KR20130113486A - 모바일 상거래에서의 사용자 아이덴티티 증명 - Google Patents

모바일 상거래에서의 사용자 아이덴티티 증명 Download PDF

Info

Publication number
KR20130113486A
KR20130113486A KR1020137016064A KR20137016064A KR20130113486A KR 20130113486 A KR20130113486 A KR 20130113486A KR 1020137016064 A KR1020137016064 A KR 1020137016064A KR 20137016064 A KR20137016064 A KR 20137016064A KR 20130113486 A KR20130113486 A KR 20130113486A
Authority
KR
South Korea
Prior art keywords
reference points
user
processing system
mobile device
authorized user
Prior art date
Application number
KR1020137016064A
Other languages
English (en)
Other versions
KR101624575B1 (ko
Inventor
라제쉬 푸어나찬드란
셀림 아이씨
Original Assignee
인텔 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코포레이션 filed Critical 인텔 코포레이션
Publication of KR20130113486A publication Critical patent/KR20130113486A/ko
Application granted granted Critical
Publication of KR101624575B1 publication Critical patent/KR101624575B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3221Access to banking information through M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3227Aspects of commerce using mobile devices [M-devices] using secure elements embedded in M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4012Verifying personal identification numbers [PIN]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4014Identity check for transactions
    • G06Q20/40145Biometric identity checks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • G06Q30/0609Buyer or seller confidence or verification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Abstract

모바일 상거래에서 사용자 아이덴티티 증명을 위한 방법, 장치, 시스템 및 컴퓨터 프로그램 제품이 개시된다. 방법은 모바일 디바이스와 통합된 카메라를 경유하여 모바일 디바이스의 사용자의 사진을 얻는 단계와, 사진으로부터 제 1 기준점의 세트를 식별하는 단계와, 사진으로부터의 제 1 기준점의 세트를 모바일 디바이스의 권한 부여된 사용자와 연관된 제 2 기준점의 세트에 비교하는 단계와, 제 1 기준점의 세트가 제 2 기준점의 세트에 일치하면 사용자가 권한 부여된 사용자인 것으로 판정하는 단계를 포함할 수 있다.

Description

모바일 상거래에서의 사용자 아이덴티티 증명{USER IDENTITY ATTESTATION IN MOBILE COMMERCE}
저작권 고지
본 명세서에 포함된 것은 저작권 보호를 받게 되는 자료이다. 저작권 소유자는 미국 특허청 특허 파일 또는 기록에 나타나는 바와 같이 임의의 사람에 의한 특허 명세서의 팩시밀리 복제에 대한 이의를 갖지 않지만, 다르게는 저작권에 대한 모든 권리를 어떠한 방식으로도 보존한다.
기술 분야
본 발명은 일반적으로 모바일 상거래에서 사용자 아이덴티티 증명에 관한 것이다.
현재의 사회에서 모바일 디바이스의 급증에 따라, 모바일 컴퓨팅 환경에서 실행하는 애플리케이션이 수 및 복잡성이 증가하고 있다. 모바일 디바이스는 금융/뱅킹 트랜잭션, 건강 및 건전 모니터링, 지불 프로세싱 및 소셜 네트워킹과 같은 매우 민감한 트랜잭션을 프로세싱하는데 현재 사용되고 있다. 그러나, 모바일 컴퓨팅 디바이스는 이용 가능한 컴퓨팅 리소스, 저장 장치 및 배터리 수명을 제한하는 소형 폼 팩터를 포함하는, 이들 트랜잭션의 보안을 지원하는데 있어 몇몇 단점을 겪고 있다. 복잡한 암호화 기능성을 지원하기 위한 연산 리소스는 모바일 디바이스 상에서 트랜잭션의 보안을 보장하기 위해 과도할 수 있다. 유사하게, 사용자 및/또는 디바이스 증명을 위한 다중 핸드셰이크 트랜잭션은 대부분의 모바일 디바이스에 이용 가능한 네트워크를 경유하여 구현을 위해 과도하게 복잡할 수도 있다.
도 1은 본 발명의 일 실시예에 따른 사용자 아이덴티티 증명을 인에이블링하도록 구성된 시스템의 블록 다이어그램.
도 2는 본 발명의 일 실시예에 따른 도 1의 시스템의 상세 블록 다이어그램.
도 3은 본 발명의 일 실시예에 따른 사용자 아이덴티티 증명을 수행하기 위한 방법의 흐름도.
본 발명의 실시예는 모바일 상거래에서 사용자 아이덴티티 증명을 수행하기 위한 방법, 장치, 시스템 및 컴퓨터 프로그램 제품을 제공할 수 있다. 일 실시예에서, 방법은 모바일 디바이스와 통합된 카메라를 경유하여 모바일 디바이스의 사용자의 사진을 얻는 단계를 포함한다. 방법은 사진으로부터 제 1 기준점의 세트를 식별하고 사진으로부터의 제 1 기준점의 세트를 모바일 디바이스의 권한 부여된 사용자와 연관된 제 2 기준점의 세트에 비교하는 단계를 추가로 포함한다. 방법은 제 1 기준점의 세트가 제 2 기준점의 세트에 일치하면 사용자가 권한 부여된 사용자인 것으로 판정하는 단계를 추가로 포함한다.
사진으로부터의 제 1 기준점의 세트를 식별하는 단계는 모바일 디바이스의 보안 파티션에서 수행될 수 있고, 여기서 보안 파티션은 모바일 디바이스용 운영 체제로부터 격리되어 있다. 제 2 기준점의 세트는 모바일 디바이스 상의 보안 저장 장치와 모바일 디바이스로부터 이격된 서버 사이의 공유된 비밀일 수 있고, 보안 저장 장치는 모바일 디바이스용 운영 체제로부터 격리되어 있다.
방법은 모바일 디바이스의 사용자로부터 제 1 생체 인식 데이터를 얻는 단계를 추가로 포함할 수 있고, 사용자가 권한 부여된 사용자인 것으로 판정하는 단계는 사용자로부터의 제 1 생체 인식 데이터가 모바일 디바이스의 권한 부여된 사용자와 연관된 제 2 생체 인식 데이터에 일치하는 것으로 판정하는 단계를 추가로 포함한다. 제 1 기준점의 세트를 제 2 기준점의 세트에 비교하는 단계는 제 1 기준점의 세트를 모바일 디바이스로부터 이격된 서버에 송신하는 단계를 포함할 수 있다. 제 1 기준점의 세트를 제 2 기준점의 세트에 비교하는 단계는 제 1 기준점의 세트를 모바일 디바이스의 보안 파티션에 제공하는 단계를 포함할 수 있고, 보안 파티션은 모바일 디바이스용 운영 체제로부터 격리되어 있다.
방법은 제 1 기준점의 세트를 로컬에서 또는 모바일 디바이스로부터 이격된 서버에서 제 2 기준점의 세트에 비교해야 하는지 여부를 판정하기 위해 네트워크 대역폭 및/또는 정책을 사용하는 단계를 추가로 포함할 수 있다. 방법은 사용자가 권한 부여된 사용자인 것으로 판정되면 사용자에 의해 요구된 트랜잭션을 권한 부여하는 단계를 추가로 포함할 수 있다. 방법은 사용자가 권한 부여된 사용자인 것으로 판정되지 않으면 사용자에 의해 요구된 트랜잭션을 거절하는 단계를 추가로 포함할 수 있다.
명세서에서 본 발명의 "일 실시예" 또는 "실시예"의 참조는 실시예와 관련하여 설명된 특정 특징, 구조 또는 특성이 본 발명의 적어도 하나의 실시예에 포함되어 있다는 것을 의미한다. 따라서, 명세서 전체에 걸쳐 다양한 위치에서 나타나는 구문 "일 실시예에서", "일 실시예에 따르면" 등의 출현은 반드시 모두 동일한 실시예를 언급하는 것은 아니다.
설명의 목적으로, 특정 구성 및 상세가 본 발명의 철저한 이해를 제공하기 위해 설명된다. 그러나, 본 발명의 실시예는 본 명세서에 제시된 특정 상세 없이 실시될 수 있다는 것이 당 기술 분야의 숙련자에게 명백할 것이다. 더욱이, 공지의 특징은 본 발명의 불명료하게 하지 않기 위해 생략되거나 개략화될 수 있다. 다양한 예가 이 상세한 설명 전체에 걸쳐 제공될 수 있다. 이들은 단지 본 발명의 특정 실시예의 설명일 뿐이다. 본 발명의 범주는 제공된 예에 한정되지 않는다.
도 1은 본 발명의 일 실시예에 따라 사용자 아이덴티티 증명을 수행하도록 구성된 시스템의 블록 다이어그램이다. 모바일 컴퓨터 시스템 및/또는 이동 전화에 대응하는 플랫폼(100)은 칩셋(120)에 접속된 프로세서(110)를 포함한다. 프로세서(110)는 플랫폼(100)에 프로세싱 전력을 제공하고, 단일-코어 또는 멀티-코어 프로세서일 수 있고, 하나 초과의 프로세서가 플랫폼(100)에 포함될 수 있다. 프로세서(110)는 하나 이상의 시스템 버스, 통신 경로 또는 매체(도시 생략)를 경유하여 플랫폼(100)의 다른 구성 요소에 접속될 수 있다. 프로세서(110)는 상호 접속부(151)를 경유하여 네트워크(150)를 통해 트랜잭션 서버(160)에 통신하는 호스트 애플리케이션(112)과 같은 호스트 애플리케이션을 실행한다. 호스트 애플리케이션(112)은 호스트 운영 체제(도시 생략)의 제어 하에서 실행한다.
칩셋(120)은 플랫폼(100)의 보안을 관리하기 위해, 프로세서(110)에 독립적으로 동작하는 매립형 마이크로프로세서로서 구현될 수 있는 보안 엔진(130)을 포함한다. 보안 엔진(130)은 암호화 동작 및 다른 사용자 아이덴티티 증명 기능성을 제공한다. 일 실시예에서, 프로세서(110)는 호스트 운영 체제(도시 생략)의 지령 하에서 동작하고, 반면 보안 엔진(130)은 호스트 운영 체제에 의해 액세스될 수 없는 보안의 격리 환경을 제공한다. 이 보안 환경은 본 명세서에서 보안 파티션이라 칭한다. 보안 환경은 보안 저장 장치(132)를 또한 포함한다.
일 실시예에서, 보안 엔진(130)에서 실행하는 사용자 아이덴티티 증명 모듈(140)은 사용자 아이덴티티 증명을 제공하기 위해 호스트 애플리케이션(112)에 의해 사용된다. 호스트 애플리케이션(112)은 보안 엔진 인터페이스(SEI)(114)를 경유하여, 사용자 아이덴티티 증명을 포함하는 보안 엔진(130)의 서비스를 요구한다. 사용자 아이덴티티 증명 모듈(140)은 보안 엔진(130)에 의해 실행된 펌웨어로서 구현될 수 있다.
보안 엔진(130)과 원격 증명 서버(170) 사이의 통신은 대역외 통신 채널(152)을 경유하여 발생한다. 일 실시예에서, 대역외 통신 채널(152)은 호스트 시스템 상의 보안 엔진(130)과 원격 증명 서버(170) 사이의 보안 통신 채널이다. 대역외 통신 채널(152)은 보안 엔진(130)이 플랫폼(100)의 호스트 운영 체제에 독립적으로 외부 서버와 통신하는 것을 가능하게 한다.
도 2는 도 1의 시스템의 구성 요소의 더 상세한 도면을 도시한다. 도 2에 도시된 실시예에서, 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)가 모바일 운영 체제(OS)(205)에 의해 제공된 환경에서 실행하는 호스트 애플리케이션이다. 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)는 사용자의 아이덴티티의 증명을 제공하기 위해 사용자 아이덴티티 증명 모듈(240)을 호출한다. 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)와 사용자 아이덴티티 증명 모듈(240) 사이의 상호 작용은 구현 특정적이고, 직접적으로 또는 모바일 OS(205)를 경유하여 발생할 수 있다.
사용자 아이덴티티 증명 모듈(240)은 보안 엔진(230) 내에서 실행하기 때문에, 사용자 아이덴티티 증명 모듈(240)은 보안 엔진 인터페이스(SEI)(214)를 경유하여 액세스된다. 사용자 아이덴티티 증명 모듈(240)은, 마스터 인증 에이전트(241), 정책 저장/시행 에이전트(242), 로깅 에이전트(243), 카메라/생체 인식/PIN 에이전트(244) 및 통신 에이전트(245)를 포함하는 다수의 서브-모듈을 포함한다.
마스터 인증 에이전트(241)는 전체 사용자 아이덴티티 증명 프로세스를 조정한다. 마스터 인증 에이전트(241)는 트랜잭션의 유형 및 트랜잭션과 연관된 정책에 따라 필요에 따른 기초로 사용자 아이덴티티 증명 모듈(240)의 다른 서브-모듈을 호출한다. 사용자가 뱅킹, 주식, 건강 또는 소셜 네트워킹 리소스와 같은, 사용자 아이덴티티 증명을 요구하는 리소스에 액세스할 때, 마스터 인증 에이전트(241)는 사용자의 자격증명을 얻기 위해 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)를 호출한다. 트랜잭션의 유형에 따라, 마스터 인증 에이전트(241)는 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)가 사진, 지문을 포함하는 생체 인식 데이터 또는 PIN 또는 패스워드와 같은 상이한 유형의 자격증명을 요구할 수 있게 한다. 얻어진 데이터의 유형에 따라, 카메라/생체 인식/PIN 에이전트(244)의 상이한 기능성이 호출된다. 카메라/생체 인식/PIN 에이전트(244)는 모바일 OS(205)로부터 격리되어 있는 보안 엔진(230) 내에서 실행된다. 카메라/생체 인식/PIN 에이전트(244)의 기능성은 도 3을 참조하여 이하에 더 상세히 설명된다.
사용자가 모바일 디바이스를 사용하여 리소스에 액세스할 때, 마스터 인증 에이전트(241)는 또한 보안 저장 장치(232)로부터 정책 세팅을 검색하기 위해 정책 저장 장치/시행 에이전트(242)를 호출한다. 정책 세팅의 예는 사용자에 의해 요구된 리소스 및/또는 트랜잭션의 유형을 위해 요구된 인증의 유형이다. 예를 들어, 모바일 디바이스를 사용하기 위한 사용자의 초기 로그인은 단지 패스워드 또는 PIN의 로컬 확인만을 요구하고, 반면에 은행 계좌로부터 금액을 이체하기 위한 요구는 은행 계좌의 소유자로서 사용자의 아이덴티티를 확인하기 위한 얼굴 인식을 요구할 수도 있다. 일 실시예에서, 이들 정책 세팅은 구성형이다. 정책 세팅은 모바일 디바이스의 주문자 상표 제품 생산자(OEM)에 의해 초기화되고 모바일 디바이스의 소유자에 의해 그리고/또는 서비스 공급자에 의해 조정될 수 있다. 예를 들어, 애플리케이션이 모바일 디바이스 상에 설치될 때, 애플리케이션에 대한 서비스 공급자는 애플리케이션을 사용하기 위해 특정 정책이 사용자 권한 부여를 위해 후속되는 것을 요구할 수 있다.
사용자가 트랜잭션을 개시할 때, 마스터 인증 에이전트(241)는 모바일 디바이스를 위해 구성된 바와 같은 정책 규칙에 따라 트랜잭션을 로그하도록 로깅 에이전트(243)를 호출한다. 예를 들어, 사용자 또는 서비스 공급자는, 시작 시간, 위치 및 통신을 위해 사용된 채널과 같은 트랜잭션 상세에 부가하여 사용자에 의해 제공된 사용자 아이덴티티 정보의 기록을 유지하기 위해, 은행 계좌로부터 금액의 이체와 같은 높은 보안 트랜잭션을 요구하도록 모바일 디바이스를 구성할 수 있다.
트랜잭션이 도 1의 트랜잭션 서버(160) 및/또는 원격 증명 서버(170)와 같은 원격 서버를 수반할 때, 마스터 인증 에이전트(241)는 원격 서버와의 보안 통신 채널을 설정하기 위해 통신 에이전트(245)를 호출한다.
플랫폼(200)은 메모리(204) 및 보안 저장 장치(232)와 같은 메모리 디바이스를 추가로 포함한다. 이들 메모리 디바이스는 랜덤 액세스 메모리(RAM) 및 판독 전용 메모리(ROM)를 포함할 수 있다. 본 명세서에 있어서, 용어 "ROM"은 일반적으로 소거 가능 프로그램 가능 ROM(EPROM), 전기적 소거 가능 프로그램 가능 ROM(EEPROM), 플래시 ROM, 플래시 메모리 등과 같은 비휘발성 메모리 디바이스를 칭하는데 사용될 수 있다. 보안 저장 장치(232)는 통합 드라이브 전자 장치(IDE) 하드 드라이브와 같은 대용량 저장 디바이스 및/또는 플로피 디스크, 광학 저장 장치, 테이프, 플래시 메모리, 메모리 스틱, 디지털 비디오 디스크, 생물학적 저장 장치 등과 같은 다른 디바이스 또는 매체를 포함할 수 있다. 일 실시예에서, 보안 저장 장치(232)는 모바일 OS(205)로부터 격리되어 있는 칩셋(220) 내에 매립된 eMMC NAND 플래시 메모리이다.
프로세서(210)는 또한 디스플레이 제어기(202), 소형 컴퓨터 시스템 인터페이스(SCSI) 제어기, 통신 제어기(206)와 같은 네트워크 제어기, 범용 직렬 버스(USB) 제어기, 키보드 및 마우스 등과 같은 입력 디바이스와 같은 부가의 구성 요소에 통신적으로 결합될 수 있다. 플랫폼(200)은 다양한 시스템 구성 요소를 통신적으로 결합하기 위한 메모리 제어기 허브, 입력/출력(I/O) 제어기 허브, PCI 루트 브리지 등과 같은 하나 이상의 브리지 또는 허브를 또한 포함할 수 있다. 본 명세서에 사용될 때, "버스"는 공유된 통신 경로, 뿐만 아니라 점대점 경로를 칭하는데 사용될 수 있다.
예를 들어 통신 제어기(206)와 같은 몇몇 구성 요소는 버스와 통신하기 위한 인터페이스(예를 들어, PCI 커넥터)를 갖는 어댑터 카드로서 구현될 수 있다. 일 실시예에서, 하나 이상의 디바이스는 프로그램 가능 또는 프로그램 불가능 로직 디바이스 또는 어레이, 응용 주문형 집적 회로(ASIC), 매립형 컴퓨터, 스마트 카드 등과 같은 구성 요소를 사용하여 매립형 제어기로서 구현될 수 있다.
본 명세서에 사용될 때, 용어 "프로세싱 시스템" 및 "데이터 프로세싱 시스템"은 단일 머신, 또는 통신적으로 결합된 머신의 시스템 또는 함께 동작하는 디바이스를 광범위하게 포함하도록 의도된다. 예시적인 프로세싱 시스템은, 비한정적으로, 분산형 컴퓨팅 시스템, 슈퍼컴퓨터, 고성능 컴퓨팅 시스템, 컴퓨팅 클러스터, 메인프레임 컴퓨터, 미니-컴퓨터, 클라이언트-서버 시스템, 퍼스널 컴퓨터, 워크스테이션, 서버, 휴대용 컴퓨터, 랩탑 컴퓨터, 타블렛, 전화기, 개인 휴대 정보 단말(PDA), 휴대형 디바이스, 오디오 및/또는 비디오 디바이스와 같은 엔터테인먼트 디바이스, 및 정보를 프로세싱하거나 전송하기 위한 다른 디바이스를 포함한다.
플랫폼(200)은 적어도 부분적으로는, 키보드, 마우스, 터치 스크린, 음성 작동 디바이스, 제스처 작동 디바이스 등과 같은 통상의 입력 디바이스로부터의 입력에 의해, 및/또는 다른 머신, 생체 인식 피드백 또는 다른 입력 소스 또는 신호로부터 수신된 명령에 의해 제어될 수 있다. 플랫폼(200)은 예를 들어 통신 제어기(206), 모뎀 또는 다른 통신 포트 또는 커플링을 통해 하나 이상의 원격 데이터 프로세싱 시스템(도시 생략)으로의 하나 이상의 접속을 이용할 수 있다.
플랫폼(200)은 근거리 통신망(LAN), 원거리 통신망(WAN), 인트라넷, 인터넷 등과 같은 물리적 및/또는 논리적 네트워크를 경유하여 다른 프로세싱 시스템(도시 생략)에 상호 접속될 수 있다. 네트워크를 수반하는 통신은 무선 주파수(RF), 위성, 마이크로파, 미국 전기 전자 학회(IEEE) 802.11, 블루투스, 광학, 적외선, 케이블, 레이저 등을 포함하는 다양한 유선 및/또는 무선 단거리 또는 장거리 반송파 및 프로토콜을 이용할 수 있다.
도 3은 본 발명의 일 실시예에 따른 사용자 아이덴티티 증명을 수행하기 위한 방법의 흐름도이다. 도 3의 방법 단계는 도 1 및 도 2의 시스템의 구성 요소에 의해 수행되는 것으로서 설명될 것이다. 방법은 "사용자가 사용자 아이덴티티 증명 모듈 사용자 인터페이스가 호출되게 함" 단계 302에서 시작하고, 여기서 모바일 디바이스의 사용자는 사용자가 자격증명을 제공할 수 있도록 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)가 호출되게 한다. 일 실시예에서, 모바일 디바이스의 사용자는 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212) 애플리케이션을 실행하도록 선택한다. 다른 실시예에서, 마스터 인증 에이전트(241)는 사용자 아이덴티티 증명을 위한 요구를 인식하고, 사용자 아이덴티티 증명 모듈 사용자 인터페이스(212)가 로그인 또는 트랜잭션 초기화 요구와 같은 모바일 디바이스와의 다른 사용자 상호 작용에 응답하여 나타나게 한다.
제어는 "사용자가 사용자 아이덴티티 증명 모듈 사용자 인터페이스가 호출되게 함" 단계 302로부터 "사용자 아이덴티티 증명 모듈 사용자 인터페이스가 정책 에이전트를 사용하여 보안 저장 장치로부터 정책/세팅을 검색함" 단계 304로 진행한다. 단계 304에서, 마스터 인증 에이전트(241)는 보안 저장 장치(232)로부터 사용자 아이덴티티 증명을 위한 정책 및/또는 세팅을 검색하기 위해 정책 저장 장치/시행 에이전트(242)를 호출한다. 제어는 이어서 "정책 세팅에 기초하여, 사용자 아이덴티티 증명 모듈이 플랫폼 카메라 및 선택적으로 다른 사용자 자격증명을 경유하여 촬영된 사용자 사진을 요구함" 단계 306으로 진행한다. 단계 306에서, 마스터 인증 에이전트(241)는 정책 세팅을 분석하기 위해 정책 저장 장치/시행 에이전트(242)와 상호 작용하고, 사용자에 의해 요구된 트랜잭션의 유형을 위한 정책 세팅에 기초하여 사용자 아이덴티티 증명을 지시한다. 사용자 아이덴티티 증명 모듈(240)은 카메라/생체 인식/PIN 에이전트(244)를 호출함으로써 통합형 플랫폼 카메라를 경유하여 촬영된 사용자 사진을 요구한다. 게다가, 요구가 은행 계좌로부터 금액을 이체하기 위한 요구와 같은 높은 보안 트랜잭션이면, 사용자 사진에 추가하여 자격증명이 은행 서비스 공급자에 의해 요구될 수 있다. 이들 다른 사용자 자격증명은 사용자 아이덴티티 증명 프로세스 중에 사용자를 고유하게 식별하는데 사용되는 해시 함수를 컴퓨팅하는데 사용될 수 있다.
제어는 "정책 세팅에 기초하여, 사용자 아이덴티티 증명 모듈이 플랫폼 카메라 및 선택적으로 다른 사용자 자격증명을 경유하여 촬영된 사용자 사진을 요구함" 단계 306으로부터 "사용자 사진으로부터 관심 키포인트(기준점)를 식별함" 단계 308로 진행한다. 카메라/생체 인식/PIN 에이전트(244)는 사용자 사진으로부터 기준점을 식별한다. 기준점은 기준 또는 측정의 지점으로서 사용을 위한, 생성된 이미지에 나타나는 촬영 시스템의 시야에 사용된 객체이다. 기준점은 촬영 대상 내에 또는 상에 배치된 어떤 것 또는 광학 기구의 레티클 내의 마크 또는 마크의 세트일 수 있다. 현재의 카메라에서, 카메라 렌즈의 중심을 표현하는 물리적 십자선(crosshair)은 최종 사진 상에 중첩된 컴퓨터 생성 이미지로 대체될 수 있다. 얼굴 인식 기술은 이어서 얼굴을 가로지르는 거리에 비교될 때 눈들 사이의 상대 거리와 같은 얼굴 특징의 특성을 식별하는데 사용될 수 있다. 기준점은 악의적인 사용자가 카메라의 전방에 소유자의 사진을 제시하는 상황에서 오인식을 회피하기 위해, 코의 깊이와 같은 3차원 값을 또한 포함할 수 있다. 사용자를 표현하는 기준선 기준점 세트가 "정책 세팅에 기초하여, 사용자 아이덴티티 증명 모듈이 플랫폼 카메라 및 선택적으로 다른 사용자 자격증명을 경유하여 촬영된 사용자 사진을 요구함" 단계 306에서 사용자 트랜잭션에 응답하여 촬영된 사진에서 식별된 기준점의 세트와 비교를 위해 보안 저장 장치(232)에 저장된다.
"사용자 사진으로부터 관심 키포인트(기준점)를 식별함" 단계 308로부터, 제어는 "요구된 네트워크 이용 가능성/대역폭에 기초하여, 로컬 또는 원격 증명을 수행해야 하는지 여부를 판정함" 단계 310으로 진행한다. 로컬 또는 원격 증명을 수행해야 하는지 여부의 판정은 정책 기반일 수 있고, 트랜잭션의 유형에 기초하여 모바일 디바이스의 OEM/서비스 공급자에 의해 시행될 수 있다. 일 실시예에서, 사용자의 요구에 속하는 네트워크의 이용 가능성 및/또는 대역폭은 로컬 또는 원격 증명을 수행해야 하는지 여부를 판정하기 위해 평가된다. 예를 들어, 네트워크가 이용 불가능하면, 로컬 증명이 수행될 수 있다. 네트워크가 이용 가능하고 식별된 기준점 세트를 원격 서버에 송신하는 것을 지원하기 위해 충분한 대역폭을 가지면, 원격 증명이 수행될 수 있다.
단계 310에서 로컬 또는 원격 증명을 수행해야 하는지 여부의 판정 후에, 제어는 "원격 증명?" 판정점(312)으로 진행한다. 판정이 원격 증명을 수행하도록 이루어져 있으면, 제어는 "사용자 아이덴티티 증명 모듈이 기준점 및 다른 데이터(생체 인식, PIN 등)를 원격 증명을 위한 원격 서버에 송신함" 단계 314로 진행한다. 판정이 로컬 증명을 수행하도록 이루어져 있으면, 제어는 "사용자 아이덴티티 증명 모듈이 보안 엔진 내에서 로컬로 사용자 데이터를 검증함" 단계 322로 진행한다.
증명 중에, 사용자의 아이덴티티를 확인하기 위해 단계 306에서 촬영된 사용자 사진의 화소간 비교를 수행하는 대신에, 단계 306에서 촬영된 사진으로부터 식별된 기준점 세트가 사용자를 위한 기준선 기준점 세트와 비교되어 2개의 기준점 세트가 일치하는지 여부를 판정한다. 2개의 기준점 세트는 98%와 같은 소정의 퍼센트의 기준점 세트가 동일한 사람의 이미지로부터 계산되어 있는 것으로 고려될 수 있으면 일치하는 것으로 고려된다. 몇몇 에러의 마진이 조명, 카메라 각도 및 다른 이러한 파라미터의 차이에 대해 허용된다. 에러 퍼센트의 마진은 사용자 위치, 요구된 트랜잭션의 유형 및 다른 이러한 파라미터에 기초하여 모바일 디바이스의 OEM/서비스 공급자에 의해 설정된 정책에 의해 결정될 수 있다.
일 실시예에서, 권한 부여된 사용자를 위한 기준선 기준점 세트는 원격 증명을 수행하는 원격 서버와 모바일 디바이스 사이의 공유된 비밀이다.
사용자 아이덴티티 증명이 수행된 후에, 제어는 단계 314 또는 단계 322로부터 "사용자 아이덴티티가 성공적으로 증명되었는가?" 판정점(316)으로 진행한다. 사용자 아이덴티티가 성공적으로 증명되었으면, 제어는 "사용자가 트랜잭션을 계속하게 허용함" 단계 318로 진행하고 여기서 사용자가 트랜잭션으로 진행하도록 허용된다. 사용자 아이덴티티가 성공적으로 증명되지 않았으면, 제어는 "사용자가 요구된 트랜잭션을 거절함" 단계 320으로 진행하고 여기서 사용자는 트랜잭션을 계속하는 것이 거절된다.
본 명세서에서 사용자 아이덴티티 증명을 위해 설명된 기술은 전통적인 원격 증명 방법에 비교할 때 다수의 장점을 제공한다. 사용자를 식별하기 위해 얼굴 인식 기술을 사용하는 것은 모바일 디바이스의 보안 및 성능의 모두를 향상시킨다. 모바일 디바이스와 원격 서버 사이에 공유된 비밀로서 각각의 권한 부여된 사용자를 위한 기준선 기준점 세트를 저장함으로써, 얼굴 인식은 사용자 아이덴티티 증명을 위해 사용될 수 있다. 기술은 단지 제한된 수의 기준점만을 비교함으로써 얼굴 인식을 수행하기 때문에, 이미지의 화소간 비교에 의한 것보다 더 적은 연산 리소스가 요구된다. 모바일 디바이스와 원격 서버 사이의 더 적은 데이터 점의 통신에 의해, 더 적은 핸드셰이킹 단계가 수반되고 사용자 아이덴티티 증명 프로세스의 전력/성능이 향상된다.
본 명세서에 설명된 사용자 아이덴티티 증명 모듈은 구성형이고, 생체 인식 데이터, 패스워드 및 PIN과 같은 다른 유형의 사용자 아이덴티티 증명 기술과 얼굴 인식 기술을 조합한다. 예를 들어, 생체 인식 지문의 해시는 사용자 아이덴티티 증명을 수행하기 위해 사용자 사진으로부터 기준점과 조합될 수 있다. 사용자 아이덴티티 증명 모듈은 정책 세팅에 의해 구동되기 때문에, 상이한 보안의 레벨이 상이한 유형의 트랜잭션을 위해 요구될 수 있다. 이들 보안의 레벨은 사용자 아이덴티티 증명 파라미터 뿐만 아니라 원격 또는 로컬 증명이 수행되어야 하는지 여부를 결정할 수 있다.
게다가, 본 명세서에 설명된 사용자 아이덴티티 증명 모듈은 모바일 디바이스용 운영 체제로부터 격리된 보안 환경에서 동작한다. 이는 사용자 아이덴티티 증명 데이터가 사용자, 운영 체제, 호스트 애플리케이션 및 멀웨어를 포함하는 비신뢰 집단에 액세스 가능하지 않은 것을 보장한다. 정책 세팅 및 트랜잭션 로그는 마찬가지로 부정 조작 방지 보안 저장 장치에 저장된다.
본 명세서에 개시된 메커니즘의 실시예는 하드웨어, 소프트웨어, 펌웨어 또는 이러한 구현 접근법의 조합으로 구현될 수 있다. 본 발명의 실시예는 적어도 하나의 프로세서, 데이터 저장 시스템(휘발성 및 비휘발성 메모리 및/또는 저장 요소를 포함함), 적어도 하나의 입력 디바이스 및 적어도 하나의 출력 디바이스를 포함하는 프로그램 가능 시스템 상에서 실행하는 컴퓨터 프로그램으로서 구현될 수 있다.
프로그램 코드는 본 명세서에 설명된 기능을 수행하고 출력 정보를 생성하기 위해 입력 데이터에 적용될 수 있다. 본 발명의 실시예는 본 명세서에 설명된 구조, 회로, 장치, 프로세서 및/또는 시스템 특징을 규정하는 HDL과 같은 설계 데이터를 포함하거나 본 발명의 동작을 수행하기 위한 명령을 포함하는 머신-액세스 가능 매체를 또한 포함한다. 이러한 실시예는 프로그램 제품이라 또한 칭할 수도 있다.
이러한 머신-액세스 가능 저장 매체는 비한정적으로, 하드 디스크, 플로피 디스크, 광학 디스크, 콤팩트 디스크 판독 전용 메모리(CD-ROM), 콤팩트 디스크 재기록 가능(CD-RW) 및 자기 광학 디스크를 포함하는 임의의 다른 유형의 디스크와 같은 저장 매체와, 판독 전용 메모리(ROM), 동적 랜덤 액세스 메모리(DRAM), 정적 랜덤 액세스 메모리(SRAM)와 같은 랜덤 액세스 메모리(RAM), 소거 가능 프로그램 가능 판독 전용 메모리(EPROM), 플래시 프로그램 가능 메모리(FLASH), 전기적 소거 가능 프로그램 가능 판독 전용 메모리(EEPROM), 자기 또는 광학 카드 또는 전자 명령을 저장하기 위해 적합한 임의의 다른 유형의 매체를 포함하는 머신 또는 디바이스에 의해 제조되거나 형성된 입자의 탠저블 배열을 포함할 수 있다.
출력 정보는 공지의 방식으로 하나 이상의 출력 디바이스에 적용될 수 있다. 본 명세서에 있어서, 프로세싱 시스템은 예를 들어, 디지털 신호 프로세서(DSP), 마이크로제어기, 응용 주문형 집적 회로(ASIC) 또는 마이크로프로세서와 같은 프로세서를 갖는 임의의 시스템을 포함한다.
프로그램은 프로세싱 시스템과 통신하기 위해 고레벨 절차 또는 객체 지향 프로그래밍 언어로 구현될 수 있다. 프로그램은 또한 원한다면 어셈블리 또는 머신 언어로 구현될 수 있다. 실제로, 본 명세서에 설명된 메커니즘은 임의의 특정 프로그래밍 언어에 그 범주가 한정되는 것은 아니다. 임의의 경우에, 언어는 컴파일링된 또는 해석된 언어일 수 있다.
모바일 상거래에서 사용자 아이덴티티 증명을 수행하기 위한 방법 및 시스템의 실시예가 본 명세서에 제시된다. 본 발명의 특정 실시예가 도시되고 설명되었지만, 수많은 변경, 변형 및 수정이 첨부된 청구범위의 범주로부터 벗어나지 않고 이루어질 수 있다는 것이 당 기술 분야의 숙련자들에게 명백할 것이다. 이에 따라, 당 기술 분야의 숙련자는 변경 및 수정이 그 더 넓은 양태에서 본 발명으로부터 벗어나지 않고 이루어질 수 있다는 것을 인식할 수 있을 것이다. 첨부된 청구범위는 본 발명의 진정한 범주 및 사상 내에 있는 모든 이러한 변경, 변형 및 수정을 이들의 범주 내에 포함한다.
100: 플랫폼 110: 프로세서
112: 호스트 애플리케이션 120: 칩셋 하드웨어
130: 보안 엔진 140: 사용자 아이덴티티 증명 모듈
150: 네트워크 160: 트랜잭션 서버
170: 원격 증명 서버 205: 모바일 OS
202: 디스플레이 제어기 204: 메모리
206: 통신 제어기 210: 프로세서
230: 보안 엔진 232: 보안 저장 장치
241: 마스터 인증 에이전트 242: 정책 저장/시행 에이전트
243: 로깅 에이전트 244: 카메라/생체 인식/PIN 에이전트
245: 통신 에이전트 240: 사용자 아이덴티티 증명 모듈

Claims (30)

  1. 컴퓨터에 의해 구현되는 방법에 있어서,
    모바일 디바이스와 통합된 카메라를 경유하여 상기 모바일 디바이스의 사용자의 사진을 얻는 단계와,
    상기 사진으로부터 제 1 기준점의 세트를 식별하는 단계와,
    상기 사진으로부터의 상기 제 1 기준점의 세트를 상기 모바일 디바이스의 권한 부여된 사용자와 연관된 제 2 기준점의 세트와 비교하는 단계와,
    상기 제 1 기준점의 세트가 상기 제 2 기준점의 세트와 일치하면 상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 단계를 포함하는
    컴퓨터 구현 방법.
  2. 제 1 항에 있어서,
    상기 사진으로부터의 상기 제 1 기준점의 세트를 식별하는 단계는 상기 모바일 디바이스의 보안 파티션에서 수행되고, 상기 보안 파티션은 상기 모바일 디바이스용 운영 체제로부터 격리되어 있는
    컴퓨터 구현 방법.
  3. 제 1 항에 있어서,
    상기 제 2 기준점의 세트는 상기 모바일 디바이스 상의 보안 저장 장치와 상기 모바일 디바이스로부터 이격된 서버 사이의 공유된 비밀이고, 상기 보안 저장 장치는 상기 모바일 디바이스용 운영 체제로부터 격리되어 있는
    컴퓨터 구현 방법.
  4. 제 1 항에 있어서,
    상기 방법은 상기 모바일 디바이스의 사용자로부터 제 1 생체 인식 데이터를 얻는 단계를 더 포함하되,
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 단계는 상기 사용자로부터의 제 1 생체 인식 데이터가 상기 모바일 디바이스의 상기 권한 부여된 사용자와 연관된 제 2 생체 인식 데이터와 일치하는 것을 판정하는 단계를 더 포함하는
    컴퓨터 구현 방법.
  5. 제 1 항에 있어서,
    상기 제 1 기준점의 세트를 제 2 기준점의 세트와 비교하는 단계는 상기 제 1 기준점의 세트를 상기 모바일 디바이스로부터 이격된 서버에 송신하는 단계를 포함하는
    컴퓨터 구현 방법.
  6. 제 1 항에 있어서,
    상기 제 1 기준점의 세트를 제 2 기준점의 세트와 비교하는 단계는 상기 제 1 기준점의 세트를 상기 모바일 디바이스의 보안 파티션에 제공하는 단계를 포함하고, 상기 보안 파티션은 상기 모바일 디바이스용 운영 체제로부터 격리되어 있는
    컴퓨터 구현 방법.
  7. 제 1 항에 있어서,
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 모바일 디바이스로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 네트워크 대역폭을 사용하는 단계를 더 포함하는
    컴퓨터 구현 방법.
  8. 제 1 항에 있어서,
    상기 제 1 기준점의 세트를 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 모바일 디바이스로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 정책을 사용하는 단계를 더 포함하는
    컴퓨터 구현 방법.
  9. 제 1 항에 있어서,
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되면 상기 사용자에 의해 요구된 트랜잭션을 권한 부여하는 단계를 더 포함하는
    컴퓨터 구현 방법.
  10. 제 1 항에 있어서,
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되지 않으면 상기 사용자에 의해 요구된 트랜잭션을 거절하는 단계를 더 포함하는
    컴퓨터 구현 방법.
  11. 시스템에 있어서,
    카메라와,
    적어도 하나의 프로세서와,
    상기 적어도 하나의 프로세서에 결합된 메모리를 포함하되,
    상기 메모리는,
    상기 카메라를 경유하여 상기 시스템의 사용자의 사진을 얻는 것과,
    상기 사진으로부터 제 1 기준점의 세트를 식별하는 것과,
    상기 사진으로부터의 상기 제 1 기준점의 세트를 상기 시스템의 권한 부여된 사용자와 연관된 제 2 기준점의 세트와 비교하는 것과,
    상기 제 1 기준점의 세트가 상기 제 2 기준점의 세트와 일치하면 상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 것을 수행하기 위한 명령어를 포함하는
    시스템.
  12. 제 11 항에 있어서,
    상기 사진으로부터의 제 1 기준점의 세트를 식별하는 것은 상기 시스템의 보안 파티션에서 수행되고, 상기 보안 파티션은 상기 시스템용 운영 체제로부터 격리되어 있는
    시스템.
  13. 제 11 항에 있어서,
    상기 제 2 기준점의 세트는 상기 시스템 상의 보안 저장 장치와 상기 시스템으로부터 이격된 서버 사이의 공유된 비밀이고, 상기 보안 저장 장치는 상기 시스템용 운영 체제로부터 격리되어 있는
    시스템.
  14. 제 11 항에 있어서,
    상기 메모리는 상기 시스템의 상기 사용자로부터 제 1 생체 인식 데이터를 얻는 것을 수행하기 위한 명령어를 더 포함하고,
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 것은 상기 사용자로부터의 상기 제 1 생체 인식 데이터가 상기 시스템의 상기 권한 부여된 사용자와 연관된 제 2 생체 인식 데이터와 일치하는 것으로 판정하는 것을 더 포함하는
    시스템.
  15. 제 11 항에 있어서,
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 비교하는 것은 상기 제 1 기준점의 세트를 상기 시스템으로부터 이격된 서버에 송신하는 것을 포함하는
    시스템.
  16. 제 11 항에 있어서,
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 비교하는 것은 상기 제 1 기준점의 세트를 상기 시스템의 보안 파티션에 제공하는 것을 포함하고, 상기 보안 파티션은 상기 시스템용 운영 체제로부터 격리되어 있는
    시스템.
  17. 제 11 항에 있어서,
    상기 메모리는
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 시스템으로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 네트워크 대역폭을 사용하는 것을 수행하기 위한 명령어를 더 포함하는
    시스템.
  18. 제 11 항에 있어서,
    상기 메모리는
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 시스템으로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 정책을 사용하는 것을 수행하기 위한 명령어를 더 포함하는
    시스템.
  19. 제 11 항에 있어서,
    상기 메모리는
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되면 상기 사용자에 의해 요구된 트랜잭션을 권한 부여하는 것을 수행하기 위한 명령어를 더 포함하는
    시스템.
  20. 제 11 항에 있어서,
    상기 메모리는
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되지 않으면 상기 사용자에 의해 요구된 트랜잭션을 거절하는 것을 수행하기 위한 명령어를 더 포함하는
    시스템.
  21. 컴퓨터 프로그램 제품에 있어서,
    컴퓨터 판독 가능 저장 매체와,
    상기 컴퓨터 판독 가능 저장 매체 내의 명령어를 포함하고,
    상기 명령어는, 프로세싱 시스템에서 실행될 때, 상기 프로세싱 시스템으로 하여금
    상기 프로세싱 시스템과 통합된 카메라를 경유하여 상기 프로세싱 시스템의 사용자의 사진을 얻는 동작과,
    상기 사진으로부터 제 1 기준점의 세트를 식별하는 동작과,
    상기 사진으로부터의 상기 제 1 기준점의 세트를 상기 프로세싱 시스템의 권한 부여된 사용자와 연관된 제 2 기준점의 세트와 비교하는 동작과,
    상기 제 1 기준점의 세트가 상기 제 2 기준점의 세트와 일치하면 상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 동작을 수행하게 하는
    컴퓨터 프로그램 제품.
  22. 제 21 항에 있어서,
    상기 사진으로부터 제 1 기준점의 세트를 식별하는 동작은 상기 프로세싱 시스템의 보안 파티션에서 수행되고, 상기 보안 파티션은 상기 프로세싱 시스템용 운영 체제로부터 격리되어 있는
    컴퓨터 프로그램 제품.
  23. 제 21 항에 있어서,
    상기 제 2 기준점의 세트는 상기 프로세싱 시스템 상의 보안 저장 장치와 상기 프로세싱 시스템으로부터 이격된 서버 사이의 공유된 비밀이고, 상기 보안 저장 장치는 상기 프로세싱 시스템용 운영 체제로부터 격리되어 있는
    컴퓨터 프로그램 제품.
  24. 제 21 항에 있어서,
    상기 명령어는 또한 상기 프로세싱 시스템으로 하여금 상기 프로세싱 시스템의 사용자로부터 제 1 생체 인식 데이터를 얻는 동작을 수행하게 하고,
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정하는 동작은 상기 사용자로부터의 상기 제 1 생체 인식 데이터가 상기 프로세싱 시스템의 상기 권한 부여된 사용자와 연관된 제 2 생체 인식 데이터와 일치하는 것을 판정하는 동작을 더 포함하는
    컴퓨터 프로그램 제품.
  25. 제 21 항에 있어서,
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 비교하는 동작은 상기 제 1 기준점의 세트를 상기 프로세싱 시스템으로부터 이격된 서버에 송신하는 동작을 포함하는
    컴퓨터 프로그램 제품.
  26. 제 21 항에 있어서,
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 비교하는 동작은 상기 제 1 기준점의 세트를 상기 프로세싱 시스템의 보안 파티션에 제공하는 동작을 포함하고, 상기 보안 파티션은 상기 프로세싱 시스템용 운영 체제로부터 격리되어 있는
    컴퓨터 프로그램 제품.
  27. 제 21 항에 있어서,
    상기 명령어는 또한 상기 프로세싱 시스템으로 하여금
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 프로세싱 시스템으로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 네트워크 대역폭을 사용하는 동작을 수행하게 하는
    컴퓨터 프로그램 제품.
  28. 제 21 항에 있어서,
    상기 명령어는 또한 상기 프로세싱 시스템으로 하여금
    상기 제 1 기준점의 세트를 상기 제 2 기준점의 세트와 로컬에서 비교해야 할지 아니면 상기 프로세싱 시스템으로부터 이격된 서버에서 비교해야 할지를 판정하기 위해 정책을 사용하는 동작을 수행하게 하는
    컴퓨터 프로그램 제품.
  29. 제 21 항에 있어서,
    상기 명령어는 또한 상기 프로세싱 시스템으로 하여금
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되면 상기 사용자에 의해 요구된 트랜잭션을 권한 부여하는 동작을 수행하게 하는
    컴퓨터 프로그램 제품.
  30. 제 21 항에 있어서,
    상기 명령어는 또한 상기 프로세싱 시스템으로 하여금
    상기 사용자가 상기 권한 부여된 사용자인 것으로 판정되지 않으면 상기 사용자에 의해 요구된 트랜잭션을 거절하는 동작을 수행하게 하는
    컴퓨터 프로그램 제품.
KR1020137016064A 2010-12-23 2011-12-14 모바일 상거래에서의 사용자 아이덴티티 증명 KR101624575B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/977,981 US8996879B2 (en) 2010-12-23 2010-12-23 User identity attestation in mobile commerce
US12/977,981 2010-12-23
PCT/US2011/064897 WO2012087708A2 (en) 2010-12-23 2011-12-14 User identity attestation in mobile commerce

Publications (2)

Publication Number Publication Date
KR20130113486A true KR20130113486A (ko) 2013-10-15
KR101624575B1 KR101624575B1 (ko) 2016-05-26

Family

ID=46314763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020137016064A KR101624575B1 (ko) 2010-12-23 2011-12-14 모바일 상거래에서의 사용자 아이덴티티 증명

Country Status (7)

Country Link
US (1) US8996879B2 (ko)
EP (1) EP2656291A4 (ko)
JP (1) JP5701997B2 (ko)
KR (1) KR101624575B1 (ko)
CN (1) CN103270529B (ko)
TW (1) TWI633443B (ko)
WO (1) WO2012087708A2 (ko)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8996879B2 (en) 2010-12-23 2015-03-31 Intel Corporation User identity attestation in mobile commerce
US9858401B2 (en) * 2011-08-09 2018-01-02 Biogy, Inc. Securing transactions against cyberattacks
WO2013048481A1 (en) * 2011-09-30 2013-04-04 Intel Corporation Media content rating management with pattern matching
US9137246B2 (en) * 2012-04-09 2015-09-15 Brivas Llc Systems, methods and apparatus for multivariate authentication
US9659177B1 (en) * 2012-09-24 2017-05-23 EMC IP Holding Company LLC Authentication token with controlled release of authentication information based on client attestation
US9449156B2 (en) * 2012-10-01 2016-09-20 Microsoft Technology Licensing, Llc Using trusted devices to augment location-based account protection
KR102104123B1 (ko) * 2013-07-15 2020-04-23 삼성전자주식회사 콘텐츠 디스플레이 장치 및 방법
WO2015047442A1 (en) 2013-09-27 2015-04-02 Mcafee, Inc. Trusted execution of an executable object on a local device
GB2522929A (en) * 2014-02-11 2015-08-12 Mastercard International Inc Transaction authorisation method and system
KR102204247B1 (ko) * 2014-02-19 2021-01-18 삼성전자 주식회사 전자 장치의 생체 정보 처리 방법 및 장치
US10430779B2 (en) * 2014-04-08 2019-10-01 Capital One Services Llc Systems and methods for transacting at an ATM using a mobile device
US10061910B2 (en) * 2015-06-09 2018-08-28 Intel Corporation Secure biometric data capture, processing and management for selectively prohibiting access to a data storage component from an application execution environment
US20170187752A1 (en) * 2015-12-24 2017-06-29 Steffen SCHULZ Remote attestation and enforcement of hardware security policy
US10735423B2 (en) * 2017-05-25 2020-08-04 Michael Boodaei User authentication and authorization system for a mobile application
US11349665B2 (en) * 2017-12-22 2022-05-31 Motorola Solutions, Inc. Device attestation server and method for attesting to the integrity of a mobile device
JP7157608B2 (ja) * 2018-09-27 2022-10-20 株式会社トプコン 測量機および測量機用管理システム

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7512254B2 (en) * 2001-11-07 2009-03-31 Symbol Technologies, Inc. System and method for mobile biometric authentication
US6317544B1 (en) * 1997-09-25 2001-11-13 Raytheon Company Distributed mobile biometric identification system with a centralized server and mobile workstations
US6633846B1 (en) * 1999-11-12 2003-10-14 Phoenix Solutions, Inc. Distributed realtime speech recognition system
JP2005531935A (ja) * 2001-07-12 2005-10-20 アトルア テクノロジーズ インコーポレイテッド 複数の部分的な生体計測によるフレーム走査からの生体画像アセンブリのための方法及びシステム
CA2412148C (en) * 2001-11-22 2008-04-22 Ntt Docomo, Inc. Authentication system, mobile terminal, and authentication method
JP2003233804A (ja) 2001-11-30 2003-08-22 Hiroshi Kondo 携帯電話及び携帯電話を用いた判定システム
TWI231669B (en) * 2002-11-02 2005-04-21 Ibm System and method for using portals by mobile devices in a disconnected mode
US7088220B2 (en) * 2003-06-20 2006-08-08 Motorola, Inc. Method and apparatus using biometric sensors for controlling access to a wireless communication device
KR20050045773A (ko) 2003-11-12 2005-05-17 (주)버추얼미디어 3차원 얼굴 표현 기능을 갖는 모바일 단말기 상에서의얼굴 인증과 검색 방법 및 장치
JP4441238B2 (ja) 2003-11-18 2010-03-31 株式会社リコー ネットワーク対応周辺装置およびその制御方法
US20050220326A1 (en) * 2004-04-06 2005-10-06 Rf Intelligent Systems, Inc. Mobile identification system and method
CN1866270B (zh) * 2004-05-17 2010-09-08 香港中文大学 基于视频的面部识别方法
WO2005125161A2 (en) * 2004-06-15 2005-12-29 Sony Ericsson Communications Ab Portable communication device with two cameras
US20060013446A1 (en) * 2004-07-16 2006-01-19 Stephens Debra K Mobile communication device with real-time biometric identification
JP4734980B2 (ja) 2005-03-15 2011-07-27 オムロン株式会社 顔認証装置およびその制御方法、顔認証装置を備えた電子機器、顔認証装置制御プログラム、ならびに該プログラムを記録した記録媒体
US20070009139A1 (en) * 2005-07-11 2007-01-11 Agere Systems Inc. Facial recognition device for a handheld electronic device and a method of using the same
JP2007067849A (ja) 2005-08-31 2007-03-15 Canon Inc 画像アーカイブシステム
JP2007135149A (ja) 2005-11-14 2007-05-31 Nec Corp 移動携帯端末
EP1982288A2 (en) * 2006-01-26 2008-10-22 Imprivata, Inc. Systems and methods for multi-factor authentication
CN100410962C (zh) * 2006-09-07 2008-08-13 北京理工大学 一种人脸侧面轮廓和人耳特征相结合的身份识别装置
TW200816068A (en) * 2006-09-27 2008-04-01 Ming-Chih Tsai A transaction payment method by using handheld communication devices
CN101636740A (zh) 2007-03-19 2010-01-27 富士通株式会社 服务控制系统、服务控制方法以及服务控制程序
US8064597B2 (en) * 2007-04-20 2011-11-22 Telefonaktiebolaget Lm Ericsson (Publ) Method and system for mobile device credentialing
JP2009163555A (ja) 2008-01-08 2009-07-23 Omron Corp 顔照合装置
JP5006817B2 (ja) 2008-03-04 2012-08-22 日本電信電話株式会社 認証情報生成システム、認証情報生成方法、クライアント装置及びプログラム
JP2009282598A (ja) 2008-05-20 2009-12-03 Hitachi Maxell Ltd 半導体装置、生体認証装置及び生体認証システム
US8108908B2 (en) * 2008-10-22 2012-01-31 International Business Machines Corporation Security methodology to prevent user from compromising throughput in a highly threaded network on a chip processor
WO2010048760A1 (zh) * 2008-10-31 2010-05-06 中兴通讯股份有限公司 移动终端认证处理方法和装置
US8289130B2 (en) 2009-02-19 2012-10-16 Apple Inc. Systems and methods for identifying unauthorized users of an electronic device
US8996879B2 (en) 2010-12-23 2015-03-31 Intel Corporation User identity attestation in mobile commerce

Also Published As

Publication number Publication date
US20120167188A1 (en) 2012-06-28
JP2014501014A (ja) 2014-01-16
EP2656291A4 (en) 2016-09-21
TW201234198A (en) 2012-08-16
WO2012087708A3 (en) 2012-10-11
CN103270529A (zh) 2013-08-28
EP2656291A2 (en) 2013-10-30
KR101624575B1 (ko) 2016-05-26
TWI633443B (zh) 2018-08-21
JP5701997B2 (ja) 2015-04-15
US8996879B2 (en) 2015-03-31
WO2012087708A2 (en) 2012-06-28
CN103270529B (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
KR101624575B1 (ko) 모바일 상거래에서의 사용자 아이덴티티 증명
JP7308180B2 (ja) 高度な認証技術及びその応用
JP7391860B2 (ja) トランザクション確認及び暗号通貨のためのセキュアな鍵記憶装置の拡張
JP7346426B2 (ja) 検証可能なクレームをバインドするシステム及び方法
EP3332372B1 (en) Apparatus and method for trusted execution environment based secure payment transactions
US10496801B2 (en) System and method for providing an authentication engine in a persistent authentication framework
CN110741370A (zh) 利用用户输入的生物识别认证
US8656455B1 (en) Managing data loss prevention policies
US10148631B1 (en) Systems and methods for preventing session hijacking
KR20160097323A (ko) Nfc 인증 메커니즘
US10841315B2 (en) Enhanced security using wearable device with authentication system
US10037418B2 (en) Pre-boot authentication credential sharing system
US20220255929A1 (en) Systems and methods for preventing unauthorized network access
JP2015517700A (ja) 通信及び操作の認証のための方法及びシステム
US20130198836A1 (en) Facial Recognition Streamlined Login
US11875605B2 (en) User authentication for an information handling system using a secured stylus
CN113544665A (zh) 利用工作证明对资源受限环境中的可信代理的测量的执行
US20220394042A1 (en) Protecting physical locations with continuous multi-factor authentication systems
US11334658B2 (en) Systems and methods for cloud-based continuous multifactor authentication
US20230020445A1 (en) Systems and methods for controlling access to data records
CA3124849A1 (en) Systems and methods for controlling access to data records
WO2022122403A1 (en) User authentication
KR20190116648A (ko) 촬영된 디바이스의 이미지를 활용한 디바이스 인증방법 및 이를 위한 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190429

Year of fee payment: 4