KR102150484B1 - 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 - Google Patents

보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 Download PDF

Info

Publication number
KR102150484B1
KR102150484B1 KR1020190175397A KR20190175397A KR102150484B1 KR 102150484 B1 KR102150484 B1 KR 102150484B1 KR 1020190175397 A KR1020190175397 A KR 1020190175397A KR 20190175397 A KR20190175397 A KR 20190175397A KR 102150484 B1 KR102150484 B1 KR 102150484B1
Authority
KR
South Korea
Prior art keywords
password
authentication
server
message
account
Prior art date
Application number
KR1020190175397A
Other languages
English (en)
Inventor
신호철
김대옥
이재국
염창주
Original Assignee
주식회사 넷앤드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 넷앤드 filed Critical 주식회사 넷앤드
Application granted granted Critical
Publication of KR102150484B1 publication Critical patent/KR102150484B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

적어도 하나의 사용자 단말과 적어도 하나의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 관한 것으로서, 상기 접속인증 클라이언트에 OTP 생성기 정보를 생성하여 공유하고, 동일한 OTP 생성기 정보를 저장하는 OTP 발급부; 상기 사용자 단말과 통신을 수행하는 클라이언트 핸들러; 상기 서버와 통신을 수행하는 서버 핸들러; 상기 클라이언트 핸들러와 상기 서버 핸들러 사이에서 메시지를 중계하되, 메시지가 인증 메시지이면, 인증 메시지의 비밀번호(이하 입력 비밀번호)를 인증하고, 인증에 성공하면 저장된 계정 비밀번호를 이용하여 상기 서버와의 인증을 대행하는 인증 처리부; 및, 상기 서버의 계정 비밀번호를 관리하는 패스워드 관리부를 포함하는 구성을 마련한다.
상기와 같은 시스템에 의하여, 종래의 접근통제를 통한 OTP 접속 인증 방법의 불편함 점을 제거할 수 있고, 사용자가 장비에 접속하는 환경 그대로 사용할 수 있고, 보안적으로도 기존의 접근통제 시스템과 같이 동일 혹은 강력한 수준의 통제를 받을 수 있게 보안을 강화할 수 있다.

Description

보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 { An access authentication system using onetime password for enhancing security }
본 발명은 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관에서 관리하는 서버나 네트워크 장비에 접속 시 서버의 접속 비밀번호가 아닌 OTP(일회성 비밀번호)를 대신 사용하여 접속하고자 하는 사용자에 대한 인증 뿐만 아니라 비밀번호 노출을 최소화하여 서버 계정 비밀번호의 보안 및 사용자 인증을 강화하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 관한 것이다.
일반적으로, OTP(onetime password)는 일회용 패스워드로서, 일정한 시간 내에서만 인증이 허용되는 방식이다[특허문헌 1]. 기존의 접근통제 시스템에서는 장비(또는 서버) 접속 시 인증 강화를 위해서 OTP를 사용하는 방식은 다음과 같다.
먼저, 첫번째 방식은 장비 접속을 시도하고자 할 때, 접근제어 솔루션에서 클라이언트를 통해서 접속하고자 하는 장비의 접속 프로그램, 장비 계정 그리고 패스워드를 넣는 로그인 화면 이후에, 다시 OTP 입력을 위한 화면을 제공하는 방식이다. 즉, 로그인 화면에서 데이터가 입력되면, 접근제어 클라이언트에서 새로운 OTP용 화면을 제공하고, 그 값이 사용자의 권한에 의해 만들어서, OTP에 대한 응답을 확인하여 인증된다.
또한, 두번째 방식은 기존의 접근통제 시스템에서는 장비 접속을 요청받을 때, 장비(또는 서버)의 패스워드를 실제로 새로운 패스워드로 변경하는 방식이다. 따라서 이 방식은 "장비의 접속프로그램, 장비 계정 그리고 패스워드를 넣는 특별한 로그인 화면" 없이 진행된다. 그러나 이러한 방식은 지속적으로 패스워드를 변경해야 하므로, 접속이 많은 장비일 경우 시스템에 부하를 줄 수 있다. 또한, 통상적으로 OTP가 6자리 숫자로 구성되는 등 간단하게 이루어져 있고, 다음 접속 시까지, 혹은 일정 기간 동안, 해당 숫자만으로 이루어져 있는 실제 패스워드가 유지되므로, 이 기간 동안 패스워드가 노출될 수 있는 위험이 남아 있다. 이로 인해, 보안이 약화될 수 있다.
그런데 상기와 같은 종래의 OTP 인증 방식은 다음과 같은 불편함과 보안적인 취약점이 있다. 즉, 기존의 접속 환경과는 다르게 OTP를 확인하는 창에서, OTP 번호를 입력해야 하는 번거로움이 있다.
또한, 해당 장비의 패스워드를 OTP와 동기화 할 경우 일정시간마다 장비의 패스워드를 변경해야 되고, 이러한 변경 작업은 지속적으로 장비에 부하를 주는 문제점이 있다.
또한, 지속적으로 패스워드를 변경할 경우, 해당 패스워드는 숫자만으로 이루어 간단하게 처리될 수 있으나, 그 패스워드의 난이도가 쉬워져서 보안이 약화될 수 있다.
상기한 같은 문제로 인해서, 장비 접속 시, 사용에 불편함이 있고, 보안이 약화될 수 있다. 따라서 보안 사고의 위험이 내재되어 있는 문제점이 있다.
한국등록특허 제10-1795450호(2017.11.09.공고)
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 게이트웨이 방식의 접근 통제 기술을 이용하여, 기관의 주요 서버에 접근 시에 사용되는 비밀번호 또는 패스워드(Password)를 일회성으로 사용하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템을 제공하는 것이다.
즉, 본 발명의 목적은 게이트웨이가 OTP(One Time Password) 생성기를 사용자 단말의 클라이언트와 공유하여, 생성된 OTP로 비밀번호 인증을 요청하면, 게이트웨이에서 서버의 접속 비밀번호로 대체하여 인증을 수행하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 통신 어플리케이션과 접속인증 클라이언트가 설치된 적어도 하나의 사용자 단말과, 적어도 1개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 관한 것으로서, 상기 접속인증 클라이언트에 OTP 생성기 정보를 생성하여 공유하고, 동일한 OTP 생성기 정보를 저장하는 OTP 발급부; 상기 사용자 단말과 통신을 수행하는 클라이언트 핸들러; 상기 서버와 통신을 수행하는 서버 핸들러; 상기 클라이언트 핸들러와 상기 서버 핸들러 사이에서 메시지를 중계하되, 메시지가 인증 메시지이면, 인증 메시지의 비밀번호(이하 입력 비밀번호)를 인증하고, 인증에 성공하면 저장된 계정 비밀번호를 이용하여 상기 서버와의 인증을 대행하는 인증 처리부; 및, 상기 서버의 계정 비밀번호를 관리하는 패스워드 관리부를 포함하는 것을 특징으로 한다.
또, 본 발명은 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서, 상기 입력 비밀번호는 상기 접속인증 클라이언트에서 OTP 생성기에 의해 생성된 일회성 비밀번호(이하 제1 비밀번호)이고, 상기 인증 처리부는 저장된 OTP 생성기에 의해 일회성 비밀번호(이하 제2 비밀번호)를 생성하고, 상기 제1 비밀번호와 상기 제2 비밀번호를 비교하여 동일하면, 상기 입력 비밀번호의 인증 성공으로 판단하는 것을 특징으로 한다.
또, 본 발명은 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서, 상기 OTP 생성기 정보는 서비스 계정에 의해 식별되도록 저장되고, 상기 인증 처리부는 상기 클라이언트 핸들러로부터 수신되는 메시지를 필터링하여 인증 메시지 여부를 검출하고, 검출된 인증 메시지에서 서비스 계정 및 입력 비밀번호를 추출하고, 추출한 서비스 계정으로, 저장된 OTP 생성기 정보를 검색하고, 검색된 OTP 생성기 정보에 의한 OTP 생성기로 상기 제2 일회용 비밀번호를 생성하는 것을 특징으로 한다.
또, 본 발명은 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서, 상기 인증 처리부는 인증 프로토콜에 따라, 상기 서버 핸들러를 통해 상기 서버와의 인증 과정을 수행하되, 인증을 위한 서비스 계정과 비밀번호로서, 각각 추출된 서비스 계정과, 저장된 계정 비밀번호를 이용하고, 비밀번호를 전달하는 메시지 내에, 검색된 계정 비밀번호를 입력하여, 해당 메시지를 상기 서버 핸들러로 전송하는 것을 특징으로 한다.
또, 본 발명은 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서, 상기 패스워드 관리부는 서비스 계정 및 계정 비밀번호를 사전에 설정되어 저장하고, 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경하는 것을 특징으로 한다.
또, 본 발명은 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서, 상기 OTP 생성기는 현재시각과 고유키를 씨드(seed)로 하여 랜덤하게 일회성 비밀번호를 생성하고, 상기 OTP 생성기 정보는 고유키를 포함하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 의하면, 종래의 접근통제를 통한 OTP 접속 인증 방법의 불편함 점을 제거할 수 있고, 사용자가 장비에 접속하는 환경 그대로 사용할 수 있고, 보안적으로도 기존의 접근통제 시스템과 같이 동일 혹은 강력한 수준의 통제를 받을 수 있게 보안을 강화할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 의하면, 사용자가 접근통제를 경유하여 서버에 접근 시, 게이트웨이에서 일회성 비밀번호(Password)로 인증하고, 저장된 접속 비밀번호로 서버의 사용자 인증을 수행함으로써, 불법 접근을 차단하고, 해킹이나 사용자 관리 소홀로 인하여 패스워드가 노출되는 것을 방지할 수 있는 효과가 얻어진다.
도 1은 본 발명을 실시하기 위한 전체 시스템에 대한 구성도.
도 2는 본 발명의 일실시예에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템의 구성에 대한 블록도.
도 3은 본 발명에 따른 OTP 생성기 정보를 나타낸 예시 표.
도 4는 본 발명의 일실시예에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 의한 서버 접속 방법을 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성에 대하여 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 사용자 단말(10)에 설치되는 접속인증 클라이언트(20)와 통신 어플리케이션(60), 적어도 하나의 서버(40), 및, 서버(40)의 접속 인증을 수행하는 접속인증 게이트웨이(30)로 구성된다. 또한, 사용자 단말(10)과 접속인증 게이트웨이(30)는 네트워크(미도시)를 통해 연결된다. 또한, 접속인증 게이트웨이(30)에서 필요한 데이터를 저장하기 위한 데이터베이스(80)를 더 포함하여 구성될 수 있다.
먼저, 사용자 단말(10)은 사용자가 사용하는 컴퓨팅 단말로서, PC, 노트북, 태플릿PC, 스마트폰, 태블릿PC 등이다. 또한, 사용자 단말(10)은 네트워크(미도시)를 통해 서버(41) 또는 접속인증 게이트웨이(30)에 연결할 수 있는 네트워크 기능을 보유한다. 또한, 사용자 단말(10)은 어플리케이션 등 프로그램 시스템이 설치되어 실행될 수 있다.
다음으로, 통신 어플리케이션(60)은 사용자 단말(10)에 설치되는 프로그램 시스템으로서, 서버(40)에 접속하기 위한 통신 프로토콜에 의한 통신 프로그램, 쉘 스크립트, 터미널 어플리케이션 등 통신용 프로그램 시스템이다. 예를들어, 통신 어플리케이션(20)은 텔넷(TELNET), RDP(Remote Desktop Protocol) 등 원격접속 프로토콜을 통한 작업을 수행한다. 이외에도 파일 전송을 위한 FTP(File Transfer Protocol), SSH(secure shell), SFTP(SSH Transfer Protocol) 등 표준화된 원격 접속 프로토콜을 이용한다.
또한, 통신 어플리케이션(60)은 서버(40)에 접속하여 통신을 수행하나, 실제로 접속인증 게이트웨이(30)를 통해 우회적으로 서버(40)에 접속한다. 즉, 통신 어플리케이션(60)은 자신의 입장에서 서버(40)와 직접적으로 통신하는 것으로 작동한다. 예를 들어, 통신 어플리케이션(60)은 서버 정보와 프로토콜 정보(IP주소 및 포트)를 이용하여 세션 설정을 수행하고, 설정된 세션으로 서버(40)에 접근한다. 그러나 접속인증 클라이언트(20)는 통신 어플리케이션(60)의 통신 패킷 등을 변조하여 접속인증 게이트웨이(30)로 우회시킨다.
구체적으로, 통신 어플리케이션(60)에서 송수신하는 모든 데이터 또는 데이터 패킷은 네트워크 드라이버(미도시)를 거쳐 처리(송수신)된다. 이때, 접속인증 클라이언트(20)의 네트워크 필터 드라이버에 의해, 송수신되는 패킷 또는 메시지가 후킹되어, 접속인증 게이트웨이(30)로 우회된다.
한편, 통신 어플리케이션(60)은 서버(40)에 접근하여 접속 계정(장비 계정, 서비스 계정) 및 패스워드(또는 비밀번호)로 사용자 인증을 수행받고, 사용자 인증이 통과되면 서버(40)의 서비스를 이용할 수 있다.
이때, 통신 어플리케이션(60)은 접속인증 클라이언트(20)에서 생성된 일회성 비밀번호(OTP, one-time password)를 사용한다. 즉, 접속인증 클라이언트(20)로부터 일회성 비밀번호를 전달받고, 서버(40)에 접속하여 사용자 인증을 수행할 때, 접속 계정(또는 장비 계정, 서비스 계정)을 입력하고, 전달받은 일회성 비밀번호를 접속 패스워드로서 입력한다. 일회성 비밀번호는 접속인증 게이트웨이(30)에서 인증되고, 접속인증 게이트웨이(30)에 의해, 실제의 접속 패스워드가 서버(40)에 전달된다.
다음으로, 접속인증 클라이언트(20)는 사용자 단말(10)에 설치되는 프로그램 시스템(또는 어플리케이션)으로서, 통신 어플리케이션(60)이 서버(40)와 송수신하는 패킷을 접속인증 게이트웨이(30)로 우회시킨다. 즉, 접속인증 클라이언트(20)는 통신 어플리케이션(60)이 전송하는 패킷의 목적지를 변조하여 접속인증 게이트웨이(30)로 전송하고, 접속인증 게이트웨이(30)로부터 수신한 패킷을 통신 어플리케이션(60)로 전달하게 한다. 따라서 통신 어플리케이션(60)과 서버(40) 간의 통신은 접속인증 게이트웨이(30)로 우회되나, 통신 어플리케이션(60)에게는 서버(40)와 직접 통신하는 것으로 보여진다.
특히, 접속인증 클라이언트(20)는 네트워크 필터 드라이버에서 데이터 패킷을 필터링하여 접속가능 서버 정보 내의 주소로 전달되는 패킷인지를 확인하고, 확인되면 해당 데이터 패킷을 접속인증 클라이언트(20)로 우회시킨다.
또한, 접속인증 클라이언트(20)는 접속인증 게이트웨이(30)에 대한 접근을 위해 사용자의 게이트웨이 인증을 수행할 수 있다. 구체적으로, 접속인증 클라이언트(20)는 접속인증 게이트웨이(30)에 접근하여 사용자 인증, 또는 게이트웨이에 대한 사용자 인증을 수행한다. 이를 사용자의 게이트웨이 인증이라 부르기로 한다.
또한, 접속인증 클라이언트(20)는 접속인증 게이트웨이(30)로부터 접속가능 서버 정보를 수신하여, 통신 어플리케이션(60)이 접속가능 서버 정보 내의 서버만 접속하도록 통제할 수 있다. 일례로서, 접속인증 클라이언트(20)는 각 사용자에 대하여 접속 가능한 서버 목록을 표시할 때, 접속가능 서버 정보 내의 서버 접근 정보만을 제시한다.
한편, 접속인증 클라이언트(20)는 접속인증 게이트웨이(30)와 OTP 생성기를 공유한다. OTP 생성기(미도시)는 현재 시각(current time)을 씨드(seed)로 하여, 일회성 비밀번호를 랜덤하게 생성한다. 따라서 동일한 시각에서는 동일한 OTP를 생성한다.
또한, 바람직하게는, 접속인증 클라이언트(20)는 접속인증 게이트웨이(30)에 접속하여 게이트웨이 인증을 수행한 후, 게이트웨이 인증이 통과되면 접속인증 게이트웨이(30)로부터 OTP 생성기를 분배받을 수 있다. 따라서 접속인증 클라이언트(20)와 접속인증 게이트웨이(30)는 동일한 OTP 생성기를 공유한다.
또한, 접속인증 클라이언트(20)는 OTP 생성기로 일회성 비밀번호(OTP)를 생성하여, 통신 어플리케이션(60)에 전달한다. 통신 어플리케이션(60)은 전달받은 OTP로 서버(40)의 사용자 인증을 위해, 접속 계정 또는 서비스 계정의 비밀번호로 사용한다. 다른 실시예로서, 접속인증 클라이언트(20)는 일회성 비밀번호를 화면에 출력하고, 사용자가 직접 일회성 비밀번호를 보고, 통신 어플리케이션(60)에서 해당 일회성 비밀번호를 입력할 수 있다.
다음으로, 서버(40)는 적어도 1개가 설치된다. 즉, 서버(40)는 다수 개가 설치될 수 있다.
각 서버(40)는 사용자 단말(10) 또는 통신 어플리케이션(60)으로부터 네트워크(미도시)를 통해 접속 요청을 받고, 요청에 따라 접속을 허용하여 통신을 수행시켜준다. 이때, 바람직하게는, 서버(40)는 통신 프로토콜을 통해 사용자 단말(10) 또는 통신 어플리케이션(60)과 통신을 수행한다.
또한, 서버(40)는 통신 프로토콜을 이용하여, 사용자 단말(10) 또는 통신 어플리케이션(60)으로부터 명령문 등 메시지를 수신하고, 해당 메시지의 명령 또는 요청을 수행하고 그 결과(또는 결과 메시지)를 사용자 단말(10)에 전송한다. 이때, 사용자 단말(10)과, 서버(40) 사이에는 세션이 형성되고, 세션 내에서 접속 요청 또는 메시지, 결과내용 등이 통신 프로토콜을 통해 데이터 패킷으로 송수신된다.
한편, 위에서 설명된 서버(40)와 사용자 단말(10)과의 통신은 직접 연결되어 처리되지 않고, 접속인증 게이트웨이(30)을 통해 연결된다. 즉, 사용자 단말(10)의 요청 메시지는 접속인증 게이트웨이(30)을 통해 서버(40)로 전달되고, 또한, 서버(40)의 응답 메시지도 접속인증 게이트웨이(30)을 통해 사용자 단말(10)에 전달된다.
한편, 바람직하게는, 서버(40)는 방화벽(firewall)이 설치되고, 접근통제 게이트(30)로부터 수신되는 데이터(또는 데이터 패킷)만을 통과시키도록, 통제 정책을 설정할 수 있다. 따라서 사용자 단말(10)은 직접 서버(40)에 접근할 수 없고 반드시 접속인증 게이트웨이(30)을 통해서만 서버(40)에 접근할 수 있다. 만약 게이트웨이(30)로 패킷 경로를 변경하지 않고 패킷 그대로 서버(40)로 전송되면, 접근통제 구축 조건인 게이트웨이 이외의 서버 접근 경로는 모두 차단하는 방화벽 정책에 의하여 차단되어 접근을 할 수 없다.
한편, 서버(40)는 사용자의 서버 접속에 대하여, 서비스 계정(또는 접속 계정)과 비밀번호를 이용하여 인증(또는 사용자 인증, 서비스 인증)을 수행하고, 사용자 인증이 통과된 경우에만 서버 접속을 허용하고, 서버의 서비스를 제공한다. 서비스 계정 또는 접속 계정은 아이디(또는 사용자 아이디, 접속 아이디, 서비스 아이디)로 식별한다. 이하에서 설명의 편의를 위하여 서비스 계정(또는 서비스 아이디)로 부르기로 한다. 또한, 해당 서비스 계정 또는 접속 계정은 패스워드(password)에 의해 인증된다. 이하에서, 서버(40)의 서비스 계정에 대한 패스워드를 계정 비밀번호 또는 접속 비밀번호라 부르기로 한다.
다음으로, 접속인증 게이트웨이(30)는 사용자 단말(10)과 서버(40) 사이의 네트워크(미도시) 상에 설치되는 게이트웨이로서, 사용자 단말(10)과 서버(40) 사이를 모니터링하여 중계하거나 차단한다.
즉, 접속인증 게이트웨이(30)는 사용자 단말(10) 또는 통신 어플리케이션(60)으로부터 수신되는 메시지(또는 데이터 패킷)를 수신하여 서버(40)에 전달하고, 서버(40)로부터 결과(또는 데이터 패킷)를 수신하여 사용자 단말(10)로 전달한다. 이때, 접속인증 게이트웨이(30)는 서버(40)에 접속하여, 서버(40)와의 사이에서 세션(이하 서버용 세션)을 형성한다. 또한, 접속인증 게이트웨이(30)는 사용자 단말(10)과의 사이에서 세션(이하 클라이언트용 세션)을 형성한다. 그리고 클라이언트용 세션과 서버용 세션 사이를 중계한다.
또한, 접속인증 게이트웨이(30)는 수신되는 메시지를 분석하고, 해당 메시지에 내포하는 명령어 등의 차단 여부를 결정하거나, 통신 내용을 모니터링하고 저장한다. 즉, 사전에 정해진 보안 정책 또는 접근통제 정책에 따라, 해당 메시지를 서버(40)에 전송하거나 차단하는 등 모니터링하고, 통신 내용 또는 장비 접근 이력을 로그에 기록하고 저장한다.
또한, 접속인증 게이트웨이(30)는 서버(40)에 접속하기 위한 사용자 또는 서비스 계정의 인증정보(접속 계정과 패스워드)를 등록하여 관리한다. 서버의 서비스 계정 또는 접속 계정은 아이디로 식별하고, 해당 계정은 패스워드(또는 계정 비밀번호, 접속 비밀번호)에 의해 인증된다.
또한, 접속인증 게이트웨이(30)는 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경한다. 이를 통해, 계정 비밀번호에 대한 보안성을 한층 더 높을 수 있다.
또한, 접속인증 게이트웨이(30)는 OTP 생성기를 접속인증 클라이언트(20)와 공유한다. 이를 위해, 접속인증 게이트웨이(30)는 OTP 생성기 또는 OTP 생성기의 고유키를 접속인증 클라이언트(20)에 전송한다. 이때, 바람직하게는, 게이트웨이 인증이 통과된 경우에만 전송한다.
또한, 접속인증 게이트웨이(30)는 OTP 생성기 또는 그 고유키를 각 사용자 또는 각 서비스 계정 별로 구별하여 발급하고, 발급된 OTP 생성기 또는 그 고유키를 사용자 또는 서비스 계정으로 식별하여 저장한다. 바람직하게는, OTP 생성기 정보는 서버, 서비스 계정, OTP 생성기 정보로 구성되고, 목록으로 관리된다. OTP 생성기 정보는 OTP 생성기, 또는 그 고유키로 구성된다. 또한, OTP 생성기 정보는 서버와 서비스 계정으로 식별된다.
또한, 접속인증 게이트웨이(30)는 사용자 단말(10) 또는 통신 어플리케이션(60)과 서버(40) 사이에서 메시지를 중계하되, 서버(40)에 대한 인증 메시지이면 사용자 단말(10)에서 입력된 비밀번호(또는 입력 비밀번호)를 인증하고, 인증 후에 서버(40)의 사용자 인증을 대신 수행해준다.
인증 메시지는 서버(40)의 서비스 계정에 대한 인증을 하기 위한 메시지이다. 접속인증 게이트웨이(30)는 사용자 단말(10)로부터 전달받아 중계할 메시지가 인증 메시지이면, 인증 메시지의 서비스 계정 및 입력 비밀번호를 추출한다. 추출된 서비스 계정으로 OTP 생성기(또는 고유키)를 식별한다. 그리고 OTP 생성기로 일회성 비밀번호를 생성하고, 추출된 입력 비밀번호를, 생성된 일회성 비밀번호와 비교하여 인증한다.
그리고 일회성 비밀번호에 의해 인증되면, 접속인증 게이트웨이(30)는 저장된 계정 비밀번호를 이용하여, 서버(40)의 사용자 인증을 대행한다. 즉, 해당 서비스 계정과, 해당 서비스 계정에 대한 계정 비밀번호를 서버(40)에 전달한다. 이때, 접속인증 게이트웨이(30)는 서버(40)와의 사용자 인증(또는 서비스 계정 인증) 과정을 수행하되, 입력 비밀번호(또는 일회성 비밀번호) 대신 계정 비밀번호를 이용하여 인증 과정을 수행한다.
다음으로, 데이터베이스(80)는 OTP 생성기 정보를 저장하는 OTP발급DB(81), 서버의 서비스 계정 및 계정 비밀번호를 저장하는 계정인증DB(82), 로그를 기록하여 저장하는 로그DB(83) 등으로 이루어진다. 그러나 데이터베이스(80)의 구성은 바람직한 일실시예일 뿐이며, 구체적인 장치를 개발하는데 있어서, 접근 및 검색의 용이성 및 효율성 등을 감안하여 데이터베이스 구축이론에 의하여 다른 구조로 구성될 수 있다.
다음으로, 본 발명의 일실시예에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템(30)의 세부 구성에 대하여 도 2를 참조하여 설명한다.
본 발명에 따른 접속인증 시스템(30)은 앞서 설명한 접속인증 게이트웨이로 구현될 수 있다. 이하에서 접속인증 시스템의 도면부호를 접속인증 게이트웨이와 동일한 도면 부호로 사용한다.
도 3에서 보는 바와 같이, 본 발명의 일실시예에 따른 접속인증 시스템(30)은 OTP 생성기 정보를 발급하는 OTP 발급부(31), 사용자 단말(10)과 통신을 수행하는 클라이언트 핸들러(32), 서버(40)와 통신을 수행하는 서버 핸들러(33), 사용자 인증(또는 서비스 인증)을 수행하는 인증 처리부(34), 및, 서버의 계정 비밀번호를 관리하는 패스워드 관리부(35)로 구성된다.
먼저, OTP 생성부(31)는 OTP 생성기 정보(또는 고유키)를 발급하여 접속인증 클라이언트(20)에 전송하여 공유한다.
바람직하게는, OTP 생성기 정보는 OTP 생성시의 씨드(seed)를 형성하는 고유값(이하 고유키)이다. 즉, OTP 생성기는 고유키와 현재 시각(current time)으로 씨드(seed)를 구성하여, 랜덤 함수에 의하여 랜덤한 값을 일회성 비밀번호로 생성한다. 즉, 랜덤 함수의 입력 값으로 고유키와 현재 시각이 사용된다.
또한, OTP 생성부(31)는 OTP 생성을 위한 랜덤 함수를 접속인증 클라이언트(20)와 사전에 공유한다. 즉, OTP 생성부(31)와 접속인증 클라이언트(20)는 사전에 동일한 랜덤 함수(OTP 생성기의 랜덤 함수)를 구비한다.
따라서 고유키와 현재 시각이 동일하면, OTP 생성부(31)와 접속인증 클라이언트(20)는 동일한 랜덤값 또는 동일한 일회성 비밀번호를 생성한다.
한편, 바람직하게는, OTP 생성부(31)는 접속인증 클라이언트(20)에 대해 사용자 인증이 성공한 이후에, OTP 생성기 정보 또는 고유키를 발급하여 전송한다.
OTP 생성기 정보 또는 고유키가 저장되는 형태의 일례가 도 3에 도시되고 있다. 도 3에서 보는 바와 같이, OTP 생성기 정보는 고유키, 주기 등으로 구성되며, 목록으로 관리되어 저장된다. 또한, OTP 생성기 정보는 OTP발급DB(81)에 저장된다. 이하에서, OTP 생성기 정보(81)의 부호를 81로 동일하게 사용한다.
OTP 생성기 정보 또는 고유키는 사용자 또는 서비스 계정(접속 계정)에 대하여 고유한 값으로 발급된다. 즉, 목록에서 OTP 생성기 정보 또는 고유키는 서비스 계정에 의해 식별된다.
또한, 바람직하게는, OTP 생성기는 사전에 설정된 주기를 가진다. 주기는 현재 시각의 시간 단위로서, 10초, 30초, 1분 등으로 설정될 수 있다. 즉, 주기의 시간 마다 일회성 비밀번호가 변경된다. 예를 들어, 주기가 30초이면, 생성되는 일회성 비밀번호는 30초마다 변경된다.
다음으로, 클라이언트 핸들러(32)는 통신 어플리케이션(60) 또는 접속인증 클라이언트(20)로부터 메시지를 수신하여 서버 핸들러(33)로 전달하고, 서버 핸들러(33)로부터 서버(40)의 결과 메시지 등을 수신하여 클라이언트 핸들러(32)로 전달한다. 즉, 클라이언트 핸들러(32)는 사용자 단말(10)과, 서버 핸들러(33) 사이에서 메시지 등 데이터를 중계한다.
이때, 클라이언트 핸들러(32)와 서버 핸들러(33) 사이에 인증 처리부(34)를 통해 전달(중계)된다. 인증 처리부(34)는 중계되는 메시지에서 인증 메시지를 필터링하여 인증 작업을 수행한다. 이하에서 설명의 편의를 위해, 인증 처리부(34)의 중계 과정을 생략할 수 있다.
바람직하게는, 클라이언트 핸들러(32)는 통신 어플리케이션(60)과 세션(이하 클라이언트용 세션)을 수립하고, 수립된 클라이언트용 세션을 통해 데이터(메시지 등)를 송수신한다.
또한, 클라이언트 핸들러(32)는 통신 어플리케이션(60)로부터 수신한 메시지를 인증 처리부(34)로 전달한다. 전달된 메시지는 인증 처리부(34)에 의해 인증 메시지 인지 여부가 필터링된다.
특히, 클라이언트 핸들러(32)는 통신 어플리케이션(60)로부터 수신한 메시지가 인증 메시지인 경우, 인증 결과에 대한 메시지를 서버(40)로부터 전송된 메시지를 받지 않고, 인증 처리부(34)에 의해 생성된 메시지를 받아 통신 어플리케이션(60)로 전송한다. 즉, 통신 어플리케이션(60)과의 인증 작업은 서버(40)에 의해 수행되지 않고, 인증 처리부(34)에 의해 수행된다.
또한, 클라이언트 핸들러(32)는 통신 어플리케이션(60) 또는 사용자 단말(10)의 접근 이력을 로그에 기록한다. 바람직하게는, 로그는 로그DB(83)에 기록된다.
다음으로, 서버 핸들러(33)는 클라이언트 핸들러(32)와 형성된 세션(또는 클라이언트용 세션)에 대응되는 세션(이하 서버용 세션)을 서버(40)와 형성한다. 즉, 클라이언트용 세션과 서버용 세션은 통신 어플리케이션(60)과 서버(40) 사이를 중계하기 위한 세션들이다.
또한, 서버 핸들러(33)는 클라이언트 핸들러(32)로부터 메시지를 수신하여, 서버용 세션을 통해 해당 메시지를 서버(40)로 전송한다. 또한, 반대로, 서버 핸들러(33)는 서버(40)로부터 수신한 메시지를 클라이언트 핸들러(32)로 전달한다. 이때, 서버 핸들러(33)와 클라이언트 핸들러(32) 사이에 인증 처리부(34)를 통해 메시지가 전달(중계)된다. 따라서 클라이언트 핸들러(32)와 서버 핸들러(33)에 의해, 통신 어플리케이션(60)과 서버(40) 간에 메시지가 중계된다.
또한, 서버 핸들러(33)는 서버(40)와의 인증 과정(또는 인증 작업, 인증 프로토콜)의 중계를, 인증 처리부(34)와 수행한다. 즉, 서버 핸들러(33)는 서버(40)의 인증 프로토콜에 필요한 메시지들을 인증 처리부(34)로부터 전달받아 서버(40)에 전송하고, 서버(40)로부터 수신한 인증 결과 메시지를 수신하여 인증 처리부(34)로 전달한다.
또한, 서버 핸들러(33)는 패스워드 관리부(35)의 요청에 따라, 패스워드 관리부(35)와 서버(40) 사이에 메시지를 중계할 수 있다. 즉, 패스워드 관리부(35)는 서버(40)의 서비스 계정에 대한 계정 비밀번호를 변경하는 작업을 수행한다. 따라서 서버 핸들러(33)는 계정 비밀번호를 변경하기 위한 작업 메시지를 중계한다.
다음으로, 인증 처리부(34)는 중계되는 메시지가 서버 또는 서비스 계정에 대한 인증 메시지이면, 인증 메시지의 입력 비밀번호를 추출하여 (생성된 일회성 비밀번호와) 맞는지 여부를 인증하고, (입력 비밀번호의 맞는지 여부에 대한) 인증이 통과되면 사용자가 입력한 비밀번호(입력 비밀번호) 대신 실제 서버 계정의 비밀번호(계정 비밀번호)를 이용하여, 서버(40)와의 인증 작업(또는 인증 프로토콜)을 수행한다.
즉, 인증 처리부(34)는 클라이언트 핸들러(32)로부터 수신되는 메시지를 필터링하여, 인증 메시지 여부를 검출한다. 인증 메시지는 서버(40)의 서비스 계정에 대한 인증을 하기 위한 메시지로서, 비밀번호 또는 서비스 계정 및 비밀번호를 포함한다.
다음으로, 인증 처리부(34)는 인증 메시지에서 서비스 계정 및 비밀번호를 추출한다.
다음으로, 인증 처리부(34)는 OTP 생성기로 일회성 비밀번호를 생성하고, 추출된 비밀번호와, 생성된 일회성 비밀번호를 비교하여 검증한다.
구체적으로, 인증 처리부(34)는 OTP 생성기 정보(81)를 참조하여, 해당 서비스 계정의 고유키를 가져오고, 고유키와 현재 시각으로 OTP 생성기에 입력하여, 일회성 비밀번호(OTP)를 생성한다. 그리고 인증 처리부(34)는 생성된 비밀번호와 추출된 비밀번호(또는 입력 비밀번호)가 매칭되는지를 검사한다. 매칭은 동일 여부로 판단하고, 특히, 해쉬 함수에 의해 암호화된 경우 동일한 해쉬 함수로 암호화 하여 대비한다. 매칭되면 입력 비밀번호(또는 일회성 비밀번호)가 인증된 것으로 판단한다.
다음으로, 인증 처리부(34)는 입력된 비밀번호가 인증되면, 추출된 서비스 계정으로, 계정 비밀번호를 검색한다. 그리고 해당 인증 메시지의 입력 비밀번호를 계정 비밀번호로 대체하여, 인증 작업을 수행한다. 계정 비밀번호는 데이터베이스(80) 또는 계정인증DB(82)에 저장된 비밀번호로서, 서비스 계정에 대응되는 계정 비밀번호이다.
즉, 인증 처리부(34)는 인증 프로토콜에 따라, 서버 핸들러(33)를 통해 서버(40)와의 인증 과정을 수행하되, 서비스 계정과 비밀번호로서, 각각 저장된(검색된) 서비스 계정과 계정 비밀번호를 이용한다. 특히, 비밀번호를 전달하는 메시지 내에, 검색된 계정 비밀번호를 입력하여, 해당 메시지를 서버 핸들러(33)로 전송한다.
또한, 인증 처리부(34)는 특정 서비스 계정에 대하여, 일정 회수 이상 패스워드 인증 실패를 반복할 경우, 위협 사용자로 판단하고, 서버 접근 요청 기능 자체를 차단한다.
다음으로, 패스워드 관리부(35)는 서버(40)의 서비스 계정 및 계정 비밀번호를 데이터베이스(80) 또는 계정인증DB(82)에 저장하고 관리한다.
즉, 계정 비밀번호 정보는 서비스 계정, 해당 서비스 계정의 계정 비밀번호 등으로 구성된다. 계정 비밀번호 정보는 리스트(목록) 등의 형태로 저장될 수 있다. 계정 비밀번호 정보는 계정인증DB(82)에 저장된다.
바람직하게는, 서비스 계정 및 계정 비밀번호는 관리자 등에 의해 사전에 설정되어 저장된다.
또한, 바람직하게는, 패스워드 관리부(35)는 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경한다. 이때, 특정 이벤트는 사전에 설정된 이벤트로서, 시스템이 리부팅된다거나 사용자 단말의 클라이언트 프로그램들이 갱신되는 것, 관리자 또는 사용자의 명령 등으로 설정될 수 있다.
특히, 패스워드 관리부(35)는 서버 핸들러(33)를 통해 서버(40)와의 패스워드 변경 작업을 수행한다. 구체적으로, 패스워드 관리부(35)는 계정인증DB(82)에 저장된 서비스 계정과 계정 비밀번호를 이용하여 서버(40)에 접속하고, 새로운 계정 비밀번호를 생성하여 새로운 계정 비밀번호로 서버(40)에 계정 비밀번호 변경을 요청한다. 그리고 계정인증DB(82)에서, 해당 서비스 계정의 계정 비밀번호를 새로운 계정 비밀번호로 갱신한다. 즉, 패스워드 관리부(35)는 서버 핸들러(33)를 통해 서버(40)에 접근하여, 갱신전 계정 비밀번호로 계정 인증을 수행하고 계정 비밀번호를 갱신한다.
다음으로, 본 발명의 효과에 대하여 보다 구체적으로 설명한다.
앞서 설명한 바와 같이, 접속인증 게이트웨이(30)에서 일회용 비밀번호를 통하여 패스워드의 정합성을 확인함으로써, 실제 악의적인 패스워드 공격(예를 들어, 무차별 대입공격 등)을 방어할 수 있다. 즉, 악의적인 패스워드 공격이 발생하더라도, 일회성 패스워드를 발급하지 않았기 때문에 모든 공격에 대한 원천적인 방어를 할 수 있다. 또한, 해당 공격으로 인해서, 인증 실패 회수 초과가 발생하더라도, 서버의 서비스 계정이 사용 불가하게 되지 않는다. 또한 인증이 실패한 이력을 적재하고, 관리자에 알림을 줄 수 있어 위협을 인지할 수 있다.
다음으로, 본 발명의 일실시예에 따른 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 의한 서버 접속 방법을 도 4를 참조하여 설명한다.
도 4에서 보는 바와 같이, 먼저, 사용자가 통신 어플리케이션(60)을 통해, 사용자 로그인을 시도하면, 접속인증 클라이언트(20)에 의해 후킹되어 접속인증 게이트웨이(30)로 우회된다.
이때, 접속인증 게이트웨이(30) 또는 클라이언트 핸들러(32)는 접속인증 클라이언트(20) 또는 통신 어플리케이션(60)과 사이에서 클라이언트용 세션을 설정한다. 이때, 바람직하게는, 암호화 세션을 형성할 수 있다.
다음으로, 접속인증 게이트웨이(30) 또는 서버 핸들러(33)는 서버(40)와 서버용 세션을 형성하되, SSH 등 암호화 세션인 경우 암호화 통신으로 서버용 세션을 형성할 수 있다.
다음으로, 중계를 위한 클라이언트용 세션 및 서버용 세션이 형성되면, 통신 어플리케이션(60)은 서버(40)의 사용자 인증을 위해, 서비스 계정 및 비밀번호(입력 비밀번호)를 입력한다. 이때, 입력 비밀번호는 접속인증 클라이언트(20)의 OTP 생성기에 의해 생성된 일회성 비밀번호(제1 일회성 비밀번호)이다. 즉, 제1 일회성 비밀번호는 접속인증 클라이언트(20)에 의해 생성되어, 통신 어플리케이션(60)으로 전달된다.
다음으로, 접속인증 게이트웨이(30)는 서비스 계정 및 비밀번호를 포함하는 데이터 패킷 또는 메시지(이하 인증 메시지)를 확인하면, 해당 인증 메시지에서 서비스 계정 및 비밀번호를 추출한다. 그리고 서비스 계정에 해당하는 OTP 생성기 정보를 이용하여, OTP 생성기로 일회성 비밀번호(제2 일회성 비밀번호)를 생성한다.
그리고 추출된 비밀번호(입력 비밀번호)와 제2 일회성 비밀번호를 대비하여, 동일 여부를 판단한다. 만약 동일하면, 입력 비밀번호가 인증된 것으로 판단한다.
다음으로, 접속인증 게이트웨이(30)는 해당 서비스 계정의 저장된 계정 비밀번호를 가져와서, 인증 메시지의 입력 비밀번호(또는 제1 일회성 비밀번호)를 제2 일회성 비밀번호로 대체하고, 해당 인증 메시지를 서버(40)로 전달한다. 이를 통해, 서버(40)의 서비스 계정에 대한 인증을 받는다.
서버(40)에서 해당 서비스 계정 및 제2 일회성 비밀번호로 사용자 인증이 허용된다. 따라서 사용자는 서버(40)의 서비스 계정에 접속하여 작업을 수행할 수 있다.
이상, 본 발명자에 의해서 이루어진 발명을 상기 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 상기 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
10 : 사용자 단말 20 : 접속인증 클라이언트
30 : 접속인증 게이트웨이 31 : OTP 발급부
32 : 클라이언트 핸들러 33 : 서버 핸들러
34 : 인증 처리부 35 : 패스워드 관리부
40 : 서버 80 : 데이터베이스
81 : OTP인증DB 82 : 계정인증DB
83 : 로그DB

Claims (6)

  1. 통신 어플리케이션과 접속인증 클라이언트가 설치된 적어도 하나의 사용자 단말과, 적어도 1개의 서버 사이에 설치되어, 상기 사용자 단말과 상기 서버 사이를 중계하는, 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템에 있어서,
    상기 접속인증 클라이언트에 OTP 생성기 정보를 생성하여 공유하고, 동일한 OTP 생성기 정보를 저장하는 OTP 발급부;
    상기 사용자 단말과 통신을 수행하는 클라이언트 핸들러;
    상기 서버와 통신을 수행하는 서버 핸들러;
    상기 클라이언트 핸들러와 상기 서버 핸들러 사이에서 메시지를 중계하되, 메시지가 인증 메시지이면, 인증 메시지의 비밀번호(이하 입력 비밀번호)를 인증하고, 인증에 성공하면 저장된 계정 비밀번호를 이용하여 상기 서버와의 인증을 대행하는 인증 처리부; 및,
    상기 서버의 계정 비밀번호를 관리하는 패스워드 관리부를 포함하고,
    상기 인증 메시지는 상기 서버의 서비스 계정에 대한 인증을 하기 위한 메시지이고,
    상기 입력 비밀번호는 상기 접속인증 클라이언트에서 OTP 생성기에 의해 생성된 일회성 비밀번호(이하 제1 비밀번호)이고,
    상기 인증 처리부는 저장된 OTP 생성기에 의해 일회성 비밀번호(이하 제2 비밀번호)를 생성하고, 상기 제1 비밀번호와 상기 제2 비밀번호를 비교하여 동일하면, 상기 입력 비밀번호의 인증 성공으로 판단하고,
    상기 인증 처리부는 상기 입력 비밀번호가 인증되면, 추출된 서비스 계정으로 저장된 계정 비밀번호를 검색하고, 상기 인증 메시지 내에 입력 비밀번호 대신 검색된 계정 비밀번호를 입력하여 대체하는 것을 특징으로 하는 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템.
  2. 삭제
  3. 제1항에 있어서,
    상기 OTP 생성기 정보는 서비스 계정에 의해 식별되도록 저장되고,
    상기 인증 처리부는 상기 클라이언트 핸들러로부터 수신되는 메시지를 필터링하여 인증 메시지 여부를 검출하고, 검출된 인증 메시지에서 서비스 계정 및 입력 비밀번호를 추출하고, 추출한 서비스 계정으로, 저장된 OTP 생성기 정보를 검색하고, 검색된 OTP 생성기 정보에 의한 OTP 생성기로 상기 제2 일회용 비밀번호를 생성하는 것을 특징으로 하는 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템.
  4. 제3항에 있어서,
    상기 인증 처리부는 인증 프로토콜에 따라, 상기 서버 핸들러를 통해 상기 서버와의 인증 과정을 수행하되, 인증을 위한 서비스 계정과 비밀번호로서, 각각 추출된 서비스 계정과, 저장된 계정 비밀번호를 이용하고, 비밀번호를 전달하는 메시지 내에, 검색된 계정 비밀번호를 입력하여, 해당 메시지를 상기 서버 핸들러로 전송하는 것을 특징으로 하는 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템.
  5. 제1항에 있어서,
    상기 패스워드 관리부는 서비스 계정 및 계정 비밀번호를 사전에 설정되어 저장하고, 사전에 설정된 보안 정책에 따라 주기적으로 또는 특정 이벤트에 따라 계정 비밀번호를 변경하는 것을 특징으로 하는 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템.
  6. 제1항에 있어서,
    상기 OTP 생성기는 현재시각과 고유키를 씨드(seed)로 하여 랜덤하게 일회성 비밀번호를 생성하고, 상기 OTP 생성기 정보는 고유키를 포함하는 것을 특징으로 하는 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템.
KR1020190175397A 2019-11-28 2019-12-26 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템 KR102150484B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190155823 2019-11-28
KR20190155823 2019-11-28

Publications (1)

Publication Number Publication Date
KR102150484B1 true KR102150484B1 (ko) 2020-09-01

Family

ID=72450763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190175397A KR102150484B1 (ko) 2019-11-28 2019-12-26 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템

Country Status (1)

Country Link
KR (1) KR102150484B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100134198A (ko) * 2009-06-15 2010-12-23 최광수 오티피를 이용한 온라인 결제방법 및 시스템과 이를 위한 기록매체
KR101319570B1 (ko) * 2013-06-10 2013-10-17 에스지앤 주식회사 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체
KR101795450B1 (ko) 2015-11-20 2017-11-09 (주)엔에스비욘드 보안 터널 기반 인증 방법 및 장치
KR101992985B1 (ko) * 2019-01-30 2019-06-26 주식회사 넷앤드 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100134198A (ko) * 2009-06-15 2010-12-23 최광수 오티피를 이용한 온라인 결제방법 및 시스템과 이를 위한 기록매체
KR101319570B1 (ko) * 2013-06-10 2013-10-17 에스지앤 주식회사 중계장치에 의한 pc와 서버간의 접속 인증 방법, 이를 적용한 중계장치 및 컴퓨터로 읽을 수 있는 기록매체
KR101795450B1 (ko) 2015-11-20 2017-11-09 (주)엔에스비욘드 보안 터널 기반 인증 방법 및 장치
KR101992985B1 (ko) * 2019-01-30 2019-06-26 주식회사 넷앤드 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템

Similar Documents

Publication Publication Date Title
US8838965B2 (en) Secure remote support automation process
CN100437530C (zh) 安全访问带有客户端接收的专用网的方法
US10356612B2 (en) Method of authenticating a terminal by a gateway of an internal network protected by an access security entity providing secure access
US8266683B2 (en) Automated security privilege setting for remote system users
KR101992976B1 (ko) Ssh 인증키를 보안 관리하는 ssh 프로토콜 기반 서버 원격 접근 시스템
WO2014120621A2 (en) Securing communication over a network using client integrity verification
US9608973B2 (en) Security management system including multiple relay servers and security management method
CN114995214A (zh) 远程访问应用的方法、系统、装置、设备及存储介质
EP3895043A1 (en) Timestamp-based authentication with redirection
US20230006988A1 (en) Method for selectively executing a container, and network arrangement
KR102460695B1 (ko) 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US20180331886A1 (en) Systems and methods for maintaining communication links
JP2006260027A (ja) 検疫システム、およびvpnとファイアウォールを用いた検疫方法
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
CN104821951A (zh) 一种安全通信的方法和装置
KR101858207B1 (ko) 국군 여가복지전용 보안망 시스템
KR102118380B1 (ko) 사용자별 서버 작업 통제 기능을 탑재한 접근통제 시스템
CN106576050B (zh) 三层安全和计算架构
KR102150484B1 (ko) 보안 강화를 위한 일회성 비밀번호 기반 접속 인증 시스템
US7631344B2 (en) Distributed authentication framework stack
KR102110815B1 (ko) 접근 보안을 위한 일회성 비밀번호 기능을 구비한 접근통제 시스템
KR102284183B1 (ko) 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법
CN112333214B (zh) 一种用于物联网设备管理的安全用户认证方法及系统
KR101992985B1 (ko) 서버간 보안 강화를 위한 하드코딩된 패스워드 및 명령어 통제 기반 접근통제 시스템
US20080060060A1 (en) Automated Security privilege setting for remote system users

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant