KR101042484B1 - Apparatus and method of service interaction for single login and logout - Google Patents
Apparatus and method of service interaction for single login and logout Download PDFInfo
- Publication number
- KR101042484B1 KR101042484B1 KR1020080130573A KR20080130573A KR101042484B1 KR 101042484 B1 KR101042484 B1 KR 101042484B1 KR 1020080130573 A KR1020080130573 A KR 1020080130573A KR 20080130573 A KR20080130573 A KR 20080130573A KR 101042484 B1 KR101042484 B1 KR 101042484B1
- Authority
- KR
- South Korea
- Prior art keywords
- association
- session information
- session
- information
- linkage
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 81
- 230000003993 interaction Effects 0.000 title 1
- 238000012545 processing Methods 0.000 claims abstract description 111
- 230000010365 information processing Effects 0.000 claims abstract description 39
- 230000008569 process Effects 0.000 claims abstract description 38
- 238000012986 modification Methods 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 10
- 230000000875 corresponding effect Effects 0.000 description 9
- 230000005540 biological transmission Effects 0.000 description 6
- 238000013507 mapping Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000010561 standard procedure Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
본 발명은 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법에 관한 것으로, 서비스 제공 서버로부터 수신된 단일 로그인 및 로그아웃을 위한 연계 요청에 대하여 사용자의 세션정보를 기본 세션정보 및 연계 세션정보로 구분하여 관리하고 각 세션정보의 유무에 따라 연계 요청을 처리함으로써, 신뢰영역 내의 세션정보를 효율적으로 관리할 수 있는, 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법을 제공하고자 한다.The present invention relates to a service linkage apparatus for a single login and logout, and a method thereof. The present invention relates to session information of a user as basic session information and associated session information for a linkage request for single login and logout received from a service providing server. The present invention provides a service linkage apparatus and method for single login and logout that can efficiently manage session information in a trusted area by managing them separately and processing association requests according to the presence or absence of each session information.
이를 위하여, 본 발명은, 서비스 연계 장치에 있어서, 서비스 연계에 대한 연계정보를 저장하기 위한 연계정보 저장 수단; 서비스 제공 서버로부터 연계 요청 메시지를 수신하고, 상기 서비스 제공 서버로 연계 처리 메시지를 송신하기 위한 메시지 송수신 수단; 상기 수신된 연계 요청 메시지의 종류에 따라 상기 저장된 연계정보를 확인하여 연계 처리를 요청하고, 상기 요청된 연계 처리의 결과에 따라 상기 연계 처리 메시지를 생성하기 위한 연계 처리 수단; 및 상기 연계 처리 수단의 연계 처리 요청에 따라, 상기 저장된 연계정보 중에서 사용자의 기본 세션정보의 유무에 따라 기본 세션정보 및 연계 세션정보를 구분하여 각 세션정보를 처리하기 위한 세션정보 처리 수단을 포함하며, 상기 기본 세션정보는, 상기 사용자에 관한 세션 ID, 사용자 고유키, 로그인 ID를 포함하고, 인증 도메인, 연계 여부, 연계 세션 수, 상기 연계 처리 메시지에 관한 티켓 정보, 세션 시각 및 세션 상태 중 적어도 어느 하나의 속성 정보를 포함하고, 상기 연계 세션정보는, 상기 세션 ID, 상기 사용자 고유키, 상기 로그인 ID 및 연계 세션 ID를 포함하고, 사용자 ID, 초기 및 연계 도메인 주소, 연계 티켓 정보, 연계 세션 시각 및 연계 세션 상태 중 적어도 어느 하나를 포함하며, 상기 세션정보 처리 수단은, 상기 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 상기 기본 세션정보 및 상기 연계 세션정보를 처리한다.To this end, the present invention provides a service linkage apparatus, comprising: linkage information storage means for storing linkage information for service linkage; Message transmitting and receiving means for receiving an association request message from a service providing server and transmitting an association processing message to the service providing server; Linkage processing means for checking the stored linkage information according to the received linkage request message and requesting linkage processing, and generating the linkage processing message according to a result of the requested linkage processing; And session information processing means for processing each session information by classifying basic session information and linked session information according to the presence or absence of basic session information of the user from the stored linked information according to a link processing request of the linked processing means. The basic session information includes a session ID, a user unique key, and a login ID of the user, and includes at least one of an authentication domain, an association status, an association session number, ticket information regarding the association processing message, a session time, and a session state. One of the attribute information, and the association session information includes the session ID, the user unique key, the login ID, and the association session ID, and includes a user ID, initial and associated domain address, association ticket information, and association session. And at least one of a time and associated session state, wherein the session information processing means uses the user unique key. To the login ID and the authentication domain for the first login request based on processes the default session information and the session connection information.
단일 로그인, 단일 로그아웃, 서비스 연계, 기본 세션정보, 연계 세션정보, ID 연합 Single login, single logout, service linkage, basic session information, linkage session information, ID federation
Description
본 발명은 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법에 관한 것으로, 더욱 상세하게는 서비스 제공 서버로부터 수신된 단일 로그인 및 로그아웃을 위한 연계 요청에 대하여 사용자의 세션정보를 기본 세션정보 및 연계 세션정보로 구분하여 관리하고 각 세션정보의 유무에 따라 연계 요청을 처리함으로써, 신뢰영역 내의 세션정보를 효율적으로 관리할 수 있는, 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법에 관한 것이다.The present invention relates to a service linkage apparatus for a single login and logout, and a method thereof, and more particularly, to session information of a user with respect to a linkage request for single login and logout received from a service providing server. The present invention relates to a service linkage device and a method for single login and logout, which can efficiently manage session information in a trusted area by managing the linkage session information and processing the linkage request according to the presence or absence of each session information. .
인터넷 서비스에서는 회원 가입 절차를 통하여 사용자의 ID와 패스워드를 포함하는 프로파일 정보를 서비스 제공자(SP: Service Provider)에 사전 등록하는 과정을 거치게 된다. 이러한 과정을 통해 사용자는 사용자 단말을 통해 ID와 패스워드를 입력하여 서비스 제공자로부터 인증을 완료한다. 그러면, 사용자는 사용자 단말을 통해 해당 서비스를 이용할 수 있게 된다.In the Internet service, a profile registration process including a user's ID and password is pre-registered with a service provider (SP) through a membership registration process. Through this process, the user inputs an ID and password through the user terminal to complete authentication from the service provider. Then, the user can use the corresponding service through the user terminal.
최근에는, 인터넷을 통한 서비스의 증가와 발전에 따라 개인정보 보호와 사용자 편의성 확보가 중요한 이슈가 되고 있다. 따라서 중앙집중형 ID 관리 방법이 아닌 연합 ID(Federation ID) 또는 사용자 중심의 ID 관리 방법을 통하여 보다 안전하고 편리하게 사용자에게 인터넷 서비스를 제공하기 위한 노력이 진행되고 있다.Recently, with the increase and development of services through the Internet, securing personal information and ensuring user convenience have become important issues. Therefore, efforts are being made to provide Internet services to users more safely and conveniently through federation ID or user-oriented ID management rather than centralized ID management.
이러한 노력의 일환으로, 웹 사이트의 회원이 그 사이트에 링크된 외부 사이트로 넘어갔을 때, 별도의 로그인 절차없이 그 사이트의 회원과 동일한 권한을 가지도록 하는 인증 기술이 있다. 특히, 이러한 인증 기술에서는 사용자가 특정 사이트(서브 사이트)에 회원 가입을 하고자 할 때, 이미 가입한 사이트(메인 사이트)의 회원 정보를 서브 사이트에 전달해 준다. 그러면, 서브 사이트에서는 별도의 로그인 절차를 사용자에게 요구하지 않고, 메인 사이트의 회원과 같은 권한을 사용자에게 제공한다. 이러한 인증 기술로는 싱글사인온(SSO: Sigle Sign ON) 기술이 대표적이다. 다시 말하면, 싱글사인온 기술은 이기종 사이트들 간의 인증을 용이하게 하기 위한 것이다. 싱글사인온 기술은 특정 사이트(메인 사이트)의 사용자가 다른 사이트(서브 사이트)로 넘어갈 때, 서브 사이트에서의 회원 가입 및 로그인 절차를 간소화하기 위한 것이다.As part of this effort, there is an authentication technique that allows a member of a web site to have the same rights as a member of the site without a separate login procedure when the web site is linked to an external site linked to the site. In particular, in such authentication technology, when a user wants to join a specific site (sub site), the member information of the already subscribed site (main site) is transmitted to the sub site. Then, the sub site does not require a separate login procedure to the user, but provides the user with the same authority as a member of the main site. Such authentication technology is a single sign-on (SSO) technology. In other words, the single sign-on technique is intended to facilitate authentication between heterogeneous sites. Single sign-on technology is intended to simplify the registration and login process at the sub site when a user of one site (main site) goes to another site (sub site).
또한, "리버티 얼라이언스(Liberty Alliance) 그룹"에서는 서비스 제공자(SP)마다 사용자의 ID와 패스워드를 관리하고, 서비스 제공자들이 서로 연동하여 사용자에게 싱글사인온 서비스를 제공한다. 이와 더불어, 사용자가 로그아웃을 원할 때는 로그인한 모든 서비스 제공자들의 웹 사이트를 한 번에 로그아웃하는 싱글 로그아웃(Single Logout) 서비스를 제공하고 있다.In addition, the "Liberty Alliance group" manages the user ID and password for each service provider (SP), and service providers interoperate with each other to provide a single sign-on service to the user. In addition, when a user wants to log out, a single logout service is provided that logs out the web sites of all service providers that are logged in at once.
한편, 종래의 연합 ID를 통한 서비스 인증 기술을 살펴보면, 이러한 종래의 기술은 서비스 제공자 간의 제휴를 통하여 신뢰영역을 형성하게 된다. 그리고 이러한 종래의 기술은 각각의 서비스 인증 정보를 표준 절차에 따라 상호 교환하는 방식으로 사용자를 인증하게 된다. 상호 교환 방식에 따라 사용자가 신뢰영역 내의 사이트에 한번 인증을 받으면 다른 사이트에서 다시 인증을 받지 않고도 서비스를 이용할 수 있는 단일 로그인이 가능해진다. 또한, 사용자가 특정 사이트에서 로그아웃을 진행하게 되면 다른 모든 사이트에서 자동적으로 로그아웃하게 되는 단일 로그아웃도 가능하게 된다.On the other hand, looking at the service authentication technology through a conventional federation ID, such a conventional technology forms a trust region through the cooperation between service providers. The conventional technology authenticates a user by exchanging each service authentication information according to a standard procedure. With the interchange method, once a user is authenticated to a site in the trusted realm, a single login can be used without having to authenticate again at another site. In addition, when a user logs out at one site, a single logout is possible, which automatically logs out at all other sites.
이러한 연합 ID를 통하여 사용자 인증 정보를 연계하거나, 단일 로그인 및 단일 로그아웃 서비스를 효과적으로 처리하고 안전하게 제공하기 위하여, 신뢰영역 내의 최초 사이트 로그인 정보와 ID 연합을 통한 연계 로그인 정보는 상호연관되어 관리되어야 한다.In order to link user authentication information through this federated ID, or to effectively handle and provide a single log-in and single logout service, the first site login information in the trusted domain and the linked login information through identity federation must be correlated and managed. .
하지만, 종래의 연합 ID를 통한 서비스 연계 기술은 이러한 로그인 정보들을 상호연관하여 관리하지 못하고 있다.However, the conventional service linking technology through the federated ID does not manage to correlate such login information.
특히, 종래의 연합 ID를 이용하여 각 서비스를 연계시키더라도 세션정보는 일반적인 수준으로 관리되고 있다. 연계 서비스가 사용자에게 제공되면, 종래의 연합 ID를 통한 서비스 연계 기술은 세션정보를 연계 서비스에 따라 갱신하거나 변경시키지 않고, 세션 시각, 상태, IP 주소, 인증 도메인, 로그인 ID 등의 일반적인 세션정보만을 이용하여 세션을 관리하고 있다.In particular, even when each service is linked using a conventional federation ID, session information is managed at a general level. When the linkage service is provided to the user, the conventional service linkage technology through the federated ID does not update or change the session information according to the linkage service, and only general session information such as session time, status, IP address, authentication domain, and login ID is used. To manage sessions.
따라서 종래의 서비스 연계 기술은 서비스 연계에 따른 사용자의 세션정보를 효과적으로 관리하지 못하고 있다는 문제점이 있다.Therefore, the conventional service linkage technology has a problem that it does not effectively manage the session information of the user according to the service linkage.
따라서 상기와 같은 종래 기술은 최초 사이트 로그인 정보와 ID 연합을 통한 연계 로그인 정보 및 사용자의 세션정보가 효과적으로 관리되지 못하고 있다는 문제점이 있으며, 이러한 문제점을 해결하고자 하는 것이 본 발명의 과제이다.Therefore, the prior art as described above has a problem that the first login information and the user's session information through the site login information and ID association is not effectively managed, it is an object of the present invention to solve this problem.
따라서 본 발명은 서비스 제공 서버로부터 수신된 단일 로그인 및 로그아웃을 위한 연계 요청에 대하여 사용자의 세션정보를 기본 세션정보 및 연계 세션정보로 구분하여 관리하고 각 세션정보의 유무에 따라 연계 요청을 처리함으로써, 신뢰영역 내의 세션정보를 효율적으로 관리할 수 있는, 단일 로그인 및 로그아웃을 위한 서비스 연계 장치 및 그 방법을 제공하는데 그 목적이 있다.Therefore, the present invention divides and manages user session information into basic session information and association session information for a single login and logout request received from a service providing server, and processes the association request according to the presence or absence of each session information. It is an object of the present invention to provide a service linking device and a method for single login and logout, which can efficiently manage session information in a trusted area.
본 발명의 목적들은 이상에서 언급한 목적으로 제한되지 않으며, 언급되지 않은 본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.The objects of the present invention are not limited to the above-mentioned objects, and other objects and advantages of the present invention which are not mentioned can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.
본 발명은 상기 문제점을 해결하기 위하여, 서비스 제공 서버로부터 수신된 단일 로그인 및 로그아웃을 위한 연계 요청에 대하여 사용자의 세션정보를 기본 세션정보 및 연계 세션정보로 구분하여 관리하고 각 세션정보의 유무에 따라 연계 요청을 처리하는 것을 특징으로 한다.In order to solve the problem, the present invention divides and manages session information of a user into basic session information and associated session information for a single login and logout request received from a service providing server, and whether or not each session information exists. According to the processing of the link request.
더욱 구체적으로, 본 발명의 장치는, 서비스 연계 장치에 있어서, 서비스 연계에 대한 연계정보를 저장하기 위한 연계정보 저장 수단; 서비스 제공 서버로부터 연계 요청 메시지를 수신하고, 상기 서비스 제공 서버로 연계 처리 메시지를 송신하기 위한 메시지 송수신 수단; 상기 수신된 연계 요청 메시지의 종류에 따라 상기 저장된 연계정보를 확인하여 연계 처리를 요청하고, 상기 요청된 연계 처리의 결과에 따라 상기 연계 처리 메시지를 생성하기 위한 연계 처리 수단; 및 상기 연계 처리 수단의 연계 처리 요청에 따라, 상기 저장된 연계정보 중에서 사용자의 기본 세션정보의 유무에 따라 기본 세션정보 및 연계 세션정보를 구분하여 각 세션정보를 처리하기 위한 세션정보 처리 수단을 포함하며, 상기 기본 세션정보는, 상기 사용자에 관한 세션 ID, 사용자 고유키, 로그인 ID를 포함하고, 인증 도메인, 연계 여부, 연계 세션 수, 상기 연계 처리 메시지에 관한 티켓 정보, 세션 시각 및 세션 상태 중 적어도 어느 하나의 속성 정보를 포함하고, 상기 연계 세션정보는, 상기 세션 ID, 상기 사용자 고유키, 상기 로그인 ID 및 연계 세션 ID를 포함하고, 사용자 ID, 초기 및 연계 도메인 주소, 연계 티켓 정보, 연계 세션 시각 및 연계 세션 상태 중 적어도 어느 하나를 포함하며, 상기 세션정보 처리 수단은, 상기 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 상기 기본 세션정보 및 상기 연계 세션정보를 처리한다.More specifically, the apparatus of the present invention, the service linkage apparatus, the linkage information storage means for storing the linkage information for the service linkage; Message transmitting and receiving means for receiving an association request message from a service providing server and transmitting an association processing message to the service providing server; Linkage processing means for checking the stored linkage information according to the received linkage request message and requesting linkage processing, and generating the linkage processing message according to a result of the requested linkage processing; And session information processing means for processing each session information by classifying basic session information and linked session information according to the presence or absence of basic session information of the user from the stored linked information according to a link processing request of the linked processing means. The basic session information includes a session ID, a user unique key, and a login ID of the user, and includes at least one of an authentication domain, an association status, an association session number, ticket information regarding the association processing message, a session time, and a session state. One of the attribute information, and the association session information includes the session ID, the user unique key, the login ID, and the association session ID, and includes a user ID, initial and associated domain address, association ticket information, and association session. And at least one of a time and associated session state, wherein the session information processing means uses the user unique key. To the login ID and the authentication domain for the first login request based on processes the default session information and the session connection information.
한편, 본 발명의 방법은, 단일 로그인을 위한 서비스 연계 방법에 있어서, 서비스 연계 장치가 서비스 제공 서버로부터 단일 로그인을 위한 연계 요청 메시지를 수신받으면 상기 연계 요청 메시지에 해당되는 연계정보를 확인하는 단계; 상기 서비스 연계 장치가 상기 확인한 연계정보 중에서 사용자의 기본 세션정보의 유무에 따라 기본 세션정보 및 연계 세션정보를 구분하여 각 세션정보를 처리하는 연계 처리 단계; 및 상기 서비스 연계 장치가 상기 세션정보를 처리한 결과에 해당되는 연계 처리 메시지를 생성하여 상기 서비스 제공 서버로 송신하는 단계를 포함하며, 상기 기본 세션정보는, 상기 사용자에 관한 세션 ID, 사용자 고유키, 로그인 ID를 포함하고, 인증 도메인, 연계 여부, 연계 세션 수, 상기 연계 처리 메시지에 관한 티켓 정보, 세션 시각 및 세션 상태 중 적어도 어느 하나의 속성 정보를 포함하고, 상기 연계 세션정보는, 상기 세션 ID, 상기 사용자 고유키, 상기 로그인 ID 및 연계 세션 ID를 포함하고, 사용자 ID, 초기 및 연계 도메인 주소, 연계 티켓 정보, 연계 세션 시각 및 연계 세션 상태 중 적어도 어느 하나를 포함하며, 상기 연계 처리 단계는, 상기 서비스 연계 장치가 상기 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 상기 기본 세션정보 및 상기 연계 세션정보를 처리한다.On the other hand, the method of the present invention, in the service linkage method for a single login, if the service linkage device receives a linkage request message for a single log-in from the service providing server to confirm the linkage information corresponding to the linkage request message; An association processing step of processing the session information by classifying the basic session information and the association session information according to the presence or absence of the basic session information of the user from the association information checked by the service association apparatus; And generating, by the service connection device, a coordination processing message corresponding to a result of processing the session information, and transmitting the generated coordination message to the service providing server, wherein the basic session information includes a session ID and a user unique key for the user. And at least one of attribute information of an authentication domain, an association status, an association session number, ticket information regarding the association processing message, a session time, and a session state, wherein the association session information includes: the session; The ID, the user's unique key, the login ID, and the association session ID, including at least one of a user ID, an initial and associated domain address, an association ticket information, an association session time, and an association session state; Is a login ID and an authentication domain for the initial login request using the user unique key. The basic session information and the associated session information are processed on the basis.
한편, 본 발명의 다른 방법은, 로그아웃을 위한 서비스 연계 방법에 있어서, 서비스 연계 장치가 서비스 제공 서버로부터 로그아웃을 위한 연계 요청 메시지를 수신받으면 상기 연계 요청 메시지에 해당되는 연계정보를 확인하는 단계; 상기 서비스 연계 장치가 상기 연계 요청 메시지의 요청이 단일 로그아웃 요청인지 여부에 따라 상기 확인한 연계정보 중에서 사용자의 기본 세션정보 및 연계 세션정보를 구분하여 각 세션정보를 처리하는 연계 처리 단계; 및 상기 서비스 연계 장치가 상기 세션정보를 처리한 결과에 해당되는 연계 처리 메시지를 생성하여 상기 서비스 제공 서버로 송신하는 단계를 포함하며, 상기 기본 세션정보는, 상기 사용자에 관한 세션 ID, 사용자 고유키, 로그인 ID를 포함하고, 인증 도메인, 연계 여부, 연계 세션 수, 상기 연계 처리 메시지에 관한 티켓 정보, 세션 시각 및 세션 상태 중 적어도 어느 하나의 속성 정보를 포함하고, 상기 연계 세션정보는, 상기 세션 ID, 상기 사용자 고유키, 상기 로그인 ID 및 연계 세션 ID를 포함하고, 사용자 ID, 초기 및 연계 도메인 주소, 연계 티켓 정보, 연계 세션 시각 및 연계 세션 상태 중 적어도 어느 하나를 포함하며, 상기 연계 처리 단계는, 상기 서비스 연계 장치가 상기 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 상기 기본 세션정보 및 상기 연계 세션정보를 처리한다.On the other hand, another method of the present invention, in the service linking method for logout, when the service linkage device receives a linkage request message for logout from the service providing server to check the linkage information corresponding to the linkage request message; ; An association processing step of processing, by the service association apparatus, each session information by classifying basic session information and association session information of the user from among the identified association information according to whether the request of the association request message is a single logout request; And generating, by the service connection device, a coordination processing message corresponding to a result of processing the session information, and transmitting the generated coordination message to the service providing server, wherein the basic session information includes a session ID and a user unique key for the user. And at least one of attribute information of an authentication domain, an association status, an association session number, ticket information regarding the association processing message, a session time, and a session state, wherein the association session information includes: the session; The ID, the user's unique key, the login ID, and the association session ID, including at least one of a user ID, an initial and associated domain address, an association ticket information, an association session time, and an association session state; Is a login ID and an authentication domain for the initial login request using the user unique key. The basic session information and the associated session information are processed on the basis.
상기와 같은 본 발명은, 서비스 제공 서버로부터 수신된 단일 로그인 및 로그아웃을 위한 연계 요청에 대하여 사용자의 세션정보를 기본 세션정보 및 연계 세션정보로 구분하여 관리하고 각 세션정보의 유무에 따라 연계 요청을 처리함으로써, 신뢰영역 내의 세션정보를 효율적으로 관리할 수 있는 효과가 있다.The present invention as described above, manages the user's session information divided into the basic session information and the association session information for a single login and logout request received from the service providing server and the association request according to the presence or absence of each session information By processing the, it is possible to efficiently manage session information in the trusted area.
다시 말하면, 본 발명은 ID 연합을 이용하여 서비스 연계를 처리하기 위하여, 사용자의 세션정보를 최초 인증 정보와 서비스 연계를 통한 연계 처리 정보로 구분하여 기본 세션정보 및 연계 세션정보로 관리하도록 함으로써, 서비스 연계 장치에서 사용자의 세션정보를 효과적으로 관리하고 여러 사이트 간의 서비스 연계를 처리할 수 있도록 하는 효과가 있다.In other words, in the present invention, in order to process service linkage using ID association, the user's session information is divided into initial authentication information and linkage processing information through service linkage, and managed as basic session information and linkage session information. There is an effect to effectively manage the user session information in the associated device and to handle the service linkage between multiple sites.
상술한 목적, 특징 및 장점은 첨부된 도면을 참조하여 상세하게 후술되어 있 는 상세한 설명을 통하여 보다 명확해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 실시예를 상세히 설명하기로 한다.The above objects, features, and advantages will be more clearly understood from the following detailed description with reference to the accompanying drawings, and accordingly, those skilled in the art to which the present invention pertains may have the technical idea of the present invention. It will be easy to implement. In the following description, well-known functions or constructions are not described in detail since they would obscure the invention in unnecessary detail. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.
도 1 은 본 발명에 따른 단일 로그인 및 로그아웃을 위한 서비스 연계 장치의 일실시예 구성도이다.1 is a block diagram of an embodiment of a service linkage apparatus for a single login and logout according to the present invention.
도 1 에 도시된 바와 같이, 본 발명에 따른 서비스 연계 장치(100)는 메시지 송수신부(110), 연계 처리부(120), 세션정보 처리부(130), 및 연계정보 저장부(140)를 포함한다.As shown in FIG. 1, the service connection device 100 according to the present invention includes a message transmission and reception unit 110, an association processing unit 120, a session information processing unit 130, and an association information storage unit 140. .
본 발명에 따른 서비스 연계 장치(100)는 기본 세션정보와 연계 세션정보를 구분하여 관리함으로써, 신뢰영역 내의 여러 사이트로의 서비스 연계 요청을 처리하여 사용자에게 단일 로그인 및 단일 로그아웃 기능을 제공하게 된다.The service linkage apparatus 100 according to the present invention divides and manages basic session information and linked session information, thereby providing a single log-in and single logout function to a user by processing a service linkage request to various sites in a trusted area. .
이하, 이러한 서비스 연계 장치(100)의 구성요소 각각에 대하여 살펴보기로 한다.Hereinafter, each component of the service linkage apparatus 100 will be described.
상기 메시지 송수신부(110)는 서비스 제공 서버(SP: Service Provider)로부터 연계 요청 메시지를 수신한다. 그리고 메시지 송수신부(110)는 수신된 연계 요청 메시지를 연계 처리부(120)로 전달한다. 이후, 메시지 송수신부(110)는 연계 처리부(120)로부터 연계 요청에 대한 결과로서 연계 처리 메시지를 전달받아 서비스 제공 서버로 송신한다.The message transmitting and receiving unit 110 receives a connection request message from a service provider server (SP). The message transceiver 110 transmits the received association request message to the association processor 120. Thereafter, the message transmission / reception unit 110 receives an association processing message as a result of the association request from the association processing unit 120 and transmits it to the service providing server.
여기서, 서비스 제공 서버는 신뢰영역 내의 사이트를 각각 운영하고 있다. 메시지 송수신부(110)는 이러한 신뢰영역 내의 여러 사이트(SP)로부터 사용자에 대한 연계 요청 메시지를 입수하게 된다. 또한, 메시지 송수신부(110)는 연계 요청에 대한 처리 결과를 포함하는 연계 처리 메시지를 연계 대상 사이트(SPB)로 송신한다. 여기서, 연계 처리 메시지는 티켓 형태로 생성될 수 있다. 연계 처리 메시지는 최초의 사이트(SPA)로부터 이미 인증을 받은 경우 사용자가 다시 로그인 과정을 거치지 않고 다른 사이트인 연계 대상 사이트(SPB)를 이용할 수 있게 하는 처리 메시지이다.Here, the service providing server operates the sites in the trusted area. The message transceiving unit 110 obtains an association request message for a user from various sites SP in such a trusted area. In addition, the message transmitting and receiving unit 110 transmits a coordination process message including a process result of the cooperative request to the cooperative target site SP B. Here, the association processing message may be generated in the form of a ticket. The association processing message is a processing message that allows the user to use another association site SP B , which is another site, without having to log in again when the first site SP A has already been authenticated.
한편, 연계 처리부(120)는 메시지 송수신부(110)로부터 전달받은 연계 요청 메시지의 종류에 따라 연계정보 저장부(140)에서 저장된 연계정보를 확인하여 연계 처리를 요청한다. 그리고 연계 처리부(120)는 요청된 처리 결과를 세션정보 처리부(130)로부터 전달받아 그에 따른 연계 처리 메시지를 생성한다.On the other hand, the linkage processing unit 120 checks the linkage information stored in the linkage information storage unit 140 according to the type of linkage request message received from the message transmission and reception unit 110 and requests a linkage processing. The linkage processing unit 120 receives the requested processing result from the session information processor 130 and generates a linkage processing message accordingly.
구체적으로 살펴보면, 연계 처리부(120)는 연계 요청 메시지의 종류에 따라 연계 요청 메시지를 검증한다. 즉, 연계 처리부(120)는 메시지의 유효성을 검사하고 메시지 내용을 확인한다.Specifically, the linkage processing unit 120 verifies the linkage request message according to the type of the linkage request message. That is, the association processing unit 120 checks the validity of the message and confirms the message contents.
상기 검증 결과, 유효한 메시지이면, 연계 처리부(120)는 사용자 ID에 대한 매핑정보를 확인하고, 유효한 메시지가 아니면 메시지를 폐기한다. 여기서, 연계 처리부(120)는 연계 요청 메시지에 포함되어 있는 연계 대상 사이트(SPA 또는 SPB) 의 사용자 ID를 확인하여 신뢰영역에 포함되는 다른 연계 대상 사이트에서 이용되는 사용자 ID를 확인한다.As a result of the verification, if the message is valid, the association processing unit 120 confirms mapping information of the user ID, and discards the message if it is not a valid message. Here, the association processing unit 120 confirms the user ID of the association target site (SP A or SP B ) included in the association request message to confirm the user ID used in other association target sites included in the trusted area.
그리고 연계 처리부(120)는 연계 대상 사이트에 대한 메타정보를 확인하고, 사용자에 대한 프로파일 정보를 조회한다. 여기서, 연계 처리부(120)는 신뢰영역 내의 제휴 관계인 연계 대상 사이트에 대한 메타정보를 통하여 연계 대상 사이트(SPA 또는 SPB)에 대한 인증 도메인 주소와 인증 조건을 확인한다.The linkage processor 120 checks the meta information on the link target site and inquires profile information about the user. Here, the association processing unit 120 confirms the authentication domain address and the authentication condition for the association target site SP A or SP B through the meta information on the association target site which is an affiliate relationship in the trusted area.
