KR20190136011A - 코어 네트워크 액세스 제공자 - Google Patents
코어 네트워크 액세스 제공자 Download PDFInfo
- Publication number
- KR20190136011A KR20190136011A KR1020197029654A KR20197029654A KR20190136011A KR 20190136011 A KR20190136011 A KR 20190136011A KR 1020197029654 A KR1020197029654 A KR 1020197029654A KR 20197029654 A KR20197029654 A KR 20197029654A KR 20190136011 A KR20190136011 A KR 20190136011A
- Authority
- KR
- South Korea
- Prior art keywords
- network
- node
- core network
- ledger
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 claims abstract description 93
- 238000004891 communication Methods 0.000 claims abstract description 89
- 230000008569 process Effects 0.000 claims abstract description 22
- 238000012545 processing Methods 0.000 claims description 47
- 230000009471 action Effects 0.000 claims description 10
- 238000013475 authorization Methods 0.000 claims description 4
- 230000008859 change Effects 0.000 description 23
- 230000006870 function Effects 0.000 description 23
- 238000013461 design Methods 0.000 description 17
- 230000001276 controlling effect Effects 0.000 description 11
- 238000007726 management method Methods 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 9
- 238000012544 monitoring process Methods 0.000 description 8
- 238000012795 verification Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000006855 networking Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000032258 transport Effects 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000007792 addition Methods 0.000 description 2
- 230000003292 diminished effect Effects 0.000 description 2
- 238000011156 evaluation Methods 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000001105 regulatory effect Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000001960 triggered effect Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229940079593 drug Drugs 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 229940014425 exodus Drugs 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000003012 network analysis Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2365—Ensuring data consistency and integrity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- H04L61/2076—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5076—Update or notification mechanisms, e.g. DynDNS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
-
- H04L2209/38—
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Automation & Control Theory (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
네트워크에 대해 액세스하는, 데이터 구조 및 디바이스와 같은, 노드를 제공하는 컴퓨터-구현 방법, 및 대응하는 네트워크 아키텍처가 개시된다. 적어도 하나의 코어 네트워크 액세스 제공자는 네트워크를 위한 프로토콜 스택의 계층에 걸쳐 네트워크에 대한 실시간 액세스를 제어하고, 그리고 네트워크 통신 어드레스를 액세스-요청 노드 또는 각각의 액세스-요청 노드에 순차적으로 할당한다. 할당된 네트워크 어드레스는 모든 네트워크-연결된 노드에 실시간으로 분산되는 순차적인 식별자 원장에서, 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 인코딩된다. 각각의 노드가 원장을 처리하여 순차적 무결성을 검증하고 그리고, 순차적 무결성 손실의 결정 시에, 손실을 유발하는 원장 기록이 식별되고 그리고 식별된 기록을 포함하는 경보가 네트워크에 걸쳐 노드로 브로드캐스팅된다. 코어 네트워크 액세스 제공자는 검증 단계에서 원장 기록을 식별하거나 또는 경보를 수신할 때, 식별된 원장 기록에 대응하는 네트워크 통신 어드레스가 할당되는 노드에 대한 네트워크 액세스를 취소한다.
Description
본 발명은 네트워크에 대한 데이터 처리 디바이스의 액세스를 관리하기 위한 시스템 및 방법에 관한 것이다. 더 구체적으로, 본 발명은 어드레스 프로토콜과 사용자의 아이덴티티 속성을 통합시키는 분산 원장을 통해 네트워크에 대한 데이터 처리 디바이스의 액세스를 관리하기 위한 시스템 및 방법에 관한 것이다.
오늘날 영구적인 또는 반영구적인 네트워킹된 사용 내 연산 디바이스는 종래의 컴퓨터 및 지난날의 랩톱을 훨씬 넘어, 개인용 통신 단말기, 예컨대, 스마트폰, 산업용 및 가정용 기기, 개인용 차량 및 심지어 장난감을 포함하는 많은 다른 디바이스(전부 공통으로 '사물 인터넷' 표현에서 '사물'로서 지칭됨)까지 확장되고, 이들의 총수는 20년 내지 30년의 비교적 짧은 기간 동안, 수십에서 수십만까지 이제는 적어도 수천만까지, 준-유비쿼터스 네트워크 연결의 배포와 병행해서 증가되었다.
이 개발 속도는 임의의 미리 결정된 때에 네트워킹된 사용 내 연산 디바이스의 총수의 정도까지 곧 또는 이미 계속 증가되어, 이들을 동시에 사용하는 인구를 수월하게 초과한다.
서로에 대해 본질적으로 관련되는 2개의 문제가 이 상황에서 발생한다. 첫째로, 네트워크의 임의의 특정한 노드에서, 인터넷에 연결된 컴퓨터, 마찬가지로 인터넷에 연결된 냉장고, 무선 네트워크에 연결된 스마트폰, 또는 양측 플랫폼의 개인용 사스(software-as-a-service session: SaaS) 세션일, 원격 노드와 연관된 사용자의 아이덴티티에 대한 신뢰도를 관련된 시간에서 확립하고, 그리고 시간 기간 동안 유지하는 것. 둘째로, 임의의 특정한 개인과 연관된 네트워크 노드의 계속 증가되는 수를 고려하면, 상이한 프로토콜하에서 작동하고 그리고 변동이 심한 인증 필요조건 및 수용력을 가진 다수의 네트워크에 걸쳐 이 신뢰도를 증가시키는 것.
위의 난점을 감소시킬 때 최근의 시도는 검증 목적을 위해 상당한 양의 컴퓨터 처리 능력을 소비하도록 알려진, 그리고 다양한 응용 맥락에 대한 조정을 위해 제한된 융통성을 나타내는, 블록체인-기반 기술에 의존한다. 게다가, 인터넷의 본질적으로 익명의 설계는 노드-지향 해결책의 경우에 기술의 중립을 발생시킨다: TCP/IP 프로토콜에서, 데이터 전송자는 잠재적으로 익명이고, 그리고 정보가 복원력, 편리함 및 유효성의 목적을 위해, 네트워크가 아닌 노드에 있다. 이 설계 구조가 네트워크-와이드 인증을 방지하여, 예를 들어, 전송 계층 보안 프로토콜을 사용하는 것 대신에 세션-특정한 인증을 요구한다.
위의 문제에 대한 기술 해결책의 연구는 아이덴티티 제어의 관리 맥락 그리고 개인용 또는 국가 보안 고려사항 외부에서 정기적으로 계속 진행 중이다. 디지털 영역과 관리 구조, 예컨대, 경계, 국적 및 다른 관할권 규칙 간의 이 연결 해제는 보안 목적을 위한 감시 및 네트워크 데이터 회계 감사에 전용인 상당한 정부 자원을 발생시키는데, 이것은 디지털 네트워크 내 경계 및 사용자 책임을 시도 및 시행하는 것이 여전히 매우 비현실적이기 때문이다.
인증, 책임 및 준수 모니터링은 안정한, 예측 가능한 그리고 안전한 환경을 위한 전제조건이다. 따라서, 이산형 엔티티 애드혹(ad hoc)에 대한 태스크를 연기하기보다는, 사용자, 디바이스 및/또는 데이터 구조 아이덴티티를 인증 및 모니터링하기 쉬운 스케일러블 네트워크 아키텍처가 위의 관점에서 바람직하다.
본 발명은 정보, 통신, 트랜잭션 무결성 및 보안을 위한 원장 및 시스템을 포함하는 네트워크 아키텍처에 관한 것이고, 이는 원장 및 시스템에 대한 사용자 액세스 및 상호작용을 제어하기 위한 통신 네트워크 내 인프라스트럭처의 최하부 계층을 포함하는, 모든 계층과 인터페이싱되는 하나 이상의 코어 네트워크 액세스 제공자(core network access provider: CNAP)에 의해 수행되는 방법론에 의해 구현되고, 원장 중 하나는 노드, 시스템 및 통신 어드레스의 아이덴티티의 분산 원장을 사용자 또는 노드의 아이덴티티 속성 및 어드레스 프로토콜과 통합한다. 본 발명은 시스템, 네트워크 및 원장의 사용을 제어하도록 통신 네트워크 내 인프라스트럭처의 상이한 계층 및 부착된 시스템, 네트워크 및 원장을 사용하여 정보, 통신, 트랜잭션, 아이덴티티 및 액세스 무결성과 보안을 위한 권한 및 정책 시행을 가진 시스템, 네트워크 및 원장의 설계를 가능하게 하는 아키텍처 및 운영 시스템에 관한 것이다. 방법은 전부 다른 플랫폼, 애플리케이션, 원장 및 네트워크와 상호 운용할 수 있는 신뢰하는 시스템에 대한 승인된 액세스를 위해 사용되는 코어 네트워크 액세스 제공자(CNAP) 시스템에 의해 수행된다.
따라서, 본 발명의 양상에 따르면, 네트워크(네트워크, 및/또는 네트워크에 연결된 임의의 다른 노드에서 실행되거나 또는 이에 부착되는 네트워크 기반 시스템 또는 시스템들)에 대해 액세스하는 네트워크의 각각의 노드를 제공하는 컴퓨터-구현 방법이 제공되고, 네트워크는 복수의 계층을 포함하는 적어도 하나의 프로토콜 스택을 포함하고, 방법은 적어도 하나의 코어 네트워크 액세스 제공자에 의해 프로토콜 스택의 각각의 계층의 네트워크에 대한 실시간 액세스 및 행위를 제어하는 단계로서, 코어 네트워크 액세스 제공자는 적어도 하나의 디지털 및/또는 물리적 엔티티를 포함하는, 제어하는 단계; 네트워크 통신 어드레스를 코어 네트워크 액세스 제공자에서의 액세스-요청 노드 또는 각각의 액세스-요청 노드에 순차적으로 할당하는 단계; 무결성 식별자 원장에서, 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 코어 네트워크 액세스 제공자에서의 할당된 네트워크 통신 어드레스를 인코딩하는 단계; 무결성 식별자 원장을 실시간으로 각각의 네트워크-연결된 노드로 분산하는 단계; 분산된 식별자 원장을 수신하고 그리고 분산된 식별자 원장을 각각의 네트워크-연결된 노드 또는 하나 이상의 인증된 노드에서 처리하여 모든 관련된 양상과 관련된 무결성을 검증하는 단계; 원장 내 무결성의 손실의 결정 시에, 손실을 유발하는 원장 기록을 식별하고 그리고 식별된 원장 기록을 포함하는 경보를 각각의 네트워크-연결된 노드 또는 하나 이상의 인증된 노드로 브로드캐스팅하는 단계; 및 무결성의 손실을 유발하는 원장 기록을 식별하거나 또는 경보를 코어 네트워크 액세스 제공자에서 수신할 때, 네트워크 및 네트워크에 연결된 노드 및 식별된 원장 기록에 대응하는 식별자를 가진 노드 또는 통신 어드레스를 가진 노드를 위한 시스템에 대한 액세스를 취소 또는 제어하는 단계를 포함한다. 모든 관련된 양상과 관련된 무결성은 순차적인, 아이덴티티 요인 및 과정 무결성을 포함할 수도 있다. 하나의 실시형태에서, 이것은 모니터링될 수 있거나 또는 CNAP 내 임의의 다른 기능 또는 다른 부착된 시스템 능력을 갖는다. 하나의 실시형태에서, 코어 네트워크 액세스 제공자는 상이한 시스템에 대한 액세스 및 작동 필요조건에 관한 정보 및 이 CNAP 능력의 사용을 제어하는 조건을 포함하는 정보 및 컴퓨터 프로그램을 수신하기 위해 구성된다. 하나의 실시형태에서, 무결성 식별자 원장을 실시간으로 각각의 네트워크-연결된 노드로 분산하는 것은 인증된 CNAP, 시스템 명세서(예를 들어, 은행의 군)에 의해 미리 설정된 사용자/노드의 군, 또는 각각의 네트워크 연결된 노드와 관련된다. 하나의 실시형태에서, 무결성의 검증은 사용자 식별 속성(예를 들어, 아이덴티티/IP/기계 코드)의 변화 또는 위반을 즉시 검출하고 그리고 노드의 미리 설정된 시스템에 따라 반응(예컨대, 위반한 사용자의 CNAP 차단 또는 액세스 데이터베이스 차단 또는 사용자를 제한)하는 능력을 더 포함한다. 하나의 실시형태에서, 하나 이상의 인증된 노드는 노드가 무결성이 부족한 것으로서 식별된다면 경보될 수도 있다.
본 발명의 방법은 분산형 투명 원장 기술, 통신 계층과 통신 네트워크에 고유한 식별 가능한 속성, 및 디바이스와 디바이스에 연결된 시스템을 결합 및 통합하여, 식별을 획득하고 그리고 원장의 참여 노드에게 즉시 보이는 상태의 임의의 변경을 행한다. 원장은 하나 이상의 코어 네트워크 액세스 제공자에 의해 작동되고 그리고 하나 이상의 코어 네트워크 액세스 제공자를 통해 전반적으로 액세스되고, 코어 네트워크 액세스 제공자 중 전부 또는 일부는 다수의 플레이어 또는 단일의 기관에 의해 제어되는 공통 플랫폼에 의해 관리될 수 있다.
본 발명의 방법론에 대해, 코어 네트워크 액세스 제공자는 물리적 및 가상 네트워크에 걸쳐 노드의 전체 제어 및 이의 능력 및 기능을 갖거나 또는 획득할 수 있다. 원장 또는 시스템에 대해 각각의 코어 네트워크 액세스 제공자에 의해 구현되는 액세스 시스템이 승인될 때, 액세스가 코어 네트워크 액세스 제공자로부터 관리되는 시스템 및 원장이 인터넷과 같은 광역 네트워크에 걸쳐 모든 참여 네트워크에서 명시 및 시행될 수 있다. 각각의 코어 네트워크 액세스 제공자가 인증 액세스의 중심점으로서 사용되는데, 이는 이들이 네트워크의 물리적 및 가상 기능 및 이의 사용을 제어하도록 조정되기 때문이고, 코어 네트워크 액세스 제공자가 인터넷과 같은 전체 광역 네트워크를 제어할 수 없을지라도, 이들은 또한 시스템의 사용을 제어할 수 있다. 이들은 사용자 및 네트워크, 시스템 및 원장 또는 이의 부분에 대한 액세스를 사용자에게 제공할 수 있는 조건을 제어할 수 있다. 이것을 통해서, 전체 광역 네트워크에 대한 사용자의 액세스가 사용자의 CNAP로부터 제어될 수 있다. 점점 더 많은 CNAP가 상이한 시스템, 네트워크 및 원장 조건을 준수함에 따라, 상이한 시스템 통합 및 시행이 증가하는 수의 사용자 및 증가하는 지리학적 영역에 걸쳐 퍼진다.
따라서, 본 발명의 방법은 유리하게는 더 넓은 네트워크 내 네트워크의 표준을 설정하고, 인증이 강요될 수 있고 그리고 안전한 키 위반 통지가 모든 통신에 걸쳐 적절한 책임 및 무결성을 위해 설치된다. 코어 네트워크 액세스 제공자의 기본 네트워크 아키텍처 및 능력, 원장 및 시스템에 대한 액세스 기술 및 본 발명의 원장의 특징은 전부 확정성 및 구현의 용이함, 증가된 융통성 및 상이한 시스템과 원장 간의 상호운용성을 허용하는 네트워크 아키텍처를 발생시킨다. 원장 및 CNAP는 시퀀스의 무결성 및 모든 등록된 아이덴티티 속성의 무결성을 (암호학적으로, 물리적으로, 디지털적으로, 또는 다른 속성 등으로) 검증한다. 이것은 원장의 상태 및 아이디를 노드가 원장에 대해 액세스하는 것을 분명하게 하는 일없이 변경하는 것을 불가능하게 할 것이다. 아이덴티티 위반의 경보 및 원장의 분산과 관련된 이 통신은 암호화되고 그리고 메시지 전달을 보장하는 전용 시스템 및/또는 회로 전환형 네트워크를 사용할 수 있다.
방법의 실시형태에서, 네트워크 통신 어드레스를 순차적으로 할당하는 단계는 바람직하게는 데이터 구조 또는 디바이스/하드웨어의 적어도 하나의 고유 매개변수 및/또는 데이터 처리 디바이스 사용자의 적어도 하나의 고유 매개변수와 하나 이상의 미리 결정된 액세스 매개변수를 매칭하는 것을 더 포함한다. 미리 결정된 액세스 매개변수 또는 각각의 미리 결정된 액세스 매개변수는 유리하게는 위성 위치 확인 시스템(global positioning system: GPS) 좌표, 네트워크 인터페이싱 지점의 지리학적 좌표, 대륙별 인터넷 레지스트리(regional internet registries: RIR)에 의해 발행된 IP 어드레스 또는 자율 시스템 번호, 애플리케이션 서비스 제공자(application service provider: ASP)에 의해 발행된 세션 키 또는 허가 토큰을 포함하는 군으로부터 선택될 수도 있다.
바람직하게는, 예를 들어, MAC 어드레스, IP 어드레스 및 다른 고정 또는 반고정 기술 식별자의 근본적인 실체가 암호로 도출되고, 통합되고, 해시되고 그리고/또는 가상 식별자에 부착되어, 물리적 네트워크 프로토콜, 소켓 어드레스, 포트 번호, 또는 이러한 관련된 정보에 대응하는 다른 데이터 구조의 잠재적인 변화가 원장에서 보일 것이다. 이에 따라, 방법의 실시형태에서, 인코딩하는 단계는 바람직하게는 인코딩된 네트워크 통신 어드레스, 노드 고유 매개변수 및 노드 사용자 고유 매개변수를 해시하는 것을 더 포함하고, 그리고 무결성 식별자 원장은 블록체인 데이터 구조이다. 방법의 대안적인 실시형태에서, 인코딩하는 단계는 대신에 또는 또한, 할당된 네트워크 통신 어드레스를 디지털 서명 또는 디지털 키로 처리하는 추가의 단계를 포함할 수도 있다. 방법의 대안적인 실시형태에서, 해시는 기본 물리적 통신 어드레스 및/또는 다른 아이덴티티 속성에 암호로 부착되고 그리고 근본적인 실체의 변화는 해시를 파괴할 것이고 그리고 원장에 경보될 것이다.
바람직하게는, 코어 네트워크 액세스 제공자는 코어 네트워크 액세스 제공자가 코어 네트워크 액세스 제공자와 네트워크 노드 둘 다에 적용 가능한, 네트워크에 연결된 시스템의 사용을 위한 관리 조건 및 특정한 기술을 준수한다면, 작동, 따라서, 네트워크 또는 시스템에 대한 액세스의 승인 또는 방지를 위해 인증되어야 한다. 상이한 시스템은 코어 네트워크 액세스 제공자에 대한 상이한 조건이 수용되길 요구할 수 있다. 이러한 조건은 네트워크 및 노드에 의한 네트워크의 사용을 제어하도록 이용 가능한, 코어 네트워크 액세스 제공자의 능력 중 하나 또는 전부의 하나 이상의 특유의 기능과 관련될 수 있다. 일부 시스템은 코어 네트워크 액세스 제공자가 모든 자원을 배포하여 네트워크에 대한 기능 및 행위를 제어, 향상 또는 중단하게 요구할 수도 있다.
이에 따라, 방법의 실시형태는 하드웨어 속성, 소프트웨어 속성, 통신 속성으로부터 선택된 미리 결정된 코어 네트워크 액세스 제공자 속성의 리스트 및 규칙세트에 따라 적어도 하나의 네트워크-연결된 노드를 제2 코어 네트워크 액세스 제공자로서 인증하는 추가의 단계를 포함할 수도 있다.
일부 시스템은 또한 또는 대안적으로, 복수의 이미-인증된 코어 네트워크 액세스 제공자가 인증을 위해 투표해야 하고, 그리고 이에 의해 새로운 코어 네트워크 액세스 제공자를 인증하는, 투표 필요조건으로서 복수의 이미-인증된 코어 네트워크 액세스 제공자에 대한 인증 태스크를 구현 또는 연기할 수도 있다. 다양한 네트워크 시스템의 누적 조건을 준수하는 인증된 코어 네트워크 액세스 제공자의 수가 증가됨에 따라, 네트워크 및 네트워크의 세분 부분에 걸친 시스템 시행 및 노드의 무결성의 시행이 유리하게는 증가된다.
이에 따라, 인증하는 추가의 단계를 포함하는 방법의 실시형태에서, 복수의 코어 네트워크 액세스 제공자를 포함하는 네트워크에서, 네트워크-연결된 노드를 추가의 코어 네트워크 액세스 제공자로서 인증하는 단계는 바람직하게는 복수의 코어 네트워크 액세스 제공자의 각각에서 노드를 인증하도록 투표하는 단계를 더 포함한다. 하나의 실시형태에서, 노드 또는 CNAP 간의 투표 시스템은 새로운 CNAP가 복수의 또는 모든 기존의 CNAP에 의해 승인되어야 하는 경우를 포함한다.
인증하는 추가의 단계를 포함하는 방법의 실시형태는 각각의 코어 네트워크 액세스 제공자를 지리학적으로 위치 설정하는 추가의 단계를 포함할 수도 있다.
인증하는 추가의 단계를 포함하는 방법의 실시형태는 코어 네트워크 액세스 제공자가 CNAP가 준수해야 하는 시스템, 네트워크 및 원장의 미리 결정된 코어 네트워크 액세스 제공자 속성의 리스트의 하나 이상의 속성을 유지하는데 실패할 때 코어 네트워크 액세스 제공자를 인증 취소하는 추가의 단계를 포함할 수도 있다. 하나의 실시형태에서, 이 추가의 단계는 원장 또는 시스템을 이루고 그리고 시스템 또는 원장을 위해 인증되는 모든 CNAP에서 기능하는 컴퓨터 프로그램과 관련된 자동 기술 과정에 의해 CNAP 및 CNAP의 노드/사용자에 대한 액세스를 취소하는 것을 포함할 수도 있다.
본 발명의 또 다른 양상에 따르면, 시스템이 또한 제공되고, 시스템은 복수의 계층을 포함하는 적어도 하나의 프로토콜 스택; 프로토콜 스택의 각각의 계층과 작동 가능하게 인터페이싱되고 그리고 네트워크에 부착된 시스템, 하위 네트워크 및 원장에 관한 정보를 수신하기 위해 그리고 네트워크에 대한 노드의 실시간 액세스 그리고 네트워크 상의 노드의 행위를 제어하도록 구성되는 적어도 하나의 코어 네트워크 액세스 제공자로서, 코어 네트워크 액세스 제공자는 적어도 하나의 디지털 및/또는 물리적 엔티티를 포함하는, 적어도 하나의 코어 네트워크 액세스 제공자; 네트워크에 연결된 하나 이상의 노드로서, 네트워크 액세스를 요청할 때 코어 네트워크 액세스 제공자에 의해 네트워크 통신 어드레스가 노드 또는 각각의 노드에 순차적으로 할당되는, 네트워크에 연결된 하나 이상의 노드; 및 각각의 노드에 대해, 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 인코딩되는 할당된 네트워크 통신 어드레스를 포함하는 무결성 식별자 원장으로서, 무결성 식별자 원장은 각각의 네트워크 연결된 노드로 실시간으로 분산되는, 무결성 식별자 원장을 포함하되; 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자 및 각각의 노드는 수신된 원장을 처리하여 무결성을 검증하고 무결성의 손실을 유발하는 원장 기록을 식별하고 네트워크에 걸쳐 식별된 원장 기록을 포함하는 경보를 브로드캐스팅하도록 더 구성되고; 그리고 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 예를 들어, 식별된 원장 기록에 대응하는 네트워크 통신 어드레스를 가짐으로써, 손실된 무결성을 가진 노드를 위한 네트워크 또는 특정한 시스템 또는 다른 노드에 대한 액세스를 취소 또는 제어하도록 더 구성된다. 실시형태에서, 프로토콜 스택의 각각의 계층과 인터페이싱되는 적어도 하나의 코어 네트워크 액세스 제공자는 네트워크에 대한 노드의 실시간 액세스를 제어하고 그리고 네트워크 상의 노드의 가능한 행위를 제어하도록 구성된다. 실시형태에서, 기본 노드 아이덴티티에 대한 불일치가 있다면, 경보가 원장으로 전송된다. 아이덴티티의 변화는 CNAP에 의해 또는 직접적으로 원장에서 검출될 수 있다.
시스템의 실시형태에서, 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 각각의 노드 사용자의 하나 이상의 고유 매개변수(들)의 정확도를 검증하도록 더 구성될 수도 있고, 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자에 의해 할당 가능한 네트워크 통신 어드레스의 최대 수는 이때 검증된 아이덴티티의 수와 같다.
시스템의 또 다른 실시형태에서, 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 노드에 할당된 각각의 네트워크 통신 어드레스를 디지털 서명 또는 디지털 키로 처리하도록 더 구성될 수도 있다.
본 명세서에 개시된 방법 및 시스템의 임의의 실시형태에서, 노드의 고유 매개변수 또는 각각의 고유 매개변수는 바람직하게는 매체 액세스 제어(media access control: MAC) 어드레스, 국제 모바일 장비 아이덴티티(international mobile equipment identity: IMEI) 코드, 모바일 장비 식별자(mobile equipment identifier: MEID) 코드, 장치 일련번호(electronic serial number: ESN), 안드로이드_ID 헥스 문자열(Android_ID hex string) 또는 하드웨어가 네트워크에서 통신하게 하는 식별자의 다른 유형을 포함하는 군으로부터 선택된다.
본 명세서에 개시된 방법 및 시스템의 임의의 실시형태에서, 노드 사용자의 고유 매개변수 또는 각각의 고유 매개변수는 바람직하게는 위성 위치 확인 시스템(global positioning system: GPS) 좌표, 생체 데이터, 개인용 식별 번호(personal identification number: PIN), 패스워드, 패스포트 일련번호, 보편적 고유 식별자(universally unique identifier: UUID) 또는 사용자를 식별할 수 있는 식별자의 임의의 다른 유형을 포함하는 군으로부터 선택된다.
본 발명의 또 다른 양상에 따르면, 본 명세서에 개시된 방법론의 사용을 위해, 그리고 본 명세서에 개시된 네트워크 아키텍처에서, (a) CNAP, (b) CNAP의 통신, 등록 및 처리 데이터베이스/서버(300), (c) 모든 CNAP 능력, (d) 외부 시스템, 네트워크, 데이터베이스, 원장 및 다른 연결된 시스템 및 노드, (e) 사용자 아이덴티티 원장에서, 적어도 하나의 네트워크 통신 어드레스, 네트워크 노드의 적어도 하나의 고유 매개변수 및 네트워크 노드 사용자의 적어도 하나의 고유 매개변수를 포함하는 데이터 구조가 또한 제공된다. 이것은 시스템의 설계에 따라 작동되도록 모든 이 컴포넌트 및 부착된 시스템을 위한 CNAP로 구현 및 등록될 수 있는 시스템, 네트워크 및 원장을 설계하기 위한 프레임워크(framework)를 제공한다. CNAP(300)의 수신 및 처리 데이터베이스는 외부 통신을 위해 구성되고, 위에서 언급한 능력 및 외부 시스템 및 원장과 인터페이스하는 컴퓨터 프로그램을 등록, 저장, 업데이트 및 실행할 수 있다. 데이터베이스(300)는 데이터 프로그램/시스템이 모든 내부 및 외부 능력을 활용하게 하는 운영 시스템을 갖는다. 운영 시스템은 통신 구성, 프로그램/시스템 등록, 구현 및 업데이트 시스템, 정보 처리부, 및 등록된 프로그램/시스템을 실행 (예를 들어, 액세스 및 차단 조건)하기 위한 모든 능력 및 시스템과의 인터페이스를 포함한다. CNAP(300)는 네트워크, 시스템 및 원장에 걸쳐 그리고 기술 수단의 상이한 계층을 통해 기능을 암시하는 시스템을 쉽게 배포하고 업데이트할 수 있는 지능 허브를 제공한다. 시스템/프로그램 설계(필요조건 및 조건)는 데이터 프로그램을 통해 CNAP(300)로 구현되어 CNAP 능력을 작동시켜서 시스템 소유자(예를 들어, 정부, 회사, 단체, 사람, 컨소시엄 등)가 요구하고 설계하는 시스템에 대한 지원을 제공한다. CNAP(300)의 운영 시스템에서 실행되도록 설계되는 시스템, 네트워크 및 원장과 관련된 네트워크에 걸친 프로그램의 준수 및 통합된 성능을 보장하기 위해서, 운영 시스템 및/또는 운영 시스템에서 실행되는 프로그램이 완전히 또는 부분적으로 개방형 소스가 될 수 있어서 모든 변화가 모든 인증된 노드에 분산된다. CNAP(300) 모듈은 또한 다른 인증된 CNAP가 상이한 시스템의 실제 실시간 작동 및 통신을 제어할 수 있도록 완전히 또는 부분적으로 투명하게 될 수 있다. 프로그램은 의도한 방식으로만 기능하거나 또는 조작된 경우 자체 파괴되도록 설계될 수 있다. 제삼자, 노드의 군 또는 다른 독립적인 시스템도 또한 CNAP를 위한 프로그램을 관리 할 수 있다. 인증된 CNAP 및 해당 사용자는 액세스하는 프로그램/시스템을 지속적으로 준수해야 한다. 프로그램은 사전 설계된 시스템이 자동으로 시행되게 하여 CNAP 및 사용자 모두가 자동으로 액세스 권한을 잃는 일 없이 시스템의 조건을 위반할 수 없도록 설계될 수도 있다. CNAP는 능력과 외부 장치와의 인터페이스를 통해 시스템/프로그램을 등록하고 시행하여 상이한 프로그램/시스템 및 상이한 사용자를 준수한다. 식별자 원장 시스템은 CNAP가 원장에 사용자를 등록하는 일없이 통신 어드레스를 할당할 수 없도록 기능할 수 있다. 원장 및 기본 정보와 관련된 과정 및 모든 속성을 모든 인증된 노드에 대해 투명하게 할 수 있다. 모든 위반은 발생하는 대로 원장에 분산된다. 원장에 대한 정보에 액세스하는 노드는 시스템/프로그램 (예를 들어, 오직 인증된 CNAP, 노드 및 데이터베이스의 군, 모든 사용자를 포함한 모든 연결된 노드)에서 규제될 수 있다. CNAP는 정보를 시스템, 네트워크 및 원장 기능 및 통신에 제공하는 작동 조건 및 상이한 액세스를 가진 다수의 네트워크, 시스템 및 원장에 개재되는 게이트키퍼(gatekeeper)이다. CNAP(300)에서 구현될 수 있는 프로그램/시스템의 잠재적인 설계는 CNAP, 그 능력 및 연결된 시스템이 증가함에 따라 증가한다. 이 시스템은 아이덴티티 원장과 CNAP(300) 운영 시스템을 통해 상호 운용한다. CNAP는 시스템, 네트워크, 양측 사용자 간의 인증 및 액세스의 무결성을 보장한다. 이를 통해 CNAP의 능력을 활용할 수 있는 시스템 및 네트워크 설계 기회가 증가한다. 네트워크(WAN) 내의 네트워크, 시스템 및 원장은 상이한 사용자를 위해 설계될 수 있다. 네트워크, 시스템 및 원장은 CNAP, id 원장 및 외부 연결 시스템을 통해 상호 운용할 수 있다. 따라서 id 원장과 CNAP는 네트워크에 연결된 시스템, 원장, 애플리케이션 및 하위 네트워크 간의 연동을 위한 플랫폼을 제공한다. 따라서, 본 발명은 네트워크 및 그 연결된 시스템, 하위 네트워크 및 원장에서의 사용 및 액세스를 위한 필요조건 및 매개변수를 갖는, 프로그램 및 시스템을 수신 및 저장하기 위한 인터페이스를 제공한다. 따라서, 본 발명의 양상에 따르면, 네트워크(및 네트워크 기반 시스템 또는 네트워크에서 실행되거나 또는 네트워크에 부착되는 시스템)에 액세스하는 네트워크의 각각의 노드를 제공하는 컴퓨터-구현 방법이 제공되고, 방법은 적어도 하나의 코어 네트워크 액세스 제공자에 의해 프로토콜 스택의 계층에 걸쳐 네트워크에 대한 실시간 액세스를 제어하는 단계; 네트워크 통신 어드레스를 코어 네트워크 액세스 제공자에서의 액세스-요청 노드 또는 각각의 액세스-요청 노드에 순차적으로 할당하는 단계; 순차적인 식별자 원장에서, 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 코어 네트워크 액세스 제공자에서의 할당된 네트워크 통신 어드레스를 인코딩하는 단계; 순차적인 식별자 원장을 실시간으로 각각의 네트워크-연결된 노드로 분산하는 단계; 분산된 식별자 원장을 수신하고 그리고 분산된 식별자 원장을 각각의 네트워크-연결된 노드에서 처리하여 순차적 무결성을 검증하는 단계; 순차적 무결성의 손실의 결정 시에, 손실을 유발하는 원장 기록을 식별하고 그리고 식별된 원장 기록을 포함하는 경보를 각각의 네트워크-연결된 노드로 브로드캐스팅하는 단계; 및 순차적 무결성의 손실을 유발하는 원장 기록을 식별하거나 또는 경보를 코어 네트워크 액세스 제공자에서 수신할 때, 식별된 원장 기록에 대응하는 네트워크 통신 어드레스를 가진 노드 또는 IP를 가진 노드를 위한 네트워크에 대한 액세스를 취소하는 단계를 포함한다. 본 발명의 또 다른 양상에 따르면, 네트워크 아키텍처가 또한 제공되고, 네트워크 아키텍처는 적어도 하나의 프로토콜 스택; 프로토콜 스택의 각각의 계층과 인터페이싱되고 그리고 네트워크에 대한 노드의 실시간 액세스; 네트워크에 연결된 하나 이상의 노드를 제어하도록 구성되는 적어도 하나의 코어 네트워크 액세스 제공자로서, 네트워크 액세스를 요청할 때 코어 네트워크 액세스 제공자에 의해 네트워크 통신 어드레스가 노드 또는 각각의 노드에 순차적으로 할당되는, 적어도 하나의 코어 네트워크 액세스 제공자; 및 각각의 노드에 대해, 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 인코딩되는 할당된 네트워크 통신 어드레스를 포함하는 순차적인 식별자 원장으로서, 순차적인 식별자 원장은 각각의 네트워크 연결된 노드로 실시간으로 분산되는, 순차적인 식별자 원장을 포함하고; 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자 및 각각의 노드는 수신된 원장을 처리하여 순차적 무결성을 검증하고, 순차적 무결성의 손실을 유발하는 원장 기록을 식별하고, 네트워크에 걸쳐 식별된 원장 기록을 포함하는 경보를 브로드캐스팅하도록 더 구성되고; 그리고 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 식별된 원장 기록에 대응하는 네트워크 통신 어드레스를 가진 노드를 위한 네트워크에 대한 액세스를 취소하도록 더 구성된다.
본 발명의 다른 양상은 첨부된 청구항에서 언급된 바와 같다.
본 발명은 첨부 도면을 참조하여, 단지 실시예로써 제공되는, 본 발명의 실시형태의 다음의 설명으로부터 더 분명히 이해될 것이다:
도 1은 코어 네트워크 액세스 제공자에 연결된 복수의 노드를 포함하는, 본 발명의 실시형태에 따른 네트워크 아키텍처의 논리 표현을 도시하는 도면.
도 2는 광역 네트워크 내에 배포되는, 도 1의 네트워크의 논리 표현을 도시하는 도면.
도 3은 각각의 액세스-요청 노드에 대한 도 1 및 도 2의 네트워크의 프로토콜 스택에 걸쳐 수행되는, 코어 네트워크 액세스 제공자의 예시적인 능력의 개요를 도시하는 도면.
도 4는 도 1 내지 도 3의 네트워크 내 코어 네트워크 액세스 제공자 및 네트워크-연결된 노드에 의해 유지되는, 본 발명에 따른 예시적인 무결성 식별자 원장을 도시하는 도면.
도 5는 복수의 코어 네트워크 액세스 제공자 및 다른 시스템, 네트워크, 원장 및 애플리케이션과의 인터페이스에 걸쳐 네트워크 아키텍처 및 무결성 식별자 원장의 스케일링(scaling)을 예시하는 도면.
도 6은 코어 네트워크 액세스 제공자에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도.
도 7은 네트워크 내 각각의 노드에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도.
도 8은 네트워크 내 복수의 코어 네트워크 액세스 제공자에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 2개의 대안적인 실시형태의 논리도.
도 9는 복수의 코어 네트워크 액세스 제공자의 각각에 대한 제1 지리적 위치 방법론을 예시하는 도면.
도 10은 복수의 코어 네트워크 액세스 제공자의 각각에 대한 제2 지리적 위치 방법론을 예시하는 도면.
도 1은 코어 네트워크 액세스 제공자에 연결된 복수의 노드를 포함하는, 본 발명의 실시형태에 따른 네트워크 아키텍처의 논리 표현을 도시하는 도면.
도 2는 광역 네트워크 내에 배포되는, 도 1의 네트워크의 논리 표현을 도시하는 도면.
도 3은 각각의 액세스-요청 노드에 대한 도 1 및 도 2의 네트워크의 프로토콜 스택에 걸쳐 수행되는, 코어 네트워크 액세스 제공자의 예시적인 능력의 개요를 도시하는 도면.
도 4는 도 1 내지 도 3의 네트워크 내 코어 네트워크 액세스 제공자 및 네트워크-연결된 노드에 의해 유지되는, 본 발명에 따른 예시적인 무결성 식별자 원장을 도시하는 도면.
도 5는 복수의 코어 네트워크 액세스 제공자 및 다른 시스템, 네트워크, 원장 및 애플리케이션과의 인터페이스에 걸쳐 네트워크 아키텍처 및 무결성 식별자 원장의 스케일링(scaling)을 예시하는 도면.
도 6은 코어 네트워크 액세스 제공자에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도.
도 7은 네트워크 내 각각의 노드에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도.
도 8은 네트워크 내 복수의 코어 네트워크 액세스 제공자에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 2개의 대안적인 실시형태의 논리도.
도 9는 복수의 코어 네트워크 액세스 제공자의 각각에 대한 제1 지리적 위치 방법론을 예시하는 도면.
도 10은 복수의 코어 네트워크 액세스 제공자의 각각에 대한 제2 지리적 위치 방법론을 예시하는 도면.
다음의 설명에서, 설명을 위해서, 구체적인 상세사항이 본 발명의 이해를 제공하도록 제시된다. 숙련된 독자는 본 명세서에 개시되는 본 발명의 원리가 이 구체적인 상세사항을 포함하는 일없이 수행될 수도 있고, 그리고 본 발명의 실시형태가 유형의 컴퓨터-판독가능 매체에서 과정, 장치, 시스템, 디바이스, 또는 방법으로서 다양하게 구현될 수도 있다는 것을 쉽게 이해할 것이다.
도면에 도시된 컴포넌트 및/또는 모듈은 본 발명의 예시적인 실시형태의 실례가 되고 그리고 본 명세서에 개시된 본 발명의 원리의 이해를 용이하게 하도록 도시 및 설명된다. 숙련된 독자는 이러한 컴포넌트 및/또는 모듈이 개별적인 컴포넌트로서 구현될 수도 있거나 또는 더 작은 또는 더 큰 정도로 통합되어, 단일의 시스템 또는 컴포넌트 내에 포함될 수도 있고; 이러한 컴포넌트 및/또는 모듈이 소프트웨어, 하드웨어 또는 이들의 조합으로 구현될 수도 있고; 그리고 본 명세서에 설명된 기능 또는 작동이 컴포넌트로서 구현될 수도 있다는 것을 쉽게 이해할 것이다.
도면에서 컴포넌트, 모듈, 시스템 또는 디바이스 간의 연결에 대한 본 명세서의 언급은 직접적인 연결로 제한되도록 의도되지 않고, 하나 이상의 중간의 디바이스를 통한 간접적인 연결, 무선 연결로 확장될 수도 있고, 그리고 부가적인 연결부 또는 더 적은 연결부가 사용될 수도 있다. 메시지, 블록 및 데이터에 대한 본 명세서의 언급은 네트워크에 걸쳐 통신할 수 있는 비트의 군과 관련된다. 이 용어는 임의의 특정한 구성으로 본 발명의 실시형태를 제한하는 것으로서 해석되지 않아야 하고, 그리고 데이터 트래픽, 정보, 및 비트의 군을 나타내는 임의의 다른 전문용어와 같은 이러한 용어로 서로 바꿔서 사용 또는 대체될 수도 있다. 실시형태에 대한 본 명세서의 언급은 특정한 특징부, 구조, 특성, 또는 실시형태와 연관되어 설명된 기능이 1개 초과의 실시형태에서 특징을 이룰 수도 있다는 것을 의미한다.
"사용자"에 대한 본 명세서의 언급은 사람, 단체, 기업, 군, 가계, 시스템, 원장, 애플리케이션, 데이터베이스, 서버, 네트워크 가능 디바이스 및 통신 네트워크를 통해 통신하는 수단을 가진 다른 식별 가능한 것 또는 군을 의미할 수도 있다. "블록체인"에 대한 본 명세서의 언급은 디지털 자산, 디지털 서명, 아이덴티티 및 모든 참여하는 아이덴티티에게 공개되는 블록의 비파괴된 체인에 해시(hash)되고 그리고 등록되는 아이덴티티 간의 이체의 획정된 번호의 기록을 의미할 수도 있고, 게다가 이중 지출은 트랜잭션의 가장 긴 체인을 검증하는 네트워크 내 다수의 컴퓨터 처리 능력에 의한 트랜잭션의 시퀀스의 검증에 의해 방지된다. "분산 원장"에 대한 본 명세서의 언급은 모든 참여하는 노드에게 공개되는 디지털 자산 및 사용자의 명부를 의미할 수도 있다. "에어 갭(air gap)"에 대한 본 명세서의 언급은 전자 데이터 네트워크에 대한 연결에 의해 극복될 수 없는 물리적, 가상, 수리적 또는 암호화 또는 시스템-규정된 장애물을 의미할 수도 있다.
"코어 네트워크 액세스 제공자"(본 명세서에서, Core Network Access Provider: 'CNAP')에 대한 본 명세서의 언급은 새로운 노드 및 노드의 사용자를 위한 네트워크에 대한 액세스를 제공하고, 그리고 연결된 노드를 위한 네트워크의 기능에 영향을 주기 쉬운 능력을 통해 연결된 노드에 대한 액세스의 유지를 제어하는 적어도 하나의 디지털 및/또는 물리적 엔티티(entity)를 의미할 수도 있다. CNAP의 "능력"에 대한 본 명세서의 언급은 물리적 인프라스트럭처(physical infrastructure) 및 케이블, 링크 계층, IP 계층의 액세스, 회계, 빌링(billing), 인증, 관리, 제어로 적어도 확장되고, 물리적 케이블에 의한 미리 설정된 통신 경로, IP 라우팅 정책, 링크 계층 제어, 감시, 심층 패키지 점검, 도메인 네임 시스템 차단, 데이터-스트림 및 거동의 분석 툴, 복호화, 및 네트워크 또는 네트워크의 부분의 능력 및 기능에 영향을 줄 수 있는 임의의 다른 기능을 저장 및 실행한다.
이제 도면, 처음에, 도 1 및 도 2를 참조하면, 코어 네트워크 액세스 제공자(CNAP)(101)에 연결된 복수의 노드를 포함하는, 본 발명의 실시형태에 따른 네트워크 아키텍처의 논리 표현이 도시된다.
도 1은 상이한 원격 시스템 및 원장에 대한 액세스를 승인하도록, 좌측에, 태블릿 컴퓨터(110), 데스크탑 컴퓨터(112), 스마트폰(114), 네트워크(116), 제1 서버(1181) 및 추가의 단말기(118N)에 저장된 제1 데이터베이스(1202)로서 다양하게 예시되고, 우측에, 연결된 애플리케이션(140), 제2 서버(1181), 제2 서버(1182)에 저장된 제2 데이터베이스(1202)가 다양하게 예시되고 식별자 원장(150)을 포함하는, 다양한 액세스-요구 노드를 위한 CNAP(101)의 네트워크 게이트-키핑 기능을 기능적으로 예시한다.
도 2는 인터넷(105)의 실시예에서, 더 넓은 광역 네트워크의 부분으로서 배포되고, 그리고 다양한 네트워크 프로토콜을 통해 네트워크에 각각 연결되는, 도 1과 동일한 네트워크를 도시하고, 각각의 단말기의 네트워크 연결성 및 상호 운용 가능한 네트워킹 프로토콜은 단말기가 서로 연결되게 하고 그리고 본 명세서에 설명된 방법론에 따라 데이터를 서로 전달하게 하고, 그리고 데이터를 서로 수신하게 한다.
WAN(105) 내에서, 네트워크 아키텍처는 CNAP(101)와 작동 가능하게 인터페이싱되는 임의의 수의 하위 네트워크(132)를 포함할 수도 있다. 네트워크 아키텍처에서, CNAP(101)는 코어 네트워크에 연결되는 모든 액세스-요청 노드(110, 112, 114, 118N)를 인증하도록 구성되고, 그리고 CNAP(101) 및 모든 인증된 노드(110, 112, 114, 118N) 승인된 액세스의 각각은 모든 연결된 노드의 연속적인 인증된 상태를 모니터링하도록 구성된다.
네트워크 아키텍처에서 데이터 처리 단말기(110)의 유형은 사용자가 작동하는 모바일 개인용 컴퓨터 단말기일 수도 있고, 그리고 실시예에서 태블릿 컴퓨터(110)이다. 태블릿 컴퓨터(110)는 IEEE 802.11('와이-파이™') 표준을 준수하는 무선 데이터 전송(133)을 통해 디지털 신호로서 인코딩된 데이터를 전송 및 수신하고, 신호는 태블릿 컴퓨터(110)를 WAN 통신 네트워크(105)에 인터페이싱하는 로컬 라우터 디바이스(131)에 의해 태블릿 컴퓨터로 또는 태블릿 컴퓨터로부터 각각 중계된다. 태블릿 컴퓨터(110)는 대응하게-구비된 디바이스, 예컨대, 사용자의 모바일 폰(110) 및/또는 NFC-이용 가능 디바이스를 사용하여 단거리를 통한 무선 데이터 통신을 용이하게 하기 위해 근거리 통신(Near Field Communication: NFC) 상호운용성 및 데이터 통신 프로토콜을 구현하는 고주파수 무선 주파수 식별(Radio Frequency Identification: RFID) 네트워킹 인터페이스, 예를 들어, 전자 지불 카드를 더 포함한다. 태블릿 컴퓨터(110)는 예를 들어, 미국 캘리포니아주 쿠퍼티노 소재의 애플사가 제작한 아이패드(iPad™) 또는 미국 워싱턴주 레드몬드 소재의 마이크로소프트사가 제작한 서페이스(Surface™)일 수도 있다.
네트워크 아키텍처 내 데이터 처리 단말기(114)의 또 다른 유형은 모바일 개인용 통신 디바이스(110)의 동일한 사용자에 의해 또는 대안적으로 사용자가 작동하는 또 다른 것에 의해 작동되는, 모바일 개인용 통신 디바이스일 수도 있다. 단말기(114)는 무선 데이터 전송(137)을 통해 디지털 신호로서 인코딩되는, 음성 및/또는 알파벳-숫자 데이터를 포함하는, 데이터를 전송 및 수신하고, 신호는 복수의 단말기의 지리적으로-가장 가까운 통신 링크 계전기(138)에 의해 디바이스(114)로 또는 디바이스로부터 각각 중계된다. 복수의 통신 링크 계전기(138N)는 디지털 신호를 원격 게이트웨이(139)에 의해 사용자 단말기(114)와 이들의 의도된 수신자와 같이 모바일 디바이스 간에 라우팅되게 한다. 게이트웨이(139)는 예를 들어, 무선 데이터 전송(137)이 발생하는 네트워크, 및 WAN(105)과 같은, 무선 전기 통신 네트워크 간의 디지털 신호 트래픽을 연결하는, 통신 네트워크 스위치이다. 게이트웨이(139)는 필요한 경우, 예를 들어, 단말기(114)가 무선 응용 프로토콜(Wireless Application Protocol: 'WAP') 또는 보안 하이퍼텍스트 전송 프로토콜(Secure Hypertext Transfer Protocol: 'HTTPS')을 사용하여 데이터를 전달한다면 프로토콜 변환을 더 제공한다.
네트워크 아키텍처 내 데이터 처리 단말기의 추가의 유형은 개인 목적 또는 관리 목적을 위해 각각의 사용자가 작동시키는 데스크톱 개인용 통신 디바이스(112) 및 서버(118N)일 수도 있다. 모든 이러한 단말기는 유선(132) 또는 무선(137) 데이터 전송을 통해 디지털 신호로서 인코딩되는, 음성 및/또는 알파벳-숫자 데이터를 포함하는, 데이터를 전송 및 수신하고, 신호는 컴퓨터(112, 118N)를 WAN 통신 네트워크(105)에 인터페이싱하는 로컬 라우터 디바이스(131)에 의해 각각의 단말기로 또는 각각의 단말기로부터 각각 중계된다.
네트워크 아키텍처 내 데이터 처리 단말기의 더 추가의 유형은 다양하게 국내 상황에서 가전제품 및 가정 자동화 인터페이스, 감시 카메라 및 위치 액세스 제어 인터페이스, 산업 자동화 인터페이스 등을 포함하여, '사물'로서 흔히 지칭되는 네트워크-연결 가능한 목적-특화 디바이스일 수도 있다. 이들의 목적 및 네트워킹 프로토콜 구성 및 호환성 둘 다에 따라, 이러한 디바이스는 광역 네트워크(105)에 또는 광역 네트워크(105)와 인터페이싱되는 근거리 네트워크(116N)에 유선 또는 무선 연결을 통해, 두 경우에, CNAP(101)를 통해 네트워크-연결 가능할 수도 있다.
코어 네트워크는 실시예에서, 컴퓨터 단말기, 예컨대, 서버(118N)에서 구현되는 CNAP(101)에 의해 유지된다. CNAP는 유선 데이터 전송(130)을 통해 디지털 신호로서 인코딩되는 데이터를 전송 및 수신하고, 상기 신호는 IEEE 802.3-2008 기가비트 이더넷 전송 프로토콜에 따라 작동되는 유선 로컬 네트워크를 구현하는 로컬 라우터 디바이스(131)에 의해 서버로 또는 서버로부터 각각 중계된다. 라우터(131)는 자체가 유선 전기 통신 네트워크(132)를 통해 종래의 광섬유 연결을 통해 WAN(105)에 연결된다.
도 3은 각각의 액세스-요청 노드(11ON, 114N, 116N, 118N, 140N)에 대한 도 1 및 도 2의 네트워크의 프로토콜 스택(301)에 걸쳐 수행되는 네트워크에 부착되거나 또는 네트워크 상의 시스템 및 네트워크를 설계하도록 코어 네트워크 액세스 제공자(101), 수신자 및 컴퓨터 프로그램의 저장자의 예시적인 능력의 개요를 도시한다. 네트워크 아키텍처의 고유 부분인 본 발명의 기본 양상은 식별 프로토콜 및 분산 원장(150)뿐만 아니라 네트워크를 모니터링 및 제어할 수 있는 CNAP이다. 따라서, CNAP는 시스템 및 원장 액세스 게이트키퍼로서 볼 수 있다. 본 발명은 또한 네트워크 및 네트워크의 사용에 영향을 주고, 따라서 CNAP에 의해 관리되는 시스템 및 원장의 설계를 가능하게 하는 능력을 사용하는 시스템을 설계하는 것과 관련된다. 이것은 예를 들어, TCP/IP 맥락에서, 그리고 상이한 시스템의 미리 설정된 설계에 따라 원장 및 시스템에 대한 액세스를 승인 및 확보하는 기준 노드로서 통신 네트워크에 하드웨어 및 소프트웨어 액세스를 제공하는 CNAP(101)를 사용하여와 같이, 통신 어드레스/소켓 어드레스에 기초하여 광역 네트워크 시스템의 네트워크 프로토콜(301)과 본 명세서에 설명된 특정한 분산 원장(150)을 병합함으로써 확립된다.
CNAP(300)는 데이터 프로그램 및 원장을 수신하고 그리고 이들과 인터페이싱하기 위한 외부 통신을 위해 구성된다. CNAP는 네트워크 함수 능력 중 하나 이상 및 적어도 액세스 시스템과 인터페이싱하는 작동 시스템 및 프로그램의 등록 및 구현을 위해 구성된다. 이에 따라 CNAP(101)는 네트워크 프로토콜 스택(301)의 각각의 계층: 기초 물리적 '하드웨어' 인프라스트럭처 계층(302), 기초 계층(302)과 디지털 신호 전송 콘텐츠를 인터페이싱하는 링크 계층(303), (인터넷) 네트워크를 통해 전송된 데이터 신호의 포맷을 통제하는 인터넷 프로토콜 'IP' 계층(304), 호스트-투-호스트 통신 서비스를 애플리케이션(140)에 제공하는 전송 계층(전송 제어 프로토콜, TCP)(305), 및 프로세스-투-프로세스 통신 서비스를 애플리케이션(140)에 제공하는 응용 계층(306)과 작동 가능하게 인터페이싱해야 한다. 이 네트워크 프로토콜 스택 및 계층 설계는 예시적인 목적을 위해 설명되고 그리고 본 발명은 다른 네트워크 설계를 사용할 수도 있다.
이에 따라 CNAP(101)는 또한 다음의 속성 중 하나 이상 그리고 네트워크 관리 능력을 구현하는 속성의 각각의 기능을 포함해야 한다: 원격 노드의 네트워크 액세스 요청을 처리 및 승인 또는 거부하고, 그리고 승인 후 원격 노드의 액세스를 제어하기 위한 액세스 처리 모듈(311); 네트워크 어드레스의 풀을 제어하고 그리고 액세스 처리 모듈(311)에 의해 폴링되어(polled) 네트워크 어드레스를 임의의 액세스-요청, 인증된 노드로 할당하기 위한 IP 관리 모듈(312); 노드의 그리고 사용자 고유 매개변수(UPARAM)의 등록을 제어하고 그리고 액세스 처리 모듈(311)에 의해 폴링되어 임의의 액세스-요청 노드의 크리덴셜(credential)을 검증하기 위한 인증 모듈(313); 노드의 할당된 네트워크 어드레스에 기초하여 코어 네트워크 내 노드를 찾고 그리고 식별하기 위한 추적 및 검색 모듈(319)과 연관되고 그리고 노드의 통신을 제어하고 그리고 경우에 따라, 차단하도록 액세스 처리 모듈(311)에 의해 제어되는 도메인 네임 시스템 모듈(314); 기금을 관리하고 그리고 등록된 사용자에 의한 전자 지불을 처리하기 위한 임의의 회계 모듈(315); 네트워크 통신 콘텐츠를 검출하고 그리고 특히, 멀웨어, 바이러스, 스팸 또는 이러한 다른 범죄 네트워킹 행위를 식별하기 위한 심층 패킷 분석 모듈(317)과 연관된 트래픽 모니터링 모듈(316); 하드웨어 속성, 소프트웨어 속성, 통신 속성의 미리 결정된 세트 및 ID 원장 또는 특별히 설계된 네트워크 또는 액세스 데이터베이스와 같은 CNAP(300) 내 코어 네트워크 및 등록된 시스템에 대한 액세스를 획득하기 위한 조건을 종합적으로 포함하는 하나 이상의 서비스 조건(Condition of Service: CoS)-지향 규칙세트를 포함하는, 적격 코어 네트워크 액세스 제공자 속성을 모니터링 및 업데이트 또는 그렇지 않으면 변경하기 위한 네트워크 설계 및 관리 모듈(318); 및 하드웨어 속성, 소프트웨어 속성, 통신 속성의 미리 결정된 세트 및 최적의 대역폭 및 코어 네트워크 내 이들의 사용을 종합적으로 규정하는 하나 이상의 서비스 품질(Quality of Service: QoS)-지향 규칙세트를 포함하는, 코어 네트워크 속성을 모니터링 및 업데이트 또는 그렇지 않으면 변경하기 위한 임의의 네트워크 분석 및 제어 모듈(320).
코어 네트워크 내 시스템의 모든 액세스 및 사용은 항상 미리 설정된 기준을 준수해야 한다: CNAP(101)는 사용자 단말기, 네트워크 통신, 연결된 데이터베이스 또는 다른 네트워크 행위에 의해 그밖에 다른 것을 태그, 추적, 차단 및 실행하도록 모든 가능한 툴(311 내지 320)을 사용할 수 있다. 코어 네트워크 및/또는 식별자 원장(150)(또는 정말로 CNAP가 액세스하도록 자격을 부여받은 임의의 다른 시스템)은 시스템 설계자가 적합하다고 하는 어떤 단체 및 사용자의 유형을 위한 어떤 적합한 액세스 조건으로 설계될 수 있다. 예를 들어, 제삼자는 CNAP(101)와 함께 작동될 수도 있고 그리고 CNAP(101)를 통한 사용자에 대한 액세스, 예를 들어, 고객에 대한 지불 원장에 대한 은행 승인 액세스를 승인할 수도 있다.
CNAP(101)는 CNAP(300)에 설치되고 그리고 CNAP와 통신되는 데이터 프로그램 또는 운영 시스템의 형태인 특정한 네트워크 시스템 또는 원장의 조건, 분산 시스템 또는 원장의 조건에 따라 CNAP 모듈(311 내지 320)에 의해 구현되는 원장 또는 시스템 정책 및 조건, 특정한 미리 설계된 네트워크에 대한 까다로운 인증 및/또는 준수에 의해 사용자가 개방형 네트워크에 액세스하는 것을 중단시킬 수 있다. 예를 들어, 규제기관 또는 정부는 사용자가 금융 테러, 마약, 밀거래 또는 다른 불법 행위를 위해 사용될 수 있는, 비규제된 그리고 익명의 금융 블록체인 원장(블록체인 기반 암호 화폐)에 액세스하는 것을 중단시키길 원할 수도 있고, 네트워크 설계 및 관리 모듈(318)은 네트워크 변경 능력(예를 들어, 회로 전환된 네트워크 하드웨어, DPI와 공동으로 트래픽 모니터링 모듈, 특정한 시스템, 소스, 링크 및 통신의 차단, 오직 화이트리스트인(긍정적으로 규정되는) 통신 허용)의 임의의 하나 또는 조합에 의해 실행되는 관련된 차단 규칙세트 내 이러한 비규제된 그리고 익명의 금융 블록체인 원장을 명시하고, 그리고 심층 패킷 분석 모듈(317)과 공동으로 트래픽 모니터링 모듈(316)이 노드의 행위를 점검하여 차단된 블록체인 원장에 대응하는 데이터 패킷을 검출한다.
도 4는 도 1 내지 도 3의 네트워크 내 네트워크-연결된 노드(110N, 114N, 116N, 118N, 140N)와 협력적으로 코어 네트워크 액세스 제공자의 모듈(311 내지 320)에 의해 유지되는, 본 발명에 따른 예시적인 무결성 식별자 원장을 도시한다.
무결성 식별자 원장(150)은 코어 네트워크를 통해 액세스 가능한 모든 데이터 처리 환경에서 사용될 수 있는 단일의 디지털 아이덴티티로서, 네트워크 내 각각의 네트워크-연결된 노드(110N, 114N, 116N, 118N, 140N)에 의해 사용되는 분산 원장이고, 노드 사용자에 대한 식별이 요구되고, 이것의 예는 예를 들어, 데이터베이스 액세스 권한, 전자 지불 절차, 전자 투표 절차, 전자 계약 서명 및 노드의 보호를 포함한다.
도 4의 구체적인 실시예에서, 네트워크-연결된 애플리케이션 노드(140)는 예를 들어, 전자적으로 비자를 신청하는 임의의 연결된 사용자 디바이스(110N, 114N, 116N, 118N)의 사용자의 식별을 요구하는, 관청의 여행비자 애플리케이션이다. 식별은 무결성 식별자 원장(150)을 통해 사용자 진위의 애플리케이션을 살피도록 도시될 수 있다. 고유 원장 엔트리(401N)의 컴포넌트, 시퀀스 및 과정의 무결성이 확립되도록 검증되어야 하고, 그리고 노드에 할당된 각각의 코어 네트워크 어드레스 또는 다른 식별자에 대한 디지털 서명 또는 암호 번호를 도출함으로써 CNAP(101)에서 기본 물리적 IP 어드레스에 기초하여 공개 키로서 각각 인코딩된다.
본 명세서에 설명된 방법론에 따르면, 이전의 노드의 자체의 고유 원장 기록 또는 엔트리(401N-1)로서 포함되는 코어 네트워크에 대한 승인된 액세스가 될 바로 이전의 노드(11ON -1, 114N-1, 116N-1, 118N-1, 140N- 1)의 각각에 대해 순차적으로, CNAP(101)에 의해 식별자 원장(150) 내 노드-각각의 원장 기록 또는 엔트리(401N)로서 각각의 네트워크 노드(110N, 114N, 116N, 118N, 140N)의 고유 매개변수(UPARAM)의 인코딩은 CNAP(101)에 의해 수행되는 코어 네트워크 액세스 승인 절차에 대해 고유하다. 예를 들어, MAC, IP 어드레스 및/또는 노드의 다른 기술 식별자의 근본적인 실체가 암호로 도출되고, 통합되고, 해시되고/되거나 식별자에 부착되어, 물리적 네트워크 프로토콜, 소켓 어드레스, 포트 번호, 또는 노드의 다른 기본 정보의 잠재적인 변화가 식별자 원장(150)에서 보일 것이다. 대안적인 실시형태에서, CNAP 능력은 원장을 준수하지 않는 기본 물리적 환경의 임의의 변화를 검출할 수 있고 그리고 원장 및 원장의 연결된 CNAP에 경보를 발할 수 있고, 그리고 자체 시스템에서 적절한 조치를 취할 수 있다. 이 과정 및 조치는 위반이 검출될 때 자동으로 행해질 수 있다.
아이덴티티 및 이의 통신 어드레스가 변화될 필요가 없어서, 식별자 원장(150) 내 기록에 대한 제한된 수의 트랜잭션, 그리고 이에 따라 식별자 원장(150)의 분산과 연관되는 네트워크 내 제한된 신호 전송이 있다. 변화는, 새로운 통신 어드레스를 가진 새로운 아이덴티티가 등록될 때, 통신 어드레스가 아이덴티티를 변경할 때, 사용자가 기본 물리적 특성을 파괴하여 파괴된 아이덴티티(예를 들어, 또 다른 엔티티에 의해 로그아웃되거나 또는 해킹됨)를 발생시킬 때, 노드가 네트워크 경계를 횡단하여 액세스-제공 CNAP 및 네트워크 어드레스의 변화를 발생시킬 때, 또는 사용자가 사용자의 CNAP를 변경하고 그리고 새로운 IP를 수신하는 경우, 또는 어드레스가 변경(예를 들어, 프록시)되어 개인 또는 단체의 아이덴티티 및/또는 위치를 숨기는 경우 또는 아이덴티티가 해킹되고 그리고 IP가 비승인된 사용자에 의해 취해질 때 발생한다.
각각의 노드의 인코딩된 고유 매개변수(UPARAM)의 해시(402N)의 추가가 도 4에 또한 예시되는, 블록체인 기술에 기초한 식별자 원장(150)의 실시형태에 대해, 최대로, 원장(150)의 아이덴티티(ID는 다수의 IP 어드레스를 가질 수도 있음)의 정확한 수와 같은, CNAP(101)에 의해 할당 가능한 코어 네트워크 어드레스의 유한수에 기인한, 작업 증명 블록체인 회계 감사와 연관된 제한된 처리 오버헤드가 또한 있다. 게다가, 이것이 CNAP 또는 다른 원장 부착된 노드와 관련되는 ID 또는 IP의 실제 변화이므로, 작업 증명은 목적이 단지 "이중 지출"이라기보다는 "임의의 지출"을 검출하는 것이기 때문에, 목전의 키 위반 기능에 있어서 아주 중요하진 않다.
할당된 네트워크 어드레스 및 식별 데이터가 CNAP(101)에 의해 식별자 원장(150) 내 기록 당시에 시스템을 준수하게 이루어지기 때문에, 명부의 무결성은 명부가 분산되기 때문에 비가역적이다: 기본 물리적 요인으로부터 도출되는 데이터는 체인에 해시되고 그래서 원장에 부착된 모든 노드에 대해 분명해지는 일없이 위반될 수 없다. 코어 네트워크 내 모든 노드 및 처리부가 다른 것과 관계없이 작업 증명을 처리할 수 있고 그리고 합의를 필요로 하지 않는데, 이는 인코딩된 사용자 식별자 또는 노드(예를 들어, MAC, IMEI)의 인코딩된 물리적 요인의 임의의 변화 또는 변동이 예를 들어, 통신 어드레스가 시프트하는 경우, 통신 어드레스의 기본 물리값, 기계 어드레스, 또는 다른 식별자가 분산 원장(150)에 CNAP(101)에 의해 록킹되는 정보로 해시되는 것에 비해 부정확한 경우, 원장 기록 키를 언제나 파괴하기 때문이다. 원장에 대해 액세스하는 것은 오직 인증된 CNAP, 또는 또한 모든 연결된 노드, 또는 연결된 액세스 데이터베이스 및 잠재적인 키 위반에 대해 즉시 통지되어야 하는 다른 시스템일 수 있다. 작업 증명의 가장 긴 체인에 의존하는 것이 필수적이지 않음을 유의해야 한다. 다른 무엇보다도 CNAP 또는 다른 연결된 노드는 임의의 위반에 관한 정보를 수신할 수 있어야 하고 그리고 키 위반에 대해 취해질 미리 설정된 조치에 따라 자동으로 반응할 수 있어야 한다(예를 들어, 액세스 데이터베이스에서 사용자에 대한 액세스를 거부, 네트워크 내 IP 및 ID에 대한 네트워크 연결을 종료 등).
본 발명의 이 양상은 코어 네트워크 아키텍처의 개선된 확정성에 기여하고 그리고 프라이버시와 책임 간의 최적의 균형을 제공한다.
블록체인 원장에서, 트랜잭션은 타임-스탬프되고 그리고 정확한 정보를 포함하도록 검증되는 블록에 해시된다. 작업 증명 필요조건은 이것이 블록체인의 복사본을 가진 모든 연결된 노드에서 그리고 그 뒤에 타임-스탬프되는 모든 다음의 블록에서 변경되지 않는 한, 변경될 수 없다. 이중 지출을 방지하고 그리고 신뢰하는 제삼자의 필요를 수용하기 위해서, 트랜잭션의 시퀀스는 사용자가 네트워크로 복귀될 때 작업 증명으로서 취해지는, 가장 긴 체인을 생성할 수 있는 네트워크의 수집 그리고 최상의 컴퓨터 처리 능력에 의해 입증된다. 적대적 행위자가 다수의 네트워크의 처리 능력을 제어하고 그리고 작업 증명을 변경할 수 있고 그리고 네트워크의 논리적인 처리 능력을 따라잡고 능가할 수 있다면, 체인, 체인의 시퀀스 및 등록된 값은 전부 부정확하게 될 수 있다.
본 발명의 식별자 원장(150)에 대해, 연결된 네트워크 노드는 모든 액세스 및 원장 기록 행위를 영구적으로 목격할 수 있고, 따라서 체인으로 복귀하지 않거나 또는 그럴 필요가 없다. 실제로, 실시형태는 블록이 없지만, 연속적으로 타임-스탬프되고 그리고 원장에 등록되는 이벤트의 시퀀스만이 있다는 대안을 고려한다. 게다가, 사용자 간의 통신 어드레스의 트랜잭션의 이중 지출 및 정확한 시퀀스가 또한 중요하지 않는데, 이는 기록(401)의 제1 변화가 연결된 노드에 대해 가장 흥미롭기 때문이다. 이 점에서, 모든 변화가 데이터베이스를 보호하기 위해서 중대한 부분이 아닌, 사용자 및 아이덴티티에 관한 제어와 관련될 수 있거나 또는 네트워크가 제1 변화에 대해 즉시 반응한다는 것이 이해되어야 한다.
따라서, 이 방식은 고유 아이덴티티 및 반복 추적성 및 코어 네트워크에 걸친 각각의 네트워크-연결된 노드에 대한 책임을 구현하고, 노드의 네트워크 세션 동안 시간에 걸친 고유 원장 기록 또는 엔트리(401N)가 CNAP에 의해 업데이트될 때 원장의 무결성을 위반한다는 점에서 임의의 변화가 원장(150)의 노드의 자체 무결섬 검사에 의해 즉시 검출 가능하고, 그리고 CNAP(101)가 네트워크 세션을 종료하고/하거나 변경된 원장 엔트리(401)와 연관된 노드에 대한 트래픽을 차단하는 것, 또는 실제로 예컨대, 관련된 CNAP에 의해 네트워크 내 IP 어드레스 또는 아이덴티티의 감시와 같은 다른 행위, 또는 연결된 노드로부터의 다른 행위(예를 들어, 액세스 데이터베이스가 사용자에 대한 액세스를 종료하는 것과 같음)를 자동으로 발생시킨다.
도 5는 네트워크 아키텍처 및 이의 무결성 식별자 원장(150)이 복수의 코어 네트워크 액세스 제공자(1O11 - 6)에 걸쳐 스케일링하는 방식을 예시하고, 애플리케이션(1401-N), 분산 원장(5001-N), 분산 시스템(1181-N), 하위-네트워크(11161-N)는 전부 다수의 시스템 및 노드의 연동을 위한 중재자로서 식별자 원장(150) 및 연결된 CNAP(1O11-6)의 네트워크를 사용할 수 있다.
도 5에 도시된 실시형태에서, 복수의 CNAP(1O11-6)는 노드로서 사용자 및 사물(110-112-114), 시스템(116-118), 데이터베이스(120), 애플리케이션(140) 및 다른 연결된 원장(500)으로부터, 다른 유사한 사용자 및 사물(110-112-114), 시스템(116-118), 데이터베이스(120), 애플리케이션(140) 및 다른 연결된 원장(500)으로 액세스를 제어하기 위한 통합된 게이트키퍼로서 기능한다.
각각의 CNAP는 등록된 사용자 및 이들의 각각의 노드를 위한 코어 네트워크에 대한 액세스를 제어하고, 그리고 각각의 네트워크 액세스 승인을 식별자 원장(150)에 기록한다. CNAP(1O11)에 의해 사용자에 부착된 액세스 권한은 공통 식별자 원장(150) 내 인코딩을 통해 다른 CNAP2 -6에 대해 명백하게 됨으로써, 코어 네트워크의 노드 및 이산형 영역에 걸쳐 사용자를 따를 수 있지만, 임의의 노드를 위한 코어 네트워크에 대한 액세스는 마찬가지로 임의의 CNAP(1O11-6)에 의해 중단될 수도 있다.
일부 블록체인-기반 또는 다른 분산 원장(500), 시스템(118), 애플리케이션(140) 및 이산형 네트워크 영역(116)은 CNAP(300)에서 구현 및 검증되고 그리고 이들의 각각의 모듈(301 내지 320)에 의해 처리되는 등록된 각각의 규칙세트를 통해 각각의 또는 모든 CNAP(1O11-6)에 의해 액세스 불가능하게 될 수도 있지만, 식별을 시행하는 이들의 공통 태스킹을 유지하고 그리고 CNAP(300)에 등록 및 구현되는 다른 시스템에 대한 권한 또는 네트워크 액세스 권한을 승인 및 유지하기 위해 동일한 것을 무결성 식별자 원장(150)에 기록한다.
도 6은 코어 네트워크 액세스 제공자에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도이다.
단계(601)에서, CNAP(101)는 네트워크 액세스 요청이 고유 디바이스 식별자, 예를 들어, MAC 어드레스 또는 IMEI 코드를 나타내는 적어도 하나의 매개변수(UPARAM)를 포함하는 다양한 노드 데이터를 인코딩하는, 원격 노드, 예를 들어, (110)으로부터 계류 중인지를 고려한다. 긍정이라면, 단계(602)에서, CNAP(101)가 네트워크 액세스 요청을 처리하여 디코딩하고 이어서 고유 매개변수(UPARAM)와 CNPA(101)에 등록된 노드의 저장된 고유 매개변수(UPARAM)를 비교한다.
단계(603)에서, CNAP(101)는 비교가 매칭을 복귀시키는지를 고려한다. 부정적이라면, 단계(604)에서, CNAP(101)가 등록된 노드에 의한 제1 요청으로서 네트워크 액세스 요청을 처리하고 그리고 고유 매개변수(UPARAM)와 고유 사용자 매개변수(UPARAM) 둘 다를 저장하기 위해 요청 노드를 등록하도록 진행되어 이들과 연관된다. 단계(604)는 바람직하게는 요청 노드(110)의 사용자가 나중에 일부, 기준 또는 양상이 고유 사용자 매개변수(UPARAM)로서 기록될 수도 있는, 식별 증명을 제출하게 요구하는 등록 절차를 수반한다.
그 후에 또는 대안적으로 매칭이 요청 노드(110)를 등록된 노드로서 식별하는 단계(603)에서 복귀될 때, CNPA(101)는 단계(605)에서 할당 가능한 코어 네트워크 어드레스의 유한 풀 내 다음의 이용 가능한 네트워크 어드레스를 요청 노드(110)에 할당한다. 단계(606)에서, CNAP(101)는 식별자 원장(150) 내 등록된 고유 사용자 매개변수(UPARAM) 및 등록된 고유 매개변수(UPARAM)를 포함하는 각각의 인증 매개변수 및 노드(110)에 각각 할당된 통신 어드레스를 순차적으로-다음의 엔트리로서 인코딩한다. CNAP(101)는 다음에, 등록 시 업데이트된 엔트리를 포함하는 식별자 원장(150)을 코어 네트워크에 연결되는 임의의 다른 CNAP(101N)를 포함하여, 코어 네트워크에 또한 연결되는 모든 노드(110N, 114N, 116N, 118N, 140N)로 자동으로 브로드캐스팅한다. 그 후에, 제어는 다음의 노드(110N, 114N, 116N, 118N)의 다음의 액세스 요청을 처리하도록 단계(601)의 질문으로 복귀된다. 원장이 모든 사용자에게 분산될 수 있지만, 반드시 그러한 것은 아님을 유의해야 한다. 원장은 인증된 CNAP에만 분산될 수 있다. 원장은 ID의 실시간 무결성을 알아야 하는 다른 연결된 시스템 및 데이터베이스에 분산될 수 있다. 상이한 원장 및 시스템이 이들의 시스템에 대한 승인된 액세스를 설계할 수 있다는 것이 중요하다. 이들은 사용자에 대한 조건을 설정할 수 있고 그리고 또한 원장의 정보에 액세스할 사람에 대한 조건을 설정할 수 있다(CNAP는 CNAP(300)에서 구현되는 데이터 프로그램을 통해 시스템에 의해 설정된 특정한 조건에 관하여 사용자에게 승인된 액세스를 제공할 기회를 가질 수 있고 그리고 시스템은 또한 원장의 정보에 대한 액세스를 승인할 수 있다).
단계(601 내지 607)를 참조하여 설명된, 네트워크 액세스 제어 기능 및 이에 고유한 노드 인증과 병행해서, 코어 네트워크의 노드 자체로서, CNAP(101)는 또한 식별자 원장(150)의 무결성을 검증하여 단계(606)의 인코딩 후 실효된 인증 매개변수와 함께 노드에 대응하는 무효 원장 기록을 식별하고 그리고, 코어 네트워크의 게이트-키핑 노드로서, 그렇게 식별된 임의의 노드에 대한 네트워크 액세스를 무효화함으로써 무결성을 강요한다.
이에 따라, CNAP(101)의 제2 처리 스레드가 단계(601 내지 607)의 네트워크 액세스 제어 기능과 동시에 실행되고, 경보가 무효 원장 기록을 포함하는 원격 노드로부터 수신되었는지에 대한 질문이 단계(608)에서 요청된다. 답이 부정적이라면, 단계(609)에서, CNAP(101)가 식별자 원장을 처리하여 무결성을 예를 들어, 공지된 작업 증명 알고리즘을 사용하여 인코딩된 원장을 처리함으로써 검증한다. 유리하게는, 할당 가능한 코어 네트워크 어드레스의 유한수에 기인하여, 단계(609)와 연관된 처리 오버헤드는 무결성 원장, 블록체인 유형이든 또는 다른 유형이든, 제약 또는 제한되지 않고 그리고 예를 들어, 통화 트랜잭션의 특정 분야에서, 수에 있어서 상당히 증가하는 것으로 알려진 엔트리의 수에 비해 비교적 소규모이다. 검증 단계가 무효 원장 기록을 출력했는지에 대한 질문이 다음에 단계(610)에서 요청된다. 답이 부정적이라면, 제어는 608의 질문으로 복귀되고, 검증 스레드는 원격 경보가 수신되지 않는 한, 식별자 원장(150)의 무결성을 끊임없이 계속해서 체크한다. 임의의 변화가 즉시 경보되고 그리고 CNAP가 고려되는 어떤 사용자 그리고 이 사용자가 관련되는 어떤 시스템에 기초하여 정보에 대한 미리 설정된 그리고 자동 조치를 갖는다(이 조치 및 절차는 CNAP(300)에서 등록 및 구현된다)는 것이 이해되어야 한다.
원격 경보가 수신되고 그리고 단계(608)의 질문에 긍정적으로 답한다면 또는, 대안적으로, CNAP(101)가 단계(609)에서 무효 원장 기록을 국부적으로 식별하고 그리고 단계(610)의 질문에 긍정적으로 답한다면, 단계(611)에서, CNAP(101)는 무효 원장 기록에 대응하는 노드(110N, 114N, 116N, 118N, 140N)를 식별하고 그리고 이것을 노드에 마지막으로 할당되는 코어 네트워크 어드레스에 매칭한다. 경보가 키 위반 및 원장의 변화(이는 기본 상태의 물리적 변화에 의해 트리거링될 수 있음)에 기인하여 수신된다면, CNAP가 프로그래밍될 수 있어서 원장의 변화와 수반되는 아이덴티티 및 어드레스와 관련된 즉각적인 관련된 조치를 취한다. CNAP(101)가 예를 들어, 인코딩된 코어 네트워크 어드레스를 추출 및 디코딩할 수도 있고, 디코딩된 코어 네트워크 어드레스와 노드의 등록된 고유 매개변수(UPARAM) 및 고유 사용자 매개변수(UPARAM)를 매칭할 수도 있고, 그리고 등록된 인증 매개변수와 무효로 간주되는 원장 기록에 인코딩된 것을 비교할 수도 있어서, 무효 특성을 유효성-확인한다. 단계(612)에서, CNAP(101)가 노드(110)로부터 코어 네트워크 어드레스를 할당 취소하여, 이전에-할당된 코어 네트워크 어드레스를 노드의 등록된 고유 매개변수(UPARAM) 및 고유 사용자 매개변수(UPARAM)로부터 분리하고, 코어 네트워크에 대한 노드의 연결성이 자동으로 단절되고 그리고 할당 취소된 어드레스가 단계(601)에서 다음의 요청 노드를 위해 이용 가능한 할당 가능한 네트워크 어드레스의 풀로 복귀된다. 제어가 그 후에 단계(608)의 질문으로 복귀된다.
도 7은 네트워크 내 각각의 노드(11ON, 114N, 116N, 118N)에서 수행되는, 본 발명의 네트워크 아키텍처를 구현하는 방법론의 실시형태의 논리도이다. 각각의 노드는 처음에 작동 시작을 요구하고 그리고, 관습적으로 단계(701)에서, 데이터 통신 서브루틴을 포함하여, 하드웨어 컴포넌트의 기본 데이터 처리, 상호 의존 및 상호운용성을 통제하기 위한 명령어를 포함하는 운영 시스템으로 구성되어 결국 라우터(131N) 또는 기지국(138N)과 연결되는 하나 이상의 관련된 인터페이스를 통해 쌍방향 네트워크 통신을 위한 노드를 구성한다. 단계(702)에서, 노드는 코어 네트워크 액세스 또는 CNAP(101)에서 시스템에 대한 액세스를 요청하고 그리고 요청 시 적어도 노드 고유 매개변수(UPARAM)를 포함한다. 본 명세서에 설명된 단계(601 내지 607)를 참조하면, 노드는 노드에 CNAP(101)에 의해 코어 네트워크 어드레스가 할당된 후 코어 네트워크에 대한 액세스를 획득하고, 그리고 단계(703)에서, CNAP로부터 식별자 원장(150)의 복사본을 수신한다.
노드가 코어 네트워크에 연결된 채로 유지되는 한, 다음의 루틴은, 무결성을 검증하도록 식별자 원장을 처리함으로써, 예를 들어, CNAP(101)로서 동일한 공지된 작업 증명 알고리즘을 사용하여 인코딩된 원장을 처리함으로써, 시간에 걸쳐 코어 네트워크에 연결되는 추가의 원격 노드에 관하여 노드를 업데이트하고, 그리고 식별자 원장(150)의 무결성을 유지하는 태스크와 함께 협력적으로 CNPA(101)를 돕는다.
이에 따라 노드가 단계(703)에서 이전에 수신된 버전에 비해, 식별자 원장(150)의 다음의 버전을 수신했는지에 대한 질문이 단계(704)에서 요청된다. 질문에 부정적으로 답한다면, 경보가 무효 원장 기록을 포함하는 원격 노드로부터 수신되었는지에 대한 다음의 질문이 단계(705)에서 요청된다. 단계(705)의 질문에 부정적으로 답할 때 또는, 대안에서, 이전의 단계(704)의 질문에 긍정적으로 답하고 그리고 식별자 원장(150)의 다음의 버전이 수신될 때, 노드가 식별자 원장을 처리하여 예를 들어, 단계(609)에서의 CNAP와 동일한 작업 증명 알고리즘을 사용하여 인코딩된 원장을 처리함으로써, 단계(706)에서 순차적 무결성을 검증한다. 검증 단계가 무효 원장 기록을 출력했는지에 대한 질문이 단계(707)에서 다음에 요청된다. 답이 부정적이라면, 제어가 704의 질문으로 복귀되어 업데이트된 식별자 원장(150)을 체크하고, 검증 스레드는, 원격 경보가 수신되지 않았고 그리고 식별자 원장(150)의 순차적인 버전이 수신되는 한, 계속해서 식별자 원장(150)의 무결성을 끊임없이 체크한다.
단계(707)의 질문에 긍정적으로 답할 때 또는, 대안에서, 이전의 단계(705)의 질문에 긍정적으로 답하고 그리고 경보가 수신될 때, 노드는 특성의 무결성을 유념하여, 원장 내 노드의 매개변수 인코딩의 시퀀스 및 과정이 하나의 실시형태에서 원장의 이전의 반복에서 CNAP에 의해 끊임없이 모니터링 및 검출되는 코어 네트워크의 실제 상태와 비교할 때 또는 이전의 반복에 대해 미스매칭된 할당된 네트워크 어드레스(또는 동일한 것을 나타내는 디지털 키)를 갖는 기록을 선택하는 것으로 이루어질 수도 있는, 단계(708)에서 식별자 원장으로부터 미스매칭된 원장 기록을 식별한다. 단계(709)에서, 노드는 무효 원장 기록으로서 미스매칭된 원장 기록을 포함하는 경보를 코어 네트워크에 연결된 모든 노드로 브로드캐스팅하고, 따라서 단계(608 내지 612)에 따라 동일한 것을 처리하는 CNAP(101)를 포함한다.
노드의 사용자가 코어 네트워크에 대한 연결된 모드에서 또는 전부에서, 노드의 작동을 중단하도록 중단 명령을 입력했는지에 대한 질문이 그 후에 단계(710)에서 요청된다. 단계(707)의 질문에 부정적으로 답할 때, 제어가 자동으로 단계(704)의 질문으로 복귀되어, 식별자 원장(150)의 다음의 버전을 체크해서 검증한다. 대안적으로, 단계(707)의 질문에 긍정적으로 답하고 그리고 사용자는 궁극적으로 노드를 포함하는 연산 디바이스를 스위치 오프할 수도 있다.
각각의 연결된 노드에서 수행되는 이 방법에 대해, 유리하게는 코어 네트워크 내 노드가 자체 작업 증명을 신뢰할 수 있고 그리고, 아이덴티티 위반을 검출할 목적으로, 각각의 노드는 식별자 원장(150)의 이력, 시퀀스 및 식별자의 자체 평가에 의존할 수 있고 그리고 최상의 컴퓨터 처리 능력을 가진 원격 노드에 의해 검증되는 것에 의존할 필요가 없거나, 또는 다른 노드가 원장의 변화에 동의하든 아니든, 하지만 CNAP(101)에 대한 검증을 단순히 면제하여, 분산형 노드의 변화 검출 태스크를 수행한다.
도 8은 네트워크 내 복수의 코어 네트워크 액세스 제공자에서 수행되는, 도 6을 참조하여 설명되는 본 발명의 네트워크 아키텍처를 구현하는 방법론의 2개의 대안적인 실시형태의 논리도이고, 유사한 참조 부호는 유사한 데이터 처리 단계와 관련된다. 실시형태 둘 다는 단계(601 내지 607)를 참조하여 설명되는, 네트워크 액세스 제어 기능 및 이에 고유한 노드 인증과 동시에 실행되는 추가의 처리 스레드, 및 단계(608 내지 612)를 참조하여 설명되는, 무효 원장 기록의 식별 및 코어 네트워크 어드레스 할당 취소로 이루어진다.
제1 대안적인 실시형태에서, CNAP(101)가 네트워크 내 원격 노드(110N, 114N, 116N, 118N)로부터 인증 요청을 수신했는지에 대한 질문이 단계(607)의 식별자 원장(150)의 다음의 버전의 각각의 브로드캐스트 후 단계(801)에서 요청된다. 단계(801)의 질문에 부정적으로 답한다면, 제어는 단계(601)의 노드 액세스 요청 질문으로 복귀된다. 대안적으로, 단계(801)의 질문에 긍정적으로 답할 때, 원격 노드가 CNAP(101N+1)로서 인증되도록 선출되고 그리고 요청-수신, 투표 CNAP(101)에 의해 인증 투표를 요청하는 후보 CNAP이다.
단계(802)에서, 투표 CNAP(101)는 후보 CNAP가 완전히 인터페이싱하도록 예상되는 코어 네트워크 프로토콜 스택의 예시적인 특성(301CN)에서, 적격 코어 네트워크 매개변수를 검색한다.
단계(803)에서, 투표 CNAP(101)는 적격 코어 네트워크 액세스 제공자 속성(attr1), 실시예에서, 하드웨어 속성, 소프트웨어 속성, 통신 속성의 미리 결정된 세트 및 CNAP(101)의 기능 모듈(311CN 내지 320CN)을 참조하여 설명된 바와 같은 하나 이상의 규칙세트를 검색하고, 그리고 후보 CNAP는 네트워크 내 CNAP의 게이트-키핑 역할을 수행하기 위해 완전히 구현되고 그리고 되풀이되는 것으로 예상된다. CNAP(300)에 설치되는 데이터 프로그램에 의해 설정되는 시스템/원장 조건 및 기능에 대한 CNAP의 준수를 보장하는 검증 절차는 준수의 투명성을 보장하도록 개방형 소스일 수 있다. 아이덴티티 위반에 대한 응답 및 사용자 액세스를 제공하기 위한 자동화된 절차의 실시간 테스트가 또한 수행될 수 있다.
단계(804)에서, 투표 CNAP(101)는 후보 CNAP로부터 노드의 속성(attr2), 실시예에서, 특정한 하드웨어 속성, 소프트웨어 속성, 통신 속성 및 후보 CNAP의 하나 이상의 규칙세트(3112 내지 3202)를 획득하고 그리고, 다음의 단계(805)에서, 이들과 열거된 코어 네트워크 매개변수(301CN) 및 열거된 CNAP 속성(attr1)을 호환성 및 기능 아이덴티티 둘 다를 위해 비교한다. 또 다른 실시형태에서, 검증 과정은 새로운 CNAP 및 이의 시스템의 적절한 기능의 테스트를 통해 유발되고 기반한 수행이다.
투표 CNAP(101)는 비교 단계(805)의 출력의 기능으로서 단계(806)에서 투표를 공식화하고, 투표는, 후보 CNAP의 속성(attr2) 중 하나 이상이 적격 코어 네트워크 매개변수(301CN) 및 적격 코어 네트워크 액세스 제공자 속성(attr1)과 매칭되지 않을 때 (반대 투표를 통해) 출력되지 않고 그리고, 정반대로, 긍정 투표는 후보 CNAP의 속성(attr2)이 적격 코어 네트워크 매개변수(301CN) 및 적격 코어 네트워크 액세스 제공자 속성(attr1)과 완전히 매칭될 때 출력된다. 대안적인 실시형태는 예를 들어, 임의의 또는 더 낮은 가중치의 속성에 비해 오직 우선되거나 또는 가중된 속성과 매칭하는 것에 기초하여, 부분적인 매칭만을 출력하는 단계(805)에서 긍정 투표를 출력하는 것을 고려할 수도 있다.
긍정 투표 시, 투표 CNAP가 단계(807)에서 CNAP(101N+1)로서 후보 CNAP(101)를 인증하고, 이어서 인증된 CNAP(101N+1)는 투표 CNAP와 병행하고 협력하여, 특히 본 명세서의 도 6을 참조하여, 본 명세서에 설명된 바와 같은 게이트키핑 기능을 수행할 수도 있어서, 네트워크 액세스 제어 처리 오버헤드를 실질적으로 공유한다. 투표-없는 대안에서, 후보 CNAP(101)는 미인증된 채로 있다.
제1 대안적인 실시형태의 단계(801 내지 807)와의 대조에 의해 점선으로 도면에 도시되는 제2 대안적인 실시형태에서, 본 발명의 코어 네트워크 내 투표 필요조건은 복수의 CNAP(1011-N) 중에 분산되고, 후보 CNAP(101N+1)는 모든 투표 CNAP(1011-N)로부터 다수결 또는 만장일치를 수용할 것이고, 그리고 각각의 투표 CNAP(101)는 위의 단계(801 내지 807)를 참조하여 설명된 바와 같이 실질적으로 후보 CNAP(101N+1)의 인증을 수행할 것이다.
이 제2 대안적인 실시형태는 제1 CNAP(101)가 단계(801 내지 807)를 참조하여 설명된 바와 같이 제2 CNAP(101)를 인증할 때, 위에서 설명된 제1 대안적인 실시형태와 유용하게 결합될 수도 있고, 따라서 코어 네트워크는 다음의 후보 제3 CNAP(1013)에 대한 만장일치 또는 분할 투표를 출력하기 쉬운 적어도 2개의 투표 CNAP(1011,2)를 포함한다.
이 제2 대안적인 실시형태에서, 단계(801)의 질문에 긍정적으로 답하고 그리고 CNAP 인증 요청이 네트워크 내 원격 노드(110N, 114N, 116N, 118N)로부터 수신될 때, 투표 필요조건이 피어 CNAP로부터 독립적인 인증 투표를 수신하는지에 대한 질문(902)이 또한 요청된다. 단계(902)의 질문에 부정적으로 답한다면, 제어는 단계(802 내지 807)의 시퀀스로 복귀된다.
대안에서, 단계(902)의 질문에 긍정적으로 답한다면, 제어는 요청 노드에 대한 CNAP 자체 투표를 처리하기 위해 독립적으로 진행되는 단계(802 내지 807)의 시퀀스와 코어 네트워크 규칙세트에 따른 적용 가능한 투표 문턱값, 예를 들어, 투표의 미리 결정된 최소수, 또는 다수결의 경우에 네트워크 내 인증된 CNAP(101)의 수의 절반 더하기 1, 또는 만장일치의 경우에 네트워크 내 인증된 CNAP(101)의 총수를 검색함으로써 단계(903)에서 시작되는 원격 투표 수집 논리로 분할된다. 단계(904)에서, 투표 CNAP는 각각의 원격 피어 CNAP의 각각의 투표 결정을 위해 코어 네트워크를 폴링하여 현재의 투표 계수를 획득한다.
투표 CNAP(101)의 독립적인 투표 결정이 단계(806)에서 출력될 때, 단계(905)에서, 단계(904)의 현재의 투표 계수는 투표가 인증 투표라면 CNAP 자체 투표에 의해 증분되거나 또는 CNAP의 대안적인 결정에 의해 점감되어 투표없음을 출력한다. 단계(905)의 증분된 또는 점감된 투표 계수가 단계(903)에서 획득된 코어 네트워크 문턱값을 충족하거나 또는 초과하는지에 대한 질문이 다음에 단계(906)에서 요청된다. 단계(906)의 질문에 긍정적으로 답한다면, 제어는 단계(807)로 진행되고 그리고 투표 CNAP는 결과적으로 후보 CNAP(101)를 CNAP(101N+1)로서 인증하고, 인증된 CNAP(101N+1)가 모든 다른 투표 CNAP와 병행하여 그리고 이와 협력하여, 본 명세서에 설명된 바와 같은 게이트-키핑 및 CNPA-인증 기능을 수행할 수도 있어서, 네트워크 액세스 제어 처리 오버헤드를 여전히 더 실질적으로 공유한다. 대안에서, 단계(906)의 질문에 부정적으로 답할 때, 투표 CNAP(101)는 네트워크에 걸쳐 투표 결정을 피어 CNAP로 브로드캐스팅하고, 피어 CNAP의 각각은 단계(904)의 자체 인스턴스화(instantiation)에서 자체 투표 계수를 처리할 때 투표 결정을 수신할 수도 있다.
본 명세서에 설명된 데이터 처리 단계를 참조하면, CNAP(101)는 CNAP가 CNAP와 사용자 둘 다에 적용 가능한, 사용을 위한 네트워크의 기술 및 관리 조건을 준수한다면, 액세스를 작동시키고 액세스를 제공하거나 또는 액세스를 CNAP에 연결된 네트워크 및 시스템에 대해 방지하기 위해 인증된다. 상이한 시스템은 인증될 CNAP를 위한 상이한 조건을 요구할 수도 있고, 이는 네트워크에 대한 액세스 및 네트워크에 연결된 시스템의 사용을 제어하도록 하나의 또는 모든 CNAP의 기능 및 능력과 관련될 수 있고, 그리고 네트워크의 옵션, 기능 및 행위를 향상, 제어 및 중단시키도록 모든 CNAP의 속성의 배포를 요구할 수 있다. CNAP가 준수하도록 요구되는 시스템은 개방형 소스 시스템일 수 있고, 분산 원장에 비가역적으로 통합될 수 있거나 또는 구현 과정에서 무결성 및 투명성을 위해 제삼자 플랫폼에 의해 또는 또 다른 CNAP에 의해 감시될 수 있다. 코드 프로그램은 또한 다른 인증된 CNAP에게 임의의 코드 또는 조건이 조작, 추가, 제거 또는 개편되는지를 통지하도록 설계될 수 있다. 시스템이 다른 노드 또는 시스템 자체에 대한 변화를 검증 및 체크 및 검출하도록 설계될 수 있어서 최종 인증 전에 시스템의 변화에 대해 경보를 발한다.
인증 절차의 기술 준수는 유리하게는 단일의 노드 또는 CNAP가 네트워크 아키텍처 및 기능을 조작하는 것을 불가능하게 한다. 인증되고 그리고 코어 네트워크 속성 및 정책을 준수하는 모든 CNAP(101)는 네트워크 아키텍처 명세서에 따라 네트워크에 연결된 식별자 원장 및 시스템으로부터 정보를 획득할 수 있고, 그리고 액세스를 사용자 노드에게 제공할 수 있다. 교차-네트워크 시행은 유리하게는 점점 더 많은 CNAP가 인증되고 그리고 시스템의 조건을 준수할 때 특정한 시스템에 대해 증가되고, 이에 대응하여 코어 네트워크에 걸쳐 스케일링한다.
인증된 CNAP(101)는 CNAP가 코어 네트워크 속성 및 규칙세트를 준수하지 않는다면, 또는 CNAP의 사용자 노드가 코어 네트워크의 사용 규칙세트를 준수하지 않는다면, 인증, 그리고 이에 대응하여 액세스를 하나 이상의 노드, 시스템 및 원장에 제공하는 능력을 손실할 수 있다. 이 인증 취소는, 예를 들어, CNAP의 속성(311 내지 320)이 코어 네트워크 속성 및 규칙세트에 대한 업데이트를 추적하는데 실패해야 하고 그리고 CNAP 자체가 결과적으로 코어 네트워크에 대한 연결성을 손실한다면, 디폴트에 의해, 자동화될 수 있거나; 또는 예를 들어, 식별자 원장 내 노드 정보가 CNAP 식별자와 연관된다면 그리고, 노드의 할당된 네트워크 어드레스 또는 사용자(UPARAM)가 멀웨어, 컴퓨터 바이러스, 스팸 또는 이러한 다른 범죄 네트워킹 행위와 연관되게 될 때, CNAP는 식별자를 통해 이들과 연관되게 된다.
도 9 및 도 10은 각각의 경우에 복수의 CNAP(1011-N)에 의해 제어되는, 본 발명에 따른 코어 네트워크 아키텍처의 각각의 실시형태를 예시하고, 각각의 CNAP는 도 9의 실시형태에서 유럽 연합 회원국 그리고 도 10의 실시형태에서 지리학상 대륙에 각각, 지리학적 좌표 속성 및 코어 네트워크의 규칙세트를 통한 설계에 의해, 지리적으로 위치 설정된다.
실시형태 중 어느 하나에서, CNAP에서 코어 네트워크에 대한 요청 노드의 액세스를 제어하는 것은 코어 네트워크 경계에 대해 노드로부터 거리를 결정하도록 CNAP에서 노드를 지리적으로 위치 설정하는 것을 포함한다. 이 절차는 다양한 기법을 통해, 예컨대, 추가의 노드 또는 사용자 고유 지리학적 위치 설정 매개변수(UPARAM ( x,y ))의 등록; 또는 예를 들어, 추적 및 검색 모듈(319)에 의한 노드의 지리학적 좌표의 실시간 지리적 위치 설정; 또는 요청 노드의 IP 어드레스 또는 노드의 이전에-할당된 코어 네트워크 어드레스 중 하나로부터 도출된 노드의 지리학적 좌표의 실시간 추정; 또는 이 기법의 임의의 조합을 통해 구현될 수도 있다. 관련된 노드 지리학적 위치 설정 데이터는 또한 관리 정보, 예컨대, 네트워크를 위한 자율 시스템 번호, 대륙별 인터넷 레지스트리 또는 다른 번호 리소스 단체의 등록, 또는 전기 통신 라이센스의 지역 발행자로부터 라이센스의 일부 등에 기초하여 등록될 수도 있다. 절차의 목적은 노드의 액세스 요청을 처리하는 CNAP의 지리학적 범위 내 또는 외부의 노드의 존재를 결정하여, 액세스 요청을 승인 또는 거부하는 것이다.
이에 따라, 본 발명은 코어 네트워크 인프라스트럭처에 부착되거나 또는 코어 네트워크 인프라스트럭처에서 실행되는 상이한 원장 및 시스템으로부터 차단되거나 또는 이에 대한 액세스를 획득하도록 연결된 사용자에게 자격을 부여함으로써, 광역 네트워크를 통해 코어 네트워크에 대한 액세스를 관리하기 위한 방법 및 시스템을 제공한다. 원장 중 적어도 하나는 기술 명세서를 준수하고 그리고 이들의 인증을 승인하기 위해 전류 코어 네트워크 액세스 제공자로부터 미리 결정된 수의 투표를 획득함으로써 원장 게이트키퍼로서 인증을 획득하는 코어 네트워크 액세스 제공자에 의해 관리되는 시스템을 포함한다. 인증될 때 그리고 인증되는 경우, 코어 네트워크 액세스 제공자는 이러한 사용자가 시스템의 사용자 명세서를 준수한다면, 아이덴티티 원장에 대한 사용자 액세스를 승인할 수 있다. 따라서 본 발명이 인프라스트럭처, 정보 네트워크 프로토콜, 분산 원장 및 연결된 연산 시스템을 사용하여 그 외에 미제어된 환경에서, 연결된 시스템의 조작 및 다른 불법 사용에 대한 세이프가드 메커니즘을 포함하여, 아이덴티티, 정보, 권한, 및 정책의 보호를 위한 효율적인 네트워크 설계를 가능하게 하는 아키텍처를 제공한다.
원장은 MAC, IMEI, IP 어드레스 및/또는 네트워크 프로토콜의 다른 통신 어드레스와 같은 식별 가능한 기술 속성과, 원장에 대해 액세스하는 모든 노드에 대한 통신 어드레스 뒤의 아이덴티티에서 즉시 명료하게 될 상태의 임의의 변화를 가능하게 하는 식별 가능한 기술 속성(MAC, EVIEI 등)으로부터 도출되는 공개 키와 같은, 사용자의 어드레스 리소스의 분산형 명부를 병합한다. 다른 네트워크, 시스템, 애플리케이션, 원장이 코어 네트워크 적격 방법 및 식별자 원장과 인터페이싱할 수도 있고, 그리고 사용자가 하나의 디지털 아이덴티티에 기초하여 이들과 상호 운용하고, CNAP(101) 또는 이들 각각 및 식별자가 모든 시스템 및 원장을 위한 중재자를 포함하고; 아키텍처가, 상이한 분산 시스템 및 원장을 위한 엔트리 및 예비-평가의 포인트로서 인프라스트럭처 및 액세스를 (에어 갭 경로, 링크 계층 블록을 통해) 제어하고, 그리고 각각의 이러한 엔트리(디바이스(110 내지 118), 데이터베이스(120), 시스템(116 내지 118))를 통신 어드레스 시스템과 결합된 블록체인 기술의 일부를 사용하여 식별자 원장(150)에 기록하는, 하나 이상의 CNAP의 사용 시 중심에 위치되어 모든 노드에 대해 연결된 노드의 쉽게 조작할 수 없는 기록 및 공개를 구현하여, 노드 식별자에 대한 임의의 변화가 즉시 명백해지고 그리고 모든 연결된 노드에게 통지된다. 이 식별자 원장(150) 및 CNAP 시스템(101)은 다른 시스템을 위한 토대로서 사용될 수 있고 그리고 다른 원장과 시스템 간의 상호운용성을 제공할 수 있다.
도 10을 참조하여 설명된 실시형태를 참조하여, 이러한 원장 및 플랫폼의 예는 예를 들어, 블록체인 유형의 분산 원장을 사용하는 권한 소유자에 의해 설정된 알고리즘에 따라 본래의 작업에 기초하여 보기 권한 및 복사본을 발행하도록 조정된 글로벌 시스템일 수 있고, 권한은 CNAP 규칙세트 명세서를 통해 시행되고 그리고 불법 보기 또는 복사는 오직 식별자 원장 기록에서 유효한 허용된 사용자에게 액세스를 제공함으로써 방지된다. CNAP 능력을 사용하는 CNAP와 함께 설치되는 권한 시스템 명세서는 불법 사용을 방지할 수 있고 그리고 사용자를 위해 네트워크에 걸쳐 권한을 시행할 수 있다. 따라서, 본 발명의 실시형태는 관리 및 상업 정책의 모든 유형을 설계, 시행 및 제어하도록 사용될 수도 있고, CNAP(101)는 정책- 및 다른 규제-구현 네트워크된 시스템에 대한 액세스, 및 이의 준수를 게이트키핑한다.
예를 들어, 국가 통화 트랜잭션 원장은 CNAP 액세스 시스템을 통해 직접적으로 액세스될 수도 있다. 이러한 통화는 예를 들어, 지역 중심 은행의 정책에 따라, 통화 원장에 등록되는 수량 또는 용적 단위로 발행될 수도 있고 그리고 수량은 분산 원장에 투명하게 등록될 수도 있다. 통화는 외부 공급원으로부터 입력 및/또는 알고리즘에 기초하여 통화 발행 정책을 실행시키는 데이터-프로그램을 사용할 수도 있고, 그리고 통화는 CNAP에서 구현될 수도 있거나 또는 CNAP와 인터페이싱될 수도 있다. 상이한 국가, 외국 또는 글로벌 애플리케이션 및 원장, 예를 들어, 상이한 통화를 제어하는 다수의 분산 원장은 모든 원장/통화에 걸쳐 안전한 식별을 제공하는 식별자 원장(150)을 통해 상호 운용할 수도 있고 그리고 다수의 부착된 시스템 및 원장으로부터의 값은 식별자 원장(150)에 등록된 상이한 아이덴티티와 연관될 수도 있고 그리고 이에 변경할 수 없게 부착될 수도 있다. 불법 트랜잭션 및/또는 통화가 CNAP 능력을 사용하는 규제 시스템 명세서에 의해 방지될 수 있어서 정책을 시행하고 그리고 사용자 간의 트랜잭션을 방지한다. 사용자가 무효 식별자 원장 기록을 갖거나 또는 허가되지 않고 식별되지 않는다면, 이러한 사용자로/로부터의 트랜잭션은 차단될 수 있다. 불법 통화와 관련된 애플리케이션 및 시스템의 신호 전송, 통신, 링크 및 사용은 CNAP에 의해 방지될 수 있다. 지불 조작자, 은행 및 다른 금융 단체는 사용자 아이덴티티가 위반된다면 통지될, 아이덴티티 원장(150)에 대한 액세스를 획득할 수 있다.
마찬가지로, 도 9의 예시적인 실시형태를 참조하면, 디지털 패스포트는 명시된 액세스 조건에 기초하여 상이한 시스템 및 원장에 대한 액세스를 승인 및 차단하는 것을 통해, 사용자 프라이버시 및 책임을 유지하도록 공동-인증된, 협력하는 CNAPS1 -N을 통해 국가적으로 그리고 지역적으로 관리될 수도 있고, 그리고 식별자 원장(150)에서 발생하는 무효 기록은 아이덴티티 위반 통지를 유발한다. 지리학적 경계가 또한 기술적으로 명시될 수도 있고, 그리고 이들의 횡단은 CNAP 액세스 시스템을 통해 거부된다.
이러한 실시형태는 지리적으로 위치 설정된 디지털 데이터 처리 시스템, 예컨대, 데이터베이스, 시스템 및 사이버 경계 둘레에 효율적인 경계를 제공할 수 있다. 식별자 원장(150)으로 액세스하는 노드(11ON, 114N, 116N, 118N)에는 네트워크 관리 툴을 포함하여, CNAP 능력을 가진 자동 인터페이스가 수여될 수도 있어서 아이덴티티 위반을 이루도록 간주되는 노드의 통신을 감소시킨다. 이러한 실시형태에서, 사용자 개인용 정보(UPARAM)를 위한 필요조건은 시스템 명세서에 대해 조정될 수도 있고, 시스템의 프라이버시-보안 기능을 유지하는데 충분한 개인용 정보의 최소량이 선택된다. 따라서, 본 발명은 제삼자를 믿는 일없이 아이덴티티 위반을 검출하기 쉬운 시스템을 제공할 수 있고, 이는 특히 사이버 보안 영역에 그리고 정부 간에 관련되는 것으로 고려된다.
본 발명의 네트워크 아키텍처는 유리하게는 예를 들어, 불법 원장을 통해, 물리적 하드웨어, 회로 전환된 네트워크 및 CNAP에서의 모든 네트워크 능력을 포함하는 액세스 및 제어 절차를 통해, 개방형 WAN의 맥락에서 코어 네트워크 및 이와 연결된 다양한 노드의 조작을 방지하고, 모든 사용자는 시스템의 조건 명세서에 따라 코어 네트워크의 가능한 사용 및 기능을 변경할 수 있는 코어 네트워크 기능(312 내지 320) 중 하나 이상 그리고 액세스 핸들러(311)와 적어도 인터페이싱되는 시스템 명세서를 준수해야 한다.
본 발명의 실시형태는 단계가 수행되게 하도록 하나 이상의 프로세서 또는 처리부를 위한 명령어를 가진 하나 이상의 비일시적 컴퓨터-판독 가능한 매체에서 인코딩될 수도 있다. 하나 이상의 비일시적 컴퓨터-판독 가능한 매체는 휘발성 및 비휘발성 메모리를 포함할 것임에 유의해야 할 것이다. 하드웨어 구현, 소프트웨어 구현 또는 소프트웨어/하드웨어 구현을 포함하여, 대안적인 구현이 가능하다는 것에 유의해야 할 것이다. 하드웨어-구현 기능은 ASIC(들), 프로그램 가능한 어레이, 디지털 신호 처리 회로 등을 사용하여 실현될 수도 있다. 이에 따라, "수단"이라는 용어는 임의의 청구항에서 소프트웨어 구현과 하드웨어 구현 둘 다를 포함하는 것으로 의도된다. 유사하게, 본 명세서에서 사용될 때 용어 "컴퓨터-판독가능 매체 또는 매체들"은 명령어의 프로그램이 구현되는 소프트웨어 및/또는 하드웨어, 또는 이들의 조합을 포함한다. 이 구현 대안을 유념하여, 도면 및 첨부 설명이 기능 정보를 당업자에게 제공하는 것이 프로그램 코드(즉, 소프트웨어)를 기입하고/기입하거나 회로(즉, 하드웨어)를 제작하여 필요한 처리를 수행하게 요구할 것이 이해된다.
본 발명의 실시형태가 다양한 컴퓨터-구현 작동을 수행하기 위한 컴퓨터 코드를 가진 비일시적, 유형의 컴퓨터-판독가능 매체를 가진 컴퓨터 제품과 더 관련될 수도 있다는 것에 유의해야 할 것이다. 매체 및 컴퓨터 코드는 본 발명의 목적을 위해 특별히 설계 및 구성된 것일 수도 있거나, 또는 이들은 당업자에게 공지되거나 또는 입수 가능한 유형의 것일 수도 있다. 유형의 컴퓨터-판독 가능한 매체의 예는 자기 매체, 예컨대, 하드 디스크, 플로피 디스크, 및 자기 테이프; 광학 매체, 예컨대, CD-ROM 및 홀로그램 디바이스; 광자기 매체; 및 프로그램 코드를 저장 및 실행하도록 특별히 구성되는 하드웨어 디바이스, 예컨대, 응용 주문형 집적 회로(application-specific integrated circuit: ASIC), 프로그램 가능한 논리 디바이스(programmable logic device: PLD), 플래시 메모리 디바이스, 및 ROM 디바이스 및 RAM 디바이스를 포함하지만 이들로 제한되지 않는다. 컴퓨터 코드의 예는 컴파일러에 의해 생성되는 바와 같은, 기계 코드, 및 인터프리터를 사용하여 컴퓨터에 의해 실행되는 상위 계층 코드를 포함하는 파일을 포함한다. 본 발명의 실시형태는 처리 디바이스에 의해 실행되는 프로그램 모듈에 있을 수도 있는 기계-실행 가능한 명령어로서 전체적으로 또는 부분적으로 구현될 수도 있다. 프로그램 모듈의 예는 라이브러리, 프로그램, 루틴, 객체, 컴포넌트, 및 데이터 구조를 포함한다. 분산형 연산 환경에서, 프로그램 모듈은 국부적, 원격 또는 둘 다인 설정에서 물리적으로 위치될 수도 있다. 본 발명의 모든 양상은 사실상 그리고 응용 계층에서 구현될 수 있다. 본 발명은 본 발명의 창의적인 원리를 구현하는 목적을 제공하도록 임의의 유형의 데이터 처리 및 통신 기법을 사용할 수 있다.
당업자는 연산 시스템 또는 프로그래밍 언어가 본 발명의 실행에 중요하지 않다는 것을 알 것이다. 당업자는 또한 위에서 설명된 복수의 구성요소가 하위-모듈로 물리적으로 그리고/또는 기능적으로 분리될 수도 있거나 또는 함께 결합될 수도 있다는 것을 알 것이다.
본 명세서에서, 용어 "포함하다(comprise)" 또는 이것의 임의의 변형 및 용어 "포함하다(include)" 또는 이것의 임의의 변형은 완전히 교환 가능한 것으로 간주되고 그리고 이들은 전부 가장 넓은 가능한 해석으로 그리고 상호적으로 제공될 것이다.
본 발명은 위에 설명된 실시형태로 제한되지 않지만 구성 및 상세사항 둘 다에서 가변될 수도 있다.
Claims (14)
- 네트워크에 대해 그리고/또는 상기 네트워크에 연결된 다른 노드 및 시스템에 대해 액세스하는 상기 네트워크의 각각의 노드를 제공하는 컴퓨터-구현 방법으로서, 상기 네트워크는 복수의 계층을 포함하는 적어도 하나의 프로토콜 스택을 포함하되, 상기 방법은,
적어도 하나의 코어 네트워크 액세스 제공자에 의해 상기 프로토콜 스택의 각각의 계층의 상기 네트워크에 대한 실시간 액세스 및 행위를 제어하는 단계로서, 상기 코어 네트워크 액세스 제공자는 적어도 하나의 디지털 및/또는 물리적 엔티티를 포함하는, 상기 실시간 액세스 및 행위를 제어하는 단계;
네트워크 통신 어드레스를 상기 코어 네트워크 액세스 제공자에서의 상기 액세스-요청 노드 또는 각각의 액세스-요청 노드에 순차적으로 할당하는 단계;
무결성 식별자 원장에서, 상기 노드의 고유 매개변수 및 노드 사용자의 고유 매개변수로 상기 코어 네트워크 액세스 제공자에서의 할당된 네트워크 통신 어드레스를 인코딩하는 단계;
상기 무결성 식별자 원장을 실시간으로 각각의 네트워크-연결된 노드로 분산하는 단계;
분산된 식별자 원장을 수신하고 그리고 상기 분산된 식별자 원장을 각각의 네트워크-연결된 노드 또는 하나 이상의 인증된 노드에서 처리하여 순차적인, 아이덴티티 요인을 검증하고 그리고 무결성을 처리하는 단계;
상기 원장 내 무결성의 손실의 결정 시에, 손실을 유발하는 원장 기록을 식별하고 그리고 식별된 원장 기록을 포함하는 경보를 각각의 네트워크-연결된 노드 또는 하나 이상의 인증된 노드로 브로드캐스팅하는 단계; 및
무결성의 손실을 유발하는 원장 기록을 식별하거나 또는 경보를 상기 코어 네트워크 액세스 제공자에서 수신할 때, 상기 식별된 원장 기록에 대응하는 식별자를 가진 상기 노드에 대한 상기 네트워크, 시스템 또는 원장에 대한 액세스를 취소 또는 제어하는 단계를 포함하는, 컴퓨터-구현 방법. - 제1항에 있어서, 상기 네트워크 통신 어드레스를 순차적으로 할당하는 단계는 데이터 구조 또는 디바이스의 적어도 하나의 고유 매개변수 및/또는 데이터 처리 디바이스 사용자의 적어도 하나의 고유 매개변수와 하나 이상의 미리 결정된 액세스 매개변수를 매칭하는 것을 더 포함하는, 컴퓨터-구현 방법.
- 제2항에 있어서, 상기 미리 결정된 액세스 매개변수 또는 각각의 미리 결정된 액세스 매개변수는 위성 위치 확인 시스템(global positioning system: GPS) 좌표, 네트워크 인터페이싱 지점의 지리학적 좌표, 대륙별 인터넷 레지스트리(regional internet registries: RIR)에 의해 발행된 IP 어드레스 또는 자율 시스템 번호, 애플리케이션 서비스 제공자(application service provider: ASP)에 의해 발행된 세션 키 또는 허가 토큰을 포함하는 군으로부터 선택되는, 컴퓨터-구현 방법.
- 제1항 또는 제2항에 있어서, 상기 인코딩하는 단계는 인코딩된 네트워크 통신 어드레스, 노드 고유 매개변수 및 노드 사용자 고유 매개변수를 해시하는 것을 더 포함하고, 그리고 상기 무결성 식별자 원장은 블록체인 데이터 구조인, 컴퓨터-구현 방법.
- 제1항 내지 제4항 중 어느 한 항에 있어서, 상기 인코딩하는 단계는 할당된 네트워크 통신 어드레스를 디지털 서명 또는 디지털 키로 처리하는 것을 더 포함하는, 컴퓨터-구현 방법.
- 제1항 내지 제5항 중 어느 한 항에 있어서, 하드웨어 속성, 소프트웨어 속성, 통신 속성으로부터 선택된 미리 결정된 코어 네트워크 액세스 제공자 속성의 리스트 및 규칙세트에 따라 적어도 하나의 네트워크-연결된 노드를 제2 코어 네트워크 액세스 제공자로서 인증하는 추가의 단계를 포함하는, 컴퓨터-구현 방법.
- 제6항에 있어서, 복수의 코어 네트워크 액세스 제공자를 포함하는 상기 네트워크에서, 네트워크-연결된 노드를 추가의 코어 네트워크 액세스 제공자로서 인증하는 단계는 복수의 코어 네트워크 액세스 제공자의 각각에서 상기 노드를 인증하도록 투표하는 단계를 더 포함하는, 컴퓨터-구현 방법.
- 제6항 또는 제7항에 있어서, 각각의 코어 네트워크 액세스 제공자를 지리적으로 위치 설정하는 추가의 단계를 포함하는, 컴퓨터-구현 방법.
- 제6항 내지 제8항 중 어느 한 항에 있어서, 코어 네트워크 액세스 제공자가 미리 결정된 코어 네트워크 액세스 제공자 속성의 상기 리스트 중 하나 이상의 속성을 유지하는데 실패할 때 상기 코어 네트워크 액세스 제공자를 인증 취소하는 추가의 단계를 포함하는, 컴퓨터-구현 방법.
- 시스템으로서,
복수의 계층을 포함하는 적어도 하나의 프로토콜 스택;
상기 프로토콜 스택의 각각의 계층과 작동 가능하게 인터페이싱되고 그리고 상기 네트워크에 부착된 시스템, 하위 네트워크 및 원장에 관한 정보를 수신하기 위해 그리고 상기 네트워크에 대한 노드의 실시간 액세스 그리고 상기 네트워크 상의 상기 노드의 행위를 제어하도록 구성되는 적어도 하나의 코어 네트워크 액세스 제공자로서, 상기 코어 네트워크 액세스 제공자는 적어도 하나의 디지털 및/또는 물리적 엔티티를 포함하는, 상기 적어도 하나의 코어 네트워크 액세스 제공자;
상기 네트워크에 연결된 하나 이상의 노드로서, 네트워크 액세스를 요청할 때 상기 코어 네트워크 액세스 제공자에 의해 네트워크 통신 어드레스가 상기 노드 또는 각각의 노드에 순차적으로 할당되는, 상기 네트워크에 연결된 하나 이상의 노드; 및
각각의 노드에 대해, 상기 노드의 고유 매개변수 및 상기 노드 사용자의 고유 매개변수로 인코딩되는 할당된 네트워크 통신 어드레스를 포함하는 무결성 식별자 원장으로서, 각각의 네트워크 연결된 노드로 실시간으로 분산되는, 상기 무결성 식별자 원장을 포함하되;
상기 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자 및 각각의 노드는,
수신된 원장을 처리하여 무결성을 검증하고,
무결성의 손실을 유발하는 원장 기록을 식별하고,
상기 네트워크에 걸쳐 식별된 원장 기록을 포함하는 경보를 브로드캐스팅하도록 더 구성되고 그리고,
상기 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 상기 식별된 원장 기록에 대응하는 상기 네트워크 통신 어드레스를 가진 상기 노드를 위한 상기 네트워크에 대한 액세스를 취소 또는 제어하도록 더 구성되는, 시스템. - 제10항에 있어서, 상기 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 각각의 노드 사용자의 하나 이상의 고유 매개변수(들)의 정확도를 검증하도록 더 구성되고, 그리고 상기 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자에 의해 할당 가능한 네트워크 통신 어드레스의 최대 수는 이때 검증된 아이덴티티의 수와 같은, 시스템.
- 제10항 또는 제11항에 있어서, 상기 코어 네트워크 액세스 제공자 또는 각각의 코어 네트워크 액세스 제공자는 노드에 할당된 각각의 네트워크 통신 어드레스를 디지털 서명 또는 디지털 키로 처리하도록 더 구성되는, 시스템.
- 제10항 내지 제12항 중 어느 한 항에 있어서, 노드의 상기 고유 매개변수 또는 각각의 고유 매개변수는 매체 액세스 제어(media access control: MAC) 어드레스, 국제 모바일 장비 아이덴티티(international mobile equipment identity: IMEI) 코드, 모바일 장비 식별자(mobile equipment identifier: MEID) 코드, 장치 일련번호(electronic serial number: ESN), 안드로이드_ID 헥스 문자열(Android_ID hex string)을 포함하는 군으로부터 선택되는, 시스템.
- 제10항 내지 제12항 중 어느 한 항에 있어서, 노드 사용자의 상기 고유 매개변수 또는 각각의 고유 매개변수는 위성 위치 확인 시스템(global positioning system: GPS) 좌표, 생체 데이터, 개인용 식별 번호(personal identification number: PIN), 패스워드, 패스포트 일련번호, 보편적 고유 식별자(universally unique identifier: UUID)를 포함하는 군으로부터 선택되는, 시스템.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17160170 | 2017-03-09 | ||
| EP17160170.1 | 2017-03-09 | ||
| PCT/EP2018/055846 WO2018162687A1 (en) | 2017-03-09 | 2018-03-08 | Core network access provider |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190136011A true KR20190136011A (ko) | 2019-12-09 |
| KR102571829B1 KR102571829B1 (ko) | 2023-08-28 |
Family
ID=58347085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020197029654A KR102571829B1 (ko) | 2017-03-09 | 2018-03-08 | 코어 네트워크 액세스 제공자 |
Country Status (13)
| Country | Link |
|---|---|
| US (1) | US11438338B2 (ko) |
| EP (1) | EP3593519B1 (ko) |
| JP (1) | JP7162350B2 (ko) |
| KR (1) | KR102571829B1 (ko) |
| CN (2) | CN116938558A (ko) |
| AU (1) | AU2018232853B2 (ko) |
| BR (1) | BR112019018544A2 (ko) |
| CA (1) | CA3055428A1 (ko) |
| ES (1) | ES2887378T3 (ko) |
| IL (1) | IL269177B (ko) |
| MX (1) | MX2019010625A (ko) |
| RU (1) | RU2765567C2 (ko) |
| WO (1) | WO2018162687A1 (ko) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6949249B2 (ja) * | 2018-04-16 | 2021-10-13 | ビーシー ディベロップメント ラボズ ゲーエムベーハー | 最小限の検証クライアントを使用したトラストレスステートレスインセンティブ型リモートノードネットワーク |
| US11544782B2 (en) | 2018-05-06 | 2023-01-03 | Strong Force TX Portfolio 2018, LLC | System and method of a smart contract and distributed ledger platform with blockchain custody service |
| US11550299B2 (en) | 2020-02-03 | 2023-01-10 | Strong Force TX Portfolio 2018, LLC | Automated robotic process selection and configuration |
| US11669914B2 (en) | 2018-05-06 | 2023-06-06 | Strong Force TX Portfolio 2018, LLC | Adaptive intelligence and shared infrastructure lending transaction enablement platform responsive to crowd sourced information |
| CA3098670A1 (en) | 2018-05-06 | 2019-11-14 | Strong Force TX Portfolio 2018, LLC | Methods and systems for improving machines and systems that automate execution of distributed ledger and other transactions in spot and forward markets for energy, compute, storage and other resources |
| DE102018208962A1 (de) * | 2018-06-06 | 2019-12-12 | Siemens Mobility GmbH | Verfahren und System zum fehlerkorrigierenden Übertragen eines Datensatzes über eine unidirektionale Kommunikationseinheit |
| US10409783B1 (en) * | 2018-06-06 | 2019-09-10 | Capital One Services, Llc | Distributed work data management |
| WO2020068027A1 (ru) * | 2018-09-25 | 2020-04-02 | Дмитрий Валерьевич ХАЧАТУРОВ | Система и способ сбора, обработки, хранения и передачи цифровых данных |
| US10951615B1 (en) | 2018-10-16 | 2021-03-16 | Sprint Communications Company L.P. | Wireless network access for data appliances |
| US10986500B1 (en) | 2018-11-06 | 2021-04-20 | Sprint Communications Company L.P. | Hardware-trusted ledger client for distributed ledgers that serve wireless network slices |
| US11895223B2 (en) * | 2019-02-06 | 2024-02-06 | International Business Machines Corporation | Cross-chain validation |
| US11729078B2 (en) * | 2019-03-21 | 2023-08-15 | Rheinisch-Westfälische Technische Hochschule (Rwth) Aachen | Method and devices for a load allocation and monitoring for a supply security-critical resource to be allocated in a network |
| CN112241888B (zh) * | 2019-07-19 | 2024-03-26 | 傲为有限公司 | 基于公链的地址管理系统 |
| WO2021039453A1 (ja) * | 2019-08-29 | 2021-03-04 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 制御方法、サーバ、および、プログラム |
| US11982993B2 (en) | 2020-02-03 | 2024-05-14 | Strong Force TX Portfolio 2018, LLC | AI solution selection for an automated robotic process |
| CN112101963B (zh) * | 2020-09-17 | 2024-02-27 | 中国信息通信研究院 | 一种防伪设备及实现防伪的分布式标识解析系统 |
| US11929163B1 (en) | 2020-10-16 | 2024-03-12 | Express Scripts Strategic Development, Inc. | Automated device efficacy determination systems for health monitoring devices |
| US11515035B1 (en) | 2020-10-16 | 2022-11-29 | Express Scripts Strategic Development, Inc. | Automated device efficacy determination systems for health monitoring devices |
| WO2023281517A1 (en) * | 2021-07-05 | 2023-01-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Monitoring wireless devices in a communication network |
| CN113905411B (zh) * | 2021-10-28 | 2023-05-02 | 中国联合网络通信集团有限公司 | 深度包检测识别规则的检测方法、装置、设备及存储介质 |
| US11799826B1 (en) * | 2021-11-24 | 2023-10-24 | Amazon Technologies, Inc. | Managing the usage of internet protocol (IP) addresses for computing resource networks |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008305188A (ja) * | 2007-06-07 | 2008-12-18 | Softbank Telecom Corp | ネットワークシステム、認証局設定方法、及び認証局設定プログラム |
| JP2009514256A (ja) * | 2003-06-26 | 2009-04-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 |
| US20160182519A1 (en) * | 2013-07-05 | 2016-06-23 | Sgx As | Method and system related to authentication of users for accessing data networks |
| CN106452785A (zh) * | 2016-09-29 | 2017-02-22 | 财付通支付科技有限公司 | 区块链网络、分支节点及区块链网络应用方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7997485B2 (en) * | 2006-06-29 | 2011-08-16 | Microsoft Corporation | Content presentation based on user preferences |
| CN101425903A (zh) * | 2008-07-16 | 2009-05-06 | 冯振周 | 一种基于身份的可信网络架构 |
| SI22941A (sl) * | 2008-12-19 | 2010-06-30 | ISKRATEL@@d@o@o@@@Kranj | Postopek za izvedbo večponudniškega multikast članstva |
| NO20120022A1 (no) * | 2012-01-10 | 2013-07-11 | Magnus Skraastad Gulbrandsen | System og fremgangsmate for kontroll av tilgang til opphavsrettsbeskyttede data |
| US20160283920A1 (en) * | 2015-03-28 | 2016-09-29 | Justin Fisher | Authentication and verification of digital data utilizing blockchain technology |
| US20170048235A1 (en) * | 2015-07-14 | 2017-02-16 | Fmr Llc | Crypto Captcha and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems |
| GB2548802A (en) * | 2016-03-22 | 2017-10-04 | Bitcred Ltd | Methods for creating and verifying an electronic user identity |
| CN106357405A (zh) * | 2016-09-19 | 2017-01-25 | 弗洛格(武汉)信息科技有限公司 | 一种基于区块链技术一致性算法的数据管理方法及系统 |
| CN106487801B (zh) * | 2016-11-03 | 2019-10-11 | 江苏通付盾科技有限公司 | 基于区块链的信息验证方法及装置 |
-
2018
- 2018-03-08 ES ES18713812T patent/ES2887378T3/es active Active
- 2018-03-08 JP JP2019571103A patent/JP7162350B2/ja active Active
- 2018-03-08 MX MX2019010625A patent/MX2019010625A/es unknown
- 2018-03-08 KR KR1020197029654A patent/KR102571829B1/ko active IP Right Grant
- 2018-03-08 EP EP18713812.8A patent/EP3593519B1/en active Active
- 2018-03-08 CA CA3055428A patent/CA3055428A1/en active Pending
- 2018-03-08 CN CN202310903948.7A patent/CN116938558A/zh active Pending
- 2018-03-08 CN CN201880030967.0A patent/CN110622490A/zh active Pending
- 2018-03-08 US US16/491,843 patent/US11438338B2/en active Active
- 2018-03-08 WO PCT/EP2018/055846 patent/WO2018162687A1/en unknown
- 2018-03-08 AU AU2018232853A patent/AU2018232853B2/en active Active
- 2018-03-08 BR BR112019018544A patent/BR112019018544A2/pt not_active Application Discontinuation
- 2018-03-08 RU RU2019131257A patent/RU2765567C2/ru active
-
2019
- 2019-09-08 IL IL269177A patent/IL269177B/en unknown
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009514256A (ja) * | 2003-06-26 | 2009-04-02 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 |
| JP2008305188A (ja) * | 2007-06-07 | 2008-12-18 | Softbank Telecom Corp | ネットワークシステム、認証局設定方法、及び認証局設定プログラム |
| US20160182519A1 (en) * | 2013-07-05 | 2016-06-23 | Sgx As | Method and system related to authentication of users for accessing data networks |
| CN106452785A (zh) * | 2016-09-29 | 2017-02-22 | 财付通支付科技有限公司 | 区块链网络、分支节点及区块链网络应用方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| IL269177A (en) | 2019-11-28 |
| EP3593519A1 (en) | 2020-01-15 |
| WO2018162687A1 (en) | 2018-09-13 |
| ES2887378T3 (es) | 2021-12-22 |
| JP2020516202A (ja) | 2020-05-28 |
| AU2018232853A1 (en) | 2019-10-17 |
| CN116938558A (zh) | 2023-10-24 |
| RU2765567C2 (ru) | 2022-02-01 |
| IL269177B (en) | 2022-03-01 |
| KR102571829B1 (ko) | 2023-08-28 |
| MX2019010625A (es) | 2019-12-19 |
| JP7162350B2 (ja) | 2022-10-28 |
| CA3055428A1 (en) | 2018-09-13 |
| AU2018232853B2 (en) | 2023-02-02 |
| US20200412731A1 (en) | 2020-12-31 |
| RU2019131257A (ru) | 2021-04-10 |
| BR112019018544A2 (pt) | 2020-04-14 |
| CN110622490A (zh) | 2019-12-27 |
| RU2019131257A3 (ko) | 2021-08-03 |
| EP3593519B1 (en) | 2021-05-05 |
| US11438338B2 (en) | 2022-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102571829B1 (ko) | 코어 네트워크 액세스 제공자 | |
| US11949656B2 (en) | Network traffic inspection | |
| US10958662B1 (en) | Access proxy platform | |
| CN108702360B (zh) | 使用动态网络属性的数字资产保护策略 | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| US20170223012A1 (en) | System and method for transferring device identifying information | |
| CN104054321A (zh) | 针对云服务的安全管理 | |
| US10021141B2 (en) | Managing network resource access using session context | |
| GB2531247A (en) | Method, hardware and digital certificate for authentication of connected devices | |
| US20190173880A1 (en) | Secure node management using selective authorization attestation | |
| EP3062254B1 (en) | License management for device management system | |
| Sinha et al. | A community‐based hierarchical user authentication scheme for Industry 4.0 | |
| Hussein et al. | Access control in IoT: From requirements to a candidate vision | |
| Duy et al. | B-DAC: a decentralized access control framework on northbound interface for securing SDN using blockchain | |
| Kyriakidou et al. | Decentralized identity with applications to security and privacy for the internet of things | |
| Al Solami | Replication‐aware secure resource administration scheme for Internet of Things‐smart city applications | |
| Das et al. | Design of a trust-based authentication scheme for blockchain-enabled iov system | |
| Singh et al. | Security in amazon web services | |
| Sabbari et al. | A security model and its strategies for web services | |
| Sousa | Privacy preserving middleware platform for IoT | |
| Egala et al. | Access Control and Authentication in IoT | |
| Peng et al. | Big Data‐Based Access Control System in Educational Information Security Assurance | |
| Sharma | Security model of ad hoc cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |