KR102157743B1 - Method for controlling user access to resources in system using sso authentication - Google Patents

Method for controlling user access to resources in system using sso authentication Download PDF

Info

Publication number
KR102157743B1
KR102157743B1 KR1020190047070A KR20190047070A KR102157743B1 KR 102157743 B1 KR102157743 B1 KR 102157743B1 KR 1020190047070 A KR1020190047070 A KR 1020190047070A KR 20190047070 A KR20190047070 A KR 20190047070A KR 102157743 B1 KR102157743 B1 KR 102157743B1
Authority
KR
South Korea
Prior art keywords
server
role
resources
information
user
Prior art date
Application number
KR1020190047070A
Other languages
Korean (ko)
Inventor
김고은
Original Assignee
주식회사 코너스톤헬스케어랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 코너스톤헬스케어랩 filed Critical 주식회사 코너스톤헬스케어랩
Priority to KR1020190047070A priority Critical patent/KR102157743B1/en
Application granted granted Critical
Publication of KR102157743B1 publication Critical patent/KR102157743B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Disclosed is a system for providing information to users. The system comprises: a service provider server for providing a service which provides information to members; a user terminal for accessing the service provider server and inquiring the information; and an SSO server for issuing authentication information of the user terminal. The service provider server includes a resource management unit for classifying resources managed by the service provider server in accordance with roles defined based on the role based access control (RBAC); a role management unit for managing the information on the roles and allocating at least one of the roles to a user; and a rights management unit for managing access rights to resources, and granting at least one access rights to each of the roles. Resources contain information, and the user terminal may be configured to log in to the service provider server by authentication based on the SSO server, but to retrieve information by accessing only resources with the access rights in accordance with the assigned role.

Description

SSO 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하는 방법{METHOD FOR CONTROLLING USER ACCESS TO RESOURCES IN SYSTEM USING SSO AUTHENTICATION}How to control user access to resources in a system using SSO authentication {METHOD FOR CONTROLLING USER ACCESS TO RESOURCES IN SYSTEM USING SSO AUTHENTICATION}

본 발명은 보안 방법에 관한 것으로, 보다 구체적으로는 SSO(Single Sign On) 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하기 위한 방법에 관한 것이다.The present invention relates to a security method, and more particularly, to a method for controlling a user's access to a resource in a system using SSO (Single Sign On) authentication.

SSO(Single Sign-On)는 한 번의 로그인으로 여러 사이트나 서비스를 이용할 수 있는 시스템으로서, 사용자가 많은 개인 정보를 입력하지 않고도 간편하게 이용할 수 있어 각광받고 있다. 개인의 경우, 사이트에 접속하기 위하여 아이디와 패스워드는 물론 이름, 전화 번호 등 개인정보를 각 사이트마다 일일이 기록해야 하던 것을 한 번의 작업으로 끝나므로 불편함이 해소되며, 기업에서는 회원에 대한 통합관리가 가능해 마케팅을 극대화시킬 수 있다는 장점이 있다.Single Sign-On (SSO) is a system that allows users to use multiple sites or services with a single login, and is gaining attention because users can conveniently use them without entering a lot of personal information. In the case of individuals, the inconvenience of having to record personal information such as ID and password as well as name and phone number for each site in order to access the site is done in one operation, and the inconvenience is eliminated. It has the advantage of maximizing marketing because it is possible.

다만, SSO 인증의 경우 한 번의 인증을 통해 다양한 서비스들을 이용할 수 있기 때문에, 사용자가 한번의 인증만으로 서비스 제공자가 제공하는 모든 리소스(또는, 데이터)에 접근하게 될 가능성이 있으므로, 비밀이나 보안이 요구되는 데이터 또는 접근이 제한될 필요가 있는 데이터의 유출, 탈취 등이 발생할 수 있는 문제점이 있다.However, in the case of SSO authentication, since various services can be used through one authentication, there is a possibility that the user may access all the resources (or data) provided by the service provider with only one authentication, so confidentiality or security is required. There is a problem in that data that is to be used or data that needs to be accessed may be leaked or stolen.

SSO 인증을 사용하는 시스템에서 사용자의 리소스 접근을 제어하기 위한 방법이 제공될 수 있다.A method for controlling user access to resources in a system using SSO authentication may be provided.

본 실시 예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 이하의 실시 예들로부터 또 다른 기술적 과제들이 유추될 수 있다.The technical problem to be achieved by this embodiment is not limited to the technical problem as described above, and other technical problems may be inferred from the following embodiments.

시스템은, 정보들을 사용자들에게 제공하는 서비스를 제공하기 위한 서비스 제공자 서버, 상기 서비스 제공자 서버에 접속하여 상기 정보들을 조회하기 위한 사용자 단말기, 및 상기 사용자 단말기의 인증 정보를 발급하기 위한 SSO 서버를 포함하고, 상기 서비스 제공자 서버는, 상기 서비스 제공자 서버에서 관리되는 리소스들을 RBAC(Role Based Access Control)에 기초하여 정의되는 롤들에 따라 분류하기 위한 리소스 관리부, 상기 롤들에 대한 정보를 관리하고, 상기 롤들 중에서 적어도 하나를 사용자에게 할당하기 위한 롤 관리부, 및 상기 리소스들에 대한 접근 권한들을 관리하고, 상기 롤들 각각에 대해 적어도 하나의 상기 접근 권한을 부여하기 위한 권한 관리부를 포함하고, 상기 리소스들은 상기 정보들을 포함하고, 상기 사용자 단말기는, 상기 SSO 서버에 기반한 통합 인증으로 상기 서비스 제공자 서버에 로그인하되, 할당 받은 롤에 따라 접근 권한이 있는 리소스에만 접근함으로써 상기 정보를 조회하도록 구성될 수 있다.The system includes a service provider server for providing a service that provides information to users, a user terminal for accessing the service provider server to inquire the information, and an SSO server for issuing authentication information of the user terminal. And, the service provider server, a resource management unit for classifying the resources managed by the service provider server according to the roles defined based on RBAC (Role Based Access Control), manages information on the roles, and among the roles A role management unit for allocating at least one to a user, and a rights management unit for managing access rights to the resources, and for granting at least one access authority to each of the roles, and the resources include the information Including, the user terminal may be configured to log in to the service provider server with integrated authentication based on the SSO server, but to inquire the information by accessing only resources with access rights according to the assigned role.

상기 권한 관리부는, 롤들 각각이 사용할 수 있는 API 들을 관리할 수 있다.The authority management unit may manage APIs that can be used by each of the roles.

상기 정보들은 병원 할인 정보들을 포함하고, 상기 롤들은, 상기 서비스 제공자와 제휴를 맺은 제1기업의 직원에게 할당될 수 있는 제1롤, 상기 서비스 제공자와 제휴를 맺은 제2기업의 직원에게 할당될 있는 제2롤, 및 상기 서비스 제공자의 제휴사 직원이 아닌 사용자에게 할당될 수 있는 제3롤을 포함하고, 상기 제1롤은 상기 제2롤보다 더 많은 리소스에 대한 접근 권한이 부여되고, 상기 제2롤은 상기 제3롤보다 더 많은 리소스에 대한 접근 권한이 부여될 수 있다.The information includes hospital discount information, and the rolls are assigned to a first roll that may be assigned to an employee of a first company affiliated with the service provider, and an employee of a second company affiliated with the service provider. And a third role that can be assigned to a user who is not an affiliate employee of the service provider, and the first role is given access rights to more resources than the second role, and the second role The second role may be given access rights to more resources than the third role.

사용자가 SSO 인증에 기반하여 접속 가능한 서버는, 상기 서버에서 관리되는 리소스들을 RBAC(Role Based Access Control)에 기초하여 정의되는 롤들에 따라 분류하기 위한 리소스 관리부, 상기 롤들에 대한 정보를 관리하고, 상기 롤들 중에서 적어도 하나를 사용자에게 할당하기 위한 롤 관리부, 및 상기 리소스들에 대한 접근 권한들을 관리하고, 상기 롤들 각각에 대해 적어도 하나의 상기 접근 권한을 부여하기 위한 권한 관리부를 포함하고, 상기 서버는, 상기 SSO 인증을 위해 SSO 서버와 연결되고, 상기 리소스들은 상기 사용자가 조회할 수 있는 정보들을 포함할 수 있다.The server to which a user can access based on SSO authentication includes a resource management unit for classifying resources managed by the server according to roles defined based on Role Based Access Control (RBAC), and managing information on the roles, and the A role management unit for allocating at least one of the roles to a user, and a rights management unit for managing access rights to the resources, and for granting at least one access right to each of the roles, the server, It is connected to an SSO server for the SSO authentication, and the resources may include information that the user can inquire.

상기 정보들은 병원 할인 정보들을 포함하고, 상기 롤들은, 상기 서버의 운영자와 제휴를 맺은 제1기업의 직원에게 할당될 수 있는 제1롤, 상기 서버의 운영자와 제휴를 맺은 제2기업의 직원에게 할당될 있는 제2롤, 또는 상기 서버의 운영자의 제휴사 직원이 아닌 사용자에게 할당될 수 있는 제3롤을 포함하고, 상기 제1롤은 상기 제2롤보다 더 많은 리소스에 대한 접근 권한이 부여되고, 상기 제2롤은 상기 제3롤보다 더 많은 리소스에 대한 접근 권한이 부여될 수 있다.The information includes hospital discount information, and the rolls include a first roll that can be assigned to an employee of a first company affiliated with the server operator, and an employee of a second company affiliated with the server operator. A second role to be assigned, or a third role that can be assigned to a user who is not an affiliate employee of the operator of the server, and the first role is granted access rights to more resources than the second role , The second roll may be given access rights to more resources than the third roll.

SSO(Single Sign On) 인증을 사용하는 시스템에서, 복수의 사용자에게 각각 다른 권한이 부여된 롤을 할당함으로써 사용자의 리소스 접근을 제어할 수 있다. 보안 정책의 일관성은 유지하면서 변경에 유연한 시스템을 구현할 수 있다. 이러한 방법은, 기업의 복지몰 또는 어느 정도의 폐쇄성을 갖는 프리미엄 서비스, 멤버쉽 서비스에 폭넓은 적용이 가능하다.In a system using Single Sign On (SSO) authentication, it is possible to control user access to resources by assigning roles to which different rights are granted to a plurality of users. It is possible to implement a system that is flexible to change while maintaining security policy consistency. This method can be widely applied to corporate welfare malls, premium services, and membership services with some degree of closure.

도1은 일 실시 예에 따라, SSO 인증을 사용하는 시스템을 나타낸다.
도2는 일 실시 예에 따라, 사용자가 SSO 인증을 통해 서비스 제공자가 제공하는 모든 정보에 접속하는 것을 나타낸다.
도3은 일 실시예에 따라, 사용자들에게 정보들을 제공하기 위한 시스템을 나타낸다.
도4는 일 실시 예에 따라, 서비스 제공자의 서버가 SSO 인증을 통해 접속한 사용자들의 리소스 접근을 제어하기 위한 방법의 흐름도를 나타낸다.
도5는 일 실시 예에 따라, 사용자들이 자신이 할당 받은 롤에 따라 접근할 수 있는 리소스를 나타낸다.1 shows a system using SSO authentication, according to an embodiment.
2 is a diagram illustrating that a user accesses all information provided by a service provider through SSO authentication, according to an embodiment.
3 shows a system for providing information to users, according to one embodiment.
4 is a flowchart illustrating a method for controlling access to resources of users accessed through SSO authentication by a server of a service provider, according to an embodiment.
5 illustrates a resource that users can access according to their assigned role, according to an embodiment.

아래에서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자들(이하, 통상의 기술자들)이 본 발명을 용이하게 실시할 수 있도록, 첨부되는 도면들을 참조하여 몇몇 실시 예가 명확하고 상세하게 설명될 것이다.In the following, some embodiments will be described clearly and in detail with reference to the accompanying drawings so that those with ordinary knowledge in the technical field to which the present invention pertains (hereinafter, ordinary technicians) can easily implement the present invention. will be.

또한, 명세서에서 사용되는 "부" 이라는 용어는 하드웨어 구성요소 또는 회로를 의미할 수 있다.In addition, the term "unit" used in the specification may mean a hardware component or circuit.

도1은 일 실시 예에 따라, SSO 인증을 사용하는 시스템을 나타낸다.1 shows a system using SSO authentication, according to an embodiment.

도 1을 참조하면, 시스템(1000)은, 사용자의 단말기(1200), SSO 서버(1400), 및 서비스 제공자의 서버들(1620, 1640, 1660)를 포함할 수 있다. Referring to FIG. 1, a system 1000 may include a user's terminal 1200, an SSO server 1400, and servers 1620, 1640, and 1660 of a service provider.

단말기(1200)는 어플리케이션을 실행하거나 데이터를 저장 및 관리함으로써 사용자에게 필요한 정보를 제공할 수 있다. 일 실시 예에 따라, 단말기(1200)는 퍼스널 컴퓨터(PC)이거나, 노트북 컴퓨터, 태블릿 PC, 휴대용 게임기, 스마트 폰, 웨어러블 디바이스 또는 카메라 등과 같은 모바일 디바이스일 수 있으나 이에 제한되지 않는다.The terminal 1200 may provide necessary information to a user by executing an application or storing and managing data. According to an embodiment, the terminal 1200 may be a personal computer (PC), a notebook computer, a tablet PC, a portable game console, a smart phone, a wearable device, or a mobile device such as a camera, but is not limited thereto.

SSO 서버(1400)는 한 번의 사용자 인증 과정으로 복수의 서버 접속을 가능하게 하는 SSO(Single Sign-On) 서비스를 위한 인증 정보를 발급할 수 있다. 단말기(1200)는 SSO 서버(1400)에 통합 인증을 받음으로써, SSO 서버(1400)와 연결된 다른 복수의 서버들(1620, 1640, 1660)에게도 별도의 인증 과정 없이 접속할 수 있다.The SSO server 1400 may issue authentication information for a single sign-on (SSO) service that enables access to a plurality of servers through a single user authentication process. The terminal 1200 receives integrated authentication with the SSO server 1400, so that it can access the other plurality of servers 1620, 1640, and 1660 connected to the SSO server 1400 without a separate authentication process.

서비스 제공자의 서버들(1620, 1640, 1660)는 사용자에게 각종 정보들을 제공하기 위한 서비스를 제공할 수 있다. 예를 들어, 서버(1620)는 사용자에게 병원 할인 정보를 제공하고, 사용자는 서버(1620)에 접속하여 병원 할인 정보를 조회하고 할인 쿠폰을 발급받을 수 있다. Servers 1620, 1640, and 1660 of a service provider may provide a service for providing various types of information to a user. For example, the server 1620 may provide hospital discount information to a user, and the user may access the server 1620 to inquire hospital discount information and obtain a discount coupon.

서버(1620)는 단말기(1200)로부터 인증 요청이 들어오면, SSO 서버(1400)로부터 발급받은 인증 정보를 통해 단말기(1200)을 검증하고, 인가된 사용자일 경우 서비스 접근 권한을 부여하고 그렇지 않을 경우 접근을 거부할 수 있다. 예를 들어, 단말기(1200)가 서버(1620)에 연결을 요청하면, 서버(1620)는 단말기(1200)로 하여금 SSO 서버(1400)로부터 인증을 받도록 요청할 수 있다. 단말기(1200)가 SSO 서버(1400)로부터 인증을 받으면, SSO 서버(1400)와 연결된 서버들(1620, 1640, 1660)에도 별도의 인증 없이 접속할 수 있다.When an authentication request is received from the terminal 1200, the server 1620 verifies the terminal 1200 through authentication information issued from the SSO server 1400, and grants service access rights if the user is an authorized user. You can deny access. For example, when the terminal 1200 requests a connection to the server 1620, the server 1620 may request the terminal 1200 to receive authentication from the SSO server 1400. When the terminal 1200 receives authentication from the SSO server 1400, it may access the servers 1620, 1640, and 1660 connected to the SSO server 1400 without separate authentication.

다만, 시스템(1000)은 사용자가 최초 인증 과정을 통과하면 모든 서버나 사이트에 접속할 수 있다는 약점이 있다. 사용자는 최초의 인증만으로 SSO 서버(1400)에 연결된 서비스 제공자들이 제공하는 서버(1620, 1640, 1660)의 모든 리소스에 접근할 수 있으므로, 비밀이나 보안이 요구되는 데이터 또는 접근이 제한될 필요가 있는 데이터의 유출, 탈취 등이 발생할 수 있다.However, the system 1000 has a weakness in that the user can access all servers or sites once the user passes the initial authentication process. Since the user can access all the resources of the servers 1620, 1640, and 1660 provided by the service providers connected to the SSO server 1400 only with the initial authentication, data requiring confidentiality or security or access need to be restricted. Data leakage or hijacking may occur.

도2는 일 실시 예에 따라, 사용자가 SSO 인증을 통해 서비스 제공자가 제공하는 모든 정보에 접속하는 것을 나타낸다.2 is a diagram illustrating that a user accesses all information provided by a service provider through SSO authentication, according to an embodiment.

일 실시 예에 따라, 사용자(2200)는 기업 A에 재직 중인 직원이다. 기업 A는 서버(1620)의 운영자인 서비스 제공자와 제휴를 맺고 있으며, 서비스 제공자는 기업 A의 직원들에게 병원 할인 정보를 제공하고, 기업 A의 직원들에게 할인 쿠폰을 발급해주는 서비스를 제공할 수 있다.According to an embodiment, the user 2200 is an employee who is currently employed by company A. Company A has an alliance with a service provider, which is the operator of the server 1620, and the service provider can provide hospital discount information to employees of company A and issuing discount coupons to employees of company A. have.

이러한 실시 예에서, 사용자(2200)는 서비스 제공자의 서비스에 별도 가입하지 않더라도, SSO 인증을 통해 서비스 제공자가 제공하는 병원 할인 정보에 접근할 수 있다. 예를 들어, 사용자(2200)는 자신이 재직 중인 기업 A의 사내 인트라넷에 접속함으로써, 서버(1620)에도 로그인할 수 있다.In this embodiment, the user 2200 may access hospital discount information provided by the service provider through SSO authentication even without a separate subscription to the service provider's service. For example, the user 2200 may log in to the server 1620 by accessing the company A's intranet in which he is employed.

사용자(2200)는 SSO 인증에 기반하여 서버(1620)에 로그인하고, 서버(1620)에서 관리하는 A병원의 20% 할인 정보, A 병원의 40% 할인 정보, B 병원의 20% 할인 정보, B병원의 40% 할인 정보에 접근할 수 있다. 다만, 최초 취득한 권한으로 다채널에 대한 접근이 가능한 SSO의 특성상 보안을 위해 일정 주기를 설정하여 권한 자격을 확인하는 형태로 구축될 필요가 있다. 이러한 문제점을 극복하기 위해, RBAC(Role-Based Access Control, 역할 기반 접근 제어) 시스템이 사용될 수 있다. 이하, 서비스 제공자의 서버(1620)에서 SSO 인증을 통해 접속한 사용자들을 RBAC에 기반하여 제어하는 방법을 설명한다.The user 2200 logs in to the server 1620 based on SSO authentication, and the 20% discount information for hospital A, 40% discount information for hospital A, 20% discount information for hospital B, and B managed by the server 1620 Get access to hospital's 40% discount information. However, due to the nature of SSO that can access multiple channels with the initially acquired authority, it needs to be established in the form of checking the authority qualification by setting a certain period for security. In order to overcome this problem, a role-based access control (RBAC) system may be used. Hereinafter, a method of controlling users accessed through SSO authentication in the server 1620 of the service provider based on RBAC will be described.

RBAC 시스템은, 사용자의 역할 수행에 필요한 최소 리소스에만 접근 가능하도록 함으로써, 권한 관리를 매우 단순화시켜 주고, 기업의 특정한 보안정책을 구현하는 데 있어서 유연성을 제공할 수 있다. RBAC는 각 사용자에게 역할을 할당하여 접근 제어를 할 수 있다. The RBAC system greatly simplifies the authority management by allowing access to only the minimum resources necessary for the user's role performance, and can provide flexibility in implementing corporate specific security policies. RBAC can control access by assigning roles to each user.

RBAC는 관리자가 일반 사용자에게 자신의 권한(permission)을 일부 부여함으로써, 권한이 없는 사용자가 해당 작업을 수행할 수 있도록 하는 방법으로서, 관리자가 사용자들이 이용할 수 있도록 권한을 부여한 계정이 롤(role)이다. 일 실시 예에 따라, RBAC에서 시스템의 모든 권한이 부여된 관리자 롤이 상위 롤이고, 관리자의 권한 중 일부의 권한이 부여된 적어도 하나의 하위 롤들이 계층적으로 정의될 수 있다.RBAC is a method in which an administrator grants some of his or her permissions to a general user, so that an unauthorized user can perform the task. The account that the administrator grants the user permission to use is a role. to be. According to an embodiment, in RBAC, an administrator role to which all system privileges are granted is a higher role, and at least one lower role to which some of the administrator's authority is granted may be hierarchically defined.

도3은 일 실시예에 따라, 서비스 제공자의 서버의 블록도를 나타낸다.Fig. 3 shows a block diagram of a server of a service provider, according to an embodiment.

도3을 참조하면, 제1사용자, 제2사용자, 및 제3사용자는 제1스마트폰, 제2스마트폰, 및 제3스마트폰을 각각 이용하여 SSO 인증을 통해 서버(3000)에 접속 또는 로그인할 수 있다. 3, a first user, a second user, and a third user access or log in to the server 3000 through SSO authentication using a first smartphone, a second smartphone, and a third smartphone, respectively. can do.

일 실시 예에 따라, 보안정책 관리자(예를 들어, 서버(3000)의 운영자)는 사용자에게 롤을 부여하고, 롤에 리소스의 접근 권한을 부여할 수 있다. 일 실시 예에 따라, 서버(3000)에 적용될 수 있는 RBAC 모델은 Core RBAC, Hierarchical RBAC, Constrained RBAC, 및 Consolidated RBAC 을 포함할 수 있다.According to an embodiment, a security policy manager (eg, an operator of the server 3000) may grant a role to a user and grant access rights to a resource to the role. According to an embodiment, the RBAC model applicable to the server 3000 may include Core RBAC, Hierarchical RBAC, Constrained RBAC, and Consolidated RBAC.

각 RBAC 시스템은, 레퍼런스 모니터(Reference Monitor)를 포함할 수 있다. 레퍼런스 모니터는, Execution Monitor(EM)의 형태로 구현되며 사용자에 의한 리소스로의 모든 접근을 통제할 수 있다. 해당 롤을 부여 받기 적합한 사용자인지, 부여된 권한이 해당 리소스에 접근 권한이 있는지, 리소스에 접근하기 위한 접속 권한을 부여 받았는지 등 구현된 RBAC 모델의 각 영역(Permission Assignment(PA), User Assignment(UA), session_roles 등)에서 수행이 이루어지기 전에 보안상 문제가 있는지 없는지 확인하고 허용 여부를 결정할 수 있다.Each RBAC system may include a reference monitor. The reference monitor is implemented in the form of an Execution Monitor (EM) and can control all access to resources by users. Each area of the implemented RBAC model (Permission Assignment(PA), User Assignment()), such as whether the user is appropriate to be granted the role, whether the granted permission has access rights to the resource, and access rights to access the resource. UA), session_roles, etc.) can check whether there is a security problem and decide whether to allow or not.

서버(3000)는 리소스 관리부(3200), 롤 관리부(3400), 및 권한 관리부(3600)를 포함할 수 있다.The server 3000 may include a resource management unit 3200, a role management unit 3400, and an authority management unit 3600.

리소스 관리부(3200)는 서버(3000)에서 관리되는 리소스들을 RBAC(Role Based Access Control)에 기초하여 정의된 롤들에 따라 분류할 수 있다. 예를 들어, 리소스 관리부(3200)는 리소스들을 관리자(예를 들어, 서버(3000)의 운영자)만이 접근할 수 있는 제1리소스, 제1롤을 할당 받은 사용자만이 접근할 수 있는 제2리소스, 제2롤을 할당 받은 사용자만이 접근할 수 있는 제3리소스로 분류하여 관리할 수 있다. The resource management unit 3200 may classify resources managed by the server 3000 according to roles defined based on Role Based Access Control (RBAC). For example, the resource management unit 3200 includes a first resource that can only be accessed by an administrator (for example, an operator of the server 3000), and a second resource that can only be accessed by a user assigned a first role. , The second role can be classified and managed as a third resource that can only be accessed by the assigned user.

도5를 참조하면, 리소스는 병원의 할인 정보를 포함할 수 있다. 리소스 관리부(3200)는 A 병원의 10% 할인 정보와 B 병원의 10% 할인 정보를 일반 회원(예를 들어, 일반 회원 롤을 할당 받은 사용자)가 접근할 수 있는 리소스로서 관리할 수 있다. 리소스 관리부(3200)는 A 병원의 20% 할인 정보와 B 병원의 20% 할인 정보를 기업 B에 재직 중인 사용자(예를 들어, 기업 B롤을 할당 받은 사용자)에 한해 접근할 수 있는 리소스로서 관리할 수 있다. 리소스 관리부(3200)는 A 병원 40% 할인 정보를 기업 A 와 기업 C에 재직 중인 사용자 (예를 들어, 기업 A롤 또는 기업 C롤을 할당 받은 사용자)에 한해 접근할 수 있는 리소스로서 관리할 수 있다. 리소스 관리부(3200)는 B 병원 40% 할인 정보를 기업 A에 재직 중인 사용자(예를 들어, 기업 A롤을 할당 받은 사용자)에 한해 접근할 수 있는 리소스로서 관리할 수 있다. 리소스 관리부(3200)는 B 병원 20% 할인 정보를 기업 C에 재직 중인 사용자(예를 들어, 기업 C롤을 할당 받은 사용자)에 한해 접근할 수 있는 리소스로서 관리할 수 있다.Referring to FIG. 5, the resource may include hospital discount information. The resource management unit 3200 may manage 10% discount information of hospital A and 10% discount information of hospital B as resources accessible to a general member (eg, a user assigned a general member role). The resource management unit 3200 manages the 20% discount information of hospital A and 20% discount information of hospital B as resources that can only be accessed by users who are employed by company B (for example, users who are assigned company B role). can do. The resource management unit 3200 can manage the 40% discount information of Hospital A as a resource that can be accessed only to users who are employed by Company A and Company C (for example, users assigned to Company A role or Company C role). have. The resource management unit 3200 may manage the 40% discount information of hospital B as a resource that can only be accessed by a user who is employed by company A (for example, a user who has been assigned a role of company A). The resource management unit 3200 may manage the 20% discount information of hospital B as a resource that can only be accessed by a user who is employed by company C (for example, a user who has been assigned a role of company C).

다시 도3을 참조하면, 롤 관리부(3400)는 RBAC에 기초하여 정의된 롤들에 대한 정보를 관리하고, 롤들 중에서 적어도 하나의 롤을 제1사용자, 제2사용자, 및 제3사용자 각각에게 할당할 수 있다. Referring back to FIG. 3, the role management unit 3400 manages information on roles defined based on RBAC, and assigns at least one of the roles to each of the first user, the second user, and the third user. I can.

롤 관리부(3400)는 서버(3000)의 모든 리소스에 대한 접근 권한을 가지는 제1롤, 서버(3000)의 일부 리소스에 대한 접근 권한을 가지는 제2롤, 서버(3000)의 다른 일부 리소스에 대한 접근 권한을 가지는 제3롤을 관리할 수 있다. 제2롤이 접근할 수 있는 리소스의 범위는 제3롤이 접근할 수 있는 리소스의 범위보다 클 수 있다.The role management unit 3400 includes a first role having access rights to all resources of the server 3000, a second role having access rights to some resources of the server 3000, and some other resources of the server 3000. You can manage the third role with access rights. The range of resources that the second role can access may be larger than the range of resources that the third role can access.

예를 들어, 롤 관리부(3400)는 제1사용자가 일반 회원인 경우, 제1사용자에게 일반 회원 롤을 할당할 수 있다. 롤 관리부(3400)는 제2사용자가 기업A의 재직 직원인 경우, 제2사용자에게 기업 A롤을 할당할 수 있다. 롤 관리부(3400)는 제3사용자가 B기업 재직 직원인 경우, 제3사용자에게 기업 B롤을 할당할 수 있다. 이러한 실시 예에서, 기업 A와 기업 B는 서버(3000)의 운영자(예를 들어, 서비스 제공자)의 제휴사일 수 있다. 일반 회원 롤은 서버(3000)의 운영자(예를 들어, 서비스 제공자)의 제휴사에 재직 중인 직원이 아닌 사용자가 할당 받는 롤일 수 있다.For example, when the first user is a general member, the role management unit 3400 may allocate a general member role to the first user. When the second user is an employee of the company A, the role management unit 3400 may allocate the company A role to the second user. The role management unit 3400 may allocate the company B roll to the third user when the third user is an employee of the company B. In this embodiment, company A and company B may be affiliates of an operator (eg, a service provider) of the server 3000. The general member role may be a role assigned by a user other than an employee who is currently employed by an affiliate of the operator (eg, service provider) of the server 3000.

예를 들어, 일반 회원 롤을 할당 받은 제1사용자는 서버(3000)에서 제공하는 일반적인 병원 할인 혜택 정보에 접근하고, 할인 쿠폰을 자신의 제1스마트 폰에 저장할 수 있다. A 기업 롤을 할당 받은 제2사용자는 서버(3000)에서 제공하는 스페셜 병원 할인 혜택 정보에 접근하고, 스페셜 할인 쿠폰을 자신의 제2스마트 폰에 저장할 수 있다. B 기업 롤을 할당 받은 제3사용자는 서버(3000)에서 제공하는 스페셜 병원 할인 혜택 정보에 접근하고, 스페셜 할인 쿠폰을 자신의 제3스마트 폰에 저장할 수 있다.For example, a first user assigned a general member role may access general hospital discount benefit information provided by the server 3000 and store the discount coupon in his first smart phone. The second user assigned the corporate role A may access special hospital discount benefit information provided by the server 3000 and store the special discount coupon in his second smart phone. The third user who has been assigned the corporate role B may access special hospital discount benefit information provided by the server 3000 and store the special discount coupon in his third smart phone.

다시 도5를 참조하면, 롤 관리부(3400)는 제1사용자, 제5사용자, 또는 제6사용자가 기업 A의 인트라넷을 통한 SSO 인증을 통해 서버(3000)에 접속한 경우, 제1사용자에게 기업 A롤을 할당할 수 있다. 롤 관리부(3400)는 제4사용자가 기업 B의 인트라넷을 통한 SSO 인증을 통해 서버(3000)에 접속한 경우, 제4사용자에게 기업 B롤을 할당할 수 있다. 롤 관리부(3400)는 제2사용자가 서비스 제공자의 제휴사 직원이 아니면, 제2사용자에게 일반 회원 롤을 할당할 수 있다. 롤 관리부(3400)는 제3사용자가 기업 C의 인트라넷을 통한 SSO 인증을 통해 서버(3000)에 접속한 경우, 제3사용자에게 기업 C롤을 할당할 수 있다.Referring back to FIG. 5, when the first user, the fifth user, or the sixth user accesses the server 3000 through SSO authentication through the company A's intranet, the role management unit 3400 provides the first user to the first user. A role can be assigned. When the fourth user accesses the server 3000 through SSO authentication through the company B's intranet, the role management unit 3400 may allocate the company B roll to the fourth user. The role management unit 3400 may allocate a general member role to the second user if the second user is not an employee of an affiliate company of the service provider. When the third user accesses the server 3000 through SSO authentication through the company C's intranet, the role management unit 3400 may allocate the company C role to the third user.

결과적으로, SSO 인증을 통해 서버(3000)에 접속한 제1사용자, 제5사용자, 제6사용자는 A병원 40%할인 정보와 B병원 40% 할인 정보에만 접근할 수 있다. SSO 인증을 통해 서버(3000)에 접속한 제2사용자는 A병원 10% 할인 정보와 B병원 10% 할인 정보에만 접근할 수 있다. SSO 인증을 통해 서버(3000)에 접속한 제3사용자는 A병원 40% 할인 정보와 B병원 20% 할인 정보에만 접근할 수 있다. SSO 인증을 통해 서버(3000)에 접속한 제4사용자는 A병원 20% 할인 정보와 B병원 20% 할인 정보에만 접근할 수 있다.As a result, the first, fifth, and sixth users who access the server 3000 through SSO authentication can access only 40% discount information for hospital A and 40% discount information for hospital B. The second user who accesses the server 3000 through SSO authentication can access only the 10% discount information for hospital A and 10% discount information for hospital B. A third user who accesses the server 3000 through SSO authentication can access only 40% discount information for hospital A and 20% discount information for hospital B. The fourth user who accesses the server 3000 through SSO authentication can access only 20% discount information for hospital A and 20% discount information for hospital B.

도3을 다시 참조하면, 권한 관리부(3600)는 리소스 접근에 대한 권한(permission)을 계층적으로 관리하고, 롤들 각각에게 적어도 하나의 권한을 부여할 수 있다. 예를 들어, 권한 관리부(3600)가 관리하는 권한은 리소스들 각각에 대응하는 하위 권한들과, 복수의 하위 권한을 포함하는 적어도 하나의 상위 권한을 포함할 수 있다. 권한은, 하위 리소스에 접근할 수 있는 권한과 상위 리소스에 접근할 수 있는 권한 중 적어도 하나를 포함할 수 있다. 상위 리소스에 접근할 수 있는 권한은, 해당 상위 리소스의 모든 하위 리소스에 접근할 수 있는 권한을 포함할 수 있다.Referring again to FIG. 3, the permission management unit 3600 hierarchically manages permission for resource access, and may grant at least one permission to each of the roles. For example, the authority managed by the authority management unit 3600 may include lower authority corresponding to each of the resources and at least one higher authority including a plurality of lower authority. The permission may include at least one of a permission to access a lower resource and a permission to access a higher resource. The permission to access the upper resource may include the permission to access all the lower resources of the parent resource.

일 실시 예에 따라, 권한 관리부(3600)는 정의된 롤들을 열거(Enumeration)하고, 롤들에 따라 사용할 수 있는 API(Application Program Interface)들을 관리할 수 있다. 예를 들어, 권한 관리부(3600)는 제1롤이 사용할 수 있는 API 들을 모아둔 제1라이브러리, 제2롤이 사용할 수 있는 API들을 모아둔 제2라이브러리, 제3롤이 사용할 수 있는 API 들을 모아둔 제3라이브러리를 관리할 수 있다.According to an embodiment, the authority management unit 3600 may enumerate defined roles and manage application program interfaces (APIs) that can be used according to the roles. For example, the authority management unit 3600 collects APIs that can be used by a first library, a collection of APIs that can be used by a first role, a second library, and a third role. You can manage your third library.

도4는 일 실시 예에 따라, 서비스 제공자의 서버가 SSO 인증을 통해 접속한 사용자들의 리소스 접근을 제어하기 위한 방법의 흐름도를 나타낸다.4 is a flowchart illustrating a method for controlling access to resources of users accessed through SSO authentication by a server of a service provider, according to an embodiment.

단계 S4100에서, 사용자의 단말기는 서비스 제공자의 서버에 접속하여 로그인을 시도할 수 있다. 예를 들어, 사용자는 자신의 단말기에 아이디와 패스워드를 입력함으로써, 병원 할인 혜택 정보를 제공하는 서비스를 제공하는 서버에 로그인을 시도할 수 있다.In step S4100, the user's terminal may attempt to log in by accessing the server of the service provider. For example, a user may attempt to log in to a server that provides a service providing hospital discount benefit information by entering an ID and password in his or her terminal.

단계 S4200에서, 서비스 제공자의 서버는 사용자 단말기로 SSO 서버로부터 인증을 받도록 요청할 수 있다.In step S4200, the server of the service provider may request the user terminal to receive authentication from the SSO server.

단계 S4300에서, 사용자 단말기는 SSO 서버로부터 인증을 받음으로써, 사용자 단말기는 서비스 제공자의 서버에 로그인(S4400)할 수 있다.In step S4300, the user terminal receives authentication from the SSO server, so that the user terminal may log in to the server of the service provider (S4400).

단계 S4500에서, 서비스 제공자의 서버는 사용자 단말기의 로그인 정보에 기반하여 사용자의 롤을 결정할 수 있다. 일 실시 예에 따라, 서비스 제공자의 서버는 기 정의된 롤들 중 적어도 하나의 롤을 사용자 단말기에 할당할 수 있다. In step S4500, the server of the service provider may determine the user's role based on the login information of the user terminal. According to an embodiment, the server of the service provider may allocate at least one of predefined roles to the user terminal.

단계 S4600에서, 사용자 단말기는 자신이 할당 받은 롤에 따라, 서비스 제공자의 서버에서 관리되는 리소스들 중에서 제한된 리소스에만 접근할 수 있다. In step S4600, the user terminal may access only limited resources among the resources managed by the server of the service provider according to the role assigned to the user terminal.

설명들은 본 발명을 구현하기 위한 예시적인 구성들 및 동작들을 제공하도록 의도된다. 본 발명의 기술 사상은 위에서 설명된 실시 예들뿐만 아니라, 위 실시 예들을 단순하게 변경하거나 수정하여 얻어질 수 있는 구현들도 포함할 것이다. 또한, 본 발명의 기술 사상은 위에서 설명된 실시 예들을 앞으로 용이하게 변경하거나 수정하여 달성될 수 있는 구현들도 포함할 것이다.The descriptions are intended to provide exemplary configurations and operations for implementing the present invention. The technical idea of the present invention will include not only the embodiments described above, but also implementations that can be obtained by simply changing or modifying the above embodiments. In addition, the technical idea of the present invention will also include implementations that can be achieved by easily changing or modifying the embodiments described above.

Claims (5)

정보들을 사용자들에게 제공하는 서비스를 제공하기 위한 서비스 제공자 서버;
상기 서비스 제공자 서버에 접속하여 상기 정보들을 조회하기 위한 사용자 단말기; 및
상기 사용자 단말기의 인증 정보를 발급하기 위한 SSO 서버를 포함하고,
상기 서비스 제공자 서버는,
상기 서비스 제공자 서버에서 관리되는 리소스들을 RBAC(Role Based Access Control)에 기초하여 정의되는 롤들에 따라 분류하기 위한 리소스 관리부;
상기 롤들에 대한 정보를 관리하고, 상기 롤들 중에서 적어도 하나를 사용자에게 할당하기 위한 롤 관리부; 및
상기 리소스들에 대한 접근 권한들을 관리하고, 상기 롤들 각각에 대해 적어도 하나의 상기 접근 권한을 부여하기 위한 권한 관리부를 포함하고,
상기 리소스들은 상기 정보들을 포함하고,
상기 사용자 단말기는, 상기 SSO 서버에 기반한 통합 인증으로 상기 서비스 제공자 서버에 로그인하되, 할당 받은 롤에 따라 접근 권한이 있는 리소스에만 접근함으로써 상기 정보를 조회하도록 구성되는 시스템.A service provider server for providing a service for providing information to users;
A user terminal for accessing the service provider server to inquire the information; And
Includes an SSO server for issuing authentication information of the user terminal,
The service provider server,
A resource management unit for classifying resources managed by the service provider server according to roles defined based on Role Based Access Control (RBAC);
A roll management unit for managing information on the rolls and assigning at least one of the rolls to a user; And
And a rights management unit for managing access rights to the resources and granting at least one access rights to each of the roles,
The resources include the information,
The user terminal, a system configured to log in to the service provider server with integrated authentication based on the SSO server, and to inquire the information by accessing only resources with access rights according to the assigned role. 제1항에 있어서,
상기 권한 관리부는, 롤들 각각이 사용할 수 있는 API 들을 관리하는 시스템.The method of claim 1,
The authority management unit manages APIs that can be used by each of the roles. 제1항에 있어서,
상기 정보들은 병원 할인 정보들을 포함하고,
상기 롤들은, 상기 서비스 제공자와 제휴를 맺은 제1기업의 직원에게 할당될 수 있는 제1롤, 상기 서비스 제공자와 제휴를 맺은 제2기업의 직원에게 할당될 있는 제2롤, 및 상기 서비스 제공자의 제휴사 직원이 아닌 사용자에게 할당될 수 있는 제3롤을 포함하고,
상기 제1롤은 상기 제2롤보다 더 많은 리소스에 대한 접근 권한이 부여되고,
상기 제2롤은 상기 제3롤보다 더 많은 리소스에 대한 접근 권한이 부여되는 시스템.The method of claim 1,
The information includes hospital discount information,
The rolls include a first roll that can be assigned to an employee of a first company affiliated with the service provider, a second roll that can be assigned to an employee of a second company affiliated with the service provider, and Including a third role that can be assigned to users who are not affiliate employees,
The first roll is granted access rights to more resources than the second roll,
The system in which the second role is given access rights to more resources than the third role. 사용자가 SSO 인증에 기반하여 접속 가능한 서버에 있어서,
상기 서버에서 관리되는 리소스들을 RBAC(Role Based Access Control)에 기초하여 정의되는 롤들에 따라 분류하기 위한 리소스 관리부;
상기 롤들에 대한 정보를 관리하고, 상기 롤들 중에서 적어도 하나를 사용자에게 할당하기 위한 롤 관리부; 및
상기 리소스들에 대한 접근 권한들을 관리하고, 상기 롤들 각각에 대해 적어도 하나의 상기 접근 권한을 부여하기 위한 권한 관리부를 포함하고,
상기 서버는, 상기 SSO 인증을 위해 SSO 서버와 연결되고,
상기 리소스들은 상기 사용자가 조회할 수 있는 정보들을 포함하는 서버.In the server that users can access based on SSO authentication,
A resource management unit for classifying resources managed by the server according to roles defined based on Role Based Access Control (RBAC);
A roll management unit for managing information on the rolls and assigning at least one of the rolls to a user; And
And a rights management unit for managing access rights to the resources and granting at least one access rights to each of the roles,
The server is connected to the SSO server for the SSO authentication,
The resources are a server including information that the user can search. 제4항에 있어서,
상기 정보들은 병원 할인 정보들을 포함하고,
상기 롤들은, 상기 서버의 운영자와 제휴를 맺은 제1기업의 직원에게 할당될 수 있는 제1롤, 상기 서버의 운영자와 제휴를 맺은 제2기업의 직원에게 할당될 있는 제2롤, 또는 상기 서버의 운영자의 제휴사 직원이 아닌 사용자에게 할당될 수 있는 제3롤을 포함하고,
상기 제1롤은 상기 제2롤보다 더 많은 리소스에 대한 접근 권한이 부여되고,
상기 제2롤은 상기 제3롤보다 더 많은 리소스에 대한 접근 권한이 부여되는 서버.The method of claim 4,
The information includes hospital discount information,
The roles are, a first roll that can be assigned to an employee of a first company affiliated with the server operator, a second roll that can be assigned to an employee of a second company affiliated with the server operator, or the server Including a third role that can be assigned to a user who is not an affiliate employee of the operator of,
The first roll is granted access rights to more resources than the second roll,
The second role is a server to which access rights to more resources are granted than the third role.
KR1020190047070A 2019-04-23 2019-04-23 Method for controlling user access to resources in system using sso authentication KR102157743B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190047070A KR102157743B1 (en) 2019-04-23 2019-04-23 Method for controlling user access to resources in system using sso authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190047070A KR102157743B1 (en) 2019-04-23 2019-04-23 Method for controlling user access to resources in system using sso authentication

Publications (1)

Publication Number Publication Date
KR102157743B1 true KR102157743B1 (en) 2020-09-18

Family

ID=72670289

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190047070A KR102157743B1 (en) 2019-04-23 2019-04-23 Method for controlling user access to resources in system using sso authentication

Country Status (1)

Country Link
KR (1) KR102157743B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553450A (en) * 2020-11-24 2022-05-27 贝斯平环球公司 Merging management system and control method of merging management system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080060010A (en) * 2006-12-26 2008-07-01 주식회사 케이티 System for controlling total access based on user terminal and method thereof

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080060010A (en) * 2006-12-26 2008-07-01 주식회사 케이티 System for controlling total access based on user terminal and method thereof

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553450A (en) * 2020-11-24 2022-05-27 贝斯平环球公司 Merging management system and control method of merging management system

Similar Documents

Publication Publication Date Title
US10263994B2 (en) Authorized delegation of permissions
TWI336043B (en) Delegated administration of a hosted resource
Mon et al. The privacy-aware access control system using attribute-and role-based access control in private cloud
US20020184535A1 (en) Method and system for accessing a resource in a computing system
US6678682B1 (en) Method, system, and software for enterprise access management control
US20160057150A1 (en) Event analytics for determining role-based access
KR101101085B1 (en) Zoned based security administration for data items
US20060143447A1 (en) Managing elevated rights on a network
US20110321130A1 (en) Network layer claims based access control
JP2021170397A (en) Association of user account with enterprise work space
US10560435B2 (en) Enforcing restrictions on third-party accounts
EP1933264A1 (en) Policy enforcement via attestations
US8819766B2 (en) Domain-based isolation and access control on dynamic objects
US20040088563A1 (en) Computer access authorization
US12010121B2 (en) Gradual credential disablement
US8219807B1 (en) Fine grained access control for linux services
US8271785B1 (en) Synthesized root privileges
KR101015354B1 (en) Moving principals across security boundaries without service interruption
KR102157743B1 (en) Method for controlling user access to resources in system using sso authentication
US10880307B2 (en) Systems for providing device-specific access to an e-mail server
KR20090128203A (en) Apparatus and method for controlling access in hosting service environment
US11947657B2 (en) Persistent source values for assumed alternative identities
US8429718B2 (en) Control production support access
Walker Why do PAM projects fail?
US20080301781A1 (en) Method, system and computer program for managing multiple role userid

Legal Events

Date Code Title Description
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant