KR101534890B1 - 신뢰된 장치별 인증 - Google Patents

신뢰된 장치별 인증 Download PDF

Info

Publication number
KR101534890B1
KR101534890B1 KR1020107026460A KR20107026460A KR101534890B1 KR 101534890 B1 KR101534890 B1 KR 101534890B1 KR 1020107026460 A KR1020107026460 A KR 1020107026460A KR 20107026460 A KR20107026460 A KR 20107026460A KR 101534890 B1 KR101534890 B1 KR 101534890B1
Authority
KR
South Korea
Prior art keywords
user
credentials
identifier
identity
evidence
Prior art date
Application number
KR1020107026460A
Other languages
English (en)
Other versions
KR20110020783A (ko
Inventor
웨이-치앙 구오 (마이클)
요르단 루스코브
루이 첸
푸이-인 윈프레드 옹
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20110020783A publication Critical patent/KR20110020783A/ko
Application granted granted Critical
Publication of KR101534890B1 publication Critical patent/KR101534890B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

인증 시스템은 사용자에게 편리하면서 기업 경계들을 가로질러 효율적인, 보다 더 강건한 인증 메커니즘을 제공하기 위해, 장치 자격증명 확인과 사용자 자격증명 확인을 결합한다. 일 구현에서, 편리한 2-인자 인증을 제공하기 위해 사용자 자격증명 확인 및 장치 자격증명 확인이 결합된다. 이러한 방식으로, 계정 기관 서비스(account authority service) 또는 기타 인증 제공자가 인자들 둘다를 확인하고, 사용자가 액세스하려고 의도하고 있는 계정 네트워크 리소스의 보안 정책에 따라 보안 토큰을 제공한다. 목표 계정 네트워크 리소스에 의해 승인되는 권한의 레벨은 계정 기관 서비스에 의해 확인되는 인자들의 수 및 유형에 따라 달라질 수 있다.

Description

신뢰된 장치별 인증{TRUSTED DEVICE-SPECIFIC AUTHENTICATION}
전형적인 사용자 인증 메커니즘은 사용자가 보호된 리소스(예를 들어, 인터넷을 통해 액세스되는 서버)에 액세스하려고 시도할 때, 사용자이름 및 패스워드의 유효성을 검증하는 것 등에 의해 사용자의 자격증명을 확인한다. 그러나, 그러한 전통적인 인증 메커니즘을 사용하면, 사용자이름과 패스워드가 악의있는 엔터티에 의해 도난당하는 경우, 그 엔터티가 전세계 어디에서든지 임의의 장치를 통하여 사용자의 계정에 액세스할 수 있어서, 바람직하지 못한 보안 위험이 발생한다.
다른 인증 시나리오는 사용자가 원격 장치에 로그인하려고 시도하는 것을 포함한다. 사용자 인증 메커니즘은 사용자를 인증할 수 있지만, 원격 장치가 실제로 사용자가 예상하고 있는 바로 그 신뢰된 장치임을 확인하는 것에도 관여할 수 있다. 예를 들어, 사용자는 비밀 파일을 업로드하기 위해 원격 서버에 로그인하려고 시도할 수 있다. 인증 프로세스가 사용자의 자격증명 및 장치의 자격증명 둘다를 확인하지 않는다면, 사용자는 잘못된 서버에 비밀 파일을 업로드할 수 있다. 액세스하고 있는 장치가 틀릴 위험은 심각한 보안 위험을 도입한다.
여기에 설명되고 청구되는 구현들은, 사용자에게 편리하면서 기업 경계들을 가로질러 효율적인, 보다 더 강건한 인증 메커니즘을 제공하기 위해, 장치 자격증명 확인과 사용자 자격증명 확인을 결합함으로써 상기 문제점을 해결한다. 일 구현예에서, 편리한 2-인자 인증을 제공하기 위해 사용자 자격증명 확인 및 장치 자격증명 확인이 결합된다. 일반적으로, 사용자는 사용자 자격증명(예를 들어, 사용자이름 및 패스워드)을 제공하는 한편, 사용자의 장치는 사용자 및 장치 둘다에 연관된 장치 자격증명을 제공한다. 이러한 방식으로, 계정 기관 서비스(account authority service) 또는 기타 인증 제공자가 인자들 둘다를 확인하고, 사용자가 액세스하려고 의도하고 있는 계정 네트워크 리소스의 보안 정책에 따라 보안 토큰을 제공한다. 요구되는 인자가 확인되지 않으면, 계정 기관 서비스는 다른 인자(예를 들어, 지문 스캔, 각막 스캔, HIP 솔루션, 비밀 질문 등)에 의한 인증을 요청할 수 있다. 목표 계정 네트워크 리소스에 의해 승인되는 권한의 레벨은 계정 기관 서비스에 의해 확인되는 인자들의 수 및 유형에 따라 달라질 수 있다.
일부 구현들에서, 컴퓨터 프로그램 제품으로서 제조품들이 제공된다. 컴퓨터 프로그램 제품의 일 구현은 컴퓨터 시스템에 의해 판독될 수 있고 컴퓨터 프로그램을 인코딩하고 있는 컴퓨터 프로그램 저장 매체를 제공한다. 컴퓨터 프로그램 제품의 다른 구현은 컴퓨팅 시스템에 의해 반송파에 구현되고 컴퓨터 프로그램을 인코딩하고 있는 컴퓨터 데이터 신호로 제공될 수 있다. 다른 구현들도 여기에 설명되고 인용된다.
본 개요는 이하의 상세한 설명에서 더 설명되는 개념들 중 선택된 것들을 간략한 형태로 소개하기 위해 제공된 것이다. 본 개요는 청구되는 발명의 주제의 핵심적인 특징 또는 본질적인 특징을 확인하도록 의도된 것이 아니며, 청구되는 발명의 주제를 한정하는 데에 사용되도록 의도된 것도 아니다.
도 1은 신뢰된 장치별 인증을 이용하는 예시적인 시스템을 도시한 것이다.
도 2는 신뢰된 장치별 인증서를 생성하기 위한 예시적인 동작 및 통신을 도시한 것이다.
도 3은 신뢰된 장치별 인증을 이용하여 보안 서버에 액세스하기 위한 예시적인 동작 및 통신을 도시한 것이다.
도 4는 신뢰된 장치별 인증에 기초하여 원격 장치 액세스를 제공하는 예시적인 시스템을 도시한 것이다.
도 5는 신뢰된 장치별 인증에 기초하여 원격 장치 액세스를 제공하는 예시적인 동작 및 통신을 도시한 것이다.
도 6은 설명된 기술을 구현하는 데에 유용할 수 있는 예시적인 시스템을 도시한 것이다.
도 1은 신뢰된 장치별 인증을 이용하는 예시적인 시스템(100)을 도시한 것이다. 사용자는 사용자 계정을 셋업하는 데에 있어서 통신 네트워크(108)를 통하여 계정 기관 서비스(account authority service)(104)와 통신하기 위하여 사용자 장치(102)를 조작한다. 일 구현에서, 사용자 계정은 다양한 네트워크 서비스들 또는 리소스들(총괄하여, "계정 네트워크 리소스"라고 함)에 액세스하는 데에 이용될 수 있다. 예를 들어, 계정 기관 서비스(104)에 계정을 셋업함으로써, 사용자는 계정 네트워크 내에서 이메일 서비스, 일정관리 서비스, 인스턴트 메시징 서비스, 텍스트 메시징 서비스, 블로그 서비스, 온라인 뮤직 서비스, 사진공유 서비스, 다양한 전자상거래 사이트, 다양한 원격 장치들 등에 액세스하는 데에 이용될 수 있는 자격증명들의 단일 집합을 구성할 수 있다. ("계정 네트워크"라는 용어는 계정 기관 서비스와의 신뢰된 관계를 갖는 계정 네트워크 리소스들의 네트워크를 칭한다.) 계정 기관 서비스(104)는 계정 네트워크 내에서의 사용자 계정들의 초기화 및 유지관리를 관리한다. 또한, 계정 기관 서비스(104)는, 각각의 계정 네트워크 리소스가 계정 기관 서비스(104)에 의해 제공되는 신원 표현(identity representations)(예를 들어, 보안 토큰)에 기초하여 사용자 액세스를 허용하도록, 이들 계정 네트워크 리소스들 각각과의 신뢰 관계를 유지한다. 일 구현에서, 계정 기관 서비스는, 계정 기관 서비스와 각 계정 네트워크 리소스 간의 통신을 보호하는 사용 조건(terms of use), 보안 정책 및 암호키 등과 같은 계약상의 합의들의 조합에 기초하여 계정 네트워크 자원들과의 이러한 신뢰 관계들을 설립하고 유지한다.
예를 들어, 보안 토큰은 고유 비밀(unique secret)을 이용하여 하나 이상의 엔터티(예를 들어, 사용자 및/또는 장치)의 신원의 증거를 제공한다. 다른 엔터티에 보안 토큰을 제공함으로써, 제공측 엔터티는 자신의 신원의 증거를 내놓는다. 제공측 엔터티에게 보안 토큰에 기초한 권한의 레벨을 인가할지 여부를 결정하는 것은 수신측 엔터티가 할 일이다. 또한, 보안 토큰은 만료 기간을 가질 수 있으며, 그 기간 후에는 보안 토큰을 더 이상 신뢰할 수 없다. 일 구현에서, 보안 토큰은 컴퓨팅 장치가 (예를 들어, 보안 토큰이 사용자이름 및/또는 장치 ID를 포함하는지를 결정하기 위해) 그것을 조사하는 것을 허용하는 API(Application Programming Interface)를 지원한다. 사용자이름은 사용자 ID의 일례이며, 다른 사용자 ID들도 이용될 수 있음을 이해해야 한다. 다른 예들은 이메일 주소, 및 게이머 태그를 포함하는 별칭을 포함할 수 있다.
사용자 계정을 셋업하기 위해 다른 정보 조합들도 이용될 수 있긴 하지만, 일 구현에서, 사용자는 계정을 셋업하기 위해 사용자 자격증명(예를 들어, 사용자이름 및 사용자 패스워드)을 제공한다. 계정 정보는 계정 기관 서비스(104)에 의해 액세스될 수 있는 데이터 리포지토리(106) 내에 저장된다. 예를 들어, 계정 레코드는 다른 데이터 항목들 중에서도, 사용자이름, 패스워드, 각각의 대응 장치 패스워드를 갖는 하나 이상의 장치 ID 및 사용자-친화적 장치이름을 포함할 수 있다. 사용자가 자신의 계정에 로그인하려고 시도할 때, 계정 기관 서비스(104)는 사용자의 계정 정보를 찾아보고, 사용자 자격증명을 그 계정 정보 내에 저장된 것들에 대하여 확인한다. 예를 들어, 계정 기관 서비스(104)는 제공된 사용자이름을 이용하여 사용자의 계정 정보를 찾아본다. 그 다음, 계정 기관 서비스(104)는 사용자의 계정으로의 액세스를 인가하기 위해 사용자 자격증명(예를 들어, 사용자이름 및 패스워드)을 인증한다.
또한, 계정 셋업 동안에 제공되든, 아니면 계정 셋업 이후에 제공되든 간에, 장치 자격증명(예를 들어, 장치 식별자(ID) 및 장치 패스워드)은 사용자 장치(102)로부터 계정 기관 서비스(104)로 전송되고, 사용자 자격증명과 연관지어 계정 정보로서 저장될 수 있다. 장치 ID는 장치에 대해 생성된 전역적으로 고유한 장치 식별자(globally unique device identifier)를 칭한다. 장치 ID는 다양한 방법을 이용하여 생성될 수 있다. 일 구현에서, 장치 ID는 한 장치 ID가 다른 장치 ID와 충돌하지 않도록 큰 값 집합을 갖는 GUID(Globally Unique Identifier)와 같은 무작위로 생성된 수일 수 있다. 다른 구현은 장치 자체의 고유한 특징들에 대한 고려를 포함할 수 있다. 예를 들어, 개인용 컴퓨터 장치에 대하여, 하드 디스크와 BIOS의 조합은 장치 ID 생성에 기여하기 위해 사용될 수 있는 소정의 고유한 비휘발성 매개변수 또는 특징을 제공한다. 다른 특징은 일반적으로 휘발성이 아닌, 운영 체제 내의 사용자 세팅들에 관련될 수 있다. 이러한 비휘발성 특징들은 장치 ID가 덜 스푸핑가능하고 손실로부터 복구하기가 더 쉽도록, 장치 ID가 실제의 장치 자체에 더 밀접한 관련을 갖게 해 준다.
일 구현에서, 사용자는 사용자 장치(102)가 신뢰된 장치임을 지정하고, 사용자 장치(102) 상에서 실행되는 클라이언트 소프트웨어는 사용자 장치(102)가 장치 자격증명으로서 계정 기관 서비스(104)에 보낼 장치 ID 및 장치 패스워드를 생성한다. 사용자는 또한 사용자가 (그리고, 잠재적으로는 다른 사용자들이) 향후에 사용자 장치(102)를 식별할 수 있도록, 사용자-친화적인 장치이름을 장치 자격증명과 연관지어 제공할 수 있다.
일 구현에서, 계정 기관 서비스(104)는 사용자와 사용자 장치(102) 간의 신뢰 관계를 확립하기 위해, 장치 ID를 사용자이름과 연관지어 데이터 리포지토리(106) 내에 기록한다. 이러한 프로세스를 통해, 사용자는 계정 기관 서비스(104)에 연계된(affiliated) 계정 네트워크 내에서, 사용자 장치(102)가 자신의 신뢰된 장치들 중 하나임을 선언한다. 사용자는 유사한 프로세스를 이용하여 복수의 신뢰된 장치들을 지정할 수 있음을 이해해야 한다.
또한, 사용자는 자신의 계정 내의 자신의 신뢰된 장치 목록으로부터 장치를 제거할 수 있는데, 이는 장치를 도난당했고 사용자가 도난된 장치를 통한 인증을 방지하기를 원할 때 유용하다. 예를 들어, 사용자는 계정 기관 서비스(104)에 자신의 사용자 ID를 명시된 장치 ID로부터 연관해제하라는 요청을 보낼 수 있다. 계정 기관 서비스(104)는 이에 응답하여 사용자의 계정으로부터 명시된 장치의 장치 ID를 삭제할 수 있고, 또는 사용자 ID가 더 이상 그 장치 ID에 연관되지 않음을 다르게 지정할 수 있다. 이러한 메커니즘은 예를 들어 사용자가 자신의 컴퓨터 또는 이동 전화를 갱신할 때 유용할 수 있는데, 예를 들어, 오래된 사용자 장치를 통한 요청이 "이 장치를 나의 신뢰된 장치 목록에서 제거해주세요"라고 명시할 수 있다. 그러나, 일부 상황들에서는, 사용자가 신뢰된 장치 목록으로부터 제거되어야 할 사용자 장치를 더 이상 가지고 있지 않을 수 있다 (예를 들어, 사용자 장치가 손상되거나, 분실되거나, 도난당했음). 그러한 상황들에서, 사용자는 사용자-친화적인 장치 이름에 의해 나열될 수 있는 자신의 신뢰된 장치들의 목록을 요청할 수 있고, 그 목록으로부터 제거될 장치를 선택할 수 있다. 다르게는, 사용자는 단순히 계정 기관 서비스(104)로의 제거 요청에 사용자-친화적인 장치 이름을 제공할 수 있다.
일 구현에서, 사용자가 자신이 사용자 장치(102)의 장치 ID에 연관되도록 자신의 계정을 계정 기관 서비스(104)에 셋업한 경우, 사용자는 사용자 장치(102)에 연관된 장치 인증서를 요청할 수 있다. 일반적으로, 장치 인증서는 공개키를 장치 ID에 바인딩하는 디지털 인증서이다. 장치 인증서는 공개키가 장치 ID에 의해 식별되는 장치에 속한다는 증거를 제공한다. 예를 들어, 사용자는 공개/개인키 쌍을 생성하고, 대상 장치에 대한 참조(예를 들어, 사용자-친화적인 장치 이름, 장치 ID 등)를 따라 공개키를 계정 기관 서비스(104)에 보낼 수 있다. 공개키는 인증서 요청이 신뢰된 장치 및/또는 사용자에 의해 이루어진 것임을 보장하기 위해, 장치 자격증명 및/또는 사용자 자격증명과 함께 제출된다. 공개키는 계정 셋업과 동시에 또는 그 이후의 소정의 다른 시간에 계정 기관 서비스(104)에 송신될 수 있다. 계정 기관 서비스(104)는 장치 인증서를 생성하기 위해 공개키를 이용하여 장치 ID를 암호화하고, 그것의 개인키를 이용하여 장치 인증서에 서명하고, 서명된 장치 인증서를 사용자 장치(102)에 보낸다. 이러한 트랜잭션의 결과로서, 사용자 장치(102)는 자신이 장치 ID에 의해 식별되는 장치라는 신뢰된 증거(예를 들어, 장치 인증서)를 소유하게 된다.
사용자가 전자 상거래 서버(110)와 같은 계정 네트워크 리소스로의 액세스를 개시하기를 원할 때, 사용자의 브라우저는 전자 상거래 서버(110)로 네비게이션할 수 있고, 전자 상거래 서버는 사용자의 브라우저를 계정 기관 서비스(104)로 리다이렉트시킨다. 사용자 장치(102)는 전자 상거래 서버(110)에 액세스하기 위한 보안 토큰에 대한 요청에서, 사용자 자격증명 및 장치 자격증명을 계정 기관 서비스(104)에 제공할 수 있다. 일 구현에서, 보안 토큰은 사용자이름 및/또는 장치 ID를 포함할 수 있으며, 이것은 계정 네트워크 리소스가 API를 통해 액세스할 수 있다. 일 구현에서, 계정 기관 서비스(104)는 사용자 자격증명, 장치 인증서 및 전자 상거래 서버(110)의 보안 정책을 평가하여, 전자 상거래 서버(110)에 액세스하기 위한 보안 토큰을 사용자 장치(102)에 제공할지 여부를 결정한다. 일반적으로, 보안 정책은 서버가 보안 활동에 관한 조건으로서 무엇을 정의했는지를 정의한다. 보안 정책은 기능들 및 그들 간의 흐름에 관한 제약, 프로그램들을 포함하는 외부 시스템 및 악의적 사용자(adversary)들에 의한 액세스 및 사용자들에 의한 데이터 액세스에 관한 제약을 다룬다. 다른 구현에서, 계정 기관 서비스(104)는 사용자 자격증명 및 장치 자격증명 둘다가 인증되었는지를 또한 고려하고, 그렇지 않은 경우에는 계정 기관 서비스(104)가 보안 토큰을 보류할 수 있다. 이러한 보류는 네트워크 서비스의 보안 정책에 따라 수행될 수 있고, 또는 계정 기관 서비스 자체에 의해 지시될(dictated) 수 있다.
사용자 장치(102)는 보안 토큰을 수신하면, 그 보안 토큰을 전자 상거래 서버(110)에 전달하고, 전자 상거래 서버는 결정된 권한 레벨 하에서의 사용자 액세스를 허용하기 전에 보안 토큰을 평가한다. 사용자가 전자 상거래 서버(110)에 액세스하는 것이 허용되면, 서버의 보안 정책의 조항들 및 사용자의 권한 레벨 하에서 사용자 장치(102)와 전자 상거래 서버(110) 간의 통신이 뒤따를 수 있다.
다중 인자 인증(예를 들어, 2-인자 인증)은 단일 인자 인증에 비해 더 강력한 보안을 제공할 수 있다. 다중 인자 인증에서 다른 인자들의 조합이 이용될 수 있긴 하지만, 일 구현에서, 다중 인자들은 사용자 자격증명에 신뢰된 장치 자격증명을 더한 것을 포함할 수 있다. 사용자의 이름 및 패스워드만으로는 쉽게 피싱(phishing)되거나 도난당할 수 있지만, 사용자가 계정 네트워크 리소스에 액세스하기 위해 이용하는 물리적인 신뢰된 장치는 악의있는 사용자가 획득하거나 조작하기가 더 어렵기 때문에, 다중 인자 인증은 더 강력한 경향이 있다. 또한, 사용자 인자에 더하여 신뢰된 장치 인자가 인증되는지의 여부에 따라, 상이한 보안 판정들이 이루어질 수 있다. 예를 들어, 보안 정책은 등록되지 않은 장치로부터 로그인하려는 시도가 있는 경우에 사용자에게 알려주고, 사용자의 패스워드의 변경은 신뢰된 장치를 통해서만 이루어질 것을 요구하고, 신뢰된 장치 인자가 인증되지 않은 경우에는 만료기간이 더 짧은 보안 토큰을 설정하는 등등을 할 수 있다.
일 구현에서, 전자 상거래 서버(110)는 신뢰된 장치 인자가 인증되는지의 여부에 따라 상이한 권한 레벨들을 사용자에게 제공할 수 있다. 예를 들어, 사용자 자격증명 및 장치 자격증명(예를 들어, 장치 인증서에 의해 나타내어지는 것) 둘다로 인증하는 사용자는 추가의 저장소를 제공받거나, 또는 사용자 자격증명만으로 인증하는 사용자보다 더 적은 HIP(human interactive prompts) 또는 기타 보안 프롬프트를 경험할 수 있다.
사용자 계정에 대한 추가의 보안을 위하여, 계정 기관 서비스(104)는, 사용자가 사용자 자격증명 및 신뢰된 장치의 장치 자격증명 둘다의 확인을 얻지 못하는 경우에 사용자 자격증명 및/또는 장치 자격증명을 변경하려는 시도를 차단할 수 있다. 실제로, 이러한 특징은 유효한 사용자이름/패스워드를 갖는 사용자가 신뢰된 장치를 통해 계정 기관 서비스(104)에 액세스하고 있지 않은 경우에, 계정 기관 서비스(104)를 통해 사용자 계정 정보를 변경하는 것을 방지할 수 있다. 대안적으로 또는 추가적으로, 변경을 요청하는 사용자가 사용자 자격증명 및 신뢰된 장치의 장치 자격증명 둘다의 확인을 얻지 못한 경우에, 사용자는 사용자 계정 정보를 변경하려는 시도를 통보받을 수 있다.
도 2는 신뢰된 장치별 인증서를 생성하기 위한 예시적인 동작들 및 통신들(총괄하여 200으로 함)을 도시한 것이다. 통신은 전형적으로 통신 네트워크를 통하는, 사용자 장치와 계정 기관 서비스를 운영하는 컴퓨팅 시스템 간의 데이터 전송을 나타낸다.
일 구현에서, 생성 동작(202)에서, 사용자 장치 상의 클라이언트 소프트웨어는 둘다 사용자 장치에 연관되는 장치 ID 및 장치 패스워드("장치 자격증명")를 생성한다. 사용자는 또한 사용자-친화적인 장치 이름을 장치 ID와 연관지어 제공할 수 있다. 전송 동작(204)에서, 사용자 장치는 사용자이름/패스워드 및 장치 ID/패스워드(그리고, 잠재적으로는 사용자-친화적인 장치 이름)를 수집하여, 계정을 생성하라는 요청에 연관지어 계정 기관 서비스에 보낸다. 생성 동작(206)에서, 계정 기관 서비스는 요청에 응답하여 사용자에 대한 계정을 생성하여, 사용자이름을 장치 ID와 연관시키고, 그 둘을 계정 기관 서비스에 의해 액세스될 수 있는 데이터저장소 내에 저장된 계정 정보에 기록한다. 또한, 사용자 패스워드 및 장치 패스워드 둘다 전형적으로 암호 보호와 함께 계정 정보 내에 저장될 수 있다.
사용자 이름 및 장치 ID는 다른 상황들 하에서도 연관지어질 수 있음을 이해해야 한다. 예를 들어, 사용자의 계정이 이미 생성되어 있어서, 사용자가 이전에 생성된 계정에서의 연관을 위해 장치 자격증명을 후속하여 제공할 수 있다. 또한, 사용자 이름은 복수의 신뢰된 장치 ID와 연관지어질 수 있으며, 그러한 연관들은 계정 정보 내에 기록될 수 있다.
생성 동작(208)에서, 사용자 장치는 공개/개인키 쌍을 생성한다. 요청 동작(210)에서, 사용자 장치는 신뢰된 장치에 연관된 인증서를 요청한다. 일 구현에서, 사용자 장치는 사용자-친화적인 장치 이름 및 공개키를 계정 기관 서비스에 보낸다. 대안적인 구현에서, 더 높은 보안상의 보증으로 신뢰된 장치에서 사용자에 의해 요청이 개시되고 있음을 보장하기 위해, 사용자 장치는 대안적으로 사용자이름/패스워드도 보낼 수 있다.
생성 동작(212)에서, 계정 기관 서비스는 장치 ID 및 공개키를 장치 인증서 내에 부기한 다음, 계정 기관 서비스의 개인키를 이용하여 인증서에 서명하여, 사용자 장치의 공개 키를 장치 ID에 바인딩한다. 이러한 방식으로, 장치 ID가 사용자 장치에 속하는 것임을 확인하기를 원하는 엔터티가 계정 기관 서비스의 공개키를 이용하여 인증서를 평가하여, 인증서의 디지털 서명을 검증할 수 있다.
일 구현에서, 사용자는 복수의 장치를 "신뢰된" 것으로 지정할 수 있다. 따라서, 신뢰된 장치의 각 장치 ID는 사용자의 사용자이름 및 사용자-친화적인 이름과 연관지어 계정 정보 내에 기록된다. 이러한 방식으로, 사용자는 제공된 사용자-친화적인 장치 이름에 의해 자신이 "신뢰된" 것으로 지정하기를 원하는 장치를 식별한다. 장치 인증서를 요청할 때, 사용자는 계정 기관 서비스가 사용자의 계정을 찾아서 액세스하고, 제공된 사용자-친화적인 장치 이름에 대응하는 장치 ID를 추출하도록, 사용자-친화적인 이름을 제공할 수 있다. 그 다음, 계정 기관 서비스는 장치 ID 및 공개 키를 장치 인증서 내에 부기하고, 자신의 개인키를 이용하여 장치 인증서에 서명한다.
반환 동작(214)에서, 계정 기관 서비스는 생성된 장치 인증서를 사용자 장치에 반환한다. 수신 동작(216)에서, 사용자 장치는 장치 인증서를 수신한다. 사용자 장치는 추후에 자신이 장치 ID에 의해 식별되는 장치라는 증거로서 장치 인증서를 이용할 수 있다.
도 3은 신뢰되는 장치별 인증을 이용하여 보안 서버에 액세스하기 위한 예시적인 동작들 및 통신들(총괄하여 300으로 함)을 도시한 것이다. 본 예에서, 사용자가 자신의 장치로부터 보안 서버에 액세스하기를 원한다고 가정하자. 보안 서버는 계정 기관 서버와 신뢰 관계에 있으며, 사용자 및 장치의 인증에 대해 그러한 관계에 의존한다. 이러한 신뢰 관계 내에서, 계정 기관 서비스는 보안 서버의 보안 정책들을 알고 있으며, 보안 서버로의 액세스를 위해 사용자 및/또는 장치를 인증하도록 요청받을 때 상기 정책들을 시행한다. 사용자가 사용자 자격증명 및 장치 자격증명 둘다를 제공하는지 아니면 사용자 자격증명만을 제공하는지에 따라, 보안 서버로의 액세스를 위하여 계정 기관 서비스에 의해 사용자에게 인가되는 권한 레벨이 달라질 수 있다. 예를 들어, 사용자 자격증명 및 장치 자격증명 둘다에 의한 인증은, 계정 기관 서비스가 사용자 자격증명만에 의한 인증에 비해 더 높은 레벨의 권한을 사용자에게 승인하게 할 수 있다.
도시된 흐름에서, 요청 동작(302)에서, 사용자는 (예를 들어, 보안 서버에 의해 제공되는 웹 페이지로 브라우저를 네비게이트시킴으로써) 보안 서버로의 액세스를 요청한다. 보안 서버 장치는 사용자가 계정 기관 서비스에 의해 액세스에 대해 아직 인증받지 않았음(예를 들어, 사용자의 액세스 요청이 보안 서버로의 액세스를 위한 보안 토큰을 포함하고 있지 않았음)을 검출하고, 따라서 리다이렉트 동작(304)에서 인증을 위하여 사용자를 계정 기관 서비스로 리다이렉트시킨다.
수신 동작(306)에서, 계정 기관 서비스는 (요청을 리다이렉트시킨 보안 서버의 식별을 포함하는) 리다이렉트된 요청을 수신한다. 보안 기관 서비스에서의 프롬프트 동작(308)은 자격증명에 대하여 사용자를 프롬프트한다. 사용자 장치는 수신 동작(310)에서 프롬프트를 수신하고, 송신 동작(312)에서 자격증명을 제출한다. 사용자는 자신의 사용자 자격증명(예를 들어, 사용자이름 및 패스워드)을 제출할 수 있는데, 이는 전형적인 것이다. 대안적인 시나리오에서, 사용자 장치도 장치 인증서(또는 장치 ID 및 장치 패스워드)를 제출할 수 있고, 그에 의해 인증을 위한 2개의 인자를 제공한다.
계정 기관 서비스와 보안 서버 간의 신뢰된 관계의 일부로서, 계정 기관 서비스는 보안 서버의 보안 정책들을 알고 있다. 따라서, 계정 기관 서비스가 사용자 장치로부터 자격증명을 수신할 때, 계정 기관 서비스는 그 자격증명을 인증하고, 자격증명이 (판정 동작(314)에서 결정된) 보안 서버의 보안 요건들을 만족시키는 경우에는, 계정 기관 서비스가 동작(320)에서 사용자 장치에 보안 토큰을 보낸다.
사용자-장치-공급된 자격증명이 보안 서버의 보안 요건들을 만족시키지 않는 경우, 계정 기관 서비스는 추가의 자격증명에 대하여 사용자 장치를 프롬프트할 수 있다(316). 예를 들어, 보안 서버가 사용자 자격증명 및 장치 자격증명 둘다와 같은 2-인자 인증을 요구하는 경우, 계정 기관 서버는 사용자가 신뢰된 장치를 통해 인증할 것을 요구할 수 있다. 대안적으로, 장치 ID 인자가 만족되지 않는 경우, 보안 서버는 HIP 솔루션, 비밀 질문 응답(예를 들어, 엄마의 결혼전 이름) 등과 같은 대안적인 제2의 인자를 받아들일 수 있다.
다른 시나리오들에서, 계정 기관 서비스에 의해 승인되는 인증은 요구되는 인자의 수가 만족되지 않는 경우에 소정의 방식으로 축소될 수 있다. 예를 들어, 계정 기관 서비스는 제2 인자 인증이 달성되지 않는 경우에 더 빠르게 만료하는 보안 토큰을 제공할 수 있다.
사용자 장치는 수신 동작(322)에서 보안 토큰을 수신하고, 송신 동작(324)에서 그것을 보안 서버에 전달한다. 승인 동작(326)에서, 보안 서버는 보안 토큰을 조사하여, 계정 기관 서비스에 의해 수행된 인증에 기초하여, 사용자/장치에 대해 인가할 권한의 레벨을 결정한다. 일 구현에서, 보안 서버는 보안 토큰을 조사하여, 사용자 자격증명 및 장치 자격증명 둘다가 계정 기관 서비스와의 인증에 포함되었는지를 결정한다. 그렇다면, 보안 서버는 사용자 장치를 통해 사용자에게 더 높은 레벨의 권한을 허용할 수 있다. 그렇지 않다면, 보안 서버는 사용자에게 더 낮은 레벨의 권한을 허용할 수 있거나, 액세스를 전혀 허용하지 않을 수 있다.
도 4는 신뢰된 장치별 인증에 기초하여 원격 장치 액세스를 제공하는 예시적인 시스템(400)을 도시한 것이다. 사용자는 사용자 계정을 셋업하는 데에 있어서, 통신 네트워크(408)를 통하여 계정 기관 서비스(404)와 통신하기 위하여 사용자 장치(402)를 조작한다. 일 구현에서, 사용자 계정은 다양한 계정 네트워크 리소스들을 액세스하기 위해 이용될 수 있다. 예를 들어, 계정 기관 서비스(404)에 계정을 셋업함으로써, 사용자 장치(402)를 조작하는 사용자는 자신이 원격 사용자 장치(412)를 통해 원격 사용자와 같은 다른 사용자들과 공유하고자 하는 신뢰된 장치들의 목록을 공개할 수 있다. 계정 기관 서비스(404)는 계정 네트워크 내에서의 사용자 계정의 초기화 및 유지관리를 관리한다. 계정 기관 서비스(404)는 또한 사용자, 사용자 장치, 및 계정 네트워크에 연결된 다른 사용자들 및 장치들과의 신뢰 관계를 유지한다.
사용자 계정을 셋업하기 위하여 다른 정보 조합들도 이용될 수 있긴 하지만, 일 구현에서, 사용자는 계정을 셋업하기 위해 사용자 자격증명(예를 들어, 사용자이름 및 사용자 패스워드)을 제공한다. 계정 정보는 계정 기관 서비스(404)에 의해 액세스될 수 있는 데이터 리포지토리(406) 내에 저장된다. 사용자가 자신의 계정에 로그인하려고 시도할 때, 계정 기관 서비스(404)는 사용자 계정 정보를 찾아보고, 제공된 사용자 자격증명을 계정 정보 내에 저장된 것들에 대하여 확인한다.
계정 셋업 동안 제공되든 아니면 그 이후에 제공되든 간에, 장치 자격증명(예를 들어, 장치 식별자(ID) 및 장치 패스워드)은 사용자 장치(402)로부터 계정 기관 서비스(404)에 전송되어, 사용자 자격증명과 연관지어 계정 정보로서 저장될 수 있다. 일 구현에서, 사용자는 사용자 장치(402)가 신뢰된 장치임을 명시하고, 사용자 장치(402) 상에서 실행되는 클라이언트 소프트웨어는 사용자 장치(402)가 장치 자격증명으로서 계정 기관 서비스(404)에 보낼 장치 ID 및 장치 패스워드를 생성한다. 사용자는 또한 자신이 (그리고, 잠재적으로는 다른 사용자들이) 향후에 사용자 장치(402)를 식별할 수 있도록 사용자-친화적인 장치 이름을 제공할 수 있다.
또한, 사용자는 장치 공유 명령어를 발행함으로써, 사용자 장치(402)를 다른 원격 사용자에 의해 액세스될 수 있는 것으로서 지정할 수 있다. 일 구현에서, 사용자는 자신의 계정 정보 내에 사용자 장치(402)를 다른 사용자들에 의해 액세스가능한 것으로서 식별하는 공유 매개변수를 설정한다. 다른 구현에서, 사용자는 또한 자신이 어느 원격 사용자들과 어느 권한 레벨에서 장치를 공유하기를 원하는지를 공유 매개변수로서 명시할 수 있다. 공유 매개변수는 계정 기관 서비스(404)가 사용자 장치(402)로부터 수신하는 장치 ID에 연관지어진다. 또한, 계정 기관 서비스(404)는 인증서에 공유 매개변수를 추가할 수 있으며, 인증서를 사용자 장치(402)에 반환하기 전에 인증서에 서명할 수 있다.
일 구현에서, 계정 기관 서비스(404)는 사용자와 사용자 장치(402) 간의 신뢰 관계를 확립하기 위해, 장치 ID 및 공유 매개변수를 사용자이름과 연관지어 데이터 리포지토리(406) 내에 기록한다. 이러한 프로세스를 통해, 사용자는 계정 기관 서비스(404)에 연계된 계정 내트워크 내에서 사용자 장치(402)가 그의 신뢰된 장치 중 하나임을 선언한다.
일 구현에서, 사용자가 자신이 사용자 장치(402)의 장치 ID에 연관지어지도록 계정 기관 서비스(404)에 자신의 계정을 셋업한 경우, 사용자는 사용자 장치(402)에 연관된 장치 인증서를 요청할 수 있다. 사용자는 공개/개인키 쌍을 생성하고, 그 공개키를 대상 장치에 대한 참조(예를 들어, 사용자-친화적인 장치 이름, 장치 ID 등)를 따라 계정 기관 서비스(404)에 보낸다. 공개키는 계정 셋업과 함께, 또는 추후의 소정의 다른 시간에 계정 기관 서비스(404)에 전송될 수 있다. 계정 기관 서비스(404)는 장치 인증서를 생성하기 위해 공개키를 이용하여 장치 ID를 암호화하고, 사용자 장치(402)에 장치 인증서를 보낸다. 이러한 트랜잭션의 결과로서, 사용자 장치(402)는 자신이 장치 ID에 의해 식별되는 장치라는 신뢰된 증거(예를 들어, 장치 인증서)를 소유하게 된다.
다른 원격 사용자가 원격 사용자 장치(412)를 통해 사용자 장치(402)에 접속하려고 시도할 때, 원격 사용자 장치(412)는 계정 기관 서비스(404)로부터 (예를 들어, 제1 사용자의 이메일 주소, 게이머 태그, 사용자이름 등에 의해 식별되는) 제1 사용자에 연관된 공유가능한 장치들의 목록을 요청한다. 계정 기관 서비스(404)는 제1 사용자의 계정 정보를 찾아보고, 사용자의 장치들 중 어느 것이 공유가능한 것으로서 공개되었는지, 및 요청하는 원격 사용자가 그 장치들을 공유하도록 인가되었는지를 결정한다. 원격 사용자가 그렇게 인가된 경우, 계정 기관 서비스(404)는 제1 사용자에 연관되고 원격 사용자에 의해 공유될 수 있는 공유가능한 장치들의 목록을 반환한다. 원격 사용자는 공유가능한 장치들 중 하나를 선택하여, 그 선택을 계정 기관 서비스(404)에 반환할 수 있다. 그 다음, 계정 기관 서비스(404)는 사용자의 계정 정보로부터 선택된 장치의 장치 ID를 추출하고, 선택된 장치의 장치 ID를 원격 사용자 장치(412)에 반환한다. 원격 사용자 장치(412)에 반환된 정보는 사용자 장치(402)의 공개키 및 IP 주소를 포함할 수 있다.
신뢰된 계정 기관 서비스(404)로부터 선택된 공유가능한 장치의 장치 ID를 획득하고 나면, 원격 사용자 장치(412)는 사용자 장치(402)에 접속할 수 있다. 일 구현에서, 접속은 사용자 장치(402)에 대한 IP 주소와 함께 TCP/IP와 같은 표준 네트워킹 프로토콜을 통해 달성된다. 원격 사용자 장치(412)가 사용자 장치(402)에 대한 접속을 이루면, 원격 사용자 장치는 사용자 장치(402)로부터 장치 인증서를 요청하고, 계정 기관 서비스(404)에 의해 행해진 서명을 확인한다. (이러한 방식으로, 원격 사용자 장치(412)는 사용자 장치(402)의 공개키를 획득할 수 있다. 또한, 원격 사용자 장치는 계정 기관 서비스(404)로부터 사용자 장치(402)의 공개키를 획득할 수 있다.)
또한, 원격 사용자 장치(412)는 사용자 장치(402)가 자신이 사용자 장치(402)의 공개키에 일치하는 개인키를 알고 있음을 제공할 것을 요청한다. 제공하는 방법은 SSL과 같은 표준 프로토콜을 통해 이루어질 수 있지만, 다른 방법들도 이용될 수 있다. 일 구현에서, 사용자 장치(402)는 네트워크 챌린지 및 원격 사용자 장치(412)와의 응답 핸드쉐이크를 거칠 수 있으며, 이는 사용자 장치(402)가 자신의 개인키로 소정의 데이터를 서명 및/또는 암호화하게 한다. 그 다음, 원격 사용자 장치(412)는 사용자 장치(402)의 공개키를 이용하여 데이터를 확인할 수 있다. 사용자 장치(402)가 진정으로 개인키를 소유하고 있음을 확인함으로써, 원격 사용자 장치(412)는 자신이 접속하려고 의도했던 장치에 접속했음을 확인하고, 장치들은 그에 따라 안전하게 계속하여 통신할 수 있다. 확인이 실패하면, 원격 사용자 장치(412)는 잘못된 장치에 정보를 제공하거나 잘못된 장치로의 액세스를 승인하기 전에 접속을 차단할 수 있다.
일 구현에서, 사용자 장치(402)는, 또한 사용자 장치(402)가 원격 사용자 장치(412)의 신원을 확인할 있도록 원격 사용자 장치(412)가 (계정 기관 서비스(404)로부터 수신된) 그것의 보안 토큰을 송신할 것을 요청할 수 있다. 또한, 보안 토큰은 인증서 포맷의 공개/개인키 쌍일 수 있으며, 장치(402)는 서명을 확인하고 원격 사용자 장치(412)에 의한 개인 키 소유의 증거를 획득하는 유사한 프로세스를 거친다.
도 5는 신뢰된 장치별 인증에 기초하여 원격 장치 액세스를 제공하기 위한 예시적인 동작들 및 통신들(총괄하여 500으로 함)을 도시한 것이다. 발견 요청 동작(502)에서, 원격 사용자는 (원격 사용자 장치를 통해) 계정 기관 서비스로부터 다른 사용자에 연관된 공유가능한 장치들의 목록을 요청하고, 사용자의 이메일 주소, 게이머 태그, 사용자이름 등과 같은 사용자 식별자를 이용하여 사용자를 지정한다. 목록 발견 동작(504)에서, 계정 기관 서비스는 요청을 수신하고, 명시된 사용자의 계정에 액세스하여, 명시된 사용자에 연관된 공유가능한 장치들의 목록을 획득한다. 계정 기관 서비스는 전형적으로 명시된 사용자에 의해 개시된 사용자-친화적인 장치 이름인 장치 이름들을 목록 내로 수집하고, 송신 동작(506)에서 그 목록을 원격 사용자 장치에 보낸다.
선택 동작(508)에서, 원격 사용자는 공유가능한 장치 목록을 검토하고, 대상 장치를 선택할 수 있다. 송신 동작(510)에서, 원격 사용자 장치는 공유가능한 장치의 선택을 계정 기관 서비스에 반환한다. 계정 기관 서비스는 추출 동작(512)에서 다른 사용자의 계정 정보에 액세스하여 선택된 장치에 대한 장치 ID를 추출하고, 송신 동작(514)에서 그것을 원격 사용자 장치에 반환한다. 원격 사용자 장치는 수신 동작(516)에서 장치 ID를 수신한다.
접속 동작(518)에서, 원격 사용자 장치는 선택된 장치에 접속한다. 전술한 바와 같이, 다른 방법들도 이용될 수 있긴 하지만, 이러한 접속은 TCP/IP와 같은 표준 네트워킹 프로토콜을 이용하여 획득될 수 있다. 공유가능한 사용자 장치는 접속 동작(520)에서, 또한 사용자 장치의 개인키의 소유를 증명하는 접속을 수용한다. 원격 사용자 장치는 개인키(예를 들어, 장치 인증서)의 소유의 주장을 수신하고, 사용자 장치의 개인키가 개인키의 소유의 주장에서 사용되었음을 확인한다. 이러한 유효성 검증 메커니즘은 (예를 들어, SSL을 통해) 개인/공개키 쌍에 기초하여 구현될 수 있다. 원격 사용자 장치는 또한 장치 인증서 상의 계정 기관의 서명을 확인할 수 있다.
원격 사용자 장치가 장치 ID를 통해 공유가능한 사용자 장치의 신원을 확인할 수 있는 경우, 원격 사용자 장치는 자신이 접속되는 장치가 공유가능한 장치들의 목록으로부터 자신이 선택한 장치임을 확인받게 된다. 이와 같이, 원격 사용자 장치 및 공유가능한 사용자 장치는 동작(526 및 528)에서 상호작용할 수 있다. 원격 사용자 장치가 공유가능한 사용자 장치의 신원을 자신이 접속하려고 의도했던 장치로서 확인할 수 없는 경우, 원격 사용자 장치는 보안 위반의 기회를 감소시키기 위하여 접속을 종료할 수 있다.
본 발명을 구현하기 위한 도 6의 예시적인 하드웨어 및 운영 환경은, 게이밍 콘솔 또는 컴퓨터(20), 이동 전화, PDA(personal data assistant), 셋탑 박스, 또는 다른 유형의 컴퓨팅 장치의 형태로 된 범용 컴퓨팅 장치와 같은 컴퓨팅 장치를 포함한다. 도 6의 구현에서, 예를 들어 컴퓨터(20)는 처리 장치(21), 시스템 메모리(22), 및 시스템 메모리를 포함하는 다양한 시스템 컴포넌트들을 처리 장치(21)에 동작상 연결하는 시스템 버스(23)를 포함한다. 컴퓨터(20)의 프로세서가 단일 CPU(central-processing unit), 또는 공통적으로 병렬 처리 환경으로서 칭해지는 복수의 처리 장치를 포함하도록, 단 하나의 처리 장치(21)가 있을 수도 있고 하나보다 많은 처리 장치가 있을 수도 있다. 컴퓨터(20)는 전통적인 컴퓨터, 분산형 컴퓨터 또는 임의의 다른 유형의 컴퓨터일 수 있으며, 본 발명은 이와 같이 제한되지 않는다.
시스템 버스(23)는 메모리 버스 또는 메모리 컨트롤러, 주변 장치 버스, 스위치드 패브릭(switched fabric), 점대점 접속, 및 각종 버스 아키텍처들 중 임의의 것을 이용하는 로컬 버스를 포함하는 몇몇 유형의 버스 구조 중 어느 것이라도 될 수 있다. 시스템 메모리는 단순히 메모리라고도 칭해질 수 있으며, 판독 전용 메모리(ROM)(24) 및 랜덤 액세스 메모리(RAM)(25)를 포함한다. 시동 중과 같은 때에 컴퓨터(20) 내의 구성요소들 간의 정보 전송을 돕는 기본적인 루틴을 포함하는 기본 입출력 시스템(BIOS)(26)은 ROM(24)에 저장된다. 컴퓨터(20)는 도시되지 않은 하드 디스크로부터 판독하고 그에 기입하기 위한 하드 디스크 드라이브(27), 자기 디스크(29)로부터 판독하고 그에 기입하기 위한 자기 디스크 드라이브(28), 및 CD ROM 또는 기타 광 매체와 같은 제거가능한 광 디스크(31)로부터 판독하거나 그에 기입하기 위한 광 디스크 드라이브(30)를 더 포함한다.
하드 디스크 드라이브(27), 자기 디스크 드라이브(28) 및 광 디스크 드라이브(30)는 각각 하드 디스크 드라이브 인터페이스(32), 자기 디스크 드라이브 인터페이스(33) 및 광 디스크 드라이브 인터페이스(34)를 통해 시스템 버스(23)에 접속된다. 드라이브들 및 그들의 관련 컴퓨터 판독가능 매체는 컴퓨터(20)에 대해 컴퓨터 판독가능한 명령어, 데이터 구조, 프로그램 모듈 및 기타 데이터의 비휘발성 저장을 제공한다. 본 기술분야에 통상의 지식을 가진 자라면, 자기 카세트, 플래시 메모리 카드, 디지털 비디오 디스크, 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM) 등과 같이 컴퓨터에 의해 액세스가능한 데이터를 저장할 수 있는 임의의 유형의 컴퓨터 판독가능 매체가 예시적인 운영 환경에서 이용될 수 있음을 알 것이다.
운영 체제(35), 하나 이상의 애플리케이션 프로그램(36), 기타 프로그램 모듈(37) 및 프로그램 데이터(38)를 포함하는 다수의 프로그램 모듈이 하드 디스크, 자기 디스크(29), 광 디스크(31), ROM(24) 및 RAM(25)에 저장될 수 있다. 사용자는 키보드(40) 및 포인팅 장치(42)와 같은 입력 장치를 통해 개인용 컴퓨터(20)에 커맨드 및 정보를 입력할 수 있다. 다른 입력 장치들(도시되지 않음)은 마이크, 조이스틱, 게임 패드, 위성 안테나, 스캐너 등을 포함할 수 있다. 이들 및 기타 입력 장치는 종종 시스템 버스에 결합된 직렬 포트 인터페이스(46)를 통해 처리 장치(21)에 접속되지만, 병렬 포트, 게임 포트 또는 USB(universal serial bus) 등의 다른 인터페이스에 의해 접속될 수도 있다. 모니터(47) 또는 다른 유형의 디스플레이 장치도 비디오 어댑터(48)와 같은 디스플레이 인터페이스를 통해 시스템 버스(23)에 접속된다. 모니터 외에, 컴퓨터는 전형적으로 스피커 및 프린터 등의 기타 주변 출력 장치(도시되지 않음)를 포함한다.
컴퓨터(20)는 원격 컴퓨터(49)와 같은 하나 이상의 원격 컴퓨터로의 논리적 접속을 사용하여 네트워크화된 환경에서 동작할 수 있다. 이러한 논리적 접속은 컴퓨터(20) 또는 그 일부에 연결된 통신 장치에 의해 이루어질 수 있는데, 본 발명은 특정한 유형의 통신 장치에 한정되지 않는다. 원격 컴퓨터(49)는 다른 컴퓨터, 서버, 라우터, 네트워크 PC, 클라이언트, 피어 장치 또는 기타 통상의 네트워크 노드일 수 있고, 도 6에는 메모리 저장 장치(50)만이 도시되었지만, 통상적으로 컴퓨터(20)와 관련하여 상술된 구성요소들의 대부분 또는 그 전부를 포함한다. 도 6에 도시된 논리적 접속은 LAN(51) 및 WAN(52)을 포함한다. 그러한 네트워킹 환경은 모두 네트워크의 유형들인 사무실 네트워크, 전사적 컴퓨터 네트워크(enterprise-wide computer network), 인트라넷, 및 인터넷에서 일반적인 것이다.
LAN 네트워킹 환경에서 사용될 때, 컴퓨터(20)는 통신 장치의 한 유형인 네트워크 인터페이스 또는 어댑터(53)를 통해 LAN(51)에 접속된다. WAN 네트워킹 환경에서 사용될 때, 컴퓨터(20)는 전형적으로 WAN(52)을 통해 통신을 설정하기 위한 모뎀(54), 네트워크 어댑터, 소정 유형의 통신 장치, 또는 기타 다른 유형의 통신 장치를 포함한다. 내장형 또는 외장형일 수 있는 모뎀(54)은 직렬 포트 인터페이스(46)를 통해 시스템 버스(23)에 접속된다. 네트워크화된 환경에서, 개인용 컴퓨터(20) 또는 그의 일부와 관련하여 기술된 프로그램 모듈은 원격 메모리 저장 장치에 저장될 수 있다. 도시된 네트워크 접속은 예시적인 것이며 이 컴퓨터들 사이에 통신 링크를 설정하는 기타 수단 및 통신 장치들이 사용될 수 있다는 것을 이해할 것이다.
예시적인 구현에서, 계정 기관 서비스 모듈 및 다른 모듈들은 메모리(22) 및/또는 저장 장치(29 또는 31)에 저장되고 처리 장치(21)에 의해 처리되는 명령어들에 의해 구현될 수 있다. 사용자이름, 패스워드, 장치 식별자, 인증서, 보안 토큰 및 기타 데이터는 메모리(22) 및/또는 영구적 데이터저장소로서의 저장 장치(29 또는 31)에 저장될 수 있다.
여기에 설명된 기술은 하나 이상의 컴퓨터들에서 논리적 동작들 및/또는 모듈들로서 구현된다. 논리적 동작들은 하나 이상의 컴퓨터 시스템에서 실행되는 프로세서 구현된 단계들의 시퀀스로서, 또는 하나 이상의 컴퓨터 시스템 내의 상호접속된 머신 또는 회로 모듈들로서 구현될 수 있다. 마찬가지로, 다양한 컴포넌트 모듈들의 설명은 모듈들에 의해 실행 또는 시행되는 동작들에 관련하여 제공될 수 있다. 결과적인 구현은 설명된 기술을 구현하는 기초 시스템의 성능 요건에 의존하는 선택의 문제이다. 따라서, 여기에 설명된 기술의 실시예들을 이루는 논리적 동작들은 동작, 단계, 개체 또는 모듈로서 다양하게 칭해진다. 또한, 논리 동작들은 다르게 명시적으로 청구되거나 특정한 순서가 청구항의 언어에서 본질적으로 필요하게 되지 않은 한, 임의의 순서로 수행될 수 있다.
상기의 설명, 예시 및 데이터는 본 발명의 예시적인 실시예들의 구조 및 사용의 완전한 설명을 제공한다. 본 발명의 다양한 실시예들이 위에서 어느 정도의 구체성을 갖고서, 또는 하나 이상의 개별 실시예를 참조하여 설명되었지만, 본 기술분야에 지식을 가진 자들이라면, 본 발명의 취지 또는 범위를 벗어나지 않고서, 개시된 실시예들에 대한 다양한 변경들을 만들어낼 수 있다. 구체적으로, 설명된 기술은 개인용 컴퓨터와 관계없이 이용될 수 있음을 이해해야 한다. 따라서, 다른 실시예들이 예상된다. 상기의 설명에 포함되고 첨부 도면들에 도시된 모든 사항이 특정 실시예를 설명하기 위한 것일 뿐 제한하기 위한 것이 아닌 것으로 해석되도록 의도된다. 이하의 청구항들에 정의된 것과 같은 본 발명의 기본적인 요소들을 벗어나지 않고서 세부사항 또는 구조에서의 변경이 이루어질 수 있다.
발명의 주제가 구조적 특징 및/또는 방법론적 동작에 특정한 언어로 설명되었지만, 첨부된 특허청구범위에 정의된 발명의 주제는 위에서 설명된 구체적인 특징 또는 동작으로 반드시 제한되는 것은 아님을 이해해야 한다. 오히려, 위에서 설명된 구체적인 특징 및 동작은 청구되는 발명의 주제를 구현하는 예시적인 형태로서 개시된 것이다.

Claims (20)

  1. 계정 네트워크(account network) 내에서 사용자의 다중 인자 인증(multiple-factor authentication)을 수행하는 방법으로서,
    상기 계정 네트워크에 액세스하기 위해 상기 사용자에 의해 이용되는 장치에 의해 생성된 장치 자격증명(device credentials) 및 상기 사용자의 사용자 자격증명을 수신하는 단계;
    상기 사용자와 상기 장치 간의 신뢰 관계(trust relationship)를 표현하기 위해 상기 사용자 자격증명의 사용자 식별자를 상기 장치 자격증명의 장치 식별자에 연관시키는 단계;
    확인(verification) 결과를 생성하기 위해 상기 사용자 자격증명 및 상기 장치 자격증명을 평가하는 단계;
    상기 사용자 자격증명 및 상기 장치 자격증명 둘 다의 확인 결과에 기초하여 상기 사용자의 신원(identity)의 증거(evidence)를 제공하는 단계;
    상기 사용자 자격증명은 성공적으로 확인되지만 상기 장치 자격증명은 성공적으로 확인되지 않는 경우, 상기 사용자 자격증명 및 상기 장치 자격증명을 변경하려는 상기 사용자에 의한 시도를 차단하는 단계;
    상기 사용자 자격증명 및 상기 장치 자격증명 둘 다의 신원의 증거가 성공적인 확인을 나타내는 경우 상위 레벨의 권한(higher level of privilege)을 승인하고 상기 사용자 자격증명 및 상기 장치 자격증명 중 어느 하나의 신원의 증거가 성공적이지 않은 확인을 나타내는 경우 하위 레벨의 권한(lower level of privilege)을 승인하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 사용자의 신원의 증거는 상기 사용자 식별자 및 상기 장치 식별자 둘다를 포함하는 방법.
  3. 제1항에 있어서,
    상기 연관시키는 단계는 상기 계정 네트워크 내의 상기 사용자의 계정에 상기 사용자 식별자 및 상기 장치 식별자를 연관지어 기록하는 단계를 포함하는 방법.
  4. 제1항에 있어서,
    상기 연관시키는 단계는 상기 사용자 식별자와 상기 장치 식별자 및 적어도 하나의 다른 장치 식별자를 기록하는 단계를 포함하고, 상기 기록하는 단계는 상기 장치 식별자 및 상기 적어도 하나의 다른 장치 식별자에 의해 식별되는 장치들을 상기 사용자의 신뢰된 장치들로서 지정하는 방법.
  5. 제1항에 있어서,
    상기 제공하는 단계는 상기 사용자의 신원의 증거로서 보안 토큰을 생성하는 단계를 포함하고, 상기 보안 토큰은 상기 사용자 식별자 및 상기 장치 식별자 둘다를 포함하는 방법.
  6. 제1항에 있어서,
    상기 제공하는 단계는 상기 사용자의 신원의 증거로서 보안 토큰을 생성하는 단계를 포함하고, 상기 보안 토큰은 상기 보안 토큰의 수신자가 상기 보안 토큰으로부터 상기 사용자 식별자 및 상기 장치 식별자 둘다에 액세스하는 것을 허용하는 프로그래밍 인터페이스를 포함하는 방법.
  7. 제1항에 있어서,
    상기 연관시키는 단계 후에, 상기 사용자의 신뢰된 장치로서의 상기 장치를 제거하기 위해, 상기 사용자 식별자를 상기 장치 식별자로부터 연관해제시키는 단계를 더 포함하는 방법.
  8. 제1항에 있어서,
    상기 제공하는 단계는 상기 사용자 자격증명 및 상기 장치 자격증명 둘다의 성공적인 확인 시에만 상기 신원의 증거를 제공하고,
    상기 사용자 자격증명 및 상기 장치 자격증명 둘다의 확인이 성공적이지 못한 경우에는 상기 사용자의 신원의 증거를 보류하는 단계를 더 포함하는 방법.
  9. 제1항에 있어서,
    상기 제공하는 단계는 상기 사용자 자격증명 및 상기 장치 자격증명 둘다의 성공적인 확인 시에만 상기 신원의 증거를 제공하는 방법.
  10. 제1항에 있어서,
    상기 제공하는 단계는 상기 사용자 자격증명 및 상기 장치 자격증명 둘다의 성공적인 확인 시에만 상기 신원의 증거를 제공하고,
    상기 사용자에게, 상기 사용자 자격증명을 이용하여 인증하려는 시도의 결과, 상기 사용자 자격증명의 확인은 성공하였지만, 상기 장치 자격증명의 인증은 성공하지 못했음을 알리는 단계를 더 포함하는 방법.
  11. 제1항에 있어서,
    상기 신원의 증거의 수신에 응답하여 계정 네트워크 리소스에 의해 승인되는 권한의 레벨은 상기 신원의 증거가 상기 장치 자격증명의 성공적인 확인을 나타내는지의 여부에 의존하는 방법.
  12. 계정 네트워크 내에서 사용자의 다중 인자 인증을 수행하는 컴퓨터 프로세스를 수행하기 위한 컴퓨터 실행가능 명령어들을 갖는 컴퓨터 판독가능 저장 매체로서,
    상기 컴퓨터 프로세스는,
    상기 계정 네트워크에 액세스하기 위해 상기 사용자에 의해 이용되는 장치에 의해 생성된 장치 자격증명 및 상기 사용자의 사용자 자격증명을 수신하는 단계 - 상기 사용자 자격증명은 상기 사용자의 사용자 식별자를 포함하고, 상기 장치 자격증명은 상기 장치의 장치 식별자를 포함함 -;
    상기 사용자와 상기 장치 간의 신뢰 관계를 표현하기 위해 상기 계정 네트워크 내의 상기 사용자의 계정에 상기 사용자 식별자와 상기 장치 식별자를 연관지어 기록하는 단계;
    확인 결과를 생성하기 위해 상기 사용자 자격증명 및 상기 장치 자격증명을 평가하는 단계;
    상기 사용자 자격증명 및 상기 장치 자격증명 둘 다의 확인 결과에 기초하여 상기 사용자의 신원의 증거를 제공하는 단계;
    상기 사용자 자격증명은 성공적으로 확인되지만 상기 장치 자격증명은 성공적으로 확인되지 않는 경우, 상기 사용자 자격증명 및 상기 장치 자격증명을 변경하려는 상기 사용자에 의한 시도를 차단하는 단계;
    상기 사용자 자격증명 및 상기 장치 자격증명 둘 다의 신원의 증거가 성공적인 확인을 나타내는 경우 상위 레벨의 권한을 승인하고 상기 사용자 자격증명 및 상기 장치 자격증명 중 어느 하나의 신원의 증거가 성공적이지 않은 확인을 나타내는 경우 하위 레벨의 권한을 승인하는 단계
    를 포함하는 컴퓨터 판독가능 저장 매체.
  13. 제12항에 있어서,
    상기 사용자의 신원의 증거는 상기 사용자 식별자 및 상기 장치 식별자 둘 다를 포함하는
    컴퓨터 판독가능 저장 매체.
  14. 제12항에 있어서,
    상기 연관지어 기록하는 단계는, 상기 사용자 식별자와 상기 장치 식별자 및 적어도 하나의 다른 장치 식별자를 기록하는 단계를 포함하고, 상기 기록하는 단계는 상기 장치 식별자 및 상기 적어도 하나의 다른 장치 식별자에 의해 식별되는 장치들을 상기 사용자의 신뢰된 장치들로서 지정하는
    컴퓨터 판독가능 저장 매체.
  15. 제12항에 있어서,
    상기 제공하는 단계는 상기 사용자의 신원의 증거로서 보안 토큰을 생성하는 단계를 포함하고, 상기 보안 토큰은 상기 사용자 식별자 및 상기 장치 식별자 둘 다를 포함하는
    컴퓨터 판독가능 저장 매체.
  16. 제12항에 있어서,
    상기 제공하는 단계는 상기 사용자의 신원의 증거로서 보안 토큰을 생성하는 단계를 포함하고, 상기 보안 토큰은 상기 보안 토큰의 수신자가 상기 보안 토큰으로부터 상기 사용자 식별자 및 상기 장치 식별자 둘 다에 액세스하는 것을 허용하는 프로그래밍 인터페이스를 포함하는
    컴퓨터 판독가능 저장 매체.
  17. 제12항에 있어서,
    상기 신원의 증거의 수신에 응답하여 계정 네트워크 리소스에 의해 승인되는 권한의 레벨은 상기 신원의 증거가 상기 장치 자격증명의 성공적인 확인을 나타내는지의 여부에 의존하는
    컴퓨터 판독가능 저장 매체.
  18. 계정 네트워크 리소스에 액세스하기 위한 권한의 레벨을 사용자에게 인가하는 방법으로서,
    상기 사용자가 상기 계정 네트워크 리소스에의 액세스를 시도할 때 이용하는 장치로부터 신원의 증거를 수신하는 단계;
    상기 신원의 증거를 조사(interrogate)하여, 상기 신원의 증거가 상기 계정 네트워크 리소스에 의해 신뢰되는 인증 제공자에 의한 상기 사용자의 사용자 자격증명 및 상기 장치의 장치 자격증명 둘 다의 성공적인 확인을 나타내는지 여부를 판정하는 단계;
    상기 사용자 자격증명은 성공적으로 확인되지만 상기 장치 자격증명은 성공적으로 확인되지 않는 경우, 상기 사용자 자격증명 및 상기 장치 자격증명을 변경하려는 상기 사용자에 의한 시도를 차단하는 단계;
    상기 신원의 증거가 상기 인증 제공자에 의한 상기 사용자의 사용자 자격증명 및 상기 장치의 장치 자격증명 둘 다의 성공적인 확인을 나타내는 경우, 제1 레벨의 권한을 승인하는 단계;
    상기 신원의 증거가 상기 인증 제공자에 의한 상기 사용자의 사용자 자격증명 및 상기 장치의 장치 자격증명 중 어느 하나의 성공적이지 못한 확인을 나타내는 경우, 제2 레벨의 권한을 승인하는 단계- 상기 제1 레벨의 권한은 상기 제2 레벨의 권한보다 높음 -
    를 포함하는 방법.
  19. 제18항에 있어서,
    상기 신원의 증거는 프로그래밍 인터페이스를 제공하는 보안 토큰을 포함하고, 상기 계정 네트워크 리소스는 상기 프로그래밍 인터페이스를 통하여 상기 사용자 자격증명의 사용자 식별자와 상기 장치 자격증명의 장치 식별자에 액세스할 수 있는 방법.
  20. 삭제
KR1020107026460A 2008-06-02 2009-05-04 신뢰된 장치별 인증 KR101534890B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/131,142 US7979899B2 (en) 2008-06-02 2008-06-02 Trusted device-specific authentication
US12/131,142 2008-06-02
PCT/US2009/042667 WO2009148746A2 (en) 2008-06-02 2009-05-04 Trusted device-specific authentication

Publications (2)

Publication Number Publication Date
KR20110020783A KR20110020783A (ko) 2011-03-03
KR101534890B1 true KR101534890B1 (ko) 2015-07-07

Family

ID=41381542

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107026460A KR101534890B1 (ko) 2008-06-02 2009-05-04 신뢰된 장치별 인증

Country Status (6)

Country Link
US (2) US7979899B2 (ko)
EP (1) EP2283669B1 (ko)
JP (1) JP5038531B2 (ko)
KR (1) KR101534890B1 (ko)
CN (1) CN102047709B (ko)
WO (1) WO2009148746A2 (ko)

Families Citing this family (202)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9002018B2 (en) * 2006-05-09 2015-04-07 Sync Up Technologies Corporation Encryption key exchange system and method
US8327142B2 (en) 2006-09-27 2012-12-04 Secureauth Corporation System and method for facilitating secure online transactions
US8301877B2 (en) 2008-03-10 2012-10-30 Secureauth Corporation System and method for configuring a valid duration period for a digital certificate
KR100897512B1 (ko) * 2008-08-07 2009-05-15 주식회사 포비커 데이터 방송에 적응적인 광고 방법 및 시스템
US20100042848A1 (en) * 2008-08-13 2010-02-18 Plantronics, Inc. Personalized I/O Device as Trusted Data Source
US9053480B1 (en) 2008-09-30 2015-06-09 Amazon Technologies, Inc. Secure validation using hardware security modules
US8892868B1 (en) * 2008-09-30 2014-11-18 Amazon Technologies, Inc. Hardening tokenization security and key rotation
US10867298B1 (en) 2008-10-31 2020-12-15 Wells Fargo Bank, N.A. Payment vehicle with on and off function
US20100114768A1 (en) 2008-10-31 2010-05-06 Wachovia Corporation Payment vehicle with on and off function
US20100131641A1 (en) * 2008-11-26 2010-05-27 Novell, Inc. System and method for implementing a wireless query and display interface
US20100220634A1 (en) * 2009-02-27 2010-09-02 Douglas Gisby Systems and methods for facilitating conference calls using security tokens
US8290135B2 (en) 2009-02-27 2012-10-16 Research In Motion Limited Systems and methods for facilitating conference calls using security keys
CN101834834A (zh) * 2009-03-09 2010-09-15 华为软件技术有限公司 一种鉴权方法、装置及鉴权***
US20120226780A1 (en) * 2009-04-07 2012-09-06 Omnifone Ltd. Enabling digital media content to be downloaded to and used on multiple types of computing device
US9047458B2 (en) 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
US8726407B2 (en) 2009-10-16 2014-05-13 Deviceauthority, Inc. Authentication of computing and communications hardware
US9769164B2 (en) * 2009-10-29 2017-09-19 Assa Abloy Ab Universal validation module for access control systems
US8319606B2 (en) * 2009-10-29 2012-11-27 Corestreet, Ltd. Universal validation module for access control systems
WO2011063014A1 (en) 2009-11-17 2011-05-26 Secureauth Corporation Single sign on with multiple authentication factors
US8510816B2 (en) * 2010-02-25 2013-08-13 Secureauth Corporation Security device provisioning
CA2789291A1 (en) * 2010-02-26 2011-09-01 General Instrument Corporation Dynamic cryptographic subscriber-device identity binding for subscriber mobility
NL1037813C2 (en) * 2010-03-18 2011-09-20 Stichting Bioxs System and method for checking the authenticity of the identity of a person logging into a computer network.
WO2012021662A2 (en) * 2010-08-10 2012-02-16 General Instrument Corporation System and method for cognizant transport layer security (ctls)
US9940682B2 (en) * 2010-08-11 2018-04-10 Nike, Inc. Athletic activity user experience and environment
US8453222B1 (en) * 2010-08-20 2013-05-28 Symantec Corporation Possession of synchronized data as authentication factor in online services
US8601602B1 (en) * 2010-08-31 2013-12-03 Google Inc. Enhanced multi-factor authentication
JP2013541087A (ja) * 2010-09-13 2013-11-07 トムソン ライセンシング エフェメラル・トラスト・デバイス用の方法および装置
US8260931B2 (en) * 2010-10-02 2012-09-04 Synopsys, Inc. Secure provisioning of resources in cloud infrastructure
JP5717407B2 (ja) * 2010-11-15 2015-05-13 キヤノン株式会社 印刷中継システム、画像形成装置、システムの制御方法、およびプログラム
US8868915B2 (en) * 2010-12-06 2014-10-21 Verizon Patent And Licensing Inc. Secure authentication for client application access to protected resources
US20120167194A1 (en) * 2010-12-22 2012-06-28 Reese Kenneth W Client hardware authenticated transactions
AU2011100168B4 (en) 2011-02-09 2011-06-30 Device Authority Ltd Device-bound certificate authentication
WO2013009385A2 (en) * 2011-07-08 2013-01-17 Uniloc Usa Device-bound certificate authentication
US8935766B2 (en) * 2011-01-19 2015-01-13 Qualcomm Incorporated Record creation for resolution of application identifier to connectivity identifier
WO2012119015A1 (en) * 2011-03-01 2012-09-07 General Instrument Corporation Providing subscriber consent in an operator exchange
US8949951B2 (en) * 2011-03-04 2015-02-03 Red Hat, Inc. Generating modular security delegates for applications
US9112682B2 (en) * 2011-03-15 2015-08-18 Red Hat, Inc. Generating modular security delegates for applications
US9071422B2 (en) * 2011-04-20 2015-06-30 Innodis Co., Ltd. Access authentication method for multiple devices and platforms
AU2011101295B4 (en) 2011-06-13 2012-08-02 Device Authority Ltd Hardware identity in multi-factor authentication layer
US9075979B1 (en) 2011-08-11 2015-07-07 Google Inc. Authentication based on proximity to mobile device
US8752154B2 (en) * 2011-08-11 2014-06-10 Bank Of America Corporation System and method for authenticating a user
US9361443B2 (en) 2011-08-15 2016-06-07 Bank Of America Corporation Method and apparatus for token-based combining of authentication methods
US8752124B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Apparatus and method for performing real-time authentication using subject token combinations
US8806602B2 (en) 2011-08-15 2014-08-12 Bank Of America Corporation Apparatus and method for performing end-to-end encryption
AU2011101297B4 (en) 2011-08-15 2012-06-14 Uniloc Usa, Inc. Remote recognition of an association between remote devices
US8539558B2 (en) * 2011-08-15 2013-09-17 Bank Of America Corporation Method and apparatus for token-based token termination
US8732814B2 (en) * 2011-08-15 2014-05-20 Bank Of America Corporation Method and apparatus for token-based packet prioritization
US8752143B2 (en) 2011-08-15 2014-06-10 Bank Of America Corporation Method and apparatus for token-based reassignment of privileges
US8789143B2 (en) 2011-08-15 2014-07-22 Bank Of America Corporation Method and apparatus for token-based conditioning
US8950002B2 (en) 2011-08-15 2015-02-03 Bank Of America Corporation Method and apparatus for token-based access of related resources
DE102011110898A1 (de) 2011-08-17 2013-02-21 Advanced Information Processing Systems Sp. z o.o. Verfahren zur Authentifizierung eines Benutzers zum Gewähren eines Zugangs zu Diensten eines Computersystems, sowie zugehöriges Computersystem, Authentifizierungsserver und Kommunikationsgerät mit Authentifizierungsapplikation
US8798273B2 (en) 2011-08-19 2014-08-05 International Business Machines Corporation Extending credential type to group Key Management Interoperability Protocol (KMIP) clients
GB2509424B (en) 2011-09-30 2020-04-15 Hewlett Packard Development Co Managing basic input/output system (BIOS) access
KR101986312B1 (ko) 2011-11-04 2019-06-05 주식회사 케이티 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
WO2013066016A1 (ko) * 2011-11-04 2013-05-10 주식회사 케이티 신뢰관계 형성 방법 및 이를 위한 내장 uⅰcc
US9438575B2 (en) * 2011-12-22 2016-09-06 Paypal, Inc. Smart phone login using QR code
US8751794B2 (en) * 2011-12-28 2014-06-10 Pitney Bowes Inc. System and method for secure nework login
US9887997B2 (en) * 2011-12-28 2018-02-06 Intel Corporation Web authentication using client platform root of trust
US10282531B1 (en) 2012-01-26 2019-05-07 United Services Automobile Association (Usaa) Quick-logon for computing device
US9237146B1 (en) * 2012-01-26 2016-01-12 United Services Automobile Association Quick-logon for computing device
US9367678B2 (en) * 2012-02-29 2016-06-14 Red Hat, Inc. Password authentication
US9697346B2 (en) * 2012-03-06 2017-07-04 Cisco Technology, Inc. Method and apparatus for identifying and associating devices using visual recognition
KR20170106515A (ko) * 2012-03-08 2017-09-20 인텔 코포레이션 다중 팩터 인증 기관
US20160337351A1 (en) * 2012-03-16 2016-11-17 Acuity Systems, Inc. Authentication system
CN103368928B (zh) * 2012-04-11 2018-04-27 富泰华工业(深圳)有限公司 帐号密码重置***及方法
US20130275282A1 (en) 2012-04-17 2013-10-17 Microsoft Corporation Anonymous billing
WO2013155628A1 (en) 2012-04-17 2013-10-24 Zighra Inc. Fraud detection system, method, and device
US11424930B2 (en) * 2012-05-22 2022-08-23 Barclays Bank Delaware Systems and methods for providing account information
US8984111B2 (en) 2012-06-15 2015-03-17 Symantec Corporation Techniques for providing dynamic account and device management
US9317689B2 (en) * 2012-06-15 2016-04-19 Visa International Service Association Method and apparatus for secure application execution
US9177129B2 (en) * 2012-06-27 2015-11-03 Intel Corporation Devices, systems, and methods for monitoring and asserting trust level using persistent trust log
US9832189B2 (en) * 2012-06-29 2017-11-28 Apple Inc. Automatic association of authentication credentials with biometrics
US20140013108A1 (en) * 2012-07-06 2014-01-09 Jani Pellikka On-Demand Identity Attribute Verification and Certification For Services
US20140019753A1 (en) * 2012-07-10 2014-01-16 John Houston Lowry Cloud key management
CN103581114A (zh) * 2012-07-20 2014-02-12 上海湛泸网络科技有限公司 认证方法及其认证***
JP5632429B2 (ja) * 2012-08-28 2014-11-26 Kddi株式会社 オープンな通信環境にクローズな通信環境を構築するサービス認証方法及びシステム
US9641521B2 (en) * 2012-09-14 2017-05-02 Iovation Llc Systems and methods for network connected authentication
US8539567B1 (en) * 2012-09-22 2013-09-17 Nest Labs, Inc. Multi-tiered authentication methods for facilitating communications amongst smart home devices and cloud-based servers
US9444817B2 (en) 2012-09-27 2016-09-13 Microsoft Technology Licensing, Llc Facilitating claim use by service providers
US9449156B2 (en) 2012-10-01 2016-09-20 Microsoft Technology Licensing, Llc Using trusted devices to augment location-based account protection
US8843741B2 (en) * 2012-10-26 2014-09-23 Cloudpath Networks, Inc. System and method for providing a certificate for network access
CN103023885B (zh) * 2012-11-26 2015-09-16 北京奇虎科技有限公司 安全数据处理方法及***
US9172699B1 (en) * 2012-11-30 2015-10-27 Microstrategy Incorporated Associating a device with a user account
US9769159B2 (en) * 2012-12-14 2017-09-19 Microsoft Technology Licensing, Llc Cookie optimization
US10033719B1 (en) * 2012-12-20 2018-07-24 Amazon Technologies, Inc. Mobile work platform for remote data centers
US9590978B2 (en) * 2012-12-21 2017-03-07 Biobex, Llc Verification of password using a keyboard with a secure password entry mode
US9130920B2 (en) 2013-01-07 2015-09-08 Zettaset, Inc. Monitoring of authorization-exceeding activity in distributed networks
US9622075B2 (en) 2013-01-31 2017-04-11 Dell Products L.P. System and method for adaptive multifactor authentication
US8935768B1 (en) * 2013-02-21 2015-01-13 Ca, Inc. Controlling client access to email responsive to email class levels
JP5596194B2 (ja) * 2013-02-28 2014-09-24 シャープ株式会社 認証装置、認証装置の制御方法、通信装置、認証システム、制御プログラム、および記録媒体
US20140259135A1 (en) * 2013-03-08 2014-09-11 Signature Systems Llc Method and system for simplified user registration on a website
US10110578B1 (en) * 2013-03-12 2018-10-23 Amazon Technologies, Inc. Source-inclusive credential verification
US9143496B2 (en) 2013-03-13 2015-09-22 Uniloc Luxembourg S.A. Device authentication using device environment information
US9286466B2 (en) 2013-03-15 2016-03-15 Uniloc Luxembourg S.A. Registration and authentication of computing devices using a digital skeleton key
GB2512613A (en) * 2013-04-03 2014-10-08 Cloudzync Ltd Secure communications system
WO2014172670A1 (en) * 2013-04-19 2014-10-23 Twitter, Inc. Method and system for establishing a trust association
CN104125565A (zh) * 2013-04-23 2014-10-29 中兴通讯股份有限公司 一种基于oma dm实现终端认证的方法、终端及服务器
RU2018146361A (ru) * 2013-07-05 2019-01-24 СГЭкс АС Способ и система аутентификации пользователей для предоставления доступа к сетям передачи данных
RU2583710C2 (ru) 2013-07-23 2016-05-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обеспечения конфиденциальности информации, используемой во время операций аутентификации и авторизации, при использовании доверенного устройства
US10069868B2 (en) * 2014-03-28 2018-09-04 Intel Corporation Systems and methods to facilitate multi-factor authentication policy enforcement using one or more policy handlers
US9588342B2 (en) 2014-04-11 2017-03-07 Bank Of America Corporation Customer recognition through use of an optical head-mounted display in a wearable computing device
US9424575B2 (en) * 2014-04-11 2016-08-23 Bank Of America Corporation User authentication by operating system-level token
US10121142B2 (en) 2014-04-11 2018-11-06 Bank Of America Corporation User authentication by token and comparison to visitation pattern
US9514463B2 (en) 2014-04-11 2016-12-06 Bank Of America Corporation Determination of customer presence based on communication of a mobile communication device digital signature
US20170309552A1 (en) * 2014-05-07 2017-10-26 Uber Technologies, Inc. System and method for verifying users for a network service using existing users
US10212136B1 (en) 2014-07-07 2019-02-19 Microstrategy Incorporated Workstation log-in
US9691092B2 (en) 2014-07-10 2017-06-27 Bank Of America Corporation Predicting and responding to customer needs using local positioning technology
US10028081B2 (en) 2014-07-10 2018-07-17 Bank Of America Corporation User authentication
US9432804B2 (en) 2014-07-10 2016-08-30 Bank Of America Corporation Processing of pre-staged transactions
US9699599B2 (en) 2014-07-10 2017-07-04 Bank Of America Corporation Tracking associate locations
US10074130B2 (en) 2014-07-10 2018-09-11 Bank Of America Corporation Generating customer alerts based on indoor positioning system detection of physical customer presence
US10108952B2 (en) 2014-07-10 2018-10-23 Bank Of America Corporation Customer identification
US10332050B2 (en) 2014-07-10 2019-06-25 Bank Of America Corporation Identifying personnel-staffing adjustments based on indoor positioning system detection of physical customer presence
US9471759B2 (en) 2014-07-10 2016-10-18 Bank Of America Corporation Enabling device functionality based on indoor positioning system detection of physical customer presence
US9734643B2 (en) 2014-07-10 2017-08-15 Bank Of America Corporation Accessing secure areas based on identification via personal device
US9659316B2 (en) 2014-07-10 2017-05-23 Bank Of America Corporation Providing navigation functionality in a retail location using local positioning technology
US10278069B2 (en) * 2014-08-07 2019-04-30 Mobile Iron, Inc. Device identification in service authorization
US10419419B2 (en) * 2014-09-24 2019-09-17 Intel Corporation Technologies for sensor action verification
US9410712B2 (en) 2014-10-08 2016-08-09 Google Inc. Data management profile for a fabric network
CN104320163B (zh) * 2014-10-10 2017-01-25 安徽华米信息科技有限公司 一种通讯方法及装置
CN105592014B (zh) 2014-10-24 2019-02-15 阿里巴巴集团控股有限公司 一种可信终端验证方法、装置
US10069814B2 (en) * 2014-10-28 2018-09-04 Ca, Inc. Single sign on across multiple devices using a unique machine identification
US20160162900A1 (en) * 2014-12-09 2016-06-09 Zighra Inc. Fraud detection system, method, and device
US10409989B2 (en) 2014-12-26 2019-09-10 Mcafee, Llc Trusted updates
US10439815B1 (en) * 2014-12-30 2019-10-08 Morphotrust Usa, Llc User data validation for digital identifications
US9652035B2 (en) * 2015-02-23 2017-05-16 International Business Machines Corporation Interfacing via heads-up display using eye contact
US11429975B1 (en) 2015-03-27 2022-08-30 Wells Fargo Bank, N.A. Token management system
US10701067B1 (en) 2015-04-24 2020-06-30 Microstrategy Incorporated Credential management using wearable devices
US10298563B2 (en) 2015-04-29 2019-05-21 Hewlett Packard Enterprise Development Lp Multi-factor authorization for IEEE 802.1x-enabled networks
CN106302308B (zh) * 2015-05-12 2019-12-24 阿里巴巴集团控股有限公司 一种信任登录方法和装置
US10187357B2 (en) * 2015-07-05 2019-01-22 M2MD Technologies, Inc. Method and system for internetwork communication with machine devices
CN106341233A (zh) 2015-07-08 2017-01-18 阿里巴巴集团控股有限公司 客户端登录服务器端的鉴权方法、装置、***及电子设备
EP3329705B1 (en) * 2015-07-31 2021-09-29 Telefonaktiebolaget LM Ericsson (PUBL) Methods and devices of registering, verifying identity of, and invalidating non-sim mobile terminals accessing a wireless communication network
US11170364B1 (en) 2015-07-31 2021-11-09 Wells Fargo Bank, N.A. Connected payment card systems and methods
US10171439B2 (en) * 2015-09-24 2019-01-01 International Business Machines Corporation Owner based device authentication and authorization for network access
US9825938B2 (en) 2015-10-13 2017-11-21 Cloudpath Networks, Inc. System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
US9967244B2 (en) 2015-10-14 2018-05-08 Microsoft Technology Licensing, Llc Multi-factor user authentication framework using asymmetric key
US20170109741A1 (en) * 2015-10-16 2017-04-20 Bank Of America Corporation Tokenization of Financial Account Information for Use in Transactions
US9942223B2 (en) * 2015-11-25 2018-04-10 Microsoft Technology Licensing, Llc. Automated device discovery of pairing-eligible devices for authentication
US10333915B2 (en) * 2015-12-11 2019-06-25 Oath Inc. Customization of user account authentication
CN106878970B (zh) * 2015-12-14 2020-05-05 阿里巴巴集团控股有限公司 变更手机号码的业务请求的识别方法及装置
KR101739098B1 (ko) * 2015-12-28 2017-05-24 주식회사 피노텍 복수 단말에서 자필서명을 이용한 본인 확인 시스템 및 방법
US10231128B1 (en) 2016-02-08 2019-03-12 Microstrategy Incorporated Proximity-based device access
US10855664B1 (en) 2016-02-08 2020-12-01 Microstrategy Incorporated Proximity-based logical access
KR102483836B1 (ko) * 2016-02-19 2023-01-03 삼성전자주식회사 전자 장치 및 그의 동작 방법
US10305885B2 (en) * 2016-03-03 2019-05-28 Blackberry Limited Accessing enterprise resources using provisioned certificates
US20170300673A1 (en) * 2016-04-19 2017-10-19 Brillio LLC Information apparatus and method for authorizing user of augment reality apparatus
EP3244360A1 (de) * 2016-05-12 2017-11-15 Skidata Ag Verfahren zur registrierung von geräten, insbesondere von zugangskontrollvorrichtungen oder bezahl- bzw. verkaufsautomaten bei einem server eines systems, welches mehrere derartige geräte umfasst
CN106411837A (zh) * 2016-05-30 2017-02-15 深圳市永兴元科技有限公司 权限管理方法和装置
US11886611B1 (en) 2016-07-01 2024-01-30 Wells Fargo Bank, N.A. Control tower for virtual rewards currency
US11615402B1 (en) 2016-07-01 2023-03-28 Wells Fargo Bank, N.A. Access control tower
US11386223B1 (en) 2016-07-01 2022-07-12 Wells Fargo Bank, N.A. Access control tower
US11935020B1 (en) 2016-07-01 2024-03-19 Wells Fargo Bank, N.A. Control tower for prospective transactions
US10992679B1 (en) 2016-07-01 2021-04-27 Wells Fargo Bank, N.A. Access control tower
WO2018045475A1 (en) * 2016-09-12 2018-03-15 Nanoport Technology Inc. Secure indirect access provisioning of off-line unpowered devices by centralized authority
EP3535724A1 (en) * 2016-11-01 2019-09-11 Entersekt International Limited Verifying an association between a communication device and a user
CN107223328A (zh) * 2017-04-12 2017-09-29 福建联迪商用设备有限公司 一种Root权限管控的方法及***
US11140157B1 (en) 2017-04-17 2021-10-05 Microstrategy Incorporated Proximity-based access
US10657242B1 (en) 2017-04-17 2020-05-19 Microstrategy Incorporated Proximity-based access
US10771458B1 (en) 2017-04-17 2020-09-08 MicoStrategy Incorporated Proximity-based user authentication
US11556936B1 (en) 2017-04-25 2023-01-17 Wells Fargo Bank, N.A. System and method for card control
WO2018207174A1 (en) * 2017-05-07 2018-11-15 Shay Rapaport Method and system for sharing a network enabled entity
US10089801B1 (en) 2017-05-15 2018-10-02 Amazon Technologies, Inc. Universal access control device
CN109039987A (zh) * 2017-06-08 2018-12-18 北京京东尚科信息技术有限公司 一种用户账户登录方法、装置、电子设备和存储介质
US10360733B2 (en) 2017-06-20 2019-07-23 Bank Of America Corporation System controlled augmented resource facility
US10574662B2 (en) 2017-06-20 2020-02-25 Bank Of America Corporation System for authentication of a user based on multi-factor passively acquired data
US11062388B1 (en) 2017-07-06 2021-07-13 Wells Fargo Bank, N.A Data control tower
US11354399B2 (en) * 2017-07-17 2022-06-07 Hewlett-Packard Development Company, L.P. Authentication of entitlement certificates
US10541977B2 (en) * 2017-07-25 2020-01-21 Pacesetter, Inc. Utilizing signed credentials for secure communication with an implantable medical device
US10491595B2 (en) * 2017-07-31 2019-11-26 Airwatch, Llc Systems and methods for controlling email access
US10491596B2 (en) 2017-07-31 2019-11-26 Vmware, Inc. Systems and methods for controlling email access
US10673831B2 (en) * 2017-08-11 2020-06-02 Mastercard International Incorporated Systems and methods for automating security controls between computer networks
US10498538B2 (en) * 2017-09-25 2019-12-03 Amazon Technologies, Inc. Time-bound secure access
US11368451B2 (en) 2017-10-19 2022-06-21 Google Llc Two-factor authentication systems and methods
US11188887B1 (en) 2017-11-20 2021-11-30 Wells Fargo Bank, N.A. Systems and methods for payment information access management
US20190278903A1 (en) * 2018-03-06 2019-09-12 GM Global Technology Operations LLC Vehicle control module security credential replacement
US10917790B2 (en) * 2018-06-01 2021-02-09 Apple Inc. Server trust evaluation based authentication
US11251956B2 (en) * 2018-07-02 2022-02-15 Avaya Inc. Federated blockchain identity model and secure personally identifiable information data transmission model for RCS
US11824882B2 (en) * 2018-08-13 2023-11-21 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US11695783B2 (en) * 2018-08-13 2023-07-04 Ares Technologies, Inc. Systems, devices, and methods for determining a confidence level associated with a device using heuristics of trust
US10733473B2 (en) 2018-09-20 2020-08-04 Uber Technologies Inc. Object verification for a network-based service
US10999299B2 (en) 2018-10-09 2021-05-04 Uber Technologies, Inc. Location-spoofing detection system for a network service
CN109492376B (zh) * 2018-11-07 2021-11-12 浙江齐治科技股份有限公司 设备访问权限的控制方法、装置及堡垒机
US11489833B2 (en) * 2019-01-31 2022-11-01 Slack Technologies, Llc Methods, systems, and apparatuses for improved multi-factor authentication in a multi-app communication system
CN113508379B (zh) * 2019-03-04 2024-02-20 日立数据管理有限公司 用于分布式***中的多向信任形成的***、方法和介质
US11431694B2 (en) * 2019-07-10 2022-08-30 Advanced New Technologies Co., Ltd. Secure account modification
US11552798B2 (en) * 2019-07-30 2023-01-10 Waymo Llc Method and system for authenticating a secure credential transfer to a device
US11700121B2 (en) * 2019-09-13 2023-07-11 Amazon Technologies, Inc. Secure authorization for sensitive information
US20210141888A1 (en) * 2019-11-12 2021-05-13 Richard Philip Hires Apparatus, System and Method for Authenticating a User
US11019191B1 (en) 2019-12-30 2021-05-25 Motorola Mobility Llc Claim a shareable device for personalized interactive session
US11284264B2 (en) * 2019-12-30 2022-03-22 Motorola Mobility Llc Shareable device use based on user identifiable information
US11640453B2 (en) 2019-12-30 2023-05-02 Motorola Mobility Llc User authentication facilitated by an additional device
US11140239B2 (en) 2019-12-30 2021-10-05 Motorola Mobility Llc End a shareable device interactive session based on user intent
US11770374B1 (en) 2019-12-31 2023-09-26 Cigna Intellectual Property, Inc. Computer user credentialing and verification system
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
US10992606B1 (en) 2020-09-04 2021-04-27 Wells Fargo Bank, N.A. Synchronous interfacing with unaffiliated networked systems to alter functionality of sets of electronic assets
US11546443B2 (en) * 2020-09-11 2023-01-03 Microsoft Technology Licensing, Llc Connected focus time experience that spans multiple devices
US11575692B2 (en) 2020-12-04 2023-02-07 Microsoft Technology Licensing, Llc Identity spray attack detection with adaptive classification
US11985241B2 (en) * 2020-12-29 2024-05-14 Visa International Service Association Method and system for token transfer
US12021861B2 (en) * 2021-01-04 2024-06-25 Bank Of America Corporation Identity verification through multisystem cooperation
US11546338B1 (en) 2021-01-05 2023-01-03 Wells Fargo Bank, N.A. Digital account controls portal and protocols for federated and non-federated systems and devices
CN113269560A (zh) * 2021-05-14 2021-08-17 河北幸福消费金融股份有限公司 身份验证方法、增强交易安全性的方法和存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004258847A (ja) * 2003-02-25 2004-09-16 Tech Res & Dev Inst Of Japan Def Agency 端末監視制御装置、端末監視制御方法および端末監視制御プログラム
US20040187018A1 (en) * 2001-10-09 2004-09-23 Owen William N. Multi-factor authentication system
US20060070125A1 (en) * 2001-02-14 2006-03-30 Pritchard James B Two-factor computer password client device, system, and method
US20080040802A1 (en) * 2004-06-14 2008-02-14 Iovation, Inc. Network security and fraud detection system and method

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10260939A (ja) * 1997-03-19 1998-09-29 Fujitsu Ltd コンピュータネットワークのクライアントマシン認証方法,クライアントマシン,ホストマシン及びコンピュータシステム
US6510236B1 (en) 1998-12-11 2003-01-21 International Business Machines Corporation Authentication framework for managing authentication requests from multiple authentication devices
US8060389B2 (en) * 2000-06-07 2011-11-15 Apple Inc. System and method for anonymous location based services
US7181507B1 (en) * 2000-07-18 2007-02-20 Harrow Products Llc Internet based access point management system
US20020112186A1 (en) * 2001-02-15 2002-08-15 Tobias Ford Authentication and authorization for access to remote production devices
US7225256B2 (en) * 2001-11-30 2007-05-29 Oracle International Corporation Impersonation in an access system
US20030233580A1 (en) * 2002-05-29 2003-12-18 Keeler James D. Authorization and authentication of user access to a distributed network communication system with roaming features
US7322043B2 (en) * 2002-06-20 2008-01-22 Hewlett-Packard Development Company, L.P. Allowing an electronic device accessing a service to be authenticated
US7606560B2 (en) 2002-08-08 2009-10-20 Fujitsu Limited Authentication services using mobile device
US7574731B2 (en) * 2002-10-08 2009-08-11 Koolspan, Inc. Self-managed network access using localized access management
US7546276B2 (en) 2006-01-23 2009-06-09 Randle William M Common authentication service for network connected applications, devices, users, and web services
US7703128B2 (en) * 2003-02-13 2010-04-20 Microsoft Corporation Digital identity management
EP1503352A1 (en) * 2003-07-31 2005-02-02 Matsushita Electric Industrial Co., Ltd. Portable device, IC module, IC card, and method for using services
CN100437551C (zh) 2003-10-28 2008-11-26 联想(新加坡)私人有限公司 使多个用户设备自动登录的方法和设备
CN101421968B (zh) * 2003-12-23 2011-01-26 万朝维亚有限公司 用于连网计算机应用的鉴权***
JP4301997B2 (ja) 2004-05-07 2009-07-22 日本電信電話株式会社 携帯電話による情報家電向け認証方法
US7900253B2 (en) * 2005-03-08 2011-03-01 Xceedid Corporation Systems and methods for authorization credential emulation
GB2424726A (en) * 2005-03-31 2006-10-04 Hewlett Packard Development Co Management of computer based assets
US7706778B2 (en) * 2005-04-05 2010-04-27 Assa Abloy Ab System and method for remotely assigning and revoking access credentials using a near field communication equipped mobile phone
US7350074B2 (en) * 2005-04-20 2008-03-25 Microsoft Corporation Peer-to-peer authentication and authorization
US8028329B2 (en) * 2005-06-13 2011-09-27 Iamsecureonline, Inc. Proxy authentication network
JP2007004605A (ja) 2005-06-24 2007-01-11 Brother Ind Ltd 通信システム、クライアント、サーバおよびプログラム
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
AU2006278422B2 (en) 2005-08-03 2011-10-06 Intercomputer Corporation System and method for user identification and authentication
US20070056022A1 (en) * 2005-08-03 2007-03-08 Aladdin Knowledge Systems Ltd. Two-factor authentication employing a user's IP address
US20070107050A1 (en) 2005-11-07 2007-05-10 Jexp, Inc. Simple two-factor authentication
US20070136471A1 (en) * 2005-12-12 2007-06-14 Ip3 Networks Systems and methods for negotiating and enforcing access to network resources
US20070136472A1 (en) * 2005-12-12 2007-06-14 Ip3 Networks Systems and methods for requesting protocol in a network using natural language messaging
US7502761B2 (en) 2006-02-06 2009-03-10 Yt Acquisition Corporation Method and system for providing online authentication utilizing biometric data
US20070220594A1 (en) 2006-03-04 2007-09-20 Tulsyan Surendra K Software based Dynamic Key Generator for Multifactor Authentication
US7552467B2 (en) * 2006-04-24 2009-06-23 Jeffrey Dean Lindsay Security systems for protecting an asset
US8458775B2 (en) * 2006-08-11 2013-06-04 Microsoft Corporation Multiuser web service sign-in client side components
US7983249B2 (en) * 2007-01-23 2011-07-19 Oracle America, Inc. Enterprise web service data to mobile device synchronization
US8856890B2 (en) * 2007-02-09 2014-10-07 Alcatel Lucent System and method of network access security policy management by user and device
US20090143104A1 (en) * 2007-09-21 2009-06-04 Michael Loh Wireless smart card and integrated personal area network, near field communication and contactless payment system
US8966594B2 (en) * 2008-02-04 2015-02-24 Red Hat, Inc. Proxy authentication
US20090228962A1 (en) * 2008-03-06 2009-09-10 Sharp Laboratories Of America, Inc. Access control and access tracking for remote front panel
CN101981581B (zh) * 2008-04-04 2013-08-28 国际商业机器公司 处理过期密码的方法和设备
US9137739B2 (en) * 2009-01-28 2015-09-15 Headwater Partners I Llc Network based service policy implementation with network neutrality and user privacy

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060070125A1 (en) * 2001-02-14 2006-03-30 Pritchard James B Two-factor computer password client device, system, and method
US20040187018A1 (en) * 2001-10-09 2004-09-23 Owen William N. Multi-factor authentication system
JP2004258847A (ja) * 2003-02-25 2004-09-16 Tech Res & Dev Inst Of Japan Def Agency 端末監視制御装置、端末監視制御方法および端末監視制御プログラム
US20080040802A1 (en) * 2004-06-14 2008-02-14 Iovation, Inc. Network security and fraud detection system and method

Also Published As

Publication number Publication date
CN102047709A (zh) 2011-05-04
KR20110020783A (ko) 2011-03-03
JP2011522327A (ja) 2011-07-28
EP2283669A2 (en) 2011-02-16
US7979899B2 (en) 2011-07-12
US20090300744A1 (en) 2009-12-03
US20110247055A1 (en) 2011-10-06
US8800003B2 (en) 2014-08-05
WO2009148746A3 (en) 2010-04-22
JP5038531B2 (ja) 2012-10-03
EP2283669B1 (en) 2020-03-04
WO2009148746A2 (en) 2009-12-10
CN102047709B (zh) 2013-10-30
EP2283669A4 (en) 2014-09-24

Similar Documents

Publication Publication Date Title
KR101534890B1 (ko) 신뢰된 장치별 인증
US8209394B2 (en) Device-specific identity
EP1498800B1 (en) Security link management in dynamic networks
KR101150108B1 (ko) 피어-투-피어 인증 및 허가
JP4756817B2 (ja) アクセス制御を提供する方法、記録媒体及びアクセスを制御するシステム
US9191394B2 (en) Protecting user credentials from a computing device
US8266683B2 (en) Automated security privilege setting for remote system users
Matetic et al. {DelegaTEE}: Brokered delegation using trusted execution environments
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
US20210084020A1 (en) System and method for identity and authorization management
JP5827680B2 (ja) IPsecとIKEバージョン1の認証を伴うワンタイム・パスワード
GB2554082B (en) User sign-in and authentication without passwords
Ferretti et al. Authorization transparency for accountable access to IoT services
JP6792647B2 (ja) 監査能力を備えた仮想スマートカード
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
US20080060060A1 (en) Automated Security privilege setting for remote system users
Tysowski OAuth standard for user authorization of cloud services
Hosseyni et al. Formal security analysis of the OpenID FAPI 2.0 Security Profile with FAPI 2.0 Message Signing, FAPI-CIBA, Dynamic Client Registration and Management: technical report
Keil Social Security
KR101066729B1 (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한 방법 및 시스템
WO2008025137A1 (en) Automated security privilege setting for remote system users
Dočár Bezpečnostní řešení pro cloudové technologie

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20190617

Year of fee payment: 5