KR102538032B1 - 온라인 신원의 분산 검증을 위한 시스템 및 방법 - Google Patents

온라인 신원의 분산 검증을 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102538032B1
KR102538032B1 KR1020227014098A KR20227014098A KR102538032B1 KR 102538032 B1 KR102538032 B1 KR 102538032B1 KR 1020227014098 A KR1020227014098 A KR 1020227014098A KR 20227014098 A KR20227014098 A KR 20227014098A KR 102538032 B1 KR102538032 B1 KR 102538032B1
Authority
KR
South Korea
Prior art keywords
token
party
digitally signed
computing system
composite
Prior art date
Application number
KR1020227014098A
Other languages
English (en)
Other versions
KR20220058663A (ko
Inventor
종 왕
강 왕
Original Assignee
구글 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 구글 엘엘씨 filed Critical 구글 엘엘씨
Publication of KR20220058663A publication Critical patent/KR20220058663A/ko
Application granted granted Critical
Publication of KR102538032B1 publication Critical patent/KR102538032B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • H04L63/0421Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
  • Computer And Data Communications (AREA)

Abstract

적어도 하나의 양태는 온라인 신원의 실시간 검증 성능을 개선하는 것이다. 발급자 컴퓨팅 시스템은 복합 토큰을 생성하기 위한 요청을 수신할 수 있으며, 복합 토큰은 클라이언트에 관한 정보를 포함하는 제1 당사자 토큰을 인증하도록 특정 검증 당사자를 인증하도록 구성된다. 발급자는 암호화 키를 사용하여 복합 토큰을 생성하고, 이를 다른 콘텐츠 아이템 네트워크에 배포할 수 있는 클라이언트에 배포할 수 있다. 검증 당사자는 콘텐츠 아이템 네트워크로부터 복합 토큰을 수신하고, 암호화 키를 사용하여 클라이언트 디바이스에 대응하는 토큰의 진위를 검증하고, 토큰을 사용하여 콘텐츠 아이템 동작을 추가로 프로세싱할 수 있다. 시스템은 복합 토큰의 생성 및 검증 이전에 암호화 키를 배포할 수 있으며, 따라서 당사자로 하여금 외부 검증 당사자와 접촉하지 않고도 실시간으로 복합 토큰을 검증할 수 있다.

Description

온라인 신원의 분산 검증을 위한 시스템 및 방법{SYSTEMS AND METHODS FOR DISTRIBUTED VERIFICATION OF ONLINE IDENTITY}
관련 출원에 대한 상호 참조
본 출원은 2019년 8월 28일 출원된 미국 특허출원 제16/553,599호 및 2019년 4월 29일 출원된 미국 가출원 제62/840,204호에 우선권을 주장하며, 그 내용은 그 전체가 본원에 참조로서 통합된다.
인터넷과 같은 컴퓨터 네트워크 환경에서, 사용자는 서드파티 콘텐츠 아이템과 인터렉션할 수 있다. 이러한 서드 파티 콘텐츠 아이템들(예: 광고)은 각각의 퍼블리셔와 연관된 웹페이지에 디스플레이될 수 있다. 이러한 사용자는 서드 파티 콘텐츠 아이템과의 인터렉션을 나타내는 정보를 퍼블리셔에게 제공할 수 있다.
본 개시에서 다루어지는 기술적 문제 중 하나는 온라인 사용자의 프라이버시를 보존하면서 온라인 사용자의 신원을 결정하는데 어려움이 있다는 것이다. 추가적으로, 서드 파티 콘텐츠 아이템 배포자는 짧은, 미리 결정된 시간 프레임(예를 들어, 100 밀리초) 내에 퍼블리셔의 웹페이지를 방문하는 사용자의 신원을 검증하기를 원할 수 있다. 그러나, 사용자의 신원을 정확하게 검증하려면 사용자의 신원을 검증하는 외부 소스에 대한 많은 쿼리가 필요하다. 이로 인해 특정 서드 파티 콘텐츠 아이템 배포 플랫폼에 용납되지 않는 대기 시간이 부과된다.
본 개시에서 다루어진 과제는 트러스티드 서드 파티 콘텐츠 아이템 배포자에게만 사용자의 프라이버시를 유지하면서, 서드 파티 검증자에 대한 쿼리 수를 최소화하면서, 온라인 사용자의 신원을 분산 검증할 수 있는 시스템을 제공하는 것과 관련된다. 공개 키는 사용자의 토큰 데이터를 실시간으로 검증하기 위해 트러스티드 발급자에 의해 디지털 서명된 토큰 데이터를 복호화할 수 있는 트러스티드 서드 파티 콘텐츠 아이템 배포자에게만 발급된다. 이는 검증 당사자가 토큰 데이터를 검증하기 위해 수행해야 하는 쿼리 수를 최소화하여 네트워크 오버헤드와 검증 시간을 감소시킨다.
쿠키 기반 신원(ID) 지원은 발급자에 의한 인증을 지원하지 않으며, "재생 공격"이라고도 하는 브라우저 세션 복사를 방지하지도 않는다. 결과적으로, 브라우저 쿠키는 온라인 사용자의 신뢰할 수 있는 신원이 아닌 레이블이다. 유사하게, 연결된 텔레비전과 같은 디바이스에서, 디바이스 식별자는 약한 보호 레이어만 제공한다. 다른 당사자는 OEM을 대신하여 디바이스 진위 여부를 검증할 수 없다. 사기성 콘텐츠 아이템 요청을 생성하기 위해 브라우저 세션의 복사본이 만들어지는 재생 공격은 이러한 경우에 검출될 수 없으며, 많은 서드 파티가 요구하는 대로 실시간으로 신원 검증을 수행할 수 없다. 따라서, 여기에 개시된 기술 솔루션은 기존의 신원 검증 및 사기 검출 기술에 비해 현저한 개선이다.
본 개시는 특정한 사용자와 연관된 토큰 데이터에 대응하는 디지털 서명을 인증하고 생성하는 책임이 있는 온라인 사용자의 합법적인 신원을 알고 있는 발급자를 포함하는 시스템을 논의한다. 발급자는 암호화를 통해 사용자의 토큰 데이터를 프로세싱할 수 있는 서드 파티 콘텐츠 배포 플랫폼(서드 파티 검증자)을 제어할 수 있다. 시스템은 특정한 사용자와 연관된 토큰 정보를 검증하기 위해 발급자에 의해 인증된 당사자를 검증하는 단계를 더 포함한다. 검증 키는 검증 당사자에 의해 로컬로 유지되기 때문에, 검증 프로세스는 외부 당사자에 대한 추가 액세스없이 실시간으로 수행될 수 있다. 이를 통해 발급자와 서드 파티 콘텐츠 아이템 배포 플랫폼 간에 배포되는 실시간 신원 검증이 가능한다.
적어도 하나의 양태는 서명된 신원 토큰을 제공하기 위한 방법에 관한 것이다. 상기 방법은 당사자(party)에 의해, 발급자의 도메인과 연관된 제1 당사자 토큰을 생성하는 단계를 포함한다. 상기 방법은 상기 당사자에 의해, 상기 발급자에게, 상기 발급자의 도메인과 연관된 상기 제1 당사자 토큰을 전송하는 단계를 포함한다. 상기 방법은 상기 발급자에 의해, 상기 발급자의 도메인과 연관된 상기 제1 당사자 토큰을 수신하고, 상기 제1 당사자 토큰에 대응하는 타임스탬프를 생성하는 단계를 더 포함한다. 상기 방법은 상기 발급자에 의해, 디지털 서명된 토큰을 생성하기 위해 상기 발급자의 개인 키를 사용하여 상기 제1 당사자 토큰과 타임스탬프를 암호화하는 단계를 포함한다. 상기 방법은 상기 발급자에 의해, 복수의 디지털 서명된 토큰을 생성하는 단계를 포함하고, 상기 복수의 디지털 서명된 토큰 각각은 각각의 검증 당사자에 대응한다. 상기 방법은 상기 각각의 검증 당사자에 의해 제공된 공개 키를 사용하여, 상기 복수의 디지털 서명된 토큰 각각을 암호화하는 단계를 더 포함한다. 상기 방법은 상기 발급자에 의해, 상기 복수의 암호화된 디지털 서명된 토큰 각각을 포함하는 복합 토큰을 생성하는 단계를 포함한다. 상기 방법은 상기 발급자에 의해, 상기 제1 당사자 토큰 생성을 담당하는 상기 당사자에게 상기 복합 토큰을 제공하는 단계를 포함한다.
본 개시의 다른 양태는 사용자의 신원을 검증하는 방법에 관한 것이다. 상기 방법은 검증 당사자에 의해, 복합 토큰 및 타임스탬프를 수신하는 단계, 상기 복합 토큰은 복수의 암호화된 디지털 서명된 토큰을 포함한다. 상기 방법은 상기 검증 당사자에 의해, 상기 복합 토큰에 있는 상기 복수의 암호화된 디지털 서명된 토큰 각각을 열거하는 단계를 포함한다. 상기 방법은 상기 검증 당사자에 의해, 상기 열거된 암호화된 디지털 서명된 토큰 중 어느 것이 상기 검증 당사자에 대응하는지 결정하는 단계를 포함한다. 상기 방법은 상기 검증 당사자에 의해, 서명된 토큰을 생성하기 위해 상기 검증 당사자에 속하는 개인 키를 사용하여 상기 검증 당사자에 대응하는 상기 암호화된 서명된 토큰의 콘텐츠를 디코딩하는 단계를 더 포함한다. 상기 방법은 상기 검증 당사자에 의해, 발급자에 대응하는 공개 키를 사용하여, 유효한 제1 당사자 토큰을 생성하기 위해 상기 서명된 토큰의 디지털 서명의 유효성을 검증하는 단계를 더 포함한다. 상기 방법은 상기 검증 당사자에 의해, 상기 서명된 토큰의 상기 디지털 서명이 유효함에 응답하여, 상기 서명된 토큰으로부터 생성된 상기 유효한 제1 당사자 토큰을 프로세싱하는 단계를 더 포함한다.
이들 및 다른 양태들 및 구현예들은 아래에서 상세히 논의된다. 전술한 정보 및 다음의 상세한 설명은 다양한 양태들 및 구현예들의 예시적 실시예를 포함하고, 청구된 양태들 및 구현예들의 본질 및 특성을 이해하기 위한 개요 또는 프레임워크를 제공한다. 도면은 다양한 양태들 및 구현예들의 예시 및 추가 이해를 제공하며, 본 명세서에 통합되어 본 명세서의 일부를 구성한다.
첨부된 도면은 일정한 비율로 도시된 것이 아니다. 다양한 도면들에서 동일한 참조 번호 및 기호는 동일한 구성요소를 표시한다. 명확성을 위해 모든 도면에서 모든 컴포넌트가 라벨링된 것은 아니다. 도면에서:
도 1은 온라인 신원의 분산된 실시간 검증을 위한 환경의 예시적 구현예를 도시하는 블록도이다.
도 2는 예시적 구현예에 따른 키 관리자(130)의 예시적 구현예를 도시하는 블록도를 도시한다.
도 3은 예시적 구현예에 따른 복합 토큰의 생성을 위한 예시적 프로세스의 흐름도를 도시한다.
도 4는 예시적 구현예에 따른 복합 토큰의 콘텐츠의 검증을 위한 예시적 프로세스의 흐름도를 도시한다.
도 5는 도 2에 도시된 프로세스에 의해 생성된 복합 토큰의 표현을 도시한다.
도 6은 본 명세서에서 논의된 임의의 컴퓨터 시스템을 구현하기 위해 사용될 수 있는 예시적 컴퓨터 시스템의 일반적인 아키텍처를 도시한다.
아래에 설명되는 것은 사기성 저항 콘텐츠 아이템 동작을 관리하는 방법, 장치 및 시스템과 관련된 다양한 개념 및 구현예에 대한 보다 상세한 설명이다. 상기 소개되고 아래에서 더 자세히 논의되는 다양한 개념들은 기술된 개념들이 임의의 특정한 구현 방식에 제한되지 않기 때문에, 임의의 다수의 방식들로 구현될 수 있다.
도 1은 온라인 신원의 분산된 실시간 검증을 위한 환경(100)의 일 구현예를 도시하는 블록도이다. 환경(100)은 적어도 하나의 클라이언트 컴퓨팅 시스템(105)을 포함한다. 클라이언트 컴퓨팅 시스템(105)은 적어도 하나의 프로세서(또는 프로세싱 회로) 및 메모리를 포함할 수 있다. 메모리는 프로세서에서 실행될 때 프로세서로 하여금 본 명세서에 기술된 하나 이상의 동작들을 수행하게 하는 프로세서 실행가능 명령어들을 저장한다. 프로세서는 마이크로 프로세서, 주문형 집적 회로(ASIC), 필드 프로그래머블 게이트 어레이(FPGA) 등, 또는 이들의 조합을 포함할 수 있다. 메모리는 전자, 광학, 자기 또는 프로세서에 프로그램 명령어들을 제공할 수 있는 임의의 다른 저장 또는 전송 디바이스를 포함할 수 있지만, 이에 한정되지 않는다. 메모리는 플로피 디스크, CD-ROM, DVD, 자기 디스크, 메모리 칩, ASIC, FPGA, ROM, RAM, EEPROM(electrically-erasable ROM), EPROM(erasable-programmable ROM), 플래시 메모리, 광학 매체, 또는 프로세서가 명령어들을 판독할 수 있는 임의의 기타 적절한 메모리를 포함할 수 있다. 명령어들은 임의의 적절한 컴퓨터 프로그래밍 언어의 코드가 포함될 수 있다. 클라이언트 컴퓨팅 시스템(105)은 다양한 기능들을 수행할 수 있는 하나 이상의 컴퓨팅 디바이스들 또는 서버들을 포함할 수 있다.
일부 구현예에서, 클라이언트 컴퓨팅 시스템(105)은 브라우저 토큰을 생성하도록 구성된 웹브라우저와 같은 애플리케이션을 포함할 수 있다. 그러한 실시예에서, 생성된 브라우저 토큰은 발급자 컴퓨터 시스템(115)의 도메인과 연관될 수 있고, 클라이언트 컴퓨팅 시스템(105)에 의해 실행되는 웹브라우저에 대한 정보를 포함할 수 있다. 일부 구현예에서, 클라이언트 컴퓨팅 시스템(105)은 디바이스 토큰을 생성하도록 구성된다. 이러한 실시예에서, 생성된 디바이스 토큰은 발급자 컴퓨팅 시스템(115)의 도메인과 연관될 수 있고, 클라이언트 컴퓨팅 시스템(105)에 대한 디바이스 정보를 포함할 수 있다. 클라이언트 컴퓨팅 시스템(105)은 생성된 토큰을 네트워크(110)를 통해 발급자 컴퓨팅 시스템(115)에 전송하도록 구성될 수 있다. 일부 구현예에서, 클라이언트 컴퓨팅 시스템(105)은 콘텐츠 아이템 네트워크(155)를 통해 광고 경매 시스템과 통신하도록 구성된다.
네트워크(110)는 인터넷, 로컬, 와이드, 메트로 또는 다른 영역 네트워크, 인트라넷, 위성 네트워크, 음성 또는 데이터 모바일폰 통신 네트워크와 같은 다른 컴퓨터 네트워크들 및 이들의 조합과 같은 컴퓨터 네트워크를 포함할 수 있다. 일부 구현예에서, 키 분배 인프라(135) 또는 콘텐츠 아이템 네트워크(155) 중 임의의 것은 네트워크(110)와 동일하거나 그 일부일 수 있다. 환경(100)의 클라이언트 컴퓨팅 시스템(100)은 예를 들어 적어도 하나의 발급자 컴퓨팅 시스템(115)과 네트워크(110)를 통해 통신할 수 있다. 네트워크(110)는 클라이언트 디바이스(105), 발급자 컴퓨팅 시스템(115) 및 특히 웹 서버, 광고 서버와 같은 하나 이상의 콘텐츠 소스들 간의 정보를 중계하는 임의의 형태의 컴퓨터 네트워크일 수 있다. 예를 들어, 네트워크(105)는 근거리 통신망(LAN), 광역 통신망(WAN), 셀룰러 네트워크, 위성 네트워크 또는 다른 유형의 데이터 네트워크와 같은 인터넷 및 / 또는 다른 유형의 데이터 네트워크를 포함할 수 있다. 네트워크(110)는 또한 네트워크(110) 내에서 데이터를 수신 및/또는 전송하도록 구성된 임의의 수의 컴퓨팅 디바이스(예를 들어, 컴퓨터, 서버, 라우터, 네트워크 스위치 등)를 포함할 수 있다. 네트워크(110)는 임의의 수의 고정 배선 및/또는 무선 연결을 더 포함할 수 있다. 예를 들어, 클라이언트 컴퓨팅 시스템(105)는(예를 들어, 광섬유 케이블, CAT5 케이블 등을 통해) 배선된 송수신기와 무선으로(예를 들어, WiFi, 셀룰러, 라디오 등을 통해) 네트워크(110) 내 다른 컴퓨팅 디바이스들과 통신할 수 있다.
콘텐츠 아이템 네트워크(155)는 인터넷, 로컬, 와이드, 메트로 또는 다른 영역 네트워크, 인트라넷, 위성 네트워크, 음성 또는 데이터 모바일폰 통신 네트워크와 같은 다른 컴퓨터 네트워크들 및 이들의 조합과 같은 컴퓨터 네트워크를 포함할 수 있다. 일부 구현예에서, 콘텐츠 아이템 네트워크(155)는 네트워크(110)와 동일하거나 그 일부일 수 있다. 환경(100)의 클라이언트 컴퓨팅 시스템(105)은 예를 들어 적어도 하나의 검증자 컴퓨팅 시스템(140)과 콘텐츠 아이템 네트워크(155)를 통해 통신할 수 있다. 콘텐츠 아이템 네트워크(155)는 클라이언트 디바이스(105), 적어도 하나의 검증자 컴퓨팅 시스템(140) 및 특히 웹 서버, 광고 서버와 같은 하나 이상의 콘텐츠 소스 간의 정보를 중계하는 임의의 형태의 컴퓨터 네트워크일 수 있다. 예를 들어, 콘텐츠 아이템 네트워크(155)는 근거리 통신망(LAN), 광역 통신망(WAN), 셀룰러 네트워크, 위성 네트워크 또는 다른 유형의 데이터 네트워크와 같은 인터넷 및/또는 다른 유형의 데이터 네트워크를 포함할 수 있다. 콘텐츠 아이템 네트워크(155)는 또한 콘텐츠 아이템 네트워크(155) 내에서 데이터를 수신 및/또는 전송하도록 구성된 임의의 수의 컴퓨팅 디바이스(예를 들어, 컴퓨터, 서버, 라우터, 네트워크 스위치 등)를 포함할 수 있다. 콘텐츠 아이템 네트워크(155)는 임의의 수의 고정 배선 및/또는 무선 연결을 더 포함할 수 있다. 예를 들어, 검증자 컴퓨팅 시스템(140)은 (예를 들어, 광섬유 케이블, CAT5 케이블 등을 통해) 배선된 송수신기와 무선으로(예를 들어, WiFi, 셀룰러, 라디오 등을 통해) 콘텐츠 아이템 네트워크(155) 내 다른 컴퓨팅 디바이스들과 통신할 수 있다.
키 분배 인프라 네트워크(135)는 인터넷, 로컬, 와이드, 메트로 또는 다른 영역 네트워크, 인트라넷, 위성 네트워크, 음성 또는 데이터 모바일폰 통신 네트워크와 같은 다른 컴퓨터 네트워크들 및 이들의 조합과 같은 컴퓨터 네트워크를 포함할 수 있다. 일부 구현예에서, 키 분배 인프라(135)는 네트워크(110)와 동일하거나 그 일부일 수 있다. 환경(100)의 키 관리자 컴퓨팅 시스템(130)은 키 분배 인프라 네트워크(135)를 통해, 예를 들어 적어도 하나의 발급자 컴퓨팅 시스템(115) 및/또는 적어도 하나의 검증자 컴퓨팅 시스템(140)과 통신할 수 있다. 키 분배 인프라 네트워크(135)는 키 관리자 컴퓨팅 시스템(130)과 적어도 하나의 검증자 컴퓨팅 시스템(140) 또는 적어도 하나의 발급자 컴퓨터 시스템(115)과 특히 웹 서버, 광고 서버와 같은 하나 이상의 콘텐츠 소스 사이에서 정보를 중계하는 임의의 형태의 컴퓨터 네트워크일 수 있다. 예를 들어, 키 분배 인프라 네트워크(135)는 근거리 통신망(LAN), 광역 통신망(WAN), 셀룰러 네트워크, 위성 네트워크 또는 다른 유형의 데이터 네트워크와 같은 인터넷 및 / 또는 다른 유형의 데이터 네트워크를 포함할 수 있다. 키 분배 인프라 네트워크(135)는 또한 키 분배 인프라 네트워크(135) 내에서 데이터를 수신 및/또는 전송하도록 구성된 임의의 수의 컴퓨팅 디바이스(예를 들어, 컴퓨터, 서버, 라우터, 네트워크 스위치 등)를 포함할 수 있다. 키 분배 인프라 네트워크(135)는 임의의 수의 고정 배선 및/또는 무선 연결을 더 포함할 수 있다. 예를 들어, 키 관리자 컴퓨팅 시스템(130)은 (예를 들어, 광섬유 케이블, CAT5 케이블 등을 통해) 배선된 송수신기와 무선으로(예를 들어, WiFi, 셀룰러, 라디오 등을 통해) 키 분배 인프라 네트워크(135) 내 다른 컴퓨팅 디바이스들과 통신할 수 있다.
발급자 컴퓨팅 시스템(115)은 클라이언트 컴퓨팅 시스템(105)으로부터 수신된 브라우저 또는 디바이스 토큰과 같은 토큰 정보를 인증 및/또는 디지털 서명하기 위해 발급자 엔터티에 의해 운영되는 서버 또는 다른 컴퓨팅 디바이스를 포함할 수 있다. 발급자 컴퓨팅 디바이스(115)는 토큰 서명자 컴포넌트(120) 및 하나 이상의 암호화 키 컴포넌트(125)를 포함할 수 있다. 일부 구현예에서, 발급자 컴퓨팅 시스템(115)은 주 콘텐츠를 포함하는 웹사이트 또는 웹페이지와 같은 정보 리소스에 디스플레이하기 위한 서드 파티 콘텐츠 아이템 또는 생성물(예를 들어, 광고)을 제공할 수 있다. 발급자 컴퓨팅 시스템(115)은 또한 주 콘텐츠를 포함하는 웹페이지와 같은 정보 리소스를 제공할 수 있다. 발급자 컴퓨팅 시스템(115)은 클라이언트 컴퓨팅 시스템(105)과 연관된 정보에 대응하는 토큰에 기초하여 디지털 서명을 생성하기 위한 명령어 또는 계산 회로를 포함할 수 있다. 발급자 컴퓨팅 시스템(115)은 클라이언트 컴퓨팅 시스템(105)과 연관된 정보에 대응하는 디지털 서명된 토큰을 암호화하기 위한 명령어 또는 계산 회로를 포함할 수 있다. 발급자 컴퓨팅 시스템(115)은 하나 이상의 암호화 키 컴포넌트(125) 및 토큰 서명자 컴포넌트(120)에 의해 생성된 디지털 서명에 기초하여 복합 토큰을 생성할 수 있다. 발급자 컴퓨팅 시스템(115)은 암호화된 디지털 서명된 토큰 각각을 단일 데이터 구조에 함께 연결함으로써 복합 토큰을 생성할 수 있다. 발급자 컴퓨팅 시스템(115)은 생성된 복합 토큰을 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)에 제공할 수 있다. 발급자 컴퓨팅 시스템(115)은 키 분배 인프라(135)를 통해 키 관리자(130)로부터 토큰 서명자 컴포넌트(125) 및/또는 암호화 키 컴포넌트(125) 둘 모두를 수신, 요청, 수락 또는 질의할 수 있다. 일부 구현예에서, 키 관리자(130)는 토큰 서명자 컴포넌트(120) 및/또는 하나 이상의 암호화 키 컴포넌트(125)를 키 분배 인프라(135)를 통해 발급자 컴퓨팅 시스템(115)에 자동으로 송신할 수 있다.
검증자 컴퓨팅 시스템(140)은 콘텐츠 아이템 네트워크(155)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 수신된 서명된 토큰의 진위 검증을 제공하기 위해 콘텐츠 제공자 엔터티에 의해 운영되는 서버 또는 다른 컴퓨팅 디바이스를 포함할 수 있다. 일부 구현예에서, 콘텐츠 아이템 네트워크(155)로부터 수신된 서명된 토큰은 복합 토큰일 수 있다. 검증자 컴퓨팅 시스템(140)은 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)를 포함할 수 있다. 검증자 컴퓨팅 시스템(140)은 콘텐츠 아이템 네트워크(155)를 통해 주 콘텐츠를 포함하는 웹사이트 또는 웹페이지와 같은 정보 리소스에 디스플레이하기 위한 서드 파티 콘텐츠 아이템 또는 생성물(예를 들어, 광고)을 제공할 수 있다. 검증자 컴퓨팅 시스템(140)은 복호화 키 컴포넌트(150) 및 토큰 검증 컴포넌트(145)를 사용하여 클라이언트(105)와 연관된 토큰을 검증하는 것에 응답하여 콘텐츠 아이템만을 제공할 수 있다. 하나 이상의 검증자 컴퓨팅 시스템(140)은 콘텐츠 아이템 네트워크(155)를 통해 클라이언트 컴퓨팅 시스템(105)에 대응하는 복합 토큰을 수신할 수 있다. 콘텐츠 아이템 네트워크(155)로부터 수신된 복합 토큰은 하나 이상의 암호화된 디지털 서명을 포함할 수 있으며, 그 중 하나는 검증자 컴퓨터 시스템(140) 중 하나에 대응할 수 있다. 복합 토큰을 수신한 검증자 컴퓨팅 시스템(140) 각각은 복합 토큰을 파싱하여 복수의 암호화된 디지털 서명된 토큰을 열거할 수 있다. 검증자 컴퓨팅 시스템(140) 각각은 검증자 컴퓨팅 시스템(140)에 대응하는 암호화된 디지털 서명된 토큰을 디코딩하기 위해 복호화 키 컴포넌트(150)를 사용할 수 있다. 암호화된 디지털 서명된 토큰의 디코딩된 디지털 서명이 토큰 검증자 컴포넌트(145)를 사용하여 검증될 수 있다면, 암호화된 디지털 서명된 토큰은 검증자 컴퓨팅 시스템(140)과 대응하는 것으로 결정될 수 있다. 토큰 검증자 컴포넌트(150)는 디코딩된 디지털 서명을 검증하기 위해 발급자 컴퓨팅 시스템(115)에 의해 유지되는 개인 키에 대응하는 공개 키를 사용할 수 있다. 일부 실시예에서, 검증자 컴퓨팅 시스템(140)은 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 토큰 검증자 및 하나 이상의 복호화 키 모두를 수신, 요청, 수락 또는 질의할 수 있다. 일부 구현예에서, 키 관리자 컴퓨팅 시스템(130)은 토큰 검증자 컴포넌트(145) 및/또는 복호화 키 컴포넌트(150)를 키 분배 인프라(135)를 통해 검증자 컴퓨팅 시스템(140)에 자동으로 전송할 수 있다.
클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140) 및 키 관리자 컴퓨팅 시스템(130)은 프로세서 및 메모리, 즉 프로세싱 회로를 포함할 수 있다. 메모리는 프로세서에서 실행될 때 프로세서로 하여금 본 명세서에 기술된 하나 이상의 동작들을 수행하게 하는 기계 명령어들을 저장한다. 프로세서는 마이크로 프로세서, 주문형 집적 회로(ASIC), 필드 프로그래머블 게이트 어레이(FPGA) 등, 또는 이들의 조합을 포함할 수 있다. 메모리는 전자, 광학, 자기 또는 프로세서에 프로그램 명령어들을 제공할 수 있는 임의의 다른 저장 또는 전송 디바이스를 포함할 수 있지만, 이에 한정되지 않는다. 메모리는 플로피 디스크, CD-ROM, DVD, 자기 디스크, 메모리 칩, ASIC, FPGA, ROM, RAM, EEPROM(electrically-erasable ROM), EPROM(erasable-programmable ROM), 플래시 메모리, 광학 매체, 또는 프로세서가 명령어들을 판독할 수 있는 임의의 기타 적절한 메모리를 포함할 수 있다. 명령어들은 임의의 적절한 컴퓨터 프로그래밍 언어의 코드가 포함될 수 있다.
클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140) 및 키 관리자 컴퓨팅 시스템(130)은 또한 하나 이상의 사용자 인터페이스 디바이스를 포함할 수 있다. 일반적으로, 사용자 인터페이스 디바이스는 감각 정보(예를 들어, 디스플레이상의 시각화, 하나 이상의 사운드 등)를 생성함으로써 사용자에게 데이터를 전달하고 및/또는 사용자로부터 수신된 감각 정보를 전자 신호(예를 들어, 키보드, 마우스, 포인팅 디바이스, 터치 스크린 디스플레이, 마이크로폰 등)로 변환하는 임의의 전자 디바이스를 지칭한다. 다양한 구현예에 따라, 하나 이상의 사용자 인터페이스 디바이스는 클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140) 및 키 관리자 시스템(130)(예: 빌트인 디스플레이, 마이크로폰 등)의 하우징 내부 또는 클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140) 및 키 관리자 시스템(130)(예: 클라이언트 컴퓨팅 시스템(105)에 연결된 모니터, 클라이언트 컴퓨팅 시스템(105)에 연결된 스피커 등)의 외부에 있을 수 있다. 예를 들어, 클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140) 및 키 관리자 컴퓨팅 시스템(130)은 전자 디스플레이를 포함할 수 있고, 전자 디스플레이는 네트워크(110), 콘텐츠 아이템 네트워크(155) 또는 키 분배 인프라(135)를 통해 하나 이상의 콘텐츠 소스로부터 수신된 웹페이지 데이터를 사용하여 웹페이지를 시각적으로 디스플레이한다.
발급자 컴퓨팅 시스템(115)은 적어도 하나의 서버를 포함할 수 있다. 예를 들어, 발급자 컴퓨팅 시스템(115)은 적어도 하나의 데이터 센터 또는 서버 팜에 위치된 복수의 서버를 포함할 수 있다. 일부 구현예에서, 발급자 컴퓨팅 시스템(115)은 클라이언트 컴퓨터 시스템(105)에 대한 정보를 포함할 수 있다. 발급자 컴퓨팅 시스템(115)은 적어도 하나의 토큰 서명자 컴포넌트(120) 및 적어도 하나의 암호화 키 컴포넌트(125)를 포함할 수 있다. 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)는 각각 적어도 하나의 프로세싱 유닛, 서버, 가상 서버, 회로, 엔진, 에이전트, 기기, 네트워크(135) 및/또는 키 분배 인프라(135)를 통해 다른 컴퓨터 디바이스(예: 클라이언트 컴퓨팅 시스템(105) 또는 키 관리자 컴퓨팅 시스템(130)과 통신하도록 구성된 프로그래머블 로직 어레이와 같은 기타 로직 디바이스를 포함할 수 있다.
토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)는 적어도 하나의 컴퓨터 프로그램 또는 적어도 하나의 스크립트를 포함하거나 실행할 수 있다. 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)는 별개의 컴포넌트들, 단일 컴포넌트 또는 발급자 컴퓨팅 시스템(115)의 일부일 수 있다. 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)는 하나 이상의 스크립트들을 실행하도록 구성된 하나 이상의 프로세서들과 같은 소프트웨어 및 하드웨어의 조합을 포함할 수 있다.
토큰 서명자 컴포넌트(120)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 제1 당사자 토큰을 수신할 수 있다. 일부 실시예에서, 제1 당사자 토큰은 발급자 컴퓨팅 시스템(115)의 도메인과 연관될 수 있다. 일부 실시예에서, 제1 당사자 토큰은 클라이언트 컴퓨팅 시스템(105)에서 실행되는 브라우저에 의해 생성될 수 있다. 일부 다른 실시예에서, 제1 당사자 토큰은 클라이언트 컴퓨팅 시스템(105)에 의해 생성된 디바이스 토큰일 수 있다. 일부 실시예에서, 토큰 서명자 컴포넌트(120)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 요청을 수신하여 당사자 토큰을 생성할 수 있다. 제1 당사자 토큰에 대한 요청은 클라이언트 컴퓨팅 시스템(105)에서 실행되는 브라우저에 대응하는 브라우저 정보를 포함할 수 있다. 제1 당사자 토큰에 대한 요청은 클라이언트 컴퓨팅 시스템(105)에 대응하는 디바이스 정보를 포함할 수 있다. 일부 실시예에서, 토큰 서명자 컴포넌트(120)는 클라이언트 컴퓨팅 시스템(105)으로부터의 요청에 응답하여 제1 당사자 토큰을 생성할 수 있다. 제1 당사자 토큰은 발급자 컴퓨팅 시스템(115)의 도메인에 대응할 수 있다. 토큰 서명자 컴포넌트(120)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 복합 토큰에 대한 요청을 수신할 수 있다. 일부 실시예에서, 토큰 서명자 컴포넌트(120)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 디지털 서명된 토큰에 대한 요청을 수신할 수 있다. 토큰 서명자 컴포넌트(120)는 클라이언트 컴퓨팅 시스템(105)으로부터의 제1 당사자 토큰의 수신에 대응하는 타임스탬프를 생성할 수 있다. 타임스탬프는 발급자 컴퓨팅 시스템(115)에 의해 유지되는 현재 시간에 기초하여 생성될 수 있다. 토큰 서명자 컴포넌트(120)는 발급자 컴퓨팅 시스템(115)에 대응하는 하나 이상의 개인 키를 유지할 수 있다. 일부 실시예에서, 하나 이상의 개인 키는 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 수신된다. 토큰 서명자 컴포넌트(120)는 하나 이상의 개인 키를 사용하여 디지털 서명된 제1 당사자 토큰을 생성할 수 있다. 토큰 서명자 컴포넌트(120)는 하나 이상의 암호화된 디지털 서명된 토큰을 생성하기 위해 디지털 서명된 제1 당사자 토큰을 암호화 키 컴포넌트(125)에 제공할 수 있다. 토큰 서명자 컴포넌트(120)는 하나 이상의 암호화된 디지털 서명된 토큰을 포함하는 복합 토큰을 생성하기 위해 디지털 서명된 제1 당사자 토큰을 암호화 키 컴포넌트(125)에 제공할 수 있다.
암호화 키 컴포넌트(125)는 토큰 서명자 컴포넌트(120)로부터 디지털 서명된 제1 당사자 토큰을 수신할 수 있다. 일부 실시예에서, 암호화 키 컴포넌트(125)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 복합 토큰에 대한 요청을 수신할 수 있다. 일부 실시예에서, 암호화 키 컴포넌트(125)는 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)으로부터 암호화된 디지털 서명된 토큰에 대한 요청을 수신할 수 있다. 암호화 키 컴포넌트(125)는 하나 이상의 암호화 키를 유지할 수 있다. 일부 실시예에서, 하나 이상의 암호화 키 각각은 검증자 컴퓨팅 시스템(140)에 대응하는 공개 키이다. 그러한 실시예에서, 검증자 컴퓨팅 시스템(140)은 발급자 컴퓨팅 시스템(115)에 의해 유지되는 대응하는 공개 키와 연관된 개인 키를 유지할 수 있다. 하나 이상의 암호화 키는 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 수신될 수 있다. 일부 실시예에서, 암호화 키 컴포넌트(125)는 토큰 서명자 컴포넌트(120)로부터 요청을 수신하여 하나 이상의 암호화된 디지털 서명된 제1 당사자 토큰을 생성할 수 있다. 그러한 실시예에서, 암호화 키 컴포넌트(125)는 암호화 키 컴포넌트(125)에 의해 유지되는 하나 이상의 암호화 키 각각에 대해 암호화된 디지털 서명된 토큰을 생성할 수 있다. 암호화 키 컴포넌트(125)는 하나 이상의 암호화된 디지털 서명된 토큰을 포함하는 복합 토큰을 생성할 수 있다. 이러한 실시예에서, 암호화 키 컴포넌트(125)는 하나 이상의 암호화된 디지털 서명된 토큰 각각을 단일 데이터 구조로 연결함으로써 복합 토큰을 생성할 수 있다. 암호화 키 컴포넌트는 클라이언트 컴퓨팅 시스템(105)에 복합 토큰을 제공할 수 있다. 일부 실시예에서, 암호화 키 컴포넌트는 클라이언트 컴퓨팅 시스템(105)에 하나 이상의 암호화된 디지털 서명된 토큰을 제공할 수 있다.
검증자 컴퓨팅 시스템(140)은 적어도 하나의 서버를 포함할 수 있다. 예를 들어, 검증자 컴퓨팅 시스템(140)은 적어도 하나의 데이터 센터 또는 서버 팜에 위치된 복수의 서버들 포함할 수 있다. 일부 구현예에서, 검증자 컴퓨팅 시스템(140)은 클라이언트 컴퓨터 시스템(105)에 대한 정보를 포함할 수 있다. 검증자 컴퓨팅 시스템(140)은 적어도 하나의 토큰 검증자 컴포넌트(145) 및 적어도 하나의 복호화 키 컴포넌트(150)를 포함할 수 있다. 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)는 각각 적어도 하나의 프로세싱 유닛, 서버, 가상 서버, 회로, 엔진, 에이전트, 어플라이언스, 콘텐츠 아이템 콘텐츠 아이템 네트워크(155) 및/또는 키 분배 인프라(135)를 통해 다른 컴퓨터 디바이스(예: 클라이언트 컴퓨팅 시스템(105) 또는 키 관리자 컴퓨팅 시스템(130)과 통신하도록 구성된 프로그래머블 로직 어레이와 같은 기타 로직 디바이스를 포함할 수 있다.
토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)는 적어도 하나의 컴퓨터 프로그램 또는 적어도 하나의 스크립트를 포함하거나 실행할 수 있다. 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)는 별개의 컴포넌트들, 단일 컴포넌트 또는 검증자 컴퓨팅 시스템(140)의 일부일 수 있다. 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)는 하나 이상의 스크립트들을 실행하도록 구성된 하나 이상의 프로세서들과 같은 소프트웨어 및 하드웨어의 조합을 포함할 수 있다.
복호화 키 컴포넌트(150)는 콘텐츠 아이템 네트워크(155)를 통해 클라이언트 컴퓨팅 시스템(105)에 대응하는 복합 토큰을 수신할 수 있다. 복합 토큰은 하나 이상의 암호화된 디지털 서명 토큰을 포함할 수 있다. 일부 실시예에서, 복합 토큰은 제1 당사자 토큰 및 타임스탬프를 포함할 수 있으며, 제1 당사자 토큰은 복합 토큰의 암호화된 디지털 서명된 부분을 생성하는데 사용된다. 이러한 실시예에서, 복호화 키 컴포넌트(150)는 복합 토큰이 재생 공격의 일부로서 전송되었는지를 결정하기 위해 복합 토큰의 수신된 타임스탬프가 최근인지를 확인할 수 있다. 복합 토큰이 재생 공격의 일부인 것으로 결정되면, 복호화 키 컴포넌트는 복합 토큰을 무시할 수 있고, 검증자 컴퓨팅 시스템(140)에 의한 복합 토큰의 추가 프로세싱을 중단할 수 있다. 복호화 키 컴포넌트(150)는 복합 토큰의 진위를 검증하기 위해 콘텐츠 아이템 네트워크(155)로부터 요청을 수신할 수 있다. 복호화 키 컴포넌트(150)는 하나 이상의 암호화된 디지털 서명된 토큰을 검증하기 위해 콘텐츠 아이템 네트워크(155)로부터 요청을 수신할 수 있다. 복호화 키 컴포넌트(150)는 복호화 키를 유지할 수 있다. 일부 실시예에서, 복호화 키는 검증자 컴퓨팅 시스템(140)에 대응하는 개인 키이다. 그러한 실시예에서, 발급자 컴퓨팅 시스템(115)은 검증자 컴퓨팅 시스템(140)에 의해 유지되는 대응하는 개인 키와 연관된 공개 키를 유지한다.
복호화 키는 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 수신될 수 있다. 복호화 키 컴포넌트(150)는 콘텐츠 아이템 네트워크(155)로부터 수신된 복합 토큰의 암호화된 디지털 서명된 토큰 각각을 열거할 수 있다. 복호화 키 컴포넌트(150)는 콘텐츠 아이템 네트워크(155)로부터 수신된 암호화된 디지털 서명된 토큰 각각을 열거할 수 있다. 복호화 키 컴포넌트(150)는 각각의 암호화된 디지털 서명된 토큰에 대응하는 디지털 서명된 토큰을 생성하기 위해 복호화 키 컴포넌트(150)에 의해 유지되는 개인 키를 사용하여 열거된 암호화된 디지털 서명된 토큰 각각을 디코딩하려고 시도할 수 있다. 일부 실시예에서, 복호화 키 컴포넌트(150)는 열거된 디지털 서명된 토큰 중 어느 것이 검증자 컴퓨팅 시스템(140)에 대응하는지 결정할 수 있다. 이러한 실시예에서, 복호화 키 컴포넌트(150)는 디지털 서명된 토큰을 생성하기 위해 개인 키를 사용하여 검증자 컴퓨팅 시스템(150)에 대응하는 암호화된 디지털 서명된 토큰을 디코딩할 수 있다. 복호화 키 컴포넌트(150)는 하나 이상의 생성된 디지털 서명된 토큰을 토큰 검증자 컴포넌트(145)에 제공할 수 있다.
토큰 검증자 컴포넌트(145)는 복호화 키 컴포넌트(150)에 의해 제공되는 하나 이상의 디지털 서명된 토큰을 수신할 수 있다. 토큰 검증자 컴포넌트는 제1 당사자 토큰 및 타임스탬프를 수신할 수 있다. 토큰 검증자 컴포넌트(145)는 발급자 컴퓨팅 시스템(115)에 의해 유지되는 개인 키에 대응하는 공개 키를 유지할 수 있다. 일부 실시예에서, 토큰 검증자 컴포넌트는 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 공개 키를 수신할 수 있다. 토큰 검증자 컴포넌트(145)는 공개 키를 사용하여 디지털 서명된 토큰 중 적어도 하나를 검증함으로써 제1 당사자 토큰을 검증할 수 있다. 예를 들어, 토큰 검증자 컴포넌트(145)는 복호화 키 컴포넌트(150)로부터 수신된 디지털 서명된 토큰 각각을 복호화하기 위해 공개 키를 사용하여, 하나 이상의 디코딩된 토큰 및 타임스탬프 쌍, 각각의 디지털 서명된 토큰에 대응하는 디코딩된 토큰 및 타임스탬프 쌍을 생성할 수 있다. 토큰 검증자 컴포넌트(145)는 토큰 및 타임스탬프 쌍 각각을 복합 토큰의 일부로서 검증자 컴퓨팅 시스템(140)에 의해 수신된 제1 당사자 토큰 및 타임스탬프와 비교할 수 있다. 토큰 및 타임스탬프 쌍 중 하나가 복합 토큰의 일부로 수신된 제1 당사자 토큰 및 타임스탬프와 일치하는 경우, 제1 당사자 토큰이 검증된 것으로 간주된다. 복합 토큰은 암호화된 디지털 서명된 토큰 각각이 발급자 컴퓨팅 시스템(115)에 의해 제1 당사자 토큰의 진위를 검증하도록 인증된 검증자 컴퓨팅 시스템(140)에 대응하기 때문에 하나 이상의 암호화된 디지털 서명된 토큰을 포함할 수 있다. 디지털 서명된 토큰을 디지털 서명으로 사용하여 제1 당사자 토큰 및 타임스탬프의 진위를 확인할 수 있다. 일부 실시예에서, 검증자 컴퓨팅 시스템(140)은 제1 당사자 토큰의 진위 여부를 검증하는 것에 응답하여 제1 당사자 토큰을 프로세싱할 수 있다.
도 2는 키 관리자 컴퓨팅 시스템(130)의 예시적 구현예를 도시하는 블록도를 도시한다. 키 관리자 컴퓨팅 시스템(130)은 키 관리 서비스(205), 토큰 서명자 바이너리(210), 토큰 검증자 바이너리(215), 검증자 암호화 키(220) 및 검증자 복호화 키(225)를 포함할 수 있다. 일부 구현예에서, 키 관리 서비스(205)는 키 관리자 컴퓨팅 시스템(130)의 운영 체제에 의해 실행될 수 있다.
일부 구현예에서, 키 관리 서비스(205)는 발급자 컴퓨팅 시스템(115) 및 검증자 컴퓨팅 시스템(140)이 토큰 서명자 데이터 및 토큰 검증자 데이터를 요청하기 위해 인터페이스할 수 있는 운영 체제에 의해 제공되는 애플리케이션 프로그래밍 인터페이스일 수 있다. 일부 구현예에서, 발급자 컴퓨팅 시스템(115)은 키 관리 서비스(205)와 인터페이스함으로써 각각의 검증자 컴퓨팅 시스템(140)에 대한 복호화 키를 인증할 수 있다. 일부 구현예에서, 키 관리 서비스는 토큰 서명자 바이너리(210)를 사용하여 토큰 서명자 컴포넌트(120) 개인 키를 발급자 컴퓨팅 시스템(115)에 제공할 수 있다. 이러한 구현예에서, 개인 키는 키 분배 인프라(135)를 통해 발급자 컴퓨팅 시스템(115)에 제공될 수 있다. 일부 구현예에서, 키 관리 서비스는 토큰 검증자 바이너리(215)를 사용하여 토큰 검증자 컴포넌트(145) 공개 키를 검증자 컴퓨팅 시스템(140)에 제공할 수 있다. 이러한 구현예에서, 개인 키는 키 분배 인프라(135)를 통해 발급자 컴퓨팅 시스템(115)에 제공될 수 있다. 키 관리 서비스(205)는 특정 검증자 암호화 키(220) 및 검증자 복호화 키(225)를 생성함으로써 특정 검증자 컴퓨팅 시스템(140)을 인증할 수 있다. 예를 들어, 키 관리 서비스(205)는 발급자 컴퓨팅 시스템(115)으로부터 특정 검증자 컴퓨팅 시스템(140)만을 인증하기 위한 요청을 수신할 수 있다. 그 다음, 키 관리 서비스(205)는 검증자 암호화 키(예를 들어, 공개 키) 및 검증자 복호화 키(예를 들어, 개인 키)를 생성할 수 있으며, 각각의 공개/개인 키 쌍은 발급자 컴퓨팅 시스템(115)에 의해 인증된 검증자 컴퓨팅 시스템(140)에 대응한다. 키 관리 서비스(205)는 키 분배 인프라(135)를 통해 발급자 컴퓨팅 시스템(115)의 암호화 키 컴포넌트(125)에 모든 공개(암호화) 키를 제공할 수 있다. 키 관리 서비스(205)는 각각의 개인(복호화) 키를 각각의 인증 검증자 컴퓨팅 시스템(140)에 배포할 수 있다.
도 3는 암호화된 복합 토큰의 생성을 위한 예시적 프로세스(300)의 흐름도를 도시한다. 프로세스(300)는 제1 당사자 토큰 생성(302), 발급자에게 제1 당사자 토큰 전송(304), 개인 키를 사용하여 제1 당사자 토큰에 디지털 서명(306), i 번째 검증자 암호화 키 선택(308), i 번째 검증자 암호화 키를 사용하여 암호화된 디지털 서명 토큰 생성(310), i가 검증자 암호화 키의 수와 같은지 결정(312), 레지스터 i를 증가시킴(314), 암호화된 디지털 서명된 토큰(316)으로부터 복합 토큰을 생성(316), 제1 당사자 토큰을 생성할 책임이 있는 당사자에게 복합 토큰을 제공(318)하는 것을 포함한다.
단계(302)의 추가 세부 사항에서, 당사자는 제1 당사자 토큰을 생성한다. 일부 구현예에서, 제1 당사자 토큰은 발급자의 도메인과 연관될 수 있다. 일부 구현예에서, 제1 당사자 토큰은 애플리케이션(예를 들어, 웹 브라우저)으로부터의 데이터를 포함할 수 있다. 일부 구현예에서, 제1 당사자 토큰을 생성하는 것은 프로세스(300)를 실행하는 디바이스 또는 시스템으로부터의 디바이스 정보를 포함한다. 제1 당사자 토큰을 생성하는 것은 발급 당사자로부터 암호화된 디지털 서명된 토큰에 대한 요청을 생성하는 것을 포함할 수 있다. 발급 당사자는 발급자라고도 한다. 제1 당사자 토큰을 생성하는 것은 발급자로부터 복합 토큰에 대한 요청을 생성하는 것을 포함할 수 있다. 일부 구현예에서, 제1 당사자 토큰을 생성하는 것은 타임스탬프를 생성하는 것을 포함할 수 있다. 그러한 구현예에서, 타임스탬프는 고해상도(예를 들어, 밀리 초 또는 마이크로 초 해상도 등)를 갖는 타임스탬프일 수 있다.
단계(304)의 추가 세부 사항에서, 당사자는 제1 당사자 토큰을 발급자에게 전송한다. 발급자에게 제1 당사자 토큰을 전송하는 것은 당사자에 의해 생성된 타임스탬프를 전송하는 것을 포함할 수 있다. 일부 실시예에서, 제1 당사자 토큰을 전송하는 것은 암호화된 디지털 서명된 토큰에 대한 요청을 발급자에게 전송하는 것을 포함할 수 있다. 일부 실시예에서, 제1 당사자 토큰을 전송하는 것은 복합 토큰에 대한 요청을 발급자에게 전송하는 것을 포함할 수 있으며, 복합 토큰은 적어도 하나 이상의 암호화된 디지털 서명된 토큰을 포함한다. 제1 당사자 토큰을 전송하는 것은 발급자로부터 디지털 서명된 토큰에 대한 요청을 전송하는 것을 포함할 수 있다.
단계(306)의 추가 세부 사항에서, 발급자는 개인 키를 사용하여 단계(304)에서 전송된 제1 당사자 토큰에 디지털 서명한다. 일부 실시예에서, 단계(306)은 단계(302)에서 당사자에 의해 생성된 디지털 서명된 토큰을 발급자에 의해 수신하는 것을 포함할 수 있다. 일부 실시예에서, 발급자에 의해 디지털 서명된 토큰을 수신하는 것은 단계(302) 또는 단계(304)에서 생성된 타임스탬프를 수신하는 것을 포함할 수 있다. 일부 실시예에서, 프로세스의 단계(306)는 제1 당사자 토큰과 타임스탬프를 토큰-타임스탬프 쌍으로 연결할 수 있다. 단계(306)에서, 발급자는 디지털 서명 알고리즘(예를 들어, DSA, RSA 등)을 사용하여 제1 당사자 토큰에 디지털 서명할 수 있다. 일부 실시예에서, 발급자는 토큰-타임스탬프 쌍에 대한 디지털 서명 알고리즘을 사용하여 디지털 서명된 토큰을 생성할 수 있다. 일부 실시예에서, 해시 함수(예를 들어, SHA-1, SHA-256, MD5 등)은 해시된 토큰을 생성하기 위한 입력으로서 제1 당사자 토큰을 사용하여 수행될 수 있다. 일부 실시예에서, 해시된 토큰-타임스탬프 쌍을 생성하기 위한 입력으로서 토큰-타임스탬프 쌍을 사용하여 해시 함수가 수행될 수 있다. 프로세스(300)의 발급자는 해시된 토큰에 디지털 서명 알고리즘을 사용하여 디지털 서명된 토큰을 생성할 수 있다. 일부 실시예에서, 프로세스(300)의 발급자는 해시된 토큰-타임스탬프 쌍에 디지털 서명 알고리즘을 사용하여 서명된 토큰을 생성할 수 있다.
프로세스(300)는 i 번째 검증자 암호화 키(308)를 선택하는 것을 포함한다. 이 프로세스 단계는 예를 들어 발급자 컴퓨팅 시스템(115)에 의해 실행되어 암호화 키 컴포넌트(125)에 의해 유지되는 모든 암호화 키에 대한 디지털 서명된 토큰을 암호화할 수 있다. 일부 실시예에서, 단계(308)는 각각이 검증 당사자에 대응하는 하나 이상의 암호화 키를 수신하는 것을 포함할 수 있으며, 여기서 n은 암호화 키의 수와 동일하다. 일부 실시예에서, 암호화 키는 키 관리자, 예를 들어 키 관리자 컴퓨팅 시스템(130)으로부터 수신될 수 있다. 일부 실시예에서, 암호화 키는 각각의 검증 당사자에 대응하는 공개 키이다. 프로세스(300)에 의해 생성된 루프의 제1 반복에서, 단계(308)는 제1 암호화 키(ith, i = 1)를 선택할 수 있다. 하나 이상의 암호화 키는 임의의 순서로 선택될 수 있음을 이해해야 한다.
단계(310)의 추가 세부 사항에서, 프로세스(300)는 i 번째 검증자 암호화 키를 사용하여 암호화된 디지털 서명된 토큰을 생성할 수 있다. 일부 실시예에서, 프로세스(300)는 암호화 키가 공개 키이고 개인 키가 검증 당사자에 속하는 비대칭 암호화 알고리즘을 사용한다. 프로세스(300)는 단계(308)에서 선택된 i 번째 암호화 키로 단계(306)에서 생성된 디지털 서명된 토큰을 암호화함으로써 암호화된 디지털 서명된 토큰을 생성할 수 있다. 일부 실시예에서, 암호화 키는 공개/개인 키 쌍의 개인 키일 수 있으며, 여기서 공개 키는 검증 당사자에 의해 유지된다. 일부 실시예에서, 단계(310)은 단계(306)에서 생성된 디지털 서명된 토큰을 암호화하지 않고, 단순히 디지털 서명된 토큰을 반환한다.
프로세스(300)는 발급자에 의해 유지되는 모든 암호화 키에 대응하는 암호화된 디지털 서명된 토큰을 생성하는 것을 포함한다. 예를 들어, 발급자 컴퓨팅 시스템(115)의 암호화 키 컴포넌트(125)는 현재 생성된 암호화된 디지털 서명된 토큰이 n 번째 암호화된 디지털 서명된 토큰인지 여부를 결정할 수 있으며, 여기서 n은 암호화 키 컴포넌트(125)에 의해 유지되는 암호화 키의 수에 대응한다. 그렇지 않다면, 암호화 키 컴포넌트(125)는 카운터 i(312)를 증가시킬 수 있고, 암호화 키 컴포넌트(125)에 의해 유지되는 암호화 키로부터 다음 암호화 키를 선택할 수 있다. 이러한 방식으로, 발급자 컴퓨팅 시스템(115)은 n개의 암호화된 디지털 서명된 토큰을 생성할 수 있으며, 여기서 n개의 암호화된 디지털 서명된 토큰 각각은 검증 당사자, 예를 들어 검증자 컴퓨팅 시스템(140)에 대응한다.
단계(316)의 추가 세부 사항에서, 프로세스(300)는 암호화된 디지털 서명된 토큰으로부터 복합 토큰을 생성할 수 있다. 복합 토큰은 암호화된 디지털 서명 토큰 각각을 단일 데이터 구조로 연결하여 생성할 수 있다. 이 연결의 예가 도 5에 도시된다. 이 예시적 실시예에서, 506a-n은 단계(310)에서 생성된 암호화된 디지털 서명된 토큰 각각을 나타내며, 여기서 n개의 디지털 서명된 토큰 각각은 검증 당사자, 예를 들어 검증자 컴퓨팅 시스템(140) 중 하나에 대응한다. 일부 실시예에서, 복합 토큰은 암호화된 디지털 서명된 토큰 각각과 원래의 제1 당사자 토큰 및 타임스탬프를 단일 데이터 구조로 연결함으로써 생성될 수 있다. 이 연결의 결과의 실시예가 도 5에 도시되며. 여기서 502는 원래 제1 당사자 토큰이고, 504는 원래 제1 당사자 토큰에 대응하는 타임스탬프이며, 506a-n은 각각 n개의 암호화된 디지털 서명 토큰이다. 비록 도 5는 제1 당사자 토큰, 타임스탬프 및 암호화된 디지털 서명된 토큰을 특정 순서로 도시하였지만, 컴포넌트 중 하나가 복합 토큰에서 제외될 수 있으며, 이러한 요소 중 하나가 임의의 순서로 복합 토큰에 나타날 수 있음을 이해해야 한다.
단계(318)의 추가 세부 사항에서, 프로세스(300)는 복합 토큰을 제1 당사자 토큰 생성을 담당하는 당사자에게 제공한다. 프로세스(300)는 단계(316)에서 생성된 복합 토큰을 단계(302)에서 제1 당사자 토큰을 생성한 당사자에게 제공할 수 있다. 예를 들어, 발급자 컴퓨팅 시스템(115)은 암호화 키 컴포넌트(125)에 의해 생성된 복합 토큰을 네트워크(110)를 통해 클라이언트 컴퓨팅 시스템(105)에 전송할 수 있다. 일부 실시예에서, 발급자는 웹 인터페이스를 통해 제1 당사자 토큰을 생성할 책임이 있는 당사자에게 복합 토큰을 제공할 수 있다. 예를 들어, 발급자 컴퓨팅 시스템(115)은 웹 인터페이스를 통해 생성된 복합 토큰을 전송할 수 있고, 클라이언트 컴퓨팅 시스템(105)은 브라우저 세션의 일부로서 복합 토큰을 수신할 수 있다.
도 4는 복합 토큰의 콘텐츠의 검증을 위한 예시적 프로세스(400)의 흐름도를 도시한다. 프로세스(400)는 복합 토큰을 수신하고(402), 복합 토큰에서 암호화된 디지털 서명된 토큰 각각을 열거하고(404), i번째 암호화된 디지털 서명된 토큰 선택하고(408), 디지털 서명된 토큰을 생성하기 위해 암호화된 디지털 서명된 토큰을 디코딩하고(410), 디지털 서명된 토큰의 유효성을 검증하고 제1 당사자 토큰 생성하고(412), 암호화된 토큰이 검증 당사자에 대응하는지 결정하고(414), i가 복합 토큰 n에서 암호화된 디지털 서명된 토큰의 수와 동일한지 결정하고(416), 레지스터 i를 증가시키고(418), 복합 토큰을 무시하고(420) 및 유효한 제1 당사자 토큰 프로세싱(422)하는 것을 포함한다.
단계(402)의 추가 세부 사항에서, 프로세스(400)는 하나 이상의 암호화된 디지털 서명된 토큰을 포함하는 복합 토큰을 수신할 수 있다. 예를 들어, 검증자 컴퓨팅 시스템(140) 중 하나는 콘텐츠 아이템 네트워크(155)로부터 복합 토큰을 수신할 수 있다. 복합 토큰은 하나 이상의 암호화된 디지털 서명 토큰을 포함할 수 있다. 복합 토큰은 제1 당사자 토큰과 타임스탬프를 포함할 수 있다. 복합 토큰의 예시적 개략도가 도 5에 도시되어 있다. 프로세스(400)는 제1 당사자 토큰의 진위를 검증해야 하는 당사자에 의해 실행될 수 있다. 일부 실시예에서, 복합 토큰은 단일 데이터 구조로 수신될 수 있다. 일부 다른 실시예에서, 복합 토큰은 일련의 데이터 구조로서 수신될 수 있다. 예를 들어, 프로세스(400)를 실행하는 검증 당사자는 암호화된 디지털 서명된 토큰을 한 번에 하나씩 수신하고 이를 사용하여 복합 토큰을 생성할 수 있다. 일부 실시예에서, 제1 당사자 토큰은 제1 당사자 토큰의 생성에 대응하는 타임스탬프를 포함할 수 있다. 그러한 실시예에서, 제1 당사자 토큰 및 타임스탬프는 복합 토큰에 포함될 수 있다.
단계(404)의 추가 세부 사항에서, 프로세스(400)는 단계(402)에서 수신된 복합 토큰에서 암호화된 디지털 서명된 토큰 각각을 열거한다. 일부 실시예에서, 암호화된 디지털 서명된 토큰 각각을 열거하는 것은 각각의 암호화된 디지털 서명된 토큰을 추출하는 것을 포함한다. 그러한 실시예에서, 제1 당사자 토큰 및 타임스탬프는 또한 복합 토큰으로부터 추출될 수 있다. 그러한 실시예에서, 프로세스(400)를 실행하는 검증 당사자는 복합 토큰의 타임스탬프를 미리 결정된 값과 비교할 수 있다. 프로세스(400)를 실행하는 검증 당사자는 복합 토큰이 최신인지 확인하기 위해 타임스탬프를 비교하고, 잠재적인 재생 공격으로부터 방어할 수 있다. 일부 실시예에서, 복합 토큰은 프로세스(400)를 실행하는 검증 당사자에게 알려진 미리 결정된 데이터 구조일 수 있다. 그러한 실시예에서, 검증 당사자는 데이터 구조의 알려진 오프셋에 기초하여 암호화된 디지털 서명된 토큰 각각을 추출하고 열거할 수 있다. 일부 실시예에서, 암호화된 디지털 서명된 토큰 각각을 열거하는 것은 암호화된 디지털 서명된 토큰 각각에 대응하는 숫자 값을 할당하는 것을 포함할 수 있다. 예를 들어, 도 5를 참조하면, 암호화된 디지털 서명된 토큰(506a-n) 각각은 복합 토큰에서의 순서에 대응하는 숫자 값이 할당될 수 있다. 이 예를 더하면, 506a는 1의 값이 할당될 수 있고, 506b는 2의 값이 할당될 수 있고, 506c는 3의 값이 할당될 수 있다. 일부 실시예에서, 단계(404)를 실행하는 검증 당사자는 단계(402)에서 수신된 복합 토큰에 포함된 암호화된 디지털 서명된 토큰(n)의 수를 결정할 수 있다.
프로세스(400)는 i 번째 암호화된 디지털 서명된 토큰(408)을 선택하는 것을 포함한다. 이 프로세스 단계는 예를 들어 검증자 컴퓨팅 시스템(115)에 의해 실행되어 복합 토큰을 포함하는 암호화된 디지털 서명된 토큰 각각을 디코딩할 수 있다. 일부 실시예에서, 단계(308)은 프로세스(400)를 실행하는 검증 당사자에 대응하는 복호화 키를 수신하는 것을 포함할 수 있다. 일부 실시예에서, 복호화 키는 키 관리자, 예를 들어 키 관리자 컴퓨팅 시스템(130)으로부터 수신될 수 있다. 일부 실시예에서, 복호화 키는 프로세스(400)를 실행하는 검증 당사자에 대응하는 개인 키이다. 그러한 실시예에서, 대응하는 공개 키는 복합 토큰 생성을 담당하는 발급자에 의해 유지된다. 프로세스(400)에 의해 생성된 루프의 제1 반복에서, 단계(408)는 제1 암호화된 디지털 서명된 토큰(ith, i = 1)을 선택할 수 있다. 하나 이상의 암호화 키는 임의의 순서로 선택될 수 있음을 이해해야 한다.
단계(410)의 추가 세부 사항에서, 프로세스(400)는 선택된 암호화된 디지털 서명된 토큰을 디코딩하여 디지털 서명된 토큰을 생성한다. 검증 당사자는 단계(408)에서 선택된 암호화된 디지털 서명된 토큰을 디코딩하고 디지털 서명된 토큰을 생성할 수 있다. 예를 들어, 검증자 컴퓨팅 시스템(140) 중 하나는 복호화 키 컴포넌트(150)를 사용하여 프로세스(400)의 단계(410)를 실행할 수 있다. 추가 예를 들어, 프로세스(400)를 실행하는 검증자 컴퓨팅 시스템(140)의 복호화 키 컴포넌트(150)는 키 분배 인프라(135)를 통해 키 관리자 컴퓨팅 시스템(130)으로부터 복호화 키를 수신할 수 있다. 일부 실시예에서, 프로세스(400)의 단계(410)는 키 관리자로부터 복호화 키를 수신하는 것을 포함할 수 있다. 일부 다른 실시예에서, 복호화 키는 프로세스(400)의 실행 이전에 프로세스(400)를 실행하는 검증 당사자에 의해 유지되거나 수신될 수 있다. 일부 실시예에서, 암호화된 디지털 서명된 토큰의 디코딩은 복호화 알고리즘(예를 들어, 타원 곡선, RSA 등)을 사용하여 수행된다.
단계(412)의 추가 세부 사항에서, 디지털 서명된 토큰은 제1 당사자 토큰을 생성하기 위해 검증된다. 일부 실시예에서, 디지털 서명된 토큰은 제1 당사자 토큰의 해시를 생성하기 위해 검증된다. 프로세스(400)를 실행하는 검증 당사자는 디지털 서명 알고리즘(예: 타원 곡선, DSA, RSA 등)을 사용하여 단계(410)에서 생성된 디지털 서명된 토큰의 콘텐츠를 복호화하고, 상기 디지털 서명된 토큰의 복호화된 콘텐츠는 프로세스(400)의 단계(402)에서 복합 토큰에서 수신된 제1 당사자 토큰의 유효성을 검증하는데 사용될 수 있는 제1 당사자 토큰 및 타임스탬프이다. 일부 실시예에서, 디지털 서명된 토큰의 복호화된 콘텐츠는 제1 당사자 토큰 및 타임스탬프의 해시이다. 일부 실시예에서, 디지털 서명 알고리즘은 발급자의 공개 키를 사용하여 디지털 서명된 토큰의 내용을 복호화한다. 예를 들어, 키 관리자 컴퓨팅 시스템(130)은 개인 키를 발급자 컴퓨팅 시스템(115)에 배포하고 대응하는 공개 키를 검증자 컴퓨팅 시스템(140)에 배포할 수 있다. 발급자 컴퓨팅 시스템(115)은 클라이언트 컴퓨팅 시스템(105)에 제공되는 복합 키를 생성하기 위해 프로세스(300)를 사용할 수 있다. 클라이언트 컴퓨팅 시스템(105)은 하나 이상의 검증자 컴퓨팅 시스템(140)에 복합 토큰을 제공할 수 있는 콘텐츠 아이템 네트워크(155)에 복합 토큰을 제공할 수 있다. 검증자 컴퓨팅 시스템은 복합 토큰에 포함된 제1 당사자 토큰을 프로세싱하기 위해 프로세스(400)를 사용할 수 있다. 이 예에서, 검증자 컴퓨팅 시스템(140)은 발급자 컴퓨팅 시스템(115)에 의해 유지되는 개인 키에 대응하는 공개 키를 사용하여, 단계(412)에서 디지털 서명된 토큰을 복호화하여, 제1 당사자 토큰 및 타임스탬프를 생성하거나 일부 실시예에서는 제1 당사자 토큰 및 타임스탬프의 해시를 생성한다.
단계(414)의 추가 세부 사항에서, 프로세스(400)는 디지털 서명된 토큰의 복호화된 콘텐츠가 프로세스(400)를 실행하는 검증 당사자에 대응하는지를 결정한다. 예를 들어 복합 토큰은 암호화된 디지털 서명된 토큰을 두 개 이상 포함할 수 있다. 암호화된 디지털 서명된 각 토큰은 인증된 검증 당사자만 복호화할 수 있다. 이 예에서, 권한 부여는 복호화 키 배포에 의해 제어된다. 각 복호화 키는 복합 토큰에 포함된 암호화된 디지털 서명된 토큰 중 최대 하나의 콘텐츠만 성공적으로 복호화할 수 있다. 검증 당사자는 디지털 서명(즉, 단계(410)에서 생성된 디지털 서명된 토큰)이 단계(402)에서 수신된 복합 토큰에 포함된 제1 당사자 토큰 및 타임스탬프와 일치하는지를 확인함으로써 암호화된 디지털 서명 토큰이 프로세스(400)를 실행하는 검증 당사자에 대응하는지 결정할 수 있다. 검증 당사자는 단계(412)에서 생성된 제1 당사자 토큰 및 타임스탬프가 복합 토큰의 일부로서 수신된 제1 당사자 토큰 및 타임스탬프와 일치하는지 확인할 수 있다. 일부 실시예에서, 단계(412)는 제1 당사자 토큰 및 타임스탬프의 해시를 반환할 수 있다. 이러한 실시예에서, 단계(414)는 암호화 해시 함수(예를 들어, SHA-1, SHA-256, MD5 등)를 사용하여 복합 토큰의 일부로서 수신된 제1 당사자 토큰 및 타임스탬프의 해시를 계산하고, 그것을 단계(412)에서 디지털 서명된 토큰의 복호화에서 반환된 값과 비교한다. 두 값이 일치하면, 암호화된 디지털 서명된 토큰은 검증 당사자에 대응하고, 제1 당사자 토큰은 단계(422)에서 검증 당사자에 의해 프로세싱될 수 있다. 그렇지 않다면, 프로세스(400)를 실행하는 검증 당사자는 현재 암호화된 디지털 서명된 토큰이 n 번째 암호화된 디지털 서명된 토큰(416)인지 결정할 수 있다. 그렇지 않다면, 프로세스(400)를 실행하는 검증 당사자는 카운터 i(418)를 증가시키고 다음 암호화된 디지털 서명된 토큰(408)을 선택할 수 있다. 현재 암호화된 디지털 서명된 토큰이 n 번째 암호화된 디지털 서명된 토큰이면, 복합 토큰의 암호화된 디지털 서명된 토큰 중 어느 것도 프로세스(400)를 실행하는 검증 당사자에 대응하지 않으며, 복합 토큰은 무시된다(420).
단계(422)의 추가 세부 사항에서, 프로세스(400)를 실행하는 검증 당사자는 검증된 제1 당사자 토큰을 프로세싱할 수 있다. 일부 실시예에서, 검증 프로세스(400)는 외부 서버 또는 데이터베이스에 액세스하지 않고 실시간으로 수행될 수 있다. 일부 실시예에서, 제1 당사자 토큰의 프로세싱은 토큰의 데이터 콘텐츠를 소비하는 것을 포함한다. 예를 들어 토큰은 브라우저 정보를 포함할 수 있다. 제1 당사자 토큰의 진위를 검증함으로써, 검증 당사자는 이제 제1 당사자 토큰에 포함된 브라우저 정보를 제1 당사자 토큰 생성을 담당하는 당사자, 예를 들어 클라이언트 컴퓨팅 시스템(105)과 연관시킬 수 있다. 검증 프로세스(400)는 매우 짧은 대기 시간 토큰 인증 방법을 요구할 수 있는 검증 당사자에게, 예를 들어 100 밀리 초와 같은 미리 결정된 시간 내에 제1 당사자 토큰의 진위를 검증하게 한다.
도 6은 일부 구현예에 따라 본 명세서에서 논의된 컴퓨터 시스템 중 임의의 것을 구현하는데 이용될 수 있는 예시적 컴퓨터 시스템(600)의 일반적 아키텍처를 도시한다(클라이언트 컴퓨팅 시스템(105), 발급자 컴퓨팅 시스템(115) 및 그것의 컴포넌트 - 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125), 검증자 컴퓨팅 시스템(140) 및 그것의 컴포넌트 - 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150), 및 키 관리자 컴퓨팅 시스템 및 그것의 컴포넌트를 포함). 컴퓨터 시스템(600)은 디스플레이를 위해 네트워크(110), 콘텐츠 아이템 네트워크(155), 또는 키 분배 인프라(135)를 통해 정보를 제공하는데 사용될 수 있다. 도 6의 컴퓨터 시스템(600) 도 5의 컴퓨터 시스템(600)은 메모리(625)에 통신적으로 연결된 하나 이상의 프로세서들(620), 하나 이상의 통신 인터페이스(605), 및 하나 이상의 출력 디바이스들(610)(예를 들어, 하나 이상의 디스플레이 유닛들) 및 하나 이상의 입력 디바이스들(615)을 포함한다. 프로세서(620)는 클라이언트 컴퓨팅 시스템(115)에 포함될 수 있다. 프로세서(620)는 발급자 컴퓨팅 시스템(115) 또는 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)와 같은 발급자 컴퓨팅 시스템(115)의 다른 컴포넌트에 포함될 수 있다. 프로세서(620)는 검증자 컴퓨팅 시스템(140) 또는 토큰 검증자 컴포넌트(145) 및 복호화 키 컴포넌트(150)와 같은 검증 컴퓨팅 시스템(140)의 다른 컴포넌트에 포함될 수 있다. 프로세서(620)는 키 관리자 컴퓨팅 시스템(130) 또는 키 관리자 서비스(205)와 같은 키 관리자 컴퓨팅 시스템(130)의 다른 컴포넌트에 포함될 수 있다.
도 6의 컴퓨터 시스템(600)에서, 메모리(625)는 임의의 컴퓨터 판독가능 저장 매체를 포함할 수 있고, 각각의 시스템들에 대해 본 명세서에서 기술된 다양한 기능들을 구현하기 위한 프로세서-실행가능 명령어들과 같은 컴퓨터 명령어들 뿐만 아니라 그와 연관된 임의의 데이터, 그에 의해 생성된 임의의 데이터 또는 통신 인터페이스(들) 또는 입력 디바이스(들)(있는 경우)을 통해 수신된 임의의 데이터를 저장할 수 있다. 도 2의 키 관리자 컴퓨팅 시스템(130)을 참조하면, 키 관리자 컴퓨팅 시스템(130)은 특히 검증자 암호화 키(220) 및 검증자 복호화 키(225)와 연관된 정보를 저장하기 위한 메모리(625)를 포함할 수 있다. 도 6에 도시된 프로세서(들)(620)는 메모리(625)에 저장된 명령어를 실행하는데 사용될 수 있고, 그렇게 함으로써, 명령어의 실행에 따라 프로세싱되거나 생성된 다양한 정보를 메모리로부터 판독하거나 메모리에 기록할 수 있다.
도 6에 도시된 컴퓨터 시스템(600)의 프로세서(620)는 또한 명령어들의 실행에 따라 다양한 정보를 전송 또는 수신하도록 통신 인터페이스(들)(605)에 통신적으로 연결되거나 제어될 수 있다. 예를 들어, 통신 인터페이스(들)(605)는 유선 또는 무선 네트워크, 버스 또는 기타 통신 수단에 연결될 수 있으며, 따라서 컴퓨터 시스템(600)이 다른 디바이스들(예를 들어, 다른 컴퓨터 시스템들)에 정보를 전송하거나 또는 그로부터 정보를 수신하게 할 수 있다. 도 6의 시스템에서 명시적으로 도시되지 않았지만, 하나 이상의 통신 인터페이스는 시스템(600)의 컴포넌트들 간의 정보 흐름을 용이하게 한다. 일부 구현예에서, 통신 인터페이스(들)는 컴퓨터 시스템(600)의 적어도 일부 양태들에 대한 액세스 포털로서 웹사이트를 제공하도록(예를 들어, 다양한 하드웨어 컴포넌트들 또는 소프트웨어 컴포넌트들을 통해) 구성될 수 있다. 통신 인터페이스(805)의 예는 사용자가 데이터 프로세싱 시스템(600)과 통신할 수 있는 사용자 인터페이스(예를 들어, 웹페이지)를 포함한다.
도 6에 도시된 컴퓨터 시스템(600)의 출력 디바이스들(610)은 예를 들어, 명령어들의 실행과 관련하여 다양한 정보가 보여 지거나 인식될 수 있도록 제공될 수 있다. 입력 디바이스(들)(615)은 예를 들어, 사용자가 수동 조절을 하거나, 선택을 하거나, 데이터를 입력하거나 또는 명령어들의 실행 중에 프로세서와 다양한 방식으로 인터렉션할 수 있도록 제공될 수 있다. 본 명세서에서 논의된 다양한 시스템들에 이용될 수 있는 일반적인 컴퓨터 시스템 아키텍처에 관한 추가 정보가 본 명세서에서 더 제공된다.
본 발명의 구현예들과 본 명세서에 기술된 동작들은 본 발명에 개시된 구조들 및 그들의 구조적 균등물들 또는 그들 중 하나 이상의 조합들을 포함하는 디지털 전자회로 또는 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어에서 구현될 수 있다. 본 명세서에 기술된 본 발명의 구현예들은 하나 이상의 컴퓨터 프로그램들 즉, 데이터 프로세싱 장치에 의해 실행 또는 데이터 프로세싱 장치의 동작을 제어하기 위한 컴퓨터 저장 매체에 인코딩된 컴퓨터 프로그램 명령어들의 하나 이상의 컴포넌트들로서 구현될 수 있다. 프로그램 명령어들은 데이터 프로세싱 장치에 의해 실행하기 위한 적절한 수신기 장치에 전송하기 위한 정보를 인코딩하기 위해 생성된 인공적으로 생성된 전파된 신호 즉, 기계-생성 전기, 광학 또는 전자기적 신호에 인코딩될 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 저장 디바이스, 컴퓨터 판독가능 저장 기판, 랜덤 또는 직렬 액세스 메모리 어레이 또는 디바이스 또는 그들 중 하나 이상의 조합이거나 그에 포함될 수 있다. 또한, 컴퓨터 저장 매체는 전파된 신호가 아니지만, 컴퓨터 저장 매체는 인공적으로 생성된 전파된 신호에 인코딩된 컴퓨터 프로그램 명령어들의 소스 또는 목적지를 포함할 수 있다. 또한, 컴퓨터 저장 매체는 하나 이상의 별개의 물리적 컴포넌트들 또는 매체(예를 들면, 다수의 CD들, 디스크들, 또는 다른 저장 디바이스들)이거나 또는 그에 포함될 수 있다.
본 명세서에 개시된 구성들은 보다 전통적인 텔레비전 프로그래밍 소스들(예를 들어 케이블, 위성, 공중파 또는 기타 신호를 통해 수신됨)과 인터넷 연결을 통합하도록 구성된 프로세싱 모듈을 포함할 수 있는, 스마트 텔레비전 모듈(또는 연결된 텔레비전 모듈, 하이브리드 텔레비전 모듈 등)에서 구현될 수 있다. 스마트 텔레비전 모듈은 텔레비전 세트에 물리적으로 통합될 수 있거나 셋톱 박스, 블루레이 또는 다른 디지털 미디어 플레이어, 게임 콘솔, 호텔 텔레비전 시스템 및 다른 컴패니언 디바이스와 같은 별도의 디바이스를 포함할 수 있다. 스마트 텔레비전 모듈은 시청자가 웹, 로컬 케이블 TV 채널, 위성 TV 채널에서 또는 로컬 하드 드라이브에 저장된 비디오, 영화, 사진 및 기타 콘텐츠를 검색하고 찾을 수 있도록 구성될 수 있다. 셋톱 박스(STB) 또는 셋톱 유닛(STU)은 튜너를 포함하고 텔레비전 세트 및 외부 신호 소스에 연결될 수 있는 정보 기기 디바이스를 포함할 수 있으며, 그 신호는 콘텐츠로 변환되어 텔레비전 스크린 또는 기타 디스플레이 디바이스에 디스플레이될 수 있다. 스마트 텔레비전 모듈은 웹브라우저 및 복수의 스트리밍 미디어 서비스들, 연결된 케이블 또는 위성 미디어 소스, 다른 웹 "채널"들 등과 같은 복수의 상이한 어플리케이션들에 대한 아이콘들을 포함하는 홈스크린 또는 최상위 레벨 스크린을 제공하도록 구성될 수 있다. 스마트 텔레비전 모듈은 또한 사용자에게 전자적 프로그래밍 가이드를 제공하도록 구성될 수 있다. 스마트 텔레비전 모듈에 대한 동반 어플리케이션은 모바일 컴퓨팅 디바이스에서 사용가능 프로그램에 관한 추가 정보를 사용자에게 제공하여 사용자가 스마트 텔레비전 모듈 등을 제어할 수 있게 동작가능할 수 있다. 대안적 구현예에서, 상기 구성들은 랩톱 컴퓨터 또는 다른 개인용 컴퓨터, 스마트폰, 다른 모바일폰, 핸드헬드 컴퓨터, 태블릿 PC 또는 다른 컴퓨팅 디바이스에서 구현될 수 있다.
본 명세서에 기술된 동작들은 하나 이상의 컴퓨터 판독가능 저장 디바이스들에 저장된 또는 다른 소스들로부터 수신된 데이터에서 데이터 프로세싱 장치에 의해 수행되는 동작들로서 구현될 수 있다.
용어 "데이터 프로세싱 장치", "데이터 프로세싱 시스템", "사용자 디바이스" 또는 "컴퓨팅 디바이스"는 예시로서 프로그래머블 프로세서, 컴퓨터, 시스템 온 칩 또는 앞서 언급된 것들 중 다수의 것들 또는 조합들을 포함하는 데이터를 프로세싱하기 위한 모든 종류의 장치, 디바이스들 및 기계들을 포함한다. 상기 장치는 특수 목적 논리 회로, 예를 들어 FPGA(field programmable gate array) 또는 ASIC(application specific integrated circuit)을 포함할 수 있다. 또한, 장치는 하드웨어 이외에 문제의 컴퓨터 프로그램에 대한 실행 환경을 생성하는 코드, 예를 들어 프로세서 펌웨어, 프로토콜 스택, 데이터베이스 관리 시스템, 운영 체제, 크로스-플랫폼 런타임(cross-platform runtime) 실행 환경, 가상 머신 또는 그들 중 하나 이상의 조합을 구성하는 코드를 포함할 수 있다. 장치 및 실행 환경은 웹 서비스들, 분산 컴퓨팅 및 그리드 컴퓨팅 인프라와 같은 다양한 컴퓨팅 모델 인프라를 실현할 수 있다. 콘텐츠 요청 컴포넌트(130), 콘텐츠 선택 컴포넌트(135), 및 속성 컴포넌트(150)는 하나 이상의 데이터 프로세싱 장치, 컴퓨팅 디바이스 또는 프로세서를 포함하거나 공유할 수 있다.
컴퓨터 프로그램(프로그램, 소프트웨어, 소프트웨어 애플리케이션, 스크립트 또는 코드로도 알려져 있음)은 컴파일된 또는 인터프리트된 언어들, 선언적 또는 절차적 언어들을 포함하는 임의의 형태의 프로그래밍 언어로 작성될 수 있으며, 독립 실행형 프로그램으로서 또는 모듈, 컴포넌트, 서브루틴, 객체로서 또는 컴퓨팅 환경에서 사용하기에 적합한 기타 단위를 포함하는 임의의 형태로 배포될 수 있다. 컴퓨터 프로그램은 파일 시스템의 파일에 대응할 수 있지만, 반드시 그런 것은 아니다. 프로그램은 다른 프로그램들이나 데이터, 예를 들어, 마크업 언어 문서에 저장된 하나 이상의 스크립트들을 가지는 파일의 부분에, 문제되는 프로그램 전용 단일의 파일에 또는 다수의 조정된 파일들, 예를 들어, 하나 이상의 모듈들, 서브프로그램 또는 코드의 일부를 저장하는 파일들에 저장될 수 있다. 컴퓨터 프로그램은 하나의 컴퓨터 또는 하나의 사이트에 위치되어 있거나 다수의 사이트들에 걸쳐서 분산되어 있고 통신 네트워크에 의해 상호연결된 다수의 컴퓨터들에서 실행되도록 배포될 수 있다.
본 명세서에 기술된 프로세스들 및 논리 흐름들은 입력 데이터를 동작하고 출력을 생성함으로써 액션들을 수행하기 위해 하나 이상의 컴퓨터 프로그램들을 실행하는 하나 이상의 프로그래머블 프로세서들에 의해 수행될 수 있다. 프로세스들 및 논리 흐름들은 또한 FPGA 또는 ASIC와 같은 특수 목적 논리 회로에 의해 수행될 수 있고, 장치는 또한 특수 목적 논리 회로로서 구현될 수 있다.
컴퓨터 프로그램의 실행에 적절한 프로세서들은, 예시로서, 범용 및 전용 마이크로프로세서들과 임의의 종류의 디지털 컴퓨터의 임의의 하나 이상의 프로세서들을 포함한다. 일반적으로, 프로세서는 읽기-전용 메모리 또는 랜덤 액세스 메모리 또는 둘 모두로부터 명령어들 및 데이터를 수신할 것이다. 컴퓨터의 필수 엘리먼트들은 명령어들에 따라 액션들을 수행하기 위한 프로세서 및 명령어들 및 데이터를 저장하기 위한 하나 이상의 메모리 디바이스들이다. 일반적으로, 컴퓨터는 데이터를 저장하기 위한 하나 이상의 대형 저장 디바이스들 예를 들면, 자기적, 자기-광학 디스크들 또는 광학적 디스크들 또한 포함하거나 또는 그로부터 데이터를 수신하거나 그에 데이터를 전송하기 위해 동작적으로 결합될 수 있다. 그러나, 컴퓨터는 상기 디바이스들을 반드시 가져야하는 것은 아니다. 추가로, 컴퓨터는 다른 디바이스, 예를 들어, 모바일 전화, 개인 휴대 정보 단말기(PDA), 모바일 오디오 또는 비디오 플레이어, 게임 콘솔, GPS 수신기 또는 휴대용 저장 디바이스 예를 들어, 범용 직렬 버스(USB) 플래시 드라이브에 내장될 수 있다. 컴퓨터 프로그램 명령어들 및 데이터를 저장하기에 적합한 디바이스들은 예를 들어, EPROM, EEPROM 및 플래시 메모리 디바이스들과 같은 반도체 메모리 디바이스들; 예를 들어, 내부 하드 디스크들 또는 이동식 디스크들과 같은 자기 디스크들; 및 CD-ROM 및 DVD-ROM 디스크들을 포함하는 모든 형태의 비휘발성 메모리, 매체 및 메모리 디바이스들을 포함한다. 프로세서 및 메모리는 특수 목적 논리 회로에 의해 보충되거나 그 안에 통합될 수 있다.
사용자와의 인터렉션을 제공하기 위해, 본 명세서에서 기술된 본 발명의 구현예들은 사용자에게 정보를 디스플레이하기 위해 예를 들어, CRT(cathode ray tube) 또는 LCD(liquid crystal display) 모니터와 같은 디스플레이 디바이스 및 사용자가 컴퓨터에 입력을 제공할 수 있는 키보드 및 포인팅 디바이스 예를 들어, 마우스 또는 트랙볼을 갖는 컴퓨터에서 구현될 수 있다. 다른 종류의 디바이스들도 사용자와의 인터렉션을 제공하는데 사용될 수 있다. 예를 들어, 사용자에게 제공되는 피드백은 시각 피드백, 청각 피드백 또는 촉각 피드백과 같은 임의의 형태의 감각적 피드백일 포함할 수 있고, 사용자로부터의 입력은 음향, 음성 또는 촉각 입력을 포함하는 임의의 형태로 수신될 수 있다. 추가로, 컴퓨터는 사용자에 의해 사용되는 디바이스에 문서를 송수신함으로써 예를 들어, 웹 브라우저로부터 수신된 요청에 응답하여, 사용자의 사용자 디바이스상의 웹 브라우저에 웹 페이지를 전송함으로써 사용자와 인터렉션할 수 있다.
본 명세서에서 기술된 발명의 구현예는 예를 들어 데이터 서버와 같은 백엔드 컴포넌트, 애플리케이션 서버와 같은 미들웨어 컴포넌트 또는 그래픽 사용자 인터페이스를 가지는 사용자 컴퓨터 또는 사용자가 본 명세서에 기술된 본 발명의 구현예와 인터렉션할 수 있는 웹 브라우저와 같은 프론트엔드 컴포넌트 또는 하나 이상의 상기 백엔드, 미들웨어 또는 프론트엔드 컴포넌트들의 임의의 조합을 포함하는 컴퓨팅 시스템에서 구현될 수 있다. 시스템의 컴포넌트들은 디지털 데이터 통신의 임의의 형태 또는 매체, 예를 들어 통신 네트워크에 의해 상호연결될 수 있다. 통신 네트워크들의 예는 근거리 통신망("LAN") 및 광역 통신망("WAN"), 인터-네트워크(예를 들어, 인터넷) 및 피어투피어 네트워크(예를 들어, 애드혹 피어투피어 네트워크)를 포함한다.
발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템 140), 클라이언트 컴퓨팅 시스템(105) 및 키 관리자 컴퓨팅 시스템(130)과 같은 컴퓨팅 시스템은 클라이언트 및 서버를 포함할 수 있다. 예를 들어, 발급자 컴퓨팅 시스템(115), 검증자 컴퓨팅 시스템(140), 클라이언트 컴퓨팅 시스템(105) 및 키 관리자 컴퓨팅 시스템(130)은 하나 이상의 데이터 센터 또는 서버 팜에 하나 이상의 서버를 포함할 수 있다. 사용자와 서버는 일반적으로 서로 멀리 떨어져 있으며, 일반적으로 통신 네트워크를 통해 인터렉션한다. 사용자와 서버의 관계는 각각의 컴퓨터에서 실행되고 서로 사용자-서버 관계를 갖는 컴퓨터 프로그램에 의해 발생한다. 일부 구현예에서, 서버는(예를 들어, 사용자 디바이스와 인터렉션하는 사용자에게 데이터를 디스플레이하고 사용자 입력을 수신하기 위해) 사용자 디바이스에 데이터(예를 들어, HTML 페이지)를 전송한다. 사용자 디바이스에서 생성된 데이터(예를 들어, 사용자 인터렉션의 결과)는 서버에서 사용자 디바이스로부터 수신될 수 있다.
본 명세서는 많은 특정 구현 세부내용을 포함하지만, 이들은 본 발명의 범위 또는 청구될 수 있는 범위에 대한 제한으로서 해석되어서는 안되며, 오히려 본 명세서에 기술된 시스템 및 방법의 특정한 구현예에 특정한 구성들에 대한 설명으로 해석되어야 한다. 별개의 구현예의 맥락에서 본 명세서에서 기술되는 일정 구성들은 또한 단일 구현예에서 조합하여 구현될 수 있다. 반대로, 단일 구현예의 맥락에서 기술된 다양한 구성들은 또한 다수의 구현예에서 개별적으로 또는 임의의 적합한 서브 조합으로 구현될 수 있다. 게다가, 구성들은 일정 조합으로 동작하고 심지어 초기적으로 그렇게 청구되는 것으로서 상기에서 기술될 수 있지만, 청구된 조합으로부터의 하나 이상의 구성들은 일부 경우, 조합으로부터 제거될 수 있고, 청구된 조합은 서브 조합 또는 서브 조합의 변형으로 안내될 수 있다.
유사하게, 동작들이 특정한 순서로 도면에서 도시되었지만, 이는 상기 동작들이 도시된 특정한 순서로 또는 시계열적 순서로 수행되어야 함을 요구하는 것으로서 또는 모든 도시된 동작들이 수행되어야 하는 것으로 이해되어서는 안된다. 일부 경우에, 청구항들에서 기재된 액션들은 상이한 순서로 수행되고 여전히 원하는 결과들을 달성할 수 있다. 추가로, 첨부 도면들에 도시된 프로세스들은 원하는 결과들을 달성하기 위해 특정한 도시된 순서, 또는 시계열적 순서를 반드시 필요로 하지 않는다.
특정 환경에서, 멀티태스킹과 병렬 프로세싱은 이점이 있다. 게다가, 상기 기술된 구현예에서 다양한 시스템 컴포넌트들의 분리는 모든 구현예에서 그러한 분리가 필요한 것으로서 이해되어서는 안되며, 일반적으로 기술된 프로그램 컴포넌트들 및 시스템들은 단일의 소프트웨어 제품에 함께 통합되거나 다수의 소프트웨어 제품들에 패키징될 수 있다고 이해되어야 한다. 예를 들어, 토큰 서명자 컴포넌트(120) 및 암호화 키 컴포넌트(125)는 발급자 컴퓨팅 시스템(115)의 일부, 단일 모듈, 하나 이상의 프로세싱 모듈을 갖는 논리 디바이스, 하나 이상의 서버 또는 검색 엔진의 일부일 수 있다.
일부 예시적 구현 및 구현예들을 설명하였지만, 전술한 예는 예시적인 것이며 제한적인 것은 아니며 예시로서 제시되었다. 특히, 본 명세서에 제시된 많은 예들이 방법 동작들 또는 시스템 엘리먼트들의 특정 조합을 포함하지만, 그러한 동작들 및 엘리먼트들은 동일한 목적을 달성하기 위해 다른 방식으로 결합될 수 있다. 하나의 구현예와 관련하여 논의된 동작, 엘리먼트 및 구성들은 다른 구현 또는 구현예에서 유사한 역할로부터 배제되지 않는다.
본 명세서에서 사용된 문구 및 용어는 설명의 목적을 위한 것이며 제한적인 것으로 간주되어서는 안된다. "포함(including)" "포함(comprising)" "포함(having)" "포함(containing)" "포함(involving)" "포함(characterized by)" "포함(characterized in that)" 및 본 명세서에서 이들의 변형들은 열거된 아이템들, 그 균등물 및 추가 아이템들뿐만 아니라 배타적으로 열거된 아이템들로 구성되는 대안적 구현예들을 포함하는 것을 의미한다. 일 구현예에서, 본 명세서에 기술된 시스템 및 방법은 설명된 엘리먼트들, 동작들 또는 컴포넌트들 중 하나, 하나 이상의 조합 또는 전부로 구성된다.
단수형으로 본 명세서에서 언급된 시스템 및 방법의 구현 또는 엘리먼트에 관한 참조는 이들 엘리먼트들 복수형을 포함하는 구현예들을 포함할 수 있고, 복수형으로 본 명세서에서 언급된 임의의 구현예 또는 엘리먼트에 대한 임의의 참조는 단수형 엘리먼트를 포함하는 구현예들을 포함할 수 있다. 단수 또는 복수 형태의 참조는 현재 개시된 시스템 또는 방법, 그들의 컴포넌트들, 동작 또는 엘리먼트를 단수 또는 복수 구성으로 제한하려는 것이 아니다. 임의의 정보, 동작 또는 엘리먼트에 기초한 임의의 동작 또는 엘리먼트에 대한 참조는 해당 동작 또는 엘리먼트가 적어도 부분적으로 임의의 정보, 동작 또는 엘리먼트에 기초하는 구현예를 포함할 수 있다.
본 명세서에 개시된 임의의 구현예는 임의의 다른 구현예와 결합될 수 있으며, "구현", "일부 구현", "대안적 구현", "다양한 구현", "하나의 구현" 등은 반드시 상호 배타적이지 않고, 구현예과 관련하여 기술된 특정한 구성, 구조 또는 특성이 적어도 하나의 구현예에 포함될 수 있음을 나타내는 것이다. 본 명세서에 사용된 용어들은 반드시 모두 동일한 구현예를 지칭하는 것은 아니다. 임의의 구현예는 본 명세서에 개시된 양태들 및 구현예들과 일관된 방식으로 임의의 다른 구현예와 포괄적으로 또는 배타적으로 결합될 수 있다.
"또는"에 대한 참조는 "또는"을 사용하여 기술된 임의의 용어가 기술된 용어들 중 하나, 하나 이상 및 전부를 나타낼 수 있도록 포괄적인 것으로 해석될 수 있다.
도면, 상세한 설명 또는 청구범위의 기술적 구성에 참조 부호가 있는 경우, 상기 참조 부호는 도면, 상세한 설명 및 청구 범위의 명료성을 증가시키는 목적으로만으로 포함되었다. 따라서, 참조 부호들 또는 그것들의 부재는 임의의 청구항 엘리먼트들의 범위에 대해 어떠한 제한 효과도 가지지 않는다.
본 명세서에 기술된 시스템 및 방법은 그 특성을 벗어나지 않고 다른 특정 형태로 구체화될 수 있다. 본 명세서에서 제공된 예시들은 정보 리소스의 콘텐츠의 디스플레이를 제어하는 것에 관한 것이지만, 본 명세서에 기술된 시스템 및 방법은 다른 환경에 적용되는 것을 포함할 수 있다. 전술한 구현예들은 기술된 시스템 및 방법을 제한하는 것이라기 보다는 예시적인 것이다. 따라서, 본 명세서에 기술된 시스템 및 방법의 범위는 상술한 설명보다는 첨부된 청구범위에 의해 표시되며, 청구범위의 의미 및 범위 내에서의 변경들도 그 안에 포함된다.

Claims (20)

  1. 방법으로서,
    제1 서버에 의해, 클라이언트 디바이스로부터, 상기 클라이언트 디바이스의 디바이스 정보를 특정하는 데이터를 수신하는 단계;
    상기 제1 서버에 의해, 디지털 서명된 토큰을 생성하기 위해 상기 제1 서버의 개인 키를 사용하여 상기 데이터에 디지털 서명하는 단계;
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 생성하기 위해 상기 디지털 서명된 토큰의 다수의 인스턴스를 암호화하는 단계, 상기 디지털 서명된 토큰의 암호화된 버전의 상이한 인스턴스는 각각의 상이한 서드파티 서버의 각각의 상이한 공개 키로 각각 암호화되며;
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하는 복합 토큰을 생성하는 단계; 및
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하는 복합 토큰을 상기 클라이언트 디바이스에 전송하는 단계를 포함하는, 방법.
  2. 청구항 1에 있어서, 상기 데이터는 상기 클라이언트 디바이스에 의해 생성된 제1 당사자 토큰을 포함하는, 방법.
  3. 청구항 2에 있어서, 상기 제1 당사자 토큰은 상기 제1 서버의 도메인과 연관되는, 방법.
  4. 청구항 2에 있어서, 상기 제1 당사자 토큰은 상기 클라이언트 디바이스와 연관된 브라우저 정보에 부분적으로 기초하여 생성되는, 방법.
  5. 청구항 2에 있어서, 상기 데이터는 상기 클라이언트 디바이스에 의해 생성된 상기 제1 당사자 토큰에 대응하는 타임스탬프를 더 포함하는, 방법.
  6. 청구항 5에 있어서, 상기 타임스탬프는 적어도 64 비트의 고해상도 타임스탬프를 포함하는, 방법.
  7. 시스템으로서,
    하나 이상의 하드웨어 프로세서를 포함하며, 상기 하나 이상의 하드웨어 프로세서는:
    제1 서버에 의해, 클라이언트 디바이스로부터, 상기 클라이언트 디바이스의 디바이스 정보를 특정하는 데이터를 수신하고;
    상기 제1 서버에 의해, 디지털 서명된 토큰을 생성하기 위해 상기 제1 서버의 개인 키를 사용하여 상기 데이터에 디지털 서명하고;
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 생성하기 위해 상기 디지털 서명된 토큰의 다수의 인스턴스를 암호화하고, 상기 디지털 서명된 토큰의 암호화된 버전의 상이한 인스턴스는 각각의 상이한 서드파티 서버의 각각의 상이한 공개 키로 각각 암호화되며;
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하는 복합 토큰을 생성하고; 그리고
    상기 제1 서버에 의해, 상기 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하는 복합 토큰을 상기 클라이언트 디바이스에 전송하도록 구성되는, 시스템.
  8. 청구항 7에 있어서, 상기 데이터는 상기 클라이언트 디바이스에 의해 생성된 제1 당사자 토큰을 포함하는, 시스템.
  9. 청구항 8에 있어서, 상기 제1 당사자 토큰은 상기 제1 서버의 도메인과 연관되는, 시스템.
  10. 청구항 8에 있어서, 상기 제1 당사자 토큰은 상기 클라이언트 디바이스와 연관된 브라우저 정보에 부분적으로 기초하여 생성되는, 시스템.
  11. 청구항 8에 있어서, 상기 데이터는 상기 클라이언트 디바이스에 의해 생성된 상기 제1 당사자 토큰에 대응하는 타임스탬프를 더 포함하는, 시스템.
  12. 청구항 11에 있어서, 상기 타임스탬프는 적어도 64 비트의 고해상도 타임스탬프를 포함하는, 시스템.
  13. 방법으로서,
    검증 당사자에 의해, 복합 토큰 및 타임스탬프를 수신하는 단계, 상기 복합 토큰은 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하며;
    상기 검증 당사자에 의해, 상기 검증 당사자에 대응하는 상기 디지털 서명된 토큰의 다수의 암호화된 버전 중 하나를 결정하는 단계;
    상기 검증 당사자에 의해, 상기 검증 당사자의 개인 키를 사용하여 상기 검증 당사자에 대응하는 상기 결정된 디지털 서명된 토큰의 암호화된 버전을 디코딩하는 단계;
    상기 검증 당사자에 의해, 제1 서버에 대응하는 공개 키를 사용하여, 제1 당사자 토큰을 생성하기 위해 상기 디지털 서명된 토큰의 디지털 서명의 유효성을 검증하는 단계, 상기 제1 당사자 토큰은 유효한 제1 당사자 디바이스 토큰 또는 유효한 제1 당사자 브라우저 토큰을 포함하며;
    상기 검증 당사자에 의해, 상기 제1 당사자 토큰을 프로세싱하는 단계를 포함하는, 방법.
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 청구항 13에 있어서, 상기 검증 당사자에 의해, 제1 서버에 대응하는 공개 키를 사용하여, 제1 당사자 토큰을 생성하기 위해 상기 디지털 서명된 토큰의 디지털 서명의 유효성을 검증하는 단계는:
    상기 디지털 서명된 토큰과 상기 타임스탬프를 상기 복합 토큰의 암호화되지 않은 토큰과 비교하는 단계를 포함하는, 방법.
  19. 삭제
  20. 시스템으로서,
    하나 이상의 하드웨어 프로세서를 포함하며, 상기 하나 이상의 하드웨어 프로세서는:
    검증 당사자에 의해, 복합 토큰 및 타임스탬프를 수신하고, 상기 복합 토큰은 디지털 서명된 토큰의 다수의 암호화된 버전을 포함하며;
    상기 검증 당사자에 의해, 상기 검증 당사자에 대응하는 상기 디지털 서명된 토큰의 다수의 암호화된 버전 중 하나를 결정하고;
    상기 검증 당사자에 의해, 상기 검증 당사자의 개인 키를 사용하여 상기 검증 당사자에 대응하는 상기 결정된 디지털 서명된 토큰의 암호화된 버전을 디코딩하고;
    상기 검증 당사자에 의해, 제1 서버에 대응하는 공개 키를 사용하여, 제1 당사자 토큰을 생성하기 위해 상기 디지털 서명된 토큰의 디지털 서명의 유효성을 검증하고, 상기 제1 당사자 토큰은 유효한 제1 당사자 디바이스 토큰 또는 유효한 제1 당사자 브라우저 토큰을 포함하며; 그리고
    상기 검증 당사자에 의해, 상기 제1 당사자 토큰을 프로세싱하도록 구성되는, 시스템.
KR1020227014098A 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법 KR102538032B1 (ko)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US201962840204P 2019-04-29 2019-04-29
US62/840,204 2019-04-29
US16/553,599 2019-08-28
US16/553,599 US11102004B2 (en) 2019-04-29 2019-08-28 Systems and methods for distributed verification of online identity
KR1020217025716A KR102392718B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법
PCT/US2020/028353 WO2020223020A1 (en) 2019-04-29 2020-04-15 Systems and methods for distributed verification of online identity

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020217025716A Division KR102392718B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220058663A KR20220058663A (ko) 2022-05-09
KR102538032B1 true KR102538032B1 (ko) 2023-05-30

Family

ID=72916599

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020217025716A KR102392718B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법
KR1020207026660A KR102291623B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법
KR1020227014098A KR102538032B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020217025716A KR102392718B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법
KR1020207026660A KR102291623B1 (ko) 2019-04-29 2020-04-15 온라인 신원의 분산 검증을 위한 시스템 및 방법

Country Status (6)

Country Link
US (2) US11102004B2 (ko)
EP (3) EP3759888B1 (ko)
JP (2) JP6977182B2 (ko)
KR (3) KR102392718B1 (ko)
CN (2) CN115242379A (ko)
WO (1) WO2020223020A1 (ko)

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11552997B2 (en) * 2018-02-06 2023-01-10 Akamai Technologies, Inc. Secure request authentication for a threat protection service
US11102004B2 (en) * 2019-04-29 2021-08-24 Google Llc Systems and methods for distributed verification of online identity
US11233772B1 (en) * 2019-11-27 2022-01-25 Worldpay, Llc Methods and systems for secure cross-platform token exchange
US10915888B1 (en) * 2020-04-30 2021-02-09 Capital One Services, Llc Contactless card with multiple rotating security keys
US11258691B2 (en) * 2020-07-09 2022-02-22 Verizon Patent And Licensing Inc. Systems and methods for tracking and calculating granular network performance metrics based on user traffic
CN113761549A (zh) * 2020-11-04 2021-12-07 北京沃东天骏信息技术有限公司 一种接口安全控制、校验方法和装置
US20220217136A1 (en) * 2021-01-04 2022-07-07 Bank Of America Corporation Identity verification through multisystem cooperation
US11637818B2 (en) * 2021-01-29 2023-04-25 Zoom Video Communications, Inc. Securely recording and retrieving encrypted video conferences
US20220385662A1 (en) * 2021-06-01 2022-12-01 Cisco Technology, Inc. Transferring verifiable address rights between devices of a data center (dc) network
CN113923482A (zh) * 2021-09-02 2022-01-11 北京奇艺世纪科技有限公司 一种视频播放方法、系统、电子设备及存储介质
TWI811178B (zh) * 2023-02-04 2023-08-01 長茂科技股份有限公司 基於多方多因子動態強加密認證之資通安全方法與系統

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012490A (ja) 2003-06-19 2005-01-13 Hitachi Ltd ディジタル署名方式
US8364968B2 (en) 2006-05-19 2013-01-29 Symantec Corporation Dynamic web services systems and method for use of personal trusted devices and identity tokens
JP2018092446A (ja) 2016-12-05 2018-06-14 キヤノン株式会社 認証認可システム及び情報処理装置と認証認可方法とプログラム
KR102291623B1 (ko) * 2019-04-29 2021-08-19 구글 엘엘씨 온라인 신원의 분산 검증을 위한 시스템 및 방법

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2638525B2 (ja) * 1994-08-03 1997-08-06 日本電気株式会社 電子署名検証装置
JPH11143359A (ja) * 1997-11-11 1999-05-28 Mitsubishi Materials Corp 暗号化装置、復号化装置、および情報共有システム、並びに、暗号化方法、復号化方法、情報処理方法、並びに記録媒体
US7167985B2 (en) * 2001-04-30 2007-01-23 Identrus, Llc System and method for providing trusted browser verification
US7562222B2 (en) * 2002-05-10 2009-07-14 Rsa Security Inc. System and method for authenticating entities to users
US7401224B2 (en) * 2002-05-15 2008-07-15 Qualcomm Incorporated System and method for managing sonic token verifiers
WO2005062919A2 (en) * 2003-12-22 2005-07-14 Wachovia Corporation Public key encryption for groups
US7789294B2 (en) * 2005-02-18 2010-09-07 Ebet Systems Pty Ltd System and method for monitoring a validator
US8406421B2 (en) * 2005-10-13 2013-03-26 Passban, Inc. Method and system for multi-level secure personal profile management and access control to the enterprise multi-modal communication environment in heterogeneous convergent communication networks
JP4290179B2 (ja) * 2006-06-15 2009-07-01 キヤノン株式会社 署名検証装置、及び、その制御方法、プログラム、記憶媒体
US8359643B2 (en) * 2008-09-18 2013-01-22 Apple Inc. Group formation using anonymous broadcast information
US20120110343A1 (en) * 2010-10-29 2012-05-03 Bandic Zvonimir Z Trustworthy timestamps on data storage devices
US8752143B2 (en) * 2011-08-15 2014-06-10 Bank Of America Corporation Method and apparatus for token-based reassignment of privileges
US10423952B2 (en) * 2013-05-06 2019-09-24 Institutional Cash Distributors Technology, Llc Encapsulated security tokens for electronic transactions
US9594888B1 (en) * 2012-06-25 2017-03-14 EMC IP Holding Company LLC User authentication device
JP2014022920A (ja) * 2012-07-18 2014-02-03 Nec Corp 電子署名システム、電子署名方法および電子署名プログラム
GB201309702D0 (en) * 2013-05-30 2013-07-17 Certivox Ltd Security
CN103391197B (zh) * 2013-07-19 2016-06-08 武汉大学 一种基于手机令牌和NFC技术的Web身份认证方法
US9536065B2 (en) * 2013-08-23 2017-01-03 Morphotrust Usa, Llc System and method for identity management
CN105765595B (zh) * 2013-10-04 2020-07-14 迪科特公司 用于验证标识令牌的系统和方法
US20150370272A1 (en) * 2014-06-23 2015-12-24 Google Inc. Intelligent configuration of a smart environment based on arrival time
US9420463B2 (en) * 2014-09-30 2016-08-16 Sap Se Authorization based on access token
KR102305825B1 (ko) * 2014-10-31 2021-09-27 삼성에스디에스 주식회사 토큰을 이용한 결제 방법 및 그 장치
US10110385B1 (en) * 2014-12-22 2018-10-23 Amazon Technologies, Inc. Duress signatures
US9843592B2 (en) * 2015-10-14 2017-12-12 Sony Interactive Entertainment America Llc Fast multicast messaging encryption and authentication
EP3188104A1 (en) 2015-12-31 2017-07-05 Luxembourg Institute of Science and Technology (LIST) Peer-to-peer transaction authorization
JP6476402B2 (ja) * 2016-05-20 2019-03-06 システムメトリックス株式会社 認証システム
WO2018099577A1 (en) * 2016-12-02 2018-06-07 Ecole Polytechnique Federale De Lausanne (Epfl) System and method for providing a collective decentralized authority for sharing sensitive data
US10764272B1 (en) * 2017-01-13 2020-09-01 Walgreen Co. Secured automatic user log-in at website via personal electronic device
CN108471395B (zh) 2017-02-23 2019-12-17 华为技术有限公司 实现认证/授权的方法、装置、云计算系统及计算机系统
US10505733B2 (en) * 2017-09-25 2019-12-10 Citrix Systems, Inc. Generating and managing a composite identity token for multi-service use
CN108092776B (zh) * 2017-12-04 2020-11-10 南京南瑞信息通信科技有限公司 一种基于身份认证服务器和身份认证令牌的系统
US11095706B1 (en) * 2018-03-21 2021-08-17 Pure Storage, Inc. Secure cloud-based storage system management
US10957190B2 (en) * 2018-06-28 2021-03-23 Intel Corporation Traffic management system, components of a distributed traffic management system, prioritization/load-distribution system, and methods thereof
EP3965358A1 (en) * 2020-09-04 2022-03-09 Thales DIS France SA Method for secure, traceable and privacy-preserving digital currency transfer with anonymity revocation on a distributed ledger

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005012490A (ja) 2003-06-19 2005-01-13 Hitachi Ltd ディジタル署名方式
US8364968B2 (en) 2006-05-19 2013-01-29 Symantec Corporation Dynamic web services systems and method for use of personal trusted devices and identity tokens
JP2018092446A (ja) 2016-12-05 2018-06-14 キヤノン株式会社 認証認可システム及び情報処理装置と認証認可方法とプログラム
KR102291623B1 (ko) * 2019-04-29 2021-08-19 구글 엘엘씨 온라인 신원의 분산 검증을 위한 시스템 및 방법

Also Published As

Publication number Publication date
KR102291623B1 (ko) 2021-08-19
US20210385086A1 (en) 2021-12-09
EP3759888A1 (en) 2021-01-06
EP4240039A2 (en) 2023-09-06
WO2020223020A1 (en) 2020-11-05
JP6977182B2 (ja) 2021-12-08
US20200344058A1 (en) 2020-10-29
JP2022031707A (ja) 2022-02-22
EP3759888B1 (en) 2021-04-28
KR102392718B1 (ko) 2022-04-29
CN112154638B (zh) 2022-06-14
KR20210103588A (ko) 2021-08-23
EP3866390A1 (en) 2021-08-18
US11102004B2 (en) 2021-08-24
EP4240039A3 (en) 2023-11-15
CN115242379A (zh) 2022-10-25
KR20200128042A (ko) 2020-11-11
EP3866390B1 (en) 2023-10-18
KR20220058663A (ko) 2022-05-09
JP2021516022A (ja) 2021-06-24
CN112154638A (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
KR102538032B1 (ko) 온라인 신원의 분산 검증을 위한 시스템 및 방법
US20220286440A1 (en) Secure Media Delivery
CN109891907B (zh) 使用可信平台模块验证在客户端设备处对视频内容的渲染
EP4022845B1 (en) Cryptographically secure data protection
US20230050222A1 (en) Cryptographically secure request verification
US11949688B2 (en) Securing browser cookies
KR102639228B1 (ko) 익명 이벤트 증명
CN112997462B (zh) 用于保护数据的系统和方法
CN114553570B (zh) 生成令牌的方法、装置、电子设备及存储介质
GB2612217A (en) Secure media delivery
JP2022533874A (ja) 電気通信ネットワーク測定におけるデータ操作の防止およびユーザのプライバシーの保護

Legal Events

Date Code Title Description
A107 Divisional application of patent
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant