KR100954669B1 - Authentication/authorization apparatus and method using internet users' credentials encryption - Google Patents

Authentication/authorization apparatus and method using internet users' credentials encryption Download PDF

Info

Publication number
KR100954669B1
KR100954669B1 KR1020020079289A KR20020079289A KR100954669B1 KR 100954669 B1 KR100954669 B1 KR 100954669B1 KR 1020020079289 A KR1020020079289 A KR 1020020079289A KR 20020079289 A KR20020079289 A KR 20020079289A KR 100954669 B1 KR100954669 B1 KR 100954669B1
Authority
KR
South Korea
Prior art keywords
user
authentication
information
certificate
authority
Prior art date
Application number
KR1020020079289A
Other languages
Korean (ko)
Other versions
KR20040051368A (en
Inventor
이철민
Original Assignee
주식회사 케이티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티 filed Critical 주식회사 케이티
Priority to KR1020020079289A priority Critical patent/KR100954669B1/en
Publication of KR20040051368A publication Critical patent/KR20040051368A/en
Application granted granted Critical
Publication of KR100954669B1 publication Critical patent/KR100954669B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2119Authenticating web pages, e.g. with suspicious links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야1. TECHNICAL FIELD OF THE INVENTION

본 발명은 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 장치 및 그 방법에 관한 것임.The present invention relates to an authentication / authorization processing apparatus and method through encryption of Internet user certificate.

2. 발명이 해결하려고 하는 기술적 과제2. The technical problem to be solved by the invention

본 발명은, 사용자의 인증 처리와 함께 권한정보를 사용자 단말기에 전달되는 인증 증명서에 포함시켜 인증 확인과 권한 제어를 동시에 처리하기 위한 인증/권한 처리 장치 및 그 방법을 제공하고자 함.An object of the present invention is to provide an authentication / authorization processing apparatus and method for simultaneously performing authentication confirmation and authority control by including authorization information in an authentication certificate delivered to a user terminal together with user authentication processing.

3. 발명의 해결방법의 요지 3. Summary of Solution to Invention

본 발명은, 인증/권한 처리 장치에 적용되는 인증/권한 처리 방법에 있어서, 로그인하는 사용자에 대한 권한정보를 포함하는 사용자정보를 수집하고, 인증키를 생성하는 제 1 단계; 상기 생성된 인증키와 상기 사용자정보를 묶어 암호화하여 인증 증명서를 생성한 후 사용자에게 발급하는 제 2 단계; 발급되어 서비스 요청시 전달되는 상기 인증 증명서를 복호화하여 인증키와 사용자정보를 추출하는 제 3 단계; 및 유효한 인증키에 대해, 사용자의 권한정보를 바탕으로 권한에 따른 서비스 제공을 제어하는 제 4 단계를 포함함.The present invention provides an authentication / authorization processing method applied to an authentication / authorization processing apparatus, comprising: a first step of collecting user information including authorization information of a user logging in, and generating an authentication key; A second step of generating an authentication certificate by encrypting the generated authentication key and the user information and encrypting the generated authentication key; A third step of extracting an authentication key and user information by decrypting the authentication certificate issued and delivered when a service request is made; And a fourth step of controlling service provision according to the authority based on the authority information of the user with respect to the valid authentication key.

4. 발명의 중요한 용도4. Important uses of the invention

본 발명은 인터넷 서비스 등에 이용됨.The present invention is used for the Internet service.

인증, 권한, 인터넷 서비스, 인증 증명서, 권한제어Authentication, authority, internet service, authentication certificate, authority control

Description

인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 장치 및 그 방법{Authentication/authorization apparatus and method using internet users' credentials encryption} Authentication / authorization apparatus and method using internet users' credentials encryption}             

도 1 은 본 발명에 따른 인증/권한 처리 장치의 일실시예 구성도.1 is a block diagram of an embodiment of an authentication / authorization processing device according to the present invention;

도 2 는 본 발명에 따른 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 방법에 대한 일실시예 흐름도.
2 is a flow diagram of an embodiment of an authentication / authorization processing method through encryption of an Internet user certificate according to the present invention.

* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings

31 : 사용자정보 수집부 32 : 암호화 처리부31: user information collecting unit 32: encryption processing unit

33 : 복호화 처리부 34 : 로그인 처리부33: decryption processing unit 34: login processing unit

35 : 증명서 발급부 36 : 권한 제어부35: certificate issuing unit 36: authority control unit

37 : 사용자 DB 38 : 인증키 정보 저장소
37: user DB 38: authentication key information store

본 발명은 인터넷 사용자 증명서의 암호화를 이용한 인증/권한 처리 장치 및 그 방법에 관한 것으로서, 보다 상세하게는 사용자의 인증 처리와 함께 권한정보를 사용자 단말기에 전달되는 인증 증명서에 포함시켜 인증 확인과 권한 제어를 동시에 처리할 수 있도록 하는 것이다.The present invention relates to an authentication / authorization processing apparatus and method using encryption of an Internet user certificate, and more particularly, to include authentication information delivered to a user terminal together with authentication processing of a user, to verify authentication and control authority. To be able to process them simultaneously.

최근, 인터넷 이용의 폭발적인 증가와 함께 대형 사이트는 물론이고 중소 사이트에서도 별도의 가입자를 가지고 서비스를 제공하고 있다. 이들 사이트에서 사용자에게 서비스를 제공하기 위해서는 그 사용자가 자신의 사이트에 대한 서비스를 받을 수 있는 권한이 있는가를 확인할 필요가 있는데 이를 위해 서비스 제공자는 나름대로의 인증처리 장치를 이용하고 있다.Recently, with the explosive increase in the use of the Internet, small and medium sites as well as large sites have provided services with separate subscribers. In order to provide a service to a user at these sites, it is necessary to check whether the user is authorized to receive a service for his site. To this end, the service provider uses his own authentication processing device.

각 도메인에 대한 서비스 제공자는 자신들이 관리하는 사용자 데이터베이스(DB)에 대한 아이디(ID)와 암호(PASSWORD)를 확인하여 인증처리를 하고 있고, 각 도메인의 사용자는 각각의 사용자 DB로 자체 관리되고 있다. The service provider for each domain checks the ID (ID) and password (PASSWORD) of the user database (DB) they manage and processes the authentication. The users in each domain are managed by their respective user DBs. .

그런데, 최근 인터넷 사용인구가 많아지고 유료 서비스에 대한 이용도 급증하고 있다. 이에 따라, 서비스 제공자로서는 사용자에 대한 인증 처리와 경쟁 서비스와의 차별성을 위해 사용자 권한에 따른 서비스 이용 및 사용자가 선호하는 서비스의 제공 등에 역점을 둘 필요가 있다.In recent years, however, the number of Internet users has increased and the use of paid services has also increased rapidly. Accordingly, the service provider needs to focus on using the service according to the user's authority and providing the user's preferred service in order to differentiate the user from the authentication service and the competitive service.

그럼에도 불구하고, 기존 서비스 제공자가 운영하는 인증처리 및 권한처리 시스템을 보면 사용자의 로그인 여부를 확인할 수 있는 인증키를 생성하여 사용자의 단말기에 전달하고, 서비스 제공시 인증키의 유효성을 확인한다. 이때, 그 사용 자의 서비스 이용 권한 등을 확인하기 위해 사용자 DB 등 사용자의 정보가 저장된 장치에 접근하게 되므로, 요청된 서비스를 유효한 사용자에게 제공하기 위한 시스템의 부하가 이중으로 걸리게 되어, 이에 따라 서비스 제공을 신속하게 할 수 없는 문제점이 있었다.
Nevertheless, in the authentication processing and authorization processing system operated by the existing service provider, an authentication key for confirming whether the user is logged in is generated and transmitted to the user's terminal, and the validity of the authentication key is provided when providing the service. At this time, since the user accesses the device in which the user's information is stored, such as the user DB, to check the user's service use authority, the system load is doubled to provide the requested service to a valid user. There was a problem that can not be quickly.

본 발명은, 상기한 바와 같은 요구에 부응하기 위하여 제안된 것으로, 사용자의 인증 처리와 함께 권한정보를 사용자 단말기에 전달되는 인증 증명서에 포함시켜 인증 확인과 권한 제어를 동시에 처리하기 위한 인증/권한 처리 장치 및 그 방법을 제공하는데 그 목적이 있다. The present invention has been proposed in response to the above-described demands, and includes authentication / authorization processing for simultaneously performing authentication verification and authority control by including authorization information in an authentication certificate delivered to a user terminal together with user authentication processing. It is an object of the present invention to provide an apparatus and a method thereof.

상기 목적을 달성하기 위한 본 발명은, 인증/권한 처리 장치에 있어서, 사용자 데이터베이스(DB)에 속해 있는 사용자의 로그인을 처리하여 인증키를 생성하기 위한 로그인 처리수단; 로그인 여부를 확인하기 위해, 생성된 인증키를 저장하고 있는 인증키 정보 저장수단; 인증된 사용자에 대한 권한정보를 포함하는 사용자 정보를 수집하기 위한 사용자정보 수집수단; 상기 생성된 인증키와 상기 사용자정보를 묶어 암호화하여 인증 증명서를 생성하기 위한 암호화수단; 암호화된 인증 증명서를 발급하기 위한 증명서 발급수단; 발급되어 서비스 요청시 전달되는 상기 인증 증명서를 복호화하기 위한 복호화수단; 및 상기 복호화된 인증 증명서에서 사용자의 권한정보를 추출하여 권한에 따른 서비스 제공을 제어하기 위한 권한 제어수단을 포함하여 이루어진 것을 특징으로 한다. In order to achieve the above object, the present invention provides an authentication / authorization processing apparatus comprising: login processing means for processing a login of a user belonging to a user database (DB) to generate an authentication key; Authentication key information storage means for storing the generated authentication key to confirm the login; User information collecting means for collecting user information including authority information for the authenticated user; Encryption means for generating an authentication certificate by encrypting the generated authentication key and the user information; Certificate issuing means for issuing an encrypted authentication certificate; Decrypting means for decrypting the authentication certificate issued and delivered when a service request is made; And authority control means for controlling the service provision according to the authority by extracting the authority information of the user from the decrypted authentication certificate.

그리고, 본 발명은 인증/권한 처리 장치에 적용되는 인증/권한 처리 방법에 있어서, 로그인하는 사용자에 대한 권한정보를 포함하는 사용자정보를 수집하고, 인증키를 생성하는 제 1 단계; 상기 생성된 인증키와 상기 사용자정보를 묶어 암호화하여 인증 증명서를 생성한 후 사용자에게 발급하는 제 2 단계; 발급되어 서비스 요청시 전달되는 상기 인증 증명서를 복호화하여 인증키와 사용자정보를 추출하는 제 3 단계; 및 유효한 인증키에 대해, 사용자의 권한정보를 바탕으로 권한에 따른 서비스 제공을 제어하는 제 4 단계를 포함하여 이루어진 것을 특징으로 한다. In addition, the present invention provides an authentication / authorization processing method applied to an authentication / authorization processing apparatus, comprising: a first step of collecting user information including authority information of a user logging in, and generating an authentication key; A second step of generating an authentication certificate by encrypting the generated authentication key and the user information and encrypting the generated authentication key; A third step of extracting an authentication key and user information by decrypting the authentication certificate issued and delivered when a service request is made; And a fourth step of controlling a service provided according to the authority based on the authority information of the user with respect to the valid authentication key.

삭제delete

본 발명은 서비스 제공자로 하여금 사용자의 권한 등에 따른 서비스의 제공을 가능하게 함은 물론이고 인증 및 권한 제어에 대한 부하를 줄이면서 신속한 서 비스 제공을 할 수 있다. 또한, 인증 증명서내에 권한정보외의 정보를 추가함으로써 사용자 성향에 따른 다양한 서비스 제공이 가능하다.The present invention enables a service provider to provide a service according to a user's authority, etc., as well as providing a quick service while reducing the load on authentication and authority control. In addition, by adding information other than the authority information in the authentication certificate, it is possible to provide various services according to the user's inclination.

인터넷을 통한 서비스를 제공하는 곳에 본 발명에서 제시하는 인증/권한 처리 장치를 적용할 경우, 사용자에 대한 서비스를 제공함에 있어서 사용자에 대한 인증처리와 권한제어를 동시에 할 수 있게끔 인증 증명서를 생성, 발급하여, 서비스 제공자에게 인증/권한 처리에 대한 부하를 줄일 수 있게 하며, 서비스에 대한 다양한 제어를 가능하게 할 뿐만 아니라, 인증 증명서에 추가적인 사용자 정보가 포함되게 하여 사용자에게는 보다 유연하고 알맞은 서비스를 제공할 수 있는 기반을 마련할 수 있다.When applying the authentication / authorization processing device proposed in the present invention to a service providing through the Internet, in providing a service for a user, an authentication certificate is generated and issued to simultaneously perform authentication processing and authority control for the user. Therefore, it is possible to reduce the load on authentication / authorization processing to the service provider, enable various control of the service, and provide additional user information in the authentication certificate to provide more flexible and appropriate services to the user. Can lay the foundation for

상술한 목적, 특징들 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1 은 본 발명에 따른 인증/권한 처리 장치의 일실시예 구성도이다.1 is a configuration diagram of an embodiment of an authentication / authorization processing apparatus according to the present invention.

본 발명에 따른 인증/권한 처리 장치(30)는 인터넷(20)상에서 서비스를 제공함에 있어서, 사용자가 로그인후 서비스 요청시 그 사용자의 인증 여부 확인 뿐만 아니라 서비스를 사용할 수 있는 권한에 대한 확인도 가능하게끔 인증 증명서(credentials)를 생성하고 발급한다. 이에 따라, 서비스 제공자는 인증 증명서에 담긴 사용자 권한정보로 올바른 사용자에 대한 서비스를 제공할 수 있고, 인증 증명서에 권한정보외의 정보를 추가하여 사용자에 대한 다양한 형태의 서비스 제공이 가능하다. In the authentication / authorization processing device 30 according to the present invention, in providing a service on the Internet 20, when a user requests a service after logging in, the authentication / authorization processing device 30 may check not only the authentication status of the user, but also the authority to use the service. Create and issue credentials. Accordingly, the service provider may provide a service for the correct user with the user authority information contained in the authentication certificate, and may provide various types of services to the user by adding information other than the authority information to the authentication certificate.                     

즉, 인증/권한 처리 장치(30)는 인증키 정보를 사용자 단말기(10)에 그대로 전달하는 것이 아니라, 사용자의 권한정보 및 서비스에 필요한 정보를 포함한 인증 증명서를 생성하여 발급함으로써, 사용자의 서비스 요청시에 인증 증명서에 포함된 사용자 권한정보를 이용하여 적절한 서비스를 제공한다. 또한, 여러 정보가 합쳐진 인증 증명서는 인증/권한 처리 장치(30)내에서 암호화되어 사용자에게 전달되므로 사용자 정보에 대한 보안성을 강화할 수 있다. That is, the authentication / authorization processing device 30 does not transmit the authentication key information to the user terminal 10 as it is, but generates and issues an authentication certificate including the user's authority information and information required for the service, thereby requesting the service of the user. Provide appropriate services using the user's authority information included in the authentication certificate in the city. In addition, since the authentication certificate in which various pieces of information are combined is transmitted to the user after being encrypted in the authentication / authorization processing device 30, security of user information can be strengthened.

이를 구체적으로 살펴보면, 도 1에 도시된 바와 같이 본 발명에 따른 인증/권한 처리 장치(30)는, 사용자 데이터베이스(DB)(37)에 속해 있는 사용자의 로그인을 처리하여 인증키를 생성하기 위한 로그인 처리부(34)와, 로그인 여부를 확인하기 위해, 생성된 인증키를 저장하고 있는 인증키 정보 저장소(38)와, 인증된 사용자에 대한 권한정보를 포함하는 사용자 정보를 수집하기 위한 사용자정보 수집부(31)와, 생성된 인증키와 사용자정보를 묶어 암호화하여 인증 증명서를 생성하는 암호화 처리부(32)와, 암호화된 인증 증명서를 발급하기 위한 증명서 발급부(35)와, 발급되어 서비스 요청시 전달되는 인증 증명서를 복호화하기 위한 복호화 하리부(33)와, 복호화된 인증 증명서에서 사용자의 권한정보를 추출하여, 권한에 따른 서비스 제공을 제어하기 위한 권한 제어부(36)를 포함한다. Specifically, as shown in FIG. 1, the authentication / authorization processing device 30 according to the present invention processes a login of a user belonging to a user database (DB) 37 to log in to generate an authentication key. A processing unit 34, an authentication key information store 38 storing the generated authentication key to confirm login, and a user information collection unit for collecting user information including authorization information for the authenticated user (31), an encryption processing unit 32 for generating an authentication certificate by encrypting the generated authentication key and user information, and a certificate issuing unit 35 for issuing an encrypted authentication certificate, and is issued and delivered upon service request. Decryption part 33 for decrypting the authentication certificate to be extracted, and authority for extracting the user's authority information from the decrypted authentication certificate and controlling service provision according to the authority. The control unit 36 is included.

좀더 구체적으로 살펴보면, 본 발명에서 나타내는 인증권한처리 장치(110)는 사용자 DB(37)에 속해 있는 사용자의 로그인 처리를 담당하는 로그인 처리부(34)와, 로그인 여부를 확인하기 위해 생성된 인증키를 저장하고 있는 인증키 정보 저장소(38)와, 인증 증명서에 포함되는 권한정보 및 일시성 정보를 포함하는 사용자 의 기타 정보 등을 수집하는 사용자정보 수집부(31)와, 로그인 처리부(34)에서 생성된 인증키와 사용자정보 수집부(31)에 의해 수집된 정보 등을 합쳐 암호화하여 인증 증명서를 생성하는 암호화 처리부(32)와, 암호화 처리부(32)에서 생성된 인증 증명서를 사용자 단말기(10)로 전달하는 증명서 발급부(35)와, 사용자의 서비스 요청시 사용자 단말기(10)로부터 전달되는 암호화된 인증 증명서를 복호화하는 복호화 처리부(33)와, 복호화된 인증 증명서에서 사용자의 권한정보 등을 추출하여 서비스 제공에 대한 권한을 제어하는 권한 제어부(36)를 포함한다. In more detail, the authentication authority processing apparatus 110 according to the present invention includes a login processing unit 34 in charge of login processing of a user belonging to the user DB 37 and an authentication key generated to check login. The authentication key information store 38 stored therein, the user information collecting unit 31 for collecting the user information including the authority information and the temporary information included in the authentication certificate, and the login processing unit 34 The encryption processing unit 32 generates an authentication certificate by encrypting the authentication key and the information collected by the user information collecting unit 31, and transmits the authentication certificate generated by the encryption processing unit 32 to the user terminal 10. A certificate issuing unit 35 for decrypting, a decryption processing unit 33 for decrypting an encrypted authentication certificate transmitted from the user terminal 10 when a user requests a service, and a decrypted authentication certificate The authority control unit 36 may control authority for service provision by extracting authority information of the user from the specification.

사용자정보 수집부(31)에서는 사용자 DB(37)에 있는 사용자의 정보 뿐만 아니라 사용자가 접속시 갖게 되는 일시성 정보 등을 수집하여 인증 증명서 생성에 활용한다. 사용자의 일시성 정보의 예로는, 사용자 단말기(10)의 접속 아이피(IP : Internet Protocol) 주소, 로그인 시간 및 로그인후 사용자의 최근 접속 시간 등을 들 수 있다. 이렇게 수집된 사용자의 정보는 인증키와 함께 암호화 처리부(32)를 통해 암호화되어 인증 증명서로서 증명서 발급부(35)를 통해 사용자 단말기(10)로 전달된다.The user information collecting unit 31 collects not only the information of the user in the user DB 37 but also the temporary information that the user has at the time of connection, and is used for generating the authentication certificate. Examples of temporary user information include a connection IP (IP) address of the user terminal 10, a login time, and a user's recent connection time after login. The collected user's information is encrypted with the authentication key through the encryption processing unit 32 and transmitted to the user terminal 10 through the certificate issuing unit 35 as an authentication certificate.

암호화되어 사용자 단말기(10)로 전달된 인증 증명서는 서비스 요청시에 인증/권한 처리 장치(30)로 보내져서 사용자에 대한 서비스 제공에 이용된다. 사용자 단말기(10)로부터 보내지는 인증 증명서는 암호화되어 있기 때문에 먼저 복호화 처리부(33)를 통해 암호화되었던 정보들을 추출한다.The authentication certificate encrypted and delivered to the user terminal 10 is sent to the authentication / authorization processing device 30 at the time of service request and used for providing a service to the user. Since the authentication certificate sent from the user terminal 10 is encrypted, the encrypted information is first extracted through the decryption processing unit 33.

권한 제어부(36)는 추출된 사용자 정보를 통해 요청된 서비스에 대한 권한 여부를 판단하고 해당 사용자에 알맞은 서비스를 제공하게 된다. The authority control unit 36 determines whether the authority for the requested service is provided through the extracted user information and provides a service suitable for the user.                     

도 2 는 본 발명에 따른 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 방법에 대한 일실시예 흐름도이다.2 is a flow diagram of an embodiment of a method for authentication / authorization through encryption of an Internet user certificate according to the present invention.

사용자가 서비스 제공자가 제공하는 서비스를 이용하기 위해 서비스 요청을 하면(201), 인증/권한 처리 장치(30)는 우선 인증 여부를 판단하기 위해 인증 증명서의 추출을 시도한다(202).When a user makes a service request to use a service provided by a service provider (201), the authentication / authorization processing device 30 first attempts to extract an authentication certificate to determine whether to authenticate.

만약, 사용자 단말기(10)가 인증 증명서를 소유하고 있지 않다면(203), 현재 로그인되지 않은 상태이므로 사용자에게 ID와 암호(패스워드)를 요청하여(204), 사용자가 ID와 암호를 입력하면(205), 로그인 처리부(34)는 사용자 DB(37)에 접속하여(206) 사용자가 입력한 ID와 암호를 확인한다(207). If the user terminal 10 does not possess an authentication certificate (203), since the user is not currently logged in, the user requests an ID and password (password) (204), and the user inputs the ID and password (205). The log-in processing unit 34 connects to the user DB 37 (206) and checks the ID and password input by the user (207).

입력된 ID와 암호가 확인되면, 사용자정보 수집부(31)에서는 사용자에 대한 권한정보 및 일시성 정보 등을 수집하고(208) 인증키를 생성하여(209), 인증키 정보 저장소(38)에 인증키를 저장한다(210). 이후에, 암호화 처리부(32)에서는 생성된 인증키와 수집된 사용자 정보를 암호화하여 인증 증명서를 생성하고(211), 증명서 발급부(35)를 통해 사용자 단말기(10)로 암호화된 인증 증명서를 전송한다(212). 이렇게 로그인 처리된 사용자는 서비스의 사용 권한 여부를 검증받고(217), 요청된 서비스에 대한 사용 권한이 확인되면(218) 해당하는 서비스를 제공받게 된다(219).When the input ID and password are confirmed, the user information collecting unit 31 collects authorization information and temporary information about the user (208), generates an authentication key (209), and authenticates the authentication key information store (38). Store the key (210). Subsequently, the encryption processing unit 32 encrypts the generated authentication key and the collected user information to generate an authentication certificate (211), and transmits the encrypted authentication certificate to the user terminal 10 through the certificate issuing unit 35. (212). The user who is logged in is thus verified whether the user has permission to use the service (217), and when the user right for the requested service is confirmed (218), the user is provided with the corresponding service (219).

한편, 사용자 단말기(10)가 인증 증명서를 소유하고 있다면(203), 인증/권한 처리 장치(30)는 복호화 처리부(33)를 통해 암호화된 인증 증명서를 복호화 하고(213), 복호화된 인증 증명서에서 인증키를 추출한다(214). 이렇게 복호화된 인증 증명서에서 추출된 인증키가 유효하지 않으면(215), 로그인 처리부(34)로 넘겨 사용자에게 ID와 암호를 다시 요청하게 한다(204). 그러나, 추출된 인증키가 유효하다면(215), 권한 제어부(36)에서 복호화된 인증 증명서로부터 사용자 권한정보 등을 추출하여(216) 요청된 서비스에 대한 사용자의 사용 권한 여부를 검증하여 권한확인후 서비스를 제공하게 된다(217~219).On the other hand, if the user terminal 10 possesses an authentication certificate (203), the authentication / authorization processing device 30 decrypts the encrypted authentication certificate through the decryption processing unit 33 (213), and from the decrypted authentication certificate. The authentication key is extracted (214). If the authentication key extracted from the decrypted authentication certificate is not valid (215), it is passed to the login processing unit 34 to request the user ID and password again (204). However, if the extracted authentication key is valid (215), the user's authorization information is extracted from the authentication certificate decrypted by the authority control unit (216), and the user's authority to verify the requested service is verified and the authority is checked. Provide services (217-219).

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다.The method of the present invention as described above may be implemented as a program and stored in a computer-readable recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.).

이상에서 설명한 본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니고, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하다는 것이 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 명백할 것이다.
The present invention described above is not limited to the above-described embodiments and the accompanying drawings, and various substitutions, modifications, and changes are possible in the art without departing from the technical spirit of the present invention. It will be clear to those of ordinary knowledge.

상기한 바와 같은 본 발명은, 사용자에 대한 서비스를 제공함에 있어서 사용자에 대한 인증처리와 권한제어를 동시에 할 수 있게끔 인증 증명서를 생성, 발급하여 서비스 제공자에게 인증권한 처리에 대한 부하를 줄일 수 있게 하며, 서비스에 대한 다양한 제어를 가능하게 할 뿐만 아니라 인증 증명서에 추가적인 사용자 정보가 포함되게 하여 사용자에게는 보다 유연하고 알맞은 서비스를 제공할 수 있는 기반을 마련할 수 있는 효과가 있다.The present invention as described above, in providing the service to the user, by generating and issuing an authentication certificate so that the authentication process and the authority control for the user at the same time to reduce the load on the service provider authentication authority processing In addition, it is possible not only to enable various control of services but also to include additional user information in the authentication certificate, thereby providing a foundation for providing a more flexible and appropriate service to the user.

Claims (6)

인증/권한 처리 장치에 있어서, In the authentication / authorization processing device, 사용자 데이터베이스(DB)에 속해 있는 사용자의 로그인을 처리하여 인증키를 생성하기 위한 로그인 처리수단;Login processing means for processing a login of a user belonging to a user database (DB) to generate an authentication key; 로그인 여부를 확인하기 위해, 생성된 인증키를 저장하고 있는 인증키 정보 저장수단;Authentication key information storage means for storing the generated authentication key to confirm the login; 인증된 사용자에 대한 권한정보를 포함하는 사용자 정보를 수집하기 위한 사용자정보 수집수단;User information collecting means for collecting user information including authority information for the authenticated user; 상기 생성된 인증키와 상기 사용자정보를 묶어 암호화하여 인증 증명서를 생성하기 위한 암호화수단;Encryption means for generating an authentication certificate by encrypting the generated authentication key and the user information; 암호화된 인증 증명서를 발급하기 위한 증명서 발급수단;Certificate issuing means for issuing an encrypted authentication certificate; 발급되어 서비스 요청시 전달되는 상기 인증 증명서를 복호화하기 위한 복호화수단; 및 Decrypting means for decrypting the authentication certificate issued and delivered when a service request is made; And 상기 복호화된 인증 증명서에서 사용자의 권한정보를 추출하여 권한에 따른 서비스 제공을 제어하기 위한 권한 제어수단Authority control means for controlling service provision according to authority by extracting authority information of the user from the decrypted authentication certificate 을 포함하는 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 장치.Authentication / authorization processing device through the encryption of the Internet user certificate comprising a. 제 1 항에 있어서, The method of claim 1, 상기 사용자정보는, The user information, 인증된 사용자에 대한 권한정보, 사용자가 접속시 갖게 되는 일시성 정보(바람직하게는, 사용자 단말기의 접속 아이피(IP) 주소, 로그인 시간 및 로그인후 사용자의 최근 접속 시간 정보 포함)를 포함하는 것을 특징으로 하는 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 장치.Authorization information for the authenticated user, the temporary information that the user has when connecting (preferably, including the IP address of the user terminal, the login time and the latest connection time information of the user after login), characterized in that it comprises Authentication / authorization processing apparatus through encryption of Internet user certificate. 제 1 항 또는 제 2 항에 있어서, The method according to claim 1 or 2, 상기 인증 증명서는, The certification certificate, 사용자의 권한정보 및 서비스에 필요한 정보를 포함하고 있어, 사용자의 서비스 요청시에 올바른 사용자에 대한 서비스 제공이 가능하고, 사용자에 대한 다양한 형태의 서비스 제공이 가능하도록 하는 것을 특징으로 하는 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 장치.It contains the user's authority information and information required for the service, it is possible to provide the correct service to the user when the user requests the service, and to provide various types of services to the user characterized in that Authentication / authorization processing device through encryption. 인증/권한 처리 장치에 적용되는 인증/권한 처리 방법에 있어서, In the authentication / authorization processing method applied to the authentication / authorization processing apparatus, 로그인하는 사용자에 대한 권한정보를 포함하는 사용자정보를 수집하고, 인증키를 생성하는 제 1 단계;A first step of collecting user information including authority information of a user logging in and generating an authentication key; 상기 생성된 인증키와 상기 사용자정보를 묶어 암호화하여 인증 증명서를 생성한 후 사용자에게 발급하는 제 2 단계;A second step of generating an authentication certificate by encrypting the generated authentication key and the user information and encrypting the generated authentication key; 발급되어 서비스 요청시 전달되는 상기 인증 증명서를 복호화하여 인증키와 사용자정보를 추출하는 제 3 단계; 및 A third step of extracting an authentication key and user information by decrypting the authentication certificate issued and delivered when a service request is made; And 유효한 인증키에 대해, 사용자의 권한정보를 바탕으로 권한에 따른 서비스 제공을 제어하는 제 4 단계The fourth step of controlling service provision according to the authority based on the authority information of the user for the valid authentication key 를 포함하는 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 방법.Authentication / authorization processing method through the encryption of the Internet user certificate comprising a. 제 4 항에 있어서, The method of claim 4, wherein 상기 사용자정보는, The user information, 인증된 사용자에 대한 권한정보, 사용자가 접속시 갖게 되는 일시성 정보(바람직하게는, 사용자 단말기의 접속 아이피(IP) 주소, 로그인 시간 및 로그인후 사용자의 최근 접속 시간 정보 포함)를 포함하는 것을 특징으로 하는 인터넷 사용자 증명서의 암호화를 통한 인증/권한 처리 방법.Authorization information for the authenticated user, the temporary information that the user has when connecting (preferably, including the IP address of the user terminal, the login time and the latest connection time information of the user after login), characterized in that it comprises Authentication / authorization processing method by encrypting Internet user certificate. 삭제delete
KR1020020079289A 2002-12-12 2002-12-12 Authentication/authorization apparatus and method using internet users' credentials encryption KR100954669B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020020079289A KR100954669B1 (en) 2002-12-12 2002-12-12 Authentication/authorization apparatus and method using internet users' credentials encryption

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020020079289A KR100954669B1 (en) 2002-12-12 2002-12-12 Authentication/authorization apparatus and method using internet users' credentials encryption

Publications (2)

Publication Number Publication Date
KR20040051368A KR20040051368A (en) 2004-06-18
KR100954669B1 true KR100954669B1 (en) 2010-04-27

Family

ID=37345334

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020020079289A KR100954669B1 (en) 2002-12-12 2002-12-12 Authentication/authorization apparatus and method using internet users' credentials encryption

Country Status (1)

Country Link
KR (1) KR100954669B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2034420A4 (en) * 2006-06-26 2009-10-21 Huawei Tech Co Ltd A method and an apparatus for operating right

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000033498A (en) * 1998-11-24 2000-06-15 이계철 Integrated authentication system for access to internet and use of service and method of processing the same
KR20000067773A (en) * 1999-04-19 2000-11-25 윤태식 Mobile fingerprint authentication system
KR20010106325A (en) * 2001-10-15 2001-11-29 신용태 지동관 Wireless pda ebook contents service method and system with user authentication function for the digital rights management
KR20010111001A (en) * 2000-06-10 2001-12-15 최제형 An authentication method in a type of a variable cryptographic key using both the cryptographic key of the authentication medium and the inherent information of the computer hardware, an information providing system using an authentication medium shown the period and the authorization and stored the authentication method, and a system for settling an account for use of the given information
KR20020086030A (en) * 2001-05-10 2002-11-18 (주) 비씨큐어 User Authentication Method and System on Public Key Certificate including Personal Identification Information

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000033498A (en) * 1998-11-24 2000-06-15 이계철 Integrated authentication system for access to internet and use of service and method of processing the same
KR20000067773A (en) * 1999-04-19 2000-11-25 윤태식 Mobile fingerprint authentication system
KR20010111001A (en) * 2000-06-10 2001-12-15 최제형 An authentication method in a type of a variable cryptographic key using both the cryptographic key of the authentication medium and the inherent information of the computer hardware, an information providing system using an authentication medium shown the period and the authorization and stored the authentication method, and a system for settling an account for use of the given information
KR20020086030A (en) * 2001-05-10 2002-11-18 (주) 비씨큐어 User Authentication Method and System on Public Key Certificate including Personal Identification Information
KR20010106325A (en) * 2001-10-15 2001-11-29 신용태 지동관 Wireless pda ebook contents service method and system with user authentication function for the digital rights management

Also Published As

Publication number Publication date
KR20040051368A (en) 2004-06-18

Similar Documents

Publication Publication Date Title
US10567370B2 (en) Certificate authority
JP5619019B2 (en) Method, system, and computer program for authentication (secondary communication channel token-based client-server authentication with a primary authenticated communication channel)
US7409543B1 (en) Method and apparatus for using a third party authentication server
US8219808B2 (en) Session-based public key infrastructure
JP4265145B2 (en) Access control method and system
JP4226665B2 (en) Logon certificate
US7421083B2 (en) System for seamlessly updating service keys with automatic recovery
WO2005025125A1 (en) Device authentication system
CN102685086A (en) File access method and system
KR101452708B1 (en) CE device management server, method for issuing DRM key using CE device management server, and computer readable medium
JPH05333775A (en) User authentication system
JPH11212922A (en) Password management and recovery system
EP1036372A1 (en) A remotely accessible private space using a fingerprint
JP2005348164A (en) Client terminal, gateway apparatus, and network equipped with these
JPH05298174A (en) Remote file access system
JP2008129673A (en) User authentication system and method, gateway for use therein, program, and recording medium
KR100954669B1 (en) Authentication/authorization apparatus and method using internet users' credentials encryption
JP2007074164A (en) System, method, and program for authentication
KR20040002036A (en) Simple Binding Authorization Method for Strengthening Security
JPH08335207A (en) Authorizing method for network user
KR100559152B1 (en) Method and apparatus for maintaining the security of contents
KR20070072463A (en) Advanced protection method for licensed digital certificate using one-time password
JP4219076B2 (en) Electronic document management method, electronic document management system, and recording medium
TW201818288A (en) Key sharing system and method thereof wherein a mobile device is used as the key sharing system
WO2002025860A1 (en) The dynamic identification method without identification code

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130403

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140404

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160406

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20170405

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180403

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20190401

Year of fee payment: 10