KR102657533B1 - Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법 - Google Patents

Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법 Download PDF

Info

Publication number
KR102657533B1
KR102657533B1 KR1020220051973A KR20220051973A KR102657533B1 KR 102657533 B1 KR102657533 B1 KR 102657533B1 KR 1020220051973 A KR1020220051973 A KR 1020220051973A KR 20220051973 A KR20220051973 A KR 20220051973A KR 102657533 B1 KR102657533 B1 KR 102657533B1
Authority
KR
South Korea
Prior art keywords
authentication
user
token
code
information
Prior art date
Application number
KR1020220051973A
Other languages
English (en)
Other versions
KR20230152342A (ko
Inventor
김상준
Original Assignee
한국정보인증주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보인증주식회사 filed Critical 한국정보인증주식회사
Priority to KR1020220051973A priority Critical patent/KR102657533B1/ko
Publication of KR20230152342A publication Critical patent/KR20230152342A/ko
Application granted granted Critical
Publication of KR102657533B1 publication Critical patent/KR102657533B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • H04W12/77Graphical identity

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Traffic Control Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

QR코드를 활용한 토큰 기반 인증 SSO 시스템 및 SSO 서비스 제공 시스템은 하나의 사용자 인증정보로 여러 시스템을 인증할 수 있도록 구현 한 SSO 서비스 시스템을 제공함으로써, QR코드 인증의 편의성과 토큰 인증의 보안성을 통하여 사용자의 패스워드 관리에 대한 부담을 줄이며 중앙집중 관리를 통한 효율적인 관리가 가능하도록 한다. 또한, 사용자에게 편의성을 제공하는 QR 코드와 하나의 사용자 인증만으로 연동된 여러 사이트 인증을 할 수 있는 토큰 기반 인증을 수행함으로써 사용자 편의성을 향상시키고 시스템 보안성을 높이도록 한다.

Description

QR코드를 활용한 토큰 기반 인증 SSO 시스템 및 방법{SYSTEM AND METHOD FOR PROVIDING TOKEN-BASED SINGLE SIGN ON AUTHENTICATION USING QR CODE}
본 개시는 QR 코드를 활용한 토큰 기반 인증 SSO(Single Sign On) 서비스 시스템에 대한 것으로 구체적으로, 서로 다른 시스템 및 사이트에서 사용자 정보를 연동하여 사용하는 경우, 하나의 사용자 인증 정보를 기반으로 서로 다른 시스템에 인증할 수 있는 토큰 기반 인증 SSO 서비스 시스템에 관한 것이다.
본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.
싱글사인온(Single Sign-On, SSO)은 하나의 로그인 인증 정보를 사용해 여러 애플리케이션에 접근할 수 있는 중앙화 된 세션 및 사용자 인증 서비스다. SSO의 장점은 간편함이다. 지정된 플랫폼 하나에서 인증되면 이후 매번 로그인과 로그아웃을 반복할 필요없이 다양한 서비스를 사용할 수 있도록 한다. 잘 구현된 SSO는 생산성, IT 모니터링 및 관리, 보안 통제 측면에서 매우 유익하다. 관리자는 하나의 보안 토큰(사용자 이름/암호 쌍)으로 여러 시스템과 플랫폼, 앱 및 기타 리소스에 대한 사용자 접근을 활성화하거나 비활성화할 수 있다. SSO는 비밀번호 분실이나 취약한 비밀번호의 위험도 낮춰준다.
SSO를 구현하는 데 사용할 수 있는 표준은 여러 가지지만 기본 패턴은 동일하다. 핵심은 애플리케이션이 사용자 인증 책임을 다른 애플리케이션이나 서비스로 넘길 수 있게 해준다는 데 있다. 사용자가 로그인하는 애플리케이션 또는 웹사이트에는 이메일 클라이언트부터 은행 웹사이트, 네트워크 공유에 이르기까지 다양한 서비스 공급업체가 존재한다. 이와 같은 플랫폼에는 대부분 사용자 인증을 위한 자체적인 기능이 포함된다. 그러나 SSO를 사용하면 그 책임이 하나의 ID 공급업체(일반적으로 SSO 플랫폼 자체)에 주어진다.
사용자가 하나의 서비스에 접근하기 위해 로그인을 시도하면 서비스 공급업체는 ID 공급업체와 교신해 사용자가 주장하는 본인임이 입증됐는지를 확인한다. 서비스 공급업체는 인증과 관련된 매개변수를 둘 수 있다. 예를 들어 ID 공급업체가 이중 인증(Two-Factor Authentication, 2FA) 또는 생체 인증을 사용하도록 요구할 수 있다. ID 공급업체는 사용자에게 로그인을 요청할 수도 있고, 사용자가 최근에 로그인한 적이 있다면 다시 요청하지 않고 서비스 공급업체에게 최근에 로그인했음을 알릴 수도 있다.
서비스 및 ID 공급업체는 당사자 간 상호 신뢰를 위해 디지털 서명되는 작은 크기의 구조화된 정보 모음인 토큰을 통해 통신한다. ID 공급업체는 토큰을 통해 서비스 공급업체에게 사용자가 인증되었음을 알린다. 여기서 중요한 점은 토큰에는 사용자의 비밀번호나 생체 데이터와 같은 인증 데이터가 포함되지 않는다는 것이다. 따라서 공격자가 토큰을 가로채거나 서비스 공급업체의 시스템이 침해된다 해도 사용자의 비밀번호와 ID는 안전하다. 또한 사용자는 해당 ID 공급업체를 사용하는 다른 모든 서비스 공급업체에 대해서도 동일한 로그인 인증 정보를 사용할 수 있다.
시스템 관리자 관점에서 SSO 플랫폼은 사용자 ID를 한 곳에서 관리할 수 있음을 의미한다. 예를 들어 직원이 퇴사하는 경우 그 직원이 다양한 내부 애플리케이션에 로그인할 수 있는 기능을 한꺼번에 해제할 수 있다.
서버는 일반적으로 클라이언트에서 전달받은 상태를 저장하지 않는 무상태성의 속성을 지니고 있다. 서버는 상태 정보를 저장하지 않기 때문에 클라이언트에서 전달받은 요청에 대해서만 작업을 수행하므로 서버 기반 인증 시스템의 단점을 보완하기 위하여 최근에는 토큰 인증 방식이 사용되고 있다. 또한 QR코드는 1994년 덴소 웨이브가 개발한 고속 판독용 매트릭스 2차원 코드로 영문자 4296자에 해당하는 정보를 담을 수 있다. 스마트폰의 보급 및 현 코로나 시대의 전자출입명부로 QR코드가 대중화되어 많이 사용하고 있는 추세이다.
1. 한국 특허등록 제10-1944698호 (2019.01.28) 2. 한국 특허등록 제10-1597378호 (2016.02.18)
실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템 및 SSO 서비스 제공 방법은, 서로 다른 시스템 및 사이트에서 사용자 정보를 각각 관리하지만, 사용자 정보를 시스템 간 연동하여 사용하는 경우, QR 코드를 스캔하여 각 사이트의 접속 정보를 획득하여 하나의 사용자 인증 정보를 기반으로 동일 시스템 및 서로 다른 시스템에 인증할 수 있도록 한다.
또한, 실시예에서는 사용자에게 편의성을 제공하는 QR 코드와 하나의 사용자 인증을 통해 연동된 여러 사이트 인증이 가능한 토큰 기반 인증을 수행한다.
실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO(Single Sign On) 시스템은 최초 사용자 로그인을 사용하기 위해 사용자를 등록하고, 연동 사이트 인증이후, 연동사이트 정보를 QR 코드로 제공하는 인증 서버; QR 스캔 및 사용자 인증을 수행하고 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행하는 스마트 단말; 연동사이트 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 출력하고, 로그인 하는 웹 포탈 서비스; 및 스마트 단말의 로그인 대상인 연동사이트 서버; 를 포함한다. 실시예에서 스마트 단말은 연동사이트 로그인을 위하여 QR 코드를 스캔하고, 상기 QR 코드의 정보로 인증서버를 인증하여, 인증서버의 인증만을 통해 연동사이트 각각에 로그인할 수 있다.
다른 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법은 (A) 인증 서버에서는 최초 사용자 로그인을 사용하기 위해 사용자를 등록하는 단계; (B) 스마트 단말에서는 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행하는 단계; (C) 웹 포탈 서비스에서는 연동사이트 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 표시하고, 웹 포털 서비스에 로그인 하는 단계; (D) 스마트 단말에서 연동사이트 로그인을 위하여 QR 코드 스캔을 하고, 상기 QR 코드의 정보를 통하여 인증서버의 인증을 수행하여, 인증서버의 인증만을 통해 연동사이트 개별 로그인 없이 연동사이트에 로그인 하는 단계; 를 포함한다.
이상에서와 QR코드를 활용한 토큰 기반 인증 SSO 시스템 및 SSO 서비스 제공 시스템은 하나의 사용자 인증정보로 여러 시스템을 인증할 수 있도록 구현 한 SSO 서비스 시스템을 제공함으로써, QR코드 인증의 편의성과 토큰 인증의 보안성을 통하여 사용자의 패스워드 관리에 대한 부담을 줄이며 중앙집중 관리를 통한 효율적인 관리가 가능하도록 한다.
또한, 사용자에게 편의성을 제공하는 QR 코드와 하나의 사용자 인증만으로 연동된 여러 사이트 인증을 할 수 있는 토큰 기반 인증을 수행함으로써 사용자 편의성을 향상시키고 시스템 보안성을 높이도록 한다.
본 발명의 효과는 상기한 효과로 한정되는 것은 아니며, 본 발명의 상세한 설명 또는 특허청구범위에 기재된 발명의 구성으로부터 추론 가능한 모든 효과를 포함하는 것으로 이해되어야 한다.
도 1은 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템 구성을 나타낸 도면
도 2는 실시예에 따른 인증서버와 연동 사이트 서버 기능을 설명하기 위한 도면
도 3은 실시예에 따른 인증서버의 데이터 처리 구성을 나타낸 도면
도 4는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공을 위한 데이터 처리 과정을 나타낸 도면
도 5는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템의 사용자 등록 과정을 나타낸 도면
도 6는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 스마트 단말 어플리케이션을 통한 로그인 과정을 나타낸 도면
도 7은 실시예에 따른 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 웹 포탈 서비스 로그인 절차를 나타낸 도면
도 8은 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 연동 사이트 로그인 과정을 나타낸 도면
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템 구성을 나타낸 도면이다.
도 1을 참조하면, 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템은 스마트 단말(100), 웹포탈 서비스(200), 인증서버(300) 및 연동 사이트 서버(400)을 포함하여 구성될 수 있다. 실시예에 따른 QR 코드를 활용한 토큰 기반 인증 SSO(Single Sign On) 시스템은 사용자 로그인을 위한 사용자의 등록, 연동 시스템 로그인을 위한 최초 앱 로그인 및 웹 포탈 서비스 로그인, QR코드 스캔을 통한 연동 사이트 접속의 절차로 이루어진다.
스마트 단말(100)은 인증서버(300)로부터 인증 어플리케이션 및 QR 코드를 활용한 토큰 기반 SSO 인증을 위한 일련의 어플리케이션을 전달받아 설치하고, 스마트 단말에 설치된 어플리케이션을 통해 QR 스캔 및 사용자 인증을 수행하고 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행한다. 인증서버(300)는 최초 사용자 로그인을 사용하기 위해 사용자를 등록하고, 연동 사이트 인증이후, 연동사이트 정보를 QR 코드로 제공한다. 연동 사이트 서버(400)는 스마트 단말의 로그인 대상으로서, 실시예를 통해 연동 사이트 각각의 별도 로그인 없이 한번의 로그인으로 연동 사이트를 이용할 수 있다. 웹포탈 서비스(200)는 연동사이트에 대한 정보 및 토큰(Token) 정보, 챌린지를 포함하는 QR코드를 출력하고, 웹 포털 서비스에 로그인 한다.
실시예에서 토큰은 시스템에서 보안 객체의 접근 관리에 사용되는 객체로서, 토큰은 크게 접근(access) 토큰, 보안(security) 토큰, 세션(session) 토큰 등으로 분류할 수 있다. 접근 토큰(access token)이 가장 많이 사용되는 토큰 형식으로 시스템이나 소프트웨어에서 어떤 특정한 기능이나 데이터에 접근하는 대상에게 권한을 부여하기 위해 사용된다. 실시예에서 토큰은 통상 난수 형태의 문자열로 구성될 수 있다. 예컨대, 서비스 제공자는 사용자의 아이디, 패스워드 또는 신용카드 등의 정보를 사용해 만든 접근 허가 토큰을 사용자에게 발행하고 접속 시 사용하게 하여 개인정보 누출을 방지하고 안전한 서비스를 제공할 수 있도록 한다.
실시예에서 스마트 단말(100)은 연동사이트 로그인을 위하여 QR 코드를 스캔하고, QR 코드의 정보를 통해 인증서버(3000)를 인증한다. 실시예에서는 인증서버(300)의 인증만을 통해 연동사이트 각각에 별도의 로그인 과정 없이 로그인 할 수 있다.
실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템은 서로 다른 시스템 및 사이트에서 사용자 정보를 각각 관리하지만, 사용자 정보를 시스템 간 연동하여 사용하는 경우, QR 코드를 스캔하여 각 사이트의 접속 정보를 획득하여 하나의 사용자 인증 정보를 기반으로 동일 시스템뿐만 아니라 서로 다른 시스템에 인증할 수 있도록 한다. 또한, 실시예에서는 사용자에게 편의성을 제공하는 QR 코드와 하나의 사용자 인증을 통한 연동 된 여러 사이트 인증이 가능한 토큰 기반 인증을 수행한다.
도 2는 실시예에 따른 인증서버와 연동 사이트 서버 기능을 설명하기 위한 도면이다.
도 2를 참조하면, 실시예에서는 연동 대상 시스템과의 연동을 위해, 사전에 연동 대상 서비스의 접속정보를 인증서버(300)에서 관리하도록 등록한다. 실시예에서는 인증서버(300)에서 인증을 수락한 사용자의 인증정보를 통하여 연동 대상 시스템(400)은 별도의 로그인 처리 없이 로그인을 완료할 수 있다.
도 3은 실시예에 따른 인증서버의 데이터 처리 구성을 나타낸 도면이다.
도 3을 참조하면, 실시예에 따른 인증서버(300)은 정보수집 모듈(310), 암호화 모듈(320), 응답 송신 모듈(330) 및 인증모듈(340)을 포함하여 구성될 수 있다. 본 명세서에서 사용되는 '모듈' 이라는 용어는 용어가 사용된 문맥에 따라서, 소프트웨어, 하드웨어 또는 그 조합을 포함할 수 있는 것으로 해석되어야 한다. 예를 들어, 소프트웨어는 기계어, 펌웨어(firmware), 임베디드코드(embedded code), 및 애플리케이션 소프트웨어일 수 있다. 또 다른 예로, 하드웨어는 회로, 프로세서, 컴퓨터, 집적 회로, 집적 회로 코어, 센서, 멤스(MEMS; Micro-Electro-Mechanical System), 수동 디바이스, 또는 그 조합일 수 있다.
사용자 정보 수집 모듈(310)은 QR코드를 활용한 토큰 기반 인증 SSO 서비스를 이용하는 사용자 정보를 수집한다. 암호화 모듈(320)은 사용자 정보를 암호화하여 데이터베이스에 저장한다. 응답송신모듈(330)은 암호화된 사용자 정보를 이용하여 사용자를 등록하고 사용자의 스마트 단말로 등록 결과 응답을 전송한다.
인증모듈(340)은 연동 사이트의 토큰 인증 및 사용자 인증을 수행한다. 실시예에서 인증모듈(340)은 사용자 등록 시 저장한 사용자 정보 조회 결과에 따라 조회된 사용자 정보를 복호화 후 검증하여 사용자를 인증하고 사용자 인증이 완료되는 경우, 정상 사용자 인증 요청을 확인한다. 실시예에서는 등록 시 저장한 푸시 토큰(Push Token)을 통해 요청지로 검증용 푸시 메시지(Push Message)를 발송하여 정상 사용자 인증 요청을 확인할 수 있다.
또한, 실시예에서 인증모듈(340)은 사용자의 연동사이트 로그인을 위한 토큰(Token)을 발행하고, 발행된 토큰을 데이터 베이스에 저장한다. 실시예에서 발행된 토큰은 실제 인증을 수행하는 접근 토큰(Access Token)과 접근 토큰이 만료되어 재발행 할 때 사용할 재발행 토큰(Refresh Token)을 포함할 수 있다.
실시예에서 인증모듈(340)은 사용자 스마트 단말의 로그인 시 발행한 토큰(Token)을 조회 후 검증하고, 사전에 등록 한 연동 시스템의 접속정보, 토큰 및 검증용 챌린지를 웹 포탈서비스로 전송하여 QR코드를 생성한다.
도 4는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공을 위한 데이터 처리 과정을 나타낸 도면이다.
도 4를 참조하면, S100 단계에서는 인증 서버에서 최초 사용자 로그인을 사용하기 위해 사용자를 등록한다. S200 단계에서는 스마트 단말에서 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행한다. S300 단계에서는 웹 포탈 서비스에서 연동사이트 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 표시하고, 웹 포털 서비스에 로그인 한다. S400 단계에서는 스마트 단말에서 연동사이트 로그인을 위하여 QR 코드 스캔을 하고, 해당 QR 코드의 정보를 통하여 인증서버의 인증을 수행하여, 인증서버의 인증만을 통해 연동사이트 개별 로그인 없이 연동사이트에 로그인 한다.
도 5는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 시스템의 사용자 등록 과정을 나타낸 도면이다.
도 5를 참조하면, 실시예에서는 최초 사용자 로그인을 사용하기 위해 클라우드 인증 서버에 사용자를 등록하는 절차를 수행한다. S410 단계에서는 스마트 단말(100)에서 사용자 등록 요청을 위하여 사용자에게 아이디 및 패스워드를 입력 받고 S420 단계에서는 스마트 단말에 설치된 어플리케이션에서 생성되는 푸시 토큰(Push Token)을 아이디, 패스워드를 포함하는 사용자 정보와 함께 인증서버(300)로 전송한다.
S430 단계에서는 인증서버(300)에서 사용자 정보를 암호화하고, 데이터베이스(500)로 전달하여 S440 단계에서는 데이터베이스(500)에서 암호화된 사용자 정보를 저장한다. 데이터베이스(500)에 사용자 정보 저장이 완료되면 S450 단계에서는 인증서버(300)에서 사용자 등록처리를 수행하고 S460 단계에서 스마트 단말(100)로 사용자 등록 결과 응답을 전송한다. S470 단계에서는 스마트 단말(100)에서 사용자 등록 결과 응답을 수신하고 사용자 등록을 완료한다.
도 6는 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 스마트 단말 어플리케이션을 통한 로그인 과정을 나타낸 도면이다.
도 6을 참조하면, 실시예에서는 연동 사이트에 로그인 하기 위한 최초 사용자 로그인은 스마트 단말을 통해 수행할 수 있다.
S510 단계에서는 스마트 단말(100)에서 최초 로그인을 위하여 사용자 인증 요청을 수행하고, S520 단계에서는 사용자에게 아이디 및 패스워드를 입력 받아 인증서버(300)로 전송한다. S530 단계에서는 인증서버(300)에서 등록 시 저장한 사용자 정보에 대한 조회를 수행하고, S540 단계에서는 조회된 사용자 정보를 복호화 후 검증을 수행한다. S550 단계에서는 인증서버에서 사용자 인증이 완료되면, 정상적인 사용자 인증 요청 확인을 위하여, 등록 시 저장한 푸시 토큰(Push Token)을 통해 요청지로 검증용 푸시 메시지(Push Message)를 발송한다. S560 단계에서는 스마트 단말(100)에서 푸시 메시지(Push Message)를 수신하고, 사용자 생체인증을 통하여 정상적인 요청 여부를 확인 후 인증서버(300)로 확인결과를 전송한다. S570 단계에서는 인증서버(300)에서 해당 사용자의 연동사이트 로그인을 위한 토큰(Token)을 발행하고, 발행된 해당 토큰(Token)을 데이터 베이스에 저장한다. 이 때 발행하는 토큰(Token)은 실제 인증을 수행하는 접근 토큰(Access Token)과 접근 토큰(Access Token)이 만료되어 재발행 할 때 사용할 재발행 토큰(Refresh Token)이다. S590 단계에서는 인증서버(300)에서 발행한 토큰(Token)을 검증결과 응답과 함께 스마트 단말(100)로 전송하여 토큰(Token) 정보를 저장한다. S600 단계에서는 스마트 단말(100)에서 토큰 및 검증 결과 응답 수신 후 로그인을 완료한다.
도 7은 실시예에 따른 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 웹 포탈 서비스 로그인 절차를 나타낸 도면이다.
도 7을 참조하면, 실시예에서는 연동사이트에 대한 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 표시할 웹 포털 서비스에 로그인을 수행한다.
S610 단계에서는 웹 포탈 서비스(200)에서 로그인을 위하여 사용자 인증 요청을 수행한다. S620 단계에서는 웹포탈 서비스(200)에서 사용자에게 아이디 및 패스워드를 입력 받아 인증서버(300)로 전송한다.
S630 단계에서는 인증서버(300)에서 등록 시 저장한 사용자 정보에 대한 조회를 수행하고, S640 단계에서는 조회된 사용자 정보를 복호화 후 검증을 수행한다. S650 단계에서는 인증서버(300)에서 사용자 인증이 완료되면, 정상적인 사용자 인증 요청 확인을 위하여 등록 시 저장한 푸시 토큰(Push Token)을 통하여 요청지로 검증용 푸시 메시지(Push Message)를 발송한다.
S660 단계에서는 푸시 메시지(Push Message)를 수신한 스마트 단말(100)에서 사용자 생체인증을 통하여 정상적인 요청 여부를 확인 후 인증서버(300)에 결과 및 토큰(Token) 정보를 전송한다.
S670 단계에서는 인증서버(300)에서는 해당 사용자 스마트 단말에 의한 로그인 시 발행한 토큰(Token)을 조회한다. S680 단계에서는 인증서버(300)에서 토큰 검증을 수행하고, QR 생성 정보를 추출한다. S690 단계에서는 사전에 등록 한 연동 시스템의 접속정보, QR 생성정보, 토큰(Token) 및 검증용 챌린지를 웹 포탈서비스(200)로 전송하고 S700 단계에서는 웹포탈 서비스(200)에서 로그인 완료 후 QR코드를 생성한다.
도 8은 실시예에 따른 QR코드를 활용한 토큰 기반 인증 SSO 서비스 시스템의 연동 사이트 로그인 과정을 나타낸 도면이다.
도 8을 참조하면, 실시예에서는 스마트폰에서 연동사이트에 대한 로그인을 위하여 QR 스캔을 하고, 해당 QR 코드의 정보를 통해 인증서버의 인증을 수행하여, 인증서버의 인증만을 통해 연동사이트 별도의 로그인 없이 로그인을 가능하게 한다.
S710 단계에서는 웹 포털 서비스(200)에서는 로그인이 완료되면 사전에 등록 관리하고 있는 연동 사이트들에 대한 접속정보를 포함한 QR코드를 생성한다. 실시예에서 QR코드는 30초마다 검증을 위한 챌린지가 갱신되어 새로 생성될 수 있다. S730 단계에서는 웹포탈 서비스(200)에서 QR코드를 스캔하여 해당 연동 사이트의 접속정보, 사용자 토큰(Token)정보, 챌린지를 스마트 단말(100)로 전송한다. S740 단계에서는 스마트 단말(100)에서 사용자 생체인증을 통하여 본인확인 완료 후 S750 단계에서 사용자 인증 정보를 인증서버로 전송하고, S760 단계에서는 인증서버로 해당 연동사이트 접속정보, 토큰(Token) 정보, 챌린지를 전송한다. S770 단계에서는 인증서버에서 챌린지 검증을 수행하고, S780 단계에서는 토큰을 조회하여 S790 단계에서는 토큰(Token) 검증을 수행하고 인증이 승인되면 해당 연동사이트 서버(400)에 로그인 요청을 전송한다.
S800 단계에서는 해당 연동사이트서버(400)에서 로그인 처리를 완료하고, S810 단계에서는 인증서버(300)에서 로그인 결과 응답을 스마트 단말(100)으로 전송한다. S820 단계에서는 스마트 단말(100)에서 해당 연동 사이트의 별도의 로그인 없이 접속할 수 있다.
이상에서와 QR코드를 활용한 토큰 기반 인증 SSO 시스템 및 SSO 서비스 제공 시스템은 하나의 사용자 인증정보로 여러 시스템을 인증할 수 있도록 구현 한 SSO 서비스 시스템을 제공함으로써, QR코드 인증의 편의성과 토큰 인증의 보안성을 통하여 사용자의 패스워드 관리에 대한 부담을 줄이며 중앙집중 관리를 통한 효율적인 관리가 가능하도록 한다.
또한, 사용자에게 편의성을 제공하는 QR 코드와 하나의 사용자 인증만으로 연동된 여러 사이트 인증을 할 수 있는 토큰 기반 인증을 수행함으로써 사용자 편의성을 향상시키고 시스템 보안성을 높이도록 한다.
개시된 내용은 예시에 불과하며, 특허청구범위에서 청구하는 청구의 요지를 벗어나지 않고 당해 기술분야에서 통상의 지식을 가진 자에 의하여 다양하게 변경 실시될 수 있으므로, 개시된 내용의 보호범위는 상술한 특정의 실시예에 한정되지 않는다.

Claims (10)

  1. QR코드를 활용한 토큰 기반 인증 SSO(Single Sign On) 시스템에 있어서,
    최초 사용자 로그인을 사용하기 위해 사용자를 등록하고, 연동 사이트 인증이후, 연동사이트 정보를 QR 코드로 제공하는 인증 서버;
    QR 스캔 및 사용자 인증을 수행하고 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행하는 스마트 단말;
    연동사이트 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 출력하고, 로그인 하는 웹 포탈 서비스; 및
    스마트 단말의 로그인 대상인 연동사이트 서버; 를 포함하고
    상기 스마트 단말은
    연동사이트 로그인을 위하여 QR 코드를 스캔하고, 상기 QR 코드의 정보로 인증서버를 인증하여, 인증서버의 인증만을 통해 연동사이트 각각에 로그인 하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 시스템.
  2. 제1항에 있어서, 상기 인증 서버; 는
    QR코드를 활용한 토큰 기반 인증 SSO 서비스를 이용하는 사용자 정보를 수집하는 사용자 정보 수집 모듈;
    사용자 정보를 암호화하여 데이터베이스에 저장하는 암호화 모듈;
    암호화된 사용자 정보를 이용하여 사용자를 등록하고 상기 사용자의 스마트 단말로 등록 결과 응답을 전송하는 응답송신모듈; 및
    연동 사이트의 토큰 인증 및 사용자 인증을 수행하는 인증모듈; 을 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 시스템.
  3. 제 2항에 있어서, 상기 인증모듈; 은
    사용자 등록 시 저장한 사용자 정보 조회 결과에 따라 조회된 사용자 정보를 복호화 후 검증하여 사용자를 인증하고, 사용자 인증이 완료되는 경우, 정상 사용자 인증 요청 확인을 위하여 등록 시 저장한 푸시 토큰(Push Token)을 통해 사용자 인증 요청 단말로 검증용 푸시 메시지(Push Message)를 발송하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 시스템.
  4. 제3항에 있어서, 상기 인증모듈; 은
    사용자의 연동사이트 로그인을 위한 토큰(Token)을 발행하고, 상기 토큰을 데이터 베이스에 저장하고, 상기 토큰은 실제 인증을 수행하는 접근 토큰(Access Token)과 접근(Access Token)이 만료되어 재발행 할 때 사용할 재발행 토큰(Refresh Token)을 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 시스템.
  5. 제 4항에 있어서, 상기 인증모듈; 은
    사용자 스마트 단말의 로그인 시 발행한 토큰(Token)을 조회 후 검증하고, 사전에 등록 한 연동 시스템의 접속정보 및 토큰(Token) 및 검증용 챌린지를 웹 포탈서비스로 전송하여 QR코드를 생성하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 시스템.
  6. QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법에 있어서,
    (A) 인증 서버에서는 최초 사용자 로그인을 사용하기 위해 사용자를 등록하는 단계;
    (B) 스마트 단말에서는 연동 사이트에 로그인 하기 위한 최초 사용자 로그인을 수행하는 단계;
    (C) 웹 포탈 서비스에서는 연동사이트 정보 및 토큰(Token) 정보, 챌린지를 포함한 QR코드를 표시하고, 웹 포털 서비스에 로그인 하는 단계;
    (D) 스마트 단말에서 연동사이트 로그인을 위하여 QR 코드 스캔을 하고, 상기 QR 코드의 정보를 통하여 인증서버의 인증을 수행하여, 인증서버의 인증만을 통해 연동사이트 개별 로그인 없이 연동사이트에 로그인 하는 단계; 를 포함하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법.
  7. 제6항에 있어서, 상기 (A)의 단계; 는
    (A-1) 스마트 단말에서는 사용자 등록 요청을 위하여 사용자에게 아이디 및 패스워드를 입력 받고, 스마트 단말에서 생성되는 푸시 토큰(Push Token)을 사용자 정보와 함께 인증서버로 전송하는 단계;
    (A-2) 인증서버에서는 사용자 정보를 암호화하여 데이터베이스에 저장하고, 사용자 등록처리를 수행하고 스마트 단말로 사용자 등록 결과 응답을 전송하는 단계; 를 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법.
  8. 제6항에 있어서, 상기 (B)의 단계; 는
    (B-1) 스마트 단말에서는 최초 로그인을 위한 사용자 인증을 요청하는 단계;
    (B-2) 스마트 단말에서는 아이디 및 패스워드를 입력 받아 인증서버로 전송하는 단계;
    (B-3) 인증서버에서는 사용자 등록 시 저장한 사용자 정보에 대한 조회를 수행하고, 조회된 사용자 정보를 복호화 후 검증하는 단계;
    (B-4) 인증서버에서는 사용자 인증이 완료되는 경우, 정상 사용자 인증 요청 확인을 위해, 등록 시 저장한 푸시 토큰(Push Token)을 통하여 요청지로 검증용 푸시 메시지(Push Message)를 전송하는 단계;
    (B-5) 스마트 단말에서는 상기 푸시 메시지(Push Message)를 수신 후 사용자 생체인증을 통해 정상적인 요청 여부를 확인하고, 인증서버로 생체 인증 결과를 전송하는 단계;
    (B-6) 인증서버에서는 해당 사용자의 연동사이트 로그인을 위한 토큰(Token)을 발행하고, 상기 토큰(Token)을 데이터 베이스에 저장하는 단계;
    (B-7) 스마트 단말에서는 클라우드 인증서버에서 발행한 토큰(Token)을 검증결과 응답과 함께 수신하여 토큰(Token) 정보를 저장하는 단계; 를 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법.
  9. 제6항에 있어서, 상기 (C)의 단계; 는
    (C-1) 웹 포탈 서비스에서는 로그인을 위하여 사용자 인증을 요청하는 단계;
    (C-2) 인증서버에서는 등록 시 저장한 사용자 정보에 대한 조회를 수행하고, 조회된 사용자 정보를 복호화 후 검증하는 단계;
    (C-3) 인증서버에서는 사용자 인증이 완료되는 경우, 정상적인 사용자 인증 요청 확인을 위하여 등록 시 저장한 푸시 토큰(Push Token)을 통해, 사용자 인증 요청 단말로 검증용 푸시 메시지(Push Message)를 발송하는 단계;
    (C-4) 스마트 단말에서는 푸시 메시지(Push Message)를 수신하고, 사용자 생체인증을 통하여 정상적인 요청 여부를 확인 후 인증서버에 인증결과 및 토큰 정보를 전송하는 단계;
    (C-5) 인증서버에서는 사용자의 스마트 단말 로그인 시 발행한 토큰(Token)을 조회하고 검증하는 단계;
    (C-6) 인증서버에서는 사전에 등록 한 연동 시스템의 접속정보, 토큰(Token) 및 검증용 챌린지를 웹 포탈서비스로 전송하여 QR코드를 생성하는 단계; 를 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법.
  10. 제6항에 있어서, 상기 (D)의 단계; 는
    (D-1) 웹 포털 서비스에서는 로그인이 완료되면 사전에 등록 관리하고 있는 연동 사이트들에 대한 접속정보를 포함한 QR코드를 생성하는 단계;
    (D-2) 스마트 단말에서는 QR코드를 스캔하여 해당 연동 사이트의 접속정보, 사용자 토큰(Token)정보, 챌린지를 수신하는 단계;
    (D-3) 스마트폰 단말에서는 사용자 생체인증을 통하여 본인확인 완료 후 인증서버에 해당 연동사이트 접속정보, 토큰(Token) 정보 및 챌린지를 전송하는 단계;
    (D-4) 인증서버에서는 챌린지 및 토큰(Token) 검증을 수행하고 인증이 승인되면 해당 연동사이트 서버에 로그인 요청을 전송하는 단계;
    (D-5) 연동사이트서버에서는 로그인 처리가 완료되고 결과 응답을 스마트 단말로 전송하여 스마트 단말에서 해당 연동 사이트의 별도의 로그인 없이 접속하는 단계; 를 포함하는 것을 특징으로 하는 QR코드를 활용한 토큰 기반 인증 SSO 서비스 제공 방법.
KR1020220051973A 2022-04-27 2022-04-27 Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법 KR102657533B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220051973A KR102657533B1 (ko) 2022-04-27 2022-04-27 Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220051973A KR102657533B1 (ko) 2022-04-27 2022-04-27 Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20230152342A KR20230152342A (ko) 2023-11-03
KR102657533B1 true KR102657533B1 (ko) 2024-04-16

Family

ID=88745558

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220051973A KR102657533B1 (ko) 2022-04-27 2022-04-27 Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102657533B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742634B1 (en) 2011-12-27 2020-08-11 Majid Shahbazi Methods for single sign-on (SSO) using optical codes
US20210385224A1 (en) 2020-06-08 2021-12-09 Citrix Systems, Inc. Method and system for authentication data passing

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8856512B2 (en) 2008-12-30 2014-10-07 Intel Corporation Method and system for enterprise network single-sign-on by a manageability engine
JP5812797B2 (ja) * 2011-10-14 2015-11-17 キヤノン株式会社 情報処理システム、画像処理装置、制御方法、コンピュータプログラムおよびユーザ装置
KR101944698B1 (ko) 2017-11-28 2019-02-01 (주) 시큐어가드테크놀러지 컴퓨터 운영체제의 로그인 인증 결과를 이용한 싱글 사인 온 자동 로그인 방법 및 이를 적용한 컴퓨터로 읽을 수 있는 저장매체
KR102479454B1 (ko) * 2019-10-02 2022-12-20 주식회사 디젠트아이디 본인 인증을 수행하는 이동 통신 단말기, 본인 인증 시스템, 및 이동 통신 단말기를 이용한 본인 인증 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10742634B1 (en) 2011-12-27 2020-08-11 Majid Shahbazi Methods for single sign-on (SSO) using optical codes
US20210385224A1 (en) 2020-06-08 2021-12-09 Citrix Systems, Inc. Method and system for authentication data passing

Also Published As

Publication number Publication date
KR20230152342A (ko) 2023-11-03

Similar Documents

Publication Publication Date Title
CN107332808B (zh) 一种云桌面认证的方法、服务器及终端
US7409543B1 (en) Method and apparatus for using a third party authentication server
EP3266181B1 (en) Identification and/or authentication system and method
US10637650B2 (en) Active authentication session transfer
JP5844001B2 (ja) マルチパーティシステムにおける安全な認証
US20170244676A1 (en) Method and system for authentication
KR101611872B1 (ko) Fido와 인증서를 이용한 인증 방법
CN109981561A (zh) 单体架构系统迁移到微服务架构的用户认证方法
US20150334108A1 (en) Global authentication service using a global user identifier
KR101383761B1 (ko) 사용자 인증 시스템 및 그 방법
KR101451359B1 (ko) 사용자 계정 회복
KR102482104B1 (ko) 식별 및/또는 인증 시스템 및 방법
US11777743B2 (en) Method for securely providing a personalized electronic identity on a terminal
CN106161475A (zh) 用户鉴权的实现方法和装置
KR20220167366A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
CN112383401B (zh) 一种提供身份鉴别服务的用户名生成方法及系统
KR102657533B1 (ko) Qr코드를 활용한 토큰 기반 인증 sso 시스템 및 방법
KR20130078842A (ko) 이미지 코드와 일회용 패스워드를 이용한 이중 인증처리 서버와 기록매체
KR20220122224A (ko) 사용자 단말 및 대상 서버에서의 분산 id에 기반한 사용자 통합 인증 방법
KR20130093794A (ko) 이중 인증정보 등록 및 운영 방법 및 시스템과 기록매체
KR101536122B1 (ko) 프린터 보안 솔루션 내 스마트카드를 이용한 안전한 사용자 인증 방법
KR102199747B1 (ko) Otp 기반의 가상키보드를 이용한 보안 방법 및 시스템
CN114500074B (zh) 单点系统安全访问方法、装置及相关设备
US11520873B2 (en) Enrollment of a device in a secure network

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant