KR20030033630A - Single Sign-On System with Authentication Agent based Kerberos Protocol - Google Patents

Single Sign-On System with Authentication Agent based Kerberos Protocol Download PDF

Info

Publication number
KR20030033630A
KR20030033630A KR1020010065705A KR20010065705A KR20030033630A KR 20030033630 A KR20030033630 A KR 20030033630A KR 1020010065705 A KR1020010065705 A KR 1020010065705A KR 20010065705 A KR20010065705 A KR 20010065705A KR 20030033630 A KR20030033630 A KR 20030033630A
Authority
KR
South Korea
Prior art keywords
authentication
server
client
information
communication network
Prior art date
Application number
KR1020010065705A
Other languages
Korean (ko)
Inventor
최병선
Original Assignee
주식회사 오앤이시스템
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 오앤이시스템 filed Critical 주식회사 오앤이시스템
Priority to KR1020010065705A priority Critical patent/KR20030033630A/en
Publication of KR20030033630A publication Critical patent/KR20030033630A/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A single sign on login system using an authentication agent based on the "Kerberos protocol" is provided to enable a user to access to an information system and service at one time through single user authentication without a re-authentication procedure. CONSTITUTION: A server connects to a communication network, such as the Internet communication network or other wire/wireless communication network, to transfer the information, and approves the information request. A client requests an access to the server. An authentication server generates a ticket needed to exchange the service and the information between the server and the client. An authentication agent server connects the different port architecture among the server, the client and the authentication server.

Description

커버로스 기반의 인증에이전트를 이용한 단일인증 시스템 {Single Sign-On System with Authentication Agent based Kerberos Protocol}Single Sign-On System with Authentication Agent based Kerberos Protocol

본 발명은 다양한 시스템 및 서비스에 대한 보안인증 방법에 관한 것이다.The present invention relates to security authentication methods for various systems and services.

일반적으로, 현재 대부분의 인터넷 서비스 및 사업을 영위하는 기업들은 보다 많은 서비스를 제공하기 위하여, 다수의 서버(Server)와 CP(Contents Provider), 도메인(domain) 을 활용하게 된다. 이때 클라이언트가 상이한 서버와 CP, Domain 에 접근하여 해당 서비스를 이용하기 위해서는 각각의 시스템에 대한사용자 인증과정(Login Process)이 필요하게 된다. 이에 따라 발생하는 클라이언트의 불편함과 보안상의 문제를 해결하기 위하여 다양한 인증 방식들이 제공되고 있다. 대표적인 인증방식에는 쿠키(Cookie)를 이용하거나, PKI (Public Key Infrastructure) 기반의 인증서를 이용하는 방식들이 있다.In general, most of the Internet services and businesses currently running businesses utilize multiple servers, contents providers (CPs), and domains to provide more services. At this time, in order for a client to access a different server, CP, and domain to use a corresponding service, a user login process for each system is required. Accordingly, various authentication methods have been provided to solve the inconvenience and security problems of the client. Representative authentication methods include cookies, or PKI (Public Key Infrastructure) based certificates.

쿠키(Cookie) 를 이용한 인증 방식은 첫째, 인터넷서비스 이용시에 동일한 도메인을 가진 시스템 환경에서만 적용가능하다. 둘째, 사용자의 정보를 쿠키(Cookie)에 저장하여 하드디스크(HDD)에 보관하게되는 보안상의 단점이 있다.Authentication method using cookie is firstly applicable only in the system environment with the same domain when using Internet service. Second, there is a security disadvantage of storing the user's information in a cookie and storing it in a hard disk (HDD).

PKI (Public Key Infrastructure) 기반의 인증서를 이용하는 방식은 첫째, 인증서를 생성하여야 하거나, 인증서를 어떤 특정한 매체를 이용하여 제공해 주어야 한다는 사용상의 불편함을 수반하게 된다. 둘째, 인증서가 하드디스크 상에 저장되기 때문에 개인용 PC를 제외한 대중적인 장소(PC방, 회사 공유 PC 등)에서는 사용하기를 기피하는 경향이 있다.Using a PKI (Public Key Infrastructure) -based certificate involves firstly the inconvenience of using a certificate or providing the certificate using a certain medium. Second, because certificates are stored on the hard disk, they tend to be avoided in public places (PC rooms, corporate shared PCs, etc.), except personal PCs.

기존의 단일 인증방식들은 클라이이언트 시스템에서 사용자 정보를 보유하고 있기 때문에, 보안상의 측면에서 커다란 문제점을 가지고 있다. 그리고 현실적으로 상기 인증 방식들은 가장 중요한 문제인 안정성 및 효율성에 대한 문제점을 지니고 있다.The existing single authentication methods have a big problem in terms of security because they hold user information in the client system. And in reality, the authentication schemes have problems of stability and efficiency, which are the most important problems.

따라서, 본 발명은 산업표준 프로토콜(Protocol)인 커버로스(Kerberos Protocol)의 기반하에 인증 에이전트 시스템(Authentication Agent System)을 이용한 효율적인 인증 방식으로써, 단 한번의 사용자 인증으로 사용하고자 하는 정보 시스템 및 서비스에 재인증 절차 없이 접근할 수 있도록 하는 기능을 안정성 및 효율적인 측면에서 기존의 인증 방식보다 더욱 더 안전한 인증 방법을 제공하는 것이 그 목적이다.Accordingly, the present invention is an efficient authentication method using an authentication agent system based on the Kerberos protocol, which is an industry standard protocol, to an information system and a service to be used with only one user authentication. Its purpose is to provide a more secure authentication method than the existing authentication method in terms of stability and efficiency in terms of accessibility without re-authentication process.

상기한 목적을 달성하기 위한 본 발명은 인터넷 통신망 또는 기타의 유무선 통신망 등으로 연결되어 있으며, 정보의 요청을 승인하는 서버와, 상기 서버에 접속을 요청하는 사용자인 클라이언트와 상기 서버 및 클라이언트 사이의 서비스를 교환하기 위해 필요한 인증 티켓(Ticket) 을 생성하는 인증서버와 클라이언트와 인증 서버간의 상이한 포트구조를 상호 연결시켜 주는인증 에이전트 서버를 포함하여 이루어진 것을 특징으로 한다.The present invention for achieving the above object is connected to the Internet communication network or other wired or wireless communication network, and the like, the server for approving the request for information, a client requesting access to the server and the service between the server and client It comprises an authentication agent server for interconnecting a different port structure between the client and the authentication server and the authentication server for generating an authentication ticket (Ticket) required for exchanging.

상기한 목적을 달성하기 위한 본 발명에 따른 클라이언트는 인증 에이전트에게 정보를 보내어 인증을 요청하는 단계: 상기 클라이언트로부터 수신한 사용자 정보를 포트전환을 통하여 KDC(Key Distribute Center)에게 정보를 보내어 인증을 요청하는 단계: 상기 인증 에이전트로부터 수신한 사용자 정보를 검증하여 사용자에 대한 티켓(Ticket) 을 발급하는 단계:The client according to the present invention for achieving the above object requesting authentication by sending information to the authentication agent: requesting authentication by sending information to the Key Distribute Center (KDC) through port switching of the user information received from the client Verifying the user information received from the authentication agent and issuing a ticket for the user:

상기 KDC 에서 발급한 티켓(Ticket)을 포트전환을 통하여 다시 클라이언트에게 전송하는 단계:상기 KDC(Key Distribute Center)에서 발급한 Ticket을 제시하여 해당 서비스를 제공하는 서버 시스템을 통하여 제공되는 모든 서비스를 추가적인 인증 절차없이 이용할 수 있는 단계를 포함하여 이루어지는 것을 특징으로 한다.Transmitting the ticket issued by the KDC to the client again through port switching: Presenting a ticket issued by the KDC (Key Distribute Center) to add all the services provided through the server system that provides the service Characterized in that it comprises a step that can be used without an authentication procedure.

도 1은 본 발명의 시스템 구성을 도시한 시스템 구성도1 is a system configuration diagram showing a system configuration of the present invention

도 2는 본 발명에 따른 인증에이전트를 이용한 인증방법의 절차도2 is a flow chart of an authentication method using an authentication agent according to the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

1 ; 클라이언트One ; Client

2 ; 인증 에이전트 서버2 ; Authentication Agent Server

3 ; 인증서버3; Certificate Server

4 ; 서버4 ; server

이하, 본 발명의 구체적인 실시예를 첨부한 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

본 발명은 개방형 시스템인 네트워크를 통한 서버와 클라이언트 사이에서의 사용자 인증을 위한 정보교환에서 포트(Port)의 불일치로 인한 정보의 미전달을 해결하기 위하여 인증 에이전트 서버를 이용하여 상호연결을 하도록 하는 인증 방법이다.The present invention is an authentication system for interconnecting using an authentication agent server to solve the undelivered information due to port mismatch in information exchange for user authentication between a server and a client through an open system network. Way.

도 1은 본 발명에 따른 전체 시스템 구성도로서, 도면에서 (1)은 서버에 접속하기 위한 사용자인 클라이언트, (2)는 서버를 각각 도시한다. 클라이언트 시스템과 서버 시스템은 인터넷 통신망 또는 기타의 유무선 통신망 등으로 연결되어 있음을 나타낸다.1 is an overall system configuration diagram according to the present invention, in which (1) shows a client which is a user for connecting to a server, and (2) shows a server, respectively. The client system and the server system are connected to an internet communication network or other wired or wireless communication network.

도 2는 본 발명에 따른 인증 에이전트를 이용한 인증 방식의 절차도로서, 클라이언트와 서버간의 인증에이전트를 통한 인증 방식의 절차는 다음과 같다.2 is a procedure of an authentication method using an authentication agent according to the present invention. The procedure of the authentication method through an authentication agent between a client and a server is as follows.

(20)은 클라이언트는 사용자 정보를 TCP 80 Port 를 이용하여 인증 에이전트에게 전하여 서버를 요청하고, (21)은 인증 에이전트는 수신된 클라이언트 정보를 TCP 88 Port 를 이용하여 인증서버에게 전송하여 인증을 요청한다. (22)는 인증 서버는 클라이언트와 서버간의 인증 티켓Ticket)을 생성하여 TCP 88 Port 를 이용하여 인증 에이전트에게 전달하고, (23)은 인증 에이전트는 인증 서버로부터 수신된 인증 티켓(Ticket)을 TCP 80 Port 를 이용하여 클라이언트에게 전달한다. (24)는 클라이언트는 수신된 인증 티켓(Ticket)을 TCP 80 Port 를 이용하여 인증 에이전트에게 전달하고, (25)는 인증 에이전트는 인증 티켓(Ticket)을 TCP 88 Port 를 이용하여 인증서버에게 전하여 서비스 사용을 위한 티켓(Ticket)을 요청한다. (26)은 인증서버는 TCP 88 Port 를 이용하여 서비스 사용을 위한 티켓(Ticket)을 인증 에이전트에게 전달하고, (27)은 인증 에이전트는 TCP 80 Port 를 이용하여 서비스 이용을 위한 티켓(Ticket)을 클라이언트에게 전달한다. (28)은 클라이언트는 서비스 사용을 위한 티켓(Ticket)을 서버에 제시하고 서비스를 이용하게 된다.(20), the client requests the server by transmitting user information to the authentication agent using TCP 80 Port, and (21) the authentication agent sends the received client information to the authentication server using TCP 88 Port to request authentication. do. (22), the authentication server generates an authentication ticket between the client and the server and delivers it to the authentication agent using the TCP 88 port, and (23) the authentication agent transmits the authentication ticket received from the authentication server to TCP 80 Transfer to client using Port. (24) The client passes the received authentication ticket to the authentication agent using TCP 80 Port, and (25) the authentication agent sends the authentication ticket to the authentication server using TCP 88 Port. Request a ticket for use. (26) The authentication server transmits a ticket for service use to the authentication agent using TCP 88 Port, and (27) the authentication agent sends a ticket to service use using TCP 80 Port. Deliver to client At 28, the client presents a ticket for using the service to the server and uses the service.

상기와 같이 본 발명은 네트워크(Network) 상에서의 상이한 접속포트로 인하여 야기될 수 있는 문제들을 효율적으로 극복하기 위하여 인증 에이전트를 사용하여 정보를 교환하게 되므로 모든 네트워크(Network)에서 커버로스(Kerberos Protocol) 기반의 단일 인증 방식을 사용할 수 있다.As described above, the present invention exchanges information using an authentication agent in order to efficiently overcome problems that may be caused by different access ports on a network. Therefore, the Kerberos protocol is used in all networks. Based single authentication method can be used.

상술한 바와같이 본 발명은 기존의 단일 인증 방식의 단점인 보안상의 취약점과 사용상의 불편함을 보완한 단일 인증 시스템이다. 커버로스(Kerberos)를 이용한 인증 시스템을 이용하면, 사용자의 인증정보를 메모리 상에서 관리하고, 사용자 정보를 OS 수준의 KDC(Key Distribute Center)에서 별도 관리를 하므로써 더 안정성을 보장할 수 있고, 통합적인 사용자 인증 관리 및 사용자 그룹(Group)별 일관화된 보안 정책을 수립할 수가 있다.As described above, the present invention is a single authentication system that compensates for security weaknesses and inconveniences of using the conventional single authentication scheme. With Kerberos authentication system, user's authentication information is managed in memory and user information is managed separately in OS level Key Distribute Center (KDC), so it is more stable and integrated. User authentication management and a consistent security policy can be established for each user group.

Claims (1)

인터넷 통신망 또는 기타의 유무선 통신망 등과 같은 정보를 전달할 수 있는 통신망에 접속되어 있으며, 정보의 요청을 승인하는 서버와,A server connected to a communication network capable of transmitting information such as an internet communication network or other wired or wireless communication network, and which approves a request for information; 상기 서버에 접속을 요청하는 사용자인 클라이언트와,A client which is a user requesting access to the server, 상기 서버 및 클라이언트 사이의 서비스 및 정보를 교환하기 위해 필요한 티켓(Ticket)을 생성하는 인증 서버와,An authentication server for generating a ticket necessary for exchanging services and information between the server and the client; 상기 서버와 클라이언트와 인증 서버간의 상이한 포트구조를 상호 연결시켜 주는 인증 에이전트 서버를 포함하여 이루어진 것을 특징으로 하는 커버로스(Kerberos Protocol) 기반의 단일 인증 방법Kerberos authentication based single authentication method comprising an authentication agent server for interconnecting the different port structure between the server and the client and the authentication server
KR1020010065705A 2001-10-24 2001-10-24 Single Sign-On System with Authentication Agent based Kerberos Protocol KR20030033630A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020010065705A KR20030033630A (en) 2001-10-24 2001-10-24 Single Sign-On System with Authentication Agent based Kerberos Protocol

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020010065705A KR20030033630A (en) 2001-10-24 2001-10-24 Single Sign-On System with Authentication Agent based Kerberos Protocol

Publications (1)

Publication Number Publication Date
KR20030033630A true KR20030033630A (en) 2003-05-01

Family

ID=29566160

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020010065705A KR20030033630A (en) 2001-10-24 2001-10-24 Single Sign-On System with Authentication Agent based Kerberos Protocol

Country Status (1)

Country Link
KR (1) KR20030033630A (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100450405B1 (en) * 2002-08-12 2004-09-30 한국전자통신연구원 A Method for Access Policy Transfer between Routers using Identities
KR100643314B1 (en) * 2004-05-12 2006-11-10 대신증권 주식회사 Method for using communication programs simultaneously as single sign on
US8196193B2 (en) 2007-12-07 2012-06-05 Pistolstar, Inc. Method for retrofitting password enabled computer software with a redirection user authentication method
KR101414312B1 (en) * 2006-05-26 2014-07-04 마이크로소프트 코포레이션 Policy driven, credntial delegat10n for single sign on and secure access to network resources
KR101510475B1 (en) * 2008-11-12 2015-04-08 에스케이커뮤니케이션즈 주식회사 Method and System for Providing Integrated Authentication for Legacy Systems

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100450405B1 (en) * 2002-08-12 2004-09-30 한국전자통신연구원 A Method for Access Policy Transfer between Routers using Identities
KR100643314B1 (en) * 2004-05-12 2006-11-10 대신증권 주식회사 Method for using communication programs simultaneously as single sign on
KR101414312B1 (en) * 2006-05-26 2014-07-04 마이크로소프트 코포레이션 Policy driven, credntial delegat10n for single sign on and secure access to network resources
US8196193B2 (en) 2007-12-07 2012-06-05 Pistolstar, Inc. Method for retrofitting password enabled computer software with a redirection user authentication method
US8397077B2 (en) 2007-12-07 2013-03-12 Pistolstar, Inc. Client side authentication redirection
KR101510475B1 (en) * 2008-11-12 2015-04-08 에스케이커뮤니케이션즈 주식회사 Method and System for Providing Integrated Authentication for Legacy Systems

Similar Documents

Publication Publication Date Title
US7328344B2 (en) Authority-neutral certification for multiple-authority PKI environments
US9215218B2 (en) Systems and methods for secure workgroup management and communication
CA2463034C (en) Method and system for providing client privacy when requesting content from a public server
US9930028B2 (en) Method to enroll a certificate to a device using SCEP and respective management application
US20100154040A1 (en) Method, apparatus and system for distributed delegation and verification
US7260841B2 (en) System and method for maintaining access to content in an encrypted network environment
GB2359969A (en) Automated authentication of communication devices with certificates bound to the device identifier
EP1548614B1 (en) Storage service
JP2000349747A (en) Public key managing method
EP1665725B1 (en) Remote ipsec security association management
CN114051031A (en) Encryption communication method, system, equipment and storage medium based on distributed identity
US7233981B2 (en) System and method for multi-site load-balancing of encrypted traffic
CN111193720A (en) Trust service adaptation method based on security agent
US7526560B1 (en) Method and apparatus for sharing a secure connection between a client and multiple server nodes
KR20030033630A (en) Single Sign-On System with Authentication Agent based Kerberos Protocol
US20090055917A1 (en) Authentication method and authentication system using the same
US7640580B1 (en) Method and apparatus for accessing a computer behind a firewall
Millen et al. Certificate revocation the responsible way
Yeh et al. Applying lightweight directory access protocol service on session certification authority
KR100243657B1 (en) Method for maintaining security in information retrievals
Martinez-Julia et al. Secure identity-to-identity communications over content-centric networking
Moralis et al. A Kerberos security architecture for web services based instrumentation grids
Yannuzzi et al. COLLECTING POWER CONSUMPTION METRICS FROM OPERATIONALLY INACCESSIBLE NETWORKS
Buford et al. Property-Based Peer Trust in the Sleeper Service Discovery Protocol
Hsu Development of an intranet security infrastructure and its application

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination