KR101466900B1 - 인증서 위임 시스템 및 방법 - Google Patents

인증서 위임 시스템 및 방법 Download PDF

Info

Publication number
KR101466900B1
KR101466900B1 KR1020120113846A KR20120113846A KR101466900B1 KR 101466900 B1 KR101466900 B1 KR 101466900B1 KR 1020120113846 A KR1020120113846 A KR 1020120113846A KR 20120113846 A KR20120113846 A KR 20120113846A KR 101466900 B1 KR101466900 B1 KR 101466900B1
Authority
KR
South Korea
Prior art keywords
terminal
proxy
token
certificate
service
Prior art date
Application number
KR1020120113846A
Other languages
English (en)
Other versions
KR20140050121A (ko
Inventor
황선태
허대영
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020120113846A priority Critical patent/KR101466900B1/ko
Publication of KR20140050121A publication Critical patent/KR20140050121A/ko
Application granted granted Critical
Publication of KR101466900B1 publication Critical patent/KR101466900B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 공개 인증(Open Authorization; OAuth) 프로토콜(Protocol)을 기반으로 하는 인증서 위임 시스템 및 방법에 관한 것으로, 사용자 단말기가 인증서 위임을 요청하며, 사용자 인증을 수행하여 인증 상태를 전달하며; 웹 애플리케이션 수행부가 상기 사용자 단말기의 인증서 위임 요청을 전달하며, 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 요청하며; 그리드 자원 제공부가 상기 웹 애플리케이션 수행부의 요청에 따라 그리드 자원을 제공하며; 서비스 제공 단말기가 상기 웹 애플리케이션 수행부로부터 인증서 위임 요청을 전달받고 상기 사용자 단말기의 사용자 인증을 수행한 후에, 대리 인증서 접근 허가를 상기 웹 애플리케이션 수행부로 통보하도록 함으로써, 그리드 웹 애플리케이션에서 웹 기반 인증으로 단일 로그인 형태의 인증 통합이 쉽게 가능하며, 중계 애플리케이션에 사용자의 자격 증명 정보를 전달하는 보안이 이루어질 수 있으며, 단일 계정을 통하여 다중 가상 조직을 지원할 수 있다.

Description

인증서 위임 시스템 및 방법 {SYSTEM AND METHOD FOR CERTIFICATE DELEGATION}
본 발명은 인증서 위임 시스템 및 방법에 관한 것으로, 보다 상세하게는, 공개 인증(Open Authorization; OAuth) 프로토콜(Protocol)을 기반으로 하는 인증서 위임 시스템 및 방법에 관한 것이다.
일반적으로, 인터넷의 발전과 더불어, 인터넷상의 서비스들이 다양화되고 복잡해지고 있다. 웹 브라우저는 읽기 도구에서 미디어, 엔터테인먼트 등의 복잡한 기능을 처리할 수 있도록 진화되고 있다. 이러한 발전으로 분산 컴퓨팅 환경의 하나인 그리드 컴퓨팅(Grid Computing)을 웹 기반의 환경에서 사용할 수 있도록 하는 연구가 많이 진행되고 있다.
그리드 컴퓨팅 환경에서는 GSI(Grid Security Infrastructure)라고 부르는 X.509 표준을 따르는 인증서는 그리드 컴퓨팅 환경에 접근하기 위한 인증을 웹 환경으로 통합해야 한다. 웹 표준 환경에서는 비밀번호 인증을 기반으로 하는 다양한 단일 로그온(Single Sign-On) 방법이 있지만, 추가적인 지원 소프트웨어 없이 인증서를 직접적으로 지원하기는 매우 어렵다.
이와 같이, 그리드 서비스를 보편적인 웹 인터페이스 및 웹 서비스로 사용자에게 제공하기 위해 웹 표준 기술에 기반을 둔 그리드 웹 애플리케이션의 사용이 증가하고 있으나, 웹 표준 보안 구조에서 GSI와 같은 그리드 보안 시스템과 동일한 위임 방법이 없어 웹 애플리케이션에 그리드를 통합하는 것은 매우 어렵다.
이를 해결하기 위해서는 그리드에서 가장 많이 사용하는 마이프록시(MyProxy)와 같은 온라인 자격 증명 저장 서비스를 이용하여 웹 애플리케이션(즉, 마이프록시를 사용한 그리드 웹 애플리케이션)에서 그리드 인증(Credential)을 사용할 수 있도록 해야 한다.
다시 말해서, 웹 환경과 그리드 컴퓨팅 환경의 상이한 인증 환경을 해결하기 위해서, 온라인 자격 증명 저장 서비스를 이용하여 그리드 웹 애플리케이션이 인증서 기반의 그리드 인증 토큰을 사용할 수 있도록 해야 한다.
그러면, 그리드 웹 애플리케이션과 사용자 간의 상호 신뢰를 전제로 하는 온라인 자격 증명 저장 서비스인 마이프록시를 사용하는 방법에 대해 살펴보면 다음과 같다.
그리드와 웹 애플리케이션 통합 이슈에 의해서, 마이프록시는 X.509 대리 인증서 표준을 따르는 온라인 자격 증명 저장 서비스로서, 그리드 포탈과 같은 웹 애플리케이션에서 그리드 보안 시스템을 통합하기 위한 목적으로 개발되었다.
마이프록시는 크게 두 가지 기능을 제공하는데, 첫 번째로 사용자 인증서를 마이프록시에 위임하는 기능과, 두 번째로 그리드 자원에 접근하려고 하는 애플리케이션이 사용자의 대리 인증서를 마이프록시로부터 위임받는 기능이다.
그리고 마이프록시는 접근을 허가하기 위해서 보편적으로 사용하는 인증방법인 비밀번호를 이용한 인증 방식(즉, 아이디와 패스워드(ID/PWD) 인증 방식)을 제공하여, 위임된 그리드 인증 정보인 사용자 대리 인증서를 보호하도록 한다. 여기서, 비밀번호 인증 방법은 웹에서 보편적으로 사용하는 방법으로 X.509 PKI 기반 인증을 적용하기 어려운 웹 애플리케이션 환경에서 사용하기 용이하도록 해 주었다.
한편, 한국등록특허 제10-0626462호는 확장가능하고 플렉시블하며 스케일링 가능하도록 한 확장가능한 컴퓨팅 시스템에 관하여 개시되어 있는데, 다수의 프로세서들; 다수의 프로세서들에 연결된 제1 스위칭 시스템; 다수의 저장 장치들; 다수의 저장 장치들에 연결된 제2 스위칭 시스템; 제1 스위칭 시스템과 제2 스위칭 시스템에 연결된 제어기; 다수의 프로세서들로부터 프로세서들 서브세트를 선택하기 위한 제어기 내의 수단; 제1 스위칭 시스템으로 하여금 프로세서들 서브세트 내의 프로세서들 각각을 논리적으로 연결시키도록 하는 명령어들을 생성하는 제어기 내의 수단; 다수의 저장 장치로부터 저장 장치들 서브세트를 선택하는 제어기 내의 수단; 및 제2 스위칭 시스템으로 하여금 저장장치들 서브세트 내의 저장장치들 각각을 서로, 그리고 프로세서들 서브세트에 논리적으로 연결시키도록 하는 명령어들을 생성하는 제어기 내의 수단을 포함하는 것을 특징으로 한다. 개시된 기술에 따르면, 단일 광역 스케일 컴퓨팅 인프라스트럭쳐를 이용하여 많은 부분의 인구에게 컴퓨팅 서비스를 제공할 수 있다.
그런데, 마이프록시는 그리드 웹 애플리케이션과 상호 신뢰를 전제로 하는 서비스로서, 마이프록시를 사용하여 상호 신뢰 기반이 아닌 그리드 웹 애플리케이션을 작성할 경우에는, 마이프록시 서비스를 이용한 통합에 대한 문제점으로 다음과 같은 세 가지의 문제점이 발생하게 된다.
첫 번째로, 마이프록시는 독립적으로 인증 시스템을 가지고 있다. 만약에 웹 애플리케이션이 별도의 인증 시스템을 가지고 있다면, 웹 애플리케이션에서 그리드로 접근하기 위해서는 웹 애플리케이션과 마이프록시로 인증을 2회 수행해야 한다. 이것은 그리드 서비스가 X.509 대리 인증서를 통해서 단일 로그온 인증 방식을 채택한 것에 역행한다는 문제점이 있다.
두 번째로, 웹 애플리케이션이 마이프록시로부터 대리 인증서를 획득하려면, 반드시 웹 애플리케이션이 사용자의 마이프록시 인증 정보를 알아야만 한다. 이것은 사용자 자격 증명이 웹 애플리케이션에 저장될 수 있는 보안 위험이 존재하는 문제점이 있다.
세 번째로, 마이프록시는 한 사용자 계정에 하나의 인증서만을 위임할 수 있다. 그리드 컴퓨팅에서는 자원 공유 협의체라고 할 수 있는 가상 조직(Virtual Organization)이 다수 존재할 수 있으며, 각각의 가상 조직은 상호 인증을 지원할 수도 있고 그렇지 않을 수도 있다. 따라서 마이프록시를 이용하는 웹 애플리케이션은 다중 가상 조직을 지원하기 어려운 문제점이 있다.
다시 말해서, 종래의 기술에서는 온라인 자격 증명 저장 서비스로 가장 많이 사용하고 있는 마이프록시를 사용하는 경우에, 그리드로 단일 로그인이 되지 않는 문제점이 있으며, 사용자 단말까지 인증이 교환되려면 웹 애플리케이션에 자격 증명이 저장될 수도 있다는 보안상의 문제점이 있으며, 하나의 그리드 인증만 교환 가능하여 그리드 웹 애플리케이션이 특정 그리드에 종속되는 한계를 가지는 문제점이 있다.
한국등록특허 제10-0626462호
본 발명의 일 실시예는 공개 인증 프로토콜을 기반으로 하는 인증서 위임 시스템 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 대리 인증서(X.509 대리 인증서)의 위임을 위해서 확장된 공개 인증 프로토콜(Extended OAuth Protocol)을 기반으로 하는 인증서 위임 시스템 및 방법을 제공하고자 한다.
실시예들 중에서, 인증서 위임 시스템은, 인증서 위임을 요청하며, 사용자 인증을 수행하여 인증 상태를 전달하는 사용자 단말기; 상기 사용자 단말기의 인증서 위임 요청을 전달하며, 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 요청하는 웹 애플리케이션 수행부; 상기 웹 애플리케이션 수행부의 요청에 따라 그리드 자원을 제공하는 그리드 자원 제공부; 및 상기 웹 애플리케이션 수행부로부터 인증서 위임 요청을 전달받고 상기 사용자 단말기의 사용자 인증을 수행한 후에, 대리 인증서 접근 허가를 상기 웹 애플리케이션 수행부로 통보하는 서비스 제공 단말기를 포함한다.
일 실시예에서, 상기 사용자 단말기는, 사용자의 인증 요청에 따라 상기 서비스 제공 단말기로 직접 사용자 인증을 수행하고 인증 상태를 상기 웹 애플리케이션 수행부로 전달하여, 마이프록시 사용자 자격 증명 정보가 상기 웹 애플리케이션 수행부로 전달되지 않도록 할 수 있다.
실시예들 중에서, 인증서 위임 시스템은, 사용자 인증을 수행한 후에 인증서 위임을 요청하는 사용자 단말기; 상기 사용자 단말기의 사용자 인증을 수행하여 인증 정보를 전달하는 인증 서버; 상기 인증 서버로부터 인증 정보를 전달받고 상기 사용자 단말기의 인증서 위임 요청을 전달한 후에, 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 요청하는 웹 애플리케이션 수행부; 상기 웹 애플리케이션 수행부의 요청에 따라 그리드 자원을 제공하는 그리드 자원 제공부; 및 상기 인증 서버로부터 인증 정보를 전달받은 후에 상기 웹 애플리케이션 수행부로부터 인증서 위임 요청을 전달받아, 대리 인증서 접근 허가를 상기 웹 애플리케이션 수행부로 통보하는 서비스 제공 단말기를 포함한다.
실시예들 중에서, 인증서 위임 시스템은, 인증 화면 및 인증 절차를 제공하여 사용자의 신원을 인증하는 신원 공급 단말기; 사용자의 요청 토큰을 요청하며, 상기 신원 공급 단말기의 인증 화면으로 이동시켜 대리 인증서를 서명하도록 하며, 대리 인증서에 대해 재 위임하거나, 폐기하도록 하는 위임 단말기; 및 토큰 공유 암호를 상기 위임 단말기에게 발급하여 상기 신원 공급 단말기의 인증 화면을 상기 위임 단말기에게 제공하고 사용자 신원을 인증하도록 하며, 개인/공개키 쌍을 생성하여 상기 위임 단말기에게 전달하며, 토큰 공유 암호를 발급하여 서명된 대리 인증서를 검증하여 접근 공유 암호를 상기 위임 단말기에게 발급하는 금고 서비스 단말기를 포함한다.
일 실시예에서, 상기 위임 단말기는, 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 공유 암호 발급을 상기 금고 서비스 단말기에게 요청하며, 상기 금고 서비스 단말기로부터 공유 암호를 발급받아 사용자를 상기 신원 공급 단말기의 인증 화면으로 이동시켜 대리 인증서에 서명하도록 하며, 해당 서명된 대리 인증서와 접근 토큰에 대한 공유 암호 발급을 상기 금고 서비스 단말기에게 요청하며, 상기 금고 서비스 단말기로부터 접근 토큰 및 공유 암호를 발급받아 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 할 수 있다.
일 실시예에서, 상기 금고 서비스 단말기는, 상기 위임 단말기의 공유 암호 발급 요청에 따라 공유 암호를 상기 위임 단말기에게 발급하며, 상기 신원 공급 단말기의 인증 화면을 상기 위임 단말기에게 제공하여 인증 사이트로 이동시켜 상기 신원 공급 단말기의 인증 절차에 따라 사용자의 신원을 인증하며, 대리 인증서에 사용할 개인/공개키 쌍 및 접근 토큰을 생성하여 상기 위임 단말기에게 전달하며, 상기 위임 단말기의 공유 암호 발급 요청에 따라 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 상기 위임 단말기에게 발급할 수 있다.
실시예들 중에서, 인증서 위임 시스템은, 인증 화면 및 인증 절차를 제공하여 사용자의 신원을 인증하는 신원 공급 단말기; 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 공유 암호 발급을 요청하며, 공유 암호를 발급받아 사용자를 상기 신원 공급 단말기의 인증 화면으로 이동시켜 주며, 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서 함께 접근 토큰 공유 암호 발급을 요청하며, 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 저장된 제1 대리 인증서를 폐기하도록 하는 서비스 대행 단말기; 및 상기 서비스 대행 단말기의 공유 암호 발급 요청에 따라 공유 암호를 상기 서비스 대행 단말기에게 발급하며, 상기 신원 공급 단말기의 인증 화면을 상기 서비스 대행 단말기에게 제공하여 상기 신원 공급 단말기의 인증 절차에 따라 사용자의 신원을 인증한 후에, 저장된 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 상기 서비스 대행 단말기에게 전달하며, 상기 서비스 대행 단말기의 접근 토큰 공유 암호 발급 요청에 따라 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 상기 서비스 대행 단말기에게 전달하는 금고 서비스 단말기를 포함한다.
실시예들 중에서, 인증서 위임 시스템은, 인증 화면 및 인증 절차를 제공하여 사용자의 신원을 인증하여 인증 성공 정보를 전달하는 신원 공급 단말기; 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 공유 암호 발급을 요청하고, 공유 암호를 발급받아 사용자를 상기 신원 공급 단말기의 인증 화면으로 이동시켜 사용자 인증을 수행하도록 하는 사용자 단말기; 상기 사용자 단말기의 공유 암호 발급 요청에 따라 공유 암호를 상기 사용자 단말기에게 발급하며, 공유 토큰 발급 허가에 따라 그리드 자원 접근을 요청하여 그리드 자원을 제공받는 서비스 대행 단말기; 및 상기 신원 공급 단말기의 인증 화면을 상기 사용자 단말기에게 제공하며, 상기 신원 공급 단말기의 인증 성공 정보에 따라 공유 토큰 발급을 상기 서비스 대행 단말기에게 허가하는 금고 서비스 단말기를 포함한다.
일 실시예에서, 상기 금고 서비스 단말기는, 상기 신원 공급 단말기를 통해서 사용자의 신원 정보를 확인할 수 있다.
실시예들 중에서, 인증서 위임 방법은, 위임 단말기에서 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 공유 암호 발급을 요청하는 단계; 금고 서비스 단말기에서 상기 공유 암호 발급 요청에 따라 공유 암호를 위임 단말기에게 발급하는 단계; 위임 단말기에서 상기 공유 암호를 발급받아 신원 공급 단말기의 인증 화면으로 이동시키며, 금고 서비스 단말기에서 신원 공급 단말기의 인증 절차에 따라 사용자 인증을 수행하는 단계; 금고 서비스 단말기에서 대리 인증서에 사용할 개인/공개키 쌍 및 접근 토큰을 생성하여 위임 단말기에게 전달하는 단계; 위임 단말기에서 상기 대리 인증서에 서명을 수행한 후에, 서명된 대리 인증서와 접근 토큰에 대한 공유 암호 발급을 금고 서비스 단말기에게 요청하는 단계; 금고 서비스 단말기에서 서명된 대리 인증서를 검증한 후에, 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기에게 발급하는 단계; 및 위임 단말기에서 상기 접근 토큰 및 공유 암호를 발급받아 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 하는 단계를 포함한다.
실시예들 중에서, 인증서 위임 방법은, 서비스 대행 단말기에서 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 공유 암호 발급을 요청하는 단계; 금고 서비스 단말기에서 상기 공유 암호 발급 요청에 따라 공유 암호를 서비스 대행 단말기에게 발급하는 단계; 서비스 대행 단말기에서 상기 공유 암호를 발급받아 신원 공급 단말기의 인증 화면으로 이동시키며, 금고 서비스 단말기에서 신원 공급 단말기의 인증 절차에 따라 사용자 인증을 수행하는 단계; 금고 서비스 단말기에서 저장된 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 해당 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기에게 전달하는 단계; 서비스 대행 단말기에서 상기 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서와 함께 접근 토큰 공유 암호 발급을 금고 서비스 단말기에게 요청하는 단계; 금고 서비스 단말기에서 상기 접근 토큰 공유 암호 발급 요청에 따라 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기에게 전달하는 단계; 및 서비스 대행 단말기에서 상기 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기에 저장된 제1 대리 인증서를 폐기하도록 하는 단계를 포함한다.
본 발명의 일 실시예에 따른 인증서 위임 시스템 및 방법은, 대리 인증서(X.509 대리 인증서)의 위임을 위해서 확장된 공개 인증 프로토콜(Extended OAuth Protocol)을 기반으로 하는 인증서 위임을 제공함으로써, 그리드 웹 애플리케이션에서 웹 기반 인증으로 단일 로그인 형태의 인증 통합이 쉽게 가능하며, 중계 애플리케이션에 사용자의 자격 증명 정보를 전달하는 보안이 이루어질 수 있으며, 단일 계정을 통하여 다중 가상 조직을 지원할 수 있는 효과를 가진다.
도 1은 본 발명의 일 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
도 2는 본 발명의 이 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
도 3은 본 발명의 삼 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
도 4는 본 발명의 삼 실시예에 따른 인증서 위임 방법을 설명하는 흐름도이다.
도 5는 도 4에 있어 응답 헤더를 나타낸 예시도이다.
도 6은 도 4에 있어 요청 헤더를 나타낸 예시도이다.
도 7은 본 발명의 사 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
도 8은 본 발명의 사 실시예에 따른 인증서 위임 방법을 설명하는 흐름도이다.
도 9는 본 발명의 오 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.
한편, 본 발명에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
본 발명의 일 실시예에 따른 인증서 위임 시스템은, 상호 신뢰를 바탕으로 하지 않는 그리드 인증을 위임하는 프로토콜(즉, 대리 인증서(즉, X.509 대리 인증서)의 위임을 위해서 확장된 공개 인증 프로토콜)을 이용하도록 한다. 여기서, 해당 프로토콜은 제3의 서비스 제공자에게 사용자의 보호된 데이터를 읽을 수 있도록 허가하는 공개 인증 프로토콜에 X.509 대리 인증서 위임 프로세스를 추가한 것이다.
도 1은 본 발명의 일 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명의 일 실시예에 따른 인증서 위임 시스템은, 도 1에 도시된 바와 같이, 사용자 단말기(110), 웹 애플리케이션 수행부(120), 서비스 제공 단말기(130), 그리드 자원 제공부(140)를 포함한다.
사용자 단말기(110)는, 사용자의 인증 요청에 따라 인증서 위임 요청을 웹 애플리케이션 수행부(120)로 수행하며, 마이프록시(MyProxy) 사용자 자격 증명 정보가 웹 애플리케이션 수행부(120)로 전달되지 않도록 하기 위해서, 사용자의 인증 요청에 따라 서비스 제공 단말기(130)로 직접 사용자 인증을 수행하여 인증 상태를 웹 애플리케이션 수행부(120)로 전달해 준다. 이때, 사용자 단말기(110)는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 서비스 제공 단말기(130)로 전달한다.
웹 애플리케이션 수행부(120)는, 그리드 웹 애플리케이션을 수행하는데, 사용자 단말기(110)로부터 수신되는 인증서 위임 요청을 서비스 제공 단말기(130)에 전달해 주며, 서비스 제공 단말기(130)로부터 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 그리드 자원 제공부(140)에 요청하여 그리드 자원 제공부(140)로부터 그리드 자원을 제공받도록 한다.
서비스 제공 단말기(130)는, 온라인 자격증명 저장 서비스를 제공하는데, 웹 애플리케이션 수행부(120)로부터 인증서 위임 요청을 전달받고 사용자 단말기(110)로부터 수신되는 사용자 인증 요청에 따라 사용자 인증을 수행한 후에, 대리 인증서 접근 허가를 웹 애플리케이션 수행부(120)로 통보해 준다.
그리드 자원 제공부(140)는, 웹 애플리케이션 수행부(120)의 요청에 따라 그리드 자원을 웹 애플리케이션 수행부(120)에게 제공한다.
본 발명의 일 실시예에 따른 인증서 위임 시스템은, 웹 애플리케이션 수행부(120)와 서비스 제공 단말기(130)로 2회의 인증을 수행한다.
그래서 그리드 서비스와 같이 싱글 사인-온 인증 방식을 유지하기 위해서는, 웹 애플리케이션 수행부(120)와 서비스 제공 단말기(130)로 2회의 인증을 해결해야 하는데, 통합 인증을 수행할 수 있도록 별도의 인증 서버를 두어 처리하도록 한다.
도 2는 본 발명의 이 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명의 이 실시예에 따른 인증서 위임 시스템은, 도 2에 도시된 바와 같이, 사용자 단말기(210), 웹 애플리케이션 수행부(220), 서비스 제공 단말기(230), 그리드 자원 제공부(240), 인증 서버(250)를 포함한다.
사용자 단말기(210)는, 마이프록시(MyProxy) 사용자 자격 증명 정보가 웹 애플리케이션 수행부(220)로 전달되지 않도록 하기 위해서, 사용자의 인증 요청에 따라 인증 서버(250)로 직접 사용자 인증을 수행한 후에, 인증서 위임 요청을 웹 애플리케이션 수행부(220)로 수행해 준다. 이때, 사용자 단말기(210)는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 서비스 제공 단말기(230)로 전달한다.
웹 애플리케이션 수행부(220)는, 그리드 웹 애플리케이션을 수행하는데, 인증 서버(250)로부터 인증 정보를 전달받은 후에, 사용자 단말기(210)로부터 인증서 위임 요청을 수신받아 대리 인증서를 서비스 제공 단말기(230)에 요청하며, 서비스 제공 단말기(230)로부터 대리 인증서 접근 허가를 전달받아 그리드 자원 접근을 그리드 자원 제공부(240)에 요청하여 그리드 자원 제공부(240)로부터 그리드 자원을 제공받도록 한다.
서비스 제공 단말기(230)는, 온라인 자격증명 저장 서비스를 제공하는데, 인증 서버(250)로부터 인증 정보를 전달받은 후에, 웹 애플리케이션 수행부(220)로부터 대리 인증서 요청을 전달받아 대리 인증서 접근 허가를 웹 애플리케이션 수행부(220)로 통보해 준다.
여기서, 그리드 보안을 웹 기반으로 통합하는 것을 지원하는 온라인 자격증명 저장 서비스는, 마이프록시 외에도 크레드엑스(CredEx), 세이프박스(SafeBox) 등이 있다.
크레드엑스는 비밀번호 기반 웹 서비스와 GSI 기반 그리드 서비스 사이의 인증을 교환하는 시스템으로, 더블유에스-트러스트(WS-Trust) 토큰 교환 프로토콜을 사용하여 다른 자격 증명으로 교환을 하는 웹 서비스로 구현된다. 또한, 크레드엑스는 인증 정보 저장을 위해서 별칭을 사용하며, 별칭과 인증 정보를 연결하는 것은 사용자 책임이다.
세이프박스는 그리드 사용자에게 한 개 이상의 그리드 인증을 저장할 수 있도록 제공하는 자격 증명 관리 서비스로서, 사용자 이름과 비밀번호 쌍의 인증을 통해서 공유 토큰을 발급하고, 공유 토큰을 통해서 저장된 그리드 인증을 획득할 수 있는 인증 교환 프로토콜을 제시한다.
그리드 자원 제공부(140)는, 웹 애플리케이션 수행부(220)의 요청에 따라 그리드 자원을 웹 애플리케이션 수행부(220)에게 제공한다.
인증 서버(250)는 사용자 단말기(210)로부터 수신되는 사용자 인증 요청에 따라 사용자 인증을 수행한 후에, 인증 정보를 웹 애플리케이션 수행부(220) 및 서비스 제공 단말기(230)로 전달해 준다.
상술한 구성과 같은 본 발명의 이 실시예에 따른 인증서 위임 시스템은, 공개 인증 프로토콜 기반 X.509 대리 인증서 위임 및 획득을 수행하도록 하는데, 즉 공개 인증 프로토콜에 X.509 대리 인증서 위임/획득 프로세스를 추가한 프로토콜을 이용하여 X.509 대리 인증서 위임 및 획득을 수행한다.
도 3은 본 발명의 삼 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명의 삼 실시예에 따른 인증서 위임 시스템은, 도 3에 도시된 바와 같이, 신원 공급 단말기(310), 금고 서비스 단말기(320), 위임 단말기(330)를 포함하여, 공개 인증 프로토콜에 X.509 대리 인증서 교환 프로세스를 추가하여, 사용자의 인증서를 위임하도록 한다. 여기서, 해당 인증서 위임은 사용자의 인증서에 대한 위임 인증서를 금고 서비스 단말기(320)에 저장하는 것이다.
신원 공급 단말기(310)는, 신원 공급자(Identity Provider; IdP)로서, 사용자의 신원을 인증해 주는 서비스를 제공한다.
일 실시예에서, 신원 공급 단말기(310)는, 인증 화면을 금고 서비스 단말기(320)로 제공하고 인증 절차를 금고 서비스 단말기(320)에게 제공하여 사용자의 신원을 인증하도록 한다.
금고 서비스 단말기(320)는, 금고 서비스(Secure Box Service; SBox)를 제공하는 단말기로서, 마이프록시를 대체하는 온라인 자격증명 저장 서비스를 제공하는데, 사용자의 인증서를 위임받아 저장하는 일과, 허가된 서비스 대행 단말기에게 저장된 사용자의 인증서를 위임하는 일을 수행한다.
일 실시예에서, 금고 서비스 단말기(320)는, 위임 단말기(330)로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 위임 단말기(330)에게 발급해 주며, 금고 서비스의 인증 화면을 위임 단말기(330)에게 제공하여 공개아이디(OpenID) 및 공개 인증 프로토콜을 지원하는 신원 공급 단말기(310)의 인증 사이트로 이동시켜 주며, 신원 공급 단말기(310)로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증하며, 사용자의 인증이 성공적으로 끝날 경우에 대리 인증서에 사용할 개인/공개키 쌍을 생성하며, 접근 토큰을 생성하고 해당 생성된 접근 토큰과 대리 인증서 서명 요청서(공개키)를 위임 단말기(330)에게 전달하며, 위임 단말기(330)로부터 공유 암호 발급 요청을 인가받아 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기(330)에게 발급해 준다.
위임 단말기(330)는, 위임자(Delegator)로서, 금고 서비스 단말기(320)에 사용자의 인증서를 위임하는 일을 수행하는 애플리케이션을 제공한다.
일 실시예에서, 위임 단말기(330)는, 사용자의 요청에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(320)에게 요청하며, 금고 서비스 단말기(320)로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며, 금고 서비스 단말기(320)로부터 전달받은 대리 인증서에 서명을 수행하도록 하며, 해당 서명된 대리 인증서와 함께 접근 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(320)에게 요청하며, 금고 서비스 단말기(320)로부터 발급받은 접근 토큰 및 공유 암호를 이용하여 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 한다.
도 4는 본 발명의 삼 실시예에 따른 인증서 위임 방법을 설명하는 흐름도이다.
도 4를 참조하면, 우선 위임 단말기(330)에서는 사용자의 요청에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(320)에게 요청하게 된다(S401).
이에, 금고 서비스 단말기(320)는 위임 단말기(330)로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 위임 단말기(330)에게 발급해 주게 된다(S402).
이에 따라, 위임 단말기(330)는 금고 서비스 단말기(320)로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며(S403), 금고 서비스 단말기(320)는 금고 서비스의 인증 화면을 위임 단말기(330)에게 제공하여 신원 공급 단말기(310)의 인증 사이트로 이동시켜 주게 된다(S404).
그러면, 신원 공급 단말기(310)에서는 인증 화면을 금고 서비스 단말기(320)로 제공하고 인증 절차를 금고 서비스 단말기(320)에게 제공하여 사용자의 신원을 인증하도록 한다(S405).
이때, 금고 서비스 단말기(320)는 신원 공급 단말기(310)로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증하며, 사용자의 인증이 성공적으로 끝날 경우에 대리 인증서에 사용할 개인/공개키 쌍을 생성하며, 접근 토큰을 생성하고 해당 생성된 접근 토큰과 대리 인증서 서명 요청서(공개키)를 위임 단말기(330)에게 전달하게 된다(S406).
이에, 위임 단말기(330)는 금고 서비스 단말기(320)로부터 전달받은 대리 인증서에 서명을 수행하도록 하며, 해당 서명된 대리 인증서와 함께 접근 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(320)에게 요청하게 된다(S407).
이에 따라, 금고 서비스 단말기(320)는 위임 단말기(330)로부터 공유 암호 발급 요청을 인가받아 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기(330)에게 발급해 주게 된다(S408).
그러면, 위임 단말기(330)는 금고 서비스 단말기(320)로부터 발급받은 접근 토큰 및 공유 암호를 이용하여 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 한다(S409).
상술한 바와 같은 본 발명의 삼 실시예에 따른 인증서 위임 방법은, 인증서 위임을 위해서, 공개 인증의 S401에서 S409까지의 단계에서 S403에서 S406까지의 단계의 인증과, S406에서 S407까지의 단계를 확장한다. 여기서, S406에서 S407까지의 단계는 X.509 인증서 위임 프로세스를 추가한 것이다.
도 5는 도 4에 있어 응답 헤더를 나타낸 예시도이며, 도 6은 도 4에 있어 요청 헤더를 나타낸 예시도이다.
도 5 및 도 6에 나타낸 바와 같이, 상술한 단계 S406과 단계 S407의 응답과 요청 예를 보여준다.
상술한 단계 S406의 응답에서는, 공개 인증 프로토콜에 xoauth_proxy_ request 헤더 혹은 파라미터를 추가한다.
그리고 상술한 단계 S407의 요청에서는, xoauth_public_certificate 헤더 혹은 파라미터를 추가하고, 확장된 proxy_request와 public_certificate의 내용은 파일로 첨부한다.
도 7은 본 발명의 사 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명의 사 실시예에 따른 인증서 위임 시스템은, 도 7에 도시된 바와 같이, 신원 공급 단말기(710), 금고 서비스 단말기(720), 서비스 대행 단말기(730)를 포함하여, 대리 인증서를 획득하도록 한다. 여기서, 해당 대리 인증서 획득은 금고 서비스 단말기(720)에 위임한 대리 인증서를 이용해서 서비스 대행 단말기(730)가 새로운 대리 인증서를 획득하는 것이다. 또한, 서비스 대행 단말기(730)가 획득한 대리 인증서는 원본 개체 인증서의 권한을 계승한다.
신원 공급 단말기(710)는, 신원 공급자로서, 사용자의 신원을 인증해 주는 서비스를 제공한다. 일 실시예에서, 신원 공급 단말기(710)는, 인증 화면을 금고 서비스 단말기(720)로 제공하고 인증 절차를 금고 서비스 단말기(720)에게 제공하여 사용자의 신원을 인증하도록 한다.
금고 서비스 단말기(720)는, 금고 서비스를 제공하는 단말기로서, 마이프록시를 대체하는 온라인 자격증명 저장 서비스를 제공하는데, 사용자의 인증서를 위임받아 저장하는 일과, 허가된 서비스 대행 단말기(730)에게 저장된 사용자의 인증서를 위임하는 일을 수행한다.
일 실시예에서, 금고 서비스 단말기(720)는, 서비스 대행 단말기(730)로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 서비스 대행 단말기(730)에게 발급해 주며, 금고 서비스의 인증 화면을 서비스 대행 단말기(730)에게 제공하여 공개아이디(OpenID) 및 공개 인증 프로토콜을 지원하는 신원 공급 단말기(710)의 인증 사이트로 이동시켜 주며, 신원 공급 단말기(710)로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증한 후에, 금고에 저장되어 있는 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기(730)에게 전달하며, 서비스 대행 단말기(730)로부터 접근 토큰 공유 암호 발급을 요청받아 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기(730)에게 전달하도록 한다.
서비스 대행 단말기(730)는, 서비스 대행자(Service Agency; SA)로서, 사용자 혹은 다른 서비스를 대신하여 그리드 서비스에 접근하여 처리하는 서비스를 제공한다. 예를 들어, 그리드 포털과 같은 웹 애플리케이션이 이에 해당한다.
일 실시예에서, 서비스 대행 단말기(730)는, 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(720)에게 요청하며, 금고 서비스 단말기(720)로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며, 금고 서비스 단말기(720)에서 생성된 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서(공개키)와 함께 접근 토큰 공유 암호 발급을 금고 서비스 단말기(720)에게 요청하며, 금고 서비스 단말기(720)로부터 전달받은 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기(720)에 저장된 제1 대리 인증서를 폐기하도록 한다.
도 8은 본 발명의 사 실시예에 따른 인증서 위임 방법을 설명하는 흐름도이다.
도 8을 참조하면, 우선 서비스 대행 단말기(730)에서는 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 금고 서비스 단말기(720)에게 요청하게 된다(S801).
이에, 금고 서비스 단말기(720)는 서비스 대행 단말기(730)로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 서비스 대행 단말기(730)에게 발급해 주게 된다(S802).
이에 따라, 서비스 대행 단말기(730)는 금고 서비스 단말기(720)로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 주며(S803), 금고 서비스 단말기(720)는 금고 서비스의 인증 화면을 서비스 대행 단말기(730)에게 제공하여 신원 공급 단말기(710)의 인증 사이트로 이동시켜 주게 된다(S804).
그러면, 신원 공급 단말기(710)에서는 인증 화면을 금고 서비스 단말기(720)로 제공하고 인증 절차를 금고 서비스 단말기(720)에게 제공하여 사용자의 신원을 인증하도록 한다(S805).
이때, 금고 서비스 단말기(720)는 신원 공급 단말기(710)로부터 제공되는 인증 절차에 따라 사용자의 신원을 인증한 후에, 금고에 저장되어 있는 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기(730)에게 전달하게 된다(S806).
이에, 서비스 대행 단말기(730)는 금고 서비스 단말기(720)에서 생성된 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서(공개키)와 함께 접근 토큰 공유 암호 발급을 금고 서비스 단말기(720)에게 요청하게 된다(S807).
이에 따라, 금고 서비스 단말기(720)는 서비스 대행 단말기(730)로부터 접근 토큰 공유 암호 발급을 요청받아 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 토큰 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기(730)에게 전달하도록 한다(S808).
그러면, 서비스 대행 단말기(730)는 금고 서비스 단말기(720)로부터 전달받은 접근 토큰과 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기(720)에 저장된 제1 대리 인증서를 폐기하도록 한다(S809).
상술한 바와 같은 본 발명의 사 실시예에 따른 인증서 위임 방법은, 인증서 위임을 위해서, 공개 인증의 S801에서 S809까지의 단계에서 S803에서 S806까지의 단계의 인증과, S806에서 S807까지의 단계를 확장한다. 여기서, S806에서 S807까지의 단계는 X.509 인증서 위임 프로세스를 공개 인증 프로토콜에 추가한 것이다.
그리고 상술한 바와 같은 본 발명의 사 실시예에 따른 인증서 위임 방법은, 상술한 바와 같은 본 발명의 삼 실시예에 따른 인증서 위임 방법에서의 요청(도 5)과 응답(도 6)을 반대로 적용한 것과 동일하다는 점을 잘 이해해야 한다.
도 9는 본 발명의 오 실시예에 따른 인증서 위임 시스템을 설명하는 구성 블록도이다.
본 발명의 오 실시예에 따른 인증서 위임 시스템은, 도 9에 도시된 바와 같이, 제3의 신원 공급자의 단말기(910), 금고 서비스 단말기(920), 서비스 대행 단말기(930), 사용자 단말기(940)를 포함하여, 제3의 신원 공급자의 단말기(910)를 이용한 사용자 인증 동작, 즉 도 4 또는 도 8에서의 상술한 S403에서 S406까지의 단계 또는 상술한 S803에서 S806까지의 단계의 동작을 수행하도록 한다.
제3의 신원 공급자의 단말기(910)(즉, 신원 공급 단말기(910))는, 인증 화면을 금고 서비스 단말기(920)로 제공하고 인증 절차를 금고 서비스 단말기(920)에게 제공하여 사용자 단말기(940)로부터 제공되는 사용자의 신원을 인증하도록 하며, 사용자의 인증이 성공적으로 끝날 경우에 인증 성공 정보를 금고 서비스 단말기(920)에게 전달한다.
금고 서비스 단말기(920)는, 금고 서비스의 인증 화면을 사용자 단말기(940)에게 제공하여 신원 공급 단말기(910)의 인증 사이트로 이동시켜 준 후에, 신원 공급 단말기(910)로부터 인증 성공 정보를 전달받아 공개 인증 프로토콜 표준에 따른 공유 토큰 발급을 서비스 대행 단말기(930)에게 허가해 준다. 이때, 금고 서비스 단말기(920)는 신원 공급 단말기(910)를 통해서 메일 주소 등과 같은 기본적인 신원 정보를 확인할 수 있다.
일 실시예에서, 금고 서비스 단말기(920)는 서비스 대행 단말기(930)에 대한 신원 공급자 역할을 수행할 수 있다.
서비스 대행 단말기(930)는, 도 4에서의 단계 S402 또는 도 8에서의 단계 S802의 동작을 수행하는데, 사용자 단말기(940)로부터 공유 암호 발급 요청을 인가받아 요청 토큰에 대한 공유 암호를 사용자 단말기(940)에게 발급하며, 금고 서비스 단말기(920)의 공유 토큰 발급 허가에 따라 그리드 자원 접근을 그리드 자원 제공부에 요청하여 그리드 자원 제공부로부터 그리드 자원을 제공받도록 한다.
사용자 단말기(940)는, 도 4에서의 단계 S401 또는 도 8에서의 단계 S801의 동작을 수행한 후에 도 4에서의 단계 S403 또는 도 8에서의 단계 S803의 동작을 수행하는데, 사용자 요청 또는 사용자를 대행한 요청(즉, 서비스 대행자 요청)에 따라 요청 토큰을 생성하고, 해당 생성한 요청 토큰에 대한 공유 암호 발급을 서비스 대행 단말기(930)에게 요청한 다음에, 서비스 대행 단말기(930)로부터 공유 암호를 발급받아 사용자를 금고 서비스의 인증 화면으로 이동시켜 신원 공급 단말기(910)의 인증 사이트로 이동하도록 한다.
그리고 사용자 단말기(940)는, 금고 서비스 단말기(920)에 의해 제공되는 신원 공급 단말기(910)의 인증 화면에서 신원 공급 단말기(910)로 사용자 인증을 수행한다. 이때, 사용자 단말기(940)는, 사용자 자격 증명으로 예를 들어, 사용자의 아이디와 패스워드를 신원 공급 단말기(910)로 제공한다.
상술한 바와 같은 구성을 가진 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 자격 증명 서비스와 그리드 웹 애플리케이션의 인증 통합을 지원하기 위해서, 제3의 신원 공급자의 신원 공급 단말기(910)를 통해서 신원 인증을 수행할 수 있다. 여기서, 신원 공급 단말기(910)는 공개아이디(OpenID)와 공개 인증과 같은 단일 로그온이 가능한 서비스를 제공한다.
즉, 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 도 9에 도시된 바와 같이, 도 4의 S403에서 S406까지의 단계 또는 도 8의 S803에서 S806까지의 단계의 사용자 인증 동작에 공개아이디(OpenID) 또는 공개 인증 프로토콜과 같은 외부 인증 프로토콜을 사용하도록 한다.
이때, 인증서 위임/획득 혹은 인증을 구분하기 위해서, 도 4의 S403 단계 또는 도 8의 S803 단계에서 요청 헤더 혹은 파라미터에 항목(xoauth_auth_method=[auth, delegate or get])을 추가하여, 사용자 인증 목적을 명시할 수 있다.
만약에 값이 위임(delegate)이면 인증서 위임을 의미하고, 값이 획득(get)이면 인증서 획득을 의미하며, 값이 인증(auth)이거나 값이 없는 경우에는 확장하지 않은 공개 인증 프로토콜의 사용자 인증을 수행하도록 한다.
그리고 상술한 바와 같은 구성을 가진 본 발명의 오 실시예에 따른 인증서 위임 시스템은, 다중 가상 조직(Multiple Virtual Organization)을 지원하기 위해서, 금고 서비스 단말기(920)가 인증서 위임 시에 사용자 별로 여러 개의 인증서를 위임할 수 있도록 한다.
또한, 그리드 웹 애플리케이션 수행부인 서비스 대행 단말기(930)에서 대리 인증서를 획득할 때에는, 도 8에서의 S803에서 S806까지의 단계에서 사용자 인증 후에 위임되어 있는 대리 인증서를 선택하게 하여 다중 가상 조직을 지원할 수 있도록 한다.
본 발명 마이프록시 크레드엑스 세이프박스
사용자인증 및 인증방식 확장 방법 외부인증 자체인증(ID/PWD)
웹기반인증 PAM 불가 PAM, SASI 등
그리드인증 교환방법 (사용자포함) 공개인증프로토콜 X.509 프록시 + 중계 더블유-트러스트 + 중계 공유 토큰
제3자로부터 인증보호 공개인증프로토콜에 의존적임 불가 불가 공유 토큰에 의존적임
단일로그인 (SSO) 가능 불가 불가 가능
다중 인증서 가능 물가 가능 가능
표 1은 온라인 자격증명 저장 서비스들을 사용자 인증 지원 방법과, 그리드 인증으로 교환하는 방법, 그리드 인증을 사용하려고 하는 제3자로부터 사용자 인증의 보호 여부, 단일 로그온(Single Sign On; SSO) 지원 여부, 다중 인증서 지원 여부를 비교한 것이다.
여기서, 사용자 인증 및 인증 방식 확장 방법은, 공개아이디(OpenID)나 공개 인증 프로토콜과 같은 웹에서 사용하는 외부 인증 방법을 이용하여 사용자 인증을 지원한다. 이때, 마이프록시, 크레드엑스 및 세이프박스는 자체적인 사용자 인증 정보를 처리한다. 또한, 마이프록시 및 세이프박스에서 외부 인증을 지원하기 위해서는, 유닉스의 PAM을 확장할 수 있지만, 이런 경우에 PAM 시스템이 인증 정보를 중계해야 한다. 반면에, 본 발명은 다른 웹 애플리케이션과 통합할 때, 웹 인증 기반으로 수행되어 인증 정보 중계가 없어 안전하다.
그리고 그리드 인증 교환 방법은, 사용자 인증을 통해서 그리드 인증으로 교환하기 위한 방법을 말한다. 이때, 마이프록시는 X.509 대리 인증서 표준을 따르고, 크레드엑스는 웹 서비스 표준인 더블유-트러스트를 준수하고 있는데, 두 서비스는 사용자에서 서비스 대행자를 거쳐 그리드 인증을 수행해야 하기 때문에 추가의 사용자 자격 증명 중계가 필요하다. 또한, 세이프박스는 사용자 인증을 대표하는 동적으로 생성된 공유 토큰 방법을 사용한다.
그리고 제3자로부터 인증 보호의 경우, 그리드 인증의 교환을 위한 사용자 자격 증명 정보는 제3자인 그리드 웹 애플리케이션으로부터 보호되어야 한다. 본 발명에서는 공개 인증 방법으로 그리드 웹 애플리케이션에 사용자 자격 증명 정보가 전달되지 않도록 하고, 세이프박스는 공유 토큰을 사용하여 사용자 자격 증명 정보가 전달되지 않도록 하고 있다. 그러나 마이프록시와 크레드엑스는 사용자 자격 증명 정보를 그리드 웹 애플리케이션에 중계해야 함으로 사용자 자격증명 정보가 보호되지 않는다.
그리고 단일 로그온의 경우, 그리드 웹 애플리케이션과 온라인 자격증명 저장 서비스간의 사용자 자격 증명을 통합할 수 있어야 한다. 본 발명에서는 공개 인증 프로토콜에서 지원하는 범위에서 단일 로그온을 지원한다. 세이프박스는 공유 토큰을 이용한 단일 로그인이 지원이 가능하다. 마이프록시와 크레드엑스는 구현하지 않고 있으나 그리드 웹 애플리케이션에서 마이프록시와 크레드엑스를 통해서 사용자 자격 증명을 수행할 경우에만 가능하다.
그리고 다중 인증서의 경우, 다양한 그리드 가상 조직을 사용하기 위해서는 하나의 사용자 자격 증명으로 그리드 인증에 사용되는 다수의 인증서를 지원해야 한다. 마이프록시는 하나의 사용자 자격 증명에 하나의 인증서만 사용 가능하다.
상술한 바와 같이, 그리드 서비스를 지원하는 웹 애플리케이션에서 표준 웹 환경의 인증 방식에서 그리드 인증을 지원하기 위해서는, 온라인 자격 증명 저장 서비스가 필요하며, 온라인 자격 증명 저장 서비스는 다양한 방법의 사용자 자격 증명들을 그리드 인증으로 전환할 수 있어야 한다.
그리고 온라인 자격증명 저장 서비스로 가장 많이 사용하고 있는 마이프록시를 사용하는 경우, 사용자 단말기까지 인증이 교환되려면 웹 애플리케이션에 자격 증명이 저장될 수도 있다는 보안상의 문제, 그리드로 단일 로그인이 되지 않는 문제, 하나의 그리드 인증만 교환 가능하여 그리드웹 애플리케이션이 특정 그리드에 종속되는 한계를 가지고 있으므로, 본 발명에서는 이러한 세 가지 문제를 해결하기 위해서 사용자 자격 증명(예를 들어, 비밀번호, 공유키 등)을 그리드 인증(X.509인증)으로 교환하는 방법으로, 공개 인증 프로토콜에 X.509 대리 인증서 표준 교환 방법을 확장한 프로토콜을 사용하도록 하며, 제3의 신원 공급자를 통한 사용자 자격 증명이 가능하도록 하며, 이에 따라 그리드 웹 애플리케이션에서 웹 기반 인증으로 단일 로그인 형태의 인증 통합이 쉽게 가능해지고, 중계 애플리케이션에 사용자의 자격 증명 정보를 전달하는 보안 문제를 해결하며, 또한 단일 계정을 통하여 다중 가상 조직을 지원하는 것이 가능하도록 한다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
110, 210, 940: 사용자 단말기
120, 220: 웹 애플리케이션 수행부
130, 230: 그리드 자원 제공부
140, 240: 서비스 제공 단말기
250: 인증 서버
310, 710, 910: 신원 공급 단말기
320, 720, 920: 금고 서비스 단말기
330: 위임 단말기
730, 930: 서비스 대행 단말기

Claims (11)

  1. 인증 화면 및 인증 절차를 제공하여 사용자의 신원을 인증하는 신원 공급 단말기;
    사용자의 요청 토큰을 생성하며, 상기 신원 공급 단말기의 인증 화면으로 이동시켜 대리 인증서를 서명하도록 하며, 대리 인증서에 대해 재 위임하거나, 폐기하도록 하는 위임 단말기; 및
    토큰 공유 암호를 상기 위임 단말기에게 발급하여 상기 신원 공급 단말기의 인증 화면을 상기 위임 단말기에게 제공하고 사용자 신원을 인증하도록 하며, 개인/공개키 쌍을 생성하여 상기 위임 단말기에게 전달하며, 토큰 공유 암호를 발급하여 서명된 대리 인증서를 검증하여 접근 공유 암호를 상기 위임 단말기에게 발급하는 금고 서비스 단말기를 포함하는 인증서 위임 시스템.
  2. 제1항에 있어서, 상기 위임 단말기는,
    사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 토큰 공유 암호 발급을 상기 금고 서비스 단말기에게 요청하며, 상기 금고 서비스 단말기로부터 토큰 공유 암호를 발급받아 사용자를 상기 신원 공급 단말기의 인증 화면으로 이동시켜 대리 인증서에 서명하도록 하며, 해당 서명된 대리 인증서와 접근 토큰에 대한 접근 공유 암호 발급을 상기 금고 서비스 단말기에게 요청하며, 상기 금고 서비스 단말기로부터 접근 토큰 및 접근 공유 암호를 발급받아 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 하는 것을 특징으로 하는 인증서 위임 시스템.
  3. 제1항에 있어서, 상기 금고 서비스 단말기는,
    상기 위임 단말기의 토큰 공유 암호 발급 요청에 따라 토큰 공유 암호를 상기 위임 단말기에게 발급하며, 상기 신원 공급 단말기의 인증 화면을 상기 위임 단말기에게 제공하여 인증 사이트로 이동시켜 상기 신원 공급 단말기의 인증 절차에 따라 사용자의 신원을 인증하며, 대리 인증서에 사용할 개인/공개키 쌍 및 접근 토큰을 생성하여 상기 위임 단말기에게 전달하며, 상기 위임 단말기의 접근 공유 암호 발급 요청에 따라 서명된 대리 인증서를 검증한 후에 대리 인증서와 비공개키(상기 개인키에 해당함)를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 상기 위임 단말기에게 발급하는 것을 특징으로 하는 인증서 위임 시스템.
  4. 인증 화면 및 인증 절차를 제공하여 사용자의 신원을 인증하는 신원 공급 단말기;
    사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 토큰 공유 암호 발급을 요청하며, 토큰 공유 암호를 발급받아 사용자를 상기 신원 공급 단말기의 인증 화면으로 이동시켜 주며, 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서 함께 접근 공유 암호 발급을 요청하며, 접근 토큰과 접근 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 저장된 제1 대리 인증서를 폐기하도록 하는 서비스 대행 단말기; 및
    상기 서비스 대행 단말기의 토큰 공유 암호 발급 요청에 따라 토큰 공유 암호를 상기 서비스 대행 단말기에게 발급하며, 상기 신원 공급 단말기의 인증 화면을 상기 서비스 대행 단말기에게 제공하여 상기 신원 공급 단말기의 인증 절차에 따라 사용자의 신원을 인증한 후에, 저장된 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 사용자에 의해서 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 상기 서비스 대행 단말기에게 전달하며, 상기 서비스 대행 단말기의 접근 공유 암호 발급 요청에 따라 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 공유 암호와 함께 서명된 제2 대리 인증서를 상기 서비스 대행 단말기에게 전달하는 금고 서비스 단말기를 포함하는 인증서 위임 시스템.
  5. 위임 단말기에서 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 토큰 공유 암호 발급을 요청하는 단계;
    금고 서비스 단말기에서 상기 토큰 공유 암호 발급 요청에 따라 토큰 공유 암호를 위임 단말기에게 발급하는 단계;
    위임 단말기에서 상기 토큰 공유 암호를 발급받아 신원 공급 단말기의 인증 화면으로 이동시키며, 금고 서비스 단말기에서 신원 공급 단말기의 인증 절차에 따라 사용자 인증을 수행하는 단계;
    금고 서비스 단말기에서 대리 인증서에 사용할 개인/공개키 쌍 및 접근 토큰을 생성하여 위임 단말기에게 전달하는 단계;
    위임 단말기에서 상기 대리 인증서에 서명을 수행한 후에, 서명된 대리 인증서와 접근 토큰에 대한 접근 공유 암호 발급을 금고 서비스 단말기에게 요청하는 단계;
    금고 서비스 단말기에서 서명된 대리 인증서를 검증한 후에, 대리 인증서와 비공개키(상기 개인키에 해당함)를 저장하며, 해당 저장된 대리 인증서에 대한 접근 공유 암호를 위임 단말기에게 발급하는 단계; 및
    위임 단말기에서 상기 접근 토큰 및 접근 공유 암호를 발급받아 위임한 대리 인증서에 대해 재 위임하거나, 폐기하도록 하는 단계를 포함하는 인증서 위임 방법.
  6. 서비스 대행 단말기에서 사용자의 요청 토큰을 생성하여 해당 요청 토큰에 대한 토큰 공유 암호 발급을 요청하는 단계;
    금고 서비스 단말기에서 상기 토큰 공유 암호 발급 요청에 따라 토큰 공유 암호를 서비스 대행 단말기에게 발급하는 단계;
    서비스 대행 단말기에서 상기 토큰 공유 암호를 발급받아 신원 공급 단말기의 인증 화면으로 이동시키며, 금고 서비스 단말기에서 신원 공급 단말기의 인증 절차에 따라 사용자 인증을 수행하는 단계;
    금고 서비스 단말기에서 저장된 대리 인증서의 목록을 보여주고 사용자에게 선택하도록 하며, 해당 선택된 제1 대리 인증서에 대한 접근 토큰을 생성하여 서비스 대행 단말기에게 전달하는 단계;
    서비스 대행 단말기에서 상기 접근 토큰을 전달받아 제2 대리 인증서를 발급 받기 위한 개인/공개키 쌍을 생성하며, 대리 인증 서명 요청서와 함께 접근 공유 암호 발급을 금고 서비스 단말기에게 요청하는 단계;
    금고 서비스 단말기에서 상기 접근 공유 암호 발급 요청에 따라 접근 토큰에 해당하는 위임 인증서를 사용하여 대리 인증 서명 요청서에 서명하고, 접근 공유 암호와 함께 서명된 제2 대리 인증서를 서비스 대행 단말기에게 전달하는 단계; 및
    서비스 대행 단말기에서 상기 접근 토큰과 접근 공유 암호를 이용하여 제2 대리 인증서를 갱신하거나, 금고 서비스 단말기에 저장된 제1 대리 인증서를 폐기하도록 하는 단계를 포함하는 인증서 위임 방법.
  7. 삭제
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
KR1020120113846A 2012-10-12 2012-10-12 인증서 위임 시스템 및 방법 KR101466900B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120113846A KR101466900B1 (ko) 2012-10-12 2012-10-12 인증서 위임 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120113846A KR101466900B1 (ko) 2012-10-12 2012-10-12 인증서 위임 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20140050121A KR20140050121A (ko) 2014-04-29
KR101466900B1 true KR101466900B1 (ko) 2014-12-03

Family

ID=50655354

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120113846A KR101466900B1 (ko) 2012-10-12 2012-10-12 인증서 위임 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR101466900B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023096057A1 (ko) * 2021-11-29 2023-06-01 주식회사 디지캡 프로토콜 기반의 저작권 거래 크리덴셜 발급 시스템 및 방법
KR102570831B1 (ko) 2023-02-22 2023-08-28 (주)제네시스네스트 범용 인증 시스템
KR102570820B1 (ko) 2023-02-22 2023-08-28 (주)제네시스네스트 애플리케이션 초기정보 관리 시스템

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102284876B1 (ko) 2014-09-29 2021-08-02 삼성에스디에스 주식회사 생체 인식 기반의 통합 인증 시스템 및 방법
EP3815401A4 (en) 2018-06-29 2022-04-13 Nokia Technologies Oy SECURITY MANAGEMENT FOR SERVICE ACCESS IN A COMMUNICATION SYSTEM
US11411746B2 (en) * 2019-05-24 2022-08-09 Centrality Investments Limited Systems, methods, and storage media for permissioned delegation in a computing environment
JP7502618B2 (ja) * 2020-07-20 2024-06-19 富士通株式会社 通信プログラム、通信装置、及び通信方法
KR102681519B1 (ko) * 2022-08-24 2024-07-11 (주)가민정보시스템 탈중앙화 신원 증명 정보 위탁 관리 장치 및 방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070052649A (ko) * 2005-11-17 2007-05-22 한국전자통신연구원 권한위임 시스템 및 방법
KR20080006180A (ko) * 2006-07-11 2008-01-16 박재근 동적 가상 조직 구성 환경에서 티켓 기반의 상세 권한 위임서비스
KR20090066516A (ko) * 2007-12-20 2009-06-24 피씨닥터 주식회사 모바일 환경에서의 공인인증서 서비스 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070052649A (ko) * 2005-11-17 2007-05-22 한국전자통신연구원 권한위임 시스템 및 방법
KR20080006180A (ko) * 2006-07-11 2008-01-16 박재근 동적 가상 조직 구성 환경에서 티켓 기반의 상세 권한 위임서비스
KR20090066516A (ko) * 2007-12-20 2009-06-24 피씨닥터 주식회사 모바일 환경에서의 공인인증서 서비스 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Artur Romao 외 1명, Secure Mobile Agent Digital Signatures with Proxy Certificates, E-Commerce Agents, Lecture Notes in Computer Science Volume 2033, p.206-220, 2001. *
Artur Romao 외 1명, Secure Mobile Agent Digital Signatures with Proxy Certificates, E-Commerce Agents, Lecture Notes in Computer Science Volume 2033, p.206-220, 2001.*

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023096057A1 (ko) * 2021-11-29 2023-06-01 주식회사 디지캡 프로토콜 기반의 저작권 거래 크리덴셜 발급 시스템 및 방법
KR102570831B1 (ko) 2023-02-22 2023-08-28 (주)제네시스네스트 범용 인증 시스템
KR102570820B1 (ko) 2023-02-22 2023-08-28 (주)제네시스네스트 애플리케이션 초기정보 관리 시스템

Also Published As

Publication number Publication date
KR20140050121A (ko) 2014-04-29

Similar Documents

Publication Publication Date Title
KR101466900B1 (ko) 인증서 위임 시스템 및 방법
EP2639997B1 (en) Method and system for secure access of a first computer to a second computer
JP5980961B2 (ja) マルチファクタ認証局
KR101215343B1 (ko) 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법
KR20070097285A (ko) 사용자 중심의 개인 데이터 관리를 위한 방법 및 장치
EP2926527B1 (en) Virtual smartcard authentication
Yurcik et al. Credential Wallets: A Classification of Credential Repositories Highlighting MyProxy
JP5177505B2 (ja) シングルサインオンによるグループ内サービス認可方法と、その方法を用いたグループ内サービス提供システムと、それを構成する各サーバ
Langella et al. Dorian: grid service infrastructure for identity management and federation
López et al. A swift take on identity management
Bussard et al. Embedding distance-bounding protocols within intuitive interactions
JP4499575B2 (ja) ネットワークセキュリティ方法およびネットワークセキュリティシステム
Shaikh et al. Identity management in cloud computing
Suoranta et al. Strong authentication with mobile phone
Oniga et al. Iot infrastructure secured by tls level authentication and pki identity system
Zhang et al. Towards an authentication middleware to support ubiquitous Web access
Jie et al. Authentication and authorization infrastructure for Grids—issues, technologies, trends and experiences
Laing et al. Symbolon: Enabling Flexible Multi-device-based User Authentication
KR101471414B1 (ko) 인증서 검증 방법 및 이를 수행하는 인증서 검증 시스템
Banerjee et al. Token-Based Authentication Techniques on Open Source Cloud Platforms
Noor Beyond Single Sign-On: An in-depth look at single sign-on capabilites, how they work, and how they can be improved.
JP5860421B2 (ja) 復号方法、復号システム
Bartock et al. Derived Personal Identity Verification (PIV) Credentials (DPC) Proof of Concept Research
Batyuk et al. Multi-device key management using visual side channels in pervasive computing environments
Shah et al. User-oriented identity management model for web-services

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170921

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181001

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191125

Year of fee payment: 6