KR20160109241A - 리소스의 안전성 검증 장치와 서버 및 검증방법 - Google Patents

리소스의 안전성 검증 장치와 서버 및 검증방법 Download PDF

Info

Publication number
KR20160109241A
KR20160109241A KR1020150033298A KR20150033298A KR20160109241A KR 20160109241 A KR20160109241 A KR 20160109241A KR 1020150033298 A KR1020150033298 A KR 1020150033298A KR 20150033298 A KR20150033298 A KR 20150033298A KR 20160109241 A KR20160109241 A KR 20160109241A
Authority
KR
South Korea
Prior art keywords
resource
server
domain
web
web resource
Prior art date
Application number
KR1020150033298A
Other languages
English (en)
Inventor
허신영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150033298A priority Critical patent/KR20160109241A/ko
Priority to US15/066,508 priority patent/US20160269420A1/en
Publication of KR20160109241A publication Critical patent/KR20160109241A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications

Abstract

웹 리소스의 안전성을 검증하고 접근을 승인하는 웹 보안과 관련된 기술로, 출처를 신뢰할 수 있는 원 서버와 사용자 에이전트가 크로스 도메인의 웹 리소스의 안전성을 검증할 수 있는 기술을 제안한다.
본 발명의 일 양상에 따른 리소스의 안전성 검증 장치는 출처를 신뢰할 수 있는 원 서버(origin server)에 리소스를 요청하는 리소스 요청부, 원 서버로부터 리소스를 획득하고 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 저장하는 검증 정보 저장부, 크로스 도메인의 웹 리소스에 대하여 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인하는 진위 확인부 및 진위를 확인하고 원 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 크로스 도메인의 웹 리소스에 대한 접근을 승인하는 승인부를 포함할 수 있다.

Description

리소스의 안전성 검증 장치와 서버 및 검증방법{Method and apparatus for secure accecss to resources}
웹 리소스의 안전성을 검증하고 접근을 승인하는 웹 보안과 관련된 기술이다.
웹 기술이 PC, 모바일, 임베디드 등 다양한 정보 통신 기기에 공통 플랫폼으로 활용되면서 웹 브라우저가 다양한 기기에 탑재되고 있다. 일반적으로 사용되는 웹 보안 정책은 동일 출처 정책(Same Origin Policy)으로, 사용자 에이전트가 처음 접근한 도메인을 원 출처(origin)으로 가정하고, 원 출처 외에 검증되지 않은 다른 도메인(cross-domain)의 웹 리소스의 접근을 차단한다.
이러한 동일 출처 정책은 사용자 에이전트 측에서 특정 타입의 리소스의 출처를 걸러내는데 유용하지만, 출처의 범위를 좁게 해석하고, 판별 기준이 제한적이다. 또한, 웹 플랫폼을 이용하는 정보 통신 기기에서 다양한 출처를 가진 대량의 웹 리소스를 융합하는 데 제약이 있다.
출처를 신뢰할 수 있는 원 서버(origin server)와 사용자 에이전트가 크로스 도메인의 웹 리소스의 안전성을 검증할 수 있는 기술을 제안한다.
본 발명의 일 양상에 따른 리소스의 안전성 검증 장치는 출처를 신뢰할 수 있는 원 서버(origin server)에 리소스를 요청하는 리소스 요청부, 원 서버로부터 리소스를 획득하고 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 저장하는 검증 정보 저장부, 크로스 도메인의 웹 리소스에 대하여 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인하는 진위 확인부 및 진위를 확인하고 원 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 크로스 도메인의 웹 리소스에 대한 접근을 승인하는 승인부를 포함할 수 있다.
본 발명의 다른 양상에 따른 서버는 서버의 리소스 내 참조되고(referenced) 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 크로스 도메인을 포함하는 제 3서버로부터 크로스 도메인의 웹 리소스의 고유의 식별자를 획득하는 웹 리소스 정보 획득부, 크로스 도메인의 웹 리소스의 진위를 확인하기 위해 웹 리소스 별로 시그니쳐를 생성하는 시그니쳐 생성부, 리소스에 대한 요청에 응답하여, 리소스 및 리소스에 포함된 크로스 도메인의 웹 리소스에 대한 고유의 식별자 및 시그니쳐를 제공하는 통신부를 포함할 수 있다.
본 발명의 또 다른 양상에 따른 리소스의 안전성 검증 방법은 서버의 리소스가 참조하고 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 크로스 도메인을 포함하는 제 3서버로부터 크로스 도메인의 웹 리소스의 고유의 식별자를 획득하는 단계, 사용자 에이전트가 원 서버(origin server)에 리소스를 요청하는 단계, 서버에서 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성하는 단계, 서버로부터 리소스를 획득하고 리소스가 참조한 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 검증 정보로 저장하는 단계, 크로스 도메인의 웹 리소스에 대하여 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인하는 단계 및 진위를 확인하고 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 크로스 도메인의 웹 리소스에 대한 접근을 승인하는 단계를 포함할 수 있다.
웹 보안에 관한 기술에 있어서 웹 리소스의 도메인이 같지 않더라도 웹 리소스 별로 진위의 확인과 변조 여부의 검증을 수행한다. 출처를 신뢰할 수 있는 원 서버로부터 웹 리소스 별로 안정성을 검증 받기 때문에 정보 통신 기기에서 다양한 웹 리소스를 활용할 수 있다. 또한 웹 리소스가 속한 도메인에 관계없이 리소스의 진위를 확인하고 변조 여부를 검증하여 웹 리소스 별로 접근 권한을 세밀하게 제어한다. 이를 이용하여 다양한 출처의 웹 리소스를 융합할 수 있고, 안전하고 확장성 있는 웹 플랫폼의 활용을 지원할 수 있다.
도 1은 일 실시 예에 따른 사용자 에이전트와 원 서버(Origin server) 및 제 3서버(Third party server)간 통신 구조에 대한 도면이다.
도 2는 일 실시 예에 따른 리소스의 안전성 검증 장치의 블록도 이다.
도 3은 일 실시 예에 따른 리소스의 구조에 관한 도면이다.
도 4는 일 실시 예에 따른 서버의 블록도 이다.
도 5는 웹 리소스의 이름 별로 도메인을 식별하고 접근하는 일 예이다.
도 6은 동일 출처 정책의 제약 없이 웹 리소스를 사용하는 일 예이다.
도 7은 웹 리소스의 개별 단위를 승인하여 세밀한 보안 정책을 적용하는 일 예이다.
도 8은 사용자 에이전트, 원 서버, 제 3서버간 이루어지는 리소스의 안전성 검증 방법에 대한 일 예이다.
도 9는 일 실시 예에 따른 사용자 에이전트에서의 안전성 검증 방법의 흐름도이다.
도 10은 다른 실시 예에 따른 서버를 이용한 리소스의 안전성 검증 방법의 흐름도이다.
기타 실시 예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
이하, 본 발명의 실시 예들에 따른 리소스의 안전성 검증 장치와 서버 및 검증 방법을 도면들을 참고하여 자세히 설명하도록 한다.
도 1은 일 실시 예에 따른 사용자 에이전트와 원 서버 및 제 3서버간 통신 구조에 대한 도면이다.
사용자 에이전트(User agent, 10)는 리소스에 접근, 분석, 실행할 수 있는 프로그램 또는 기기이다. 일 실시 예에 따르면, 다양한 정보 통신 기기에서 활용하는 웹 브라우저나 사용자 단말일 수 있다. 웹 기술이 PC, 모바일, 임베디드 등 다양한 정보 통신 기기에 공통 플랫폼으로 활용됨에 따라 웹 브라우저는 HTML5, JavaScript, CSS3 등을 이용하여 운영체제에 버금가는 풍부한 사용자 환경을 제공할 수 있다.
일 실시 예에 따르면, 리소스는 웹 문서, 자바스크립트, 스타일 시트, 이미지 등 사용자 에이전트(10)가 사용 가능한 데이터이고, 다른 서버의 도메인 내 포함된 웹 리소스(250)와의 연결 링크를 포함할 수 있다. 리소스는 상기의 예 이외에도 다양한 형태의 데이터를 포함할 수 있으므로 상기의 예에 제한되어야 하는 것은 아니다.
일 실시 예에 따르면, 사용자 에이전트(10)가 접근하여 그 출처를 신뢰할 수 있는 서버를 원 서버(origin server, 20)라 하고, 원 서버의 리소스가 원 서버의 도메인 외에 크로스 도메인(cross domain) 내 리소스를 포함하는 경우, 크로스 도메인을 포함하는 서버를 제 3서버(Third part server, 30)라 할 수 있다. 원 서버와 제 3서버는 사용자 에이전트(10)에게 웹 리소스를 제공할 수 있다.
도 1을 참고하면, 사용자 에이전트(10)는 암호화 모듈, 식별자 기반의 네트워킹 모듈, 도메인 네임 시스템(Domain name system, DNS) 모듈과 리소스의 안전성 검증 장치(100)를 포함할 수 있다. 그 외에 도 1을 통하여 도시하지 않았으나, 사용자 에이전트(10)는 프로세서, 웹 리소스를 처리하는 CPU와 웹 리소스 및 기타 정보를 저장하는 저장소 등을 포함할 수 있다.
사용자 에이전트(10)는 네트워크를 통하여 원 서버(Original server, 20)의 리소스를 요청할 수 있고, 원 서버(20)의 리소스는 제 3서버(30)의 리소스와 연결된 웹 리소스(250)을 포함할 수 있다.
리소스의 안전성 검증 장치(100)에 관한 상세한 구성은 이하 도 2를 통하여 설명한다.
도 2는 일 실시 예에 따른 리소스의 안전성 검증 장치의 블록도 이다. 안전성 검증 장치(100)는 리소스 요청부(110), 검증 정보 저장부(120), 진위 확인부(130), 변조 검증부(135), 승인부(140) 및 리소스 획득부(150)를 포함할 수 있다.
리소스 요청부(110)는 출처를 신뢰할 수 있는 원 서버(origin server)에 리소스를 요청한다. 이때 원 서버의 리소스는 웹 문서, 자바스크립트, 스타일 시트, 이미지 등의 데이터 일 수 있고 다수의 도메인과 연결된 웹 리소스를 포함할 수 있다. 또한, 원 서버의 리소스는 원 서버에서 제 3서버의 웹 리소스를 호출하는 형태의 웹 플랫폼을 포함할 수 있다.
검증 정보 저장부(120)는 원 서버로부터 리소스를 획득하고 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 검증 정보로 저장할 수 있다. 일 실시 예에 따르면, 원 서버의 리소스는 크로스 도메인의 웹 리소스를 참조할 수 있고, 검증 정보 저장부(120)는 출처를 신뢰할 수 있는 원 서버로부터 크로스 도메인의 웹 리소스에 대한 고유의 식별자 및 원 서버에서 변조 방지를 위하여 생성한 시그니쳐를 원 서버의 리소스와 함께 획득하여 각각의 웹 리소스 별로 검증 정보를 저장할 수 있다. 검증 정보의 고유의 식별자와 시그니쳐는 크로스 도메인의 웹 리소스의 진위와 변조여부를 검증하는데 이용될 수 있다.
일반적으로, 다른 출처(크로스 도메인)의 리소스가 악의적인 코드를 포함할 수 있기 때문에 그 출처가 확인되지 않은 리소스에 대한 접근을 원천적으로 차단할 수 있다. 그러나 웹 보안상으로 동일 출처 정책을 사용하는 경우, 동일 출처인지 판단하는 기준이 스킴(scheme), 도메인 이름(Domain Name), 포트(Port)의 단순 비교이기 때문에 다양한 웹 리소스에 접근이 어렵다. 이러한 경우 웹 플랫폼 상에서 모바일 단말, 스마트 TV, 스마트 워치, 네비게이션 등 식별자가 각각 다른 정보 통신 기기에 접근하는 데 있어 문제가 따른다. 본 발명의 일 실시 예와 같이 사용자 에이전트가 웹 리소스 별로 안전성을 검증하되, 출처를 신뢰할 수 있는 원 서버를 통하여 다른 도메인 내 웹 리소스의 안전성을 검증한다면 이 기종의 정보 통신 기기에서 웹 플랫폼을 이용하여 리소스를 다운받거나, 다양한 출처의 웹 리소스들간의 메쉬업(mesh up) 형태의 서비스를 제공하는데 유용하다.
다른 실시 예에 따르면, 검증 정보 저장부(120)는 원 서버의 리소스 내 포함된 다수의 도메인과 연결된 웹 리소스에 대해 신뢰 연쇄 구조를 형성할 수 있다. 원 서버의 리소스는 원 서버의 도메인 내 웹 리소스 및 다수의 도메인 내 다수의 웹 리소스를 포함할 수 있다.
검증 정보 저장부(120)는 원 서버에서 시작된 신뢰 연쇄 구조를 이용하여 원 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스, 원 서버의 리소스가 참조하는 다른 크로스 도메인의 웹 리소스, 크로스 도메인의 웹 리소스와 연결된 다른 크로스 도메인의 웹 리소스 등을 검증할 수 있다. 본 발명은 원 서버의 리소스가 다수의 크로스 도메인 내 리소스를 참조하거나 크로스 도메인의 리소스에 연결된 다른 크로스 도메인의 리소스에 대한 안전성을 검증하는데 있어 유용하다.
진위 확인부(130)는 크로스 도메인의 웹 리소스에 대하여 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인할 수 있다. 이때, 진위 여부의 확인은 출처를 신뢰할 수 있는 원 서버로부터 획득한 검증 정보 내 고유의 식별자 자체로 인증할 수도 있고, 크로스 도메인을 포함하는 제 3서버에게 동일성을 확인할 수도 있다.
만일 검증 정보 내 고유의 식별자의 진위를 확인하면, 진위 확인부(130)는 크로스 도메인의 웹 리소스를 출처를 신뢰할 수 있는 원 서버로부터 안전성을 검증 받은 진정한 크로스 도메인의 웹 리소스로 확인한다. 양자가 동일하지 않거나, 고유의 식별자만으로 크로스 도메인의 웹 리소스가 특정되지 않는 경우 크로스 도메인의 웹 리소스의 안전성이 의심되므로, 안전성이 검증되지 않는 웹 리소스는 접근, 실행, 다운로드 등에 있어 권한이 제한될 수 있다.
일 실시예에 따르면, 신뢰도 결정부를 더 포함할 수 있고, 신뢰도 결정부는 진위 확인부(130)를 통하여 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스로 확인되면, 원 서버에서 크로스 도메인의 웹 리소스에 대해 부여한 신뢰도에 따라 크로스 도메인의 웹 리소스의 신뢰도를 결정할 수 있다.
또한, 변조 검증부(135)는 검증 정보에 포함된 해시 기반 메시지 인증 코드(HMAC)을 포함하는 시그니쳐를 이용하여 웹 리소스의 변조 여부를 검증할 수 있다. 식별자로 자체인증이 되지 않는 웹 리소스의 경우 시그니처를 확인한다.
승인부(140)는 진위를 확인하고 원 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 크로스 도메인의 웹 리소스에 대한 접근을 승인한다. 리소스 획득부(150)는 크로스 도메인의 웹 리소스에 대한 접근여부가 승인되면, 제 3서버로부터 크로스 도메인의 웹 리소스를 직접 획득하거나 원 서버로 우회하여 획득할 수 있다.
도 3은 일 실시 예에 따른 리소스의 구조에 관한 도면이다. 다만, 이는 어디까지나 일 실시 예로 해석되어야 할 것이며, 리소스는 다양한 형태로 존재할 수 있다.
도 3을 참고하면, 리소스의 안전성 검증 장치(100)에 적재되는 리소스의 구조는 웹 리소스의 Name(50, 고유의 식별자), SIGNATRRE(시그니쳐, 51), 문서 객체(52)를 포함하여 구성될 수 있다. 웹 리소스의 Name은 고유의 식별자 이고, 시그니쳐(52)로 제 3서버의 크로스 도메인의 웹 리소스의 변조 여부를 검증할 수 있다. 도 3의 일 예와 같이, 문서 객체(52) 내에는 다수의 도메인과 연결된 웹 리소스를 포함할 수 있다. 도 3의 실시예에 따르면, 리소스의 문서 객체(52)에는 도메인 2(310)와 관련된 웹 리소스 및 도메인 2에 포함된 도메인 3(310)과 도메인 4(330)와 관련된 웹 리소스를 포함할 수 있다. 리소스는 다수의 리소스를 가리키는 참조 고리(hyperlink)들을 가지거나, 웹 서비스 메쉬업(mesh up) 형태를 가질 수 있다.
도 4는 일 실시 예에 따른 서버(200)의 블록도 이다. 일 실시 예에 따른 서버(200)는 웹 리소스 정보 획득부(210), 시그니쳐 생성부(220) 및 통신부(230)를 포함할 수 있다.
웹 리소스 정보 획득부(210)는 서버의 리소스가 참조하고 서버에서 안전성을 검증하는 크로스 도메인의 웹 리소스에 대해 제 3서버로부터 웹 리소스의 고유의 식별자 및 관련 정보를 획득한다. 서버 내 리소스는 다수의 도메인에 속한 웹 리소스를 참조할 수 있고, 웹 리소스 정보 획득부(210)는 리소스 내 포함된 다수의 도메인에 속한 웹 리소스에 대해 신뢰 연쇄 구조를 형성하기 위해 웹 리소스 정보를 획득할 수 있다. 일 실시 예에 따르면, 웹 리소스 정보 획득부(210)는 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스 및 크로스 도메인의 웹 리소스와 연결된 다른 크로스 도메인의 웹 리소스 등에 대해 제 3서버로부터 각각의 웹 리소스 별로 고유의 식별자를 획득할 수 있다.
웹 리소스 정보 획득부(210)는 고유의 식별자 외에 제 3서버로부터의 시그니쳐(signature), 웹 리소스에 관한 다른 정보들을 더 획득할 수 있으므로, 웹 리소스 정보 획득부(210)의 기능을 고유의 식별자에 관한 정보만 획득하는 것으로 한정하여 해석해야 할 것은 아니다.
시그니쳐 생성부(220)는 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성한다. 시그니쳐는 웹 리소스를 식별, 검증하거나 속성 등을 가리키기 위해 사용될 수 있는데, 일 실시 예에 따르면, 시그니쳐 생성부(220)는 요청받은 리소스 및 리소스에 포함된 크로스 도메인의 웹 리소스에 대한 안전성을 서버에서 보증하고, 웹 리소스의 변조를 방지하기 위해 시그니쳐를 생성할 수 있다. 또한, 리소스의 안전성 검증 장치로부터 리소스의 요청을 받으면 요청 받은 리소스 및 크로스 도메인의 웹 리소스에 대해 시그니쳐를 동적으로 생성할 수 있다.
다른 실시 예에 따르면, 시그니쳐 생성부는 해시 메시지 인증 코드(HMAC)를 포함할 수 있다. 이 경우 HMAC-MD5, HMAC-SHA1 등 다양한 인증 알고리즘을 이용하여 웹 리소스의 변조 여부를 검증할 수 있다. 또한, 시그니쳐 생성부(220)에서 생성한 시그니쳐는 크로스 도메인의 웹 리소스에 대한 신뢰도에 관한 정보를 포함할 수 있다.
통신부(230)는 리소스에 대한 요청에 응답하여, 리소스, 리소스에 포함된 크로스 도메인의 웹 리소스에 대한 고유의 식별자 및 시그니쳐를 네트워크를 통하여 리소스 안전성을 검증하는 장치에 제공할 수 있다. 또한, 통신부(230)는 리소스의 안전성 검증 장치로부터 리소스에 요청이 있으면, 그것이 참조하는 크로스 도메인의 웹 리소스 제공을 대행하거나 크로스 도메인의 웹 리소스에 대한 연결 링크를 제공할 수 있다.
서버의 도메인 내 리소스 및 서버의 리소스가 참조한 크로스 도메인의 웹 리소스의 형태는 다양할 수 있다. 따라서, 리소스의 안전성 검증 장치에서 요청하는 리소스의 타입에 따라 통신부(230)는 크로스 도메인의 웹 리소스와 연결되는 다양한 정보의 제공이 가능할 것이다.
도 5는 웹 리소스의 이름으로 도메인을 식별하고 접근하는 일 예이다. 도 5는 ICN(Information Centric Network)과 같은 이름 기반의 네트워킹에서 웹을 사용할 때 본 발명의 일 실시 예가 적용되는 일 예이다. 사용자 에이전트(510)는 웹 브라우저이고, “The New York Times” 리소스에 접근한다. The New York Times 의 고유의 식별자는 “www.nytimes.com” 이고, The New York Times 내에는 제 3서버의 크로스 도메인에서 제공하는 웹 리소스가 포함되어 있다. 도 5를 참고하면, “600 Reported Chemical Arms Exposure, U.S. Acknowledges”라는 제목의 기사가 크로스 도메인의 웹 리소스(520)에 해당한다. 크로스 도메인의 웹 리소스(520)의 고유의 식별자는 /nytimes.com/web/fontPage.html/v3/s1/… 이고, 이에 대한 해시(hash)는 0X1234567이다. “The New York Times” 리소스를 제공하는 원 서버(origin server)는 크로스 도메인의 웹 리소스(520)에 대해 안전성을 보증하고, 이를 리소스의 안전성 검증 장치에서 검증하기 위해 크로스 도메인의 웹 리소스(520)의 고유의 식별자를 획득하고, 웹 리소스 별로 시그니쳐를 생성할 수 있다. 리소스의 안전성 검증 장치는 원 서버로부터 검증 정보를 획득하여 “600 Reported Chemical Arms Exposure, U.S. Acknowledges” 기사에 대한 안전성을 확인하고, 접근을 승인할 수 있다. 도 5를 참고하면, 원 서버는 크로스 도메인의 웹 리소스에 안전성을 보증하는 신뢰 연쇄 구조(trust chain)를 형성할 수 있어서, 각각의 기사, 계층 구조가 있는 기사들, 연쇄 참조되는 기사들의 진위와 안정성을 보장할 수 있다.
도 6은 동일 출처 정책의 제약 없이 웹 리소스를 사용하는 일 예이다. 동일 출처 정책은 인터넷을 사용하는 클라이언트 측에서 원 서버의 웹 리소스만을 신뢰하고 그 외 악의적일 가능성이 있는 크로스 도메인의 웹 리소스에 대한 접근을 원천적으로 차단하는 보안 정책이다.
그러나, 본 발명의 일 실시 예에 따르면, 각각의 서버 별로 출처를 검증하지 않아도, 원 서버에서 보증하는 각각의 웹 리소스 별로 리소스의 안전성의 검증이 가능하다.
도 6을 참고하면, 사용자 에이전트(610)는 웹 브라우저이고, 원 서버의 리소스는 “iMapFlickr” 이고, “iMapFlickr” 내에는 다수의 크로스 도메인의 웹 리소스를 이용하여 메쉬업 서비스를 제공할 수 있다. 일 실시예에 따르면, 크로스 도메인의 웹 리소스 1(620)은 “www.imapflickr.com”을 고유의 식별자로 가지고, 이에 대해 원 서버로부터 시그니쳐 #hash 1을 가지므로 원 서버로부터 웹 리소스 1에 대해 안전성을 검증 받을 수 있다. 마찬가지로 웹 리소스 2(630)는 고유의 식별자가 “api.flickr.com/photoalbum/1211” 이고, 이에 대해 원 서버로부터 시그니처 #hash 3를 가진다. 크로스 도메인의 웹 리소스(630)를 제 3서버에서 제공하고, 다수의 도메인의 웹 리소스를 이용하여 매쉬업 서비스를 제공하는 경우, 본 발명의 일 실시 예에 따르면 동일 출처 정책을 우회하는 임시변통의 방법을 이용하지 않고도 각각의 웹 리소스의 안전성을 검증하여 매쉬업 형태의 서비스를 제공 받을 수 있다.
도 7은 웹 리소스의 개별 단위를 승인하여 세밀한 보안 정책을 적용하는 일 예이다. 도 7을 참고하면, 사용자 에이전트(710)는 웹 브라우저이고, 원 서버의 도메인에서 제공하는 리소스는 amazon echo 이고 고유의 식별자는 “www.amazon.com” 이다. 그리고 웹 페이지 상에는 다수의 다른 도메인에서 제공하는 크로스 도메인의 웹 리소스가 포함되어 있다. 이때, 본 발명의 일 실시 예에 따르면 각각의 웹 리소스 별로 안전성을 검증하므로 검증되지 않은 웹 리소스에 대해서는 접근을 승인하지 않을 수 있다. 도 7을 참고하면, www.amazon.com #hash1 (721), “dew9kzjyt2gn.cloudfront.net” #hash4 (722), “pagead2.googlesyndication.com” #hash5 (723), “s.amazon-adsystem.com” #hash6 (724), “z-ecx.images-amazon.com” #hash7 (725)에 대해서는 각각 리소스의 안전성 검증 장치로부터 크로스 도메인의 웹 리소스의 접근을 승인 받았고, #hash가 시그니쳐로 달려있다. 그러나, “(no domain)” (751), “ad.doubleclick.net” (752), “ad.doubleclick.net” (753)에 대해서는 리소스의 안전성 검증 장치로부터 크로스 도메인의 웹 리소스의 접근을 승인 받지 못했다. 이에 따르면, 원 서버가 시그니쳐를 만들지 않은 크로스 도메인의 웹 리소스들(751,752,753)은 사용자 에이전트(710) 측에서 안전성을 신뢰하지 않는다. 따라서, 리소스의 안전성 검증 장치는 웹 리소스를 다운받아 실행할 때 악의적으로 삽입된 크로스 도메인의 웹 리소스가 있더라도 이를 실행하지 않도록 보안 정책을 사용할 수 있다.
도 8은 사용자 에이전트, 원 서버, 제 3서버간 이루어지는 리소스의 안전성 검증 방법에 대한 일 예이다. 일 실시 예에 따르면, 사용자 에이전트(10), 원 서버(20) 및 제 3서버는 초기 네트워킹을 통하여 연결되어 있다(810).
원 서버(20)는 원 서버의 리소스가 참조하고 원 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 제 3서버로부터 웹 리소스의 고유의 식별자를 요청한다(820). 그리고, 원 서버(20)는 크로스 도메인을 포함하는 제3 서버로부터 크로스 도메인의 웹 리소스의 고유의 식별자(Name)와 해쉬(Hash)의 셋트를 획득할 수 있다(825). 원 서버(20)는 원 서버의 리소스에서 참조하는 크로스 도메인의 웹 리소스의 검증 정보와 함께 리소스를 제공할 준비를 한다(830). 이때, 원 서버(20)는 리소스가 참조하는 다수의 도메인에 속한 웹 리소스에 대해 신뢰연쇄 구조를 형성하여 웹 리소스에 대한 고유의 식별자를 획득할 수 있다.
사용자 에이전트(10)는 출처를 신뢰할 수 있는 원 서버(origin server)에 리소스를 요청할 수 있다(840).
그 다음, 원 서버(20)는 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성한다(850). 이때 Hash(Name) 형태의 시그니쳐를 생성할 수 있고, 이는 웹 리소스의 변조 여부를 검증하기 위해 이용될 수 있다.
사용자 에이전트(10)는 원 서버(20)로부터 요청했던 리소스를 획득하고, 획득한 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 검증 정보로 고유의 식별자(Name)와 원 서버에서 생성한 해쉬(Hash) 셋트를 획득할 수 있다. 사용자 에이전트(10)는 이를 검증 정보로 저장한다 (860).
그 다음, 사용자 에이전트(10)는 검증 정보를 이용하여 원 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 진위를 확인한다. 사용자 에이전트(10)는 제 3서버에 고유의 식별자를 요청하여, 요청에 따라 제 3서버로부터 수신한 고유의 식별자와 검증 정보 내 고유의 식별자를 비교하여 상기 크로스 도메인의 웹 리소스가 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인할 수 있다.
일 실시 예에 따르면, 사용자 에이전트(10)는 제공받은 고유의 식별자 1(Name1)에 대한 진위 여부를 확인하는 경우(870), 원 서버(20)에 고유의 식별자1(Name1)을 요청하고(875), 상기 요청에 따라 원 서버로부터 수신한 고유의 식별자와 검증 정보 내 고유의 식별자1(Name1)가 일치하면 이를 원 서버로부터 안전성을 검증 받은 진정한 리소스 1로 확인한다. 리소스 1의 진위가 확인되면 리소스 1에 대한 접근을 승인한다(890).
다른 실시 예에 따르면, 사용자 에이전트(10)는 원 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스 2의 진위 여부를 확인하는 경우(880), 크로스 도메인을 포함하는 제 3서버(30)에 크로스 도메인의 웹 리소스의 고유의 식별자2(Name2)를 요청하고(885), 상기 요청에 따라 제 3서버로부터 수신한 고유의 식별자2(Name2)와 검증 정보 내 고유의 식별자2(Name2)가 일치하면 이를 원 서버로부터 안전성을 검증 받은 진정한 리소스 2로 확인한다. 리소스 2의 진위가 확인되면 리소스 2에 대한 접근을 승인한다(890).
이하에서는 사용자 에이전트(10)에서 수행하는 리소스의 안전성 접근 방법을 도 9를 통하여 설명하고, 서버(20)에서 수행하는 리소스의 안전성 접근 방법을 도 10을 통하여 설명한다.
도 9는 일 실시 예에 따른 사용자 에이전트에서의 안전성 검증 방법의 흐름도이다. 사용자 에이전트는 초기 네트워킹을 가동한다(900). 그 다음, 출처를 신뢰할 수 있는 서버에 리소스를 요청한다(910). 이때, 리소스는 다수의 도메인과 연결된 웹 리소스를 포함할 수 있다. 사용자 에이전트에서 서버로부터 리소스를 획득하고(920), 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스 별로 고유의 식별자와 시그니쳐를 검증 정보로 저장한다(930).
그 다음, 검증 정보 내 고유의 식별자로 자체 검증하거나 제 3서버로부터 수신한 고유의 식별자와 일치하는지 여부를 판단한다(940). 판단 결과 고유의 식별자가 일치하면 서버로부터 안전성을 검증 받은 웹 리소스로 판단하여 크로스 도메인의 웹 리소스에 대한 접근 여부를 승인한다(950). 이때, 서버에서 크로스 도메인의 웹 리소스에 대해 부여한 신뢰도에 따라 크로스 도메인의 웹 리소스의 신뢰도를 결정할 수 있다. 또한, 검증 정보에 포함된 해시 기반 메시지 인증 코드(HMAC)을 포함하는 시그니쳐를 이용하여 웹 리소스의 변조 여부를 검증하는 단계를 더 포함할 수 있다. 또한, 크로스 도메인의 웹 리소스에 대한 접근여부가 승인되면, 제 3서버로부터 크로스 도메인의 웹 리소스를 획득하는 단계를 더 포함할 수 있다.
만일, 검증 정보 내 고유의 식별자와 제 3서버로부터 수신한 고유의 식별자가 일치하지 않는 경우(940), 크로스 도메인의 웹 리소스에 대한 접근을 차단하거나 웹 리소스를 신뢰하지 않을 수 있다(960).
그 다음, 크로스 도메인 내 다른 웹 리소스가 더 필요한지 판단하여(970), 다른 웹 리소스에 대한 안전성 검증이 필요하면, 검증 정보 내 고유의 식별자와 제 3서버로부터 수신한 고유의 식별자가 일치하는지 판단하는 단계를 반복한다(940).
만일, 크로스 도메인 내 다른 웹 리소스가 더 필요하지 않으면(970) 절차를 종료한다.
도 10은 다른 실시 예에 따른 서버를 이용한 출처 검증 방법의 흐름도이다. 서버는 초기 네트워킹을 가동한다(1000). 그 다음, 서버의 리소스 내 포함되고 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 크로스 도메인을 포함하는 제 3서버로부터 고유의 식별자를 획득한다(1010). 이때, 리소스가 참조하는 다수의 도메인과 연결된 웹 리소스에 대해 신뢰연쇄 구조를 형성할 수 있다. 그 다음, 서버는 리소스를 제공할 준비를 한다(1020). 사용자 에이전트로부터 리소스 요청이 있으면, 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성한다(1030).
그 다음, 서버는 리소스 요청에 응답하여, 서버의 리소스 및 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자 및 시그니쳐를 네트워크를 통해 제공한다(1040). 그리고 크로스 도메인 내 다른 웹 리소스가 더 필요한지 판단하여(1050), 다른 웹 리소스가 더 필요한 경우 시그니쳐를 생성하는 단계(1030)를 반복하고, 다른 웹 리소스가 더 필요하지 않은 경우 절차를 종료한다.
한편, 본 실시 예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현하는 것을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 실시예들을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 해당 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.
이상에서는 실시예들을 중심으로 기술적 특징들을 설명하였다. 하지만, 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 권리 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 권리범위에 포함된 것으로 해석되어야 할 것이다.
10: 사용자 에이전트
20: 원 서버
30: 제 3서버
100: 리소스의 안전성 검증 장치
110: 리소스 요청부
120: 검증 정보 저장부
130: 진위 확인부
135: 변조 검증부
140: 승인부
150: 리소스 획득부
200: 서버
210: 웹 리소스 정보 획득부
220: 시그니쳐 생성부
230: 통신부

Claims (19)

  1. 출처를 신뢰할 수 있는 원 서버(origin server)에 리소스를 요청하는 리소스 요청부;
    상기 원 서버로부터 상기 리소스를 획득하고 상기 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 저장하는 검증 정보 저장부;
    상기 크로스 도메인의 웹 리소스에 대하여 상기 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 상기 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 상기 크로스 도메인의 웹 리소스가 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인하는 진위 확인부; 및
    상기 진위를 확인하고 원 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 상기 크로스 도메인의 웹 리소스에 대한 접근을 승인하는 승인부를 포함하는 리소스의 안전성 검증 장치.
  2. 제1항에 있어서,
    상기 원 서버의 리소스는 원 서버에서 제 3서버의 웹 리소스를 참조하는 형태의 웹 플랫폼을 포함하는 리소스의 안전성 검증 장치.
  3. 제1항에 있어서,
    상기 원 서버의 리소스는 다수의 도메인에 속한 웹 리소스를 참조하고,
    상기 검증 정보 저장부는 상기 원 서버의 리소스가 참조하는 다수의 도메인의 웹 리소스들에 대해 신뢰 연쇄 구조를 형성하여 저장하는 리소스의 안전성 검증 장치.
  4. 제3항에 있어서,
    상기 검증 정보 저장부는 상기 원 서버의 리소스가 참조하는 크로스 도메인의 웹 리소스와 연결된 다른 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 각 웹 리소스 별로 저장하는 리소스의 안전성 검증 장치.
  5. 제1항에 있어서,
    상기 진위 확인부는 상기 검증 정보내 고유의 식별자와 제 3서버로부터 수신한 고유의 식별 정보의 동일성 판단을 수행하는 리소스의 안전성 검증 장치.
  6. 제1항에 있어서,
    상기 진위 확인부를 통하여 원 서버로부터 안전성을 검증 받은 진정한 웹 리소스로 확인되면, 원 서버에서 크로스 도메인의 웹 리소스에 대해 부여한 신뢰도에 따라 크로스 도메인의 웹 리소스의 신뢰도를 결정하는 신뢰도 결정부를 더 포함하는 리소스의 안전성 검증 장치.
  7. 제1항에 있어서,
    상기 검증 정보에 포함된 해시 메시지 인증 코드(HMAC)을 포함하는 시그니쳐를 이용하여 상기 웹 리소스의 변조 여부를 검증하는 변조 검증부를 더 포함하는 리소스의 안전성 검증 장치.
  8. 제1항에 있어서,
    상기 크로스 도메인의 웹 리소스에 대한 접근여부가 승인되면, 상기 제 3서버로부터 상기 크로스 도메인의 웹 리소스를 획득하는 리소스 획득부를 더 포함하는 리소스의 안전성 검증 장치.
  9. 서버의 리소스가 참조하고 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 상기 크로스 도메인을 포함하는 제 3서버로부터 상기 크로스 도메인의 웹 리소스의 고유의 식별자를 획득하는 웹 리소스 정보 획득부;
    상기 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성하는 시그니쳐 생성부;
    리소스에 대한 요청에 응답하여, 상기 요청된 리소스 및 상기 요청된 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자 및 상기 생성한 시그니쳐를 제공하는 통신부를 포함하는 서버.
  10. 제9항에 있어서,
    상기 리소스는 다수의 도메인의 웹 리소스를 참조하고,
    상기 웹 리소스 정보 획득부는 리소스가 참조하는 각 도메인의 웹 리소스에 대해 신뢰연쇄 구조를 형성하여 상기 웹 리소스에 대한 고유의 식별자를 획득하는 서버.
  11. 제9항에 있어서,
    상기 웹 리소스 정보 획득부는 리소스가 참조하는 크로스 도메인의 웹 리소스와 연결된 다른 도메인의 웹 리소스에 대한 고유의 식별자를 획득하는 서버.
  12. 제9항에 있어서,
    상기 시그니쳐 생성부는 리소스의 요청을 받으면, 상기 요청된 리소스 및 상기 요청된 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 시그니쳐를 동적으로 생성하는 서버.
  13. 제9항에 있어서,
    상기 시그니쳐 생성부는 해시 기반 메시지 인증 코드(HMAC)를 포함하고, 상기 크로스 도메인의 웹 리소스에 대한 신뢰도에 관한 정보를 포함하는 시그니쳐를 생성하는 서버.
  14. 제9항에 있어서,
    상기 통신부는 상기 리소스에 포함된 크로스 도메인의 웹 리소스에 대한 요청이 있으면, 상기 요청에 응답하여 상기 크로스 도메인의 웹 리소스에 호스팅하거나 상기 크로스 도메인의 웹 리소스에 대한 연결 링크를 제공하는 서버.
  15. 서버의 리소스가 참조하고 서버에서 안전성을 보증하는 크로스 도메인의 웹 리소스에 대해 상기 크로스 도메인을 포함하는 제 3서버로부터 상기 크로스 도메인의 웹 리소스의 고유의 식별자를 획득하는 단계;
    출처를 신뢰할 수 있는 서버에 리소스를 요청하는 단계;
    상기 서버에서 상기 크로스 도메인의 웹 리소스의 변조 여부를 검증하기 위해 웹 리소스 별로 시그니쳐를 생성하는 단계;
    상기 서버로부터 상기 리소스를 획득하고 상기 리소스가 참조하는 크로스 도메인의 웹 리소스에 대한 고유의 식별자와 시그니쳐를 검증 정보로 저장하는 단계;
    상기 크로스 도메인의 웹 리소스에 대하여 상기 검증 정보 내 고유의 식별자 및 크로스 도메인을 포함하는 제 3서버에 요청하여 상기 요청에 따라 제 3서버로부터 수신한 고유의 식별자를 비교하여 상기 크로스 도메인의 웹 리소스가 서버로부터 안전성을 검증 받은 진정한 웹 리소스인지 진위를 확인하는 단계; 및
    상기 진위를 확인하고 서버로부터 안전성을 검증 받은 웹 리소스인지 판단하여 상기 크로스 도메인의 웹 리소스에 대한 접근을 승인하는 단계를 포함하는 리소스의 안전성 검증 방법.
  16. 제15항에 있어서,
    상기 리소스는 다수의 도메인에 속한 웹 리소스를 참조하고,
    상기 고유의 식별자를 획득하는 단계는 상기 리소스가 참조하는 다수의 도메인에 속한 웹 리소스에 대해 신뢰연쇄 구조를 형성하여 상기 웹 리소스에 대한 고유의 식별자를 획득하는 리소스의 안전성 검증 방법.
  17. 제15항에 있어서,
    상기 진위가 확인되면, 서버에서 상기 크로스 도메인의 웹 리소스에 대해 부여한 신뢰도에 따라 상기 크로스 도메인의 웹 리소스의 신뢰도를 결정하는 단계를 더 포함하는 리소스의 안전성 검증 방법.
  18. 제15항에 있어서,
    상기 검증 정보에 포함된 해시 기반 메시지 인증 코드(HMAC)을 포함하는 시그니쳐를 이용하여 상기 웹 리소스의 변조 여부를 검증하는 단계를 더 포함하는 리소스의 안전성 검증 방법.
  19. 제15항에 있어서,
    상기 크로스 도메인의 웹 리소스에 대한 접근여부가 승인되면, 상기 제 3서버로부터 상기 크로스 도메인의 웹 리소스를 획득하는 단계를 더 포함하는 리소스의 안전성 검증 방법.
KR1020150033298A 2015-03-10 2015-03-10 리소스의 안전성 검증 장치와 서버 및 검증방법 KR20160109241A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150033298A KR20160109241A (ko) 2015-03-10 2015-03-10 리소스의 안전성 검증 장치와 서버 및 검증방법
US15/066,508 US20160269420A1 (en) 2015-03-10 2016-03-10 Apparatus for verifying safety of resource, server thereof, and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150033298A KR20160109241A (ko) 2015-03-10 2015-03-10 리소스의 안전성 검증 장치와 서버 및 검증방법

Publications (1)

Publication Number Publication Date
KR20160109241A true KR20160109241A (ko) 2016-09-21

Family

ID=56888592

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150033298A KR20160109241A (ko) 2015-03-10 2015-03-10 리소스의 안전성 검증 장치와 서버 및 검증방법

Country Status (2)

Country Link
US (1) US20160269420A1 (ko)
KR (1) KR20160109241A (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10038722B2 (en) * 2015-09-03 2018-07-31 Vmware, Inc. Access control policy management in a cloud services environment
CN109842626B (zh) * 2019-02-14 2021-07-02 众安信息技术服务有限公司 分配安全区域访问凭证的方法和装置
CN114944948B (zh) * 2022-05-16 2024-01-09 郑州小鸟信息科技有限公司 一种基于跨域用户权限跟随的方法及系统

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9235557B2 (en) * 2005-10-26 2016-01-12 Cortica, Ltd. System and method thereof for dynamically associating a link to an information resource with a multimedia content displayed in a web-page
US9317873B2 (en) * 2014-03-28 2016-04-19 Google Inc. Automatic verification of advertiser identifier in advertisements
US20160034946A1 (en) * 2014-04-07 2016-02-04 Google Inc. System and method for providing and managing third party content with call functionality

Also Published As

Publication number Publication date
US20160269420A1 (en) 2016-09-15

Similar Documents

Publication Publication Date Title
CN107135073B (zh) 接口调用方法和装置
Li et al. Analysing the Security of Google’s implementation of OpenID Connect
US9087183B2 (en) Method and system of securing accounts
EP3061027B1 (en) Verifying the security of a remote server
CA2448853C (en) Methods and systems for authentication of a user for sub-locations of a network location
KR101723937B1 (ko) 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스
CN112422532B (zh) 业务通信方法、系统、装置及电子设备
US20100146609A1 (en) Method and system of securing accounts
CN111355726B (zh) 一种身份授权登录方法、装置及电子设备和存储介质
USRE47533E1 (en) Method and system of securing accounts
CN112202705A (zh) 一种数字验签生成和校验方法、系统
CN112532599A (zh) 一种动态鉴权方法、装置、电子设备和存储介质
CN114117551B (zh) 一种访问验证方法及装置
KR20160109241A (ko) 리소스의 안전성 검증 장치와 서버 및 검증방법
KR100458515B1 (ko) 무선 인터넷을 통한 이동 단말용 응용프로그램 설치시스템 및 그 방법
CN110034922B (zh) 请求处理方法、处理装置以及请求验证方法、验证装置
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
KR101637155B1 (ko) 신뢰 서비스 장치를 이용한 신뢰된 아이덴티티 관리 서비스 제공 시스템 및 그 운영방법
Jayasri et al. Verification of oauth 2.0 using uppaal
CN114861144A (zh) 基于区块链的数据权限处理方法
CN111753308B (zh) 一种信息验证方法及电子设备
KR20140106940A (ko) 모바일 단말용 애플리케이션 검증 장치
US9521146B2 (en) Proof of possession for web browser cookie based security tokens
CN113065120A (zh) 接口调用鉴权方法、装置、电子设备及可读存储介质
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器