KR20070109040A - System and method for secure web service using double enforcement of user authentication - Google Patents

System and method for secure web service using double enforcement of user authentication Download PDF

Info

Publication number
KR20070109040A
KR20070109040A KR1020060041504A KR20060041504A KR20070109040A KR 20070109040 A KR20070109040 A KR 20070109040A KR 1020060041504 A KR1020060041504 A KR 1020060041504A KR 20060041504 A KR20060041504 A KR 20060041504A KR 20070109040 A KR20070109040 A KR 20070109040A
Authority
KR
South Korea
Prior art keywords
web service
security management
service server
user authentication
client
Prior art date
Application number
KR1020060041504A
Other languages
Korean (ko)
Other versions
KR100850506B1 (en
Inventor
유상봉
신우철
Original Assignee
인하대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인하대학교 산학협력단 filed Critical 인하대학교 산학협력단
Priority to KR1020060041504A priority Critical patent/KR100850506B1/en
Publication of KR20070109040A publication Critical patent/KR20070109040A/en
Application granted granted Critical
Publication of KR100850506B1 publication Critical patent/KR100850506B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • G06F21/128Restricting unauthorised execution of programs involving web programs, i.e. using technology especially used in internet, generally interacting with a web browser, e.g. hypertext markup language [HTML], applets, java
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Abstract

A system and a method for securing a web service by using double enforcement of user authentication are provided to use safe and more effective web services by doing key exchange and user authentication at once without any special transmission policy. A system for securing web service using double enforcement of user authentication included a client, a security management web service server(200) and a web service server(300). The client offers user authentication information to the security management web service server after the first encryption of the user authentication information with a public key and the second encryption of the first encrypted user authentication information with a random matching key. The security management web service server offers the public key to the client. The security management web service server authenticates users by the second decryption with a private key after the first decryption of the encrypted user authentication information offered from the client with the random matching key offered from the client. The web service server encrypts a web service message exchanged with the client with the random matching key offered from the security management web service server when users request a web service.

Description

사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템 및 방법{SYSTEM AND METHOD FOR SECURE WEB SERVICE USING DOUBLE ENFORCEMENT OF USER AUTHENTICATION}SYSTEM AND METHOD FOR SECURE WEB SERVICE USING DOUBLE ENFORCEMENT OF USER AUTHENTICATION}

도 1은 일반적인 웹 서비스 스펙 구성도.1 is a schematic diagram of a typical web service specification.

도 2는 웹 서비스의 일반적인 프로그램 접근도.2 is a general program access diagram of a web service.

도 3은 일반적인 하이브리드 암호화 기법을 이용한 암호화 방법을 나타낸 도.3 is a diagram illustrating an encryption method using a general hybrid encryption technique.

도 4는 본 발명에 따른 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템의 구성도.4 is a block diagram of a security management web service system for dual reinforcement of user authentication according to the present invention;

도 5는 본 발명의 전반적인 동작 흐름도.5 is a general operational flow diagram of the present invention.

도 6은 본 발명의 사용자 인증 정보의 암호화 과정의 상세 흐름도.6 is a detailed flowchart of an encryption process of user authentication information of the present invention.

도 7은 본 발명의 사용자 인증 정보의 암호화 과정의 모식도.7 is a schematic diagram of a process of encrypting user authentication information of the present invention.

도 8은 본 발명의 사용자 인증 과정의 상세 흐름도.8 is a detailed flowchart of the user authentication process of the present invention.

도 9는 본 발명의 랜덤 대칭키 교환의 모식도.9 is a schematic diagram of a random symmetric key exchange of the present invention.

도 10은 본 발명의 사용자 인증 과정의 모식도.10 is a schematic diagram of a user authentication process of the present invention.

도 11은 본 발명의 사용자의 웹 서비스 요청에 따른 키 전달 및 서비스 개시 과정의 상세 흐름도.11 is a detailed flowchart illustrating a key delivery and service initiation process according to a web service request of a user of the present invention.

도 12는 SOAP 메시지 암호화 전달 예를 나타낸 도.12 illustrates an example SOAP message encryption delivery.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

100 : 클라이언트 110 : 랜덤 대칭키100: client 110: random symmetric key

120 : 사용자 인증 정보 130 : 1차 암호화된 사용자 인증 정보120: user authentication information 130: primary encrypted user authentication information

140 : 2차 암호화된 사용자 인증 정보 140: secondary encrypted user authentication information

200 : 보안 관리 웹 서비스 서버 210 : 공개키       200: security management web service server 210: public key

220 : 개인키220: private key

230 : 보안 관리 웹 서비스 서버의 데이터베이스 230: Database on the Security Administration Web Service Server

300 : 웹 서비스 서버 300: web service server

본 발명은 웹 서비스 시스템 및 방법에 관한 것으로, 특히 통상의 웹 서비스와는 별도로 보안 관리 웹 서비스를 둠으로써 사용자 인증의 이중 강화 및 메시지 보안을 강화하고 이를 실제 웹 서비스와 분산처리 함으로써 그 부하를 줄여서 안전하고도 보다 효율적인 웹 서비스를 구현할 수 있도록 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템 및 방법에 관한 것이다.The present invention relates to a web service system and method, and in particular, by separately placing a security management web service apart from a normal web service, to enhance the duplication of user authentication and message security and to reduce the load by distributing it with the actual web service. The present invention relates to a security management web service system and method for double reinforcement of user authentication to enable a secure and more efficient web service.

최근 XML기반의 웹 서비스(Web Service)가 기업 내 또는 기업간 통합 서비스 문제를 해결해주는 차세대 e-비즈니스의 기반으로 급부상하고 있다. 과거 시스템들은 메인 프레임 서버가 모든 정보를 중앙에서 집중하여 처리하는 자립형(stand-alone) 방식을 사용하여 왔으며, 최근까지도 서버-클라이언트 방식이 주류를 이루고 있다. 이러한 과거 시스템은 대부분 폐쇄적 네트워크를 사용하고 있으며, 시스템 자체의 유연성이 없는 매우 고정적인 아키텍쳐를 채택하고 있어서 웹 브라우저를 통해 각종 데이터를 조회한다든가 다른 시스템의 데이터를 가져와 가공하거나 분석하는 등의 작업을 할 수가 없었다. Recently, XML-based web services have emerged as the foundation of next-generation e-business that solves the problem of integrated services within or between companies. In the past, systems have used a stand-alone approach in which mainframe servers centrally process all information. Until recently, server-client approaches have become mainstream. Most of these past systems use a closed network and adopt a very fixed architecture that does not have the flexibility of the system itself, so that various data can be viewed through a web browser or processed or analyzed by importing data from another system. I could not.

가트너그룹에 따르면 전세계 기업들의 중요 업무 시스템 가운데 네트워크에 연결된 시스템은 20%에 불과하며, 나머지 80%는 서버-클라이언트 개념의 폐쇄된 시스템을 사용하는 것으로 나타났다.According to the Gartner Group, only 20% of the world's critical business systems are networked, and the remaining 80% use server-client closed systems.

최근에는 기업의 IT투자 확대에 따라 기업 내에서도 다수의 이질적인 시스템을 도입하면서 기업의 시스템이 산재해 있으며, 이러한 분산 시스템을 통합하고자 많은 노력을 기울이고 있다. 이렇게 산재해 있는 개별적인 어플리케이션을 효율적으로 통합하는 대안으로 떠오르고 있는 것이 웹 서비스이다.In recent years, as the company's IT investment has expanded, many systems have been introduced in the enterprise, and many of them are scattered, and many efforts have been made to integrate these distributed systems. Web services are emerging as an alternative to efficiently integrating these scattered individual applications.

웹 서비스의 정의는 공급업체 및 관련 단체에 따라 다양한 정의를 제시하고 있으며, 이러한 정의들을 포괄하여 제시한 일반적인 정의는 다음과 같다.The definition of web service suggests various definitions according to suppliers and related organizations, and the general definitions including these definitions are as follows.

웹 서비스란 인터넷을 이용한 오픈 네트워크를 통해 단일한 비즈니스 또는 다수의 비즈니스 업체간의 기존 컴퓨터 시스템 프로그램을 결합시키는 표준화된 소프트웨어 기술로서 이러한 표준 기술을 이용해 모든 비즈니스를 가능케 하는 활동을 일컫는다. 웹 서비스는 PC, PDA, 핸드폰 등 다양한 디바이스를 통해서 접근할 수 있으며, 주문관리 소프트웨어 신용정보 서비스 등 다양한 어플리케이션 프로그램과 연동해 사용할 수 있다. 웹 서비스는 기존의 다른 소프트웨어처럼 완벽한 정의를 지정하여 구성하는 것이 아니라 서로 주고받는 데이터 표준에 대한 정의를 규정함으로써 매우 유연하다. 인터넷상에서 웹 서비스는 거래업체간의 이질적인 운영시스템, 이질적인 프로그램언어간의 커뮤니케이션 차이를 극복해주는 연결고리 역할을 해준다.Web services are standardized software technologies that combine existing computer system programs between a single business or a number of business entities over an open network using the Internet, and are activities that enable all businesses to use these standard technologies. Web services can be accessed through various devices such as PCs, PDAs, and mobile phones, and can be used in conjunction with various application programs such as order management software and credit information services. Web services are very flexible by defining the definitions of the data standards they exchange with each other, rather than specifying and configuring complete definitions like other software. On the Internet, web services serve as a link to bridge communication gaps between disparate operating systems and heterogeneous programming languages.

웹 서비스의 특징을 살펴보면 다음과 같다.The characteristics of web services are as follows.

첫째, 시스템 구조의 유연성이다. 과거의 메인 프레임 또는 기존 서버-클라이언트 방식은 폐쇄적이면서도 소프트웨어 구조가 단단히 묶어져 있는(tightly coupled) 고정적 시스템이었으나, 웹 서비스는 유연한(loosely coupled) 소프트웨어 구조를 통해 이질적인 데이터 표준을 유연하게 통합하여 운영해준다.First is the flexibility of the system structure. In the past, the mainframe or traditional server-client approach was a closed, tightly coupled, fixed system, but Web services provide flexible integration of heterogeneous data standards through a loosely coupled software architecture. .

둘째, 사용의 편리성이다. 웹 서비스는 사용자가 소프트웨어를 설치한 후에는 사용자가 느끼지 못할 정도로 자연스럽게 서비스를 제공받으며 인터넷을 연결할 수 있는 유.무선 단말기를 통해 시간과 장소에 관계없이 웹 서비스에 접근하여 다양한 서비스를 제공받을 수 있다.Second is the ease of use. The web service is provided with services that users do not feel after installing the software, and can access various web services regardless of time and place through wired / wireless terminals that can connect to the Internet. .

셋째, 기존 시스템의 통합 환경을 제공한다는 것이다. 기존에 자사가 보유하고 있는 내부 또는 외부 이질적인 어플리케이션간의 통합 서비스를 제공받을 수 있으며, 새로운 비즈니스 파트너간의 시스템과의 통합도 자동적으로 이루어지게 된다. 특히, 웹 서비스는 새로운 시스템을 구축하는 것이 아니라 기존에 존재하고 있 는 시스템을 통합하여 운영해 줌으로써 기업에게 다양한 이점을 제공해줄 것이다.Third, it provides an integrated environment of existing systems. You can get integration services between your own internal or external heterogeneous applications, and the integration between the new business partners and the system is automatic. In particular, Web services will provide various benefits to companies by integrating and operating existing systems rather than building new ones.

넷째, 비용 효율적이라는 것이다. 웹 서비스는 분산 시스템의 소프트웨어간의 통합을 자동화적으로 이행해줌으로서 개별 기업마다 투입해야하는 IT 개발 및 운영비용을 절감해주고, 상호 연결된 작업을 기존에 비해 훨씬 빠르고, 유연하며 효율적으로 제공해주면서 기업의 비즈니스 프로세스를 효율적으로 개선해줄 것이다.Fourth, it is cost effective. Web services automate the integration of software in distributed systems, reducing IT development and operational costs for each enterprise, and providing interconnected tasks much faster, more flexible, and more efficient than ever before. Will improve your efficiency.

현재 W3C가 추진 중인 웹 서비스 표준 규약에서 웹 서비스의 아키텍쳐를 구성하고 있는 기본적인 표준들은 HTTP(Hypertext transfer protocol), XML(eXtensible Markup Language), SOAP(Simple Object Access Protocol), WSDL(Web Service Description Language), UDDI(Universal Discovery Description and Integration) 등이 있다.The basic standards that make up the architecture of Web services in the W3C's web service standard protocols are Hypertext Transfer Protocol (HTTP), eXtensible Markup Language (XML), Simple Object Access Protocol (SOAP), and Web Service Description Language (WSDL). And Universal Discovery Description and Integration (UDDI).

웹 서비스를 만들 때 사용되는 표준 프로토콜로 구성된 몇 가지 스펙이 있으며, 도 1은 현재 존재하는 웹 서비스 스펙을 나타낸 것이다.There are several specifications consisting of standard protocols used when creating web services, and FIG. 1 shows the existing web service specifications.

현재 웹 사이트는 웹 브라우져를 통해 사람에 의해서 접근되지만, 웹 서비스는 컴퓨터 프로그램을 통해서 접근되며, 웹 서비스는 어떠한 응용프로그램 로직이나 코드를 공개한다. 웹 서비스는 하나의 프로그램을 통해서 접근된다. 그 프로그램은 웹 응용프로그램, 윈도우 응용프로그램 등 도 1에 표시된 모든 유형의 응용프로그램이 될 수 있다. 응용프로그램은 조직의 내부 웹 서비스나 제휴업체들로부터 제공된 외부 웹 서비스, 또는 일반적인 빌딩 블록 서비스를 사용할 수 있다. 웹 서비스는 다른 웹 서비스에 의해서 사용될 수도 있다. 도 2는 웹 서비스의 일반적인 프로그램 접근도를 나타낸 것이다.Currently, web sites are accessed by people through web browsers, but web services are accessed through computer programs, which expose some application logic or code. Web services are accessed through a program. The program can be any type of application shown in Figure 1, such as a web application, a window application. Applications can use your organization's internal web services, external web services from affiliates, or generic building block services. Web services may be used by other web services. 2 illustrates a general program access diagram of a web service.

한편, 웹 서비스 메시지 보안(WS-Security)의 목표는 안전한 SOAP 메시지 교환을 하도록 하는 것이다. 이것은 보안 프로토콜의 범위를 세우는데 사용할 수 있는 다양한 메커니즘을 제공하지만 특정하게 고정된 보안 프로토콜을 설명하진 않는다. 다시 말해 웹 서비스 메시지 보안의 초점은 세션 성립, 보안 context 및 정책 동의 가정 하에서 메시지 보안을 제공하는 단일 메시지 보안 언어를 설명한다. On the other hand, the goal of Web Services Message Security (WS-Security) is to enable secure SOAP message exchange. It provides a variety of mechanisms that can be used to establish a range of security protocols, but it does not describe specific fixed security protocols. In other words, the focus of web service message security describes a single message security language that provides message security under the assumption of session establishment, security context, and policy agreement.

신뢰성, 무결성과 관련된 메시지 보호는 보안에서의 주관심사이다. 이 메시지 보안 모델은 SOAP 메시지의 헤더, 바디 또는 헤더와 바디를 조합하여 암호화 하거나 서명함으로써 메시지를 보호하는 수단을 제공한다. 메시지의 무결성은 메시지의 변형 탐지를 보장하는 보안 토큰과 결합된 XML Signature에 의해 보장 받을 수 있으며, 메시지의 신뢰성은 SOAP 메시지의 신뢰를 유지하기 위해 보안 토큰과 결합된 XML Encryption에 의해 보장받을 수 있다. Message protection with regard to reliability and integrity is the subject of security. This message security model provides a means to protect a message by encrypting or signing the header, body, or a combination of headers and bodies of a SOAP message. The integrity of the message can be ensured by an XML Signature combined with a security token that guarantees tamper detection of the message, and the authenticity of the message can be guaranteed by XML Encryption combined with a security token to maintain the trust of the SOAP message. .

SOAP 메시지의 Encryption은 바디 블록, 헤더 블록, 이들의 어느 하부 구조의 조합들을 보내는 자와 받는 자에 의해 공유된 대칭키를 이용하여 암호화 하거나 대칭키를 암호화된 양식에 의해 전달하기 위한 명세이다.Encryption of a SOAP message is a specification for encrypting a body block, a header block, or any combination of infrastructures thereof, using a symmetric key shared by the sender and the receiver, or by transferring the symmetric key in an encrypted form.

암호화된 SOAP 메시지를 생성하는 일반적인 단계는 다음과 같다.The general steps for creating an encrypted SOAP message are as follows:

(1) 새로운 SOAP 엔벨로프(envelope)를 만든다.(1) Create a new SOAP envelope.

(2) <wsse:Security> 헤더를 만든다.(2) Create a <wsse: Security> header.

(3) 암호화할 아이템을 위치시킨다.(3) Locate the item to be encrypted.

(4) 아이템들을 암호화하고 암호화한 데이터를 <xenc:EncryptedData>로 대체시킨다.(4) Encrypt the items and replace the encrypted data with <xenc: EncryptedData>.

(5) 생성된 <xenc:EncryptedData> 엘리먼트를 참조하는 <xenc: DataReference> 엘리먼트를 만든다.(5) Create an <xenc: DataReference> element that references the generated <xenc: EncryptedData> element.

(6) 암호화 되지 않은 나머지 데이터를 복사한다.(6) Copy the rest of the unencrypted data.

암호화된 SOAP 메시지를 복호화 하는 일반적인 단계는 다음과 같다.The general steps for decrypting an encrypted SOAP message are as follows:

(1) 메시지를 받은자가 소유하고 있는 복호화 키를 확인하고 복호하 해야 할 메시지의 엘리먼트를 확인한다.(1) Identify the decryption key owned by the recipient of the message, and identify the element of the message to be decrypted.

(2) <xenc:EncryptedData>를 찾는다.(2) Find <xenc: EncryptedData>.

(3) XML Encryption 규칙에 따라서 SOAP 엔벨로프 내의 각 암호화 된 엘리먼트를 복호화 한다.(3) Decrypt each encrypted element in the SOAP envelope according to the XML Encryption rules.

또한, 공개키 기반의 암호화 기법은 키 분배의 문제점을 잘 풀었지만 고비용이 드는 거대한 대수학적인 오퍼레이션을 사용해야 한다. 이와 상대적으로 대칭키 암호화 기법은 훨씬 효율적이다. 일반적으로 볼 때 공개키 기반의 암호화 기법은 대칭키 암호화 기법에 비해 훨씬 계산이 복잡하고 느리다.In addition, public key-based cryptography solves the problem of key distribution well, but requires the use of large, expensive algebraic operations. In contrast, symmetric key cryptography is much more efficient. In general, public key-based cryptography is much more complicated and slower than symmetric key cryptography.

하이브리드 암호화 기법은 큰 데이터를 공개키 기법으로 암호화 하는 대신에 수신자는 대칭 암호를 사용하여 큰 데이터를 암호화 하고, 대신에 대칭키를 공개키 기법으로 암호화 하는 것이다. 그 후, 두 데이터를 수신자에게 보낸다. 이것의 장점은 공개키 방식의 느린 계산시간을 줄여주며, 동시에 키 분배 문제를 해결해 준다는 것이다. 두 암호화 된 아이템을 받으면, 수신자는 먼저 대칭키를 자신의 개인 키로 해독하고 나서 큰 데이터는 대칭키 기법을 이용하여 해독한다. 도 3은 하이브리드 암호화 기법을 이용한 암호화를 도식적으로 나타낸 것이다.In hybrid encryption, instead of encrypting large data using public key technique, the receiver encrypts large data using symmetric cipher, and instead encrypts symmetric key using public key technique. Then send both data to the receiver. The advantage of this is that it reduces the computation time of the public key method and solves the key distribution problem. Receiving two encrypted items, the receiver first decrypts the symmetric key with its private key and then decrypts the large data using the symmetric key technique. 3 schematically illustrates encryption using a hybrid encryption technique.

실제 하이브리드 암호화 기법이 많이 사용되고 있으며, 그 예로 전자 봉투(Digital envelope), SSL(Secure Sockets Layer) 프로토콜 등이 있다.In practice, many hybrid encryption techniques are used, for example, the digital envelope and the Secure Sockets Layer (SSL) protocol.

안전한 웹 서비스를 이용하기 위해 기존에 나와 있는 보안 표준 기술인 메시지 보안, 보안 정책, 프라이버시 보호, 신뢰 관리 등 여러 가지 기술이 나와 있으나, 이것을 모두 구현하기에는 많은 노력이 필요하며 복잡하다. 주로 이용되는 웹 서비스 보안 기술에는 웹 서비스 메시지에 SAML(Security Assertion Markup Language), Keberos 등의 보안 토큰을 내장하여 보안 토큰을 개별적으로 처리하는 방법 등이 실제로 쓰이고 있으나, 이 또한 XML을 이용하는 웹 서비스의 경우 스트링 처리 등 종래의 암호화 기법 그대로 쓰기에는 여전히 처리방법도 복잡하고 다른 부가 기술을 이용해야 하는 등 성능 저하의 우려도 있다.There are various technologies such as message security, security policy, privacy protection, and trust management that are existing security standard technologies for using secure web services. However, all of them are very difficult and complicated to implement. Commonly used web service security technologies include security tokens such as SAML (Security Assertion Markup Language) and Keberos embedded in web service messages to handle security tokens individually. In the case of using a conventional encryption technique such as string processing, the processing method is still complicated and there is a fear of deterioration of performance, such as using another additional technology.

사용자 인증 관점에서 볼 때 하이브리드 암호 기법 또한 문제가 발생 할 수 있다. 랜덤 대칭키로 사용자 인증 정보를 암호화 한다고 해도 그것을 가로챈다면 사용자 인증 정보를 복호화 할 가능성이 있으며, 이는 보안상의 문제를 야기할 수 있다.In terms of user authentication, hybrid cryptography can also be problematic. Even if the user authentication information is encrypted with a random symmetric key, if it is intercepted, there is a possibility of decrypting the user authentication information, which may cause a security problem.

본 발명은 이러한 점을 감안한 것으로, 본 발명의 목적은 실제 웹 서비스와 별도로 보안을 위해 보안 관리 웹 서비스를 구성하여 사용자 인증을 이중으로 강화 하고 이를 바탕으로 랜덤키를 교환하여 실제 웹 서비스 간에는 이를 이용하여 메시지 보안을 강화하고 실제 서비스를 제공하는 웹 서비스 서버의 부하를 분산시킬 수 있도록 한 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템 및 방법을 제공함에 있다.The present invention has been made in view of this point, and an object of the present invention is to configure a security management web service for security separately from the actual web service to double user authentication, and to exchange random keys based thereon to use it among the actual web services. The present invention provides a security management web service system and method for double reinforcement of user authentication to enhance message security and to load balance web service servers that provide real services.

상기 목적을 달성하기 위한 본 발명에 따른 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템은, 공개키로 사용자 인증 정보를 1차 암호화하며, 랜덤 대칭키로 상기 1차 암호화된 사용자 인증 정보를 2차 암호화하여 보안 관리 웹 서비스 서버로 제공하는 클라이언트; 상기 공개키를 클라이언트에 제공하며, 상기 클라이언트로부터 제공된 랜덤 대칭키를 바탕으로 상기 클라이언트로부터 제공된 암호화된 사용자 인증 정보를 1차 복호화한 후, 개인키로 2차 복호화하여 사용자를 인증하는 보안 관리 웹 서비스 서버; 및 사용자의 웹 서비스 요청시 상기 보안 관리 웹 서비스 서버로부터 랜덤 대칭키를 제공받아 상기 클라이언트와의 웹 서비스 메시지를 암호화하는 실제 웹 서비스 서버;로 구성됨을 특징으로 한다.Security management web service system for dual reinforcement of user authentication according to the present invention for achieving the above object, the first encryption of the user authentication information with a public key, the second encryption of the first encrypted user authentication information with a random symmetric key Client to provide to the security management web service server; A security management web service server providing the public key to a client, first decrypting encrypted user authentication information provided from the client based on a random symmetric key provided from the client, and secondly decrypting the private user with a private key. ; And a real web service server that receives a random symmetric key from the security management web service server and encrypts a web service message with the client when a user requests a web service.

상기 랜덤 대칭키는 사용자 인증이 필요한 경우 상기 클라이언트에서 랜덤하게 생성되며, 상기 개인키는 상기 보안 관리 웹 서비스 서버의 개인키이다.The random symmetric key is randomly generated in the client when user authentication is required, and the private key is a private key of the security management web service server.

상기 보안 관리 웹 서비스 서버는 사용자 인증 정보인 사용자 ID와 이에 대응되는 랜덤 대칭키가 쌍으로 저장되는 데이터베이스를 구비하며, 상기 보안 관리 웹 서비스 서버는 상기 사용자 ID와 랜덤 대칭키 쌍의 동일한 시간에 중복 불가, 동일한 랜덤 대칭키의 사용 불가의 제약조건을 바탕으로 상기 제약조건을 어긴 클라이언트의 IP를 차단한다.The security management web service server includes a database in which a user ID, which is user authentication information, and a random symmetric key corresponding thereto are stored in pairs, and the security management web service server overlaps the same time of the user ID and a random symmetric key pair. No. Based on the constraint of not using the same random symmetric key, the IP of the client that violates the constraint is blocked.

상기 목적을 달성하기 위한 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법은, 클라이언트가 보안 관리 웹 서비스 서버로부터 제공되는 공개키를 바탕으로 사용자 인증 정보를 1차 암호화 한 후, 랜덤 대칭키로 상기 1차 암호화된 사용자 인증 정보를 2차 암호화하여 2차 암호화된 사용자 인증 정보를 상기 보안 관리 웹 서비스 서버로 제공하는 제1과정; 상기 클라이언트와 보안 관리 웹 서비스 서버간 랜덤 대칭키의 교환 후, 상기 보안 관리 웹 서비스 서버가 상기 랜덤 대칭키를 바탕으로 상기 클라이언트로부터 제공된 암호화된 사용자 인증 정보를 1차 복호화한 후, 보안 관리 웹 서비스 서버의 개인키로 2차 복호화하여 사용자를 인증하는 제2과정; 및 상기 사용자 인증 후, 사용자가 웹 서비스 서버에 웹 서비스 요청시 상기 웹 서비스 서버가 상기 보안 관리 웹 서비스 서버로부터 제공되는 랜덤 대칭키로 웹 서비스 메시지를 암호화하여 클라이언트와 교환하는 제3과정;을 포함하는 것을 특징으로 한다.Security management web service method for dual strengthening of user authentication to achieve the above object, the client first encrypts the user authentication information based on the public key provided from the security management web service server, the random symmetric key 1 Firstly encrypting the second encrypted user authentication information and providing second encrypted user authentication information to the security management web service server; After the exchange of the random symmetric key between the client and the security management web service server, the security management web service server first decrypts the encrypted user authentication information provided from the client based on the random symmetric key, and then the security management web service. A second step of authenticating the user by second decrypting with the private key of the server; And a third step of, after the user authentication, when the user requests a web service from a web service server, the web service server encrypts a web service message with a random symmetric key provided from the security management web service server and exchanges the message with a client. It is characterized by.

상기 제1과정에서 상기 2차 암호화된 사용자 인증 정보와 더불어 사용자 ID로 함께 상기 보안 관리 웹 서비스 서버로 제공되며, 상기 제2과정에서 상기 클라이언트와 보안 관리 웹 서비스 서버간 랜덤 대칭키의 교환시 상기 클라이언트는 상기 랜덤 대칭키를 사용자 ID와 함께 상기 보안 관리 웹 서비스 서버의 공개키로 암호화하여 상기 보안 관리 웹 서비스 서버로 제공한다.In the first process, the second encrypted user authentication information is provided to the security management web service server together with the user ID. In the second process, the random symmetric key is exchanged between the client and the security management web service server. The client encrypts the random symmetric key with the user ID with the public key of the security management web service server and provides the random symmetric key to the security management web service server.

상기 보안 관리 웹 서비스 서버는 상기 클라이언트로부터 제공받은 상기 공개키로 암호화된 정보를 자신의 개인키로 복호화하여 사용자 ID와 이에 대응되는 랜덤 대칭키 쌍을 데이터베이스에 저장한다.The security management web service server decrypts the information encrypted with the public key provided from the client with its private key, and stores a user ID and a corresponding random symmetric key pair in a database.

이하, 본 발명의 바람직한 실시 예를 첨부된 도면을 참조하여 보다 상세하게 설명한다. 단, 하기 실시 예는 본 발명을 예시하는 것일 뿐 본 발명의 내용이 하기 실시 예에 한정되는 것은 아니다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the following examples are merely to illustrate the present invention is not limited to the contents of the present invention.

도 4는 본 발명에 따른 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템과 이의 처리 과정을 나타낸 도로, 본 발명은 크게 클라이언트(100), 보안 관리 웹 서비스 서버(200), 웹 서비스 서버(300)로 구성된다.4 is a road illustrating a security management web service system for dual reinforcement of user authentication according to the present invention and a process thereof, and the present invention is largely provided by a client 100, a security management web service server 200, and a web service server 300. It is composed of

상기 클라이언트(100)는 보안 관리 웹 서비스 서버(200)에서 배포한 공개키(210)로 사용자 인증 정보(120)인 사용자 ID와 패스워드를 암호화하며, 암호화된 사용자 인증 정보(130)를 클라이언트(100)에서 랜덤하게 생성된 랜덤 대칭키(110)로 다시 한번 암호화하여 이중으로 암호화된 사용자 인증 정보(140)와 사용자 ID를 상기 보안 관리 웹 서비스 서버(200)로 제공한다.The client 100 encrypts the user ID and password, which is the user authentication information 120, with the public key 210 distributed by the security management web service server 200, and encrypts the encrypted user authentication information 130 with the client 100. In order to encrypt once again with a random symmetric key 110 randomly generated in the) to provide the user authentication information 140 and user ID encrypted twice to the security management web service server 200.

상기 보안 관리 웹 서비스 서버(200)는 상기 클라이언트(100)로부터 제공받은 이중으로 암호화된 사용자 인증 정보(140)를 랜덤 대칭키(110)를 바탕으로 복호화하고, 복호화된 데이터를 보안 관리 웹 서비스 서버(200)의 개인키(220)로 복호화하여 사용자를 인증한다.The security management web service server 200 decrypts the dually encrypted user authentication information 140 provided from the client 100 based on a random symmetric key 110, and decrypts the decrypted data. The user is authenticated by decrypting with the private key 220 of 200.

상기 웹 서비스 서버(300)는 클라이언트(100)가 상기 보안 관리 웹 서비스 서버(200)에 의한 사용자 인증 후, 웹 서비스 서버(300)의 웹 서비스를 요청하면 보안 관리 웹 서비스 서버(200)로부터 전달받게 되는 상기 랜덤 대칭키(110)로 클라이언트(100)와 웹 서비스 서버(300) 간의 메시지를 암호화하여 교환할 수 있도록 한다.The web service server 300 transmits from the security management web service server 200 when the client 100 requests a web service of the web service server 300 after user authentication by the security management web service server 200. The random symmetric key 110 receives the encrypted message between the client 100 and the web service server 300 so as to be exchanged.

이와 같이 구성되는 본 발명은 도 5의 본 발명의 전체적인 흐름도에 도시한 바와 같이, 보안 관리 웹 서비스 서버(200)의 인증 및 공개키(210) 배포, 사용자 인증 정보(120)의 암호화에 의한 사용자 인증 정보(120)의 암호화 과정(S100), 클라이언트(100)와 보안 관리 웹 서비스 서버(200) 간의 랜덤 대칭키(110) 교환, 사용자 인증 등을 거치게 되는 사용자 인증 과정(S200), 사용자의 웹 서비스 요청에 따른 키 전달 및 서비스 개시 과정(S300)으로 이루어진다.The present invention configured as described above is shown in the overall flow chart of the present invention of Figure 5, by the authentication and distribution of the public key 210, the user authentication information 120 of the security management web service server 200 Encryption process of the authentication information 120 (S100), random symmetric key 110 exchange between the client 100 and the security management web service server 200, the user authentication process (S200) to undergo a user authentication, the user's web Key delivery and service start process according to the service request (S300).

먼저, 상기 사용자 인증 정보(120)의 암호화 과정(S100)은 도 6에 도시한 바와 같이, 보안 관리 웹 서비스 서버(200)가 공격자가 가장한 서비스가 아닌 유효한 서비스인지를 확인하기 위해 공인된 인증기관을 통하여 이 보안 관리 웹 서비스 서버(200)가 실제 웹 서비스(300)를 이용할 곳의 보안 관리기 인지를 확신하고, 보안 관리 웹 서비스 서버(200)로부터 공개키(210)를 부여 받는다(S110). First, the encryption process (S100) of the user authentication information 120, as shown in Figure 6, the security management web service server 200 is an authorized authentication to verify whether the service is a valid service, not the disguised service of the attacker Through the authority, the security management web service server 200 is sure that it is a security manager where the actual web service 300 will be used, and receives the public key 210 from the security management web service server 200 (S110). .

이후, 클라이언트(100)는 사용자로부터 사용자 ID와 패스워드로 구성된 사용자 인증 정보(120)를 입력받아 상기 보안 관리 웹 서비스 서버(200)에서 배포한 공개키(210)를 이용하여 사용자 인증 정보(120)를 암호화 한다(S120).Thereafter, the client 100 receives user authentication information 120 including a user ID and a password from a user, and uses the public key 210 distributed by the security management web service server 200 to authenticate the user authentication information 120. Encrypt (S120).

상기 암호화 된 사용자 인증 정보(130)는 클라이언트(100)에서 랜덤하게 생 성된 랜덤 대칭키(110)를 이용하여 다시 한번 암호화 된다(S130). 상기 공개키(210)에 의해 1차 암호화된 후, 랜덤 대칭키(110)에 의해 2차 암호화된 사용자 인증 정보(140)는 사용자 ID와 함께 인터넷을 통해 보안 관리 웹 서비스 서버(200)로 보내진다(S140). 상기 랜덤 대칭키(110)는 클라이언트(100)의 사용자 인증이 필요한 경우 클라이언트(100)에서 랜덤하게 생성되는 대칭키이다. 도 7은 사용자 인증 정보(120)의 암호화 과정의 모식도이다. The encrypted user authentication information 130 is encrypted once again using a random symmetric key 110 randomly generated in the client 100 (S130). After the first encryption by the public key 210, the user authentication information 140, which is secondly encrypted by the random symmetric key 110 is sent to the security management web service server 200 through the Internet with the user ID. It is lost (S140). The random symmetric key 110 is a symmetric key generated randomly by the client 100 when user authentication of the client 100 is required. 7 is a schematic diagram of an encryption process of user authentication information 120.

상기 사용자 인증 과정(S200)은 도 8에 도시한 바와 같다.The user authentication process (S200) is as shown in FIG.

먼저, 상기 클라이언트(100)와 보안 관리 웹 서비스 서버(200) 간의 랜덤 대칭키(110)의 교환이 이루어진다.First, a random symmetric key 110 is exchanged between the client 100 and the security management web service server 200.

즉, 클라이언트(100)에 의해 랜덤하게 생성된 랜덤 대칭키(110)는 사용자 ID와 함께 보안 관리 웹 서비스 서버(200)의 공개키(210)로 암호화 되어 인터넷을 통해 보안 관리 웹 서비스 서버(200)에 전달된다(S210). That is, the random symmetric key 110 randomly generated by the client 100 is encrypted with the public key 210 of the security management web service server 200 together with the user ID, so that the security management web service server 200 may be over the Internet. It is delivered to (S210).

그리고 상기 단계(S210)에서 보안 관리 웹 서비스 서버(200)에 전달된 정보는 보안 관리 웹 서비스 서버(200)의 개인키(220)를 이용하여 복호화 되고, 사용자 ID를 판별하여 보안 관리 웹 서비스 서버(200)의 데이터베이스(230)에 사용자 ID 및 이에 대응되는 랜덤 대칭키(110)가 쌍으로 저장된다. 도 9는 이의 모식도이다.The information transmitted to the security management web service server 200 in step S210 is decrypted using the private key 220 of the security management web service server 200, and the user ID is determined to determine the security management web service server. The user ID and the corresponding random symmetric key 110 are stored in pairs in the database 230 of 200. 9 is a schematic diagram thereof.

제약조건은 사용자 ID : 랜덤 대칭키(110) 쌍은 동일한 시간에 중복될 수 없으며, 똑같은 랜덤 대칭키(110)의 사용은 불가이며, 이를 위해, 사용자 ID : 랜덤 대칭키(110) 쌍에 대한 기록을 남긴다. 몇 차례 이상 제약 조건을 어긴다면 수신된 IP정보를 바탕으로 차단한다. 사용자 ID : 랜덤 대칭키(110) 쌍은 클라이언트(100)에서 보내온 암호화된 사용자 인증 정보(140)를 복호화 하는데 사용한다.Constraints are user ID: random symmetric key (110) pair can not overlap at the same time, the same use of the same random symmetric key (110) is impossible, for this, user ID: random symmetric key (110) pair Leave a record. If the constraint is violated more than once, it blocks based on the received IP information. User ID: The random symmetric key 110 pair is used to decrypt the encrypted user authentication information 140 sent from the client 100.

이후, 키 전달이 올바르게 이루어졌으면 클라이언트(100)와 보안 관리 웹 서비스 서버(200)간 교환된 랜덤 대칭키(110)를 바탕으로 클라이언트(100)에서 보내온 암호화된 사용자 인증 정보(140)를 복호화 한다(S220).Subsequently, if the key is correctly delivered, the encrypted user authentication information 140 sent from the client 100 is decrypted based on the random symmetric key 110 exchanged between the client 100 and the security management web service server 200. (S220).

복호화된 데이터를 바탕으로 이것이 올바른 클라이언트(100)에서 보내졌는지 판단한다. 복호화된 데이터는 보안 관리 웹 서비스 서버(200)의 공개키(210)로 암호화 시킨 것이므로 이것의 개인키(220)를 이용하여 복호화 한다(S230). 랜덤 대칭키(110) 사용자와 동일 유무, 사용자의 페스워드에 따라 사용자 인증 여부를 판단한다(S240). 도 10은 이러한 사용자 인증과정의 모식도이다. Based on the decrypted data, it is determined whether it is sent from the correct client 100. Since the decrypted data is encrypted with the public key 210 of the security management web service server 200, it is decrypted using its private key 220 (S230). The random symmetric key 110 determines whether the user is authenticated according to whether or not the user is the same (S240). 10 is a schematic diagram of the user authentication process.

다음, 상기 사용자의 웹 서비스 요청에 따른 키 전달 및 서비스 개시 과정(S300)을 도 11과 함께 살펴본다.Next, the key delivery and service start process (S300) according to the user's web service request will be described with reference to FIG. 11.

상기 보안 관리 웹 서비스 서버(200)에 의한 사용자의 인증 후, 실제 사용자가 사용하고자하는 웹 서비스를 이용하기 위해 서비스를 요청하면 상기 보안 관리 웹 서비스 서버(200)는 상기 과정(S200)에서 전달받은 랜덤 대칭키(110)를 웹 서비스 서버(300)에 넘겨 준다(S310).After authentication of the user by the security management web service server 200, if a service request is made to use a web service that an actual user wants to use, the security management web service server 200 is received in step S200. The random symmetric key 110 is passed to the web service server 300 (S310).

클라이언트(100)와 실제 웹 서비스 서버(300)의 웹 서비스간 메시지는 주어진 랜덤 대칭키(110)를 바탕으로 웹 서비스 메시지 보안 명세를 이용하여 메시지 일부분 또는 전체를 암호화 하여 교환하게 된다(S320).The message between the client 100 and the web service of the actual web service server 300 is exchanged by encrypting part or all of the message using the web service message security specification based on the given random symmetric key 110 (S320).

도 12는 랜덤 대칭키(110)를 이용 triple-DES 암호화 기법으로 SOAP 메시지를 암호화 한 예이다. 메시지에는 추가적으로 타임 스템프와 키에 대한 사용자 정보가 들어간다.12 illustrates an example of encrypting a SOAP message using a triple-DES encryption scheme using a random symmetric key 110. The message additionally contains user information about the time stamp and the key.

상기와 같이 본 발명은 보안 관리 웹 서비스 서버(200)에서 배포한 공개키(210) 및 클라이언트(100)에서 생성된 랜덤 대칭키(110)를 복합 이용하는 하이브리드 암호 기법을 변형하여 웹 서비스 사용자 인증을 이중으로 강화하고 이와 동시에 클라이언트(100)에서 생성된 랜덤 대칭키(110)를 교환하여, 인증된 후에는 교환된 키를 바탕으로 계층에 따라 사용자에게 인가된 서비스를 암호화 하여 소통하도록 하는 보안 관리 웹 서비스 모델을 제시한 것이다.As described above, the present invention modifies a hybrid encryption scheme using a combination of the public key 210 distributed by the security management web service server 200 and the random symmetric key 110 generated by the client 100 to perform web service user authentication. At the same time, a security management web that exchanges the random symmetric key 110 generated by the client 100 at the same time, and encrypts the service authorized to the user according to the hierarchy based on the exchanged key after authentication. The service model is presented.

상술한 바와 같이, 본 발명의 바람직한 실시 예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 또는 변형하여 실시할 수 있다. As described above, although described with reference to a preferred embodiment of the present invention, those skilled in the art various modifications of the present invention without departing from the spirit and scope of the invention described in the claims below Or it may be modified.

이상에서 살펴본 바와 같이, 본 발명은 실제 서비스를 제공하는 웹 서비스와 별도로 보안 관리 웹 서비스를 둠으로써 실제 웹 서비스에 대한 부하를 분산시키고, 별도의 키 전달 정책 없이 사용자 인증 동시에 키 교환이 이루어지며, 사용자 ID 및 패스워드와 관계없이 프로그램적인 측면에서 랜덤 대칭키가 생성되고, 이것 이 암호화되어 웹 서비스에 전달되기 때문에 실제 사용자 패스워드가 더 안전하게 관리될 수 있게 된다. 또한, 사용자에 대한 서비스의 관리도 실제 서비스와 별도로 처리할 수 있어 관리가 더 수월해진다. 즉, 본 발명은 사용자 인증을 이중으로 강화하고 이를 바탕으로 전달된 랜덤 대칭키를 이용하여 메시지 보안을 강화하고 이것을 분산처리 함으로써 그 부하를 줄여서 안전하고도 보다 효율적인 웹 서비스를 이용할 수 있게 된다.As described above, the present invention distributes the load on the real web service by placing the security management web service separately from the web service providing the real service, and simultaneously exchanges a user without a separate key delivery policy. Programmatically, random symmetric keys are generated, regardless of user ID and password, which are encrypted and passed to the web service, allowing real user passwords to be more securely managed. In addition, the management of the service for the user can be handled separately from the actual service, which makes management easier. That is, the present invention doubles the user authentication, and by using the random symmetric key transmitted based on the message security by strengthening the distributed processing it is possible to use the secure and more efficient web services by reducing the load.

Claims (10)

공개키로 사용자 인증 정보를 1차 암호화하며, 랜덤 대칭키로 상기 1차 암호화된 사용자 인증 정보를 2차 암호화하여 보안 관리 웹 서비스 서버로 제공하는 클라이언트;A client for first encrypting user authentication information with a public key and secondly encrypting the first encrypted user authentication information with a random symmetric key to provide a security management web service server; 상기 공개키를 클라이언트에 제공하며, 상기 클라이언트로부터 제공된 랜덤 대칭키를 바탕으로 상기 클라이언트로부터 제공된 암호화된 사용자 인증 정보를 1차 복호화한 후, 개인키로 2차 복호화하여 사용자를 인증하는 보안 관리 웹 서비스 서버; 및 A security management web service server providing the public key to a client, first decrypting encrypted user authentication information provided from the client based on a random symmetric key provided from the client, and secondly decrypting the private user with a private key. ; And 사용자의 웹 서비스 요청시 상기 보안 관리 웹 서비스 서버로부터 랜덤 대칭키를 제공받아 상기 클라이언트와의 웹 서비스 메시지를 암호화하는 웹 서비스 서버;A web service server receiving a random symmetric key from the security management web service server and encrypting a web service message with the client when a user requests a web service; 로 구성됨을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템.Security management web service system for dual strengthening of user authentication, characterized in that consisting of. 제 1 항에 있어서, 상기 랜덤 대칭키는 The method of claim 1, wherein the random symmetric key is 사용자 인증이 필요한 경우 상기 클라이언트에서 랜덤하게 생성되는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템.Security management web service system for dual reinforcement of user authentication, characterized in that randomly generated in the client when user authentication is required. 제 1 항에 있어서, 상기 개인키는 The method of claim 1, wherein the private key 상기 보안 관리 웹 서비스 서버의 개인키인 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템.Security management web service system for dual reinforcement of user authentication, characterized in that the private key of the security management web service server. 제 1 항에 있어서, 상기 보안 관리 웹 서비스 서버는 The method of claim 1, wherein the security management web service server 사용자 인증 정보인 사용자 ID와 이에 대응되는 랜덤 대칭키가 쌍으로 저장되는 데이터베이스를 구비하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템.And a database in which a user ID as user authentication information and a random symmetric key corresponding thereto are stored in pairs. 제 4 항에 있어서, 상기 보안 관리 웹 서비스 서버는 The method of claim 4, wherein the security management web service server 상기 사용자 ID와 랜덤 대칭키 쌍의 동일한 시간에 중복 불가, 동일한 랜덤 대칭키의 사용 불가의 제약조건을 바탕으로 상기 제약조건을 어긴 클라이언트의 IP를 차단하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 시스템.Based on the constraint that the user ID and the random symmetric key pair cannot be duplicated at the same time and the same random symmetric key cannot be used, the IP of the client that violates the constraint is blocked. Security Management Web Service System. 클라이언트가 보안 관리 웹 서비스 서버로부터 제공되는 공개키를 바탕으로 사용자 인증 정보를 1차 암호화 한 후, 랜덤 대칭키로 상기 1차 암호화된 사용자 인증 정보를 2차 암호화하여 2차 암호화된 사용자 인증 정보를 상기 보안 관리 웹 서비스 서버로 제공하는 제1과정;The client first encrypts the user authentication information based on the public key provided from the security management web service server, and then secondly encrypts the first encrypted user authentication information using a random symmetric key to recall the second encrypted user authentication information. Providing a security management web service server; 상기 클라이언트와 보안 관리 웹 서비스 서버간 랜덤 대칭키의 교환 후, 상기 보안 관리 웹 서비스 서버가 상기 랜덤 대칭키를 바탕으로 상기 클라이언트로부터 제공된 암호화된 사용자 인증 정보를 1차 복호화한 후, 보안 관리 웹 서비스 서버의 개인키로 2차 복호화하여 사용자를 인증하는 제2과정; 및 After the exchange of the random symmetric key between the client and the security management web service server, the security management web service server first decrypts the encrypted user authentication information provided from the client based on the random symmetric key, and then the security management web service. A second step of authenticating the user by second decrypting with the private key of the server; And 상기 사용자 인증 후, 사용자가 웹 서비스 서버에 웹 서비스 요청시 상기 웹 서비스 서버가 상기 보안 관리 웹 서비스 서버로부터 제공되는 랜덤 대칭키로 웹 서비스 메시지를 암호화하여 클라이언트와 교환하는 제3과정;After the user authentication, when the user requests a web service from the web service server, the web service server encrypts the web service message with a random symmetric key provided from the security management web service server and exchanges the message with the client; 을 포함하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법.Security management web service method for dual reinforcement of user authentication comprising a. 제 6 항에 있어서, 상기 제1과정에서 상기 2차 암호화된 사용자 인증 정보와 더불어 사용자 ID로 함께 상기 보안 관리 웹 서비스 서버로 제공되는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법.7. The security management web service method of claim 6, wherein the first process is provided to the security management web service server together with the second encrypted user authentication information as a user ID. . 제 6 항에 있어서, 상기 제2과정에서 상기 클라이언트와 보안 관리 웹 서비 스 서버간 랜덤 대칭키의 교환시 The method of claim 6, wherein in the second process, a random symmetric key is exchanged between the client and the security management web service server. 상기 클라이언트는 상기 랜덤 대칭키를 사용자 ID와 함께 상기 보안 관리 웹 서비스 서버의 공개키로 암호화하여 상기 보안 관리 웹 서비스 서버로 제공하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법.And the client encrypts the random symmetric key with a public key of the security management web service server together with a user ID to provide the security management web service server to the security management web service server. 제 8 항에 있어서, 상기 보안 관리 웹 서비스 서버는 상기 클라이언트로부터 제공받은 상기 공개키로 암호화된 정보를 자신의 개인키로 복호화하여 사용자 ID와 이에 대응되는 랜덤 대칭키 쌍을 데이터베이스에 저장하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법.The method of claim 8, wherein the security management web service server decrypts the information encrypted with the public key provided from the client with its own private key, and stores a user ID and a corresponding random symmetric key pair in a database. Security management web service method for dual strength of user authentication. 제 9 항에 있어서, 상기 보안 관리 웹 서비스 서버는 상기 사용자 ID와 랜덤 대칭키 쌍의 동일한 시간에 중복 불가, 동일한 랜덤 대칭키의 사용 불가의 제약조건을 바탕으로 상기 제약조건을 어긴 클라이언트의 IP를 차단하는 것을 특징으로 하는 사용자 인증의 이중 강화를 위한 보안 관리 웹 서비스 방법.10. The method of claim 9, wherein the security management web service server is based on a constraint that the user ID and the random symmetric key pair can not be duplicated at the same time, the same random symmetric key can not use the IP of the client that broke the constraint Security management web service method for dual strengthening of user authentication, characterized in that blocking.
KR1020060041504A 2006-05-09 2006-05-09 System and method for secure web service using double enforcement of user authentication KR100850506B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060041504A KR100850506B1 (en) 2006-05-09 2006-05-09 System and method for secure web service using double enforcement of user authentication

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060041504A KR100850506B1 (en) 2006-05-09 2006-05-09 System and method for secure web service using double enforcement of user authentication

Publications (2)

Publication Number Publication Date
KR20070109040A true KR20070109040A (en) 2007-11-15
KR100850506B1 KR100850506B1 (en) 2008-08-05

Family

ID=39063606

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060041504A KR100850506B1 (en) 2006-05-09 2006-05-09 System and method for secure web service using double enforcement of user authentication

Country Status (1)

Country Link
KR (1) KR100850506B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982199B1 (en) * 2007-12-26 2010-09-14 (주)씽크에이티 Method for Key Information Security on Online
WO2012015441A1 (en) * 2010-07-30 2012-02-02 Hewlett-Packard Development Company, L.P. Systems and methods for credentialing
KR101389981B1 (en) * 2012-09-03 2014-04-30 경희대학교 산학협력단 Data delegation method for public cloud storage service and data access method for the delegated data
KR20160134217A (en) * 2015-05-15 2016-11-23 주식회사 국민은행 Property management bankbook and Property management service system using that Property management bankbook
KR20170058819A (en) * 2016-03-02 2017-05-29 (주)지인소프트 Sequrity service providing system
KR102005787B1 (en) * 2018-04-26 2019-07-31 주식회사위즈베라 Method for Encrypting Certificate
KR20200059982A (en) * 2018-11-22 2020-05-29 금오공과대학교 산학협력단 Data transmission method of wireless communication system using block chain

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101271464B1 (en) 2012-05-25 2013-06-05 라온시큐어(주) Method for coding private key in dual certificate system

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20000072758A (en) * 2000-09-25 2000-12-05 조배수 clientprogram have user native interface of authentication / security support client / server application for implemented method
KR100581590B1 (en) * 2003-06-27 2006-05-22 주식회사 케이티 Two-factor authenticated key exchange method and authentication method using the same, and recording medium storing program including the same

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100982199B1 (en) * 2007-12-26 2010-09-14 (주)씽크에이티 Method for Key Information Security on Online
WO2012015441A1 (en) * 2010-07-30 2012-02-02 Hewlett-Packard Development Company, L.P. Systems and methods for credentialing
US9015474B2 (en) 2010-07-30 2015-04-21 Hewlett-Packard Development Company, L.P. Systems and methods for credentialing
KR101389981B1 (en) * 2012-09-03 2014-04-30 경희대학교 산학협력단 Data delegation method for public cloud storage service and data access method for the delegated data
KR20160134217A (en) * 2015-05-15 2016-11-23 주식회사 국민은행 Property management bankbook and Property management service system using that Property management bankbook
KR20170058819A (en) * 2016-03-02 2017-05-29 (주)지인소프트 Sequrity service providing system
KR101869027B1 (en) * 2016-03-02 2018-06-19 (주)지인소프트 Sequrity service providing system
KR102005787B1 (en) * 2018-04-26 2019-07-31 주식회사위즈베라 Method for Encrypting Certificate
KR20200059982A (en) * 2018-11-22 2020-05-29 금오공과대학교 산학협력단 Data transmission method of wireless communication system using block chain

Also Published As

Publication number Publication date
KR100850506B1 (en) 2008-08-05

Similar Documents

Publication Publication Date Title
US8799981B2 (en) Privacy protection system
JP5021215B2 (en) Reliable third-party authentication for web services
CN100574184C (en) Be used between computer system, setting up the method and apparatus of the safe context that is used for pass-along message
CN101507233B (en) Method and apparatus for providing trusted single sign-on access to applications and internet-based services
EP2020797B1 (en) Client-server Opaque token passing apparatus and method
US8621206B2 (en) Authority-neutral certification for multiple-authority PKI environments
CA2714196C (en) Information distribution system and program for the same
CN102377788B (en) Single sign-on (SSO) system and single sign-on (SSO) method
KR100850506B1 (en) System and method for secure web service using double enforcement of user authentication
US20070101145A1 (en) Framework for obtaining cryptographically signed consent
US20100195824A1 (en) Method and Apparatus for Dynamic Generation of Symmetric Encryption Keys and Exchange of Dynamic Symmetric Key Infrastructure
US20050138360A1 (en) Encryption/decryption pay per use web service
JP5602165B2 (en) Method and apparatus for protecting network communications
JP2004509398A (en) System for establishing an audit trail for the protection of objects distributed over a network
US7266705B2 (en) Secure transmission of data within a distributed computer system
CN104767731A (en) Identity authentication protection method of Restful mobile transaction system
JP2004509399A (en) System for protecting objects distributed over a network
CN101247407A (en) Network authentication service system and method
US20070098175A1 (en) Security enabler device and method for securing data communications
Borselius Multi-agent system security for mobile communication
CN111935164A (en) Https interface request method
KR20020068722A (en) Method for authenticating user in internet and system for the same
Sultan et al. Overcoming Barriers to Client-Side Digital Certificate Adoption
Krawczyk et al. Security of Web services
CN115801376A (en) PKI-based password remote assistance method and system and electronic equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130527

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20140612

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20150626

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee