KR20050044094A - 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법 - Google Patents

스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법 Download PDF

Info

Publication number
KR20050044094A
KR20050044094A KR1020030078653A KR20030078653A KR20050044094A KR 20050044094 A KR20050044094 A KR 20050044094A KR 1020030078653 A KR1020030078653 A KR 1020030078653A KR 20030078653 A KR20030078653 A KR 20030078653A KR 20050044094 A KR20050044094 A KR 20050044094A
Authority
KR
South Korea
Prior art keywords
server
kerberos
authentication
request
user
Prior art date
Application number
KR1020030078653A
Other languages
English (en)
Inventor
김수형
장철수
노명찬
김중배
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020030078653A priority Critical patent/KR20050044094A/ko
Publication of KR20050044094A publication Critical patent/KR20050044094A/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Devices For Checking Fares Or Tickets At Control Points (AREA)

Abstract

본 발명에 따른 단일 인증 시스템은, 커버로스 티켓을 발급하고, 이를 검증하는 커버로스 서버와, 커버로스 티켓, 서비스를 제공하는 서버들의 서버 인증 정보 및 사용자 인증 정보를 저장하며, 사용자의 단말기와 연결되어 상기 단말기로부터 제공되는 인증 요청 정보와 사용자 인증 정보를 이용하여 사용자를 인증한 후 커버로스 티켓과 서버 인증 정보를 연결된 단말기에 제공하는 스마트 카드와, 사용자의 서비스 요청에 따라 사용자로부터 인증 요청 정보를 입력받아 스마트 카드에 제공하고, 스마트 카드에서 제공된 커버로스 티켓이 사용자가 서비스 받고자 하는 요청 서버에 대응되는지의 여부에 따라 서버 인증 정보를 이용하여 커버로스 티켓의 발급을 요청하거나 스마트 카드에서 제공된 커버로스 티켓을 요청 서버에 제공하는 단말기와, 단말기의 커버로스 티켓 발급 요청에 따라 커버로스 서버로부터 요청 서버에 대응되는 커버로스 티켓을 발급받아 단말기에 제공하거나, 단말기에서 제공된 커버로스 티켓을 커버로스 서버를 통해 검증한 후 단말기에 서비스를 제공하는 요청 서버측 장치를 포함한다.
이와 같이, 본 발명은 커버로스 프로토콜 및 스마트 카드에서 제공하는 보안 강도를 유지하면서, 유무선 인터넷 환경 하에 다양한 도메인의 서버로부터 재인증 절차 없이 사용자에게 서비스를 제공할 수 있다.

Description

스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법{SINGLE SIGN-ON SYSTEM AND METHOD WITH SMARTCARD AND KERBEROS}
본 발명은 단일 인증 시스템에 관한 것으로, 특히 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법에 관한 것이다.
정보 통신 기술의 급속한 발전으로 사용자들은 인터넷 공간에서 물건 구매, 티켓팅 서비스 등을 요청하게 되었으며, 필요에 따라 자신의 정보를 인터넷에 연결된 다수의 서비스 서버에 등재한다. 이에 따라 인터넷에서 이루어지는 대부분의 작업에는 사용자 자신이 정당한 사용자임을 증명할 수 있는 인증이 선행되어야한다.
사용자의 인증을 위해, 일반적으로 패스워드 및 인증서 기반 등의 인증 방법이 제공되고 있으며, 최근에는 서버의 관리 지점 및 서비스가 상이한 도메인 환경에서 상호 인증이 가능한 단일 인증 방법들이 사용되고 있다.
단일 인증을 수행하기 위한 방법은, 하나의 서버에서 인증된 사용자의 인증 정보를 쿠키에 저장한 후 사용자가 다른 서버에 대해 서비스를 요청할 때 쿠키에 저장된 정보를 사용하여 사용자가 관여된 인증 절차를 대신하는 방법이 있고, PKI(Public Key Infrastructure) 기반의 인증서를 사용하여 단일 인증을 수행하는 방법 등이 있다.
쿠키를 이용한 단일 인증 방법은, 보통 사용자 식별 기호(ID)와 암호를 통한 인증이 선행되어야 하는데, 이는 개방형 네트워크 환경 하에서 사용자 인증 정보가 노출될 위험을 가지고 있다. 또한 PC방과 같은 공개된 장소에서의 사용자 단말 사용이 여러 사용자에 의해 빈번해짐에 따라 쿠키 보안에 대한 문제점이 노출되고 있다.
인증서 기반의 단일 인증 방법은, 사용자가 공인된 인증 기관을 통해 인증서를 생성하는 복잡한 선행 과정이 필수적으로 요구되며, PKI 기반 인증 프로토콜을 수행하기 위해서 사용자 단말기는 충분한 컴퓨팅 파워를 가져야 하는 단점이 있다.
상기와 같은 단점과 문제점을 해결하기 위해 당업자들은 편리하면서도 보안측면에서도 우수한 단일 인증 기법을 개발하기 위해 연구 노력 중이다.
본 발명의 목적은 연구 결과 안출된 것으로, 유무선 인터넷 환경에서 한번 인증된 사용자에게 발급된 커버로스 티켓을 이용하여 다양한 도메인 환경에서 새로운 인증 절차 없이 인터넷 서비스를 접근할 수 있는 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법을 제공하고자 한다.
상기와 같은 목적을 달성하기 위하여 본 발명은, 적어도 하나 이상 서버들의 인증을 담당하는 커버로스 티켓과 서버 인증 정보를 이용한 단일 인증 시스템에 있어서, 상기 커버로스 티켓을 발급하고, 이를 검증하는 커버로스 서버와, 상기 커버로스 티켓, 서비스를 제공하는 서버들의 서버 인증 정보 및 사용자 인증 정보를 저장하며, 상기 사용자의 단말기와 연결되어 상기 단말기로부터 제공되는 인증 요청 정보와 사용자 인증 정보를 이용하여 사용자를 인증한 후 상기 커버로스 티켓과 서버 인증 정보를 연결된 단말기에 제공하는 스마트 카드와, 상기 사용자의 서비스 요청에 따라 상기 사용자로부터 상기 인증 요청 정보를 입력받아 상기 스마트 카드에 제공하고, 상기 스마트 카드에서 제공된 커버로스 티켓이 상기 사용자가 서비스 받고자 하는 요청 서버에 대응되는지의 여부에 따라 상기 서버 인증 정보를 이용하여 커버로스 티켓의 발급을 요청하거나 상기 스마트 카드에서 제공된 커버로스 티켓을 상기 요청 서버에 제공하는 상기 단말기와, 상기 단말기의 커버로스 티켓 발급 요청에 따라 상기 커버로스 서버로부터 상기 요청 서버에 대응되는 커버로스 티켓을 발급받아 상기 단말기에 제공하거나, 상기 단말기에서 제공된 커버로스 티켓을 상기 커버로스 서버를 통해 검증한 후 상기 단말기에 서비스를 제공하는 상기 요청 서버를 포함한다.
또한, 본 발명은, 적어도 하나 이상 서버들의 인증을 담당하는 커버로스 티켓과 서버 인증 정보가 저장된 스마트 카드와 통신 가능한 단말기를 이용한 단일 인증 방법에 있어서, 상기 스마트 카드와 단말기간의 연결에 따라 상기 단말기로부터 사용자가 입력한 인증 요청 정보를 수신하여 상기 스마트 카드의 사용자를 인증하는 단계와, 상기 인증 결과, 상기 정당한 사용자인 경우 상기 스마트 카드로부터 커버로스 티켓과 서버 인증 정보를 제공받아 상기 단말기의 임시 저장소에 저장하는 단계와, 상기 사용자가 요청 서버에 서비스를 요청함에 따라 상기 임시 저장소의 커버로스 티켓에 상기 요청 서버에 대한 커버로스 티켓이 존재하는지의 여부를 판단하는 단계와, 상기 판단 결과, 상기 임시 저장소에 상기 요청 서버에 대한 커버로스 티켓이 존재하는 경우 상기 커버로스 티켓을 이용하여 상기 요청 서버에 서비스를 요청하는 단계와, 상기 판단 결과, 상기 임시 저장소에 상기 요청 서버에 대한 커버로스 티켓이 존재하지 않은 경우, 상기 서버 인증 정보를 이용하여 상기 요청 서버에 커버로스 티켓을 요청하여 발급받아 이를 이용하여 상기 요청 서버에 서비스를 요청하는 단계를 포함한다.
이하, 첨부된 도면을 참조하여 바람직한 실시 예에 대하여 상세히 설명한다.
도 1은 본 발명에 적용될 스마트 카드와 커버로스를 이용한 단일 인증 시스템을 도시한 개략적인 블록도이다.
도 1에 도시된 바와 같이, 본 발명에 따른 단일 인증 시스템은 크게 사용자측 장치(110), 사용자에게 서비스를 제공하는 서버측 장치(120), 사용자에게 인증 티켓을 발행하는 커버로스 장치(130) 및 사용자측 장치(110)와 서버측 장치(120)를 연결시키는 유무선망(115)으로 구성된다.
사용자측 장치(110)는 인터넷 접속이 가능한 PC, PDA 또는 핸드폰과 같은 유선 단말기(111) 또는 무선 단말기(112)를 사용하여 서버측 장치(120)에 접속하는 수단으로서, 사용자는 이를 이용하여 서버측 장치(120)에 접속하여 서비스를 요구하거나 커버로스 티켓을 요청한다. 이때, 무선 단말기(112)에는 스마트 카드(113)를 탑재하고 있거나 스마트 카드(113)를 삽입할 수 있는 리더 장치를 포함하며, 퍼스널 컴퓨터(111)는 스마트 카드 리더기(114)에 연결되어 사용자의 스마트 카드(113)와 통신할 수 있다.
서버측 장치(120)는 웹 서버(121)와 응용 서버(122)로 구성되며, 웹 서버(121)는 사용자측 장치(110)로부터 서비스 요청을 받은 후 응용 서버(122)와 연동하여 사용자가 요청한 서비스를 통신망(115)을 통해 제공한다. 여기서, 웹 서버(121)와 응용 서버(122)는 단일 시스템으로 구성될 수도 있다.
커버로스 서버(130)는 사용자 인증을 거쳐 사용자에게 커버로스 티켓을 발급하거나 발급된 커버로스 티켓에 대한 검증 절차를 수행한다.
여기서, 커버로스는 개방형 네트워크 하에서 인증 서비스를 제공하는 프로토콜로서, 키 분배 센터(KDC : Key Distribute Center)에 신분을 증명하고 받은 신분 증명서(TGT : Ticket Granting Ticket)를 가지고, 커버로스 하에서 관리되는 다양한 도메인의 서버들에 대해 서비스를 요청할 수 있는 방법을 제공하고 있다.
본 발명에서 스마트 카드(113)는 커버로스 티켓, 서비스를 제공하는 서버들의 서버 인증 정보 및 사용자 인증 정보를 저장하고 있으며, 사용자의 유무선 단말기(111, 112)와 연결되어 유무선 단말기(111, 112)로부터 제공되는 인증 요청 정보와 사용자 인증 정보를 이용하여 사용자를 인증한 후 저장된 커버로스 티켓과 서버 인증 정보를 유무선 단말기(111, 112)에 제공한다.
서버 인증 정보는, 사용자가 임의의 서버에 서비스를 요청한 경우, 요청한 서버에 대한 인증 정보로서, 사용자의 아이디 및 비밀 번호 등과 같은 정보가 될 수 있다.
본 발명에 따른 단일 인증 시스템에서 사용자측 장치(110)인 스마트 카드(113)의 구성은 도 2를 참조하여 설명한다. 도 2는 본 발명에 따른 단일 인증 시스템을 위한 스마트 카드에서 온-카드 에이전트의 구조를 도시한 블록도이다.
스마트 카드(113)에는 스마트 카드 인증 정보가 등록된 온-카드 에이전트(on-card agent)(210)를 탑재하고 있다.
온-카드 에이전트(210)는 스마트카드(113)에서 독립적인 응용으로 존재하며, 그 구성은 스마트 카드(113)의 사용자 인증을 담당하는 온-카드 인증 모듈(211), 스마트 카드(113)의 다른 응용들과 연동하는 온-에이전트 인터페이스 모듈(212), 커버로스 장치(130)에서 발급받은 커버로스 티켓을 저장하는 영구 티켓 저장소(213), 서버 인증 정보 및 비밀 데이터를 저장하는 비밀 정보 저장소(214), 스마트 카드(113)의 기본 정보를 관리하며, 유무선 단말기(111, 112)에서 보내온 각종 명령어를 해석할 수 있는 온-카트 툴킷(215)을 포함한다.
사용자의 유무선 단말기(111, 112)는 사용자가 스마트 카드(113)를 연결한 후 임의의 서버에 대한 서비스 요청에 따라 인증 요청 정보를 입력할 수 있는 인터페이스를 제공하고, 입력된 인증 요청 정보를 스마트 카드(113)에 제공하여 스마트 카드(113)에 대한 사용자 인증을 받은 후 스마트 카드(113)로부터 제공받은 커버로스 티켓과 서버 인증 정보를 이용하여 임의의 서버로부터 인증 요구에 따른 인증을 수행하거나 임의의 서버에 대응되는 커버로스 티켓을 서버에 요청한다.
이러한 사용자측 장치(110)의 유무선 단말기(111, 112)에는 오프-카드 에이전트가 탑재되어 있으며, 이에 대한 설명은 도 3을 참조하여 설명한다. 도 3은 본 발명에 따른 단일 인증 시스템에서 유무선 단말기에 설치된 오프-카드 에이전트의 구성을 도시한 블록도이다.
도 3을 참조하면, 오프-카드 에이전트(220)는 사용자측 장치(110)의 유무선 단말기(111, 112)에서 독립된 응용 또는 특정 응용의 부가 모듈로서 존재하며, 유무선 단말기(111, 112)의 브라우저와 연동하는 브라우저 플러그-인 모듈(221), 특정 응용과 연동하기 위한 인터페이스 혹은 사용자와 직접 상호 작용하는 인터페이스를 제공하는 오프-에이전트 인터페이스 모듈(222), 커버로스 티켓을 단말 세션 동안만 저장하는 임시 티켓 저장소(223), 커버로스 장치(130)로부터 커버로스 티켓을 받기 위해 서버측 장치(120)와 통신하는 커버로스 통신 모듈(224), 스마트 카드(113)의 온-카드 툴킷(215)에 각종 명령을 전달하거나 스마트 카드(113)의 관리 감독 기능을 제공하는 오프-카드 툴킷(225)으로 구성된다.
온-카드 에이전트(210)를 탑재한 스마트 카드(113)와 오프-카드 에이전트(220)를 탑재한 유무선 단말기(111, 112)들 중 어느 하나를 가진 사용자는, 서비스를 요청하고자 하는 서버에 대한 서버 인증 정보를 오프-에이전트 인터페이스 모듈(222)을 통해 오프-카드 에이전트(220)에 전달하면, 전달된 서버 인증 정보는 오프-카드 툴킷(225)을 통해 스마트 카드(113)에 전달된다. 스마트 카드(113)에 전달된 서버 인증 정보는 온-카드 툴킷(215)을 통해 해석된 후 비밀 정보 저장소(214)에 등재된다.
서버측 장치(120)는 유무선 단말기(111, 112)의 커버로스 티켓 발급 요청에 따라 커버로스 서버(130)로부터 사용자가 서비스 받고자 하는 서버에 대응되는 커버로스 티켓을 발급받아 제공하고, 유무선 단말기(111, 112)에서 제공된 커버로스 티켓을 커버로스 서버(130)를 통해 검증받은 후 유무선 단말기(111, 112)에 서비스를 제공한다.
이러한 서버측 장치(120)의 구성은, 도 4에 도시된 바와 같이, 커버로스 서버(130)와 통신 가능한 커버로스 서버 통신 모듈(122), 유무선 단말기(111, 112)와 통신하여 커버로스 티켓 요청을 수신하고 이에 대응되는 커버로스 티켓을 커버로스 서버(130)로부터 수신하여 유무선 단말기(111, 112)에 제공하는 인증 디스패치 모듈(121), 유무선 단말기(111, 112)에서 제공되는 커버로스 티켓을 인증한 후 유무선 단말기(111, 112)가 요청한 서비스를 제공하는 SSO(Single Sign-On) 인증 모듈(123), 인증된 사용자 이름, 주소, 전화번호와 같은 사용자 등록 정보를 SSO 인증 모듈(123)에 제공하는 사용자 관리 모듈(124), 보안 정책을 관리하여 커버로스 티켓 발급 시 티켓 유효 기간 이나 보안 속성을 정의하는 정책 관리자(125)를 포함한다.
이때, 인증 디스패치 모듈(121)은 유무선 단말기(111, 112)의 커버로스 통신 모듈(224)과 통신하여 서버 인증 정보를 이용한 커버로스 티켓 요청을 수신하고, 서버 인증 정보를 이용하여 사용자를 인증한 후 유무선 단말기(111, 112)의 커버로스 티켓 요청을 커버로스 서버 통신 모듈(122)을 통해 커버로스 서버(130)에 제공하고 커버로스 서버(130)에서 발급된 커버로스 티켓을 유무선 단말기(111, 112)에 제공한다. 또한, 인증 디스패치 모듈(121)은 유무선 단말기(111, 112)에서 제공되는 커버로스 티켓을 SSO 인증 모듈(123)에 제공한다.
SSO 인증 모듈(123)은 인증 디스패치 모듈(123)로부터 제공된 커버로스 티켓을 검증하기 위해, 커버로스 서버 통신 모듈(122)을 통해 커버로스 서버(130)와 통신하여 커버로스 티켓을 검증한 후에 유무선 단말기(111, 112)가 요청한 서비스를 제공한다.
이와 같은 구성을 갖는 커버로스를 이용한 단일 인증 시스템의 인증 방법은 도 5를 참조하여 설명한다. 도 5는 본 발명에 따른 커버로스를 이용한 단일 인증 시스템의 사용자 인증 과정을 도시한 흐름도이다.
설명에 앞서, 사용자가 서비스를 요청한 서버(이하, 요청 서버라 함)는 서버측 장치(120)와 동일한 구성 및 기능을 수행한다.
도 5를 참조하면, 먼저 온-카드 에이전트를 탑재한 스마트 카드(113)와 오프-카드 에이전트를 탑재한 유선 또는 무선 단말기(111, 112)를 구비한 사용자는 임의의 서버에 대한 서버 인증 정보, 예를 들면, 비밀번호, 아이디 등을 오프-카드 인터페이스 모듈(222)을 통해 입력하면 서버 인증 정보는 오프-카드 에이전트의 오프-카드 툴킷(225)에 의해 스마트 카드(113)에 전달되며, 스마트 카드(113)의 온-카드 툴킷(215)에 의해 해석되어 비밀 정보 저장소(214)에 저장된다(S500, S502).
이와 같이 서버 인증 정보를 스마트 카드(113)에 등재하는 사전 단계가 완료되면, 사용자측 장치(110)는 사용자가 유선 또는 무선 단말기(111 또는 112)에 삽입한 스마트 카드(113)에 대한 인증 절차를 수행한다(S504).
이러한 스마트 카드(113)의 인증을 위해 먼저, 오프-에이전트 인터페이스 모듈(222)은 사용자의 스마트 카드(113) 인증을 위한 인증 요청 정보를 입력할 수 있는 입력창을 제공하고, 입력창에 입력된 인증 요청 정보는 오프-카드 툴킷(225)에 의해 스마트 카드(113)로 전달된다. 스마트 카드(113)의 온-카드 툴킷(215)은 인증 요청 정보를 해석한 후 온-카드 인증 모듈(211)에 전달하며, 온-카드 인증 모듈(211)은 인증 요청 정보와 기 저장된 사용자 인증 정보를 비교하여 정당한 사용자인지를 판단한다.
이후, 스마트 카드(113)에 대한 인증 절차가 완료되면, 사용자에게 재인증 절차 없이 다양한 도메인을 갖는 서버들로부터 서비스를 제공하기 위하여 오프-카드 에이전트의 오프-카드 툴킷(225)은 서버 인증 정보 및 커버로스 티켓을 수신하기 위한 명령을 스마트-카드(113)에 제공하고, 온-카드 에이전트의 온-카드 툴킷(215)은 오프-카드 툴킷(225)에서 수신된 명령어를 해석한 후 커버로스 티켓과 서버 인증 정보는 유선 또는 무선 단말기(111 또는 112)의 오프-카드 에이전트에 제공된다(S506). 이때, 오프-카드 에이전트로 전달된 서버 인증 정보는 커버로스 통신자(224)에 저장되고, 커버로스 티켓은 임시 티켓 저장소(223)에 저장된다(S508).
사용자가 유선 또는 무선 단말기(111 또는 112)에 설치된 브라우저에 요청 서버를 입력하면 요청 서버에 대한 정보는 브라우저 플러그-인 모듈(221)을 통해 탐지되고, 브라우저 플러그-인 모듈(221)은 요청 서버에 대응되는 커버로스 티켓이 임시 티켓 저장소(223)에 존재하는지를 판단한다(S510). 이때, 사용자가 요청 서버로 서비스를 요청함에 따라 요청 서버는 사용자의 유선 또는 무선 단말기(111 또는 112)에 서비스 이용을 위한 인증을 요청하게 되고, 요청 서버의 인증 요청은 오프-에이전트의 브라우저 플러그-인 모듈(221)에 의해서 감지된다.
단계 S510의 판단 결과, 요청 서버에 대응되는 커버로스 티켓이 임시 티켓 저장소(223)에 존재하지 않으면, 오프-카드 에이전트의 커버로스 통신 모듈(224)은 서버 인증 정보를 토대로 커버로스 티켓 요청 메시지를 생성하여 서버측 장치(120)의 인증 디스패쳐 모듈(121)에 전달하며, 인증 디스패쳐 모듈(121)은 이러한 요청 메시지를 커버로스 서버 통신 모듈(122)을 통해 커버로스 서버(130)에 전송한다(S512). 여기서 서버측 장치(120)는 사용자가 서비스를 요청한 요청 서버측의 장치이다.
커버로스 서버 통신 모듈(122)은 커버로스 서버(130)로부터 커버로스 티켓을 발급받는다. 발급받은 커버로스 티켓은 인증 디스패쳐 모듈(121)을 통해 커버로스 통신 모듈(224)에 전달된다.
이와 같이, 커버로스 통신 모듈(224)에 전달된 커버로스 티켓은 오프-에이전트의 임시 티켓 저장소(223)에 저장됨과 더불어 스마트 카드(113)의 온-카드 에이전트로 전달되고, 온-카드 에이전트에 전달된 커버로스 티켓은 영구 티켓 저장소(213)에 저장된다(S514).
단계 S510의 판단 결과, 임시 티켓 저장소(223)에 요청 서버에 대응되는 커버로스 티켓이 존재하는 경우, 유선 또는 무선 단말기(111 또는 112)의 브라우저 플러그-인 모듈(221)은 요청 서버로부터의 인증 요청을 감지하여 커버로스 티켓을 요청 서버에 전송한다(S516).
요청 서버의 인증 디스패쳐 모듈(121)은 커버로스 티켓을 수신한 후에 이를 SSO 인증 모듈(123)에 전달하고, SSO 인증 모듈(123)은 커버로스 티켓이 유효한지를 판단한다(S518).
단계 S518의 판단 결과, 커버로스 티켓이 유효하지 않은 경우 SSO 인증 모듈(123)은 소정의 에러 메시지를 송출하며, 그렇지 않을 경우 사용자가 요청한 서비스를 제공한다(S520, S522).
이상 설명한 바와 같이, 본 발명은 커버로스 프로토콜 및 스마트 카드에서 제공하는 보안 강도를 유지하면서, 유무선 인터넷 환경 하에 다양한 도메인의 서버로부터 재인증 절차 없이 사용자에게 서비스를 제공할 수 있다.
또한, 본 발명은 무선 단말의 취약한 컴퓨팅 파워에서도 개인 식별번호(ID)/ 암호 기반의 인증보다 큰 보안 강도의 사용자 단일 인증 서비스를 제공할 수 있다.
도 1은 본 발명에 적용될 스마트 카드와 커버로스를 이용한 단일 인증 시스템을 개략적으로 도시한 블록도이고,
도 2는 본 발명에 따른 단일 인증 시스템 구현을 위한 스마트 카드의 내부 구조를 도시한 블록도이고,
도 3은 본 발명에 따른 단일 인증 시스템 구현을 위한 단말기의 내부 구조를 도시한 블록도이고,
도 4는 본 발명에 따른 단일 인증 시스템 구현을 위한 서버측 장치의 내부 구조를 도시한 블록도이고,
도 5는 본 발명에 따른 스마트 카드와 커버로스를 이용한 단일 인증 시스템의 동작 과정을 도시한 흐름도이다.
<도면의 주요부분에 대한 부호의 설명>
100 : 사용자측 장치 111 : 무선 단말기
112 : 유선 단말기 113 : 스마트 카드
120 : 서버측 장치 130 : 커버로스 서버

Claims (7)

  1. 적어도 하나 이상 서버들의 인증을 담당하는 커버로스 티켓과 서버 인증 정보를 이용한 단일 인증 시스템에 있어서,
    상기 커버로스 티켓을 발급하고, 이를 검증하는 커버로스 서버와,
    상기 커버로스 티켓, 서비스를 제공하는 서버들의 서버 인증 정보 및 사용자 인증 정보를 저장하며, 상기 사용자의 단말기와 연결되어 상기 단말기로부터 제공되는 인증 요청 정보와 사용자 인증 정보를 이용하여 사용자를 인증한 후 상기 커버로스 티켓과 서버 인증 정보를 연결된 단말기에 제공하는 스마트 카드와,
    상기 사용자의 서비스 요청에 따라 상기 사용자로부터 상기 인증 요청 정보를 입력받아 상기 스마트 카드에 제공하고, 상기 스마트 카드에서 제공된 커버로스 티켓이 상기 사용자가 서비스 받고자 하는 요청 서버에 대응되는지의 여부에 따라 상기 서버 인증 정보를 이용하여 커버로스 티켓의 발급을 요청하거나 상기 스마트 카드에서 제공된 커버로스 티켓을 상기 요청 서버에 제공하는 상기 단말기와,
    상기 단말기의 커버로스 티켓 발급 요청에 따라 상기 커버로스 서버로부터 상기 요청 서버에 대응되는 커버로스 티켓을 발급받아 상기 단말기에 제공하거나, 상기 단말기에서 제공된 커버로스 티켓을 상기 커버로스 서버를 통해 검증한 후 상기 단말기에 서비스를 제공하는 상기 요청 서버
    를 포함하는 스마트 카드와 커버로스를 이용한 단일 인증 시스템.
  2. 제 1 항에 있어서,
    상기 스마트 카드는,
    상기 단말기에서 제공되는 인증 요청 정보와 상기 사용자 인증 정보의 비교를 통해 사용자를 인증하는 온-카드 인증 모듈과,
    상기 커버로스 티켓이 저장된 영구 티켓 저장소와,
    상기 서버 인증 정보가 저장된 비밀 정보 저장소와,
    상기 단말기에서 송신된 명령어를 해석하는 온-카드 툴킷을 포함하는 온-카드 에이전트가 설치되어 있는 것을 특징으로 하는 스마트 카드와 커버로스를 이용한 단일 인증 시스템.
  3. 제 1 항에 있어서,
    상기 단말기는,
    상기 단말기의 브라우저와 연동하는 브라우저 플러그-인 모듈과,
    상기 스마트 카드의 인증을 위한 인증 요청 정보를 입력받기 위한 인터페이스를 제공하는 오프-에이전트 인터페이스 모듈과,
    상기 서버 인증 정보를 이용하여 커버로스 티켓의 발급을 요청 서버측 장치에 요청하는 커버로스 통신 모듈과,
    상기 스마트 카드에 명령어를 송신하는 오프-카드 툴킷을 포함하는 오프-카드 에이전트가 설치되어 있는 것을 특징으로 하는 스마트 카드와 커버로스를 이용한 단일 인증 시스템.
  4. 제 1 항에 있어서,
    상기 요청 서버측 장치는,
    상기 서버 인증 정보를 이용하여 사용자를 인증한 후, 상기 커버로스 티켓의 발급 요청을 상기 커버로스 서버 통신 모듈을 통해 상기 커버로스 서버에 제공하고, 상기 커버로스 서버에서 발급된 커버로스 티켓을 상기 단말기에 제공하는 인증 디스패치 모듈을 포함하는 것을 특징으로 하는 스마트 카드와 커버로스를 이용한 단일 인증 시스템.
  5. 적어도 하나 이상 서버들의 인증을 담당하는 커버로스 티켓과 서버 인증 정보가 저장된 스마트 카드와 통신 가능한 단말기를 이용한 단일 인증 방법에 있어서,
    상기 스마트 카드와 단말기간의 연결에 따라 상기 단말기로부터 사용자가 입력한 인증 요청 정보를 수신하여 상기 스마트 카드의 사용자를 인증하는 단계와,
    상기 인증 결과, 상기 정당한 사용자인 경우 상기 스마트 카드로부터 커버로스 티켓과 서버 인증 정보를 제공받아 상기 단말기의 임시 저장소에 저장하는 단계와,
    상기 사용자가 요청 서버에 서비스를 요청함에 따라 상기 임시 저장소의 커버로스 티켓에 상기 요청 서버에 대한 커버로스 티켓이 존재하는지의 여부를 판단하는 단계와,
    상기 판단 결과, 상기 임시 저장소에 상기 요청 서버에 대한 커버로스 티켓이 존재하는 경우 상기 커버로스 티켓을 이용하여 상기 요청 서버에 서비스를 요청하는 단계와,
    상기 판단 결과, 상기 임시 저장소에 상기 요청 서버에 대한 커버로스 티켓이 존재하지 않은 경우, 상기 서버 인증 정보를 이용하여 상기 요청 서버에 커버로스 티켓을 요청하여 발급받아 이를 이용하여 상기 요청 서버에 서비스를 요청하는 단계
    를 포함하는 스마트 카드와 커버로스를 이용한 단일 인증 방법.
  6. 제 5 항에 있어서,
    상기 커버로스 티켓을 발급받는 단계는,
    상기 서버 인증 정보를 이용하여 상기 커버로스 티켓 요청한 사용자를 인증하는 단계와,
    상기 인증 결과, 유효한 사용자인 경우 커버로스 서버로부터 커버로스 티켓을 발급받은 후 이를 상기 단말기에 제공하는 단계를 포함하는 것을 특징으로 하는 스마트 카드와 커버로스를 이용한 단일 인증 방법.
  7. 제 5 항에 있어서,
    상기 요청 서버로부터 제공받은 커버로스 티켓은,
    상기 단말기에 의해 상기 스마트 카드에 저장되는 것을 특징으로 하는 스마트 카드와 커버로스를 이용한 단일 인증 방법.
KR1020030078653A 2003-11-07 2003-11-07 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법 KR20050044094A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020030078653A KR20050044094A (ko) 2003-11-07 2003-11-07 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020030078653A KR20050044094A (ko) 2003-11-07 2003-11-07 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR20050044094A true KR20050044094A (ko) 2005-05-12

Family

ID=37244498

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020030078653A KR20050044094A (ko) 2003-11-07 2003-11-07 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR20050044094A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101520191B1 (ko) * 2013-11-27 2015-05-14 포항공과대학교 산학협력단 컴퓨터 시스템 보안을 강화하는 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101520191B1 (ko) * 2013-11-27 2015-05-14 포항공과대학교 산학협력단 컴퓨터 시스템 보안을 강화하는 장치 및 방법

Similar Documents

Publication Publication Date Title
CN103259667B (zh) 移动终端上eID身份认证的方法及系统
CN104378210B (zh) 跨信任域的身份认证方法
CN100486199C (zh) 提供集中式登录的方法和登录服务器
AU2002251480B2 (en) Terminal communication system
JP4508331B2 (ja) 認証代行装置、認証代行方法、認証代行サービスシステム、及びコンピュータ読取可能な記録媒体
KR100529550B1 (ko) 공개키 기반 구조 인증시스템에서 생체정보를 이용한인증서 권한 변경 방법
US20190251561A1 (en) Verifying an association between a communication device and a user
US20150119019A1 (en) Method and Device for Control of a Lock Mechanism Using a Mobile Terminal
CN102143134A (zh) 分布式身份认证方法、装置与系统
CN107395634B (zh) 一种可穿戴设备的无口令身份认证方法
KR20100021818A (ko) 임시 식별정보를 이용한 사용자 인증 방법 및 시스템
KR20210095093A (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
JP4857657B2 (ja) アクセス管理システム、および、アクセス管理方法
KR102372503B1 (ko) 탈중앙화 아이디 앱을 이용하여 인증 서비스를 제공하는 방법 및 이를 이용한 탈중앙화 아이디 인증 서버
KR100858146B1 (ko) 이동통신 단말기 및 가입자 식별 모듈을 이용한 개인 인증방법 및 장치
KR101803535B1 (ko) 일회용 토큰을 이용한 싱글 사인온 서비스 인증방법
KR100324248B1 (ko) 지문을 이용한 인터넷 인증 시스템 및 그 방법
CN102083066A (zh) 统一安全认证的方法和系统
KR101611099B1 (ko) 본인 실명 확인을 위한 인증 토큰 발급 방법, 인증 토큰을 이용하는 사용자 인증 방법 및 이를 수행하는 장치
KR20150135171A (ko) 고객 전화번호 입력에 기초한 로그인 처리 시스템 및 그 제어방법
KR20180039037A (ko) 온라인 서비스 서버와 클라이언트 간의 상호 인증 방법 및 시스템
KR20180037168A (ko) Otp를 이용한 상호 인증 방법 및 시스템
KR20050044094A (ko) 스마트 카드와 커버로스를 이용한 단일 인증 시스템 및 방법
KR100982181B1 (ko) 오티피 통합 인증 처리 시스템과 그 제어방법
Terbu et al. One mobile ID to secure physical and digital Identity

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application