KR20090051748A - 컴플라이언스 감정 리포팅 서비스 - Google Patents

컴플라이언스 감정 리포팅 서비스 Download PDF

Info

Publication number
KR20090051748A
KR20090051748A KR1020097004898A KR20097004898A KR20090051748A KR 20090051748 A KR20090051748 A KR 20090051748A KR 1020097004898 A KR1020097004898 A KR 1020097004898A KR 20097004898 A KR20097004898 A KR 20097004898A KR 20090051748 A KR20090051748 A KR 20090051748A
Authority
KR
South Korea
Prior art keywords
compliance
certificate
warranty
customer
business entity
Prior art date
Application number
KR1020097004898A
Other languages
English (en)
Inventor
존 후리
존 폭스 쉬츠
Original Assignee
비자 인터내셔날 써비스 어쏘시에이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 비자 인터내셔날 써비스 어쏘시에이션 filed Critical 비자 인터내셔날 써비스 어쏘시에이션
Publication of KR20090051748A publication Critical patent/KR20090051748A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products

Abstract

본 발명은 전자 거래를 위해 고객에게 비즈니스 엔티티와 관련한 보증 정보를 제공하는 방법에 관한 것이다. 본 발명은 인증서 서명 요청의 한 부분으로서 인증 기관에, 감정사에 의한 결정으로서 보증 정책을 통해 비즈니스 엔티티의 수준을 서술하는 감정 결과를 포함하는, 컴플라이언스 토큰을 제출하는 단계, 인증 기관으로 부터, 컴플라이언스 토큰을 포함하는 인증서인, 보증 인증서를 받는 단계, 및 전자 거래의 한 부분으로서 보안 정보를 제공하기 위해 보증 인증서를 고객에게 제공하는 단계를, 포함한다.
인증서, 감정

Description

컴플라이언스 감정 리포팅 서비스{compliance assessment reporting service}
인증서는, 예를 들어, 목적 웹사이트에서 증가된 고객에게 신뢰를 제공하기 위해 온라인 인증 기관에 의해 제공된다. 예를 들어, 보안 소켓 레이어(Secure Socket Layer)(SSL)는 이메일, 전자 상거래 및 다른 데이터 전송과 같은 것을 위한 인터넷상에서 보안 통신을 제공하는 암호화 프로토콜이다.
본 발명은 미국 임시출원(U.S. No. 603822,155, 2006.8.11))에 기초하고 명칭은 컴플라이언스 감정 리포팅 서비스이다.
인증서는, 예를 들어, 목적 웹사이트에서 증가된 고객에게 신뢰를 제공하기 위해 온라인 인증 기관에 의해 제공된다. 예를 들어, 보안 소켓 레이어(Secure Socket Layer)(SSL)는 이메일, 전자 상거래 및 다른 데이터 전송과 같은 것을 위한 인터넷상에서 보안 통신을 제공하는 암호화 프로토콜이다. SSL은 암호화를 사용하는 인터넷상에서 마지막 인증 및 통신 프라이버시를 제공한다. 통상적인 이용에 있어서, 상기 클라이언트가 인증되지 않으면 단지 상기 서버가 인증된다(예를 들어, 그것의 아이덴티티가 보장된다.); 상호 인증은 상기 클라이언트에게 공개 키 인프라(PKI) 배포를 요구한다. 상기 SSL 프로토콜 메시지 위조와 임의 변경, 도청을 방 지하기 위해 클라이언트/서버 어플리케이션(application)에게 미리 설정된 방식의 통신을 허락한다. 그러한 경우, 비즈니스 엔티티는 고객의 보안 수준을 증명하기 위해 종종 SSL 인증서 또는 다른 보증 인증서를 적용한다.
비즈니스 엔티티 웹 서버에 접하는 그것의 고객을 위한 인증서를 획득하기 위해 바랄 때, 상기 비즈니스 엔티티는 상기 인증서가 설치된 서버를 위해 인증서 사인 요청(CSR)을 생성한다. 상기 CSR은 주로 자동화된 프로세스를 사용하면서 생성된다. 상기 CSR 생성 프로세스는 상기 서버에 합치하는 RSA 키 쌍을 생성한다. 상기 공개 키는 다른 비즈니스 및 서버 정보를 인증 기관에 보내진다. 상기 인증 기관은 인증 기관 키를 가지고 상기 공개 키에 서명하고, 인증서로서 다른 데이터와 상기 서명된 키를 함께 반환한다.
인증서가 발행될 때, 예를 들어, 베리사인(VeriSign)과 같은, 인증 기관은 상기 인증서를 발행하는 당사를 정확하게 식별할 수 있는 점이 중요하다. 게다가, 상기 인증서의 수신자는 합법적임을 상기 인증 기관이 확인하는 점이 중요하다. 예를 들어, 베리사인은 단지 다수의 인증 절차가 수행된 후 온라인 비즈니스 프로세스를 위해 SSL 인증서를 발행한다. 그러한 인증 절차는 상기 요구자의 아이덴티티를 확인하고 상기 요구자가 합법적인 엔티티임을 확인하는 단계 a); 상기 요구자는 상기 SSL 인증서가 포함된 도메인 네임을 사용할 권리가 있음을 확인하는 단계 b); 및 상기 SSL을 요구했던 상기 개인이 상기 비즈니스 엔티티 대신에 하기 위해 승인되는 것을 확인하는 단계 c).
이러한 세이프 가드에도 불구하고, 다수의 문제가 인증서 발행을 위한 현행 프로세스를 사용하면 발생할 수 있다. 하나의 문제는 SSL 인증서 또는 다른 보증 인증서의 유효성이 상기 비즈니스 엔티티 및/또는 비즈니스 소유자가 상기 인증 기관에 제공되는 정보에 기반하는 것이다. 그러한 경우, 인증 기관은 타사 요구자의 진실성에 여전히 의존한다. 또한, 보증 인증서는 단지 상기 비즈니스 엔티티의 서버를 인증하고 클라이언트와 상기 서버 간의 데이터 보호를 제공한다. 상기 데이터가 보호되는 동안, 고객은 상기 비즈니스 엔티티 및/또는 비즈니스 소유자의 적법성에 대한 어떠한 보증도 받지 못한다. 상기 고객은 또한 상기 비즈니스 엔티티와 관련된 다른 보증 정보를 제공받지 못한다. 그러한 경우, 현행 인증서 인증 프로세스를 사용하는 것은 부적절하게 된다.
나아가, 현실세계의 기관에서 보증 정보를 고객에게 제공하는데 있어 또한, 중요한 단점이 있다. 예를 들어, 치과 의사의 사무실은 한쪽 벽면에 게시되는 요구된 자격 증명 및/또는 인증서를 구비할 수 있다. 그러나 자격 증명 및/또는 인증서가 적법하거나 여전히 유효한 것을 고객에게 보장하지는 않는다.
상기 비즈니스 엔티티 및/또는 비즈니스 소유자의 아이덴티티를 확인하는 알려진 방법은 식별되는 설명서를 통해 현실적으로 인증 기관을 나타내는 것을 비즈니스 소유자에게 요구하는 단계; 비즈니스 엔티티의 정관 사본 및 확인이 필요할지도 모르는 상기 인증 기관 및/또는 제 3 자의 견해를 언급하는 접촉과 같은 것을 현실적으로 전달하는 단계를; 포함한다. 그러나 그러한 절차들은 시간이 소모되고 비즈니스 엔티티 및 인증 기관 상에 부담이 된다.
필요한 것은 인증서 서명 요구에서 제공되는 비즈니스 엔티티 정보를 사용하 여 인증 기관에 의해 발행되는 인증서에서 확신이 커지는 방법과 시스템이다.
필요가 인증된 비즈니스 엔티티를 통한 전자 금융 거래에서 고객 확신을 증가하기 위한 방법과 시스템에 존재한다.
필요가 현실세계의 기관에서 고객 확신을 증가하기 위한 방법과 시스템에 존재한다.
더한 필요가 데이터 보안(또는 다른 정책) 컴플라이언스 인증서에서 타사 컴플라이언스 정보를 캡슐화하기 위한 방법과 시스템에 존재한다.
본 발명은 상기 서술한 문제들을 하나 또는 그 이상을 해결하기 위해 방향 설정되고 있다.
본 발명이 서술되기 전에, 본 발명은 서술된 특정 방법론 또는 프로토콜에 제한되지 않고, 다양성이 있음을 이해하여야 한다. 또한, 여기서 사용된 용어는 단지 특정 실시예를 서술하기 위한 의도이고, 첨부된 특허청구범위에 의해 제한되도록 본 발명의 영역을 한정하는 것으로 의도되지 않음을 이해하여야 한다.
여기 및 첨부된 특허청구범위에서 사용된 것으로서, 컨텍스트(context)가 명확히 지시되지 않으면 단수 양식은 복수 참조를 포함함을 지적한다. 그래서, 예를 들어, "인증서"에 대한 참조는 하나 또는 그 이상의 인증서 및 동등한 것으로 기술분야에서 알려진 기술 등을 참조한다. 만약 정의되지 않으면, 여기서 사용된 모든 기술 및 과학 용어는 기술분야의 당업자에 의해 통상적으로 이해되는 동일한 의미가 있다. 여기서 서술된 유사 또는 동등한 방법 및 소재는 본 발명의 실시 또는 테스트에서 사용되기는 하지만, 일 실시예인 방법, 장치 및 소재는 이하 서술한다. 여기서 언급된 모든 공개는 참조에 의해 여기에서 통합된다. 여기에 언급되지 않은 것은 선행 기술에 의해 본 발명은 그러한 공개에 대한 권리가 없음이 인정되는 것으로 해석된다.
비즈니스 엔티티는 공인 감정사로부터 특정 보안 표준 또는 정책에 컴플라이언스 평가를 요구할 수 있다. 감정사는 상기 비즈니스 엔티티의 오퍼레이션에서 하나 또는 그 이상의 취약점을 결정하는 보증 정책에 기초하여 상기 비즈니스 엔티티를 감사할 수 있다. 감사 프로세스의 결과는 산업 컨소시엄에 보내진다. 본 발명의 일 실시예에서, 산업 컨소이엄 및 감정사는 동일한 엔티티가 될 수 있다. 감사 결과는, 예를 들어 제한 없이, 감사 된 감사 날짜, 비즈니스 엔티티 식별자, 컴플라이언스 결과 열, 및 장비를 나타내는 정보를 포함할 수 있다. 공인 감정사는 감사 결과에 서명할 수 있고, 상기 비즈니스 엔티티에 서명된 감사 결과를 돌려줄 수도 있다. 상기 비즈니스 엔티티는 이때 CSR에서 서명된 감사 결과를 첨부하면서 인증 기관에 인증서를 신청하거나 갱신할 수 있다. 본 발명의 또 다른 실시예에서, 상기 공인 감정사는 감사 결과를 직접적으로 인증 기관에 보낼 수 있다. 상기 인증 기관은 서명된 감사 결과를 확인하고 인증서에 상기 비즈니스 엔티티의 서버에 반환된 날짜를 포함시킬 수 있다.
본 발명의 일 실시예에서, 전자 거래를 위해 고객에게 비즈니스 엔티티에 관련된 보증 정보를 제공하는 방법은 공인 감정사가 보증 정책의 컴플라이언스 여부를 결정하기 위해 비즈니스 엔티티의 오퍼레이션의 검토를 수행하는 것에 대한 요구하는 단계, 공인 감정사로부터 서명된 감사 결과를 받는 단계, 컴플라이언스 토큰을 양식화하기 위해 감정사의 개인 키를 통해 결과에 서명하는 단계, 인증 기관에 인증서 서명 요청의 한 부분으로서 컴플라이언스 토큰을 제출하는 단계, 인증 기관으로부터 서명된 감사 결과를 포함하는 높은 보증 인증서를 반환받는 단계, 및 전자 거래의 한 부분으로서 고객에게 보안 정보를 제공하기 위해 인증서를 사용하는 단계를, 포함할 수 있다.
도 1은 본 발명의 일 실시예에 따른 높은 보증 인증서를 포함하는 개략 절차도이다.
도 2는 본 발명의 일 실시예에 따른 높은 보증 인증서를 포함하는 절차도이다.
도 3은 본 발명의 일 실시예에 따른 컴플라이언스 감정사와 인증 기관 사이의 시작 프로세스를 나타내고 있다.
도 4는 본 발명의 일 실시예에 따른 클라이언트 브라우저(client browser) 경유 비즈니스 엔티티를 위한 컴플라이언스 정보를 표시하는 프로세스를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 현실세계의 기관에서 높은 보증 인증서를 획득하기 위한 프로세스를 나타내는 도면이다.
도 6은 본 발명의 일 실시예에 따른 현실세계의 기관의 고객에게 컴플라이언스 정보를 표시하기 위한 프로세스를 나타내는 도면이다.
도 1은 본 발명의 일 실시예에 따른 높은 보증 인증서를 포함하는 개략 절차도이다. 도 1의 다양한 측면은 하기에서 더 상세하게 서술된다. 일 실시예에 따른 상기 컴플라이언스 리포팅 서비스는 비즈니스 엔티티(10), 감정사(20), 컴플라이언스 바디(30) 및 인증기관(40)을 포함한다. 먼저, 상기 비즈니스 엔티티(10)는 감정사(20)로부터 컴플라이언스 감정을 요구한다(110). 상기 감정사(20)는 이때 감정을 수행하고, 상기 비즈니스 엔티티(10)의 상기 감정 결과를 전송한다(120). 상기 비즈니스 엔티티(10)는 컴플라이언스 바디(30)의 감정 결과를 제출한다(40). 만약 상기 감정 결과가 상기 컴플라이언스 바디(30)에 충족되면, 상기 컴플라이언스 바디(30)는 이때 상기 비즈니스 엔티티(10)에 컴플라이언스 토큰을 전송한다(50). 상기 비즈니스 엔티티(10)가 인증 기관에 컴플라이언스(compliance) 시연 되기를 요청할 때, 상기 비즈니스 엔티티(10)는 인증 기관(40)에 상기 컴플라이언스 토큰을 전송한다(150). 상기 인증 기관(40)은 상기 컴플라이언스 인증서의 진위를 확인하고, 이때 상기 인증 기관(40)은 상기 비즈니스 엔티티(40)에 보증 인증서을 전송할 수 있다(160).
도 2는 본 발명의 일 실시예에 따른 높은 보증 인증서를 포함하는 절차도이다. 도 2에 도시된 바와 같이, 인증 기관에 물리적인 출석 또는 물리적인 서류의 제출 없이 요청자의 아이덴티티를 확인하기 위해, 비즈니스 엔티티와 같은, 요청자는 신분증 정보를 안전하게 제공할 수 있다. 상기 비즈니스 엔티티의 아이덴티티의 확인을 이루기 위해서, 상기 비즈니스 엔티티는 업계 및/또는 보안 정책을 가지고 컴플라이언스를 결정하는(210) 공인 감정사에 신청할 수 있다. 예를 들어, 비즈니스 엔티티는 지불 카드 업계 데이터 보안 표준(PCIDSS)을 컴플라이언스를 추구할 수 있다. 컴플라이언스를 추구하는 상기 비즈니스 엔티티는 온라인 보안 절차의 감사를 시작할 수 있다. 대안적 및/또는 추가적인 컴플라이언스 감사는, 건강 보험 이동성과 책임에 관한 법률(HIPAA)에 대한 컴플라이언스를 결정하기 위한 것과 같이, 수행될 수 있다. 하나 또는 그 이상의 공인 감정사는 상기 비즈니스 엔티티의 서비스에 접근하는 상기 비즈니스 엔티티 및/또는 고객의 필요와 욕구에 의존하는 비즈니스 엔티티의 오퍼레이션의 하나 또는 그 이상의 감사를 각각 수행할 수 있다.
공인 감정사는, 비즈니스 엔티티의 서버를 감사할 때, 충족되기 위한 하나 또는 그 이상의 표준을 정할 수 있다. 감사의 한 부분으로서, 상기 감정사는 비즈니스 엔티티의 서버상에서 컴플라이언스 신분증과 관련성이 있는 특정 정보의 접근을 추구할 수 있다. 예를 들어, HIPAA 컴플라이언스 공인 감정사는 비즈니스 엔티티의 서버상에 저장되어 있는 정보와 관련된 건강 관리에 접근을 시도 및/또는, 어떠한 사용자도 접근할 수 없는 다른 사용자의 건강 관리에 관련된 정보를 확인할 수 있다. 유사한 감사는 예를 들어, 금융 거래 업계에 관련된 감사를 신청할 때, 계정 정보의 측면에서 수행될 수 있다. 상술한 바와 같이, 추가적 및/또는 대안적인 감사는 다양한 요구에 대한 컴플라이언스를 결정하기 위해 수행될 수 있다.
상기 비즈니스 엔티티 시스템에 대한 감사가 성공적 수행될 때, 공인 감정사는 상기 비즈니스 엔티티에 디지털 컴플라이언스 토큰을 발행할 수 있다(220). 상 기 디지털 컴플라이언스 토큰은, 예를 들어, 공인 감정사의 개인 키를 사용하여 서명된 컴플라이언스의 인증서를 포함할 수 있다. 상기 컴플라이언스 토큰은, 예를 들어, 상기 토큰은 성공적인 감사에 대한 공인 감정사의 결정을 가능하게 하는 상기 비즈니스 엔티티의 서버상에서 이행되면서 발행되고/또는 특정된 절차 및/또는 세이프가드인, 공인감정사의 아이덴티티를 더 포함할 수 있다.
상기 비즈니스 엔티티는 이때 적용 표준의 컴플라이언스를 보여주기 위해 인증 기관에 제출된 인증서 사인 요청 안에서 각각의 컴플라이언스 토큰을 더 포함할 수 있다(230). 본 발명의 다른 실시예에서, 상기 공인 감정사는 인증 기관에 상기 디지털 컴플라이언스 토큰을 직접적으로 전송할 수 있다. 예를 들어, 상기 비즈니스 엔티티는 타사 컴플라이언스 토큰이 모색될 때 그렇게 할 상기 공인감정사를 감독할 수 있을 때, 다른 실시예는 수행될 수 있다.
상기 인증 기관은 상기 컴플라이언스 토큰이 진실한지를 확인할 수 있다(240). 또한, 상기 인증 기관은 자신의 요구사항의 컴플라이언스를 결정하기 위해 상기 비즈니스 엔티티 웹사이트를 감사할 수 있다. 만약 상기 컴플라이언스 토큰이 진실한 것으로 결정되고 또는 상기 인증 기관이 상기 비즈니스 토큰 웹사이트가 자신의 요구사항을 컴플라이언스하는 것으로 결정하면, 상기 인증 기관은 인증 기관 개인 키를 가지고 상기 토큰에 서명할 수 있고(250) 상기 보증 인증서 안에서 상기 정보의 한 부분으로서 상기 컴플라이언스 토큰을 포함할 수 있다(260).
상술된 방법은 보증 인증서 단독으로 제공하는 것 보다 상기 비즈니스 엔티티의 서버에 관련된 실질적으로 더 유용한 정보를 제공할 수 있다. 예를 들어, 컴 플라이언스 토큰을 포함하는 SSL 인증서는 상기 비즈니스 엔티티의 타사 확인을 제공할 수 있고 상기 비즈니스 엔티티의 통신에 대한 고객 보증의 더 높은 수준의 결과가 될 수 있다. 상기 확인은 다수의 규제 및/또는 특정 비즈니스 엔티티의 "신뢰"를 위하여 고객에 의해 추구된 다른 데이터 컴플라이언스 측정으로 연장될 수 있다.
상기 방법은 보증 인증서에 관련되어 서술될 수 있다. 그러나 그것은 최종 인증 기관이 어떠한 표준에 대한 컴플라이언스를 인증하는 기술분야의 통상의 기술에서 명백해질 것이다. 그러한 것으로, 본 발명이 서술된 실시예에 제한되는 것으로 의도되지는 않지만, 어떠한 컴플라이언스 조직은 컴플라이언스 토큰을 캡슐화하는 인증서를 발행할 수 있다.
도 3은 본 발명의 일 실시예에 따른 컴플라이언스 감정사와 인증 기관 사이의 시작 프로세스를 나타내고 있다. 도 3에 도시된 바와 같이, 타사 공인 감정사는 감정사 개인 키를 생성할 수 있다(310). 예를 들어, 공개 키 및 개인 키는 RSA 알고리즘을 사용하여 생성될 수 있다. 타사 공인 감정사는 공개 키를 선택적으로 디지털로 서명할 수 있고(320) 서명된 상기 공개 키를 인증 기관에 보낼 수 있다(330). 상기 인증 기관은 개인 키를 가지고 공인 감정사에 의해 서명된 메세지를 해독하기(340) 위해 상기 공개 키를 사용할 수 있다. 대체 공개 키 암호화/해독 알고리즘은 기술분야에서 통상적 기술로 명백한 것으로 공개의 영역에서 또한 사용될 수 있다. 또한, 개인 키 암호화/해독 알고리즘은 또한 사용될 수 있다. 그렇지 않으면, 상기 컴플라이언스 감정사는 하나 또는 그 이상의 인증 기관으로 부터 서명 을 위해 인증화된 키 쌍을 수신할 수 있다.
도 4는 본 발명의 일 실시예에 따른 클라이언트 브라우저(client browser) 경유 비즈니스 엔티티를 위한 컴플라이언스 정보를 표시하는 프로세스를 나타내는 도면이다. 도 4에 도시된 바와 같이, 예를 들어 제한 없이, 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer) 또는 네츠케이프(Netscape)와 같은, 클라이언트 브라우저가 컴플라이언스 인증서를 포함하는 비즈니스 엔티티 웹사이트에 접근하기(410) 위해 사용될 수 있다. 상기 클라이언트 브라우저는 하나 또는 그 이상의 인증 기관과 연계된 하나 또는 그 이상의 루트 키(root key)를 포함할 수 있다. 각각 루트 키는 클라이언트 브라우저가 설치(install)되는 당시에 클라이언트 컴퓨터에 저장될 수 있다. 상기 클라이언트 브라우저가 상기 비즈니스 엔티티의 웹사이트에 접근할 때, 상기 비즈니스 엔티티는 상기 클라이언트 브라우저에 보증 인증서을 전송할 수 있다(420). 상기 보증 인증서에 서명하는 상기 인증 기관을 위한 상기 루트 키는 상기 인증서을 해독하기(430) 위해 사용될 수 있다. 이때 상기 인증서는 상기 클라이언트 브라우저에 의해 확인될 수 있다(340). 만약 확인된 인증서가 높은 보증 인증서로 되지않는 것으로 결정된다면, 상기 클라이언트 브라우저는 상기 클라이언트에게 상기 비즈니스 엔티티의 웹사이트가 타사 확인을 포함하지 않는 경고 메세지, 특정 선호 세이프가드는 상기 비즈니스 엔티티의 웹사이트 및/또는 유사한 것에 통합되지 않는다는 경고 메세지를 표시할 수 있다. 역으로, 만약 확인 인증서가 높은 보증 인증서로 결정된다면, 상기 클라이언트 브라우저는 하나 또는 그 이상의 타사 공인 감정사 및/또는 산업 컨소시엄(consortium) 감사 결과에 서 상기 컴플라이언스 토큰에 일치하는 컴플라이언스 데이터를 표시할 수 있다.
본 발명의 다른 실시예에서, 현실세계의 기관의 고객은 보증 정보를 제공받을 수 있다. 도 5를 참조하면, 공인 감정사는 산업 및/또는 보안 정책에서 현실세계의 기관의 컴플라이언스를 결정할 수 있다(510). 이때 상기 공인 감정사는 감정 결과에 기초하여 인증 기관에 디지털 컴플라이언스 토큰을 발행할 수 있다(520). 상기 디지털 컴플라이언스 토큰은 공인 감정사의 개인 키를 사용하여 서명된 컴플라이언스 결과를 선호하여 포함할 수 있다. 상기 컴플라이언스 토큰은, 예를 들어, 성공적인 감사를 공인 감정사의 결정을 가능하게 하는 상기 현실세계의 기관에 의해 구현된 토큰 및/또는 특정 프로세스 및/또는 세이프가드를 발행하는 공인 감정사의 아이덴티티를 더 포함할 수 있다. 상기 컴플라이언스 토큰은 공인 감정사의 공개 키를 더 포함할 수 있다. 상기 인증 기관은 상기 공인 감정사의 공개 키를 사용하여 상기 컴플라이언스 토큰이 진실함을 확인할 수 있다(530). 만약 상기 컴플라이언스 토큰이 진실한 것으로 결정되면, 인증 기관은 공인 감전사의 개인 키를 통해 상기 컴플라이언스 토큰에 서명할 수 있고(540), 그리하여 보증 인증서를 생성할 수 있다(550). 이때 상기 보증 인증서는 보안 데칼(decal) 또는 유사 장치에서 구축되는 무선 토큰으로 통합될 수 있다(560). 상기 무선 토큰은, 예를 들어, 근처 현장 통신, 무선 주파수 식별, 또는 유사 통신 프로토콜과 같은 무선 통신 프로토콜을 구현할 수 있다. 상기 보안 데칼은 이때 현실세계의 기관에 배치될 수 있다(570). 상기 보안 데칼은 입구 또는 정면창과 같은, 높게 보이는 위치에 선호하여 배치될 수 있다.
도 6을 참조하면, 고객은 산업 및/또는 보안 정책을 통해 상기 벽돌 및 모르타르 기관의 컴플라이언스를 확인할 수 있다. 고객의 휴대용 전기 기기는 상기 인증 기관의 공개 키를 수신할 수 있다(610). 상기 고객의 휴대용 전기 기기는, 예를 들어, 휴대폰, 개인 데이터 조수, 휴대 이메일 기기, 또는 유사 기기가 될 수 있다. 고객이 현실세계의 기관에 이를 때, 상기 휴대용 전기 기기는 상기 무선 토큰으로부터 상기 보증 인증서를 읽기 위해(620) 사용될 수 있다. 상기 휴대용 전기 기기는 이때 상기 인증 기관에 의해 서명된 상기 보증 인증서를 확인하기(630) 위해 상기 인증 기관의 공개 키를 사용할 수 있다. 이때, 상기 휴대용 전기 기기는 공인 감정사의 공개 키를 사용하여 상기 컴플라이언스 결과의 진위를 확인하기(640) 위해 공인 감정사의 공개 키를 사용할 수 있다. 마지막으로, 상기 휴대용 전기 기기는 고객에게 상기 컴플라이언스 결과를 표시할 수 있다(650). 위의 방법으로, 존재하는 온라인 인증 기관/ 공인 감정사 시스템은 현실세계의 기관으로 연장될 수 있다.
여러 상술한 공개 내용과 다른 특징과 기능, 또는 다른 실시예는 많은 다른 시스템 또는 응용예와 결합할 수 있음은 당연하다. 또한, 도시되지 않거나, 예상치 않은 대체물, 응용물, 유사물, 또는 개선물은 실질적으로 공개된 실시예에 의해 확장되는 것으로 의도되는 기술에 의해 도출될 수 있는 것으로 평가될 수 있을 것이다.

Claims (23)

  1. 인증서 서명 요청(certificate signing request)의 한 부분으로서 인증기관(Certificate Authority)에, 감정사에 의해 결정된 보증정책과 함께 컴플라이언스에 관한 상기 비즈니스 엔티티의 레벨을 기술하는 감정결과를 포함하는, 컴플라이언스 토큰(compliance token)을 제출하는 단계와;
    상기 인증기관으로부터, 상기 컴플라이언스 토큰을 포함하는 인증서인, 보증 인증서를 수신하는 단계와;
    상기 전자거래의 한 부분으로서 상기 고객에게 보안 정보를 제공하기 위하여 상기 고객에게 상기 보증 인증서를 제공하는 단계를; 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티(business entity)에 관한 보증 정보(asserane information)를 제공하는 방법.
  2. 제 1항에 있어서,
    상기 보증 정책은, 지불 카드 업계 데이터 보안 표준(PCIDSS: Payment Card Industry Data Security Standard)인 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  3. 제 1항에 있어서,
    상기 보증정책은, 건강 보험 이동성과 책임에 관한 법률(HIPAA: Health Insurance Portability Accountability Act)과 함께 상기 컴플라이언스를 보증하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  4. 제 1항에 있어서,
    상기 컴플라이언스 토큰은, 상기 감정사의 아이덴티티(identity)를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  5. 제 1항에 있어서,
    상기 컴플라이언스 토큰은,
    상기 감정의 데이터와;
    상기 비즈니스 엔티티의 아이덴티티를; 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  6. 제 1항에 있어서,
    상기 감정사는 상기 보증 정책을 제공하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  7. 제 1항에 있어서,
    상기 컴플라이언스 토큰은 상기 감정사가 양호한 상태인 것에 대한 표시를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  8. 제 1항에 있어서,
    상기 컴플라이언스 토큰은 상기 감정결과는 요구되는 절차 또는 관행에 대응하여 생성되는 것에 대한 표시를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  9. 감정사가 보증 정책에 대한 컴플라이언스(compliance)를 결정하기 위해 상기 비즈니스 엔티티의 작업에 대한 검토의 수행을 요구하는 단계와;
    상기 감정사로부터, 상기 감정사의 개인 키로 서명된, 감정을 수신하는 단계와;
    상기 감정결과를 컴플라이언스 바디(compliance body)에 제출하는 단계와; 상기 컴플라이언스 바디로 부터, 상기 감정결과를 포함하고 상기 컴플라이언스 바디의 개인 키로 서명된 컴플라이언스 토큰인, 디지털 컴플라이언스 토큰을 수신하는 단계와;
    인증서 서명 요청의 한 부분으로서 인증 기관에 상기 컴플라이언스 토큰을 제출하는 단계와;
    상기 보증 기관으로 부터, 상기 컴플라이언스 토큰을 포함하는 인증서인, 보 증 인증서를 수신하는 단계와;
    상기 전자 거래의 한 부분으로서 상기 고객에게 보안정보를 제공하기 위해 상기 고객에게 상기 보증 인증서를 제공하는 단계를; 포함하는 것을 특징으로 하는 전자거래를 위한 고객에 비즈니스 엔티티(business entity)에 관한 보증 정보(asserane information)를 제공하는 방법.
  10. 제 9항에 있어서,
    상기 보증 정책은, 지불 카드 업계 데이터 보안 표준(Payment Card Industry Data Security Standard)인 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  11. 제 9항에 있어서,
    상기 보증 정책은, 건강 보험 이동성(Health Insurance Portability)과 책임에 관한 법률(Accountability Act) 함께 상기 컴플라이언스를 보증하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  12. 제 9항에 있어서,
    상기 컴플라이언스 토큰은, 상기 감정사의 아이덴티티를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제 공하는 방법.
  13. 제 9항에 있어서,
    상기 컴플라이언스 토큰은,
    상기 감정의 데이터와;
    상기 비즈니스 엔티티의 아이덴티티를; 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  14. 제 9항에 있어서,
    상기 감정사와 상기 컴플라이언스 바디는 동일한 엔티티(entity)인 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  15. 제 9항에 있어서,
    상기 컴플라이언스 토큰은 상기 감정사가 양호한 상태(?)인 것에 대한 표시를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  16. 제 9항에 있어서,
    상기 컴플라이언스 토큰은 상기 감정 결과는 상기 컴플라이언스 바디에 의해 요구된 절차에 대응하여 생성되는 것에 대한 표시를 더 포함하는 것을 특징으로 하는 전자거래를 위한 고객에게 비즈니스 엔티티에 관한 보증 정보를 제공하는 방법.
  17. 휴대용 전자기기 상에 인증 기관의 공개 키를 수신하는 단계와;
    상기 기관 위치에 있는 무선 토큰으로부터, 상기 휴대용 전자기기 내에서 공인 감정사에서 생성된 컴플라이언스 결과를 포함하는 보증 인증서를 읽는 단계와;
    상기 보증 인증서가 상기 인증 기관에 의해 서명되는 것을 확인하는 단계와;
    상기 휴대용 전자 기기 상에서, 상기 컴플라이언스 결과를 상기 고객에게 디스플레이하는 단계를; 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 벽돌 및 모르타르(brick and mortar) 기관에 관한 보증 정보를 제공하는 방법.
  18. 제 17항에 있어서,
    상기 공인 감정사의 공개 키를 사용하여 상기 컴플라이언스 결과의 진위를 확인하는 단계를 더 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
  19. 제 7항에 있어서,
    상기 보증 인증서는 상기 공인 감정사의 아이덴티티를 더 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
  20. 제 17항에 있어서,
    상기 보증 인증서는,
    상기 감정의 데이터와;
    상기 현실세계의 기관의 아이덴티티를; 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
  21. 제 17항에 있어서,
    상기 공인 감정사 및 상기 인증 기관은 동일한 엔티티인 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
  22. 제 17항에 있어서,
    상기 보증 인증서는 상기 공인 감정사가 양호한 상태인 것에 대한 표시를 더 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
  23. 제 17항에 있어서,
    상기 보증 인증서는 상기 컴플라이언스 결과가 상기 컴플라이언스 바디에 의해 요구된 절차에 대응하여 생성된 것에 대한 표시를 더 포함하는 것을 특징으로 하는 휴대용 전자기기를 사용하는 고객에게 현실세계의 기관에 관한 보증 정보를 제공하는 방법.
KR1020097004898A 2006-08-11 2007-08-13 컴플라이언스 감정 리포팅 서비스 KR20090051748A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US82215506P 2006-08-11 2006-08-11
US60/822,155 2006-08-11

Publications (1)

Publication Number Publication Date
KR20090051748A true KR20090051748A (ko) 2009-05-22

Family

ID=39083035

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020097004898A KR20090051748A (ko) 2006-08-11 2007-08-13 컴플라이언스 감정 리포팅 서비스

Country Status (10)

Country Link
US (1) US20080082354A1 (ko)
JP (1) JP5340938B2 (ko)
KR (1) KR20090051748A (ko)
AU (1) AU2007286004B2 (ko)
BR (1) BRPI0715920A2 (ko)
CA (1) CA2660185A1 (ko)
MX (1) MX2009001592A (ko)
RU (1) RU2451425C2 (ko)
WO (1) WO2008022086A2 (ko)
ZA (1) ZA200901699B (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4128610B1 (ja) * 2007-10-05 2008-07-30 グローバルサイン株式会社 サーバ証明書発行システム
US20110238587A1 (en) * 2008-09-23 2011-09-29 Savvis, Inc. Policy management system and method
US8656452B2 (en) * 2010-07-20 2014-02-18 Hewlett-Packard Development Company, L.P. Data assurance
US8621649B1 (en) * 2011-03-31 2013-12-31 Emc Corporation Providing a security-sensitive environment
WO2014042632A1 (en) * 2012-09-12 2014-03-20 Empire Technology Development, Llc Compound certifications for assurance without revealing infrastructure
US20140259003A1 (en) * 2013-03-07 2014-09-11 Go Daddy Operating Company, LLC Method for trusted application deployment
US20140259004A1 (en) * 2013-03-07 2014-09-11 Go Daddy Operating Company, LLC System for trusted application deployment
CA2929803C (en) * 2015-05-12 2021-10-12 The Toronto-Dominion Bank Systems and methods for accessing computational resources in an open environment
US10878427B2 (en) * 2016-04-26 2020-12-29 ISMS Solutions, LLC System and method to ensure compliance with standards
US11494783B2 (en) * 2017-01-18 2022-11-08 International Business Machines Corporation Display and shelf space audit system
US10505918B2 (en) * 2017-06-28 2019-12-10 Cisco Technology, Inc. Cloud application fingerprint
EP3725030A4 (en) 2017-12-13 2020-12-16 Visa International Service Association SELF-CERTIFICATION OF DEVICES FOR SECURE TRANSACTIONS
US10735198B1 (en) 2019-11-13 2020-08-04 Capital One Services, Llc Systems and methods for tokenized data delegation and protection

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6108788A (en) * 1997-12-08 2000-08-22 Entrust Technologies Limited Certificate management system and method for a communication security system
US6957334B1 (en) * 1999-06-23 2005-10-18 Mastercard International Incorporated Method and system for secure guaranteed transactions over a computer network
JP4098455B2 (ja) * 2000-03-10 2008-06-11 株式会社日立製作所 マーク画像中の電子透かし情報の参照方法及び計算機
GB2378025A (en) * 2000-05-04 2003-01-29 Gen Electric Capital Corp Methods and systems for compliance program assessment
AU2001280023A1 (en) * 2000-07-17 2002-01-30 Richard O'connell System and methods of validating an authorized user of a payment card and authorization of a payment card transaction
US20020112156A1 (en) * 2000-08-14 2002-08-15 Gien Peter H. System and method for secure smartcard issuance
ES2256457T3 (es) * 2001-04-19 2006-07-16 Ntt Docomo, Inc. Sistema de comunicacion entre terminales.
US20040243802A1 (en) * 2001-07-16 2004-12-02 Jorba Andreu Riera System and method employed to enable a user to securely validate that an internet retail site satisfied pre-determined conditions
US20030078987A1 (en) * 2001-10-24 2003-04-24 Oleg Serebrennikov Navigating network communications resources based on telephone-number metadata
CA2559369A1 (en) * 2004-04-12 2005-10-27 Intercomputer Corporation Secure messaging system
EP1759347A4 (en) * 2004-05-05 2009-08-05 Ims Software Services Ltd DATA ENCRYPTION APPLICATIONS FOR LONGITUDINAL INTEGRATION OF DATA RELATING TO PATIENTS FROM SEVERAL SOURCES
US7627896B2 (en) * 2004-12-24 2009-12-01 Check Point Software Technologies, Inc. Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US8365293B2 (en) * 2005-01-25 2013-01-29 Redphone Security, Inc. Securing computer network interactions between entities with authorization assurances
US9542630B2 (en) * 2005-05-20 2017-01-10 Nxp B.V. Method of securely reading data from a transponder

Also Published As

Publication number Publication date
US20080082354A1 (en) 2008-04-03
BRPI0715920A2 (pt) 2013-07-30
WO2008022086A4 (en) 2009-02-19
WO2008022086A3 (en) 2008-12-18
AU2007286004A1 (en) 2008-02-21
MX2009001592A (es) 2009-06-03
JP2010500851A (ja) 2010-01-07
CA2660185A1 (en) 2008-02-21
AU2007286004B2 (en) 2011-11-10
ZA200901699B (en) 2011-08-31
WO2008022086A2 (en) 2008-02-21
JP5340938B2 (ja) 2013-11-13
RU2451425C2 (ru) 2012-05-20
RU2009104736A (ru) 2010-08-20

Similar Documents

Publication Publication Date Title
JP5340938B2 (ja) コンプライアンス評価報告サービス
US11088855B2 (en) System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation
US20180359092A1 (en) Method for managing a trusted identity
JP4503794B2 (ja) コンテンツ提供方法及び装置
JP7199776B2 (ja) アイデンティティ認証方法、パーソナルセキュリティカーネルノード、デバイスおよびコンピュータプログラム
CN105243313B (zh) 用于对验证令牌的任何时候确认的方法
US20060059346A1 (en) Authentication with expiring binding digital certificates
CN108476139B (zh) 匿名通信系统及用于向该通信系统加入的方法
US20020004900A1 (en) Method for secure anonymous communication
US20110055556A1 (en) Method for providing anonymous public key infrastructure and method for providing service using the same
JP2004023796A (ja) 選択的に開示可能なデジタル証明書
WO2003012645A1 (en) Entity authentication in a shared hosting computer network environment
CN111160909B (zh) 区块链供应链交易隐藏静态监管系统及方法
KR102131206B1 (ko) 법인 관련 서비스 제공 방법, 이를 지원하는 방법, 이를 수행하는 서비스 서버 및 인증 서버
CN112199721A (zh) 认证信息处理方法、装置、设备及存储介质
JP4070413B2 (ja) 電子取引装置、方法及び電子取引システム
JP2004140636A (ja) 電子文書の署名委任システム、署名委任サーバ及び署名委任プログラム
KR101591909B1 (ko) 음성 동의 파일이 결합된 전자 위임장 서비스 제공 방법
Malik E-tendering with public key infrastructure–a survey based implementation
Crispo et al. WWW security and trusted third party services
JP5159752B2 (ja) 通信データの検証装置及びそのコンピュータプログラム
JP2001283144A (ja) 電子委任処理システム、電子委任状作成装置および電子申請書作成装置
Palani et al. A Study of PKI Ecosystem in South Asian and Oceania Countries
Subashree Digital Signature Authentication in E-Commerce
Parvez DESIGN AND IMPLEMENTATION OF PUBLIC KEY INFRASTRUCTURE: A PROPOSED SOLUTION F0R BANGLADESH

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right