KR20000005527A

KR20000005527A - 주기적인 챌린지/응답 프로토콜을 근거로 한 인증시스템

Info

Publication number: KR20000005527A
Application number: KR1019980708323A
Authority: KR
Inventors: 데렉 엘. 데이비스; 라이오넬 스미스
Original assignee: 카알 실버맨; 인텔 코오퍼레이션
Priority date: 1996-04-17
Filing date: 1997-03-14
Publication date: 2000-01-25
Also published as: AU2211297A; HK1016772A1; EP0888677A4; EP0888677B1; DE69730128D1; EP0888677A1; WO1997039553A1; US6088450A; DE69730128T2; TW377411B

Abstract

승인된 사용자의 노드로의 근접을 근거로 하여 컴퓨터, 도어 제어 메카니즘, 또는 다른 다중 제품과 같은 노드의 작동 상태를 제어하는 무선 인증 시스템. 무선 인증 시스템은 노드(110)내에 구현되어 있는 보안 장치와 승인된 사용자가 소유하고 있는 사용자 인증 토큰("토큰")를 포함한다. 챌린지/응답 프로토콜(140)은 보안 장치와 토큰(120)사이에 구성되어 있다. 보안 장치와 토큰(120)사이의 성공적인 제 1 챌린지/응답 메시지 상호 전송은 노드(110)를, 승인된 사용자가 노드(110)의 접속된 자원 및/또는 내용에 접근하게 하는 작동 상태로 맞춘다. 나중의 챌린지/응답 메시지 상호 전송은 토큰을 소유하고 있는 승인된 사용자가 노드(110)가 비작동 상태로 있도록 하여서 노드(110)를 방치하였는지를 주기적으로 체크하도록 설정되어 있다.

Description

주기적인 챌린지/응답 프로토콜을 근거로 한 인증 시스템

본 출원의 발명자는 다수의 계류중인 미국 특허 출원: "Apparatus and Method for Providing Secured Communications"(출원 번호 08/578,177), "Secured Method for Providing Secured Communications"(출원 번호 08/538,869), "Method For Providing A Roving Software License In A Hardware Agent-Based System"(출원 번호 08/472,951), "Key Cache Security System"(출원 번호 08/365,347), 및 "Apparatus and Method for a Vetted Field Upgrade"(출원 번호 08/316,211)으로 출원되었고, 미국 특허 "Roving Software License For A Hardware Agent"(미국 특허 번호 5,473,692)로 특허되었다. 이러한 출원은 본 발명의 동일 양도인의 소유이다.

퍼스널 컴퓨터(PC)가 업무상 전세계적으로 보다 보급됨에 따라, 승인없이 사용하는 것을 방지하기 위해 보안하는 것이 보다 중요해지고 있다. 이미, 개인의 퍼스널 컴퓨터를 약간 효과적으로 보안하는 다수의 인증 시스템이 존재한다. 예를 들어, 공지된 한가지 유형의 종래의 인증 시스템은 개인이 이미 선택한 패스워드로 정확하게 타이핑함으로써 퍼스널 컴퓨터에 통신 접속된 내용과 자원에 접근하게 되어 있는 "패스워드식" 시스템이다. 그러나, 패스워드식 시스템은 (i) 개인의 패스워드를 알아내는데 사용될 수 있는 소프트웨어와 (ii) 개인의 패스워드를 다른 사람에게 털어 놓거나 오랫동안 동일 패스워드를 사용하는 것과 같은 "인간의" 보통의 실수에 영향을 받을 수 있다. 더욱이, 패스워드식 시스템은, 사용자가 일을 마치기 전에 개인의 퍼스널 컴퓨터를 끄지 못하거나, 잠깐 사무실을 떠나지만(예, 점심, 회의 참석등) 퍼스널 컴퓨터가 작동하는 상태로, 즉 작동 상태로 있어야 하는 상황에서, 개인의 퍼스널 컴퓨터가 승인없이 사용되는 위험성을 완화하는 어떠한 메카니즘도 제공하지 못한다.

다른 예는 개인의 퍼스널 컴퓨터가 소정의 시간동안 사용이 되지 않는다면, 자동적으로 꺼지는 패스워드 보호식 화면 보호기이다. 이러한 인증 시스템은 일반적으로 이 상태는 사용자가 컴퓨터에 근접하고 있는지가 아니라, 컴퓨터를 사용하고 있는지 여부에 의존하기 때문에, 사용자에게는 방해가 된다. 따라서, 사용자가 잠시 전화를 사용하고 있을 경우, 컴퓨터는 오해하여 꺼지고 사용자에게 다시 로그 인을 요구한다. 따라서, 사용자가 컴퓨터를 끄지 않고 사무실을 벗어났을 때 컴퓨터의 내용을 보호하려는 목적에서 벗어나는 장기간의 화면 보호기의 "타임 아웃"이 설정된다.

약간 효과적인 다른 인증 시스템은, 신용 카드 형태의 요소로 실행되는 집적 회로로 되어 있는 "스마트 카드", PCMCIA 카드, 또는 자기 스트라이프식 카드(이하 "토큰 카드")는 퍼스널 컴퓨터에 물리적으로 및/또는 전기적으로 접근하는데 사용되는 "카드식" 시스템이다. 일반적으로, 토큰 카드는 컴퓨터에 연결된 판독 디바이스와 물리적으로 접촉하게 위치되거나, 퍼스널 컴퓨터가 있는 영역(예, 사무실, 연구실등)에 위치되어, 퍼스널 컴퓨터의 지정된 슬롯에 삽입될 수 있다. 이러한 토큰 카드는 그 카드의 소유자가 퍼스널 컴퓨터의 사용 승인을 받는 것을 확인하는 데 사용된다. 토큰 카드의 유형에 따라서, 퍼스널 컴퓨터에 의해 발생되는 챌린지에 응답하여, 정적이 될 수 있지만, "토큰"(즉, 코드), 보통 난수를 제공함으로써, 정보에 대한 요구(즉, "챌린지 메시지")에 응답하는 토큰 카드에 의해 이러한 확인이 실행된다. 더 정교한 토큰 카드의 경우에, 이러한 요구는, 그 토큰 카드가 올바른 "응답"을 제공하기 위해 먼저 처리하여야 하는 랜덤 "챌린지"의 형태가 될 것이다. 이러한 유형의 인증 시스템이 패스워드식 시스템보다 더 높은 보안성을 제공하지만, 사용자가 퍼스널 컴퓨터에 접근하고 부재동안에 그 카드를 제거하거나 그 퍼스널 컴퓨터를 작동 불가능하게 하지 않고 얼마 동안 그 퍼스널 컴퓨터를 방치하는 곳에서의 문제점을 여전히 해결하지 못한다.

이러한 이유로, 그 퍼스널 컴퓨터와의 물리적인 접속을 필요로 하지 않고 그 컴퓨터 근처 또는 내에 실수로 토큰 카드를 방치하는 것을 완화시키는 무선 인증 시스템을 개발하고자 한다. 현재 시장에는 매사추세츠, 캠블리지의 시큐리티 다이나믹 인코퍼레이티드와 캘리포니아, 마운틴 뷰의 디지털 패트웨이에 의해 제공되는 시스템과 같은 일부 인증 시스템이 있지만, 그 시스템은 그 퍼스널 컴퓨터의 승인된 사용자가 소정 시간동안에 그 퍼스널 컴퓨터를 그대로 방치하였는지를 확인하는 주기적인 챌린지/응답 프로토콜을 활용하지 못한다.

본 발명은 데이터 보안에 관한 것이다. 더 상세하게, 본 발명은 주기적인 챌린지/응답 메시지를 통해 전자 디바이스를 승인없이 사용할 가능성을 완화하는 무선 인증 시스템에 관한 것이다.

본 발명의 특징과 장점은 본 발명의 다음의 상세한 설명으로부터 더 분명해질 것이다.

도 1은 사용자와 그 토큰의 접근을 질의하는 챌린지 메시지를 주기적으로 생성하는 퍼스널 컴퓨터와 그 챌린지 메시지에 응답하는 응답 메시지를 생성하는 토큰을 포함하는 무선 인증 시스템의 사시도,

도 2는 도 1의 퍼스널 컴퓨터의 일반적인 아키텍처의 블록도,

도 3은 도 2에 도시된 노드내에 사용된 보안 장치의 실시예의 블록도,

도 4는 도 1의 토큰의 실시예의 블록도.

도 5는 주기적인 챌린지 및 응답 메시지를 통해 노드의 내용 및 접속된 자원의 보전을 보호할 때에 무선 인증 시스템에 의해 착수되는 진행 단계를 설명하는 흐름도,

도 6A-6C는 챌린지/응답 프로토콜의 세가지 실시예의 블록도,

도 7A-7B는 노드의 미승인 접근에 대하여 보안하는 토큰을 구성하는 작동의 실시예.

제 1 노드(예, 컴퓨터)의 작동 상태를 제어하는 무선 인증 시스템은 제 1 노드 사용을 승인된 사용자의 근접을 근거로 한다. 이 무선 인증 시스템은 제 1 노드내에서 실행되는 보안 장치와 승인된 사용자 소유의 사용자 인증 토큰(예, 착용, 이동, 등)을 포함한다. 보안 장치는 챌린지 메시지를 발생시켜 토큰에 전송한다. 이것의 응답으로, 토큰이 보안 장치로부터 소정 거리내에 있다면, 응답 메시지를 발생시켜 보안 장치에 전송한다. 그 다음에, 승인된 사용자는 제 1 노드가 작동 상태에 있기 때문에 제 1 노드에 접근할 수 있다.

차후, 보안 장치는, 토큰을 정상적으로 착용하고 있는 승인된 사용자가 제 1 노드를 방치하였는지를 체크하기 위해, 선택된 간격으로 다른 챌린지 메시지를 발생시키고 전송한다. 토큰이 제 1 노드에 근접하고 있음을 올바르게 표시하면서 응답하면, 제 1 노드는 그 작동 상태를 유지한다. 그 반대이면, 제 1 노드는 더 이상 접근을 불허하는 미작동 상태로 들어간다.

본 발명은 주기적인 양방향 통신을 통해, 사용자 인증 토큰을 착용한 개인이 노드로부터 소정 거리(근접)내에 있는지를 확인할 때만, 작동 상태를 유지하는 무선 인증 시스템에 관한 것이다. 다음의 설명에서, 다수의 특정 세목이 설명되었지만, 당업자는 이러한 정확한 세목이 본 발명을 실행하는 데 필요하지 않다는 것을 알고 있다. 유사하게, 공지된 특정 구성 요소, 디바이스, 및 방법이 본발명을 불필요하게 모호하게 하는 것을 피하기 위해 설명되지 않는다.

여기서, 공지된 특정 전문 용어는 일반적으로 아래에 정의된다. 예를 들어, "메시지"는 일반적으로 하나 이상의 일련의 사이클로 전송되는 정보(예, 데이터, 어드레스, 암호 키, 및 다른 정보)로서 정의된다. 일반적인 두가지 유형의 메시지는 노드의 사용자 및 그의 소재를 집합적으로 인증하는 "챌린지" 메시지와 "응답" 메시지이다. "키"는 한 쌍의 공개 및 비밀 키를 사용하는 리베스트, 사미어, 및 에들만("RSA")과 같은 암호계 알고니즘과 두 부분사이에 비밀을 공유하는 비밀 키를 사용하는 데이터 암호화 알고니즘("DES")에 의해 사용되는 인코딩 및 디코딩 파라미터이다. "디지털 증명서"는 두 개의 전자 장치사이에 디지털 정보를 안전하게 전송하기 위해 책임자의 비밀 키(예, 은행, 정부, 무역 협회, 장비 제조인, 회사 비서, 시스템 관리, 등)의 암호화된 디지털 정보(예, 공개 키)로서 정의된다.

도 1을 참조하면, 본 발명의 무선 인증 시스템의 실시예가 도시되어 있다. 무선 인증 시스템(100)은 노드(예, 퍼스널 컴퓨터)(110)내에 구현된 보안 장치(도시 생략)와 승인된 사용자(130)가 착용한 사용자 인증 토큰("토큰")(120)에 관한 것이다. 토큰(120)은 임의 형태로 구성될 수 있고, 바람직하게, 이동하거나 착용하기에 너무 거슬리지 않는 형태로 구성될 수 있다. 토큰으로 사용될 수 있는 형태의 예는 페이저 또는 증명 배지로 제한되지 않는다. 또한, 기능은 셀룰러 전화와 같이 대안으로 다른 장치로 실행될 수 있다. 퍼스널 컴퓨터(110)는 물리적인 접속(예, 퍼스널 컴퓨터(110)가 안테나를 필요로 할 수 있는 라디오 주파수 ("RF") 신호)을 필요로 하지 않는 다른 매개체를 통해 또는 적외선("IR") 방사를 통해, 토큰(120)과의, 도트 라인으로 표시되는 통신 링크(140)를 설치하는 것을 주기적으로 시도한다. 통신 링크(140)는 토큰(120)이 퍼스널 컴퓨터(110)로부터 소정 거리(예, 20피트)내에 있을 때만 설치되고 유지될 수 있다. 무선 인증 시스템이 퍼스널 컴퓨터와 함께 설명되었지만, 컴퓨터(프린터, 대용량 기억장치 등), 도어 잠금 메카니즘(즉, 차고문 오프너, 전자문 잠금 장치)등의 주변 장치와 같은 전자 장치가 되는 노드를 보안하도록 구현될 수 있다.

통신 링크(140)를 설치하면, 보안 장치(도시 생략)와 토큰(120)사이에서, 보통 적어도 한 방향으로 암호 형태로 정보가 상호 전송된다. 토큰(120)이 올바르게 응답하였음을 보안 장치가 결정하면, 사용자(130)에게, 접속된 자원뿐만 아니라, 퍼스널 컴퓨터(110)의 내용(즉, 데이터, 애플리케이션, 및 저장되어 있는 다른 정보)에 접근하는 것을 허가한다.

무선 인증 시스템(100)은 특정 상황에서 퍼스널 컴퓨터(110)에 실수로 액세스하는 것을 방지하기 위해 다른 인증 시스템(패스워드식 시스템, 카드식 시스템 등)과 함께 이용될 수 있다는 것을 알게 된다. 한가지 상황은 토큰(120)을 착용하고 있는 승인된 사용자(130)가 퍼스널 컴퓨터(110)를 사용할 의사없이, 소정 거리내에서 퍼스널 컴퓨터(110)로 걸어 가고 있는 상황이다.

여기서 도 2를 참조하면, 인증 시스템의 보안 장치를 갖춘 퍼스널 컴퓨터(110)의 실시예가 설명되어 있다. 퍼스널 컴퓨터(110)는 보안 장치(210), 무선 인터페이스(215), 및 프로세서 서브시스템(220), 메모리 서브시스템(240), 및 입력/출력("I/O") 서브시스템(260)을 포함한 복수의 서브시스템간에 정보를 통신할 수 있는 제 1 버스를 포함하고 있다. 보안 장치(210)가 도 3에 상세히 설명되어 있고, 무선 인터페이스(215)는 "IR" 또는 아마 "RF" 형태로 메시지를 송수신하도록 구성되어 있는 종래의 인터페이스이다.

도 2에 추가로 도시된 바와 같이, 프로세서 서브시스템(220)은, 단일 프로세서로서 설명되었지만, 퍼스널 컴퓨터(110)내의 다중 프로세서로서 사용될 수 있는 주 프로세서(225)를 포함하고 있다. 버스 신호를 모니터하는 것이 퍼스널 컴퓨터의 밀판 제거나 바이러스 감염에 관련이 없다고 가정하면, 보안 장치(210)는 협조 프로세서의 일예이지만, 인증 작동은 주 프로세서(225)에 의해 수행될 수 있다. 그러나, 주 프로세서는 오픈 플랫폼 아키텍처이기 때문에, 보안 장치(210) 자체의 실행 또는 주 프로세서(225)내의 기능은 인증 작동을 주 프로세서(225)의 정상적인 작동에서 분리할 필요가 있다.

메모리 서브시스템(240)은 제 1 버스(200)에 연결된 메모리 제어기(245)를 포함한다. 메모리 제어기(245)는 동적 임의 접근 메모리("DRAM"), 판독 전용 메모리("ROM"), 비디오 임의 접근 메모리("VRAM")등과 같은 적어도 하나의 메모리 장치(250)로의 액세스를 제어한다. 메모리 장치(250)는 주 프로세서(225)에 의해 사용하기 위한 데이터, 명령, 및 다른 정보를 기억하고 있다.

I/O 서브시스템(260)은 제 1 버스(200)와 제 2 버스(270)(예, 주변 구성 요소 내부 접속 "PCI" 버스, 업계 표준 아키텍처 "ISA" 버스등) 모두에 연결된 I/O 제어기(265)를 포함하고 있다. I/O 제어기(265)는 제 1 버스(200) 또는 제 2 버스(270)에 연결된 장치가 정보를 상호 전송할 수 있는 통신 경로를 제공한다. 제 2 버스(270)는, 디스플레이 장치(275)(예, 음극선관, 액정 디스플레이 등)로 제한되지 않지만, 정보(어드레스, 데이터, 및 제어)를 주 프로세서(225)로 통신하는 영숫자 입력 장치(예, 영숫자 키보드 등); 커서 제어 장치(277)(예, 마우스, 트랙볼, 조이스틱, 터치패드 등); 대용량 데이터 기억 장치(278)(예, 자기 테이프, 하드 디스크 드라이브, 플로피 디스크 드라이브 등); 퍼스널 컴퓨터(110)에서 다른 원격 장치로 정보를 전송하고, 원격 장치로부터 정보를 수신하는 정보 트랜시버 장치(279)(팩스 머신, 모뎀 등); 및 정보를 유형으로 표현하는 하드 카피 장치(280)(예, 플로터, 프린터 등)를 포함하는 적어도 하나의 주변 장치로부터/로 정보가 전송되게 한다. 도 2에 도시된 퍼스널 컴퓨터는 상기 장치 모두 또는 일부 또는 설명된 것과 다른 장치를 사용할 수 있음을 알 수 있다. 예를 들어, 보안 장치(210)는 주 프로세서(225)내의 로컬 버스(도시 생략), 제 1 버스(200)대신에 제 2 버스(270)에 연결될 수 있거나, 대용량 기억 장치(278)와 같은 주변 장치중 하나를 연결하는 버스 라인에 적합할 수 있다.

대안으로, 보안 장치는 자동 분야, 가정 및 회사 보안 분야와 같은 컴퓨터 분야에서 벗어나 접근 제어 목적으로 사용될 수 있다. 보안 장치와 토큰 결합체는 도어 제어 메카니즘(예, 차고문 오프너, 전자 잠금 장치 등)등에서와 같은 그 노드에 보안 장치를 구현함으로써, 수송(차, 버스, 농업 장치 등) 차고의 노드, 가정 또는 사무실 또는 다른 노드에 접근을 허가하기 전에 토큰의 소유자를 인증하는데 사용될 수 있다.

도 3을 참조하면, 보안 장치(210)의 일실시예가 도시되어 있다. 보안 장치(210)는 프로세싱 장치(211)와 메모리 장치(212)를 포함하고 있다. 프로세싱 장치(211)는 협력 프로세서, 마이크로 제어기 또는 처리 능력을 갖춘 다른 장치일 수 있다. 바람직하게, 메모리 장치(212)는 암호 키(예, 다양한 토큰의 공개 키, 널리 알려진 책임자의 공개 키, 독특한 공개/비밀 키 쌍, DES 키 등)뿐 만 아니라, 암호 알고니즘을 포함할 수 있는 비휘발성 메모리로 구성될 수 있다. 이 실시예에서, 프로세싱 장치(211)와 메모리 장치(212) 모두는 단일 집적 회로 패키지(213)로 구현되어 있어서, 분리 패키지되고 함께 배선될 수 있음에도 불구하고 변경의 위험성을 완화시킨다. 보안 장치(210)는 프로세서 장치(211)를 제 1 버스에 연결하는 인터페이스(214)를 포함할 수 있다.

도 4를 참조하면, 토큰(120)의 일실시예가 도시되어 있다. 토큰(120)은 메시지, 달리 챌린지 및 응답 메시지를 퍼스널 컴퓨터 또는 노드를 이용하여 상호 전송하는 무선 인터페이스(300)를 포함하고 있다. 이러한 메시지는 다른 형태의 전송 프로토콜이 사용될 수 있지만 IR 또는 RF 전송 프로토콜을 지킨다. 무선 인터페이스(300)는 프로세서(310)와 메모리 소자(320)에 연결되어 있고, 바람직하게 모두 하나의 집적 회로 패키지(325)로 집적되어 있어서 물리적인 변경의 취약성을 감소시킨다. 메모리 소자(320)는 비휘발성(트루 비휘발성 메모리로서 또는 배터리와 같은 "영구" 전원을 가진 RAM으로서 중 하나)을 가지고 있고, 바람직하게, 유일한 한 쌍의 공개 및 비밀 키와 디지털 증명서를 포함하도록 구성되어 있고, 보안 장치는 사용자가 퍼스널 컴퓨터나 그 제어 노드에 접근을 허용하는 토큰의 다양한 공개 키로 제조상 구성되지 않은 경우에는 토큰(120)이 공개 키 "PUT"를 보안 장치로 안전하게 전송할 수 있다. 토큰(120)에 있어서, 필요하다면, 메모리 소자(320)를 서비스 가능할 뿐만 아나라, 작동을 위해 토큰(120)내의 구성 요소에, 전원을 공급할 수 있는 내장 전원 공급 장치(330)(예, 배터리)를 제공하는 것을 선택이다. 일부 프로토콜 구현에서, 난수 발생기가 포함되는 것이 바람직할 수 있다(특히, 토큰이 퍼스널 컴퓨터를 인증하는데 사용되는 곳에서).

도 5를 참조하면, 노드(예, 컴퓨터, 차문, 가정 또는 사무실 출입문 잠금 장치)와 토큰간에 챌린지 및 응답 메시지를 주기적으로 상호 전송할 때에 무선 인증 시스템에 의해 수행되는 작동 단계가 설명되어 있다. 이 실시예에서, 노드는 사용자에게 패스워드 입력을 요구하지만, 계속해서 노드의 내용 및 접속된 자원에 접근하는 것을 불허한다(단계 400-405). 사용자가 그의 패스워드를 입력하면, 노드는 그 패스워드가 올바른가를 결정한다(단계 410). 패스워드가 불적절하다면, 노드는 사용자에게 패스워드를 재입력할 것을 요구한다. 물론, 노드는 어느 한 사람이 노드에 접근을 시도하기전에 딜레이 시간을 강요하거나, 보안(회사 보안장과 같은)에 의한 도움없은 노드로의 액세스를 방해하기 전에 패스워드를 여러번 입력 시도를 허용하도록 구성될 수 있다.

대안으로, 패스워드가 올바르면, 노드(보안 장치)는 챌린지 메시지를 발생시켜, 노드로부터 소정 원거리를 커버하는 챌린지 메시지를 전송한다. 그 다음에, 토큰으로부터 응답 메시지를 기다리고, 노드에 기억되어 있는 내용 및 접속된 자원을 사용자에게 접근을 허용하기 전에 확인한다(단계 420). 응답 메시지가 소정 시간후에도 수신되지 않으면, 접근이 불허된다(단계 425). 그렇지 않고, 응답 메시지를 수신하면, 노드는 응답 메시지가 올바른지를 확인한다(단계 430). 응답 메시지가 부적절하다면, 사용자에게 희미한 스크린 영상을 디스플레이하거나, 키보드, 마우스등으로부터의 추가 입력을 차단하거나, 노드로부터/노드로의 추가 I/O를 중지하거나, 노드를 표시하는 컴퓨터에 대한 네트워크 접속을 중지하는 것과 같은 종래의 방식을 행함으로써, 노드에 접근하는 것을 불허한다. 응답 메시지가 올바르면, 사용자에게 노드에 접근하는 것을 허용하고, 노드에 집적되어 있는 타이밍 회로는 노드가 다른 챌린지 메시지를 발생시키고 다른 챌린지/응답 개시 시간에 영향을 줄 때의 신호로 설정된다(단계 435-445). 노드는 노드를 작동 상태로 유지하기 전에 또는 노드를 미작동 상태로 하기 전에 주기적으로 인증을 필요로 하고, 맹목적으로 노드로부터의 사용자의 근접을 필요로 할 수 있다.

주기적인 챌린지/응답 메시지는 도 6A-6C에 도시된 다수의 방법으로 수행될 수 있다. 이것은 단순히 설명을 위한 것이다; 인증의 다른 방법이 본 발명의 사상을 벗어나지 않고 사용될 수 있다. 예를 들어, 노드(보안 장치(210))는 난수("RN")(500)를 발생시키고, 암호가 아닌 형태로 챌린지 메시지로서 토큰(120)에 전송할 수 있다. 챌린지 메시지를 수신하면, 토큰(120)은 응답 메시지(505)를 형성하여, RN(500)을 비밀 키("PRT")로 암호화하고 그 메시지(505)를 다시 보안 장치(210)로 반송한다. 그 다음에, 보안 장치(210)는 응답 메시지(505)를 토큰의 공개 키("PUT")로 해독하고, 수신된 난수("RNrec")(510)가 RN(500)과 등가인지를 확인한다.

다른 예는 보안 장치(210)가 난수("RN")(520)를 발생시키고, RN(520)을 보안 장치(210)내에 기억되어 있는 토큰의 공개키("PUT")로 암호화함으로써, 챌린지 메시지(525)를 생성할 수 있다는 것이다. 그 다음에, 챌린지 메시지(525)는 토큰(120)에 전송된다. 챌린지 메시지(525)를 수신하면, 토큰(120)은 난수("RN_trmt") (530)를 검색하기 위해, 챌린지 메시지(525)를 비밀 키("PRT")로 해독한다. 그 다음에, RN_trmt(530)은 보안 장치(210)로 역 전송되고, 그것은 등가인지를 결정하기 위해 이미 전송된 RN(520)과 비교된다. 그러하다면, 사용자에게 노드내에 기억된 데이터에 접근을 허용하고, 그렇지 않다면, 사용자가 접근하는 것을 방해한다.

또 다른 예가 도 6C에 도시되어 있고, 여기에는 보안 장치(210)는 승인된 토큰과 관련된 공개 키를 기억하도록 설계되지 않는다. 결과적으로, 도시된 바와 같이 디지털 증명서가 필요하다. 보안 장치(210)는 난수("RN")(540)를 토큰(120)으로 전송한다. 토큰(120)은 RN(540)을 수신하고, 암호화된 난수("RN_prt")(545)를 응답 메시지(550)의 일부로서 생성하기 위해, RN(540)을 토큰의 비밀 키("PRT")로 암호화한다. 다른 부분의 응답 메시지(550)는, 공개 키("PUTA")(565)가 널리 유포된, 책임자(560)(예, 시스템 관리자. 회사 보안 등)로부터 얻은 디지털 증명서(555)이다. 디지털 증명서(555)는 책임자("PRTA")(570)의 비밀 키로 암호화된 토큰의 공개 키("PUT")(575)이다.

응답 메시지(550)를 수신하면, 보안 장치(210)는 디지털 증명서(555)를 PUTA(565)로 해독하여 PUT(575)를 얻는다. 다음, PUT(575)는 RN_prt(545)를 해독하는데 사용된다. 최종적으로, 토큰으로부터 수신된 RN(580)은 토큰(120)으로 전송된 RN(540)과 비교되고, 이것이 서로 등가이면, 응답 메시지(550)는 올바른 메시지이다.

대안으로, 노드내에 구현되어 있는 패스워드식 시스템 대신에, 토큰은 패스워드 또는 개인 증명 번호("PIN")를 필요로 하도록 구성될 수 있다. 따라서, 사용자가 주기적으로 그 자신을 인증하지 않으면, 토큰은 미작동 상태로 유지된다. 물론, 노드내에 사용되는 패스워드식 시스템이 가지는 잇점은 노드가, 사용자 자신을 인증할 때에 사용자에게 도움이 되는 I/O 장치(예, 영숫자 키보드)로 이미 개조되었다는 것이다. 그러나, 상기된 바와 같이, 노드는 패스워드식 시스템이 토큰내에서 사용되면, 발생될 수 없는 바이러스 감염에 쉽게 걸린다. 이 실시예에서, 토큰은, 토큰이 분실되었을 경우에, 토큰이 인증 정보를 시간에 맞게 제공하지 못해서 미작동이 될 때에 미승인된 사용자에 의해 사용될 수 없도록, 사용자에 의해 주기적인 패스워드 또는 개인 증명 번호("PIN") 인증을 필요로 한다. 토큰은 패스워드식 시스템 대신에 한가지 유형의 생물 감지 장치를 사용할 수 있을 것 같다. 예를 들어, 승인된 사용자에게 주기적으로(소정 시간 또는 매시간, 매일 등) 토큰은 없지만 토큰 장치는 사용될 수 없다는 것을 확신시킬 필요가 있는 토큰에 지문을 집적화할 수 있다. 디지털 패트웨이와 시큐리티 다이나믹과 같은 일부 회사에서는 동작하기 위해 사용자 인증이 필요한 토큰을 개발해 왔다. 그러나, 이러한 토큰은 상기된 챌린지/응답 메시지를 통한 주기적인 인증에 그 자신을 부여할 수 없다.

여기서, 도 7를 참조하면, 패스워드식 시스템으로 구현된 토큰의 동작이 아래에 설명되어 있다. 먼저, 단계(600)에서, 주기적인 간격으로, 사용자는 인증 정보를 토큰에 제공한다. 인증 정보가 올바르면, 토큰은 작동되고, 작동 상태로 있게 된다. 그 다음에, 소정의 시간이 경과한 후에, 토큰은 사용자에게 인증 정보를 다시 토큰으로 입력할 것을 요구(단계 615)하는 무효 상태로 들어간다. 그렇지 않고, 사용자 인증 정보가 올바르지 않으면, 토큰은 미작동 상태로 있게 된다(단계 615).

토큰이 작동 상태에 있는 경우에, 토큰은 노드로부터 소정 거리내에서 이동되거나 착용되어 있으면, 노드로부터의 질의 신호를 수신한다(단계 620). 그 경우에, 토큰은 사용자의 일치를 표시하는 확인 메시지를 가진 질의 신호에 응답한다(단계 625). 다음, 단계(630)에서, 토큰으로부터 확인 메시지를 수신하면, 노드는 그 토큰으로 향하는 챌린지 메시지를 발생시켜 전송한다. 그 다음에, 노드는 소정 시간내에서 응답 메시지를 기다린다. 노드이 그 시간내에 응답 메시지를 수신하지 못하거나, 부적절한 응답 메시지를 수신하면, 노드로의 접근이 불허된다(단계 635-645). 그러나, 노드가 소정 시간내에 응답 메시지를 수신하고 올바른 메시지이면, 사용자는 노드로의 접근이 허용된다(단계 650).

그 다음에, 노드내의 타이밍 회로 소자는 노드가 소정 시간이 경과한 후에 다른 챌린지 메시지를 발생시키도록 설정된다(단계 655). 다음, 토큰은 선택된 시간보다 더 긴 시간동안 작동 상태로 있었는지를 체크한다(단계 660). 그러하다면, 토큰은 미작동되고, 사용자는 노드로의 접근이 불허된다(단계 670). 토큰이 여전히 작동하면, 노드의 타이밍 회로 소자는 소정 시간이 경과되었는지를 체크한다(단계 670). 그렇지 않으면, 토큰의 상태와 노드내의 타이밍 회로 소자에 의해 설정된 시간의 경과가 나중에 체크된다. 그렇지 않고, 시간이 경과되면, 노드는 사용자가 노드에 근접하고 있음을 주기적인 인증을 위해 토큰에게 다른 챌린지 메시지를 발생할 것을 요구한다.

본 발명의 여러 실시예가 설명되었지만, 당업자는 본 발명의 사상과 범위를 벗어나지 않고 본 발명의 다른 실시예가 쉽게 예측가능하다는 것을 알 수 있을 것이다. 예를 들어, 토큰이 질의 메시지를 보내어, 노드가 토큰이 근접하고 있을 때를 결정할 수 있게 한다. 유사하게, 주기적인 챌린지/응답 통신은, 노드가 여전히 토큰을 인증하는 한 노드보다는 토큰에 의해 개시된다. 더욱이, 공지된 회로 소자와 동작 단계는 본 발명을 모호하지 않게 하기 위해서 상세히 설명되어 있지 않다. 그러므로, 본 발명은 다음의 청구항으로 판단될 수 있다.

Claims

토큰을 소유한 승인된 사용자의 노드로의 근접을 근거로 하여 작동 상태를 제어하는 방법에 있어서,

(a) 노드에서 토큰으로 제 1 메시지를 전송하는 단계;

(b) 제 1 메시지에 응답한 제 2 메시지를 토큰에서 노드로 전송하는 단계;

(c) 제 2 메시지가 제 1 메시지에 올바르게 응답하는지를 결정하고, 제 2 메시지가 제 1 메시지에 올바르게 응답하면, 노드를 제 1 상태로 맞추는 단계; 및

(d) 토큰이 노드로부터 소정 거리내에 있는지를 확인하기 위해 (a) - (c)단계를 주기적으로 수행하고,

토큰이 올바르게 응답하면, 노드를 제 1 상태로 유지하고,

토크이 올바르게 응답하지 않으면, 노드를 제 2 상태로 맞추는 단계를 포함하는 것을 특징으로 하는 방법.
제 1 항에 있어서, 상기 제 1 상태는 작동 상태이고, 상기 제 2 상태는 미작동 상태인 것을 특징으로 하는 방법.
제 2 항에 있어서, 상기 노드는 컴퓨터인 것을 특징으로 하는 방법.
제 2 항에 있어서, 상기 노드는 도어 제어 메카니즘인 것을 특징으로 하는 방법.
제 1 항에 있어서, 상기 제 1 메시지는 난수를 포함하며, 상기 제 2 메시지는 난수를 반송함으로써 상기 제 1 메시지에 올바르게 응답하는 것을 특징으로 하는 방법.
제 5 항에 있어서, 상기 제 1 메시지는 상기 난수를 비암호화 형태로 포함하며, 상기 제 2 메시지는 토큰과 관련된 비밀 키로 암호화된 상기 난수를 포함하는 것을 특징으로 하는 방법.
제 5 항에 있어서, 상기 제 1 메시지는 토큰에 관련된 공개 키로 암호화된 상기 난수를 포함하며, 상기 제 2 메시지는 상기 난수를 비암호화 형태로 포함하는 것을 특징으로 하는 방법.
제 5 항에 있어서, 상기 제 1 메시지는 상기 난수를 포함하고, 상기 제 2 메시지는 토큰과 관련된 비밀 키로 암호화된 상기 난수와 책임자의 비밀 키로 암호화된 토큰과 관련된 공개 키를 포함하는 디지털 증명 부분을 포함하는 것을 특징으로 하는 방법.
제 1 항에 있어서, 상기 제 1 및 제 2 메시지의 상호 전송의 상기 주기성은 프로그램가능한 것을 특징으로 하는 방법.
제 1 항에 있어서, 단계 (a)에 앞서,

노드에서 토큰으로 질의 메시지를 전송하는 단계; 및

토큰이 노드로부터 상기 소정 거리내에 있을 때 노드로의 응답을 토크에 의해 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
제 1 항에 있어서, 단계 (a)에 앞서,

토큰에서 노드로 질의 메시지를 전송하는 단계; 및

토큰이 소정 거리내에 있음을 노드가 알고 있다는 것을 표시하면서, 노드에서 토큰으로 응답 메시지를 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.
토큰을 소유한 승인된 사용자의 노드로의 근접을 근거로 하여, 작동 상태를 제어하는 방법에 있어서,

(a) 토큰과 노드사이에 메시지를 상호 전송함으로써 토큰을 인증하는 단계;

(b) 토큰과 노드사이에 적어도 하나의 제 1 메시지와 제 2 메시지를 상호 전송하고, 상기 제 2 메시지가 상기 제 1 메시지에 올바르게 응답하면, 제 1 상태로 노드를 맞춤으로써 노드를 인증하는 단계; 및

(c) 토큰이 노드로부터 소정 거리내에 있는지를 확인하기 위해 단계(b)를 주기적으로 수행하고,

토큰이 올바르게 응답하면, 제 1 상태로 노드를 유지하고,

토큰이 올바르게 응답하지 않으면, 제 2 상태로 노드를 맞추는 단계를 포함하는 것을 특징으로 하는 방법.
제 12 항에 있어서, 단계(a)에 앞서,

노드에서 토큰으로 질의 메시지를 전송하는 단계; 및

토큰이 노드로부터 소정 거리내에 있을 때, 토큰에 의해 노드로의 응답을 전송하는 단계를 포함하는 것을 특징으로 하는 방법.
제 12 항에 있어서, 단계(c)에 앞서,

토큰에서 노드로 질문 메시지를 전송하는 단계; 및

토큰이 소정 거리내에 있음을 노드가 알고 있다는 것을 표시하면서, 응답 메시지를 노드에서 토큰으로 전송하는 단계를 더 포함하는 것을 특징으로 하는 방법.
토큰을 소유하고 있는 승인된 사용자가 제 1 노드로의 근접을 근거로 하여, 제 1 노드내에서 상호 통신을 지원하는 적어도 하나의 제 1 데이터 버스를 가진 제 1 노드의 동작 상태를 제어하는 무선 인증 시스템에 있어서,

무선 트랜시버를 가진 제 1 노드내에서 구현되며, 상기 무선 트랜시버를 통해 토큰에 전송되는 복수의 메시지를 발생시키며, 상기 복수의 메시지 각각은 소정 시간이 경과된 후에 분리 전송되는 보안 장치; 및

상기 보안 장치와의 무선 통신 링크를 설치하고, 상기 보안 장치와 상기 토큰은 상기 복수의 메시지를 이용하여 동작 상태로 제 1 노드를 맞추도록 작동하는 토큰을 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 15 항에 있어서, 상기 보안 장치에 의해 발생된 상기 복수의 메시지 각각은 소정 시간이 경과된 후에 분리 전송되는 것을 특징으로 하는 무선 인증 시스템.
제 16 항에 있어서, 토큰은 (i) 상기 복수의 메시지중 제 1 메시지를 초기에 수신하고, (ii) 제 1 노드를 상기 동작 상태로 맞추는 상기 보안 장치로의 전송을 위해 상기 제 1 메시지에 응답하여 메시지를 발생하고, (iii) 토큰이 상기 보안 장치로부터 소정 거리내에서 유지되는 한 상기 제 1 메시지 다음의 상기 복수의 메시지 각각에 응답하여 메시지를 발생시키는 것을 특징으로 하는 무선 인증 시스템.
제 15 항에 있어서, 상기 보안 장치는:

상기 제 1 데이터 버스에 연결되어 있고, 상기 복수의 메시지 각각을 발생시키는 프로세싱 장치;

상기 제 1 데이터 버스에 연결되어 있고, 암호화 정보를 포함하는 메모리 장치; 및

상기 제 1 데이터 버스에 연결되어 있고, 상기 프로세싱 장치에 의해 발생된 상기 복수의 메시지 각각을 수신하고, 상기 복수의 메시지를 상기 토큰에 전송하는 인터페이스를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 18 항에 있어서, 상기 보안 장치는 상기 프로세싱 장치에 연결되어 있는 난수 발생기를 더 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 18 항에 있어서, 상기 토큰은:

제 2 데이터 버스;

상기 제 2 데이터 버스에 연결되어 있고, 상기 복수의 메시지를 수신하고 상기 복수의 메시지에 응답하여 복수의 대응 메시지를 전송하기 위해 통신 링크를 통해 상기 보안 장치의 상기 제 1 무선 인터페이스에 추가로 연결되어 있는 무선 인터페이스;

상기 제 2 데이터 버스에 연결되어 있고, 암호화 정보를 포함하는 메모리 소자; 및

상기 제 2 데이터 버스에 연결되어 있고, 상기 복수의 메시지에 응답하여 상기 복수의 대응 메시지를 발생시키는 프로세서를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 20 항에 있어서, 상기 토큰은 최소한 상기 메모리 소자와 상기 프로세서에 전원을 제공하는 전원 공급 장치를 더 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 17 항에 있어서, 상기 제 1 메시지는 난수를 포함하며, 상기 제 2 메시지는 상기 난수를 반송함으로써 상기 제 1 메시지에 올바르게 응답하는 것을 특징으로 하는 무선 인증 시스템.
제 17 항에 있어서, 상기 제 1 메시지는 비암호화 형태로 상기 난수를 포함하며, 상기 제 2 메시지는 토큰과 관련된 비밀 키로 암호화된 상기 난수를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 17 항에 있어서, 상기 제 1 메시지는 상기 토큰과 관련된 공개 키로 암호화된 상기 난수를 포함하며, 상기 제 2 메시지는 비암호화 형태로 상기 난수를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 17 항에 있어서, 상기 제 1 메시지는 상기 난수를 포함하며, 상기 제 2 메시지는 토큰과 관련된 비밀 키로 암호화된 상기 난수와 책임자의 비밀 키로 암호화된 토큰과 관련된 공개 키를 포함하는 디지털 증명서를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 15 항에 있어서, 노드는 컴퓨터와 도어 제어 메카니즘중 하나인 것을 특징으로 하는 무선 인증 시스템.
승인된 사용자의 무선 트랜시버 수단을 가진 제 1 노드로의 근접을 근거로 하여, 제 1 노드의 작동 상태를 제어하는 무선 인증 시스템에 있어서,

승인된 사용자가 소유한 토큰 수단으로 무선 트랜시버 수단을 통해 전송하기 위해 복수의 메시지를 발생시키고, 상기 복수의 메시지 각각은 소정 시간이 경과된 후에 분리 전송되고, 제 1 노드내에 구현되는 보안 수단; 및

상기 복수의 메시지중 제 1 메시지를 초기에 수신하고, 제 1 노드를 동작 상태로 맞추는 상기 보안 수단으로의 전송을 위해 상기 제 1 메시지에 응답하여 메시지를 발생시키고, 상기 토큰 수단이 상기 보안 수단으로부터 소정 거리내에서 유지되는 한 상기 제 1 메시지 다음의 상기 복수의 메시지 각각에 응답하여 메시지를 발생시키는 상기 토큰 수단을 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 27 항에 있어서, 상기 보안 수단은:

제 1 노드내에 데이터 경로를 제공하는 제 1 버스 수단;

상기 복수의 메시지 각각을 발생시키고, 상기 제 1 버스 수단에 연결되어 있는 제 1 프로세서 수단;

암호화 정보를 포함하고 있고, 상기 제 1 버스 수단에 연결되어 있는 제 1 메모리 수단; 및

상기 제 1 프로세서 수단에 위해 발생된 상기 복수의 메시지 각각을 수신하고, 상기 복수의 메시지를 상기 토큰 수단으로 전송하고, 상기 제 1 인터페이스 수단은 무선 통신 링크를 통해 상기 토큰의 제 2 인터페이스 수단과 상기 제 1 버스 수단에 연결되어 있는 제 1 인터페이스 수단을 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 28 항에 있어서, 상기 토큰 수단은:

상기 토큰 수단내에 데이터 경로를 제공하는 제 2 버스 수단;

상기 복수의 메시지를 수신하고, 상기 복수의 메시지에 응답하여 복수의 대응 메시지를 전송하고, 통신 링크 수단을 통해 상기 제 2 버스 수단에 그리고 상기 보안 수단의 상기 제 1 인터페이스에 연결되어 있는 상기 제 2 인터페이스 수단;

암호화 정보를 기억하고, 상기 제 2 버스 수단에 연결되어 있는 제 2 메모리 수단; 및

상기 복수의 메시지에 응답하여 상기 복수의 대응 메시지를 발생시키고, 상기 제 2 버스 수단에 연결되어 있는 제 2 프로세서 수단을 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 29 항에 있어서, 상기 토큰 수단은 최소한 상기 제 2 메모리 수단과 상기 제 2 프로세서 수단에 전원을 공급하는 전원 수단을 더 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 27 항에 있어서, 상기 제 1 메시지는 난수를 포함하며, 상기 제 2 메시지는 상기 난수를 반송함으로써 상기 제 1 메시지에 올바르게 응답하는 것을 특징으로 하는 무선 인증 시스템.
제 27 항에 있어서, 상기 제 1 메시지는 상기 난수를 비암호화 형태로 포함하며, 상기 제 2 메시지는 상기 토큰 수단과 관련되어 있는 비밀 키로 암호화된 상기 난수를 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 27 항에 있어서, 상기 제 1 메시지는 토큰 수단과 관련되어 있는 공개 키로 암호화된 상기 난수를 포함하며, 상기 제 2 메시지는 상기 난수를 비암호화 형태로 포함하는 것을 특징으로 하는 무선 인증 시스템.
제 27 항에 있어서, 상기 제 1 메시지는 상기 난수를 포함하며, 상기 제 2 메시지는 토큰 수단과 관련되어 있는 비밀 키로 암호화된 상기 난수와 책임자의 비밀 키로 암호화된 토큰 수단과 관련되어 있는 공개 키를 포함하는 디지털 증명서를 포함하는 것을 특징으로 하는 무선 인증 시스템.