KR20070078051A - Imx 세션 제어 및 인증 - Google Patents

Imx 세션 제어 및 인증 Download PDF

Info

Publication number
KR20070078051A
KR20070078051A KR1020060124416A KR20060124416A KR20070078051A KR 20070078051 A KR20070078051 A KR 20070078051A KR 1020060124416 A KR1020060124416 A KR 1020060124416A KR 20060124416 A KR20060124416 A KR 20060124416A KR 20070078051 A KR20070078051 A KR 20070078051A
Authority
KR
South Korea
Prior art keywords
keycode
access
client device
client
network server
Prior art date
Application number
KR1020060124416A
Other languages
English (en)
Inventor
치아신 리
빅터 이바신
스티브 넬슨
Original Assignee
세이코 엡슨 가부시키가이샤
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 세이코 엡슨 가부시키가이샤 filed Critical 세이코 엡슨 가부시키가이샤
Publication of KR20070078051A publication Critical patent/KR20070078051A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Abstract

안전한 네트워크 연결은 3개의 인증 루틴을 요구한다. 시스템 액세스 인증 루틴은 클라이언트 네트워크 장치가 사용자 인증 정보를 네트워크 서버에 제출할 것을 요구한다. 성공적인 사용자 인증에서, 네트워크 서버는 클라이언트 서비스 액세스 전달을 생성하고, 이 전달은 클라이언트 장치에 전송된 다이나믹 웹페이지에 포함된다. 클라이언트 애플리케이션 액세스 인증 루틴은 다이나믹 웹페이지가 클라이언트 서비스 액세스 전달을 작동된 클라이언트 애플리케이션에 전달하는 것을 요구하고, 인증을 위해서 네트워크 서버상의 서비스 서버에 차례로 제출한다. 성공적인 인증에서, 네트워크 서버는 클라이언트 서비스 액세스 전달을 파기하고, 미디어 파일 액세스 전달을 생성하고, 이 전달을 클라이언트 애플리케이션에 보낸다. 미디어 파일 액세스 인증 루틴은 네트워크 서버로의 임의의 파일 액세스 요구와 함께 클라이언트 애플리케이션을 미디어 파일 액세스 전달에 제출할 것을 요구한다.

Description

IMX 세션 제어 및 인증{IMX SESSION CONTROL AND AUTHENTICATION}
도면에서 동일한 참조 부호는 동일한 부분을 나타낸다.
도 1은 본 발명에 따른 로그인 웹페이지이다.
도 2는 본 발명에 따른 네트워크 구성 요소 및 데이터 트래픽의 블록도이다.
도 3은 본 발명에 따른 네트워크 프로세스의 일반적인 개요의 플로우챠트이다.
도 4는 본 발명에 따른 사용자 인증 프로세스의 상세한 플로우챠트이다.
도 5는 본 발명에 따른 클라이언트 애플리케이션 인증 프로세스의 상세한 플로우챠트이다.
도 6은 본 발명에 따른 네트워크 서버의 액세스를 요구하는 클라이언트 애플리케이션의 파일 액세스 권한을 검증하는 프로세스의 상세한 플로우챠트이다.
본 발명은 네트워크 액세스 시큐러티의 분야에 관한 것이다. 특히, 공용 네트워크에서 네트워크 액세스를 제공할 때, 시큐러티를 개선하고자 하는 것이다.
이전에는, 네트워크 시큐러티가 비교적 쉬웠다. 고립된 사설 네트워크를 유 지하고, 사설 네트워크에 액세스할 수 있는 사람과 사설 네트워크에 로그된 클라이언트 장치에 어떠한 특권이 허가되는지에 대해 전체적으로 제어하였다. 그러나, 공용 인터넷이 성장하면서, 특히 사설 인트라넷, 즉 사설 네트워크가 공용 인터넷에 링크될 때, 시큐러티가 보다 많이 복잡해져 왔다.
월드 와이드 웹(이후로 웹이라고 한다)은 데이터를 공개하는 편리하고, 비싸지 않고, 빠른 수단을 제공한다. 이것은 회사가 그들의 사설 인트라넷상에서 데이터베이스 선택을 위한 웹 액세스를 제공하는데 있어 큰 매력임에 틀림없다. 그러나, 웹 상에 산재된 정보에 대한 액세스가 매우 쉽다는 것은, 그 정보를 액세스할 수 있는 권리를 갖는 사람에 의해서만 액세스 가능하도록 보장하는 것도 똑같이 중요하다는 것을 의미한다.
이전에는, 인트라넷 상의 정보를 액세스하기 위해서는, 전문 클라이언트 소프트웨어가 요구되었다. 지금은 데이터베이스가 적절히 보호되지 않으면, 웹브라우저를 갖는 누구나 인터넷-링크된 데이터베이스에서 데이터를 볼 수 있다. 웹서버가 내부 데이터베이스로부터 데이터를 갖는 웹페이지의 다이나믹 생성을 행하는 경우, 취약점의 수가 더 증가된다.
일반적으로, 웹시큐러티는 3개의 카테고리에 놓여진다: 서버 시큐러티 즉, 서버에 저장된 데이터 및/또는 웹페이지의 보호; 사용자-인증, 즉 정보로의 비인증된 액세스의 방지(일반적으로 로그온 시큐러티를 통해); 및 세션 시큐러티, 즉 인터넷을 통해 전송되는 데이터의 보호.
서버 시큐러티는, 즉 서버 상의 데이터의 보호, 데이터가 분배되는 방법에 의거해서 몇몇 형태를 갖는다. 서버가 오직 고정 웹 페이지(즉, 데이터베이스 정보로부터 이전 생성되고, 서버에 고정적으로 저장된 고정 HTML 파일)를 제공하면, 디렉토리 브라우징을 제한함으로써 기본 보호가 얻어질 수 있다. FTP 및 웹서버는 일반적으로 그들 내에 저장된 파일들이 판독될 수는 있지만, 디렉토리 컨텐츠의 리스트에는 나타나지 않도록 디렉토리 들을 구성한다. 그래도, 파일의 정확한 이름을 아는 사람은 여전히 직접 액세스할 수 있다. 부가적으로, 디렉토리와 파일 속성의 사용 등과 같이, 동작 시스템의 통합된 시스템 시큐러티를 사용하여 디렉토리들이 또한 보호될 수 있다.
그러나, 다이나믹 페이지 생성의 사용의 증가는, 부가적인 시큐러티 리스크를 만들었다. 다이나믹 페이지들은 정보에 대한 인콰이어리가 수신되면, 정보의 데이터베이스에 직접 액세스하여 웹서버에 의해 액티브하게 생성된다. 일반적으로, 다이나믹 웹페이지가 HTML 코드 및 쿼리에 대한 템플릿으로서 서버에 저장된다. 클라이언트가 페이지에 액세스할 때, 쿼리가 실행되고, 적합한 정보가 데이터베이스로부터 추출되며, 된 및 템플릿 슬롯에 채워진 원하는 데이터를 포함하는 HTML 페이지가 생성된다. 이것은 웹서버상의 적어도 하나의 데이터 소스에게는 데이터베이스로의 폭넓은 액세스 능력이 주어져야 함을 의미한다.
또한, 다이나믹 웹페이지를 생성하는 수단은 서버 기반의 미들웨어 또는 보다 일반적으로 CGI(즉, 일반적인 게이트 인터페이스) 스크립트가 가능하다. 이 것에 있어서 문제는, CGI 스크립트와 같은 실행가능한 스크립트를, 단일 데이터 소스에 액세스하는 서버에 업로드할 수 있는 사람이라면, 데이터베이스에 완전한 액세 스가 가능한 나쁜 프로그램을 실행할 수 있다는 것이다. 또한, 데이터베이스와 인터페이스하는 서버상의 데이터 소스는 다른 독립적인 프로그램(CGI 스크립트 이외)에 의해 잠재적으로 점령될 수 있으므로, 이 프로그램이 데이터로의 액세스를 얻게 된다. 그래서, 서버로의 액세스를 얻는 사람에 대한 제어가, 사용자 인증의 문제에 있어서 주요 관심사가 된다.
사용자 인증 시큐러티는 기본적으로, 특정 정보 또는 특권으로의 액세스를 얻기 전에 사용자가 넘어야 하는 장벽을 형성한다. 사용자 인증을 검증하는 가장 일반적인 방법은 로그인 윈도우와 같은 검증 식별 시퀀스에 의한 것이다. 로그인 동작은 일반적으로 HTML 형태를 사용하거나 또는 HTTP 시큐러티 요구를 사용하여 실행된다. HTML 로그인 페이지는 간단히 사용자명 및 패스워드 필드를 포함하는 HTML 형태의 페이지이다. 실제의 식별 이름 및 패스워드는 서버의 테이블에 저장된다. 이 정보는 일반적으로 사용자 식별 데이터베이스의 검색을 위해, CGI 스크립트 또는 다른 유형의 데이터베이스 미들웨어를 통해 서버에 주어진다. 일반적으로, 일단 로그인이 발생하면, 사용자 연결 세션을 추적하기 위해 "쿠키"가 클라이언트 기기에 기입된다.
쿠키는 기본적으로 웹브라우저 소프트웨어가 저장되어 있는 디렉토리의 소정의 상부 레벨에 일반적으로 저장된 텍스트파일이다. 쿠키는 수명이 할당되고, 그 수명이 경과할 때까지 클라이언트 기기에 저장된 채 남아 있다. 이 수명은 명확한 기간을 가지거나, 사용자 세션이 종료될 때 경과할 수 있다. 웹 브라우저는 표준 HTTP 통신 프로토콜을 사용하여 인트라넷을 네비게이션하고, 그래서 각 메시지가 바디부가 뒤에 오는 헤더부를 갖는 데이터 패킷내에 포함되어 보내진다. 바디부는, 사용자가 전송하고자 하는 실제의 데이터를 보유하는 반면, 헤더부는 전송자 및 수신자가 서로를 찾고 수신된 정보를 조직하고, 에러 등으로부터 복구시키는데 필요한 정보를 유지하는 레코드를 보유한다. 즉, 헤더는, 그 중에서, 특히 전송자 주소, 목적지 주소, 및 몇몇 에러 복구 코드 정보, 전송된 데이터 패킷의 시퀀스를 식별하는 시퀀스 정보, 및 다른 소정의 텍스트 정보를 포함한다.
헤더 텍스트 정보 중에서, 웹 브라우저 소프트웨어는 쿠키를 포함한다. 서버가 클라이언트에 쿠키를 전송하여 클라이언트에 응답하면, 쿠키는 클라이언트 기기에 저장된다. 클라이언트 웹 브라우저가 특정 웹서버에 접촉할 때마다, 웹브라우저는 그 특정 웹서버가 클라이언트 기기 내에 저장된 쿠키를 가지는지를 결정하고, 만일 그렇다면, 쿠키는 그 특정 웹서버에 전송되는 헤더 정보에 포함되게 된다. 더 구체적으로, 쿠키는 이름, 값, 도메인, 및 경로를 가진다. URL이 쿠키의 경로를 따라서 임의의 파일에 액세스하기 위해 쿠키의 도메인을 향하면, URL이 오픈될 때, 쿠키의 이름과 값이 서버에 전달된다.
중요한 것은, 클라이언트와 서버 사이의 모든 HTTP 기반의 인터랙션은 요구(클라이언트로부터 서버로의 통신일 때)에 대한 정보, 또는 응답(서버로부터 클라이언트로의 통신일 때)에 대한 정보를 보유하는 헤더를 포함한다. 서버가 요구를 수신할 때, 헤더는 요구 타입(예를 들면, GET 또는 POST), 서버에 의해 클라이언트 기기에 미리 저장된 쿠키 등의 정보를 포함한다. 서버가 그 응답을 작성할 때, 헤더 정보는 서버가 클라이언트 컴퓨터에 저장하기를 원하는 임의의 부가적인 쿠키를 포함한다. 클라이언트의 웹 브라우저가 서버에 요구를 만들 때, 서버에 의해 클라이언트에 미리 보내진 쿠기는 웹 브라우저에 의해 작성된 요구의 일부로서 서버에 리턴된다. 예를 들면, 웹 브라우저 Netscape®는 "Cookie"라고 불리는 요구 헤더 태그를 서버에 쿠키 이름-값의 쌍을 보내기 위해 사용되는 것으로 정의하고, 서버는 그 응답 헤더 내에 "Set Cookie" 태그를 넣어 보냄으로써 브라우저의 쿠키 값을 설정할 수 있다. 쿠키는 HTTP 표준의 일부이기 때문에, 지정된 네트워크 소켓 상에서 HTTP 프로토콜을 통해서만 전송된다.
쿠키는 클라이언트를 위해 부가적인 아이템을 더 잘 제공하기 위해, "쇼핑 카트" 컨텐츠, 이전 구입품, 이전에 본 아이템 등의 트랙을 유지하는 온라인 쇼핑 등의 비-시큐러티 관련 활동에서 사용될 수 있다. 그러나, 인증 시큐러티의 필드 내에서 사용될 때, 쿠키는 전형적으로 사용자 인증 ID/패스워드 시퀀스의 반복을 방지하고, 개설된 세션을 감시하는 수단을 웹브라우저에 제공하도록, 개설된 세션 동안에 클라이언트 웹브라우저가 웹 서버에 제출하는 텍스트 액세스 코드이다.
미국 특허 공개 공보 2002/0169961은 이러한 유형의 인증 시큐러티를 구현한다. 사용자 클라이언트는 우선 사용자 인증 시퀀스를 행하고, 웹서버에 의해 일단 인증되면, 웹서버는 인증된 사용자에 의해 현재 사용되는 클라이언트 기기에 환경 정보를 요구한다. 환경 정보는 클라이언트 기기의 하드웨어 구성 등과 같이, 기기 특정 정보의 형태이다. 그리고, 웹서버는 클라이언트 기기에 대한 액세스 코드를 생성하기 위해 해시 코드를 기초로 클라이언트 기기 환경 정보를 사용하고, 이어서 쿠키로서 클라이언트 장치에 보내진다. 본 기술 분야에서 알려진 것같이, 해시 코드는 수학 함수, 즉 해싱 알고리즘을 임의의 데이터에 적용함으로써 얻어진 부호화 시퀀스이다. 액세스 코드는 특정 클라이언트 기기에 한정되기 때문에, 이 사용자 인증 시퀀스는 많은 사람들이 웹서버에 다른 기기로부터 동시에 로그온 하는 것을 방지한다. 물론, 이것은 사용자 기기의 용량에 대한 프라이버시의 문제를 제기하는데, 미국 특허 공개 공보 2002/0169961은 클라이언트 기기의 환경 정보가 웹서버에 전송되기 전에 부호화되는 것을 제안함으로써, 이 문제를 다룬다. 추가적인 시큐러티를 위해, 미국 특허 공개 공보 2002/0169961은, 웹서버 또는 다른 프락시 웹서버가, 뒤이은 웹 액세스 동안 동일한 환경적인 정보를 사용하여 액세스 코드 쿠키를 선택적으로 재해싱할 수 있는 것을 제안한다.
미국 특허 공개 공보 2002/0169961은 단일 ID/패스워드 조합이 다수의 기기들로부터의 다수의 로그인 세션에 대해서 사용되는 것을 금지하게끔 도와 주지만, 동일한 기기를 통한 다수의 로그인 세션을 방지하지는 못한다. 또한, 액세스 코드는 쿠키로서 클라이언트 장치에 저장되기 때문에, 액세스 코드는 클라이언트 기기 내의 쿠키의 소정의 디렉토리에 쉽게 위치하는 텍스트 파일이다. 또한 웹에서의 전송은 한 방향 즉, 송신자로부터 수신자로 나타날 수 있지만, 네트워크 전송은 모든 네트워크 노드에 실제로 브로드 캐스팅되고, 통신 프로토콜은 브로드캐스팅되는 데이터 패킷의 정해진 수신인 만이 전송을 오픈할 것으로 기대하는 것에 유의한다. 그러나, 어떤 네트워크 스누핑 소프트웨어는 이들 브로드캐스트 전송을 캡쳐할 수 있어서, 쿠키 액세스 코드를 쉽게 추출한다.
TCP/IP, 즉 인터넷 통신 프로토콜은 시큐러티를 위해 설계되지 않았기 때문에, 실제로 매우 불안전하고, 웹세션 연결 동안 웹 데이터 전송이 차단되거나 간섭되지 않는 것을 확실히 하기 위해, 부가적인 조치들이 취해져야 한다. 이것은 일반적으로 데이터 전송의 부호화를 통해 행해지며, 이는 세션 시큐러티의 문제와 연결된다.
세션 시큐러티, 즉 데이터가 네트워크(즉, 인터넷)를 통해 브로드캐스팅될 때, 데이터 인터셉트를 방지하는 것은, 일반적으로 안전한 소켓층, SSL, 프로토콜을 사용하여 유지되고, "HTTPS"에서와 같이, 접미어 문자 "s"를 부가함으로써 기본적인 "HTTP" 주소와 구분된다. SSL 프로토콜은 대부분의 웹 브라우저 소프트웨어 회사들의 협약에 의해 지원되고, 암호화 키를 교환하여 암호화된 연결을 생성하기 위해 연결을 설정할 때, 핸드셰이크를 사용한다. HTTP 웹사이트는 클라이언트와 웹서버 사이의 데이터 전송을 암호화하기 위해 공용/비밀 키시스템을 사용하고, 그래서 신뢰된 소스에 의해 발생된 사설 및 공용 키의 사용을 요구한다. 인터넷 브로드캐스트에 있어서, 이들 키들은 일반적으로 VeriSign Inc. 등의 몇몇 회사에 의해 요금제로 제공된다. SSL은 데이터 전송의 시큐러티를 개선하지만, 사용자 인증에 대해서는 제공하지 않는다. 그러므로, 원하는 사이트의 HTTPS URL을 아는 사람은 여전히 데이터 파일을 업로드 및 다운로드할 수 있다.
필요한 것은, 공개적으로 잘 알려져 있어서 공격에 개방되어 있는 표준 HTML 프로토콜에 의존하지 않고, 인터넷 네트워크 통신에 시큐러티를 부가한 네트워크 통신 시스템이다. 그러나, 필요한 네트워크 통신 시스템은 인터넷 액세스를 유지하 기 위해 여전히 표준 인터넷 통신 프로토콜과 호환가능해야 한다.
본 발명의 목적은 안전한 네트워크 연결 및 네트워크 전송을 수립하는 네트워크 통신 시스템 및 방법을 제공하는 것이다.
본 발명의 다른 목적은, 본 발명에 따른 네트워크 통신 시스템이 기존의 인터넷 통신 프로토콜과 호환가능한 것이다.
본 발명의 목적들은 요구 네트워크 클라이언트에게 네트워크 액세스를 선택적으로 제공하는 네크워크 서버와 상기 네트워크 서버와 요구 네트워크 액세스를 접촉하는 클라이언트 장치를 포함하는 네트워크 통신 시스템에 의해 충족된다. 상기 네트워크 서버는, 상기 클라이언트 장치로부터 인증 정보를 요구함으로써, 네트워크 액세스를 요구 상기 클라이언트 장치에 응답하고, 실행가능한 루틴 내의 제1 발행 키코드로서 상기 클라이언트 장치에 전송되는 제1 액세스 키코드를 발생함으로써 상기 클라이언트 장치로부터 검증된 인증 정보의 수신에 응답하도록 구성된다. 상기 실행가능한 루틴은, 상기 클라이언트 장치 상에 클라이언트 애플리케이션을 작동하여, 상기 유발된 클라이언트 애플리케이션에 상기 제1 발행 키코드를 전달하는데 효과적이다. 그러면, 상기 클라이언트 애플리케이션은, 통신 세션의 수립 요구와 함께 제1 리턴 키코드로서 상기 제1 발행 키코드를 상기 네트워크 서버에 전송한다. 상기 네트워크 서버는, 상기 제1 액세스 키코드를 파기하고, 상기 클라이언트 애플리케이션과 통신 세션을 수립하고, 상기 클라이언트 장치와 도큐먼트 통신을 위한 도큐먼트 채널을 수립하고, 상기 제1 액세스 키코드와 무관한 제2 액세스 키코드를 발생하고, 제2 발행 키코드로서 상기 제2 액세스 키코드를 상기 도큐먼트 채널을 통해 상기 클라이언트 애플리케이션에 전송함으로써, 상기 제1 발행 키코드와 일치하는 상기 제1 리턴 키코드에 응답한다.
상기 네트워크 서버와 상기 클라이언트 장치는 인터넷을 통해 통신하고, 상기 실행가능한 루틴은 다이나믹 웹 페이지인 것이 바람직하다. 또한, 더 바람직하기는, 상기 클라이언트 애플리케이션은 상기 클라이언트 장치상의 임의의 인터넷 브라우저 애플리케이션과 독립적이다. 예를 들면, 클라이언트 애플리케이션은 셀프-스탠딩 JAVA 애플리케이션이 가능하다. 또한, 상기 제1 액세스 키코드는 상기 클라이언트 장치와 무관하고, 및/또는 제2 액세스 키코드는 상기 제1 액세스 키코드와 무관하다.
바람직한 실시예에서, 상기 클라이언트 장치로부터 네트워크 서버로의 모든 도큐먼트 제출 및 도큐먼트 요구는, 상기 클라이언트 장치로 하여금 현재의 리턴 키코드로서, 상기 네트워크 서버로부터 가장 최근에 수신된 발행 키코드를 제출할 것을 요구한다. 상기 클라이언트 장치로부터 상기 네트워크 서버로의 각 도큐먼트 제출 및 도큐먼트 요구를 수신할 때, 상기 클라이언트 장치에 의해 제출된 상기 현재의 리턴 액세스 키코드가, 상기 네트워크 서버에 의해 상기 클라이언트 장치에게 발행된 가장 최근에 발행된 키코드와 일치하면, 상기 네트워크 서버는 제출된 도큐먼트 또는 제출된 도큐먼트 요구를 받아들이고, 새로운 액세스 키코드를 발생하고, 새롭게 발생된 액세스 키코드를 현재의 발행 키코드로서 상기 클라이언트 애플리케 이션에 전송한다.
본 발명의 바람직한 실시예에서, 네트워크 서버에 의해 발생된 액세스 키코드는 서로 상관이 없다.
본 발명의 다른 실시예에서, 상기 클라이언트 장치는 상기 클라이언트 장치로의 외부 메모리 쿼리에 의해 직접 액세스가능한 적어도 하나의 소정의 보관 메모리 공간을 가지고, 상기 클라이언트 애플리케이션에 의해 수신된 각 발행 키코드는 상기 클라이언트 장치의 휘발성 메모리 내에서 액티브 파라미터로서 유지되고, 임의의 소정의 보관 메모리 공간에 위치하지 않고, 상기 클라이언트 애플리케이션이 종료될 때 파기된다.
더 상세하게는, 상기 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는 임시 레지스터 엔트리로서 상기 클라이언트 장치의 중앙 제어부 내에 유지되고, 상기 클라이언트 장치의 임의의 비휘발성 또는 보관 메모리에 전송가능하지 않다.
바람직하게, 상기 네트워크 서버와 상기 클라이언트 장치 사이의 전송은 전송 패킷의 형태이고, 상기 클라이언트 장치로부터 상기 네트워크 서버로의 네트워크 전송 패킷은 텍스트 전송 파라미터 정보를 갖는 헤더부, 및 상기 클라이언트 애플리케이션에 의해 제공된 데이터를 갖는 바디부를 포함하고, 상기 클라이언트 애플리케이션에 의해 상기 네트워크 서버에 제공된 상기 리턴 액세스 키코드는 상기 헤더부에서 배제된다.
본 발명의 다른 실시예에서, 네트워크 서버와 클라이언트 장치 사이의 컴퓨 터 네트워크를 통해 안전한 통신 링크를 수립하는 방법이 제공된다. 이 방법은, 상기 네트워크 서버와 상기 클라이언트 장치 사이의 통신 세션을 수립하는 단계; 및 상기 클라이언트 장치가 상기 네트워크 서버에 도큐먼트 제출 요구를 제출하거나, 상기 네트워크 서버에 도큐먼트 요구를 제출하는 단계를 포함한다. 상기 네트워크 서버와 상기 클라이언트 장치 사이에 상기 통신 세션을 수립하는 단계는, 클라이언트 장치가 액세스 요구를 네트워크 서버에 전송하는 단계; 상기 네트워크 서버가 상기 클라이언트 장치에 대해 사용자 인증 정보를 요구함으로써 상기 액세스 요구에 응답하고, 제1 액세스 키코드를 생성하고, 실행가능한 루틴 내의 제1 발행 키코드로서 상기 제1 액세스 키코드를 상기 클라이언트 장치에 전송함으로써 상기 클라이언트 장치로부터의 유효한 사용자 인증 정보의 수신에 대해 응답하는 단계; 상기 클라이언트 장치가 수신된 실행가능한 루틴을 실행하고, 상기 실행가능한 루틴이 클라이언트 장치상의 클라이언트 애플리케이션을 조사하게 하고, 상기 실행가능한 루틴은 상기 제1 액세스 키코드를 상기 클라이언트 애플리케이션에 전달하는 것인 단계; 상기 클라이언트 애플리케이션이, 통신 세션에 대한 새로운 요구를 상기 네트워크 서버에 제출하고, 제1 리턴 키코드로서 상기 제1 액세스 키코드를 제출하게 하는 단계; 및 상기 네트워크 서버가, 상기 제1 액세스 키코드를 파기하고, 상기 클라이언트 애플리케이션과 통신 세션을 수립하고, 제2 액세스 키코드를 생성하고, 제2 발생 키코드로서 상기 제2 액세스 키코드를 상기 클라이언트 애플리케이션에 전송함으로써 상기 제1 액세스 키코드와 일치하는 상기 제1 리턴 키코드에 응답하게 하는 단계를 포함한다.
본 발명의 바람직한 실시예에서, 실행가능한 루틴은 액티브 웹페이지, 또는 다이나믹 웹페이지이다. 또한, 제1 액세스 키코드는 클라이언트 장치와 무관하다. 더 바람직하게는, 제2 액세스 키코드는 제1 액세스 키코드와 무관하다.
바람직한 실시예에서, 네트워크 서버는, 클라이언트 장치와 도큐먼트의 통신에 대한 도큐먼트 채널을 수립하고, 상기 도큐먼트 채널을 통해 제2 발행 키코드를 전송함으로써 제1 발행 키코드와 일치하는 제 1 리턴 키코드에 더 응답한다.
또한, 본 발명에 따르면, 클라이언트 장치로부터 네트워크 서버로의 도큐먼트의 제출은 클라이언트 장치가 도큐먼트 제출에 대한 요구와 함께 제2 리턴 액세스 키코드로서 상기 제2 발행 키코드를 제출할 것을 요구하고, 네트워크 서버는 제2 리턴 액세스 키코드가 상기 제2 액세스 키코드와 무관한 제2 액세스 키코드와 일치하면 도큐먼트 제출을 받아들이고, 제2 액세스 키코드를 파기하고, 상기 제2 액세스 키코드와 무관한 제3 액세스 키코드를 발생하고, 제 3 발행 키코드로서 제3 액세스 키코드를 클라이언트 애플리케이션에 전송함으로써 도큐먼트 제출에 대한 요구에 응답한다.
본 발명에 따르는 다른 실시예에서, 클라이언트 장치로부터 네트워크 서버로의 도큐먼트 요구의 제출은 클라이언트 장치가 도큐먼트 요구와 함께, 제2 발행 키코드를 제2 리턴 액세스 키코드로서 제출할 것을 요구하고, 네트워크 서버는 제2 리턴 액세스 키코드가 상기 제2 액세스 키코드와 일치하면 요구된 도큐먼트를 전송하고, 제2 액세스 키코드를 파기하고, 제3 액세스 키코드를 발생하고, 제 3 발행 키코드로서 제3 액세스 키코드를 클라이언트 애플리케이션에 전송함으로써 도큐먼 트 요구에 응답한다.
또한, 바람직한 실시예에서, 클라이언트 장치로부터의 모든 도큐먼트 제출 및 도큐먼트 요구는 클라이언트 장치가 현재의 리턴 키코드로서, 네트워크 서버로부터 가장 최근에 수신된 발행 키코드를 제출할 것을 요구하고, 클라이언트 장치로부터 네트워크 서버로 각 도큐먼트 제출 및 도큐먼트 요구를 수신할 때, 클라이언트 장치에 의해 제출된 현재의 리턴 액세스 키코드가 네트워크 서버에 의해 클라이언트 장치로 발행된 가장 최근의 발행 키코드와 일치하면, 새로운 액세스 키코드를 발생하여, 새롭게 발생된 키코드를 현재 발행된 키코드로서 클라이언트 애플리케이션에 전송한다.
더 바람직하게는, 클라이언트 장치는 외부 메모리 액세스 쿼리에 의해 클라이언트 장치로 직접 액세스가능한 적어도 하나의 소정의 보관 메모리 공간을 갖고, 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는 클라이언트 장치의 휘발성 메모리내에 액티브 파라미터로서 유지되고, 소정의 보관 메모리 공간에는 위치하지 않고, 클라이언트 애플리케이션의 종료시 파기된다. 특히, 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는 클라이언트 장치의 중앙 제어기내의 임시 레지스터 엔트리로서 유지되고, 클라이언트 장치의 임의의 비휘발성, 또는 보관 메모리에 이송되지 않는다
또한, 본 발명에 따라서, 상기 네트워크 서버로부터 상기 클라이언트 장치에 전송된 액세스 키코드가 부호화된다. 또한, 상기 네트워크 서버와 상기 클라이언트 장치 사이의 전송은 전송 패킷의 형태이고, 상기 클라이언트 장치로부터 상기 네트 워크 서버로의 네트워크 전송 패킷은 텍스트 전송 파라미터 정보를 갖는 헤더부, 및 상기 클라이언트 애플리케이션에 의해 제공된 데이터를 갖는 바디부를 포함하고, 상기 클라이언트 애플리케이션에 의해 상기 네트워크 서버에 제공된 상기 리턴 액세스 키코드는 상기 헤더부에서 배제된다.
본 발명의 더 완전한 이해와 함께 다른 목적 및 효과는 첨부 도면과 함께 취해진 다음의 설명과 청구범위를 참조할 때 분명해지고, 이해가 된다.
본 발명은 네트워크 서버, 특히 인터넷 웹서버에 대한 멀티플 보호층을 제공한다. 우선, 현재의 웹서버로의 액세스를 얻기 이전에, 클라이언트 장치는 우선 사용자 로그인 시퀀스를 행해서 인증을 받아야 한다. 그러나, 로그인한 후라도, 클라이언트 장치는 서버 애플리케이션 및/또는 정보로의 액세스를 갖지 않는다. 성공적인 로그인 시퀀스는 단지 웹서버와 웹세션을 수립하는 것이고, 즉, 웹서버는 클라이언트 장치와 오픈 네트워크 연결을 수립한다. 그러나, 클라이언트 장치가 웹서비스에 액세스를 시도할 때는 검증을 더 거쳐야 한다.
본 발명에 따르는 서버는 바람직하게 멀티플 카테고리의 정보를 유지하고, 임의의 특정 카테고리의 정보에 대한 액세스를 얻는 것은, 클라이언트 장치가 웹서버 상의 대응하는 서비스 애플리케이션에 액세스할 것을 요구한다. 예를 들면, 본 발명의 바람직한 실시예에서, 웹서버는 네트워크(즉, 온라인) 미팅 액세스를 멀티플 유저에게 제공하는 네트워크 미팅 서버이다. 웹서버는 각종 그룹의 사람들에 대해서 멀티플 미팅 애플리케이션을 지원하거나, 디폴트 미팅 그룹에 대해서 디폴트 네트워크 애플리케이션을 가질 수 있다. 바람직하게, 웹서버는 각 미팅 그룹에 대 해서 미디어 정보의 별개의 데이터베이스 즉, 데이터 및/또는 미디어 파일을 유지한다. 그래서, 미디어 정보의 특정 데이터베이스로의 액세스를 얻기 위해, 우선 미디어 정보의 특정 데이터베이스와 관련된 적절한 미팅 그룹에 과 연합해야 한다.
웹서버에 대한 시큐러티의 2가지 요점은 액세스 인증과 데이터 암호화이다. 액세스 인증은 비인증된 사용자가 웹서버상의 미디어 파일(또는 다른 정보)에 액세스하는 것을 방지한다. 인터넷을 통해서 전송되는 데이터의 암호화는 데이터 비밀성을 위태롭게 하는 것을 피하도록 한다. 본 발명은 대부분 액세스 인증을 다루게 되는데 이는, 로그인 페이지를 통한 시스템 액세스, 웹서버상의 특정 애플리케이션으로의 액세스를 관리하기 위한 클라이언트 애플리케이션 액세스 제어, 및 미디어(또 다른 데이터 타입) 파일 액세스 제어로 분할될 수 있다.
시스템 액세스에 대해서, 현재의 웹서버에 액세스를 얻고자 원하는 클라이언트 장치는, 웹서버 상의 임의의 웹페이지에 액세스를 얻기 전에, 인증되어야 한다. 로그인 페이지 이외의 임의의 페이지에 시도된 액세스는 도 1에 나타낸 것 같이, 바람직하게 로그인 페이지(100)를 다시 향한다. 바람직하게, 모든 사용자는 시스템 액세스를 얻기 전에 유효한 이메일 어드레스(또는 사용자 명)(102) 및 패스워드(104)를 입력해야 한다.
네트워크 클라이언트에 대해서, 소프트웨어 애플리케이션 액세스(이후, 클라이언트 애플리케이션 액세스), 이 액세스 제어는 웹서버와 가지는 매 인터랙션에 대해 클라이언트 장치의 신원을 확인하기 위한 루틴을 요구한다. 본 바람직한 실시예에서, 클라이언트 장치의 식별은 클라이언트 장치에 있는 네트워크 클라이언트 애플리케이션을 식별함으로써 얻어진다. 즉, 바람직하게, 로그인에 뒤이은 웹서버와 클라이언트 장치의 각 인터랙션은 클라이언트 장치에서 구동되는 클라이언트 애플리케이션의 사용을 요구한다. 또한, 클라이언트 애플리케이션은 그 자신을 검증하기 위해 인증 정보를 서버에 제공할 것이 요구된다. 유효한 클라이언트 애플리케이션 인증 정보가 서버에 전송되지 않으면, 서버는 연결을 끊을 수 있다.
미디어 파일 액세스를 참조하면, 미디어 파일들이 부호화 시큐러티를 위해 HTTPS 프로토콜을 통해 액세스될 수 있다. 그러나, 상기 설명된 것같이, 기본 HTTPS 프로토콜은 사용자 인증 서비스를 가지지 않으므로, 부가의 인증이 요구되지 않으면, 특정 사이트의 HTTPS URL을 아는 사람이 자유롭게 파일을 업로드 및 다운로드할 수 있다. 본 발명은 각 미디어 파일 액세스 요구에 대해서, 즉 각 업로드 또는 다운로드 파일 액세스 요구에 대해서, 미디어 파일 인증 정보를 요구함으로써 미디어 파일 액세스 시큐러티를 더 강화시키고자 한다.
시스템 액세스(즉, 사용자 로그온 인증), 클라이언트 애플리케이션 액세스(즉, 네트워크 서비스의 선택 및 활동), 및 미디어 파일 액세스(즉, 서비스 파일, 바람직하게는 멀티미디어 파일의 교환)을 포함하여, 본 발명에 따르는 네트워크 서비스 세션의 라이프 싸이클의 일반적인 개요는 도 2를 참조하여 가장 잘 이해될 수 있다. 바람직하게, 본 발명에 따르는 네트워크 서비스 시스템은, 네트워크 서버(9)와 사용자-액세스 가능한 네트워크 클라이언트 장치(15)를 포함하는데, 둘다 인터넷(10)으로의 네트워크 액세스를 갖는다.
본 실시예에서, 사용자는 이상적으로 네트워크 서버(9)에 등록된 기-존재하 는 사용자-계정을 이미 가지고 있고, 인터넷(10)을 통해 네트워크 서버(9)에 액세스 하기 위해 네트워크 클라이언트 장치(15)를 활용한다. 이러한 사용자-계정을 수립하는 많은 방법들이 알려져 있고, 특정 방법이 본 발명에서 필수적인 것은 아니다. 예를 들면, 개별 사용자는 안전한 사설 네트워크(비도시)를 통해, 또한 사설 네트워크보다 일반적으로 덜 안전한 인터넷(10) 등의 공용 네트워크를 통해, 네트워크 서버(9)상의 정보에 네트워크 액세스를 제공하는 조직의 멤버일 수 있다. 이 경우, 조직은 개별의 사용자에 대해서 사용자-계정을 생성할 수 있고, 개별의 사용자가, 인터넷(10)을 통하는 것 같이, 안전하지 않은 네트워크 액세스 수단을 통해, 네트워크 서버(9) 상의 안전한 정보(또는 다른 네트워크 서비스)에 액세스하고자 할 때 사용될 사용자 인증 정보를 개별의 사용자에게 제공한다.
바람직하게, 네트워크 서버(9)는 인터넷(10)을 통해 액세스가능하고, 인터넷 웹서버(11) 및 미디어 저장 서버(13)를 포함한다. 또한, 도큐먼트 채널 서버(5)는 웹서버(11) 내에 통합되어 도시된다. 아래에 보다 상세히 설명한 것같이, 도큐먼트 채널 서버(5)는 네트워크 서버(9)상의 유용한 각종 네트워크 서비스로의 액세스를 허가하기 위해, 사용자 요구를 도큐먼트하기 위해 사설 인터넷 채널(즉, 비HTTP 통신 채널)을 제공한다.
또한, 네트워크 서버(9)는 멀티플 네트워크 구성을 표현하기 위해 점선으로 표시되어 있다. 예를 들면, 웹서버(11) 및 미디어 저장 서버(13)는 단일의 물리적인 네트워크 서버에 통합될 수 있다. 또한, 웹서버(11) 및 미디어 저장 서버(13)는 서로 물리적으로 떨어진 별개의 서버일 수 있고, 각각 인터넷(10)으로 독립적인 네 트워크 액세스를 가질 수도 있다. 어느 경우에나, 아래에 더 상세히 설명된 것 같이, 각종 인증 정보의 공유를 허가하기 위해, 미디어 저장 서버(13), 웹서버(11) 및 도큐먼트 채널(5) 사이의 통신을 위한 통신 링크(8)가 존재하는 것이 바람직하다. 유사하게, 도큐먼트 채널 서버(5)는 웹서버(11) 내에 통합되어 표시되어 있지만, 웹서버(11)의 외부에 있을 수 있고, 어느 경우에나, 웹서버(11), 미디어 저장 서버(13) 및 도큐먼트 채널(5) 사이의 통신 링크가 유지되어야 한다.
네트워크 클라이언트 장치(15)는 웹 브라우저 모듈(17)과 네트워크 클라이언트 애플리케이션 모듈(19)을 실행할 수 있는 전자 기기이다. 네트워크 클라이언트 장치(15)는 네트워크 액세스를 갖는 개인용 컴퓨팅 장치, 개인용 데이터 보조 장치, 휴대폰, 또는 다른 멀티미디어 장치일 수 있다. 그러나, 웹브라우저 모듈(17)과 클라이언트 애플리케이션 모듈(19)은 독립적인 네트워크 소프트 애플리케이션이고, 각각 클라이언트 장치(15) 상에서 독립적으로 구동가능하고, 각각 다른 네트워크 통신 프로토콜을 사용할 수 있는 것으로 이해되어야 한다. 예를 들면, 웹브라우저(17)가 월드 와이드 웹(이후, 웹)에 액세스를 제공하고, 웹서버(11)상의 웹페이지에 액세스하는 것이 바람직하다. 그러므로, 웹 브라우저 및 웹 서버에 의해 사용된 월드 와이드 웹 통신에 대해서 HTTP, 즉, Hypertext Transfer Protocol을 사용하여 인터넷(10)을 통해 웹서버(11)와 통신하는 것으로 이해되어야 한다.
그러나, 도큐먼트 채널 서버(5)는 바람직하게 인터넷(10)을 통해 비-웹 링크를 통해 액세스된다. 클라이언트 애플리케이션(19)은 인터넷(10)을 통해 도큐먼트 채널 서버(5)와 통신하는 것이 바람직하기 때문에, 클라이언트 애플리케이션(19)은 TCP/IP, 또는 인터넷 통신에 적합한 다른 통신 프로토콜을 사용하여 통신하는 것이 바람직하다.
본 실시예에서, 3개의 라인쌍(12/12', 14/14', 16/16')은 네트워크 클라이언트 장치(15)와 네트워크 서버(9)와의 정보 트랜잭션을 표현하기 위해 표시되어 있다. 이것은 이하의 데이터 트랜잭션의 설명를 위해, 단지 도시를 위한 목적일 뿐이지만, 네트워크 클라이언트 장치(15) 및 인터넷(10) 사이, 및 인터넷(10) 및 네트워크 서버(9) 사이에 단일 양방향 통신 링크를 가져도 무방하다는 것이 이해되어야 한다.
최초에, 웹브라우저(17) 또는 클라이언트 애플리케이션(19)은 네트워크 클라이언트 장치(15) 내에서 작동되지 않는다. 바람직한 실시예에서, 네트워크 클라이언트 장치(15)내에 웹브라우저(17)를 작동하고 네트워크 클라이언트 장치(15)는 HTTP 통신 프로토콜을 사용해 인터넷(10)을 통한 링크(14)를 통해 웹서버(11)와 접촉하도록 웹브라우저 모듈(17)을 사용함으로써 네트워크 서비스 세션이 시작된다. 즉, 웹 브라우저(17)는 웹서버(11)에 의해 제공된(14') 로그인 웹페이지를 요구함으로써 로그인 액세스에 대한 요구를 전송한다(14).
안전한 HTTP 프로토콜(HTTPS)이 알려져 있지만, 웹서버(11)와 웹브라우저 모듈(17) 사이의 이 최초의 로그인 통신 트랜잭션은 통상적인(즉, 안전하지 않은) HTTP 프로토콜을 사용하여 실행될 수 있다. 현 실시예는 서버와 클라이언트 기기 사이의 트러스트의 최초 레벨을 포함하기 때문에, HTTP를 사용하지 않는다. 상기 설명한 것 같이, HTTP 프로토콜은 서버와 클라이언트 기기 모두가 코드 키를 교환 할 것을 요구하지만, 본 실시예에서, 사용자 인증이 검증될 때까지, 장래의 사용자, 즉 클라이언트 장치에 어떤 레벨의 트러스트도 허가하는 것을 방지하는 것이 바람직하다.
도 1에 나타낸 것같이, 샘플 로그인 웹페이지(100)는 사용자명 또는 사용자 이메일 필드(102) 및 패스워드 필드(104)를 포함할 수 있다. 웹브라우저(17)를 사용하여 2개의 필드를 채운 후, 제출 버튼(106)를 선택하여 입력된 정보가 검증을 위해 웹서버(11)에 전송되도록 한다(14).
도 1로 되돌아가서, 웹서버(11)가 제출된 사용자 인증 정보를 검증하면, 클라이언트 장치(15)를 위한 웹세션을 생성한다. 이 시점에서, 각종 네트워크 서비스 옵션이 선택을 위해 리스트될 수 있다. 예를 들면, 네트워크 서비스는 프리젠테이션 생성/ 인쇄 서비스/ 데이터 저장 서비스/ 데이터 액세스 서비스와 같은 소프트웨어 애플리케이션의 선택일 수 있다.
그러나, 본 예에서, 네트워크 서버(9)는 인터넷 미팅 서비스를 제공하는 것이 바람직하다. 이 경우, 네트워크 서버(9)는 미팅 리스트를 제공하게 되는데, 그 중의 몇은 이전에 종료되고 기록 정보를 포함하고, 그중의 다른 것은 진행 중이거나 다른 것은 아직 시작되지 않았을 수 있다. 일 실시예에서, 네트워크 클라이언트 장치(15)의 사용자는 웹브라우저(17)를 통해 네트워크 서비스를 선택할 수 있다. 또한, 네트워크 서버(9)는 사용자의 인증 정보에 의해 식별된 오직 소정의 하나의 서비스(소정의 하나의 미팅 등)만을 제공할 수 있다. 이 경우, 네트워크 서버는 사용자가 멀티플 네트워크 서비스 중의 하나를 선택할 것을 요구하지 않고, 검증된 사용자 인증정보에 자동적으로 응답할 수 있다. 어느 경우에나, 네트워크 서비스 요구가 식별되면(수동적으로 또는 자동적으로), 웨서버(11)는 클라이언트 서비스 액세스 전달(또는 네트워크 미팅 서비스의 경우에 특히, "미팅 연결 시큐러티 전달")를 생성하고, 다이나믹 웹페이지를 생성하고, 클라이언트 서비스 액세스 전달을 다이나믹 웹페이지의 실행가능한 코드 내에 내장하거나 통합한다.
상기 설명한 것같이, 웹브라우저(17)와 네트워크 서버(11) 사이의 통신(14/14')은 안전하지 않은 HTTP 통신 프로토콜을 사용할 수 있고, 비도덕적인 제 3자에 의한 인터셉트에 의해 통신이 오픈되게 한다. 그러나, 다이나믹 웹페이지의 실행가능한 코드내에 통합된 클라이언트 서비스 액세스 전달을 가짐으로써, 다이나믹 웹페이지가 인터셉트되어도 클라이언트 서비스 액세스 전달은 안전하게 남아 있다. 이것은 부호화된 클라이언트 서비스 액세스 전달의 추출에, 네트워크 클라이어언트 장치(15)에 있는 클라이언트 애플리케이션(19)의 사용이 요구되기 때문이다. 시큐러티를 강화하기 위해, 클라이언트 서비스 액세스 전달은 소정의 부호화 방식을 사용하여, 바람직하게는 128 비트 길이의 정수를 사용하여 더 부호화될 수 있다. 이 경우, 복호화 알고리즘은 클라이언트 애플리케이션(19)에 통합된다.
그러면, 웹서버(11)는 활성화를 위해 웹브라우저(17)에 다이나믹 웹페이지를 전송한다(14'). 웹 브라우저(17)가 수신된 다이나믹 웹 페이지를 실행하면, 다이나믹 웹 페이지는 클라이언트 애플리케이션(19)을 작동하고, 클라이언트 서비스 액세스 전달을 클라이언트 애플리케이션(19)에 전달한다. 필요하다면, 클라이언트 애플리케이션(19)에 보내지는 클라이언트 서비스 액세스 전달 이전에, 다이나믹 웹페이 지와 예시된 클라이언트 애플리케이션(19) 사이에서 핸드셰이크 시퀀스가 발생할 수도 있다. 예를 들면, 웹서버(11)에 의해 서비스된 모든 클라이언트 장치(15)에 있는 각 클라이언트 애플리케이션(19)은, 웹서버(11) 내에 기록된 고유 식별자 키워드를 가진다. 다이나믹 웹페이지는, 클라이언트 애플리케이션(19)에 클라이언트 서비스 액세스 전달을 전달하기 전에 검증을 위한 고유 식별자 키워드에 대해서 클라이언트 애플리케이션(19)에 문의할 수 있다.
클라이언트 애플리케이션(19)은 고유 식별자 키워드를 부호화된 형태로 다이나믹 웹페이지에 제공할 수 있는데, 다이나믹 웹페이지는 수신된 식별자 정보를 복호하고, 이것을 웹서버(11)에 의해 제공된 정보와 비교함으로써 검증해야 한다. 또한, 다이나믹 웹페이지는 웹서버(11)에 의한 복호화 및 검증을 위해, 수신된 부호화된 식별자 키워드를 웨서버(11)에 라우팅할 수 있다. 이 경우, 복호화 알고리즘은 웹서버(11) 내에 안전하게 유지된다.
다이나믹 웹페이지가 웹서버(11)에 라우팅하기 전에 수신된 부호화 식별자 키워드에 그 자신의 부호화 알고리즘을 적용함으로써(다이나믹 웹페이지를 고유하게 식별하는 부호화 키를 사용하여), 시큐러티 부가층이 제공될 수 있는데, 이는 식별자 키워드를 추출하기 위해 2개의 복호화 시퀀스를 제공한다: 제 1부호화 시퀀스는 웹서버(11)에 의해 웹브라우저(17)에 전송된 특정한 다이나믹 웹페이지를 고유하게 식별하고; 제 2 부호화 시퀀스는 클라이언트 애플리케이션(19)을 고유하게 식별한다.
클라이언트 서비스 액세스 전달을 클라이언트 애플리케이션(19)에 전달시키 기 위해 다이나믹 웹페이지가 일단 준비되면, Internet ExplorerTM 브랜드 웹브라우저에서 제공된 ActiveXTM서비스를 사용하여 그렇게 행할 수 있다. 또한, ActiveXTM서비스가 사용가능하지 않으면, 다이나믹 웹페이지는 웹브라우저(17)내에서 동작하고, 웹브라우저는 네트워크 안전 문제로 인해 계산 장치 내에서 매우 제한된 허가를 가지는 경우가 종종 있기 때문에, 다이나믹 웹페이지는 서비스 액세스 전달을 직접 웹브라우저(17)와 독립하여 구동되는 클라이언트 애플리케이션(19)에 간단히 전달시킬 수 없을 수도 있다.
이 경우, 다이나믹 웹페이지는 시큐러티 허가를 범하지 않고 서비스 액세스 전달을 통과시키기 위해 클라이언트 애플리케이션(19)의 구동 지식을 이용할 수 있다. 예를 들면, 주지된 기술에서와 같이, 계산 장치는 많은 이용가능한 소프트웨어 네트워크 포트 중 하나를 이용하여 네트워크와 통신한다. 실제로, 네트워크 포트는 계산 장치의 활용가능한 메모리 공간에 메모리 어드레스를 확보한다. 다이나믹 웹페이지는 네트워크(즉, 인터넷(10))를 액세스하기 위해 클라이언트 장치(19)에 의해 사용된 특정한 소프트웨어 네트워크 포트를 인식할 수 있고, 부호화된 서비스 액세스 전달을 이 알려진 소프트웨어 네트워크 포트에 전송할 수 있다. 클라이언트 장치(19)는 이 포트에 집중해서(즉, 관찰), 클라이언트 서비스 액세스 전달이 이 포트에 도달하면, 이를 캡쳐한다. 일단 클라이언트 애플리케이션 장치(19)가 클라이언트 서비스 액세스 전달을 얻으면, 이것을 해독해서 사용한다.
클라이언트 서비스 액세스 전달이 다이나믹 웹페이지 내에 내장되기 때문에, 클라이언트 서비스 액세스 전달은 웹 브라우저(17)로부터 항상 불확실하게 남아 있고, 이것이 전해질 때까지 클라이언트 애플리케이션(17)으로부터 불확실하게 남아 있다. 이것은 다이나믹 웹 페이지의 종료에 의해 파기될 때까지, 클라이언트 서비스 액세스 전달이 항상 액티브 메모리(즉, 클라이언트 장치(15)의 CPU 내의 임시 레지스터) 에 남아 있기 때문이다
이것은 상기 설명한 네트워크 쿠키와 다르다. 이전에 설명한 것같이, 네트워크 쿠키는, HTTP 트랜잭션 패킷의 소정의 헤더 위치 내에서 전송되고, 네트워크 클라이언트 장치(15)의 소정의 메모리 위치 내에 저장된 텍스트 파일, 또는 텍스트 메시지이다. 이들 소정의 메모리 위치들은, 사용자가 인증되었는지 아닌지에 상관없이 일반적으로 네트워크 클라이언트 장치(15)의 사용자에 의해 완전히 액세스 가능하다. 예를 들면, 소정의 위치는 일반적으로 소정의, 널리 알려진, 네트워크 클라이언트 장치(15)의 영구 메모리 저장매체(즉, 하드 드라이브) 내의 디렉토리이다. 이것은 제 3자에 의해 비교적 쉽게 네트워크 쿠기에 액세스하게 한다. 그러나, 본 경우에, 클라이언트 서비스 액세스 전달은 다이나믹 웹페이지의 실행가능한 코드 내에 내장되고, 그래서 HTTP 트랜잭션 패킷의 헤더 정보에서 발견되지 않으며, 클라이언트 장치(15)의 임의의 소정의 메모리 위치에 저장되지도 않는다. 그러므로, 클라이언트 서비스 액세스 전달이 작동된 클라이언트 애플리케이션(19)에 전달될 때, 특히 클라이언트 서비스 액세스 전달이 다이나믹 웹 페이지에 내장되기 전에 웹서버(11)에 의해 부호화되면, 오직 클라이언트 애플리케이션(19)에만 알려지고 비밀로 남아 있는다.
그러므로, 본 실시예에서, 웹서버(11)가 웹브라우저(17)에 웹페이지를 보내기 전에 클라이언트 애플리케이션(19)은 클라이언트(15) 내에 있다고 가정한다. 즉, 다이나믹 웹페이지는 클라이언트 애플리케이션(19)을 작동하지만, 반드시 그것을 인스톨하지는 않는다. 클라이언트 애플리케이션(19)은 사전에 다운로드되고 인스톨되거나, 또는 사용자 계정이 사용자에 대해서 생성될 때 클라이언트 장치(15)에 로드될 수 있다. 또한, 클라이언트 애플리케이션(19)이 이미 클라이언트 장치(15)에 있지 않으면, 다이나믹 웹페이지는 클라이언트 장치(15)에 인스톨하기 위해, 네트워크 서버(9)로부터 인스톨 가능한 클라이언트 애플리케이션 파일을 요구하여 다운로드할 수 있다. 그러나, 일반적으로, 클라이언트 애플리케이션(19)은 네트워크 서버(9)에 의해 제공되고, 그럼으로써 모든 클라이언트 장치(15)에 로드된 클라이언트 애플리케이션(19)의 모든 실행 작동을 고유하게 식별하기 위해 식별자 코드 워드를 할당가능하다.
사용자가 멀티플 네트워크 서비스 옵션 중에서 선택하면, 다이나믹 웹페이지가 클라이언트 애플리케이션(19)에 클라이언트 서비스 액세스 전달을 전달하는 방법과 유사한 방법으로, 다이나믹 웹페이지는 또한 선택된 서비스 옵션을 식별하는 정보를 클라이언트 애플리케이션(19)에 전달한다. 그러나, 상기 설명한 것같이, 현재 바람직한 실시예는 웹서버(11)가 사용자 인증 정보에 기초하여 소정의 서비스(즉, 소정의 네트워크 미팅 서비스)를 자동적으로 선택한다고 가정한다. 클라이언트 애플리케이션(19)이 사용자에 대응하는 하나의 네트워크 미팅 서비스를 인식하면, 다이나믹 웹페이지가 이 서비스 선택 정보를 클라이언트 애플리케이션(19)에 전달 할 필요는 없다. 일단 다이나믹 웹페이지가 모든 필요한 정보를 클라이언트 애플리케이션(19)에 전달하면, 그 자신을 종료함으로써, 그 내장된 시큐러티 정보(즉, 클라이언트 서비스 액세스 전달)를 파기한다.
본 바람직한 실시예에서, 클라이언트 애플리케이션(19)은 네트워크 서버(9)로부터 소망의 네트워크 서비스에 액세스하기 위해 네트워크 서버(9)와의 모든 더 많은 통신을 제어한다. 그러나, 우선, 클라이언트 애플리케이션(19)은 소망의 네트워크 서비스에 액세스하기 위한 허가를 가지고 있음을 증명하기 위해 네트워크 서버(9)에 대해 그 자신을 인증해야 한다. 이 제2 인증 단계는 최초의 사용자 인증 서비스가 대부분 안전하지 않은 HTTP 채널(14/14')을 통해 실행되기 때문에 실행되는 것이다. 이 제2 인증 공정은 네트워크 채널(12/12')을 따라서 비 HTTP 링크(즉, 바람직하게는 TCP/IP링크를 통해)를 통해 실행된다. 이 링크는 네트워크 서버(9)에 의해 제공된 반드시 제한된 링크이기 때문에, 전유의 시큐러티 수단의 여러 계층이 네트워크 채널(12/12')에 적용될 수 있다. 전유의 시큐러티 기술의 사용은, 그 결점이 많이 알려져 있어 일부에 의해 악용되는, 공용의 이용가능한 시큐러티 수단의 사용과 관련된 위험을 제거한다. 예를 들면, 네트워크 채널(12/12')상의 통신은 모든 키가 네트워크 서버(9) 또는 네트워크 서버(9)와 관련된 다른 사설 네트워크에 의해 공급되고 관리되는 안전한 사설키(또는 사설/공용 키)를 사용할 수 있다.
제2 인증 처리(클라이언트 애플리케이션 액세스를 검증하는)는 클라이언트 서비스 액세스 전달을 비HTTP 채널(12/12')을 따라서 도큐먼트 채널 서버(5)에 전송하는 클라이언트 애플리케이션(19)으로 시작한다. 바람직하게는, 클라이언트 애 플리케이션(19)은 클라이언트 서비스 액세스 전달을 도큐먼트 채널 서버(5)에 제출하기 전에, 이것을 암호화한다. 웹서버(11)가 우선 클라이언트 애플리케이션(19)에 클라이언트 서비스 액세스 전달을 제공한 이후에, 도큐먼트 채널 서버(5)는 수신된 클라이언트 서비스 액세스 전달을 적절히 인증하기 위해 웹서버(11)와의 통신을 요구한다. 도큐먼트 채널 서버(5)가 수신된 클라이언트 서비스 액세스 전달을 성공적으로 인증하면, 128 비트 길이의 정수일 수 있는 고유 미디어 파일 액세스 전달을 생성한다. 그러나, 도큐먼트 채널 서버(5)가 수신된 클라이언트 서비스 액세스 전달을 인증할 수 없다면, 재인증을 위해 도큐먼트 채널 서버(5)로 직접 안전한 채널 12/12'을 따라서 사용자 인증 정보를 다시 제출하는 기회를 클라이언트 애플리케이션(19)에 제공할 수 있다. 또한, 도큐먼트 채널 서버(5)는 클라이언트 애플리케이션(19)을 재인증을 위해 웹서버(11)로 되돌려 라우팅할 수 있다. 그러나, 바람직하게, 인증이 검증될 수 없으면, 도큐먼트 채널 서버(5)는 그 클라이언트 애플리케이션(19)과의 연결을 종료한다.
도큐먼트 채널 서버(5)가 클라이언트 애플리케이션(19)에 의해 전송된 클라이언트 서비스 액세스 전달을 적절히 인증하였고, 고유 미디어 파일 액세스 전달을 결과적으로 생성하였다고 가정하면, 도큐먼트 채널 서버(5)는 고유 미디어 파일 액세스 전달을 안전한 채널(12/12')을 통해 클라이언트 애플리케이션(19)에 전송한다. 미디어 파일 액세스 전달은 클라이언트 애플리케이션(19)에 전송되기 전에 부호화될 수 있는 것으로 이해된다.
미디어 파일 액세스 전달이 얻어지면, 이제 클라이언트 애플리케이션(19)은 인터넷 채널(16/16')을 따라서 네트워크 서버(9)로부터 요구된 네트워크 서비스를 요구할 수 있다. 미디어 저장 서버(13)로의 네트워크 서비스에 대한 요구는 미디어 파일 액세스 전달이 수반된다. 요구된 네트워크 서비스가 네트워크 미팅이면, 미디어 저장 서버(13)는 미팅의 스트리밍 미디어 또는 멀티미디어 파일을 공급할 수 있고, 미팅의 멀티미디어 파일(저장을 위해)을 수신한다. 즉, 클라이언트 애플리케이션(19)에 의한 파일에 대한 모든 요구 또는 제출은 클라이언트 애플리케이션(19)에 할당된 고유의 미디어 파일 액세스 전달이 수반되어야 한다. 이 방법으로, 네트워크 서버(9)는, 특정 클라이언트 애플리케이션(19)(그러므로, 특정 클라이언트 장치(15))이 임의의 특정 파일을 제출하거나 다운로드하였는지를 추적할 수 있다.
필요하다면, 도큐먼트 저장 서버(13)는 각 액세스 요구마다 클라이언트 애플리케이션(19)으로부터 수신하는 각 미디어 파일 액세스 전달을 파기할 수 있고, 도큐먼트 채널 서버(5)로 하여금 클라이언트 애플리케이션(19)으로부터의 다음 액세스 요구에서 사용될 안전한 채널(12/12')을 통한 새로운 미디어 파일 액세스 전달을 제공할 수 있다. 이와 같이, 인터넷 채널(16/16')이 안전하지 않은 채널이고, 제3자가 클라이언트 애플리케이션에 의해 미디어 저장 서버(13)에 전송된 미디어 파일 액세스 전달을 볼 수 있더라도, 미디어 저장 서버(13)는 전송된 미디어 파일 액세스 전달을 한번만 수용하기 때문에, 그럼에도 불구하고 시스템은 안전하게 유지된다. 즉, 제3자가 클라이언트 애플리케이션(19)으로부터 미디어 저장 서버(13)로의 그 전송에서 미디어 파일 액세스 전달을 볼 수 있을지라도, 전달이 미디어 저장 서버(13)에 도달하자 마자 유효하지 않게 되기 때문에, 제3자는 본 미디어 파일 액세스 전달을 사용할 수 없다. 미디어 저장 서버(13)는 미디어 파일 액세스 전달을 수신하면, 이를 파기하고(즉, 무효로 만든다), 도큐먼트 채널 서버(5)는 다음의 클라이언트 장치(19)가 미디어 저장 서버(13)에 파일 액세스 요구를 만들 때 사용된 안전한 채널(12/12')을 통해 새로운 유효한 미디어 파일 액세스 전달을 보낸다. 모든 미디어 파일 액세스 전달이, 인터넷 채널(16/16')이 안전한지 아닌지에 상관없이, 안전한 채널(12/12')을 통해 도큐먼트 채널 서버(5)에 의해 제공되는 것이 바람직하다. 이와 같이, 유효한 미디어 파일 액세스 전달의 보급을 관리하는 것이 보다 쉽고, 시스템 채널 시큐러티 조치는 채널(12/12')에 집중될 수 있다. 또한, 임의의 주어진 클라이언트 애플리케이션(19)(임의의 주어진 클라이언트 장치(15)에서)에 대해서 오직 유효한 미디어 파일 액세스 전달은 도큐먼트 채널 서버(5)로부터 클라이언트 애플리케이션(19)으로 가장 최근에 전송된 최고의 미디어 파일 액세스 전달인 것으로 이해된다. 그래서, 클라이언트 애플리케이션(19)이 미사용의 미디어 파일 액세스 전달을 가지고 있지만, 새로운 미디어 파일 액세스 전달을 수신하는 경우, 클라이언트 애플리케이션(19)은 가장 최근에 수신된 미디어 파일 액세스 전달을 선호하여 이전의 미디어 파일 액세스 전달을 자동적으로 버리는 것으로 안다. 요약을 위해, 클라이언트 장치(15)가 네트워크 서버(19) 상의 네트워크 서비스에 액세스하는 것을 허가하기 위한, 클라이언트 장치(15)와 네트워크 서버(9) 사이의 통신의 개요가 도 3에 도시되어 있다. 클라이언트 서버(15)는 로그인 웹페이지를 오픈함으로써 네트워크 서버(9)에 접촉하고, 세션 액세스를 요구함으로써 우선 사용자 검증 시퀀스(단계 101)를 시작한다. 네트워크 서버(9)는 제출된 사용자 검증 정보를 체크해서(단계 103), 검증 시퀀스(단계 101)에서 제출된 사용자 인증 정보에 근거해서 사용자 인증을 시도한다. 검증이 성공적이지 않으면(단계 103에서 아니오), 세션 액세스가 생성되지 않고 사용자는 사용자 검증 시퀀스(단계 101)로 향하고 사용자 인증 정보를 다시 제출한다. 그러나, 사용자 검증이 성공적이면(단계 103에서 예), 사용자에게 웹세션이 오픈되고(단계 105), 사용자는 이용가능한 온라인 서비스의 리스트가 제공된다. 사용자가 서비스를 요구할 때(네트워크 미팅에 대해서 "조인" 옵션을 "클릭"하는 등에 의해)(단계 107에서 예), 네트워크 서버(9)는 클라이언트 장치(15)를 위해 새로운 클라이언트 서비스 액세스 전달(즉, 첫번째 발행된 키코드)를 생성하고, 다이나믹 웹페이지에 의해 클라이언트 장치(15)상의 네트워크 클라이언트 애플리케이션(19)을 구동한다(단계 109).
클라이언트 장치(15)에서, 구동된 네트워크 클라이언트 애플리케이션(19)이 네트워크 서버(9)와 통신하여 클라이언트 장치(5)에 선택된 네트워크 서비스를 제공한다. 구동되기 전에, 네트워크 클라이언트 애플리케이션(19)은 네트워크 서버(9)상의 선택된 네트워크 서비스로의 액세스를 얻을 수 있지만, 그러나, 클라이언트 애플리케이션(19)은 우선 자신을 네트워크 서버(9)에 검증해야 한다(단계 111). 이것은 제3자 네트워크 애플리케이션이 네트워크 클라이언트 애플리케이션(19)을 가장하여 네트워크 서버(9)상의 네트워크 서비스에 대한 액세스를 얻을 가능성을 피하도록 한다. 비HTTP 네트워크 채널(즉, 전유의 부호화 방식을 선택적으로 이용하는 TCP/IP 채널)을 통해 네트워크 서버(9)를 접촉하고, 네트워크 서버(9)에 의해 이전에 제공된 클라이언트 서비스 액세스 전달(즉, 최초의 리턴 키코드)를 제출함 으로써, 구동된 네트워크 클라이언트 애플리케이션(19)은 자기 자신을 검증한다(단계 111). 네트워크 클라이언트 애플리케이션(19)이 인증되지 않으면(단계 111에서 아니오), 네트워크 서버는 통신 채널을 닫고, 클라이언트 장치(15)를 사용자 검증을 위한 최초의 로그인 페이지로 다시 향하게 한다(단계 101). 그러나, 네트워크 클라이언트 애플리케이션(19)이 성공적으로 인증되면(단계 111에서 예), 서비스 세션은 클라이언트 애플리케이션(19)에 대해서 오픈되고, 미디어 파일 액세스 전달(즉, 제2 액세스 키코드)는 안전한 통신에 의해 네트워크 클라이언트 애플리케이션(19)에 전송된다(단계 113). 클라이언트 애플리케이션(19)이, 액세스가 허가된 네트워크 서비스의 일부로서 파일 액세스(즉, 업로드 또는 다운로드 파일 액세스)를 원할 때마다, 미디어 파일 액세스 전달이 사용된다.
네트워크 클라이언트 애플리케이션(19)이 네트워크 서버(9)에 파일을 다운로드 또는 업로드하는 요구를 제출하면(단계 115에서 예), 네트워크 서버(9)는 파일 액세스 검증 시퀀스를 초기화하여(단계 117), 클라이언트 애플리케이션(19)에게 요구된 파일 액세스를 허가할 것인지 아닌지를 결정한다. 파일 액세스 검증 시퀀스의 일부로서, 네트워크 클라이언트 애플리케이션(19)은 그 미디어 파일 액세스 전달을 제출한다(즉, 현재의 리턴 키코드). 미디어 파일 액세스 전달이 검증될 수 없으면(단계 119에서 아니오), 네트워크 서버(9)는 네트워크 채널을 닫고, 업로드/다운로드 요구를 거절하고(단계 121), 클라이언트 장치(15)를 로그인 웹페이지로 향하게 한다(단계 101). 또한, 미디어 파일 액세스 전달이 성공적으로 검증되면(단계 119에서 예), 네트워크 서버(9)는 요구된 업로드/다운로드 요구를 허가한다(단계 123).
클라이언트 애플리케이션이 그 자신을 연결해제하지 않는 한(단계 125에서 아니오), 클라이언트 애플리케이션(19)은, 바람직하게는 네트워크 서버(9)로의 파일 액세스를 얻도록 동일한 미디어 파일 액세스 전달을 사용하여 업로드/다운로드 요구를 계속해서 제출할 수 있다. 또한(도 3에 미도시), 네트워크 서버(9)는 그 요구된 파일 액세스를 클라이언트 애플리케이션(19)에 허가하기 전에 클라이언트 애플리케이션(19)으로부터 수신한 각각의 유효한 미디어 파일 액세스 전달(현재의 리턴 키코드)를 파기(즉, 무효화)할 수 있다. 이 경우, 네트워크 서버(9)는 새로운 미디어 파일 액세스 전달(즉, 현재의 발행 키코드로서의 새로운 액세스 키코드)를 생성하여 이것을 안전한 통신 채널을 통해 클라이언트 애플리케이션(19)에 전송할 수 있다. 바람직하게, 안전한 통신 채널은, 네트워크 서버(9)가 클라이언트 애플리케이션(19)으로부터의 파일 액세스 요구를 허가하는 통신 채널과 다르다. 그 다음의, 뒤이은 파일 액세스 요구에서, 클라이언트 애플리케이션은 네트워크 서버(9)로의 파일 액세스 요구와 함께, 가장 최근에 수신된 미디어 파일 액세스 전달을 제출해야 한다.
클라이언트 애플리케이션(19)이 자신을 연결해제할 때, 즉 그 서비스 세션을 종료할 때(단계 125에서 예), 네트워크 서버(9)는 연결을 닫고, 사용자에게는 로그인 웹페이지가 제공될 수 있다(단계 101).
상기 설명으로부터 알 수 있듯이, 본 통신 시퀀스는 3개의 서브 시퀀스로 분할될 수 있다: HTTP 로그인 페이지에 의해 제공된 시스템 액세스 시퀀스; 클라이언 트 애플리케이션의 액세스 권한을 검증하기 위한 안전한, 비HTTP 통신 링크를 사용하는 클라이언트 애플리케이션 액세스 시퀀스; 및 미디어 파일 액세스 권한을 검증하기 위한 미디어 파일 액세스 시퀀스. 이들 3개의 서브루틴의 분리에 대한 보다 상세한 것은 다음과 같다.
도 4를 참조하면, 시스템 액세스 시퀀스는 사용자가 웹서버(11)(네트워크 서버(9)내의)에 액세스하기 위해 웹브라우저(17)를 사용하는 것으로 시작하고, 웹서버(11)는 웹브라우저(17)에 HTML 로그인 페이지를 보냄으로써 응답한다. 그 다음, 사용자는 사용자명과 패스워드를 인증정보로서 로그인 페이지에 입력하고, 입력된 정보는 인증을 위해 웹서버(11)에 전송된다(단계 31). 웹서버(11)가 사용자 인증 정보를 받을 때, 수신된 정보를 사용자 데이터베이스의 엔트리와 매치시킨다(단계 33). 제출된 인증 정보가 사용자 데이터베이스의 대응하는 정보와 일치하면, 유효한 웹세션이 사용자를 위해 생성된다.
아래에 보다 명백하게 설명한 것같이, 본 발명은 각 액세스 트랜잭션에 대해서 네트워크 서버(9)에 인증 정보의 제출을 요구하지만, 그러나, 본 발명은 개인의 사용자 인증 정보는 웹세션을 수립하기 위해 웹서버(11)에 한번만 제출될 것을 필요로 하며, 그로써, 네트워크 서버(9) 상의 유용한 각종 서비스에 액세스를 얻도록 한다.
제출된 사용자명(또는 사용자 이메일 계정명)과 패스워드가 웹서버(13)에 의해 액세스 가능한(또는 거기에 저장된) 사용자 인증 정보 데이터베이스의 엔트리와 일치하면(단계 33에서 예), 유효한 웹세션이 생성될 수 있다(단계 37). 그러나, 우 선, 웹서버(11)가 동일한 인증 사용자에 대해서 기-존재하는 웹세션이 이미 존재하는지를 판단하는 것이 바람직하다(단계 35). 기-존재하는 웹세션이 있으면(단계 35에서 예), 현재의 인증된 사용자를 위한 새로운 유효한 웹세션을 생성하기 전에(단계 37), 이전의 웹세션(즉, 기-존재하는 웹세션)이 파기된다(즉, 닫힌다)(단계 39). 또한, 기-존재하는 웹세션이 없으면(단계 35에서 아니오), 새로운 유효한 웹세션이 바로 생성된다(단계 37).
바람직하게, 웹세션이 시간 종료되면(단계 41 리턴: 예), 즉, 사용자의 활동없이 소정 기간 경과하거나, 또는 사용자가 의도적으로 로그 아웃하면(단계 45에서 예), 현재의 웹세션이 또한 파기될 수 있다(단계 47). 이와 같이, 인증된 사용자가 로그 아웃하거나(단계 45), 사용자가 웹세션의 타임 아웃을 허가하거나(단계 41), 또는 사용자가 이전 웹세션을 포기했음을 표시하는 사용자가 다른 웹브라우저 애플리케이션으로부터 다시 로그인할 때(단게 35), 웹세션이 파기된다.
사용자는 네트워크 서버(9)상의 임의의 네트워크 서비스에 액세스하기 위해 유효한 웹세션을 요구하지만, 어떤 유형의 시큐러티 액세스 전달도 사용자에게 아직 전송되지 않았음에 유의해야 한다.
상기 설명한 것같이, 네트워크 서버(9)는 네트워크 미팅 서비스를 디폴트로 제공하는 것이 바람직하지만, 사용자가 각종 유용한 네트워크 서비스로부터 선택하는 것이 허가될 수 있다. 그래서, 네트워크 미팅 웹페이지 또는 다른 유형의 네트워크 서비스에 액세스하기 위해서는, 웹서버(11)에 의해 수립된 유효한 웹세션이 요구된다.
클라이언트 애플리케이션 액세스 시퀀스는 도큐먼트 채널 세션의 생애 주기, 즉 네트워크 서비스의 선택 및 활성화가 만들어지는 과정에서 구체화된다. 도 5를 참조하면, 사용자가 미팅을 선택하거나 웹서버(11)에 리스트된 다른 온라인 서비스를 선택할 때(단계 51), 웹서버(11)는 클라이언트 서비스 액세스 전달을 생성하고, 이것을 다이나믹 웹페이지에 통합한다(단계 53). 이 서비스 선택은 웹서버(11)에 의해 제공된 "JOIN" 옵션의 클릭(즉, 선택)에 의해 이루어질 수 있다. 바람직하게, 다이나믹 웹페이지는 실행될 때, 클라이언트 애플리케이션을 클라이언트 장치(15)에 작동한다(단계 55). 웹서버(11)는 다이나믹 웹페이지를 클라이언트 장치(53)에 전송한다. 웹브라우저(17)는 다이나믹 웹페이지를 수신하면, 다이나믹 웹페이지를 실행하고, 그럼으로써 클라이언트 애플리케이션을 작동한다(단계 55). 클라이언트 애플리케이션은 바람직하게 이미 클라이언트 기기에 존재하는 것으로 이해된다. 그렇지 않으면, 다이나믹 웹페이지는 클라이언트 애플리케이션을 작동하기 전에 이를 다운로드하고 인스톨하기 위한 인스톨 루틴을 설치해야 한다.
바람직하게, 클라이언트 애플리케이션은 다이나믹 웹페이지에 의해서만 작동될 수 있다. 즉, 클라이언트 장치가 다이나믹 웹페이지의 사용에 의한 것이 아닌 다른 수단에 의해서 직접 클라이언트 장치를 작동하는 것이 허가되지 않는 것이 바람직하다. 이렇게 함으로써, 클라이언트 장치(15)가 네트워크 서버(9) 내의 서비스를 액세스하기 위해 사용되는 클라이언트 애플리케이션(19)을 구동할 수 없게 하는 것이 보장된다. 네트워크 서버(9)에 우선 로그인하여, 클라이언트 서비스 액세스 전달을 받지 않고서는, 이것은 다이나믹 웹페이지의 유효성을 확인하는 최초의 작 동 루틴을 클라이언트 애플리케이션(19)의 실행가능한 코드에 부호화하는 것에 의해 이루어질 수 있고, 다이나믹 웹페이지의 유효성이 확인될 수 없으면, 클라이언트 애플리케이션은 그 자신을 종료할 수 있다. 네트워크 서버(9)는 클라이언트 장치(15)로부터 서비스 요구를 수신한 후, 새로운 다이나믹 웹페이지를 생성하기 때문에, 네트워크 서버(9)는 다이나믹 웹페이지를 클라이언트 장치에 보내기 전에, 식별 클라이언트 코드를 각 다이나믹 웹페이지에 할당할 수 있다. 다이나믹 웹페이지는 그 식별 클라이언트 코드를 클라이언트 서비스 액세스 전달와 함께 클라이언트 애플리케이션에 보낼 수 있고, 클라이언트 애플리케이션은 다이나믹 웹페이지의 유효성을 확인하기 위해 식별 클라이언트 코드를 사용할 수 있다. 즉, 식별 클라이언트 코드는 클라이언트 애플리케이션에 알려진 고유의 번호 시퀀스에 기초하여, 클라이언트 애플리케이션이 공급된 클라이언트 코드가 그 자신이 알고 있는 고유 번호 시퀀스로부터 획득가능한지를 결정함으로써 다이나믹 웹페이지의 유효성을 입증할 수 있다. 또한, 클라이언트 애플리케이션(19)은 네트워크 서버(9)에 의해 주어지거나, 또는 적어도 알려지기 때문에, 네트워크 서버(9)에 의해 클라이언트 장치(15)에 전송되는 임의의 다이나믹 웹페이지를 인증할 수 있는 애플리케이션 식별 번호가 주어질 수 있다.
클라이언트 애플리케이션(19)이 작동될 때, 네트워크 서버(9)에 의해 생성된 미팅 클라이언트 서비스 액세스 전달을 픽업한다(단계 55).
그러면, 작동된 클라이언트 애플리케이션은 도큐먼트 채널 서버(5)에 연결된다. 바람직하게, 클라이언트 애플리케이션(19)은, 128비트 길이 정수인, 유효한 미 팅 클라이언트 서비스 액세스 전달을 도큐먼트 채널 서버(5)에 제출한다(단계 57). 다른 실시예에서, 클라이언트 애플리케이션(19)이 미팅 클라이언트 서비스 액세스 전달을 발견할 수 없으면, 클라이언트 애플리케이션은 사용자명과 패스워드를 사용자에게 입력할 것을 요구하고, 재인증을 위해 이것을 웹서버(11)에 보내거나, 또는 인증을 위해 웹서버(11)와 통신하는 도큐먼트 채널 서버(5)에 보낸다. 그래서, 클라이언트 애플리케이션(19)이 도큐먼트 채널 서버(5)에 연결될 때, 클라이언트 애플리케이션(19)은 클라이언트 연결을 유지하기 위해, 유효한 미팅 클라이언트 서비스 액세스 전달 또는 사용자 인증 정보를 보내야 한다. 제출된 정보 중 어떤 것도 유효하지 않으면(단계 59에서 아니오), 클라이언트 애플리케이션(19)은 도큐먼트 채널 서버(5)로부터 연결이 끊어지고(단계 63), 웹서버(11)의 사용자 로그인 서비스를 다시 향한다(단계 65).
도큐먼트 채널 서버(5)는 클라이언트 서비스 액세스 전달을 검증한다(단계 59). 클라이언트 서비스 액세스 전달이 유효하면(단계 59에서 예), 도큐먼트 채널 서버(5)는 연결된 클라이언트 애플리케이션(19)을 유지한다. 그렇지 않으면(단계 59에서 아니오), 도큐먼트 채널 서버(5)는 클라이언트 애플리케이션(19)이 악의가 있다고 간주하여, 연결을 끊고(단계 63), 사용자 로그인 정보를 요구한다(단계 65).
클라이언트 서비스 액세스 전달이 검증된 후, 제출된 클라이언트 서비스 액세스 전달이 파기된다(단계 61). 그리고, 동일한 사용자에 의해 생성된 다른 세션이 이미 개설되어 있는지를 결정한다. 개설된 기-존재하는 세션이 있으면(단계 67 에서 예), 기-존재하는 세션이 유지되고, 이 나중의 세션에 대해서 새로운 연결이 생성되지 않고, 이 나중의 세션에 대한 연결이 끊어진다(단계 63). 기-존재하는 세션이 없으면(단계 67에서 아니오), 새로운 서비스 세션이 생성된다(단계 69).
그러면, 도큐먼트 채널 서버(5)는 미디어 파일 액세스 전달을 생성하여, 미디어 파일 액세스 전달을 클라이언트 애플리케이션(19)에 도큐먼트 채널(12')을 통해 보낸다(단계 71). 미디어 파일 시큐러티 전달이 클라이언트 애플리케이션에 HTTP 프로토콜을 피하여 직접 보내지기 때문에, 미디어 파일 시큐러티 전달을 손상시키는 것을 방지하도록 미디어 파일 시큐러티 전달은 전유의 부호화 방식을 사용하여 암호화될 수 있다. 또한, 미디어 파일 시큐러티 전달은 클라이언트 서비스 액세스 전달 대신에 사용될 수 없는 것으로 이해되고, 그래서, 미디어 파일 액세스 전달은 끊어진 연결을 재수립하기 위해 사용될 수 없다. 상기 서술된 각종 방법 중 하나에 의해 연결이 폐쇄될 때까지 이 세션은 개방된 채로 남아 있다(단계 73). 그러나, 일단 연결이 폐쇄되면(단계 73에서 예), 세션은 파기되고(단계 75), 도큐먼트 채널 서버(5)는 임의의 뒤이은 서비스 액세스 요구를 웹서버(11)의 로그인 서비스로 다시 향하게 한다(단계 65).
미디어 파일 액세스 시퀀스에 대한 보다 상세한 고찰은 도 6을 참조하여 가장 잘 이해될 수 있다. 클라이언트 장치(15)가 미디어 파일 액세스 전달을 수신하면, 미디어 저장 서버(13)에 대한 액세스를 요구할 수 있다. 우선, 클라이언트 애플리케이션(19)은 그 미디어 파일 액세스 전달을 업로드 또는 다운로드 파일 요구와 함께 미디어 저장 서버(13)에 제출한다(단계 93). 즉, 클라이언트가 미디어 파 일을 업로드/다운로드하고자 할 때, 미디어 파일에 액세스하기 위한 파라미터 중 하나로서 미디어 파일 액세스 전달(바람직하게는 128비트 길이 정수)를 보낸다.
미디어 저장 서버(13)가 미디어 파일 업로드/다운로드 요구를 수신할 때, 미디어 파일 액세스 전달을 검증한다(단계 95). 미디어 파일 액세스 전달이 유효하지 않으면(단계 95에서 아니오), 미디어 저장 서버(13)는 에러 코드 404를 클라이언트 애플리케이션(19)에 보내고, 바람직하게는 또한 클라이언트 애플리케이션(19)으로부터 연결해제된다(단계 97).
미디어 파일 액세스 전달이 선택된 서비스(즉, 특정 온라인 미팅 서비스)에 대해서 유효하다고 결정되면, 미디어 저장 서버(13)는 클라이언트 애플리케이션에 네트워크 연결을 허가하고(단계 109), 업로드 또는 다운로드 요구를 받아들여 동작한다(단계 103).
클라이언트 애플리케이션(19)이 네트워크 서버(19)로부터 연결해제될 때(단계 99에서 예), 미디어 파일 액세스 전달은 유효한 액세스 전달 코드의 기록으로부터 파기되고(단계 100), 미디어 저장 서버(13)는 자신을 클라이언트 애플리케이션(19)으로부터 연결해제한다(단계 97). 이렇게 함으로써, 클라이언트 애플리케이션(19)에 의해 사용된 미디어 파일 액세스 전달은 다시 사용될 수 없다.
일 실시예에서, 세션이 종료되고, 미디어 파일 시큐러티 전달이 파기될 때까지 클라이언트 애플리케이션(19)은 미디어 저장 서버(13)로의 멀티플 파일 액세스 요구에 대해서 동일한 미디어 파일 액세스 전달을 사용할 수 있다. 또한, 미디어 저장 서버(13)는 클라이언트 애플리케이션(19)으로부터 각 파일 액세스 요구에 대 해 갖는 이전 미디어 파일 시큐러티 전달을 파기하고, 새로운 미디어 파일 시큐러티 전달을 생성하여, 다음의 파일 액세스 요구에서 사용되도록 새로운 미디어 파일 시큐러티 전달을 클라이언트 애플리케이션(19)에 전송할 수도 있다.
본 발명은 몇몇 특정 실시예들과 함께 서술되었지만, 본 기술에서 숙련된 자가 앞의 상세한 설명을 고려할 때 많은 다양한 교체, 변경 및 변형을 할 수 있는 것은 분명하다. 그래서, 여기에 서술된 본 발명은 첨부된 청구항들의 진의 및 범위내에 속하면, 모든 교체, 변경, 응용 및 변형을 포함하는 것으로 의도된다.
본 발명에 의하면, 안전한 네트워크 연결 및 네트워크 전송을 수립하는 네트워크 통신 시스템 및 방법을 제공할 수 있다.
본 발명에 의하면, 네트워크 통신 시스템이 현재의 인터넷 통신 프로토콜과 호환가능하게 된다.

Claims (24)

  1. 네트워크 통신 시스템으로서,
    요구 네트워크 클라이언트에게 네트워크 액세스를 선택적으로 제공하는 네크워크 서버;
    상기 네트워크 서버와 접촉하여 네트워크 액세스를 요구하는 클라이언트 장치를 포함하고,
    상기 네트워크 서버는, 상기 클라이언트 장치로부터 인증 정보를 요구하고, 실행가능한 소프트웨어 코드 내에 내장된 제1 발행 키코드로서 상기 클라이언트 장치에 전송된 제1 액세스 키코드를 발생하여 상기 클라이언트 장치로부터의 검증된 인증 정보의 수신에 응답함으로써, 네트워크 액세스를 요구하는 상기 클라이언트 장치에 응답하도록 구성되고,
    상기 실행가능한 소프트웨어 코드는, 상기 클라이언트 장치상에 클라이언트 애플리케이션을 작동하여, 상기 제1 발행 키코드를 상기 작동된 클라이언트 애플리케이션에 전달하기 위해 실행되고,
    상기 클라이언트 애플리케이션은, 통신 세션의 수립 요구와 함께 제1 리턴 키코드로서 상기 제1 발행 키코드를 상기 네트워크 서버에 전송하기 위해 실행되며,
    상기 네트워크 서버는, 상기 제1 액세스 키코드를 파기하고, 상기 클라이언트 애플리케이션과의 통신 세션을 수립하고, 상기 제1 액세스 키코드와 무관한 제2 액세스 키코드를 발생하고, 제2 발행 키코드로서 상기 제2 액세스 키코드를 상기 클라이언트 애플리케이션에 전송함으로써, 상기 제1 발행 키코드와 일치하는 상기 제1 리턴 키코드에 응답하는, 네트워크 통신 시스템.
  2. 청구항 1에 있어서,
    상기 네트워크 서버와 상기 클라이언트 장치는 인터넷을 통해 통신하고, 상기 실행가능한 소프트웨어 코드는 다이나믹 웹 페이지 내에서 실시되는, 네트워크 통신 시스템.
  3. 청구항 1에 있어서,
    상기 네트워크 서버와 상기 클라이언트 장치는 인터넷을 통해 통신하고, 상기 클라이언트 애플리케이션은 상기 클라이언트 장치상의 임의의 인터넷 브라우저 애플리케이션과는 독립적인, 네트워크 통신 시스템.
  4. 청구항 1에 있어서,
    상기 제1 액세스 키코드는 상기 클라이언트 장치와 무관한, 네트워크 통신 시스템.
  5. 청구항 1에 있어서,
    상기 클라이언트 장치로부터의 모든 도큐먼트 제출 및 도큐먼트 요구는, 상 기 클라이언트 장치로 하여금 현재의 리턴 키코드로서, 상기 네트워크 서버로부터 가장 최근에 수신된 발행 키코드를 제출할 것을 요구하고,
    상기 클라이언트 장치로부터 상기 네트워크 서버로의 각 도큐먼트 제출 및 도큐먼트 요구를 수신할 때, 상기 클라이언트 장치에 의해 제출된 상기 현재의 리턴 액세스 키코드가, 상기 네트워크 서버에 의해 상기 클라이언트 장치에게 발행된 가장 최근에 발행된 키코드와 일치하면, 상기 네트워크 서버는 제출된 도큐먼트 또는 도큐먼트 요구를 받아들이고, 새로운 액세스 키코드를 발생하고, 새롭게 발생된 액세스 키코드를 현재의 발행 키코드로서 상기 클라이언트 애플리케이션에 전송하는, 네트워크 통신 시스템.
  6. 청구항 1에 있어서,
    상기 클라이언트 애플리케이션은 상기 실행가능한 소프트웨어 코드 이외의 다른 수단에 의해 작동되면 스스로 자동적으로 종료하는, 네트워크 통신 시스템.
  7. 청구항 6에 있어서,
    상기 네트워크 서버는 상기 실행가능한 소프트웨어 코드에 식별 ID 코드를 할당하고,
    상기 클라이언트 애플리케이션은 소정의 작동 식별코드를 유지하고,
    상기 소프트웨어 실행가능한 코드는 그 식별 ID코드를 상기 클라이언트 애플리케이션에 전달하고,
    상기 클라이언트 애플리케이션은, 상기 식별 ID 코드가 상기 소정의 작동 식별코드에 의해 인증되지 않는다면 스스로 종료하는, 네트워크 통신 시스템.
  8. 청구항 1에 있어서,
    상기 클라이언트 애플리케이션은 소정의 클라이언트 애플리케이션 식별 코드를 유지하고,
    상기 실행가능한 소프트웨어 코드는, 상기 클라이언트 애플리케이션 식별 코드가 상기 실행가능한 소프트웨어 코드에 의해 인증될 때에만, 상기 제1 발행 키코드를 상기 작동된 클라이언트 애플리케이션에 전달하는, 네트워크 통신 시스템.
  9. 청구항 8에 있어서,
    상기 네트워크 서버는 클라이언트 애플리케이션을 식별하기 위해 애플리케이션 ID 코드의 저장을 유지하고,
    상기 네트워크 애플리케이션은 예상되는 클라이언트 애플리케이션에 대응하는 특정 애플리케이션 ID 코드를 상기 클라이언트 장치에 내장하고,
    상기 실행가능한 소프트웨어 코드는 상기 클라이언트 애플리케이션 식별 코드를 인증하기 위해 상기 내장된 특정 애플리케이션 ID코드를 사용하는, 네트워크 통신 시스템.
  10. 청구항 8에 있어서,
    상기 네트워크 서버는 클라이언트 애플리케이션을 식별하기 위해 애플리케이션 ID의 저장을 유지하고,
    상기 실행가능한 소프트웨어 코드는 인증을 위해 상기 클라이언트 애플리케이션 식별코드를 상기 네트워크 서버에 전송하는, 네트워크 통신 시스템.
  11. 청구항 1에 있어서,
    상기 클라이언트 장치는 상기 클라이언트 장치에의 외부 메모리 쿼리에 의해 직접 액세스가능한 적어도 하나의 소정의 보관 메모리 공간을 가지고,
    상기 클라이언트 애플리케이션에 의해 수신된 각 발행 키코드는 상기 클라이언트 장치의 휘발성 메모리 내에서 액티브 파라미터로서 유지되고, 임의의 소정의 보관 메모리 공간에 위치하지 않고, 상기 클라이언트 애플리케이션이 종료할 때 파기되는, 네트워크 통신 시스템.
  12. 청구항 1에 있어서,
    상기 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는 임시 레지스터 엔트리로서 상기 클라이언트 장치의 중앙 제어부 내에 유지되고, 상기 클라이언트 장치의 임의의 비휘발성 메모리에 전송가능하지 않은, 네트워크 통신 시스템.
  13. 청구항 1에 있어서,
    상기 네트워크 서버와 상기 클라이언트 장치 사이의 전송은 전송 패킷의 형 태이고, 상기 클라이언트 장치로부터 상기 네트워크 서버로의 네트워크 전송 패킷은 텍스트 전송 파라미터 정보를 갖는 헤더부, 상기 클라이언트 애플리케이션에 의해 제공된 데이터를 갖는 바디부를 포함하고, 상기 클라이언트 애플리케이션에 의해 상기 네트워크 서버에 제공된 상기 리턴 액세스 키코드는 상기 헤더부에서 배제되는, 네트워크 통신 시스템.
  14. 네트워크 서버와 클라이언트 장치 사이의 컴퓨터 네트워크를 통해 보안 통신 링크를 수립하는 방법으로서,
    상기 네트워크 서버와 상기 클라이언트 장치 사이에 통신 세션을 수립하는 단계; 및
    상기 클라이언트 장치가 상기 네트워크 서버에 도큐먼트를 제출하거나, 상기 네트워크 서버에 도큐먼트 요구를 제출하는 단계를 포함하고,
    상기 네트워크 서버와 상기 클라이언트 장치 사이에 상기 통신 세션 수립단계는,
    상기 클라이언트 장치가 액세스 요구를 상기 네트워크 서버로 전송하는 단계;
    상기 클라이언트 장치로부터 인증 정보를 요구하고, 실행가능한 소프트웨어 코드 내에 내장된 제1 발행 키코드로서 제1 액세스 키코드를 발생하여 상기 클라이언트 장치에 전송하여 상기 클라이언트 장치로부터의 유효한 사용자 인증 정보의 수신에 응답함으로써, 상기 네크워크 서버가 상기 액세스 요구에 응답하는 단계;
    상기 클라이언트 장치가 수신된 실행가능한 소프트웨어 코드를 실행하고, 상기 실행가능한 소프트웨어 코드가 클라이언트 애플리케이션을 상기 클라이언트 장치에서 작동시키고, 상기 실행가능한 소프트웨어 코드는 상기 제1 액세스 키코드를 상기 클라이언트 애플리케이션에 전달하는 단계;
    상기 클라이언트 애플리케이션이, 통신 세션에 대한 새로운 요구를 상기 네트워크 서버에 제출하고, 제1 리턴 키코드로서 상기 제1 액세스 키코드를 제출하게 하는 단계; 및
    상기 네트워크 서버가, 상기 제1 액세스 키코드를 파기하고, 상기 클라이언트 애플리케이션과의 통신 세션을 수립하고, 제2 액세스 키코드를 생성하고, 제2 발행 키코드로서 상기 제2 액세스 키코드를 상기 클라이언트 애플리케이션에 전송함으로써, 상기 제1 액세스 키코드와 일치하는 상기 제1 리턴 키코드에 응답하는 단계를 포함하는, 통신 링크 수립 방법.
  15. 청구항 14에 있어서,
    상기 실행가능한 소프트웨어 코드는 다이나믹 웹페이지 내에서 실행되는, 통신 링크 수립 방법.
  16. 청구항 14에 있어서,
    상기 제1 액세스 키코드는 상기 클라이언트 장치와 무관한, 통신 링크 수립 방법.
  17. 청구항 14에 있어서,
    상기 제2 액세스 키코드는 상기 제1 액세스 키코드와 무관한, 통신 링크 수립 방법.
  18. 청구항 14에 있어서,
    상기 클라이언트 장치로부터 상기 네트워크 서버로의 도큐먼트의 제출은, 상기 클라이언트 장치가 도큐먼트 제출에 대한 요구와 함께 제2 리턴 액세스 키코드로서 상기 제2 발행 키코드를 제출할 것을 요구하고,
    상기 네트워크 서버는, 상기 제2 리턴 액세스 키코드가 상기 제2 액세스 키코드와 일치하면 상기 도큐먼트 제출을 받아들이고, 상기 제2 액세스 키코드를 파기하고, 상기 제2 액세스 키코드와 무관한 제3 액세스 키코드를 발생하고, 제 3 발행 키코드로서 상기 제3 액세스 키코드를 상기 클라이언트 애플리케이션에 전송함으로써, 도큐먼트 제출에 대한 요구에 응답하는, 통신 링크 수립 방법.
  19. 청구항 14에 있어서,
    상기 클라이언트 장치로부터 네트워크 서버로의 도큐먼트 요구의 제출은, 상기 클라이언트 장치가 상기 도큐먼트 요구와 함께, 상기 제2 발행 키코드를 제2 리턴 액세스 키코드로서 제출할 것을 요구하고,
    상기 네트워크 서버는, 상기 제2 리턴 액세스 키코드가 상기 제2 액세스 키 코드와 일치하면 요구된 도큐먼트를 전송하고, 상기 제2 액세스 키코드를 파기하고, 제3 액세스 키코드를 발생하고, 제3 발행 키코드로서 상기 제3 액세스 키코드를 상기 클라이언트 애플리케이션에 전송함으로써 상기 도큐먼트 요구에 응답하는, 통신 링크 수립 방법.
  20. 청구항 14에 있어서,
    상기 클라이언트 장치로부터의 모든 도큐먼트 제출 및 도큐먼트 요구는, 상기 클라이언트 장치가, 현재의 리턴 키코드로서, 상기 네트워크 서버로부터 가장 최근에 수신된 발행 키코드를 제출할 것을 요구하고,
    상기 클라이언트 장치로부터 상기 네트워크 서버로 각 도큐먼트 제출 및 도큐먼트 요구를 수신할 때, 상기 클라이언트 장치에 의해 제출된 상기 현재의 리턴 액세스 키코드가, 상기 네트워크 서버에 의해 상기 클라이언트 장치로 발행된 가장 최근의 발행 키코드와 일치하면, 상기 네트워크 서버는 제출된 도큐먼트 또는 제출된 도큐먼트 요구를 받아들이고, 새로운 액세스 키코드를 발생하여, 새롭게 발생된 키코드를 현재 발행된 키코드로서 상기 클라이언트 애플리케이션에 전송하는, 통신 링크 수립 방법.
  21. 청구항 14에 있어서,
    상기 클라이언트 장치는 상기 클라이언트 장치에의 외부 메모리 액세스 쿼리에 의해 직접 액세스 가능한 적어도 하나의 소정의 보관 메모리 공간을 갖고,
    상기 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는, 상기 클라이언트 장치의 휘발성 메모리 내에 액티브 파라미터로서 유지되고, 소정의 보관 메모리 공간에는 위치하지 않고, 상기 클라이언트 애플리케이션의 종료시 파기되는, 통신 링크 수립 방법.
  22. 청구항 21에 있어서,
    상기 클라이언트 애플리케이션에 의해 수신된 각 발행된 키코드는, 상기 클라이언트 장치의 중앙 제어부 내의 임시 레지스터 엔트리로서 유지되고, 상기 클라이언트 장치의 임의의 비휘발성 메모리에 이송되지 않는, 통신 링크 수립 방법.
  23. 청구항 14에 있어서,
    상기 네트워크 서버로부터 상기 클라이언트 장치에 전송된 상기 액세스 키코드는 부호화된 것인, 통신 링크 수립 방법.
  24. 청구항 14에 있어서,
    상기 네트워크 서버와 상기 클라이언트 장치 사이의 전송은 전송 패킷의 형태이고, 상기 클라이언트 장치로부터 상기 네트워크 서버로의 네트워크 전송 패킷은 텍스트 전송 파라미터 정보를 갖는 헤더부 및 상기 클라이언트 애플리케이션에 의해 제공된 데이터를 갖는 바디부를 포함하고, 상기 클라이언트 애플리케이션에 의해 상기 네트워크 서버에 제공된 상기 리턴 액세스 키코드는 상기 헤더부에서 배 제되는, 통신 링크 수립 방법.
KR1020060124416A 2006-01-25 2006-12-08 Imx 세션 제어 및 인증 KR20070078051A (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/340,062 2006-01-25
US11/340,062 US7581244B2 (en) 2006-01-25 2006-01-25 IMX session control and authentication

Publications (1)

Publication Number Publication Date
KR20070078051A true KR20070078051A (ko) 2007-07-30

Family

ID=38323696

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060124416A KR20070078051A (ko) 2006-01-25 2006-12-08 Imx 세션 제어 및 인증

Country Status (4)

Country Link
US (1) US7581244B2 (ko)
JP (1) JP4867663B2 (ko)
KR (1) KR20070078051A (ko)
CN (1) CN101009561B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190014124A (ko) * 2013-06-24 2019-02-11 알리바바 그룹 홀딩 리미티드 이중 인증

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008112293A1 (en) * 2007-03-13 2008-09-18 Facebook, Inc. Systems and methods for network authentication
KR100914771B1 (ko) * 2007-05-09 2009-09-01 주식회사 웰비아닷컴 일회용 실행 코드를 이용한 보안 시스템 및 보안 방법
US9258385B2 (en) * 2007-09-25 2016-02-09 Infineon Technologies Ag Method for loading a program module into a network device and network with network devices
US8755521B2 (en) * 2008-05-09 2014-06-17 Apple Inc. Security method and system for media playback devices
US8099767B2 (en) * 2008-07-01 2012-01-17 International Business Machines Corporation Secure agent-less enterprise infrastructure discovery
US8402519B2 (en) * 2008-10-16 2013-03-19 Verisign, Inc. Transparent client authentication
JP2010108237A (ja) 2008-10-30 2010-05-13 Nec Corp 情報処理システム
JP5339283B2 (ja) * 2009-02-17 2013-11-13 日本電信電話株式会社 インターネット・通信網連携アプリケーション提供システムおよびインターネット・通信網連携方法
WO2011075825A1 (en) * 2009-12-21 2011-06-30 Kik Interactive, Inc. Systems and methods for accessing and controlling media stored remotely
US9432372B2 (en) * 2010-01-28 2016-08-30 Adobe Systems Incorporated Access policy based on collaboration participation
JP2012033148A (ja) * 2010-06-30 2012-02-16 Sony Corp 情報処理装置、情報処理方法およびプログラム
CN102447714A (zh) * 2010-10-07 2012-05-09 鸿富锦精密工业(深圳)有限公司 Cookie管理方法
US9542545B2 (en) 2011-03-21 2017-01-10 Webcetera, L.P. System, method and computer program product for access authentication
CN102204194B (zh) * 2011-05-11 2014-05-07 华为技术有限公司 共享文件的方法和系统
US8499343B2 (en) * 2011-06-06 2013-07-30 Verizon Patent And Licensing Inc. Hosted media content service systems and methods
JP5231620B2 (ja) * 2011-11-22 2013-07-10 シャープ株式会社 サーバ装置
US9117002B1 (en) * 2011-12-09 2015-08-25 Amazon Technologies, Inc. Remote browsing session management
US9042266B2 (en) 2011-12-21 2015-05-26 Kik Interactive, Inc. Methods and apparatus for initializing a network connection for an output device
US9330188B1 (en) 2011-12-22 2016-05-03 Amazon Technologies, Inc. Shared browsing sessions
US8839087B1 (en) 2012-01-26 2014-09-16 Amazon Technologies, Inc. Remote browsing and searching
US9336321B1 (en) 2012-01-26 2016-05-10 Amazon Technologies, Inc. Remote browsing and searching
US9596328B2 (en) * 2012-08-09 2017-03-14 Oracle International Corporation Hierarchical criteria-based timeout protocols
US10834133B2 (en) * 2012-12-04 2020-11-10 International Business Machines Corporation Mobile device security policy based on authorized scopes
JP6296324B2 (ja) * 2013-07-12 2018-03-20 ブラザー工業株式会社 登録サーバのプログラム、情報機器、情報機器のプログラム、及びネットワークシステム
US11134063B2 (en) * 2014-03-12 2021-09-28 Akamai Technologies, Inc. Preserving special characters in an encoded identifier
US10747787B2 (en) 2014-03-12 2020-08-18 Akamai Technologies, Inc. Web cookie virtualization
US10148735B1 (en) 2014-03-12 2018-12-04 Instart Logic, Inc. Application layer load balancer
US10474729B2 (en) 2014-03-12 2019-11-12 Instart Logic, Inc. Delayed encoding of resource identifiers
US11314834B2 (en) 2014-03-12 2022-04-26 Akamai Technologies, Inc. Delayed encoding of resource identifiers
US11341206B2 (en) 2014-03-12 2022-05-24 Akamai Technologies, Inc. Intercepting not directly interceptable program object property
US9961059B2 (en) 2014-07-10 2018-05-01 Red Hat Israel, Ltd. Authenticator plugin interface
US9967260B1 (en) * 2015-01-26 2018-05-08 Microstrategy Incorporated Enhanced authentication security
US20160257198A1 (en) 2015-03-02 2016-09-08 Ford Global Technologies, Inc. In-vehicle component user interface
US9967717B2 (en) 2015-09-01 2018-05-08 Ford Global Technologies, Llc Efficient tracking of personal device locations
US9914418B2 (en) 2015-09-01 2018-03-13 Ford Global Technologies, Llc In-vehicle control location
US9860710B2 (en) 2015-09-08 2018-01-02 Ford Global Technologies, Llc Symmetrical reference personal device location tracking
US20170103592A1 (en) * 2015-10-09 2017-04-13 Ford Global Technologies, Llc Automated door and gate lock/unlock
US10046637B2 (en) 2015-12-11 2018-08-14 Ford Global Technologies, Llc In-vehicle component control user interface
GB201522315D0 (en) 2015-12-17 2016-02-03 Irdeto Bv Securing webpages, webapps and applications
US10082877B2 (en) 2016-03-15 2018-09-25 Ford Global Technologies, Llc Orientation-independent air gesture detection service for in-vehicle environments
US9914415B2 (en) 2016-04-25 2018-03-13 Ford Global Technologies, Llc Connectionless communication with interior vehicle components
US10607019B2 (en) * 2016-08-05 2020-03-31 Sensoriant, Inc. System and methods for maintaining user privacy in applications providing products and/or services
WO2018053469A1 (en) * 2016-09-19 2018-03-22 Nasdaq, Inc. Client device information for controlling access to web applications
CN106888202B (zh) * 2016-12-08 2020-02-21 阿里巴巴集团控股有限公司 授权登录方法及装置
KR20200107931A (ko) * 2017-10-19 2020-09-16 오튼하이브 코퍼레이션 멀티 포인트 인증을 위한 키 생성 및 보관을 위한 시스템 및 방법
GB2573262B (en) * 2018-03-08 2022-04-13 Benefit Vantage Ltd Mobile identification method based on SIM card and device-related parameters
CN112822020B (zh) * 2020-12-30 2023-12-12 新疆联盛科技有限公司 网络请求方法、装置、计算机设备及存储介质

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5999711A (en) * 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US6067623A (en) * 1997-11-21 2000-05-23 International Business Machines Corp. System and method for secure web server gateway access using credential transform
US6233341B1 (en) * 1998-05-19 2001-05-15 Visto Corporation System and method for installing and using a temporary certificate at a remote site
US6775782B1 (en) * 1999-03-31 2004-08-10 International Business Machines Corporation System and method for suspending and resuming digital certificates in a certificate-based user authentication application system
US6785810B1 (en) * 1999-08-31 2004-08-31 Espoc, Inc. System and method for providing secure transmission, search, and storage of data
US6728884B1 (en) * 1999-10-01 2004-04-27 Entrust, Inc. Integrating heterogeneous authentication and authorization mechanisms into an application access control system
US6823452B1 (en) * 1999-12-17 2004-11-23 International Business Machines Corporation Providing end-to-end user authentication for host access using digital certificates
JP2001249892A (ja) * 2000-03-03 2001-09-14 Seiko Epson Corp ウエブページ閲覧制限方法とサーバシステム
CN1338841A (zh) * 2000-08-11 2002-03-06 海南格方网络安全有限公司 计算机安全认证智能密钥
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US6986047B2 (en) * 2001-05-10 2006-01-10 International Business Machines Corporation Method and apparatus for serving content from a semi-trusted server
GB2378104A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Authentification for computer networks using a hybrid protocol and digital certificate
JP2004240709A (ja) * 2003-02-06 2004-08-26 Nippon Telegr & Teleph Corp <Ntt> コンテンツ提供システム及び方法と、コンテンツ仲介サーバ
US7366906B2 (en) * 2003-03-19 2008-04-29 Ricoh Company, Ltd. Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium
JP2004310562A (ja) * 2003-04-09 2004-11-04 Rizm:Kk スリーミング配信の認証システムおよびプログラム
JP2005339221A (ja) * 2004-05-27 2005-12-08 Matsushita Electric Ind Co Ltd オンラインアルバム閲覧装置および方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190014124A (ko) * 2013-06-24 2019-02-11 알리바바 그룹 홀딩 리미티드 이중 인증

Also Published As

Publication number Publication date
US20070180503A1 (en) 2007-08-02
JP4867663B2 (ja) 2012-02-01
US7581244B2 (en) 2009-08-25
CN101009561B (zh) 2011-02-09
JP2007200316A (ja) 2007-08-09
CN101009561A (zh) 2007-08-01

Similar Documents

Publication Publication Date Title
US7581244B2 (en) IMX session control and authentication
US9619632B2 (en) System for providing session-based network privacy, private, persistent storage, and discretionary access control for sharing private data
US8200834B2 (en) Method and system for secure server-based session management using single-use HTTP cookies
US8275984B2 (en) TLS key and CGI session ID pairing
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
US7231526B2 (en) System and method for validating a network session
EP1368722B1 (en) Method and system for web-based cross-domain single-sign-on authentication
US6766454B1 (en) System and method for using an authentication applet to identify and authenticate a user in a computer network
US8640202B2 (en) Synchronizing user sessions in a session environment having multiple web services
EP2258094B1 (en) Devolved authentication
US20030065956A1 (en) Challenge-response data communication protocol
US20030163691A1 (en) System and method for authenticating sessions and other transactions
US20090025080A1 (en) System and method for authenticating a client to a server via an ipsec vpn and facilitating a secure migration to ssl vpn remote access
JP2009514050A (ja) クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法
JP2002523973A (ja) コンピュータ・ネットワークにおけるサービスへの安全なアクセスを可能にするシステムおよび方法
JP2001186122A (ja) 認証システム及び認証方法
EP1243097A1 (en) Method and apparatus for a revolving encrypting and decrypting process
US20060122936A1 (en) System and method for secure publication of online content
WO2002095545A2 (en) System and method for secure and private communication
KR100366403B1 (ko) 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템
KR100406292B1 (ko) 터미널 통신상의 사용자 보안 및 자동 인증을 위한 비밀번호 전송시스템 및 전송방법
CN117354032A (zh) 一种基于代码服务器的多重认证方法
Straub et al. A multipurpose delegation proxy for WWW credentials

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
NORF Unpaid initial registration fee