KR100341852B1 - 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법 - Google Patents

서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법 Download PDF

Info

Publication number
KR100341852B1
KR100341852B1 KR1019990036259A KR19990036259A KR100341852B1 KR 100341852 B1 KR100341852 B1 KR 100341852B1 KR 1019990036259 A KR1019990036259 A KR 1019990036259A KR 19990036259 A KR19990036259 A KR 19990036259A KR 100341852 B1 KR100341852 B1 KR 100341852B1
Authority
KR
South Korea
Prior art keywords
authentication
server
client application
winsock
client
Prior art date
Application number
KR1019990036259A
Other languages
English (en)
Other versions
KR20010019705A (ko
Inventor
박일환
이진석
강창구
Original Assignee
오길록
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 오길록, 한국전자통신연구원 filed Critical 오길록
Priority to KR1019990036259A priority Critical patent/KR100341852B1/ko
Publication of KR20010019705A publication Critical patent/KR20010019705A/ko
Application granted granted Critical
Publication of KR100341852B1 publication Critical patent/KR100341852B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법에 관한 것으로, 네트워크 컴퓨팅 환경에서 서버-클라이언트 응용 프로그램에 독립적으로 적용할 수 있으며 동시에 다수의 응용 또는 적용할 서버-클라이언트 응용을 선택하여 적용할 수 있는 인증 방법이다.
본 발명은 서버-클라이언트 컴퓨팅 환경에서 클라이언트가 서버의 서비스를 받기 전에 정당한 사용자인가를 서버가 확인하고 반대로 클라이언트는 서비스를 제공하는 서버가 정당한 서버인가를 확인하여 보호하고자 하는 정보가 위험 지역으로 불법 유출되지 않도록 사전에 인증 기능을 수행하는 방법이다.
또한, 본 발명은 서버-클라이언트 응용 프로그램의 수정 또는 변경, 인증 수단 정합을 위한 서버-클라이언트 응용 프로그램 개발을 고려하지 않아도 되며, 인증 수단이 표준화되지 않은 상태에서도 많은 서버-클라이언트 응용 프로그램에 적용이 용이한 인증 방법이다.

Description

서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법{Implementation method of authentication for server-client application}
본 발명은 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법에 관한 것으로, 네트워크 컴퓨팅 환경에서 서버-클라이언트 응용 프로그램에 독립적으로 적용할 수 있으며 동시에 다수의 응용 또는 적용할 서버-클라이언트 응용을 선택하여 적용할 수 있는 인증 방법이다.
일반적으로 사무실 및 가정에서 네트워크 환경에서의 컴퓨터 사용 비중이 점점 높아지고 있으며, 이에 부응하여 서버-클라이언트 응용 프로그램의 사용이 증대되고 있다. 따라서 네트워크를 이용하여 데이터를 송수신하기 전에 통신하는 시스템 서로간의 인증은 매우 중요하며 필수적으로 행하여야 하는 것으로 고려되고 있다.
종래 서버-클라이언트 컴퓨팅 환경에서 구현할 수 있는 인증 방법에는 클라이언트 응용과 서버 응용 각각에 프로그램 개발 당시 직접 인증 수단을 프로그램 소스 레벨로 정합하는 방법과 서버-클라이언트 응용 프로그램인 경우에는 프로그램을 일부 수정 또는 변경하여 인증 수단을 정합하는 방법이 있다.
전자의 경우는 개발된 인증 수단이 표준화되지 않아도 보호하고자 하는 특정한 서버-클라이언트 응용 프로그램에 적용할 수 있는 방법이나 인증 수단을 다른 서버-클라이언트 응용 프로그램에 적용하는 경우 매번 같은 양의 프로그램 수정 및 오류 검정 노력을 해야 한다.
후자의 경우에는 서버-클라이언트 응용 프로그램 개발 당시부터 표준화된 인증 수단을 수용하는 방식으로 개발된 인증 수단의 응용 프로그램 이식률이 높은 반면 표준화하는데 어려움이 있고, 표준화되기까지의 기간을 고려하여야 하는 문제점이 있다.
따라서, 본 발명은 상기한 문제점을 해소하도록 서버-클라이언트 응용에 적용이 용이하고 다양한 서버-클라이언트 응용 프로그램에 적용이 가능하며, 하나의 클라이언트 시스템에 설치된 다수개의 서버-클라이언트 응용 중에서 특정한 서버-클라이언트 응용에만 적용할 수도 있는 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법을 제공하는데 그 목적이 있다.
상기한 목적을 달성하기 위한 본 발명의 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템은 다수개의 클라이언트 응용의 윈속 함수 호출 모니터링 및 가로채기 기능을 수행하는 윈속함수 가로채기 수단과, 인증 서버의 인증 티켓의 제시 요구에 응하여 인증 티켓을 전달하고 인증 서버의 재차 인증에 자동으로 응답하는 클라이언트 인증 수단과, 상기 클라이언트 인증 수단이 획득한 인증 티켓을 종류별로 구분하여 관리 하며, 상기 인증 서버로부터 받은 인증 티켓이 유효한가를 판단하는 기능을 수행하는 인증 티켓 관리수단과, 상기 응용 서버의 주소와 응용 서버에 상응하는 인증 서버의 주소를 관리하는 응용 서버 관리 수단과, 상기 각 수단들이 발생하는 감사 사건들을 상기 클라이언트 응용 시스템의 저장 매체에 기록하고 보안 관리자가 볼 수 있도록 모니터링 하는 감사 관리 수단과, 상기 클라이언트 인증수단과 접속되면 새로운 소켓을 생성하는 상기 인증서버의 윈속 데몬과, 상기 클라이언트 응용과 응용 서버를 논리적으로 연결시키는 상기 인증서버의 윈속 대리인과, 상기 클라이언트 응용의 인증 수단과 연동하여 인증을 제공하는 인증 서버의 인증 수단과, 상기 인증 수단의 요청에 의하여 인증 티켓을 발행하고 상기 윈속 대리인에 의해 전달된 인증 티켓의 유효성을 검증하는 인증 서버의 인증 티켓 수단과, 상기 인증 서버의 각 수단의 동작을 상기 윈속 대리인을 통해 모니터링하여 감사 정보를 감사 데이터베이스에 기록하는 상기 인증 서버의 감사 수단과, 상기 감사 수단의 감사 정보를 보안 관리자가 항상 상기 인증 서버 및 클라이언트 응용을 감시할 수 있도록 하는 상기 인증 서버의 모니터링 수단을 포함하여 이루어진 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템을 가지는 데이터가 기록된 컴퓨터의 판독이 가능한 기록매체는 다수개의 클라이언트 응용의 윈속 함수 호출 모니터링 및 가로채기 기능을 수행하는 윈속함수 가로채기 수단과, 인증 서버의 인증 티켓의 제시 요구에 응하여 인증 티켓을 전달하고 인증 서버의 재차 인증에 자동으로 응답하는 클라이언트 인증 수단과, 상기 클라이언트 인증 수단이 획득한 인증 티켓을 종류별로 구분하여 관리 하며, 상기 인증 서버로부터 받은 인증 티켓이 유효한가를 판단하는 기능을 수행하는 인증 티켓 관리수단과, 상기 응용 서버의 주소와 응용 서버에 상응하는 인증 서버의 주소를 관리하는 응용 서버 관리 수단과, 상기 각 수단들이 발생하는 감사 사건들을 상기 클라이언트 응용 시스템의 저장 매체에 기록하고 보안 관리자가 볼 수 있도록 모니터링 하는 감사 관리 수단과, 상기 클라이언트 인증수단과 접속되면 새로운 소켓을 생성하는 상기 인증서버의 윈속 데몬과, 상기 클라이언트 응용과 응용 서버를 논리적으로 연결시키는 상기 인증서버의 윈속 대리인과, 상기 클라이언트 응용의 인증 수단과 연동하여 인증을 제공하는 인증 서버의 인증 수단과, 상기 인증 수단의 요청에 의하여 인증 티켓을 발행하고 상기 윈속 대리인에 의해 전달된 인증 티켓의 유효성을 검증하는 인증 서버의 인증 티켓 수단과, 상기 인증 서버의 각 수단의 동작을 상기 윈속 대리인을 통해 모니터링하여 감사 정보를 감사 데이터베이스에 기록하는 상기 인증 서버의 감사 수단과, 상기 감사 수단의 감사 정보를 보안 관리자가 항상 상기 인증 서버 및 클라이언트 응용을 감시할 수 있도록 하는 상기 인증 서버의 모니터링 수단을 포함하여 이루어진 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 서버-클라이언트 응용 프로그램에 독립적인 인증 방법은 클라이언트 응용 시스템의 인증 수단을 구동한 후 응용 프로그램에 의해 호출되는 윈속 함수를 모니터링하는 단계와, 상기 모니터링 한 함수가 특정 함수인가, 특정한 파라메타를 전달하는 가를 판단한 후 특정 함수 및 특정한 파라메타를 전달하면 인증 수단은 구동하고, 특정 함수가 아니면 윈속 함수 모니터링 위치로 되돌리는 단계와, 인증 서버가 구동되면 응용 서버 주소 관리 수단을 수행하여 응용 서버에 해당하는 인증 서버의 주소를 참조하는 단계와, 상기 인증수단은 참조한 상기 인증 서버 주소로 접속하여 인증을 시도하고, 인증 서버 접속에 실패하면 상기 윈속 함수 모니터링 위치로 되돌리며, 상기 인증 서버의 윈속 데몬은 클라이언트 응용 시스템이 인증하기 위하여 접속을 시도하는가를 모니터링하는 단계와, 상기 인증 서버 접속이 완료되면 상기 인증서버는 상기 클라이언트 응용 시스템 인증하는 동작을 수행하는 단계와, 상기 인증서버의 인증수단이 상기 클라이언트 인증 수단과 연동하여 인증을 완료하면 상기 클라이언트 응용 시스템이 응용 서버를 인증하는 동작을 준비하고, 상기 인증 서버가 클라이언트 응용 시스템 인증하지 못하면 윈속 함수 모니터링 위치로 되돌리는 단계와, 상기 인증 서버가 상기 클라이언트 응용 시스템을 인증하는 동작이 완료 되면 클라이언트 응용 시스템이 인증 서버를 인증하는 동작을 수행하는 단계와, 상기 클라이언트 응용 시스템이 인증 서버를 인증하는 동작이 완료되면 상기 인증 서버의 인증 티켓 수단을 통하여 인증 티켓을 발행하고 서버 인증에 실패하면 윈속 함수 모니터링 위치로 되돌리는 단계와, 상기 클라이언트 응용 시스템의 인증 티켓 관리 수단이 상기 인증 서버로부터 받은 인증 티켓을 관리하는 단계와, 프로그램 실행 위치를 클라이언트 응용 프로그램으로 되돌려 클라이언트 응용 프로그램이 인증 서버의 윈속 대리인에 접속하도록 하는 단계와, 상기 인증 서버의 윈속 대리인은 응용 서버와 클라이언트 응용 시스템을 중계하고, 인증 동작의 각 단계에서 감사 정보를 감사 관리 수단이 클라이언트 응용 시스템의 저장 매체에 기록 관리하는 단계를 포함하여 이루어진 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 서버-클라이언트 응용 프로그램에 독립적인 인증 방법을 실행할 수 있는 데이터가 기록된 컴퓨터의 판독이 가능한 기록매체는 클라이언트 응용 시스템의 인증 수단을 구동한 후 응용 프로그램에 의해 호출되는 윈속 함수를 모니터링하는 단계와, 상기 모니터링 한 함수가 특정 함수인가, 특정한 파라메타를 전달하는 가를 판단한 후 특정 함수 및 특정한 파라메타를 전달하면 인증 수단은 구동하고, 특정 함수가 아니면 윈속 함수 모니터링 위치로 되돌리는 단계와, 인증 서버가 구동되면 응용 서버 주소 관리 수단을 수행하여 응용 서버에 해당하는 인증 서버의 주소를 참조하는 단계와, 상기 인증수단은 참조한 상기 인증 서버 주소로 접속하여 인증을 시도하고, 인증 서버 접속에 실패하면 상기 윈속 함수 모니터링 위치로 되돌리며, 상기 인증 서버의 윈속 데몬은 클라이언트 응용 시스템이 인증하기 위하여 접속을 시도하는가를 모니터링하는 단계와, 상기 인증 서버 접속이 완료되면 상기 인증서버는 상기 클라이언트 응용 시스템 인증하는 동작을 수행하는 단계와, 상기 인증서버의 인증수단이 상기 클라이언트 인증 수단과 연동하여 인증을 완료하면 상기 클라이언트 응용 시스템이 응용 서버를 인증하는 동작을 준비하고, 상기 인증 서버가 클라이언트 응용 시스템 인증하지 못하면 윈속 함수 모니터링 위치로 되돌리는 단계와, 상기 인증 서버가 상기 클라이언트 응용 시스템을 인증하는 동작이 완료 되면 클라이언트 응용 시스템이 인증 서버를 인증하는 동작을 수행하는 단계와,상기 클라이언트 응용 시스템이 인증 서버를 인증하는 동작이 완료되면 상기 인증 서버의 인증 티켓 수단을 통하여 인증 티켓을 발행하고 서버 인증에 실패하면 윈속 함수 모니터링 위치로 되돌리는 단계와, 상기 클라이언트 응용 시스템의 인증 티켓 관리 수단이 상기 인증 서버로부터 받은 인증 티켓을 관리하는 단계와, 프로그램 실행 위치를 클라이언트 응용 프로그램으로 되돌려 클라이언트 응용 프로그램이 인증 서버의 윈속 대리인에 접속하도록 하는 단계와, 상기 인증 서버의 윈속 대리인은 응용 서버와 클라이언트 응용 시스템을 중계하고, 인증 동작의 각 단계에서 감사 정보를 감사 관리 수단이 클라이언트 응용 시스템의 저장 매체에 기록 관리하는 단계를 포함하여 이루어진 것을 특징으로 한다.
도 1은 본 발명에 따른 서버-클라이언트 응용 시스템 구성도.
도 2는 본 발명에 따른 클라이언트 응용 인증 수단의 구성도.
도 3은 인증 서버 수단의 구성도.
도 4는 본 발명에 따른 서버-클라이언트 인증 동작 순서도.
<도면의 주요 부분에 대한 부호 설명>
101 : 클라이언트 응용 102 : 인증 서버
103 : 응용 서버 201 : 윈속함수 가로채기 수단
202 : 클라이언트 인증수단 203 : 인증티켓관리수단
204 : 응용서버주소관리 수단 205 : 감사관리수단
301 : 윈속 데몬 302 : 윈속 대리인
303 : 인증수단 304 : 인증티켓수단
305 : 감사수단 306 : 모니터링 수단
307 : 인증 데이터베이스 308 : 감사 데이터베이스
이하, 첨부한 도면을 참조하여 본 발명을 상세히 설명하면 다음과 같다.
도 1은 본 발명에 따른 서버-클라이언트 응용 시스템 구성도이다.
도 1을 참조하면, 본 발명의 인증 서버는 클라이언트 응용과 응용 서버 사이에 위치하고 네트워크 카드를 두장을 사용하는 듀얼-홈- 호스트 네트워크 구성을 갖는다. 네트워크 서버로 사용되는 시스템은 운영체제 자체의 네트워크 라우팅 기능이 있는데 이 기능을 불능으로 처리한다. 이러한 방법은 클라이언트 응용 시스템과 응용 서버를 물리적으로 네트워크에서 분리하는 효과를 줄 수 있다. 클라이언트 응용 시스템에 적용된 본 발명의 인증 수단은 인증을 제공하고자 하는 클라이언트 응용(101)이 사용하는 윈속 함수를 가로채는 방식으로 윈속 함수를 모니터링하고 있다가 특정한 윈속 함수가 클라이언트 응용에 의해서 호출되고 파라메타로 특정한 응용 서버(103)의 네트워크 주소가 전달되면 클라이언트 인증 수단이 관리하는 응용 서버 주소 관리 수단(204)에서 클라이언트 응용으로부터 전달된 서버 주소 파라메타에 해당되는 인증 서버의 주소를 획득하여 인증 서버(102)에 접속한 후인증을 시도한다. 클라이언트 응용과 인증 서버의 인증 순서는 인증 서버가 클라이언트 응용 시스템을 우선적으로 인증하고 뒤이어 클라이언트 응용 시스템이 인증 서버를 인증한다.
클라이언트 인증 시스템은 인증 서버로부터 인증의 결과로 인증 티켓을 받는다. 인증 티켓은 티켓 관리 수단(203)에 의해서 관리되며, 클라이언트는 응용은 인증 서버로 받은 인증 티켓을 인증 서버의 윈속 대리인(302)에 제출함으로써 응용 서버에 접속하여 서버의 서비스를 받을 수 있다. 이러한 방법은 클라이언트 응용과 응용 서버 사이에 자의적 또는 돌발적인 사고에 의해 접속이 끈긴 뒤 응용 서버에 재접속하고자 할 때 인증 서버로부터 재차 인증을 받아야하는 부담을 줄여주는 효과를 준다.
클라이언트 응용이 사용하는 인증 티켓은 인증 서버가 정한 시간 동안만 유효하며, 인증 티켓의 유효 기간이 경과하면 클라이언트 응용은 응용 서버와 접속 중이라 하더라도 인증 서버로부터 재차 인증을 받고 인증 티켓을 갱신하거나 새로운 인증 티켓을 받아야 한다. 클라이언트 응용 시스템의 인증 수단이 인증 절차를 완료하면 프로세스를 원래의 클라이언트 응용에 되돌리며, 일련의 인증과정을 감사관리수단(205)에 의해 기록한다. 프로세스를 되돌려 받은 클라이언트 응용은 인증 서버의 윈속 대리인(302)에 접속되며, 윈속 대리인은 클라이언트 응용 대신 응용 서버에 접속하여 논리적으로 클라이언트 응용과 응용 서버를 네트워크로 연결한다. 이와 같은 방식으로 클라이언트 응용은 응용 서버에 직접 접속하여 서비스를 받는 것과 같은 효과를 갖는다.
도 2는 본 발명에 따른 클라이언트 응용 인증 수단의 구성도이며, 도 3은 인증 서버 수단의 구성도이다.
도 2 및 3을 참조하면, 클라이언트 응용의 윈속 함수 가로채기 수단(201)은 윈속 함수 호출의 모니터링 및 가로채기를 수행하는 수단이다. 윈속 함수 가로채기 수단(201)은 하나 또는 그 이상의 클라이언트 응용의 윈속 함수 호출 모니터링 기능 및 가로채기 기능을 동시에 수행한다. 모니터링 중에 특정한 윈속 함수의 호출이 발생하면 곧바로 클라이언트 인증 수단(202)이 수행되어 인증 서버와 인증을 수행할 수 있도록 한다. 클라이언트 인증 수단에 의한 인증 과정이 완료되면 윈속 함수 가로채기 수단은 프로세스를 윈속 함수를 호출한 클라이언트로 되돌리는 기능을 수행하여 클라이언트 응용이 응용 서버의 서비스를 받을 수 있도록 한다.
클라이언트 인증 수단(202)은 인증 서버와 양방향 인증을 수행하는 수단이다. 이 수단은 인증의 결과로 인증 서버로부터 인증 티켓을 받으며, 인증 티켓 관리 수단(203)을 통해 인증 티켓을 관리한다. 클라이언트 인증 수단(202)은 인증 서버의 인증 티켓의 제시 요구에 응하여 인증 티켓을 전달하는 기능을 가지며, 인증 서버의 재차 인증에 자동으로 응답하는 기능이 있다. 클라이언트 인증 수단(202)은 접속하고자 하는 인증 서버의 주소를 응용 서버 주소관리 수단로(204)부터 전달 받아 정확한 인증 서버에 접속하여 인증을 해야 하며, 일련의 인증 과정을 감사관리수단(205)에 의해 클라이언트 응용 시스템의 저장매체에 기록할 수 있도록 한다.
클라이언트 인증 수단(202)은 하나의 응용이 동시에 여러 개의 응용 서버에 접속 하고자 하는 것과 하나의 클라이언트 시스템 내의 여러 개의 클라이언트 응용이 동시에 같은 응용 서버에 접속하고자 하는 것을 구별하여 클라이언트 응용 시스템이 인증을 받아야 하는 인증 서버로부터 인증을 획득할 수 있어야 하며, 각각의 인증 결과로 받은 인증 티켓을 관리할 수 있도록 하는 기능을 갖는다.
인증 티켓 관리 수단(203)은 클라이언트 응용 시스템의 인증 티켓 관리 수단은 클라이언트 인증 수단(202)이 획득한 인증 티켓을 종류별로 구분하여 관리하는 기능을 가져야 하며, 인증 서버로부터 받은 인증 티켓이 유효한가를 판단하는 기능을 갖는다. 인증 티켓 관리 수단(203)은 클라이언트 인증 수단(202)이 요구하는 인증 티켓을 정확히 전달하는 기능을 수행한다. 인증 티켓 관리 수단(203)은 주기적으로 관리하는 인증 티켓을 유효 검사를 시행하여 유효하지 않은 인증 티켓을 파기하는 기능을 수행하며, 각 감사 대상 사건들이 감사 관리 수단(205)에 의해 기록될 수 있도록 한다.
응용 서버 주소 관리 수단(204)은 응용 서버의 주소와 응용 서버에 상응하는 인증 서버의 주소를 관리하는 기능을 갖는다. 서로 다른 응용 서버는 서로 다른 인증 서버에 해당될 수 있으며 반대로 여러 개의 응용 서버가 하나의 인증 서버에 해당될 수 있다. 응용 서버 주소 관리 수단(204)은 네트워크 보안 관리자가 작성한 주소 테이블을 주기적으로 관리한다. 또한 필요에 의해서 클라이언트 시스템 사용자에 의해 주소 테이블이 변경될 수 있다. 또한 주소 테이블에 관련된 감사 대상 사건이 발생하면 감사 관리 수단(205)에 의해 클라이언트 시스템에 기록된다.
클라이언트 시스템의 감사 관리 수단(205)은 각 수단이 발생하는 감사 사건들을 클라이언트 시스템의 저장 매체에 기록하고 보안 관리자가 볼 수 있도록 모니터링 기능을 제공한다. 각 감사 사건들은 사건 분류별로 기록한다. 감사 관리 수단(205)은 기록된 감사 사건들을 분류별로 모니터링할 수 있는 기능도 제공한다.
인증 서버의 윈속 데몬(301)은 클라이언트 응용 시스템의 인증 수단이 접속되기를 기다리는 기능을 제공한다. 윈속 데몬(301)은 접속된 클라이언트 인증 수단을 새로운 소켓을 생성하여 인증 서버의 인증 수단(303)과 통신될 수 있도록 하는 데몬 수단이다. 접속된 클라이언트 인증 수단을 인증 서버의 인증 수단에 접속시킨 윈속 데몬(301)은 새로운 클라이언트 인증 수단이 접속할 수 있도록 준비하는 기능을 갖는다.
인증 서버의 윈속 대리인(302)은 물리적으로 분리된 인증된 클라이언트 응용과 응용 서버를 논리적으로 연결하는 기능을 갖는다. 윈속 대리인(302)은 클라이언트 응용에는 응용 서버처럼 반응하고 응용 서버에는 클라이언트 응용처럼 반응하는 기능을 갖는다. 인증 서버의 윈속 대리인에 케시 기능을 부가하면 클라이언트 응용과 응용 서버의 네트워킹의 속도가 향상될 수 있다. 윈속 대리인(302)은 동시에 여러 개의 클라이언트 응용과 응용 서버와 통신할 수 있는 기능을 가지며 신속하고 정확하게 클라이언트 응용과 응용 서버에 응답하여야 한다.
인증 서버의 인증 수단(303)은 클라이언트 응용의 인증 수단과 연동하여 인증을 제공하는 수단이다. 서버의 인증 수단(303)은 하나의 클라이언트 응용의 인증 수단과 인증 동작 중에 다른 클라이언트 응용의 인증 수단(303)과 동작하는 기능을 가지고 있어야 한다. 클라이언트 응용의 인증 수단과 인증의 결과로 인증 티켓 수단(304)을 통하여 인증 티켓을 발행한 후 클라이언트 응용의 인증 수단(303)에 전달하는 기능을 갖는다. 또한 윈속 대리인(302)이 지정한 클라이언트 응용의 인증 수단(303)과 즉각 인증 동작을 수행할 수 있도록 항상 대기 상태에 있어야 한다.
인증 티켓 수단(304)은 인증 서버의 인증 수단(303)의 요청에 의하여 인증 티켓을 발행한다. 인증 티켓 수단(304)은 또한 윈속 대리인에 의해 전달된 인증 티켓의 유효성을 검증하는 기능을 가지며 자신이 발행한 인증 티켓을 클라이언트 응용별로 인증 데이터베이스(307)에 관리한다. 인증 티켓 수단(304)은 인증 티켓의 유효성 검증 결과 인증 티켓이 유효하지 않으면 윈속 대리인(302)에 접속을 끈을 것을 요구하는 기능도 갖는다.
인증 서버의 감사 수단(305)은 각 수단의 동작을 윈속 대리인(302)을 통해 모니터링하여 감사 정보를 감사 데이터베이스(308)에 기록한다. 감사 수단(305)은 또한 인증 서버의 모니터링 수단(306)에 감사 정보를 제시하여 보안 관리자가 항상 인증 서버 및 클라이언트 응용을 감시한다.
도 4는 본 발명에 따른 서버-클라이언트 인증 교환 동작 순서도이다.
도 4를 참조하면,
1. 클라이언트 응용 시스템의 인증 수단을 구동한다.
2. 응용 프로그램에 의해 호출되는 윈속 함수를 모니터링 한다(401).
3. 모니터링 한 함수가 특정 함수인가, 특정한 파라메타를 전달하는 가를 판단한다. 특정 함수이며 특정한 파라메타를 전달하면 인증 수단은 구동한다. 특정 함수가 아니면 윈속 함수 모니터링 위치로 되돌아 간다(402).
4. 인증 서버가 구동 되면(403) 응용 서버 주소 관리 수단을 수행하여 응용서버에 해당하는 인증 서버의 주소를 참조한다(404).
5. 참조한 인증 서버 주소로 인증 수단은 접속하여 인증을 시도한다(405). 인증 서버 접속에 실패하면 윈속 함수 모니터링 위치로 되돌아간다(406).
6. 인증 서버 접속이 완료 되면 서버가 클라이언트를 인증하는 동작이 수행된다. 이때 서버가 클라이언트 응용 시스템을 인증하면 클라이언트 응용 시스템이 응용 서버를 인증하는 동작으로 가고, 인증 서버가 클라이언트 응용 시스템 인증하지 못하면 윈속 함수 모니터링 위치로 되돌아 간다(407).
7. 인증 서버가 클라이언트 응용 시스템을 인증하는 동작이 완료 되면 클라이언트 응용 시스템이 인증 서버를 인증하는 동작을 수행한다(407). 클라이언트 응용 시스템이 인증 서버를 인증하는 동작이 완료되면 인증 서버가 발행한 인증 티켓을 접수한다.(408). 서버 인증에 실패하면 윈속 함수 모니터링 위치로 되돌아 간다.
8. 인증 서버로부터 받은 인증 티켓을 인증 티켓 관리 수단이 관리한다(409).
9. 프로그램 실행 위치를 클라이언트 응용 프로그램으로 되돌려 클라이언트 응용 프로그램이 인증 서버의 윈속 대리인에 접속하도록 한다(410).
10. 인증 동작의 각 단계에서 감사 정보를 감사 관리 수단이 클라이언트 응용 시스템의 저장 매체에 기록 관리 한다.
위와 같은 동작 절차를 따라 클라이언트 응용 시스템의 인증 수단이 동작하고 있을 때 인증 서버의 인증 동작 과정을 설명하면 다음과 같다.
1. 인증 서버의 윈속 데몬을 실행한다.
2. 윈속 데몬은 클라이언트 응용 시스템이 인증하기 위하여 접속을 시도하는 가를 모니터링 한다.클라이언트 응용 시스템의 인증 수단이 인증 접속을 시도하면 인증 서버는 클라이언트 응용 시스템 인증을 시작한다(412).
3. 인증 서버의 인증 수단이 클라이언트 인증 수단과 연동하여 인증을 완료하면 클라이언트 응용 인증 수단이 인증 서버를 인증하는 동작을 준비한다(412).
4. 클라이언트 인증 수단의 인증 서버 인증이 완료되면 인증 티켓 수단을 통하여 인증 티켓을 발행한다(414).
5. 인증 티켓 수단은 인증 티켓을 발행한다(415).
6. 인증 수단은 발행된 인증 티켓을 클라이언트 응용 인증 수단에 전달한다.
7. 인증 수단은 이후 클라이언트 응용의 접속을 윈속 대리인에 인계한다.
8. 윈속 대리인은 클라이언트 응용 시스템에 반응하여 응용 서버와 클라이언트 응용 시스템을 중계한다(416).
상술한 바와같이 본 발명에서의 인증 방법은 이미 개발되거나 또는 향후 개발될 서버-클라이언트 응용 프로그램을 수정 또는 보완하지 않고 인증 방법을 적용하기 위해서는 응용 프로그램이 사용하는 윈속 수단의 함수를 모니터링 하고 있다가 특정한 함수가 호출되는 것과 윈속 함수에 전달되는 파라메타를 기준으로 클라이언트 응용 시스템이 응용 서버에 접속을 시도하는 것을 감지하여 클라이언트 응용에 독립적으로 인증 서버에서 인증을 획득하는 것이다.
또한, 응용 서버 프로그램은 인증된 클라이언트 응용만이 접근할 수 있도록클라이언트 응용 시스템과 응용 서버 사이에 주고 받는 데이터는 모두 인증 서버를 경유할 수 있도록 하는 것이다. 이것은 응용 서버를 클라이언트 응용 시스템이 접속되어 있는 네트워크로부터 물리적으로 분리하는 것으로 인증 서버가 클라이언트 응용 시스템과 응용 서버에 대해서 대리인 역할을 수행하는 것이다.
상술한 바와같이 본 발명은 서버-클라이언트 환경에서 서비스를 제공할 서버가 클라이언트 응용 시스템을 인증 하는 것은 서버가 갖고 있는 자료의 불법 또는 위험 지역으로 유출되는 것을 방지할 수 있다. 또한, 본 발명의 인증 방법은 프로그램 소스 레벨의 변경이나 수정 없이 적용할 수 있는 인증 방법으로 다양한 서버-클라이언트 응용 프로그램에 적용이 가능하며 특히, 클라이언트 응용 시스템과 응용 서버 사이를 물리적인 방법으로 네트워크에서 분리하여 응용 서버로의 불법 접근으로부터 응용 서버를 안전하게 보호할 수 있는 효과가 있다

Claims (4)

  1. 다수개의 클라이언트 응용의 윈속 함수 호출 모니터링 및 가로채기 기능을 수행하는 윈속함수 가로채기 수단과,
    인증 서버의 인증 티켓의 제시 요구에 응하여 인증 티켓을 전달하고 인증 서버의 재차 인증에 자동으로 응답하는 클라이언트 인증 수단과,
    상기 클라이언트 인증 수단이 획득한 인증 티켓을 종류별로 구분하여 관리 하며, 상기 인증 서버로부터 받은 인증 티켓이 유효한가를 판단하는 기능을 수행하는 인증 티켓 관리수단과,
    상기 응용 서버의 주소와 응용 서버에 상응하는 인증 서버의 주소를 관리하는 응용 서버 관리 수단과,
    상기 각 수단들이 발생하는 감사 사건들을 상기 클라이언트 응용 시스템의 저장 매체에 기록하고 보안 관리자가 볼 수 있도록 모니터링 하는 감사 관리 수단과,
    상기 클라이언트 인증수단과 접속되면 새로운 소켓을 생성하는 상기 인증서버의 윈속 데몬과,
    상기 클라이언트 응용과 응용 서버를 논리적으로 연결시키는 상기 인증서버의 윈속 대리인과,
    상기 클라이언트 응용의 인증 수단과 연동하여 인증을 제공하는 인증 서버의 인증 수단과,
    상기 인증 수단의 요청에 의하여 인증 티켓을 발행하고 상기 윈속 대리인에 의해 전달된 인증 티켓의 유효성을 검증하는 인증 서버의 인증 티켓 수단과,
    상기 인증 서버의 각 수단의 동작을 상기 윈속 대리인을 통해 모니터링하여 감사 정보를 감사 데이터베이스에 기록하는 상기 인증 서버의 감사 수단과,
    상기 감사 수단의 감사 정보를 보안 관리자가 항상 상기 인증 서버 및 클라이언트 응용을 감시할 수 있도록 하는 상기 인증 서버의 모니터링 수단을 포함하여 이루어진 것을 특징으로 하는 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템.
  2. 다수개의 클라이언트 응용의 윈속 함수 호출 모니터링 및 가로채기 기능을 수행하는 윈속함수 가로채기 수단과,
    인증 서버의 인증 티켓의 제시 요구에 응하여 인증 티켓을 전달하고 인증 서버의 재차 인증에 자동으로 응답하는 클라이언트 인증 수단과,
    상기 클라이언트 인증 수단이 획득한 인증 티켓을 종류별로 구분하여 관리 하며, 상기 인증 서버로부터 받은 인증 티켓이 유효한가를 판단하는 기능을 수행하는 인증 티켓 관리수단과,
    상기 응용 서버의 주소와 응용 서버에 상응하는 인증 서버의 주소를 관리하는 응용 서버 관리 수단과,
    상기 각 수단들이 발생하는 감사 사건들을 상기 클라이언트 응용 시스템의 저장 매체에 기록하고 보안 관리자가 볼 수 있도록 모니터링 하는 감사 관리 수단과,
    상기 클라이언트 인증수단과 접속되면 새로운 소켓을 생성하는 상기 인증서버의 윈속 데몬과,
    상기 클라이언트 응용과 응용 서버를 논리적으로 연결시키는 상기 인증서버의 윈속 대리인과,
    상기 클라이언트 응용의 인증 수단과 연동하여 인증을 제공하는 인증 서버의 인증 수단과,
    상기 인증 수단의 요청에 의하여 인증 티켓을 발행하고 상기 윈속 대리인에 의해 전달된 인증 티켓의 유효성을 검증하는 인증 서버의 인증 티켓 수단과,
    상기 인증 서버의 각 수단의 동작을 상기 윈속 대리인을 통해 모니터링하여 감사 정보를 감사 데이터베이스에 기록하는 상기 인증 서버의 감사 수단과,
    상기 감사 수단의 감사 정보를 보안 관리자가 항상 상기 인증 서버 및 클라이언트 응용을 감시할 수 있도록 하는 상기 인증 서버의 모니터링 수단을 포함하여 이루어진 것을 특징으로 하는 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템을 가지는 데이터가 기록된 컴퓨터의 판독이 가능한 기록매체.
  3. 클라이언트 응용 시스템의 인증 수단을 구동한 후 응용 프로그램에 의해 호출되는 윈속 함수를 모니터링하는 단계와,
    상기 모니터링 한 함수가 특정 함수인가, 특정한 파라메타를 전달하는 가를 판단한 후 특정 함수 및 특정한 파라메타를 전달하면 인증 수단은 구동하고, 특정함수가 아니면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    인증 서버가 구동되면 응용 서버 주소 관리 수단을 수행하여 응용 서버에 해당하는 인증 서버의 주소를 참조하는 단계와,
    상기 인증수단은 참조한 상기 인증 서버 주소로 접속하여 인증을 시도하고, 인증 서버 접속에 실패하면 상기 윈속 함수 모니터링 위치로 되돌리며, 상기 인증 서버의 윈속 데몬은 클라이언트 응용 시스템이 인증하기 위하여 접속을 시도하는가를 모니터링하는 단계와,
    상기 인증 서버 접속이 완료되면 상기 인증서버는 상기 클라이언트 응용 시스템 인증하는 동작을 수행하는 단계와,
    상기 인증서버의 인증수단이 상기 클라이언트 인증 수단과 연동하여 인증을 완료하면 상기 클라이언트 응용 시스템이 응용 서버를 인증하는 동작을 준비하고, 상기 인증 서버가 클라이언트 응용 시스템 인증하지 못하면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    상기 인증 서버가 상기 클라이언트 응용 시스템을 인증하는 동작이 완료 되면 클라이언트 응용 시스템이 인증 서버를 인증하는 동작을 수행하는 단계와, 상기 클라이언트 응용 시스템이 인증 서버를 인증하는 동작이 완료되면 상기 인증 서버의 인증 티켓 수단을 통하여 인증 티켓을 발행하고 서버 인증에 실패하면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    상기 클라이언트 응용 시스템의 인증 티켓 관리 수단이 상기 인증 서버로부터 받은 인증 티켓을 관리하는 단계와,
    프로그램 실행 위치를 클라이언트 응용 프로그램으로 되돌려 클라이언트 응용 프로그램이 인증 서버의 윈속 대리인에 접속하도록 하는 단계와,
    상기 인증 서버의 윈속 대리인은 응용 서버와 클라이언트 응용 시스템을 중계하고, 인증 동작의 각 단계에서 감사 정보를 감사 관리 수단이 클라이언트 응용 시스템의 저장 매체에 기록 관리하는 단계를 포함하여 이루어진 것을 특징으로 하는 서버-클라이언트 응용 프로그램에 독립적인 인증 방법.
  4. 클라이언트 응용 시스템의 인증 수단을 구동한 후 응용 프로그램에 의해 호출되는 윈속 함수를 모니터링하는 단계와,
    상기 모니터링 한 함수가 특정 함수인가, 특정한 파라메타를 전달하는 가를 판단한 후 특정 함수 및 특정한 파라메타를 전달하면 인증 수단은 구동하고, 특정 함수가 아니면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    인증 서버가 구동되면 응용 서버 주소 관리 수단을 수행하여 응용 서버에 해당하는 인증 서버의 주소를 참조하는 단계와,
    상기 인증수단은 참조한 상기 인증 서버 주소로 접속하여 인증을 시도하고, 인증 서버 접속에 실패하면 상기 윈속 함수 모니터링 위치로 되돌리며, 상기 인증 서버의 윈속 데몬은 클라이언트 응용 시스템이 인증하기 위하여 접속을 시도하는가를 모니터링하는 단계와,
    상기 인증 서버 접속이 완료되면 상기 인증서버는 상기 클라이언트 응용 시스템 인증하는 동작을 수행하는 단계와,
    상기 인증서버의 인증수단이 상기 클라이언트 인증 수단과 연동하여 인증을 완료하면 상기 클라이언트 응용 시스템이 응용 서버를 인증하는 동작을 준비하고, 상기 인증 서버가 클라이언트 응용 시스템 인증하지 못하면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    상기 인증 서버가 상기 클라이언트 응용 시스템을 인증하는 동작이 완료 되면 클라이언트 응용 시스템이 인증 서버를 인증하는 동작을 수행하는 단계와, 상기 클라이언트 응용 시스템이 인증 서버를 인증하는 동작이 완료되면 상기 인증 서버의 인증 티켓 수단을 통하여 인증 티켓을 발행하고 서버 인증에 실패하면 윈속 함수 모니터링 위치로 되돌리는 단계와,
    상기 클라이언트 응용 시스템의 인증 티켓 관리 수단이 상기 인증 서버로부터 받은 인증 티켓을 관리하는 단계와,
    프로그램 실행 위치를 클라이언트 응용 프로그램으로 되돌려 클라이언트 응용 프로그램이 인증 서버의 윈속 대리인에 접속하도록 하는 단계와,
    상기 인증 서버의 윈속 대리인은 응용 서버와 클라이언트 응용 시스템을 중계하고, 인증 동작의 각 단계에서 감사 정보를 감사 관리 수단이 클라이언트 응용 시스템의 저장 매체에 기록 관리하는 단계를 포함하여 이루어진 것을 특징으로 하는 서버-클라이언트 응용 프로그램에 독립적인 인증 방법을 실행할 수 있는 데이터가 기록된 컴퓨터의 판독이 가능한 기록매체.
KR1019990036259A 1999-08-30 1999-08-30 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법 KR100341852B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1019990036259A KR100341852B1 (ko) 1999-08-30 1999-08-30 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1019990036259A KR100341852B1 (ko) 1999-08-30 1999-08-30 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법

Publications (2)

Publication Number Publication Date
KR20010019705A KR20010019705A (ko) 2001-03-15
KR100341852B1 true KR100341852B1 (ko) 2002-06-26

Family

ID=19609202

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990036259A KR100341852B1 (ko) 1999-08-30 1999-08-30 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법

Country Status (1)

Country Link
KR (1) KR100341852B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100431215B1 (ko) * 2002-02-25 2004-05-12 포디홈네트(주) 홈 게이트웨이에서 네트워크 서비스를 인증받는 방법 및이러한 인증을 중계하는 방법
KR100447623B1 (ko) * 2002-01-31 2004-09-07 학교법인고려중앙학원 무선 인터넷에서의 티켓 기반 인증 및 지불 방법
KR100465301B1 (ko) * 1999-11-22 2005-01-13 엘지전자 주식회사 유닉스 서버를 위한 사용자 인증 인터페이스 시스템 및 그 방법

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100431210B1 (ko) * 2002-08-08 2004-05-12 한국전자통신연구원 공개키 기반구조에서 인증서 정책 및 인증서 정책사상을이용한 인증서 검증서버에서의 인증서 검증방법

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06284124A (ja) * 1993-03-24 1994-10-07 Rooreru Intelligent Syst:Kk 情報伝送システム
JPH0766803A (ja) * 1993-08-23 1995-03-10 Hitachi Ltd 同報暗号通信方法およびシステム
KR19980070202A (ko) * 1997-01-28 1998-10-26 포맨제프리엘 쿠키를 이용한 분산형 파일 시스템 웹 서버 사용자 인증 방법
KR19990038925A (ko) * 1997-11-07 1999-06-05 정선종 분산 환경에서 안전한 양방향 인증 방법
KR19990047336A (ko) * 1997-12-03 1999-07-05 정선종 안전한 객체 기반 분산 처리 시스템의 인증 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH06284124A (ja) * 1993-03-24 1994-10-07 Rooreru Intelligent Syst:Kk 情報伝送システム
JPH0766803A (ja) * 1993-08-23 1995-03-10 Hitachi Ltd 同報暗号通信方法およびシステム
KR19980070202A (ko) * 1997-01-28 1998-10-26 포맨제프리엘 쿠키를 이용한 분산형 파일 시스템 웹 서버 사용자 인증 방법
KR19990038925A (ko) * 1997-11-07 1999-06-05 정선종 분산 환경에서 안전한 양방향 인증 방법
KR19990047336A (ko) * 1997-12-03 1999-07-05 정선종 안전한 객체 기반 분산 처리 시스템의 인증 방법

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100465301B1 (ko) * 1999-11-22 2005-01-13 엘지전자 주식회사 유닉스 서버를 위한 사용자 인증 인터페이스 시스템 및 그 방법
KR100447623B1 (ko) * 2002-01-31 2004-09-07 학교법인고려중앙학원 무선 인터넷에서의 티켓 기반 인증 및 지불 방법
KR100431215B1 (ko) * 2002-02-25 2004-05-12 포디홈네트(주) 홈 게이트웨이에서 네트워크 서비스를 인증받는 방법 및이러한 인증을 중계하는 방법

Also Published As

Publication number Publication date
KR20010019705A (ko) 2001-03-15

Similar Documents

Publication Publication Date Title
US10693916B2 (en) Restrictions on use of a key
US10003458B2 (en) User key management for the secure shell (SSH)
US7607140B2 (en) Device management system
US6513121B1 (en) Securing feature activation in a telecommunication system
US8918856B2 (en) Trusted intermediary for network layer claims-enabled access control
US20080148046A1 (en) Real-Time Checking of Online Digital Certificates
EP1814255A1 (en) System and method for realizing the security management in 3g mobile communication network
US8869234B2 (en) System and method for policy based privileged user access management
CN1981277A (zh) 隔离系统
US20130046987A1 (en) Apparatus and Method for Performing End-to-End Encryption
CN111737232A (zh) 数据库管理方法、系统、装置、设备及计算机存储介质
KR100868037B1 (ko) 데이터베이스 접속 통제 방법 및 시스템
KR100341852B1 (ko) 서버-클라이언트 응용 프로그램에 독립적인 인증 시스템 및 인증 방법
CN112347440A (zh) 一种工控设备的用户访问权限分置系统及其使用方法
KR102284183B1 (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
KR100243657B1 (ko) 정보 검색 시스템에서의 보안 유지 방법
RU2504835C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну
KR100705145B1 (ko) 소프트웨어 임대사업의 인증처리에 있어서 스마트 카드방식의 인증키를 이용한 인증 시스템 및 방법
US8893245B2 (en) Method and device for propagating session management events
RU2504834C1 (ru) Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20090324

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee