[go: up one dir, main page]

KR20140090279A - Service security authentication method and web application server therof - Google Patents

Service security authentication method and web application server therof Download PDF

Info

Publication number
KR20140090279A
KR20140090279A KR1020120142661A KR20120142661A KR20140090279A KR 20140090279 A KR20140090279 A KR 20140090279A KR 1020120142661 A KR1020120142661 A KR 1020120142661A KR 20120142661 A KR20120142661 A KR 20120142661A KR 20140090279 A KR20140090279 A KR 20140090279A
Authority
KR
South Korea
Prior art keywords
user terminal
application server
web application
authentication
certificate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
KR1020120142661A
Other languages
Korean (ko)
Inventor
박재호
Original Assignee
(주) 이노디에스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 이노디에스 filed Critical (주) 이노디에스
Priority to KR1020120142661A priority Critical patent/KR20140090279A/en
Publication of KR20140090279A publication Critical patent/KR20140090279A/en
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/161Computing infrastructure, e.g. computer clusters, blade chassis or hardware partitioning
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버에서의 서비스 보안 인증 방법으로서, 제1 인증서에 기초하여, 애플리케이션 프로그램을 업로드할 유저 단말과의 1차 인증을 수행하는 단계; 상기 유저 단말로부터 업로드된 애플리케이션 프로그램을 저장하는 단계; 상기 유저 단말이 정당한 업로드 권한을 가진 단말인지를 식별하기 위한 고유 식별자를 획득하는 단계; 상기 유저 단말이 정당한 업로드 권한을 가진 단말로 판별된 경우, 제2 인증서에 기초하여, 상기 유저 단말로의 접속을 위한 2차 인증을 수행하는 단계; 상기 2차 인증이 정상적으로 이루어진 경우, 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰을 상기 유저 단말로 전송하는 단계; 및 상기 유저 단말로부터 상기 토큰을 포함하는 활성화 제어 메시지가 수신되는 경우, 상기 수신된 활성화 제어 메시지에 상응하여 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 수행하는 단계를 포함하는 서비스 보안 인증 방법이 제공된다.A method for authenticating a service security in a web application server supporting a service based on cloud computing, the method comprising: performing a first authentication with a user terminal to upload an application program based on a first certificate; Storing an uploaded application program from the user terminal; Obtaining a unique identifier for identifying whether the user terminal is a terminal having a proper uploading authority; Performing a secondary authentication for connection to the user terminal based on the second certificate when the user terminal is determined to be a terminal having a proper uploading authority; Transmitting a token to be used for activation control of the uploaded application program to the user terminal when the secondary authentication is normally performed; And performing activation control of the uploaded application program in accordance with the received activation control message when an activation control message including the token is received from the user terminal.

Description

서비스 보안 인증 방법 및 이를 구현한 웹 애플리케이션 서버{SERVICE SECURITY AUTHENTICATION METHOD AND WEB APPLICATION SERVER THEROF}[0001] DESCRIPTION [0002] SERVICE SECURITY AUTHENTICATION METHOD AND WEB APPLICATION SERVER THEROF [

본 발명은 클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버에서의 서비스 보안 인증 방법에 관한 것이다.
The present invention relates to a service security authentication method in a web application server supporting a cloud computing based service.

클라우드 컴퓨팅 기술은 인터넷 상의 서버를 통하여 데이터 저장, 애플리케이션 프로그램, 컨텐츠의 사용 등을 할 수 있도록 가상 컴퓨팅 환경을 지원하는 기술을 의미한다. 따라서 특정 프로그램 또는 서비스를 이용하기 위해서 해당 애플리케이션 프로그램, 컨텐츠 등이 유저 PC, 스마트 폰 등에 직접 저장되어 있지 않더라도, 사용자는 이러한 클라우드 컴퓨팅 기술을 통하여 다양한 서비스를 제공 받을 수 있다.Cloud computing technology refers to a technology that supports virtual computing environments to store data, use application programs, and use content through servers on the Internet. Therefore, even if the application program, contents, etc. are not directly stored in a user PC or a smart phone for using a specific program or service, the user can receive various services through the cloud computing technology.

그러나 최근 이러한 클라우드 컴퓨팅 기반 서비스 과정에서 몇몇 보안상의 문제가 대두되고 있다. 일 예로, 클라우드 서비스를 제공하는 웹 애플리케이션 서버로 특정 애플리케이션 프로그램을 업로드함에 있어서, 그 프로그램 내에 해킹 프로그램 또는 바이러스 프로그램 등과 같은 악의적 프로그램을 삽입함으로써, 서버 자체는 물론 이를 이용하는 회원들에 피해를 주는 경우가 발생하고 있다. 또한 클라우드 서비스를 제공 받은 회원의 인증서를 해킹하여 위와 같은 문제를 일으키는 경우도 종종 발생하고 있다. 따라서 악의적 유저를 구별하여 해당 유저가 정당 권한을 갖는 유저인지를 식별하기 위해, 보안성이 강화된 서비스 보안 인증 방법이 요구된다.
However, in recent years, some security problems have arisen in such cloud computing-based services. For example, when uploading a specific application program to a web application server that provides a cloud service, a malicious program such as a hacking program or a virus program is inserted in the program, thereby damaging the server itself as well as members using the server . In addition, it often happens that the above problem is caused by hacking the certificate of the member who receives the cloud service. Therefore, a service security authentication method with enhanced security is required in order to distinguish malicious users and to identify whether the user is a user having a right authority.

본 발명은 클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버와 유저 단말 간의 상호 교차 인증을 통해서 서비스 보안성이 강화된 서비스 보안 인증 방법 및 이를 위한 웹 애플리케이션 서버를 제공하기 위한 것이다.The present invention provides a service security authentication method in which service security is enhanced through cross-certification between a web application server supporting a cloud computing-based service and a user terminal, and a web application server therefor.

또한 본 발명은 정당 권한의 업로더를 식별하기 위해 복제가 불가능한 고유 식별자를 이용하며, 애플리케이션 프로그램의 업로드를 위한 데이터 채널과 그 애플리케이션 프로그램을 활성화 제어를 위한 제어 채널을 서로 독립적으로 가져감으로써 서비스 보안성을 강화시킨 서비스 보안 인증 방법 및 이를 위한 웹 애플리케이션 서버를 제공하기 위한 것이다.
In addition, the present invention uses a unique identifier that can not be duplicated in order to identify the uploader of a party authority, and independently obtains a data channel for uploading an application program and a control channel for activation control of the application program, And a web application server for the service security authentication method.

