KR20140127303A - 다중 팩터 인증 기관 - Google Patents

다중 팩터 인증 기관 Download PDF

Info

Publication number
KR20140127303A
KR20140127303A KR1020147024797A KR20147024797A KR20140127303A KR 20140127303 A KR20140127303 A KR 20140127303A KR 1020147024797 A KR1020147024797 A KR 1020147024797A KR 20147024797 A KR20147024797 A KR 20147024797A KR 20140127303 A KR20140127303 A KR 20140127303A
Authority
KR
South Korea
Prior art keywords
certificate
factors
factor
digital security
server
Prior art date
Application number
KR1020147024797A
Other languages
English (en)
Inventor
오메르 벤-샬롬
알렉스 나이쉬터트
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20140127303A publication Critical patent/KR20140127303A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Abstract

본 명세서에서는 다중 팩터 디지털 인증서들(multi-factor digital certificates))을 제공하도록 구성되는 인증 기관 서버(certificate authority server)가 개시된다. 프로세서 판독 가능 매체는 복수의 명령어를 포함할 수 있고, 복수의 명령어는 인증 기관의 인증 기관 서버가 프로세서에 의한 명령어들의 실행에 응답하여 복수의 팩터 및 암호 키를 갖는 인증서 요청에 디지털 방식으로 서명함으로써 다중 팩터 디지털 보안 인증서를 제공하기 위한 요청을 수신하는 것을 가능하게 하도록 구성되며, 복수의 팩터 중 제1 팩터는 디바이스의 식별자이고, 복수의 팩터 중 제2 팩터는 디바이스의 사용자의 식별자이다. 명령어들은 또한 인증 기관 서버가 암호 키와 복수의 팩터를 연관시키고, 인증서 요청에 기초하여 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성된다. 다중 팩터 디지털 인증서를 인증 프로세스의 일부로서 사용하여, 복수의 팩터를 암시적으로 결합하는 방법도 개시된다. 다른 실시예들이 설명되고 청구될 수 있다.

Description

다중 팩터 인증 기관{MULTI-FACTOR CERTIFICATE AUTHORITY}
본 발명은 일반적으로 통신 보안의 기술 분야에 관한 것이다. 보다 구체적으로, 본 발명은 다중 팩터 디지털 보안 인증서들을 통해 네트워크 기반 데이터 처리에 있어서 보안 특징들을 향상시키는 것과 관련된다.
본 명세서에서 제공되는 배경 설명은 본 발명의 상황을 일반적으로 제시하기 위한 것이다. 본 명세서에서 달리 지시되지 않는 한, 이 섹션에서 설명되는 내용들은 본원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함되었다고 종래 기술로서 인정되는 것은 아니다.
전자 디바이스들의 수가 계속 증가함에 따라, 전자 디바이스들 사이에 전송되는 데이터의 보안은 계속적인 관심사이다. 결과적으로, 예를 들어 전자 상거래 및 원격 액세스 애플리케이션들에서는 종종 2 팩터 인증이 요구된다. 기존의 접근법들에 따르면, 2 팩터 인증은 통상적으로 개별적으로 수행된다.
예를 들어, 먼저 인증의 제1 팩터를 위해 디지털 인증서들이 사용될 수 있다. 인증 기관이 전자 디바이스와 암호 키 또는 코드의 연관을 재가하기 위하여 전자 디바이스에 대해 디지털 인증서를 발행할 수 있다. 전자 디바이스로부터의 데이터의 수신자들은 디지털 인증서를 이용하여, 데이터를 전송하는 디바이스의 식별자를 검증하고, 데이터가 전송 동안 변경되지 않았음을 검증할 수 있다. 이후에, 예를 들어 데이터베이스를 조회하여 사용자의 식별자 또는 다른 관련 속성들을 검증함으로써 인증의 제2 팩터가 개별적으로 수행될 수 있다.
이것은 현재의 접근법들에서는 특별한 권한 부여 없이도 임의의 유효 디바이스와 임의의 유효 사용자가 전자 상거래 또는 원격 액세스 애플리케이션에서 한 쌍으로 인정된다는 것을 의미한다. 이를 방지하기 위하여, 2개의 팩터 간의 결합이 검사될 수 있다. 그러나, 제1 팩터와 제2 팩터 간의 결합을 검사하는 애플리케이션은 통상적으로 각각의 접속 상에서 수행되어야 하는 다른 검증을 통과해야 한다. 이러한 접근법은 또한 사용자와 디바이스 관계들의 데이터베이스를 필요로 하며, 이는 솔루션에 복잡성을 더하고, 성능 및 비용에 영향을 준다. 2개의 팩터 간의 결합을 검사하지 않는 경우의 위험성으로는, 공격자가 임의의 도난된 사용자 식별자를 이용하여 임의의 도난된 디바이스를 사용하는 것을 가능하게 할 수 있다는 것이다.
2 단계 접근법은 복잡하고 비용이 많이 들기 때문에, 2 팩터 인증에 기초하는 결합된 인증서는 보안 이익이 추가됨에도 불구하고 오늘날의 산업에서는 거의 사용되지 않는다.
본 발명의 실시예들은, 동일한 참조 번호들이 유사한 요소들을 지시하는 첨부 도면들에, 한정이 아니라 예시적으로 도시된다.
도 1은 본 발명의 다양한 실시예들을 실시하는 데 사용하기에 적합한 컴퓨팅 네트워크의 블록도이다.
도 2는 본 발명의 다양한 실시예들을 실시하는 데 사용하기에 적합한 인증서의 부분들을 나타내는 도면이다.
도 3은 본 발명의 방법들의 다양한 실시예들에 따른 도 2의 인증서의 생성을 설명하는 흐름도이다.
도 4는 본 발명의 다양한 실시예들에 따른 다중 팩터 인증 프로세스(multi-factor authentication process)를 설명하는 스윔 레인 도면(swim lane diagram)이다.
도 5는 본 발명의 다양한 실시예들을 실시하는 데 사용하기에 적합한 컴퓨팅 디바이스의 블록도이다.
본 발명의 실시예들은 인증 기관에 의해 다중 팩터 인증서들을 저작하는 것과 관련될 수 있다. 실시예들에서, 다중 팩터 인증서에 대한 요청이 인증 기관 서버에 의해 수신될 수 있다. 인증 기관 서버는 인증 기관과 관련될 수 있으며, 다중 팩터 디지털 인증서들을 저작(author), 발행(issue) 또는 인가(authorize)하도록 구성될 수 있다. 인증서의 하나의 팩터는 인증서와 관련될 수 있는 디바이스의 식별자일 수 있다. 인증서의 다른 하나의 팩터는 인증서와 관련될 수 있는 디바이스의 사용자일 수 있다. 다중 팩터 인증서를 발행함으로써, 인증 기관은 다중 팩터 인증서의 인증 시간이 아니라 제공 시간에 둘 이상의 팩터를 함께 결합할 수 있다. 아래에 더 상세히 설명되는 바와 같이, 디바이스에 의한 다중 팩터 인증서의 이용 가능성 및 이용은 정보에 대한 비인가 액세스의 가능성을 유리하게 감소시킬 수 있다.
일 실시예에 따르면, 컴퓨터 판독 가능 매체는 인증 기관의 인증 기관 서버가 인증 기관 서버의 프로세서에 의한 명령어들의 실행에 응답하여 인증서 요청을 수신하고, 그에 응답하여 다중 팩터 디지털 보안 인증서를 제공하는 것을 가능하게 하도록 구성되는 다수의 명령어를 가질 수 있다. 제공은 인증 기관 서버가 식별된 다수의 식별자 및 암호 키를 가질 수 있는 인증서 요청에 디지털 방식으로 서명하는 것을 포함할 수 있다. 다수의 팩터 중 제1 팩터는 디바이스의 식별자일 수 있고, 다수의 팩터 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 암호 키는 다수의 팩터와 관련될 수 있다. 디지털 보안 인증서 내의 다수의 팩터와 암호 키의 공존은 다수의 팩터와 암호 키를 결합한다.
예시적인 실시예들의 다양한 양태들은 이 분야의 기술자들이 그들의 연구 내용을 이 분야의 다른 기술자들에게 전달하기 위해 일반적으로 사용하는 용어들을 이용하여 설명될 것이다. 그러나, 일부 대안 실시예들은 설명되는 양태들의 부분들을 이용하여 실시될 수 있다는 것이 이 분야의 기술자들에게 명백할 것이다. 설명의 목적을 위해, 예시적인 실시예들의 충분한 이해를 제공하기 위해 특정 숫자들, 재료들 및 구성들이 설명된다. 그러나, 대안 실시예들은 그러한 특정 상세 없이도 실시될 수 있다는 것이 이 분야의 기술자에게 명백할 것이다. 다른 예들에서는, 예시적인 실시예들을 불명확하게 하지 않기 위해 공지 특징들이 생략되거나 간소화된다.
또한, 다양한 동작들이 예시적인 실시예들을 이해하는 데 가장 도움이 되는 방식으로 다수의 개별 동작으로서 차례로 설명되지만, 설명의 순서는 이러한 동작들이 반드시 순서에 의존한다는 것을 암시하는 것으로 해석되지 않아야 한다. 특히, 이러한 동작들은 제시의 순서대로 수행될 필요가 없다.
"일 실시예에서"라는 표현이 반복적으로 사용된다. 이 표현은 일반적으로 동일한 실시예를 지칭하지는 않지만, 동일한 실시예를 지칭할 수도 있다. 용어 "포함하는", "구비하는" 및 "갖는"은 문맥이 달리 지시하지 않는 한은 동의어이다. "A/B"라는 표현은 "A 또는 B"를 의미한다. "A 및/또는 B"라는 표현은 "(A), (B) 또는 (A 및 B)"를 의미한다. "A, B 및 C 중 적어도 하나"라는 표현은 "(A), (B), (C), (A 및 B), (A 및 C), (B 및 C) 또는 (A, B 및 C)"를 의미한다. "(A) B"라는 표현은 "(B) 또는 (A B)"를 의미하는데, 즉 A는 옵션이다.
도 1은 본 발명의 실시예들을 실시하기에 적합한 컴퓨팅 네트워크(100)를 나타낸다. 아래에 더 상세히 설명되는 바와 같이, 컴퓨팅 네트워크(100)는 단일 절차에서 다중 팩터 인증을 가능하게 하기 위해 다중 팩터 디지털 인증서들을 생성하고 사용하도록 구성될 수 있다. 다중 팩터 인증은 컴퓨팅 네트워크(100) 내의 정보 보안을 향상시킬 수 있다. 도시된 바와 같이, 컴퓨팅 네트워크(100)는 네트워킹 패브릭(104)을 통해 서로 결합되는 클라이언트 디바이스(102) 및 서버(106)를 포함할 수 있다.
클라이언트 디바이스(102)는 사용자와 인터페이스하도록 구성되는 전자 디바이스일 수 있다. 클라이언트 디바이스(102)는 개인용 컴퓨터, 랩탑, 컴퓨팅 태블릿, 셀폰, 스마트폰, 개인용 휴대 단말기, 게임 콘솔, 텔레비전, 차량의 컴퓨팅 시스템 등일 수 있다. 사용자는 클라이언트 디바이스(102)와 상호작용하여 서버(106)로부터 정보를 요청할 수 있다. 예컨대, 클라이언트 디바이스(102)는 스마트폰일 수 있으며, 서버(106)는 사용자가 구매를 행할 수 있는 전자 상거래 웹사이트를 호스트할 수 있다.
클라이언트 디바이스(102)는 서버(106)로 하여금 클라이언트 디바이스(102)로부터 개시되는 트랜잭션들이 다중 팩터 인증을 이용하여 수행될 것을 요구할 수 있게 함으로써 클라이언트 디바이스(102)와 서버(106) 간의 트랜잭션들의 보안을 향상시키도록 구성될 수 있다. 따라서, 실시예들에서, 클라이언트 디바이스(102)는 다중 팩터 디지털 보안 인증서(108)를 포함할 수 있다. 다중 팩터 인증서(108)는 클라이언트 디바이스(102)의 식별자와 같은 제1 팩터와 사용자의 식별자와 같은 제2 팩터를 결합하거나 연관시키는 디지털 파일일 수 있다. 다중 팩터 인증서(108)는 제1 팩터 및 제2 팩터를 암호화 키 또는 코드와 연관시킬 수도 있다. 실시예들에서, 다중 팩터 인증서(108)는 공개 키 기반구조(public key infrastructure; PKI)에 기초할 수 있으며, 인증 기관(110)에 의해 발행되었을 수 있다. 다중 팩터 디지털 인증서들의 발행을 둘러싼 상세들은 도 3을 참조하여 나중에 더 설명될 것이다.
실시예들에서, 클라이언트 디바이스(102)는 서버(106)로부터의 정보 또는 서비스들에 대한 요청들을 전송하는 동안 다중 팩터 인증서(108)를 서버(106)로 전송할 수 있다. 게다가, 클라이언트 디바이스(102)는 다중 팩터 인증서(108)와 관련된 암호 키 및/또는 코드를 이용하여 요청의 전부 또는 일부를 암호화할 수 있다. 클라이언트 디바이스(102)는, 특정 디바이스 기반 인가가 검증될 때까지 다중 팩터 인증서(108)의 사용 또는 전송을 금지하도록 더 구성될 수 있다. 예를 들어, 다중 팩터 인증서(108)가 userX_at_addressY로서 식별되는 제2 (사용자 식별자) 팩터를 deviceP_at_addressQ로서 식별되는 클라이언트 디바이스(102)에 결합하는 경우, 클라이언트 디바이스(102)는 클라이언트 디바이스(102)가 사용자명 userX_at_addressY 및 사용자명과 관련된 액세스 제어(예로서, 패스워드)를 이용하여 액세스될 때까지 다중 팩터 인증서(108)의 사용 또는 전송을 금지할 수 있다. 이러한 인증서 제어의 방식을 통해, 제2 팩터에 의해 식별되는 사용자와 관련된 사용자명 및 액세스 제어는 물론 클라이언트 디바이스(102)에 대한 액세스를 획득할 수 있는 도둑 또는 공격자에 대해 다중 팩터 인증서(108)의 비인가 사용이 제한될 수 있다.
네트워킹 패브릭(104)은 클라이언트 디바이스(102)를 서버(106)에 통신 결합할 수 있다. 네트워킹 패브릭(104)은 클라이언트 디바이스(102)와 서버(106) 사이의 통신을 가능하게 하는 다양한 소프트웨어, 펌웨어 및 하드웨어를 포함할 수 있다. 예를 들어, 네트워킹 패브릭(104)은 네트워크 스위치, 전기 케이블, 광섬유 케이블, 무선 송신기 및 수신기, 인터넷 서비스 제공자 서버, 도메인명 서비스 서버 등을 포함할 수 있다.
서버(106)는 클라이언트 디바이스(102)로부터 수신되는 요청들, 액세스들 또는 트랜잭션들에 대한 다중 팩터 인증을 요구하도록 구성될 수 있다. 전술한 바와 같이, 서버(106)는 클라이언트 디바이스(102)와 접속을 설정하여, 서버(106)에 저장된 정보에 대한 원격 액세스를 클라이언트 디바이스(102)에 제공하거나, 서버(106)와의 트랜잭션에 참여하게 하도록 구성될 수 있다. 실시예들에서, 서버(106)는 전자 상거래 서비스들을 클라이언트 디바이스(102)에 제공하도록 구성될 수 있다. 예를 들어, 서버(106)는 eBay® 또는 Amazon®과 같은 인터넷 상점을 호스트할 수 있다. 대안으로서, 서버(106)는 클라이언트 디바이스(102)와 접속을 설정하여, 서버 상의 정보에 대한 원격 액세스를 클라이언트 디바이스(102)에 제공하거나, 서버(106)에 의해 액세스가 조절 또는 게이트(gate)되는 서버와의 트랜잭션에 참여하게 하도록 구성될 수 있다. 예컨대, 이러한 실시예들에서, 서버(106)는 CISCO® 시스템들, CA의 Juniper® 네트워크들 또는 WA의 F5 네트워크들로부터의 액세스 서버일 수 있다.
서버(106)는 다중 팩터 인증서 인증 논리(112)를 포함할 수 있다. 다중 팩터 인증서 인증 논리(112)는 서버(106)가 클라이언트 디바이스(102)로부터 수신될 수 있는 정보 및/또는 요청들의 신뢰성을 검증하는 것을 가능하게 할 수 있다. 예를 들어, 다중 팩터 인증서 인증 논리(112)는 서버(106)가 다중 팩터 인증서(108)를 이용하여 클라이언트 디바이스(102)로부터의 정보들 및/또는 요청들을 인증하게 할 수 있다. 게다가, 다중 팩터 인증서 인증 논리(112)는 서버(106)가 인증 기관(110)에 조회하여 다중 팩터 인증서(108)의 합법성을 검증하는 것을 가능하게 할 수 있다. 실시예들에서, 인증 기관(110)은 클라이언트 디바이스 및 사용자의 식별자들을 결합하는 더 일찍 발행된 다중 팩터 인증서(108)를 구비할 수 있다. 대안으로서, 다중 팩터 인증서 인증 논리(112)는 서버(106)가 등록 기관 서버(114)에 조회하여 다중 팩터 인증서(108)의 합법성을 검증하는 것을 가능하게 할 수 있다. 다중 팩터 인증서 인증 논리(112)는 인증 기관 서버(110) 및 등록 기관 서버(114) 중 하나 이상이 다중 팩터 인증서(108) 내에 포함된 정보를 검증하는 데 실패하는 경우에 서버(106)가 클라이언트 디바이스(102)에서 비롯되는 정보에 대한 요청들을 거절하는 것을 가능하게 할 수 있다.
도 2는 본 발명의 다양한 실시예들을 실시하는 데 사용하기에 적합한 인증서를 나타내는 다이얼로그 박스(200)를 도시한다. 실시예들에서, 다이얼로그 박스(200)는 다중 팩터 인증서(108)에 관한 정보를 포함할 수 있다. 구체적으로, 다이얼로그 박스(200)는 필드명 "Subject Alternative Name"에 "Other Name" 값을 할당함으로써 다중 팩터 인증서(108) 내에 다수의 팩터가 할당, 지정 또는 지시될 수 있다는 것을 표시할 수 있다. 구체적으로, "Other Name" 값은 디바이스 식별자, 디바이스명 또는 도메인명 서비스(DNS) 이름을 갖는 제1 팩터를 할당받을 수 있다. "Other Name" 값은 사용자명, 사용자 식별자, 원이름(principal name) 또는 이메일 주소를 갖는 제2 팩터를 할당받을 수 있다. 일 실시예에 따르면, 디바이스명은 deviceP_at_addressQ일 수 있고, 사용자명은 userX_at_addressY일 수 있다.
다른 실시예들에 따르면, 다중 팩터 인증서(108)는 인증서 내의 적어도 자신들의 공존으로 인해 암시적으로 결합되는 셋 이상의 팩터를 포함할 수 있다. 예를 들어, 다중 팩터 인증서(108)는 동일한 암호화 키 또는 코드, 예를 들어 비공개/공개 키 쌍을 공유하는 다수의 디바이스를 포함할 수 있다. 다른 예로서, 다중 팩터 인증서(108)는 단일 디바이스와 관련된 다수의 사용자명을 포함할 수 있다. 또 다른 예로서, 다중 팩터 인증서(108)는 특정 도메인명을 갖는 임의의 이메일 주소에 대해 유효하도록 생성될 수 있다.
다중 팩터 인증서(108)는 사용자의 식별자 또는 디바이스의 식별자가 아닌 다른 팩터들도 포함할 수 있다. 예를 들어, 다중 팩터 인증서(108)의 하나의 팩터는 다중 팩터 인증서(108)가 하루 중 제한된 시간들 동안, 예로서 오전 9시부터 오후 5시까지 유효하다는 것일 수 있으며, 다른 예로서, 다중 팩터 인증서(108)의 하나의 팩터는 다중 팩터 인증서(108)가 제한된 지리 위치들, 예로서 프랑스 파리 또는 미국 캘리포니아 산타클라라로부터 최초로 전송될 때 유효하다는 것일 수 있다. 따라서, 다중 팩터 인증서(108)는 전자 데이터 또는 정보의 안전한 송신 및 수신 동안의 고려를 위해 여러 팩터, 특성 또는 기준을 함께 연관시킬 수 있다.
도 3은 본 발명의 일 실시예에 따른 다중 팩터 인증서 생성 도면(300)을 나타낸다.
302에서, 컴퓨팅 디바이스(308)가 사용자의 증명서(credential), 클라이언트 디바이스의 증명서, 및 공개 키를 수신할 수 있다. 컴퓨팅 디바이스(308)는 사용자의 증명서, 클라이언트의 증명서, 및 공개 키를 다중 팩터 인증서 요청(304) 내에 입력할 수 있다. 컴퓨팅 디바이스(308)는 예를 들어 전술한 클라이언트 디바이스(102)일 수 있다. 전술한 바와 같이, 사용자 증명서들은 사용자의 식별자, 클라이언트 디바이스(102)에 로그인하기 위한 사용자명 및/또는 사용자의 이메일 주소일 수 있다. 클라이언트 디바이스(102)의 증명서는 네트워크 또는 인터넷 접속을 통해 액세스 가능할 수 있는 바와 같은 클라이언트 디바이스(102)에 할당된 임의의 이름 또는 주소일 수 있다. 공개 키는 PKI 비공개/공개 키 쌍의 공개 키일 수 있다. 대안으로서, 공개 키는 클라이언트 디바이스(102)에 의해 암호화된 정보의 해독을 가능하게 하는 데 유용한 다른 암호 키 또는 코드일 수 있다. 공개 키는 클라이언트 디바이스(102)에 의한 데이터 요청들 또는 전송들 동안 인증서와 함께 유포될 수 있다.
306에서, 컴퓨팅 디바이스(308)는 승인 및 발행을 위해 다중 팩터 인증서 요청(304)을 인증 기관 서버(110)에 제출할 수 있다.
310에서, 인증 기관 서버(110)는 다중 팩터 인증서 요청(304)을 수신할 수 있다. 인증 기관 서버(110)는 이메일 서버들 및/또는 공개 HTTPS 서버들에 대한 디지털 인증서들을 발행하는 상거래 인증 기관에 속할 수 있다. 인증 기관 서버(110)는 비공개 인증 기관의 비즈니스 내에서 사용하기 위한 반도체 칩 제조자와 같은 비공개 인증 기관에 속할 수 있다. 인증 기관 서버(110)는 사용자 증명서 및 디바이스 증명서를 검증할 수 있다.
312에서, 활성 디렉토리 서버(314)가 인증 기관 서버(110)로부터 요청들을 수신하여, 인증서 요청(304)으로부터의 사용자 증명서 및 디바이스 증명서를 검증할 수 있다. 활성 디렉토리 서버(314)는 이메일을 사용자 증명서 및/또는 디바이스 증명서에서 식별될 수 있는 하나 이상의 도메인명으로 전송함으로써 증명서를 검증할 수 있다.
316에서, 인증 기관 서버(110)는 클라이언트 디바이스(102)에 대해 다중 팩터 인증서(108)를 발행할 수 있다. 인증 기관 서버(110)는 다중 팩터 인증서(108)에 일련 번호를 할당하고 기록함으로써 다중 팩터 인증서(108)를 발행할 수 있다. 인증 기관 서버(110)는 또한 인증 기관이 인증서 요청(304)의 신청자의 증명서를 검증하였다는 것을 공중에게 지시하는 인증서 발행 기관의 서명을 다중 팩터 인증서(108)에 추가할 수 있다.
다중 팩터 인증서(108)의 수신시에, 클라이언트 디바이스(102)는 다중 팩터 인증서(108)를 비휘발성 메모리 내에 저장할 수 있다. 비휘발성 메모리는 보호될 수 있다. 일 실시예에 따르면, 클라이언트 디바이스(102)는 누군가 또는 디바이스가 클라이언트 디바이스(102)로부터 다중 팩터 인증서(108)를 복사하는 것을 방지하는 방식으로 다중 팩터 인증서(108)를 저장할 수 있다.
도 4는 다수의 식별자를 포함하는 다수의 팩터를 이용하여 다중 팩터 인증서를 인증하기 위한 검증 시퀀스(400)를 나타낸다.
402에서, 클라이언트 디바이스(102)는 서버(106)와의 통신을 개시할 수 있다. 일 실시예에 따르면, 클라이언트 디바이스(102)는 보안 소켓 계층(secure socket layer; SSL) 핸드쉐이크를 전송함으로써 서버(106)와의 통신을 개시할 수 있다. 다른 실시예에 따르면, 클라이언트 디바이스(102)는 패킷 데이터 프로토콜(packet data protocol; PDP)을 이용하여 서버(106)와 통신할 수 있다.
404에서, 서버(106)는 서버 식별 인증서를 클라이언트 디바이스(102)에 제공할 수 있다. 일 실시예에 따르면, 서버(106)는 게이트웨이(GW) 서버일 수 있다.
406에서, 클라이언트 디바이스(102)는 다중 팩터 클라이언트 식별 인증서를 서버(106)에 제공할 수 있다. 다중 팩터 클라이언트 식별 인증서는 다수의 식별자를 포함하는 다수의 팩터를 포함할 수 있다. 실시예들에서, 클라이언트 디바이스(102)에 의해 제공되는 다중 팩터 클라이언트 식별 인증서는 다중 팩터 인증서(108)일 수 있다. 실시예들에서, 클라이언트 디바이스(102)가 다중 팩터 인증서를 서버(106)에 제공할 때, 클라이언트 디바이스(102)는 또한 PKI 공개 키와 같은 암호 키와 둘 다 관련되는 사용자의 식별자 및 디바이스의 식별자를 제공할 수 있다. 더구나, 클라이언트 디바이스(102)는 404에서 서버(106)에 의해 제공된 인증서를 이용하여 다중 팩터 인증서 및/또는 추가 정보를 암호화할 수 있다.
408에서, 서버(106)는 클라이언트 디바이스(102)로부터 수신된 다중 팩터 인증서를 검증할 수 있다. 예를 들어, 서버(106)는 다중 팩터 인증서를 발행한 인증 기관에 조회하여, 다중 팩터 인증서의 일련 번호가 인증 기관에 의해 발행되었음을 검증할 수 있다. 다른 예로서, 서버(106)는 암호화 코드, 해독 코드, 해시 함수 등을 이용하여, 클라이언트 디바이스(102)로부터 수신된 메시지의 다른 내용들을 검증할 수 있다.
이롭게도, 서버(106)는 다중 팩터 인증서에 포함된 인증 기관의 디지털 서명에 의존하여, 클라이언트 디바이스(102)와 관련된 다수의 팩터 또는 다수의 식별자가 인증 기관에 의해 인증 또는 재가되었음을 신뢰할 수 있다. 서버(106)는 또한 인증 기관의 디지털 서명에 의존하여, 다수의 팩터 또는 다수의 식별자가 클라이언트 디바이스(102)로부터 전송된 암호 키 또는 코드와 연관되도록 인가된 것을 신뢰할 수 있다. 예를 들어, 서버(106)는 2 팩터 인증으로서 다중 팩터 인증서에서의 특정 사용자명과 클라이언트 디바이스(102)의 결합에 의존할 수 있다. 전술한 바와 같이, 일부 전자 상거래 및 원격 액세스 애플리케이션들은 2 팩터 인증을 필요로 하지만, 인증 프로세스 동안의 추가적인 데이터베이스 조회들에 의존하여, 사용자명 또는 다른 사용자 식별자가 특정 디바이스 식별자와 함께 사용될 수 있음을 검증한다. 본 발명의 일 실시예에 따르면, 2 팩터 또는 다중 팩터 인증은 추가적인 디바이스들에 대한 조회를 행하지 않고서 인증 디바이스에 의해 달성될 수 있다. 이러한 프로세스는 외부 데이터베이스에 대해 사용자와 디바이스 결합을 명시적으로 검사할 필요가 없는데, 그 이유는 인증서가 사용자에게 할당되었고, 사용자가 인증서를 사용할 수 있는 승인된 디바이스의 식별자를 포함한다는 간단한 사실에 의해 그러한 결합이 암시적으로 이용 가능하기 때문이다. 일 실시예에 따르면, 클라이언트 디바이스(102)는 클라이언트 디바이스(102)에 로그인한 사용자의 식별자가 적어도 다중 팩터 인증서의 팩터와 매칭되지 않는 한 인증서의 사용을 금지할 수 있다.
옵션으로서, 410에서, 서버(106)는 인가 디바이스(412)에 조회하여, 클라이언트 디바이스(102)를 인가할 수 있다. 일 실시예에 따르면, 서버(106)는 경량 디렉토리 액세스 프로토콜(light weight directory access protocol; LDAP) 조회를 수행하여, 클라이언트 디바이스(102)를 인가할 수 있다. 인가 디바이스(412)는 인증 기관 서버, 등록 기관 서버, 또는 디지털 인증서에서 식별되는 디바이스의 식별자를 검증하도록 구성되는 다른 컴퓨팅 디바이스일 수 있다.
414에서, 인가 디바이스(412)는 클라이언트 디바이스(102)에 대한 추가 정보를 이용하여 옵션인 서버(106)로부터의 조회에 응답할 수 있다. 인가 디바이스(412)는 탐색표, 데이터베이스, 또는 데이터를 구성하고 저장하도록 구성되는 다른 전자 구조를 통해 클라이언트 디바이스(102)의 식별자를 사용할 수 있다. 일 실시예에 따르면, 인가 디바이스(412)는 클라이언트 디바이스(102)에 의해 사용되고 있는 다중 팩터 인증서를 발행한 인증 기관 서버(110)일 수 있다.
옵션으로서, 416에서, 서버(106)는 인가 디바이스(412)에 조회하여 사용자의 식별자를 검증할 수 있다. 일 실시예에 따르면, 서버(106)는 인가 디바이스(412)의 LDAP 조회를 수행하여 사용자의 액세스 권리들을 검증한다.
418에서, 인가 디바이스(412)는 사용자에 대한 추가 정보를 이용하여 옵션인 서버(106)로부터의 조회에 응답할 수 있다.
420에서, 서버(106)는 다중 팩터 인증서가 검증 및/또는 인증되었다는 것을 지시하는 핸드쉐이크를 이용하여 클라이언트 디바이스(102)에 응답할 수 있다. 일 실시예에 따르면, 서버(106)는 클라이언트 디바이스(102)에 응답하여 SSL 핸드쉐이크를 진행할 수 있다.
결과적으로, 검증 시퀀스(400)는 다중 팩터 인증서들이 클라이언트 디바이스에 의해 행해진 조회들이 인가되었다는 더 높은 레벨의 신뢰를 서버에 제공한다는 것을 보여준다. 일 실시예에 따르면, 다중 팩터 디지털 인증서를 인가 프로세스의 일부로서 사용하는 개시된 방법은 복수의 팩터 사이의 관계들의 정확성에 대한 외부 검사를 방지할 수 있다.
도 5는 본 발명의 다양한 실시예들에 따른, 클라이언트 디바이스(102), 서버(106), 인증 기관 서버(110) 및/또는 등록 기관 서버(114)로서 사용하기에 적합한 예시적인 컴퓨팅 디바이스를 나타낸다. 도시된 바와 같이, 컴퓨팅 디바이스(500)는 다수의 프로세서 또는 프로세서 코어(502), 프로세서 판독 가능 및 프로세서 실행 가능 명령어들(506)을 내부에 저장하는 시스템 메모리(504) 및 통신 인터페이스(508)를 포함할 수 있다. 청구항들을 포함하는 본원의 목적을 위해, 용어 "프로세서" 및 "프로세서 코어들"은 문맥이 명확히 달리 요구하지 않는 한은 동의어로서 간주될 수 있다.
대용량 저장 장치(510)는 유형의 비일시적 컴퓨터 판독 가능 저장 디바이스(디스켓, 하드 드라이브, 컴팩트 디스크 판독 전용 메모리(CDROM), 하드웨어 저장 유닛 등)를 포함할 수 있다. 대용량 저장 장치(510)는 프로세서 코어들(502)로 하여금 도 3 및 4에 도시된 프로세스들 또는 그들의 일부를 수행하게 하기 위한 명령어들(516)을 포함할 수 있다. 컴퓨팅 디바이스(500)는 (키보드, 디스플레이 스크린, 커서 제어 등과 같은) 입/출력 디바이스들(512)도 포함할 수 있다.
도 5의 다양한 요소들은 하나 이상의 버스를 나타내는 시스템 버스(514)를 통해 서로 결합될 수 있다. 다수의 버스의 경우, 이들은 하나 이상의 버스 브리지(도시되지 않음)에 의해 브리지될 수 있다. 데이터는 프로세서들(504)을 통해 시스템 버스(514)를 통해 전송될 수 있다.
시스템 메모리(504)는 본 명세서에서 공동으로 506으로 지시되는 하나 이상의 운영 체제, 펌웨어 모듈 또는 드라이버, 애플리케이션 등을 구현하는 프로그래밍 명령어들의 작업 사본 및 영구 사본을 저장하는 데 사용될 수 있다. 특히, 모듈들 또는 드라이버들 중 일부는 도 3 및 4의 프로세스들(또는 그들의 부분들)을 실행하도록 구성될 수 있다. 프로그래밍 명령어들의 영구 사본은 예를 들어 컴팩트 디스크(CD)와 같은 배포 매체(도시되지 않음)를 통해 또는 (배포 서버(도시되지 않음)로부터의) 통신 인터페이스(508)를 통해 공장에서 또는 현장에서 영구 저장 장치 내에 배치될 수 있다. 일 실시예에 따르면, 명령어들(506) 및 프로그래밍 명령어들(516)은 명령어들의 중복 세트들을 포함한다.
다양한 실시예들에 따르면, 도시된 컴퓨팅 디바이스(500)의 컴포넌트들 중 하나 이상 및/또는 다른 요소(들)는 키보드, LCD 스크린, 비휘발성 메모리 포트, 다수의 안테나, 그래픽 프로세서, 애플리케이션 프로세서, 스피커들, 또는 카메라를 포함하는 다른 관련 이동 디바이스 요소들을 포함할 수 있다.
일 실시예에 따르면, 컴퓨팅 디바이스(500)의 컴포넌트들은 능력들이 확장될 수 있으며, 인증 기관 서버(110)로서 사용되도록 구성될 수 있다. 전술한 바와 같이, 인증 기관 서버(110)는 도 3과 관련하여 설명된 프로세스들에 따라 다중 팩터 디지털 보안 인증서들을 발행하도록 구성될 수 있다. 다른 실시예에 따르면, 컴퓨팅 디바이스(500)의 컴포넌트들은 능력들이 확장될 수 있고, 클라이언트 디바이스(102)로서 사용되도록 구성될 수 있다. 전술한 바와 같이, 클라이언트 디바이스(102)는 도 1, 2, 3 및/또는 4의 실시예들에 따라 다중 팩터 디지털 보안 인증서를 저장하고 사용하도록 구성될 수 있다. 다른 실시예에 따르면, 컴퓨팅 디바이스(500)의 컴포넌트들은 서버(106)로서 사용되도록 구성될 수 있다. 전술한 바와 같이, 서버(106)는 다중 팩터 디지털 보안 인증서들을 수신 및 인증 또는 검증하도록 구성될 수 있다.
컴퓨팅 디바이스(500)의 다양한 요소들의 나머지 구성은 공지되어 있으며, 따라서 더 상세히 설명되지 않을 것이다.
전술한 실시예들 각각은 위에서 개시된 각각의 다른 실시예의 전부 또는 일부와 완전히 또는 부분적으로 결합되어, 추가적인 실시예들을 생성할 수 있다.
본 발명의 실시예들의 추가 예들이 아래에서 설명된다.
일 실시예에 따르면, 컴퓨터 판독 가능 매체는 다수의 명령어를 가질 수 있으며, 이 명령어들은 인증 기관의 인증 기관 서버가 프로세서에 의한 명령어들의 실행에 응답하여 인증서 요청을 수신하고, 그에 응답하여 다중 팩터 디지털 보안 인증서를 제공하는 것을 가능하게 하도록 구성된다. 다중 팩터 디지털 보안 인증서의 제공은 다수의 팩터 및 암호 키를 갖는 인증서 요청에 디지털 방식으로 서명하는 것을 포함할 수 있다. 다수의 팩터 중 제1 팩터는 디바이스의 식별자일 수 있고, 다수의 팩터 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 다수의 명령어는 또한 인증 기관 서버가 암호 키와 복수의 팩터를 연관시키고, 인증서 요청에 기초하여 디지털 보안 인증서를 발행하는 것을 가능하게 할 수 있다. 다수의 팩터 중 적어도 2개는 디지털 보안 인증서를 통해 디바이스와 연관될 사용자들의 식별자들일 수 있다. 다수의 팩터 중 적어도 2개는 디바이스들의 식별자들일 수 있으며, 디바이스들 각각은 각각의 다른 디바이스와 다를 수 있다. 사용자의 식별자는 사용자명 및 패스워드를 포함할 수 있다. 사용자 식별자는 이메일 주소일 수 있다. 다수의 명령어들은 인증 기관 서버가 인증 기관의 디지털 서명을 이용하여 디지털 보안 인증서에 디지털 방식으로 서명하는 것을 가능하게 하기 위한 명령어들을 더 포함할 수 있다. 디지털 서명은 인증 기관의 암호 키에 기초할 수 있다. 인증 기관 서버가 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성될 수 있는 복수의 명령어는 인증서가 디바이스에 의해 저장되는 것을 가능하게 하기 위해 인증 기관 서버가 인증서를 전송하는 것을 가능하게 하기 위한 명령어들을 더 포함할 수 있다.
다른 실시예에 따르면, 방법은 인증 기관 서버에 의해 인증서 요청을 수신하고, 그에 응답하여 다중 팩터 디지털 보안 인증서를 제공하는 단계를 포함할 수 있다. 다중 팩터 디지털 보안 인증서의 제공은 다수의 팩터 및 암호 키를 갖는 인증서 요청에 디지털 방식으로 서명하는 것을 포함할 수 있다. 다수의 팩터 중 제1 팩터는 디바이스의 식별자일 수 있고, 다수의 팩터 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 방법은 또한 인증 기관 서버에 의해, 암호 키와 복수의 팩터를 연관시키고, 인증 기관 서버에 의해, 인증서 요청에 기초하여 디지털 보안 인증서를 발행하는 단계를 포함할 수 있다. 디지털 보안 인증서를 발행하는 단계는 인증 기관의 디지털 서명을 이용하여 디지털 보안 인증서에 디지털 방식으로 서명하는 단계를 포함할 수 있으며, 디지털 서명은 인증 기관의 암호 키에 기초할 수 있다. 디바이스는 랩탑, 넷북, 컴퓨팅 태블릿, 이동 전화 및 개인용 휴대 단말기 중 하나일 수 있다. 다수의 팩터는 사용자들의 적어도 2개의 식별자를 포함할 수 있고, 사용자들 각각은 각각의 다른 사용자와 상이할 수 있다.
다른 실시예에 따르면, 장치는 네트워크 인터페이스 및 네트워크 인터페이스에 통신 결합될 수 있는 프로세서를 포함할 수 있다. 프로세서는 인증서 요청을 수신하고, 그에 응답하여 다중 팩터 디지털 보안 인증서를 제공하도록 구성될 수 있다. 다중 팩터 디지털 보안 인증서의 제공은 다수의 팩터 및 암호 키를 갖는 인증서 요청에 디지털 방식으로 서명하는 것을 포함할 수 있다. 다수의 팩터 중 제1 팩터는 디바이스의 식별자일 수 있고, 다수의 팩터 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 프로세서는 또한 암호 키와 복수의 팩터를 연관시키고, 인증서 요청에 기초하여 디지털 보안 인증서를 발행하도록 구성될 수 있다. 다수의 팩터는 사용자들의 적어도 2개의 식별자를 포함할 수 있으며, 프로세서는 사용자들의 적어도 2개의 식별자를 디바이스와 연관시키도록 더 구성될 수 있다.
다른 실시예에 따르면, 컴퓨터 판독 가능 매체는 다수의 명령어를 포함할 수 있으며, 이 명령어들은 인증 기관의 인증 기관 서버가 인증 기관 서버의 프로세서에 의한 명령어들의 실행에 응답하여 다중 팩터 디지털 보안 인증서를 제공하기 위한 인증서 요청을 수신하는 것을 가능하게 하도록 구성된다. 인증서 요청은 다수의 팩터 및 암호 키를 포함할 수 있으며, 팩터들 중 제1 팩터는 디바이스의 식별자일 수 있다. 팩터들 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 명령어들은 인증 기관의 인증 기관 서버가 인증서 요청에 디지털 방식으로 서명하고, 암호 키를 팩터들과 연관시켜 디지털 보안 인증서를 생성하는 것을 가능하게 하도록 구성될 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로 그리고 암호 키에 암시적으로 결합할 수 있다. 인증 기관은 디지털 보안 인증서를 발행하여 인증서 요청에 응답할 수 있다. 팩터들은 디지털 보안 인증서를 통해 디바이스와 연관될 다른 사용자의 식별자인 제3 팩터를 더 포함할 수 있다. 팩터들은 디지털 보안 인증서를 통해 사용자와 연관될 다른 디바이스의 식별자일 수 있는 제3 팩터를 더 포함할 수 있다. 사용자의 식별자는 사용자명 및 패스워드를 포함할 수 있다. 사용자 식별자는 이메일 주소일 수 있다. 명령어들은 인증 기관 서버가 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성될 수 있으며, 인증 기관 서버가 인증 기관의 디지털 서명을 이용하여 인증서 요청에 디지털 방식으로 서명하여 디지털 보안 인증서를 생성하는 것을 가능하게 하기 위한 명령어들을 더 포함할 수 있다. 디지털 서명은 인증 기관의 암호 키에 기초할 수 있다. 명령어들은 인증 기관 서버가 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성될 수 있으며, 인증 기관 서버가 디지털 보안 인증서를 디바이스로 전송하는 것을 가능하게 하여, 디지털 보안 인증서가 디바이스에 의해 저장 및 사용되는 것을 가능하게 하기 위한 명령어들을 더 포함할 수 있다.
다른 실시예에 따르면, 방법은 인증 기관 서버에 의해, 다중 팩터 디지털 보안 인증서를 제공하기 위한 인증서 요청을 수신하는 단계를 포함할 수 있다. 인증서 요청은 다수의 팩터 및 암호 키를 포함할 수 있다. 팩터들 중 제1 팩터는 디바이스의 식별자일 수 있으며, 팩터들 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 방법은 인증 기관 서버에 의해, 인증서 요청에 디지털 방식으로 서명하고, 암호 키를 팩터들과 연관시켜 디지털 보안 인증서를 생성하는 단계를 포함할 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로 그리고 암호 키에 암시적으로 결합할 수 있다. 방법은 인증 기관 서버에 의해, 디지털 보안 인증서를 발행하여 인증서 요청에 응답하는 단계를 포함할 수 있다. 디지털 보안 인증서를 발행하는 단계는 인증 기관의 디지털 서명을 이용하여 디지털 보안 인증서에 디지털 방식으로 서명하는 단계를 포함할 수 있다. 디지털 서명은 인증 기관의 암호 키에 기초할 수 있다. 디바이스는 랩탑, 넷북, 이동 전화, 데스크탑 컴퓨터, 스마트폰 및 개인용 휴대 단말기 중 하나일 수 있다. 팩터들은 다른 사용자의 식별자인 제3 팩터를 더 포함할 수 있다.
다른 실시예에 따르면, 장치는 네트워크 인터페이스; 및 네트워크 인터페이스에 통신 결합된 프로세서를 포함할 수 있다. 프로세서는 다중 팩터 디지털 보안 인증서를 제공하기 위한 인증서 요청을 수신하도록 구성될 수 있다. 인증서 요청은 다수의 팩터 및 암호 키를 포함할 수 있다. 팩터들 중 제1 팩터는 디바이스의 식별자일 수 있고, 팩터들 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 프로세서는 인증서 요청에 디지털 방식으로 서명하고, 암호 키를 팩터들과 연관시켜 디지털 보안 인증서를 생성하도록 구성될 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로, 그리고 암호 키에 암시적으로 결합할 수 있다. 프로세서는 디지털 보안 인증서를 발행하여 인증서 요청에 응답하도록 구성될 수 있다. 팩터들은 다른 사용자의 식별자인 제3 팩터를 더 포함할 수 있으며, 프로세서는 사용자들의 식별자들과 디바이스를 연관시키도록 더 구성될 수 있다.
일 실시예에 따르면, 컴퓨터 판독 가능 매체는 다수의 명령어를 가질 수 있으며, 명령어들은 서버가 서버의 프로세서에 의한 명령어들의 실행에 응답하여 다중 팩터 디지털 보안 인증서를 수신하는 것을 가능하게 하도록 구성된다. 다중 팩터 디지털 보안 인증서는 다수의 팩터, 암호 키 및 인증 기관의 서명을 포함할 수 있다. 팩터들 중 제1 팩터는 디바이스의 식별자일 수 있고, 팩터들 중 제2 팩터는 디바이스의 사용자의 식별자일 수 있다. 명령어들은 서버가 다중 팩터 디지털 보안 인증서를 인증하는 것을 가능하게 할 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로, 그리고 암호 키에 암시적으로 결합할 수 있다. 명령어들은 서버가 암호 키에 기초하여 디바이스와의 접속을 설정하는 것을 가능하게 할 수 있다. 인증은 인증 기관의 식별자가 서버에 의해 액세스될 수 있는 인증 기관들의 신뢰성 있는 리스트 내에 존재하는 것을 검증하는 단계를 포함할 수 있다. 인증은 디바이스가 암호 키에 대응하는 비공개 키를 소유하는 것을 검증하는 단계를 포함할 수 있다. 암호 키는 공개 키일 수 있다. 서버는 콘텐츠 서버에 대한 액세스를 제어하도록 구성되는 게이트웨이 서버일 수 있다.
일 실시예에 따르면, 컴퓨터 판독 가능 매체는 다수의 명령어를 포함할 수 있으며, 명령어들은 전자 디바이스가 전자 디바이스의 프로세서에 의한 명령어들의 실행에 응답하여 사용자에 의한 다중 팩터 디지털 보안 인증서의 사용을 인가하는 것을 가능하게 하도록 구성된다. 다중 팩터 디지털 보안 인증서는 다수의 팩터, 암호 키 및 인증 기관의 서명을 포함할 수 있다. 팩터들 중 제1 팩터는 전자 디바이스의 식별자일 수 있고, 팩터들 중 제2 팩터는 전자 디바이스의 사용자의 식별자일 수 있다. 명령어들은 전자 디바이스가 전자 디바이스와 서버 간의 안전한 접속을 설정하기 위해 다중 팩터 디지털 보안 인증서를 서버로 전송하는 것을 가능하게 할 수 있다. 명령어들은 다중 팩터 디지털 보안 인증서의 사용이 전자 디바이스에 의해 인가되는 경우에 전자 디바이스가 다중 팩터 디지털 보안 인증서를 전송하는 것을 가능하게 하도록 구성될 수 있다. 인증은 팩터들 중 제2 팩터가 전자 디바이스에 대한 액세스 제어와 매칭되는 것을 검증하는 것을 포함할 수 있다. 전자 디바이스는 스마트폰, 개인용 컴퓨터, 컴퓨팅 태블릿, 개인용 휴대 단말기, 넷북, 랩탑 및 게임 콘솔 중 하나일 수 있다.
다른 실시예에 따르면, 방법은 전자 디바이스를 이용하여, 사용자에 의한 다중 팩터 디지털 보안 인증서의 사용을 인가하는 단계를 포함할 수 있다. 다중 팩터 디지털 보안 인증서는 다수의 팩터, 암호 키 및 인증 기관의 서명을 포함할 수 있다. 팩터들 중 제1 팩터는 전자 디바이스의 식별자를 포함할 수 있고, 팩터들 중 제2 팩터는 전자 디바이스의 사용자의 식별자를 포함할 수 있다. 방법은 전자 디바이스를 이용하여, 다중 팩터 디지털 보안 인증서를 서버로 전송하여, 전자 디바이스와 서버 간의 안전한 접속의 설정을 가능하게 하는 단계를 포함할 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로, 그리고 암호 키에 암시적으로 결합할 수 있다. 전자 디바이스를 이용하는 전송은 다중 팩터 디지털 보안 인증서의 사용이 전자 디바이스에 의해 인가되는 경우에 발생할 수 있다.
다른 실시예에 따르면, 장치는 네트워크 인터페이스; 메모리; 및 네트워크 인터페이스 및 메모리에 통신 결합되는 프로세서를 포함할 수 있다. 프로세서는 다중 팩터 디지털 보안 인증서를 메모리에 저장하도록 구성될 수 있다. 인증서는 다수의 팩터 및 암호 키를 포함할 수 있다. 다수의 팩터 중 제1 팩터는 장치의 식별자를 포함할 수 있고, 다수의 팩터들 중 제2 팩터는 장치의 사용자의 식별자를 포함할 수 있다. 프로세서는 네트워크 인터페이스를 통해, 다중 팩터 디지털 보안 인증서를 인증 서버로 전송하여, 장치의 사용자 및 장치가 정보에 대한 요청 동안 함께 사용되는 것이 인가된다는 것을 지시하도록 구성될 수 있다. 디지털 보안 인증서 내의 팩터들과 암호 키의 공존은 팩터들을 서로, 그리고 암호 키에 암시적으로 결합할 수 있다. 프로세서는 장치가 장치의 사용자에 의한 장치의 사용을 인가한 후에 정보에 대한 요청 동안 다중 팩터 디지털 보안 인증서를 전송하도록 구성될 수 있다.

Claims (25)

  1. 복수의 명령어를 갖는 컴퓨터 판독 가능 매체로서,
    상기 명령어들은, 인증 기관의 인증 기관 서버가, 상기 인증 기관 서버의 프로세서에 의한 상기 명령어들의 실행에 응답하여,
    다중 팩터 디지털 보안 인증서를 제공하기 위해 인증서 요청을 수신하고 - 상기 인증서 요청은 복수의 팩터 및 암호 키를 포함하고, 상기 복수의 팩터 중 제1 팩터는 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 디바이스의 사용자의 식별자임 -;
    상기 인증서 요청에 디지털 방식으로 서명하고, 상기 암호 키와 상기 복수의 팩터를 연관시켜 상기 디지털 보안 인증서를 생성하며 - 상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합함 -;
    상기 인증서 요청에 응답하기 위해 상기 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성되는 컴퓨터 판독 가능 매체.
  2. 제1항에 있어서,
    상기 복수의 팩터는 상기 디지털 보안 인증서를 통해 상기 디바이스와 연관될 다른 사용자의 식별자인 제3 팩터를 더 포함하는 컴퓨터 판독 가능 매체.
  3. 제1항에 있어서,
    상기 복수의 팩터는 상기 디지털 보안 인증서를 통해 상기 사용자와 연관될 다른 디바이스의 식별자인 제3 팩터를 더 포함하는 컴퓨터 판독 가능 매체.
  4. 제1항에 있어서,
    상기 사용자의 상기 식별자는 사용자명 및 패스워드를 포함하는 컴퓨터 판독 가능 매체.
  5. 제1항에 있어서,
    상기 사용자 식별자는 이메일 주소인 컴퓨터 판독 가능 매체.
  6. 제1항 내지 제5항 중 어느 한 항에 있어서,
    상기 인증 기관 서버가 상기 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성되는 상기 복수의 명령어는, 상기 인증 기관 서버가, 상기 인증 기관의 디지털 서명을 이용하여 상기 인증서 요청에 디지털 방식으로 서명하여 상기 디지털 보안 인증서를 생성하는 것을 가능하게 하기 위한 명령어들을 더 포함하며, 상기 디지털 서명은 상기 인증 기관의 암호 키에 기초하는 것인 컴퓨터 판독 가능 매체.
  7. 제1항에 있어서,
    상기 인증 기관 서버가 상기 디지털 보안 인증서를 발행하는 것을 가능하게 하도록 구성되는 상기 복수의 명령어는, 상기 인증 기관 서버가, 상기 디지털 보안 인증서를 상기 디바이스로 전송하는 것을 가능하게 하여, 상기 디지털 보안 인증서가 상기 디바이스에 의해 저장 및 사용되는 것을 가능하게 하기 위한 명령어들을 더 포함하는 컴퓨터 판독 가능 매체.
  8. 인증 기관 서버에 의해, 다중 팩터 디지털 보안 인증서를 제공하기 위해 인증서 요청을 수신하는 단계 - 상기 인증서 요청은 복수의 팩터 및 암호 키를 포함하고, 상기 복수의 팩터 중 제1 팩터는 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 디바이스의 사용자의 식별자임 -;
    상기 인증 기관 서버에 의해, 상기 인증서 요청에 디지털 방식으로 서명하고, 상기 암호 키와 상기 복수의 팩터를 연관시켜 상기 디지털 보안 인증서를 생성하는 단계 - 상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합함 -; 및
    상기 인증 기관 서버에 의해, 상기 인증서 요청에 응답하기 위해 상기 디지털 보안 인증서를 발행하는 단계
    를 포함하는 방법.
  9. 제8항에 있어서,
    상기 디지털 보안 인증서를 발행하는 단계는 인증 기관의 디지털 서명을 이용하여 상기 디지털 보안 인증서에 디지털 방식으로 서명하는 단계를 포함하고, 상기 디지털 서명은 상기 인증 기관의 암호 키에 기초하는 것인 방법.
  10. 제9항에 있어서,
    상기 디바이스는 랩탑, 넷북, 이동 전화, 데스크탑 컴퓨터, 스마트폰 및 개인용 휴대 단말기(personal digital assistant) 중 하나인 방법.
  11. 제8항 내지 제10항 중 어느 한 항에 있어서,
    상기 복수의 팩터는 다른 사용자의 식별자인 제3 팩터를 더 포함하는 방법.
  12. 네트워크 인터페이스; 및
    상기 네트워크 인터페이스에 통신 결합되는 프로세서
    를 포함하고,
    상기 프로세서는
    다중 팩터 디지털 보안 인증서를 제공하기 위해 인증서 요청을 수신하고 - 상기 인증서 요청은 복수의 팩터 및 암호 키를 포함하고, 상기 복수의 팩터 중 제1 팩터는 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 디바이스의 사용자의 식별자임 -;
    상기 인증서 요청에 디지털 방식으로 서명하고, 상기 암호 키와 상기 복수의 팩터를 연관시켜 상기 디지털 보안 인증서를 생성하며 - 상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합함 -;
    상기 인증서 요청에 응답하기 위해 상기 디지털 보안 인증서를 발행하도록 구성되는 장치.
  13. 제12항에 있어서,
    상기 복수의 팩터는 다른 사용자의 식별자인 제3 팩터를 포함하고, 상기 프로세서는 상기 사용자들의 상기 식별자들과 상기 디바이스를 연관시키도록 더 구성되는 장치.
  14. 복수의 명령어를 갖는 컴퓨터 판독 가능 매체로서,
    상기 명령어들은 서버가 상기 서버의 프로세서에 의한 상기 명령어들의 실행에 응답하여,
    다중 팩터 디지털 보안 인증서를 수신하고 - 상기 다중 팩터 디지털 보안 인증서는 복수의 팩터, 암호 키, 및 인증 기관의 서명을 포함하고, 상기 복수의 팩터 중 제1 팩터는 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 디바이스의 사용자의 식별자임 -;
    상기 다중 팩터 디지털 보안 인증서를 인증하고 - 상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합함 -;
    상기 암호 키에 기초하여 상기 디바이스와의 접속을 설정하는 것을 가능하게 하도록 구성되는 컴퓨터 판독 가능 매체.
  15. 제14항에 있어서,
    인증은 상기 인증 기관의 식별자가 상기 서버에 의해 액세스될 수 있는 인증 기관들의 신뢰성 있는 리스트 내에 존재하는 것을 검증하는 것을 포함하는 컴퓨터 판독 가능 매체.
  16. 제14항에 있어서,
    인증은 상기 디바이스가 상기 암호 키에 대응하는 비공개 키를 소유하는 것을 검증하는 것을 포함하고, 상기 암호 키는 공개 키인 컴퓨터 판독 가능 매체.
  17. 제14항에 있어서,
    상기 서버는 콘텐츠 서버에 대한 액세스를 제어하도록 구성되는 게이트웨이 서버인 컴퓨터 판독 가능 매체.
  18. 복수의 명령어를 갖는 컴퓨터 판독 가능 매체로서,
    상기 명령어들은 전자 디바이스가 상기 전자 디바이스의 프로세서에 의한 상기 명령어들의 실행에 응답하여,
    사용자에 의한 다중 팩터 디지털 보안 인증서의 사용을 인가하고 - 상기 다중 팩터 디지털 보안 인증서는 복수의 팩터, 암호 키, 및 인증 기관의 서명을 포함하고, 상기 복수의 팩터 중 제1 팩터는 상기 전자 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 전자 디바이스의 사용자의 식별자임 -;
    상기 다중 팩터 디지털 보안 인증서를 서버로 전송하여, 상기 전자 디바이스와 상기 서버 사이에 안전한 접속을 설정하는 것을 가능하게 하도록 구성되는 컴퓨터 판독 가능 매체.
  19. 제18항에 있어서,
    상기 명령어들은 상기 다중 팩터 디지털 보안 인증서의 사용이 상기 전자 디바이스에 의해 인가되는 경우에 상기 전자 디바이스가 상기 다중 팩터 디지털 보안 인증서를 전송하는 것을 가능하게 하도록 구성되는 컴퓨터 판독 가능 매체.
  20. 제18항 또는 제19항에 있어서,
    인가는 상기 복수의 팩터 중 상기 제2 팩터가 상기 전자 디바이스에 대한 액세스 제어와 매칭되는 것을 검증하는 것을 포함하는 컴퓨터 판독 가능 매체.
  21. 제18항에 있어서,
    상기 전자 디바이스는 스마트폰, 개인용 컴퓨터, 컴퓨팅 태블릿, 개인용 휴대 단말기, 넷북, 랩탑 및 게임 콘솔 중 하나인 컴퓨터 판독 가능 매체.
  22. 전자 디바이스를 이용하여, 사용자에 의한 다중 팩터 디지털 보안 인증서의 사용을 인가하는 단계 - 상기 다중 팩터 디지털 보안 인증서는 복수의 팩터, 암호 키, 및 인증 기관의 서명을 포함하고, 상기 복수의 팩터 중 제1 팩터는 상기 전자 디바이스의 식별자이고, 상기 복수의 팩터 중 제2 팩터는 상기 전자 디바이스의 사용자의 식별자임 -; 및
    상기 전자 디바이스와 상기 서버 사이에 안전한 접속을 설정하는 것을 가능하게 하기 위해 상기 전자 디바이스를 이용하여 상기 다중 팩터 디지털 보안 인증서를 서버로 전송하는 단계 - 상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합함 -
    를 포함하는 방법.
  23. 제22항에 있어서,
    상기 전자 디바이스를 이용하여, 전송하는 단계는 상기 다중 팩터 디지털 보안 인증서의 사용이 상기 전자 디바이스에 의해 인가되는 경우에 발생하는 방법.
  24. 장치로서,
    네트워크 인터페이스;
    메모리; 및
    상기 네트워크 인터페이스 및 상기 메모리에 통신 결합되는 프로세서
    를 포함하고,
    상기 프로세서는
    다중 팩터 디지털 보안 인증서를 상기 메모리에 저장하고 - 상기 인증서는 복수의 팩터 및 암호 키를 포함하고, 상기 복수의 팩터 중 제1 팩터는 상기 장치의 식별자를 포함하고, 상기 복수의 팩터들 중 제2 팩터는 상기 장치의 사용자의 식별자를 포함함 -;
    상기 네트워크 인터페이스를 통해, 상기 다중 팩터 디지털 보안 인증서를 인증 서버로 전송하여, 상기 장치의 상기 사용자 및 상기 장치가 정보에 대한 요청 동안 함께 사용되도록 인가되는 것을 지시하도록 구성되며,
    상기 디지털 보안 인증서 내의 상기 복수의 팩터와 상기 암호 키의 공존은 상기 복수의 팩터를 서로, 그리고 상기 암호 키에 암시적으로 결합하는 장치.
  25. 제24항에 있어서,
    상기 프로세서는 상기 장치가 상기 장치의 상기 사용자에 의한 상기 장치의 사용을 인가한 후에 정보에 대한 요청 동안 상기 다중 팩터 디지털 보안 인증서를 전송하도록 구성되는 장치.
KR1020147024797A 2012-03-08 2012-03-08 다중 팩터 인증 기관 KR20140127303A (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/028321 WO2013133840A1 (en) 2012-03-08 2012-03-08 Multi-factor certificate authority

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020167029760A Division KR20160127167A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관

Publications (1)

Publication Number Publication Date
KR20140127303A true KR20140127303A (ko) 2014-11-03

Family

ID=49117160

Family Applications (3)

Application Number Title Priority Date Filing Date
KR1020167029760A KR20160127167A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관
KR1020177025718A KR20170106515A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관
KR1020147024797A KR20140127303A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관

Family Applications Before (2)

Application Number Title Priority Date Filing Date
KR1020167029760A KR20160127167A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관
KR1020177025718A KR20170106515A (ko) 2012-03-08 2012-03-08 다중 팩터 인증 기관

Country Status (6)

Country Link
US (1) US20130339740A1 (ko)
EP (1) EP2842258B1 (ko)
JP (1) JP5980961B2 (ko)
KR (3) KR20160127167A (ko)
CN (1) CN104160653B (ko)
WO (1) WO2013133840A1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9137234B2 (en) * 2012-03-23 2015-09-15 Cloudpath Networks, Inc. System and method for providing a certificate based on granted permissions
US8763101B2 (en) * 2012-05-22 2014-06-24 Verizon Patent And Licensing Inc. Multi-factor authentication using a unique identification header (UIDH)
US9769658B2 (en) * 2013-06-23 2017-09-19 Shlomi Dolev Certificating vehicle public key with vehicle attributes
DE102013221159B3 (de) * 2013-10-17 2015-02-12 Siemens Aktiengesellschaft Verfahren und System zum manipulationssicheren Bereitstellen mehrerer digitaler Zertifikate für mehrere öffentliche Schlüssel eines Geräts
US20150372825A1 (en) * 2014-06-23 2015-12-24 Google Inc. Per-Device Authentication
US10652023B2 (en) * 2015-12-30 2020-05-12 T-Mobile Usa, Inc. Persona and device based certificate management
US10972262B2 (en) * 2015-12-30 2021-04-06 T-Mobile Usa, Inc. Persona and device based certificate management
US10341325B2 (en) * 2016-01-29 2019-07-02 Vmware, Inc. System and method for transferring device identifying information
US10708067B2 (en) * 2016-06-18 2020-07-07 Intel Corporation Platform attestation and registration for servers
DE102017101906A1 (de) 2017-01-31 2018-08-02 Systola GmbH Verfahren und System zur Authentisierung eines Benutzers
CN107483419B (zh) * 2017-07-28 2020-06-09 深圳市优克联新技术有限公司 服务器认证接入终端的方法、装置、系统、服务器及计算机可读存储介质
CN107846281B (zh) * 2017-10-30 2020-12-08 上海应用技术大学 基于位置的代理多重签名方法和系统
US11888997B1 (en) * 2018-04-03 2024-01-30 Amazon Technologies, Inc. Certificate manager
US11165774B2 (en) * 2018-12-14 2021-11-02 Vmware, Inc. Delegated authentication to certificate authorities
EP4005150A4 (en) 2019-07-25 2023-08-16 JPMorgan Chase Bank, N.A. METHOD AND SYSTEM FOR PROVIDING POSITION-SENSITIVE MULTI-FACTOR MOBILE AUTHENTICATION
EP3866428B1 (en) * 2020-02-13 2021-12-29 Axis AB A method for re-provisioning a digital security certificate and a system and a non-transitory computer program product thereof
DE102020110034A1 (de) * 2020-04-09 2021-10-14 Bundesdruckerei Gmbh Überwachungssystem mit mehrstufiger Anfrageprüfung
US11005849B1 (en) * 2020-06-30 2021-05-11 Cyberark Software Ltd. Distributed directory caching techniques for secure and efficient resource access
CN114253621A (zh) * 2020-09-11 2022-03-29 深圳Tcl数字技术有限公司 终端的运行环境的配置方法、计算机设备及可读存储介质
CN112468442B (zh) * 2020-10-28 2022-06-07 苏州浪潮智能科技有限公司 双因子认证方法、装置、计算机设备及存储介质
US20220385481A1 (en) * 2021-06-01 2022-12-01 International Business Machines Corporation Certificate-based multi-factor authentication

Family Cites Families (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6310966B1 (en) * 1997-05-09 2001-10-30 Gte Service Corporation Biometric certificates
JP4556308B2 (ja) * 2000-08-31 2010-10-06 ソニー株式会社 コンテンツ配信システム、コンテンツ配信方法、および情報処理装置、並びにプログラム提供媒体
US7373515B2 (en) * 2001-10-09 2008-05-13 Wireless Key Identification Systems, Inc. Multi-factor authentication system
BR0305073A (pt) * 2002-06-17 2004-09-21 Koninkl Philips Electronics Nv Sistema incluindo uma pluralidade de dispositivos, e, primeiro dispositivo sendo designado com um identificador de dispositivo.
US20030233542A1 (en) * 2002-06-18 2003-12-18 Benaloh Josh D. Selectively disclosable digital certificates
US7448068B2 (en) * 2002-10-21 2008-11-04 Microsoft Corporation Automatic client authentication for a wireless network protected by PEAP, EAP-TLS, or other extensible authentication protocols
US9009308B2 (en) * 2003-07-24 2015-04-14 Koninklijke Philips N.V. Hybrid device and person based authorized domain architecture
GB0322716D0 (en) * 2003-09-29 2003-10-29 Symbian Ltd Multi-user mobile telephones for community access to services
US8863239B2 (en) * 2004-03-26 2014-10-14 Adrea, LLC Method of and system for generating an authorized domain
JP2005351994A (ja) * 2004-06-08 2005-12-22 Sony Corp コンテンツ配信サーバ,コンテンツ配信方法,プログラム
WO2006002068A2 (en) * 2004-06-15 2006-01-05 Passmark Security, Inc. Method and apparatus for making accessible a set of services to users
JP2006031175A (ja) * 2004-07-13 2006-02-02 Sony Corp 情報処理システム、情報処理装置、およびプログラム
US7370202B2 (en) * 2004-11-02 2008-05-06 Voltage Security, Inc. Security device for cryptographic communications
US7350074B2 (en) * 2005-04-20 2008-03-25 Microsoft Corporation Peer-to-peer authentication and authorization
US20070056022A1 (en) * 2005-08-03 2007-03-08 Aladdin Knowledge Systems Ltd. Two-factor authentication employing a user's IP address
US7600123B2 (en) * 2005-12-22 2009-10-06 Microsoft Corporation Certificate registration after issuance for secure communication
US8527770B2 (en) * 2006-07-20 2013-09-03 Research In Motion Limited System and method for provisioning device certificates
WO2008013932A2 (en) * 2006-07-26 2008-01-31 Bolcer Gregory A System and method for selectively granting access to digital content
US9055107B2 (en) * 2006-12-01 2015-06-09 Microsoft Technology Licensing, Llc Authentication delegation based on re-verification of cryptographic evidence
US20090172402A1 (en) * 2007-12-31 2009-07-02 Nguyen Tho Tran Multi-factor authentication and certification system for electronic transactions
EP2096830B1 (en) * 2008-02-29 2011-08-03 Research In Motion Limited Methods and apparatus for use in enabling a mobile communication device with a digital certificate
US7979899B2 (en) * 2008-06-02 2011-07-12 Microsoft Corporation Trusted device-specific authentication
US20090307486A1 (en) 2008-06-09 2009-12-10 Garret Grajek System and method for secured network access utilizing a client .net software component
DE102008029636A1 (de) * 2008-06-23 2009-12-24 Giesecke & Devrient Gmbh Freischalten eines Dienstes auf einem elektronischen Gerät
US8510811B2 (en) * 2009-02-03 2013-08-13 InBay Technologies, Inc. Network transaction verification and authentication
US8495720B2 (en) * 2010-05-06 2013-07-23 Verizon Patent And Licensing Inc. Method and system for providing multifactor authentication
US8892598B2 (en) * 2010-06-22 2014-11-18 Cleversafe, Inc. Coordinated retrieval of data from a dispersed storage network

Also Published As

Publication number Publication date
WO2013133840A1 (en) 2013-09-12
EP2842258A1 (en) 2015-03-04
KR20170106515A (ko) 2017-09-20
JP5980961B2 (ja) 2016-08-31
US20130339740A1 (en) 2013-12-19
KR20160127167A (ko) 2016-11-02
CN104160653B (zh) 2018-02-23
JP2015510370A (ja) 2015-04-02
CN104160653A (zh) 2014-11-19
EP2842258B1 (en) 2017-03-01
EP2842258A4 (en) 2016-01-27

Similar Documents

Publication Publication Date Title
EP2842258B1 (en) Multi-factor certificate authority
CN110537346B (zh) 安全去中心化域名系统
US8532620B2 (en) Trusted mobile device based security
US10567370B2 (en) Certificate authority
US8918641B2 (en) Dynamic platform reconfiguration by multi-tenant service providers
US20080320566A1 (en) Device provisioning and domain join emulation over non-secured networks
US20090199009A1 (en) Systems, methods and computer program products for authorising ad-hoc access
US10642664B2 (en) System and method for securing an inter-process communication via a named pipe
KR20120055728A (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
GB2562454A (en) Anonymous attestation
JP5992535B2 (ja) 無線idプロビジョニングを実行するための装置及び方法
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
CN110771087B (zh) 私钥更新
US20090055917A1 (en) Authentication method and authentication system using the same
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
US9882891B2 (en) Identity verification
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
KR101209812B1 (ko) 홈 네트워크 시스템에서의 클라이언트 접근 제어 방법 및 이를 위한 장치
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
GB2622355A (en) Enclave architecture
CN115967623A (zh) 设备管理方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
A107 Divisional application of patent