KR20030016073A - Method and system for user authertication using cookie in web - Google Patents
Method and system for user authertication using cookie in web Download PDFInfo
- Publication number
- KR20030016073A KR20030016073A KR1020010049986A KR20010049986A KR20030016073A KR 20030016073 A KR20030016073 A KR 20030016073A KR 1020010049986 A KR1020010049986 A KR 1020010049986A KR 20010049986 A KR20010049986 A KR 20010049986A KR 20030016073 A KR20030016073 A KR 20030016073A
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- user
- web
- client
- cookie
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
Abstract
Description
본 발명은 웹을 통한 사용자의 인증 요구시 구현이 쉬운 쿠키를 이용하여 보안 기능을 강화하도록 하는 것으로, 특히 사용자 인증이 적당하도록 기존 쿠키의 보안 결함을 보완하여 쿠키의 편리성을 활용하면서 보안을 강화하도록 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템에 관한 것이다.The present invention is to enhance the security function by using a cookie that is easy to implement when the user requires authentication through the web, in particular, to enhance the security while utilizing the convenience of the cookie to compensate for the security flaw of the existing cookie so that the user authentication is appropriate The present invention relates to a user authentication method and an authentication system through a cookie.
인터넷(internet)의 월드 와이드 웹(www)은 컴퓨팅 역사상 가장 성공적인 분산형 애플리케이션이다. 웹(web) 환경에서, 클라이언트(client) 머신은 웹 서버(web server)로의 트랜잭션을 수행할 때, 하이퍼텍스트 마크업 언어(HTML)로서 알려진 표준 페이지 기술(description) 언어를 이용하여 파일(예, 텍스트, 그래픽스, 이미지, 사운드, 비디오, 등)에 대한 사용자 억세스를 제공하는 공지된 애플리케이션프로토콜인 하이퍼텍스트 전송 프로토콜(HTTP)을 이용한다. HTML은 기본적인 문서(document) 포맷팅을 제공하며, 개발자가 다른 서버 및 파일에 대한 링크를 지정할 수 있도록 한다.The World Wide Web (www) on the Internet is the most successful decentralized application in computing history. In a web environment, a client machine uses a standard page description language, known as hypertext markup language (HTML), to perform a transaction with a web server, such as a file (e.g., Hypertext Transfer Protocol (HTTP), a known application protocol that provides user access to text, graphics, images, sound, video, and the like. HTML provides basic document formatting and allows developers to specify links to other servers and files.
도 1은 웹을 통한 클라이언트의 인증 시스템을 나타내기 위한 구성도로서, 웹 브라우저(web browser)(111)를 사용하여 인터넷(102)의 각종 자원을 검색하는 클라이언트(101)와, 인터넷(102)에 접속된 클라이언트(101)의 인증을 수행하고 인증된 클라이언트(101)에 대해 웹 서비스를 제공하는 웹 서버(103)로 구성된다.FIG. 1 is a block diagram illustrating an authentication system of a client through the web. The client 101 retrieves various resources of the Internet 102 using a web browser 111 and the Internet 102. And a web server 103 that performs authentication of the client 101 connected to and provides a web service to the authenticated client 101.
상기와 같이 구성되는 웹을 통한 클라이언트의 인증 시스템에 대하여 도 1을 참조하여 설명하면 다음과 같다.The authentication system of the client through the web configured as described above will be described with reference to FIG. 1 as follows.
먼저, 클라이언트(101) 사용자는 웹 브라우저(111)를 사용하여 인터넷(102)의 각종 자원을 검색하기 위해서, 웹 서비스를 이용하고자 하는 웹 서버(103)에 접속한 후, 자신의 정보 및 아이디(ID)와 비밀번호를 이용하여 회원으로 가입하게 된다.First, a user of the client 101 accesses a web server 103 using a web service to search for various resources of the Internet 102 using a web browser 111, and then uses his or her information and ID ( You will be a member using your ID and password.
이후, 웹 서버(103)는 클라이언트(101)가 웹 서비스를 이용하고자 할 때 사용자 아이디와 비밀번호의 입력을 요청하고, 입력한 아이디와 비밀번호의 사용자정보데이터 베이스(104)에 저장된 사용자정보와의 일치여부를 확인하고, 일치할 경우 인증을 수행하고 일치하지 않으면 연결 거부 또는 웹 서비스를 제공하지 않게 된다.Subsequently, when the client 101 wants to use the web service, the web server 103 requests input of a user ID and password, and matches the user information stored in the user information database 104 of the input ID and password. If it does, it will authenticate, and if it does not match, it will refuse to connect or provide web services.
이와 같이 웹을 통하여 서비스를 제공하기 위해서는 초기에 접속자가 인증된 사용자인지를 확인하고, 지속적으로 인증을 거친 사용자인지를 확인하는 과정이 필요하다.As described above, in order to provide a service through the web, it is necessary to check whether the accessor is an authenticated user at the initial stage and to verify whether the user is continuously authenticated.
이는 웹 서비스의 특성이 비연결성(Connectionless) 서비스이기 때문이다. 즉, 연결성(connection-oriented) 서비스의 경우는 한 번의 인증을 거치면 이후에는 해당 세션이 인증을 거친 것인지를 확인할 필요가 없지만 웹 서비스의 경우는 문서 요청이 있을 때마다 인증을 거친 것인지를 확인해야 한다.This is because the characteristic of a web service is a connectionless service. That is, in the case of connection-oriented services, once authentication is performed, there is no need to check whether the session is authenticated later, but in the case of web services, authentication should be performed every time a document request is made. .
현재 웹을 통한 사용자의 인증 서비스에는 그 구현하는 방식에 따라 몇 가지 방법이 존재한다.Currently, there are several methods of authenticating users through the web, depending on how they are implemented.
첫 번째로 웹 서버 자체에 사용자를 등록하여 HTTP 표준 프로토콜 상의 기능을 통해 인증을 처리하는 방법이 있다. 이러한 웹 서버를 통한 인증은 관리자가 지정한 특정 웹 페이지를 사용자가 보고자 하는 경우에 로그인 창이 출력되고, 로그인 창으로 사용자의 아이디와 비밀번호를 입력을 요청하고, 사용자의 아이디와 비밀번호가 입력되면, 이 정보는 HTTP에 기술된 형식의 데이터로 웹 서버에 전달된다.First, there is a method of registering a user on the web server itself to handle authentication through a function on the HTTP standard protocol. In this web server authentication, when a user wants to view a specific web page designated by the administrator, a login window is output, and the user inputs a user ID and password into the login window. When the user ID and password are input, this information is displayed. Is passed to the web server as data in the format described in HTTP.
그러면, 웹 서버는 상기 정보를 판독하여 사용자 인증 과정을 거쳐, 인증이 완료되면 문서 접근 허가를 통지하고, 만약 인증이 실패하면 접근 불가를 통지한다. 이후에는 계속적으로 HTTP 상의 헤더부에 사용자의 인증정보가 실려 웹 서버로 전달된다.Then, the web server reads the information and goes through a user authentication process, notifies the document access permission if authentication is completed, and notifies access if the authentication fails. After that, the authentication information of the user is continuously loaded on the header part of the HTTP and transmitted to the web server.
두 번째는 쿠키를 이용한 방법으로 사용자가 초기에 아이디와 비밀번호를 입력하면 인증절차를 거쳐 이후에는 특정 내용의 쿠키를 통하여 이루어진 것으로 간주하는 방법이 있다. 이러한 쿠키를 이용하는 방법은 사용자의 아이디와 비밀번호를 입력받아 웹 서버로 전달하고, 인증을 거쳐 인증이 성공하면 웹 서버는 사용자의 아이디나 비밀번호를 쿠키로 작성하여 클라이언트의 웹 브라우저로 전달하고, 클라이언트의 웹 브라우저는 다음 문서 요청시부터 이 쿠키 정보를 항상 함께 발송하게 된다. 그러면 웹 서버는 쿠키 정보에 따라서 사용자가 인증 절차를 거친 것으로 간주하고 서비스를 제공하게 된다.The second method uses cookies. When a user enters an ID and password at first, the authentication process is performed. Thereafter, a cookie is regarded as being made through a specific content cookie. In this method, the user's ID and password are input to the web server. If the authentication is successful, the web server writes the user's ID or password as a cookie and sends it to the client's web browser. The web browser will always send this cookie information from the next document request. The web server then assumes that the user has authenticated based on the cookie information and provides the service.
여기서, 쿠키(Cookie)는 웹 서버에 의해 웹 브라우저로 보낸 정보의 일부분으로, 브라우저는 이 정보를 저장했다가 웹 서버로 추가 요청을 할 때마다 웹 서버로 되돌려 보내게 되는 문자열 정보이다.Here, a cookie is a part of information sent to a web browser by a web server, and the browser stores string information and sends it back to the web server whenever an additional request is made to the web server.
세 번째는 제 3의 인증기관을 거친 인증서를 바탕으로 인증절차를 거치고 보안 세션을 만들어 이를 통해 서비스를 제공하는 방법이 있다. 이러한 인증서와 보안 세션을 사용하는 방법은 사용자가 로그인시에 제 3의 인증기관에서 제공한 인증서를 통해 아이디와 비밀번호를 입력하고, 이 정보가 보안 세션을 통해 웹 서버로전달된다. 인증이 성공하면 계속적으로 보안세션을 통해서 사용자는 서비스를 받게 된다.Third, there is a method of providing a service through the authentication process and creating a secure session based on a certificate through a third-party certification authority. In this method of using a certificate and secure session, the user enters an ID and password through a certificate provided by a third-party certification authority at login, and this information is passed to the web server via a secure session. If the authentication succeeds, the user will continue to receive services through the secure session.
그러나, 종래의 첫 번째 방식은, 헤더부에 인증정보가 실려 있으므로, 중간에 패킷을 가로챌 경우 사용자의 아이디와 비밀번호가 누출될 수 있는 문제가 있다.However, in the first method of the related art, since authentication information is included in the header part, the ID and password of the user may leak when intercepting a packet in the middle.
그리고, 두 번째 방식도 쿠키 정보를 주고 받기 때문에 쿠키 정보를 중간에 가로채면 인증을 거치지 않고도 마치 인증을 통과한 것과 같은 효과를 얻을 수 있는 등 보안 상의 문제가 발생한다.In addition, since the second method also sends and receives cookie information, security problems occur such that intercepting cookie information in the middle can achieve the same effect as passing authentication without authentication.
그리고, 세 번째의 방식과 같이 제 3의 인증기관을 거치면, 철저한 보안을 제공할 수 있으나 제 3의 인증기관에 인증 서비스를 의뢰할 경우 제 3의 인증기관과 협조 및 관련 시스템 구축등의 구현의 복잡성과 높은 비용이 발생하게 되는 문제가 있다.And, like the third method, if a third certification authority is used, thorough security can be provided, but when requesting authentication service to a third certification authority, cooperation with a third certification authority and implementation of related systems There is a problem of complexity and high cost.
본 발명은 상기한 종래의 문제점을 해결하기 위해 안출된 것으로서, 웹 서비스를 위한 사용자의 인증 처리를 하기 위해 보안이 강화된 쿠키를 사용하여 허위의 쿠키 정보가 전달되는 문제를 제거하고자 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템을 제공함에 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned conventional problem, and a cookie on a web which attempts to eliminate a problem in which false cookie information is transmitted by using a security-enhanced cookie to process authentication of a user for a web service. Its purpose is to provide a user authentication method and an authentication system.
본 발명의 목적은 사용자의 인증 절차시에 단순히 인증을 거친 사용자의 아이디 값 만큼 쿠키에 저장하지 않고 웹 서버에서 할당하는 난수값을 함께 저장함으로써, 서버 인증을 제대로 거치지 않은 쿠키 정보를 거부 및 조작된 쿠키 정보를판정하여 웹 문서 접근 권한을 거부할 수 있도록 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템을 제공함에 그 목적이 있다.An object of the present invention is to reject and manipulate cookie information that has not been properly authenticated by storing a random number assigned by a web server instead of storing it in a cookie as much as an ID value of an authenticated user. The object of the present invention is to provide a user authentication method and an authentication system through cookies on the web, which can deny access to web documents by determining cookie information.
도 1은 웹 서비스를 위한 클라이언트 및 웹 서버를 나타낸 구성도.1 is a diagram illustrating a client and a web server for a web service.
도 2는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 시스템을 나타낸 구성도.2 is a block diagram showing a user authentication system through a cookie on the web according to an embodiment of the present invention.
도 3은 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 방법을 나타낸 플로우 챠트.3 is a flow chart showing a user authentication method via a cookie on the web according to an embodiment of the present invention.
<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>
101,201...클라이언트102,202...인터넷101,201 ... Client 102,202 ... Internet
103,203...웹 서버104,207...사용자정보 DB103,203 ... Web server 104,207 ... User information DB
111,211...웹 브라우저204...인증블록111,211 Web browser 204 Authentication block
205...조회블록206...관리블록205 ... Query block 206 ... Administrative block
208...난수표 저장부209...인증정보 저장부208 ... Random check storage 209 ... Authentication information storage
상기한 목적 달성을 위한, 본 발명에 따른 웹 상에서 쿠키를 통한 사용자 인증 방법은,In order to achieve the above object, a user authentication method via a cookie on the web according to the present invention,
클라이언트의 로그인시 웹 서버로부터 사용자정보를 전달받은 인증블록이 사용자정보 데이터베이스와 비교한 후, 유효한 사용자정보인지를 확인하는 단계;Comparing the authentication block received from the web server with the user information database when the client logs in, and confirming whether the authentication block is valid user information;
상기 확인결과 유효한 사용자정보이면 임의의 난수값을 가져와서 사용자정보와 난수값이 포함된 쿠키값을 생성하고 클라이언트의 웹 브라우저로 전송 및, 인증정보 저장부에 상기 사용자 정보, 난수값, 로그인 시각을 저장하는 단계;If the verification result is valid user information, a random random value is taken to generate a cookie value including the user information and the random number and transmitted to the client's web browser, and the user information, random number value, and login time are stored in the authentication information storage unit. Storing;
상기 클라이언트로부터 새로운 웹 문서를 요청시 전달되는 쿠키값으로부터 사용자정보와 난수값을 읽어, 인증정보 저장부에 인증정보가 존재하는지를 확인하는 단계;Reading user information and a random number from a cookie value delivered when a new web document is requested from the client, and checking whether authentication information exists in an authentication information storage unit;
상기 인증정보 저장부에 사용자정보와 난수값이 존재할 경우 요청한 웹 문서 내용을 웹 브라우저로 전달하고, 인증정보에 존재하지 않을 경우 웹 문서 접근을 거부하는 단계를 포함하는 것을 특징으로 한다.And transmitting the requested web document content to the web browser if the user information and the random number exist in the authentication information storage unit, and denying access to the web document if the authentication information storage unit does not exist in the authentication information.
바람직하게, 상기 클라이언트에서 로그 아웃을 요청하면 관리블록이 인증정보 저장부에 기록된 사용자정보와 난수 값에 맞는 인증정보를 삭제하는 단계를 포함하는 것을 특징으로 한다.Preferably, when the client requests a logout, the management block may include deleting user information recorded in the authentication information storage unit and authentication information corresponding to a random number.
바람직하게, 상기 새로운 웹 문서 요청시 최근 접속시각을 갱신 및 일정 시간 동안의 웹 문서 요청이 없을 때 사용자의 인증정보를 삭제하는 것을 특징으로 한다.Preferably, when the new web document request, the latest connection time is updated and the authentication information of the user is deleted when there is no web document request for a predetermined time.
상세하게, 상기 인증블록이 클라이언트의 IP 주소를 인증정보 데이터베이스에 기록하고, 그 기록된 인증정보 데이터베이스의 사용자 IP 주소와 클라이언트의 요청시의 IP 주소를 비교하여, 웹 문서로의 접근 여부를 결정하는 것을 특징으로 한다.In detail, the authentication block records the IP address of the client in the authentication information database, and compares the user IP address of the recorded authentication information database with the IP address at the request of the client to determine whether to access a web document. It is characterized by.
본 발명 실시 예에 따른 웹 상의 쿠키를 통한 사용자의 인증 시스템은, 인터넷에 접속한 클라이언트에 웹 서비스를 제공하기 위한 웹 서버와; 상기 웹 서버로부터 전달되는 클라이언트의 인증 처리 및 임의의 난수값이 포함된 쿠키를 생성하는 인증블록과; 인증된 클라이언트의 새로운 웹 문서 요청시 기존의 쿠키를 이용하여 인증확인하는 조회블록과; 상기 웹 서버 상에서 존재하는 클라이언트의 인증정보를 관리하는 관리블록과; 상기 웹 서버 상에서 클라이언트의 사용자정보를 저장하는 사용자정보 데이터 베이스, 난수값을 미리 생성하여 저장하고 있는 난수표 저장부 및, 인증이 완료된 사용자 인증정보를 저장하는 인증정보 저장부를 포함하는 것을 특징으로 한다.A system for authenticating a user through cookies on the web according to an embodiment of the present invention includes a web server for providing a web service to a client connected to the Internet; An authentication block for generating a cookie including an authentication process of the client and an arbitrary random value transmitted from the web server; An inquiry block which authenticates using an existing cookie when requesting a new web document of an authenticated client; A management block for managing authentication information of a client existing on the web server; And a random number table storage unit for generating and storing random number values in advance, and an authentication information storage unit for storing user authentication information for which authentication has been completed.
그리고, 상기 인증블록은 유효한 사용자정보와 난수표 저장부에 저장된 임의의 난수값으로 쿠키를 생성하는 것을 특징으로 한다.The authentication block may generate a cookie with valid user information and a random random value stored in the random number storage.
그리고, 상기 인증정보 저장부는 인증블록으로부터 인증절차를 완료한 사용자정보와 난수값, 로그인 시각, 최종 접속시각, 클라이언트의 IP 주소를 각각 포함하는 것을 특징으로 한다.The authentication information storage unit may include user information, a random number value, a login time, a final access time, and an IP address of the client, which have completed the authentication procedure from the authentication block.
이하 첨부된 도면을 참조하여 설명하면 다음과 같다.Hereinafter, with reference to the accompanying drawings as follows.
도 2는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 시스템을 나탄내 구성도이고, 도 3은 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 방법을 나타낸 흐름도이다.2 is a block diagram illustrating a user authentication system through cookies on the web according to an embodiment of the present invention, and FIG. 3 is a flowchart illustrating a user authentication method through cookies on the web according to an embodiment of the present invention.
먼저, 웹 브라우저(211)를 이용하여 웹 서비스를 제공받는 클라이언트(201)와; 인터넷(202)에 접속된 클라이언트(201)로부터 인증정보를 요청한 후 입력되는 인증정보에 따라 웹 페이지의 서비스 여부를 전달하는 웹 서버(203)와; 웹 서버(203)로부터 사용자 인증정보를 전달받아 사용자 인증처리 및 쿠키를 생성하는 인증블록(204)과; 인증절차가 완료된 사용자가 다른 웹 문서 요청시 기존의 쿠키값을 이용하여 인증확인을 하는 조회블록(205)과; 웹 서버 상에서 존재하는 인증정보를 관리하는 관리블록(206) 및, 사용자정보를 저장하는 사용자정보 데이터베이스(DB)(207), 보안기능 강화를 위해 웹 서버(203)에서 할당하기 위한 난수값을 미리 생성하고 보관하는 난수표 저장부(208), 인증 결과에 따른 사용자 인증정보를 저장한 인증정보 저장부(209)로 구성된다.First, a client 201 receiving a web service using a web browser 211; A web server 203 for requesting authentication information from a client 201 connected to the Internet 202 and delivering a web page according to the input authentication information; An authentication block 204 which receives the user authentication information from the web server 203 and generates a user authentication process and a cookie; An inquiry block 205 for verifying an authentication using an existing cookie value when a user who has completed an authentication process requests another web document; A management block 206 for managing authentication information existing on a web server, a user information database (DB) 207 for storing user information, and a random number value to be assigned by the web server 203 for enhanced security function in advance The random number storage unit 208 generates and stores the authentication information storage unit 209 storing user authentication information according to the authentication result.
상기와 같이 구성되는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자 인증 시스템 및 방법에 대하여 첨부된 도면을 참조하여 설명하면 다음과 같다.Referring to the accompanying drawings, a system and method for authenticating a user through cookies on the web according to an exemplary embodiment of the present invention as described above will be described.
도 2 및 도 3을 참조하면, 클라이언트(201)는 자신의 웹 브라우저(211)를 이용하여 인터넷(202) 상의 웹 서버(203)로 접속하고, 웹 서버(203)의 사용자 인증 요청시 사용자 아이디와 비밀번호를 입력하게 된다.2 and 3, the client 201 connects to the web server 203 on the Internet 202 using its web browser 211, and a user ID when a user authentication request of the web server 203 is requested. And password.
상기 웹 서버(203)는 사용자 아이디와 비밀번호를 전달받아 인증블록(204)으로 전달하며(S301), 인증블록(204)은 사용자 아이디와 비밀번호를 사용자정보 데이터베이스(207)에 조회하여, 유효한 것인지를 확인하게 된다(S302).The web server 203 receives the user ID and password and passes it to the authentication block 204 (S301), the authentication block 204 queries the user ID and password to the user information database 207, and whether it is valid. It is confirmed (S302).
인증블록(204)의 조회결과 유효하지 않는 사용자정보이면 웹 문서 접근을 거부하고, 유효한 사용자정보일 경우에는 난수표 저장부(208)로부터 임의의 난수값을 가져오게 된다(S303).If the verification result of the authentication block 204 is invalid user information, access to the web document is rejected, and if valid user information is obtained, a random random value is taken from the random number storage unit 208 (S303).
이때, 인증블록(204)은 유효한 사용자 아이디와, 난수값, 그리고 로그인 시각을 인증정보 저장부(209)에 저장하고(S304), 상기 사용자 아이디와 난수값이 포함된 쿠키를 생성하여 웹 서버(203)로 전달하고(S305), 웹 서버(203)는 인증블록(204)에서 전달받은 쿠키를 인터넷을 통해 클라이언트(201)의 웹 브라우저(211)로 전달하게 된다.In this case, the authentication block 204 stores a valid user ID, a random value, and a login time in the authentication information storage unit 209 (S304), and generates a cookie including the user ID and the random number to generate a web server ( 203 and the web server 203 transmits the cookie received from the authentication block 204 to the web browser 211 of the client 201 through the Internet.
그리고, 인증 절차를 받은 클라이언트(201)로부터의 새로운 웹 문서 요청시 상기 웹 브라우저(211)로부터 쿠키값이 웹 서버(203)에 전송되면, 웹 서버(203)는 쿠키값을 조회블록(205)에 전달하고(S306), 조회블록(205)은 상기 쿠키값으로부터 사용자 아이디와 난수값을 읽어 인증정보 저장부(209)에 상기 저장된 사용자 아이디와 난수값이 존재하는 지를 조회하게 된다(S307).If a cookie value is transmitted from the web browser 211 to the web server 203 when a new web document is requested from the client 201 that has received the authentication procedure, the web server 203 returns the cookie value to the inquiry block 205. In step S306, the inquiry block 205 reads the user ID and the random number from the cookie value and inquires whether the stored user ID and the random number exist in the authentication information storage unit 209 (S307).
상기 조회블록(205)는 인증정보 저장부(209)에 사용자 아이디와 쿠키값이 존재하면 인증정보 저장부(209)의 최근 접속시각을 현재 시각으로 수정하고, 웹 서버(203)는 클라이언트(201)에서 요청한 웹 문서 내용을 웹 브라우저(211)로 전달한다. 그러나 사용자 아이디와 난수값이 존재하지 않을 경우 상기 클라이언트(201)의 웹 문서 접근을 거부하게 된다.If the user ID and the cookie value exist in the authentication information storage unit 209, the inquiry block 205 modifies the latest connection time of the authentication information storage unit 209 to the current time, and the web server 203 is the client 201. ) Transmits the requested web document content to the web browser 211. However, if the user ID and the random number do not exist, the client 201 denies access to the web document.
이후, 클라이언트(201)에서 로그아웃을 요청하면 웹 서버(203)에서 이를 수신하고 관리블록(206)에 쿠키값(아이디, 난수값)을 전달하며(S308), 관리블록(206)은 이를 받아 쿠키값에 기록된 사용자 아이디와 난수값에 맞는 인증정보를 인증정보 저장부(209)에서 삭제해 준다(S309).Thereafter, when the client 201 requests the logout, the web server 203 receives the request and transmits the cookie value (ID, random number value) to the management block 206 (S308), and the management block 206 receives the request. The authentication information corresponding to the user ID and the random number recorded in the cookie value is deleted from the authentication information storage unit 209 (S309).
한편, 관리블록(206)은 주기적으로 인증정보 저장부(209)의 인증정보를 확인하여 최근 접속시각이 일정 시간 경과된 인증정보를 삭제한다. 이러한 경우 사용자는 인증절차를 다시 수행하여야 한다.On the other hand, the management block 206 periodically checks the authentication information of the authentication information storage unit 209 and deletes the authentication information that has elapsed a predetermined time since the latest connection time. In this case, the user must perform the authentication procedure again.
보안을 더욱 강화하고자 하는 경우에는 인증정보에 사용자의 IP 주소를 기록하여 매 접속시마다 요청을 한 클라이언트(201)의 IP 주소가 인증정보 상의 IP 주소와 일치하는 지를 확인하게 된다. 즉, 인증정보 저장부(209)에는 사용자 아이디, 난수값, 로그인 시각, 최근 접속 시각, 사용자 IP 주소를 저장하고 인증 요청시 상기 아이디와 난수값 등을 조회 블록(205)에 전달해 준다.In order to further enhance the security, the user's IP address is recorded in the authentication information to check whether the IP address of the client 201 making a request at every connection matches the IP address in the authentication information. That is, the authentication information storage unit 209 stores a user ID, a random number value, a login time, a recent access time, a user IP address, and transmits the ID and the random number value to the inquiry block 205 when the authentication request is made.
사용자의 인증절차시에 단순히 인증을 거친 사용자 아이디와 함께 난수값을 쿠키에 저장함으로써, 서버 인증을 제대로 거치지 않는 쿠키 정보를 거부할 수 있다. 즉, 임의의 쿠키값을 생성하여 마치 사용자 인증을 거친 것과 같이 조작된 쿠키 정보는 거짓 여부를 판정하여 웹 문서 접근 권한을 거부한다. 그리고, 불특정 지역으로부터의 다중 접속에 대해서도 선택적으로 거부할 수 있다.By simply storing a random number with a user ID that has been authenticated in the cookie during the authentication process of the user, cookie information that is not properly authenticated can be rejected. That is, the cookie information that is manipulated as if the user cookie is generated by generating a random cookie value is judged to be false and denies access to the web document. It is also possible to selectively reject multiple connections from unspecified areas.
또한, 보안을 더욱 강화시켜 주기 위해서, 인증정보 저장부(209)에 클라이언트(201)의 IP주소를 기록하고, 매 접속시마다 요청을 한 클라이언트(201)의 IP 주소가 인증정보 상의 IP주소와 일치하는지를 확인할 수 있어, 웹 문서로의 접근 및거부를 통해서 보안을 강화시켜 줄 수 있다.In addition, to further enhance security, the IP address of the client 201 is recorded in the authentication information storage unit 209, and the IP address of the client 201 that makes a request at every connection matches the IP address in the authentication information. It can be secured by accessing or denying web documents.
이상에서 설명한 바와 같이, 본 발명에 따른 웹 상에서 쿠키를 통한 사용자 인증방법에 의하면, 클라이언트로부터 인증 요청시 사용자정보 데이터베이스로부터 사용자정보에 대해 인증 확인을 한 후, 유효한 사용자정보에 대해 임의의 난수값을 포함하는 쿠키값을 생성하여 웹 브라우저로 전송하고, 새로운 웹 문서 요청시의 상기의 쿠키값의 비교를 통해서 웹 서비스를 수행함으로써, 쿠키값을 조작하여 불순하게 서버에 접근하고자 하는 의도를 방지할 수 있으며, 또한 비 연속적인 서비스를 제공하는 웹 서비스 상에서 현재 접속한 사용자의 정보를 관리할 수 있는 잇점이 있다.As described above, according to the user authentication method through a cookie on the web according to the present invention, after authentication verification of the user information from the user information database when the authentication request from the client, random random values for valid user information By generating a cookie value to be included and sending it to a web browser, and performing a web service by comparing the cookie value when requesting a new web document, it is possible to prevent the intention of manipulating the cookie value to access the server in an impure manner. In addition, there is an advantage that can manage the information of the currently connected user on the web service providing a non-continuous service.
그리고, 보안 기능이 강화된 쿠키를 통한 사용자의 인증으로, 쿠키를 이용하는 경우의 편의성을 그대로 유지함과 아울러, 기존 방식의 보안에 대한 취약성을 최대한 보완하는 효과가 있다.In addition, by authenticating the user through a cookie with enhanced security, the convenience of using the cookie is maintained as it is, and the vulnerability to the security of the existing method is maximized.
Claims (7)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010049986A KR20030016073A (en) | 2001-08-20 | 2001-08-20 | Method and system for user authertication using cookie in web |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020010049986A KR20030016073A (en) | 2001-08-20 | 2001-08-20 | Method and system for user authertication using cookie in web |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20030016073A true KR20030016073A (en) | 2003-02-26 |
Family
ID=27719802
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020010049986A KR20030016073A (en) | 2001-08-20 | 2001-08-20 | Method and system for user authertication using cookie in web |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20030016073A (en) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005121994A1 (en) * | 2004-06-11 | 2005-12-22 | Nhn Corporation | Method and system for providing secure payment service using cookie information |
KR100732689B1 (en) * | 2005-05-13 | 2007-06-27 | (주)트리니티소프트 | Web Security Method and apparatus therefor |
KR100912504B1 (en) * | 2007-11-26 | 2009-08-17 | 주식회사 다음커뮤니케이션 | Method of providing user login in internet |
KR100944724B1 (en) * | 2007-08-21 | 2010-03-03 | 엔에이치엔비즈니스플랫폼 주식회사 | User authentication system using IP address and method thereof |
US7779103B1 (en) | 2006-12-12 | 2010-08-17 | Google Inc. | Dual cookie security system |
KR101048836B1 (en) * | 2009-01-22 | 2011-07-13 | 주식회사 인사이트랩 | Financial service providing system and method using mobile device |
KR101130367B1 (en) * | 2003-12-15 | 2012-03-28 | 마이크로소프트 코포레이션 | System and method for a software distribution service |
US8302169B1 (en) | 2009-03-06 | 2012-10-30 | Google Inc. | Privacy enhancements for server-side cookies |
WO2013116169A1 (en) * | 2012-02-01 | 2013-08-08 | Microsoft Corporation | Efficiently throttling user authentication |
KR101293178B1 (en) * | 2012-09-11 | 2013-08-12 | 오정원 | System and method for security access using cookie formatted certification information |
KR101358704B1 (en) * | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | Method of authenticating for single sign on |
WO2014035220A2 (en) * | 2012-09-03 | 2014-03-06 | 엘지이노텍 주식회사 | Method and system for program authentication |
US8850520B1 (en) * | 2006-12-12 | 2014-09-30 | Google Inc. | Dual cookie security system with interlocking validation requirements and remedial actions to protect personal data |
US8943309B1 (en) | 2006-12-12 | 2015-01-27 | Google Inc. | Cookie security system with interloper detection and remedial actions to protest personal data |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10257048A (en) * | 1997-01-28 | 1998-09-25 | Internatl Business Mach Corp <Ibm> | Authentication for distributed file system web server user by cookie |
KR20010111413A (en) * | 2000-06-09 | 2001-12-19 | 정규석 | Method of controlling the remote data on the internet |
-
2001
- 2001-08-20 KR KR1020010049986A patent/KR20030016073A/en not_active Application Discontinuation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10257048A (en) * | 1997-01-28 | 1998-09-25 | Internatl Business Mach Corp <Ibm> | Authentication for distributed file system web server user by cookie |
KR19980070202A (en) * | 1997-01-28 | 1998-10-26 | 포맨제프리엘 | Distributed File System Web Server User Authentication Using Cookies |
KR20010111413A (en) * | 2000-06-09 | 2001-12-19 | 정규석 | Method of controlling the remote data on the internet |
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101130367B1 (en) * | 2003-12-15 | 2012-03-28 | 마이크로소프트 코포레이션 | System and method for a software distribution service |
WO2005121994A1 (en) * | 2004-06-11 | 2005-12-22 | Nhn Corporation | Method and system for providing secure payment service using cookie information |
KR100732689B1 (en) * | 2005-05-13 | 2007-06-27 | (주)트리니티소프트 | Web Security Method and apparatus therefor |
US8850520B1 (en) * | 2006-12-12 | 2014-09-30 | Google Inc. | Dual cookie security system with interlocking validation requirements and remedial actions to protect personal data |
US7779103B1 (en) | 2006-12-12 | 2010-08-17 | Google Inc. | Dual cookie security system |
US8176163B1 (en) | 2006-12-12 | 2012-05-08 | Google Inc. | Dual cookie security system |
US8943309B1 (en) | 2006-12-12 | 2015-01-27 | Google Inc. | Cookie security system with interloper detection and remedial actions to protest personal data |
KR100944724B1 (en) * | 2007-08-21 | 2010-03-03 | 엔에이치엔비즈니스플랫폼 주식회사 | User authentication system using IP address and method thereof |
US8474030B2 (en) | 2007-08-21 | 2013-06-25 | Nhn Business Platform Corporation | User authentication system using IP address and method thereof |
KR100912504B1 (en) * | 2007-11-26 | 2009-08-17 | 주식회사 다음커뮤니케이션 | Method of providing user login in internet |
KR101048836B1 (en) * | 2009-01-22 | 2011-07-13 | 주식회사 인사이트랩 | Financial service providing system and method using mobile device |
US8302169B1 (en) | 2009-03-06 | 2012-10-30 | Google Inc. | Privacy enhancements for server-side cookies |
WO2013116169A1 (en) * | 2012-02-01 | 2013-08-08 | Microsoft Corporation | Efficiently throttling user authentication |
US8898752B2 (en) | 2012-02-01 | 2014-11-25 | Microsoft Corporation | Efficiently throttling user authentication |
US9098689B2 (en) | 2012-02-01 | 2015-08-04 | Microsoft Technology Licensing, Llc | Efficiently throttling user authentication |
WO2014035220A2 (en) * | 2012-09-03 | 2014-03-06 | 엘지이노텍 주식회사 | Method and system for program authentication |
WO2014035220A3 (en) * | 2012-09-03 | 2014-04-24 | 엘지이노텍 주식회사 | Method and system for program authentication |
US9355243B2 (en) | 2012-09-03 | 2016-05-31 | Lg Innotek Co., Ltd. | Method and system for program authentication |
KR101293178B1 (en) * | 2012-09-11 | 2013-08-12 | 오정원 | System and method for security access using cookie formatted certification information |
KR101358704B1 (en) * | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | Method of authenticating for single sign on |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4864289B2 (en) | Network user authentication system and method | |
US8640202B2 (en) | Synchronizing user sessions in a session environment having multiple web services | |
JP4886508B2 (en) | Method and system for stepping up to certificate-based authentication without interrupting existing SSL sessions | |
EP1645971B1 (en) | Database access control method, database access controller, agent processing server, database access control program, and medium recording the program | |
JP4579546B2 (en) | Method and apparatus for handling user identifier in single sign-on service | |
US8319984B2 (en) | Image forming system, apparatus, and method executing a process designated by a service request after token validation | |
Erdos et al. | Shibboleth architecture draft v05 | |
KR100800339B1 (en) | Method and system for user-determined authentication and single-sign-on in a federated environment | |
US7444666B2 (en) | Multi-domain authorization and authentication | |
US7827318B2 (en) | User enrollment in an e-community | |
CN101331731B (en) | Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider | |
US9143502B2 (en) | Method and system for secure binding register name identifier profile | |
US20020184507A1 (en) | Centralized single sign-on method and system for a client-server environment | |
US20110289553A1 (en) | Policy and attribute based access to a resource | |
US7100045B2 (en) | System, method, and program for ensuring originality | |
KR20030016073A (en) | Method and system for user authertication using cookie in web | |
EP1177494A1 (en) | Method and system for proving membership in a nested group | |
US8095676B2 (en) | Mediating system and method to establish communication session, allowing private information to be protected | |
JP2006031064A (en) | Session management system and management method | |
US9009799B2 (en) | Secure access | |
US20050273596A1 (en) | Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable | |
JP2005267529A (en) | Login authentication method, login authentication system, authentication program, communication program, and storage medium | |
JP2002215585A (en) | Device and method for processing subject name of individual certificate | |
Helmschmidt | Security analysis of the Grant Negotiation and Authorization Protocol | |
EP1631032B1 (en) | policy and attribute-based access to a resource |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
N231 | Notification of change of applicant | ||
A201 | Request for examination | ||
N231 | Notification of change of applicant | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |