KR20230012874A - 보안 장치에서 쿠키를 활용한 사용자 인증 방법 - Google Patents

보안 장치에서 쿠키를 활용한 사용자 인증 방법 Download PDF

Info

Publication number
KR20230012874A
KR20230012874A KR1020210093670A KR20210093670A KR20230012874A KR 20230012874 A KR20230012874 A KR 20230012874A KR 1020210093670 A KR1020210093670 A KR 1020210093670A KR 20210093670 A KR20210093670 A KR 20210093670A KR 20230012874 A KR20230012874 A KR 20230012874A
Authority
KR
South Korea
Prior art keywords
authentication
redirect response
original request
client
cookie
Prior art date
Application number
KR1020210093670A
Other languages
English (en)
Inventor
송승일
이인희
엄정연
서예진
유혁준
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Priority to KR1020210093670A priority Critical patent/KR20230012874A/ko
Priority to PCT/KR2022/005852 priority patent/WO2023286985A1/ko
Publication of KR20230012874A publication Critical patent/KR20230012874A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 보안 장치에서 쿠키를 활용한 사용자 인증 방법에 관한 것으로, 본 발명에 따른 방법은 클라이언트로부터 제1 도메인에 대한 제1 원요청을 수신하는 단계, 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트 시키는 제1 리다이렉트 응답을 클라이언트에 전송하는 단계, 제1 리다이렉트 응답에 의해 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 클라이언트에 로그인 페이지를 전송하는 단계, 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계, 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 클라이언트에 전송하는 단계 - 제2 리다이렉트 응답은 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 클라이언트에 전송하는 단계 - 제3 리다이렉트 응답은 인증 쿠키값을 포함함 -, 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 인증 쿠키값으로 사용자를 구분하는 단계, 및 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 인증 쿠키값을 제거하고 제1 도메인에 대응하는 서버로 전달하는 단계를 포함한다.

