KR102016976B1 - Unified login method and system based on single sign on service - Google Patents

Unified login method and system based on single sign on service Download PDF

Info

Publication number
KR102016976B1
KR102016976B1 KR1020170081619A KR20170081619A KR102016976B1 KR 102016976 B1 KR102016976 B1 KR 102016976B1 KR 1020170081619 A KR1020170081619 A KR 1020170081619A KR 20170081619 A KR20170081619 A KR 20170081619A KR 102016976 B1 KR102016976 B1 KR 102016976B1
Authority
KR
South Korea
Prior art keywords
sso
server
service
user
confirmation
Prior art date
Application number
KR1020170081619A
Other languages
Korean (ko)
Other versions
KR20180034199A (en
Inventor
우종현
장형석
조호진
이준현
Original Assignee
(주)이스톰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스톰 filed Critical (주)이스톰
Publication of KR20180034199A publication Critical patent/KR20180034199A/en
Application granted granted Critical
Publication of KR102016976B1 publication Critical patent/KR102016976B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2117User registration

Abstract

본 발명의 실시예에 따르면, SSO 서비스 기반의 통합 로그인창이 사용자 단말기의 화면 상에 제시된다 하더라도, 해당 로그인창이 정당한 SSO 서버에서 제공된 것인지를 사용자가 확인할 수 있도록, 사용자 ID를 입력한 후 해당 SSO 서비스 확인번호가 서비스 화면에 제시되고, 해당 SSO 확인번호를 사용자의 모바일 SSO 확인앱으로 확인할 수 있는 인증 양식 확인 기술을 제공한다. 여기서, 통합 로그인창이 정당 SSO서버에서 제공되는 것인지를 확인시켜주는 SSO 서버는, SSO 로그인창 접속요청에 따른 로그인창을 제공한 후, 사용자 ID를 수신하고, SSO 서버 확인값 생성에 필요한 사용자 ID와 SSO 서버변수를 SSO 확인서버에 전달하고, SSO 확인서버가 생성한 SSO 서버 확인값을 수신하여 사용자 로그인창에 SSO 서버 확인값을 표시하도록 전달할 수 있다.According to an embodiment of the present invention, even if the integrated login window based on the SSO service is presented on the screen of the user terminal, the corresponding SSO service after inputting the user ID so that the user can confirm whether the corresponding login window is provided from a valid SSO server The confirmation number is presented on the service screen, and provides an authentication form verification technology that can confirm the SSO confirmation number with the user's mobile SSO confirmation app. Here, the SSO server that confirms whether the integrated login window is provided by the party SSO server, after providing the login window according to the SSO login window access request, receives the user ID, and the user ID required to generate the SSO server confirmation value. SSO server variable can be delivered to SSO confirmation server, and SSO server confirmation value generated by SSO confirmation server can be received and delivered to display SSO server confirmation value in user login window.

Description

싱글 사인 온 서비스 기반의 상호 인증 방법 및 시스템{UNIFIED LOGIN METHOD AND SYSTEM BASED ON SINGLE SIGN ON SERVICE} Method and system for mutual authentication based on single sign-on service {UNIFIED LOGIN METHOD AND SYSTEM BASED ON SINGLE SIGN ON SERVICE}

본 발명은 SSO(Single Sign On) 서비스 기반의 상호 인증 방법 및 시스템에 관한 것으로서, 보다 구체적으로는 SSO 서비스 기반의 통합 로그인을 수행하는데 있어서 해당 로그인 양식이 진정한 SSO 서비스로부터 제공된 것인지를 확인할 수 있도록 하는 방법 및 시스템에 관한 것이다.The present invention relates to a method and system for mutual authentication based on single sign on (SSO) service, and more particularly, to confirm whether a corresponding login form is provided from a true SSO service in performing integrated login based on SSO service. It relates to a method and a system.

사용자가 다양한 서비스에 별도의 회원가입 없이 하나의 계정으로 로그인 후 서비스를 이용할 수 있는 소셜 로그인과 같은 다양한 SSO 서비스가 제공되고 있다.Various SSO services are provided, such as social login, in which a user can use the service after logging in with one account without registering for various services.

구현 방식에 따라 SAML, OAuth 2.0, OpenID Connect와 같은 기술로 구현한 SSO 서비스의 대체적인 작동 흐름을 살펴보면, SSO 서비스는 다음과 같이 구현된다. 즉, SSO 서비스의 경우, 사용자가 온라인 서비스에 접근하여 해당 온라인 서비스에 가입된 ID와 암호로 인증을 시도하는 것이 아니라, 통합 SSO 서비스로 인증을 시도하여, 통합 SSO 서비스가 제공하는 통합 로그인창에서 통합 ID와 암호를 입력하고, 인증을 마치게 되면 최초 접근한 온라인 서비스를 이용할 수 있게 된다.Looking at the alternative working flow of SSO services implemented by technologies such as SAML, OAuth 2.0, and OpenID Connect depending on the implementation method, SSO services are implemented as follows. That is, in the case of the SSO service, the user does not attempt to authenticate with the ID and password subscribed to the online service, instead of attempting to authenticate with the integrated SSO service, in the integrated login window provided by the integrated SSO service. Enter your integrated ID and password, and once authenticated, you will be able to access your first online service.

그러나 SSO 서비스의 통합 ID와 암호를 탈취하기 위해 SSO 서비스의 통합 로그인 창을 위조하여 사용자 인증 정보 입력을 유도하면, 사용자는 해당 로그인 창이 SSO 서비스의 로그인창으로 간주하고 계정 정보를 입력하여 사용자의 인증 정보가 탈취 당하게 되는 경우가 발생할 수 있다. 만약 통합 SSO 계정이 탈취된 경우 SSO 서비스로 이용 가능한 해당 사용자의 모든 온라인 서비스의 보안이 취약해진다.However, if you forge the SSO Service's integrated login window to steal the user's authentication information to steal the SSO Service's integration ID and password, the user assumes that login window is the login window of the SSO service and enters the account information to authenticate the user. Information can be stolen. If an integrated SSO account is compromised, the security of all online services for that user available as an SSO service is compromised.

이를 방지하고자 SSO 서버에 ID와 암호를 입력한 다음에 OTP와 같은 2차 인증수단을 입력할 수 있게 강화하였으나, ID와 암호 입력창에 이어 OTP 입력창까지 허위로 만들어진 경우 SSO 서비스에 대한 접근을 막을 수는 없다.In order to prevent this, the SSO server has been strengthened so that a second authentication method such as OTP can be input after entering an ID and password. However, if the ID and password input window is followed by an OTP input window, access to the SSO service is prevented. You can't stop it.

따라서 SSO 서비스를 가장한 해킹 서비스에게 인증 정보가 탈취되지 않는 새로운 기술이 필요하다.Therefore, a new technology that does not steal authentication information is needed for the hacking service disguised as SSO service.

본 발명은 SSO 서비스 기반의 통합 로그인창이 사용자 단말기에 제시될 때, 해당 로그인창이 정당한 SSO 서버에서 제공된 것인지를 사용자가 확인할 수 있도록, 사용자 ID가 입력되면 해당 SSO 서비스 확인번호가 로그인 양식에 제시되고, 해당 SSO 확인번호를 사용자의 모바일 앱에서 확인할 수 있는 방법 및 시스템을 제공한다.In the present invention, when the SSO service-based integrated login window is presented to the user terminal, when the user ID is input, the corresponding SSO service confirmation number is presented in the login form so that the user can confirm whether the corresponding login window is provided from a legitimate SSO server. Provides a method and system for checking the SSO confirmation number in the user's mobile app.

또한 본 발명은 하나의 통합 계정에 대한 사용자 인증 정보 제공을 통해 다양한 온라인 서비스를 사용하기 위한 SSO 서비스에 있어서, 사용자 인증 정보 입력 화면이 사용자 인증 정보 탈취를 위한 위조된 화면일 때, SSO 서비스의 사용자가 통합 계정에 대해 사용자 ID 입력 이후 SSO 서비스의 진위 여부를 명시적으로 확인 할 수 있도록 하는 장치 및 시스템을 제공한다.In addition, the present invention is a SSO service for using a variety of online services through providing user authentication information for one integrated account, when the user authentication information input screen is a forged screen for stealing user authentication information, the user of the SSO service Provides a device and system that allows the user to explicitly verify the authenticity of the SSO service after entering a user ID for the integrated account.

본 발명의 일 측면에 따르면, SSO 서비스 기반의 통합 로그인창이 사용자 단말기의 화면 상에 제시된다 하더라도, 해당 로그인창이 정당한 SSO 서버에서 제공된 것인지를 사용자가 확인할 수 있도록, 사용자 ID를 입력한 후 해당 SSO 서비스 확인번호가 서비스 화면에 제시되고, 해당 SSO 확인번호를 사용자의 모바일 SSO 확인앱으로 확인할 수 있는 인증 양식 확인 기술을 제공한다.According to an aspect of the present invention, even if the integrated login window based on the SSO service is presented on the screen of the user terminal, the SSO service after inputting the user ID so that the user can check whether the corresponding login window is provided from a legitimate SSO server. The confirmation number is presented on the service screen, and provides an authentication form verification technology that can confirm the SSO confirmation number with the user's mobile SSO confirmation app.

여기서, 통합 로그인창이 정당 SSO서버에서 제공되는 것인지를 확인시켜주는 SSO 서버는, SSO 로그인창 접속요청에 따른 로그인창을 제공한 후, 사용자 ID를 수신하고, SSO 서버 확인값 생성에 필요한 사용자 ID와 SSO 서버변수를 SSO 확인서버에 전달하고, SSO 확인서버가 생성한 SSO 서비스 확인값을 수신하여 사용자 로그인창에 SSO 서버 확인값을 표시하도록 전달할 수 있다.Here, the SSO server that confirms whether the integrated login window is provided by the party SSO server, after providing the login window according to the SSO login window access request, receives the user ID, and the user ID required to generate the SSO server confirmation value. SSO server variable can be delivered to SSO confirmation server, and SSO service confirmation value generated by SSO confirmation server can be received and delivered to display SSO server confirmation value in user login window.

본 발명의 실시예에 의하면, 사용자가 SSO 서비스의 통합 계정을 이용하여 다양한 온라인 서비스를 사용하는데 있어서, 해당 로그인창에 사용자 ID 입력 이후 해당 SSO 서비스의 진위여부를 확인할 수 있는 SSO 서비스 확인값을 명시적으로 제공하여 안전한 통합 사용자 인증서비스가 가능해진다.According to an embodiment of the present invention, when a user uses various online services using an integrated account of the SSO service, the SSO service confirmation value for confirming the authenticity of the SSO service after inputting a user ID in the corresponding login window is specified. It provides a secure integrated user authentication service.

도 1 및 도 2는 본 발명의 실시예에 따라, 통합 로그인창이 진정한 SSO서버에서 제공되는 것인지 확인 시켜 줄 수 있는 SSO 확인 서버와 모바일 SSO 확인기(모바일 앱)의 전반적인 흐름을 도시한 도면.
도 3은 사용자 단말기에 표시되는 통합 로그인창이 SSO 확인값으로 구동될 수 잇도록 하는 화면 예시를 도시한 도면.
도 4는 SSO 확인값을 보유하고 있는 SSO 로그인창과 모바일 SSO 확인기 상의 실시 확인창에 관한 화면 예시를 도시한 도면.
도 5 및 도 6은 SSO 기능을 수행하는 Oauth2 인증서버와 이에 연결된 서비스와의 작동에 관한 표준 흐름을 도시한 도면.
도 7 내지 도 10은 Oauth2 인증서버에 대한 서비스 확인기능을 탑재하고 있는 SSO 확인 서버와 모바일 SSO 확인기의 실시 흐름도를 도시한 도면.
1 and 2 are views showing the overall flow of the SSO verification server and mobile SSO checker (mobile app) that can confirm whether the integrated login window is provided in a true SSO server according to an embodiment of the present invention.
3 is a diagram illustrating an example of a screen for allowing an integrated login window displayed on a user terminal to be driven with an SSO confirmation value.
4 illustrates an example of a screen related to an SSO login window having an SSO confirmation value and an implementation confirmation window on a mobile SSO confirmer.
5 and 6 illustrate a standard flow of operation of an Oauth2 authentication server performing an SSO function and a service connected thereto.
7 to 10 are flowcharts showing an embodiment of an SSO verification server and a mobile SSO verifier equipped with a service verification function for an Oauth2 authentication server.

본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.As the invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description. However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all transformations, equivalents, and substitutes included in the spirit and scope of the present invention.

본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the present invention, when it is determined that the detailed description of the related known technology may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from another component.

또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, throughout the specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.

또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다. 또한 본 명세서에서 표현하는 Push ID는 통상적으로 모바일 앱 개발자들이 표현하는 Push Token을 의미하며, 푸시 메세지 서비스는 구글이나 애플사 등과 같은 모바일 운영체제에서 앱별로 제공하는 메시지 서비스를 말한다.In addition, throughout the specification, when a part is said to "include" a certain component, it means that it may further include other components, without excluding the other components unless otherwise stated. In addition, the terms "unit", "module", and the like described in the specification mean a unit that processes at least one function or operation, which means that it may be implemented by one or more pieces of hardware or software or a combination of hardware and software. . In addition, Push ID represented in the present specification means a push token that is typically expressed by mobile app developers, and a push message service refers to a message service provided by an app in a mobile operating system such as Google or Apple.

도 1 및 도 2는 본 발명의 실시예에 따라, 통합 로그인창이 진정한 SSO서버에서 제공되는 것인지 확인 시켜 줄 수 있는 SSO 확인 서버와 모바일 SSO 확인기(모바일 앱)의 전반적인 흐름을 도시한 도면이다. 또한, 도 3은 사용자 단말기에 표시되는 통합 로그인창이 SSO 확인값으로 구동될 수 잇도록 하는 화면 예시를 도시한 도면이고, 도 4는 SSO 확인값을 보유하고 있는 SSO 로그인창과 모바일 SSO 확인기 상의 실시 확인창에 관한 화면 예시를 도시한 도면이다. 이하, 도 1 및 도 2의 순서도를 중심으로 도 3 및 도 4의 예시 화면을 참조하여, 본 발명의 실시예를 상세히 설명한다.1 and 2 are views showing the overall flow of the SSO check server and mobile SSO checker (mobile app) that can confirm whether the integrated login window is provided in the true SSO server according to an embodiment of the present invention. In addition, Figure 3 is a diagram showing an example of the screen that allows the integrated login window displayed on the user terminal can be driven with the SSO confirmation value, Figure 4 is an implementation on the SSO login window and mobile SSO checker having the SSO confirmation value It is a figure which shows the screen example regarding a confirmation window. Hereinafter, an embodiment of the present invention will be described in detail with reference to the example screens of FIGS. 3 and 4 based on the flowcharts of FIGS. 1 and 2.

여기서, 도 1 및 도 2는 본 발명의 실시예에 따라 연이어 실행되는 일련의 절차들이다. 또한 도 1 및 도 2에서 사용자 단말기는 온라인 서비스에 접속하기 위해 사용자가 사용하는 컴퓨팅 디바이스로서, 사용자의 PC, 스마트폰 등의 각종 단말기를 통칭한다. 또한 도 1 및 도 2에서 모바일 SSO 인증기는 본 발명의 실시예에 따라 SSO 기반의 통합 로그인을 수행함에 있어서 서비스 인증 및 사용자 인증을 수행하기 위한 용도로 제작된 애플리케이션 프로그램(즉, 인증 용도의 에이전트 프로그램)을 의미한다. 이러한 모바일 SSO 인증기는 사용자가 자신의 인증단말기(예를 들어, 스마트폰 등)에 직접 설치할 수도 있지만, 전용 인증단말기로서 별도 구비될 수도 있음은 물론이다. 또한, 도 1 및 도 2에서는 사용자 단말기와 모바일 SSO 확인기가 물리적으로 분리된 객체로서 도시하였지만, 반드시 이와 같을 필요는 없다. 예를 들어서, 사용자 단말기가 스마트폰이고, 해당 스마트폰에 모바일 SSO 인증기가 설치되는 경우에는 하나의 객체 내에 구현될 수도 있는 것이다. 다만, 설명의 편의 및 집중을 위해, 사용자 단말기는 PC이고, 모바일 SSO 확인기는 사용자의 스마트폰에 설치된 앱인 것으로 가정하여 이하 설명하기로 한다.1 and 2 are a series of procedures executed successively in accordance with an embodiment of the present invention. In addition, in FIG. 1 and FIG. 2, a user terminal is a computing device used by a user to access an online service, and generically refers to various terminals such as a user's PC and a smartphone. 1 and 2, the mobile SSO authenticator is an application program (i.e., an agent program for authentication purposes) designed to perform service authentication and user authentication in performing SSO-based integrated login according to an embodiment of the present invention. ). The mobile SSO authenticator may be installed directly in the user's own authentication terminal (for example, a smartphone, etc.), but may be provided separately as a dedicated authentication terminal. In addition, although the user terminal and the mobile SSO confirmer are illustrated as physically separated objects in FIGS. 1 and 2, they need not necessarily be the same. For example, when the user terminal is a smartphone and the mobile SSO authenticator is installed in the smartphone, it may be implemented in one object. However, for convenience and concentration of description, it will be described below on the assumption that the user terminal is a PC and the mobile SSO checker is an app installed in the user's smartphone.

도 1 및 도 2의 순서도를 참조할 때, 사용자가 단말기를 이용하여 서비스에 접속하여 SSO 로그인을 선택하면[도 1의 S1 참조], 온라인 서비스(즉, 온라인 서비스 서버)는 SSO 로그인창 접속정보를 사용자 단말기에게 제공한다[도 1의 S2 참조]. 이때, SSO 구현방식에 따라 세션값, Redirect URI 값, SSO Client ID값 등 다양한 부가 정보가 함께 제공될 수 있음은 자명하다.1 and 2, when a user accesses a service using a terminal and selects SSO login [see S1 of FIG. 1], the online service (ie, an online service server) is connected to the SSO login window access information. To the user terminal (see S2 of FIG. 1). At this time, it is obvious that various additional information such as a session value, a redirect URI value, and an SSO client ID value may be provided together according to the SSO implementation.

사용자는 사용자 단말기를 통해서 SSO 로그인창 접속정보를 이용하여 SSO 서버에게 로그인창 접속을 요청하고[도 1의 S3 참조], 이에 따라 SSO 서버는 해당 로그인창을 제공한다[도 1의 S4 참조]. 이때, SSO 서버에 의해 사용자에게 제공되는 로그인창은 도 3의 (a) 및 (b)를 통해 예시된 바와 같이, SSO 통합 ID와 비밀번호 입력폼 이외에 SSO 서비스 확인값(도 3의 SSO 확인코드 참조)을 표시할 수 있는 폼을 구성되거나, 사용자 비밀번호 입력폼 없이 SSO 통합 ID만 입력하고 SSO 서비스 확인값을 표시하도록 구성될 수 있음은 자명하다.The user requests the SSO server to access the login window using the SSO login window access information through the user terminal [see S3 of FIG. 1], and accordingly, the SSO server provides the corresponding login window [see S4 of FIG. 1]. At this time, the login window provided to the user by the SSO server is SSO service confirmation value in addition to the SSO integration ID and password input form, as illustrated through (a) and (b) of Figure 3 (see SSO verification code of Figure 3) It is obvious that the form can be configured to display a) or it can be configured to enter only the SSO Integration ID and display the SSO service confirmation without the user password entry form.

이에 따라, 사용자가 사용자 단말기에 표시된 SSO 로그인창에 통합 ID를 입력하면, 해당 ID 값을 SSO 서버로 전송한다[도 1의 S5 참조]. Accordingly, when the user inputs the integrated ID into the SSO login window displayed on the user terminal, the corresponding ID value is transmitted to the SSO server (see S5 of FIG. 1).

이 경우, SSO 서버는 해당 ID와 해당 SSO 세션과 관련된 SSO 서버 확인값을 생성할 수 있도록 하는 특정 변수 값을 SSO 확인 서버에 전달하고 SSO 서버 확인값을 요청할 수 있다[도 1의 S6 참조]. 이때, SSO 서버는, 사용자 단말기가 SSO 서버에게 건넸던 최초 온라인 서비스 서버의 고유값을 SSO 확인 서버에 전달할 수도 있고, 자체적으로 임의의 값을 발생시켜 SSO 확인 서버에 전달할 수도 있으며, 사용자 단말기에 로그인창을 제공하기 위하여 생성된 서버의 세션 ID와 같이 사전에 지정된 그 어떤 임의의 고유값을 SSO 확인 서버에 전달할 수도 있다. 도 1의 S6에서는 서버 변수값을 전달하는 경우를 예시하고 있지만, 전달되는 변수 값은 이외에도 다양한 값들이 사용 가능함은 물론이다.In this case, the SSO server may pass a specific variable value to enable the SSO verification server to generate the SSO server verification value associated with the ID and the SSO session and request the SSO server verification value (see S6 in FIG. 1). In this case, the SSO server may transmit the unique value of the first online service server that the user terminal has passed to the SSO server to the SSO verification server, or may generate an arbitrary value of its own and deliver it to the SSO verification server, and log in to the user terminal. It may pass any predefined unique value to the SSO checking server, such as the session ID of the server created to provide the window. In S6 of FIG. 1, a server variable value is illustrated, but various values may be used in addition to the variable value.

SSO 확인 서버는 수신한 해당 ID와 SSO 서버 변수를 이용하여 SSO 서비스 확인값을 생성하고[도 1의 S7 참조], 생성된 SSO 서비스 확인 값을 다시 SSO 서버에게 전달할 수 있다[도 1의 S8 참조] 이와 함께, SSO 확인 서버는 그 생성된 SSO 서비스 확인값 또는 확인값 생성 변수를 모바일 SSO 확인기에 모바일 네트워크를 통해 전달할 수 있다[도 1의 S12 참조]. 이때, SSO 서비스 확인값을 생성하는데 있어서 SSO 서버로부터 수신한 SSO 서버 변수에 ID와 관련된 개인키값, 생성 시간 등 사전에 지정된 규칙에 의해서 SSO 서비스 확인값이 생성될 수 있음은 자명하다.The SSO verification server may generate the SSO service confirmation value using the received ID and the SSO server variable [see S7 of FIG. 1], and may transmit the generated SSO service confirmation value to the SSO server again (see S8 of FIG. 1). In addition, the SSO verification server may forward the generated SSO service verification value or verification value generation variable to the mobile SSO verifier via the mobile network (see S12 in FIG. 1). At this time, it is obvious that the SSO service confirmation value may be generated by a predetermined rule such as a private key value related to ID and a generation time in the SSO server variable received from the SSO server in generating the SSO service confirmation value.

SSO 서버는 SSO 확인 서버로부터 수신된 SSO 서비스 확인 값을 사용자 단말기에 전달함으로써, 사용자 단말기의 화면 상에 표시되는 로그인창 내에 SSO 서비스 확인값이 표출될 수 있도록 한다[도 1의 S9 및 S10, 도 4의 (a) 참조]. 이후, SSO 서버는 SSO 서비스 확인값의 확인에 대한 사용자 동의가 완료될 때까지 대기하거나 사용자 동의가 완료되었는지를 주기적으로 확인할 수 있다[도 1의 S11 참조].The SSO server transmits the SSO service confirmation value received from the SSO confirmation server to the user terminal so that the SSO service confirmation value can be displayed in the login window displayed on the screen of the user terminal [S9 and S10 of FIG. 1, FIG. 4 (a)]. Thereafter, the SSO server may wait until the user consent for the confirmation of the SSO service check value is completed or periodically check whether the user consent is completed (see S11 of FIG. 1).

또한 모바일 SSO 확인기는 SSO 확인 서버로부터 수신한 SSO 서비스 확인값을 해당 앱 화면을 통해서 표출하거나[도 1의 S13 참조], SSO 확인 서버로부터 수신한 확인값 생성변수를 이용하여 SSO 확인값을 생성하여 해당 앱 화면을 통해서 표출할 수 있다. In addition, the mobile SSO checker expresses the SSO service check value received from the SSO check server through the corresponding app screen [see S13 in FIG. 1], or generates an SSO check value using the check value generating variable received from the SSO check server. Can be displayed through the app screen.

이때, 구현 방식에 따라서 사용자는 모바일 SSO 확인기의 앱 화면을 통해 표시된 SSO 서비스 확인값과 사용자는 단말기내에 SSO 로그인창에 표시된 SSO 서비스 확인값이 일치하는지 확인하고, 일치하면 로그인 입력 양식에 따라서 SSO 사용자 암호를 직접 입력할 수 도 있고, 모바일 SSO 확인기 앱에서 수신된 값을 통해서 사용자 암호 입력없이 자동 로그인될 수 있음은 자명하다.At this time, according to the implementation method, the user checks whether the SSO service check value displayed through the app screen of the mobile SSO checker matches the SSO service check value displayed in the SSO login window in the terminal. It is obvious that the user password can be entered directly or the user can be automatically logged in without inputting the user password through the value received from the mobile SSO checker app.

SSO 서비스 확인값에 관한 사용자 확인을 완료되면[도 2의 S14 참조], 모바일 SSO 확인기는 SSO 확인 서버로 사용자 확인값을 전달한다[도 2의 S15 참조]. 이때, 사용자 확인 입력 방식은 단순 확인 버튼 입력에서부터 모바일 단말기내에 설치된 생체인식기, 패턴 입력, FIDO와 같은 다양한 사용자 인증수단이 추가적으로 강구될 수 있음은 자명하다.When the user confirmation regarding the SSO service confirmation value is completed [see S14 of FIG. 2], the mobile SSO confirmer forwards the user confirmation value to the SSO confirmation server [see S15 of FIG. 2]. At this time, it is apparent that the user confirmation input method may be additionally provided with various user authentication means such as a simple confirmation button input, a biometric device installed in the mobile terminal, a pattern input, and a FIDO.

SSO 확인 서버는 모바일 SSO 확인기에서 전달해온 사용자 확인값을 수신하고, 수신된 사용자 확인값이 정당 사용자의 확인값인지 여부를 검증할 수 있다[도 2의 S16 참조]. 이때, 사용자 확인값의 검증은 사전에 모바일 단말기와 일치된 사전에 지정된 방식을 이용하여 검증할 수 있다. 수신된 사용자 확인값이 검증되면, SSO 확인 서버는 그 검증 결과를 SSO 서버에 전송한다[도 2의 S17 참조].The SSO confirmation server may receive the user confirmation value delivered from the mobile SSO confirmer, and may verify whether the received user confirmation value is a confirmation value of a party user (see S16 of FIG. 2). In this case, the verification of the user confirmation value may be verified using a predetermined method previously matched with the mobile terminal. If the received user confirmation value is verified, the SSO confirmation server sends the verification result to the SSO server (see S17 of FIG. 2).

이에 따라, SSO 서버는 사용자 확인 결과를 수신하고, SSO 서비스 확인에 대한 사용자 동의 확인 요청을 기반으로 사용자 ID와 SSO 서비스 확인 결과값을 전송할 수 있다[도 2의 S18 참조]. 이때, 사용자 ID와 SSO 서비스 확인 결과값은 기존 사용자 아이디와 암호 일치에 따른 확인값과 같을 수도 있지만, 구현되는 방식에 따라서 전달되는 확인 결과값은 다양할 수 있음은 자명하다. OAuth 2.0 표준기술을 이용하여 구현한 경우, SSO 서비스 확인 결과 값은, 사용자 아이디와 암호 일치에 따른 계정정보 인증에 대한 Token값이 이용될 수 있다(도 6 또는 도 9 참조). Accordingly, the SSO server may receive the user confirmation result and transmit the user ID and the SSO service confirmation result based on the user consent confirmation request for the SSO service confirmation (see S18 of FIG. 2). At this time, the user ID and the SSO service confirmation result value may be the same as the confirmation value according to the existing user ID and password match, it is obvious that the confirmation result delivered may vary depending on the implementation method. When implemented using the OAuth 2.0 standard technology, the SSO service check result value may use a token value for account information authentication according to a user ID and password match (see FIG. 6 or FIG. 9).

사용자 단말기는 수신한 결과값을 이용하여 온라인 서비스 서버에 로그인을 시도하고[도 2의 S19 참조], 온라인 서비스 서버는 해당 수신한 결과값이 SSO 서버에서 발급되었는지 재차 SSO 서버에 검증할 수 있다[도 2의 S20 및 S21 참조]. SSO 서버는 SSO 로그인 시도를 검증한 후 온라인 서비스 서버에 결과값을 전달할 수 있고, 이에 따라 온라인 서비스 서버는 사용자 단말기에 서비스를 제공한다[도 2의 S22 참조]. The user terminal attempts to log in to the online service server using the received result value [see S19 of FIG. 2], and the online service server may verify again with the SSO server whether the received result value is issued from the SSO server [ S20 and S21 of FIG. 2]. After verifying the SSO login attempt, the SSO server may transmit a result value to the online service server, whereby the online service server provides a service to the user terminal (see S22 of FIG. 2).

본 발명의 다른 실시예예 의할 때, SSO 확인 서버에 SSO 서버 등록부를 두어 사전에 등록된 SSO 서버에서만 SSO 확인 서버에 SSO 서비스 확인값 생성을 요청할 수 있도록 할 수도 있으며, SSO 서버에도 확인 서버 등록부를 두어 SSO 확인 서버가 발급해준 정보를 보관할 수도 있다.According to another embodiment of the present invention, the SSO verification server may be placed in the SSO verification server so that only the SSO server registered in advance may request the SSO verification server to generate the SSO service confirmation value. It can also hold information issued by the SSO verification server.

또한 이상에서는 도 1 및 도 2를 중심으로 본 발명의 실시예를 설명하였지만, 상술한 본 발명의 핵심 기술적 특징들은 표준 기술인 OAuth 2.0 기술과 결합하여 구현될 수도 있다. 본 명세서에 첨부된 도 5 및 도 6은 표준 기술에 따른 SSO 서비스 작동 흐름을 도시하고 있다. 이와 같은 OAuth 2.0 기술에 따른 SSO 서비스는 본 명세서를 통해서 앞서 설명된 핵심 기술적 특징과 결합할 때, 도 7 ~ 도 10의 순서도에 따라 구현될 수 있다.In addition, although the embodiments of the present invention have been described above with reference to FIGS. 1 and 2, the above-described core technical features of the present invention may be implemented in combination with an OAuth 2.0 technology, which is a standard technology. 5 and 6 attached herein illustrate an SSO service operation flow according to standard technology. When the SSO service according to the OAuth 2.0 technology is combined with the core technical features described above through the present specification, it may be implemented according to the flowchart of FIGS. 7 to 10.

여기서, 도 7의 도면부호 1 ~ 도면부호 6의 절차들은 도 5의 도면부호 1 ~ 도면부호 6의 절차들과 동일하며, 도 9의 도면부호 31로부터 도 10의 도면부호 42까지의 절차들은 도 5의 도면부호 8로부터 도 6의 도면부호 19까지의 절차들과 동일하다. 즉, OAuth 2.0 기술에 따른 SSO 서비스가 본 발명의 핵심 기술적 특징과 결합할 때, 도 7의 도면부호 7로부터 도 9의 도면부호 30까지의 일련의 절차들이 본 발명의 실시예에 따라 추가될 수 있다.Here, the procedures of reference numerals 1 to 6 of FIG. 7 are the same as those of reference numerals 1 to 6 of FIG. 5, and the procedures from reference numeral 31 of FIG. 9 to reference numeral 42 of FIG. 10 are illustrated in FIG. The procedures are the same as those from 8 to 19 of FIG. 6. That is, when the SSO service according to the OAuth 2.0 technology is combined with the core technical features of the present invention, a series of procedures from reference numeral 7 of FIG. 7 to reference numeral 30 of FIG. 9 may be added according to an embodiment of the present invention. have.

상술한 본 발명의 실시예에 따른 싱글 사인 온 서비스 기반의 상호 인증 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다. The single sign-on service-based mutual authentication method according to the above-described embodiment of the present invention may be implemented as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording media having data stored thereon that can be decrypted by a computer system. For example, there may be a read only memory (ROM), a random access memory (RAM), a magnetic tape, a magnetic disk, a flash memory, an optical data storage device, and the like. The computer readable recording medium can also be distributed over computer systems connected over a computer network, stored and executed as readable code in a distributed fashion.

이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.Although the above has been described with reference to embodiments of the present invention, those skilled in the art may variously modify the present invention without departing from the spirit and scope of the present invention as set forth in the claims below. And can be changed easily.

Claims (5)

SSO(Single Sign On) 서비스 기반의 상호 인증 시스템에 있어서,
SSO 서비스에 가입된 온라인 서비스들에 관한 통합 로그인 절차를 대행하는 SSO 서버의 진위를 확인하기 위한 동작을 수행하는 SSO 확인 서버와, 모바일 기기에 설치되는 모바일 SSO 확인기를 포함하고,
상기 SSO 확인 서버는, 접속 단말기를 통한 상기 온라인 서비스에 관한 사용자의 통합 로그인 요청에 상응하여 상기 SSO 서버의 진위 확인을 위한 SSO 서비스 확인값을 생성하고, 생성된 SSO 서비스 확인값이 상기 접속 단말기의 화면 상의 통합 로그인 확인창 및 상기 모바일 SSO 확인기의 앱 화면을 통해서 게시될 수 있도록 상기 SSO 서비스 확인값을 상기 SSO 서버 및 상기 모바일 SSO 확인기로 전송하고,
상기 SSO 서버는, 상기 SSO 확인 서버로부터 수신한 SSO 서비스 확인값이 상기 통합 로그인 확인창에 표시되도록 상기 SSO 서비스 확인값을 상기 접속 단말기로 전달하는, SSO 서비스 기반의 상호 인증 시스템.
In the mutual authentication system based on SSO (Single Sign On) service,
An SSO verification server that performs an operation for verifying the authenticity of the SSO server for the integrated login procedure for the online services subscribed to the SSO service, and a mobile SSO verifier installed on the mobile device,
The SSO confirmation server generates an SSO service confirmation value for authenticity confirmation of the SSO server in response to the user's integrated login request for the online service through the access terminal, and the generated SSO service confirmation value is determined by the access terminal. The SSO service confirmation value is transmitted to the SSO server and the mobile SSO verifier so that it can be posted through the integrated login confirmation window on the screen and the app screen of the mobile SSO verifier.
The SSO server, the SSO service-based mutual authentication system for transmitting the SSO service confirmation value to the access terminal so that the SSO service confirmation value received from the SSO confirmation server is displayed on the integrated login confirmation window.
제1항에 있어서,
상기 SSO 확인 서버는,
상기 사용자로부터 입력된 통합 ID와 SSO 서버 변수값을 상기 SSO 서버로부터 수신하고, 수신된 통합 ID에 따라 사전 지정된 방식으로 상기 SSO 서버 변수값을 이용하여 상기 SSO 서비스 확인값을 생성하는, SSO 서비스 기반의 상호 인증 시스템.
The method of claim 1,
The SSO verification server,
SSO service base, which receives the integration ID and SSO server variable value input from the user from the SSO server and generates the SSO service confirmation value using the SSO server variable value in a predetermined manner according to the received integration ID. Mutual authentication system.
제1항에 있어서,
상기 SSO 확인 서버는,
상기 SSO 서비스 확인값에 관한 사용자 확인에 따른 사용자 확인값이 상기 모바일 SSO 확인기로부터 수신된 경우 사전 지정된 방식으로 수신된 사용자 확인값에 관한 검증을 수행하고, 검증 결과, 수신된 사용자 확인값이 수신된 통합 ID에 따른 사용자에 상응하는 정당한 값으로 확인되는 경우 사용자 확인 결과를 상기 SSO 서버로 전송함으로써, 상기 SSO 서버를 통한 통합 로그인 절차가 실행될 수 있도록 하는, SSO 서비스 기반의 상호 인증 시스템.
The method of claim 1,
The SSO verification server,
When the user confirmation value according to the user confirmation regarding the SSO service confirmation value is received from the mobile SSO confirmer, the verification is performed on the received user confirmation value in a predetermined manner, and as a result of the verification, the received user confirmation value is received. And a user authentication result is transmitted to the SSO server when it is determined to be a legitimate value corresponding to the user according to the integrated ID, thereby enabling an integrated login procedure through the SSO server to be executed.
제1항에 있어서,
상기 SSO 서버는,
상기 접속 단말기를 통한 SSO 로그인창 접속 요청에 따라 통합 로그인창을 제공하고, 상기 접속 단말기를 통해 해당 사용자의 통합 ID가 수신되는 경우, 상기 SSO 확인 서버로 상기 통합 ID 및 상기 SSO 서버 변수를 전달하는, SSO 서비스 기반의 상호 인증 시스템.
The method of claim 1,
The SSO server,
Providing an integrated login window according to the SSO login window access request through the access terminal, and when the integration ID of the user is received through the access terminal, transferring the integration ID and the SSO server variable to the SSO verification server. , SSO service based mutual authentication system.
삭제delete
KR1020170081619A 2016-09-27 2017-06-28 Unified login method and system based on single sign on service KR102016976B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020160124056 2016-09-27
KR20160124056 2016-09-27

Publications (2)

Publication Number Publication Date
KR20180034199A KR20180034199A (en) 2018-04-04
KR102016976B1 true KR102016976B1 (en) 2019-10-21

Family

ID=61975387

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170081619A KR102016976B1 (en) 2016-09-27 2017-06-28 Unified login method and system based on single sign on service

Country Status (1)

Country Link
KR (1) KR102016976B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102583671B1 (en) * 2018-06-25 2023-09-27 (주)이스톰 User authentication method and system transforming a user password into a self password
KR102498335B1 (en) * 2021-12-02 2023-02-08 정호진 System and method for instant secure login to other websites after self-authentication within a major application close to life

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468977B1 (en) * 2014-03-18 2014-12-04 성 탁 문 라파엘 Method and system for authentication using a mobile device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101468977B1 (en) * 2014-03-18 2014-12-04 성 탁 문 라파엘 Method and system for authentication using a mobile device

Also Published As

Publication number Publication date
KR20180034199A (en) 2018-04-04

Similar Documents

Publication Publication Date Title
US11647023B2 (en) Out-of-band authentication to access web-service with indication of physical access to client device
KR102307665B1 (en) identity authentication
US20170244676A1 (en) Method and system for authentication
EP2954451B1 (en) Barcode authentication for resource requests
US8769289B1 (en) Authentication of a user accessing a protected resource using multi-channel protocol
US9780950B1 (en) Authentication of PKI credential by use of a one time password and pin
US10050791B2 (en) Method for verifying the identity of a user of a communicating terminal and associated system
CN108684041A (en) The system and method for login authentication
KR101451359B1 (en) User account recovery
EP3662430B1 (en) System and method for authenticating a transaction
WO2018021708A1 (en) Public key-based service authentication method and system
KR102482104B1 (en) Identification and/or authentication system and method
WO2019226115A1 (en) Method and apparatus for user authentication
US11363014B2 (en) Method and system for securely authenticating a user by an identity and access service using a pictorial code and a one-time code
US20170011393A1 (en) Personal identification and anti-theft system and method using disposable random key
KR20220167366A (en) Cross authentication method and system between online service server and client
US20230198751A1 (en) Authentication and validation procedure for improved security in communications systems
KR102016976B1 (en) Unified login method and system based on single sign on service
KR102313868B1 (en) Cross authentication method and system using one time password
KR102284876B1 (en) System and method for federated authentication based on biometrics
CN108886524B (en) Securing remote authentication
KR20200018546A (en) Public key infrastructure based service authentication method and system
KR101879842B1 (en) User authentication method and system using one time password
CN112970017A (en) Secure linking of devices to cloud storage
US20220417020A1 (en) Information processing device, information processing method, and non-transitory computer readable storage medium

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant