WO2013108969A1 - Method for managing web application authentication by using ocsp, and apparatus for authenticating web application by using same - Google Patents

Method for managing web application authentication by using ocsp, and apparatus for authenticating web application by using same Download PDF

Info

Publication number
WO2013108969A1
WO2013108969A1 PCT/KR2012/005254 KR2012005254W WO2013108969A1 WO 2013108969 A1 WO2013108969 A1 WO 2013108969A1 KR 2012005254 W KR2012005254 W KR 2012005254W WO 2013108969 A1 WO2013108969 A1 WO 2013108969A1
Authority
WO
WIPO (PCT)
Prior art keywords
web application
certificate
authentication
ocsp
application
Prior art date
Application number
PCT/KR2012/005254
Other languages
French (fr)
Korean (ko)
Inventor
최상기
이원용
Original Assignee
주식회사 인프라웨어
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 인프라웨어 filed Critical 주식회사 인프라웨어
Publication of WO2013108969A1 publication Critical patent/WO2013108969A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Definitions

  • the present application relates to a web application authentication technology, and more particularly, a web application authentication management method using OCSP that can effectively change the authority of an installed application based on the certificate information of the OCSP when the web application is executed, and the web using the same. It relates to an application authentication device.
  • the web application refers to application software that performs a predetermined function using a network such as the Internet based on a web browser.
  • managing the authority granted by the operating system of the user terminal is a very important issue. This is because a malicious application such as a Trojan can be easily installed on a user terminal by exploiting a web application.
  • the conventional rights management technology of the web application is fixed to the authority authenticated at the installation stage of the web application to set the rights of the web application. Therefore, in case of an error caused by the authentication server or a connection error with the authentication server in the installation step, there is a limit that a cumbersome additional procedure such as deleting and reinstalling the web application is required in order to correct an incorrectly set permission. .
  • the present application additionally performs an authentication procedure with the OCSP authentication server in the execution phase of the web application to enable the correction of authority based on the authentication information of the web application, thereby flexibly compensating the authority of the installed web application.
  • the present application executes the authentication procedure with the OCSP authentication server as a background process in the execution phase of the web application, the web application using OCSP that can flexibly compensate for the rights while maintaining the performance of the web application being executed efficiently We want to provide certification management technology.
  • the web application authentication management method is performed in an application providing server for providing web application installation data digitally signed with a predetermined certificate and a user terminal connectable to an OCSP authentication server.
  • the web application authentication management method includes (a) acquiring identification information of a certificate from web application installation data received from the application providing server, and (b) applying the certificate to the OCSP authentication server based on the acquired identification information. Requesting status information for the web application and (c) installing the web application by allocating domain authority of the web application based on the status information received from the OCSP authentication server.
  • the web application authentication apparatus is connectable to an application providing server and an OCSP authentication server for providing web application installation data digitally signed with a predetermined certificate.
  • the web application authentication device includes a certificate validity determination unit and an application installation management unit.
  • the certificate validity determining unit determines the validity of the certificate of the web application received from the application providing server.
  • the application installation manager installs the received web application by assigning differential domain rights based on the validity provided by the certificate validity determining unit.
  • the recording medium records a program for executing the web application authentication management method.
  • the program is a program that can be executed in an application providing server that provides web application installation data digitally signed with a predetermined certificate and a user terminal connectable to an OCSP authentication server, and (a) installing the web application received from the application providing server.
  • Obtaining identification information of a certificate from data (b) requesting the OCSP authentication server for status information based on the obtained identification information, and (c) the status received from the OCSP authentication server And installing the web application by allocating domain authority of the web application based on the information.
  • FIG. 1 is a reference diagram illustrating an example of a web application authentication apparatus, an application providing server, and an OCSP authentication server according to the disclosed technology.
  • FIG. 2 is a block diagram illustrating an embodiment of a web application authentication apparatus according to the disclosed technology.
  • FIG. 3 is a block diagram illustrating another embodiment of a web application authentication apparatus according to the disclosed technology.
  • 4 is a reference table for explaining status information of a certificate provided in the disclosed technology.
  • FIG. 5 is a flowchart illustrating an embodiment of a web application authentication management method according to the disclosed technology.
  • first and second are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms.
  • first component may be named a second component, and similarly, the second component may also be named a first component.
  • an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.
  • the disclosed technology can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system.
  • Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like, and are also implemented in the form of a carrier wave (for example, transmission over the Internet). It also includes.
  • the computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
  • FIG. 1 is a reference diagram illustrating an example of a web application authentication apparatus, an application providing server, and an OCSP authentication server according to the disclosed technology.
  • the web application authentication apparatus 200 may be configured as a user terminal or may operate in cooperation with the user terminal as a separate device from the user terminal.
  • the web application authentication apparatus 200 will be described on the assumption of an embodiment configured of at least some elements of a user terminal.
  • the scope of the right of the web application authentication device according to the disclosed technology by this assumption is not limited.
  • the web application authentication device may be configured as a separate device having at least some components in hardware.
  • the application providing server 100 may provide an installation of a web application to the web application authentication apparatus 200.
  • the application providing server 100 may provide installation data of a web application to the web application authentication apparatus 200.
  • the installation data can be digitally signed with a predetermined certificate.
  • it may be digitally signed as a certificate of the application provider.
  • the OCSP authentication server 300 may provide information on the validity of a certificate to the web application authentication apparatus 200 based on the Online Certificate Status Protocol (OCSP) protocol.
  • OCSP Online Certificate Status Protocol
  • the web application authentication apparatus 200 may perform a predetermined authentication on the web application provided by the application providing server 100 and assign a differential domain authority according to the validity of the authentication to install the web client.
  • the web application authentication apparatus 200 may perform predetermined authentication on the web application and change the domain authority or approve the execution of the web client according to the validity of the authentication.
  • the web application authentication apparatus 200 will be described in more detail below with reference to FIGS. 2 to 3.
  • FIG. 2 is a block diagram illustrating an embodiment of a web application authentication apparatus 200 according to the disclosed technology.
  • the web application authentication apparatus 200 may include a communication unit 210, a certificate validity determination unit 220, an application installation management unit 230, and an application execution management unit 240. In one embodiment, the web application authentication apparatus 200 may further include a memory unit 250.
  • the communication unit 210 may set or maintain a communication environment with the application providing server 100 or the OCSP authentication server 300.
  • the certificate validity determination unit 220 may communicate with the OCSP authentication server 300 to determine the validity of the certificate of the web application.
  • the certificate validity determination unit 220 may provide certificate identification information to the OCSP authentication server 300 and request validity information for the corresponding certificate.
  • the information on the validity of the certificate provided by the OCSP authentication server 300 may include state information of the corresponding certificate.
  • the state information may be information representing any one of a valid state, an undetermined state, and a discarded state. This will be described later in more detail with reference to FIG. 4.
  • the application installation manager 230 may set the differential domain authority according to the validity of the certificate to install the web application.
  • the application installation managing unit 230 may check identification information regarding a certificate that electronically signs web application installation data received from the application providing server 100.
  • the application installation management unit 230 may provide the identified identification information to the certificate validity determination unit 220 to receive status information on the corresponding certificate.
  • the application installation management unit 230 may assign domain authority based on the status information of the corresponding application provided from the certificate validity determination unit 220, and the application installation management unit 230 confirms that the domain authority is above a certain level and correspondingly. You can install a web application.
  • the domain authority refers to the authority that the corresponding application differentially sets the range of resources that can be accessed or modified in the user terminal.
  • domain rights can be divided including Trusted and Untrusted. According to an embodiment, it may include at least one partial trusted domain that differentially provides access or write access to only some resources between the trusted and untrusted domains.
  • the application installation manager 230 may install the web application by assigning it to a trusted domain.
  • the application installation manager 230 may install the web application by assigning it to an untrusted domain.
  • the application installation management unit 230 may stop the installation of the web application if the status information of the application corresponds to the revoked state, and display a user interface including notification information indicating that the corresponding certificate corresponds to the revoked state. have.
  • the application execution manager 240 may perform predetermined authentication on the web application and change the domain authority or approve the execution of the web client according to the validity of the authentication.
  • the application execution manager 240 may cache the current state information on the certificate of the installed web application at the first execution.
  • the application execution manager 240 may determine whether the current execution is the first execution, and if the first execution, the application execution manager 240 may request the certificate validity determination unit 220 for the current status information on the certificate of the installed web application.
  • the certificate validity determination unit 220 may request the OCSP authentication server 300 for the current state information of the corresponding certificate, and provide the application execution manager 240 with the state information received in response thereto.
  • the application execution manager 240 may cache the received state information as response data.
  • the application execution manager 240 may determine whether the current execution is the first execution based on the presence of cached data.
  • the application execution manager 240 may check whether cached response data exists when the installed web application is executed, and if not, determine that the current execution is the first execution.
  • the cached response data may have a predetermined validity period.
  • the disclosed technology caches the state information of the certificate of the web application, and executes the web application without performing a separate authentication process while the stored state information is valid (within the validity period). Can provide fast performance.
  • the application execution manager 240 may determine whether to execute the web application by determining the validity of cached response data (status information).
  • the validity of the cached response data may be determined. If the validity of the cached response data is not valid, the certificate validity determination unit 220 may determine whether the certificate of the web application is executed and determine whether to execute the certificate.
  • the application execution manager 240 may cache the current state information as response data.
  • the application execution manager 240 checks the validity period of the cached response data. If the current time exceeds the validity period, the application execution manager 240 uses the certificate validity determination unit 220 to determine the current validity of the certificate of the web application. State information can be obtained. The application execution manager 240 may check the current validity of the web application based on the current status information, and if valid, store the current status information as response data.
  • the validity period of the response data may be indicated as the period signature for the certificate.
  • the OCSP authentication server 300 may further provide information on the validity period for the corresponding status information, and the information on the validity period may be displayed as the period signature.
  • the application execution management unit 240 re-confirms the domain authority by using the current state information when the installed web application is executed, and if the domain authority may be changed, it is automatically reflected to reflect the domain authority of the web application. You can reset the permissions.
  • the application execution manager 240 uses the certificate validity determination unit 220 to install the web application. You can check the current status of the certificate. The application execution manager 240 may compare the current status information with the response data (status information when installed), and if the two status information are different from each other, reset the domain authority based on the current status information.
  • the automatic correction of the authority of the web application can be made to provide a more accurate and convenient web application execution environment to the user.
  • the domain authority cannot be changed unless it is manually deleted and reinstalled.
  • the disclosed technology is incorrectly set during the initial installation. Even if the domain authority is changed due to the change of the domain authority or the authority of the provider, it can be automatically reflected and reset to provide a more convenient web application execution environment.
  • the application execution manager 240 may generate a new separate thread to receive the current state information and perform it in the background.
  • the certificate validity determination unit 220 may be generated and function as a thread unit, and when the application execution management unit 240 confirms that the cached response data does not exist (at the first execution) or expires, the certificate validity determination unit Request 220 to create a new thread (a thread that communicates with the OCSP authentication server to obtain status information).
  • the memory unit 250 is a storage means for cache storing response data and the like. In the above description, the cached response data and the like may be stored using the memory unit 250.
  • FIG. 3 is a block diagram illustrating another embodiment of the web application authentication apparatus 200 according to the disclosed technology.
  • the web application authentication apparatus 200 may further include a signature generator 260. While the embodiment disclosed in FIG. 2 relates to an example in which the OCSP authentication server 300 provides a signature regarding the validity period included in the status information, another embodiment disclosed in FIG. 3 provides a signature for the period. The present invention relates to an embodiment that can also be generated by the authentication device 200.
  • the signature generator 260 may generate a period signature included in the response data.
  • the signature generator 260 may include a predetermined time stamping means.
  • the application execution manager 240 may check whether a signature for a period exists in the corresponding status information. If not present, the application execution manager 240 may request the signature generator 260 to generate the signature for the period by providing information about the valid period. The application execution manager 240 may store the period signature generated by the signature generator 260 as response data in association with the state information.
  • FIG. 4 is a reference table for describing status information of a certificate provided in the disclosed technology. Referring to FIG. 4, the status information of the certificate will be described in more detail.
  • the state information for the certificate may be expressed as any one of a valid state, an indeterminate state, and a revocation state.
  • the good state indicates that the certificate is valid, and the disclosed technology may set a right as a trusted domain for the web application corresponding to the valid state certificate.
  • An unkown indicates that the certificate cannot be validated, and the disclosed technology may set the authority as an untrusted domain for the web application corresponding to the uncommitted certificate.
  • Revoked indicates that the certificate has been revoked.
  • the installation step is not permitted, and in the execution step, the user terminal may be informed that the current certificate has been revoked and refused to be executed.
  • FIG. 5 is a flowchart illustrating an embodiment of a web application authentication management method according to the disclosed technology.
  • the web application authentication apparatus 200 may obtain identification information of the certificate from the received web application installation data (step S520).
  • the web application authentication apparatus 200 may request status information on the certificate from the OCSP authentication server 300 based on the acquired identification information (step S530).
  • the web application authentication apparatus 200 may allocate the domain authority of the web application based on the received status information (step S550). If the status information is not received (step S540, NO), the web application authentication apparatus 200 may request the status information again after waiting for a predetermined time (step S541) (step S530).
  • the web application authentication apparatus 200 may grant the assigned domain authority to install the web application (step S560).
  • the state information may be information regarding any one of a valid state, an undetermined state, and a discarded state.
  • the web application authentication apparatus 200 may allocate different domains according to the state information.
  • the web application authentication apparatus 200 may allocate the web application to the trusted domain when the state information corresponds to the valid state.
  • the web application authentication apparatus 200 may allocate the web application to an untrusted domain when the state information corresponds to an undetermined state.
  • the web application authentication apparatus 200 may stop the installation if the status information corresponds to the discarded state. In more detail, the web application authentication apparatus 200 may stop the installation of the web application if the status information corresponds to the revoked state, and display a user interface including notification information indicating that the certificate corresponds to the revoked state. .
  • the web application authentication management method may further include checking and storing current state information of the installed web application at the first execution of the web application.
  • the web application authentication apparatus 200 may receive the current state information on the certificate of the installed web application from the OCSP authentication server 300 and cache it as response data at the first execution of the installed web application.
  • the web application authentication apparatus 200 determines whether the execution of the installed web application corresponds to the first execution, and if it is determined as the first execution, the current state of the certificate of the web application installed in the OCSP authentication server 300. You can request information.
  • the web application authentication apparatus 200 may cache the current state information received from the OCSP authentication server 300 as response data.
  • the web application authentication apparatus 200 may determine whether the first execution is performed based on the presence of cached response data. In more detail, the web application authentication apparatus 200 may check whether cached response data exists when the installed web application is executed, and if not, determine the current execution as the first execution.
  • the web application authentication management method may determine whether to validate the certificate by determining the validity of the stored response data when the web application is executed.
  • the web application authentication apparatus 200 determines the validity of cached response data when executing the installed web application, and if it is not valid, uses the OCSP authentication server 300 to validate the current validity of the certificate of the web application. You can determine whether or not to run.
  • the web application authentication apparatus 200 checks the validity period of the cached response data, and if the current time exceeds the validity period, the web application authentication apparatus 200 sends the OCSP authentication server 300 the current status information on the certificate of the web application. You can request The web application authentication apparatus 200 may check the current validity based on the current status information received from the OCSP authentication server 300, and if valid, store the received current status information as response data.
  • the web application authentication management method may automatically reset the domain authority based on the current state information.
  • the web application authentication apparatus 200 when the web application authentication apparatus 200 executes the installed web application, the web application authentication apparatus 200 checks the current state information provided from the OCSP authentication server 300, and if the domain authority can be changed, the domain authority of the installed web application is changed. Can be reset automatically.

Abstract

The present invention relates to a web application authenticating technology. The method for managing web application authentication according to one embodiment of the disclosed technology is performed by an application providing server providing web application installation data, which is electronically signed using a predetermined certificate, and by a user terminal connectable to an OCSP authentication server. The method for managing web application authentication includes the steps of: (a) obtaining identification information on the certificate from the web application installation data received from the application providing server; (b) requesting state information on the certificate from the OCSP server on the basis of the obtained identification information; (c) installing the web application by allocating domain authority for the web application on the basis of the state information received from the OCSP authentication server. According to the present technology, there is an effect of flexibly compensating for the authority of an installed web application by additionally performing an authenticating process through the OCSP authentication server in the web application execution step, and enabling the authority to be corrected on the basis of authentication information on a corresponding web application.

Description

OCSP를 이용한 웹 어플리케이션 인증 관리 방법 및 그를 이용한 웹 어플리케이션 인증 장치Web application authentication management method using OSC and web application authentication device using the same
본 출원은 웹 어플리케이션 인증 기술에 관한 것으로, 보다 상세하게는, 웹 어플리케이션의 실행 시 OCSP의 인증서 정보를 기초로 설치된 어플리케이션의 권한을 유효하게 변경할 수 있는 OCSP를 이용한 웹 어플리케이션 인증 관리 방법 및 그를 이용한 웹 어플리케이션 인증 장치에 관한 것이다.The present application relates to a web application authentication technology, and more particularly, a web application authentication management method using OCSP that can effectively change the authority of an installed application based on the certificate information of the OCSP when the web application is executed, and the web using the same. It relates to an application authentication device.
인터넷 및 컴퓨팅 기술의 발전에 따라, 소프트웨어는 단순한 매체 기반에서 네트워크 기반으로, 또한 OS 기반에서 다양한 어플리케이션 기반으로 발전하게 되었다.With the development of the Internet and computing technologies, software has evolved from simple media-based to network-based and from OS-based to various application-based.
이러한 종래의 소프트웨어의 한 종류로서 웹 어플리케이션이 있다. 웹 어플리케이션은 웹 브라우저를 기반으로 인터넷 등의 네트워크를 이용하여 소정의 기능을 수행하는 응용 소프트웨어를 의미한다. 이러한 웹 어플리케이션에 있어서, 사용자 단말의 운영체제에서 부여되는 권한을 관리하는 것은 매우 중요한 이슈이다. 이는, 웹 어플리케이션을 악용하면 트로이 등의 악성 코드를 사용자 단말에 손쉽게 설치할 수 있기 때문이다. One type of such conventional software is a web application. The web application refers to application software that performs a predetermined function using a network such as the Internet based on a web browser. In such a web application, managing the authority granted by the operating system of the user terminal is a very important issue. This is because a malicious application such as a Trojan can be easily installed on a user terminal by exploiting a web application.
종래에는, 이러한 웹 어플리케이션의 권한을 부여함에 있어서, 웹 어플리케이션에 소정의 인증서로 전자 서명을 하고, 인증 서버를 이용하여 해당 어플리케이션의 생성자 또는 발급자를 확인하고, 그에 대한 안전 등급을 사용자에게 제공함으로써 사용자가 이러한 정보를 기반으로 수동적인 권한 관리를 할 수 있었다.Conventionally, in granting the authority of such a web application, the user by digitally signing the web application with a predetermined certificate, using the authentication server to identify the creator or issuer of the application, and provide the user with a safety level thereof. Based on this information, manual authority management was possible.
그러나, 이러한 종래의 웹 어플리케이션의 권한 관리 기술은 웹 어플리케이션의 설치 단계에서 인증된 권한에 고정되어 웹 어플리케이션의 권한을 설정하였다. 따라서, 설치 단계에서 인증 서버에 의한 오류 또는 인증 서버와의 연결 오류가 발생하는 경우, 잘못 설정된 권한을 수정하기 위해서는 해당 웹 어플리케이션을 삭제 후 재 설치하는 등의 번거로운 부가적 절차가 요구되는 한계성이 있었다. However, the conventional rights management technology of the web application is fixed to the authority authenticated at the installation stage of the web application to set the rights of the web application. Therefore, in case of an error caused by the authentication server or a connection error with the authentication server in the installation step, there is a limit that a cumbersome additional procedure such as deleting and reinstalling the web application is required in order to correct an incorrectly set permission. .
본 출원은 웹 어플리케이션의 실행 단계에서 OCSP 인증 서버와의 인증 절차를 부가적으로 수행하여 해당 웹 어플리케이션의 인증 정보를 기초로 권한의 정정이 가능하게 함으로써, 설치된 웹 어플리케이션의 권한을 유동적으로 보상할 수 있는 OCSP를 이용한 웹 어플리케이션 인증 관리 기술을 제공하고자 한다.The present application additionally performs an authentication procedure with the OCSP authentication server in the execution phase of the web application to enable the correction of authority based on the authentication information of the web application, thereby flexibly compensating the authority of the installed web application. To provide web application authentication management technology using OCSP.
또한, 본 출원은 웹 어플리케이션의 실행 단계에서 OCSP 인증 서버와의 인증 절차를 백 그라운드 프로세스로서 수행함으로써, 수행 중인 웹 어플리케이션의 성능을 효율적으로 유지하면서 권한을 유동적으로 보상할 수 있는 OCSP를 이용한 웹 어플리케이션 인증 관리 기술을 제공하고자 한다.In addition, the present application executes the authentication procedure with the OCSP authentication server as a background process in the execution phase of the web application, the web application using OCSP that can flexibly compensate for the rights while maintaining the performance of the web application being executed efficiently We want to provide certification management technology.
실시예들 중에서, 웹 어플리케이션 인증 관리 방법은 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능한 사용자 단말에서 수행된다. 상기 웹 어플리케이션 인증 관리 방법은 (a) 상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션 설치 데이터에서 인증서의 식별 정보를 취득하는 단계, (b) 상기 취득된 식별 정보를 기초로 상기 OCSP 인증 서버에 상기 인증서에 대한 상태 정보를 요청하는 단계 및 (c) 상기 OCSP 인증 서버로부터 수신된 상기 상태 정보를 기초로 상기 웹 어플리케이션의 도메인 권한을 할당하여 상기 웹 어플리케이션을 설치하는 단계를 포함한다.Among the embodiments, the web application authentication management method is performed in an application providing server for providing web application installation data digitally signed with a predetermined certificate and a user terminal connectable to an OCSP authentication server. The web application authentication management method includes (a) acquiring identification information of a certificate from web application installation data received from the application providing server, and (b) applying the certificate to the OCSP authentication server based on the acquired identification information. Requesting status information for the web application and (c) installing the web application by allocating domain authority of the web application based on the status information received from the OCSP authentication server.
실시예들 중에서, 웹 어플리케이션 인증 장치는 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능하다. 상기 웹 어플리케이션 인증 장치는 인증서 유효성 판단부 및 어플리케이션 설치 관리부를 포함한다. 상기 인증서 유효성 판단부는 상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션의 인증서에 대한 유효성을 판단한다. 상기 어플리케이션 설치 관리부는 상기 인증서 유효성 판단부에서 제공된 유효성을 기초로 차등적인 도메인 권한을 할당하여 상기 수신된 웹 어플리케이션을 설치한다.Among the embodiments, the web application authentication apparatus is connectable to an application providing server and an OCSP authentication server for providing web application installation data digitally signed with a predetermined certificate. The web application authentication device includes a certificate validity determination unit and an application installation management unit. The certificate validity determining unit determines the validity of the certificate of the web application received from the application providing server. The application installation manager installs the received web application by assigning differential domain rights based on the validity provided by the certificate validity determining unit.
실시예들 중에서, 기록 매체는 웹 어플리케이션 인증 관리 방법을 실행시키기 위한 프로그램을 기록한다. 상기 프로그램은 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능한 사용자 단말에서 수행될 수 있는 프로그램으로서, (a) 상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션 설치 데이터에서 인증서의 식별 정보를 취득하는 기능, (b) 상기 취득된 식별 정보를 기초로 상기 OCSP 인증 서버에 상기 인증서에 대한 상태 정보를 요청하는 기능 및 (c) 상기 OCSP 인증 서버로부터 수신된 상기 상태 정보를 기초로 상기 웹 어플리케이션의 도메인 권한을 할당하여 상기 웹 어플리케이션을 설치하는 기능을 포함한다.Among the embodiments, the recording medium records a program for executing the web application authentication management method. The program is a program that can be executed in an application providing server that provides web application installation data digitally signed with a predetermined certificate and a user terminal connectable to an OCSP authentication server, and (a) installing the web application received from the application providing server. Obtaining identification information of a certificate from data, (b) requesting the OCSP authentication server for status information based on the obtained identification information, and (c) the status received from the OCSP authentication server And installing the web application by allocating domain authority of the web application based on the information.
본 출원의 개시된 기술에 따르면, 웹 어플리케이션의 실행 단계에서 OCSP 인증 서버와의 인증 절차를 부가적으로 수행하여 해당 웹 어플리케이션의 인증 정보를 기초로 권한의 정정이 가능하게 함으로써, 설치된 웹 어플리케이션의 권한을 유동적으로 보상할 수 있는 효과가 있다.According to the disclosed technology of the present application, by performing an authentication procedure with the OCSP authentication server in the execution step of the web application, it is possible to correct the authority based on the authentication information of the web application, thereby ensuring the authority of the installed web application. It has the effect of compensating fluidly.
또한 본 출원의 개시된 기술에 따르면, 웹 어플리케이션의 실행 단계에서 OCSP 인증 서버와의 인증 절차를 백 그라운드 프로세스로서 수행함으로써, 수행 중인 웹 어플리케이션의 성능을 효율적으로 유지하면서 권한을 유동적으로 보상할 수 있는 효과가 있다. In addition, according to the disclosed technology of the present application, by performing the authentication process with the OCSP authentication server as a background process in the execution phase of the web application, the effect that can flexibly compensate for the rights while maintaining the performance of the running web application efficiently There is.
도 1은 개시된 기술에 따른 웹 어플리케이션 인증 장치와, 어플리케이션 제공 서버 및 OCSP 인증 서버의 일 예를 도시하는 참고도이다. 1 is a reference diagram illustrating an example of a web application authentication apparatus, an application providing server, and an OCSP authentication server according to the disclosed technology.
도 2는 개시된 기술에 따른 웹 어플리케이션 인증 장치의 일 실시예를 설명하기 위한 구성도이다. 2 is a block diagram illustrating an embodiment of a web application authentication apparatus according to the disclosed technology.
도 3은 개시된 기술에 따른 웹 어플리케이션 인증 장치의 다른 일 실시예를 설명하기 위한 구성도이다. 3 is a block diagram illustrating another embodiment of a web application authentication apparatus according to the disclosed technology.
도 4는 개시된 기술에서 제공되는 인증서의 상태 정보를 설명하기 위한 참고표이다. 4 is a reference table for explaining status information of a certificate provided in the disclosed technology.
도 5는 개시된 기술에 따른 웹 어플리케이션 인증 관리 방법의 일 실시예를 설명하기 위한 순서도이다.5 is a flowchart illustrating an embodiment of a web application authentication management method according to the disclosed technology.
100 : 어플리케이션 제공 서버100: application providing server
200 : 웹 어플리케이션 인증 장치200: web application authentication device
210 : 통신부 220 : 인증서 유효성 판단부 210: communication unit 220: certificate validity determination unit
230 : 어플리케이션 설치 관리부 240 : 어플리케이션 실행 관리부230: application installation management unit 240: application execution management unit
250 : 메모리부 260 : 시그니처 생성부250: memory 260: signature generation unit
300 : OCSP 인증 서버300: OCSP Authentication Server
개시된 기술에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 개시된 기술의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 개시된 기술의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다.Description of the disclosed technology is only an embodiment for structural or functional description, the scope of the disclosed technology should not be construed as limited by the embodiments described in the text. That is, since the embodiments may be variously modified and may have various forms, the scope of the disclosed technology should be understood to include equivalents capable of realizing the technical idea.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.On the other hand, the meaning of the terms described in the present application should be understood as follows.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.Terms such as "first" and "second" are intended to distinguish one component from another component, and the scope of rights should not be limited by these terms. For example, the first component may be named a second component, and similarly, the second component may also be named a first component.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.When a component is referred to as being "connected" to another component, it should be understood that there may be other components in between, although it may be directly connected to the other component. On the other hand, when a component is referred to as being "directly connected" to another component, it should be understood that there is no other component in between. On the other hand, other expressions describing the relationship between the components, such as "between" and "immediately between" or "neighboring to" and "directly neighboring", should be interpreted as well.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 설시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions should be understood to include plural expressions unless the context clearly indicates otherwise, and terms such as "comprise" or "have" refer to features, numbers, steps, operations, components, parts, or parts thereof described. It is to be understood that the combination is intended to be present and does not exclude in advance the possibility of the presence or addition of one or more other features or numbers, steps, operations, components, parts or combinations thereof.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.In each step, an identification code (e.g., a, b, c, etc.) is used for convenience of description, and the identification code does not describe the order of the steps, and each step clearly indicates a specific order in context. Unless stated otherwise, they may occur out of the order noted. That is, each step may occur in the same order as specified, may be performed substantially simultaneously, or may be performed in the reverse order.
개시된 기술은 컴퓨터가 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있으며, 또한, 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.The disclosed technology can be embodied as computer readable code on a computer readable recording medium, and the computer readable recording medium includes all kinds of recording devices in which data can be read by a computer system. . Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical data storage device, and the like, and are also implemented in the form of a carrier wave (for example, transmission over the Internet). It also includes. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 개시된 기술이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.All terms used herein have the same meaning as commonly understood by one of ordinary skill in the art unless otherwise defined. Generally, the terms defined in the dictionary used are to be interpreted to coincide with the meanings in the context of the related art, and should not be interpreted as having ideal or excessively formal meanings unless clearly defined in the present application.
도 1은 개시된 기술에 따른 웹 어플리케이션 인증 장치와, 어플리케이션 제공 서버 및 OCSP 인증 서버의 일 예를 도시하는 참고도이다. 1 is a reference diagram illustrating an example of a web application authentication apparatus, an application providing server, and an OCSP authentication server according to the disclosed technology.
도 1에 도시된 예에서, 웹 어플리케이션 인증 장치(200)는 사용자 단말로서 구성되거나, 또는 사용자 단말과 별도의 장치로서 사용자 단말과 연동되어 동작할 수 있다. 이하에서는, 설명의 편의를 위하여 웹 어플리케이션 인증 장치(200)는 사용자 단말의 적어도 일부 요소들로 구성된 실시예를 가정하여 설명한다. 그러나 이러한 가정에 의하여 개시된 기술에 따른 웹 어플리케이션 인증 장치의 권리 범위가 제한해석 되지 않는다. 예컨대, 웹 어플리케이션 인증 장치는 적어도 일부 구성을 하드웨어로 구비한 별도의 장치로서 구성될 수도 있음은 물론이다. In the example shown in FIG. 1, the web application authentication apparatus 200 may be configured as a user terminal or may operate in cooperation with the user terminal as a separate device from the user terminal. Hereinafter, for convenience of description, the web application authentication apparatus 200 will be described on the assumption of an embodiment configured of at least some elements of a user terminal. However, the scope of the right of the web application authentication device according to the disclosed technology by this assumption is not limited. For example, the web application authentication device may be configured as a separate device having at least some components in hardware.
어플리케이션 제공 서버(100)는 웹 어플리케이션 인증 장치(200)에 웹 어플리케이션의 설치를 제공할 수 있다. 예를 들어, 어플리케이션 제공 서버(100)는 웹 어플리케이션 인증 장치(200)에 웹 어플리케이션의 설치 데이터를 제공할 수 있다. The application providing server 100 may provide an installation of a web application to the web application authentication apparatus 200. For example, the application providing server 100 may provide installation data of a web application to the web application authentication apparatus 200.
여기에서, 설치 데이터는 소정의 인증서로 전자 서명될 수 있다. 예를 들어, 어플리케이션 제공 주체의 인증서로서 전자 서명될 수 있다.Here, the installation data can be digitally signed with a predetermined certificate. For example, it may be digitally signed as a certificate of the application provider.
OCSP 인증 서버(300)는 OCSP(Online Certificate Status Protocol) 프로토콜을 기반으로 웹 어플리케이션 인증 장치(200)에 인증서의 유효성에 대한 정보를 제공할 수 있다. The OCSP authentication server 300 may provide information on the validity of a certificate to the web application authentication apparatus 200 based on the Online Certificate Status Protocol (OCSP) protocol.
OCSP 인증 서버(300)에 의하여 제공되는 인증서의 유효성에 대한 정보는 도 4를 참조하여 후술한다.Information on the validity of the certificate provided by the OCSP authentication server 300 will be described later with reference to FIG. 4.
웹 어플리케이션 인증 장치(200)는 어플리케이션 제공 서버(100)에서 제공된 웹 어플리케이션에 대하여 소정의 인증을 수행하고, 인증의 유효 정도에 따라 차등적인 도메인 권한을 할당하여 웹 클라이언트를 설치하도록 할 수 있다.The web application authentication apparatus 200 may perform a predetermined authentication on the web application provided by the application providing server 100 and assign a differential domain authority according to the validity of the authentication to install the web client.
웹 어플리케이션 인증 장치(200)는 설치된 웹 클라이언트의 실행 시, 해당 웹 어플리케이션에 대하여 소정의 인증을 수행하고, 인증의 유효 정도에 따라 도메인 권한을 변경하거나 웹 클라이언트의 수행을 승인하도록 할 수 있다.When executing the installed web client, the web application authentication apparatus 200 may perform predetermined authentication on the web application and change the domain authority or approve the execution of the web client according to the validity of the authentication.
이러한 웹 어플리케이션 인증 장치(200)에 대해서는 도 2 내지 도 3을 참조하여 이하에서 보다 상세히 설명한다.The web application authentication apparatus 200 will be described in more detail below with reference to FIGS. 2 to 3.
도 2는 개시된 기술에 따른 웹 어플리케이션 인증 장치(200)의 일 실시예를 설명하기 위한 구성도이다. 2 is a block diagram illustrating an embodiment of a web application authentication apparatus 200 according to the disclosed technology.
도 2를 참조하면, 웹 어플리케이션 인증 장치(200)는 통신부(210), 인증서 유효성 판단부(220), 어플리케이션 설치 관리부(230) 및 어플리케이션 실행 관리부(240)를 포함할 수 있다. 일 실시예에서, 웹 어플리케이션 인증 장치(200)는 메모리부(250)를 더 포함할 수 있다. Referring to FIG. 2, the web application authentication apparatus 200 may include a communication unit 210, a certificate validity determination unit 220, an application installation management unit 230, and an application execution management unit 240. In one embodiment, the web application authentication apparatus 200 may further include a memory unit 250.
통신부(210)는 어플리케이션 제공 서버(100) 또는 OCSP 인증 서버(300)와의 통신 환경을 설정 또는 유지할 수 있다. The communication unit 210 may set or maintain a communication environment with the application providing server 100 or the OCSP authentication server 300.
인증서 유효성 판단부(220)는 OCSP 인증 서버(300)와 통신하여 웹 어플리케이션의 인증서에 대한 유효성을 판단할 수 있다. The certificate validity determination unit 220 may communicate with the OCSP authentication server 300 to determine the validity of the certificate of the web application.
일 실시예에서, 인증서 유효성 판단부(220)는 인증서 식별 정보를 OCSP 인증 서버(300)에 제공하고 해당 인증서에 대한 유효성 정보를 요청할 수 있다. In one embodiment, the certificate validity determination unit 220 may provide certificate identification information to the OCSP authentication server 300 and request validity information for the corresponding certificate.
일 실시예에서, OCSP 인증 서버(300)에서 제공되는 인증서의 유효성에 대한 정보는 해당 인증서의 상태 정보를 포함할 수 있다. 여기에서, 상태 정보는 유효 상태, 미확정 상태 및 폐기 상태 중 어느 하나의 상태를 나타내는 정보일 수 있다. 이에 대해서는, 도 4를 참조하여 보다 상세히 후술한다.In one embodiment, the information on the validity of the certificate provided by the OCSP authentication server 300 may include state information of the corresponding certificate. Here, the state information may be information representing any one of a valid state, an undetermined state, and a discarded state. This will be described later in more detail with reference to FIG. 4.
어플리케이션 설치 관리부(230)는 인증서의 유효 정도에 따라 차등적인 도메인 권한을 설정하여 웹 어플리케이션을 설치하도록 할 수 있다. The application installation manager 230 may set the differential domain authority according to the validity of the certificate to install the web application.
더 상세히 설명하면, 어플리케이션 설치 관리부(230)는 어플리케이션 제공 서버(100)로부터 수신된 웹 어플리케이션 설치 데이터를 전자 서명한 인증서에 관한 식별 정보를 확인할 수 있다. 어플리케이션 설치 관리부(230)는 확인된 식별 정보를 인증서 유효성 판단부(220)에 제공하여 해당 인증서에 대한 상태 정보를 제공받을 수 있다. 어플리케이션 설치 관리부(230)는 인증서 유효성 판단부(220)로부터 제공받은 해당 어플리케이션의 상태 정보를 기초로 도메인 권한을 할당할 수 있으며, 어플리케이션 설치 관리부(230)는 도메인 권한이 일정 등급 이상임을 확인하고 해당 웹 어플리케이션을 설치하도록 할 수 있다.In more detail, the application installation managing unit 230 may check identification information regarding a certificate that electronically signs web application installation data received from the application providing server 100. The application installation management unit 230 may provide the identified identification information to the certificate validity determination unit 220 to receive status information on the corresponding certificate. The application installation management unit 230 may assign domain authority based on the status information of the corresponding application provided from the certificate validity determination unit 220, and the application installation management unit 230 confirms that the domain authority is above a certain level and correspondingly. You can install a web application.
여기에서, 도메인 권한은 해당 어플리케이션이 사용자 단말에서 접근 또는 수정이 가능한 리소스의 범위를 차등적으로 설정해 놓은 권한을 의미한다. 후술할 바와 같이, 도메인 권한은 신뢰 가능(Trusted) 및 비 신뢰(Untrusted)를 포함하여 구분될 수 있다. 실시예에 따라, 신뢰 가능(Trusted) 도메인과 비 신뢰(Untrusted) 도메인의 사이에 일부 리소스에 대해서만 접근 또는 쓰기 권한을 차등적으로 제공하는 적어도 하나의 일부 신뢰 도메인을 포함할 수 있다.In this case, the domain authority refers to the authority that the corresponding application differentially sets the range of resources that can be accessed or modified in the user terminal. As will be described later, domain rights can be divided including Trusted and Untrusted. According to an embodiment, it may include at least one partial trusted domain that differentially provides access or write access to only some resources between the trusted and untrusted domains.
일 실시예에서, 어플리케이션 설치 관리부(230)는 어플리케이션의 상태 정보가 유효 상태에 해당되면, 웹 어플리케이션을 신뢰 가능(Trusted) 도메인으로 할당하여 설치할 수 있다. In an embodiment, if the application state information corresponds to a valid state, the application installation manager 230 may install the web application by assigning it to a trusted domain.
일 실시예에서, 어플리케이션 설치 관리부(230)는 어플리케이션의 상태 정보가 미확정 상태에 해당되면, 웹 어플리케이션을 비 신뢰(Untrusted) 도메인으로 할당하여 설치할 수 있다. In an embodiment, if the application state information corresponds to an undetermined state, the application installation manager 230 may install the web application by assigning it to an untrusted domain.
일 실시예에서, 어플리케이션 설치 관리부(230)는 어플리케이션의 상태 정보가 폐기 상태에 해당되면 해당 웹 어플리케이션의 설치를 중단하고, 해당 인증서가 폐기 상태에 해당한다는 알림 정보를 포함하는 유저 인터페이스를 디스플레이 할 수 있다.In one embodiment, the application installation management unit 230 may stop the installation of the web application if the status information of the application corresponds to the revoked state, and display a user interface including notification information indicating that the corresponding certificate corresponds to the revoked state. have.
어플리케이션 실행 관리부(240)는 설치된 웹 어플리케이션의 실행 시, 해당 웹 어플리케이션에 대하여 소정의 인증을 수행하고 인증의 유효 정도에 따라 도메인 권한을 변경하거나 웹 클라이언트의 수행을 승인하도록 할 수 있다When executing the installed web application, the application execution manager 240 may perform predetermined authentication on the web application and change the domain authority or approve the execution of the web client according to the validity of the authentication.
어플리케이션 실행 관리부(240)는 최초 실행 시, 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 캐시 저장하도록 할 수 있다. The application execution manager 240 may cache the current state information on the certificate of the installed web application at the first execution.
더 상세히 설명하면, 어플리케이션 실행 관리부(240)는 현재 실행이 최초의 실행인지 확인하고, 만일 최초의 실행이면 설치된 웹 어플리케이션의 인증서에 대한 현재 상태 정보를 인증서 유효성 판단부(220)에 요청할 수 있다. 인증서 유효성 판단부(220)는 해당 인증서에 대한 현재 상태 정보를 OCSP 인증 서버(300)에 요청하고, 그에 대한 응답으로 수신한 상태 정보를 어플리케이션 실행 관리부(240)에 제공할 수 있다. 어플리케이션 실행 관리부(240)는 수신된 상태 정보를 응답 데이터로서 캐시 저장할 수 있다. In more detail, the application execution manager 240 may determine whether the current execution is the first execution, and if the first execution, the application execution manager 240 may request the certificate validity determination unit 220 for the current status information on the certificate of the installed web application. The certificate validity determination unit 220 may request the OCSP authentication server 300 for the current state information of the corresponding certificate, and provide the application execution manager 240 with the state information received in response thereto. The application execution manager 240 may cache the received state information as response data.
일 실시예에서, 어플리케이션 실행 관리부(240)는 캐시 저장된 데이터의 존재 유무를 기초로 현재 실행이 최초의 실행인지 판단할 수 있다. In one embodiment, the application execution manager 240 may determine whether the current execution is the first execution based on the presence of cached data.
더 상세히 설명하면, 어플리케이션 실행 관리부(240)는 설치된 웹 어플리케이션의 실행 시 캐시 저장된 응답 데이터가 존재하는지 확인하고, 만일 존재하지 않으면 현재 실행을 최초 실행으로서 판단할 수 있다. In more detail, the application execution manager 240 may check whether cached response data exists when the installed web application is executed, and if not, determine that the current execution is the first execution.
여기에서, 캐시 저장된 응답 데이터는 소정의 유효 기간을 가질 수 있다. 이와 같이, 개시된 기술은 웹 어플리케이션의 인증서에 대한 상태 정보를 캐시 저장하고, 저장된 상태 정보가 유효한 동안(유효 기간 이내인 경우)은 별도의 인증 절차를 거치지 아니하고 웹 어플리케이션을 수행하도록 함으로써 웹 어플리케이션의 보다 빠른 수행을 제공할 수 있다. Here, the cached response data may have a predetermined validity period. As described above, the disclosed technology caches the state information of the certificate of the web application, and executes the web application without performing a separate authentication process while the stored state information is valid (within the validity period). Can provide fast performance.
어플리케이션 실행 관리부(240)는 설치된 웹 어플리케이션의 실행 시, 캐시 저장된 응답 데이터(상태 정보)의 유효성을 판단하여 실행 여부를 판단할 수 있다. The application execution manager 240 may determine whether to execute the web application by determining the validity of cached response data (status information).
더 상세히 설명하면, 캐시 저장된 응답 데이터의 유효성을 판단하고, 만일 유효하지 않으면 인증서 유효성 판단부(220)를 통하여 웹 어플리케이션의 인증서의 현재 유효성을 확인하여 실행 여부를 판단할 수 있다. In more detail, the validity of the cached response data may be determined. If the validity of the cached response data is not valid, the certificate validity determination unit 220 may determine whether the certificate of the web application is executed and determine whether to execute the certificate.
일 실시예에서, 어플리케이션 실행 관리부(240)는 현재의 상태 정보를 응답 데이터로서 캐시 저장할 수 있다. In one embodiment, the application execution manager 240 may cache the current state information as response data.
더 상세히 설명하면, 어플리케이션 실행 관리부(240)는 캐시 저장된 응답 데이터의 유효 기간을 확인하고, 만일 현재 시각이 유효 기간을 초과하면, 인증서 유효성 판단부(220)를 이용하여 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 획득할 수 있다. 어플리케이션 실행 관리부(240)는 현재의 상태 정보를 기초로 웹 어플리케이션의 현재 유효성을 확인하고, 만일 유효하면 현재의 상태 정보를 응답 데이터로서 캐시 저장할 수 있다. In more detail, the application execution manager 240 checks the validity period of the cached response data. If the current time exceeds the validity period, the application execution manager 240 uses the certificate validity determination unit 220 to determine the current validity of the certificate of the web application. State information can be obtained. The application execution manager 240 may check the current validity of the web application based on the current status information, and if valid, store the current status information as response data.
여기에서, 응답 데이터의 유효 기간은 인증서에 대한 기간 시그니처로서 표시될 수 있다. 예를 들어, OCSP 인증 서버(300)는 상태 정보를 제공함에 있어, 해당 상태 정보에 대한 유효 기간에 대한 정보를 더 제공할 수 있으며, 이러한 유효 기간에 대한 정보는 기간 시그니처로서 표시될 수 있다. Here, the validity period of the response data may be indicated as the period signature for the certificate. For example, in providing the status information, the OCSP authentication server 300 may further provide information on the validity period for the corresponding status information, and the information on the validity period may be displayed as the period signature.
일 실시예예서, 어플리케이션 실행 관리부(240)는 설치된 웹 어플리케이션의 실행 시 현재의 상태 정보를 이용하여 도메인 권한을 재 확인하고, 만일 도메인 권한이 변경될 수 있으면 이를 자동으로 반영하여 해당 웹 어플리케이션의 도메인 권한을 재 설정할 수 있다. In one embodiment, the application execution management unit 240 re-confirms the domain authority by using the current state information when the installed web application is executed, and if the domain authority may be changed, it is automatically reflected to reflect the domain authority of the web application. You can reset the permissions.
더 상세히 설명하면, 전술한 바와 같이 (i) 어플리케이션의 최초 실행 또는 (ii) 응답 데이터의 유효 기간이 만료된 경우, 어플리케이션 실행 관리부(240)는 인증서 유효성 판단부(220)를 이용하여 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 확인할 수 있다. 어플리케이션 실행 관리부(240)는 현재의 상태 정보와 응답 데이터(설치된 때의 상태 정보)를 비교하고, 만일 두 상태 정보들이 서로 상이하면 현재의 상태 정보를 기초로 도메인 권한을 재 설정할 수 있다. In more detail, as described above, when (i) the initial execution of the application or (ii) the validity period of the response data has expired, the application execution manager 240 uses the certificate validity determination unit 220 to install the web application. You can check the current status of the certificate. The application execution manager 240 may compare the current status information with the response data (status information when installed), and if the two status information are different from each other, reset the domain authority based on the current status information.
이러한 실시예의 경우, 웹 어플리케이션의 권한에 대한 자동 보정이 이루어질 수 있어 사용자에게 보다 정확하고 편리한 웹 어플리케이션 실행 환경을 제공할 수 있다. 예를 들어, 종래에는 최초의 웹 어플리케이션 설치 시, 잘못된 도메인 권한으로 설치된 경우, 수동으로 삭제 후 재 설치를 거치지 않는 한 도메인 권한의 변동이 불가하여 불편함으로 초래하였으나, 개시된 기술은 최초 설치시 잘못 설정된 도메인 권한, 또는 제공자의 권한 변경 등으로 도메인 권한이 변동되어도 이를 자동으로 반영하여 재 설정함으로써 보다 편리한 웹 어플리케이션 실행 환경을 제공할 수 있다. In this embodiment, the automatic correction of the authority of the web application can be made to provide a more accurate and convenient web application execution environment to the user. For example, in the past, when the first web application is installed with the wrong domain authority, the domain authority cannot be changed unless it is manually deleted and reinstalled. However, the disclosed technology is incorrectly set during the initial installation. Even if the domain authority is changed due to the change of the domain authority or the authority of the provider, it can be automatically reflected and reset to provide a more convenient web application execution environment.
어플리케이션 실행 관리부(240)는 캐시 저장된 응답 데이터가 없는 경우(최초 실행 시) 또는 만료된 경우, 현재의 상태 정보를 수신하기 위하여 새로운 별도의 쓰레드를 생성하여 이를 백 그라운드에서 수행하도록 할 수 있다. 예를 들어, 인증서 유효성 판단부(220)는 쓰레드 단위로서 생성되어 기능할 수 있으며, 어플리케이션 실행 관리부(240)는 캐시 저장된 응답 데이터가 없거나(최초 실행 시) 또는 만료되었음을 확인하면, 인증서 유효성 판단부(220)에 새로운 쓰레드(OCSP 인증 서버와 통신을 수행하여 상태 정보를 취득하는 쓰레드)를 생성하도록 요청할 수 있다.If there is no cached response data (at the time of first execution) or expires, the application execution manager 240 may generate a new separate thread to receive the current state information and perform it in the background. For example, the certificate validity determination unit 220 may be generated and function as a thread unit, and when the application execution management unit 240 confirms that the cached response data does not exist (at the first execution) or expires, the certificate validity determination unit Request 220 to create a new thread (a thread that communicates with the OCSP authentication server to obtain status information).
메모리부(250)는 응답 데이터 등을 캐시 저장하기 위한 저장 수단이다. 전술한 설명에서, 캐시 저장되는 응답 데이터 등은 메모리부(250)를 이용하여 저장될 수 있다. The memory unit 250 is a storage means for cache storing response data and the like. In the above description, the cached response data and the like may be stored using the memory unit 250.
도 3은 개시된 기술에 따른 웹 어플리케이션 인증 장치(200)의 다른 일 실시예를 설명하기 위한 구성도이다. 3 is a block diagram illustrating another embodiment of the web application authentication apparatus 200 according to the disclosed technology.
도 3에 개시된 다른 일 실시예를 참조하면, 웹 어플리케이션 인증 장치(200)는 시그니처 생성부(260)를 더 포함할 수 있다. 도 2에 개시된 일 실시예에서는 상태 정보에 포함된 유효 기간에 관한 시그니처를 OCSP 인증 서버(300)에서 제공하는 예에 관한 것이나, 도 3에 개시된 다른 일 실시예는 이러한 기간에 대한 시그니처를 웹 어플리케이션 인증 장치(200)에서도 생성할 수 있는 실시예에 관한 것이다.Referring to another embodiment disclosed in FIG. 3, the web application authentication apparatus 200 may further include a signature generator 260. While the embodiment disclosed in FIG. 2 relates to an example in which the OCSP authentication server 300 provides a signature regarding the validity period included in the status information, another embodiment disclosed in FIG. 3 provides a signature for the period. The present invention relates to an embodiment that can also be generated by the authentication device 200.
시그니처 생성부(260)는 응답 데이터에 포함된 기간 시그니처를 생성할 수 있다. 이를 위하여 시그니처 생성부(260)는 소정의 타임 스탬핑 수단을 구비할 수 있다. The signature generator 260 may generate a period signature included in the response data. For this purpose, the signature generator 260 may include a predetermined time stamping means.
더 상세히 설명하면, 어플리케이션 실행 관리부(240)는 설치된 웹 어플리케이션에 대한 최초의 또는 현재 상태 정보를 수신하면, 해당 상태 정보에 기간에 대한 시그니처가 존재하는 지 확인할 수 있다. 만일 존재하지 않으면, 어플리케이션 실행 관리부(240)는 시그니처 생성부(260)에 유효 기간에 대한 정보를 제공하여 기간에 대한 시그니처를 생성하도록 요청할 수 있다. 어플리케이션 실행 관리부(240)는 시그니처 생성부(260)에서 생성된 기간 시그니처를 상태 정보와 연관하여 응답 데이터로서 저장하도록 할 수 있다. In more detail, when the application execution manager 240 receives the first or current status information on the installed web application, the application execution manager 240 may check whether a signature for a period exists in the corresponding status information. If not present, the application execution manager 240 may request the signature generator 260 to generate the signature for the period by providing information about the valid period. The application execution manager 240 may store the period signature generated by the signature generator 260 as response data in association with the state information.
도 4는 개시된 기술에서 제공되는 인증서의 상태 정보를 설명하기 위한 참고표로서, 도 4를 참조하여 인증서의 상태 정보에 대하여 더 상세히 살펴본다. FIG. 4 is a reference table for describing status information of a certificate provided in the disclosed technology. Referring to FIG. 4, the status information of the certificate will be described in more detail.
인증서에 대한 상태 정보는 전술한 바와 같이 유효 상태, 미확정 상태 및 폐기 상태 중 어느 하나로서 표현될 수 있다. As described above, the state information for the certificate may be expressed as any one of a valid state, an indeterminate state, and a revocation state.
유효 상태(good)은 해당 인증서가 유효함을 나타내며, 개시된 기술은 유효 상태의 인증서에 해당하는 웹 어플리케이션에 대해서는 신뢰 가능(Trusted) 도메인으로서 권한을 설정할 수 있다. The good state indicates that the certificate is valid, and the disclosed technology may set a right as a trusted domain for the web application corresponding to the valid state certificate.
미확정 상태(unkown)는 해당 인증서가 유효한지 확인할 수 없음을 나타내며, 개시된 기술은 미확정 상태의 인증서에 해당하는 웹 어플리케이션에 대해서는 비 신뢰(Untrusted) 도메인으로서 권한을 설정할 수 있다. An unkown indicates that the certificate cannot be validated, and the disclosed technology may set the authority as an untrusted domain for the web application corresponding to the uncommitted certificate.
폐기 상태(revocked)는 해당 인증서가 폐기 되었음을 나타낸다. 개시된 기술은 폐기 상태의 인증서에 해당하는 웹 어플리케이션의 경우에는, 설치 단계에 있어서는 설치를 허가하지 않고, 실행 단계에 있어서는 현재 인증서가 폐기되었음을 사용자 단말에 알려주고 실행을 거부할 수 있다. Revoked indicates that the certificate has been revoked. According to the disclosed technology, in the case of the web application corresponding to the certificate in the revoked state, the installation step is not permitted, and in the execution step, the user terminal may be informed that the current certificate has been revoked and refused to be executed.
도 5는 개시된 기술에 따른 웹 어플리케이션 인증 관리 방법의 일 실시예를 설명하기 위한 순서도이다. 5 is a flowchart illustrating an embodiment of a web application authentication management method according to the disclosed technology.
이하에서는, 도 5를 참조하여 웹 어플리케이션 인증 관리 방법의 일 실시예에 대하여 설명한다. 이하에서 설명할 일 실시예는 웹 어플리케이션 인증 장치(200)에서 수행되므로, 서로 상응하는 내용에 대해서는 중복하여 설명하지 않으나, 당업자는 전술한 기재로부터 후술할 본 웹 어플리케이션 인증 관리 방법의 일 실시예를 보다 명확하게 이해할 수 있을 것이다.Hereinafter, an embodiment of a web application authentication management method will be described with reference to FIG. 5. Since an embodiment to be described below is performed in the web application authentication apparatus 200, the contents corresponding to each other are not overlapped, but those skilled in the art will describe one embodiment of the web application authentication management method to be described later from the above description. You will understand it more clearly.
웹 어플리케이션 인증 장치(200)는 어플리케이션 제공 서버(100)부터 웹 어플리케이션 설치 데이터를 수신하면(단계 S510, 예), 수신된 웹 어플리케이션 설치 데이터에서 인증서의 식별 정보를 취득할 수 있다(단계 S520).When the web application authentication apparatus 200 receives the web application installation data from the application providing server 100 (step S510, YES), the web application authentication apparatus 200 may obtain identification information of the certificate from the received web application installation data (step S520).
웹 어플리케이션 인증 장치(200)는 취득된 식별 정보를 기초로 OCSP 인증 서버(300)에 인증서에 대한 상태 정보를 요청할 수 있다(단계 S530).The web application authentication apparatus 200 may request status information on the certificate from the OCSP authentication server 300 based on the acquired identification information (step S530).
웹 어플리케이션 인증 장치(200)는 OCSP 인증 서버(300)로부터 상태 정보를 수신하면(단계 S540, 예), 수신된 상태 정보를 기초로 웹 어플리케이션의 도메인 권한을 할당할 수 있다(단계 S550). 만일 상태 정보를 수신하지 못하면(단계 S540, 아니오), 웹 어플리케이션 인증 장치(200)는 소정 시간을 대기한 후에(단계 S541) 상태 정보를 재 요청할 수 있다(단계 S530).When the web application authentication apparatus 200 receives the status information from the OCSP authentication server 300 (step S540, YES), the web application authentication apparatus 200 may allocate the domain authority of the web application based on the received status information (step S550). If the status information is not received (step S540, NO), the web application authentication apparatus 200 may request the status information again after waiting for a predetermined time (step S541) (step S530).
*웹 어플리케이션 인증 장치(200)는 할당된 도메인 권한을 부여하여 웹 어플리케이션을 설치하도록 할 수 있다(단계 S560).The web application authentication apparatus 200 may grant the assigned domain authority to install the web application (step S560).
여기에서, 상태 정보는 유효 상태, 미확정 상태 및 폐기 상태 중 어느 하나의 상태에 관한 정보일 수 있다. Here, the state information may be information regarding any one of a valid state, an undetermined state, and a discarded state.
단계 S550에 대한 일 실시예에서, 웹 어플리케이션 인증 장치(200)는 상태 정보에 따라 상이한 도메인을 할당할 수 있다. 더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 상태 정보가 유효 상태에 해당되면, 웹 어플리케이션을 신뢰 가능(Trusted) 도메인으로 할당할 수 있다. 웹 어플리케이션 인증 장치(200)는 상태 정보가 미확정 상태에 해당되면, 웹 어플리케이션을 비 신뢰(Untrusted) 도메인으로 할당할 수 있다.In an embodiment of step S550, the web application authentication apparatus 200 may allocate different domains according to the state information. In more detail, the web application authentication apparatus 200 may allocate the web application to the trusted domain when the state information corresponds to the valid state. The web application authentication apparatus 200 may allocate the web application to an untrusted domain when the state information corresponds to an undetermined state.
단계 S550에 대한 일 실시예에서, 웹 어플리케이션 인증 장치(200)는 상태 정보가 폐기 상태에 해당되면 설치를 중단할 수 있다. 더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 상태 정보가 폐기 상태에 해당되면 웹 어플리케이션의 설치를 중단할 수 있고, 인증서가 폐기 상태에 해당한다는 알림 정보를 포함하는 유저 인터페이스를 디스플레이 할 수 있다.In an embodiment of step S550, the web application authentication apparatus 200 may stop the installation if the status information corresponds to the discarded state. In more detail, the web application authentication apparatus 200 may stop the installation of the web application if the status information corresponds to the revoked state, and display a user interface including notification information indicating that the certificate corresponds to the revoked state. .
일 실시예에서, 웹 어플리케이션 인증 관리 방법은 웹 어플리케이션의 최초 실행 시, 설치된 웹 어플리케이션의 현재 상태 정보를 확인하여 저장하는 단계를 더 포함할 수 있다. In an embodiment, the web application authentication management method may further include checking and storing current state information of the installed web application at the first execution of the web application.
더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 설치된 웹 어플리케이션의 최초 실행 시, 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 OCSP 인증 서버(300)로부터 수신하여 응답 데이터로서 캐시 저장할 수 있다. In more detail, the web application authentication apparatus 200 may receive the current state information on the certificate of the installed web application from the OCSP authentication server 300 and cache it as response data at the first execution of the installed web application.
예를 들어, 웹 어플리케이션 인증 장치(200)는 설치된 웹 어플리케이션의 실행이 최초 실행에 해당하는지 판단하고, 확인한 결과 최초 실행으로 판단되면 OCSP 인증 서버(300)에 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 요청할 수 있다. 웹 어플리케이션 인증 장치(200)는 OCSP 인증 서버(300)로부터 수신된 현재의 상태 정보를 응답 데이터로서 캐시 저장할 수 있다.For example, the web application authentication apparatus 200 determines whether the execution of the installed web application corresponds to the first execution, and if it is determined as the first execution, the current state of the certificate of the web application installed in the OCSP authentication server 300. You can request information. The web application authentication apparatus 200 may cache the current state information received from the OCSP authentication server 300 as response data.
일 실시예에서, 웹 어플리케이션 인증 장치(200)는 캐시 저장된 응답 데이터의 존재 여부로 최초 실행인지 판단할 수 있다. 더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 설치된 웹 어플리케이션의 실행 시 캐시 저장된 응답 데이터가 존재하는지 확인하고, 만일 존재하지 않으면 현재 실행을 최초 실행으로서 판단할 수 있다.In an embodiment, the web application authentication apparatus 200 may determine whether the first execution is performed based on the presence of cached response data. In more detail, the web application authentication apparatus 200 may check whether cached response data exists when the installed web application is executed, and if not, determine the current execution as the first execution.
일 실시예에서, 웹 어플리케이션 인증 관리 방법은 웹 어플리케이션의 실행 시, 저장된 응답 데이터의 유효성을 판단하여 인증서의 유효성을 확인할 지 결정할 수 있다. In one embodiment, the web application authentication management method may determine whether to validate the certificate by determining the validity of the stored response data when the web application is executed.
더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 설치된 웹 어플리케이션의 실행 시 캐시 저장된 응답 데이터의 유효성을 판단하고, 만일 유효하지 않으면 OCSP 인증 서버(300)를 이용하여 웹 어플리케이션의 인증서의 현재 유효성을 확인하여 실행 여부를 판단할 수 있다. In more detail, the web application authentication apparatus 200 determines the validity of cached response data when executing the installed web application, and if it is not valid, uses the OCSP authentication server 300 to validate the current validity of the certificate of the web application. You can determine whether or not to run.
예를 들어, 웹 어플리케이션 인증 장치(200)는 캐시 저장된 응답 데이터의 유효 기간을 확인하고, 만일 현재 시각이 유효 기간을 초과하면 OCSP 인증 서버(300)에 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 요청할 수 있다. 웹 어플리케이션 인증 장치(200)는 OCSP 인증 서버(300)로부터 수신된 현재의 상태 정보를 기초로 현재 유효성을 확인하고, 만일 유효하면 수신된 현재의 상태 정보를 응답 데이터로서 캐시 저장할 수 있다. For example, the web application authentication apparatus 200 checks the validity period of the cached response data, and if the current time exceeds the validity period, the web application authentication apparatus 200 sends the OCSP authentication server 300 the current status information on the certificate of the web application. You can request The web application authentication apparatus 200 may check the current validity based on the current status information received from the OCSP authentication server 300, and if valid, store the received current status information as response data.
일 실시예에서, 웹 어플리케이션 인증 관리 방법은 현재 상태 정보를 기반으로 도메인 권한의 변경 여부를 확인하여 자동으로 재 설정할 수 있다. In one embodiment, the web application authentication management method may automatically reset the domain authority based on the current state information.
더 상세히 설명하면, 웹 어플리케이션 인증 장치(200)는 설치된 웹 어플리케이션의 실행 시, OCSP 인증 서버(300)로부터 제공된 현재 상태 정보를 확인하고, 만일 도메인 권한이 변경될 수 있으면 설치된 웹 어플리케이션의 도메인 권한을 자동으로 재 설정할 수 있다. In more detail, when the web application authentication apparatus 200 executes the installed web application, the web application authentication apparatus 200 checks the current state information provided from the OCSP authentication server 300, and if the domain authority can be changed, the domain authority of the installed web application is changed. Can be reset automatically.
상기에서는 본 출원의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 출원의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 출원을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described above with reference to a preferred embodiment of the present application, those skilled in the art various modifications and changes to the present application without departing from the spirit and scope of the present application described in the claims below I can understand that you can.

Claims (13)

  1. 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능한 사용자 단말에서 수행되는 웹 어플리케이션 인증 관리 방법에 있어서,In the web application authentication management method performed in the application providing server for providing the web application installation data digitally signed with a predetermined certificate and the user terminal connectable to the OCSP authentication server,
    (a) 상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션 설치 데이터에서 인증서의 식별 정보를 취득하는 단계;(a) acquiring identification information of a certificate from web application installation data received from the application providing server;
    (b) 상기 취득된 식별 정보를 기초로 상기 OCSP 인증 서버에 상기 인증서에 대한 상태 정보를 요청하는 단계; 및(b) requesting status information about the certificate from the OCSP authentication server based on the obtained identification information; And
    (c) 상기 OCSP 인증 서버로부터 수신된 상기 상태 정보를 기초로 상기 웹 어플리케이션의 도메인 권한을 할당하여 상기 웹 어플리케이션을 설치하는 단계;(c) installing the web application by assigning a domain authority of the web application based on the state information received from the OCSP authentication server;
    를 포함하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  2. 제1항에 있어서, 상기 상태 정보는The method of claim 1, wherein the status information
    유효 상태, 미확정 상태 및 폐기 상태 중 어느 하나의 상태에 관한 정보인 것Information about any of valid, undetermined, and retired states
    을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method characterized in that.
  3. 제1항에 있어서, 상기 (c) 단계는 The method of claim 1, wherein step (c)
    상기 상태 정보가 유효 상태에 해당되면, 상기 웹 어플리케이션을 신뢰 가능(Trusted) 도메인으로 할당하는 단계; 및If the state information corresponds to a valid state, allocating the web application to a trusted domain; And
    상기 상태 정보가 미확정 상태에 해당되면, 상기 웹 어플리케이션을 비 신뢰(Untrusted) 도메인으로 할당하는 단계;Allocating the web application to an untrusted domain if the state information corresponds to an undetermined state;
    를 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  4. 제3항에 있어서, 상기 (c) 단계는 The method of claim 3, wherein step (c)
    상기 상태 정보가 폐기 상태에 해당되면, 상기 웹 어플리케이션의 설치를 중단하는 단계; 및Stopping the installation of the web application if the state information corresponds to a discarded state; And
    상기 인증서가 폐기 상태에 해당한다는 알림 정보를 포함하는 유저 인터페이스를 디스플레이 하는 단계;Displaying a user interface including notification information indicating that the certificate corresponds to a revocation status;
    를 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  5. 제1항에 있어서, 상기 웹 어플리케이션 인증 관리 방법은The method of claim 1, wherein the web application authentication management method is
    (d) 상기 설치된 웹 어플리케이션의 최초 실행 시, 상기 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 상기 OCSP 인증 서버로부터 수신하여 응답 데이터로서 캐시 저장하는 단계;(d) receiving the current state information of the certificate of the installed web application from the OCSP authentication server and cache it as response data upon first execution of the installed web application;
    를 더 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method characterized in that it further comprises.
  6. 제5항에 있어서, 상기 (d) 단계는The method of claim 5, wherein step (d)
    (d-1) 상기 설치된 웹 어플리케이션의 실행이 최초 실행에 해당하는지 판단하는 단계; (d-1) determining whether execution of the installed web application corresponds to initial execution;
    (d-2) 상기 확인한 결과 최초 실행으로 판단되면, 상기 OCSP 인증 서버에 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 요청하는 단계; 및(d-2) requesting the current status information of the certificate of the web application installed in the OCSP authentication server if it is determined that the first execution is performed; And
    (d-3) 상기 OCSP 인증 서버로부터 수신된 현재의 상태 정보를 상기 응답 데이터로서 캐시 저장하는 단계;(d-3) caching current state information received from the OCSP authentication server as the response data;
    를 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  7. 제6항에 있어서, 상기 (d-1) 단계는The method of claim 6, wherein step (d-1)
    상기 설치된 웹 어플리케이션의 실행 시, 캐시 저장된 응답 데이터가 존재하는지 확인하는 단계; 및Checking whether cached response data exists when the installed web application is executed; And
    상기 확인한 결과 만일 존재하지 않으면, 현재 실행을 최초 실행으로서 판단하는 단계; Determining that the current execution is the first execution if it does not exist as a result of the checking;
    를 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  8. 제5항에 있어서, 상기 웹 어플리케이션 인증 관리 방법은The method of claim 5, wherein the web application authentication management method is
    (e) 상기 설치된 웹 어플리케이션의 실행 시, 상기 캐시 저장된 응답 데이터의 유효성을 판단하고, 만일 유효하지 않으면 상기 OCSP 인증 서버를 이용하여 상기 웹 어플리케이션의 인증서의 현재 유효성을 확인하여 실행 여부를 판단하는 단계;(e) determining the validity of the cached response data when executing the installed web application, and if it is not valid, determining whether to execute by checking the current validity of the certificate of the web application using the OCSP authentication server. ;
    를 더 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method characterized in that it further comprises.
  9. 제8항에 있어서, 상기 (e) 단계는The method of claim 8, wherein step (e)
    (e-1) 상기 캐시 저장된 응답 데이터의 유효 기간을 확인하는 단계;(e-1) checking the validity period of the cached response data;
    (e-2) 만일 현재 시각이 상기 유효 기간을 초과하면, 상기 OCSP 인증 서버에 상기 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 요청하는 단계; 및(e-2) if the current time exceeds the validity period, requesting the OCSP authentication server for current status information on the certificate of the web application; And
    (e-3) 상기 OCSP 인증 서버로부터 수신된 현재의 상태 정보를 기초로 상기 현재 유효성을 확인하고, 만일 유효하면 수신된 현재의 상태 정보를 상기 응답 데이터로서 캐시 저장하는 단계;(e-3) checking the current validity based on current status information received from the OCSP authentication server, and if valid, storing the received current status information as the response data;
    를 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method comprising a.
  10. 제2항에 있어서, 상기 웹 어플리케이션 인증 관리 방법은The method of claim 2, wherein the web application authentication management method is
    (e) 상기 설치된 웹 어플리케이션의 실행 시, 상기 OCSP 인증 서버로부터 제공된 현재 상태 정보를 확인하고, 만일 도메인 권한이 변경될 수 있으면 상기 설치된 웹 어플리케이션의 도메인 권한을 자동으로 재 설정하는 단계;(e) checking the current state information provided from the OCSP authentication server when executing the installed web application, and automatically resetting domain authority of the installed web application if the domain authority can be changed;
    를 더 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 관리 방법.Web application authentication management method characterized in that it further comprises.
  11. 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능한 웹 어플리케이션 인증 장치에 있어서,A web application authentication apparatus connectable to an application providing server and an OCSP authentication server that provide web application installation data digitally signed with a predetermined certificate,
    상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션의 인증서에 대한 유효성을 판단하는 인증서 유효성 판단부; 및Certificate validity determination unit for determining the validity of the certificate of the web application received from the application providing server; And
    상기 인증서 유효성 판단부에서 제공된 유효성을 기초로 차등적인 도메인 권한을 할당하여 상기 수신된 웹 어플리케이션을 설치하는 어플리케이션 설치 관리부; An application installation management unit for installing the received web application by assigning differential domain authority based on the validity provided by the certificate validity determining unit;
    를 포함하는 웹 어플리케이션 인증 장치.Web application authentication device comprising a.
  12. 제11항에 있어서, 상기 웹 어플리케이션 인증 장치는The apparatus of claim 11, wherein the web application authentication device is
    설치된 웹 어플리케이션의 최초 실행 시 상기 설치된 웹 어플리케이션의 인증서에 대한 현재의 상태 정보를 상기 OCSP 인증 서버로부터 수신하여 응답 데이터로서 캐시 저장하고, 이후의 실행 시 상기 캐시 저장된 응답 데이터의 유효성을 판단하여 만일 유효하지 않으면 상기 OCSP 인증 서버를 이용하여 상기 웹 어플리케이션의 인증서의 현재 유효성을 확인하여 실행 여부를 판단하는 어플리케이션 실행 관리부;Receives the current status information of the certificate of the installed web application from the OCSP authentication server and caches it as response data upon first execution of the installed web application, and determines the validity of the cached response data if it is executed later. If not, the application execution management unit for determining whether or not to execute by checking the current validity of the certificate of the web application using the OCSP authentication server;
    를 더 포함하는 것을 특징으로 하는 웹 어플리케이션 인증 장치.Web application authentication apparatus further comprising a.
  13. 웹 어플리케이션 인증 관리 방법을 실행시키기 위한 프로그램을 기록한 기록매체에 있어서,A recording medium having recorded thereon a program for executing a web application authentication management method,
    상기 프로그램은 소정의 인증서로 전자 서명된 웹 어플리케이션 설치 데이터를 제공하는 어플리케이션 제공 서버 및 OCSP 인증 서버와 연결 가능한 사용자 단말에서 수행될 수 있는 프로그램으로서, The program is a program that can be executed in an application providing server for providing web application installation data digitally signed with a predetermined certificate and a user terminal connectable to an OCSP authentication server.
    (a) 상기 어플리케이션 제공 서버부터 수신된 웹 어플리케이션 설치 데이터에서 인증서의 식별 정보를 취득하는 기능;(a) a function of acquiring identification information of a certificate from web application installation data received from the application providing server;
    (b) 상기 취득된 식별 정보를 기초로 상기 OCSP 인증 서버에 상기 인증서에 대한 상태 정보를 요청하는 기능; 및(b) requesting status information on the certificate from the OCSP authentication server based on the obtained identification information; And
    (c) 상기 OCSP 인증 서버로부터 수신된 상기 상태 정보를 기초로 상기 웹 어플리케이션의 도메인 권한을 할당하여 상기 웹 어플리케이션을 설치하는 기능;(c) assigning a domain authority of the web application based on the state information received from the OCSP authentication server to install the web application;
    을 포함하는 것을 특징으로 하는 기록 매체.Recording medium comprising a.
PCT/KR2012/005254 2012-01-17 2012-07-02 Method for managing web application authentication by using ocsp, and apparatus for authenticating web application by using same WO2013108969A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2012-0005162 2012-01-17
KR1020120005162A KR101323583B1 (en) 2012-01-17 2012-01-17 Method for managing authontication on web application using ocsp and appartus there of

Publications (1)

Publication Number Publication Date
WO2013108969A1 true WO2013108969A1 (en) 2013-07-25

Family

ID=48799373

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2012/005254 WO2013108969A1 (en) 2012-01-17 2012-07-02 Method for managing web application authentication by using ocsp, and apparatus for authenticating web application by using same

Country Status (2)

Country Link
KR (1) KR101323583B1 (en)
WO (1) WO2013108969A1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102358883B1 (en) * 2021-04-26 2022-02-08 허정 A system for controlling the opening and closing of the door, and a method therefor

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185396A (en) * 2002-12-04 2004-07-02 Ricoh Co Ltd Authentication system
JP2006079223A (en) * 2004-09-08 2006-03-23 Nec Corp Application program management apparatus, management method used therefor and program therefor
KR20060123470A (en) * 2004-01-09 2006-12-01 코아스트리트 리미티드 Signature-efficient real time credentials for ocsp and distributed ocsp
US7254831B2 (en) * 2002-12-04 2007-08-07 Microsoft Corporation Sharing a sign-in among software applications having secured features

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004185396A (en) * 2002-12-04 2004-07-02 Ricoh Co Ltd Authentication system
US7254831B2 (en) * 2002-12-04 2007-08-07 Microsoft Corporation Sharing a sign-in among software applications having secured features
KR20060123470A (en) * 2004-01-09 2006-12-01 코아스트리트 리미티드 Signature-efficient real time credentials for ocsp and distributed ocsp
JP2006079223A (en) * 2004-09-08 2006-03-23 Nec Corp Application program management apparatus, management method used therefor and program therefor

Also Published As

Publication number Publication date
KR101323583B1 (en) 2013-10-30
KR20130093817A (en) 2013-08-23

Similar Documents

Publication Publication Date Title
CN110414268B (en) Access control method, device, equipment and storage medium
WO2018124857A1 (en) Blockchain database-based method and terminal for authenticating user non-face-to-face by utilizing mobile id, and server utilizing method and terminal
RU2337399C2 (en) Stable authorisation context based on external identification
WO2019127973A1 (en) Authority authentication method, system and device for mirror repository, and storage medium
JP5701715B2 (en) Energy management device, power management system and program
WO2013062352A1 (en) Method and system for access control in cloud computing service
WO2013100419A1 (en) System and method for controlling applet access
JPWO2011089788A1 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
WO2015069018A1 (en) System for secure login, and method and apparatus for same
WO2018151480A1 (en) Authentication management method and system
WO2018026109A1 (en) Method, server and computer-readable recording medium for deciding on gate access permission by means of network
WO2013024986A2 (en) Network identifier position determining system and method for same
US11848931B2 (en) Delegated authentication to certificate authorities
WO2011071265A2 (en) Method and apparatus for using service of plurality of internet service providers
WO2013073829A1 (en) Method, host apparatus and machine-readable storage medium for authenticating a storage apparatus
WO2014157826A1 (en) System and method for blocking attack of smart device-based malicious code
CN112261068B (en) Dynamic TLS authentication method, device and storage medium in local area network
WO2011065768A2 (en) Method for protecting application and method for executing application using the same
WO2018026108A1 (en) Method, authorized terminal and computer-readable recording medium for deciding on gate access permission by means of network
WO2013108969A1 (en) Method for managing web application authentication by using ocsp, and apparatus for authenticating web application by using same
WO2023113081A1 (en) Method, apparatus, and computer-readable recording medium for controlling execution of container workload in scheme of event streaming in cloud environment
US20200233651A1 (en) Package distribution and installation in response to user logon
WO2020045826A1 (en) Electronic device for processing digital key, and operation method therefor
WO2013125883A1 (en) Drm/cas service device and method using security context
WO2012015099A1 (en) Apparatus and method for providing web service using a single-use secure token

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12865955

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12865955

Country of ref document: EP

Kind code of ref document: A1