KR20140084217A - 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템 - Google Patents

제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템 Download PDF

Info

Publication number
KR20140084217A
KR20140084217A KR1020147013401A KR20147013401A KR20140084217A KR 20140084217 A KR20140084217 A KR 20140084217A KR 1020147013401 A KR1020147013401 A KR 1020147013401A KR 20147013401 A KR20147013401 A KR 20147013401A KR 20140084217 A KR20140084217 A KR 20140084217A
Authority
KR
South Korea
Prior art keywords
party application
access
security management
centralized security
authorization
Prior art date
Application number
KR1020147013401A
Other languages
English (en)
Inventor
지유안 후
지강 루오
용겐 완
Original Assignee
알까뗄 루슨트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 알까뗄 루슨트 filed Critical 알까뗄 루슨트
Publication of KR20140084217A publication Critical patent/KR20140084217A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Storage Device Security (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 방법, 적어도 하나의 권한 부여 서버, 적어도 하나의 리소스 서버, 사용자 프록시, 제3자 애플리케이션 및 중앙집중 보안 관리 시스템을 포함하는 시스템 및 통신 시스템 제공하는 것으로, 제3자 애플리케이션의 중앙집중 보안 관리 시스템은 제3자 애플리케이션의 보안을 유효화하고 그것을 디지털식으로 서명하는 것을 담당하고, 중앙집중 보안 관리 시스템이 제3자 애플리케이션을 인증할 수 있는 인증 증명서를 발행한다. 상기 방법은, 제3자 애플리케이션에 의해, 자신의 아이덴티티, 인증 증명서 및 액세스 승인을 중앙집중 보안 관리 시스템에 구별가능한 방식으로 전송하는 단계; 중앙집중 보안 관리 시스템에 의해, 제3자 애플리케이션을 성공적으로 인증한 후, 아이덴티티 및 액세스 승인을 권한 부여 서버로 전달하는 단계; 및 권한 부여 서버에 의해, 액세스 승인이 유효하면, 중앙집중 보안 관리 시스템을 통해 보호된 리소스들을 액세스하기 위한 액세스 토큰을 제3자 애플리케이션에 발행하는 단계를 포함한다.

Description

제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템{CENTRALIZED SECURITY MANAGEMENT METHOD AND SYSTEM FOR THIRD PARTY APPLICATION AND CORRESPONDING COMMUNICATION SYSTEM}
본 발명은 통신에 관한 것으로, 특히, 사용자의 보호된 리소스들을 액세스하기 위해 제3자 애플리케이션/클라이언트에 대한 중앙집중 보안 관리를 수행하기 위한 기술에 관한 것이다.
현재 인터넷 서비스들의 통합은 불가피한 동향이 되었다. 사용자들에게 보다 나은 서비스를 제공하기 위해, 많은 서비스 제공자들은 제3자 애플리케이션/클라이언트들이 "오픈 네트워크 API(Application Programming Interface)"를 유발함으로써 사용자들에게 더 많은 애플리케이션을 제공하게 할 수 있다. 오픈 플랫폼의 핵심 문제는 사용자 인증, 권한 부여 및 제3 자 애플리케이션/클라이언트가 오픈 네트워크 API를 안전하게 사용해야 한다는 점이다. 사용자에 대해, 그는 제3자가, 당사자 간에 강한 신뢰관계가 있지 않은 한, 자신의 사용자 이름 및 패스워드를 직접 사용하여 사용자 보호 네트워크 리소스들을 액세스할 수 있는 것을 일반적으로 원하지 않는다. OAuth(Oepn Authorization; 오픈 승인) 프로토콜은 서비스들의 통합동안 "인증 및 권한 부여"의 근본적인 문제를 해결할 목적으로 제시되어 있다.
IETF(즉, Internet Engineering Task Force)에 의해 개발된 OAuth 프로토콜은, 제3자 애플리케이션/클라이언트에게 리소스들의 소유자를 나타냄으로써 보호된 리소스들에 액세스하는 방법을 제공하는 현재 국제적으로 일반적인 권한 부여 방식이다. 보호된 리소스들을 액세스하기 전에, 제3자 애플리케이션/클라이언트는 리소스들의 소유자로부터 권한 부여, 즉, 액세스 승인(액세스 승인은 리소스들의 소유자에 의해 제공되는 권한 부여를 나타내고, 그의 유형은 제3자 애플리케이션/클라이언트에 의해 사용되는 획득 방식 및 권한 부여 서버에 의해 지원되는 방식에 의존함)을 우선적으로 획득하고, 다음에 액세스 에이전트와 (액세스 승인의 액션 범위, 지속 기간 및 다른 속성들을 나타내는) 액세스 토큰을 교환해야 한다. 제3자 애플리케이션/클라이언트는 리소스 서버에 액세스 토큰을 보여줌으로써 보호된 리소스들을 액세스한다.
OAuth 프로토콜의 새로운 버전인 OAuth2.0은 구현을 원리적으로 간소화시키고, 더 많은 액세스 형태를 지원한다; 예를 들면, "웹 애플리케이션, 데스크톱 애플리케이션, 모바일 단말기, 홈 디바이스" 등을 동시에 지원한다. OAuth2.0은 사용자로 하여금, 자신들의 장기간 인증 또는 심지어 자신들의 아이덴티티를 드러낼 필요없이, 제3자 애플리케이션/클라이언트가 사용자의 보호된 리소스들에 액세스하는 것을 승인하게 할 수 있다. 이 방식에서, 사용자 민감 정보의 프라이버시가 보호될 수 있다.
이러한 목적을 위해, 서비스 제공자들은 사용자들의 리소스들을 관리하고,
- 사용자들의 관리;
- 제3자 애플리케이션/클라이언트의 관리;
- 제3자 애플리케이션/클라이언트가 액세스 토큰을 적용하는 액세스 승인을 발행(IETF OAuth2.0의 정의 참조);
- 권한 부여 서버와 사용자 간의 상호 인증;
- 권한 부여 서버와 제3자 애플리케이션/클라이언트 간의 상호 인증;
- 액세스 승인의 유효화; 및
- 제3자 애플리케이션/클라이언트가 사용자들의 보호된 리소스들을 액세스할 수 있는 액세스 토큰을 발행
하는 것을 담당하는 IETF OAuth2.0에 정의된 권한 부여 서버를 구축해야한다.
도 1은 IETF OAuth2.0에 따른 시스템 및 워크플로우를 개략적으로 도시한다.
도 1에 도시된 워크플로우는 다음과 같다:
1. 제3자 애플리케이션/클라이언트가 리소스 서버에 저장된 사용자의 보호된 리소스들을 액세스할 예정이다;
2. 리소스 서버는, 제3자 애플리케이션/클라이언트가 유효한 액세스 토큰을 갖지 않은 것을 발견한 다음, 사용자의 권한 부여를 얻기 위해 제3자 애플리케이션/클라이언트를 사용자 에이전트에게 리다이렉트한다;
3. 사용자가 승인 액세스로 제3자 애플리케이션/클라이언트에게 권한을 부여하기 전에, 사용자는 권한 부여 서버에 의해 권한을 부여받아야하고, 사용자는 권한 부여 서버에게 동시에 권한을 부여할 필요가 있을 수 있다;
4. 권한 부여 서버는 사용자 에이전트를 통해 승인 액세스를 제3자 애플리케이션/클라이언트에게 전송한다;
5. 제3자 애플리케이션/클라이언트는 액세스 토큰을 적용하기 위해 아이덴티티, 승인 액세스 및 자신의 인증 증명서를 권한 부여 서버에 제출한다;
6. 권한 부여 서버와 제3자 애플리케이션/클라이언트 간의 상호 인증 후, 그리고, 승인 액세스를 유효화한 후, 권한 부여 서버는 액세스 토큰을 제3자 애플리케이션/클라이언트에게 발행한다.
7. 제3자 애플리케이션/클라이언트는 사용자들의 리소스들을 액세스하기 위해 액세스 토큰을 리소스 서버에 제출한다.
8. 액세스 토큰이 유효하면, 리소스 서버는 제3자 애플리케이션/클라이언트에 대한 데이터 응답한다.
그러나, IETF OAuth2.0은 일부 대규모 서비스 제공자들이 (아이덴티티, 인증, 인증 증명서 관리 등과 같은) 자신들에 의한 제3자 애플리케이션/클라이언트의 관리를 제공할 수 있기 때문에 그들에게만 매우 유익하다. 그러나, 제3자 애플리케이션/클라이언트를 관리하기에 너무 많은 비용이 들기 때문에 소규모 또는 중간 서비스 제공자들이 이것을 행하기에는 쉽지 않다. 더욱이, 대규모 서비스 제공자들은 그들이 개별 리소스 서버들을 내부적으로 갖는다면 제3자 웹 사이트 및 애플리케이션/클라이언트를 관리하기 위해 중첩된 컴포넌트들을 개발하고 배치해야 한다.
더욱이, 제3자 애플리케이션/클라이언트가 많아짐에 따라 - 그들 중 일부는 개인들에 의해 개발되고 제공될 수 있음 -, 공격자들이 악성 네트워크 API를 개발하여 네트워크 API를 오용함으로써 불법적으로 사용자의 리소스들을 액세스할 가능성이 있다. 따라서, 모든 제3자 애플리케이션/클라이언트가 사용자들의 보호된 리소스들을 액세스할 수 있기 전에 그들이 보안성이 있고 신뢰를 갖게 되는 것을 보장하는 것은 용이하지 않다.
종래 기술의 상기 결점들을 해결하기 위해, 본 발명의 제1 양상에 따라, 본 발명은 리소스 서버에 저장된 사용자 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 방법을 제공한다. 상기 방법에 따라, 중앙집중 관리를 위한 제3자 애플리케이션의 중앙집중 보안 관리 시스템은 제3자 애플리케이션의 보안을 유효화하고 제3자 애플리케이션을 발행하기 전에 제3자 애플리케이션을 디지털식으로 서명하는 것을 담당하고, 중앙집중 보안 관리 시스템이 제3자 애플리케이션을 인증할 수 있는 인증 증명서(authentication credential)를 발행한다. 상기 방법은, 제3자 애플리케이션에 의해, 자신의 아이덴티티, 인증 증명서 및 액세스 승인을 상기 중앙집중 보안 관리 시스템에 구별가능한 방식으로 전송하는 단계; 중앙집중 보안 관리 시스템에 의해, 제3자 애플리케이션을 성공적으로 인증한 후, 액세스 승인을 권한 부여 서버로 전달하는 단계; 및 권한 부여 서버가 액세스 승인을 유효한 것으로 성공적으로 인증하면, 중앙집중 보안 관리 시스템을 통해 사용자의 보호된 리소스들을 액세스하기 위한 액세스 토큰을 권한 부여 서버에 의해 제3자 애플리케이션에 발행하는 단계를 포함한다.
본 발명의 또 다른 양상에 따라, 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템으로서, 상기 시스템은, 제3자 애플리케이션에 의해 구별가능한 방식으로 전송된 제3자 애플리케이션의 아이덴티티, 인증 증명서 및 액세스 승인을 수신하기 위한 제1 수신 디바이스; 아이덴티티, 인증 증명서 및 액세스 승인을 수신한 후, 아이덴티티 및 인증 증명서를 이용하여 제3자 애플리케이션을 인증하기 위한 제1 인증 디바이스; 제3자 애플리케이션을 성공적으로 인증한 후, 상기 제3자 애플리케이션의 액세스 승인을 권한 부여 서버로 전달하기 위한 제1 전달 디바이스; 및 권한 부여 서버에 의해 발행된 액세스 토큰을 제3자 애플리케이션으로 전달하기 위한 제2 전달 디바이스를 포함한다.
바람직하게, 본 발명에 따른 시스템은, 개인 개발자 또는 서비스 제공자에 의해 개발되고 디지털 서명을 위해 개인 개발자 또는 서비스 제공자의 개인 키들을 이용하는 제3자 애플리케이션을 수신하기 위한 제2 수신 디바이스; 개인 개발자 또는 서비스 제공자에 의해 개발된 디지털 인증서를 이용하여 제2 수신 디바이스에 의해 수신된 제3자 애플리케이션의 디지털 서명을 인증하기 위한 제2 인증 디바이스; 제2 인증 디바이스의 성공적인 인증 후 제3자 애플리케이션이 악성 코드 또는 바이러스를 포함하는지 여부를 검출하기 위한 안전 체크 디바이스; 제3자 애플리케이션을 성공적으로 안전 체크한 후 시스템의 개인 키들을 이용하여 제3자 애플리케이션을 디지털식으로 서명하기 위한 디지털 서명 디바이스; 제3자 애플리케이션에 대한 아이덴티티, 인증 증명서 및 관련 속성들의 균일한 배포의 관리를 위한 제3자 애플리케이션 레지스트리 및 관리 디바이스; 및 모든 관련 디지털 인증서들의 생성, 발행 및 취소와 같은 균일한 관리를 위한 인증서 관리 디바이스를 더 포함한다.
본 발명의 또 다른 양상에 따라, 적어도 하나의 권한 부여 서버; 적어도 하나의 리소스 서버; 사용자 에이전트; 제3자 애플리케이션; 및 본 발명에 따라 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템을 포함하는 통신 시스템이 제공된다.
본 발명의 다른 특징, 목적 및 이점은 첨부 도면을 참조하여 다음에 이어지는 비제한적인 실시예의 상세한 설명을 읽음으로써 더 자명해 질 것이다.
도 1은 종래 기술의 IETF OAuth2.0에 따른 시스템 및 워크플로우를 개략적으로 도시한다.
도 2는 본 발명에 따라 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하기 위한 시스템 및 워크플로우를 개략적으로 도시한다.
도 3은 본 발명의 실시예에 따른 제3자 애플리케이션에 대한 중앙집중 보안 관리의 플로우차트이다.
도 4는 본 발명의 실시예에 따라 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하기 위한 시스템의 블록도이다.
본 발명의 기본적인 생각은 리소스 서버에 저장된 사용자들의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션/클라이언트에 대해 중앙집중 보안 관리를 수행하기 위한 것이다. 간소화를 위해, 다음의 텍스트에 있는 "제3자 애플리케이션/클라이언트"는 "제3자 애플리케이션"으로 지정될 것이다. 도 2는 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하기 위한 시스템 및 워크플로우를 개략적으로 도시한다. 도 2에 도시된 바와 같이, 도 1의 기존의 솔루션에 비해, 중앙집중 보안 관리 시스템이 부가되어 있다. 시스템은 다음의 기능들을 구비한다:
- 제3자 애플리케이션을 공식적으로 배포하기 전에,
◆ 개인 개발자 또는 서비스 제공자의 디지털 인증서를 이용하여 개인 개발자 또는 서비스 제공자의 키들을 통한 서명을 위해 제3자 애플리케이션을 인증함으로써 제3자 애플리케이션의 추적가능성을 보장;
◆ 제3자 애플리케이션이 (예를 들면, 안티-바이러스/안티-악성웨어를 체크하여) 보안성이 있는지 여부를 유효화;
◆ 서비스 제공자 또는 최종 사용자가 제3자 애플리케이션의 설치 전에 제3자 애플리케이션의 보안성, 인증 및 신뢰성을 검증할 수 있도록 제3자 애플리케이션을 자신의 키들로 서명;
◆ 인증을 위해 사용되는 제3자 애플리케이션에 대한 증명서(예를 들면, 인증서 또는 키)를 발행;
- 제3자 애플리케이션을 공식적으로 배포
- 제3자 애플리케이션이 사용자의 보호된 리소스들에 액세스하기 전에, 시스템은 다음의 기능을 갖는다:
◆ 중앙집중 보안 관리 시스템과 제3자 애플리케이션 간 상호 인증;
◆ 제3자 애플리케이션에 대한 아이덴티티 및 그의 인증 증명서의 관리.
도 1의 기존의 솔루션에 비해, 도 2의 제3자 애플리케이션은 그들의 아이덴티티, 인증 증명서 및 액세스 승인을 개별적으로 패킹(pack)하거나, 또는 아이덴티티, 인증 증명서 및 액세스 승인을 개별적으로 마킹(mark)하여, 본 출원에 따른 중앙집중 보안 관리 서버가 그들을 개별적으로 구별할 수 있도록 할 필요가 있을 수 있다.
도 2에서, 권한 부여 서버_1/리소스 서버_1, 권한 부여 서버_2/리소스 서버_2 및 권한 부여 서버_n/리소스 서버_n은:
◆ 상이한 소규모 및 중간 규모의 서비스 제공자, 또는
◆ 몇몇 리소스 서버를 개별적을 배치한 동일한 대규모 서비스 제공자에 속할 수 있다.
도 1의 기존 솔루션에 비해, 권한 부여 서버_i는 단계 5의 메시지가 제3자 애플리케이션으로부터 직접 오는 것인지 또는 단계 5에 도시된 바와 같이 중앙집중 보안 관리 시스템으로부터 오는 것인지를 구별해야 한다. 이러한 구별은, 예를 들면, 플래그를 통해 구현될 수 있다. 단계 5의 메시지가 제3자 애플리케이션으로부터 직접 오는 것이라면, 권한 부여 서버_i는 제3자 애플리케이션을 인증하고 액세스 승인을 유효화해야 한다; 단계 5의 메시지가 중앙집중 보안 관리 시스템에서 오는 것이라면, 권한 부여 서버_i는 액세스 승인을 단지 유효화해야 한다.
도 1의 기존 솔루션에 비해, 도 5의 워크플로우의 변화는 다음과 같이 존재한다:
- 단계 5에서, 제3자 애플리케이션의 아이덴티티, 인증 증명서 및 액세스 승인은 구별가능한 방식으로 중앙집중 보안 관리 시스템으로 전송될 수 있고, 여기서, 구별가능한 방식은 중앙집중 보안 관리 시스템이 아이덴티티, 인증 증명서 및 액세스 승인을 구별할 수 있도록 그들을 개별적으로 패키징하거나 개별적으로 마킹할 수 있다는 것을 의미한다.
- 단계 6에서, 다음과 같은 두 개의 서브 단계를 포함한다:
◆ 6-1: 제3자 애플리케이션을 성공적으로 인증한 후, 중앙집중 보안 관리 시스템은 액세스 승인을 권한 부여 서버_n으로 전달한다. 액세스 승인이 유효하면, 권한 부여 서버_n는 제3자 애플리케이션에 대해 발행된 액세스 토큰을 중앙집중 보안 관리 시스템으로 전송할 것이다. 본 발명에서, 액세스 승인 및 액세스 토큰은, 예를 들면, IETF 정의 인증 프로토콜에 부합한다.
◆ 6-2: 중앙집중 보안 관리 시스템은 액세스 토큰을 제3자 애플리케이션으로 전달한다.
더욱이, 본 발명의 솔루션에 따라, 제3자 애플리케이션이 유효한 액세스 토큰을 갖지 않으면, 리소스 서버는 제3자 애플리케이션의 액세스 요청을 사용자 에이전트로 리다이렉트한다.
본 발명에 따른 중앙집중 보안 관리 시스템은, 예를 들면, 인증서를 발행하는 관리 서버, 제3자 애플리케이션의 보안 체크 서버, 제3자 애플리케이션의 레지스트리 관리 서버, 제3자 애플리케이션의 인증 서버, 제3자 애플리케이션의 저장 및 배포 서버 등을 포함할 수 있는 서버 그룹을 포함한다는 것을 유의해야 한다.
본 발명에서, 사용자는 제3자 애플리케이션이 자신의 보호된 리소스들을 액세스하는 것을 가능하게 할 수 있다고 가정된다는 것을 또한 유의해야 한다. 자신의 보호된 리소스들 액세스하기 위해 제3자 애플리케이션에 권한 부여를 하기 전에, 사용자는 사용자의 아이덴티티가 인증되고 자신의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션을 승인할 권한을 가져, 제3자 애플리케이션이 액세스 토큰을 얻기 위한 액세스 승인을 얻는 것을 보장하도록 권한 부여 서버에 의해 인증되어야 한다. 본 발명의 솔루션에 따라, 사용자 인증은 사용자 에이전트와 권한 부여 서버 간의 직접적인 통신에 의해 또는 중앙집중 보안 관리 시스템을 통해 사용자 에이전트에 의한 권한 부여 서버로의 리디렉션(redirection)에 의해 구현될 수 있다.
유사하게, 액세스 승인은 권한 부여 서버에 의해 사용자 에이전트를 통해 제3자 애플리케이션으로 전송되거나, 권한 부여 서버에 의해 중앙집중 보안 관리 시스템과 사용자 에이전트를 통해 제3자 애플리케이션으로 전송될 수 있다.
더욱이, 본 발명에 따른 중앙집중 보안 관리 시스템은 다음의 기능들을 구현할 수 있다:
- 개인 개발자 또는 서비스 제공자에 의해 개발되고 개인 개발자 또는 서비스 제공자의 키들을 이용하여 서명하고 싸인하는 제3자 애플리케이션이 수신되는 경우, 개인 개발자 또는 서비스 제공자의 디지털 인증서를 이용하여 제3자 애플리케이션의 디지털 서명을 인증함으로써 제3자 애플리케이션의 추적가능성을 보장;
- 인증이 성공적으로 구현된 후, 제3자 애플리케이션이 악성 코드 또는 바이러스를 포함하고 있는지를 검출;
- 제3자 애플리케이션에 대한 안전 검출이 성공적으로 구현된 후, 중앙집중 보안 관리 시스템의 키들을 이용하여 제3자 애플리케이션을 디지털식으로 서명함으로써, 제3자 애플리케이션이 설치될 때, 보안성, 인증 및 신뢰성을 보장;
- 제3자 애플리케이션에 대한 아이덴티티, 인증 증명서 및 관련 속성의 균일한 배포의 관리를 수행;
- 생성, 발행 및 취소와 같은 모든 연관된 디지털 인증서에 대해 균일한 관리를 수행.
본 발명에 따른 중앙집중 보안 관리 시스템을 이용함으로써, (사용자 및 보호된 리소스들의 관리만을 담당하는 것을 의미하는) 소규모 및 중간 규모의 서비스 제공자들의 부담을 줄이고 대량의 비용을 절감할 수 있으며, 또한 대규모 서비스 제공자가 그에 의해 배치된 복수의 내부 리소스 서버들에게 제3자 애플리케이션에 대한 중앙집중 관리를 제공하게 할 수 있다. 또한, 본 발명의 솔루션을 이용함으로써, 제3자 애플리케이션이 신뢰성있는 제3자 메커니즘(즉, 본 발명의 중앙집중 보안 관리 시스템)에 의해 안전하게 관리되기 때문에 제3자 애플리케이션이 더 보안적이고 신뢰성을 갖게 될 수 있다.
이하, 본 발명의 실시예에 따른 제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하기 위한 방법이 도 3을 참조하여 설명된다. 이 실시예의 방법은 상기 도 2에 도시된 시스템에 적용될 수 있고, 우리는 전술한 시스템의 설명에 추가로 나아가지는 않을 것이다.
도 3에 도시된 바와 같이, 첫 번째로, 단계 301에서, 제3자 애플리케이션은 자신의 아이덴티티, 인증 증명서 및 액세스 승인을 구별가능한 방식으로 중앙집중 보안 관리 시스템으로 전송한다. 인증 증명서는 여기서, 예를 들면, 디지털 인증서, 암호 또는 패스워드일 수 있고, 액세스 승인은, 예를 들면, IETF 정의 인증 프로토콜 OAuth2.0에 부합할 수 있다. 구별가능한 방식은, 아이덴티티, 인증 증명서 및 액세스 승인이 개별적으로 패키징되거나 개별적으로 마킹되어 중앙집중 보안 관리 시스템이 그들을 구별할 수 있도록 하는 것을 의미한다. 전술한 바와 같이, 실시예에서, 사용자는 제3자 애플리케이션이 자신의 보호된 리소스들에 액세스하는 것을 가능하게 한다고 가정된다. 제3자 애플리케이션이 리소스 서버에서 사용자의 보호된 리소스들에 액세스하는 것을 요청하는 경우, 제3자 애플리케이션인 유효한 액세스 토큰을 갖지 않는 경우, 리소스 서버는 제3자 애플리케이션의 액세스 요청을 사용자 에이전트로 리다이렉트(redirect)한다.
액세스하기 위해 제3자 애플리케이션에 권한을 부여하기 전에, 제3자 애플리케이션이 액세스 승인을 이용하여 액세스 토큰을 얻기 위해 액세스 승인을 얻도록 사용자는 권한 부여 서버에 의해 인증되어야 하고, 권한 부여 서버에 의한 사용자의 인증은 권한 부여 서버에 대해 직접적으로 인증하는 사용자 에이전트에 의해 또는 인증을 위해 중앙집중 보안 관리 시스템을 통해 사용자 에이전트에 의한 권한 부여 서버로의 리디렉션에 의해 구현될 수 있다는 것을 유의해야 한다.
권한 부여 서버가 액세스 승인을 제3자 애플리케이션에 전송한 후, 제3자 애플리케이션은 제3자 애플리케이션의 아이덴티티, 인증 증명서 및 액세스 승인을 중앙집중 보안 관리 시스템으로 전송하고, 액세스 승인은 권한 부여 서버에 의해 사용자 에이전트를 통해 제3자 애플리케이션으로 전송되거나 권한 부여 서버에 의해 중앙집중 보안 관리 시스템 및 사용자 에이전트를 통해 제3자 애플리케이션으로 전송될 수 있다는 것을 유의하자.
다음에, 단계 302에서, 제3자 애플리케이션을 성공적으로 인증한 후 중앙집중 보안 관리 시스템은 액세스 승인을 권한 부여 서버로 전달한다. 액세스 승인은, 예를 들면, IETF 정의 인증 프로토콜 OAuth2.0에 부합한다.
다음에, 단계 303에서, 액세스 승인이 유효하면, 권한 부여 서버는 사용자의 보호된 리소스들을 액세스하기 위한 액세스 토큰을 중앙집중 보안 관리 시스템을 통해 제3자 애플리케이션으로 발행한다. 액세스 토큰은, 예를 들면, IETF 정의 인증 프로토콜 OAuth2.0에 부합한다. 따라서, 제3자 애플리케이션은 사용자의 보호된 리소스들을 액세스하기 위해 액세스 토큰을 리소스 서버에 제출할 수 있다.
실시예에서, 중앙집중 보안 관리 시스템, 사용자 에이전트, 제3자 애플리케이션, 권한 부여 서버 및 리소스 서버 간의 상호작용 프로세스는 임의의 기존 및 미래의 솔루션, 표준 및 기준의 방식에 부합할 수 있고, 전술한 OAuth2.0에 제한되지는 않는다.
전술한 설명에서, 기존 시스템에 새로운 중앙집중 보안 관리 시스템을 부가함으로써 실시예에 따른 제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하는 방법을 이용함으로써, (사용자 및 보호된 리소스들의 관리만을 담당하는 것을 의미하는) 소규모 및 중간 규모의 서비스 제공자들의 부담을 줄이고 대량의 비용을 절감할 수 있으며, 또한 대규모 서비스 제공자가 그에 의해 배치된 복수의 내부 리소스 서버들에게 제3자 애플리케이션에 대한 중앙집중 관리를 제공하게 할 수 있다는 것을 알 수 있다. 또한, 본 발명의 솔루션을 이용함으로써, 제3자 애플리케이션이 신뢰성있는 제3자 메커니즘(즉, 본 발명의 중앙집중 보안 관리 시스템)에 의해 안전하게 관리되기 때문에 제3자 애플리케이션이 더 보안적이고 신뢰성을 갖게 될 수 있다.
동일한 개념 하에서, 본 발명의 또 다른 양상에 따라, 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위해 제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하기 위한 시스템이 제공된다. 이하, 도면을 참조하여 그러한 시스템을 설명할 것이다.
도 4는 본 발명의 실시예에 따른 중앙집중 보안 관리 시스템(400)을 도시한다. 시스템(400)은 수신 디바이스(401), 인증 디바이스(402), 제1 전달 디바이스(403), 및 제2 전달 디바이스(404)를 포함한다. 유사하게, 사용자는 제3자 애플리케이션이 자신의 보호된 리소스들에 액세스하는 것을 가능하게 할 수 있다고 가정된다. 특히, 제3자 애플리케이션이 보호된 리소스들에 액세스하기 위해 요청할 때, 권한 부여 서버가 사용자를 성공적으로 인증하고 액세스 승인을 제3자 애플리케이션에 발행한 후, 수신 디바이스(401)는 제3자 애플리케이션에 의해 구별가능한 방식으로 전송된 제3자 애플리케이션의 아이덴티티, 인증 증명서 및 액세스 승인을 수신한다. 구별가능한 방식은 아이덴티티, 인증 증명서 및 액세스 승인이 개별적으로 패키징되거나 개별적으로 마킹되어, 중앙집중 보안 관리 시스템이 그들을 구별할 수 있도록 하는 것을 의미한다. 아이덴티티, 인증 증명서 및 액세스 승인을 수신한 후, 인증 디바이스(402)는 아이덴티티, 인증 증명서를 이용하여 제3자 애플리케이션을 인증한다. 제1 전달 디바이스(403)는 제3자 애플리케이션을 성공적으로 인증한 후 제3자 애플리케이션의 액세스 승인을 권한 부여 서버로 전달하고, 제2 전달 디바이스(404)는 권한 부여 서버에 의해 발행된 액세스 토큰을 제3자 애플리케이션에 전달한다. 따라서, 제3자 애플리케이션은 액세스 토큰을 리소스 서버에 제출함으로써 사용자의 보호된 리소스들에 액세스할 수 있다.
전술한 바와 같이, 중앙집중 보안 관리 시스템(400)은 다음의 기능들을 추가로 구현한다:
- 개인 개발자 또는 서비스 제공자에 의해 개발되고 개인 개발자 또는 서비스 제공자의 키들을 이용하여 서명하고 싸인하는 제3자 애플리케이션이 수신되는 경우, 개인 개발자 또는 서비스 제공자의 디지털 인증서를 이용하여 제3자 애플리케이션의 디지털 서명을 인증함으로써 제3자 애플리케이션의 추적가능성을 보장;
- 인증이 성공적으로 구현된 후, 제3자 애플리케이션이 악성 코드 또는 바이러스를 포함하고 있는지를 검출;
- 제3자 애플리케이션에 대한 안전 검출이 성공적으로 구현된 후, 중앙집중 보안 관리 시스템의 키들을 이용하여 제3자 애플리케이션을 디지털식으로 서명함으로써, 제3자 애플리케이션이 설치될 때 보안성, 인증 및 신뢰성을 보장;
- 제3자 애플리케이션에 대한 아이덴티티, 인증 증명서 및 관련 속성의 균일한 배포의 관리를 수행;
- 생성, 발행 및 취소와 같은 모든 연관된 디지털 인증서에 대해 균일한 관리를 수행.
제3자 애플리케이션에 대한 중앙집중 보안 관리 시스템의 보안 체크는 임의의 기존 및 미래의 솔루션, 표준 및 기준의 방식에 부합할 수 있다.
구현예에서, 중앙집중 보안 관리 시스템(400) 및 수신 디바이스(401), 인증 디바이스(402), 제1 전달 디바이스(403) 및 제2 전달 시스템(404)은 소프트웨어, 하드웨어, 및 소프트웨어와 하드웨어의 조합의 형태로 구현될 수 있다. 예를 들면, 당업자는, 마이크로프로세서, 마이크로컨트롤러, ASIC(Application Specific Integrated Circuit), PLD(Programmable Logic Device) 및/또는 FPGA(Field Programmable Gate Array) 등과 같은 수단을 구현하기 위한 다양한 종류의 디바이스를 안다. 실시예에 따른 중앙집중 보안 관리 시스템의 각각의 컴포넌트들은 물리적으로 개별적으로 그리고 서로 동작가능하게 접속되어 실현될 수 있다.
동작시에, 상기 도 4와 결합하여 설명된 실시예의 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하기 위한 시스템은 전술한 제3자 애플리케이션에 대한 중앙집중 관리를 수행하기 위한 방법을 구현할 수 있다. 이 시스템을 이용함으로써, (사용자 및 보호된 리소스들의 관리만을 담당하는 것을 의미하는) 소규모 및 중간 규모의 서비스 제공자들의 부담을 줄이고 대량의 비용을 절감할 수 있으며, 또한 대규모 서비스 제공자가 그에 의해 배치된 복수의 내부 리소스 서버들에게 제3자 애플리케이션에 대한 중앙집중 관리를 제공하게 할 수 있다는 것을 알 수 있다. 또한, 본 발명의 솔루션을 이용함으로써, 제3자 애플리케이션이 신뢰성있는 제3자 메커니즘(즉, 본 발명의 중앙집중 보안 관리 시스템)에 의해 안전하게 관리되기 때문에 제3자 애플리케이션이 더 보안적이고 신뢰성을 갖게 될 수 있다.
동일한 진보적인 개념 하에서, 본 발명의 또 다른 양상에 따라, 적어도 하나의 권한 부여 서버, 적어도 하나의 리소스 서버, 사용자 에이전트, 제3자 애플리케이션, 및 본 발명에 따라 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템을 포함하는 통신 시스템이 제공된다. 더욱이, 통신 시스템은 라우터 등과 같은 다른 네트워크 구성요소들을 포함할 수 있다.
제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하기 위한 방법, 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대한 중앙집중 보안 관리를 수행하기 위한 시스템, 및 적어도 하나의 권한 부여 서버, 적어도 하나의 리소스 서버, 사용자 에이전트, 제3자 애플리케이션, 및 본 발명에 따라 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템을 포함하는 통신 시스템이 일부 예시적인 실시예에 의해 특별히 설명되어 있지만, 실시예들은 제한적이기보다는 예시적인 것으로 고려되어야 하고, 당업자는 본 발명의 사상 및 범위 내에서 다양한 종류의 변경예 및 수정예를 구현할 수 있다. 따라서, 본 발명은 실시예에 제한되지 않고, 본 발명의 범위는 첨부된 청구범위에 의해서만 정의된다.

Claims (15)

  1. 리소스 서버에 저장된 사용자 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 방법으로서,
    중앙집중 보안 관리를 위한 상기 제3자 애플리케이션의 중앙집중 보안 관리 시스템은 상기 제3자 애플리케이션의 보안을 유효화하고 상기 제3자 애플리케이션을 디지털식으로 서명하는 것을 담당하고, 상기 중앙집중 보안 관리 시스템이 상기 제3자 애플리케이션을 인증할 수 있는 인증 증명서(authentication credential)를 발행하며,
    상기 방법은,
    상기 제3자 애플리케이션에 의해, 자신의 아이덴티티, 인증 증명서 및 액세스 승인을 상기 중앙집중 보안 관리 시스템에 구별가능한 방식으로 전송하는 단계와,
    상기 중앙집중 보안 관리 시스템에 의해, 상기 제3자 애플리케이션을 성공적으로 인증한 후, 상기 아이덴티티 및 상기 액세스 승인을 권한 부여 서버(Authorization Server)로 전달하는 단계와,
    상기 권한 부여 서버에 의해, 상기 액세스 승인이 유효하면, 상기 중앙집중 보안 관리 시스템을 통해 상기 사용자의 보호된 리소스들을 액세스하기 위한 액세스 토큰을 상기 제3자 애플리케이션에 발행하는 단계를 포함하는
    중앙집중 보안 관리 수행 방법.
  2. 제1항에 있어서,
    상기 액세스 승인 및 상기 액세스 토큰은 IETF 정의 인증 프로토콜 OAuth2.0에 부합하고, 및/또는 상기 인증 증명서는 디지털 인증서, 키 또는 패스워드 중 하나인
    중앙집중 보안 관리 수행 방법.
  3. 제1항 또는 제2항에 있어서,
    상기 제3자 애플리케이션이 액세스를 위해 인증받기 전에, 상기 제3자 애플리케이션이 상기 액세스 승인을 이용하여 액세스 토큰을 획득하기 위해 상기 액세스 승인을 얻도록 사용자는 상기 권한 부여 서버에 의해 인증을 받아야 하고, 및/또는
    상기 권한 부여 서버가 상기 제3자 애플리케이션에 상기 액세스 승인을 전송한 후, 상기 제3자 애플리케이션은 상기 제3자 애플리케이션의 아이덴티티, 인증 증명서, 및 액세스 승인을 상기 중앙집중 보안 관리 시스템에 전송하는
    중앙집중 보안 관리 수행 방법.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 제3자 애플리케이션이 상기 리소스 서버에 저장된 상기 사용자의 보호된 리소스들을 액세스하기를 요청할 때, 상기 제3자 애플리케이션이 유효 액세스 토큰을 갖고 있지 않으면, 상기 리소스 서버는 상기 제3자 애플리케이션의 액세스 요청을 사용자 에이전트로 리다이렉트(redirect)하고, 및/또는
    상기 권한 부여 서버가 상기 중앙집중 보안 관리 시스템을 통해 상기 제3자 애플리케이션에 상기 액세스 토큰을 발행한 후, 상기 제3자 애플리케이션은 상기 사용자의 보호된 리소스들을 액세스하기 위해 상기 액세스 토큰을 상기 리소스 서버에 제출하는
    중앙집중 보안 관리 수행 방법.
  5. 제3항에 있어서,
    상기 사용자를 인증하는 상기 권한 부여 서버는 상기 권한 부여 서버에 대하여 직접적으로 인증하는 것을 통해 사용자 에이전트에 의해 행해지고,
    상기 액세스 승인은 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는
    중앙집중 보안 관리 수행 방법.
  6. 제3항에 있어서,
    상기 사용자를 인증하는 상기 권한 부여 서버는 인증을 위해 상기 중앙집중 보안 관리 시스템을 통해 상기 권한 부여 서버로 리다이렉트하는 것을 통해 사용자 에이전트에 의해 행해지고,
    상기 액세스 승인이 상기 중앙집중 보안 관리 시스템 및 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는 단계, 또는 상기 액세스 승인이 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는 단계 중 적어도 하나의 단계가 수행되는
    중앙집중 보안 관리 수행 방법.
  7. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 구별가능한 방식은, 상기 제3자 애플리케이션이 상기 아이덴티티, 상기 인증 증명서, 및 상기 액세스 승인을 개별적으로 패키징하는 방식, 또는 상기 제3자 애플리케이션이 상기 아이덴티티, 상기 인증 증명서, 및 상기 액세스 승인을 개별적으로 마킹(mark)하는 방식 중 하나를 포함하는
    중앙집중 보안 관리 수행 방법.
  8. 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템으로서,
    상기 시스템은 상기 제3자 애플리케이션의 보안을 유효화하고 상기 제3자 애플리케이션을 디지털식으로 서명하는 것을 담당하고, 상기 시스템이 상기 제3자 애플리케이션을 인증할 수 있는 인증 증명서를 발행하며,
    상기 시스템은,
    상기 제3자 애플리케이션에 의해 구별가능한 방식으로 전송된 상기 제3자 애플리케이션의 아이덴티티, 인증 증명서 및 액세스 승인을 수신하기 위한 제1 수신 디바이스와,
    상기 아이덴티티, 상기 인증 증명서, 및 상기 액세스 승인을 수신한 후, 상기 아이덴티티, 상기 인증 증명서를 이용하여 상기 제3자 애플리케이션을 인증하기 위한 제1 인증 디바이스와,
    상기 제3자 애플리케이션을 성공적으로 인증한 후, 상기 제3자 애플리케이션의 상기 아이덴티티 및 상기 액세스 승인을 권한 부여 서버로 전달하기 위한 제1 전달 디바이스와,
    상기 권한 부여 서버에 의해 발행된 액세스 토큰을 상기 제3자 애플리케이션으로 전달하기 위한 제2 전달 디바이스를 포함하는
    중앙집중 보안 관리 수행 시스템.
  9. 제8항에 있어서,
    개인 개발자 또는 서비스 제공자에 의해 개발되고 디지털 서명을 위해 상기 개인 개발자 또는 상기 서비스 제공자의 개인 키들을 이용하는 제3자 애플리케이션을 수신하기 위한 제2 수신 디바이스와,
    상기 개인 개발자 또는 상기 서비스 제공자에 의해 개발된 디지털 인증서를 이용하여 상기 제2 수신 디바이스에 의해 수신된 상기 제3자 애플리케이션의 디지털 서명을 인증하기 위한 제2 인증 디바이스와,
    상기 제2 인증 디바이스의 성공적인 인증 후 상기 제3자 애플리케이션이 악성 코드 또는 바이러스를 포함하는지 여부를 검출하기 위한 안전 체크 디바이스와,
    상기 제3자 애플리케이션을 성공적으로 안전 체크한 후 상기 시스템의 개인 키들을 이용하여 상기 제3자 애플리케이션을 디지털식으로 서명하기 위한 디지털 서명 디바이스와,
    상기 제3자 애플리케이션에 대한 아이덴티티, 인증 증명서 및 관련 속성들의 균일한 배포의 관리를 위한 제3자 애플리케이션 레지스트리 및 관리 디바이스와,
    모든 관련 디지털 인증서들의 균일한 관리를 위한 인증서 관리 디바이스를 더 포함하는
    중앙집중 보안 관리 수행 시스템.
  10. 제8항 또는 제9항에 있어서,
    상기 액세스 승인 및 상기 액세스 토큰은 IETF 정의 인증 프로토콜 OAuth2.0에 부합하고, 및/또는
    상기 인증 증명서는 디지털 인증서, 키 또는 패스워드 중 하나이며, 및/또는
    상기 디지털 인증서에 대한 인증 관리 디바이스의 관리는 생성하는 것, 발행하는 것 및 취소(withdrawing)하는 것을 포함하는
    중앙집중 보안 관리 수행 시스템.
  11. 제8항 내지 제10항 중 어느 한 항에 있어서,
    모든 관련 디지털 인증서들에 대한 균일한 관리는 생성하는 것, 발행하는 것 및 취소하는 것을 포함하고, 및/또는
    상기 권한 부여 서버가 상기 액세스 승인을 상기 제3자 애플리케이션에 전송한 후, 상기 제3자 애플리케이션은 상기 제3자 애플리케이션의 아이덴티티, 인증 증명서, 및 액세스 승인을 상기 시스템에 전송하며, 및/또는
    상기 제3자 애플리케이션이 상기 액세스 승인에 의해 액세스 토큰을 획득하기 위해 상기 액세스 승인을 얻도록, 상기 제3자 애플리케이션이 액세스를 위해 인증되기 전에, 사용자는 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 인증되어야 하고, 및/또는
    상기 제3자 애플리케이션이 상기 리소스 서버의 상기 사용자의 보호된 리소스들을 액세스하는 것을 요청할 때, 상기 제3자 애플리케이션이 유효한 액세스 토큰을 갖고 있지 않으면, 상기 리소스 서버는 상기 제3자 애플리케이션의 액세스 요청을 상기 사용자 에이전트에 리다이렉트하고, 및/또는
    상기 권한 부여 서버가 상기 시스템을 통해 상기 제3자 애플리케이션에 상기 액세스 토큰을 발행한 후, 상기 제3자 애플리케이션은 상기 사용자의 보호된 리소스들을 액세스하기 위해 상기 액세스 토큰을 상기 리소스 서버에 제출하는
    중앙집중 보안 관리 수행 시스템.
  12. 제11항에 있어서,
    상기 사용자를 인증하는 상기 권한 부여 서버는 상기 권한 부여 서버에 대하여 직접적으로 인증하는 것을 통해 상기 사용자 에이전트에 의해 행해지고,
    상기 액세스 승인은 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는
    중앙집중 보안 관리 수행 시스템.
  13. 제11항에 있어서,
    상기 사용자를 인증하는 상기 권한 부여 서버는 인증을 위해 상기 시스템을 통해 상기 권한 부여 서버로 리다이렉트하는 것을 통해 상기 사용자 에이전트에 의해 행해지고,
    상기 액세스 승인이 상기 시스템 및 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는 단계, 또는 상기 액세스 승인이 상기 사용자 에이전트를 통해 상기 권한 부여 서버에 의해 상기 제3자 애플리케이션으로 전송되는 단계 중 적어도 하나의 단계가 수행되는
    중앙집중 보안 관리 수행 시스템.
  14. 제8항 내지 제10항 중 어느 한 항에 있어서,
    상기 구별가능한 방식은, 상기 제3자 애플리케이션이 상기 아이덴티티, 상기 인증 증명서, 및 상기 액세스 승인을 개별적으로 패키징하는 방식, 또는 상기 제3자 애플리케이션이 상기 아이덴티티, 상기 인증 증명서, 및 상기 액세스 승인을 개별적으로 마킹하는 방식 중 하나를 포함하는
    중앙집중 보안 관리 수행 시스템.
  15. 통신 시스템으로서,
    적어도 하나의 권한 부여 서버와,
    적어도 하나의 리소스 서버와,
    사용자 에이전트와,
    제3자 애플리케이션과,
    제7항 내지 제14항 중 어느 한 항에 따른, 리소스 서버에 저장된 사용자의 보호된 리소스들에 액세스하기 위한 제3자 애플리케이션에 대해 중앙집중 보안 관리를 수행하는 시스템을 포함하는
    통신 시스템.
KR1020147013401A 2011-10-20 2012-10-19 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템 KR20140084217A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201110319068.2 2011-10-20
CN201110319068.2A CN103067338B (zh) 2011-10-20 2011-10-20 第三方应用的集中式安全管理方法和系统及相应通信系统
PCT/CN2012/083219 WO2013056674A1 (zh) 2011-10-20 2012-10-19 第三方应用的集中式安全管理方法和系统及相应通信系统

Publications (1)

Publication Number Publication Date
KR20140084217A true KR20140084217A (ko) 2014-07-04

Family

ID=48109804

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147013401A KR20140084217A (ko) 2011-10-20 2012-10-19 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템

Country Status (6)

Country Link
US (1) US20140245417A1 (ko)
EP (1) EP2770662A4 (ko)
JP (1) JP2014531163A (ko)
KR (1) KR20140084217A (ko)
CN (1) CN103067338B (ko)
WO (1) WO2013056674A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021211541A1 (en) * 2020-04-16 2021-10-21 American Express Travel Related Services Co., Inc. Secure application development using distributed ledgers
KR20220129245A (ko) * 2021-03-16 2022-09-23 포항공과대학교 산학협력단 블록 체인 기반 탈중앙화 인가 프로토콜 방법 및 장치

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9887992B1 (en) 2012-07-11 2018-02-06 Microstrategy Incorporated Sight codes for website authentication
US9027099B1 (en) 2012-07-11 2015-05-05 Microstrategy Incorporated User credentials
US8775807B1 (en) 2012-10-26 2014-07-08 Microstrategy Incorporated Credential tracking
US9640001B1 (en) 2012-11-30 2017-05-02 Microstrategy Incorporated Time-varying representations of user credentials
US20140208407A1 (en) * 2013-01-19 2014-07-24 Lenovo (Singapore) Pte. Ltd. Single sign-on between device application and browser
US9154303B1 (en) * 2013-03-14 2015-10-06 Microstrategy Incorporated Third-party authorization of user credentials
CN104283841B (zh) * 2013-07-02 2018-05-22 阿里巴巴集团控股有限公司 对第三方应用进行服务访问控制的方法、装置及系统
WO2015015251A1 (en) * 2013-08-01 2015-02-05 Yogesh Chunilal Rathod Presenting plurality types of interfaces and functions for conducting various activities
US11397520B2 (en) 2013-08-01 2022-07-26 Yogesh Chunilal Rathod Application program interface or page processing method and device
US9397990B1 (en) * 2013-11-08 2016-07-19 Google Inc. Methods and systems of generating and using authentication credentials for decentralized authorization in the cloud
US20150150109A1 (en) * 2013-11-27 2015-05-28 Adobe Systems Incorporated Authenticated access to a protected resource using an encoded and signed token
IN2013CH05960A (ko) * 2013-12-20 2015-06-26 Samsung R & D Inst India Bangalore Private Ltd
US10404699B2 (en) * 2014-02-18 2019-09-03 Oracle International Corporation Facilitating third parties to perform batch processing of requests requiring authorization from resource owners for repeat access to resources
CN104869102B (zh) * 2014-02-24 2019-04-02 腾讯科技(北京)有限公司 基于xAuth协议的授权方法、装置和系统
CN104954330B (zh) * 2014-03-27 2018-03-16 华为软件技术有限公司 一种对数据资源进行访问的方法、装置和系统
SE539192C2 (en) * 2014-08-08 2017-05-09 Identitrade Ab Method and a system for authenticating a user
US9843451B2 (en) * 2014-10-30 2017-12-12 Motorola Solutions, Inc. Apparatus and method for multi-state code signing
US10148522B2 (en) 2015-03-09 2018-12-04 Avaya Inc. Extension of authorization framework
CN107211007B (zh) * 2015-04-07 2020-10-23 惠普发展公司,有限责任合伙企业 提供对资源的选择性访问
US9350556B1 (en) 2015-04-20 2016-05-24 Google Inc. Security model for identification and authentication in encrypted communications using delegate certificate chain bound to third party key
CN106209751B (zh) * 2015-05-08 2019-05-03 中标软件有限公司 基于操作系统授权证书的面向服务的接口认证方法
US10044718B2 (en) 2015-05-27 2018-08-07 Google Llc Authorization in a distributed system using access control lists and groups
CN105592048B (zh) * 2015-09-02 2019-03-01 新华三技术有限公司 一种认证的方法及装置
US10311036B1 (en) * 2015-12-09 2019-06-04 Universal Research Solutions, Llc Database management for a logical registry
EP3345370B1 (en) 2016-01-29 2019-03-13 Google LLC Device access revocation
JP2017228145A (ja) * 2016-06-23 2017-12-28 株式会社リコー 認証システム、通信システム、認証認可方法、及びプログラム
US11176238B2 (en) 2016-07-12 2021-11-16 Hewlett-Packard Development Company, L.P. Credential for a service
JP2018157398A (ja) * 2017-03-17 2018-10-04 株式会社リコー 情報端末、情報処理装置、情報処理システム、情報処理方法及びプログラム
CN107241341B (zh) * 2017-06-29 2020-07-07 北京五八信息技术有限公司 访问控制方法及装置
CN107332861B (zh) * 2017-08-11 2020-11-10 杭州奇亿云计算有限公司 一种基于OAuth协议的开放平台架构系统
US10514935B2 (en) * 2017-10-31 2019-12-24 Salesforce.Com, Inc. System and method for third party application enablement
CN107590662B (zh) * 2017-11-03 2021-01-15 中国银行股份有限公司 一种调用网银系统的认证方法及认证服务器、系统
CN110704830A (zh) * 2018-07-09 2020-01-17 上海铠射信息科技有限公司 一种新型的终端数字证书授权使用的方法与装置
CN109639433B (zh) * 2018-12-05 2020-06-30 珠海格力电器股份有限公司 多个系统账户之间相互授权的方法、存储介质和处理器
CN109672675B (zh) * 2018-12-20 2021-06-25 成都三零瑞通移动通信有限公司 一种基于OAuth2.0的密码服务中间件的WEB认证方法
CN110175466B (zh) * 2019-04-16 2024-03-08 平安科技(深圳)有限公司 开放平台的安全管理方法、装置、计算机设备及存储介质
US11405207B2 (en) 2019-07-31 2022-08-02 The Toronto-Dominion Bank Dynamic implementation and management of hash-based consent and permissioning protocols
CN110730174B (zh) * 2019-10-16 2021-12-31 东软集团股份有限公司 一种网络访问控制方法、装置、设备及介质
CN111222868A (zh) * 2019-11-19 2020-06-02 广东小天才科技有限公司 一种基于家教设备的代付方法和家教设备、支付系统
CN111159736B (zh) * 2019-12-25 2022-03-25 联通(广东)产业互联网有限公司 一种区块链的应用管控方法及系统
US11757635B2 (en) * 2020-03-13 2023-09-12 Mavenir Networks, Inc. Client authentication and access token ownership validation
CN111835722A (zh) * 2020-06-10 2020-10-27 郑州泰来信息科技有限公司 安全的OAuth代理与可信域混合的授权方法
CN112291198B (zh) * 2020-09-29 2024-06-28 西安万像电子科技有限公司 通信方法及终端设备、服务器
CN113726728B (zh) * 2021-07-13 2023-10-17 上海数慧系统技术有限公司 一种安全防护系统及应用系统改造处理方法、装置
US11785018B2 (en) 2021-07-29 2023-10-10 Bank Of America Corporation Mobile device management system for securely managing device communication
CN113612770A (zh) * 2021-08-02 2021-11-05 中国科学院深圳先进技术研究院 一种跨域安全交互方法、系统、终端以及存储介质
CN114070589B (zh) * 2021-11-03 2024-10-15 浪潮云信息技术股份公司 一种简化JWT后的OAuth2.0认证方法
CN114488974B (zh) * 2021-12-31 2023-11-03 江苏扬子净化工程有限公司 一种基于洁净车间plc控制的集成管理系统
CN114465806A (zh) * 2022-02-21 2022-05-10 深圳市世强元件网络有限公司 多方数据接入安全管理方法及系统
US11695772B1 (en) * 2022-05-03 2023-07-04 Capital One Services, Llc System and method for enabling multiple auxiliary use of an access token of a user by another entity to facilitate an action of the user
CN115174200B (zh) * 2022-06-30 2024-03-08 青岛海信网络科技股份有限公司 一种第三方认证方法、装置及设备
CN115695018B (zh) * 2022-11-02 2024-07-23 四川启睿克科技有限公司 基于jwt的对接第三方可配置认证方法

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11282804A (ja) * 1998-03-31 1999-10-15 Secom Joho System Kk ユーザ認証機能付き通信システム及びユーザ認証方法
JP2000339153A (ja) * 1999-05-25 2000-12-08 Nippon Telegr & Teleph Corp <Ntt> プログラム検証方法及び装置及びプログラム検証プログラムを格納した記憶媒体
JP2003318889A (ja) * 2002-04-26 2003-11-07 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証方法、通信システム、認証サーバ装置、サーバ装置及びユーザ端末装置
WO2004114586A1 (en) * 2003-06-24 2004-12-29 International Business Machines Corporation Method and system for authentically servers in a distributed application environment
US20050108575A1 (en) * 2003-11-18 2005-05-19 Yung Chong M. Apparatus, system, and method for faciliating authenticated communication between authentication realms
CN1627683A (zh) * 2003-12-09 2005-06-15 鸿富锦精密工业(深圳)有限公司 单一认证授权管理系统及方法
US20060282886A1 (en) * 2005-06-09 2006-12-14 Lockheed Martin Corporation Service oriented security device management network
CN100461690C (zh) * 2005-07-21 2009-02-11 华为技术有限公司 通用网管安全管理系统及其方法
CN100596361C (zh) * 2006-04-26 2010-03-31 北京华科广通信息技术有限公司 信息系统或设备的安全防护系统及其工作方法
US8453234B2 (en) * 2006-09-20 2013-05-28 Clearwire Ip Holdings Llc Centralized security management system
CN101207485B (zh) * 2007-08-15 2010-12-01 深圳市同洲电子股份有限公司 对用户进行统一身份安全认证的系统及其方法
CN101136928B (zh) * 2007-10-19 2012-01-11 北京工业大学 一种可信网络接入控制系统
JP4993122B2 (ja) * 2008-01-23 2012-08-08 大日本印刷株式会社 プラットフォーム完全性検証システムおよび方法
KR20090109154A (ko) * 2008-04-15 2009-10-20 한국전자통신연구원 악성코드 차단 장치, 시스템 및 방법
US8683554B2 (en) * 2009-03-27 2014-03-25 Wavemarket, Inc. System and method for managing third party application program access to user information via a native application program interface (API)
ES2853200T3 (es) * 2009-05-29 2021-09-15 Alcatel Lucent Sistema y procedimiento para acceder a contenido digital privado
AU2009350015A1 (en) * 2009-07-17 2012-03-08 Boldstreet Inc. Hotspot network access system and method
WO2011047722A1 (en) * 2009-10-22 2011-04-28 Telefonaktiebolaget Lm Ericsson (Publ) Method for managing access to protected resources in a computer network, physical entities and computer programs therefor
CN101719238B (zh) * 2009-11-30 2013-09-18 中国建设银行股份有限公司 一种统一身份管理、认证和授权的方法及系统
KR20120005363A (ko) * 2010-07-08 2012-01-16 정보통신산업진흥원 전자문서 유통 시스템 및 전자문서 유통 방법
EP2684151B1 (en) * 2011-03-08 2018-09-12 Telefonica S.A. A method for providing authorized access to a service application in order to use a protected resource of an end user
CN102185715A (zh) * 2011-05-04 2011-09-14 成都勤智数码科技有限公司 一种分布式数据集中的方法

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021211541A1 (en) * 2020-04-16 2021-10-21 American Express Travel Related Services Co., Inc. Secure application development using distributed ledgers
US11687656B2 (en) 2020-04-16 2023-06-27 American Express Travel Related Services Company, Inc. Secure application development using distributed ledgers
KR20220129245A (ko) * 2021-03-16 2022-09-23 포항공과대학교 산학협력단 블록 체인 기반 탈중앙화 인가 프로토콜 방법 및 장치

Also Published As

Publication number Publication date
CN103067338B (zh) 2017-04-19
JP2014531163A (ja) 2014-11-20
EP2770662A4 (en) 2015-09-16
CN103067338A (zh) 2013-04-24
US20140245417A1 (en) 2014-08-28
WO2013056674A1 (zh) 2013-04-25
EP2770662A1 (en) 2014-08-27

Similar Documents

Publication Publication Date Title
KR20140084217A (ko) 제3자 애플리케이션의 중앙집중 보안 관리 방법, 시스템 및 대응 통신 시스템
JP2014531163A5 (ko)
KR101434769B1 (ko) 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치
Lodderstedt et al. OAuth 2.0 threat model and security considerations
US20190281028A1 (en) System and method for decentralized authentication using a distributed transaction-based state machine
US8621598B2 (en) Method and apparatus for securely invoking a rest API
KR101563828B1 (ko) 신뢰성있는 인증 및 로그온을 위한 방법 및 장치
KR101560440B1 (ko) 안전한 동적 권한 위임을 위한 방법 및 장치
KR101459802B1 (ko) 암호화 증명의 재검증에 기반을 둔 인증 위임
US7945774B2 (en) Efficient security for mashups
US11210412B1 (en) Systems and methods for requiring cryptographic data protection as a precondition of system access
CN111901346B (zh) 一种身份认证系统
Mizuno et al. Authentication using multiple communication channels
CN104283886A (zh) 一种基于智能终端本地认证的web安全访问的实现方法
Togan et al. A smart-phone based privacy-preserving security framework for IoT devices
CN106911627A (zh) 一种基于eID的真实身份安全控制方法及其系统
CN104767740A (zh) 用于来自用户平台的可信认证和接入的方法
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
Lazarev et al. Analysis of applicability of open single sign-on protocols in distributed information-computing environment
CN101742507B (zh) 一种WAPI终端访问Web应用站点的系统及方法
JP2017139026A (ja) 信頼できる認証およびログオンのための方法および装置
Watanabe et al. Federated authentication mechanism using cellular phone-collaboration with openid
JP2015111440A (ja) 信頼できる認証およびログオンのための方法および装置
CN113347190B (zh) 鉴权方法、系统、从站点服务器、客户端、设备和介质
KR102199747B1 (ko) Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application