KR20180062782A - Security authenticate system and method for cloud services users - Google Patents

Security authenticate system and method for cloud services users Download PDF

Info

Publication number
KR20180062782A
KR20180062782A KR1020160162864A KR20160162864A KR20180062782A KR 20180062782 A KR20180062782 A KR 20180062782A KR 1020160162864 A KR1020160162864 A KR 1020160162864A KR 20160162864 A KR20160162864 A KR 20160162864A KR 20180062782 A KR20180062782 A KR 20180062782A
Authority
KR
South Korea
Prior art keywords
authentication
user
portal
string
internal key
Prior art date
Application number
KR1020160162864A
Other languages
Korean (ko)
Inventor
이대준
천영학
김동혁
Original Assignee
(주)엔키아
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)엔키아 filed Critical (주)엔키아
Priority to KR1020160162864A priority Critical patent/KR20180062782A/en
Publication of KR20180062782A publication Critical patent/KR20180062782A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Disclosed are a security authentication method and a security authentication system for a cloud service user. The security authentication method for a cloud service user comprises the steps of: when a user logs in to an integrated authentication portal server, generating, by the integrated authentication portal server, a multi-encrypted combination character string by using log-in information of the user, a one-time internal key, and a public key; transmitting, by the integrated authentication portal server, the encrypted combination character string to a target portal device among a plurality of cloud service portal devices; decrypting, by the target portal device, the encrypted combination character string; checking, by the integrated authentication portal server and the target portal device, authentication of the user by using the decrypted combination character string and the one-time internal key; and providing, by the target portal device, a main screen to the user when authentication of the user is successful. According to the present invention, it is possible to improve the convenience of users and to reduce the cost of constructing a system necessary for security.

Description

클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템{Security authenticate system and method for cloud services users}[0001] The present invention relates to a security authentication method and a security authentication system for a cloud service user,

본 발명은 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템에 관한 것으로서, 보다 상세하게는, 클라우드 서비스 환경에서 한 번의 인증을 통해 각 시스템을 연결 및 사용하도록 관리하는 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템에 관한 것이다.The present invention relates to a security authentication method and a security authentication system for a cloud service user, and more particularly, to a security authentication method for a cloud service user that manages connection and use of each system through a single authentication in a cloud service environment And a security authentication system.

IT 환경이 클라우드 중심으로 변화함에 따라 기존의 IT 서비스 수요가 점차 감소하고 있다. 반면, 클라우드 서비스의 이용이 확산되면서 다양한 클라우드 서비스를 이용할 수 있도록 지원하는 CSB(Cloud Services Brokerage)와 CSP(Cloud Service Provider), CSC(Cloud Service Consumer)에 대한 수요가 증가하는 추세에 있다.As the IT environment shifts to the cloud center, demand for existing IT services is gradually declining. On the other hand, demand for cloud service brokerage (CSB), cloud service provider (CSP), and cloud service consumer (CSC) is growing.

CSP는 클라우드 서비스를 등록 및 판매하는 클라우드 서비스 제공자이고, CSC는 클라우드 서비스를 요청 및 사용하는 클라우드 서비스 사용자이고, CSB는 다수의 CSP와 CSC 간의 솔루션과 요구사항을 매칭 연계하여 클라우드 서비스의 통합 및 중재 서비스를 제공하는 사업이다. CSP is a cloud service provider that registers and sells cloud services, CSC is a cloud service user who requests and uses cloud services, and CSB is a service that integrates and intervenes in cloud services by matching solutions and requirements between multiple CSPs and CSCs. It is a business that provides services.

따라서, CSB, CSC 및 CSP를 포함하는 다양한 클라우드 서비스를 도입함에 따라 발생하는 각종 규제준수 관리, 보안 위험 관리 등 다양한 문제를 해결하여야 한다.Therefore, various problems such as various regulatory compliance management and security risk management that occur due to introduction of various cloud services including CSB, CSC and CSP should be solved.

특히, 보안 문제를 해결하기 위하여, 기존에는 클라우드 서비스 이용자가 서로 다른 시스템(즉, 서로 다른 클라우드 서비스) 사용시 별도의 로그인 인증과정 없이 SSO(Single Sign-On)를 통하여 이용자가 중복 로그인을 하지 않고도 한 번의 로그인 인증만으로 연계된 클라우드 서비스의 시스템을 사용하도록 하고 있다. In particular, in order to solve the security problem, in the past, when a cloud service user uses different systems (that is, different cloud services), a single sign-on (SSO) The system of the cloud service linked by the login authentication only is used.

SSO는 통합인증방식으로서 사용자들이 하나의 ID와 하나의 비밀번호만으로 여러 시스템들에 접속할 수 있도록 한다. 그러나, SSO를 사용하기 위해서는 고가의 상용 솔루션을 구입하여야 하며, 또한, 각 클라우드 서비스 시스템 연계 시 수위가 약한 암호화 방법을 사용한다면 패킷 분석 시 불필요한 정보가 패킷에 노출되어 보안에 취약한 문제가 발생한다.SSO is an integrated authentication method that allows users to connect to multiple systems with a single ID and a single password. However, in order to use SSO, an expensive commercial solution must be purchased. Also, when a weak encryption method is used in connection with each cloud service system, unnecessary information is exposed to packets during packet analysis, which causes security problems.

또한, 기존의 클라우드 서비스 시스템은 상술한 것처럼 다수의 CSP, 다수의 CSC 및 다수의 CSB를 포함하나, 이러한 다수의 CSP, CSC, CSB는 각각 상이한 인증 방식에 따라 인증을 처리하며, 경우에 따라서는 인증 처리를 위한 별도의 모듈을 필요로 한다. 인증 처리 방식이 다수의 CSP, CSC, CSB 모두 상이함에 따라 클라우드 서비스를 사용하는 사용자는 로그인 인증 절차 시 불편하거나 번거로움을 느끼게 되며, CSP, CSC 및 CSB 개발자는 개발환경에 따라 인증 절차 시스템을 구축하거나 큰 비용을 들여 모듈을 구입하여야 한다.The existing cloud service system includes a plurality of CSPs, a plurality of CSCs, and a plurality of CSBs as described above. However, the plurality of CSPs, the CSCs, and the CSBs process authentication according to different authentication methods, A separate module for authentication processing is required. As the authentication processing method is different for both CSP, CSC and CSB, users who use the cloud service feel uncomfortable or hassle in the login authentication process. CSP, CSC and CSB developers can establish an authentication procedure system according to the development environment. Or purchase modules at great cost.

국내 공개특허 제10-2015-0053513호(2015.05.18. 공개)Korean Patent Laid-Open No. 10-2015-0053513 (published on May 18, 2015)

전술한 문제점을 해결하기 위하여 본 발명이 이루고자 하는 기술적 과제는, 각 클라우드 서비스를 제공하는 시스템에 SSO 솔루션을 적용하지 않고도 수월하게 인증을 처리하여 시스템 구축 비용을 줄일 수 있는 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템을 제시하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems occurring in the prior art, and it is an object of the present invention to provide a security authentication method for a cloud service user that can easily process authentication without processing SSO solution in a system providing each cloud service, Method and security authentication system.

또한, 본 발명이 이루고자 하는 기술적 과제는, 별도의 인증 처리를 위한 모듈을 마련하지 않고도, 사용자가 CSP, CSC 또는 CSB에 접속할 때 필요한 인증 절차 방식을 통합하여 간단한 비용으로 보안이 강화된 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템을 제시하는 데 있다. It is another object of the present invention to provide a method and a system for providing a security service to a cloud service user with a simple security function by integrating the authentication procedure required when a user accesses a CSP, And a security authentication system.

또한, 본 발명이 이루고자 하는 다른 기술적 과제는, 인증하는 동안 패킷 노출 시에도 일회용 키를 이용함으로써 시스템의 취약한 보안 문제를 해결할 수 있는 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템을 제시하는 데 있다.It is another object of the present invention to provide a security authentication method and a security authentication system for a cloud service user that can solve a vulnerable security problem of a system by using a disposable key even when a packet is exposed during authentication .

전술한 기술적 과제를 해결하기 위한 수단으로서, 본 발명의 실시 예에 따르면, 클라우드 서비스 사용자를 위한 보안 인증 방법은, (A) 사용자가 통합 인증 포털 서버에 로그인하면, 상기 통합 인증 포털 서버가 상기 사용자의 로그인 정보, 일회용 내부키 및 공개키를 이용하여 다중 암호화된 조합 문자열을 생성하는 단계; (B) 상기 통합 인증 포털 서버가 복수의 클라우드 서비스 포털 장치들 중 타겟 포털 장치로 상기 암호화된 조합 문자열을 전송하는 단계; (C) 상기 타겟 포털 장치가 상기 암호화된 조합 문자열을 복호화하는 단계; (D) 상기 통합 인증 포털 서버와 상기 타겟 포털 장치가 복호화된 조합 문자열 및 상기 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 단계; 및 (E) 상기 사용자의 인증이 성공하면 상기 타겟 포털 장치가 상기 사용자에게 메인 화면을 제공하는 단계;를 포함한다.According to an aspect of the present invention, there is provided a security authentication method for a cloud service user, comprising: (A) when a user logs in to an integrated authentication portal server, Generating a plurality of encrypted combination strings using login information, a disposable internal key, and a public key; (B) the integrated authentication portal server transmitting the encrypted combination string to a target portal apparatus among a plurality of cloud service portal apparatuses; (C) decrypting the encrypted combination string by the target portal apparatus; (D) checking the user's authentication using the combination string decrypted by the integrated authentication portal server and the target portal device and the disposable internal key; And (E) when the authentication of the user is successful, the target portal device provides the main screen to the user.

상기 (A) 단계는, (A1) 상기 사용자가 아이디(ID)와 패스워드를 이용하여 상기 통합 인증 포털 서버에 로그인하는 단계; (A2) 상기 통합 인증 포털 서버가 상기 패스워드와 상기 일회용 내부키를 조합한 임시 문자열을 상기 일회용 내부키로 암호화하는 단계; 및 (A3) 상기 암호화된 임시 문자열과 상기 ID를 조합한 조합 문자열을 상기 공개키로 암호화하는 단계;를 포함한다.Wherein the step (A) comprises: (A1) logging in the integrated authentication portal server using the user ID and password; (A2) encrypting a temporary string in which the integrated authentication portal server combines the password and the disposable internal key with the disposable internal key; And (A3) encrypting the combination string obtained by combining the encrypted temporary string and the ID with the public key.

상기 (C) 단계는, (C1) 상기 타겟 포털 장치가 상기 공개키를 이용하여 상기 암호화된 조합 문자열을 복호화하여 상기 복호화된 조합 문자열을 확인하는 단계; 및 (C2) 상기 복호화된 조합 문자열을 파싱하여 상기 ID와 상기 암호화된 임시 문자열을 추출하는 단계;를 포함한다.The step (C) may include: (C1) the target portal device decrypting the encrypted combination string using the public key to check the decrypted combination string; And (C2) parsing the deciphered combination string to extract the ID and the encrypted temporary string.

상기 (D) 단계는, (D1) 상기 타겟 포털 장치가 REST API URI를 상기 추출된 ID로 호출하여 상기 일회용 내부키를 요청하는 단계; (D2) 상기 통합 인증 포털 서버가 상기 (D1) 단계로부터 수신한 RESP API URI에 기재된 ID를 확인하고, 상기 확인된 ID로 상기 일회용 내부키를 조회하는 단계; (D3) 상기 조회한 일회용 내부키를 상기 타겟 포털 장치에게 제공하는 단계; (D4) 상기 타겟 포털 장치가 상기 통합 인증 포털 서버에서 제공한 상기 REST API URI를 상기 제공받은 일회용 내부키와 상기 수신한 암호화된 조합 문자열로 호출하여 상기 사용자의 인증 체크를 요청하는 단계; (D5) 상기 통합 인증 포털 서버가 상기 수신한 암호화된 조합 문자열과 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 단계;를 포함한다.Wherein the step (D) comprises: (D1) requesting the disposable internal key by calling the REST API URI with the extracted ID by the target portal apparatus; (D2) the integrated authentication portal server verifying the ID described in the RESP API URI received from the step (D1), and inquiring the disposable internal key with the confirmed ID; (D3) providing the retrieved disposable internal key to the target portal apparatus; (D4) requesting the user authentication check by calling the REST API URI provided by the integrated portal server with the provided disposable internal key and the received encrypted combination string; (D5) checking the authentication of the user using the encrypted combination string and the disposable internal key received by the integrated authentication portal server.

상기 (D5) 단계는, (D51) 상기 통합 인증 포털 서버가 상기 수신한 암호화된 조합 문자열을 상기 수신한 일회용 내부키로 복호화하는 단계; (D52) 상기 복호화된 임시 문자열을 파싱하여 패스워드를 추출하는 단계; 및 (D53) 상기 추출된 패스워드가 상기 타겟 포털 장치로부터 수신한 ID에 해당하는 패스워드인지 확인하여 상기 사용자의 인증을 체크하는 단계;를 포함한다.The step (D5) further comprises: (D51) decrypting the encrypted combination string received by the integrated authentication portal server using the received disposable internal key; (D52) parsing the decrypted temporary string to extract a password; And (D53) checking whether the extracted password is a password corresponding to the ID received from the target portal apparatus, and checking the authentication of the user.

상기 (B) 단계는, (B1) 상기 통합 인증 포털 서버가 데이터베이스에 저장된 상기 복수의 클라우드 서비스 포털 장치들 중 상기 사용자가 접속할 타겟 포털 장치를 판별하는 단계; 및 (B2) 상기 통합 인증 포털 서버가 상기 판별된 타겟 포털 장치에게 상기 암호화된 조합 문자열을 전송하는 단계;를 포함한다. The step (B) includes the steps of: (B1) determining, by the integrated authentication portal server, a target portal device to be connected by the user among the plurality of cloud service portal devices stored in the database; And (B2) transmitting the encrypted combination string to the identified target portal apparatus by the integrated authentication portal server.

상기 복수의 클라우드 서비스 포털 장치들은, 클라우드 서비스를 제공하는 클라우드 서비스 제공자 포털 장치; 상기 클라우드 서비스를 사용하는 클라우드 서비스 사용자 포털 장치; 및 클라우드 서비스 브로커링 서비스를 제공하는 클라우드 서비스 브로커리지 포털 장치;를 포함한다.Wherein the plurality of cloud service portal devices comprises: a cloud service provider portal device for providing a cloud service; A cloud service user portal apparatus using the cloud service; And a cloud service brokerage portal device providing cloud service brokering service.

한편, 본 발명의 다른 실시 예에 따르면, 클라우드 서비스 사용자를 위한 보안 시스템은, 클라우드 서비스의 제공, 이용 및 중개 중 적어도 하나를 담당하는 복수의 클라우드 서비스 포털 장치들; 및 사용자가 한 번의 로그인을 통해 상기 복수의 클라우드 서비스 포털 장치들 중 원하는 타겟 포털 장치에 접속하도록, 상기 사용자의 로그인 정보, 일회용 내부키 및 공개키를 이용하여 다중 암호화된 조합 문자열을 생성한 후 상기 타겟 포털 장치에게 전송하고, 상기 타겟 포털 장치에서 상기 암호화된 조합 문자열을 복호화하여 획득한 사용자 ID, 상기 일회용 내부키 및 상기 공개키를 이용하여 상기 사용자의 인증을 확인하는 통합 인증 포털 서버;를 포함한다.According to another embodiment of the present invention, there is provided a security system for a cloud service user, comprising: a plurality of cloud service portal apparatuses responsible for at least one of providing, using and brokering a cloud service; And generating a plurality of encrypted combination strings by using the login information, the disposable internal key, and the public key of the user so that the user accesses a desired one of the plurality of cloud service portal devices through one login, And an integrated authentication portal server for transmitting the encrypted combination string to the target portal apparatus and verifying the authentication of the user using the acquired user ID, the disposable internal key, and the public key by decrypting the encrypted combination string in the target portal apparatus do.

상기 통합 인증 포털 서버는, 상기 사용자가 ID와 패스워드를 이용하여 상기 통합 인증 포털 서버에 로그인하면, 상기 패스워드와 상기 일회용 내부키를 조합한 임시 문자열을 상기 일회용 내부키로 암호화하는 내부키 암호화부; 및 상기 암호화된 임시 문자열과 상기 ID를 조합한 조합 문자열을 상기 공개키로 암호화하는 공개키 암호화부;를 포함한다.Wherein the integrated authentication portal server comprises: an internal key encrypting unit for encrypting a temporary string, which is a combination of the password and the disposable internal key, with the disposable internal key when the user logs in the integrated authentication portal server using an ID and a password; And a public key encryption unit for encrypting the combination string obtained by combining the encrypted temporary string and the ID with the public key.

상기 타겟 포털 장치는, 상기 공개키로 상기 암호화된 조합 문자열을 복호화하여 상기 복호화된 조합 문자열을 확인하는 공개키 복호화부; 및 상기 복호화된 조합 문자열을 파싱하여 상기 ID와 상기 암호화된 임시 문자열을 추출하는 조합 문자열 파서;를 포함한다.The target portal apparatus includes a public key decryption unit decrypting the encrypted combination string using the public key and verifying the decrypted combination string; And a combined string parser for parsing the decoded combination string to extract the ID and the encrypted temporary string.

상기 타겟 포털 장치는, REST API URI를 상기 추출된 ID로 호출하여 상기 일회용 내부키를 요청하고, 상기 일회용 내부키를 제공받으면, 상기 REST API URI를 상기 제공받은 일회용 내부키와 상기 수신한 암호화된 조합 문자열로 호출하여 상기 사용자의 인증 체크를 요청하는 인증 요청부;를 더 포함하며, 상기 통합 인증 포털 서버는, 상기 타겟 포털 장치로부터 수신한 RESP API URI에 기재된 ID로 상기 일회용 내부키를 조회하여 상기 타겟 포털 장치에게 제공하며, 상기 수신한 REST API URI에 기재된 암호화된 조합 문자열과 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 인증 체크부;를 더 포함한다.Wherein the target portal device requests the disposable internal key by calling the REST API URI with the extracted ID, and when receiving the disposable internal key, transmits the REST API URI to the provided disposable internal key, Wherein the integrated authentication portal server inquires of the disposable internal key with an ID written in the RESP API URI received from the target portal apparatus, And an authentication check unit for providing the target portal apparatus with the combination string and the disposable internal key described in the received REST API URI to check the authentication of the user.

상기 인증 체크부는, 상기 타겟 포털 장치로부터 수신한 상기 암호화된 조합 문자열을 상기 공개키로 복호화하는 공개키 복호화부; 상기 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열을 추출하는 파서; 및 상기 추출된 암호화된 임시 문자열을 상기 수신한 일회용 내부키로 복호화하는 내부키 복호화부;를 포함한다. The authentication check unit may include a public key decryption unit decrypting the encrypted combination string received from the target portal apparatus using the public key; A parser for parsing the decrypted combination string to extract an ID and an encrypted temporary string; And an internal key decryption unit for decrypting the extracted temporary string using the received disposable internal key.

본 발명에 따르면, 각 클라우드 서비스를 제공하는 클라우드 서비스 제공자뿐만 아니라, 클라우드 서비스 사용자 및 클라우드 서비스 중개자 시스템에 SSO 솔루션을 적용하지 않고도 간단히 사용자 인증을 처리함으로써 사용자 편의성을 향상시키고, 보안에 필요한 시스템 구축 비용을 줄일 수 있다.According to the present invention, not only a cloud service provider providing each cloud service but also a cloud service user and a cloud service broker system can easily process user authentication without applying SSO solution, thereby improving user convenience, .

또한, 본 발명에 따르면, 별도의 인증 처리를 위한 모듈 없이, 사용자가 CSP, CSC 또는 CSB에 접속할 때 필요한 서로 다르던 인증 절차 방식을 통합함으로써 큰 비용의 부담 없이 사용자 편의성을 높이면서, 간단한 인증 절차로도 보안이 강화된 클라우드 서비스를 제공할 수 있다.Further, according to the present invention, by integrating different authentication procedure methods required when a user accesses a CSP, a CSC, or a CSB without a separate authentication processing module, the user convenience can be improved without burdening a large cost, Can also provide security-enhanced cloud services.

또한, 본 발명에 따르면, 사용자 별로 복수 개의 ID를 등록하고, 각 ID마다 다른 클라우드 서비스를 지정하도록 함으로써 사용자가 여러 번 회원가입을 시도하는 번거로움을 해소할 수 있다. 또한, 사용자가 회원가입을 한 이후에도 이전에 가입한 ID로 로그인한 후 새로운 ID를 등록하면서 원하는 클라우드 서비스를 지정할 수 있음으로 사용자 편의성을 높일 수 있다.In addition, according to the present invention, by registering a plurality of IDs for each user and designating different cloud services for each ID, it is possible to solve the trouble that the user tries to join the membership several times. In addition, even after the user joins the subscription, the desired cloud service can be designated while registering the new ID after logging in with the previously registered ID, thereby enhancing user convenience.

또한, 본 발명에 따르면, 사용자 인증을 수행하는 동안 패킷이 노출되는 경우에도 일회용 키를 이용하여 암호화 및 복호화함으로써 보안 문제를 해결할 수 있다.Also, according to the present invention, even if a packet is exposed during user authentication, a security problem can be solved by encrypting and decrypting using a one-time key.

도 1은 본 발명의 실시 예에 따른 클라우드 서비스 사용자를 위한 보안 인증 시스템을 도시한 도면,
도 2는 보안 인증 시스템의 통합 인증 포털 서버와 타겟 포털 장치의 블록도,
도 3은 암호화된 조합 문자열 구조와 복호화된 조합 문자열 구조를 설명하기 위한 도면,
도 4는 본 발명의 실시 예에 따른 클라우드 서비스 사용자를 위한 보안 인증 방법을 설명하기 위한 흐름도, 그리고,
도 5 및 도 6은 도 4를 참조하여 설명한 보안 인증 방법을 보다 자세히 설명하기 위한 흐름도이다.FIG. 1 illustrates a security authentication system for a cloud service user according to an embodiment of the present invention; FIG.
2 is a block diagram of an integrated authentication portal server and a target portal device of the security authentication system,
3 is a diagram for explaining an encrypted combination string structure and a decoded combination string structure,
4 is a flowchart illustrating a security authentication method for a cloud service user according to an embodiment of the present invention,
5 and 6 are flowcharts for explaining the security authentication method described with reference to FIG. 4 in more detail.

이상의 본 발명의 목적들, 다른 목적들, 특징들 및 이점들은 첨부된 도면과 관련된 이하의 바람직한 실시 예들을 통해서 쉽게 이해될 것이다. BRIEF DESCRIPTION OF THE DRAWINGS The above and other objects, features, and advantages of the present invention will become more readily apparent from the following description of preferred embodiments with reference to the accompanying drawings.

어떤 구성요소, 장치, 또는 시스템이 프로그램 또는 소프트웨어로 이루어진 구성요소를 포함한다고 언급되는 경우, 그 구성요소, 장치, 또는 시스템은 그 프로그램 또는 소프트웨어가 실행 또는 동작하는데 필요한 하드웨어(예를 들면, 메모리, CPU 등)나 다른 프로그램 또는 소프트웨어(예를 들면 운영체제나 하드웨어를 구동하는데 필요한 드라이버 등)를 포함하는 것으로 이해되어야 할 것이다. 또한, 어떤 구성요소 가 구현됨에 있어서 특별한 언급이 없다면, 그 구성요소는 소프트웨어, 하드웨어, 또는 소프트웨어 및 하드웨어 어떤 형태로도 구현될 수 있는 것으로 이해되어야 할 것이다.It is to be understood that when an element, apparatus, or system is referred to as comprising a program or a component made up of software, the component, apparatus, or system is in communication with the computer (e.g., CPU, etc.) or other program or software (e.g., drivers needed to drive an operating system or hardware, etc.). It is also to be understood that unless the context requires otherwise, the components may be implemented in software, hardware, or any form of software and hardware.

또한, 본 명세서에서 모듈이라 함은, 본 발명의 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적, 구조적 결합을 의미할 수 있다.In this specification, a module may mean a functional and structural combination of hardware for carrying out the technical idea of the present invention and software for driving the hardware.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다. 어떤 경우에는, 발명을 기술하는 데 있어서 흔히 알려졌으면서 발명과 크게 관련 없는 부분들은 본 발명을 설명하는 데 있어 별 이유 없이 혼돈이 오는 것을 막기 위해 기술하지 않음을 미리 언급해 둔다. Hereinafter, the present invention will be described in detail with reference to the drawings. In some instances, it should be noted that portions of the invention that are not commonly known in the description of the invention and are not significantly related to the invention do not describe confusing reasons for explaining the present invention.

이하, 본 발명에서 실시하고자 하는 구체적인 기술내용에 대해 첨부도면을 참조하여 상세하게 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1 및 도 2에 도시된 클라우드 서비스 사용자를 위한 보안 인증 시스템의 각각의 구성은 기능 및 논리적으로 분리될 수 있음을 나타내는 것이며, 반드시 각각의 구성이 별도의 물리적 장치로 구분되거나 별도의 코드로 작성됨을 의미하는 것은 아님을 본 발명의 기술분야의 평균적 전문가는 용이하게 추론할 수 있을 것이다.Each of the configurations of the security authentication system for the cloud service user shown in FIGS. 1 and 2 indicates that it can be functionally and logically separated, and each configuration can be divided into separate physical devices or written in separate codes The average expert in the field of the present invention can easily reasonably deduce that the term " a "

또한, 본 발명은 클라우드 서비스 사용자를 위한 보안 인증 시스템의 보안 인증 방법을 구현하기 위하여 상기 보안 인증 시스템을 제어하는 컴퓨터 상에서 수행되는 컴퓨터 판독 가능한 기록매체에 저장된 프로그램을 함께 제공하며, 또한, 상기 보안 인증 시스템은 소정의 데이터 프로세싱 장치에 각각 설치되어 본 발명의 기술적 사상을 구현할 수 있다.In addition, the present invention provides a program stored in a computer-readable recording medium executed on a computer for controlling the security authentication system to implement a security authentication method for a security authentication system for a cloud service user, The system may be installed in a predetermined data processing apparatus to implement the technical idea of the present invention.

도 1은 본 발명의 실시 예에 따른 클라우드 서비스 사용자를 위한 보안 인증 시스템을 도시한 도면이다.1 is a diagram illustrating a security authentication system for a cloud service user according to an embodiment of the present invention.

도 1에 도시된 보안 인증 시스템은 클라우드 컴퓨팅 환경에서 클라우드 서비스 사용자를 통합 인증하기 위한 것이다. 클라우드 서비스 사용자는 다수의 CSP, CSC 및 CSB 중 적어도 하나에서 제공하는 서비스를 사용한다.The security authentication system shown in Fig. 1 is for integrated authentication of a cloud service user in a cloud computing environment. A cloud service user uses services provided by at least one of a plurality of CSPs, CSCs, and CSBs.

도 1을 참조하면, 본 발명의 실시 예에 따른 CSB 사용자를 위한 보안 인증 시스템은 복수의 클라우드 서비스 포털 장치들(10, 20, 30) 및 통합 인증 포털 서버(100)를 포함한다. Referring to FIG. 1, a security authentication system for a CSB user according to an embodiment of the present invention includes a plurality of cloud service portal devices 10, 20, and 30 and an integrated authentication portal server 100.

클라우드 서비스 포털 장치들(10, 20, 30)은 CSP 포털 장치(10), CSC 포털 장치(20) 및 CSB 포털 장치(30)를 포함한다. CSP 포털 장치(10)는 CSP 서비스를 제공하기 위한 장치이고, CSC 포털 장치(20)는 CSC 서비스를 제공하기 위한 장치이고, CSB 포털 장치(30)는 CSB 서비스를 제공하기 위한 장치이다.The cloud service portal devices 10, 20 and 30 include a CSP portal device 10, a CSC portal device 20 and a CSB portal device 30. [ The CSP portal device 10 is a device for providing CSP service, the CSC portal device 20 is a device for providing CSC service, and the CSB portal device 30 is a device for providing CSB service.

통합 인증 포털 서버(100)는 클라우드 서비스 포털 장치들(10, 20, 30) 중 적어도 하나를 사용하기 위한 사용자를 통합 관리한다. 이를 위하여, 사용자는 통합 인증 포털 서버(100)에 회원가입 시 아이디(ID)와 패스워드(PW)를 등록하고, CSP, CSC 및 CSB 중 사용자가 사용할 하나를 지정한다. 사용자가 CSP를 지정하면, 통합 인증 포털 서버(100)는 CSP 포털 장치(10)를 타겟 포털 장치로 정하고, 사용자의 ID와 패스워드에 CSP 포털 장치(10)의 정보(예를 들어, 웹 경로, 식별 정보 등)를 매핑하여 저장한다.The integrated authentication portal server 100 integrally manages a user for using at least one of the cloud service portal apparatuses 10, 20, and 30. To this end, the user registers an ID and a password PW in the integrated authentication portal server 100 and designates one of the CSP, CSC, and CSB to be used by the user. When the user designates the CSP, the integrated authentication portal server 100 determines the CSP portal device 10 as the target portal device and adds the information of the CSP portal device 10 (for example, web path, Identification information, etc.) are mapped and stored.

또한, 사용자는 통합 인증 포털 서버(100)에 회원가입 시 복수 개의 아이디를 설정하고, 각 아이디마다 다른 서비스를 지정할 수 있다. 예를 들어, 사용자는 ID1, ID2 및ID3 3개의 ID를 설정하고, ID1, ID2 및 ID3 각각에 CSP, CSC 및 CSB를 지정할 수 있다. 이로써, 사용자가 사용하기 원하는 클라우드 서비스가 여러 개인 경우, 사용자는 한 번의 회원가입만으로 여러 개의 ID를 등록하고, 각 ID에 원하는 클라우드 서비스 포털을 간단한 절차로 지정할 수 있다.In addition, the user can set a plurality of IDs in the integrated authentication portal server 100 when joining members, and specify different services for each ID. For example, the user can set three IDs ID1, ID2, and ID3, and designate CSP, CSC, and CSB for ID1, ID2, and ID3, respectively. Accordingly, when there are a plurality of cloud services that the user wants to use, the user can register multiple IDs with only one member registration and designate a desired cloud service portal as a simple procedure for each ID.

이후, 사용자가 통합 인증 포털 서버(100)에 로그인하면, 통합 인증 포털 서버(100)는 사용자의 ID에 매핑된 타겟 포털 장치를 확인한다. 그리고, 통합 인증 포털 서버(100)는 사용자로부터 더 이상의 정보를 받지 않고, 확인된 타겟 포털 장치인 CSP 포털 장치(10)에 자동 로그인 및 접속되도록 CSP 포털 장치(10)와 사용자 인증 체크 절차를 수행한다.Thereafter, when the user logs in the integrated authentication portal server 100, the integrated authentication portal server 100 confirms the target portal apparatus mapped to the user's ID. Then, the integrated authentication portal server 100 performs a user authentication check procedure with the CSP portal device 10 so as to automatically login and connect to the CSP portal device 10, which is the confirmed target portal device, without receiving further information from the user do.

통합 인증 포털 서버(100)는 사용자의 ID, 패스워드, 일회용 내부키 및 공개키를 이용하여 사용자 인증 절차에 필요한 암호화된 조합 문자열을 생성한다.The integrated authentication portal server 100 generates an encrypted combination string necessary for the user authentication procedure using the user's ID, password, disposable internal key, and public key.

일회용 내부키는 사용자의 인증 확인을 위해 통합 인증 포털 서버(100)가 발생하는 일회용 인증키이다. 공개키는 클라우드 서비스 포털 장치들(10, 20, 30)과 통합 인증 포털 서버(100)가 공유하는 키이다. 즉, 공개키는 통합 인증 포털 서버(100)와 복수의 클라우드 서비스 포털 장치들(10, 20, 30) 간에 사전에 약속한 키로서, 패킷상으로는 전송되지 않고, 내부적으로 개발 소스, 또는, 각 장치들(10, 20, 30, 100)에 정의하여 사용된다. 또한, 통합 인증 포털 서버(100)는 외부에 의해 노출되지 않도록 표준 암호화 방식인 AES 128비트 방식으로 암호화를 최종 처리하여 파라미터(즉, 인자)로 전송한다.The disposable internal key is a disposable authentication key generated by the integrated authentication portal server 100 for authenticating the user. The public key is a key shared by the cloud service portal devices 10, 20, and 30 and the integrated authentication portal server 100. That is, the public key is a key promised beforehand between the integrated authentication portal server 100 and the plurality of cloud service portal apparatuses 10, 20, 30, and is not transmitted on a packet basis, (10, 20, 30, 100). In addition, the integrated authentication portal server 100 finally performs encryption in an AES 128-bit method, which is a standard encryption method, so as not to be exposed by the outside, and transmits the encryption in a parameter (i.e., a factor).

타겟 포털 장치(10)와 통합 인증 포털 서버(100)는 암호화된 조합 문자열을 다시 공개키, REST API 및 일회용 내부키 등을 이용하여 복호화하고, 이 과정에서 타겟 포털 장치(10)는 이러한 인증 절차가 정상적인지 통합 인증 포털 서버(100)를 통해 확인한다. The target portal apparatus 10 and the integrated authentication portal server 100 decrypt the encrypted combination string using the public key, the REST API, and the disposable internal key, and in this process, the target portal apparatus 10 performs the authentication procedure Is authenticated through the integrated authentication portal server (100).

도 2는 보안 인증 시스템의 통합 인증 포털 서버(100)와 타겟 포털 장치(10)의 블록도이다.2 is a block diagram of the integrated authentication portal server 100 and the target portal apparatus 10 of the security authentication system.

도 2를 참조하면, 통합 인증 포털 서버(100)는 인증 처리부(110), 내부키 암호화부(120), 공개키 암호화부(130), 인증 체크부(140) 및 DB(Database)(150)를 포함한다.2, the integrated authentication portal server 100 includes an authentication processing unit 110, an internal key encryption unit 120, a public key encryption unit 130, an authentication check unit 140, and a DB 150, .

인증 처리부(110)는 사용자가 통합 인증 포털 서버(100)에 ID와 패스워드를 입력하면, DB(150)에 저장된 ID와 패스워드를 검색하여 사용자의 로그인 인증을 처리한다. 로그인되면, 인증 처리부(110)는 DB(150)로부터 사용자의 ID에 매핑저장된 타겟 포털 장치를 확인한다. 이하에서는 사용자가 사전에 로그인한 ID에 지정한 타겟 포털 장치(10)로서 CSP 포털 장치를 예로 들어 설명한다.When the user inputs the ID and the password to the integrated authentication portal server 100, the authentication processing unit 110 searches for the ID and the password stored in the DB 150 and processes the login authentication of the user. Once authenticated, the authentication processing unit 110 confirms the target portal device stored in the DB 150, which is mapped to the ID of the user. Hereinafter, the CSP portal apparatus will be described as an example of the target portal apparatus 10 designated by the user in the ID that is previously logged in.

도 3은 암호화된 조합 문자열 구조와 복호화된 조합 문자열 구조를 설명하기 위한 도면이다.3 is a diagram for explaining an encrypted combination string structure and a decoded combination string structure.

도 3의 (a)를 참조하여 조합 문자열을 생성하는 과정에 대해 설명하면, 내부키 암호화부(120)는 일회용 내부키를 생성하고, 사용자의 패스워드와 일회용 내부키를 조합한 임시 문자열을 생성한다(①). 임시 문자열은 '패스워드::일회용 내부키'의 형태를 가지며, '::'는 구분자이다. 그리고, 내부키 암호화부(120)는 임시 문자열을 일회용 내부키로 암호화한다(②).Referring to FIG. 3 (a), a process of generating a combination string will be described. The internal key encryption unit 120 generates a disposable internal key, and generates a temporary string in which the password of the user and the disposable internal key are combined (①). The temporary string has the form of 'password :: disposable internal key', and '::' is the delimiter. Then, the internal key encryption unit 120 encrypts the temporary string with the disposable internal key (2).

공개키 암호화부(130)는 내부키 암호화부(120)에서 암호화된 임시 문자열과 사용자의 ID를 조합한 조합 문자열을 생성한다(③). 생성된 조합 문자열은 'ID::암호화된 임시 문자열'의 형태를 갖는다. 그리고, 공개키 암호화부(130)는 공개키로 조합 문자열을 암호화한다(④). The public key encryption unit 130 generates a combination string in which the temporary string encrypted by the internal key encryption unit 120 and the ID of the user are combined (3). The generated combination string has the form of 'ID :: Encrypted Temporary String'. Then, the public key encryption unit 130 encrypts the combination string using the public key (4).

통합 인증 포털 서버(100)는 암호화된 조합 문자열을 타겟 포털 장치(10)로 전송하고, 타겟 포털 장치(10)로부터 최소 두 번의 REST API URI 호출을 수신하고, 사용자 인증 절차가 적합한지 인증 체크를 수행한다.The integrated authentication portal server 100 transmits the encrypted combination string to the target portal device 10, receives at least two REST API URI calls from the target portal device 10, .

인증 체크부(140)는 타겟 포털 장치(10)로부터 처음 수신한 RESP API URI에 기재된 ID로 일회용 내부키를 조회하여 타겟 포털 장치(10)에게 제공하며, 두 번째로 수신한 REST API URI에 기재된 암호화된 조합 문자열과 일회용 내부키를 이용하여 사용자의 인증을 체크한다. The authentication check unit 140 inquires the disposable internal key with the ID described in the RESP API URI first received from the target portal apparatus 10 and provides the disposable internal key to the target portal apparatus 10, The user's authentication is checked using the encrypted combination string and the disposable internal key.

이를 위하여, 인증 체크부(140)는 내부키 확인부(142), 공개키 복호화부(144), 파서(146) 및 내부키 복호화부(148)를 포함한다.The authentication check unit 140 includes an internal key checking unit 142, a public key decrypting unit 144, a parser 146, and an internal key decrypting unit 148.

내부키 확인부(142)는 타겟 포털 장치(10)로부터 처음 REST API URI 호출이 수신되면, REST API URI에 기재된 ID와 타겟 포털 장치(10)로 전송한 암호화된 조합 문자열에 포함된 ID가 동일한지 확인한다. 동일한 경우, 내부키 확인부(142)는 조합 문자열 암호화 시 사용한 일회용 내부키를 조회하여 타겟 포털 장치(10)에게 제공한다. 내부키 확인부(142)는 REST API URI에 기재된 ID를 이용하여, 암호화된 조합 문자열 생성 시 사용한 일회용 내부키를 DB(150)에서 조회한다.When the first REST API URI call is received from the target portal apparatus 10, the internal key checking unit 142 checks whether the ID contained in the REST API URI and the ID included in the encrypted combination string transmitted to the target portal apparatus 10 are the same . In the same case, the internal key verifying unit 142 inquires of the disposable internal key used in the combination string encryption and provides it to the target portal apparatus 10. The internal key verifying unit 142 inquires of the DB 150 about the disposable internal key used in generating the encrypted combined character string using the ID described in the REST API URI.

만약, REST API URI에 기재된 ID가 암호화된 조합 문자열에 포함된 ID와 다르면, 내부키 확인부(142)는 일회용 내부키를 조회하지 않고, 사용자 인증이 부적합함을 알리는 경고 메시지를 타겟 포털 장치(10)에게 전송한다.If the ID described in the REST API URI is different from the ID contained in the encrypted combination string, the internal key checking unit 142 does not inquire the disposable internal key, but sends a warning message indicating that the user authentication is inadequate to the target portal apparatus 10).

도 3의 (b)를 참조하면, 공개키 복호화부(144)는 두 번째 REST API URI 호출이 수신되면, REST API URI에 기재된 암호화된 조합 문자열을 공개키로 복호화한다(⑪). Referring to FIG. 3 (b), when the second REST API URI call is received, the public key decryption unit 144 decrypts the encrypted combination string described in the REST API URI using the public key ().

파서(146)는 공개키로 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열을 추출한다(⑫).The parser 146 parses the combination string decrypted with the public key to extract the ID and the encrypted temporary string (12).

내부키 복호화부(148)는 추출된 암호화된 임시 문자열을 REST API URI 호출로부터 수신한 일회용 내부키로 복호화한다(⑬). The internal key decryption unit 148 decrypts the extracted encrypted temporary character string using the disposable internal key received from the REST API URI call (13).

파서(146)는 복호화된 임시 문자열을 파싱하여 패스워드와 일회용 내부키를 추출한다(⑭).The parser 146 parses the decrypted temporary string to extract the password and the disposable internal key (14).

인증 처리부(110)는 파싱에 의해 추출된 패스워드와 일회용 내부키를 이용하여 사용자의 인증이 정상적으로 수행되었는지를 체크한다. 즉, 인증 처리부(110)는 추출된 패스워드가 처음 REST API URI에 기재된 ID에 해당하는 패스워드인지를 DB(150)로부터 확인하고, 이에 해당하면, 통합 인증 포털 서버(100)와 타겟 포털 장치(10) 간의 사용자 인증이 정상적인 절차에 의해 수행된 것으로 판단한다.The authentication processing unit 110 checks whether the authentication of the user is normally performed by using the password extracted by the parsing and the disposable internal key. That is, the authentication processing unit 110 confirms from the DB 150 whether the extracted password is the password corresponding to the ID described in the first REST API URI. If the extracted password is a password corresponding to the ID described in the REST API URI, the integrated authentication portal server 100 and the target portal apparatus 10 ) Is performed by a normal procedure.

DB(150)는 사용자의 ID, 패스워드, 사용자가 지정한 타겟 포털 장치의 정보 및 암호화된 조합 문자열 생성시 사용한 일회용 내부키를 저장한다. DB 150 stores the user ID, password, information of the target portal device designated by the user, and disposable internal key used in generating the encrypted combination string.

한편, 타겟 포털 장치(10)는 타겟 공개키 복호화부(12), 조합 문자열 파서(14) 및 인증 요청부(16)를 포함한다.The target portal apparatus 10 includes a target public key decryption unit 12, a combination string parser 14, and an authentication request unit 16.

타겟 공개키 복호화부(12)는 통합 인증 포털 서버(100)로부터 수신한 암호화된 조합 문자열을 공개키로 복호화하여 복호화된 조합 문자열을 확인한다.The target public key decryption unit 12 decrypts the encrypted combination string received from the integrated authentication portal server 100 using the public key, and confirms the decrypted combination string.

조합 문자열 파서(14)는 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열을 추출한다.The combination string parser 14 parses the decoded combination string to extract the ID and the encrypted temporary string.

인증 요청부(16)는 통합 인증 포털 서버(100)로부터 제공되는 REST API URI를 추출된 ID로 호출하여 일회용 내부키의 전송을 요청하고, 일회용 내부키를 제공받으면, 두 번째의 REST API URI를 제공받은 일회용 내부키와 암호화된 조합 문자열로 호출하여 사용자의 인증 체크를 요청한다. The authentication request unit 16 calls the REST API URI provided from the integrated authentication portal server 100 with the extracted ID to request the transmission of the disposable internal key, and when receiving the disposable internal key, the second REST API URI It calls the supplied disposable internal key and the encrypted combination string to request the user's authentication check.

이하에서는, 클라우드 서비스 사용자를 위한 보안 인증 시스템의 보안 인증 방법을 설명한다.Hereinafter, a security authentication method for a security authentication system for a cloud service user will be described.

도 4는 본 발명의 실시 예에 따른 클라우드 서비스 사용자를 위한 보안 인증 방법을 설명하기 위한 흐름도이다.4 is a flowchart illustrating a security authentication method for a cloud service user according to an embodiment of the present invention.

도 4에 도시된 보안 인증 방법은 도 1에서 설명한 복수의 클라우드 서비스 포털 장치들(10, 20, 30) 중 하나인 타겟 포털 장치(10)와, 통합 인증 포털 서버(100)에 의해 수행된다. 따라서, 도 4 내지 도 5에 도시된 타겟 포털 장치와 통합 인증 포털 서버는 각각 타겟 포털 장치(10)와 통합 인증 포털 서버(100)와 동일한 장치일 수 있다.The security authentication method shown in FIG. 4 is performed by the target portal apparatus 10 and the integrated authentication portal server 100, which are one of the plurality of cloud service portal apparatuses 10, 20, and 30 described in FIG. Therefore, the target portal apparatus and the integrated authentication portal server shown in FIG. 4 to FIG. 5 may be the same apparatus as the target portal apparatus 10 and the integrated authentication portal server 100, respectively.

도 4를 참조하면, 통합 인증 포털 서버는 사용자로부터 입력받은 ID와 패스워드로 로그인 인증을 수행하고, 인증되면 사용자가 어느 타겟 포털 사용자인지 확인한다(S210). S210단계에서, 통합 인증 포털 서버는 사용자가 사전에 지정한 타겟 포털 장치를 DB로부터 확인한다.Referring to FIG. 4, the integrated authentication portal server performs login authentication using an ID and a password input from a user, and if authenticated, identifies which target portal user the user is in (S210). In step S210, the integrated authentication portal server confirms the target portal device designated by the user from the DB.

타겟 포털 장치가 확인되면, 통합 인증 포털 서버는 사용자의 로그인 정보(즉, ID와 패스워드), 일회용 내부키 및 공개키를 이용하여 다중 암호화된 조합 문자열을 생성한다(S220).When the target portal device is confirmed, the integrated authentication portal server generates a multiple encrypted combination string using the login information (i.e., ID and password) of the user, the disposable internal key, and the public key (S220).

통합 인증 포털 서버는 암호화된 조합 문자열을 타겟 포털 장치로 전송하면서 인증용 더미 페이지를 호출한다(S230). 인증용 더미 페이지는 타겟 포털 장치에서 제공하는 메인 포털 사이트를 호출하기 위한 것으로서, 통합 인증 포털 서버와 타겟 포털 장치가 자동으로 사용자 인증 절차를 수행하는 동안 사용자에게 보여주기 위해 링크된 페이지이다. S230단계에서 통합 인증 포털 서버는 암호화된 조합 문자열을 파라미터로 전송한다.The integrated authentication portal server transmits the encrypted combination string to the target portal device, and calls the authentication dummy page (S230). The authentication dummy page is for calling the main portal site provided by the target portal apparatus and is a page linked to show to the user while the integrated authentication portal server and the target portal apparatus automatically perform the user authentication procedure. In step S230, the integrated authentication portal server transmits the encrypted combination string as a parameter.

타겟 포털 장치는 인증용 더미 페이지의 호출에 따라 인증용 더미 페이지를 오픈한다(S240). The target portal device opens the authentication dummy page according to the call of the authentication dummy page (S240).

타겟 포털 장치는 수신된 암호화된 조합 문자열이 정상적인 과정으로 전송받은 문자열인지, 즉, 통합 인증 포털 서버에 로그인된 사용자의 인증 절차가 정상적인지 통합 인증 포털 서버를 통해 인증 체크한다(S250~S260).The target portal device checks whether the encrypted combination string received is a character string transmitted in a normal process, that is, whether the authentication procedure of the user logged into the integrated authentication portal server is normal (S250 to S260) through the integrated authentication portal server.

자세히 설명하면, 타겟 포털 장치는 S230단계를 통해 수신한 암호화된 조합 문자열을 공개키로 복호화한다(S250).More specifically, the target portal apparatus decrypts the encrypted combination string received through step S230 with the public key (S250).

조합 문자열이 공개키로 복호화되면, 타겟 포털 장치와 통합 인증 포털 서버는 REST API 호출, 암호화된 조합 문자열 및 암호화시 사용된 일회용 내부키를 이용하여 사용자의 인증을 체크한다(S260). S220단계, S250단계 및 S260단계는 도 5 및 도 6을 참조하여 자세히 후술한다.When the combination string is decrypted with the public key, the target portal device and the integrated authentication portal server check the user's authentication using the REST API call, the encrypted combination string, and the disposable internal key used in the encryption (S260). Steps S220, S250 and S260 will be described later in detail with reference to FIGS. 5 and 6. FIG.

통합 인증 포털 서버(100)는 사용자 인증 체크의 성공 여부를 타겟 포털 장치(10)에게 전송한다(S270). The integrated authentication portal server 100 transmits the success or failure of the user authentication check to the target portal apparatus 10 (S270).

사용자의 인증이 성공하면, 즉, 인증 체크 결과 정상적인 절차로 사용자 인증이 수행된 것으로 체크되면, 타겟 포털 장치는 사용자에게 포털 메인 화면을 제공하여 표시한다(S280).If the authentication of the user is successful, that is, if it is checked that the user authentication is performed in the normal procedure as a result of the authentication check, the target portal device provides the portal main screen to the user and displays the portal main screen (S280).

도 5 및 도 6은 도 4를 참조하여 설명한 보안 인증 방법을 보다 자세히 설명하기 위한 흐름도이다.5 and 6 are flowcharts for explaining the security authentication method described with reference to FIG. 4 in more detail.

도 5 및 도 6을 참조하면, 통합 인증 포털 서버는 로그인한 사용자의 ID와 패스워드로 인증을 수행하고, 사용자가 사전에 지정한 타겟 포털 장치를 확인한다(S210).5 and 6, the integrated authentication portal server performs authentication using the ID and password of the logged-in user, and confirms the target portal device designated by the user in step S210.

도 4에서 설명한 S220단계는 다음의 S222단계 내지 S228단계를 포함한다.The step S220 illustrated in FIG. 4 includes the following steps S222 through S228.

통합 인증 포털 서버는 S210단계에서 입력된 패스워드의 문자열과 일회용 내부키를 구분자(::)로 조합하여 임시 문자열을 생성한다(S222). 따라서, 임시 문자열은 '패스워드::일회용 내부키'의 형태를 갖는다.In step S222, the integrated authentication portal server generates a temporary string by combining the string of the password and the disposable internal key input in step S210 with delimiters (: :). Thus, the temporary string has the form of a 'password :: disposable internal key'.

통합 인증 포털 서버는 생성된 임시 문자열을 일회용 내부키로 암호화한다(S224). The integrated authentication portal server encrypts the created temporary string with the disposable internal key (S224).

다시, 통합 인증 포털 서버는 사용자의 ID와 암호화된 임시 문자열을 조합하여 조합 문자열을 생성하고, S224단계에서 사용된 일회용 내부키를 사용자 ID에 매핑하여 DB에 저장한다(S226).The integrated authentication portal server generates a combination string by combining the ID of the user and the encrypted temporary string, maps the disposable internal key used in step S224 to the user ID, and stores it in the DB (S226).

그리고, 통합 인증 포털 서버는 생성된 조합 문자열을 공개키로 암호화한다(S228). S226단계에서 생성되는 조합 문자열은 'ID::암호화된 임시 문자열'의 형태를 갖는다. Then, the integrated authentication portal server encrypts the generated combination string with the public key (S228). The combination string generated in step S226 has a form of 'ID :: encrypted temporary string'.

통합 인증 포털 서버는 암호화된 조합 문자열을 전송하면서 타겟 포털 장치의 인증용 더미 페이지를 호출한다(S230). S230단계에서 통합 인증 포털 서버는 다음 [표 1]과 같은 형태로 인증용 더미 페이지를 호출한다.The integrated authentication portal server calls the dummy page for authentication of the target portal device while transmitting the encrypted combination string (S230). In step S230, the integrated authentication portal server calls the authentication dummy page in the form shown in Table 1 below.

클라우드 서비스 포털 장치Cloud service portal device 인증용 더미 페이지 호출 형태Authentication dummy page call type 타겟 포털 장치Targeted portal device http://192.168.10.11/타겟포털장치/dummy?authStr=암호화 조합문자열http://192.168.10.11/ Targeted portal device / dummy? authStr = Encryption combination string CSP 포털 장치CSP portal device http://192.168.10.11/cspportal/dummy?authStr=34dsre!http://192.168.10.11/cspportal/dummy?authStr=34dsre! CSC 포털 장치CSC portal device http://192.168.10.11/cscportal/dummy?authStr=#6df4l5%?http://192.168.10.11/cscportal/dummy?authStr=#6df4l5%? CDB 포털 장치CDB portal device http://192.168.10.11/csbportal/dummy?authStr=gfjkld93emhttp://192.168.10.11/csbportal/dummy?authStr=gfjkld93em

[표 1]을 참조하면, 인증용 더미 페이지를 호출하기 위해 사용되는 기본적인 형태는 예를 들어, 'http://192.168.10.11/타겟포털장치/dummy?authStr=암호화 조합 문자열'이다. 이 기본적인 형태 중 '타겟포털장치'에는 사용자가 지정한 타겟 포털 장치의 식별 ID가 기재되고, '암호화 조합 문자열'에는 사용자의 ID, 패스워드, 내부키 및 공개키로 생성된 암호화된 조합 문자열이 기재된다.[Table 1] Referring to Table 1, a basic form used for calling an authentication dummy page is, for example, 'http://192.168.10.11/ target portal device / dummy? AuthStr = encryption combination string'. Of the basic types, the 'target portal device' describes the identification ID of the target portal device designated by the user, and the 'encrypted combination string' describes the user's ID, password, internal key, and encrypted combination string generated by the public key.

따라서, 사용자가 지정한 타겟 포털 장치가 CSP 포털 장치이고, CSP 포털 장치의 식별 ID가 'cspportal'이며, 암호화된 조합 문자열이 '34dsre!'이면, 통합 인증 포털 서버는 'http://192.168.10.11/cspportal/dummy?authStr=34dsre!'를 이용하여 CSP 포털 장치에게 인증용 포털 더미 페이지의 링크를 요청한다. 이는 CSC 포털 장치(20)와 CSB 포털 장치(30)에도 동일한 방식으로 적용된다.Therefore, if the target portal device specified by the user is the CSP portal device, the identification ID of the CSP portal device is' cspportal ', and the encrypted combination string is' 34dsre!', The integrated authentication portal server reads' http://192.168.10.11 / cspportal / dummy? authStr = 34dsre! 'to request a link to the portal dummy page for authentication to the CSP portal device. This is also applied to the CSC portal apparatus 20 and the CSB portal apparatus 30 in the same manner.

인증용 더미 페이지 호출에 따라 타겟 포털 장치는 통합 인증 포털 서버로부터 받은 조합 문자열이 제대로 전송받은 문자열인지 체크 시도를 한다. 이 때, 타겟 포털 장치는 두 개의 REST API를 통합 인증 포털 서버로 호출하여 받은 값으로 인증을 최종 체크한다. 이러한 인증 체크 절차는 도 6의 S250단계 및 S260단계를 참조하여 자세히 설명한다. In response to the authentication dummy page call, the target portal device attempts to check whether the combination string received from the integrated authentication portal server is a correctly received string. At this time, the target portal device calls the two REST APIs to the integrated authentication portal server and finally checks the authentication with the received value. This authentication check procedure will be described in detail with reference to steps S250 and S260 of FIG.

타겟 포털 장치는 통합 인증 포털 서버로부터의 인증용 더미 페이지 호출에 따라 인증용 더미 페이지를 오픈한다(S240).The target portal device opens the dummy page for authentication according to the dummy page call for authentication from the integrated authentication portal server (S240).

도 4에서 설명한 S250단계는 다음의 S252단계 및 S254단계를 포함하고, S260단계는 S261단계 내지 S268단계를 포함한다.The step S250 illustrated in FIG. 4 includes the following steps S252 and S254, and step S260 includes steps S261 through S268.

타겟 포털 장치는 S240단계에서 전달받은 암호화된 조합 문자열을 타겟 포털 장치에 저장된 공개키로 복호화하여 복호화된 조합 문자열을 확인한다(S252). 복호화에 의해, 타겟 포털 장치는 구분자(::)로 조합된 조합 문자열을 확인할 수 있다.In step S252, the target portal device decrypts the encrypted combination string received in step S240 with the public key stored in the target portal device, and confirms the decoded combination string. By decryption, the target portal device can confirm the combination string combined with delimiter (: :).

타겟 포털 장치는 S252단계에서 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열을 추출한다(S254). 즉, S254단계의 파싱 결과, 'ID::암호화된 임시 문자열'이 생성되며, 타겟 포털 장치는 이로부터 사용자의 ID와 암호화된 임시 문자열을 알게 된다.The target portal apparatus parses the deciphered combination string in step S252 and extracts the ID and the encrypted temporary string (S254). That is, as a result of parsing in step S254, 'ID :: encrypted temporary string' is generated, and the target portal device acquires the ID of the user and the encrypted temporary string from this.

그리고, 타겟 포털 장치는 통합 인증 포털 서버에서 사용한 일회용 내부키를 요청하기 위해 통합 인증 포털 서버에게 REST API URI를 호출한다(S261, S262). Then, the target portal apparatus calls the REST API URI to the integrated authentication portal server to request the disposable internal key used in the integrated authentication portal server (S261, S262).

S261단계 및 S262단계에서, 타겟 포털 장치는 통합 인증 포털 서버에서 제공한 REST API URI를 S254단계에서 추출된 ID로 호출하여 일회용 내부키의 전송을 요청한다. 타겟 포털 장치는 REST API URI를 GET 방식으로 호출하며, 이 때 일회용 내부키 요청을 위해 사용되는 REST API URI 호출 형태는 다음과 같다.In step S261 and step S262, the target portal apparatus calls the REST API URI provided by the integrated authentication portal server with the ID extracted in step S254 to request the transmission of the disposable internal key. The target portal device calls the REST API URI by GET method. Here, the REST API URI call type used for single-use internal key request is as follows.

예) <GET> http://192.168.10.2/mainportal/api/users/{id}/key Ex) <GET> http://192.168.10.2/mainportal/api/users/{id}/key

위 형태의 {id}에는 S254단계에서 추출된 사용자의 ID가 기재되고, 'mainportal'은 통합 인증 포털 서버(100)를 의미한다. 따라서, 사용자의 ID가 'nkia'로 추출된 경우, 타겟 포털 장치는 'http://192.168.10.2/mainportal/api/users/nkia/key'를 이용하여 내부키의 전송을 요청한다.In the above form {id}, the ID of the user extracted in step S254 is described, and 'mainportal' means the integrated authentication portal server 100. Therefore, if the user's ID is extracted as 'nkia', the target portal device requests the transmission of the internal key using 'http://192.168.10.2/mainportal/api/users/nkia/key'.

통합 인증 포털 서버는 타겟 포털 장치의 호출에 따라 REST API URI에 포함된 사용자의 ID인 'nkia'를 확인하고, 확인된 ID로 일회용 내부키를 조회한다(S263). 만약, 타겟 포털 장치가 전송한 ID가 S226단계에서 암호화된 조합 문자열에 포함된 ID라면, S263단계에서 확인된 ID에는 일회용 내부키가 매핑저장되어 있을 것이다. 이는 S226단계에서 설명하였다.The integrated authentication portal server confirms 'nkia', which is the ID of the user included in the REST API URI according to the call of the target portal device, and inquires the disposable internal key with the confirmed ID (S263). If the ID transmitted by the target portal device is an ID contained in the encrypted combination string in step S226, the disposable internal key is mapped to the ID identified in step S263. This is described in step S226.

통합 인증 포털 서버는 S263단계에서 확인된 일회용 내부키를 타겟 포털 장치에게 전달한다(S264). S264단계에서, 통합 인증 포털 서버는 다음과 같은 형태로 일회용 내부키를 전달한다.The integrated authentication portal server transmits the disposable internal key confirmed in step S263 to the target portal apparatus (S264). In step S264, the integrated authentication portal server delivers the disposable internal key in the following form.

예) ResponseExample) Response

{"auth":{"authKey": "d23fd1232sd"}}   {"auth": {"authKey": "d23fd1232sd"}}

위 형태에서 'authKey'는 일회용 내부키를 지칭하고, 'd23fd1232sd'는 S224단계에서 실제로 사용된 일회용 내부키를 의미한다.In the above form, 'authKey' refers to the disposable internal key, and 'd23fd1232sd' refers to the disposable internal key actually used in step S224.

타겟 포털 장치는 사용자의 인증 절차가 적합한지 체크 요청하기 위해 통합 인증 포털 서버에게 REST API URI를 호출한다(S265, S266).The target portal apparatus calls the REST API URI to the integrated authentication portal server to check whether the authentication procedure of the user is appropriate (S265, S266).

S265단계 및 S266단계에서, 타겟 포털 장치는 통합 인증 포털 서버에서 제공한 REST API URI를 S264단계에서 전달받은 일회용 내부키와 S230단계에서 수신한 암호화된 조합 문자열로 호출하여 사용자의 인증 체크를 요청한다. 타겟 포털 장치는 REST API URI를 GET 방식으로 호출하며, 이 때 사용자 인증 체크를 위해 사용되는 REST API URI 호출 형태는 다음과 같다.In steps S265 and S266, the target portal apparatus calls the REST API URI provided by the integrated authentication portal server in step S264 and the encrypted combination string received in step S230, thereby requesting the user's authentication check . The target portal device calls the REST API URI by GET method, and the REST API URI call method used for user authentication check is as follows.

예) <GET> http://192.168.10.2/mainportal/api/users/{id}/checkEx) <GET> http://192.168.10.2/mainportal/api/users/{id}/check

Request    Request

{"auth":{"authKey": "d23fd1232sd", "authStr": "34dsre!"}}    {"auth": {"authKey": "d23fd1232sd", "authStr": "34dsre!"}}

위 형태의 {id}에는 S254단계에서 추출된 사용자의 ID가 기재되고, 'check'는 사용자 인증 체크를 요청하는 의미를 갖는다. 사용자의 ID가 'nkia'로 추출된 경우, 타겟 포털 장치는 'http://192.168.10.2/mainportal/api/users/nkia/check'를 이용하여 내부키의 전송을 요청한다.In the above form {id}, the ID of the user extracted in step S254 is described, and 'check' has a meaning of requesting a user authentication check. When the user's ID is extracted as 'nkia', the target portal device requests the transmission of the internal key using 'http://192.168.10.2/mainportal/api/users/nkia/check'.

또한, 'Request'의 'authKey'에는 S264단계에서 전달받은 일회용 내부키가 기재되며, 'authStr'에는 S230단계에서 수신된 암호화된 조합 문자열이 기재된다.In the 'authKey' field of 'Request', the disposable internal key transmitted in step S264 is described, and the encrypted combination string received in step S230 is described in 'authStr'.

통합 인증 포털 서버는 수신한 암호화된 조합 문자열을 일회용 내부키를 이용하여 복호화한 후 사용자의 인증을 체크한다(S267).The integrated authentication portal server decrypts the received encrypted combination string using the disposable internal key, and then checks the authentication of the user (S267).

S267단계를 자세히 설명하면, 통합 인증 포털 서버는 수신한 암호화된 조합 문자열을 공개키로 복호화하여 구분자 '::'로 조합된 조합 문자열을 확인하고, 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열, 즉, 'ID::암호화된 임시 문자열'을 추출한다. 그리고, 통합 인증 포털 서버(100)는 추출된 'ID::암호화된 임시 문자열'을 수신한 일회용 내부키로 다시 복호화한 후 파싱하여 '패스워드::일회용 내부키'로 조합된 임시 문자열을 추출한다.In step S267, the integrated authentication portal server decrypts the received encrypted combination string with the public key to confirm the combination string combined with the separator '::', parses the decrypted combination string, and stores the ID and the encrypted temporary string , That is, 'ID :: Encrypted Temporary String'. Then, the integrated authentication portal server 100 decrypts the extracted 'ID :: encrypted temporary string' with the received disposable internal key, parses it, and extracts the temporary string combined with 'password :: disposable internal key'.

통합 인증 포털 서버는 추출한 패스워드가 타겟 포털 장치로부터 수신한 ID에 해당하는 패스워드인지를 DB로부터 확인하고, 이에 해당하면, 통합 인증 포털 서버와 타겟 포털 장치 간의 사용자 인증이 정상적인 절차에 의해 수행된 것으로 판단한다.The integrated authentication portal server verifies from the DB whether the extracted password is the password corresponding to the ID received from the target portal device, and if it is determined that the user authentication between the integrated authentication portal server and the target portal device is performed by a normal procedure do.

이로써, 통합 인증 포털 서버는 내부키와 공개키로 암호화된 조합 문자열(authStr)과 내부키(authKey)를 타겟 포털 장치로부터 다시 전달받아서 사용자 인증이 정상적인 절차에 의해 이루어진 것인지 체크(인증)할 수 있다.Accordingly, the integrated authentication portal server can check (authenticate) whether the user authentication is performed by a normal procedure by receiving the combination string (authStr) and the internal key (authKey) encrypted with the internal key and the public key again from the target portal apparatus.

통합 인증 포털 서버는 S267단계의 사용자 인증 체크 성공 여부를 타겟 포털 장치에게 전달한다(S268). S268단계에서, 통합 인증 포털 서버는 다음과 같은 형태로 인증 체크 성공 여부를 전달한다.The integrated authentication portal server transmits the success or failure of the user authentication check in step S267 to the target portal apparatus (S268). In step S268, the integrated authentication portal server transmits the authentication check success or failure as follows.

ResponseResponse

{"auth":{ " code":0, " message": "non pw"}}{"auth": {"code": 0, "message": "non pw"}}

위 형태에서 'code'로서 '0'이 기재되면, 인증이 성공하였음을 의미하고, '1'이 기재되면, 인증이 실패하였음을 의미한다. 또한, 'message'에는 실패 사유가 기재되며, 위 예에서 'non pw'는 파싱에 의해 추출된 패스워드가 사용자의 패스워드와 일치하지 않음을 의미한다.If '0' is written as 'code' in the above form, it means that the authentication is successful. If '1' is written, it means that the authentication has failed. Also, the reason for failure is described in 'message', and 'non pw' in the above example means that the password extracted by parsing does not match the password of the user.

타겟 포털 장치는 이 'Response'를 확인하여 사용자 인증 체크가 성공한 것으로 판단되면, 포털의 메인 페이지를 표시한다(S270).If it is determined that the user authentication check is successful, the target portal device displays the main page of the portal (S270).

한편, 본 발명의 실시 예에 의하면, 예를 들어, 사용자가 타겟 포털 장치(10)로서 CSP 포털 장치(10)에서 제공하는 포털에 접속한 후, 다시 CSB 포털에 접속하기 위해서는, 사용자는 CSB 포털 장치(20) 접속을 위한 별도의 ID와 패스워드로 서버(100)를 통해 접속 시도 및 인증 절차를 거쳐야 한다. 즉, 동일한 사용자가 서로 다른 포털의 사용이 필요한 경우, 해당 포털 별로 사용자 ID를 서버(100)로부터 새로 발급받은 후 접속할 수 있다.On the other hand, according to the embodiment of the present invention, for example, after the user accesses the portal provided by the CSP portal apparatus 10 as the target portal apparatus 10, the user must access the CSB portal A connection attempt and authentication procedure must be performed through the server 100 with a separate ID and password for connection to the device 20. [ That is, when the same user needs to use different portals, the user ID can be newly issued from the server 100 for each portal, and then accessed.

10, 20, 30: 클라우드 서비스 포털 장치들 100: 통합 인증 포털 서버
12: 타겟 공개키 복호화부 14: 조합 문자열 파서
16: 인증 요청부 110: 인증 처리부
120: 내부키 암호화부 130: 공개키 암호화부
140: 인증 체크부 150: DB10, 20, 30: Cloud service portal devices 100: Integrated authentication portal server
12: Target public key decryption unit 14: Combination string parser
16: authentication request unit 110: authentication processing unit
120: Internal key encryption unit 130: Public key encryption unit
140: authentication check unit 150: DB

Claims (11)

(A) 사용자가 통합 인증 포털 서버에 로그인하면, 상기 통합 인증 포털 서버가 상기 사용자의 로그인 정보, 일회용 내부키 및 공개키를 이용하여 다중 암호화된 조합 문자열을 생성하는 단계;
(B) 상기 통합 인증 포털 서버가 복수의 클라우드 서비스 포털 장치들 중 타겟 포털 장치로 상기 암호화된 조합 문자열을 전송하는 단계;
(C) 상기 타겟 포털 장치가 상기 암호화된 조합 문자열을 복호화하는 단계;
(D) 상기 통합 인증 포털 서버와 상기 타겟 포털 장치가 복호화된 조합 문자열 및 상기 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 단계; 및
(E) 상기 사용자의 인증이 성공하면 상기 타겟 포털 장치가 상기 사용자에게 메인 화면을 제공하는 단계;를 포함하는 클라우드 서비스 사용자를 위한 보안 인증 방법.(A) when the user logs in to the integrated authentication portal server, the integrated authentication portal server generates a multi-encrypted combination string using the login information, the disposable internal key, and the public key of the user;
(B) the integrated authentication portal server transmitting the encrypted combination string to a target portal apparatus among a plurality of cloud service portal apparatuses;
(C) decrypting the encrypted combination string by the target portal apparatus;
(D) checking the user's authentication using the combination string decrypted by the integrated authentication portal server and the target portal device and the disposable internal key; And
(E) if the authentication of the user is successful, the target portal device provides the main screen to the user. 제1항에 있어서,
상기 (A) 단계는,
(A1) 상기 사용자가 아이디(ID)와 패스워드를 이용하여 상기 통합 인증 포털 서버에 로그인하는 단계;
(A2) 상기 통합 인증 포털 서버가 상기 패스워드와 상기 일회용 내부키를 조합한 임시 문자열을 상기 일회용 내부키로 암호화하는 단계; 및
(A3) 상기 암호화된 임시 문자열과 상기 ID를 조합한 조합 문자열을 상기 공개키로 암호화하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 방법.The method according to claim 1,
The step (A)
(A1) logging in the integrated authentication portal server using the user ID and password;
(A2) encrypting a temporary string in which the integrated authentication portal server combines the password and the disposable internal key with the disposable internal key; And
(A3) encrypting the combination string obtained by combining the encrypted temporary string and the ID with the public key. 제2항에 있어서,
상기 (C) 단계는,
(C1) 상기 타겟 포털 장치가 상기 공개키를 이용하여 상기 암호화된 조합 문자열을 복호화하여 상기 복호화된 조합 문자열을 확인하는 단계; 및
(C2) 상기 복호화된 조합 문자열을 파싱하여 상기 ID와 상기 암호화된 임시 문자열을 추출하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 방법.3. The method of claim 2,
The step (C)
(C1) the target portal device decrypting the encrypted combination string using the public key to check the decrypted combination string; And
(C2) parsing the deciphered combination string to extract the ID and the encrypted temporary string. &Lt; RTI ID = 0.0 &gt; 31. &lt; / RTI &gt; 제3항에 있어서,
상기 (D) 단계는,
(D1) 상기 타겟 포털 장치가 REST API URI를 상기 추출된 ID로 호출하여 상기 일회용 내부키를 요청하는 단계;
(D2) 상기 통합 인증 포털 서버가 상기 (D1) 단계로부터 수신한 RESP API URI에 기재된 ID를 확인하고, 상기 확인된 ID로 상기 일회용 내부키를 조회하는 단계;
(D3) 상기 조회한 일회용 내부키를 상기 타겟 포털 장치에게 제공하는 단계;
(D4) 상기 타겟 포털 장치가 상기 통합 인증 포털 서버에서 제공한 상기 REST API URI를 상기 제공받은 일회용 내부키와 상기 수신한 암호화된 조합 문자열로 호출하여 상기 사용자의 인증 체크를 요청하는 단계;
(D5) 상기 통합 인증 포털 서버가 상기 수신한 암호화된 조합 문자열과 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 방법.The method of claim 3,
The step (D)
(D1) the target portal device calls the REST API URI with the extracted ID to request the disposable internal key;
(D2) the integrated authentication portal server verifying the ID described in the RESP API URI received from the step (D1), and inquiring the disposable internal key with the confirmed ID;
(D3) providing the retrieved disposable internal key to the target portal apparatus;
(D4) requesting the user authentication check by calling the REST API URI provided by the integrated portal server with the provided disposable internal key and the received encrypted combination string;
(D5) checking the authentication of the user using the encrypted combination string and the disposable internal key received by the integrated authentication portal server. 제4항에 있어서,
상기 (D5) 단계는,
(D51) 상기 통합 인증 포털 서버가 상기 수신한 암호화된 조합 문자열을 상기 수신한 일회용 내부키로 복호화하는 단계;
(D52) 상기 복호화된 임시 문자열을 파싱하여 패스워드를 추출하는 단계; 및
(D53) 상기 추출된 패스워드가 상기 타겟 포털 장치로부터 수신한 ID에 해당하는 패스워드인지 확인하여 상기 사용자의 인증을 체크하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 방법.5. The method of claim 4,
The step (D5)
(D51) decrypting the received combination string with the received disposable internal key by the integrated authentication portal server;
(D52) parsing the decrypted temporary string to extract a password; And
(D53) checking whether the extracted password is a password corresponding to the ID received from the target portal apparatus, and checking the authentication of the user. 제1항에 있어서,
상기 (B) 단계는,
(B1) 상기 통합 인증 포털 서버가 데이터베이스에 저장된 상기 복수의 클라우드 서비스 포털 장치들 중 상기 사용자가 접속할 타겟 포털 장치를 판별하는 단계; 및
(B2) 상기 통합 인증 포털 서버가 상기 판별된 타겟 포털 장치에게 상기 암호화된 조합 문자열을 전송하는 단계;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 방법.The method according to claim 1,
The step (B)
(B1) the integrated authentication portal server determining the target portal device to be connected by the user among the plurality of cloud service portal devices stored in the database; And
(B2) transmitting the encrypted combination string to the identified target portal device by the integrated authentication portal server. 클라우드 서비스의 제공, 이용 및 중개 중 적어도 하나를 담당하는 복수의 클라우드 서비스 포털 장치들; 및
사용자가 한 번의 로그인을 통해 상기 복수의 클라우드 서비스 포털 장치들 중 원하는 타겟 포털 장치에 접속하도록, 상기 사용자의 로그인 정보, 일회용 내부키 및 공개키를 이용하여 다중 암호화된 조합 문자열을 생성한 후 상기 타겟 포털 장치에게 전송하고, 상기 타겟 포털 장치에서 상기 암호화된 조합 문자열을 복호화하여 획득한 사용자 ID, 상기 일회용 내부키 및 상기 공개키를 이용하여 상기 사용자의 인증을 확인하는 통합 인증 포털 서버;를 포함하는 클라우드 서비스 사용자를 위한 보안 시스템.A plurality of cloud service portal devices that are responsible for at least one of providing, using and brokering a cloud service; And
The user creates a multiple encrypted combination string using the login information, the disposable internal key, and the public key of the user so as to access a desired target portal device among the plurality of cloud service portal devices through one login, And an integrated authentication portal server for transmitting the encrypted combination string to the portal device and verifying the authentication of the user using the acquired user ID, the disposable internal key, and the public key by decrypting the encrypted combination string in the target portal device Security system for cloud service users. 제7항에 있어서,
상기 통합 인증 포털 서버는,
상기 사용자가 ID와 패스워드를 이용하여 상기 통합 인증 포털 서버에 로그인하면, 상기 패스워드와 상기 일회용 내부키를 조합한 임시 문자열을 상기 일회용 내부키로 암호화하는 내부키 암호화부; 및
상기 암호화된 임시 문자열과 상기 ID를 조합한 조합 문자열을 상기 공개키로 암호화하는 공개키 암호화부;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 시스템.8. The method of claim 7,
Wherein the integrated authentication portal server comprises:
An internal key encryption unit encrypting a temporary string combining the password and the disposable internal key with the disposable internal key when the user logs in the integrated authentication portal server using an ID and a password; And
And a public key encryption unit encrypting the combination string obtained by combining the encrypted temporary string and the ID with the public key. 제8항에 있어서,
상기 타겟 포털 장치는,
상기 공개키로 상기 암호화된 조합 문자열을 복호화하여 상기 복호화된 조합 문자열을 확인하는 타겟 공개키 복호화부; 및
상기 복호화된 조합 문자열을 파싱하여 상기 ID와 상기 암호화된 임시 문자열을 추출하는 조합 문자열 파서;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 시스템.9. The method of claim 8,
The target portal apparatus comprises:
A target public key decryption unit decrypting the encrypted combination string using the public key to identify the decrypted combination string; And
And a combinator string parser for parsing the deciphered combination string to extract the ID and the encrypted temporary string. &Lt; RTI ID = 0.0 &gt; [100] &lt; / RTI &gt; 제9항에 있어서,
상기 타겟 포털 장치는,
REST API URI를 상기 추출된 ID로 호출하여 상기 일회용 내부키를 요청하고, 상기 일회용 내부키를 제공받으면, 상기 REST API URI를 상기 제공받은 일회용 내부키와 상기 수신한 암호화된 조합 문자열로 호출하여 상기 사용자의 인증 체크를 요청하는 인증 요청부;를 더 포함하며,
상기 통합 인증 포털 서버는,
상기 타겟 포털 장치로부터 수신한 RESP API URI에 기재된 ID로 상기 일회용 내부키를 조회하여 상기 타겟 포털 장치에게 제공하며, 상기 수신한 REST API URI에 기재된 암호화된 조합 문자열과 일회용 내부키를 이용하여 상기 사용자의 인증을 체크하는 인증 체크부;를 더 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 시스템.10. The method of claim 9,
The target portal apparatus comprises:
The REST API URI is called with the extracted ID to request the disposable internal key, and when receiving the disposable internal key, the REST API URI is called with the provided disposable internal key and the received encrypted combination string, And an authentication request unit for requesting an authentication check of the user,
Wherein the integrated authentication portal server comprises:
Using the encrypted combination string and the disposable internal key described in the received REST API URI to inquire the disposable internal key with the ID described in the RESP API URI received from the target portal apparatus and providing the disposable internal key to the target portal apparatus, Further comprising: an authentication checking unit checking the authentication of the cloud service user. 제10항에 있어서,
상기 인증 체크부는,
상기 타겟 포털 장치로부터 수신한 암호화된 조합 문자열을 상기 공개키로 복호화하는 공개키 복호화부;
상기 복호화된 조합 문자열을 파싱하여 ID와 암호화된 임시 문자열을 추출하는 파서; 및
상기 추출된 암호화된 임시 문자열을 상기 수신한 일회용 내부키로 복호화하는 내부키 복호화부;를 포함하는 것을 특징으로 하는 클라우드 서비스 사용자를 위한 보안 인증 시스템.11. The method of claim 10,
The authentication check unit,
A public key decryption unit for decrypting the encrypted combination string received from the target portal apparatus using the public key;
A parser for parsing the decrypted combination string to extract an ID and an encrypted temporary string; And
And an internal key decryption unit for decrypting the extracted temporary string using the received disposable internal key.
KR1020160162864A 2016-12-01 2016-12-01 Security authenticate system and method for cloud services users KR20180062782A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160162864A KR20180062782A (en) 2016-12-01 2016-12-01 Security authenticate system and method for cloud services users

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160162864A KR20180062782A (en) 2016-12-01 2016-12-01 Security authenticate system and method for cloud services users

Publications (1)

Publication Number Publication Date
KR20180062782A true KR20180062782A (en) 2018-06-11

Family

ID=62601196

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160162864A KR20180062782A (en) 2016-12-01 2016-12-01 Security authenticate system and method for cloud services users

Country Status (1)

Country Link
KR (1) KR20180062782A (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001186122A (en) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd Authentication system and authentication method
KR20120085434A (en) * 2011-01-24 2012-08-01 주식회사 이노그리드 A system for providing telecommuting service based on cloud computing and a method therefor
KR20140122113A (en) * 2013-04-09 2014-10-17 에스케이플래닛 주식회사 System for single sign on, equipment and method of managing certification information for single sign on
KR20150053513A (en) 2013-11-08 2015-05-18 한국전자통신연구원 Cloud service broker apparatus, and method for providing cloud service using the same
KR20150116537A (en) * 2014-04-07 2015-10-16 한국전자통신연구원 Method for user authentication in virtual private cloud system and apparatus for providing virtual private cloud service

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001186122A (en) * 1999-12-22 2001-07-06 Fuji Electric Co Ltd Authentication system and authentication method
KR20120085434A (en) * 2011-01-24 2012-08-01 주식회사 이노그리드 A system for providing telecommuting service based on cloud computing and a method therefor
KR20140122113A (en) * 2013-04-09 2014-10-17 에스케이플래닛 주식회사 System for single sign on, equipment and method of managing certification information for single sign on
KR20150053513A (en) 2013-11-08 2015-05-18 한국전자통신연구원 Cloud service broker apparatus, and method for providing cloud service using the same
KR20150116537A (en) * 2014-04-07 2015-10-16 한국전자통신연구원 Method for user authentication in virtual private cloud system and apparatus for providing virtual private cloud service

Similar Documents

Publication Publication Date Title
US8799639B2 (en) Method and apparatus for converting authentication-tokens to facilitate interactions between applications
EP2919435B1 (en) Communication terminal and secure log-in method and program
US11134069B2 (en) Method for authorizing access and apparatus using the method
US9185104B2 (en) Method and apparatus for communication, and method and apparatus for controlling communication
CN108600203A (en) Secure Single Sign-on method based on Cookie and its unified certification service system
CN107122674B (en) Access method of oracle database applied to operation and maintenance auditing system
CN104767731B (en) A kind of Restful move transactions system identity certification means of defence
US20110167263A1 (en) Wireless connections to a wireless access point
CN106790183A (en) Logging on authentication method of calibration, device
US6874088B1 (en) Secure remote servicing of a computer system over a computer network
CN110365684B (en) Access control method and device for application cluster and electronic equipment
US20170070486A1 (en) Server public key pinning by url
CN104412561A (en) Voucher authorization for cloud server
CN112838951B (en) Operation and maintenance method, device and system of terminal equipment and storage medium
CN111586021A (en) Remote office business authorization method, terminal and system
WO2022262322A1 (en) Authentication method, apparatus and system, electronic device, and storage medium
KR100948873B1 (en) Security and management device for database security and control method thereof
CN113645226A (en) Data processing method, device, equipment and storage medium based on gateway layer
CN114125027B (en) Communication establishment method and device, electronic equipment and storage medium
WO2007078037A1 (en) Web page protection method employing security appliance and set-top box having the security appliance built therein
KR101651607B1 (en) One click log-in method using anonymous ID and system thereof
CN112953711B (en) Database security connection system and method
CN114338078B (en) CS client login method and device
KR20180062782A (en) Security authenticate system and method for cloud services users
CN114861144A (en) Data authority processing method based on block chain

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application