KR20020068722A - 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템 - Google Patents

인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템 Download PDF

Info

Publication number
KR20020068722A
KR20020068722A KR1020010008972A KR20010008972A KR20020068722A KR 20020068722 A KR20020068722 A KR 20020068722A KR 1020010008972 A KR1020010008972 A KR 1020010008972A KR 20010008972 A KR20010008972 A KR 20010008972A KR 20020068722 A KR20020068722 A KR 20020068722A
Authority
KR
South Korea
Prior art keywords
user
information
server
authentication
client system
Prior art date
Application number
KR1020010008972A
Other languages
English (en)
Other versions
KR100355660B1 (ko
Inventor
이정호
Original Assignee
소프트포럼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트포럼 주식회사 filed Critical 소프트포럼 주식회사
Priority to KR1020010008972A priority Critical patent/KR100355660B1/ko
Publication of KR20020068722A publication Critical patent/KR20020068722A/ko
Application granted granted Critical
Publication of KR100355660B1 publication Critical patent/KR100355660B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 안전하고 지속적인 사용자 접속상태유지를 위한 인증방법 및 시스템에 관한 것이다. 이를 위해 본 발명은 사용자의 클라이언트 시스템이 사용자 식별정보 및 난수정보와 함께 서버 시스템에 접속하는 단계; 상기 서버 시스템에서 상기 사용자 식별정보를 이용하여 사용자를 최초로 확인하는 단계; 상기 서버 시스템에서 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성하는 단계; 상기 서버 시스템 상기 특정정보를 상기 클라이언트 시스템으로 전송하는 단계; 필요시 상기 클라이언트 시스템에서 상기특정정보를 동일한 난수정보와 함께 상기 서버 시스템에 전송하는 단계; 상기 사용자를 재확인하기 위하여 상기 서버 시스템에서 상기 전송된 사용자 특정정보의 유효성을 판단하는 단계로 이루지는 인터넷 환경하에서의 사용자 인증방법 및 이를 위한 시스템을 제공한다.

Description

인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템{METHOD FOR AUTHENTICATING USER IN INTERNET AND SYSTEM FOR THE SAME}
본 발명은 클라이언트 및 서버 구조에 기초한 인터넷 통신에 관한 것으로, 보다 상세하게는 상기 인터넷 환경하에서 사용자를 인증하는 방법 및 이를 위한 시스템에 관한 것이다.
인터넷은 TCP/IP(Transmission Control Protocol/Internet Protocol)를 기반으로 서로 떨어져 있으며 서로 통신할 수 있는 컴퓨터들 또는 이들 컴퓨터를 포함하는 네크워크들로 이루어지며, 이를 통하여 서로 다른 네트워크간의 다양한 정보들이 상호 공유될 수 있다. 초기에 인터넷은 전자메일(electronic mail), 고퍼(gopher), 텔넷(telnet), FTP(File Transfer Protocol)등의 서비스를 제공하였으나 문자(text) 기반의 한정된 서비스로 인해 널리 확산되지는 못했다. 그러나 월드 와이드 웹(World Wide Web, 이하 "웹")이라고 하는 새로운 인터넷 서비스 기술이 개발되면서 인터넷은 급격하게 성장되었다.
상기 웹은 HTTP(HyperText Transfer Protocol)이라는 통신 프로토콜과 HTML(HyperText Markup Language)이라는 언어를 기반으로 하여 다양한 형식의정보(문자, 이미지, 영상, 음성등)를 제공할 수 있다. 또한 상기 웹은 상기 하나의 정보에서 다른 정보로 직접적으로 이동할 수 있게 하는 하이퍼링크(hyperlink) 기법에 의하여 초기에는 단순히 문자 정보를 연계하는 하이퍼텍스트(hypertext)를 제공하였으나, 현재는 사용자의 멀티미디어 정보에 대한 요구에 따라 이미지, 영상, 음성등을 직접적으로 연계하는 하이퍼미디어(hypermedia)를 구현한다. 따라서, 인터넷의 이용 및 인터넷에 연결되는 네트워크의 숫자가 급속하게 증가되었으며, 이에 따라 인터넷상에 포함된 정보의 범위와 내용도 광범위하게 증가되었다.
이러한 환경하에서, 기존에 행해져 오던 여러가지 서비스, 예를 들어 상거래등이 상술된 장점을 이용하여 인터넷상에 적용되고 있으며, 또한 이외에도 새로운 유형의 서비스들이 현재에도 개발되고 있다. 여기서 이러한 인터넷 환경하에서의 서비스 제공자(서버 시스템)는 사용자(클라이언트 시스템)의 관리 및 보안상의 이유로 일정한 사용자 식별 및 인증 기구를 운영한다. 따라서, 상기 서버 시스템의 이용을 위해 각 사용자들에게 일정 식별정보가 부여되며, 접속시마다 상기 식별 정보에 대한 개별적인 인증 절차가 수행된다.
그러나, 앞서 언급된 바와 같이 인터넷 환경의 급속한 팽창에 따라 상기 사용자 식별 및 인증에 관한 기존의 운영방식은 일정한 한계를 가지며 이들을 정리하면 다음과 같다.
첫째, 서버 시스템 관리 및 운영상의 효율이 저하되는 문제점이 발생한다.
현재 운영중인 인증 및 식별방법들은 인증된 사용자의 접속상태를 유지하기 위하여 소정의 객체인 "세션"(session)을 사용하며, 이를 통해 특정 사용자 정보(예를 들어, ID 및 패스워드와 같은 사용자 식별정보 또는 주민등록번호 계좌번호와 같은 사용자 신상정보)를 지속적으로 유지한다. 그러나 상기 특정 사용자 정보들은 서버 시스템에 의해 독립적으로 유지되며, 보다 상세하게는, 상기 서버 시스템의 메모리를 사용하게 된다.
한편, 접속상태유지중 상호간에 송수신되는 상기 특정 사용자 정보의 보호를 위해 암호화 프로토콜(예를 들어, HTTPS)이 추가적으로 사용된다. 그러나 HTTP가 연속성 없는 프로토콜인 반면 상기 HTTPS는 연속적 상태유지 프로토콜이므로 상기 서버 시스템에서 지속적으로 유지시켜주어야 한다.
따라서, 이러한 조건들에 의해 한정된 자원을 갖는 서버 시스템에 있어서, 사용자 접속상태유지는 일정한 시간상에 제약을 갖는다. 또한 동시에 다수의 사용자가 접속되는 경우, 각 사용자의 인증 및 인증된 접속상태유지는 실질적으로 많은 시스템 자원을 요구하게 되며, 이는 상기 서버 시스템이 관리하는 사용자 수가 증가됨에 따라 추가적인 시스템 확장에 대한 부담을 지속적으로 야기한다.
둘째, 상기 사용자 정보의 보안상에 문제점이 발생한다.
앞서 언급된 바와 같이, 상기 특정 사용자 정보는 암호화 프로토콜(HTTPS)에 의해 보호될 수 있으나, 상기 HTTPS는 실질적으로 낮은 암호화 강도만을 제공한다. 따라서, 특정 사용자 정보는 스니핑(sniffing)이나 스푸핑(spoofing)과 같은 해킹에 쉽게 노출되므로 안전도가 저하된다.
또한, 상기 특정 사용자 정보가 여러 서버 시스템간에 공유되는 경우, 이러한 보안상의 문제는 더욱 심각해진다.
본 발명은 상기된 문제점들을 해결하기 위해 안출된 것으로, 본 발명의 목적은 보다 효율적인 사용자 인증 방법 및 이를 위한 시스템을 제공하는 것이다.
본 발명의 다른 목적은 보다 안전한 사용자 인증방법 및 이를 위한 시스템을 제공하는 것이다.
도 1은 본 발명에 따른 인터넷 환경하에서의 사용자 인증 시스템을 나타내는 개략도이다.
도 2는 본 발명에 따른 인터넷 환경하에서의 사용자 인증방법중 서버 시스템 으로의 초기 접속절차를 나타내는 순서도이다.
도 3은 상기 초기 접속절차중 사용자의 웹 서버 접속단계를 나타내는 순서도이다.
도 4는 상기 초기 접속절차중 사용자의 특정정보 작성단계를 나타내는 순서도이다.
도 5는 상기 초기 접속절차중 사용자 특정정보의 유효성을 판단하는 단계를 나타내는 순서도이다.
도 6은 본 발명에 따른 인터넷 환경하에서의 사용자 인증방법중 서버 시스템으로의 재접속 절차를 나타내는 순서도이다.
<도면의 주요 부분에 대한 설명>
10 : 클라이언트 시스템11 : 웹 브라우저
12 : 접속상태관리 모듈20 : 서버 시스템
21 : 웹 서버22 : 인증관리서버
22a: 인증모듈22b : 암복호화 모듈
22c : 권한설정모듈23 : 데이터베이스 서버
24 : 인증기관 서버25 : 등록기관 서버
상기 본 발명의 목적을 달성하기 위한 본 발명의 한 형태에 따르면, 사용자의 클라이언트 시스템이 암호화 프로토콜을 이용하여 사용자 식별정보 및 난수정보와 함께 서버 시스템의 웹 서버에 접속하는 단계; 상기 서버 시스템의 인증관리서버에서 상기 사용자 식별정보를 이용하여 사용자를 최초로 확인하는 단계; 상기 서버 시스템의 인증관리 서버에서 확인된 사용자에 대해서 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성하는 단계; 상기 서버 시스템의 인증관리 서버에서 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템으로 전송하는 단계; 접속을 유지하는 도중 필요시 상기 클라이언트 시스템에서 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 서버 시스템의 인증관리 서버에 전송하는 단계; 상기 사용자를 재확인하기 위하여 상기 인증관리 서버에서 상기 전송된 난수정보를 이용하여 상기 전송된 사용자 특정정보의 유효성을 판단하는 단계로 이루어져, 상기 사용자 클라이언트 시스템의 인증된 접속상태를 안전하게 지속적으로 유지시키는 인터넷 환경하에서의 사용자 인증방법이 제공된다.
여기서 상기 서버 시스템의 웹 서버 접속단계는 상기 사용자의 클라이언트시스템에서 상기 서버 시스템의 웹 서버로의 접속을 요청하는 단계, 상기 클라이언트 시스템 내부의 접속상태관리 모듈이 소정 크기의 난수정보를 발생시키는 단계, 그리고 상기 접속상태관리 모듈에 의해 상기 난수정보와 함께 소정의 사용자 식별정보를 상기 서버 시스템의 웹 서버에 제공하는 단계로 이루어진다.
바람직하게는, 상기 웹서버 접속단계는 상기 접속요청 단계 이전에 상기 클라이언트 시스템에서 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 단계를 더 포함하여 이루어진다.
상기 특정정보 작성단계는 상기 사용자 특정정보중 확인정보 및 인증/관리정보를 암호화하는 단계와, 상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합하는 단계로 이루어지며, 바람직하게는 상기 암호화 단계에는 공개키 기반 알고리즘이 적용된다.
상기 특정정보 작성단계에 있어서, 상기 공개키 기반 암호화 단계는 상기 확인 및 인증/관리정보를 생성된 임의 키를 이용하여 대칭키 방식으로 암호화하는 단계와 상기 임의키를 상기 서버 시스템의 공개키를 이용하여 암호화하는 단계를 포함한다.
상기 사용자 특정정보의 유효성 판단단계는 상기 사용자로부터 전송된 사용자 특정정보를 복호화하는 단계와, 상기 복호화된 사용자 특정정보를 소정의 관련정보들과 비교하는 단계로 이루어진다.
상기 유효성 판단단계에 있어서, 상기 복호화 단계는 상기 임의키를 상기 서버 시스템의 개인키를 이용하여 복호화하는 단계와, 상기 확인 및 인증/관리정보를복호화된 임의 키를 이용하여 대칭키 방식으로 복호화하는 단계를 포함한다.
상기 유효성 판단단계에 있어서, 상기 사용자 특정정보 비교단계는 상기 클라이언트 시스템에서 전송된 난수정보와 상기 복호화된 확인정보내의 난수정보를 비교하는 단계를 포함한다.
여기서 상기 사용자 특정정보 비교단계는 상기 클라이언트 시스템의 네트워크 어드레스를 상기 복호화된 확인정보내의 네트워크 어드레스와 비교하는 단계 및 상기 클라이언트 시스템의 웹 브라우저 버전을 상기 복호화된 확인정보내의 웹 브라우저 버전과 비교하는 단계를 더 포함하는 것이 바람직하며 더욱 바람직하게는, 상기 사용자 특정정보 비교단계가 상기 복호화된 확인정보내의 유효시간을 현재 서버 시스템의 시각과 비교하는 단계를 더 포함하여 이루어진다.
한편, 본 발명의 다른 형태에 따르면, 인터넷을 통해 통신가능하며, 다양한 형태의 정보를 표시 및 처리 가능한 사용자의 클라이언트 시스템과, 인터넷을 통한 상기 사용자 클라이언트 시스템의 요청하는 웹 서버, 상기 웹 서버와 연동하여 일련의 접속된 사용자 인증절차를 관리하는 인증관리 서버, 그리고 상기 웹 서버 및 인증관리 서버와 연동하여 상기 사용자 관련정보를 저장 및 관리하는 데이터베이스 서버를 포함하는 서버 시스템으로 이루어지는 인터넷 환경하에서의 사용자 인증 시스템이 제공된다.
여기서 상기 사용자 클라이언트 시스템은 인터넷상의 정보를 표시 및 처리하는 웹 브라우저와, 자신의 접속상태유지를 보조하는 소정의 접속상태 관리모듈을 포함한다.
또한 상기 인증관리서버는 상기 관련된 서버들와 연계하여 사용자 인증절차를 실질적으로 처리하며, 사용자의 재인증을 위한 사용자 특정정보를 작성하는 인증모듈과, 상기 사용자 특정정보를 암호화 및 복호화하는 암복호화 모듈로 이루어진다.
이러한 본 발명에 따른 인증방법 및 시스템에 의해 사용자의 인증된 접속상태가 안전하게 지속적으로 유지될 수 있다.
이하 상기 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시예가 첨부된 도면을 참조하여 설명된다. 본 실시예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 하기에서 생략된다.
도 1은 본 발명에 따른 인터넷 환경하에서의 사용자 인증 시스템을 나타내는 개략도이며 이를 참조하여 본 발명의 구성을 상세하게 설명하면 다음과 같다.
본 발명은 컴퓨터 및 네트워크 기술에 관련된 다양한 구성요소, 즉 하드웨어와 소프트웨어를 포함하며, 무형의 소프트웨어가 유형의 하드웨어내에 존재하는 방식을 취한다. 이러한 본 발명의 구성 요소들간의 상관 관계를 정의하기 위하여 본 발명의 상세한 설명에 있어서, "시스템"은 상기 다양한 구성요소, 즉 하드웨어 및 소프트웨어 전체를 포함하는 의미로 사용되며, "장치"는 시스템과 같은 집합적 상위 개념을 제외한 하위 개념의 물리적인 구성요소 전체를 의미한다. 또한 "모듈"은 상기 시스템 및 장치를 연계시키며 작동시키는데 이용되는 모든 소프트웨어를 의미한다.
또한, 네트워크 환경하에서 클라이언트는 다른 프로그램에게 서비스를 요청하는 프로그램, 서버는 그 요청에 대해 서비스를 제공하는 프로그램으로 정의된다. 특히 서버 프로그램이 실행되고 있는 하드웨어 자체도 서버라고 정의되며, 일반적인 경우 서로 다른 다수의 서버 프로그램은 하나의 물리적 서버에 존재하는 형식으로 운영되나 시스템 부하가 많은 경우 개개의 하드웨어적 서버에 분산될 수 있다. 본 발명에서는 이해상의 용이성 및 간결성을 위하여 앞서 정의된 "시스템" 개념을 사용하여 상기 소프웨어적인 서버와 하드웨어적인 서버는 물리적으로 서로 결합된 상태로 표현되며 설명된다.
이러한 전제하에서, 본 발명에 따른 시스템은 전체적으로 사용자의 클라이언트 시스템(10)과 상기 사용자에게 일정 서비스를 제공하는 서버 시스템(20)으로 이루어진다. 여기서 상기 서버 시스템(20) 및 상기 사용자 클라이언트 시스템(10)은 서로 인터넷을 통해 통신 가능하게 연결된다.
본 발명에 따른 시스템중 먼저 상기 사용자의 클라이언트 시스템(이하 '클라이언트 시스템')(10)은 일반적으로 연산/제어/처리장치, 통신장치, 기본적인 입출력 장치 및 주/보조 기억장치를 가진다. 그리고 상기 클라이언트 시스템(10)은 상기 일반적인 내부 장치들과 연동하여 인터넷상의 정보를 표시 및 처리하는 수단을 가지며 실질적으로 웹 페이지를 처리하는 프로그램인 웹 브라우저(11)를 갖는다. 이에 따라 상기 클라이언트 시스템(10)은 인터넷을 통해 상기 서버 시스템(20)과 통신 가능하며 이러한 통신중 전송된 정보를 내부적으로 처리할 수 있는 기본적인 능력을 갖는다.
또한 상기 클라이언트 시스템(10)은 자신의 접속상태유지를 보조하는 소정의 접속상태관리 모듈(12)을 갖는다. 상기 접속상태관리 모듈(12)은 일반적인 소프트웨어, 즉 프로그램 형식으로 상기 클라이언트 시스템(10)내에 존재하며 관련된 내부장치들과 상호 연동한다.
일반적으로 인터넷의 프로토콜인 HTTP는 연속성이 없으며, 보다 상세하게는 사용자측의 요청이 있을 때에만 해당 정보(웹 페이지)를 전송하는 응답을 할 뿐 상기 사용자와 지속적인 정보교환을 하지 않는다. 따라서 상기 HTTP만을 사용하는 경우, 상기 사용자의 상태 정보를 지속적으로 갱신하지 못하므로 상기 사용자의 요청에 대해 능동적인 응답이 어려워진다. 이에 따라 보다 신속한 응답 및 사용자 관리(session tracking)를 위하여, 상기 사용자가 접속되는 순간부터 소정의 접속유지상태, 소위 "세션(session)"이 서버측에서 독립적으로 시작될 수 있다. 이러한 세션은 일정 시간동안 동일 사용자(동일 브라우저)에 의한 다중의 요청 및 접속에 대해 상태정보를 지속적으로 유지한다.
보다 상세하게는, 상기 세션은 일반적으로 실행된 후 앞서 언급된 접속상태 유지를 위해 접속된 클라이언트 시스템(10)의 정보를 지속적으로 확인하며, 필요한 정보를 추출하여, 지정된 변수에 저장한다. 그리고 상기 추출된 정보는 능동적인 응답을 위해 서버 시스템(20)내 서버들이나 응용 프로그램에서 공유된다. 이와 같은 접속유지상태("세션")를 사용함으로서 접속중 상기 클라이언트 시스템(10)의 상태정보가 지속적으로 유지 및 갱신 가능하게 되며, 인증된 사용자의 동일성이 계속적으로 확인된다.
본 발명에 있어서 접속상태관리 모듈(12)은 접속상태유지를 보조하기 위하여 상기 클라이언트 시스템(10)이 서버 시스템(20)에 접속시 소정의 난수정보를 발생시키며, 접속상태가 유지되는 동안 상기 최초 발생된 난수정보와 동일한 난수 정보를 지속적으로 유지한다. 또한 상기 접속상태관리 모듈(12)은 필요시 상기 난수정보를 상기 서버 시스템(10)에 전송한다. 따라서 상기 접속상태관리 모듈(10)은 앞서 언급된 바와 같이 일반적으로 서버 시스템(20)에 의해 주도되는 접속상태유지 기능을 분담하게 되며, 이에 관한 상기 접속상태관리 모듈(12)의 작용은 뒤따르는 본 발명에 따른 사용자 인증방법과 함께 보다 상세하게 설명된다.
한편, 본 발명의 구체적 실시예에 있어서, 상기 접속상태관리 모듈(12)은 바람직하게는 상기 웹 브라우저(11)와 연동할 수 있도록 플러그 인(plug-in) 형태로 존재할 수 있다. 또한 분산된 하드웨어 환경에 적응할 수 있도록 상기 접속상태관리 모듈(12)은 액티브 엑스 컨트롤(ActiveX control)과 같은 객체 지향형 컴포넌트(component) 형태로 존재할 수도 있다.
또한, 본 발명에 따른 시스템중 상기 서버 시스템(20)은 내부적으로 웹 서버(21)와 상기 웹 서버(21)에 각각 통신가능하게 연결되는 인증관리서버(22) 및 데이터 베이스 서버(23)를 포함한다.
먼저 상기 웹 서버(21)는 인터넷을 통한 상기 사용자 클라이언트 시스템(10)의 요청에 응답하며, 해당 정보를 상기 클라이언트 시스템(10)에 제공한다. 또한 상기 웹 서버(21)는 인터넷을 통해 자신과 연결된 서버 시스템(20)내의 다른 서버들(22,23)을 상기 클라이언트 시스템(10)과 연동할 수 있게 한다.
그리고 상기 인증관리 서버(22)는 상기 웹 서버(21)와 연계하여 접속된 사용자 인증절차를 관리하며, 도시된 바와 같이 인증모듈(22a)과 암복호화 모듈(22b)을 포함하여 이루어진다.
상기 인증모듈(22a)은 사용자, 즉 클라이언트 시스템(10)의 인증절차를 실질적으로 처리하며, 접속상태 유지도중 상기 인증된 사용자의 재확인을 위한 사용자 특정정보를 작성한다.
상기 암복호화 모듈(22b)은 상기 작성된 사용자 특정정보를 암호화 또는 복호화한다. 여기서 상기 암복호화 모듈(22b)은 단순히 대칭키만을 이용하여 상기 특정정보를 암복화화 할 수 있지만 보다 높은 보안수준을 유지하기 위하여 비대칭적인 공개키 기반 알고리즘(PKI : public key infra)을 사용하는 것이 바람직하다. 이 경우 상기 암복호화 모듈(22b)내에는 공개기 기반의 암복호화를 위하여 디지털 인증서 및 개인키가 위치되며, 상기 디지털 인증서내에는 상기 서버 시스템(10)의 공개키가 포함된다.
여기서 상기 인증관리 서버(22)는 인증된 사용자에 대해 상기 서버 시스템(10)의 디렉토리나 파일과 같은 자원에 대한 권한을 관리하는 권한설정모듈(22c)을 더 포함하여 이루어질 수 있다. 실제적으로 상기 권한설정모듈(22c)은 ACL(Acess Control List)를 이용하여 사용자의 정해진 권한에 따라 서버 시스템(20) 자원의 접근을 제어한다.
상기 데이터베이스 서버(23)는 상기 사용자 관련정보를 저장 및 관리하며, 상기 웹 서버(21) 및 인증관리 서버(22)의 요청이 있을 때 해당정보를 제공한다.실제적으로 상기 데이터베이스 서버(23)내에는 사용자 ID, 패스워드와 같은 인증정보 및 계좌번호와 같은 관리정보 뿐만 아니라 앞서 설명된 바와 같이, 일정 자원에 대한 권한정보(즉, ACL)도 또한 저장된다.
한편 상기 서버 시스템(20)은 공개키 기반 암복호화 알고리즘이 적용되는 경우, 인증기관 서버(24) 및 등록기관 서버(25)을 더 포함하여 이루어지는 것이 바람직하다. 여기서 상기 인증기관 서버(24)는 서버 시스템(20)의 디지털 인증서를 발급하고 검증하며, 등록기관 서버(25)는 상기 인증서 발급이전에 발급요청을 검증하여 상기 인증기관 서버(24)가 발급하도록 통보한다.
상기 설명된 바와 같이 본 발명에 따른 사용자 인증 시스템은 사용자의 접속상태를 안전하고 지속적으로 유지할 수 있는 구성을 가지며, 이러한 본 발명의 시스템을 이용한 사용자 인증방법은 도 2 내지 도 6을 참조하여 다음과 같이 설명될 수 있다.
도 2는 본 발명에 따른 사용자 인증방법중 서버 시스템으로의 초기 접속단계를 나타내는 순서도이며, 도 3 내지 도 5는 상기 초기 접속단계의 각 단계들를 상세하게 나타낸 순서도들이다.
먼저 상기 서버 시스템으로 초기 접속단계에 있어서, 상기 클라이언트 시스템(10)은 인터넷을 통하여 상기 서버 시스템(20)에 접속된다(S10).
상기 서버 시스템 접속단계(S10)에 있어서, 도 3에 도시된 바와 같이, 상기 클라이언트 시스템은 먼저 상기 서버 시스템에게 접속을 요청한다(S12). 여기서 실질적으로 클라이언트 시스템(10)내의 웹 브라우저(11)가 접속 요청을 수행하며, 이에 대해 상기 서버 시스템(20)내의 웹 서버(21)가 상기 요청을 처리한다.
상기 접속요청(S12)과 동시에, 상기 클라이언트 시스템(10)은 소정 크기의 난수정보를 발생시킨다(S13). 즉, 실질적으로 상기 접속상태관리 모듈(12)이 소정 크기의 난수정보를 발생시킨다. 본 발명에 있어서, 상기 난수정보는 일반적인 인증방법에서 사용되던 식별정보에 부가적으로 클라이언트 시스템(10) 확인을 위한 이차적 식별정보로서 작용하며, 이에 따라 접속상태가 유지동안 최초 발생된 난수정보는 동일하게 유지된다. 따라서, 상기 난수정보의 크기는 시스템 설계사양에 따라 다양해 질 수 있지만, 일정한 보안강도를 부여하기 위하여 128 비트이상인 것이 바람직하다.
또한 앞서 설명된 바와 같이, 상기 접속상태관리 모듈(12)은 플러그인(plug-in)이나 액티브 엑스 컨트롤(ActiveX Control) 형태로 존재하는 경우, 상기 웹 브라우저(11)의 접속요청시 자동으로 설치 및 작동될 수 있다.
이 후, 상기 클라이언트 시스템(10)은 소정의 사용자 식별정보를 상기 난수정보와 함께 상기 서버 시스템(20)의 웹 서버(21)에 제공한다(S14). 상기 제공단계(S14)에서, 실제적으로 상기 식별정보는 소정의 입력장치, 예를 들어 키보드를 통해 제공될 수도 있으며, 또한 상기 클라이언트 시스템(10)으로부터 직접적으로 제공될 수도 있다. 보다 상세하게는, 본 발명에 따른 인증방법에 있어서 상기 사용자 식별정보로서 사용자 ID 및 패스워드가 사용될 수 있으며, 디지털 인증서도 사용될 수 있다. 그리고 이 외에도 지문인식, 음성인식, 또는 일회용 패스워드(OTP : on-time password)등도 상기 사용자 식별정보로서 사용될 수 있다. 또한, 상기사용자 식별정보가 전송될 때, 상기 난수정보도 상기 접속상태관리 모듈(12)에 의해 상기 서버 시스템(20)에 전송된다.
한편, 실제적으로 접속단계(S10)뿐만 아니라 접속상태 유지중 클라이언트/서버 시스템(10,20)사이에 교환되는 정보를 보호하기 위해서 통신상의 보안이 요구된다. 따라서 상기 웹 서버 접속단계(S10)에 있어서, 바람직하게는 상기 접속요청 단계(S12)이전에 상기 클라이언트 시스템(10)은 소정의 암호화 프로토콜을 이용하여 보안접속상태를 설정한다(S11).
여기서 다양한 형태의 프로토콜중 상기 암호화 프로토콜로 HTTPS(Secure Hyper Text Transfer Protocol)이 사용될 수 있다. 상기 HTTPS는 웹 프로토콜의 일종이며, 클라이언트 시스템(10)의 요청들과 웹 서버(21)에 의해 응답되는 정보들을 암호화하고 해석한다. 또한 상기 암호화 및 해석을 위하여 상기 HTTPS는 40비트 크기의 키값을 사용하는 SSL(Secure Socket Layer)를 사용한다.
이러한 일련의 웹 서버 접속단계(S11-S12)가 완료된 후, 상기 서버 시스템(20)은 사용자를 확인한다(S20). 여기서 상기 서버 시스템(20)의 인증관리서버(22)가 상기 웹 서버(21)에 전송된 사용자 식별정보를 넘겨받아, 내부의 인증모듈(22a)을 이용하여 사용자를 일차적으로 확인한다. 상기 인증모듈(22a)은 상기 데이터 베이스 서버(23)에 기저장된 사용자 식별정보를 조회하며, 그리고 나서 전송된 사용자 식별정보를 상기 조회된 사용자 식별정보와 비교한다.
만일 상기 확인단계(S20)가 실패하면, 즉 상기 전송된 식별정보와 조회된 식별정보가 일치하지 않는 경우, 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지가 전송된다. 또한 상기 클라이언트 시스템(10)은 상기 일련의 접속단계(S11-S14)를 통해 자신의 사용자 식별정보를 재전송할 수 있다.
한편, 상기 확인단계(S20)가 성공하면, 상기 서버 시스템(20)은 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성한다(S30). 즉, 상기 인증관리 서버(22)의 인증 모듈(22a)은 확인된 사용자에 대해서 전송된 난수정보 및 접속유지에 이용되는 정보, 데이터베이스 서버(23)에 저장된 사용자 관련정보를 조합하여 소정의 정보형태로 가공한다.
이러한 상기 사용자 특정정보 작성단계(S30)에 있어서, 상기 사용자 특정정보는 본 발명에 있어서 전체적으로 기본정보, 확인정보 및 인증/관리 정보로 분류된다.
먼저 기본정보는 상기 사용자 특정정보의 버전(version)정보와 서버 시스템의 식별정보를 포함하여 이루어진다. 여기서 상기 서버 시스템 식별정보는 서버 시스템의 이름이나 서버 시스템 인증서의 일련번호등이 될 수 있다.
그리고 상기 확인정보는 상술된 일차 확인단계(S20)후에 상기 클라이언트 시스템(10)을 지속적으로 재확인하기 위해 사용된다. 이에 따라 상기 확인정보는 상기 전송된 난수정보로 이루어지며, 접속상태를 유지하는 도중 지속적으로 전송 및 유지되는 클라이언트 시스템(10)의 난수정보와 비교를 통해 사용자 동일성을 증명하기 위해 사용된다.
여기서 보다 확실한 클라이언트 시스템(10) 식별을 위해 상기 확인정보는 상기 클라이언트 시스템(10)의 접속시간 및 상기 사용자 특정정보의 유효시간을 더포함하는 것이 바람직하다. 또한 더욱 바람직하게는 클라이언트 시스템의 네트워크 어드레스(IP adress), 웹 브라우저 버전등도 상기 확인정보에 더 포함될 수 있다.
상기 인증/관리정보는 상기 서버 시스템내에서 재확인된 사용자를 인식하기 위해 사용된다. 즉, 상기 인증/관리정보를 이용함으로서 상기 서버 시스템(20)내에서 추가적으로 데이터베이스 서버(23)를 조회하지 않고도 재확인된 사용자에 관련된 작업을 일괄적으로 처리할 수 있다. 이에 따라 상기 인증/관리정보는 예를 들어 사용자 ID, 패스워드, 계좌번호, 주민등록번호등을 포함하여 이루어진다.
이러한 사용자 특정정보의 실제 작성에 있어서, 먼저 상기 사용자 특정정보중 확인정보 및 인증/관리정보가 암호화된다(S31). 상기 기본정보는 일반적인 내용을 포함하고 있으므로 실제적으로 암호화 대상에서 제외된다. 상기 암호화 단계(S31)에서 상기 확인 및 인증/관리정보는 비밀키를 이용하는 일반적인 대칭키 알고리즘에 의해 암호화 될 수 있으나, 대칭키 알고리즘은 상기 비밀키가 유출되는 경우 쉽게 해독되는 결점을 갖는다. 따라서 본 발명에 따른 상기 암호화 단계(S31)는 비대칭적인 공개키 알고리즘을 사용하는 것이 바람직하며, 이를 보다 상세하게 설명하면 다음과 같다.
공개키 기반 암호화 단계(S31)에 있어서, 먼저 상기 암복호화 모듈(22b)에서 상기 확인 및 인증/관리정보가 생성된 임의키(random key)를 이용하여 대칭키 방식으로 암호화된다(S31a). 여기서 상기 임의키는 일종의 비밀키이며, 상기 암복호화 모듈(22b)내에서 매번 다른 값을 갖도록 생성된다. 또한 본 발명에서 상기 대칭키 알고리즘으로서 3DES 또는 SEED 등이 사용될 수 있다.
상기 대칭키 암호화 단계(S31a)후, 상기 임의키는 상기 서버 시스템(20)의 공개키를 이용하여 암호화된다(S31b). 공개키 알고리즘하에서 각각의 보안관련 주체들은 자신의 공개키와 개인키 한 쌍을 가지며, 공개키는 디지털 인증서등을 통해 네트워크상에 공개되며, 개인키는 자신의 시스템내에 보관된다. 그리고 암호화 대상정보는 송신시 수신자의 공개키로 암호화되며 수신된 후 수신자의 개인키로 복호화된다. 이에 따라 본 발명에 있어서 사용자 특정정보 암호화에는 상대적으로 속도가 빠른 대칭키 알고리즘을 사용하고, 임의키(비밀키)는 보안성이 뛰어난 공개키 알고리즘을 결합하여 사용함으로서 보다 안전하게 사용자 특정정보가 보호된다. 또한 사용자 특정정보가 사용자 재확인을 위해 다시 서버 시스템(20)에서 이용될 수 있도록 상기 임의키는 서버 시스템(20) 자신의 공개키로 암호화된다.
이 후, 상기 암복호화 모듈(21)은 상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합시킨다(S32).
여기서 상기 단계들(S31-S32)을 통해 사용자 특정정보는 전송가능한 소정형태를 가질 수 있으나 바람직하게는 작성된 특정정보에 전자서명을 부가하는 단계(S33)를 더 포함하여 작성될 수 있다. 상기 전자서명은 송신자의 개인키를 이용하여 작성되며, 수신자는 송신자의 공개키를 이용하여 상기 전자서명을 확인한다. 본 발명에서 상기 특정정보에 첨부되는 전자서명은 상기 서버 시스템(20)의 개인키를 이용하여 작성되며, 이에 따라 송수신과정중 상기 사용자 특정정보의 위조(integrity) 및 부인(non-reputation)이 방지된다.
상기 작성단계(S30)가 완료된 후, 상기 서버 시스템(20)은 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템으로 전송한다(S40). 즉, 상기 인증관리 서버(22)는 상기 웹 서버(21)를 통해 상기 작성된 특정정보를 클라이언트 시스템(10)내에 설정시킨다. 상기 특정정보를 전송함으로서 상기 서버 시스템(20)은 상기 사용자 특정정보를 더 이상 유지하지 않으며 보다 상세하게는, 자신의 내부 메모리에 사용자 특정정보를 남기지 않는다. 여기서 상기 전송 및 설정과정은 가장 일반적인 쿠키(cookie) 방식을 이용할수 있으며 다르게는 URL Rewriting, Query String과 같은 패러미터(parameter) 방식을 이용할 수 있다.
상기 전송단계(S40)가 완료된 후, 필요시 클라이언트 시스템(10)은 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 서버 시스템(20)에 재전송한다(S50). 즉, 웹 브라우저(11)가 상기 서버 시스템(20)에 소정의 작업을 요청함과 동시에, 상기 최초 발생된 난수정보와 더불어 전송된 사용자 특정정보가 웹 서버(21)를 거쳐 상기 인증관리 서버(22)에 전송된다.
상기 전송 및 재전송 단계(S40,S50)에서 나타난 바와 같이, 일반적인 접속상태유지(즉 "세션")와 다르게 본 발명에 있어서, 상기 클라이언트 시스템(10)이 상기 서버 시스템(20) 대신에 사용자 특정정보를 유지하며, 필요시 사용자 특정정보를 서버 시스템(20)으로 전송한다. 이에 따라 본 발명의 클라이언트 시스템(10)은 접속상태유지에 있어서 서버 시스템(20)의 역할을 분담한다.
상기 재전송단계(S50)단계가 완료된 후, 상기 서버 시스템(20)은 상기 전송된 사용자 특정정보의 유효성을 판단함으로서 상기 사용자를 재확인한다(S60). 보다 상세하게는 상기 인증 서버(22)는 이의 인증모듈(22a) 및 암복호화 모듈(22b)을이용하여 상기 사용자를 재확인하기 위해 상기 복호화된 사용자 특정정보를 검토한다.
이러한 유효성 판단단계(S60)에 있어서, 먼저 상기 사용자로부터 전송된 사용자 특정정보가 상기 암복호화 모듈(22b)에 의해 복호화된다(S61). 여기서 대칭키 알고리즘이 적용된 경우, 상기 사용자 특정정보 보다 상세하게는 확인 및 인증/관리정보는 단순히 비밀키를 이용하여 복호화될 수 있으나 공개키 알고리즘이 적용된 경우 다음과 같은 단계를 거쳐 복호화된다.
즉, 순차적으로 상기 임의키가 상기 서버 시스템(10)의 개인키를 이용하여 복호화되며(S61), 상기 확인 및 인증/관리정보가 상기 복호화된 임의키를 이용하여 대칭키 방식으로 복호화된다(S61b).
상기 복호화 단계(S61)후에, 상기 복호화된 사용자 특정정보는 상기 인증모듈(22a)에 의해 소정의 관련정보들과 비교된다(S62). 여기서 상기 클라이언트 시스템(10)에서 전송된 난수정보가 상기 복호화된 확인정보내의 난수정보를 비교됨(S62a)으로서 사용자의 동일함이 재확인될 수 있다.
이러한 난수정보 비교단계(S62a)와 더불어, 상기 비교단계(S62)에서는 상기 클라이언트 시스템(10)의 네트워크 어드레스와 상기 복호화된 확인정보내의 네트워크 어드레스와 비교될 수 있다. 또한 상기 클라이언트 시스템(10)의 웹 브라우저(11) 버전이 상기 복호화된 확인정보내의 웹 브라우저(11) 버전과 비교될 수 있다(S62b). 더욱 바람직하게는, 상기 복호화된 확인정보내의 유효시간이 현재 서버 시스템의 시각과 더 비교될 수 있다(S62c)
만일 상기 전송된 사용자 특정정보가 유효하지 않는 경우, 앞서 설명된 초기 확인단계(S20)와 동일하게 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지가 전송된다. 또한 상기 클라이언트 시스템(10)은 상기 서버 시스템(20)에 접속하기 위하여 상기 일련의 접속단계(S11-S14)를 재수행하여야 한다.
한편, 상기 전송된 사용자 특정정보가 유효한 경우, 상기 서버 시스템(20)은 상기 확인된 사용자의 요청을 복호화된 사용 특정정보중의 인증/관리정보를 사용하여 처리한다(S70).
이상에서 설명된 바와 같이, 본 발명에 따른 인증방법에 있어서 상기 클라이언트 시스템(10)이 사용자 특정정보를 유지 및 전송하며, 또한 이차적 식별정보인 난수정보를 유지 및 전송한다. 따라서 상기 서버 시스템(20)의 접속상태유지에 대한 부담이 감소되므로 시간의 제약없이 보다 많은 사용자의 접속상태가 관리 및 유지될 수 있다.
또한 상기 사용자 특정정보 자체가 공개키 기반의 암호화 알고리즘에 의해 보호되므로 본 발명에 있어서 상기 사용자 접속상태는 보다 안전하게 유지될 수 있다.
한편, 상기 초기 접속단계(S10-S70)에 의한 인증된 접속상태는 소정의 시간동안 추가적인 요청이 없는 경우 종료되나, 본 발명의 인증방법에서는 기 설정된 사용자 특정정보를 이용하여 상기 클라이언트 시스템(10)은 상기 서버 시스템(20)에 재접속될 수 있다.
도 6은 본 발명에 따른 사용자 인증방법중 서버 시스템으로의 재접속 절차를 나타내는 순서도이며 이를 참조하여 상세하게 설명하면 다음과 같다.
본 발명에 따른 재접속 단계(S60)에 있어서, 먼저 상기 클라이언트 시스템의 웹 브라우저(11)는 상기 서버 시스템(20)의 웹 서버에 재접속을 요청한다(S82).
상기 재접속 요청단계(S82)와 동시에, 상기 인증관리서버(22)의 인증모듈(22a)은 상기 클라이언트 시스템(10)내의 사용자 특정정보의 존재여부를 확인한다(S83).
상기 사용자 특정정보가 존재하는 경우, 클라이언트 시스템(10)은 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 인증관리 서버(22)에 전송한다(S84). 여기서 상기 단계들(S82-S84)은 실질적으로 동시에 수행된다. 즉. 웹 브라우저(11)가 상기 서버 시스템(20)에 소정의 작업을 요청함과 동시에 상기 사용자 특정정보가 확인되며, 상기 일관되게 유지된 난수정보가 기 설정된 사용자 특정정보와 함께 상기 인증관리 서버(22)에 전송된다.
상기 전송단계(S84)가 완료된 후, 상기 인증관리 서버는 상기 전송된 난수정보를 이용하여 상기 사용자 특정정보의 유효성을 판단함으로서 상기 사용자를 재확인한다(S85). 상기 재확인 단계(S85)는 앞서 설명된 초기 접속단계(S10-S70)의 재확인 단계(S60)와 실질적으로 동일하며 이에 따라 상세한 설명은 다음에서 생략된다.
상기 재확인 단계(S85)에서 전송된 사용자 특정정보가 유효한 경우, 상기 서버 시스템(20)은 상기 확인된 사용자의 요청을 복호화된 특정정보중의 인증/관리정보를 사용하여 처리한다(S86).
또한 상기 재확인 단계(S85) 또는 상기 특정정보 존재확인 단계(S83)가 실패하는 경우, 앞서 초기 접속단계에서와 동일하게 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지가 전송되거나 웹 서버 접속단계(S10)가 재시도 될 수 있다.
한편, 보안 통신환경 구현 및 이에 따른 보안수준의 향상을 위해 상기 재접속단계(S80)에서, 상기 재접속요청 단계(S82)이전에 상기 클라이언트 시스템(10)이 HTTPS와 같은 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 것이 또한 바람직하다(S81).
이상에서와 같이, 상기 클라이언트 시스템(10)이 접속상태관리를 분담, 즉 사용자 특정정보를 자체적으로 유지함으로서 초기접속 종료후의 불연속적인 접속시에도 인증된 접속상태가 재설정되며 또한 안전하게 지속적으로 유지된다.
상술된 본 명세서에서 단지 몇몇의 실시예가 설명되었음에도 불구하고, 본 발명이 그 취지와 범주에서 벗어남 없이 많은 다른 특정 형태로 구체화 될 수 있다는 사실은 해당 기술에 통상의 지식을 가진 이들에게는 자명한 것이다. 그러므로, 상술된 실시예는 제한적인 것이 아니라 예시적인 것으로 여겨져야 하고, 이에 따라 본 발명은 상술된 상세한 설명에 한정되지 않고 첨부된 청구항의 범주 및 그 동등 범위내에서 변경될 수도 있다.
본 발명에 따른 인터넷 환경하에서의 사용자 인증방법 및 시스템의 효과를요약하면 다음과 같다.
첫째, 본 발명의 인증방법 및 시스템에 의해 사용자 접속상태가 보다 효율적으로 유지될 수 있다.
본 발명에 있어서, 클라이언트 시스템이 갖는 난수정보는 서버 시스템에서 최초 사용자 확인시 작성되는 사용자 특정정보에 포함되며, 이러한 특정정보내의 난수정보를 상기 클라이언트 시스템이 서버 시스템에 동일하게 제공하는 난수정보와 비교함으로서 인증된 사용자는 계속적으로 재확인되며 접속상태가 지속적으로 유지된다.
이와 같이 상기 난수정보가 최초 사용자 확인이후 이차적 식별정보로서 사용됨으로서 상기 클라이언트 시스템이 서버 시스템 대신에 상기 사용자 특정정보를 유지하고 필요시마다 서버 시스템에 제공하는 것이 가능하며, 서버 시스템은 단순히 클라이언트 시스템으로부터 전송된 사용자 특정정보 및 난수 정보를 통해 사용자 재확인 단계만을 수행한다.
이러한 상기 클라이언트 시스템의 역할분담으로 인해, 서버 시스템은 한정 시스템 자원을 이용하여 더 많은 사용자의 인증된 접속상태를 유지할 수 있으며, 접속상태유지에 대한 시간제약이 실질적으로 제거된다.
둘째, 본 발명의 인증방법 및 시스템에 의해 사용자 접속상태가 보다 안전하게 유지될 수 있다.
본 발명은 상기 사용자 특정정보를 서버 시스템에서 자체 모듈을 이용하여 암호화하며 난수정보 비교 및 다른 관련정보들을 비교함으로서 높은 보안수준을 제공한다. 그리고 상기 특정정보 암호화에 있어서, 공개키 기반의 암호화(특정정보의 비밀키 암호화, 상기 비밀키의 공개키 암호화) 및 전자서명이 적용됨으로서, 상기 특정정보의 보안 및 위조방지, 부인방지등이 제공될 수 있다. 이와 더불어 기존의 암호화 프로토콜(HTTPS)의 사용은 상기 사용자 특정정보의 보호를 보다 확실하게 한다.

Claims (20)

  1. 사용자의 클라이언트 시스템이 암호화 프로토콜을 이용하여 사용자 식별정보 및 난수정보와 함께 서버 시스템의 웹 서버에 접속하는 단계;
    상기 서버 시스템의 인증관리서버에서 상기 사용자 식별정보를 이용하여 사용자를 최초로 확인하는 단계;
    상기 서버 시스템의 인증관리 서버에서 확인된 사용자에 대해서 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성하는 단계;
    상기 서버 시스템의 인증관리 서버에서 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템으로 전송하는 단계;
    접속을 유지하는 도중 필요시 상기 클라이언트 시스템에서 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 서버 시스템의 인증관리 서버에 전송하는 단계;
    상기 사용자를 재확인하기 위하여 상기 인증관리 서버에서 상기 전송된 난수정보를 이용하여 상기 전송된 사용자 특정정보의 유효성을 판단하는 단계로 이루어져, 상기 사용자 클라이언트 시스템의 인증된 접속상태를 안전하게 지속적으로 유지시키는 인터넷 환경하에서의 사용자 인증방법.
  2. 제 1 항에 있어서,
    상기 서버 시스템의 웹 서버 접속단계가:
    상기 사용자의 클라이언트 시스템에서 상기 서버 시스템의 웹 서버로의 접속을 요청하는 단계;
    상기 클라이언트 시스템 내부의 접속상태관리 모듈이 소정 크기의 난수정보를 발생시키는 단계;
    상기 접속상태관리 모듈에 의해 상기 난수정보와 함께 소정의 사용자 식별정보를 상기 서버 시스템의 웹 서버에 제공하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  3. 제 2 항에 있어서,
    상기 웹서버 접속단계가 상기 접속요청 단계 이전에 상기 클라이언트 시스템에서 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  4. 제 3 항에 있어서,
    상기 암호화 프로토콜이 HTTPS(Secure Hyper Text Transfer Protocol)인 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  5. 제 1 항에 있어서,
    상기 최초 확인단계의 실패시, 상기 클라이언트 시스템으로 오류 메시지를 전송하는 단계 또는 상기 클라이언트 시스템에서 상기 사용자 식별정보를 재입력하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  6. 제 1 항에 있어서
    상기 사용자 특정정보가 기본정보, 초기 확인후 상기 사용자를 재확인하기 위한 확인정보, 그리고 상기 서버 시스템내에서 재확인된 사용자를 인식하기 위한 인증/관리 정보를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  7. 제 6 항에 있어서,
    상기 기본정보는 상기 사용자 특정정보의 버전(version)정보와 서버 시스템의 식별정보를 포함하며, 상기 확인정보는 상기 클라이언트 시스템에서 전송된 난수정보를 포함하고, 상기 사용자 인증/관리정보가 사용자 ID, 패스워드, 계좌번호, 주민등록번호등을 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  8. 제 6 항에 있어서,
    상기 특정정보 작성단계가:
    상기 사용자 특정정보중 확인정보 및 인증/관리정보를 공개키 기반 알고리즘을 사용하여 암호화하는 단계와;
    상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합하는 단계로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  9. 제 8 항에 있어서,
    상기 공개키 기반 암호화 단계가:
    상기 확인 및 인증/관리정보를 생성된 임의 키를 이용하여 대칭키 방식으로 암호화하는 단계와;
    상기 임의키를 상기 서버 시스템의 공개키를 이용하여 암호화하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  10. 제 8 항에 있어서,
    상기 특정정보 작성단계가 작성된 특정정보에 상기 서버 시스템의 개인키를 이용하여 전자서명을 부가하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  11. 제 1 항에 있어서,
    상기 사용자 특정정보의 유효성 판단단계가:
    상기 사용자로부터 전송된 사용자 특정정보를 복호화하는 단계와;
    상기 복호화된 사용자 특정정보를 소정의 관련정보들과 비교하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  12. 제 11 항에 있어서,
    상기 사용자 특정정보의 복호화 단계가:
    상기 임의키를 상기 서버 시스템의 개인키를 이용하여 복호화하는 단계와;
    상기 확인 및 인증/관리정보를 복호화된 임의 키를 이용하여 대칭키 방식으로 복호화하는 단계로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  13. 제 11 항에 있어서,
    상기 사용자 특정정보 비교단계가 상기 클라이언트 시스템에서 전송된 난수정보와 상기 복호화된 확인정보내의 난수정보를 비교하는 단계를 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  14. 제 1 항에 있어서
    상기 사용자 특정정보가 유효하지 않는 경우, 상기 클라이언트 시스템으로 오류 메시지를 전송하는 단계 또는 상기 클라이언트 시스템에서 상기 사용자 식별정보를 재입력하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  15. 제 1 항에 있어서,
    상기 최초 인증된 접속상태 종료후에, 상기 사용자 특정정보를 이용하여 상기 클라이언트 시스템을 상기 서버 시스템에 재접속시키는 단계를 더 포함하여 이루어져, 상기 클라이언트 시스템의 불연속적인 접속에 대해서도 인증된 접속상태를 안전하게 지속적으로 유지시키는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
  16. 인터넷을 통해 통신가능하며, 다양한 형태의 정보를 표시 및 처리 가능한 사용자의 클라이언트 시스템과;
    인터넷을 통한 상기 사용자 클라이언트 시스템의 요청하는 웹 서버,
    상기 웹 서버와 연동하여 일련의 접속된 사용자 인증절차를 관리하는 인증관리 서버, 그리고
    상기 웹 서버 및 인증관리 서버와 연동하여 상기 사용자 관련정보를 저장 및 관리하는 데이터베이스 서버를 포함하는 서버 시스템으로 이루어지는 인터넷 환경하에서의 사용자 인증 시스템.
  17. 제 16 항에 있어서,
    상기 사용자 클라이언트 시스템이:
    인터넷상의 정보를 표시 및 처리하는 웹 브라우저와;
    상기 서버 시스템에 접속시 소정의 난수정보를 발생시키며, 필요시 상기 난수정보를 상기 서버 시스템에 전송하고, 접속상태가 유지되는 동안 상기 발생된 난수정보와 동일한 난수 정보를 지속적으로 유지하여, 자신의 접속상태유지를 보조하는 소정의 접속상태 관리모듈을 포함하는 것을 특징으로 하는 인터넷 환경하에의 사용자 인증 시스템.
  18. 제 17 항에 있어서,
    상기 접속상태관리 모듈이 상기 클라이언트 시스템내에서 웹 브라우저내의 플러그 인(plug-in) 또는 액티브 엑스 컨트롤(ActiveX control) 또는 애플릿(applet)과 같은 객체 지향형 컴포넌트(component) 형태로 존재하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증 시스템.
  19. 제 16 항에 있어서,
    상기 인증관리서버가:
    상기 관련된 서버들와 연계하여 사용자 인증절차를 실질적으로 처리하며, 사용자의 재인증을 위한 사용자 특정정보를 작성하는 인증모듈과;
    상기 사용자 특정정보를 암호화 및 복호화하는 암복호화 모듈로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증 시스템.
  20. 제 16 항에 있어서,
    상기 서버 시스템이;
    상기 서버 시스템의 공개키등을 포함하는 디지털 인증서를 발급하고 검증하는 인증기관 서버와;
    상기 인증서 발급이전에 인증기관 서버의 입증을 대행하는 등록기관 서버를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.
KR1020010008972A 2001-02-22 2001-02-22 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템 KR100355660B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010008972A KR100355660B1 (ko) 2001-02-22 2001-02-22 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010008972A KR100355660B1 (ko) 2001-02-22 2001-02-22 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템

Publications (2)

Publication Number Publication Date
KR20020068722A true KR20020068722A (ko) 2002-08-28
KR100355660B1 KR100355660B1 (ko) 2002-10-11

Family

ID=27695193

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010008972A KR100355660B1 (ko) 2001-02-22 2001-02-22 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템

Country Status (1)

Country Link
KR (1) KR100355660B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030072816A (ko) * 2002-03-06 2003-09-19 래플(주) 서버간 테이터 암호화 통신
KR20050042694A (ko) * 2003-11-04 2005-05-10 한국전자통신연구원 보안토큰을 이용한 전자거래방법 및 그 시스템
KR100847431B1 (ko) * 2005-03-14 2008-07-21 가부시키가이샤 엔티티 도코모 전자가치 교환방법, 이용자장치 및 제3자장치
KR101276202B1 (ko) * 2009-11-25 2013-06-18 한국전자통신연구원 개인 식별자 생성 방법, 특정 개인 식별 방법 및 개인 식별자 생성 장치
KR102160656B1 (ko) * 2020-03-19 2020-09-28 (주)디에스티인터내셔날 장정맥을 이용한 로그인 방법

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030072816A (ko) * 2002-03-06 2003-09-19 래플(주) 서버간 테이터 암호화 통신
KR20050042694A (ko) * 2003-11-04 2005-05-10 한국전자통신연구원 보안토큰을 이용한 전자거래방법 및 그 시스템
KR100847431B1 (ko) * 2005-03-14 2008-07-21 가부시키가이샤 엔티티 도코모 전자가치 교환방법, 이용자장치 및 제3자장치
US7865438B2 (en) 2005-03-14 2011-01-04 Ntt Docomo, Inc. Electronic value exchange method, user device, and third-party device
KR101276202B1 (ko) * 2009-11-25 2013-06-18 한국전자통신연구원 개인 식별자 생성 방법, 특정 개인 식별 방법 및 개인 식별자 생성 장치
KR102160656B1 (ko) * 2020-03-19 2020-09-28 (주)디에스티인터내셔날 장정맥을 이용한 로그인 방법

Also Published As

Publication number Publication date
KR100355660B1 (ko) 2002-10-11

Similar Documents

Publication Publication Date Title
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
RU2279186C2 (ru) Система и способ использования безопасности, присущей защищенному коммуникационному каналу, для обеспечения безопасности незащищенного коммуникационного канала
US7127607B1 (en) PKI-based client/server authentication
US7496755B2 (en) Method and system for a single-sign-on operation providing grid access and network access
US6301661B1 (en) Enhanced security for applications employing downloadable executable content
US7281128B2 (en) One pass security
EP2144420B1 (en) Web application security filtering
EP2020797B1 (en) Client-server Opaque token passing apparatus and method
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
US6895501B1 (en) Method and apparatus for distributing, interpreting, and storing heterogeneous certificates in a homogenous public key infrastructure
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
JP2009514050A (ja) クライアント−サーバ環境においてクライアントを認証するためのシステムおよび方法
AU2002235149A1 (en) System and method for securing a non-secure communication channel
US20110179478A1 (en) Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication
KR20060100920A (ko) 웹 서비스를 위한 신뢰되는 제3자 인증
US7363486B2 (en) Method and system for authentication through a communications pipe
KR100850506B1 (ko) 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스시스템 및 방법
JP5186648B2 (ja) 安全なオンライン取引を容易にするシステム及び方法
KR100355660B1 (ko) 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템
KR100366403B1 (ko) 인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템
KR100892609B1 (ko) 보안 통신 시스템, 방법, 및 상기 방법을 실행시키기 위한컴퓨터 프로그램을 기록한 매체
WO2004099949A1 (en) Web site security model
US7890751B1 (en) Method and system for increasing data access in a secure socket layer network environment
KR101962349B1 (ko) 인증서 기반 통합 인증 방법
KR101101190B1 (ko) 보안 통신 시스템, 방법, 및 상기 방법을 실행시키기 위한 컴퓨터 프로그램을 기록한 매체

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20120824

Year of fee payment: 11

FPAY Annual fee payment

Payment date: 20130828

Year of fee payment: 12

FPAY Annual fee payment

Payment date: 20140901

Year of fee payment: 13

FPAY Annual fee payment

Payment date: 20160901

Year of fee payment: 15

FPAY Annual fee payment

Payment date: 20170901

Year of fee payment: 16

FPAY Annual fee payment

Payment date: 20180903

Year of fee payment: 17

FPAY Annual fee payment

Payment date: 20190902

Year of fee payment: 18