KR20140069426A - Single Sign On Method at Mobile Device - Google Patents

Single Sign On Method at Mobile Device Download PDF

Info

Publication number
KR20140069426A
KR20140069426A KR1020120136628A KR20120136628A KR20140069426A KR 20140069426 A KR20140069426 A KR 20140069426A KR 1020120136628 A KR1020120136628 A KR 1020120136628A KR 20120136628 A KR20120136628 A KR 20120136628A KR 20140069426 A KR20140069426 A KR 20140069426A
Authority
KR
South Korea
Prior art keywords
single sign
service application
web
daemon
server
Prior art date
Application number
KR1020120136628A
Other languages
Korean (ko)
Other versions
KR101404764B1 (en
Inventor
김용우
한영선
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020120136628A priority Critical patent/KR101404764B1/en
Publication of KR20140069426A publication Critical patent/KR20140069426A/en
Application granted granted Critical
Publication of KR101404764B1 publication Critical patent/KR101404764B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC

Abstract

A method for a single sign-on according to the first form of the present invention is performed by an environment including a user terminal capable of executing a service application and a web browser, an application server, a web server, and a single sign-on daemon. The method for a single sign-on of the first form comprises: (1) a first step of allowing an application server to receive an authentication parameter request from a user terminal when a service application is being executed; (2) a second step of allowing the application server to create a single sign-on session to a single sign-on daemon; (3) a third step of allowing the application server to create authentication parameters and convert the authentication parameters to the service application; (4) a fourth step of allowing the user terminal to execute a web browser, transmit the authentication parameters to a web server, and connect to the web server; (5) a fifth step of allowing the web server to verify the authentication parameters; (6) a sixth step of allowing the web server to refer to the single sign-on session to the single sign-on daemon; (7) a seventh step of allowing the single sign-on daemon to delete the single sign-on session; (8) an eighth step of allowing the single sign-on daemon to return user information to the web server; (9) a ninth step of allowing the web server to create a user session; and (10) a tenth step of allowing the web server to complete login to the web browser.

Description

모바일 기기에서의 싱글 사인온 방법{Single Sign On Method at Mobile Device}{Single Sign On Method at Mobile Device}

본 발명은 모바일 기기에서의 싱글 사인온 방법에 관한 것으로서 좀 더 자세하게는 어플리케이션 대 어플리케이션, 어플리케이션 대 웹 브라우저, 웹 브라우저 대 웹 브라우저 등에 관계없이 적용 가능하며, 리플레이 공격에서도 안전한 싱글 사인온 방법에 관한 것이다.
The present invention relates to a single sign-on method in a mobile device, and more particularly, to a single sign-on method that is applicable regardless of application-to-application, application-to-web browser, web browser to web browser,

싱글 사인온(Single Sign On; SSO)은 한번의 로그인으로 여러 다른 사이트들에 별도의 로그인없이 자동적으로 접속하여 이용할 수 있도록 하는 방법을 의미한다.Single sign-on (SSO) means a single login that allows multiple sites to automatically connect and use without being logged in.

PC 환경에서 싱글 사인온은 개인 컴퓨터에 인증 정보를 암호화한 쿠키를 저장하여 브라우저 또는 CS 프로그램으로 업무 사이트에 접속할 때 저장되어 있는 해당 쿠키 정보를 읽어 들여서 싱글 사인온을 수행하게 된다.In a PC environment, single sign-on stores a cookie that encrypts authentication information on a personal computer, reads the stored cookie information when accessing a business site with a browser or a CS program, and performs single sign-on.

한편, 최근에 스마트폰의 급격한 보급으로 인해 모바일 환경에서도 스마트폰에 설치된 프로그램(본 명세서에서는 이를 "어플리케이션"으로 약칭하기로 한다.) 또는 스마트폰에 설치된 브라우저를 통해서 업무 사이트 내지 서비스 제공 사이트에 접속하는 경우가 늘어나고 있다.On the other hand, due to the rapid spread of smart phones in recent years, a program installed on a smart phone (hereinafter abbreviated as "application" in the present specification) in a mobile environment or a browser Is increasing.

이러한 모바일 환경에서의 싱글 사인온 방식은 크게 싱글 사인온을 위한 전용 어플리케이션을 통한 방식, 서버 기반 싱글 사인온 방식, 파라미터 전달 방식으로 분류할 수 있다.In this mobile environment, the single sign-on method can be largely classified into a method using dedicated application for single sign-on, a server-based single sign-on method, and a parameter transmission method.

싱글 사인온의 일례로서 2011년 6월 16일에 등록공고된 한국특허 제1042484호에 개시된 기술이 있는데, 이 기술에서는 기본 세션 정보와 연계 세션 정보로 구분하여 싱글 사인온을 수행하는 기술이 개시되어 있지만, 이와 같이 세션 정보만을 이용해서는 모바일 환경에서 적절한 대응이 불가능하며, 어플리케이션과 웹 브라우저간에 싱글 사인온을 구현하기가 복잡하며 다양한 웹 브라우저 지원이 어렵다는 단점이 있다.
As an example of a single sign-on, there is a technique disclosed in Korean Patent No. 1042484, which was registered on June 16, 2011. In this technique, a technique of performing single sign-on by separating into basic session information and associated session information is disclosed. In this way, it is not possible to respond appropriately in a mobile environment using only session information, and it is complicated to implement a single sign-on between an application and a web browser, and it is difficult to support various web browsers.

본 발명은, 이러한 종래 기술의 단점을 해결하여 어플리케이션과 웹 브라우저간에 자유롭게 싱글 사인온이 가능하게 되며 인증 정보의 암호화도 필요없고, 리플레이 공격에도 자유로운 모바일 기기에서의 싱글 사인온 방법을 제공하는 것을 목적으로 한다.
It is an object of the present invention to provide a single sign-on method in a mobile device that solves the disadvantages of the related art and frees up single sign-on between an application and a web browser, does not require authentication information, .

본 발명의 제1 형태에 의한 싱글 사인온 방법은, 서비스 어플리케이션 실행 및 웹 브라우저 실행이 가능한 사용자 단말기와, 어플리케이션 서버와, 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행된다. 이 제1 형태의 싱글 사인온 방법은, (1) 서비스 어플리케이션이 실행 중인 상태에서 상기 사용자 단말기로부터 상기 어플리케이션 서버가 인증 파라미터 요청을 수신하는 제1 단계와, (2) 상기 어플리케이션 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와, (3) 상기 어플리케이션 서버가 인증 파라미터를 생성하고 상기 서비스 어플리케이션에 상기 인증 파라미터를 반환하는 제3 단계와, (4) 상기 사용자 단말기에서 웹 브라우저가 실행되고 상기 웹 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와, (5) 상기 웹 서버가 상기 인증 파라미터를 검증하는 제5 단계와, (6) 상기 웹 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와, (7) 상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와, (8) 상기 싱글 사인온 데몬이 상기 웹 서버에 사용자 정보를 반환하는 제8 단계와, (9) 상기 웹 서버가 사용자 세션을 생성하는 제9 단계와, (10) 상기 웹 서버가 상기 웹 브라우저에 로그인을 완료하는 제10 단계를 포함한다.The single sign-on method according to the first aspect of the present invention is performed in an environment including a user terminal capable of executing a service application and a web browser, an application server, a web server, and a single sign-on daemon. The first type single sign-on method includes the steps of: (1) receiving, from the user terminal, the application server requesting an authentication parameter while a service application is running; and (2) (3) a third step of the application server generating an authentication parameter and returning the authentication parameter to the service application; and (4) a step in which the web browser is executed in the user terminal (5) the web server verifies the authentication parameters; (6) the web server sends a single sign-on session to the single sign-on daemon; (7) a seventh step in which the single sign-on daemon deletes a single sign-on session, (8) (9) the web server creates a user session; (10) the web server sends a login request to the web browser; And a tenth step.

본 발명의 제2 형태에 의한 싱글 사인온 방법은, 서비스 어플리케이션 실행 및 웹 브라우저 실행이 가능한 사용자 단말기와, 어플리케이션 서버와, 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행된다. 이 제2 형태에 의한 싱글 사인온 방법은 (1) 웹 브라우저가 실행 중인 상태에서 상기 사용자 단말기로부터 상기 웹 서버가 인증 파라미터 요청을 수신하는 제1 단계와, (2) 상기 웹 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와, (3) 상기 웹 서버가 인증 파라미터를 생성하고 상기 웹 브라우저에 상기 인증 파라미터를 반환하는 제3 단계와, (4) 상기 사용자 단말기에서 서비스 어플리케이션이 실행되고 상기 어플리케이션 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와, (5) 상기 서비스 어플리케이션 서버가 상기 인증 파라미터를 검증하는 제5 단계와, (6) 상기 서비스 어플리케이션 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와, (7) 상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와, (8) 상기 싱글 사인온 데몬이 상기 서비스 어플리케이션 서버에 사용자 정보를 반환하는 제8 단계와, (9) 상기 서비스 어플리케이션 서버가 사용자 세션을 생성하는 제9 단계와, (10) 상기 서비스 어플리케이션 서버가 상기 서비스 어플리케이션에 로그인을 완료하는 제10 단계를 포함한다.The single sign-on method according to the second aspect of the present invention is performed in an environment including a user terminal capable of executing a service application and a web browser, an application server, a web server, and a single sign-on daemon. The single sign-on method according to the second aspect includes: (1) a first step in which the web server receives an authentication parameter request from the user terminal while a web browser is running; and (2) (3) a third step of the web server generating an authentication parameter and returning the authentication parameter to the web browser, (4) a step of executing a service application in the user terminal (5) the service application server verifies the authentication parameters; (6) the service application server sends a single sign-on daemon to a single sign-on daemon; (7) a seventh step in which the single sign-on daemon deletes the single sign-on session; (8) the single sign-on daemon returns user information to the service application server; (9) the service application server creates a user session; (9) And the server completes the login to the service application.

본 발명의 제3 형태에 의한 싱글 사인온 방법은, 제1 서비스 어플리케이션 실행 및 제2 서비스 어플리케이션 실행이 가능한 사용자 단말기와, 제1 서비스 어플리케이션 서버 및 제2 서비스 어플리케이션 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행된다. 이 제3 형태의 싱글 사인온 방법은, (1) 제1 서비스 어플리케이션이 실행 중인 상태에서 상기 사용자 단말기로부터 상기 제1 서비스 어플리케이션 서버가 인증 파라미터 요청을 수신하는 제1 단계와, (2) 상기 제1 서비스 어플리케이션 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와, (3) 상기 제1 서비스 어플리케이션 서버가 인증 파라미터를 생성하고 상기 제1 서비스 어플리케이션에 상기 인증 파라미터를 반환하는 제3 단계와, (4) 상기 사용자 단말기에서 제2 서비스 어플리케이션이 실행되고 상기 제2 서비스 어플리케이션 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와, (5) 상기 제2 서비스 어플리케이션 서버가 상기 인증 파라미터를 검증하는 제5 단계와, (6) 상기 제2 서비스 어플리케이션 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와, (7) 상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와, (8) 상기 싱글 사인온 데몬이 상기 제2 서비스 어플리케이션 서버에 사용자 정보를 반환하는 제8 단계와, (9) 상기 제2 서비스 어플리케이션 서버가 사용자 세션을 생성하는 제9 단계와, (10) 상기 제2 서비스 어플리케이션 서버가 상기 제2 서비스 어플리케이션에 로그인을 완료하는 제10 단계를 포함한다.A single sign-on method according to a third aspect of the present invention is a single sign-on method comprising: a user terminal capable of executing a first service application and a second service application; a first service application server and a second service application server; Lt; / RTI > The third type of single sign-on method comprises the steps of (1) receiving from the user terminal the first service application server an authentication parameter request while a first service application is running; (2) A third step of the service application server creating a single sign-on session to the single sign-on daemon; (3) a third step of the first service application server generating an authentication parameter and returning the authentication parameter to the first service application (4) a fourth step in which the second service application is executed in the user terminal and the authentication parameter is transmitted to and connected to the second service application server; and (5) the second service application server transmits the authentication parameter (6) the second service application server performs a single sign-on (7) the single sign-on daemon deletes the single sign-on session, (8) the single sign-on daemon returns the user information to the second service application server (9) the ninth step in which the second service application server creates a user session, and (10) the tenth step in which the second service application server completes the login to the second service application. .

본 발명의 제4 형태에 의한 싱글 사인온 방법은, 제1 웹 서비스 사이트와 제2 웹 서비스 사이트의 접속이 가능한 웹 브라우저가 탑재된 사용자 단말기와, 제1 웹 서버 및 제2 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행된다. 이 제4 형태에 의한 싱글 사인온 방법은, (1) 웹 브라우저를 통해 제1 웹 서비스 사이트에 접속 중인 상태에서 상기 사용자 단말기로부터 상기 제1 웹 서버가 인증 파라미터 요청을 수신하는 제1 단계와, (2) 상기 제1 웹 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와, (3) 상기 제1 웹 서버가 인증 파라미터를 생성하고 상기 웹 브라우저에 상기 인증 파라미터를 반환하는 제3 단계와, (4) 상기 사용자 단말기에서 웹 브라우저를 통해 제2 웹 서비스 사이트에 접속되며 상기 제2 웹 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와, (5) 상기 제2 웹 서버가 상기 인증 파라미터를 검증하는 제5 단계와, (6) 상기 제2 웹 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와, (7) 상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와, (8) 상기 싱글 사인온 데몬이 상기 제2 웹 서버에 사용자 정보를 반환하는 제8 단계와, (9) 상기 제2 웹 서버가 사용자 세션을 생성하는 제9 단계와, (10) 상기 제2 웹 서버가 상기 제2 웹 서비스 사이트에 로그인을 완료하는 제10 단계를 포함한다.A single sign-on method according to a fourth aspect of the present invention includes a user terminal equipped with a web browser capable of connecting a first web service site and a second web service site, a first web server and a second web server, It is performed in an environment containing a daemon. The single sign-on method according to the fourth aspect is characterized by (1) a first step in which the first web server receives an authentication parameter request from the user terminal while accessing the first web service site through a web browser, and 2) a second step in which the first web server generates a single sign-on session to the single sign-on daemon; and 3) a third step in which the first web server generates an authentication parameter and returns the authentication parameter to the web browser. (4) the user terminal is connected to the second web service site through a web browser and transmits and accesses the authentication parameters to the second web server; and (5) (6) a sixth step in which the second web server inquires a single sign-on session to a single sign-on daemon; (7) a step of checking whether the single sign- (8) the step of the single sign-on daemon returning the user information to the second web server, (9) the ninth step of the ninth web server creating the user session, And (10) the second web server completes the login to the second web service site.

상기 인증 파라미터는 UUID 값을 포함하고, 이 UUID에 사용자 정보를 매칭하여 저장하는 제3-1 단계를 더 포함하는 것이 바람직하다.The authentication parameter may further include a UUID value, and the UUID may be matched with the user information and then stored.

더 바람직하게는 상기 인증 파라미터는 {랜덤값}{랜덤값 XOR 시간값}{UUID}{HMAC}으로 구성된다.
More preferably, the authentication parameter is composed of {random value} {random value XOR time value} {UUID} {HMAC}.

본 발명에 의하면 리플레이 공격에 자유롭고, 별도의 싱글 사인온 어플리케이션을 설치하지 않더라도 서버단에서 간단한 작동에 의해서 어플리케이션과 브라우저간에 자유롭게 싱글 사인온을 가능하게 하는 효과가 제공된다.
According to the present invention, a replay attack is free, and even if a separate single sign-on application is not installed, a single sign-on can be freely performed between an application and a browser by a simple operation at a server terminal.

도 1은 본 발명의 제1 실시예에 의한 싱글 사인온 방법의 흐름도.
도 2는 본 발명의 제2 실시예에 의한 싱글 사인온 방법의 흐름도.
도 3은 본 발명의 제3 실시예에 의한 싱글 사인온 방법의 흐름도.
도 4는 본 발명의 제4 실시예에 의한 싱글 사인온 방법의 흐름도.1 is a flow chart of a single sign-on method according to a first embodiment of the present invention;
2 is a flowchart of a single sign-on method according to a second embodiment of the present invention;
3 is a flowchart of a single sign-on method according to a third embodiment of the present invention.
4 is a flowchart of a single sign-on method according to a fourth embodiment of the present invention.

이하에서는 첨부 도면을 참조하여 본 발명의 양호한 실시예에 대해서 설명하기로 한다.Hereinafter, preferred embodiments of the present invention will be described with reference to the accompanying drawings.

도 1에는 본 발명의 제1 실시예에 의한 싱글 사인온 방법의 흐름도가 도시되어 있다. 도 1에 도시된 실시예는 서비스 어플리케이션(10)에서 웹 브라우저(50)로 싱글 사인온 하는 방법에 관한 것이다.(소위 App to Web) 서비스 어플리케이션(10)과 웹 브라우저(50)는 사용자의 단말기에 설치되어 있으며, 본 명세서에서 사용자의 단말기는 스마트폰, 스마트패드 등의 모바일 단말기를 의미한다.FIG. 1 shows a flow chart of the single sign-on method according to the first embodiment of the present invention. 1 refers to a method for single sign-on from a service application 10 to a web browser 50 (so-called App to Web). The service application 10 and the web browser 50 are connected to a user's terminal In the present specification, the user terminal means a mobile terminal such as a smart phone or a smart pad.

본 명세서에서 서비스 어플리케이션은 스마트폰이나 스마트 패드 등의 모바일 장치에 설치되어 게임이나, 모바일 뱅킹 등의 소정의 서비스를 제공하기 위한 프로그램을 의미한다. 본 명세서에서 웹 브라우저는 모바일 장치에 설치되어 웹에 접속할 수 있게 하는 브라우저를 의미하며, 애플사의 사파리 또는 구글사의 크롬 등과 같은 프로그램을 의미한다.In this specification, a service application refers to a program installed in a mobile device such as a smart phone or smart pad to provide a predetermined service such as a game or mobile banking. In this specification, a web browser refers to a browser installed in a mobile device to allow access to the web, and refers to a program such as Apple's Safari or Google's Chrome.

서비스 어플리케이션(10)에서 사용자가 웹 링크를 클릭하면(100), 서비스 어플리케이션(10)은 서비스 어플리케이션 서버(20)에 인증 파라미터를 요청한다.(105) 서비스 어플리케이션 서버(20)는 싱글 사인온 데몬(30)에 싱글 사인온 세션을 생성한다.(110) 이 때 UUID(Universally Unique Identifier)가 부여되고 사용자 정보도 전달된다. 싱글 사인온 데몬(30)은 데이터베이스에 생성된 싱글 사인온 세션을 저장한다.(115) 데이터베이스(40)에는 UUID와 사용자 정보도 저장된다.When the user clicks the web link 100 in the service application 10, the service application 10 requests authentication parameters from the service application server 20. (105) The service application server 20 sends a single sign- 30, a single sign-on session is created. (110) At this time, a universally unique identifier (UUID) is assigned and user information is also transmitted. The single sign-on daemon 30 stores a single sign-on session created in the database. (115) In the database 40, a UUID and user information are also stored.

다음으로 서비스 어플리케이션 서버(20)는 인증 파라미터를 생성한다.(120) 인증 파라미터는 {버전}{랜덤값}{랜덤값 XOR 시간값}{UUID]{HMAC}으로 구성되며, 여기에 포함되어 있는 UUID와 싱글 사인온 세션이 데이터베이스에 매칭되어 있다. 여기에서 UUID를 제외한 다른 요소는 필요에 따라서 다른 변수를 사용해도 무방하다.Next, the service application server 20 generates an authentication parameter. (120) The authentication parameter is composed of {version} {random value} {random value XOR time value} {UUID} {HMAC} The UUID and the single sign-on session are matched to the database. Here, other elements other than the UUID may use other variables as needed.

이 인증 파라미터에는 사용자 정보는 포함되어 있지 아니하며 HMAC 값은 인증 파라미터 정보가 조작되거나 변경되는 것을 방지하기 위해 포함된다.This authentication parameter does not include user information and the HMAC value is included to prevent the authentication parameter information from being manipulated or changed.

생성된 인증 파라미터는 서비스 어플리케이션(10)으로 반환된다.(125) 서비스 어플리케이션(10)은 하이퍼링크로 웹 브라우저(50)를 실행한다.(130) 이 때 인증 파라미터도 웹 브라우저(50)로 전달되며, 웹 브라우저(50)는 웹 서버(60)로 인증 파라미터를 전달하고 접속한다.(135) 웹 서버(60)는 전달받은 인증 파라미터를 검증하고(140), 인증 파라미터에 포함되어 있는 UUID에 대응하는 싱글 사인온 세션을 싱글 사인온 데몬(30)에 조회한다.(145) 싱글 사인온 데몬(30)은 데이터베이스(40)에 싱글 사인온 세션을 조회하고(150), 대응하는 세션이 있으면 웹 서버(60)에 해당 세션의 사용자 정보를 반환한다.(155) 싱글 사인온 세션을 조회한 결과 해당 세션이 존재하면, 사용자 정보 반환과 함께 해당 싱글 사인온 세션은 삭제한다.The generated authentication parameter is returned to the service application 10. (125) The service application 10 executes the hyperlink to the web browser 50. At this time, the authentication parameter is also transmitted to the web browser 50 And the web browser 50 transmits the authentication parameters to the web server 60 and connects them to the web server 60. (135) The web server 60 verifies the received authentication parameters (140), and transmits the UUID The single sign-on daemon 30 queries the corresponding single sign-on session 145. The single sign-on daemon 30 queries the database 40 for a single sign-on session 150 and, if a corresponding session exists, (155) When a single sign-on session is found, if there is a corresponding session, the corresponding single sign-on session is deleted along with the return of the user information.

웹 서버(60)는 반환받은 사용자 정보에 기초하여 사용자 세션을 생성하고(160), 해당 싱글 사인온을 완료함으로써(165) 본 발명에 의한 싱글 사인온 과정을 종료한다.The web server 60 creates a user session based on the returned user information (160) and completes the single sign-on (165) to end the single sign-on process according to the present invention.

도 2에는 본 발명의 제2 실시예에 의한 싱글 사인온 방법의 흐름도가 도시되어 있다. 도 2에 도시된 실시예에서는 웹 브라우저(50)에서 서비스 어플리케이션(10)으로 싱글 사인온 하는 방법에 관한 것이다.(소위 Web to App)FIG. 2 shows a flow chart of the single sign-on method according to the second embodiment of the present invention. In the embodiment shown in FIG. 2, a single sign-on to the service application 10 in the web browser 50 (so-called Web to App)

도 2에 도시된 실시예에서는, 웹 브라우저(50)에서 어플리케이션 링크를 클릭한다.(200) 웹 브라우저이기 때문에 웹 서버(60)와 통신하여 인증 파라미터를 생성하고 반환받는다는 점에서 도 1에 도시된 실시예와 상이하며 그 밖의 과정은 동일하므로 설명을 생략한다. 인증 파라미터를 반환 받은 후, URL Scheme에 의해 서비스 어플리케이션(10)을 실행시킨다.(230)In the embodiment shown in FIG. 2, the application link is clicked in the web browser 50. Since the web browser 60 is a web browser, it generates an authentication parameter and returns the authentication parameter. Since the other processes are the same as those of the embodiment, description thereof will be omitted. After the authentication parameter is returned, the service application 10 is executed by the URL Scheme (230)

이 때 도 1의 실시예와 마찬가지로 인증 파라미터가 서비스 어플리케이션(10)에 전달되며, 서비스 어플리케이션(10)은 서비스 어플리케이션 서버(20)로 인증 파라미터를 전달하고 접속한다.(235) 이후의 과정은, 서비스 어플리케이션 서버(20)가 수행한다는 점에서 도 1의 실시예와 다르므로, 자세한 설명은 도 1의 설명으로 갈음하기로 한다.1, the authentication parameters are transmitted to the service application 10, and the service application 10 transmits and connects the authentication parameters to the service application server 20. (235) After that, 1 from the point that the service application server 20 carries out the detailed description, and the detailed description will be omitted from the description of FIG.

도 3에는 본 발명의 제3 실시예에 의한 싱글 사인온 방법의 흐름도가 도시되어 있다. 도 3에 도시된 실시예는 서비스 어플리케이션 간의 싱글 사인온 과정에 관한 것이다.(소위 App to App) 도 3에는 제1 서비스 어플리케이션 서버(61)와 제2 서비스 어플리케이션 서버(62)가 서로 다른 것으로 도시되어 있으나, 양자는 같은 서버일 수도 있다. 즉 제1 서비스 어플리케이션(51)과 제2 서비스 어플리케이션(52)이 다르지만, 각각의 서비스 어플리케이션과 연동되는 서버는 동일한 경우도 배제하지 아니한다.3 is a flowchart of a single sign-on method according to a third embodiment of the present invention. 3 illustrates a single sign-on process between service applications (so-called App to App). In FIG. 3, the first service application server 61 and the second service application server 62 are shown as being different from each other However, both may be the same server. That is, although the first service application 51 and the second service application 52 are different, a server interworking with each service application is not excluded.

도 3에서는 실행 중인 제1 서비스 어플리케이션(51)에서 타 서비스 어플리케이션(제2 서비스 어플리케이션)의 실행 링크를 클릭한다.(300) 그 이후에 인증 파라미터의 생성 및 반환 과정은 도 1에 도시된 실시예와 대동소이하므로 자세한 설명을 생략한다. 인증 파라미터를 반환받은 후 제1 서비스 어플리케이션(51)은 URL Scheme에 의해서 제2 서비스 어플리케이션(52)을 실행한다.(330) 이후의 인증 파라미터 검증 및 사인온 과정은 제2 서비스 어플리케이션 서버(62)에 의해서 수행된다는 점에서 도 1에 도시된 실시예와 상이할 뿐, 나머지는 대동소이하므로 자세한 설명은 생략하기로 한다.3, the execution link of the other service application (the second service application) is clicked in the first service application 51 being executed. (300) Thereafter, the process of generating and returning the authentication parameters is the same as that of the embodiment And therefore detailed description is omitted. After the authentication parameter is returned, the first service application 51 executes the second service application 52 according to the URL Scheme (330). The authentication parameter verification and the sign-on process after that are performed to the second service application server 62 1 in that it is carried out by the user, and the rest is the same as the embodiment shown in FIG. 1, so a detailed description will be omitted.

도 4에는 본 발명의 제4 실시예에 의한 싱글 사인온 방법의 흐름도가 도시되어 있다. 도 4에 도시된 실시예는 웹 브라우저간의 싱글 사인온 방법에 관한 것이다.(소위 Web to Web) 이 실시예에서는 제1 웹 서비스 사이트에 접속하고 있는 웹 브라우저(53)에서 웹 링크를 클릭한다.(400) 이 웹 링크 클릭은 제2 웹 서비스 사이트에 접속할 것을 명령한다. 이후 인증 파라미터 생성 및 반환 과정은 제1 웹 브라우저와 웹 서버 등에 의해서 수행된다는 점에서 도 1의 실시예와 상이할 뿐이므로 자세한 설명은 도 1의 실시예에 대한 설명으로 갈음한다. 인증 파라미터를 반환받은 제1 웹 서비스 사이트에 접속한 웹 브라우저는 하이퍼링크로 제2 웹 서비스 사이트가 접속되도록 웹 브라우저를 실행시키고 인증 파라미터를 전달한다.(430) 그 이후의 인증 파라미터 검증 및 사인온 과정은 제2 웹 서버(64)에 의해서 수행된다는 점에서 도 1의 실시예와 상이할 뿐이므로, 자세한 설명은 도 1의 실시예에 대한 설명으로 갈음한다.4 is a flowchart of the single sign-on method according to the fourth embodiment of the present invention. The embodiment shown in FIG. 4 relates to a single sign-on method between web browsers (so-called Web to Web). In this embodiment, a web link is clicked in a web browser 53 connected to the first web service site. 400) This web link click instructs to connect to the second web service site. Hereinafter, the process of generating and returning the authentication parameters is performed by the first web browser and the web server, and therefore, it differs from the embodiment of FIG. 1 in detail. The web browser connected to the first web service site having received the authentication parameter executes the web browser to connect the second web service site with the hyperlink, and transmits the authentication parameter. (430) After the authentication parameter verification and the sign- 1 is different from the embodiment of FIG. 1 in that it is performed by the second web server 64, and therefore a detailed description thereof is omitted in the description of the embodiment of FIG.

이상 첨부 도면을 참고하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
While the present invention has been described with reference to the accompanying drawings, it is to be understood that the scope of the present invention is defined by the claims that follow, and should not be construed as limited to the above-described embodiments and / or drawings. It is to be expressly understood that improvements, changes and modifications that are obvious to those skilled in the art are also within the scope of the present invention as set forth in the claims.

10: 서비스 어플리케이션
20: 서비스 어플리케이션 서버
30: 싱글 사인온 데몬
40: 데이터베이스
50: 웹 브라우저
60: 웹 서버10: Service Application
20: Service Application Server
30: Single sign-on daemon
40: Database
50: Web browser
60: Web server

Claims (7)

서비스 어플리케이션 실행 및 웹 브라우저 실행이 가능한 사용자 단말기와, 어플리케이션 서버와, 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행되는 싱글 사인온 방법에 있어서,
서비스 어플리케이션이 실행 중인 상태에서 상기 사용자 단말기로부터 상기 어플리케이션 서버가 인증 파라미터 요청을 수신하는 제1 단계와,
상기 어플리케이션 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와,
상기 어플리케이션 서버가 인증 파라미터를 생성하고 상기 서비스 어플리케이션에 상기 인증 파라미터를 반환하는 제3 단계와,
상기 사용자 단말기에서 웹 브라우저가 실행되고 상기 웹 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와,
상기 웹 서버가 상기 인증 파라미터를 검증하는 제5 단계와,
상기 웹 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와,
상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와,
상기 싱글 사인온 데몬이 상기 웹 서버에 사용자 정보를 반환하는 제8 단계와,
상기 웹 서버가 사용자 세션을 생성하는 제9 단계와,
상기 웹 서버가 상기 웹 브라우저에 로그인을 완료하는 제10 단계를 포함하는,
모바일 기기에서의 싱글 사인온 방법.
A single sign-on method performed in an environment including a user terminal capable of executing a service application and a web browser, an application server, a web server, and a single sign-on daemon,
A first step in which the application server receives an authentication parameter request from the user terminal while the service application is running;
A second step of the application server creating a single sign-on session to the single sign-on daemon;
A third step of the application server generating an authentication parameter and returning the authentication parameter to the service application;
A fourth step in which the web browser is executed in the user terminal and the authentication parameter is transmitted and accessed to the web server;
A fifth step of the web server verifying the authentication parameters;
A sixth step of the web server inquiring a single sign-on session to a single sign-on daemon;
A seventh step in which the single sign-on daemon deletes a single sign-on session;
An eighth step in which the single sign-on daemon returns user information to the web server,
A ninth step of the web server creating a user session,
And the web server completes the login to the web browser.
Single sign - on method in mobile devices.
서비스 어플리케이션 실행 및 웹 브라우저 실행이 가능한 사용자 단말기와, 어플리케이션 서버와, 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행되는 싱글 사인온 방법에 있어서,
웹 브라우저가 실행 중인 상태에서 상기 사용자 단말기로부터 상기 웹 서버가 인증 파라미터 요청을 수신하는 제1 단계와,
상기 웹 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와,
상기 웹 서버가 인증 파라미터를 생성하고 상기 웹 브라우저에 상기 인증 파라미터를 반환하는 제3 단계와,
상기 사용자 단말기에서 서비스 어플리케이션이 실행되고 상기 어플리케이션 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와,
상기 서비스 어플리케이션 서버가 상기 인증 파라미터를 검증하는 제5 단계와,
상기 서비스 어플리케이션 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와,
상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와,
상기 싱글 사인온 데몬이 상기 서비스 어플리케이션 서버에 사용자 정보를 반환하는 제8 단계와,
상기 서비스 어플리케이션 서버가 사용자 세션을 생성하는 제9 단계와,
상기 서비스 어플리케이션 서버가 상기 서비스 어플리케이션에 로그인을 완료하는 제10 단계를 포함하는,
모바일 기기에서의 싱글 사인온 방법.
A single sign-on method performed in an environment including a user terminal capable of executing a service application and a web browser, an application server, a web server, and a single sign-on daemon,
A first step in which the web server receives an authentication parameter request from the user terminal while the web browser is running;
A second step of the web server creating a single sign-on session to the single sign-on daemon;
A third step of the web server generating an authentication parameter and returning the authentication parameter to the web browser;
A fourth step of executing a service application in the user terminal and transmitting and connecting the authentication parameter to the application server;
A fifth step of the service application server verifying the authentication parameter;
A sixth step of the service application server inquiring a single sign-on session to a single sign-on daemon;
A seventh step in which the single sign-on daemon deletes a single sign-on session;
An eighth step in which the single sign-on daemon returns user information to the service application server;
A ninth step of the service application server creating a user session,
And the service application server completes the login to the service application.
Single sign - on method in mobile devices.
제1 서비스 어플리케이션 실행 및 제2 서비스 어플리케이션 실행이 가능한 사용자 단말기와, 제1 서비스 어플리케이션 서버 및 제2 서비스 어플리케이션 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행되는 싱글 사인온 방법에 있어서,
제1 서비스 어플리케이션이 실행 중인 상태에서 상기 사용자 단말기로부터 상기 제1 서비스 어플리케이션 서버가 인증 파라미터 요청을 수신하는 제1 단계와,
상기 제1 서비스 어플리케이션 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와,
상기 제1 서비스 어플리케이션 서버가 인증 파라미터를 생성하고 상기 제1 서비스 어플리케이션에 상기 인증 파라미터를 반환하는 제3 단계와,
상기 사용자 단말기에서 제2 서비스 어플리케이션이 실행되고 상기 제2 서비스 어플리케이션 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와,
상기 제2 서비스 어플리케이션 서버가 상기 인증 파라미터를 검증하는 제5 단계와,
상기 제2 서비스 어플리케이션 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와,
상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와,
상기 싱글 사인온 데몬이 상기 제2 서비스 어플리케이션 서버에 사용자 정보를 반환하는 제8 단계와,
상기 제2 서비스 어플리케이션 서버가 사용자 세션을 생성하는 제9 단계와,
상기 제2 서비스 어플리케이션 서버가 상기 제2 서비스 어플리케이션에 로그인을 완료하는 제10 단계를 포함하는,
모바일 기기에서의 싱글 사인온 방법.
A single sign-on method performed in an environment including a user terminal capable of executing a first service application and a second service application, a first service application server and a second service application server, and a single sign-on daemon,
A first step in which the first service application server receives an authentication parameter request from the user terminal while the first service application is running;
A second step of the first service application server generating a single sign-on session to the single sign-on daemon;
A third step of the first service application server generating an authentication parameter and returning the authentication parameter to the first service application;
A fourth step in which the second service application is executed in the user terminal and the authentication parameter is transmitted to and connected to the second service application server;
A fifth step of the second service application server verifying the authentication parameter;
A sixth step of the second service application server inquiring a single sign-on session to a single sign-on daemon;
A seventh step in which the single sign-on daemon deletes a single sign-on session;
The first single sign-on daemon returns user information to the second service application server;
A ninth step of the second service application server creating a user session,
And the second service application server completing the login to the second service application.
Single sign - on method in mobile devices.
제1 웹 서비스 사이트와 제2 웹 서비스 사이트의 접속이 가능한 웹 브라우저가 탑재된 사용자 단말기와, 제1 웹 서버 및 제2 웹 서버와, 싱글 사인온 데몬을 포함하는 환경에서 수행되는 싱글 사인온 방법에 있어서,
웹 브라우저를 통해 제1 웹 서비스 사이트에 접속 중인 상태에서 상기 사용자 단말기로부터 상기 제1 웹 서버가 인증 파라미터 요청을 수신하는 제1 단계와,
상기 제1 웹 서버가 상기 싱글 사인온 데몬에 싱글 사인온 세션을 생성하는 제2 단계와,
상기 제1 웹 서버가 인증 파라미터를 생성하고 상기 웹 브라우저에 상기 인증 파라미터를 반환하는 제3 단계와,
상기 사용자 단말기에서 웹 브라우저를 통해 제2 웹 서비스 사이트에 접속되며 상기 제2 웹 서버에 상기 인증 파라미터를 전달하고 접속하는 제4 단계와,
상기 제2 웹 서버가 상기 인증 파라미터를 검증하는 제5 단계와,
상기 제2 웹 서버가 싱글 사인온 데몬에 싱글 사인온 세션을 조회하는 제6 단계와,
상기 싱글 사인온 데몬이 싱글 사인온 세션을 삭제하는 제7 단계와,
상기 싱글 사인온 데몬이 상기 제2 웹 서버에 사용자 정보를 반환하는 제8 단계와,
상기 제2 웹 서버가 사용자 세션을 생성하는 제9 단계와,
상기 제2 웹 서버가 상기 제2 웹 서비스 사이트에 로그인을 완료하는 제10 단계를 포함하는,
모바일 기기에서의 싱글 사인온 방법.
A single sign on method performed in an environment including a user terminal equipped with a web browser capable of connecting a first web service site and a second web service site, a first web server, a second web server, and a single sign on daemon ,
A first step in which the first web server receives an authentication parameter request from the user terminal while the first web service site is being accessed through a web browser;
A second step of the first web server creating a single sign-on session to the single sign-on daemon;
A third step of the first web server generating an authentication parameter and returning the authentication parameter to the web browser;
A fourth step of connecting to the second web service site through the web browser in the user terminal and transferring and connecting the authentication parameter to the second web server;
A fifth step of the second web server verifying the authentication parameter;
A sixth step of the second web server inquiring a single sign-on session to the single sign-on daemon;
A seventh step in which the single sign-on daemon deletes a single sign-on session;
An eighth step in which the single sign-on daemon returns user information to the second web server,
A ninth step of the second web server creating a user session,
And the second web server completes the login to the second web service site.
Single sign - on method in mobile devices.
청구항 1 내지 청구항 4 중 어느 하나의 청구항에 있어서,
상기 인증 파라미터는 UUID 값을 포함하는,
모바일 기기에서의 싱글 로그인 방법.
The method according to any one of claims 1 to 4,
Wherein the authentication parameter comprises a UUID value,
Single sign-in method on mobile device.
청구항 5에 있어서,
상기 UUID에 사용자 정보를 매칭하여 저장하는 제3-1 단계를 더 포함하는,
모바일 기기에서의 싱글 로그인 방법.
The method of claim 5,
Further comprising a third step of storing user information in the UUID,
Single sign-in method on mobile device.
청구항 1 내지 청구항 4 중 어느 하나의 청구항에 있어서,
상기 인증 파라미터는 {랜덤값}{랜덤값 XOR 시간값}{UUID}{HMAC}으로 구성되어 있는,
모바일 기기에서의 싱글 로그인 방법.
The method according to any one of claims 1 to 4,
Wherein the authentication parameter is composed of {random value} {random value XOR time value} {UUID} {HMAC}
Single sign-in method on mobile device.
KR1020120136628A 2012-11-29 2012-11-29 Single Sign On Method at Mobile Device KR101404764B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120136628A KR101404764B1 (en) 2012-11-29 2012-11-29 Single Sign On Method at Mobile Device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120136628A KR101404764B1 (en) 2012-11-29 2012-11-29 Single Sign On Method at Mobile Device

Publications (2)

Publication Number Publication Date
KR20140069426A true KR20140069426A (en) 2014-06-10
KR101404764B1 KR101404764B1 (en) 2014-06-13

Family

ID=51124507

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120136628A KR101404764B1 (en) 2012-11-29 2012-11-29 Single Sign On Method at Mobile Device

Country Status (1)

Country Link
KR (1) KR101404764B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102377232B1 (en) * 2021-10-19 2022-03-21 안병훈 Water quality measuring device management method
KR102389714B1 (en) * 2021-09-30 2022-04-21 이인섭 SSO authentication and API service system and method using authentication token API and shared database
KR102639244B1 (en) 2023-08-04 2024-02-21 (주)그리드텍 Method, server and system for providing integrated authentication solution based on single sign on

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030075809A (en) * 2002-03-20 2003-09-26 유디에스 주식회사 Client authentication method using SSO in the website builded on a multiplicity of domains
JP2005267529A (en) 2004-03-22 2005-09-29 Fujitsu Ltd Login authentication method, login authentication system, authentication program, communication program, and storage medium

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102389714B1 (en) * 2021-09-30 2022-04-21 이인섭 SSO authentication and API service system and method using authentication token API and shared database
KR102377232B1 (en) * 2021-10-19 2022-03-21 안병훈 Water quality measuring device management method
KR102639244B1 (en) 2023-08-04 2024-02-21 (주)그리드텍 Method, server and system for providing integrated authentication solution based on single sign on

Also Published As

Publication number Publication date
KR101404764B1 (en) 2014-06-13

Similar Documents

Publication Publication Date Title
US8056125B2 (en) Recording medium storing control program and communication system
JP6282349B2 (en) Method and system for determining whether a terminal logged into a website is a mobile terminal
US11144667B2 (en) Machine-driven crowd-disambiguation of data resources
CN102393857B (en) Method and system for local call based on web page
CN104426862B (en) Realize method, system and browser that cross-domain request logs in
CN102025740B (en) Single sign-on method, fat client, server and system
CN105007280A (en) Application sign-on method and device
CN102682009A (en) Method and system for logging in webpage
US20140214921A1 (en) System and method for identification of an application executed on a mobile device
JP2018536232A (en) System and method for controlling sign-on to a web application
JPWO2009107219A1 (en) Authentication apparatus, authentication method, and authentication program implementing the method
JP6119709B2 (en) Service provider apparatus, program, and service providing method
CN103428179A (en) Method, system and device for logging into multi-domain-name website
JP2010273045A (en) Server apparatus
US20220141208A1 (en) Passing authentication information via parameters
CN105956143A (en) Database access method and database proxy node
CN104618388A (en) Quick registration and login method and corresponding reset server and information server
KR101404764B1 (en) Single Sign On Method at Mobile Device
CN107534859A (en) A kind of method for network authorization, client, terminal device and platform
KR20130072907A (en) Method and system for shortening url
KR20140121571A (en) System for intergrated authentication, method and apparatus for intergraged authentication thereof
KR101329788B1 (en) SSO Method Based on Server In Mobile Environment
CN104301285A (en) Method for logging in web system
CN102375953A (en) Software certification method and software certification device
WO2014161338A1 (en) Method, apparatus, and system for webgame interaction

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170411

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180410

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190325

Year of fee payment: 6