본 발명의 일 측면에 따르면, 클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버에서의 서비스 보안 인증 방법으로서,According to an aspect of the present invention, there is provided a service security authentication method in a web application server supporting a service based on a cloud computing,

제1 인증서에 기초하여, 애플리케이션 프로그램을 업로드할 유저 단말과의 1차 인증을 수행하는 단계;Performing a primary authentication with a user terminal to upload an application program based on the first certificate;

상기 유저 단말로부터 업로드된 애플리케이션 프로그램을 저장하는 단계;Storing an uploaded application program from the user terminal;

상기 유저 단말이 정당한 업로드 권한을 가진 단말인지를 식별하기 위한 고유 식별자를 획득하는 단계;Obtaining a unique identifier for identifying whether the user terminal is a terminal having a proper uploading authority;

상기 유저 단말이 정당한 업로드 권한을 가진 단말로 판별된 경우, 제2 인증서에 기초하여, 상기 유저 단말로의 접속을 위한 2차 인증을 수행하는 단계;Performing a secondary authentication for connection to the user terminal based on the second certificate when the user terminal is determined to be a terminal having a proper uploading authority;

상기 2차 인증이 정상적으로 이루어진 경우, 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰을 상기 유저 단말로 전송하는 단계; 및Transmitting a token to be used for activation control of the uploaded application program to the user terminal when the secondary authentication is normally performed; And

상기 유저 단말로부터 상기 토큰을 포함하는 활성화 제어 메시지가 수신되는 경우, 상기 수신된 활성화 제어 메시지에 상응하여 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 수행하는 단계를 포함하는 서비스 보안 인증 방법이 제공된다.
And performing activation control of the uploaded application program according to the received activation control message when an activation control message including the token is received from the user terminal.

일 실시예에서, 상기 제1 인증서는, 상기 유저 단말의 상기 웹 애플리케이션 서버로의 접속 인증을 위해 사용되며, 상기 웹 애플리케이션 서버가 상기 유저 단말로 발급하거나 또는 상기 웹 애플리케이션 서버가 허용하는 인증서이고,In one embodiment, the first certificate is a certificate used by the user terminal for connection authentication to the web application server, issued by the web application server to the user terminal or allowed by the web application server,

상기 제2 인증서는, 상기 웹 애플리케이션 서버의 상기 유저 단말로의 접속 인증을 위해 사용되며, 상기 웹 애플리케이션 서버에 저장된 인증서일 수 있다.
The second certificate may be a certificate stored in the web application server and used for connection authentication of the web application server to the user terminal.

일 실시예에서, 상기 1차 인증을 수행하는 단계는,In one embodiment, performing the primary authentication comprises:

상기 제1 인증서를 이용한 상기 유저 단말로부터의 접속 요청에 따라 서버 접속을 위한 1차 인증을 수행하는 것일 수 있다.
And performing a primary authentication for connecting to the server according to a connection request from the user terminal using the first certificate.

일 실시예에서, 상기 고유 식별자는 상기 유저 단말의 CPU(Central Processing Unit) ID 일 수 있다.
In one embodiment, the unique identifier may be a CPU (Central Processing Unit) ID of the user terminal.

일 실시예에서, 상기 2차 인증을 수행하는 단계 이전에,In one embodiment, prior to performing the secondary authentication,

상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 상기 유저 단말로 전송하는 단계; 및Transmitting an activation request message for requesting activation of the uploaded application program to the user terminal; And

상기 활성화 요청 메시지를 수신한 유저 단말로부터 상기 토큰의 제공을 요청하는 토큰 요청 메시지를 수신하는 단계를 더 포함할 수 있다.And receiving a token request message requesting to provide the token from the user terminal that has received the activation request message.

이때, 상기 고유 식별자는 상기 토큰 요청 메시지에 포함될 수 있다.
At this time, the unique identifier may be included in the token request message.

일 실시예에서, 상기 애플리케이션 프로그램은, 상기 1차 인증을 통해 부여된 데이터 채널을 통해 상기 웹 애플리케이션 서버로 전송되고,In one embodiment, the application program is transmitted to the web application server via a data channel granted through the primary authentication,

상기 활성화 제어 메시지는, 상기 데이터 채널과 구별되는 별개의 보안 채널로서 상기 2차 인증을 통해 부여되는 제어 채널을 통해 상기 웹 애플리케이션 서버로 전송될 수 있다.
The activation control message may be transmitted to the web application server through a control channel assigned through the secondary authentication as a separate secure channel distinguished from the data channel.

일 실시예에서, 상기 활성화 제어 메시지는 상기 업로드된 애플리케이션 프로그램의 인스톨을 위한 제어 메시지이고,In one embodiment, the activation control message is a control message for installing the uploaded application program,

상기 활성화 제어를 수행하는 단계는, 상기 활성화 제어 메시지에 따라 상기 업로드된 애플리케이션의 인스톨을 수행하는 단계일 수 있다.
The step of performing the activation control may be the step of installing the uploaded application according to the activation control message.

본 발명의 다른 측면에 따르면, 클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버로서,According to another aspect of the present invention, there is provided a web application server supporting a service based on cloud computing,

유저 단말과의 통신을 수행하는 통신부;A communication unit for performing communication with a user terminal;

제1 인증서에 기초하여, 애플리케이션 프로그램을 업로드할 유저 단말과의 1차 인증을 수행하는 1차 인증 처리부;A primary authentication processing unit for performing primary authentication with a user terminal to upload an application program based on the first certificate;

상기 1차 인증이 정상적으로 이루어진 이후, 상기 유저 단말로부터 수신된 고유 식별자에 기초하여 상기 유저 단말이 정당한 업로드 권한을 가진 단말인지 여부를 판별하는 판별부;A determination unit for determining whether the user terminal is a terminal having a proper upload authority based on a unique identifier received from the user terminal after the first authentication is normally performed;

상기 유저 단말이 정당한 업로드 권한을 가진 단말로 판별된 경우, 제2 인증서에 기초하여, 상기 유저 단말로의 접속을 위한 2차 인증을 수행하는 2차 인증 처리부; 및A secondary authentication processing unit for performing secondary authentication for connection to the user terminal based on the second certificate when the user terminal is determined as a terminal having a proper uploading authority; And

상기 2차 인증이 정상적으로 이루어진 이후, 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰을 상기 통신부를 통해 상기 유저 단말로 전송하고, 상기 유저 단말로부터 상기 토큰을 포함하는 활성화 제어 메시지가 수신되는 경우 상기 수신된 활성화 제어 메시지에 상응하여 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 수행하는 제어부를 포함하는 웹 애플리케이션 서버가 제공된다.
A token to be used for activation control of the uploaded application program is transmitted to the user terminal through the communication unit after the secondary authentication is normally performed and when an activation control message including the token is received from the user terminal, And a control unit for performing activation control of the uploaded application program in accordance with the received activation control message.

일 실시예에서, 상기 제어부는, 상기 2차 인증 처리부에 의한 2차 인증이 수행되기 전에, 상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 상기 통신부를 통해 상기 유저 단말로 전송하고,In one embodiment, the control unit may transmit an activation request message for requesting activation of the uploaded application program to the user terminal through the communication unit before the secondary authentication processing unit performs the secondary authentication,

상기 판별부는, 상기 활성화 요청 메시지를 수신한 유저 단말로부터 상기 고유 식별자를 포함하는 토큰 요청 메시지가 수신된 경우, 상기 토큰 요청 메시지로부터 상기 고유 식별자를 추출하여 상기 판별을 수행할 수 있다.
When the token request message including the unique identifier is received from the user terminal that has received the activation request message, the determination unit may extract the unique identifier from the token request message and perform the determination.

일 실시예에서, 상기 애플리케이션 프로그램은, 상기 1차 인증을 통해 상기 제어부에 의해 부여된 데이터 채널을 통해 상기 웹 애플리케이션 서버로 전송되고,In one embodiment, the application program is transmitted to the web application server via the data channel assigned by the control unit through the primary authentication,

상기 활성화 제어 메시지는, 상기 데이터 채널과 구별되는 별개의 보안 채널로서 상기 2차 인증을 통해 상기 제어부에 의해 부여되는 제어 채널을 통해 상기 웹 애플리케이션 서버로 전송될 수 있다.
The activation control message may be transmitted to the web application server through a control channel assigned by the control unit through the secondary authentication as a separate secure channel distinguished from the data channel.

본 발명의 또 다른 측면에 따르면, 유저 단말에 의해 실행되는 경우, 상기 유저 단말로 하여금 웹 애플리케이션 서버와의 통신 연동을 통해 서비스 보안 인증에 관한 방법을 수행하도록 하는 명령어들을 포함하는 하나 이상의 프로그램을 저장한 컴퓨터 판독 가능 저장 매체로서, 상기 서비스 보안 인증 방법은,According to another aspect of the present invention, there is provided a method for managing a service security authentication, comprising the steps of: storing one or more programs including instructions for causing a user terminal to perform a method relating to service security authentication through interworking with a web application server A computer readable storage medium,

상기 웹 애플리케이션 서버로의 접속 인증을 위해 사용되는 제1 인증서에 기초하여 서버 접속을 위한 1차 인증을 수행하는 단계;Performing a primary authentication for a server connection based on a first certificate used for connection authentication to the web application server;

상기 1차 인증이 정상적으로 이루어진 경우, 유저에 의해 선택된 애플리케이션 프로그램을 상기 웹 애플리케이션 서버로 업로드 하는 단계;Uploading an application program selected by a user to the web application server when the primary authentication is normally performed;

상기 웹 애플리케이션 서버로부터 상기 업로드 한 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰의 제공을 요청하는 토큰 요청 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계; 및Sending a token request message to the web application server requesting to provide a token to be used for activation control of the uploaded application program from the web application server; And

제2 인증서에 기초한 상기 웹 애플리케이션 서버와의 2차 인증이 정상적으로 이루어진 이후 상기 토큰을 수신한 경우, 상기 토큰을 포함하는 활성화 제어 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계를 포함하는, 컴퓨터 판독 가능 저장 매체가 제공된다.
And transmitting to the web application server an activation control message including the token if the token has been received after the secondary authentication with the web application server based on the second certificate has been successfully performed. A medium is provided.

일 실시예에서, 상기 서비스 보안 인증 방법은,In one embodiment, the service security authentication method comprises:

토큰 요청 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계 이전에,Prior to transmitting the token request message to the web application server,

상기 웹 애플리케이션 서버로부터 상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 수신하는 단계를 더 포함하고,Receiving an activation request message for an activation request of the uploaded application program from the web application server,

상기 토큰 요청 메시지에는 상기 유저 단말이 정당한 업로드 권한을 가진 단말임을 식별시키기 위한 고유 식별자가 포함될 수 있다.
The token request message may include a unique identifier for identifying that the user terminal has a proper uploading authority.

본 발명의 실시예에 의하면, 클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버와 유저 단말 간의 상호 교차 인증을 통해서 서비스 보안성이 강화된 서비스 보안 인증 방법 및 이를 위한 웹 애플리케이션 서버를 제공할 수 있다.According to an embodiment of the present invention, a service security authentication method in which service security is enhanced through cross-certification between a web application server supporting a cloud computing-based service and a user terminal and a web application server for the same can be provided.

또한 본 발명의 실시예에 따르면, 정당 권한의 업로더를 식별하기 위해 복제가 불가능한 고유 식별자를 이용하며, 애플리케이션 프로그램의 업로드를 위한 데이터 채널과 그 애플리케이션 프로그램을 활성화 제어를 위한 제어 채널을 서로 독립적으로 가져감으로써 서비스 보안성을 한층 강화시킬 수 있다.
Further, according to an embodiment of the present invention, a unique identifier that can not be duplicated is used to identify an uploader of a party authority, and a data channel for uploading an application program and a control channel for activation control of the application program are independently The service security can be further strengthened by bringing it.

도 1은 본 발명의 실시예에 따른 서비스 보안 인증 방법이 적용된 웹 애플리케이션 서버의 구성을 설명하기 위한 도면.
도 2는 본 발명의 실시예에 따른 서비스 보안 인증 방법을 설명하기 위한 서비스 흐름도.BRIEF DESCRIPTION OF THE DRAWINGS FIG. 1 is a diagram illustrating a configuration of a web application server to which a service security authentication method according to an embodiment of the present invention is applied; FIG.
2 is a service flow diagram illustrating a service security authentication method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.While the present invention has been described in connection with certain exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, is intended to cover various modifications and similarities. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings. In addition, numerals (e.g., first, second, etc.) used in the description of the present invention are merely an identifier for distinguishing one component from another.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.Also, in this specification, when an element is referred to as being "connected" or "connected" with another element, the element may be directly connected or directly connected to the other element, It should be understood that, unless an opposite description is present, it may be connected or connected via another element in the middle.

이하, 첨부된 도면들을 참조하여 본 발명의 실시예들을 상세히 설명한다.
Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 서비스 보안 인증 방법이 적용된 웹 애플리케이션 서버의 구성을 설명하기 위한 도면이다.FIG. 1 is a diagram illustrating a configuration of a web application server to which a service security authentication method according to an embodiment of the present invention is applied.

도 1을 참조하면, 제1 유저 단말(100)과, 웹 애플리케이션 서버(200) 그리고 제2 유저 단말(300)이 도시되어 있다. 여기서, 제1 유저 단말(100)은 애플리케이션 프로그램을 웹 애플리케이션 서버(200)로 업로드 하는 업로더로서의 역할을 수행하는 사용자 측의 단말을 대표하는 것이고, 제2 유저 단말(300)은 웹 애플리케이션 서버(200)를 통해서 클라우드 컴퓨팅 서비스를 지원 받는 사용자 측의 대표하는 것이다. 따라서, 제1 유저 단말(100)과 제2 유저 단말(300)은, 도면 도시와 무관하게, 각각 복수로 존재할 수 있음은 자명하다. 즉, 도 1은 도면 도시의 편의 및 설명의 편의/집중을 위해, 본 발명의 실시예에 따른 서비스 보안 인증 방법을 설명하기 위한 개념적 도면임을 먼저 명확히 해두기로 한다. 또한 여기서, 제1 유저 단말(100)과 제2 유저 단말(300)은 웹 애플리케이션 서버(200)를 통해 클라우드 컴퓨팅 서비스를 받기 위해 회원 가입된 회원 단말일 수 있다.Referring to Figure 1, a first user terminal 100, a web application server 200 and a second user terminal 300 are shown. Here, the first user terminal 100 represents a terminal on the user side acting as an uploader for uploading an application program to the web application server 200, and the second user terminal 300 is a web application server 200). ≪ / RTI > Therefore, it is obvious that the first user terminal 100 and the second user terminal 300 can exist in plural, regardless of the drawings. That is, FIG. 1 is a conceptual diagram for explaining a service security authentication method according to an embodiment of the present invention, in order to facilitate convenience and concentration of the drawings and the drawings. Here, the first user terminal 100 and the second user terminal 300 may be member terminals that are members to receive the cloud computing service through the web application server 200.

그리고 웹 애플리케이션 서버(200)는, 본 발명의 실시예에 따른 서비스 보안 인증 방법을 구현하기 위해, 도 1에 도시된 바와 같이, 통신부(210), 인증서 저장부(220), 프로그램 저장부(230), 제어부(240), 1차 인증 처리부(250), 2차 인증 처리부(260), 판별부(270), 토큰 제공부(280)를 포함할 수 있다.1, the web application server 200 includes a communication unit 210, a certificate storage unit 220, a program storage unit 230 (FIG. 1) A control unit 240, a primary authentication processing unit 250, a secondary authentication processing unit 260, a determination unit 270, and a token providing unit 280.

다만 위 구성요소들 모두가 본 발명의 서비스 보안 인증 방법을 구현하기 위해 반드시 필요한 구성요소에 해당되지 않을 수도 있으며, 웹 애플리케이션 서버(200)는 이 보다 적은 구성요소들을 포함하여 구현될 수도 있다. 물론, 이 보다 더 많은 구성요소들을 포함하여 구현될 수도 있다. 또한 도 1에 도시된 웹애플리케이션 서버(200)에 있어서, 각 구성요소들은 각각의 개별적 기능에 초점을 맞춰 구분된 것에 불과하다. 따라서, 2개 이상의 구성요소가 하나의 구성요소로 통합 구현될 수도 있으며, 1개의 구성요소가 보다 세분화된 복수의 구성요소로 분리 구현될 수도 있음은 물론이다. 이러한 이유로, 특정 구성이 본 발명의 실시예에서의 적어도 하나의 구성요소와 동일한 기능을 수행한다면, 각 구성요소로의 구분 및 그 명칭과 무관하게, 도 1의 해당 구성요소들과 동일한 구성인 것으로 해석되어야 할 것이다.However, all of the above components may not necessarily be necessary components for implementing the service security authentication method of the present invention, and the web application server 200 may be implemented including fewer components. Of course, it may be implemented with more components than this. In addition, in the web application server 200 shown in FIG. 1, each component is merely focused on each individual function. Therefore, it is needless to say that two or more components may be integrally implemented as one component, and one component may be separately implemented as a plurality of subdivided components. For this reason, if a specific configuration performs the same function as at least one configuration element in the embodiment of the present invention, regardless of the division into each configuration element and the name thereof, It should be interpreted.

또한 제1 유저 단말(100)에는 웹 애플리케이션 서버(200)와의 관계에서 본 발명의 실시예에 따른 서비스 보안 인증 방법을 실행하기 위한 클라이언트 측 프로그램(이하, 클라이언트 프로그램(50)이라 명명함)이 설치될 수 있다. 이러한 유저 측 클라이언트 프로그램(50)은, 웹 애플리케이션 서버(200)가 제공하는 특정 웹 페이지 혹은 애플리케이션 스토어 등에서 다운로드 받을 수 있다. 물론, 클라이언트 프로그램(50)은, 포털 사이트 제공 업체(미도시) 혹은 각종 애플리케이션 제공 업체(미도시)가 운영하는 사이트 및 애플리케이션 스토어에서 다운로드 받을 수도 있다. 이를 위해, 웹 애플리케이션 서버(200), 포털 사이트 제공 업체, 애플리케이션 제공 업체 등은, 유저 측 클라이언트 프로그램을 특정 저장 매체(미도시)를 저장해둘 수 있다.A client-side program (hereinafter referred to as a client program 50) for executing the service security authentication method according to the embodiment of the present invention in relation to the web application server 200 is installed in the first user terminal 100 . The user-side client program 50 can be downloaded from a specific web page or an application store provided by the web application server 200. Of course, the client program 50 may also be downloaded from a site and application store operated by a portal site provider (not shown) or various application providers (not shown). To this end, the web application server 200, the portal site provider, the application provider, and the like may store the user-side client program in a specific storage medium (not shown).

이하, 웹 애플리케이션 서버(200)를 구성하는 각 구성요소들의 역할 및 기능, 그리고 클라이언트 프로그램(50)의 기능에 관해서는, 도 2에 도시된 서비스 흐름도의 설명 과정에서 함께 설명하기로 한다.
Hereinafter, the roles and functions of the respective components constituting the web application server 200 and the functions of the client program 50 will be described together in the description of the service flow diagram shown in FIG.

도 2는 본 발명의 실시예에 따른 서비스 보안 인증 방법을 설명하기 위한 서비스 흐름도이다.FIG. 2 is a service flowchart illustrating a service security authentication method according to an embodiment of the present invention.

도 2를 참조하면, 단계 S210에서, 특정 애플리케이션 프로그램을 업로드 하고자 하는 제1 유저 단말(100)과 웹 애플리케이션 서버(200) 간의 1차 인증이 수행된다. 1차 인증은 서버 인증을 위한 것으로서, 이러한 1차 인증에는 제1 유저 단말(100)에 저장된 제1 인증서(12)가 이용될 수 있다.Referring to FIG. 2, in step S210, the primary authentication between the first user terminal 100 and the web application server 200 to upload a specific application program is performed. The primary authentication is for server authentication, and the primary certificate 12 stored in the first user terminal 100 may be used for the primary authentication.

여기서, 제1 인증서(12)는 제1 유저 단말(100)의 웹 애플리케이션 서버(200)로의 접속 인증을 위해 사용되는 것으로, 웹 애플리케이션 서버(200)가 제1 유저 단말(100)에 발급해준 인증서 또는 웹 애플리케이션 서버(200)가 허용하는 인증서(예를 들어, 공인 인증서를 이용하되, 웹 애플리케이션 서버(200)에 인증서 등록해둔 것)일 수 있다. 이와 같이, 제1 유저 단말(100)이 제1 인증서(12)를 이용하여 웹 애플리케이션 서버(200)로의 접속 인증을 시도(요청)하는 경우, 웹 애플리케이션 서버(200)의 1차 인증 처리부(250)는 그 제1 인증서(12)에 기반하여 제1 유저 단말(100)의 클라이언트 프로그램(50)과의 연동을 통해서 1차 인증을 수행할 수 있다.Here, the first certificate 12 is used for authentication of connection to the web application server 200 of the first user terminal 100, and is a certificate (certificate) issued by the web application server 200 to the first user terminal 100 Or a certificate that the web application server 200 allows (e.g., using a public certificate, but having a certificate registered with the web application server 200). In this way, when the first user terminal 100 tries (requests) connection authentication to the web application server 200 using the first certificate 12, the first authentication processing unit 250 of the web application server 200 May perform the primary authentication through interworking with the client program 50 of the first user terminal 100 based on the first certificate 12.

1차 인증이 정상적으로 이루어진 경우, 단계 S220에서, 제1 유저 단말(100)은 업로드하고자 하는 애플리케이션 프로그램을 웹 애플리케이션 서버(200)로 전송한다. 이때, 애플리케이션 프로그램의 업로드는, 1차 인증에 따라 상기 웹 애플리케이션 서버(200)의 제어부(240)에 의해 부여된 특정 데이터 채널을 통해 이루어질 수 있다. 또한 이때 업로드된 애플리케이션 프로그램은 웹 애플리케이션 서버(200)의 특정 저장 공간(본 실시예에서는, 도 1의 프로그램 저장부(230) 참조)에 저장될 수 있다.If the primary authentication is normally performed, the first user terminal 100 transmits the application program to be uploaded to the web application server 200 in step S220. At this time, the upload of the application program may be performed through the specific data channel assigned by the control unit 240 of the web application server 200 according to the primary authentication. At this time, the uploaded application program may be stored in a specific storage space of the web application server 200 (in this embodiment, see the program storage unit 230 of FIG. 1).

애플리케이션 프로그램의 업로드가 완료되면, 단계 S230에서, 웹 애플리케이션 서버(200)의 제어부(240)는, 상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지(Activation request message)를 통신부(210)를 통해서 제1 유저 단말(100)로 전송한다.When the uploading of the application program is completed, the control unit 240 of the web application server 200 transmits an activation request message for requesting the activation of the uploaded application program through the communication unit 210 To the first user terminal 100.

이에 따라, 단계 S240에서, 제1 유저 단말(100)의 클라이언트 프로그램(50)은, 고유 식별자를 포함하는 토큰 요청 메시지를 웹 애플리케이션 서버(200)로 전송할 수 있다.Accordingly, in step S240, the client program 50 of the first user terminal 100 can transmit a token request message including the unique identifier to the web application server 200. [

여기서, 상기 고유 식별자는, 향후 본 발명의 실시예에 따른 서비스 보안 인증 과정에서 해당 유저 단말이 정당한 업로드 권한을 가진 단말인지를 식별하기 위한 용도로서 사용된다. 가령, 앞선 1차 인증 과정에 사용된 제1 인증서가 악의적 사용자에 의해 복제되거나 해킹된 경우를 가정하면, 상기 1차 인증이 정상적으로 이루어졌다는 것만으로는 그 1차 인증을 한 사용자가 정당한 사용자인지를 확인하기 어려울 수 있다. 따라서, 본 발명의 실시예에서는, 그 1차 인증을 한 사용자가 정당 업로더인지를 재차 확인하기 위한 용도로서, 해당 유저 단말에 고유 식별자를 더 요구한다. 이와 같은 고유 식별자는, 해당 유저 단말을 식별할 수 있는 것이라면 다양한 식별자들이 사용될 수 있지만, 악의적 사용자를 구별해내기 위한 용도로서 사용되는 것이므로 가급적 복제가 용이하지 않은 식별자(예를 들어, CPU ID 등)가 이용되는 것이 바람직하다. 그리고 경우에 따라서 상기 고유 식별자는 유저 단말과 웹 애플리케이션 서버 간에 사전 정의된 암호화 방식에 따라 암호화 처리되어 전송될 수도 있다.Here, the unique identifier is used to identify whether the corresponding user terminal has a proper upload right in the service security authentication process according to the embodiment of the present invention. For example, if it is assumed that the first certificate used in the previous first authentication process is duplicated or hacked by a malicious user, only that the first authentication has been normally performed, the user who has performed the first authentication is a legitimate user It can be difficult to confirm. Therefore, in the embodiment of the present invention, as a purpose of re-confirming whether the user who has performed the primary authentication is a party uploader again, the user terminal is further requested to have a unique identifier. Such a unique identifier may be various identifiers as long as it can identify the user terminal, but is used as an application for distinguishing a malicious user. Therefore, an identifier (for example, a CPU ID or the like) Is preferably used. In some cases, the unique identifier may be encrypted and transmitted according to a predefined encryption scheme between the user terminal and the web application server.

상술한 바와 같은 방법으로 고유 식별자가 수신되면, 웹 애플리케이션 서버(200)의 판별부(270)는 그 수신된 고유 식별자에 기초하여 해당 유저 단말이 정당 업로더인지를 판별하게 된다. 이에 따른 판별 결과, 해당 유저 단말이 정당한 업로더로 판별되면, 단계 S250에서, 웹 애플리케이션 서버(200)의 2차 인증 처리부(260)는 제1 유저 단말(100)의 클라이언트 프로그램(50)과의 사이에서 2차 인증을 수행한다.When the unique identifier is received in the above-described manner, the determination unit 270 of the web application server 200 determines whether the corresponding user terminal is a legitimate uploader, based on the received unique identifier. If it is determined that the user terminal is a legitimate uploader in step S250, the secondary authentication processing unit 260 of the web application server 200 notifies the client program 50 of the first user terminal 100 The second authentication is performed between the first authentication and the second authentication.

이때, 2차 인증은, 단말 인증을 위한 것으로서, 이는 웹 애플리케이션 서버(200)의 인증서 저장부(220)에 저장된 제2 인증서(14)에 기초하여 이루어질 수 있다. 여기서, 제2 인증서(14)는 웹 애플리케이션 서버(200)의 제1 유저 단말(100)로의 접속 인증에 사용되는 것으로, 제1 인증서(12)와는 구별되는 별개의 인증서이다.At this time, the secondary authentication is for terminal authentication, which can be performed based on the second certificate 14 stored in the certificate storage unit 220 of the web application server 200. Here, the second certificate 14 is used to authenticate the connection to the first user terminal 100 of the web application server 200, and is a separate certificate distinguished from the first certificate 12. [

이와 같이, 본 발명의 실시예에서는, 서비스 보안성 강화를 위해서, 고유 식별자에 기초한 정당 업로더 판별이 이루어진 이후 웹 애플리케이션 서버(200)에 저장된 제2 인증서(14)를 이용한 2차 인증 과정이 재차 수행된다. 즉, 본 발명의 실시예에 의할 때, 애플리케이션 프로그램의 업로드 자체는 1차 인증 과정이 정상적으로 이루어진 것만으로도 가능하지만, 그 업로드된 애플리케이션 프로그램의 활성화 제어는 2차 인증 과정까지가 정상적으로 이루어진 경우에 한하여 가능하도록 제한함으로써 서비스 보안성을 강화하고 있다.As described above, in the embodiment of the present invention, the second authentication process using the second certificate 14 stored in the web application server 200 is performed again after the partial uploader is discriminated based on the unique identifier . In other words, according to the embodiment of the present invention, the uploading of the application program itself can be accomplished only by the first authentication process normally. However, if the activation of the uploaded application program is normally performed until the second authentication process This is strengthening the security of the service by limiting it to only one.

이와 같은 2차 인증이 정상적으로 이루어지면, 단계 S260에서, 웹 애플리케이션 서버(200)의 토큰 제공부(280)는 통신부(210)를 통해서 제1 유저 단말(100)로 토큰을 전송한다. 본 단계를 통해 제1 유저 단말(100)로 제공되는 토큰은 제1 유저 단말(100)로부터 웹 애플리케이션 서버(200)로 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용되는 것으로서, 2차 인증 과정까지 완료된 이후에는 해당 토큰을 이용하여 각종 제어 메시지의 서비스 보안을 판단하게 된다.In step S260, the token providing unit 280 of the web application server 200 transmits the token to the first user terminal 100 through the communication unit 210. If the second authentication is successful, The token provided to the first user terminal 100 through this step is used for controlling the activation of the application program uploaded from the first user terminal 100 to the web application server 200, Thereafter, the service security of various control messages is determined using the token.

또한 본 발명의 실시예에 의할 때, 2차 인증 과정이 완료된 이후에 유저 단말과 서버 간 메시지 송수신은, 앞선 1차 인증 과정을 통해서 부여된 데이터 채널과는 구별되는 별개의 보안(인증) 채널인 소정의 제어 채널을 통해 이루어질 수 있다. 이와 같이, 본 발명의 실시예에서는, 1차 인증 이후에 애플리케이션 프로그램을 업로드하기 위한 통신 채널과, 2차 인증 이후에 제어 메시지를 송수신하기 위한 통신 채널을 서로 달리함으로써, 서비스 보안성을 한층 더 강화시키고 있다.In addition, according to the embodiment of the present invention, after the second authentication process is completed, the message transmission / reception between the user terminal and the server is performed by a separate security (authentication) channel distinguished from the data channel provided through the first authentication process Lt; RTI ID = 0.0 > a < / RTI > predetermined control channel. As described above, in the embodiment of the present invention, by differentiating the communication channel for uploading the application program after the primary authentication and the communication channel for transmitting and receiving the control message after the secondary authentication, the service security is further enhanced I have to.

즉, 상술한 본 발명의 실시예에 따른 서비스 보안 인증 방법에 의하면, 애플리케이션 프로그램의 업로드가 1차 인증 과정에서 부여된 데이터 채널을 통해서 이루어진 이후에도, 고유 식별자에 기초한 정당 업로더 확인 과정, 이에 따른 2차 인증 과정, 2차 인증 과정이 정상적으로 이루어짐에 따라 부여된 별도의 보안 채널을 통한 활성화 제어 과정 등의 몇 겹의 보안 강화 단계를 통해서 전체 시스템의 서비스 보안성을 강화시킬 수 있는 효과가 있다.That is, according to the service security authentication method according to the embodiment of the present invention described above, even after the upload of the application program is performed through the data channel assigned in the primary authentication process, the partial uploader authentication process based on the unique identifier, The security of the entire system can be strengthened through several layers of security enhancement steps such as an activation control process through a separate secure channel provided that the second authentication process is normally performed.

이후, 단계 S270에서와 같이, 제1 유저 단말(100)로부터 그 제공된 토큰을 포함하는 소정의 활성화 제어 메시지(Activation message)가 상술한 별개의 보안 채널인 제어 채널을 통해 전달되면, 웹 애플리케이션 서버(200)의 제어부(240)는 해당 활성화 제어 메시지에 상응하여 업로드된 애플리케이션 프로그램의 활성화 제어 동작을 수행할 수 있다. 예를 들어, 제어부(240)는, 수신된 활성화 제어 메시지에 기초하여, 업로드된 애플리케이션 프로그램의 인스톨 동작을 수행할 수 있는 것이다. 이에 의하면, 프로그램의 인스톨 과정이 2차 인증 과정 이후에 이루어지므로, 정당 업로더가 아닌 악의적 사용자로부터 업로드된 프로그램이 인스톨 됨으로써 악성 코드/해킹 프로그램이 설치/확산되던 종래 기술에 따른 문제점을 해결할 수 있다.
Thereafter, when a predetermined activation control message including the provided token is delivered from the first user terminal 100 via the control channel, which is a separate secure channel, as in step S270, the web application server 200 may perform the activation control operation of the uploaded application program in accordance with the activation control message. For example, the control unit 240 can perform an installation operation of the uploaded application program based on the received activation control message. In this case, since the process of installing the program is performed after the second authentication process, the problem that the malicious code / hacking program has been installed / diffused can be solved by installing the uploaded program from the malicious user, not the party uploader .

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it will be understood by those of ordinary skill in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the following claims And changes may be made without departing from the spirit and scope of the invention.

100 : 제1 유저 단말
200 : 웹 애플리케이션 서버
210 : 통신부
220 : 인증서 저장부
230 : 프로그램 저장부
240 : 제어부
250 : 1차 인증 처리부
260 : 2차 인증 처리부
270 : 판별부
280 : 토큰 제공부100: first user terminal
200: Web Application Server
210:
220: Certificate storing unit
230: Program storage unit
240:
250: primary authentication processing unit
260: secondary authentication processing unit
270:
280: Token Offering

Claims (14)

클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버에서의 서비스 보안 인증 방법으로서,
제1 인증서에 기초하여, 애플리케이션 프로그램을 업로드할 유저 단말과의 1차 인증을 수행하는 단계;
상기 유저 단말로부터 업로드된 애플리케이션 프로그램을 저장하는 단계;
상기 유저 단말이 정당한 업로드 권한을 가진 단말인지를 식별하기 위한 고유 식별자를 획득하는 단계;
상기 유저 단말이 정당한 업로드 권한을 가진 단말로 판별된 경우, 제2 인증서에 기초하여, 상기 유저 단말로의 접속을 위한 2차 인증을 수행하는 단계;
상기 2차 인증이 정상적으로 이루어진 경우, 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰을 상기 유저 단말로 전송하는 단계; 및
상기 유저 단말로부터 상기 토큰을 포함하는 활성화 제어 메시지가 수신되는 경우, 상기 수신된 활성화 제어 메시지에 상응하여 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 수행하는 단계
를 포함하는 서비스 보안 인증 방법.
A service security authentication method in a web application server supporting a service based on cloud computing,
Performing a primary authentication with a user terminal to upload an application program based on the first certificate;
Storing an uploaded application program from the user terminal;
Obtaining a unique identifier for identifying whether the user terminal is a terminal having a proper uploading authority;
Performing a secondary authentication for connection to the user terminal based on the second certificate when the user terminal is determined to be a terminal having a proper uploading authority;
Transmitting a token to be used for activation control of the uploaded application program to the user terminal when the secondary authentication is normally performed; And
Performing activation control of the uploaded application program corresponding to the received activation control message when an activation control message including the token is received from the user terminal
The method comprising the steps of:
제1항에 있어서,
상기 제1 인증서는, 상기 유저 단말의 상기 웹 애플리케이션 서버로의 접속 인증을 위해 사용되며, 상기 웹 애플리케이션 서버가 상기 유저 단말로 발급하거나 또는 상기 웹 애플리케이션 서버가 허용하는 인증서이고,
상기 제2 인증서는, 상기 웹 애플리케이션 서버의 상기 유저 단말로의 접속 인증을 위해 사용되며, 상기 웹 애플리케이션 서버에 저장된 인증서인, 서비스 보안 인증 방법.
The method according to claim 1,
Wherein the first certificate is a certificate used by the user terminal to authenticate connection to the web application server and issued by the web application server to the user terminal or allowed by the web application server,
Wherein the second certificate is used for connection authentication of the web application server to the user terminal and is a certificate stored in the web application server.
제1항에 있어서,
상기 1차 인증을 수행하는 단계는,
상기 제1 인증서를 이용한 상기 유저 단말로부터의 접속 요청에 따라 서버 접속을 위한 1차 인증을 수행하는 것인, 서비스 보안 인증 방법.
The method according to claim 1,
The step of performing the primary authentication includes:
And performs a primary authentication for connection to a server according to a connection request from the user terminal using the first certificate.
제1항에 있어서,
상기 고유 식별자는 상기 유저 단말의 CPU(Central Processing Unit) ID 인 것을 특징으로 하는 서비스 보안 인증 방법.
The method according to claim 1,
And the unique identifier is a central processing unit (CPU) ID of the user terminal.
제1항에 있어서,
상기 2차 인증을 수행하는 단계 이전에,
상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 상기 유저 단말로 전송하는 단계; 및
상기 활성화 요청 메시지를 수신한 유저 단말로부터 상기 토큰의 제공을 요청하는 토큰 요청 메시지를 수신하는 단계를 더 포함하고,
상기 고유 식별자는 상기 토큰 요청 메시지에 포함되는 것을 특징으로 하는 서비스 보안 인증 방법.
The method according to claim 1,
Before the step of performing the secondary authentication,
Transmitting an activation request message for requesting activation of the uploaded application program to the user terminal; And
Further comprising receiving a token request message requesting to provide the token from a user terminal that has received the activation request message,
Wherein the unique identifier is included in the token request message.
제5항에 있어서,
상기 애플리케이션 프로그램은, 상기 1차 인증을 통해 부여된 데이터 채널을 통해 상기 웹 애플리케이션 서버로 전송되고,
상기 활성화 제어 메시지는, 상기 데이터 채널과 구별되는 별개의 보안 채널로서 상기 2차 인증을 통해 부여되는 제어 채널을 통해 상기 웹 애플리케이션 서버로 전송되는, 서비스 보안 인증 방법.
6. The method of claim 5,
Wherein the application program is transmitted to the web application server through a data channel assigned through the primary authentication,
Wherein the activation control message is transmitted to the web application server through a control channel assigned through the secondary authentication as a separate secure channel distinguished from the data channel.
제1항에 있어서,
상기 활성화 제어 메시지는 상기 업로드된 애플리케이션 프로그램의 인스톨을 위한 제어 메시지이되,
상기 활성화 제어를 수행하는 단계는, 상기 활성화 제어 메시지에 따라 상기 업로드된 애플리케이션의 인스톨을 수행하는 단계인, 서비스 보안 인증 방법.
The method according to claim 1,
The activation control message is a control message for installing the uploaded application program,
Wherein performing the activation control comprises installing the uploaded application according to the activation control message.
클라우드 컴퓨팅 기반의 서비스를 지원하는 웹 애플리케이션 서버로서,
유저 단말과의 통신을 수행하는 통신부;
제1 인증서에 기초하여, 애플리케이션 프로그램을 업로드할 유저 단말과의 1차 인증을 수행하는 1차 인증 처리부;
상기 1차 인증이 정상적으로 이루어진 이후, 상기 유저 단말로부터 수신된 고유 식별자에 기초하여 상기 유저 단말이 정당한 업로드 권한을 가진 단말인지 여부를 판별하는 판별부;
상기 유저 단말이 정당한 업로드 권한을 가진 단말로 판별된 경우, 제2 인증서에 기초하여, 상기 유저 단말로의 접속을 위한 2차 인증을 수행하는 2차 인증 처리부; 및
상기 2차 인증이 정상적으로 이루어진 이후, 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰을 상기 통신부를 통해 상기 유저 단말로 전송하고, 상기 유저 단말로부터 상기 토큰을 포함하는 활성화 제어 메시지가 수신되는 경우 상기 수신된 활성화 제어 메시지에 상응하여 상기 업로드된 애플리케이션 프로그램의 활성화 제어를 수행하는 제어부
를 포함하는 웹 애플리케이션 서버.
As a web application server that supports services based on cloud computing,
A communication unit for performing communication with a user terminal;
A primary authentication processing unit for performing primary authentication with a user terminal to upload an application program based on the first certificate;
A determination unit for determining whether the user terminal is a terminal having a proper upload authority based on a unique identifier received from the user terminal after the first authentication is normally performed;
A secondary authentication processing unit for performing secondary authentication for connection to the user terminal based on the second certificate when the user terminal is determined as a terminal having a proper uploading authority; And
A token to be used for activation control of the uploaded application program is transmitted to the user terminal through the communication unit after the secondary authentication is normally performed and when an activation control message including the token is received from the user terminal, A control unit for performing activation control of the uploaded application program in accordance with the received activation control message,
A web application server.
제8항에 있어서,
상기 제1 인증서는, 상기 유저 단말의 상기 웹 애플리케이션 서버로의 접속 인증을 위해 사용되며, 상기 유저 단말에 저장되고, 상기 웹 애플리케이션 서버가 상기 유저 단말로 발급하거나 또는 상기 웹 애플리케이션 서버가 허용하는 인증서이고,
상기 제2 인증서는, 상기 웹 애플리케이션 서버의 상기 유저 단말로의 접속 인증을 위해 사용되며, 상기 웹 애플리케이션 서버에 저장된 인증서인, 웹 애플리케이션 서버.
9. The method of claim 8,
Wherein the first certificate is used for authentication of connection of the user terminal to the web application server and is stored in the user terminal, and the certificate is issued to the user terminal or a certificate ego,
Wherein the second certificate is used to authenticate connection to the user terminal of the web application server and is a certificate stored in the web application server.
제8항에 있어서,
상기 제어부는,
상기 2차 인증 처리부에 의한 2차 인증이 수행되기 전에, 상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 상기 통신부를 통해 상기 유저 단말로 전송하고,
상기 판별부는, 상기 활성화 요청 메시지를 수신한 유저 단말로부터 상기 고유 식별자를 포함하는 토큰 요청 메시지가 수신된 경우, 상기 토큰 요청 메시지로부터 상기 고유 식별자를 추출하여 상기 판별을 수행하는, 웹 애플리케이션 서버.
9. The method of claim 8,
Wherein,
Transmitting an activation request message for requesting activation of the uploaded application program to the user terminal through the communication unit before the secondary authentication processing unit performs the secondary authentication,
Wherein the determination unit extracts the unique identifier from the token request message and performs the determination when the token request message including the unique identifier is received from the user terminal that has received the activation request message.
제8항에 있어서,
상기 애플리케이션 프로그램은, 상기 1차 인증을 통해 상기 제어부에 의해 부여된 데이터 채널을 통해 상기 웹 애플리케이션 서버로 전송되고,
상기 활성화 제어 메시지는, 상기 데이터 채널과 구별되는 별개의 보안 채널로서 상기 2차 인증을 통해 상기 제어부에 의해 부여되는 제어 채널을 통해 상기 웹 애플리케이션 서버로 전송되는, 웹 애플리케이션 서버.
9. The method of claim 8,
Wherein the application program is transmitted to the web application server via the data channel assigned by the control unit through the primary authentication,
Wherein the activation control message is transmitted to the web application server via a control channel assigned by the control unit through the secondary authentication as a separate secure channel distinguished from the data channel.
유저 단말에 의해 실행되는 경우, 상기 유저 단말로 하여금 웹 애플리케이션 서버와의 통신 연동을 통해 서비스 보안 인증에 관한 방법을 수행하도록 하는 명령어들을 포함하는 하나 이상의 프로그램을 저장한 컴퓨터 판독 가능 저장 매체로서, 상기 서비스 보안 인증 방법은,
상기 웹 애플리케이션 서버로의 접속 인증을 위해 사용되는 제1 인증서에 기초하여 서버 접속을 위한 1차 인증을 수행하는 단계;
상기 1차 인증이 정상적으로 이루어진 경우, 유저에 의해 선택된 애플리케이션 프로그램을 상기 웹 애플리케이션 서버로 업로드 하는 단계;
상기 웹 애플리케이션 서버로부터 상기 업로드 한 애플리케이션 프로그램의 활성화 제어를 위해 사용될 토큰의 제공을 요청하는 토큰 요청 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계; 및
제2 인증서에 기초한 상기 웹 애플리케이션 서버와의 2차 인증이 정상적으로 이루어진 이후 상기 토큰을 수신한 경우, 상기 토큰을 포함하는 활성화 제어 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계를 포함하는, 컴퓨터 판독 가능 저장 매체.
A computer-readable storage medium having stored thereon one or more programs that, when executed by a user terminal, include instructions for causing the user terminal to perform a method for service security authentication through interworking with a web application server, The service security authentication method,
Performing a primary authentication for a server connection based on a first certificate used for connection authentication to the web application server;
Uploading an application program selected by a user to the web application server when the primary authentication is normally performed;
Sending a token request message to the web application server requesting to provide a token to be used for activation control of the uploaded application program from the web application server; And
And transmitting to the web application server an activation control message including the token if the token has been received after the secondary authentication with the web application server based on the second certificate has been successfully performed. media.
제12항에 있어서,
상기 서비스 보안 인증 방법은,
토큰 요청 메시지를 상기 웹 애플리케이션 서버로 전송하는 단계 이전에,
상기 웹 애플리케이션 서버로부터 상기 업로드된 애플리케이션 프로그램의 활성화 요청을 위한 활성화 요청 메시지를 수신하는 단계를 더 포함하고,
상기 토큰 요청 메시지에는 상기 유저 단말이 정당한 업로드 권한을 가진 단말임을 식별시키기 위한 고유 식별자가 포함되는 것을 특징으로 하는, 컴퓨터 판독 가능 저장 매체.
13. The method of claim 12,
The service security authentication method includes:
Prior to transmitting the token request message to the web application server,
Receiving an activation request message for an activation request of the uploaded application program from the web application server,
Wherein the token request message includes a unique identifier for identifying that the user terminal is a terminal having a proper uploading authority.
제13항에 있어서,
상기 고유 식별자는, 상기 유저 단말의 CPU(Central Processing Unit) ID 인, 컴퓨터 판독 가능 저장 매체.
14. The method of claim 13,
And the unique identifier is a CPU (Central Processing Unit) ID of the user terminal.
KR1020120142661A 2012-12-10 2012-12-10 Service security authentication method and web application server therof Withdrawn KR20140090279A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120142661A KR20140090279A (en) 2012-12-10 2012-12-10 Service security authentication method and web application server therof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120142661A KR20140090279A (en) 2012-12-10 2012-12-10 Service security authentication method and web application server therof

Publications (1)

Publication Number Publication Date
KR20140090279A true KR20140090279A (en) 2014-07-17

Family

ID=51737944

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120142661A Withdrawn KR20140090279A (en) 2012-12-10 2012-12-10 Service security authentication method and web application server therof

Country Status (1)

Country Link
KR (1) KR20140090279A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105100110A (en) * 2015-08-20 2015-11-25 沈阳成卓科技有限公司 Blasting operation intelligent service platform and blasting operation intelligent monitoring method for platform
WO2016024838A1 (en) * 2014-08-13 2016-02-18 (주)잉카엔트웍스 Method and system for providing cloud-based application security service
KR20180005887A (en) 2016-07-07 2018-01-17 삼성에스디에스 주식회사 Method for authenticating client system, client device and authentication server
CN112612770A (en) * 2020-12-28 2021-04-06 深圳市科创思科技有限公司 Distributed file uploading method and system
CN113438246A (en) * 2021-06-29 2021-09-24 四川巧夺天工信息安全智能设备有限公司 Data security and authority control method for intelligent terminal

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2016024838A1 (en) * 2014-08-13 2016-02-18 (주)잉카엔트웍스 Method and system for providing cloud-based application security service
KR20160020294A (en) * 2014-08-13 2016-02-23 (주)잉카엔트웍스 Method and system for providing application security service based on cloud
US10296728B2 (en) 2014-08-13 2019-05-21 Inka Entworks, Inc. Method and system for providing cloud-based application security service
CN105100110A (en) * 2015-08-20 2015-11-25 沈阳成卓科技有限公司 Blasting operation intelligent service platform and blasting operation intelligent monitoring method for platform
CN105100110B (en) * 2015-08-20 2018-10-26 沈阳成卓科技有限公司 Bursting work intelligent Service Platform and the method for platform intelligent monitoring bursting work
KR20180005887A (en) 2016-07-07 2018-01-17 삼성에스디에스 주식회사 Method for authenticating client system, client device and authentication server
CN112612770A (en) * 2020-12-28 2021-04-06 深圳市科创思科技有限公司 Distributed file uploading method and system
CN112612770B (en) * 2020-12-28 2024-05-14 深圳市科创思科技有限公司 Distributed file uploading method and system
CN113438246A (en) * 2021-06-29 2021-09-24 四川巧夺天工信息安全智能设备有限公司 Data security and authority control method for intelligent terminal
CN113438246B (en) * 2021-06-29 2023-05-30 四川巧夺天工信息安全智能设备有限公司 Data security and authority management and control method for intelligent terminal

Similar Documents

Publication Publication Date Title
US9053306B2 (en) Authentication system, authentication server, service providing server, authentication method, and computer-readable recording medium
US9106620B2 (en) Trusted communication session and content delivery
US11336449B2 (en) Information processing apparatus, computer program product, and resource providing method
EP3454504B1 (en) Service provider certificate management
EP3178221B1 (en) Device identification in service authorization
US9268922B2 (en) Registration of devices in a digital rights management environment
CN110958119A (en) Identity verification method and device
CN107508822B (en) Access control method and device
US20140298428A1 (en) Method for allowing user access, client, server, and system
US10708326B2 (en) Secure media casting bypassing mobile devices
US10742650B2 (en) Communication system and computer readable storage medium
CN111800426A (en) Method, device, equipment and medium for accessing native code interface in application program
WO2016054888A1 (en) Method and device for creating subscription resource
KR101824562B1 (en) Gateway and method for authentication
JP2017523508A (en) Secure integrated cloud storage
KR20140090279A (en) Service security authentication method and web application server therof
CN105100022A (en) Cipher processing method, server and system
CN109460647B (en) Multi-device secure login method
CN109151068B (en) Method and system for processing cloud-end data request based on client-end application
CN105141586B (en) A kind of method and system verified to user
CN109471723B (en) Method and system for verifying processing result of task
US9071596B2 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
KR101637155B1 (en) A system providing trusted identity management service using trust service device and its methods of operation
CN109495451B (en) A method and system for processing cloud data requests
KR101329788B1 (en) SSO Method Based on Server In Mobile Environment

Legal Events

Date Code Title Description
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20121210

PG1501 Laying open of application
PC1203 Withdrawal of no request for examination
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid