KR100432103B1 - 인증 및 권한 인가 서비스 시스템 - Google Patents

인증 및 권한 인가 서비스 시스템 Download PDF

Info

Publication number
KR100432103B1
KR100432103B1 KR10-2001-0053549A KR20010053549A KR100432103B1 KR 100432103 B1 KR100432103 B1 KR 100432103B1 KR 20010053549 A KR20010053549 A KR 20010053549A KR 100432103 B1 KR100432103 B1 KR 100432103B1
Authority
KR
South Korea
Prior art keywords
public key
user
authority
certificate
key certificate
Prior art date
Application number
KR10-2001-0053549A
Other languages
English (en)
Other versions
KR20030018946A (ko
Inventor
원유재
김기수
김봉환
문종철
박기성
박대하
Original Assignee
주식회사 안랩유비웨어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩유비웨어 filed Critical 주식회사 안랩유비웨어
Priority to KR10-2001-0053549A priority Critical patent/KR100432103B1/ko
Publication of KR20030018946A publication Critical patent/KR20030018946A/ko
Application granted granted Critical
Publication of KR100432103B1 publication Critical patent/KR100432103B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/006Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

인증 및 권한 인가 서비스 시스템이 개시되어 있다. 본 발명에 따르면, 공개키 인증서 발급 시스템에 기반하여 사용자 공개키 인증서 저장기능을 포함하는 사용자 단말기; 인증서 발급 기능과 더불어 폐기된 공개키 인증서를 목록화한 공개키 인증서 폐기 목록 정보를 생성하는 공개키 인증서 발급 서버; 접근 통제 규칙에 따른 사용자 권한 할당 정보를 생성하는 보안 서버; 폐기된 권한 인증서를 목록화한 권한 인증서 폐기 목록 정보를 생성하는 권한 인증서 발급 서버; 공개키 인증서 폐기 목록 정보 및 권한 인증서 폐기 목록 정보를 수신 저장하는 디렉토리 서버; 및 공개키 인증서와 공개키 인증서 폐기 목록 정보를 상호 비교하여 상기 사용자 공개키 인증서의 유효성 여부를 판단하고, 권한 인증서 발급 정보와 상기 권한 인증서 폐기 목록 정보를 상호 비교하여 상기 권한 인증서 발급 정보의 유효성 여부를 판단하여, 판단 결과에 따라 사용자 단말기로 권한 할당에 대응한 서비스 정보를 제공하는 서비스 서버;로 이루어져, 다양한 서비스와 다중 사용자 환경에서 서비스가 사용자를 인증하고, 사용자의 권한 정보에 따라 사용자 접근 제어가 가능하고, 사용자는 서비스를 인증함에 따라 정보 교류의 안정성을 확보할 수 있는 효과가 있다.

Description

인증 및 권한 인가 서비스 시스템{AN AUTHENTICATION AND AUTHORIZATION SERVICE SYSTEM}
본 발명은 정보 보안 서비스에 관한 것으로, 보다 상세히는 사용자와 서비스간의 상호 인증 및 권한 인가를 통해 서비스와 해당 서비스 사용을 위한 권한을 안전하게 이용하고 관리하기 위한 인증 및 권한 인가 서비스 시스템에 관한 것이다.
일반적으로, 인터넷의 발전과 더불어 정보 통신 서비스가 다양하게 제공됨에 따라, 사이버 범죄 또한 증가 추세에 있으며, 사이버 범죄 방지를 위한 인증 기술이 지속적으로 발전하고 있다. 이러한 인증 기술은 아이디/패스워드를 이용한 인증 방법이 있는데, 이러한 아이디/패스워드를 이용한 인증은 사용자가 미리 할당받은 아이디를 가지고 접속하여 자신만이 알고 있는 패스워드를 입력하므로써 자신을 인증하는 방식이다. 그러나, 상기 방식은 다수의 서비스 사용시 패스워드 관리가 어려울 뿐만 아니라 패스워드를 분실했을 경우 모든 정보를 빼앗길 수 있는 위험이 있다.
또한, 아이디/패스워드를 통해 서버가 사용자를 인증할 수 있다 하더라도, 사용자가 서버를 인증할 수 있는 방안이 없기 때문에 상호 인증이 이루어지지 못한다는 문제점이 발생하고 있다.
한편, 인가 기술에는 권한 인가 기술이 있는데, 이는 커버로스(KERBEROS) 시스템을 이용한 방식이 주류를 이루고 있으며, DCE(Distributed Computing Environment)가 대표적인 권한 인가 기술로 사용되고 있다. DCE는 사용자의 서비스 요청을 받으면 사용자의 권한을 확인한 뒤 사용자에게 서비스를 사용할 수 있는 티켓을 발행하고, 사용자는 발행 받은 티켓을 서비스 제공자에게 전송하므로써 서비스를 이용하는 방식이다.
그러나, 이와 같은 DCE 방식은 중앙에서 관리하기 쉬운 장점을 갖고 있지만, 중앙 서버의 부담이 크고 컴퓨터 네트워크 환경 이외의 대상에 적용하기 어렵다는문제점을 갖고 있다.
본 발명은 이와 같은 문제점을 해결하기 위해 창출된 것으로, 본 발명의 목적은 서비스 제공자와 사용자간의 상호 인증을 포함한 권한 인가를 통해 사용자별 서비스의 접근 통제를 제어하여 서비스 제공의 안정성을 확보할 수 있는 인증 및 권한 인가 서비스 시스템을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명의 관점에 따른 인증 및 권한 인가 서비스 시스템은, 통신망; 공개키 인증서 발급 서버에서 제공된 사용자 공개키 인증서를 저장할 수 있는 사용자 단말기; 상기 사용자 단말기로 부터 전송되는 공개키 인증서 발급 요청 정보에 기초하여 공개키 인증서를 생성 및 폐기하며, 상기 폐기된 공개키 인증서를 목록화한 공개키 인증서 폐기 목록 정보를 디렉토리 서버로 전송하고, 상기 생성된 공개키 인증서를 상기 통신망을 통해 상기 사용자 단말기로 전송하는 공개키 인증서 발급 서버; 상기 사용자 단말기로부터 상기 공개키 인증서를 수신하고 보안 서버 공개키 인증서를 상기 사용자 단말기로 전송하며, 사용자 단말기와의 상호 인증 완료에 따라 사용자 등록을 이행하며, 접근 제어 관리 모듈에 기반하여 상기 사용자 등록 정보에 기초한 접근 통제 규칙을 정의 및 공지하며, 상기 사용자 단말기로부터 권한 인증서 요청 정보를 수신하여 상기 접근 통제 규칙에 따른 사용자 권한 할당 정보를 생성하고, 권한 인증서 발급 대행 모듈을 통해 권한 인증서 발급 요청 정보를 생성하는 보안 서버; 상기 권한 할당 정보에 기초하여 권한 인증서를 생성 및 폐기하며, 상기 폐기된 권한 인증서를 목록화한 권한 인증서 폐기 목록 정보를 디렉토리 서버로 전송하고, 상기 권한 인증 발급 요청 정보 수신에 따라 상기 권한 인증서를 상기 통신망을 통해 상기 사용자 단말기로 제공하는 권한 인증서 발급 서버; 상기 공개키 인증서 발급 서버 및 상기 권한 인증서 발급 서버로부터 제공된 상기 공개키 인증서 폐기 목록 정보 및 상기 권한 인증서 폐기 목록 정보를 게시하는 디렉토리 서버; 및 상기 사용자 단말기로부터 서비스 요청 정보가 수신되면 상기 보안 서버로 서비스 등록 요청 정보를 전송하고, 상기 보안 서버로부터 상기 접근 통제 규칙에 따른 권한 할당 정보를 수신한 후, 상기 사용자 단말기로 상기 사용자 공개키 인증서를 요구 및 수신하여, 상기 디렉토리 서버로 부터 상기 공개키 인증서 폐기 목록 정보를 페치한 후 상기 수신된 사용자 공개키 인증서와 상기 공개키 인증서 폐기 목록 정보를 상호 비교하여 상기 사용자 공개키 인증서의 유효성 여부를 판단하되, 상기 사용자 공개키 인증서가 유효하지 않은 경우, 사용 불가 메시지 전송하고 현 세션을 종료하며, 상기 사용자 공개키 인증서가 유효한 경우, 상기 사용자 단말기로부터 상기 권한 인증서 발급 정보를 요구하고, 상기 권한 인증서 발급 정보 수신에 응답하여 상기 디렉토리 서버로부터 상기 권한 인증서 폐기 목록 정보를 페치한 후, 상기 권한 인증서 발급 정보와 상기 권한 인증서 폐기 목록 정보를 상호 비교하여 상기 권한 인증서의 유효성 여부를 판단하고, 상기 판단 결과에 따라 상기 사용자 단말기로 권한 할당에 대응한 서비스 정보를 제공하는 서비스 서버를 포함하는 것을 특징으로 한다.
도 1은 본 발명에 따른 시스템 구성도이고,
도 2는 본 발명에 따른 인증 서비스를 위한 시스템의 동작 순서도이며,
도 3은 본 발명에 따른 서비스 서버의 동작을 나타낸 플로우챠트이다.
<도면의 주요 부분에 대한 부호의 설명>
101 : 통신망 103 : 사용자 단말기
105 : 공개키 인증서 발급 서버 107 : 권한 인증서 발급 서버
109 : 보안 서버 111 : 디렉토리 서버
113 : 서비스 서버 115 : 서비스 관리 모듈
117 : 권한 인증서 검증 대행 모듈 119 : 권한 인증서 폐기 목록 정보
121 : 공개키 인증서 폐기 목록 정보 123 : 권한 인증서 발급 대행 모듈
125 : 접근 제어 관리 모듈 127 : 도메인 보안 관리 모듈
이하, 본 발명을 첨부된 예시도면에 의거 상세히 설명하면 다음과 같다. 도 1은 본 발명의 인증 및 권한 인가 서비스 시스템을 나타낸 전체 구성도이다. 도 2는 본 발명에 따른 인증 서비스를 위한 상기 시스템의 동작 순서도이다. 예시도면을 참조하면, 본 발명에 따른 인증 및 권한 인가 서비스 시스템은 유무선 이동 통신 단말기를 포함하는 사용자 단말기(103), 공개키 인증서 발급 서버(105), 권한 인증서 발급 서버(107), 보안서버(109), 서비스 서버(113) 및 통신망(101)으로 구성된다.
상기 보안 서버(109)는 권한 인증서 발급 대행 모듈(123), 접근 제어 관리 모듈(125), 도메인 보안 관리 모듈(127)로 구성되며, 상기 서비스 서버(113)는 서비스 관리 모듈(115), 권한 인증서 검증 대행 모듈(117)을 포함하고, 디렉토리 서버(111)와 연동된다. 디렉토리 서버(111)는 권한 인증서 폐기 목록(119) 및 공개키 인증서 폐기 목록(121)을 게시한다.본 발명에 따른 인증 및 권한 인가 서비스 시스템은, (a) 사용자 단말기가 공개키 인증서 발급 서버로부터 공개키 인증서를 발급받는 과정, (b) 사용자 단말기 및 보안 서버가 상대의 공개키 인증서를 검증하여 상호 인증함으로써 사용자가 보안 서버에 대하여 사용자 등록을 수행하는 과정, (c) 보안 서버가 사용자 등록에 따라 접근 제어 관리 모듈을 구동시켜 사용자 정보에 기초한 접근 통제 규칙을 설정하는 과정, (d) 보안 서버가 사용자 단말기로 권한 할당 정보를 제공하는 과정, (e) 사용자 단말기가 권한 할당 정보에 기초하여 권한 인증서 발급 서버로부터 권한 인증서를 발급 받는 과정 (f) 사용자 단말기 및 서비스 서버가 상대의 공개키 인증서를 검증하여 상호 인증을 수행하는 과정, (g) 서비스 서버가 사용자 단말기로부터 전송된 권한 인증서를 검증하고 권한 할당 정보에 기초하여 사용자에게 서비스를 제공하는 과정을 수행한다.
우선, 사용자는 인증서 발급을 위해 인증서 발급 기관에 대해 사용자 등록을 수행하고 인증서 발급 요청 후 인증서를 발급받는다. 이를 상세히 설명하면, 사용자는 공개키 인증서 발급 서버(105)에 사용자 등록을 수행한 후 사용자 등록 과정에서 받은 인가 코드를 이용하여 공개키 인증서를 발급 받는다. 등록된 사용자는 제공된 인가 코드와 공개키를 통해 공개키 인증서 발급 요청 정보(131)를 공개키 인증서 발급 서버(105)로 전송한다(S201). 공개키 인증서 발급 서버(105)는 사용자의 공개키 인증서 발급 요청 정보(131)에 기초하여 인증서 요구 메시지의 유효성을 검증한 후 사용자에게 공개키 인증서(133)를 발급한다(S203).
그 후, 사용자는 서비스 사용을 위해 서비스가 속해 있는 보안 서버에 사용자 등록을 수행한다. 상기의 등록 과정은 웹사이트에 등록하는 과정과 유사하며, 만약 회사내에서 사용할 경우 사용자가 직원으로서 등록되어 있으므로 사용자 등록과정이 생략될 수 있다. 이를 상세히 설명하면, 사용자 단말기(103)는 상기 공개키 인증서(133)를 보안 서버(109)로 전송하여 인증을 요구하며, 상기 보안 서버(109)는 보안 서버의 공개키 인증서를 사용자 단말기(103)로 전송하므로서, 상호 인증을 수행한다(S205). 상호 인증 과정은 사용자 단말기(103)와 보안 서버(109)가 서로에 대한 인증 절차를 거치는 것으로, 보안 서버(109)는 공개키 인증서 발급 서버(105)가 발급한 사용자의 공개키 인증서(133)를 검증(유효한 인증서인지 확인)하고 마찬가지로 사용자는 공개키 인증서 발급 서버(105)가 발급한 보안 서버(109)의 공개키 인증서를 검증함으로써 이루어진다.공개키 인증서의 검증 방법으로서 공지된 일 실시예는 다음과 같다. 우선, 공개키 인증서에 들어 있는 공개키 인증서 발급 서버(105)의 전자서명값을 검증하여 해당 공개키 인증서 발급 서버(105)가 발급한 인증서임을 확인하다. 그리고, 공개키 인증서의 유효기간을 확인한다. 공개키 인증서가 유효한지 검증하기 위해 디렉토리 서버로부터 공개키 인증서 폐기 목록을 전송받아 비교함으로써 해당 공개키 인증서가 들어 있는지를 확인한다. 만약, 공개키 인증서 폐기 목록에 해당 공개키 인증서가 들어 있지 않으면 유효한 인증서로 인정한다.이러한, 상호 인증을 수행함으로써 사용자와 보안 서버(109)는 서로에 대하여 신뢰(통신하고 있는 상대방이 진정한 것으로 신뢰)하게 된다. 사용자 단말기(103)와 보안 서버(109)간의 상호 인증 절차를 완료하면, 사용자는 보안 서버(109)에 사용자 등록이 이루어진다 (S207).이러한 공개키 인증서 발급 및 상호 인증에 관한 보다 상세한 내용은 X.509 표준 스펙을 참조할 수 있으므로, 본 명세서에서는 구체적 설명을 생략한다.
보안 서버(109)는 사용자 등록에 따라 접근 제어 관리 모듈(125)을 구동시켜, 사용자 정보에 기초한 접근 통제 규칙을 설정한다. 접근 통제 규칙은 사용자의 인적정보, 특정 관리인의 설정 정보 등에 의거 설정된다. 예컨대, 접근 통제 규칙은 회사내 어플리케이션의 경우 "인사 시스템은 인사 담당자만이 접근 가능하고 공개 게시판은 모든 사용자가 접근 가능하다"라고 설정될 수 있으며, 일반 웹 사이트의 경우 "성인 컨텐츠에 미성년자는 접근이 불가능하다"라고 설정될 수 있다. 설정된 접근 통제 규칙 정보는 사용자 단말기(103)로 전송되고, 사용자는 접근 통제 규칙을 인지하게 된다.(S209). 사용자는 상기 접근 통제 규칙을 확인하고, 사용자 인적 정보를 보안 서버(109)로 전송한다. 사용자 인적 정보의 예로는, 공지된 바와 같이, 회사내 어플리케이션의 경우 사번, 소속부서, 업무 등이 될 수 있고, 웹 사이트의 경우 주민등록번호, 주소 등이 될 수 있다. 보안 서버(109)는 이를 확인하여 사용자 조건에 맞는 권한을 할당한다. 사용자의 권한은 컴퓨터 환경에서 일반적으로 사용되고 있는 접근제어메커니즘의 일부 정보를 이용할 수 있다. 즉, 접근제어리스트(ACL)에서 사용하는 그룹이나 역할기반접근제어(RBAC)에서 사용하는 역할 등이 사용자의 권한으로 사용될 수 있다. 상기 권한 할당은 사용자가 통신 정보를 접속하기 위한 허가 여부를 설정하는 것으로, 예컨대 사용자의 인적 정보에 기초하여 미성년자일 경우 특정 인터넷 사이트 접속을 불허할 수 있으며, 사회집단의 계급/역할에 따라 사용가능한 정보를 설정할 수 있는 것이다. 권한의 예로는 "인사 담당자; 회계 담당자", "사원; 대리; 과장; 부장", "정회원; 부회원; 특별회원", "성년자; 미성년자" 등을 들 수 있다.
보안 서버(109)에서 설정한 권한 할당 정보는 사용자 단말기(103)로 제공되며(S213), 사용자는 상기 권한 할당 정보를 확인하고 상기 권한 할당 정보에 기초하여 권한 인증서 발급을 요청할 수 있다. 사용자의 권한 인증서 발급 요청에 따른 권한 인증서 발급 요청 정보(137)는 상기 보안 서버(109)로 전송되며, 보안 서버(109)는 권한 인증서 발급 대행 모듈(123)을 통해 상기 권한 인증서 발급 서버(107)와 접속한다(S215).
상기 권한 인증서 발급 대행 모듈(123)은 권한 인증서 발급 기관의 권한 인증서 발급 서버(107)로 기 설정된 권한 할당 정보의 인증을 위한 소정의 인증 절차를 거쳐 권한 인증서 발급 신청을 수행한다. 권한 인증서 발급 서버(107)는 권한 인증서(135)를 발급하여 사용자 단말기(103)로 전송한다. 사용자는 상기한 공개키인증서(133) 및 권한 인증서(135)를 통해 서비스를 이용하는 것이다.
이하에서는, 도 1 및 도 3을 참조하여 서비스 이용을 설명한다. 도 3은 서비스 서버(113)의 동작을 나타낸 플로우챠트이다. 서비스 서버(113)는 웹 서버 또는 일반 어플리케이션이 될 수 있다. 이에 따라, 서비스는 웹 서버의 경우 웹 서버에서 제공하는 웹 페이지 또는 메뉴 형태로 제공되는 기능 등이 될 수 있으며, 어플리케이션의 경우 어플리케이션 자체 또는 어플리케이션이 제공하는 메뉴 등이 될 수 있다. 즉, 서비스 서버(113)는 서비스 대상이 되는 프로그램을 탑재하고 이를 관리하기 위한 서비스 관리 모듈(115)을 구동시키므로써 서비스 생성이 이루어진다(S301).
서비스 생성이 완료되면, 서비스 서버(113)는 서비스의 인증을 위한 서버 공개키 인증서를 보안 서버(109)로 전송하여 보안 서버(109)와의 상호 인증 절차를 거침으로서, 서비스 서버(113)는 보안 서버(109)로 서비스 등록을 이행한다(S305). 그리고, 보안 서버(109)의 접근 제어 관리 모듈(125)을 통해 서비스 서버(113)에 접근 통제 규칙을 할당한다. 이는 다수의 클라이언트별로 할당되는 권한 할당 정보(141)를 접수하여 각 클라이언트별로 접근 통제가 이루어지도록 하는 것이다(S307). 즉, 접근 통제 규칙은 특정 서비스에 대해 특정 권한을 가진 사용자만이 이를 이용할 수 있다는 표현으로, 예컨대 인사 시스템의 '인사고과보기'라는 서비스는 '인사 담당자'만이 이용할 수 있는 것이다.
한편, 디렉토리 서버(111)는 상기 공개키 인증서 발급 서버(105)로부터 공개키 인증서의 폐기 목록 정보를 수신하고 상기 권한 인증서 발급 서버(107)로부터 권한 인증서 폐기 목록 정보를 수신하여, 공개키 인증서 및 권한 인증서의 폐기 목록 정보를 게시한다. 그리고, 서비스 서버(113)는 상기 디렉토리 서버(111)를 통해 공개키 인증서 및 권한 인증서의 폐기 목록을 검토함으로써 사용자의 공개키 인증서(133) 및 권한 인증서(135)의 유효성 여부를 판단한다.
사용자가 서비스를 사용하기 위해 서비스 서버(113)로 서비스 요청 정보 (139)를 전송할 경우(S309), 서비스 서버(113)는 사용자 단말기(103)로 부터 공개키 인증서(133)를 접수하고 서버 공개키 인증서(133)를 사용자 단말기(103)로 전송한다(S311).
사용자는 상기 디렉토리 서버(111)의 공개키 인증서 폐기 목록 정보를 기초로 서비스 서버(113)로 부터 수신된 서버 공개키 인증서(133)를 검증하고, 마찬가지로 서비스 서버(113)는 디렉토리 서버(111)의 공개키 인증서 폐기 목록 정보를 기초로 사용자 단말기(103)로부터 수신된 사용자의 공개키 인증서(133)를 검증하므로써, 상호 인증을 수행한다(S313).
즉, 상기 서버 공개키 인증서 및 사용자 공개키 인증서는 쌍방의 공개키를 이용하여 각 인증서를 검증하는 것으로, 서비스 서버(113)는 디렉토리 서버(111)의 공개키 인증서 폐기 목록(121)을 통해 사용자의 공개키 인증서가 유효한 지를 판단하며, 사용자는 공개키 인증서 폐기 목록을 통해 서비스 서버(113)의 공개키 인증서가 유효한 지를 검증한다.
상기 검증을 통해 상호 인증이 되지 않는 경우에는 세션을 종료하며, 상호 인증이 완료된 경우에는 사용자는 권한 인증서를 서비스 서버(113)로 전송한다 (S315). 서비스 서버(113)는 사용자의 권한 인증서를 수신하고(S315), 디렉토리 서버(111)의 권한 인증서 폐기 목록(119)을 패치하여 사용자의 권한 인증서의 적법 여부를 판단한다. 즉, 서비스 서버(113)는 사용자 단말기(103)로부터 수신된 권한 인증서의 검증을 수행한다(S316). 권한 인증서의 검증은 전술한 공개키 인증서의 검증과 유사한 것으로, 예컨대 권한 인증서에 있는 권한 인증서 발급 서버의 전자서명값을 검증하고 유효기간을 확인하며 권한 인증서 폐기 목록을 검색하여 유효성을 검사한다.
사용자의 권한 정보 변경 등으로 인하여 권한 인증서가 유효하지 못한 경우에는 이에 상응한 메시지를 사용자 단말기(103)로 전송하므로써 권한 인증서의 재발급을 요구한 후 세션을 종료하며, 반대로 사용자의 권한 정보가 적법한 경우에는 권한 할당 정보(141)에 기초한 서비스를 제공한다(S317).
이상 설명한 바와 같이, 본 발명에 따른 인증 및 권한 인가 서비스 시스템은 다양한 서비스와 다중 사용자 환경에서 서비스는 사용자를 인증하고 사용자의 권한 정보에 따라 사용자 접근 제어가 가능하고, 사용자는 서비스를 인증함에 따라 정보 교류의 안정성을 확보할 수 있는 효과가 있다. 또한, 다양한 서비스에 대한 적용이 가능하여 실용성이 향상되며, 특정 서비스에 특정화된 인증, 권한 인가 기법 등을 새로 개발해야 하는 부담이 줄여 경제성이 증대되는 효과가 있다.
이상에서 설명한 것은 본 발명에 따른 인증 및 권한 인가 서비스 시스템을 실시하기 위한 하나의 실시예에 불과한 것으로, 본 발명은 상기한 실시예에 한정되지 않고, 이하의 특허청구범위에서 청구하는 바와 같이 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변경 실시가 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.

Claims (3)

  1. 통신망;
    공개키 인증서 발급 서버에서 제공된 사용자 공개키 인증서를 저장할 수 있는 사용자 단말기;
    상기 사용자 단말기로 부터 전송되는 공개키 인증서 발급 요청 정보에 기초하여 공개키 인증서를 생성 및 폐기하며, 상기 폐기된 공개키 인증서를 목록화한 공개키 인증서 폐기 목록 정보를 디렉토리 서버로 전송하고, 상기 생성된 공개키 인증서를 상기 통신망을 통해 상기 사용자 단말기로 전송하는 공개키 인증서 발급 서버;
    상기 사용자 단말기로부터 상기 공개키 인증서를 수신하고 보안 서버 공개키 인증서를 상기 사용자 단말기로 전송하며, 사용자 단말기와의 상호 인증 완료에 따라 사용자 등록을 이행하며, 접근 제어 관리 모듈에 기반하여 상기 사용자 등록 정보에 기초한 접근 통제 규칙을 정의 및 공지하며, 상기 사용자 단말기로부터 권한 인증서 요청 정보를 수신하여 상기 접근 통제 규칙에 따른 사용자 권한 할당 정보를 생성하고, 권한 인증서 발급 대행 모듈을 통해 권한 인증서 발급 요청 정보를 생성하는 보안 서버;
    상기 권한 할당 정보에 기초하여 권한 인증서를 생성 및 폐기하며, 상기 폐기된 권한 인증서를 목록화한 권한 인증서 폐기 목록 정보를 디렉토리 서버로 전송하고, 상기 권한 인증 발급 요청 정보 수신에 따라 상기 권한 인증서를 상기 통신망을 통해 상기 사용자 단말기로 제공하는 권한 인증서 발급 서버;
    상기 공개키 인증서 발급 서버 및 상기 권한 인증서 발급 서버로부터 제공된 상기 공개키 인증서 폐기 목록 정보 및 상기 권한 인증서 폐기 목록 정보를 게시하는 디렉토리 서버; 및
    상기 사용자 단말기로부터 서비스 요청 정보가 수신되면 상기 보안 서버로 서비스 등록 요청 정보를 전송하고, 상기 보안 서버로부터 상기 접근 통제 규칙에 따른 권한 할당 정보를 수신한 후, 상기 사용자 단말기로 상기 사용자 공개키 인증서를 요구 및 수신하여, 상기 디렉토리 서버로 부터 상기 공개키 인증서 폐기 목록 정보를 페치한 후 상기 수신된 사용자 공개키 인증서와 상기 공개키 인증서 폐기 목록 정보를 상호 비교하여 상기 사용자 공개키 인증서의 유효성 여부를 판단하되,
    상기 사용자 공개키 인증서가 유효하지 않은 경우, 사용 불가 메시지 전송하고 현 세션을 종료하며,
    상기 사용자 공개키 인증서가 유효한 경우, 상기 사용자 단말기로부터 상기 권한 인증서 발급 정보를 요구하고, 상기 권한 인증서 발급 정보 수신에 응답하여 상기 디렉토리 서버로부터 상기 권한 인증서 폐기 목록 정보를 페치한 후, 상기 권한 인증서 발급 정보와 상기 권한 인증서 폐기 목록 정보를 상호 비교하여 상기 권한 인증서의 유효성 여부를 판단하고, 상기 판단 결과에 따라 상기 사용자 단말기로 권한 할당에 대응한 서비스 정보를 제공하는 서비스 서버를 포함하는 인증 및 권한 인가 서비스 시스템.
  2. 제 1 항에 있어서, 상기 사용자 단말기는 무선 이동 통신 단말기인 것을 특징으로 하는 인증 및 권한 인가 서비스 시스템.
  3. 제 1 항에 있어서, 상기 공개키 인증서는 사용자 아이디(ID) 및 패스워드인 것을 특징으로 하는 인증 및 권한 인가 서비스 시스템.
KR10-2001-0053549A 2001-08-31 2001-08-31 인증 및 권한 인가 서비스 시스템 KR100432103B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0053549A KR100432103B1 (ko) 2001-08-31 2001-08-31 인증 및 권한 인가 서비스 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0053549A KR100432103B1 (ko) 2001-08-31 2001-08-31 인증 및 권한 인가 서비스 시스템

Publications (2)

Publication Number Publication Date
KR20030018946A KR20030018946A (ko) 2003-03-06
KR100432103B1 true KR100432103B1 (ko) 2004-05-17

Family

ID=27722037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0053549A KR100432103B1 (ko) 2001-08-31 2001-08-31 인증 및 권한 인가 서비스 시스템

Country Status (1)

Country Link
KR (1) KR100432103B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101009261B1 (ko) * 2009-05-07 2011-01-25 (주)위즈앤테크 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100799556B1 (ko) * 2003-12-26 2008-01-31 한국전자통신연구원 과거의 인증서 상태 정보를 제공하기 위한 인증서 폐지목록 관리 방법
KR100668047B1 (ko) * 2004-06-25 2007-01-11 소범식 네트웍 서비스의 이용을 위해 생성된 권한키를 이용한 서비스 시스템
US7992190B2 (en) * 2006-01-27 2011-08-02 Microsoft Corporation Authorization scheme to simplify security configurations
KR101304768B1 (ko) * 2006-12-15 2013-09-05 주식회사 케이티 그리드 기술 기반 asp 시스템의 서비스 관리 장치 및 그방법
KR101665670B1 (ko) * 2016-04-07 2016-10-13 펜타시큐리티시스템 주식회사 대량 유출방지를 위한 어플리케이션 id 식별 및 접근권한 동적 할당을 이용한 데이터 보안 시스템
CN109684820A (zh) * 2018-12-28 2019-04-26 天津卓朗科技发展有限公司 服务权限获取方法、装置以及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000006633A (ko) * 1999-08-02 2000-02-07 윤금 개인키 및 사용자 인증서 관리 시스템 및 그 관리 방법
KR20010008042A (ko) * 2000-11-04 2001-02-05 이계철 이중 전자 서명을 사용한 인증 확인 대행 서비스 제공시스템
KR20010048947A (ko) * 1999-11-30 2001-06-15 이계철 다단계의 공개키 인증구조에서 단순 인증경로 구현방법
KR20020029216A (ko) * 2000-10-12 2002-04-18 이계철 인증서 폐지목록 분산 관리 방법
KR20030003414A (ko) * 2001-06-30 2003-01-10 주식회사 케이티 인증서 관련업무의 일괄처리 지원장치 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000006633A (ko) * 1999-08-02 2000-02-07 윤금 개인키 및 사용자 인증서 관리 시스템 및 그 관리 방법
KR20010048947A (ko) * 1999-11-30 2001-06-15 이계철 다단계의 공개키 인증구조에서 단순 인증경로 구현방법
KR20020029216A (ko) * 2000-10-12 2002-04-18 이계철 인증서 폐지목록 분산 관리 방법
KR20010008042A (ko) * 2000-11-04 2001-02-05 이계철 이중 전자 서명을 사용한 인증 확인 대행 서비스 제공시스템
KR20030003414A (ko) * 2001-06-30 2003-01-10 주식회사 케이티 인증서 관련업무의 일괄처리 지원장치 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101009261B1 (ko) * 2009-05-07 2011-01-25 (주)위즈앤테크 네트워크 필터링장치를 이용한 인증서 기반 네트워크 접근 제어시스템

Also Published As

Publication number Publication date
KR20030018946A (ko) 2003-03-06

Similar Documents

Publication Publication Date Title
US6807577B1 (en) System and method for network log-on by associating legacy profiles with user certificates
US9825938B2 (en) System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration
JP6468013B2 (ja) 認証システム、サービス提供装置、認証装置、認証方法及びプログラム
US20080263644A1 (en) Federated authorization for distributed computing
US8468359B2 (en) Credentials for blinded intended audiences
KR20070097285A (ko) 사용자 중심의 개인 데이터 관리를 위한 방법 및 장치
KR20040049272A (ko) 네트워크 위치의 하위 위치에 대한 사용자의 인증을 위한방법 및 시스템
WO2007094369A1 (ja) 分散認証システム及び分散認証方法
EP2957064B1 (en) Method of privacy-preserving proof of reliability between three communicating parties
CN100512107C (zh) 一种安全认证方法
US20220224535A1 (en) Dynamic authorization and access management
KR101873991B1 (ko) IoT 기기들 간의 액세스 권한의 위임 방법
Hengartner et al. Access control to people location information
CN114301617A (zh) 多云应用网关的身份认证方法、装置、计算机设备及介质
US20170104748A1 (en) System and method for managing network access with a certificate having soft expiration
US6611916B1 (en) Method of authenticating membership for providing access to a secure environment by authenticating membership to an associated secure environment
KR100432103B1 (ko) 인증 및 권한 인가 서비스 시스템
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
US20230016488A1 (en) Document signing system for mobile devices
KR20070009490A (ko) 아이피 주소 기반 사용자 인증 시스템 및 방법
JP2009205223A (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
US8843741B2 (en) System and method for providing a certificate for network access
Omolola et al. Policy-based access control for the IoT and Smart Cities
KR20030035025A (ko) 공개키 기반구조의 공인 인증서를 이용한 신원확인 서비스제공 시스템 및 그 방법
Fugkeaw et al. Multi-Application Authentication based on Multi-Agent System.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120507

Year of fee payment: 9

LAPS Lapse due to unpaid annual fee