KR20080098337A - 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법 - Google Patents

표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법 Download PDF

Info

Publication number
KR20080098337A
KR20080098337A KR1020080088112A KR20080088112A KR20080098337A KR 20080098337 A KR20080098337 A KR 20080098337A KR 1020080088112 A KR1020080088112 A KR 1020080088112A KR 20080088112 A KR20080088112 A KR 20080088112A KR 20080098337 A KR20080098337 A KR 20080098337A
Authority
KR
South Korea
Prior art keywords
information
user
database
information system
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Ceased
Application number
KR1020080088112A
Other languages
English (en)
Inventor
김용규
Original Assignee
김용규
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김용규 filed Critical 김용규
Priority to KR1020080088112A priority Critical patent/KR20080098337A/ko
Publication of KR20080098337A publication Critical patent/KR20080098337A/ko
Ceased legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 웹 기반 정보시스템의 접근 권한을 인증하는 인증수단(인증서 or ID/PW)과 무관하게 웹 어플리케이션 서버(Web Application Server, WAS)에서 사용자인증 및 데이터베이스 접근권한이 이루어지는 한계성을 악용한 데이터베이스 불법접근을 통한 데이터베이스 해킹사고를 예방하기 위해 데이터베이스(Database) 차원에서 비인가자의 불법 접근을 차단할 수 있는 방법을 제공하기 위한 것으로 데이터베이스와 통신을 위해 기존 웹 어플리케이션 서버(WAS)영역에 세팅하는 표준 JDBC(Java Database Connectivity, JDBC)가 상속하는 JDK(Java Development Kit)의 SQL 기능을 확장하여 데이터베이스 커넥션 및 질의 시에 사용하는 메소드에서 사용자 및 정보시스템 권한여부를 검증함으로써 데이터베이스 차원에서 사전에 불법 사용자를 통제할 수 있는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법에 관한 것이다.
이를 위해서 중요(개인)정보에 대해 접근권한이 인가된 사용자의 식별정보(인증서DN or ID) 및 정보시스템의 식별정보(클래스ID), 이용내역 기록여부 정보를 별도의 리포지토리(저장소)에 구축한다. 그래서 사용자가 정보시스템의 중요(개인)정보에 해당하는 콘텐츠에 접근하면, 서비스를 시작하기 리포지토리로 접속하여 사용자 및 정보시스템의 권한 여부를 확인 한 후, 권한이 있는 사용자이면 중요(개인)정보 콘텐츠에 접근 할 수 있는 인증토큰을 웹 어플리케이션서버의 메모리 영역에 발행한다. 인증토큰 발행 시 웹 어플리케이션서버에서 사용자에게 발행하는 사용자세션정보를 포함하여 사용자 식별정보(ID 및 소유자), 정보시스템 식별정보, 이용내역 기록여부 정보를 기록한다. 그래서 데이터베이스 커넥션 및 질의(Query)시에 사용하는 메소드(Method)에 현재 웹 어플리케이션서버에서 인증한 사용자세션정보와 정보시스템의 클래스ID를 구하여 전달한다. 그래서 통신영역(JDBC)에서 웹 어플리케이션서버의 인증토큰에 포함된 사용자세션정보 및 정보시스템 식별정보와 대조함으로써 정당한 사용자 및 정보시스템인지 구별이 가능하여 비인가자의 데이터베이스 접근을 예방할 수 있으며, 또한 커넥션 및 질의 결과값을 리포지토리에 기록하는데 사용자의 책임규명을 위해 인증토큰에 포함된 사용자 및 정보시스템의 식별정보를 포함하여 이용내역을 생성함으로서 책임을 규명할 수 있는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 방법이다.
데이터베이스, 데이터베이스 접근권한 실명화 인증, 데이터베이스 이용내역, 인증토큰, 표준JDBC

Description

표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법 { Database access authority identification certification through standard jdbc extension and the method that embodies utilization details identification }
본 발명은 데이터베이스와 통신하는 표준JDBC 확장을 통해 정보시스템에서 데이터베이스 커넥션 및 질의시 인가된 정보사용자 여부를 확인하여 데이터베이스 접근을 허용하고, 이용내역을 정보사용자의 식별정보를 포함하여 기록하므로써 정보유출 및 오남용을 예방하기 위한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 방법이다.
본 발명은 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 방법으로, 사용자 및 정보시스템 권한을 담당하는 웹 어플리케이션서버 영역에서 통합인증(SSO)체계를 우회한 데이터베이스 불법접근을 예방하기 위한 것으로 중요(개인)정보가 포함된 데이 터베이스 커넥션(Connection) 및 질의(Query)시 데이터베이스 통신영역(JDBC)에서 사용자 및 정보시스템의 권한여부 검증을 통해 접근권한을 통제함으로서 비인가자의 데이터베이스 접근을 예방할 수 있으며, 정보사용자 및 정보시스템의 식별정보를 이용내역에 포함하여 기록함으로서 이용내역 책임을 규명할 수 있는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 방법이다.
현행 3-Tier(티어) 구조의 웹 기반 정보시스템의 데이터베이스 접근권한 인증 방법은 미들웨어인 웹 어플리케이션 서버(Web Application Server, WAS)가 데이터베이스(DataBase, DB)에 접속할 수 있는 일정 수의 커넥션을 미리 생성해놓고 필요로 하는 시점에 정보시스템(웹 어플리케이션)에 할당하고 반환하는 데이터베이스 커넥션 풀(DB Connection Pool)을 이용하여 데이터베이스 접근을 관리한다. 그래서 사용자가 정보시스템에 로그인(인증서 or ID/PW)하면 WAS의 응용계층에서 통합인증(Single Sign On, SSO)체계에게 사용자 신원을 확인하고 권한관리를 담당하는 EAM(Extranet Access Management, EAM) 또는 인증데이터(DB Table)에게 업무 권한 여부를 확인하여 통합메뉴를 구성하여 데이터베이스 접근권한을 간접적으로 관리한다.
그러나 데이터베이스 접근권한 인증은 데이터베이스 차원의 필수적인 권한관리와 정보이용 책임규명을 위해 WAS 영역에서 인증된 사용자정보(인 증서 or ID)가 데이터베이스관리시스템(DataBase Management System, DBMS) 서버에 전달되고 해석과정(권한확인)을 거쳐 이용내역(Audit Log)이 DBMS에 생성되고 임의적인 접근이 불가능한 형태로 관리됨이 핵심이다. 하지만 웹 기반 정보시스템 구조는 WAS를 비롯한 다양한 웹 S/W를 설치하고 DBMS는 외산을 도입하여 구성하는 경우가 대다수로 S/W간의 호환성 문제로 사용자 식별정보(인증서 or ID)가 데이터베이스에 전달되지 못하기 때문에, 데이터베이스는 정당한 정보사용자 및 정보시스템이 데이터베이스 커넥션 및 질의(Query) 활동을 하는지를 파악할 수 없어 사용자 위장을 통한 SQL Injection 공격, Session Hijacking 등 웹 서비스 인증체계 공격, 정상적인 활동을 방해하는 서비스거부(DoS)공격, 사용자와 웹사이트의 신뢰성을 역이용하는 Contents Spoofing공격 등과 같은 불법 행위가 기승을 부리고 있다.
또한 3티어(Tier) 구조의 웹 기반 정보시스템에서는 정보사용자의 데이터베이스 접근권한 인증을 데이터베이스가 아닌 웹 어플리케이션서버(WAS)가 담당하므로서 WAS를 우회한 정보유출 등이 기승을 부리고 있다. 그래서 미들웨어 영역에서 인증 받은 사용자 정보(인증서DN or ID)가 데이터베이스에 전달되고 권한확인 과정을 거쳐 실사용자별로 데이터베이스에서 권한관리가 이루어지지 않고 응용프로그램에 의존하여 이루어지고 있는게 인터넷 서비스의 데이터베이스 접근권한인증체계의 현실이다.
도 1은 종래 일반적인 웹 기반 정보시스템의 데이터베이스 활용체계 및 인증체계 부재를 설명하기 위한 개념도이다. 도시한 바와 같이 현행 웹 기반 정보시스템은 데이터베이스의 효율적 활용과 접속 시 발생하는 오버헤드(overhead)를 줄이기 위해 웹 어플리케이션 서버(Web Application Server)를 통해 미리 데이터베이스 커넥션 풀Connection Pool)을 생성한다. 커넥션 풀은 어플리케이션에서 커넥션을 필요로하는 시점에서 커넥션을 만드는 것이 아니라, 미리 일정 수의 커넥션을 생성하여 데이터 서비스를 지원하고 사용자 통제를 위한 사용자 인증은 사용자가 로그인(인증서 or ID)하면 통합인증(SSO)체계로부터 사용자 신원을 확인하고, 권한관리는 EAM 또는 별도의 인증데이터(DB Table)를 통해 정보시스템의 사용권한만을 확인하여 통합메뉴를 구성하는 방법으로 데이터베이스 접근권한을 간접 인증하고 있다. 그래서 데이터베이스관리시스템 차원의 필수적인 권한관리가 불가능하여 웹 어플리케이션 영역이 해킹과 같은 불법행위에 노출되거나 웹S/W를 통해 데이터베이스에 직접 접근하면 데이터베이스는 무방비 상태가 된다.
도 2는 종래 웹 기반 정보시스템의 이용내역 실효성 저해 요인을 설명하기 위한 개념도이다. 도시한 바와 같이 데이터베이스관리시스템 차원 최소한의 권한관리 및 책임규명을 위해 WAS에서 인증된 사용자정보(인증서 or ID)가 데이터베이스관리시스템에 전달되고 해석과정을 거쳐 이용내 역(Audit Log)이 데이터베이스관리시스템에 생성되는 것이 데이터베이스 보안의 기본요건 임에도 현행 웹 환경의 사용자인증(SSO)체계의 적용범위가 WAS영역에 한정되고, 대다수 웹S/W 기술요소(WAS 등 웹S/W ~ DBMS)간 호환성 부재로 사용자정보(인증서 or ID)가 전달(해석)조차 되고 있지 않아 데이터베이스 로그(Audit Log)를 통한 불법행위 감시 및 사후 정보감사가 불가능한 실정이다. 그래서 현행 데이터베이스 로그(Audit Log)로는 인터넷서비스에서 해킹 등 불법행위가 발생하여도 정보유출 등에 의한 피해가 가시화되기 전에는 인지 자체가 불가능한 실정이다.
최근 제2금융권 은행7곳 등 274개 기관(기업)의 데이터베이스를 해킹하여 970여만건의 개인정보를 유출한 사건은 고객 개인정보가 해킹 등 불법행위에 노출되어 유출되었는데도 1년이 넘도록 제2금융권을 포함한 약 274여 곳의 관리기관 및 기업에서는 인지조차 못하고 있다가 해커가 금품을 요구하여 적발되고 수사기관의 사실관계 확인과정에서 인지가 가능한 것도 웹 서비스의 보안 취약성을 입증해주고 있다.
도 3은 종래 일반적인 웹 기반 정보시스템체계의 해킹 위협요인을 설명하기 위한 개념도이다. 도시한 바와 같이 웹을 지원하는 웹 어플리케이션 서버(Web Application Server : WAS) 및 데이터베이스관리시스템 서버가 물리적으로 보안영역에 위치하더라도 WAS에서 실행되는 정보시스템(웹 어플리케이션)은 HTML기능(Html Script)과 내부기능(Class Call)이 공존하 여, 기능의 일부가 서비스영역(인터넷은 외부)에 노출되므로 SQL Injection, XSS(Cross Site Scripting) 공격에 취약하다. 이런 취약점들은 사용자영역(PC Browser)을 복합적으로 공격하여 소기의 목적을 달성하는 경우가 대다수로 웹사이트 측면의 보안 강화로는 한계가 있어, 정보시스템(jsp 등)을 해킹하면 인증 및 권한관리체계를 쉽게 우회하여 데이터베이스 접속 class을 호출, 무단으로 데이터베이스를 활용하더라도 현행 네트워크보안솔루션(FireWall, IDS, IPS)으로는 역부족이고 DB보안 솔루션은 관리자의 무분별한 정보접근 통제가 주된 기능으로 데이터베이스 차원에서 요구되는 보안기능(Database Connection Pool 통제)을 충족할 수 없어 데이터베이스관리시스템은 보안위협에 무방비 상태이다. 그래서 근래에는 취약점을 악용한 불법행위가 만연하고 있는 현실이다. 또한 취약점을 가중시키는 또 다른 요인은 WAS 등 웹S/W(UI Tool, Reporting Tool 등)와 데이터베이스 접속을 위해 해당 데이터베이스에서 무한권한을 갖는 DB접속계정을 공유하며 도4에 도시한 바와 같이 웹 S/W별로 환경파일에 각각 관리함으로써 무분별하게 데이터베이스 접속이 이루어지고 있다. 그래서 비밀번호 변경조차 불가능한 DB접속계정은 경미한 웹사이트 취약성에도 쉽게 악용되어 사용자 흔적이 남지 않는 무한권한의 비밀통로(Back Door)로 해킹의 수단이 되고 있다.
이러한 문제점을 해결하기 위해서는 데이터베이스 접근권한 통제를 기존 WAS영역의 데이터베이스와 통신하는 표준JDBC가 상속하는 JDK의 SQL 기능을 확장하여 데이터베이스 커넥션 및 질의(Query)시 통신영역에서 사용자 및 정보시스템의 권한여부를 확인함으로써 실사용자별로 통제수단 확보가 가능하고 실명화된 이용내역을 기록함으로써 불법행위의 사전감시 및 사후감사체계로 해킹을 예방할 수 있다.
이에 본 발명은 상기와 같은 종래의 제반 문제점을 해결하기 위해 제안된 것으로, 본 발명의 목적은 웹 기반 정보시스템에서 데이터베이스와 통신을 위해 사용하는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 책임 규명 구현에 관한 방법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 일 실시예에 의한 웹 기반 정보시스템 환경에서 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구축 방법은,
레거시DB의 접근권한을 가진 정보사용자 식별정보(인증서DN 및 ID) 및 로그인 시 사용되어지는 정보시스템의 식별정보(클래스ID), DB접속권한정보(DB접속계정 및 비밀번호), 이용내역 기록여부 정보를 별도의 리포지토리에 구축하는 제 1 단계와; 상기 제 1 단계 후 중요(개인)정보가 포함된 정보시스템 서비스를 시작하기 전 사용자 및 정보시스템 권한 여부를 검증하기 위해 리포지토리로 접속하여 권한을 확인하는 제 2 단계와; 상기 제 2 단계 후 리포지토리에서 인증된 사용자 및 정보시스템이면 사용자 및 정보시스템 식별정보, 이용내역 기록여부, 웹 어플리케이션서버 영역에서 사용자에게 발행한 사용자세션정보를 포함하여 웹 어플리케이션 서버 메모리 영역에 인증토큰을 발행하는 제 3 단계와; 상기 제 3 단계 후 레거시DB와 통신을 위해 웹 어플리케이션 서버 영역에 세팅하는 표준JDBC가 상속하는 JDK의 SQL 기능을 확장하여 커넥션 및 질의 시 사용하는 메소드를 통해 웹 어플리케이션 서버에서 인증한 사용자세션정보와 정보시스템의 식별정보(클래스ID)를 구해 서 전달하면 데이터베이스와 통신하는 영역(JDBC)에서 웹 어플리케이션서버 영역의 인증토큰에 포함된 사용자세션정보 및 정보시스템의 식별정보 대조를 통해 데이터베이스 접근을 인증하는 제 4단계와; 상기 제 4 단계 후 커넥션 및 질의 결과값을 인증토큰에 포함된 정보사용자 및 정보시스템의 식별정보를 리포지토리에 기록하여 이용내역을 생성하는 제 5 단계;를 포함하여 수행함을 그 기술적 구성상의 특징으로 한다.
이하, 상기와 같은 본 발명, 표준 JDBC를 활용한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 구축 방법의 기술적 사상에 따른 일 실시예를 도면을 참조하여 설명하면 다음과 같다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서, 이는 사용자, 운용자의 의도 또는 판례 등에 따라 달라질 수 있으며, 이에 따라 각 용어의 의미는 본 명세서 전반에 걸친 내용을 토대로 해석되어야 할 것이다.
도 5는 본 발명의 일 실시예에 의한 인터넷 서비스 환경에서 표준 JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현을 설명하기위한 개념도이다.
이에 도시된 바와 같이, 정보사용자(10)의 식별정보(인증서DN or ID) 및 중요(개인)정보가 포함된 정보시스템(21)의 식별정보(클래스ID)와 레거시DB 접속정보인 DB접속권한정보(DB접속계정 및 비밀번호), 이용내역 기록여부를 별도의 리포지토리에 구축하여 레거시DB(40)의 접근권한을 관리한다. 웹 어플리케이션서버(20)는 기동시 리포지토리에(30)에 접속하여 DB접속권한정보를 획득하여 일반적인 정보서비스를 제공하고 사용자가 중요(개인)정보 콘텐츠가 포함된 정보시스템 이용시에는 리포지토리(30)로 접속한다. 리포지토리(30)는 사용자(10) 및 정보시스템(21) 권한 여부를 확인한 후, 인가된 사용자이면 레거시DB(40)에 접근 할 수 있는 인증토큰(31)에 웹 어플리케이션 서버에서 발행한 사용자세션정보, 사용자 및 정보시스템의 식별정보, 이용내역 기록여부를 포함하여 웹 어플리케이션서버 메모리영역에 발행하여 레거시DB의 중요(개인)정보 커넥션 및 질의(Query) 시 사용하는 메소드를 통해 웹 어플리케이션서버에서 인증한 사용자세션정보와 정보시스템의 식별정보(클래스ID)를 구하여 전달하면 데이터베이스와 통신하는 영역(32)에서 인증토큰(31)에 포함된 사용자세션정보와 정보시스템 식별정보를 대조하여 데이터베이스 접근권한을 통제한다. 또한 데이터 질의 결과값에 인증토큰(31)에 포함된 사용자 및 정보시스템 식별정보를 포함시켜 이용내역을 리포지토리에 생성하는 방법이다.
이상에서 살펴본 바와 같이, 본 발명에 의한 웹기반 정보시스템에서 데이터베이스와 통신하는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 책임 규명 구현 구축 방법은 개인정보 및 중요정보가 포함된 정보 서비스 시 적격한 정보사용자 및 정보시스템인지 재 검증함으로써 웹어플리케이션 서버 영역에서 통합인증(SSO)체계를 우회한 부적 격한 정보사용자 및 정보시스템의 데이터베이스 접근을 예방할 수 있으며, 사용자 및 정보시스템 식별정보를 이용내역에 포함함으로서 이용내역을 규명할 수 있으므로 이용내역 책임 소재를 명확하게 할 수 있다.
이상에서 본 발명의 바람직한 실시예에 한정하여 설명하였으나, 본 발명은 이에 한정되지 않고 다양한 변화와 변경 및 균등물을 사용할 수 있다. 따라서 본 발명은 상기 실시예를 적절히 변형하여 응용할 수 있고, 이러한 응용도 하기 특허청구범위에 기재된 기술적 사상을 바탕으로 하는 한 본 발명의 권리범위에 속하게 됨은 당연하다 할 것이다.
현행 3-Tier(티어) 구조의 웹 기반 정보시스템의 데이터베이스 접근권한 인증 방법은 미들웨어인 웹 어플리케이션 서버(Web Application Server, WAS)가 데이터베이스(DataBase, DB)에 접속할 수 있는 일정 수의 커넥션을 미리 생성해놓고 필요로 하는 시점에 정보시스템(웹 어플리케이션)에 할당하고 반환하는 데이터베이스 커넥션 풀(DB Connection Pool)을 이용하여 데이터베이스(DB) 접근을 관리한다. 그래서 사용자가 정보시스템에 로그인(인증서 or ID/PW)하면 WAS의 응용계층에서 통합인증(Single Sign On, SSO)체계에게 사용자 신원을 확인하고 권한관리를 담당하는 EAM(Extranet Access Management, EAM) 또는 인증데이터(DB Table)에게 업무 권한 여부를 확인하여 통합메뉴를 구성하여 데이터베이스 접근권한을 간접적으로 관리한다.
그러나 데이터베이스 접근권한 인증은 데이터베이스 차원의 필수적인 권한관리와 정보이용 책임규명을 위해 WAS 영역에서 인증된 사용자정보(인증서 or ID)가 데이터베이스관리시스템(DataBase Management System, DBMS) 서버에 전달되고 해석과정(권한확인)을 거쳐 이용내역(Audit Log)이 DBMS에 생성되고 임의적인 접근이 불가능한 형태로 관리됨이 핵심이다. 하지만 웹 기반 정보시스템 구조는 WAS를 비롯한 다양한 웹 S/W를 설치하고 DBMS는 외산을 도입하여 구성하는 경우가 대다수로 S/W간의 호환성 문제로 사용자 식별정보(인증서 or ID)가 데이터베이스에 전달되지 못하기 때문에, 데이터베이스는 정당한 정보사용자 및 정보시스템이 데이터베이스 커넥션 및 질의(Query) 활동을 하는지를 파악할 수 없어 사용자 위장을 통한 SQL Injection 공격, Session Hijacking 등 웹 서비스 인증체계 공격, 정상적인 활동을 방해하는 서비스거부(DoS)공격, 사용자와 웹사이트의 신뢰성을 역이용하는 Contents Spoofing공격 등과 같은 불법 행위가 기승을 부리고 있다.
도 1은 종래 일반적인 웹 기반 정보시스템의 데이터베이스 활용체계 및 인증체계 부재를 설명하기 위한 개념도이다.
도 2는 종래 웹 기반 정보시스템의 이용내역 실효성 저해 요인을 설명하기 위한 개념도이다.
도 3은 종래 일반적인 웹 기반 정보시스템체계의 해킹 위협요인을 설명하기 위한 개념도이다.
도 4는 종래 데이터베이스 접속을 위한 환경파일 관리 취약점을 설명하기 위한 개념도이다.
도 5는 본 발명의 일 실시예에 의한 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현을 설명하기 위한 개념도이다.
<도면의 주요 부분에 대한 부호의 설명>
10 : 정보사용자
20 : WAS(Web Application Server)
21 : 정보시스템(웹 어플리케이션)
22 : 데이터베이스 커넥션 풀(Database Connection Pool)
30 : 리포지토리
31 : 인증토큰
32 : JDBC
40 : 레거시DB(업무용DB)

Claims (1)

  1. 레거시DB의 접근권한을 가진 정보사용자 식별정보(인증서DN 및 ID) 및 로그인 시 사용되어지는 정보시스템의 식별정보(클래스ID), DB접속권한정보(DB접속계정 및 비밀번호), 이용내역 기록여부 정보를 별도의 리포지토리에 구축하는 제 1 단계와;
    상기 제 1 단계 후 중요(개인)정보가 포함된 정보시스템 서비스를 시작하기 전 사용자 및 정보시스템 권한 여부를 검증하기 위해 리포지토리로 접속하여 권한을 확인하는 제 2 단계와;
    상기 제 2 단계 후 리포지토리에서 인증된 사용자 및 정보시스템이면 사용자 및 정보시스템 식별정보, 이용내역 기록여부, 웹 어플리케이션서버 영역에서 사용자에게 발행한 사용자세션정보를 포함하여 웹 어플리케이션 서버 메모리 영역에 인증토큰을 발행하는 제 3 단계와;
    상기 제 3 단계 후 레거시DB와 통신을 위해 웹 어플리케이션 서버 영역에 세팅하는 표준JDBC가 상속하는 JDK의 SQL 기능을 확장하여 커넥션 및 질의 시 사용하는 메소드를 통해 웹 어플리케이션 서버에서 인증한 사용자세션정보와 정보시스템의 식별정보(클래스ID)를 구해 서 전달하면 데이터베이스와 통신하는 영역(JDBC)에서 웹 어플리케이션서버 영역의 인증토큰에 포함된 사용자세션정보 및 정보시스템의 식별정보 대조를 통해 데 이터베이스 접근을 인증하는 제 4단계와;
    상기 제 4 단계 후 커넥션 및 질의 결과값을 인증토큰에 포함된 정보사용자 및 정보시스템의 식별정보를 리포지토리에 기록하여 이용내역을 생성하는
    제 5 단계;를 포함하여 구성된 것을 특징으로 하는 표준JDBC 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현에 관한 방법
KR1020080088112A 2008-09-08 2008-09-08 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법 Ceased KR20080098337A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080088112A KR20080098337A (ko) 2008-09-08 2008-09-08 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080088112A KR20080098337A (ko) 2008-09-08 2008-09-08 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법

Publications (1)

Publication Number Publication Date
KR20080098337A true KR20080098337A (ko) 2008-11-07

Family

ID=40285875

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080088112A Ceased KR20080098337A (ko) 2008-09-08 2008-09-08 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법

Country Status (1)

Country Link
KR (1) KR20080098337A (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100926075B1 (ko) * 2009-04-13 2009-11-11 주식회사 신시웨이 웹어플리케이션 서버를 통한 데이터베이스 접근 감시 장치 및 방법
WO2011031093A3 (ko) * 2009-09-10 2011-06-03 주식회사 파수닷컴 가상화 기술을 이용한 디지털 저작권 관리 장치 및 방법
KR101510475B1 (ko) * 2008-11-12 2015-04-08 에스케이커뮤니케이션즈 주식회사 레거시 시스템에 대한 통합 인증 방법 및 통합 인증 시스템
WO2016032233A3 (ko) * 2014-08-27 2016-04-14 주식회사 파수닷컴 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트, 보안 정책 서버
US10404460B2 (en) 2014-08-27 2019-09-03 Fasoo. Com Co., Ltd Data management method, computer readable recording medium thereof, user client for executing data management method, and security policy server
KR20200021123A (ko) * 2018-08-20 2020-02-28 주식회사 디지캡 미디어 블록체인을 위한 접근제어 시스템 및 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101510475B1 (ko) * 2008-11-12 2015-04-08 에스케이커뮤니케이션즈 주식회사 레거시 시스템에 대한 통합 인증 방법 및 통합 인증 시스템
KR100926075B1 (ko) * 2009-04-13 2009-11-11 주식회사 신시웨이 웹어플리케이션 서버를 통한 데이터베이스 접근 감시 장치 및 방법
WO2011031093A3 (ko) * 2009-09-10 2011-06-03 주식회사 파수닷컴 가상화 기술을 이용한 디지털 저작권 관리 장치 및 방법
US8955150B2 (en) 2009-09-10 2015-02-10 Fasoo.Com Co. Ltd. Apparatus and method for managing digital rights using virtualization technique
WO2016032233A3 (ko) * 2014-08-27 2016-04-14 주식회사 파수닷컴 데이터 관리 방법, 이를 위한 컴퓨터 프로그램, 그 기록매체, 데이터 관리 방법을 실행하는 사용자 클라이언트, 보안 정책 서버
US10404460B2 (en) 2014-08-27 2019-09-03 Fasoo. Com Co., Ltd Data management method, computer readable recording medium thereof, user client for executing data management method, and security policy server
KR20200021123A (ko) * 2018-08-20 2020-02-28 주식회사 디지캡 미디어 블록체인을 위한 접근제어 시스템 및 방법

Similar Documents

Publication Publication Date Title
CN109787988B (zh) 一种身份加强认证和鉴权方法及装置
KR101648521B1 (ko) 스마트 카드들로의 브라우저-기반의 액세스에 보안을 제공하는 시스템 및 방법
US8555075B2 (en) Methods and system for storing and retrieving identity mapping information
JP6426189B2 (ja) 生体認証プロトコル標準のためのシステムおよび方法
US7272728B2 (en) Network security and fraud detection system and method
JP2686218B2 (ja) コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム
US9087183B2 (en) Method and system of securing accounts
Hur et al. A survey on security issues, vulnerabilities and attacks in Android based smartphone
KR20060032888A (ko) 인터넷 통한 신원정보 관리 장치 및 이를 이용한 서비스제공방법
KR20080098337A (ko) 표준jdbc 확장을 통한 데이터베이스 접근권한 실명화 인증 및 이용내역 실명화 구현 방법
Le et al. A comparative cyber risk analysis between federated and self-sovereign identity management systems
CN101324913A (zh) 计算机文件保护方法和装置
US8261328B2 (en) Trusted electronic communication through shared vulnerability
EP1989815A2 (en) A method for serving a plurality of applications by a security token
CN116541819A (zh) 一种双因子可溯源身份验证方法及系统
Sagar et al. Information security: safeguarding resources and building trust
KR20110110964A (ko) 서비스 잠금 기능을 제공하는 방법 및 그 서버
CN117914601B (zh) 档案机器人的多级安全认证及访问控制系统
US20250168160A1 (en) Centralized profile for verification without compromise
CN114006699B (zh) 一种零信任架构中证书颁发方法
CA2650374A1 (en) Secure user environment software
Bolgouras et al. Enabling qualified anonymity for enhanced user privacy in the digital era
Sharif Analysis of Best Current Practices to Assist Native App Developers with Secure OAuth/OIDC Implementations
Rescorla et al. Age Assurance Online
KR101502800B1 (ko) 권리자 식별정보가 기록된 디지털 시스템, 응용 시스템, 및 서비스 시스템

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20080908

PA0201 Request for examination
G15R Request for early publication
PG1501 Laying open of application

Comment text: Request for Early Opening

Patent event code: PG15011R01I

Patent event date: 20081020

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20100531

Patent event code: PE09021S01D

E601 Decision to refuse application
PE0601 Decision on rejection of patent

Patent event date: 20100812

Comment text: Decision to Refuse Application

Patent event code: PE06012S01D

Patent event date: 20100531

Comment text: Notification of reason for refusal

Patent event code: PE06011S01I