/또는 RCS 사용자 디바이스(305)를 고유하게 식별하는 디바이스 "지문(fingerprint)"으로서 사용될 수 있는 다른 하나 이상의 다른 유형의 데이터를 포함할 수 있다.
일 실시예에 따르면, 사용자에 대한 생체인식 데이터(330)는 또한 사용자 디바이스(305)를 통해 수집될 수 있다. 수집되면, 그러한 정보는 지문, 음성 샘플, 안면 인식 샘플 및/또는 다른 생체인식 샘플을 포함할 수 있다. 이러한 정보(330)는 신원 서비스(310)의 생체 인식 엔진(340)에 제공될 수 있다(335). 제공되면, 이 생체인식 정보(330)는 아래에서 설명되는 바와 같이 사용자가 이어서 서비스에 액세스하려고 시도할 때 사용자로부터 수집된 생체인식 샘플과의 비교를 위한 기준으로서 사용될 수 있다.
일 실시예에 따르면, 신원 서버(345)에 의해 수집된 POI 정보는 하나 이상의 인식된 증명 기관(355)에 의해 독립적으로 인증될 수 있다(350). 관련 기술분야에서 공지된 바와 같이, 증명 기관은 자동차 부서(Department of Motor Vehicles)(DMV), 사회 보장국(Social Security Administration) 및/또는 다른 정부 또는 사설 기관과 같은 하나 이상의 공공 또는 사설 출처를 포함할 수 있다. 일단 취득되면, POI 정보 데이터의 인증은 사용자의 신원 및 제공된 POI 정보의 확인을 제공한다.
그 다음에 신원 서버(345)는 수집된 POI 정보 및 인증된 신원 주장을 토큰화할 수 있다. 토큰화는 POI 정보의 불필요한 공유를 최소화하는 데 사용될 수 있다. 예를 들어, RCS 사용자에게 미국 거주의 증명으로 자신의 집 주소를 제공하도록 요구하는 대신, 이 사실을 증명하는 토큰이 제공될 수 있다. 이러한 토큰은 신뢰성 있고 권한 있는 기관에 의해 독립적으로 인증되었을 것이다. 이것을 달성하기 위해, 해싱되지 않은 신원 증명(POI) 정보는 사용자의 디바이스(305) 상에서 암호화된 포맷으로 및 보안 신원 서버(345)에서 유지되는 사용자에 대한 신원 레코드 내에 암호화된 포맷으로 저장될 수 있다. 따라서, RCS 사용자는 자신의 신원 정보 및 상대방에 의한 신원 정보로의 액세스 권한을 보유하게 될 것이다. 증명 기관(355)으로부터 획득된 인증서 또는 다른 신원 주장 토큰의 해시는 또한 신원 관리 블록체인(365)에 기입되어(360), 아래에서 설명되는 바와 같이 사용자를 인증하기 위해 순차적으로 사용될 수 있다.
상이한 신원 정보에 대한 다수의 신원 주장 토큰은 수학적으로 해싱될 수 있고 신원 관리 블록체인에 기입되어 영구적/ 불변적 신원 증명으로서 사용될 수 있다. 개개의 POI 신원 해시는 이것으로 제한되는 것은 아니지만, 다음을 포함할 수 있다:
IDH1 - RCS 네트워크 자격증명의 디지털 서명의 해시
IDH2 - 사용자의 운전 면허증에 대한 신원 자격증명의 해시
IDH3 - 사용자의 신원 카드에 대한 신원 자격증명의 해시
IDH4 - 사용자의 여권에 대한 신원 자격증명의 해시
신원 증명(POI) 레코드는 개개의 신원 해시로 구성될 수 있다:
POI = IDH1 + IDH2 + IDH3 + IDH4 + 타임스탬프
개개의 IDHx 해시는 신원 관리 블록체인에 안전하게 기입될 수 있으며 블록체인 상의 모든 당사자에 의해 변경할 수 없고 공개적으로 감사 가능한 레코드로 남을 수 있다.
도 4는 본 개시내용의 일 실시예에 따라 신원을 인증하기 위한 시스템의 요소를 도시하는 블록도이다. 보다 구체적으로, 본 예는 사용자 디바이스(305)에 의한 이동통신 사업자 네트워크(405)의 액세스를 도시한다. 이러한 프로세스를 개시하기 위해, 사용자 디바이스와 이동통신 사업자 시스템(405)은 인증 시도를 교환할 수 있다(410). 사용자 디바이스(305)는 또한 현재의 생체인식 샘플 및 현재의 디바이스 지문 데이터를 신원 서비스에 제공할 수 있다(415). RCS 사용자가 네트워크 인증을 받을 때, 해당 네트워크의 정책은 실제 사용자에 의해 제공되어야 하는 특정 정보를 적시할 수 있다. 인증의 기본 형태는 하나 이상의 생체인식을 제공하는 것만을 포함할 수 있다. 이러한 샘플은 신원 서비스의 생체인식 엔진(340)에 의해 유지되는 기준 샘플과 비교될 수 있다. 이동 디바이스 지문의 새로운 샘플이 디바이스로부터 검색된 다음 원래의 등록 프로세스 동안 획득되었던 디바이스 지문과 비교된다. 생체인식 샘플 및 디바이스 지문 정보가 기준 정보와 일치하면, 사용자의 신원 레코드가 잠금 해제될 수 있다(420).
RCS 사용자는 사용자 디바이스(305)를 통해, 신원 서버에 저장된 신원 증명 정보가 암호해독될 수 있도록 이동통신 사업자에게 대칭 암호화 키를 제공할 수 있다(425). 경우에 따라, 이동 디바이스는 또한 사용자에 대한 신원 주장 토큰의 해시를 생성하기 위해 사용될 해싱 알고리즘을 표시할 수 있다. 사용자 디바이스는 또한 신원 관리 블록체인 주소 및 신원 서버(345)의 주소, 예를 들어, 사용자의 신원 레코드로의 주소를 제공할 수 있다(425). 이동통신 사업자(405)는 신원 서버(345)로부터 암호화된 RCS 사용자 이름, 비밀번호, 사용자에 대한 임의의 추가 신원 증명(POI) 레코드 자격증명 및 신원 주장 토큰을 획득할 수 있다. 그 다음에 이동통신 사업자(405)는 예를 들어, 식별된 알고리즘을 사용하여 신원 서버(345)로부터 획득된 신원 주장 토큰을 복호화 및 해싱할 수 있고 이것을 신원 관리 블록체인(365)으로부터 검색한 대응하는 해시와 비교할 수 있다. 긍정적인 일치는 완전히 인증된 신원을 나타내며 사용자는 RCS 서비스를 계속 사용하도록 허용될 수 있다.
도 5는 본 개시내용의 다른 실시예에 따라 신원을 인증하기 위한 시스템의 요소를 도시하는 블록도이다. 보다 구체적으로, 본 예는 소비자와 기업간 거래(consumer-to-business)(C2B) 구현과 같은 사용자 디바이스(305)에 의한 기업 시스템(505)의 액세스를 도시한다. 이러한 프로세스를 시작하기 위해, 사용자 디바이스(305)와 기업 시스템(505)은 인증 시도를 교환할 수 있다(510). 사용자 디바이스(305)는 또한 현재의 생체인식 샘플 및 현재의 디바이스 지문 데이터를 신원 서비스에 제공할 수 있다(515). 이러한 샘플은 신원 서비스의 생체인식 엔진(340)에 의해 유지되는 기준 샘플과 비교될 수 있다. 이동 디바이스 지문의 새로운 샘플이 디바이스로부터 검색된 다음 원래의 등록 프로세스 동안 획득되었던 디바이스 지문과 비교된다. 생체인식 샘플 및 디바이스 지문 정보가 기준 정보와 일치하면, 사용자의 신원 레코드가 잠금 해제될 수 있다(520).
RCS 사용자는 사용자 디바이스(305)를 통해, 신원 서버(345)에 저장된 신원 증명 정보가 암호해독될 수 있도록 기업 시스템(505)에 대칭 암호화 키를 제공할 수 있다(525). 경우에 따라, 이동 디바이스는 또한 사용자에 대한 신원 주장 토큰의 해시를 생성하기 위해 사용될 해싱 알고리즘을 표시할 수 있다. 사용자 디바이스는 또한 신원 관리 블록체인 주소 및 신원 서버(345)의 주소, 예를 들어, 사용자의 신원 레코드로의 주소를 제공할 수 있다(525). 그런 다음 기업 시스템(505)은 신원 서버(345)로부터 암호화된 RCS 자격증명 및 신원 주장 토큰을 획득할 수 있다. 그런 다음, 기업 시스템(505)은 예를 들어 식별된 알고리즘을 사용하여 신원 서버(345)로부터 획득된 신원 주장 토큰을 복호화 및 해싱하고, 그 결과를 신원 관리 블록체인(365)으로부터 검색한 대응하는 해시와 비교할 수 있다. 긍정적인 일치는 완전히 인증된 신원을 나타내며 사용자는 기업의 서비스에 액세스하는 것을 계속하도록 허용될 수 있다.
도 6은 본 개시내용의 일 실시예에 따라 신원을 등록하기 위한 예시적인 프로세스를 도시하는 흐름도이다. 본 예에서 도시된 바와 같이, 사용자에 대한 POI 정보를 등록하는 단계는 사용자의 디바이스로부터 디바이스를 고유하게 식별하는 디바이스 정보를 수신함으로써 시작될 수 있다(605). 이러한 정보는 이것으로 제한되는 것은 아니지만, 디바이스의 일련 번호, 디바이스에 대한 범용 고유 식별자(Universal Unique IDentifier)(UUID), 디바이스 상에서 실행 중인 웹 브라우저의 속성, 이러한 식별자들의 조합, 및/또는 디바이스를 고유하게 식별하는데 사용될 수 있는 다른 식별 정보를 포함할 수 있다.
사용자에 대한 POI 정보는 또한 사용자의 디바이스로부터 수신될 수 있다(610). POI 정보는 사용자가 이동통신 사업자 또는 다른 서비스 제공자에게 제공하도록 요청 받거나 선택할 수 있는 임의의 정보를 포함할 수 있다. 예를 들어, POI 정보는 이것으로 제한되는 것은 아니지만, 사용자의 네트워크 사용자 이름 및/또는 비밀번호, 사용자의 집 주소, 사용자의 생년월일, 사회 보장 번호, 운전 면허증 번호, 은행 계좌 정보 등을 포함할 수 있다. 그 다음에 사용자에 대한 수신된 디바이스 정보 및 POI 정보가 저장될 수 있다(615). 일 실시예에 따르면, 디바이스 정보 및 사용자에 대한 POI 정보는 암호화된 형태로 사용자에 대한 신원 레코드 내에 저장될 수 있다.
경우에 따라, 일 실시예에 따르면, 사용자에 대한 기준 생체인식 데이터의 세트는 또한 등록 프로세스의 일부로서 수신되고 저장될 수 있다(620). 그러한 생체인식 정보는 이것으로 제한되는 것은 아니지만, 하나 이상의 지문, 음성 샘플, 얼굴 사진 또는 다른 안면 인식 샘플, 홍채 스캔, 망막 스캔 및/또는 사용자 디바이스에 의해 획득될 수 있는 다른 고유하게 식별 가능한 생체인식 샘플을 포함할 수 있다. 기준 생체 인식 데이터 세트는, 있다면, 암호화된 형태로 저장될 수도 있다(625).
사용자로부터의 POI 정보의 인증은 인증 기관(630)으로부터 획득될 수 있다. 즉, 사용자의 디바이스로부터 제공되는 POI 정보는 공공 및/또는 개인 레코드와 대조하여 검사되어 그 정확성 및/또는 유효성을 확인할 수 있다. 예를 들어, 자동차 부서(DMV), 사회 보장국 및/또는 다른 정부 출처는 신원 인증서 또는 다른 신원 주장 토큰을 반환함으로써 사용자의 디바이스를 통해 사용자에 의해 제공된 POI 정보를 확인하거나 인증하는 데 사용될 수 있다.
그 다음에 사용자에 대한 신원 주장 토큰의 해시가 생성될 수 있다(635). 즉, POI 정보의 토큰화는 POI 정보의 불필요한 공유를 최소화하는 데 사용될 수 있다. 예를 들어, 사용자에게 자신의 집 주소 또는 다른 식별 정보를 제공하도록 요구하는 대신, 이 사실을 증명하는 토큰이 제공될 수 있다. 그런 다음 사용자에 대한 신원 주장 토큰의 해시가 신원 관리 블록체인에 기입될 수 있다(640). 이러한 방식으로, 다수의 출처의 신원 정보가 수학적으로 해싱되고 신원 관리 블록체인에 기입되어 영구적/ 불변적 신원 증명으로서 사용될 수 있다.
도 7은 본 개시내용의 일 실시예에 따라 신원을 인증하기 위한 예시적인 프로세스를 도시하는 흐름도이다. 본 예에서 도시된 바와 같이, 프로세스는 사용자에 의해 사용자 디바이스를 통해 서비스를 요청하는 것으로 시작될 수 있다(705). 이동통신 사업자 시스템은 사용자의 디바이스로부터 서비스 요청을 수신할 수 있고(710), 이에 응답하여 사용자의 디바이스에 인증 시도를 제공한다(715). 인증 시도는 예를 들어, 사용자 이름 및 비밀번호 및/또는 다른 POI 정보와 같은 일부 식별 정보에 대한 요청을 포함할 수 있다.
사용자 디바이스는 이동통신 사업자 시스템으로부터 인증 시도를 수신할 수 있고(720), 신원 관리 블록체인 주소, 대칭 키 및 신원 서버의 주소를 제공함으로써 응답할 수 있다(720). 경우에 따라, 이동 디바이스는 또한 사용자에 대한 신원 청구 토큰의 해시를 생성하기 위해 사용될 해싱 알고리즘을 표시할 수 있다. 또한, 사용자 디바이스는 생체인식 데이터 샘플 및/또는 현재 디바이스 데이터를 신원 서버에 제공할 수 있다(725).
신원 서버는 사용자의 디바이스로부터, 생체인식 데이터 샘플 및 현재의 디바이스 데이터를 수신할 수 있고(730), 수신된 생체인식 데이터 샘플 및 현재의 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내의 데이터와 일치하는지에 관해 결정을 내릴 수 있다(735). 수신된 생체인식 데이터 샘플 및 현재 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내의 데이터와 일치한다고 결정하는 것(735)에 응답하여, 신원 서버는 사용자에 대한 신원 레코드를 잠금 해제할 수 있다.
한편, 이동통신 사업자 시스템은 사용자의 디바이스로부터 및 인증 시도에 응답하여, 신원 관리 블록체인 주소, 대칭 키 및 신원 서버의 주소를 수신할 수 있다(745). 사용자의 디바이스로부터 수신된 주소를 사용하여, 이동통신 사업자 시스템은 신원 서버에 의해 유지되는 사용자에 대한 신원 정보를 요청하거나(750) 또는 사용자에 대한 신원 정보에 액세스하려 시도할 수 있다.
다음 차례로 신원 서버는 이동통신 사업자 시스템으로부터 사용자의 신원 정보에 대한 요청 또는 시도된 액세스를 수신할 수 있다(755). 위에서 설명한 바와 같이 신원 레코드가 잠금 해제되면(740), 신원 서버는 이동통신 사업자 시스템에게 액세스 권한을 승인하고 사용자에 대한 암호화된 신원 정보를 제공할 수 있다(760). 암호화된 신원 정보는 사용자에 대한 하나 이상의 신원 주장 토큰을 포함할 수 있다. 일 실시예에 따르면, 신원 서버는 수신된 생체인식 데이터 샘플 및 현재 디바이스 데이터가 사용자에 대한 신원 레코드 내에 저장된 사용자에 대한 기준 생체인식 데이터 및 디바이스 정보의 세트 내의 데이터와 일치하는 정도를 표시하는 인증 스코어를 생성하고 요청에 응답하여 인증 스코어를 제공할 수 있다. 그러한 경우에, 생성된 인증 스코어는 암호화된 식별 정보와 함께 이동통신 사업자 시스템에 제공될 수도 있다(760).
이동통신 사업자 시스템은 신원 서버로부터 사용자에 대한 암호화된 신원 주장 토큰을 수신할 수 있다(765). 사용자의 디바이스로부터 수신된 대칭 키를 사용하여, 이동통신 사업자 시스템은 수신된 암호화된 신원 주장 토큰을 복호화하고(770) 복호화된 신원 주장 토큰의 해시를 생성할 수 있다(770). 이러한 해시는 예를 들어 대칭 키, 신원 서버 주소 및 신원 관리 블록체인 주소가 공유될 때, 이동 서비스 또는 다른 인증 당사자에게 식별된 해시 알고리즘을 사용하여 생성될 수 있다. 이동통신 사업자 시스템은 복호화된 신원 주장 토큰의 생성된 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는지를 결정할 수 있다(775). 복호화된 신원 주장 토큰의 생성된 해시가 신원 관리 블록체인 내의 사용자에 대한 신원 주장 토큰의 해시와 일치하는 것에 응답하여, 이동통신 사업자 시스템은 요청된 서비스로의 액세스를 제공할 수 있다(780). 이동통신 사업자 시스템은 또한 (있다면) 신원 서버에 의해 생성된 인증 스코어를 수신할 수 있다. 이러한 경우, 다음으로 이동통신 사업자 시스템은 인증 스코어에 대한 문턱 값을 정의하는 하나 이상의 보안 정책을 적용할 수 있고, 요청된 서비스를 제공하는 단계(780)는 또한 하나 이상의 보안 정책을 적용한 결과에 기초할 수 있다.
다양한 양태, 실시예, 및/또는 구성에서 본 개시내용은 다양한 양태, 실시예, 구성 실시예, 하위 조합, 및/또는 이들의 하위 집합을 비롯하여, 본 명세서에서 도시되고 설명된 바와 같은 구성요소, 방법, 프로세스, 시스템 및/또는 디바이스를 실질적으로 포함한다. 관련 기술분야에서 통상의 기술자는 본 개시 내용을 이해한 후에 개시된 양태, 실시예 및/또는 구성을 어떻게 만들고 사용할지를 이해할 것이다. 다양한 양태, 실시예 및/또는 구성에서 본 개시내용은 예를 들어, 성능을 개선하고, 용이성을 달성하고 및/또는 구현 비용을 절감하기 위해, 이전 디바이스 또는 프로세스에서 사용되었을 수 있는 것처럼 본 명세서에서 또는 다양한 양태, 실시예 및/또는 이들의 구성에서 도시되지 않은 및/또는 설명되지 않은 아이템이 없는 경우를 비롯하여, 그러한 아이템이 없는 경우의 디바이스 및 프로세스를 제공하는 것을 포함한다.
전술한 논의는 예시 및 설명을 위해 제공되었다. 전술한 내용은 본 개시내용을 본 명세서에 개시된 형태 또는 형태들로 제한하는 것으로 의도되지 않는다. 전술한 상세한 설명에서, 예를 들어, 본 개시내용의 다양한 특징은 본 개시내용을 간소화할 목적으로 하나 이상의 양태, 실시예 및/또는 구성에서 함께 그룹화된다. 본 개시내용의 양태, 실시예 및/또는 구성의 특징은 위에서 논의한 것 이외의 대안적인 양태, 실시예 및/또는 구성에서 결합될 수 있다. 본 개시내용의 방법은 청구항이 각 청구항에 명시적으로 언급된 것보다 많은 특징을 필요로 한다는 의도를 반영하는 것으로 해석되어서는 안된다. 오히려, 다음의 청구항이 반영하는 것처럼, 본 발명의 양태는 단일의 전술한 양태, 실시예 및/또는 구성의 모든 특징보다 적다. 따라서, 다음의 청구항은 이러한 상세한 설명에 통합되며, 각 청구항은 그 자체가 본 개시내용의 별개의 바람직한 실시예로서 성립한다.
더욱이, 설명이 하나 이상의 양태, 실시예 및/또는 구성 및 특정 변형 및 수정에 관한 설명을 포함하고 있지만, 다른 변형, 조합 및 수정은 예를 들어, 본 개시내용을 이해한 후에, 관련 기술분야에서 통상의 기술자의 기술 및 지식 범위 내에 있을 수 있는 것처럼, 본 개시내용의 범위 내에 있다. 대안적이고, 상호 교환 가능하고 및/또는 동등한 구조, 기능, 범위 또는 단계가 본 명세서에서 개시되어 있든 개시되어 있지 않든, 임의의 특허 가능한 주제를 공공에 헌신하려 의도하지 않고, 이렇게 청구된 그러한 대안적이고, 상호 교환 가능하고 및/또는 동등한 구조, 기능, 범위 또는 단계를 비롯하여, 허용되는 범위까지 대안적인 양태, 실시예 및/또는 구성을 포함하는 권리를 얻고자 한다.

Claims (10)

  1. 신원 인증(identity authentication)을 제공하기 위한 방법으로서,
    신원 서버에 의해, 보안 저장소에 있는 리치 커뮤니케이션 서비스(Rich Communications Services)(RCS) 네트워크의 사용자에 대한 신원 레코드(identity record) 내에 신원 증명(Proof Of Identity)(POI) 정보를 등록하고, 신원 관리 블록체인 내에 상기 사용자에 대한 신원 주장 토큰(identity claim token)의 해시를 등록하는 단계와,
    상기 신원 서버에 의해, 상기 사용자를 인증하라는 요청을 수신하는 단계와,
    상기 신원 서버에 의해, 상기 요청에 응답하여, 상기 사용자에 대한 암호화된 신원 정보를 제공하는 단계 - 상기 암호화된 신원 정보는 상기 사용자에 대한 신원 주장 토큰을 포함함 - 와,
    상기 신원 서버에 의해, 이동통신 사업자 시스템으로부터 상기 사용자에 대한 암호화된 신원 주장 토큰에 대한 요청을 수신하는 단계와,
    상기 신원 서버에 의해, 상기 요청에 응답하여 상기 사용자에 대한 상기 암호화된 신원 주장 토큰을 상기 이동통신 사업자 시스템으로 전송하여, 상기 이동통신 사업자 시스템이 상기 신원 서버로부터의 상기 사용자에 대한 상기 암호화된 신원 주장 토큰을 수신하도록 하는 단계와,
    상기 사용자로부터 수신된 대칭 키를 사용하여 상기 암호화된 신원 주장 토큰을 복호화하는 단계와,
    상기 복호화된 신원 주장 토큰의 해시를 생성하는 단계와,
    상기 복호화된 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는지를 결정하는 단계와,
    상기 복호화된 상기 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는 것에 응답하여 상기 사용자를 인증하는 단계를 포함하는
    신원 인증을 제공하기 위한 방법.
  2. 제 1 항에 있어서,
    상기 사용자에 대한 신원 레코드 내에 상기 POI 정보를 등록하는 단계는,
    상기 신원 서버에 의해 상기 사용자의 디바이스로부터, 상기 사용자의 상기 디바이스를 고유하게 식별하는 디바이스 정보를 수신하는 단계와,
    상기 신원 서버에 의해 상기 사용자의 상기 디바이스로부터, 상기 사용자에 대한 상기 POI 정보를 수신하는 단계와,
    상기 신원 서버에 의해, 상기 디바이스 정보 및 상기 사용자에 대한 상기 POI 정보를 상기 사용자에 대한 상기 신원 레코드 내에 암호화된 형태로 저장하는 단계와,
    상기 신원 서버에 의해, 상기 사용자에 대한 상기 신원 주장 토큰의 해시를 생성하는 단계와,
    상기 신원 서버에 의해, 상기 사용자에 대한 상기 신원 주장 토큰의 해시를 상기 신원 관리 블록체인 내에 기입하는 단계를 더 포함하는
    신원 인증을 제공하기 위한 방법.
  3. 제 2 항에 있어서,
    상기 신원 서버에 의해, 상기 신원 주장 토큰을 인증 기관으로부터 획득하는 단계를 더 포함하는
    신원 인증을 제공하기 위한 방법.
  4. 제 2 항에 있어서,
    상기 신원 서버에 의해 상기 사용자의 상기 디바이스로부터, 상기 사용자에 대한 기준 생체인식 데이터의 세트를 수신하는 단계와,
    상기 신원 서버에 의해, 상기 사용자에 대한 상기 기준 생체인식 데이터의 세트를 암호화된 형태로 저장하는 단계를 더 포함하는
    신원 인증을 제공하기 위한 방법.
  5. 제 4 항에 있어서,
    상기 수신된 요청에 응답하여, 상기 사용자에 대한 상기 암호화된 신원 주장 토큰을 제공하는 단계는 상기 수신된 생체인식 데이터 및 디바이스 데이터가 상기 사용자에 대한 상기 신원 레코드 내에 저장된 상기 사용자에 대한 기준 생체인식 데이터의 세트 내의 데이터 및 상기 디바이스 정보와 일치하는 정도를 표시하는 인증 스코어를 생성하고 상기 요청에 응답하여 상기 인증 스코어를 제공하는 단계를 더 포함하고,
    상기 사용자에 대한 상기 암호화된 신원 주장 토큰을 제공하는 단계는,
    상기 신원 서버에 의해 상기 사용자의 상기 디바이스로부터, 생체인식 데이터 및 디바이스 데이터를 수신하는 단계와,
    상기 신원 서버에 의해, 상기 수신된 생체인식 데이터 및 디바이스 데이터가 상기 사용자에 대한 상기 신원 레코드 내에 저장된 상기 사용자에 대한 기준 생체인식 데이터의 세트 내의 데이터 및 상기 디바이스 정보와 일치하는지를 결정하는 단계와,
    상기 수신된 생체인식 데이터 및 디바이스 데이터가 상기 사용자에 대한 상기 신원 레코드 내에 저장된 상기 사용자에 대한 기준 생체인식 데이터의 세트 내의 데이터 및 상기 디바이스 정보와 일치하는 것에 응답하여, 상기 신원 서버에 의해, 상기 사용자에 대한 상기 신원 레코드를 잠금 해제하는 단계를 더 포함하는
    신원 인증을 제공하기 위한 방법.
  6. 사용자를 인증하기 위한 방법으로서,
    이동통신 사업자 시스템에 의해 상기 사용자의 디바이스로부터, 서비스 요청을 수신하는 단계와,
    상기 이동통신 사업자 시스템에 의해 상기 사용자의 상기 디바이스에, 상기 서비스 요청에 응답하여 인증 시도를 제공하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 사용자의 상기 디바이스로부터 및 상기 인증 시도에 응답하여, 신원 관리 블록체인의 주소, 대칭 키 및 신원 서버의 주소를 수신하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 사용자의 상기 디바이스로부터 수신된 상기 주소의 상기 신원 서버로부터, 상기 사용자에 대한 암호화된 신원 주장 토큰을 요청하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 신원 서버로부터, 상기 요청에 응답하여 상기 사용자에 대한 상기 암호화된 신원 주장 토큰을 수신하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 사용자의 상기 디바이스로부터 수신된 상기 대칭 키를 사용하여 상기 수신된 암호화된 신원 주장 토큰을 복호화하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 복호화된 신원 주장 토큰의 해시를 생성하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 복호화된 상기 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는지를 결정하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 복호화된 상기 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는 것에 응답하여 상기 요청된 서비스를, 상기 사용자의 상기 디바이스에 제공하는 단계를 포함하는
    사용자를 인증하기 위한 방법.
  7. 삭제
  8. 제 6 항에 있어서,
    상기 이동통신 사업자 시스템은 이동통신 사업자 네트워크의 시스템을 포함하고, 상기 사용자의 상기 디바이스는 이동 디바이스를 포함하며, 상기 서비스 요청은 리치 커뮤니케이션 서비스(RCS) 네트워크 액세스에 대한 요청을 포함하고,
    상기 방법은,
    상기 이동통신 사업자 시스템에 의해, 상기 신원 서버로부터, 상기 사용자의 상기 디바이스로부터의 디바이스 정보의 현재 세트 및 상기 사용자에 대한 현재의 생체인식 정보와 이전에 등록된 디바이스 정보 및 생체인식 정보의 비교에 기초하여 상기 신원 서버에 의해 생성된 인증 스코어를 수신하는 단계와,
    상기 이동통신 사업자 시스템에 의해, 상기 인증 스코어에 대한 문턱 값을 정의하는 하나 이상의 보안 정책을 적용하는 단계를 더 포함하며, 상기 요청된 서비스를 제공하는 단계는 또한 상기 하나 이상의 보안 정책을 적용한 결과에 기초하는
    사용자를 인증하기 위한 방법.
  9. 시스템으로서,
    프로세서, 및 상기 프로세서에 연결되고 상기 프로세서에 의해 판독 가능하며, 명령어 세트를 저장하는 메모리를 포함하는 신원 서버 - 상기 명령어 세트는 상기 프로세서에 의해 실행될 때, 상기 프로세서로 하여금,
    보안 저장소에 있는 리치 커뮤니케이션 서비스(RCS) 네트워크의 사용자에 대한 신원 레코드 내에 신원 증명(Proof Of Identity)(POI) 정보를 등록하고, 신원 관리 블록체인 내에 상기 사용자에 대한 신원 주장 토큰의 해시를 등록함으로써, 신원 인증을 제공하게 함 - 와,
    프로세서, 및 상기 프로세서에 연결되고 상기 프로세서에 의해 판독 가능하며, 명령어 세트를 저장하는 메모리를 포함하는 이동통신 사업자 시스템을 포함하고, 상기 명령어 세트는 상기 프로세서에 의해 실행될 때, 상기 프로세서로 하여금, 서비스를 요청할 때,
    상기 사용자의 디바이스로부터, 서비스 요청을 수신하고,
    상기 사용자의 상기 디바이스에, 상기 서비스 요청에 응답하여 인증 시도를 제공하고,
    상기 사용자의 상기 디바이스로부터, 및 상기 인증 시도에 응답하여, 상기 신원 관리 블록체인의 주소, 대칭 키 및 상기 신원 서버의 주소를 수신하고,
    상기 사용자의 상기 디바이스로부터 수신된 상기 주소의 상기 신원 서버로부터, 상기 사용자에 대한 신원 정보를 요청하며,
    상기 신원 서버로부터, 상기 요청에 응답하여 상기 사용자에 대한 암호화된 신원 주장 토큰을 수신하고,
    상기 사용자의 상기 디바이스로부터 수신된 상기 대칭 키를 사용하여 상기 수신된 암호화된 신원 주장 토큰을 복호화하고,
    상기 복호화된 신원 주장 토큰의 해시를 생성하고,
    상기 복호화된 상기 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는지를 결정하고,
    상기 복호화된 신원 주장 토큰의 상기 생성된 해시가 상기 신원 관리 블록체인 내의 상기 사용자에 대한 상기 신원 주장 토큰의 상기 해시와 일치하는 것에 응답하여 상기 요청된 서비스를 상기 사용자의 상기 디바이스에 제공함으로써, 상기 사용자를 인증하게 하는
    시스템.
  10. 제 9 항에 있어서,
    상기 신원 서버의 상기 프로세서에 의해 실행되는 상기 명령어는 또한 상기 프로세서로 하여금,
    상기 이동통신 사업자 시스템으로부터, 상기 사용자의 신원 정보에 대한 요청을 수신하게 하고,
    상기 요청에 응답하여, 상기 이동통신 사업자 시스템에, 상기 사용자에 대한 암호화된 신원 주장 토큰을 제공하게 하는
    시스템.
KR1020190079654A 2018-07-02 2019-07-02 Rcs용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델 KR102343134B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/025,090 US11251956B2 (en) 2018-07-02 2018-07-02 Federated blockchain identity model and secure personally identifiable information data transmission model for RCS
US16/025,090 2018-07-02

Publications (2)

Publication Number Publication Date
KR20200003744A KR20200003744A (ko) 2020-01-10
KR102343134B1 true KR102343134B1 (ko) 2021-12-23

Family

ID=67137576

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190079654A KR102343134B1 (ko) 2018-07-02 2019-07-02 Rcs용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델

Country Status (5)

Country Link
US (1) US11251956B2 (ko)
EP (1) EP3592006B1 (ko)
JP (1) JP6924798B2 (ko)
KR (1) KR102343134B1 (ko)
CN (1) CN110677252B (ko)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11310052B1 (en) * 2018-07-31 2022-04-19 Block, Inc. Identity authentication blockchain
US11297056B1 (en) * 2018-08-01 2022-04-05 United Services Automobile Association (Usaa) Systems and methods for electronic enrollment and authentication
US10972274B2 (en) * 2018-08-29 2021-04-06 International Business Machines Corporation Trusted identity solution using blockchain
US10839397B2 (en) * 2018-09-06 2020-11-17 Mastercard International Incorporated Method and system for contextual device authentication via blockchain
US10810450B2 (en) * 2018-09-13 2020-10-20 Blackberry Limited Methods and systems for improved biometric identification
US11170128B2 (en) * 2019-02-27 2021-11-09 Bank Of America Corporation Information security using blockchains
US11275865B2 (en) * 2019-08-23 2022-03-15 Conduent Business Services, Llc Privacy friendly decentralized ledger based identity management system and methods
US20220044334A1 (en) * 2019-12-11 2022-02-10 Data Donate Technologies, Inc. Platform and method for preparing a tax return
KR102359826B1 (ko) * 2020-02-05 2022-02-09 논스랩 주식회사 블록체인을 기반으로 한 디지털 자산 관리 시스템 및 방법
US11201741B2 (en) * 2020-03-03 2021-12-14 The Prudential Insurance Company Of America System for improving data security
CN111291422B (zh) * 2020-03-20 2021-08-06 南京优物链科技有限公司 一种基于区块链技术的可信影像平台
US20210328973A1 (en) * 2020-04-15 2021-10-21 ID-TX, Inc. Transactional identity system and server
CN113554476B (zh) * 2020-04-23 2024-04-19 京东科技控股股份有限公司 信用度预测模型的训练方法、系统、电子设备及存储介质
CN111680279B (zh) * 2020-06-04 2023-06-09 上海东普信息科技有限公司 登录验证方法、装置及系统
US11218481B2 (en) * 2020-06-04 2022-01-04 Verizon Patent And Licensing Inc. Personal identity system
CN111723153A (zh) * 2020-06-18 2020-09-29 苏州琨山智能科技有限公司 一种数据同步处理方法、装置、设备及存储介质
KR102336215B1 (ko) 2020-07-16 2021-12-09 주식회사 한국무역정보통신 Did 서비스를 이용한 자격 인증 시스템과 그 방법
DE102020124996A1 (de) 2020-09-24 2022-03-24 norman² GmbH System zum Authentifizieren und/oder Identifizieren eines Nutzers
US11563579B2 (en) * 2020-10-02 2023-01-24 Nvidia Corporation Token-based zero-touch enrollment for provisioning edge computing applications
KR102424275B1 (ko) * 2020-11-06 2022-07-25 서울시립대학교 산학협력단 블록체인 기반의 분산 신원 인증을 통해 할인 정보를 제공하는 챗봇 서버, 방법 및 사용자 단말
EP4027606A1 (en) * 2021-01-11 2022-07-13 Google LLC Delivery of notifications to mobile devices
KR20220115285A (ko) 2021-02-10 2022-08-17 서강대학교산학협력단 암호화 누산기를 이용한 분산 신원 증명 시스템 및 분산 신원 증명 방법
CN113364803B (zh) * 2021-06-28 2022-03-11 山东华科信息技术有限公司 基于区块链的配电物联网的安全认证方法
CN113628704A (zh) * 2021-07-22 2021-11-09 海信集团控股股份有限公司 一种健康数据存储的方法及设备
US20230029053A1 (en) * 2021-07-22 2023-01-26 Oracle International Corporation Decentralized identity with user biometrics
CN113872983A (zh) * 2021-10-13 2021-12-31 苏州兆晶智能科技有限公司 一种区块链芯片身份认证系统及其认证方法
US11689374B1 (en) * 2021-11-15 2023-06-27 OneSpan Canada Inc. Blockchain-enhanced proof of identity
CN113901505B (zh) * 2021-12-06 2022-04-15 北京笔新互联网科技有限公司 数据共享方法、装置、电子设备及存储介质
US11574336B1 (en) * 2022-03-11 2023-02-07 Rx Paradigm Inc. Apparatus for secure decentralized rebate management
US20230318837A1 (en) * 2022-03-29 2023-10-05 OzoneAI Inc. Zero-Knowledge Proofs for Providing Browsing Data
CN116881981B (zh) * 2023-09-06 2024-01-02 深圳奥联信息安全技术有限公司 一种基于证书的数字签名系统及方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101851261B1 (ko) 2017-06-09 2018-04-23 씨토 주식회사 사설 블록체인 데이터 기반 중앙집중형 원격검침 보안시스템
US20180183740A1 (en) * 2016-12-28 2018-06-28 T-Mobile, Usa, Inc. Real-time integration of machine intelligence into client messaging platforms

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007257500A (ja) 2006-03-24 2007-10-04 Nippon Telegr & Teleph Corp <Ntt> 被認証装置、被認証プログラム、被認証方法、WebブラウザプラグインおよびWebブラウザブックマークレット
US7979899B2 (en) * 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
CN101510257B (zh) * 2009-03-31 2011-08-10 华为技术有限公司 一种人脸相似度匹配方法及装置
FR2981818A1 (fr) * 2011-10-21 2013-04-26 France Telecom Procede d'echange d'informations relatives a des services de communication enrichie
US9276917B2 (en) 2012-09-11 2016-03-01 Blackberry Limited Systems, devices and methods for authorizing endpoints of a push pathway
EP2835946A1 (de) * 2013-08-09 2015-02-11 Deutsche Telekom AG Verfahren zur Personalisierung von Cloud basierenden Web RCS-Clients
EP3257221B1 (en) * 2015-02-13 2022-03-09 Yoti Holding Limited Digital identity
WO2016154001A1 (en) * 2015-03-20 2016-09-29 Rivetz Corp. Automated attestation of device integrity using the block chain
SG10202006900PA (en) * 2015-12-22 2020-08-28 Financial & Risk Organisation Ltd Methods and systems for identity creation, verification and management
US20170344988A1 (en) * 2016-05-24 2017-11-30 Ubs Ag System and method for facilitating blockchain-based validation
CN107872379A (zh) * 2016-09-28 2018-04-03 中兴通讯股份有限公司 一种基于rcs消息的终端控制方法及装置
US10164977B2 (en) * 2016-11-17 2018-12-25 Avaya Inc. Mobile caller authentication for contact centers
US10382485B2 (en) * 2016-12-23 2019-08-13 Vmware, Inc. Blockchain-assisted public key infrastructure for internet of things applications
KR101829730B1 (ko) 2016-12-30 2018-03-29 주식회사 코인플러그 블록체인 데이터베이스를 통해 모바일 아이디를 이용하여 사용자를 인증하는 방법, 단말 및 이를 이용한 서버
US10764270B2 (en) * 2017-11-20 2020-09-01 Allstate Insurance Company Cryptographically transmitting and storing identity tokens and/or activity data among spatially distributed computing devices
KR102161114B1 (ko) 2018-05-03 2020-09-29 유비벨록스(주) 중계 서버를 이용하는 본인인증 시스템 및 이에 의한 본인인증 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180183740A1 (en) * 2016-12-28 2018-06-28 T-Mobile, Usa, Inc. Real-time integration of machine intelligence into client messaging platforms
KR101851261B1 (ko) 2017-06-09 2018-04-23 씨토 주식회사 사설 블록체인 데이터 기반 중앙집중형 원격검침 보안시스템

Also Published As

Publication number Publication date
US20200007333A1 (en) 2020-01-02
JP6924798B2 (ja) 2021-08-25
CN110677252B (zh) 2022-07-26
EP3592006B1 (en) 2021-12-08
US11251956B2 (en) 2022-02-15
KR20200003744A (ko) 2020-01-10
EP3592006A1 (en) 2020-01-08
CN110677252A (zh) 2020-01-10
JP2020010332A (ja) 2020-01-16

Similar Documents

Publication Publication Date Title
KR102343134B1 (ko) Rcs용 연합된 블록체인 신원 모델 및 보안 개인적 식별 가능 정보 데이터 전송 모델
AU2019210633B2 (en) Mobile multifactor single-sign-on authentication
US10798087B2 (en) Apparatus and method for implementing composite authenticators
US9686080B2 (en) System and method to provide secure credential
CN107294900B (zh) 基于生物特征的身份注册方法和装置
JP7083892B2 (ja) デジタル証明書のモバイル認証相互運用性
Khan et al. A brief review on cloud computing authentication frameworks
JP6266170B2 (ja) 3層セキュリティおよび算出アーキテクチャ
US11177958B2 (en) Protection of authentication tokens
US11616780B2 (en) Security protection against threats to network identity providers
Emadinia et al. An updateable token-based schema for authentication and access management in clouds
Sudha et al. A survey on different authentication schemes in cloud computing environment
US20230328050A1 (en) Using authentication credentials to validate blockchain additions
Kreshan THREE-FACTOR AUTHENTICATION USING SMART PHONE
Harisha et al. Open Standard Authorization Protocol: OAuth 2.0 Defenses and Working Using Digital Signatures
Panchbudhe et al. Study and Implementation of Location-based Access control Mechanism in Cloud services
Sudha et al. 1Research Scholar of Bharathidasan
WO2020144518A1 (en) Using virtual tokens to extend authentication protocols
WO2008084068A1 (en) Method and systems for proving the authenticity of a client to a server
Pohlmann Security analysis of OpenID, followed by a reference implementation of an nPA-based OpenID provider

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant