KR100553273B1 - 엑스트라넷 액세스제어 장치 및 방법 - Google Patents

엑스트라넷 액세스제어 장치 및 방법 Download PDF

Info

Publication number
KR100553273B1
KR100553273B1 KR1020030080752A KR20030080752A KR100553273B1 KR 100553273 B1 KR100553273 B1 KR 100553273B1 KR 1020030080752 A KR1020030080752 A KR 1020030080752A KR 20030080752 A KR20030080752 A KR 20030080752A KR 100553273 B1 KR100553273 B1 KR 100553273B1
Authority
KR
South Korea
Prior art keywords
user
module
server
acl
authority
Prior art date
Application number
KR1020030080752A
Other languages
English (en)
Other versions
KR20050046481A (ko
Inventor
이세현
류영준
문성광
Original Assignee
주식회사 넷츠
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷츠 filed Critical 주식회사 넷츠
Priority to KR1020030080752A priority Critical patent/KR100553273B1/ko
Priority to CNA2004800333095A priority patent/CN1926801A/zh
Priority to US10/578,634 priority patent/US7451149B2/en
Priority to PCT/KR2004/002874 priority patent/WO2005048526A1/en
Priority to JP2006539375A priority patent/JP2007511831A/ja
Publication of KR20050046481A publication Critical patent/KR20050046481A/ko
Application granted granted Critical
Publication of KR100553273B1 publication Critical patent/KR100553273B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access

Abstract

본 발명은 액세스제어 장치 및 방법에 관한 것으로, 보다 구체적으로는, xSP를 위한 엑스트라넷에서의 액세스를 제어하는 장치 및 방법(이하, "본 발명의 액세스제어 장치 및 방법"이라 함)에 관한 것이다. 본 발명에 따르면, 권한의 중앙집중으로 인한 문제점 및 권한캐시 문제를 해결하기 위하여 ACL캐시를 이용하여 액세스제어의 역할을 분산하고, AA 서버(인증서버)를 이용하여 분산된 액세스제어 역할을 동기화하였다. 또한, 유저 웹브라우저 쿠키를 이용한 인증/권한 관리를 적용하여 세션관리의 비효율성을 해결하였고, 인터넷 보안 표준 지원 및 다양한 보안/암호화기술 및 유저정의 액세스제어 처리 등의 추가기능을 부여하였다.
액세스제어, 접근제어, 엑스트라넷, xSP, 캐시, 쿠키

Description

엑스트라넷 액세스제어 장치 및 방법{Extranet access management apparatus and method}
도1은 본 발명에 따른 액세스제어 장치의 전체적인 시스템 개략구성도.
도2는 본 발명에 따른 장치의 구체적 구성도.
도3a 및 도3b는 인증시의 권한설정 절차를 나타내는 도면.
도4a 및 도4b는 권한조회 절차를 나타내는 도면.
도5aa, 5ab, 5b는 권한변경 절차를 나타내는 도면.
도6aa, 6ab, 6ba, 6bb는 ACL캐시 동기화 절차를 나타내는 도면.
도7은 ACL캐시를 이용한 액세스제어 역할의 분산 개념을 나타내는 도면.
도8은 AA서버를 이용한 분산된 액세스제어 역할의 동기화 개념을 나타내는 도면.
도9는 유저 웹브라우저 쿠키를 이용한 인증/권한 관리 개념을 나타내는 도면.
본 발명은 액세스제어 장치 및 방법에 관한 것으로, 보다 구체적으로는, xSP 를 위한 엑스트라넷에서의 액세스를 제어하는 장치 및 방법(이하, "본 발명의 액세스제어 장치 및 방법"이라 함)에 관한 것이다.
종래 xSP(extended service provider)에서의 유저관리 방식은 단순 인증 방식에 기반을 두고 있다. 그러나, 온라인 시장의 포화에 따라서 새로운 시장 개척이 필요하게 되었다. 특히, 역할별, 리소스별로 액세스을 제어할 필요성이 커지고 있다.
기존에 유통되고 있는 액세스제어 솔루션 또는 패키지는 소규모 포털사이트나 사내 인트라넷을 대상으로 하고 있다. 이들은 실시간 중앙집중식 권한관리를 하고 있으며 제한된 유저가 이용하며 복잡한 계층구조를 갖고 있어서, 비용이 높은 반면에 효율이 낮은 단점이 있다.
보다 구체적으로 종래의 액세스 제어 방식의 문제점을 살펴본다.
1. 권한의 중앙집중 관리에 따른 과도한 네트웍 트래픽
웹서버와 디렉토리(또는 DB) 서버 사이에 위치한 중앙 관리서버가 실시간으로 세션관리 및 액세스제어를 담당한다. 그리고 웹서버로 오는 모든 유저의 요청에 대하여 검사/권한을 부여한다. 따라서, 유저의 수가 적고 비교적 네트웍 사용량이 적은 사내 인트라넷 또는 소규모 회원제 포털사이트에 적합한 모델이다. 또한, xSP의 특성(1000만 이상의 유저수, 단순한 계층 구조, 빈번한 네트웍 사용량)을 고려할 때 중앙집중 관리 모델은 대규모 네트웍 트래픽으로 인한 성능저하와 이의 해결을 위한 과도한 비용(장비 및 유지보수)이 요구된다.
2. 권한캐시의 불안정성
종래에, 중앙집중 관리에 따른 단점을 극복하기 위해 "권한캐시"를 두고 있다. 이는, 동일한 리소스나 유저의 요청에 의해 해당 웹서버에서 직접 처리함으로써 네트웍 트래픽을 줄여 처리성능을 개선하는 방법을 제공하는 것이나, 캐시의 간소화가 불가능하고 안정적인 서비스를 위한 적정 캐시 크기조절이 어려워 오랜 기간의 시행착오가 불가피하다.
3. 세션관리의 비효율성
모든 유저의 세션을 중앙서버에서 관리하고 있으므로, 소규모 인트라넷 모델에만 적합할 뿐이다. 실시간 세션관리를 위해 kB 단위 이상의 큰 쿠키를 유지해야 하지만, xSP의 특성상 중앙집중 세션관리와 과도한 쿠키 크기는 네트웍 부하나 서버 가용성의 측면에서 대단히 비효율적이다.
이에, 대규모이면서도 고성능의 요건을 만족하는 새로운 액세스제어 솔루션이 필요해진다. 따라서, 본 발명은 대규모 포털사이트에 적합한 고성능의 인증 및 액세스제어 장치 및 방법을 제공함을 목적으로 한다.
본 명세서에서 사용된 기본적인 용어를 다음과 같이 정의한다.
- ACE(access control entry) - 특정 웹서버의 리소스에 액세스할 수 있는 각 액세스제어 항목으로서, ID, 이름, 소속사이트 도메인, 서버목록, 리소스 목록, 변경처리 URL, 설명 등의 항목으로 구성된다.
- ACL(access control list) - 상기 액세스제어 항목(ACE)들의 목록(집합)
- ACL 캐시 - 도메인웹서버에서 ACL을 저장하고 있는 어플리케이션 변수(메모리) 공간
- 롤(Role) - 유저가 액세스 가능한 ACE들의 집합으로서, 유저스키마(schema)의 권한속성을 이용하여 유저 Role을 정의할 수 있다. Role 정보는 ACE가 많아질수록 쿠키에 저장되는 정보량이 증가하게 되므로, Role 정보의 축소방안이 필요해진다. Role을 ACE ID 목록으로 저장할 경우에, ACE 목록을 사람이 알수 있는 이름(human readable name)으로 지정시에는 정보량이 매우 증가하게 된다. 따라서, ACE ID를 일련의 [a-zA-Z0-9]의 62진수 문자열로 표현하면, 정보량이 작아질 수 있다. 즉, 2자리일 경우에는 3,844개의 Role 정보 표현이 가능하며, 3자리일 경우에는 238,328개의 Role 정보 표현이 가능해진다(예를 들어, Role = A0:B2:cZ:Ku:Z3:...와 같이 표현한다). Role은 유저 인증시 AA쿠키에 저장된다.
- 유저스키마(schema) - ID, 비밀번호 등의 여러가지 유저 속성이 정의된 저장 구조.
- AA(authentication and authorization)서버 - 유저 인증 및 Role 설정, 도메인웹서버의 ACL캐시 동기화를 담당
- AA 쿠키 - 유저의 인증 및 권한정보를 포함하고 있는 쿠키
<본 발명의 개요>
본 발명에 따르면, 권한의 중앙집중으로 인한 문제점 및 권한캐시 문제를 해결하기 위하여 ACL캐시를 이용하여 액세스제어의 역할을 분산하고, AA 서버(인증서 버)를 이용하여 분산된 액세스제어 역할을 동기화하였다. 또한, 유저 웹브라우저 쿠키를 이용한 인증/권한 관리를 적용하여 세션관리의 비효율성을 해결하였고, 인터넷 보안 표준 지원 및 다양한 보안/암호화기술 및 유저정의 액세스제어 처리 등의 추가기능을 부여하였다.
도1은 본 발명의 액세스제어 장치의 시스템 구성도를 간략하게 나타낸다. 다수의 유저가 가입되어 있는 도메인웹서버(100a, 100b, ...)에서 도메인별로 ACL 정보를 이용하여 권한 검사를 수행한다. 그 결과 도메인웹서버(100a, 100b, ...)에서 암호화된 Role정보 쿠키를 출력하면, 이 쿠키 신호는 부하분배 및 오류수정 모듈(200)(load-balancing/fault-tolerance module)을 거쳐 AA 서버(300)에서 인증되고 권한이 부여되어 권한정보 저장 모듈(400)에 Role, ACL, ACE 정보가 저장된다.
본 발명에 따른 액세스제어 장치의 기술적 특징을 미리 정리해 보면 다음과 같다.
- ACL캐시를 이용한 액세스제어 역할의 분산 (도7 참조)
종래의 전통적인 캐시기법(한 번 요청된 리소스에 대한 권한을 캐시로 저장)은 비효율적이었는바, ACL을 단순화(기호화)하여 통째로 ACL 캐시로 저장함으로써, 액세스제어 역할을 각 도메인웹서버(100)에 맡김으로써 액세스제어를 위한 서버간 네트웍 트래픽을 최소화하였다. 즉, 각 도메인웹서버(100)에서 ACL 캐시를 관리하고 자체적으로 액세스제어 처리를 수행한다.
- AA서버를 이용한 분산된 액세스제어 역할의 동기화 (도8 참조)
위와 같이 액세스제어 역할이 분리됨에 따라, 서버간 ACL캐시의 자동 동기화가 필요해진다. 이를 위해, 도8에서와 같이, 웹서버(100)의 최초 구동시에 AA서버(300)로부터 ACL캐시를 초기화하고, AA 서버(300)에서 관리자에 의해 ACL이 변경된 경우에는 실시간으로 해당 웹서버(100)의 ACL캐시 정보를 갱신하여 동기화를 유지한다. 또한, AA서버(300)은 ACL 동기화 로그를 관리함으로써 장애 및 유지보수를 용이하게 한다.
- 유저 웹브라우저 쿠키를 이용한 인증/권한 관리 (도9 참조)
대규모 유저의 세션을 서버에서 관리하는 것은 부적절하다. 따라서 암호화된 유저 웹브라우저 쿠키를 통해 유저의 세션을 관리함으로써 서버 부하를 최소화하고 있다. 이렇게 쿠키와 표준 HTTP 프로토콜을 이용한 고속 인증 처리를 수행하고, 인증시에는 단순화(기호화)시킨 Role을 쿠키로 저장/관리하므로써, 도메인웹서버(100)의 ACL캐시와 쿠키의 Role을 이용한 액세스 제어를 행하고 있다.
<본 발명의 장치의 구성>
이제, 본 발명의 액세스제어 장치의 구체적인 구성 및 작용에 대해서 설명한다. 도2는 도1에 나타낸 구성 중에서 본 발명의 액세스제어 장치에 고유한 구성만을 구체적으로 도시한 것이다. 도메인웹서버(100)와, AA서버(300)와, 권한정보 저장모듈(400)이 상호 연결되어 있고, 유저 웹브라우저(500)는 AA서버(300) 및 도메인웹서버(100)과 HTTP 방식으로 연결되어 있다.
도2에서, AA서버(300)는, 인증(authentication) 및 권한부여(authorization) 를 담당하는 AA(인증/권한)모듈(302)과, 본 발명의 액세스제어 장치의 관리를 담당하고 권한정책을 관리하는 관리모듈(304)과, AA서버(300)와 각 도메인웹서버(100)들의 ACL캐시를 동기화하는 ACL캐시 제어모듈(306)과, 유저에게 설정해 줄 AA쿠키를 암호화하는 암호화모듈(308)과, 권한정보 저장모듈(400)에 독립적인 시스템 운영을 제공하는 스키마프로바이더(310) 및 유저프로바이더(312)로 구성된다.
다음에, 도메인웹서버(100)는, ACL캐시를 이용하여 유저의 액세스 여부를 판별하는 AA모듈(102)과, AA서버(300)로부터 전달되어온 ACL캐시(104)와, 암호화된 AA쿠키를 해독하는 복호화모듈(106)과, 유저 웹브라우저(500)로부터의 리소스요청을 처리하는 모듈(108)로 구성된다.
도7~9를 통해 앞에서 설명한 것과 같이, 유저 웹브라우저(500)과 AA서버(300) 및 도메인웹서버(100) 사이의 요청/응답(request/response)은 AA쿠키에 의해 이루어진다.
이상과 같이 구성되는 본 발명의 액세스제어 장치의 작용에 대해서 차례로 설명한다. 본 발명에 따른 액세스제어 장치의 작용은 액세스제어를 수행하는 방법상의 절차와 본질적으로 같은 것이므로 도2의 액세스제어 장치의 작용은 본 발명의 액세스제어 방법과 함께 설명한다.
우선, 도3a는 인증시의 권한설정 절차를 나타내는 도면이다. 유저가 인터넷을 통해 도메인웹서버(100)에 로그인하면 도메인웹서버(100)에서는 AA서버(300)에 인증요청을 하고, AA서버(300)는 유저 ID와 패스워드를 이용하여 권한정보(400)에 인증속성 및 유저권한 속성을 조회한다. 조회결과, AA서버(300)는 유저 브라우저에 AA쿠키로 Role값을 설정한다(예를 들어, Role=A0:K1:z8:03).
도3a에서 설명한 권한설정의 기능적 처리흐름을 도2의 구성도로써 표시하면 도3b와 같이 나타낼 수 있다. 순서대로 설명하면, 유저 웹브라우저(500)에서 도메인웹서버(100)에 접속하면[S1] 도메인웹서버(100)의 AA모듈(102)에서는 인증확인을 해서 HTTP를 통해 다시 유저 웹브라우저(500)로 보내고[S2] AA서버(300)의 AA모듈(302)에 인증요청을 한다[S3]. AA서버(300)의 AA모듈(302)은 스키마프로바이더(310)에 인증조회를 하고[S4] 스키마프로바이더(310)에서는 권한정보 저장모듈(400)로부터 사이트조회를 하고[S5] 그 결과를 유저프로바이더(312)로 전달한다. 유저프로바이더(312)에서는 권한정보 저장모듈(400)에 유저 권한 조회를 하여[S6] 인증 및 권한 설정을 해서 유저 웹브라우저(500)에 전송한다[S7].
다음은, 권한 조회에 대하여 설명한다. 우선, ACL캐시에 있어서, 각 도메인웹서버는 자신과 관련된 ACL을 캐시로 유지한다. 그리고, 유저의 Role에서 각 ACE의 리소스 문자열을 조회한다. 그리고, ACE의 리소스 항목에 대한 문자열 패턴검색을 통하여 패턴을 검색한다. 권한 조회에 대해서 도4a 및 도4b를 참조하여 구체적으로 설명한다.
도4a에서, 우선 유저가 도메인웹서버(100)에 페이지(URL) 액세스요청을 하면, AA쿠키에서 Role을 추출한다(예컨대, Role=A8:Bf:03). 도메인웹서버(100)에서는 유저권한 검사를 수행하는데, 우선, 요청된 액세스리소스의 ACE ID를 ACL캐시에서 추출하여 액세스리소스의 ACE ID가 유저 Role에 존재하는지 조회한다. 조회 결과, 유저 Role에 ACE ID가 있을 경우에는 액세스권한을 부여한다.
도4b를 통해 그 기능적 흐름을 설명한다. 도4b에서 유저가 도메인웹서버(100)에 액세스(access)하면[S1] 도메인웹서버(100)의 AA모듈(102)에서는 권한검사를 하고[S2] 리소스요청 처리모듈(108)은 권한조회 요청을 처리하고[S3] 그 결과를 유저 웹브라우저에 보내어 응답한다[S4].
다음, 유저 권한변경에 대하여 설명한다. 도5aa는 서비스가입을 하는 경우의 흐름 개요도이고, 도5ab는 서비스탈퇴를 하는 경우의 흐름 개요도이다. 도5aa에서 유저가 서비스 가입을 요청하면 도메인웹서버에서는 유저ID와 Role코드를 AA서버에 전송하고, AA서버는 유저 속성에 Role코드를 추가한다. 반대로 유저가 서비스 탈퇴를 요청하면 도메인웹서버에서는 유저ID와 Role코드를 AA서버에 전송하고, AA서버는 유저 속성에서 Role코드를 삭제한다.
이상의 처리흐름을 도2의 구성도로써 설명하면 도5b와 같다. 유저웹브라우저에서 서비스가입 또는 탈퇴를 요청하면[S1], 도메인웹서버(100)의 리소스요청 처리모듈(108)에서는 AA서버의 AA모듈(302)에 가입/탈퇴요청을 하고[S2], AA모듈(302)은 유저 권한정보를 수정하여 유저프로바이더(312)에 전송하고[S3], 유저프로바이더(312)는 수정된 정보를 권한정보 저장모듈(400)에 보내어 유저정보를 업데이트한다[S4]. 이때 AA모듈(302)은 유저정보가 변경되었음을 도메인웹서버의 리소스요청 처리모듈(108)에 보고하여[S5] 유저에게 가입/탈퇴가 완료되었음을 알리도록 한다[S6].
한편, 본 발명에서 필수적인 ACL캐시의 동기화에 대해서는 다음과 같이 구체적으로 설명할 수 있다. ACL캐시는 각 도메인웹서버가 유저의 액세스 요청시에 Role을 조회하기 위해 필요한 것으로서, 도메인웹서버는 조회를 위하여 AA서버와 추가적으로 통신하는 것을 피하기 위해 자체 ACL캐시를 유지하고 있다. 캐시는 어플리케이션 변수(어플리케이션을 사용하는 모든 클라이언트가 공유하는 변수)로서 웹서버의 메모리상에 상주하고 있는 메모리이다.
이 ACL캐시를 각 도메인웹서버에서 보관하고 있다. 따라서 AA서버에서 ACL을 변경할 때에 도메인웹서버들과의 ACL캐시의 동기화문제가 발생한다. 이 문제는 도6aa~도6bb와 같은 처리로 해결한다.
도6aa는 초기화 절차를 나타내는 것으로서, 도메인웹서버를 가동할 때마다 AA서버로부터 ACL캐시를 초기화한다. 즉, 도메인웹서버가 가동하면 AA서버에 ACL캐시를 요청하고, AA서버에서는 최신 ACL을 권한정보 저장모듈에서 조회하여 도메인웹서버에 전달하여 응답한다. 도6ab는 상기 절차를 도2의 구성도로써 설명하기 위한 것으로서, 도메인웹서버(100)의 AA모듈(102)이 AA서버의 ACL캐시 제어모듈(306)에 캐시요청을 하면[S1], ACL캐시 제어모듈(306)은 권한정보 저장모듈(400)로부터 ACL캐시를 조회하여[S2] 다시 도메인웹서버(100)의 AA모듈(102)로 전달한다[S3].
도6ba는 초기화 후 ACL캐시의 동기화를 나타내는 절차도이다. ACL이 추가, 삭제, 변경될 경우 해당 도메인 웹서버로 갱신 정보를 전송하면, 해당 도메인웹서버에서는 실시간으로 캐시정보를 업데이트한다. 한 번의 업데이트가 실패하더라도 주기적으로 캐시를 갱신하기 때문에 최신정보는 항상 유지가 가능하다. 도6ba에서 볼 때, 인트라넷을 통해 관리자가 ACL관리를 선택하면 AA서버에서는 ACL캐시를 업데이트할 도메인웹서버를 선택하여 해당 도메인웹서버에 ACL캐시 갱신을 요청하고( 요청시에는 ACE의 세부정보가 포함된다), 해당 도메인웹서버에서는 요청받은 ACL정보를 갱신한다. 도6bb는 상기 절차를 도2의 구성도로써 설명하기 위한 것으로서, 관리자가 AA서버의 ACL캐시 제어모듈(306)로 하여금 권한변경을 명령하면[S1], ACL캐시 제어모듈(306)은 정보권한 저장모듈(400)에 ACL변경을 요청하고 도메인웹서버의 ACL캐시(104)에 캐시동기화를 명령한다.
여기서, 관리자는 ACE관리(ACE의 추가/삭제, ACE 소속 사이트/유저/ACE ID/ACE 이름으로의 검색) 및 편집, 유저 Role 관리 등을 수행하는 모듈이다.
이상에서와 같이 본 발명에 따르면, 종래의 액세스 제어 방식의 문제점, 즉, 1) 권한의 중앙집중 관리에 따른 과도한 네트웍 트래픽, 2) 권한캐시의 불안정성, 3) 세션관리의 비효율성 등의 문제점을 해결할 수 있다. 본 발명은 특히, xSP용 엑스트라넷에서의 액세스 콘트롤에 적용시에 그 효용성이 크다.

Claims (4)

  1. 다수의 도메인웹서버와, 각 도메인웹서버로의 액세스 인증 및 권한관리를 담당하는 권한인증(이하, "AA(authentication and authorization)"라 함) 서버와, 권한정보를 저장하는 모듈과, 상기 AA서버 및 도메인웹서버와 연결되는 유저 웹브라우저로 구성되는 시스템에 있어서,
    상기 AA서버는 인증(authentication) 및 권한부여(authorization)를 담당하는 AA모듈과, AA서버와 각 도메인웹서버들의 액세스 제어목록(이하, "ACL(access control list cache)"이라 함) 캐시를 동기화하는 ACL캐시 제어모듈과, 유저에게 설정해 줄 AA쿠키를 암호화하는 암호화모듈과, 권한정보 저장모듈에 독립적인 시스템 운영을 제공하는 스키마프로바이더 및 유저프로바이더로 구성되고,
    상기 도메인웹서버는 ACL캐시를 이용하여 유저의 액세스 여부를 판별하는 AA모듈과, AA서버로부터 전달되어온 ACL캐시 모듈과, 암호화된 AA쿠키를 해독하는 복호화모듈과, 유저 웹브라우저로부터의 리소스요청을 처리하는 모듈로 구성되어,
    다수의 유저가 가입되어 있는 도메인웹서버에서 도메인별로 ACL 정보를 이용하여 권한 검사를 수행하면, 그 결과 도메인웹서버에서 암호화된 롤(이하, "Role"이라 함) 정보 쿠키를 출력하고, 이 쿠키 신호는 AA 서버에서 인증되고 권한이 부여되어 권한정보 저장 모듈에 Role, ACL 및 액세스 제어항목(ACE, access control entry) 정보가 저장되는 것을 특징으로 하는, 엑스트라넷 액세스제어 장치.
  2. 제1항과 같이 구성되는 장치에 의해 이루어지는 액세스제어 방법으로서,
    유저 웹브라우저에서 도메인웹서버에 접속하는 단계, 도메인웹서버의 AA모듈에서 인증확인을 해서 HTTP를 통해 다시 유저 웹브라우저로 보내는 단계, AA서버의 AA모듈에 인증요청을 하면, AA서버의 AA모듈은 스키마프로바이더에 인증조회를 하고 스키마프로바이더에서는 권한정보 저장모듈로부터 사이트조회를 하여 그 결과를 유저프로바이더로 전달하는 단계, 유저프로바이더에서는 권한정보 저장모듈에 유저 권한 조회를 하여 인증 및 권한 설정을 해서 유저 웹브라우저에 전송하는 단계를 포함하는 인증시의 권한설정 절차와,
    유저가 도메인웹서버에 액세스하면 도메인웹서버의 AA모듈에서는 권한검사를 하고 리소스요청 처리모듈은 권한조회 요청을 처리하고 그 결과를 유저 웹브라우저에 보내어 응답하는 단계를 포함하는 권한 조회 절차를 포함하는, 엑스트라넷 액세스제어 방법.
  3. 제2항에 있어서,
    유저웹브라우저에서 서비스가입 또는 탈퇴를 요청하면, 도메인웹서버(100)의 리소스요청 처리모듈에서는 AA서버의 AA모듈에 가입 또는 탈퇴요청을 하고, AA모듈은 유저 권한정보를 수정하여 유저프로바이더에 전송하고, 유저프로바이더는 수정된 정보를 권한정보 저장모듈에 보내어 유저정보를 업데이트하는 단계와, AA모듈은 유저정보가 변경되었음을 도메인웹서버의 리소스요청 처리모듈에 보고하여 유저에게 가입 또는 탈퇴가 완료되었음을 알리는 단계를 포함하는 유저 권한변경 절차를 추가로 포함하는, 엑스트라넷 액세스제어 방법.
  4. 제2항에 있어서,
    도메인웹서버의 AA모듈이 AA서버의 ACL캐시 제어모듈에 캐시요청을 하면, ACL캐시 제어모듈은 권한정보 저장모듈로부터 ACL캐시를 조회하여 다시 도메인웹서버의 AA모듈로 전달하는 ACL 초기화 단계와,
    관리자가 AA서버의 ACL캐시 제어모듈로 하여금 권한변경을 명령하면, ACL캐시 제어모듈은 정보권한 저장모듈에 ACL변경을 요청하고 도메인웹서버의 ACL캐시에 캐시동기화를 명령하는 ACL 동기화 단계가 추가로 포함되는, 엑스트라넷 액세스제어 방법.
KR1020030080752A 2003-11-14 2003-11-14 엑스트라넷 액세스제어 장치 및 방법 KR100553273B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
KR1020030080752A KR100553273B1 (ko) 2003-11-14 2003-11-14 엑스트라넷 액세스제어 장치 및 방법
CNA2004800333095A CN1926801A (zh) 2003-11-14 2004-11-08 外联网访问管理装置和方法
US10/578,634 US7451149B2 (en) 2003-11-14 2004-11-08 Extranet access management apparatus and method
PCT/KR2004/002874 WO2005048526A1 (en) 2003-11-14 2004-11-08 Extranet access management apparatus and method
JP2006539375A JP2007511831A (ja) 2003-11-14 2004-11-08 エクストラネットアクセスの制御装置及び方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030080752A KR100553273B1 (ko) 2003-11-14 2003-11-14 엑스트라넷 액세스제어 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20050046481A KR20050046481A (ko) 2005-05-18
KR100553273B1 true KR100553273B1 (ko) 2006-02-22

Family

ID=34587908

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030080752A KR100553273B1 (ko) 2003-11-14 2003-11-14 엑스트라넷 액세스제어 장치 및 방법

Country Status (5)

Country Link
US (1) US7451149B2 (ko)
JP (1) JP2007511831A (ko)
KR (1) KR100553273B1 (ko)
CN (1) CN1926801A (ko)
WO (1) WO2005048526A1 (ko)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7461262B1 (en) * 2002-03-19 2008-12-02 Cisco Technology, Inc. Methods and apparatus for providing security in a caching device
US20070208946A1 (en) * 2004-07-06 2007-09-06 Oracle International Corporation High performance secure caching in the mid-tier
US7370050B2 (en) * 2005-02-28 2008-05-06 Microsoft Corporation Discoverability and enumeration mechanisms in a hierarchically secure storage system
KR100664943B1 (ko) * 2005-08-10 2007-01-04 삼성전자주식회사 모드 기반 접근 제어 방법 및 장치
JP4863253B2 (ja) * 2005-09-27 2012-01-25 学校法人東京農業大学 統合ユーザ管理システム
KR100785782B1 (ko) * 2005-11-17 2007-12-18 한국전자통신연구원 권한위임 시스템 및 방법
US8024794B1 (en) * 2005-11-30 2011-09-20 Amdocs Software Systems Limited Dynamic role based authorization system and method
US20070226251A1 (en) * 2006-03-24 2007-09-27 Rocket Software, Inc. Method of augmenting and controlling utility program execution for a relational database management system
US7895639B2 (en) * 2006-05-04 2011-02-22 Citrix Online, Llc Methods and systems for specifying and enforcing access control in a distributed system
US8819806B2 (en) * 2006-10-20 2014-08-26 Verizon Patent And Licensing Inc. Integrated data access
DE102006055684B4 (de) * 2006-11-23 2021-03-11 Nokia Siemens Networks Gmbh & Co. Kg Verfahren zur Bearbeitung einer Netzwerkdienstanforderung sowie Netzwerkelement mit Mittel zur Bearbeitung der Anforderung
US8650297B2 (en) * 2007-03-14 2014-02-11 Cisco Technology, Inc. Unified user interface for network management systems
US8584196B2 (en) * 2008-05-05 2013-11-12 Oracle International Corporation Technique for efficiently evaluating a security policy
US8806201B2 (en) * 2008-07-24 2014-08-12 Zscaler, Inc. HTTP authentication and authorization management
US9003186B2 (en) * 2008-07-24 2015-04-07 Zscaler, Inc. HTTP authentication and authorization management
US8656462B2 (en) * 2008-07-24 2014-02-18 Zscaler, Inc. HTTP authentication and authorization management
US9379895B2 (en) * 2008-07-24 2016-06-28 Zscaler, Inc. HTTP authentication and authorization management
JP5549596B2 (ja) * 2008-11-14 2014-07-16 日本電気株式会社 情報処理システムと方法並びにプログラム
CN101453388B (zh) * 2008-12-30 2011-02-09 公安部第三研究所 互联网上网服务营业场端运行安全保障的检验方法
US8396949B2 (en) * 2010-06-03 2013-03-12 Microsoft Corporation Metadata driven automatic deployment of distributed server systems
US8601549B2 (en) * 2010-06-29 2013-12-03 Mckesson Financial Holdings Controlling access to a resource using an attribute based access control list
JP5623271B2 (ja) 2010-12-27 2014-11-12 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 情報処理装置、権限管理方法、プログラムおよび記録媒体
US8516607B2 (en) * 2011-05-23 2013-08-20 Qualcomm Incorporated Facilitating data access control in peer-to-peer overlay networks
CN103297438B (zh) * 2013-06-20 2016-05-11 上海辰锐信息科技公司 一种用于移动终端安全机制的缓存访问控制方法
WO2015122009A1 (ja) * 2014-02-17 2015-08-20 富士通株式会社 サービス提供方法、サービス要求方法、情報処理装置、及び、クライアント装置
US10515219B2 (en) 2014-07-18 2019-12-24 Micro Focus Llc Determining terms for security test
CN104639371A (zh) * 2015-02-02 2015-05-20 北京极科极客科技有限公司 一种远程控制路由器的方法
US9912704B2 (en) * 2015-06-09 2018-03-06 Intel Corporation System, apparatus and method for access control list processing in a constrained environment
CN109347840B (zh) * 2015-11-30 2021-09-24 北京奇艺世纪科技有限公司 一种业务方访问规则的配置的方法和装置
US10389837B2 (en) * 2016-06-17 2019-08-20 International Business Machines Corporation Multi-tier dynamic data caching
US11929992B2 (en) 2021-03-31 2024-03-12 Sophos Limited Encrypted cache protection
WO2022208045A1 (en) * 2021-03-31 2022-10-06 Sophos Limited Encrypted cache protection
US11757642B1 (en) * 2022-07-18 2023-09-12 Spideroak, Inc. Systems and methods for decentralized synchronization and braided conflict resolution

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05289924A (ja) * 1992-04-09 1993-11-05 Oki Electric Ind Co Ltd データベース管理システム
JPH11355266A (ja) * 1998-06-05 1999-12-24 Nec Corp ユーザ認証装置およびユーザ認証方法
US6453353B1 (en) * 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
US6490624B1 (en) * 1998-07-10 2002-12-03 Entrust, Inc. Session management in a stateless network system
US6182142B1 (en) * 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
JP2000322353A (ja) * 1999-05-13 2000-11-24 Nippon Telegr & Teleph Corp <Ntt> 情報提供装置、情報提供サービス認証方法及び情報提供サービス認証プログラムを記録した記録媒体
GB9913165D0 (en) * 1999-06-08 1999-08-04 Secr Defence Access control in a web environment
US6584505B1 (en) * 1999-07-08 2003-06-24 Microsoft Corporation Authenticating access to a network server without communicating login information through the network server
US6519647B1 (en) * 1999-07-23 2003-02-11 Microsoft Corporation Methods and apparatus for synchronizing access control in a web server
US6609128B1 (en) * 1999-07-30 2003-08-19 Accenture Llp Codes table framework design in an E-commerce architecture
US6728884B1 (en) * 1999-10-01 2004-04-27 Entrust, Inc. Integrating heterogeneous authentication and authorization mechanisms into an application access control system
US7802174B2 (en) * 2000-12-22 2010-09-21 Oracle International Corporation Domain based workflows
JP4559648B2 (ja) 2001-03-21 2010-10-13 トヨタ自動車株式会社 認証システム、および認証サーバ
US7225256B2 (en) * 2001-11-30 2007-05-29 Oracle International Corporation Impersonation in an access system
US9087319B2 (en) * 2002-03-11 2015-07-21 Oracle America, Inc. System and method for designing, developing and implementing internet service provider architectures

Also Published As

Publication number Publication date
WO2005048526A1 (en) 2005-05-26
US20070124482A1 (en) 2007-05-31
WO2005048526A9 (en) 2006-08-24
CN1926801A (zh) 2007-03-07
KR20050046481A (ko) 2005-05-18
JP2007511831A (ja) 2007-05-10
US7451149B2 (en) 2008-11-11

Similar Documents

Publication Publication Date Title
KR100553273B1 (ko) 엑스트라넷 액세스제어 장치 및 방법
Shi et al. A blockchain-empowered AAA scheme in the large-scale HetNet
US10303871B2 (en) System and method for controlling state tokens
CN110351381B (zh) 一种基于区块链的物联网可信分布式数据共享方法
US11005812B2 (en) Autonomous decentralization of centralized stateful security services with systematic tamper resistance
US6986047B2 (en) Method and apparatus for serving content from a semi-trusted server
US7600230B2 (en) System and method for managing security meta-data in a reverse proxy
CN102067557B (zh) 使用本地托管高速缓存和密码散列函数来减少网络通信的方法和系统
US20150317486A1 (en) Computer relational database method and system having role based access control
US20060026286A1 (en) System and method for managing user session meta-data in a reverse proxy
CN107483491A (zh) 一种云环境下分布式存储的访问控制方法
US8443430B2 (en) Remote registration for enterprise applications
CN104615916B (zh) 账号管理方法和装置、账号权限控制方法和装置
KR20040019328A (ko) 액세스 제어 시스템
CN112035215A (zh) 节点集群的节点自治方法、系统、装置及电子设备
EP3510743A1 (en) Interchangeable retrieval of sensitive content via private content distribution networks
CN112685790B (zh) 一种区块链数据安全及隐私保护方法
US20150215314A1 (en) Methods for facilitating improved user authentication using persistent data and devices thereof
Yuan et al. Enabling secure and efficient video delivery through encrypted in-network caching
CN102316122B (zh) 基于协同方式的内网安全管理方法
CN101800776B (zh) Cdn与p2p的网络融合管控方法和系统
US20120173615A1 (en) Data broker method, apparatus and system
US11356448B1 (en) Device and method for tracking unique device and user network access across multiple security appliances
CN108734023A (zh) 一种密文数据库系统的访问与集成系统及方法
CN114595053A (zh) 一种面向mnss的安全动态资源管理系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130415

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20140210

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20150210

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20160205

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20170410

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20180209

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20190211

Year of fee payment: 14

FPAY Annual fee payment

Payment date: 20200226

Year of fee payment: 15