KR20170134657A - 서비스에 대한 액세스를 관리하는 방법 - Google Patents

서비스에 대한 액세스를 관리하는 방법 Download PDF

Info

Publication number
KR20170134657A
KR20170134657A KR1020177032008A KR20177032008A KR20170134657A KR 20170134657 A KR20170134657 A KR 20170134657A KR 1020177032008 A KR1020177032008 A KR 1020177032008A KR 20177032008 A KR20177032008 A KR 20177032008A KR 20170134657 A KR20170134657 A KR 20170134657A
Authority
KR
South Korea
Prior art keywords
client application
service
application
server
access
Prior art date
Application number
KR1020177032008A
Other languages
English (en)
Other versions
KR101943786B1 (ko
Inventor
훙첸 까렌 루
쟝-이브 핀
브누아 공잘보
알린 구제
Original Assignee
제말토 에스에이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 제말토 에스에이 filed Critical 제말토 에스에이
Publication of KR20170134657A publication Critical patent/KR20170134657A/ko
Application granted granted Critical
Publication of KR101943786B1 publication Critical patent/KR101943786B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/126Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/103Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for protecting copy right

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 서비스에 대한 액세스를 관리하기 위한 방법이고, 상기 방법은 다음의 단계들, 즉, - 클라이언트 애플리케이션이 크리덴셜들 및 제1 복제-방지 코드를 이용함으로써 서비스에 액세스하기 위한 요청을 애플리케이션 서버로 전송하는 단계, - 애플리케이션 서버가 크리덴셜들 및 상기 제1 복제-방지 코드의 검증을 수행하는 단계, - 애플리케이션 서버가 제2 복제-방지 코드를 클라이언트 애플리케이션으로 전송하고, 성공적인 검증의 경우에만 상기 제1 복제-방지 코드를 비활성화하는 단계를 포함하고, 상기 제2 복제-방지 코드는 서비스에 액세스하기 위한 다음 시도에 요구된다.

Description

서비스에 대한 액세스를 관리하는 방법
본 발명은 서비스에 대한 액세스를 관리하는 방법들에 관한 것이다. 그것은 특히, 클라이언트 애플리케이션으로부터의 서비스에 대한 액세스를 관리하는 방법들에 관한 것이다.
스마트 폰들 및 태블릿들과 같은 이동 디바이스들의 신속한 채택은 모든 종류들의 이동 서비스들에 대한 거대한 시장을 만들었다. 사용자들은 애플리케이션 스토어들(또는 시장들)로부터 애플리케이션들을 다운로딩할 수 있고, 그것들을 그 이동 디바이스들 상으로 설치할 수 있고, 이 애플리케이션들을 통해 서비스들을 소비할 수 있다.
이동 애플리케이션은 이동 디바이스에서 저장되고 실행된 소프트웨어이다. 한편으로, 사용자들은 편리성, 양호한 사용자 경험, 및 성능을 요구한다. 이것들을 충족시키기 위하여, 많은 이동 애플리케이션들은 그 로컬 스토리지에서, 그리고 실행시간에서의 메모리에서 (액세스 토큰(access token)과 같은) 어떤 접속 데이터 또는/및 (패스워드(password)와 같은) 사용자 크리덴셜(credential)들을 유지한다. 이러한 방법으로, 사용자는 보통 애플리케이션을 단지 탭하고 그것을 이용한다. 다른 한편으로, 공격자들은 그 관심을 이동 디바이스들로 옮겼다. 그들은 멀웨어(malware)를 루트 사용자(root user)들의 이동 디바이스들에 배포하는 다양한 방법들을 전개하였다. 이것은 그들이 사용자들의 디바이스들 상에서의 무엇인가 중요한 것을 수정하거나 도난하는 것을 허용한다.
하나의 특정한 문제는 복제된(cloned) 애플리케이션들이다. 누군가는 애플리케이션 스토어로부터 이동 애플리케이션을 다운로딩할 수 있다. 따라서, 애플리케이션 자체를 복제하는 것은 이 상황에서 문제가 아니다. 관심사항들은 이동 애플리케이션들이 이동 서비스들의 원격 서버들과 상호작용하기 위하여 이용하는, 인증 토큰들, 액세스 토큰들, 및 API 키(key)들과 같은 사용자 크리덴셜들 및 다른 데이터이다. 이 상황에서의 복제는, 이동 애플리케이션, 사용자 크리덴셜, 및 애플리케이션 데이터가 모두 또 다른 디바이스로 복사되고, 그것들은 복제된 이동 애플리케이션이 원래의 사용자의 명의로 다른 디바이스 상에서 실행하기 위하여 충분하다는 것을 의미하였다.
애플리케이션의 복제에 있어서의 동일한 쟁점은 다른 타입들의 디바이스에서 조우될 수도 있다.
애플리케이션 복제에 의해 야기된 문제들을 완화시키기 위한 필요성이 있다.
발명의 목적은 상기 언급된 기술적 문제를 해결하기 위한 것이다.
본 발명의 목적은 서비스에 대한 액세스를 관리하기 위한 방법이다. 방법은:
- 클라이언트 애플리케이션이 크리덴셜들 및 제1 복제-방지(anti-clone) 코드를 이용함으로써 서비스를 액세스하기 위한 요청을 애플리케이션 서버로 전송하는 단계,
- 애플리케이션 서버가 크리덴셜들 및 상기 제1 복제-방지 코드의 검증을 수행하는 단계,
- 애플리케이션 서버가 제2 복제-방지 코드를 클라이언트 애플리케이션으로 전송하고, 성공적인 검증의 경우에만 상기 제1 복제-방지 코드를 비활성화(deactivate)하는 단계 - 상기 제2 복제-방지 코드는 서비스를 액세스하기 위한 다음의 시도에 요구됨 - 를 포함한다.
유리하게도, 애플리케이션 서버는 클라이언트 애플리케이션과 연관된 복원 데이터를 이전에 레코딩하였을 수도 있고, 클라이언트 애플리케이션은 사용자에게 할당될 수도 있고, 검증의 실패의 경우에, 애플리케이션 서버는 아이덴티티 데이터(identity data)를 전송할 것을 사용자에게 요청할 수도 있고, 아이덴티티 데이터가 복원 데이터와 부합할 경우, 애플리케이션 서버는 서비스에 대한 액세스를 인가할 수도 있고 서비스를 액세스하기 위한 다음의 시도에 요구되는 새로운 복제-방지 코드를 클라이언트 애플리케이션으로 전송할 수도 있다.
유리하게도, 애플리케이션 서버는 클라이언트 애플리케이션과 연관된 복원 데이터를 이전에 레코딩하였을 수도 있고, 클라이언트 애플리케이션은 사용자에게 할당될 수도 있고, 복제된 클라이언트 애플리케이션은 클라이언트 애플리케이션에 도난된 복제-방지 코드를 이용함으로써 서비스에 대한 액세스를 승인받았을 수도 있고, 애플리케이션 서버는 아이덴티티 데이터를 전송할 것을 사용자에게 요청할 수도 있고, 아이덴티티 데이터가 복원 데이터와 부합할 경우, 애플리케이션 서버는 복제된 클라이언트 애플리케이션에 대해 서비스에 대한 액세스를 제거할 수도 있고, 서비스를 액세스하기 위한 클라이언트 애플리케이션을 인가하고, 서비스를 액세스하기 위한 다음의 시도에 요구되는 새로운 복제-방지 코드를 클라이언트 애플리케이션으로 전송할 수도 있다.
유리하게도, 상기 제1 및 제2 복제-방지 코드들은 클라이언트 애플리케이션에 의해 패스워드들 또는 키들로서 이용될 수도 있다.
유리하게도, 클라이언트 애플리케이션은 디바이스 내에 내장될 수도 있고, 애플리케이션 서버는 디바이스의 핑거프린트(fingerprint)를 이전에 레코딩하였을 수도 있고, 상기 크리덴셜들은 핑거프린트를 포함할 수도 있다.
본 발명의 또 다른 목적은 서비스를 클라이언트 애플리케이션에 제공할 수 있는 애플리케이션 서버이다. 애플리케이션 서버는 클라이언트 애플리케이션과 보안성 있고 인증된 세션(session)을 확립하도록 구성된다. 애플리케이션 서버는 제1 복제-방지 코드를 상기 세션을 통해 클라이언트 애플리케이션으로 전송하도록 구성된다. 애플리케이션 서버는 클라이언트 애플리케이션에 의해 전송된 요청이 크리덴셜들 및 제1 복제-방지 코드를 이용하여 올바르게 생성되었다는 것을 검증하도록 적응된다. 애플리케이션 서버는 제2 복제-방지 코드를 클라이언트 애플리케이션으로 전송하고, 성공적인 검증의 경우에만 상기 제1 복제-방지 코드를 비활성화하도록 구성되고, 상기 제2 복제-방지 코드는 서비스를 액세스하기 위한 다음의 시도에 요구된다.
유리하게도, 애플리케이션 서버는 등록 스테이지(enrollment stage) 동안에 클라이언트 애플리케이션과 연관된 복원 데이터를 레코딩하도록 구성되었을 수도 있고, 클라이언트 애플리케이션은 사용자에게 할당될 수도 있고, 검증의 실패의 경우에, 애플리케이션 서버는 아이덴티티 데이터를 전송할 것을 사용자에게 요청하도록 구성될 수도 있고, 아이덴티티 데이터가 복원 데이터와 부합할 경우, 애플리케이션 서버는 서비스에 대한 액세스를 인가하고 서비스를 액세스하기 위한 다음의 시도에 요구되는 새로운 복제-방지 코드를 클라이언트 애플리케이션으로 전송하도록 구성될 수도 있다.
유리하게도, 애플리케이션 서버는 하나의 클라이언트 엔티티에 의한 서비스에 대한 액세스를 따로따로 인가하도록 구성될 수도 있고, 애플리케이션 서버는 등록 스테이지 동안에 클라이언트 애플리케이션과 연관된 복원 데이터를 레코딩하도록 구성될 수도 있고, 클라이언트 애플리케이션은 사용자에게 할당될 수도 있다. 복제된 클라이언트 애플리케이션은 클라이언트 애플리케이션에 도난된 복제-방지 코드를 이용함으로써 서비스에 대한 액세스를 승인받았을 경우, 애플리케이션 서버는 아이덴티티 데이터를 전송할 것을 사용자에게 요청하도록 구성될 수도 있고, 아이덴티티 데이터가 복원 데이터와 부합할 경우, 애플리케이션 서버는 복제된 클라이언트 애플리케이션에 대해 서비스에 대한 액세스를 제거하고, 서비스를 액세스하기 위한 클라이언트 애플리케이션을 인가하고, 서비스를 액세스하기 위한 다음의 시도에 요구되는 새로운 복제-방지 코드를 클라이언트 애플리케이션으로 전송하도록 구성될 수도 있다.
유리하게도, 애플리케이션 서버는 상기 제1 및 제2 복제-방지 코드들이 클라이언트 애플리케이션에 의해 패스워드들 또는 키들로서 이용되는 것을 검사하도록 구성될 수도 있다.
유리하게도, 애플리케이션 서버는 클라이언트 애플리케이션을 내장하는 디바이스의 핑거프린트를 레코딩하도록 구성될 수도 있고, 애플리케이션 서버는 상기 크리덴셜들이 핑거프린트를 포함하는 것을 검사하도록 구성될 수도 있다.
본 발명의 또 다른 목적은 서비스를 액세스하도록 설계된 클라이언트 애플리케이션이고, 상기 클라이언트 애플리케이션은 제1 서버와 보안성 있고 인증된 세션을 확립하도록 구성된다. 클라이언트 애플리케이션은 서비스를 액세스하기 위한 요청을 제2 서버로 전송하도록 구성되고, 클라이언트 애플리케이션은 크리덴셜들, 및 세션을 통해 상기 제1 서버에 의해 이전에 제공된 제1 복제-방지 코드의 양자 모두를 이용하여 상기 요청을 생성하도록 구성되고, 클라이언트 애플리케이션은 상기 요청이 상기 제2 서버에 의해 성공적으로 수락되었을 경우, 서비스를 액세스하기 위한 다음의 시도에 요구되는 제2 복제-방지 코드를 상기 제1 서버에 요청하도록 구성된다.
유리하게도, 제1 서버는 클라이언트 애플리케이션과 연관된 복원 데이터를 저장할 수도 있고, 클라이언트 애플리케이션은 사용자에게 할당될 수도 있고, 상기 클라이언트 애플리케이션은 상기 요청이 상기 제2 서버에 의해 거절되었을 경우, 사용자에 의해 제공되고 제1 서버에 의해 복원 데이터에 대비하여 검사될 것으로 의도된 아이덴티티 데이터에 기초하여 복제-방지 코드 갱신의 프로세스를 시작할 것을 상기 제1 서버에 요청하도록 구성될 수도 있다.
본 발명의 다른 특성들 및 장점들은 대응하는 동반된 도면들을 참조하여 발명의 다수의 바람직한 실시예들의 다음의 설명을 읽음으로써 더욱 명확하게 드러날 것이다:
- 도 1은 발명에 따른, 서버와의 상호작용들의 제1 예를 도시하는 플로우차트를 도시하고,
- 도 2는 복제된 애플리케이션이 진본(genuine) 클라이언트 애플리케이션 이전에 서비스를 액세스하는 것을 성공하였을 때, 발명에 따른, 서버와의 상호작용들의 예를 도시하는 플로우차트를 도시하고,
- 도 3은 진본 클라이언트 애플리케이션이 서비스 액세스하는 것을 성공한 후에 복제된 애플리케이션이 서비스를 액세스하는 것을 시도할 때, 발명에 따른, 서버와의 상호작용들의 예를 도시하는 플로우차트를 도시하고,
- 도 4는 진본 클라이언트 애플리케이션이 행하는 것을 시도하고 있는 것과 동시에, 복제된 애플리케이션이 서비스를 액세스하는 것을 시도할 때, 발명에 따른, 서버와의 상호작용들의 예를 도시하는 플로우차트를 도시하고,
- 도 5는 발명에 따른, 클라이언트 애플리케이션, 사용자, 및 서버를 포함하는 시스템의 예이고,
- 도 6은 IP 멀티미디어 서브시스템(IP Multimedia Subsystem)(IMS) 프레임워크에서, 발명에 따른, 서버로의 진본 클라이언트 애플리케이션의 등록을 도시하는 도면의 예이고,
- 도 7은 IP 멀티미디어 서브시스템(IMS) 프레임워크에서, 발명에 따른, 명목 서비스 액세스를 도시하는 도면의 또 다른 예이고, 그리고
- 도 8은 IP 멀티미디어 서브시스템(IMS) 프레임워크에서, 발명에 따른, 복제가 검출되었을 때의 패스워드 관리를 도시하는 도면의 또 다른 예이다.
발명은 그 액세스가 보호되는 서비스를 액세스하도록 의도된 임의의 타입의 클라이언트 애플리케이션에 적용할 수도 있다. 서비스는 예를 들어, 통신 시스템, 지불 시스템, 또는 비디오/음악 시스템일 수도 있다. 클라이언트 애플리케이션은 서버와 통신 세션을 확립할 수도 있는 임의의 타입의 디바이스 내에 내장될 수도 있다. 예를 들어, 디바이스는 이동 전화, 태블릿 PC, 전자 안경, 전자 시계, 전자 팔찌, 차량, 계측기, 슬롯 머신, TV, 또는 컴퓨터일 수도 있다.
도 1은 발명에 따른, 서비스 액세스의 관리의 제1 예를 예시한다.
이 예에서, 앨리스(Alice)는 그녀의 클라이언트 애플리케이션이 이동 전화 상에 설치되도록 한 진본 사용자이다. 이동 서비스는 서버가 이동 애플리케이션들을 통해 서비스들을 최종 사용자들에게 제공하는 것이고, 앱(App)은 이동 서비스의 클라이언트이며 이동 디바이스 상에서 실행되고 있는 이동 애플리케이션(즉, 클라이언트 애플리케이션)이다. 예를 들어, 이동 서비스는 VoIP 서비스이다.
앨리스가 이동 서비스에 가입할 때, 이동 서비스는 수단을 제공할 것을 앨리스에게 요청하거나, 이동 서비스는 계정 복원 목적을 위하여 앨리스의 이 수단을 제공한다. 이 수단은 앨리스의 아이덴티티를 증명하기 위한, 이동 서비스로 전송되도록 의도된 아이덴티티 데이터 ID를 식별하는 것을 허용할 것이다. 예를 들어, 앨리스의 이메일(email), 앨리스의 셀 전화 번호, (앨리스에 의해 만들어진) 백업 패스워드, (이동 서비스에 의해 생성된) 백업 키, 하드웨어 토큰, 비밀 질문들, 또는 상기의 일부 조합들. 이 방식들 중의 하나 이상은 앨리스가 그녀의 계정 크리덴셜을 잊거나 그녀의 계정이 하이재킹(hijacking)(예컨대, 앱이 복제되거나, 크리덴셜 또는 액세스 토큰이 도난됨)될 경우에 이동 서비스가 앨리스를 검증하는 것을 가능하게 한다.
처음에, 앨리스의 디바이스 상의 앱이 보안성 있고 인증된 세션을 확립할 때(예컨대, 앨리스가 그녀의 크리덴셜을 제공하고 이동 서비스가 그것을 검증하였음), 이동 서비스는 복제-방지 코드(Anti-Clone Code)(ACC)를 앱에 전송하고 수신확인(acknowledgement)을 수신한다. 유리하게도, ACC는 랜덤 1회용(one-time use) 값을 가질 수도 있다. 이동 서비스는 최초의 이용에 대하여 앱을 신뢰한다. 이동 서비스는 임의적으로, 단일 세션 동안에 새로운 복제-방지 코드를 주기적으로 전송할 수도 있다.
그 다음으로, 앨리스가 서비스를 위하여 이동 서비스에 접속하기 위하여 앱을 이용할 때, 앨리스의 크리덴셜 또는/및 (오쓰 토큰(Oauth token) 또는 API 키와 같은) 액세스 토큰에 추가하여, 앱은 ACC를 이동 서비스로 전송한다. 다른 검증에 추가하여, 이동 서비스는 다음을 검사함으로써 ACC를 검증한다:
1. 착신 ACC가 이 사용자 디바이스를 위한 그 레코드에서와 동일한지, 및
2. 유사한 시간의 착신 ACC들이 이 ACC와 동일한 것을 포함하는지.
제1 검사가 참(true)이고 제2 검사가 거짓(false)일 경우, 검증은 성공적이다. 이 경우, 이동 서비스는 앱의 접속을 수락하고, 앱에게 새로운 ACC를 부여하고, 이용된 ACC를 비활성화한다. 이동 서비스는 평소와 같이 서비스를 제공한다.
대안적으로, ACC는 미리 정의된 수의 이용들에 대하여, 또는 미리 설정된 기간 동안에 유효할 수도 있다. 이 경우, ACC는 그것이 만료될 때에만 비활성화된다.
검증이 성공적이지 않을 경우, 이동 서비스는 복제가 발생하였다는 것을 가정하고, 복원 프로세스(또는 복원 모드로 칭해짐)를 이용하여 계정 소유권을 증명할 것을 사용자에게 요청함으로써 접속 요청을 제기할 것이다. 예를 들어, 이동 서비스는 1회성 코드를 SMS를 통해 사용자의 전화로 또는 사용자의 등록된 이메일로 전송하고, 코드를 증거로서 입력할 것을 사용자에게 요청한다. 일단 이동 서비스가 앨리스가 진정한 계정 소유자인 것을 검증할 수 있으면, 이동 서비스는 그녀의 계정 크리덴셜을 변경할 것, 예컨대, 패스워드를 변경하거나 새로운 오쓰 토큰을 얻을 것을 앨리스에게 요청한다. 이동 서비스는 또한, 앨리스의 앱에 새로운 ACC를 발행하고 수신확인 ACK를 수신한다.
유리하게도, 앨리스가 이용 중이지 않거나 이동 서비스를 새로운 ACC를 주기적으로 푸시(push)할 수도 있을 때에도, 앱은 새로운 ACC를 획득하기 위하여 이동 서비스에 주기적으로 접촉할 수도 있다.
요구된 보안 레벨에 따라서는, 만료 시간이 ACC에 대하여 설정될 수 있다. 애플리케이션이 더욱 민감할수록, 만료 시간프레임은 더 짧아야 한다. 이 경우, 앨리스가 만료 시간을 초월하는 동안에 앱을 이용하지 않았을 경우에는, 그녀는 앱을 이용하기 위하여 (예컨대, 새로운 등록 단계를 통해, 또는 아이덴티티 데이터 ID의 이용을 통해) 재-인증(re-authenticate)할 필요가 있다.
발명의 이 예의 도움으로, 서버는 복제 문제를 검출할 수 있고, 문제를 완화시킬 수 있고, 진본 사용자를 위한 서비스들을 복원할 수 있다.
이 발명은 임의의 사용자 인증 및 클라이언트 인증 방식들과 함께 작동한다. 그것은 보안 보호의 추가적인 계층을 제공한다.
도 2는 복제된 애플리케이션이 진본 클라이언트 애플리케이션 이전에 서비스를 액세스하는 것을 성공하였을 때, 발명에 따른, 서비스 액세스의 관리의 예를 예시한다.
이 예에서, 맬로리(Mallory)는 앨리스의 클라이언트 애플리케이션을, ACC 및 다른 크리덴셜들을 포함하는, 앱을 실행하기 위하여 필요한 정보를 포함하는 그 자신의 디바이스로 복제한 공격자이다.
맬로리는 앨리스 이전에 앱을 이용한다. 맬로리의 앱은 ACC를 가지고, 이동 서비스는 그것을 검증할 수 있고, 새로운 ACC를 그것으로 전송할 수 있고, 서비스를 제공할 수 있다. 따라서, 맬로리는 서비스를 이용할 수 있다.
이제, 앨리스는 앱을 이용한다. 앱은 ACC를 전송한다. 맬로리의 앱은 그것을 이미 이용하였으므로, 이동 서비스는 그것을 검증할 수 없다. 이동 서비스는 특정한 클라이언트를 위한 서비스에 대한 액세스를 한 번에 하나씩 오직 수락하도록 구성된다는 것이 주목되어야 한다. 이동 서비스는 이제 복제를 검출하였지만, 어느 것이 복제인지를 알지 못한다. 이동 서비스는 더 이전에 언급된 복원 메커니즘들 중의 하나를 이용하여 그녀가 진본 계정 소유자인 것을 증명할 것을 앨리스에게 요청한다. 앨리스는 그것을 증명할 수 있다.
사용자 크리덴셜이 편의상 앱과 함께 저장될 경우, 이동 서비스는 예를 들어, 그녀의 크리덴셜을 변경할 것을 앨리스에게 요청한다. 앨리스의 크리덴셜이 변경되었으므로, 맬로리는 앨리스의 명의로 더 이상 서비스를 이용할 수 없을 것이다.
이동 서비스는 새로운 ACC를 앨리스의 앱으로 전송할 것이다. 맬로리의 앱은 그것이 현재의 ACC를 가지지 않으므로, 앨리스의 명의로 서비스를 액세스할 수 없을 것이다. 앨리스는 지금부터 계속 서비스를 이용할 수 있을 것이다.
도 3은 진본 클라이언트 애플리케이션이 서비스를 액세스를 하는 것을 성공한 후에 복제된 애플리케이션이 서비스를 액세스하는 것을 시도할 때, 발명에 따른, 서비스 액세스의 관리의 예를 예시한다.
맬로리는 앨리스 이후에 앱을 이용한다. 맬로리의 앱은 ACC를 전송한다. 앨리스의 앱이 그것을 이미 이용하였으므로, 이동 서비스는 그것을 검증할 수 없다. 이동 서비스는 클라이언트 애플리케이션의 식별자가 예를 들어, 서비스에 대한 액세스를 이미 승인하였다는 것(그리고 여전히 접속되어 있음)을 검사함으로써, 복제를 검출한다. 이동 서비스는 어느 것이 복제인지를 알지 못하고, 그가 계정 소유자인 것을 증명할 것을 맬로리에게 요청한다. 맬로리는 앨리스의 복원 수단을 가지지 않으므로, 맬로리는 그것을 증명할 수 없다. 그는 앨리스의 명의로 서비스를 더 이상 이용할 수 없다.
도 4는 복제된 애플리케이션 및 진본 클라이언트 애플리케이션이 서비스를 액세스하는 것을 동시에 시도할 때, 발명에 따른, 서비스 액세스의 관리의 예를 예시한다.
맬로리는 앨리스와 동시에 앱을 이용한다. 이동 서비스는 맬로리 앱의 요청 및 앨리스 앱의 요청을 동시에 수신한다. 이동 서비스는 복제를 검출하지만, 어느 앱이 복제인지를 알지 못한다. 이동 서비스는 계정에 대한 소유권을 증명할 것을 맬로리 및 앨리스의 양자 모드에게 요청한다. 앨리스는 그것을 증명할 수 있지만, 맬로리는 증명할 수 없다. 앨리스는 필요한 바와 같이 그녀의 계정 크리덴셜을 변경한다. 그녀의 앱은 새로운 ACC를 수신한다. 앨리스는 서비스를 이용하는 것을 계속한다. 맬로리는 앨리스의 명의로 서비스를 이용할 수 없을 것이다.
도 5는 발명에 따른, 클라이언트 애플리케이션, 사용자, 및 서버를 포함하는 시스템의 예를 예시한다.
클라이언트 애플리케이션(CA)은 복제-방지 코드(ACC1), 클라이언트 애플리케이션(CA)에 고유하게 할당된 클라이언트 식별자(CLIENT_ID), 및 서버(SV)와 보안 세션을 확립하는 것을 허용하는 키(K)를 포함한다. 클라이언트 애플리케이션(CA)은 예를 들어, 태블릿과 같은 디바이스에서 설치된다. 클라이언트 애플리케이션(CA)은 디바이스의 핑거프린트(FP)를 저장할 수도 있거나, 디바이스로부터 핑거프린트(FP)를 취출(retrieve)하도록 적응된 컴포넌트를 포함할 수도 있다.
서버(SV)는 등록 국면 동안에 서버에 제공되었던 복원 데이터(RD)를 포함한다. 이 복원 데이터(RD)는 클라이언트 애플리케이션(CA) 및 사용자(US)에게 할당된다.
요구될 때, 사용자(US)는 클라이언트 애플리케이션(CA)의 진본성을 증명하기 위하여 (아웃-오브-대역(out-of-band) 채널을 통하는 것, 또는 클라이언트 애플리케이션(CA)을 통하는 것의 어느 하나로) 아이덴티티 데이터(ID)를 서버로 전송할 수 있다. 서버는 수신된 아이덴티티 데이터(ID)가 복원 데이터(RD)와 부합할 경우에, 클라이언트 애플리케이션(CA)을 진본으로서 선언하도록 적응된 검사 컴포넌트를 포함한다. 예를 들어, 복원 데이터(RD) 및 아이덴티티 데이터(ID)의 양자는 그 값들이 비교되는 비밀 코드들일 수도 있다. 또 다른 예에서, 복원 데이터(RD)는 아이덴티티 데이터(ID)의 해시(hash)일 수도 있다.
도 6은 IP 멀티미디어 서브시스템(IMS) 프레임워크에서, 발명의 예에 따른, 서버로의 진본 클라이언트 애플리케이션의 등록을 예시한다.
이 예에서, 서버는 3 개의 부분들을 포함한다: 복제-방지 코드의 생성을 담당하는 ACC 서버, HSS(Home Subscriber Subsystem: 홈 가입자 서브시스템), 및 S-CSCF(Serving- Call Session Control Function: 서빙-셀 세션 제어 기능부). 여기서, 복제-방지 코드들은 패스워드들이다.
클라이언트 애플리케이션은 이동 디바이스, 예를 들어, 태블릿 상에 설치된 IMS 클라이언트이다. 그것은 ACC 서버와 공유된 키(K)를 포함한다.
이 예에서, IMS 클라이언트는 3GPP TS 33.203의 부록 N에서 설명되는 SIP 요약 방법으로서, 로그인/패스워드 인증 메커니즘을 이용한다.
제1 단계에서, IMS 클라이언트는 그 태블릿의 풋프린트(핑거프린트)(FP)를 컴퓨팅한다. 예를 들어, 핑거프린트(FP)는 태블릿의 일련 번호, 또는 디스플레이 및 하드 디스크와 같은 그 하드웨어 컴포넌트들의 일련 번호들의 조합에 기초할 수도 있다.
제2 단계에서, 보안 채널은 비밀 키(K)에 기초하여 IMS 클라이언트와 ACC 서버 사이에서 확립된다. 대안적으로, 보안 채널은 서버 증명서(server certificate)(CS) 또는 IMS 클라이언트에 의해 저장된 클라이언트/서버 증명서들에 기초할 수도 있다. 그 다음으로, IMS 클라이언트는 핑거프린트(FP)를 보안 채널을 통해 ACC 서버로 전송한다.
제3 단계에서, ACC 서버는 핑거프린트(FP)를 이용하여 초기 패스워드 Pwd_0(즉, 초기 복제-방지 코드)를 생성하고, 그것을 보안 채널을 통해 HSS 및 IMS 클라이언트의 양자로 송신한다. 또 다른 예에서, ACC 서버는 초기 패스워드 Pwd_0의 해시를 생성하고 (패스워드 Pwd_0 대신에) 이 해시를 HSS 및 IMS 클라이언트로 전송하도록 구성될 수도 있다.
또 다른 예에서, ACC 서버는 핑거프린트(FP)를 이용하지 않으면서, 복제-방지 코드들을 생성하도록 구성될 수도 있다.
제4 단계에서, 태블릿의 사용자는 그/그녀의 개인 크리덴셜(personal credential)(PC)(또한, 이전의 예들에서 복원 데이터(RD)로 명명됨)을 보안 채널을 통해 ACC 서버로 전송하도록 요청받는다.
제5 단계에서, HSS는 초기 패스워드 Pwd_0 및 클라이언트 식별자(또한, IMS 프레임워크에서 IMPI로 명명됨)로부터 해시 H(A1_0)를 생성한다. 그 다음으로, HSS는 이 해시 H(A1_0)를 S-CSCF로 전송한다.
IMS 클라이언트는 이제 완전히 등록되고, 공유된 크리덴셜들의 도움으로 서비스를 액세스하는 것을 시작할 수 있다.
제6 단계에서 도시된 바와 같이, (패스워드 Pwd_0을 가지는) IMS 클라이언트는 SIP 요약 방법을 이용하여 (해시 H(A1_0)를 가지는) S-CSCF에 대해 인증할 수 있다.
도 7은 IP 멀티미디어 서브시스템(IMS) 프레임워크에서, 발명의 예에 따른, 서버에 대한 진본 클라이언트 애플리케이션의 명목 서비스 액세스를 예시한다.
제1 단계에서, 성공적인 IMS 등록은 현재의 활성 패스워드 Pwd_N에 기초하여 수행되었던 것으로 가정된다. 다시 말해서, IMS 클라이언트는 S-CSCF에 의해 서비스에 대한 액세스를 단지 승인받았다. 바람직한 예에서, IMS 클라이언트는 요청을 ACC 서버로 전송함으로써 패스워드 변경을 개시한다.
대안적으로, 서버는 현재의 패스워드 Pwd_N를 새로운 것으로 대체하기 위하여 주도권을 잡을 수 있다.
제2 단계에서, 보안 채널은 비밀 키(K)에 기초하여 IMS 클라이언트와 ACC 서버 사이에서 확립된다. 그 다음으로, IMS 클라이언트는 태블릿의 핑거프린트(FP)를 동적으로 얻고, 인증 데이터를 ACC 서버로 전송한다. 이 인증 데이터는 ACC 서버가 IMS 클라이언트가 핑거프린트(FP) 및 현재의 패스워드 Pwd_N를 아는 것을 검증하는 것을 허용한다. 예를 들어, 인증 데이터는 패스워드 Pwd_N, 및 양자의 핑거프린트인, IMS 클라이언트로부터 나오는 도전(challenge) 및 ACC 서버로부터 나오는 랜덤 값으로부터 컴퓨팅된 암호를 포함할 수도 있다.
제3 단계에서, ACC 서버는 수신된 인증 데이터를 검증한다. 성공적인 검증의 경우, ACC 서버는 새로운 패스워드 Pwd_N+1을 생성한다.
제4 단계에서, ACC 서버는 새로운 패스워드 Pwd_N+1을 보안 채널을 통해 IMS 클라이언트로, 그리고 HSS로 전송한다.
제5 단계에서, HSS는 패스워드 Pwd_N+1 및 클라이언트 식별자로부터 새로운 해시 H(A1_N+1)를 생성한다. 그 다음으로, HSS는 이 새로운 해시 H(A1_N+1)를 S-CSCF(또한, IMS 코어로 칭해짐)로 전송한다.
IMS 클라이언트는 서비스에 대한 다음 액세스로 요구되는 새로운 복제-방지 코드를 이제 가진다.
제6 단계에서 도시된 바와 같이, IMS 클라이언트는 서비스를 액세스하기 위한 다음의 시도를 위한 해시 H(A1_N+1)에 기초하여 S-CSCF에 대해 인증할 것이다.
도 8은 발명의 예에 따른, 복제가 IP 멀티미디어 서브시스템(IMS) 프레임워크에서 검출되었을 때의 서비스 액세스의 관리를 예시한다.
제1 단계에서, 성공적이지 않은 IMS 등록은 현재의 활성 패스워드 Pwd_N에 기초하여 수행되었던 것으로 가정된다. 다시 말해서, S-CSCF에 대한 IMS 클라이언트의 인증은 실패하였다. 바람직한 예에서, IMS 클라이언트는 요청을 ACC 서버로 전송함으로써 패스워드 변경을 개시한다.
대안적으로, 서버는 현재의 패스워드 Pwd_N를 새로운 것으로 대체하기 위하여 주도권을 잡을 수 있다.
양자의 경우들에는, 복제-방지 코드 갱신이 IMS 클라이언트와 ACC 서버 사이에서 확립된 보안 채널을 통해 복원 모드에서 수행된다.
제2 단계에서, IMS 클라이언트는 태블릿의 핑거프린트(FP)를 얻고, 인증 데이터를 ACC 서버로 전송한다. 이 인증 데이터는 ACC 서버가 IMS 클라이언트가 핑거프린트(FP) 및 개인 크리덴셜(PC)을 아는 것을 검증하는 것을 허용한다. 예를 들어, 인증 데이터는 핑거프린트(FP)에 연접된(concatenated) 개인 크리덴셜(PC)을 포함할 수도 있다.
제3 단계에서, ACC 서버는 수신된 인증 데이터를 검증한다. 성공적인 검증의 경우에는, ACC 서버가 새로운 패스워드 Pwd_N+1을 생성하고, 그렇지 않을 경우에는, 프로세스가 정지된다.
제4 단계에서, ACC 서버는 새로운 패스워드 Pwd_N+1을 보안 채널을 통해 IMS 클라이언트로, 그리고 HSS로 전송한다.
제5 단계에서, HSS는 패스워드 Pwd_N+1 및 클라이언트 식별자로부터 새로운 해시 H(A1_N+1)를 생성한다. 그 다음으로, HSS는 이 새로운 해시 H(A1_N+1)를 S-CSCF(또한, IMS 코어로 칭해짐)로 전송한다.
IMS 클라이언트는 서비스에 대한 다음 액세스로 요구되는 새로운 복제-방지 코드를 이제 가진다.
제6 단계에서 도시된 바와 같이, IMS 클라이언트는 서비스를 액세스하기 위한 다음의 시도를 위한 해시 H(A1_N+1)에 기초하여 S-CSCF에 대해 인증할 것이다.
오직 하나의 예에서 제시된 위에서 설명된 모든 임의적인 항목들은 발명의 임의의 실시예에서 적용할 수도 있다는 것이 주목되어야 한다.
발명은 공격자를 위한 공격 윈도우를 감소시키는 것을 허용한다. 공격자가 진본 클라이언트 애플리케이션을 복제하고 복제-방지 코드의 다음 변경 전에 접속할 수 없을 경우, 복제된 애플리케이션은 쓸모없이 남아 있고; 서버가 특정한 클라이언트에 의한 서비스에 대한 동시 액세스를 거부할 것이라는 것을 안다. 게다가, 공격자가 서비스를 접속하는 것을 성공하였고 진본 클라이언트가 접속하는 것을 원할 경우, 복제 애플리케이션은 검출될 것이고 접속해제될 수 있다.
발명의 도움으로, 순수한 소프트웨어 애플리케이션을 위한 로그인/패스워드는 사용자를 위하여 편리한 방법으로 구현될 수도 있다. 패스워드는 애플리케이션 자체 내에 저장될 수도 있어서, 사용자가 패스워드를 입력하는 것을 요구하지 않으면서, 타겟으로 된 서비스를 액세스하는 것을 허용할 수도 있다. 사용자는 오직 복제의 검출의 경우에 개인 크리덴셜(아이덴티티 데이터)을 제공하도록 요청받을 것이다.
상기 설명된 실시예들은 비-제한적인 예들로서 제공된다는 것이 발명의 범위 내에서 이해되어야 한다. 특히, 클라이언트 애플리케이션은 많은 서비스들로서 액세스하는 것을 허용하는 임의의 수의 크리덴셜들을 포함할 수도 있다.
도 5 내지 도 8에서 도시된 서버의 아키텍처들은 오직 예로서 제공된다. 특히, 서버(SV)는 고유의 머신 또는 임의의 수의 머신들에서 구현될 수도 있다.

Claims (11)

  1. 서비스에 대한 액세스를 관리하기 위한 방법으로서,
    클라이언트 애플리케이션(CA)이 크리덴셜들 및 제1 복제-방지 코드(anti-clone code)(ACC1)를 이용함으로써 서비스에 액세스하기 위한 요청을 애플리케이션 서버(SV)로 전송하는 단계,
    상기 애플리케이션 서버(SV)가 상기 크리덴셜들 및 상기 제1 복제-방지 코드(ACC1)의 검증을 수행하는 단계, 및
    상기 애플리케이션 서버(SV)가 제2 복제-방지 코드(ACC2)를 상기 클라이언트 애플리케이션(CA)으로 전송하고, 성공적인 검증의 경우에만 상기 제1 복제-방지 코드(ACC1)를 비활성화하는 단계 - 상기 제2 복제-방지 코드(ACC2)는 상기 서비스에 액세스하기 위한 다음 시도에 요구됨 -
    를 포함하는 것을 특징으로 하는 방법.
  2. 제1항에 있어서,
    상기 애플리케이션 서버(SV)는 상기 클라이언트 애플리케이션(CA)과 연관된 복원 데이터(restoring data)(RD)를 이전에 레코딩하였고, 상기 클라이언트 애플리케이션(CA)은 사용자(US)에게 할당되고, 상기 검증의 실패의 경우에, 상기 애플리케이션 서버(SV)는 아이덴티티 데이터(identity data)(ID)를 전송하도록 상기 사용자(US)에 요청하고, 상기 아이덴티티 데이터(ID)가 상기 복원 데이터(RD)와 부합하는 경우, 상기 애플리케이션 서버(SV)는 상기 서비스에 대한 액세스를 인가하고, 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 새로운 복제-방지 코드를 상기 클라이언트 애플리케이션(CA)으로 전송하는 방법.
  3. 제1항에 있어서,
    상기 애플리케이션 서버(SV)는 상기 클라이언트 애플리케이션(CA)과 연관된 복원 데이터(RD)를 이전에 레코딩하였고, 상기 클라이언트 애플리케이션(CA)은 사용자(US)에게 할당되고, 복제된 클라이언트 애플리케이션(CA2)은 상기 클라이언트 애플리케이션(CA)에 도난된 복제-방지 코드를 이용함으로써 상기 서비스에 대한 액세스를 승인받았고, 상기 애플리케이션 서버(SV)는 아이덴티티 데이터(ID)를 전송하도록 상기 사용자(US)에 요청하고, 상기 아이덴티티 데이터(ID)가 상기 복원 데이터(RD)와 부합하는 경우, 상기 애플리케이션 서버(SV)는 상기 복제된 클라이언트 애플리케이션(CA2)에 대하여 상기 서비스에 대한 액세스를 제거하고, 상기 서비스에 액세스하도록 상기 클라이언트 애플리케이션(CA)을 인가하고, 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 새로운 복제-방지 코드를 상기 클라이언트 애플리케이션(CA)으로 전송하는 방법.
  4. 제1항에 있어서,
    상기 제1 및 제2 복제-방지 코드(ACC1, ACC2)는 패스워드들 또는 키들로서 상기 클라이언트 애플리케이션(CA)에 의해 이용되는 방법.
  5. 클라이언트 애플리케이션(CA)에 서비스를 제공할 수 있는 애플리케이션 서버(SV)로서 - 상기 애플리케이션 서버(SV)는 상기 클라이언트 애플리케이션(CA)과 보안성있고 인증된 세션을 확립하도록 구성됨 -,
    상기 애플리케이션 서버(SV)는 제1 복제-방지 코드(ACC1)를 상기 세션을 통해 상기 클라이언트 애플리케이션(CA)으로 전송하도록 구성되고,
    상기 애플리케이션 서버(SV)는, 상기 클라이언트 애플리케이션(CA)에 의해 전송된 요청이 크리덴셜들 및 상기 제1 복제-방지 코드(ACC1)를 이용하여 올바르게 생성되었다는 것을 검증하도록 적응되고,
    상기 애플리케이션 서버(SV)는 제2 복제-방지 코드(ACC2)를 상기 클라이언트 애플리케이션(CA)으로 전송하고, 성공적인 검증의 경우에만 상기 제1 복제-방지 코드(ACC1)를 비활성화하도록 구성되고, 상기 제2 복제-방지 코드(ACC2)는 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 것을 특징으로 하는 애플리케이션 서버.
  6. 제5항에 있어서,
    상기 애플리케이션 서버(SV)는 등록 스테이지(enrollment stage) 동안 상기 클라이언트 애플리케이션(CA)과 연관된 복원 데이터(RD)를 레코딩하도록 구성되고, 상기 클라이언트 애플리케이션(CA)은 사용자(US)에게 할당되고, 상기 검증의 실패의 경우에, 상기 애플리케이션 서버(SV)는 아이덴티티 데이터(ID)를 전송하게 상기 사용자(US)에 요청하도록 구성되고, 상기 아이덴티티 데이터(ID)가 상기 복원 데이터(RD)와 부합하는 경우, 상기 애플리케이션 서버(SV)는 상기 서비스에 대한 액세스를 인가하고, 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 새로운 복제-방지 코드를 상기 클라이언트 애플리케이션(CA)으로 전송하도록 구성되는 애플리케이션 서버.
  7. 제5항에 있어서,
    상기 애플리케이션 서버(SV)는 한번에 하나의 클라이언트 엔티티에 의한 상기 서비스에 대한 액세스를 인가하도록 구성되고, 상기 애플리케이션 서버(SV)는 등록 스테이지 동안 상기 클라이언트 애플리케이션(CA)과 연관된 복원 데이터(RD)를 레코딩하도록 구성되고, 상기 클라이언트 애플리케이션(CA)은 사용자(US)에게 할당되고, 복제된 클라이언트 애플리케이션(CA2)이 상기 클라이언트 애플리케이션(CA)에 도난된 복제-방지 코드를 이용함으로써 상기 서비스에 대한 액세스를 승인받았을 경우, 상기 애플리케이션 서버(SV)는 아이덴티티 데이터(ID)를 전송하게 상기 사용자(US)에 요청하도록 구성되고, 상기 아이덴티티 데이터(ID)가 상기 복원 데이터(RD)와 부합하는 경우, 상기 애플리케이션 서버(SV)는 상기 복제된 클라이언트 애플리케이션(CA2)에 대하여 상기 서비스에 대한 액세스를 제거하고, 상기 서비스에 액세스하도록 상기 클라이언트 애플리케이션(CA)을 인가하고, 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 새로운 복제-방지 코드를 상기 클라이언트 애플리케이션(CA)으로 전송하도록 구성되는 애플리케이션 서버.
  8. 제5항에 있어서,
    상기 애플리케이션 서버(SV)는, 상기 제1 및 제2 복제-방지 코드(ACC1, ACC2)가 패스워드들 또는 키들로서 상기 클라이언트 애플리케이션(CA)에 의해 이용되는 것을 검사하도록 구성되는 애플리케이션 서버.
  9. 제5항에 있어서,
    상기 애플리케이션 서버(SV)는 상기 클라이언트 애플리케이션(CA)을 내장하는 디바이스의 핑거프린트(FP)를 레코딩하도록 구성되고, 상기 애플리케이션 서버(SV)는, 상기 크리덴셜들이 상기 핑거프린트(FP)를 포함하는 것을 검사하도록 구성되는 애플리케이션 서버.
  10. 서비스에 액세스하도록 설계된 클라이언트 애플리케이션(CA)으로서 - 상기 클라이언트 애플리케이션(CA)은 제1 서버와 보안성있고 인증된 세션을 확립하도록 구성됨 -,
    상기 클라이언트 애플리케이션(CA)은 상기 서비스에 액세스하기 위한 요청을 제2 서버로 전송하도록 구성되고, 상기 클라이언트 애플리케이션(CA)은, 상기 세션을 통해 상기 제1 서버에 의해 이전에 제공된 제1 복제-방지 코드(ACC1) 및 크리덴셜들 양자 모두를 이용하여 상기 요청을 생성하도록 구성되고, 상기 클라이언트 애플리케이션(CA)은, 상기 요청이 상기 제2 서버에 의해 성공적으로 수락된 경우, 상기 서비스에 액세스하기 위한 다음 시도에 요구되는 제2 복제-방지 코드(ACC2)를 상기 제1 서버에 요청하도록 구성되는 것을 특징으로 하는 클라이언트 애플리케이션.
  11. 제8항에 있어서,
    상기 제1 서버는 상기 클라이언트 애플리케이션(CA)과 연관된 복원 데이터(RD)를 저장하고, 상기 클라이언트 애플리케이션(CA)은 사용자(US)에게 할당되고, 상기 클라이언트 애플리케이션(CA)은, 상기 요청이 상기 제2 서버에 의해 거절된 경우, 상기 사용자(US)에 의해 제공되며 상기 제1 서버에 의해 상기 복원 데이터(RD)에 대비하여 검사되도록 의도된 아이덴티티 데이터(ID)에 기초하여 복제-방지 코드 갱신의 프로세스를 시작하게 상기 제1 서버에 요청하도록 구성되는 클라이언트 애플리케이션.
KR1020177032008A 2015-05-07 2016-04-25 서비스에 대한 액세스를 관리하는 방법 KR101943786B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP15305697.3A EP3091769A1 (en) 2015-05-07 2015-05-07 Method of managing access to a service
EP15305697.3 2015-05-07
PCT/EP2016/059178 WO2016177597A1 (en) 2015-05-07 2016-04-25 Method of managing access to a service

Publications (2)

Publication Number Publication Date
KR20170134657A true KR20170134657A (ko) 2017-12-06
KR101943786B1 KR101943786B1 (ko) 2019-01-29

Family

ID=53191616

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177032008A KR101943786B1 (ko) 2015-05-07 2016-04-25 서비스에 대한 액세스를 관리하는 방법

Country Status (6)

Country Link
US (1) US10251062B2 (ko)
EP (2) EP3091769A1 (ko)
JP (1) JP6475366B2 (ko)
KR (1) KR101943786B1 (ko)
CN (1) CN107534674B (ko)
WO (1) WO2016177597A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102278808B1 (ko) * 2020-01-10 2021-07-16 남서울대학교 산학협력단 Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108696868B (zh) * 2017-03-01 2020-06-19 西安西电捷通无线网络通信股份有限公司 用于网络连接的凭证信息的处理方法和装置
CN111565392B (zh) * 2020-04-13 2022-08-12 中国联合网络通信集团有限公司 一种通信方法及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706511B1 (ko) * 2006-06-07 2007-04-13 주식회사 케이티프리텔 복제폰이 차단되는 무선인터넷 서비스 제공 방법 및 시스템
WO2014014793A1 (en) * 2012-07-17 2014-01-23 CallSign, Inc. Anti-cloning system and method

Family Cites Families (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5237612A (en) * 1991-03-29 1993-08-17 Ericsson Ge Mobile Communications Inc. Cellular verification and validation system
IL124895A0 (en) * 1998-06-14 1999-01-26 Csafe Ltd Methods and apparatus for preventing reuse of text images and software transmitted via networks
KR20030063446A (ko) * 2000-12-22 2003-07-28 나그라비젼 에스에이 복제 방지 방법
JP2002342271A (ja) * 2001-05-16 2002-11-29 Hitachi Software Eng Co Ltd ウェブアクセスにおける重複ログイン監視方法およびシステム
US20030163693A1 (en) * 2002-02-28 2003-08-28 General Instrument Corporation Detection of duplicate client identities in a communication system
JP2003338814A (ja) * 2002-05-20 2003-11-28 Canon Inc 通信システム、管理サーバおよびその制御方法ならびにプログラム
JP2004118541A (ja) * 2002-09-26 2004-04-15 Hitachi Information Systems Ltd 認証処理システムと認証処理方法およびプログラム
US7406501B2 (en) * 2003-03-24 2008-07-29 Yahoo! Inc. System and method for instant messaging using an e-mail protocol
EP1530392A1 (fr) 2003-11-04 2005-05-11 Nagracard S.A. Méthode de gestion de la sécurité d'applications avec un module de sécurité
JP2006268719A (ja) 2005-03-25 2006-10-05 Nec Corp パスワード認証システム及びパスワード認証方法
JP2007102778A (ja) 2005-10-04 2007-04-19 Forval Technology Inc ユーザ認証システムおよびその方法
JP2008015877A (ja) 2006-07-07 2008-01-24 Fujitsu Ltd 認証システム及びその方法
US20080015877A1 (en) * 2006-07-14 2008-01-17 Vulano Group, Inc. System for product placement rendering in a multi-media program
JP2008071097A (ja) * 2006-09-14 2008-03-27 Nomura Research Institute Ltd 認証装置、認証システム、プログラム、及び記録媒体
JP4536051B2 (ja) * 2006-10-11 2010-09-01 Necインフロンティア株式会社 無線lan端末を認証する認証システム、認証方法、認証サーバ、無線lan端末、及びプログラム
CN101064695A (zh) * 2007-05-16 2007-10-31 杭州看吧科技有限公司 一种P2P(Peer to Peer)安全连接的方法
US8925073B2 (en) * 2007-05-18 2014-12-30 International Business Machines Corporation Method and system for preventing password theft through unauthorized keylogging
JP2009193272A (ja) * 2008-02-13 2009-08-27 Aruze Corp 認証システム及び携帯端末
US8301900B1 (en) * 2008-12-18 2012-10-30 Google Inc. Secure transformable password generation
US8643475B1 (en) * 2009-04-13 2014-02-04 University Of Washington Through Its Center For Commercialization Radio frequency identification secret handshakes
US8868923B1 (en) * 2010-07-28 2014-10-21 Sandia Corporation Multi-factor authentication
KR101305639B1 (ko) * 2010-09-10 2013-09-16 삼성전자주식회사 복제 방지를 위한 비휘발성 저장 장치 및 그 저장 장치의 인증 방법
CN102625304B (zh) * 2011-01-27 2016-01-20 腾讯科技(深圳)有限公司 失效移动终端关联应用记住密码的系统、装置及方法
US9444816B2 (en) * 2011-03-30 2016-09-13 Qualcomm Incorporated Continuous voice authentication for a mobile device
US8924712B2 (en) * 2011-11-14 2014-12-30 Ca, Inc. Using QR codes for authenticating users to ATMs and other secure machines for cardless transactions
US9747480B2 (en) * 2011-12-05 2017-08-29 Adasa Inc. RFID and robots for multichannel shopping
KR101226316B1 (ko) * 2012-01-27 2013-02-01 정해탁 잠금장치가 장착된 제품의 제품고유번호 확인을 통한 진품여부 확인 및 정보 유출시 신규 데이터베이스 생성 및 잠금해정번호의 갱신이 가능한 진품여부 확인 시스템과, 잠금해정번호 획득을 통한 진품 여부 확인 방법
US8997254B2 (en) * 2012-09-28 2015-03-31 Sonic Ip, Inc. Systems and methods for fast startup streaming of encrypted multimedia content
JP2015001764A (ja) * 2013-06-13 2015-01-05 パナソニックIpマネジメント株式会社 認証方法、通信システム、機器およびサーバ
US9419988B2 (en) * 2013-06-20 2016-08-16 Vonage Business Inc. System and method for non-disruptive mitigation of messaging fraud
CN103457738B (zh) * 2013-08-30 2017-02-22 优视科技有限公司 基于浏览器的登陆处理方法及系统
CN103491084B (zh) * 2013-09-17 2016-06-15 天脉聚源(北京)传媒科技有限公司 一种客户端的认证处理方法及装置
US10033732B1 (en) * 2016-11-09 2018-07-24 Symantec Corporation Systems and methods for detecting cloning of security tokens

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100706511B1 (ko) * 2006-06-07 2007-04-13 주식회사 케이티프리텔 복제폰이 차단되는 무선인터넷 서비스 제공 방법 및 시스템
WO2014014793A1 (en) * 2012-07-17 2014-01-23 CallSign, Inc. Anti-cloning system and method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102278808B1 (ko) * 2020-01-10 2021-07-16 남서울대학교 산학협력단 Tcp 패킷을 이용한 단일 패킷 인증 시스템 및 그 방법

Also Published As

Publication number Publication date
EP3292709A1 (en) 2018-03-14
KR101943786B1 (ko) 2019-01-29
US20180091977A1 (en) 2018-03-29
CN107534674B (zh) 2021-03-16
EP3292709B1 (en) 2019-06-05
JP6475366B2 (ja) 2019-02-27
CN107534674A (zh) 2018-01-02
US10251062B2 (en) 2019-04-02
EP3091769A1 (en) 2016-11-09
WO2016177597A1 (en) 2016-11-10
JP2018516403A (ja) 2018-06-21

Similar Documents

Publication Publication Date Title
US11223614B2 (en) Single sign on with multiple authentication factors
US8490169B2 (en) Server-token lockstep systems and methods
ES2645289T3 (es) Autenticación de transacciones seguras
EP3346660B1 (en) Authentication information update method and device
US8266683B2 (en) Automated security privilege setting for remote system users
US20100313018A1 (en) Method and system for backup and restoration of computer and user information
US11750395B2 (en) System and method for blockchain-based multi-factor security authentication between mobile terminal and IoT device
KR101451359B1 (ko) 사용자 계정 회복
CN110690972B (zh) 令牌认证方法、装置、电子设备及存储介质
WO2012091974A1 (en) Shared registration system multi-factor authentication tokens
WO2002017555A2 (en) Countering credentials copying
WO2012117253A1 (en) An authentication system
US8504824B1 (en) One-time rotating key for third-party authentication
JP2006311529A (ja) 認証システムおよびその認証方法、認証サーバおよびその認証方法、記録媒体、プログラム
KR101943786B1 (ko) 서비스에 대한 액세스를 관리하는 방법
CN111797367A (zh) 软件认证方法及装置、处理节点及存储介质
JP2009003501A (ja) ワンタイムパスワード認証システム
CN110034922B (zh) 请求处理方法、处理装置以及请求验证方法、验证装置
EP2359525B1 (en) Method for enabling limitation of service access
JP3940283B2 (ja) チケットを用いて相互に認証するサービス予約及び提供方法、そのプログラム並びに該プログラムを記録した記録媒体
US20080060060A1 (en) Automated Security privilege setting for remote system users
WO2022085154A1 (ja) 制御方法、情報処理装置、および制御プログラム
GB2541449A (en) Restricted service access method
CN117897700A (zh) 用于控制对软件资产的访问的方法和装置
CN117200993A (zh) 基于国密加密算法的多因子认证管理与实现方法及系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant