KR100785782B1 - System of Privilege Delegation and Method Thereof - Google Patents

System of Privilege Delegation and Method Thereof Download PDF

Info

Publication number
KR100785782B1
KR100785782B1 KR1020060065473A KR20060065473A KR100785782B1 KR 100785782 B1 KR100785782 B1 KR 100785782B1 KR 1020060065473 A KR1020060065473 A KR 1020060065473A KR 20060065473 A KR20060065473 A KR 20060065473A KR 100785782 B1 KR100785782 B1 KR 100785782B1
Authority
KR
South Korea
Prior art keywords
delegation
user
service provider
authority
electronic
Prior art date
Application number
KR1020060065473A
Other languages
Korean (ko)
Other versions
KR20070052649A (en
Inventor
조상래
조영섭
최대선
노종혁
김승현
진승헌
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20070052649A publication Critical patent/KR20070052649A/en
Application granted granted Critical
Publication of KR100785782B1 publication Critical patent/KR100785782B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • G06Q50/18Legal services

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Tourism & Hospitality (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Economics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Technology Law (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명에 의한 권한위임 시스템 및 방법은 서비스 제공자로부터 사용자에 대한 권한위임요청을 수신하면 권한위임에 대한 정책 및 사용자의 권한위임에 대한 동의를 포함하는 권한위임조건을 획득하는 권한위임 관리부 및 권한위임조건을 기초로 전자위임장 발급여부를 결정하고, 전자위임장을 생성하여 서비스 제공자에게 발송하는 권한위임 처리부를 포함한다. 본 발명에 의한 권한위임 시스템 및 방법은 서비스 제공자(웹 응용 시스템)이 사용자에게 서비스를 제공하는데 있어서 사용자의 개인정보를 필요로 하는 경우에, 서비스 제공자(웹 응용 시스템)가 개인정보 공유시스템에 사용자 자신의 개인정보를 조회할 수 있는 권한을 부여하는 전자위임장을 발급한다.The delegation system and method according to the present invention, upon receiving the delegation request for the user from the service provider, the delegation management unit and delegation to obtain the delegation conditions, including the policy for delegation and consent to the delegation of the user It includes a delegation processing unit that determines whether to issue an electronic mandate based on the conditions, and generates and sends the electronic mandate to the service provider. Delegation system and method according to the present invention is a service provider (web application system) when the service provider (web application system) needs the user's personal information to provide a service to the user, the service provider (web application system) the user to the personal information sharing system Issue an electronic mandate to authorize your personal information.

권한위임, 전자위임장 Delegation of Authority, Electronic Power of Attorney

Description

권한위임 시스템 및 방법 {System of Privilege Delegation and Method Thereof}System of Privilege Delegation and Method Thereof}

도 1은 본 발명의 일 실시예에 의한 권한위임 시스템의 전체구성이다.1 is an overall configuration of a delegation system according to an embodiment of the present invention.

도 2는 본 발명의 다른 일 실시예에 의한 권한위임 시스템의 내부구성이다.2 is an internal configuration of a delegation system according to another embodiment of the present invention.

도 3은 본 발명의 일 실시예에 의한 권한위임 방법을 사용자, 서비스 제공자 및 권한위임 시스템을 중심으로 본 흐름도이다.3 is a flowchart illustrating a delegation method according to an embodiment of the present invention centering on a user, a service provider, and a delegation system.

도 4는 본 발명의 다른 일 실시예에 의한 권한위임 방법의 시간의 흐름에 따른 순서도이다.Figure 4 is a flow chart over time of the delegation method according to another embodiment of the present invention.

본 발명은 권한위임 시스템 및 방법에 관한 것으로, 보다 상세하게는 독립한제 3의 엔터티(Entity)를 이용한 개인정보 공유시스템에서 권한위임 시스템 및 방법에 관한 것이다. 인터넷의 확산에 의하여 전자상거래는 급속히 활성화되어 통상의 개인의 일상생활의 중요한 일부분이 되고 있다. 이러한 분위기에 발맞추어 개인정보 공유시스템도 사용자에게 다양한 종류의 개인정보 서비스를 제공하고 있다. The present invention relates to a delegation system and method, and more particularly to a delegation system and method in a personal information sharing system using an independent third party (Entity). Due to the proliferation of the Internet, electronic commerce is rapidly being activated, becoming an important part of everyday life of ordinary individuals. In line with this atmosphere, the personal information sharing system also provides various types of personal information services to users.

예를 들면 행정정보 공유시스템의 온라인 주민등록등본 발급이 개인정보 공 유시스템이 제공하는 개인정보 서비스의 하나이다. 현재는 사용자가 자신이 스스로 필요한 민원서류를 온라인으로 발급받아 민원서류가 필요한 서비스를 제공하는 곳에 제출하고 있는 실정이다. 웹서비스가 활성화되고 서비스가 서로 연계하여 다양한 서비스를 제공하는 환경에서는 서비스 제공자가 사용자를 대신하여 사용자의 민원정보를 조회할 수 있어야 할 것이다. 이 경우 사용자에게는 원스톱 서비스의 제공이 가능하지만 민원서류의 특성상 서비스 제공자가 함부로 사용자의 개인정보를 조회하여 사용할 수 있다면 개인의 프라이버시가 침해될 것이다.For example, issuing an online copy of the resident registration of the administrative information sharing system is one of the personal information services provided by the personal information sharing system. Currently, users are required to submit their own civil documents online and submit them to the service that provides the civil documents. In an environment where web services are activated and services are linked to each other to provide various services, service providers should be able to look up user's complaint information on behalf of users. In this case, one-stop service can be provided to the user, but if the service provider can search and use the user's personal information without permission, personal privacy will be violated.

한국특허 출원번호 10-2000-7009396 의 분산시스템에서 위임 증명서를 리스하기 위한 방법, 장치 및 제품 발명의 경우, 시스템에서 사용하지 않고 있는 자원을 사용하기 위하여 위임 인증서를 이용하여 자원에 대한 엑세스 권한을 부여하고 있다. 그러나, 선행 특허의 경우 권한의 위임이 시스템 내부 프로세스에 한정되어 있어 다양한 서비스의 연계가 일어나는 웹서비스에 적용하기에는 무리가 있다. Method, apparatus, and product for leasing a delegation certificate in a distributed system of Korean Patent Application No. 10-2000-7009396 In the case of invention, a delegation certificate is used to access a resource in order to use a resource that is not used in the system. Granted. However, in the case of the preceding patent, the delegation of authority is limited to the internal process of the system, so it is impossible to apply it to the web service where various services are linked.

본 발명이 이루고자하는 기술적 과제는 다양한 서비스의 연계가 일어나는 웹서비스에 있어서 제삼의 엔티티(Entity)로 권한위임 시스템 (Delegation Authority; DA)을 두어 사용자는 권한위임 시스템을 통하여 권한위임에 필요한 정책을 관리하고, 서비스 제공자(Service Provider; SP)는 권한위임 시스템을 통하여 사용자의 권한위임 정책에 따라 전자위임장을 발급받아 개인정보 공유시스템에서 제출하여 사용자를 거치지 않고 바로 서비스 사용자의 개인정보를 개인정보 공유시스템에서 이용할 수 있는 권한위임 시스템 및 방법을 구현하는데 있다.The technical problem of the present invention is to provide a Delegation Authority (DA) as a third entity in a web service in which various services are linked, and the user manages a policy required for delegation through the delegation system. In addition, the Service Provider (SP) issues an electronic delegation certificate according to the user's delegation policy through the delegation system and submits it from the personal information sharing system to directly transfer the personal information of the service user without the user. Implementing delegation systems and methods available at

상기 기술적 과제를 이루기 위한 본 발명에 따른 권한위임 시스템의 일 실시예는 서비스 제공자로부터 사용자에 대한 권한위임요청을 수신하면 권한위임에 대한 정책 및 사용자의 권한위임에 대한 동의를 포함하는 권한위임조건을 획득하는 권한위임 관리부 및 권한위임조건을 기초로 전자위임장 발급여부를 결정하고, 전자위임장을 생성하여 서비스 제공자에게 발송하는 권한위임 처리부를 갖는다. An embodiment of the delegation system according to the present invention for achieving the above technical problem is a delegation condition including a policy for delegation and consent for the delegation of the user when receiving the delegation request for the user from the service provider The authority delegation management unit and the authority delegation conditions are determined based on the delegation of the electronic delegation, and the authority delegation processing section for generating and sending the electronic delegation certificate to the service provider.

보다 바람직하게는 권한위임 관리부는 사용자에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회하고 권한위임 처리부에 상기 권한위임에 대한 정책을 제공하는 권한위임정책관리부 및 사용자의 권한위임에 대한 동의가 별도로 필요하면 사용자로부터 동의를 획득하는 권한위임동의관리부를 갖는다. More preferably, the authority delegation section of the authority delegation policy management unit and the user to query the policy for the delegation including the conditions for setting the delegation authority and the conditions for issuing the electronic delegation to the user and provide the delegation policy to the delegation processing If consent for delegation is required separately, it has a delegation consent management unit that obtains consent from the user.

또한 권한위임 처리부는 권한위임 관리부로부터 획득한 권한위임조건을 기초로 서비스 제공자에게 권한위임 할 것인지 여부를 결정하는 권한위임 결정부 및 권한위임 결정부에서 사용자에게 권한위임 할 것으로 결정한 경우, 전자위임장을 생성하여 서비스 제공자에게 발송하는 전자위임장 발송부를 갖는다.In addition, the authority delegation unit may deny the electronic delegation authority if the authority delegation decision unit deciding whether to delegate to the service provider based on the delegation conditions obtained from the authority delegation management department, and the authority delegation decision unit delegation to the user. It has an electronic letter of origination unit that creates and sends it to the service provider.

상기 기술적 과제를 이루기 위한 본 발명에 따른 권한위임방법의 일 실시예는 서비스 제공자로부터 사용자에 대한 권한위임요청을 수신하면 권한위임에 대한 정책 및 사용자의 권한위임에 대한 동의를 포함하는 권한위임조건을 획득하는 권한위임 관리단계 및 권한위임조건을 기초로 전자위임장 발급여부를 결정하고, 전자위임장을 생성하여 서비스 제공자에게 발송하는 권한위임 처리단계를 갖는다. An embodiment of the delegation method according to the present invention for achieving the above technical problem is a delegation condition including a policy for delegation and consent for the delegation of the user when receiving the delegation request for the user from the service provider Determining whether to issue an electronic mandate, based on the delegation authority management step and the conditions of delegation, and generate an electronic mandate and send it to the service provider.

보다 바람직하게는 권한위임 관리단계는 사용자에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회하고 상기 권한위임 처리단계에 상기 권한위임에 대한 정책을 제공하는 권한위임정책관리단계 및 사용자의 권한위임에 대한 동의가 별도로 필요하면 사용자로부터 동의를 획득하는 권한위임동의관리단계를 갖는다. More preferably, the delegation management step inquires the policy for the delegation including the delegation setting conditions and the electronic delegation issuance conditions to the user and the delegation policy management to provide a policy for delegation to the delegation processing step If the consent of the step and the user's delegation is required separately, has a delegation consent management step of obtaining consent from the user.

또한, 권한위임 처리단계는 권한위임 관리단계로부터 획득한 상기 권한위임조건을 기초로 서비스 제공자에게 권한위임 할 것인지 여부를 결정하는 권한위임 결정단계 및 권한위임 결정단계에서 사용자에게 권한위임 할 것으로 결정한 경우, 전자위임장을 생성하여 서비스 제공자에게 발송하는 전자위임장 발송단계를 갖는다.In addition, in the case of delegation processing, the authority delegation step of deciding whether or not to delegate to the service provider based on the delegation conditions obtained from the delegation management step is determined to delegate to the user in the delegation decision step and delegation decision step In addition, there is an electronic mandate sending step of generating an electronic mandate and sending it to the service provider.

이처럼, 본 발명이 이루고자하는 기술적 과제는 다양한 서비스의 연계가 일어나는 웹서비스에 있어서 제삼의 엔티티(Entity)로 권한위임 시스템 (Delegation Authority)을 두어 사용자는 권한위임 시스템을 통하여 권한위임에 필요한 정책을 관리하고, 서비스 제공자는 권한위임 시스템을 통하여 사용자의 권한위임 정책에 따라 전자위임장을 발급받아 개인정보 공유시스템에서 제출하여 사용자를 거치지 않고 바로 서비스 사용자의 개인정보를 개인정보 공유시스템에서 이용할 수 있다.As described above, the technical problem of the present invention is to establish a delegation authority as a third entity in a web service in which various services are linked, and the user manages a policy required for delegation through the delegation system. In addition, the service provider may use the personal information of the service user directly in the personal information sharing system without going through the user by issuing an electronic delegation letter according to the user's delegation policy through the authority delegation system and submitting it in the personal information sharing system.

이하 첨부한 도면을 사용하여 본 발명인 권한위임 시스템 및 방법을 상세히 설명한다.Hereinafter, the present inventors empowerment system and method will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 의한 권한위임 시스템의 전체구성이다. 도 1을 참조하면, 권한위임 시스템(100)은 사용자(110), 서비스 제공자(120), 개인정보 공유시스템(130) 및 디렉토리 서비스부(140)와 함께 실시된다.1 is an overall configuration of a delegation system according to an embodiment of the present invention. Referring to FIG. 1, the delegation system 100 is implemented together with a user 110, a service provider 120, a personal information sharing system 130, and a directory service unit 140.

사용자(110)가 서비스 제공자(120)에게 서비스를 요청한다. 사용자(110)의 서비스 제공요청이 있으면, 서비스 제공자(120)는 개인정보 공유시스템(130)의 서비스를 등록한 디렉토리 서비스부(140)에서 사용자가 요청한 서비스를 제공하는데 필요한 사용자의 개인정보를 제공하는 개인정보 공유시스템(130)을 확인하고 사용자(110)에게 권한위임을 받아야 하는지를 확인한다. The user 110 requests a service from the service provider 120. When the service providing request of the user 110 is provided, the service provider 120 provides the personal information of the user required to provide the service requested by the user in the directory service unit 140 that registers the service of the personal information sharing system 130. Check the personal information sharing system 130 and check whether the user 110 should be delegated authority.

서비스를 제공하는데 있어서, 사용자(110)의 권한위임이 필요하면 서비스 제공자(120)는 권한위임 시스템(100)에게 전자위임장의 발급을 요청한다. 서비스 제공자(120)는 권한위임 요청 메시지를 만들어 사용자의 웹 브라우저를 통하여 권한위임 시스템(100)에 리디렉션(redirection)시킨다. 권한위임 요청 메시지를 받은 권한위임 시스템(100)은 사용자의 요청에 따라 권한위임을 처리한다.In providing the service, if the delegation of the user 110 is required, the service provider 120 requests the delegation system 100 to issue the electronic delegation certificate. The service provider 120 generates the delegation request message and redirects the delegation system 100 through the user's web browser. The delegation system 100 receiving the delegation request message processes the delegation according to the user's request.

권한위임 시스템(100)은 사용자(110)에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회한다. 권한위임에 대한 정책은 위임인증서의 유효기간, 위임 인증서의 사용기간, 사용자가 선택할 수 있는 권한위임 목적의 셋(set) 및 권한위임의 허용(permission)정의를 포함한다. The authority delegation system 100 queries the user 110 for a policy for delegation that includes an authority delegation setting condition and an electronic delegation issuance condition. The policy on delegation includes the validity of the delegation certificate, the period of use of the delegation certificate, the set of delegation purposes that the user can select, and the definition of the permission of the delegation.

권한위임 시스템(100)은 사용자(110)에게 권한위임에 대한 동의유무를 조회하고 사용자(110)의 동의가 없는 경우 권한위임에 대한 동의를 획득한다. 권한위임 시스템(100)은 권한위임에 대한 정책 및 사용자(110)의 권한위임에 대한 동의를 포함하는 권한위임조건을 기초로 서비스 제공자(120)에게 권한위임 할 것인지 여부를 결정한다.The delegation system 100 inquires whether the user 110 agrees to the delegation, and if there is no consent of the user 110, obtains the consent for the delegation. The delegation system 100 determines whether to delegate to the service provider 120 based on a delegation condition that includes a policy on delegation and an agreement on the delegation of the user 110.

권한위임 시스템(100)은 서비스 사용자(120)에게 사용자(110)의 권한을 위임할 것으로 결정한 경우, 전자위임장을 생성하고 전달 방법을 아티팩트(artifact)로 할 것인지 판단한 후 응답 메시지를 생성하여 서비스 제공자(120)에게 전달한다. When the authority delegation system 100 determines to delegate the authority of the user 110 to the service user 120, the authority delegation is generated, the service provider is determined by generating a response message after determining whether the delivery method is an artifact. Deliver to 120.

아티팩트는 레퍼런스 아이디(Reference ID)와 동일한 개념으로 그 목적은 전자위임장을 바로 서비스 제공자에게 전달할 수도 있지만 아티팩트만을 전달하고 실제 전자위임장은 필요할 때 가져올 수도 있다. 이때 아티팩트를 레퍼런스 아이디로 사용한다. 트래픽을 줄이고 프로세싱을 빠르게 하기 위해 사용한다.Artifacts are the same concept as reference IDs, and the purpose is to deliver an electronic credential directly to a service provider, but only deliver artifacts and get the actual credential when needed. Use the artifact as the reference ID. Used to reduce traffic and speed up processing.

전자위임장을 생성하여 서비스 제공자(120)에게 발송한다. 서비스 제공자(120)에게 권한을 위임하지 않을 것으로 결정한 경우, 사용자(110)에게 권한위임에 실패하였다는 응답 메시지를 출력한다. The electronic mandate is generated and sent to the service provider 120. If it is determined that the service provider 120 does not delegate the authority, the user 110 outputs a response message indicating that the delegation has failed.

서비스 제공자(110)는 전자위임장을 가지고 개인정보 공유시스템(130)에 사용자(110)의 개인정보제공을 요청한다. 서비스 제공자(110)는 개인정보를 이용하여 사용자(110)가 요청한 서비스를 제공한다.The service provider 110 requests the provision of the personal information of the user 110 to the personal information sharing system 130 with the electronic mandate. The service provider 110 provides a service requested by the user 110 using personal information.

도 2는 본 발명의 다른 일 실시예에 의한 권한위임 시스템의 내부구성이다.도 2를 참조하면, 권한위임 시스템(200)은 사용자(210), 서비스 제공자(220) 및 개인정보 공유시스템(230)과 함께 실시된다.2 is an internal configuration of a delegation system according to another embodiment of the present invention. Referring to FIG. 2, the delegation system 200 includes a user 210, a service provider 220, and a personal information sharing system 230. Is carried out with

권한위임 시스템(200)은 권한위임 관리부(201) 및 권한위임 처리부(202)를 포함한다. 권한위임 관리부(201)는 서비스 제공자(2210)로부터 권한위임요청을 수신하면 권한위임에 대한 정책 및 사용자의 권한위임에 대한 동의를 포함하는 권한위임조건을 조회하고 필요한 권한위임조건을 사용자로부터 획득한다. The delegation system 200 includes a delegation management unit 201 and a delegation processing unit 202. When the delegation management unit 201 receives a request for delegation from the service provider 2210, the delegation management unit 201 inquires a delegation condition including a policy for delegation and a user's consent to delegation, and obtains a necessary delegation condition from the user. .

권한위임 관리부(201)은 권한위임 정책관리부(203) 및 권한위임 동의관리부(205)를 포함한다. 권한위임 정책관리부(203)는 사용자에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회하고 권한위임 처리부에 상기 권한위임에 대한 정책을 제공한다. The delegation management unit 201 includes a delegation policy management unit 203 and a delegation consent management unit 205. The delegation policy management unit 203 inquires the user about the policy for delegation including the delegation setting condition and the electronic delegation issuing condition, and provides the delegation policy to the delegation processing unit.

권한위임 정책관리부(203)는 사용자(210)가 권한위임에 대한 어떤 정책을 설명하였는지를 조회하고 기타 전자위임장 발급에 대한 기본적인 정책을 조회한다. The delegation policy management unit 203 inquires what policy the user 210 has described for delegation, and inquires the basic policy for issuing other electronic mandates.

권한위임에 대한 정책은 위임인증서의 유효기간, 위임 인증서의 사용기간, 사용자가 선택할 수 있는 권한위임 목적의 셋(set) 및 권한위임의 허용(permission) 정의를 포함한다.The policy on delegation includes the validity of the delegation certificate, the period of use of the delegation certificate, the set of delegation purposes that the user can choose, and the definition of the permission of the delegation.

권한위임 동의 관리부(205)는 사용자의 전자위임장 발급에 대한 동의 정보를 관리한다. 권한위임 동의관리부(205)는 사용자에게 권한위임에 대한 동의유무를 조회하고 사용자의 동의가 없는 경우 권한위임에 대한 동의를 획득한다. 권한위임에 대한ㄹ 동의는 각 전자위임장 별 또는 세션 별로 관리할 수 있다.The delegation consent management unit 205 manages consent information for issuing a user's electronic delegation certificate. Authority delegation consent management unit 205 inquires whether the user agrees to the delegation of authority, and if there is no consent of the user, obtains the consent for delegation of authority. Consent for delegation can be managed for each electronic power of attorney or session.

권한위임 처리부(202)는 권한위임 결정부(204) 및 전자위임장 발송부(206)으로 구성된다. 권한위임 처리부(202)는 본 발명의 핵심 구성으로 서비스 제공자로부터 온 권한위임 요청을 접수하고 권한위임 정책관리부(203)과 통신하여 권한위임에 필요한 정책을 조회한다. The delegation processing unit 202 is composed of a delegation determination unit 204 and the electronic delegation authority sending unit 206. Delegation processing unit 202 receives the delegation request from the service provider as a core configuration of the present invention and communicates with the delegation policy management unit 203 to query the policy required for delegation.

권한위임 동의관리부(205)와는 사용자의 권한위임에 대한 동의 여부에 대한 정보를 조회한다. 이러한 정보를 기반으로 전자위임장을 발급할 것인지를 결정하여 전자위임장 발송부(206)에서 전자위임장을 생성하여 서비스 제공자(220)에게 전자 위임장을 발송한다. The delegation authority management unit 205 queries information about whether the user agrees to delegation of authority. Based on this information, it is determined whether to issue an electronic mandate, and the electronic mandate sending unit 206 generates an electronic mandate to send the electronic mandate to the service provider 220.

권한위임 결정부(204)는 권한위임 관리부(201)로부터 획득한 권한위임에 대한 정책 및 사용자의 권한위임에 대한 동의를 포함하는 권한위임조건을 기초로 서비스 제공자(220)에게 권한위임 할 것인지 여부를 결정한다. The delegation decision unit 204 determines whether to delegate to the service provider 220 based on a delegation condition including a policy on delegation obtained from the delegation management unit 201 and an agreement on the delegation of the user. Determine.

전자위임장 발송부(206)는 서비스 제공자(220)에게 사용자(210)의 권한을 위임할 것으로 결정한 경우, 전자위임장을 생성하여 서비스 제공자에게 발송한다. 전자위임장 발송부(206)은 서비스 제공자(220)가 요청한 사용자의 개인정보와 사용자가 동의한 권한위임에 대한 정보를 전자 서명한 일종의 디지털 문서를 생성한다. 이러한 문서는 현재 사용되는 공인인증서와 유사한 기능을 제공한다. If the electronic authority sending unit 206 determines to delegate the authority of the user 210 to the service provider 220, the electronic authority sending unit 206 generates an electronic mandate and sends it to the service provider. The electronic authority sending unit 206 generates a kind of digital document that digitally signs the personal information of the user requested by the service provider 220 and the information on the authority delegated by the user. These documents provide functions similar to those currently used.

서비스 제공자(220)에게 사용자(210)의 권한을 위임하지 않을 것으로 결정한 경우, 사용자(210)에게 응답 메시지를 출력한다. 서비스 제공자(220)는 전자위임장을 가지고 개인정보 공유시스템(230)에 사용자(210)의 개인정보제공을 요청한다. 서비스 제공자(220)는 개인정보 공유시스템(230)으로 부터 제공받은 사용자(210)의 개인정보를 이용하여 사용자가 요청한 서비스를 제공한다.If it is determined that the service provider 220 does not delegate the authority of the user 210, a response message is output to the user 210. The service provider 220 requests the personal information sharing of the user 210 from the personal information sharing system 230 with the electronic mandate. The service provider 220 provides a service requested by the user using the personal information of the user 210 received from the personal information sharing system 230.

도 3은 본 발명의 일 실시예에 의한 권한위임 방법을 사용자, 서비스 제공자 및 권한위임 시스템을 중심으로 본 흐름도이다. 도 3을 참조하면, 사용자(301)가 서비스 제공자(302)에게 서비스를 요청한다(S311). 사용자(301)의 서비스 제공요청이 있으면, 서비스 제공자(302)는 사용자가 요청한 서비스를 제공하는 개인정보 공유시스템(303)을 확인하고 사용자(301)에게 권한위임을 받아야 하는지를 확인한다. 서비스 제공자(302)는 서비스에서 필요한 사용자의 개인정보가 권한위임이 필요한 경우이면 권한위임 시스템(303)에게 권한위임을 요청한다. 3 is a flowchart illustrating a delegation method according to an embodiment of the present invention centering on a user, a service provider, and a delegation system. Referring to FIG. 3, the user 301 requests a service from the service provider 302 (S311). When the service providing request of the user 301 is requested, the service provider 302 checks the personal information sharing system 303 which provides the service requested by the user and confirms whether the user 301 needs to be authorized. The service provider 302 requests delegation from the delegation system 303 when the user's personal information required for the service requires delegation.

서비스를 제공하는데 있어서, 사용자(301)의 권한위임이 필요하면 서비스 제공자(302)는 권한위임 시스템(303)에게 권한위임을 요청한다(S312). 서비스 제공자(302)는 권한위임 요청 메시지를 만들어 사용자의 웹 브라우저를 통하여 권한위임 시스템(303)에 리디렉션(redirection)을 시킨다. 권한위임 요청 메시지를 받은 권한위임 시스템(302)은 사용자의 요청에 따라 권한위임을 처리한다.In providing the service, if the delegation of the user 301 is required, the service provider 302 requests the delegation system 303 to delegation (S312). The service provider 302 creates an authorization request message and redirects the authorization system 303 through the user's web browser. The delegation system 302 receiving the delegation request message processes the delegation at the request of the user.

권한위임 시스템(303)은 사용자(301)에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회한다(S313). 권한위임에 대한 정책은 위임인증서의 유효기간, 위임 인증서의 사용기간, 사용자가 선택할 수 있는 권한위임 목적의 셋(set) 및 권한위임의 퍼미션(permission)정의를 포함한다.The authority delegation system 303 inquires the user 301 about the policy for delegation including the authority delegation setting condition and the electronic delegation issue condition (S313). The policy on delegation includes the validity of the delegation certificate, the period of use of the delegation certificate, the set of delegation purposes that the user can choose, and the permission definition of the delegation.

권한위임 시스템(303)은 사용자(301)에게 권한위임에 대한 동의유무를 조회하고 사용자(301)의 동의가 없는 경우 권한위임에 대한 동의를 획득한다(S314). 권한위임 시스템(303)은 사용자의 권한위임에 대한 전자위임장을 발급받는데 사용자의 동의가 필요하면 사용자에게 직접 권한위임에 대한 동의를 얻는다. The delegation system 303 inquires whether the user 301 agrees to the delegation, and if there is no consent of the user 301, obtains the consent for the delegation (S314). The delegation system 303 obtains the consent of the delegation directly to the user if the user's consent is required to obtain an electronic delegation certificate for the delegation of the user.

본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매 체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The invention can also be embodied as computer readable code on a computer readable recording medium. The computer-readable recording medium includes all kinds of recording devices in which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage, and the like, and may also be implemented in the form of a carrier wave (for example, transmission over the Internet). Include. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

이상에서 설명한 바와 같이 본 발명에 의한 권한위임 시스템 및 방법은 다음과 같은 효과를 가지게 된다. 본 발명은 개인정보 공유시스템에서 권한위임 방법에 관한 것으로, 개인정보 공유시스템에서 사용자가 자신의 개인정보를 타 시스템이 사용하는데 있어서 조회의 권한을 위임하여 대신 조회할 수 있는 권한을 부여한다. As described above, the delegation system and method according to the present invention have the following effects. The present invention relates to a method for delegation of authority in a personal information sharing system. In the personal information sharing system, a user delegates the authority of inquiry in order to use his / her personal information in another system and grants the authority to inquire.

이 경우 분산환경에서 운영되는 개인정보 공유시스템들에 접근하여 사용자의 정보를 조회하는 웹 응용시스템들이 무분별하게 개인정보를 오남용을 줄일 수 있다. 이상과 같이, 본 발명은 제 3의 엔터티(Entity)인 권한위임시스템을 이용하여 개인정보의 사용에 권한위임 서비스를 가능하게 하여 서비스 제공자가 직접 사용자의 개인정보를 조회하여 사용자의 편의와 서비스 제공자의 편의를 도모함은 물론 개인정보의 무분별한 사용에 의한 프라이버시 침해를 방지한다.In this case, web application systems that access user information sharing systems operating in a distributed environment and search for user information can reduce the misuse of personal information indiscriminately. As described above, the present invention enables a delegation service for the use of personal information by using a delegation system, which is a third entity, so that the service provider directly retrieves the user's personal information so that the user's convenience and service provider In addition to promoting the convenience of the personal information to prevent invasion of privacy by the indiscriminate use of personal information.

Claims (7)

서비스 제공자로부터 사용자에 대한 권한위임요청을 수신하면 사용자에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회하는 권한위임정책관리부; Delegation policy management unit for receiving a delegation request for the user from the service provider to look up the policy for the delegation including the delegation setting conditions and electronic delegation issuance conditions to the user; 상기 사용자의 권한위임에 대한 동의가 별도로 필요하면 상기 사용자로부터 동의를 획득하는 권한위임동의관리부; 및Delegation agreement management unit for obtaining consent from the user if the consent for the delegation of the user separately required; And 상기 권한위임에 대한 정책 및 상기 사용자의 권한위임에 대한 동의를 기초로 전자위임장 발급여부를 결정하고, 상기 전자위임장을 생성하여 상기 서비스 제공자에게 발송하는 권한위임 처리부; 를 포함하는 것을 특징으로 하는 권한위임 시스템.An authority delegation processor configured to determine whether to issue an electronic mandate, based on the policy for delegation, and the user's consent to the authority delegation, and generate and send the electronic mandate to the service provider; Delegation system comprising a. 삭제delete 제 1항에 있어서 권한위임 처리부는,According to claim 1, Delegation processing unit, 상기 권한위임에 대한 정책 및 상기 사용자의 권한위임에 대한 동의를 기초로 상기 서비스 제공자에게 권한위임 할 것인지 여부를 결정하는 권한위임 결정부; 및Delegation decision unit for determining whether or not to delegate to the service provider based on the delegation policy and the user's consent to the delegation; And 상기 권한위임 결정부에서 상기 서비스 제공자에게 권한위임 할 것으로 결정한 경우, 상기 전자위임장을 생성하여 상기 서비스 제공자에게 발송하는 전자위임장 발송부;를 포함하는 것을 특징으로 하는 권한위임 시스템.Delegation authority system, characterized in that it comprises; if the authority to determine the authority to delegate to the service provider, the electronic delegation sending unit for generating and sending to the service provider. 서비스 제공자로부터 사용자에 대한 권한위임요청을 수신하면 사용자에게 권한위임 설정조건 및 전자위임장 발급조건을 포함하는 권한위임에 대한 정책을 조회하는 권한위임정책관리단계; A delegation policy management step of querying a user for a delegation policy including a delegation setting condition and an electronic delegation issuing condition to a user when receiving a delegation request for a user from a service provider; 상기 사용자의 권한위임에 대한 동의가 별도로 필요하면 상기 사용자로부터 동의를 획득하는 권한위임동의관리단계; 및A delegation consent management step of obtaining consent from the user if a separate consent is required for the delegation of the user; And 상기 권한위임에 대한 정책 및 상기 사용자의 권한위임에 대한 동의를 기초로 전자위임장 발급여부를 결정하고, 상기 전자위임장을 생성하여 상기 서비스 제공자에게 발송하는 권한위임처리단계; 를 포함하는 것을 특징으로 하는 권한위임방법.An authority delegation processing step of determining whether to issue an electronic delegation certificate based on the policy on the delegation of authority and the consent of the delegation of the user, and generating and sending the electronic delegation certificate to the service provider; Delegation method characterized in that it comprises a. 삭제delete 제 4항에 있어서 권한위임처리단계는,The method of claim 4, wherein the delegation processing step, 상기 권한위임에 대한 정책 및 상기 사용자의 권한위임에 대한 동의를 기초로 상기 서비스 제공자에게 권한위임 할 것인지 여부를 결정하는 권한위임 결정단계; 및Delegation determination step of determining whether to delegate to the service provider based on the policy for delegation and the user's consent to delegation; And 상기 권한위임 결정단계에서 상기 서비스 제공자에게 권한위임 할 것으로 결정한 경우, 상기 전자위임장을 생성하여 상기 서비스 제공자에게 발송하는 전자위임장 발송단계;를 포함하는 것을 특징으로 하는 권한위임방법.Delegation method comprising the step of generating an electronic delegation certificate and sending to the service provider, if it is determined in the delegation determination step to delegate to the service provider. 삭제delete
KR1020060065473A 2005-11-17 2006-07-12 System of Privilege Delegation and Method Thereof KR100785782B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020050110361 2005-11-17
KR20050110361 2005-11-17

Publications (2)

Publication Number Publication Date
KR20070052649A KR20070052649A (en) 2007-05-22
KR100785782B1 true KR100785782B1 (en) 2007-12-18

Family

ID=38275276

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060065473A KR100785782B1 (en) 2005-11-17 2006-07-12 System of Privilege Delegation and Method Thereof

Country Status (1)

Country Link
KR (1) KR100785782B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101466900B1 (en) * 2012-10-12 2014-12-03 국민대학교산학협력단 System and method for certificate delegation
KR102140708B1 (en) * 2018-04-25 2020-08-11 주식회사 신한은행 Method and server for providing financial service
KR102428571B1 (en) * 2021-11-29 2022-08-03 주식회사 디지캡 System and method of issuing credential for protocol-based copyright transaction

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010041296A (en) * 1998-02-26 2001-05-15 케네쓰 올센 Method, apparatus, and product for leasing of delegation certificates in a distributed system
KR20010070373A (en) * 2000-01-07 2001-07-25 포만 제프리 엘 A method for inter-enterprise role-based authorization
KR20050046481A (en) * 2003-11-14 2005-05-18 주식회사 넷츠 Extranet access management apparatus and method
KR20050070520A (en) * 2003-12-30 2005-07-07 한국과학기술정보연구원 Workflow-based authorization system in grid and method thereof
KR20050096114A (en) * 2002-12-31 2005-10-05 모토로라 인코포레이티드 System and method for distributed authorization for access to communications device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010041296A (en) * 1998-02-26 2001-05-15 케네쓰 올센 Method, apparatus, and product for leasing of delegation certificates in a distributed system
KR20010070373A (en) * 2000-01-07 2001-07-25 포만 제프리 엘 A method for inter-enterprise role-based authorization
KR20050096114A (en) * 2002-12-31 2005-10-05 모토로라 인코포레이티드 System and method for distributed authorization for access to communications device
KR20050046481A (en) * 2003-11-14 2005-05-18 주식회사 넷츠 Extranet access management apparatus and method
KR20050070520A (en) * 2003-12-30 2005-07-07 한국과학기술정보연구원 Workflow-based authorization system in grid and method thereof

Also Published As

Publication number Publication date
KR20070052649A (en) 2007-05-22

Similar Documents

Publication Publication Date Title
US10333941B2 (en) Secure identity federation for non-federated systems
US7512782B2 (en) Method and system for using a web service license
US7073195B2 (en) Controlled access to credential information of delegators in delegation relationships
TWI438642B (en) Provisioning of digital identity representations
US20040225524A1 (en) Systems and methods for monitoring the presence of assets within a system and enforcing policies governing assets
US20130036455A1 (en) Method for controlling acess to resources
US20120317624A1 (en) Method for managing access to protected resources and delegating authority in a computer network
WO2009084601A1 (en) Access right managing system, access right managing method, and access right managing program
US7627751B2 (en) Information processing apparatus, an authentication apparatus, and an external apparatus
KR20060096278A (en) Method and system for integrating multiple identities, identity mechanism and identity provides in a single user paradigm
WO2006012532A1 (en) Proxy-based profile management to deliver personalized services
KR20030059258A (en) Anonymous access to a service
US20090271856A1 (en) Restricted use information cards
JP2003271560A (en) Apparatus for access control and policy enforcement for distributed networked services
KR100785782B1 (en) System of Privilege Delegation and Method Thereof
Goodner et al. Understanding ws-federation
KR100714124B1 (en) Method and apparatus for issuing certificate with user consent
Gashi et al. Trust establishment between OAuth 2.0 resource servers using claims-based authorisation
Richer RFC 7662: OAuth 2.0 token introspection
JP2004015773A (en) Server to obtain position information on network, and service thereof
KR20040101616A (en) System and method for managing user's contents access privilege on wireless Internet, computer readable recording medium having user's contents access privilege management software stored therein
JP2002328900A (en) Management method on the internet
Bradley et al. OAuth 2.0 Token Exchange
Anand Java based GUI editor for SAML assertion manipulation
Bradley et al. OAuth 2.0 Token Exchange: An STS for the REST of Us

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction
FPAY Annual fee payment

Payment date: 20101201

Year of fee payment: 4

LAPS Lapse due to unpaid annual fee