검색결과
-
산업부, 중견기업에 400억 원 투입…혁신도약 프로그램 추진한다산업통상자원부(이하 산업부)는 2024년 중견기업 전용 연구개발(R&D)을 위해 400억 원을 지원한다고 밝혔다. 이는 지난 7일 발표된 「신(新)산업정책 2.0 전략」의 일환으로, 중견기업이 중소기업, 대학, 공공기관과의 공동연구를 통해 첨단산업 분야 협력기반을 구축하는데 초점을 맞추고 있다. 이번 지원사업은 크게 세 가지 부문으로 나뉜다. 첫째, 중견-중소기업의 공동 연구개발(R&D)을 지원하는 '중견-중소기업 상생형 혁신도약'으로 예산이 작년 대비 27.4% 증가한 90.5억 원이 투입될 예정이다. 둘째, 중견기업-지역대학 컨소시엄을 대상으로 한 '중견기업-지역혁신얼라이언스 지원'으로 작년 대비 44.1% 증가한 39억 원의 예산을 지원한다. 마지막으로, 청년 석‧박사 채용 시 인건비를 지원하는 '중견기업 핵심연구인력 성장지원'에 18억 원이 투입된다. 제경희 중견기업정책관은 "대내외 경영환경이 급변하고 산업간 융복합이 심화되는 상황에서 다양한 주체 간 협력은 선택이 아닌 필수"라며, "향후 중견기업이 우리 경제의 허리로서 초격차 기술개발을 주도적으로 이끌어갈 수 있도록 첨단산업 분야의 협력기반 구축에 힘쓰겠다"고 밝혔다. '중견-중소기업 상생형 혁신도약', '중견기업 핵심연구인력 성장지원' 사업의 신규과제 모집은 2월 15일부터 시작하며, '중견기업-지역혁신 얼라이언스 지원' 사업은 1월 29일 공고를 통해 현재 신규과제를 모집 중이다. 모집 마감은 3월 15일이며, 산업부, 한국산업기술진흥원 및 한국중견기업연합회 홈페이지를 통해 자세한 사항을 확인할 수 있다.
-
[특집-ISO/IEC JTC 1/SC 17 활동] 26. FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 20232023년 11월30일 ISO/IEC 공동기술위원회 산하 분과위원회 SC 17은 'FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 2023' 문서를 배포했다.ISO/IEC JTC 1/SC 17 카드 및 개인 식별을 위한 보안장치(Cards and security devices for personal identification)는 국제표준화기구(ISO와 국제전기기술위원회(IEC)의 공동 기술 위원회(JTC) ISO/IEC JTC 1의 표준화 분과위원회다.ISO/IEC JTC 1/SC 17의 국제사무국은 영국에 위치한 영국표준협회(BSI)이며 신분증 및 개인 식별 분야 표준을 개발하고 촉진하는 역할을 담당하고 있다.배포된 문서인 'FIDO Alliance Liaison Statement to ISO/IEC JTC 1/SC 17. October 2023'는 ISO/IEC JTC 1/SC 17 워킹그룹 4와 10(WG 4 & 10)을 위한 FIDO 얼라이언스(FIDO Alliance) 연락 문서가 포함됐다.베포된 문서는 FIDO 얼라이언스의 최근 작업 항목 및 프로그램 업데이트 관련된 내용으로 구성됐다. 또한 FIDO 얼라이언스와 관련해 △기술 문서 △인증 프로그램 2024 컨퍼런스 인증 등 3가지 범주를 포함하고 있다.첫째, △클라이언트-인증자(Client to Authenticator, CTAP) 2.2 RD(2023.03. 발행) △FIDO 온보드 장치(FIDO Device Onboard, )FDO) v1.1 제안된 표준(2022.04. 발행) △FDO(FIDO Device Onboard) 어플리케이션 노트 등 기술문서에 관한 것이다.둘째, △FIDO 사용자 인증 프로그램(FIDO User Authentication Programs) △FIDO 원격 신원 확인(IDV) 프로그램(FIDO Remote Identity Verification (IDV) Programs) △FIDO 온보드 장치 인증(FIDO Device Onboard Certification) △FIDO 인증 전문가 프로그램(FIDO Certified Professional Program) 등 인증 프로그램과 관련돼 있다.셋째, FIDO 얼라이언스(FIDO Alliance)가 주최해 개최하는 'Authenticate 2024 Conference'는 FIDO 기반 sign-ins에 중점을 두고 모든 사용자 인증 측면을 다루는 업계 유일의 컨퍼런스다. 컨퍼런스 2024년 연사 모집을 시작했으며 2024년 3월4일까지 제안서를 제출하면 된다. 관련 정보는 https://authenticatecon.com/에 접속해 확인힐 수 있다. - 이하 생략 -
-
식약처, 한약 제제 제조 규제혁신 과제 추진 상황 점검식품의약품안전처 소속 식품의약품안전평가원은 18일 한약(생약)제제를 제조하는 전라북도 완주군 소재 (유)한풍제약을 방문해 한약(생약)제제의 최신 제조기술을 인정하기 위한 규제혁신 과제 추진 상황을 점검하고 간담회를 개최해 업계 의견을 청취했다고 밝혔다. 식약처는 지난해 6월 발표한 ‘식의약 규제혁신 2.0과제’의 일환으로 탕약을 달이는 전통 제조 방법과 다르게 가압추출 등 현대 기술로 제조한 한약(생약)제제에 대한 합리적 심사방안을 마련하고 있다. 박윤주 평가원장은 최신 제조방법으로 한약(생약)제제를 생산하는 현장을 시찰하고, 현대화된 제조기술을 적용하는 데 따른 기대효과 및 애로사항 등 현장 의견을 청취했다. 아울러 생산성 향상과 품질 개선이 한약(생약)제제 산업 활성화로 이어질 수 있도록 지원 방안에 대해서도 의견을 나눴다. 박윤주 평가원장은 “오랜 기간 전통적으로 복용해 온 한약(생약)제제의 특성을 충분히 반영해 심사 체계 등 규제를 다듬어 나가겠다”며 “제약업계도 현장의 경험을 바탕으로 발전적인 의견을 지속적으로 제시해 달라”고 강조했다. 식약처 관계자는 “현대적 제조방법이 제조현장에 신속하게 적용될 수 있도록 관련 규정 개정을 연내 마무리할 계획”이라며 “앞으로도 ‘혁신의 성공, 미래를 연다’라는 식약처의 규제혁신 의지가 실현될 수 있도록 현장을 끊임없이 살펴보고 업계‧소비자와 소통하며 ‘식의약 규제혁신’을 차질없이 추진해 나아가겠다”고 밝혔다.
-
‘의약외품 모바일 간편검색서비스’로 안전정보 확인하세요!‘의약외품 모바일 간편검색서비스’가 제공된다. 이에 장애인, 어르신 등 모든 국민이 의약외품 안전정보를 쉽게 확인 가능할 것으로 기대된다. 식품의약품안전처는 쉽고 편리하게 의약외품의 안전정보를 확인할 수 있는 ‘의약외품 모바일 간편검색서비스’를 올해 본격적으로 제공한다고 11일 밝혔다. ‘식의약 규제혁신 2.0’ 디지털 안전관리 혁신의 일환으로 지난해 12월 26일부터 시작된‘의약외품 모바일 간편검색서비스’는 스마트폰으로 의약외품에 표시된 바코드를 인식(스캔)하면 해당 품목의 안전정보를 글자·음성·수어영상으로 제공하는 서비스다. 제공되는 안전정보는 제품명, 제조·수입업소, 효능·효과, 용법·용량, 사용상의주의사항 등으로 시·청각 장애인 등 정보 취약계층의 정보격차 해소에 도움이 될 것으로 기대된다. 현재 의약외품 제조·수입업체에서 바코드 정보를 자율적으로 식약처에 제공한 269개 품목에 대해 글자·음성을 제공, 그중 3개 품목은 수어영상도 제공하고 있으며 향후 서비스 대상 품목을 지속적으로 확대할 예정이다. 특히 269개 품목 중 여성들이 실생활에서 자주 사용하는 ‘생리대’, ‘탐폰’ 등 여성 생리용품이 182개 품목(수어영상 3개)으로 많은 수를 차지하고 있어 생리용품의 선택과 구입에 큰 도움이 될 것으로 기대된다. ‘의약외품 모바일 간편검색서비스’는 ‘의약품안전나라 누리집 접속(nedrug.mfds.go.kr) → 바코드 스캔 버튼 클릭’ 또는 ‘간편검색서비스 바로가기 실행(클릭과 동시에 바코드 스캔 자동 켜짐)’한 뒤 의약외품에 표시된 바코드를 스캔해 사용할 수 있다. 한편 식약처는 올해 2.19억 원의예산을 확보해 의약외품 안전정보를 보다쉽게 확인할 수 있도록 의약외품 모바일 간편검색서비스 사용 편의를 개선하고 음성·수어영상 제작 지원 대상 품목을 확대할 예정이며, 서비스 사용활성화를 위해 대한 안내·홍보도 적극 실시할 계획이다. 식약처 관계자는 “‘의약외품 모바일 간편검색서비스’가 시각·청각 장애인 등 정보취약계층의 보다 안전한 의약외품 사용 환경을 조성하고 정부의 국정 목표인‘따뜻한 동행, 모두가 행복한 사회’를 만드는 데 도움을 줄 것으로 기대한다”고 밝혔다.
-
중앙대, 표준고위과정 12기 모집 안내(~24.02.18.) - 표준전문가 양성과정중앙대 행정대학원은 2024년 2월 18일까지 표준고위과정 12기생을 모집하고 있다고 밝혔다. 표준고위과정은 국가기술표준원과 중앙대 행정대학원이 공동으로 표준전문가를 양성하기 위해 2018년부터 개설해 운영하고 있다.2023년 12월까지 표준고위과정 10기생을 배출했으며 1~10기생을 모두 포함하면 총 438명의 표준 전문가를 양성했다.10기생 수료식에서 국가기술표준원 산업표준혁신과 오광해 국장은 "표준고위 과정을 수료한 분들이 중심이 되어 표준 전문가 네트워크인 표준아너스소사이어티가 자발적으로 운영되고 있다"며 표준고위과정을 입학 및 수료한 전문가들이 다양한 산업에서 상호협력하고 있다고 강조했다.중앙대 행정대학원 관계자는 "전공과 분야가 다른 다양한 전문가들이 만나 지속 가능한 표준 전문가 거버넌스 플랫폼을 구축하고 국제표준에 대한 관심과 깊은 이해를 원하는 사람은 기한 내 적극 지원하면 된다"고 밝혔다. 세부 모집 요강은 다음과 같다.□ 모집 인원 및 지원 자격 ○ 모집 정원 : 50명 내외 ○ 지원 자격 - 기업체 최고경영자 및 임원 - 산·학·연 표준전문가 - 중앙·지방자치단체 표준 담당 공무원 - 비영리단체의 관리자 - 전문직 및 사회 각계의 고위인사 - 기타 이에 준하는 자격을 갖춘 분□ 교육기간 및 장소, 교육 비용 ○ 교육 기간 : 2024.03.22. ~ 2024.12.06.(24주) ○ 교육 시간 : 매주 금요일, 19:00~22:00(80분 2개 강좌) ○ 교육 장소 : 대면/비대면 혼합 - 대면 교육 : 중앙대학교 303관 법학 - 비대면 교육 : ZOOM ○ 교육 비용 : 국가 R&D 사업으로 수강료 무료□ 전형 일정 ○ 원서접수 - 접수기간 : ~ 2021.02.18. ○ 접수방법 - 홈페이지 접수(양식 : https://www.aspp.kr ) ○ 심사 및 합격자 발표 : 서류 심사 및 면접 후 개별 통보
-
식약처, 장애인 이동 및 편의 개선 위해 규제 지원 지속 추진식품의약품안전처는 스스로 일상생활이 어려운 고령자, 장애인 등의 생활과 이동 편의를 높이기 위해 인공지능(AI),로봇 등 최신 기술이 접목된 자율주행 전동휠체어 등 첨단기술 적용 의료기기가 시장에 신속히진입할 수 있도록 선제적인 성능평가 체계 구축 등을 지속 추진한다고 8일 밝혔다. 이에 안전하고 효과적인 새로운 기술의 의료기기가 공급될 것으로 기대된다. 지난해 식약처는 ‘규제혁신 2.0’의 일환으로 자율주행 전동휠체어의 안전성과성능확보를 위한 인·허가 성능평가 가이드라인 등을 마련했고 장애 특성과 신기술 적용 방식 등에 따른 자율주행 전동휠체어 등 17개 품목을 ‘의료기기 품목 및 품목별 등급에 관한 규정’에 등재 진행 중이다. 식약처 관계자는 “산·학·연·관으로 구성된 협의체를 운영해 성능평가 체계를 선제적으로구축하고 국내외 규격에 따른 다양한 제품별 성능평가 방법과 기준을 마련해 배포할 예정”이라고 밝혔다. 특히 자율주행 전동휠체어의 경우 제품 성능을 검사할 수 있는 국내 시험 환경 마련을 지원하는 등 국내 성능평가 시험 기반 강화도 추진할 예정이다. 오유경 처장은 “자율주행 전동휠체어는 고령자와 장애가 있으신 분들의 삶의 질을 높이는데 필요한 제품”이라며 “과감한 규제혁신과 선제적 지원으로 이러한 신기술 의료기기를 국민께서 안전하고 신속하게 사용할 수 있도록 하겠다”고 전했다. 이어 “신기술 의료기기가 규제 미비로 시장 진출에 어려움을 겪는 일이없도록 지속적으로 점검하는 한편,관련 업계 성장도같이 할 수 있는 토대를적극 마련하겠다”고 덧붙였다. 식약처 관계자는 “자율주행 전동휠체어 등 신기술 의료기기에 대한 선제적 규제 마련이 정부의 국정 목표인 ‘따뜻한 동행, 모두가 행복한 사회’를 만드는 데도움이 될 것으로 기대한다”며 “앞으로도 안전하고 효과적인 새로운 기술의 의료기기가 공급될 수 있도록 최선을 다하겠다”고 밝혔다.
-
[미국] 특허상표청, 최후 거절 후 대응 프로그램 AFCP 2.0 활용미국 특허상표청(USPTO)은 최종 거절이유 통지(Final Office Action)가 발행된 이후 이에 대한 대응을 간소화하기 위해 AFCP((After Final Consideration Pilot) 2.0 프로그램을 운영하고 있다.이 프로그램은 최종 결정을 재고려할 수 있도록 추가적인 시간을 허용하는 미국 특허상표청의 최후거절 후의 보정범위 완화 프로그램이다.AFCP 2.0은 최종 거절이유 통지 이후 출원인이 다양하게 대응할 수 있도록 출원인의 선택 범위를 확장해 줄 수 있다.특히 출원인의 대응 전략이 실패하더라도 심사관으로부터 Adivisory Action이 발행되면 계속심사청구(Request for Continued Examination) 또는 심판(Appeal) 청구 등의 다음과 같은 대응전략을 결정할 수 있다.요약 1. 정의 : 최종거절통지의 답변(after-final response)에서 독립항의 범위를 넓히지 않는 보정을 행하면, 추가적인 관납료(fee)없이 심사관이 그 보정을 고려할 수 있도록 하는 파일럿 프로그램(pilot program).2. 목적 : 비용 및 시간 부담을 줄이면서 특허청에 계류정인 재심사(RCE) 건의 숫자를 줄이기 위한 심사관과 출원인의 협력3. 요건 : 1) 가출원, 계속출원, 분할출원 대상 (reissue 또는 Reexamination 불가능) 2) 최소 1개 이상의 독립항의 수정 (청구항의 확장은 불가능) 3) 심사관과의 인터뷰에 참여한다는 진술서(statement) 제출 4) e-filing으로 진행해야 함 (EFS-Web)4. 이후 절차(심사관) 1) 요건에 따라 제출되면 심사관은 3시간 이내에 재고려 가능한지 아니면 추가의 조사가 필요한지를 판단 2) 재고려 가능한 경우에는 보정안의 등록여부를 판단 3) 등록이 어려운 경우에는 대리인과 인터뷰 진행(선택사항) 4) 등록이 가능한 경우에는 Notice Of Allowance 발행 5) 상기 절차에서 추가의 조사가 필요한 경우이거나, 대리인과 인터뷰 결과에 대해 Advisory Action을 발행
-
식약처, ‘의료기기 제조 및 품질관리 기준’ 개정안 행정예고식품의약품안전처는 국내 의료기기 제조·품질관리기준(GMP) 심사에 의료기기공동심사프로그램(MDSAP) 활용을 확대하는 내용을 담은 ‘의료기기 제조 및 품질관리 기준’(식약처 고시) 개정안을 마련해8일 행정예고한다고 밝혔다. 이번 개정안으로 국내 의료기기 GMP 심사 기간을 단축하고 GMP 규제를 국제조화하는 데 도움을 줘 경쟁력 있는 K-의료기기의 수출증대가 기대된다 MDSAP(Medical Device Single Audit Program)는 미국·일본·캐나다·호주·브라질 5개 정회원국이의료기기 안전과 품질관리를 위해 국제기준에 따른 공동심사를 목적으로 만든 인증제도다. 이번 개정안 마련은 식의약 규제혁신 2.0 과제의 일환으로 추진한 것으로 개정 주요 내용은 MDSAP 심사자료 활용범위를 기존 변경심사에서 최초·추가심사까지 확대하고 기존 현장심사를 서류심사로 대체하며 이에 따른 세부 제출자료를 정비하는 것이다. 최초심사는 최초로 받아야 하는 심사, 추가심사는 다른 품목군을 추가하는 심사, 변경심사는 제조소의 소재지 변경에 따른 심사를 말한다. 자세한 개정 내용은 ‘식약처 홈페이지(www.mfds.go.kr→ 법령/자료→법령정보 → 제·개정고시 등)’에서 확인할 수 있다. 식약처 관계자는 “이번 개정안이 국내 의료기기 GMP 심사 기간을 단축하고 GMP 규제를 국제조화하는 데 도움을 줘 경쟁력 있는 K-의료기기의 수출증대로 이어지기를 기대한다”고 전했다.
-
[기획-디지털 ID 표준] ⑮산업단체와 포럼 - 오픈ID(OpenID)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum, CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.오픈ID(OpenID)는 개인 및 기업의 비영리 국제 표준화 조직으로 OpenID(개방형 표준 및 분산 인증 프로토콜)를 활성화, 홍보, 보호하기 위해 노력하고 있다.오픈ID 코넥트 코어(OpenID Connect Core)는 핵심 OpenID 기능을 정의하고 있다. OpenID 기능은 OAuth 2.0 기반에 구축된 인증과 최종 사용자에 대한 정보를 전달하기 위한 클레임의 사용이다. 추가적인 기술 사양 문서는 검증 가능한 자격 증명 및 검증 가능한 프리젠테이션의 발급을 확장하기 위해 작성됐다. 또한 OpenID Connect 사용에 대한 보안 및 개인 정보 보호 고려 사항에 대해 설명하고 있다.아래는 오픈ID가 발행한 'OpenID Connect Core 1.0 incorporating errata set 1' 목차 내용이다.■ 목차(Table of Contents)1. Introduction1.1. Requirements Notation and Conventions1.2. Terminology1.3. Overview2. ID Token3. Authentication3.1. Authentication using the Authorization Code Flow3.1.1. Authorization Code Flow Steps3.1.2. Authorization Endpoint3.1.2.1. Authentication Request3.1.2.2. Authentication Request Validation3.1.2.3. Authorization Server Authenticates End-User3.1.2.4. Authorization Server Obtains End-User Consent/Authorization3.1.2.5. Successful Authentication Response3.1.2.6. Authentication Error Response3.1.2.7. Authentication Response Validation3.1.3. Token Endpoint3.1.3.1. Token Request3.1.3.2. Token Request Validation3.1.3.3. Successful Token Response3.1.3.4. Token Error Response3.1.3.5. Token Response Validation3.1.3.6. ID Token3.1.3.7. ID Token Validation3.1.3.8. Access Token Validation3.2. Authentication using the Implicit Flow3.2.1. Implicit Flow Steps3.2.2. Authorization Endpoint3.2.2.1. Authentication Request3.2.2.2. Authentication Request Validation3.2.2.3. Authorization Server Authenticates End-User3.2.2.4. Authorization Server Obtains End-User Consent/Authorization3.2.2.5. Successful Authentication Response3.2.2.6. Authentication Error Response3.2.2.7. Redirect URI Fragment Handling3.2.2.8. Authentication Response Validation3.2.2.9. Access Token Validation3.2.2.10. ID Token3.2.2.11. ID Token Validation3.3. Authentication using the Hybrid Flow3.3.1. Hybrid Flow Steps3.3.2. Authorization Endpoint3.3.2.1. Authentication Request3.3.2.2. Authentication Request Validation3.3.2.3. Authorization Server Authenticates End-User3.3.2.4. Authorization Server Obtains End-User Consent/Authorization3.3.2.5. Successful Authentication Response3.3.2.6. Authentication Error Response3.3.2.7. Redirect URI Fragment Handling3.3.2.8. Authentication Response Validation3.3.2.9. Access Token Validation3.3.2.10. Authorization Code Validation3.3.2.11. ID Token3.3.2.12. ID Token Validation3.3.3. Token Endpoint3.3.3.1. Token Request3.3.3.2. Token Request Validation3.3.3.3. Successful Token Response3.3.3.4. Token Error Response3.3.3.5. Token Response Validation3.3.3.6. ID Token3.3.3.7. ID Token Validation3.3.3.8. Access Token3.3.3.9. Access Token Validation4. Initiating Login from a Third Party5. Claims5.1. Standard Claims5.1.1. Address Claim5.1.2. Additional Claims5.2. Claims Languages and Scripts5.3. UserInfo Endpoint5.3.1. UserInfo Request5.3.2. Successful UserInfo Response5.3.3. UserInfo Error Response5.3.4. UserInfo Response Validation5.4. Requesting Claims using Scope Values5.5. Requesting Claims using the "claims" Request Parameter5.5.1. Individual Claims Requests5.5.1.1. Requesting the "acr" Claim5.5.2. Languages and Scripts for Individual Claims5.6. Claim Types5.6.1. Normal Claims5.6.2. Aggregated and Distributed Claims5.6.2.1. Example of Aggregated Claims5.6.2.2. Example of Distributed Claims5.7. Claim Stability and Uniqueness6. Passing Request Parameters as JWTs6.1. Passing a Request Object by Value6.1.1. Request using the "request" Request Parameter6.2. Passing a Request Object by Reference6.2.1. URL Referencing the Request Object6.2.2. Request using the "request_uri" Request Parameter6.2.3. Authorization Server Fetches Request Object6.2.4. "request_uri" Rationale6.3. Validating JWT-Based Requests6.3.1. Encrypted Request Object6.3.2. Signed Request Object6.3.3. Request Parameter Assembly and Validation7. Self-Issued OpenID Provider7.1. Self-Issued OpenID Provider Discovery7.2. Self-Issued OpenID Provider Registration7.2.1. Providing Information with the "registration" Request Parameter7.3. Self-Issued OpenID Provider Request7.4. Self-Issued OpenID Provider Response7.5. Self-Issued ID Token Validation8. Subject Identifier Types8.1. Pairwise Identifier Algorithm9. Client Authentication10. Signatures and Encryption10.1. Signing10.1.1. Rotation of Asymmetric Signing Keys10.2. Encryption10.2.1. Rotation of Asymmetric Encryption Keys11. Offline Access12. Using Refresh Tokens12.1. Refresh Request12.2. Successful Refresh Response12.3. Refresh Error Response13. Serializations13.1. Query String Serialization13.2. Form Serialization13.3. JSON Serialization14. String Operations15. Implementation Considerations15.1. Mandatory to Implement Features for All OpenID Providers15.2. Mandatory to Implement Features for Dynamic OpenID Providers15.3. Discovery and Registration15.4. Mandatory to Implement Features for Relying Parties15.5. Implementation Notes15.5.1. Authorization Code Implementation Notes15.5.2. Nonce Implementation Notes15.5.3. Redirect URI Fragment Handling Implementation Notes15.6. Compatibility Notes15.6.1. Pre-Final IETF Specifications15.6.2. Google "iss" Value15.7. Related Specifications and Implementer's Guides16. Security Considerations16.1. Request Disclosure16.2. Server Masquerading16.3. Token Manufacture/Modification16.4. Access Token Disclosure16.5. Server Response Disclosure16.6. Server Response Repudiation16.7. Request Repudiation16.8. Access Token Redirect16.9. Token Reuse16.10. Eavesdropping or Leaking Authorization Codes (Secondary Authenticator Capture)16.11. Token Substitution16.12. Timing Attack16.13. Other Crypto Related Attacks16.14. Signing and Encryption Order16.15. Issuer Identifier16.16. Implicit Flow Threats16.17. TLS Requirements16.18. Lifetimes of Access Tokens and Refresh Tokens16.19. Symmetric Key Entropy16.20. Need for Signed Requests16.21. Need for Encrypted Requests17. Privacy Considerations17.1. Personally Identifiable Information17.2. Data Access Monitoring17.3. Correlation17.4. Offline Access18. IANA Considerations18.1. JSON Web Token Claims Registration18.1.1. Registry Contents18.2. OAuth Parameters Registration18.2.1. Registry Contents18.3. OAuth Extensions Error Registration18.3.1. Registry Contents19. References19.1. Normative References19.2. Informative ReferencesAppendix A. Authorization ExamplesA.1. Example using response_type=codeA.2. Example using response_type=id_tokenA.3. Example using response_type=id_token tokenA.4. Example using response_type=code id_tokenA.5. Example using response_type=code tokenA.6. Example using response_type=code id_token tokenA.7. RSA Key Used in ExamplesAppendix B. AcknowledgementsAppendix C. Notices§ Authors' Addresses
-
[기획-디지털 ID 표준] ⑭산업단체와 포럼 - 오아시스(OASIS)디지털 ID(Digital Identity) 분야에서 상호운용(interoperable)이 가능하고 안전한 서비스 보장을 위한 표준에 대한 수요가 증가하고 있다. 다양한 표준 조직 및 산업 기관이 활동하는 이유다.디지털 ID 표준을 개발하는 곳은 유럽표준화기구(European Standardisation Organistions), 국제표준화기구(International Standardisation Organisations), 상업 포럼 및 컨소시엄, 국가기관 등 다양하다.산업단체와 포럼은 공식적으로 표준화 조직으로 간주되지 않지만 디지털 ID 영역을 포함한 특정 영역에서는 사실상의 표준을 제공하고 있다.몇몇의 경우 이들 단체들이 추가 비준을 위해 자신들이 생산한 사양을 ISO/IEC, ITU 통신 표준화 부문(ITU-T), ETSI 등 표준 기관에 제출할 수 있다.이러한 산업단체 및 포럼에는 △인증기관브라우저 포럼(Certification Authority Browser Forum, CA/Browser Forum) △클라우드 서명 컨소시엄(Cloud Signature Consortium, CSC) △국제자금세탁방지기구(Financial Action Task Force, FATF) △신속온라인인증(Fast Identity Online, FIDO) △국제인터넷표준화기구(Internet Engineering Task Force, IETF) △구조화 정보 표준 개발기구(오아시스)(Organization for the Advancement of Structured Information Standards, OASIS) △오픈ID(OpenID) △SOG-IS(Senior Officials Group-Information Systems Security) △W3C(World Wide Web Consortium) 등이다.구조화 정보 표준 개발기구(Organization for the Advancement of Structured Information Standards, OASIS)는 공급업체와 사용자의 컨소시엄으로 시작됐다.오늘날 사이버보안(cybersecurity), 블록체인(blockchain), 사물인터넷(internet of things, IoT), 비상 경영(emergency management), 클라우드 컴퓨팅(cloud computing) 등 프로젝트를 발전시키는 대규모 비영리 표준 조직이다.오아시스는 '디지털 서명 서비스 핵심 프로토콜, 요소, 바인딩'과 같은 디지털 서명과 관련된 프로토콜, 프로필 등 기술 사양을 개발해왔다.오아시스는 ISO에 협력하고 있는 조직으로 각 기술위원회(TC) 또는 분과위원회(SC)가 다루는 문제에 대해 기술위원회(TC) 또는 분과위원회(SC)의 업무에 효과적으로 기여하는 조직(A liaisons)이다.기여하고 있는 기술위원회 및 분과위원회는 다음과 같다.▷ISO/IEC JTC 1/SC 6 시스템 간 통신 및 정보 교환▷ISO/IEC JTC 1/SC 34 문서 설명 및 처리 언어▷ISO/IEC JTC 1/SC 38 클라우드 컴퓨팅 및 분산 플랫폼▷ISO/IEC JTC 1/SC 40 IT 서비스 관리 및 IT 거버넌스▷ISO/TC 12 수량 및 단위▷ISO/TC 37 언어 및 용어▷ISO/TC 37/SC 5 번역, 통역 및 관련 기술▷ISO/TC 46/SC 4 기술적 상호 운용성▷ISO/TC 154 상업, 산업 및 행정 분야의 프로세스, 데이터 요소 및 문서▷ISO/TC 184/SC 4 산업 데이터▷ISO/TC 211 지리정보/지리학또한 오아시스는 2005년 10월 21일 Working Draft 34에서 Digital Signature Service Core Protocols, Elements, and Bindings Version 1.0을 발표했다.이후 2019년 12월 11일 'Digital Signature Service Core Protocols, Elements, and Bindings Version 2.0 Committee Specification 02'가 발표됐다.버전 2.0의 목차를 살펴보면 다음과 같다.■ 목차(Table of Contents) 1 Introduction 1.1 IPR Policy 1.2 Terminology 1.2.1 Terms and Definitions 1.2.2 Abbreviated Terms 1.3 Normative References 1.4 Non-Normative References 1.5 Typographical Conventions 1.6 DSS Overview (Non-normative) 2 Design Considerations 2.1 Version 2.0 goal [non-normative] 2.2 Transforming DSS 1.0 into 2.0 2.2.1 Circumventing xs:any 2.2.2 Substituting the mixed Schema Attribute 2.2.3 Introducing the NsPrefixMappingType Component 2.2.4 Imported XML schemes 2.2.5 Syntax variants 2.2.6 JSON Syntax Extensions 2.3 Construction Principles 2.3.1 Multi Syntax approach 2.4 Schema Organization and Namespaces 2.5 DSS Component Overview 2.5.1 Schema Extensions 3 Data Type Models 3.1 Boolean Model 3.2 Integer Model 3.3 String Model 3.4 Binary Data Model 3.5 URI Model 3.6 Unique Identifier Model 3.7 Date and Time Model 3.8 Lang Model 4 Data Structure Models 4.1 Data Structure Models defined in this document 4.1.1 Component NsPrefixMapping 4.1.1.1 NsPrefixMapping – JSON Syntax 4.1.1.2 NsPrefixMapping – XML Syntax 4.2 Data Structure Models defined in this document 4.2.1 Component InternationalString 4.2.1.1 InternationalString – JSON Syntax 4.2.1.2 InternationalString – XML Syntax 4.2.2 Component DigestInfo 4.2.2.1 DigestInfo – JSON Syntax 4.2.2.2 DigestInfo – XML Syntax 4.2.3 Component AttachmentReference 4.2.3.1 AttachmentReference – JSON Syntax 4.2.3.2 AttachmentReference – XML Syntax 4.2.4 Component Any 4.2.4.1 Any – JSON Syntax 4.2.4.2 Any – XML Syntax 4.2.5 Component Base64Data 4.2.5.1 Base64Data – JSON Syntax 4.2.5.2 Base64Data – XML Syntax 4.2.6 Component SignaturePtr 4.2.6.1 SignaturePtr – JSON Syntax 4.2.6.2 SignaturePtr – XML Syntax 4.2.7 Component Result 4.2.7.1 Result – JSON Syntax 4.2.7.2 Result – XML Syntax 4.2.8 Component OptionalInputs 4.2.8.1 OptionalInputs – JSON Syntax 4.2.8.2 OptionalInputs – XML Syntax 4.2.9 Component OptionalOutputs 4.2.9.1 OptionalOutputs – JSON Syntax 4.2.9.2 OptionalOutputs – XML Syntax 4.2.10 Component RequestBase 4.2.10.1 RequestBase – JSON Syntax 4.2.10.2 RequestBase – XML Syntax 4.2.11 Component ResponseBase 4.2.11.1 ResponseBase – JSON Syntax 4.2.11.2 ResponseBase – XML Syntax 4.3 Operation requests and responses 4.3.1 Component SignRequest 4.3.1.1 SignRequest – JSON Syntax 4.3.1.2 SignRequest – XML Syntax 4.3.2 Component SignResponse 4.3.2.1 SignResponse – JSON Syntax 4.3.2.2 SignResponse – XML Syntax 4.3.3 Component VerifyRequest 4.3.3.1 VerifyRequest – JSON Syntax 4.3.3.2 VerifyRequest – XML Syntax 4.3.4 Component VerifyResponse 4.3.4.1 VerifyResponse – JSON Syntax 4.3.4.2 VerifyResponse – XML Syntax 4.3.5 Component PendingRequest 4.3.5.1 PendingRequest – JSON Syntax 4.3.5.2 PendingRequest – XML Syntax 4.4 Optional data structures defined in this document 4.4.1 Component RequestID 4.4.1.1 RequestID – JSON Syntax 4.4.1.2 RequestID – XML Syntax 4.4.2 Component ResponseID 4.4.2.1 ResponseID – JSON Syntax 4.4.2.2 ResponseID – XML Syntax 4.4.3 Component OptionalInputsBase 4.4.3.1 OptionalInputsBase – JSON Syntax 4.4.3.2 OptionalInputsBase – XML Syntax 4.4.4 Component OptionalInputsSign 4.4.4.1 OptionalInputsSign – JSON Syntax 4.4.4.2 OptionalInputsSign – XML Syntax 4.4.5 Component OptionalInputsVerify 4.4.5.1 OptionalInputsVerify – JSON Syntax 4.4.5.2 OptionalInputsVerify – XML Syntax 4.4.6 Component OptionalOutputsBase 4.4.6.1 OptionalOutputsBase – JSON Syntax 4.4.6.2 OptionalOutputsBase – XML Syntax 4.4.7 Component OptionalOutputsSign 4.4.7.1 OptionalOutputsSign – JSON Syntax 4.4.7.2 OptionalOutputsSign – XML Syntax 4.4.8 Component OptionalOutputsVerify 4.4.8.1 OptionalOutputsVerify – JSON Syntax 4.4.8.2 OptionalOutputsVerify – XML Syntax 4.4.9 Component ClaimedIdentity 4.4.9.1 ClaimedIdentity – JSON Syntax 4.4.9.2 ClaimedIdentity – XML Syntax 4.4.10 Component Schemas 4.4.10.1 Schemas – JSON Syntax 4.4.10.2 Schemas – XML Syntax 4.4.11 Component IntendedAudience 4.4.11.1 IntendedAudience – JSON Syntax 4.4.11.2 IntendedAudience – XML Syntax 4.4.12 Component KeySelector 4.4.12.1 KeySelector – JSON Syntax 4.4.12.2 KeySelector – XML Syntax 4.4.13 Component X509Digest 4.4.13.1 X509Digest – JSON Syntax 4.4.13.2 X509Digest – XML Syntax 4.4.14 Component PropertiesHolder 4.4.14.1 PropertiesHolder – JSON Syntax 4.4.14.2 PropertiesHolder – XML Syntax 4.4.15 Component Properties 4.4.15.1 Properties – JSON Syntax 4.4.15.2 Properties – XML Syntax 4.4.16 Component Property 4.4.16.1 Property – JSON Syntax 4.4.16.2 Property – XML Syntax 4.4.17 Component IncludeObject 4.4.17.1 IncludeObject – JSON Syntax 4.4.17.2 IncludeObject – XML Syntax 4.4.18 Component SignaturePlacement 4.4.18.1 SignaturePlacement – JSON Syntax