KR102369647B1 - 두 장치 간의 신뢰 확립 기법 - Google Patents

두 장치 간의 신뢰 확립 기법 Download PDF

Info

Publication number
KR102369647B1
KR102369647B1 KR1020177007308A KR20177007308A KR102369647B1 KR 102369647 B1 KR102369647 B1 KR 102369647B1 KR 1020177007308 A KR1020177007308 A KR 1020177007308A KR 20177007308 A KR20177007308 A KR 20177007308A KR 102369647 B1 KR102369647 B1 KR 102369647B1
Authority
KR
South Korea
Prior art keywords
devices
public key
trusted entity
trusted
request
Prior art date
Application number
KR1020177007308A
Other languages
English (en)
Other versions
KR20170060004A (ko
Inventor
쉬노다 다우드 피터 다우드
아누쉬 사부리
히만슈 소니
더스틴 마이클 인갈스
넬리 엘 포터
Original Assignee
마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 filed Critical 마이크로소프트 테크놀로지 라이센싱, 엘엘씨
Priority to KR1020227006613A priority Critical patent/KR102504051B1/ko
Publication of KR20170060004A publication Critical patent/KR20170060004A/ko
Application granted granted Critical
Publication of KR102369647B1 publication Critical patent/KR102369647B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3265Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate chains, trees or paths; Hierarchical trust model
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Power Engineering (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 명세서에 기재된 기술은 도메인 내에서 신뢰할 수 있는 엔티티를 활용하여 장치들이 서로를 안전하게 탐색해서 서로 접속할 수 있도록 서로 신뢰를 확립하는 것을 가능하게 한다. 본 명세서에서 논의된 다양한 예시에 있어서, 장치는 신뢰할 수 있는 엔티티에 신뢰 정보를 제공하거나, 및/또는 신뢰할 수 있는 엔티티로부터 신뢰 정보를 수신하도록 구성된다. 신뢰 정보는, 예컨대 암호화 키 쌍의 공개 키, 진본성을 증명하는 신뢰할 수 있는 엔티티에 의해 서명된 인증서, 및/또는 해시 체인을 형성하는 일련의 결과를 연산하는데 이용되는 해시 함수 및 해시 시드를 포함할 수 있다. 장치는 신뢰 정보를 이용해서 다른 장치를 탐색하고 안전하게 또한 자동으로 (예컨대, 사용자 개입 없이 또는 제한된 사용자 개입으로) 다른 장치에 접속할 수 있다. 또한, 장치는 신뢰 정보를 이용해서 다른 장치와 통신하는데 이용되는 MAC 주소를 동적으로 변경할 수 있다.

Description

두 장치 간의 신뢰 확립 기법{ESTABLISHING TRUST BETWEEN TWO DEVICES}
통상적으로, 컴퓨팅 장치는, 다른 장치들이 고정 매체 액세스 제어 주소(static media access control (MAC) address)를 통해 그 컴퓨팅 장치를 탐색해서 접속할 수 있게 하는 고정 MAC 주소를 브로드캐스팅한다. MAC 주소는 물리적 네트워크 세그먼트 상에서의 통신을 위한 네트워크 인터페이스에 할당된 고유 식별자를 포함한다. 예컨대, MAC 주소는 이더넷(Ethernet) 및 와이파이(Wi-Fi)용 네트워크 주소로서 이용된다.
그러나, 컴퓨팅 장치는, 그 고정 MAC 주소를 브로드캐스팅함으로 인해, 그 컴퓨팅 장치가 접속하고 싶어하지 않는 공격적인 또는 악의적인 엔티티(예컨대, 장치)에 대하여 취약해진다. 공격적인 또는 악의적인 엔티티는 고정 MAC 주소를 부당하게 이용해서 접속을 구축하고, 해당 장치로부터 데이터를 소비하며, 또한, 다양한 사례에 있어서, 해당 장치를 장악할 수 있다. 이들 공격적인 또는 악의적인 엔티티에 대항하기 위한 노력으로서, 컴퓨팅 장치는 유동 MAC 주소 및/또는 고정 유니버셜 MAC 주소와 연계될 수 있다. 예컨대, 장치의 페어링(pairing) 및 탐색은 초기에는 유동 MAC 주소를 이용해서 구현될 수 있고, 접속이 확립된 이후에는, 고정 유니버셜 MAC 주소를 통해 데이터 통신이 구현될 수 있다. 유동 MAC 주소를 이용하면, 컴퓨팅 장치와의 접속을 구축하는 공격적인 또는 악의적인 엔티티에 관한 문제 해결에 도움이 되지만, 유동 MAC 주소의 이용은 컴퓨팅 장치들간의 효율적인(예컨대, 자동) 탐색도 막는다. 또한, 두 장치 간에 접속을 확립한 후에는, 공격적인 또는 악의적인 엔티티가 통신에 이용되는 고정 유니버셜 MAC 주소를 노출시킬 수 있다.
본 출원은, 동일한 도메인의 일부분으로 되는 두 장치가 서로 안전하게 및/또는 자동으로 신뢰를 확립하고 서로 접속할 수 있게 하는 것을 기술한다. 두 장치는, 서로 안전하게 및/또는 자동으로 신뢰를 확립하는데 이용되는 신뢰 정보를 취득하기 위해 신뢰할 수 있는 엔티티와 상호작용함으로써, 신뢰할 수 있는 엔티티를 활용한다. 신뢰할 수 있는 엔티티는 도메인(예컨대, 기업 도메인)을 관리하고 신뢰 정보를 유지 및 공유하는 임무를 맡을 수 있다. 예를 들면, 신뢰 정보는 암호화 키 쌍의 공개 키, 진본성을 증명하는 신뢰할 수 있는 엔티티에 의해 서명된 인증서, 및/또는 해시 체인을 형성하는 일련의 결과를 연산하는데 이용되는 해시 함수 및 해시 시드(hash seed)를 포함할 수 있다. 장치는 신뢰 정보를 이용해서 다른 장치를 탐색하고, 다른 장치에 접속하고, 또한 다른 장치와 통신하는데 이용되는 MAC 주소를 동적으로 변경할 수 있다.
본 개요는 후속하여 발명의 상세한 설명 부분에서 설명되는 개념들 중 선택된 것들을 단순화된 형태로 소개하고자 제공되는 것이다. 본 개요는 청구항의 청구대상의 핵심적인 특징이나 필수적인 특징들을 밝히고자 함이 아니며, 청구항의 청구대상의 범위를 결정하는 것을 돕는데 이용이 되고자 함도 아니다. 예컨대, "기술(techniques)"이라는 용어는, 시스템(들), 방법(들), 컴퓨터 판독가능 명령어, 알고리즘, 컴포넌트, 모듈, 및/또는 앞서의 문맥에 의해 및 본 문헌의 전체에서 허용되는 기술(들)을 의미할 수 있다.
상세한 설명은 첨부 도면을 참조하여 제시된다. 도면에 있어서, 참조 번호의 가장 좌측의 숫자(들)는 참조 번호가 가장 먼저 나타나는 도면을 나타낸다. 상이한 도면들에서 동일한 참조 번호를 사용하는 것은 유사한 또는 동일한 아이템을 나타내는 것이다.
도 1은 컴퓨팅 장치가 동일한 도메인에 합류되는, 또는 그 일부분으로 되는 다른 컴퓨팅 장치와 신뢰를 확립하기 위해 신뢰할 수 있는 엔티티와 상호작용하는 예시적인 환경을 나타낸다.
도 2는 서로 신뢰를 확립하기 위해 장치들에 의해 사용 가능한 신뢰 정보를 관리, 저장 및 제공하는 예시적인 신뢰할 수 있는 엔티티 장치의 보다 상세화된 도면을 나타낸다.
도 3은 신뢰할 수 있는 엔티티 장치에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치가 공개 키 암호방식을 이용해서 서로 신뢰를 확립하고 접속할 수 있도록 도메인에 합류할 수 있는 예시적인 프로세스를 나타낸다.
도 4는 신뢰할 수 있는 엔티티 장치에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치가 신뢰할 수 있는 엔티티 장치에 의해 사전에 제공된 공개 키를 이용해서 서로 신뢰를 확립하고 접속할 수 있는 예시적인 프로세스를 나타낸다. 도 4의 예시적인 프로세스는, 다른 무엇보다도, 장치가 다른 장치에 접속하기를 바랄 때마다 해당 장치가 다른 장치의 공개 키를 검색하기 위해 신뢰할 수 있는 엔티티 장치에 접촉할 필요가 없도록, 신뢰할 수 있는 엔티티 장치가, 사전에, 공개 키 세트를 장치에 제공한다는 점에서, 도 3의 예시적인 프로세스와는 다르다.
도 5는 신뢰할 수 있는 엔티티 장치에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치가 인증서를 이용해서 서로 신뢰를 확립하고 접속할 수 있는 예시적인 프로세스를 나타낸다.
도 6은 신뢰할 수 있는 엔티티 장치에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치가 신뢰할 수 있는 엔티티 장치에 의해 사전에 제공된 인증서를 이용해서 서로 신뢰를 확립하고 접속할 수 있는 예시적인 프로세스를 나타낸다. 도 6의 예시적인 프로세스는, 다른 무엇보다도, 신뢰할 수 있는 엔티티 장치가, 사전에, 인증서 세트를 장치에 제공하므로, 해당 장치가 스스로 다른 장치에 자신의 인증서를 전송할 필요가 없다는 점에서, 도 5의 예시적인 프로세스와 다르다.
도 7은 통신용으로 이용할 MAC 주소를 결정하기 위해 해시 함수를 이용하는 예시적인 프로세스를 나타낸다.
도 8은 통신을 위해 장치에 의해 이용된 MAC 주소를 동적으로 변경하기 위해 해시 함수를 이용하는 예시적인 프로세스를 나타낸다.
본 명세서에 기재된 기술은 도메인 내의 신뢰할 수 있는 엔티티를 활용해서, 도메인에 합류하는 장치들이 안전하게 서로를 탐색하고 서로에 대하여 접속할 수 있게 서로 신뢰를 확립하는 것을 가능하게 한다. 장치들이 서로를 인증된 장치로서 검증했으면, 장치들 사이에 신뢰가 확립될 수 있다. 본 명세서에서 논의되는 다양한 예시에 있어서, 장치는 신뢰할 수 있는 엔티티에 신뢰 정보를 제공하거나, 및/또는 신뢰할 수 있는 엔티티로부터 신뢰 정보를 수신하도록 구성된다. 신뢰 정보는, 예컨대 암호화 키 쌍의 공개 키, 진본성을 증명하는 신뢰할 수 있는 엔티티에 의해 서명된 인증서, 및/또는 해시 체인을 형성하는 일련의 결과를 연산하는데 이용되는 해시 함수 및 해시 시드를 포함할 수 있다. 장치는 신뢰 정보를 이용해서 다른 장치를 탐색하고, 다른 장치에 안전하게 및 자동으로(예컨대, 사용자 개입 없이 또는 한정된 사용자 개입으로) 접속할 수 있다. 또한, 장치는 신뢰 정보를 이용해서, 다른 장치와 통신하는데 이용되는 MAC 주소를 동적으로 변경할 수 있다.
다양한 구현예에 있어서, 신뢰할 수 있는 엔티티는 도메인의 운영과 연관될 수 있다. 그에 따라, 신뢰할 수 있는 엔티티는 도메인에의 합류가 승인되는 장치들(예컨대, 신뢰할 수 있는 엔티티가 배치되는 도메인을 운영하는 회사의 종업원과 같은 사용자에게 등록된 장치)의 목록을 유지 및 관리할 수 있다. 신뢰할 수 있는 엔티티를 활용함으로써, 본 명세서에 기재된 기술은 공격적이고 악의적인 엔티티에 대한 노출을 제한하고 장치의 노출된 또는 취약한 MAC 주소의 지식을 활용하는 공격(예컨대, 분산형 서비스 거부(DDoS))으로부터 보호하는 견고한 모델을 구현한다.
도 1은 컴퓨팅 장치(102)가 동일한 도메인에 합류되는, 또는 그 일부분으로 되는 다른 컴퓨팅 장치(106)와 신뢰를 확립하기 위해 신뢰할 수 있는 엔티티(104)와 상호작용하는 예시적인 환경(100)을 나타낸다. 신뢰할 수 있는 엔티티(102)는 신뢰할 수 있는 장치 목록(108)을 유지한다. 신뢰할 수 있는 장치 목록(108)에 열거된 장치는 도메인 내에서 신뢰받는 장치이며, 그에 따라 본 명세서에서 논의된 안전한 및/또는 자동 접속(예컨대, 페어링, 본딩 등) 기술을 이용하도록 허가된다. 예컨대, 도메인은 네트워크(들)(110)(예컨대, 안전한 네트워크)를 포함하는 기업 도메인(예컨대, 회사 도메인)일 수 있으며, 신뢰할 수 있는 엔티티(104)는 도메인에 알려져 있어서 도메인 내에서 신뢰받는 신뢰할 수 있는 장치 목록(108)을 구성하는 중앙집중형 서버 및 중앙집중형 데이터베이스를 포함할 수 있다. "중앙집중형(centralized)"이란 용어는, 본 명세서에서는, 탐색, 접속 및/또는 통신을 위해 서로 신뢰를 확립함에 있어서 신뢰할 수 있는 장치 목록(108)에 포함되는 2개의 장치를 지원하는 신뢰할 수 있는 엔티티(104)의 중간 개입을 의미하는데 이용된다.
예컨대, 신뢰할 수 있는 장치 목록(108)은 회사의 각각의 종업원에게 공식적으로 분배되어 등록되는 장치들(예컨대, 랩탑 컴퓨터, 데스크탑 컴퓨터, 스마트폰, 스마트 워치 등) 및/또는 각각의 종업원에게 등록되지 않을 수 있지만, 물리적으로는 회사 구내 전체에서 종업원 그룹이 이용하도록 위치되는 장치들(예컨대, 회의실 프레젠테이션 장치, 원격 화상회의 장치, 네트워크 장치, 서모스탯 제어 장치, 스마트 가전기기 등)로 될 수 있다. 신뢰할 수 있는 장치 목록(108)은, 신뢰할 수 있는 장치 목록(108)을 갱신하는 공식 자격을 가진 회사의 관리 종업원(예컨대, 회사가 신입 사원을 고용할 때 신규 장치를 목록에 추가하거나, 및/또는 종업원이 퇴사할 때 장치를 목록에서 배제하는 IT 책임자)에 의해 구성될 수 있다. 그에 따라, 신뢰할 수 있는 장치 목록(108)은 신뢰할 수 있는 엔티티(104)에 의해 운영되는 도메인에의 합류가 승인 및 허가되는 장치를 포함한다.
신뢰할 수 있는 엔티티(104)는 신뢰 정보(112)를 관리 및 저장하도록 구성된다. 본 명세서에서 추가로 논의되는 바와 같이, 신뢰 정보(112)는 암호방식 키, 인증서, 해시 함수, 해시 시드, 해시 체인 버전 번호 등을 포함할 수 있지만, 이들에 한정되는 것은 아니다. 일부 예시에 있어서, 신뢰할 수 있는 장치 목록(108)에 있는 컴퓨팅 장치(102)는 신뢰 정보(112)(예컨대, 암호화 키 쌍)를 생성하고 해당 신뢰 정보(112)의 적어도 일부분(예컨대, 공개 키)을 신뢰할 수 있는 엔티티(104)에 제공한다. 따라서, 신뢰할 수 있는 엔티티(104)는 컴퓨팅 장치(102)로부터 신뢰 정보(112)를 수신하고, 수신한 신뢰 정보(112)를 저장하고 나서, 컴퓨팅 장치(102)에 의해 생성된 저장된 신뢰 정보(112)를 신뢰할 수 있는 장치 목록(108)에 있는 다른 컴퓨팅 장치들에 제공하므로, 쌍을 이루는 장치들(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106)) 사이에 신뢰가 확립될 수 있다. 일부 예시에 있어서, 신뢰할 수 있는 엔티티(104)는 컴퓨팅 장치(102)를 대신해서 신뢰 정보(112) 자체(예컨대, 인증서, 해시 함수 등)를 생성하고, 생성한 신뢰 정보(112)를 저장하고 나서, 저장된 신뢰 정보(112)를 신뢰할 수 있는 장치 목록(108)에 있는 다른 컴퓨팅 장치들에 제공하므로, 쌍을 이루는 장치들 사이에서 신뢰가 확립될 수 있다. 따라서, 도메인의 신뢰할 수 있는 장치 목록(108)에 포함된 장치들은 신뢰할 수 있는 엔티티(104)와 상호작용해서(예컨대, 신뢰 정보(112)를 제공, 신뢰 정보(112)를 수신 등) 다른 장치들과 신뢰를 확립하는 한편, 다른 장치들에 접속할 수 있다.
그 결과, 도 1은, 컴퓨팅 장치(102)와 신뢰할 수 있는 엔티티(104) 사이의 기지의 신뢰(114로 지칭됨)에 기초하는 한편, 컴퓨팅 장치(106)와 신뢰할 수 있는 엔티티(104) 사이의 기지의 신뢰(116으로 지칭됨)에 기초하여, 컴퓨팅 장치(102)와 컴퓨팅 장치(106)는 공격적이고 악의적인 엔티티에 의한 부당한 이용(120으로 지칭되며, "X"로 선을 그어 표시됨)에 취약한 종래의 MAC 주소 브로드캐스팅 해법을 이용할 필요 없이, 신뢰할 수 있는 엔티티(104)와의 상호간의 신뢰(118로 지칭됨)를 활용함으로써 서로 안전하게 탐색하고 접속할 수 있음을 나타낸다. 컴퓨팅 장치(102) 및 컴퓨팅 장치(106)는 네트워크(들)(110) 또는 다른 접속(예컨대, 블루투스 접속)을 이용해서 접속 및 통신할 수 있다.
본 명세서에 제공된 예시들 중 일부는 기업 도메인에 대하여 설명하고 있지만, 본 기술은 비-기업 도메인에서도 구현될 수 있다. 예컨대, 본 기술은 신뢰할 수 있는 장치 목록으로 구성된 신뢰할 수 있는 엔티티 또는 신뢰할 수 있는 제3자를 갖는 임의의 도메인에서 구현될 수 있으며, 신뢰할 수 있는 엔티티 또는 신뢰할 수 있는 제3자는 서로 접속하려고 하는 신뢰할 수 있는 장치 목록 상의 한 쌍의 장치에 의해 상호간에 신뢰된다.
신뢰할 수 있는 엔티티(104)와 연관된 도메인에 합류하도록 구성되는, 또는 그 일부분으로 되도록 구성되는 컴퓨팅 장치(예컨대, 컴퓨팅 장치(102))는 휴대용 장치 또는 고정형 장치를 포함하는 다양한 장치들 중 어느 하나를 포함할 수 있다. 예컨대, 컴퓨팅 장치(102)는 스마트폰, 휴대폰, 개인용 정보 단말기(PDA), 전자책 장치, 웨어러블 장치(예컨대, 스마트워치, 전자 안경 등), 랩탑 컴퓨터, 데스크탑 컴퓨터, 태블릿 컴퓨터, 휴대용 컴퓨터, 게임용 콘솔, 개인용 미디어 플레이어 장치, 업무용 장치(예컨대, 회의실 프레젠테이션 장치, 원격 화상회의 장치 등), 서모스탯 제어 장치, 스마트 가전 기기, 이미지 캡처 장치, 서버 컴퓨터 장치 또는 임의의 다른 장치를 포함할 수 있다.
따라서, 컴퓨팅 장치(102)는 하나 이상의 프로세서(122) 및 메모리(124)를 포함할 수 있다. 프로세서(들)(122)는 단일의 처리 유닛이거나 또는 다수의 상이한 처리 유닛을 각각 포함할 수 있는 다수의 유닛일 수 있다. 프로세서(들)(122)는 마이크로프로세서, 마이크로컴퓨터, 마이크로컨트롤러, 디지털 신호 프로세서, 중앙 처리 유닛(CPU), 그래픽 처리 유닛(GPU) 등을 포함할 수 있다. 대안으로서, 또는 부가적으로, 본 명세서에 기재된 기술들 중 일부 또는 전부는, 적어도 부분적으로, 하나 이상의 하드웨어 로직 컴포넌트에 의해 수행될 수 있다. 한정이 아닌 예시로서, 이용될 수 있는 예시적인 유형의 하드웨어 로직 컴포넌트는 FPGA(Field-Programmable Gate Array), ASIC(Application-Specific Integrated Circuit), ASSP(Application-Specific Standard Products), 상태 기계(state machine), CPLD(Complex Programmable Logic Device), 그 밖의 로직 회로, SoC(system on chip), 및/또는 명령어에 기초하여 작업을 수행하는 임의의 다른 장치를 포함한다. 프로세서(들)(122)는, 다른 능력들 중에서도, 메모리(124)에 저장된 컴퓨터 판독가능 명령어를 페치 및 실행하도록 구성될 수 있다.
메모리(124)는 하나의 컴퓨터 판독가능 매체 또는 그 조합을 포함할 수 있다. 본 명세서에서 이용되는 바와 같은, "컴퓨터 판독가능 매체(computer-readable media)"는 컴퓨터 스토리지 매체 및 통신 매체를 포함한다.
컴퓨터 스토리지 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 그 밖의 데이터와 같은 정보를 저장하는 임의의 방법 또는 기술로 구현된 휘발성 및 비-휘발성의, 착탈식 및 비-착탈식 매체를 포함한다. 컴퓨터 스토리지 매체는, 상변화 메모리(PRAM), SRAM(static random-access memory), DRAM(dynamic random-access memory), 그 밖의 유형의 RAM(random access memory), ROM(read only memory), EEPROM(electrically erasable programmable ROM), 플래시 메모리 또는 그 밖의 메모리 기술, CD-ROM(compact disk ROM), DVD(digital versatile disks) 또는 그 밖의 광학 스토리지, 자기 카세트, 자기 테이프, 자기 디스크 스토리지 또는 그 밖의 자기 스토리지 장치, 또는 컴퓨팅 장치에 의한 액세스를 위한 정보를 저장하는데 이용될 수 있는 임의의 다른 매체를 포함하지만, 이들에 한정되는 것은 아니다.
그에 반해서, 통신 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 그 밖에 반송파와 같은 변조 데이터 신호에서의 데이터를 포함한다. 본 명세서에서 규정된 바와 같은 컴퓨터 스토리지 매체는 통신 매체를 포함하지 않는다.
메모리(124)는 다른 컴포넌트 및 다른 장치를 위해 컴퓨팅 장치(102) 내의 하드웨어 및 서비스를 관리하도록 구성되며 해당 컴퓨팅 장치에 결합되는 운영 체제(126)를 포함할 수 있다. 예컨대, 컴퓨팅 장치(102)의 다른 컴포넌트는 브라우저 또는 애플리케이션(예컨대, 컴퓨팅 장치(102) 상에 구성된 "앱(app)")과 같은 사용자 모듈(들)을 포함할 수 있다. 본 명세서에서 이용되는 바와 같은 "모듈(module)"이라는 용어는 논의 목적상 실행가능 명령어의 예시적인 구분을 나타내려는 것이며, 임의의 유형의 요건 또는 필요한 방법, 방식 또는 조직을 나타내려는 것이 아니다. 그에 따라, 다양한 "모듈"이 논의되지만, 그 기능 및/또는 유사한 기능은 상이하게 배치될 수 있다(예컨대, 보다 적은 수의 모듈로 결합되거나, 보다 많은 수의 모듈로 나뉘는 등). 또한, 본 명세서에서는 특정한 기능 및 모듈이 프로세서 상에서 실행가능한 소프트웨어 및/또는 펌웨어에 의해 구현되는 것으로 기재될 수 있지만, 다른 실시예에 있어서는, 임의의 모듈 또는 모든 모듈은 상술한 기능을 실행하기 위해 전적으로 또는 부분적으로 하드웨어(예컨대, 전문적인 처리 유닛 등)에 의해 구현될 수 있다.
컴퓨팅 장치(102)는 또한, 네트워크 인터페이스(128)(예컨대, 네트워크 인터페이스 컨트롤러 또는 NIC)를 포함할 수 있다. 다양한 예시에 있어서, 네트워크 인터페이스(128)는 신뢰 확립 모듈(130)을 포함한다. 신뢰 확립 모듈(130)은, 본 명세서에서 추가로 논의되는 바와 같이, 신뢰할 수 있는 엔티티(104)와 통신하고 정보(예컨대, 신뢰 정보(112))를 교환하도록 구성된다. 신뢰 확립 모듈(130)은 또한, 신뢰 정보(112) 및 MAC 주소(132)를 이용해서 다른 컴퓨팅 장치(예컨대, 컴퓨팅 장치(106))를 탐색하거나, 및/또는 해당 다른 컴퓨팅 장치와의 접속을 확립하도록 구성된다. MAC 주소(132)는 개방형 시스템간 상호접속(OSI) 모델의 매체 액세스 제어 프로토콜 하위-계층에서, 또는 그에 의해 이용될 수 있다. MAC 주소(132)는 네트워크 인터페이스(128)의 하드웨어(예컨대, 리드-온리 메모리 또는 어느 다른 펌웨어 메커니즘)에 저장될 수 있다. 다양한 예시에 있어서, 신뢰 정보(112)는 MAC 주소(132)를, 컴퓨팅 장치(106)가 컴퓨팅 장치(102)와 통신하는 것을 허용하는 네트워크 지점으로서 나타낸다. 환언하면, 신뢰 정보(112)는 컴퓨팅 장치(106)와 통신하기 위해 컴퓨팅 장치(102)에 의해 이용된 MAC 주소(132)를 연산하는데 이용될 수 있으며, 그에 따라, 공격적인 또는 악의적인 엔티티에 의해 부당하게 이용되는 것에 취약한 브로드캐스팅 쿼리는 불필요해진다.
본 명세서에 제공된 예시들 중 일부는 네트워크 인터페이스(128) 내에 포함되는 신뢰 확립 모듈(130)에 대하여 설명되지만, 신뢰 확립 모듈(130)은 컴퓨팅 장치의 다른 컴포넌트(예컨대, 메모리(124) 상의 모듈 및/또는 운영 체제(126))에서 구현될 수도 있다.
도 2는 신뢰할 수 있는 엔티티(104)의 일부분일 수 있거나, 또는 해당 엔티티에 의해 동작되는 예시적인 신뢰할 수 있는 엔티티 장치(202)의 상세화된 도면(200)을 나타낸다. 신뢰할 수 있는 엔티티 장치(202)는 휴대용 장치 또는 고정형 장치를 포함하는 다양한 장치 중 어느 하나를 포함할 수 있다. 예컨대, 신뢰할 수 있는 엔티티 장치(202)는 서버, 또는 네트워크 서비스(예컨대, 클라우드 서비스, 콘텐츠 제공자, 서비스 제공자, 서버 팜 등) 내에서 동작하는 다른 컴퓨팅 장치를 포함할 수 있다. 그에 따라, 신뢰할 수 있는 엔티티 장치(202)는 인터넷(예컨대, 와이파이 접속)과 같은 네트워크(들)(110) 또는 그 밖의 다양한 통신 기술을 통해 신뢰할 수 있는 장치 목록(108) 상의 장치들(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106))과 통신하도록 구성된다.
신뢰할 수 있는 엔티티 장치(202)는 하나 이상의 프로세서(들)(204) 및 메모리(206)를 포함한다. 예시적인 유형의 프로세서(들)(204) 및 메모리(206)는 도 1의 프로세서(들)(122) 및 메모리(124)에 대하여 위에서 논의된다. 메모리(206)는 신뢰 관리 모듈(208)을 포함한다. 신뢰 관리 모듈(208)은, 2개의 장치가 신뢰를 확립하고 서로 접속할 수 있게, 신뢰할 수 있는 장치 목록(108)에 있는 장치들과 상호작용하도록 구성된다. 이를 위해, 신뢰 관리 모듈(208)은 장치들이 도메인에 합류하는 것이 승인되어 있는지(예컨대, 장치들이 공식적으로 등록되어 있는지)를 검증하도록 구성된다. 예컨대, 신뢰 관리 모듈(208)은, 장치가 신뢰되어 있고, 그에 따라 도메인에의 합류가 승인되어 있는지를 검증하기 위해 신뢰할 수 있는 장치의 아이덴티티(210)를 포함하는 데이터베이스에 액세스할 수 있다. 신뢰 관리 모듈(208)은 또한, 도메인에 합류한 장치로부터 신뢰 정보(112)를 수신하고, 경우에 따라 장치를 대신해서 또한 장치에 의해 사용 가능한 신뢰 정보(112)를 생성해서 서로 신뢰를 확립하도록 구성된다. 또한, 신뢰 관리 모듈(208)은 신뢰 정보(112)를 저장하고, 신뢰가 확립될 수 있도록 도메인에 합류한 다른 장치들에 신뢰 정보(112)를 제공하도록 구성된다.
본 명세서에서 추가로 논의되는 다양한 예시에 있어서(예컨대, 도 3 및 도 4에 대하여), 신뢰 정보(112)는 신뢰할 수 있는 장치의 공개 키를 포함한다. 따라서, 신뢰 관리 모듈(208)은 신뢰할 수 있는 장치로부터 공개 키를 수신하고, 해당 공개 키를 공개 키 데이터베이스(212)에 저장할 수 있다.
본 명세서에서 추가로 논의되는 다양한 예시에 있어서(예컨대, 도 5 및 도 6에 대하여), 신뢰 정보(112)는 신뢰할 수 있는 장치에 대하여 생성 및 발급될 인증서를 포함한다. 따라서, 신뢰 관리 모듈(208)은 인증서를 생성하거나 및/또는 해당 인증서를 인증서 데이터베이스(214)에 저장할 수 있다.
본 명세서에서 추가로 논의되는 다양한 예시에 있어서(예컨대, 도 7 및 도 8에 대하여), 신뢰 정보(112)는 신뢰할 수 있는 장치에 대하여 발급되거나 및/또는 신뢰할 수 있는 장치와 공유될 해시 함수, 해시 시드 및 해시 체인 버전 번호를 포함한다. 따라서, 신뢰 관리 모듈(208)은 해시 함수 및 해시 시드를 생성하거나 및/또는 해시 함수, 해시 시드 및 해시 체인 버전 번호를 해시 함수 데이터베이스(216)에 저장할 수 있다.
추가적인 예시에 있어서, 신뢰 관리 모듈(208)은 또한, 장치 제휴(device associations)를 생성하고 해당 제휴에 기초하여 장치 그룹을 장치 그룹 데이터베이스(218)에 저장할 수 있다. 예컨대, 정기적으로 더욱 접속 및 통신할 개연성이 있는 도메인의 장치들이 자동으로 및 안전하게 접속 및 통신을 수행할 수 있도록 제휴 및 그룹이 생성될 수 있다.
도 3 내지 도 8은 본 명세서에 기재된 기술을 채용하는 예시적인 프로세스를 개별적으로 나타낸다. 설명의 편의상, 예시적인 프로세스는 도 1 및/또는 도 2의 환경에서 수행되는 것으로서 기재된다. 예컨대, 예시적인 프로세스의 하나 이상의 개개의 작업들은 컴퓨팅 장치(102)에 의해, 신뢰할 수 있는 엔티티 장치(202)에 의해, 또는 컴퓨팅 장치(102)가 접속을 확립하고 있는 컴퓨팅 장치(106)에 의해 수행될 수 있다. 도 3 내지 도 7의 예시적인 프로세스에 있어서, 각각의 장치에 의해 수행된 각각의 작업은 해당 작업을 수행하는 각각의 장치(예컨대, 도 3 내지 도 7의 상부에 지시된 바와 같음) 아래에 칼럼 포맷으로 나타내진다. 그러나, 프로세스는 다른 환경에서 다른 장치에 의해 수행될 수 있음은 물론이다.
예시적인 프로세스는 논리적 흐름 선도로 나타내지고, 그 각각의 작업은 하드웨어, 소프트웨어, 또는 그 조합으로 구현될 수 있는 일련의 작업을 나타낸다. 소프트웨어의 맥락에서, 작업들은, 하나 이상의 프로세서에 의한 실행시에, 나열된 작업들을 수행하도록 장치를 구성하는 하나 이상의 컴퓨터 판독가능 스토리지 매체 상에 저장된 컴퓨터 실행가능 명령어를 나타낸다. 일반적으로, 컴퓨터 실행가능 명령어는 루틴, 프로그램, 객체, 컴포넌트, 데이터 구조, 및 특정 기능을 수행하는 기타 유사한 것을 포함한다. 작업들이 기재되는 순서는 한정으로서 이해되지 않아야 하고, 기재된 작업들의 임의의 수는 임의의 순서로 및/또는 병렬로 결합되어서 프로세스를 구현할 수 있다. 또한, 개개의 작업들 중 어느 것은 생략될 수 있다.
도 3은 신뢰할 수 있는 엔티티 장치(202)에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106))가 서로에 대하여 신뢰를 확립하고 접속할 수 있도록 도메인에 합류할 수 있는 예시적인 프로세스(300)를 나타낸다. 예시적인 프로세스(300)는 공개 키 암호방식을 활용해서 신뢰를 확립하거나 및/또는 장치들이 안전하게 또한 자동으로 접속하는 것을 가능하게 한다. 2개의 장치의 "자동(automatic)" 접속은 (i) 장치의 사용자로부터 입력을 요구함이 없이, 또는 (i) 장치의 사용자로부터 제한된 입력(예컨대, "제한된(limited)" 양의 입력은 사용자가 접속을 확립하고 싶어하는 장치를 선택 또는 식별하는 것을 사용자에게 요구하는 것만을 의미할 수 있음)으로 발생할 수 있다.
작업(302(A))에서, 제 1 컴퓨팅 장치(102)는 신뢰 정보(112)로서 암호화 키 쌍을 생성한다. 다양한 예시에 있어서, 암호화 키 쌍은 개인 키(예컨대, "e_1") 및 공개 키(예컨대, "P_1")를 포함한다. 제 1 컴퓨팅 장치(102)는 개인 키를 보유하고, 해당 개인 키를 이용해서, 공개 키를 갖는 다른 장치(예컨대, 컴퓨팅 장치(106))에 의해 복호될 수 있는 정보에 서명(예컨대, 암호화)하고, 그에 따라 제 1 컴퓨팅 장치(102)에 의해 정보가 제공되었던 다른 장치가 증명된다. 그에 따라, 공개 키는 다른 장치(예컨대, 본 명세서에서 추가로 논의되는 바와 같이, 신뢰할 수 있는 엔티티 장치(202)를 통해 컴퓨팅 장치(106))에 제공되도록 구성된다. 상응하는 작업(302(B))에 있어서, 제 2 컴퓨팅 장치(106)는 자신의 신뢰 정보(112)로서 암호화 키 쌍(예컨대, "e_2", "P_2")을 생성한다.
작업(304(A))에서, 제 1 컴퓨팅 장치(102)는 공개 키를 신뢰할 수 있는 엔티티 장치(202)에 전송 또는 제공한다. 예컨대, 제 1 컴퓨팅 장치(102)는 암호화 키 쌍을 생성할 수 있거나, 및/또는 도메인에 합류하는 것 및/또는 도메인에 대한 인증(예컨대, 종업원이 작업 공간에 도착)과 관련하여 공개 키를 신뢰할 수 있는 엔티티 장치(202)에 제공할 수 있다. 상응하는 작업(304(B))에 있어서, 제 2 컴퓨팅 장치(106)는 자신의 공개 키를 신뢰할 수 있는 엔티티 장치(202)에 전송 또는 제공한다.
작업(306)에서, 신뢰할 수 있는 엔티티 장치(202)는 제 1 컴퓨팅 장치(106)로부터 공개 키를 수신하고 제 2 컴퓨팅 장치(106)로부터 공개 키를 수신하고, 해당 공개 키들을, 예컨대 공개 키 데이터베이스(212)에 저장한다.
작업(308)에서, 제 1 컴퓨팅 장치(102)는 제 2 컴퓨팅 장치(106)에 대한 접속 요청을 신뢰할 수 있는 엔티티 장치(202)에 전송한다. 예컨대, 해당 요청은, 예컨대 그 MAC 주소를 브로드캐스팅하지 않고, 제 2 컴퓨팅 장치(106)를 탐색하고 제 2 컴퓨팅 장치(106)에 접속하기를 바라는 제 1 컴퓨팅 장치(102)와 관련하여 전송될 수 있다. 제 1 컴퓨팅 장치(102)는, 신뢰할 수 있는 장치 목록(108)이 제 2 컴퓨팅 장치(106)를 포함하는지를 결정하기 위해 요청을 전송할 수 있다. 만약 그렇다면, 제 1 컴퓨팅 장치(102)는, 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)가 신뢰할 수 있는 엔티티 장치(202)와 상호간의 신뢰를 갖고 있고, 그에 따라 2개의 장치가 안전하게 또한 자동으로 서로 탐색해서 접속할 수 있도록 2개의 장치간의 신뢰를 확립하기 위해 해당 상호간의 신뢰가 활용될 수 있음을 인식할 것이다.
작업(310)에서, 신뢰할 수 있는 엔티티 장치(202)는 제 1 컴퓨팅 장치(102)로부터 요청을 수신하고, 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 장치 목록(108) 상의 신뢰할 수 있는 장치임을 (예컨대, 아이덴티티 데이터베이스(210)에 저장된 장치 ID를 통해) 검증한다.
작업(312)에서, 신뢰할 수 있는 엔티티 장치(202)는, 요청에 응답하여, 제 2 컴퓨팅 장치(106)의 공개 키(예컨대, "P_2")를 제 1 컴퓨팅 장치(102)에 반환한다.
작업(314)에서, 제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)로부터 제 2 컴퓨팅 장치(106)의 공개 키를 수신한다. 경우에 따라, 제 1 컴퓨팅 장치(102)는 다른 장치가 아닌 신뢰할 수 있는 엔티티 장치(202)로부터 공개 키가 수신되었음을 검증하는 프로세스를 구현할 수 있다.
작업(316)에서, 신뢰할 수 있는 엔티티 장치(202)는, 제 2 컴퓨팅 장치(106)를 식별하는 요청에 기초하여, 제 1 컴퓨팅 장치(102)의 공개 키(예컨대, "P_1")를 제 2 컴퓨팅 장치(106)에 제공한다. 예컨대, 제 1 컴퓨팅 장치(102)의 공개 키의 제공은, 제 1 컴퓨팅 장치(102)가 제 2 컴퓨팅 장치(106)와 신뢰를 확립해서 접속하기를 바란다는 지시로서 기능할 수 있거나, 또는 해당 지시를 수반할 수 있다.
작업(318)에서, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)로부터 제 1 컴퓨팅 장치(102)의 공개 키를 수신한다. 경우에 따라, 제 2 컴퓨팅 장치(106)는 다른 장치가 아닌 신뢰할 수 있는 엔티티 장치(202)로부터 공개 키가 수신되었음을 검증하는 프로세스를 구현할 수 있다.
작업(320)에서, 제 1 컴퓨팅 장치(102)는 MAC 주소(132)를 통해 접속하려는 요청을 제 2 컴퓨팅 장치(106)에 전송한다. 요청 및/또는 MAC 주소(132)는 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 엔티티 장치(202)로부터 수신한(예컨대, 작업(314)) 제 2 장치의 공개 키(예컨대, "P_2")로 암호화될 수 있다. 또한, 요청 및/또는 MAC 주소(132)는 제 1 컴퓨팅 장치(102)의 개인 키(예컨대, "e_1")를 이용해서 서명되어 컴퓨팅 장치(102)에 의해 보존될 수 있다. 그에 따라, MAC 주소(132)는 브로드캐스팅되지 않기 때문에, 공격적인 또는 악의적인 엔티티에 의한 부당 이용에 노출되지 않는다.
작업(322)에서, 제 2 컴퓨팅 장치(106)는 제 1 컴퓨팅 장치(102)로부터 요청을 수신한다.
작업(324)에서, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)로부터 수신한 제 1 컴퓨팅 장치(102)의 공개 키(예컨대, "P_1")(예컨대, 작업(318))를 이용해서 요청 및/또는 MAC 주소의 서명을 검증할 수 있다. 또한, 제 2 컴퓨팅 장치(106)는 자신의 개인 키(예컨대, "e_2")를 이용해서 요청 및/또는 MAC 주소를 복호할 수 있다. 그에 따라, 신뢰할 수 있는 엔티티 장치(202)를 통해 제공된 신뢰 정보(예컨대, 공개 키)를 이용해서 2개의 장치간에 신뢰가 확립되었다.
상응하는 작업(326(A) 및 326(B))에서, 제 1 컴퓨팅 장치(102)와 제 2 컴퓨팅 장치(106)는 MAC 주소(132)를 통해 접속한다. 도 3에 나타내진 작업들의 순서는 도시된 것과 달라질 수 있다. 예컨대, 제 1 컴퓨팅 장치(102)가 제 2 컴퓨팅 장치(106)의 공개 키를 수신(예컨대, 작업(314))하기 전에, 제 2 컴퓨팅 장치(106)가 제 1 컴퓨팅 장치(102)의 공개 키를 수신(예컨대, 작업(318))할 수 있다.
도 3의 예시적인 프로세스(300)는 컴퓨팅 장치(102)와 컴퓨팅 장치(106)가 접속하기를 바랄 때마다 수행될 수 있다.
도 4는 신뢰할 수 있는 엔티티 장치(202)에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(104))가 신뢰할 수 있는 엔티티 장치(102)에 의해 사전에 제공된 공개 키를 이용해서 서로 신뢰를 확립하고 접속할 수 있는 예시적인 프로세스(400)를 나타낸다. 본 명세서에서 논의되는 바와 같이, 예시적인 프로세스(400)는, 장치가 다른 장치에 접속하기를 바랄 때마다 해당 장치가 다른 장치의 공개 키를 검색하기 위해 신뢰할 수 있는 엔티티 장치(202)에 접촉할 필요가 없도록, 신뢰할 수 있는 엔티티 장치(202)가, 사전에, 공개 키 세트를 장치에 제공한다는 점에서, 도 3의 예시적인 프로세스(300)와는 다르다. 환언하면, 장치는, 해당 장치가 접속하기를 바랄 때마다 공개 키를 검색하기 위해 신뢰할 수 있는 엔티티 장치(202)로 계속해서 돌아갈 필요가 없도록 제각기 다른 장치들의 세트와 연관되는 공개 키 세트를, 예컨대 신뢰 정보(112)로서 지속적으로 저장할 수 있다. 더 정확히 말하면, 장치가 다른 장치에 접속하기를 바랄 때, 다른 장치의 공개 키는 이미 로컬에 저장되어 있으며, 용이하게 이용하는 것이 가능하다.
일부 예시에 있어서, 공개 키 세트를 사전에 제공하는 것은, 예컨대 장치 그룹 데이터베이스(218)에 저장된 바와 같은, 규정된 장치 그룹에 기초하여 이루어질 수 있다. 그룹은 유자격자(예컨대, IT 책임자, 프로젝트 매니저 등)에 의해 및/또는 규정된 정책에 따라 규정 및 생성될 수 있다. 적어도 하나의 예시에 있어서, 장치에 제공되거나, 또는 밀어넣어지는 공개 키 세트는 제각기, 동일한 사용자에 의해 소유 또는 제어되거나, 또는 동일한 사용자 계정과 연관되는 다른 장치 세트와 연관될 수 있다. 예컨대, 회사의 각각의 종업원은 자신이 업무 관련 작업에 이용하는 다수의 장치(예컨대, 스마트폰, 태블릿 장치, 랩탑 컴퓨터 및 본사에 있는 데스크탑 컴퓨터)를 구비할 수 있으며, 각각의 장치는 회사에 의해 운영되는 기업 도메인에 합류(예컨대, 로그인)할 수 있거나, 또는 그 일부분으로 될 수 있는 신뢰할 수 있는 장치 목록(108)에 있는 장치이다. 일부 사례에 있어서, 기업 도메인은 회사를 돕는 외부 엔티티(예컨대, 회사가 이용하도록 구성됨)에 의해 호스팅 또는 운영될 수 있다. 다른 예시에 있어서, 장치에 제공되는 공개 키 세트는 제각기 특정 팀의 또는 특정 업무 프로젝트 그룹의 다양한 종업원에게 속하는 다른 장치들의 세트와 연관될 수 있다. 또 다른 예시에 있어서, 장치에 제공되는 공개 키 세트는 제각기 통상적으로 장치의 미리 정해진 부근 안에 있는 다른 장치들의 세트(예컨대, 종업원이 통상 위치해 있는 직장의 특정 층 또는 특정 빌딩 내에 설치되는 각각의 작업 공간의 장치)와 연관될 수 있다.
도 4에 있어서, 302(A), 302(B), 304(A), 304(B), 및 306의 작업은 도 3에 대하여 위에서 논의된 것들과 동일 또는 유사하다.
그러나, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106)가 도메인에 합류하거나, 도메인에 대하여 인증하거나, 및/또는 그들의 공개 키를 제공한 이후의 작업(402)에서, 신뢰할 수 있는 엔티티 장치(202)는 공개 키 세트를 식별해서 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106) 각각에 제공하다. 일부 예시에 있어서, 식별된 공개 키 세트는 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 대하여 동일할 수 있지만, 다른 예시에 있어서는, 식별된 공개 키 세트가 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 대하여 상이할 수 있다. 본 명세서에서 사용되는 바와 같은, "세트(set)"는 하나 또는 다수(예컨대, 1개의 공개 키, 2개의 공개 키, 5개의 공개 키, 10개의 공개 키 등)를 포함할 수 있다.
작업(404)에서, 신뢰할 수 있는 엔티티 장치(202)는 공개 키 세트를 각각의 장치에, 예컨대, 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 전송한다. 논의된 바와 같이, 하나의 특정 예시에 있어서, 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 공개 키는 각각의 사용자와 연관되는(예컨대, 각각의 사용자가 소유하는, 각각의 사용자에게 등록되는, 각각의 사용자에 의해 제어되는, 등) 장치 세트에 대한 공개 키를 포함한다. 신뢰할 수 있는 엔티티 장치(202)에 의한 공개 키 세트의 전송은 신뢰 정보(112)의 "푸시(push)"로서 지칭될 수 있다. 환언하면, 신뢰할 수 있는 엔티티 장치(202)는, 공개 키에 대한 특정한 요청 및/또는 다른 특정 장치에 접속하려는 특정한 요청을 수신하기 전에, 및/또는 그와 무관하게, 공개 키 세트를 컴퓨팅 장치에 자동으로 푸시할 수 있다.
작업(406(A))에서, 제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 공개 키 세트를 수신한다. 상응하는 작업(406(B))에 있어서, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 공개 키 세트를 수신한다.
제 1 컴퓨팅 장치(102)는 제 2 컴퓨팅 장치(106)의 공개 키(예컨대, "P_2")를, 예컨대 로컬에 저장했기 때문에, 도 3에 대하여 위에서 논의된 것과 동일 또는 유사한 방식으로 작업(320)을 구현할 수 있다. 예컨대, 제 1 컴퓨팅 장치(102)는 MAC 주소(132)를 통해 접속하려는 요청을 제 2 컴퓨팅 장치(106)에 전송한다. 요청 및/또는 MAC 주소(132)는 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 엔티티 장치(202)로부터 수신한(예컨대, 작업(406(A))) 제 2 장치(106)의 공개 키로 암호화될 수 있다. 또한, 요청 및/또는 MAC 주소(132)는 제 1 컴퓨팅 장치(102)의 개인 키(예컨대, "e_1")를 이용해서 서명될 수 있다. 그에 따라, MAC 주소(132)는 브로드캐스팅되지 않기 때문에, 공격적인 또는 악의적인 엔티티에 의한 부당 이용에 노출되지 않는다.
또한, 제 2 컴퓨팅 장치(106)는 도 3에 대하여 위에서 논의된 것과 동일 또는 유사한 방식으로 작업(322 및 324)을 구현할 수 있다. 예컨대, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)로부터 수신한 제 1 컴퓨팅 장치(102)의 공개 키(예컨대, "P_1")(예컨대, 작업(406(B)))를 이용해서 요청 및/또는 MAC 주소의 서명을 검증할 수 있다. 또한, 제 2 컴퓨팅 장치(106)는 자신의 개인 키(예컨대, "e_2")를 이용해서 요청 및/또는 MAC 주소를 복호할 수 있다. 그에 따라, 신뢰할 수 있는 엔티티 장치(202)를 통해 제공된 신뢰 정보(예컨대, 공개 키)를 이용해서 2개의 장치간의 신뢰가 확립되었다.
그 결과, 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)는 제각기 상응하는 작업(326(A) 및 326(B))(예컨대, 도 3에 대하여 위에서 논의된 것들과 유사 또는 동일)을 구현할 수 있고, MAC 주소(132)를 통해 접속할 수 있다. 도 4에 나타내진 작업들의 순서는 도시된 것과 달라질 수 있다.
하나의 예시적인 구현예에 있어서, 미리 수신 및 저장된 공개 키를 갖는 한편, 사용자에게 속하는 2개의 장치(예컨대, 스마트폰 및 랩탑)는, 도메인의 일부인 네트워크에 접속될 필요 없이 및/또는 공개 키를 검색하기 위해 신뢰할 수 있는 엔티티 장치(202)에 접촉할 필요 없이, 단거리 접속(예컨대, 사용자가 재택 근무 중인 동안의 블루투스 접속)을 이용해서 작업(320, 322, 324, 326(A) 및 326(B))을 통해 신뢰를 확립할 수 있거나 및/또는 접속할 수 있다.
일부 사례에 있어서, 신규 장치들이 도메인에 합류하고 시간의 경과에 따라 신뢰할 수 있는 엔티티 장치(202)에 등록(예컨대, 신뢰할 수 있는 장치 목록(108)에 추가)됨에 따라, 신뢰할 수 있는 엔티티 장치(202)는 신규 장치들을 적절한 장치 그룹에 추가할 수 있거나, 또는 그들의 공개 키를 동일 그룹의 일부분인 다른 신뢰할 수 있는 장치에 밀어넣거나 분배할 수 있으므로, 해당 그룹 내의 다른 신뢰할 수 있는 장치는 도메인에 합류하는 신규 장치들(예컨대, 동일한 사용자에게 속하는 장치들)과 관련된 공개 키 정보가 갱신될 수 있다. 일 예시에 있어서, 장치 그룹은 도메인 내에서 신뢰할 수 있는 엔티티 장치(202)에 의해 신뢰되는 모든 장치를 포함할 수 있다. 다른 예시에 있어서, 그룹의 사이즈는 장치가 훼손되는 경우에 보안을 확보하는 것을 돕기 위해 임계 사이즈(예컨대, 5개의 장치, 10개의 장치, 20개의 장치, 50개의 장치 등)로 한정될 수 있다. 즉, 신뢰할 수 있는 엔티티 장치(202)에 대해서는, 훼손된 장치가 50개의 공개 키를 포함하는 경우에 비해, 훼손된 장치가 5개의 공개 키를 포함하는 경우에, 도메인 내에서의 문제를 해결하는 것(예컨대, 훼손된 키의 폐기/무효화, 새로운 훼손되지 않은 키의 수신 및 분배 등)이 더욱 효율적일 수 있다. 또 다른 예시에 있어서, 그룹의 사이즈는 장치에서 리소스 소비(예컨대, 100개의 공개 키를 로컬에 저장하는 것에 비해, 5개의 공개 키를 로컬에 저장하는데 이용된 스토리지 리소스)의 고려에 기초하여 임계 사이즈로 한정될 수 있다.
도 5는 신뢰할 수 있는 엔티티 장치(202)에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106))가 서로 신뢰를 확립하고 접속할 수 있는 또 다른 예시적인 프로세스(500)를 나타낸다. 예시적인 프로세스(500)는 인증서를 이용해서 신뢰를 확립한다. 인증서는 체인을 통해 진본성을 검증하는데 이용되는 신뢰 토큰으로서 지칭될 수 있다. 예컨대, 인증서는 제 1 컴퓨팅 장치(102)에 대하여 신뢰할 수 있는 엔티티 장치(202)에 의해 서명 및 발급될 수 있고, 해당 인증서는 신뢰할 수 있는 엔티티 장치(202)에 의해 신뢰됨을 나타내기 위해 제 1 컴퓨팅 장치(102)에 의해 이용될 수 있다. 그 결과, 제 2 컴퓨팅 장치(106)는 제 1 컴퓨팅 장치(102)가 인증서에 기초하여 신뢰될 자격이 있다고 결정할 수 있다. 환언하면, 장치의 진본성을 입증하는 체인을 통해 간접적으로 신뢰가 확립된다.
작업(502(A))에서, 제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)와 연관된(예컨대, 그에 의해 운영되는) 도메인이 합류한다. 상응하는 작업(502(B))에 있어서, 제 2 컴퓨팅 장치(106)도 도메인에 합류한다.
작업(504)에서, 신뢰할 수 있는 컴퓨팅 장치(202)는 장치를 인식하고, 예컨대 장치 아이덴티티 데이터베이스(210)에의 액세스를 통해, 해당 장치가 신뢰할 수 있는 장치 목록(108)에 포함된 신뢰할 수 있는 장치임을 검증한다.
작업(506)에서, 신뢰할 수 있는 엔티티 장치(202)는 제 1 인증서를 제 1 컴퓨팅 장치(102)에 발급한다. 위에서 논의된 바와 같이, 신뢰할 수 있는 엔티티 장치(202)는 제 1 인증서를 서명할 수 있고, 그에 따라 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 엔티티 장치(202)에 의해 신뢰된다는 표시가 제공된다.
작업(508)에서, 제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)로부터 제 1 인증서를 수신한다.
작업(510)에서, 신뢰할 수 있는 엔티티 장치(202)는 제 2 인증서를 제 2 컴퓨팅 장치(106)에 발급한다. 마찬가지로, 신뢰할 수 있는 엔티티 장치(202)는 제 2 인증서를 서명할 수 있고, 그에 따라 제 2 컴퓨팅 장치(106)가 신뢰할 수 있는 엔티티 장치(202)에 의해 신뢰된다는 표시가 제공된다.
작업(512)에서, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)로부터 제 2 인증서를 수신한다.
작업(514)에서, 제 1 컴퓨팅 장치(102)는 신뢰를 확립하기 위한 요청을 제 2 컴퓨팅 장치(106)에 전송한다. 신뢰를 확립하기 위한 요청은 제 1 인증서를 포함하거나, 또는 어떤 식으로든 연관될 수 있다.
작업(516)에서, 제 2 컴퓨팅 장치(106)는 신뢰를 확립하기 위한 요청을 제 1 컴퓨팅 장치(102)로부터 수신한다.
작업(518)에서, 제 2 컴퓨팅 장치(106)는, 제 1 인증서를 이용해서, 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 컴퓨팅 장치임을 검증한다. 위에서 논의된 바와 같이, 제 1 인증서는 신뢰할 수 있는 엔티티 장치(202)에 의해 제 1 컴퓨팅 장치(102)에게 발급되고, 제 1 컴퓨팅 장치(102)로부터 제 2 컴퓨팅 장치(106)에서 수신된다. 따라서, 제 1 인증서는 신뢰 체인을 통해 제 1 컴퓨팅 장치(102)의 진본성을 입증하는데 이용된다.
작업(520)에서, 제 2 컴퓨팅 장치(106)는 제 2 인증서를 제 1 컴퓨팅 장치(102)에 전송한다.
작업(522)에서, 제 1 컴퓨팅 장치(102)는 제 2 인증서를 제 2 컴퓨팅 장치(106)로부터 수신한다.
작업(524)에서, 제 1 컴퓨팅 장치(102)는, 발급된 제 2 인증서를 이용해서, 제 2 컴퓨팅 장치(106)가 신뢰할 수 있는 컴퓨팅 장치임을 검증한다.
상응하는 작업(526(A) 및 526(B))에서, 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)는 교환된 인증서를 통해 확립된 상호간의 신뢰에 기초하여 접속을 확립한다.
다양한 예시에 있어서, 인증서는, 예컨대 도 3 또는 도 4에 대하여 위에서 논의된 바와 같은 공개 키 암호방식을 대신하여 신뢰를 확립하는데 이용될 수 있다. 다른 예시에 있어서, 도 3 또는 도 4의 공개 키 암호방식은 도 5에 대하여 기술된 인증서에 더하여 이용될 수 있다. 예컨대, 제 1 컴퓨팅 장치(102)로부터 제 2 컴퓨팅 장치(106)에 전송된 신뢰를 확립하기 위한 요청(예컨대, 작업(514))은 제 1 컴퓨팅 장치(102)가 신뢰할 수 있는 엔티티 장치(202)로부터 미리 수신한 제 2 컴퓨팅 장치(106)의 공개 키(예컨대, "P_2")로 암호화될 수 있다. 또한, 요청은 제 1 컴퓨팅 장치(102)의 개인 키(예컨대, "e_1")를 이용해서 서명될 수 있다.
도 5에 나타내진 작업들의 순서는 도시된 것과 달라질 수 있다. 예컨대, 제 1 컴퓨팅 장치(102)가 제 1 인증서를 수신(예컨대, 작업(508))하기 전에, 제 2 컴퓨팅 장치(106)가 제 2 인증서를 수신(예컨대, 적업(512))할 수 있다.
도 6은 신뢰할 수 있는 엔티티 장치(202)에 의해 상호간에 신뢰되는 2개의 컴퓨팅 장치(예컨대, 컴퓨팅 장치(102) 및 컴퓨팅 장치(106))가 신뢰할 수 있는 엔티티 장치(102)에 의해 사전에 제공된 인증서를 이용해서 서로 신뢰를 확립하고 접속할 수 있는 다른 예시적인 프로세스(600)를 나타낸다. 예시적인 프로세스(600)는, 신뢰할 수 있는 엔티티 장치(202)가 사전에 인증서 세트를 장치에 제공해서, 장치 자체는 신뢰할 수 있는 엔티티 장치(202)에 의해 발급된 그 인증서를 제공할 필요가 없다는 점에서 도 5의 예시적인 프로세스(500)와 상이하다. 환언하면, 장치는 다른 장치 세트에 제각기 발급된, 또는 다른 장치 세트와 연관된 인증서 세트를, 예컨대 신뢰 정보(112)로서 지속적으로 저장할 수 있다.
일부 예시에 있어서, 인증서 세트를 사전에 제공하는 것은, 예컨대 장치 그룹 데이터베이스(218)에 저장되고 도 4에 대하여 위에서 논의된 바와 같은 규정된 장치 그룹에 기초할 수 있다.
도 6에 있어서, 작업들(502(A), 502(B), 및 504)은 도 5에 대하여 위에서 논의된 것들과 동일 또는 유사하다.
그러나, 작업(602)에서, 컴퓨팅 장치(102)와 컴퓨팅 장치(106)가 도메인에 합류한 후에, 신뢰할 수 있는 엔티티 장치(202)는 인증서 세트를 식별해서 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106) 각각에 제공한다. 일부 예시에 있어서는, 식별된 인증서 세트가 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 대하여 동일할 수 있지만, 다른 예시에 있어서는, 식별된 인증서 세트가 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 대하여 상이할 수 있다.
작업(604)에서, 신뢰할 수 있는 엔티티 장치(202)는 인증서 세트를 각각의 장치에, 예컨대 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)에 전송한다. 논의된 바와 같이, 하나의 특정한 예시에 있어서, 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 인증서는 각각의 사용자와 연관되는(예컨대, 각각의 사용자가 소유하는, 각각의 사용자에게 등록되는, 각각의 사용자에 의해 제어되는, 등) 장치 세트에 대한 인증서를 포함한다.
작업(606(A))에서, 제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 인증서 세트를 수신한다. 상응하는 작업(606(B))에 있어서, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제공된 인증서 세트를 수신한다.
제 1 컴퓨팅 장치(102)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제 2 컴퓨팅 장치(106)에 대하여, 및/또는 제 2 컴퓨팅 장치를 대신하여 발급된 인증서를 갖기 때문에, 또한, 제 2 컴퓨팅 장치(106)는 신뢰할 수 있는 엔티티 장치(202)에 의해 제 1 컴퓨팅 장치(102)에 대하여, 및/또는 제 1 컴퓨팅 장치를 대신하여 발급된 인증서를 갖기 때문에, 작업들(526(A) 및 526(B))은 도 5에 대하여 위에서 논의된 것과 동일 또는 유사한 방식으로 구현될 수 있다. 예컨대, 신뢰할 수 있는 엔티티 장치(202)로부터 사전에 수신한 인증서를 통해 확립된 상호간의 신뢰에 기초하여 접속이 확립될 수 있다. 그에 따라, 장치들은 그들의 인증서를 서로에게 전송할 필요가 없으며, 오히려 장치들은 신뢰할 수 있는 엔티티 장치(202)로부터 사전에 수신한 정보에 기초하여 안전하게, 또한 자동으로 접속할 수 있다. 도 6에 나타내진 작업들의 순서는 도시된 것과 달리질 수 있다.
적어도 하나의 예시에 있어서, 신뢰할 수 있는 엔티티 장치(202)에 의해 발급된 인증서는 공개 키의 소유권을 입증하는데 이용되는 공개 키 인증서(예컨대, 디지털 인증서 또는 아이덴티티 인증서라고도 함)일 수 있다. 인증서는 공개 키에 관한 정보, 공개 키의 소유자의 아이덴티티에 관한 정보, 및 인증서의 콘텐츠가 정확하다는 것을 검증한 엔티티의 디지털 서명을 포함할 수 있다. 서명이 유효하고, 인증서를 검사 또는 검증하는 장치가 서명자를 신뢰하면, 장치는 공개 키의 소유자와 신뢰를 확립할 수 있고 공개 키를 이용해서 소유자(예컨대, 다른 장치)와 통신할 수 있다.
도 5 및/또는 도 6에 기재된 인증서를 이용함으로써, MAC 주소를 접속에 이용하기 전에(예컨대, MAC 주소를 페어 장치들에 대하여 공유하기 전에) 2개의 장치간에 신뢰가 확립될 수 있다. 또한, 신뢰할 수 있는 엔티티 장치(202)는, 장치가 더 이상 신뢰할 수 있는 장치 목록(108)에 포함되지 않고, 또한 그에 따라 해당 장치가 더 이상 다른 장치들에 의해 신뢰받지 못하게 될 때, 인증서를 폐기할 수 있다. 장치는, 예컨대 종업원이 퇴사하거나 또는 회사에 의해 해고될 때, 신뢰할 수 있는 장치 목록에서 제거될 수 있다.
위에서 논의된 바와 같이, 종래의 장치 페어링 및 탐색은 초기에는 유동 MAC 주소를 이용해서 구현될 수 있고, 접속이 확립된 이후에는, 고정 유니버셜 MAC 주소를 통해 데이터 통신이 구현될 수 있다. 그러나, 공격적이고 악의적인 엔티티는 여전히 하나의 장치를 먼저 공격 및 훼손시켜서 그 페어링된 또는 짝을 이룬 장치에 의해 이용되는 고정 유니버셜 MAC 주소를 결정할 수 있으며, 그에 따라, 공격적이고 악의적인 엔티티는 일차 공격을 통해 고정 유니버셜 MAC 주소가 노출된 후에 페어링된 또는 짝을 이룬 장치에 대한 이차 공격에 착수할 수 있다.
도 7은 해시 함수를 이용해서 통신에 이용할 MAC 주소를 결정 또는 연산하는 예시적인 프로세스(700)를 나타낸다. 해시 함수는 MAC 주소를 계속적으로 변경하는데 이용될 수 있고, 그에 따라 2개의 장치가 공격적인 또는 악의적인 엔티티에 노출되는 것을 줄이거나 또는 배제하면서(예컨대, 악의적인 공격 가능성을 줄임) 안전하게 접속 및 통신할 수 있게 된다. 환언하면, 장치는 해시 함수를 이용해서 유동 MAC 주소를 동적으로 연산할 수 있다. 다양한 예시에 있어서, 프로세스(700)는 도 3 내지 도 6 중 어느 하나에 대하여 상술한 바와 같이, 2개의 장치간의 신뢰 확립에 따라 구현될 수 있다.
다양한 예시에 있어서, 해시 함수는 데이터를 입력하고 결과를 출력(예컨대, 출력 데이터, 출력값 등)하는 일방향 작업이다. 그러나, 결과 및 해시 함수가 정해지면, 해시 함수에 입력되었던 데이터를 알거나 연산하는 것은 불가능하다. 그에 따라, 데이터는 제 1 결과를 출력하기 위해 해시 함수에 입력될 수 있다. 이후, 제 1 결과는 제 2 결과를 출력하기 위해 해시 함수에 입력될 수 있다. 이후, 제 2 결과는 제 3 결과를 출력하기 위해 해시 함수에 입력될 수 있는 등이다. 이는 해시 체인을 또는 연산된 결과들로 이루어진 체인을 생성하기 위해 수백, 수천 또는 심지어 수백만번 반복될 수 있다. 도 7에 대하여 본 명세서에 기재된 바와 같이, 해시 체인은 장치에 의해 이용되는 MAC 주소를 동적으로 관리 및 변경하는데 이용될 수 있다.
도 7에서, 작업들(502(A), 502(B), 및 504)은 도 5에 대하여 위에서 논의된 것들과 동일 또는 유사하다.
702에서, 신뢰할 수 있는 엔티티 장치(202)는 제 1 컴퓨팅 장치(102)에 대하여 제 1 해시 함수 및 제 1 시드(예컨대, "H_1")를 생성 및 발급한다. 제 1 시드는 해시 체인을 생성하기 위해 제 1 해시 함수에 처음에 입력되는 데이터일 수 있다.
704에서, 제 1 컴퓨팅 장치(102)는 제 1 해시 함수 및 제 1 해시 함수에 대한 제 1 시드를 수신한다. 이어서, 제 1 컴퓨팅 장치(102) 및/또는 신뢰할 수 있는 엔티티 장치(202)는 제 1 해시 함수 및 제 1 시드를 이용해서 제 1 해시 체인을 생성하거나 및/또는 서로간에 제 1 해시 체인을 공유할 수 있다.
706에서, 신뢰할 수 있는 엔티티 장치(202)는 제 2 컴퓨팅 장치(106)에 대하여 제 2 해시 함수 및 제 2 시드(예컨대, "H_2")를 생성 및 발급한다.
708에서, 제 2 컴퓨팅 장치(106)는 제 2 해시 함수 및 제 2 해시 함수에 대한 제 2 시드를 수신한다. 이어서, 제 2 컴퓨팅 장치(106) 및/또는 신뢰할 수 있는 엔티티 장치(202)는 제 2 해시 함수 및 제 2 시드를 이용해서 제 2 해시 체인을 생성하거나 및/또는 서로간에 제 2 해시 체인을 공유할 수 있다.
710에서, 제 1 컴퓨팅 장치(102)는 제 2 컴퓨팅 장치(106)에 접속하려는 요청을 신뢰할 수 있는 엔티티 장치(202)에 전송한다.
712에서, 신뢰할 수 있는 엔티티 장치(202)는 접속 요청을 수신한다.
714(A) 및/또는 714(B)에서, 신뢰할 수 있는 엔티티 장치(202) 및/또는 제 2 컴퓨팅 장치(106)는 제 2 컴퓨팅 장치(106)에 의해 이용되는 현재 MAC 주소를 공유하는데 이용될 수 있는 제 2 해시 체인의 버전 번호를 결정한다. 버전 번호는 해시 체인에서의 결과(예컨대, 제 1 연산 결과, 제 2 연산 결과, 제 3 연산 결과 등과 같은 해시 체인 내의 장소)를 참조할 수 있다. 버전 번호 또는 결과는 제 2 컴퓨팅 장치(106)에 의해 이용되는 MAC 주소를 나타낼 수 있거나, 또는 그것과 연관될 수 있다.
716에서, 신뢰할 수 있는 엔티티 장치(202)는 제 2 해시 함수, 제 2 시드, 및 제 2 해시 체인의 결정된 버전 번호를 제 1 컴퓨팅 장치(102)에 반환한다.
718에서, 제 1 컴퓨팅 장치(102)는 제 2 해시 함수, 제 2 시드, 및 제 2 해시 체인의 결정된 버전 번호를 수신한다.
720에서, 제 1 컴퓨팅 장치(102)는 제 2 해시 함수, 제 2 시드, 및 제 2 해시 체인의 결정된 버전 번호를 이용해서 MAC 주소를 결정한다. 예컨대, 제 2 컴퓨팅 장치(106)가 현재 제 2 해시 체인의 제 3 버전(예컨대, 제 3 연산 결과)과 연관된 MAC 주소를 이용하고 있음을 버전 번호가 나타내고 있으면, 제 1 컴퓨팅 장치(102)는 제 2 시드 데이터를 제 2 해시 함수에 입력해서 제 1 결과(예컨대, 제 1 버전)를 연산하고, 연산된 제 1 결과를 제 2 해시 함수에 입력해서 제 2 결과(예컨대, 제 2 버전)를 연산하고, 또한 연산된 제 2 결과를 제 2 해시 함수에 입력해서 제 3 결과를 연산하도록 구성된다. 연산된 제 3 결과는 제 3 버전에 대응하고, 제 2 컴퓨팅 장치(106)에 의해 이용되는 MAC 주소를 결정해서 통신하는데 이용될 수 있다.
상응하는 작업들(722(A) 및 722(B))에서, 제 1 컴퓨팅 장치(102) 및 제 2 컴퓨팅 장치(106)는 제 2 컴퓨팅 장치(106)의 결정된 MAC 주소를 이용해서 접속을 확립한다. 부가적으로, 제 1 컴퓨팅 장치(102)에 의해 이용된 현재 MAC 주소를 결정하도록 제 2 컴퓨팅 장치(106)에 제공되는 한편, 해당 제 2 컴퓨팅 장치에 의해 이용될 수 있는 제 1 해시 체인의 버전 번호를 결정하기 위해 유사한 작업들이 수행될 수 있다.
따라서, 도 7에 따르면, 다른 장치에 접속하기를 바라는 장치는, 신뢰할 수 있는 엔티티 장치(202)로부터, 다른 장치에 의해 이용되는 동적으로 변경되며 무작위적인 MAC 주소를 연산하는데 이용 가능한 해시 함수, 해시 시드 및 버전 번호를 요청할 수 있다.
다양한 예시에 있어서, 도 7의 예시적인 프로세스(700)는 도 3 내지 도 6에서의 예시적인 프로세스들 중 어느 하나에 따라 구현될 수 있다. 예컨대, 장치는 공개 키 암호방식 및/또는 인증서를 이용해서 다른 장치를 검증하거나 및/또는 다른 장치에 전송된 접속 요청을 보호할 수 있다. 그에 따라, 도 5의 예시적인 상황은 도메인 내에서 신뢰되는 2개의 장치가 유동 MAC 주소를 통해 접속을 유지하는 것을 허용한다. 또한, 장치들은 해시 체인의 일 버전으로부터 해시 체인의 다른 버전으로 언제든지 이동할 수 있고, 그에 따라 현재의 유동 MAC 주소를 누설했을 수 있는 훼손이 방지 또는 중지된다. 이동은 장치들이 탐색 및/또는 페어링을 다시 완료할 필요 없이 구현될 수 있다. 또한, 장치에 있어서의 신뢰가 신뢰할 수 있는 엔티티 장치(202)에 의해 폐기되면, 해시 시드가 변경될 수 있으며, 장치는 다른 신뢰할 수 있는 장치에 접속하는데 필요한 정보를 더 이상 가질 수 없다.
도 8은 해시 함수를 이용해서 장치에 의해 이용된 MAC 주소를 동적으로 변경하는 예시적인 프로세스(800)를 나타낸다. 예컨대, 해시 체인은 해시 함수를 이용해서 생성될 수 있으며, 해시 체인 내의 서로 다른 버전들(예컨대, 연산 결과들)은 해시 체인의 일 버전으로부터 다음 버전으로의 이동에 기초하여 동적으로 변경되는 "롤링(rolling)" MAC 주소를 구현하는데 이용될 수 있고, 그에 따라 신뢰할 수 있는 장치들이 해시 함수 또는 해시 체인에 액세스하지 못하는 공격적이고 악의적인 엔티티로부터 장치를 보호하면서 서로 통신하는 것이 가능해진다.
802에서, 장치(예컨대, 제 1 컴퓨팅 장치(102))는 제 1 MAC 주소를 이용해서 다른 장치(예컨대, 제 2 컴퓨팅 장치(106))에 접속한다.
804에서, 장치는 제 1 MAC 주소와는 다른 신규 MAC 주소로 변경할 시간이라고 결정한다(예컨대, 해시 체인에서의 다음 버전으로 이동). 일 예시에 있어서, 변경할 시간을 결정하는데 이용된 타이밍 프로토콜은 해시 함수에 의해 자동으로 결정될 수 있다(예컨대, 주기적인 타이밍, 공격적이고 악의적인 엔티티가 예측 불가능한 가변적인 타이밍 등). 다른 예시에 있어서, 장치는 특정 이벤트 또는 트리거(예컨대, 현재 이용된 MAC 주소가 훼손되었다는 표시)에 기초하여 변경할 시간이라고 결정할 수 있다. 이후, 장치는 그 MAC 주소 변경 의도를 신뢰할 수 있는 엔티티 장치(202)에 보고할 수 있으므로, 신뢰할 수 있는 엔티티 장치(202)는 다른 신뢰할 수 있는 장치들에 명령어를 전파할 수 있다(예컨대, 일 버전 번호로부터 다음 버전 번호로의 이동을 위해). 또는, 장치는 그 MAC 주소 변경 의도를 페어링된 장치에 직접 보고할 수 있다.
806에서, 장치는 신규 MAC 주소를 이용해서 다른 장치(들)에 접속한다.
그에 따라, 도 7 및 도 8의 예시적인 프로세스들을 구현함으로써, 심지어 훼손된 장치조차도 해시 체인에 기초하여 MAC 주소를 동적으로 변경하는 것에 의해 공격 범위를 제한할 수 있다. 그 결과, 신규 또는 갱신된 MAC 주소를 연산하는데 이용된 해시 함수 및 해시 시드를 알지 못하는 장치는 장치에 접속할 수 없다.
예시 항목(EXAMPLE CLAUSES)
예시 A, 하나 이상의 프로세서; 및 하나 이상의 프로세서에 연결된 메모리를 포함하는 처리 시스템을 포함하는 장치로서, 이 처리 시스템은: 상기 장치와 연관된 제 1 공개 키를 신뢰할 수 있는 엔티티 장치에 전송― 상기 신뢰할 수 있는 엔티티 장치는 도메인 내에서 신뢰할 수 있는 장치들의 목록을 유지하고, 장치들의 목록은 상기 장치를 포함함 ―하고; 상기 신뢰할 수 있는 엔티티 장치로부터 제 2 공개 키를 수신― 상기 제 2 공개 키는 상기 장치들의 목록에 포함된 다른 장치와 연관됨 ―하고; 매체 액세스 제어(MAC) 주소를 통해 접속하려는 요청을 상기 다른 장치에 전송― 상기 접속하려는 요청은 상기 제 2 공개 키로 암호화되고 상기 장치와 연관되는 개인 키로 서명됨 ―하고; 또한 상기 다른 장치가 상기 제 1 공개 키를 이용해서 상기 MAC 주소를 통해 접속하려는 상기 요청을 검증하는 것에 응답하여 상기 다른 장치와의 접속을 확립― 상기 제 1 공개 키는 상기 신뢰할 수 있는 엔티티 장치에 의해 상기 다른 장치에 제공되어 있음 ―하도록 구성된다.
예시 B, 예시 A의 장치로서, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 제 2 공개 키를 수신하는 것 및 상기 제 2 공개 키를 이용해서 상기 접속하려는 요청을 암호화하는 것은 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이 상기 장치와 상기 다른 장치가 상기 MAC 주소를 통해 안전하게 접속하는 것을 가능하게 한다.
예시 C, 예시 A 또는 예시 B의 장치로서, 상기 처리 시스템은 또한, 상기 제 2 공개 키를 수신하기 전에 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하도록 구성된다.
예시 D, 예시 A 또는 예시 B의 장치로서, 상기 제 2 공개 키는 상기 신뢰할 수 있는 장치 목록 상의 장치 세트와 제각기 연관되는 공개 키 세트의 일부로서 수신되고, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함된다.
예시 E, 예시 D의 장치로서, 상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된다.
예시 F, 예시 D 또는 예시 E의 장치로서, 상기 공개 키 세트는, 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 G, 예시 A 내지 예시 F 중 어느 하나의 장치로서, 상기 처리 시스템은 또한, 상기 제 1 공개 키 및 상기 개인 키를 포함하는 키 쌍을 생성하도록 구성된다.
예시 H, 예시 A 내지 예시 G 중 어느 하나의 장치로서, 상기 도메인은 기업 도메인을 포함하고, 상기 장치 목록은 상기 기업 도메인에 의해 서비스를 제공받는 회사의 종업원에게 등록된 장치를 포함한다.
예시 A 내지 예시 H는 장치에 대하여 위에서 기재되지만, 이 문헌의 맥락에서는 예시 A 내지 예시 H의 콘텐츠가 시스템, 컴퓨터 스토리지 매체, 및/또는 방법을 통해 구현될 수도 있다는 것이 이해된다.
예시 I, 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 연결된 메모리를 포함하는 처리 시스템을 포함하는 장치로서, 상기 처리 시스템은: 신뢰할 수 있는 엔티티 장치로부터 인증서를 수신― 상기 신뢰할 수 있는 엔티티 장치는 도메인 내에서 신뢰할 수 있는 장치들의 목록을 유지하고, 장치들의 목록은 상기 장치를 포함함 ―하고; 또한 적어도 부분적으로 상기 인증서에 기초하여, 매체 액세스 제어(MAC) 주소를 통한 다른 장치와의 접속을 확립하도록 구성된다.
예시 J, 예시 I의 장치로서, 상기 신뢰할 수 있는 엔티티 장치로부터 인증서를 수신하는 것은, 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이, 상기 장치와 상기 다른 장치가 상기 MAC 주소를 통해 안전하게 접속하는 것을 가능하게 한다.
예시 K, 예시 J 또는 예시 I의 장치로서, 상기 인증서는 상기 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 나타내고, 상기 처리 시스템은 또한, 상기 접속을 확립하기 전에 상기 장치가 상기 다른 장치에 상기 인증서를 전송하게 해서, 상기 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 상기 다른 장치가 검증하는 것을 가능하게 하도록 구성된다.
예시 L, 예시 K의 장치로서, 상기 인증서는 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 M, 예시 J 또는 예시 I의 장치로서, 상기 인증서는 상기 다른 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 나타내고, 상기 인증서는 상기 신뢰할 수 있는 장치 목록 상의 장치 세트와 제각기 연관되는 인증서 세트의 일부로서 수신되고, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함된다.
예시 N, 예시 M의 장치로서, 상기 인증서는 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 O, 예시 M의 장치로서, 상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된다.
예시 P, 예시 I 내지 예시 O 중 어느 하나의 장치로서, 상기 도메인은 기업 도메인을 포함하고, 상기 장치 목록은 상기 기업 도메인에 의해 서비스를 제공받는 회사의 종업원에게 등록된 장치를 포함한다.
예시 I 내지 예시 P는 장치에 대하여 위에서 기재되지만, 이 문헌의 맥락에서는 예시 I 내지 예시 P의 콘텐츠가 시스템, 컴퓨터 스토리지 매체, 및/또는 방법을 통해 구현될 수도 있다는 것이 이해된다.
예시 Q, 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 연결된 메모리를 포함하는 처리 시스템을 포함하는 장치로서, 상기 처리 시스템은: 해시 함수 및 해시 시드를 제 1 장치에 발급― 상기 해시 시드 및 상기 해시 함수는 다수의 버전을 포함하는 해시 체인을 생하는데 이용됨 ―하고; 상기 제 1 장치에 접속하려는 요청을 제 2 장치로부터 수신하고; 매체 액세스 제어(MAC) 주소를 결정하기 위해 상기 제 1 장치에 의해 이용되고 있는 상기 해시 체인의 다수의 버전 중 현재 버전을 결정하고; 또한 상기 해시 함수, 상기 해시 시드 및 상기 현재 버전을 상기 제 2 장치에 전송하고, 그에 따라 상기 제 2 장치가 상기 MAC 주소를 결정하고 상기 MAC 주소를 통해 상기 제 1 장치에 접속하는 것을 가능하게 하도록 구성된다.
예시 R, 예시 Q의 장치로서, 상기 처리 시스템은 또한, 상기 제 1 장치가 상기 MAC 주소를 이용하는 것으로부터 상기 해시 체인의 상기 다수의 버전 중 신규 버전과 연관되는 신규 MAC 주소를 이용하는 것으로 변경되고 있다는 표시를, 상기 제 1 장치로부터 수신하고, 상기 표시를 상기 제 2 장치에 제공하도록 구성된다.
예시 S, 예시 R의 방법으로서, 상기 표시는 상기 해시 함수와 연관되며 상기 MAC 주소를 변경할 시간을 결정하는데 이용 가능한 타이밍 프로토콜에 적어도 부분적으로 기초하여 수신된다.
예시 T, 예시 R의 방법으로서, 상기 표시는 상기 MAC 주소가 훼손되었다는 결정에 적어도 부분적으로 기초하여 수신된다.
예시 Q 내지 예시 T는 장치에 대하여 위에서 기재되지만, 이 문헌의 맥락에서는 예시 Q 내지 예시 T의 콘텐츠가 시스템, 컴퓨터 스토리지 매체, 및/또는 방법을 통해 구현될 수도 있다는 것이 이해된다.
예시 U, 시스템으로서, 상기 장치와 연관된 제 1 공개 키를 신뢰할 수 있는 엔티티 장치에 전송하는 수단― 상기 신뢰할 수 있는 엔티티 장치는 도메인 내에서 신뢰할 수 있는 장치들의 목록을 유지하고, 장치들의 목록은 상기 장치를 포함함 ―; 상기 신뢰할 수 있는 엔티티 장치로부터 제 2 공개 키를 수신하는 수단― 상기 제 2 공개 키는 상기 장치 목록에 포함된 다른 장치와 연관됨 ―; 매체 액세스 제어(MAC) 주소를 통해 접속하려는 요청을 상기 다른 장치에 전송하는 수단― 상기 접속하려는 요청은 상기 제 2 공개 키로 암호화되고 상기 장치와 연관되는 개인 키로 서명됨 ―; 및 상기 다른 장치가 상기 제 1 공개 키를 이용해서 상기 MAC 주소를 통해 접속하려는 상기 요청을 검증하는 것에 응답하여 상기 다른 장치와 접속하는 수단― 상기 제 1 공개 키는 상기 신뢰할 수 있는 엔티티 장치에 의해 상기 다른 장치에 제공되어 있음 ―을 포함한다.
예시 V, 예시 U의 시스템으로서, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 제 2 공개 키를 수신하는 것 및 상기 제 2 공개 키를 이용해서 상기 접속하려는 요청을 암호화하는 것은 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이 상기 장치와 상기 다른 장치가 상기 MAC 주소를 통해 안전하게 접속하는 것을 가능하게 한다.
예시 W, 예시 U 또는 예시 V의 시스템으로서, 상기 제 2 공개 키를 수신하기 전에 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 수단을 추가로 포함한다.
예시 X, 예시 U 또는 예시 V의 시스템으로서, 상기 제 2 공개 키는 상기 신뢰할 수 있는 장치 목록 상의 장치 세트와 제각기 연관되는 공개 키 세트의 일부로서 수신되고, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함된다.
예시 Y, 예시 X의 시스템으로서, 상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된다.
예시 Z, 예시 X 또는 예시 Y의 시스템으로서, 상기 공개 키 세트는, 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 AA, 예시 U 내지 예시 A 중 어느 하나의 시스템으로서, 상기 제 1 공개 키 및 상기 개인 키를 포함하는 키 쌍을 생성하는 수단을 추가로 포함한다.
예시 BB, 예시 U 내지 예시 AA 중 어느 하나의 시스템으로서, 상기 도메인은 기업 도메인을 포함하고, 상기 장치 목록은 상기 기업 도메인에 의해 서비스를 제공받는 회사의 종업원에게 등록된 장치를 포함한다.
예시 CC, 시스템으로서: 신뢰할 수 있는 엔티티 장치로부터 인증서를 수신하는 수단― 상기 신뢰할 수 있는 엔티티 장치는 도메인 내에서 신뢰할 수 있는 장치들의 목록을 유지하고, 장치들의 목록은 상기 장치를 포함함 ―; 및 적어도 부분적으로 상기 인증서에 기초하여, 매체 액세스 제어(MAC) 주소를 통한 다른 장치와의 접속을 확립하는 수단을 포함한다.
예시 DD, 예시 CC의 시스템으로서, 상기 신뢰할 수 있는 엔티티 장치로부터 인증서를 수신하는 것은, 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이, 상기 장치와 상기 다른 장치가 상기 MAC 주소를 통해 안전하게 접속하는 것을 가능하게 한다.
예시 EE, 예시 CC 또는 예시 DD의 시스템으로서, 상기 인증서는 상기 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 나타내고, 상기 시스템은 상기 접속을 확립하기 전에 상기 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 상기 다른 장치가 검증하는 것을 가능하게 하기 위해 상기 인증서를 상기 다른 장치에 전송하는 수단을 추가로 포함한다.
예시 FF, 예시 EE의 시스템으로서, 상기 인증서는 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 GG, 예시 CC 또는 예시 DD의 시스템으로서, 상기 인증서는 상기 다른 장치가 상기 신뢰할 수 있는 엔티티 장치에 의해 신뢰되고 있음을 나타내고, 상기 인증서는 상기 신뢰할 수 있는 장치 목록 상의 장치 세트와 제각기 연관되는 인증서 세트의 일부로서 수신되고, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함된다.
예시 HH, 예시 GG의 시스템으로서, 상기 인증서는 상기 장치가 상기 도메인에 합류하는 것에 응답하여, 또한 상기 장치가 상기 다른 장치에 접속하려는 특정한 요청을 상기 신뢰할 수 있는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰할 수 있는 엔티티 장치로부터 상기 장치에서 수신된다.
예시 II, 예시 GG의 시스템으로서, 상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된다.
예시 JJ, 예시 CC 내지 예시 II 중 어느 하나의 시스템으로서, 상기 도메인은 기업 도메인을 포함하고, 상기 장치 목록은 상기 기업 도메인에 의해 서비스를 제공받는 회사의 종업원에게 등록된 장치를 포함한다.
예시 KK, 시스템으로서: 해시 함수 및 해시 시드를 제 1 장치에 발급하는 수단― 상기 해시 시드 및 상기 해시 함수는 다수의 버전을 포함하는 해시 체인을 생하는데 이용됨 ―; 상기 제 1 장치에 접속하려는 요청을 제 2 장치로부터 수신하는 수단; 매체 액세스 제어(MAC) 주소를 결정하기 위해 상기 제 1 장치에 의해 이용되고 있는 상기 해시 체인의 다수의 버전 중 현재 버전을 결정하는 수단; 및 상기 해시 함수, 상기 해시 시드 및 상기 현재 버전을 상기 제 2 장치에 전송하고, 그에 따라 상기 제 2 장치가 상기 MAC 주소를 결정하고 상기 MAC 주소를 통해 상기 제 1 장치에 접속하는 것을 가능하게 하는 수단을 포함한다.
예시 LL, 예시 KK의 시스템으로서, 상기 제 1 장치가 상기 MAC 주소를 이용하는 것으로부터 상기 해시 체인의 상기 다수의 버전 중 신규 버전과 연관되는 신규 MAC 주소를 이용하는 것으로 변경되고 있다는 표시를, 상기 제 1 장치로부터 수신하는 수단, 및 상기 표시를 상기 제 2 장치에 제공하는 수단을 추가로 포함한다.
예시 MM, 예시 LL의 시스템으로서, 상기 표시는 상기 해시 함수와 연관되며 상기 MAC 주소를 변경할 시간을 결정하는데 이용 가능한 타이밍 프로토콜에 적어도 부분적으로 기초하여 수신된다.
예시 NN, 예시 LL의 시스템으로서, 상기 표시는 상기 MAC 주소가 훼손되었다는 결정에 적어도 부분적으로 기초하여 수신된다.
결론(CONCLUSION)
본 개시물이 구조적 특징들 및/또는 방법론적 동작들을 특정하는 언어를 사용할 수 있지만, 본 개시물은 본 명세서에 기재된 특정한 특징들 또는 동작들에 한정되는 것은 아니다. 오히려, 특정한 특징들 및 동작들은 본 개시물을 구현하는 예시적인 형태로서 개시된다.

Claims (18)

  1. 장치로서,
    하나 이상의 프로세서와,
    상기 하나 이상의 프로세서에 연결된 메모리
    를 포함하는 처리 시스템을 포함하되,
    상기 처리 시스템은:
    상기 장치와 연관된 제 1 공개 키를 신뢰받는 엔티티 장치에 전송하고― 상기 신뢰받는 엔티티 장치는 동일한 도메인 내에서 신뢰받는 것으로 이전에 알려진 장치들의 목록을 유지하고, 상기 장치들의 목록은 상기 장치를 포함함 ―,
    상기 장치들의 목록에 포함된 다른 장치에 접속하려는 제 1 요청을 상기 신뢰받는 엔티티 장치에 전송하고― 상기 접속하려는 제 1 요청은 상기 신뢰받는 엔티티 장치로 하여금 상기 제 1 공개 키를 상기 다른 장치에 제공하게 함 ―,
    상기 신뢰받는 엔티티 장치로부터 제 2 공개 키를 수신하고― 상기 제 2 공개 키는 상기 다른 장치와 연관됨 ―,
    매체 액세스 제어(MAC) 주소를 포함하는, 접속하려는 제 2 요청을 상기 다른 장치에 전송하고― 상기 접속하려는 제 2 요청은 상기 제 2 공개 키로 암호화되고 상기 장치와 연관되는 개인 키로 서명됨 ―,
    상기 다른 장치가 상기 MAC 주소를 이용하여 접속하려는 상기 제 2 요청을 상기 제 1 공개 키를 이용해서 검증하는 것에 응답하여 상기 다른 장치와의 접속을 확립하도록 구성되되,
    상기 신뢰받는 엔티티 장치로부터 상기 제 2 공개 키를 수신하는 것 및 상기 제 2 공개 키를 사용하여 상기 접속하려는 제 2 요청을 암호화하는 것은 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이 상기 장치와 상기 다른 장치가 상기 MAC 주소를 사용하여 안전하게 접속될 수 있게 하는
    장치.
  2. 제 1 항에 있어서,
    상기 처리 시스템은 또한, 상기 제 2 공개 키를 수신한 후, 상기 제 2 공개 키는 상기 신뢰받는 엔티티 장치로부터 수신되었음을 검증하도록 구성되는
    장치.
  3. 제 1 항에 있어서,
    상기 처리 시스템은 또한, 상기 장치들의 목록 상의 장치 세트와 제각기 연관된 공개 키 세트를 수신하도록 구성되고, 상기 장치 및 상기 장치 세트는 자동 페어링(pairing)에 대하여 승인된 규정된 장치 그룹에 포함되는
    장치.
  4. 제 3 항에 있어서,
    상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된
    장치.
  5. 제 3 항에 있어서,
    상기 공개 키 세트는, 상기 장치가 상기 동일한 도메인에 합류하는 것에 응답하여, 그리고 상기 장치가 상기 다른 장치에 접속하려는 상기 제 1 요청을 상기 신뢰받는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰받는 엔티티 장치로부터 상기 장치에서 수신되는
    장치.
  6. 제 1 항에 있어서,
    상기 처리 시스템은 또한, 상기 제 1 공개 키 및 상기 개인 키를 포함하는 키 쌍을 생성하도록 구성되는
    장치.
  7. 제 1 항에 있어서,
    상기 동일한 도메인은 기업 도메인을 포함하고, 상기 장치들의 목록은 상기 기업 도메인에 의해 서빙되는 회사의 종업원에게 이전에 등록된 장치들을 포함하는
    장치.
  8. 방법으로서,
    장치와 연관된 제 1 공개 키를 신뢰받는 엔티티 장치에 전송하는 단계― 상기 신뢰받는 엔티티 장치는 동일한 도메인에 합류하도록 사전 승인된 신뢰받는 장치들의 목록을 유지하고, 상기 신뢰받는 장치들의 목록은 상기 장치를 포함함 ―와,
    상기 신뢰받는 장치들의 목록에 포함된 다른 장치에 접속하려는 제 1 요청을 상기 신뢰받는 엔티티 장치에 전송하는 단계― 상기 접속하려는 제 1 요청은 상기 신뢰받는 엔티티 장치로 하여금 상기 제 1 공개 키를 상기 다른 장치에 제공하게 함 ―와,
    상기 신뢰받는 엔티티 장치로부터 제 2 공개 키를 수신하는 단계― 상기 제 2 공개 키는 상기 다른 장치와 연관됨 ―와,
    매체 액세스 제어(MAC) 주소를 포함하는, 접속하려는 제 2 요청을 상기 다른 장치에 전송하는 단계― 상기 접속하려는 제 2 요청은 상기 제 2 공개 키로 암호화되고 상기 장치와 연관되는 개인 키로 서명됨 ―와,
    네트워크 인터페이스에 의해, 상기 다른 장치가 상기 MAC 주소를 이용하여 접속하려는 상기 제 2 요청을 상기 제 1 공개 키를 이용해서 검증하는 것에 응답하여 상기 다른 장치와의 접속을 확립하는 단계를 포함하되,
    상기 신뢰받는 엔티티 장치로부터 상기 제 2 공개 키를 수신하는 것 및 상기 제 2 공개 키를 사용하여 상기 접속하려는 제 2 요청을 암호화하는 것은 상기 장치가 상기 MAC 주소를 브로드캐스팅할 필요 없이 상기 장치와 상기 다른 장치가 상기 MAC 주소를 사용하여 안전하게 접속될 수 있게 하는
    방법.
  9. 제 8 항에 있어서,
    상기 제 2 공개 키를 수신한 후, 상기 제 2 공개 키는 상기 신뢰받는 엔티티 장치로부터 수신되었음을 검증하는 단계를 더 포함하는
    방법.
  10. 제 8 항에 있어서,
    상기 신뢰받는 장치들의 목록 상의 장치 세트와 제각기 연관되는 공개 키 세트를 수신하는 단계를 더 포함하되, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함되는
    방법.
  11. 제 10 항에 있어서,
    상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관된
    방법.
  12. 제 10 항에 있어서,
    상기 공개 키 세트는, 상기 장치가 상기 동일한 도메인에 합류하는 것에 응답하여, 그리고 상기 장치가 상기 다른 장치에 접속하려는 상기 제 1 요청을 상기 신뢰받는 엔티티 장치에 전송하는 것과 무관하게, 상기 신뢰받는 엔티티 장치로부터 상기 장치에서 수신되는
    방법.
  13. 제 8 항에 있어서,
    상기 제 1 공개 키 및 상기 개인 키를 포함하는 키 쌍을 생성하는 단계를 더 포함하는
    방법.
  14. 제 8 항에 있어서,
    상기 동일한 도메인은 기업 도메인을 포함하고, 상기 신뢰받는 장치들의 목록은 상기 기업 도메인에 의해 서빙되는 회사의 종업원에게 이전에 등록된 장치들을 포함하는
    방법.
  15. 신뢰받는 엔티티 장치로서,
    하나 이상의 프로세서와,
    상기 하나 이상의 프로세서에 연결된 메모리
    를 포함하는 처리 시스템을 포함하되,
    상기 처리 시스템은:
    동일한 도메인 내에서 신뢰받는 것으로 상기 신뢰받는 엔티티 장치에 의해 이전에 등록된 장치들의 목록을 구성하고,
    상기 장치들의 목록에 포함된 장치와 연관된 제 1 공개 키를 수신하고,
    상기 장치로부터, 상기 장치들의 목록에 포함된 다른 장치에 접속하려는 요청을 수신하고,
    상기 제 1 공개 키를 상기 다른 장치에 제공하며,
    상기 다른 장치와 연관된 제 2 공개 키를 상기 장치에 제공하여 상기 장치가 (i) 접속하려는 후속 요청을 전송하고- 상기 후속 요청은 상기 제 2 공개 키로 암호화되고 상기 장치와 연관된 개인 키로 서명됨 -, (ii) 상기 접속하려는 후속 요청에 적어도 부분적으로 기초하여, 매체 액세스 제어(MAC) 주소를 브로드캐스팅할 필요 없이 상기 MAC 주소를 사용하여 상기 다른 장치와의 안전한 접속을 확립하게 하도록 구성되는
    신뢰받는 엔티티 장치.
  16. 제 15 항에 있어서,
    상기 처리 시스템은 또한, 상기 장치들의 목록 상의 장치 세트와 제각기 연관된 공개 키 세트를 상기 장치에 제공하도록 구성되고, 상기 장치 및 상기 장치 세트는 자동 페어링에 대하여 승인된 규정된 장치 그룹에 포함되는
    신뢰받는 엔티티 장치.
  17. 제 16 항에 있어서,
    상기 장치 및 상기 장치 세트는 동일한 사용자 계정과 연관되고,
    상기 동일한 도메인은 기업 도메인을 포함하고, 상기 장치들의 목록은 상기 기업 도메인에 의해 서빙되는 회사의 종업원에게 이전에 등록된 장치들을 포함하는
    신뢰받는 엔티티 장치.
  18. 제 16 항에 있어서,
    상기 공개 키 세트는, 상기 장치가 상기 동일한 도메인에 합류하는 것에 응답하여, 그리고 상기 다른 장치에 접속하려는 상기 장치로부터의 요청과는 무관하게, 상기 장치에 제공되는
    신뢰받는 엔티티 장치.
KR1020177007308A 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법 KR102369647B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020227006613A KR102504051B1 (ko) 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201462051833P 2014-09-17 2014-09-17
US62/051,833 2014-09-17
US14/640,538 2015-03-06
US14/640,538 US9716716B2 (en) 2014-09-17 2015-03-06 Establishing trust between two devices
PCT/US2015/050309 WO2016044356A1 (en) 2014-09-17 2015-09-16 Establishing trust between two devices

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020227006613A Division KR102504051B1 (ko) 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법

Publications (2)

Publication Number Publication Date
KR20170060004A KR20170060004A (ko) 2017-05-31
KR102369647B1 true KR102369647B1 (ko) 2022-03-02

Family

ID=55455971

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020227006613A KR102504051B1 (ko) 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법
KR1020177007308A KR102369647B1 (ko) 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020227006613A KR102504051B1 (ko) 2014-09-17 2015-09-16 두 장치 간의 신뢰 확립 기법

Country Status (11)

Country Link
US (4) US9716716B2 (ko)
EP (2) EP3195557B1 (ko)
JP (1) JP2017533630A (ko)
KR (2) KR102504051B1 (ko)
CN (2) CN111726356B (ko)
AU (1) AU2015317918A1 (ko)
BR (1) BR112017003695A2 (ko)
CA (1) CA2959809A1 (ko)
MX (1) MX2017003533A (ko)
RU (1) RU2017108756A (ko)
WO (1) WO2016044356A1 (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10560440B2 (en) * 2015-03-12 2020-02-11 Fornetix Llc Server-client PKI for applied key management system and process
US10630686B2 (en) 2015-03-12 2020-04-21 Fornetix Llc Systems and methods for organizing devices in a policy hierarchy
US10965459B2 (en) 2015-03-13 2021-03-30 Fornetix Llc Server-client key escrow for applied key management system and process
US11444766B2 (en) * 2015-07-06 2022-09-13 Apple Inc. Combined authorization process
US10341384B2 (en) * 2015-07-12 2019-07-02 Avago Technologies International Sales Pte. Limited Network function virtualization security and trust system
US9883382B2 (en) * 2015-10-02 2018-01-30 Cisco Technology, Inc. Dynamically hashed MAC address for transmission in a network
KR101678795B1 (ko) * 2015-11-30 2016-11-22 전삼구 블록체인 인증을 이용하는 IoT 기반 사물 관리 시스템 및 방법
US10225247B2 (en) * 2015-12-14 2019-03-05 Intel Corporation Bidirectional cryptographic IO for data streams
US10931653B2 (en) 2016-02-26 2021-02-23 Fornetix Llc System and method for hierarchy manipulation in an encryption key management system
US11063980B2 (en) 2016-02-26 2021-07-13 Fornetix Llc System and method for associating encryption key management policy with device activity
US10880281B2 (en) 2016-02-26 2020-12-29 Fornetix Llc Structure of policies for evaluating key attributes of encryption keys
US10917239B2 (en) 2016-02-26 2021-02-09 Fornetix Llc Policy-enabled encryption keys having ephemeral policies
US10860086B2 (en) 2016-02-26 2020-12-08 Fornetix Llc Policy-enabled encryption keys having complex logical operations
CN107040922B (zh) * 2016-05-05 2019-11-26 腾讯科技(深圳)有限公司 无线网络连接方法、装置及系统
US11251957B2 (en) * 2016-06-28 2022-02-15 Robert Bosch Gmbh System and method for delegating ticket authentication to a star network in the internet of things and services
US10127160B2 (en) * 2016-09-20 2018-11-13 Alexander Gounares Methods and systems for binary scrambling
CN106792700A (zh) * 2016-12-23 2017-05-31 北京握奇数据系统有限公司 一种可穿戴设备的安全通信环境的建立方法及系统
KR101900861B1 (ko) * 2017-01-26 2018-09-20 주식회사 엔에스에이치씨 웨어러블 디바이스를 이용한 타원 곡선 전자 서명 알고리즘의 분산 키 관리 시스템 및 방법
KR102453145B1 (ko) 2017-03-16 2022-10-14 삼성전자주식회사 전자장치 및 그를 이용한 트랜잭션 수행 방법
CN107172027A (zh) * 2017-05-05 2017-09-15 北京凤凰理理它信息技术有限公司 证书管理方法、存储设备、存储介质和装置
US11138546B2 (en) * 2017-06-14 2021-10-05 International Business Machines Corporation Tracking objects using a trusted ledger
US10819696B2 (en) * 2017-07-13 2020-10-27 Microsoft Technology Licensing, Llc Key attestation statement generation providing device anonymity
US11128610B2 (en) * 2017-09-29 2021-09-21 Apple Inc. Secure multiway calling
US10911956B2 (en) * 2017-11-10 2021-02-02 Comcast Cable Communications, Llc Methods and systems to detect rogue hotspots
US11080246B2 (en) * 2017-12-11 2021-08-03 Celo Foundation Decentralized database associating public keys and communications addresses
EP3506137A1 (en) * 2017-12-28 2019-07-03 BlueID GmbH User authentication at an offline secured object
CN108282333B (zh) * 2018-03-02 2020-09-01 重庆邮电大学 工业云环境下多边缘节点协作模式下数据安全共享方法
CN108667893B (zh) * 2018-03-07 2021-01-05 创新先进技术有限公司 数据推荐方法、装置和电子设备
JP6408180B1 (ja) * 2018-03-20 2018-10-17 ヤフー株式会社 端末制御プログラム、端末装置および端末制御方法
WO2019183810A1 (zh) * 2018-03-27 2019-10-03 华为技术有限公司 在局域网内共享数据的方法及电子设备
US11611541B2 (en) * 2018-08-07 2023-03-21 Citrix Systems, Inc. Secure method to replicate on-premise secrets in a cloud environment
US10608692B1 (en) * 2018-11-20 2020-03-31 Amazon Technologies, Inc. Dual receivers for advertisement scans
CN109861980B (zh) * 2018-12-29 2020-08-04 阿里巴巴集团控股有限公司 一种建立可信计算集群的方法、装置、存储介质及计算设备
US11696133B2 (en) * 2019-02-21 2023-07-04 Blackberry Limited Method and system for provisioning device specific WLAN credentials
US11356851B2 (en) 2019-12-03 2022-06-07 Harris Global Communications, Inc. Communications system having multiple carriers with selectively transmitted real information and fake information and associated methods
FR3105682B1 (fr) * 2019-12-20 2022-05-13 E Scopics Procede et systeme de gestion d’echange de donnees dans le cadre d’un examen medical
EP4179691A4 (en) * 2020-07-08 2024-07-31 Cervais Inc SECURE PEER-TO-PEER COMMUNICATIONS SYSTEM, APPARATUS AND METHOD
US11095730B1 (en) * 2020-09-14 2021-08-17 Dell Products Llp Automated device discovery system
US11502988B2 (en) * 2021-01-21 2022-11-15 Cisco Technology, Inc. Stable MAC address change process
CN113329204B (zh) * 2021-08-03 2021-10-01 北京电信易通信息技术股份有限公司 一种基于终端信任管理的数据安全传输方法及系统
US12120525B2 (en) 2021-09-13 2024-10-15 Cisco Technology, Inc. Concealing low power mobile device address during advertisement

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070055867A1 (en) 2003-03-14 2007-03-08 Rajesh Kanungo System and method for secure provisioning of encryption keys
US20070133803A1 (en) 2000-02-04 2007-06-14 Makoto Saito Method, apparatus and program for establishing encrypted communication channel between apparatuses
US8316237B1 (en) 2001-03-23 2012-11-20 Felsher David P System and method for secure three-party communications

Family Cites Families (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5978475A (en) * 1997-07-18 1999-11-02 Counterpane Internet Security, Inc. Event auditing system
US6304974B1 (en) * 1998-11-06 2001-10-16 Oracle Corporation Method and apparatus for managing trusted certificates
US6772331B1 (en) 1999-05-21 2004-08-03 International Business Machines Corporation Method and apparatus for exclusively pairing wireless devices
JP2000349747A (ja) 1999-06-02 2000-12-15 Hitachi Ltd 公開鍵管理方法
AU6620000A (en) * 1999-08-06 2001-03-05 Frank W Sudia Blocked tree authorization and status systems
GB2359955B (en) * 2000-03-01 2003-07-23 3Com Corp Network unit including address hashing
US6829651B1 (en) 2000-04-11 2004-12-07 International Business Machines Corporation Local MAC address learning in layer 2 frame forwarding
US7096354B2 (en) 2000-08-04 2006-08-22 First Data Corporation Central key authority database in an ABDS system
EP1343286A1 (en) * 2002-03-04 2003-09-10 BRITISH TELECOMMUNICATIONS public limited company Lightweight authentication of information
US8843413B2 (en) 2004-02-13 2014-09-23 Microsoft Corporation Binding content to a domain
US7636941B2 (en) 2004-03-10 2009-12-22 Microsoft Corporation Cross-domain authentication
US7350074B2 (en) * 2005-04-20 2008-03-25 Microsoft Corporation Peer-to-peer authentication and authorization
US7840682B2 (en) * 2005-06-03 2010-11-23 QNX Software Systems, GmbH & Co. KG Distributed kernel operating system
KR101537527B1 (ko) 2006-05-02 2015-07-22 코닌클리케 필립스 엔.브이. 도메인에 대한 개선된 액세스
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
CA2571891C (en) 2006-12-21 2015-11-24 Bce Inc. Device authentication and secure channel management for peer-to-peer initiated communications
KR20100059953A (ko) * 2007-09-07 2010-06-04 코닌클리즈케 필립스 일렉트로닉스 엔.브이. 네트워크 및 안전한 네트워크를 확립하기 위한 방법
US8239549B2 (en) * 2007-09-12 2012-08-07 Microsoft Corporation Dynamic host configuration protocol
US7779136B2 (en) * 2007-11-01 2010-08-17 Telefonaktiebolaget L M Ericsson (Publ) Secure neighbor discovery between hosts connected through a proxy
US8429403B2 (en) 2008-08-12 2013-04-23 Juniper Networks, Inc. Systems and methods for provisioning network devices
CN102474724A (zh) * 2009-07-15 2012-05-23 皇家飞利浦电子股份有限公司 用于在无线网中安全地广播敏感数据的方法
US8752161B1 (en) 2009-07-22 2014-06-10 Cisco Technology, Inc. Securing and authenticating multiple devices behind a NAT device
US8417966B1 (en) * 2010-05-28 2013-04-09 Adobe Systems Incorporated System and method for measuring and reporting consumption of rights-protected media content
US20120144197A1 (en) * 2010-12-02 2012-06-07 Jong-Moon Chung Point-to-point communication method in a wireless sensor network and methods of driving coordinators and communication devices in the wireless sensor network
US8990891B1 (en) * 2011-04-19 2015-03-24 Pulse Secure, Llc Provisioning layer two network access for mobile devices
US8850191B2 (en) * 2011-04-28 2014-09-30 Netapp, Inc. Scalable groups of authenticated entities
WO2012159191A1 (en) * 2011-05-20 2012-11-29 Research In Motion Limited Verifying passwords on a mobile device
US9202042B2 (en) 2011-06-14 2015-12-01 Lantiq Beteiligungs-GmbH & Co.KG Automatic device pairing
US9015469B2 (en) * 2011-07-28 2015-04-21 Cloudflare, Inc. Supporting secure sessions in a cloud-based proxy service
DE102011080876A1 (de) * 2011-08-12 2013-02-14 Tridonic Gmbh & Co Kg Management des Gerätebesitzes und Inbetriebnahme in drahtlosen Netzwerken mit Verschlüsselung durch öffentliche Schlüssel
JP5731673B2 (ja) 2011-12-09 2015-06-10 アラクサラネットワークス株式会社 証明書配付装置およびその方法、並びにコンピュータプログラム
US9026789B2 (en) * 2011-12-23 2015-05-05 Blackberry Limited Trusted certificate authority to create certificates based on capabilities of processes
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US8954735B2 (en) * 2012-09-28 2015-02-10 Intel Corporation Device, method, and system for secure trust anchor provisioning and protection using tamper-resistant hardware
US8832783B2 (en) 2012-09-28 2014-09-09 Intel Corporation System and method for performing secure communications
US8874916B2 (en) * 2012-09-28 2014-10-28 Intel Corporation Introduction of discrete roots of trust
US8594632B1 (en) 2012-12-11 2013-11-26 Intel Corporation Device to-device (D2D) discovery without authenticating through cloud
US8850543B2 (en) 2012-12-23 2014-09-30 Mcafee, Inc. Hardware-based device authentication
US9325697B2 (en) * 2013-01-31 2016-04-26 Hewlett Packard Enterprise Development Lp Provisioning and managing certificates for accessing secure services in network
US20140281497A1 (en) 2013-03-13 2014-09-18 General Instrument Corporation Online personalization update system for externally acquired keys
US9237021B2 (en) 2013-03-15 2016-01-12 Hewlett Packard Enterprise Development Lp Certificate grant list at network device
US9367676B2 (en) * 2013-03-22 2016-06-14 Nok Nok Labs, Inc. System and method for confirming location using supplemental sensor and/or location data
US11127001B2 (en) * 2013-05-09 2021-09-21 Wayne Fueling Systems Llc Systems and methods for secure communication
CN103391541B (zh) * 2013-05-10 2016-12-28 华为终端有限公司 无线设备的配置方法及装置、系统
CN103886263A (zh) * 2014-03-19 2014-06-25 宇龙计算机通信科技(深圳)有限公司 一种对移动终端中的数据进行保护的方法及系统
CN104168269B (zh) * 2014-07-24 2016-05-04 深圳市腾讯计算机系统有限公司 安全连接建立方法、装置及系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070133803A1 (en) 2000-02-04 2007-06-14 Makoto Saito Method, apparatus and program for establishing encrypted communication channel between apparatuses
US8316237B1 (en) 2001-03-23 2012-11-20 Felsher David P System and method for secure three-party communications
US20070055867A1 (en) 2003-03-14 2007-03-08 Rajesh Kanungo System and method for secure provisioning of encryption keys

Also Published As

Publication number Publication date
CN111726356A (zh) 2020-09-29
US10362031B2 (en) 2019-07-23
BR112017003695A2 (pt) 2017-11-28
EP3860086B1 (en) 2024-05-29
EP3195557B1 (en) 2021-04-21
EP3195557A1 (en) 2017-07-26
CN107079006B (zh) 2020-07-03
WO2016044356A1 (en) 2016-03-24
US20170289157A1 (en) 2017-10-05
MX2017003533A (es) 2017-06-21
CN111726356B (zh) 2022-08-05
US10581848B2 (en) 2020-03-03
KR102504051B1 (ko) 2023-02-24
JP2017533630A (ja) 2017-11-09
KR20170060004A (ko) 2017-05-31
RU2017108756A (ru) 2018-09-17
CA2959809A1 (en) 2016-03-24
US20190386992A1 (en) 2019-12-19
US20170302666A1 (en) 2017-10-19
AU2015317918A1 (en) 2017-03-16
CN107079006A (zh) 2017-08-18
US20160080380A1 (en) 2016-03-17
KR20220029782A (ko) 2022-03-08
US11032279B2 (en) 2021-06-08
US9716716B2 (en) 2017-07-25
EP3860086A1 (en) 2021-08-04

Similar Documents

Publication Publication Date Title
KR102369647B1 (ko) 두 장치 간의 신뢰 확립 기법
US10461939B2 (en) Secure device registration for multi-factor authentication
WO2022262078A1 (zh) 基于零信任安全的访问控制方法、设备及存储介质
US11196573B2 (en) Secure de-centralized domain name system
EP3777028B1 (en) Generating and linking private transaction identifiers to distributed data repositories
US20170223005A1 (en) Local device authentication
US20170214664A1 (en) Secure connections for low power devices
US20160286393A1 (en) Method and apparatus for seamless out-of-band authentication
US9509505B2 (en) Group management of authenticated entities
US10237057B2 (en) Method and system for controlling the exchange of privacy-sensitive information
US11606198B2 (en) Centrally managed PKI provisioning and rotation
US11909880B2 (en) Centralized credential issuance and rotation
US11368442B2 (en) Receiving an encrypted communication from a user in a second secure communication network
CN116561820B (zh) 可信数据处理方法及相关装置
JP6939313B2 (ja) 分散認証システム

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant