KR20180027378A - 보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들 - Google Patents

보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들 Download PDF

Info

Publication number
KR20180027378A
KR20180027378A KR1020170113204A KR20170113204A KR20180027378A KR 20180027378 A KR20180027378 A KR 20180027378A KR 1020170113204 A KR1020170113204 A KR 1020170113204A KR 20170113204 A KR20170113204 A KR 20170113204A KR 20180027378 A KR20180027378 A KR 20180027378A
Authority
KR
South Korea
Prior art keywords
communication device
location information
mobile communication
access
processor
Prior art date
Application number
KR1020170113204A
Other languages
English (en)
Other versions
KR101947917B1 (ko
Inventor
마르틴 부크
페터 플뤼쓰
마르켈 플뤼쓰
Original Assignee
레긱 이덴트시스템스 아게
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 레긱 이덴트시스템스 아게 filed Critical 레긱 이덴트시스템스 아게
Publication of KR20180027378A publication Critical patent/KR20180027378A/ko
Application granted granted Critical
Publication of KR101947917B1 publication Critical patent/KR101947917B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B1/00Details of transmission systems, not covered by a single one of groups H04B3/00 - H04B13/00; Details of transmission systems not characterised by the medium used for transmission
    • H04B1/38Transceivers, i.e. devices in which transmitter and receiver form a structural unit and in which at least one part is used for functions of transmitting and receiving
    • H04B1/40Circuits
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/63Location-dependent; Proximity-dependent
    • H04W12/64Location-dependent; Proximity-dependent using geofenced areas
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/025Services making use of location information using location based information parameters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/029Location-based management or tracking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/02Terminal devices
    • H04W88/06Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하기 위해, 보안 데이터 패키지가 컴퓨터 시스템 (4) 로부터 모바일 무선 네트워크를 통해 모바일 통신 장치 (1) 로 송신된다 (S2). 모바일 통신 장치 (1) 는 근거리 통신 디바이스 (2) 의 통신 범위에 배치되고 근거리 통신 디바이스 (2) 로부터 디바이스 로케이션 정보를 포함하는 데이터 판독 요청을 수신한다 (S6). 모바일 통신 장치 (1) 가 모바일 통신 장치 (1) 의 현재의 로케이션을 결정한다 (S7). 수신된 디바이스 로케이션 정보와의 현재의 장치 로케이션의 일치의 경우, 모바일 통신 장치 (1) 가 긍정적인 액세스 인가를 결정하고 (S8), 보안 데이터 패키지를 근거리 통신 디바이스 (2) 로 전송한다 (S9).

Description

보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들{METHOD AND DEVICES FOR TRANSMITTING A SECURED DATA PACKAGE TO A COMMUNICATION DEVICE}
본 발명은 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 (short-range) 통신 디바이스로 송신하는 방법 및 디바이스들에 관한 것이다. 구체적으로는, 본 발명은 모바일 통신 장치, 근거리 통신 디바이스, 및 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 송신하는 방법에 관한 것이다.
수년 동안, 전자 터미널 디바이스들이 수동 RFID 트랜스폰더들 (무선 주파수 식별자) 과 함께, 액세스 제어 시스템들에 설치되어 사용되어 왔다. 전자 터미널 디바이스들은 근거리 통신 디바이스들로서 구성되었으며, 빌딩 또는 객실과 같은 액세스 제어 영역, 또는 차 또는 자동 판매기의 상품들, 등과 같은 액세스 제어 오브젝트들에의 액세스를 제어하기 위해 RFID 트랜스폰더들로부터 무선 방식으로 액세스 권한들 또는 적어도 사용자 식별자들을 판독하는 RFID 리더들을 포함하였다. 능동 RFID-기반의 통신 인터페이스들, 소위 NFC 인터페이스들 (근접 장 통신) 을 포함한 모바일 무선 폰들 (셀룰러 폰들, 스마트 폰들) 의 도래에 따라, RFID 카드들, 동글들, 또는 기타 등등의 형태인, 수동 RFID 트랜스폰더들 대신, 이러한 모바일 통신 장치들을 액세스 권한들의 캐리어들로서 사용하는 것이 가능하게 되었다. 액세스 제어 시스템들의 운영자들 및 사용자들 양쪽은, RFID 카드들, 동글들, 또는 기타 등등의 형태인, 특수 목적 RFID 트랜스폰더들을 사용하는 것이 더 이상 불필요하였기 때문에, 근거리 통신 디바이스들과의 로컬 또는 직접 무선 통신 링크들을 확립하기 위해 무선-기반의 통신 모듈들을 가진 모바일 통신 장치들의 제공을 환영하였다. 더욱이, 모바일 통신 장치들은, 유연성 및 융통성을 향상시키기 위해 근거리 통신 디바이스들이 이러한 추가적인 통신 인터페이스들을 추가로 갖추는 것으로 이어지는, Bluetooth (BT) 또는 저전력 Bluetooth (BLE) 와 같은 다른 근거리 통신용 통신 인터페이스들을 포함하였다. 그럼에도 불구하고, 모바일 통신 장치들의 사용 및 근거리 통신 디바이스들의 향상된 유연성 및 융통성은 근거리 통신 디바이스들의 적용들 및 설치들의 횟수를 더욱 증가시켰지만, 근거리 통신 디바이스들에 대한 액세스 권한들 및 증명서들의 보안 관리 및 제어는 여전히 어려움을 겪었으며, 일반적으로, 백-엔드 시스템들에의 터미널들의 어렵고 값이 비싼 배선을 필요로 하였다. 더욱이, 백-엔드 시스템들로의 통신 링크들이 없는, 소위 독립형 또는 오프-라인 터미널들은 모바일 폰들의 빈번한 소프트웨어 업그레이드들 및 하드웨어 혁신들, 특히, 일반적으로, 소비자 전자 제품들의 세계에서는 관례적인 짧은 제품 수명 사이클들에 따라, 최신으로 유지보수하고 유지하는 것이 어렵다.
본 발명의 목적은 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 송신하는, 선행 기술의 단점들 중 적어도 일부를 가지지 않는, 방법 및 디바이스들을 제공하는 것이다.
본 발명에 따르면, 이들 목적들은 독립항들의 특징들을 통해서 달성된다. 게다가, 추가적인 유리한 실시형태들은 종속항들 및 그 설명으로부터 이해된다.
모바일 통신 장치는 모바일 무선 네트워크를 통한 데이터 통신용으로 구성된 제 1 회로, 근거리 통신 디바이스와의 근거리 통신용으로 구성된 제 2 회로, 및 모바일 통신 장치의 현재의 로케이션을 표시하는 장치 로케이션 정보를 결정하도록 구성된 제 3 회로를 포함한다.
본 발명에 따르면, 위에서 언급된 목적들은, 특히 모바일 통신 장치가, 제 1, 제 2, 및 제 3 회로들에 접속된 프로세서로서, 상기 프로세서는, 모바일 무선 네트워크를 통해 컴퓨터 시스템으로부터 보안 데이터 패키지를 수신하고; 근거리 통신 디바이스로부터 디바이스 로케이션 정보를 수신하고; 디바이스 로케이션 정보와 장치 로케이션 정보의 일치를 검증하는 것, 디바이스 로케이션 정보와 장치 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 디바이스 로케이션 정보와 장치 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하고; 그리고 긍정적인 액세스 인가의 경우 보안 데이터 패키지를 근거리 통신 디바이스로 전송하고, 부정적인 액세스 인가의 경우 보안 데이터 패키지를 근거리 통신 디바이스로 전송하지 않도록 구성된, 상기 프로세서를 더 포함한다는 점에서 달성된다. 모바일 통신 장치를 통신 중재자로서 이용하는 것은 보안 데이터 패키지를 컴퓨터 시스템으로부터 컴퓨터 시스템에의 어떤 직접 접속도 갖지 않는 근거리 통신 디바이스로 전송하는 것을 가능하게 한다. 보안 데이터 패키지는 모바일 통신 장치가 컴퓨터 시스템에 접속될 때는 온-라인 모드에서, 그리고 모바일 통신이 컴퓨터 시스템에의 어떤 접속도 갖지 않을 때는 오프-라인 모드에서, 근거리 통신 디바이스로 전송될 수 있다. (유선으로 미접속된) 근거리 통신 디바이스가 다른 로케이션으로 부정하게 이동되거나 또는 근거리 통신 디바이스에 저장된 디바이스 로케이션에 일치하지 않는 로케이션에 실수로 설치되는 절충된 (compromised) 시나리오들에서는, 모바일 통신 장치에서, 근거리 통신 디바이스의 로케이션 정보와의 모바일 통신 장치의 로케이션의 일치를 검증함으로써, 모바일 통신 장치로부터 근거리 통신 디바이스로의 보안 데이터 패키지 (또는, 그와 관련된 임의의 다른 비밀 또는 중요 데이터) 의 전송이 방지될 수 있다. 더욱이, (암호 키들, 구성 데이터 또는 임의의 다른 비밀 또는 중요 데이터를 포함한) 보안 데이터 패키지가 근거리 통신 디바이스들로 다수의 상이한 통신 기술들, 예컨대 RFID, NFC, WLAN, BT, BLE, 등을 통해서 배포될 수 있다.
일 실시형태에서, 디바이스 로케이션 정보가 데이터 판독 요청에 포함되어 근거리 통신 디바이스로부터 수신되며, 프로세서는 부정적인 액세스 인가의 경우, 판독 요청을 거절하도록 구성된다.
일 실시형태에서, 보안 데이터 패키지는 목표 로케이션 정보와 함께 수신되며, 프로세서는 디바이스 로케이션 정보와 목표 로케이션 정보의 일치를 검증하는 것, 디바이스 로케이션 정보와 목표 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 디바이스 로케이션 정보와 목표 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 액세스 인가를 결정하도록 구성된다.
추가 실시형태들에서, 프로세서는 예컨대, 데이터 판독 요청에 포함된 디바이스 시간 정보를 근거리 통신 디바이스로부터 추가로 수신하고; 그리고 디바이스 시간 정보와 모바일 통신 장치에 저장된 시간 정보의 일치를 검증하는 것, 디바이스 시간 정보와 모바일 통신 장치에 저장된 시간 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 디바이스 시간 정보와 모바일 통신 장치에 저장된 시간 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 액세스 인가를 결정하도록 구성된다.
일 실시형태에서, 보안 데이터 패키지는 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 근거리 통신 디바이스에 대한 구성 데이터, 및/또는 시간 정보를 포함하며, 프로세서는 긍정적인 액세스 인가의 경우 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 구성 데이터, 및/또는 시간 정보를 각각 포함하는, 보안 데이터 패키지를 근거리 통신 디바이스로 전송하고, 그리고 부정적인 액세스 인가의 경우 보안 데이터 패키지를 근거리 통신 디바이스로 전송하지 않도록 구성된다.
일 실시형태에서, 프로세서는 근거리 통신 디바이스에서 디바이스 로케이션 정보를 설정하기 위해, 그리고, 긍정적인 인증 및 액세스 제어의 경우, 장치 로케이션 정보를 이용하여 근거리 통신 디바이스에서 디바이스 로케이션 정보를 설정하기 위해, 근거리 통신 디바이스에 액세스하기 위한, 모바일 통신 장치와 근거리 통신 디바이스 사이의 인증 및 액세스 제어를 관리하는 인증 및 액세스 제어 프로토콜들을 실행하도록 구성된다.
추가 실시형태들에서, 프로세서는 모바일 통신 장치의 보안 데이터 스토어로부터 데이터를 판독하는 것, 데이터를 보안 데이터 스토어에 기록하는 것, 및 모바일 통신 장치의 보안 애플리케이션과 상호작용하는 것 중 적어도 하나를 수행하기 위해, 하나 이상의 비밀 액세스 키들 및/또는 액세스 권한들을 이용하여, 모바일 통신 장치에 액세스하기 위한, 모바일 통신 장치와 근거리 통신 디바이스 사이의 인증 및 액세스 제어를 관리하는, 인증 및 액세스 제어 프로토콜들을 실행하도록 구성된다.
모바일 통신 장치에 추가하여, 본 발명은 또한 모바일 통신 장치와의 근거리 통신용으로 구성된 회로 및 그 회로에 접속된 프로세서를 포함하는, 근거리 통신 디바이스에 관한 것이다. 프로세서는 모바일 통신 장치로부터 데이터 패키지를 수신하도록 구성된다. 데이터 패키지는 모바일 통신 장치의 현재의 로케이션을 표시하는 장치 로케이션 정보를 포함한다. 프로세서는 근거리 통신 디바이스에 저장된 디바이스 로케이션 정보와 모바일 통신 장치로부터 수신된 장치 로케이션 정보의 일치를 검증하는 것, 디바이스 로케이션 정보와 장치 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 디바이스 로케이션 정보와 장치 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하도록 더 구성된다. 프로세서는 긍정적인 액세스 인가의 경우, 모바일 통신 장치로부터 수신된 데이터 패키지의 콘텐츠를 결정하여 근거리 통신 디바이스에 저장하고, 부정적인 액세스 인가의 경우 데이터 패키지를 거절하도록 더 구성된다. 예컨대, 원격, 확장 인터페이스 공격 때문에, 또는 잘못된 로케이션에의 근거리 통신 디바이스의 설치 때문에, 모바일 통신 장치가 근거리 통신 디바이스에 규정되고 저장된 것과는 다른 로케이션에 로케이트되는 절충된 시나리오들에서는, 근거리 통신 디바이스에서, 근거리 통신 디바이스의 로케이션 정보와의 모바일 통신 장치의 로케이션의 일치를 검증함으로써, 모바일 통신 장치로부터의 데이터 패키지의 수용이 방지될 수 있다.
일 실시형태에서, 프로세서는 모바일 통신 장치로부터 시간 정보를 수신하고; 그리고 근거리 통신 디바이스에 저장된 디바이스 시간 정보와 모바일 통신 장치로부터 수신된 시간 정보의 일치를 검증하는 것, 모바일 통신 장치로부터 수신된 시간 정보와 디바이스 시간 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 모바일 통신 장치로부터 수신된 시간 정보와 디바이스 시간 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 액세스 인가를 결정하도록 구성된다.
추가 실시형태들에서, 프로세서는 보안 데이터 패키지로부터 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 근거리 통신 디바이스에 대한 구성 데이터, 및/또는 시간 정보를 추출하고; 그리고 근거리 통신 디바이스의 보안 데이터 스토어에 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 구성 데이터, 및/또는 시간 정보를 각각 저장하도록 구성된다.
일 실시형태에서, 프로세서는 근거리 통신 디바이스에서 디바이스 로케이션 정보를 설정하기 위해, 그리고, 긍정적인 인증 및 액세스 제어의 경우, 모바일 통신 장치로부터 장치 로케이션 정보를 수신하고 장치 로케이션 정보를 이용하여 근거리 통신 디바이스에서 디바이스 로케이션 정보를 설정하기 위해, 근거리 통신 디바이스에 액세스하기 위한, 근거리 통신 디바이스와 모바일 통신 장치 사이의 인증 및 액세스 제어를 관리하는, 인증 및 액세스 제어 프로토콜들을 실행하도록 구성된다.
추가 실시형태들에서, 프로세서는 모바일 통신 장치의 보안 데이터 스토어로부터 데이터를 판독하는 것, 데이터를 보안 데이터 스토어에 기록하는 것, 및/또는 모바일 통신 장치의 보안 애플리케이션과 상호작용하는 것을 수행하기 위해, 하나 이상의 비밀 액세스 키들 및/또는 액세스 권한들을 이용하여, 모바일 통신 장치에 액세스하기 위한, 근거리 통신 디바이스와 모바일 통신 장치 사이의 인증 및 액세스 제어를 관리하는, 인증 및 액세스 제어 프로토콜들을 실행하도록 구성된다.
모바일 통신 장치 및 근거리 통신 디바이스에 더해서, 본 발명은 또한 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 송신하는 방법에 관한 것이다. 본 방법은 보안 데이터 패키지를 컴퓨터 시스템으로부터 모바일 무선 네트워크를 통해 모바일 통신 장치로 송신하는 단계; 모바일 통신 장치를 근거리 통신 디바이스의 통신 범위에 배치하는 단계; 모바일 통신 장치의 현재의 로케이션을 표시하는 장치 로케이션 정보와 근거리 통신 디바이스에 저장된 디바이스 로케이션 정보의 일치를 검증하는 것, 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하는 단계; 및 긍정적인 액세스 인가의 경우, 보안 데이터 패키지를 근거리 통신 디바이스로 전송하고, 그리고 모바일 통신 장치로부터 수신된 데이터 패키지의 콘텐츠를 결정하여 근거리 통신 디바이스에 저장하는 단계를 포함한다.
일 실시형태에서, 본 방법은 모바일 통신 장치에서, 근거리 통신 디바이스로부터 데이터 판독 요청을 수신하는 단계로서, 데이터 판독 요청은 디바이스 로케이션 정보를 포함하는, 상기 데이터 판독 요청을 수신하는 단계; 모바일 통신 장치에서, 장치 로케이션 정보를 결정하는 단계; 모바일 통신 장치에서, 근거리 통신 디바이스로부터 수신된 디바이스 로케이션 정보 및 장치 로케이션 정보에 기초하여 액세스의 제 1 인가를 결정하는 단계; 및 액세스의 긍정적인 제 1 인가의 경우 보안 데이터 패키지를 모바일 통신 장치로부터 근거리 통신 디바이스로 전송하거나, 또는 액세스의 부정적인 제 1 인가의 경우 판독 요청을 거절하는 단계를 더 포함한다.
추가 실시형태들에서, 본 방법은 근거리 통신 디바이스에서, 장치 로케이션 정보를 모바일 통신 장치로부터 수신하는 단계; 근거리 통신 디바이스에서, 근거리 통신 디바이스에 저장된 디바이스 로케이션 정보 및 모바일 통신 장치로부터 수신된 장치 로케이션 정보에 기초하여 액세스의 제 2 인가를 결정하는 단계; 및 액세스의 긍정적인 제 2 인가의 경우 모바일 통신 장치로부터 수신된 보안 데이터 패키지의 콘텐츠를 결정하여 근거리 통신 디바이스에 저장하거나, 또는 액세스의 부정적인 제 2 인가의 경우 데이터 패키지를 거절하는 단계를 더 포함한다.
본 발명은 또한 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 송신하는 방법에 관한 것으로, 본 방법은 보안 데이터 패키지를 컴퓨터 시스템으로부터 모바일 무선 네트워크를 통해 모바일 통신 장치로 송신하는 단계; 모바일 통신 장치를 근거리 통신 디바이스의 통신 범위에 배치하는 단계; 모바일 통신 장치에서, 예컨대, 근거리 통신 디바이스로부터의 데이터 판독 요청에 포함된 디바이스 로케이션 정보를 근거리 통신 디바이스로부터 수신하는 단계; 모바일 통신 장치에서, 모바일 통신 장치의 현재의 로케이션을 표시하는 장치 로케이션 정보를 결정하는 단계; 모바일 통신 장치에서, 근거리 통신 디바이스로부터 수신된 디바이스 로케이션 정보 및 장치 로케이션 정보, 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 경우 액세스의 긍정적인 제 1 인가를 결정하는 것, 및 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 부족 시 액세스의 부정적인 제 1 인가를 결정하는 것에 기초하여 액세스의 제 1 인가를 결정하는 단계; 액세스의 긍정적인 제 1 인가의 경우 보안 데이터 패키지를 모바일 통신 장치로부터 근거리 통신 디바이스로 전송하거나, 또는 액세스의 부정적인 제 1 인가의 경우 판독 요청을 거절하는 단계; 근거리 통신 디바이스에서, 장치 로케이션 정보를 모바일 통신 장치로부터 수신하는 단계; 근거리 통신 디바이스에서, 근거리 통신 디바이스에 저장된 디바이스 로케이션 정보 및 모바일 통신 장치로부터 수신된 장치 로케이션 정보, 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 경우 액세스의 긍정적인 제 2 인가를 결정하는 것, 및 장치 로케이션 정보와 디바이스 로케이션 정보의 일치의 부족 시 액세스의 부정적인 제 2 인가를 결정하는 것에 기초하여 액세스의 제 2 인가를 결정하는 단계; 및 액세스의 긍정적인 제 2 인가의 경우 모바일 통신 장치로부터 수신된 보안 데이터 패키지의 콘텐츠를 결정하여 근거리 통신 디바이스에 저장하거나, 또는 액세스의 부정적인 제 2 인가의 경우 데이터 패키지를 거절하는 단계를 포함한다.
본 발명은 도면들을 참조하여, 일 예로서, 좀더 자세하게 설명될 것이다.
도 1 은 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 전송하도록 구성된 모바일 통신 장치를 개략적으로 예시하는 블록도를 나타낸다.
도 2 는 보안 데이터 패키지를 컴퓨터 시스템으로부터 근거리 통신 디바이스로 송신하는 단계들의 예시적인 시퀀스를 예시하는 흐름도를 나타낸다.
도 3 은 근거리 통신 디바이스에서 로케이션 정보를 설정하는 모바일 통신 장치에 대한 단계들의 예시적인 시퀀스를 예시하는 흐름도를 나타낸다.
도 4 는 모바일 통신 장치에의 근거리 통신 디바이스의 제어된 액세스를 위한 단계들의 예시적인 시퀀스를 예시하는 흐름도를 나타낸다.
도 5 는 모바일 통신 장치로부터 수신된 로케이션 정보에 기초하여, 근거리 통신 디바이스에서, 모바일 통신 장치의 액세스 인가를 검증하는 단계들의 예시적인 시퀀스를 예시하는 흐름도를 나타낸다.
도 1 내지 도 5 에서, 도면부호 1 은 모바일 무선 전화기 (스마트 폰, 스마트 시계) 또는 모바일 컴퓨터, 예컨대, 태블릿 컴퓨터, PDA (개인 휴대 정보단말) 또는 휴대형 개인용 컴퓨터로서 구현되는 모바일 통신 장치를 지칭한다.
도 1 에 예시된 바와 같이, 모바일 통신 장치 (1) 는 모바일 무선 네트워크 통신용으로 구성된 회로 (11), 근거리 통신 디바이스 (2) 와의 근거리 통신용으로 구성된 회로 (13), 및 모바일 통신 장치 (1) 의 현재의 로케이션을 표시하는 장치 로케이션 정보를 결정하도록 구성된 회로 (12) 를 포함한다. 당업자는 이들 회로들 중 2개 이상이 하나의 공통 회로로서 구현될 수 있거나 또는 이들이 별개의 회로들로서 구현될 수 있음을 알 수 있을 것이다.
근거리 통신 회로 (13) 는 근거리 통신 디바이스 (2) 와의 근거리 양방향의 데이터 통신을 위해 구성된다. 근거리 통신 회로 (13) 는 RFID 트랜시버 (무선 주파수 식별자), NFC 트랜시버 (근접 장 통신), BLE 트랜시버 (저에너지 Bluetooth), 및/또는 WLAN (Wi-Fi) 트랜시버를 포함한다. 예를 들어, 근거리 통신 회로 (13) 는 ISO 18092, ISO 15693, 또는 ISO 14443 과 같은 표준들에서 정의된 바와 같은 표준화된 RFID 프로토콜에 따라서, 또는 사유 데이터 송신 또는 RFID 프로토콜에 따라서 비접촉 디바이스와 상호작용하도록 구성된다. 예를 들어, 근거리 통신 회로 (13) 는 100 KHz 내지 2.5GHz 의 범위의 캐리어 주파수에서 동작하도록 구성되며; 특히, 캐리어 주파수가 RFID 시스템의 동작 주파수, 예컨대 6.78MHz, 13.56MHz, 또는 27.12MHz (또는, 13.56MHz 의 다른 배수) 로 설정된다.
모바일 무선 네트워크 통신 회로 (11) 는 모바일 무선 네트워크 (3) 를 통한 원격 컴퓨터 시스템 (4) 과의 데이터 통신용으로 구성된다. 모바일 무선 네트워크 통신 회로 (11) 는 BT (Bluetooth), BLE (Bluetooth Low Energy), WLAN (Wireless Local Area Network), GSM (Global System for Mobile Communications), UMTS (Universal Mobile Telecommunications System) 및/또는 다른 모바일 무선 데이터 통신 서비스들용으로 구성된다. 따라서, 모바일 무선 네트워크 (3) 는 WLAN, GSM 네트워크, UMTS 네트워크, 다른 모바일 무선 데이터 통신 네트워크, 및/또는 인터넷을 포함한다.
장치 로케이션 결정 회로 (12) 는 모바일 통신 장치 (1) 의 현재의 로케이션을 결정하도록 구성된다. 장치 로케이션 결정 회로 (12) 는 위성-기반의 네비게이션을 위한 수신기, 예컨대 GPS 수신기 (위성 위치확인 시스템) 를 포함한다. 대안적으로 또는 추가적으로, 장치 로케이션 결정 회로 (12) 는 모바일 무선 네트워크 (3) 로부터의 네트워크 데이터를 이용하여 모바일 통신 장치 (1) 의 로케이션을 결정하도록 구성된다.
도 1 에 예시된 바와 같이, 모바일 통신 장치 (1) 는 프로세서 (14), 보안 데이터 스토어 (15), 및 디스플레이 (16) 를 더 포함한다. 프로세서 (14) 는 모바일 무선 네트워크 통신 회로 (11), 장치 로케이션 결정 회로 (12), 근거리 통신 회로 (13), 보안 데이터 스토어 (15), 및 디스플레이 (16) 에 접속된다.
일 실시형태에서, 프로세서 (14) 는 가상 카드 (141) 를 구현하도록 구성 (프로그래밍) 된다. 구체적으로 설명하면, 가상 카드 (141) 는 비일시적 컴퓨터 판독가능 매체 상에 저장되며, 직접, 프로세서-특정의 명령들에 의해, 또는 (중간) 하드웨어 추상화 계층, 예컨대 GlobalPlatform 협회에 의해 규정된 바와 같은 JCOP (Java Card Open Platform) 또는 자바 가상 머신 (JVM) 과 같은 가상 머신 플랫폼을 경유하여 해석가능한 명령들에 의해, 프로세서 (14) 를 제어하도록 구성된 컴퓨터 프로그램 코드를 포함하는 프로그래밍된 소프트웨어 모듈로서 구현된다. 대안적인 실시형태에서, 가상 카드 (141) 는 프로세서 (14) 상에서 구현되는, VHDL 시뮬레이터 상에서 실행하는 VHDL (Very High Speed Integrated Circuit Hardware Description Language) 또는 VHSIC 하드웨어 기술 언어에 의해 구현된다.
가상 카드 (141) 는 하드웨어-구현 스마트 카드, 즉 프로세서 및 메모리 (RAM, ROM) 를 포함하는 칩 카드 또는 집적 회로 카드, 예를 들어, ISO 18092, ISO 21481, ISO 15693, 또는 ISO 14443 과 같은 표준들에서 규정된 바와 같은 표준화된 RFID 프로토콜에 따라서, 또는 사유 데이터 송신 또는 RFID 프로토콜에 따라서 카드 리더와 상호작용하는 RFID 카드의 기능들을 에뮬레이트하도록 구성된다.
도 1 에서, 도면부호 142 는 상이한 애플리케이션들 APP_A, APP_B 를 지칭한다. 일 실시형태에서, 애플리케이션들 APP_A, APP_B 는 가상 카드 (141) 의 카드 애플리케이션들 APP_A, APP_B 로서 구현된다. 애플리케이션들 (142) 은 비일시적 컴퓨터 판독가능 매체 상에 저장되며, 직접, 프로세서-특정의 명령들에 의해, 또는 하드웨어 추상화 계층을 경유하여 해석가능한 명령들에 의해 프로세서 (12) 를 제어하도록 구성된 컴퓨터 프로그램 코드를 포함하는 프로그래밍된 소프트웨어 모듈들로서 구현된다.
프로세서 (14) 또는 가상 카드 (141) 는 각각 (카드) 애플리케이션들 (142) 의 액세스 및 실행을 예컨대, 비-가상 (실제) 스마트 카드 모듈들에 대한 개별 표준들 및 사양들을 준수하여 제어하도록 구성된다. 예를 들어, (카드) 애플리케이션들 (142) 의 액세스 및 실행은 애플리케이션들을 관리하기 위해 GlobalPlatform 협회에 의해 정의된 사양들, MULTOS 컨소시엄에 의해 정의된 스마트 카드들에 대한 MULTOS (Multi Operating System) 보안 표준, Deutsche Telekom AG 의 T-Systems International GmbH 에 의해 정의된 TCOS (TeleSec Chipcard Operating System), Europay International (현재 MasterCard 유럽), MasterCard 및 VISA 에 의해 정의된 EMV 표준, 또는 LEGIC Identsystems AG 에 의해 정의된 MTSC (Master-Token System Control) 에 따라서 제어된다.
도면부호 151 은 보안 데이터 스토어 (15) 에 저장되고 오직 개별 애플리케이션들 APP_A, APP_B 에만 액세스가능한 상이한 애플리케이션들 APP_A, APP_B 에 대한 애플리케이션 데이터를 지칭하며; 예를 들어, 데이터는 프로세서 (14) 또는 가상 카드 (141) 의 상이한 카드 애플리케이션들을 위한 카드 데이터이다.
도 1 에 예시된 바와 같이, 근거리 통신 디바이스 (2) 는 모바일 통신 장치 (1) 와의 예컨대, 수 센티미터 또는 수 미터의 범위의 근거리 데이터 교환을 위해 구성된 근거리 통신 회로 (23) 를 포함한다. 따라서, 근거리 통신 회로 (23) 는 모바일 통신 장치 (1) 의 근거리 통신 회로 (13) 와 호환가능한, RFID 트랜시버, NFC 트랜시버, BLE 트랜시버, 및/또는 WLAN (Wi-Fi) 트랜시버를 포함한다. 근거리 통신 디바이스 (2) 는 보안 데이터 스토어 (21), 및 근거리 통신 회로 (23) 및 보안 데이터 스토어 (21) 에 접속된 프로세서 (22) 를 더 포함한다. 보안 데이터 스토어 (21) 는 근거리 통신 디바이스 (2) 의 프로세서 (22) 에 대해서만 오직 엑세스가능하다.
일 실시형태에서, 근거리 통신 디바이스 (2) 는 집적 회로, 즉 칩으로 구현된다. 일 실시형태에서, 근거리 통신 디바이스 (2) 는 카드 리더, 예컨대 ISO 18092, ISO 21481, ISO 15693, 또는 ISO 14443 와 같은 표준들에서 정의된 바와 같은 표준화된 RFID 프로토콜에 따라서, 또는 사유 데이터 송신 또는 RFID 프로토콜에 따라서 디바이스와 상호작용하는 카드 리더로서 구현된다.
컴퓨터 시스템 (4) 은 모바일 무선 네트워크 (3) 를 통해서 모바일 통신 장치 (1) 와 통신하도록 구성된 하나 이상의 프로세서들을 갖는 하나 이상의 컴퓨터들을 포함한다. 컴퓨터 시스템 (4) 은 신뢰되는 엔터티이며, 실시형태 및/또는 시나리오에 의존하여, 컴퓨터 시스템 (4) 은 컴퓨터 센터, 고정된 컴퓨터, (위에서 모바일 통신 장치 (1) 의 상황에서 설명한 바와 같은) 모바일 통신 장치, 또는 (위에서 근거리 통신 디바이스 (2) 의 상황에서 설명한 바와 같은) 근거리 통신 디바이스로서 구현된다. 일 시나리오에서, 컴퓨터 시스템 (4) 은 컴퓨터 시스템 (4) 에 의한 배포를 위해 보안 데이터가 저장된 스마트 카드와 (일시적으로, 착탈식 또는 고정) 접속하여 사용된다.
컴퓨터 시스템 (4) 은 컴퓨터화된 액세스 권한들 기관 (access rights authority) 으로서 구성된다. 컴퓨터 시스템 (4) 또는 컴퓨터화된 액세스 권한들 기관은 각각 프로세서 (14) 에 의해 구현되는 스마트 카드들을, 예컨대 가상 카드들 (141) 로서 포함한, (스마트) 카드들에 액세스하기 위한 암호 키들 및/또는 액세스 권한들을 저장하고 관리하도록 구성된다. 암호 키들 및/또는 액세스 권한들은 식별된 스마트 카드에 대해, 스마트 카드로부터 데이터를 판독하고, 데이터를 스마트 카드에 기록하고, 그리고 스마트 카드의 특정의 애플리케이션과 상호작용하는 권한들을 정의한다.
다음 단락들에서, 컴퓨터 시스템 (4), 모바일 통신 장치 (1), 및 근거리 통신 디바이스 (2) 에 의해 수행되는 단계들의 예시적인 시퀀스들이 도 2 내지 도 5 를 참조하여 설명된다.
도 2 는 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하는 단계들의 예시적인 시퀀스를 예시한다. 아래에서 좀더 자세하게 설명되는 바와 같이, 보안 데이터 패키지가 컴퓨터 시스템 (4) 으로부터 모바일 통신 장치 (1) 를 통해 근거리 통신 디바이스 (2) 로 송신된다. 사용자 선택, 애플리케이션 시나리오, 및 또는 구성 세팅들에 의존하여, 보안 데이터 패키지는 온라인-모드에서 또는 오프-라인 모드에서 송신된다. 온-라인 모드에서, 모바일 통신 장치 (1) 는 모바일 무선 네트워크 (3) 를 통해 컴퓨터 시스템 (4) 까지의 접속을 가지며, 보안 데이터 패키지를 근거리 통신 디바이스 (2) 로 전송하기 위한 컴퓨터 시스템 (4) 에 대한 중재자 또는 릴레이 엔터티로서 동작하며, 한편 모바일 통신 장치 (1) 는 컴퓨터 시스템 (4) 에 모바일 무선 네트워크 (3) 를 통해서, 즉 온-라인으로 접속된다. 오프-라인 모드에서, 모바일 통신 장치 (1) 는 모바일 무선 네트워크 (3) 를 통한 컴퓨터 시스템 (4) 에의 접속이 존재하는 동안 컴퓨터 시스템 (4) 으로부터 보안 데이터 패키지를 수신하여 저장하고, 그후에-추후, 모바일 무선 네트워크 (3) 를 통한 컴퓨터 시스템 (4) 에의 접속 없이, 즉 오프-라인으로, 저장된 보안 데이터 패키지를 근거리 통신 디바이스 (2) 로 전송하는 저장-및-포워딩 엔터티로서 동작한다.
도 2 에 예시된 바와 같이, 블록 B 의 단계들에서, 보안 데이터 패키지는 컴퓨터 시스템 (4) 으로부터 모바일 무선 네트워크 (3) 를 통해 모바일 통신 장치 (1) 로 송신된다.
옵션적인 준비 단계 S0 에서, 구성 요청이 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 로부터, 각각 컴퓨터 시스템 (4) 으로 송신된다. 예를 들어, 구성 요청은 프로세서 (14) 에 의해 구현되거나 또는 스마트 카드들 또는 스마트 카드들의 가상 구현예들 상에 설치되는 하나 이상의 특정 (카드) 애플리케이션들과 상호작용하도록 하나 이상의 규정된 근거리 통신 디바이스들 (2) 을 셋업하고 구성할 계획인 인가된 서비스 인력 (service person) 에 의해 실행의뢰 (submit) 된다.
단계 S1 에서, 모바일 통신 장치 (1) 로부터, 또는 다른 인가된 유닛 또는 사용자로부터의 구성 요청에 응답하여, 또는 그 자신의 주도 (initiative) 로, 컴퓨터 시스템 (4) 은 보안 데이터 패키지를 발생시킨다. 데이터 패키지는 그의 콘텐츠 중 적어도 일부가 암호화된다는 점에서 보호된다. 보안 데이터 패키지의 암호화된 콘텐츠는 오직 해독 알고리즘 및 비밀 해독 키를 포함한, 적합한 해독 수단을 가진 수신자에 의해 해독될 수 있다. 보안 데이터 패키지의 콘텐츠 또는 페이로드는 암호 액세스 키들, 액세스 권한들, 구성 데이터, 시간 정보, 및/또는 로케이션 정보를 포함한다. 구성 데이터는 구성 파라미터들의 값들 및/또는 실행가능한 프로그램 코드를 포함한다. 일 실시형태에서, 보안 데이터 패키지는 계층적 및/또는 네스트된 구조를 갖는다, 즉 제 1 해독 키에 의해 액세스가능한 제 1 보안 데이터 패키지의 콘텐츠는 상이한 제 2 해독 키에 의해 액세스가능한 다른 제 2 보안 데이터 패키지를 포함할 수도 있다. 일 실시형태에서, 보안 데이터 패키지는, 의도된 수신자(들) 을 식별하는 어드레싱 정보, 예컨대 근거리 통신 디바이스(들) 의 한 특정의 또는 하나의 그룹의 네트워크 어드레스들 또는 디바이스 식별자들, 및 의도된 수신자(들) 의 지리적 위치 또는 영역을 규정하는 목표 로케이션 정보, 예컨대 좌표들, 우편 주소, 및/또는 층 수, 객실 번호 또는 이름, 디바이스 번호 또는 이름, 등을 포함한 서술 정보를 포함하는, 목표 또는 수신자 정보를 더 포함하거나 (비-암호화되거나) 또는 그에 링크된다. 일 실시형태에서, 컴퓨터 시스템 (4) 은 보안 데이터 패키지 또는 그의 콘텐츠를 스마트 카드로부터 RFID 또는 NFC 인터페이스를 경유하여 또는 접촉-기반의 인터페이스를 통해서 판독한다.
단계 S2 에서, 보안 데이터 패키지가 컴퓨터 시스템 (4) 로부터 모바일 무선 네트워크 (3) 를 통해 모바일 통신 장치 (1) 로 송신된다.
단계 S3 에서, 보안 데이터 패키지가 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 에 의해 각각 수신된다.
단계 S4 에서, 모바일 통신 장치 (1) 가 근거리 통신 디바이스 (2) 의 통신 범위에 들어간다. 근거리 통신 디바이스 (2) 는 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 의 존재를 각각 검출하고, 인증 및 액세스 제어가 근거리 통신 디바이스 (2) 와 모바일 통신 장치 (1) 의 프로세서 (14) 또는 가상 카드 (141) 사이에, 근거리 통신 회로들 (13, 23) 을 통해 실행된다. 당업자는 여러 표준화된 또는 사유 암호 알고리즘들이 근거리 통신 디바이스 (2) 와 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 사이에 인증 및 액세스 제어 프로토콜들을 수행하기 위해 사용될 수도 있음을 알 수 있을 것이다. 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22), 각각, 및 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 각각은, 예컨대 GlobalPlatform 협회에 의해 기술된 바와 같은, ISO 7816 및/또는 ISO 9798 과 같은, 비-가상 (실제) 스마트 카드 모듈들을 위한 개별 표준들 및 사양들을 준수하여 인증 및 액세스 제어 프로토콜들을 수행하도록 구성된다.
단계 S5 에서, 성공적인 인증 및 인가 시, 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22) 각각은 데이터 판독 요청을 발생시킨다. 데이터 판독 요청은 특정의 근거리 통신 디바이스 (2) 의 (구성된/프로그래밍된) 로케이션을 표시하는, 근거리 통신 디바이스 (2) 에 저장된 바와 같은 디바이스 로케이션 정보 (211) 를 포함한다. 디바이스 로케이션 정보 (211) 는 근거리 통신 디바이스 (2) 의 보안 데이터 스토어 (21) 에 저장된다. 시나리오 또는 실시형태에 의존하여, 디바이스 로케이션 정보 (211) 는 근거리 통신 디바이스 (2) 가 설치되기 전에, 예컨대 제조 또는 구성 프로세스 동안, 또는 아래에서 더 자세히 설명되는 바와 같이, 이미 설치되어 있을 때에는 인증된 현장 (on-site) 구성을 통해서, 보안 데이터 스토어 (21) 에 저장된다. 일반적으로, 근거리 통신 디바이스 (2) 는 정지된 근거리 통신 디바이스 (2) 로서 설치되며, 디바이스 로케이션 정보 (211) 는 근거리 통신 디바이스 (2) 의 구성된 정지된 로케이션을 표시한다. 그럼에도 불구하고, 그 애플리케이션에 따라서, 예컨대 자동차와 함께, 근거리 통신 디바이스 (2) 는 이동성일 수 있으며, 디바이스 로케이션 정보 (211) 는 보안 데이터 패키지들을 인가된 모바일 통신 장치 (2) 로부터 예컨대, 서비스하는 스테이션 또는 영역에서 수신하도록 허용되는 근거리 통신 디바이스 (2) 의 구성된 정지된 로케이션을 표시한다.
단계 S6 에서, 데이터 판독 요청이 근거리 통신 디바이스 (2) 로부터 모바일 통신 장치 (1) 로 근거리 통신 회로들 (13, 23) 을 통해 송신된다.
단계 S7 에서, 장치 로케이션 결정 회로 (12) 를 이용하여, 모바일 통신 장치 (1) 의 프로세서 (14) 는 그의 현재의 로케이션을 결정한다 (음영 지점 (dead spot) 의 경우, 최종 결정된 가용 로케이션이 사용된다). 일 실시형태에서, 모바일 통신 장치 (1) 의 프로세서 (14) 는 모바일 통신 장치 (1) 의 현재의 로케이션과 매칭하는 목표 로케이션을 가지는 보안 데이터 패키지를 저장하고 있는지 여부를 체크한다. 매칭하는 목표 로케이션을 가지는 어떤 보안 데이터 패키지도 존재하지 않으면, 프로세서 (14) 는 어떤 보안 데이터 패키지도 현재의 로케이션에 대해 이용불가능하다는 것을 모바일 통신 장치 (1) 의 사용자에게 통지하는 경보 메시지를 발생시키고; 아니면, 프로세서 (14) 는 단계 S8 로 진행한다.
단계 S8 에서, 모바일 통신 장치 (1) 의 프로세서 (14) 는 근거리 통신 디바이스 (2) 로부터 수신된 디바이스 로케이션 정보가 모바일 통신 장치 (1) 에 대해 결정된 장치 로케이션에 일치하는지 여부를 체크함으로써 근거리 통신 디바이스 (2) 의 액세스 인가를 추가로 검증한다. 구체적으로 설명하면, 프로세서 (14) 는 디바이스 로케이션이 장치 로케이션 주변의 정의된 존 또는 영역, 예컨대 장치 로케이션 주변의 5, 10, 20, 50 또는 100 미터의 반경을 가지는 존 또는 영역 내에 있는지 여부를 체크한다. 일 실시형태에서, 높이 또는 고도 (로케이션) 정보가 그 검증에 포함된다.
일 실시형태에서, 데이터 판독 요청은 근거리 통신 디바이스 (2) 에 저장된 바와 같은 디바이스 시간 정보 (212) 를 더 포함하며, 모바일 통신 장치 (1) 의 프로세서 (14) 는 근거리 통신 디바이스 (2) 로부터 수신된 디바이스 시간 정보가 모바일 통신 장치 (1) 에 저장된 (또는, 클록으로부터 유도된) 장치 시간 정보에 일치하는지 여부를 체크함으로써, 액세스 인가를 추가로 검증한다.
디바이스 로케이션이 장치 로케이션 주변의 기준 존 또는 영역 외부에 있는 (또는, -적용가능한 경우 -디바이스 시간 정보가 장치 시간 정보로부터 정의된 임계치를 초과하여 벗어나는) 경우, 단계 S12 에서, 프로세서 (14) 는 부정적인 액세스 인가를 결정하고 판독 요청을 거절한다. 일 실시형태에서, 프로세서 (14) 는 단계 S12* 에서, 개별 근거리 통신 디바이스 (2) 의 로케이션 (및/또는 시간) 의 일치의 부족으로 인한 판독 요청의 거절에 대해서 컴퓨터 시스템 (4) 에 통지하는 부정적인 피드백 메시지를 발생시켜 컴퓨터 시스템 (4) 으로 송신한다.
그렇지 않으면, 디바이스 로케이션이 장치 로케이션 주변의 기준 존 또는 영역 이내에 있는 (그리고 -적용가능한 경우 -디바이스 시간 정보가 장치 시간 정보로부터 정의된 임계치 이하로 상이한) 경우, 단계 S9 에서, 프로세서 (14) 는 보안 데이터 스토어 (15) 가 디바이스 로케이션과 매칭하는 목표 로케이션 정보를 갖는 하나 이상의 보안 데이터 패키지들을 포함하는지 여부를 결정한다. 매칭하는 목표 로케이션을 가지는 하나의 보안 데이터 패키지들이 존재하면, 그것은 근거리 통신 디바이스 (2) 에 대한 판독 응답에 포함될 것이다. 매칭하는 목표 로케이션을 가지는 하나 보다 많은 보안 데이터 패키지들이 존재하면, 프로세서 (14) 는 디스플레이 (16) 상에, 우편 주소, 층 수, 객실 번호 또는 이름, 디바이스 번호 또는 이름, 프로젝트 이름, 프로젝트 ID, 설치 이름, 등과 같은, 추가적인 목표 로케이션 정보를 포함한, 매칭하는 목표 로케이션을 가지는 보안 데이터 패키지들의 리스트를 나타낸다. 사용자는 그후, 사용자가 모바일 통신 장치 (1) 와 함께 현재 로케이트되는 특정의 근거리 통신 디바이스 (2) 를 위해 의도되는 보안 데이터 패키지를 리스트에서 선택하도록 요청받는다. 매칭하는 목표 로케이션 정보를 가지는 어떤 보안 데이터 패키지도 존재하지 않으면, 프로세서 (14) 는 부정적인 액세스 인가를 결정하고 단계들 S12 및 S12* 와 관련하여 위에서 설명한 바와 같이 판독 요청을 거절한다.
도 2 에 개략적으로 나타낸 바와 같이, 오프-라인 모드에서 블록 B 의 단계들은 모바일 통신 장치 (1) 가 근거리 통신 디바이스 (2) 의 통신 범위에 들어가서 인증 및 액세스 제어 프로토콜들을 실행하기 전에 실행된다. 온-라인 모드에서, 다른 한편으로는, 블록 B 의 단계들 S0, S1, S2, S3 은 추후 시점에, 예를 들어, 도면부호 B* 로 나타낸 바와 같이, 단계 S8 에서 인가가 검증된 이후에, 실행될 수도 있다. 이 경우, 모바일 통신 장치 (1) 의 프로세서 (14) 는 블록 B* 의 단계들의 실행 이후, 모바일 통신 장치 (1) 의 현재의 로케이션과 매칭하는 목표 로케이션을 가지는 보안 데이터 패키지를 수신하였는지 여부를 체크한다. 매칭하는 목표 로케이션을 가지는 어떤 보안 데이터 패키지도 존재하지 않으면, 프로세서 (14) 는 어떤 보안 데이터 패키지도 현재의 로케이션에 대해 수신되지 않았다는 것을 모바일 통신 장치 (1) 의 사용자에게 통지하는 경보 메시지를 발생시키며; 아니면, 프로세서 (14) 는 단계 S9 로 진행한다.
또, 단계 S9 에서, 프로세서 (14) 는 결정된 및/또는 선택된 보안 데이터 패키지를 포함한, 데이터 판독 응답을 발생시켜, 근거리 통신 회로들 (13, 23) 을 통해 근거리 통신 디바이스 (2) 로 송신한다. 일 실시형태에서, 단계 S9* 에서, 프로세서 (14) 는 긍정적인 피드백 메시지를 발생시켜 컴퓨터 시스템 (4) 으로 송신한다.
일 실시형태에서, 보안 데이터 패키지는, 일단 모바일 통신 장치 (1) 가 근거리 통신 디바이스 (2) 에 더 이상 근접하지 않으면, 즉 일단 디바이스 로케이션이 장치 로케이션 주변의 기준 존 또는 영역 밖에 있으면, 모바일 통신 장치 (1) 에서 삭제된다. 그 목적을 위해, 프로세서 (14) 는 이전에 결정된 디바이스 로케이션과 장치 로케이션의 일치를, 예컨대 단계 S9 에서의 보안 데이터 패키지의 송신 이후 설정된 시간 기간에 체크하고, 일치의 부족의 경우 보안 데이터 패키지를 삭제하도록 더 구성된다. 대안적으로, 보안 데이터 패키지의 삭제는 컴퓨터 시스템 (4) 에 의해 원격으로 개시된다.
일 실시형태에서, 프로세서 (14) 는 데이터 판독 응답에, 단계 S7 에서 결정된 모바일 통신 장치 (1) 의 현재의 로케이션을 포함시키고, 옵션적인 단계 S90 에서, 근거리 통신 디바이스 (2) 의 프로세서 (22) 는 모바일 통신 장치 (1) 로부터 수신된 현재의 로케이션에 기초하여 모바일 통신 장치 (1) 의 액세스 인가를 검증한다. 구체적으로 설명하면, 도 5 에 예시된 바와 같이, 단계 S91 에서, 프로세서 (22) 는 모바일 통신 장치 (1) 로부터 수신된 데이터 판독 응답에 포함된 장치 로케이션 정보를 획득한다. 단계 S92 에서, 프로세서 (22) 는 근거리 통신 디바이스 (2) 에 저장된 디바이스 로케이션 정보가 모바일 통신 장치 (1) 로부터 수신된 장치 로케이션에 일치하는지 여부를 체크함으로써 로케이션 일치를 검증한다. 따라서, 프로세서 (22) 는 장치 로케이션이 디바이스 로케이션 주변의 정의된 존 또는 영역, 예컨대 디바이스 로케이션 주변의 5, 10, 20, 50 또는 100 미터의 반경을 가지는 존 또는 영역 이내에 있는지 여부를 체크한다. 일 실시형태에서, 높이 또는 고도 (로케이션) 정보가 검증에 포함된다.
일 실시형태에서, 데이터 판독 응답은 모바일 통신 장치 (1) 의 프로세서 (14) 에 의해 포함된 장치 시간을 더 포함하며, 근거리 통신 디바이스 (2) 의 프로세서 (22) 는 모바일 통신 장치 (1) 로부터 수신된 장치 시간 정보가 근거리 통신 디바이스 (2) 에 저장된 바와 같은, 예컨대 근거리 통신 디바이스 (2) 의 내부 클록에 의해 프로그래밍되거나 또는 결정된 바와 같은, 디바이스 시간 정보 (212) 에 일치하는지 여부를 체크함으로써, 모바일 통신 장치 (1) 의 액세스 인가를 더 검증한다.
장치 로케이션이 디바이스 로케이션 주변의 기준 존 또는 영역 밖에 있는 (또는, -적용가능한 경우 -장치 시간 정보가 디바이스 시간 정보로부터 정의된 임계치를 초과하여 벗어나는) 경우, 단계 S93 에서, 프로세서 (22) 는 부정적인 액세스 인가를 결정하고 모바일 통신 장치 (1) 로부터의 데이터 패키지를 거절한다. 일 실시형태에서, 프로세서 (22) 는 단계 S94 에서, 개별 모바일 통신 장치 (1) 의 로케이션 (및/또는 시간) 의 일치의 부족으로 인한 데이터 패키지의 거절에 대해 모바일 통신 장치 (1) 에게 통지하는 부정적인 피드백 메시지를 발생시켜, 모바일 통신 장치 (1) 로 송신한다.
그렇지 않고, 장치 로케이션이 디바이스 로케이션 주변의 기준 존 또는 영역 이내에 있는 (그리고 -적용가능한 경우 -장치 시간 정보가 디바이스 시간 정보로부터 정의된 임계치 이하로 상이한) 경우, 근거리 통신 디바이스 (2) 의 프로세서 (22) 는 모바일 통신 장치 (1) 로부터 데이터 패키지를 수용하고 단계 S10 으로 진행한다.
단계 S10 에서, 프로세서 (22) 는 컴퓨터 시스템 (4) 으로부터의 보안 데이터 패키지의 개별 계층구조 또는 네스팅 (nesting) 레벨을 해독하는 개별 비밀 암호 키를 이용하여, 데이터 판독 응답에 포함된 보안 데이터 패키지로부터 암호화된 콘텐츠 또는 페이로드를 추출한다.
단계 S11 에서, 프로세서 (22) 는 보안 데이터 패키지로부터의 추출된 및 해독된 콘텐츠 또는 페이로드를 근거리 통신 디바이스 (2) 의 보안 데이터 스토어 (21) 에 저장한다. 구체적으로 설명하면, 프로세서 (22) 는 보안 데이터 패키지로부터 추출 및 해독된, 액세스 키들 및/또는 액세스 권한들 (213), 구성 데이터 (214), 로케이션 정보 (211), 및/또는 시간 정보 (212) 를 보안 데이터 스토어 (21) 에 저장한다.
도 3 은 근거리 통신 디바이스 (2) 에서 디바이스 로케이션 정보를 설정하는 모바일 통신 장치 (1) 에 대한 단계들의 예시적인 시퀀스를 예시한다.
단계 S13 에서, 모바일 통신 장치 (1) 가 근거리 통신 디바이스 (2) 의 통신 범위 내에 로케이트되며, 인증 및 액세스 제어 프로토콜들이 위에서 단계 S4 의 상황에서 설명한 바와 같이 근거리 통신 디바이스 (2) 와 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 각각 사이에 실행된다. 단계 S13 의 인증 및 액세스 제어의 부분으로서, 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 각각은 근거리 통신 디바이스 (2) 의 디바이스 로케이션 (211) 을 설정하도록 인가된 "로케이터 디바이스" 로서 인증된다.
단계 S14 에서, 성공적인 인증 및 인가 시, 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22) 각각은 예컨대 셋업 또는 구성 프로시저의 부분으로서, 로케이션 조회를 발생시킨다.
단계 S15 에서, 로케이션 조회가 근거리 통신 디바이스 (2) 로부터 근거리 통신 회로들 (13, 23) 을 통해 모바일 통신 장치 (1) 로 송신된다.
단계 S16 에서, 장치 로케이션 결정 회로 (12) 를 이용하여, 모바일 통신 장치 (1) 의 프로세서 (14) 는 그의 현재의 로케이션을 결정한다 (음영 지점의 경우, 최종 결정된 가용 로케이션이 사용된다).
단계 S17 에서, 프로세서 (14) (또는, 가상 카드 (141), 각각) 는 로케이션 조회 응답을 발생시켜 근거리 통신 회로들 (13, 23) 을 통해 근거리 통신 디바이스 (2) 로 송신한다. 로케이션 조회 응답은 결정된 현재의 장치 로케이션을, 바람직하게는 보안 방식으로 (암호화되어) 포함한다.
단계 S18 에서, 프로세서 (22) 는 로케이션 조회 응답을 수신하고, 수신된 장치 로케이션을 근거리 통신 디바이스 (2) 의 디바이스 로케이션 (211) 으로서 보안 데이터 스토어 (21) 에 저장한다.
그후, 디바이스 로케이션 (211) 은 위에서 단계 S8 의 상황에서 설명한 바와 같이 터미널 및 장치 로케이션의 일치에 기초하여 터미널들 액세스 인가를 검증하기 위해 사용된다.
도 4 는 모바일 통신 장치 (1) 에의 근거리 통신 디바이스 (2) 의 제어된 액세스를 위한 단계들의 예시적인 시퀀스를 예시한다.
위에서 설명한 바와 같이, 단계 S4 에서, 모바일 통신 장치 (1) 는 근거리 통신 디바이스 (2) 의 통신 범위 내에 있으며, 인증 및 액세스 제어 프로토콜들이 근거리 통신 디바이스 (2) 와 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 각각 사이에 실행된다.
단계 S20 에서, 성공적인 인증 및 인가 시, 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22) 각각은 모바일 통신 장치 (1) 또는 그의 애플리케이션들 (142) 또는 가상 카드 (141) 각각에 액세스하기 위한 암호 액세스 키 (213) 를 결정한다. 근거리 통신 디바이스 (2) 는 애플리케이션 및/또는 제공자 특정적인, 저장된 하나 이상의 암호 액세스 키들 (213) 을 갖는다. 키 조회의 목적은 근거리 통신 디바이스 (2) 가 모바일 통신 장치 (1), 그의 애플리케이션들 (142) 또는 그의 가상 카드 (141) 각각과의, 후속 액세스 요청, 예컨대 판독/기록 요청들, 애플리케이션 상호작용들, 트랜잭션들, 세션들, 등에 이용할 암호 액세스 키 (213) 를 식별하는 것이다.
구체적으로 설명하면, 단계 S21 에서, 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22) 각각은 키 조회를 발생시킨다.
단계 S22 에서, 키 조회가 근거리 통신 디바이스 (2) 로부터 근거리 통신 회로들 (13, 23) 을 통해 모바일 통신 장치 (1) 로 송신된다.
단계 S23 에서, 모바일 통신 장치 (1), 즉 프로세서 (14) 또는 가상 카드 (141) 각각은 모바일 통신 장치 (1), 그의 애플리케이션들 (142) 또는 그의 가상 카드 (141) 각각과의 현재의 트랜잭션 또는 세션에서, 근거리 통신 디바이스 (2) 에 의해 사용될 암호 액세스 키 k i 를 결정한다. 프로세서 (14) 는 식별된 암호 액세스 키 k i 에 대한 키 식별자 K IDi 를 결정한다. 키 식별자 K IDi 는 식별된 암호 액세스 키 k i 로부터, 일방향 암호 함수 (cryptographic one-way function) h, 즉, 역행시키기에 실행불가능하거나 또는 매우 어려운 함수, 예를 들어, 암호 해시 함수를 이용하여 발생된다, K IDi = h(k i ). 실시형태에 따라서, 키 식별자 K IDi 는 (예컨대, 컴퓨터 시스템 (4) 에서) 사전 발생되어 모바일 통신 장치 (1) 에, 예컨대 키 식별자 테이블에 저장되거나, 또는 키 식별자 K IDi 는 암호 액세스 키 k i 가 실제로 이용가능하면, 모바일 통신 장치 (1) 에서 "온 더 고 (on the go)" 로 발생되어 모바일 통신 장치 (1) 에 안전하게 저장된다.
단계 S24 에서, 프로세서 (14) (또는, 가상 카드 (141), 각각) 는 키 조회 응답을 발생시켜 근거리 통신 회로들 (13, 23) 을 통해 근거리 통신 디바이스 (2) 로 송신한다. 키 조회 응답은 발생된 키 식별자 K IDi 를 포함한다.
단계 S25 에서, 프로세서 (22) 는 키 조회 응답을 수신하고, 수신된 키 식별자 K IDi 를 근거리 통신 디바이스 (2) 의 보안 데이터 스토어 (21) 에 저장된 암호 액세스 키들 k n (213) 의 키 식별자들 K IDn 과 비교한다. 암호 액세스 키들 k n (213) 의 키 식별자들 K IDn 은 동일한 일방향 암호 함수 h 를 이용하여 암호 액세스 키들 k n (213) 으로부터 유도된다, K IDn = h(k n ). 바람직하게는, 암호 액세스 키들 (213) 의 키 식별자들 K IDn 은 "사전-계산되어" 개별 암호 액세스 키 k n (213) 에 링크된 보안 데이터 스토어 (21) 에 저장된다.
단계 S26 에서, 암호 액세스 키 k i 의 성공적인 식별 K IDn = K IDi 시, 근거리 통신 디바이스 (2) 또는 그의 프로세서 (22) 각각은, 식별된 액세스 키 k i 를 이용하여 액세스 요청을 발생시킨다.
단계 S27 에서, 액세스 요청이 근거리 통신 디바이스 (2) 로부터 근거리 통신 회로들 (13, 23) 을 통해 모바일 통신 장치 (1) 로 송신된다.
단계 S28 에서, 모바일 통신 장치 (1), 즉 프로세서 (14) 또는 가상 카드 (141) 는, 키 식별자 K IDi 를 가진 단계 S24 의 키 조회 응답에서 근거리 통신 디바이스 (2) 에 대해 규정된 암호 액세스 키 k i 에 기초하여, 액세스 요청의 정당성 또는 인가를 검증한다. 일 실시형태에서, 보안 증대를 위해, 모바일 통신 장치 (1), 즉 프로세서 (14) 또는 가상 카드 (141) 는, 위에서 단계 S8 의 상황에서 설명된 로케이션 및/또는 시간 기반의 인가 검증을 수행함으로써, 액세스 요청의 정당성 또는 인가를 더 검증한다.
단계 S29 에서, 성공적인 및 긍정적인 인가 검증 시, 프로세서 (14) (또는, 가상 카드 (141), 각각) 는 액세스 요청을 실행하고 액세스 요청 응답을 발생시킨다. 시나리오에 의존하여, 액세스 요청 응답은 실행된 데이터 판독 요청에 대한 데이터 응답, 실행된 데이터 기록 요청에 대한 기록 수신확인, 실행된 트랜잭션 요청에 대한 트랜잭션 응답, 실행된 애플리케이션 상호작용 요청에 대한 애플리케이션 응답, 실행된 세션 요청에 대한 세션 응답, 등을 포함한다.
단계 S30 에서, 프로세서 (14) (또는, 가상 카드 (141), 각각) 는 액세스 요청 응답을 근거리 통신 회로들 (13, 23) 을 통해 근거리 통신 디바이스 (2) 로 송신한다. 일 실시형태에서, 프로세서 (22) 는 위에서 단계 S90 의 상황에서 설명된 로케이션 및/또는 시간 기반의 인가 검증을 수행함으로써, 모바일 통신 장치 (1) 또는 그의 프로세서 (14) 또는 가상 카드 (141) 의 정당성 또는 인가를 각각 검증한다. 따라서, 디바이스 시간 및/또는 로케이션과의 장치 시간 및/또는 로케이션의 일치는, 구성 또는 키 배포 목적들로 보안 데이터 패키지들을 전송하기 위해서 뿐만 아니라, 모바일 통신 장치 (1) 와 근거리 통신 디바이스 (2) 사이의 임의의 다른 동작 상호작용 및 데이터 교환을 위해 적용된다.
설명에서, 컴퓨터 프로그램 코드가 특정의 기능 모듈들과 연관되었으며 단계들의 시퀀스가 특정의 순서로 제시되었다는 점에 유의해야 하며, 그러나, 당업자는 본 발명의 범위로부터 일탈함이 없이, 컴퓨터 프로그램 코드가 상이하게 구조화될 수도 있으며 단계들 중 적어도 일부의 순서가 변경될 수 있음을 알 수 있을 것이다.

Claims (15)

  1. 모바일 통신 장치 (1) 로서,
    모바일 무선 네트워크 (3) 를 통한 데이터 통신용으로 구성된 제 1 회로 (11);
    근거리 (short range) 통신 디바이스 (2) 와의 근거리 통신용으로 구성된 제 2 회로 (13);
    상기 모바일 통신 장치 (1) 의 현재의 로케이션을 표시하는 장치 로케이션 정보를 결정하도록 구성된 제 3 회로 (12); 및
    상기 제 1, 제 2, 및 제 3 회로들 (11, 12, 13) 에 접속된 프로세서 (14) 로서, 상기 프로세서 (14) 는, 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 상기 모바일 무선 네트워크 (3) 를 통해 수신하고 (S2), 상기 근거리 통신 디바이스 (2) 로부터 디바이스 로케이션 정보를 수신하고 (S6), 상기 디바이스 로케이션 정보와 상기 장치 로케이션 정보의 일치를 검증하는 것, 상기 디바이스 로케이션 정보와 상기 장치 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 디바이스 로케이션 정보와 상기 장치 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하고 (S8), 그리고 긍정적인 액세스 인가의 경우 상기 보안 데이터 패키지를 상기 근거리 통신 디바이스 (2) 로 전송하고 (S9), 부정적인 액세스 인가의 경우 상기 보안 데이터 패키지를 상기 근거리 통신 디바이스 (2) 로 전송하지 않도록 구성된, 상기 프로세서 (14) 를 포함하는, 모바일 통신 장치 (1).
  2. 제 1 항에 있어서,
    상기 디바이스 로케이션 정보는 데이터 판독 요청에 포함되어 상기 근거리 통신 디바이스 (2) 로부터 수신되며 (S6);
    상기 프로세서 (14) 는 부정적인 액세스 인가의 경우 상기 판독 요청을 거절하도록 (S12) 구성되는, 모바일 통신 장치 (1).
  3. 제 1 항 또는 제 2 항에 있어서,
    상기 보안 데이터 패키지는 목표 로케이션 정보와 함께 수신되며,
    상기 프로세서 (14) 는 상기 디바이스 로케이션 정보와 상기 목표 로케이션 정보의 일치를 검증하는 것, 상기 디바이스 로케이션 정보와 상기 목표 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 디바이스 로케이션 정보와 상기 목표 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 상기 액세스 인가를 결정하도록 (S8) 구성되는, 모바일 통신 장치 (1).
  4. 제 1 항 내지 제 3 항 중 어느 한 항에 있어서,
    상기 프로세서 (14) 는 상기 근거리 통신 디바이스 (2) 로부터 디바이스 시간 정보를 추가로 수신하여 (S2), 상기 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 에 저장된 시간 정보의 일치를 검증하는 것, 상기 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 에 저장된 시간 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 에 저장된 시간 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 상기 액세스 인가를 결정하도록 (S8) 구성되는, 모바일 통신 장치 (1).
  5. 제 1 항 내지 제 4 항 중 어느 한 항에 있어서,
    상기 보안 데이터 패키지는 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 상기 근거리 통신 디바이스 (2) 에 대한 구성 데이터, 및 시간 정보 중 적어도 하나를 포함하며;
    상기 프로세서 (14) 는 긍정적인 액세스 인가의 경우 상기 하나 이상의 비밀 액세스 키들, 상기 하나 이상의 액세스 권한들, 상기 구성 데이터, 및/또는 상기 시간 정보를 각각 포함하는 상기 보안 데이터 패키지를 전송하고, 부정적인 액세스 인가의 경우 상기 보안 데이터 패키지를 상기 근거리 통신 디바이스 (2) 로 전송하지 않도록 구성되는, 모바일 통신 장치 (1).
  6. 제 1 항 내지 제 5 항 중 어느 한 항에 있어서,
    상기 프로세서 (14) 는 상기 근거리 통신 디바이스 (2) 에서 상기 디바이스 로케이션 정보를 설정하기 위해, 그리고, 긍정적인 인증 및 액세스 제어의 경우, 상기 장치 로케이션 정보를 이용하여 상기 근거리 통신 디바이스 (2) 에서 상기 디바이스 로케이션 정보를 설정하기 위해, 상기 근거리 통신 디바이스 (2) 에 액세스하기 위한, 상기 모바일 통신 장치 (1) 와 상기 근거리 통신 디바이스 (2) 사이의 인증 및 액세스 제어를 관리하는 인증 및 액세스 제어 프로토콜들을 실행하도록 (S4) 구성되는, 모바일 통신 장치 (1).
  7. 제 1 항 내지 제 6 항 중 어느 한 항에 있어서,
    상기 프로세서 (14) 는 상기 모바일 통신 장치 (1) 의 보안 데이터 스토어로부터 데이터를 판독하는 것, 데이터를 상기 보안 데이터 스토어에 기록하는 것, 및 상기 모바일 통신 장치 (1) 의 보안 애플리케이션과 상호작용하는 것 중 적어도 하나를 수행하기 위해, 하나 이상의 비밀 액세스 키들 및/또는 액세스 권한들을 이용하여, 상기 모바일 통신 장치 (1) 에 액세스하기 위한, 상기 모바일 통신 장치 (1) 와 상기 근거리 통신 디바이스 (2) 사이의 인증 및 액세스 제어를 관리하는 인증 및 액세스 제어 프로토콜들을 실행하도록 (S4) 구성되는, 모바일 통신 장치 (1).
  8. 근거리 통신 디바이스 (2) 로서,
    모바일 통신 장치 (1) 와의 근거리 통신용으로 구성된 회로 (23); 및
    상기 회로 (23) 에 접속된 프로세서 (22) 로서, 상기 프로세서 (22) 는, 상기 모바일 통신 장치 (1) 로부터 상기 모바일 통신 장치 (1) 의 현재의 로케이션을 표시하는 장치 로케이션 정보를 포함하는 데이터 패키지를 수신하고, 상기 근거리 통신 디바이스 (2) 에 저장된 디바이스 로케이션 정보와 상기 모바일 통신 장치 (1) 로부터 수신된 상기 장치 로케이션 정보의 일치를 검증하는 것, 상기 디바이스 로케이션 정보와 상기 장치 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 디바이스 로케이션 정보와 상기 장치 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하고 (S8), 그리고 긍정적인 액세스 인가의 경우 상기 모바일 통신 장치 (1) 로부터 수신된 상기 데이터 패키지의 콘텐츠를 결정하여 상기 근거리 통신 디바이스 (2) 에 저장하고 (S11), 부정적인 액세스 인가의 경우 상기 데이터 패키지를 거절하도록 (S12) 구성된, 상기 프로세서 (22) 를 포함하는, 근거리 통신 디바이스 (2).
  9. 제 8 항에 있어서,
    상기 프로세서 (22) 는 상기 모바일 통신 장치 (1) 로부터 시간 정보를 수신하여, 상기 근거리 통신 디바이스 (2) 에 저장된 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 로부터 수신된 상기 시간 정보의 일치를 검증하는 것, 상기 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 로부터 수신된 상기 시간 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 디바이스 시간 정보와 상기 모바일 통신 장치 (1) 로부터 수신된 상기 시간 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 추가로 기초하여 상기 액세스 인가를 결정하도록 (S8) 구성되는, 근거리 통신 디바이스 (2).
  10. 제 8 항 또는 제 9 항에 있어서,
    상기 프로세서 (22) 는 하나 이상의 비밀 액세스 키들, 하나 이상의 액세스 권한들, 상기 근거리 통신 디바이스 (2) 에 대한 구성 데이터, 및 시간 정보 중 적어도 하나를 보안 데이터 패키지로부터 추출하고; 상기 하나 이상의 비밀 액세스 키들, 상기 하나 이상의 액세스 권한들, 상기 구성 데이터, 및/또는 상기 시간 정보를 각각 상기 근거리 통신 디바이스 (2) 의 보안 데이터 스토어에 저장하도록 구성되는, 근거리 통신 디바이스 (2).
  11. 제 8 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 프로세서 (22) 는 상기 근거리 통신 디바이스 (2) 에서 상기 디바이스 로케이션 정보를 설정하기 위해, 그리고, 긍정적인 인증 및 액세스 제어의 경우, 상기 모바일 통신 장치 (1) 로부터 상기 장치 로케이션 정보를 수신하고 상기 장치 로케이션 정보를 이용하여 상기 근거리 통신 디바이스 (2) 에서 상기 디바이스 로케이션 정보를 설정하기 위해, 상기 근거리 통신 디바이스 (2) 에 액세스하기 위한, 상기 근거리 통신 디바이스 (2) 와 상기 모바일 통신 장치 (1) 사이의 인증 및 액세스 제어를 관리하는 인증 및 액세스 제어 프로토콜들을 실행하도록 (S4) 구성되는, 근거리 통신 디바이스 (2).
  12. 제 7 항 내지 제 10 항 중 어느 한 항에 있어서,
    상기 프로세서 (22) 는 상기 모바일 통신 장치 (1) 의 보안 데이터 스토어로부터 데이터를 판독하는 것, 데이터를 상기 보안 데이터 스토어에 기록하는 것, 및 상기 모바일 통신 장치 (1) 의 보안 애플리케이션과 상호작용하는 것 중 적어도 하나를 수행하기 위해, 하나 이상의 비밀 액세스 키들 및/또는 액세스 권한들을 이용하여, 상기 모바일 통신 장치 (1) 에 액세스하기 위한, 상기 근거리 통신 디바이스 (2) 와 상기 모바일 통신 장치 (1) 사이의 인증 및 액세스 제어를 관리하는 인증 및 액세스 제어 프로토콜들을 실행하도록 (S4) 구성되는, 근거리 통신 디바이스 (2).
  13. 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하는 방법으로서,
    상기 보안 데이터 패키지를 상기 컴퓨터 시스템 (4) 으로부터 모바일 무선 네트워크 (3) 를 통해 모바일 통신 장치 (1) 로 송신하는 (S2) 단계;
    상기 모바일 통신 장치 (1) 를 상기 근거리 통신 디바이스 (2) 의 통신 범위에 배치하는 단계;
    상기 모바일 통신 장치 (1) 의 현재의 로케이션을 표시하는 장치 로케이션 정보와 상기 근거리 통신 디바이스 (2) 에 저장된 디바이스 로케이션 정보의 일치를 검증하는 것, 상기 장치 로케이션 정보와 상기 디바이스 로케이션 정보의 일치의 경우 긍정적인 액세스 인가를 결정하는 것, 및 상기 장치 로케이션 정보와 상기 디바이스 로케이션 정보의 일치의 부족 시 부정적인 액세스 인가를 결정하는 것에 기초하여 액세스 인가를 결정하는 (S8) 단계; 및
    긍정적인 액세스 인가의 경우, 상기 보안 데이터 패키지를 상기 근거리 통신 디바이스 (2) 로 전송하고 (S9) 상기 모바일 통신 장치 (1) 로부터 수신된 상기 데이터 패키지의 콘텐츠를 결정하여 상기 근거리 통신 디바이스 (2) 에 저장하는 (S11) 단계를 포함하는, 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하는 방법.
  14. 제 13 항에 있어서,
    상기 모바일 통신 장치 (1) 에서, 상기 근거리 통신 디바이스 (2) 로부터 상기 디바이스 로케이션 정보를 포함하는 데이터 판독 요청을 수신하는 (S6) 단계;
    상기 모바일 통신 장치 (1) 에서, 상기 장치 로케이션 정보를 결정하는 (S7) 단계;
    상기 근거리 통신 디바이스 (2) 로부터 수신된 상기 디바이스 로케이션 정보 및 상기 장치 로케이션 정보에 기초하여 상기 모바일 통신 장치 (1) 에서 액세스의 제 1 인가를 결정하는 (S8) 단계; 및
    액세스의 긍정적인 제 1 인가의 경우 상기 보안 데이터 패키지를 상기 모바일 통신 장치 (1) 로부터 상기 근거리 통신 디바이스 (2) 로 전송하거나 (S9), 또는 액세스의 부정적인 제 1 인가의 경우 상기 판독 요청을 거절하는 단계를 더 포함하는, 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하는 방법.
  15. 제 13 항 또는 제 14 항에 있어서,
    상기 근거리 통신 디바이스 (2) 에서, 상기 모바일 통신 장치 (1) 로부터 상기 장치 로케이션 정보를 수신하는 (S6) 단계;
    상기 근거리 통신 디바이스 (2) 에 저장된 상기 디바이스 로케이션 정보 및 상기 모바일 통신 장치 (1) 로부터 수신된 상기 장치 로케이션 정보에 기초하여 상기 근거리 통신 디바이스 (2) 에서 액세스의 제 2 인가를 결정하는 (S8) 단계; 및
    액세스의 긍정적인 제 2 인가의 경우 상기 모바일 통신 장치 (1) 로부터 수신된 상기 보안 데이터 패키지의 상기 콘텐츠를 결정하여 상기 근거리 통신 디바이스 (2) 에 저장하거나 (S11), 또는 액세스의 부정적인 제 2 인가의 경우 상기 데이터 패키지를 거절하는 (S12) 단계를 더 포함하는, 보안 데이터 패키지를 컴퓨터 시스템 (4) 으로부터 근거리 통신 디바이스 (2) 로 송신하는 방법.
KR1020170113204A 2016-09-06 2017-09-05 보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들 KR101947917B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH01149/16 2016-09-06
CH11492016 2016-09-06

Publications (2)

Publication Number Publication Date
KR20180027378A true KR20180027378A (ko) 2018-03-14
KR101947917B1 KR101947917B1 (ko) 2019-02-13

Family

ID=56920439

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170113204A KR101947917B1 (ko) 2016-09-06 2017-09-05 보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들

Country Status (4)

Country Link
US (2) US10555154B2 (ko)
KR (1) KR101947917B1 (ko)
CN (2) CN115278674A (ko)
CA (1) CA2975517C (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101921275B1 (ko) * 2017-06-16 2019-02-13 라인 가부시키가이샤 메신저에서의 파일 전송 시 기기 간 통신 기술을 활용하는 방법 및 시스템
CA3093299A1 (en) * 2018-03-09 2019-09-12 Stryker Corporation Systems and methods for remotely controlling a surgical instrument of console-based surgical systems
US10841299B2 (en) * 2018-03-15 2020-11-17 Arm Ltd. Systems, devices, and/or processes for omic content processing and/or partitioning
US10841083B2 (en) * 2018-03-15 2020-11-17 Arm Ltd. Systems, devices, and/or processes for OMIC content processing and/or communication
CH715441A1 (de) * 2018-10-09 2020-04-15 Legic Identsystems Ag Verfahren und Vorrichtungen zum Kommunizieren zwischen einer Internet-der-Dinge-Vorrichtung und einem Ferncomputersystem.
US10671375B1 (en) * 2018-11-09 2020-06-02 Capital One Services, Llc Tokenized mobile device update systems and methods
CN112653994B (zh) * 2019-09-26 2023-07-21 中国移动通信集团重庆有限公司 历史位置管理方法、装置及计算设备
CN112188458A (zh) * 2020-09-29 2021-01-05 深圳市创新佳电子标签有限公司 一种nfc社交软件系统
CN117981371A (zh) * 2021-09-30 2024-05-03 华为技术有限公司 一种通信方法、装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001007301A (ja) * 1999-06-17 2001-01-12 Sony Corp 半導体装置およびその製造方法
KR20070059545A (ko) * 2005-12-07 2007-06-12 삼성전자주식회사 이동통신 단말기를 이용한 보안 장치 및 방법
JP2013021476A (ja) * 2011-07-11 2013-01-31 Sony Corp 通信装置、通信制御方法
KR20130032956A (ko) * 2011-09-26 2013-04-03 주식회사 사람들과사람들 Nfc 매체를 이용한 단말 제어 장치 및 그 방법
JP2015176166A (ja) * 2014-03-13 2015-10-05 キーパスコ アーベーKeypasco AB ユーザ位置情報を利用したユーザ識別情報を安全に検証するためのネットワーク認証方法

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7706778B2 (en) * 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
US7797740B2 (en) * 2006-01-06 2010-09-14 Nokia Corporation System and method for managing captured content
JP4805739B2 (ja) 2006-07-07 2011-11-02 株式会社エヌ・ティ・ティ・ドコモ 近距離無線通信端末及びセキュリティレベル設定方法
US8645689B2 (en) * 2009-01-16 2014-02-04 Microsoft Corporation Stateless agent
DE102009040477A1 (de) * 2009-09-08 2011-03-10 Deutsche Telekom Ag Authentifizierung im Mobilfunknetz durch Authentifizierungszelle
US20130015947A1 (en) * 2010-01-08 2013-01-17 Telekom Deutschland Gmbh Method and system for access authorization
US9065786B2 (en) * 2010-09-24 2015-06-23 Yagi Corp. Context-sensitive auto-responder
WO2012040661A1 (en) * 2010-09-24 2012-03-29 Robert Plotkin Profile-based message control
US20120117169A1 (en) * 2010-11-08 2012-05-10 Robert Plotkin Time-Based Computer Control
WO2012064788A1 (en) * 2010-11-08 2012-05-18 Robert Plotkin Enforced unitasking in multitasking systems
EP2461613A1 (en) 2010-12-06 2012-06-06 Gemalto SA Methods and system for handling UICC data
US8823513B2 (en) * 2011-01-18 2014-09-02 Radio Systems Corporation Systems and methods to track movement of animals
US20120221464A1 (en) * 2011-02-28 2012-08-30 Research In Motion Limited Communications system for performing secure transactions based upon mobile wireless communications device proximity and related methods
US8831517B2 (en) * 2011-04-13 2014-09-09 At&T Intellectual Property I, L.P. Devices, systems, and methods for sponsored tethered connectivity
US9441982B2 (en) * 2011-10-13 2016-09-13 Telenav, Inc. Navigation system with non-native dynamic navigator mechanism and method of operation thereof
US10469455B2 (en) * 2011-10-28 2019-11-05 Danmarks Tekniske Universitet Dynamic encryption method
US8943605B1 (en) * 2012-01-25 2015-01-27 Sprint Communications Company L.P. Proximity based digital rights management
US9258704B2 (en) * 2012-06-27 2016-02-09 Advanced Messaging Technologies, Inc. Facilitating network login
MX342365B (es) * 2012-08-16 2016-09-27 Schlage Lock Co Llc Sistema de lector inalámbrico.
US9634726B2 (en) * 2012-11-02 2017-04-25 Google Inc. Seamless tethering setup between phone and laptop using peer-to-peer mechanisms
US20140136350A1 (en) 2012-11-14 2014-05-15 Risto K. Savolainen System and method for secure mobile contactless payment
US9251804B2 (en) * 2012-11-21 2016-02-02 Empire Technology Development Llc Speech recognition
GB201301452D0 (en) * 2013-01-28 2013-03-13 Microsoft Corp Providing notifications of call-related services
US9164161B2 (en) * 2013-02-04 2015-10-20 Blackberry Limited Augmenting location data at a mobile device
CN103974246B (zh) * 2013-02-05 2017-09-08 株式会社理光 基于nfc技术的无线网络区域限定控制方法和系统
CN104969581B (zh) * 2013-03-13 2019-07-16 英特尔公司 死区位置检测设备和方法
US9401915B2 (en) * 2013-03-15 2016-07-26 Airwatch Llc Secondary device as key for authorizing access to resources
US9485607B2 (en) * 2013-05-14 2016-11-01 Nokia Technologies Oy Enhancing the security of short-range communication in connection with an access control device
ES2693339T3 (es) 2013-05-29 2018-12-11 Legic Identsystems Ag Dispositivo electrónico móvil con transceptor de intercambio de datos inalámbrico
US10158995B2 (en) * 2014-06-25 2018-12-18 Mitel Networks Corporation Personal area network system and method
US9503965B2 (en) * 2014-07-14 2016-11-22 Verizon Patent And Licensing Inc. Set-top box setup via near field communication
US20160050066A1 (en) * 2014-08-13 2016-02-18 Louis Nunzio Loizides Management of an encryption key for a secure data storage device on a trusted device paired to the secure device over a personal area network
CN104157060B (zh) * 2014-08-15 2017-04-05 曹敏煊 一种门禁数据的传输和管理方法
EP3059919A1 (en) * 2015-02-19 2016-08-24 Nxp B.V. Method and system for facilitating network joining
US10187455B2 (en) * 2015-07-28 2019-01-22 Microsoft Technology Licensing, Llc Automated network connection sharing
CN105282158A (zh) * 2015-10-28 2016-01-27 小米科技有限责任公司 智能设备联网方法、路由设备、智能设备及系统
CN105450487B (zh) * 2015-12-31 2019-01-15 宇龙计算机通信科技(深圳)有限公司 一种远程控制智能家居设备或系统的方法、装置以及终端
US9992643B2 (en) 2016-07-06 2018-06-05 Verizon Patent And Licensing Inc. Session establishment, maintenance, and termination by end device based on SMS messaging
US10235158B2 (en) 2017-03-21 2019-03-19 Microsoft Technology Licensing, Llc Optimizing feature deployment based on usage pattern
US11270215B2 (en) 2018-02-20 2022-03-08 Microstrategy Incorporated Intelligent recommendations

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001007301A (ja) * 1999-06-17 2001-01-12 Sony Corp 半導体装置およびその製造方法
KR20070059545A (ko) * 2005-12-07 2007-06-12 삼성전자주식회사 이동통신 단말기를 이용한 보안 장치 및 방법
JP2013021476A (ja) * 2011-07-11 2013-01-31 Sony Corp 通信装置、通信制御方法
KR20130032956A (ko) * 2011-09-26 2013-04-03 주식회사 사람들과사람들 Nfc 매체를 이용한 단말 제어 장치 및 그 방법
JP2015176166A (ja) * 2014-03-13 2015-10-05 キーパスコ アーベーKeypasco AB ユーザ位置情報を利用したユーザ識別情報を安全に検証するためのネットワーク認証方法

Also Published As

Publication number Publication date
US10555154B2 (en) 2020-02-04
KR101947917B1 (ko) 2019-02-13
US20180070199A1 (en) 2018-03-08
CN115278674A (zh) 2022-11-01
US20200128381A1 (en) 2020-04-23
CA2975517A1 (en) 2018-03-06
CA2975517C (en) 2022-06-14
CN107820247A (zh) 2018-03-20
US11039293B2 (en) 2021-06-15

Similar Documents

Publication Publication Date Title
KR101947917B1 (ko) 보안 데이터 패키지를 통신 디바이스로 송신하는 방법 및 디바이스들
CN102314576B (zh) 在nfc设备中执行安全应用的方法
US7886970B2 (en) Data communicating apparatus and method for managing memory of data communicating apparatus
US8594668B2 (en) Registering a mobile device in a mobile communication network
CN100422961C (zh) 数据通信设备以及数据通信设备的存储器的管理方法
CN104040553A (zh) 用于执行nfc装置中的应用程序的方法
US10074087B2 (en) Method for carrying out a transaction between a portable data carrier and a terminal
US7416114B2 (en) Electronic value transfer device equipped with non-contact IC interface
ES2787215T3 (es) Dispositivo de comunicación móvil soportado por un sistema informático basado en la nube
JP4999936B2 (ja) 移動電話の近距離無線通信モジュールにおける少なくとも1の機能の実行を制御するための方法と装置
CN101729246A (zh) 密钥分发方法和系统
KR101628615B1 (ko) 보안운영체제를 이용한 안심서명 제공 방법
EP3291503B1 (en) Method and devices for transmitting a secured data package to a communication device
CN105103180B (zh) 用于处理移动信用卡的发行的方法
KR101628614B1 (ko) 보안운영체제를 이용한 전자서명 처리 방법
US20240171574A1 (en) System and method for hosting fido authenticators
KR101505735B1 (ko) 시간 검증을 이용한 엔에프씨카드 인증 방법
KR20230024327A (ko) 보안 요소와 모바일 장치의 종단간 보안 페어링
CN116264697A (zh) Nfc业务
KR101904458B1 (ko) 자원 할당을 이용한 일회용코드 운영 방법
CN116264681A (zh) Nfc业务
CN116264696A (zh) Nfc事务
KR20170095797A (ko) 보안운영체제를 이용한 인증 처리 방법
KR20160114961A (ko) 보안운영체제를 이용한 거래 연동 오티피 제공 방법
KR20140080904A (ko) 무매체 결제를 위한 결제수단 등록 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant