KR101708587B1 - 양방향 권한 부여 시스템, 클라이언트 및 방법 - Google Patents

양방향 권한 부여 시스템, 클라이언트 및 방법 Download PDF

Info

Publication number
KR101708587B1
KR101708587B1 KR1020157025989A KR20157025989A KR101708587B1 KR 101708587 B1 KR101708587 B1 KR 101708587B1 KR 1020157025989 A KR1020157025989 A KR 1020157025989A KR 20157025989 A KR20157025989 A KR 20157025989A KR 101708587 B1 KR101708587 B1 KR 101708587B1
Authority
KR
South Korea
Prior art keywords
credential
subsystem
service providing
client
authorization
Prior art date
Application number
KR1020157025989A
Other languages
English (en)
Other versions
KR20150119434A (ko
Inventor
시안 리우
Original Assignee
지티이 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 지티이 코포레이션 filed Critical 지티이 코포레이션
Publication of KR20150119434A publication Critical patent/KR20150119434A/ko
Application granted granted Critical
Publication of KR101708587B1 publication Critical patent/KR101708587B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 양방향 권한 부여 시스템을 개시하는바, 제1, 제2 서비스 제공 서브 시스템의 제1, 제2 임시 크리덴셜을 획득하고, 제2, 제1 임시 크리덴셜을 사용자 단말, 제2서버 제공 서브 시스템에 송신하며, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 제2 서버 자원을 획득하하도록 구성되는 제1 서비스 제공 서브 시스템; 제1 임시 크리덴셜을 변경하여 사용자 단말에 송신하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 제1 서버 자원을 획득하도록 구성되는 제2 서비스 제공 서브 시스템; 및 수신된 제2, 제1 임시 크리덴셜에 대해 각각 권한 부여를 수행하며 제2, 제1 권한 부여 크리덴셜을 각각 제1, 제2 서비스 제공 서브 시스템에 송신하도록 구성되는 사용자 단말이 포함된다. 본 발명은 양방향 권한 부여 클라이언트 및 방법을 더 개시하며, 본 발명을 적용하면 양측 클라이언트가 동시에 상대방의 자원을 액세스하는 것을 실현할 수 있다.

Description

양방향 권한 부여 시스템, 클라이언트 및 방법{BIDIRECTIONAL AUTHORIZATION SYSTEM, CLIENT AND METHOD}
본 발명은 인터넷에서의 권한 부여 기술에 관한 것으로서, 특히 양방향 권한 부여 시스템, 클라이언트 및 방법에 관한 것이다.
만약 클라이언트가 서버 측의 보호를 받고 있는 사용자의 자원에 대해 액세스를 원한다면 사용자의 사용자명 및 암호키와 같은 크리덴셜(identity credentials)이 필요하다. 제3자의 클라이언트를 이용하여 서버 측의 보호를 받고 있는 사용자의 자원에 대해 액세스 하려고 한다면 사용자의 크리덴셜을 제3자 클라이언트에 제공해야 하므로, 심각한 보안 결함이 존재한다.
오픈 권한 부여(OAuth, Open Auth) 프로토콜은 상기 문제점을 해결하고 사용자 자원에 대한 권한 부여를 위해 안전하고 개방적이며 간소한 표준을 제공하는바 하나의 중간 계층을 통해 클라이언트와 사용자 권한 부여 과정을 분리시켜, 제3자 클라이언트가 사용자의 크리덴셜 정보에 접하지 않는 상황에서 해당 사용자 자원에 대한 권한 부여에 대한 획득을 신청할 수 있다. OAuth 프로토콜에서는 네 가지 캐릭터를 정의하였는바 자원 소유자, 클라이언트, 자원 서버, 권한 부여 서버가 포함되며, 자원 소유자는 자원을 갖고 있는 사용자를 의미하며, 자신의 자원에 대한 클라이언트의 액세스에 대해 권한을 부여할 수 있으며, 클라이언트는 보호 받고 있는 자원을 액세스하는 클라이언트 프로그램이며, 자원 서버는 자원 소유자의 자원을 저장하는 서버이며, 자원 소유자의 권한 부여를 받은 후에야만 클라이언트에 의해 액세스될 수 있다. 권한 부여 서버는 자원 소유자의 크리덴셜을 수신한 후 액세스 토큰(Access token)을 생성하여 클라이언트에 제공하는 것을 담당한다.
OAuth 프로토콜을 통해 제3자 클라이언트가 사용자의 권한 부여를 획득한 후 자원 서버 측의 보호를 받고 있는 사용자의 자원을 액세스할 수 있도록 한다. 그러나, OAuth 프로토콜은 단일 방향 권한 부여 프로토콜이며, 오직 제3자 클라이언트에 의해 자원 서버에 단일 방향의 권한 부여를 요청할 수 있고, 동시에 제3자 자원 서버에 대한 클라이언트의 권한 부여 요청을 만족시킬 수는 없다. 예를 들면 클라이언트가 마이크로블로그이고, 제3자 클라이언트가 블로그일 경우, 자원 서버가 보호 받고 있는 사용자의 마이크로블로그 정보이고, 제3자 자원 서버가 보호 받고 있는 사용자의 블로그 정보이며, 블로그 클라이언트는 자원 소유자의 권한 부여를 받은 후 자원 서버 측의 마이크로블로그 정보를 액세스할 수 있으나, 마이크로블로그 클라이언트는 제3자 자원 서버 측의 블로그 정보를 액세스할 수 없다.
이를 감안한 본 발명의 실시예의 주된 목적은 양측 클라이언트가 동시에 보호 받고 있는 상대방의 자원을 액세스할 수 있도록 하는 양방향 권한 부여 시스템, 클라이언트 및 방법을 제공하는 데 있다.
상기 목적을 달성하기 위해, 본 발명의 실시예에 따른 기술 방안은 다음과 같이 구현된다.
양방향 권한 부여 시스템에 있어서, 제1 서비스 제공 서브 시스템, 제2 서비스 제공 서브 시스템, 및 사용자 단말이 포함되며,
상기 제1 서비스 제공 서브 시스템은, 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하도록 구성되고,
상기 제2 서비스 제공 서브 시스템은, 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 식별자를 변경하고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하며 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득하도록 구성되고,
상기 사용자 단말은, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 임시 크리덴셜 및 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 각각 수신하고, 제2 임시 크리덴셜, 제1 임시 크리덴셜에 대해 각각 권한 부여를 수행하며 권한 부여된 후의 제2 권한 부여 크리덴셜 및 제1 권한 부여 크리덴셜을 각각 제1 서비스 제공 서브 시스템 및 제2 서비스 제공 서브 시스템에 송신하도록 구성된다.
상기 기술 방안에서, 상기 제1 서비스 제공 서브 시스템에는, 제1 클라이언트, 제1 오픈 권한 부여(OAuth) 서버, 및 제1 자원 서버가 포함되며,
상기 제1 클라이언트는, 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템에 의해 각각 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 상기 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하고, 제2 액세스 토큰을 제2 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제2 서비스 제공 서브 시스템에서 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 제공되는 자원을 액세스하도록 구성되며, 또한 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 클라이언트 식별자 변경을 수행하도록 구성되고,
상기 제1 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제1 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 권한 부여 크리덴셜을 수신하여 제1 액세스 토큰을 제2 서비스 제공 서브 시스템에 리턴하며 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
상기 제1 자원 서버는, 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰을 수신하고 제1 OAuth 서버에 의해 송신되는 제1 액세스 토큰에 따라 상기 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 액세스되기 위한 제1 서비스 자원을 제공하도록 구성된다.
상기 기술 방안에서, 상기 제2 서비스 제공 서브 시스템에는 제2 클라이언트, 제2 OAuth 서버, 및 제2 자원 서버가 포함되며,
상기 제2 클라이언트는, 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 제1 클라이언트의 식별자를 제2 클라이언트 식별자로 변경시키고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하고, 제1 액세스 토큰을 제1 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제1 서비스 제공 서브 시스템에서 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 제공되는 제1 서비스 자원을 액세스하도록 구성되고,
상기 제2 OAuth 서버는, 제1 서비스 제공 서브 시스템에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제2 임시 크리덴셜을 제1 서비스 제공 서브 시스템에 리턴하고, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 권한 부여 크리덴셜을 수신하여 제2 액세스 토큰을 제1 서비스 제공 서브 시스템에 리턴하며 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
상기 제2 자원 서버는, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰을 수신하여 제2 OAuth 서버에 의해 송신되는 제2 액세스 토큰에 따라 상기 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 액세스되기 위한 제2 서비스 자원을 제공하도록 구성된다.
상기 기술 방안에서, 상기 제2 서비스 제공 서브 시스템에는 제2 클라이언트, 제2 OAuth 서버, 및 제2 자원 서버가 포함되며,
상기 제1 클라이언트는, 제1 OAuth 서버 및 제2 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 OAuth 서버에 의해 각각 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하여 상기 제2 권한 부여 크리덴셜을 제2 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득하고, 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증을 수행하여 제2 자원 서버에서 인증 성공한 후 제2 자원 서버에 의해 제공되는 자원을 액세스하도록 구성되며, 또한 제1 임시 크리덴셜을 제2 클라이언트에 송신하도록 구성되고,
상기 제1 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제1 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제2 클라이언트에 의해 송신되는 제1 권한 부여 크리덴셜을 수신하여 제1 액세스 토큰을 제2 클라이언트에 리턴하며 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
상기 제1 자원 서버는, 제2 클라이언트에 의해 송신되는 제1 액세스 토큰을 수신하고 제1 OAuth 서버에 의해 송신되는 제1 액세스 토큰에 따라 상기 제2 클라이언트에 의해 송신되는 제1 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제2 클라이언트에 의해 액세스되기 위한 제1 서비스 자원을 제공하도록 구성되고,
상기 제2 클라이언트는, 제1 OAuth 서버에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 제1 클라이언트의 식별자를 제2 클라이언트 식별자로 변경시키고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 제1 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득하고, 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증을 수행하여 제1 자원 서버에서 인증 성공한 후 제1 자원 서버에 의해 제공되는 제1 서비스 자원을 액세스하도록 구성되고,
상기 제2 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제2 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제1 클라이언트에 의해 송신되는 제2 권한 부여 크리덴셜을 수신하여 제2 액세스 토큰을 제1 클라이언트에 리턴하며 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
상기 제2 자원 서버는, 제1 클라이언트에 의해 송신되는 제2 액세스 토큰을 수신하여 제2 OAuth 서버에 의해 송신되는 제2 액세스 토큰에 따라 상기 제1 클라이언트에 의해 송신되는 제2 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제1 클라이언트에 의해 액세스되기 위한 제2 서비스 자원을 제공하도록 구성된다.
상기 기술 방안에서, 상기 임시 크리덴셜 요청 명령은 OAuth 프로토콜에 의해 정의된 임시 크리덴셜 요청 메시지를 통해 반송된다.
클라이언트에 있어서, 해당 클라이언트가 서비스 제공 서브 시스템 내에 설정되어 있고 상기 서비스 제공 서브 시스템에는 OAuth 서버 및 자원 서버가 더 포함되며, 해당 클라이언트에는 임시 크리덴셜 획득 모듈, 액세스 토큰 획득 모듈 및 자원 획득 모듈이 포함되며,
상기 임시 크리덴셜 모듈은, 해당 측 서비스 제공 서브 시스템의 OAuth 서버 및 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 해당 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 상대측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제2 임시 크리덴셜을 수신하고, 제1 임시 크리덴셜을 상대 측 서비스 제공 서브 시스템의 클라이언트에 송신하도록 구성되고,
상기 액세스 토큰 획득 모듈은, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하여 상기 제2 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득하도록 구성되고,
상기 자원 획득 모듈은, 제2 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성된다.
클라이언트에 있어서, 해당 클라이언트가 서비스 제공 서브 시스템 내에 설정되어 있고 상기 서비스 제공 서브 시스템에는 OAuth 서버 및 자원 서버가 더 포함되며, 해당 클라이언트에는 임시 크리덴셜 획득 모듈, 액세스 토큰 획득 모듈 및 자원 획득 모듈이 포함되며,
상기 임시 크리덴셜 획득 모듈은, 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 상대 측 서비스 제공 서브 시스템의 클라이언트의 식별자를 해당 측 서비스 제공 서브 시스템의 클라이언트의 식별자로 변경시키도록 구성되고,
상기 액세스 토큰 획득 모듈은, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득하도록 구성되고,
상기 자원 획득 모듈은, 제1 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성된다.
본 발명은 양방향 권한 부여 방법을 제공하는바, 해당 방법에는
제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제2 권한 부여 크리덴셜을 획득하고, 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 식별자 변경을 수행하는 단계; 및
제2 서비스 제공 서브 시스템이 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제1 권한 부여 크리덴셜을 수신하고, 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득하는 단계가 포함된다.
상기 기술 방안에서, 상기 제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득함에 있어서 구체적으로, 제1 서비스 제공 서브 시스템 내의 제1 클라이언트가 제1 서비스 제공 서브 시스템 내의 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템의 제2 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신한다.
상기 기술 방안에서, 상기 제1 임시 크리덴셜에 대한 권한 부여는, 제1 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 제1 서비스 제공 서브 시스템에 등록된 사용자 단말의 사용자명과 암호키이며,
상기 제2 임시 크리덴셜에 대한 권한 부여는, 제2 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 사용자 단말이 제2 서비스 제공 서브 시스템에 등록된 사용자명과 암호키이다.
본 발명에 따른 실시예의 양방향 권한 부여 시스템, 클라이언트 및 방법에 의하면, 제1 서비스 제공 서브 시스템을 통해 자신의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하며 권한 부여된 후의 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 식별자 변경을 수행하고, 제2 서비스 제공 서브 시스템이 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 권한 부여된 후의 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득한다. 이로써, 제1 서비스 제공 서브 시스템이 제2 서비스 제공 서브 시스템의 자원을 액세스하는 동시에 제2 서비스 제공 서브 시스템도 제1 서비스 제공 서브 시스템의 자원을 액세스할 수 있다.
도1은 본 발명의 실시예에 따른 양방향 권한 부여 시스템의 구성 예시도 1이다.
도2는 본 발명의 실시예에 따른 양방향 권한 부여 시스템의 구성 예시도 2이다.
도3은 본 발명의 실시예에 따른 양방향 권한 부여 시스템 내의 클라이언트의 구성 예시도이다.
도4는 본 발명의 실시예에 따른 양방향 권한 부여 방법을 실현하기 위한 흐름 예시도이다.
본 발명에 따른 실시예의 특징과 기술적 내용을 보다 상세하게 이해할 수 있도록 하기 위해, 아래에 첨부 도면에 결부시켜 본 발명의 실시예의 실현에 대해 상세히 설명한다. 첨부된 도면은 단지 설명의 편의를 위해 제공되며, 본 발명의 실시예를 한정하기 위한 것이 아니다.
도1은 본 발명의 실시예에 따른 양방향 권한 부여 시스템의 구성 예시도 1이다. 도1에 도시된 바와 같이, 해당 시스템에는 제1 서비스 제공 서브 시스템(11), 제2 서비스 제공 서브 시스템(12), 및 사용자 단말(13)이 포함된다.
상기 제1 서비스 제공 서브 시스템(11)은, 제1 서비스 제공 서브 시스템(11)의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템(12)의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말(13)에 송신하여 권한 부여를 수행하고 사용자 단말(13)에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템(12)에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템(12) 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템(12)에 송신하도록 구성된다.
상기 제2 서비스 제공 서브 시스템(12)은 제1 서비스 제공 서브 시스템(11)에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 식별자를 변경하고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말(13)에 송신하여 권한 부여를 수행하고 사용자 단말(13)에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하며 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템(11)에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템(11) 내의 자원을 획득하도록 구성된다.
상기 사용자 단말(13)은 제1 서비스 제공 서브 시스템(11)에 의해 송신되는 제2 임시 크리덴셜 및 제2 서비스 제공 서브 시스템(12)에 의해 송신되는 제1 임시 크리덴셜을 각각 수신하고, 제2 임시 크리덴셜, 제1 임시 크리덴셜에 대해 각각 권한 부여를 수행하며 권한 부여된 후의 제2 권한 부여 크리덴셜, 제1 권한 부여 크리덴셜을 각각 제1 서비스 제공 서브 시스템(11) 및 제2 서비스 제공 서브 시스템(12)에 송신하도록 구성된다.
실제 응용에 있어서, 상기 양방향 권한 부여 시스템 내의 제1 서비스 제공 서브 시스템(11) 및 제2 서비스 제공 서브 시스템(12)은 서비스 기능을 제공하는 서버로 구현될 수 있고, 사용자 단말(13)은 핸드폰, 컴퓨터 등과 같은 임의의 형식의 단말로 구현될 수 있다.
도2는 본 발명의 실시예에 따른 양방향 권한 부여 시스템의 구성 예시도 2이다. 도2에 도시된 바와 같이, 제1 서비스 제공 서브 시스템에는 제1 클라이언트(111), 제1 OAuth 서버(112), 및 제1 자원 서버(113)가 포함되며, 상기 제2 서비스 제공 서브 시스템에는 제2 클라이언트(121), 제2 OAuth 서버(122), 및 제2 자원 서버(123)가 포함된다.
상기 제1 클라이언트(111)는, 제1 OAuth 서버(112) 및 제2 서비스 제공 서브 시스템에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버(112) 및 제2 서비스 제공 서브 시스템에 의해 각각 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하고, 제2 임시 크리덴셜을 사용자 단말(13)에 송신하여 권한 부여를 수행하고 사용자 단말(13)에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 상기 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하고, 제2 액세스 토큰을 제2 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제2 서비스 제공 서브 시스템에서 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 제공되는 자원을 액세스하도록 구성되며, 또한 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하도록 구성된다.
여기서, 상기 제2 서비스 제공 서브 시스템에 임시 크리덴셜 요청 명령을 송신하고 제2 서비스 제공 서브 시스템에 의해 리턴되는 제2 임시 크리덴셜을 수신함에 있어서 구체적으로, 제2 서비스 제공 서브 시스템 내의 제2 OAuth 서버(122)에 임시 크리덴셜 요청 명령을 송신하고 제2 서비스 제공 서브 시스템 내의 제2 OAuth 서버(122)에 의해 리턴되는 제2 임시 크리덴셜을 수신한다.
여기서, 상기 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 클라이언트 식별자에 대한 변경을 수행함에 있어서 구체적으로, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템 내의 제2 클라이언트(121)에 송신하여 클라이언트 식별자에 대한 변경을 수행한다.
여기서, 상기 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득함에 있어서, 구체적으로 상기 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템 내의 제2 OAuth 서버(122)에 송신하여 제2 액세스 토큰을 교환취득한다.
여기서, 상기 제2 액세스 토큰을 제2 서비스 제공 서브 시스템에 송신하여 인증을 수행하고 제2 서비스 제공 서브 시스템에서 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 제공되는 제2 서비스 자원을 액세스함에 있어서 구체적으로, 제2 액세스 토큰을 제2 서비스 제공 서브 시스템 내의 제2 자원 서버(123)에 송신하여 인증을 수행하고 제2 서비스 제공 서브 시스템 내의 제2 자원 서버(123)에서 인증 성공한 후 제2 서비스 제공 서브 시스템 내의 제2 자원 서버(123)에 의해 제공되는 제2 서비스 자원을 액세스한다.
상기 제1 OAuth 서버(112)는 제1 클라이언트(111)에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제1 임시 크리덴셜을 제1 클라이언트(111)에 리턴하고, 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 권한 부여 크리덴셜을 수신하여 제1 액세스 토큰을 제2 서비스 제공 서브 시스템에 리턴하며 제1 액세스 토큰을 제1 자원 서버(113)에 송신하여 인증 근거로 하도록 구성된다.
여기서, 상기 제2 서비스 제공 서브 시스템은 구체적으로 제2 서비스 제공 서브 시스템 내의 제2 클라이언트(121)이다.
상기 제1 자원 서버(113)는 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰을 수신하고 제1 OAuth 서버(112)에 의해 송신되는 제1 액세스 토큰에 따라 상기 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 액세스되기 위한 제1 서비스 자원을 제공하도록 구성된다.
여기서, 상기 제2 서비스 제공 서브 시스템은 구체적으로 제2 서비스 제공 서브 시스템 내의 제2 클라이언트(121)이다.
여기서, 상기 인증은, 두개의 액세스 토큰을 비교하여 만약 두개의 액세스 토큰이 같으면 인증 성공이고 만약 두개의 액세스 토큰이 상이하면 인증 실패이다.
상기 기술 방안에서, 상기 임시 크리덴셜 요청 명령은 OAuth 프로토콜의 임시 크리덴셜 요청 메시지를 통해 반송되고, 상기 메시지에는 클라이언트 식별자가 포함되며, 바람직하게 제1 서비스 제공 서브 시스템에 의해 임시 크리덴셜 요청 명령이 송신되므로, 상기 요청 임시 크리덴셜 명령에는 제1 클라이언트 식별자가 포함된다.
상기 기술 방안에서, 상기 제1 임시 크리덴셜 및 제2 임시 크리덴셜은 OAuth 프로토콜에 의해 정의된 응답 메시지를 통해 전송되고, 상기 메시지에는 제1 클라이언트의 식별자가 포함되므로, 제1 임시 크리덴셜을 제2 클라이언트(121)에 송신할 때 그에 포함된 제1 클라이언트의 식별자를 제2 클라이언트의 식별자로 변경해야 한다.
상기 기술 방안에서, 상기 임시 크리덴셜의 요청과 획득 시에 하이퍼텍스트 전송 프로토콜(HTTP, HyperText Transport Protocol) 방식을 이용하고, 안전 소켓층(SSL, Secure Sockets Layer) 또는 동일한 안전 레벨의 방식을 이용하여 임시 크레덴셜의 안전성을 보장해야 한다.
상기 기술 방안에서, 상기 제2 임시 크리덴셜에 대한 권한 부여는 구체적으로, 제2 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이고, 상기 제1 임시 크리덴셜에 대한 권한 부여는 구체적으로, 제1 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이다.
상기 제2 클라이언트(121)는 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 제1 클라이언트의 식별자를 제2 클라이언트 식별자로 변경시키고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말(13)에 송신하여 권한 부여를 수행하고, 사용자 단말(13)에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하고, 제1 액세스 토큰을 제1 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제1 서비스 제공 서브 시스템에서 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 제공되는 제1 서비스 자원을 액세스하도록 구성된다.
여기서, 상기 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신함에 있어서 구체적으로, 제1 서비스 제공 서브 시스템 내의 제1 클라이언트(111)에 의해 송신되는 제1 임시 크리덴셜을 수신한다.
여기서, 상기 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득함에 있어서 구체적으로, 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템 내의 제1 OAuth 서버(112)에 송신하여 제1 액세스 토큰을 교환취득한다.
여기서, 상기 제1 액세스 토큰을 제1 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제1 서비스 제공 서브 시스템에서 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 제공되는 제1 서비스 자원을 액세스함에 있어서 구체적으로, 상기 제1 액세스 토큰을 제1 서비스 제공 서브 시스템 내의 제1 자원 서버(113)에 송신하여 인증을 수행하여 제1 서비스 제공 서브 시스템 내의 제1 자원 서버(113)에서 인증 성공한 후 제1 서비스 제공 서브 시스템 내의 제1 자원 서버(113)에 의해 제공되는 제1 서비스 자원을 액세스한다.
상기 제2 OAuth 서버(122)는 제1 서비스 제공 서브 시스템에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제2 임시 크리덴셜을 제1 서비스 제공 서브 시스템에 리턴하고, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 권한 부여 크리덴셜을 수신하여 제2 액세스 토큰을 제1 서비스 제공 서브 시스템에 리턴하며 제2 액세스 토큰을 제2 자원 서버(123)에 송신하여 인증 근거로 하도록 구성된다.
여기서, 상기 제1 서비스 제공 서브 시스템은 구체적으로 제1 서비스 제공 서브 시스템 내의 제1 클라이언트(111)이다.
상기 제2 자원 서버(123)는 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰을 수신하여 제2 OAuth 서버(122)에 의해 송신되는 제2 액세스 토큰에 따라 상기 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 액세스되기 위한 제2 서비스 자원을 제공하도록 구성된다.
여기서, 상기 제1 서비스 제공 서브 시스템은 구체적으로 제1 서비스 제공 서브 시스템 내의 제1 클라이언트(111)이다.
상기 기술 방안에서, 상기 제1 임시 크리덴셜은 제1 자원 서버에 대한 제1 클라이언트의 임시 크리덴셜이고, 상기 제2 임시 크리덴셜은 제2 자원 서버에 대한 제1 클라이언트의 임시 크리덴셜이며, 제1 임시 크리덴셜에 대해 클라이언트 식별자 변경을 수행한 후, 제1 임시 크리덴셜이 제1 자원 서버에 대한 제2 클라이언트의 임시 크리덴셜로 변경된다. 이와 상응하게, 제1 권한 부여 크리덴셜은 제1 자원 서버에 대한 제2 클라이언트의 권한 부여 크리덴셜이고, 제2 권한 부여 크리덴셜은 제1 자원 서버에 대한 제2 클라이언트의 권한 부여 크리덴셜이다. 이와 상응하게, 제1 액세스 토큰은 제1 자원 서버에 대한 제2 클라이언트의 액세스 토큰이고, 제2 액세스 토큰은 제2 자원 서버에 대한 제1 클라이언트의 액세스 토큰이다.
상기 기술 방안은 제1 서비스 제공 서브 시스템을 개시 측 서비스 제공 서브 시스템으로 하고, 제2 서비스 제공 서브 시스템을 수신 측 서비스 제공 서브 시스템으로 하였으나, 실제 응용에 있어서 제2 서비스 제공 서브 시스템을 개시 측 서비스 제공 서브 시스템으로 하고, 제1 서비스 제공 서브 시스템을 수신 측 서비스 제공 서브 시스템으로 할 수 있다. 이와 상응하게, 제2 서비스 제공 서브 시스템에 포함되는 제2 클라이언트(121), 제2 OAuth 서버(122) 및 제2 자원 서버(123)가 각각 제1 클라이언트(111), 제1 OAuth 서버(112) 및 제1 자원 서버(113)에 의해 수행되는 기능을 수행하고, 제1 서비스 제공 서브 시스템에 포함되는 제1 클라이언트(111), 제1 OAuth 서버(112) 및 제1 자원 서버(113)가 각각 제2 클라이언트(121), 제2 OAuth 서버(122) 및 제2 자원 서버(123)에 의해 수행되는 기능을 수행한다.
실제 응용에 있어서, 상기 제1 서비스 제공 서브 시스템 내의 제1 클라이언트(111), 제1 OAuth 서버(112)는 제1 서비스 제공 서브 시스템 내의 중앙처리장치(CPU, Central Processing Unit), 또는 디지털 신호 처리장치(DSP, Digital Signal Processor), 또는 필드 프로그래머블 게이트 어레이(FPGA, Field-Programmable Gate Array)에 의해 구현될 수 있으며, 제1 자원 서버(113)은 제1 서비스 제공 서브 시스템 내의 메모리에 의해 구현될 수 있다.
상기 제2 서비스 제공 서브 시스템 내의 제2 클라이언트(121), 제2 OAuth 서버(122)는 제2 서비스 제공 서브 시스템 내의 CPU, 또는 DSP, 또는 FPGA에 의해 구현될 수 있으며, 제2 자원 서버(123)은 제2 서비스 제공 서브 시스템 내의 메모리에 의해 구현될 수 있다.
도3은 본 발명의 실시예에 따른 양방향 권한 부여 시스템에서의 클라이언트의 구성 예시도이다. 해당 클라이언트가 서비스 제공 서브 시스템 내에 설정되어 있고 상기 서비스 제공 서브 시스템에는 OAuth 서버 및 자원 서버가 더 포함되며, 상기 클라이언트에는 임시 크리덴셜 획득 모듈(31), 액세스 토큰 획득 모듈(32) 및 자원 획득 모듈(33)이 포함된다.
클라이언트가 개시 측의 클라이언트인 경우,
상기 임시 크리덴셜 모듈(31)은 해당 측(local side) 서비스 제공 서브 시스템의 OAuth 서버 및 상대 측(other side) 서비스 제공 서브 시스템의 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 해당 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 상대측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제2 임시 크리덴셜을 수신하고, 제1 임시 크리덴셜을 상대 측 서비스 제공 서브 시스템의 클라이언트에 송신하도록 구성되고,
상기 액세스 토큰 획득 모듈(32)은 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하여 상기 제2 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득하도록 구성되고,
상기 자원 획득 모듈(33)은 제2 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성된다.
클라이언트가 수신 측의 클라이언트인 경우,
상기 임시 크리덴셜 획득 모듈(31)은 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 상대 측 서비스 제공 서브 시스템의 클라이언트의 식별자를 해당 측 서비스 제공 서브 시스템의 클라이언트의 식별자로 변경시키도록 구성되고,
상기 액세스 토큰 획득 모듈(32)은 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득하도록 구성되고,
상기 자원 획득 모듈(33)은 제1 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성된다.
실제 응용에 있어서, 상기 클라이언트 내의 임시 크리덴셜 획득 모듈(31), 액세스 토큰 획득 모듈(32) 및 자원 획득 모듈(33)은 클라이언트 내의 CPU, 또는 DSP, 또는 FPGA를 통해 구현될 수 있다.
도4는 본 발명의 실시예에 따른 양방향 권한 부여 방법을 실현하는 흐름의 예시도이다. 도4에 도시된 바와 같이 해당 방법에는 다음과 같은 단계들이 포함된다.
단계 401: 제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제2 권한 부여 크리덴셜을 획득하고, 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 식별자 변경을 수행한다.
여기서, 상기 제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득함에 있어서 구체적으로, 제1 서비스 제공 서브 시스템 내의 제1 클라이언트가 제1 서비스 제공 서브 시스템 내의 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템의 제2 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신한다.
상기 기술 방안에서, 상기 임시 크리덴셜 요청 명령은 OAuth 프로토콜에 의해 정의된 메시지를 통해 실현되며, 상기 메시지에는 클라이언트 식별자가 포함된다. 바람직하게, 임시 크리덴셜 요청 명령이 제1 서비스 제공 서브 시스템에 의해 송신되므로, 상기 임시 크리덴셜 요청 명령에는 제1 클라이언트 식별자, 예를 들면 dpf43f3p214k3103이 포함된다.
상기 기술 방안에서, 상기 제1 임시 크리덴셜 및 제2 임시 크리덴셜은 OAuth 프로토콜에 의해 정의된 응답 메시지를 통해 전송되며, 상기 응답 메시지에는 제1 클라이언트 식별자와 제1 임시 크리덴셜, 또는 제1 클라이언트 식별자와 제2 임시 크리덴셜, 예를 들면 hh5s93j4hdidpola가 포함된다.
상기 기술 방안에서, 상기 임시 크리덴셜에 대한 요청과 획득은 HTTP 방식을 이용하고, SSL 또는 동일한 안전 레벨의 방식을 이용하여 전송함으로써 임시 크리덴셜의 안전성을 보장한다.
상기 기술 방안에서, 제2 임시 크리덴셜의 권한 부여는 구체적으로, 제2 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 사용자 단말이 제2 서비스 제공 서브 시스템에 등록된 사용자명과 암호키이다.
여기서, 상기 제1 임시 크리덴셜에는 제1 클라이언트 식별자가 포함되므로, 제1 임시 크리덴셜을 제2 클라이언트에 송신할 때 그에 포함된 제1 클라이언트 식별자를 제2 클라이언트 식별자로 변경시켜야 한다.
단계 402: 제2 서비스 제공 서브 시스템이 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제1 권한 부여 크리덴셜을 수신하고, 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득한다.
상기 기술 방안에서, 제1 임시 크리덴셜의 권한 부여는 구체적으로, 제1 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 사용자 단말이 제1 서비스 제공 서브 시스템에 등록된 사용자명과 암호키이다.
상기 기술 방안은 제1 서비스 제공 서브 시스템을 개시 측 서비스 제공 서브 시스템으로 하고, 제2 서비스 제공 서브 시스템을 수신 측 서비스 제공 서브 시스템으로 하였으나, 실제 응용에 있어서 제2 서비스 제공 서브 시스템을 개시 측 서비스 제공 서브 시스템으로 하고, 제1 서비스 제공 서브 시스템을 수신 측 서비스 제공 서브 시스템으로 할 수 있다. 이와 상응하게, 제2 서비스 제공 서브 시스템이 단계 401을 수행하고, 제1 서비스 제공 서브 시스템이 단계 402를 수행한다.
아래에 구체적인 실시예에 결부시켜 본 발명에서 제안된 양방향 권한 부여 방법에 대해 더 상세히 설명한다.
비디오 웹사이트와 마이크로블로그 웹사이트가 본 발명의 실시예에서의 두 서비스 제공 서브 시스템이며 사용자 단말이 비디오 웹사이트에 사용자명과 암호키를 등록하고 마이크로블로그 웹사이트에도 사용자명과 암호키를 등록하였으며, 비디오 사이트와 마이크로블로그 사이트가 모두 각자의 클라이언트, OAuth 서버 및 자원 서버를 포함하며, 비디오 웹사이트 측의 자원 서버가 사용자 단말의 비디오 자원을 저장하도록 구성되고 마이크로블로그 웹사이트 측의 자원 서버가 사용자 단말의 마이크로블로그 자원을 저장하도록 구성된다고 가정한다.
사용자 단말이 비디오 웹사이트에서의 자원을 마이크로블로그 웹사이트에 공유하는 동시에 마이크로블로그 웹사이트에서의 자원을 비디오 웹사이트에 공유하는 경우에, 마이크로블로그 웹사이트 측의 클라이언트가 마이크로블로그 웹사이트 측의 OAuth 서버 및 비디오 웹사이트 측의 OAuth 서버에 임시 크리덴셜 요청 명령을 송신해야 하며, 마이크로블로그 웹사이트 측의 OAuth 서버가 제1 임시 크리덴셜을 마이크로블로그 웹사이트 측의 클라이언트에 리턴하고 비디오 웹사이트 측의 OAuth 서버가 제2 임시 크리덴셜을 마이크로블로그 웹사이트 측의 클라이언트에 리턴하며, 마이크로블로그 웹사이트 측의 클라이언트가 상기 제2 임시 크리덴셜을 사용자 단말에 송신하여 사용자명과 암호키를 입력할 것을 단말에 제시하며, 사용자 단말이 비디오 웹사이트에 등록된 사용자명과 암호키를 입력한 후 제2 권한 부여 크리덴셜을 마이크로블로그 웹사이트 측의 클라이언트에 리턴하고 마이크로블로그 웹사이트 측의 클라이언트가 상기 제2 권한 부여 크리덴셜을 비디오 웹사이트 측의 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득한다. 이로써, 마이크로블로그 웹사이트 측의 클라이언트가 상기 액세스 토큰을 통해 비디오 웹사이트 측의 자원에 대해 공유할 수 있다. 이와 동시에, 마이크로블로그 웹사이트 측의 클라이언트가 제1 임시 크리덴셜을 비디오 웹사이트 측의 클라이언트에 송신하며, 비디오 웹사이트 측의 클라이언트가 제1 임시 크리덴셜을 변경한 후 이를 사용자 단말에 송신하여 사용자명과 암호키를 입력할 것을 사용자 단말에 제시하며, 사용자 단말이 마이크로블로그 웹사이트에 등록된 사용자명과 암호키를 입력한 후 제1 권한 부여 크리덴셜을 비디오 웹사이트 측의 클라이언트에 리턴하고 비디오 웹사이트 측의 클라이언트가 상기 제1 권한 부여 크리덴셜을 마이크로블로그 웹사이트 측의 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득한다. 이로써, 비디오 웹사이트 측의 클라이언트가 상기 제1 액세스 토큰을 통해 마이크로블로그 웹사이트 측의 자원을 공유할 수 있다.
요컨대, 본 발명의 실시예에 따른 양방향 권한 부여 방법을 통해 사용자 단말이 비디오 웹사이트의 자원을 마이크로블로그 웹사이트에 공유하는 동시에 마이크로블로그 웹사이트의 자원을 비디오 웹사이트에 공유할 수 있다.
상기에 언급된 바는 본 발명의 바람직한 실시예일 뿐이며, 본 발명의 보호범위를 한정하기 위한 것은 아니다.

Claims (10)

  1. 제1 서비스 제공 서브 시스템, 제2 서비스 제공 서브 시스템, 및 사용자 단말이 포함되며,
    상기 제1 서비스 제공 서브 시스템은, 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하도록 구성되고,
    상기 제2 서비스 제공 서브 시스템은, 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 식별자를 변경하고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하며 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득하도록 구성되고,
    상기 사용자 단말은, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 임시 크리덴셜 및 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 각각 수신하고, 제2 임시 크리덴셜 및 제1 임시 크리덴셜에 대해 각각 권한 부여를 수행하며 권한 부여된 후의 제2 권한 부여 크리덴셜 및 제1 권한 부여 크리덴셜을 각각 제1 서비스 제공 서브 시스템 및 제2 서비스 제공 서브 시스템에 송신하도록 구성되는
    것을 특징으로 하는 양방향 권한 부여 시스템.
  2. 청구항 1에 있어서,
    상기 제1 서비스 제공 서브 시스템에는, 제1 클라이언트, 제1 오픈 권한 부여(OAuth) 서버, 및 제1 자원 서버가 포함되며,
    상기 제1 클라이언트는, 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템에 의해 각각 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하며 상기 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하고, 제2 액세스 토큰을 제2 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제2 서비스 제공 서브 시스템에서 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 제공되는 자원을 액세스하도록 구성되며, 또한 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 클라이언트 식별자 변경을 수행하도록 구성되고,
    상기 제1 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제1 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 권한 부여 크리덴셜을 수신하여 제1 액세스 토큰을 제2 서비스 제공 서브 시스템에 리턴하며 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
    상기 제1 자원 서버는, 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰을 수신하고 제1 OAuth 서버에 의해 송신되는 제1 액세스 토큰에 따라 상기 제2 서비스 제공 서브 시스템에 의해 송신되는 제1 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제2 서비스 제공 서브 시스템에 의해 액세스되기 위한 제1 서비스 자원을 제공하도록 구성되는
    것을 특징으로 하는 양방향 권한 부여 시스템.
  3. 청구항 1에 있어서,
    상기 제2 서비스 제공 서브 시스템에는 제2 클라이언트, 제2 OAuth 서버, 및 제2 자원 서버가 포함되며,
    상기 제2 클라이언트는, 제1 서비스 제공 서브 시스템에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 제1 클라이언트의 식별자를 제2 클라이언트 식별자로 변경시키고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하고, 제1 액세스 토큰을 제1 서비스 제공 서브 시스템에 송신하여 인증을 수행하여 제1 서비스 제공 서브 시스템에서 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 제공되는 제1 서비스 자원을 액세스하도록 구성되고,
    상기 제2 OAuth 서버는, 제1 서비스 제공 서브 시스템에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제2 임시 크리덴셜을 제1 서비스 제공 서브 시스템에 리턴하고, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 권한 부여 크리덴셜을 수신하여 제2 액세스 토큰을 제1 서비스 제공 서브 시스템에 리턴하며 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
    상기 제2 자원 서버는, 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰을 수신하여 제2 OAuth 서버에 의해 송신되는 제2 액세스 토큰에 따라 상기 제1 서비스 제공 서브 시스템에 의해 송신되는 제2 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제1 서비스 제공 서브 시스템에 의해 액세스되기 위한 제2 서비스 자원을 제공하도록 구성되는
    것을 특징으로 하는 양방향 권한 부여 시스템.
  4. 청구항 2에 있어서,
    상기 제2 서비스 제공 서브 시스템에는 제2 클라이언트, 제2 OAuth 서버, 및 제2 자원 서버가 포함되며,
    상기 제1 클라이언트는, 제1 OAuth 서버 및 제2 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 제1 OAuth 서버 및 제2 OAuth 서버에 의해 각각 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하여 상기 제2 권한 부여 크리덴셜을 제2 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득하고, 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증을 수행하여 제2 자원 서버에서 인증 성공한 후 제2 자원 서버에 의해 제공되는 자원을 액세스하도록 구성되며, 또한 제1 임시 크리덴셜을 제2 클라이언트에 송신하도록 구성되고,
    상기 제1 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제1 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제2 클라이언트에 의해 송신되는 제1 권한 부여 크리덴셜을 수신하여 제1 액세스 토큰을 제2 클라이언트에 리턴하며 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
    상기 제1 자원 서버는, 제2 클라이언트에 의해 송신되는 제1 액세스 토큰을 수신하고 제1 OAuth 서버에 의해 송신되는 제1 액세스 토큰에 따라 상기 제2 클라이언트에 의해 송신되는 제1 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제2 클라이언트에 의해 액세스되기 위한 제1 서비스 자원을 제공하도록 구성되고,
    상기 제2 클라이언트는, 제1 OAuth 서버에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 제1 클라이언트의 식별자를 제2 클라이언트 식별자로 변경시키고, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 제1 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득하고, 제1 액세스 토큰을 제1 자원 서버에 송신하여 인증을 수행하여 제1 자원 서버에서 인증 성공한 후 제1 자원 서버에 의해 제공되는 제1 서비스 자원을 액세스하도록 구성되고,
    상기 제2 OAuth 서버는, 제1 클라이언트에 의해 송신되는 임시 크리덴셜 요청 명령을 수신하여 해당 명령에 따라 제2 임시 크리덴셜을 제1 클라이언트에 리턴하고, 제1 클라이언트에 의해 송신되는 제2 권한 부여 크리덴셜을 수신하여 제2 액세스 토큰을 제1 클라이언트에 리턴하며 제2 액세스 토큰을 제2 자원 서버에 송신하여 인증 근거로 하도록 구성되고,
    상기 제2 자원 서버는, 제1 클라이언트에 의해 송신되는 제2 액세스 토큰을 수신하여 제2 OAuth 서버에 의해 송신되는 제2 액세스 토큰에 따라 상기 제1 클라이언트에 의해 송신되는 제2 액세스 토큰에 대해 인증을 수행하여 인증 성공한 후 제1 클라이언트에 의해 액세스되기 위한 제2 서비스 자원을 제공하도록 구성되는
    것을 특징으로 하는 양방향 권한 부여 시스템.
  5. 청구항 3에 있어서,
    상기 임시 크리덴셜 요청 명령은 OAuth 프로토콜에 의해 정의된 임시 크리덴셜 요청 메시지를 통해 반송되는
    것을 특징으로 하는 양방향 권한 부여 시스템.
  6. 서비스 제공 서브 시스템 내에 설정되어 있는 클라이언트에 있어서,
    상기 서비스 제공 서브 시스템에는 OAuth 서버 및 자원 서버가 더 포함되고, 해당 클라이언트에는 임시 크리덴셜 획득 모듈, 액세스 토큰 획득 모듈 및 자원 획득 모듈이 포함되며,
    상기 임시 크리덴셜 획득 모듈은, 해당 측 서비스 제공 서브 시스템의 OAuth 서버 및 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하고, 해당 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 상대측 서비스 제공 서브 시스템의 OAuth 서버에 의해 리턴되는 제2 임시 크리덴셜을 수신하고, 제1 임시 크리덴셜을 상대 측 서비스 제공 서브 시스템의 클라이언트에 송신하도록 구성되고,
    상기 액세스 토큰 획득 모듈은, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제2 권한 부여 크리덴셜을 수신하여 상기 제2 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제2 액세스 토큰을 교환취득하도록 구성되고,
    상기 자원 획득 모듈은, 제2 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성되는
    것을 특징으로 하는 클라이언트.
  7. 서비스 제공 서브 시스템 내에 설정되어 있는 클라이언트에 있어서,
    상기 서비스 제공 서브 시스템에는 OAuth 서버 및 자원 서버가 더 포함되고, 해당 클라이언트에는 임시 크리덴셜 획득 모듈, 액세스 토큰 획득 모듈 및 자원 획득 모듈이 포함되며,
    상기 임시 크리덴셜 획득 모듈은, 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 의해 송신되는 제1 임시 크리덴셜을 수신하여 상기 제1 임시 크리덴셜 내의 상대 측 서비스 제공 서브 시스템의 클라이언트의 식별자를 해당 측 서비스 제공 서브 시스템의 클라이언트의 식별자로 변경시키도록 구성되고,
    상기 액세스 토큰 획득 모듈은, 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하고, 사용자 단말에 의해 리턴되는 제1 권한 부여 크리덴셜을 수신하여 상기 제1 권한 부여 크리덴셜을 상대 측 서비스 제공 서브 시스템의 OAuth 서버에 송신하여 제1 액세스 토큰을 교환취득하도록 구성되고,
    상기 자원 획득 모듈은, 제1 액세스 토큰을 상대 측 서비스 제공 서브 시스템의 자원 서버에 송신하여 인증을 수행하여 상대 측 서비스 제공 서브 시스템의 자원 서버에서 인증 성공한 후 상대 측 서비스 제공 서브 시스템의 자원 서버에 의해 제공되는 자원을 액세스하도록 구성되는
    것을 특징으로 하는 클라이언트.
  8. 제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득하고, 제2 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제2 권한 부여 크리덴셜을 획득하고, 제2 권한 부여 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 제2 액세스 토큰을 교환취득하며 상기 제2 액세스 토큰에 따라 제2 서비스 제공 서브 시스템 내의 자원을 획득하고, 제1 임시 크리덴셜을 제2 서비스 제공 서브 시스템에 송신하여 식별자 변경을 수행하는 단계; 및
    제2 서비스 제공 서브 시스템이 변경된 후의 제1 임시 크리덴셜을 사용자 단말에 송신하여 권한 부여를 수행하여 제1 권한 부여 크리덴셜을 수신하고, 제1 권한 부여 크리덴셜을 제1 서비스 제공 서브 시스템에 송신하여 제1 액세스 토큰을 교환취득하며 상기 제1 액세스 토큰에 따라 제1 서비스 제공 서브 시스템 내의 자원을 획득하는 단계가 포함되는
    것을 특징으로 하는 양방향 권한 부여 방법.
  9. 청구항 8에 있어서,
    상기 제1 서비스 제공 서브 시스템이 제1 서비스 제공 서브 시스템의 제1 임시 크리덴셜 및 제2 서비스 제공 서브 시스템의 제2 임시 크리덴셜을 각각 획득함에 있어서,
    제1 서비스 제공 서브 시스템 내의 제1 클라이언트가 제1 서비스 제공 서브 시스템 내의 제1 OAuth 서버 및 제2 서비스 제공 서브 시스템의 제2 OAuth 서버에 각각 임시 크리덴셜 요청 명령을 송신하는 단계; 및 제1 OAuth 서버 및 제2 OAuth 서버에 의해 리턴되는 제1 임시 크리덴셜 및 제2 임시 크리덴셜을 수신하는 단계가 포함되는
    것을 특징으로 하는 양방향 권한 부여 방법.
  10. 청구항 8 또는 청구항 9에 있어서,
    상기 제1 임시 크리덴셜에 대한 권한 부여는, 제1 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 제1 서비스 제공 서브 시스템에 등록된 사용자 단말의 사용자명과 암호키이고,
    상기 제2 임시 크리덴셜에 대한 권한 부여는, 제2 서비스 제공 서브 시스템의 사용자명과 암호키를 입력하는 것이며, 상기 사용자명과 암호키는 사용자 단말이 제2 서비스 제공 서브 시스템에 등록된 사용자명과 암호키인
    것을 특징으로 하는 양방향 권한 부여 방법.
KR1020157025989A 2013-03-01 2013-09-23 양방향 권한 부여 시스템, 클라이언트 및 방법 KR101708587B1 (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201310066662.4 2013-03-01
CN201310066662.4A CN104022875B (zh) 2013-03-01 2013-03-01 一种双向授权系统、客户端及方法
PCT/CN2013/084020 WO2014131279A1 (zh) 2013-03-01 2013-09-23 一种双向授权系统、客户端及方法

Publications (2)

Publication Number Publication Date
KR20150119434A KR20150119434A (ko) 2015-10-23
KR101708587B1 true KR101708587B1 (ko) 2017-02-20

Family

ID=51427511

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020157025989A KR101708587B1 (ko) 2013-03-01 2013-09-23 양방향 권한 부여 시스템, 클라이언트 및 방법

Country Status (6)

Country Link
US (1) US9462003B2 (ko)
EP (1) EP2963884B1 (ko)
JP (1) JP6055934B2 (ko)
KR (1) KR101708587B1 (ko)
CN (1) CN104022875B (ko)
WO (1) WO2014131279A1 (ko)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9477818B1 (en) * 2014-01-02 2016-10-25 Google Inc. Leveraging a unification of content hosting and social networking
CN107211007B (zh) * 2015-04-07 2020-10-23 惠普发展公司,有限责任合伙企业 提供对资源的选择性访问
US9825963B2 (en) * 2015-08-03 2017-11-21 Bank Of America Corporation Encapsulating commands within a control wrapper for multiple level review
US9838393B2 (en) * 2015-08-03 2017-12-05 Bank Of America Corporation Encapsulating commands within a control wrapper for split entry or approval
US9847994B1 (en) * 2015-09-30 2017-12-19 Surfdash System and method for providing a secure network
US11936716B2 (en) 2015-09-30 2024-03-19 Surfdash Inc. System and method for providing a secure network
CN209312029U (zh) 2017-06-04 2019-08-27 苹果公司 电子装置
CN109587187B (zh) * 2017-09-28 2024-08-02 华为技术有限公司 用于调用网络功能服务的方法、装置和系统
US11144620B2 (en) * 2018-06-26 2021-10-12 Counseling and Development, Inc. Systems and methods for establishing connections in a network following secure verification of interested parties
CN113132355A (zh) * 2018-10-29 2021-07-16 华为技术有限公司 服务授权方法及通信装置
CN109639433B (zh) * 2018-12-05 2020-06-30 珠海格力电器股份有限公司 多个系统账户之间相互授权的方法、存储介质和处理器
CN111464481B (zh) * 2019-01-18 2023-01-13 伊姆西Ip控股有限责任公司 用于服务安全保护的方法、设备和计算机可读介质
US20220070161A1 (en) * 2019-03-04 2022-03-03 Hitachi Vantara Llc Multi-way trust formation in a distributed system
US11153088B2 (en) * 2019-09-07 2021-10-19 Paypal, Inc. System and method for implementing a two-sided token for open authentication
US11522864B1 (en) * 2019-09-27 2022-12-06 Amazon Technologies, Inc. Secure identity transfer
US11537707B1 (en) 2019-09-27 2022-12-27 Amazon Technologies, Inc. Secure identity binding
CN110944035A (zh) * 2019-10-22 2020-03-31 珠海格力电器股份有限公司 一种物联网设备控制方法、系统以及可读介质
CN111538966B (zh) * 2020-04-17 2024-02-23 中移(杭州)信息技术有限公司 访问方法、访问装置、服务器及存储介质
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN112131585B (zh) * 2020-09-03 2023-01-06 苏州浪潮智能科技有限公司 一种基于rbac的临时授权的方法、系统、设备及介质
US20230222205A1 (en) * 2022-01-13 2023-07-13 Vmware, Inc. Sharing enterprise resources with temporary users

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002300155A (ja) * 2001-03-30 2002-10-11 Tokyo Electric Power Co Inc:The 相互認証方法及び相互認証システム
JP3940283B2 (ja) * 2001-10-22 2007-07-04 Kddi株式会社 チケットを用いて相互に認証するサービス予約及び提供方法、そのプログラム並びに該プログラムを記録した記録媒体
US8176327B2 (en) * 2006-12-27 2012-05-08 Airvana, Corp. Authentication protocol
US7945774B2 (en) * 2008-04-07 2011-05-17 Safemashups Inc. Efficient security for mashups
CN101771677B (zh) * 2008-12-31 2013-08-07 华为技术有限公司 一种向访问用户提供资源的方法、服务器和系统
CN103283204B (zh) 2010-11-24 2015-12-16 西班牙电信公司 对受保护内容的访问进行授权的方法
US9497184B2 (en) * 2011-03-28 2016-11-15 International Business Machines Corporation User impersonation/delegation in a token-based authentication system
CN102739708B (zh) * 2011-04-07 2015-02-04 腾讯科技(深圳)有限公司 一种基于云平台访问第三方应用的系统及方法
KR20130007797A (ko) * 2011-07-11 2013-01-21 삼성전자주식회사 개방형 인증 방법 및 시스템
US9043886B2 (en) * 2011-09-29 2015-05-26 Oracle International Corporation Relying party platform/framework for access management infrastructures
CN102394887B (zh) 2011-11-10 2014-07-09 杭州东信北邮信息技术有限公司 基于OAuth协议的开放平台安全认证方法和系统
US8800009B1 (en) * 2011-12-30 2014-08-05 Google Inc. Virtual machine service access
CN104994064B (zh) * 2012-03-29 2018-06-26 北京奇虎科技有限公司 一种基于客户端插件的授权认证方法及系统
CN102611709B (zh) * 2012-03-31 2014-11-12 北京奇虎科技有限公司 一种对第三方资源的访问控制方法及系统
US8839376B2 (en) * 2012-06-29 2014-09-16 Cable Television Laboratories, Inc. Application authorization for video services
CN102761549B (zh) * 2012-07-03 2015-04-22 中国联合网络通信集团有限公司 资源共享的处理方法和系统以及业务平台
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks

Also Published As

Publication number Publication date
EP2963884B1 (en) 2017-03-15
US9462003B2 (en) 2016-10-04
JP6055934B2 (ja) 2016-12-27
CN104022875A (zh) 2014-09-03
EP2963884A1 (en) 2016-01-06
CN104022875B (zh) 2017-09-01
JP2016509319A (ja) 2016-03-24
KR20150119434A (ko) 2015-10-23
WO2014131279A1 (zh) 2014-09-04
EP2963884A4 (en) 2016-03-16
US20160006743A1 (en) 2016-01-07

Similar Documents

Publication Publication Date Title
KR101708587B1 (ko) 양방향 권한 부여 시스템, 클라이언트 및 방법
Garg et al. Securing iot devices and securelyconnecting the dots using rest api and middleware
US10257699B2 (en) Mobile device user authentication for accessing protected network resources
CN106209749B (zh) 单点登录方法及装置、相关设备和应用的处理方法及装置
US9021552B2 (en) User authentication for intermediate representational state transfer (REST) client via certificate authority
WO2018121249A1 (zh) 一种基于ssl协议的访问控制方法及装置
WO2017028804A1 (zh) 一种Web实时通信平台鉴权接入方法及装置
CN102457507B (zh) 云计算资源安全共享方法、装置及系统
US10637650B2 (en) Active authentication session transfer
CN107347068A (zh) 单点登录方法及系统、电子设备
CN112491881B (zh) 跨平台单点登录方法、系统、电子设备及存储介质
US20180152440A1 (en) Single sign-on framework for browser-based applications and native applications
AU2011245059A1 (en) Method and system for enabling computer access
EP2979420B1 (en) Network system comprising a security management server and a home network, and method for including a device in the network system
CN102624720A (zh) 一种身份认证的方法、装置和系统
US10601809B2 (en) System and method for providing a certificate by way of a browser extension
US12041173B2 (en) Whitelisting clients accessing resources via a secure web gateway with time-based one time passwords for authentication
Lazarev et al. Analysis of applicability of open single sign-on protocols in distributed information-computing environment
CN112653676B (zh) 一种跨认证系统的身份认证方法和设备
KR101962349B1 (ko) 인증서 기반 통합 인증 방법
Ozha Kerberos: An Authentication Protocol
Xu et al. Qrtoken: Unifying authentication framework to protect user online identity
Ajvazi et al. SOAP messaging to provide quality of protection through Kerberos Authentication
EP3679499B1 (fr) Enrôlement perfectionné d'un équipement dans un réseau sécurisé
CN114003892A (zh) 可信认证方法、安全认证设备及用户终端

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 4