WO2023286985A1 - 보안 장치에서 쿠키를 활용한 사용자 인증 방법 - Google Patents

보안 장치에서 쿠키를 활용한 사용자 인증 방법 Download PDF

Info

Publication number
WO2023286985A1
WO2023286985A1 PCT/KR2022/005852 KR2022005852W WO2023286985A1 WO 2023286985 A1 WO2023286985 A1 WO 2023286985A1 KR 2022005852 W KR2022005852 W KR 2022005852W WO 2023286985 A1 WO2023286985 A1 WO 2023286985A1
Authority
WO
WIPO (PCT)
Prior art keywords
authentication
redirect response
original request
client
cookie
Prior art date
Application number
PCT/KR2022/005852
Other languages
English (en)
French (fr)
Inventor
송승일
이인희
엄정연
서예진
유혁준
Original Assignee
(주)모니터랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)모니터랩 filed Critical (주)모니터랩
Publication of WO2023286985A1 publication Critical patent/WO2023286985A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/40Support for services or applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Definitions

  • the login information input in the login page may include an ID and a password.
  • the authentication cookie value may be generated based on the ID and password.
  • a security device for solving the above technical problem receives a first original request corresponding to a first domain from a client, and if there is no authentication cookie in the first original request, a domain for authentication is sent.
  • a first redirect response for redirection is transmitted to the client, and if there is no authentication cookie in the request redirected to the authentication domain by the first redirect response, a login page is transmitted to the client, and an input is entered in the login page Confirming the login information, generating an authentication cookie value, and transmitting a second redirect response to the client for redirecting to the first original request - the second redirect response including the authentication cookie value and the login cookie path - ,
  • Checking the login cookie path in the first original request redirected by the second redirect response and transmitting a third redirect response to the client for redirecting to the first original request - the third redirect response is the authentication cookie value Including -, the user is identified by the authentication cookie value included in the first original request redirected by the third redirect response, and the authentication cookie value in the first original request re
  • a proxy security device can distinguish and authenticate users in an environment where users cannot be identified by IP, for example, in a cloud environment.
  • users can be automatically identified and authenticated for requests going out to all domains, not specific domains.
  • FIG. 1 is a flowchart illustrating a user authentication method using cookies in a security device according to an embodiment of the present invention.
  • FIG. 2 is a flowchart illustrating a user authentication method using cookies in a security device according to another embodiment of the present invention.
  • FIG. 3 is a flowchart illustrating a user authentication method using cookies in a security device according to another embodiment of the present invention.
  • FIG. 1 is a flowchart illustrating a user authentication method using cookies in a security device according to an embodiment of the present invention.
  • the security device 200 may transmit a 302 redirect response to the client 100 for redirecting to the domain for authentication (S103).
  • the domain for authentication is exemplified as 'www.monitorapp.com'.
  • the security device 200 may remove the authentication cookie value from the redirected first original request in step S115 and transmit the value to the server 300 corresponding to the first domain (S117).
  • FIG. 2 is a flowchart illustrating a user authentication method using cookies in a security device according to another embodiment of the present invention.
  • the security device 200 may remove the authentication cookie value from the original request for the first domain and transfer the original request to the server 300 corresponding to the first domain (S203).
  • the security device 200 may check whether the authentication cookie exists in the second original request (S302).
  • step S302 if there is no authentication cookie in the second original request, the security device 200 may transmit a 302 redirect response to the client 100 for redirecting to the domain for authentication (S303).
  • the client 100 may transmit a request redirected to the authentication domain to the security device 200 by the redirect response of step S303 (S304).
  • the authentication cookie for the authentication domain is stored in the client 100 in the embodiment of FIG. 3, the authentication cookie value is included in the request redirected to the authentication domain in step S304.
  • the client 100 may transmit a request redirected to the second original request domain to the security device 200 (S307).
  • the security device 200 may check the login cookie path in the second original request redirected in step S307 (S308).
  • the client 100 may store the authentication cookie value included in the redirect response of step S309 as an authentication cookie for the second original request domain (S310).
  • the client 100 may transmit a request redirected to the second original request domain to the security device 200 in response to the redirect response of step S309 (S311).
  • the request transmitted to the security device 200 in step S311 includes an authentication cookie value for the second original request domain.
  • the embodiments described above may be implemented as hardware components, software components, and/or a combination of hardware components and software components.
  • the devices, methods and components described in the embodiments may include, for example, a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate (FPGA). array), programmable logic units (PLUs), microprocessors, or any other device capable of executing and responding to instructions.
  • a processing device may run an operating system (OS) and one or more software applications running on the operating system.
  • a processing device may also access, store, manipulate, process, and generate data in response to execution of software.
  • OS operating system
  • a processing device may also access, store, manipulate, process, and generate data in response to execution of software.
  • the processing device includes a plurality of processing elements and/or a plurality of types of processing elements. It can be seen that it can include.
  • a processing device may include a plurality of processors or a processor and a controller. Other processing configurations are also possible, such as parallel processors.
  • Software may include a computer program, code, instructions, or a combination of one or more of the foregoing, which configures a processing device to operate as desired or processes independently or collectively.
  • the device can be commanded.
  • Software and/or data may be any tangible machine, component, physical device, virtual equipment, computer storage medium or device, intended to be interpreted by or provide instructions or data to a processing device.
  • may be permanently or temporarily embodied in Software may be distributed on networked computer systems and stored or executed in a distributed manner.
  • Software and data may be stored on one or more computer readable media.
  • the method according to the embodiment may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium.
  • the computer readable medium may include program instructions, data files, data structures, etc. alone or in combination.
  • Program commands recorded on the medium may be specially designed and configured for the embodiment or may be known and usable to those skilled in computer software.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks.
  • - includes hardware devices specially configured to store and execute program instructions, such as magneto-optical media, and ROM, RAM, flash memory, and the like.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법은 클라이언트로부터 제1 도메인에 대한 제1 원요청을 수신하는 단계, 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트 시키는 제1 리다이렉트 응답을 클라이언트에 전송하는 단계, 제1 리다이렉트 응답에 의해 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 클라이언트에 로그인 페이지를 전송하는 단계, 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계, 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 클라이언트에 전송하는 단계, 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 클라이언트에 전송하는 단계, 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 인증 쿠키값으로 사용자를 구분하는 단계, 및 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 인증 쿠키값을 제거하고 제1 도메인에 대응하는 서버로 전달하는 단계를 포함한다.

Description

보안 장치에서 쿠키를 활용한 사용자 인증 방법
본 발명은 보안 장치에서 사용자 인증 방법에 관한 것으로, 보다 자세하게는 클라우드 환경의 보안 장치에서 쿠키를 활용한 사용자 인증 방법에 관한 것이다.
기존 Secure Web Gateway(이하 SWG) 와 같은 프록시 보안제품의 경우 내부 사용자(클라이언트)를 IP로 구분한다. 사용자를 구분하는 이유는 사용자별 보안정책을 적용하기 위함이다. 하지만 클라우드 환경에서 보안제품을 적용해서 서비스하는 경우에 IP로 각각의 사용자를 구분하기에 어려움이 있다. 이유는 사용자들이 공인 IP로 접속하는 경우 때문이다. 예를 들어 A회사가 클라우드 SWG 보안 서비스를 이용하는 경우 A회사의 직원들의 WEB 요청이 외부에 있는 클라우드 SWG로 요청이 전달될 때 클라이언트의 IP는 A회사의 공인 IP로 전달된다. 따라서 A회사 내부 클라이언트를 각각 구분할 수는 없게 된다.
클라우드 환경 보안제품 서비스에서 공인 IP로 접속되는 사용자를 구분하려면 다른 방법이 필요하다. 쿠키는 클라이언트의 PC에 저장되는 정보이기 때문에 공인 IP로 요청이 들어오더라도 쿠키를 이용하여 사용자를 구분할 수 있다.
도메인을 구분하여 저장되는 쿠키의 특성상 일반 서버는 서버 도메인으로 접속되는 쿠키만 관리하여 클라이언트 인증이 단순하다. 하지만 모든 도메인으로 들어오는 요청을 관리하는 프록시 보안 장치에서 사용자를 구분하기 위해서는 일반 서버와는 다른 특별한 쿠키 관리 기법이 요구된다.
본 발명이 해결하고자 하는 기술적 과제는 클라우드 환경의 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 제공하는 것이다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법은 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하는 단계, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하는 단계, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 상기 클라이언트에 로그인 페이지를 전송하는 단계, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 단계를 포함한다.
상기 클라이언트는, 상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고, 상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장할 수 있다.
상기 방법은, 상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계, 상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하는 단계, 상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면, 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -, 상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 단계를 더 포함할 수 있다.
상기 클라이언트는, 상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장할 수 있다.
상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함할 수 있다.
상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성될 수 있다.
상기한 기술적 과제를 해결하기 위한 본 발명에 따른 보안 장치는, 클라이언트로부터 제1 도메인에 대응하는 제1 원요청(Original Request)을 수신하고, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하며, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면 상기 클라이언트에 로그인 페이지를 전송하고, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하며, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하고 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달할 수 있다.
본 발명에 의하면 프록시 보안장치가 IP로 사용자를 구분할 수 없는 환경, 예컨대 클라우드 환경에서 사용자를 구분, 인증할 수 있다. 아울러 특정 도메인이 아닌 모든 도메인으로 나가는 요청에 대해서 자동으로 사용자를 구분 인증할 수 있다.
도 1은 본 발명의 일 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 3은 본 발명의 또 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
이하에서는 첨부한 도면을 참고로 하여 본 발명의 실시예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다.
도 1은 본 발명의 일 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 1을 참조하여, 클라이언트에 원요청, 인증용 도메인 모두 인증 쿠키가 없는 경우에 대해서 설명한다.
먼저 클라이언트(100)는 제1 도메인에 대한 제1 원요청(Original Request)을 보안 장치(200)에 전송할 수 있다(S101).
도 1에서는 제1 도메인이 'www.something.com'인 것으로 예시하였다. 보안 장치(200)는 클라우드 환경에서의 보안 장치일 수 있다. 예컨대 보안 장치(200)는 Secure Web Gateway와 같은 프록시 보안제품일 수 있다.
다음으로 클라이언트(100)로부터 제1 도메인에 대응하는 제1 원요청을 수신하면, 보안 장치(200)는 제1 원요청에 인증 쿠키가 있는지 확인할 수 있다(S102).
단계(S102)에서 제1 원요청에 인증 쿠키가 없으면, 보안 장치(200)는 인증용 도메인으로 리다이렉트(redirect) 시키는 302 리다이렉트 응답을 클라이언트(100)에 전송할 수 있다(S103). 도 1에서 인증용 도메인이 'www.monitorapp.com'인 것으로 예시하였다.
클라이언트(100)는 단계(S103)의 리다이렉트 응답에 따라 인증용 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S104).
보안 장치(200)는 단계(S104)에서 리다이렉트된 요청에 인증 쿠키가 있는지 확인하고(S105), 인증 쿠키가 없으면 클라이언트(100)에 로그인 페이지를 전송할 수 있다(S106).
클라이언트(100)는 로그인 페이지에서 입력된 로그인 정보(아이디와 패스워드)를 보안 장치(200)에 전송할 수 있다(S107).
보안 장치(200)는 로그인 페이지에서 입력된 로그인 정보를 확인하고 이상이 없으면 인증 쿠키값을 생성할 수 있다(S108). 인증 쿠키값은 예를 들어 아이디와 패스워드를 이용하여 생성할 수 있다. 가령 인증 쿠키값은 '아이디+패스워드'일 수 있으며 암호화될 수 있다. 인증 쿠키값은 클라이언트(100)에 대해 고유하게 생성될 수 있다.
다음으로 보안 장치(200)는 제1 원요청으로 리다이렉트 시키는 302 리다이렉트 응답을 클라이언트에 전송할 수 있다(S109). 단계(S109)에서 리다이렉트 응답은 인증 쿠키값과 로그인 쿠키 경로를 포함할 수 있다. 도 1에 예시한 것과 같이 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)를 제1 원요청 도메인(www.something.com)에 추가로 붙이는 방식으로 리다이렉트 응답에 포함시킬 수 있다. 그리고 인증 쿠키값은 Set-cookie 헤더에 포함시켜서 전달될 수 있다. 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx)은 인증 쿠키값과 동일할 수 있다.
클라이언트(100)는 단계(S109)의 리다이렉트 응답에 포함된 인증 쿠키값을 인증용 도메인에 대한 인증 쿠키로 저장할 수 있다(S110). 그리고 클라이언트(100)는 리다이렉트 응답에 대응하여 제1 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S111). 단계(S111)에서 보안 장치(200)로 리다이렉트된 원요청에는 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)가 포함된다.
보안 장치(200)는 단계(S111)에서 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인할 수 있다(S112). 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx) 즉 인증 쿠키값을 확인하고, 해당 인증 쿠키값을 제1 원요청으로 리다이렉트 시키는 리다이렉트 응답에 포함시켜 클라이언트(100)에 전송할 수 있다(S113).
클라이언트(100)는 단계(S113)의 리다이렉트 응답에 포함된 인증 쿠키값을 제1 원요청 도메인에 대한 인증 쿠키로 저장할 수 있다(S114). 그리고 클라이언트(100)는 단계(S113)의 리다이렉트 응답에 대응하여 제1 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S115). 단계(S115)에서 보안 장치(200)로 전송되는 요청에는 제1 원요청 도메인에 대한 인증 쿠키값이 포함된다.
이후 보안 장치(200)는 단계(S115)에서 리다이렉트된 제1 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S116).
마지막으로 보안 장치(200)는 단계(S115)에서 리다이렉트된 제1 원요청에서 인증 쿠키값을 제거한 후 제1 도메인에 대응하는 서버(300)로 전달할 수 있다(S117).
도 2는 본 발명의 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 2를 참조하여 클라이언트에 원요청 인증 쿠키가 있는 경우에 대해서 설명한다.
먼저 클라이언트(100)는 제1 도메인에 대한 원요청을 보안 장치(200)에 전송할 수 있다(S201). 단계(S201)에서 클라이언트(100)는 원요청 도메인에 대한 인증 쿠키가 있으므로, 원요청에 인증 쿠키가 포함되어 보안 장치(200)에 전달된다.
따라서 보안 장치(200)는 제1 도메인에 대한 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S202).
보안 장치(200)는 제1 도메인에 대한 원요청에서 인증 쿠키값을 제거하고 제1 도메인에 대응하는 서버(300)로 원요청을 전달할 수 있다(S203).
도 3은 본 발명의 또 다른 실시예에 따른 보안 장치에서 쿠키를 활용한 사용자 인증 방법을 나타낸 흐름도이다.
도 3을 참조하여, 클라이언트에 원요청 인증 쿠키가 없고, 인증용 도메인에 대한 인증 쿠키만 있는 경우에 대해서 설명한다. 즉 클라이언트에 제1 원요청 도메인에 대한 인증 쿠키와 인증용 도메인에 대한 인증 쿠키가 저장된 상태에서, 제2 도메인(예컨대 'www.something2.com')에 대한 원요청이 보안 장치(200)에 전달되는 경우 처리 동작에 대해 설명한다.
먼저 클라이언트(100)는 제2 도메인에 대한 원요청을 보안 장치(200)에 전송할 수 있다(S301). 도 1에서는 제2 도메인이 'www.something2.com'인 것으로 예시하였다.
다음으로 클라이언트(100)로부터 제2 도메인에 대응하는 제2 원요청을 수신하면, 보안 장치(200)는 제2 원요청에 인증 쿠키가 있는지 확인할 수 있다(S302).
단계(S302)에서 제2 원요청에 인증 쿠키가 없으면, 보안 장치(200)는 인증용 도메인으로 리다이렉트 시키는 302 리다이렉트 응답을 클라이언트(100)에 전송할 수 있다(S303).
클라이언트(100)는 단계(S303)의 리다이렉트 응답에 의해 인증용 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S304). 앞서 설명한 것고 같이 도 3의 실시예에서는 클라이언트(100)에 인증용 도메인에 대한 인증 쿠키가 저장되어 있으므로, 단계(S304)에서 인증용 도메인으로 리다이렉트된 요청에는 인증 쿠키값이 포함된다.
보안 장치(200)는 단계(S304)에서 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있는지 확인한다(S305).
단계(S305)에서 인증 쿠키가 포함되어 있으면, 보안 장치(200)는 제2 원요청으로 리다이렉트 시키는 302 리다이렉트 응답에 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)를 포함시켜서 클라이언트에 전송할 수 있다(S306). 단계(S306)의 리다이렉트 응답에 포함되는 로그인 쿠키 경로는 단계(S305)에서 확인한 인증 쿠키값이 포함될 수 있다.
그리고 클라이언트(100)는 단계(S306)의 리다이렉트 응답에 대응하여 제2 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S307). 단계(S307)에서 보안 장치(200)로 리다이렉트된 제2 원요청에는 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)가 포함된다.
보안 장치(200)는 단계(S307)에서 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인할 수 있다(S308). 로그인 쿠키 경로(LOGIN_COOKIE=xxxxxx)에 포함된 파라미터 값(xxxxxx) 즉 인증 쿠키값을 확인하고, 해당 인증 쿠키값을 제2 원요청으로 리다이렉트 시키는 리다이렉트 응답에 포함시켜 클라이언트(100)에 다시 전송할 수 있다(S309).
클라이언트(100)는 단계(S309)의 리다이렉트 응답에 포함된 인증 쿠키값을 제2 원요청 도메인에 대한 인증 쿠키로 저장할 수 있다(S310). 그리고 클라이언트(100)는 단계(S309)의 리다이렉트 응답에 대응하여 제2 원요청 도메인으로 리다이렉트된 요청을 보안 장치(200)로 전송할 수 있다(S311). 단계(S311)에서 보안 장치(200)로 전송되는 요청에는 제2 원요청 도메인에 대한 인증 쿠키값이 포함된다.
이후 보안 장치(200)는 단계(S311)에서 리다이렉트된 제2 원요청에 포함된 인증 쿠키값으로 사용자, 즉 클라이언트를 구분할 수 있다(S312).
마지막으로 보안 장치(200)는 단계(S311)에서 리다이렉트된 제2 원요청에서 인증 쿠키값을 제거한 후 제2 도메인에 대응하는 서버(300')로 전달할 수 있다(S313).
이상에서 설명된 실시예들은 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치, 방법 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기를 기초로 다양한 기술적 수정 및 변형을 적용할 수 있다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.

Claims (11)

  1. 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하는 단계,
    상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하는 단계,
    상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면, 상기 클라이언트에 로그인 페이지를 전송하는 단계,
    상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하는 단계,
    상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -,
    상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -,
    상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및
    상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 단계
    를 포함하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  2. 제 1 항에서,
    상기 클라이언트는,
    상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고,
    상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  3. 제 1 항에서,
    상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계,
    상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하는 단계,
    상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면, 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -,
    상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고, 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하는 단계 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -,
    상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하는 단계, 및
    상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 단계
    를 더 포함하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  4. 제 3 항에서,
    상기 클라이언트는,
    상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장하는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  5. 제 1 항 내지 제 4 항 중 어느 한 항에서,
    상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함하고,
    상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성되는 보안 장치에서 쿠키를 활용한 사용자 인증 방법.
  6. 제 1 항 내지 제 4 항 중 어느 한 항에 기재된 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  7. 클라이언트로부터 제1 도메인에 대한 제1 원요청(Original Request)을 수신하고, 상기 제1 원요청에 인증 쿠키가 없으면 인증용 도메인으로 리다이렉트(redirect) 시키는 제1 리다이렉트 응답을 상기 클라이언트에 전송하며, 상기 제1 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 없으면 상기 클라이언트에 로그인 페이지를 전송하고, 상기 로그인 페이지에서 입력된 로그인 정보를 확인하고 인증 쿠키값을 생성하며, 상기 제1 원요청으로 리다이렉트 시키는 제2 리다이렉트 응답을 상기 클라이언트에 전송하고 - 상기 제2 리다이렉트 응답은 상기 인증 쿠키값과 로그인 쿠키 경로를 포함함 -, 상기 제2 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 로그인 쿠키 경로를 확인하고 상기 제1 원요청으로 리다이렉트 시키는 제3 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제3 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제3 리다이렉트 응답에 의해 리다이렉트된 제1 원요청에서 상기 인증 쿠키값을 제거하고 상기 제1 도메인에 대응하는 서버로 전달하는 보안 장치.
  8. 제 7 항에서,
    상기 클라이언트는,
    상기 제2 리다이렉트 응답에 포함된 인증 쿠키값을 상기 인증용 도메인에 대한 인증 쿠키로 저장하고,
    상기 제3 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제1 원요청에 대한 인증 쿠키로 저장하는 보안 장치.
  9. 제 7 항에서,
    상기 클라이언트로부터 제2 도메인에 대한 제2 원요청을 수신하는 단계,
    상기 제2 원요청에 인증 쿠키가 없으면 상기 인증용 도메인으로 리다이렉트 시키는 제4 리다이렉트 응답을 상기 클라이언트에 전송하고, 상기 제4 리다이렉트 응답에 의해 상기 인증용 도메인으로 리다이렉트된 요청에 인증 쿠키가 있으면 상기 제2 원요청으로 리다이렉트 시키는 제5 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제5 리다이렉트 응답은 상기 로그인 쿠키 경로를 포함함 -, 상기 제5 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 로그인 쿠키 경로를 확인하고 상기 제2 원요청으로 리다이렉트 시키는 제6 리다이렉트 응답을 상기 클라이언트에 전송하며 - 상기 제6 리다이렉트 응답은 상기 인증 쿠키값을 포함함 -, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에 포함된 상기 인증 쿠키값으로 사용자를 구분하고, 상기 제6 리다이렉트 응답에 의해 리다이렉트된 제2 원요청에서 상기 인증 쿠키값을 제거하고 상기 제2 도메인에 대응하는 서버로 전달하는 보안 장치.
  10. 제 9 항에서,
    상기 클라이언트는,
    상기 제6 리다이렉트 응답에 포함된 인증 쿠키값을 상기 제2 원요청에 대한 인증 쿠키로 저장하는 보안 장치.
  11. 제 7 항 내지 제 10 항 중 어느 한 항에서,
    상기 로그인 페이지에서 입력된 로그인 정보는 아이디와 패스워드를 포함하고, 상기 인증 쿠키값은 상기 아이디와 패스워드를 기초로 생성되는 보안 장치.
PCT/KR2022/005852 2021-07-16 2022-04-25 보안 장치에서 쿠키를 활용한 사용자 인증 방법 WO2023286985A1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2021-0093670 2021-07-16
KR1020210093670A KR20230012874A (ko) 2021-07-16 2021-07-16 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Publications (1)

Publication Number Publication Date
WO2023286985A1 true WO2023286985A1 (ko) 2023-01-19

Family

ID=84920387

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2022/005852 WO2023286985A1 (ko) 2021-07-16 2022-04-25 보안 장치에서 쿠키를 활용한 사용자 인증 방법

Country Status (2)

Country Link
KR (1) KR20230012874A (ko)
WO (1) WO2023286985A1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090035382A (ko) * 2007-10-05 2009-04-09 인하대학교 산학협력단 웹 환경에서의 안전한 사용자 세션 관리 방법 및 시스템,이를 수행하는 프로그램이 기록된 기록매체
KR20100071753A (ko) * 2008-12-19 2010-06-29 주식회사 케이티 연합 쿠키를 이용한 id 연합 기반의 사이트 연동 방법
KR20140084126A (ko) * 2011-10-04 2014-07-04 퀄컴 인코포레이티드 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치
KR20160083930A (ko) * 2014-01-07 2016-07-12 알리바바 그룹 홀딩 리미티드 웹사이트에 로그인하는 단말기가 모바일 단말기인지를 결정하기 위한 방법 및 시스템
KR20190008713A (ko) * 2017-07-17 2019-01-25 비씨카드(주) 사용자 인증 서비스 제공 방법, 웹 서버 및 사용자 단말

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090035382A (ko) * 2007-10-05 2009-04-09 인하대학교 산학협력단 웹 환경에서의 안전한 사용자 세션 관리 방법 및 시스템,이를 수행하는 프로그램이 기록된 기록매체
KR20100071753A (ko) * 2008-12-19 2010-06-29 주식회사 케이티 연합 쿠키를 이용한 id 연합 기반의 사이트 연동 방법
KR20140084126A (ko) * 2011-10-04 2014-07-04 퀄컴 인코포레이티드 크리덴셜 노출로부터 단일 사인-온 도메인을 보호하기 위한 방법 및 장치
KR20160083930A (ko) * 2014-01-07 2016-07-12 알리바바 그룹 홀딩 리미티드 웹사이트에 로그인하는 단말기가 모바일 단말기인지를 결정하기 위한 방법 및 시스템
KR20190008713A (ko) * 2017-07-17 2019-01-25 비씨카드(주) 사용자 인증 서비스 제공 방법, 웹 서버 및 사용자 단말

Also Published As

Publication number Publication date
KR20230012874A (ko) 2023-01-26

Similar Documents

Publication Publication Date Title
US10554622B2 (en) Secure application delivery system with dial out and associated method
CN101802837B (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
US7577743B2 (en) Methods and apparatus for performing context management in a networked environment
US20110239291A1 (en) Detecting and Thwarting Browser-Based Network Intrusion Attacks For Intellectual Property Misappropriation System and Method
US20050027584A1 (en) Methods and apparatus for verifying context participants in a context management system in a networked environment
WO2014185594A1 (ko) Vdi 환경에서의 싱글 사인온 시스템 및 방법
KR102020178B1 (ko) 동적 정책 제어를 수행하는 방화벽 시스템
WO2020040556A1 (ko) 웹 브라우저 기반 스크래핑 시스템 및 방법
WO2021187782A1 (ko) 악성 트래픽 검출 방법 및 그 장치
WO2021112494A1 (ko) 엔드포인트에 기반한 관리형 탐지 및 대응 시스템과 방법
JP5398404B2 (ja) 通信遮断装置、サーバ装置、方法およびプログラム
WO2013094847A1 (ko) 클라우드 시스템에서의 웹 방화벽 서비스 장치 및 방법
WO2015182873A1 (ko) Dns 서버 선별 차단 및 proxy를 이용한 dns 주소 변경 방법
CN112350939B (zh) 旁路阻断方法、系统、装置、计算机设备及存储介质
WO2023286985A1 (ko) 보안 장치에서 쿠키를 활용한 사용자 인증 방법
WO2018088680A1 (ko) 차단된 사이트로의 접속 요청을 처리하는 보안 시스템 및 방법
WO2018056582A1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
WO2019045424A1 (ko) 보안을 위한 보안 소켓 계층 복호화 방법
WO2013073780A1 (ko) 자동 로그인 기능을 제공하는 방법 및 서버
KR20190119785A (ko) 서버와 서버간에 서비스 제공을 위한 망내 운영방법 및 시스템
WO2021075652A1 (ko) 우회 프로그램 자동 검출 방법 및 그 시스템
WO2015167151A1 (ko) Ip 주소 및 url를 이용한 인터넷 접속 차단 방법
WO2016182329A1 (ko) 차단 사이트를 표시하는 네트워크 보안 시스템 및 방법
WO2024071535A1 (ko) Saas 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법
WO2015190692A1 (ko) 에이전트 프로그램을 이용한 인터넷 접속 차단 방법

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 22842248

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE