KR20060065633A - 액세스 제어 방법 - Google Patents

액세스 제어 방법 Download PDF

Info

Publication number
KR20060065633A
KR20060065633A KR1020067001178A KR20067001178A KR20060065633A KR 20060065633 A KR20060065633 A KR 20060065633A KR 1020067001178 A KR1020067001178 A KR 1020067001178A KR 20067001178 A KR20067001178 A KR 20067001178A KR 20060065633 A KR20060065633 A KR 20060065633A
Authority
KR
South Korea
Prior art keywords
certificate
door
access
certificates
card
Prior art date
Application number
KR1020067001178A
Other languages
English (en)
Inventor
필 리빈
실비오 미칼리
데이빗 엥버그
Original Assignee
코아스트리트 리미티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 코아스트리트 리미티드 filed Critical 코아스트리트 리미티드
Publication of KR20060065633A publication Critical patent/KR20060065633A/ko

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/215Individual registration on entry or exit involving the use of a pass the system having a variable access-code, e.g. varied as a function of time
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/27Individual registration on entry or exit involving the use of a pass with central registration

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Lock And Its Accessories (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Time Recorders, Dirve Recorders, Access Control (AREA)
  • Alarm Systems (AREA)
  • Vehicle Body Suspensions (AREA)
  • Indexing, Searching, Synchronizing, And The Amount Of Synchronization Travel Of Record Carriers (AREA)
  • Magnetically Actuated Valves (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 액세스 제어는, 액세스를 선택적으로 허가하는 컨트롤러를 포함하는 액세스에 대한 배리어를 제공하는 단계와, 한개 이상의 관리 실체에 의해 증명서/증명(credentials/proofs)을 발생시키는 단계로서, 이때, 만료된 증명에 대한 증명서 및 값만으로는 어떤 유효한 증명도 결정될 수 없는 단계와, 상기 컨트롤러에 의해 상기 증명서/증명을 수신하는 단계와, 상기 액세스가 현재 승인된 것인 지를 상기 컨트롤러에 의해 결정하는 단계와, 액세스가 현재 승인된 경우, 컨트롤러에 의해 액세스를 허가하는 단계를 포함한다. 상기 증명서/증명이 한 부분에 놓일 수도 있고, 상기 증명서/증명이 서로 다른 부분에 놓일 수도 있다. 증명서를 발생시키는 제 1 관리 실체와, 증명을 발생시키는 또다른 관리 실체들이 존재할 수 있다. 상기 제 1 관리 실체가 증명까지도 발생시킬 수 있고, 증명을 발생시키지 못할 수도 있다. 상기 증명서는 일방향 함수를 상기 증명들 중 제 1 증명에 적용한 결과인 최종 값을 포함하는 디지털 인증서에 대응할 수 있다.

Description

액세스 제어 방법{CONTROLLING ACCESS TO AN AREA}
본 출원은 물리적 액세스 제어에 관한 발명으로서, 프로세서에 의해 동작하는 잠금 수단(locks)과 관련 데이터를 이용한 물리적 액세스 제어에 관한 것이다.
보호 영역 및 장치에 승인받은 자만이 액세스할 수 있음을 보장하는 것은 여러 경우에 매우 중요할 수 있다. 가령, 공항, 군사 시설, 사무 빌딩 등이 그 예에 해당한다. 전통적인 문과 벽이 민감한 영역의 보호에 사용될 수 있으나, 전통적인 잠금 수단 및 열쇠를 이용하는 문은 여러 사용자들에게 있어 관리가 성가실 수 있다. 예를 들어, 근로자가 해고된 경우, 근무시 발급한 열쇠를 반환받는 것이 어려울 수 있다. 더우기, 이러한 열쇠의 복제본들을 만들거나 반납하지 않을 가능성이 있다.
스마트 도어는 액세스 제어를 제공한다. 일부 경우에, 스마트 도어에는 키 패드가 장착되어 있고, 이 키패드를 통해 사용자가 PIN 또는 비밀번호를 입력한다. 키패드는 유효 PIN 또는 비밀번호의 리스트를 저장할 수 있는 단위 프로세서나 메모리를 장착할 수 있다. 따라서, 현재 입력한 PIN 또는 비밀번호가 현재 유효 리스트에 속하는 것인 지를 도어가 확인할 수 있다. 유효한 것이라면, 도어가 열릴 것이다. 유효하지 않다면, 도어는 잠금 상태로 유지될 것이다. 물론, 전통적인 열쇠나 간단한 키패드에 의존하는 것보다는, 좀 더 현대식의 스마트카드는 카드(가령, 스마트카드와 자기띠 카드)나 비접촉 장치(가령, PDA, 휴대폰, 등)과 함께 동작할 수 있다. 이러한 카드나 장치는 전통적인 열쇠나 전자 키패드 대신에, 또는 이와 병용하여 사용될 수 있다. 사용자가 휴대하도록 설계된 이러한 자기띠 카드, 스마트 카드, 또는 비접촉 장치들은 도어에 전송할 정보를 저장하는 기능을 가질 수 있다. 고급 카드들은 연산 및 통신 기능을 가질 수도 있다. 이에 대응하는 도어 장치는 카드로부터 정보를 판독할 수 있고, 카드와 대화형 프로토콜을 구현하거나 컴퓨터 등과 통신할 수 있다.
도어의 한가지 태양은 그 연결 레벨에 있다. 완전-연결 도어는 데이터베이스(또는 그외 다른 컴퓨터 시스템)과 항상 연결되어 있는 도어이다. 가령, 데이터베이스가 현재 유효 카드, 사용자, PIN 등에 관한 정보를 지닐 수 있다. 일부 경우에, 도어로 들어가는 정보를 불순한 의도로 변경시키는 것을 방지하기 위해, 이러한 연결을 보호하기 위한 장치/방법이 강구된다. 가령, 도어에서 데이터베이스까지의 도선을 강철 파이프 안에 넣어 설치할 수 있다. 다른 한편, 완전-차단 도어는 그 근방 외부와 통신하지 않는다. 이 두 극단적 경우에, 중간적 연결을 가지는 도어가 존재할 수 있다. 가령, 비행기나 트럭의 도어처럼, 그라운드 스테이션(즉, 지면에서의 정지 상태)의 범위 내에 있을 때만 외부와 통신할 수 있는, 무선 연결된 "움직이는" 도어의 경우를 예로 들 수 있다.
전통적인 액세스 제어 메커니즘은 여러 결함을 가진다. 완전-연결 도어들은 매우 비싼 편이다. 이격된 스마트 도어까지 견고한 파이프를 제공하는 비용은 스마트 도어 자체의 비용을 훨씬 뛰어넘을 수 있다. 도선을 암호화 방식으로 보호하는 것 역시 앞서에 비해 저렴할 순 있으나 자체 순수 비용이 발생한다. 가령, 암호화 키를 보호하고 관리하는 비용이 발생한다. 더우기, 강철 파이프 및 보호 장비가 없는 암호화는 도선의 절단에 무방비 상태일 수 있으며, 이 경우에 두 극단적인 대안(즉, 항상 열린 상태와 항상 닫힌 상태)들 간의 선택이 차단 도어에게 강제된다. 두 극단적인 대안은 어느 경우도 바람직하지 않다. 어느 경우에도, 완전 연결 도어는 실용적인 옵션이 아니다. 가령, 대서양 중간 해수면 아래의 카고 컨테이너의 도어는 모든 실용적 측면에서 항상 차단 상태이다.
차단 스마트 도어는 연결 스마트 도어에 비해 저렴한 편이다. 그러나, 스마트 도어에 대한 종래의 접근법은 내재적인 문제점들을 가진다. 가령, PIN 또는 비밀번호를 인식할 수 있는 차단 스마트 도어를 가정해보자. 퇴직한 근로자는 상기 도어의 통과를 더이상 승인받을 수 없다. 그러나 그 자신이 PIN 또는 비밀번호를 외우고 있다면, 그는 이러한 단위 스마트 도어를 여는데 어려움을 느끼지 않을 것이다. 따라서, 퇴직한 근로자의 PIN 또는 비밀번호를 삭제프로그래밍하는 것이 필요할 수 있다. 이는 차단 도어의 경우에 어려운 일이다. 게다가, 이러한 과정이 매우 성가실 수 있고 비용도 상당할 수 있다. 공항 시설에는 수백개의 문이 있을 수 있으며, 근로자가 퇴직하였을 때마다 이러한 도어 모두를 삭제프로그래밍하도록 특별 근무팀을 편성 및 급파하는 것은 너무나 비실용적일 것이다.
따라서, 추가 비용없이 완전 연결 도어에 관련된 보안 레벨을 제공하는 것이 바람직하다. 앞서 설명한 바와 같이 차단 스마트 도어와 카드는 보안성, 편의성, 저비용 액세스 제어 시스템 중 어느 것도 자체적으로 만족시킬 수 없다.
도 1A는 한개의 연결 수단, 다수의 전자 장치, 한개의 관리 실체, 그리고 한개의 증명 분배 실체를 포함하는 본 시스템의 한 실시예의 개략도이다.
도 1B는 한개의 연결 수단, 다수의 전자 장치, 한개의 관리 실체, 그리고 한개의 증명 분배 실체를 포함하는 본 시스템의 대안의 실시예의 개략도이다.
도 1C는 한개의 연결 수단, 다수의 전자 장치, 한개의 관리 실체, 그리고 한개의 증명 분배 실체를 포함하는 본 시스템의 대안의 실시예의 개략도이다.
도 1D는 한개의 연결 수단, 다수의 전자 장치, 한개의 관리 실체, 그리고 한개의 증명 분배 실체를 포함하는 본 시스템의 대안의 실시예의 개략도이다.
도 2는 본 시스템에 따른 전자 장치의 상세도.
도 3은 본원 시스템에 따른 전자 장치에서 타당성 검증을 실행하는 지 여부의 결정과 관련하여 실행되는 단계들의 순서도이다.
도 4는 본원 시스템에 따른 타당성 검증의 실행과 관련하여 실행되는 단계들의 순서도이다.
도 5는 본 시스템에 따른 증명서 발생에 관련된 단계들의 순서도이다.
도 6은 본 시스템에 따른 증명서에 대한 증명 확인에 관련된 단계들의 순서도이다.
도 7은 본원 시스템에 따른 물리적 액세스 제한 영역을 포함하는 시스템의 개략도이다.
본 발명의 한 태양에 따르면, 액세스 제어 방법은,
- 액세스를 선택적으로 허가하는 컨트롤러를 포함하는 액세스에 대한 배리어를 제공하는 단계,
- 한개 이상의 관리 실체에 의해 증명서/증명(credentials/proofs)을 발생시키는 단계로서, 이때, 만료된 증명에 대한 증명서 및 값만으로는 어떤 유효한 증명도 결정될 수 없는 단계,
- 상기 컨트롤러에 의해 상기 증명서/증명을 수신하는 단계,
- 상기 액세스가 현재 승인된 것인 지를 상기 컨트롤러에 의해 결정하는 단계, 그리고
- 액세스가 현재 승인된 경우, 컨트롤러에 의해 액세스를 허가하는 단계
를 포함한다. 상기 증명서/증명이 한 부분에 놓일 수도 있고, 상기 증명서/증명이 서로 다른 부분에 놓일 수도 있다. 증명서를 발생시키는 제 1 관리 실체와, 증명을 발생시키는 또다른 관리 실체들이 존재할 수 있다. 상기 제 1 관리 실체가 증명까지도 발생시킬 수 있고, 증명을 발생시키지 못할 수도 있다. 상기 증명서는 일방향 함수를 상기 증명들 중 제 1 증명에 적용한 결과인 최종 값을 포함하는 디지털 인증서에 대응할 수 있다. 각각의 증명은 일방향 함수를 상기 증명들 중 차후의 증명에 적용한 결과일 수 있다. 상기 디지털 인증서는 전자 장치에 대한 식별자를 포함할 수 있다. 상기 증명서들은 상기 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함할 수 있다. 각각의 증명은 일방향 함수를 상기 증명들 중 차후의 증명에 적용한 결과일 수 있다. 상기 증명서들은 사용자 요청 액세스에 대한 식별자를 포함할 수 있다. 상기 증명서/증명이 디지털 시그너처를 포함할 수 있다. 액세스에 대한 상기 배리어는 벽과 도어를 포함할 수 있다. 액세스 제어는, 상기 컨트롤러에 연결된 도어 잠금 수단을 제공하는 단계로서, 이때, 상기 컨트롤러의 액세스 허가는 도어를 개방시키도록 상기 컨트롤러가 도어 잠금 수단을 동작시키는 과정을 포함하는 단계를 추가로 포함할 수 있다. 액세스 제어는, 상기 컨트롤러에 연결되는 리더기를 제공하는 단계로서, 이때, 상기 컨트롤러는 리더기로부터 증명서/증명을 수신하는 단계를 추가로 포함할 수 있다. 사용자에 의해 제시되는 스마트 카드에 상기 증명서/증명들이 제공될 수 있다. 액세스 제어는, 상기 컨트롤러에 외부 연결을 제공하는 단계를 추가로 포함할 수 있다. 상기 외부 연결이 간헐적일 수 있다. 상기 컨트롤러는 상기 외부 연결을 이용하여 상기 증명서/증명들의 일부 또는 전부를 수신할 수 있다. 또는, 상기 컨트롤러는 상기 외부 연결을 이용하여 모든 증명서/증명을 수신할 수 있다. 액세스 제어는, 상기 컨트롤러에 연결된 리더기를 제공하는 단계로서, 이때, 상기 컨트롤러는 상기 리더기로부터 증명서/증명들의 나머지 부분을 수신하는 단계를 포함할 수 있다. 상기 증명서/증명들이 사용자에 의해 제시되는 스마트 카드 상에 제공될 수 있다. 상기 증명서/증명들이 사용자가 입력한 비밀번호를 포함할 수 있다. 상기 증명서/증명들이 사용자 생체 정보를 포함할 수 있다. 상기 증명서/증명들이 수기 시그너처를 포함할 수 있다. 상기 증명서/증명들이 사용자가 소지한 카드 상에 제공되는 시크릿 값을 포함할 수 있다. 상기 증명서/증명들이 지정 시간에 만료될 수 있다.
본 발명의 한 태양에 따르면, 한개 이상의 차단 도어에 대한 다수의 사용자의 액세스를 실체에 의해 제어하는 방법은, 다수의 사용자를 한 그룹에 매핑하는 단계와, 날짜 시퀀스의 각각의 시간 구간 d에 대해, 시간 구간 d동안 그룹의 멤버들이 도어에 액세스할 수 있음을 표시하는 디지털 시그너처 SIGUDd를 생성하는 단계와, 그룹 멤버 중 한 명 이상이 도어 통과를 위해 도어에 제시하도록 시간 구간 d동안 SIGUDd를 수신하게 하는 단계와, 그룹 멤버 중 한 명 이상이 도어에 SIGUDd를 제시하는 단계와, SIGUDd가 그룹 멤버가 시간 구간 d에 도어에 액세스할 수 있음을 표시하는 디지털 인증서임을 확인한 후, 그리고, 현재 시간이 시간 구간 d내에 있음을 확인한 후, 도어를 개방시키는 단계를 포함한다. 그룹 멤버 중 한 명 이상은 사용자 카드에 저장함으로서 SIGUDd를 수신할 수 있고, 카드리더기가 사용자 카드를 판독함으로서 SIGUDd를 도어에 제시할 수 있다. 기관은 그룹 멤버 중 한명 이상에 의해 액세스될 수 있는 데이터베이스에 SIGUDd를 전달함으로서 시간 구간 d동안 그룹 멤버 중 한 명 이상에 의해 SIGUDd를 수신하게 할 수 있다. SIGUDd는 퍼블릭 키 시그너처일 수 있고, 도어는 기관의 퍼블릭 키를 저장할 수 있다. 도어는 그룹 멤버 중 한 명 이상에 관한 신원 정보를 확인할 수도 있다. 그룹 멤버 중 한 명 이상에 대한 신원 정보는 PIN과, 도어의 챌린지에 대한 답변 중 한가지 이상을 포함할 수 있다.
발명의 한 태양에 따르면, 물리적 액세스를 제어하는 방법은, 한 그룹의 사용자에게 실시간 증명서를 할당하는 단계와, 실시간 증명서를 리뷰하는 단계로서, 이때, 실시간 증명서는 고정된 제 1 부분과, 주기적 단위로 수정되는 제 2 부분을 포함하며, 이때 제 2 부분은 실시간 증명서가 현재의 것이라는 증명을 제공하는 단계와, 제 1 부분에서 동작을 실행함으로서, 그리고 이 결과를 제 2 부분에 비교함으로서 실시간 증명서의 유효성을 확인하는 단계와, 실시간 증명서가 유효하다고 확인된 경우에만 그룹 멤버에게 물리적 액세스를 허가하는 단계를 포함한다. 제 1 부분은 기관에 의해 디지털 방식으로 서명될 수 있다. 기관이 제 2 부분을 제공할 수 있다. 제 2 부분이 상기 기관과는 다른 실체에 의해 제공될 수 있다. 실시간 증명서가 스마트 카드 상에 제공될 수 있다. 그룹 멤버들은 제 1 위치에서 실시간 증명서의 제 2 부분을 얻을 수 있다. 그룹 멤버들은 제 1 위치와는 다른 제 2 위치에서 액세스를 허가받을 수 있다. 실시간 증명서의 제 1 부분의 일부분 이상은 실시간 증명서의 제 2 부분의 일부분에 다수회 적용되는 일방향 해시를 나타낼 수 있다. 다수회는 실시간 증명서의 제 1 부분이 발급된 후 경과한 시간에 대응할 수 있다. 물리적 액세스의 제어는 도어를 통한 액세스 제어를 또한 포함할 수 있다.
본 발명의 한 태양에 따르면, 액세스 결정 방법은, 특정 증명서/증명이 액세스가 허가됨을 표시하는 지를 결정하는 단계와, 증명서/증명에 관련된 추가 데이터가 존재하는 지를 결정하는 단계로서, 이때, 추가 데이터는 증명서/증명과는 별개인 단계와, 특정 증명서/증명이 액세스가 허가됨을 표시할 경우, 그리고 특정 증명서/증명에 관련된 추가 데이터가 존재할 경우, 추가 데이터에 의해 제공되는 정보에 따라 액세스 거부 여부를 결정하는 단계를 포함한다. 증명서/증명은 한 부분으로 구성될 수도 있고 개별적인 부분으로 구성될 수도 있다. 증명서를 발생시키는 제 1 관리 실체와, 증명을 발생시키는 그외 다른 관리 실체들이 존재할 수 있다. 제 1 관리 실체는 증명을 발생시킬 수도 있고 증명을 발생시키지 않을 수도 있다. 증명서는 증명 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함하는 디지털 인증서에 대응할 수 있다. 각각의 증명은 증명들 중 제 1 증명에 일방향 함수를 적용한 결과일 수 있다. 디지털 인증서는 전자 장치에 대한 식별자를 포함할 수 있다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함할 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일빙향 함수를 적용한 결과일 수 있다. 증명서는 사용자 요청 액세스에 대한 식별자를 포함할 수 있다. 증명서/증명은 디지털 시그너처를 포함할 수 있다. 액세스는 벽과 도어에 의해 둘러싸인 영역에 대한 액세스일 수 있다. 액세스 결정은 도어 잠금 수단을 제공하는 단계로서, 이때, 액세스가 거부되는 지 여부에 따라 도어 잠금 수단이 동작하는 단계를 포함할 수 있다. 액세스 결정은 증명서/증명들을 수신하는 리더기를 제공하는 단계를 또한 포함할 수 있다. 증명서/증명은 사용자에 의해 제시되는 스마트 카드 상에 제공될 수 있다. 증명서/증명은 사용자에 의해 입력되는 비밀번호를 포함할 수 있다. 증명서/증명은 사용자 생체 정보를 포함할 수 있다. 증명서/증명은 수기 시그너처를 포함할 수 있다. 증명서/증명은 사용자가 소지한 카드 상에 제공되는 시크릿 값을 포함할 수 있다. 증명서/증명은 지정 시간에 만료될 수 있다. 추가 데이터가 디지털 방식으로 서명될 수 있다. 추가 데이터는 증명서/증명에 결합된 메시지일 수 있다. 메시지는 특정 증명서/증명을 식별할 수 있고, 특정 증명서/증명이 폐기되었는 지 여부의 표시사항을 포함할 수 있다. 이 표시사항이 빈 스트링일 수 있다. 추가 데이터가 날짜를 포함할 수 있다. 추가 데이터는 특정 증명서/증명에 관한 정보와, 한개 이상의 다른 증명서/증명에 관한 정보를 지닌 메시지일 수 있다. 액세스 결정은, 추가 데이터를 저장하는 단계를 또한 포함할 수 있다. 추가 데이터는 추가 데이터가 얼마나 오랫동안 저장되어야 하는 지를 표시하는 만료 시간을 포함할 수 있다. 만료 시간은 특정 증명서/증명의 만료에 해당할 수 있다. 액세스 결정은 지정 시간동안 추가 데이터를 저장하는 단계를 또한 포함할 수 있다. 증명서/증명은 지정 시간 이후 모두 만료될 수 있다. 추가 데이터는 스마트 카드를 이용하여 제공될 수 있다. 스마트 카드는 한 영역에 대한 액세스를 취하려 시도하는 사용자에 의해 제시될 수 있다. 이 영역에 대한 액세스는 벽과 한개 이상의 도어에 의해 제한될 수 있다. 추가 데이터는 액세스를 얻고자 시도하는 사용자와는 다른 사용자의 것일 수 있다. 액세스 결정은 통신 링크를 제공하는 단계와, 통신 링크를 이용하여 추가 데이터를 전송하는 단계를 또한 포함할 수 있다. 통신 링크는 스마트 카드에 의해 추가 데이터를 제공받을 수 있다. 스마트 카드는 동작 상태 유지를 위해 통신 링크와의 주기적 통신을 요건으로 할 수 있다. 스마트 카드는 또다른 스마트 카드에 의해 추가 데이터를 제공받을 수 있다. 추가 데이터는 스마트 카드의 서브세트에 선택적으로 제공될 수 있다. 액세스 결정은 추가 데이터에 우선순위 레벨을 제공하는 단계를 포함할 수도 있다. 추가 데이터는 추가 데이터에 제공되는 우선순위 레벨에 따라 스마트 카드 서브세트에 선택적으로 제공될 수 있다. 추가 데이터는 스마트 카드 서브세트에 임의적으로 제공될 수도 있다.
본 발명의 한 태양에 따르면, 증명서에 관한 데이터를 발급하고 보급하는 방법은, 증명서가 폐기되었음을 표시하는 인증 데이터를 실체에 의해 발급하는 단계와, 제 1 사용자의 제 1 카드에 인증 데이터를 저장시키는 단계와, 제 1 카드를 이용하여 인증 데이터를 제 1 도어에 전달하는 단계와, 제 1 도어가 인증 데이터에 관한 정보를 저장하는 단계와, 제 1 도어가 인증 데이터에 관한 정보에 따라 증명서에 대한 액세스를 거부하는 단계를 포함한다. 인증된 데이터, 즉, 인증 데이터는 디지털 시그너처에 의해 인증될 수 있고, 제 1 도어는 디지털 시그너처를 확인할 수 있다. 디지털 시그너처는 퍼블릭 키 디지털 시그너처일 수 있다. 디지털 시그너처에 대한 퍼블릭 키는 증명서와 연계될 수 있다. 디지털 시그너처는 프라이빗 키 디지털 시그너처일 수 있다. 증명서와 제 1 카드는 제 1 사용자에게 모두 속할 수 있다. 증명서가 제 1 카드와는 다른 제 2 카드에 저장될 수 있고, 제 1 도어는 스토리지로부터 이러한 정보를 불러들임으로서 인증 데이터에 관한 정보에 의존할 수 있다. 증명서는 제 1 사용자와는 다른 제 2 사용자에 속할 수 있다. 인증 데이터는 제 1 카드와는 다른 한개 이상의 다른 카드에 먼저 저장될 수 있고, 인증 데이터는 한개 이상의 다른 카드로부터 제 1 카드로 전달될 수 있다. 인증 데이터는 제 1 도어와는 다른 한개 이상의 다른 도어에 전달됨으로서, 한개 이상의 다른 카드로부터 제 1 카드로 전달될 수 있다. 실체는, 인증 데이터를 리스판더에 저장시킴으로서, 그리고 제 1 카드가 리스판더로부터 인증 데이터를 얻게 함으로서, 인증 데이터를 제 1 카드에 저장할 수 있다. 리스판더는 보호되지 않을 수 있다. 제 1 도어는 인증 데이터를 제 1 카드와는 다른 한개 이상의 다른 카드에 전달함으로서, 제 1 카드로부터 인증 데이터에 관한 정보를 수신할 수 있다. 한개 이상의 다른 카드는 제 1 도어와는 다른 한개 이상의 도어에 전달되는 인증 데이터에 의해 제 1 카드로부터 인증 데이터에 관한 정보를 수신할 수 있다. 제 1 도어는 완전 차단형이거나 간헐적 연결형일 수 있다.
본 발명의 한 태양에 따르면, 제 1 도어는 제 1 사용자의 증명서에 관한 인증 데이터를 수신한다. 이 프로세스는 제 1 사용자와는 다른 제 2 사용자에 속한 제 1 카드로부터 인증 데이터를 수신하는 단계와, 인증 데이터에 관한 정보를 저장하는 단계와, 증명서를 수신하는 단계와, 인증 데이터에 관해 저장된 정보에 따라 증명서에 대한 액세스를 거부하는 단계를 포함한다. 인증 데이터는 디지털 시그너처에 의해 인증될 수 있으며, 제 1 도어는 디지털 시그너처를 확인할 수 있다. 디지털 시그너처는 퍼블릭 키 디지털 시그너처일 수 있다. 디지털 시그너처에 대한 퍼블릭 키는 증명서와 연계될 수 있다. 디지털 시그너처는 프라이빗 키 디지털 시그너처일 수 있다. 인증 데이터는 한개 이상의 다른 카드에 먼저 저장후 상기 카드로부터 제 1 카드로 전달함으로서 제 1 카드에 저장할 수 있다. 인증 데이터는 제 1 도어와는 다른 한개 이상의 도어에 전달된 후 한개 이상의 카드로부터 제 1 카드에 전달될 수 있다. 인증 데이터는 리스판더에 먼저 저장된 후 리스판더로부터 제 1 카드에 의해 도출함으로서 제 1 카드에 저장될 수 있다. 리스판더는 보호되지 않을 수 있다. 제 1 도어는 인증 데이터를 제 1 카드와는 다른 한개 이상의 다른 카드에 먼저 전달함으로서 제 1 카드로부터 인증 데이터에 관한 정보를 수신할 수 있다. 한개 이상의 다른 카드는 인증 데이터를 제 1 도어와는 다른 한개 이상의 다른 도어에 먼저 전달함으로서 제 1 카드로부터 인증 데이터에 관한 정보를 수신할 수 있다. 제 1 도어는 완전 차단형이거나 간헐적 연결형일 수 있다.
본 발명의 한 태양에 따르면, 액세스의 즉각적 폐기를 보조하는 방법은, 증명서에 관한 인증 데이터를 수신하는 단계와, 제 1 카드에 인증 데이터에 관한 정보를 저장하는 단계와, 제 1 도어가 인증 데이터에 관한 정보를 수신하는 단계를 포함한다. 인증 데이터는 디지털 시그너처에 의해 인증될 수 있다. 디지털 시그너처는 퍼블릭 키 디지털 시그너처일 수 있다. 디지털 시그너처에 대한 퍼블릭 키는 증명서와 연계될 수 있다. 디지털 시그너처는 프라이빗 키 디지털 시그너처일 수 있다. 증명서와 카드는 모두 제 1 사용자에게 속할 수 있다. 제 1 카드가 지정 시간 내에 지정 형태의 신호를 수신하지 못할 경우 제 1 카드는 액세스에 사용할 수 없게 된다. 증명서가 제 1 사용자와는 다른 사용자에게 속할 수 있다. 인증 데이터는 제 1 카드와는 다른 한개 이상의 다른 카드에 먼저 저장한 후 한개 이상의 다른 카드로부터 제 1 카드로 전달됨으로서 제 1 카드에 의해 수신될 수 있다. 인증 데이터는 제 1 도어와는 다른 한개 이상의 도어에 먼저 전달됨으로서 한 개 이상의 다른 카드로부터 제 1 카드로 전달될 수 있다. 제 1 카드는 리스판더로부터 인증 데이터를 얻을 수 있다. 리스판더는 보호되지 않을 수 있다. 제 1 카드는 인증 데이터를 제 1 카드와는 다른 한개 이상의 다른 카드에 먼저 전달함으로서, 인증 데이터에 관한 정보를 한개 이상의 다른 카드가 수신하게 한다. 제 1 도어는 완전 차단형일 수도 있고, 간헐 연결형일 수도 있다. 제 1 카드는 스토리지로부터 인증 데이터에 관한 저장된 정보를 제거할 수 있다. 증명서는 만료 일자를 가질 수 있고, 제 1 카드는 증명서 만료 후 스토리지로부터 인증 데이터에 관한 저장된 정보를 제거할 수 있다. 증명서의 만료 일자는 증명서 내에 명시된 정보로부터 추정될 수 있다.
본 발명의 한 태양에 따르면, 한 영역에 액세스함과 관련된 로그인 이벤트들은, 이벤트 레코딩을 제공하도록 영역 액세스에 관련된 이벤트를 레코딩하는 단계와, 인증된 레코딩을 제공하도록 이벤트 레코딩을 인증하는 단계를 포함한다. 이벤트 레코딩은 이벤트 시간의 레코딩을 포함할 수 있다. 이벤트 레코딩은 이벤트 종류의 레코딩을 포함할 수 있다. 이벤트는 영역에 대한 액세스 시도일 수 있다. 이벤트 레코딩은 영역 액세스 시도와 관련하여 사용되는 증명서/증명의 레코딩을 포함할 수 있다. 이벤트 레코딩은 시도 결과의 레코딩을 포함할 수 있다. 이벤트 레코딩은 액세스가 거부되어야 함을 표시하는 증명서/증명과는 다른 데이터의 존재 여부의 레코딩을 포함할 수 있다. 이벤트의 레코딩은 영역에 관련된 추가 데이터의 레코딩을 포함할 수 있다. 레코딩 인증은 레코딩의 디지털 방식 서명을 포함할 수 있다. 이벤트 레코딩 인증은 이벤트 레코딩을 인증하고 다른 이벤트 레코딩도 인증하여 단일 인증 레코딩을 제공하는 단계를 포함할 수 있다. 단일 인증 레코딩이 한 카드에 저장될 수 있다. 인증 레코딩은 카드에 저장될 수 있다. 카드는 카드에 저장된 다른 인증 레코딩을 가질 수 있다. 다른 인증 레코딩은 영역 액세스에 사용되는 카드와 연계하여 카드에 의해 제공될 수 있다. 다른 인증 레코딩이 확인될 수 없을 경우에 액세스가 거부될 수 있다. 영역 액세스에 관련하여 컨트롤러가 제공될 수 있고, 이 경우에 컨트롤러는 다른 인증 레코딩을 추가적으로 인증한다. 다른 인증 레코딩은 디지털 인증서를 이용하여 인증될 수 있다. 로그인 이벤트는 영역 액세스 시도를 위해 사용자가 카드를 제시하는 단계를 또한 포함한다. 로그인 이벤트는 영역 액세스를 시도하는 사용자와 연계하여 인증된 레코딩을 카드가 추가적으로 인증하는 단계를 또한 포함할 수 있다. 영역 액세스와 관련하여 컨트롤러가 제공될 수 있고, 이 경우에, 컨트롤러와 카드가 함께, 인증된 레코딩을 추가적으로 인증할 수 있다. 로그인 이벤트는 인증된 레코딩의 콘텐트들을 표시하는 상관 발생 데이터를 제공하는 단계를 추가로 포함한다. 상관 발생 데이터는 인증된 레코딩에 결합될 수 있다. 상관 발생 데이터는 인증된 레코딩에 결합될 수 있고, 결과적인 결합이 인증될 수 있다. 결과적인 결합이 디지털 방식으로 서명될 수 있다. 상관 발생 데이터는 일련의 수치들일 수 있고, 이 수치들 중 특정 수치가 이벤트에 할당될 수 있다. 로그인 이벤트는 특정 수치와 이벤트의 결합을 인증하는 단계를 또한 포함할 수 있다. 이 결합의 인증은 상기 결합을 일방향 해싱한 후, 그 결과를 디지털방식으로 서명하는 단계를 포함한다. 이벤트에 대한 상관 발생 데이터는 다른 이벤트를 식별하는 정보를 포함할 수 있다. 다른 이벤트가 이전 이벤트일 수 있다. 다른 이벤트는 차후의 이벤트일 수 있다. 로그인 이벤트는 이벤트에 대한 제 1, 2 임의 값을 상관시키는 단계와, 제 1, 2 임의 값들 중 한가지 이상을 다른 이벤트와 상관시키는 단계와, 상기 제 1, 2, 값 중 한가지 이상을 다른 이벤트에 결합하는 단계를 또한 포함할 수 있다. 상관 발생 데이터를 제공하는 것은, 다항식을 이용하여 상관 정보를 발생시키는 단계를 포함할 수 있다. 상관 발생 데이터를 제공하는 것은, 해시 체인을 이용하여 상관 정보를 발생시키는 단계를 포함할 수 있다. 상관 발생 데이터는 다수의 다른 이벤트에 관한 정보를 포함할 수 있다. 상관 발생 데이터는 오류 교정 코드들을 포함할 수 있다. 로그인 이벤트들은 인증된 레코딩을 보급시키는 단계를 또한 포함할 수 있다. 인증된 레코딩의 보급은 영역 액세스를 시도하는 사용자에 의해 제시되는 카드에 인증된 레코딩을 제공하는 단계를 포함할 수 있다. 이 영역은 벽과 도어에 의해 형성될 수 있다.
발명의 한 태양에 따르면, 한개 이상의 관리 실체가 전자 장치에 대한 액세스를 제어한다. 이 제어는, 전자 장치에 대한 증명서 및 다수의 대응하는 증명들을 상기 한개 이상의 관리 실체가 발생시킴으로서 구현되며, 이때, 만료된 증거에 대한 증명서 및 값만이 제시될 때 어떤 유효 증거도 결정될 수 없다. 또한, 전자 장치가 증명서를 수신하고, 액세스가 특정 시간에 승인될 경우 전자 장치는 특정 시간에 대응하는 증명을 수신하며, 전자 장치는 증명서를 이용하여 증명을 확인한다. 단일 관리 실체가 증명서를 발생시킬 수 있고, 증명을 발생시킬 수 있다. 증명서를 발생시키는 제 1 관리 실체와, 증명들을 발생시키는 다른 관리 실체들이 존재할 수 있다. 제 1 관리 실체는 증명을 발생시킬 수도 있고, 발생시키지 않을 수도 있다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함하는 디지털 인증서일 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 디지털 인증서는 전자 장치에 대한 식별자를 포함할 수 있다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함할 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 증명서는 전자 장치에 대한 식별자를 포함할 수 있다. 전자 장치는 컴퓨터일 수 있고, 이 컴퓨터는 액세스가 승인될 경우에만 부팅된다. 전자 장치가 디스크 드라이브일 수 있다. 한개 이상의 관리 실체에 의한 전자 장치에 대한 액세스 제어는 한개 이상의 관리 실체와는 다른 한개 이상의 증명 분배 실체를 이용하여 증명들을 제공하는 단계를 포함할 수 있다. 단일 증명 분배 실체가 존재할 수도 있고, 다수의 증명 분배 실체가 존재할 수도 있다. 한개 이상의 관리 실체에 의한 전자 장치에 대한 액세스 제어는 전자 장치에 대한 연결을 이용하여 증명을 제공하는 단계를 포함할 수 있다. 이 연결이 인터넷일 수 있다. 증명들 중 일부분은 전자 장치에 국부적으로 저장될 수 있다. 한개 이상의 관리 실체에 의한 전자 장치에 대한 액세스 제어는 해당 시간에 대응하는 증명이 국부적으로 가용하지 않을 경우, 외부 연결을 통해 전자 장치가 증명들을 요청하는 단계를 포함할 수 있다. 각각의 증명은 특정 시간 구간과 연계될 수 있다. 증명들 중 특정 증명에 관련된 특정 시간 구간이 경과한 후, 전자 장치는 새 증명을 수신할 수 있다. 시간 구간은 하루일 수 있다.
본 발명의 한 태양에 따르면, 전자 장치에 대한 증명서와, 다수의 대응하는 증명들 중 한가지 이상을 수신함으로서 전자 장치가 액세스를 제어한다. 이때, 만료된 증명에 대한 증명서 및 값이 주어졌을 때 어떤 유효 증명들도 결정되지 못하며, 증명서를 이용하여 다수의 증명들 중 한가지 이상이 테스트된다. 증명서들은 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함하는 디지털 인증서일 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 디지털 인증서는 전자 장치에 대한 식별자를 포함할 수 있다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함할 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 증명서는 전자 장치에 대한 식별자를 포함할 수 있다. 전자 장치는 컴퓨터일 수 있다. 전자 장치의 액세스 제어는 액세스가 승인되는 경우에만 컴퓨터를 부팅하는 단계를 포함할 수 있다. 전자 장치가 디스크 드라이브일 수 있다. 전자 장치의 액세스 제어는 전자 장치에 대한 연결을 이용하여 증명을 도출하는 단계를 포함할 수 있다. 이 연결이 인터넷일 수 있다. 증명들 중 일부분은 전자 장치에 국부적으로 저장될 수 있다. 전자 장치의 액세스 제어는 해당 시간에 대응하는 증명이 국부적으로 가용하지 않을 경우, 외부 연결을 통해 전자 장치가 증명들을 요청하는 단계를 포함할 수 있다. 각각의 증명은 특정 시간 구간과 연계될 수 있다. 증명들 중 특정 증명에 관련된 특정 시간 구간이 경과한 후, 전자 장치는 새 증명을 수신할 수 있다. 시간 구간은 하루일 수 있다.
본 발명의 한 태양에 따르면, 전자 장치에 대한 액세스 제어는 전자 장치에 증명서를 제공하는 단계와, 액세스가 특정 시간에 허가될 경우, 특정 시간에 대응하는 전자 장치에 증명을 제공하는 단계로서, 이때, 이 증명은 만료된 증명에 대한 값과 증명서만으로는 결정될 수 없는 단계를 포함한다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함하는 디지털 인증서일 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 디지털 인증서는 전자 장치에 대한 식별자를 포함할 수 있다. 증명서는 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함할 수 있다. 각각의 증명은 증명들 중 차후의 증명에 일방향 함수를 적용한 결과일 수 있다. 증명서는 전자 장치에 대한 식별자를 포함할 수 있다. 전자 장치는 컴퓨터일 수 있다. 전자 장치에 대한 액세스 제어는 액세스가 승인될 경우에만 컴퓨터가 부팅되는 단계를 포함한다. 전자 장치가 디스크 드라이브일 수 있다. 전자 장치에 대한 액세스 제어는 한개 이상의 관리 실체와는 다른 한개 이상의 증명 분배 실체를 이용하여 증명들을 제공하는 단계를 포함할 수 있다. 단일 증명 분배 실체가 존재할 수도 있고, 다수의 증명 분배 실체가 존재할 수도 있다. 전자 장치에 대한 액세스 제어는 전자 장치에 대한 연결을 이용하여 증명을 제공하는 단계를 포함할 수 있다. 이 연결이 인터넷일 수 있다. 증명들 중 일부분은 전자 장치에 국부적으로 저장될 수 있다. 전자 장치에 대한 액세스 제어는 해당 시간에 대응하는 증명이 국부적으로 가용하지 않을 경우, 외부 연결을 통해 전자 장치가 증명들을 요청하는 단계를 포함할 수 있다. 각각의 증명은 특정 시간 구간과 연계될 수 있다. 증명들 중 특정 증명에 관련된 특정 시간 구간이 경과한 후, 전자 장치는 새 증명을 수신할 수 있다. 시간 구간은 하루일 수 있다.
도 1A는 다수의 전자 장치(24-26)가 연결된 일반적 연결 수단(22)을 도시한다. 도 1A의 시스템(20)에서는 3개의 전자 소자(24-26)만이 도시되고 있으나, 시스템은 임의의 숫자의 전자 장치들과도 동작할 수 있다. 연결 수단(22)은 직접적인 전자적 데이터 연결, 전화선을 통한 연결, LAN, WAN, 인터넷, 가상 프라이빗 네트워크, 또는 데이터 통신을 제공하는 그외 다른 수단으로 구현될 수 있다. 전자 장치(24, 26)들은 한개 이상의 랩탑 컴퓨터, 데스크탑 컴퓨터, PDA, 휴대폰, 디스크 드라이브, 대량 저장 장치, 또는 액세스 제한용으로 사용될 수 있는 그외 다른 전자 장치들을 나타낸다. 본원의 한 실시예에서 전자 장치(24-26)는, 사용자/근로자가 회사에서 퇴직한 경우나 컴퓨터 중 한대 중 한대를 도난당한 경우, 해당 컴퓨터에 대한 액세스를 제한하고자 하는 회사의 근로자에 의해 이용되는 데스크탑이나 랩탑 컴퓨터를 나타낸다. 물론, 전자 장치(24-26) 중 한개 이상에 대한 액세스를 제한하는 이유에 다른 이유가 있을 수 있으며, 본원의 시스템은 임의의 적절한 구현과 연계하여 사용될 수 있다.
관리 실체(28)는 전자 장치(24-26)에 대한 사용자의 액세스를 허가하는 대책을 수립한다. 가령, 관리 실체(28)는 특정 사용자 U1이 전자 장치(24-26) 줌 임의의 장치에 더이상 액세스하지 못함을 결정할 수 있고, 또다른 사용자 U2가 전자 장치(24)에만 액세스할 수 있고 나머지 전자 장치(25, 26)에는 액세스할 수 없음을 결정할 수 있다. 관리 실체(28)는 사용자 액세스 설정을 위해 임의의 대책을 이용할 수 있다.
관리 실체(28)는 연결 수단(22)을 통해 전자 장치(24-26)에 전송되는 다수의 증명(proofs)을 제공한다. 이 증명들은 아래에서 설명되는 다른 수단에 의해 전자 장치(24-26)에 제공될 수 있다. 전자 장치(24-26)들은 분배된 증명들을 수신하고, 내부적으로 저장된 증명서(credentials)를 이용하여 액세스가 허가되어야 하는 지를 결정한다. 부가적으로, 증명 분배 실체(32)가 상기 연결 수단(22)과 상기 관리 실체(28)에 연결될 수 있다. 증명 분배 실체(32)는 다수의 전자 장치(24-26)에 증명들을 제공한다. 한 실시예에서, 증명(proof)은 한 사용자 및 전자 장치들(24-26) 중 하나에 대해서만 유효하며, 부가적으로 지정 일자나 지정 일자 범위동안만 유효할 수 있다.
증명(proof)은 본원에서 참고로 인용되는 미국특허 5,666,416 호에 개시된 메커니즘 등을 이용하여 제공될 수 있다. 상기 미국특허에 따르면, 각각의 전자 장치(24-26)는 관리 실체(28)(또는 그외 다른 승인 실체)가 서명한 디지털 인증서를 증명서(credentials)로 수신하며, 이때, 상기 디지털 인증서는 N회 적용되는 일방향 함수를 가지는 초기값을 표현하는 특정 값을 지닌다. 각각의 새 시간 구간에서, 전자 장치들은 상기 일방향 함수의 적용에 의해 도출되는 N개 값들의 세트에서 이 값들 중 하나로 구성되는 증명을 제시받을 수 있다. 이러한 경우에, 전자 장치(24-26)들은 디지털 인증서에 제공된 특정 값을 도출하기 위해 상기 일방향 함수를 다수의 횟수로 적용함으로서 상기 증명이 정당한 것임을 확인해줄 수 있다. 이러한 메커니즘 및 그외 다른 메커니즘이 아래에서 보다 상세하게 설명된다.
여기서 설명한 적정 증명서 및 증명을 제공하거나, 고유 증명을 발생시키기 위해 그외 다른 메커니즘을 이용함에 있어, 미국, 매사츄세츠주 캠브리지 소재 CoreStreet, Ltd. 사 제품 중 한가지 이상을 이용하는 것도 가능하다. 이때, 상기 고유 증명이란, 관리 당국에 의해서만 발생될 수 있으면서, 그외 다른 증명들을 발생시키는 데는 사용될 수 없는 증명을 의미한다. 따라서, 정당한 증명 P1이 주어졌을 때, 비승인자가 다른 용도(가령, 다른 시간 구간, 다른 장치 등)의 또다른 정당한 증명 P2을 발생시킬 수 없게 된다. 따라서, 발급된 증명들은 보안화되지 않은 방식으로 저장되거나 분포될 수 있고, 이로 인해 시스템에 관련된 비용이 실질적으로 절감된다. 물론, 발급되지 않은(가령, 미래의) 증명을 위한 적절한 보안성을 유지하면서 증명서 및 증명을 발생시키는 실체에 대한 적절한 보안성을 유지하는 것이 바람직하다.
추가적으로, 정당 증명 P1-PN을 소지한 비승인자가 새 증명 PN+1을 발생시킬 수 없다. 이는 수많은 경우에 바람직하게 나타난다. 가령, 퇴직 근로자가 회사 근무시 자신의 랩탑을 이용하여 사용했던 모든 과거의 정당 증명들을 여전히 소유하고 있을 지라도 퇴직 후 자신의 회사 랩탑에 대한 비승인 액세스를 제공하도록 새 증명을 발생시키지 못할 것이다.
한 실시예에서, 전자 장치(24-26)들은 상술한 처리과정을 실행하는 펌웨어나 운영 체제 소프트웨어를 가진 컴퓨터이다. 이 경우에 비승인 로그인이나 액세스를 막기 위해 상기 증명들이 사용된다. 부팅시나, 충분한 시간 경과 후, 컴퓨터는 동작을 위한 적정 증명을 요구할 것이다. 본 실시예에서, 이러한 기능은 표준 윈도우즈 로그인 시스템(추가적으로 BIOS나 PXE 환경)에 일체화될 수 있다. 관리 실체(28)는 법인 마이크로소프트 네트워크의 정규 사용자-관리 툴과 일체화될 수 있고, 관리자가 각각의 사용자에 대한 로그인 대책을 수립할 수 있다. 여러 경우에, 관리 실체(28)는 기존 관리 정보로부터 모든 필요 정보를 도출할 수 있어서, 이 새로운 기능을 관리자에게 거의 투명하게 내보이며, 교육 및 채택 비용을 절감시킨다. 관리 실체(28)는 랩탑 제작자, BIOS 메이커, 또는 그외 다른 트러스트 파트너에 의해 ASP 모델로 호스팅될 수 있고, 또는 법인 네트워크 내에서 구동될 수 있다. 증명 분배 실체(32)는 법인 네트워크 내에서 부분적으로, 그리고 글로벌 사이트에서 부분적으로 구동될 수 있다. 증명은 민감한 정보가 아니기 때문에, 증명 분배 시스템의 글로벌-액세스 저장소(globally-accessible repositories)는 웹 서버로 구현될 수 있고, 따라서 이 증명을 그 법인 네트워크 외부의 사용자에게도 가용하게 한다.
한 실시예에서, 각각의 컴퓨터는 매일 새 증명을 요구할 것이다. 그러나, 당 분야의 통상의 지식을 가진 자라면, 컴퓨터가 매주 새 증명을 요구하거나 매시간 새 증명을 요구하는 등과 같이 이러한 시간 구간이 변경될 수 있음을 이해할 수 있을 것이다.
추가적으로, IDE 하드 드라이브의 거의 사용되지 않는 특징들을 활용하는 것도 가능하다. 이는 회전하기 전에 드라이브에 제시되어야만 하는 드라이브 상의 비밀번호 설정을 가능하게 하고, 콘텐트에 대한 액세스를 가능하게 한다. 이 드라이브에 대한 펌웨어가 상술한 시스템의 이용을 위해 수정될 경우, 하드 드라이브에 대한 액세스가 제한될 수 있다. 가령, 이를 다른 컴퓨터에 배치함으로서 컴퓨터 하드 드라이브에 대한 액세스를 취하는 것이 불가능할 수 있다. 이러한 특징은 다른 종류의 하드 드라이브로도 구현될 수 있다.
또다른 구현에서, 시스템은 데이터 파일, 물리적 스토리지 볼륨, 로직 볼륨 등에 액세스하는 것과 연계하여 사용될 수 있다. 파일에 대한 액세스 제한과 같은 일부 경우에, 대응하는 운영 체제에 적정 수정사항을 제공하는 것이 유용할 수 있다.
도 1B를 참고해보자. 다수의 관리 실체(28a-28c)를 구비한 대안의 시스템(20')이 도시된다. 시스템(20')이 세개의 관리 실체(28a-28c)를 도시하고 있으나, 본원의 시스템은 다수의 관리 실체를 이용하여 동작할 수도 있다. 시스템(20')에 의해 제시되는 실시예에서, 관리 실체(28a-28c) 중 하나(가령, 28a)가 증명서(credentials)를 발생시키고, 관리 실체(28a-28c) 중 나머지들(가령, 28b, 28c)은 증명들을 발생시키는 것이 가능하다. 또는 모든 관리 실체(28a-28c)가 증명들을 발생시키는 것이 가능하다. 부가적으로, 증명 분배 실체(32)가 사용될 수 있다.
도 1C의 시스템(20")은 다수의 증명 분배 실체(32a-32c)를 구비한 대안의 실시예를 제시한다. 시스템(20")이 세개의 증명 분배 실체(32a-32c)만을 도시하고 있으나, 본원의 시스템은 임의의 숫자의 증명 분배 실체로도 구현될 수 있다. 시스템(20")은 미국, 매사츄세츠, 캠브리지 소재의 Akamai Technologies Incorporated 사에서 제공한 기술을 이용하여 구현될 수 있다.
도 1D의 시스템(20"')은 다수의 관리 실체(28a'-28c')와 다수의 증명 분배 실체(32a'-32c')을 구비하고 있다. 시스템(20"')이 세개의 관리 실체와 세개의 증명 분배 실체만을 제시하고 있으나, 그 숫자에 관계없이 시스템이 구현될 수 있다. 시스템(20"')은 도 1B에서 제시한 시스템(20')의 특징들을 도 1C에서 제시한 시스템(20")의 특징들과 조합한다.
도 2에서는 타당성 검증 유닛(validation unit)(42), 증명서 데이터(44), 그리고 증명 데이터(46)를 포함하는 전자 장치(24)를 상세하게 도시한다. 타당성 검증 유닛(42)은 하드웨어, 소프트웨어, 펌웨어, 또는 이들간의 임의의 조합을 이용하여 구현될 수 있다. 소정의 조건 하에서, 가령, 부팅시, 타당성 검증 유닛(42)은 시작 신호를 수신한다. 상기 시작 신호는 타당성 검증 유닛(42)으로 하여금 증명서 데이터(44)와 증명 데이터(46)를 검사하게 하고, 그 결과를 바탕으로 하여, 정당 증명이 제시되었음을 표시하는 패스 신호(pass signal)를 발생시키고, 그렇지 않을 경우엔 페일 신호(fail signal)를 발생시킨다. 타성성 검증 유닛(42)의 출력은 컴퓨터 부트업 펌웨어같은 팔로우 온 처리/소자(follow on processing/devices)에 의해 이용되어, 동작의 진행 여부를 결정한다.
본 실시예에서, 전자 장치(24)는 타당성 검증 유닛(42)에 의해 제어되는 외부 인터페이스(48)를 포함한다. 타당성 검증 유닛(42)에서처럼, 외부 인터페이스(48)는 하드웨어, 소프트웨어, 펌웨어, 또는 이들간의 임의의 조합을 이용하여 구현될 수 있다. 외부 인터페이스(48)는 가령, 연결 수단(22)에 연결되며, 증명 데이터(46)에 저장될 수 있는 새 증명을 페치하는 데 사용된다. 따라서, 증명 데이터(46)에 저장된 증명들이 충분하지 않다(가령, 기한이 경과되었다)라고 타당성 검증 유닛(42)이 결정할 경우, 타당성 검증 유닛(42)은 외부 인터페이스(48)로 하여금 연결 수단(22)을 통해 새 증명을 요청하도록 외부 인터페이스(48)에게 신호를 제공한다. 물론, 전자 장치(24)를 분실하였거나 사용자가 퇴직하였거나, 그외 다른 이유로 전자 장치(24)에 대한 액세스를 허용할 수 없을 경우에, 외부 인터페이스(48)는 유효한 증명을 획득할 수 없을 것이다. 일부 실시예에서, 외부 인터페이스(48)는 적정 전자적 연결을 행하도록(가령, 네트워크에 랩탑을 연결하도록) 사용자에게 프람프트를 제시한다.
본원의 한 실시예에서, 시간 데이터(52)는 타당성 검증 유닛(42)에 정보를 제공하여, 유효 증명이 타당성 검증 유닛(42)에 제시된 마지막 시간을 표시한다. 이 정보는 너무 빈번한 증명의 요청을 막는 데 사용되며, 이와 동시에, 새 증명 요청 전에 너무 오랜 시간 대기하는 것을 방지하는 데 사용될 수 있다. 타당성 검증 유닛(42), 외부 인터페이스(48), 증명서 데이터(44), 증명 데이터(46), 그리고 시간 데이터(52)의 상호작용 및 이용이 나중에 더욱 상세하게 설명된다.
도 3의 순서도(70)에서는 패스 신호나 페일 신호를 발생시키도록 타당성 검증 유닛(42)이 증명서 데이터(44)와 증명 데이터(46)를 검사하여야 하는 지를 결정하기 위해, 시작 신호를 타당성 검증 유닛(42)에 전송할 지 여부를 결정하는 것과 관련하여 실행되는 단계들을 도시한다. 처리 과정은 첫 단계 72에서, 부트 업 동작이 실행 중인 지를 결정한다. 한 실시예에서, 부트 업 동작과 관련하여 증명들이 항상 체크된다. 따라서, 부트 업이 실행 중이라고 단계 72에서 결정되면, 제어는 단계 72에서 단계 74로 넘어가, 시작 신호가 타당성 검증 유닛(42)에 전달된다. 단계 74에 이어 단계 76에서는 다시 사이클링하기 전에 프로세스가 지정 시간을 기다린다. 한 실시예에서, 지정 시간은 하루일 수 있다. 그러나, 다른 시간도 얼마든지 사용될 수 있다. 단계 76에 이어, 테스트 단계 72로 제어가 다시 되돌아간다.
테스트 단계 72에서 부트 업 동작이 실행 중이 아니라고 결정되면, 제어는 테스트 단계 72에서 테스트 단계 78로 진행하여, 타당성 검증 유닛(42)의 최종 동작 이후 지정 시간이 경과하였는 지를 결정한다. 이는 시간 데이터 요소(52)와 현 시스템 시간을 이용하여 결정될 수 있다. 한 실시예에서, 단계 78에 사용되는 지정 시간은 하루다. 테스트 단계 78에서 타당성 검증 유닛(42)의 최종 동작 이후 경과 시간이 지정 시간보다 크다고 결정될 경우, 제어는 테스트 단계 78에서 단계 74로 넘어가, 시작 신호가 타당성 검증 유닛(42)에 전달된다. 경과 시간이 지정 시간보다 크지 않을 경우, 단계 74나 단계 78 이후 단계 76이 이어진다.
도 4의 순서도(90)에서는 충분한 증명을 수신하였는 지에 대한 타당성 검증 유닛(42)의 결정과 관련하여 실행되는 단계들이 제시된다. 본원에서 언급하는 바와 같이, 타당성 검증 유닛(42)은 패스 신호나 페일 신호를 다음 처리/소자(가령, 컴퓨터 부트업 펌웨어나 디스크 드라이브 펌웨어)에 전달한다. 처리 과정의 첫번째 단계 92에서는, 타당성 검증 유닛(42)이 필요한 증명을 결정한다. 필요한 증명은 패스 신호를 전달하기에 충분하다고 타당성 검증 유닛(42)에 의해 결정되는 증명이다. 타당성 검증 유닛(42)은 증명서 데이터(44), 증명 데이터(46), 시간 데이터(52), 그리고 구간/시스템 클럭을 검사함으로서 필요한 증명들을 결정한다. 단계 92에 이어 단계 94에서는, 적정 증명이 국부적으로(즉, 증명 데이터(46)에서) 가용한 지, 그리고 국부적으로 제공되는 증명이 필요한 요건에 부합하는 지를 결정한다. 만약 그러하다면, 제어는 단계 94에서 단계 96으로 진행하여, 타당성 검증 유닛(42)이 패스 신호를 발급한다. 단계 96에 이어 처리과정이 종료된다.
일부 실시예에서, 증명 데이터(46)에 차후 증명들을 획득하여 저장하는 것이 가능하며 또한 바람직하다. 예를 들어, 관리 실체(28)나 증명 분배 실체(32)에 대한 연결없이 존재할 것으로 예상되는 사용자가 차후 증명들을 획득하고 저장할 수 있다. 이러한 실시예에서, 전자 장치는 관리 실체(28)나 증명 분배 실체(32)에 연결될 때 차후 증명들을 위한 자동적인 폴링을 실시할 수 있다. 이는 지정 대책에 따라 제공될 수 있다. 대안으로 또는 추가적으로, 통제 대책에 따라 제공될 수도 있고 제공되지 않을 수도 있는 차후 증명들을 전자 장치나 사용자가 구체적으로 요청하는 것이 가능하다.
단계 94에서 적정 증명이 국부적으로(즉, 증명 데이터(46) 내에서) 가용하지 않다고 결정되면, 제어는 테스트 단계 94로부터 테스트 단계 98로 넘어가, 외부 인터페이스(48)로 하여금 증명 인출을 시도하게 하는 신호를 제공함으로서(일례임), 적정 증명이 외부적으로 가용한 지를 타당성 검증 유닛(42)이 결정한다. 외부적으로 제공되는 증명이 필요한 요건에 부합한다고 테스트 단계 98에서 결정될 경우, 제어는 테스트 단계 98에서 단계 96으로 넘어가, 타당성 검증 유닛(42)이 통과 신호를 발급한다. 본원의 한 실시예에서, 외부적으로 제공되는 증명이 증명 데이터(46)에 저장된다.
적정 연결이 없거나 그외 다른 이유로, 적정 증명이 외부적으로 가용하지 않다고 테스트 단계 98에서 결정될 경우, 제어는 테스트 단계 98로부터 단계 102로 넘어가, 적정 증명을 입력할 것을 사용자에게 프람프트로 제시한다. 한 실시예에서, 사용자가 적정 전기적 연결이 없는 한 위치에 있을 때, 사용자는 특정 전화 번호를 호출할 수 있고, 단계 102에서 제공되는 프람프트와 연계하여 전자 장치에 수작업으로 입력할 수 있는 숫자 형태의 적정 증명을 수신할 수 있다. 물론, 사용자는 신문에 공개되거나 타이핑되거나 수기로 쓰는 등의 다른 수단에 의해 증명을 수신할 수도 있다.
단계 102에 이어 단계 104에서는 필요한 요건에 부합하는 증명을 사용자가 입력하였는 지를 결정한다. 만약 그러하다면, 제어는 테스트 단계 104로부터 단계 96으로 진행하여, 타당성 검증 유닛(42)이 패스 신호를 발급한다. 그렇지 않을 경우 제어는 테스트 단계 104로부터 단계 106으로 진행하여, 타당성 검증 유닛(42)이 페일 신호를 발급한다. 단계 106에 이어 처리과정이 완료된다.
도 5의 순서도(120)에는 타당성 검증 유닛(42)에 의해 이용되는 증명서들을 발생시키는 데 관련하여 실행되는 단계들이 제시된다. 순서도(120)의 단계들은 관리 실체(28)에 의해 실행되는 데, 상기 관리 실체(28)는 증명서들(과 일련의 증명들)을 발생시키고 이 증명서들을 전자 장치(24)에 제공한다. 다른 적정 실체들(가령, 관리 실체(28)에 의해 승인받은 실체들)도 증명서들을 발생시킬 수 있다. 증명서 및 증명을 발생시킴에 관련하여 난수 값이 사용되며, 이는 일반적으로 예측불가능하다. 단계 122에 이어 단계 124에서는 인덱스 변수 I가 1로 설정된다. 한 실시예에서, 제공되는 증명서들은 1년 동안 사용되며, 매일 새 증명이 필요하다. 따라서, 증명서 발생과 관련하여 365개의 증명들이 발생될 수 있다. 인덱스 변수 I는 발생되는 증명들의 수를 기억하는 데 사용된다. 단계 124에 이어 단계 126에서는 초기 증명값 Y(0)가 단계 122에서 발생된 난수값 RV와 같도록 설정된다.
단계 126 다음에 테스트 단계 128에서는 인덱스 변수 I가 종료값 IEND 보다 큰 지를 결정한다. 상술한 바와 같이, 한 실시예에서, 증명서 발생과 관련하여 365개의 증명들이 발생한다. 따라서, 본 실시예에서 IEND는 365이다. 그러나, 다른 실시예의 경우에는 IEND를 임의의 수치로 설정하는 것이 가능하다.
I의 값이 IEND보다 크지 않다고 단계 128에서 결정되면, 제어는 단계 128에서 단계 132로 진행하여, Y(I)가 Y(I-1)에 적용된 일방향 함수와 같도록 설정된다. 단계 132에 이용되는 일방향 함수의 경우에, 일방향 함수를 적용한 결과가 제시된 상태에서, 일방향 함수에 입력된 값을 결정하는 것이 거의 불가능하다. 따라서, 단계 132에 사용된 일방향 함수의 경우에, Y(I)가 주어졌을 때, 입력(본 경우에 Y(I-1))의 값을 확증하기 매우 어렵거나 불가능하다. 본원에서 사용되는 바와 같이, 일방향 함수라는 용어는 종래의 일방향 해시 함수와 디지털 시그너처를 포함하는, 이 성질을 적절하게 제공하는 임의의 함수나 연산을 의미한다. 단계 132에 사용된 일방향 함수의 이러한 성질은 발급된 증명을 비-보안 방식으로 저장하고 분포시킬 수 있다는 측면에서 유용하다. 증명서 및 증명들이 여러 다른 시간에 발생될 수 있고, 증명들은 증명서를 발생시킨 실체나 그외 다른 실체에 의해 차후에 재발생될 수 있다. 또다른 실시예의 경우에, Y(I)가 Y(I-1)이나 그외 다른 Y의 함수가 아닐 수 있다.
처리 과정은 난수 RV가 발생되는 첫 단계 122에서 시작된다. 단계 132에 이어 단계 134에서는 인덱스 값 I가 증분된다. 단계 134 이후에, 제어는 다시 테스트 단계 128로 되돌아간다. 테스트 단계 128에서 I가 IEND 보다 크다고 결정되었다면, 제어는 테스트 단계 128로부터 단계 136으로 진행하여 최종 값 FV가 Y(I-1)로 설정된다. I가 IEND를 넘어 증분되었기 때문에 I에서 1을 뺀다는 점에 주목하여야 한다. 단계 136 다음에는 단계 138이 이어져, 관리 실체(28)(또는 증명과 증명서를 발생시키는 그외 다른 실체)가 최종 값, 현재 날짜, 그리고, 증명과 관련하여 사용된 그외 다른 정보를 디지털 방식으로 서명한다. 한 실시예에서, 나머지 정보는 특정 전자 장치(가령, 랩탑), 특정 사용자, 또는, 특정 전자 장치나 특정 사용자에게 증명서 및 증명을 바인딩하는 그외 다른 정보, 또는 그외 다른 성질을 식별하는 데 사용될 수 있다. 부가적으로, 날짜 및 최종 값 FV가 나머지 정보와 조합될 수 있다. 가령, "device #123456 is valid on 1/1/2004"라는 단순한 OSCP-형 서명 메시지를 이용하거나, 특정 장치의 온 및 오프에 대응하는 miniCRL에서의 비트를 가지는 것이 가능하다. 이러한 경우에, 장치의 증명서는 장치를 승인할 수 있다. 즉, 장치가 진짜 device #123456 등임을 결정할 수 있다. OSCP와 miniCRL은 당 분야에 공지된 것이다. 단계 138에 이어 처리과정이 종료된다.
도 6의 순서도(150)에서는 증명의 유효성을 결정함에 관련하여 타당성 검증 유닛(42)에 의해 실행되는 단계들이 도시된다. 처리과정은 첫 단계 152에서 시작되는 데, 타당성 검증 유닛(42)이 증명을 수신한다. 가령, 증명 데이터(44)로부터 증명을 판독한다. 단계 152에 이어 단계 154에서는, 타당성 검증 유닛(42)이 증명서를 수신한다. 가령, 증명서 데이터(46)를 판독한다.
단계 154에 이어 단계 156에서는, 증명서를 제공받은 나머지 정보가 유효한 지를 결정한다. 나머지 정보란, 전자 장치의 식별, 사용자 식별, 또는 그외 다른 성질의 식별 정보를 포함한다. 증명서에 관련된 나머지 정보가 나머지 정보에 의해 설명된 특정 성질과 일치하지 않는다고 단계 156에서 결정될 경우, 제어는 테스트 단계 156으로부터 단계 158로 진행하여 페일 신호가 제공된다. 단계 158에 이어 처리과정이 종료된다.
증명서에 관련된 나머지 정보가 유효하다고 테스트 단계 156에서 결정되면, 제어는 테스트 단계 156으로부터 단계 162로 진행하여, 현재 날짜에서 증명서의 날짜를 뺀 값이 변수 N의 값으로 설정된다(즉, 증명서 발급후 경과일). 단계 162 이후 단계 164에서는, 단계 152에서 제공된 증명 값에 일방향 함수가 N회 적용된다. 단계 164에서 사용된 일방향 함수는 앞서 설명한 단계 132에서 사용된 일방향 함수에 대응한다.
단계 164에 이어 테스트 단계 166에서는, 단계 164에서 얻은 결과가 단계 154에서 수신한 증명서의 일부분인 최종 값 FV와 일치하는 지를 결정한다. 만약 일치한다면, 제어는 테스트 단계 166으로부터 단계 168로 진행하여, 타당성 검증 유닛(42)에 의해 패스 신호가 제공된다. 그렇지 않을 경우, 단계 164에서 얻은 결과가 단계 154의 증명서에 제공된 최종값 FV와 일치하지 않는다고 결정될 경우, 제어는 테스트 단계 166으로부터 단계 172로 진행하여, 타당성 검증 유닛(42)에 의해 페일 신호가 제공된다. 단계 172 이후, 처리과정이 종료된다.
디지털 시그너처들이 유효한 형태의 인터넷 인증을 제공할 수 있다. 전통적인 비밀번호 및 PIN과 달리, 디지털 시그너처들은 범용으로 확인할 수 있고 부인할 수 없는 인증을 제공할 수 있다. 디지털 시그너처들은 서명 키(signing key) SK를 통해 생성될 수 있고, 일치 확인 키(matching verification key) PK를 통해 확인될 수 있다. 사용자 U는 자신의 고유 SK를 기밀로 유지한다. 따라서 U만이 U를 대리하여 서명할 수 있다. 다행스럽게도, 키 PK는 일치 키 SK를 "누설하지 않는다". 즉, 불순한 의도를 가진 자가 PK를 안다고 해서 SK 연산에 어떤 실제적 이점을 제공받지 못한다. 따라서, 사용자 U는 자신의 고유 PK를 가능한 퍼블릭 형태로 유지할 수 있고, 따라서 모든 이들이 U의 시그너처를 확인할 수 있다. 이러한 이유로 PK는 퍼블릭 키라 불린다. "사용자"라는 용어는 사용자, 실체, 장치, 또는, 사용자, 장치, 실체들의 컬렉션을 의미하는 것이다.
퍼블릭 키는 비대칭 암호화용으로도 사용될 수 있다. 퍼블릭 암호화 키 PK는 일치 해역 키 SK와 함께 발생될 수 있다. 또한, PK를 안다고 해서 SK를 알 수는 없다. 임의의 메시지가 PK를 이용하여 용이하게 암호화될 수 있다. 그러나, 이렇게 연산된 암호문은 SK을 알때만 쉽게 해역될 수 있다. 따라서, 사용자 U는 자신의 고유 PK를 가능한 퍼블릭 형태로 유지하면서(따라서 모든이가 U에 대한 메시지를 암호화할 수 있다), SK는 프라이빗 형태로 유지할 수 있다(따라서 U만이 U에 대해 암호화된 메시지를 판독할 수 있다).
잘 알려진 RSA 시스템은 디지털 시그너처 및 비대칭 암호화의 한 예를 제공한다.
인증서라 불리는 수문자 스트링은 주어진 키 PK가 주어진 사용자 U의 퍼블릭 키라는 것을 제시한다. 인증 기관(certification authority)(CA)이라 불리는 실체가 인증서를 발생시켜 이를 사용자에게 발급한다. 인증서는 지정 시간 이후 만료된다. 보통 퍼블릭 CA의 경우에 1년이 유효기간에 해당한다. 실질적으로, 디지털 인증서 C는 여러가지 양들을 함께 견고하게 바인딩하는 CA의 디지털 시그너처로 구성된다. 이때, 여러가지 양이란, 인증서에 고유한 시리얼 번호 SN, 사용자의 퍼블릭 키 PK, 사용자 이름 U, 발급일 D1, 만료기한 D2, 그리고 추가적인 정보 AI 가 있다. 기호로 표현하자면, C = SIGCA(SN, PK, U, D1, D2 , AI) 이다.
퍼블릭 암호화 키 역시 인증 수단을 제공할 수 있다. 가령, 주어진 퍼블릭 암호화 키 PK가 주어진 사용자 U에 속한다는 것을 알고 있으면서 U를 식별하고자 하는 자가(왜냐하면 상기 해당자가 U와 PK에 대한 대응하는 디지털 인증서를 확인하였기 때문에 알고있다는 것임), PK를 이용하여 임의적 챌린지(a random challenge) C를 암호화할 수 있고, U에게 정확한 해역으로 응답할 것을 요청할 수 있다. SK(따라서 U)의 프로세서만이 이를 행할 수 있기 때문에, 챌린지에 대한 응답이 정확할 경우, U가 적절하게 식별된다.
스마트 도어(부가적으로 스마트 가상 도어, 차후 내용 참조)를 이용하여 한 영역에 대한 물리적 액세스를 제어하는 시스템을 제공하는 것이 가능하다. 스마트 도어는 들어오는 사람이 현재 승인된 사람인 지를 확인할 수 있다. 주어진 사용자의 증명서뿐만 아니라, 차단된 도어에 의해서도 보안화된 방식으로 이용될 수 있는 방법으로 증명서/사용자가 여전히 유효하다는 별도의 증명까지 상기 도어에 제공하는 것이 바람직하다. 한 실시예에서, 이러한 증명들은 다음과 같이 발생된다. 사용자가 입장할 수 있는 도어를 증명서가 명시한다고 가정하자. 그후, 주어진 증명서가 주어진 시간 구간에서 유효하다는 승인 표시(PROOF)를 적절한 실체 E가 연산한다. 이때, 적절한 실체란, 예를 들어, 임의의 시간 상의 시점에서 해당 도어에 대해 승인된 자를 결정하는 동일한 실체일 수도 있고, 상기 실체를 위해 동작하는 또다른 실체일 수도 있다. 사용자가 출입허가된 도어를 증명서가 식별하지 못할 경우, PROOF는 주어진 시간 구간동안 증명서가 유효함을 또한 명시할 수 있다.
실체 E의 PROOF는 주어진 주어진 시간 구간동안 주어진 증명서가 유효함을 인증 방식으로 표시하는 E의 디지털 시그너처로 구성될 수 있다. 가령, SIGE(ID, Day, Valid, AI)와 같이 구성된다. 이때, ID는 증명서를 식별하는 정보(가령, 증명서의 시리얼 번호)이고, Day는 주어진 시간 구간의 표시사항이며, Valid는 증명서가 유효하다고 간주됨을 표시하는 표시사항이고, AI는 유용하다고 간주되는 임의의 추가 정보(정보 없음도 해당됨)에 해당한다. 참고로, 증명서가 유효하다고 간주되지 않을 경우 E가 유사 데이터 스트링에 절대 서명하지 않으면 Valid의 표시사항이 생략될 수 있다. 일부 사례에서, E의 시그너처는 퍼블릭-키 시그너처일 수 있다. 그러나, 프라이빗-키 시그너처일 수도 있다. 즉, 서명자와 확인자에게 모두 알려진 단일의 시크릿 키를 통해 생성되고 확인될 수 있는 시그너처일 수 있다. 증명서가 디지털 시그너처로 구성될 경우, 한가지 세부실시예는 요망 시간 구간동안 증명서를 재발급하는 디지털 시그너처인, 숏-리브 인증서(short-lived certificates)로 구성될 수 있다. 가령, 동일한 퍼블릭 키, 동일한 사용자 U, 그리고 시작일 및 유효 기간을 명기한 앞서와 같은 그외 다른 기본 정보를 명시하는 디지털 인증서로 구성될 수 있다. 예를 들어, 숏-리브 인증서가 하루동안 지속된다고 할 경우, 이러한 실시예에서 PROOF는 SIGE(PK, U, D1, D2, AI)의 형태를 취할 수 있다. 이때, 시작일 D1은 주어진 날짜 D의 시작일을 표시하고, 종료일 D2는 날짜 D의 종료일을 표시하며, D1 = D2 = D일 수도 있다. 해당 날짜를 표시하기 위해 단일 날짜-정보 필드만을 이용할 수도 있다. 즉, SIGE(PK, U, Day, AI)의 형태를 취할 수 있다. 실체 E가 원 인증 기관과 일치할 경우, 숏-리브 인증서 PROOF는 SIGCA(PK, U, D1, D2, AI), 또는 SIGCA(PK, U, Day, AI)의 형태를 취할 수 있다.
인증을 행함에 있어, 사용자가 해당 날짜에 대한 자신의 고유 PROOF를 만들수 없고, 또한, 어제의 고유 PROOF를 오늘자 자신의 고유 PROOF로 바꿀 수 없으며, 오늘자의 또다른 사용자의 PROOF를 오늘자 자신의 고유 PROOF로 바꿀 수 없다. PROOF가 위조불가능 및 변경불가능하기 때문에, 이 PROOF들이 보호될 필요가 없다. 따라서, 실체 E가 PROOF를 무시할만한 비용으로 가용하게 할 수 있다. 예를 들어, E는 인터넷을 통해 주어진 날짜의 모든 PROOF들을 전달할 수 있고(가령, Akamai 서버 등을 통해 PROOF를 가용하게 할 수 있고), 또는, 사용자들이 쉽게 도달할 수 있는 리스판더/서버에 PROOF를 전달할 수 있다. 예를 들어, 정확하게 액세스되어야할 여러 도어들이 위치하는 공항 진입로에 위치한 서버에 PROOF를 전달할 수 있다. 이러한 방식으로, 작업장에 들어오는 근로자가 자신의 고유 PROOF를 쉽게 얻을 수 있다(가령, 서버에 연결된 카드 리더기에 자신의 고유 카드를 삽입함으로서). 즉, PROOF를 자신의 고유 카드에 자신의 고유 증명서와 함께 저장할 수 있다. 이 방식으로, 사용자의 증명서로 액세스가 승인되는 도어에 사용자가 자신의 카드를 제시할 때, 도어는 증명서를 확인할 뿐 아니라, 현 인증의 PROOF를 수신 및 확인한다(전혀 연결 수단을 통해 연결할 필요없이). 도어는 PROOF(가령, 설치 이후 저장할 수 있는 E의 퍼블릭 키를 통한 E의 디지털 시그너처)를 확인하고, PROOF에 의해 명시된 시간 구간이 적절한 지를 (가령, 그 고유 로컬 클럭을 통해) 확인한다. 모든 것이 명확하다면, 도어는 엑세스를 허가하고, 그외의 경우에는 액세스를 불허한다. 본질적으로, 도어는 차단될 수 있으나, 그 PROOF 확인은 비교적 용이하고 비교적 견고하다. 액세스를 요청하는 당사자인 가장 가용한 당사자에 의해 도어가 PROOF를 수신할 수 있기 때문에 용이하다는 것이며, 액세스를 요청하는 사용자인 가장 의심스런 당사자로부터 도어가 PROOF를 수신함에도 불구하고 견고하다는 것이다. 실제로, 액세스를 요청하는 사용자는 도어에 물리적으로 근접한 상태에 있는 것이 일반적이며, 따라서, 이격된 위치에서 임의의 연결 수단을 이용하지 않으면서도 PROOF를 매우 용이하게 제공할 수 있다. 따라서 도어와의 연결 관계에 상관없이 동작한다. 이와 동시에, 액세스 요청 사용자는 그 중요한 순간에 가장 신뢰도가 떨어지는 정보 소스일 수 있다. 그럼에도 불구하고, 사용자가 어떤 방식으로든 현재 자신의 고유 유효성의 PROOF를 변경하고자 만들수 없기 때문에, 적절하게 확인된 PROOF가 E에 의해 제작되어야 함을 도어가 확신할 것이며, 주어진 시간 구간동안 사용자가 승인되지 못함을 E가 알 경우 E는 PROOF를 생성하지 못할 것이다. 사용자가 승인받기를 중단할 경우, E는 사용자에 대한 승인의 PROOF 발급을 중단할 것이며, 따라서, 사용자는 차단된 도어에도 입장할 수 없다. 왜냐하면, 액세스 허가를 위해 도어가 확인을 필요로하는 PROOF를 사용자가 가지고 있지 않기 때문이다. 따라서, 적절한 현 승인을 증명하기 위해 액세스 요청 사용자를 이용함으로서, 본원의 시스템은 타 시스템과 연계되었을 때의 불편함을 상쇄시킨다. 즉, 차단된 도어를 리프로그래밍하기 위해 직원을 급파할 필요성을 없앤다.
이러한 접근법에 따르면, "역할(role)"에 의해 차단-도어 액세스를 관리할 수 있다. 즉, 사용자의 입장 승인 도어를 증명서가 명시하여 증명서의 현 유효성이 PROOF를 매일 발급하기 보다는(또는 주어진 시간 구간에 일부 도어에 사용자의 입장을 해당 증명서가 승인함을 명시하는 PROOF를 발급하기보다는), 주어진 역할을 가진 사용자에게만 액세스를 허가하도록 차단 도어를 프로그래밍할 수 있다(가령, 설치 시간에). 가령, PILOTS와 INSPECTORS에게만 액세스를 허가하도록 비행기의 조종실 도어를 프로그래밍할 수 있다. 증명서들은 신원 보증을 위해 근로자에게 발급될 수 있으며(불변임), E가 (가령, 매일) 해당 증명서에 대해 매일 발급한다는 각각의 PROOF는 상기 날짜에 대응하는 사용자의 역할을 명시할 수 있다(가령, AI 필드에). 가령, PROOF = SIGE(ID, Day, PILOT, AI)는 ID에 의해 식별되는 증명서에 대응하는 사용자가 날짜 Day에 파일롯임을 증명한다. 이러한 방식으로, 증명서를 재발급할 필요없이, 그리고 사용자가 해당 날짜에 액세스할 수 있는 도어를 매일의 PROOF나 사용자 증명서로 명시할 필요없이, 한 역할로부터 다음 역할로 근로자가 이동할 수 있다. 이러한 도어의 수가 대단히 많을 수 있다. 따라서, 사용자가 액세스하도록 승인받을 수 있는 모든 도어를 사용자 증명서 내에 명시하는 것은 성가신 일일 수 있다. 더우기, 새 도어가 추가되면(가령, 새 비행기를 구매한 경우), 추가적인 도어를 명시하기 위해 파일롯의 증명서를 재발급하여야 하며, 이 역시 성가신 일이다.
주어진 증명서에 대해 적절한 시간 구간들은 증명서 자체 내에 명시될 수 있으며, 또는, 증명서 및 PROOF에 의해 함께 명시될 수 있다. 가령, 증명서가 해당 시작일과, 매일 유효하다고 증명될 필요성을 명시할 수 있으며, PROOF는 시간 구간 244를 명시할 수 있다. 즉, PROOF는 증명서에 명시된 시작일 이후 244일을 의미한다.
본원의 시스템은 비교적 고가의 연결-도어 시스템에 비해서도 장점을 가질 수 있다. 예를 들어, 모든 도어들이 중앙 데이터베이스에 대해 견고하게 연결되어 있고 급작스런 전력 차단이 발생한 경우를 가정해보자. 연결된 도어들은 두 극단의 대안 (즉, 항상 열린 상태와 항상 닫힌 상태)간의 선택을 강제받을 수 있다. 항상 열린 상태란 안전성 측면에선 바람직하지만 보안성 측면에선 바람직하지 못하다. 항상 닫힌 상태는 이와 반대이다. 이와는 대조적으로, 급작스런 전력 차단의 경우에, 본원의 시스템은 훨씬 탄력적인 반응을 제공한다. 일부 연결된 도어들은 항상 닫힌 상태를 유지할 수 있고, 일부는 항상 열린 상태를 유지할 수 있으며, 일부는 본원에서의 차단-도어 액세스 제어에 따라 계속 동작할 수 있다. 즉, 도어들은, 배터리에 의존하여, 정당한 증명서 및 정당한 PROOF가 제시될 때만 열릴 수 있다. 실제로, 전력 차단이 발생하기 전에, 모든 근로자들이 예상 PROOF를 정규적으로 수신할 수 있다.
물론 실체 E는 여러 다른 증명서에 대한 여러 다른 시간 구간들을 명시하는 PROOF를 생성할 수 있다. 예를 들어, 공항 시설에서, 경찰관과 긴급 인력들은 관련 시간 구간으로 다음 두 주를 명시하는 PROOF를 가지며, 모든 정규 근로자들은 해당 날짜만을 명시하는 매일별 PROOF를 가질 수 있다. 이러한 시스템은 예상치못한 긴 전력 차단의 경우에 훨씬 우수한 제어를 제공할 수 있다. 이러한 전력 차단이 발생할 경우, PROOF의 매일별 일상적 분배는 파괴될 수 있고, 정규 근로자들은 자신의 매일별 PROOF를 수신하지 못할 수 있다. 그러나 경찰관과 긴급 인력들은 앞서 수신한 2주일짜리 증명을 카드에 지닐 수 있고, 따라서, 그들은 입장 허가된 모든 도어들을 계속해서 동작시킬 수 있다.
본원의 접근법은 "최소 인증서"라 불릴 수 있는, 감편 형태의 인증서로 구성되는 증명서들을 이용하는 과정을 포함한다. 최소 인증서는 인증서의 식별자 ID와 사용자 명칭을 생략할 수 있다. 대신, 사용자 명칭과 식별자 ID를 인증서의 퍼블릭 키로 대체할 수 있다. 인증서의 퍼블릭 키는 각 인증서에 대해 고유한 값이다. 예를 들어, 최소 인증서 증명서는 C = SIGCA(PK, D1, D2, AI)의 형태를 취할 수 있다. 이때, 이 증명서를 적절하게 제시한다는 것은 PK에 대응하는 시크릿 키 SK를 안다는 것을 포함한다(가령, 챌린지-리스판스 방법에 의해). 도어는 PK에 대한 증명서의 적절한 제시가 액세스 허가로 나타나야 하는 지를 사전에 알 수 있다. 대안으로, 최소 증명서 C는 대응하는 SK를 아는 사용자가 해당 도어 입장의 자격을 부여받았는 지를 명시할 수 있다. 퍼블릭 키가 PK인 최소 인증서에 대한 PROOF는 SIGE(ID, Day, Valid, AI), 또는, SIGE(PK, Day, Valid, AI)의 형태를 취할 수 있고, 임의의 유사 시그너처가 암묵적으로 유효성을 표시한다고 간주될 경우 SIGE(ID, Day, AI)의 형태를 취할 수 있다. 대안으로, 최소 인증서의 현 PROOF가 최소 숏-리브 인증서의 재발급 형태(가령, SIGE(PK, D1, D2, AI))를 취할 수 있다. 이때, 시작일 D1은 주어진 날짜 D의 시작 날짜를 표시하고, D2는 날 짜 D의 종료 날짜를 표시하며, D1 = D2 = D, 즉, SIGE(PK, Day, AI)일 수도 있다. 또는, E를 원 인증 기관과 일치한다고 할 때, SIGCA(PK, D1, D2, AI) 또는 SIGCA(PK, Day, AI)일 수 있다. 일반적으로, 인증서를 향한 임의의 방법들이 마찬가지로 최소 인증서에도 적용된다.
스마트 도어는 대응하는 증명과 동반할 수 있는 사용자의 증명서의 유효성 및 현재성을 확인할 수 있다. 한 영역에 대한 액세스를 얻기 위해 사용자에 의해 사용되는 증명서/증명들은 전자 장치에 대한 액세스 제어와 관련하여 앞서 사용된 증명서/증명들과 유사할 수 있다. 다음의 예들은 증명서/증명의 사례에 해당하며, 타사항과 조합될 수 있다.
1. 사용자 카드에 의해 도어에 전송되거나 도어에 관련한 키패드에 입력되는 PIN 또는 비밀번호.
2. 도어에 관련한 전용 리더기를 통해 사용자에 의해 제공되는 생체 정보.
3. 도어에 관련된 전용 시그너처 패드를 통해 사용자에 의해 제공되는 전통적인 (수기식) 서명.
4. 퍼블릭 키 PK용 디지털 인증서(가령, 이러한 증명서는 사용자 카드에 저장될 수 있고, 정당한 사용자/카드는 대응하는 시크릿 키 SK를 이용하여 챌린지 리스판스 프로토콜 등을 통해 도어에 자신을 인증(식별)시킬 수 있다. 가령, PK 시그너처 퍼블릭 키일 경우, 도어는 주어진 메시지에 서명할 것을 요청할 수 있고, 정당한 사용자(대응하는 시크릿 서명 키 SK를 아는 자)는 요청된 정확한 시그너처를 제공할 수 있다. PK가 퍼블릭 암호화 키일 경우, 도어는 주어진 챌린지 암호문을 해역하라고 요청할 수 있고, 이는 정당한 사용자에 의해 행하여지며, 이 정당한 사용자는 대응하는 시크릿 해역 키 SK를 알고 있다.
5. 사용자의 카드에 저장되어 도어에 전달되는 매일별 "유효화 값"을 포함하는 개선형 디지털 인증서. 이 매일별 유효화 값은 이 특정 날짜에 인증서가 유효함을 보장한다.
6. 현 시간에 사용자 인증서가 유효함을 확인하는 중앙 기관의 디지털 시그너처. 이는 서버나 리스판더에 의해 도어에 전달된다.
7. 사용자 카드에 저장되어 도어에 전달되는 디지털 인증서와, 서버나 리스판더에 의해 도어에 전달되는 매일별 "유효화 값".
8. 사용자 카드에 저장된 시크릿. 이를 알면 도어와의 대화형 프로토콜에 의해 도어에 입증시킬 수 있다.
9. 사용자 카드에 저장된 기관의 시크릿-키 시그너처. 이는 사용자가 특정 날짜에 입장허가됨을 표시한다.
따라서, 일부 사례에서, 증명서/증명들이 단일 부분으로 제공된다. 다른 사례에서는 증명서/증명들이 서로 별도의 부분으로 제공된다. 예를 들어, 특정 날짜에 인증서가 유효함을 표시하는 날짜별 유효화 값을 포함하는 개선형 디지털 인증서로 증명서/증명들이 구성되면서, 이 증명서/증명들이 사용자와 연계되어 있고 도어에 전송될 경우, 증명서들(개선형 디지털 인증서)은 증명(일자별 유효화 값)과는 개별적으로(서로 다른 수단에 의해 또는 서로 다른 시간에) 제공될 수 있다. 마찬가지로, 증명서와 증명들은 동일 기관에 의해 발생될 수도 있고, 서로 다른 기관에 의해 발생될 수도 있다.
도 7에서는 물리적 액세스가 제한되는 영역(202)을 포함하는 시스템(200)이 도시된다. 영역(202)은 다수의 벽(204-207)으로 둘러싸여 있다. 벽(207)은 영역(202)으로부터 나가기 위한 도어(212)를 가진다. 다른 실시예에서, 두개 이상의 도어가 사용될 수 있다. 벽(204-27)과 도어(212)는 영역(202)에 대한 액세스 배리어를 제공한다. 도어(212)는 전자 잠금 수단(214)을 이용하여 잠길 수 있고, 이는 전자 잠금 수단(214)이 적절한 신호를 수신할 때까지 도어(212)가 열리는 것을 막는다. 전자 잠금 수단(214)은 기성품 전자 잠금 수단의 이용을 포함한, 본원의 기능을 제공하는 임의의 적절한 소자들을 이용하여 구현될 수 있다.
전자 잠금 수단(214)은 컨트롤러(216)에 연결될 수 있고, 상기 컨트롤러(216)는 점자 잠금 수단(214)에 적절한 신호를 제공하여, 도어(212)를 개방시킬 수 있다. 일부 실시예에서, 전자 잠금 수단(214)과 컨트롤러(216)가 한 유닛으로 제공될 수 있다. 컨트롤러(216)는 입력 유닛(218)에 연결될 수 있고, 입력 유닛(218)은 사용자의 증명서를 수신할 수 있으며, 부가적으로, 사용자가 영역(202) 진입을 현재 허가받은 상태임을 표시하는 대응 증명을 또한 수신할 수 있다. 입력 유닛(218)은 사용자의 영역(202) 진입이 더이상 허용되지 않음을 표시하는 긴급 폐기 경보(HRA)를 또한 수신할 수 있다. 긴급 폐기 경보(HRA)는 나중에 좀 더 상세하게 설명된다. 입력 유닛(218)은 키패드, 카드 리더기, 생체 유닛, 등등과 같은 적정 입력 장치일 수 있다.
부가적으로, 컨트롤러(216)는 컨트롤러(216) 내외로 데이터를 전송하는 데 사용될 수 있는 외부 연결 수단(222)을 가질 수 있다. 외부 연결 수단(222)은 일부 실시예에서 외부 침입에 대해 견고하게 구성될 수도 있고, 또다른 실시예에서는 외부 침입에 대해 견고하게 구성될 필요가 없다. 추가적으로, 어떤 외부 연결 수단도 가지지 않은 독립형 유닛을 이용하여 상술한 기능이 제공될 수 있기 때문에, 외부 연결 수단(222)이 요구되지 않을 수도 있다. 외부 연결 수단(222)이 제공되는 경우, 외부 연결 수단(222)은 증명서, 증명, HRA, 등을 전송하는 데 사용될 수 있고, 또는 영역(202)에 대한 액세스 로그인 과정에 사용될 수도 있다. 액세스 로그인은 나중에 좀 더 상세하게 설명될 것이다. 외부 연결 수단(222)이 간헐적일 수 있다. 그래서, 일부 시점에서, 외부 연결 수단(222)이 컨트롤러(216)에 대한 연결을 제공하고, 일부 다른 시점에서는 컨트롤러(216)에 대한 외부 연결이 존재하지 않을 수 있다. 일부 경우에, 외부 연결 수단(222)이 증명서/증명의 일부분(가령, PKI 디지털 인증서)을 전송하는 데 사용될 수 있다(상기 인증서/증명의 나머지 부분을 사용자가 입력 유닛(218)에 제시할 때). 가령, 디지털 인증서와 연계하여 사용되는 일자별 유효화 값의 경우가 이 경우에 해당한다.
일부 실시예에서, 사용자는 카드(224)를 입력 유닛에 제시할 수 있다. 카드(224)는 입력 유닛(218)에 데이터(가령, 증명서/증명)를 제공하는 스마트 카드, PDA 등일 수 있다. 카드(224)는 트랜스폰더(226)로부터 일부 또는 전부의 데이터를 얻을 수 있다. 또다른 사례에서, 카드(224)는 입력 유닛(218)으로부터 다른 카드로부터의 데이터를 얻을 수 있다.
첫번째 예에서, 증명서와 증명들은 물리적 보호 수단을 통해 PIN/비밀번호를 이용하여 관리될 수 있다. 본 예에서, 매일 아침 서버는 각각의 승인된 사용자 U에대한 새로운 시크릿 비밀번호 SU를 발생시키고, U의 액세스가 허가되는 특정 도어에 이 새로운 SU를 전달한다. 이러한 통신은 비보안 라인을 이용하여 전송되도록 암호화될 수도 있고, 일부 다른 보안 수단을 이용하여 도어에 전송될 수도 있다. U가아침 작업을 보고할 경우, 중앙 서버는 U의 카드가 현재 시크릿 비밀번호 SU를 수신하게 한다. 시크릿 비밀번호 SU는 카드의 보안 메모리에 저장되며, 이는 카드가 적절하게 승인될 때만 판독될 수 있다. 가령, 서버나 도어의 신뢰성있는 하드웨어에 연결함으로서, 또는 카드와 관련한 시크릿 PIN을 사용자가 입력함으로서 판독될 수 있다. 사용자가 도어에 액세스하려고 할 때마다, 카드는 SU를 보안방식으로 도어에 전달한다. 도어는 카드로부터 수신한 값 SU가 아침에 서버로부터 수신한 값과 일치하는 지를 확인하고, 일치할 경우 액세스를 허가한다.
따라서, SU는 하루에 대한 사용자의 증명서이다. 이 시스템의 장점이라면, 각각의 증명서의 시간구간이 제한된다는 점이다. 근로자가 퇴직하거나 자신의 카드를 분실한 경우, 그 증명서는 다음날 이용할 수 없을 것이다. 그러나 이 시스템은 소정의 연결을 필요로한다. 도어 업데이트를 위해서는 짧은 주기의 연결(가령, 매일 아침)이 요구된다. 이 전송은 보안화되어야 한다(물리적으로 또는 암호화 형태로).
또다른 예로서, 사용자의 증명서는 시크릿-키 시그너처를 포함한다. 본 예는 시그너처를 이용한다. 즉, 퍼블릭 키 시그너처(가령, RSA 시그너처)나 시크릿 키 시그너처(가령, 메시지 인증 코드나 MAC)를 이용한다. 예를 들어, 액세스 제어 서버는 시크릿 키 SK를 이용하여 시그너처들을 생성하며, 도어는 (가령, 대응하는 퍼블릭 키를 통해, 또는 동일 SK에 관한 정보를 공유함으로서) 이러한 시그너처들을 확인하기 위한 수단을 구비한다. 사용자 U까 날 짜 D의 아침에 작업할 것을 보고하면, 서버는 사용자의 카드에게, U의 식별 정보(가령, 고유 카드 번호, 또는, U의 시크릿 비밀번호, 또는 U의 지문과 생체정보)를 인증하는 시그너처 Sig를 수신하게 한다. U가 도어 액세스를 시도하면, 카드는 시그너처 Sig를 도어에 전달하며, 도어의 로컬 클럭에 의해 제공되는 데이터와, U에 의해 공급되는 식별 정보와 관련하여 그 유효성을 도어는 확인한다. 모두 정확하다면, 도어는 액세스를 허가한다.
이 기술에서, 시그너처 Sig는 사용자의 증명서와 증명을 함께 고려할 수 있다. 이 방법은 그만의 장점을 가진다. 카드가 시크릿을 저장할 필요가 없고, 도어가 중앙 서버에 대한 보안 연결을 유지할 필요가 없으며, 유효한 증명서들의 긴 리스트를 유지할 필요도 없다.
또다른 예로서, 사용자의 증명서는 도 5의 순서도(120)와 연계하여 발생된 바와 유사한 해시-체인 증명들을 가진 디지털 인증서를 포함한다. 본 예는 퍼블릭 키 시그너처와 일방향 해시 함수 H(전용 디지털 시그너처를 구현)를 이용한다. 중앙 기관은 한쌍의 키를 가진다. 즉, (도어에게 알려진) 퍼블릭 키 PK와 일반적으로 알려지지 않은 시크릿 키 SK를 가진다. 사용자 U의 경우에, 중앙 기관은 난수 시크릿 값 X0을 발생시키고, 연산 값 X1 = H(X0), X2 = H(X1),..., X365 = H(X364)를 연산한다. H가 일방향 해시 함수이기 때문에, X의 각각의 값은 X의 다음 값으로부터 연산될 수 없다. 중앙 기관은 한해동안 유효한 값 X365를 지닌, SK를 이용하여 서명된 디지털 인증서 Cert를 U에게 발급한다. 그후, U가 날짜 i의 작업을 보고할 때, 중앙 기관은 사용자 카드에게 그 날짜의 유효화 값 Xj를 수신하게 한다. 이때, j = 365-i 이다. U가 도어 액세스를 시도할 때, 카드는 유효화 값 Xj와, X365를 지닌 인증서 Cert를 도어에 전달한다. 도어는 중앙 기관의 퍼블릭 키 PK로 Cert의 유효성을 확인하고, Xj에 i회 공급된 H가 X365를 출함을 확인한다. 1년과 365는 다른 시간 주기로 교체할 수 있다.
따라서, 사용자의 인증서 Cert와 유효화 값 Xj는 사용자의 증명서/증명을 구성한다. 이 시스템은 여러가지 장점을 가진다. 도어나 카드가 어떤 시크릿도 저장할 필요가 없으며, 도어가 어떤 보안 연결을 가질 필요도 없다. 인증서는 1년에 한번 발급될 수 있으며, 이에 따라, 중앙 기관에서의 날짜별 연산 부하가 최소한이 된다. 왜냐하면 중앙 기관은 Xj를 불러들이기만 하면 되기 때문이다. 날짜별 유효화 값들은 보안화되지않은 저렴한 분배 리스판더에 의해 제공될 수 있다.
사용자 U의 증명서/증명들의 시간구간이 제한되는 경우가 많다. 이는 수많은 사례에서 유용하게 사용된다. 예를 들어 U가 공항의 근로자이고 퇴직하였다면, 그의 증명서/증명은 그 날짜 종료시 만료될 것이며, 그는 더이상 공항의 도어에 엑세스할 수 없을 것이다. 보다 정교한 액세스 제어의 경우, 더 짧은 시간구간의 증명서들을 가지는 것이 바람직하다. 가령, U의 증명서/증명들이 날짜 뿐 아니라 시간 및 분 단위를 포함할 경우, U는 해고 후 1분 내에 공항 출입을 통제당할 수 있다. 그러나, 더 짧은 시간구간의 증명서/증명들은 빈번한 업데이트를 필요로하며, 이는 시스템 관리 비용을 증가시킨다. 공항의 모든 근로자가 매분마다 자신의 카드에 새 증명서/증명을 업로드시켜야 한다면 불편할 것이다. 따라서, 단기간 증명서를 가지고자 하는 바램과 저비용 시스템을 구현하고자 하는 바램 간에 내재적인 절충이 이루어질 수 있다. 결과에 따라서는 요망한 바보다 더 긴 시간구간의 증명서를 야기할 수도 있다. 예를 들어, U는 공항으로부터 즉시 퇴출되어야 하는 것이 바람직하지만, 그의 증명서는 자정까지 만료되지 않을 것이다. 따라서, 만료되지 않은 증명서의 즉각적 폐기를 제공하는 것이 바람직하다.
액세스를 요청할 때마다 도어에 의해 질의받는 보안화된 데이터베이스에 증명서/증명들이 항상 저장되어 있을 경우, 폐기되는 증명서/증명들을 데이터베이스로부터 제거함으로서 증명서/증명들을 폐기시키는 것은 비교적 이해가 용이하다. 그러나, 보안화된 데이터베이스에 매번 도어가 질의하는 것은 비용 측면에서 문제가 있다. 먼저, 사용자가 도어에 당장 액세스하고자 하기 때문에 이 거래에 상당한 시간 지연이 야기되며, 하지만, 사용자는 이 질의가 적절히 완료될 때까지 기다려야 한다. 두번째로, 이 통신은 보안화된 채널 상에서 수행되는 것이 바람직히다. 이는 도어당 4000 달러 이상의 비용을 발생시키며 일부 경우에는 아예 불가능하다(가령, 비행기 도어나 카고 트럭 도어). 세번째로, 단일 보안 데이터베이스는 제한된 질의 부하만을 취급할 수 있으며, 보안 데이터베이스를 복제하는 것은 그 자체로 비싸고 시간 소요가 크다. 데이터베이스를 유지하는 비용이 두배로 되며 이 복제본들을 동기화 상태로 유지하는 비용이 추가되어야 하기 때문이다. 따라서, 완전 연결 접근법과는 달리, 차단 접근법이나 간헐-연결 접근법은 통신을 비교적 적게 요구하며, 비-보안형 리스판더나 카드 자체에 증명서/증명들을 저장하는 경우가 많다. 이러한 경우에, 데이터베이스로부터 증명서/증명들을 단순히 제거하는 것은 충분하지 못할 수 있다. 상기 예들에 대해 다시 언급하자면, 비밀번호 SU 또는 기관 시그너처, 또는 유효화 값 Xj가 사용자 카드나 도어로부터 제거될 필요가 있다. 더우기, 비보안 리스판더에 저장된 증명서가 임의의 누구에게도 가용해질 수 있기 때문에, 이러한 제거가 증명서의 폐기를 항상 보장할 수 있는 것은 아니다. 증명서를 저장한 악의적 공격자가 사용자 카드로부터 증명서 제거 후 그 이용을 시도할 수 있다. 따라서, 제한된-시간구간의 증명서를 이용한 비용 효과적인 해법이 존재함에도 불구하고, 이 해법들은 기한만료없는 증명서/증명의 충분한 폐기를 그 자체만으로는 완전하게 제공한다고 볼 수 없다.
증명서/증명의 폐기는 긴급 폐기 경보(HRA)를 이용하여 실행될 수 있다. HRA는 도어에 전송되는 (인증된 형태의) 데이터로서, 폐기된 증명서/증명을 가진 사용자에 대한 도어 액세스를 불허하는 기능을 한다. 예를 들어, HRA는 주어진 증명서/증명들이 폐기되었음을 표시하는 디지털 방식으로 서명된 메시지로 구성될 수 있다. 그러나, 시그너처가 항상 HRA에 관련될 수는 없다. 가령, 보안 연결된 도어의 경우에, 보안화된 연결을 따라 HRA를 전송하는 것만으로도 충분하다. 그러나, 앞서 언급한 바와 같이, 보안 연결된 도어들은 일부 경우에 가격이 상당하며, 어떤 경우엔 거의 불가능한 경우도 있다.
HRA를 제시받는 실체가 HRA의 진실성을 비교적 확신할 수 있도록 HRA가 인증된다면 유용할 것이다. ID를 폐기된 증명서/증명 C에 대한 식별자라고 할 때(ID가 C 자체와 일치할 수도 있음), SIG(ID, "REVOKED", AI)가 HRA일 수 있고, 이때, "REVOKE"는 C가 폐기되었음을 신호하는 임의의 방식을 나타낸다. AI는 임의의 추가적인 정보를 나타낸다. 증명서/증명들이 폐기되었다는 사실이 다른 수단에 의해 유추될 수 있을 경우 "REVOKED"는 빈 스트링일 수 있다. HRA가 생성되었을 때의 시간이나 증명서/증명들이 폐기되었을 때의 시간과 같은 날짜 정보 등이 AI의 예에 해당한다. 디지털 시그너처 SIG는 특히, 퍼블릭 키 디지털 시그너처, 시크릿 키 디지털 시그너처, 또는 메시지 인증 코드일 수 있다. 정보를 적절하게 암호화함으로서 인증된 HRA를 발급하는 것도 가능하다. 예를 들어, 인증된 HRA가 ENC(ID, "REVOKED", AI)의 형태를 취할 수 있다.
인증된 HAR의 또다른 예가 미국특허 5,666,416 호에 개시되어 있다. 이는 본원에서 참고로 인용된다. 발급 기관은 증명서/증명 C을 C에 고유한 퍼블릭 키 PK와 통합시킨다. 그래서 PK에 대한 디지털 시그너처는 C가 폐기되었음을 표시한다. 이러한 기법의 특별한 실시예에서, PK는 Y1 = H(Y0)으로 연산되는 값 Y1으로 구성될 수 있다. 이때, H는 일방향 함수이고 Y0은 시크릿 값이다. 증명서/증명 C가 폐기되면, Y0만으로 구성되는 HRA가 발급된다. 이러한 HRA는 Y0을 해싱함으로서, 그리고 그 결과가 증명서/증명 C에 관한 값 Y1과 일치한다는 것을 확인함으로서, 증명될 수 있다.
HRA에 대해 시그너처가 요구되지 않을 수도 있다. 예를 들어, 보안 연결된 도어의 경우에, 보호된 연결을 따라 (ID, "REVOKED", AI)를 전송하기만 하여도 HRA로 충족될 수 있다. 그러나, 인증된 HRA의 장점은 HRA 자체가 비밀일 필요가 없다는 것이다. 인증된 HRA는, 적절한 기관에 의해 인증된 경우, 한개 이상의 리스판더에 저장될 수 있다. 더우기, 이 리스판더들은 (발급 기관과는 달리) 보호되지 않을 수 있다. 왜냐하면 이들이 시크릿 정보를 저장하지 않기 때문이다. 보호되지 않은 여러 리스판더들을 반복함으로서 저비용으로 더 큰 신뢰도를 얻을 수 있다. 미국 특허 5,666,416 호의 인증된 HRA 예의 추가적인 장점은 다음과 같다. 즉, 1) HAR가 비교적 짧다(20바이트 수준일 수 있다). 2) HRA는 비교적 쉽게 연산된다(앞서 저장한 Y0의 단순한 탐색 결과에 해당한다). 3) HRA는 비교적 쉽게 확인된다(일방향 해시 함수의 한가지 적용에 해당한다).
인증된 HRA는 효율적인 광폭 보급용으로 특히 바람직하다. 이는 아래에서 보다 상세하게 설명된다. HRA가 여러 지점을 통해 도어에 전달될 때, 부정확한 HRA가 시스템에 공급될 가능성이 또한 존재한다. 게다가, 직접 발급자를 통해 도어에서 수신하거나, 발급자로부터 보안 연결을 통해 도어에서 수신한 경우가 아닌 HRA라면 특정 증명서의 폐기에 대한 단순한 소문에 불과할 수도 있다. 그러나 HRA가 인증된 경우라면, 이 소문은 도어에 의해 즉각적으로 확인될 수 있고, 도어는 그 인증 여부를 확인할 수 있다.
일반적으로, HRA는 단일 증명서/증명에 대해 전용일 수 있으며, 다수의 증명서/증명들에 관한 폐기 정보를 제공할 수도 있다. 가령, ID1,..., IDk가 폐기된 증명서들에 대한 식별자들일 경우, HRA는 단일 디지털 시그너처 SIG(ID1,...IDk; "REVOKED"; AI)로 구성될 수 있다. 도어에 액세스할 권리를 가진 증명서/증명들을 식별하는 정보를 저장하는 도어의 경우를 생각해보자. 한개 이상의 증명서/증명들이 폐기되었음을 표시하는 HRA를 이러한 도어가 수신할 경우, 도어는 HRA를 저장할 필요가 없다. 도어가 식별된 증명서/증명을 그 스토리지로부터 소거하는 것(또는 이를 "REVOKED"로 표시하는 것)으로 충분하다. 그후, 폐기된 증명서/증명을 소지한 사용자가 액세스를 시도할 경우, 도어는 액세스를 불허할 것이다. 왜냐하면, 제시한 증명서/증명이 현재 저장되어 있지 않고, 저장되어 있더라도 "REVOKED"로 표시되기 때문이다.
허가된 모든 증명서/증명들을 식별하는 정보를 저장하지 않은 도어의 경우에, 제시될 때 증명서/증명이 허가된 것인 지를 확인하는 경우를 고려해보자. 사용자가 이러한 도어에 증명서/증명을 제시할 때, 도어는 증명서/증명이 유효한 지를 먼저 확인하여, HRA를 무시할 수 있다. 가령, 증명서/증명이 디지털 시그너처를 포함할 경우 도어는 이 시그너처를 확인한다. 추가적으로, 증명서/증명이 만료 시간을 포함할 경우, 도어는 증명서/증명이 기한만료되지 않았는 지를 (내부 클럭 등을 이용하여) 또한 확인할 수 있다. 모든 확인을 통과하였을지라도, 증명서/증명이 HRA에 의해 폐기된 것으로 표시될 경우 도어는 여전히 액세스를 거부할 수 있다. 따라서, 관련 HRA에 관한 정보를 이 도어가 가진다면 도움이 될 것이다. 이를 구현하기 위한 한가지 방법은 도어에 제시되는 모든 HRA들을 도어가 저장하는 것이다. 다른 한편, 일부 상황에서, 이는 매우 비실용적일 수 있다. 여러 증명서/증명들이 도어를 통과하는 데 사용되는 시스템을 고려해보자. 예를 들어, 통관소는 다양한 개인들(가령, 파일롯, 공항 스탭, 공항 근로자, 트럭 운전사, 경찰관 등등)을 위해 10,000,000개 수준의 증명서 시스템을 가정한다. 이 사람들은 주어진 도어에 대해 액세스를 허가받을 수 있다. 통상적인 10% 연 폐기율에서, 도어는 한해의 종료시까지 저장할 HRA 1,000,000 개를 가질 수 있다. 이는 매우 값비싼 작업이다. 더우기, HRA의 양을 미리 정확하게 결정할 수 없을 경우, 시스템 설계자는 안전을 위해 HRA의 저장 크기를 과추정하여야 하며, 좀 더 많은 저장 용량을 도어에 구성하여야 한다.
이러한 문제점은 제거가능한 HRA을 이용하여 취급될 수 있다. HRA를 가진 이 수단은, HRA가 스토리지로부터 안전하게 제거될 수 있을 때를 명시하는 시간 컴포넌트를 표시한다. 예를 들어, 제한된 시간구간의 증명서/증명을 가진 시스템에서, 이는 1) 증명서/증명들이 유효 기간을 포함하게 하거나, 2) 증명서/증명을 폐기시키는 HRA가 유효 기간을 포함하게 하거나, 3) 유효 기간 이후 증명서/증명을 폐기시키는 HRA를 도어가 그 스토리지로부터 제거하게 하거나 함으로서, 구현될 수 있다. 예를 들어, 증명서/증명에 대한 만료 시간이 증명서/증명이 만료되는 시간일 수 있다. 그리고 만료 시간은 증명서/증명 내에 명백하게 포함되고 인증될 수 있고, 또는, 시스템-와이드 컨벤션에 따라 은밀하게 내포될 수도 있다. 만료 시간 이후 이러한 RHA를 제거하는 것은 보안성을 해치지 않는다. 실제로, 도어가 특정 증명서/증명을 폐기시키는 HRA를 저장하지 않을 경우, 이는 만료 이후 메모리부터 HRA를 도어가 소거하였기 때문일 수 있다. 이 시점에서 날짜 지난 증명서/증명들은 도어에 의해 액세스차단될 것이다.
상기 단계 2)는 HRA에 만료 시간이 은밀하게 또는 간접적으로 표시될 수 있는 경우에 부가적일 수 있다. 예를 들어, HRA가 SIG(C, "REVOKED", AI)의 형태를 가질 수 있고, 증명서/증명은 그 고유 만료 일자를 포함할 수 있다. 추가적으로, 폐기된 증명서들의 만료 시간을 전혀 표시하지 않는 HRA들로도 제거가능형 HRA들이 구현될 수 있기 때문에, 상기 단계 1) 역시 부가적일 수 있다. 예를 들어, 특정 시스템의 모든 증명서들이 기껏해야 하루동안 유효한 경우, 모든 HRA들은 하루동안 저장된 후 소거될 수 있다. 좀더 일반적으로 표현하자면, 증명서/증명의 최대 수명이 달리 추정될 수 있을 때, 상기 시간동안 저장 후 해당 HRA가 소거될 수 있다. 또다른 예로서, 특정 만료 시간을 가진 증명서/증명을 제시받을 때, 도어는 증명서를 폐기시키는 HRA를 찾을 수 있다. HRA가 존재하고 만료시간이 이미 경과한 경우, 도어는 HRA를 안전하게 제거할 수 있다. 그렇지 않을 경우, 도어는 저장된 HRA에 관련된 만료 시간을 저장하고, 그 시간 이후 HRA를 소거할 수 있다.
도어는 여러가지 방식으로 그 만료 시간 이후 HRA를 제거할 수 있다. 일부 경우에, HRA 제거는 만료 시간을 바탕으로 HRA의 데이터 구조(가령, 우선순위 큐)를 유지관리함으로서 효율적으로 달성될 수 있다. 대안으로, 도어는 스토리지의 모든 HRA들을 주기적으로 리뷰할 수 있고, 더이상 필요하지 않은 HRA들을 제거할 수 있다. 또다른 대안으로서, HRA를 만날 때, HRA가 더이상 관련없음을 도어가 확인할 경우 도어가 HRA를 소거할 수 있다. 예를 들어, 확인을 위해 즘여서가 제시될 때마다 체크되는 리스트에 HRA가 저장될 수 있다. 이 리스트에 만료된 HRA가 나타날 때마다, 만료된 HRA가 제거될 수 있다. 또다른 예로서, 메모리를 비울 필요가 있을 때처럼 필요시에만 도어가 HRA를 제거할 수 있다.
제거가능형 HRA들은 도어에서 요구되는 스토리지를 크게 감소시킬 수 있다. 천만명의 사용자와 10%의 연 폐기율에 관한 앞서의 예를 이용할 때, HRA가 하루에 평균적으로 기한만료되고 제거된다고 할 경우, 천만개 대신에 단지 2740개의 HRA만이 저장될 필요가 있다. 이러한 스토리지 요건 감소는 제거가능형 HRA에게 있어 큰 장점으로 작용한다.
더이상 수용할 수 없는 증명서/증명들을 도어에 알리기 위해, HRA를 도어에 가능한 빨리 가용하도록 만드는 것이 바람직하다. 이는 차단 도어의 경우 문제점이 될 수 있다. 그러나 완전 연결 도어의 경우에도 문제점이 될 수 있다. 물론, 완전 연결 도어는 HRA가 발급될 때 도어의 연결을 통해 HRA를 전송할 수 있다. 그러나, 이러한 전송은 지정한 적에 의해 차단되거나 방해받을 수 있다. 가령, 도어에 대한 연결이 암호화 수단에 의해 보안화될 경우, 적이 와이어를 단순히 절단하거나, 전송되는 신호를 변경하거나 필터링할 수 있다. 도어에 대한 연결이 스틸 파이프 내의 도선으로 보안화될 경우, 이러한 차단이 훨씬 어려워지지만, 그렇다고 불가능한 것도 아니다. 이러한 악의적인 HRA 방해 및 차단은 도어를 간헐적 연결(가령, 무선 연결)로 구현하는 경우 더 발생하기 쉽다.
도어의 HRA 수신을 적이 방해하는 것을 어렵게 하기 위해, 폐기된 카드에 의해 자체적으로 HRA가 실행될 수 있다. 예를 들어, 카드가 데이터베이스나 연결 도어와 통신할 때, 도어는 카드에 HRA를 전송할 수 있고, 카드는 HRA를 저장할 수 있다. 특히, 이는 사용자에게 어떤 표시시항없이 행하여질 수 있어, 카드를 이용한 조작이나 HRA를 제거하고자 하는 사용자로부터 시스템을 보호할 수 있다. 이 방법은 카드가 조작 방지 하드웨어 성분이나 데이터를 가지는 경우 효과적이다. 이러한 조작 방지 하드웨어 성분이나 데이터는 가령, 암호화된 데이터로서, 사용자에 의해 용이하게 판독되거나 제거될 수 없는 것을 말한다. 카드가 임의의 도어에 대한 액세스를 얻으려는 시도에 사용될 때, 카드는 그 HRA를 도어에 전달할 수 있고, 도어는 적절한 확인 후, 액세스를 거부할 수 있다(일부 경우에는 HRA를 저장할 수 있다).
HRA는 무선 채널을 통해 카드 자체에 전송될 수 있다. 이는 카드가 제한된 통신 기능을 가진 경우에도 달성될 수 있다. 예를 들어, 각각의 사용자가 통과하려는 위치에 무선 송신기를 배치함으로서 달성될 수 있다. 가령, 빌딩에서, 이러한 송신기는 매 건물 입구마다 배치될 수 있어, 한 카드의 사용자가 건물에 입장할 때마다 매 카드에게 송신사항을 수신할 기회가 제공된다. 대안으로, 송신기가 주차장 등의 입구에 위치할 수도 있다.
가령, 송신 신호가 투과할 수 없는 물질로 카드를 감는 등의 행위를 통해, 악의적인 사용자가 송신을 차단하는 것을 방지하기 위해, 카드는 적절한 기능 발휘를 위해 주기적인 송신사항의 수신을 요건으로 할 수 있다. 예를 들어, 카드는 자체 클럭을 시스템 클럭과 동기화시키기 위해 매 5분마다 신호를 기대할 수 있으며, 또는, GPS 신호같은 또다른 주기적 신호(바람직하게는 디지털 방식으로 서명된 신호)를 수신할 것을 기대할 수 있다. 또는 적정 주파수에서 적정 잡음을 기대할 수 있다. 이러한 신호가 합리적 시간 구간 내에서 수신되지 않을 경우, 카드는 잠기게 되며, 임의의 도어와 통신하기를 거절할 수 있다. 이는 액세스에 부적합한 것으로 판명된다. 이러한 시스템이 모든 HRA를 모든 카드에 송출하는 것에 비해 경제적이고 편리하다. 왜냐하면, HRA는 개별적이면서 계속적으로 변하는 메시지이기 때문이다. 따라서, HRA를 모든 카드에 송출하는 것은 전용 위성을 설정하거나 기존 위성을 전용화하는 과정을 요건으로 할 수 있다. 상술한 방법은 광폭 전송을 위해 기본 가용한 신호들을 활용할 수 있고, 전용 메시지용으로 국부 송신기들을 설치한다.
대안으로, 보안 배지처럼 사용자가 카드를 시각적으로 착용할 것을 보안 당국이 요건으로 할 경우, 카드에 대한 송신사항 차단으로부터 사용자가 보호받을 수 있다. 특정 카드/증명서/증명을 위해 HRA를 보급하는 추가적인 기술은 다른 카드들을 이용하여 HRA를 도어에 운반하는 과정을 포함한다. 이 경우에, 카드1은 (고유 날짜별 증명서/증명을 얻었을 때, 또는, 연결 도어와 통신할 때) 다른 카드인 카드2와 관련된 증명서/증명을 폐기시키는 HRA인 HRA2를 수신할 수 있다. 카드1은 HRA2를 저장할 수 있고, HRA2를 카드에 전송할 수 있다. 도어 역시 HRA2를 저장한다. 카드1은 HRA2를 여러 도어에 제공할 수 있다. 가령, 특정 시간 주기동안 카드2와 통신하거나 액세스하는 모든 차단 도어나 모든 도어들에게 제공할 수 있다. 이 시점에서, 카드1이 도착한 임의의 도어가, 폐기 증명서/증명을 지닌 카드2의 소지자에 대한 액세스를 거부할 수 있다. 바람직하게는 HRA2가 디지털 방식으로 서명되거나 자체 인증 형태이며, 카드1이 도착한 임의의 도어는 잘못된 HRA의 악의적 보급을 방지하도록 HRA2의 인증을 확인한다.
이는 카드1이 도착한 도어가 또다른 카드인 카드3에게 HRA2를 전송하게 함으로서 개선될 수 있다. 카드3은 나중에 이 도어와 액세스하거나 통신한다. 카드1이 아예 도착하지 않거나 카드3보다 나중에 도착할 도어1에 카드3이 도착할 수 있기 때문에, 이는 유용하다. 이 과정은 이렇게 추가적으로 도달한 도어들이 다른 카드와 통신하게 함으로서 계속될 수 있다. 더우기, 일부 도어의 경우에는 중앙 데이터베이스에 완전하게 연결되지 않았을지라도, 서로에 대한 연결을 구비할 수 있다. 따라서 이러한 도어들은 가용 HRA들을 마찬가지로 교환할 수 있다. 카드가 (가령, 근접 거리에서) 서로 통신 기능을 가질 경우, 이들이 저장하는 HRA에 관한 정보를 교환할 수도 있다.
인증된 HRA들이 본원의 HRA 보급 기술을 이용할 때 특히 바람직할 수 있다. 게다가, 여러 중간자(카드 및 도어)를 통해 HRA를 전송하는 것은, 여러 고장 지점을 제공할 수 있다. 이러한 고장 지점에서는 HRA가 수정될 수 있고, 적에 의해 잘못된 HRA가 주입될 수 있다. 일반적으로, 비승인 HRA들은 도어들에 도달하는 시간까지 단순한 소문에 지나지 않을 수 있다. 다른 한편, 인증된 HRA들은 이들이 도어에 어떻게 도달하는 지에 관계없이 정확하다는 것을 보장받을 수 있다.
리소스들이 중요한 관심사가 아닌 경우에, 모든 HRA들은 저장될 수 있고 이러한 방식으로 보급될 수 있다. 소정의 최적화를 채택하는 것도 또한 가능하다. 예를 들어, 카드가 도어같은 HRA 스토리지를 관리할 수 있고, 만료된 HRA를 제거하여, 내부 카드 스토리지를 비우고 불필요한 타도어와의 통신을 방지할 수 있다. 스토리지와 통신을 최소화시키는 것은 이러한 시스템 내에서 유용할 수 있다. 왜냐하면, 만료되지 않은 폐기된 증명서들의 수가 작다고 하더라도, 만료되지 않은 모든 HRA들을 처리할만한 충분한 메모리나 대역폭을 일부 컴포넌트(가령, 카드나 도어)가 가지지 못할 수 있기 때문이다.
스토리지 및 통신을 최소화하기 위한 또다른 가능성은 어떤 HRA가 어떤 카드를 통해 보급될 것인 지를 선택하는 과정을 포함한다. 가령, HRA들은 우선순위 정보에 부속되어 있다. 우선순위 정보란, 특정 증명서/증명에 관해 가능한 빨리 전파해야 한다는 사항의 상대적 중요도를 의미한다. 예를 들어, 일부 HRA들은 "긴급"으로 표시될 수 있고, 또다른 HRA들은 "정규"로 표시될 수 있다. 우선순위 등급은 좀 더 세분될 수도 있고, 좀더 개략적으로 표시될 수도 있다. 제한된 대역폭이나 메모리를 가진 장치들은 높은 우선순위의 HRA들에 관한 정보를 레코딩하고 교환할 수 있으며, 리소스들이 허용하는 경우에만, 그들의 관심을 저우선순위 HRA들에게 돌릴 수 있다. 또다른 예로서, 주어진 도어에 대한 카드의 액세스를 차단하는 HRA는 해당 도어에 빨리 도착하기 쉬운 카드들을 통해 보급될 수 있다. 게다가, 카드와 도어는 저장 및 차후 보급을 위해 어느 HRA들을 수용할 지를 확립하는 목표와 연계하여 결합될 수 있다. 대안으로, HRA나 HRA를 저장할 카드들은 임의성을 포함하는 방식으로 선택될 수 있다. 또는, 한 도어가 소정 숫자의 카드에 HRA를 제공할 수 있다.
이러한 보급 기술의 이용은 폐기된 증명서/증명을 가진 사용자가 액세스를 얻을 가능성을 감소시킨다. 왜냐하면, 차단된 도어의 경우에도, 임의의 다른 사용자가 최신 카드를 이용하여 적절한 HRA를 제공하기 전에, 사용자가 도어에 도착하여야 하기 때문이다. 카드와 도어들 간의 정보 교환은 폐기를 여러 카드에 신속하게 알리는 것을 보장할 수 있게 한다. 이러한 접근법은, 연결된 도어를 차단하고 도어의 HRA 수신을 방해하려 시도하는 전파방해 공격에 대한 대응수단으로 사용될 수 있다. 전파방해 공격이 성공하고 도어가 중앙 서버나 리스판더에 의해 HRA를 통지받지 못할 경우에도, 개별 사용자의 카드는 어쨌든 HRA를 도어에 알릴 수 있다. 카드와 도어들 간의 HRA의 실제 교환 방법은 변할 수 있다. 몇몇 짧은 HRA의 경우에, 공지된 모든 HRA들을 교환하고 비교하는 것이 가장 효율적일 수 있다. 많은 HRA들이 한 리스트에 함께 놓일 경우, 리스트가 서버에 의해 발급되었을 때를 표시하는 시간을 리스트가 지닐 수 있다. 카드와 도어는 HRA의 리스트의 발급 시간을 비교하고, 구 리스트를 가진 것은 구 리스트를 새 리스트로 바꿀 수 있다. 그외 다른 경우에, 차이점을 발견하여 조정하기 위한 좀 더 정교한 알고리즘이 사용될 수 있다.
효율적인 HRA 보급은 1) 인증된 HRA를 발급하고, 2) 인증된 HRA를 한개 이상의 카드에 전송하며, 3) 상기 카드와 상기 인증된 HRA를 다른 카드나 도어에 전송하게 하며, 4) 수신한 HRA를 상기 도어가 저장하고 이를 다른 카드에 전송하게 하는, 과정들에 의해 달성된다.
일부 샘플 HRA 이용을 상세하게 제시하는 것이 유용할 수 있다.
시퀀스 1("기관"으로부터 도어에게로 직접)
1. 실체 E는 사용자 U에 대한 증명서/증명을 폐기시키고, 증명서/증명이 폐기되었다는 정보를 지닌 HRA A를 발급한다.
2. HRA A는 무선 또는 유선 통신을 이용하여 도어 D에 전송된다.
3. D는 A의 인증을 확인하고, 인증에 성공할 경우 A에 관한 정보를 저장한다.
4. 사용자 U가 증명서/증명을 제시함으로서 D에 액세스하고자 시도할 때, 도어 D는 증명서/증명이 폐기되었음을 A에 관해 저장된 정보가 표시하는 것을 관찰하고, 액세스를 거부한다.
시퀀스 2("기관"으로부터 사용자 카드를 통해 도어에게로 )
1. 실체 E는 사용자 U에 대한 증명서/증명을 폐기시키고, 증명서/증명이 폐기되었다는 정보를 지닌 HRA A를 발급한다.
2. 또다른 사용자 U'가 작업을 보고하고 자신의 카드를 실체 E에게 제시하여, 자신의 현 증명서/증명을 얻도록 한다.
3. 사용자 U'에 대한 현 증명서/증명과 함께, HRA A는 사용자 U'의 카드에 전송되며, 카드는 A를 저장한다. 카드는 A의 인증을 확인할 수도 있고 확인하지 않을 수도 있다. 이는 카드의 기능에 따라 좌우된다.
4. 사용자 U'가 도어 D에 액세스하려 시도할 때, 사용자 U의 카드는 자신의 증명서/증명을 A와 함께 D에 전송한다.
5. D는 A의 인증을 확인하고, 인증에 성공할 경우, A를 저장한다.
6. 사용자 U가 자신의 증명서/증명을 제시함으로서 도어 D에 액세스하려 시도할 때, 도어 D는 U'의 증명서/증명 폐기에 관한 정보를 지닌 A를 관찰하고, 액세스를 거부한다.
시퀀스 3("기관"으로부터 또다른 도어를 통해 사용자의 카드에, 그리고 도어에게로 )
1. 실체 E는 사용자 U에 대한 증명서/증명을 폐기시키고, U의 증명서/증명이 폐기되었음을 표시하는 정보를 지닌 HRA A를 발급한다.
2. A는 유선 또는 무선 통신을 이용하여 도어 D'에 전달된다.
3. D'는 A의 인증을 확인하고, 인증에 성공할 경우, A를 저장한다.
4. 자신의 고유 증명서/증명을 지닌 또다른 사용자 U'가 자신의 카드를 D'에게 제시하여, D'에 대한 액세스를 얻고자 한다. D'는, U'의 증명서/증명을 확인하고 적절한 경우 액세스를 허가함에 부가하여, A를 U'의 카드에 전송한다. 카드는 A를 저장한다. 카드가 A의 인증을 확인할 수도 있고 확인하지 않을 수도 있다. 이는 카드의 기능에 따라 좌우된다.
5. U'이 도어 D에 대한 액세스를 시도할 때, 그의 카드는 그의 고유 증명서/증명을 A와 함께 D에 전송한다.
6. D'은 A의 인증을 확인하고, 인증에 성공할 경우 A를 저장한다.
7. U가 자신의 증명서/증명을 제시함으로서 D에 액세스를 시도할 때, 도어 D는 U'의 증명서 증명 폐기를 A에서 관찰하고, 액세스를 거부한다.
시퀀스 4("기관"으로부터 사용자 카드에, 그리고 도어에게로 )
1. 실체 E는 사용자 U에 대한 증명서 C를 폐기시키고, C가 폐기되었다는 정보를 지닌 HRA A를 발급한다.
2. 자신의 카드를 가진 사용자 U는 빌딩 입구 주변에 위치한 송신 지점을 통과한다. 송신 지점은 카드로 하여금 A를 수신하게 한다. 카드는 A를 저장한다. 카드는 A의 인증을 확인할 수도 있고 확인하지 않을 수도 있다. 이는 카드의 기능에 따라 좌우된다.
3. 사용자 U가 도어 D에 대한 액세스를 시도할 때, 카드는 C와 함께 A를 도어 D에 전송한다.
4. D는 A의 인증을 확인하고, 인증에 성공할 경우, A를 저장하고 U에 대한 액세스를 거부한다.
5. U가 C를 제시함으로서 D에 대한 액세스를 다시 시도할 경우, 도어 D는 이전에 저장한 A(C 폐기)를 관찰하고 액세스를 거부한다.
가끔씩은 특정 도어에 액세스하는 자, 그 시간, 어떤 증명서/증명을 제시하느냐, 그리고 액세스가 거부되었는 지 허가되었는 지를 구축하는 것이 유용할 수 있다. 도어의 메커니즘이 전파방해되었는 지, 스위치 또는 센서가 고장났는 지 등을 아는 것이 유용할 수도 있다. 이를 위해, 발생하는 이벤트들의 이벤트 로그를 유지관리하는 것이 바람직할 수 있다. 일부 중앙 위치에서 즉시 가용한 상태가 된다면 이러한 로그는 특히 유용할 수 있다. 예를 들어, 하드웨어 고장시, 수리팀이 즉시 급파될 수 있다. 그러나, 이러한 로그에는 두가지 큰 문제점이 있다.
먼저, 도어가 연결될 경우, 로그들을 연결 수단을 통해 전송함으로서 로그들을 수집하는 것이 용이할 수 있다. 그러나, 이벤트 로그들을 수집하는 것은 차단된 도어의 경우 더 어려울 수 있다. 물론, 로그들을 수집하기 위한 한가지 방법은 한 사람을 모든 차단된 도어에 보내서, 그 로그들을 중앙 위치로 물리적으로 되보내게 하는 것이다. 하지만 이 접근법은 그 부담이 너무 크다.
두번째로, 이벤트 로그를 신뢰하기 위해, 로그 발생, 수집, 저장을 둘러싼 전체 시스템의 일체성이 보장되어야 한다. 그렇지 않을 경우, 예를 들어, 악의적인 자가 잘못된 로그 입력사항을 생성하거나 유효한 입력사항을 삭제할 수 있다. 통신 채널과 데이터 스토리지 시설들을 물리적으로 보안화하는 전통적인 접근법들은 매우 부담이 된다. 또한 그 자체만으로 충분하지 않을 수도 있다.
기존의 로그들은 로그 입력사항의 단순 존재에 의해 "a certain user went to a certain door(어떤 사용자가 어떤 도어에 도달하였다)"는 사실을 보증할 수 있다. 이는 유효하다고 가정되어야 한다. 그러나 이것이 고도의 보안 장비에 있어 적절하지 못할 수 있다. 잠겨진 도어 D 뒤에서 일부 성질을 파괴하여 고소된 사용자 U를 고려해보자. 전통적인 로그 입력사항은 U가 D에 입장하였다는 약소한 증거만을 제공한다. 어느 누구도 악의적으로 로그 입력사항을 위조하지 않았다고 믿어야만 한다. 따라서, 좀 더 강한 증거를 제공하는 로그들을 가지는 것이 바람직하다. 왜냐하면, 이 로그 입력사항들이 불순한 자에 의해 만들어지지 않을 수 있기 때문이다. 특히, 논쟁의 여기자 없는 로그들은 도어 D가 로그의 레코드를 생성하였음을 입증할 수 있다.
본원의 시스템은 다음의 방식으로 이를 해결한다. 즉, 도어가 액세스 요청의 일부분으로 제시되는 증명서/증명을 수신할 때마다, 도어는 아래와 같이, 이벤트에 관한 정보를 지닌 로그 입력사항(가령, 데이터 스트링)을 생성할 수 있다.
● 요청 시간
● 요청 종류(두개 이상의 요청이 가능할 경우, 가령, 입장 또는 퇴장에 대한 요청인지, 또는 엔진 온 오프에 대한 요청인 지 등등)
● 제시된 증명서/증명과 신원
● 증명서/증명이 성공적으로 확인되었는 지 여부
● 증명서/증명이 대응하는 HRA를 가지는 지 여부
● 액세스가 허가되었는 지 거부되었는 지 여부
로그 입력사항들은 전류 또는 전압 변화, 센서 고장, 스위치 위치 등등과 같은 임의의 특이 이벤트들에 관한 정보나 동작 데이터를 지닐 수도 있다. 명백한 로그를 생성하기 위한 한가지 방법은, 도어가, 시크릿 키(SK)를 이용하여 이벤트 정보에 디지털 방식으로 서명하게 하는 과정을 포함한다. 결과적인 로그는 SIG(event, AI)로 표현될 수 있고, 이때, AI는 임의의 추가 정보를 나타낸다. 도어 D에 의해 사용되는 시그너처 방법은 퍼블릭 키일 수도 있고 프라이빗 키일 수도 있다.
시그너처의 유효함을 판단하기 위한 비교 대상인 퍼블릭 키 PK, 또는 시그너처 생성에 사용되는 시크릿 키 SK, 또는 상기 시그너처를 발생시키는 도어를 강조하는 것이 유용하다면, 이 명백한 로그를 SIGPK(event, AI), SIGSK(event, AI), 또는 SIGD(event, AI)로 표현할 수 있다. 이러한 로그는 분쟁이 있을 수 없다. 왜냐하면 불순한 의도를 가진 자가 관련 시크릿 키를 알지 못하면서 도어의 시그너처를 변조할 수 없기 때문이다. 다른 한편, 로그의 승인은, 로그를 저장하는 데이터베이스의 일체성이나 로그를 전송하는 시스템의 일체성을 신뢰할 필요없이, 적절하게 알려진 임의의 확인자(가령, 도어의 PK나 도어의 SK를 아는 자)에 의해 체크될 수 있다. 일반적으로, 로그는 각각의 입력사항을 디지털방식으로 서명함으로서, 그리고 다중 입력사항에 대해 디지털 인증 단계들을 이용함으로서, 로그가 분쟁없도록 만들어질 수 있다. 예를 들어, 디지털 시그너처를 이용하여 다수의 이벤트 E1, E2,...를 도어가 인증할 수 있다. 위 디지털 시그너처를 기호 방식으로 표현하면, SIG(E1,...E2,AI)가 된다. 일반적으로, 디지털 시그너처는 인증될 데이터의 일방향 해시를 디지털 방식으로 서명하는 과정을 의미할 수 있다. 특히, 스트림 인증은 디지털 시그너처의 특별한 경우로 나타날 수 있다. 예를 들어, 인증된 각각의 입력사항은 다음의 (또는 이전의) 입력사항을 인증하는 데 사용될 수 있다. 이를 위한 한가지 방법은, 다음 입력사항이나 다른 입력사항을 인증하는 데 사용되는 퍼블릭 키를 포함한다.
로그 및 분쟁없는 로그는 카드에 의해서도 구현될 수 있다. 특히, 이벤트 E에 관한 디지털 방식으로 서명한 정보, 즉, SIG(E, AI)에 의해 분쟁없는 로그를 카드가 만들 수 있다. 모든 로그 기술들은 카드에 의해 만들어진 로그에 관련된 것으로 간주된다.
추가적으로, 다른 로그들 및 분쟁없는 로그들은 도어와 카드 모두를 관련시킴으로서 얻을 수 있다. 가령, 도어 액세스 요청 중, 카드는 도어에 대한 카드의 고유 로그 입력사항을 도어에 제공할 수 있다. 도어는 로그 입력사항을 검사하여, 도어가 로드 입력사항에서 "수용가능"을 발견한 경우에만 액세스를 허가한다. 예를 들어, 로그 입력사항을 인증하는 카드의 디지털 시그너처를 도어가 확인할 수 있다. 또는, 카드의 로그 입력사항에 포함된 시간 정보가 도어에 액세스가능한 클럭에 따라 정확한 지를 도어가 확인할 수 있다.
다른 종류의 분쟁없는 로그들은 도어와 카드 둘 모두를 로그 입력사항의 발생이나 인증에 기여하게 함으로서 도출할 수 있다. 예를 들어, 카드는 로그 입력사항을 인증할 수 있고, 도어는 로그 입력사항 정보의 일부분 이상을 인증할 수 있다. 그 역도 가능하다. 특정 실시예에서, 카드 C는 로그 입력사항의 시그너처 x= SIGC(E, AI)를 도어에게 제공할 수 있다. 이에 따라 도어는 SIGD(x, AI')로 응답할 것이다. 그 역도 가능하다. 대안으로, 도어와 카드는 이벤트 정보의 조인트 디지털 시그너처를 연산할 수 있다. 가령, 도어와 카드 간에 공유되는 시크릿 서명 키를 이용하여 연산되거나, 도어의 시그너처와 카드의 시그너처를 단일 "멀티" 시그너처로 조합함으로서 연산된다. 여러가지 멀티 시그너처 기법들이 사용될 수 있다. 특히, Micali, Ohta, Reyzin의 기법이 사용될 수 있다.
로그에 추가 정보를 포함시키는 것이 가능하다. 카드에 의해 보고되고 도어에 의해 보고되는 정보가 일치하는 지를 확인할 수 있다. 예를 들어, 카드와 도어가 모두 로그 입력사항에 시간 정보를 포함한다. 이들 모두에게 가용한 클럭을 이용하여 포함한다. 추가적으로, 카드(가능하다면 도어도)는 위치 정보(가령, GPS로부터 도출)를 로그 입력사항에 포함시킬 수 있다. 대안으로, 현 위치가 가용하지 않다면(가령, GPS 수신 기능이 불가한 경우), 가장 최근의 위치에 관한 정보(가능하다면 얼마전에 수립되었는지 까지)가 포함될 수 있다. 이 방법으로, 이동 도어의 경우에 특히, 이벤트가 발생하였을 때, 도어와 카드가 위치한 장소를 수립할 수 있다.
물론, 앞서와 같은 분쟁없는 로그 입력사항조차도 데이터베이스로부터 악의적으로 삭제되거나, 데이터베이스에 함께 도달하는 것이 차단될 수 있다. 이러한 삭제를 방지하기 위해, 삭제-검출형 로그 시스템을 제공하는 것이 바람직하다. 이러한 시스템은 1) 인증 기법(가령, 디지털 시그너처 기법), 2) 상관-발생 메커니즘, 3) 상관-검출 기법을 이용하여 구축될 수 있다. 한개의 로그 이벤트 E가 주어졌을 때, 상관 발생 기법은 상관 정보 CI를 발생시키는 데 사용될 수 있다. 상관 정보 CI는 삭제-검출형 로그 입력사항을 발생시키도록 인증 기법을 이용하여 E에 보안화된 방식으로 구속된다. 이벤트 자체가 상관되지 않은 상태이고 한 이벤트의 존재가 다른 이벤트 존재로부터 유추될 수 없다 할지라도, 사라진 로그 입력사항의 경우에, 적절하게 상관된 정보(즉, 상관 검출 기법을 이용하여 검출할 수 있는 것)가 전혀 존재하지 않는다는 보장하는 방식으로, CI가 발생된다는 것을 상관 발생 기법이 보장할 수 있다. 일부 사례에서, 일부 로그 입력사항이 사라졌을지라도, 다른 것들은 승인되고 개별적으로 분쟁불가한 것으로 보증할 수 있다는 것을 시스템이 또한 보장할 수 있다.
첫번째 예에서, 로그 입력사항의 상관 정보 CI는 로그 입력사항을 순차적으로 수치화하는 과정을 포함할 수 있다. 대응하는 상관 검출 기법은 이러한 수치화 시퀀스에서 간격의 존재를 발견하는 과정을 포함할 수 있다. 그러나, 삭제 검출형 로그 시스템을 얻기 위해, 시스템의 인증 컴포넌트에 보안화된 디지털 시그너처들이 사용됨에도 불구하고, CI와 로그 입력사항 간의 적절한 결합이 발견된다. 이는 쉽지 않을 수 있다. 예를 들어, i번째 로그 입력사항을 (i, SIG(event, AI))로 구성하는 것은 견고하지 않다. 왜냐하면, 불순한 의도를 가진 자가, 로그 입력사항 삭제 후, 이 간격을 감추도록 차후 입력사항의 수치화를 삭제할 수 있기 때문이다. 특히, 로그 입력사항 번호 100을 삭제한 후, 불순 의도자가 로그 입력사항의 번호들 101, 102.. 들을 1만큼 감소시킬 수 있다. 이벤트 정보의 일체성은 디지털 시그너처에 의해 보호됨에도 불구하고, 수치화 자체는 그렇지 못할 수 있기 때문에, 불순 의도자는 자신의 삭제를 이렇게 감출 수 있다. 더우기, 디지털방식 서명의 경우에도, 이 수치들도 디지털 방식으로 서명하여도 제대로 동작하지 않을 수 있다. 예를 들어, i번째 로그 입력사항이 (SIG(i), SIG(event, AI))로 구성된다고 가정하자. 그러면, 불순한 의도자는 SIG(100)를 관찰하고 기억할 수 있고, 2) 입력사항 번호 100을 삭제할 수 있으며, 3) 원 입력사항 101에서 SIG(101) 대신에 SIG(100)을 넣을 수 있고, 이때, SIG(101)을 기억해둔다. 등등하여, 이러한 삭제를 완전하게 감출 수 있다.
상기 두 방법 어느 것도 CI와 로그 입력사항의 요망하는 보안화된 결합을 도출하지 못한다. 게다가, 1) 수치화된 정보를 2) 이벤트의 수치화와 함께 보안화된 방식으로 결합함으로서, 우리는 i 번째 이벤트에 Ei에 관한 이벤트 정보와 함께 어떤 수치 j의 결합을 만들어내지 못할 수 있다. 이때, j는 i와 다른 값이며, 만약, a) 수치 i와 Ei의 보안화된 결합과, b) 수치 j와 Ej의 보안화된 결합이 제공될 지라도 만들어내지 못할 수 있다. 가령, i번째 로그 입력사항이 SIG(i, Ei, AI)로 구성될 수 있다. 이 방식으로, i번째 로그 입력사항의 삭제가 나중의 로그 입력사항에서 검출될 것이다. 이는 나중의 로그 입력사항이 i보다 큰 수치로 이를 지닐 수 있기 때문에 그러하며, 이는 불순 의도자에 의해 수정되거나 제거되거나 다른 로그 입력사항 수치 정보로 바뀔 수 없다. 왜냐하면 이는 로그 입력사항에 보안화된 방식으로 결합되어 있기 때문이다. 예를 들어, 불순 의도자가 로그 입력사항 수치 100: SIG(100, E100, AI)을 삭제한다고 가정해보자. 불순 의도자가 모든 차후의 로그 입력사항들을 삭제하는 한, 자신의 삭제사항을 감추기 위해, 그는 동일 번호 100으로 또다른 로그 입력사항을 생성할 필요가 있다. 그러나, 이것은 쉽지 않다. 왜냐하면, a 불순 의도자가 도어의 시크릿 서명 키를 가지지 않기 때문에 새로운 100번째 로그 입력사항 SIG(100, E', AI')을 발생시킬 수 없기 때문이며, 또한, b) 불순 의도자가 디지털 시그너처를 무효화하지 않으면서 기존 로그 입력사항을 수정할 수 없기 때문이다. 가령, 삭제된 입력사항 SIG(100, E', E100, AI100)을 기억할지라도, SIG(101, E101, AI101)을 SIG(100, E100, AI100)으로 바꿀 수 없기 때문이다. 또한, c) 수치 100을 표시하는 로그 입력사항의 일부분의 시그너처를 불순한 의도자가 추출할 수 없고, 이를 디지털 시그너처와 함게 또다른 로그 입력사항으로 묶을 수 없기 때문이다.
이러한 보안화된 결합은 입력사항 번호와 이벤트의 수치화를 함께 디지털 방식으로 서명하는 것과는 다른 수단에 의해 달성될 수 있다. 예를 들어, 수치화된 이벤트와 입력사항 번호를 일방향 해싱함으로서 그리고 이 해시에 SIG(H(i, Ei, AI)) 방식으로 서명함으로서 달성될 수 있다. 또다른 예로서, 이벤트의 디지털 시그너처에 상기 수치의 해시를 포함시킴으로서(가령, SIG(i, H(Ei), Ai)), 또는 그 역으로 달성될 수 있다. 또다른 대안으로서, 고유 스트링 x와 함께 수치화 정보를, 그리고 이벤트 정보를 스트링 x와 함께 개별적으로 서명할 수 있다. 기호로 표현하자면, (SIG(i, x), SIG(x, Ei, AI))와 같다.
삭제 검출형 로그들은 순차적 수치화 정보와는 다른 로그 입력사항 상관 정보와의 보안화된 결합에 의해 달성될 수도 있다. 예를 들어, 이전 로그 입력사항, 가령, i-1로부터 일부 식별 정보를 로그 입력사항 i에 포함시킬 수 있다. 이러한 정보는 입력사항 i-1의 충돌-저항 해시일 수 있다. 기호로 표시하자면, 로그 입력사항 i는 SIG(H(log entry i-1), Ei, Ai)로 표현될 수 있다. 불순 의도자가 로그 입력사항 i-1의 삭제를 시도할 때, 이러한 제거는 로그 입력사항 i가 수신될 때 검출될 것이다. 왜냐하면, 이전에 수신한 로그 입력사항의 해시 H(log entry i-2)가 H(log entry i-1)과 일치하지 않기 때문이며, 반면에, H(log entry i-1)은 로그 입력사항 - i에 보안화된 방식으로 결합되어 있기 때문에, 디지털 시그너처의 유효성을 파괴하지 않으면서 불순 의도자에 의해 수정될 수 없다. 여기서, 로그 입력사항 i는 Ei같은 그 정보의 서브세트를 의미할 수 있다.
엔트리 i와 결합된 정보를 가진 것이 로그 엔트리 i-1일 필요는 없다. 또다른 이전의 입력사항, 또는 이후의 입력사항일 수 있으며, 실제로, 여러 다른 입력사항들일 수 있다. 더우기, 어떤 로그 입력사항을 어떤 로그 입력사항과 결합하느냐가 임의성에 따라 선택될 수 있다.
또다른 상관 정보가 사용될 수도 있다. 예를 들어, 각각의 로그 입력사항 i는 두개의 값 xi와 xi +1과 보안화된 방식으로 결합될 수 있다. 즉, SIG(xi, xi +1, Ei, AI)로 표현할 수 있다. 이 두 일련의 로그 입력사항들이 항상 한개의 x값을 공유할 수 있다. 가령, 입력사항 i와 입력사항 i+1이 xi +1을 공유할 수 있다. 그러나, 로그 입력사항이 삭제되면, 이는 더이상 유지되지 않을 것이다. 왜냐하면, 불순 의도자의 경우에, 시그너처에 대한 시크릿 키를 알기전에는 서명된 로그 입력사항을 삭제없이 수정할 수 없기 때문이다. 예를 들어, 입력사항 번호 1000이 삭제되면, 데이터베이스는 SIG(x99, x100, E99, AI)와 SIG(x101, x102, E101, AI)를지닐 것이며, 공통 x값을 공유하지 않음을 관찰할 수 있다. 이러한 상관 정보는 다른 형태를 취할 수 있다. 실제로, 한개의 로그 입력사항이 여러개의 다른 로그 입력사항과 상관될 수 있다. 이는 상광 정보 발생을 위해 다항식을 이용함으로서 달성될 수 있다. 가령, 두개 이상의 로그 입력사항들이 여러 다른 입력에서 동일한 다항식을 평가하는 결과를 각기 지닐 수 있다. 이러한 상관 정보는 해시 체인을 이용할 수도 있다. 예를 들어, 값 y1으로 시작할 때, y2 = H(y1), y3 = H(y2).. 등등으로 설정하고, yi를 Ei와 보안화된 방식으로 결합한다. 가령, i번째 로그 입력사항은 SIG(yi, Ei, AI)로 표현될 수 있다. 그후, 일련의 로그 입력사항들 i와 i+1은 상관 값 yi와 yi +1을 가져서, yi+1 = H(yi)가 되게 된다. 불순 의도자가 로그 입력사항을 삭제할 경우, 이는 더이상 유지되지 못하며, 따라서 삭제가 검출될 수 있다. 가령, 입력사항 100이 삭제되면, 데이터베이스는 SIG(y99, E99, AI)와 SIG(y101, E101, AI)를지닐 것이다. 이 역시 앞서처럼, 디지털 시그너처를 왜곡시키지 않으면서는 불순 의도자에 의해 수정될 수 없다. 그후 이 삭제는 H(y101)가 y99와 일치하지 않기 때문에 검출될 수 있다. 여러 해시 체인을 이용하는 것은, 양방향으로 비-일련 입력사항을 이용하면서, 이러한 상관 정보를 제공할 수 있다.
또다른 실시예에서, 각각의 로그 입력사항은 이전 또는 차후 이벤트의 전부 또는 일부의 표시사항을 지닐 수 있다. 따라서, 로그를 삭제 검출가능하게 할 뿐 아니라, 삭제시 재구성가능하게 한다. 재구성가능형 로그 시스템들은 1) 인증 기법(가령, 디지털 시그너처 기법), 2) 재구성형 정보 발생 기법, 그리고 3) 다음과 같은 재구성 기법을 이용하여 구성될 수 있다. 한개의 로그 이벤트 E가 주어졌을 때, 재구성 정보 발생 기법이 재구성 정보 RI를 발생시키는 데 사용되며, 이 정보 RI는 인증 기법을 이용하여 다른 로그 입력사항에 보안화된 방식으로 결합된다. 재구성 정보 발생 기법은 이벤트 i에 대응하는 로그 입력사항이 손실된 경우에도, 다른 로그 입력사항들이 E에 관한 충분한 정보를 지녀서, 다른 로그 입력사항들에 존재하는 RI로부터 E를 재구성할 수 있게 함을 보장할 수 있다. 예를 들어, i + 1번째 입력사항은 재구성 정보 발생 기법에 의해 발생되는 이전 i개 이벤트들의 전부 또는 일부에 관한 정보를 지닐 수 있다. 따라서, 불순 의도자가 데이터베이스로부터 j번째 로그 입력사항을 소거하는 데 성공할 경우, j번째 이벤트 Ej에 관한 정보가 한개 이상의 차후 입력사항에 나타날 것이며, 따라서, j번째 로그 입력사항이 결여되어 있을 지라도 재구성 기법을 이용하여 정보 Ej를 재구성할 수 있게 한다. 따라서, 불순 의도자가 데이터베이스에 일시적으로 액세스하는 것만으로는 충분하지 않다. 불순 의도자는 데이터베이스를 항상 감시하여야 하며, j번째 이벤트에 관한 정보가 누설되는 것을 방지하기 위해 여러 로그 입력사항들을 삭제하여야 한다. 한개의 로그 입력사항에 포함될 이벤트들을 선정하는 것은, 임의적 방식의 재구성 정보 발생 기법에 의해 구현된다. 따라서, 주어진 이벤트에 관한 정보가 이어지는 로그들에 나타날 때를 불순 의도자가 예측하는 것이 더 어려워진다. 바람직하게는, 재구성가능형 로그들을 위한 시스템이 삭제 검출형이고 분쟁없는 형태일 수 있다.
또다른 로그 입력사항에 포함된 이벤트 j에 관한 재구성 정보가 직접적일 필요는 없다는 점에 또한 주목하여야 한다. 이는 부분 입력사항 j, 또는 그 해시 함수 hj, 또는 그 디지털 시그너처, 또는 그외 다른 표시사항으로 구성될 수 있다. 특히, 해시 함수 hj의 경우, 일방향/충돌 방지 해시 함수를 통해 재구성 정보 발생 기법에 의해 연산된다. 특히, 일방향 충돌-방지 해시 함수 H가 사용될 경우, hj를 지닌 로그 입력사항 i로부터 j번째 이벤트에 관한 정보를 분쟁없이 복원하는 것이 가능하다. 기호를 이용할 경우, i번째 입력사항이 서명되면, 대응하는 분쟁없는 로그는 SIG(hj, Ei, Ai)의 형태를 취할 수 있다. 예를 들어, 특정 사용자가 특정 시간에 특정 도어에 들어간 것을 한 사람이 의심할 경우, 그 사람은 이러한 이벤트에 따라 생성된 로그 입력사항 Ej의 해시 H(Ej)가 hj와 일치하는 지를 테스트할 수 있다. 이는 분쟁없는 형태이다. 왜냐하면, H의 충돌 방지 성질 때문이다. H(E'j) = H(Ej) 이도록 Ej와는 다른 입력사항 E'j를 찾아내는 것은 실질적으로 불가능하다.
로그 입력사항 Ej는 주어진 이벤트에 대한 로그 입력사항이 무엇이어야 하는 지를 추정하기 용이하게 하는 방식으로 생성될 수 있다. 가령, 로그 입력사항에 대한 표준화된 포맷을 이용하거나, 조밀하지 않은 개략적 시간 밀집성을 이용함으로서 상기 추정을 행할 수 있다. 일발향 해시는 그 작은 크기때문에 특히 유용하다. 이어지는 입력사항에 포함시키기 위해 상당수의 또는 모든 이전의 로그 입력사항들을 해싱하는 것은 불가능할 수 있다. 예를 들어, 입력사항 i+1은 h1 = H(E1), h2 = H(E2),..., hi = H(Ei)를 포함할 수 있다. 이에 대한 대안으로, 해시들을 포개어(nesting) 구성할 수 있고, 따라서, 요구되는 공간의 양이 줄어든다. 예를 들어, 해시들을 모두 포갤 경우, 두번째 로그 입력사항은 h1 = H(E1)을 포함할 것이며, 세번째 로그 입력사항은 h2 = H(E2, h1)을 포함할 것이다. 따라서, 로그 입력사항 1에서 i-1까지와 로그 입력사항 i+1을 관찰거나 재구성할 수 있을 경우, 로그 입력사항 i를 분쟁없는 방식으로 재구성할 수 있다. 이 시스템은 로그 입력사항에 정보를 암호화함으로서(가령, 데이터베이스에만 알려진 키를 이용하여) 개선될 수 있다. 그래서, 특정 이벤트의 재구성가능성과 절충하기 위해 불순 의도자가 파괴하여야 하는 정보를 불순 의도자가 볼 수 없게 된다. 실제로, 로그가 암호화에 의해 보호되면, 이러한 암호화된 로그는 프라이버시의 손실없이 또다른 데이터베이스로 옮겨질 수 있다. 이는 불순 의도자에게 삭제를 더욱 어렵게 한다. 이제 그는 로그를 변조하기 위해 두개 이상의 데이터베이스에 대한 액세스를 얻어야만 한다.
재구성가능형 로그들은 에러-교정 코드를 이용하여 구현될 수도 있다. 특히, 이는 각각의 로그 입력사항의 여러 컴포넌트들을 발생시킴으로서, 그리고 이들을 개별적으로 전달함으로서 이루어진다. 즉, 충분히 많은 컴포넌트들이 수신되었을 때, 로그 입력사항이 재구성 기법에 의해 재구성될 수 있다. 이는 에러 교정 코드를 위한 디코딩 알고리즘을 호출할 수 있다. 이 컴포넌트들은 임의적으로 또는 준-임의적으로 퍼질 수 있고, 따라서, 충분한 컴포넌트들이 결국 도달할 때 로그 입력사항의 재구성을 방지하기 위해 불순 의도자가 충분히 많은 수의 컴포넌트들을 제거하는 것이 더 어려워진다.
이벤트 로그는 그 수집을 촉진하기 위해 카드에 동반될 수 있다. 카드가 연결 도어에 도달하면, 또는 중앙 서버와 통신하면, 그렇지 않을 경우, 중앙 데이터베이스와 통신할 수 있을 경우, 카드는 그 안에 저장된 로그를 전송할 수 있다. 이는 HRA가 중앙 포인트로부터 카드에게로 전송되는 반면, 로그는 카드로부터 중앙 포인트로 전송된다는 점을 제외하고는, HRA의 보급과 유사하게 이루어질 수 있다. HRA를 보급하는 모든 이러한 방법들은 따라서 이벤트 로그의 수집에 적용된다. 구체적으로, HRA를 보급하는 한 방법은 수신자를 송신자로 대체함으로서, 그리고 HRA를 로그 엔트리로 대체함으로서 이벤트 로그들을 수거하는 방법으로 변환될 수 있다.
특히, 카드 C1은 C1에 관련없는 이벤트들에 대한 이벤트 로그들을 수집할 수 있다. 가령, 또다른 카드 C2에 의한 액세스나, 도어 D의 오기능 등에 관한 이벤트 로그들을 수집할 수 있다. 더우기, 한 도어 D1에 대한 이벤트 로그들이 또다른 도어 D2에 (아마도 일시적으로) 저장될 수 있다. 그후, 또다른 카드 C2가 D2와 통신할 때, 이 로그 엔트리들 중 일부를 수신할 수 있고, 차후에 이들을 또다른 도어나 중앙 위치와 통신시킬 수 있다. 이러한 광폭의 분포는 이벤트 로그가 중앙 포인트에 신속하게 도달함을 보장할 수 있다. 더우기, 중앙 베이스에 완전-연결된 도어가 아닐지라도 일부 도어는 서로에 대한 연결을 가질 수 있다. 따라서 이러한 도어는 가용 이벤트 로그들을 마찬가지로 교환할 수 있다. 카드들이 서로 통신 기능을 가질 경우, 가령, 근접 위치에 있을 때, 이들은 이들이 저장한 이벤트 로그들에 관한 정보를 교환할 수도 있다. 이러한 수집 과정에서, 분쟁없는 로그들이 바람직하다. 왜냐하면, 이들은 변조될 가능성이 없기 때문에 보안화된 채널을 통해 운반될 필요가 없기 때문이다. 따라서, 카드와 도어간의 연결이나 카드의 보안성에 의존할 필요가 없다. 삭제 검출형 로그들은 일부 로그 입력사항들이 수집되지 않았을 경우, 이 사실이 검출될 수 있음을 보장함으로서 추가적인 장점을 제공한다. 재구성가능형 로그들은 중아 데이터베이스에 일부 로그 입력사항들이 도달하지 않는 경우에, 로그 입력사항들의 재구성을 가능하게 한다(아마도, 일부 카드들이 연결 도어에 절대 도달하지 못하기 때문이다).
일부 예에서, 모든 이벤트 로그들은 이러한 방식으로 저장되고 보급될 수 있다. 그렇지 않을 경우, 일부 최적화를 채택하는 것이 유용할 수 있다. 한가지 최적화 기법은 이벤트 로그들이 우선순위 정보와 결합되게 한다. 특정 이벤트에 관해 중앙 기관에 알리는 상대적 중요도를 함께 표시하는 것이다. 일부 로그 입력사항들은 다른 것보다 긴급한 관심을 요할 수 있다. 가령, 도어가 열린 위치나 닫힌 위치에서 충격을 받을 경우, 비승인 액세스가 시도될 경우, 또는 일상적이지 않은 액세스 패턴이 검출될 경우가 긴급한 관심을 요하는 경우에 해당한다. 이러한 중요한 정보를 실제 작용하는 위치에 전달하는 속도를 높이기 위해, 액세스 로그의 정보가 그 중요도를 표시하는 태그를 달 수 있다. 또는 그 중요도가 정보 자체로부터 추정될 수 있다. 예를 들어, 일부 로그 입력사항들이 "긴급"이라고 표시될 수 있고, 다른 로그 입력사항들은 "정규"라고 표시될 수 있다. 또는 이들인 그 중요도를 표시하는 수치나 코드워드로 표시될 수 있다. 우선순위의 등급은 이보다 미세할 수도 있고 이보다 개략적일 수도 있다. 우선순위가 높을수록 정도 전달의 중요성이 높다고 간주된다. 예를 들어, 높은 우선순위의 정보는 더 많은 카드와 도어에게 주어질 수 있어서, 그 종착지까지 더 빨리 더 안전하게 전달되게 한다. 또한, 카드나 도어가, 높은 우선순위의 정보를 수신할 때, 메모리로부터 낮은 우선순위 정보를 제거함으로서 해당 공간을 제공할 수 있다. 마찬가지로, 통과하는 모든 카드에 높은 우선순위 정보를 제공하도록 도어가 결정할 수 있다. 반면에, 저우선순위 정보는 몇몇 카드에게만 제공될 수 있고, 또는 도어가 연결될 때까지 대기할 수 있다.
위 기술에 대한 대안으로, 또는 위 기술에 대해 추가적으로, 카드들은 임의성과 관련한 방식으로 특정 로그 입력사항들을 저장하도록 선택될 수 있다. 또는, 한 도어가 소정 수치의 카드들에게 로그 입력사항을 제공할 수 있다. 이러한 보급 기술을 이용함으로서, 작용하는 중앙 위치에 이벤트 로그의 중요 입력사항들이 도달할 수 없을 가능성을 크게 감소시킬 수 있다. 특히, 파괴된 도어가 그 파괴물과 통신하는 것을 방지하려 시도하는 전파방해 공격에 대한 효과적인 대응수단으로 사용될 수 있다. 카드와 도어들 간의 로그 교환의 실제 방법은 변할 수 있다. 몇몇 입력사항의 경우에, 알려진 모든 입력사항들을 교환하고 비교하는 것이 가장 효율적일 수 있다. 다른 경우에, 차이점을 발견하고 조정하는 보다 정교한 알고리즘들이 존재할 수 있다.
이벤트 로그들이 수집되는 일부 샘플 방식들을 상세하게 제시하는 것이 바람직할 것이다. 아래에서는 "기관" A는 이벤트 로그들을 수집하는 일부 중앙 포인트나 데이터베이스를 포함한다.
시퀀스 1( 도어로부터 기관에게로 )
1. 연결 도어 D는 이벤트에 따라 분쟁없는 로그 입력사항 E를 생성한다.
2. E는 무선 또는 유선 통신을 통해 기관 A에 전송된다.
3. A는 E의 인증을 확인하고, 인증에 성공할 경우, E를 저장한다.
시퀀스 2( 도어로부터 사용자 카드에게로 , 그래서 기관에게로 )
1. 도어 D는 이벤트에 따라 분쟁없는 로그 입력사항 E를 생성한다.
2. D에 액세스하기 위해 제시되는 사용자 U의 카드 C는 E를 수신하고 저장한다.
3. U가 작업을 마치고 작업일 종료시 A에게 자신의 카드를 A에게 제시할 때, E는 카드에 의해 A에게 전송된다.
4. A는 E의 인증을 확인하고, 인증에 성공할 경우, E를 저장한다.
시퀀스 3( 도어로부터 사용자의 카드에, 또다른 연결 도어에 , 기관에게로 )
1. 도어 D는 이벤트에 따라 분쟁없는 로그 입력사항 E를 생성한다.
2. D에 액세스하기 위해 제시되는 사용자 U의 카드 C는 E를 수신하고 저장한다. 카드는 E의 인증을 확인할 수도 있고 확인하지 않을 수도 있다.
3. 나중에, U는 또다른 도어 D'에 대한 액세스를 위해 자신의 카드 C를 제시하고, 증명서를 확인하고 적절한 경우 액세스를 허가함에 추가하여, C로부터 X를 수신한다. D'은 E의 인증을 확인할 수도 있고 확인하지도 않을 수 있다.
4. E는 D'에 의해 무선 또는 유선 통신을 이용하여 기관 A에 전송된다.
5. A는 E의 인증을 확인하고, 인증에 성공할 경우 E를 저장한다.
보호 영역들은 벽과 물리적 도어에 의해 형성될 수 있다. 가령, 사람이 통과할 수 있는 도어나, 컨테이너의 도어, 또는 차량의 도어 등에 의해 형성될 수 있다. 보호 영역은 가상 도어와 벽에 의해서도 형성될 수 있다. 가령, 침입을 감지할 수 있는 검출기에 의해 한 영역이 보호될 수 있고, 승인이 제공되지 않을 때 경보를 발생시키거나 또다른 신호를 전송할 수 있다. 이러한 경보 시스템은 가상 도어의 한 예다. 공항에서, 출구를 통해 게이트 영역에 입장하는 경우 등은 이러한 경보를 발생시킬 수 있다. 물론 이 경우에 어떤 물리적인 도어나 벽을 침입하는 것이 아닌데도 말이다. 가상 도어의 또다른 예는 톨 부스이다. 여러 톨 부스들이 어떤 물리적 도어나 바를 가지지 않지만, 차량은 부스를 통과하는 것을 승인받을 수도 있고 승인받지 못할 수도 있다. 이러한 승인은 가령, 차량의 전자식 톨 요즘 토큰의 유효성에 따라 좌우될 수 있다. 또다른 예로는 교통 제어 영역의 예가 있다. 가령, 도시의 다운타운에 진입하기 위해, 또는 핵심 설비, 군 막사, 또는 그외 다른 민감한 영역에 진입하는 도로는 적절한 승인(가령, 요금 징수, 보안, 또는 혼잡 제어 등)을 동반하여야 한다.
추가적으로, 보호는 이러한 영역에만 필요한게 아니라 비행기 엔진이나 군용 장비같은 장치들에 대해서도 필요하다. 가령, 승인받은 개인만이 위험 물질을 운반하는 트럭이나 비행기의 엔진을 시동할 수 있음을 보장할 필요가 있다.
액세스 제어를 위해 증명서/증명들을 이용하는 데는 여러가지 방법이 있다. 여기서, 아래의 용어 "날짜"나 "하루"는 일련의 시간 주기 중 일반적인 시간 주기를 의미하는 것이고, "아침"은 시간 주기의 시작을 의미한다.
본원을 통해, "도어"는 모든 종류의 출입구(물리적 출입구와 가상 출입구 포함), 액세스 제어 시스템/장치, 그리고 감시 시스템/장치를 포함하는 것으로 간주되어야 한다. 특히, 이들은 엔진과 제어 장비를 시동하는 데 사용되는 키 메커니즘을 포함한다. 따라서 우리의 발명은 현재 승인받은 사용자만이 비행기를 시동시킬 수 있고, 불도저를 운전할 수 있고, 그렇지 않을 경우 여러가지 가치있고 위험한 물체, 장치, 기계들을 액세스하고 제어할 수 있다는 것을 보장하는 데 사용된다. 본원에서와 일관되게, 우리는 요망 액세스를 허가하는 데 "입장"이라는 표현을 이용한다.
마찬가지로, 의도한 일반성의 손실없이 구체적인 형태로, 카드는 사용자의 임의의 액세스 장치를 의미할 수 있다. 카드란, 휴대폰, PDA, 그리고 그외 다른 무선 또는 이에 대한 개선형 장치를 포괄적으로 포함하는 것으로 이해하여야 하며, 카드는 PIN, 비밀번호, 생체정보, 등등, 그외 다른 보안 수단과 연계하여 동작할 수 있는 것이다. 이러한 보안 수단은 카드 자체 말고 카드소지자의 신체에 위치할 수도 있다.
추가적으로, "사용자"라는 표현은 사용자와 사람만을 포함하는 것이 아니라, 사용자, 실체, 사용자 카드 등을 모두 포괄하는 것으로 이해하여야 한다.
본원의 시스템은 하드웨어 및 소프트웨어의 적절한 조합을 이용하여 구현될 수 있으며, 한개 이상의 프로세서에 의해 액세스되는 컴퓨터 판독형 매체에 저장된 소프트웨어도 포함한다. 추가적으로, 암호화, 인증 등에 사용되는 기술은 적절하게 상호교환 형태로 조합되고 사용될 수 있다. 이러한 측면에서, 다음의 미국 특허 및 미국특허출원이 본원에서 참고로 인용된다.

Claims (28)

  1. 액세스 제어 방법에 있어서, 상기 방법은,
    - 액세스를 선택적으로 허가하는 컨트롤러를 포함하는 액세스에 대한 배리어를 제공하는 단계,
    - 한개 이상의 관리 실체에 의해 증명서/증명(credentials/proofs)을 발생시키는 단계로서, 이때, 만료된 증명에 대한 증명서 및 값만으로는 어떤 유효한 증명도 결정될 수 없는 단계,
    - 상기 컨트롤러에 의해 상기 증명서/증명을 수신하는 단계,
    - 상기 액세스가 현재 승인된 것인 지를 상기 컨트롤러에 의해 결정하는 단계, 그리고
    - 액세스가 현재 승인된 경우, 컨트롤러에 의해 액세스를 허가하는 단계
    를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  2. 제 1 항에 있어서, 상기 증명서/증명이 한 부분에 놓이는 것을 특징으로 하는 액세스 제어 방법.
  3. 제 1 항에 있어서, 상기 증명서/증명이 서로 다른 부분에 놓이는 것을 특징으로 하는 액세스 제어 방법.
  4. 제 3 항에 있어서, 증명서를 발생시키는 제 1 관리 실체와, 증명을 발생시키는 또다른 관리 실체들이 존재하는 것을 특징으로 하는 액세스 제어 방법.
  5. 제 4 항에 있어서, 상기 제 1 관리 실체가 증명까지도 발생시키는 것을 특징으로 하는 액세스 제어 방법.
  6. 제 4 항에 있어서, 상기 제 1 관리 실체가 증명을 발생시키지 않는 것을 특징으로 하는 액세스 제어 방법.
  7. 제 1 항에 있어서, 상기 증명서는 일방향 함수를 상기 증명들 중 제 1 증명에 적용한 결과인 최종 값을 포함하는 디지털 인증서에 대응하는 것을 특징으로 하는 액세스 제어 방법.
  8. 제 7 항에 있어서, 각각의 증명은 일방향 함수를 상기 증명들 중 차후의 증명에 적용한 결과인 것을 특징으로 하는 액세스 제어 방법.
  9. 제 7 항에 있어서, 상기 디지털 인증서는 전자 장치에 대한 식별자를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  10. 제 1 항에 있어서, 상기 증명서들은 상기 증명들 중 제 1 증명에 일방향 함수를 적용한 결과인 최종 값을 포함하는 것을 특징으로 하는 액세스 제어 방법.
  11. 제 10 항에 있어서, 각각의 증명은 일방향 함수를 상기 증명들 중 차후의 증명에 적용한 결과인 것을 특징으로 하는 액세스 제어 방법.
  12. 제 1 항에 있어서, 상기 증명서들은 사용자 요청 액세스에 대한 식별자를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  13. 제 1 항에 있어서, 상기 증명서/증명이 디지털 시그너처를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  14. 제 1 항에 있어서, 액세스에 대한 상기 배리어는 벽과 도어를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  15. 제 14 항에 있어서,
    - 상기 컨트롤러에 연결된 도어 잠금 수단을 제공하는 단계로서, 이때, 상기 컨트롤러의 액세스 허가는 도어를 개방시키도록 상기 컨트롤러가 도어 잠금 수단을 동작시키느 과정을 포함하는 단계
    를 추가로 포함하는 것을 특징으로 하는 액세스 제어 방법.
  16. 제 1 항에 있어서,
    - 상기 컨트롤러에 연결되는 리더기를 제공하는 단계로서, 이때, 상기 컨트롤러는 리더기로부터 증명서/증명을 수신하는 단계
    를 추가로 포함하는 것을 특징으로 하는 액세스 제어 방법.
  17. 제 16 항에 있어서, 사용자에 의해 제시되는 스마트 카드에 상기 증명서/증명들이 제공되는 것을 특징으로 하는 액세스 제어 방법.
  18. 제 1 항에 있어서,
    - 상기 컨트롤러에 외부 연결을 제공하는 단계
    를 추가로 포함하는 것을 특징으로 하는 액세스 제어 방법.
  19. 제 18 항에 있어서, 상기 외부 연결이 간헐적인 것을 특징으로 하는 액세스 제어 방법.
  20. 제 18 항에 있어서, 상기 컨트롤러는 상기 외부 연결을 이용하여 상기 증명서/증명들의 일부 또는 전부를 수신하는 것을 특징으로 하는 액세스 제어 방법.
  21. 제 20 항에 있어서, 상기 컨트롤러는 상기 외부 연결을 이용하여 모든 증명서/증명을 수신하는 것을 특징으로 하는 액세스 제어 방법.
  22. 제 20 항에 있어서,
    - 상기 컨트롤러에 연결된 리더기를 제공하는 단계로서, 이때, 상기 컨트롤러는 상기 리더기로부터 증명서/증명들의 나머지 부분을 수신하는 단계
    를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  23. 제 22 항에 있어서, 상기 증명서/증명들이 사용자에 의해 제시되는 스마트 카드 상에 제공되는 것을 특징으로 하는 액세스 제어 방법.
  24. 제 1 항에 있어서, 상기 증명서/증명들이 사용자가 입력한 비밀번호를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  25. 제 1 항에 있어서, 상기 증명서/증명들이 사용자 생체 정보를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  26. 제 1 항에 있어서, 상기 증명서/증명들이 수기 시그너처를 포함하는 것을 특징으로 하는 액세스 제어 방법.
  27. 제 1 항에 있어서, 상기 증명서/증명들이 사용자가 소지한 카드 상에 제공되는 시크릿 값을 포함하는 것을 특징으로 하는 액세스 제어 방법.
  28. 제 1 항에 있어서, 상기 증명서/증명들이 지정 시간에 만료되는 것을 특징으로 하는 액세스 제어 방법.
KR1020067001178A 2003-07-18 2004-07-16 액세스 제어 방법 KR20060065633A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US48864503P 2003-07-18 2003-07-18
US60/488,645 2003-07-18
US50564003P 2003-09-24 2003-09-24
US60/505,640 2003-09-24

Publications (1)

Publication Number Publication Date
KR20060065633A true KR20060065633A (ko) 2006-06-14

Family

ID=34107773

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020067001178A KR20060065633A (ko) 2003-07-18 2004-07-16 액세스 제어 방법

Country Status (7)

Country Link
EP (1) EP1646937B1 (ko)
JP (2) JP4890248B2 (ko)
KR (1) KR20060065633A (ko)
CN (1) CN100533368C (ko)
AT (1) ATE512428T1 (ko)
CA (2) CA2893997A1 (ko)
WO (5) WO2005010688A2 (ko)

Families Citing this family (87)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7404080B2 (en) 2001-04-16 2008-07-22 Bjorn Markus Jakobsson Methods and apparatus for efficient computation of one-way chains in cryptographic applications
US8108691B2 (en) 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8321686B2 (en) 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8423788B2 (en) 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US7706778B2 (en) 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
JP4235193B2 (ja) * 2005-06-07 2009-03-11 日本電信電話株式会社 イベント履歴蓄積装置、イベント情報検証装置、イベント履歴蓄積方法、イベント情報検証方法およびイベント情報処理システム
US7743409B2 (en) 2005-07-08 2010-06-22 Sandisk Corporation Methods used in a mass storage device with automated credentials loading
US20070061597A1 (en) 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US9985950B2 (en) 2006-08-09 2018-05-29 Assa Abloy Ab Method and apparatus for making a decision on a card
US8074271B2 (en) 2006-08-09 2011-12-06 Assa Abloy Ab Method and apparatus for making a decision on a card
US8166532B2 (en) 2006-10-10 2012-04-24 Honeywell International Inc. Decentralized access control framework
US8423794B2 (en) 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
FI20070416L (fi) * 2007-05-25 2008-11-26 Kone Corp Hallinnointijärjestelmä
DE102007048829A1 (de) * 2007-10-11 2009-04-16 Continental Automotive Gmbh Integration von Gebäude- und Fahrzeugzugangssystemen
EP2377267B1 (en) * 2008-12-04 2018-06-06 Saab AB Key issuer, key carrier, access unit and methods performed in said units
CN103426215B (zh) * 2012-05-21 2015-12-16 上海宽带技术及应用工程研究中心 用于意外救助的门锁管控方法及系统
US10114938B2 (en) 2013-03-22 2018-10-30 Utc Fire And Security Americas Corporation, Inc. Secure electronic lock
EP2821972B1 (en) 2013-07-05 2020-04-08 Assa Abloy Ab Key device and associated method, computer program and computer program product
PL2821970T5 (pl) 2013-07-05 2019-12-31 Assa Abloy Ab Urządzenie komunikacyjne kontroli dostępu, sposób, program komputerowy i produkt programu komputerowego
US8601326B1 (en) 2013-07-05 2013-12-03 Palantir Technologies, Inc. Data quality monitors
US9335897B2 (en) 2013-08-08 2016-05-10 Palantir Technologies Inc. Long click display of a context menu
US9443362B2 (en) 2013-10-18 2016-09-13 Assa Abloy Ab Communication and processing of credential data
US10356032B2 (en) 2013-12-26 2019-07-16 Palantir Technologies Inc. System and method for detecting confidential information emails
KR101535411B1 (ko) * 2013-12-27 2015-07-09 주식회사 코맥스 보안 자동 해제 시스템 및 방법
US9338013B2 (en) 2013-12-30 2016-05-10 Palantir Technologies Inc. Verifiable redactable audit log
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
TWI505235B (zh) * 2014-04-02 2015-10-21 Taiwan Secom Co Ltd 門禁控制方法
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9256664B2 (en) 2014-07-03 2016-02-09 Palantir Technologies Inc. System and method for news events detection and visualization
US9419992B2 (en) 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US10192383B2 (en) 2014-09-10 2019-01-29 Assa Abloy Ab First entry notification
US9229952B1 (en) 2014-11-05 2016-01-05 Palantir Technologies, Inc. History preserving data pipeline system and method
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US9467455B2 (en) 2014-12-29 2016-10-11 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
US9648036B2 (en) 2014-12-29 2017-05-09 Palantir Technologies Inc. Systems for network risk assessment including processing of user access rights associated with a network of devices
WO2016177666A1 (en) 2015-05-01 2016-11-10 Assa Abloy Ab Using multiple mobile devices to determine position, location, or inside/outside door
US9407652B1 (en) 2015-06-26 2016-08-02 Palantir Technologies Inc. Network anomaly detection
US9996595B2 (en) 2015-08-03 2018-06-12 Palantir Technologies, Inc. Providing full data provenance visualization for versioned datasets
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US10127289B2 (en) 2015-08-19 2018-11-13 Palantir Technologies Inc. Systems and methods for automatic clustering and canonical designation of related data in various data structures
US9537880B1 (en) 2015-08-19 2017-01-03 Palantir Technologies Inc. Anomalous network monitoring, user behavior detection and database system
US9576015B1 (en) 2015-09-09 2017-02-21 Palantir Technologies, Inc. Domain-specific language for dataset transformations
US9772934B2 (en) 2015-09-14 2017-09-26 Palantir Technologies Inc. Pluggable fault detection tests for data pipelines
US10044745B1 (en) 2015-10-12 2018-08-07 Palantir Technologies, Inc. Systems for computer network security risk assessment including user compromise analysis associated with a network of devices
US9888039B2 (en) 2015-12-28 2018-02-06 Palantir Technologies Inc. Network-based permissioning system
US9916465B1 (en) 2015-12-29 2018-03-13 Palantir Technologies Inc. Systems and methods for automatic and customizable data minimization of electronic data stores
US10498711B1 (en) 2016-05-20 2019-12-03 Palantir Technologies Inc. Providing a booting key to a remote system
US9678850B1 (en) 2016-06-10 2017-06-13 Palantir Technologies Inc. Data pipeline monitoring
US10007674B2 (en) 2016-06-13 2018-06-26 Palantir Technologies Inc. Data revision control in large-scale data analytic systems
US10084802B1 (en) 2016-06-21 2018-09-25 Palantir Technologies Inc. Supervisory control and data acquisition
US10291637B1 (en) 2016-07-05 2019-05-14 Palantir Technologies Inc. Network anomaly detection and profiling
US10133782B2 (en) 2016-08-01 2018-11-20 Palantir Technologies Inc. Techniques for data extraction
US10621314B2 (en) 2016-08-01 2020-04-14 Palantir Technologies Inc. Secure deployment of a software package
US11106692B1 (en) 2016-08-04 2021-08-31 Palantir Technologies Inc. Data record resolution and correlation system
US10698927B1 (en) 2016-08-30 2020-06-30 Palantir Technologies Inc. Multiple sensor session and log information compression and correlation system
DE102016117981B4 (de) * 2016-09-23 2022-01-20 ASTRA Gesellschaft für Asset Management mbH & Co. KG Vorrichtung und Verfahren zur Auswertung von Zugangsinformationen
US10728262B1 (en) 2016-12-21 2020-07-28 Palantir Technologies Inc. Context-aware network-based malicious activity warning systems
US10721262B2 (en) 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system
US10754872B2 (en) 2016-12-28 2020-08-25 Palantir Technologies Inc. Automatically executing tasks and configuring access control lists in a data transformation system
US11687810B2 (en) 2017-03-01 2023-06-27 Carrier Corporation Access control request manager based on learning profile-based access pathways
US10891816B2 (en) 2017-03-01 2021-01-12 Carrier Corporation Spatio-temporal topology learning for detection of suspicious access behavior
WO2018160407A1 (en) 2017-03-01 2018-09-07 Carrier Corporation Compact encoding of static permissions for real-time access control
US10503574B1 (en) 2017-04-10 2019-12-10 Palantir Technologies Inc. Systems and methods for validating data
US10956406B2 (en) 2017-06-12 2021-03-23 Palantir Technologies Inc. Propagated deletion of database records and derived data
US10027551B1 (en) 2017-06-29 2018-07-17 Palantir Technologies, Inc. Access controls through node-based effective policy identifiers
US10963465B1 (en) 2017-08-25 2021-03-30 Palantir Technologies Inc. Rapid importation of data including temporally tracked object recognition
US10984427B1 (en) 2017-09-13 2021-04-20 Palantir Technologies Inc. Approaches for analyzing entity relationships
US10079832B1 (en) 2017-10-18 2018-09-18 Palantir Technologies Inc. Controlling user creation of data resources on a data processing platform
GB201716170D0 (en) 2017-10-04 2017-11-15 Palantir Technologies Inc Controlling user creation of data resources on a data processing platform
US10250401B1 (en) 2017-11-29 2019-04-02 Palantir Technologies Inc. Systems and methods for providing category-sensitive chat channels
US11133925B2 (en) 2017-12-07 2021-09-28 Palantir Technologies Inc. Selective access to encrypted logs
US10142349B1 (en) 2018-02-22 2018-11-27 Palantir Technologies Inc. Verifying network-based permissioning rights
WO2019129351A1 (en) * 2017-12-28 2019-07-04 Blueid Gmbh Systems and methods for providing authentication and/or authorization
US10878051B1 (en) 2018-03-30 2020-12-29 Palantir Technologies Inc. Mapping device identifiers
US10255415B1 (en) 2018-04-03 2019-04-09 Palantir Technologies Inc. Controlling access to computer resources
US10866792B1 (en) 2018-04-17 2020-12-15 Palantir Technologies Inc. System and methods for rules-based cleaning of deployment pipelines
US10496529B1 (en) 2018-04-18 2019-12-03 Palantir Technologies Inc. Data unit test-based data management system
US10754822B1 (en) 2018-04-18 2020-08-25 Palantir Technologies Inc. Systems and methods for ontology migration
US10949400B2 (en) 2018-05-09 2021-03-16 Palantir Technologies Inc. Systems and methods for tamper-resistant activity logging
US11244063B2 (en) 2018-06-11 2022-02-08 Palantir Technologies Inc. Row-level and column-level policy service
EP3907937A1 (en) * 2018-12-31 2021-11-10 Lleidanetworks Serveis Telemàtics, S.A. Universal certified and qualified contracting method
EP3694173B1 (en) 2019-02-08 2022-09-21 Palantir Technologies Inc. Isolating applications associated with multiple tenants within a computing platform
US11704441B2 (en) 2019-09-03 2023-07-18 Palantir Technologies Inc. Charter-based access controls for managing computer resources
EP3796165A1 (en) 2019-09-18 2021-03-24 Palantir Technologies Inc. Systems and methods for autoscaling instance groups of computing platforms
CN113127844A (zh) * 2021-03-24 2021-07-16 山东英信计算机技术有限公司 一种变量访问方法、装置、系统、设备和介质

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NO893527L (no) * 1989-09-01 1991-03-04 Trioving As Elekronisk styrt laassystem.
US5204663A (en) * 1990-05-21 1993-04-20 Applied Systems Institute, Inc. Smart card access control system
FR2722596A1 (fr) * 1994-07-13 1996-01-19 France Telecom Systeme de controle d'acces limites a des places horaires autorisees et renouvables au moyen d'un support de memorisation portable
DE4432324A1 (de) * 1994-09-13 1996-03-14 Vwb Elektronik Techn Gmbh Vorrichtung f}r eine Einrichtung zur drahtlosen Informationsabfrage und Verfahren zur Herstellung der Vorrichtung
NL9402057A (nl) * 1994-12-07 1996-07-01 Wilhelmus Johannes Maria Van D Stelsel voor het autoriseren van codedragers.
US5742035A (en) * 1996-04-19 1998-04-21 Kohut; Michael L. Memory aiding device for credit card pin numbers
DE29613136U1 (de) * 1996-08-02 1997-11-27 Rösler, Klaus-Dieter, Dipl.-Ing., 28844 Weyhe Schloß- oder Zugangsberechtigungssystem
JPH10280754A (ja) * 1997-04-03 1998-10-20 Toshiba Corp 入室管理システム
US6038666A (en) * 1997-12-22 2000-03-14 Trw Inc. Remote identity verification technique using a personal identification device
US6041410A (en) * 1997-12-22 2000-03-21 Trw Inc. Personal identification fob
JP2000003492A (ja) * 1998-06-12 2000-01-07 Toshiba Corp 入退室管理装置及び入退室管理システム
DE69924349T2 (de) * 1999-01-28 2006-02-09 International Business Machines Corp. Elektronisches Zugangskontrollsystem und Verfahren
JP2000331272A (ja) * 1999-05-19 2000-11-30 Is Co Ltd 入室経路規制機能を備えたセキュリティシステム
US6300873B1 (en) * 1999-09-16 2001-10-09 Atlantes Services, Inc. Locking mechanism for use with one-time access code
SE518554C2 (sv) * 2000-02-04 2002-10-22 Telia Ab Hantering av passerkoder
WO2002008551A1 (en) * 2000-07-20 2002-01-31 Codesmart Access Systems Pty Ltd Access method and system
JP2002281573A (ja) * 2001-03-19 2002-09-27 Nec Eng Ltd インターネットを利用した遠隔監視方法及び、遠隔監視システム。
JP4077169B2 (ja) * 2001-03-30 2008-04-16 ホーチキ株式会社 入退室管理用端末装置
DE10128146A1 (de) * 2001-05-23 2002-12-12 Burg Waechter Kg Verfahren zur Steuerung eines elektronischen Schlosses
JP2002352004A (ja) * 2001-05-30 2002-12-06 Dainippon Printing Co Ltd 情報記憶媒体を利用した宿泊施設入室管理方法
JP2002364220A (ja) * 2001-06-08 2002-12-18 Kitani Investment Kk ドアロックシステムとドアロック操作方法
US6791450B2 (en) * 2001-07-31 2004-09-14 Security People, Inc. Networked digital locker lock system
DE10147936B4 (de) * 2001-09-28 2007-02-22 Siemens Ag Verfahren zur Zutrittskontrolle, sowie Kontrollsystem, Kontrolleinrichtung und mobiles Kommunikationsendgerät
US7145457B2 (en) * 2002-04-18 2006-12-05 Computer Associates Think, Inc. Integrated visualization of security information for an individual
US20040064731A1 (en) * 2002-09-26 2004-04-01 Nguyen Timothy Thien-Kiem Integrated security administrator

Also Published As

Publication number Publication date
CA2893997A1 (en) 2005-02-03
WO2005010688A2 (en) 2005-02-03
EP1646937A4 (en) 2007-09-12
WO2005010688A3 (en) 2007-11-08
WO2005010686A2 (en) 2005-02-03
WO2005024549A2 (en) 2005-03-17
CA2531518A1 (en) 2005-02-03
WO2005024549A3 (en) 2007-07-26
ATE512428T1 (de) 2011-06-15
WO2005010685A2 (en) 2005-02-03
EP1646937A2 (en) 2006-04-19
WO2005010686A3 (en) 2007-04-26
JP2007500885A (ja) 2007-01-18
CA2531518C (en) 2015-08-25
CN1826579A (zh) 2006-08-30
CN100533368C (zh) 2009-08-26
WO2005010687A3 (en) 2007-07-12
WO2005010687A2 (en) 2005-02-03
JP2007305149A (ja) 2007-11-22
WO2005010685A3 (en) 2005-12-29
JP4890248B2 (ja) 2012-03-07
EP1646937B1 (en) 2011-06-08

Similar Documents

Publication Publication Date Title
KR20060065633A (ko) 액세스 제어 방법
US7822989B2 (en) Controlling access to an area
US8015597B2 (en) Disseminating additional data used for controlling access
US7600129B2 (en) Controlling access using additional data
US9158288B2 (en) Logging access attempts to an area
US7716486B2 (en) Controlling group access to doors
US9449443B2 (en) Logging access attempts to an area
EP1325476B1 (en) Wireless lock system
CN101202762B (zh) 用于存储和检索身份映射信息的方法和系统
US20060101047A1 (en) Method and system for fortifying software
KR20060049245A (ko) 보안성이 높은 네트워크를 통한 전자 투표 방법 및 시스템
CN101690144A (zh) 无线设备监视方法、无线设备监视系统和制造品
ES2367435T3 (es) Control de acceso a una zona.
US20220014388A1 (en) Virtual security guard
KR20190027207A (ko) 개인정보 접속기록 무결성 검증시스템 및 검증방법
AU2006200187B2 (en) Controlling access to an area
Arm et al. Check for updates Offline Access to a Vehicle via PKI-Based Authentication
KR20240061180A (ko) 출입문 보안을 위한 블록체인 기반의 출입코드키 검증 방법 및 시스템
CN115909576A (zh) 基于区块链的门禁系统的应用方法

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid