KR101853350B1 - 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법 - Google Patents
연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법 Download PDFInfo
- Publication number
- KR101853350B1 KR101853350B1 KR1020170161857A KR20170161857A KR101853350B1 KR 101853350 B1 KR101853350 B1 KR 101853350B1 KR 1020170161857 A KR1020170161857 A KR 1020170161857A KR 20170161857 A KR20170161857 A KR 20170161857A KR 101853350 B1 KR101853350 B1 KR 101853350B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- information
- country
- user
- specific
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 하는, 새로운 국가정보 전달 및 이를 기반으로 한 개인정보 제공 방안을 실현하여, 글로벌 환경에 최적화된 연합인증 관련 서비스가 제공되도록 하는 기술을 개시한다.
Description
본 발명은 연합인증 기술을 글로벌 환경 적용하기 위한 방안에 관한 것으로, 보다 상세하게는 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 하는, 새로운 국가정보 전달 및 이를 기반으로 한 개인정보 제공 방안에 관한 것이다.
연합인증(Federated Authentication)은, 보안 도메인(Security Domain)의 경계를 넘어 통합인증(Single-Sign On) 기능을 제공하는 기술이다. 이러한, 연합인증은, 국제표준기구인 OASIS(Organization for the Advancement of Structured Information Standards)에서 제정한 SAML (Security Assertion Markup Language) 표준에 따라 동작한다.
여기서, SAML은, 연합인증을 위한 국제 표준 규격으로, 인증정보 제공자(Identity Provider)와 서비스 제공자(Service Provider) 간의 인증 및 인가 데이터를 교환하기 위한 XML 기반의 개방형 표준 데이터 포맷이다.
즉, 서비스 제공자와 인증정보 제공자는 자신의 속성정보를 XML 서식으로 기술한 SAML 메타데이터를 상호 교환하여 연합인증을 위한 신뢰관계를 구축한다.
이러한 연합인증 환경에서는, 기존과 달리 서비스 제공을 위해 필요한 사용자 인증 및 개인정보 관리 기능이 인증정보 제공자에게 위임된다. 여기서, 인증정보 제공자는, 일반적으로 연구 기관, 교육 기관 등과 같이 사용자가 속하는 소속기관일 수 있다.
즉, 기존에는 서비스 제공을 위한 사용자 인증 및 개인정보 관리 기능을 서비스 제공자가 담당했던 반면, 연합인증 환경에서는 이러한 기능들을 인증정보 제공자가 담당하게 된다.
보다 구체적으로 설명하면, 사용자가 웹 브라우저(Web Browser)를 통해 서비스 제공자가 제공하는 웹 서비스에 접속하면, 서비스 제공자는 사용자 인증을 위해 웹브라우저를 인증정보 제공자로 이동시킨다.
즉, 서비스 제공자는, 사용자가 접속한 웹브라우저의 웹 서비스의 URL(Uniform Resource Locator)이 인증정보 제공자와 관련된 웹 서비스로 리다이렉션(redirection)되도록 제어한다. 여기서, 인증정보 제공자와 관련된 웹 서비스는 사용자 인증이 가능한 소속기관의 웹 서비스일 수 있다.
이처럼 인증정보 제공자 측에서 수행된 사용자 인증이 성공적으로 완료되면, 인증정보 제공자는 인증 결과와 개인정보를 서비스 제공자에게 전달한다.
이때, 서비스 제공자와 인증정보 제공자가 동일 국가에 위치하지 않으면, 개인정보의 국외 이전현상이 발생하게 된다. 즉, 사용자가 다른 국가에서 제공되는 국외서비스를 이용하는 경우, 사용자의 개인정보가 다른 국가로 이전되게 된다.
한편, 세계의 모든 나라에서는 자국민의 개인정보 국외 이전 시 자국의 관련법령에 따라 합법적으로 개인정보를 처리하게 된다. 우리나라의 경우, "개인정보보호법 및 정보통신망법"에 따라, 개인정보의 국외 이전 시에는 개인정보처리자(인증정보 제공자)는 이용자에게 개인정보 수신 국가(서비스 제공자가 위치한 국가)를 고지하고 명시적 동의를 득하도록 하고 있다.
그러나, 현재 SAML 2.0 표준에는 서비스 제공자의 국가정보를 인증정보 제공자에게 전달하기 위한 메시지 및 처리 방법이 정의되어 있지 않기 때문에, 인증정보 제공자는 사용자에게 서비스 제공자의 국가정보를 제공할 수 없는 한계점이 존재한다.
이에, 서비스 제공자는, 다른 나라에 위치하는 사용자의 개인정보를 획득할 수 없으므로 다른 나라의 사용자에게 서비스를 제공할 수 없거나 원활한 서비스 제공이 어려운 문제가 발생한다.
본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 도달하고자 하는 목적은, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 하는, 새로운 국가정보 전달 및 이를 기반으로 한 개인정보 제공 방안을 실현하여, 글로벌 환경에 최적화된 연합인증 관련 서비스가 제공되도록 하는 기술에 관한 것이다.
상기 목적을 달성하기 위한 본 발명에 따른 단말장치는, 사용자가 특정국외서비스에 접속한 경우, 상기 특정국외서비스와 관련된 특정 서비스 제공자로부터 상기 사용자에 대한 인증요청을 수신하는 인증관리부; 상기 사용자에 대한 인증이 성공하면, 기 배포된 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어있는 지의 여부를 확인하는 확인부; 및 상기 특정 서비스 제공자의 국가정보와 상기 사용자의 국가정보를 비교한 결과를 기반으로 상기 사용자의 개인정보를 제공할 지의 여부를 결정하는 전송관리부를 포함하는 것을 특징으로 한다.
상기 인증관리부는, 상기 서비스 제공자의 단말로부터 상기 인증요청에 따라 SAML 인증요청메시지가 수신되면, 상기 사용자가 속한 특정기관에 기 저장된 인증관련정보를 기반으로 상기 사용자에 대한 인증을 수행하는 것을 특징으로 한다.
상기 연합 메타데이터는, 상기 특정기관이 참여한 인증연합체를 관리하는 연합인증관리장치로부터 주기적으로 배포되며, 적어도 하나의 서비스 제공자의 국가정보를 포함하는 것을 특징으로 한다.
상기 확인부는, 상기 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어 있으면, 상기 국가정보로부터 국가코드를 확인하며, 상기 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어 있지 않으면, 상기 SAML 인증요청메시지 또는 상기 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 상기 국가코드를 확인하는 것을 특징으로 한다.
상기 전송관리부는, 상기 특정 서비스 제공자의 국가코드와 상기 특정기관에 해당하는 인증정보 제공자의 국가코드가 동일하지 않으면, 상기 특정 서비스 제공자의 국가코드와 상기 특정 서비스 제공자에 이전되는 상기 개인정보의 특정항목이 표시되도록 제어하는 것을 특징으로 한다.
상기 전송관리부는, 상기 사용자가 개인정보의 이전에 동의하는 경우에 한해 상기 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 상기 특정 서비스 제공자에게 전송하는 것을 특징으로 한다.
상기 목적을 달성하기 위한 본 발명에 따른 단말장치의 동작 방법은, 사용자가 특정국외서비스에 접속한 경우, 상기 특정국외서비스와 관련된 특정 서비스 제공자로부터 상기 사용자에 대한 인증요청을 수신하는 인증관리단계; 상기 사용자에 대한 인증이 성공하면, 기 배포된 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어있는 지의 여부를 확인하는 확인단계; 및 상기 특정 서비스 제공자의 국가정보와 상기 사용자의 국가정보를 비교한 결과를 기반으로 상기 사용자의 개인정보를 제공할 지의 여부를 결정하는 전송관리단계를 포함하는 것을 특징으로 한다.
상기 인증관리단계는, 상기 서비스 제공자의 단말로부터 상기 인증요청에 따라 SAML 인증요청메시지가 수신되면, 상기 사용자가 속한 특정기관에 기 저장된 인증관련정보를 기반으로 상기 사용자에 대한 인증을 수행하는 것을 특징으로 한다.
상기 연합 메타데이터는, 상기 특정기관이 참여한 인증연합체를 관리하는 연합인증관리장치로부터 주기적으로 배포되며, 적어도 하나의 서비스 제공자의 국가정보를 포함하는 것을 특징으로 한다.
상기 확인단계는, 상기 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어 있으면, 상기 국가정보로부터 국가코드를 확인하는 단계; 및 상기 연합 메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어 있지 않으면, 상기 SAML 인증요청메시지 또는 상기 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 상기 국가코드를 확인하는 단계를 포함하는 것을 특징으로 한다.
상기 전송관리단계는, 상기 특정 서비스 제공자의 국가코드와 상기 특정기관에 해당하는 인증정보 제공자의 국가코드가 동일하지 않으면, 상기 특정 서비스 제공자의 국가코드와 상기 특정 서비스 제공자에 이전되는 상기 개인정보의 특정항목이 표시되도록 제어하는 것을 특징으로 한다.
상기 전송관리단계는, 상기 사용자가 개인정보의 이전에 동의하는 경우에 한해 상기 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 상기 특정 서비스 제공자에게 전송하는 것을 특징으로 한다.
이에, 본 발명의 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법에 의하면, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 함으로써, 기존과 달리 인증정보 제공자는 국외서비스를 이용하는 사용자에 대한 개인정보를 합법적으로 처리하여 서비스 제공자에게 전송할 수 있으며, 그에 따라 서비스 제공자는 연합인증 환경에서도 통합인증을 통해 세계 각국의 사용자에게 서비스를 제공할 수 있는 효과를 도출할 수 있다.
도 1은 본 발명의 실시예에 따른 연합인증의 국가적 연동을 위한 통신 시스템 환경을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 연합인증관리장치에서 연합 메타데이터를 생성하는 일례를 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 국가정보가 포함된 메타데이터의 구조 및 일례를 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 SAML 인증요청메시지 및 HTTP 요청 파라미터의 헤더정보의 일례를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 인증정보제공단말의 구성을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 연합인증의 국가적 연동을 위한 동작 흐름을 나타내는 도면이다.
도 2는 본 발명의 실시예에 따른 연합인증관리장치에서 연합 메타데이터를 생성하는 일례를 나타내는 도면이다.
도 3은 본 발명의 실시예에 따른 국가정보가 포함된 메타데이터의 구조 및 일례를 나타내는 도면이다.
도 4는 본 발명의 실시예에 따른 SAML 인증요청메시지 및 HTTP 요청 파라미터의 헤더정보의 일례를 나타내는 도면이다.
도 5는 본 발명의 실시예에 따른 인증정보제공단말의 구성을 나타내는 도면이다.
도 6은 본 발명의 실시예에 따른 연합인증의 국가적 연동을 위한 동작 흐름을 나타내는 도면이다.
본 명세서에서 사용되는 기술적 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아님을 유의해야 한다. 또한, 본 명세서에서 사용되는 기술적 용어는 본 명세서에서 특별히 다른 의미로 정의되지 않는 한, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 의미로 해석되어야 하며, 과도하게 포괄적인 의미로 해석되거나, 과도하게 축소된 의미로 해석되지 않아야 한다. 또한, 본 명세서에서 사용되는 기술적인 용어가 본 발명의 사상을 정확하게 표현하지 못하는 잘못된 기술적 용어일 때에는, 당업자가 올바르게 이해할 수 있는 기술적 용어로 대체되어 이해되어야 할 것이다. 또한, 본 발명에서 사용되는 일반적인 용어는 사전에 정의되어 있는 바에 따라, 또는 전후 문맥상에 따라 해석되어야 하며, 과도하게 축소된 의미로 해석되지 않아야 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성 요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 또한, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 발명의 사상을 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 발명의 사상이 제한되는 것으로 해석되어서는 아니됨을 유의해야 한다. 본 발명의 사상은 첨부된 도면 외에 모든 변경, 균등물 내지 대체물에 까지도 확장되는 것으로 해석되어야 한다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대하여 설명한다.
먼저, 도 1을 참조하여 본 발명의 연합인증의 국가적 연동을 위한 통신 시스템 환경을 설명하도록 하겠다.
도 1에 도시된 바와 같이, 본 발명이 적용될 통신 시스템 환경은, 연합인증관리장치(100), 서비스제공단말(200) 및 인증정보제공단말(300)을 포함하는 구성을 가질 수 있다.
연합인증관리장치(100)는, 인증연합체에 참여한 참가자들을 관리 및 운영하는 제3의 신뢰기관으로써, 연합(페더레이션) 정책을 제정 및 집행하고 참가자들의 등록/탈퇴를 관리한다.
여기서, 인증연합체는, 다수의 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)로 구성되며, 서비스 제공자들이 서로 다른 보안 도메인에 속하더라도 연합인증(Federated Authentication) 기술을 기반으로 동일 인증연합체 내 서비스 제공자 간의 통합인증을 지원한다.
이러한, 연합인증관리장치(100)는, 도 2에 도시한 바와 같이, 서비스 제공자, 또는 인증정보 제공자가 인증연합체에 참여할 경우, 각 참가자의 SAML 메타데이터의 적합성을 검증 및 필터링한다. 이후, 연합인증관리장치(100)는, 검증 및 필터링한 결과를 취합하여 연합 메타데이터를 주기적으로 생성하고 배포한다.
특히, 본 발명의 연합인증관리장치(100)는, 서비스 제공자가 인증연합체에 새롭게 참여하는 경우, 서비스 제공자가 제출한 SAML 메타데이터의 적합성을 검증할 때 국가정보의 포함여부를 확인한다.
전술에 따라 국가정보의 포함여부를 확인 결과, 서비스 제공자가 제출한 SAML 메타데이터에 국가정보가 미포함 되어 있는 경우, 연합인증관리장치(100)는, 서비스 제공자의 SAML 메타데이터에 서비스 제공자의 국가정보를 직접 추가한 후 연합 메타데이터를 생성한다.
여기서, 국가정보는, 서비스 제공자가 위치한 국가에 해당하는 국가코드가 포함된다.
이처럼 연합인증관리장치(100)가 국가정보를 직접 추가할 수 있는 것은, 참가자(서비스 제공자 또는 인증정보 제공자)가 인증연합체에 참가신청을 할 때 별도의 서면등록절차를 병행하게 되는데, 이때 국가정보를 포함한 참가자의 일반정보를 확인할 수 있기 때문이다.
이에, 연합 메타데이터에는, 서비스 제공자와 인증정보 제공자가 서로를 인증하기 위한 정보, 신뢰 관계의 유효 기간에 대한 정보, 서로간의 통신하기 위한 프로토콜 정보 등을 포함하는 정보 이외에도, 서비스 제공자 별 국가정보가 포함될 수 있게 된다.
이때, 서비스 제공자는, 사용자에게 웹 기반의 서비스를 제공하며, 인증정보 제공자에 의해 인증된 사용자에 대하여 서비스를 제공한다. 예를 들어, 서비스 제공자는, 기관의 웹사이트를 통해 이용할 수 있는 논문 검색 서비스, 외부의 교육 서비스 등이 될 수 있으며, 이러한 서비스는 서비스 제공자 측 장치인 서비스제공단말(200)을 통해 제공될 수 있다.
이에, 이하에서는 설명의 편의 상, 서비스 제공자의 동작이 서비스제공단말(200)이 수행하는 동작인 것으로 간주하도록 하겠다.
즉, 서비스제공단말(200)은, 서비스 제공자의 동작을 수행하는 주체로서, 사용자에게 웹 기반의 서비스를 제공하며, 인증정보 제공자에 의해 인증된 사용자에 대하여 서비스를 제공한다.
이러한 서비스제공단말(200)은, SAML 표준에 따라 자신의 속성정보가 기록된 고유의 SAML 메타데이터를 발행한다. 이때, 서비스제공단말(200)은, 자신이 위치한 국가에 해당하는 국가코드를 자신의 SAML 메타데이터에 표기한다.
본 발명의 실시예에서는 SAML 표준에 따라 메타데이터가 생성되는 것으로 언급하였으나, 연합인증관리장치(100)에서 SAML이 아닌 다른 표준을 이용하는 경우에는 다른 표준을 기초로 메타데이터가 생성되는 것이 바람직할 것이다.
즉, 서비스제공단말(200)은, 기 저장된 SAML 설정파일, 또는 위치정보 API(Geolocation API)를 이용한 외부 질의 등의 다양한 방법을 통해 자신의 국가정보(국가코드)를 획득하고, 이를 포함하는 SAML 메타데이터를 발행한다.
이때, 국가정보(국가코드)는, SAML 메타데이터 내에서 단일 속성값으로 표기되며, 속성값의 일례는 표 1과 같다.
[표 1]
속성값(AttributeValue)의 국가코드는 국제표준화기구(ISO)의 국명약어를 위한 ISO 코드(ISO 3166-1 Alpha-2 code, ISO 3166-1 Alpha-3 code, ISO 3166-2 code 중 추후 국제 표준규격을 따름)를 준수해 표기된다.
즉, SAML 메타데이터는, 도 3의 (a)에 도시된 SAML 메타데이터의 구조, 특히 "Extensions"에 연결된 "SP Country Code"에 해당하는 스크립트 명령(400)을 포함하여 생성될 수 있으며, 그 일례는 도 3의 (b)와 같다.
이때, "SP Country Code"에 해당하는 스크립트 명령(400)으로는, 서비스 제공자의 이름(네임 스페이스)과 관련되는"saml", 속성이름과 관련되는 "Attribute Name", 속성이름의 포맷과 관련되는 "Name Format", 속성값과 관련되는 "Attribute Value" 등이 포함될 수 있다.
전술에 따라 생성된 SAML 메타데이터는, 연합인증관리장치(100)로 전달되어 앞서 언급한 바와 같이 각 참가자의 SAML 메타데이터의 적합성을 검증 및 필터링한 결과에 따라 취합되어 연합 메타데이터로 생성된 다음 주기적으로 배포된다.
한편, 서비스제공단말(200)은, 사용자가 웹 브라우저(Web Browser)를 통해 서비스 제공자가 제공하는 웹 서비스에 접속하면, 사용자 인증을 위해 웹브라우저를 인증정보 제공자로 이동시켜 인증을 요청한다.
즉, 서비스제공단말(200)은, 사용자가 접속한 웹브라우저의 웹 서비스의 URL(Uniform Resource Locator)이 인증정보 제공자와 관련된 웹 서비스로 리다이렉션(redirection)되도록 제어한다. 여기서, 인증정보 제공자와 관련된 웹 서비스는 사용자 인증이 가능한 소속기관의 웹 서비스일 수 있다.
이처럼 연합인증 기반으로 사용자 인증 및 개인정보를 획득하기 위해 인증정보 제공자로 인증을 요청할 때, 서비스제공단말(200)은, 자신의 국가정보를 전달할 수도 있다.
즉, 서비스제공단말(200)은, 인증정보 제공자 측의 인증정보제공단말(300)로 웹브라우저를 이동시켜 인증을 요청할 때, 국가정보가 포함된 SAML 인증요청메시지 또는 HTTP 요청 파라미터를 통해 자신의 국가정보를 전달한다.
예를 들어, 서비스제공단말(200)은, 도 4의 (a)와 같이 SAML 인증요청메시지의 헤더에 국가정보와 관련되는 스크립트 명령(410)이 포함되도록 제어하거나, 또는 도 4의 (b)와 같이 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터 헤더 내에 국가정보와 관련되는 스크립트 명령(420)이 포함되도록 제어하여 자신의 국가정보를 전달한다.
이처럼 인증요청 시 자신의 국가정보를 전달하는 것은, 연합인증관리장치(100)로부터 주기적으로 배포되는 연합 메타데이터 내 서비스 제공자의 국가정보가 누락되는 상황 등이 발생하는 것을 대비하여 보다 안정적인 서비스 제공이 가능해지도록 하기 위함이다.
한편, 인증정보 제공자는, 서비스 제공자가 제공하는 웹 기반의 서비스를 이용하는 사용자가 속한 특정기관일 수 있다. 여기서, 특정기관은 예를 들어, 연구 기관, 교육 기관 등이 포함될 수 있다.
이러한 인증정보 제공자는, 사용자에게 특정기관(예: 연구/교육 기관 등)과 관련되는 웹 서비스(예: 소속기관 사이트)를 제공한다. 이러한 서비스를 이용하기 위해 사용자는 서비스 등록 과정을 수행하게 되는 데, 이때 사용자에 대한 인증을 수행할 수 있는 아이디(ID)와 비밀번호(P/W)가 생성되고, 사용자의 개인정보가 등록된다.
여기서, 개인정보는, 사용자의 이름, 사용자의 소속 기관, 사용자의 이메일 등이 포함될 수 있다.
즉, 인증정보 제공자는, 사용자가 특정기관(예: 연구/교육 기관 등)과 관련되는 웹 서비스(예: 소속기관 사이트)를 이용하기 위해 접속하면, 로그인 화면(GUI)을 통해 입력된 아이디(ID)와 비밀번호(P/W)를 기반으로 인증을 수행하고, 인증된 사용자에게만 서비스를 제공한다.
이러한 인증정보 제공자의 서비스 관련 인증처리는 인증정보 제공자 측 장치인 인증정보제공단말(300)을 통해 수행될 수 있다. 이에, 이하에서는 설명의 편의 상, 인증정보 제공자의 동작이 인증정보제공단말(300)이 수행하는 동작인 것으로 간주하도록 하겠다.
이하에서는, 도 5를 참조하여 본 발명의 실시예에 따른 인증정보제공단말(300)의 구성을 구체적으로 설명하겠다.
도 2에 도시된 바와 같이, 본 발명에 따른 인증정보제공단말(300)은, 사용자가 특정국외서비스에 접속한 경우, 특정국외서비스와 관련된 특정 서비스 제공자의 단말로부터 사용자에 대한 인증요청을 수신하는 인증관리부(310), 사용자에 대한 인증이 성공하면, 기 배포된 연합 메타데이터에 특정 서비스 제공자의 국가정보가 포함되어있는 지의 여부를 확인하는 확인부(320), 및 특정 서비스 제공자의 국가정보와 사용자의 국가정보를 비교한 결과를 기반으로 사용자의 개인정보를 제공할 지의 여부를 결정하는 전송관리부(330)를 포함한다.
또한, 본 발명에 따른 인증정보제공단말(300)은, 사용자의 개인정보, 아이디(ID)와 비밀번호(P/W) 등과 같이 연합인증 관련 서비스가 제공되도록 하는 것과 관련되는 모든 정보를 저장하는 저장부(340)를 더 포함한다.
또한, 본 발명에 따른 인증정보제공단말(300)은, 연합인증관리장치(100) 또는 서비스제공단말(200) 간의 인터페이스를 제어하는 통신부(350)를 더 포함한다.
이상의 인증관리부(310), 확인부(320), 전송관리부(330), 저장부(340) 및 통신부(350)를 포함하는 인증정보제공단말(300)의 구성 전체 내지는 적어도 일부는, 프로세서에 의해 실행되는 소프트웨어 모듈 형태 또는 하드웨어 모듈 형태로 구현되거나, 소프트웨어 모듈과 하드웨어 모듈이 조합된 형태로도 구현될 수 있다.
결국, 본 발명의 실시예에 따른 인증정보제공단말(300)은, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 하는, 새로운 국가정보 전달 및 이를 기반으로 한 개인정보 제공 방안을 실현하게 되는 데, 이하에서는 이를 위한 인증정보제공단말(300) 내 각 구성에 대해 구체적으로 설명하기로 한다.
이하에서는, 도 1에 도시된 인증정보 제공자의 기능은 동일하므로, 인증정보제공단말(12,3...) 중 인증정보제공단말1에서 사용자에 대한 인증이 수행되는 것으로 언급하여 설명하도록 하겠다.
인증관리부(310)는, 사용자가 특정국외서비스에 접속한 경우, 특정국외서비스와 관련된 특정 서비스 제공자인 서비스제공단말로부터 사용자에 대한 인증요청을 수신한다.
보다 구체적으로 설명하면, 특정국외서비스는, 도 1에 도시된 서비스제공단말(1,2,3...) 중 임의의 서비스제공단말로부터 제공되는 웹 기반의 서비스일 수 있다. 다만, 사용자 또는 사용자가 속한 특정기관(예: 연구/교육 기관 등)이 위치한 국가가 아닌 다른 국가에 위치하는 서비스제공단말에 의해 제공되는 서비스로 정의할 수 있다.
예를 들면, 서비스제공단말(1,2,3...) 중 서비스제공단말1이 사용자/ 특정기관(예: 연구/교육 기관 등)과 다른 국가에 위치하는 경우, 서비스제공단말1로부터 제공되는 서비스가 특정국외서비스일 수 있다.
이하에서는, 설명의 편의 상, 서비스제공단말1로부터 제공되는 서비스가 특정국외서비스인 것으로 언급하여 설명하도록 하겠다.
즉, 인증관리부(310)는, 사용자가 웹 브라우저(Web Browser)를 통해 특정국외서비스에 접속한 경우, 특정국외서비스와 관련된 서비스제공단말1로부터 사용자에 대한 인증요청을 수신한다.
여기서, 인증요청은, 서비스제공단말1이 특정국외서비스에 접속한 사용자 인증 및 개인정보를 획득하기 위한 것이므로, 서비스제공단말1은, 특정국외서비스의 URL(Uniform Resource Locator)을 사용자가 속한 특정기관(예: 연구/교육 기관 등)과 관련되는 웹 서비스(예: 소속기관 사이트)로 리다이렉션(redirection)되도록 제어하여 인증을 요청한다.
이처럼 서비스제공단말1로부터 사용자에 대한 인증요청이 수신될 때, 인증관리부(310)는, SAML 인증요청메시지를 함께 수신한다.
이에, 인증관리부(310)는, 서비스제공단말1로부터 인증요청에 따라 SAML 인증요청메시지가 수신되면, 사용자가 속한 특정기관(예: 연구/교육 기관 등)에 기 저장된 인증관련정보를 기반으로 사용자에 대한 인증을 수행한다.
여기서, 기 저장된 인증관련정보는, 아이디(ID)와 비밀번호(P/W), 사용자의 개인정보 등을 포함할 수 있다. 설명의 편의 상, 아이디(ID)와 비밀번호(P/W)를 이용하여 인증이 수행되는 것으로 언급하여 설명을 이어가도록 하겠다.
즉, 인증관리부(310)는, 사용자에게 로그인 화면(GUI)을 제공하고, 로그인 화면(GUI)을 통해 입력되는 아이디(ID)와 비밀번호(P/W)를 기반으로 인증을 수행한다.
이후, 인증관리부(310)는, 로그인 화면(GUI)을 통해 입력되는 아이디(ID)와 비밀번호(P/W)와 기 저장된 아이디(ID)와 비밀번호(P/W)가 일치하면, 사용자 인증에 성공한 것으로 판단한다.
전술에 따라 사용자 인증이 완료되면, 인증관리부(310)는, 인증이 완료되었음을 확인부(320)로 알린다.
확인부(320)는, 기 배포된 연합 메타데이터에 특정 서비스 제공자의 국가정보가 포함되었는지의 여부를 확인한다.
보다 구체적으로, 확인부(320)는, 인증관리부(310)로부터 사용자에 대한 인증이 성공하면, 기 배포된 연합 메타데이터에 서비스제공단말1의 국가정보가 포함되어있는 지의 여부를 확인한다.
여기서, 연합 메타데이터는, 전술에서도 언급하였듯이, 사용자가 속한 특정기관(예: 연구/교육 기관 등)이 참여한 인증연합체를 관리하는 연합인증관리장치(100)로부터 주기적으로 배포되며, 적어도 하나의 서비스 제공자의 국가정보가 포함되어 있다.
이에, 확인부(320)는, 사용자에 대한 인증이 성공하면, 기 배포된 연합 메타데이터로부터 서비스제공단말1의 국가정보를 확인하고, 국가정보로부터 국가코드를 검출할 수 있게 된다.
한편, 연합 메타데이터에는 모든 서비스 제공자의 국가정보가 포함되는 것이 바람직할 것이나, 시스템 오류/코드 중복 등의 이유로 국가정보가 포함되지 않은 경우도 발생할 수 있다.
이에, 확인부(320)는, 연합 메타데이터에 서비스제공단말1의 국가정보가 포함되어 있지 않으면, SAML 인증요청메시지 또는 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 국가코드를 확인한다.
즉, 도 4에서 언급한 바와 같이, SAML 인증요청메시지 또는 HTTP 요청 파라미터의 헤더에는 서비스제공단말1의 국가정보가 포함되어 있을 것이므로, 확인부(320)는, 연합 메타데이터로부터 국가정보가 확인되지 않는 경우에는 SAML 인증요청메시지 또는 HTTP 요청 파라미터로부터 국가정보를 획득한다.
이후, 확인부(320)는, SAML 인증요청메시지 또는 HTTP 요청 파라미터로부터 국가정보의 국가코드를 확인한다.
만일, 국가정보가 연합 메타데이터와 SAML 인증요청메시지/HTTP 요청 파라미터 모두에 존재하는 경우에는, 연합 메타데이터에 포함된 국가정보를 선택한다.
확인부(320)는, 서비스제공단말1의 국가정보의 확인이 완료되었음을 전송관리부(330)로 알린다.
전송관리부(330)는, 서비스제공단말1의 국가정보를 기반으로 사용자의 개인정보를 제공할 지의 여부를 결정한다.
보다 구체적으로, 전송관리부(330)는, 확인부(320)로부터 서비스제공단말1의 국가정보의 확인이 완료되면, 서비스제공단말1의 국가정보와 특정기관 더 구체적으로는 특정기관 내 사용자가 이용하는 인증정보제공단말1의 국가정보를 비교한 결과를 기반으로 사용자의 개인정보를 제공할 지의 여부를 결정한다.
즉, 전송관리부(330)는, 서비스제공단말1의 국가코드와 인증정보제공단말1의 국가코드가 동일하지 않으면, 사용자가 자신이 위치한 국가가 아닌 다른 국가에 위치하는 서비스제공단말1이 제공하는 특정국외서비스를 이용하는 것이므로, 서비스제공단말1의 국가코드와 서비스제공단말1로 이전되는 개인정보의 특정항목이 표시되도록 제어한다.
이처럼 사용자가 특정국외서비스를 이용하기 위해서는 사용자의 개인정보가 다른 나라로 이전되어야 하며, 아래"개인정보보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률"에 따라 개인정보의 국외 이전 시에는 개인정보처리자(인증정보 제공자)는 사용자에게 개인정보 수신 국가(서비스 제공자가 위치한 국가), 즉 서비스제공단말1의 국가를 고지하고 명시적 동의를 득해야 한다.
■『개인정보보호법』 제17조(개인정보의 제공)에 따르면 개인정보처리자는 개인정보의 제 3자 제공 시 정보주체의 동의를 획득해야 하며, 이 때 개인정보 취득자, 개인정보 항목, 이용목적 및 보유기간, 동의 거부에 따른 불이익 사실을 정보주체에게 고지해야 한다.
■『정보통신망 이용촉진 및 정보보호 등에 관한 법률』(이하, 정보통신망법) 제63조(국외이전 개인정보의 보호)에 따르면 정보통신서비스 제공자는 개인정보의 국외이전 시 정보주체의 동의를 획득해야 하며, 이 때 이용자에게 개인정보 항목, 이전 국가, 이전일시 및 방법, 개인정보 취득자, 이용목적 및 보유기간을 고지해야 한다.
이에, 전송관리부(330)는, 사용자가 특정국외서비스를 이용하는 것으로 확인되는 경우, 개인정보이전동의화면 상에 서비스제공단말1의 국가코드와 서비스제공단말1로 이전되는 개인정보의 특정항목을 표시한다.
이후, 전송관리부(330)는, 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하면, 특정항목을 포함하는 SAML 인증응답메시지를 생성한다. 그리고, 전송관리부(330)는, SAML 인증응답메시지를 서비스제공단말1로 전달한다.
만일, 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하지 않으면, 동의획득에 실패한 것이므로 개인정보를 서비스제공단말1로 전달하지 않게 된다.
즉, 전송관리부(330)는, 사용자가 개인정보의 이전에 동의하는 경우에 한해 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 서비스제공단말1로 전송한다.
한편, 전송관리부(330)는, 서비스제공단말1의 국가코드와 인증정보제공단말1의 국가코드가 동일하면, 사용자와 서비스 제공자가 동일한 국가에 존재, 즉 사용자가 국내에 위치하는 서비스제공단말이 제공하는 국내서비스를 이용하는 것이므로, 개인정보이전동의화면 상에 국가에 대한 고지를 생략하고 이전되는 개인정보의 특정항목만이 표시되도록 제어한다.
이후, 전송관리부(330)는, 앞서 언급한 것과 동일한 방식으로 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하는지의 여부를 확인한 결과에 따라 사용자의 개인정보를 제공할 지의 여부를 결정한다.
이하에서는, 도 6을 참조하여 본 발명의 실시예에 따른 연합인증의 국가적 연동을 위한 동작 흐름을 구체적으로 설명하도록 한다. 이하에서는 설명의 편의를 위해, 전술의 도 1 및 도 5에서 언급한 참조번호를 언급하여 설명하도록 하겠다.
도 6에 도시된 바와 같이, 인증정보제공단말(300)은, 사용자가 특정국외서비스에 접속한 경우, 특정국외서비스와 관련된 특정 서비스 제공자인 서비스제공단말로부터 사용자에 대한 인증요청을 수신한다(S100).
보다 구체적으로 설명하면, 특정국외서비스는, 도 1에 도시된 서비스제공단말(1,2,3...) 중 임의의 서비스제공단말로부터 제공되는 웹 기반의 서비스일 수 있다. 다만, 사용자 또는 사용자가 속한 특정기관(예: 연구/교육 기관 등)이 위치한 국가가 아닌 다른 국가에 위치하는 서비스제공단말에 의해 제공되는 서비스로 정의할 수 있다.
예를 들면, 서비스제공단말(1,2,3...) 중 서비스제공단말1이 사용자/ 특정기관(예: 연구/교육 기관 등)과 다른 국가에 위치하는 경우, 서비스제공단말1로부터 제공되는 서비스가 특정국외서비스일 수 있다.
이하에서는, 설명의 편의 상, 서비스제공단말1로부터 제공되는 서비스가 특정국외서비스인 것으로 언급하여 설명하도록 하겠다.
즉, 인증정보제공단말(300)은, 사용자가 웹 브라우저(Web Browser)를 통해 특정국외서비스에 접속한 경우, 특정국외서비스와 관련된 서비스제공단말1로부터 사용자에 대한 인증요청을 수신한다.
여기서, 인증요청은, 서비스제공단말1이 특정국외서비스에 접속한 사용자 인증 및 개인정보를 획득하기 위한 것이므로, 서비스제공단말1은, 특정국외서비스의 URL(Uniform Resource Locator)을 사용자가 속한 특정기관(예: 연구/교육 기관 등)과 관련되는 웹 서비스(예: 소속기관 사이트)로 리다이렉션(redirection)되도록 제어하여 인증을 요청한다.
이처럼 서비스제공단말1로부터 사용자에 대한 인증요청이 수신될 때, 인증정보제공단말(300)은, SAML 인증요청메시지를 함께 수신한다.
이에, 인증정보제공단말(300)은, 서비스제공단말1로부터 인증요청에 따라 SAML 인증요청메시지가 수신되면, 사용자가 속한 특정기관(예: 연구/교육 기관 등)에 기 저장된 인증관련정보를 기반으로 사용자에 대한 인증을 수행한다(S101).
여기서, 기 저장된 인증관련정보는, 아이디(ID)와 비밀번호(P/W), 사용자의 개인정보 등을 포함할 수 있다. 설명의 편의 상, 아이디(ID)와 비밀번호(P/W)를 이용하여 인증이 수행되는 것으로 언급하여 설명을 이어가도록 하겠다.
즉, 인증정보제공단말(300)은, 사용자에게 로그인 화면(GUI)을 제공하고, 로그인 화면(GUI)을 통해 입력되는 아이디(ID)와 비밀번호(P/W)를 기반으로 인증을 수행한다.
이후, 인증정보제공단말(300)은, 로그인 화면(GUI)을 통해 입력되는 아이디(ID)와 비밀번호(P/W)와 기 저장된 아이디(ID)와 비밀번호(P/W)가 일치하면, 사용자 인증에 성공한 것으로 판단한다.
전술에 따라 사용자 인증이 완료되면, 인증정보제공단말(300)은, 기 배포된 연합 메타데이터에 특정 서비스 제공자의 국가정보가 포함되었는지의 여부를 확인한다(S102).
여기서, 연합 메타데이터는, 전술에서도 언급하였듯이, 사용자가 속한 특정기관(예: 연구/교육 기관 등)이 참여한 인증연합체를 관리하는 연합인증관리장치(100)로부터 주기적으로 배포되며, 적어도 하나의 서비스 제공자의 국가정보가 포함되어 있다.
이에, 인증정보제공단말(300)은, 기 배포된 연합 메타데이터에 특정 서비스 제공자의 국가정보가 포함되어 있으면(S102의 YES), 연합 메타데이터로부터 서비스제공단말1의 국가정보를 확인하고, 국가정보로부터 국가코드를 검출할 수 있게 된다(S103).
한편, 연합 메타데이터에는 모든 서비스 제공자의 국가정보가 포함되는 것이 바람직할 것이나, 시스템 오류/코드 중복 등의 이유로 국가정보가 포함되지 않은 경우도 발생할 수 있다.
이에, 인증정보제공단말(300)은, 연합 메타데이터에 서비스제공단말1의 국가정보가 포함되어 있지 않으면(S102의 NO), SAML 인증요청메시지 또는 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 국가코드를 확인한다(S104).
즉, 도 4에서 언급한 바와 같이, SAML 인증요청메시지 또는 HTTP 요청 파라미터의 헤더에는 서비스제공단말1의 국가정보가 포함되어 있을 것이므로, 인증정보제공단말(300)은, 연합 메타데이터로부터 국가정보가 확인되지 않는 경우에는 SAML 인증요청메시지 또는 HTTP 요청 파라미터로부터 국가정보를 획득한다.
만일, 국가정보가 연합 메타데이터와 SAML 인증요청메시지/HTTP 요청 파라미터 모두에 존재하는 경우에는, 연합 메타데이터에 포함된 국가정보를 선택한다.
전술에 따라 서비스제공단말1의 국가정보(국가코드)의 확인이 완료되면, 인증정보제공단말(300)은, 서비스제공단말1의 국가정보와 특정기관 더 구체적으로는 특정기관 내 사용자가 이용하는 인증정보제공단말1의 국가정보를 비교한 결과를 기반으로 사용자의 개인정보를 제공할 지의 여부를 결정한다(S105).
보다 구체적으로, 인증정보제공단말(300)은, 서비스제공단말1의 국가코드와 인증정보제공단말1의 국가코드가 동일하지 않으면(S105의 NO), 사용자가 자신이 위치한 국가가 아닌 다른 국가에 위치하는 서비스제공단말1이 제공하는 특정국외서비스를 이용하는 것이므로, 서비스제공단말1의 국가코드와 서비스제공단말1로 이전되는 개인정보의 특정항목이 표시되도록 제어한다(S106).
이처럼 사용자가 특정국외서비스를 이용하기 위해서는 사용자의 개인정보가 다른 나라로 이전되어야 하며, "개인정보보호법 및 정보통신망 이용촉진 및 정보보호 등에 관한 법률"에 따라 개인정보의 국외 이전 시에는 개인정보처리자(인증정보 제공자)는 사용자에게 개인정보 수신 국가(서비스 제공자가 위치한 국가), 즉 서비스제공단말1의 국가를 고지하고 명시적 동의를 득해야 한다.
이에, 인증정보제공단말(300)은, 사용자가 특정국외서비스를 이용하는 것으로 확인되는 경우, 개인정보이전동의화면 상에 서비스제공단말1의 국가코드와 서비스제공단말1로 이전되는 개인정보의 특정항목을 표시한다.
이후, 인증정보제공단말(300)은, 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하면(S107의 YES), 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성한다(S108). 그리고, 전송관리부(330)는, SAML 인증응답메시지를 서비스제공단말1로 전달한다(S109).
만일, 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하지 않으면(S107의 NO), 동의획득에 실패한 것이므로 개인정보를 서비스제공단말1로 전달하지 않게 된다.
즉, 인증정보제공단말(300)은, 사용자가 개인정보의 이전에 동의하는 경우에 한해 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 서비스제공단말1로 전송한다.
한편, 인증정보제공단말(300)은, 서비스제공단말1의 국가코드와 인증정보제공단말1의 국가코드가 동일하면(S105의 YES), 사용자와 서비스 제공자가 동일한 국가에 존재, 즉 사용자가 국내에 위치하는 서비스제공단말이 제공하는 국내서비스를 이용하는 것이므로, 개인정보이전동의화면 상에 국가에 대한 고지를 생략하고 이전되는 개인정보의 특정항목만이 표시되도록 제어한다.
이후, 인증정보제공단말(300)은, 앞서 언급한 것과 동일한 방식으로 사용자가 개인정보이전동의화면 상에 표시된 개인정보의 특정항목에 대한 이전에 동의하는지의 여부를 확인한 결과에 따라 사용자의 개인정보를 제공할 지의 여부를 결정한다(S107-S109).
이상에서 설명한 바와 같이 본 발명에 따른 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법에 의하면, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 함으로써, 기존과 달리 인증정보 제공자는 국외서비스를 이용하는 사용자에 대한 개인정보를 합법적으로 처리하여 서비스 제공자에게 전송할 수 있으며, 그에 따라 서비스 제공자는 연합인증 환경에서도 통합인증을 통해 세계 각국의 사용자에게 서비스를 제공할 수 있는 효과를 도출한다.
본 발명의 실시예들은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
지금까지 본 발명을 바람직한 실시 예를 참조하여 상세히 설명하였지만, 본 발명이 상기한 실시 예에 한정되는 것은 아니며, 이하의 특허청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형 또는 수정이 가능한 범위까지 본 발명의 기술적 사상이 미친다 할 것이다.
본 발명의 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법에 따르면, 서비스 제공자(Service Provider)와 인증정보 제공자(Identity Provider)가 동일 국가에 위치하지 않는 경우에도 개인정보에 대한 국외 이전이 용이하게 수행되도록 하는, 새로운 국가정보 전달 및 이를 기반으로 한 개인정보 제공 방안을 실현하여, 글로벌 환경에 최적화된 연합인증 관련 서비스를 제공할 수 있다는 점에서, 기존 기술의 한계를 뛰어 넘음에 따라 관련 기술에 대한 이용만이 아닌 적용되는 장치의 시판 또는 영업의 가능성이 충분할 뿐만 아니라 현실적으로 명백하게 실시할 수 있는 정도이므로 산업상 이용가능성이 있는 발명이다.
100: 연합인증관리장치
200: 서비스제공단말
300: 인증정보제공단말
310: 인증관리부 320: 확인부
330: 전송관리부 340: 저장부
350: 통신부
200: 서비스제공단말
300: 인증정보제공단말
310: 인증관리부 320: 확인부
330: 전송관리부 340: 저장부
350: 통신부
Claims (12)
- 사용자가 접속한 특정국외서비스와 관련된 특정 서비스 제공자로부터의 인증요청에 따라 SAML 인증요청메시지가 수신되면, 상기 사용자가 속한 특정기관에 기 저장된 인증관련정보를 기반으로 상기 사용자에 대한 인증을 수행하는 인증관리부;
상기 사용자에 대한 인증이 성공하면, 상기 특정기관이 참여한 인증연합체를 관리하는 연합인증관리장치로부터 주기적으로 배포되며 적어도 하나의 서비스 제공자의 국가정보를 포함하는 연합메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어있는 지의 여부를 확인하여, 상기 특정 서비스 제공자의 국가정보가 포함되어 있으면, 상기 국가정보로부터 국가코드를 확인하며, 상기 특정 서비스 제공자의 국가정보가 포함되어 있지 않으면, 상기 SAML 인증요청메시지 또는 상기 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 상기 국가코드를 확인하는 확인부; 및
상기 특정 서비스 제공자의 국가정보와 상기 사용자의 국가정보를 비교한 결과를 기반으로 상기 사용자의 개인정보를 제공할 지의 여부를 결정하는 전송관리부
를 포함하는 것을 특징으로 하는 단말장치. - 삭제
- 삭제
- 삭제
- 제 1 항에 있어서,
상기 전송관리부는,
상기 특정 서비스 제공자의 국가코드와 상기 특정기관에 해당하는 인증정보 제공자의 국가코드가 동일하지 않으면, 상기 특정 서비스 제공자의 국가코드와 상기 특정 서비스 제공자에 이전되는 상기 개인정보의 특정항목이 표시되도록 제어하는 것을 특징으로 하는 단말장치. - 제 5 항에 있어서,
상기 전송관리부는,
상기 사용자가 개인정보의 이전에 동의하는 경우에 한해 상기 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 상기 특정 서비스 제공자에게 전송하는 것을 특징으로 하는 단말장치. - 사용자가 접속한 특정국외서비스와 관련된 특정 서비스 제공자로부터의 인증요청에 따라 SAML 인증요청메시지가 수신되면, 상기 사용자가 속한 특정기관에 기 저장된 인증관련정보를 기반으로 상기 사용자에 대한 인증을 수행하는 인증관리단계;
상기 사용자에 대한 인증이 성공하면, 상기 특정기관이 참여한 인증연합체를 관리하는 연합인증관리장치로부터 주기적으로 배포되며 적어도 하나의 서비스 제공자의 국가정보를 포함하는 연합메타데이터에 상기 특정 서비스 제공자의 국가정보가 포함되어있는 지의 여부를 확인하여, 상기 특정 서비스 제공자의 국가정보가 포함되어 있으면, 상기 국가정보로부터 국가코드를 확인하며, 상기 특정 서비스 제공자의 국가정보가 포함되어 있지 않으면, 상기 SAML 인증요청메시지 또는 상기 인증요청과 관련되는 웹브라우저의 HTTP 요청 파라미터로부터 상기 국가코드를 확인하는 확인단계; 및
상기 특정 서비스 제공자의 국가정보와 상기 사용자의 국가정보를 비교한 결과를 기반으로 상기 사용자의 개인정보를 제공할 지의 여부를 결정하는 전송관리단계
를 포함하는 것을 특징으로 하는 단말장치의 동작 방법. - 삭제
- 삭제
- 삭제
- 제 7 항에 있어서,
상기 전송관리단계는,
상기 특정 서비스 제공자의 국가코드와 상기 특정기관에 해당하는 인증정보 제공자의 국가코드가 동일하지 않으면, 상기 특정 서비스 제공자의 국가코드와 상기 특정 서비스 제공자에 이전되는 상기 개인정보의 특정항목이 표시되도록 제어하는 것을 특징으로 하는 단말장치의 동작 방법. - 제 11 항에 있어서,
상기 전송관리단계는,
상기 사용자가 개인정보의 이전에 동의하는 경우에 한해 상기 개인정보의 특정항목을 포함하는 SAML 인증응답메시지를 생성하여 상기 특정 서비스 제공자에게 전송하는 것을 특징으로 하는 단말장치의 동작 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170161857A KR101853350B1 (ko) | 2017-11-29 | 2017-11-29 | 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170161857A KR101853350B1 (ko) | 2017-11-29 | 2017-11-29 | 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101853350B1 true KR101853350B1 (ko) | 2018-04-30 |
Family
ID=62081083
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170161857A KR101853350B1 (ko) | 2017-11-29 | 2017-11-29 | 연합인증의 국가적 연동을 위한 단말장치 및 그 동작 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101853350B1 (ko) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090104638A (ko) * | 2008-03-31 | 2009-10-06 | 한국전자통신연구원 | 신원 선택기를 구비한 사용자 단말기 및 그의 신원 선택기를 이용한 신원 인증 방법 |
| KR20100071752A (ko) * | 2008-12-19 | 2010-06-29 | 주식회사 케이티 | 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법 |
| KR20120075895A (ko) * | 2010-12-29 | 2012-07-09 | 고려대학교 산학협력단 | 사용자 인증 방법 |
| KR20140103593A (ko) * | 2013-02-18 | 2014-08-27 | 에스케이플래닛 주식회사 | 사용자 인증 시스템 및 방법 |
| KR101736157B1 (ko) * | 2016-10-18 | 2017-05-17 | 한국과학기술정보연구원 | 연합 인증 방법 및 장치 |
-
2017
- 2017-11-29 KR KR1020170161857A patent/KR101853350B1/ko active IP Right Grant
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090104638A (ko) * | 2008-03-31 | 2009-10-06 | 한국전자통신연구원 | 신원 선택기를 구비한 사용자 단말기 및 그의 신원 선택기를 이용한 신원 인증 방법 |
| KR20100071752A (ko) * | 2008-12-19 | 2010-06-29 | 주식회사 케이티 | 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법 |
| KR20120075895A (ko) * | 2010-12-29 | 2012-07-09 | 고려대학교 산학협력단 | 사용자 인증 방법 |
| KR20140103593A (ko) * | 2013-02-18 | 2014-08-27 | 에스케이플래닛 주식회사 | 사용자 인증 시스템 및 방법 |
| KR101736157B1 (ko) * | 2016-10-18 | 2017-05-17 | 한국과학기술정보연구원 | 연합 인증 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106716960B (zh) | 用户认证方法和*** | |
| US8528058B2 (en) | Native use of web service protocols and claims in server authentication | |
| US9571494B2 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
| US9300653B1 (en) | Delivery of authentication information to a RESTful service using token validation scheme | |
| US8104074B2 (en) | Identity providers in digital identity system | |
| US7240362B2 (en) | Providing identity-related information and preventing man-in-the-middle attacks | |
| EP2643955B1 (en) | Methods for authorizing access to protected content | |
| EP3297243B1 (en) | Trusted login method and device | |
| CN106341234B (zh) | 一种授权方法及装置 | |
| CN106716918B (zh) | 用户认证方法和*** | |
| US20060075122A1 (en) | Method and system for managing cookies according to a privacy policy | |
| CN101567878B (zh) | 提高网络身份认证安全性的方法 | |
| TW200810460A (en) | Authentication of a principal in a federation | |
| WO2010075761A1 (zh) | 一种向访问用户提供资源的方法、服务器和*** | |
| JP2013137588A (ja) | 認証連携システムおよびidプロバイダ装置 | |
| US11165768B2 (en) | Technique for connecting to a service | |
| US11936639B2 (en) | Using client certificates to communicate trusted information | |
| KR20130109322A (ko) | 통신 시스템에서 사용자 인증을 대행하는 장치 및 방법 | |
| CN101426009A (zh) | 身份管理平台、业务服务器、统一登录***及方法 | |
| CN112468481A (zh) | 一种基于CAS的单页和多页web应用身份集成认证方法 | |
| JP2007257426A (ja) | 認証強度の異なるサーバに対応した連携型認証方法及びシステム | |
| CN103069742A (zh) | 用于将密钥绑定到名称空间的的方法和装置 | |
| JP2009118110A (ja) | 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体 | |
| CN113411324B (zh) | 基于cas与第三方服务器实现登录认证的方法和*** | |
| CN104113511B (zh) | 一种接入ims网络的方法、***及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |