KR20190067803A - 디바이스 인증을 위한 시스템들 및 방법들 - Google Patents

디바이스 인증을 위한 시스템들 및 방법들 Download PDF

Info

Publication number
KR20190067803A
KR20190067803A KR1020197010664A KR20197010664A KR20190067803A KR 20190067803 A KR20190067803 A KR 20190067803A KR 1020197010664 A KR1020197010664 A KR 1020197010664A KR 20197010664 A KR20197010664 A KR 20197010664A KR 20190067803 A KR20190067803 A KR 20190067803A
Authority
KR
South Korea
Prior art keywords
computing device
processor
temporary identity
operations
identity
Prior art date
Application number
KR1020197010664A
Other languages
English (en)
Other versions
KR102390745B1 (ko
Inventor
존 엘링슨
토마스 찰스 오토슨
Original Assignee
인포스키 엘엘씨
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인포스키 엘엘씨 filed Critical 인포스키 엘엘씨
Publication of KR20190067803A publication Critical patent/KR20190067803A/ko
Application granted granted Critical
Publication of KR102390745B1 publication Critical patent/KR102390745B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/12Transmitting and receiving encryption devices synchronised or initially set up in a particular manner
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/50Secure pairing of devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/75Temporary identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Collating Specific Patterns (AREA)
  • Storage Device Security (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

실시형태들은 컴퓨팅 디바이스를 인증하는 방법들을 구현하도록 구성된 방법들, 시스템들, 및 컴퓨팅 디바이스들을 포함한다. 제 1 컴퓨팅 디바이스의 프로세서는 일시적 아이덴티티를 획득할 수도 있고, 일시적 아이덴티티를 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스를 인증하기 위한 요청과 함께, 일시적 아이덴티티를 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 수신된 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터 수신된 일시적 아이덴티티와 일치하는 것으로 결정하는 것에 응답하여, 제 1 컴퓨팅 디바이스의 아이덴티티를 인증할 수도 있다.

Description

디바이스 인증을 위한 시스템들 및 방법들
공유된 비밀들 및 수반된 신뢰의 개념은 트로이 (Troy) 의 붕괴 이전부터 보안 패러다임 (security paradigm) 의 핵심이었다. 역사적으로, 공유된 비밀은 2 개의 당사자들이 신뢰의 척도로서 서로를 식별하기 위하여 이용할 수 있었던 패스워드 (password) 이었다. 이 공유된 비밀들은 때때로 변경될 수도 있지만, 비밀들은 그것들이 공유된 시간부터 비밀들이 이용되었을 때까지 지속하기에 충분히 내구성이 있었다. 패스워드들은 그것들이 비밀로 유지되기만 하면 오직 기능하였다. 비밀들을 공유한 당사자들은 전형적으로 일부 방법으로 서로에게 알려졌거나, 또는 그렇지 않을 경우에는 보증되었다. 수하 (challenge) 및 응답 패스워드의 이용은 신뢰된 당사자들이 어둠 속에서 또는 신뢰된 공유된 비밀의 이용을 통해 식별되는 것을 가능하게 하였다. 신뢰는 비밀의 인가된 공유에 의해 또 다른 사람에게 부여될 수 있었다.
더 최근에, 디지털 환경의 개발은 그 중에서도, 급속한 통신 및 정보 트랜잭션 (transaction) 들에서의 막대한 확대를 가능하게 하였다. 공유된 비밀의 과거의 패러다임은 사용자들과 시스템들 사이의 통신들을 보안화하기 위하여 수 많은 방법들로 - 사용자명 (username) 들 및 패스워드들로부터 디지털 환경 내로 편입되었다. 예를 들어, 이 개념은 보안 소켓 계층 (Secure Socket Layer) 및 인증 기관 (Certificate Authority) 정보 보안 기반구조에 기초적이다.
그러나, 디지털 환경은 비밀들이 짧은 시간의 주기를 넘어서서 유지하기가 어려운 것이고, 일단 비밀상태가 상실되면, 이전의 비밀 정보는 급속하게 그리고 완전히 동일하게 확산될 수도 있다. 디지털 환경은 또한, 공유된 비밀들이, 많은 "비밀들" (예컨대, 패스워드들, 디지털 증명서들, 사적 정보, 및 다른 타입들의 인증 데이터) 을 회색 시장 및 암시장에서 자유롭게 거래된 상품으로 변환하여, 디지털 교환들을 보안화하기 위한 이러한 비밀들의 이익을 파괴하는 "해킹 (hacking)" 의 목표가 된 것이다. 그렇지만, 디지털 환경의 기초적인 보안 메커니즘은 비밀이 여전히 비밀이라는, 지금은 종종 거짓인 운용상의 가정에 종속된다. 공유된 비밀 패러다임 및 그것에 종속적인 신뢰의 실패의 새로운 동력은 동작 가정들에서의 근본적인 변경을 요구한다.
다양한 실시형태들은 제 3 컴퓨팅 디바이스의 지원으로 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이의 상호작용들을 인증하는 방법들을 포함한다. 다양한 실시형태들은 제 1 컴퓨팅 디바이스에서 제 1 일시적 아이덴티티 (transitory identity) 를 획득하는 것, 제 1 일시적 아이덴티티를 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송하는 것, 제 2 컴퓨팅 디바이스에서, 제 1 컴퓨팅 디바이스로부터 제 1 일시적 아이덴티티를 수신하는 것, 제 2 컴퓨팅 디바이스에서 제 2 일시적 아이덴티티를 획득하는 것, 제 2 일시적 아이덴티티를 제 2 컴퓨팅 디바이스로부터 제 1 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송하는 것, 제 1 컴퓨팅 디바이스에서, 제 2 컴퓨팅 디바이스로부터 제 2 일시적 아이덴티티를 수신하는 것, 제 2 일시적 아이덴티티를 포함하는 인증 질의를 제 1 컴퓨팅 디바이스로부터 제 3 컴퓨팅 디바이스로 전송하는 것, 제 1 일시적 아이덴티티를 포함하는 인증 질의를 제 2 컴퓨팅 디바이스로부터 제 3 컴퓨팅 디바이스로 전송하는 것, 제 3 컴퓨팅 디바이스에서, 제 1 컴퓨팅 디바이스로부터 제 1 일시적 아이덴티티를 수신하는 것, 제 3 컴퓨팅 디바이스에서, 제 2 컴퓨팅 디바이스로부터 제 1 일시적 아이덴티티를 포함하는 인증 질의를 수신하는 것, 제 3 컴퓨팅 디바이스에서, 제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하는지 여부를 결정하는 것, 제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하는지 여부의 결정에 기초하여, 제 3 컴퓨팅 디바이스에 의해, 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 제 2 컴퓨팅 디바이스로 전송하는 것, 제 3 컴퓨팅 디바이스에서, 제 2 컴퓨팅 디바이스로부터 제 2 일시적 아이덴티티를 수신하는 것, 제 3 컴퓨팅 디바이스에서, 제 1 컴퓨팅 디바이스로부터 제 2 일시적 아이덴티티를 포함하는 인증 질의를 수신하는 것, 제 3 컴퓨팅 디바이스에 의해, 제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하는지 여부를 결정하는 것, 제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하는지 여부의 결정에 기초하여, 제 3 컴퓨팅 디바이스에 의해, 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 제 1 컴퓨팅 디바이스로 전송하는 것, 제 1 컴퓨팅 디바이스에서, 제 3 컴퓨팅 디바이스로부터 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것, 및 제 2 컴퓨팅 디바이스에서, 제 3 컴퓨팅 디바이스로부터 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것을 포함할 수도 있다.
다양한 실시형태들은 위에서 요약된 방법의 동작들을 수행하기 위한 프로세서-실행가능 명령 (instruction) 들로 구성된 컴퓨팅 디바이스들을 더 포함한다. 다양한 실시형태들은 위에서 요약된 방법의 동작들을 수행하도록 모두 구성된 제 1 컴퓨팅 디바이스, 제 2 컴퓨팅 디바이스, 및 제 3 컴퓨팅 디바이스를 포함하는 시스템을 더 포함한다.
본원에 편입되며 이 명세서의 일부를 구성하는 동반된 도면들은 발명의 일 예의 실시형태들을 예시하고, 위에서 주어진 일반적인 설명 및 이하에서 주어진 상세한 설명과 함께, 발명의 특징들을 설명하도록 작용한다.
도 1a 내지 도 1c 는 다양한 실시형태들과의 이용을 위하여 적당한 통신 시스템의 컴포넌트 블록도들이다.
도 2 는 다양한 실시형태들과의 이용을 위하여 적당한 통신 디바이스의 컴포넌트 블록도이다.
도 3a 는 다양한 실시형태들에 따라 하나의 컴퓨팅 디바이스를 또 다른 컴퓨팅 디바이스로 인증하는 방법을 예시하는 프로세스 흐름도이다.
도 3b 는 다양한 실시형태들에 따라 하나의 컴퓨팅 디바이스를 또 다른 컴퓨팅 디바이스로 인증하는 또 다른 방법을 예시하는 메시지 흐름도이다.
도 3c 는 방법 (300) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300a) 을 예시한다.
도 3d 는 방법 (300) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300b) 을 예시한다.
도 3e 는 방법 (300) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300c) 을 예시한다.
도 4a 는 다양한 실시형태들에 따라, 하나의 컴퓨팅 디바이스를 또 다른 컴퓨팅 디바이스로 인증하고 2 개의 디바이스들 사이의 정보 트랜잭션 (information transaction) 을 인가하는 방법을 예시하는 프로세스 흐름도이다.
도 4b 는 방법 (400) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400a) 을 예시한다.
도 4c 는 방법 (400) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400b) 을 예시한다.
도 4d 는 방법 (400) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400c) 을 예시한다.
도 5a 는 다양한 실시형태들에 따라, 비인가된 당사자에 의한 침입의 이벤트에서 2 개의 컴퓨팅 디바이스들 사이의 통신들을 보호하는 방법을 예시하는 프로세스 흐름도이다.
도 5b 는 방법 (500) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (500a) 을 예시한다.
도 6a 는 다양한 실시형태들에 따라 하나의 컴퓨팅 디바이스를 또 다른 컴퓨팅 디바이스로 인증하는 방법을 예시하는 프로세스 흐름도이다.
도 6b 는 방법 (600) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600a) 을 예시한다.
도 6c 는 방법 (600) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600b) 을 예시한다.
도 6d 는 방법 (600) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600c) 을 예시한다.
도 7 은 다양한 실시형태들을 구현하기 위하여 적당한 이동 무선 컴퓨팅 디바이스의 컴포넌트 블록도이다.
도 8 은 다양한 실시형태들을 구현하기 위하여 적당한 휴대용 무선 통신 디바이스의 컴포넌트 블록도이다.
도 9 는 다양한 실시형태들을 구현하기 위하여 적당한 서버 디바이스의 컴포넌트 블록도이다.
다양한 실시형태들은 동반된 도면들을 참조하여 상세하게 설명될 것이다. 가능한 경우마다, 동일한 참조 번호들은 동일하거나 유사한 부분들을 지칭하기 위하여 도면들의 전반에 걸쳐 이용될 것이다. 특정한 예들 및 구현예들에 대해 행해진 참조들은 예시적인 목적들을 위한 것이고, 발명 또는 청구항들의 범위를 제한하도록 의도된 것은 아니다.
다양한 실시형태들은 공유된 비밀들 및 정적 정보의 패러다임에 의존하지 않는 컴퓨팅 디바이스의 동적 정보에 기초하여 통신 시스템에서 다른 컴퓨팅 디바이스들로의 컴퓨팅 디바이스의 인증을 가능하게 하는 방법들, 및 방법들을 구현하도록 구성된 컴퓨팅 디바이스들 (또는 다른 디지털 또는 프로그래밍가능 디바이스들) 을 제공한다. 각각의 컴퓨팅 디바이스의 일시적 아이덴티티는 주기적으로 또는 비주기적으로 변경되고 있고, 각각의 컴퓨팅 디바이스는 새로운 일시적 아이덴티티들을 (동기식으로 또는 비동기식으로) 전송하고 및/또는 수신하는 다른 컴퓨팅 디바이스들과 주기적으로 또는 비주기적으로 통신하므로, 다양한 실시형태들은 통신들의 보안을 개선시킴으로써 임의의 통신 네트워크 또는 임의의 전자 통신 시스템의 기능을 개선시킨다. 다양한 실시형태들은 또한, 액세스 및/또는 복사에 의한 공격에 취약할 수도 있는, 공유된 비밀과 같은 정적 식별 정보에 의존하지 않으면서, 참여하는 컴퓨팅 디바이스의 아이덴티티를 신뢰성 있게 인증함으로써, 임의의 통신 네트워크의 기능을 개선시킨다.
용어 "컴퓨팅 디바이스" 는 다양한 실시형태 방법들을 수행하기 위한 프로그래밍가능 명령들로 구성될 수 있는 임의의 프로그래밍가능 컴퓨터 또는 프로세서를 지칭한다. 컴퓨팅 디바이스는 개인용 컴퓨터들, 랩톱 컴퓨터들, 태블릿 컴퓨터들, 셀룰러 전화들, 스마트폰들, 인터넷 가능형 셀룰러 전화들, Wi-Fi 가능형 전자 디바이스들, 개인 정보 단말 (personal data assistant; PDA) 들, (착용되도록 구성되거나, 웨어러블 항목에 부착되거나, 또는 웨어러블 항목 내에 내장된 스마트 시계들, 목걸이들, 메달들, 및 임의의 컴퓨팅 디바이스를 포함하는) 웨어러블 컴퓨팅 디바이스들, 무선 액세서리 디바이스들, 무선 주변 디바이스들, 사물 인터넷 (Internet of Things; IoT) 디바이스들, (소위 "클라우드 (cloud)" 컴퓨팅 디바이스들을 포함하는) 서버들, 라우터들, 게이트웨이들 등과 같은 네트워크 엘리먼트들, 및 단거리 라디오 (예컨대, 블루투스(Bluetooth), 피넛 (Peanut), 지그비 (ZigBee), 및/또는 Wi-Fi 라디오 등) 및/또는 (예컨대, 무선 광역 네트워크 트랜시버를 이용하여 통신하기 위한 하나 이상의 셀룰러 라디오 액세스 기술들, 또는 통신 네트워크로의 유선 접속을 이용하는) 광역 네트워크 접속을 구비한 유사한 전자 디바이스들 중의 하나 또는 전부를 포함할 수도 있다.
본원에서 이용된 바와 같이, 용어 "정보 트랜잭션" 은 참여하는 디바이스들의 아이덴티티가 인증될 수도 있는 임의의 통신 또는 다른 정보의 교환을 지칭한다. 일부 실시형태들에서, 본원에서 설명된 방법들을 구현하도록 구성된 방법들 및 컴퓨팅 디바이스들은 헬스 케어 레코드 관리 (health care record management), 보안 통신들 (예컨대, 정부, 사업체, 정보 기관 등), 공공 레코드들 관리 시스템들, 투표 시스템들, 재정 서비스들 시스템들, 보안 중개 시스템들, 및 많은 다른 것들과 같은, 참여하는 디바이스들의 아이덴티티가 인증될 수도 있는 다양한 맥락들에서 구현될 수도 있다. 일부 실시형태들에서, 본원에서 설명된 방법들을 구현하도록 구성된 방법들 및 컴퓨팅 디바이스들은 IoT 디바이스들에서, 또는 IoT 디바이스들과, 라우터, 서버, IoT 허브 (hub), 또는 또 다른 유사한 디바이스와 같은 IoT 디바이스 제어기 사이에서 구현될 수도 있다. 특히, 다양한 실시형태들은, IoT 환경에서 구현될 때, 인간 개입 없이, 분산된 서비스 거부 (distributed denial of service; DDoS) 공격들을 방지할 시의 특정한 이용일 수도 있다. 일부 실시형태들에서, 본원에서 설명된 방법들을 구현하도록 구성된 방법들 및 컴퓨팅 디바이스들은 정보 트랜잭션에서의 컴퓨팅 디바이스의 참여를 인증할 수도 있다. 일부 실시형태들에서, 본원에서 설명된 방법들을 구현하도록 구성된 방법들 및 컴퓨팅 디바이스들은, 특정 컴퓨팅 디바이스들의 참여가 인증될 수도 있으므로, 참여자가 (예를 들어, 카드-부존재 (card-not-present) 재정 트랜잭션과 같은) 트랜잭션에서의 참여를 더 이후에 거부할 수 없을 수도 있는 비-거부가능한 상업적 트랜잭션의 수행을 가능하게 하기 위하여, 상업적 트랜잭션의 맥락에서 구현될 수도 있다.
용어들 "컴포넌트", "시스템" 등은, 특정한 동작들 또는 기능들을 수행하도록 구성되는, 하드웨어, 펌웨어, 하드웨어 및 소프트웨어의 조합, 소프트웨어, 또는 실행 중인 소프트웨어와 같지만, 이것으로 제한되지는 않는 컴퓨터-관련된 엔티티 (computer-related entity) 를 포함하도록 의도된다. 예를 들어, 컴포넌트는 프로세서 상에서 작동되는 프로세스, 프로세서, 오브젝트 (object), 엑시큐터블 (executable), 실행 스레드 (thread of execution), 프로그램, 및/또는 컴퓨터일 수도 있지만, 이것으로 제한되지는 않는다. 예시로서, 무선 디바이스 상에서 작동되는 애플리케이션 및 무선 디바이스 자체의 양자는 컴포넌트로서 지칭될 수도 있다. 하나 이상의 컴포넌트들은 프로세스 및/또는 실행 스레드 내에서 상주할 수도 있고, 컴포넌트는 하나의 프로세서 또는 코어 (core) 상에서 로컬라이즈 (localize) 될 수도 있고 및/또는 2 개 이상의 프로세서들 또는 코어들 사이에서 분산될 수도 있다. 추가적으로, 이 컴포넌트들은 그 상에 저장된 다양한 명령들 및/또는 데이터 구조들을 가지는 다양한 비-일시적 (non-transitory) 컴퓨터 판독가능 매체들로부터 실행될 수도 있다. 컴포넌트들은 로컬 및/또는 원격 프로세스들, 함수 또는 프로시저 (procedure) 호출들, 전자 신호들, 데이터 패킷들, 메모리 판독/기록들, 및 다른 알려진 컴퓨터, 프로세서, 및/또는 프로세스 관련된 통신 방법론들을 통해 통신할 수도 있다.
디지털 환경은 그 중에서도, 지구적 규모에 이르기까지 급속한 통신 및 정보 트랜잭션들을 가능하게 한다. 그러나, 현재의 디지털 환경은 불안정한 보안 토대: 정적 공유된 비밀의 과거의 패러다임 상에 기대고 있다. 우리가 수 천년 동안에 운영하였던 순수한 인간 환경과, 우리가 오늘 날에 운영하는 디지털 환경 사이에는 수 많은 근본적인 차이들이 있다.
50 년 전에는, 상거래 및 통신이 흔히 대면적 (face-to-face) 이었고, 국지적이었고, 그리고 서로를 알고 있었던 당사자들 사이에서 있었다. 오늘 날에는, 상거래 및 통신이 원격적이고, 지구적이고, 서로 알지 못할 뿐만 아니라, 아마도 절대로 만나지 않을 당사자들 사이에서 있고, 즉, 디지털 환경은 전형적으로, 국지적이고 친숙하기 보다는, 익명성이고 원격적이다. 또한, 많은 최신 디지털 통신들은 임의의 인간 상호작용들 또는 지식에 독립적으로 작용하는 컴퓨팅 디바이스들 사이에서 있다. 대면적 트랜잭션들은 당연히 인증 단계; 다른 당사자의 시각적 인식을 포함한다. 서로에게 완전히 알려지지 않고 서로로부터 원격인 전체 이방인들 사이의 트랜잭션들을 가능하게 함으로써, 알려진 당사자들 사이의 상호작용들을 수반하는 아날로그 환경으로부터 디지털 환경으로의 전환은, 종종 비인식되지만, 당사자들의 인증이 훼손 (compromise) 될 수도 있는 컴퓨터-중재된 방법들을 수반한다는, 내재적인 취약성을 편입시켰다.
또한, 디지털 환경은 비밀들이 짧은 시간의 주기를 넘어서서 유지하기가 어려운 것이다. 일단 비밀상태가 상실되면, 이전의 비밀 정보는 급속하게 그리고 완전히 동일하게 확산될 수도 있다. 대량의 데이터 유출 (data breach) 들로 귀착되는 디지털 시스템 보안에서의 고장들은 거의 흔하게 되었고, 그 발생의 빈도는 가속화하였다.
다수의 유출 사건들에서는, 신뢰의 위반 또는 공유된 비밀 (예컨대, 크리덴셜 (credential)) 의 오용이 보안의 실패의 근원이다. 어떤 경우들에는, 특정한 보안 실패가 신뢰 및 보안을 제공하기 위하여 채용된 기술에서의 강도의 결여로 인한 것일 수도 있지만, 일반적으로, 디지털 환경에서의 보안 실패들은 다양한 기술 전개들을 이용하는 폭넓게 다양한 산업들에서 발생하였다. 보안 실패들은 보드 (board) 에 걸쳐 발생하고, 임의의 특정한 전개된 기술 뿐만 아니라, 그 애플리케이션 및 이용에 내재적인 실무들 및 절차들에 기인한다. 이에 따라, 디지털 환경에서의 보안 실패들은 실패한 공유된 비밀의 신뢰 패러다임의 근원적 전략에서의 더 근본적이고 고질적인 어떤 것에 기인한다.
디지털 보안의 현재의 패러다임은 적어도 3 개의 근본적인 이유들로 실패한다: (1) 현재의 패러다임이 신뢰에 기초하고, 신뢰는 실패하는 것임; (2) 현재의 패러다임은 안정적이거나 정적인 공유된 비밀들에 기초하지만, 비밀들은 비밀로 유지되지 않음; 및 (3) 막대한 다수의 정보 트랜잭션들은 익명의 당사자들 사이에 있음. 이에 따라, "신뢰된 시스템들" 은 그것들이 침투가능하고 취약하므로, 궁극적으로 작동하지 않는다. 또한, 현재의 "신뢰된 시스템들" 은 시간 (또는 기간) 과 함께 변동되지 않는 정적 또는 내구성 있는 정보의 이용으로 인해 대부분 침투 (penetration) 및 활용 (exploitation) 에 취약하다.
예를 들어, 현재의 디지털 보안 패러다임은 정적 디지털 증명서 (certificate) (또는 또 다른 유사한 자료 (datum)) 를 발행하는 인증 기관 또는 유사한 엔티티에 의존한다. 디지털 증명서는 증명서의 명명된 주제에 의해 공개 키 (public key) 의 소유권을 증명할 수도 있어서, 다른 당사자들이 증명된 공개 키에 대응하는 사설 키 (private key) 에 대해 행해진 서명 (signature) 들 또는 단언 (assertion) 들에 의존하는 것을 표면적으로 가능하게 할 수도 있다. 이 보안 패러다임의 하나의 예는 컴퓨팅 디바이스들 사이, 예컨대, 웹 브라우저와 컴퓨팅 디바이스와 원격 웹 서버 사이의 통신들을 보안화하기 위하여 널리 이용된 보안 프로토콜인, 보안화된 소켓 계층들 (Secured Socket Layers; SSL) 이다. SSL 은 컴퓨팅 디바이스와 웹사이트 사이에서 전송된 정보를 암호화하기 위하여 공개 키 및 사설 키를 이용하는 암호 시스템을 채용한다. SSL 보안의 핵심은, 일단 회사가 인증 기관에 의해 유효하게 되면, 회사의 서버 상에서 설치되는, 인증 기관에 의해 제공되는 인증서들에 의존한다. 신뢰 관계들의 이 모델에서, 인증 기관은 증명서의 소유자와 증명서에 의존하는 다른 당사자의 양자에 의해 신뢰되는 제 3 당사자이다.
이 보안 패러다임에서의 주요한 약점들은 증명서 및 인증 기관을 포함한다. 컴퓨팅 디바이스 상의 증명서가 훼손될 경우, 컴퓨팅 디바이스로부터/로의 통신들의 보안이 상실된다. 인증 기관이 훼손될 경우, 전체 시스템의 보안이 상실되어, 훼손 인증 기관을 신뢰하는 엔티티들의 전부를 잠재적으로 전복 (subvert) 시킨다. 훼손된 인증 기관으로부터의 증명서들에 대한 액세스를 얻는 공격자는 그 다음으로, 인증 기관에 의해 표현된 임의의 신뢰된 사용자를 가장 (impersonate) 할 수도 있다. 이에 따라, 정적 증명서들의 이용은 암호 보안 유출에 대한 가능성을 생성한다.
또 다른 예로서, 많은 개별적인 디바이스들은 크리덴셜들이 어떻게 획득되는지에 관계 없이, 동일한 크리덴셜들을 이용하여 서비스 또는 시스템에 로그인하는 것을 시도할 수도 있지만, 크리덴셜의 합법적인 보유자인, 오직 하나의 디바이스 또는 시스템이 로그인을 합법적으로 인증할 수 있다. 이 원리를 사용하기 위한 수 많은 전략들이 있었지만, 그것들은 인증 단계가 공격자에 의해 도난될 수 있고 이용될 수 있는 정보에 기초한다는 공통적인 취약성을 공유하므로, 모두 실패한다. 전형적으로, 로그인 크리덴셜들은 사용자명 및 패스워드로 구성된다. 1 회용 이용 및 다인자 (multifactor) 이용들과 같은, 수 많은 수단들이 크리덴셜들을 더 복잡하게 하는 로그인 크리덴셜들을 보안화하기 위하여 존재하지만, 로그인 크리덴셜들을 애매하게 하거나 로그인 크리덴셜들을 더 복잡하게 하는 이용 방법들의 전부는 디지털 기반구조 자체가 취약할 경우에 궁극적으로 취약하다. 다인자 인증 단계들 및 다인자 인증 경로들의 바로 그 존재 및 이용은 사용자명-패스워드 조합들이 보안을 제공하는 태스크에 부적당하다는 인정들이다.
이 출원에서 개시된 다양한 실시형태들은 디지털 시스템들의 보안 취약성을 해결하고, 디바이스-대-디바이스 통신 뿐만 아니라, 개량된 사용자 인증을 위한 전자 보안을 제공한다. 다양한 실시형태들은 디지털 증명서들의 계속적인 리프레시 (refreshing) 및 변경을 제공하기 위한 컴퓨터-구현된 방법들을 제공한다. 다양한 실시형태들은 신뢰된 시스템들이 침투가능하고 취약하므로, 이러한 시스템들이 궁극적으로 입증가능하게 비보안 (insecure) 이라는 가정을 편입시킨다. 다양한 실시형태들은 적어도, 디지털 환경이 내재적으로 신뢰할 수 없다는 이유로, 다양한 네트워크 엘리먼트들 사이에서 신뢰를 가정하지 않는 디지털 통신 시스템을 제공한다.
다양한 실시형태들은 공격자에 의해 효과적으로 이용될 수 없는 이러한 제한된 기간의 인증 정보를 생성하고 공유함으로써, 디바이스들이 네트워크들 상에서 인증되는 방법을 변경한다. 다양한 실시형태들에서, 인증 정보가 그 동안에 이용될 수도 있는 기간은 분 (minute) 의 기간과 같이 상대적으로 짧을 수도 있다. 이것은 일부 경우들에는 수 십년에 이르는 기간을 가질 수도 있는 기존의 인증 기관 (CA) 으로부터의 증명서들의 효과적인 기간과 대비된다. 일부 실시형태들에서, 인증 정보의 기간은 공격자가 정보를 획득하고 활용하기 위하여 걸리는 시간보다 더 짧도록 결정될 수도 있다. 다양한 실시형태들은 인증 정보가 잠재적으로 취약하고 공격자에 의해 획득될 수도 있다는 가정에 기초하고, 인증 정보의 유효 기간 (validity duration) 은 인증을 위한 그 유용성이 상대방이 그것을 탐지할 수 있고 활용할 수 있기 전에 만료하도록 결정될 수도 있다. 예를 들어, 최신 컴퓨팅 능력들에 기초하여, 무차별 대입 (brute force) 을 이용하여 보편적으로 이용된 암호화 해시 (encryption hash) (예컨대, SHA256) 를 복호화하기 위하여 요구된 시간의 양이 결정될 수도 있다. 다양한 실시형태들에서, 인증 정보의 유효 기간은 컴퓨팅 기술들에서의 진전들이 이러한 정보를 탐지하고 복호화하기 위하여 요구된 시간을 감소시킬 때에 변경될 수도 있다. 일부 실시형태들에서, 시스템은 암호화된 정보를 복호화하기 위하여 요구된 결정된 시간보다 더 짧은 인증 정보에 대한 유효 기간을 결정할 수도 있다.
인증 정보의 상대적으로 짧은 유용한 기간은 이러한 인증 정보가 추측되거나, 액세스되거나, "해킹되고 (hacked)", 그 다음으로, 시스템을 공격하는 수단으로서 이용될 가능성을 자릿수 (order of magnitud) 들만큼 감소시킨다. 이러한 인증 정보를 이용하는 것은 시스템이 오직 희망된 디바이스들을 인가하고, 이러한 비인가된 디바이스들이 이전에-수용가능한 사용자명 및 패스워드들, 증명서들, 또는 다른 액세스 크리덴셜들을 제시하더라도, 비인가된 디바이스들에 대한 액세스를 거부하는 것을 가능하게 한다. 이에 따라, 다양한 실시형태들은 추가로, 현존하는 보안 기술들 및 컴포넌트들이 합법적인 사용자 로그인 크리덴셜들의 완벽한 복사본들을 획득한 공격자들에 의한 디바이스 또는 시스템에 대한 액세스를 배제하는 것을 가능하게 한다. 다양한 실시형태들은 클라우드 보안 (cloud security) 과 같은, 1 회용 패스워드들을 사용하는 다른 보안 애플리케이션들에서 뿐만 아니라, 사물 인터넷 (IoT) 디바이스들을 포함하는 광범위한 디바이스들 상에서 적용될 수도 있다. 다양한 실시형태들은 분산된 서비스 거부 (DDoS) 공격의 수행에서의 공격의 타겟들 또는 보급을 위한 종속관계일 수도 있는 컴퓨팅 디바이스들과 같은 다양한 디바이스들 사이의 통신들을 인증하기 위하여 적용될 수도 있다.
다양한 실시형태들에서, 컴퓨팅 디바이스들은 각각의 컴퓨팅 디바이스가 컴퓨팅 디바이스의 (단독으로 또는 조합하여) 동적 및/또는 정적 상태 양태들을 이용하여 임시의 "일시적 아이덴티티" 를 주기적으로 (또는 비주기적으로) 생성하는 양방향, 3자간 (three-way) 인증을 수행한다. 각각의 컴퓨팅 디바이스에 의해 생성된 일시적 아이덴티티들은 2 개 (또는 그 초과) 의 다른 컴퓨팅 디바이스들에 의해 교환될 수도 있고 인증될 수도 있다. 일시적 아이덴티티들은 해싱 기법 (hashing technique) 들, 업데이팅된 키스톤 (keystone) 들, 업데이팅된 신뢰 앵커 (Trust Anchor) 들, 클라이언트 증명서 맵핑 (Client Certificate Mapping), 활성 디렉토리 (Active Directory), 인터넷 정보 서비스들 (Internet Information Services; IIS) 클라이언트 증명서 맵핑, 디지털 증명서들, 신뢰된 제 3 당사자, 및 다른 보안 메커니즘들을 포함하는 현존하는 보안 방법론들과 함께 이용될 수도 있다. 다양한 실시형태들은 인가된 사용자의 크리덴셜들을 소지하는 비인가된 사용자에 의해 컴퓨터 네트워크 또는 온라인 환경으로 로그인하기 위한 시도와 같은, 인가된 컴퓨팅 디바이스를 가장하기 위한 시도들을 격퇴할 수도 있다. 다양한 실시형태들은 또한, 임의의 네트워크 상에서 임의의 종류의 디지털 디바이스들 사이의 보안 통신들을 제공할 수도 있다. 이에 따라, 다양한 실시형태들은 기존의 인증 기술들의 보편적인 취약성들을 제거하는 통신 네트워크 상의 컴퓨팅 디바이스들 사이의 보안성 있고, 신뢰가능하고, 인증된 통신을 제공할 수도 있다.
다양한 실시형태들에서, 일시적 아이덴티티는 일시적 아이덴티티를 생성하는 컴퓨팅 디바이스의 하나 이상의 변경되는 또는 동적 상태들, 또는 컴퓨팅 디바이스 내의 센서 (예컨대, 카메라, 마이크로폰, 가속도계 등) 에 의해 획득된 동적 정보에 적어도 부분적으로 기초하는 것과 같이 동적으로 생성될 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스는 그 자신의 일시적 아이덴티티를 생성할 수도 있다. 일부 실시형태들에서, 인증 서버와 같은 또 다른 컴퓨팅 디바이스는 컴퓨팅 디바이스를 위한 일시적 아이덴티티를 생성할 수도 있고, 일시적 아이덴티티는 컴퓨팅 디바이스로 푸시 (push) 될 수도 있거나, 컴퓨팅 디바이스에 의해 서버로부터 풀 (pull) 될 수도 있다.
일부 실시형태들에서, 소정의 일시적 아이덴티티는 오직 한 번 이용될 수도 있다. 이러한 실시형태들에서, 이용되었던 일시적 아이덴티티는 그 후에 이용불가능할 수도 있다.
다양한 실시형태들에서, 시간은 일시적 아이덴티티들의 임계적 엘리먼트 (critical element) 이다. 예를 들어, 일시적 아이덴티티의 만료는 비밀이 유지될 것으로 예상될 수 있는 합리적인 시간의 길이로 제한될 수도 있다. 다양한 실시형태들에서, 컴퓨팅 디바이스는 일시적 아이덴티티가 공격자가 일시적 아이덴티티를 추측하거나 취득하고 그것을, 보안 네트워크에 대한 액세스 또는 보안화된 트랜잭션의 완료와 같은 성공적인 공격에서 이용하기 위하여 요구된 시간보다 더 짧은 시간의 길이에 대하여 유용하도록, 일시적 아이덴티티의 시간 경계 또는 시간 기간을 결정할 수도 있다. 시간 경계 또는 시간 기간을 넘어서서, 일시적 아이덴티티는 임의의 컴퓨팅 디바이스의 인증을 위하여 이용불가능할 수도 있다. 일시적 아이덴티티의 기간은 소정의 통신 세션 (예컨대, VPN 세션 또는 인터넷 쇼핑 및 구입 세션) 의 기간보다 더 짧을 수도 있다. 이러한 상황들에서, 새로운 일시적 아이덴티티는 통신 세션 동안에 컴퓨팅 디바이스를 위하여 생성될 수도 있고, 과거의 일시적 아이덴티티의 만료 후에 통신 세션 내에서의 데이터 교환들을 보안화함에 있어서 이용될 수도 있다.
일부 실시형태들에서, 일시적 아이덴티티들을 생성함에 있어서 이용된 생성하는 컴퓨팅 디바이스의 동적 양태들은 각각의 일시적 아이덴티티가 상이한 (즉, 변경된) 데이터에 기초하도록 빈번하게 또는 계속적으로 변경될 것이다. 이러한 실시형태들에서, 각각의 생성된 일시적 아이덴티티는 일시적 아이덴티티가 생성될 때에 생성하는 컴퓨팅 디바이스의 동적 상태의 "스냅샷 (snapshot)" 을 표현하는 (데이터의 스트링 (string of data) 에 의해 표현될 수도 있는) 고유한 데이터를 포함할 수도 있다. 다양한 실시형태들은 고유한 동적 증명서를 생성하기 위한 기초로서 하나 이상의 일정하게 변경되는 조건들을 참조하여 생성된 고유한 데이터 (또는 고유한 데이터 스트링) 를 이용한다. 그 결과, 공격자가 위조 아이덴티티들을 생성하기 위한 시도로, 일시적 아이덴티티들을 생성하기 위한 기초를 탐지하는 것은 가능하지 않는다.
일부 실시형태들에서, 컴퓨팅 디바이스들은 정보를 교환할 수도 있거나, 또는 그렇지 않을 경우에, 각각의 컴퓨팅 디바이스가 새로운 일시적 아이덴티티를 언제 생성할 수도 있는지의 타이밍을 협상할 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스 (예컨대, 서버) 는 새로운 일시적 아이덴티티를 생성할 것을 또 다른 컴퓨팅 디바이스 (예컨대, 사용자 디바이스) 에 명령할 수도 있다. 새로운 일시적 아이덴티티들을 생성하는 이러한 조정은 확장된 디지털 통신 세션 동안에 일시적 아이덴티티들에서의 빈번한 변경들을 가능하게 할 수도 있다.
일부 실시형태들에서, 컴퓨팅 디바이스는 정적 정보의 작은 유닛을 저장할 수도 있는, 일시적 아이덴티티 모듈과 같은 모듈을 포함할 수도 있다. 정보는 텍스트, 이미지, 생체계측 (biometric) 정보 등을 포함할 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스는 일시적 아이덴티티를 생성하기 위하여 동적 정보를 정적 정보와 조합할 수도 있다. 동적 정보를 정적 정보에 추가함으로써, 전체 스트링 정보는 작은 엘리먼트를 개조함으로써 변경될 수도 있다. 또한, 조합된 동적 정보 및 정적 정보의 해시 (hash) 는 전체 데이터 세트의 개조를 요구하지 않으면서, 정적 정보 단독의 해시와는 상이할 수도 있다.
일부 실시형태들에서, 통신 시스템에서 참여하는 각각의 컴퓨팅 디바이스는 일시적 아이덴티티를 생성할 수도 있다. 각각의 참여하는 통신 디바이스는 그 생성된 일시적 아이덴티티를, 실시간 생성된 일시적 아이덴티티들의 리포지터리 (repository) 로서 기능할 수도 있는 인증 서버로 전송할 수도 있다. 예를 들어, 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스는 일시적 아이덴티티들을 각각 생성할 수도 있고, 생성된 일시적 아이덴티티들을 서로에게 그리고 인증 서버로 전송할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스가 제 2 컴퓨팅 디바이스로부터 수신하였던 일시적 아이덴티티를 포함하는 질의를 인증 서버로 전송할 수도 있어서, 인증 서버가 제 2 컴퓨팅 디바이스의 일시적 아이덴티티를 인증할 것을 요청할 수도 있다. 제 3 컴퓨팅 디바이스는 양자의 제 2 컴퓨팅 디바이스 및 제 1 컴퓨팅 디바이스로부터 수신된 제 2 컴퓨팅 디바이스의 일시적 아이덴티티들을 비교할 수도 있다. 일시적 아이덴티티들이 일치하는 것으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스의 인증 성공의 표시를 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 인증 성공의 표시는 중간자 (man-in-the-middle) 공격들을 격퇴하도록 구성된 방법들을 이용하여 제 3 컴퓨팅 디바이스에 의해 송신될 수도 있다. 다양한 실시형태들에서, 제 3 컴퓨팅 디바이스는 재정 서비스들 시스템들, 보안 중개 시스템들, 헬스케어 레코드 관리 시스템들, 사업체, 정부, 정보 기관 등을 위한 보안 통신 시스템들, 공공 레코드 시스템들 (예컨대, 화기 레지스트리 (firearm registry) 들, 자동차 부서 (Departments of Motor Vehicles) 등), 투표 시스템들, 및 사물 인터넷 디바이스들을 포함하지만, 이것으로 제한되지는 않는 다양한 애플리케이션들에서 리포지터리로서 기능할 수도 있다.
일시적 아이덴티티들이 일치하지 않는 것으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스의 인증 실패의 표시를 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 인증 실패의 표시는 중간자 공격들을 격퇴하도록 구성된 방법들을 이용하여 제 3 컴퓨팅 디바이스에 의해 송신될 수도 있다.
일부 실시형태들에서, 인증 서버는 또한, 일시적 아이덴티티를 생성할 수도 있고, 제 3 컴퓨팅 디바이스 일시적 아이덴티티를 제 1 및 제 2 컴퓨팅 디바이스들로 전송할 수도 있고, 제 1 및 제 2 컴퓨팅 디바이스들은 제 3 컴퓨팅 디바이스 일시적 아이덴티티를 비교할 수도 있고, 제 3 컴퓨팅 디바이스의 아이덴티티를 자신들을 위하여 인증할 수 있다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스는, 그 일시적 아이덴티티와 함께, 또는 그 일시적 아이덴티티와는 별도로, 새로운 일시적 아이덴티티를 생성하기 위하여 명령을 다른 컴퓨팅 디바이스들 (예컨대, 제 1 및 제 2 컴퓨팅 디바이스들) 로 전송할 수도 있다. 다양한 실시형태들에서, 통신 시스템에서 참여하는 각각의 컴퓨팅 디바이스는 새로운 일시적 아이덴티티를 주기적으로 또는 비주기적으로 생성할 수도 있다. 진행 중인 통신 세션 동안에, 통신 세션이 새로운 아이덴티티들에 의해 비중단되고 보안화된 상태로 계속될 수 있도록, 2 개의 컴퓨팅 디바이스들 및 제 3 컴퓨팅 디바이스가 새로운 일시적 아이덴티티들의 교환들 및 인증들을 완료하는 것을 가능하게 하기 위하여, 이러한 새로운 일시적 아이덴티티들은 통신 세션을 보안화하는 하나 이상의 현재의 일시적 아이덴티티들의 만료 전에 충분하게 생성될 수도 있다. 일부 실시형태들에서, 각각의 새로운 일시적 아이덴티티는 단일 이용을 위하여 설정될 수도 있어서, 또 다른 컴퓨팅 디바이스로부터 일시적 아이덴티티를 수신하는 각각의 컴퓨팅 디바이스는 일시적 아이덴티티를 한번 오직 이용 (상호작용, 인증, 프로세싱. 해싱 등) 할 수도 있고, 그 후에, 수신된 일시적 아이덴티티는 이용불가능하게 된다. 다시, 수명은 공격자가 일시적 아이덴티티를 획득할 수도 있고 이용할 수도 있는 시간의 주기보다 더 작은 시간 기간에 대한 각각의 새로운 일시적 아이덴티티에 대하여 설정될 수도 있다.
다양한 실시형태들은 성공적인 공격 후에 보안을 신속하게 재구성하도록 동작할 수도 있다. 다양한 실시형태들에서, 임의의 탈출된 크리덴셜 정보는 그것이 활용될 수 있기 전에 모두 만료할 것이기 때문에 공격자에게 지속되지 않는 값이므로, 시스템에서 참여하는 인증 서버 또는 또 다른 디바이스 상에서의 성공적인 공격은 임의의 상당한 시간의 주기에 대하여 시스템 보안을 훼손시키지 않을 것이다. 이에 따라, 인증 시스템은 인증 서버를 공격함으로써 훼손되지 않을 수도 있다. 다양한 실시형태들은, 내구성 있고 지속가능하고, 임의의 그리고 모든 컴포넌트가 성공적으로 공격되거나 훼손될 가능성이 있는 환경에서 성공적으로 동작하는 통신 시스템을 제공한다.
일부 실시형태들에서, 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스는 (예컨대, MD5, SHA1, 또는 SHA2 와 같은 해싱 알고리즘을 이용하여) 이전에-공유된 데이터 해시에 기초하여 신뢰된 관계를 확립할 수도 있다. 이전에-공유된 데이터 해시는 예를 들어, 저장되고 공유된 시간-기반 1 회용 패스워드 알고리즘 (예컨대, 인터넷 공학 태스크 포스 (Internet Engineering Task Force) RFC 6238, 임시 1 회용 패스워드 (Temporary One-Time Password; TOTP) 등) 으로부터 생성될 수도 있다. 이러한 이전에-공유된 데이터 해시는 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스 상의 메모리에서 저장될 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스가 제 1 컴퓨팅 디바이스로부터, 계정 또는 세션 식별자와 연관될 수도 있는, 사용자명 및 패스워드와 같은 로그인 데이터를 수신할 때, 제 2 컴퓨팅 디바이스는 정보 트랜잭션 세션 또는 통신 세션과 같은 세션을 개시할 수도 있다. 이러한 실시형태들에서, 로그인 데이터는 계정 또는 세션을 식별하기 위하여 이용될 수도 있지만, 로그인 데이터는 임의의 컴퓨팅 디바이스 또는 사용자의 통신 보안 또는 인증의 목적들을 위하여 이용되지 않을 수도 있다.
일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 일시적 아이덴티티를 생성할 수도 있고, 일시적 아이덴티티를, 로그인 데이터와 함께, 또는 로그인 데이터와는 별도로 제 2 디바이스로 전송할 수도 있다. 제 1 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스의 동적 및/또는 정적 양태들, 또는 제 1 컴퓨팅 디바이스에 의해 결정된 동적 및/또는 정적 양태들에 기초하여 일시적 아이덴티티를 생성할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스의 동적 양태들은 클록 시간 (clock time), 칩 상태 (chip state), 레지스터 상태 (register state), 컴퓨팅 디바이스의 센서 (예컨대, 가속도계, 광학 센서, 온도, 습도 등) 에 의해 수신되거나 검출된 정보, 글로벌 위치결정 시스템 (Global Positioning System; GPS) 디바이스 또는 Wi-Fi 신호로부터의 위치 정보, 또는 제 1 컴퓨팅 디바이스의 양태에 기초한 데이터의 임의의 다른 소스와 같은, 상대적으로 급속하게 변경되는 제 1 컴퓨팅 디바이스의 양태들을 포함할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스의 결정된 동적 양태들은 카메라에 의해 캡처된 이미지 또는 비디오 클립 (video clip), 마이크로폰에 의해 캡처된 주변 사운드들의 사운드 클립 (sound clip), 카메라 및 마이크로폰에 의해 캡처된 오디오 비디오 클립, 또는 제 1 컴퓨팅 디바이스의 환경들 또는 주변 조건들에 관한 임의의 다른 정보를 포함할 수도 있다. 일부 실시형태들에서, 동적 양태들은 외부 센서들 및 랜덤 정보의 외부 소스들과 같은, 랜덤이고 빈번하게 변경되는 다른 소스들로부터 획득될 수도 있다.
제 2 컴퓨팅 디바이스는 인증 질의를, 인증 서버 또는 인증 기관으로서 기능할 수도 있는 제 3 컴퓨팅 디바이스로 전송할 수도 있다.
일부 실시형태들에서, 인증 질의는 제 1 컴퓨팅 디바이스에 의해 생성된 일시적 아이덴티티를 포함할 수도 있다. 일부 실시형태들에서, 인증 서버는 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 저장할 수도 있다.
제 2 컴퓨팅 디바이스로부터의 인증 질의에 기초하여, 제 3 컴퓨팅 디바이스는 인증 질의를 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 제 3 컴퓨팅 디바이스로부터의 인증 질의에 응답하여, 제 1 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스 일시적 아이덴티티의 해시를 생성할 수도 있고, 제 1 컴퓨팅 디바이스의 일시적 아이덴티티의 생성된 해시를 제 3 컴퓨팅 디바이스로 전송할 수도 있다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티, 및 제 1 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 비교할 수도 있다. 2 개의 수신된 일시적 아이덴티티들이 일치하는 것으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스의 인증 성공의 표시를 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 2 개의 수신된 일시적 아이덴티티들이 일치하지 않는 것으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스 인증 실패의 표시를 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 성공적인 및 실패한 로그인 시도들의 감사 추적 (audit trail) 을 유지할 수도 있다. 일부 실시형태들에서, 감사 추적은 예를 들어, 각각의 시도의 시간, 제 1 및 제 2 컴퓨팅 디바이스들 (및 임의의 다른 참여하는 컴퓨팅 디바이스들) 의 식별자들, 이용 빈도, 인증 실패들의 빈도, 및 다른 세부사항들을 식별하는 메타데이터 (metadata) 를 포함할 수도 있다. 감사 추적은 위험 분석을 위하여 이용될 수도 있고, 대시보드 (dashborad) 또는 다른 보고 메커니즘을 통해 디스플레이될 수도 있고 및/또는 액세스가능할 수도 있다. 다양한 실시형태들에서, 참여하는 컴퓨팅 디바이스들 중의 임의의 것은 감사 추적을 유지할 수도 있다. 일부 실시형태들에서, 일시적 아이덴티티들의 복사본들은 감사 추적의 일부로서 저장될 수도 있다. 이러한 저장된 일시적 아이덴티티들은 인증 목적들을 위하여 이용될 수도 있는 것이 아니라, 참여하는 컴퓨팅 디바이스들을 식별하는 것 뿐만 아니라, 특정한 컴퓨팅 디바이스에 의한 특정한 정보 트랜잭션에서의 참여를 확인하기 위하여 이용될 수도 있다. 일부 실시형태들에서, 감사 추적에서 저장된 정보는 예를 들어, 일부 방식으로 공격을 위하여 타겟화되었던 컴퓨팅 디바이스를 식별하기 위하여 이용될 수도 있다.
다양한 실시형태들은 공유된 비밀들 및 정적 정보의 현재의 패러다임과 대조적으로, 각각의 컴퓨팅 디바이스의 일시적 및/또는 동적 정보에 기초하여 통신 시스템에서 컴퓨팅 디바이스의 아이덴티티를 인증할 수도 있는 시스템을 제공한다. 다양한 실시형태들에서, 참여하는 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스 (예컨대, 인증 서버) 로부터 수신될 수도 있는 임시의 일시적 아이덴티티를 이용하여 제 2 컴퓨팅 디바이스의 아이덴티티를 인증할 수도 있다. 다양한 실시형태들은 정적 증명서와 같은 정보의 정적 유닛을 비밀로 유지하는 것에 기초하는 현재의 보안 패러다임과 대조적이다. 각각의 컴퓨팅 디바이스의 일시적 아이덴티티는 빈번하게 변경되고 있고, 각각의 컴퓨팅 디바이스는 새로운 일시적 아이덴티티들을 전송하고 및/또는 수신하는 다른 컴퓨팅 디바이스들과 주기적으로 또는 비주기적으로 통신하므로, 다양한 실시형태들은 통신들의 보안을 개선시킴으로써 임의의 통신 네트워크 또는 임의의 전자 통신 시스템의 기능을 개선시킨다. 상대방은 통신 디바이스들의 임의의 2 개 사이의 통신들을 훼손시키기 위하여 동시에 그리고 동기식으로, 3 개의 통신 경로들, 예컨대, 제 1 및 제 2 컴퓨팅 디바이스들 사이, 제 1 및 제 3 컴퓨팅 디바이스들 사이, 그리고 제 2 및 제 3 컴퓨팅 디바이스들 사이를 (최소로) 침투하도록 요구받을 것이다.
다양한 실시형태들은 임의의 현재-현존하는 기반구조의 실질적인 변경들 또는 개조들 없이 다양한 컴퓨팅 디바이스들 및/또는 통신 네트워크들 또는 시스템들을 이용하여 구현될 수도 있다. 다양한 실시형태들은 또한, 액세스 및/또는 복사에 의한 공격에 취약할 수 있는, 공유된 비밀과 같은 정적 식별 정보에 의존하지 않으면서, 참여하는 컴퓨팅 디바이스의 아이덴티티를 신뢰성 있게 인증함으로써, 임의의 통신 네트워크의 기능을 개선시킨다.
다양한 실시형태들에서, 다양한 방법들을 수행하도록 구성되는 컴퓨팅 디바이스는 컴퓨팅 디바이스의 절도 (theft) 또는 복제 (cloning) 의 경우에 시스템을 액세스하는 것이 인가-해제 (de-authorize) 될 수도 있거나 차단될 수도 있다.
다양한 실시형태들은 그 예가 도 1a 에서 예시되는 다양한 통신 시스템들 (150) 내에서 구현될 수도 있다. 통신 시스템 (150) 은 IoT 네트워크 (154), 법률 회로 (156), 방어 계약자 (158), 하위계약자 (160), 은행 (162), 헬스 케어 엔티티 (164), 온라인 상거래 엔티티 (166), 및 전기통신 엔티티 (168) 와 같은, 통신 네트워크를 이용하여 통신할 수도 있는 다양한 엔티티들을 포함할 수도 있다. 엔티티들 (154 내지 168) 의 각각은 서로 그리고 서로 사이에서 통신할 수도 있다. 엔티티들 (154 내지 168) 의 각각은 또한, 인증 기관 (152) 과 통신할 수도 있다. 인증 기관 (152) 은 이하에서 추가로 설명된 바와 같이, 컴퓨팅 디바이스의 엔티티의 인증을 가능하게 하기 위한 동작들을 수행하도록 구성된 하나 이상의 컴퓨팅 디바이스들을 포함할 수도 있다. 엔티티들 (154 내지 168) 은 단지 예시적이고, 통신 네트워크 (150) 는 헬스 케어 레코드들, (예컨대, 사업체 또는 관청을 위한) 보안 통신들, 공공 레코드들, 투표 시스템들, 재정 서비스들, 보안 중개 시스템들, IoT 통신들, 상업적 트랜잭션들, 및 광범위한 다른 맥락들을 처리할 수도 있는 엔티티들을 포함하는 폭넓게 다양한 엔티티들을 포함할 수도 있다.
다양한 실시형태들은 그 예가 도 1b 에서 예시되는 다양한 통신 시스템들 (100) 내에서 구현될 수도 있다. 도 1a 및 도 1b 를 참조하면, 통신 시스템 (100) 의 엘리먼트들은 엔티티들 (154 내지 168) 중의 임의의 것에서 이용될 수도 있다. 통신 시스템 (100) 은 컴퓨팅 디바이스들 (102, 104, 106, 및 108) 을 포함할 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스들 (102 및 104) 은 스마트폰, 랩톱 컴퓨터, 데스크톱 컴퓨터 등과 같은, 사용자에 의해 직접적으로 이용된 컴퓨팅 디바이스를 포함할 수도 있다. 사용자는 컴퓨팅 디바이스들 (102 및 104) 과 유사한 하나를 초과하는 이러한 컴퓨팅 디바이스를 동작시킬 수도 있다는 것이 이해될 것이다. 일부 실시형태들에서, 컴퓨팅 디바이스들 (102 및 104) 은 하나 이상의 IoT 디바이스들을 포함할 수도 있다. IoT 디바이스들의 비-제한적인 예들은 개인용 또는 이동 멀티-미디어 플레이어들, 게이밍 시스템들 및 제어기들, 스마트 텔레비전들, 셋톱 박스들, 스마트 부엌 기기들, 스마트 조명들 및 조명 시스템들, 스마트 전기 계측기들, 스마트 가열, 환기, 및 공조 (heating, ventilation, and air conditioning; HVAC) 시스템들, 스마트 서모스탯 (thermostat) 들, 도어 및 윈도우 록 (lock) 들을 포함하는 건물 보안 시스템들, 차량 엔터테인먼트 시스템들, 차량 진단 및 모니터링 시스템들, 머신-대-머신 (machine-to-machine) 디바이스들, 및 프로그래밍가능 프로세서 및 메모리, 및 무선 통신 경로들을 확립하고 무선 통신 경로들을 통해 데이터를 송신/수신하기 위한 회로부를 포함하는 유사한 디바이스들을 포함한다. 컴퓨팅 디바이스들 (102 및 104) 은 또한, 육상, 해상, 공중, 또는 공간에서의 여행을 할 수 있는 무인화된, 자율적, 반-자율적, 또는 로봇식 차량을 포함할 수도 있다. 컴퓨팅 디바이스들 (102 및 104) 은 스마트 화기 (smart firearm) 또는 또 다른 프로세서-구비된 무기 또는 무기 시스템을 더 포함할 수도 있다.
일부 실시형태들에서, 컴퓨팅 디바이스들 (106 및 108) 은 서버와 같은 백-엔드 (back-end) 컴퓨팅 디바이스를 포함할 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스 (108) 는 통신 링크 (130) 상에서 전자 보안 시스템 (114) 과 통신할 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스들 (106 및 108) (및 아마도 컴퓨팅 디바이스 (114)) 은 하나의 엔티티에 의해 동작될 수도 있다. 예를 들어, 헬스 케어 엔티티 (164) 또는 전기통신 엔티티 (168) 는 컴퓨팅 디바이스들 (106, 108, 및/또는 114) 중의 하나 이상을 동작시킬 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스들 (106, 108, 및 114) 은 하나를 초과하는 엔티티에 의해 동작될 수도 있다.
컴퓨팅 디바이스들 (102, 104, 106, 및 108) 의 각각 및 전자 보안 시스템 (114) 은 개개의 통신 링크 (120, 122, 124, 126, 128, 및 130) 상에서 통신 네트워크 (112) 와 통신할 수도 있다. 통신 링크들 (120, 122, 124, 126, 128, 및 130) 은 유선 또는 무선 통신 링크들을 포함할 수도 있고, 컴퓨팅 디바이스들 (102, 104, 106, 및 108), 전자 보안 시스템 (114), 및 통신 네트워크 (112) 사이의 통신을 용이하게 하기 위한 추가적인 디바이스들을 더 포함할 수도 있다. 이러한 추가적인 디바이스들의 예들은 액세스 포인트 (access point) 들, 기지국들, 라우터들, 게이트웨이들, 유선 및/또는 무선 통신 디바이스들 뿐만 아니라, 광섬유 백홀 링크들, 마이크로파 백홀 링크들, 및 다른 적당한 통신 링크들을 포함할 수도 있는 백홀 통신 링크들을 포함할 수도 있다.
일부 실시형태들에서, 컴퓨팅 디바이스 (106) 는 상업적 트랜잭션을 수행하기 위한 IoT 디바이스 제어기로서, 헬스 케어 레코드 관리, 보안 통신들, 공공 레코드들 관리 시스템들, 투표 시스템들, 재정 서비스들 시스템들, 보안 중개 시스템들 뿐만 아니라 다른 맥락들을 제한 없이 포함하는 다양한 맥락들에서 정보 트랜잭션들에 관련된 동작들을 수행하도록 구성될 수도 있다. 일부 실시형태들에서, 컴퓨팅 디바이스 (108) 는 이하에서 추가로 설명된 바와 같이, 일시적 아이덴티티들을 생성하고 및/또는 획득하는 것에 관련된 동작들, 및 컴퓨팅 디바이스들 (102, 104, 및 106) 중의 하나 이상과 같은 컴퓨팅 디바이스의 아이덴티티의 인증을 수행하도록 구성될 수도 있다.
일부 실시형태들에서, 전자 보안 시스템 (114) 은 네트워크 모니터링 시스템, 키 로깅 시스템 (key logging system), 또는 또 다른 유사한 시스템과 같은, 네트워크 모니터링 또는 네트워크 보안 기능들을 수행하도록 구성될 수도 있다. 일부 실시형태들에서, 전자 보안 시스템 (114) 은 통신 네트워크 (112) 를 이용하거나 액세스하는 비인가된 사용자 또는 전자 침입자를 검출할 수도 있고, 비인가된 사용자 또는 전자 침입자의 검출의 표시를 컴퓨팅 디바이스 (108) 로 전송할 수도 있다. 일부 실시형태들에서, 전자 보안 시스템 (114) 은 그 외의 인가된 사용자로부터의 시스템, 메모리, 네트워크 엘리먼트, 또는 네트워크 엘리먼트의 컴포넌트의 비인가된 액세스들 (예컨대, "내부자" 위협) 을 모니터링하고 및/또는 검출하도록 구성될 수도 있다. 일부 실시형태들에서, 전자 보안 시스템 (114) 은 컴퓨팅 디바이스가 통신 시스템에 대한 액세스로부터 인가-해제되어야 한다는 커맨드 (command) 또는 표시를 수신하도록 구성될 수도 있다. 예를 들어, 전자 보안 시스템 (114) 은 네트워크 인가 시스템, 또는 인간 자원 시스템들, 또는 통신 시스템의 인가된 사용자들의 리스트를 제공하는 시스템, 또는 또 다른 유사한 시스템의 컴포넌트 또는 엘리먼트일 수도 있다. 이러한 실시형태들에서, 전자 보안 시스템 (114) 은 컴퓨팅 디바이스의 인가가 제거되어야 하거나 차단되어야 한다는 것을 표시하는 커맨드 또는 또 다른 메시지를 수신할 수도 있다. 일부 실시형태들에서, 비인가된 사용자 또는 전자 침입자가 검출되었다는 표시, 컴퓨팅 디바이스 인가가 제거되어야 하거나 차단되어야 한다는 표시, 또는 또 다른 유사한 표시를 수신하는 것에 응답하여, 컴퓨팅 디바이스 (108) 는 이하에서 추가로 설명된 바와 같이, 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 컴퓨팅 디바이스들 (102, 104, 및 106) 중의 하나 이상으로 전송할 수도 있다.
통신 네트워크 (112) 는 엔티티 또는 기업 내의 통신 네트워크들, 및 외부 통신 네트워크들, 공공적으로 이용가능한 통신 네트워크들, 및 네트워크들의 조합들 뿐만 아니라, 인터넷을 포함하는 인터네트워크 (internetwork) 들을 포함하는 다양한 통신 네트워크들을 포함할 수도 있다. 통신 네트워크 (112) 는 하나 이상의 유선 및 무선 통신 프로토콜들을 이용하여 통신들을 지원할 수도 있다. 통신 링크들 (120, 122, 124, 및 126) 의 각각은 양자간 (two-way) 유선 또는 무선 통신 링크들일 수도 있다. 무선 통신 프로토콜들은 하나 이상의 라디오 액세스 기술 (radio access technology; RAT) 들을 포함할 수도 있다. 무선 RAT 들의 예들은 3GPP 롱텀 에볼루션 (Long Term Evolution; LTE), 마이크로파 액세스를 위한 전세계 상호운영성 (Worldwide Interoperability for Microwave Access; WiMAX), 코드 분할 다중 액세스 (Code Division Multiple Access; CDMA), 시간 분할 다중 액세스 (Time Division Multiple Access; TDMA), 광대역 CDMA (Wideband CDMA; WCDMA), 이동성을 위한 글로벌 시스템 (Global System for Mobility; GSM), 및 다른 RAT 들을 포함한다. RAT 들의 예들은 또한, Wi-Fi, 블루투스 (Bluetooth), 지그비 (Zigbee), 비허가된 스펙트럼에서의 LTE (LTE in Unlicensed spectrum; LTE-U), 허가 보조된 액세스 (License Assisted Access; LAA), 및 MuLTEfire (비허가된 캐리어 대역 상에서 LTE 를 이용하는 시스템) 를 포함할 수도 있다. 유선 통신 프로토콜들은 이더넷 (Ethernet), 점-대-점 (Point-To-Point) 프로토콜, 하이-레벨 데이터 링크 제어 (High-Level Data Link Control; HDLC), 진보된 데이터 통신 제어 프로토콜 (Advanced Data Communication Control Protocol; ADCCP), 및 송신 제어 프로토콜/인터넷 프로토콜 (Transmission Control Protocol/Internet Protocol; TCP/IP) 과 같은 하나 이상의 유선 통신 프로토콜들을 이용할 수도 있는 다양한 유선 네트워크들 (예컨대, 이더넷, TV 케이블, 전화 통신, 광 섬유, 및 다른 형태들의 물리적 네트워크 접속들) 을 이용할 수도 있다.
통신 링크들 (120, 122, 및 124) 은 단일 링크들로서 예시되지만, 통신 링크들의 각각은 각각이 복수의 논리적 채널들을 포함할 수도 있는 복수의 주파수들 또는 주파수 대역들과 같은 복수의 유선 또는 무선 링크들을 포함할 수도 있다. 추가적으로, 다양한 통신 링크들 (120, 122, 및 124) 의 각각은 하나를 초과하는 통신 프로토콜을 사용할 수도 있다.
컴퓨팅 디바이스 (108) 는 메모리 디바이스, 데이터베이스, 서버 디바이스, 또는 데이터를 저장할 수 있는 또 다른 디바이스와 같은 데이터 저장소 (110) 와 통신할 수도 있다. 일부 구현예들에서, 데이터 저장소 (110) 는 감사 추적 및 연관된 메타데이터를 저장할 수도 있다.
다양한 실시형태들은 그 예가 도 1c 에서 예시되는 다양한 통신 시스템들 (180) 내에서 구현될 수도 있다. 도 1a 내지 도 1c 를 참조하면, 통신 시스템 (150) 의 엘리먼트들은 엔티티들 (154 내지 168) 중의 임의의 것에서 이용될 수도 있다. 통신 시스템 (180) 은 컴퓨팅 디바이스들 (184, 186, 188, 190, 192, 194, 및 196) 을 포함할 수도 있다. 컴퓨팅 디바이스들 (190 내지 196) 은 파일 서버들, 데이터베이스들, 또는 다른 유사한 네트워크-액세스가능 데이터 소스들과 같은 네트워크 엘리먼트들을 포함할 수도 있다. 컴퓨팅 디바이스들 (184 및 186) 은 임의의 형태의 사용자-동작가능 네트워크 단말을 포함할 수도 있고, 컴퓨팅 디바이스들 (102 및 104) 과 유사할 수도 있다. 컴퓨팅 디바이스들 (186 내지 196) 은 통신 네트워크 (182) 에서의 엘리먼트들일 수도 있고, 엘리먼트들에 대한 액세스는 방화벽 (firewall) (198) 과 같은, 통신 네트워크 (182) 에 대한 전자 액세스를 보호하도록 구성된 디바이스에 의해 보호될 수도 있다.
방화벽 (198) 과 같은 기존의 통신 보안 구현예들은 컴퓨팅 디바이스 (184) 와 같은 외부 디바이스에 의한 공격들 및 활용에 대하여 네트워크 (182) 를 보호할 수도 있다. 그러나, 방화벽 (198) 은 컴퓨팅 디바이스 (186) 와 같은, 방화벽 (198) 내부에 있는 디바이스로부터의 공격들 또는 전개에 대하여 네트워크 (182) 를 보호하지 않을 수도 있다.
다양한 실시형태들은 일시적 아이덴티티들을 생성하고 및/또는 획득하는 것에 관련된 동작들, 및 컴퓨팅 디바이스들 (184, 186, 190, 192, 194, 및 196) 중의 하나 이상과 같은 컴퓨팅 디바이스의 아이덴티티의 인증을 수행하도록 구성될 수도 있는 (제 3 컴퓨팅 디바이스 (108) 와 유사할 수도 있는) 컴퓨팅 디바이스 (188) 를 포함할 수도 있다.
다양한 실시형태들에서, 방화벽 (198) 이 트래픽 모니터링, 게이트웨이 기능들, 라우팅, 및 다른 유사한 기능들과 같은 네트워크 동작들을 수행하기 위하여 채용될 수도 있지만, 방화벽 (198) 은 컴퓨팅 디바이스들 (184 및 186) 과 같은 디바이스들의 보안 기능 또는 인증 기능을 수행하지 않을 수도 있다. 오히려, 통신 시스템 (180) 에서, 컴퓨팅 디바이스들 (184 및 186) 은 컴퓨팅 디바이스 (188) 및/또는 서로와 통신할 수도 있어서, 컴퓨팅 디바이스들 (184 및 186) 의 각각의 아이덴티티 뿐만 아니라, 일부 실시형태들에서는, 컴퓨팅 디바이스 (188) 의 아이덴티티의 인증을 가능하게 할 수도 있다. 유사하게, 통신 시스템 (180) 은 주장된 사용자 (purported user) 를, 또는 사용자 계정으로의 포인터 (pointer) 로서 식별하기 위하여, 사용자명 및 패스워드와 같은, 컴퓨팅 디바이스 (184 또는 186) 에서 수신된 입력들을 이용할 수도 있지만, 통신 시스템 (180) 은 보안 목적들을 위하여 또는 인증 목적들을 위하여, 사용자명 및 패스워드와 같은 크리덴셜들을 이용하지 않을 수도 있다. 오히려, 통신 시스템 (180) 은 이하에서 추가로 설명된 바와 같이, 각각의 컴퓨팅 디바이스의 일시적 및/또는 동적 정보에 기초하여 컴퓨팅 디바이스들 (184 및 186) 의 아이덴티티를 인증할 수도 있다.
도 2 는 다양한 실시형태들을 구현하기 위하여 적당한 컴퓨팅 디바이스 (200) 의 컴포넌트 블록도이다. 도 1 및 도 2 를 참조하면, 다양한 실시형태들에서, 컴퓨팅 디바이스 (200) 는 컴퓨팅 디바이스들 (102, 104, 106, 및 108) 과 유사할 수도 있다.
컴퓨팅 디바이스 (200) 는 프로세서를 포함할 수도 있다. 프로세서 (202) 는 다양한 실시형태들의 동작들을 실행하기 위한 프로세서-실행가능 명령들, 주요 기능에 추가하여 다양한 실시형태들의 동작들을 실행하기 위한 프로세서-실행가능 명령들로 구성가능한 모뎀 프로세서와 같은 특화된 프로세서, 다양한 실시형태들의 동작들을 수행하도록 구성된 전용 하드웨어 (즉, "펌웨어 (firmware)") 회로, 또는 전용 하드웨어/펌웨어 및 프로그래밍가능 프로세서의 조합으로 구성가능할 수도 있다.
프로세서 (202) 는 프로세서-실행가능 명령들을 저장하는 비-일시적 컴퓨터-판독가능 저장 매체일 수도 있는 메모리 (204) 에 결합될 수도 있다. 메모리 (204) 는 오퍼레이팅 시스템 뿐만 아니라, 사용자 애플리케이션 소프트웨어 및 실행가능 명령들을 저장할 수도 있다. 메모리 (204) 는 또한, 어레이 데이터 구조와 같은 애플리케이션 데이터를 저장할 수도 있다. 메모리 (204) 는 하나 이상의 캐시들, 판독 전용 메모리 (read only memory; ROM), 랜덤 액세스 메모리 (random access memory; RAM), 전기적 소거가능 프로그래밍가능 ROM (electrically erasable programmable ROM; EEPROM), 정적 RAM (static RAM; SRAM), 동적 RAM (dynamic RAM; DRAM), 또는 다른 타입들의 메모리를 포함할 수도 있다. 프로세서 (202) 는 메모리 (204) 로부터 그리고 메모리 (204) 로 정보를 판독할 수도 있고 정보를 기록할 수도 있다. 메모리 (204) 는 또한, 하나 이상의 프로토콜 스택들과 연관된 명령들을 저장할 수도 있다. 프로토콜 스택은 일반적으로, 라디오 액세스 프로토콜 또는 통신 프로토콜을 이용하여 통신을 가능하게 하기 위한 컴퓨터 실행가능 명령들을 포함한다.
프로세서 (202) 는 또한, 이하에서 추가로 설명된 바와 같이, 다양한 동작들을 수행하도록 구성된 유닛들을 위한 다양한 모듈들과 통신할 수도 있다. 예를 들어, 프로세서 (202) 는 통신 인터페이스 (206), 인증 모듈 (208), 해싱 모듈 (hashing module) (210), 일시적 아이덴티티 모듈 (212), 해시 저장 모듈 (214), 및 트랜잭션 모듈 (216) 과 통신할 수도 있다. 모듈들/유닛들 (206 내지 216) 은 소프트웨어 및 하드웨어로, 또는 하드웨어 및 소프트웨어의 조합으로 컴퓨팅 디바이스 (200) 상에서 구현될 수도 있다. 다양한 실시형태들의 동작들을 수행하도록 구성된 펌웨어, 칩, 시스템-온-칩 (system-on-a-chip; SOC), 전용 하드웨어 (즉, "펌웨어") 회로, 또는 전용 하드웨어/펌웨어 및 프로그래밍가능 프로세서의 조합. 프로세서 (202), 메모리 (204), 및 다양한 모듈들/유닛들 (206 내지 216) 은 통신 버스 또는 임의의 다른 통신 회로부 또는 인터페이스 상에서 통신할 수도 있다.
통신 인터페이스 (206) 는 통신 네트워크 (예컨대, 통신 네트워크 (112)) 와의 통신들을 가능하게 할 수도 있는 네트워크 인터페이스를 포함할 수도 있다. 통신 인터페이스 (206) 는 이더넷 접속, 광 섬유 접속, 광대역 케이블 접속, 전화 라인 접속, 또는 다른 타입들의 유선 통신 접속과 같은 접속이 이를 통해 제공될 수도 있는 하나 이상의 입력/출력 (I/O) 포트들을 포함할 수도 있다. 통신 인터페이스 (206) 는 또한, 라디오 주파수 통신을 가능하게 할 수도 있는 라디오 유닛을 포함할 수도 있다.
인증 모듈 (208) 은 컴퓨팅 디바이스 (200) 로의 로그인을 위하여 사용자로부터 입력을 수신하기 위하여 하나 이상의 입력 디바이스들과의 통신을 제공할 수도 있거나, 하나 이상의 입력 디바이스들과 통신할 수도 있다. 입력 디바이스들은 하나 이상의 버튼들, 슬라이더 (slider) 들, 터치패드들, 키보드들, 생체계측 입력 디바이스들, 카메라들, 지문 판독기들, 및 다른 유사한 입력 디바이스들을 포함할 수도 있다.
일시적 아이덴티티 모듈 (212) 은 컴퓨팅 디바이스 (200) 를 위한 일시적 아이덴티티를 생성할 수도 있다. 일시적 아이덴티티는 개별적으로, 또는 다른 동적 또는 정적 정보와 조합하여, 컴퓨팅 디바이스 (200) 의 하나 이상의 동적 양태들에 기초할 수도 있다. 컴퓨팅 디바이스 (200) 의 동적 양태들은 클록 시간, 칩 상태, 레지스터 상태, 또는 제 1 컴퓨팅 디바이스의 동적 양태에 기초한 데이터의 임의의 다른 소스와 같은, 상대적으로 급속하게 변경되는 제 1 컴퓨팅 디바이스의 양태들을 포함할 수도 있다.
해싱 모듈 (210) 은 일시적 아이덴티티 모듈 (212) 에 의해 생성되는 일시적 아이덴티티의 해시를 생성할 수도 있다. 해시 저장 모듈 (214) 은 일시적 아이덴티티 모듈 (212) 에 의해 생성된 일시적 아이덴티티 및/또는 해싱 모듈 (210) 에 의해 생성된 일시적 아이덴티티의 해시를 저장하기 위하여, 메모리 디바이스를 포함할 수도 있거나, 메모리 (204) 와 통신할 수도 있다.
트랜잭션 모듈 (216) 은 (예를 들어, 컴퓨팅 디바이스 (102) 와 컴퓨팅 디바이스 (106) 사이에서) 또 다른 컴퓨팅 디바이스와의 트랜잭션에 관련된 통신 (뿐만 아니라 다른 통신들) 을 가능하게 할 수도 있다. 일부 구현예들에서, 트랜잭션 모듈 (216) 은 트랜잭션 서버와의 간소화된 통신 및/또는 트랜잭션 프로세스를 제공하도록 구성된 하드웨어 및/또는 소프트웨어를 포함할 수도 있다. 일부 구현예들에서, 트랜잭션 모듈은 소위 "1-클릭" 서비스 또는 또 다른 간소화된 통신/트랜잭션 프로세스와 같은, 특정 서비스 제공자에 관련된 간소화된 통신을 제공하도록 구성된 하드웨어 및/또는 소프트웨어를 포함할 수도 있다.
도 3a 및 도 3b 는 일부 실시형태들에 따라, 제 3 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 108, 188, 및 200) 와의 상호작용들을 통해, 제 1 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (102, 104, 184, 186, 및 200)) 를 제 2 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (106, 190 내지 196, 및 200)) 로 그리고 그 반대로 인증하는 시스템 방법 (300) 을 예시한다. 도 3c 는 방법 (300) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300a) 을 예시한다. 도 3d 는 방법 (300) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300b) 을 예시한다. 도 3e 는 방법 (300) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300c) 을 예시한다. 도 1a 내지 도 3e 를 참조하면, 방법 (300) 은 제 1 컴퓨팅 디바이스의 프로세서 (예컨대, 프로세서 (202) 및/또는 등) (즉, 디바이스 프로세서), 제 2 컴퓨팅 디바이스의 프로세서, 및 제 3 컴퓨팅 디바이스의 프로세서에 의해 구현될 수도 있다.
다양한 실시형태들에서, 방법 (300) 이전에 또는 방법 (300) 의 일부로서, 제 1 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (102 또는 104)) 및 제 2 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (106)) 는 일부 실시형태들에서, 인증 서버로서 기능할 수도 있는 제 3 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (108)) 와 계정들을 확립할 수도 있다. 다양한 실시형태들에서, 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스는 각각의 컴퓨팅 디바이스가 방법 (300) 의 동작들을 수행하는 것을 가능하게 하는 하나 이상의 모듈들 (예컨대, 모듈들 (206 내지 216)) 로 구성 (예컨대, 초기화, 구성, 설치 등) 될 수도 있다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스와 계정을 확립하는 것은 제 3 컴퓨팅 디바이스와 제 1/제 2 컴퓨팅 디바이스 사이의 통신 경로를 결정하고 및/또는 협상하는 것을 포함할 수도 있다. 일부 실시형태들에서, 제 1 및 제 2 컴퓨팅 디바이스들의 각각은 하나 이상의 양태들에서 상이한 제 3 컴퓨팅 디바이스와의 통신 경로를 협상할 수도 있거나 결정할 수도 있다. 예를 들어, 각각의 컴퓨팅 디바이스 쌍은 상이한 암호화 방법 또는 프로토콜, 통신 프로토콜 또는 애플리케이션 (예컨대, 하이퍼텍스트 마크업 언어 (hypertext markup language; HTML), 단문 메시지 서비스 (short message service; SMS) 텍스트 메시지) 등을 이용할 수도 있다. 다양한 실시형태들에서, 사용자는 제한 없이, 복수의 인증 서버들과 복수의 계정들을 확립할 수도 있다.
다양한 실시형태들은 제 1 컴퓨팅 디바이스, 제 2 컴퓨팅 디바이스, 및 제 3 컴퓨팅 디바이스 중의 임의의 2 개 사이의 통신들의 침투 및 훼손에 대한 방어를 제공할 수도 있다. 예를 들어, 중간자 (man-in-the-middle; MITM) 공격을 수행하는 공격자는 2 개의 네트워크 디바이스들 사이에서 통신들을 비밀스럽게 중계할 수도 있고, 그 통신들을 모니터링할 수도 있고 및/또는 개조할 수도 있다. 다양한 실시형태들은 공격자가 거의 동시에 3 개의 통신 경로들: 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이의 제 1 통신 경로, 제 2 컴퓨팅 디바이스와 제 3 컴퓨팅 디바이스 사이의 제 2 통신 경로, 및 제 3 컴퓨팅 디바이스와 제 1 컴퓨팅 디바이스 사이의 제 3 통신 경로를 동시에 훼손시킬 것을 요구할 것이다. 일시적 아이덴티티들은 동적이고 빈번하게 변경되므로, 공격자는 3 개의 통신 경로들을 이용하여 전송된 일시적 아이덴티티들을 훔쳐야 하거나 가로채야 하고, 극도로 급속하게 복호화해야 한다. 이 잠재적인 취약성은 3 개의 별도의 통신 경로들 상에서 3 개의 컴퓨팅 디바이스들 사이에서 교환된 상이한 인증 정보의 짧은 유효 기간에 의해 격퇴된다.
방법 (300 및 300a) 의 블록 (302) 에서, 제 1 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (102 또는 104)) 의 프로세서는 제 1 일시적 아이덴티티를 획득할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 1 일시적 아이덴티티를 생성함으로써 제 1 일시적 아이덴티티를 획득할 수도 있다 (예컨대, 동작 (302a)). 일부 실시형태들에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (108)) 로부터 생성된 제 1 일시적 아이덴티티를 획득할 수도 있다 (예컨대, 동작 (302b)). 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 생성된 제 1 일시적 아이덴티티를 제 1 컴퓨팅 디바이스로 푸시할 수도 있다 (예컨대, 제 3 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스로부터의 요청 없이, 생성된 일시적 아이덴티티를 제 1 컴퓨팅 디바이스로 전송할 수도 있음). 일부 실시형태들에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티를 풀 (pull) 할 수도 있다. 예를 들어, 제 1 컴퓨팅 디바이스는 일시적 아이덴티티에 대한 요청을 제 3 컴퓨팅 디바이스로 전송할 수도 있고, 제 3 컴퓨팅 디바이스는 요청에 응답하여, 일시적 아이덴티티를 제 1 컴퓨팅 디바이스로 전송할 수도 있다.
방법 (300 및 300b) 의 블록 (304) 에서, 제 2 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (106)) 의 프로세서는 제 2 일시적 아이덴티티를 생성할 수도 있다 (예컨대, 동작 (304a)). 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 2 일시적 아이덴티티를 생성함으로써 제 1 일시적 아이덴티티를 획득할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터 제 2 일시적 아이덴티티를 획득할 수도 있다 (예컨대, 동작 (304b)). 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 2 일시적 아이덴티티를 제 2 컴퓨팅 디바이스로 푸시할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터의 생성된 제 2 일시적 아이덴티티를 풀할 수도 있다.
방법 (300 및 300c) 의 임의적인 블록 (306) 에서, 제 3 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (108)) 의 프로세서는 제 3 일시적 아이덴티티를 생성할 수도 있다.
방법 (300 및 300a) 의 블록 (308) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 1 일시적 아이덴티티를 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 제 2 컴퓨팅 디바이스로의 제 1 일시적 아이덴티티의 송신은 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이에서 확립되는 중인 통신 링크와 같은 임의의 개방 통신 링크를 통한 것일 수도 있다. 일부 실시형태들에서, 통신은 암호화될 수도 있고, 이에 따라, 송신은 초기 암호화 키가 교환된 후에 달성될 수도 있다. 일부 실시형태들에서, 통신 링크는 컴퓨팅 디바이스들이 암호화 키들을 교환하기 전에 다양한 실시형태들을 통해 서로 인증할 수 있도록 개방적 (즉, 암호화되지 않음) 일 수도 있다. 제 3 컴퓨팅 디바이스로의 제 1 일시적 아이덴티티의 송신은 암호화될 수도 있거나 암호화되지 않을 수도 있는 또 다른 통신 링크를 통한 것일 수도 있다. 일부 실시형태들에서, 이 송신은 인터넷과 같은 공공 네트워크를 통한 것일 수도 있다. 일부 실시형태들에서, 이 송신은 사설 또는 전용 통신 링크를 통한 것일 수도 있다.
방법 (300 및 300b) 의 블록 (310) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 2 일시적 아이덴티티를 제 1 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 제 1 컴퓨팅 디바이스로의 제 2 일시적 아이덴티티의 송신은 제 2 컴퓨팅 디바이스가 제 1 일시적 아이덴티티를 통신 링크에 의해 수신하는, 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이에서 확립되는 중인 통신 링크와 같은 임의의 개방 통신 링크를 통한 것일 수도 있다. 일부 실시형태들에서, 통신은 암호화될 수도 있고, 이에 따라, 송신은 초기 암호화 키가 교환된 후에 달성될 수도 있다. 일부 실시형태들에서, 통신 링크는 컴퓨팅 디바이스들이 암호화 키들을 교환하기 전에 다양한 실시형태들을 통해 서로 인증할 수 있도록 개방적 (즉, 암호화되지 않음) 일 수도 있다. 제 3 컴퓨팅 디바이스로의 제 2 일시적 아이덴티티의 송신은 암호화될 수도 있거나 암호화되지 않을 수도 있는 또 다른 통신 링크를 통한 것일 수도 있다. 일부 실시형태들에서, 이 송신은 인터넷과 같은 공공 네트워크를 통한 것일 수도 있다. 일부 실시형태들에서, 이 송신은 사설 또는 전용 통신 링크를 통한 것일 수도 있다.
방법 (300 및 300c) 의 임의적인 블록 (312) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 3 일시적 아이덴티티를 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 제 1 및 제 2 컴퓨팅 디바이스들로의 제 3 일시적 아이덴티티의 송신은 제 3 컴퓨팅 디바이스가 제 1 및 제 2 일시적 아이덴티티들을 통신 링크들에 의해 수신하였던 동일한 통신 링크들을 통한 것일 수도 있다. 이러한 통신 링크들은 암호화될 수도 있거나 암호화되지 않을 수도 있다. 일부 실시형태들에서, 이 송신은 인터넷과 같은 공공 네트워크를 통한 것일 수도 있다. 일부 실시형태들에서, 이 송신은 사설 또는 전용 통신 링크를 통한 것일 수도 있다.
방법 (300 및 300a) 의 블록 (314) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 2 일시적 아이덴티티를 포함하는 인증 질의를 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 백그라운드에서와 같이 자동적으로 인증 질의를 전송할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 커맨드에 응답하여 인증 질의를 전송할 수도 있다. 일부 실시형태들에서, 인증 요청은 텍스트, 이미지, 생체계측 정보, 또는 다른 용이하게 개인화가능한 정보와 같은, 제 1 컴퓨팅 디바이스에서 저장될 수도 있는 정보의 작은 유닛을 포함할 수도 있다. 일부 실시형태들에서, 제 1 컴퓨팅 디바이스는 인증 요청에서, 또는 인증 요청과 함께, 정보의 작은 유닛을 포함할 수도 있다.
방법 (300 및 300b) 의 블록 (316) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 일시적 아이덴티티를 포함하는 인증 질의를 제 3 컴퓨팅 디바이스로 전송할 수도 있다.
방법 (300 및 300c) 의 결정 블록 (318) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하는지 여부를 결정할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 2 개의 수신된 일시적 아이덴티티들의 직접적인 비교 (예컨대, 나머지에 대한 감산 및 체크) 에 의해 이 동작을 수행할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 수신된 일시적 아이덴티티들 중의 하나 또는 양자에 대해 해시 함수를 수행함으로써, 그리고 해시 함수 (들) 의 결과들을 비교하는 것에 의해 2 개가 일치하는지 여부를 결정함으로써 이 동작을 수행할 수도 있다.
제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하지 않는 것 (즉, 결정 블록 (318) = "아니오") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (322) 에서, 제 2 컴퓨팅 디바이스의 인증 실패의 표시를 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하는 것 (즉, 결정 블록 (318) = "예") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (326) 에서, 제 2 컴퓨팅 디바이스의 인증 성공의 표시를 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
방법 (300 및 300c) 의 결정 블록 (320) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하는지 여부를 결정할 수도 있다.
제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하지 않는 것 (즉, 결정 블록 (320) = "아니오") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (324) 에서, 제 1 컴퓨팅 디바이스의 인증 실패의 표시를 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하는 것 (즉, 결정 블록 (320) = "예") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (328) 에서, 제 2 컴퓨팅 디바이스의 인증 성공의 표시를 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
일부 구현예들에서, 인증 실패 또는 인증 성공의 표시들은 매우 짧은 메시지 또는 데이터 구조를 포함할 수도 있고, 일부 구현예들에서, 표시는 인증 실패 또는 인증 성공을 각각 표시하는 0 또는 1 과 같은 단일 비트를 포함할 수도 있다.
방법들 (300 및 300c) 의 블록들 (326 및/또는 328) 의 동작들에 후속하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (330) 에서, 새로운 일시적 아이덴티티들을 획득하기 위하여 명령을 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 명령은 각각 제 1 및 제 2 컴퓨팅 디바이스들에서 새로운 일시적 아이덴티티를 생성하기 위한 명령을 포함할 수도 있다. 일부 실시형태들에서, 명령은 제 1 컴퓨팅 디바이스로부터 새로운 일시적 아이덴티티를 획득하기 위하여, 각각 제 1 및 제 2 컴퓨팅 디바이스들의 각각에 대한 명령을 포함할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 제 1 또는 제 2 컴퓨팅 디바이스의 어느 하나로부터의 요청 없이, 제 1 및 제 2 컴퓨팅 디바이스들의 각각을 위한 새로운 일시적 아이덴티티를 생성할 수도 있고 전송할 수도 있다.
제 1, 제 2, 및 제 3 컴퓨팅 디바이스들의 프로세서들은 그 다음으로, 각각 방법들 (300, 300a, 300b, 및 300c) 의 블록들 (302, 304, 및 306) 의 동작들을 수행할 수도 있다. 제 1, 제 2, 및 제 3 컴퓨팅 디바이스들은 다른 컴퓨팅 디바이스들의 계속적, 주기적인 백그라운드 인증을 수행하기 위하여, 방법들 (300, 300a, 300b, 및 300c) 의 동작들을 주기적으로 반복할 수도 있다. 일부 실시형태들에서, 제 1, 제 2, 및 제 3 컴퓨팅 디바이스들의 프로세서들은 제 1, 제 2, 및 제 3 컴퓨팅 디바이스들의 또 다른 것으로부터의 명령 또는 다른 메시지로, 또는 이러한 명령 또는 다른 메시지 없이, 방법들 (300, 300a, 300b, 및 300c) 의 동작들을 주기적으로 반복할 수도 있다. 디바이스 인증의 동적 시스템을 이용함으로써, 방법들 (300, 300a, 300b, 및 300c) 은 일시적 아이덴티티들 중의 임의의 것이 가로채어질 수도 있고 컴퓨팅 디바이스들 중의 하나를 가장하기 위하여 이용될 수도 있는 가능성을 실질적으로 감소시킨다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스의 인증 실패 (332) 의 경우에 블록 (330 및 300c) 의 동작들을 수행할 수도 있다. 예를 들어, 제 3 컴퓨팅 디바이스는 참여하는 컴퓨팅 디바이스 또는 시스템의 훼손 또는 시도된 훼손의 표시로서, 컴퓨팅 디바이스의 인증 실패에 대해 응답할 수도 있다. 다양한 실시형태들에서, 시스템의 통신들의 가능한 유출 또는 실제적인 유출에 대한 응답으로서, 제 3 컴퓨팅 디바이스는 새로운 일시적 아이덴티티들을 획득할 것을 모든 참여하는 컴퓨팅 디바이스들에 명령할 수도 있다. 시스템에서 참여하도록 구성되는 모든 컴퓨팅 디바이스들이 새로운 일시적 아이덴티티를 획득할 수도 있으므로, 사이버 침입자들 및 다른 상대방들과 같은, 그렇게 구성되지 않은 컴퓨팅 디바이스들은 새로운 일시적 아이덴티티를 획득할 수 없을 수도 있고, 시스템을 이용하는 추가의 통신으로부터 효과적으로 차단될 것이다.
일부 실시형태들에서, 제 1, 제 2, 및 제 3 컴퓨팅 디바이스들의 프로세서들은 공격자가 제 1 및/또는 제 2 일시적 아이덴티티들을 획득하고 이용하기 위하여 요구된 결정된 시간보다 더 작은 빈도로 그 개개의 동작들을 반복할 수도 있다. 예를 들어, 일부 실시형태들에서, 제 1, 제 2, 및/또는 제 3 일시적 아이덴티티들의 기간 ("유효 기간들") 은 일시적 아이덴티티들 중의 하나 이상을 획득하고 활용하기 위하여 공격자에 의해 요구된 시간보다 더 짧도록 설정될 수도 있다. 일부 실시형태들에서, 제 1, 및/또는 제 2, 제 3 컴퓨팅 디바이스들의 프로세서는 개개의 제 1 및/또는 제 2 일시적 아이덴티티의 유효 기간이 만료된 것으로 결정하는 것에 응답하여 새로운 일시적 아이덴티티를 획득할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 개개의 제 1 및/또는 제 2 일시적 아이덴티티의 유효 기간이 만료된 것으로 결정하는 것에 응답하여 제 1, 제 2, 및/또는 제 3 컴퓨팅 디바이스들을 위한 새로운 일시적 아이덴티티를 생성할 수도 있다.
도 3c 는 방법 (300) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300a) 을 예시한다. 도 1a 내지 도 3e 를 참조하면, 방법 (300a) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (302, 308, 및 314) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 방법 (300) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
결정 블록 (333) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 인증 성공의 표시 또는 인증 실패의 표시가 제 3 컴퓨팅 디바이스로부터 수신되거나 수신되었는지 여부를 결정할 수도 있다. 일부 임의적인 실시형태들에서, 프로세서는 또한, 표시가 제 3 컴퓨팅 디바이스로부터 수신되지 않는지 여부를 결정할 수도 있다.
인증 실패의 표시가 수신되거나 수신된 것 (즉, 결정 블록 (333) = "실패"), 또는 임의적으로, 표시가 수신되지 않은 것 (결정 블록 (333) = "표시 없음") 으로 결정하는 것에 응답하여, 제 1 컴퓨팅 디바이스의 프로세서는 블록 (334) 에서, 인증 실패의 표시를 저장할 수도 있다.
블록 (336) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 보안 액션을 수행할 수도 있다. 예를 들어, 제 1 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스와의 정보 트랜잭션을 수행하는 것을 정지시킬 수도 있다. 제 1 컴퓨팅 디바이스의 프로세서는 또한, 제 2 컴퓨팅 디바이스와의 추가의 통신을 차단할 수도 있다.
인증 성공의 표시가 수신되거나 수신된 것 (즉, 결정 블록 (333) = "성공") 으로 결정하는 것에 응답하여, 제 1 컴퓨팅 디바이스의 프로세서는 블록 (338) 에서, 인증 성공의 표시를 저장할 수도 있다.
블록 (340) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스와의 정보 트랜잭션을 행할 수도 있다. 제 1 컴퓨팅 디바이스의 프로세서는 그 다음으로, 블록 (302) 에서, 새로운 일시적 아이덴티티를 획득할 수도 있다. 예를 들어, 제 1 컴퓨팅 디바이스의 프로세서는 일시적 아이덴티티의 유효 기간이 만료한 것으로 결정할 수도 있고, 일시적 아이덴티티의 유효 기간이 만료한 것으로 결정하는 것에 응답하여, 제 1 컴퓨팅 디바이스의 프로세서는 블록 (302) 에서, 새로운 일시적 아이덴티티를 획득할 수도 있다.
임의적인 블록 (342) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 새로운 일시적 아이덴티티를 획득하기 위하여 제 3 컴퓨팅 디바이스로부터 명령을 수신할 수도 있다. 제 1 컴퓨팅 디바이스의 프로세서는 그 다음으로, 블록 (302) 의 동작들을 수행할 수도 있다.
도 3d 는 방법 (300) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300b) 을 예시한다. 도 1a 내지 도 3e 를 참조하면, 방법 (300b) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (304, 310, 및 316) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 방법 (300) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
결정 블록 (344) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 인증 성공의 표시 또는 인증 실패의 표시가 제 3 컴퓨팅 디바이스로부터 수신되거나 수신되었는지 여부를 결정할 수도 있다. 일부 임의적인 실시형태들에서, 프로세서는 또한, 표시가 제 3 컴퓨팅 디바이스로부터 수신되지 않는지 여부를 결정할 수도 있다.
인증 실패의 표시가 수신되거나 수신된 것 (즉, 결정 블록 (344) = "실패"), 또는 임의적으로, 표시가 수신되지 않은 것 (결정 블록 (344) = "표시 없음") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (346) 에서, 인증 실패의 표시를 저장할 수도 있다.
블록 (348) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 보안 액션을 수행할 수도 있다. 예를 들어, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스와의 정보 트랜잭션을 수행하는 것을 정지시킬 수도 있다. 제 2 컴퓨팅 디바이스의 프로세서는 또한, 제 1 컴퓨팅 디바이스와의 추가의 통신을 차단할 수도 있다.
프로세서가 인증 성공의 표시를 수신하는 것 (즉, 결정 블록 (344) = "성공") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (350) 에서, 인증 성공의 표시를 저장할 수도 있다.
블록 (352) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스와의 정보 트랜잭션을 행할 수도 있다.
제 2 컴퓨팅 디바이스의 프로세서는 그 다음으로, 블록 (304) 에서, 새로운 일시적 아이덴티티를 획득할 수도 있다. 예를 들어, 제 2 컴퓨팅 디바이스의 프로세서는 제 2 일시적 아이덴티티의 유효 기간이 만료한 것으로 결정할 수도 있고, 제 2 일시적 아이덴티티의 유효 기간이 만료한 것으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (304) 에서, 새로운 일시적 아이덴티티를 획득할 수도 있다.
임의적인 블록 (354) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 새로운 일시적 아이덴티티를 획득하기 위하여 제 3 컴퓨팅 디바이스로부터 명령을 수신할 수도 있다. 제 2 컴퓨팅 디바이스의 프로세서는 그 다음으로, 블록 (304) 의 동작들을 수행할 수도 있다.
도 3e 는 방법 (300) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (300c) 을 예시한다. 도 1a 내지 도 3e 를 참조하면, 방법 (300c) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (306 내지 330) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 방법 (300) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (360) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 인증 질의를 수신할 수도 있다. 결정 블록 (318) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 위에서 설명된 바와 같이, 제 1 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티가 제 2 컴퓨팅 디바이스로부터의 제 2 일시적 아이덴티티와 일치하는지 여부를 결정할 수도 있다.
블록 (362) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스로부터 인증 질의를 수신할 수도 있다. 결정 블록 (320) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 위에서 설명된 바와 같이, 제 2 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터의 제 1 일시적 아이덴티티와 일치하는지 여부를 결정할 수도 있다.
도 4a 는 일부 실시형태들에 따라, 컴퓨팅 디바이스를 인증하고, 제 3 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 108, 188, 및 200) 와의 상호작용들을 통해, 제 2 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (106, 190 내지 196, 및 200)) 와의 제 1 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (102, 104, 184, 186, 및 200)) 의 정보 트랜잭션, 그리고 그 반대를 인증하는 방법 (400) 을 예시한다. 도 4b 는 방법 (400) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400a) 을 예시한다. 도 4c 는 방법 (400) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400b) 을 예시한다. 도 4d 는 방법 (400) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400c) 을 예시한다. 도 1a 내지 도 4d 를 참조하면, 방법 (400) 은 컴퓨팅 디바이스의 프로세서 (예컨대, 프로세서 (202) 및/또는 등) (즉, 디바이스 프로세서) 에 의해 구현될 수도 있다.
임의적인 블록 (402) 에서, 제 1 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (102 및 104)) 의 프로세서는 사용자 계정을 식별하는 정보를 제 2 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (106)) 로 전송할 수도 있다.
임의적인 블록 (404) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스의 계정으로의 식별 정보의 상관 (correlation) 을 확인할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 확인을 표시하는 메시지를 제 1 컴퓨팅 디바이스로 전송할 수도 있다.
일부 실시형태들에서, 블록 (402) 에서 이용된 식별 정보는 제 1 및 제 2 컴퓨팅 디바이스 사이의 통신을 위하여 이용되었던 가장-최근에 이용된 또는 최후에-이용된 일시적 아이덴티티와 같은, 제 2 컴퓨팅 디바이스와의 통신에서 이용된 이전에-이용된 일시적 아이덴티티를 포함할 수도 있다. 이러한 실시형태들에서, 이전에-이용된 일시적 아이덴티티는 오직 초기 식별 목적들을 위하여 이용될 수도 있고, 제 1 통신 디바이스의 아이덴티티를 인증하기 위하여 이용되지 않을 수도 있다. 일부 실시형태들에서, 이전에-이용된 일시적 아이덴티티의 이용은 제 1 컴퓨팅 디바이스의 주장된 아이덴티티의 개량된 식별 (그러나 인증이 아님) 을 가능하게 할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 이전에-이용된 일시적 아이덴티티를 이전에 수신하였으므로, 이전에-이용된 일시적 아이덴티티는 제 1 컴퓨팅 디바이스의 2-인자 (two-factor) (또는 다-인자) 식별을 위하여 이용될 수도 있다. 또한, 이전에-이용된 일시적 아이덴티티가 제 1 컴퓨팅 디바이스로부터 획득하기가 극도로 어려운 것 때문에, 제 1 컴퓨팅 디바이스의 사용자에게 디스플레이되거나 제시되지 않을 수도 있으므로, 제 1 컴퓨팅 디바이스를 초기에 식별하기 위하여 이전에-이용된 일시적 아이덴티티를 이용하는 것은 예를 들어, 제 1 컴퓨팅 디바이스의 디스플레이의 관찰에 의해 관찰될 수도 있는 사용자명 및 패스워드보다 더 보안성 있을 수도 있다. 일부 실시형태들에서, 이전에-이용된 일시적 아이덴티티는 또한, 이전의 통신의 상태 (예컨대, 웹사이트가 브라우징되는 것, 메시지가 판독되는 것, 이미지가 뷰잉 (view) 되는 것 등) 를 급속하게 복원하기 위하여 이용될 수도 있다. 일부 실시형태들에서, 이러한 상태 정보는 일시적 아이덴티티에서 인코딩될 수도 있다.
일부 실시형태들에서, 식별 정보는 전통적인 사용자명 및 패스워드 또는 다른 기존의 식별 정보를 포함할 수도 있다. 이러한 실시형태들에서, 식별 정보는 제 1 컴퓨팅 디바이스 또는 제 2 컴퓨팅 디바이스의 인증을 위해서가 아니라, 제 1 통신 디바이스의 주장된 아이덴티티를 식별하는 목적을 위하여 오직 이용될 수도 있다.
블록 (406) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션을 수행하기 위하여 요청을 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 정보 트랜잭션은 전자 헬스 레코드들 서비스 또는 공공 레코드들 서비스, 투표자 등록 데이터베이스 또는 투표 시스템, 온라인 구입, 뱅킹 트랜잭션, 또는 또 다른 유사한 정보의 교환 또는 전자 트랜잭션으로의 정보의 제공을 포함할 수도 있다.
블록 (408) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스의 아이덴티티를 확인하기 위하여 요청을 제 3 컴퓨팅 디바이스로 전송할 수도 있다.
블록 (410) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 일시적 아이덴티티에 대한 요청을 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 일부 구현예들에서, 요청은 생성하기 위한 명령을 포함할 수도 있거나, 제 1 컴퓨팅 디바이스에 의한 새로운 일시적 아이덴티티의 생성을 트리거링할 수도 있다. 일부 실시형태들에서, 요청은 제 3 컴퓨팅 디바이스로부터 새로운 일시적 아이덴티티를 획득하기 위한 명령을 포함할 수도 있다. 일시적 아이덴티티의 이 송신은 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다.
블록 (412) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터의 일시적 아이덴티티를 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 일시적 아이덴티티의 이 송신은 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다.
블록 (414) 에서, 제 2 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스로부터 수신된 일시적 아이덴티티를 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 제 3 컴퓨팅 디바이스는 이에 따라, 제 1 컴퓨팅 디바이스로부터 제 1 컴퓨팅 디바이스에 의해 생성된 일시적 아이덴티티를, 그리고 별도의 통신 경로를 따라, 제 2 컴퓨팅 디바이스로부터 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 수신할 수도 있다. 일시적 아이덴티티의 이 송신은 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다.
블록 (416) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티, 및 제 2 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 비교할 수도 있다.
결정 블록 (418) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 일시적 아이덴티티들이 일치하는지 여부를 결정할 수도 있다.
일시적 아이덴티티들이 일치하지 않는 것 (즉, 결정 블록 (418) = "아니오") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (420) 에서, 제 1 컴퓨팅 디바이스의 확인 실패의 표시를 전송할 수도 있다. 확인 실패의 표시의 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 실패 통지를 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 실패 통지를 정보 보안 간부 (information security officer) 의 컴퓨팅 디바이스와 같은 제 3 당사자에게 전송할 수도 있다.
블록 (421) 에서, 제 3 컴퓨팅 디바이스는 제 1 컴퓨팅 디바이스 확인 실패에 기초하여 액션을 수행할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스의 가능한 훼손을 제 1 컴퓨팅 디바이스의 등록된 사용자에게 통지하기 위하여, 실패 통지를 제 1 컴퓨팅 디바이스와 연관되는 레코드 상의 이메일 (email) 로 전송할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 하나를 초과하는 컴퓨팅 디바이스가 제 1 컴퓨팅 디바이스인 것으로 주장하는지 여부를 결정할 수도 있다. 하나를 초과하는 컴퓨팅 디바이스가 제 1 컴퓨팅 디바이스인 것으로 주장하는 것의 검출은 제 1 컴퓨팅 디바이스가 복제되었거나 또는 그렇지 않을 경우에는 일부 방식으로 복사되었다는 것을 표시할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서가 복제/복사된 컴퓨팅 디바이스를 검출할 경우, 제 3 컴퓨팅 디바이스는 경보를 전송할 수도 있고, 제 1 컴퓨팅 디바이스를 시스템에서 참여하는 것으로부터 인가-해제할 수도 있고, 시스템으로부터 제 1 컴퓨팅 디바이스를 록킹 (lock) 할 수도 있고, 및/또는 제 1 컴퓨팅 디바이스를 비활성화하는 커맨드를 전송할 수도 있다.
일시적 아이덴티티들이 일치하는 것 (즉, 결정 블록 (418) = "예") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (422) 에서, 제 1 컴퓨팅 디바이스의 확인 성공의 표시를 전송할 수도 있다. 확인 성공의 표시의 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스의 프로세서는 확인 성공의 표시를 제 2 컴퓨팅 디바이스 및 제 1 컴퓨팅 디바이스로 전송할 수도 있다.
다양한 실시형태들에서, 제 1 컴퓨팅 디바이스의 아이덴티티의 확인에 후속하여, 참여하는 컴퓨팅 디바이스들은 참여하는 컴퓨팅 디바이스들 (예컨대, 제 1 컴퓨팅 디바이스, 제 2 컴퓨팅 디바이스 등) 중의 하나 이상의 참여의 인증을 가능하게 하기 위한 동작들을 수행할 수도 있다. 일부 실시형태들에서, 참여하는 컴퓨팅 디바이스들 중의 하나 이상의 참여를 인증하는 것은 정보 트랜잭션이 비-거부가능한 것을 가능하게 할 수도 있다. 일부 실시형태들에서, 참여하는 컴퓨팅 디바이스들 중의 하나 이상의 참여의 인증을 가능하게 하는 동작들은 서명을 획득하는 것, 패스워드 또는 코드의 엔트리를 요구하는 것, 또는 추가적인 사용자 상호작용 (예컨대, 확인 버튼 상에서의 "클릭킹 (clicking)") 을 요구하는 것과 같은, 정보 트랜잭션에서의 컴퓨팅 디바이스의 (또는 사용자의) 참여를 인증하는 다른 전통적인 동작들에 대한 치환부로서 역할을 할 수도 있다.
블록 (424) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 텍스트 스트링 (text string) 을 생성할 수도 있고, 텍스트 스트링의 암호화된 버전 (encrypted version) 을 생성할 수도 있다.
블록 (426) 에서, 제 1 컴퓨팅 디바이스는 비암호화된 생성된 텍스트 스트링을 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다.
블록 (428) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 압호화된 텍스트 스트링을 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다.
블록 (430) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 통신 디바이스로부터 수신된 암호화된 텍스처링 (texturing) 을 복호화할 수도 있다.
블록 (432) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 복호화된 텍스트 스트링을 재암호화 (re-encrypt) 할 수도 있고, 재암호화된 텍스트 스트링을 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다. 다양한 실시형태들에서, 제 3 컴퓨팅 디바이스에 의해 수신된 암호화된 텍스트 스트링은 제 1 컴퓨팅 디바이스와 제 3 컴퓨팅 디바이스 사이에서 협상되거나 합의된 암호화 방법 또는 프로토콜에 따라 암호화될 수도 있다. 또한, 제 3 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스와 제 3 컴퓨팅 디바이스 사이에서 협상되거나 합의된 암호화 방법 또는 프로토콜에 따라 텍스트 스트링을 재암호화할 수도 있다.
블록 (434) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터 수신된 재암호화된 텍스트 스트링을 복호화할 수도 있다. 다양한 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 직접적으로 비암호화된 텍스트 스트링을, 그리고 제 3 컴퓨팅 디바이스로부터 재암호화된 제 1 컴퓨팅 디바이스의 텍스트 스트링을 이제 수신하였을 수도 있다.
블록 (436) 에서, 제 2 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터의 텍스트 스트링, 및 제 3 컴퓨팅 디바이스로부터의 텍스트 스트링을 비교할 수도 있다.
결정 블록 (438) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 텍스트 스트링들이 일치하는지 여부를 결정할 수도 있다.
텍스트 스트링들이 일치하지 않는 것 (즉, 결정 블록 (438) = "아니오") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (440) 에서, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는다는 표시를 전송할 수도 있다. 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다. 일부 실시형태들에서, 블록 (440) 의 동작들은 텍스트 스트링들이 일치하지 않는 것으로 결정하는 것에 응답하여, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는 것으로 결정하는 것과, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는다는 표시를 전송하는 것을 포함할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 감사 추적의 일부로서, 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는다는 표시를 저장할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 감사 추적의 일부로서, 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는다는 표시를 저장할 수도 있다.
블록 (442) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션의 수행을 방지할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션의 하나 이상의 동작들의 완료를 방지할 수도 있다.
텍스트 스트링들이 일치하는 것 (즉, 결정 블록 (438) = "예") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (444) 에서, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증된다는 표시를 전송할 수도 있다. 이 송신은 유사한 송신들을 위한 방법 (300) 을 참조하여 설명된 통신 채널들 및 방법들 중의 임의의 것에 의해, 또는 이러한 통신 채널들 및 방법들 중의 임의의 것을 이용하여 달성될 수도 있다. 일부 실시형태들에서, 블록 (444) 의 동작들은 텍스트 스트링들이 일치하는 것으로 결정하는 것에 응답하여, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되는 것으로 결정하는 것과, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증된다는 표시를 전송하는 것을 포함할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 감사 추적의 일부로서, 제 1 컴퓨팅 디바이스의 참여가 인증된다는 표시를 저장할 수도 있다. 일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 감사 추적의 일부로서, 제 1 컴퓨팅 디바이스의 참여가 인증된다는 표시를 저장할 수도 있다.
블록 (446) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션의 수행을 가능하게 할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션을 완료할 수도 있다.
도 4b 는 방법 (400) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400a) 을 예시한다. 도 1a 내지 도 4d 를 참조하면, 방법 (400a) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (402, 406, 412, 424, 426, 및 428) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 방법 (400) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
임의적인 블록 (445) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스 계정으로의 식별 정보의 상관의 제 2 컴퓨팅 디바이스로부터의 확인을 수신할 수도 있다.
블록 (447) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스로부터, 제 1 컴퓨팅 디바이스의 일시적 아이덴티티에 대한 요청을 수신할 수도 있다.
결정 블록 (448) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 확인 성공 표시 또는 확인 실패 표시가 수신되거나 수신되었는지 여부를 결정할 수도 있다. 확인 실패 표시가 수신되거나 수신된 것 (즉, 결정 블록 (448) = "실패") 으로 결정하는 것에 응답하여, 블록 (450) 에서, 프로세서는 방법들 (400 및 400a) 의 동작들을 수행하는 것을 정지시킬 수도 있다.
확인 성공 표시가 수신되거나 수신된 것 (즉, 결정 블록 (448) = "성공") 으로 결정하는 것에 응답하여, 프로세서는 블록들 (424 내지 428) 의 동작들을 수행할 수도 있다.
결정 블록 (452) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스가 인증되거나 인증되지 않는다는 표시가 수신되거나 수신되었는지 여부를 결정할 수도 있다. 프로세서가 제 1 컴퓨팅 디바이스가 인증되지 않는다는 표시를 수신하는 것 (즉, 결정 블록 (452) = "인증되지 않음") 으로 결정하는 것에 응답하여, 프로세서는 블록 (454) 에서, 방법 (400 및 400a) 의 동작들을 수행하는 것을 정지시킬 수도 있다.
프로세서가 제 1 컴퓨팅 디바이스가 인증된다는 표시를 수신하는 것 (즉, 결정 블록 (452) = "인증됨") 으로 결정하는 것에 응답하여, 프로세서는 블록 (456) 에서, 정보 트랜잭션을 수행할 수도 있다.
도 4c 는 방법 (400) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400b) 을 예시한다. 도 1a 내지 도 4d 를 참조하면, 방법 (400a) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (404, 408, 410, 414, 및 436 내지 442) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 방법 (400) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (458) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 사용자 계정을 식별하는 정보를 수신할 수도 있다.
블록 (459) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터, 정보 트랜잭션을 수행하기 위한 요청을 수신할 수도 있다.
블록 (460) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 일시적 아이덴티티 (즉, 제 1 디바이스의 일시적 아이덴티티) 를 수신할 수도 있다.
결정 블록 (462) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스의 확인 성공 또는 제 1 컴퓨팅 디바이스의 확인 실패의 표시가 수신되거나 수신되었는지 여부를 결정할 수도 있다.
제 1 컴퓨팅 디바이스의 확인 실패의 표시가 수신되거나 수신된 것 (즉, 결정 블록 (462) = "실패") 으로 결정하는 것에 응답하여, 프로세서는 블록 (464) 에서, 방법 (400 및 400b) 의 동작들을 수행하는 것을 정지시킬 수도 있다.
제 1 컴퓨팅 디바이스의 확인 성공의 표시가 수신되거나 수신된 것 (즉, 결정 블록 (462) = "성공") 으로 결정하는 것에 응답하여, 프로세서는 정보 트랜잭션을 진행할 수도 있다.
블록 (466) 에서, 프로세서는 제 1 컴퓨팅 디바이스로부터 비암호화된 텍스트 스트링을 수신할 수도 있다.
블록 (468) 에서, 프로세서는 제 3 컴퓨팅 디바이스로부터 재암호화된 텍스트 스트링을 수신할 수도 있다.
블록 (436) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터의 텍스트 스트링, 및 제 3 컴퓨팅 디바이스로부터의 텍스트 스트링을 비교할 수도 있다. 다양한 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터 수신된 재암호화된 텍스트 스트링을 복호화할 수도 있다. 결정 블록 (438) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 텍스트 스트링들이 일치하는지 여부 (즉, 제 1 컴퓨팅 디바이스로부터의 텍스트 스트링이 제 3 컴퓨팅 디바이스로부터의 텍스트 스트링과 일치하는지 여부) 를 결정할 수도 있다.
텍스트 스트링들이 일치하지 않는 것 (즉, 결정 블록 (438) = "아니오") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (440) 에서, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는다는 표시를 전송할 수도 있다.
블록 (442) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션의 수행을 방지할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션의 하나 이상의 동작들의 완료를 방지할 수도 있다.
텍스트 스트링들이 일치하는 것 (즉, 결정 블록 (438) = "예") 으로 결정하는 것에 응답하여, 제 2 컴퓨팅 디바이스의 프로세서는 블록 (444) 에서, 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증된다는 표시를 전송할 수도 있다.
블록 (446) 에서, 제 2 컴퓨팅 디바이스는 정보 트랜잭션의 수행을 가능하게 할 수도 있다. 일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 정보 트랜잭션을 완료할 수도 있다.
도 4d 는 방법 (400) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (400c) 을 예시한다. 도 1a 내지 도 4d 를 참조하면, 방법 (400c) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (416 내지 422, 430, 432) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 방법 (400) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (470) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터, 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 수신할 수도 있다.
블록 (472) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 2 컴퓨팅 디바이스로부터 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 수신할 수도 있다.
블록 (416) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티, 및 제 2 컴퓨팅 디바이스로부터 수신된 제 1 컴퓨팅 디바이스의 일시적 아이덴티티를 비교할 수도 있다.
블록 (474) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 암호화된 텍스트 스트링을 수신할 수도 있다.
결정 블록 (476) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되거나 인증되지 않는지 여부를 결정할 수도 있다.
정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되지 않는 것 (즉, 결정 블록 (476) = "인증되지 않음") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (478) 에서, 인증 실패의 표시를 저장할 수도 있다.
정보 트랜잭션에서의 제 1 컴퓨팅 디바이스의 참여가 인증되는 것 (즉, 결정 블록 (476) = "인증됨") 으로 결정하는 것에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (480) 에서, 인증 성공의 표시를 저장할 수도 있다.
도 5a 는 일부 실시형태들에 따라, 제 3 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 108, 188, 및 200) 와의 상호작용들을 통해, 제 2 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (106, 190 내지 196, 및 200)) 와 제 1 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (102, 104, 184, 186, 및 200)) 를 그리고 그 반대로 인증하는 시스템 방법 (500) 을 예시한다. 도 1a 내지 도 5b 를 참조하면, 방법 (500) 은 컴퓨팅 디바이스의 프로세서 (예컨대, 프로세서 (202) 및/또는 등) (즉, 디바이스 프로세서) 에 의해 구현될 수도 있다. 블록들 (302 및 304) 에서, 디바이스 프로세서는 방법 (300) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (502) 에서, 전자 보안 시스템 (예컨대, 전자 보안 시스템 (114)) 의 프로세서는 통신 시스템을 모니터링할 수도 있다. 예를 들어, 전자 보안 시스템은 네트워크 모니터링, 키 로깅, 침입 검출, 트래픽 분석, 또는 네트워크 모니터링 또는 보안 기능들을 수행하기 위한 또 다른 동작을 수행할 수도 있다.
결정 블록 (502) 에서, 전자 보안 시스템의 프로세서는 전자 침입자 또는 비인가된 사용자가 검출되는지 여부를 결정할 수도 있다. 전자 침입자 또는 비인가된 사용자가 검출되지 않는 것 (즉, 결정 블록 (504) = "아니오") 으로 결정하는 것에 응답하여, 전자 보안 시스템의 프로세서는 블록 (502) 에서, 통신 시스템을 모니터링하는 것을 계속할 수도 있다.
전자 침입자 또는 비인가된 사용자가 검출되는 것 (즉, 결정 블록 (504) = "예") 으로 결정하는 것에 응답하여, 전자 보안 시스템의 프로세서는 블록 (506) 에서, 전자 침입자 또는 비인가된 사용자의 표시를 제 3 컴퓨팅 디바이스 (예컨대, 제 3 컴퓨팅 디바이스 (108)) 로 전송할 수도 있다.
제 3 컴퓨팅 디바이스의 프로세서는 전자 보안 시스템으로부터 전자 침입자 또는 비인가된 사용자의 표시를 수신할 수도 있다. 전자 보안 시스템으로부터의 전자 침입자 또는 비인가된 사용자의 표시에 응답하여, 제 3 컴퓨팅 디바이스의 프로세서는 블록 (330) 에서, 새로운 일시적 아이덴티티들을 획득하기 위하여 명령을 제 1 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (102 및 104)) 및 제 2 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (106)) 로 전송할 수도 있다. 제 1 및 제 2 컴퓨팅 디바이스들의 프로세서들은 그 다음으로, 블록들 (302 및 304) 의 동작들을 수행할 수도 있다.
일부 실시형태들에서, 제 3 컴퓨팅 디바이스는 임의의 최종 사용자에게 투명한 (예를 들어, 제 1 컴퓨팅 디바이스 또는 제 2 컴퓨팅 디바이스가 제 3 컴퓨팅 디바이스로부터 명령을 수신하는 임의의 표시를 개개의 사용자에게 제시하지 않으면서) 백그라운드에서, 명령들을 제 1 컴퓨팅 디바이스 및 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 이러한 실시형태들에서, 전자 침입자 또는 비인가된 사용자의 검출에 기초하여, 제 3 컴퓨팅 디바이스는 새로운 일시적 아이덴티티를 획득하고 이에 따라, 침입자 또는 비인가된 사용자가 통신 시스템을 액세스하는 것을 차단할 수도 있는 "글로벌 재설정 (global reset)" 을 수행할 것을, 제 1 및 제 2 컴퓨팅 디바이스들 뿐만 아니라, 시스템에서 참여하는 임의의 다른 컴퓨팅 디바이스들에 명령할 수도 있다. 다양한 실시형태들에서, 제 3 컴퓨팅 디바이스가 새로운 일시적 아이덴티티들을 획득하기 위한 명령을 다양한 컴퓨팅 디바이스들로 전송할 수도 있고, 다양한 컴퓨팅 디바이스들이 개개의 새로운 일시적 아이덴티티를 획득할 수도 있는 속력은 각각의 컴퓨팅 디바이스의 동작 속력 및 임의의 네트워크 통신 지연 (예컨대, 통신 레이턴시 (communication latency)) 에 의해 오직 제한될 수도 있다. 명령들을 제 1 및 제 2 컴퓨팅 디바이스들로 전송하고, 제 1 및 제 2 컴퓨팅 디바이스들이 새로운 일시적 아이덴티티들을 획득하기 위하여 요구된 시간의 양은 이에 따라, 예를 들어, 기존의 인증 기관이 새로운 증명서들을 모든 참여하는 사용자들에게 발행하기 위하여 요구된 시간의 양보다 더 짧다. 또한, 방법 (500) 은 패스워드 재설정과 같은, 제 1 또는 제 2 컴퓨팅 디바이스의 사용자에 의한 수동적인 동작들을 요구하지 않는다. 실제로, 위에서 설명된 바와 같이, 제 1 또는 제 2 컴퓨팅 디바이스의 사용자는 보안 누출 후에도, 현존하는 크리덴셜들이 사용자를 식별하기 위하여 이용될 수도 있지만, 인증 목적들을 위하여 이용되지 않을 수도 있으므로, 사용자명 및 패스워드와 같은 현존하는 크리덴셜들을 이용하는 것을 계속할 수도 있다.
일부 실시형태들에서, 전자 보안 시스템은 컴퓨팅 디바이스가 통신 시스템에 대한 액세스로부터 인가-해제되어야 한다는 커맨드 또는 표시를 수신하도록 구성될 수도 있다. 예를 들어, 전자 보안 시스템은 네트워크 인가 시스템, 또는 인간 자원 시스템들, 또는 통신 시스템의 인가된 사용자들의 리스트를 제공하는 시스템, 또는 또 다른 유사한 시스템의 컴포넌트 또는 엘리먼트일 수도 있다. 이러한 실시형태들에서, 전자 보안 시스템은 컴퓨팅 디바이스의 인가가 제거되어야 하거나 차단되어야 한다는 것을 표시하는 커맨드 또는 또 다른 메시지를 수신할 수도 있다. 일부 실시형태들에서, 비인가된 사용자 또는 전자 침입자가 검출되었다는 표시, 컴퓨팅 디바이스 인가가 제거되어야 하거나 차단되어야 한다는 표시, 또는 또 다른 유사한 표시를 수신하는 것에 응답하여, 제 3 컴퓨팅 디바이스는 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 제 1 컴퓨팅 디바이스 및/또는 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
도 5b 는 방법 (500) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (500a) 을 예시한다. 도 1a 내지 도 5b 를 참조하면, 방법 (500a) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다.
블록 (508) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 전자 보안 시스템으로부터, 전자 침입자 또는 비인가된 사용자의 표시를 수신할 수도 있다.
블록 (510) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 제 1 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (102 및 104)) 로 전송할 수도 있다. 제 1 컴퓨팅 디바이스의 프로세서는 방법 (300) (도 3a 내지 도 3c) 의 블록 (302) 으로 진행할 수도 있다.
블록 (512) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 제 2 컴퓨팅 디바이스 (예컨대, 컴퓨팅 디바이스 (106)) 로 전송할 수도 있다. 제 2 컴퓨팅 디바이스의 프로세서는 방법 (300) (도 3a, 도 3b, 및 도 3d) 의 블록 (304) 으로 진행할 수도 있다.
도 6a 는 일부 실시형태들에 따라, 제 3 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 108, 188, 및 200) 와의 상호작용들을 통해, 제 1 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (102, 104, 184, 186, 및 200)) 를 제 2 컴퓨팅 디바이스 (예컨대, 도 1b 내지 도 2 의 컴퓨팅 디바이스 (106, 190 내지 196, 및 200)) 으로 그리고 그 반대로 인증하는 시스템 방법 (600) 을 예시한다. 도 6b 는 방법 (600) 의 일부로서 제 1 컴퓨팅 디바이스의 프로세서에 의해 실행된 동작들의 방법 (600a) 을 예시한다. 도 6c 는 방법 (600) 의 일부로서 제 2 컴퓨팅 디바이스의 프로세서에 의해 실행된 동작들의 방법 (600b) 을 예시한다. 도 6d 는 방법 (600) 의 일부로서 제 3 컴퓨팅 디바이스의 프로세서에 의해 실행된 동작들의 방법 (600c) 을 예시한다.
블록 (602) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 3 컴퓨팅 디바이스로 전송할 수도 있다. 정적 정보의 작은 유닛은 예를 들어, 이미지, 아이콘 (icon), 사운드, 리듬 또는 리듬 패턴, 햅틱 피드백 명령 (haptic feedback instruction) 들, 또는 컴퓨팅 디바이스에 의해 제시될 수도 있는 정보의 또 다른 유사한 유닛과 같은 인간-지각가능한 표시자를 포함할 수도 있다.
블록 (604) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 제 3 컴퓨팅 디바이스는 블록 (328) 에서, 제 3 컴퓨팅 디바이스가 제 2 컴퓨팅 디바이스로 전송할 수도 있는 제 1 컴퓨팅 디바이스의 인증 성공의 표시와 함께, 인증 성공의 표시와 병행하여, 인증 성공의 표시 전에, 또는 인증 성공의 표시 후에, 정적 정보의 작은 유닛을 전송할 수도 있다.
블록 (606) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 1 컴퓨팅 디바이스로 전송할 수도 있다.
블록 (608) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제시할 수도 있다. 일부 실시형태들에서, 정적 정보의 작은 유닛을 제시하는 것은 인간-지각가능한 표시를 제시하는 것을 포함할 수도 있고, 그것을 위한 명령들은 정적 정보의 작은 유닛 내에 포함된다. 인간-지각가능한 표시는 (이미지, 아이콘, 이모지 (emoji) 등과 같은) 픽처 (picture), (음악, 경보 잡음, 리듬 또는 리듬 패턴 등과 같은) 사운드, (햅틱 피드백 디바이스에 의한 것과 같은) 진동, 또는 또 다른 인간-지각가능한 표시를 포함할 수도 있다. 일부 실시형태들에서, 정적 정보의 작은 유닛을 제시하는 것은 상기한 것의 2 개 이상의 조합을 포함할 수도 있다. 일부 실시형태들에서, 정적 정보의 작은 유닛이 제 1 컴퓨팅 디바이스에 의해 제시될 때에 용이하게 인식가능하도록, 정적 정보의 작은 유닛은 제 1 컴퓨팅 디바이스의 사용자에 의해 선택될 수도 있거나, 생성될 수도 있거나, 또는 개인화될 수도 있다.
인간-지각가능한 표시의 제시는 제 2 컴퓨팅 디바이스가 제 3 컴퓨팅 디바이스로부터 정적 정보의 작은 유닛을 수신하였다는 용이하게 지각된 표시를 제공할 수도 있다. 이에 따라, 제 1 컴퓨팅 디바이스에 의한 인간-지각가능한 표시의 제시는 제 3 컴퓨팅 디바이스로부터의 제 2 컴퓨팅 디바이스의 정적 정보의 작은 유닛의 수신을 검증함으로써, 제 2 컴퓨팅 디바이스의 아이덴티티의 추가적인 표시를 제 1 컴퓨팅 디바이스에 제공할 수도 있다.
일부 실시형태들에서, 제 2 컴퓨팅 디바이스는 제 3 컴퓨팅 디바이스로부터 정적 정보의 작은 유닛을 수신할 수도 있고, 제 2 컴퓨팅 디바이스는 제 2 컴퓨팅 디바이스가 통신에서의 인증된 참여자인 것을 표시하기 위하여, 정적 정보의 작은 유닛을 제 1 컴퓨팅 디바이스로 직접적으로 전송할 수도 있다. 제 1 컴퓨팅 디바이스로부터 작은 이미지를 수신하였고, 제 2 컴퓨팅 디바이스를 인증한 제 3 컴퓨팅 디바이스는 작은 이미지를 제 2 컴퓨팅 디바이스로 전송할 수도 있다. 제 2 컴퓨팅 디바이스는 그 다음으로, 예를 들어, 제 2 컴퓨팅 디바이스의 인증의 시각적 표시를 제공하기 위하여 제 1 컴퓨팅 디바이스에 의해 디스플레이되도록, 이미지를 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 다양한 실시형태들에서, 제 2 컴퓨팅 디바이스의 인증의 표시를 제공하기 위한 정적 정보의 이러한 작은 유닛의 이용은 그 중에서도, 스피어 피싱 (spear phishing) 공격들, 중간자 공격들, 및 컴퓨팅 디바이스의 통신 또는 가장의 가로채기를 수반하는 다른 유사한 통신 공격들을 완화시키는 것을 보조할 수도 있다.
예를 들어, 전자 상거래 (electronic commerce) ("이-커머스 (e-commerce)") 트랜잭션의 수행에서, 이-커머스 서버는 (예컨대, 인증 서버로서 기능하는) 제 3 컴퓨팅 디바이스로부터, 제 1 컴퓨팅 디바이스 (예컨대, 사용자 디바이스) 로부터 제 3 컴퓨팅 디바이스에 의해 수신된 작은 이미지 파일을 수신할 수도 있다. 이-커머스 서버는 그 다음으로, 이-커머스 서비스의 웹사이트 내에 포함되도록 하기 위하여, 또는 제 2 컴퓨팅 디바이스의 인증의 제 1 컴퓨팅 디바이스 상에서 디스플레이된 일부 다른 시각적 표시를 제공하기 위하여, 작은 이미지 파일을 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 작은 이미지 파일에 의해 인코딩된 이미지는 제 1 컴퓨팅 디바이스의 사용자에 의해 개인화될 수도 있고, 이에 따라, 제 1 컴퓨팅 디바이스의 사용자에 의해 용이하게 인식될 수도 있다. 이에 따라, 일부 기존의 시스템들은 네트워크 서비스가 보안성 있다는 간단한 시각적 표시 (예컨대, SSL "패드록 (padlock)" 아이콘) 를 이용하지만, 네트워크 서비스의 실제적인 인증은 검증하기가 어려울 수도 있거나 불가능할 수도 있다. 또한, 간단한 시각적 표시가 피싱 사이트 (phishing site) 와 같은 가짜 또는 악성 서비스들에서 복사하고 이용하기가 용이하도록, 간단한 시각적 표시는 전형적으로 포괄적이다. 다양한 실시형태들에서의 정보의 작은 정적 유닛의 제시는 제 2 컴퓨팅 디바이스가 제 3 컴퓨팅 디바이스로부터 정적 정보의 작은 유닛을 수신하였다는 용이하게 지각되고 개인화된 표시를 제공함으로써, 현재의 보안 시스템에 대한 개선을 표현한다. 이것은 제 2 컴퓨팅 디바이스가 제 3 컴퓨팅 디바이스에 의해 인증되거나 인증되었다는 추가적인 표시를 제 1 컴퓨팅 디바이스의 사용자에게 제공한다.
도 6b 는 방법 (600) 의 일부로서 제 1 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600a) 을 예시한다. 도 1a 내지 도 6d 를 참조하면, 방법 (600a) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (302, 308, 314, 332 내지 338, 340) 및 임의적인 블록 (342) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 방법들 (300 및 300a) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (610) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 3 컴퓨팅 디바이스로 전송할 수도 있다.
블록 (612) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 수신할 수도 있다.
블록 (614) 에서, 제 1 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제시할 수도 있다. 제 1 컴퓨팅 디바이스의 프로세서는 그 다음으로, 설명된 바와 같은 블록 (340) 및 임의적인 블록 (342) 의 동작들을 수행할 수도 있다.
도 6c 는 방법 (600) 의 일부로서 제 2 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600b) 을 예시한다. 도 1a 내지 도 6d 를 참조하면, 방법 (600b) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (304, 310, 316, 344 내지 350, 352) 및 임의적인 블록 (354) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 방법들 (300 및 300b) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (620) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 제 3 컴퓨팅 디바이스로부터 정적 정보의 작은 유닛을 수신할 수도 있다.
블록 (622) 에서, 제 2 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 1 컴퓨팅 디바이스로 전송할 수도 있다. 프로세서는 그 다음으로, 설명된 바와 같은 블록 (352) 및 임의적인 블록 (354) 의 동작들을 수행할 수도 있다.
도 6d 는 방법 (600) 의 일부로서 제 3 컴퓨팅 디바이스에 의해 실행된 동작들의 방법 (600c) 을 예시한다. 도 1a 내지 도 6d 를 참조하면, 방법 (600c) 은 프로세서 (예컨대, 프로세서 (202) 및/또는 등) 에 의해 구현될 수도 있다. 블록들 (306, 312, 318 내지 330, 360, 및 362) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 방법들 (300 및 300d) 의 유사하게 번호부여된 블록들의 동작들을 수행할 수도 있다.
블록 (630) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 제 1 컴퓨팅 디바이스로부터 정적 정보의 작은 유닛을 수신할 수도 있다.
블록 (632) 에서, 제 3 컴퓨팅 디바이스의 프로세서는 정적 정보의 작은 유닛을 제 3 컴퓨팅 디바이스로부터 제 2 컴퓨팅 디바이스로 전송할 수도 있다.
다양한 실시형태들은 공유된 비밀들 및 정적 정보의 현재의 패러다임과 대조적으로, 각각의 컴퓨팅 디바이스의 동적 정보에 기초하여 통신 시스템에서 컴퓨팅 디바이스의 아이덴티티를 인증할 수도 있는 시스템을 제공한다. 다양한 실시형태들은 참여하는 컴퓨팅 디바이스들 사이의 통신들의 보안을 동적으로 개선시킴으로써 각각의 참여하는 컴퓨팅 디바이스의 동작을 개선시킨다. 또한, 각각의 컴퓨팅 디바이스의 일시적 아이덴티티는 주기적으로 변경되고, 각각의 컴퓨팅 디바이스는 새로운 일시적 아이덴티티들을 전송하고 및/또는 수신하는 다른 컴퓨팅 디바이스들과 주기적으로 통신하므로, 다양한 실시형태들은 통신들의 보안을 개선시킴으로써 통신 네트워크 또는 임의의 전자 통신 시스템의 기능을 개선시킨다. 다양한 실시형태들은 또한, 액세스 및/또는 복사에 의한 공격에 취약할 수도 있는, 공유된 비밀과 같은 정적 식별 정보에 의존하지 않으면서, 참여하는 컴퓨팅 디바이스의 아이덴티티를 신뢰성 있게 인증함으로써, 임의의 통신 네트워크의 기능을 개선시킨다.
다양한 실시형태들은 참여하는 통신 디바이스들의 인증을 가능하게 함으로써, 각각의 참여하는 컴퓨팅 디바이스 뿐만 아니라 전체적인 통신 시스템의 기능을 개선시킬 수도 있다. 다양한 실시형태들은 헬스케어 레코드 관리, 보안 통신들 (예컨대, 정부, 사업체, 정보 기관 등), 공공 레코드들 관리 시스템들, 투표 시스템들, 재정 서비스들 시스템들, 보안 중개 시스템들, 및 많은 다른 것들을 포함하는 광범위한 통신들 및/또는 정보 트랜잭션 맥락들에서 각각의 참여하는 컴퓨팅 디바이스의 기능을 개선시킨다. 다양한 실시형태들은 또한, 사물 인터넷의 기능과, 다양한 IoT 디바이스들 사이, 또는 IoT 디바이스들과, 라우터, 서버, IoT 허브, 또는 또 다른 유사한 디바이스와 같은 IoT 디바이스 제어기 사이의 통신을 개선시킬 수도 있다. 특히, 다양한 실시형태들은, IoT 환경에서 구현될 때, 인간 개입 없이, 분산된 서비스 거부 (DDoS) 공격들을 방지할 시의 특정한 이용일 수도 있다. 다양한 실시형태들은 특정 컴퓨팅 디바이스들의 참여가 인증될 수도 있으므로, 인증 절차가 참여자가 정보 트랜잭션에서 실제적으로 참여하였다는 추정을 생성하는 증거를 생성할 수도 있는 비-거부가능한 정보 트랜잭션의 수행을 가능하게 함으로써, 통신 시스템의 기능을 개선시킬 수도 있다.
예시되고 설명된 다양한 실시형태들은 청구항들의 다양한 특징들을 예시하기 위하여 단지 예들로서 제공된다. 그러나, 임의의 소정의 실시형태에 대하여 도시되고 설명된 특징들은 연관된 실시형태로 반드시 제한되는 것은 아니고, 도시되고 설명되는 다른 실시형태들과 함께 이용될 수도 있거나 이와 조합될 수도 있다. 또한, 청구항들은 임의의 하나의 예의 실시형태에 의해 제한되도록 의도된 것은 아니다. 예를 들어, 방법들 (300, 300a, 300b, 300c, 400, 400a, 400b, 400c, 500, 500a, 600, 600a, 600b, 및 600c) 의 동작들 중의 하나 이상은 방법들 (300, 300a, 300b, 300c, 400, 400a, 400b, 400c, 500, 500a, 600, 600a, 600b, 및 600c) 의 하나 이상의 동작들에 대하여 치환될 수도 있거나 이와 조합될 수도 있다.
도 7 은 다양한 실시형태들을 구현하기 위하여 적당한 이동 무선 컴퓨팅 디바이스 (700) 의 컴포넌트 블록도이다. 도 1a 내지 도 7 을 참조하면, 이동 무선 통신 디바이스 (700) 는 터치 스크린 제어기 (706) 및 내부 메모리 (704) 에 결합된 프로세서 (702) 를 포함할 수도 있다. 프로세서 (702) 는 일반적인 또는 특정 프로세싱 태스크들을 위하여 지정된 하나 이상의 멀티-코어 집적 회로들일 수도 있다. 내부 메모리 (704) 는 휘발성 또는 비-휘발성 메모리일 수도 있고, 또한, 보안성 및/또는 암호화된 메모리, 또는 비보안성 및/또는 비암호화된 메모리, 또는 그 임의의 조합일 수도 있다. 터치스크린 제어기 (706) 및 프로세서 (702) 는 또한, 저항-감지 터치스크린, 용량-감지 터치스크린, 적외선 감지 터치스크린 등과 같은 터치스크린 패널 (712) 에 결합될 수도 있다. 추가적으로, 이동 무선 통신 디바이스 (700) 의 디스플레이는 터치 스크린 능력을 가질 필요가 없다.
이동 무선 통신 디바이스 (700) 는 2 개 이상의 라디오 신호 트랜시버들 (708) (예컨대, 피넛, 블루투스, 지그비, Wi-Fi, 라디오 주파수 (RF) 등) 및 서로 및/또는 프로세서 (702) 에 결합된, 통신들을 전송하고 수신하기 위한 안테나들 (710) 을 가질 수도 있다. 트랜시버들 (708) 및 안테나들 (710) 은 다양한 무선 송신 프로토콜 스택들 및 인터페이스들을 구현하기 위하여 위에서 언급된 회로부와 함께 이용될 수도 있다. 이동 무선 통신 디바이스 (700) 는 프로세서에 결합된 하나 이상의 셀룰러 네트워크 무선 모뎀 칩 (들) (716), 및 2 개 이상의 라디오 액세스 기술들을 통해 2 개 이상의 셀룰러 네트워크들을 통한 통신을 가능하게 하는 안테나들 (710) 을 포함할 수도 있다.
이동 무선 통신 디바이스 (700) 는 프로세서 (702) 에 결합된 주변 무선 디바이스 접속 인터페이스 (718) 를 포함할 수도 있다. 주변 무선 디바이스 접속 인터페이스 (718) 는 하나의 타입의 접속을 수용하도록 단수로 구성될 수도 있거나, USB, 파이어와이어 (FireWire), 썬더볼트 (Thunderbolt), 또는 PCIe 와 같은, 공통 또는 전용의 다양한 타입들의 물리적 및 통신 접속들을 수용하도록 구성될 수도 있다. 주변 무선 디바이스 접속 인터페이스 (718) 는 또한, 유사하게 구성된 주변 무선 디바이스 접속 포트 (도시되지 않음) 에 결합될 수도 있다.
이동 무선 통신 디바이스 (700) 는 또한, 오디오 출력들을 제공하기 위한 스피커들 (714) 을 포함할 수도 있다. 이동 무선 통신 디바이스 (700) 는 또한, 본원에서 논의된 컴포넌트들의 전부 또는 일부를 포함하기 위한, 플라스틱, 금속, 또는 재료들의 조합으로 구성된 하우징 (720) 을 포함할 수도 있다. 이동 무선 통신 디바이스 (700) 는 일회용 또는 재충전가능한 배터리와 같은, 프로세서 (702) 에 결합된 전원 (722) 을 포함할 수도 있다. 재충전가능한 배터리는 또한, 이동 무선 통신 디바이스 (700) 에 외부적인 소스로부터 충전 전류를 수신하기 위하여 주변 무선 디바이스 접속 포트에 결합될 수도 있다. 이동 무선 통신 디바이스 (700) 는 또한, 사용자 입력들을 수신하기 위한 물리적 버튼 (724) 을 포함할 수도 있다. 이동 무선 통신 디바이스 (700) 는 또한, 이동 무선 통신 디바이스 (700) 를 턴 온 및 턴 오프 하기 위한 파워 버튼 (726) 을 포함할 수도 있다.
다른 형태들의 컴퓨팅 디바이스들은 또한, 다양한 양태들로부터 이익을 얻을 수도 있다. 이러한 컴퓨팅 디바이스들은 전형적으로, 일 예의 랩톱 컴퓨터 (800) 를 예시하는 도 8 에서 예시된 컴포넌트들을 포함한다. 도 1a 내지 도 8 을 참조하면, 컴퓨터 (800) 는 일반적으로, 휘발성 메모리 (802) 및, 디스크 드라이브 (803) 와 같은 대용량 비휘발성 메모리에 결합된 프로세서 (801) 를 포함한다. 컴퓨터 (800) 는 또한, 프로세서 (801) 에 결합된 컴팩트 디스크 (compact disc; CD) 및/또는 DVD 드라이브 (804) 를 포함할 수도 있다. 컴퓨터 (800) 는 또한, 프로세서 (801) 를 네트워크에 결합하기 위한 네트워크 접속 회로 (805) 와 같은, 데이터 접속들을 확립하고 외부 메모리 디바이스들을 수납하기 위한 프로세서 (801) 에 결합된 다수의 커넥터 포트들을 포함할 수도 있다. 컴퓨터 (800) 는 또한, 디스플레이 (807), 키보드 (808), 트랙패드 (trackpad) (810) 와 같은 포인팅 디바이스, 및 다른 유사한 디바이스들을 포함할 수도 있다.
다양한 실시형태들은 컴퓨팅 디바이스를 통신 네트워크의 네트워크 엘리먼트로서 채용할 수도 있다. 이러한 네트워크 엘리먼트들은 전형적으로, 일 예의 네트워크 엘리먼트, 서버 디바이스 (900) 를 예시하는 도 9 에서 예시된 적어도 컴포넌트들을 포함할 수도 있다. 도 1a 내지 도 9 를 참조하면, 서버 디바이스 (900) 는 전형적으로, 휘발성 메모리 (902) 및, 디스크 드라이브 (903) 와 같은 대용량 비휘발성 메모리에 결합된 프로세서 (901) 를 포함할 수도 있다. 서버 디바이스 (900) 는 또한, 프로세서 (901) 에 결합된 플로피 디스크 드라이브, 컴팩트 디스크 (compact disc; CD) 또는 디지털 비디오 디스크 (digital video disc; DVD) 드라이브 (906) 와 같은 주변 메모리 액세스 디바이스를 포함할 수도 있다. 서버 디바이스 (900) 는 또한, 다른 시스템 컴퓨터들 및 서버들에 결합된 인터넷 및/또는 로컬 영역 네트워크와 같은 네트워크와의 데이터 접속들을 확립하기 위하여 프로세서 (901) 에 결합된 네트워크 액세스 포트들 (904) (또는 인터페이스들) 을 포함할 수도 있다. 유사하게, 서버 디바이스 (900) 는 주변기기들, 외부 메모리, 또는 다른 디바이스들에 결합하기 위한 USB, 파이어와이어, 썬더볼트 등과 같은 추가적인 액세스 포트들을 포함할 수도 있다.
프로세서들 (702, 801, 901) 은, 이하에서 설명된 다양한 양태들의 기능들을 포함하는 다양한 기능들을 수행하기 위하여 소프트웨어 명령들 (애플리케이션들) 에 의해 구성될 수 있는 임의의 프로그래밍가능한 마이크로프로세서, 마이크로컴퓨터 또는 다중 프로세서 칩 또는 칩들일 수도 있다. 일부 이동 디바이스들에서는, 무선 통신 기능들에 전용인 하나의 프로세서 및 다른 애플리케이션들을 실행하는 것에 전용인 하나의 프로세서와 같은, 다중 프로세서들 (702) 이 제공될 수도 있다. 전형적으로, 소프트웨어 애플리케이션들은, 그것들이 액세스되고 프로세서 (702, 801, 901) 내로 로딩되기 전에 내부 메모리 (704, 802, 902) 내에 저장될 수도 있다. 프로세서 (702, 801, 901) 는 애플리케이션 소프트웨어 명령들을 저장하기에 충분한 내부 메모리를 포함할 수도 있다.
다양한 실시형태들은 임의의 수의 단일 또는 멀티-프로세서 시스템들에서 구현될 수도 있다. 일반적으로, 다수의 프로세스들이 단일 프로세서 상에서 동시에 작동하고 있는 것으로 보이도록, 프로세스들은 짧은 시간 슬라이스 (time slice) 들에서 프로세서 상에서 실행된다. 프로세스가 시간 슬라이스의 종료 시에 프로세서로부터 제거될 때, 프로세스의 현재의 동작 상태에 속하는 정보는 메모리 내에 저장되므로, 프로세스는 그것이 프로세서 상에서의 실행으로 복귀할 때에 그 동작들을 심리스 방식으로 (seamlessly) 재개할 수도 있다. 이 동작 상태 데이터는 프로세스의 어드레스 공간, 스택 공간, 가상적인 어드레스 공간, 레지스터 설정 이미지 (예컨대, 프로그램 카운터, 스택 포인터, 명령 레지스터, 프로그램 스테이터스 워드 (program status word) 등), 계정 정보, 승인들, 액세스 한정들, 및 상태 정보를 포함할 수도 있다.
프로세스는 다른 프로세스들을 스포닝 (spawn) 할 수도 있고, 스포닝된 프로세스 (즉, 자식 프로세스 (child process)) 는 스포닝 프로세스 (즉, 부모 프로세스 (parent process)) 의 승인들 및 액세스 한정들 (즉, 컨텍스트) 의 일부를 승계할 수도 있다. 프로세스는 다른 프로세스들/스레드 (thread) 들과 그 컨텍스트 (예컨대, 어드레스 공간, 스택, 승인들, 및/또는 액세스 한정들 등) 의 전부 또는 부분들을 공유하는 프로세스들인 다수의 경량 프로세스들 또는 스레드들을 포함하는 중량 프로세스일 수도 있다. 이에 따라, 단일 프로세스는 단일 컨텍스트 (즉, 프로세서의 컨텍스트) 를 공유하고, 단일 컨텍스트를 액세스하고, 및/또는 단일 컨텍스트 내에서 동작하는 다수의 경량 프로세스들 또는 스레드들을 포함할 수도 있다.
상기한 방법 설명들 및 프로세스 흐름도들은 단지 예시적인 예들로서 제공되고, 다양한 실시형태들의 블록들이 제시된 순서로 수행되어야 하는 것을 요구하거나 암시하도록 의도된 것이 아니다. 당해 분야의 당업자에 의해 인식되는 바와 같이, 상기한 실시형태들에서의 블록들의 순서는 임의의 순서로 수행될 수도 있다. "그 후", "그 다음으로", "다음" 등과 같은 단어들은 블록들의 순서를 제한하도록 의도된 것이 아니고; 이 단어들은 방법들의 설명을 통해 독자를 안내하기 위하여 간단하게 이용된다. 또한, 예를 들어, 관사들 "a", "an", 또는 "the" 를 이용하는 단수인 청구항 구성요소들에 대한 임의의 참조는 구성요소를 단수로 제한하는 것으로 해석되지 않아야 한다.
본원에서 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 논리적 블록들, 모듈들, 회로들, 및 알고리즘 블록들은 전자 하드웨어, 컴퓨터 소프트웨어, 또는 양자의 조합들로서 구현될 수도 있다. 하드웨어 및 소프트웨어의 이 교환가능성을 명확하게 예시하기 위하여, 다양한 예시적인 컴포넌트들, 블록들, 모듈들, 회로들, 및 블록들은 일반적으로 그 기능성의 측면에서 위에서 설명되었다. 이러한 기능성이 하드웨어 또는 소프트웨어로서 구현되는지 여부는 특정 애플리케이션과, 전체적인 시스템에 부과된 설계 제약들에 종속된다. 당업자들은 설명된 기능성을 각각의 특정한 애플리케이션을 위한 다양한 방법들로 구현할 수도 있지만, 이러한 구현 판정들은 청구항들의 범위로부터의 이탈을 야기시키는 것으로 해석되지 않아야 한다.
본원에서 개시된 실시형태들과 관련하여 설명된 다양한 예시적인 로직들, 논리적 블록들, 모듈들, 및 회로들을 구현하기 위하여 이용된 하드웨어는 범용 프로세서, 디지털 신호 프로세서 (DSP), 애플리케이션 특정 집적 회로 (application specific integrated circuit; ASIC), 필드 프로그래밍가능한 게이트 어레이 (field programmable gate array; FPGA) 또는 다른 프로그래밍가능한 로직 디바이스, 개별 게이트 또는 트랜지스터 로직, 개별 하드웨어 컴포넌트들, 또는 본원에서 설명된 기능들을 수행하도록 설계된 그 임의의 조합으로 구현되거나 수행될 수도 있다. 범용 프로세서는 마이크로프로세서일 수도 있지만, 대안적으로, 프로세서는 임의의 기존의 프로세서, 제어기, 마이크로제어기, 또는 상태 머신 (state machine) 일 수도 있다. 프로세서는 또한, 통신 디바이스들의 조합, 예컨대, DSP 및 마이크로프로세서, 복수의 마이크로프로세서들, DSP 코어와 함께 하나 이상의 마이크로프로세서들, 또는 임의의 다른 이러한 구성의 조합으로서 구현될 수도 있다. 대안적으로, 일부의 블록들 또는 방법들은 소정의 기능에 특정한 회로부에 의해 수행될 수도 있다.
다양한 실시형태들에서, 설명된 기능들은 하드웨어, 소프트웨어, 펌웨어, 또는 그 임의의 조합으로 구현될 수도 있다. 소프트웨어로 구현될 경우, 기능들은 비-일시적 컴퓨터-판독가능 매체 또는 비-일시적 프로세서-판독가능 매체 상에서 하나 이상의 명령들 또는 코드로서 저장될 수도 있다. 본원에서 개시된 방법 또는 알고리즘의 동작들은 비-일시적 컴퓨터-판독가능 또는 프로세서-판독가능 저장 매체 상에서 상주할 수도 있는 프로세서-실행가능 소프트웨어 모듈에서 구체화될 수도 있다. 비-일시적 컴퓨터-판독가능 또는 프로세서-판독가능 저장 매체들은 컴퓨터 또는 프로세서에 의해 액세스될 수도 있는 임의의 저장 매체들일 수도 있다. 제한이 아닌 예로서, 이러한 비-일시적 컴퓨터-판독가능 또는 프로세서-판독가능 매체들은 RAM, ROM, EEPROM, FLASH 메모리, CD-ROM 또는 다른 광학 디스크 저장, 자기 디스크 저장, 또는 다른 자기 저장 디바이스들, 또는 명령들 또는 데이터 구조들의 형태로 희망하는 프로그램 코드를 저장하기 위해 이용될 수 있으며 컴퓨터에 의해 액세스될 수 있는 임의의 다른 매체를 포함할 수 있다. 본원에서 이용된 바와 같은 디스크 (disk) 및 디스크 (disc) 는 컴팩트 디스크 (compact disc; CD), 레이저 디스크 (laser disc), 광학 디스크 (optical disc), 디지털 다기능 디스크 (digital versatile disc; DVD), 플로피 디스크 (floppy disk) 및 블루레이 디스크 (blu-ray disc) 를 포함하고, 여기서, 디스크 (disk) 들은 통상 데이터를 자기적으로 재생하는 반면, 디스크 (disc) 들은 데이터를 레이저로 광학적으로 재생한다. 상기의 조합들은 또한, 비-일시적 컴퓨터-판독가능 및 프로세서-판독가능 매체들의 범위 내에 포함된다. 추가적으로, 방법 또는 알고리즘의 동작들은, 컴퓨터 프로그램 제품 내로 편입될 수도 있는 비-일시적 프로세서-판독가능 매체 및/또는 컴퓨터-판독가능 매체 상에 코드들 및/또는 명령들 중의 하나 또는 임의의 조합 또는 세트로서 상주할 수도 있다.
개시된 실시형태들의 선행하는 설명은 당해 분야의 당업자가 청구항들을 제조하거나 이용하는 것을 가능하게 하도록 제공된다. 이 실시형태들에 대한 다양한 수정들은 당해 분야의 당업자들에게 용이하게 분명할 것이고, 본원에서 정의된 일반적인 원리들은 청구항들의 범위로부터 이탈하지 않으면서 다른 실시형태들에 적용될 수도 있다. 이에 따라, 본 개시물은 본원에서 도시된 실시형태들로 제한되도록 의도된 것이 아니라, 다음의 청구항들 및 본원에서 개시된 원리들 및 신규한 특징들과 부합하는 가장 넓은 범위를 따르도록 하기 위한 것이다.

Claims (40)

  1. 제 3 컴퓨팅 디바이스와의 상호작용을 통해 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템으로서,
    상기 제 1 컴퓨팅 디바이스로서,
    제 1 통신 인터페이스; 및
    상기 제 1 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 제 1 프로세서를 포함하고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스에서 임시의 제 1 일시적 아이덴티티 (ephemeral first transitory identity) 를 획득하는 것;
    상기 제 1 일시적 아이덴티티를 상기 제 2 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 컴퓨팅 디바이스로부터 임시의 제 2 일시적 아이덴티티를 수신하는 것;
    상기 제 2 일시적 아이덴티티를 포함하는 제 1 인증 질의를 상기 제 3 컴퓨팅 디바이스로 전송하는 것; 및
    상기 제 3 컴퓨팅 디바이스로부터, 상기 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것을 포함하는, 상기 제 1 컴퓨팅 디바이스;
    상기 제 2 컴퓨팅 디바이스로서,
    제 2 통신 인터페이스; 및
    상기 제 2 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 제 2 프로세서를 포함하고, 이 동작들은:
    상기 제 2 컴퓨팅 디바이스에서 상기 제 2 일시적 아이덴티티를 획득하는 것;
    상기 제 2 일시적 아이덴티티를 상기 제 1 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스로 전송하는 것;
    상기 제 1 컴퓨팅 디바이스로부터 상기 제 1 일시적 아이덴티티를 수신하는 것;
    상기 제 1 일시적 아이덴티티를 포함하는 제 2 인증 질의를 상기 제 3 컴퓨팅 디바이스로 전송하는 것; 및
    상기 제 3 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것을 포함하는, 상기 제 2 컴퓨팅 디바이스; 및
    상기 제 3 컴퓨팅 디바이스로서,
    제 3 통신 인터페이스; 및
    상기 제 3 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 제 3 프로세서를 포함하고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스로부터 상기 제 1 일시적 아이덴티티를 수신하는 것;
    상기 제 2 인증 질의를 수신하는 것;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부를 결정하는 것;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 2 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 컴퓨팅 디바이스로부터 상기 제 2 일시적 아이덴티티를 수신하는 것;
    상기 제 1 인증 질의를 수신하는 것;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부를 결정하는 것; 및
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 1 컴퓨팅 디바이스로 전송하는 것을 포함하는, 상기 제 3 컴퓨팅 디바이스를 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  2. 제 1 항에 있어서,
    상기 제 3 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    임시의 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 상기 제 1 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스의 각각으로 전송하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  3. 제 2 항에 있어서,
    상기 새로운 일시적 아이덴티티를 획득하기 위하여, 상기 명령을 상기 제 1 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스의 각각으로 전송하는 것이:
    상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하지 않는 것으로 결정하는 것에 응답하여, 상기 새로운 일시적 아이덴티티를 획득하기 위하여, 상기 명령을 상기 제 1 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스의 각각으로 전송하는 것을 포함하도록, 상기 제 3 컴퓨팅 디바이스의 프로세서가 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  4. 제 2 항에 있어서,
    상기 새로운 일시적 아이덴티티를 획득하기 위하여, 상기 명령을 상기 제 1 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스의 각각으로 전송하는 것이:
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하지 않는 것으로 결정하는 것에 응답하여, 상기 새로운 일시적 아이덴티티를 획득하기 위하여, 상기 명령을 상기 제 1 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스의 각각으로 전송하는 것을 포함하도록, 상기 제 3 컴퓨팅 디바이스의 프로세서가 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  5. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서, 상기 제 2 컴퓨팅 디바이스의 프로세서, 및 상기 제 3 컴퓨팅 디바이스의 프로세서의 각각은 공격자가 상기 제 1 및 제 2 일시적 아이덴티티들을 획득하고 이용하기 위하여 요구된 결정된 시간 간격보다 더 작은 빈도로 그 개개의 동작들을 반복하기 위한 프로세서-실행가능 명령들로 구성되는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  6. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서, 상기 제 2 컴퓨팅 디바이스의 프로세서, 및 상기 제 3 컴퓨팅 디바이스의 프로세서의 각각은 공격자가 상기 제 1, 제 2, 및 제 3 일시적 아이덴티티들을 획득하고 이용하기 위하여 요구된 결정된 시간보다 더 작은 빈도로 그 개개의 동작들을 반복하기 위한 프로세서-실행가능 명령들로 구성되는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  7. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    텍스트 스트링 (text string) 을 생성하고 상기 텍스트 스트링의 암호화된 버전을 생성하는 것;
    생성된 상기 텍스트 스트링을 상기 제 2 컴퓨팅 디바이스로 전송하는 것;
    생성된 암호화된 상기 텍스트 스트링을 상기 제 3 컴퓨팅 디바이스로 전송하는 것; 및
    상기 제 2 컴퓨팅 디바이스로 전송된 상기 텍스트 스트링 및 상기 제 3 컴퓨팅 디바이스로 전송된 상기 암호화된 텍스트 스트링에 기초하여, 상기 제 2 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  8. 제 7 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 2 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증된다는 표시를 수신하는 것에 응답하여, 상기 제 2 컴퓨팅 디바이스와의 정보 트랜잭션을 수행하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  9. 제 7 항에 있어서,
    상기 제 3 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스로부터의 상기 암호화된 텍스트 스트링을 복호화하는 것; 및
    상기 복호화된 텍스트 스트링을 재암호화하고 재암호화된 상기 텍스트 스트링을 상기 제 2 컴퓨팅 디바이스로 전송하여, 상기 제 1 컴퓨팅 디바이스로부터 상기 제 2 컴퓨팅 디바이스로 전송된 상기 텍스트 스트링 및 상기 재암호화된 텍스트 스트링을 비교하는 것을 가능하게 하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  10. 제 7 항에 있어서,
    상기 제 2 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스로부터 상기 텍스트 스트링을 수신하는 것;
    상기 제 3 컴퓨팅 디바이스로부터 재암호화된 텍스트 스트링을 수신하는 것;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 텍스트 스트링 및 상기 제 3 컴퓨팅 디바이스로부터의 상기 재암호화된 텍스트 스트링이 일치하는지 여부를 결정하는 것; 및
    상기 제 1 컴퓨팅 디바이스로부터의 상기 텍스트 스트링 및 상기 제 3 컴퓨팅 디바이스로부터의 상기 재암호화된 텍스트 스트링이 일치하는지 여부의 상기 결정에 응답하여, 상기 제 1 컴퓨팅 디바이스의 참여가 인증되는지 여부의 표시를 상기 제 1 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스 중의 하나 이상으로 전송하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  11. 제 10 항에 있어서,
    상기 제 3 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스의 상기 참여가 인증되는지 여부의 상기 표시를 수신하는 것; 및
    상기 제 1 컴퓨팅 디바이스의 상기 참여가 인증되는지 여부의 상기 표시를 저장하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  12. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    정적 정보의 유닛을 상기 제 3 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치한다는 상기 결정에 기초하여, 상기 제 2 컴퓨팅 디바이스로부터, 정적 정보의 상기 유닛을 수신하는 것; 및
    상기 제 1 컴퓨팅 디바이스에서 정적 정보의 상기 유닛을 제시하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  13. 제 12 항에 있어서,
    정적 정보의 상기 유닛이 인간-지각가능한 표시자를 포함하도록, 상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  14. 제 1 항에 있어서,
    상기 제 2 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 3 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스로부터의 정적 정보의 유닛을 수신하는 것; 및
    상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치한다는 상기 결정에 기초하여, 정적 정보의 상기 유닛을 상기 제 1 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  15. 제 1 항에 있어서,
    상기 제 3 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 컴퓨팅 디바이스로부터 정적 정보의 유닛을 수신하는 것; 및
    상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치한다는 상기 결정에 기초하여, 정적 정보의 상기 유닛을 제 2 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  16. 제 1 항에 있어서,
    상기 제 1 컴퓨팅 디바이스는 사물 인터넷 (Internet of Things; IoT) 디바이스를 포함하는, 제 1 컴퓨팅 디바이스를 제 2 컴퓨팅 디바이스로 인증하기 위한 시스템.
  17. 제 1 컴퓨팅 디바이스로서,
    통신 인터페이스; 및
    상기 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 프로세서로서, 이 동작들은:
    임시의 제 1 일시적 아이덴티티를 획득하는 것;
    상기 제 1 일시적 아이덴티티를 제 2 컴퓨팅 디바이스 및 제 3 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 컴퓨팅 디바이스로부터 임시의 제 2 일시적 아이덴티티를 수신하는 것;
    상기 제 2 일시적 아이덴티티를 포함하는 인증 질의를 상기 제 3 컴퓨팅 디바이스로 전송하는 것;
    인증 성공의 표시 또는 인증 실패의 표시가 상기 제 3 컴퓨팅 디바이스로부터 수신되는지 여부를 결정하는 것; 및
    인증 성공의 표시가 수신되는 것으로 결정하는 것에 응답하여, 상기 제 2 컴퓨팅 디바이스와의 정보 트랜잭션을 수행하는 것을 포함하는, 상기 프로세서를 포함하고,
    상기 프로세서는 공격자가 상기 제 1 및 제 2 일시적 아이덴티티들을 획득하고 이용하기 위하여 요구된 결정된 시간 간격보다 더 작은 빈도로 동작들을 반복하기 위한 프로세서-실행가능 명령들로 추가로 구성되는, 제 1 컴퓨팅 디바이스.
  18. 제 17 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    새로운 일시적 아이덴티티를 획득하기 위하여 상기 제 3 컴퓨팅 디바이스로부터 명령을 수신하는 것; 및
    상기 명령에 기초하여 임시의 새로운 제 1 일시적 아이덴티티를 획득하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스.
  19. 제 17 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 일시적 아이덴티티의 기간이 만료한 것으로 결정하는 것; 및
    상기 제 1 일시적 아이덴티티의 상기 기간이 만료한 것이라는 상기 결정에 기초하여, 임시의 새로운 제 1 일시적 아이덴티티를 획득하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스.
  20. 제 17 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    인증 실패의 표시가 수신되는 것으로 결정하는 것에 응답하여 보안 액션을 수행하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스.
  21. 제 17 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    정보 트랜잭션을 수행하기 위한 요청을 상기 제 2 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 것; 및
    상기 제 1 컴퓨팅 디바이스가 인증된다는 표시를 수신하는 것에 응답하여 상기 정보 트랜잭션을 수행하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스.
  22. 제 21 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 정보 트랜잭션을 수행하기 위한 상기 요청에 기초하여, 상기 제 2 컴퓨팅 디바이스로부터, 상기 제 1 일시적 아이덴티티에 대한 요청을 수신하는 것을 더 포함하고,
    상기 제 1 일시적 아이덴티티를 상기 제 2 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스로 전송하는 것은 상기 제 1 일시적 아이덴티티에 대한 상기 제 2 컴퓨팅 디바이스로부터의 상기 요청에 기초하는, 제 1 컴퓨팅 디바이스.
  23. 제 21 항에 있어서,
    상기 제 1 컴퓨팅 디바이스의 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    텍스트 스트링을 생성하고 상기 텍스트 스트링의 암호화된 버전을 생성하는 것;
    생성된 상기 텍스트 스트링을 상기 제 2 컴퓨팅 디바이스로 전송하는 것;
    생성된 암호화된 상기 텍스트 스트링을 상기 제 3 컴퓨팅 디바이스로 전송하는 것; 및
    상기 제 2 컴퓨팅 디바이스로 전송된 상기 텍스트 스트링 및 상기 제 3 컴퓨팅 디바이스로 전송된 상기 암호화된 텍스트 스트링에 기초하여, 상기 제 2 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 상기 표시를 수신하는 것을 더 포함하는, 제 1 컴퓨팅 디바이스.
  24. 제 17 항에 있어서,
    상기 제 1 컴퓨팅 디바이스는 사물 인터넷 (IoT) 디바이스를 포함하는, 제 1 컴퓨팅 디바이스.
  25. 컴퓨팅 디바이스로서,
    통신 인터페이스; 및
    상기 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 프로세서로서, 이 동작들은:
    제 1 다른 컴퓨팅 디바이스로부터, 정보 트랜잭션을 수행하기 위한 요청을 수신하는 것;
    상기 제 1 다른 컴퓨팅 디바이스로부터, 상기 제 1 다른 컴퓨팅 디바이스의 임시의 일시적 아이덴티티를 수신하는 것;
    상기 제 1 다른 컴퓨팅 디바이스의 아이덴티티를 확인하기 위하여, 상기 일시적 아이덴티티를 포함하는 요청을 제 2 다른 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 다른 컴퓨팅 디바이스로부터, 상기 제 1 다른 컴퓨팅 디바이스의 상기 아이덴티티가 확인되는지 여부의 표시를 수신하는 것; 및
    상기 제 1 다른 컴퓨팅 디바이스의 상기 아이덴티티가 확인되는지 여부의 상기 표시에 기초하여, 상기 정보 트랜잭션의 수행이 가능하게 되는지 여부의 표시를 전송하는 것을 포함하는, 상기 프로세서를 포함하고,
    상기 프로세서는 또한 공격자가 상기 일시적 아이덴티티를 획득하고 이용하기 위하여 요구된 결정된 시간 간격보다 더 작은 빈도로 동작들을 반복하기 위한 프로세서-실행가능 명령들로 구성되는, 컴퓨팅 디바이스.
  26. 제 25 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 정보 트랜잭션을 수행하기 위한 상기 요청에 기초하여, 상기 제 1 다른 컴퓨팅 디바이스의 일시적 아이덴티티에 대한 요청을 상기 제 1 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  27. 제 25 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터 텍스트 스트링을 수신하는 것;
    상기 제 2 다른 컴퓨팅 디바이스로부터 재암호화된 텍스트 스트링을 수신하는 것;
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 텍스트 스트링 및 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 재암호화된 텍스트 스트링이 일치하는지 여부를 결정하는 것; 및
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 텍스트 스트링 및 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 재암호화된 텍스트 스트링이 일치하는지 여부의 상기 결정에 응답하여, 상기 제 1 다른 컴퓨팅 디바이스의 참여가 인증되는지 여부의 표시를 상기 제 1 다른 컴퓨팅 디바이스 및 상기 제 2 다른 컴퓨팅 디바이스 중의 하나 이상으로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  28. 제 27 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 텍스트 스트링 및 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 재암호화된 텍스트 스트링이 일치한다는 상기 결정에 기초하여, 상기 정보 트랜잭션의 수행을 가능하게 하는 것을 더 포함하는, 컴퓨팅 디바이스.
  29. 제 1 다른 컴퓨팅 디바이스 및 제 2 다른 컴퓨팅 디바이스와 통신하도록 구성된 컴퓨팅 디바이스로서,
    통신 인터페이스; 및
    상기 통신 인터페이스에 결합되고 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성된 프로세서로서, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터 임시의 제 1 일시적 아이덴티티를 수신하는 것;
    상기 제 2 다른 컴퓨팅 디바이스로부터 상기 제 1 일시적 아이덴티티를 포함하는 인증 질의를 수신하는 것;
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부를 결정하는 것; 및
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 1 다른 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 2 다른 컴퓨팅 디바이스로 전송하는 것을 포함하는, 상기 프로세서를 포함하고,
    상기 프로세서는 또한 공격자가 상기 제 1 일시적 아이덴티티를 획득하고 이용하기 위하여 요구된 결정된 시간 간격보다 더 작은 빈도로 동작들을 반복하기 위한 프로세서-실행가능 명령들로 구성되는, 컴퓨팅 디바이스.
  30. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 2 다른 컴퓨팅 디바이스로부터 임시의 제 2 일시적 아이덴티티를 수신하는 것;
    상기 제 1 다른 컴퓨팅 디바이스로부터 상기 제 2 일시적 아이덴티티를 포함하는 인증 질의를 수신하는 것;
    상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부를 결정하는 것; 및
    상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 2 다른 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 1 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  31. 제 30 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는 것으로 결정하는 것에 응답하여, 상기 제 2 다른 컴퓨팅 디바이스의 인증 성공의 표시를 상기 제 1 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  32. 제 30 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하지 않는 것으로 결정하는 것에 응답하여, 상기 제 2 다른 컴퓨팅 디바이스의 인증 실패의 표시를 상기 제 1 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  33. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는 것으로 결정하는 것에 응답하여, 상기 제 1 다른 컴퓨팅 디바이스의 인증 성공의 표시를 상기 제 2 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  34. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 다른 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하지 않는 것으로 결정하는 것에 응답하여, 상기 제 1 다른 컴퓨팅 디바이스의 인증 실패의 표시를 상기 제 2 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  35. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 일시적 아이덴티티의 기간이 만료한 것으로 결정하는 것; 및
    상기 제 1 일시적 아이덴티티의 상기 기간이 만료한 것으로 결정하는 것에 응답하여, 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 상기 제 1 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  36. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 2 일시적 아이덴티티의 기간이 만료한 것으로 결정하는 것; 및
    상기 제 2 일시적 아이덴티티의 상기 기간이 만료한 것으로 결정하는 것에 응답하여, 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 상기 제 2 다른 컴퓨팅 디바이스로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  37. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    전자 보안 시스템으로부터, 비인가된 사용자의 표시를 수신하는 것; 및
    상기 비인가된 사용자의 상기 표시에 응답하여, 임시의 새로운 일시적 아이덴티티를 획득하기 위하여 명령을 상기 제 1 다른 컴퓨팅 디바이스 및 상기 제 2 컴퓨팅 디바이스 중의 하나 이상으로 전송하는 것을 더 포함하는, 컴퓨팅 디바이스.
  38. 제 29 항에 있어서,
    상기 프로세서는 동작들을 수행하기 위한 프로세서-실행가능 명령들로 구성되고, 이 동작들은:
    상기 제 1 다른 컴퓨팅 디바이스로부터, 암호화된 텍스트 스트링을 수신하고, 상기 암호화된 텍스트 스트링을 복호화하는 것;
    상기 복호화된 텍스트 스트링을 재암호화하고, 재암호화된 상기 텍스트 스트링을 상기 제 2 다른 컴퓨팅 디바이스로 전송하는 것;
    상기 제 2 다른 컴퓨팅 디바이스로부터, 상기 제 1 다른 컴퓨팅 디바이스의 참여가 인증되는지 여부의 표시를 수신하는 것; 및
    상기 제 1 다른 컴퓨팅 디바이스의 상기 참여가 인증되는지 여부의 상기 표시를 저장하는 것을 더 포함하는, 컴퓨팅 디바이스.
  39. 제 3 컴퓨팅 디바이스의 지원으로 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이의 상호작용들을 인증하는 방법으로서,
    상기 제 1 컴퓨팅 디바이스에서 임시의 제 1 일시적 아이덴티티를 획득하는 단계;
    상기 제 1 일시적 아이덴티티를 상기 제 2 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 2 컴퓨팅 디바이스에서, 상기 제 1 컴퓨팅 디바이스로부터 상기 제 1 일시적 아이덴티티를 수신하는 단계;
    상기 제 2 컴퓨팅 디바이스에서 임시의 제 2 일시적 아이덴티티를 획득하는 단계;
    상기 제 2 일시적 아이덴티티를 상기 제 2 컴퓨팅 디바이스로부터 상기 제 1 컴퓨팅 디바이스 및 상기 제 3 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 1 컴퓨팅 디바이스에서, 상기 제 2 컴퓨팅 디바이스로부터 상기 제 2 일시적 아이덴티티를 수신하는 단계;
    상기 제 2 일시적 아이덴티티를 포함하는 제 1 인증 질의를 상기 제 1 컴퓨팅 디바이스로부터 상기 제 3 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 1 일시적 아이덴티티를 포함하는 제 2 인증 질의를 상기 제 2 컴퓨팅 디바이스로부터 상기 제 3 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 3 컴퓨팅 디바이스에서, 상기 제 1 컴퓨팅 디바이스로부터 상기 제 1 일시적 아이덴티티를 수신하는 단계;
    상기 제 3 컴퓨팅 디바이스에서 수신하는 단계;
    상기 제 3 컴퓨팅 디바이스에서, 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부를 결정하는 단계;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 1 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 3 컴퓨팅 디바이스에 의해, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 2 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 3 컴퓨팅 디바이스에서, 상기 제 2 컴퓨팅 디바이스로부터 상기 제 2 일시적 아이덴티티를 수신하는 단계;
    상기 제 3 컴퓨팅 디바이스에서, 상기 제 1 인증 질의를 수신하는 단계;
    상기 제 3 컴퓨팅 디바이스에 의해, 상기 제 1 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부를 결정하는 단계;
    상기 제 1 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티가 상기 제 2 컴퓨팅 디바이스로부터의 상기 제 2 일시적 아이덴티티와 일치하는지 여부의 상기 결정에 기초하여, 상기 제 3 컴퓨팅 디바이스에 의해, 상기 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 상기 제 1 컴퓨팅 디바이스로 전송하는 단계;
    상기 제 1 컴퓨팅 디바이스에서, 상기 제 3 컴퓨팅 디바이스로부터, 상기 제 2 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 단계; 및
    상기 제 2 컴퓨팅 디바이스에서, 상기 제 3 컴퓨팅 디바이스로부터, 상기 제 1 컴퓨팅 디바이스가 인증되는지 여부의 표시를 수신하는 단계를 포함하는, 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이의 상호작용들을 인증하는 방법.
  40. 제 39 항에 있어서,
    상기 제 1 컴퓨팅 디바이스는 사물 인터넷 (IoT) 디바이스를 포함하는, 제 1 컴퓨팅 디바이스와 제 2 컴퓨팅 디바이스 사이의 상호작용들을 인증하는 방법.
KR1020197010664A 2016-09-12 2017-09-08 디바이스 인증을 위한 시스템들 및 방법들 KR102390745B1 (ko)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
US201662393438P 2016-09-12 2016-09-12
US62/393,438 2016-09-12
US201662423593P 2016-11-17 2016-11-17
US62/423,593 2016-11-17
US15/395,336 2016-12-30
US15/395,336 US9722803B1 (en) 2016-09-12 2016-12-30 Systems and methods for device authentication
US15/634,265 2017-06-27
US15/634,265 US10021100B2 (en) 2016-09-12 2017-06-27 Systems and methods for device authentication
PCT/US2017/050614 WO2018049116A1 (en) 2016-09-12 2017-09-08 Systems and methods for device authentication

Publications (2)

Publication Number Publication Date
KR20190067803A true KR20190067803A (ko) 2019-06-17
KR102390745B1 KR102390745B1 (ko) 2022-04-25

Family

ID=59382821

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197010664A KR102390745B1 (ko) 2016-09-12 2017-09-08 디바이스 인증을 위한 시스템들 및 방법들

Country Status (10)

Country Link
US (3) US9722803B1 (ko)
EP (1) EP3510723A4 (ko)
JP (1) JP2019531567A (ko)
KR (1) KR102390745B1 (ko)
CN (1) CN110169011A (ko)
AU (1) AU2017323547A1 (ko)
CA (1) CA3035921A1 (ko)
EA (1) EA036987B1 (ko)
MX (1) MX2019002625A (ko)
WO (1) WO2018049116A1 (ko)

Families Citing this family (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10517021B2 (en) 2016-06-30 2019-12-24 Evolve Cellular Inc. Long term evolution-primary WiFi (LTE-PW)
US9722803B1 (en) 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication
US10356096B2 (en) * 2017-02-17 2019-07-16 At&T Intellectual Property I, L.P. Authentication using credentials submitted via a user premises device
US11463439B2 (en) 2017-04-21 2022-10-04 Qwerx Inc. Systems and methods for device authentication and protection of communication on a system on chip
US10499246B2 (en) * 2017-05-17 2019-12-03 Verizon Patent And Licensing Inc. Hardware identification-based security authentication service for IoT devices
US11089059B2 (en) * 2017-09-15 2021-08-10 Cable Television Laboratories, Inc. Cloned device detection
US11147459B2 (en) * 2018-01-05 2021-10-19 CareBand Inc. Wearable electronic device and system for tracking location and identifying changes in salient indicators of patient health
US10729211B2 (en) 2018-04-12 2020-08-04 CareBand Inc. Wristband locking mechanism, wristband, wearable electronic device and method of securing an article to a person
CN108833337B (zh) * 2018-04-20 2022-06-03 南京时代大数据网络安全技术与发展战略研究院有限公司 一种基于光通信的数据传输系统及方法
GB2574628B (en) * 2018-06-13 2020-12-09 Arm Ip Ltd Attestation of processing
US11173311B2 (en) 2018-11-02 2021-11-16 Advanced Neuromodulation Systems, Inc. Methods for programming an implantable medical device and related systems and devices
US11083900B2 (en) 2018-11-02 2021-08-10 Advanced Neuromodulation Systems, Inc. Methods for operating a system for management of implantable medical devices and related systems
US10967190B2 (en) * 2018-11-02 2021-04-06 Advanced Neuromodulation Systems, Inc. Methods of operating a system for management of implantable medical devices (IMDs) using reconciliation operations and revocation data
US11090496B2 (en) 2018-11-02 2021-08-17 Advanced Neuromodulation Systems, Inc. Implantable medical device using permanent and temporary keys for therapeutic settings and related methods of operation
US11173313B2 (en) 2018-11-02 2021-11-16 Advanced Neuromodulation Systems, Inc. Implantable medical device with offline programming limitations and related methods of operations
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
EP3935534B1 (en) * 2019-03-04 2023-07-05 Hitachi Vantara LLC Multi-way trust formation in a distributed system
US11444919B2 (en) * 2019-05-20 2022-09-13 Woodward, Inc. Mission critical security zone
US11449821B2 (en) 2019-07-16 2022-09-20 Mastercard International Incorporated Systems and methods for use in facilitating verified deliveries
US11140156B2 (en) * 2019-07-16 2021-10-05 Mastercard International Incorporated Systems and methods for use in binding internet of things devices with identities associated with users
US11218494B2 (en) * 2019-07-26 2022-01-04 Raise Marketplace, Llc Predictive fraud analysis system for data transactions
US11165817B2 (en) * 2019-10-24 2021-11-02 Arbor Networks, Inc. Mitigation of network denial of service attacks using IP location services
FI3825880T3 (en) * 2019-11-20 2023-01-13 Protected iot device reset
US11503434B2 (en) * 2020-04-22 2022-11-15 CareBand Inc. Method and system for connectivity between a personal area network and an internet protocol network via low power wide area network wearable electronic device
US11606347B2 (en) 2020-08-27 2023-03-14 Cisco Technology, Inc. Determining session duration for device authentication
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5651064A (en) * 1995-03-08 1997-07-22 544483 Alberta Ltd. System for preventing piracy of recorded media
US5729608A (en) * 1993-07-27 1998-03-17 International Business Machines Corp. Method and system for providing secure key distribution in a communication system
US8510565B2 (en) * 2008-03-06 2013-08-13 China Iwncomm Co., Ltd. Bidirectional entity authentication method based on the credible third party
US8855312B1 (en) * 2012-06-29 2014-10-07 Emc Corporation Mobile trust broker

Family Cites Families (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6055637A (en) 1996-09-27 2000-04-25 Electronic Data Systems Corporation System and method for accessing enterprise-wide resources by presenting to the resource a temporary credential
JP2002247029A (ja) * 2000-02-02 2002-08-30 Sony Corp 認証装置、認証システムおよびその方法、処理装置、通信装置、通信制御装置、通信システムおよびその方法、情報記録方法およびその装置、情報復元方法およびその装置、その記録媒体
US20010044786A1 (en) * 2000-03-14 2001-11-22 Yoshihito Ishibashi Content usage management system and method, and program providing medium therefor
JP3678417B2 (ja) * 2002-04-26 2005-08-03 正幸 糸井 個人認証方法及びシステム
EP1385311B1 (en) * 2002-07-23 2008-05-28 Matsushita Electric Industrial Co., Ltd. Terminal apparatus, communication method, and communication system for authentication of users in a user group in a network
JP4599852B2 (ja) * 2004-02-23 2010-12-15 ソニー株式会社 データ通信装置および方法、並びにプログラム
JP2005267433A (ja) * 2004-03-19 2005-09-29 Fujitsu Ltd 利用者仮識別子を用いるネットワークサービスシステム
JP2005276122A (ja) * 2004-03-26 2005-10-06 Fujitsu Ltd アクセス元認証方法及びシステム
US8151110B2 (en) * 2004-08-05 2012-04-03 Digital Keystone, Inc. Methods and apparatuses for configuring products
WO2006035400A1 (en) * 2004-09-30 2006-04-06 Koninklijke Philips Electronics N.V. Method of authentication based on polynomials
US7613919B2 (en) * 2004-10-12 2009-11-03 Bagley Brian B Single-use password authentication
US7974234B2 (en) * 2004-10-22 2011-07-05 Alcatel Lucent Method of authenticating a mobile network node in establishing a peer-to-peer secure context between a pair of communicating mobile network nodes
JP4551202B2 (ja) * 2004-12-07 2010-09-22 株式会社日立製作所 アドホックネットワークの認証方法、および、その無線通信端末
EP1836792A1 (en) * 2004-12-30 2007-09-26 BCE Inc. System and method for secure access
CN101019125B (zh) * 2005-05-11 2010-06-16 索尼株式会社 服务器装置和关联登记设备的方法
US20090199009A1 (en) * 2005-06-07 2009-08-06 Pei Yen Chia Systems, methods and computer program products for authorising ad-hoc access
US20070186115A1 (en) 2005-10-20 2007-08-09 Beijing Watch Data System Co., Ltd. Dynamic Password Authentication System and Method thereof
EP1871065A1 (en) * 2006-06-19 2007-12-26 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Methods, arrangement and systems for controlling access to a network
US7949867B2 (en) * 2006-07-19 2011-05-24 Rel-Id Technologies, Inc. Secure communications
US8412947B2 (en) * 2006-10-05 2013-04-02 Ceelox Patents, LLC System and method of secure encryption for electronic data transfer
US9350716B2 (en) * 2007-03-20 2016-05-24 At&T Intellectual Property I, Lp System and method for authentication of a communication device
US7809785B2 (en) * 2007-05-28 2010-10-05 Google Inc. System using router in a web browser for inter-domain communication
US8010778B2 (en) * 2007-06-13 2011-08-30 Intel Corporation Apparatus and methods for negotiating a capability in establishing a peer-to-peer communication link
JP2008312048A (ja) * 2007-06-15 2008-12-25 Ripplex Inc 情報端末の認証方法
CN100488099C (zh) * 2007-11-08 2009-05-13 西安西电捷通无线网络通信有限公司 一种双向接入认证方法
JP5100368B2 (ja) * 2007-12-28 2012-12-19 パナソニック株式会社 無線通信端末および端末認識方法
US8209744B2 (en) * 2008-05-16 2012-06-26 Microsoft Corporation Mobile device assisted secure computer network communication
US8782406B2 (en) * 2008-07-04 2014-07-15 Dts Steering Group Ab Secure digital communications
US8321670B2 (en) 2008-07-11 2012-11-27 Bridgewater Systems Corp. Securing dynamic authorization messages
US8862877B2 (en) * 2008-08-12 2014-10-14 Tivo Inc. Data anonymity system
US8385913B2 (en) * 2008-09-08 2013-02-26 Proxicom Wireless, Llc Using a first wireless link to exchange identification information used to communicate over a second wireless link
US8539235B2 (en) * 2008-10-06 2013-09-17 Koninklijke Philips N.V. Method for operating a network, a system management device, a network and a computer program therefor
US20110010543A1 (en) * 2009-03-06 2011-01-13 Interdigital Patent Holdings, Inc. Platform validation and management of wireless devices
JP5293284B2 (ja) * 2009-03-09 2013-09-18 沖電気工業株式会社 通信方法、メッシュ型ネットワークシステム及び通信端末
CN102804676A (zh) * 2009-06-23 2012-11-28 松下电器产业株式会社 加密密钥发布系统
CN102215474B (zh) * 2010-04-12 2014-11-05 华为技术有限公司 对通信设备进行认证的方法和装置
US20120011360A1 (en) * 2010-06-14 2012-01-12 Engels Daniel W Key management systems and methods for shared secret ciphers
DE102010044517A1 (de) 2010-09-07 2012-03-08 Siemens Aktiengesellschaft Verfahren zur Zertifikats-basierten Authentisierung
CN101984577B (zh) * 2010-11-12 2013-05-01 西安西电捷通无线网络通信股份有限公司 匿名实体鉴别方法及系统
US8839357B2 (en) * 2010-12-22 2014-09-16 Canon U.S.A., Inc. Method, system, and computer-readable storage medium for authenticating a computing device
US8559642B2 (en) * 2010-12-29 2013-10-15 Secureall Corporation Cryptographic communication with mobile devices
FR2970135A1 (fr) 2010-12-30 2012-07-06 France Telecom Procede d'authentification d'une premiere et d'une deuxieme entites aupres d'une troisieme entite
US8701169B2 (en) * 2011-02-11 2014-04-15 Certicom Corp. Using a single certificate request to generate credentials with multiple ECQV certificates
KR20150091188A (ko) * 2011-07-15 2015-08-07 알까뗄 루슨트 안전한 그룹 메시징
CN103312672A (zh) * 2012-03-12 2013-09-18 西安西电捷通无线网络通信股份有限公司 身份认证方法及系统
US9258275B2 (en) 2012-04-11 2016-02-09 Varmour Networks, Inc. System and method for dynamic security insertion in network virtualization
US20140013108A1 (en) * 2012-07-06 2014-01-09 Jani Pellikka On-Demand Identity Attribute Verification and Certification For Services
WO2014028516A1 (en) * 2012-08-16 2014-02-20 Kumar Himalesh Cherukuvada System and method for mobile or web-based payment/credential process
CN103714017B (zh) * 2012-10-09 2017-06-30 中兴通讯股份有限公司 一种认证方法、认证装置及认证设备
US9237133B2 (en) * 2012-12-12 2016-01-12 Empire Technology Development Llc. Detecting matched cloud infrastructure connections for secure off-channel secret generation
US9883388B2 (en) * 2012-12-12 2018-01-30 Intel Corporation Ephemeral identity for device and service discovery
US9460272B2 (en) * 2013-03-14 2016-10-04 Arris Enterprises, Inc. Method and apparatus for group licensing of device features
US9699185B2 (en) * 2014-01-31 2017-07-04 Panasonic Intellectual Property Management Co., Ltd. Unauthorized device detection method, unauthorized device detection server, and unauthorized device detection system
US9602486B2 (en) * 2014-03-31 2017-03-21 EXILANT Technologies Private Limited Increased communication security
US10552827B2 (en) 2014-09-02 2020-02-04 Google Llc Dynamic digital certificate updating
US9331989B2 (en) * 2014-10-06 2016-05-03 Micron Technology, Inc. Secure shared key sharing systems and methods
US20160156614A1 (en) 2014-11-28 2016-06-02 Hcl Technologies Limited Provisioning a device over an internet of things
US9635021B2 (en) * 2014-12-18 2017-04-25 Intel Corporation Trusted ephemeral identifier to create a group for a service and/or to provide the service
US10149156B1 (en) * 2015-12-18 2018-12-04 Amazon Technologies, Inc. Trusted caller identification
US9722803B1 (en) 2016-09-12 2017-08-01 InfoSci, LLC Systems and methods for device authentication
US10419226B2 (en) 2016-09-12 2019-09-17 InfoSci, LLC Systems and methods for device authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5729608A (en) * 1993-07-27 1998-03-17 International Business Machines Corp. Method and system for providing secure key distribution in a communication system
US5651064A (en) * 1995-03-08 1997-07-22 544483 Alberta Ltd. System for preventing piracy of recorded media
US8510565B2 (en) * 2008-03-06 2013-08-13 China Iwncomm Co., Ltd. Bidirectional entity authentication method based on the credible third party
US8855312B1 (en) * 2012-06-29 2014-10-07 Emc Corporation Mobile trust broker

Also Published As

Publication number Publication date
US10021100B2 (en) 2018-07-10
EA201990708A1 (ru) 2019-10-31
US10542002B2 (en) 2020-01-21
WO2018049116A1 (en) 2018-03-15
CN110169011A (zh) 2019-08-23
US9722803B1 (en) 2017-08-01
MX2019002625A (es) 2019-11-25
US20180077156A1 (en) 2018-03-15
AU2017323547A1 (en) 2019-05-02
EP3510723A4 (en) 2020-06-17
EA036987B1 (ru) 2021-01-25
EP3510723A1 (en) 2019-07-17
JP2019531567A (ja) 2019-10-31
CA3035921A1 (en) 2018-03-15
US20180367533A1 (en) 2018-12-20
KR102390745B1 (ko) 2022-04-25

Similar Documents

Publication Publication Date Title
US10542002B2 (en) Systems and methods for device authentication
US10419226B2 (en) Systems and methods for device authentication
US20210350013A1 (en) Security systems and methods for continuous authorized access to restricted access locations
US10057269B1 (en) Systems and methods for device verification and authentication
CA2968051C (en) Systems and methods for authentication using multiple devices
US9380058B1 (en) Systems and methods for anonymous authentication using multiple devices
WO2017003651A1 (en) Systems and methods for anonymous authentication using multiple devices
WO2019045914A1 (en) DEVICE AUTHENTICATION SYSTEMS AND METHODS
US11856105B1 (en) Secure multi-factor authentication system including identity verification of an authorized user
Mashima et al. User-centric handling of identity agent compromise

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant