KR20150059347A - 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 - Google Patents

휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 Download PDF

Info

Publication number
KR20150059347A
KR20150059347A KR1020130142828A KR20130142828A KR20150059347A KR 20150059347 A KR20150059347 A KR 20150059347A KR 1020130142828 A KR1020130142828 A KR 1020130142828A KR 20130142828 A KR20130142828 A KR 20130142828A KR 20150059347 A KR20150059347 A KR 20150059347A
Authority
KR
South Korea
Prior art keywords
terminal
server
authentication
security cookie
session key
Prior art date
Application number
KR1020130142828A
Other languages
English (en)
Other versions
KR101744747B1 (ko
Inventor
김승현
진승헌
조진만
조영섭
조상래
최대선
노종혁
김수형
김석현
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130142828A priority Critical patent/KR101744747B1/ko
Priority to US14/516,141 priority patent/US20150149777A1/en
Publication of KR20150059347A publication Critical patent/KR20150059347A/ko
Application granted granted Critical
Publication of KR101744747B1 publication Critical patent/KR101744747B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3271Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
    • H04L9/3273Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response for mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0869Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명의 실시예에 따른 인증 방법은 제1 단말기가 서버로 보안쿠키를 전송하며 인증 요청을 하는 단계, 서버가 인증 요청에 대응하여 제2 단말기로 세션 정보와 보안쿠키를 전송하는 단계, 제2 단말기가 보안쿠키가 제2 단말기에 기 저장된 세션키에 의해 암호화 되었는지를 검증하는 단계 및 보안쿠키가 제2 단말기에 기 저장된 세션키에 의해 암호화 된 경우, 제2 단말기 및 서버가 상호인증을 수행하는 단계를 포함한다.

Description

휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법{MOBILE TERMINAL, TERMINAL AND METHOD FOR AUTHENTICATION USING SECURITY COOKIE}
본 발명은 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법에 관한 것이다.
쿠키(cookie)는 서버가 클라이언트의 상태 정보와 인증 정보를 저장하기 위한 방식으로, 대부분의 인터넷 환경에서 일반화된 기술이다. 하지만 쿠키의 내용이 임의로 조회되거나 변조당하는 식의 공격을 받거나, 악성코드나 네트워크 스니핑을 통해 제 3자가 사용자 PC의 쿠키를 추출하여 도용하는 문제가 발생하고 있다. 이를 해결하기 위해 쿠키 인증의 유효시간을 한정하거나, 쿠키 자체를 암복호화하는 방법이 다수 제안되었다.
그러나 이러한 방법들은 제3자가 쿠키를 도용하여 유효시간 내에 재사용하는 경우에는 대응할 수 없다. 암복호화를 통해 쿠키의 기밀성과 무결성은 보장할 수 있으나, 여전히 재사용하는 문제에는 대응이 어려워 보안상 문제가 존재하고 있는 실정이다.
근래에는 보안쿠키로 사용자의 컴퓨터를 식별하고, 제3자에 의한 보안쿠키 재사용을 차단하는 방법이 요구되고 있는 실정이다.
선행문헌1: 한국공개특허 제10-2010-0108132호(명칭: 웹 접속 보안 관리 장치 및 방법)
본 발명이 해결하고자 하는 과제는 보안쿠키를 이용하여 사용자 컴퓨터를 인증하고, 제3자에 의한 보안쿠키 재사용을 차단하는 단말기 및 방법을 제공하는 것이다.
본 발명의 실시예에 따른 인증 방법은 제1 단말기가 서버로 보안쿠키를 전송하며 인증 요청을 하는 단계; 상기 서버가 상기 제1 단말기의 사용자와 상기 제2 단말기의 사용자가 동일한 것에 관한 세션 정보에 대응하여 상기 보안쿠키를 상기 제2 단말기로 전송하는 단계; 상기 제2 단말기가 상기 보안쿠키가 상기 제2 단말기에 기 저장된 세션키에 의해 암호화 되었는지를 검증하는 단계; 및 상기 보안쿠키가 상기 제2 단말기에 기 저장된 세션키에 의해 암호화 된 경우, 상기 제2 단말기 및 상기 서버가 상호인증을 수행하는 단계를 포함한다.
상기 보안쿠키는 상기 제1 단말기의 식별 정보 및 상기 식별 정보를 검증할 수 있는 해쉬값을 포함할 수 있다.
상기 식별 정보는 상기 제1 단말기의 IP 주소 또는 사용자 ID를 포함할 수 있다.
상기 해쉬값은 상기 기 저장된 세션키로 상기 식별 정보를 해쉬한 값일 수 있다.
상기 기 저장된 세션키는 상기 서버와 상기 제2 단말기가 이전 트랜잭션에서 상호인증을 수행하면서 생성한 세션키일 수 있다.
상기 제2 단말기 및 상기 서버가 상호인증을 수행하는 단계는 상기 제2 단말기 및 상기 서버가 미리 공유한 인증 정보에 기초할 수 있다.
상기 인증 정보는 상기 사용자 ID, 패스워드 또는 공개키 기간구조일 수 있다.
상기 서버가 상기 상호인증에 성공하면 새로운 세션키를 이용하여 새로운 보안쿠키를 설정하는 단계를 더 포함할 수 있다.
상기 서버가 상기 새로운 보안쿠키를 인증 결과와 함께 상기 제1 단말기로 전송하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따른 제1 단말기는 보안쿠키가 저장된 보안쿠키 저장부; 및 서버로 상기 보안쿠키를 전송하며 인증을 요청하는 인증 요청부를 포함하고, 상기 인증 요청부는 상기 보안쿠키가 상기 제2 단말기에 저장된 세션키에 의해 암호화 되어 상기 서버와 상기 제2 단말기가 상호 인증이 있는 경우, 상기 서버로부터 인증 결과를 수신한다.
상기 인증 요청부는 상호 인증 이후, 상기 서버 및 상기 제2 단말기가 새롭게 생성한 보안쿠키를 인증 결과와 함께 수신할 수 있다.
본 발명의 실시예에 따른 제2 단말기는 세션키가 저장된 제2 단말 식별 정보 관리부; 제1 단말기의 사용자와 사용자가 동일한 것에 관한 세션 정보에 대응하는 보안쿠키를 서버로부터 수신하는 제2 단말 상호 인증 처리부; 및 상기 보안쿠키가 상기 세션키에 의해 암호화 되었는지를 검증하는 보안쿠키 검증부를 포함하고, 상호 인증 처리부는 상기 보안쿠키가 상기 세션키에 의해 암호화 된 경우, 상호인증을 수행한다.
상기 세션키는 상기 서버와 상기 제2 단말기가 이전 트랜잭션에서 상호인증을 수행하면서 생성한 세션키일 수 있다.
상기 상호 인증 처리부는 인증 정보에 기초할 수 있다.
상기 인증 정보는 사용자 ID, 패스워드 또는 공개키 기간구조일 수 있다.
상기 보안쿠키는 상기 제1 단말기의 식별 정보 및 상기 식별 정보를 검증할 수 있는 해쉬값을 포함할 수 있다.
상기 식별 정보는 상기 제1 단말기의 IP 주소 또는 상기 사용자 ID를 포함할 수 있다.
상기 해쉬값은 상기 세션키로 상기 식별 정보를 해쉬한 값일 수 있다.
상기 제2 단말 세션 정보 통신부는 PIN, 텍스트, QR코드 등에 기초하여 세션 정보에 대한 링크를 전송하거나, 수신할 수 있다.
본 발명의 실시 예에 따르면, 사용자 단말기 통해 사용자 컴퓨터가 접속한 임의의 웹사이트에 대한 상호인증을 수행하도록 함으로써 제3자의 공격을 차단할 수 있다.
본 발명의 실시예에 따르면, 사용자 단말기 통해 사용자 컴퓨터가 접속한 임의의 웹사이트에 대한 상호인증을 수행하도록 함으로써 아이디 또는 패스워드와 같은 인증정보를 노출하지 않을 수 있다,
본 발명의 실시예에 따르면, 사용자 단말기를 통하여 상호인증이 가능하도록 함으로써, 휴대성뿐만 아니라 N스크린 환경 등 활용성을 증대시킬 수 있다.
도 1은 본 발명의 실시예에 따른 인증 시스템을 나타낸 시스템도이다.
도 2는 본 발명의 실시예에 따른 제1 단말기의 블록도 이다.
도 3은 본 발명의 실시예에 따른 서버의 블록도 이다.
도 4는 본 발명의 실시예에 따른 제2 단말기의 블록도 이다.
도 5는 본 발명의 실시예에 따른 인증방법에 관한 래더 다이어그램이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
명세서 및 청구범위 전체에서, 어떤 부분이 어떤 구성 요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다.
또한 명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이제 본 발명의 실시 예에 따른 인증방법에 대하여 도면을 참고로 하여 상세하게 설명한다.
도 1은 본 발명의 실시예에 따른 인증 시스템을 나타낸 시스템도이다.
본 발명의 실시예에 따른 인증 시스템은 제1 단말기(100), 서버(200) 및 제2 단말기(300)을 포함한다. 본 발명의 실시예에 따르면 제1 단말기(100)는 서버(200)에 접속하고자 하는 단말기이다. 본 발명의 실시예에 따른 제1 단말기(100)는 노트북 컴퓨터(laptop computer), 디지털방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, 휴대폰, 스마트 폰(smart phone), 디지털 TV 및 데스크탑 컴퓨터 중 어느 하나 일 수 있다. 그러나 본 발명은 이에 한정되지 않고, 본 발명은 제1 단말기(100)가 서버(200)가 제공하는 임의의 웹사이트에 접속 가능한 기기라면 적용이 가능하다. 본 발명의 실시예에 따른 제1 단말기(100)는 웹 브라우저(web browser)을 포함하거나, 또는 웹 브라우저를 실행할 수도 있다. 그러나 본 발명은 이에 한정되지 않는다.
서버(200)는 제1 단말기(100)로부터 보안쿠키를 수신하고, 제2 단말기(300)를 통해 보안쿠키의 검증과 상호인증을 수행한다. 서버(200)는 웹 사이트(web site)를 제공한다. 또한 서버(200)는 웹 사이트로 설명될 수도 있다, 그러나 본 발명은 이에 한정되지는 않는다.
이하에서는 제1 단말기(100)는 서버(200)가 제공하는 웹사이트에 접속하는 응용 프로그램이나 웹 브라우저(web browser)실행하는 것을 예를 들어 설명하겠다.
제2 단말기(300)는 노트북 컴퓨터(laptop computer), 디지털방송용 단말기, PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 네비게이션, 휴대폰, 스마트 폰(smart phone), 디지털 TV 및 데스크탑 컴퓨터 중 어느 하나 일 수 있다. 그러나 본 발명은 이에 한정되지 않는다.
본 발명의 실시예에 따른 제2 단말기(300)는 서버(200)와 이전에 공유된 세션키를 통해 보안쿠키를 검증하여 제1 단말기(100)의 진위확인을 수행한다. 또한 제2 단말기(300)는 서버(200)와 상호인증을 수행한다. 본 명세서에서 따르면 제1 단말기(100)의 진위확인이란 서버에 전송된 보안쿠키가 제1 단말기(100)에 기초한 것인지를 확인하는 것이다.
다음은 도 2 내지 도 4를 참조하여 제1 단말기(100), 서버(200) 및 제2 단말기(300)의 각 구성에 대하여 설명한다.
도 2는 본 발명의 실시예에 따른 제1 단말기의 블록도 이다.
도 2를 참조하면, 제1 단말기(100)는 보안쿠키 추출부(110), 보안쿠키 저장부(120), 인증 요청부(130) 및 제1 단말 세션 정보 통신부(140)를 포함한다. 그러나 도 2 도시된 구성요소들이 필수적인 것은 아니어서, 그보다 많은 구성요소들을 갖거나 그보다 적은 구성요소들을 갖는 제1 단말기(100)가 구현될 수도 있다.
보안쿠키 추출부(110)는 저장된 보안쿠키를 로드한다. 본 발명의 실시예에 따른 보안쿠키 추출부(110)는 웹사이트를 호스트하는 서버(200)가 통신 채널(가령, HTTP 또는 HTTPS)을 정상적으로 수립한 경우, 서버(200)에 매칭 된 보안쿠키를 로드한다.
본 발명의 실시예에 따른 보안쿠키는 제1 단말기(100)의 IP 주소 또는 사용자의 ID 정보와 같은 식별 정보 및 식별 정보를 검증할 수 있는 해쉬값을 포함한다.
또한, 보안쿠키의 해쉬값은 서버(200)와 제2 단말기(200)가 이전 트랜잭션에서 상호인증을 수행하면서 생성한 세션키로 제1 단말기(100)의 식별 정보를 해쉬한 값이다.
보안쿠키 저장부(120)에는 보안쿠키가 저장된다. 본 발명의 실시예에 따르면 보안쿠키 추출부(110)는 보안쿠키 저장부(120)에 저장된 보안쿠키를 로드한다. 또한 인증이 완료된 후에 서버(200)가 전달하는 새 보안쿠키를 저장한다. 또한 보안쿠키 저장부(120)는 인증 요청부(130)가 서버(200)로부터 인증 결과를 수신하면서 함께 전달받은 보안쿠키를 저장한다.
인증 요청부(130)는 서버(200)에 제1 정보를 전송한다. 본 발명의 실시예에 따르면 제1 정보는 인증요청신호(s1) 및 보안쿠키 추출부(110)에서 추출된 보안쿠키를 포함한다. 본 발명의 실시예에 따른 인증 요청부(130)는 서버(200)로부터 인증 완료 결과를 수신한다. 또한 본 발명의 실시예에 따른 보안쿠키는 식별 정보를 포함할 수 있을 수도 있다.
제1 단말 세션 정보 통신부(140)는 서버(200)의 링크 정보를 받아, 제2 단말기(130)에 전달한다. 제1 단말 세션 정보 통신부(140)는 제2 단말기(300)와 PIN, 텍스트, QR코드 등에 기초하여 세션 정보를 송수신할 수도 있다. 본 발명의 실시예에 따른 제1 단말 세션 정보 통신부(140)는 PIN, 텍스트, QR코드 등에 기초하여 세션 정보 링크를 전송하거나, 수신할 수 있다. 사용자 그러나 본 발명은 이에 한정되지 않는다. 본 발명의 실시예에 따른 제1 단말 세션 정보 통신부(140)는 얼마든지 다른 형태로 세션 정보를 제2 단말기(300)와 송수신할 수 있다.
도 3은 본 발명의 실시예에 따른 서버의 블록도 이다.
도 3을 참조하면, 서버(200)는 인증 요청 처리부(210), 서버 세션 정보 통신부(220), 서버 상호 인증 처리부(230), 서버 식별 정보 관리부(240) 및 보안쿠키 설정부(250)을 포함한다. 그러나 도 3 도시된 구성요소들이 필수적인 것은 아니어서, 그보다 많은 구성요소들을 갖거나 그보다 적은 구성요소들을 갖는 서버(200)가 구현될 수도 있다.
인증 요청 처리부(210)는 제1 정보를 수신한다. 즉 인증 요청 처리부(210)는 요청신호(s1) 입력시, 웹사이트에 대한 인증 요청과 보안쿠키를 수신한다. 또한 인증 요청 처리부(210)는 인증 결과를 새로운 보안쿠키와 함께 제1 단말기(100)로 전송한다.
서버 세션 정보 통신부(220)는 제1 단말기(100)와 PIN, 텍스트, QR코드 등에 기초하여 세션정보를 송수신 한다. 본 발명의 실시예에 따른 서버 세션 정보 통신부(220)는 PIN, 텍스트, QR코드 등에 기초하여 세션정보 링크를 전송하거나, 전송받을 수 있다. 그러나 본 발명은 이에 한정되지 않는다. 본 발명의 실시예에 따른 서버 세션 정보 통신부(220)는 얼마든지 다른 형태로 세션 정보를 제1 단말기(100) 또는 제2 단말기(300)와 송수신할 수 있다.
본 발명의 실시예에 따른 서버 세션 정보 통신부(220)는 제1 단말기(100)로 해당 인증요청을 처리하기 위한 세션 정보를 전달하고, 제2 단말기(200)로부터 세션 정보를 수신한다.
서버 상호 인증 처리부(230)는 제2 단말기(300)과 상호인증을 수행한다. 본 발명의 실시예에 따르면 서버 상호인증 처리부(230)는 제2 단말기(300)에 제2 정보를 제공할 수도 있다. 본 발명의 실시예에 따른 제2 정보는 보안쿠키 및 서버(200) 정보를 포함할 수도 있다, 보안쿠키는 제1 단말기(100)의 웹브라우저 타입 및 IP 주소 어느 하나가 포함된 식별정보를 포함할 수 있다. 또한 본 발명의 실시예에 따른 식별 정보는 제1 단말기(100)를 식별할 수 있는 다른 종류의 정보를 포함할 수 있다. 또한 서버(200)에 대한 정보는 서버의 주소 및 서버 고유의 번호를 포함할 수도 있다. 그러나 본 발명은 이에 한정을 되지 않는다.
서버 식별 정보 관리부(240)는 웹사이트에 접속된 제1 단말기(100)가 전달한 제1 정보를 저장한다. 본 발명의 실시예에 따른 서버 식별 정보 관리부(240)는 식별 정보를 저장할 수도 있다.
보안쿠키 설정부(250)은 상호인증이 정상적으로 수행된 경우에 세션키를 생성하고, 생성된 세션키를 이용하여 새로운 보안쿠키를 설정한다.
보안쿠키 설정부(250)는 보안쿠키의 제1 단말기(100)로부터 수신받은 IP 주소, 사용자의 ID 정보와 같은 식별 정보를 갱신한다. 또한 보안쿠키 설정부(250)는 보안쿠키에 식별 정보를 검증할 수 있는 해쉬값을 포함시킬 수도 있다.
또한, 보안쿠키의 해쉬값은 서버(200) 및 제2 단말기(300)가 현재 트랜잭션에서 상호인증을 수행하면서 생성된 세션키로 제1 단말기(100)의 식별 정보를 해쉬한 값이다.
도 4는 본 발명의 실시예에 따른 제2 단말기의 블록도 이다.
도 4를 참조하면, 제2 단말기(300)는 제2 단말 세션 정보 통신부(310), 보안쿠키 검증부(320), 제2 단말 식별 정보 관리부(330) 및 제2 단말 상호인증 처리부(340)을 포함한다. 그러나 도 4에 도시된 구성요소들이 필수적인 것은 아니어서, 그보다 많은 구성요소들을 갖거나 그보다 적은 구성요소들을 갖는 제2 단말기(300)가 구현될 수도 있다.
제2 단말 세션 정보 통신부(310)은 제1 단말기(100)로부터 세션 정보를 수신한다.
보안쿠키 검증부(320)는 보안쿠키가 이전 트랜잭션에서 세션키를 통해 암호화 했던 보안쿠키 인지를 검증한다.
제2 단말 식별 정보 관리부(330)에는 이전 트랜잭션에 사용된 세션키, 사용자 ID, 사용자 컴퓨터의 IP 등 식별 정보가 저장된다, 또한 제2 단말 식별 정보 관리부(330)는 상호인증 이후에 세션키, 사용자 ID, 사용자 컴퓨터의 IP 등 식별 정보를 갱신한다.
제2 단말 상호인증 처리부(340)는 서버(200)와 미리 공유된 인증정보를 활용하여 상호인증을 수행한다. 본 발명의 실시예에 따른 미리 공유된 인증정보는 아이디(ID), 패스워드(Password) 또는 공개키 기반구조(PKI, public key infrastructure)일 수도 있다,
본 발명의 실시예에 따르면 제2 단말 식별 정보 관리부(330)는 보안쿠키 검증부(320)에서 이전 트랜잭션의 세션키와 식별 정보를 요구할 때 이를 전달해주고, 제2 단말 상호 인증 처리부(340)가 생성한 세션키를 식별 정보와 함께 저장하여 다음 트랜잭션에 활용한다.
다음은 도 5를 참조하여 본 발명의 실시예에 따른 인증방법에 대하여 설명한다.
도 5는 본 발명의 실시예에 따른 인증방법에 관한 다이어그램이다.
제1 단말기(100)의 인증 요청부(130)는 서버(200)에 제1 정보를 전송한다(S101). 제1 정보는 서버(200)의 인증요청 처리부(121)에서 수신할 수 있다. 본 발명의 실시예에 따른 제1 정보는 인증요청신호(s1) 및 보안쿠키를 포함한다. 보안쿠키 추출부(110)에서 추출된 보안쿠키 및 제1 단말기(100)에 대한 식별 정보를 포함할 수 있다.
서버 세션 정보 통신부(220)는 제1 정보에 대응하여 제1 단말기(100)로 세션 정보를 전송한다(S103). 이 단계에서 세션 정보는 제1 단말기(100)의 제1 단말 세션 정보 통신부(140)에서 수신할 수도 있다. 본 발명의 실시예에 따른 세션 정보는 제1 단말기(100)의 사용자와 제2 단말기(300)의 사용자가 동일한 것에 관한 것 일 수도 있다.
제1 단말기(100)의 제1 단말 세션 정보 통신부(140)는 전송 받은 세션 정보를 제2 단말기(300)로 전송한다(S105). 이 단계에서 세션 정보는 제2 단말기(300)의 제2 단말 세션 정보 통신부(310)가 수신할 수도 있다.
제2 단말기(300)의 제2 단말 세션 정보 통신부(140)는 전송 받은 세션 정보를 서버(200)로 전송한다(S107). 이 단계에서 세션 정보는 서버 세션 정보 통신부(220)에서 수신할 수도 있다.
본 발명의 또 다른 실시예에 따르면 단계 S103 내지 S107 대신에 제1 단말기(100)의 제1 단말 세션 정보 통신부(140)가 직접 서버 세션 정보 통신부(220)로 세션 정보를 전송할 수도 있다. 그러나 본 발명의 실시예는 이에 한정되지 않는다. 즉 본 발명은 서버 세션 정보 통신부(220)가 세션 정보를 제1 단말기(100) 및 제2 단말기(200)가 아닌 다른 장치에서 전송받는 경우에도 적용이 가능하다.
서버(200)의 서버 상호인증 처리부(230)는 제2 단말기(300)의 제2 단말 상호 인증 처리부(340)에 제2 정보를 제공한다(S109). 본 발명의 실시예에 따른 제2 정보는 보안쿠키 및 서버 정보를 포함한다.
제2 단말기(300)의 보안쿠키 검증부(320)는 제2 정보 및 이전 트랜잭션에서 보안쿠키를 암호화했던 세션키에 기초하여 보안쿠키를 검증한다(S111). 제2 단말기(300)의 보안쿠키 검증부(320)는 보안쿠키가 이전 트랜잭션에서 세션키를 통해 암호화 했던 보안쿠키 인지를 검증한다.
보안쿠키가 이전 트랜잭션에서 세션키를 통해 암호화 했던 보안쿠키여서 보안쿠키가 검증 되면, 제2 단말기(300)의 제2 단말 상호 인증 처리부(340)는 검증 결과를 서버(200)의 서버 상호 인증 처리부(230)에 전송한다(S113).
서버 상호인증 처리부(230)는 및 제2 단말 상호인증 처리부(340)는 미리 공유된 인증정보에 기초하여 활용하여 상호인증을 수행한다(S115). 본 발명의 실시예에 따른 미리 공유된 인증정보는 아이디(ID), 패스워드(Password) 또는 PKI일 수도 있다. 또한 인증정보는 세션정보에 기초할 수 있다. 서버(200)의 보안쿠키 설정부(250)은 상호인증이 정상적으로 수행된 경우에 세션키를 생성하고, 생성된 세션키를 이용하여 새로운 보안쿠키를 설정한다. 또한 이때 제2 단말기(300)에도 새로운 세션키가 생성된다. 또한 본 발명의 또 다른 실시예에 의하면 제2 단말기(300)는 이 단계에서 서버(200)의 보안쿠키 설정부(250)에서 생성된 세션키를 전송받을 수도 있다.
또한 인증 요청 처리부(210)는 인증 결과를 제1 단말기의 인증 요청부(130)로 전송한다(S115). 이 때 인증 요청 처리부(210)는 인증 결과와 함께 새로 설정된 보안쿠키를 전송할 수도 있다.
이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
100: 제1 단말기 110: 보안쿠키 추출부
120: 보안쿠키 저장부 130: 인증 요청부
140: 제1 단말 세션 정보 통신부 200: 서버
210: 인증요청 처리부 220: 서버 세션 정보 통신부
230: 서버 상호 인증 처리부 240: 서버 식별 정보 관리부
250: 보안쿠키 설정부 300: 제2 단말기
310: 제2 단말 세션 정보 통신부 320: 보안쿠키 검증부
330: 제2 단말 식별 정보 관리부 340: 제2 단말 상호 인증 처리부

Claims (19)

  1. 제1 단말기가 서버로 보안쿠키를 전송하며 인증 요청을 하는 단계;
    상기 서버가 상기 제1 단말기의 사용자와 상기 제2 단말기의 사용자가 동일한 것에 관한 세션 정보에 대응하여 상기 보안쿠키를 상기 제2 단말기로 전송하는 단계;
    상기 제2 단말기가 상기 보안쿠키가 상기 제2 단말기에 기 저장된 세션키에 의해 암호화 되었는지를 검증하는 단계; 및
    상기 보안쿠키가 상기 제2 단말기에 기 저장된 세션키에 의해 암호화 된 경우, 상기 제2 단말기 및 상기 서버가 상호인증을 수행하는 단계를 포함하는 인증 방법.
  2. 제1항에 있어서,
    상기 보안쿠키는 상기 제1 단말기의 식별 정보 및 상기 식별 정보를 검증할 수 있는 해쉬값을 포함하는 인증 방법.
  3. 제2항에 있어서,
    상기 식별 정보는 상기 제1 단말기의 IP 주소 또는 사용자 ID를 포함하는 인증 방법.
  4. 제3항에 있어서,
    상기 해쉬값은 상기 기 저장된 세션키로 상기 식별 정보를 해쉬한 값인 인증 방법.
  5. 제4항에 있어서,
    상기 기 저장된 세션키는 상기 서버와 상기 제2 단말기가 이전 트랜잭션에서 상호인증을 수행하면서 생성한 세션키인 인증 방법.
  6. 제1항에 있어서,
    상기 제2 단말기 및 상기 서버가 상호인증을 수행하는 단계는 상기 제2 단말기 및 상기 서버가 미리 공유한 인증 정보에 기초하는 인증 방법.
  7. 제6항에 있어서,
    상기 인증 정보는 상기 사용자 ID, 패스워드 또는 공개키 기반구조인 인증 방법.
  8. 제7항에 있어서,
    상기 서버가 상기 상호인증에 성공하면 새로운 세션키를 이용하여 새로운 보안쿠키를 설정하는 단계를 더 포함하는 인증 방법.
  9. 제8항에 있어서,
    상기 서버가 상기 새로운 보안쿠키를 인증 결과와 함께 상기 제1 단말기로 전송하는 단계를 더 포함하는 인증 방법.
  10. 보안쿠키가 저장된 보안쿠키 저장부; 및
    서버로 상기 보안쿠키를 전송하며 인증을 요청하는 인증 요청부를 포함하고,
    상기 인증 요청부는 상기 보안쿠키가 상기 제2 단말기에 저장된 세션키에 의해 암호화 되어 상기 서버와 상기 제2 단말기가 상호 인증이 있는 경우, 상기 서버로부터 인증 결과를 수신하는 제1 단말기.
  11. 제10항에 있어서,
    상기 인증 요청부는 상호 인증 이후, 상기 서버 및 상기 제2 단말기가 새롭게 생성한 보안쿠키를 인증 결과와 함께 수신하는 제1 단말기.
  12. 세션키가 저장된 제2 단말 식별 정보 관리부;
    제1 단말기의 사용자와 사용자가 동일한 것에 관한 세션 정보에 대응하는 보안쿠키를 서버로부터 수신하는 제2 단말 상호 인증 처리부; 및
    상기 보안쿠키가 상기 세션키에 의해 암호화 되었는지를 검증하는 보안쿠키 검증부를 포함하고,
    상호 인증 처리부는 상기 보안쿠키가 상기 세션키에 의해 암호화 된 경우, 상호인증을 수행하는 제2 단말기.
  13. 제12항에 있어서,
    상기 세션키는 상기 서버와 상기 제2 단말기가 이전 트랜잭션에서 상호인증을 수행하면서 생성한 세션키인 제2 단말기.
  14. 제13항에 있어서,
    상기 상호 인증 처리부는 인증 정보에 기초하는 제2 단말기.
  15. 제14항에 있어서,
    상기 인증 정보는 사용자 ID, 패스워드 또는 공개키 기반구조인 제2 단말기.
  16. 제15항에 있어서,
    상기 보안쿠키는 상기 제1 단말기의 식별 정보 및 상기 식별 정보를 검증할 수 있는 해쉬값을 포함하는 제2 단말기.
  17. 제16항에 있어서,
    상기 식별 정보는 상기 제1 단말기의 IP 주소 또는 상기 사용자 ID를 포함하는 제2 단말기.
  18. 제17항에 있어서,
    상기 해쉬값은 상기 세션키로 상기 식별 정보를 해쉬한 값인 제2 단말기.
  19. 제12항에 있어서,
    상기 제2 단말 세션 정보 통신부는 PIN, 텍스트, QR코드 등에 기초하여 세션 정보에 대한 링크를 전송하거나, 수신하는 제2 단말기.
KR1020130142828A 2013-11-22 2013-11-22 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법 KR101744747B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130142828A KR101744747B1 (ko) 2013-11-22 2013-11-22 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법
US14/516,141 US20150149777A1 (en) 2013-11-22 2014-10-16 Mobile terminal, terminal and authentication method using security cookie

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130142828A KR101744747B1 (ko) 2013-11-22 2013-11-22 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법

Publications (2)

Publication Number Publication Date
KR20150059347A true KR20150059347A (ko) 2015-06-01
KR101744747B1 KR101744747B1 (ko) 2017-06-09

Family

ID=53183712

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130142828A KR101744747B1 (ko) 2013-11-22 2013-11-22 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법

Country Status (2)

Country Link
US (1) US20150149777A1 (ko)
KR (1) KR101744747B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190023642A (ko) * 2017-08-29 2019-03-08 한국전자통신연구원 Tfo 쿠키 값을 이용하는 보안 방법 및 장치, 그리고 이를 이용한 통신 방법 및 장치

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9754097B2 (en) * 2014-02-21 2017-09-05 Liveensure, Inc. Method for peer to peer mobile context authentication
CN105099692B (zh) 2014-05-22 2020-01-14 创新先进技术有限公司 安全校验方法、装置、服务器及终端
CN106549760A (zh) * 2015-09-16 2017-03-29 阿里巴巴集团控股有限公司 基于cookie的身份验证方法和装置
US10304090B2 (en) * 2015-10-16 2019-05-28 Nokia Technologies Oy Method, apparatus and computer program product for a cookie used for an internet of things device
US10454672B2 (en) * 2017-05-25 2019-10-22 Facebook, Inc. Systems and methods for preventing session fixation over a domain portal
CN109104280B (zh) * 2017-06-20 2021-09-28 腾讯科技(深圳)有限公司 转发消息的方法及装置
US10715513B2 (en) * 2017-06-30 2020-07-14 Microsoft Technology Licensing, Llc Single sign-on mechanism on a rich client
CN111656376B (zh) * 2017-11-30 2023-10-31 建筑开发技术公司 信息处理装置、信息处理方法、信息处理***以及程序
GB2582326B (en) * 2019-03-19 2023-05-31 Securenvoy Ltd A method of mutual authentication
US11899757B2 (en) * 2019-12-02 2024-02-13 Cox Automotive, Inc. Systems and methods for temporary digital content sharing
JP2022012403A (ja) * 2020-07-01 2022-01-17 キヤノン株式会社 プログラム、情報処理装置及び制御方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7010605B1 (en) * 2000-08-29 2006-03-07 Microsoft Corporation Method and apparatus for encoding and storing session data
CA2432483C (en) * 2003-06-17 2010-04-13 Ibm Canada Limited - Ibm Canada Limitee Multiple identity management in an electronic commerce site
WO2013100912A1 (en) * 2011-12-27 2013-07-04 Intel Corporation Systems and methods for cross-layer secure connection set up
US8935777B2 (en) * 2012-02-17 2015-01-13 Ebay Inc. Login using QR code
US9729642B2 (en) * 2013-05-24 2017-08-08 International Business Machines Corporation Sharing web application sessions across multiple devices

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190023642A (ko) * 2017-08-29 2019-03-08 한국전자통신연구원 Tfo 쿠키 값을 이용하는 보안 방법 및 장치, 그리고 이를 이용한 통신 방법 및 장치

Also Published As

Publication number Publication date
US20150149777A1 (en) 2015-05-28
KR101744747B1 (ko) 2017-06-09

Similar Documents

Publication Publication Date Title
KR101744747B1 (ko) 휴대 단말기, 단말기 및 보안쿠키를 이용한 인증 방법
CN109862041B (zh) 一种数字身份认证方法、设备、装置、***及存储介质
CN112019493B (zh) 身份认证方法、身份认证装置、计算机设备和介质
US9009463B2 (en) Secure delivery of trust credentials
US20210056541A1 (en) Method and system for mobile cryptocurrency wallet connectivity
US8112787B2 (en) System and method for securing a credential via user and server verification
US20160080157A1 (en) Network authentication method for secure electronic transactions
US8745394B1 (en) Methods and systems for secure electronic communication
CN114679293A (zh) 基于零信任安全的访问控制方法、设备及存储介质
US10045210B2 (en) Method, server and system for authentication of a person
CN105072125B (zh) 一种http通信***及方法
US9445269B2 (en) Terminal identity verification and service authentication method, system and terminal
US20160241536A1 (en) System and methods for user authentication across multiple domains
CN108243176B (zh) 数据传输方法和装置
US20200196143A1 (en) Public key-based service authentication method and system
JP2012530311A5 (ko)
KR102137122B1 (ko) 보안 체크 방법, 장치, 단말기 및 서버
CN110677382A (zh) 数据安全处理方法、装置、计算机***及存储介质
CN104580256A (zh) 通过用户设备登录和验证用户身份的方法及设备
WO2014067925A1 (en) Telecommunications chip card
GB2522445A (en) Secure mobile wireless communications platform
CN107566393A (zh) 一种基于受信任证书的动态权限验证***及方法
KR20130100032A (ko) 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법
US20240113898A1 (en) Secure Module and Method for App-to-App Mutual Trust Through App-Based Identity
CN113381855B (zh) 通信方法和***

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant