KR20150116537A - 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치 - Google Patents

가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치 Download PDF

Info

Publication number
KR20150116537A
KR20150116537A KR1020140041318A KR20140041318A KR20150116537A KR 20150116537 A KR20150116537 A KR 20150116537A KR 1020140041318 A KR1020140041318 A KR 1020140041318A KR 20140041318 A KR20140041318 A KR 20140041318A KR 20150116537 A KR20150116537 A KR 20150116537A
Authority
KR
South Korea
Prior art keywords
access
user terminal
user
login information
institutional
Prior art date
Application number
KR1020140041318A
Other languages
English (en)
Inventor
정부금
윤현식
박혜숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140041318A priority Critical patent/KR20150116537A/ko
Publication of KR20150116537A publication Critical patent/KR20150116537A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

가상 사설 클라우드 시스템에서의 사용자 인증 방법은, 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계, 접근 요청에 기초하여 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 사용자 단말에 요청하는 단계, 로그인 정보 요청에 기초하여 사용자 단말이 로그인 정보를 기관 인증 서버로 전달하는 단계 및 수신한 로그인 정보에 기초하여 기관 인증 서버가 접근증을 발급하여 사용자 단말로 전달하는 단계를 포함한다. 따라서, 가상 클라우드 시스템 내의 개별 가상 시스템마다 계정 관리를 하여야 하는 불편함 및 서로 다른 가상 시스템에 접근할 때마다 계정 정보를 입력하여야 하는 불편함을 방지할 수 있다.

Description

가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치 {METHOD FOR USER AUTHENTICATION IN VIRTUAL PRIVATE CLOUD SYSTEM AND APPARATUS FOR PROVIDING VIRTUAL PRIVATE CLOUD SERVICE}
본 발명은 사용자의 인증 방법에 관한 것으로, 보다 구체적으로는 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치에 관한 것이다.
최근 IT 기술의 발달로, 제한된 물리적 공간 내에서뿐만 아니라 외부에서도 언제 어디서나 업무 수행이 가능한 스마트 워크 환경이 구축되고 있다. 이를 위하여 기업 또는 기관의 업무 수행을 위한 IT 자원을 외부에서 사용할 수 있도록 내부에서 관리하거나 혹은 외부 서비스 제공 업체에 위탁 혹은 임대하여 컴퓨팅 서비스를 제공받게 되는데, 이를 클라우드 컴퓨팅 서비스라고 한다. 클라우드 서비스 중 불특정 일반인을 대상으로 하는 공공(public) 클라우드에 대비하여, 특정 기관 또는 기업을 대상으로 하는 특화된 서비스를 가상 사설 클라우드 서비스(Virtual Private Cloud Service)라고 한다.
이러한 가상 사설 클라우드 서비스를 안전하게 제공하기 위해서는 특정 기관의 자원에 접근이 가능한 사용자인지를 인증하는 것과, 해당 사용자가 가상 사설 클라우드 서비스 내 특정 자원을 사용할 수 있는지 여부에 대한 권한을 관리하는 것이 필수적이다.
이를 위하여, 현재는 기관 또는 기업 내의 개별 시스템마다 각각 사용자 계정과 암호를 생성하여 개별 시스템에서 관리하도록 하고 있다. 이 경우, 사용자가 다수개의 시스템에 접속하기 위해서는 각각의 시스템에 일일이 접속하여 계정과 암호를 입력해야 하므로 사용자가 여러 개의 계정과 암호를 관리해야 하는 어려움 및 복잡함이 존재한다. 그리고 개별 시스템을 이용하기 위하여 여러 번 접속해야 하는 불편함 및 가상 머신의 개수가 증가하면 일일이 입력하는 횟수가 급격히 증가하여 더욱 심한 불편함을 겪게 되는 문제점이 있다.
본 발명의 실시예는 가상 사설 클라우드 시스템 내의 복수의 시스템에 접근할 수 있는 사용자 인증 방법을 제공한다.
