KR20020071644A - Method for authenticating user in internet and system for the same - Google Patents

Method for authenticating user in internet and system for the same Download PDF

Info

Publication number
KR20020071644A
KR20020071644A KR1020010011802A KR20010011802A KR20020071644A KR 20020071644 A KR20020071644 A KR 20020071644A KR 1020010011802 A KR1020010011802 A KR 1020010011802A KR 20010011802 A KR20010011802 A KR 20010011802A KR 20020071644 A KR20020071644 A KR 20020071644A
Authority
KR
South Korea
Prior art keywords
user
server
information
authentication
specific information
Prior art date
Application number
KR1020010011802A
Other languages
Korean (ko)
Other versions
KR100366403B1 (en
Inventor
이정호
Original Assignee
소프트포럼 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트포럼 주식회사 filed Critical 소프트포럼 주식회사
Priority to KR10-2001-0011802A priority Critical patent/KR100366403B1/en
Publication of KR20020071644A publication Critical patent/KR20020071644A/en
Application granted granted Critical
Publication of KR100366403B1 publication Critical patent/KR100366403B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

PURPOSE: A method for certifying a user in an Internet environment and a system therefor are provided to transmit specific information of a certified user to a server system which certifies the user firstly or a server system cooperated therewith with safety. CONSTITUTION: A client system of a user connects to a web server of main server system with user identification information and random number information using a coded protocol for using a specific Internet service(S10). A certification managing server of the main server system confirms a user using the user identification information(S20). Coded user specific information including the transmitted random number information with respect to a user confirmed in the certification managing server is prepared(S30). The certification managing server transmits the coded user specific information to the client system and the corresponding service server through the web server(S40). The web server converts the client system into the corresponding service server(S50). The client system transmits one's coded specific information to the corresponding service server with identified random number information(S60). The corresponding service server judges an effectiveness of user specific information using the transmitted random number information for using the transmitted user specific information and confirms the user. Specific information of the certified user is transmitted to the corresponding server with safety(S70).

Description

인터넷 환경에서의 사용자 인증방법 및 이를 위한 시스템{METHOD FOR AUTHENTICATING USER IN INTERNET AND SYSTEM FOR THE SAME}User authentication method in internet environment and system for same {METHOD FOR AUTHENTICATING USER IN INTERNET AND SYSTEM FOR THE SAME}

본 발명은 클라이언트 및 서버 구조에 기초한 인터넷 통신에 관한 것으로, 보다 상세하게는 상기 인터넷 환경하에서 사용자를 인증하는 방법 및 이를 위한 시스템에 관한 것이다.The present invention relates to Internet communications based on client and server architectures, and more particularly, to a method and system for authenticating a user in the Internet environment.

인터넷은 TCP/IP(Transmission Control Protocol/Internet Protocol)를 기반으로 서로 떨어져 있으며 서로 통신할 수 있는 컴퓨터들 또는 이들 컴퓨터를 포함하는 네크워크들로 이루어지며, 이를 통하여 서로 다른 네트워크간의 다양한 정보들이 상호 공유될 수 있다. 초기에 인터넷은 전자메일(electronic mail), 고퍼(gopher), 텔넷(telnet), FTP(File Transfer Protocol)등의 서비스를 제공하였으나 문자(text) 기반의 한정된 서비스로 인해 널리 확산되지는 못했다. 그러나 월드 와이드 웹(World Wide Web, 이하 "웹")이라고 하는 새로운 인터넷 서비스 기술이 개발되면서 인터넷은 급격하게 성장되었다.The Internet is composed of computers that are separated from each other and can communicate with each other based on the Transmission Control Protocol / Internet Protocol (TCP / IP), so that various information can be shared between different networks. Can be. Initially, the Internet provided services such as electronic mail, gopher, telnet, and File Transfer Protocol (FTP), but they were not widely spread due to limited text-based services. But with the development of a new Internet service technology called the World Wide Web ("Web"), the Internet has grown rapidly.

상기 웹은 HTTP(HyperText Transfer Protocol)이라는 통신 프로토콜과 HTML(HyperText Markup Language)이라는 언어를 기반으로 하여 다양한 형식의 정보(문자, 이미지, 영상, 음성등)를 제공할 수 있다. 또한 상기 웹은 상기 하나의 정보에서 다른 정보로 직접적으로 이동할 수 있게 하는 하이퍼링크(hyperlink) 기법에 의하여 초기에는 단순히 문자 정보를 연계하는 하이퍼텍스트(hypertext)를 제공하였으나, 현재는 사용자의 멀티미디어 정보에 대한 요구에 따라 이미지, 영상, 음성등을 직접적으로 연계하는 하이퍼미디어(hypermedia)를 구현한다. 따라서, 인터넷의 이용 및 인터넷에 연결되는 네트워크의 숫자가 급속하게 증가되었으며, 이에 따라 인터넷상에 포함된 정보의 범위와 내용도 광범위하게 증가되었다.The web may provide various types of information (text, image, video, audio, etc.) based on a communication protocol called HTTP (HyperText Transfer Protocol) and a language called HyperText Markup Language (HTML). In addition, the web initially provided a hypertext that simply links text information by a hyperlink technique that enables direct movement from one information to another. It implements hypermedia that directly connects images, video, and audio according to the demand. Accordingly, the use of the Internet and the number of networks connected to the Internet have been rapidly increased, and thus the range and contents of the information contained on the Internet have also been extensively increased.

이러한 환경하에서, 기존에 행해져 오던 여러가지 서비스, 예를 들어 상거래등이 상술된 장점을 이용하여 인터넷상에 적용되고 있으며, 또한 이외에도 새로운 유형의 서비스들이 현재에도 개발되고 있다. 여기서 이러한 인터넷 환경하에서의 서비스 제공자(서버 시스템)는 사용자(클라이언트 시스템)의 관리 및 보안상의 이유로 일정한 사용자 식별 및 인증 기구를 운영한다. 따라서, 상기 서버 시스템의 이용을 위해 각 사용자들에게 일정 식별정보가 부여되며, 접속시마다 상기 식별 정보에 대한 개별적인 인증 절차가 수행된다.Under these circumstances, various services, such as commerce and the like, which have been performed in the past, are being applied on the Internet using the above-mentioned advantages, and in addition, new types of services are currently being developed. Here, the service provider (server system) in such an Internet environment operates a certain user identification and authentication mechanism for reasons of management and security of the user (client system). Therefore, schedule identification information is given to each user for use of the server system, and a separate authentication procedure for the identification information is performed every time the connection is made.

그러나, 앞서 언급된 바와 같이 인터넷 환경의 급속한 팽창에 따라 상기 사용자 식별 및 인증에 관한 기존의 운영방식은 일정한 한계를 가지며 이들을 정리하면 다음과 같다.However, as mentioned above, according to the rapid expansion of the Internet environment, the existing operation method for the user identification and authentication has certain limitations.

첫째, 현재 운영중인 인증절차로 인해 사용자의 서비스 이용이 불편한 문제점이 발생한다.First, there is a problem that the user's service use is inconvenient due to the current authentication process.

앞서 설명된 바와 같이 사용자가 서버 시스템에 제공되는 서비스를 요청하면, 각 서비스에서 요구되는 다양한 인증방법을 거치게 된다. 이에 따라 사용자는 각 서비스에 대한 여러개의 식별정보를 관리해야하며, 다수의 식별정보를 접속시마다 제공하는 동일한 작업을 반복하게 된다. 따라서 확장되고 분산된 서버 시스템 환경하에서 기존의 개별적 인증방법은 사용자의 불편함을 가중시키며, 이와 더불어 인증시 잘못된 식별정보를 제공할 가능성이 증가된다.As described above, when a user requests a service provided to a server system, the user goes through various authentication methods required for each service. Accordingly, the user must manage a plurality of pieces of identification information for each service, and repeats the same operation of providing a plurality of pieces of identification information each time. Therefore, in the extended and distributed server system environment, the existing individual authentication method adds inconvenience to the user, and increases the possibility of providing incorrect identification information during authentication.

둘째, 서버 시스템 관리 및 운영상의 효율이 저하되는 문제점이 발생한다.Second, there is a problem that the server system management and operation efficiency is lowered.

현재 운영중인 인증 및 식별방법들은 인증된 사용자의 접속상태를 유지하기 위하여 소정의 객체인 "세션"(session)을 사용하며, 이를 통해 특정 사용자 정보(예를 들어, ID 및 패스워드와 같은 사용자 식별정보 또는 주민등록번호 계좌번호와 같은 사용자 신상정보)를 지속적으로 유지한다. 그러나 상기 특정 사용자 정보들은 서버 시스템에 의해 독립적으로 유지되며, 보다 상세하게는, 상기 서버 시스템의 메모리를 사용하게 된다.Currently operating authentication and identification methods use a "session", which is a predetermined object, to maintain an authenticated user's connection state, thereby allowing specific user information (for example, user identification information such as ID and password). Or user identification information such as social security number or account number). However, the specific user information is maintained independently by the server system, and more specifically, using the memory of the server system.

한편, 접속상태유지중 상호간에 송수신되는 상기 특정 사용자 정보의 보호를 위해 암호화 프로토콜(예를 들어, HTTPS)이 추가적으로 사용된다. 그러나 HTTP가 연속성 없는 프로토콜인 반면 상기 HTTPS는 연속적 상태유지 프로토콜이므로 상기서버 시스템에서 지속적으로 유지시켜주어야 한다.Meanwhile, an encryption protocol (for example, HTTPS) is additionally used to protect the specific user information transmitted and received while maintaining the connection state. However, while HTTP is a protocol without continuity, the HTTPS is a continuous state maintaining protocol, so it must be maintained continuously in the server system.

따라서, 이러한 조건들에 의해 한정된 자원을 갖는 서버 시스템에 있어서, 사용자 접속상태유지는 일정한 시간상에 제약을 갖는다. 또한 동시에 다수의 사용자가 접속되는 경우, 각 사용자의 인증 및 인증된 접속상태유지는 실질적으로 많은 시스템 자원을 요구하게 되며, 이는 상기 서버 시스템이 관리하는 사용자 수가 증가됨에 따라 추가적인 시스템 확장에 대한 부담을 지속적으로 야기한다.Therefore, in a server system having a resource defined by these conditions, user connection state maintenance has a constraint on a certain time. In addition, when a large number of users are connected at the same time, maintaining the authenticated and authenticated connection state of each user requires a lot of system resources, which is a burden for additional system expansion as the number of users managed by the server system increases. Cause continuously.

셋째, 상기 사용자 정보의 보안상에 문제점이 발생한다.Third, a problem occurs in the security of the user information.

앞서 언급된 바와 같이, 상기 특정 사용자 정보는 암호화 프로토콜(HTTPS)에 의해 보호될 수 있으나, 상기 HTTPS는 실질적으로 낮은 암호화 강도만을 제공한다. 따라서, 특정 사용자 정보는 스니핑(sniffing)이나 스푸핑(spoofing)과 같은 해킹에 쉽게 노출되므로 안전도가 저하된다.As mentioned above, the specific user information may be protected by an encryption protocol (HTTPS), but the HTTPS provides only a substantially low encryption strength. Therefore, certain user information is easily exposed to hacking such as sniffing or spoofing, thereby degrading safety.

또한, 상기 특정 사용자 정보가 여러 서버 시스템간에 공유되는 경우, 이러한 보안상의 문제는 더욱 심각해진다.In addition, when the specific user information is shared among several server systems, this security problem becomes more serious.

본 발명은 상기된 문제점들을 해결하기 위해 안출된 것으로, 본 발명의 목적은 보다 편리한 사용자 인증방법 및 이를 위한 시스템을 제공하는 것이다.The present invention has been made to solve the above problems, an object of the present invention to provide a more convenient user authentication method and system for the same.

본 발명의 다른 목적은 보다 효율적인 사용자 인증 방법 및 이를 위한 시스템을 제공하는 것이다.Another object of the present invention is to provide a more efficient user authentication method and system for the same.

본 발명의 또 다른 목적은 보다 안전한 사용자 인증방법 및 이를 위한 시스템을 제공하는 것이다.Another object of the present invention is to provide a more secure user authentication method and system for the same.

도 1은 본 발명에 따른 인터넷 환경하에서의 사용자 인증 시스템을 나타내는 개략도이다.1 is a schematic diagram showing a user authentication system in an Internet environment according to the present invention.

도 2는 본 발명에 따른 인터넷 환경하에서의 사용자 인증방법중 해당 서비스 서버로의 초기 사용자 특정정보 전달절차를 나타내는 순서도이다.2 is a flowchart illustrating a procedure for transmitting initial user specific information to a corresponding service server in a user authentication method in an internet environment according to the present invention.

도 3은 상기 초기 정보전달절차중 사용자의 웹 서버 접속단계를 나타내는 순서도이다.3 is a flowchart illustrating a web server access step of a user during the initial information transfer procedure.

도 4는 상기 초기 정보전달절차중 사용자의 특정정보 작성단계를 나타내는 순서도이다.4 is a flowchart illustrating a step of creating a user's specific information during the initial information transfer procedure.

도 5는 상기 초기 정보전달절차중 사용자 특정정보의 유효성을 판단하는 단계를 나타내는 순서도이다.5 is a flowchart illustrating a step of determining validity of user specific information during the initial information transfer procedure.

도 6은 본 발명에 따른 사용자 인증방법중 해당 서비스 서버에서의 사용자 접속상태 유지절차를 단계를 나타내는 순서도이다.6 is a flowchart illustrating a process of maintaining a user connection state in a corresponding service server in a user authentication method according to the present invention.

도 7은 본 발명에 따른 사용자 인증방법중 해당 서비스 서버로의 재접속 절차를 나타내는 순서도이다.7 is a flowchart illustrating a reconnection procedure to a corresponding service server in a user authentication method according to the present invention.

도 8은 본 발명에 따른 사용자 인증방법중 다른 서비스 서버로의 사용자 특정정보 전달절차를 나타내는 순서도이다.8 is a flowchart illustrating a procedure of transmitting user specific information to another service server in a user authentication method according to the present invention.

<도면의 주요 부분에 대한 설명>Description of the main parts of the drawing

10 : 클라이언트 시스템11 : 웹 브라우저10: client system 11: web browser

12 : 접속상태관리 모듈20 : 주 서버 시스템12: connection status management module 20: main server system

30 : 부가 서버 시스템21,31 : 웹 서버30: additional server system 21, 31: web server

22 : 인증관리서버23,32 : 서비스 서버22: authentication management server 23,32: service server

22a,23a,32a : 인증모듈22b,23b.32b : 암복호화 모듈22a, 23a, 32a: authentication module 22b, 23b. 32b: encryption / decryption module

22c : 권한설정모듈23,24 : 데이터베이스 서버22c: authorization module 23, 24: database server

24 : 인증기관 서버25 : 등록기관 서버24: certification authority server 25: registration authority server

상기 본 발명의 목적을 달성하기 위한 본 발명의 한 형태에 따르면, 특정 인터넷 서비스 이용을 위해 사용자의 클라이언트 시스템이 암호화 프로토콜을 이용하여 사용자 식별정보 및 난수정보와 함께 주 서버 시스템의 웹 서버에 접속하는 단계; 상기 주 서버 시스템의 인증관리 서버에서 상기 사용자 식별정보를 이용하여 사용자를 확인하는 단계; 상기 주 서버 시스템의 인증관리 서버에서 확인된 사용자에 대해서 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성하는 단계; 상기 주 서버 시스템의 인증관리 서버에서 상기 웹 서버를 통하여 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템 및 해당 서비스 서버에 각각 전송하는 단계; 상기 주 서버 시스템의 웹 서버에서 상기 클라이언트 시스템을 해당 서비스 서버로 전환시키는 단계; 상기 클라이언트 시스템에서 자신이 가진 암호화된 특정정보를 동일한 난수정보와 함께 상기 해당 서비스 서버에 전송하는 단계; 상기 전송된 사용자 특정정보를 이용하기 위하여 상기 해당 서비스 서버에서 상기 전송된 난수정보를 이용하여 사용자 특정정보의 유효성을 판단하고 상기 사용자를 확인하는 단계로 이루어져, 상기 인증된 사용자의 특정정보를 해당 서버에 안전하게 전달하는 인터넷 환경하에서의 사용자 인증방법이 제공된다.According to one aspect of the present invention for achieving the above object of the present invention, a client system of a user accesses a web server of a main server system together with user identification information and random number information using an encryption protocol to use a specific Internet service. step; Identifying a user using the user identification information at the authentication management server of the main server system; Creating encrypted user specific information including the transmitted random number information for the user identified in the authentication management server of the main server system; Transmitting, by the authentication management server of the main server system, the encrypted user specific information to the client system and the corresponding service server through the web server; Converting the client system to a corresponding service server in a web server of the main server system; Transmitting the encrypted specific information that the client system has with the same random number information to the corresponding service server; Determining the validity of the user specific information by using the transmitted random number information and confirming the user in order to use the transmitted user specific information. A user authentication method is provided in an Internet environment that delivers securely.

여기서 상기 서버 시스템의 웹 서버 접속단계는 상기 사용자의 클라이언트 시스템에서 웹 서버로의 접속을 요청하는 단계, 상기 웹 서버 접속후 상기 사용자의 클라이언트 시스템에서 소정의 서비스 서버로의 접속을 요청하는 단계, 상기 클라이언트 시스템 내부의 접속상태관리 모듈이 소정 크기의 난수정보를 발생시키는단계; 그리고 상기 접속상태관리 모듈에 의해 상기 난수정보와 함께 소정의 사용자 식별정보를 상기 서버 시스템의 웹 서버에 제공하는 단계를 포함한다.The web server access step of the server system may include requesting a connection from a client system of the user to a web server, requesting a connection from a client system of the user to a predetermined service server after accessing the web server. Generating random number information of a predetermined size by a connection state management module inside the client system; And providing, by the connection state management module, predetermined user identification information together with the random number information to a web server of the server system.

바람직하게는, 상기 웹서버 접속단계는 상기 접속요청 단계 이전에 상기 클라이언트 시스템에서 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 단계를 더 포함하여 이루어진다.Preferably, the web server connection step further comprises the step of establishing a secure connection state using an encryption protocol in the client system before the connection request step.

상기 특정정보 작성단계는 상기 사용자 특정정보중 확인정보 및 인증/관리정보를 암호화하는 단계와, 상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합하는 단계로 이루어지며, 바람직하게는 상기 암호화 단계에는 공개키 기반 알고리즘이 적용된다.The specific information creation step comprises the step of encrypting the identification information and authentication / management information of the user specific information, and the step of combining the encrypted confirmation and authentication / management information and the basic information, preferably the encryption At the stage, a public key based algorithm is applied.

상기 특정정보 작성단계에 있어서, 상기 공개키 기반 암호화 단계는 상기 확인 및 인증/관리정보를 생성된 임의 키를 이용하여 대칭키 방식으로 암호화하는 단계와 상기 임의키를 상기 서버 시스템의 공개키를 이용하여 암호화하는 단계를 포함한다.In the specific information creation step, the public key-based encryption step includes encrypting the verification and authentication / management information in a symmetric key manner using the generated random key and using the public key of the server system. And encrypting.

상기 사용자 특정정보의 유효성 판단단계는 상기 사용자로부터 전송된 사용자 특정정보를 복호화하는 단계와, 상기 복호화된 사용자 특정정보를 소정의 관련정보들과 비교하는 단계로 이루어진다.The determining of the validity of the user specific information includes decoding the user specific information transmitted from the user and comparing the decoded user specific information with predetermined related information.

상기 유효성 판단단계에 있어서, 상기 복호화 단계는 상기 임의키를 상기 서버 시스템의 개인키를 이용하여 복호화하는 단계와, 상기 확인 및 인증/관리정보를 복호화된 임의 키를 이용하여 대칭키 방식으로 복호화하는 단계를 포함한다.In the validity determination step, the decrypting step is a step of decrypting the random key using the private key of the server system, and decrypting the verification and authentication / management information using a decrypted random key in a symmetric key manner. Steps.

상기 유효성 판단단계에 있어서, 상기 사용자 특정정보 비교단계는 상기 클라이언트 시스템에서 전송된 난수정보와 상기 복호화된 확인정보내의 난수정보를 비교하는 단계를 포함한다.In the validity determination step, the user specific information comparing step includes comparing random number information transmitted from the client system with random number information in the decoded confirmation information.

여기서 상기 사용자 특정정보 비교단계는 상기 클라이언트 시스템의 네트워크 어드레스를 상기 복호화된 확인정보내의 네트워크 어드레스와 비교하는 단계 및 상기 클라이언트 시스템의 웹 브라우저 버전을 상기 복호화된 확인정보내의 웹 브라우저 버전과 비교하는 단계를 더 포함하는 것이 바람직하며 더욱 바람직하게는, 상기 사용자 특정정보 비교단계가 상기 복호화된 확인정보내의 유효시간을 현재 서버 시스템의 시각과 비교하는 단계를 더 포함하여 이루어진다.The comparing of the user specific information may include comparing a network address of the client system with a network address in the decrypted confirmation information and comparing a web browser version of the client system with a web browser version in the decrypted confirmation information. Preferably, the method further comprises the step of comparing the user specific information with the valid time in the decrypted confirmation information with the time of the current server system.

한편, 본 발명에 따른 인증방법은 초기 정보전달단계이후 상기 서비스 서버와의 접속을 유지하는 단계를 더 포함하여 이루어지며, 필요시 상기 클라이언트 시스템에서 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 서비스 서버에 전송하는 단계와, 상기 사용자를 재확인하기 위하여 상기 서비스 서버에서 상기 전송된 난수정보를 이용하여 상기 전송된 사용자 특정정보의 유효성을 판단하는 단계로 이루어져, 상기 서비스 서버에 대한 상기 클라이언트 시스템의 인증된 접속상태를 안전하게 지속적으로 유지한다.On the other hand, the authentication method according to the invention further comprises the step of maintaining a connection with the service server after the initial information delivery step, if necessary, the encrypted specific information transmitted from the client system with the same random number information And determining the validity of the transmitted user specific information by using the transmitted random number information in the service server to reconfirm the user. Maintain a secure and consistent connection status.

다른 한편, 상기 인증된 접속상태 종료후에, 본 발명에 따른 인증방법은 상기 사용자 특정정보를 이용하여 상기 클라이언트 시스템을 상기 해당 서비스 서버에 재접속시키는 단계를 더 포함하여 이루어져, 상기 클라이언트 시스템의 불연속적인 접속에 대해서도 인증된 접속상태를 안전하게 지속적으로 유지시킨다.On the other hand, after the authenticated connection state ends, the authentication method according to the present invention further comprises the step of reconnecting the client system to the corresponding service server using the user specific information, the discontinuous connection of the client system It also maintains an authenticated connection safely and continuously.

또 다른 한편, 본 발명에 따른 인증방법은 상기 해당 서비스 서버로의 정보전달단계후에, 새로운 사용자 특정정보를 해당서비스 서버에서 다른 서비스 서버로 전달하는 단계를 더 포함하여, 상기 사용자 특정정보가 관련된 서비스 서버 사이에서 안전하게 전달된다.On the other hand, the authentication method according to the present invention further comprises the step of delivering new user specific information from the corresponding service server to another service server after the information delivery step to the corresponding service server, the service associated with the user specific information It is securely passed between servers.

본 발명의 다른 형태에 따르면, 인터넷을 통해 통신가능하며, 다양한 형태의 정보를 표시 및 처리 가능한 사용자의 클라이언트 시스템과; 인터넷을 통한 상기 클라이언트 시스템의 서비스 제공 요청을 처리하는 웹 서버, 상기 웹 서버와 연동하여 일련의 접속된 사용자 인증절차를 관리하는 인증관리 서버, 상기 사용자 요청에 대해 해당되는 실질적 내용을 제공하는 다수개의 서비스 서버, 그리고 상기 웹 서버 및 인증관리 서버와 연동하여 상기 사용자 관련정보를 저장 및 관리하는 데이터베이스 서버를 포함하여, 상기 클라이언트 시스템의 요청에 대해 적절한 인증절차를 통해 해당 서비스를 제공하는 주 서버 시스템으로 이루어지는 인터넷 환경하에서의 사용자 인증 시스템이 제공된다.According to another aspect of the present invention, there is provided a communication system comprising: a client system of a user capable of communicating via the Internet and displaying and processing various types of information; A web server for processing a service providing request of the client system through the Internet, an authentication management server for managing a series of connected user authentication procedures in connection with the web server, and a plurality of actual contents corresponding to the user request A main server system including a service server and a database server for storing and managing the user related information in association with the web server and the authentication management server, and providing a corresponding service through a proper authentication procedure for the client system request. There is provided a user authentication system under an Internet environment.

여기서 상기 사용자 클라이언트 시스템은 인터넷상의 정보를 표시 및 처리하는 웹 브라우저와, 자신의 접속상태유지를 보조하는 소정의 접속상태 관리모듈을 포함한다.Here, the user client system includes a web browser for displaying and processing information on the Internet, and a predetermined connection state management module for assisting in maintaining its connection state.

상기 주 서버 시스템의 웹 서버는 상기 클라이언트 시스템에 제공 가능한 서비스들에 대한 접근정보를 관리하며 제공하는 포털 서비스를 포함한다.The web server of the main server system includes a portal service that manages and provides access information on services available to the client system.

또한 상기 인증관리서버 및 서비스 서버는 상기 관련된 서버들와 연계하여 사용자 인증절차를 실질적으로 처리하며, 사용자의 재인증을 위한 사용자 특정정보를 작성하는 인증모듈과, 상기 사용자 특정정보를 암호화 및 복호화하는 암복호화모듈로 이루어진다.In addition, the authentication management server and the service server substantially processes the user authentication procedure in association with the related servers, an authentication module for creating user specific information for re-authentication of the user, and an encryption for encrypting and decrypting the user specific information. It consists of a decryption module.

한편, 본 발명에 따른 인증 시스템은 상기 주 서버 시스템과 다른 도메인을 가지며, 상기 주 서버 시스템과 제휴하여 상기 클라이언트 시스템에 해당 서비스를 제공하는 다수개의 부가 서버 시스템을 더 포함하여 이루어지진다.On the other hand, the authentication system according to the present invention has a different domain from the main server system, and further comprises a plurality of additional server system for providing a corresponding service to the client system in cooperation with the main server system.

이러한 본 발명에 따른 인증방법 및 시스템에 의해 사용자의 특정정보가 각 서버간에 안전하게 전달 및 공유되며, 사용자의 인증된 접속상태가 안전하게 지속적으로 유지될 수 있다.By the authentication method and system according to the present invention, the specific information of the user is safely delivered and shared between each server, and the authenticated connection state of the user can be safely and continuously maintained.

이하 상기 목적이 구체적으로 실현될 수 있는 본 발명의 바람직한 실시예가 첨부된 도면을 참조하여 설명된다. 본 실시예를 설명함에 있어서, 동일 구성에 대해서는 동일 명칭 및 동일 부호가 사용되며 이에 따른 부가적인 설명은 하기에서 생략된다.DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, preferred embodiments of the present invention in which the above objects can be specifically realized are described with reference to the accompanying drawings. In describing the present embodiment, the same name and the same reference numerals are used for the same configuration and additional description thereof will be omitted below.

도 1은 본 발명에 따른 인터넷 환경하에서의 사용자 인증 시스템을 나타내는 개략도이며 이를 참조하여 본 발명의 구성을 상세하게 설명하면 다음과 같다.1 is a schematic diagram illustrating a user authentication system in an Internet environment according to the present invention, and the configuration of the present invention will be described in detail with reference to the following.

본 발명은 컴퓨터 및 네트워크 기술에 관련된 다양한 구성요소, 즉 하드웨어와 소프트웨어를 포함하며, 무형의 소프트웨어가 유형의 하드웨어내에 존재하는 방식을 취한다. 이러한 본 발명의 구성 요소들간의 상관 관계를 정의하기 위하여 본 발명의 상세한 설명에 있어서, "시스템"은 상기 다양한 구성요소, 즉 하드웨어 및 소프트웨어 전체를 포함하는 의미로 사용되며, "장치"는 시스템과 같은 집합적 상위 개념을 제외한 하위 개념의 물리적인 구성요소 전체를 의미한다. 또한 "모듈"은 상기 시스템 및 장치를 연계시키며 작동시키는데 이용되는 모든 소프트웨어를 의미한다.The present invention includes various components related to computer and network technology, namely hardware and software, and takes the manner in which intangible software resides in tangible hardware. In the detailed description of the present invention, in order to define the correlation between the components of the present invention, "system" is used to mean the various components, i.e., hardware and software as a whole, and "device" means Refers to the entire physical component of a child concept, excluding the same collective parent concept. "Module" also means all software used to connect and operate the systems and devices.

또한, 네트워크 환경하에서 클라이언트는 다른 프로그램에게 서비스를 요청하는 프로그램, 서버는 그 요청에 대해 서비스를 제공하는 프로그램으로 정의된다. 특히 서버 프로그램이 실행되고 있는 하드웨어 자체도 서버라고 정의되며, 일반적인 경우 서로 다른 다수의 서버 프로그램은 하나의 물리적 서버에 존재하는 형식으로 운영되나 시스템 부하가 많은 경우 개개의 하드웨어적 서버에 분산될 수 있다. 본 발명에서는 이해상의 용이성 및 간결성을 위하여 앞서 정의된 "시스템" 개념을 사용하여 상기 소프웨어적인 서버와 하드웨어적인 서버는 물리적으로 서로 결합된 상태로 표현되며 설명된다.In addition, under a network environment, a client is defined as a program for requesting a service from another program, and a server is a program for providing a service to the request. In particular, the hardware on which the server program is executed is defined as a server, and in general, a plurality of different server programs operate in a format that exists on one physical server, but may be distributed to individual hardware servers when the system load is high . In the present invention, the software server and the hardware server are represented and described as being physically coupled to each other using the concept of "system" defined above for ease of understanding and brevity.

이러한 전제하에서, 본 발명에 따른 시스템은 전체적으로 사용자의 클라이언트 시스템(10)과 상기 사용자 클라이언트 시스템(10)이 요청한 서비스를 제공하는 주 서버 시스템(20)으로 이루어진다. 여기서 상기 주 서버 시스템(20) 및 상기 사용자 클라이언트 시스템(10)은 서로 인터넷을 통해 통신 가능하게 연결된다.Under this premise, the system according to the invention is made up entirely of the client system 10 of the user and the main server system 20 which provides the services requested by the user client system 10. Here, the main server system 20 and the user client system 10 are communicatively connected to each other via the Internet.

본 발명에 따른 시스템중 먼저 상기 사용자의 클라이언트 시스템(이하 '클라이언트 시스템')(10)은 일반적으로 연산/제어/처리장치, 통신장치, 기본적인 입출력 장치 및 주/보조 기억장치를 가진다. 그리고 상기 클라이언트 시스템(10)은 상기 일반적인 내부 장치들과 연동하여 인터넷상의 정보를 표시 및 처리하는 수단을 가지며 실질적으로 웹 페이지를 처리하는 프로그램인 웹 브라우저(11)를 갖는다. 이에 따라 상기 클라이언트 시스템(10)은 인터넷을 통해 상기 서버 시스템(20)과 통신 가능하며 이러한 통신중 전송된 정보를 내부적으로 처리할 수 있는 기본적인능력을 갖는다.Among the systems according to the present invention, first, the client system (hereinafter referred to as 'client system') 10 of the user generally has an operation / control / processing device, a communication device, a basic input / output device and a main / secondary storage device. The client system 10 has a web browser 11 that has a means for displaying and processing information on the Internet in association with the general internal devices and is a program for processing a web page. Accordingly, the client system 10 can communicate with the server system 20 through the Internet and has a basic ability to internally process information transmitted during such communication.

또한 상기 클라이언트 시스템(10)은 자신의 접속상태유지를 보조하는 소정의 접속상태관리 모듈(12)을 갖는다. 상기 접속상태관리 모듈(12)은 일반적인 소프트웨어, 즉 프로그램 형식으로 상기 클라이언트 시스템(10)내에 존재하며 관련된 내부장치들과 상호 연동한다.The client system 10 also has a predetermined connection state management module 12 that assists in maintaining its own connection state. The connection state management module 12 is present in the client system 10 in general software, that is, program format and interoperates with related internal devices.

일반적으로 인터넷의 프로토콜인 HTTP는 연속성이 없으며, 보다 상세하게는 사용자측의 요청이 있을 때에만 해당 정보(웹 페이지)를 전송하는 응답을 할 뿐 상기 사용자와 지속적인 정보교환을 하지 않는다. 따라서 상기 HTTP만을 사용하는 경우, 상기 사용자의 상태 정보를 지속적으로 갱신하지 못하므로 상기 사용자의 요청에 대해 능동적인 응답이 어려워진다. 이에 따라 보다 신속한 응답 및 사용자 관리In general, HTTP, which is a protocol of the Internet, has no continuity, and more specifically, only responds to the request of the user (web page), but does not continuously exchange information with the user. Therefore, when only the HTTP is used, active response to the user's request becomes difficult because the user's status information is not continuously updated. Faster response and user management

(session tracking)를 위하여, 상기 사용자가 접속되는 순간부터 소정의 접속유지상태, 소위 "세션(session)"이 서버측에서 독립적으로 시작될 수 있다. 이러한 세션은 일정 시간동안 동일 사용자(동일 브라우저)에 의한 다중의 요청 및 접속에 대해 상태정보를 지속적으로 유지한다.For session tracking, from the moment the user is connected, a predetermined connection hold state, a so-called " session ", can be started independently on the server side. This session maintains state information for multiple requests and connections by the same user (same browser) for a period of time.

보다 상세하게는, 상기 세션은 일반적으로 실행된 후 앞서 언급된 접속상태 유지를 위해 접속된 클라이언트 시스템(10)의 정보를 지속적으로 확인하며, 필요한 정보를 추출하여, 지정된 변수에 저장한다. 그리고 상기 추출된 정보는 능동적인 응답을 위해 서버 시스템(20)내 서버들이나 응용 프로그램에서 공유된다. 이와 같은 접속유지상태("세션")를 사용함으로서 접속중 상기 클라이언트 시스템(10)의 상태정보가 지속적으로 유지 및 갱신 가능하게 되며, 인증된 사용자의 동일성이 계속적으로 확인된다.More specifically, after the session is generally executed, to continuously check the information of the client system 10 connected to maintain the above-mentioned connection state, and extracts the necessary information, and stores in the designated variable. The extracted information is shared by servers or applications in the server system 20 for an active response. By using such a connection maintenance state (" session "), the status information of the client system 10 can be continuously maintained and updated during the connection, and the identity of the authenticated user is continuously confirmed.

본 발명에 있어서 접속상태관리 모듈(12)은 접속상태유지를 보조하기 위하여 상기 클라이언트 시스템(10)이 주 서버 시스템(20)에 접속시 소정의 난수정보를 발생시키며, 접속상태가 유지되는 동안 상기 최초 발생된 난수정보와 동일한 난수 정보를 지속적으로 유지한다. 또한 상기 접속상태관리 모듈(12)은 필요시 상기 난수정보를 상기 서버 시스템(10)에 전송한다. 따라서 상기 접속상태관리 모듈(10)은 앞서 언급된 바와 같이 일반적으로 서버 시스템(20)에 의해 주도되는 접속상태유지 기능을 분담하게 되며, 이에 관한 상기 접속상태관리 모듈(12)의 작용은 뒤따르는 본 발명에 따른 사용자 인증방법과 함께 보다 상세하게 설명된다.In the present invention, the connection state management module 12 generates predetermined random number information when the client system 10 connects to the main server system 20 to assist in maintaining the connection state, while the connection state is maintained. It maintains the same random number information as the first random number information. In addition, the connection state management module 12 transmits the random number information to the server system 10 when necessary. Thus, as described above, the connection state management module 10 shares a connection state maintenance function generally driven by the server system 20, and the action of the connection state management module 12 is followed. It will be described in more detail together with the user authentication method according to the invention.

한편, 본 발명의 구체적 실시예에 있어서, 상기 접속상태관리 모듈(12)은 바람직하게는 상기 웹 브라우저(11)와 연동할 수 있도록 플러그 인(plug-in) 형태로 존재할 수 있다. 또한 분산된 하드웨어 환경에 적응할 수 있도록 상기 접속상태관리 모듈(12)은 액티브 엑스 컨트롤(ActiveX control)과 같은 객체 지향형 컴포넌트(component) 형태로 존재할 수도 있다.On the other hand, in a specific embodiment of the present invention, the connection state management module 12 may preferably exist in the form of a plug-in (plug-in) to be able to work with the web browser (11). In addition, the connection state management module 12 may exist in the form of an object-oriented component such as ActiveX control to adapt to a distributed hardware environment.

또한, 본 발명에 따른 시스템중 상기 주 서버 시스템(20)은 앞서 설명된 바와 같이 클라이언트 시스템(10)에게 요청된 서비스를 제공하며 관리 및 보안을 위해 소정의 인증절차를 또한 수행한다. 이를 위해 상기 주 서버 시스템(20)은 내부적으로 웹 서버(21)와 상기 웹 서버(21)에 각각 통신가능하게 연결되는 인증관리서버(22), 서비스 서버(23) 및 데이터 베이스 서버(24)를 포함한다.In addition, the main server system 20 of the system according to the present invention provides the requested service to the client system 10 as described above, and also performs a predetermined authentication procedure for management and security. To this end, the main server system 20 is an authentication management server 22, a service server 23 and a database server 24 which are internally communicatively connected to the web server 21 and the web server 21, respectively. It includes.

먼저 상기 웹 서버(21)는 인터넷을 통한 상기 사용자 클라이언트 시스템(10)의 요청에 응답하며, 해당 정보를 상기 클라이언트 시스템(10)에 제공한다. 그리고 상기 웹 서버(21)는 인터넷을 통해 자신과 연결된 서버 시스템(20)내의 다른 서버들(22,23,24)을 상기 클라이언트 시스템(10)과 연동할 수 있게 한다.First, the web server 21 responds to a request of the user client system 10 through the Internet, and provides corresponding information to the client system 10. The web server 21 also enables other servers 22, 23, and 24 in the server system 20 connected to the web server 21 to interwork with the client system 10.

또한, 상기 웹 서버(21)는 바람직하게는 클라이언트 시스템(10)에 접근가능한 서비스에 대한 정보를 제공하는 포털 서비스(portal service)를 운영한다. 즉, 상기 포털 서비스는 사용자에게 이용가능한 서비스의 목록(디렉토리 서비스)을 포함된 웹 페이지를 제공하며, 상기 목록내의 메뉴들은 각각의 해당 서비스들과 하이퍼 링크되어 있다. 따라서 사용자는 웹 브라우저(11)에 전송된 포털 서비스 웹 페이지의 메뉴를 선택(클릭)함으로서 해당 서비스를 요청할 수 있다.In addition, the web server 21 preferably operates a portal service that provides information on services accessible to the client system 10. That is, the portal service provides a web page including a list of services available to the user (directory service), and the menus in the list are hyperlinked with respective corresponding services. Therefore, the user can request the corresponding service by selecting (clicking) a menu of the portal service web page transmitted to the web browser 11.

상기 주 서버 시스템(20)중 상기 인증관리 서버(22)는 상기 웹 서버(21)와 연계하여 접속된 사용자 인증절차를 관리하며, 도시된 바와 같이 인증모듈(22a)과 암복호화 모듈(22b)을 포함하여 이루어진다.The authentication management server 22 of the main server system 20 manages user authentication procedures connected to the web server 21, and as shown, the authentication module 22a and the encryption / decryption module 22b. It is made, including.

상기 인증모듈(22a)은 사용자, 즉 클라이언트 시스템(10)의 인증절차를 실질적으로 처리하며, 접속상태 유지도중 상기 인증된 사용자의 재확인을 위한 사용자 특정정보를 작성한다.The authentication module 22a substantially processes the authentication procedure of the user, that is, the client system 10, and creates user specific information for re-confirming the authenticated user while maintaining the connection state.

상기 암복호화 모듈(22b)은 상기 작성된 사용자 특정정보를 암호화 또는 복호화한다. 여기서 상기 암복호화 모듈(22b)은 단순히 대칭키만을 이용하여 상기 특정정보를 암복화화 할 수 있지만 보다 높은 보안수준을 유지하기 위하여 비대칭적인 공개키 기반 알고리즘(PKI : public key infra)을 사용하는 것이 바람직하다. 이 경우 상기 암복호화 모듈(22b)내에는 공개기 기반의 암복호화를 위하여 디지털인증서 및 개인키가 위치되며, 상기 디지털 인증서내에는 상기 주 서버 시스템(10) 및 각 서비스 서버(23,32)의 공개키가 포함된다.The encryption / decryption module 22b encrypts or decrypts the created user specific information. Here, the encryption / decryption module 22b may decrypt the specific information by using only a symmetric key, but in order to maintain a higher security level, an asymmetric public key based algorithm (PKI) is used. desirable. In this case, in the encryption / decryption module 22b, a digital certificate and a private key are located for public-based encryption and decryption, and in the digital certificate, the main server system 10 and each of the service servers 23 and 32 are located. The public key is included.

여기서 상기 인증관리 서버(22)는 인증된 사용자에 대해 상기 서버 시스템(10)의 디렉토리나 파일과 같은 자원에 대한 권한을 관리하는 권한설정모듈(22c)을 더 포함하여 이루어질 수 있다. 실제적으로 상기 권한설정모듈(22c)은 ACL(Acess Control List)를 이용하여 사용자의 정해진 권한에 따라 서버 시스템(20) 자원의 접근을 제어한다.In this case, the authentication management server 22 may further include an authorization setting module 22c that manages the authority of a resource such as a directory or a file of the server system 10 with respect to an authenticated user. In practice, the authority setting module 22c controls access of server system 20 resources according to a user's predetermined authority using an ACL (Acess Control List).

상기 주 서버 시스템(20)중 상기 서비스 서버(23)는 소정의 요청에 대해 실제 사용자가 필요로 하는 내용(콘텐츠)을 제공한다. 예를 들어 상기 서비스 서버(23)는 메일 서비스, 증권, 게임등을 제공할 수 있다. 실제적으로 상기 서비스 서버(23)내에서 콘텐츠들은 서로 연관된 웹 페이지의 집합체로서 존재하며, 상기 클라이언트 시스템(10)의 요청에 따라 상기 웹 서버(21)와 연동하여 사용자의 웹 브라우저(11)에 해당 웹 페이지들이 전송된다. 이러한 서비스 서버(23)는 사용자에게 제공가능한 서비스 종류에 따라 상기 주 서버 시스템(20)내에 다수개가 존재할 수 있다.The service server 23 of the main server system 20 provides the contents (contents) required by an actual user for a predetermined request. For example, the service server 23 may provide a mail service, a security, a game, and the like. In practice, the contents in the service server 23 exist as a collection of web pages associated with each other, and correspond to the user's web browser 11 in association with the web server 21 at the request of the client system 10. Web pages are sent. There may be a plurality of such service servers 23 in the main server system 20 depending on the type of service available to the user.

상기 서비스 서버(23)에는 또한 상기 인증관리 서버(23)와 동일하게 인증모듈(23a) 및 암복호화 모듈(23b)이 포함된다. 상기 다수의 서비스 서버(23)들은 사용자에게 적합한 서비스를 제공하기 위하여 각각의 특성에 맞는 별도의 사용자 정보를 필요로 한다. 따라서 본 발명에 따른 시스템에 있어서 상기 인증관리 서버(23)는 인증된 사용자가 요청한 서비스에 필요한 정보를 해당 서비스 서버(23)에 전송하며, 해당 서비스 서버(12)는 자신의 인증 및 암복호화 모듈(23a,23b)을 통해 사용자를 재인증하며, 상기 전송된 사용자 정보를 이용한다. 또한 상기 인증관리서버(22)와 동일하게 상기 서비스 서버(23)의 모듈들(23a,23b)은 다른 서비스 서버들에 적합한 사용자 정보를 직접 작성하기 위해 이용될 수 있다.The service server 23 also includes an authentication module 23a and an encryption / decryption module 23b in the same manner as the authentication management server 23. The plurality of service servers 23 need separate user information for each characteristic in order to provide a service suitable for a user. Therefore, in the system according to the present invention, the authentication management server 23 transmits the information required for the service requested by the authenticated user to the corresponding service server 23, the corresponding service server 12 is its authentication and decryption module Re-authenticate the user via 23a and 23b and use the transmitted user information. In addition, like the authentication management server 22, the modules 23a and 23b of the service server 23 may be used to directly write user information suitable for other service servers.

상기 데이터베이스 서버(24)는 상기 사용자 관련정보를 저장 및 관리하며, 상기 웹 서버(21), 인증관리 서버(22) 및 서비스 서버(23)의 요청이 있을 때 해당정보를 제공한다. 실제적으로 상기 데이터베이스 서버(24)내에는 사용자 ID, 패스워드와 같은 인증정보 및 계좌번호와 같은 관리정보 뿐만 아니라 앞서 설명된 바와 같이, 일정 자원에 대한 권한정보(즉, ACL)도 또한 저장된다.The database server 24 stores and manages the user related information and provides the corresponding information when requested by the web server 21, the authentication management server 22, and the service server 23. In practice, the database server 24 also stores authentication information such as user ID, password, and management information such as account number, as well as authority information (i.e., ACL) for certain resources as described above.

한편 상기 주 서버 시스템(20)은 공개키 기반 암복호화 알고리즘이 적용되는 경우, 인증기관 서버(25) 및 등록기관 서버(26)를 더 포함하여 이루어지는 것이 바람직하다. 여기서 상기 인증기관 서버(25)는 주 서버 시스템(20)의 디지털 인증서를 발급하고 검증하며, 등록기관 서버(26)는 상기 인증서 발급이전에 발급요청을 검증하여 상기 인증기관 서버(25)가 발급하도록 통보한다.Meanwhile, when the public key based encryption / decryption algorithm is applied, the main server system 20 may further include a certification authority server 25 and a registration authority server 26. Here, the certification authority server 25 issues and verifies the digital certificate of the main server system 20, and the registration authority server 26 verifies the issuance request before issuing the certificate and issues the certification authority server 25. Notify

다른 한편, 바람직하게는 본 발명에 따른 사용자 인증 시스템은 상기 주 서버 시스템(20)과 제휴하여 독립적으로 상기 클라이언트 시스템(10)에 서비스를 제공하는 다수개의 부가 서버 시스템(30)을 더 포함하여 이루어진다. 즉, 상기 부가 서버 시스템(30)은 상기 주 서버 시스템(20)과 다른 도메인을 가지는 독립된 네트워크로 존재하나, 사용자 정보 공유 및 공동 관리를 위해 서로 연동하는 구조를 갖는다. 보다 상세하게는, 상기 부가 서버 시스템(30)은 각각 웹 서버(31), 서비스서버(32) 및 데이터 베이스 서버(33)로 이루어지며, 특히 상기 서비스 서버(32)는 주 서버 시스템(20)과의 사용자 정보 공유를 위해 동일하게 인증 모듈(32a) 및 암복호화 모듈(32b)을 갖는다. 이외의 다른 구성은 상기 주 서버 시스템(20)과 동일하므로 상세한 설명을 생략한다.On the other hand, preferably, the user authentication system according to the present invention further comprises a plurality of additional server systems 30 that provide services to the client system 10 independently in cooperation with the main server system 20. . That is, the additional server system 30 exists as an independent network having a domain different from that of the main server system 20, but has a structure of interworking with each other for user information sharing and joint management. More specifically, the additional server system 30 is composed of a web server 31, a service server 32 and a database server 33, in particular, the service server 32 is the main server system 20 It has the same authentication module 32a and decryption module 32b for sharing user information with the user. Since other configurations are the same as those of the main server system 20, detailed description thereof will be omitted.

상기 설명된 바와 같이 본 발명에 따른 사용자 인증 시스템은 사용자 정보를 안전하게 공유하며 또한 사용자의 접속상태를 안전하고 지속적으로 유지할 수 있는 구성을 갖는다. 이러한 본 발명의 시스템을 이용한 사용자 인증방법은 도 2 내지 도 6을 참조하여 다음과 같이 설명될 수 있다.As described above, the user authentication system according to the present invention has a configuration that can safely share the user information and maintain the user's connection state securely and continuously. The user authentication method using the system of the present invention can be described as follows with reference to FIGS. 2 to 6.

도 2는 본 발명에 따른 사용자 인증방법중 해당 서비스 서버로의 초기 정보전달단계를 나타내는 순서도이며, 도 3 내지 도 5는 상기 초기 사용자 특정정보 전달단계의 각 단계들을 상세하게 나타낸 순서도들이다.2 is a flowchart showing an initial information delivery step to a corresponding service server in the user authentication method according to the present invention, and FIGS. 3 to 5 are flowcharts showing each step of the initial user specific information delivery step in detail.

먼저 특정 서비스를 이용하기 위하여 상기 클라이언트 시스템(10)은 인터넷을 통하여 상기 주 서버 시스템(20)에 접속된다(S10).First, in order to use a specific service, the client system 10 is connected to the main server system 20 through the Internet (S10).

상기 서버 시스템 접속단계(S10)에 있어서, 도 3에 도시된 바와 같이, 상기 클라이언트 시스템은 먼저 상기 서버 시스템에게 접속을 요청한다(S12). 여기서 실질적으로 클라이언트 시스템(10)내의 웹 브라우저(11)가 접속 요청을 수행하며, 이에 대해 상기 주 서버 시스템(20)내의 웹 서버(21)가 상기 요청을 처리한다. 이러한 처리의 결과로 상기 웹 브라우저(11)에는 앞서 설명된 바와 같이 상기 포털 서비스의 웹 페이지가 전송된다.In the server system access step (S10), as shown in FIG. 3, the client system first requests a connection to the server system (S12). Here, the web browser 11 in the client system 10 substantially performs the connection request, and the web server 21 in the main server system 20 processes the request. As a result of this processing, the web page of the portal service is transmitted to the web browser 11 as described above.

상기 접속요청단계(S12) 완료후, 상기 클라이언트 시스템(10)은 소정의 서비스 서버(23,32)로의 접속을 요청한다(S13). 즉, 사용자는 포털 서비스 웹 페이지내의 서비스 목록중 자신이 원하는 것을 선택하며, 이에 따라 웹 브라우저(11)가 이러한 사용자의 요청을 상기 웹 서버(21)에 전달한다. 여기서 상기 포털 서비스는 페이지는 제휴된 부가 서버 시스템(30)의 서비스 목록들도 포함한 웹 페이지를 제공하므로, 상기 요청단계(S13)는 별도의 사용자의 인지없이 각각의 서비스 서버(23,32)에 대해 임의로 이루어진다.After completion of the connection request step (S12), the client system 10 requests a connection to a predetermined service server (23, 32) (S13). That is, the user selects the one he wants from the list of services in the portal service web page, and the web browser 11 then forwards the user's request to the web server 21. In this case, since the portal service provides a web page including a list of services of the affiliated additional server system 30, the requesting step S13 may be performed on each service server 23 or 32 without the recognition of a separate user. Is made randomly.

상기 접속요청(S13)과 동시에, 상기 클라이언트 시스템(10)은 소정 크기의 난수정보를 발생시킨다(S14). 즉, 실질적으로 상기 접속상태관리 모듈(12)이 소정 크기의 난수정보를 발생시킨다. 본 발명에 있어서, 상기 난수정보는 일반적인 인증방법에서 사용되던 식별정보에 부가적으로 클라이언트 시스템(10) 확인을 위한 이차적 식별정보로서 작용하며, 이에 따라 접속상태가 유지되는 동안 최초 발생된 난수정보는 동일하게 유지된다. 따라서, 상기 난수정보의 크기는 시스템 설계사양에 따라 다양해 질 수 있지만, 일정한 보안강도를 부여하기 위하여 128 비트이상인 것이 바람직하다.Simultaneously with the connection request (S13), the client system 10 generates random number information of a predetermined size (S14). That is, the connection state management module 12 substantially generates random number information of a predetermined size. In the present invention, the random number information serves as secondary identification information for identifying the client system 10 in addition to the identification information used in the general authentication method, so that the random number information generated during the connection state is first generated. Remains the same. Therefore, the size of the random number information can be varied according to the system design specifications, but preferably 128 bits or more in order to give a certain security strength.

또한 앞서 설명된 바와 같이, 상기 접속상태관리 모듈(12)은 플러그인(plug-in)이나 액티브 엑스 컨트롤(ActiveX Control) 형태로 존재하는 경우, 상기 웹 브라우저(11)의 접속요청시 자동으로 설치 및 작동될 수 있다.In addition, as described above, when the connection state management module 12 is present in the form of a plug-in or ActiveX control, it is automatically installed and connected when the connection request of the web browser 11 is performed. Can work.

이 후, 상기 클라이언트 시스템(10)은 소정의 사용자 식별정보를 상기 난수정보와 함께 상기 주 서버 시스템(20)의 웹 서버(21)에 제공한다(S15). 상기 제공단계(S14)에서, 실제적으로 상기 식별정보는 소정의 입력장치, 예를 들어 키보드를통해 제공될 수도 있으며, 또한 상기 클라이언트 시스템(10)으로부터 직접적으로 제공될 수도 있다. 보다 상세하게는, 본 발명에 따른 인증방법에 있어서 상기 사용자 식별정보로서 사용자 ID 및 패스워드가 사용될 수 있으며, 디지털 인증서도 사용될 수 있다. 이 외에도 지문인식, 음성인식, 또는 일회용 패스워드(OTP : on-time password)등도 상기 사용자 식별정보로서 사용될 수 있으며, 해당 기술분야의 당업자는 이러한 다른 형태의 사용자 식별정보를 본 발명의 인증방법 및 시스템에 용이하게 적용가능하다. 또한, 상기 사용자 식별정보가 전송될 때, 상기 난수정보도 상기 접속상태관리 모듈(12)에 의해 상기 주 서버 시스템(20)에 전송된다.Thereafter, the client system 10 provides predetermined user identification information to the web server 21 of the main server system 20 together with the random number information (S15). In the providing step S14, the identification information may be provided via a predetermined input device, for example, a keyboard, or may be provided directly from the client system 10. More specifically, in the authentication method according to the present invention, a user ID and a password may be used as the user identification information, and a digital certificate may also be used. In addition, fingerprint recognition, voice recognition, or one-time password (OTP) may also be used as the user identification information, and a person skilled in the art may use such other forms of user identification information in the authentication method and system of the present invention. It is easily applicable to. In addition, when the user identification information is transmitted, the random number information is also transmitted to the main server system 20 by the connection state management module 12.

한편, 실제적으로 접속단계(S10)뿐만 아니라 접속상태유지 및 사용자 정보전달 과정중 클라이언트/서버 시스템(10,20)사이에 교환되는 정보를 보호하기 위해서 통신상의 보안이 요구된다. 따라서 상기 웹 서버 접속단계(S10)에 있어서, 바람직하게는 상기 접속요청 단계(S12)이전에 상기 클라이언트 시스템(10)은 소정의 암호화 프로토콜을 이용하여 보안접속상태를 설정한다(S11).On the other hand, in order to actually protect the information exchanged between the client / server system (10, 20) during the connection state maintenance and user information transfer process, as well as the connection step (S10), communication security is required. Therefore, in the web server connection step (S10), preferably before the connection request step (S12), the client system 10 establishes a secure connection state using a predetermined encryption protocol (S11).

여기서 상기 암호화 프로토콜로서 다양한 형태의 프로토콜이 적용가능하나 일반적으로 HTTPS(Secure Hyper Text Transfer Protocol)이 사용될 수 있다. 상기 HTTPS는 웹 프로토콜의 일종이며, 클라이언트 시스템(10)의 요청들과 웹 서버(21)에 의해 응답되는 정보들을 암호화하고 해석한다. 또한 상기 암호화 및 해석을 위하여 상기 HTTPS는 40비트 크기의 키값을 사용하는 SSL(Secure Socket Layer)를 사용한다.Here, various types of protocols may be used as the encryption protocol, but in general, HTTPS (Secure Hyper Text Transfer Protocol) may be used. The HTTPS is a type of web protocol that encrypts and interprets the requests of the client system 10 and the information replied by the web server 21. In addition, the HTTPS uses the SSL (Secure Socket Layer) using a 40-bit key value for the encryption and interpretation.

이러한 일련의 접속단계(S11-S15)가 완료된 후, 상기 주 서버 시스템(20)은사용자를 확인한다(S20). 여기서 상기 주 서버 시스템(20)의 인증관리서버(22)가 상기 웹 서버(21)에 전송된 사용자 식별정보를 넘겨받아, 내부의 인증모듈(22a)을 이용하여 사용자를 일차적으로 확인한다. 상기 인증모듈(22a)은 상기 데이터 베이스 서버(24)에 기저장된 사용자 식별정보를 조회하며, 그리고 나서 전송된 사용자 식별정보를 상기 조회된 사용자 식별정보와 비교한다.After the series of connection steps S11-S15 are completed, the main server system 20 confirms the user (S20). In this case, the authentication management server 22 of the main server system 20 receives the user identification information transmitted to the web server 21 and firstly confirms the user by using the internal authentication module 22a. The authentication module 22a inquires user identification information previously stored in the database server 24, and then compares the transmitted user identification information with the inquired user identification information.

만일 상기 확인단계(S20)가 실패하면, 즉 상기 전송된 식별정보와 조회된 식별정보가 일치하지 않는 경우, 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지를 포함한 웹페이지가 전송된다. 또한 상기 웹 서버(21)는 상기 클라이언트 시스템(10)이 상기 일련의 접속단계(S11-S15)를 통해 자신의 사용자 식별정보를 재전송하도록 할 수 있다.If the checking step (S20) fails, that is, the transmitted identification information and the inquired identification information do not match, a web page including an error message is transmitted to the client system 10 through the web server 21. do. In addition, the web server 21 may cause the client system 10 to retransmit its own user identification information through the series of access steps (S11-S15).

한편, 상기 확인단계(S20)가 성공하면, 상기 주 서버 시스템(20)은 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성한다(S30). 즉, 상기 인증관리 서버(22)의 인증 모듈(22a)은 확인된 사용자에 대해서 전송된 난수정보 및 접속유지에 이용되는 정보, 데이터베이스 서버(23)에 저장된 사용자 관련정보를 조합하여 소정의 정보형태로 가공한다.On the other hand, if the verification step (S20) is successful, the main server system 20 creates encrypted user specific information including the transmitted random number information (S30). That is, the authentication module 22a of the authentication management server 22 combines the random number information transmitted for the identified user, the information used for maintaining the connection, and the user-related information stored in the database server 23 in a predetermined form. Process with

이러한 상기 사용자 특정정보 작성단계(S30)에 있어서, 상기 사용자 특정정보는 본 발명에 있어서 전체적으로 기본정보, 확인정보 및 인증/관리 정보로 분류된다.In the user specific information creation step (S30), the user specific information is classified into basic information, confirmation information, and authentication / management information as a whole.

먼저 기본정보는 상기 사용자 특정정보의 버전(version)정보와 서버 시스템의 식별정보를 포함하여 이루어진다. 여기서 상기 서버 시스템 식별정보는 서버 시스템의 이름이나 서버 시스템 인증서의 일련번호등이 될 수 있다.First, the basic information includes version information of the user specific information and identification information of a server system. The server system identification information may be a name of a server system or a serial number of a server system certificate.

그리고 상기 확인정보는 상술된 일차 확인단계(S20)후에 상기 클라이언트 시스템(10)을 지속적으로 재확인하기 위해 사용된다. 이에 따라 상기 확인정보는 상기 전송된 난수정보로 이루어지며, 접속상태를 유지하는 도중 지속적으로 전송 및 유지되는 클라이언트 시스템(10)의 난수정보와 비교를 통해 사용자 동일성을 증명하기 위해 사용된다.The confirmation information is then used to continuously reconfirm the client system 10 after the first confirmation step (S20) described above. Accordingly, the confirmation information is composed of the transmitted random number information, and is used to prove user identity through comparison with random number information of the client system 10 that is continuously transmitted and maintained while maintaining the connection state.

여기서 보다 확실한 클라이언트 시스템(10) 식별을 위해 상기 확인정보는 상기 클라이언트 시스템(10)의 접속시간 및 상기 사용자 특정정보의 유효시간을 더 포함하는 것이 바람직하다. 또한 더욱 바람직하게는 클라이언트 시스템의 네트워크 어드레스(IP adress), 웹 브라우저 버전등도 상기 확인정보에 더 포함될 수 있다.In this case, the identification information may further include an access time of the client system 10 and an effective time of the user specific information for more reliable identification of the client system 10. More preferably, the network address (IP address), web browser version, etc. of the client system may be further included in the confirmation information.

상기 인증/관리정보는 접속 요청된 서버 시스템(23,32)에서 확인된 사용자를 인식하기 위해 사용된다. 즉, 상기 인증/관리정보는 실질적으로 해당 서비스에 필요한 정보들을 포함한다. 상기 인증/관리정보를 이용함으로서 해당 서버스 서버(23,32)들은 추가적으로 데이터베이스 서버(23,33)를 조회하지 않고도 재확인된 사용자에 관련된 작업을 일괄적으로 처리할 수 있다. 이에 따라 상기 인증/관리정보는 예를 들어 사용자 ID, 패스워드, 계좌번호, 주민등록번호등을 포함하여 이루어진다.The authentication / management information is used for recognizing the user identified in the server system 23 or 32 for which connection is requested. In other words, the authentication / management information includes substantially necessary information for the service. By using the authentication / management information, the corresponding server servers 23 and 32 can collectively process tasks related to the re-confirmed user without additionally inquiring the database servers 23 and 33. Accordingly, the authentication / management information includes a user ID, a password, an account number, a social security number, and the like.

이러한 사용자 특정정보의 실제 작성에 있어서, 먼저 상기 사용자 특정정보중 확인정보 및 인증/관리정보가 암호화된다(S31). 상기 기본정보는 일반적인 내용을 포함하고 있으므로 실제적으로 암호화 대상에서 제외된다. 상기 암호화단계(S31)에서 상기 확인 및 인증/관리정보는 비밀키를 이용하는 일반적인 대칭키 알고리즘에 의해 암호화 될 수 있으나, 대칭키 알고리즘은 상기 비밀키가 유출되는 경우 쉽게 해독되는 결점을 갖는다. 따라서 본 발명에 따른 상기 암호화 단계(S31)는 비대칭적인 공개키 알고리즘을 사용하는 것이 바람직하며, 이를 보다 상세하게 설명하면 다음과 같다.In actual creation of such user specific information, first, identification information and authentication / management information of the user specific information are encrypted (S31). Since the basic information includes general content, it is practically excluded from encryption. In the encryption step (S31), the confirmation and authentication / management information can be encrypted by a general symmetric key algorithm using a secret key, the symmetric key algorithm has a drawback that is easily decrypted when the secret key is leaked. Therefore, the encryption step S31 according to the present invention preferably uses an asymmetric public key algorithm, which will be described in more detail as follows.

상기 암호화 단계(S31)에 있어서, 먼저 상기 암복호화 모듈(22b)에서 상기 확인 및 인증/관리정보가 생성된 임의키(random key)를 이용하여 대칭키 방식으로 암호화된다(S31a). 여기서 상기 임의키는 일종의 비밀키이며, 상기 암복호화 모듈(22b)내에서 매번 다른 값을 갖도록 생성된다. 또한 본 발명에서 상기 대칭키 알고리즘으로서 3DES 또는 SEED 등이 사용될 수 있다.In the encryption step (S31), first the encryption and decryption module 22b is encrypted in a symmetric key manner by using a random key generated by the verification and authentication / management information (S31a). Here, the random key is a kind of secret key and is generated to have a different value every time in the encryption / decryption module 22b. Also, in the present invention, 3DES or SEED may be used as the symmetric key algorithm.

상기 대칭키 암호화 단계(S31a)후, 상기 임의키는 해당 서비스 서버(23,32)의 공개키를 이용하여 암호화된다(S31b). 공개키 알고리즘하에서 각각의 보안관련 주체들은 자신의 공개키와 개인키 한 쌍을 가지며, 공개키는 디지털 인증서등을 통해 네트워크상에 공개되며, 개인키는 자신의 시스템내에 보관된다. 그리고 암호화 대상정보는 송신시 수신자의 공개키로 암호화되며 수신된 후 수신자의 개인키로 복호화된다. 이에 따라 본 발명에 있어서 사용자 특정정보 암호화에는 상대적으로 속도가 빠른 대칭키 알고리즘을 사용하고, 임의키(비밀키)는 보안성이 뛰어난 공개키 알고리즘을 결합하여 사용함으로서 보다 안전하게 사용자 특정정보가 보호된다. 따라서 사용자 특정정보가 사용자 확인 및 서비스 제공을 위해 다시 해당 서비스 서버들(23,32)에서 이용될 수 있도록 상기 임의키는 해당 서비스 서버(23,32)의 공개키로 암호화된다.After the symmetric key encryption step S31a, the random key is encrypted using the public keys of the corresponding service servers 23 and 32 (S31b). Under the public key algorithm, each security agent has its own public key and private key pair. The public key is disclosed on the network through digital certificates, and the private key is stored in its system. The encrypted target information is encrypted with the receiver's public key at the time of transmission and decrypted with the receiver's private key after reception. Accordingly, in the present invention, a relatively fast symmetric key algorithm is used for encrypting user specific information, and a random key (secret key) is used in combination with a highly secure public key algorithm, thereby protecting user specific information more securely. . Therefore, the random key is encrypted with the public key of the corresponding service server (23, 32) so that user specific information can be used by the corresponding service servers (23, 32) again for user identification and service provision.

한편, 상기 암호화 단계(S31b)에 있어서, 상기 임의 키는 공개키 대신에 사전에 상기 인증관리 서버(22) 및 해당 서비스 서버들(23,32)간에 공유된 소정의 비밀키를 사용하여 암호화 될 수 있다 (31b). 이러한 대칭키 방식의 반복적 적용은 상기 공개키 방식과 더불어 본 발명에 따른 인증방법에 있어서 암호화 운용 폭을 실질적으로 넓혀준다.On the other hand, in the encryption step (S31b), the arbitrary key is to be encrypted using a predetermined secret key shared between the authentication management server 22 and the corresponding service servers 23, 32 in advance instead of the public key. Can be (31b). This repetitive application of the symmetric key method substantially widens the cryptographic operation range in the authentication method according to the present invention in addition to the public key method.

이 후, 상기 암복호화 모듈(22b)은 상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합시킨다(S32).Thereafter, the encryption / decryption module 22b combines the encrypted verification and authentication / management information with the basic information (S32).

여기서 상기 단계들(S31-S32)을 통해 사용자 특정정보는 전송가능한 형태를 가질 수 있으나 바람직하게는 작성된 특정정보에 전자서명을 부가하는 단계(S33)를 더 포함하여 작성될 수 있다. 상기 전자서명은 송신자의 개인키를 이용하여 작성되며, 수신자는 송신자의 공개키를 이용하여 상기 전자서명을 확인한다. 본 발명에서 상기 특정정보에 첨부되는 전자서명은 상기 주 서버 시스템(20)의 개인키를 이용하여 작성되며, 이에 따라 송수신과정중 상기 사용자 특정정보의 위조(integrity) 및 부인(non-reputation)이 방지된다.In this case, the user specific information may have a form that can be transmitted through the steps S31-S32, but preferably, the method further includes a step S33 of adding an electronic signature to the created specific information. The digital signature is prepared using the sender's private key, and the receiver verifies the digital signature using the sender's public key. In the present invention, the electronic signature attached to the specific information is prepared by using the private key of the main server system 20, and thus, forgery and non-reputation of the user specific information are transmitted during the transmission and reception process. Is prevented.

상기 작성단계(S30)가 완료된 후, 상기 주 서버 시스템(20)은 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템(10) 및 해당 서비스 서버(23,32)로 전송한다(S40). 여기서 실제적으로 상기 전송단계(S40)는 상기 클라이언트 시스템(10) 및 서버스 서버(23,32)에 대해 동시에 수행된다. 이에 따라 상기 인증관리 서버(22)는 상기 웹 서버(21)를 통해 상기 작성된 특정정보를 클라이언트 시스템(10)내에 설정시킨다. 상기 특정정보를 전송함으로서 상기 서버 시스템(20)은 상기 사용자 특정정보를 더 이상 유지하지 않으며 보다 상세하게는, 자신의 내부 메모리에 사용자 특정정보를 남기지 않는다. 또한 해당 서비스 서버(23,32)는 상기 특정정보를 전달받아 요청된 작업을 처리하는데 이용하며, 이후 상기 인증관리 서버(22)를 개재하지 않고 독자적으로 사용자 접속상태 유지 및 연속적인 관련 작업을 수행할 수 있다.After the creation step S30 is completed, the main server system 20 transmits the encrypted user specific information to the client system 10 and the corresponding service servers 23 and 32 (S40). In this case, the transmitting step S40 is performed simultaneously with the client system 10 and the server servers 23 and 32. Accordingly, the authentication management server 22 sets the created specific information in the client system 10 through the web server 21. By transmitting the specific information, the server system 20 no longer maintains the user specific information, and more specifically, does not leave user specific information in its internal memory. In addition, the service server 23, 32 receives the specific information and uses it to process the requested task, and then independently maintains the user connection state and continuously performs related tasks without intervening the authentication management server 22. can do.

한편, 상기 전송과정은 가장 일반적인 쿠키(cookie) 방식을 이용할 수 있으며 다르게는 URL Rewriting, Query String과 같은 패러미터(parameter) 방식을 이용할 수 있다. 여기서 바람직하게는 사용자 접속상태의 유지를 지속적으로 유지하기 위해 상기 클라이언트 시스템(10)으로의 전송단계는 쿠키방식을 이용하며, 상기 서비스 서버(23,32)의 전송단계는 일회성인 패러미터 방식만으로도 충분히 구현 가능하다.On the other hand, the transmission process may use the most common cookie (cookie) method, and may alternatively use a parameter method such as URL Rewriting, Query String. Preferably, in order to continuously maintain the user connection state, the step of transmitting to the client system 10 uses a cookie method, and the step of transmitting the service servers 23 and 32 is sufficient even with a one-time parameter method. It can be implemented.

상기 전송단계(S40)가 완료된 후, 상기 클라이언트 시스템(10)은 해당 서비스 서버(23,32)로 전환된다(S50). 여기서 상기 웹 서버(21)는 기 작성된 ASP(Active Server Page), JSP(Java Server Page)와 같은 인터페이스 프로그램을 이용하여 상기 클라이언트 시스템(10)내의 웹 브라우저(10)의 URL(Uniform Resource Locator)을 해당 서비스 서버(23,32)의 URL로 재지정한다. 이러한 전환단계(S50)는 앞서 사용자의 서비스 요청단계(S13)에 따라 도메인 동일성에 상관없이 각각의 서비스 서버(23,32)에 대해 동일하게 수행될 수 있다.After the transmission step (S40) is completed, the client system 10 is switched to the corresponding service server (23, 32) (S50). Here, the web server 21 uses an interface program such as an active server page (ASP) or a Java server page (JSP) to prepare a uniform resource locator (URL) of the web browser 10 in the client system 10. It redirects to the URLs of the corresponding service servers 23 and 32. This switching step (S50) may be performed in the same manner for each service server (23, 32) regardless of the domain identity according to the service request step (S13) of the user.

상기 전환단계(S50)와 동시에, 상기 클라이언트 시스템(10)은 자신의 가진암호화 특정정보를 동일한 난수정보와 함께 상기 서비스 서버(23,32)에 재전송한다(S60). 여기서 상기 특정정보가 쿠키방식으로 설정되어 있는 경우 상기 특정정보는 자동적으로 상기 서비스 서버(23,32)로 전송되며, 상기 접속상태관리 모듈(12)도 이에 동기되어 인증관리 서버(22)에 제공한 것과 동일한 난수정보를 전송한다.Simultaneously with the switching step S50, the client system 10 retransmits its excitation encryption specific information to the service servers 23 and 32 together with the same random number information (S60). In this case, when the specific information is set in the cookie method, the specific information is automatically transmitted to the service servers 23 and 32, and the connection state management module 12 is also provided to the authentication management server 22 in synchronization therewith. Transmit random number information same as one.

상기 재전송단계(S50)단계가 완료된 후, 상기 해당 서비스 서버(23,32)는 상기 전송된 사용자 특정정보의 유효성을 판단함으로서 상기 사용자를 확인한다(S70). 보다 상세하게는 상기 서비스 서버(23,32)는 이의 인증모듈(23a) 및 암복호화 모듈(23b)을 이용하여 상기 사용자를 재확인하기 위해 상기 복호화된 사용자 특정정보를 검토한다.After the retransmission step (S50) is completed, the corresponding service server (23, 32) checks the user by determining the validity of the transmitted user specific information (S70). More specifically, the service servers 23 and 32 review the decrypted user specific information to reconfirm the user by using the authentication module 23a and the encryption / decryption module 23b thereof.

이러한 유효성 판단단계(S70)에 있어서, 먼저 상기 사용자로부터 전송된 사용자 특정정보가 상기 암복호화 모듈(23b,32b)에 의해 복호화된다(S71). 여기서 대칭키 알고리즘이 적용된 경우, 상기 사용자 특정정보 보다 상세하게는 확인 및 인증/관리정보는 단순히 비밀키를 이용하여 복호화될 수 있으나 공개키 알고리즘이 적용된 경우 다음과 같은 단계를 거쳐 복호화된다.In this validity determination step (S70), first, user specific information transmitted from the user is decoded by the encryption / decryption modules 23b and 32b (S71). In this case, when the symmetric key algorithm is applied, in more detail, the identification and authentication / management information may be decrypted using a secret key. However, when the public key algorithm is applied, the identification is performed through the following steps.

즉, 순차적으로 상기 임의키가 상기 서비스 서버(23)의 개인키를 이용하여 복호화되며(S71a), 상기 확인 및 인증/관리정보가 상기 복호화된 임의키를 이용하여 대칭키 방식으로 복호화된다(S71b). 한편, 앞서 설명된 바와 같이 상기 임의키 암호화 단계(S31b)에 공개키 방식이 적용된 경우, 상기 임의키는 미리 공유된 비밀키를 이용하여 복호화된다(S71a).That is, the random key is sequentially decrypted using the private key of the service server 23 (S71a), and the confirmation and authentication / management information is decrypted by the symmetric key method using the decrypted random key (S71b). ). On the other hand, when the public key scheme is applied to the random key encryption step (S31b) as described above, the random key is decrypted using a shared secret key in advance (S71a).

상기 복호화 단계(S61)후에, 상기 복호화된 사용자 특정정보는 상기 인증모듈(23a,32a)에 의해 소정의 관련정보들과 비교된다(S72). 여기서 상기 클라이언트 시스템(10)에서 전송된 난수정보가 상기 복호화된 확인정보내의 난수정보와 비교됨(S72a)으로서 사용자의 동일함이 일차적으로 확인될 수 있다.After the decryption step S61, the decrypted user specific information is compared with predetermined related information by the authentication modules 23a and 32a (S72). Here, since the random number information transmitted from the client system 10 is compared with the random number information in the decoded confirmation information (S72a), the user's identity may be first confirmed.

이러한 난수정보 비교단계(S72a)와 더불어, 상기 비교단계(S72)에서는 상기 클라이언트 시스템(10)의 네트워크 어드레스와 상기 복호화된 확인정보내의 네트워크 어드레스와 비교될 수 있다. 또한 상기 클라이언트 시스템(10)의 웹 브라우저(11) 버전이 상기 복호화된 확인정보내의 웹 브라우저 버전과 비교될 수 있다(S72b). 더욱 바람직하게는, 상기 복호화된 확인정보내의 유효시간이 현재 서버 시스템의 시각과 더 비교될 수 있다(S72c)In addition to the random number information comparing step S72a, the comparing step S72 may be compared with the network address of the client system 10 and the network address in the decoded confirmation information. Also, the web browser 11 version of the client system 10 may be compared with the web browser version in the decrypted confirmation information (S72b). More preferably, the valid time in the decrypted confirmation information may be further compared with the time of the current server system (S72c).

만일 상기 전송된 사용자 특정정보가 유효하지 않는 경우, 앞서 설명된 초기 확인단계(S20)와 동일하게 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지를 포함하는 웹 페이지가 전송된다. 또한 상기 클라이언트 시스템(10)은 상기 서비스 서버(23,32)에 접속하기 위하여 상기 일련의 접속단계(S11-S14)를 재수행하여야 한다.If the transmitted user specific information is not valid, a web page including an error message is transmitted to the client system 10 through the web server 21 in the same manner as the initial confirmation step S20 described above. In addition, the client system 10 must perform the series of connection steps S11-S14 again to access the service servers 23 and 32.

상기 전송된 사용자 특정정보가 유효한 경우, 상기 서비스 서버(20)는 상기 확인된 사용자에게 복호화된 사용 특정정보중의 인증/관리정보를 사용하여 해당 서비스, 즉 소정 콘텐츠를 포함하는 웹페이지를 제공한다(S80).If the transmitted user specific information is valid, the service server 20 provides the identified user with a web page including a corresponding service, that is, predetermined content, using authentication / management information in the decrypted use specific information. (S80).

이상에서 설명된 바와 같이, 본 발명에 따른 인증방법에 있어서, 사용자의 특정정보는 난수정보를 이용한 인증 및 암복호화 과정을 통해 해당 서비스서버(23,32)에 안전하게 전달된다. 또한 요청된 서비스를 제공시에 해당 서비스 서버(23,32)는 자신의 인증모듈(23a,32a) 및 암복호화 모듈(23b,32b)에 의해 상기 인증관리서버(22)와 별도로 직접적인 사용자 확인과정을 수행한다.As described above, in the authentication method according to the present invention, the specific information of the user is securely transmitted to the corresponding service server (23, 32) through the authentication and decryption process using the random number information. In addition, when providing the requested service, the corresponding service server (23, 32) is a direct user confirmation process separately from the authentication management server 22 by its authentication module (23a, 32a) and encryption and decryption module (23b, 32b) Do this.

즉, 인증관리서버(22)는 식별정보에 의한 사용자 확인 후 적합한 특정정보를 해당 서비스 서버(23,32)에 전송하며, 각 서비스 서버들(23,32)은 자체적인 확인과정만으로 안전하게 전송된 사용자 특정정보를 공유한다. 따라서 사용자는 식별정보에 의한 인증관리 서버(22)에서의 단일인증 단계만으로 별도로 식별정보를 제공함없이도 편리하게 해당 서비스 서버(23,32)에서 제공되는 내용들을 이용할 수 있다. 또한 이러한 단일 인증단계에 의한 서비스 이용은 도메인 동일성에 상관없이 서로 제휴된 서버 시스템(30)들간에 반복적으로 이루어질 수 있다.That is, the authentication management server 22 transmits the appropriate specific information to the corresponding service server (23, 32) after the user confirmation by the identification information, each service server (23, 32) is securely transmitted only by its own verification process Share user specific information. Therefore, the user can conveniently use the contents provided by the corresponding service servers 23 and 32 without providing identification information only by a single authentication step in the authentication management server 22 based on the identification information. In addition, the service use by the single authentication step may be repeatedly performed between the server systems 30 affiliated with each other regardless of domain identity.

한편, 상기 일련의 정보 전달단계(S10-S80)후, 도 6에 도시된 바와 같이 해당 서비스 이용하는 도중 필요시 상기 클라이언트 시스템(10)은 자신의 암호화 특정정보를 동일한 난수정보와 함께 해당 서비스 서버(23,32)에 재전송한다(S90). 즉, 웹 브라우저(11)가 해당 서비스 서버(23,32)에 소정의 작업을 추가로 요청함과 동시에, 상기 최초 발생된 난수정보와 더불어 사용자 특정정보가 웹 서버(21)를 거쳐 상기 서비스 서버(23,32)로 전송된다.On the other hand, after the series of information transfer step (S10-S80), the client system 10, if necessary during the use of the service, as shown in Figure 6, the client specific information with the same random number information and the corresponding service server ( 23, 32) (S90). That is, the web browser 11 further requests the service server 23 and 32 for a predetermined task, and at the same time, the user-specific information together with the initial random number information is passed through the web server 21 to the service server. Is sent to (23,32).

상기 재전송 단계(S90)에서 나타난 바와 같이, 일반적인 접속상태유지(즉 "세션")와 다르게 본 발명에 있어서, 상기 클라이언트 시스템(10)이 해당 서비스 서버(23,32) 대신에 사용자 특정정보를 유지하며, 필요시 사용자 특정정보를 서비스 서버(23,32)로 직접 전송한다. 이에 따라 본 발명의 클라이언트 시스템(10)은 접속상태유지에 있어서 각 서버 시스템(20,30)의 역할을 분담한다.As shown in the retransmission step S90, unlike the general connection state maintenance (i.e., " session "), in the present invention, the client system 10 maintains user specific information instead of the corresponding service server 23,32. If necessary, the user specific information is directly transmitted to the service servers 23 and 32. Accordingly, the client system 10 of the present invention shares the role of each server system 20 and 30 in maintaining the connection state.

상기 재전송단계(S90)단계 후, 상기 서비스 서버(23,32)는 상기 전송된 사용자 특정정보의 유효성을 판단함으로서 상기 사용자를 재확인한다(S100). 이러한 재확인 단계(S100) 및 수반되는 단계들은 앞서 설명된 확인단계(S70)등과 동일하므로 이하 상세한 설명을 생략한다.After the retransmission step (S90), the service server (23, 32) re-confirms the user by determining the validity of the transmitted user specific information (S100). Since the reconfirmation step (S100) and the accompanying steps are the same as the above-described confirmation step (S70) and the like, a detailed description thereof will be omitted.

이상에서 설명된 바와 같이, 본 발명에 따른 인증방법에 있어서 상기 클라이언트 시스템(10)이 사용자 특정정보를 유지 및 전송하며, 또한 이차적 식별정보인 난수정보를 유지 및 전송한다. 따라서 각 서버 시스템(20,30)의 접속상태유지에 대한 부담이 감소되므로 시간의 제약없이 보다 많은 사용자의 접속상태가 관리 및 유지될 수 있다. 그리고 상기 사용자 특정정보 자체가 공개키 기반의 암호화 알고리즘에 의해 보호되므로 본 발명에 있어서 상기 사용자 접속상태는 보다 안전하게 유지될 수 있다.As described above, in the authentication method according to the present invention, the client system 10 maintains and transmits user specific information, and maintains and transmits random number information that is secondary identification information. Therefore, the burden on maintaining the connection state of each server system 20, 30 is reduced, so that the connection state of more users can be managed and maintained without time constraints. And since the user specific information itself is protected by a public key based encryption algorithm, the user connection state can be kept more secure in the present invention.

여기서, 상술된 단계들(S90-S100)에 의해 유지되는 접속상태는 소정의 시간동안 추가적인 요청이 없는 경우 종료되나, 본 발명의 인증방법에서는 상기 클라이언트 시스템(10)은 기 설정된 자신의 사용자 특정정보를 이용하여 해당 서비스 서버(23,32)에 재접속될 수 있다.Here, the connection state maintained by the above-described steps (S90-S100) is terminated when there is no additional request for a predetermined time, but in the authentication method of the present invention, the client system 10 is the user's specific information set in advance It can be reconnected to the service server (23,32) using.

도 7은 본 발명에 따른 사용자 인증방법중 서비스 서버로의 재접속 절차를 나타내는 순서도이며 이를 참조하여 상세하게 설명하면 다음과 같다.7 is a flowchart illustrating a reconnection procedure to a service server in the user authentication method according to the present invention.

본 발명에 따른 재접속 단계(S120)에 있어서, 먼저 상기 클라이언트 시스템의 웹 브라우저(11)는 해당 서비스 서버(23,32)에 재접속을 요청한다(S122).In the reconnection step (S120) according to the present invention, first, the web browser 11 of the client system requests reconnection to the corresponding service server (23, 32) (S122).

상기 재접속 요청단계(S122)와 동시에, 해당 서비스 서버(22,32)의 인증모듈(23a,32a)은 상기 클라이언트 시스템(10)내의 사용자 특정정보의 존재여부를 확인한다(S123).Simultaneously with the reconnection request step (S122), the authentication module (23a, 32a) of the service server (22, 32) checks the existence of user specific information in the client system (10) (S123).

상기 사용자 특정정보가 존재하는 경우, 클라이언트 시스템(10)은 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 해당 서비스 서버(23,32)에 전송한다(S124). 여기서 상기 단계들(S122-S124)은 실질적으로 동시에 수행된다. 즉. 웹 브라우저(11)가 상기 서비스 서버(23,32)에 소정의 작업을 요청함과 동시에 상기 사용자 특정정보가 확인되며, 상기 일관되게 유지된 난수정보가 기 설정된 사용자 특정정보와 함께 다시 전송된다.If the user specific information exists, the client system 10 transmits the transmitted encryption specific information to the corresponding service servers 23 and 32 together with the same random number information (S124). The steps S122 to S124 are performed substantially simultaneously. In other words. The web browser 11 requests the service server 23 and 32 for a predetermined task, and at the same time, the user specific information is confirmed, and the consistent random number information is transmitted together with the predetermined user specific information.

상기 전송단계(S124)가 완료된 후, 서비스 서버(23,32)는 상기 전송된 난수정보를 이용하여 상기 사용자 특정정보의 유효성을 판단함으로서 상기 사용자를 재확인한다(S85). 상기 재확인 단계(S85)는 앞서 설명된 초기 접속단계(S10-S70)의 재확인 단계(S60)와 실질적으로 동일하며 이에 따라 상세한 설명은 다음에서 생략된다.After the transmission step S124 is completed, the service servers 23 and 32 reconfirm the user by determining the validity of the user specific information by using the transmitted random number information (S85). The reconfirmation step S85 is substantially the same as the reconfirmation step S60 of the initial access steps S10-S70 described above, and thus a detailed description thereof will be omitted below.

상기 재확인 단계(S125)에서 전송된 사용자 특정정보가 유효한 경우, 상기 서비스 서버(23,32)는 상기 확인된 사용자의 요청을 복호화된 특정정보중의 인증/관리정보를 사용하여 처리한다(S126).If the user specific information transmitted in the reconfirmation step (S125) is valid, the service server (23, 32) processes the identified user's request using the authentication / management information in the decrypted specific information (S126) .

또한 상기 재확인 단계(S123) 또는 상기 특정정보 존재확인 단계(S125)가 실패하는 경우, 상기 웹 서버(21)를 통해서 클라이언트 시스템(10)으로 오류 메시지가 전송된다.In addition, when the re-confirmation step (S123) or the specific information present step (S125) fails, an error message is transmitted to the client system 10 through the web server 21.

한편, 보안 통신환경 구현 및 이에 따른 보안수준의 향상을 위해 상기 재접속단계(S120)에서, 상기 재접속요청 단계(S122)이전에 상기 클라이언트 시스템(10)이 HTTPS와 같은 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 것이 또한 바람직하다(S121).On the other hand, in the reconnection step (S120), the client system 10 before the reconnection request step (S122) using a cryptographic protocol such as HTTPS before the reconnection request step (S122) to implement a secure communication environment and thereby improve the security level It is also preferable to set (S121).

이상에서와 같이, 상기 클라이언트 시스템(10)이 접속상태관리를 분담, 즉 사용자 특정정보를 자체적으로 유지함으로서 초기접속 종료후의 불연속적인 접속시에도 인증된 접속상태가 재설정되며 또한 안전하게 지속적으로 유지된다.As described above, the client system 10 shares the connection state management, that is, maintains user specific information by itself, so that the authenticated connection state is reset and safely maintained continuously even in the case of discontinuous connection after the initial connection termination.

다른 한편, 본 발명에 있어서 앞서 설명된 상기 일련의 정보 전달단계(S10-S80)후, 상호 연관되어 처리되는 서비스를 상기 클라이언트 시스템(10)에 제공하기 위하여 해당 서비스 서버(23,32)는 다른 서비스 서버(23,32)에 요구되는 새로운 사용자 특정정보를 전송할 수 있다.On the other hand, in the present invention, after the series of information transfer steps (S10-S80) described above, the corresponding service server (23, 32) to provide the service to be processed in association with the client system (10) New user specific information required for the service servers 23 and 32 can be transmitted.

도 8은 본 발명에 따른 사용자 인증방법중 다른 서비스 서버로의 정보전달 절차를 나타내는 순서도이며 이를 참조하여 상세하게 설명하면 다음과 같다.8 is a flowchart illustrating an information delivery procedure to another service server in the user authentication method according to the present invention.

먼저 최초 접속된 해당 서비스 서버(23,32)는 상기 전송된 난수정보를 포함하여 다른 서비스 서버에서 요구되는 새로운 사용자 특정정보를 작성한다(S131). 즉, 앞서 설명된 바와 같이 서로 연관된 서비스를 위해 해당 서비스 서버(23,32)는 사용자가 요청한 일련의 작업처리에 의해 변경된 사용자 관련정보를 데이터 베이스 서버(24,33)에 갱신하며, 이를 이용해 새로운 사용자 특정정보를 작성한다.First, the corresponding service servers 23 and 32 connected for the first time create new user specific information required by another service server including the transmitted random number information (S131). That is, for the services related to each other as described above, the service server (23, 32) updates the user-related information changed by the series of work requests requested by the user to the database server (24, 33), using the new Write user specific information.

이후 수반되는 다른 서비스 서버로의 새로운 특정정보 전송단계(S132), 다른 서비스 서버로의 클라이언트 시스템 전환단계(S133), 다른 서비스 서버로의 새로운특정정보 및 난수정보 재전송단계(S134), 다른 서비스 서버에서의 사용자 재확인 및 특정정보 이용단계(S135,S136)등은 앞서 설명된 해당 단계들(S40-S80)과 실질적으로 동일하므로 이에 대한 상세한 설명은 다음에서 생략된다.Subsequent transmission of new specific information to another service server (S132), switching to a client system to another service server (S133), retransmitting new specific information and random information to another service server (S134), and another service server In the user re-confirmation and the specific information using step (S135, S136) and the like are substantially the same as the above-described steps (S40-S80) detailed description thereof will be omitted below.

이상에서와 같이, 인증모듈(23a,32a) 및 암복호화 모듈(23b,32b)에 의해 각각의 서비스 서버(23,32)는 연계된 서비스 제공시 상호 요구되는 사용자 특정정보를 자체적으로 작성할 수 있다. 또한 이러한 특정정보는 관련된 서비스 서버(23,32)사이에서 안전하게 전송가능하며 이에 따라 실질적으로 공유된다. 따라서, 본 발명에 따른 인증방법에 의해 독립적인 서비스들이 상호 연동하는 새로운 서비스들이 사용자에게 안전하고 용이하게 제공될 수 있으며, 일례로 전자 상거래 서비스와 인터넷 뱅킹 서비스사이의 실시간 직불 서비스가 구현될 수 있다.As described above, each of the service servers 23 and 32 by the authentication modules 23a and 32a and the encryption / decryption modules 23b and 32b may create user-specific information that is mutually required when providing an associated service. . In addition, this specific information can be safely transmitted between related service servers 23 and 32 and thus substantially shared. Therefore, new services in which independent services interoperate with each other by the authentication method according to the present invention can be safely and easily provided to the user. For example, a real-time debit service between an e-commerce service and an internet banking service can be implemented. .

상술된 본 명세서에서 단지 몇몇의 실시예가 설명되었음에도 불구하고, 본 발명이 그 취지와 범주에서 벗어남 없이 많은 다른 특정 형태로 구체화 될 수 있다는 사실은 해당 기술에 통상의 지식을 가진 이들에게는 자명한 것이다. 그러므로, 상술된 실시예는 제한적인 것이 아니라 예시적인 것으로 여겨져야 하고, 이에 따라 본 발명은 상술된 상세한 설명에 한정되지 않고 첨부된 청구항의 범주 및 그 동등 범위내에서 변경될 수도 있다.Although only a few embodiments have been described herein above, it will be apparent to those skilled in the art that the present invention may be embodied in many other specific forms without departing from the spirit and scope thereof. Therefore, the above-described embodiments are to be considered as illustrative and not restrictive, and thus, the invention is not limited to the above detailed description, but may vary within the scope of the appended claims and their equivalents.

본 발명에 따른 인터넷 환경하에서의 사용자 인증방법 및 시스템의 효과를 요약하면 다음과 같다.The effects of the user authentication method and system in the Internet environment according to the present invention are summarized as follows.

첫째, 본 발명의 인증방법 및 시스템에 의해 사용자의 서비스 이용이 보다편리하게 이루어질 수 있다.First, the user can use the service more conveniently by the authentication method and system of the present invention.

본 발명에 따른 인증방법에 있어서 인증관리서버는 사용자의 식별정보 및 이를 이용한 인증절차를 통합 관리하며, 각각의 서비스 서버와 연계하여 사용자의 특정정보를 서로 공유하게 한다. 따라서 전체적으로 사용자에게는 하나의 식별정보에 의한 단일의 인증절차가 제공되며, 이러한 단일인증 단계만으로 사용자는 해당 서비스 서버에서 제공되는 내용들을 제한없이 이용할 수 있다. 또한 이러한 단일 인증단계에 의한 서비스 이용은 도메인 동일성에 상관없이 서로 제휴된 서버 시스템들간에 반복적으로 이루어질 수 있다. 결과적으로 본 발명에 의해 단일 인증절차에 기초한 통합된 사용자 인증관리가 이루어질 수 있다.In the authentication method according to the present invention, the authentication management server integrates and manages the identification information of the user and the authentication procedure using the same. Therefore, as a whole, the user is provided with a single authentication procedure by using one identification information, and only by this single authentication step, the user can use the contents provided by the corresponding service server without limitation. In addition, service use by this single authentication step may be repeatedly performed between server systems affiliated with each other regardless of domain identity. As a result, integrated user authentication management based on a single authentication procedure can be achieved by the present invention.

또한, 본 발명에 의해 각 서비스 서버들은 자체 인증 및 암복호화 모듈을 이용해 상호 요구되는 특정 사용자 정보를 독립적으로 작성할 수 있다. 따라서, 이러한 특정 사용자 정보의 상호 공유는 새로운 서비스가 사용자에게 제공될 수 있개 하며, 각 서비스 서버들에게 새로운 서비스에 대한 폭넓은 적용성을 부여한다.In addition, according to the present invention, each service server can independently write specific user information that is mutually required using its own authentication and encryption / decryption module. Therefore, this sharing of specific user information allows a new service to be provided to the user, and gives each service server a wide applicability to the new service.

둘째, 본 발명의 인증방법 및 시스템에 의해 사용자 접속상태가 보다 효율적으로 유지될 수 있다.Second, the user connection state can be maintained more efficiently by the authentication method and system of the present invention.

본 발명에 있어서, 클라이언트 시스템이 갖는 난수정보는 서버 시스템에서 최초 사용자 확인시 작성되는 사용자 특정정보에 포함되며, 이러한 특정정보내의 난수정보를 상기 클라이언트 시스템이 서버 시스템에 동일하게 제공하는 난수정보와 비교함으로서 인증된 사용자는 계속적으로 재확인되며 접속상태가 지속적으로 유지된다.In the present invention, the random number information of the client system is included in the user specific information created upon initial user confirmation in the server system, and the random number information in the specific information is compared with the random number information provided by the client system to the server system in the same manner. By doing so, the authenticated user is continuously reconfirmed and the connection is maintained.

이와 같이 상기 난수정보가 최초 사용자 확인이후 이차적 식별정보로서 사용됨으로서 상기 클라이언트 시스템이 서버 시스템 대신에 상기 사용자 특정정보를 유지하고 필요시마다 서버 시스템에 제공하는 것이 가능하며, 서버 시스템은 단순히 클라이언트 시스템으로부터 전송된 사용자 특정정보 및 난수 정보를 통해 사용자 재확인 단계만을 수행한다.As such, since the random number information is used as secondary identification information after initial user confirmation, the client system can maintain the user specific information instead of the server system and provide it to the server system whenever necessary, and the server system simply transmits the information from the client system. Only the user reconfirmation step is performed through the user specific information and the random number information.

이러한 상기 클라이언트 시스템의 역할분담으로 인해, 서버 시스템은 한정 시스템 자원을 이용하여 더 많은 사용자의 인증된 접속상태를 유지할 수 있으며, 접속상태유지에 대한 시간제약이 실질적으로 제거된다.Due to this role sharing of the client system, the server system can use the limited system resources to maintain the authenticated connection state of more users, and the time constraints on maintaining the connection state are substantially eliminated.

셋째, 본 발명의 인증방법 및 시스템에 의해 사용자 접속상태가 보다 안전하게 유지될 수 있다.Third, the user connection state can be maintained more securely by the authentication method and system of the present invention.

본 발명은 상기 사용자 특정정보를 서버 시스템에서 자체 모듈을 이용하여 암호화하며 난수정보 비교 및 다른 관련정보들을 비교함으로서 높은 보안수준을 제공한다. 그리고 상기 특정정보 암호화에 있어서, 특정정보의 비밀키 암호화, 상기 비밀키의 공개키 또는 비밀키 암호화 및 전자서명이 적용됨으로서, 상기 특정정보의 보안 및 위조방지, 부인방지등이 제공될 수 있다. 이와 더불어 기존의 암호화 프로토콜(HTTPS)의 사용은 상기 사용자 특정정보의 보호를 보다 확실하게 한다.The present invention provides a high level of security by encrypting the user specific information using its own module in the server system and comparing random number information and other related information. In the specific information encryption, by applying the secret key encryption of the specific information, public key or secret key encryption of the secret key and the electronic signature, security and forgery prevention, non-repudiation of the specific information can be provided. In addition, the use of the existing encryption protocol (HTTPS) makes the protection of the user specific information more secure.

Claims (17)

특정 인터넷 서비스 이용을 위해 사용자의 클라이언트 시스템이 암호화 프로토콜을 이용하여 사용자 식별정보 및 난수정보와 함께 주 서버 시스템의 웹 서버에 접속하는 단계;Connecting the client system of the user to the web server of the main server system together with the user identification information and the random number information by using an encryption protocol to use a specific Internet service; 상기 주 서버 시스템의 인증관리 서버에서 상기 사용자 식별정보를 이용하여 사용자를 확인하는 단계;Identifying a user using the user identification information at the authentication management server of the main server system; 상기 주 서버 시스템의 인증관리 서버에서 확인된 사용자에 대해서 상기 전송된 난수정보를 포함하여 암호화된 사용자 특정정보를 작성하는 단계;Creating encrypted user specific information including the transmitted random number information for the user identified in the authentication management server of the main server system; 상기 주 서버 시스템의 인증관리 서버에서 상기 웹 서버를 통하여 상기 암호화된 사용자 특정정보를 상기 클라이언트 시스템 및 해당 서비스 서버에 각각 전송하는 단계;Transmitting, by the authentication management server of the main server system, the encrypted user specific information to the client system and the corresponding service server through the web server; 상기 주 서버 시스템의 웹 서버에서 상기 클라이언트 시스템을 해당 서비스 서버로 전환시키는 단계;Converting the client system to a corresponding service server in a web server of the main server system; 상기 클라이언트 시스템에서 자신이 가진 암호화된 특정정보를 동일한 난수정보와 함께 상기 해당 서비스 서버에 전송하는 단계;Transmitting the encrypted specific information that the client system has with the same random number information to the corresponding service server; 상기 전송된 사용자 특정정보를 이용하기 위하여 상기 해당 서비스 서버에서 상기 전송된 난수정보를 이용하여 사용자 특정정보의 유효성을 판단하고 상기 사용자를 확인하는 단계로 이루어져, 상기 인증된 사용자의 특정정보를 해당 서버에 안전하게 전달하는 인터넷 환경하에서의 사용자 인증방법.Determining the validity of the user specific information by using the transmitted random number information and confirming the user in order to use the transmitted user specific information. User authentication method in internet environment to deliver securely. 제 1 항에 있어서,The method of claim 1, 상기 서버 시스템의 웹 서버 접속단계가:The web server access step of the server system is: 상기 사용자의 클라이언트 시스템에서 웹 서버로의 접속을 요청하는 단계;Requesting a connection to a web server from the client system of the user; 상기 웹 서버 접속후 상기 사용자의 클라이언트 시스템에서 소정의 서비스 서버로의 접속을 요청하는 단계;Requesting access to a predetermined service server from the client system of the user after accessing the web server; 상기 클라이언트 시스템 내부의 접속상태관리 모듈이 소정 크기의 난수정보를 발생시키는 단계; 그리고Generating random number information of a predetermined size by a connection state management module inside the client system; And 상기 접속상태관리 모듈에 의해 상기 난수정보와 함께 소정의 사용자 식별정보를 상기 서버 시스템의 웹 서버에 제공하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And providing, by the connection state management module, predetermined user identification information together with the random number information to a web server of the server system. 제 2 항에 있어서,The method of claim 2, 상기 웹서버 접속단계가 상기 접속요청 단계 이전에 상기 클라이언트 시스템에서 암호화 프로토콜을 이용하여 보안접속상태를 설정하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.The web server connection step further comprises the step of establishing a secure connection state using an encryption protocol in the client system before the access request step. 제 1 항에 있어서The method of claim 1 상기 사용자 특정정보가 기본정보, 상기 사용자를 재확인하기 위한 확인정보, 그리고 상기 서버 시스템내에서 확인된 사용자를 인식하기 위한 인증/관리 정보를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And the user specific information includes basic information, confirmation information for reconfirming the user, and authentication / management information for recognizing a user identified in the server system. 제 4 항에 있어서,The method of claim 4, wherein 상기 특정정보 작성단계가:The specific information writing step is: 상기 사용자 특정정보중 확인정보 및 인증/관리정보를 암호화하는 단계와;Encrypting identification information and authentication / management information in the user specific information; 상기 암호화된 확인 및 인증/관리정보와 상기 기본정보를 결합하는 단계로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And combining the encrypted identification and authentication / management information with the basic information. 제 5 항에 있어서,The method of claim 5, 상기 암호화 단계가:The encryption step is: 상기 확인 및 인증/관리정보를 생성된 임의 키를 이용하여 대칭키 방식으로 암호화하는 단계와;Encrypting the verification and authentication / management information in a symmetric key manner using the generated random key; 상기 임의키를 해당 서비스 서버의 공개키 또는 미리 공유된 비밀키를 이용하여 암호화하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And encrypting the random key using a public key or a pre-shared secret key of the corresponding service server. 제 5 항에 있어서,The method of claim 5, 상기 특정정보 작성단계가 작성된 특정정보에 상기 주 서버 시스템의 개인키를 이용하여 전자서명을 부가하는 단계를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And the step of adding the electronic signature to the created specific information by using the private key of the main server system. 제 1 항에 있어서,The method of claim 1, 상기 사용자 특정정보의 유효성 판단단계가:The validity determination step of the user specific information is: 상기 사용자로부터 전송된 사용자 특정정보를 복호화하는 단계와;Decoding user specific information transmitted from the user; 상기 복호화된 사용자 특정정보를 소정의 관련정보들과 비교하는 단계를 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And comparing the decrypted user specific information with predetermined related information. 제 8 항에 있어서,The method of claim 8, 상기 사용자 특정정보의 복호화 단계가:The decoding of the user specific information includes: 상기 임의키를 상기 해당 서비스 서버에서 자신의 개인키 또는 미리 공유된 비밀키를 이용하여 복호화하는 단계와;Decrypting the random key in the corresponding service server using its own private key or a shared secret key in advance; 상기 확인 및 인증/관리정보를 복호화된 임의 키를 이용하여 대칭키 방식으로 복호화하는 단계로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And decrypting the identification and authentication / management information using a decrypted random key in a symmetric key manner. 제 8 항에 있어서,The method of claim 8, 상기 사용자 특정정보 비교단계가 상기 클라이언트 시스템에서 전송된 난수정보와 상기 복호화된 확인정보내의 난수정보를 비교하는 단계를 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And comparing the random number information transmitted from the client system with the random number information in the decrypted acknowledgment information. 제 1 항에 있어서,The method of claim 1, 상기 서비스 서버와의 접속을 유지하는 도중 필요시 상기 클라이언트 시스템에서 상기 전송된 암호화 특정정보를 동일한 난수정보와 함께 상기 서비스 서버에 전송하는 단계;Transmitting the encryption specific information transmitted from the client system to the service server together with the same random number information when necessary while maintaining the connection with the service server; 상기 사용자를 재확인하기 위하여 상기 서비스 서버에서 상기 전송된 난수정보를 이용하여 상기 전송된 사용자 특정정보의 유효성을 판단하는 단계로 이루어져, 상기 서비스 서버에 대한 상기 클라이언트 시스템의 인증된 접속상태를 안전하게 지속적으로 유지시키는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And determining the validity of the transmitted user specific information by using the transmitted random number information in the service server to reconfirm the user, so as to continuously and securely authenticate the authenticated connection state of the client system to the service server. A user authentication method in an Internet environment, characterized by maintaining. 인터넷을 통해 통신가능하며, 다양한 형태의 정보를 표시 및 처리 가능한 사용자의 클라이언트 시스템과;A client system of a user, which can communicate via the Internet and display and process various types of information; 인터넷을 통한 상기 클라이언트 시스템의 서비스 제공 요청을 처리하는 웹 서버,A web server for processing a service providing request of the client system through the Internet, 상기 웹 서버와 연동하여 일련의 접속된 사용자 인증절차를 관리하는 인증관리 서버,An authentication management server that manages a series of connected user authentication procedures in association with the web server; 상기 사용자 요청에 대해 해당되는 실질적 내용을 제공하는 다수개의 서비스 서버, 그리고A plurality of service servers that provide substantial content corresponding to the user request, and 상기 웹 서버 및 인증관리 서버와 연동하여 상기 사용자 관련정보를 저장 및 관리하는 데이터베이스 서버를 포함하여, 상기 클라이언트 시스템의 요청에대해 적절한 인증절차를 통해 해당 서비스를 제공하는 주 서버 시스템으로 이루어지는 인터넷 환경하에서의 사용자 인증 시스템.Under the Internet environment consisting of a main server system that provides the corresponding service through the appropriate authentication process for the request of the client system, including a database server for storing and managing the user-related information in conjunction with the web server and the authentication management server User Authentication System. 제 12 항에 있어서,The method of claim 12, 상기 사용자 클라이언트 시스템이:The user client system is: 인터넷상의 정보를 표시 및 처리하는 웹 브라우저와;A web browser for displaying and processing information on the Internet; 상기 서버 시스템에 접속시 소정의 난수정보를 발생시키며, 필요시 상기 난수정보를 상기 서버 시스템에 전송하고, 접속상태가 유지되는 동안 상기 발생된 난수정보와 동일한 난수 정보를 지속적으로 유지하여, 자신의 접속상태유지를 보조하는 소정의 접속상태 관리모듈을 포함하는 것을 특징으로 하는 인터넷 환경하에의 사용자 인증 시스템.Generates random number information when connecting to the server system, transmits the random number information to the server system if necessary, and continuously maintains the same random number information as the generated random number information while the connection state is maintained. And a predetermined connection state management module for assisting in maintaining the connection state. 제 12 항에 있어서,The method of claim 12, 상기 인증관리서버 및 서비스 서버가:The authentication management server and service server: 상기 관련된 서버들와 연계하여 사용자 인증절차를 실질적으로 처리하며, 사용자의 재인증을 위한 사용자 특정정보를 작성하는 인증모듈과;An authentication module for substantially processing a user authentication procedure in association with the related servers and creating user specific information for re-authentication of a user; 상기 사용자 특정정보를 암호화 및 복호화하는 암복호화 모듈을 포함하는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증 시스템.And an encryption and decryption module for encrypting and decrypting the user specific information. 제 12 항에 있어서,The method of claim 12, 상기 서버 시스템이;The server system; 상기 서버 시스템의 공개키등을 포함하는 디지털 인증서를 발급하고 검증하는 인증기관 서버와;A certification authority server for issuing and verifying a digital certificate including a public key of the server system; 상기 인증서 발급이전에 인증기관 서버의 입증을 대행하는 등록기관 서버를 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.User authentication method in the Internet environment, characterized in that further comprises a registration authority server for the verification of the certification authority server before the certificate issuance. 제 12 항에 있어서,The method of claim 12, 상기 주 서버 시스템과 다른 도메인을 가지며, 상기 주 서버 시스템과 제휴하여 상기 클라이언트 시스템에 해당 서비스를 제공하는 다수개의 부가 서버 시스템을 더 포함하여 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And a plurality of additional server systems having a domain different from that of the main server system and providing the service to the client system in cooperation with the main server system. 제 16 항에 있어서,The method of claim 16, 상기 부가 서버 시스템이:The additional server system is: 상기 클라이언트 시스템의 서비스 제공 요청을 처리하는 웹 서버;A web server for processing a service providing request of the client system; 상기 인증모듈과 암복호화 모듈을 포함하여 확인된 사용자 요청에 해당되는 실질적 내용을 제공하는 서비스 서버로 이루어지는 것을 특징으로 하는 인터넷 환경하에서의 사용자 인증방법.And a service server including the authentication module and the encryption / decryption module to provide a substantial content corresponding to the identified user request.
KR10-2001-0011802A 2001-03-07 2001-03-07 Method for authenticating user in internet and system for the same KR100366403B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2001-0011802A KR100366403B1 (en) 2001-03-07 2001-03-07 Method for authenticating user in internet and system for the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2001-0011802A KR100366403B1 (en) 2001-03-07 2001-03-07 Method for authenticating user in internet and system for the same

Publications (2)

Publication Number Publication Date
KR20020071644A true KR20020071644A (en) 2002-09-13
KR100366403B1 KR100366403B1 (en) 2003-01-06

Family

ID=27696704

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2001-0011802A KR100366403B1 (en) 2001-03-07 2001-03-07 Method for authenticating user in internet and system for the same

Country Status (1)

Country Link
KR (1) KR100366403B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100843081B1 (en) * 2006-12-06 2008-07-02 삼성전자주식회사 System and method for providing security
WO2013151254A1 (en) * 2012-04-06 2013-10-10 (주)네오위즈게임즈 Method, web server, and service server for authenticating service execution

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2006001587A1 (en) * 2004-03-24 2006-01-05 Exers Technologies. Inc. Network management system and network management server of co-operating with authentication server

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100843081B1 (en) * 2006-12-06 2008-07-02 삼성전자주식회사 System and method for providing security
WO2013151254A1 (en) * 2012-04-06 2013-10-10 (주)네오위즈게임즈 Method, web server, and service server for authenticating service execution

Also Published As

Publication number Publication date
KR100366403B1 (en) 2003-01-06

Similar Documents

Publication Publication Date Title
US7774612B1 (en) Method and system for single signon for multiple remote sites of a computer network
JP4632315B2 (en) Method and system for single sign-on operation providing grid access and network access
KR100856674B1 (en) System and method for authenticating clients in a client-server environment
US6986040B1 (en) System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US7581244B2 (en) IMX session control and authentication
US7281128B2 (en) One pass security
US8340283B2 (en) Method and system for a PKI-based delegation process
EP1400089B1 (en) Authentification of a user across communicaqtion sessions
US7360079B2 (en) System and method for processing digital documents utilizing secure communications over a network
US7127607B1 (en) PKI-based client/server authentication
US20060294366A1 (en) Method and system for establishing a secure connection based on an attribute certificate having user credentials
EP0940960A1 (en) Authentication between servers
US20070056025A1 (en) Method for secure delegation of trust from a security device to a host computer application for enabling secure access to a resource on the web
US20080022085A1 (en) Server-client computer network system for carrying out cryptographic operations, and method of carrying out cryptographic operations in such a computer network system
AU2002235149A1 (en) System and method for securing a non-secure communication channel
US20100017604A1 (en) Method, system and device for synchronizing between server and mobile device
CA2295150A1 (en) Data communications
US7363486B2 (en) Method and system for authentication through a communications pipe
WO2020207517A1 (en) Method of authenticating a user to a relying party in federated electronic identity systems
JP2005301577A (en) Authentication system, authentication program for server, and authentication program for client
KR100355660B1 (en) Method for authenticating user in internet and system for the same
KR100366403B1 (en) Method for authenticating user in internet and system for the same
CN117354032A (en) Multiple authentication method based on code server
US7890751B1 (en) Method and system for increasing data access in a secure socket layer network environment
WO2004099949A1 (en) Web site security model

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20071214

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee