KR20030008543A - 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 - Google Patents
웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 Download PDFInfo
- Publication number
- KR20030008543A KR20030008543A KR1020010043235A KR20010043235A KR20030008543A KR 20030008543 A KR20030008543 A KR 20030008543A KR 1020010043235 A KR1020010043235 A KR 1020010043235A KR 20010043235 A KR20010043235 A KR 20010043235A KR 20030008543 A KR20030008543 A KR 20030008543A
- Authority
- KR
- South Korea
- Prior art keywords
- web server
- user
- kernel
- server software
- access
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 20
- 230000000903 blocking effect Effects 0.000 claims abstract description 8
- 238000013475 authorization Methods 0.000 claims description 6
- 230000002265 prevention Effects 0.000 claims 1
- 230000009545 invasion Effects 0.000 abstract description 3
- 238000004891 communication Methods 0.000 description 3
- 238000007796 conventional method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004888 barrier function Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
Landscapes
- Business, Economics & Management (AREA)
- Engineering & Computer Science (AREA)
- Strategic Management (AREA)
- Human Resources & Organizations (AREA)
- Tourism & Hospitality (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Marketing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Primary Health Care (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를 실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로서, 웹 서버 소프트웨어가 사용자가 접근하기를 원하는 소정 영역 및 파일에 대한 정보를 상기 사용자로부터 수신하는 단계; 상기 웹 서버 소프트웨어가 상기 파일이 상기 소정 영역에 존재하는지 여부를 판단하는 단계; 상기 웹 서버 소프트웨어의 상기 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어가 커널에 대하여 접속 허가요청 및 기설정된 암호문을 전송하는 단계; 상기 커널이 상기 웹 서버 소프트웨어로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단하는 단계; 및 상기 커널의 상기 판단결과, 정당한 요청인 경우, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 단계를 포함한다.
Description
본 발명은 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를 실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로서, 더욱 상세하게는 웹 서버 상에 존재하는 다수의 인터넷 사이트(이하 "영역"이라고 한다.) 중 소정 영역의 이용권한을 부여받은 계정 사용자가 다른 영역에 임의로 침범하여 정보를 열람, 변조 또는 삭제하는 것을 방지하기 위한, 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를 실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다.
웹 서버는 여러 사람이 동시에 로그인하여 사용할 수 있는 다중 사용자 기능, 여러 프로그램을 동시에 실행시킬 수 있는 다중작업 기능 및 사용자가 원할 경우 정보를 공유할 수 있는 자원공유 기능을 수행할 수 있는 바, 이러한 특징을 이용하여 웹 호스팅 업체는 하나의 웹 서버 내에서 다수의 영역을 운영·관리하고 있다.
또한, 상기 웹 서버는 상기 웹 서버에 접속하는 모든 사용자들에게는 일률적으로 가상 계정(이하 "nobody"라 한다.) 및 파일이나 디렉토리에 접근할 수 있는 등의 이용권한을 부여하는 바, 웹 서버가 부여한 "nobody"라는 가상 계정과 다음의 명령어 1에 따른 읽기 권한을 가진 사용자의 소정 영역 접속에 따른 종래의 정보수신 단계를 도 1 을 참조하여 설명하면 다음과 같다.
도 1 은 사용자가 웹 문서를 수신하는 종래 절차를 설명하는 절차도이다.
명령어 1
# cd /home/myid/public_html/
# ls -l index.html
-rw-r--r-- 1 myid myid 10 7/ 7 01:26 index.html
사용자(100)는 정보통신망(200)을 통해 웹브라우저로 웹 서버(300)에 접속한다(S2).
웹 서버 소프트웨어(310)는 상기 사용자(100)가 요청한 파일을 "nobody"계정 및 이용권한으로 파일시스템[이하 "디스크(DISK)"라 한다](320)에서 읽는다(S4).
상기 웹 서버 소프트웨어(310)는 읽어들인 파일을 정보통신망(200)을 통해 상기 사용자(100)의 웹 브라우저에 전송한다(S6).
그런데 상술한 종래의 방법에 따르면, 동일한 웹 서버 시스템(300)을 사용하는 사용자(100)는 "nobody" 권한을 이용하여 다음의 명령어 2와 같은 명령어를 이용하여 자신에게 접근권한을 부여하지 않은 타 영역의 문서를 임의로 열람하고 더 나아가 타 영역의 문서를 변조 및 삭제 등을 간단하게 할 수 있는 문제점이 있다.
명령어 2
#!/usr/bin/perl
print("Content-Type: text/plain\n\n");
open(F, "< /home/target/public_html/.htpasswd");
while (<F>) { print("$_"); }
close(F);
또한, 상기의 종래의 방법은 타 영역에 존재하는 파일에 기록된 데이터베이스 암호와 같은 중요정보에 접근권한이 없는 사용자(100)가 접근 할 수 있기 때문에 또 다른 방식의 공격이나 정보유출로 이어질 수 있는 문제점도 있다.
본 발명은, 상기 문제점을 해결하기 위한 것으로, "nobody"라는 계정으로 이용권한이 부여되는 소정 영역 사용자(100)가 상기 "nobody" 라는 계정 및 웹 프로그램을 이용하여 이용권한이 부여되지 않은 다른 영역에 침범하는 것을 방지하고, 웹 서버에 로그인한 상태로도 다른 영역에 임의로 접근할 수 없도록 함에 본 발명의 목적이 있다.
도 1 은 사용자가 웹 문서를 수신하는 종래 절차를 설명하는 절차도.
도 2 는 본 발명이 적용되는 웹 서버 시스템의 구성도.
도 3 은 본 발명의 일 실시예에 따른 웹 서버 계정 사용자간의 영역침범 차단과정을 나타내는 순서도.
상기 목적을 달성하기 위한 본 발명은, 웹 서버 계정 사용자간의 영역침범 차단방법으로서, 웹 서버 소프트웨어가 사용자가 접근하기를 원하는 소정 영역 및 파일에 대한 정보를 상기 사용자로부터 수신하는 단계; 상기 웹 서버 소프트웨어가 상기 파일이 상기 소정 영역에 존재하는지 여부를 판단하는 단계; 상기 웹 서버 소프트웨어의 상기 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어가 커널에 대하여 접속 허가요청 및 기설정된 암호문을 전송하는 단계; 상기 커널이 상기 웹 서버 소프트웨어로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단하는 단계; 및 상기 커널의 상기 판단결과, 정당한 요청인 경우, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 단계를 포함한다.
바람직하게는, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 단계 이후에, 상기 웹 서버 소프트웨어가 상기 사용자에게 명령 수행결과를 전송한 후, 상기 사용자의 상기 커널에 대한사용자 권한의 환원을 요청하는 단계; 및 상기 커널이 상기 사용자의 권한을 환원하는 단계를 더 포함하는 것을 특징으로 한다.
한편, 상기 목적을 달성하기 위한 본 발명은, 웹 서버 계정 사용자간의 영역침범 차단을 위하여, 웹 서버 소프트웨어가 사용자가 접근하기를 원하는 소정 영역 및 파일에 대한 정보를 상기 사용자로부터 수신하는 기능; 상기 웹 서버 소프트웨어가 상기 파일이 상기 소정 영역에 존재하는지 여부를 판단하는 기능; 상기 웹 서버 소프트웨어의 상기 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어가 커널에 대하여 접속 허가요청 및 기설정된 암호문을 전송하는 기능; 상기 커널이 상기 웹 서버 소프트웨어로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단하는 기능; 및 상기 커널의 상기 판단결과, 정당한 요청인 경우, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 기능을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함한다.
바람직하게는, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 기능 이후에, 상기 웹 서버 소프트웨어가 상기 사용자에게 명령 수행결과를 전송한 후, 상기 사용자의 상기 커널에 대한 사용자 권한의 환원을 요청하는 기능; 및 상기 커널이 상기 사용자의 권한을 환원하는 기능을 더 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 상세하게 설명하겠다.
본 발명이 적용되는 웹 서버 시스템(400)의 구성을 도 2 를 참조하여 설명하면 다음과 같다.
도 2 는 본 발명이 적용되는 웹 서버 시스템(400)의 구성도이다.
도면에 도시된 바와 같이 본 발명이 적용되는 웹 서버 시스템(400)은 사용자로부터 접속요청을 받으면 시스템 운영체제에 상기 사용자의 소정 영역에 접속할 수 있도록 허가를 요청하고 이에 따른 시스템 운영체제의 허가가 있는 경우 디스크의 소정 영역에 접근하여 상기 사용자가 요청한 파일을 읽거나 웹 프로그램을 실행한 후 그 결과를 상기 사용자에게 전송하는 웹 서버 소프트웨어(410), 상기 웹 서버 소프트웨어(410)로부터 상기 사용자의 소정 영역에 접근 허가의 요청이 있는 경우, 이에 대한 허가여부를 결정하여 그 결과를 상기 웹 서버 소프트웨어(410)에 전송하는 등의 기능을 수행하는 시스템 운영체제(이하 "커널"이라고 한다.)(430) 및 적어도 2 이상의 상이한 영역의 문서, 프로그램 및 기타 정보를 관리하는 등의 기능을 수행하는 디스크(420)를 포함한다.
본 발명에 따른 웹 서버 계정 사용자간의 영역침범 차단과정을 도 3 을 참조하여 상세하게 설명하면 다음과 같다.
도 3 은 본 발명의 일 실시예에 따른 웹 서버 계정 사용자간의 영역침범 차단과정을 나타내는 순서도이다.
웹 서버 운영자가 신규 영역을 생성하는 경우 해당 신규 영역이 웹 서비스를 시행하기 전에 커널의 허가 없이는 사용자 본인 외의 어떠한 사용자도 상기 신규영역에 접속할 수 없도록 상기 웹 서버 운영자는 소정 사용자의 신규 영역에 대한 접근 권한을 사전에 부여한다(S12).
다음의 '명령어 3' 은 "myid"라는 계정의 홈경로(/home/myid)에 대해 사용자 자신인 "myid" 사용자(rwx)와 "myid" 그룹(r-x)에만 접근을 허용하고, "nobody"를 포함한 그 밖의 사용자(---)는 원천적으로 접근할 수 없도록 상기 웹 서버 운영자가 설정한 일예이다.
명령어 3
# chmod 0750 /home/myid
# ls -l /home
drwxr-x--- 1 myid myid 512 7/ 7 01:33 myid/
다만, 상기 웹 서버가 다중 사용자용 운영체제라는 특성상 "root" 등과 같은 웹 서버 운영자는 본 설정에 관계없이 접근이 가능하도록 설정함이 바람직하다.
사용자는 상기 제 S12 단계에 의하여 접근권한이 사전에 설정된 소정 영역에서 필요한 정보를 송수신하기 위하여 웹 서버에 접속한다(S14).
웹 서버 소프트웨어(410)는 상기 사용자가 접근하기를 원하는 영역 및 파일에 대한 정보를 상기 사용자로부터 수신한다(S16).
상기 웹 서버 소프트웨어(410)는 상기 제 S16 단계에 의하여 수신한 정보를 이용하여 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는지 여부를 판단한다(S18).
상기 웹 서버 소프트웨어(410)의 상기 제 S18 단계의 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어(410)는 상기 커널에 대하여 상기 사용자가 상기 소정 영역에 접속할 수 있도록 하는 허가요청 및 상기 허가요청에 대하여 상기 커널이 상기 허가요청이 정당한 요청임을 검증할 수 있도록 기설정된 암호문을 전송한다(S20).
상기 커널은 상기 웹 서버 소프트웨어(410)로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단한다(S22).
상기 커널의 상기 제 S22 단계의 판단결과, 정당한 요청인 경우, 상기 커널은 상기 웹 서버 소프트웨어(410)로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용한다(S23).
사용자가 접속을 원하는 소정 영역 접근을 허용 받은 상기 웹 서버 소프트웨어(410)는 상기 사용자가 요청한 명령을 수행한다(S24).
본 실시예에서, 상기 사용자가 요청한 명령에는 소정파일의 열람 및 소정 웹 프로그램의 실행 등이 존재하나 본 발명이 이에 한정되는 것은 아니다.
상기 웹 서버 소프트웨어(410)는 상기 사용자가 요청한 명령의 수행결과를 상기 사용자에게 정보통신망(200)을 통해 웹 브라우저로 전송한다(S26).
상기 웹 서버 소프트웨어(410)는 상기 사용자에게 명령 수행결과를 전송한 후, 상기 사용자의 상기 커널에 대한 사용자 권한의 환원을 요청한다(S28).
상기 커널은 상기 사용자의 권한을 환원한다(S30).
상기 커널의 상기 제 S22 단계의 판단결과, 정당한 요청이 아닌 경우, 상기 커널은 상기 웹 서버 소프트웨어(410)가 상기 사용자가 접속을 원하는 소정 영역에로의 접근을 불허하고, 상기 웹 서버 소프트웨어(410)는 에러 메시지를 상기 사용자에게 전송한다(S32).
상기 웹 서버 소프트웨어(410)의 상기 제 S18 단계의 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하지 않는 경우, 상기 웹 서버 소프트웨어(410)는 상기 사용자에게 에러 메시지를 전송한다(S34).
다음은, 본 발명에 따른 알고리즘의 실제적인 소스코드의 일례이다.
운영체제와 웹 서버 소프트웨어(410)의 종류에 관계없이 본 발명의 알고리즘을 적용할 수 있으나, 다음 소스코드 예시는 "Apache" 웹 서버 소프트웨어(410)(「소스코드 1」)와 UNIX 운영체제 커널(「소스코드 2」)에 본 발명에 따른 알고리즘을 적용하도록 하기 위하여 C언어로 작성한 것이다.
운영체제와 웹 서버 소프트웨어(410)간의 접근권한에 관한 요청과 허가는 여러 가지 방식(User, Group 권한 부여방식 또는 요청된 파일 자체에 설정해둔 접근권한을 우회하는 방식 등)으로 가능하나, 다음 소스코드 예시에서는 운영체제가 웹 서버 소프트웨어(410)에 소정 영역의 그룹권한(GID)을 부여하여 소정 영역에 접근할 수 있도록 허가하는 방식을 사용한 예이다.
「소스코드 1」
<생략>
char *sm_key = "3dccd01fe738756f";/* S35 */
int min_gid = 1000; int max_gid = 65535;/* S36 */
int nobody = 65534;/* S37 */
<생략>
chgid.sm_key = sm_key;/* S38 */
chgid.to_gid = atoi(r->server->request_gid);
if (chgid.to_gid >= min_gid/* S40 */
&& chgid.to_gid <= max_gid)
{
syscall(syscall_num, chgid);/* S42 */
}
web_process();/* S44 */
<생략>
chgid.to_gid = nobody;/* S46 */
syscall(syscall_num, chgid);/* S48 */
<생략>
상기 「소스코드 1」 의 각각의 주석에 대하여 상세하게 설명하면 다음과 같다.
상기 주석 S35 는 암호문을 정의하는 것으로서 본 암호문은 커널에 정의한 암호문과 일치하도록 지정한다.
또한, 상기 주석 S36 은 운영체제 커널에 요청 할 수 있는 최소 그룹번호 (GID)와 최대 그룹번호를 정의한다.
또한, 상기 주석 S37 은 본래의 권한으로 복귀할 때 사용하기 위해 "nobody" 사용자의 그룹번호를 정의한다.
또한, 상기 주석 S38 은 상기 주석 S35에서 정의한 암호문과, 사용자가 요청한 파일의 실제 계정을 파악하여 운영체제에 요청할 그룹번호를 각각 특정 구조체 변수(chgid)에 저장한다.
또한, 상기 주석 S40 은 요청할 그룹번호가 상기 주석 S36에서 지정한 그룹범위에 해당하는지 확인한다.
또한, 상기 주석 S42 는 상기 주석 S38에서 저장해둔 구조체 변수를 인자로 하여 커널에 권한 부여를 요청한다. "syscall_num" 변수에는 웹 서버 소프트웨어(410)와 커널간의 정보교환을 위해 개설해둔 "커널 System Call" 주소가 저장되어 있다.
또한, 상기 주석 S44 는 웹 서버 본래의 기능으로서, 웹 서버가 사용자의 소정 영역에서 파일을 읽어들이거나 웹 프로그램을 실행한 후 그 결과를 네트워크를 통해 사용자의 웹 브라우저에 전송한다.
그리고, 상기 주석 S46 은 본래의 권한으로 복귀하기 위해 상기 주석 S37에서 정의해둔 "nobody"의 그룹번호를 "chgid" 구조체 변수에 저장한다.
상기 주석 S48 은 상기 주석 S46에서 저장해둔 구조체 변수를 인자로 하여 커널에 권한 환원을 요청한다.
상기 주석 S46 및 S48 은 할당된 작업을 종료한 웹 서버 소프트웨어(410)가 앞서 커널이 부여한 권한을 계속 보유하고 있는 것을 방지하기 위해 삽입한 것이다.
「소스코드 2」
<생략>
char *sm_key = "3dccd01fe738756f";/* S52 */
int min_gid = 1000; int max_gid = 65535;/* S54 */
<생략>
if ((strncmp((char*)&arg_sm_key, sm_key, 16)==0)/* S56 */
&& arg->to_gid >= min_gid
&& arg->to_gid <= max_gid)
{
p->p_cred->p_rgid = arg->to_gid;/* S58 */
}
<생략>
상기 「소스코드 2」 의 각각의 주석에 대하여 상세하게 설명하면 다음과 같다.
상기 주석 S52 는 암호문을 정의한다. 본 암호문은 웹 서버 소프트웨어 (410) 소스에 정의한 암호문과 일치하도록 지정한다.
또한, 상기 주석 S54 는 웹 서버 소프트웨어(410)로부터 권한을 요청 받아 처리할 수 있는 최소 그룹번호(GID)와 최대 그룹번호를 정의한다.
또한, 상기 주석 S56 은 상기 주석 S52에서 정한 암호문과 웹 서버 소프트웨어(410)로부터 인자로 넘겨받은 암호문이 일치하는지 확인하고, 요청할 그룹번호가 상기 주석 S54에서 지정한 그룹범위에 해당하는지 확인한다.
그리고, 상기 주석 S58 은 웹 서버 소프트웨어(410)가 요청한 그룹권한을 부여한다.
본 발명은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
상기와 같은 본 발명에 따르면, 웹 서버에 접속한 사용자들 간에 암호문과 커널에 의한 추가인증에 의하여 논리적인 장벽이 놓이게 되어 다른 사용자가 자신의 계정에 접근할 수 없게 되는 바, 사용자는 자신에게 이용권한이 부여된 소정 영역을 안심하고 이용할 수 있는 효과가 있다.
또한 상기와 같은 본 발명에 따르면, 물리적인 시스템 장치의 증설 및 웹 서버의 시스템에 전혀 부담을 주지 않으면서도 소정 영역을 이용하는 계정 사용자의 정보누출을 방지할 수 있는 효과도 있다.
Claims (4)
- 웹 서버 계정 사용자간의 영역침범 차단방법으로서,웹 서버 소프트웨어가 사용자가 접근하기를 원하는 소정 영역 및 파일에 대한 정보를 상기 사용자로부터 수신하는 단계(S16);상기 웹 서버 소프트웨어가 상기 파일이 상기 소정 영역에 존재하는지 여부를 판단하는 단계(S18);상기 웹 서버 소프트웨어의 상기 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어가 커널에 대하여 접속 허가요청 및 기설정된 암호문을 전송하는 단계(S20);상기 커널이 상기 웹 서버 소프트웨어로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단하는 단계(S22); 및상기 커널의 상기 판단결과, 정당한 요청인 경우, 상기 커널이 상기 웹 서버소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 단계(S23)를 포함하는 웹 서버 계정 사용자간의 영역침범 차단방법.
- 제 1 항에 있어서,상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 단계(S23) 이후에,상기 웹 서버 소프트웨어가 상기 사용자에게 명령 수행결과를 전송한 후, 상기 사용자의 상기 커널에 대한 사용자 권한의 환원을 요청하는 단계(S28); 및상기 커널이 상기 사용자의 권한을 환원하는 단계(S30)를 더 포함하는 것을 특징으로 하는 웹 서버 계정 사용자간의 영역침범 차단방법.
- 웹 서버 계정 사용자간의 영역침범 차단을 위하여,웹 서버 소프트웨어가 사용자가 접근하기를 원하는 소정 영역 및 파일에 대한 정보를 상기 사용자로부터 수신하는 기능;상기 웹 서버 소프트웨어가 상기 파일이 상기 소정 영역에 존재하는지 여부를 판단하는 기능;상기 웹 서버 소프트웨어의 상기 판단결과, 상기 사용자가 요청한 파일이 상기 사용자가 접근하기를 원하는 소정 영역에 존재하는 경우, 상기 웹 서버 소프트웨어가 커널에 대하여 접속 허가요청 및 기설정된 암호문을 전송하는 기능;상기 커널이 상기 웹 서버 소프트웨어로부터 수신한 암호문을 이용하여 상기 허가요청이 정당한 것인지 여부를 판단하는 기능; 및상기 커널의 상기 판단결과, 정당한 요청인 경우, 상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 기능을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
- 제 3 항에 있어서,상기 커널이 상기 웹 서버 소프트웨어로 하여금 사용자가 접속을 원하는 소정 영역의 접근을 허용하는 기능 이후에,상기 웹 서버 소프트웨어가 상기 사용자에게 명령 수행결과를 전송한 후, 상기 사용자의 상기 커널에 대한 사용자 권한의 환원을 요청하는 기능; 및상기 커널이 상기 사용자의 권한을 환원하는 기능을 더 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010043235A KR20030008543A (ko) | 2001-07-18 | 2001-07-18 | 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010043235A KR20030008543A (ko) | 2001-07-18 | 2001-07-18 | 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20030008543A true KR20030008543A (ko) | 2003-01-29 |
Family
ID=27715586
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010043235A KR20030008543A (ko) | 2001-07-18 | 2001-07-18 | 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20030008543A (ko) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107678945A (zh) * | 2017-09-04 | 2018-02-09 | 清华大学 | 一种网页应用阻塞的判断方法及装置 |
-
2001
- 2001-07-18 KR KR1020010043235A patent/KR20030008543A/ko active IP Right Grant
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107678945A (zh) * | 2017-09-04 | 2018-02-09 | 清华大学 | 一种网页应用阻塞的判断方法及装置 |
CN107678945B (zh) * | 2017-09-04 | 2020-04-21 | 清华大学 | 一种网页应用阻塞的判断方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US5564016A (en) | Method for controlling access to a computer resource based on a timing policy | |
US7035854B2 (en) | Content management system and methodology employing non-transferable access tokens to control data access | |
US7290279B2 (en) | Access control method using token having security attributes in computer system | |
Benantar | Access control systems: security, identity management and trust models | |
US7496952B2 (en) | Methods for authenticating a user's credentials against multiple sets of credentials | |
US6122631A (en) | Dynamic server-managed access control for a distributed file system | |
US7065784B2 (en) | Systems and methods for integrating access control with a namespace | |
US8918839B2 (en) | System and method for providing multi-location access management to secured items | |
US8225390B2 (en) | Licensing protected content to application sets | |
US7380120B1 (en) | Secured data format for access control | |
US7200869B1 (en) | System and method for protecting domain data against unauthorized modification | |
US6327658B1 (en) | Distributed object system and service supply method therein | |
US20040103202A1 (en) | System and method for providing distributed access control to secured items | |
US20060277595A1 (en) | Techniques for providing role-based security with instance-level granularity | |
US20020178377A1 (en) | Method and system for server support for pluggable authorization systems | |
WO2010101788A2 (en) | Access control using identifiers in links | |
CN102571873B (zh) | 一种分布式系统中的双向安全审计方法及装置 | |
KR100621318B1 (ko) | 조건들의 검증에 의해 접근과 자원사용을 관리하기 위한 방법 | |
US20080148349A1 (en) | Authorization to use content | |
US8321915B1 (en) | Control of access to mass storage system | |
US20060085841A1 (en) | Method, system and computer program product for performing data access transformation with request authorization processing | |
CN114465827B (zh) | 基于零信任网络的数据机密信息保护系统 | |
KR20030008543A (ko) | 웹 서버 계정 사용자간의 영역침범 차단방법 및 이를실행하는 프로그램을 기록한 컴퓨터로 읽을 수 있는기록매체 | |
López et al. | Ubiquitous Internet access control: the PAPI system | |
JP7205134B2 (ja) | 情報処理装置およびプログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
NORF | Unpaid initial registration fee |