Description

보안 장치에서 쿠키를 활용한 사용자 인증 방법{User authentication method using cookies in a secure apparatus}
본 발명은 보안 장치에서 사용자 인증 방법에 관한 것으로, 보다 자세하게는 클라우드 환경의 보안 장치에서 쿠키를 활용한 사용자 인증 방법에 관한 것이다.
기존 Secure Web Gateway(이하 SWG) 와 같은 프록시 보안제품의 경우 내부 사용자(클라이언트)를 IP로 구분한다. 사용자를 구분하는 이유는 사용자별 보안정책을 적용하기 위함이다. 하지만 클라우드 환경에서 보안제품을 적용해서 서비스하는 경우에 IP로 각각의 사용자를 구분하기에 어려움이 있다. 이유는 사용자들이 공인 IP로 접속하는 경우 때문이다. 예를 들어 A회사가 클라우드 SWG 보안 서비스를 이용하는 경우 A회사의 직원들의 WEB 요청이 외부에 있는 클라우드 SWG로 요청이 전달될 때 클라이언트의 IP는 A회사의 공인 IP로 전달된다. 따라서 A회사 내부 클라이언트를 각각 구분할 수는 없게 된다.
클라우드 환경 보안제품 서비스에서 공인 IP로 접속되는 사용자를 구분하려면 다른 방법이 필요하다. 쿠키는 클라이언트의 PC에 저장되는 정보이기 때문에 공인 IP로 요청이 들어오더라도 쿠키를 이용하여 사용자를 구분할 수 있다.
도메인을 구분하여 저장되는 쿠키의 특성상 일반 서버는 서버 도메인으로 접속되는 쿠키만 관리하여 클라이언트 인증이 단순하다. 하지만 모든 도메인으로 들어오는 요청을 관리하는 프록시 보안 장치에서 사용자를 구분하기 위해서는 일반 서버와는 다른 특별한 쿠키 관리 기법이 요구된다.
본 발명이 해결하고자 하는 기술적 과제는 클라우드 환경의 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 제공하는 것이다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법은 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하는 단계, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하는 단계, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 상기 클라이언트에 로그인 페이지를 전송하는 단계, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 단계를 포함한다.
상기 클라이언트는, 상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고, 상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장할 수 있다.
상기 방법은, 상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계, 상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하는 단계, 상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면, 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -, 상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 단계를 더 포함할 수 있다.
상기 클라이언트는, 상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장할 수 있다.
상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함할 수 있다.
상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성될 수 있다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 보안 장치는, 클라이언트로부터 제1 도메인에 대응하는 제1 원요청(Original Request)을 수신하고, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하며, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면 상기 클라이언트에 로그인 페이지를 전송하고, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하며, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하고 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달할 수 있다.
본 발명에 의하면 프록시 보안장치가 IP로 사용자를 구분할 수 없는 환경, 예컨대 클라우드 환경에서 사용자를 구분, 인증할 수 있다. 아울러 특정 도메인이 아닌 모든 도메인으로 나가는 요청에 대해서 자동으로 사용자를 구분 인증할 수 있다.
도 1은 본 발명의 일 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 3은 본 발명의 또 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 1을 참조하여, 클라이언트에 원요청, 인증용 도메인 모두 인증 쿠키가 없는 경우에 대해서 설명한다.
먼저 클라이언트(100)는 제1 도메인에 대한 제1 원요청(Original Request)을 보안 장치(200)에 전송할 수 있다(S101).
도 1에서는 제1 도메인이 'www.something.com'인 것으로 예시하였다. 보안 장치(200)는 클라우드 환경에서의 보안 장치일 수 있다. 예컨대 보안 장치(200)는 Secure Web Gateway와 같은 프록시 보안제품일 수 있다.
다음으로 클라이언트(100)로부터 제1 도메인에 대응하는 제1 원요청을 수신하면, 보안 장치(200)는 제1 원요청에 인증 쿠키가 있는지 확인할 수 있다(S102).
단계(S102)에서 제1 원요청에 인증 쿠키가 없으면, 보안 장치(200)는 인증용 도메인으로 리다이렉트(redirect) 시키는 302 리다이렉트 응답을 클라이언트(100)에 전송할 수 있다(S103). 도 1에서 인증용 도메인이 'www.monitorapp.com'인 것으로 예시하였다.
클라이언트(100)는 단계(S103)의 리다이렉트 응답에 따라 인증용 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S104).
보안 장치(200)는 단계(S104)에서 리다이렉트된 요청에 인증 쿠키가 있는지 확인하고(S105), 인증 쿠키가 없으면 클라이언트(100)에 로그인 페이지를 전송할 수 있다(S106).
클라이언트(100)는 로그인 페이지에서 입력된 로그인 정보(아이디와 패스워드)를 보안 장치(200)에 전송할 수 있다(S107).
보안 장치(200)는 로그인 페이지에서 입력된 로그인 정보를 확인하고 이상이 없으면 인증 쿠키값을 생성할 수 있다(S108). 인증 쿠키값은 예를 들어 아이디와 패스워드를 이용하여 생성할 수 있다. 가령 인증 쿠키값은 '아이디+패스워드'일 수 있으며 암호화될 수 있다. 인증 쿠키값은 클라이언트(100)에 대해 고유하게 생성될 수 있다.
다음으로 보안 장치(200)는 제1 원요청으로 리다이렉트 시키는 302 리다이렉트 응답을 클라이언트에 전송할 수 있다(S109). 단계(S109)에서 리다이렉트 응답은 인증 쿠키값과 로그인 쿠키 경로를 포함할 수 있다. 도 1에 예시한 것과 같이 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)를 제1 원요청 도메인(www.something.com)에 추가로 붙이는 방식으로 리다이렉트 응답에 포함시킬 수 있다. 그리고 인증 쿠키값은 Set-cookie 헤더에 포함시켜서 전달될 수 있다. 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx)은 인증 쿠키값과 동일할 수 있다.
클라이언트(100)는 단계(S109)의 리다이렉트 응답에 포함된 인증 쿠키값을 인증용 도메인에 대한 인증 쿠키로 저장할 수 있다(S110). 그리고 클라이언트(100)는 리다이렉트 응답에 대응하여 제1 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S111). 단계(S111)에서 보안 장치(200)로 리다이렉트된 원요청에는 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)가 포함된다.
보안 장치(200)는 단계(S111)에서 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인할 수 있다(S112). 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx) 즉 인증 쿠키값을 확인하고, 해당 인증 쿠키값을 제1 원요청으로 리다이렉트 시키는 리다이렉트 응답에 포함시켜 클라이언트(100)에 전송할 수 있다(S113).
클라이언트(100)는 단계(S113)의 리다이렉트 응답에 포함된 인증 쿠키값을 제1 원요청 도메인에 대한 인증 쿠키로 저장할 수 있다(S114). 그리고 클라이언트(100)는 단계(S113)의 리다이렉트 응답에 대응하여 제1 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S115). 단계(S115)에서 보안 장치(200)로 전송되는 요청에는 제1 원요청 도메인에 대한 인증 쿠키값이 포함된다.
이후 보안 장치(200)는 단계(S115)에서 리다이렉트된 제1 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S116).
마지막으로 보안 장치(200)는 단계(S115)에서 리다이렉트된 제1 원요청에서 인증 쿠키값을 제거한 후 제1 도메인에 대응하는 서버(300)로 전달할 수 있다(S117).
도 2는 본 발명의 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 2를 참조하여 클라이언트에 원요청 인증 쿠키가 있는 경우에 대해서 설명한다.
먼저 클라이언트(100)는 제1 도메인에 대한 원요청을 보안 장치(200)에 전송할 수 있다(S201). 단계(S201)에서 클라이언트(100)는 원요청 도메인에 대한 인증 쿠키가 있으므로, 원요청에 인증 쿠키가 포함되어 보안 장치(200)에 전달된다.
따라서 보안 장치(200)는 제1 도메인에 대한 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S202).
보안 장치(200)는 제1 도메인에 대한 원요청에서 인증 쿠키값을 제거하고 제1 도메인에 대응하는 서버(300)로 원요청을 전달할 수 있다(S203).
도 3은 본 발명의 또 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 3을 참조하여, 클라이언트에 원요청 인증 쿠키가 없고, 인증용 도메인에 대한 인증 쿠키만 있는 경우에 대해서 설명한다. 즉 클라이언트에 제1 원요청 도메인에 대한 인증 쿠키와 인증용 도메인에 대한 인증 쿠키가 저장된 상태에서, 제2 도메인(예컨대 'www.something2.com')에 대한 원요청이 보안 장치(200)에 전달되는 경우 처리 동작에 대해 설명한다.
먼저 클라이언트(100)는 제2 도메인에 대한 원요청을 보안 장치(200)에 전송할 수 있다(S301). 도 1에서는 제2 도메인이 'www.something2.com'인 것으로 예시하였다.
다음으로 클라이언트(100)로부터 제2 도메인에 대응하는 제2 원요청을 수신하면, 보안 장치(200)는 제2 원요청에 인증 쿠키가 있는지 확인할 수 있다(S302).
단계(S302)에서 제2 원요청에 인증 쿠키가 없으면, 보안 장치(200)는 인증용 도메인으로 리다이렉트 시키는 302 리다이렉트 응답을 클라이언트(100)에 전송할 수 있다(S303).
클라이언트(100)는 단계(S303)의 리다이렉트 응답에 의해 인증용 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S304). 앞서 설명한 것고 같이 도 3의 실시예에서는 클라이언트(100)에 인증용 도메인에 대한 인증 쿠키가 저장되어 있으므로, 단계(S304)에서 인증용 도메인으로 리다이렉트된 요청에는 인증 쿠키값이 포함된다.
보안 장치(200)는 단계(S304)에서 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있는지 확인한다(S305).
단계(S305)에서 인증 쿠키가 포함되어 있으면, 보안 장치(200)는 제2 원요청으로 리다이렉트 시키는 302 리다이렉트 응답에 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)를 포함시켜서 클라이언트에 전송할 수 있다(S306). 단계(S306)의 리다이렉트 응답에 포함되는 로그인 쿠키 경로는 단계(S305)에서 확인한 인증 쿠키값이 포함될 수 있다.
그리고 클라이언트(100)는 단계(S306)의 리다이렉트 응답에 대응하여 제2 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S307). 단계(S307)에서 보안 장치(200)로 리다이렉트된 제2 원요청에는 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)가 포함된다.
보안 장치(200)는 단계(S307)에서 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인할 수 있다(S308). 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx) 즉 인증 쿠키값을 확인하고, 해당 인증 쿠키값을 제2 원요청으로 리다이렉트 시키는 리다이렉트 응답에 포함시켜 클라이언트(100)에 다시 전송할 수 있다(S309).
클라이언트(100)는 단계(S309)의 리다이렉트 응답에 포함된 인증 쿠키값을 제2 원요청 도메인에 대한 인증 쿠키로 저장할 수 있다(S310). 그리고 클라이언트(100)는 단계(S309)의 리다이렉트 응답에 대응하여 제2 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S311). 단계(S311)에서 보안 장치(200)로 전송되는 요청에는 제2 원요청 도메인에 대한 인증 쿠키값이 포함된다.
이후 보안 장치(200)는 단계(S311)에서 리다이렉트된 제2 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S312).
마지막으로 보안 장치(200)는 단계(S311)에서 리다이렉트된 제2 원요청에서 인증 쿠키값을 제거한 후 제2 도메인에 대응하는 서버(300')로 전달할 수 있다(S313).
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (10)

  1. 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하는 단계,
    상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하는 단계,
    상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 상기 클라이언트에 로그인 페이지를 전송하는 단계,
    상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계,
    상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -,
    상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -,
    상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및
    상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 단계
    를 포함하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  2. 제 1 항에서,
    상기 클라이언트는,
    상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고,
    상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  3. 제 1 항에서,
    상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계,
    상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하는 단계,
    상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면, 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -,
    상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -,
    상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및
    상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 단계
    를 더 포함하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  4. 제 3 항에서,
    상기 클라이언트는,
    상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에서,
    상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함하고,
    상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성되는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  6. 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하고, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하며, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면 상기 클라이언트에 로그인 페이지를 전송하고, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하며, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하고 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 보안 장치.
  7. 제 6 항에서,
    상기 클라이언트는,
    상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고,
    상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장하는 보안 장치.
  8. 제 6 항에서,
    상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계,
    상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하고, 상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -, 상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 보안 장치.
  9. 제 8 항에서,
    상기 클라이언트는,
    상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장하는 보안 장치.
  10. 제 6 항 내지 제 10 항 중 어느 한 항에서,
    상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함하고, 상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성되는 보안 장치.
KR1020210093670A 2021-07-16 2021-07-16 보안 장치에서 쿠키를 활용한 사용자 인증 방법 KR20230012874A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020210093670A KR20230012874A (ko) 2021-07-16 2021-07-16 보안 장치에서 쿠키를 활용한 사용자 인증 방법
PCT/KR2022/005852 WO2023286985A1 (ko) 2021-07-16 2022-04-25 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210093670A KR20230012874A (ko) 2021-07-16 2021-07-16 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Publications (1)

Publication Number Publication Date
KR20230012874A true KR20230012874A (ko) 2023-01-26

Family

ID=84920387

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210093670A KR20230012874A (ko) 2021-07-16 2021-07-16 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Country Status (2)

Country Link
KR (1) KR20230012874A (ko)
WO (1) WO2023286985A1 (ko)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100915003B1 (ko) * 2007-10-05 2009-09-02 인하대학교 산학협력단 웹 환경에서의 안전한 사용자 세션 관리 방법 및 시스템,이를 수행하는 프로그램이 기록된 기록매체
KR101186695B1 (ko) * 2008-12-19 2012-09-27 주식회사 케이티 연합 쿠키를 이용한 id 연합 기반의 사이트 연동 방법
US8943571B2 (en) * 2011-10-04 2015-01-27 Qualcomm Incorporated Method and apparatus for protecting a single sign-on domain from credential leakage
CN104767719B (zh) * 2014-01-07 2018-09-18 阿里巴巴集团控股有限公司 确定登录网站的终端是否是移动终端的方法及服务器
KR102001891B1 (ko) * 2017-07-17 2019-07-19 비씨카드(주) 사용자 인증 서비스 제공 방법, 웹 서버 및 사용자 단말

Also Published As

Publication number Publication date
WO2023286985A1 (ko) 2023-01-19

Similar Documents

Publication Publication Date Title
US10554622B2 (en) Secure application delivery system with dial out and associated method
US10956542B2 (en) Secure provisioning and management of devices
US9646019B2 (en) Secure isolation of tenant resources in a multi-tenant storage system using a security gateway
US8572268B2 (en) Managing secure sessions
US8490165B2 (en) Restoring secure sessions
DK2805473T3 (en) SKY SERVICE SECURITY MANAGEMENT
US10021101B2 (en) Embedding security posture in network traffic
US20140331337A1 (en) Secure isolation of tenant resources in a multi-tenant storage system using a gatekeeper
US10826875B1 (en) System and method for securely communicating requests
US8832779B2 (en) Generalized identity mediation and propagation
US10397233B2 (en) Method and apparatus for credential handling
CN104243419A (zh) 基于安全外壳协议的数据处理方法、装置及系统
US10305693B2 (en) Anonymous secure socket layer certificate verification in a trusted group
CN113297562A (zh) 认证方法、装置、系统、电子设备及存储介质
US20170237716A1 (en) System and method for interlocking intrusion information
KR20230012874A (ko) 보안 장치에서 쿠키를 활용한 사용자 인증 방법
US20220417222A1 (en) Systems and methods to detect and prevent bots from random access by randomized http urls in real time in distributed systems
KR20190119785A (ko) 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
Dinesha et al. Framework design of secure cloud transmission protocol
Jaeger et al. Access control and data separation metrics in cloud infrastructures
US12034769B2 (en) Systems and methods for scalable zero trust security processing
Shamsolmoali et al. Ensuring data security and performance evaluation in cloud computing
US20160308867A1 (en) Method and system for secure remote access and control using shared resources
CN116032500A (zh) 业务访问流量管控方法、装置、设备和介质
US20160352773A1 (en) Security action verification in a computing network

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application