KR20150117045A - 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법 - Google Patents

웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법 Download PDF

Info

Publication number
KR20150117045A
KR20150117045A KR1020140042275A KR20140042275A KR20150117045A KR 20150117045 A KR20150117045 A KR 20150117045A KR 1020140042275 A KR1020140042275 A KR 1020140042275A KR 20140042275 A KR20140042275 A KR 20140042275A KR 20150117045 A KR20150117045 A KR 20150117045A
Authority
KR
South Korea
Prior art keywords
server
authentication
mashup
access authority
user
Prior art date
Application number
KR1020140042275A
Other languages
English (en)
Inventor
나재훈
이상우
나중찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140042275A priority Critical patent/KR20150117045A/ko
Priority to US14/666,992 priority patent/US20150295918A1/en
Publication of KR20150117045A publication Critical patent/KR20150117045A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법은 웹 매쉬업 환경에서의 사용자 인증 방법에 있어서, 매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계, 상기 인증 서버가 상기 매쉬업 서버에 사용자 인증 요청하는 단계, 및 상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계를 포함할 수 있다.

Description

웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법{USER AUTHENTICATION SYSTEM IN WEB MASH-UP CIRCUMSTANCE AND AUTHENTICATING METHOD THEREOF}
본 발명은 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법에 관한 것이다.
웹 서비스 환경에서 동일 기원 정책(Same Origin Policy)은 자바 스크립트와 같은 브라우저용 프로그래밍 언어에서 중요한 보안 개념이다. 동일 기원 정책에 따르면, 같은 소스(도메인, 사이트)에서 기인한 웹 페이지에서 수행되는 스크립트에는 서로의 메소드와 속성에 접근할 수 있는 권한을 주지만 다른 소스(도메인, 사이트)의 페이지의 경우 메소드와 속성에 대한 접근을 허용하지 않는다.
이러한 방식은 HTTP 프로토콜 상에서 서로 상이한 도메인 간의 콘텐츠(예를 들어, 데이터나 코드)에 대한 접근을 상호 배타적으로 관리하여 데이터의 기밀성 또는 무결성의 손실을 막는 중요한 역할을 한다. 그러나 이러한 방식은 서로 다른 도메인의 콘텐츠에 대한 사용을 방지하는 문제가 있다. 이를 해결하기 위해, OAuth 2.0이 표준제정(IETF 2013년 8월)되었다. 그러나 제안된 표준은 인터넷 상의 중간자(Man-in-the-middle)에 대한 취약점을 갖고 있으며, 특히 피싱(phishing) 공격에 취약하다는 문제점을 갖고 있다. 나아가, 매쉬업(mash-up) 기술과 스마트폰의 융합에 따른 스미싱(smishing) 공격에도 문제점을 갖고 있다.
본 발명의 일 목적은 매쉬업 서버에 대한 사용자 인증 과정을 통해 피싱 또는 스미싱 공격에 대한 보안성을 강화할 수 있는 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법을 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법은 웹 매쉬업 환경에서의 사용자 인증 방법에 있어서, 매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계, 상기 인증 서버가 상기 매쉬업 서버에 사용자 인증 요청하는 단계, 및 상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계를 포함할 수 있다.
일 실시예에서, 상기 사용자 인증은 OTP 인증 또는 CAPTCHA 인증을 포함할 수 있다.
일 실시예에서, 상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 사용자 인증이 성공하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급할 수 있다.
일 실시예에서, 상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 사용자 인증이 실패하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하지 않을 수 있다.
일 실시예에서, 상기 인증 서버가 상기 매쉬업 서버로부터 상기 사용자 인증 요청에 대응하는 인증키를 전달받는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 인증키가 미리 정의된 인증키와 일치하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급할 수 있다.
일 실시예에서, 상기 매쉬업 서버가 상기 갱신된 접근 권한 토큰을 이용하여 상기 데이터 서버에 액세스하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계는 미리 정해진 주기에 따라 수행될 수 있다.
본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템은 웹 매쉬업 환경에서의 사용자 인증 시스템에 있어서, 데이터 서버, 인증 서버, 및 상기 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 상기 인증 서버에 요청하고, 상기 인증 서버로부터의 사용자 인증 요청에 응답하여 사용자로부터 입력되는 인증키를 상기 인증 서버로 전송하는 매쉬업 서버를 포함하되, 상기 인증 서버는 상기 사용자 인증 요청에 대한 상기 매쉬업 서버의 응답 결과에 기초하여 상기 매쉬업 서버로 갱신된 접근 권한 토큰을 발급할 수 있다.
일 실시예에서, 상기 사용자 인증은 OTP 인증 또는 CAPTCHA 인증을 포함할 수 있다.
일 실시예에서, 상기 인증 서버는 상기 매쉬업 서버로부터 전달되는 인증키가 미리 정의된 인증키와 일치하는 경우 상기 매쉬업 서버로 상기 갱신된 접근 권한 토큰을 발급할 수 있다.
일 실시예에서, 상기 매쉬업 서버는 상기 인증 서버로부터 전달되는 상기 갱신된 접근 권한 토큰을 이용하여 상기 데이터 서버에 액세스할 수 있다.
일 실시예에서, 상기 매쉬업 서버는 미리 정해진 주기에 따라 상기 접근 권한 토큰의 갱신을 상기 인증 서버에 요청할 수 있다.
본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법에 따르면 매쉬업 서버에 대한 사용자 인증 과정을 통해 피싱 또는 스미싱 공격에 대한 보안성을 강화할 수 있다.
도 1은 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템을 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 보여주는 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 보여주는 스윔레인 다이어그램이다.
도 4는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 더욱 구체적으로 보여주는 스윔레인 다이어그램이다.
도 5는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 실행하는 컴퓨팅 시스템을 보여주는 블록도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
도 1은 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템을 보여주는 블록도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템은 매쉬업 서버(100), 제 1 데이터 서버(200), 제 1 인증 서버(300), 제 2 데이터 서버(400), 및 제 2 인증 서버(500)를 포함할 수 있다.
매쉬업 서버(100)는 사용자의 요청에 응답하여 제 1 데이터 서버(200) 및/또는 제 2 데이터 서버(400)에 사용자의 권한 인증을 요청할 수 있다. 매쉬업 서버(100)는 사용자의 권한 인증 결과에 기초하여 제 1 데이터 서버(200) 및/또는 제 2 데이터 서버(400)로부터 인증 토큰을 수신할 수 있다.
매쉬업 서버(100)는 인증 토큰을 이용하여 제 1 인증 서버(300) 또는 제 2 인증 서버(500)에 각각 제 1 데이터 서버(200) 또는 제 2 데이터 서버(400)에 액세스하기 위한 접근 권한 토큰을 요청할 수 있다. 예를 들면, 매쉬업 서버(100)는 제 1 데이터 서버(200)에 액세스하기 위한 접근 권한 토큰을 제 1 인증 서버(300)에 요청할 수 있다. 또한, 매쉬업 서버(100)는 제 2 데이터 서버(400)에 액세스하기 위한 접근 권한 토큰을 제 2 인증 서버(500)에 요청할 수 있다.
매쉬업 서버(100)는 제 1 인증 서버(300) 또는 제 2 인증 서버(500)로부터 수신되는 접근 권한 토큰을 이용하여 각각 대응되는 제 1 데이터 서버(200) 또는 제 2 데이터 서버(400)에 액세스하여 필요한 데이터를 요청할 수 있다. 예를 들어, 매쉬업 서버(100)는 상점의 위치에 대한 정보를 제 1 데이터 서버(200)로부터, 교통 정보를 제 2 데이터 서버(400)로부터 각각 수신하여 지도 상에 표시하는 서비스를 제공할 수 있으며, 이에 한정되지 않음은 잘 이해될 것이다.
매쉬업 서버(100)는 미리 정해진 주기에 따라 접근 권한 토큰의 갱신을 제 1 인증 서버(300) 및/또는 제 2 인증 서버(500)에 요청할 수 있다. 예를 들어, 접근 권한 토큰은 일정한 주기에 따라 만료(expired)되도록 정의될 수 있다. 매쉬업 서버(100)는 제 1 인증 서버(300) 및/또는 제 2 인증 서버(500)로부터 갱신된 접근 권한 토큰을 발급받고, 갱신된 접근 권한 토큰을 이용하여 각각 대응되는 제 1 데이터 서버(200) 및/또는 제 2 데이터 서버(400)에 액세스할 수 있다.
제 1 데이터 서버(200) 및 제 2 데이터 서버(400)는 각각 데이터 및/또는 코드를 저장할 수 있다. 제 1 데이터 서버(200) 및 제 2 데이터 서버(400) 각각은 매쉬업 서버(100)로부터 사용자 권한 인증 요청이 수신되는 경우 대응되는 제 1 인증 서버(300) 또는 제 2 인증 서버(500)에 사용자 인증을 요청하고, 인증 결과를 전달받을 수 있다. 제 1 데이터 서버(200) 및 제 2 데이터 서버(400) 각각은 인증 결과에 따른 인증 토큰을 매쉬업 서버(100)에 전달할 수 있다.
또한, 제 1 데이터 서버(200) 및 제 2 데이터 서버(400) 각각은 액세스된 매쉬업 서버(100)로부터 데이터 요청을 수신하는 경우 대응되는 제 1 인증 서버(300) 또는 제 2 인증 서버(500)에 요청된 데이터에 대한 인증의 유효성을 질의할 수 있다. 예를 들어, 인증의 유효성에 대한 질의는 요청된 데이터에 대해 사용자가 접근할 권한이 있는지에 대한 질의를 의미할 수 있다.
제 1 인증 서버(300) 및 제 2 인증 서버(500)는 각각 제 1 데이터 서버(200) 또는 제 2 데이터 서버(400)로부터 전달되는 사용자 접근 권한 인증 요청에 응답하여 사용자 인증을 수행할 수 있다. 예를 들어, 제 1 인증 서버(300) 및 제 2 인증 서버(500)는 사용자에게 계정 입력을 요청하여 사용자 인증을 수행할 수 있다. 사용자 인증이 완료되는 경우 제 1 인증 서버(300) 및 제 2 인증 서버(500) 각각은 대응되는 제 1 데이터 서버(200) 또는 제 2 데이터 서버(400)에 인증 완료 결과를 전달할 수 있다. 또한, 제 1 인증 서버(300) 및 제 2 인증 서버(500)는 매쉬업 서버(100)로부터 접근 권한 토큰을 요청받고, 이에 응답하여 매쉬업 서버(100)에 접근 권한 토큰을 발급할 수 있다.
제 1 인증 서버(300) 및 제 2 인증 서버(500)는 각각 매쉬업 서버(100)로부터 접근 권한 토큰의 갱신을 요청받을 수 있다. 이 경우, 제 1 인증 서버(300) 및 제 2 인증 서버(500)는 각각 매쉬업 서버(100)에 사용자(즉, 매쉬업 서버의 운영자 또는 관리자)의 인증을 요청할 수 있다. 예를 들어, 사용자 인증은 OTP(One Time Password) 인증 또는 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart) 인증을 이용할 수 있다.
예를 들어, OTP 인증은 무작위로 생성되는 난수의 일회용 패스워드를 이용한 사용자 인증 방식으로 정의될 수 있다. 예를 들어, CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)는 인터넷 상에서 프로그램, 예를 들어 봇넷(Bot-net)을 이용하여 자동으로 회원가입을 시도하는 것을 방지하기 위하여 수행되는 튜링 테스트(Turing test, 프로그램은 풀기 힘들고 인간은 풀기 쉬운 문제를 제시하여 그 결과를 보고 인간 혹은 프로그램을 판별)의 한 종류로 정의될 수 있다.
제 1 인증 서버(300) 및 제 2 인증 서버(500)는 각각 사용자 인증 결과에 기초하여 매쉬업 서버(100)에 갱신된 접근 권한 토큰을 발급할 수 있다. 예를 들어, 제 1 인증 서버(300) 및 제 2 인증 서버(500) 각각은 상기 사용자 인증이 성공하는 경우 갱신된 접근 권한 토큰을 매쉬업 서버(100)에 발급할 수 있다. 예를 들어, 제 1 인증 서버(300) 및 제 2 인증 서버(500) 각각은 상기 사용자 인증이 실패하는 경우 갱신된 접근 권한 토큰을 매쉬업 서버(100)에 발급하지 않을 수 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 시스템은 매쉬업 서버(100)로부터 접근 권한 토큰의 갱신이 요청되는 경우 인증 서버(300 또는 500)가 매쉬업 서버(100)의 사용자(즉, 운영자 또는 관리자)에 대한 인증을 요청하고, 인증 결과에 따라 매쉬업 서버(100)로 갱신된 접근 권한 토큰을 발급할 수 있다.
예를 들어, 매쉬업 서버(100)가 접근 권한 토큰의 갱신을 제 1 인증 서버(300) 및/또는 제 2 인증 서버(500)에 요청하기 전에 악성코드에 감염되거나 해킹되는 경우, 본 발명에 따르면 인증 서버(300 또는 500)가 매쉬업 서버(100)의 사용자에 대한 인증을 수행하므로 매쉬업 서버(100)를 통한 갱신 요청의 주체가 봇(Bot)과 같은 프로그램인지 혹은 진정한 권한이 있는 사용자인지를 판별할 수 있다. 따라서, 매쉬업 서버(100)를 통한 악성코드에 의한 피싱 또는 스미싱 피해를 방지할 수 있다.
이하에서는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법이 도 1을 참조하여 구체적으로 설명될 것이다. 다만, 설명의 편의를 위해 매쉬업 서버(100), 제 1 데이터 서버(200), 및 제 1 인증 서버(300) 간의 동작을 중심으로 설명한다.
도 2는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 보여주는 흐름도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법은 매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계(S110), 인증 서버가 매쉬업 서버에 사용자 인증을 요청하는 단계(S120), 사용자 인증의 성공 여부를 판단하는 단계(S130), 및 사용자 인증 요청 결과에 기초하여 인증 서버가 갱신된 접근 권한 토큰을 매쉬업 서버에 발급하는 단계(S140)를 포함할 수 있다.
이하에서, 상술한 S110 단계 내지 S140 단계가 도 1을 참조하여 구체적으로 설명된다.
S110 단계에서, 매쉬업 서버(100)는 인증 서버(300)에 접근 권한 토큰의 갱신을 요청할 수 있다. 예를 들어, 매쉬업 서버(100)는 미리 정해진 주기(예를 들어, 접근 권한 토큰의 만료 주기)에 따라 인증 서버(300)에 접근 권한 토큰의 갱신을 요청할 수 있다.
S120 단계에서, 인증 서버(300)는 매쉬업 서버(100)에 사용자 인증을 요청할 수 있다. 예를 들어, 인증 서버(300)는 OTP 인증 또는 CAPTCHA 인증을 이용하여 매쉬업 서버(100)에 사용자 인증을 요청할 수 있다. 예를 들어, 매쉬업 서버(100)가 운영자에 의해 운영되고 있는 상태에서 인증 서버(300)로 접근 권한 토큰의 갱신을 요청한 경우라면 상술한 사용자 인증이 가능할 것이다. 그러나, 매쉬업 서버(100)가 악성코드에 감염되거나 해킹되어 봇(Bot)에 의해 운영되는 경우에는 상술한 사용자 인증이 불가능할 것이다.
S130 단계에서, 인증 서버(300)는 사용자 인증의 성공 여부를 판단할 수 있다. S130 단계를 위해 인증 서버(300)가 매쉬업 서버(100)로부터 사용자 인증 요청에 대응하는 인증키를 전달받는 단계를 더 포함할 수도 있다. 예를 들어, S130 단계에서 인증 서버(300)는 매쉬업 서버(100)로부터 전달되는 인증키가 미리 정의된 인증키와 일치하는 경우 사용자 인증이 성공한 것으로 판단할 수 있다.
S140 단계에서, 인증 서버(300)는 사용자 인증이 성공한 경우 갱신된 접근 권한 토큰을 매쉬업 서버(100)에 발급할 수 있다. 반면에, 인증 서버(300)는 사용자 인증이 실패한 경우 갱신된 접근 권한 토큰을 매쉬업 서버(100)에 발급하지 않을 것이다.
이후, 매쉬업 서버(100)는 갱신된 접근 권한 토큰을 이용하여 데이터 서버(200)에 액세스할 것이다.
도 3은 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 보여주는 스윔레인 다이어그램이다.
예를 들어, 도 3은 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법이 수행되는 전체적인 프로세스를 보여주는 도면으로 이해될 수 있다.
도 3을 참조하면, 매쉬업 서버(100)는 사용자의 요청에 따라 데이터 서버(200)에 사용자 권한 인증을 요청할 수 있다(S11). 데이터 서버(200)는 매쉬업 서버(100)로부터의 사용자 권한 인증 요청에 응답하여 인증 서버(300)에 사용자 권한 인증 요청을 전달할 수 있다(S12). 인증 서버(300)는 사용자 인증을 수행할 수 있다(S13). 구체적으로, 인증 서버(300)는 사용자에게 계정 입력을 요청하여 사용자 인증을 수행할 수 있다. 인증 서버(300)는 사용자 인증이 완료되는 경우 데이터 서버(200)에 인증 완료 결과를 전달할 수 있다(S14). 데이터 서버(200)는 매쉬업 서버(100)에 인증 토큰을 전달할 것이다(S15).
매쉬업 서버(100)는 전달된 인증 토큰을 이용하여 인증 서버(300)에 데이터 서버(200)로의 액세스를 위한 접근 권한 토큰을 요청할 수 있다(S16). 인증 서버(300)는 매쉬업 서버(100)로부터의 요청에 따라 접근 권한 토큰을 매쉬업 서버(100)에 전달할 수 있다(S17).
매쉬업 서버(100)는 접근 권한 토큰을 이용하여 데이터 서버(200)에 액세스하여 데이터를 요청할 수 있다(S18). 데이터 서버(200)는 접근 권한 토큰에 기반하여 요청된 데이터의 제공에 대한 유효성을 인증 서버(300)에 질의할 수 있다(S19). 인증 서버(300)는 유효성 질의에 따라 미리 정해진 정책을 검토하고, 요청된 데이터의 제공에 대한 유효성 검토 결과를 데이터 서버(200)에 전달할 수 있다(S20). 데이터 서버(200)는 요청된 데이터의 제공이 유효한 경우 매쉬업 서버(100)로 요청된 데이터를 제공할 수 있다(S21). 매쉬업 서버(100)는 미리 정해진 주기(예를 들어, 접근 권한 토큰의 만료 주기)에 따라 인증 서버(300)에 접근 권한 토큰의 갱신을 요청할 수 있다(S22). 인증 서버(300)는 접근 권한 토큰의 갱신 요청에 따라 매쉬업 서버(100)의 사용자(즉, 운영자 또는 관리자)에 대한 사용자 인증을 매쉬업 서버(100)에 요청할 수 있다(S23). 인증 서버(300)는 사용자 인증 결과에 따라 매쉬업 서버(100)에 갱신된 접근 권한 토큰을 발급할 것이다(S24).
도 4는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 더욱 구체적으로 보여주는 스윔레인 다이어그램이다.
도 4에서는 설명의 불필요한 반복을 피하기 위하여 도 3과의 차이점을 중심으로 설명한다.
도 4를 참조하면, 웹 매쉬업 환경에서 매쉬업 서버(100)는 인증 서버(300)로부터 발급받은 접근 권한 토큰을 이용하여 데이터 서버(200)에 액세스 요청할 수 있다(S31, S32, S33). 데이터 서버(200)는 접근 권한 토큰을 검토하여 액세스를 승인할 수 있다(S34).
한편, 매쉬업 서버(100)가 접근 권한 토큰의 갱신을 인증 서버(300)에 요청하기 전에 악성코드에 감염되거나 해킹되어 예를 들어, DNS 정보가 변경될 수 있다(S35). 이러한 경우 매쉬업 서버(100)는 봇(Bot)과 같은 악성 프로그램에 의해 운영될 수 있다. 이와는 독립적으로 접근 권한 토큰이 만료되는 경우 데이터 서버(200)는 매쉬업 서버(100)에 액세스 승인 만료를 통보할 수 있다(S36).
본 발명에 따르면 매쉬업 서버(100)로부터 접근 권한 토큰의 갱신 요청이 있는 경우(S37), 인증 서버(300)는 매쉬업 서버(100)의 사용자에 대한 인증을 수행하므로 매쉬업 서버(100)를 통한 갱신 요청의 주체가 봇(Bot)과 같은 프로그램인지 혹은 진정한 권한이 있는 사용자인지를 판별할 수 있다(S38). 따라서, 매쉬업 서버(100)를 통한 악성코드에 의한 피싱 또는 스미싱 피해가 방지될 수 있다.
매쉬업 서버(100)가 진정한 권한이 있는 사용자에 의해 운영되고 있는 경우, 인증 서버(300)는 매쉬업 서버(100)에 갱신된 접근 권한 토큰을 발급할 수 있다(S39). 매쉬업 서버(100)는 갱신된 접근 권한 토큰을 이용하여 데이터 서버(200)에 액세스 요청하고(S40), 데이터 서버(200)로부터 액세스 요청에 대해 승인받을 수 있다(S41).
도 5는 본 발명의 일 실시예에 따른 웹 매쉬업 환경에서의 사용자 인증 방법을 실행하는 컴퓨팅 시스템을 보여주는 블록도이다.
도 5를 참조하면, 컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다.
프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory) 및 RAM(Random Access Memory)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다.
예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 메쉬업 서버
200: 제 1 데이터 서버
300: 제 1 인증 서버
400: 제 2 데이터 서버
500: 제 2 인증 서버

Claims (13)

  1. 웹 매쉬업 환경에서의 사용자 인증 방법에 있어서,
    매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계;
    상기 인증 서버가 상기 매쉬업 서버에 사용자 인증 요청하는 단계; 및
    상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계를 포함하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  2. 제 1 항에 있어서,
    상기 사용자 인증은 OTP 인증 또는 CAPTCHA 인증을 포함하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  3. 제 2 항에 있어서,
    상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 사용자 인증이 성공하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  4. 제 2 항에 있어서,
    상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 사용자 인증이 실패하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하지 않는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  5. 제 2 항에 있어서,
    상기 인증 서버가 상기 매쉬업 서버로부터 상기 사용자 인증 요청에 대응하는 인증키를 전달받는 단계를 더 포함하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  6. 제 5 항에 있어서,
    상기 사용자 인증 요청에 대한 응답 결과에 기초하여 상기 인증 서버가 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 단계는 상기 인증키가 미리 정의된 인증키와 일치하는 경우 상기 인증 서버가 상기 갱신된 접근 권한 토큰을 상기 매쉬업 서버로 발급하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  7. 제 1 항에 있어서,
    상기 매쉬업 서버가 상기 갱신된 접근 권한 토큰을 이용하여 상기 데이터 서버에 액세스하는 단계를 더 포함하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  8. 제 1 항에 있어서,
    상기 매쉬업 서버가 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 인증 서버에 요청하는 단계는 미리 정해진 주기에 따라 수행되는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 방법.
  9. 웹 매쉬업 환경에서의 사용자 인증 시스템에 있어서,
    데이터 서버;
    인증 서버; 및
    상기 데이터 서버에 액세스하기 위한 접근 권한 토큰의 갱신을 상기 인증 서버에 요청하고, 상기 인증 서버로부터의 사용자 인증 요청에 응답하여 사용자로부터 입력되는 인증키를 상기 인증 서버로 전송하는 매쉬업 서버를 포함하되,
    상기 인증 서버는 상기 사용자 인증 요청에 대한 상기 매쉬업 서버의 응답 결과에 기초하여 상기 매쉬업 서버로 갱신된 접근 권한 토큰을 발급하는 웹 매쉬업 환경에서의 사용자 인증 시스템.
  10. 제 9 항에 있어서,
    상기 사용자 인증은 OTP 인증 또는 CAPTCHA 인증을 포함하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 시스템.
  11. 제 10 항에 있어서,
    상기 인증 서버는 상기 매쉬업 서버로부터 전달되는 인증키가 미리 정의된 인증키와 일치하는 경우 상기 매쉬업 서버로 상기 갱신된 접근 권한 토큰을 발급하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 시스템.
  12. 제 9 항에 있어서,
    상기 매쉬업 서버는 상기 인증 서버로부터 전달되는 상기 갱신된 접근 권한 토큰을 이용하여 상기 데이터 서버에 액세스하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 시스템.
  13. 제 9 항에 있어서,
    상기 매쉬업 서버는 미리 정해진 주기에 따라 상기 접근 권한 토큰의 갱신을 상기 인증 서버에 요청하는 것을 특징으로 하는 웹 매쉬업 환경에서의 사용자 인증 시스템.
KR1020140042275A 2014-04-09 2014-04-09 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법 KR20150117045A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140042275A KR20150117045A (ko) 2014-04-09 2014-04-09 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법
US14/666,992 US20150295918A1 (en) 2014-04-09 2015-03-24 User authentication system in web mash-up circumstance and authenticating method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140042275A KR20150117045A (ko) 2014-04-09 2014-04-09 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR20150117045A true KR20150117045A (ko) 2015-10-19

Family

ID=54266058

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140042275A KR20150117045A (ko) 2014-04-09 2014-04-09 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법

Country Status (2)

Country Link
US (1) US20150295918A1 (ko)
KR (1) KR20150117045A (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9923929B2 (en) * 2015-11-20 2018-03-20 Nasdaq, Inc. Systems and methods for in-session refresh of entitlements associated with web applications
TW201809854A (zh) * 2016-07-18 2018-03-16 帕戈技術股份有限公司 可穿戴式帶
CN107332840B (zh) * 2017-06-28 2020-04-21 中国南方电网有限责任公司超高压输电公司检修试验中心 权限智能管理系统及其方法
CN109639433B (zh) * 2018-12-05 2020-06-30 珠海格力电器股份有限公司 多个系统账户之间相互授权的方法、存储介质和处理器

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080301685A1 (en) * 2007-05-31 2008-12-04 Novell, Inc. Identity-aware scheduler service
US7945774B2 (en) * 2008-04-07 2011-05-17 Safemashups Inc. Efficient security for mashups
CN101626363B (zh) * 2008-07-07 2013-03-27 华为技术有限公司 聚合业务装置、系统、聚合业务创建及使用方法
EP2344946A1 (en) * 2008-10-07 2011-07-20 Tiki'labs Method and device for controlling an inputting data
US8261193B1 (en) * 2009-04-21 2012-09-04 Jackbe Corporation Method and system for capturing mashup data for collective intelligence and user-generated knowledge

Also Published As

Publication number Publication date
US20150295918A1 (en) 2015-10-15

Similar Documents

Publication Publication Date Title
KR102362456B1 (ko) 권한 위양 시스템, 그 제어 방법 및 저장 매체
US11831642B2 (en) Systems and methods for endpoint management
KR102313859B1 (ko) 권한 위양 시스템, 그 제어 방법 및 클라이언트
CN108463982B (zh) 用于使用安全授权服务器来认证在线用户的系统和方法
US9674699B2 (en) System and methods for secure communication in mobile devices
JP6643373B2 (ja) 情報処理システムと、その制御方法とプログラム
US9547756B2 (en) Registration of devices in a digital rights management environment
US9467435B1 (en) Electronic message threat protection system for authorized users
US9369458B2 (en) Web-centric authentication protocol
JP2022545627A (ja) 分散化されたデータ認証
US20110320818A1 (en) System and method for providing security in browser-based access to smart cards
US10911485B2 (en) Providing cross site request forgery protection at an edge server
JP6374947B2 (ja) 回復機能を有し、かつ復元可能な動的装置識別
Parsovs Practical issues with TLS client certificate authentication
US10652244B2 (en) Cross-site request forgery (CSRF) prevention
WO2016155220A1 (zh) 一种单点登录的方法、系统以及终端
KR20150117045A (ko) 웹 매쉬업 환경에서의 사용자 인증 시스템 및 그 방법
CN113678131A (zh) 使用区块链保护在线应用程序和网页
Heilman et al. OpenPubkey: Augmenting OpenID connect with user held signing keys
KR102062851B1 (ko) 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템
Jenkinson et al. I bought a new security token and all I got was this lousy phish—Relay attacks on visual code authentication schemes
KR101656615B1 (ko) 차단 사이트를 표시하는 네트워크 보안 시스템 및 방법
US11444938B2 (en) Authentication based on one-time usernames

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid