KR20220064676A - System and method for unified authentication management based on Fast Identity Online - Google Patents

System and method for unified authentication management based on Fast Identity Online Download PDF

Info

Publication number
KR20220064676A
KR20220064676A KR1020200151032A KR20200151032A KR20220064676A KR 20220064676 A KR20220064676 A KR 20220064676A KR 1020200151032 A KR1020200151032 A KR 1020200151032A KR 20200151032 A KR20200151032 A KR 20200151032A KR 20220064676 A KR20220064676 A KR 20220064676A
Authority
KR
South Korea
Prior art keywords
authentication
server
fido
user terminal
sso
Prior art date
Application number
KR1020200151032A
Other languages
Korean (ko)
Inventor
김정호
Original Assignee
김정호
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김정호 filed Critical 김정호
Priority to KR1020200151032A priority Critical patent/KR20220064676A/en
Publication of KR20220064676A publication Critical patent/KR20220064676A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan

Abstract

The present invention relates to an integrated authentication management technology and, more specifically, to a fast identity online (FIDO) method-based integrated authentication management system and method which uses a biometric authentication (FIDO) method at the time of integrated authentication (single sign on, SSO) in a business portal site to enhance system security along with user convenience. To this end, a business portal server forming the FIDO method-based integrated authentication management system is a business portal server providing sub-link sites. The business portal server requests authentication by forwarding login information received from a user terminal to an SSO server, requests a biometric authentication procedure to the user terminal when receiving a request for access to a sub-link site from the user terminal, and requests authentication to the SSO server to allow access to the sub-link site when the user terminal is authenticated by the FIDO server and requests access to the sub-link site on the basis of a FIDO authentication token received from the SSO server.

Description

FIDO 방식 기반 통합 인증 관리 시스템 및 방법{System and method for unified authentication management based on Fast Identity Online}FIDO method-based unified authentication management system and method {System and method for unified authentication management based on Fast Identity Online}

본 발명은 통합 인증 관리 기술에 관한 것으로서, 상세하게는 업무 포탈 사이트에서 통합 인증(SSO) 시에 생체 인증(FIDO) 방식을 도입하여 사용자의 편의성과 함께 시스템 보안을 강화할 수 있는 FIDO 방식 기반 통합 인증 관리 시스템 및 방법에 관한 것이다. The present invention relates to integrated authentication management technology, and in particular, FIDO method-based integrated authentication that can enhance system security with user convenience by introducing a biometric authentication (FIDO) method during integrated authentication (SSO) in a business portal site It relates to a management system and method.

사용자가 온라인 쇼핑몰 등의 시스템에 인증정보가 없을 때 상품의 상세정보 및 결재 프로세스에 접근할 수 없으나, SSO(Single Sign On) 서버 솔루션을 통해 SNS 계정으로 해당 시스템에 접근할 수 있다. When a user does not have authentication information in a system such as an online shopping mall, he or she cannot access detailed product information and payment process, but can access the system with an SNS account through an SSO (Single Sign On) server solution.

사용자가 시스템에 연결을 요청하면 시스템은 사용자가 입력한 SNS 계정정보(아이디, 패스워드)를 SSO 서버로 전송하고, SSO 서버는 사용자의 SNS 계정정보를 확인하여 인증토큰을 발급해 사용자에 전송한다. 그러면 시스템은 사용자로부터 수신한 인증토큰에 근거해 사용자의 시스템 접근을 허용하게 된다. When a user requests a connection to the system, the system transmits the SNS account information (ID, password) entered by the user to the SSO server, which verifies the user's SNS account information, issues an authentication token, and sends it to the user. Then, the system allows the user to access the system based on the authentication token received from the user.

이러한 통합 인증 방식이 업무 포탈 사이트에도 적용될 수 있으나 업무 포탈 사이트의 경우 보안이 요구되는 서비스가 많기 때문에 통합 인증 방식에 의한 사용자 편의성만을 강조하다 보면 업무 포탈의 보안성이 취약해지는 문제점이 있다. Although this integrated authentication method can be applied to a business portal site, there is a problem in that the security of the business portal is weakened if only the user convenience by the integrated authentication method is emphasized because there are many services that require security in the case of the business portal site.

한국공개특허공보 제2019-0036504호Korean Patent Publication No. 2019-0036504

본 발명은 상기와 같은 문제점을 해결하기 위해 창안된 것으로서, 본 발명의 목적은 통합 인증에 따른 사용자의 편의성과 함께 시스템 보안을 강화할 수 있는 새로운 개념의 통합 인증 관리 시스템 및 방법을 제공하는 것이다. The present invention was created to solve the above problems, and an object of the present invention is to provide a new concept of integrated authentication management system and method that can enhance system security with user convenience according to integrated authentication.

이를 위해, 본 발명에 따른 FIDO 방식 기반 통합 인증 관리 시스템을 구성하는 업무 포탈 서버는 하위 링크 사이트를 제공하는 업무 포탈 서버로서, 사용자 단말로부터 수신한 로그인 정보를 SSO 서버로 전달하여 인증을 요청하고, 상기 사용자 단말로부터 하위 링크 사이트에 대한 접속 요청이 있으면 상기 사용자 단말로 생체 인증 절차를 요청하여, 상기 사용자 단말이 FIDO 서버에 의해 인증 처리되어 상기 SSO 서버로부터 받은 FIDO 인증토큰에 근거해 하위 링크 사이트에 대해 접속 요청을 하면, 상기 SSO 서버로 인증 요청을 하여 하위 링크 사이트에 대한 접근을 허용하는 것을 특징으로 한다.To this end, the business portal server constituting the FIDO method-based integrated authentication management system according to the present invention is a business portal server that provides a sub-link site, and transmits the login information received from the user terminal to the SSO server to request authentication, When there is a request for access to the sub-link site from the user terminal, a biometric authentication procedure is requested from the user terminal, and the user terminal is authenticated by the FIDO server and based on the FIDO authentication token received from the SSO server to the lower link site When an access request is made to the SSO server, an authentication request is made to the SSO server to allow access to a sub-linked site.

본 발명에 따른 FIDO 방식 기반 통합 인증 관리 시스템을 구성하는 업무 포탈 서버는 하위 링크 사이트를 제공하는 업무 포탈 서버로서, 사용자 단말로부터 수신한 로그인 정보를 SSO 서버로 전달하여 인증을 요청하고, 상기 사용자 단말이 FIDO 서버에 의해 인증 처리되어 상기 SSO 서버로부터 받은 FIDO 인증토큰에 근거해 하위 링크 사이트에 대해 접속 요청을 하면, 상기 SSO 서버로 인증 요청을 하여 하위 링크 사이트에 대한 접근을 허용하는 것을 특징으로 한다. The business portal server constituting the FIDO method-based integrated authentication management system according to the present invention is a business portal server that provides a sub-link site, and transmits the login information received from the user terminal to the SSO server to request authentication, and the user terminal When an access request is made to a sub-linked site based on the FIDO authentication token that is authenticated by the FIDO server and received from the SSO server, an authentication request is made to the SSO server to allow access to the sub-linked site. .

본 발명에 따른 FIDO 방식 기반 통합 인증 관리 방법은 사용자 단말이 업무 포탈 서버에 로그인 접속하면 상기 업무 포탈 서버가 SSO 서버에 로그인 정보를 전달하여 인증을 요청하는 단계와, 상기 SSO 서버가 로그인 정보를 인증 처리하여 인증토큰을 생성해 사용자 단말로 전송하는 단계와, 상기 사용자 단말이 상기 업무 포탈 서버로 하위 링크 사이트에 대한 접속을 요청하면 상기 업무 포탈 서버가 사용자 단말로 생체 인증 절차를 요청하는 단계와, 상기 사용자 단말이 생체 인증을 통해 생성한 인증키를 FIDO 서버로 전송하면 상기 FIDO 서버가 기 저장된 인증키와 비교하여 인증 처리를 수행하여 SSO 서버로 인증처리 응답을 전송하는 단계와, 상기 SSO 서버가 상기 FIDO 서버의 인증처리 응답을 수신하면 FIDO 인증토큰을 생성해 상기 사용자 단말로 전송하는 단계와, 상기 사용자 단말이 인증토큰 또는 FIDO 인증토큰을 이용해 하위 링크 사이트에 접속하는 단계를 포함한다. The FIDO method-based integrated authentication management method according to the present invention comprises the steps of: when a user terminal logs in to a business portal server, the business portal server transmits login information to the SSO server to request authentication; the SSO server authenticates the login information generating an authentication token by processing and transmitting it to a user terminal; when the user terminal requests access to a sub-link site from the business portal server, the business portal server requests a biometric authentication procedure to the user terminal; When the user terminal transmits the authentication key generated through biometric authentication to the FIDO server, the FIDO server compares the authentication key with the stored authentication key, performs authentication processing, and transmits an authentication processing response to the SSO server; generating a FIDO authentication token upon receiving the authentication processing response of the FIDO server and transmitting the FIDO authentication token to the user terminal; and the user terminal accessing a lower link site using the authentication token or the FIDO authentication token.

본 발명에 따른 FIDO 방식 기반 통합 인증 관리 방법은 사용자 단말이 업무 포탈 서버에 로그인 접속하면 상기 업무 포탈 서버가 SSO 서버에 로그인 정보를 전달하여 인증을 요청하는 단계와, 상기 SSO 서버가 로그인 정보를 인증 처리한 후 상기 사용자 단말로 생체 인증 절차를 요청하는 단계와, 상기 사용자 단말이 생체 인증을 통해 생성한 인증키를 FIDO 서버로 전송하면 상기 FIDO 서버가 기 저장된 인증키와 비교하여 인증 처리를 수행하여 SSO 서버로 인증처리 응답을 전송하는 단계와, 상기 SSO 서버가 상기 FIDO 서버의 인증처리 응답을 수신하면 FIDO 인증토큰을 생성해 상기 사용자 단말로 전송하는 단계와, 상기 사용자 단말이 FIDO 인증토큰을 이용해 하위 링크 사이트에 접속하는 단계를 포함한다. The FIDO method-based integrated authentication management method according to the present invention comprises the steps of: when a user terminal logs in to a business portal server, the business portal server transmits login information to the SSO server to request authentication; the SSO server authenticates the login information After processing, requesting a biometric authentication procedure from the user terminal, and when the user terminal transmits the authentication key generated through biometric authentication to the FIDO server, the FIDO server compares the authentication key with a pre-stored authentication key to perform authentication transmitting an authentication processing response to the SSO server; and when the SSO server receives the authentication processing response of the FIDO server, generating a FIDO authentication token and transmitting it to the user terminal, wherein the user terminal uses the FIDO authentication token and accessing a sub-linked site.

상술한 바와 같이, 본 발명은 통합 인증 방식과 생체 인증 방식을 결합하여 사용자의 편의성과 함께 시스템 보안을 강화할 수 있는 효과가 있다. As described above, the present invention has the effect of enhancing system security with user convenience by combining the integrated authentication method and the biometric authentication method.

본 발명은 업무 포탈 사이트에서 제공하는 하위 링크 사이트에 대해 인증토큰 및 생체 인증 절차에 따른 FIDO 인증토큰을 함께 사용함으로써 하위 링크 사이트의 보안 등급을 차별화하여 운영할 수 있는 효과가 있다. According to the present invention, by using the authentication token and the FIDO authentication token according to the biometric authentication procedure for the sub-link site provided by the business portal site, the security level of the sub-link site can be differentiated and operated.

도 1은 본 발명에 따른 FIDO 방식 기반 통합 인증 관리 시스템의 개략적인 구성도.
도 2는 본 발명의 제1 실시예에 따른 FIDO 방식 기반 통합 인증 관리 시스템에서 각 주체 간의 신호 흐름도.
도 3은 본 발명의 제2 실시예에 따른 FIDO 방식 기반 통합 인증 관리 시스템에서 각 주체 간의 신호 흐름도.1 is a schematic configuration diagram of a FIDO method-based integrated authentication management system according to the present invention.
Figure 2 is a signal flow diagram between each subject in the FIDO method-based integrated authentication management system according to the first embodiment of the present invention.
3 is a signal flow diagram between each subject in the FIDO method-based integrated authentication management system according to the second embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, with reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. However, the present invention may be embodied in several different forms and is not limited to the embodiments described herein. And in order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and similar reference numerals are attached to similar parts throughout the specification.

명세서 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part "includes" a certain component, it means that other components may be further included, rather than excluding other components, unless otherwise stated.

또한, 명세서에 기재된 "…부", "…모듈" 의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.In addition, the terms “…unit” and “…module” described in the specification mean a unit that processes at least one function or operation, which may be implemented as hardware or software or a combination of hardware and software.

이하, 도면을 참조로 하여 본 발명의 실시예에 따른 FIDO 방식 기반 통합 인증 관리 시스템 및 방법에 대하여 상세히 설명한다.Hereinafter, a FIDO method-based integrated authentication management system and method according to an embodiment of the present invention will be described in detail with reference to the drawings.

도 1은 본 발명에 따른 FIDO 방식 기반 통합 인증 관리 시스템의 개략적인 구성을 나타낸 것이다. 1 shows a schematic configuration of a FIDO method-based integrated authentication management system according to the present invention.

도 1을 참조하면, 본 발명에 따른 FIDO 방식 기반 통합 인증 관리 시스템은 사용자 단말(100), 인증장치(110), 업무 포탈 서버(200), SSO(Single Sign On) 서버(300), FIDO(Fast Identity Online) 서버(400) 등을 포함한다. 1, the FIDO method-based integrated authentication management system according to the present invention is a user terminal 100, an authentication device 110, a business portal server 200, an SSO (Single Sign On) server 300, FIDO ( Fast Identity Online) server 400 and the like.

사용자 단말(100)은 업무 포탈 서버(200)에 로그인 접속하여 업무 포탈 사이트에서 제공하는 메일, 회계, 결재, 프로젝트 관리 등의 다양한 서비스를 이용할 수 있다. 사용자 단말로는 스마트폰, 태블릿 PC, 랩탑 컴퓨터, 퍼스널 컴퓨터 등이 될 수 있으며, 앱이나 웹으로 업무 포탈 서버(100)에 접속할 수 있는 기기라면 어떠한 종류의 장치도 가능하다. The user terminal 100 may log in to the business portal server 200 and use various services such as mail, accounting, payment, and project management provided by the business portal site. The user terminal may be a smartphone, a tablet PC, a laptop computer, a personal computer, or the like, and any type of device may be used as long as it is a device that can access the business portal server 100 through an app or web.

본 발명에 따른 사용자 단말(100)은 네트워크 상에서 FIDO 서버(400)와 연동하여 통신을 수행하기 위한 RP(Relying Party) 클라이언트 모듈(101) 및 인증장치(110)와 통신을 수행하기 위한 FIDO 클라이언트 모듈(102)을 포함한다. The user terminal 100 according to the present invention is a FIDO client module for performing communication with the RP (Relying Party) client module 101 and the authentication device 110 for performing communication by interworking with the FIDO server 400 on the network. (102).

인증장치(110)는 생체정보(지문, 홍채 등)를 획득하기 위한 생체인식모듈, 인증서관리모듈, 인증키관리모듈 등을 포함한다. The authentication device 110 includes a biometric recognition module for acquiring biometric information (fingerprint, iris, etc.), a certificate management module, an authentication key management module, and the like.

FIDO 서버(400)에 인증장치(110)의 인증키를 등록하기 위해 먼저 사용자 단말(100)은 FIDO 서버(400)로부터 RP 클라이언트 모듈(101)을 통해 인증키 등록 요청 메시지를 수신한다. In order to register the authentication key of the authentication device 110 in the FIDO server 400 , the user terminal 100 first receives an authentication key registration request message from the FIDO server 400 through the RP client module 101 .

FIDO 클라이언트 모듈(100)이 인증키 등록 요청 메시지를 인증장치(110)로 전달하면, 인증장치(110)는 생체인식모듈을 통해 생체정보를 획득하여 기 저장된 생체정보와 비교한다. 생체정보가 상호 일치하면 인증장치(110)는 인증서관리모듈에서 관리하는 인증서를 인증키관리모듈을 통해 공개키로 암호화하여 인증키를 생성한다. When the FIDO client module 100 transmits the authentication key registration request message to the authentication device 110 , the authentication device 110 acquires biometric information through the biometric module and compares it with pre-stored biometric information. When the biometric information matches each other, the authentication device 110 encrypts the certificate managed by the certificate management module with the public key through the authentication key management module to generate an authentication key.

인증장치(110)는 인증키를 FIDO 클라이언트 모듈(100)에 전달하고 FIDO 클라이언트 모듈(102)는 RP 클라이언트 모듈(101)을 통해 FIDO 서버(400)에 인증키를 등록하게 된다. The authentication device 110 transfers the authentication key to the FIDO client module 100 , and the FIDO client module 102 registers the authentication key with the FIDO server 400 through the RP client module 101 .

사용자 단말(100)과 인증장치(110)는 USB를 통해 유선으로 연결되거나 NFC(Near Far Communication), BLE(Bluetooth Low Energy) 등의 무선으로 연결될 수 있다. The user terminal 100 and the authentication device 110 may be connected by wire through USB or may be connected wirelessly such as near far communication (NFC) or Bluetooth low energy (BLE).

업무 포탈 서버(200)는 사용자 단말(100)에 업무 포탈 사이트를 통해 업무 관련 서비스를 제공하는 플랫폼이다. 업무 포탈 서버(200)는 사용자 단말(100) 상에 설치되어 있는 웹 브라우저(web browser) 또는 클라이언트 애플리케이션(client application)에 의해 접근된다. 업무 포탈 서버(200)는 기업이 구축한 플랫폼 상에 존재한다. The work portal server 200 is a platform that provides work-related services to the user terminal 100 through a work portal site. The business portal server 200 is accessed by a web browser or a client application installed on the user terminal 100 . The business portal server 200 exists on a platform built by the company.

SSO 서버(300)는 사용자 단말(100)이 업무 포탈 서버(200)에 로그인 접속한 후 업무 포탈 서버(200)에서 제공하는 하위 링크 사이트에 추가 로그인 없이 접속할 수 있도록 사용자 단말(100)에 대한 통합 인증을 수행하는 서버이다. 사용자 단말(100)은 SSO 서버(300)를 통해 별도의 인증절차 없이 업무 포탈 사이트에서 제공하는 추가 서비스를 이용할 수 있다. The SSO server 300 integrates the user terminal 100 so that the user terminal 100 can log in to the business portal server 200 and access the sub-link site provided by the business portal server 200 without additional login. The server that performs authentication. The user terminal 100 may use the additional service provided by the business portal site through the SSO server 300 without a separate authentication procedure.

FIDO 서버(400)는 사용자 단말(100)의 RP 클라이언트 모듈(101)을 통해 사용자 단말(100)과 통신하면서 FIDO 클라이언트 모듈(100)의 인증키 관리를 통해 인증키를 받아 등록하여 생체정보 기반 인증 처리를 수행한다. The FIDO server 400 receives and registers an authentication key through the authentication key management of the FIDO client module 100 while communicating with the user terminal 100 through the RP client module 101 of the user terminal 100, thereby biometric information-based authentication perform processing.

도 2는 본 발명의 제1 실시예에 따른 FIDO 방식 기반 통합 인증 관리 시스템에서 각 주체간의 신호 처리 흐름을 나타낸 것이다. 2 illustrates a signal processing flow between each subject in the FIDO method-based integrated authentication management system according to the first embodiment of the present invention.

도 2를 참조하면, 먼저 사용자 단말(100)은 업무 포탈 서버(200)에 로그인 접속한다(S10). 사용자 단말(100)에 의해 로그인 접속되면, 업무 포탈 서버(200)는 로그인 시 입력된 아이디(ID) 및 패스워드(PW)인 로그인 정보를 SSO 서버(300)로 전달하여 인증을 요청한다(S12).Referring to FIG. 2 , first, the user terminal 100 logs in and accesses the work portal server 200 ( S10 ). When the login is accessed by the user terminal 100, the business portal server 200 transmits the login information that is the ID and password (PW) input at the time of login to the SSO server 300 to request authentication (S12) .

SSO 서버(300)는 업무 포탈 서버(200)의 인증 요청에 따라 로그인 정보를 확인하여 유효한 정보이면 인증 처리한다(S14). 인증 처리가 되면, SSO 서버(300)는 인증토큰을 생성하고 이를 사용자 단말(100)로 전송한다(S16).The SSO server 300 checks the login information according to the authentication request of the business portal server 200, and if it is valid information, the authentication process is performed (S14). When the authentication process is completed, the SSO server 300 generates an authentication token and transmits it to the user terminal 100 (S16).

사용자 단말(100)은 SSO 서버(300)의 인증 처리에 따라 생성된 인증토큰을 수신하여 저장한다. 이후 사용자 단말(100)은 업무 포탈 서버(200)에 존재하는 하위 링크 사이트에 접속을 요청한다(S18). The user terminal 100 receives and stores the authentication token generated according to the authentication process of the SSO server 300 . Thereafter, the user terminal 100 requests access to a lower link site existing in the business portal server 200 (S18).

하위 링크 사이트는 기본 서비스 외에 업무 포탈 서버(200)가 제공하는 서비스 사이트로서 추가적인 로그인이 필요한 사이트를 말한다. 본 발명에 따르면 사용자 단말(100)은 인증토큰을 이용해 추가적인 로그인 없이 하위 링크 사이트에 접속할 수 있다. 그러나 하위 링크 사이트 중에서 보안이 필요한 서비스는 인증토큰으로 접근할 수 없고 생체 인증 절차를 거친 이후에 접근할 수 있다. The sub-link site refers to a site that requires additional login as a service site provided by the business portal server 200 in addition to the basic service. According to the present invention, the user terminal 100 can access the lower link site without additional login by using the authentication token. However, services that require security among sub-linked sites cannot be accessed with an authentication token and can be accessed after undergoing biometric authentication.

사용자 단말(100)이 하위 링크 사이트 중에서 보안이 요구되는 사이트에 접속 요청을 하게 되면(S18), 기 저장된 인증토큰으로는 사이트에 접속할 수 없으며 이때 사용자 단말(100)은 업무 포탈 서버(200)로부터 생체 인증 절차를 요청 받게 된다(S20).When the user terminal 100 makes a request for access to a site requiring security among sub-linked sites (S18), the user terminal 100 cannot access the site with the pre-stored authentication token. A biometric authentication procedure is requested (S20).

사용자 단말(100)은 생체 인증 절차를 요청 받으면 인증장치(110)로 인증 요청 메시지를 전달하고, 인증장치(110)는 사용자의 생체정보와 기 저장된 생체정보를 비교하여 일치하면 인증키를 생성해 사용자 단말(100)로 인증키를 전달하는 생체정보 확인 단계(S22)를 수행한다. When the user terminal 100 receives a request for a biometric authentication procedure, it transmits an authentication request message to the authentication device 110, and the authentication device 110 compares the user's biometric information with pre-stored biometric information and generates an authentication key if they match. A biometric information confirmation step (S22) of transferring the authentication key to the user terminal 100 is performed.

사용자 단말(100)이 인증장치(110)로부터 수신한 인증키를 FIDO 서버(400)로 전송하면(S24), FIDO 서버(400)는 기 등록된 인증키와 비교하여 일치하면 인증 처리를 수행하고(S26), SSO 서버(300)로 인증 처리 응답을 하게 된다(S28).When the user terminal 100 transmits the authentication key received from the authentication device 110 to the FIDO server 400 (S24), the FIDO server 400 compares it with the previously registered authentication key and performs authentication processing if they match, (S26), an authentication processing response is made to the SSO server 300 (S28).

SSO 서버(300)는 FIDO 서버(400)로부터 인증 처리 응답을 수신하면 FIDO 인증토큰을 생성하여 저장하고 이를 사용자 단말(100)로 전송한다(S30).When the SSO server 300 receives the authentication processing response from the FIDO server 400 , it generates and stores the FIDO authentication token and transmits it to the user terminal 100 ( S30 ).

사용자 단말(100)은 SSO 서버(300)로부터 FIDO 인증토큰을 수신하여 저장하며, 다시 한번 하위 링크 사이트에 접속을 요청한다(S32). The user terminal 100 receives and stores the FIDO authentication token from the SSO server 300, and once again requests access to the lower link site (S32).

사용자 단말(100)이 하위 링크 사이트에 접속을 요청할 때, 업무 포탈 서버(200)에 FIDO 인증토큰이 전달되고, 업무 포탈 서버(200)는 SSO 서버(300)로 FIDO 인증토큰을 전달하여 인증을 요청한다(S34).When the user terminal 100 requests access to the lower link site, the FIDO authentication token is transmitted to the business portal server 200 , and the business portal server 200 transmits the FIDO authentication token to the SSO server 300 for authentication. request (S34).

SSO 서버(300)는 인증 요청에 따라 FIDO 인증토큰과 기 저장된 FIDO 인증토큰을 비교하여 일치하면 인증 처리를 수행하여(S36), 업무 포탈 서버(200)로 인증 처리 응답을 전송한다(S38). 업무 포탈 서버(200)는 인증 처리 응답에 따라 하위 링크 사이트의 접근을 허용함으로써 사용자 단말(100)이 하위 링크 사이트에 접속할 수 있게 된다(S40).The SSO server 300 compares the FIDO authentication token with the pre-stored FIDO authentication token according to the authentication request, and if they match, performs authentication processing (S36), and transmits an authentication processing response to the business portal server 200 (S38). The business portal server 200 allows the access of the lower link site according to the authentication processing response, so that the user terminal 100 can access the lower link site (S40).

도 3은 본 발명의 제2 실시예에 따른 FIDO 방식 기반 통합 인증 관리 시스템에서 각 주체간의 신호 처리 흐름을 나타낸 것이다. 3 illustrates a signal processing flow between each subject in the FIDO method-based integrated authentication management system according to the second embodiment of the present invention.

도 3을 참조하면, 먼저 사용자 단말(100)은 업무 포탈 서버(200)에 로그인 접속한다(S100). 사용자 단말(100)에 의해 로그인 접속되면, 업무 포탈 서버(200)는 로그인 시 입력된 아이디(ID) 및 패스워드(PW)인 로그인 정보를 SSO 서버(300)로 전달하여 인증을 요청한다(S102).Referring to FIG. 3 , first, the user terminal 100 logs in and accesses the work portal server 200 ( S100 ). When login is accessed by the user terminal 100, the business portal server 200 transmits the login information that is the ID and password (PW) input at the time of login to the SSO server 300 to request authentication (S102) .

SSO 서버(300)는 업무 포탈 서버(200)의 인증 요청에 따라 로그인 정보를 확인하여 유효한 정보이면 인증 처리한다(S104). 인증 처리가 되면, 도 2에서는 SSO 서버(300)가 인증토큰을 생성하였으나, 여기서는 사용자 단말(100)로 생체 인증 절차를 요청한다(S106).The SSO server 300 checks the login information according to the authentication request of the business portal server 200, and if it is valid information, the authentication process is performed (S104). When the authentication process is performed, in FIG. 2 , the SSO server 300 generates an authentication token, but here, a biometric authentication procedure is requested from the user terminal 100 ( S106 ).

사용자 단말(100)은 생체 인증 절차를 요청 받으면 인증장치(110)로 인증 요청 메시지를 전달하고, 인증장치(110)는 사용자의 생체정보와 기 저장된 생체정보를 비교하여 일치하면 인증키를 생성해 사용자 단말(100)로 인증키를 전달하는 생체정보 확인 단계(S108)를 수행한다. When the user terminal 100 receives a request for a biometric authentication procedure, it transmits an authentication request message to the authentication device 110, and the authentication device 110 compares the user's biometric information with pre-stored biometric information and generates an authentication key if they match. A biometric information confirmation step (S108) of transferring the authentication key to the user terminal 100 is performed.

사용자 단말(100)가 인증장치(110)로부터 수신한 인증키를 FIDO 서버(400)로 전송하면(S110), FIDO 서버(400)는 기 등록된 인증키와 비교하여 일치하면 인증 처리를 수행하고(S112), SSO 서버(300)로 인증 처리 응답을 하게 된다(S114).When the user terminal 100 transmits the authentication key received from the authentication device 110 to the FIDO server 400 (S110), the FIDO server 400 compares the authentication key with the previously registered authentication key and performs authentication processing if they match. (S112), an authentication processing response is made to the SSO server 300 (S114).

SSO 서버(300)는 FIDO 서버(400)로부터 인증 처리 응답을 수신하면 FIDO 인증토큰을 생성하여 저장하고 이를 사용자 단말(100)로 전송한다(S116).When the SSO server 300 receives the authentication processing response from the FIDO server 400 , it generates and stores the FIDO authentication token and transmits it to the user terminal 100 ( S116 ).

사용자 단말(100)은 SSO 서버(300)로부터 FIDO 인증토큰을 수신하여 저장하며, 이후 하위 링크 사이트에 접속을 요청한다(S118). The user terminal 100 receives and stores the FIDO authentication token from the SSO server 300, and then requests access to a lower link site (S118).

사용자 단말(100)이 하위 링크 사이트에 접속을 요청할 때, 업무 포탈 서버(200)에 FIDO 인증토큰이 전달되고, 업무 포탈 서버(200)는 SSO 서버(300)로 FIDO 인증토큰을 전달하여 인증을 요청한다(S120).When the user terminal 100 requests access to the lower link site, the FIDO authentication token is transmitted to the business portal server 200 , and the business portal server 200 transmits the FIDO authentication token to the SSO server 300 for authentication. request (S120).

SSO 서버(300)는 인증 요청에 따라 FIDO 인증토큰과 기 저장된 FIDO 인증토큰을 비교하여 일치하면 인증 처리를 수행하여(S122), 업무 포탈 서버(200)로 인증 처리 응답을 전송한다(S124). 업무 포탈 서버(200)는 인증 처리 응답에 따라 하위 링크 사이트의 접근을 허용함으로써 사용자 단말(100)이 하위 링크 사이트에 접속할 수 있게 된다(S126).The SSO server 300 compares the FIDO authentication token with the pre-stored FIDO authentication token according to the authentication request and, if they match, performs authentication processing (S122), and transmits an authentication processing response to the business portal server 200 (S124). The business portal server 200 allows the access to the lower link site according to the authentication processing response, so that the user terminal 100 can access the lower link site (S126).

본 발명의 제1 실시예에서는 인증토큰 및 FIDO 인증토큰을 발행하여 인증토큰으로 접근할 수 있는 하위 링크 사이트와 FIDO 인증토큰으로 접근할 수 있는 하위 링크 사이트를 구분함으로써 하위 링크 사이트의 보안 등급을 차별화하고 있다. In the first embodiment of the present invention, the security level of sub-link sites is differentiated by issuing an authentication token and a FIDO authentication token to classify a sub-link site that can be accessed with an authentication token and a sub-link site that can be accessed with a FIDO authentication token. are doing

이에 대하여 본 발명의 제2 실시예에서는 업무 포탈 사이트의 로그인 시 생체 인증 절차를 거치게 하여 모든 하위 링크 사이트에 대해 FIDO 인증토큰을 사용하게 함으로써 모든 하위 링크 사이트를 동일한 보안 등급으로 관리하고 있다. In contrast, in the second embodiment of the present invention, all sub-linked sites are managed with the same security level by using a FIDO authentication token for all sub-linked sites by going through a biometric authentication procedure when logging in to a business portal site.

상술한 바와 같이 본 발명의 실시예에 따르면 사용자 단말(100)이 업무 포탈 서버(200)에 로그인 접속하거나 로그인 접속 이후 하위 링크 사이트에 접속을 요청할 때 FIDO 인증 절차를 진행하여, FIDO 서버(400)와 SSO 서버(300)의 연동에 의해 SSO 서버(300)로부터 인증토큰 및 FIDO 인증토큰을 발급받아 추가 로그인 없이 하위 링크 사이트에 접속할 수 있다. As described above, according to the embodiment of the present invention, when the user terminal 100 logs in to the business portal server 200 or requests access to a sub-link site after the login connection, the FIDO authentication procedure is performed, and the FIDO server 400 . By interworking with the SSO server 300, an authentication token and a FIDO authentication token are issued from the SSO server 300, and the sub-linked site can be accessed without additional login.

한편, 본 발명의 다른 실시예로서 인증서를 통해 하위 링크 사이트에 접속하는 경우 SSO 서버에 의한 통합 인증 기능을 사용하지 않고 FIDO 인증만으로 하위 링크 사이트에 접속할 수 있다. Meanwhile, as another embodiment of the present invention, when accessing a lower link site through a certificate, it is possible to access the lower link site only by FIDO authentication without using the integrated authentication function by the SSO server.

사용자 단말(100)은 최초 인증서를 통해 하위 링크 사이트에 접속한 후 FIDO 인증 절차를 진행하여 FIDO 서버(400)에 인증서의 개인식별정보를 등록한다. 그러면 FIDO 서버(400)에 사용자의 FIDO 인증정보와 인증서의 개인식별정보가 매칭되어 등록되므로 이후 사용자 단말(100)은 인증서 로그인 없이 FIDO 인증만으로 하위 링크 사이트에 접속할 수 있다. The user terminal 100 registers the personal identification information of the certificate in the FIDO server 400 by performing the FIDO authentication procedure after accessing the lower link site through the initial certificate. Then, since the user's FIDO authentication information and the personal identification information of the certificate are matched and registered in the FIDO server 400 , the user terminal 100 can then access the lower link site only by FIDO authentication without logging in with the certificate.

이상의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 안 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above detailed description should not be construed as restrictive in all respects and should be considered as exemplary. The scope of the present invention should be determined by a reasonable interpretation of the appended claims, and all modifications within the equivalent scope of the present invention are included in the scope of the present invention.

100: 사용자 단말 101: RP 클라이언트 모듈
102: FIDO 클라이언트 모듈 110: 인증장치
200: 업무 포탈 서버 300: SSO 서버
400: FIDO 서버100: user terminal 101: RP client module
102: FIDO client module 110: authentication device
200: business portal server 300: SSO server
400: FIDO server

Claims (4)

하위 링크 사이트를 제공하는 업무 포탈 서버에 있어서,
사용자 단말로부터 수신한 로그인 정보를 SSO 서버로 전달하여 인증을 요청하고, 상기 사용자 단말로부터 하위 링크 사이트에 대한 접속 요청이 있으면 상기 사용자 단말로 생체 인증 절차를 요청하여, 상기 사용자 단말이 FIDO 서버에 의해 인증 처리되어 상기 SSO 서버로부터 받은 FIDO 인증토큰에 근거해 하위 링크 사이트에 대해 접속 요청을 하면, 상기 SSO 서버로 인증 요청을 하여 하위 링크 사이트에 대한 접근을 허용하는 것을 특징으로 하는 업무 포탈 서버.In the business portal server that provides a sub-link site,
The login information received from the user terminal is transmitted to the SSO server to request authentication, and when there is a request for access to a sub-link site from the user terminal, a biometric authentication procedure is requested to the user terminal, and the user terminal is executed by the FIDO server When an access request is made to a sub-linked site based on the FIDO authentication token received from the SSO server after being authenticated, an authentication request is made to the SSO server to allow access to the sub-linked site. 하위 링크 사이트를 제공하는 업무 포탈 서버에 있어서,
사용자 단말로부터 수신한 로그인 정보를 SSO 서버로 전달하여 인증을 요청하고, 상기 사용자 단말이 FIDO 서버에 의해 인증 처리되어 상기 SSO 서버로부터 받은 FIDO 인증토큰에 근거해 하위 링크 사이트에 대해 접속 요청을 하면, 상기 SSO 서버로 인증 요청을 하여 하위 링크 사이트에 대한 접근을 허용하는 것을 특징으로 하는 업무 포탈 서버.In the business portal server that provides a sub-link site,
When the login information received from the user terminal is transmitted to the SSO server to request authentication, and the user terminal is authenticated by the FIDO server and requests access to a sub-link site based on the FIDO authentication token received from the SSO server, Business portal server, characterized in that by making an authentication request to the SSO server to allow access to the sub-link site. 사용자 단말이 업무 포탈 서버에 로그인 접속하면 상기 업무 포탈 서버가 SSO 서버에 로그인 정보를 전달하여 인증을 요청하는 단계와,
상기 SSO 서버가 로그인 정보를 인증 처리하여 인증토큰을 생성해 사용자 단말로 전송하는 단계와,
상기 사용자 단말이 상기 업무 포탈 서버로 하위 링크 사이트에 대한 접속을 요청하면 상기 업무 포탈 서버가 사용자 단말로 생체 인증 절차를 요청하는 단계와,
상기 사용자 단말이 생체 인증을 통해 생성한 인증키를 FIDO 서버로 전송하면 상기 FIDO 서버가 기 저장된 인증키와 비교하여 인증 처리를 수행하여 SSO 서버로 인증처리 응답을 전송하는 단계와,
상기 SSO 서버가 상기 FIDO 서버의 인증처리 응답을 수신하면 FIDO 인증토큰을 생성해 상기 사용자 단말로 전송하는 단계와,
상기 사용자 단말이 인증토큰 또는 FIDO 인증토큰을 이용해 하위 링크 사이트에 접속하는 단계를 포함하는 FIDO 방식 기반 통합 인증 관리 방법.When the user terminal logs in to the business portal server, the business portal server transmits login information to the SSO server to request authentication;
The SSO server authenticates the login information, generates an authentication token, and transmits it to the user terminal;
When the user terminal requests access to a lower link site from the business portal server, the business portal server requests a biometric authentication procedure from the user terminal;
When the user terminal transmits the authentication key generated through biometric authentication to the FIDO server, the FIDO server compares the authentication key with the stored authentication key, performs authentication processing, and transmits an authentication processing response to the SSO server;
When the SSO server receives the authentication processing response of the FIDO server, generating a FIDO authentication token and transmitting it to the user terminal;
FIDO method-based integrated authentication management method comprising the step of the user terminal accessing a lower link site using an authentication token or a FIDO authentication token. 사용자 단말이 업무 포탈 서버에 로그인 접속하면 상기 업무 포탈 서버가 SSO 서버에 로그인 정보를 전달하여 인증을 요청하는 단계와,
상기 SSO 서버가 로그인 정보를 인증 처리한 후 상기 사용자 단말로 생체 인증 절차를 요청하는 단계와,
상기 사용자 단말이 생체 인증을 통해 생성한 인증키를 FIDO 서버로 전송하면 상기 FIDO 서버가 기 저장된 인증키와 비교하여 인증 처리를 수행하여 SSO 서버로 인증처리 응답을 전송하는 단계와,
상기 SSO 서버가 상기 FIDO 서버의 인증처리 응답을 수신하면 FIDO 인증토큰을 생성해 상기 사용자 단말로 전송하는 단계와,
상기 사용자 단말이 FIDO 인증토큰을 이용해 하위 링크 사이트에 접속하는 단계를 포함하는 FIDO 방식 기반 통합 인증 관리 방법.When the user terminal logs in to the business portal server, the business portal server transmits login information to the SSO server to request authentication;
requesting a biometric authentication procedure from the user terminal after the SSO server authenticates the login information;
When the user terminal transmits the authentication key generated through biometric authentication to the FIDO server, the FIDO server compares the authentication key with the stored authentication key, performs authentication processing, and transmits an authentication processing response to the SSO server;
When the SSO server receives the authentication processing response of the FIDO server, generating a FIDO authentication token and transmitting it to the user terminal;
FIDO method-based integrated authentication management method comprising the step of the user terminal accessing a lower link site using a FIDO authentication token.
KR1020200151032A 2020-11-12 2020-11-12 System and method for unified authentication management based on Fast Identity Online KR20220064676A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200151032A KR20220064676A (en) 2020-11-12 2020-11-12 System and method for unified authentication management based on Fast Identity Online

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200151032A KR20220064676A (en) 2020-11-12 2020-11-12 System and method for unified authentication management based on Fast Identity Online

Publications (1)

Publication Number Publication Date
KR20220064676A true KR20220064676A (en) 2022-05-19

Family

ID=81805295

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200151032A KR20220064676A (en) 2020-11-12 2020-11-12 System and method for unified authentication management based on Fast Identity Online

Country Status (1)

Country Link
KR (1) KR20220064676A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190036504A (en) 2017-09-27 2019-04-04 사이트릭스 시스템스, 인크. Secure single sign on and conditional access for client applications

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190036504A (en) 2017-09-27 2019-04-04 사이트릭스 시스템스, 인크. Secure single sign on and conditional access for client applications

Similar Documents

Publication Publication Date Title
US10708259B2 (en) Authorization flow initiation using short-term wireless communication
EP3266181B1 (en) Identification and/or authentication system and method
US9438633B1 (en) System, method and computer program product for providing unified authentication services for online applications
CN100461667C (en) Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment
JP4782986B2 (en) Single sign-on on the Internet using public key cryptography
KR101941227B1 (en) A FIDO authentication device capable of identity confirmation or non-repudiation and the method thereof
KR20190039077A (en) Biometric identification and verification between IoT devices and applications
KR20110081103A (en) Secure transaction systems and methods
US11356261B2 (en) Apparatus and methods for secure access to remote content
JP2020042691A (en) Information processor, resource providing device, information processing method, information processing program, resource providing method, resource providing program
KR20220167366A (en) Cross authentication method and system between online service server and client
KR101803535B1 (en) Single Sign-On Service Authentication Method Using One-Time-Token
US11914697B2 (en) System and method for a trusted digital identity platform
KR20220064676A (en) System and method for unified authentication management based on Fast Identity Online
KR20220066692A (en) System and method for unified authentication management of business portal
KR102123405B1 (en) System and method for providing security membership and login hosting service
TW202117631A (en) Method for verifying financial service access privilege using different computer sequences and system thereof
CA2403383C (en) System, method and computer program product for providing unified authentication services for online applications
US20230064529A1 (en) User controlled identity provisioning for software applications
US11917087B2 (en) Transparent short-range wireless device factor in a multi-factor authentication system
US20240163117A1 (en) Transparent short-range wireless device factor in a multi-factor authentication system
US11606210B1 (en) Secure activation, service mode access and usage control of IOT devices using bearer tokens
KR100411252B1 (en) A User Authentication Method using ORB
KR20230152342A (en) System and method for providing token-based single sign on authentication using qr code
KR20210051684A (en) Multiple authentication system with user's choice and method for the same

Legal Events

Date Code Title Description
E601 Decision to refuse application