KR20030016073A - Method and system for user authertication using cookie in web - Google Patents

Method and system for user authertication using cookie in web Download PDF

Info

Publication number
KR20030016073A
KR20030016073A KR1020010049986A KR20010049986A KR20030016073A KR 20030016073 A KR20030016073 A KR 20030016073A KR 1020010049986 A KR1020010049986 A KR 1020010049986A KR 20010049986 A KR20010049986 A KR 20010049986A KR 20030016073 A KR20030016073 A KR 20030016073A
Authority
KR
South Korea
Prior art keywords
authentication
user
web
client
cookie
Prior art date
Application number
KR1020010049986A
Other languages
Korean (ko)
Inventor
조성구
Original Assignee
엘지전자 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 엘지전자 주식회사 filed Critical 엘지전자 주식회사
Priority to KR1020010049986A priority Critical patent/KR20030016073A/en
Publication of KR20030016073A publication Critical patent/KR20030016073A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication

Abstract

PURPOSE: A method and system for authenticating a user through a cookie on a web is provided to prevent untrue cookie information from being transmitted using a secured cookie for an authenticating process of a user for a web service. CONSTITUTION: A web server(203) supplies a web service for a client(201) connected to the Internet(202). An authentication block(204) performs an authentication process of a client being transmitted from the web server(203) and creates a cookie including a predetermined random number. When an authenticated client requests new web document, an inquiry block(205) checks an authentication using a conventional cookie. A managing block(206) manages authentication information of the client(201) existing on the web server(203). A user information database(207) stores user information of the client(201) on the web server(203). A random number table DB(208) creates and stores random number values. An authentication information DB(208) stores authentication information of an authenticated user.

Description

웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템{Method and system for user authertication using cookie in web}Method and system for user authertication using cookie in web}

본 발명은 웹을 통한 사용자의 인증 요구시 구현이 쉬운 쿠키를 이용하여 보안 기능을 강화하도록 하는 것으로, 특히 사용자 인증이 적당하도록 기존 쿠키의 보안 결함을 보완하여 쿠키의 편리성을 활용하면서 보안을 강화하도록 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템에 관한 것이다.The present invention is to enhance the security function by using a cookie that is easy to implement when the user requires authentication through the web, in particular, to enhance the security while utilizing the convenience of the cookie to compensate for the security flaw of the existing cookie so that the user authentication is appropriate The present invention relates to a user authentication method and an authentication system through a cookie.

인터넷(internet)의 월드 와이드 웹(www)은 컴퓨팅 역사상 가장 성공적인 분산형 애플리케이션이다. 웹(web) 환경에서, 클라이언트(client) 머신은 웹 서버(web server)로의 트랜잭션을 수행할 때, 하이퍼텍스트 마크업 언어(HTML)로서 알려진 표준 페이지 기술(description) 언어를 이용하여 파일(예, 텍스트, 그래픽스, 이미지, 사운드, 비디오, 등)에 대한 사용자 억세스를 제공하는 공지된 애플리케이션프로토콜인 하이퍼텍스트 전송 프로토콜(HTTP)을 이용한다. HTML은 기본적인 문서(document) 포맷팅을 제공하며, 개발자가 다른 서버 및 파일에 대한 링크를 지정할 수 있도록 한다.The World Wide Web (www) on the Internet is the most successful decentralized application in computing history. In a web environment, a client machine uses a standard page description language, known as hypertext markup language (HTML), to perform a transaction with a web server, such as a file (e.g., Hypertext Transfer Protocol (HTTP), a known application protocol that provides user access to text, graphics, images, sound, video, and the like. HTML provides basic document formatting and allows developers to specify links to other servers and files.

도 1은 웹을 통한 클라이언트의 인증 시스템을 나타내기 위한 구성도로서, 웹 브라우저(web browser)(111)를 사용하여 인터넷(102)의 각종 자원을 검색하는 클라이언트(101)와, 인터넷(102)에 접속된 클라이언트(101)의 인증을 수행하고 인증된 클라이언트(101)에 대해 웹 서비스를 제공하는 웹 서버(103)로 구성된다.FIG. 1 is a block diagram illustrating an authentication system of a client through the web. The client 101 retrieves various resources of the Internet 102 using a web browser 111 and the Internet 102. And a web server 103 that performs authentication of the client 101 connected to and provides a web service to the authenticated client 101.

상기와 같이 구성되는 웹을 통한 클라이언트의 인증 시스템에 대하여 도 1을 참조하여 설명하면 다음과 같다.The authentication system of the client through the web configured as described above will be described with reference to FIG. 1 as follows.

먼저, 클라이언트(101) 사용자는 웹 브라우저(111)를 사용하여 인터넷(102)의 각종 자원을 검색하기 위해서, 웹 서비스를 이용하고자 하는 웹 서버(103)에 접속한 후, 자신의 정보 및 아이디(ID)와 비밀번호를 이용하여 회원으로 가입하게 된다.First, a user of the client 101 accesses a web server 103 using a web service to search for various resources of the Internet 102 using a web browser 111, and then uses his or her information and ID ( You will be a member using your ID and password.

이후, 웹 서버(103)는 클라이언트(101)가 웹 서비스를 이용하고자 할 때 사용자 아이디와 비밀번호의 입력을 요청하고, 입력한 아이디와 비밀번호의 사용자정보데이터 베이스(104)에 저장된 사용자정보와의 일치여부를 확인하고, 일치할 경우 인증을 수행하고 일치하지 않으면 연결 거부 또는 웹 서비스를 제공하지 않게 된다.Subsequently, when the client 101 wants to use the web service, the web server 103 requests input of a user ID and password, and matches the user information stored in the user information database 104 of the input ID and password. If it does, it will authenticate, and if it does not match, it will refuse to connect or provide web services.

이와 같이 웹을 통하여 서비스를 제공하기 위해서는 초기에 접속자가 인증된 사용자인지를 확인하고, 지속적으로 인증을 거친 사용자인지를 확인하는 과정이 필요하다.As described above, in order to provide a service through the web, it is necessary to check whether the accessor is an authenticated user at the initial stage and to verify whether the user is continuously authenticated.

이는 웹 서비스의 특성이 비연결성(Connectionless) 서비스이기 때문이다. 즉, 연결성(connection-oriented) 서비스의 경우는 한 번의 인증을 거치면 이후에는 해당 세션이 인증을 거친 것인지를 확인할 필요가 없지만 웹 서비스의 경우는 문서 요청이 있을 때마다 인증을 거친 것인지를 확인해야 한다.This is because the characteristic of a web service is a connectionless service. That is, in the case of connection-oriented services, once authentication is performed, there is no need to check whether the session is authenticated later, but in the case of web services, authentication should be performed every time a document request is made. .

현재 웹을 통한 사용자의 인증 서비스에는 그 구현하는 방식에 따라 몇 가지 방법이 존재한다.Currently, there are several methods of authenticating users through the web, depending on how they are implemented.

첫 번째로 웹 서버 자체에 사용자를 등록하여 HTTP 표준 프로토콜 상의 기능을 통해 인증을 처리하는 방법이 있다. 이러한 웹 서버를 통한 인증은 관리자가 지정한 특정 웹 페이지를 사용자가 보고자 하는 경우에 로그인 창이 출력되고, 로그인 창으로 사용자의 아이디와 비밀번호를 입력을 요청하고, 사용자의 아이디와 비밀번호가 입력되면, 이 정보는 HTTP에 기술된 형식의 데이터로 웹 서버에 전달된다.First, there is a method of registering a user on the web server itself to handle authentication through a function on the HTTP standard protocol. In this web server authentication, when a user wants to view a specific web page designated by the administrator, a login window is output, and the user inputs a user ID and password into the login window. When the user ID and password are input, this information is displayed. Is passed to the web server as data in the format described in HTTP.

그러면, 웹 서버는 상기 정보를 판독하여 사용자 인증 과정을 거쳐, 인증이 완료되면 문서 접근 허가를 통지하고, 만약 인증이 실패하면 접근 불가를 통지한다. 이후에는 계속적으로 HTTP 상의 헤더부에 사용자의 인증정보가 실려 웹 서버로 전달된다.Then, the web server reads the information and goes through a user authentication process, notifies the document access permission if authentication is completed, and notifies access if the authentication fails. After that, the authentication information of the user is continuously loaded on the header part of the HTTP and transmitted to the web server.

두 번째는 쿠키를 이용한 방법으로 사용자가 초기에 아이디와 비밀번호를 입력하면 인증절차를 거쳐 이후에는 특정 내용의 쿠키를 통하여 이루어진 것으로 간주하는 방법이 있다. 이러한 쿠키를 이용하는 방법은 사용자의 아이디와 비밀번호를 입력받아 웹 서버로 전달하고, 인증을 거쳐 인증이 성공하면 웹 서버는 사용자의 아이디나 비밀번호를 쿠키로 작성하여 클라이언트의 웹 브라우저로 전달하고, 클라이언트의 웹 브라우저는 다음 문서 요청시부터 이 쿠키 정보를 항상 함께 발송하게 된다. 그러면 웹 서버는 쿠키 정보에 따라서 사용자가 인증 절차를 거친 것으로 간주하고 서비스를 제공하게 된다.The second method uses cookies. When a user enters an ID and password at first, the authentication process is performed. Thereafter, a cookie is regarded as being made through a specific content cookie. In this method, the user's ID and password are input to the web server. If the authentication is successful, the web server writes the user's ID or password as a cookie and sends it to the client's web browser. The web browser will always send this cookie information from the next document request. The web server then assumes that the user has authenticated based on the cookie information and provides the service.

여기서, 쿠키(Cookie)는 웹 서버에 의해 웹 브라우저로 보낸 정보의 일부분으로, 브라우저는 이 정보를 저장했다가 웹 서버로 추가 요청을 할 때마다 웹 서버로 되돌려 보내게 되는 문자열 정보이다.Here, a cookie is a part of information sent to a web browser by a web server, and the browser stores string information and sends it back to the web server whenever an additional request is made to the web server.

세 번째는 제 3의 인증기관을 거친 인증서를 바탕으로 인증절차를 거치고 보안 세션을 만들어 이를 통해 서비스를 제공하는 방법이 있다. 이러한 인증서와 보안 세션을 사용하는 방법은 사용자가 로그인시에 제 3의 인증기관에서 제공한 인증서를 통해 아이디와 비밀번호를 입력하고, 이 정보가 보안 세션을 통해 웹 서버로전달된다. 인증이 성공하면 계속적으로 보안세션을 통해서 사용자는 서비스를 받게 된다.Third, there is a method of providing a service through the authentication process and creating a secure session based on a certificate through a third-party certification authority. In this method of using a certificate and secure session, the user enters an ID and password through a certificate provided by a third-party certification authority at login, and this information is passed to the web server via a secure session. If the authentication succeeds, the user will continue to receive services through the secure session.

그러나, 종래의 첫 번째 방식은, 헤더부에 인증정보가 실려 있으므로, 중간에 패킷을 가로챌 경우 사용자의 아이디와 비밀번호가 누출될 수 있는 문제가 있다.However, in the first method of the related art, since authentication information is included in the header part, the ID and password of the user may leak when intercepting a packet in the middle.

그리고, 두 번째 방식도 쿠키 정보를 주고 받기 때문에 쿠키 정보를 중간에 가로채면 인증을 거치지 않고도 마치 인증을 통과한 것과 같은 효과를 얻을 수 있는 등 보안 상의 문제가 발생한다.In addition, since the second method also sends and receives cookie information, security problems occur such that intercepting cookie information in the middle can achieve the same effect as passing authentication without authentication.

그리고, 세 번째의 방식과 같이 제 3의 인증기관을 거치면, 철저한 보안을 제공할 수 있으나 제 3의 인증기관에 인증 서비스를 의뢰할 경우 제 3의 인증기관과 협조 및 관련 시스템 구축등의 구현의 복잡성과 높은 비용이 발생하게 되는 문제가 있다.And, like the third method, if a third certification authority is used, thorough security can be provided, but when requesting authentication service to a third certification authority, cooperation with a third certification authority and implementation of related systems There is a problem of complexity and high cost.

본 발명은 상기한 종래의 문제점을 해결하기 위해 안출된 것으로서, 웹 서비스를 위한 사용자의 인증 처리를 하기 위해 보안이 강화된 쿠키를 사용하여 허위의 쿠키 정보가 전달되는 문제를 제거하고자 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템을 제공함에 그 목적이 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned conventional problem, and a cookie on a web which attempts to eliminate a problem in which false cookie information is transmitted by using a security-enhanced cookie to process authentication of a user for a web service. Its purpose is to provide a user authentication method and an authentication system.

본 발명의 목적은 사용자의 인증 절차시에 단순히 인증을 거친 사용자의 아이디 값 만큼 쿠키에 저장하지 않고 웹 서버에서 할당하는 난수값을 함께 저장함으로써, 서버 인증을 제대로 거치지 않은 쿠키 정보를 거부 및 조작된 쿠키 정보를판정하여 웹 문서 접근 권한을 거부할 수 있도록 한 웹 상에서 쿠키를 통한 사용자 인증 방법 및 인증 시스템을 제공함에 그 목적이 있다.An object of the present invention is to reject and manipulate cookie information that has not been properly authenticated by storing a random number assigned by a web server instead of storing it in a cookie as much as an ID value of an authenticated user. The object of the present invention is to provide a user authentication method and an authentication system through cookies on the web, which can deny access to web documents by determining cookie information.

도 1은 웹 서비스를 위한 클라이언트 및 웹 서버를 나타낸 구성도.1 is a diagram illustrating a client and a web server for a web service.

도 2는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 시스템을 나타낸 구성도.2 is a block diagram showing a user authentication system through a cookie on the web according to an embodiment of the present invention.

도 3은 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 방법을 나타낸 플로우 챠트.3 is a flow chart showing a user authentication method via a cookie on the web according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

101,201...클라이언트102,202...인터넷101,201 ... Client 102,202 ... Internet

103,203...웹 서버104,207...사용자정보 DB103,203 ... Web server 104,207 ... User information DB

111,211...웹 브라우저204...인증블록111,211 Web browser 204 Authentication block

205...조회블록206...관리블록205 ... Query block 206 ... Administrative block

208...난수표 저장부209...인증정보 저장부208 ... Random check storage 209 ... Authentication information storage

상기한 목적 달성을 위한, 본 발명에 따른 웹 상에서 쿠키를 통한 사용자 인증 방법은,In order to achieve the above object, a user authentication method via a cookie on the web according to the present invention,

클라이언트의 로그인시 웹 서버로부터 사용자정보를 전달받은 인증블록이 사용자정보 데이터베이스와 비교한 후, 유효한 사용자정보인지를 확인하는 단계;Comparing the authentication block received from the web server with the user information database when the client logs in, and confirming whether the authentication block is valid user information;

상기 확인결과 유효한 사용자정보이면 임의의 난수값을 가져와서 사용자정보와 난수값이 포함된 쿠키값을 생성하고 클라이언트의 웹 브라우저로 전송 및, 인증정보 저장부에 상기 사용자 정보, 난수값, 로그인 시각을 저장하는 단계;If the verification result is valid user information, a random random value is taken to generate a cookie value including the user information and the random number and transmitted to the client's web browser, and the user information, random number value, and login time are stored in the authentication information storage unit. Storing;

상기 클라이언트로부터 새로운 웹 문서를 요청시 전달되는 쿠키값으로부터 사용자정보와 난수값을 읽어, 인증정보 저장부에 인증정보가 존재하는지를 확인하는 단계;Reading user information and a random number from a cookie value delivered when a new web document is requested from the client, and checking whether authentication information exists in an authentication information storage unit;

상기 인증정보 저장부에 사용자정보와 난수값이 존재할 경우 요청한 웹 문서 내용을 웹 브라우저로 전달하고, 인증정보에 존재하지 않을 경우 웹 문서 접근을 거부하는 단계를 포함하는 것을 특징으로 한다.And transmitting the requested web document content to the web browser if the user information and the random number exist in the authentication information storage unit, and denying access to the web document if the authentication information storage unit does not exist in the authentication information.

바람직하게, 상기 클라이언트에서 로그 아웃을 요청하면 관리블록이 인증정보 저장부에 기록된 사용자정보와 난수 값에 맞는 인증정보를 삭제하는 단계를 포함하는 것을 특징으로 한다.Preferably, when the client requests a logout, the management block may include deleting user information recorded in the authentication information storage unit and authentication information corresponding to a random number.

바람직하게, 상기 새로운 웹 문서 요청시 최근 접속시각을 갱신 및 일정 시간 동안의 웹 문서 요청이 없을 때 사용자의 인증정보를 삭제하는 것을 특징으로 한다.Preferably, when the new web document request, the latest connection time is updated and the authentication information of the user is deleted when there is no web document request for a predetermined time.

상세하게, 상기 인증블록이 클라이언트의 IP 주소를 인증정보 데이터베이스에 기록하고, 그 기록된 인증정보 데이터베이스의 사용자 IP 주소와 클라이언트의 요청시의 IP 주소를 비교하여, 웹 문서로의 접근 여부를 결정하는 것을 특징으로 한다.In detail, the authentication block records the IP address of the client in the authentication information database, and compares the user IP address of the recorded authentication information database with the IP address at the request of the client to determine whether to access a web document. It is characterized by.

본 발명 실시 예에 따른 웹 상의 쿠키를 통한 사용자의 인증 시스템은, 인터넷에 접속한 클라이언트에 웹 서비스를 제공하기 위한 웹 서버와; 상기 웹 서버로부터 전달되는 클라이언트의 인증 처리 및 임의의 난수값이 포함된 쿠키를 생성하는 인증블록과; 인증된 클라이언트의 새로운 웹 문서 요청시 기존의 쿠키를 이용하여 인증확인하는 조회블록과; 상기 웹 서버 상에서 존재하는 클라이언트의 인증정보를 관리하는 관리블록과; 상기 웹 서버 상에서 클라이언트의 사용자정보를 저장하는 사용자정보 데이터 베이스, 난수값을 미리 생성하여 저장하고 있는 난수표 저장부 및, 인증이 완료된 사용자 인증정보를 저장하는 인증정보 저장부를 포함하는 것을 특징으로 한다.A system for authenticating a user through cookies on the web according to an embodiment of the present invention includes a web server for providing a web service to a client connected to the Internet; An authentication block for generating a cookie including an authentication process of the client and an arbitrary random value transmitted from the web server; An inquiry block which authenticates using an existing cookie when requesting a new web document of an authenticated client; A management block for managing authentication information of a client existing on the web server; And a random number table storage unit for generating and storing random number values in advance, and an authentication information storage unit for storing user authentication information for which authentication has been completed.

그리고, 상기 인증블록은 유효한 사용자정보와 난수표 저장부에 저장된 임의의 난수값으로 쿠키를 생성하는 것을 특징으로 한다.The authentication block may generate a cookie with valid user information and a random random value stored in the random number storage.

그리고, 상기 인증정보 저장부는 인증블록으로부터 인증절차를 완료한 사용자정보와 난수값, 로그인 시각, 최종 접속시각, 클라이언트의 IP 주소를 각각 포함하는 것을 특징으로 한다.The authentication information storage unit may include user information, a random number value, a login time, a final access time, and an IP address of the client, which have completed the authentication procedure from the authentication block.

이하 첨부된 도면을 참조하여 설명하면 다음과 같다.Hereinafter, with reference to the accompanying drawings as follows.

도 2는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 시스템을 나탄내 구성도이고, 도 3은 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자의 인증 방법을 나타낸 흐름도이다.2 is a block diagram illustrating a user authentication system through cookies on the web according to an embodiment of the present invention, and FIG. 3 is a flowchart illustrating a user authentication method through cookies on the web according to an embodiment of the present invention.

먼저, 웹 브라우저(211)를 이용하여 웹 서비스를 제공받는 클라이언트(201)와; 인터넷(202)에 접속된 클라이언트(201)로부터 인증정보를 요청한 후 입력되는 인증정보에 따라 웹 페이지의 서비스 여부를 전달하는 웹 서버(203)와; 웹 서버(203)로부터 사용자 인증정보를 전달받아 사용자 인증처리 및 쿠키를 생성하는 인증블록(204)과; 인증절차가 완료된 사용자가 다른 웹 문서 요청시 기존의 쿠키값을 이용하여 인증확인을 하는 조회블록(205)과; 웹 서버 상에서 존재하는 인증정보를 관리하는 관리블록(206) 및, 사용자정보를 저장하는 사용자정보 데이터베이스(DB)(207), 보안기능 강화를 위해 웹 서버(203)에서 할당하기 위한 난수값을 미리 생성하고 보관하는 난수표 저장부(208), 인증 결과에 따른 사용자 인증정보를 저장한 인증정보 저장부(209)로 구성된다.First, a client 201 receiving a web service using a web browser 211; A web server 203 for requesting authentication information from a client 201 connected to the Internet 202 and delivering a web page according to the input authentication information; An authentication block 204 which receives the user authentication information from the web server 203 and generates a user authentication process and a cookie; An inquiry block 205 for verifying an authentication using an existing cookie value when a user who has completed an authentication process requests another web document; A management block 206 for managing authentication information existing on a web server, a user information database (DB) 207 for storing user information, and a random number value to be assigned by the web server 203 for enhanced security function in advance The random number storage unit 208 generates and stores the authentication information storage unit 209 storing user authentication information according to the authentication result.

상기와 같이 구성되는 본 발명 실시 예에 따른 웹 상에서 쿠키를 통한 사용자 인증 시스템 및 방법에 대하여 첨부된 도면을 참조하여 설명하면 다음과 같다.Referring to the accompanying drawings, a system and method for authenticating a user through cookies on the web according to an exemplary embodiment of the present invention as described above will be described.

도 2 및 도 3을 참조하면, 클라이언트(201)는 자신의 웹 브라우저(211)를 이용하여 인터넷(202) 상의 웹 서버(203)로 접속하고, 웹 서버(203)의 사용자 인증 요청시 사용자 아이디와 비밀번호를 입력하게 된다.2 and 3, the client 201 connects to the web server 203 on the Internet 202 using its web browser 211, and a user ID when a user authentication request of the web server 203 is requested. And password.

상기 웹 서버(203)는 사용자 아이디와 비밀번호를 전달받아 인증블록(204)으로 전달하며(S301), 인증블록(204)은 사용자 아이디와 비밀번호를 사용자정보 데이터베이스(207)에 조회하여, 유효한 것인지를 확인하게 된다(S302).The web server 203 receives the user ID and password and passes it to the authentication block 204 (S301), the authentication block 204 queries the user ID and password to the user information database 207, and whether it is valid. It is confirmed (S302).

인증블록(204)의 조회결과 유효하지 않는 사용자정보이면 웹 문서 접근을 거부하고, 유효한 사용자정보일 경우에는 난수표 저장부(208)로부터 임의의 난수값을 가져오게 된다(S303).If the verification result of the authentication block 204 is invalid user information, access to the web document is rejected, and if valid user information is obtained, a random random value is taken from the random number storage unit 208 (S303).

이때, 인증블록(204)은 유효한 사용자 아이디와, 난수값, 그리고 로그인 시각을 인증정보 저장부(209)에 저장하고(S304), 상기 사용자 아이디와 난수값이 포함된 쿠키를 생성하여 웹 서버(203)로 전달하고(S305), 웹 서버(203)는 인증블록(204)에서 전달받은 쿠키를 인터넷을 통해 클라이언트(201)의 웹 브라우저(211)로 전달하게 된다.In this case, the authentication block 204 stores a valid user ID, a random value, and a login time in the authentication information storage unit 209 (S304), and generates a cookie including the user ID and the random number to generate a web server ( 203 and the web server 203 transmits the cookie received from the authentication block 204 to the web browser 211 of the client 201 through the Internet.

그리고, 인증 절차를 받은 클라이언트(201)로부터의 새로운 웹 문서 요청시 상기 웹 브라우저(211)로부터 쿠키값이 웹 서버(203)에 전송되면, 웹 서버(203)는 쿠키값을 조회블록(205)에 전달하고(S306), 조회블록(205)은 상기 쿠키값으로부터 사용자 아이디와 난수값을 읽어 인증정보 저장부(209)에 상기 저장된 사용자 아이디와 난수값이 존재하는 지를 조회하게 된다(S307).If a cookie value is transmitted from the web browser 211 to the web server 203 when a new web document is requested from the client 201 that has received the authentication procedure, the web server 203 returns the cookie value to the inquiry block 205. In step S306, the inquiry block 205 reads the user ID and the random number from the cookie value and inquires whether the stored user ID and the random number exist in the authentication information storage unit 209 (S307).

상기 조회블록(205)는 인증정보 저장부(209)에 사용자 아이디와 쿠키값이 존재하면 인증정보 저장부(209)의 최근 접속시각을 현재 시각으로 수정하고, 웹 서버(203)는 클라이언트(201)에서 요청한 웹 문서 내용을 웹 브라우저(211)로 전달한다. 그러나 사용자 아이디와 난수값이 존재하지 않을 경우 상기 클라이언트(201)의 웹 문서 접근을 거부하게 된다.If the user ID and the cookie value exist in the authentication information storage unit 209, the inquiry block 205 modifies the latest connection time of the authentication information storage unit 209 to the current time, and the web server 203 is the client 201. ) Transmits the requested web document content to the web browser 211. However, if the user ID and the random number do not exist, the client 201 denies access to the web document.

이후, 클라이언트(201)에서 로그아웃을 요청하면 웹 서버(203)에서 이를 수신하고 관리블록(206)에 쿠키값(아이디, 난수값)을 전달하며(S308), 관리블록(206)은 이를 받아 쿠키값에 기록된 사용자 아이디와 난수값에 맞는 인증정보를 인증정보 저장부(209)에서 삭제해 준다(S309).Thereafter, when the client 201 requests the logout, the web server 203 receives the request and transmits the cookie value (ID, random number value) to the management block 206 (S308), and the management block 206 receives the request. The authentication information corresponding to the user ID and the random number recorded in the cookie value is deleted from the authentication information storage unit 209 (S309).

한편, 관리블록(206)은 주기적으로 인증정보 저장부(209)의 인증정보를 확인하여 최근 접속시각이 일정 시간 경과된 인증정보를 삭제한다. 이러한 경우 사용자는 인증절차를 다시 수행하여야 한다.On the other hand, the management block 206 periodically checks the authentication information of the authentication information storage unit 209 and deletes the authentication information that has elapsed a predetermined time since the latest connection time. In this case, the user must perform the authentication procedure again.

보안을 더욱 강화하고자 하는 경우에는 인증정보에 사용자의 IP 주소를 기록하여 매 접속시마다 요청을 한 클라이언트(201)의 IP 주소가 인증정보 상의 IP 주소와 일치하는 지를 확인하게 된다. 즉, 인증정보 저장부(209)에는 사용자 아이디, 난수값, 로그인 시각, 최근 접속 시각, 사용자 IP 주소를 저장하고 인증 요청시 상기 아이디와 난수값 등을 조회 블록(205)에 전달해 준다.In order to further enhance the security, the user's IP address is recorded in the authentication information to check whether the IP address of the client 201 making a request at every connection matches the IP address in the authentication information. That is, the authentication information storage unit 209 stores a user ID, a random number value, a login time, a recent access time, a user IP address, and transmits the ID and the random number value to the inquiry block 205 when the authentication request is made.

사용자의 인증절차시에 단순히 인증을 거친 사용자 아이디와 함께 난수값을 쿠키에 저장함으로써, 서버 인증을 제대로 거치지 않는 쿠키 정보를 거부할 수 있다. 즉, 임의의 쿠키값을 생성하여 마치 사용자 인증을 거친 것과 같이 조작된 쿠키 정보는 거짓 여부를 판정하여 웹 문서 접근 권한을 거부한다. 그리고, 불특정 지역으로부터의 다중 접속에 대해서도 선택적으로 거부할 수 있다.By simply storing a random number with a user ID that has been authenticated in the cookie during the authentication process of the user, cookie information that is not properly authenticated can be rejected. That is, the cookie information that is manipulated as if the user cookie is generated by generating a random cookie value is judged to be false and denies access to the web document. It is also possible to selectively reject multiple connections from unspecified areas.

또한, 보안을 더욱 강화시켜 주기 위해서, 인증정보 저장부(209)에 클라이언트(201)의 IP주소를 기록하고, 매 접속시마다 요청을 한 클라이언트(201)의 IP 주소가 인증정보 상의 IP주소와 일치하는지를 확인할 수 있어, 웹 문서로의 접근 및거부를 통해서 보안을 강화시켜 줄 수 있다.In addition, to further enhance security, the IP address of the client 201 is recorded in the authentication information storage unit 209, and the IP address of the client 201 that makes a request at every connection matches the IP address in the authentication information. It can be secured by accessing or denying web documents.

이상에서 설명한 바와 같이, 본 발명에 따른 웹 상에서 쿠키를 통한 사용자 인증방법에 의하면, 클라이언트로부터 인증 요청시 사용자정보 데이터베이스로부터 사용자정보에 대해 인증 확인을 한 후, 유효한 사용자정보에 대해 임의의 난수값을 포함하는 쿠키값을 생성하여 웹 브라우저로 전송하고, 새로운 웹 문서 요청시의 상기의 쿠키값의 비교를 통해서 웹 서비스를 수행함으로써, 쿠키값을 조작하여 불순하게 서버에 접근하고자 하는 의도를 방지할 수 있으며, 또한 비 연속적인 서비스를 제공하는 웹 서비스 상에서 현재 접속한 사용자의 정보를 관리할 수 있는 잇점이 있다.As described above, according to the user authentication method through a cookie on the web according to the present invention, after authentication verification of the user information from the user information database when the authentication request from the client, random random values for valid user information By generating a cookie value to be included and sending it to a web browser, and performing a web service by comparing the cookie value when requesting a new web document, it is possible to prevent the intention of manipulating the cookie value to access the server in an impure manner. In addition, there is an advantage that can manage the information of the currently connected user on the web service providing a non-continuous service.

그리고, 보안 기능이 강화된 쿠키를 통한 사용자의 인증으로, 쿠키를 이용하는 경우의 편의성을 그대로 유지함과 아울러, 기존 방식의 보안에 대한 취약성을 최대한 보완하는 효과가 있다.In addition, by authenticating the user through a cookie with enhanced security, the convenience of using the cookie is maintained as it is, and the vulnerability to the security of the existing method is maximized.

Claims (7)

클라이언트의 로그인시 웹 서버로부터 사용자정보를 전달받은 인증블록이 사용자정보 데이터베이스와 비교한 후, 유효한 사용자정보인지를 확인하는 단계;Comparing the authentication block received from the web server with the user information database when the client logs in, and confirming whether the authentication block is valid user information; 상기 확인결과 유효한 사용자정보이면 임의의 난수값을 가져와서 사용자정보와 난수값이 포함된 쿠키값을 생성하고 클라이언트의 웹 브라우저로 전송 및, 인증정보 저장부에 상기의 사용자정보 및 난수값, 로그인 시각을 저장하는 단계;If the verification result is valid user information, a random random value is taken to generate a cookie value including the user information and the random number value and transmitted to the client's web browser, and the user information, random number value, and login time are stored in the authentication information storage unit. Storing the; 상기 클라이언트로부터 새로운 웹 문서를 요청시 전달되는 쿠키값으로부터 사용자정보와 난수값을 읽어, 인증정보 저장부에 인증정보가 존재하는지를 확인하는 단계;Reading user information and a random number from a cookie value delivered when a new web document is requested from the client, and checking whether authentication information exists in an authentication information storage unit; 상기 인증정보 저장부에 사용자정보와 난수값이 존재할 경우 요청한 웹 문서 내용을 웹 브라우저로 전달하고, 인증정보에 존재하지 않을 경우 웹 문서 접근을 거부하는 단계를 포함하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증방법.And transmitting the requested web document content to the web browser if the user information and the random number exist in the authentication information storage unit, and denying access to the web document if the authentication information storage unit does not exist in the authentication information. User Authentication Method. 제 1항에 있어서,The method of claim 1, 상기 클라이언트에서 로그 아웃을 요청하면 관리블록이 인증정보 저장부에 기록된 사용자정보와 난수 값에 맞는 인증정보를 삭제하는 단계를 포함하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증방법.And a management block deleting the user information recorded in the authentication information storage unit and the authentication information corresponding to the random number when the client requests a logout request. 제 1항에 있어서,The method of claim 1, 상기 새로운 웹 문서 요청시 최근 접속시각을 갱신 및 일정 시간 동안의 웹 문서 요청이 없을 때 사용자의 인증정보를 삭제하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증방법.The user authentication method through a cookie on the web, characterized in that for updating the latest access time when the new web document request and deletes the user's authentication information when there is no web document request for a certain time. 제 1항에 있어서,The method of claim 1, 상기 인증블록이 클라이언트의 IP 주소를 인증정보 데이터베이스에 기록하고, 그 기록된 인증정보 데이터베이스의 사용자 IP 주소와 클라이언트의 요청시의 IP 주소를 비교하여, 웹 문서로의 접근 여부를 결정하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증방법.The authentication block records the IP address of the client in the authentication information database, and compares the user IP address of the recorded authentication information database with the IP address at the request of the client, and determines whether to access the web document. User authentication via cookies on the web. 인터넷에 접속한 클라이언트에 웹 서비스를 제공하기 위한 웹 서버와;A web server for providing a web service to a client connected to the Internet; 상기 웹 서버로부터 전달되는 클라이언트의 인증 처리 및 임의의 난수값이 포함된 쿠키를 생성하는 인증블록과;An authentication block for generating a cookie including an authentication process of the client and an arbitrary random value transmitted from the web server; 인증된 클라이언트의 새로운 웹 문서 요청시 기존의 쿠키를 이용하여 인증확인하는 조회블록과;An inquiry block which authenticates using an existing cookie when requesting a new web document of an authenticated client; 상기 웹 서버 상에서 존재하는 클라이언트의 인증정보를 관리하는 관리블록과;A management block for managing authentication information of a client existing on the web server; 상기 웹 서버 상에서 클라이언트의 사용자정보를 저장하는 사용자정보 데이터 베이스, 난수값을 생성하여 저장하고 있는 난수표 저장부 및, 인증이 완료된 사용자 인증정보를 저장하는 인증정보 저장부를 포함하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증 시스템.On the web, characterized in that it comprises a user information database for storing the user information of the client on the web server, a random number storage unit for generating and storing a random number value, and an authentication information storage unit for storing the user authentication information has been authenticated User Authentication System via Cookies. 제 5항에 있어서,The method of claim 5, 상기 인증블록은 유효한 사용자정보와 난수표 저장부에 저장된 임의의 난수값으로 쿠키를 생성하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증 시스템.The authentication block is a user authentication system via a cookie on the web, characterized in that for generating a cookie with a valid user information and a random number stored in the random number storage unit. 제 5항에 있어서,The method of claim 5, 상기 인증정보 저장부는 인증블록으로부터 인증절차를 완료한 사용자정보와 난수값, 로그인 시각, 최종 접속시각, 클라이언트의 IP 주소를 각각 포함하는 것을 특징으로 하는 웹 상에서 쿠키를 통한 사용자 인증 시스템.The authentication information storage unit comprises a user information that completes the authentication procedure from the authentication block, a random number value, login time, the last access time, the user authentication system via a cookie on the web, characterized in that each of the IP address.
KR1020010049986A 2001-08-20 2001-08-20 Method and system for user authertication using cookie in web KR20030016073A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010049986A KR20030016073A (en) 2001-08-20 2001-08-20 Method and system for user authertication using cookie in web

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010049986A KR20030016073A (en) 2001-08-20 2001-08-20 Method and system for user authertication using cookie in web

Publications (1)

Publication Number Publication Date
KR20030016073A true KR20030016073A (en) 2003-02-26

Family

ID=27719802

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010049986A KR20030016073A (en) 2001-08-20 2001-08-20 Method and system for user authertication using cookie in web

Country Status (1)

Country Link
KR (1) KR20030016073A (en)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005121994A1 (en) * 2004-06-11 2005-12-22 Nhn Corporation Method and system for providing secure payment service using cookie information
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web Security Method and apparatus therefor
KR100912504B1 (en) * 2007-11-26 2009-08-17 주식회사 다음커뮤니케이션 Method of providing user login in internet
KR100944724B1 (en) * 2007-08-21 2010-03-03 엔에이치엔비즈니스플랫폼 주식회사 User authentication system using IP address and method thereof
US7779103B1 (en) 2006-12-12 2010-08-17 Google Inc. Dual cookie security system
KR101048836B1 (en) * 2009-01-22 2011-07-13 주식회사 인사이트랩 Financial service providing system and method using mobile device
KR101130367B1 (en) * 2003-12-15 2012-03-28 마이크로소프트 코포레이션 System and method for a software distribution service
US8302169B1 (en) 2009-03-06 2012-10-30 Google Inc. Privacy enhancements for server-side cookies
WO2013116169A1 (en) * 2012-02-01 2013-08-08 Microsoft Corporation Efficiently throttling user authentication
KR101293178B1 (en) * 2012-09-11 2013-08-12 오정원 System and method for security access using cookie formatted certification information
KR101358704B1 (en) * 2012-12-20 2014-02-13 라온시큐어(주) Method of authenticating for single sign on
WO2014035220A2 (en) * 2012-09-03 2014-03-06 엘지이노텍 주식회사 Method and system for program authentication
US8850520B1 (en) * 2006-12-12 2014-09-30 Google Inc. Dual cookie security system with interlocking validation requirements and remedial actions to protect personal data
US8943309B1 (en) 2006-12-12 2015-01-27 Google Inc. Cookie security system with interloper detection and remedial actions to protest personal data

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10257048A (en) * 1997-01-28 1998-09-25 Internatl Business Mach Corp <Ibm> Authentication for distributed file system web server user by cookie
KR20010111413A (en) * 2000-06-09 2001-12-19 정규석 Method of controlling the remote data on the internet

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10257048A (en) * 1997-01-28 1998-09-25 Internatl Business Mach Corp <Ibm> Authentication for distributed file system web server user by cookie
KR19980070202A (en) * 1997-01-28 1998-10-26 포맨제프리엘 Distributed File System Web Server User Authentication Using Cookies
KR20010111413A (en) * 2000-06-09 2001-12-19 정규석 Method of controlling the remote data on the internet

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101130367B1 (en) * 2003-12-15 2012-03-28 마이크로소프트 코포레이션 System and method for a software distribution service
WO2005121994A1 (en) * 2004-06-11 2005-12-22 Nhn Corporation Method and system for providing secure payment service using cookie information
KR100732689B1 (en) * 2005-05-13 2007-06-27 (주)트리니티소프트 Web Security Method and apparatus therefor
US8850520B1 (en) * 2006-12-12 2014-09-30 Google Inc. Dual cookie security system with interlocking validation requirements and remedial actions to protect personal data
US7779103B1 (en) 2006-12-12 2010-08-17 Google Inc. Dual cookie security system
US8176163B1 (en) 2006-12-12 2012-05-08 Google Inc. Dual cookie security system
US8943309B1 (en) 2006-12-12 2015-01-27 Google Inc. Cookie security system with interloper detection and remedial actions to protest personal data
KR100944724B1 (en) * 2007-08-21 2010-03-03 엔에이치엔비즈니스플랫폼 주식회사 User authentication system using IP address and method thereof
US8474030B2 (en) 2007-08-21 2013-06-25 Nhn Business Platform Corporation User authentication system using IP address and method thereof
KR100912504B1 (en) * 2007-11-26 2009-08-17 주식회사 다음커뮤니케이션 Method of providing user login in internet
KR101048836B1 (en) * 2009-01-22 2011-07-13 주식회사 인사이트랩 Financial service providing system and method using mobile device
US8302169B1 (en) 2009-03-06 2012-10-30 Google Inc. Privacy enhancements for server-side cookies
WO2013116169A1 (en) * 2012-02-01 2013-08-08 Microsoft Corporation Efficiently throttling user authentication
US8898752B2 (en) 2012-02-01 2014-11-25 Microsoft Corporation Efficiently throttling user authentication
US9098689B2 (en) 2012-02-01 2015-08-04 Microsoft Technology Licensing, Llc Efficiently throttling user authentication
WO2014035220A2 (en) * 2012-09-03 2014-03-06 엘지이노텍 주식회사 Method and system for program authentication
WO2014035220A3 (en) * 2012-09-03 2014-04-24 엘지이노텍 주식회사 Method and system for program authentication
US9355243B2 (en) 2012-09-03 2016-05-31 Lg Innotek Co., Ltd. Method and system for program authentication
KR101293178B1 (en) * 2012-09-11 2013-08-12 오정원 System and method for security access using cookie formatted certification information
KR101358704B1 (en) * 2012-12-20 2014-02-13 라온시큐어(주) Method of authenticating for single sign on

Similar Documents

Publication Publication Date Title
JP4864289B2 (en) Network user authentication system and method
US8640202B2 (en) Synchronizing user sessions in a session environment having multiple web services
JP4886508B2 (en) Method and system for stepping up to certificate-based authentication without interrupting existing SSL sessions
EP1645971B1 (en) Database access control method, database access controller, agent processing server, database access control program, and medium recording the program
JP4579546B2 (en) Method and apparatus for handling user identifier in single sign-on service
US8319984B2 (en) Image forming system, apparatus, and method executing a process designated by a service request after token validation
Erdos et al. Shibboleth architecture draft v05
KR100800339B1 (en) Method and system for user-determined authentication and single-sign-on in a federated environment
US7444666B2 (en) Multi-domain authorization and authentication
US7827318B2 (en) User enrollment in an e-community
CN101331731B (en) Method, apparatus and program products for custom authentication of a principal in a federation by an identity provider
US9143502B2 (en) Method and system for secure binding register name identifier profile
US20020184507A1 (en) Centralized single sign-on method and system for a client-server environment
US20110289553A1 (en) Policy and attribute based access to a resource
US7100045B2 (en) System, method, and program for ensuring originality
KR20030016073A (en) Method and system for user authertication using cookie in web
EP1177494A1 (en) Method and system for proving membership in a nested group
US8095676B2 (en) Mediating system and method to establish communication session, allowing private information to be protected
JP2006031064A (en) Session management system and management method
US9009799B2 (en) Secure access
US20050273596A1 (en) Architecture and design for central authentication and authorization in an on-demand utility environment using a secured global hashtable
JP2005267529A (en) Login authentication method, login authentication system, authentication program, communication program, and storage medium
JP2002215585A (en) Device and method for processing subject name of individual certificate
Helmschmidt Security analysis of the Grant Negotiation and Authorization Protocol
EP1631032B1 (en) policy and attribute-based access to a resource

Legal Events

Date Code Title Description
N231 Notification of change of applicant
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E601 Decision to refuse application