KR20190067138A - 인증 관리 방법 및 시스템 - Google Patents

인증 관리 방법 및 시스템 Download PDF

Info

Publication number
KR20190067138A
KR20190067138A KR1020190065321A KR20190065321A KR20190067138A KR 20190067138 A KR20190067138 A KR 20190067138A KR 1020190065321 A KR1020190065321 A KR 1020190065321A KR 20190065321 A KR20190065321 A KR 20190065321A KR 20190067138 A KR20190067138 A KR 20190067138A
Authority
KR
South Korea
Prior art keywords
authentication
user
account
information
management server
Prior art date
Application number
KR1020190065321A
Other languages
English (en)
Inventor
우종현
Original Assignee
(주)이스톰
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)이스톰 filed Critical (주)이스톰
Priority to KR1020190065321A priority Critical patent/KR20190067138A/ko
Publication of KR20190067138A publication Critical patent/KR20190067138A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/41User authentication where a single sign-on provides access to a plurality of computers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/72Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 OS 계정 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및 상기 커스텀 크리덴셜 프로바이더와 통신망을 통해 통신 연결되며, 상기 대체 인증 방식에서 사용되는 대체 인증 정보에 기반한 OS 계정 인증이 시도되는 경우, 상기 대체 인증 정보를 이용하여 상기 OS 계정 인증을 시도한 사용자에 관한 사용자 인증을 수행하고, 상기 사용자 인증이 성공된 경우 상기 운영체제에서 자체 지원하는 OS 계정 인증 방식에 따른 OS 계정 인증을 수행하는데 필요한 계정 인증 정보 또는 상기 계정 인증 정보의 생성에 기초가 되는 시드값을 상기 커스텀 크리덴셜 프로바이더로 전달하는, 인증 관리 서버를 포함하는 인증 관리 시스템이 제공된다.

Description

인증 관리 방법 및 시스템{METHOD AND SYSTEM FOR MANAGING AUTHENTICATION}
본 발명은 인증 관리 방법 및 시스템에 관한 것으로서, 보다 구체적으로는 보안 규정에 충족될 수 있도록 운영체제의 패스워드를 자동으로 변경하거나, 운영체제의 사용자 세션 내에서 자동으로 프로그램을 구동 및 인증 처리하는 방법 및 이를 위한 시스템에 관한 것이다.
최근 보안과 관련된 법령의 개정에 따라서, 마이크로소프트 윈도우(Microsoft Windows) 기반의 시스템에 로그인시 윈도우즈 계정에 대한 패스워드를 주기적으로 바꾸도록 하는 규정이 도입되고 있다. 그러나 운영체제(OS : Operating System)의 패스워드를 주기적으로 변경하는 것이 불편하고, 이러한 불편함을 해결하기 위해서 사용자가 기억하기 쉬운 패스워드로 변경(갱신)하다보면 보안이 오히려 허술해지는 경우가 많다.
이에 따라 사용자 아이디와 패스워드를 이용하여 사용자 인증을 하는 방식을 사용하지 않고, 다른 방식으로 사용자를 인증하는 기술이 점차 대두되고 있다. 일 예로, 윈도우즈 10의 경우는 PC에 장착된 카메라를 통해서 사용자의 얼굴을 인식하고 이에 따라 사용자 로그인을 자동으로 처리하거나, FIDO(Fast Identity Online)가 설치된 운영체제의 경우 지문 인식, 홍채 인식, 음성 인식 등의 방식으로 사용자 로그온을 처리하기도 한다. 그러나 위와 같은 대체 인증 방식의 경우에도 운영체제 내부적으로는 기존과 상이하지 않다. 즉, 사용자가 어떤 방식으로 인증을 하든지 상관없이, 운영체제 내부적으로는 해당 사용자 계정과 패스워드가 여전히 존재하는 것이다. 단지 사용자의 인증 인터페이스만이 다른 다양한 인증 수단으로 대체되는 것이고, 그러한 다른 인증 수단에 따른 인증이 완료되면 실제 운영체제 내부에 등록되어 있는 사용자 계정과 패스워드로 사용자를 인증시킨다. 윈도우즈의 경우에도 크리덴셜 프로바이더(credential provider)를 제3자가 확장하여 다양한 인증 방식으로 사용자가 인증을 받을 수 있도록 API를 제공하지만, 실제 윈도우즈 내부에서는 윈도우즈 사용자 계정과 패스워드로 구동되며, 이에 따라 사용자 계정에 따른 세션이 제공된다.
결국 상술한 바와 같이 대체 인증 수단에 의하는 경우에도 여전히 주기적으로 패스워드 갱신을 하여야 함은 기존과 다를 바 없으며, 패스워드 갱신에 따른 불편함은 여전하다. 따라서 제3의 인증 방식으로 사용자를 인증할 때 관련 규정에 따라 지정된 패스워드 변경 주기가 도래되기 전에 자동으로 운영체제 내부에서 관리하는 패스워드를 변경할 수 있는 기술이 요구된다.
또한, 운영체제가 구동된 후, 상술한 바와 같이 사용자 인증을 끝마치게 되면, 해당 사용자 계정에 따른 세션이 제공되고, 제공된 사용자 세션 내에서 자동으로 프로그램을 시작시키는 종래 기술은 다수 존재하였으나, 해당 프로그램의 실제 실행을 위한 사용자 아이디와 패스워드까지를 자동으로 입력해 주는 기술은 없었다. 일반적으로 직장인의 경우, 출근 이후 적게는 운영체제 계정 인증, 회사 이메일 인증, 그룹웨어 인증, 업무 시스템 인증 등 3~4개 이상의 사용자 인증을 수행해야 업무를 시작할 수 있다. 이에 따라 업무 지연과 함께 사용자에게 불편을 초래하는 경우가 많다. 따라서 이를 한 번에 통합하여 인증할 수 있는 기술과 방법이 필요하다.
본 발명은 사내 윈도우즈의 도메인 계정 혹은 로컬 계정의 패스워드 입력 없이 크리덴셜 프로바이더를 통해 대체 인증 방식에 따라 사용자 인증을 하는 경우, 사용자가 패스워드를 직접 입력 및 변경(갱신)하지 않고도, 보안 규정에 충족될 수 있도록 운영체제의 패스워드 등을 자동으로 설정 및 변경(갱신)할 수 있는 방법 및 시스템을 제공하기 위한 것이다.
또한 본 발명은 시스템 통합 계정을 사용하지 않거나 시스템 통합 계정으로 변경하기 어려운 업무 환경에서 윈도우즈 기반의 시스템에 로그온 시 크리덴셜 프로바이더에 사용하는 인증 정보로 사용자 인증이 필요한 다양한 업무 소프트웨어까지 사용자가 직접 개별 인증하지 않고 자동으로 인증하여 사용할 수 있도록 하는 방법 및 시스템을 제공하기 위한 것이다.
본 발명의 일 측면에 따르면, 컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 OS 계정 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및 상기 커스텀 크리덴셜 프로바이더와 통신망을 통해 통신 연결되며, 상기 대체 인증 방식에서 사용되는 대체 인증 정보에 기반한 OS 계정 인증이 시도되는 경우, 상기 대체 인증 정보를 이용하여 상기 OS 계정 인증을 시도한 사용자에 관한 사용자 인증을 수행하고, 상기 사용자 인증이 성공된 경우 상기 운영체제에서 자체 지원하는 OS 계정 인증 방식에 따른 OS 계정 인증을 수행하는데 필요한 계정 인증 정보 또는 상기 계정 인증 정보의 생성에 기초가 되는 시드값을 상기 커스텀 크리덴셜 프로바이더로 전달하는, 인증 관리 서버를 포함하는 인증 관리 시스템이 제공된다.
일 실시예에서, 상기 인증 관리 서버는,
상기 OS 계정 인증이 시도될 때마다 매번 상기 계정 인증 정보 또는 상기 시드값을 신규 생성하거나, 상기 운영체제의 보안 정책에 따른 계정 인증 정보의 주기적 변경 기간의 도래 여부에 따라 사전 지정된 변경 필요 시점에 도달한 경우에만 상기 계정 인증 정보 또는 상기 시드값을 신규 생성할 수 있다.
일 실시예에서, 상기 커스텀 크리덴셜 프로바이더는,
상기 인증 관리 서버로부터 상기 계정 인증 정보를 직접 수신한 경우, 수신된 계정 인증 정보를 이용하여 상기 운영체제에서 자체 제공하는 OS 계정 인증 방식에 따른 인증을 수행하고, OS 계정 인증이 성공됨에 따라 OS 계정 인증을 시도한 해당 사용자에게 사용자 세션을 제공할 수 있다.
일 실시예에서, 상기 커스텀 크리덴셜 프로바이더는,
상기 인증 관리 서버로부터 상기 시드값을 수신한 경우, 수신된 시드값을 이용하여 상기 운영체제에서 요구하는 패스워드 보안 규칙을 만족하는 계정 인증 정보를 신규 생성하고, 신규 생성된 계정 인증 정보로 계정 인증 정보를 갱신한 후, 신규 생성된 계정 인증 정보를 이용하여 상기 운영체제에서 자체 제공하는 OS 계정 인증 방식에 따른 인증을 수행하며, OS 계정 인증이 성공됨에 따라 OS 계정 인증을 시도한 해당 사용자에게 사용자 세션을 제공할 수 있다.
일 실시예에서, 상기 대체 인증 방식을 통한 인증을 수행하기 위해, 사용자의 모바일 기기에 앱(App) 형태로 설치되는 모바일 인증기를 더 포함하되,
상기 커스텀 크리덴셜 프로바이더는, 상기 OS 계정 인증이 시도된 경우, 상기 OS 계정 인증을 시도한 사용자 계정 정보를 상기 인증 관리 서버로 전달하고,
상기 인증 관리 서버는, 사용자 계정 정보가 수신됨에 따라, 수신된 사용자 계정 정보에 따른 사용자를 인증하기 위한 사용자 인증값을 상기 대체 인증 정보로서 생성하고, 상기 사용자 계정 정보에 연동된 상기 모바일 인증기 정보에 근거하여 상기 사용자 인증값을 해당 모바일 인증기로 전달하고, 해당 모바일 인증기로부터 인증 동의값이 수신되는 경우 수신된 인증 동의값에 근거하여 대체 인증 정보에 따른 사용자 인증을 수행할 수 있다.
일 실시예에서, 상기 사용자 인증값으로 유효 기간을 갖는 OTP(one time password)가 이용되는 경우,
상기 인증 관리 서버는, 상기 사용자 인증값과 해당 인증값에 대한 유효 시간 정보를 상기 커스텀 크리덴셜 프로바이더 및 상기 모바일 인증기로 전달하고,
상기 커스텀 크리덴셜 프로바이더 및 상기 모바일 인증기는, 각각, 인증값 표시창을 통해서 상기 사용자 인증값과 상기 유효 시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 장치 화면 상에 표출되도록 할 수 있다.
이때, 상기 사용자 인증값은 상기 인증 표시창 내에 숫자열 또는 문자열로 표시되고, 상기 유효 시간은 상기 인증 표시창 내에서 타임 랩스 바(Time Lapse Bar) 형태로 표시되어 해당 유효 시간의 경과가 시각적으로 안내될 수 있도록 표시될 수 있다.
일 실시예에서, 상기 컴퓨팅 장치에 설치되며, 상기 사용자 세션 내에서 구동되어 사용자 지정의 업무 소프트웨어들에 관한 통합 인증을 대행하기 위한 인증 클라이언트 에이전트를 더 포함하되,
상기 커스텀 크리덴셜 프로바이더는, 상기 사용자 세션이 제공된 이후, 상기 대체 인증 정보를 상기 인증 클라이언트 에이전트로 전달하고,
상기 인증 클라이언트 에이전트는, 수신한 대체 인증 정보를 이용하여 상기 인증 관리 서버로 에이전트 인증을 요청하며,
상기 인증 관리 서버는, 에이전트 요청에 따라 수신된 대체 인증 정보를 이용하여 에이전트 인증을 수행하고, 에이전트 인증이 성공된 경우 상기 인증 클라이언트 에이전트로 상기 사용자 지정의 업무 소프트웨어 목록을 전달할 수 있다.
일 실시예에서, 상기 인증 클라이언트 에이전트는,
상기 인증 관리 서버로부터 업무 소프트웨어 목록을 수신함에 따라, 상기 목록에 포함된 업무 소프트웨어들을 실행하고, 각 업무 소프트웨어에 대한 개별 인증 절차가 진행될 수 있도록 처리할 수 있다.
일 실시예에서, 상기 인증 클라이언트 에이전트는, 상기 각 업무 소프트웨어로 상기 대체 인증 정보를 전달하여 상기 각 업무 소프트웨어가 상기 대체 인증 정보를 이용하여 상기 인증 관리 서버와의 관계에서 사용자 인증을 수행할 수 있도록 하고,
상기 인증 관리 서버는, 상기 대체 인증 정보를 이용한 각 업무 소프트웨어로부터의 인증 요청에 대응하여 사용자 인증을 수행하고, 인증 수행 결과를 각 업무 소프트웨어로 전달하여 각 업무 소프트웨어에서의 개별 인증이 실행될 수 있도록 할 수 있다.
일 실시예에서, 상기 인증 관리 서버는, 상기 인증 클라이언트 에이전트로 상기 사용자 지정의 업무 소프트웨어 목록에 포함된 각 업무 소프트웨어의 개별 인증 정보를 더 전달하고,
상기 인증 클라이언트 에이전트는, 수신된 각 업무 소프트웨어의 개별 인증 정보를 이용하여 각 업무 소프트웨어에 관한 개별 인증을 대행할 수 있다.
본 발명의 실시예에 의하면, 사내 윈도우즈의 도메인 계정 혹은 로컬 계정의 패스워드 입력 없이 크리덴셜 프로바이더를 통해 대체 인증 방식에 따라 사용자 인증을 하는 경우, 사용자가 패스워드를 직접 입력 및 변경(갱신)하지 않고도, 보안 규정에 충족될 수 있도록 운영체제의 패스워드 등을 자동으로 설정 및 변경(갱신)할 수 있는 효과가 있다. 또한 이에 따르면, 사용자가 주기적으로 직접 패스워드를 변경해야 하는 불편함이 없어지고 사용자의 패스워드가 외부에 노출되는 문제가 없어, 간편하고 안전한 인증 관리가 가능해지는 효과가 있다.
또한 본 발명의 실시예에 의하면, 윈도우즈 기반의 시스템에 로그온 시 크리덴셜 프로바이더에 사용하는 인증 정보로 사용자 인증이 필요한 다양한 업무 소프트웨어까지 사용자가 직접 개별 인증하지 않고 자동으로 인증하여 사용할 수 있는 효과가 있다.
도 1은 본 발명의 실시예에 따라 보안 규정에 충족될 수 있도록 운영체제의 패스워드를 자동으로 변경하는 인증 관리 방법 및 시스템의 전반적인 흐름을 도시한 도면.
도 2 및 도 3은 본 발명에 적용 가능한 일 실시예의 대체 인증 방식을 설명하기 위한 참조 도면.
도 4는 본 발명의 실시예에 따른 통합 로그온 방법 및 시스템의 전반적인 흐름을 도시한 도면.
본 발명은 다양한 변환을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 명세서 전체에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "부", "모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하나 이상의 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 조합으로 구현될 수 있음을 의미한다.
이하, 첨부된 도면들을 참조하여 본 발명의 실시예를 상세히 설명한다. 본 명세서에서는 설명의 편의 및 집중을 위해 마이크로소프트 윈도우즈(Microsoft Windows)를 운영체제(OS)로 하는 컴퓨팅 장치를 예로 들어 설명하지만, 본 발명은 이외의 다양한 운영체제에서의 사용자 인증 과정에도 적용될 수 있음은 자명하다.
일반적으로 크리덴셜 프로바이더는 해당 운영체제에서 자체 제공하는 사용자 인증 관리 프로그램 또는 프로세스(이하, 인증 관리 모듈로 통칭함)을 의미한다. 예를 들면, 마이크로소프트 윈도우즈 운영체제인 경우, 윈도우즈 운영체제에서 자체 제공하는 크리덴셜 프로바이더는 사용자 컴퓨터가 켜졌을 때 도 3의 (A)에서와 같은 사용자 계정 인증 화면(이하, 로그인 화면으로 약칭함)을 디스플레이 상에 표출한다. 이에 따라 사용자는 로그인 화면 상에서 사용자 계정 정보 및 해당 OS 계정의 패스워드 정보를 입력함으로써 사용자 인증을 수행한다(도 3의 (A)의 User Name 입력창 및 Password 입력창 참조). 물론 이때, 경우에 따라서 사용자 계정 정보는 디폴트(default) 설정되어 별도의 사용자 입력이 요구되지 않을 수 있음은 자명하다. 이때, 패스워드는 해당 OS의 보안 정책에 따라 일정 기간이 경과하면 변경하도록 요청될 수 있고, 또한 해당 OS에서 기설정된 패스워드 보안 규칙에 맞게 변경될 것이 요구된다. 이러한 이유로, 앞서 배경기술의 설명을 통해 논의된 바와 같이 패스워드 관리 상의 다양한 문제가 발생할 수 있다.
위와 달리, 커스텀 크리덴셜 프로바이더(Custom Credential Provider)는 해당 운영체제에서 자체 제공하는 인증 관리 모듈이 아닌 제3의 대체 인증 수단을 통한 사용자 인증을 지원하기 위한 프로그램 또는 프로세스를 의미한다. 이때, 제3의 대체 인증 기술로는 얼굴 인식, 지문 인식, 홍채 인식 등 소위 FIDO(Fast Identity Online) 기술이 활용될 수 있고, 후술할 도 2 및 도 3의 (B), (C) 방식 등을 포함한 다양한 인증 기술이 활용될 수도 있다. 이러한 커스텀 크리덴셜 프로바이더는 그 제3의 대체 인증 방식을 지원하기 위해 해당 사용자의 컴퓨터에 미리 설치될 수 있다. 이와 같이, 본 발명은 제3의 대체 인증 수단을 통해 해당 운영체제(또는 해당 운영체제에서의 특정 사용자 계정)에 관한 사용자 인증을 수행하는 케이스를 전제로 하여 논의되는 것이다.
그러나 기존의 커스텀 크리덴셜 프로바이더는 인증 방식만을 OS 자체 인증 방식에서 대체 인증 방식으로 대체한 것일 뿐, 해당 OS의 보안 정책 및 패스워드 보안 규칙에 따른 OS 계정 패스워드의 주기적 변경까지를 지원하지는 않는다. 따라서 본 발명의 실시예에서는 커스텀 크리덴셜 프로바이더를 통한 사용자 인증 방식을 채용함과 아울러 OS 계정 패스워드의 주기적 변경까지를 동시에 지원할 수 있는 신규의 방식을 제안한다. 이는 이하의 설명으로부터 보다 명확히 이해될 수 있을 것이다.
또한 이하 설명할 도 1, 도 2, 도 4의 인증 절차에서의 각 단계에 관한 식별번호(즉, S111, S112, S113 등)는 각 단계를 구분 설명하기 위한 것일 뿐, 절차적 순서를 정의한 것은 아님을 명확히 해둔다. 논리적으로 어느 한 단계가 실행된 이후에야 다른 단계가 실행될 수 있는 경우가 아닌 이상, 각 단계는 그 식별번호의 선후와 상관없이 병렬적으로 또는 동시에 실행될 수도 있음은 물론이다. 경우에 따라서는 그 식별번호의 선후와 다른 순서로 각 단계가 실행될 수도 있음도 자명하다. 본 발명의 핵심적 기술 특징이 충분히 반영될 수 있는 한도에서, 각 단계의 순서 또한 다양한 변형이 가능할 것이기 때문이다. 다만, 이하에서는 설명의 집중 및 편의 상, 도면에 도시된 순서에 따라 각 단계를 설명하기로 한다.
도 1은 본 발명의 실시예에 따라 보안 규정에 충족될 수 있도록 운영체제의 패스워드를 자동으로 변경하는 인증 관리 방법 및 시스템의 전반적인 흐름을 도시한 도면이다. 도 1을 참조하면, 본 발명의 일 실시예에 따른 인증 관리 방법을 수행하는 시스템은, 커스텀 크리덴셜 프로바이더(10) 및 인증 관리 서버(20)를 포함하여 구현될 수 있다. 이때, 커스텀 크리덴셜 프로바이더(10)와 인증 관리 서버(20)는 유선 통신망 또는 무선 통신망(혹은 근거리 무선 통신망)을 통해 통신 연결된다.
먼저, 사용자가 컴퓨터를 켜면, 커스텀 크리덴셜 프로바이더(10)가 실행된다. 이에 따라 커스텀 크리덴셜 프로바이더(10)는 해당 운영체제 자체의 로그인 화면이 아닌 사전 설정된 제3의 대체 인증 방식에 따른 로그인 화면을 컴퓨터의 디스플레이 화면 상에 표출할 수 있다.
상술한 바와 같이, 커스텀 크리덴셜 프로바이더(10)에 의해 제공되는 로그인 화면을 통해서 사용자는 해당 사용자의 OS 계정(이하, 이를 간략히 사용자 계정으로 명명함)에 관한 인증 정보를 입력할 수 있다[도 1의 S112 참조]. 여기서, 상기 인증 정보란 제3의 대체 인증 방식에 의할 때의 인증 정보(즉, 대체 인증 정보)를 의미한다. 이에 따라, 커스텀 크리덴셜 프로바이더(10)는 입력된 인증 정보를 인증 관리 서버(20)로 전달하여 사용자 인증을 요청할 수 있다[도 1의 S114 참조].
여기서, 인증 정보는 사용자에 의해 직접 매뉴얼로 입력될 수도 있지만, 자동 입력될 수도 있음은 물론이다. 인증 정보가 자동 입력되는 케이스를 설명하면 다음과 같다. 예를 들어, 제3의 대체 인증 방식으로서 FIDO 기술이 적용된 경우라면, 그 적용된 FIDO 기술에 따라 사전에 정의된 특정 인증 정보가 자동 입력될 수 있다. 이때, 대체 인증 방식으로서 얼굴 인식 기술이 적용된 경우, 컴퓨터에 설치된 카메라를 통해 입력되는 해당 사용자의 얼굴 인식 정보가 인증 정보로 활용될 수 있다. 다른 예로, 대체 인증 방식으로서 지문 인식 기술 또는 홍채 인식 기술이 적용된 경우, 컴퓨터에 설치되거나 컴퓨터에 유선/무선으로 통신 연결된 지문 인식기 또는 홍채 인식기를 통해 획득되는 해당 사용자의 지문 정보 또는 홍채 정보가 인증 정보로 활용될 수 있다.
상술한 바와 같이 인증 정보가 전달되면, 인증 관리 서버(20)는 전달된 인증 정보와 해당 사용자 OS 계정에 관하여 사전 등록된 인증 정보의 일치 여부에 따라 사용자 인증을 수행할 수 있다[도 1의 S116 참조].
도 1의 S112 및 S114(즉, 도 1의 사각 점선 박스의 (A) 참조)에서는 커스텀 크리덴셜 프로바이더(10)가 사용자 인증을 위한 인증 정보를 수신한 후 그 인증 정보에 기반하여 인증 관리 서버(20)로 직접 인증을 요청하는 경우를 예로 들었지만, 위 프로세스와는 상이한 프로세스로 인증 절차가 진행될 수도 있음은 물론이다. 이에 관한 다른 실시예에 대해서는 이후 도 2 및 도 3의 (B), (C)의 설명을 통해서 상세히 설명하기로 한다.
전술한 S116에서 대체 인증 정보를 통한 사용자 인증이 이루어진 이후, 인증 관리 서버(20)는 해당 사용자 계정에 관한 운영체제 상에서의 인증 절차를 마무리하기 위한 동작들을 수행한다. 앞선 단계들을 통해서 대체 인증 정보를 통한 사용자 인증은 이루어졌지만, 이는 제3의 대체 인증 수단을 통한 인증 완료일 뿐이며, 운영체제 내부적으로는 해당 사용자 계정에 대한 OS 패스워드(즉, OS 계정 인증 정보)가 다시 입력되어야만 실제 로그인(즉, 해당 사용자의 OS 계정에 관한 세션 제공)이 완료될 수 있기 때문이다. 이에 관한 절차가 도 1의 S118 ~ S128에 도시되어 있다. 이하 이에 관하여 상세히 설명한다.
도 1의 S116에서 대체 인증 정보를 통한 사용자 인증이 이루어지면, 인증 관리 서버(20)는 운영체제 계정 인증을 위한 신규의 OS 계정 패스워드를 생성하는데 이용될 패스워드 시드값을 생성하고[도 1의 S118 참조], 대체 인증을 요청한 사용자 계정 정보(본 예에서는 user name)와 패스워드 시드값을 커스텀 크리덴셜 프로바이더(10)로 전달할 수 있다[도 1의 S120 참조].
여기서, 도 1의 S118에 따른 패스워드 시드값의 생성은 OS 계정 인증이 시도될 때마다 매번 이루어질 수도 있고, 보안 정책 상 요구되는 OS 계정 패스워드의 주기적 변경(갱신) 기간의 도래 여부를 확인한 후 사전 지정된 변경 필요 시점(예를 들어, 3개월 주기의 OS 계정 패스워드 변경 기간 중 일주일이 남아 있는 시점 등)에 도달한 경우에만 이루어질 수도 있다. 다만, 기간 도래 여부의 판단 과정을 두지 않고, OS 계정 인증이 시도될 때마다 OS 계정 패스워드를 매번 변경하는 방식이 보다 간명하고 보안상 안전한 방식일 수 있다.
커스텀 크리덴셜 프로바이더(10)는 수신한 패드워드 시드값을 이용하여 사전에 지정된 알고리즘으로 신규 OS 계정 패스워드를 생성하고[도 1의 S122 참조], 기존에 등록되어 사용되던 OS 계정 패스워드를 신규 OS 계정 패스워드로 변경(갱신) 등록한 이후[도 1의 S124 참조], 그 신규 OS 계정 패스워드와 사용자 계정 정보를 이용하여 OS 계정에 관한 인증을 수행할 수 있다[도 1의 S126 참조].
이를 위해, 커스텀 크리덴셜 프로바이더(10)는 해당 운영체제에 최초 설치될 때 향후 OS 계정의 패스워드를 변경할 수 있는 관리자(Administrator) 권한으로 설치될 수 있다. 또한 실시예에 따라서, 커스텀 크리덴셜 프로바이더(10)는 해당 PC의 물리적 고유값(예를 들어, 맥어드레스, 하드디스크 고유값, CPU 고유값 등) 중 일부 또는 전부를 이용하여 PC 단말키를 생성하고 이를 PC의 저장 공간에 암호화하여 보관하여 둔 후, 향후 인증 관리 서버(20)로부터 패스워드 시드값이 전달되면 그 시드값에 PC 단말키값을 연산하여 신규의 OS 계정 패스워드를 생성할 수 있다. 또한 이때, 신규 OS 계정 패스워드는 해당 OS에서 요구하는 패스워드 보안 규칙을 만족하여야 하므로, 커스텀 크리덴셜 프로바이더(10)는 지정된 패스워드 보안 규칙을 만족할 수 있는 패스워드 생성 알고리즘을 사전에 등록하여 활용할 수 있다.
전술한 절차에 따른 인증이 성공되면, 커스텀 크리덴셜 프로바이더(10)는 해당 사용자에게 사용자 세션을 제공한다.
이상에서는 도 1의 순서도를 중심으로 본 발명의 실시예를 설명하였지만, 도 1의 순서도에 의해 정의되는 방식의 핵심 기술적 특징을 공유하면서 일부 내용에 변형이 이루어질 수도 있음은 물론이다.
일 예로, 도 1의 순서도에서는 해당 사용자의 계정 정보로서 user name을 활용하고 있지만, 이와는 다른 정보가 활용될 수도 있다. 또한, user name을 활용하는 경우에도 고정된 user name을 사용하는 것이 아니라, OS 계정 인증 시도가 있을 때 마다 user name도 매번 변경할 수도 있을 것이다. User name의 지속적 변경을 통해서 보안 수준을 높일 수 있다. 이러한 경우, 인증 관리 서버(20)에서 패스워드 시드값 뿐만 아니라 user name의 변경값(갱신값)도 함께 생성한 후, 이를 커스텀 크리덴셜 프로바이더(10)로 전달하는 방식이 이용될 수 있을 것이다.
다른 예로, 도 1의 순서도에서는 인증 관리 서버(20)에서 패스워드 시드값을 생성하고 커스텀 크리덴셜 프로바이더(10)가 그 시드값에 기반하여 신규 OS 계정 패스워드를 생성하는 방식을 제시하고 있지만, 인증 관리 서버(20)가 직접 신규 OS 계정 패스워드를 생성하여 커스텀 크리덴셜 프로바이더(10)로 전달할 수도 있을 것이다. 이에 관한 예시가 도 4의 S116, S125에 도시되어 있다.
도 2 및 도 3의 (B), (C)는 본 발명에 적용 가능한 일 실시예의 대체 인증 방식을 설명하기 위한 참조 도면이다.
도 2를 참조하면, 커스텀 크리덴셜 프로바이더(10)와 인증 관리 서버(20) 간의 인증 과정에 모바일 인증기(50)를 통한 인증 정보의 사용자 입력이 이루어짐을 확인할 수 있다. 여기서, 모바일 인증기(50)는 사용자 인증을 수행하기 위한 별도의 인증용 모바일 기기일 수도 있고, 인증 기능을 대행하는 에이전트 프로그램 또는 모바일 앱일 수도 있다. 이하, 도 2의 순서도에 따른 사용자 인증 과정에 대하여 구체적으로 설명하면 다음과 같다. 여기서, 도 2는 도 1의 사각 점선 박스의 (A) 과정을 대체할 수 있는 다른 실시예를 설명하기 위한 도면이다.
커스텀 크리덴셜 프로바이더(10)에 의한 인증 관리가 실행됨에 따라, 커스텀 크리덴셜 프로바이더(10)는 사용자 인증을 필요로 하는 해당 사용자의 계정 정보를 인증 관리 서버(20)로 전송한다. 사용자 계정 정보를 수신한 인증 관리 서버(20)는 사용자 DB(미도시)에서 그 계정 정보에 연동된 앱 푸시 ID를 조회한다. 또한 인증 관리 서버(20)는 해당 사용자 계정의 사용자 인증을 위해 쓰일 사용자 인증값을 생성할 수 있다.
이때, 사용자 인증값은 임의의 랜덤값, 난수값, OTP(one time password) 등이 사용될 수 있으며, 그 생성 방식 또한 특별한 제한이 없음은 물론이다. 또한, 경우에 따라서 해당 사용자 계정 정보에 상응하는 특정 정보를 암호 생성의 시드값으로 하여 사용자 인증값을 생성할 수도 있고, 사용자 인증값의 생성 과정에서 암호 생성 조건으로서 시간, 시도 횟수 등을 추가로 활용할 수도 있을 것이다. 이는 이후 설명할 각종 인증값들에도 동일 또는 유사하게 적용될 수 있다.
이와 같이 생성된 사용자 인증값은 커스텀 크리덴셜 프로바이더(10)로 전송된다. 이때, 인증 관리 서버(20)는 해당 사용자 인증값이 유효하게 인정될 수 있는 특정 조건을 함께 커스텀 크리덴셜 프로바이더(10)로 전송할 수도 있다. 예를 들어, 사용자 인증값으로서 OTP가 활용되는 경우, 상기 특정 조건은 그 OTP가 유효하게 인정될 수 있는 시간 제한 조건(ex. 60초)일 수 있다.
사용자 인증값과 조건을 수신한 커스텀 크리덴셜 프로바이더(10)는 컴퓨터 화면을 통해서 인증 확인용 GUI 화면을 표출할 수 있다. 이러한 인증용 GUI 화면의 일 예가 도 3의 (B)를 통해 예시되고 있다. 도 3의 (B)를 참조하면, 수신된 사용자 인증값인 OTP가 유효 시간과 함께 화면에 표출되고 있음을 확인할 수 있다. 이때, 사용자 인증값인 OTP는 표시창(70b) 안에 표출됨과 아울러 유효 시간 조건이 타임 랩스 바(Time Lapse Bar) 형태로 표시되고 있음을 확인할 수 있다. 즉, 표시창(70b)에는 사용자 인증값과 함께 유효 시간의 경과 또는 잔여 유효 시간이 시각적으로 구별 표출됨으로써, 해당 사용자 인증값의 유효 시간을 사용자가 시각적으로 확인할 수 있도록 할 수 있다.
상술한 과정과 병행하여, 인증 관리 서버(20)는 생성한 사용자 인증값을 앞서 조회한 앱 푸시 ID를 이용하여 푸시 메시지를 모바일 인증기(50)로 전달한다. 이에 따라, 모바일 인증기(50)는 구동된 인증 앱 화면을 통해서 전달받은 사용자 인증값을 확인할 수 있다. 이에 관한 예시 도면이 도 3의 (C)를 통해 도시되고 있다. 도 3의 (C)를 참조하면, 70c의 표시창을 통해서 사용자 인증값이 그 유효 시간과 함께 시각적으로 표출됨을 확인할 수 있다. 이에 따라 사용자는 컴퓨터 화면 상에 표출된 사용자 인증값과 모바일 인증기(50) 앱 화면 상에 표출된 사용자 인증값의 일치 여부를 확인할 수 있다. 만일 양자가 일치하는 경우 사용자는 70d의 수락 버튼을 선택하여 인증 정보를 입력할 수 있으며, 이에 따라 인증 동의값이 인증 관리 서버(20)로 전송될 수 있다. 이때, 인증 동의값은 전술한 사용자 인증값 그 자체일 수도 있고, 그 사용자 인증값을 통한 사용자 인증을 인증 관리 서버(20)에서 다시 검증할 수 있도록 모바일 인증기(50)에서 신규 생성한 검증값일 수도 있을 것이다.
인증 동의값이 수신된 경우, 인증 관리 서버(20)는 그에 따른 사용자 인증을 완료하고, 커스텀 크리덴셜 프로바이더(10)와의 관계에서의 후속 절차들(예를 들어, 상술한 도 1의 S118 이후의 단계들)을 실행할 수 있다.
도 4는 본 발명의 실시예에 따른 통합 로그온 방법 및 시스템의 전반적인 흐름을 도시한 도면이다. 여기서, 도 4의 S112, S114, S116, S125, S126, S128은 전술한 도 1의 S112 ~ S128에서와 근본적으로 다르지 않은 바, 이하에서는 중복되는 설명은 생략하기로 한다.
도 4의 S112 ~ S128 단계에 따라 해당 사용자의 OS 계정에 관한 인증이 완료되면, 커스텀 크리덴셜 프로바이더(10)는 해당 사용자를 위해 제공된 세션 내에서 인증 클라이언트(30)를 실행한다[도 4의 S130 참조]. 여기서, 인증 클라이언트(30)는 사용자 세션이 열린 이후에 구동되어, 업무 소프트웨어들의 통합 인증 관련 프로세스를 실행하기 위한 에이전트 프로그램을 지칭한다.
이때, 커스텀 크리덴셜 프로바이더(10)는 앞선 단계 S112에서 획득한 대체 인증 정보를 인증 클라이언트(30)에게 전달할 수 있다. 이에 따라 인증 클라이언트(30)는 커스텀 크리덴셜 프로바이더(10)로부터 전달받은 대체 인증 정보를 인증 관리 서버(20)로 다시 전달하면서 인증을 요청할 수 있다[도 4의 S132 참조]. 이때의 인증 요청은 업무 소프트웨어들의 통합 인증을 대행할 인증 클라이언트(30)가 위변조된 허위의 에이전트 프로그램이 아님을 확인(즉, 통합 인증을 대행할 권한이 있는 에이전트 프로그램임을 확인)하기 위한 과정이다.
인증 관리 서버(20)는 인증 클라이언트(30)로부터 수신된 대체 인증 정보를 이용하여 인증 클라이언트(30)를 인증하며[도 4의 S134 참조], 이에 따라 해당 대체 인증 정보를 사용하는 사용자를 확인할 수 있다.
위 과정에 따른 인증이 성공한 경우, 인증 관리 서버(20)는 해당 사용자가 통합 인증이 가능하도록 사전에 등록하여 둔 업무 소프트웨어들에 관한 목록(즉, 자동 로그인 실행될 프로그램 목록)을 인증 클리이언트(30)로 전달한다[도 4의 S136 참조].
인증 클라이언트(30)는 전달받은 프로그램 실행 목록에 따라 지정된 업무 소프트웨어들을 실행하고 앞서 전달받은 대체 인증 정보를 각 업무 소프트웨어로 전달[도 4의 S138 참조]. 이에 따라 실행된 각 업무 소프트웨어(도 4의 순서도에서는 클라이언트 프로그램(40)이 이를 대표함)는 인증 클라이언트(30)로부터 전달받은 대체 인증 정보를 인증 관리 서버(20)로 전달하여 인증을 요청한다[도 4의 S140 참조].
인증 관리 서버(20)는 각 업무 소프트웨어로부터 전달받은 대체 인증 정보에 기초하여 사용자를 인증하고[도 4의 S142 참조], 인증 성공시 해당 인증 결과를 각 업무 소프트웨어에 전달한다[도 4의 S144 참조].
이 경우, 각 업무 소프트웨어는 인증 관리 서버(20)로부터 인증 결과를 전달 받을 때 각 업무 소프트웨어에서 실제 사용할 개별 인증 정보(예를 들어, 각 업무 소프트웨어 별로 개별적으로 설정되어 있는 ID/PASSWORD 등)를 전달받아 인증을 처리하거나, 인증 관리 서버(20)로부터는 인증 성공 여부만을 전달받고 등록해둔 개별 인증 정보를 이용하여 직접 인증을 처리할 수도 있다.
상술한 도 4의 S134 및 S142 과정의 수행을 위해, 인증 관리 서버(20)는 인증 클라이언트(30)와 업무 소프트웨어의 추가 인증을 위해 필요한 시간 또는 설정된 시간 동안, 커스텀 크리덴셜 프로바이더(10)로부터 최초 전달된 대체 인증 정보를 저장해둘 수 있다. 또한 구현 방식에 따라서 사용자 인증에 사용되는 값(즉, 대체 인증 정보)이 소정 유효 시간을 갖는 OTP인 경우, 인증 관리 서버(20)에서는 해당 OTP가 여러 윈도우 클라이언트 프로그램(40)에서 사용되더라도 시간이 넘지 않도록 해당 OTP의 유효 시간을 늘려서 설정할 수 있다.
또한 구현 방식에 따라서, 운영체제 사용자 인증 이후, 인증 클라이언트(30)가 인증 관리 서버(20)로부터 개별 업무 프로그램마다의 별도의 아이디와 패스워드 목록을 내려 받아서 해당 프로그램을 자동으로 호출할 수 도 있음은 자명하다.
또한 구현 방식에 따라서 클라이언트 프로그램(40)이 웹브라우져에 의한 사용자 인증을 포함하는 경우 "iexplorer Http://www.sample.com?id=id&password=1234"등으로 프로그램 호출과 함께 사용자 인증 정보를 탑재한 특정 URL을 동시에 호출할 수 있다.
또한 구현방식에 따라서 클라이언트 프로그램(40)이 Win32에 의한 일반 윈도우 프로그램인 경우 "command id/passowrd" 등으로 해당 프로그램을 호출할 때 동시에 아이디와 암호를 함께 전달하여 구동을 개시할 수 있음도 자명하다.
상술한 바에 따르면, 윈도우즈 기반의 시스템에 로그온 시 크리덴셜 프로바이더에 사용하는 대체 인증 정보를 그대로 이용하여 사용자 인증이 필요한 다양한 업무 소프트웨어까지 사용자가 직접 개별 인증하지 않고 자동으로 인증하여 사용할 수 있는 효과가 있다.
상술한 본 발명의 실시예에 따른 인증 관리 방법은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로서 구현되는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체로는 컴퓨터 시스템에 의하여 해독될 수 있는 데이터가 저장된 모든 종류의 기록 매체를 포함한다. 예를 들어, ROM(Read Only Memory), RAM(Random Access Memory), 자기 테이프, 자기 디스크, 플래쉬 메모리, 광 데이터 저장장치 등이 있을 수 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 통신망으로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 읽을 수 있는 코드로서 저장되고 실행될 수 있다.
이상에서는 본 발명의 실시예를 참조하여 설명하였지만, 해당 기술 분야에서 통상의 지식을 가진 자라면 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 쉽게 이해할 수 있을 것이다.

Claims (11)

  1. 인증 관리 시스템으로서,
    컴퓨팅 장치의 운영체제에서 자체 지원하는 OS 계정 인증 방식을 대체하는 대체 인증 방식을 통한 OS 계정 인증을 지원하기 위해 상기 컴퓨팅 장치에 설치되는 커스텀 크리덴셜 프로바이더(custom credential provider); 및
    상기 커스텀 크리덴셜 프로바이더와 통신망을 통해 통신 연결되며, 상기 대체 인증 방식에서 사용되는 대체 인증 정보에 기반한 OS 계정 인증이 시도되는 경우, 상기 대체 인증 정보를 이용하여 상기 OS 계정 인증을 시도한 사용자에 관한 사용자 인증을 수행하고, 상기 사용자 인증이 성공된 경우 상기 운영체제에서 자체 지원하는 OS 계정 인증 방식에 따른 OS 계정 인증을 수행하는데 필요한 계정 인증 정보 또는 상기 계정 인증 정보의 생성에 기초가 되는 시드값을 상기 커스텀 크리덴셜 프로바이더로 전달하는, 인증 관리 서버
    를 포함하는 인증 관리 시스템.
  2. 제1항에 있어서,
    상기 인증 관리 서버는,
    상기 OS 계정 인증이 시도될 때마다 상기 계정 인증 정보 또는 상기 시드값을 신규 생성하거나, 상기 운영체제의 보안 정책에 따른 계정 인증 정보의 주기적 변경 기간의 도래 여부에 따라 사전 지정된 변경 필요 시점에 도달한 경우에만 상기 계정 인증 정보 또는 상기 시드값을 신규 생성하는, 인증 관리 시스템.
  3. 제1항에 있어서,
    상기 커스텀 크리덴셜 프로바이더는,
    상기 인증 관리 서버로부터 상기 계정 인증 정보를 직접 수신한 경우, 수신된 계정 인증 정보를 이용하여 상기 운영체제에서 자체 제공하는 OS 계정 인증 방식에 따른 인증을 수행하고, OS 계정 인증이 성공됨에 따라 OS 계정 인증을 시도한 해당 사용자에게 사용자 세션을 제공하는, 인증 관리 시스템.
  4. 제1항에 있어서,
    상기 커스텀 크리덴셜 프로바이더는,
    상기 인증 관리 서버로부터 상기 시드값을 수신한 경우, 수신된 시드값을 이용하여 상기 운영체제에서 요구하는 패스워드 보안 규칙을 만족하는 계정 인증 정보를 신규 생성하고, 신규 생성된 계정 인증 정보로 계정 인증 정보를 갱신한 후, 신규 생성된 계정 인증 정보를 이용하여 상기 운영체제에서 자체 제공하는 OS 계정 인증 방식에 따른 인증을 수행하며, OS 계정 인증이 성공됨에 따라 OS 계정 인증을 시도한 해당 사용자에게 사용자 세션을 제공하는, 인증 관리 시스템.
  5. 제1항에 있어서,
    상기 대체 인증 방식을 통한 인증을 수행하기 위해, 사용자의 모바일 기기에 앱(App) 형태로 설치되는 모바일 인증기를 더 포함하되,
    상기 커스텀 크리덴셜 프로바이더는, 상기 OS 계정 인증이 시도된 경우, 상기 OS 계정 인증을 시도한 사용자 계정 정보를 상기 인증 관리 서버로 전달하고,
    상기 인증 관리 서버는, 사용자 계정 정보가 수신됨에 따라, 수신된 사용자 계정 정보에 따른 사용자를 인증하기 위한 사용자 인증값을 상기 대체 인증 정보로서 생성하고, 상기 사용자 계정 정보에 연동된 상기 모바일 인증기 정보에 근거하여 상기 사용자 인증값을 해당 모바일 인증기로 전달하고, 해당 모바일 인증기로부터 인증 동의값이 수신되는 경우 수신된 인증 동의값에 근거하여 대체 인증 정보에 따른 사용자 인증을 수행하는, 인증 관리 시스템.
  6. 제5항에 있어서,
    상기 사용자 인증값으로 유효 기간을 갖는 OTP(one time password)가 이용되는 경우,
    상기 인증 관리 서버는, 상기 사용자 인증값과 해당 인증값에 대한 유효 시간 정보를 상기 커스텀 크리덴셜 프로바이더 및 상기 모바일 인증기로 전달하고,
    상기 커스텀 크리덴셜 프로바이더 및 상기 모바일 인증기는, 각각, 인증값 표시창을 통해서 상기 사용자 인증값과 상기 유효 시간이 함께 표시되도록 하는 GUI(Graphical User Interface)가 장치 화면 상에 표출되도록 하는, 인증 관리 시스템.
  7. 제6항에 있어서,
    상기 사용자 인증값은 상기 인증 표시창 내에 숫자열 또는 문자열로 표시되고, 상기 유효 시간은 상기 인증 표시창 내에서 타임 랩스 바(Time Lapse Bar) 형태로 표시되어 해당 유효 시간의 경과가 시각적으로 안내될 수 있도록 표시되는, 인증 관리 시스템.
  8. 제1항에 있어서,
    상기 컴퓨팅 장치에 설치되며, 상기 사용자 세션 내에서 구동되어 사용자 지정의 업무 소프트웨어들에 관한 통합 인증을 대행하기 위한 인증 클라이언트 에이전트를 더 포함하되,
    상기 커스텀 크리덴셜 프로바이더는, 상기 사용자 세션이 제공된 이후, 상기 대체 인증 정보를 상기 인증 클라이언트 에이전트로 전달하고,
    상기 인증 클라이언트 에이전트는, 수신한 대체 인증 정보를 이용하여 상기 인증 관리 서버로 에이전트 인증을 요청하며,
    상기 인증 관리 서버는, 에이전트 요청에 따라 수신된 대체 인증 정보를 이용하여 에이전트 인증을 수행하고, 에이전트 인증이 성공된 경우 상기 인증 클라이언트 에이전트로 상기 사용자 지정의 업무 소프트웨어 목록을 전달하는, 인증 관리 시스템.
  9. 제8항에 있어서,
    상기 인증 클라이언트 에이전트는,
    상기 인증 관리 서버로부터 업무 소프트웨어 목록을 수신함에 따라, 상기 목록에 포함된 업무 소프트웨어들을 실행하고, 각 업무 소프트웨어에 대한 개별 인증 절차가 진행될 수 있도록 처리하는, 인증 관리 시스템.
  10. 제9항에 있어서,
    상기 인증 클라이언트 에이전트는, 상기 각 업무 소프트웨어로 상기 대체 인증 정보를 전달하여 상기 각 업무 소프트웨어가 상기 대체 인증 정보를 이용하여 상기 인증 관리 서버와의 관계에서 사용자 인증을 수행할 수 있도록 하고,
    상기 인증 관리 서버는, 상기 대체 인증 정보를 이용한 각 업무 소프트웨어로부터의 인증 요청에 대응하여 사용자 인증을 수행하고, 인증 수행 결과를 각 업무 소프트웨어로 전달하여 각 업무 소프트웨어에서의 개별 인증이 실행될 수 있도록 하는, 인증 관리 시스템.
  11. 제9항에 있어서,
    상기 인증 관리 서버는, 상기 인증 클라이언트 에이전트로 상기 사용자 지정의 업무 소프트웨어 목록에 포함된 각 업무 소프트웨어의 개별 인증 정보를 더 전달하고,
    상기 인증 클라이언트 에이전트는, 수신된 각 업무 소프트웨어의 개별 인증 정보를 이용하여 각 업무 소프트웨어에 관한 개별 인증을 대행하는, 인증 관리 시스템.
KR1020190065321A 2019-06-03 2019-06-03 인증 관리 방법 및 시스템 KR20190067138A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190065321A KR20190067138A (ko) 2019-06-03 2019-06-03 인증 관리 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190065321A KR20190067138A (ko) 2019-06-03 2019-06-03 인증 관리 방법 및 시스템

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020170040559A Division KR102017057B1 (ko) 2017-02-20 2017-03-30 인증 관리 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR20190067138A true KR20190067138A (ko) 2019-06-14

Family

ID=66846636

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190065321A KR20190067138A (ko) 2019-06-03 2019-06-03 인증 관리 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR20190067138A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210065564A (ko) * 2019-11-27 2021-06-04 에스케이텔링크 주식회사 보안 모듈을 이용한 모바일 출입 인증용 크리덴셜 관리 시스템
KR20220169075A (ko) * 2021-06-18 2022-12-27 주식회사 유니온커뮤니티 컴퓨터 로그인을 이용한 개인 생체인증 기반의 싱글 사인 온 서비스 제공방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210065564A (ko) * 2019-11-27 2021-06-04 에스케이텔링크 주식회사 보안 모듈을 이용한 모바일 출입 인증용 크리덴셜 관리 시스템
KR20220169075A (ko) * 2021-06-18 2022-12-27 주식회사 유니온커뮤니티 컴퓨터 로그인을 이용한 개인 생체인증 기반의 싱글 사인 온 서비스 제공방법

Similar Documents

Publication Publication Date Title
US11321444B2 (en) Authentication management method and system
EP3266181B1 (en) Identification and/or authentication system and method
EP3451617B1 (en) Authority transfer system, control method therefor, computer program and storage medium
EP3582470B1 (en) Step-up authentication for single sign-on
US9106646B1 (en) Enhanced multi-factor authentication
KR100464755B1 (ko) 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법
US8683562B2 (en) Secure authentication using one-time passwords
JP6799142B2 (ja) 認証方法及びシステム
KR101451359B1 (ko) 사용자 계정 회복
KR20160009698A (ko) 이중 인증 시스템과 방법
KR20170056566A (ko) 네트워크 아키텍처 내에 인증 서비스를 통합하기 위한 시스템 및 방법
CN102598577A (zh) 使用云认证进行认证
US8365245B2 (en) Previous password based authentication
KR20190067138A (ko) 인증 관리 방법 및 시스템
EP2061179A1 (en) Method, system and password management server for managing user password of network device
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR102435307B1 (ko) 백신프로그램에 의한 인증을 이용한 계정 관리 방법 및 장치
KR101996317B1 (ko) 인증변수를 이용한 블록체인 기반의 사용자 인증 시스템 및 그 방법
US20210297403A1 (en) Systems and methods for authentication using authentication management server and device application
KR101545897B1 (ko) 주기적인 스마트카드 인증을 통한 서버 접근 통제 시스템
JP7200776B2 (ja) 情報処理システム及びプログラム
KR20190138953A (ko) 인증변수를 이용한 사용자 인증 시스템 및 그 방법
JP2015038691A (ja) 行動パターン認証による振込処理システムおよび方法
JP6975621B2 (ja) 情報処理装置、情報処理方法およびプログラム
JP2015109008A (ja) オンラインストレージシステム用のサーバ、ユーザ端末と、それらを使用するオンラインストレージシステム

Legal Events

Date Code Title Description
A107 Divisional application of patent