KR20040101085A - 개인 인증 장치와 시스템 및 그 방법 - Google Patents

개인 인증 장치와 시스템 및 그 방법 Download PDF

Info

Publication number
KR20040101085A
KR20040101085A KR1020040036596A KR20040036596A KR20040101085A KR 20040101085 A KR20040101085 A KR 20040101085A KR 1020040036596 A KR1020040036596 A KR 1020040036596A KR 20040036596 A KR20040036596 A KR 20040036596A KR 20040101085 A KR20040101085 A KR 20040101085A
Authority
KR
South Korea
Prior art keywords
pad
user
key
certificate
service
Prior art date
Application number
KR1020040036596A
Other languages
English (en)
Inventor
쿵씨앙충
Original Assignee
인더스트리얼 테크놀로지 리서치 인스티튜트
시앙-충 쿵
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US10/609,586 external-priority patent/US20050021954A1/en
Application filed by 인더스트리얼 테크놀로지 리서치 인스티튜트, 시앙-충 쿵 filed Critical 인더스트리얼 테크놀로지 리서치 인스티튜트
Publication of KR20040101085A publication Critical patent/KR20040101085A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07CTIME OR ATTENDANCE REGISTERS; REGISTERING OR INDICATING THE WORKING OF MACHINES; GENERATING RANDOM NUMBERS; VOTING OR LOTTERY APPARATUS; ARRANGEMENTS, SYSTEMS OR APPARATUS FOR CHECKING NOT PROVIDED FOR ELSEWHERE
    • G07C9/00Individual registration on entry or exit
    • G07C9/20Individual registration on entry or exit involving the use of a pass
    • G07C9/22Individual registration on entry or exit involving the use of a pass in combination with an identity check of the pass holder

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 다루기 쉽고, 부정조작을 방지하는 인증 시스템, 또는 개인 인증 장치(PAD)를 제공하며, 이는 인증, 허가와 계정에 적용될 수 있다. PAD는 인증허가(CA)와 관련된 적어도 하나의 공개키를 저장하며 하나 이상의 디지털 증명서를 수신하는데, 이는 저장된 CA공개키에 근거하여 인증될 수 있다. PAD는 용도에 따라 서비스키를 출력하며, 이는 통제된 공간에서 액세스를 얻고, 어떤 활동을 하도록 허가 받고, 또는 어떤 서비스를 수신하는데 사용될 수 있다. PAD의 동작과 서비스키의 성질은 동작동안 수신하는 디지털 증명서에 의해 결정될 수 있다. 비밀이 유지된 저장된 PAD비밀키를 사용하여, PAD는 사용자에 자신을 인증하고, 생성한 서비스키에 서명하고, 또한 수신된 디지털 증명서의 컨텐츠를 복호화하는 것을 포함하여 다양한 안전-관련 업무를 수행할 수 있다.

Description

개인 인증 장치와 시스템 및 그 방법{PERSONAL AUTHENTICATION DEVICE AND SYSTEM AND METHOD THEREOF}
이 출원은 2003년 5월 23일 제출된 미국 임시특허출원 제 60/473,365과 2003년 7월 1일 제출된 미국특허출원 제 10/609,586의 우선권을 주장하며, 양출원은 모두 "개인 인증 장치와 시스템 및 그 방법" 로, 참고로 여기에 통합된다.
본 발명은 일반적으로 디지털 인증, 더 구체적으로는 디지털 증명서를 사용한 개인 인증 장치에 관한 것이다.
일반적으로 "인증"은 그가 어떤 사람인지를 결정하는 처리이다. 예를 들면, 비행기 여행자가 운전면허증이나 여권("증명서(certificate)")처럼 여행자의 이름이 적힌 사진 포함 문서와 문서의 사진과 일치될 수 있는 여행자의 얼굴("자격(credential)")를 항공 공무원에게 제시함으로써 공항에서 그들 자신을 인증하는 것이다. 이러한 예에서, 항공 공무원은 "증명서"에 있는 정보와 대비하여 자격을 검증하고, 일치하면 여행자는 "인증"되어 비행기에 탑승할 수 있게 된다.
"인증"이라는 개념은 "허가" 및 "계정"의 개념과 밀접한 관련이 있다. 어떤 존재는 일반적으로 서비스를 받기 전에 인증되는 한편, 계정은 서비스가 제공된 후에 행해진다.
공개키 조직(PKI; public key infrastructure)은 불안정한 네트워크 상에서 전자적으로 정보를 교환하는데 대한 향상된 확신을 제공하기 위해 개발되어 왔다. PKI는 많은 다른 구성을 포함할 수 있으나, 일반적으로 함께 안전한 조직을 제공하는 방법, 기술, 장치를 의미한다. PKI는 전자적 정보의 발신인이나 수신인을 인증하고/또는 고의적으로 변경되거나 반대로 변형되지 않은 전자적 문서나 메시지의 내용을 인증하는데 사용될 수 있다. 일반적으로, PKI는 공개키 암호작성법이라 불리는 수학적 기술을 사용하여 안전을 제공한다. 공개키 암호작성법은 "비밀키"(비밀키) 및 "공개키"라 불리는 한 쌍의 수학적으로 관련된 암호키를 사용한다. 만일 한 키가 암호정보에 사용되면, 관련키만이 그 정보를 복호할수 있다. 만일 어느 키를 안다면, 다른 키가 무엇인지 용이하게 계산할 수 없다. 그 이름이 지시하는 바처럼, 비밀키는 한 사용자에 유일하게 연관되는 것을 의도하며 비밀을 유지한다. 공개키는 자유로이 배분될 수 있고 어떤 사람에게나 알려진다.
공개키 암호화는 정보를 안전하게 보내는 데 사용될 수 있다. 예를 들어 발신인은 수신인으로부터 수신하거나 공개 디렉토리에서 얻은 수신인의 공개키로 메시지를 암호화할 수 있다. 수신인은 그후 메시지를 복호화하기 위해 그의 공개키를 사용할 수 있다.
"디지털 증명서"와 "인증 허가(CA; certificate authority)"는 공개/사설 키 쌍과 연관된 존재의 식별을 인증하는데 사용될 수 있다. CA는 디지털 증명서를 발행, 관리, 취소하는 신뢰된 개인이나 단체(공개 또는 사설)이다. 비록 PGP와 같은 어떤 신청이 사용자에게 그들 자신의 디지털 증명서를 발행하도록 허가해도, 더 많은 "신뢰된"디지털 증명서가 진실한 CA로부터 획득될 수 있다.
CA는 디지털 증명서에 한 쌍의 공개/비밀키를 만들거나 요구자의 공개키에 서명할 수 있다(CA가 요구자의 일치를 확인한 후). CA는 증명서 요구자에 의해 제공된 자격을 확인하고, 요구자의 일치를 확인하면 CA의 비밀키로 디지털 증명서에 디지털 방식으로 서명하게 된다.
디지털 방식으로 서명된 메시지나 증명서는 메시지나 증명서의 디지털 서명이 타당한지를 판단하여 인증될 수 있다. 서명된 메시지를 발신할 때, 발신인은 디지털 증명서와 함께 또는 단독으로 그의 공개키도 발신할 수 있다. 서명된 증명서는 또한 디지털 증명서에 서명한 CA의 일치를 나타낼 수도 있다. 디지털 방식으로 서명된 메시지나 증명서의 수신인은 디지털 증명서의 다른 정보뿐만 아니라서명자와 연관된 공개키를 사용하여 서명이 맞는지를 판단할 수 있다.
종래의 전자 인증 시스템에서, 디지털 증명서의 인증은 종종 문서를 인증하기 원하는 개인(또는 개인이 있는 곳의 장치노드)과 인증서버(디지털 증명서를 발행한 CA의 서버 등)간의 네트워크 접속을 요구하였다. 일반적으로 디지털 증명서를 인증하기 위해서 종래의 인증 서비스를 사용한 장치나 사용자는 인증 서버에 네트워크를 접속해야만 했고, 그리고 나서 네트워크 서버에서 인증을 수행했다. 서비스 착수를 부인하는(denial-of-service attacks) 네트워크나 서버와 같이, 오류가 있고 접속이 단절되거나 안전이 보장되지 않은 네트워크와 서버조건은 인증을 불량하게 또는 실패하게 할 수 있다.
따라서 적어도 기술분야에서 상술의 결점을 극복하는 인증장치와 방법에 대한 일반적인 요구가 있다. 특히, 잘못된 네트워크와 서버 조건하에서 네트워크를 통한 인증의 단점을 극복하는 인증장치와 방법에 대한 요구가 기술분야에서 존재한다.
따라서, 본 발명의 일 실시예는 종래 기술의 단점과 한계에 의한 문제점을 하나 이상 제거하는 개인 인증 장치, 방법과 시스템에 관한 것이다.
이러한 또는 다른 이점을 수행하기 위하여, 또한 구체화되고 넓게 기술된 바와 같은 본 발명의 목적과 일치하여, 각각이 인증허가(CA)와 연관된 CA공개키를 적어도 하나 저장하는 저장매체를 적어도 하나 포함하는 개인 인증 장치(PAD)가 제공된다. PAD는 또한 하나 이상의 디지털 증명서를 수신하는 입력수단을 하나 이상포함한다. 처리소자는 저장된 CA 공개키를 적어도 하나 사용하여, 하나 이상의 수신된 디지털 증명서를 인증하며 하나 이상의 인증된 디지털 증명서에 근거하여 서비스키를 적어도 하나 생성한다. 출력수단은 적어도 하나의 서비스키를 출력한다.
인증 방법이 또한 제공된다. 각각이 인증 허가(CA)와 연관된 적어도 하나의 CA공개키는 개인 인증 장치(PAD)에 저장된다. 하나 이상의 디지털 증명서가 PAD에 의해 수신된다. 하나 이상의 수신된 디지털 증명서는 적어도 하나의 저장된 CA 공개키를 사용하여 인증된다. 적어도 하나의 서비스키는 하나 이상의 인증된 디지털 증명서에 근거하여 생성되고 PAD에 의해 출력된다.
본 명세서의 부분을 구성하고 이에 포함되는, 수반되는 도면은 본 발명의 원리를 설명하기 위해 설명과 함께 본 발명의 몇 개의 실시예를 설명한다. 도면에서;
도 1은 본 발명에 따른 개인 인증 장치(PAD)의 블록 다이어그램이다;
도 2는 본 발명에 따른 인증방법의 일예를 도시하는 플로우차트이다.
도 3은 도 2의 단계 215에서 수신될 수 있는 하나 이상의 디지털 증명서를 사용하는 예시 방법의 단계를 설명한다.
본 발명의 본실시예가 상세히 참고될 것이며, 실시예는 수반되는 도면을 참조하여 설명된다. 도면을 통하여 동일하거나 유사한 부분에는 동일한 참고번호가 사용될 것이다.
본 발명에 따른 방법 및 시스템은 넓은 범위로 적용할 수 있는 인증시스템을 제공한다. 본 발명에 따른 어떤 방법 및 시스템은 인증을 위한 네트워크 접속을 요구하지 않는 오프라인에서 사용될 수 있는 인증 시스템을 제공한다. 본 발명은 게다가 그것의 정확한 작동이 작동동안 수신하는 디지털 증명서에 의해 판별되고 다루기 쉬운 인증장치를 제공한다. 본 발명은 게다가 사용용도에 따라서, 제어된 스페이스나 다른 존재물에 액세스하도록 사용될 수 있는 서비스키를 출력하는 인증 장치를 제공한다.
도 1은 본 발명의 원리와 일치하는 개인 인증 장치(PAD)의 블록 다이어그램이다. 도 1에 도시된 바와 같이, 본 발명에 따른 PAD(100)는 버스(125)에 의해 활동적으로 연결되는 메모리(120)와 프로세서(110)로 구성된다. 프로세서(110)는 본 발명의 어떤 측면에 일치하여 어떤 인증 처리를 수행하고, 소프트웨어를 실행하기 위해 형성되는 하나 이상의 처리장치를 나타낼 수 있다. 메모리(120)는 PAD(100)에서 다른 하드웨어와 프로세서(110)에 의해 사용되고/또는 실행되는 제어코드와 소프트웨어뿐만 아니라 데이터를 저장하는 하나 이상의 메모리 장치일 수 있다. 비록 하나의 메모리(120)가 도시되었으나, 메모리(120)는 몇 개의 메모리도 포함할 수 있다. 예를 들면, 메모리(120)는 프로세서(110)에 의해 실행되는 때에 하나 이상의 인증 처리를 실행하는 소프트웨어 소자를 저장하는 하나 이상의 메모리를 포함할 수 있다. 메모리(120)는 또한 RAM, ROM, 자기 및 광학의 기억장치, 유기적인 기억장치, 오디오 디스크, 및 비디오 디스크를 하나 이상 포함할 수 있다.
도 1에 도시된 바와 같이, 메모리(120)는 PAD비밀키(PAD키 (122))와 하나 이상의 CA공개키(CA키1[124], CA키2[126],...CA키N[128])를 저장할 수 있다. 어떤 실시예에서, PAD키(122)는 PAD(100)에 연관되어 있고 공개-키 암호작성법을 사용하여 생성되는 한 쌍의 수학적으로 관련된 암호키의 비밀키이다. 각각의 CA키1-N는 공개-키 암호작성법을 사용하여 생성되는 한 쌍의 수학적으로 관련된 암호키의 공개키가 되며, 각각의 키 쌍은 개별적으로 CA 1-N과 연관되어 있다.
PAD(100)은 PAD비밀키(PAD키(122))로 선택적으로 구성될 수 있다. PAD키(122)는 동일한 관리하에 PAD나 PAD군과 특이하게 연관된다. 그것의 대응되는 공개키는 어떤 사람에게나 알려질 수 있지만, PAD키(122)는 사용자에게 알려지지 않은 비밀이다. 어떤 실시예에서, 하드웨어와 소프트웨어 수단은 PAD(100)의 외부로부터 PAD키(122)가 독출되지 않도록 보호하기 위해 제공된다. PAD(100)는 예를 들어 PAD키(122)를 사용하며, PAD(100)를 사용자에게 인증하고 PAD(100)가 출력하는 서비스키를 서명하고, 또한 PAD(100)의 공개키와 대응하여 암호화된 수신된 디지털 증명서의 내용을 복호화한다.
적어도 하나의 실시예에서, PAD키(122)및/또는 CA키1-N(124, 126, 128)은 고쳐쓸 수 없다. 이 예에서, 이러한 키들은 오직 한번 PAD(100)에 기입된다. 예를 들면, PAD키(122)및/또는 CA키1-N(124, 126, 128)는 제조공정동안 한번 메모리에 기록될 수 있다. 적어도 하나의 실시예에서, PAD키(122)및/또는 CA키1-N(124, 126, 128)는 고쳐 쓸 수는 없지만 PAD(100)의 외부로부터 메모리(120)로 독출될 수 있다.
어떤 실시예에서, PAD(100)는 또한 PAD일련번호(121)를 포함하며, 이는 PAD(100)와 연관된 유일한 번호가 될 수 있다. PAD일련번호(121)는 예를 들면 메모리(120)에 저장될 수 있으며 또한 오직 일회 PAD일련번호가 기입되는 방식으로 PAD의 외부로부터 메모리(120)로 독출되거나 제조공정동안 일회 메모리로 기록될 수 있다. 어떤 실시예에서, PAD일련번호(121)는 서비스키의 생성에 사용될 수있다. 어떤 실시예에서, PAD일련번호(121)는 서비스키가 생성된 PAD(122)를 결정하는 것이 가능한 방식으로, 대응하는 PAD(100)에 의해 생성된 서비스키와 연관될 수 있다.
PAD(100)는 또한 무작위 번호 생성기(RNG)(130)(또는 모조-무작위 번호 생성기)를 선택적으로 포함할 수 있다. RNG(130)(또는 모조-무작위 번호 생성기)는 예를 들면 인증, 허가 및 계정 처리에 사용되는 다른 파라미터나 세션키를 생성하기 위해 사용될 수 있다. 예를 들어, RNG(130)(또는 모조-무작위 번호 생성기)는 프로토콜에 요구 및 반응하는데 있어서 무작위(또는 모조-무작위)의 세션키를 생성하는데 사용될 수 있다. 게다가, RNG(130)는 무작위(또는 모조-무작위) 일회키를 생성하는데 사용될 수 있다. 어떤 실시예에서, PAD(100)는 서비스키의 전형인 쿠키의 생성에 일회키를 사용할 수 있다. PAD(100)는 메모리(120)에 일회키를 저장할 수 있다. PAD(100)으로부터 쿠키를 수신한 후에, 사용자는 미래 서비스 요구와 관련하여 PAD(100)에 쿠키를 제출할 수 있다. 저장된 일회키에 근거하여, PAD(100)는 제출된 쿠키를 유효하게 할 것이다. 만일 쿠키가 유효화되면, PAD(100)는 서비스를 허가할 수 있다. 만일 서비스가 허가되면, PAD(100)는 또한 메모리(120)에 저장된 일회키를 무효화하여, PAD(100)이 미래에 동일한 쿠키를 유효하게 할 수 없도록 할 것이며, 따라서 동일한 쿠키의 재생을 방지할 것이다.
이 쿠키 메카니즘은 다른 용도로 사용될 수 있다. 디지털 권리 관리(Digital Rights Management; DRM)시스템과 같은 일 실시예에서, PAD(100)는예컨대 사용되거나 사용되어 온 연관된 컨텐츠의 횟수를 기술할 수 있는 사용 정보를 쿠키에 기입할 수 있다. 컨텐츠의 새로운 사용을 활성화시키기 위해, PAD(100)은 쿠키 확인 공정을 통과할 수 있는 쿠키를 수신해야 한다. 만일 수신된 쿠키가 유효하면, 그리고 수신된 쿠키내의 사용 수가 특별한 한계를 초과하지 않으면, PAD(100)는 컨텐츠의 일-회사용을 허가하고, 메모리(120)에 저장된 일-회 키를 무효로 한다. 어떤 실시예에서, PAD(100)는 예를 들면, 새로운 일-회 키로 구성된 새 쿠키를 생성시킬 수 있다. 새 쿠키에서, 사용 수는 쿠키가 수신된 이후 발생된 허가된 사용을 반영하기 위해 증가될 수 있고 새 쿠키는 사용자에게 전송될 수 있다. 이러한 형태의 쿠키에 기초한 계획은 예를 들면 각각의 쿠키가 모든 사용수를 기록하도록 하여, 여러 개의 컨텐츠를 동시에 추적하는데 사용될 수 있다.
PAD(100)은 예를 들면, 현재 날짜와 시간이 디지털 증명서의 유효기간 내인지를 판단하고 PAD(100)가 만드는 서비스키에 포함될 타임스탬프를 생성하는 데 사용될 수 있는 시계(132)를 선택적으로 포함한다. 서비스키의 타임 스탬프는 예를 들면 서비스키가 너무 오래되었는지 또는 시계(132)가 흔들리는지(drifted) 여부를 결정하는데 도움이 될 수 있다. 이러한 경우 어느 것이라도 맞는다면, 서비스 제공자는 서비스키를 수행하지 않도록 선택할 수 있다. 게다가, 시계(132)는 예를 들면 DRM시스템에서 디지털 컨텐츠에 대한 하나 이상의 자격이 소멸되었는지 여부를 결정하는 데 사용될 수 있다.
PAD(100)는 예를 들면 DRM시스템에서 디지털 컨텐츠가 허가된 사용기간 내에사용 또는 액세스되는지를 판단하는데 사용될 수 있는 하나 이상의 타이머(133)를 선택적으로 포함한다. 타이머(133)는 또한 예를 들면 타이머가 리셋된 후에 경과된 시간을 판단하는 데 사용될 수 있다.
PAD(100)는 예를 들면 DRM 시스템의 디지털 컨텐츠가 허가된 사용수 내인지를 판단하는 데 사용되는 하나 이상의 카운터(134)를 선택적으로 포함할 수 있다. 카운터는 또한 예를 들면 카운터가 리셋된 후 발생한 이벤트의 횟수를 판단하는 데 사용될 수도 있다.
어떤 실시예에서, 하나 이상의 PAD(100)소자나 PAD(100)자체는 부정조작을 방지한다. 허가 받지 않은 액세스를 불가능 또는 어렵게 만드는 기술에 의해 소자나 장치가 허가 받지 않은 액세스로부터 보호된다면, 이러한 용도를 위해 소자나 장치는 "부정조작 방지"기능이 있다. 소자나 장치를 "부정조작 방지"로 만드는 기술은 소자가 하드웨어나 소프트웨어에 채워지는지 여부에 따라 달라질 수 있다. 예를 들면, "부정조작 방지"의 하드웨어 소자는 물리적으로 열리거나 침입될 수 없는 물질을 사용하여 구성될 수 있다. 전자 데이터의 부정조작 방지는 허가 없이는 독출, 변경 또는 삭제되지 않는 방식으로 데이터를 저장함으로써 수행될 수 있다. 본 발명의 어떤 실시예에서, PAD키(122)는 PAD(100)외측으로부터 독출되지 않도록 이러한 부정조작 방지 기술에 의해 보호된다.
본 발명의 실시예에서, PAD(100)는 입력장치로 구성되거나, 도 1에 도시된 바처럼 입력장치(140)와 같은 입력장치에 접속된다. 입력장치(140)는 정보를 수신하고 그것을 PAD(100)의 사용을 위한 디지털 정보로 변환할 수 있는 어떤 장치일수 있다. 입력장치(140)는 예를 들면, 키보드나 키패드, 카드 리더, USB장치, 지문 또는 다른 바이오메트릭 리더, 카메라, 스캐너, CD/DVD 리더, 핸드셋 또는 소형장치, 개인 디지털 어시스턴트(PDA), 무선 인터페이스, 퍼스널 컴퓨터, 및/또는 인터넷 접속일 수 있다. 입력장치(140)는 예를 들면 스마트 카드, 마그네틱 스트립 카드 또는 프린트된 문서로부터 디지털 증명서 정보를 독출하는 데 사용될 수 있다. 입력장치(140)는 또한 예컨대 PIN, 패스워드, 지문, 망막 패턴, 또는 다른 바이오메트릭 정보와 같은 사용자 식별 정보를 수신하는데 사용된다. 접속(115)은 여러 가지 중에서 버스나 무선 접속과 같이, 디지털 데이터가 통과될 수 있는 어떤 접속형태라도 된다.
본 발명의 실시예에서, PAD(100)는 출력장치로 구성되거나, 도 1에 도시된 바와 같이 출력장치(150)와 같은 출력장치에 접속된다. 출력장치(150)는 디스플레이, 프린터, 카드 리더, USB장치, CD/DVD 라이터, 도어락, 핸드셋이나 소형장치, 개인 디지털 어시스턴트(PDA), 퍼스널 컴퓨터, 서버, 및/또는 인터넷 접속과 같은 어떤 다른 장치에 서비스키를 출력할 수 있는 어떤 장치라도 된다. 출력장치(150)는 예를 들면 도어를 여는 도어락에, 서비스 쿠폰을 출력하는 프린터에, 또는 서비스 번호를 디스플레이하는 모니터에 서비스키를 출력하는 데 사용될 수 있다. 출력장치(150)는 예를 들면 스마트 카드, 마그넷 스트립 카드와 같은 휴대용 저장장치나, 다른 휴대용 메모리 장치에 서비스키를 저장하는 데 사용될 수 있다. 어떤 실시예에서, 출력장치(150)는 전자 도어 락과 같은 서비스키 수신기에 서비스키를 무선으로 전송할 수 있는 장치일 수 있다. 접속(117)은 여러 가지 중에서 버스나 무선 접속과 같이 디지털 데이터가 통과될 수 있는 어떠한 접속형태라도 된다.
일 예시적 실행에서, 본 발명의 동작은 도 2의 플로우차트에 예시된 단계와 일치할 수 있다. 그러나, 다른 대안적인 방법 단계들이 적용될 수 있으며, 도 2에 도시된 방법에 따라 사건의 특정순서가 본 발명의 범위에서 떨어지지 않는 한 변화될 수 있다. 게다가, 어떤 단계는 없을 수 있으며 부가 단계가 청구된 본 발명의 범위와 정신에서 떨어지지 않는 범위에서 첨가될 수 있다.
도 2에 도시된 바와 같이, 인증 처리는 PAD(100)을 인증 시키려는 사용자로 시작될 수 있다. 예컨대, PAD사용 전에 사용자는 사용자가 정확한 물리적 장치를 가지는지를 판별하거나 PAD(100)이 어떤 비밀키와 연관되었는지를 검사하기를 원할 수 있다.("소지의 증명(proof of possession)"실험이라고도 불린다) 사용자는 예를 들면 PAD인증요구를 입력함으로써 PAD(100)을 인증할 수 있다(단계(205)). PAD사용자는 도 1에 도시된 입력장치(140)에 의해 PAD인증요구를 입력할 수 있다.
PAD인증 요구는 예를 들면, 사용자가 PAD(100)에 PAD 키(122)와 챌린지(challenge) PAD(100)에 대응하는 공개키로 암호화된, 무작위로 선택된 수치를 전송하고 그 수치를 복호화할 수 있는 챌린지 및 응답 프로토콜을 포함한다. 정확한 PAD키(122)로 PAD는 챌린지에 대한 응답에 성공할 수 있을 것이다. 이 경우, PAD(100)가 사용자에 인증된다고 한다.
만일 PAD(100)가 다수의 PAD 인증 요구를 수신한다면, PAD(100)는 이러한 요구들이 예를 들어 PAD 비밀키(PAD키 (122))를 추측하기 위한 시도가 될 수 있는 착수(attack)(단계(211))를 표시하는지를 판별하려고 한다. PAD(100)는 만일 착수(attack)가 있다고 판별되면, 장치를 실행할 수 없게 한다(단계 (212)). 예를 들면, PAD(100)는 장치의 모든 장래 사용을 차단하기 전 주어진 시간에 일정 수의 PAD인증요구를 허가할 수 있다.
만일 PAD(100)이 인증되면(단계 (210)), 하나 이상의 디지털 증명서는 PAD에 입력될 수 있다. ITU(IETF) 스탠다드 X.509 v3에 합치하는 것과 같은 종래 디지털 증명서와 관리 디지털 증명서는 일반적으로 증명인의 이름, 증명인과 연관된 공개키, 증명서의 유효기간, 디지털 증명서를 발행한 CA의 명칭, 키가 사용되는 작용, 디지털 증명서를 서명한 CA의 방법(예, RSA)과 같은 디지털 증명서 정보를 포함한다.
어떤 실시예에서, 디지털 증명서는 또한 종래 디지털 증명서에서 밝혀진 바에 대신하여 또는 첨가하여 다른 정보를 포함할 수 있다. 예를 들면, 디지털 증명서는 PAD의 카운터, 타이머, 시계를 리셋하는 데 사용될 수 있는 정보를 포함할 수 있다. 어떤 실시예에서, 디지털 증명서는 서비스키로 컨텐츠 복호화 키를 출력하기 전 PAD가 점검할 컨텐츠 권리의 설명 및/또는 컨텐츠 복호화 키를 포함할 수 있다. 어떤 실시예에서, 디지털 증명서는 만기시간, 컨텐츠 사용기간, 및/또는 컨텐츠 사용수의 한계를 정하거나 설명할 수 있는 다른 디지털 권리 관리 정보를 포함할 수 있다.
디지털 증명서와, 디지털 증명서 정보가 서명된 CAD에 의해 생성되거나, 디지털 증명서의 정보가 다른 부분(증명인 포함)에 의해 생성되어 CA에 의해 서명된다. 많은 경우, CA는 증명인에 의해 제공된 자격을 확인하고, 증명인의 일치를 확인하자마자 CA의 비밀키로 디지털 증명서를 디지털 방식으로 서명한다.
디지털 증명서와 디지털 증명서 정보는 기술분야에서 숙련된 자들에 알려진 수많은 방법 중 어느 하나로 PAD(100)에 입력될 수 있다. 예컨대. 디지털 증명서는 종이, 카드 또는 칩과 같은 물리적 매체에 저장될 수 있으며, 물리적 매체에 저장된 디지털 증명서 정보는 예컨대 스캐너, 카드 리더, 또는 다른 입력 장치와 같은 입력장치를 사용하여 물리적 매체로부터 정보를 독출함으로써 PAD(100)에 입력된다. 입력장치는 PAD(100)으로부터 분리될 수 있으며, 물리적 접속이나 무선을 통하여 PAD(100)에 데이터를 제공할 수 있다. 어떤 실시예에서, 디지털 증명서와 디지털 증명서 정보는 예컨대 인터넷이나 다른 네트워크 접속을 통해 다른 장치나 컴퓨터로부터 PAD(100)에 입력될 수 있다. 다른 실시예에서, 디지털 증명서 정보는 예컨대 키보드, 마우스, 사용자 인터페이스나 다른 종래 입력장치를 사용하여 PAD(100)에 입력될 수 있다.
어떤 실시예에서, 모든 디지털 증명서 정보가 수신되거나 국부적으로 사용될 수 있으며 모든 인증 동작이 인터넷이나 네트워크 접속 없이 PAD(100)에서 수행될 수 있다.
단계 (215)에서 수신된 디지털 증명서의 하나 이상은 단계 (220)에서 인증될 수 있다. 디지털 증명서의 인증은 예를 들면, 디지털 증명서가 여전히 유효한지를 검증하는 것을 포함한다. 상술한 바와 같이, 디지털 증명서는 유효기간을 지시하는 정보를 포함할 수 있다. 만일 그러하다면, 인증의 프로세스는 디지털 증명서의 유효기간에 대응하여 현재 날짜와 시간(예를 들면, 시계(132)로부터 획득될 수 있는)를 점검하는 것을 포함할 수 있다.
또한, 디지털 증명서는 CA 비밀키를 사용하여 발행CA에 의해 서명될 수 있다. 이 예에서, 하나 이상의 디지털 증명서는 대응하는 저장된 CA 공개키를 사용하여 인증될 수 있다. 본 발명의 원리에 따라 디지털 증명서를 인증하고 사용하는 다른 예시 방법이 도 3을 참조하여 이하에서 더욱 상세히 설명될 것이다.
만일 하나 이상의 디지털 증명서가 인증되지 않으면(단계 (275)), PAD(100)는 사용자에게 에러 메시지를 선택적으로 돌려줄 수 있으며 동작은 실패한다. 대안적으로, PAD(100)는 사용자에게 에러 메시지를 제공하지 않은 채 작동을 단지 실패하게 한다.
만일 하나 이상의 디지털 증명서가 인증되면(단계 (275)), PAD(100)에 저장되고 하나 이상의 디지털 증명서에 관련된 정보는 서비스키(단계 (280))를 생성하는데 사용될 수 있다. 예컨대. 하나 이상의 서비스키 생성 프로그램은 PAD(100)에 저장될 수 있고 하나 이상의 디지털 증명서의 정보가 특정한 서비스키 생성 프로그램과 파라미터가 사용되도록 지시할 수 있다. 어떤 실시예에서, 서비스키 생성 프로그램은 하나 이상의 디지털 증명서를 통해 PAD(100)에 제공될 수 있다. 다른 실시예에서, 하나 이상의 디지털 증명서는 하나 이상의 서비스키 생성 프로그램을 지시할 수 있으며 거기서 획득될 수 있다. 그러나, 서비스키 생성 프로그램은 입력장치(140)를 통해 획득될 수 있다. 어떤 실시예에서, 서비스키는 PAD비밀키(122)를 사용하여 디지털 방식으로 서명될 수 있다.
단계 (285)에서, 서비스키는 예컨대 도 1의 출력장치(15)를 사용하여 출력될 수 있다. 출력된 서비스키는 다양한 형태를 취할 수 있다. 예를 들면, 서비스키는 사용자에 의해 나중에 사용되려고 도시 장치 또는 프린터에 출력될 수 있다. 어떤 실시예에서, 서비스키는 전기적으로 또는 무선으로 키 장치에 전송될 수 있으며, 거기서 영구적으로 또는 일시적으로 저장될 수 있다. 전자 도어 락과 같은 어떤 실시예에서, 서비스키는 서명에 포함되어 도어에서 키 수신인에 무선 전송될 수 있으며 도어를 열기 위해 사용된다.
도 3은 도 2의 단계 (215)에서 수신될 수 있는 디지털 증명서 하나 이상을 사용한 예시 방법의 단계를 설명한다. 도 3에 도시된 바와 같이, 하나 이상의 디지털 증명서가 PAD(100)에 입력된다.(단계 (310)) 하나 이상의 디지털 증명서는 사용자를 인증하고 서비스키를 생성하는 데 사용될 수 있는 다양한 정보를 포함할 수 있다.
예를 들면, 하나 이상의 디지털 증명서는 사용자 이름, 주소, 이메일 주소, 생일, 사회 안전 번호, 신용카드 번호, 또는 사용자를 식별하는 다른 정보와 같이 사용자를 식별하는 정보를 포함할 수 있다. 사용자 식별 정보를 포함하는 디지털 증명서는 "사용자-식별 증명서"라고 언급된다. 디지털 증명서에 의해 제공된 상당한 사용자 식별 정보는 예컨대 용도에 따라 변할 수 있다. 예컨대 항공 체크-인용으로 사용될 때는 사용자가 이름, 주소, 생일과 다른 정보를 제공하는 것이 요구된다.
하나 이상의 디지털 증명서는 사용자-자격 정보, 즉, 사용자가 "자격이 있는" 또는 어떠한 서비스에 액세스를 수신할 권리가 있는지를 지시하는 정보를 포함할 수 있다. 예를 들면, 항공 체크-인에서, 사용자-자격정보는 여행자에게 어떤 라운지를 사용할 권리를 주는 항공 클럽의 멤버인지 또는 단골 승객인지를 지시하는 정보를 포함할 수 있다. 예를 들어 호텔키로 사용될 때, 사용자-자격정보는 업무시간동안 외에도 청소하는 호텔 종업원이 모든 방에 들어갈 수 있도록 지시하는 정보를 포함할 수 있다.
본 발명의 다른 디지털 증명서는 사용자에게 서비스로의 액세스를 연장하는 정보를 제공할 수 있다. 예를 들어, 한 항공의 단골 승객이 그 항공사의 사설 라운지에 들어가도록 승인되는 것을 생각해보자. 만일 두개 또는 그 이상의 항공사가 그들의 단골 여행자에게 서로의 라운지에 방문할 수 있도록 동의하는 상호협정을 맺는다면, 단골 승객은 다른 항공사의 라운지에 들어갈 수 있다. 디지털 증명서 정보는 사용자가 어떠한 서비스의 세트에 대해 승인된다면, 사용자가 또한 관련된 서비스의 부가세트에 대해 승인되도록 지시하는 PAD(100)에 제공될 수 있다.
하나 이상의 디지털 증명서는 서비스키의 생성에 관련된 정보를 가질 수 있다. 이러한 증명서는 여기서 "티켓-생성 증명서"로 언급되며, 예를 들어 키의 길이, 키-생성 프로그램이나 알고리즘, 및 키출력용 포맷을 지시하는 정보를 포함할 수 있다.
도 3은 하나 이상의 디지털 증명서를 통해 수신된 다양한 정보를 사용하는예시 방법을 설명한다. 예를 들어, PAD(100)가 사용자-식별 증명서를 수신했다고 판단하면(단계 (315)), PAD(100)는 우선 디지털 증명서를 인증하고 다음 사용자를 인증하는 사용자-식별 증명서에 있는 정보를 사용할 수 있다.(단계 (320)) 상술한 바와 같이, 디지털 증명서는 증명서 발행 허가를 판단하고 증명서의 디지털 서명이 CA 공개키를 사용하여 지정된 발행 허가와 관련 있는지를 판단함에 의해 인증될 수 있다. 본 발명의 어떤 실시예에서, 사용자-식별 증명서를 발행한 CA의 공개키는 PAD(100)에 저장된 CA키1-N중 하나이다.
만일, PAD(100)가 사용자-식별 증명서가 인증되었다고 판별하면, PAD(100)는 사용자로부터 수신한 어떠한 사용자 자격과 사용자-식별 증명서의 정보에 근거하여 사용자를 인증할 수 있다. 여기서 사용자 자격은, PKI의 사용자 공개키, 사용자의 바이오메트릭 정보, 사용자에게만 알려진 개인 식별 번호(PIN), 또는 PIN을 사용하여 계산된 다른 정보와 같이, 사용자에만 관련 있는 정보를 의미한다. 사용자 자격은 도 1의 입력장치(140)를 통해 사용자로부터 수신될 수 있다. PIN이나 비밀키와 같은 사용자 자격은 예컨대 키패드나 카드 리더를 사용하여 사용자에 의해 침입될 수 있다. 바이오메트릭 정보와 같은 사용자 자격은 예컨대 지문 리더, 망막 스캐너, 또는 비디오 카메라를 사용하여 획득될 수 있다. 또한, 사용자 자격은 PIN과 같이, 하나 이상의 다른 사용자 자격으로부터 계산될 수 있다.
사용자를 인증하기 위해, 사용자 자격은 사용자-식별 증명서의 정보와 비교될 수 있다. 만일 사용자가 단계 (320)에서 인증되지 않으면, 프로세스는 정지될 수 있고 PAD(100)는 작동되지 않게 된다. 만일 사용자가 인증될 수 있으면,프로세스는 단계(325)처럼 계속된다.
만일 PAD(100)가 다수의 사용자 인증 요구를 수신하면, PAD(100)는 이러한 시도가 예컨대 어떤 다른 사용자의 사용자 자격을 추측하기 위해서 사용자에 의한 시도의 착수를 표현하는 것인지를 판별하려 한다. 만일 그렇다면, PAD(100)는 장치를 작동하지 않게 한다. 예를 들어, PAD(100)는 장치의 모든 장래 사용을 차단하기 전에 주어진 시간에 어떤 수의 사용자 인증 요구를 허가할 수 있다. 이 상황은 단계 (212)와 유사하다.
PAD(100)에 입력되는 하나 이상의 디지털 증명서는 사용자-자격 증명서를 포함할 수 있다. 여기 사용된 사용자-자격 증명서는 사용자가 수신할 권한이 있는 서비스나 사용자가 취하도록 허가받은 활동을 식별하는 정보를 포함하는 디지털 증명서이다.
만일 사용자-자격 증명서가 인증되면(단계(330), 사용자가 액세스하는 하나 이상의 서비스는 증명서에 근거하여 식별될 수 있다. 예컨대, 상술한 바와 같이 사용자-자격 증명서는 호텔 키 용도에서 사용자가 프리미엄 서비스를 사용할 권한이 있는지, 또는 오직 어떤 지역에만 액세스하도록 승인되었는지를 지시하는 정보를 포함할 수 있다.
하나 이상의 디지털 증명서는 티켓-생성 증명서를 선택적으로 포함할 수 있다.(단계(340)) 상술한 바와 같이, 티켓-생성 증명서는 예컨대 서비스키 생성 프로그램을 지시하는 정보나 서비스키 생성 프로그램을 포함할 수 있다. 서비스키 생성 프로그램을 지시하는 정보는 예를 들면 하나 이상의 입력 장치(140)를 통해 사용 가능하거나 PAD(100)에 저장될 수 있는 서비스키 생성 프로그램을 식별하는 정보를 포함할 수 있다.
만일 티켓-생성 증명서가 인증되지 않으면(단계(345)), 프로세스는 정지할 수 있고 PAD(100)은 작동되지 않도록 될 수 있다. 만일 티켓-생성 증명서가 인증되면, 서비스키 생성 프로그램이 식별되어 프로세스가 도 2의 단계(280)으로 계속된다.
도 3은 본 발명에 따른 방법단계의 일예를 도시하며 복합 디지털 증명서의 용도를 도시한다. 그러나, 본 발명은 여기서 한 디지털 증명서의 형태로 언급된 디지털 증명서 정보를 수신할 수도 있다.
하나 이상의 디지털 증명서는 예를 들면 PAD(100)가 하나 이상의 용도로 작동되는 방법을 지시하는 정보와 같은 다른 정보를 선택적으로 포함한다. 예컨대, 하나 이상의 디지털 증명서는 예를 들어 하나 이상의 디지털 증명서가 서로 결합되는 방법, 사용자와 PAD인증에 대한 챌린지 및 응답 프로토콜, 출력된 서비스키의 포맷을 지시하는 정보, 데이터의 입출력에 대한 안전 프로토콜, 및 다른 관리 프로토콜을 설명하는 "동작 정보"를 포함할 수 있다.
또한, 디지털 증명서는 PAD(100)에 저장된 것들뿐만 아니라 추가 CA의 공개키를 제공하기 위해 PAD(100)에 입력될 수 있다. 이러한 디지털 증명서는 기술분야의 숙련자에 의해 알려진 트러스트 모델중 어느 하나라도 형성할 수 있는 것처럼 관련될 수 있다. 예를 들어, 디지털 증명서는 "크로스-증명서"일 수 있으며, 여기서 하나의 증명서는 다른 CA의 공개키를 증명서는 어느 CA에 의해 만들어질 수있다. 어떤 실시예에서, 디지털 증명서는 디지털 증명서는 증명서 체인, 또는 "트러스트의 체인"을 형성할 수 있으며, 이러한 체인에서의 각각의 증명서는 체인 내에서 앞서는 CA의 공개키를 증명한다. 계층 또는 뿌리 모델(hierarchical or root model)과 같은 다른 트러스트 모델이 또한 사용될 수 있다.
본 발명은 예를 들면 호텔에서 사용되는 것과 같은 안전 시스템에 적용될 수 있다. 호텔 예에서, 복합 PAD(100)는 호텔 종업원과 손님모두에 의해 사용되는 액세스 키로서 사용되기 위해 제조될 수 있다. 각각의 복합 PAD(100)는 일반적으로 동일한 구조와 소자로 유사하게 형성되고 정해질 수 있다. 예를 들어, 이러한 복합 PAD(100)는 동일한 PAD비밀키(PAD키(122))를 가질 수 있다. 그러나, 수신된 디지털 증명서에 근거하여, 어떠한 PAD(100)라도 다른 세션의 다른 작동을 수행하기 위해 프로그램될 수 있다. 예를 들면, 호텔의 예에서, PAD(100)는 사용자-일치 증명서를 사용하여 프로그램될 수 있고, 어떤 특정 방의 문을 열 수 있는 서비스키가 적합한 사용자에 의해서만 생성될 수 있다. 손님이든 종업원이든 각 사용자는 서비스키를 생성하도록 하기 위해 PAD(100)을 통해 그를 인증해야 한다. 또한, PAD(100)는 사용자가 사용하도록 허가된 서비스를 지시하는 사용자-자격 증명서를 사용함으로써 프로그램될 수 있다. 예컨대, 호텔의 예에서, 사용자-자격 증명서를 사용하여 오직 프리미엄 손님만 손님이 프리미엄을 지불한 특별한 스파나 다른 서비스에 액세스하도록 허가하는 서비스키를 생성할 수 있다. 유사하게, 증명서는 종업원이 필요로 하는 영역에 대한 서비스키를 생성하도록 오직 허가될 수 있는 방식으로 사용될 수 있다.
본 발명은 복수의 사용자 단말을 가지는 컴퓨터 안전 시스템, 제한된 액세스 데이타베이스나 안전 시스템, 복합 장치 노드를 가지는 데이터 베이스 시스템이나 네트워크나 컴퓨터와 같은 다른 시스템에 적용될 수 있다.
다른 예에서, 본 발명의 원리는 사무실이나 실험실과 같은 통제된 영역에의 침입을 통제하는 데 사용될 수 있다.
본 발명의 다른 실시예는 여기 개시된 발명의 실행과 명세서를 고려하여 기술분야에서 숙련된 기술을 가진 자에게 명백해질 것이다. 명세서와 실시예는 이하의 청구항에 지시된 진정한 발명의 측면과 정신을 가지고 단지 대표적인 것으로 간주되도록 의도되었다.
본 발명에 따른 방법 및 시스템은 넓은 범위로 적용할 수 있는 인증시스템을 제공하며, 본 발명에 따른 방법 및 시스템은 인증을 위한 네트워크 접속을 요구하지 않는 오프라인에서 사용될 수 있는 인증 시스템을 제공한다. 본 발명은 게다가 그것의 정확한 작동이 작동 동안 수신하는 디지털 증명서에 의해 판별되고 다루기 쉬운 인증장치를 제공하며, 사용용도에 따라 통제된 스페이스나 다른 존재물에 액세스를 얻도록 사용될 수 있는 서비스키를 출력하는 인증 장치를 제공한다.

Claims (73)

  1. 각각이 인증허가(CA)와 연관된 적어도 하나의 CA공개키를 저장하는 적어도 하나의 저장매체와;
    하나 이상의 디지털 증명서를 수신하는 하나 이상의 입력수단과;
    적어도 하나의 저장된 CA공개키를 사용하여 하나 이상의 수신된 디지털 증명서를 인증하고, 하나 이상의 인증된 디지털 증명서에 근거하여 적어도 하나의 서비스키를 생성하는 처리소자와;
    적어도 하나의 서비스키를 출력하는 출력수단을 포함하는 개인 인증 장치(PAD).
  2. 제 1항에 있어서,
    상기 하나 이상의 디지털 증명서는 적어도 하나의 서비스키 생성 프로그램을 지시하는 적어도 하나의 티켓-생성 증명서를 포함하는 개인 인증 장치(PAD).
  3. 제 2항에 있어서,
    상기 처리소자는 적어도 하나의 저장된 CA 공개키를 사용하여 적어도 하나의 수신된 티켓-생성 증명서를 인증하고;
    하나 이상의 티켓-생성 증명서가 인증되면, 적어도 하나의 인증된 서비스키 생성 프로그램에 근거하여 적어도 하나의 서비스키를 생성하는 적어도 하나의 소자를 포함하며,
    상기 적어도 하나의 서비스키는 적어도 하나의 서비스에 액세스하기 위해 사용자에 의해 사용되는 개인 인증 장치(PAD).
  4. 제 2항에 있어서,
    상기 하나 이상의 디지털 증명서는 사용자에게 유일하게 연관된 정보를 포함하는 사용자-식별 증명서를 포함하며;
    상기 처리소자는 적어도 하나의 저장된 CA 공개키를 사용하여 수신된 사용자-식별 증명서를 인증하고;
    만일 사용자-식별 증명서가 인증되면, 인증된 사용자-식별 증명서에 근거하여 사용자를 인증하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  5. 제 4항에 있어서,
    상기 하나 이상의 디지털 증명서는 적어도 하나의 서비스에 액세스할 수 있는 하나 이상의 사용자와 적어도 하나의 서비스를 지시하는 적어도 하나의 사용자-자격 증명서로 구성되며;
    상기 처리소자는 적어도 하나의 CA공개키에 근거하여 적어도 하나의 수신된 사용자-자격 증명서를 인증하고;
    만일 사용자가 인증되고 또한 적어도 하나의 사용자-자격 증명서가 인증되면, 인증된 사용자가 적어도 하나의 인증된 사용자-자격 증명서에 근거하여 액세스할 수 있는 적어도 하나의 서비스를 결정하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  6. 제 1항에 있어서,
    상기 적어도 하나의 서비스키는 적어도 하나의 쿠키를 포함하는 개인 인증 장치(PAD).
  7. 제 6항에 있어서,
    상기 처리소자는 일회키를 생성하여 그것을 PAD에 저장하고;
    상기 일회키에 근거하여 적어도 하나의 쿠키를 생성하여 그것을 사용자에게 발신하며;
    이미 생성된 적어도 하나의 쿠키를 수신하고, 수신된 쿠키를 저장된 일회키를 사용하여 그것을 유효하게 하며;
    만일 수신된 쿠키가 성공적으로 유효화되면, 쿠키 유효화에 사용된 일회키를 무효화하고, 새로운 일회키를 생성하여 PAD에 저장하고, 상기 새로운 일회키에 근거하여 새로운 쿠키를 생성하고 이를 사용자에게 발신하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  8. 제 6항에 있어서,
    상기 하나 이상의 쿠키의 컨텐츠는 하나 이상의 사용자가 하나 이상의 서비스에 사용한 횟수를 지시하는 사용 수를 포함하는 개인 인증 장치(PAD).
  9. 제 5항에 있어서,
    상기 하나 이상의 입력수단은 사용자가 적어도 하나의 서비스에 근거하여 적어도 하나의 부가 서비스에 액세스하도록 승인하는 정보를 포함하는 하나 이상의 증명서를 더 수신하는 개인 인증 장치(PAD).
  10. 제 1항에 있어서,
    상기 적어도 하나의 저장 매체는 PAD와 연관된 PAD비밀키를 저장하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  11. 제 10항에 있어서,
    상기 하나 이상의 입력수단은 PAD인증 요구를 수신하는 적어도 하나의 소자를 포함하고; 상기 처리소자는 저장된 PAD비밀키를 사용하여 상기 PAD인증 요구에 대응하는 적어도 하나의 소자를 포함하며; 상기 출력수단은 상기 PAD인증 요구에 대한 반응을 출력하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD)
  12. 제 10항에 있어서,
    상기 처리소자는 상기 저장된 PAD비밀키를 사용하여 적어도 하나의 서비스키에 서명하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  13. 제 10항에 있어서,
    상기 처리소자는 상기 저장된 PAD비밀키를 사용하여 하나 이상의 수신된 디지털 증명서의 컨텐츠를 복호화하는 적어도 하나의 소자를 포함하고, 상기 컨텐츠는 대응하는 PAD공개키로 암호화되는 개인 인증 장치(PAD).
  14. 제 5항에 있어서,
    상기 하나 이상의 디지털 증명서는 적어도 하나의 서비스에 대응하여 적어도 하나의 서비스키 생성 프로그램을 지시하는 적어도 하나의 티켓-생성 증명서를 포함하며;
    상기 처리소자는 적어도 하나의 저장된 CA 공개키를 사용하여 적어도 하나의 티켓-생성 증명서를 인증하고;
    만일 하나 이상의 티켓-생성 증명서가 인증되면, 적어도 하나의 인증된 서비스키 생성 프로그램에 근거하여 적어도 하나의 서비스키를 생성하는 적어도 하나의 소자를 포함하고,
    상기 적어도 하나의 서비스키는 적어도 하나의 서비스에 액세스하도록 사용자에 의해 사용되는 개인 인증 장치(PAD).
  15. 제 4항에 있어서,
    상기 하나 이상의 입력수단은 하나 이상의 사용자 자격을 더 수신하고,
    상기 처리소자는 인증된 사용자-식별 증명서와 하나 이상의 수신된 사용자 자격에 근거하여 사용자를 인증하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  16. 제 15항에 있어서,
    상기 하나 이상의 사용자 자격은 하나 이상의 사용자 비밀키를 포함하는 개인 인증 장치.
  17. 제 15항에 있어서,
    상기 하나 이상의 사용자 자격은 사용자와 연관된 개인 식별 번호(PIN) 또는 PIN에서 계산된 정보를 포함하는 개인 인증 장치(PAD).
  18. 제 15항에 있어서,
    상기 하나 이상의 사용자 자격은 사용자와 연관된 바이오메트릭 정보를 포함하는 개인 인증 장치(PAD).
  19. 제 15항에 있어서,
    인증된 사용자-식별 증명서와 하나 이상의 사용자 자격에 근거하여 사용자를 인증하려는 시도가 실패하면 PAD의 기능을 억제하는 수단을 더 포함하는 개인 인증 장치(PAD).
  20. 제 1항에 있어서,
    상기 하나 이상의 디지털 증명서는 현재 세션에 대한 PAD의 동작을 제어하는 정보를 포함하는 동작 증명서를 포함하는 개인 인증 장치(PAD).
  21. 제 20항에 있어서,
    현재 세션에 대한 PAD의 동작을 제어하는 상기 정보는 PAD의 입출력을 지배하는 정보, 사용자와 PAD인증에 대한 챌린지 및 응답 프로코콜, 수신 및 출력 데이터에 대한 안전 프로토콜, PAD관리 목적의 프로토콜 중 하나 이상을 포함하는 개인 인증 장치(PAD).
  22. 제 20항에 있어서,
    현재 세션에 대한 PAD의 동작을 제어하는 상기 정보는 하나 이상의 수신된 증명서의 결합을 지배하는 정보로 구성되며, 상기 처리소자는 적어도 하나의 서비스에 근거하여 적어도 하나의 부가 서비스에 사용자가 액세스하는 것을 승인하는 정보를 포함하는 하나 이상의 증명서에 근거하여 하나 이상의 수신된 증명서의 결합에 대한 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  23. 제 1항에 있어서,
    상기 하나 이상의 입력 수단은 서명-확인 체인을 형성하는 하나 이상의서명-확인 증명서를 수신하며, 상기 서명-확인 체인의 각각의 서명-확인 증명서는 그의 공개키가 앞선 서명-확인 증명서에 의해 증명되는 존재물의 비밀키로 서명되고 상기 서명-확인 체인의 제 1 서명-확인 증명서는 적어도 하나의 저장된 CA공개키에 의해 서명되며; 상기 처리소자는 상기 서명-확인 체인의 마지막 서명-확인 증명서에 근거하여 하나 이상의 수신된 디지털 증명서를 인증하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  24. 제 1항에 있어서,
    상기 PAD는 부정조작 방지되는 개인 인증 장치(PAD).
  25. 제 10항에 있어서,
    상기 CA공개키와 PAD비밀키는 오직 한번 PAD에 기입되는 개인 인증 장치(PAD).
  26. 제 10항에 있어서,
    PAD비밀키를 해독하거나 변형하는 데 있어서 인증되지 않은 시도가 있을 때, 적어도 하나의 저장매체로부터 PAD비밀키를 삭제하는 보호 메카니즘을 더 포함하는 개인 인증 장치(PAD).
  27. 제 1항에 있어서,
    하나 이상의 상기 입력 수단 중 적어도 하나는 저장 매체나 네트워크 인터페이스로부터 사용자 자격과 하나 이상의 디지털 증명서 중 적어도 하나를 수신할 수 있는 해독 장치인 개인 인증 장치(PAD).
  28. 제 1항에 있어서,
    현재 날짜와 시간을 판별하는 시계를 더 포함하는 개인 인증 장치(PAD).
  29. 제 1항에 있어서,
    타이머가 리셋된 후 경과된 시간을 판별하는 하나 이상의 타이머를 더 포함하는 개인 인증 장치(PAD).
  30. 제 1항에 있어서,
    카운터가 리셋된 후 발생한 이벤트의 횟수를 판별하는 하나 이상의 카운터를 더 포함하는 개인 인증 장치(PAD).
  31. 제 1항에 있어서,
    상기 하나 이상의 디지털 증명서는 PAD의 시계, 타이머 및 카운터를 리셋할 수 있는 정보를 더 포함하는 개인 인증 장치(PAD).
  32. 제 1항에 있어서,
    상기 하나 이상의 디지털 증명서는 서비스키로서의 컨텐츠 복호화 키를 출력하기 전에 PAD가 점검할 컨텐츠 권리와 컨텐츠 복호화키를 포함하는 개인 인증 장치(PAD).
  33. 제 32항에 있어서,
    상기 컨텐츠 권리는 컨텐츠 만기 시간, 컨텐츠 사용기간, 컨텐츠 사용수 중 적어도 어느 하나에 대한 제약을 포함하는 개인 인증 장치(PAD).
  34. 제 28항에 있어서,
    상기 처리소자는 현재 날짜와 시간이 하나 이상의 수신된 디지털 증명서의 유효기간 내인지를 판별하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  35. 제 28항에 있어서,
    상기 처리소자는 PAD가 생성하는 서비스키에 포함될 타임스탬프를 생성하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  36. 제 1항에 있어서,
    라이트 원스(write-once)의 일련번호를 더 포함하는 개인 인증 장치(PAD).
  37. 제 36항에 있어서,
    상기 처리소자는 일련번호에 근거하여 적어도 하나의 서비스키를 생성하는 적어도 하나의 소자를 포함하는 개인 인증 장치(PAD).
  38. 각각이 인증허가(CA)와 연관된 적어도 하나의 CA공개키에 개인 인증 장치(PAD)를 저장하는 단계;
    하나 이상의 디지털 증명서를 수신하는 단계;
    적어도 하나의 저장된 CA공개키를 사용하여 하나 이상의 수신된 디지털 증명서를 인증하는 단계;
    하나 이상의 인증된 디지털 증명서에 근거하여 적어도 하나의 서비스키를 생성하는 단계;
    적어도 하나의 서비스키를 출력하는 단계를 포함하는 인증 방법.
  39. 제 38항에 있어서,
    적어도 하나의 서비스키 생성 프로그램을 지시하는 적어도 하나의 티켓-생성 증명서를 수신하는 단계를 더 포함하는 인증 방법.
  40. 제 39항에 있어서,
    적어도 하나의 CA공개키를 사용하여 적어도 하나의 수신된 티켓-생성 증명서를 인증하는 단계와,
    만일 적어도 하나의 티켓-생성 증명서가 인증되면, 적어도 하나의 서비스키생성 프로그램에 근거하여 적어도 하나의 서비스키를 생성하는 단계를 더 포함하며,
    상기 적어도 하나의 서비스키는 적어도 하나의 서비스에 액세스하도록 사용자에 의해 사용되는 인증 방법.
  41. 제 38항에 있어서,
    사용자에게 유일하게 연관된 정보를 포함하는 사용자-식별 증명서를 수신하는 단계;
    적어도 하나의 CA공개키에 근거하여 수신된 사용자-식별 증명서를 인증하는 단계;
    사용자-식별 증명서가 인증되면, 인증된 사용자-식별 증명서에 근거하여 사용자를 인증하는 단계를 더 포함하는 인증 방법.
  42. 제 41항에 있어서,
    적어도 하나의 서비스에 액세스하는 하나 이상의 사용자와 적어도 하나의 서비스를 지시하는 적어도 하나의 사용자-자격 증명서를 수신하는 단계;
    적어도 하나의 CA공개키에 근거하여 적어도 하나의 수신된 사용자-자격 증명서를 인증하는 단계;
    적어도 하나의 사용자-자격 증명서가 인증되면, 인증된 사용자가 적어도 하나의 인증된 사용자-자격 증명서에 근거하여 액세스할 수 있는 적어도 하나의 서비스를 판별하는 단계를 더 포함하는 인증 방법.
  43. 제 38항에 있어서,
    상기 적어도 하나의 서비스키는 적어도 하나의 쿠키를 포함하는 인증 방법.
  44. 제 38항에 있어서,
    일회키를 생성하여 PAD에 저장하는 단계;
    상기 일회키에 근거하여, 적어도 하나의 쿠키를 생성하여 이를 사용자에게 발신하는 단계;
    이전에 생성된 적어도 하나의 쿠키를 수신하고, 수신된 쿠키를 저장된 일회키를 사용하여 유효화하는 단계;
    만일 수신된 쿠키가 성공적으로 유효화되면, 쿠키확인에 사용된 일회키를 무효화시키고, 새로운 일회키를 생성하여 PAD에 저장하고, 상기 새로운 일회키에 근거하여 새로운 쿠키를 생성하고 이를 사용자에게 발신하는 단계를 더 포함하는 인증 방법.
  45. 제 44항에 있어서,
    상기 하나 이상의 쿠키의 컨텐츠는 하나 이상의 사용자가 하나 이상의 서비스를 사용한 횟수를 지시하는 사용 수를 포함하는 인증 방법.
  46. 제 38항에 있어서,
    PAD와 연관된 PAD비밀키를 개인 인증 장치(PAD)에 저장하는 단계를 더 포함하는 인증 방법.
  47. 제 46항에 있어서,
    PAD인증 요구를 수신하는 단계;
    저장된 PAD비밀키를 사용하여 PAD인증 요구에 응답하는 단계;
    PAD인증 요구에 대한 응답을 출력하는 단계를 더 포함하는 인증 방법.
  48. 제 46항에 있어서,
    저장된 PAD비밀키를 사용하여 적어도 하나의 서비스키에 서명하는 단계를 더 포함하는 인증 방법.
  49. 제 46항에 있어서,
    저장된 PAD비밀키를 사용하여 하나 이상의 수신된 디지털 증명서의 컨텐츠를 복호화하는 단계를 더 포함하고,
    상기 컨텐츠는 대응하는 PAD공개키로 암호화되는 인증 방법.
  50. 제 42항에 있어서,
    인증된 사용자가 서비스에 액세스하도록 결정되면, 적어도 하나의 CA공개키를 사용하여 적어도 하나의 티켓-생성 증명서를 인증하는 단계;
    적어도 하나의 티켓-생성 증명서가 인증되면, 적어도 하나의 서비스키 생성 프로그램에 근거하여 적어도 하나의 서비스키를 생성하는 단계를 더 포함하고,
    상기 적어도 하나의 서비스키가 적어도 하나의 서비스에 액세스하도록 사용자에 의해 사용될 수 있는 인증 방법.
  51. 제 42항에 있어서,
    사용자가 적어도 하나의 서비스와 수신된 디지털 증명서 정보에 근거하여 적어도 하나의 부가 서비스에 액세스하도록 승인되는 단계를 더 포함하는 인증 방법.
  52. 제 41항에 있어서,
    하나 이상의 수신된 사용자 자격을 수신하는 단계;
    인증된 사용자-식별 증명서와 하나 이상의 사용자 자격에 근거하여 사용자를 인증하는 단계를 더 포함하는 인증 방법.
  53. 제 52항에 있어서,
    상기 사용자 자격은 하나 이상의 사용자 비밀키를 포함하는 인증 방법.
  54. 제 52항에 있어서,
    상기 사용자 자격은 사용자와 연관된 개인 식별 번호(PIN) 또는 PIN으로부터계산된 정보를 포함하는 인증 방법.
  55. 제 52항에 있어서,
    상기 사용자 자격은 사용자와 연관된 바이오메트릭 정보를 포함하는 인증 방법.
  56. 제 52항에 있어서,
    상기 인증된 사용자-식별 증명서와 상기 하나 이상의 사용자 자격에 근거하여 사용자를 인증하려는 하나 이상의 시도가 실패하면, PAD의 기능을 억제하는 단계를 더 포함하는 인증 방법.
  57. 제 38항에 있어서,
    현재 세션에 대한 PAD의 동작을 제어하는 정보를 포함하는 동작 증명서를 수신하는 단계를 더 포함하는 인증 방법.
  58. 제 57항에 있어서,
    현재 세션에 대한 PAD의 동작을 제어하는 상기 정보는 PAD의 입출력을 지배하는 정보, 사용자와 PAD인증에 대한 챌린지 및 응답 프로토콜, 데이터의 수신 및 출력에 대한 안전 프로토콜, PAD관리 목적의 프로토콜 중 하나 이상을 포함하는 인증방법.
  59. 제 57항에 있어서,
    현재 세션에 대한 PAD의 동작을 제어하는 상기 정보는 하나 이상의 수신된 증명서의 결합을 지배하는 정보를 포함하고,
    사용자가 적어도 하나의 서비스에 근거하여 적어도 하나의 부가 서비스에 액세스하도록 승인하는 정보를 포함하는 하나 이상의 증명서에 근거하여 하나 이상의 수신된 증명서를 결합하는 단계를 더 포함하는 인증방법.
  60. 제 38항에 있어서,
    서명-확인 체인을 형성하는 하나 이상의 서명-확인 증명서를 수신하는 단계를 더 포함하고,
    상기 서명-확인 체인의 각각의 서명-확인 증명서는 그의 공개키가 앞선 서명-확인 증명서에 의해 증명되는 존재물의 공개키로 서명되고, 상기 서명-확인 체인의 제 1 서명-확인 증명서는 적어도 하나의 저장된 CA공개키에 의해 서명되며; 상기 처리소자는 상기 서명-확인 체인의 마지막 서명-확인 증명서에 근거하여 하나 이상의 수신된 디지털 증명서를 인증하는 적어도 하나의 소자를 포함하는 인증 방법.
  61. 제 46항에 있어서,
    상기 PAD비밀키를 해독하거나 변형하려는 하나 이상의 인증되지 않은 시도가검출될 때, 상기 PAD비밀키를 삭제하는 단계를 더 포함하는 인증 방법.
  62. 제 38항에 있어서,
    상기 하나 이상의 디지털 증명서 중 적어도 하나가 저장매체나 네트워크 인터페이스로부터 수신되는 인증 방법.
  63. 제 38항에 있어서,
    현재 날짜와 시간을 판별하는 단계를 더 포함하는 인증 방법.
  64. 제 63항에 있어서,
    현재 날짜와 시간은 하나 이상의 수신된 디지털 증명서의 유효기간 내인지를 판별하는 단계를 더 포함하는 인증 방법.
  65. 제 38항에 있어서,
    선행 이벤트 이후 경과된 시간을 판별하는 단계를 더 포함하는 인증 방법.
  66. 제 38항에 있어서,
    선행 이벤트 이후 발생한 이벤트의 횟수를 판별하는 단계를 더 포함하는 인증 방법.
  67. 제 38항에 있어서,
    현재 날짜와 시간, 경과된 시간, 이벤트가 발생한 횟수를 리셋하는 정보를 포함하는 하나 이상의 디지털 증명서를 수신하는 단계를 더 포함하는 인증 방법.
  68. 제 67항에 있어서,
    상기 하나 이상의 디지털 증명서의 정보에 근거하여 PAD의 시계, 타이머, 수를 리셋하는 단계를 더 포함하는 인증 방법.
  69. 제 38항에 있어서,
    컨텐츠 복호화 키와 컨텐츠 권리를 제공하는 하나 이상의 디지털 증명서를 수신하는 단계;
    서비스키로서 컨텐츠 복호화 키를 출력하기 전에 컨텐츠 권리를 점검하는 단계를 더 포함하는 인증 방법.
  70. 제 69항에 있어서,
    상기 컨텐츠 권리는 컨텐츠 만기 시간, 컨텐츠 사용기간, 컨텐츠 사용수 중 적어도 하나에 대한 제약을 포함하는 인증 방법.
  71. 제 63항에 있어서,
    현재 날짜와 시간에 근거하여, PAD가 생성하는 서비스키에 포함될 타임스탬프를 생성하는 단계를 더 포함하는 인증 방법.
  72. 제 38항에 있어서,
    라이트 원스의 일련번호에 근거하여 적어도 하나의 서비스키를 생성하는 단계를 더 포함하는 인증 방법.
  73. 제 72항에 있어서,
    적어도 하나의 서비스키에 상기 일련번호를 포함하는 인증 방법.
KR1020040036596A 2003-05-23 2004-05-22 개인 인증 장치와 시스템 및 그 방법 KR20040101085A (ko)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
US47336503P 2003-05-23 2003-05-23
US60/473,365 2003-05-23
US10/609,586 2003-07-01
US10/609,586 US20050021954A1 (en) 2003-05-23 2003-07-01 Personal authentication device and system and method thereof
US10/749,558 2004-01-02
US10/749,558 US7694330B2 (en) 2003-05-23 2004-01-02 Personal authentication device and system and method thereof

Publications (1)

Publication Number Publication Date
KR20040101085A true KR20040101085A (ko) 2004-12-02

Family

ID=33458797

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020040036596A KR20040101085A (ko) 2003-05-23 2004-05-22 개인 인증 장치와 시스템 및 그 방법

Country Status (5)

Country Link
US (1) US7694330B2 (ko)
JP (1) JP4668551B2 (ko)
KR (1) KR20040101085A (ko)
CN (1) CN100377521C (ko)
DE (1) DE102004025084B4 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100708777B1 (ko) * 2005-02-03 2007-04-17 주식회사 디뮤즈 인터넷 프로토콜 기반의 방송서비스 제공방법
WO2007064086A1 (en) * 2005-11-30 2007-06-07 Lg Electronics Inc. Method and device for drm time synchronization between devices in digital rights management
KR101384039B1 (ko) * 2005-06-30 2014-04-09 톰슨 라이센싱 디지털 컨텐츠의 소비 만기시점 제어 방법, 컨텐츠 소비장치, 소비 제어 수단 및 컨텐츠 배포 서버

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003900413A0 (en) * 2003-01-31 2003-02-13 Mckeon, Brian Bernard Regulated issuance of digital certificates
US7694330B2 (en) 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
US20050021954A1 (en) * 2003-05-23 2005-01-27 Hsiang-Tsung Kung Personal authentication device and system and method thereof
US8607334B2 (en) * 2004-07-08 2013-12-10 Research In Motion Limited System and method for secure message processing
US7676834B2 (en) * 2004-07-15 2010-03-09 Anakam L.L.C. System and method for blocking unauthorized network log in using stolen password
US8296562B2 (en) 2004-07-15 2012-10-23 Anakam, Inc. Out of band system and method for authentication
US8528078B2 (en) * 2004-07-15 2013-09-03 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
US8533791B2 (en) 2004-07-15 2013-09-10 Anakam, Inc. System and method for second factor authentication services
EP1766839B1 (en) 2004-07-15 2013-03-06 Anakam, Inc. System and method for blocking unauthorized network log in using stolen password
JP4390805B2 (ja) * 2004-08-19 2009-12-24 日本電信電話株式会社 イベント順序証明方法
US7761226B1 (en) * 2005-07-27 2010-07-20 The United States Of America As Represented By The Secretary Of The Navy Interactive pedestrian routing system
US7653696B2 (en) 2005-07-29 2010-01-26 Research In Motion Limited Method and apparatus for processing digitally signed messages to determine address mismatches
KR101305282B1 (ko) * 2005-11-30 2013-09-17 엘지전자 주식회사 디지털 저작권 관리에서의 장치 간 DRM Time 동기화방법 및 장치
US7810139B2 (en) * 2006-03-29 2010-10-05 Novell, Inc Remote authorization for operations
US7561551B2 (en) * 2006-04-25 2009-07-14 Motorola, Inc. Method and system for propagating mutual authentication data in wireless communication networks
US8862881B2 (en) 2006-05-30 2014-10-14 Motorola Solutions, Inc. Method and system for mutual authentication of wireless communication network nodes
US20080148349A1 (en) * 2006-10-26 2008-06-19 Stevens Nicholas D Authorization to use content
US8683195B2 (en) * 2006-12-19 2014-03-25 Sandisk Technologies Inc. System and method for reducing fraud
US20080303630A1 (en) * 2007-06-06 2008-12-11 Danilo Jose Martinez DigiKey and DigiLock
US9262594B2 (en) 2008-01-18 2016-02-16 Microsoft Technology Licensing, Llc Tamper evidence per device protected identity
JP5391551B2 (ja) * 2008-01-28 2014-01-15 ソニー株式会社 認証システム、サーバ装置および認証方法
JP5126968B2 (ja) * 2008-02-26 2013-01-23 日本電信電話株式会社 認証・認可システム、認証・認可方法
JP5374752B2 (ja) * 2009-01-19 2013-12-25 株式会社東芝 保護制御計測システムと装置、およびデータ伝送方法
US20110054952A1 (en) * 2009-08-31 2011-03-03 Mateer Craig C Remote check-in system
US10826885B2 (en) * 2010-03-02 2020-11-03 Liberty Plugins, Inc. Digital certificate and reservation
US8947200B2 (en) 2011-11-17 2015-02-03 Utc Fire & Security Corporation Method of distributing stand-alone locks
US9659336B2 (en) 2012-04-10 2017-05-23 Bags, Inc. Mobile baggage dispatch system and method
US9106405B1 (en) 2012-06-25 2015-08-11 Amazon Technologies, Inc. Multi-user secret decay
US9203818B1 (en) 2012-08-23 2015-12-01 Amazon Technologies, Inc. Adaptive timeouts for security credentials
US8996860B1 (en) 2012-08-23 2015-03-31 Amazon Technologies, Inc. Tolerance factor-based secret decay
US9038148B1 (en) * 2012-08-23 2015-05-19 Amazon Technologies, Inc. Secret variation for network sessions
CN104978144A (zh) * 2015-06-26 2015-10-14 中国工商银行股份有限公司 手势密码输入设备和***,及基于该***进行交易的方法
EP3291183A1 (en) * 2016-09-02 2018-03-07 Assa Abloy AB Sequence of delegations for controlling access to an access object
EP3291182A1 (en) * 2016-09-02 2018-03-07 Assa Abloy AB Sequence of delegations for controlling access to a physical space
EP3422628B1 (de) * 2017-06-29 2021-04-07 Siemens Aktiengesellschaft Verfahren, sicherheitseinrichtung und sicherheitssystem
CN112884958A (zh) * 2021-02-02 2021-06-01 福建随行软件有限公司 一种电子凭证识别方法及门禁设备
CN115333779A (zh) * 2022-07-15 2022-11-11 天翼云科技有限公司 一种验证数据的方法、装置及电子设备

Family Cites Families (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4529870A (en) * 1980-03-10 1985-07-16 David Chaum Cryptographic identification, financial transaction, and credential device
US4590470A (en) * 1983-07-11 1986-05-20 At&T Bell Laboratories User authentication system employing encryption functions
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
US4661658A (en) * 1985-02-12 1987-04-28 International Business Machines Corporation Offline PIN validation with DES
US5020105A (en) * 1986-06-16 1991-05-28 Applied Information Technologies Corporation Field initialized authentication system for protective security of electronic information networks
GB2283349A (en) * 1993-10-29 1995-05-03 Ibm Transaction processing system
EP0723251A3 (en) * 1995-01-20 1998-12-30 Tandem Computers Incorporated Method and apparatus for user and security device authentication
US5790667A (en) * 1995-01-20 1998-08-04 Matsushita Electric Industrial Co., Ltd. Personal authentication method
US5604801A (en) * 1995-02-03 1997-02-18 International Business Machines Corporation Public key data communications system under control of a portable security device
US5721781A (en) * 1995-09-13 1998-02-24 Microsoft Corporation Authentication system and method for smart card transactions
KR100213188B1 (ko) * 1996-10-05 1999-08-02 윤종용 사용자 인증 장치 및 방법
US6192131B1 (en) * 1996-11-15 2001-02-20 Securities Industry Automation Corporation Enabling business transactions in computer networks
US6144743A (en) * 1997-02-07 2000-11-07 Kabushiki Kaisha Toshiba Information recording medium, recording apparatus, information transmission system, and decryption apparatus
US6513116B1 (en) * 1997-05-16 2003-01-28 Liberate Technologies Security information acquisition
US6226744B1 (en) * 1997-10-09 2001-05-01 At&T Corp Method and apparatus for authenticating users on a network using a smart card
JPH11120300A (ja) * 1997-10-09 1999-04-30 Fujitsu Ltd 可搬型カード媒体,可搬型カード媒体のメモリ空間管理方法,可搬型カード媒体の発行方法および可搬型カード媒体のプログラムデータ書込方法並びにメモリ空間管理プログラムが記録されたコンピュータ読取可能な記録媒体
US6215872B1 (en) 1997-10-24 2001-04-10 Entrust Technologies Limited Method for creating communities of trust in a secure communication system
US6073237A (en) * 1997-11-06 2000-06-06 Cybercash, Inc. Tamper resistant method and apparatus
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
GB2338381A (en) * 1998-06-10 1999-12-15 Barclays Bank Plc Cryptographic authentication for internet using two servers
US6138235A (en) * 1998-06-29 2000-10-24 Sun Microsystems, Inc. Controlling access to services between modular applications
US6397197B1 (en) * 1998-08-26 2002-05-28 E-Lynxx Corporation Apparatus and method for obtaining lowest bid from information product vendors
US6257486B1 (en) * 1998-11-23 2001-07-10 Cardis Research & Development Ltd. Smart card pin system, card, and reader
US6715082B1 (en) * 1999-01-14 2004-03-30 Cisco Technology, Inc. Security server token caching
US6691232B1 (en) 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
US6792536B1 (en) * 1999-10-20 2004-09-14 Timecertain Llc Smart card system and methods for proving dates in digital files
KR20010096814A (ko) 2000-04-14 2001-11-08 홍기융 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법
BR0107115A (pt) 2000-08-16 2002-06-11 Koninkl Philips Electronics Nv Método e aparelho para controlar a distribuição e o uso de um trabalho digital e suporte de gravação para armazenar um trabalho digital
US20020026578A1 (en) * 2000-08-22 2002-02-28 International Business Machines Corporation Secure usage of digital certificates and related keys on a security token
JP4654498B2 (ja) * 2000-08-31 2011-03-23 ソニー株式会社 個人認証システム、個人認証方法、および情報処理装置、並びにプログラム提供媒体
JP2002089100A (ja) * 2000-09-19 2002-03-27 Crc Solutions Corp 入室管理システム、そのシステム内で使用されるicカード、そのシステムにおける入室管理装置、およびそのシステムにおける入室管理サーバ
KR20010008028A (ko) 2000-11-03 2001-02-05 박상관 피씨 보안 및 피케이아이 솔루션 기능을 갖는 스마트 카드판독 시스템 및 그 제어 방법
US6732278B2 (en) * 2001-02-12 2004-05-04 Baird, Iii Leemon C. Apparatus and method for authenticating access to a network resource
JP2003016397A (ja) * 2001-04-23 2003-01-17 Sony Corp データ処理システム、メモリデバイス、データ処理装置、およびデータ処理方法、並びにプログラム
EP1271875A1 (en) 2001-06-21 2003-01-02 Koninklijke Philips Electronics N.V. Device arranged for exchanging data, and method of manufacturing
JP2003030145A (ja) * 2001-07-16 2003-01-31 Fujitsu Ltd 情報処理方法およびプログラム
US20030028664A1 (en) * 2001-08-02 2003-02-06 Kaijun Tan Method and system for secure distribution and utilization of data over a network
JP4602606B2 (ja) * 2001-08-15 2010-12-22 ソニー株式会社 認証処理システム、認証処理方法、および認証デバイス、並びにコンピュータ・プログラム
US7085840B2 (en) * 2001-10-29 2006-08-01 Sun Microsystems, Inc. Enhanced quality of identification in a data communications network
US7083090B2 (en) * 2002-08-09 2006-08-01 Patrick Zuili Remote portable and universal smartcard authentication and authorization device
US7694330B2 (en) 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100708777B1 (ko) * 2005-02-03 2007-04-17 주식회사 디뮤즈 인터넷 프로토콜 기반의 방송서비스 제공방법
KR101384039B1 (ko) * 2005-06-30 2014-04-09 톰슨 라이센싱 디지털 컨텐츠의 소비 만기시점 제어 방법, 컨텐츠 소비장치, 소비 제어 수단 및 컨텐츠 배포 서버
WO2007064086A1 (en) * 2005-11-30 2007-06-07 Lg Electronics Inc. Method and device for drm time synchronization between devices in digital rights management

Also Published As

Publication number Publication date
CN100377521C (zh) 2008-03-26
US7694330B2 (en) 2010-04-06
JP4668551B2 (ja) 2011-04-13
CN1574740A (zh) 2005-02-02
US20040250076A1 (en) 2004-12-09
DE102004025084A1 (de) 2004-12-09
DE102004025084B4 (de) 2008-02-28
JP2005050308A (ja) 2005-02-24

Similar Documents

Publication Publication Date Title
US7694330B2 (en) Personal authentication device and system and method thereof
US10636240B2 (en) Architecture for access management
US10829088B2 (en) Identity management for implementing vehicle access and operation management
US11645593B2 (en) Use of identity and access management for service provisioning
US6148404A (en) Authentication system using authentication information valid one-time
US8499147B2 (en) Account management system, root-account management apparatus, derived-account management apparatus, and program
KR102177848B1 (ko) 액세스 요청을 검증하기 위한 방법 및 시스템
US20010020228A1 (en) Umethod, system and program for managing relationships among entities to exchange encryption keys for use in providing access and authorization to resources
TWI241106B (en) Personal authentication device and system and method thereof
JPH10336172A (ja) 電子認証用公開鍵の管理方法
US20210319116A1 (en) Systems and methods of access validation using distributed ledger identity management
JP5399045B2 (ja) 個人認証デバイスとこのシステムおよび方法
KR20040098066A (ko) 물리적 액세스 제어

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B601 Maintenance of original decision after re-examination before a trial
E801 Decision on dismissal of amendment
J301 Trial decision

Free format text: TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070829

Effective date: 20080829

Free format text: TRIAL NUMBER: 2007101009284; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20070829

Effective date: 20080829

J2X1 Appeal (before the patent court)

Free format text: APPEAL AGAINST DECISION TO DECLINE REFUSAL

Free format text: TRIAL NUMBER: 2008201011736; APPEAL AGAINST DECISION TO DECLINE REFUSAL

J302 Written judgement (patent court)

Free format text: JUDGMENT (PATENT COURT) FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20081004

Effective date: 20091028

Free format text: TRIAL NUMBER: 2008201011736; JUDGMENT (PATENT COURT) FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20081004

Effective date: 20091028

J2X2 Appeal (before the supreme court)

Free format text: APPEAL BEFORE THE SUPREME COURT FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL

Free format text: TRIAL NUMBER: 2009301004308; APPEAL BEFORE THE SUPREME COURT FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL

J303 Written judgement (supreme court)

Free format text: JUDGMENT (SUPREME COURT) FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20091118

Effective date: 20100311

Free format text: TRIAL NUMBER: 2009301004308; JUDGMENT (SUPREME COURT) FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20091118

Effective date: 20100311