이후, 세션정보 처리부(130)로부터 세션정보에 대한 처리 결과를 전달받으면, 연계 처리부(120)는 권한 허용 여부에 따른 연계 처리 결과를 티켓으로 생성한다. 여기서, 연계 처리부(120)는 이미 다른 사이트(SPA)로부터 인증을 받은 사용자인지 세션정보를 확인한다. 그리고 연계 처리부(120)는 사용자의 프로파일과 연계 대상 사이트(SPB)의 인증 조건을 비교하여 해당 사이트의 인증 조건을 만족하는 사용자인지 권한 허용 여부를 검증한다.Thereafter, when the session information processing unit 130 receives the processing result for the session information, the cooperative processing unit 120 generates a cooperative processing result according to whether permission is granted as a ticket. Here, the association processing unit 120 checks session information whether the user has already been authenticated from another site SP A. The linkage processing unit 120 compares the user's profile with the authentication condition of the link target site SP B and verifies whether the user satisfies the authentication condition of the corresponding site or whether the permission is allowed.
한편, 연계 처리부(120)는 신뢰영역 내의 사이트에 대하여 사용자의 ID 연합에 따른 매핑정보를 관리하는 기능을 수행한다. 또한, 연계 처리부(120)는 사용자 인터페이스를 제공한다. 연계 처리부(120)는 신뢰영역 내에서 서비스 제공자 간의 제휴 결과로 획득되는 사이트 인증 주소 및 사용자 인증을 위한 사용자 프로파일을 관리한다. 그리고 연계 처리부(120)는 사용자 인증에 필요한 항목(예를 들어, 사용자 ID, 패스워드, 나이 및 성별 등)에 대한 메타정보를 관리하는 기능을 수행한다.On the other hand, the association processing unit 120 performs a function of managing the mapping information according to the user's ID association for the site in the trusted area. In addition, the linkage processor 120 provides a user interface. The association processing unit 120 manages a site authentication address and a user profile for user authentication, which are obtained as a result of an association between service providers in a trusted area. The linkage processor 120 manages meta information about an item (eg, user ID, password, age and gender) required for user authentication.
한편, 세션정보 처리부(130)는 연계 처리부(120)의 연계 처리 요청에 따라, 연계정보 저장부(140)에서 저장된 연계정보 중에서 사용자의 세션정보를 기본 및 연계 세션정보의 유무에 따라 구분하여 각 세션정보를 처리한다.On the other hand, the session information processing unit 130 according to the association processing request from the association processing unit 120, the user's session information from the association information stored in the association information storage unit 140 according to the presence or absence of basic and association session information, respectively, Process session information.
즉, 세션정보 처리부(130)는 연계 요청에 따른 사용자가 서비스 연계를 신청하여 아직 만료되지 않은 세션정보가 이미 존재하는지 식별하기 위하여 기본 세션정보를 확인한다. 상기 확인 결과, 기본 세션정보가 존재하지 않으면, 세션정보 처리부(130)는 새로운 세션을 생성하는 반면, 기본 세션정보가 존재하면, 세션정보 처리부(130)는 기저장된 기본 세션정보에 연계 세션의 수를 갱신한다. 그리고 연계 요청이 새로운 연계 대상 사이트로의 연계 요청인지 아니면 이미 연계 처리가 완료된 연계 대상 사이트에 대한 갱신 요청인지 식별하기 위하여, 세션정보 처리부(130)는 연계 세션정보가 존재하는지 여부를 확인한다. 상기 확인 결과, 연계 세션정보가 없으면, 세션정보 처리부(130)는 연계 세션정보를 새롭게 생성하거나 기저장된 연계 세션정보를 갱신한다.That is, the session information processor 130 checks the basic session information in order to identify whether there is already session information that has not yet expired by the user applying for service association according to the association request. As a result of the checking, if the basic session information does not exist, the session information processing unit 130 creates a new session, whereas if the basic session information exists, the session information processing unit 130 determines the number of association sessions to the pre-stored basic session information. Update the. In order to identify whether the linking request is a linking request to a new linking target site or an update request for a linking target site that has already been linked, the session information processing unit 130 checks whether linking session information exists. As a result of the check, if there is no cooperative session information, the session information processor 130 newly generates cooperative session information or updates previously stored cooperative session information.
다시 말하면, 연계 처리의 요청이 단일 로그인에 대한 요청이면, 세션정보 처리부(130)는 기본 세션정보가 있는지 여부를 확인한다. 상기 확인 결과, 기본 세션정보가 없으면 세션정보 처리부(130)는 새로운 기본 세션정보를 생성하고, 기저장된 기본 세션정보가 있으면 기저장된 기본 세션정보를 갱신한다. 그리고 세션정보 처리부(130)는 생성된 새로운 기본 세션정보를 기초로 하여 연계 세션정보를 생성한다. 이어서, 세션정보 처리부(130)는 기저장된 기본 세션정보에 유효한 연계 세션정보가 있는지 여부를 확인한다.In other words, if the request for cooperative processing is a request for a single login, the session information processing unit 130 checks whether there is basic session information. As a result of the check, if there is no basic session information, the session information processor 130 generates new basic session information, and if there is previously stored basic session information, updates the previously stored basic session information. The session information processor 130 generates the cooperative session information based on the generated new basic session information. Subsequently, the session information processor 130 checks whether there is valid cooperative session information in the pre-stored basic session information.
상기 확인 결과, 연계 세션정보가 있으면, 세션정보 처리부(130)는 연계 세 션정보의 세션 시각과 세션 상태를 갱신하고, 연계 세션정보가 없으면 새로운 연계 세션정보를 생성한다.As a result of the check, if there is cooperative session information, the session information processing unit 130 updates the session time and session state of the cooperative session information, and if there is no cooperative session information, generates new cooperative session information.
이후, 세션정보 처리부(130)는 연계 처리의 요청이 로그아웃에 대한 요청인 경우에 단일 로그아웃 요청인지 여부를 확인한다.Thereafter, the session information processor 130 checks whether the request for cooperative processing is a single logout request when the request for logout is a logout request.
상기 확인 결과, 연계 처리의 요청이 해당 사이트에 국한된 로그아웃 요청이면, 세션정보 처리부(130)는 기저장된 기본 세션정보에 유효한 연계 세션정보가 있는지 여부를 확인한다. 유효한 연계 세션정보가 있으면, 세션정보 처리부(130)는 기저장된 기본 세션정보의 연계 여부 및 연계 세션 수를 수정하고 유효한 연계 세션정보를 만료 상태로 수정한다. 특히, 연계 처리의 요청이 단일 로그아웃 요청이면, 세션정보 처리부(130)는 기본 및 연계 세션정보를 확인하여 연계 세션정보의 유효기간을 만료시킨다. 그리고 세션정보 처리부(130)는 만료된 연계 세션정보에 대한 로그아웃 메시지를 생성한다.As a result of the check, if the request for the cooperative process is a logout request limited to the corresponding site, the session information processor 130 checks whether there is valid cooperative session information in the pre-stored basic session information. If there is valid cooperative session information, the session information processor 130 modifies whether the pre-stored basic session information is linked and the number of cooperative sessions and corrects the valid cooperative session information to an expired state. In particular, if the request for the cooperative process is a single logout request, the session information processor 130 checks basic and cooperative session information to expire the validity period of the cooperative session information. The session information processor 130 generates a logout message for the expired cooperative session information.
한편, 세션정보 처리부(130)는 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 기본 세션정보가 존재하는지 여부를 확인한다. 또한, 세션정보 처리부(130)는 연계 여부 및 연계 세션 수를 기초로 하여 연계 세션정보의 유무를 확인한다.Meanwhile, the session information processing unit 130 checks whether the basic session information exists based on the login ID and the authentication domain for the initial login request using the user's unique key. In addition, the session information processing unit 130 confirms the presence or absence of the association session information on the basis of whether the association and the number of association sessions.
한편, 연계정보 저장부(140)는 서비스 연계를 위한 연계정보를 저장한다. 구체적으로, 연계정보 저장부(140)는 서비스 연계를 처리하기 위한 사용자 프로파일, ID 매핑정보, 메타정보 및 세션정보 등을 저장한다. 여기서, 세션정보는 사용자의 세션을 기본 세션과 연계 세션으로 구분하여 관리할 수 있도록, 기본 세션정보와 이에 따른 부가정보인 연계 세션정보로 나뉘어서 연계정보 저장부(140)에 저장된다. 그리고 기본 세션정보는 사용자의 세션 식별을 위하여 세션 ID, 사용자 고유키 및 로그인 ID를 포함한다. 또한, 기본 세션정보는, 속성으로 인증 유형, 인증 도메인, 연계 여부, 연계 세션수, 티켓 정보, 세션 시각 및 상태 중에서 적어도 하나를 포함한다. 또한, 연계 세션정보는, 세션 ID, 사용자 고유키, 로그인 ID 및 연계 세션 ID를 포함한다. 또한, 연계 세션정보는, 사용자 ID, 초기 및 연계 도메인 주소, 연계 티켓 정보, 연계 세션 시각 및 상태 중에서 적어도 하나를 포함한다.On the other hand, the linkage information storage unit 140 stores linkage information for service linkage. In detail, the association information storage unit 140 stores a user profile, ID mapping information, meta information, session information, and the like for processing a service association. Here, the session information is divided into basic session information and associated session information, which is additional information, and stored in the association information storage unit 140 so that the user's session can be divided into a basic session and an association session. The basic session information includes a session ID, a user unique key, and a login ID for identifying a session of the user. In addition, the basic session information includes at least one of an authentication type, an authentication domain, an association status, an association session number, ticket information, a session time, and a state as an attribute. In addition, the association session information includes a session ID, a user unique key, a login ID, and a association session ID. The association session information may include at least one of a user ID, an initial and association domain address, association ticket information, association session time, and state.
도 2 는 본 발명에 따른 단일 로그인을 위한 서비스 연계 방법에 대한 일실시예 흐름도이다.2 is a flowchart illustrating a service linkage method for a single login according to the present invention.
본 발명에 따른 서비스 연계 장치(100)에서 세션을 관리하기 위하여, 서비스 연계를 통한 단일 로그인을 처리하는 과정에서 기본 세션정보와 연계 세션정보를 처리하는 방법이 도 2에 나타나 있다.In order to manage the session in the service-linked device 100 according to the present invention, a method of processing basic session information and linked session information in the process of processing a single login through service linkage is shown in FIG. 2.
먼저, 메시지 송수신부(110)는 서비스 제공 서버로부터 단일 로그인을 위한 연계 요청 메시지를 수신한다(202).First, the message transceiving unit 110 receives an association request message for a single login from a service providing server (202).
그리고 연계 처리부(120)는 메시지 송수신부(110)에서 수신된 연계 요청 메시지에 따라 연계정보를 확인하여 연계 처리를 세션정보 처리부(130)로 요청한다.The linkage processing unit 120 checks the linkage information according to the linkage request message received from the message transmission / reception unit 110 and requests linkage processing to the session information processing unit 130.
구체적으로 살펴보면, 연계 처리부(120)는 사용자에 대한 매핑정보를 확인한다(204). 이어서, 연계 처리부(120)는 연계 요청 메시지에 포함되어 있는 연계 대상 사이트와 연계 대상 사이트에 대한 메타정보를 확인한다(206).In detail, the linkage processor 120 confirms mapping information about the user (204). Subsequently, the linkage processing unit 120 checks meta information of the linkage target site and the linkage target site included in the linkage request message (206).
이후, 세션정보 처리부(130)는 연계 처리부(120)의 연계 처리의 요청에 따 라, 확인된 연계정보 중에서 기본 세션정보의 유무에 따라 기본 및 연계 세션정보를 구분하여 각 세션정보를 처리한다. 즉, 세션정보 처리부(130)는 연계 처리 요청에 따라, 세션정보를 처리하여 연계 처리 메시지를 생성한다.Subsequently, the session information processing unit 130 processes the respective session information by dividing the basic and the association session information according to the presence or absence of the basic session information among the identified association information according to the request of the association processing of the association processing unit 120. That is, the session information processor 130 processes the session information and generates a cooperative process message according to the cooperative process request.
구체적으로 살펴보면, 세션정보 처리부(130)는 연계정보 저장부(140)에 저장되어 있는 사용자에 대한 연계정보를 확인(기본 세션정보 확인)하고(208), 그 확인된 연계정보 중에서 기본 세션정보가 있는지 여부를 확인한다(210). 여기서, 세션정보 처리부(130)는 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 기본 세션정보가 존재하는지 여부를 확인한다.Specifically, the session information processing unit 130 checks the linking information for the user stored in the linkage information storage unit 140 (checking the basic session information) (208), and among the checked linkage information, the basic session information is checked. Check whether there is (210). Here, the session information processor 130 checks whether the basic session information exists based on the login ID and the authentication domain for the initial login request using the user's unique key.
상기 기본 세션정보의 확인 결과(210), 기본 세션정보가 없으면 세션정보 처리부(130)는 사용자 프로파일을 조회하고(212), 조회 결과에 따라 새로운 기본 세션정보를 생성한다(214).As a result of confirming the
세션정보 처리부(130)는 "214" 과정에서 생성된 새로운 기본 세션정보를 기초로 하여 연계 요청에 대한 연계 세션정보를 생성한다(216).The session information processing unit 130 generates linking session information for the linking request based on the new basic session information generated in step 214 (216).
상기 확인 결과(210), 기본 세션정보가 존재하면, 세션정보 처리부(130)는 기본 세션정보를 수정한다(218).As a result of the
이어서, 세션정보 처리부(130)는 연계정보 저장부(140)에 기저장된 기본 세션정보에 유효한 연계 세션정보가 있는지 여부를 확인한다(220). 즉, 세션정보 처리부(130)는 기본 세션정보에 기간이 만료되지 않은 유효한 세션정보가 존재하면 그 세션정보가 연계 세션정보인지 여부를 확인한다. 세션정보 처리부(130)는 연계 여부 및 연계 세션 수를 기초로 하여 연계 세션정보의 유무를 확인한다. 여기서, 연계 세션정보는 연계 요청 메시지에 포함되어 있는 연계 대상 사이트와 대응된다.Subsequently, the session information processing unit 130 checks whether there is valid connection session information in the basic session information previously stored in the connection information storage unit 140 (220). That is, the session information processing unit 130 checks whether the session information is the associated session information if the valid session information does not expire in the basic session information. The session information processor 130 checks the presence or absence of the cooperative session information based on the cooperative status and the number of cooperative sessions. Here, the association session information corresponds to the association target site included in the association request message.
상기 연계 세션정보의 확인 결과(220), 연계 세션정보가 없으면, 세션정보 처리부(130)는 새로운 연계 세션정보를 생성하는 "216" 과정을 수행한다.As a
상기 연계 세션정보의 확인 결과(220), 연계 세션정보가 있으면, 세션정보 처리부(130)는 연계 세션정보의 세션 시각과 세션 상태를 수정하여 연계 세션정보를 갱신한다(222).As a
이후, 연계 처리부(120)는 권한 확인 과정을 수행한다(224).Thereafter, the association processing unit 120 performs a permission check process (224).
그리고 세션정보 처리부(130)에서의 "208" 과정 내지 "222" 과정까지의 연계 처리 결과에 따라, 연계 처리부(120)는 연계 티켓 형태로 연계 처리 메시지를 생성한다(226).According to the result of the association process from the process "208" to the process "222" in the session information processor 130, the association processing unit 120 generates an association processing message in the form of an association ticket (226).
그리고 연계 처리부(120)는 생성된 연계 처리 메시지를 연계 대상 사이트로 송신하여 연계 요청 메시지를 처리하게 된다(228).The association processing unit 120 transmits the generated association processing message to the association target site to process the association request message (228).
도 3 은 본 발명에 따른 단일 로그아웃을 위한 서비스 연계 방법에 대한 일실시예 흐름도이다.3 is a flowchart illustrating a service association method for single logout according to the present invention.
본 발명에 따른 서비스 연계 장치(100)에서 세션을 관리하기 위하여, 서비스 연계를 통한 단일 로그아웃을 처리하는 과정에서 기본 세션정보와 연계 세션정보를 관리하는 방법이 도 3에 나타나 있다.In order to manage the session in the service-linked device 100 according to the present invention, a method of managing basic session information and linked session information in the process of processing a single logout through service linkage is shown in FIG. 3.
먼저, 메시지 송수신부(110)는 서비스 제공 서버로부터 로그아웃을 위한 연계 요청 메시지를 수신한다(302).First, the message transmitting and receiving unit 110 receives a connection request message for logout from the service providing server (302).
그리고 메시지 송수신부(110)로부터 연계 로그아웃 요청을 입수하게 되면, 연계 처리부(120)는 사용자에 대한 매핑정보를 확인한다(304).When the association logout request is received from the message transmitter / receiver 110, the association processor 120 confirms mapping information about the user (304).
이어서, 연계 처리부(120)는 연계 로그아웃 요청이 해당 사이트에 대한 로그아웃인지 연계 처리되어 있는 모든 사이트에 대한 단일 로그아웃 요청인지 확인한다(306). 즉, 연계 처리부(120)는 메시지 송수신부(110)로부터 전달받은 연계 요청 메시지에 따라 연계정보를 확인하여 로그아웃 요청에 따른 연계 처리를 세션정보 처리부(130)로 요청한다.Subsequently, the association processing unit 120 checks whether the association logout request is a logout for the corresponding site or a single logout request for all sites that are associated with the association (306). That is, the linkage processor 120 checks the linkage information according to the linkage request message received from the message transmission / reception unit 110 and requests the linkage processing according to the logout request to the session information processor 130.
상기 연계 처리의 요청이 로그아웃에 대한 요청인 경우에, 세션정보 처리부(130)는 단일 로그아웃 요청인지 여부에 따라 기본 및 연계 세션정보를 구분하여 각 세션정보를 처리한다.When the request for the cooperative process is a request for logout, the session information processing unit 130 processes the respective session information by dividing the basic and the cooperative session information according to whether or not it is a single logout request.
구체적으로 살펴보면, 상기 확인 결과(306), 연계 처리의 요청이 해당 사이트에 국한된 로그아웃 요청이면, 세션정보 처리부(130)는 연계정보 저장부(140)에 사용자에 대하여 기본 세션정보의 유효한 세션이 존재하는지 여부를 확인한다. 여기서, 세션정보 처리부(130)는 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 기본 세션정보가 존재하는지 여부를 확인한다. 이어서, 세션정보 처리부(130)는 확인된 기본 세션정보를 수정하여 기본 세션정보를 만료시킨다(308).Specifically, if the
그리고 세션정보 처리부(130)는 기본 세션정보에 유효한 연계 세션정보가 있는지 여부를 확인하고 연계 여부 및 연계 세션 수를 수정하여 유효한 연계 세션정보를 만료 상태로 수정한다(310).The session information processor 130 checks whether there is valid cooperative session information in the basic session information, and modifies the valid cooperative session information to an expired state by modifying the cooperative status and the number of cooperative sessions (310).
한편, 상기 확인 결과(306), 연계 요청이 모든 사이트에 대한 단일 로그아웃 요청인 경우, 세션정보 처리부(130)는 유효한 연계 세션정보가 있으면 연계정보 저장부(140)에 기저장된 기본 세션정보와 연계 세션정보를 확인하여 기본 세션정보의 연계 여부 및 연계 세션 수를 수정한다(312). 여기서, 세션정보 처리부(130)는 사용자 고유키를 이용한 최초 로그인 요청에 대한 로그인 ID와 인증 도메인을 기초로 하여 기본 세션정보가 존재하는지 여부를 확인한다.On the other hand, if the
이어서, 세션정보 처리부(130)는 연계 세션정보의 유무를 확인한다(314). 여기서, 세션정보 처리부(130)는 연계 여부 및 연계 세션 수를 기초로 하여 연계 세션정보의 유무를 확인한다.Subsequently, the session information processor 130 checks the presence or absence of the cooperative session information (314). Here, the session information processor 130 checks the presence or absence of the cooperative session information on the basis of whether the cooperative session and the number of cooperative sessions.
상기 확인 결과(314), 연계 세션정보가 존재하면, 세션정보 처리부(130)는 연계 세션정보 수정 과정을 통해 연계 세션정보를 만료시키고 해당 연계 대상 사이트에 대해 만료된 연계 세션정보를 수정한다(316). 그리고 세션정보 처리부(130)는 수정된 연계 세션정보에 따라 로그아웃 메시지를 생성하여 메시지 송수신부(110)를 통해 연계 대상 사이트로 송신한다(318).As a result of the
상기 확인 결과(314), 연계 세션정보가 존재하지 않으면, 연계 처리부(120)는 요청된 처리 결과에 따라 연계 처리 메시지를 생성하여 서비스 제공 서버로 송신한다.If the
도 4 는 본 발명에 따른 서비스 연계 장치에서 세션을 관리하기 위한 세션정보의 논리 모델에 대한 일예시도이다.4 is an example of a logical model of session information for managing a session in a service-linked device according to the present invention.
기본 세션정보(410)에는 세션 ID(411), 사용자 고유 키(412) 및 로그인 ID(413)가 포함되어 있고, 그 정보로 인해 사용자의 세션이 유일하게 식별된다. 그 리고 기본 세션정보(410)의 속성은 인증 유형, 인증 도메인, 연계 여부, 연계 세션 수, 티켓 정보, 세션 시각 및 상태(414)를 가진다.The
연계 세션정보(420)는 기본 세션정보를 기초로 하여 서비스 연계 처리를 할 때마다 생기는 부가 정보이다. 연계 세션정보(420)는 세션 ID(411), 사용자 고유 키(412) 및 로그인 ID(413)를 포함하고 있으며, 연계 세션 ID(424)가 추가되어 식별된다. 또한, 연계 세션정보(420)는 연계 대상 사이트에서의 사용자 ID, 미리 인증을 받은 도메인(초기 인증 도메인), 연계 대상 도메인, 티켓 정보, 연계 세션에 대한 시각 및 상태 정보(425)를 가지게 된다.The
여기서, 기본 세션정보(410)의 연계 여부는 연계 세션정보(420)의 존재 유무를 의미한다. 그리고 연계 세션 수는 기본 세션정보의 식별자(세션 ID(411), 사용자 고유 키(412), 로그인 ID(413))와 동일한 식별자를 가지는 연계 세션의 수를 의미한다.Here, whether or not the
세션정보의 확인과 관련하여, 서비스 연계를 처리하는 과정에서 연계 처리부(120)에 의해 세션정보에 대한 관리를 세션정보 처리부(130)에 요청하게 된다. 그러면, 세션정보 처리부(130)는 연계 요청을 하는 사용자에 대한 서비스 연계 장치(100)의 고유 키를 바탕으로 최초 로그인 요청을 하는 로그인 ID와 인증 도메인을 기초로 하여 기본 세션정보의 존재 여부를 확인하게 된다. 또한, 세션정보 처리부(130)는 연계 여부 및 연계 세션 수를 기초로 하여 연계 세션정보의 유무를 확인할 수 있게 된다.In connection with the confirmation of the session information, the association information processing unit 120 requests the session information processing unit 130 to manage the session information in the process of processing the service association. Then, the session information processing unit 130 checks the existence of the basic session information based on the login ID and the authentication domain for the first login request based on the unique key of the service connection device 100 for the user making the association request. Done. In addition, the session information processing unit 130 can check the presence or absence of the association session information on the basis of whether the association and the number of association sessions.
한편, 전술한 바와 같은 본 발명의 방법은 컴퓨터 프로그램으로 작성이 가능 하다. 그리고 상기 프로그램을 구성하는 코드 및 코드 세그먼트는 당해 분야의 컴퓨터 프로그래머에 의하여 용이하게 추론될 수 있다. 또한, 상기 작성된 프로그램은 컴퓨터가 읽을 수 있는 기록매체(정보저장매체)에 저장되고, 컴퓨터에 의하여 판독되고 실행됨으로써 본 발명의 방법을 구현한다. 그리고 상기 기록매체는 컴퓨터가 판독할 수 있는 모든 형태의 기록매체를 포함한다.On the other hand, the method of the present invention as described above can be written in a computer program. And the code and code segments constituting the program can be easily inferred by a computer programmer in the art. In addition, the written program is stored in a computer-readable recording medium (information storage medium), and read and executed by a computer to implement the method of the present invention. The recording medium may include any type of computer readable recording medium.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.
도 1 은 본 발명에 따른 단일 로그인 및 로그아웃을 위한 서비스 연계 장치의 일실시예 구성도,1 is a block diagram of an embodiment of a service-linked device for single login and logout according to the present invention;
도 2 는 본 발명에 따른 단일 로그인을 위한 서비스 연계 방법에 대한 일실시예 흐름도,2 is a flowchart illustrating a service linkage method for a single login according to the present invention;
도 3 은 본 발명에 따른 단일 로그아웃을 위한 서비스 연계 방법에 대한 일실시예 흐름도,3 is a flowchart illustrating a service linkage method for a single logout according to the present invention;
도 4 는 본 발명에 따른 서비스 연계 장치에서 세션을 관리하기 위한 세션정보의 논리 모델에 대한 일예시도이다.4 is an example of a logical model of session information for managing a session in a service-linked device according to the present invention.
* 도면의 주요 부분에 대한 부호의 설명* Explanation of symbols for the main parts of the drawings
100: 서비스 연계 장치 110: 메시지 송수신부100: service connection device 110: message transmission and reception unit
120; 연계 처리부 130: 세션정보 처리부120; Association processing unit 130: session information processing unit
140: 연계정보 저장부140: link information storage unit
Claims (19)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080130573A KR101042484B1 (en) | 2008-12-19 | 2008-12-19 | Apparatus and method of service interaction for single login and logout |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020080130573A KR101042484B1 (en) | 2008-12-19 | 2008-12-19 | Apparatus and method of service interaction for single login and logout |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100071752A KR20100071752A (en) | 2010-06-29 |
KR101042484B1 true KR101042484B1 (en) | 2011-06-16 |
Family
ID=42369191
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020080130573A KR101042484B1 (en) | 2008-12-19 | 2008-12-19 | Apparatus and method of service interaction for single login and logout |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101042484B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101853350B1 (en) * | 2017-11-29 | 2018-04-30 | 한국과학기술정보연구원 | Method and apparatus for the world wide federated authentication |
KR102459107B1 (en) * | 2020-11-23 | 2022-10-31 | 부산대학교 산학협력단 | Method and system for performing service access control based on blockchain |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020083481A (en) * | 2001-04-27 | 2002-11-02 | 주식회사 케이티 | System for Authenticating Registered User of Cooperation Sites and Method therefor |
KR20060067732A (en) * | 2004-12-15 | 2006-06-20 | 한국전자통신연구원 | Method of service logout in single sign on service using federated identity |
-
2008
- 2008-12-19 KR KR1020080130573A patent/KR101042484B1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20020083481A (en) * | 2001-04-27 | 2002-11-02 | 주식회사 케이티 | System for Authenticating Registered User of Cooperation Sites and Method therefor |
KR20060067732A (en) * | 2004-12-15 | 2006-06-20 | 한국전자통신연구원 | Method of service logout in single sign on service using federated identity |
Also Published As
Publication number | Publication date |
---|---|
KR20100071752A (en) | 2010-06-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110138718B (en) | Information processing system and control method thereof | |
US10541992B2 (en) | Two-token based authenticated session management | |
CN102638454B (en) | Plug-in type SSO (single signon) integration method oriented to HTTP (hypertext transfer protocol) identity authentication protocol | |
JP6904857B2 (en) | Delegation system, control method, and program | |
KR101475983B1 (en) | System, method and program product for consolidated authentication | |
US8281379B2 (en) | Method and system for providing a federated authentication service with gradual expiration of credentials | |
AU2003212723B2 (en) | Single sign-on secure service access | |
US8738901B2 (en) | Automatic certificate renewal | |
US8024777B2 (en) | Domain based authentication scheme | |
JP6061633B2 (en) | Device apparatus, control method, and program thereof. | |
US9185104B2 (en) | Method and apparatus for communication, and method and apparatus for controlling communication | |
US20140230020A1 (en) | Authorization server and client apparatus, server cooperative system, and token management method | |
US20100077208A1 (en) | Certificate based authentication for online services | |
US9419974B2 (en) | Apparatus and method for performing user authentication by proxy in wireless communication system | |
KR20190024817A (en) | Authority transfer system, control method therefor, and client | |
EP2689372A1 (en) | User to user delegation service in a federated identity management environment | |
US20110113240A1 (en) | Certificate renewal using enrollment profile framework | |
US20100318806A1 (en) | Multi-factor authentication with recovery mechanisms | |
CN103069742A (en) | Method and apparatus to bind a key to a namespace | |
US9009799B2 (en) | Secure access | |
KR101839049B1 (en) | Single Sign-On Authentication Method of Supporting Session Management by Server and Cookie Information Sharing Way | |
KR101186695B1 (en) | Method for interconnecting site based on id federation using federation cookie | |
CN108243164B (en) | Cross-domain access control method and system for E-government cloud computing | |
KR101042484B1 (en) | Apparatus and method of service interaction for single login and logout | |
CN103118025A (en) | Single sign-on method based on network access certification, single sign-on device and certificating server |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20140602 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20150601 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20160809 Year of fee payment: 6 |
|
LAPS | Lapse due to unpaid annual fee |