본 발명의 다른 실시예는 사용자가 가상 사설 클라우드 시스템 내의 복수의 시스템에 접근할 수 있도록 하는 가상 클라우드 서비스 제공 장치를 제공한다.
본 발명의 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법은, 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계, 상기 접근 요청에 기초하여, 상기 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 상기 사용자 단말에 요청하는 단계, 상기 로그인 정보 요청에 기초하여, 상기 사용자 단말이 로그인 정보를 상기 기관 인증 서버로 전달하는 단계 및 상기 수신한 로그인 정보에 기초하여 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계를 포함한다.
일 실시예에서, 상기 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계는, 상기 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 기관 시스템 서버로 전송하는 단계 및 상기 기관 시스템 서버가 수신한 상기 접근 요청을 기관 인증 서버로 전송하는 단계를 포함할 수 있다.
일 실시예에서, 상기 접근 요청에 기초하여, 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 상기 사용자 단말에 요청하는 단계는, 상기 기관 인증 서버가 로그인 화면을 기관 시스템 서버에 전송하는 단계 및 상기 기관 시스템 서버가 수신한 상기 로그인 화면을 상기 사용자 단말에 전달하는 단계를 포함할 수 있다.
일 실시예에서, 상기 로그인 정보 요청에 기초하여, 상기 사용자 단말이 로그인 정보를 상기 기관 인증 서버로 전달하는 단계는, 상기 로그인 정보 요청에 응답하여 로그인 정보를 입력받는 단계, 상기 입력받은 로그인 정보를 암호화하는 단계 및 상기 암호화된 로그인 정보를 상기 기관 시스템으로 전송하는 단계를 포함할 수 있고, 상기 기관 시스템 서버는 상기 암호화된 로그인 정보를 수신하여 상기 기관 인증 서버로 전달할 수 있다.
일 실시예에서, 상기 로그인 정보는 사용자의 이메일 계정 및 패스워드를 포함할 수 있다.
일 실시예에서, 상기 수신한 로그인 정보에 기초하여 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계는, 상기 기관 인증 서버가 상기 로그인 정보에 기초하여 상기 사용자 단말의 사용자를 인증하고, 상기 사용자의 권한을 검색하는 단계, 상기 사용자 인증 및 사용자 권한 검색 결과에 기초하여 상기 접근증을 생성하는 단계, 상기 접근증을 암호화하는 단계 및 상기 암호화된 접근증을 상기 기관 시스템 서버로 전달하는 단계를 포함할 수 있고, 상기 기관 시스템 서버는 상기 암호화된 접근증을 수신하여 상기 사용자 단말로 전달할 수 있다.
일 실시예에서, 상기 접근증은 상기 사용자 단말이 상기 가상 클라우드 시스템에 접속할 수 있는 유효 기간 정보를 포함할 수 있다.
일 실시예에서, 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계 이후에, 상기 사용자 단말이 수신한 상기 접근증에 기초하여 상기 가상 클라우드 시스템에 접근하는 단계를 더 포함할 수 있다.
본 발명의 다른 실시예에 따른 가상 사설 클라우드 서비스 제공 장치는 기관 시스템 서버 및 기관 인증 서버를 포함한다. 상기 기관 시스템 서버는 기관 내의 복수의 가상 서버를 운영하는 기관 시스템 서버로서, 사용자 단말로부터 상기 복수의 가상 서버 중 적어도 하나의 가상 서버에 대한 접근 요청을 수신한다. 상기 기관 인증 서버는 상기 기관 시스템 서버로부터 상기 접근 요청을 전달받아, 상기 복수의 가상 서버에 접근 가능하도록 하는 접근증을 생성하여 상기 사용자 단말로 전달한다.
일 실시예에서, 상기 기관 인증 서버는, (i) 상기 접근 요청에 기초하여 로그인 정보를 상기 사용자 단말에 요청하고, (ii) 상기 사용자 단말로부터 수신한 로그인 정보에 기초하여 상기 사용자 단말의 사용자를 인증하고, 상기 사용자의 권한을 검색하며, (iii) 상기 사용자 인증 및 사용자 권한 검색 결과에 기초하여 상기 접근증을 생성할 수 있다.
일 실시예에서, 상기 로그인 정보는 상기 사용자의 이메일 계정 및 패스워드를 포함할 수 있다.
일 실시예에서, 상기 접근증은 상기 기관 시스템 서버 내의 적어도 두 개의 가상 서버에 접근할 수 있는 사용자 인증 정보 및 권한 정보를 포함할 수 있다.
일 실시예에서, 상기 접근증은 상기 사용자 단말이 상기 가상 클라우드 시스템에 접속할 수 있는 유효 기간 정보를 포함할 수 있다.
본 기술에 의하면 최근에 수요가 급증하고 있는 스마트워크를 위한 환경으로 가상 사설 클라우드 서비스를 제공함에 있어서 사용자의 사내 이메일 주소를 기반으로 한 통합 인증 및 권한 부여 방법을 제공할 수 있다. 이를 통해 기업망 내부 시스템에서는 기존의 각각 개별적인 계정관리의 부담에서 벗어날 수 있으며, 개별 시스템 별로 아이디 도용의 위험에서 자유로울 수 있게 된다. 사용자 입장에서는 한번의 클릭으로 추가적인 계정/암호 입력 없이 자신의 권한에 맞는 사내 서비스를 이용할 수 있어서 간편하며, 여러 개의 아이디와 암호를 관리하지 않고 하나의 사내 이메일 계정만을 보유하면 되므로 아이디 관리가 편리한 장점이 있다.
도 1은 사용자 단말들이 가상 사설 클라우드 서비스를 제공 받는 상황을 예시하는 도면이다.
도 2는 도 1의 예에서 사용자 단말이 가상 사설 클라우드 서비스 제공 장치 내 복수의 가상 시스템에 접속하는 상황을 예시하는 도면이다.
도 3은 본 발명의 실시예에 따라 사용자 단말들이 가상 사설 클라우드 서비스 제공 장치에 접속하여 서비스를 받는 상황을 예시하는 도면이다.
도 4는 도 3의 실시예에서 사용자 단말이 기관 인증 서버로부터 발급받은 접근증에 기초하여 복수의 가상 시스템에 접속하는 상황을 예시하는 도면이다.
도 5는 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법을 나타내는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법을 보다 자세히 나타내는 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명한다. 이 때, 첨부된 도면에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 본 발명에서, 가상 사설 클라우드 시스템은 사용자에게 가상 사설 클라우드 서비스를 제공하는 조직화된 하드웨어 요소 및 소프트웨어 요소들의 집합체를 지칭하는 용어로 사용되었다. 또한 가상 사설 클라우드 서비스 제공 장치는 사용자에게 가상 사설 클라우드 서비스를 제공하는 장치이며, 가상 사설 클라우드 시스템과 가상 사설 클라우드 서비스 제공 장치는 동일한 의미로 이해될 수도 있으며, 적어도 가상 사설 클라우드 시스템이 가상 사설 클라우드 서비스 제공 장치를 포함하는 것으로 이해될 수도 있다.
도 1은 사용자 단말들이 가상 사설 클라우드 서비스를 제공 받는 상황을 예시하는 도면이다.
도 1을 참조하면, 사용자 단말들(101, 102)이 인터넷(104)을 통해 기관 시스템 서버(103)에 접속하는 상황이 도시되어 있다. 기관 시스템 서버(103)는 불특정 일반인을 대상으로 하는 서버가 아니라, 기관 내에 속하는 특정인들에게 클라우드 서비스를 제공한다. 도 1에서 기관 시스템 서버(103)는 편의상 하나인 것으로 도시되어 있으나, 서비스 규모에 따라 복수의 서버가 구비될 수 있다. 또한, 기관 시스템 서버(103)는 인터넷(104)을 통해 사용자 단말들(101, 102)에 클라우드 서비스를 제공한다. 상기 클라우드 서비스는 기관 시스템 서버(103)가 속하는 기관과 관련된 서비스일 수 있다. 또한, 상기 서비스의 종류 및 성격에 따라 기관 시스템 서버(103)는 복수의 가상 머신을 운영할 수 있다. 각각의 가상 머신은 가상 시스템으로서 사설 시스템 서버를 운영할 수 있으며, 각각의 사설 시스템 서버마다 사용자 단말(101, 102)의 접근 여부 및 권한 범위가 다를 수 있다.
사용자 단말들(101, 102)은 인터넷(104)을 통해 기관 시스템 서버(103)에 접속하는 단말들일 수 있다. 도 1에는 사용자 단말들(101, 102)이 무선 단말기인 것으로 도시되어 있으나, 유선 단말 또한 인터넷(104)을 통해 기관 시스템 서버(103)에 접속할 수 있다.
도 2는 도 1의 예에서 사용자 단말이 가상 사설 클라우드 서비스 제공 장치 내 복수의 가상 시스템에 접속하는 상황을 예시하는 도면이다.
도 2를 참조하면, 사용자 단말(101)이 기관 시스템 서버(103)에 의해 운영되는 가상 시스템들(103a, 103b, 103c)에 접근하는 상황이 도시되어 있다. 기존의 가상 사설 클라우드 서비스 제공 장치에서는, 사용자 단말(101)이 각각의 가상 시스템들(103a, 103b, 103c)에 접속하는 경우, 각 가상 시스템들(103a, 103b, 103c)에 인증정보들을 전달하여 접근 권한을 획득하도록 하고 있다. 이 경우, 각각의 가상 시스템들(103a, 103b, 103c)에 접속하기 위한 인증정보들, 예를 들어 계정 이름 및 암호가 다를 수 있다. 따라서 사용자 단말(101)이 각각의 가상 시스템들(103a, 103b, 103c)에 접속하기 위해서 여러 개의 계정 및 암호를 관리하여야 하는 불편함이 있다. 또한 복수의 가상 시스템들(103a, 103b, 103c)에 접속할 때마다 일일이 인증 정보를 입력하여야 하는 불편함 또한 존재한다.
도 3은 본 발명의 실시예에 따라 사용자 단말들이 가상 사설 클라우드 서비스 제공 장치에 접속하여 서비스를 받는 상황을 예시하는 도면이다.
도 3을 참조하면, 사용자 단말들(301, 302)이 인터넷(305)을 통해 기관 시스템 서버(303)에 접속하는 상황이 도시되어 있다. 기관 시스템 서버(303)는 불특정 일반인을 대상으로 하는 서버가 아니라, 기관 내에 속하는 특정인들에게 클라우드 서비스를 제공한다. 도 3에서 기관 시스템 서버(303)는 편의상 하나인 것으로 도시되어 있으나, 서비스 규모에 따라 복수의 서버가 구비될 수 있다. 또한, 기관 시스템 서버(303)는 인터넷(305)을 통해 사용자 단말들(301, 302)에 클라우드 서비스를 제공한다. 상기 클라우드 서비스는 기관 시스템 서버(303)가 속하는 기관과 관련된 서비스일 수 있다. 또한, 상기 서비스의 종류 및 성격에 따라 기관 시스템 서버(303)는 복수의 가상 머신을 운영할 수 있다. 또한 각각의 가상 머신은 사설 시스템 서버를 운영할 수 있으며, 각각의 사설 시스템 서버마다 사용자 단말(301, 302)의 접근 여부 및 권한 범위가 다를 수 있다.
사용자 단말들(301, 302)은 인터넷(305)을 통해 기관 시스템 서버(303)에 접속하는 단말들일 수 있다. 도 3에는 사용자 단말들(301, 302)이 무선 단말기인 것으로 도시되어 있으나, 유선 단말 또한 인터넷(305)을 통해 기관 시스템 서버(303)에 접속할 수 있다.
기관 인증 서버(304)는 사용자 단말(301, 302)의 사용자가 기관에 등록된 정당한 사용자인지 여부를 인증할 수 있다. 이를 위하여 사용자 단말들(301, 302)로부터 이메일 계정 및 암호를 전달받아 접근증을 발급할 수 있다. 상기 접근증은 오프라인에서의 방문증과 유사하며, 사용자 단말(301, 302)이 기관 시스템 서버(303)의 가상 시스템들에 접속할 수 있는 사용자인지에 관한 인증 정보와 권한 정보를 포함할 수 있다. 접근증이 발급되면, 사용자 단말(301, 302)은 발급된 접근증으로 기관 시스템 서버(303)의 가상 시스템들에 접속할 수 있다. 따라서 복수의 가상 시스템들에 접속할 때 가상 시스템들마다 일일이 계정 정보 및 암호 정보를 전송하여야 하는 불편함을 방지할 수 있다.
기관에 등록한 사용자의 이메일 계정으로 기관 시스템 서버와 인증 서버간에 사용자를 인증하며 이 사용자가 임직원인지 고객인지 출입자인지 또한 어느 부서에 어느 프로젝트에 속한 임직원인 인지에 대해 인증 서버에 등록된 정보를 서로 교환하여 권한에 맞는 접근 권한을 부여하도록 동작한다. 실시예에 따라, 상기 접근증은 각각의 사용자 단말들(301, 302)이 가상 클라우드 시스템에 접속할 수 있는 유효 기간 정보를 포함할 수 있다. 상기 유효 기간은 접근증 발급 시점으로부터 일정 시간 이후까지의 기간으로 정의될 수 있으며, 상기 유효 기간 정보에 따라 발급받은 접근증을 기초로 가상 클라우드 시스템에 접속할 수 있는 기간이 달라질 수 있다. 유효 기간이 만료되면, 새로운 접근증을 발급받기 위한 과정이 다시 반복될 수 있다.
위와 같이 본 발명에 따른 기관 시스템 서버 및 기관 인증 서버를 통한 인증을 위해, 사용자를 인증하고 권한을 부여하기 위한 프로토콜이 추가될 수 있다. 추가되는 프로토콜은 기관에 등록한 사용자의 이메일 계정으로 기관 시스템 서버와 인증 서버간에 사용자를 인증하며 이 사용자가 임직원인지 고객인지 출입자인지 또한 어느 부서에 어느 프로젝트에 속한 임직원인 인지에 대해 인증 서버에 등록된 정보를 서로 교환하여 권한에 맞는 접근 권한을 부여하도록 동작할 수 있다.
본 발명에 따른 가상 사설 클라우드 서비스 제공 장치는 기관 시스템 서버(303) 및 기관 인증 서버(304)를 포함할 수 있다. 도 3에서는 기관 시스템 서버(303) 및 기관 인증 서버(304)가 서로 독립적인 장치인 것으로 도시되어 있으나, 기관 시스템 서버(303) 및 기관 인증 서버(304)는 하나의 장치 내에서 구현될 수도 있다.
사용자 단말들(301, 302)은 해당 기관의 임직원 혹은 고객 또는 기관의 웹이나 앱 데이터베이스 등에 접근이 가능한 일부 출입자들이 될 수 있다. 기관 시스템 서버(303)는 기관의 컴퓨팅 시스템, 데이터 베이스, 웹 서버, 스마트 단말을 위한 애플리케이션 서버 등을 의미할 수 있다. 또한 기관 인증 서버(305)는 사용자 단말(301)의 사용자가 기관의 시스템에 접근이 가능한 사용자인지, 또한 접근 범위가 어디까지인지를 체크하는 기능을 수행하는 시스템으로, 기관의 이메일 서버, 포털 서버 혹은 그룹웨어 서버가 될 수 있다.
도 4는 도 3의 실시예에서 사용자 단말이 기관 인증 서버로부터 발급받은 접근증에 기초하여 복수의 가상 시스템에 접속하는 상황을 예시하는 도면이다.
도 4를 참조하면, 기관 인증 서버(304), 사용자 단말(301), 기관 시스템 서버(303)가 도시되어 있다. 기관 시스템 서버(303)는 복수의 가상 시스템들(303a, 303b, 303c)을 운영할 수 있다. 가상 시스템들(303a, 303b, 303c)은 사용자 단말(301)이 실제로 접속하여 클라우드 서비스를 받고자 하는 개별 시스템들일 수 있다.
기관 인증 서버(304)는 사용자 단말(301)에 접근증을 발급할 수 있으며, 사용자 단말(301)은 발급받은 접근증에 기초하여 기관 시스템 서버(303)의 가상 시스템들(303a, 303b, 303c)에 접근할 수 있다. 도 2에 도시된 기존의 가상 사설 클라우드 서비스 제공 장치와는 달리, 도 3에 도시된 본 발명의 실시예에 따른 가상 사설 클라우드 서비스 제공 장치에 의하면 기관 인증 서버(304)에 의해 발급된 접근증에 의해 기관 시스템 서버(303)의 가상 시스템들(303a, 303b, 303c)에 개별적으로 접근할 수 있으므로 각 가상 시스템들(303a, 303b, 303c)에 계정 정보 및 암호 정보를 반복하여 입력하여야 할 필요가 없으며, 가상 시스템들(303a, 303b, 303c)마다 다른 계정 정보 및 암호 정보를 관리하여야 하는 불편함 또한 방지할 수 있다. 또한, 접근증에 사용자 단말(301)의 각 가상 시스템들(303a, 303b, 303c)들에 대한 권한 정보 또한 포함될 수 있으므로 한 명의 사용자에 대한 가상 시스템들(303a, 303b, 303c)마다의 개별적인 권한 정보 관리가 용이하다.
도 5는 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법을 나타내는 순서도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법은, 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계(S101), 상기 접근 요청에 기초하여, 상기 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 상기 사용자 단말에 요청하는 단계(S102), 상기 로그인 정보 요청에 기초하여, 상기 사용자 단말이 로그인 정보를 상기 기관 인증 서버로 전달하는 단계(S103), 상기 수신한 로그인 정보에 기초하여 상기 기관 인증 서버가 접근증을 생성하는 단계(S104) 및 발급된 접근증을 사용자 단말로 전달하는 단계(S105)를 포함한다. 또한 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법은, 사용자 단말이 발급받은 접근증에 기초하여 가상 사설 클라우드 시스템에 접근하는 단계(S106)를 더 포함할 수 있다.
사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계(S101)에서, 사용자 단말의 접근 요청으로 사용자의 인증 과정이 시작될 수 있다. 사용자 단말이 전송하는 접근 요청의 한가지 예를 들면, 엔터프라이즈 스마트 단말에서 기관에서 제공하는 애플리케이션을 클릭한 경우가 해당될 수 있다. 이때 이메일 계정은 기관의 내부 이메일 계정일 수도 있고 내부 이메일 계정을 운영하지 않는 기관이라면 외부 포털의 이메일 계정을 사용할 수 있다. 어느 경우에도 상기 이메일 계정은 기관 내에서는 중복되지 않는 유일한 계정이어야 한다. 일 실시예에서, 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계(S101)는, 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 기관 시스템 서버로 전송하는 단계 및 상기 기관 시스템 서버가 수신한 상기 접근 요청을 기관 인증 서버로 전송하는 단계를 포함할 수 있다. 기관 시스템 서버가 별도로 사용자 계정을 보유하고 있지 않을 수 있으므로, 이 경우 기관 시스템 서버는 사용자 단말로부터 접근 요청을 수신하여 기관 인증 서버로 상기 접근 요청을 전달할 수 있다. 실시예에 따라, 기관 시스템 서버 및 기관 인증 서버는 하나의 장치로 구현될 수도 있으며, 이 경우 기관 인증 서버가 사용자 단말로부터 접근 요청을 직접 수신하여 처리할 수도 있다.
도 6은 본 발명의 일 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법을 보다 자세히 나타내는 흐름도이다.
도 6을 참조하면, 사용자 단말(601), 기관 시스템 서버(603) 및 기관 인증 서버(605)들 사이의 정보의 흐름이 도시되어 있다. 도 6에 도시된 흐름도는 본 발명의 실시예에 따른 가상 사설 클라우드 시스템에서의 사용자 인증 방법의 한 예시를 나타낸 것이며, 본 발명의 기술적 사상에 의하는 범위 내에서 도 6의 실시예는 변경 가능하다.
사용자 단말(601)은 자신의 이메일 계정으로 기관 시스템 서버에 접근 요청을 할 수 있다(단계 S201). 사용자 단말이 전송하는 접근 요청의 한가지 예를 들면, 엔터프라이즈 스마트 단말에서 기관에서 제공하는 애플리케이션을 클릭한 경우가 해당될 수 있다. 이때 이메일 계정은 기관의 내부 이메일 계정일 수도 있고 내부 이메일 계정을 운영하지 않는 기관이라면 외부 포털의 이메일 계정을 사용할 수 있다. 어느 경우에도 상기 이메일 계정은 기관 내에서는 중복되지 않는 유일한 계정이어야 한다.
기관 내에서 유일한 이메일 계정으로 서비스 요청을 받은 해당 기관 시스템 서버(603)에는 별도로 사용자 계정을 보유하고 있지 않을 수 있다. 따라서 기관 시스템 서버(603)는, 기관 인증 서버(605)로 요청을 전달할 수 있다(단계 S202).
접근 요청을 전달 받은 기관 인증 서버(605)에서는 사용자의 이메일 계정을 근거로 하여 상기 사용자가 유효한 사용자인지를 조사하기 위하여 인증 서버 로그인 화면을 기관 시스템 서버(603)로 전송한다(단계 S203). 기관 시스템 서버(603)는 수신한 인증 서버 로그인 화면을 사용자 단말(601) 측으로 전달한다(단계 S204). 사용자는 사용자 단말(601)의 화면에 나타나는 인증 서버 로그인 정보를 확인하여 이메일 계정과 패스워드를 입력할 수 있다. 사용자 단말(601)은 입력된 이메일 계정과 패스워드를 암호화하여 기관 시스템 서버(603)로 전송할 수 있다(단계 S205). 기관 시스템 서버(603)는 이를 기관 인증 서버(605)로 전달할 수 있다(단계 S206).
기관 인증 서버(605)는 수신한 이메일 계정과 패스워드에 기초하여, 사용자 단말(601)의 사용자가 유효한 사용자인지 여부를 결정한다(단계 S207). 상기 사용자가 유효한 사용자인 경우 해당 사용자의 신분 및 사내에서의 접근 권한의 범위를 체크하여 이에 부합하는 접근증을 발급하여 암호화한 후 요청한 기관 시스템 서버(603)에게로 전달할 수 있다(단계 S208). 이때 유효한 사용자가 아니라면 접근증이 발급되지 않는다. 여기서, 상기 접근증은 오프라인 상의 방문증과 유사한 기능을 수행하며, 사용자 단말(601)이 기관 시스템 서버(603) 내에서 운영되는 가상 시스템들에 접속할 수 있는 인증 정보 및 권한 정보를 포함할 수 있다. 기관 시스템 서버(605)는 전달받은 접근증을 사용자 단말(601)로 전달할 수 있다(단계 S209).
이후 단계에서, 사용자 단말(601)은 발급된 접근증을 통해 허용된 범위 내에서 기관 시스템 서버(603)의 가상 시스템들에 접속하여 가상 사설 클라우드 서비스를 이용할 수 있게 된다. 즉, 접근증의 허용 범위에 따라 기관 시스템 서버(603)가 운영하는 가상 시스템들로의 접속 여부가 결정되며, 접속되는 가상 시스템 내에서의 접근 권한도 달라질 수 있다. 상기 기관 시스템 서버(603) 내의 가상 시스템들은 각각 컴퓨팅 시스템, 데이터베이스, 애플리케이션 서비스, 웹 서비스 등의 클라우드 서비스를 제공할 수 있다. 따라서, 접근증의 허용 범위에 따라 상기 클라우드 서비스들 각각에 대해 개별적인 읽기 및 쓰기 권한이 부여될 수 있다.
이상의 동작 절차에 의해서 가상 사설 클라우드 내에서 사설 시스템 서버들은 각각 별도로 계정 관리를 하지 않고 기관의 인증 서버를 통해서 통합적으로 일관성있게 계정을 관리 및 제어 할 수 있는 것이 가능하다.
이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터를 이용하거나 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터를 이용하거나 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실행 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이 때, 본 실시예에서 사용되는 '~부'라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '~부'는 어떤 역할들을 수행한다. 그렇지만 '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.
본 명세서와 도면에 개시된 본 발명의 실시예들은 본 발명의 기술 내용을 쉽게 설명하고 본 발명의 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시예들 이외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 자명한 것이다.
101, 102: 사용자 단말 103: 기관 시스템 서버
104: 인터넷 103a, 103b, 103c: 가상 시스템
301, 302: 사용자 단말 303: 기관 시스템 서버
304: 기관 인증 서버 305: 인터넷
303a, 303b, 303c: 가상 시스템

Claims (13)

  1. 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계;
    상기 접근 요청에 기초하여, 상기 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 상기 사용자 단말에 요청하는 단계;
    상기 로그인 정보 요청에 기초하여, 상기 사용자 단말이 로그인 정보를 상기 기관 인증 서버로 전달하는 단계; 및
    상기 수신한 로그인 정보에 기초하여 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계를 포함하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  2. 제 1 항에 있어서, 상기 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 전송하는 단계는:
    상기 사용자 단말이 가상 클라우드 시스템에 대한 접근 요청을 기관 시스템 서버로 전송하는 단계; 및
    상기 기관 시스템 서버가 수신한 상기 접근 요청을 기관 인증 서버로 전송하는 단계를 포함하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  3. 제 1 항에 있어서,
    상기 3항에 있어서, 상기 접근 요청에 기초하여, 기관 인증 서버가 이메일 계정을 포함하는 로그인 정보를 상기 사용자 단말에 요청하는 단계는:
    상기 기관 인증 서버가 로그인 화면을 기관 시스템 서버에 전송하는 단계; 및
    상기 기관 시스템 서버가 수신한 상기 로그인 화면을 상기 사용자 단말에 전달하는 단계를 포함하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  4. 제 1 항에 있어서, 상기 로그인 정보 요청에 기초하여, 상기 사용자 단말이 로그인 정보를 상기 기관 인증 서버로 전달하는 단계는:
    상기 로그인 정보 요청에 응답하여 로그인 정보를 입력받는 단계;
    상기 입력받은 로그인 정보를 암호화하는 단계; 및
    상기 암호화된 로그인 정보를 상기 기관 시스템으로 전송하는 단계를 포함하고,
    상기 기관 시스템 서버는 상기 암호화된 로그인 정보를 수신하여 상기 기관 인증 서버로 전달하는 것을 특징으로 하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  5. 제 1 항에 있어서,
    상기 로그인 정보는 사용자의 이메일 계정 및 패스워드를 포함하는 것을 특징으로 하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  6. 제 1 항에 있어서,
    상기 수신한 로그인 정보에 기초하여 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계는:
    상기 기관 인증 서버가 상기 로그인 정보에 기초하여 상기 사용자 단말의 사용자를 인증하고, 상기 사용자의 권한을 검색하는 단계;
    상기 사용자 인증 및 사용자 권한 검색 결과에 기초하여 상기 접근증을 생성하는 단계;
    상기 접근증을 암호화하는 단계; 및
    상기 암호화된 접근증을 상기 기관 시스템 서버로 전달하는 단계를 포함하고,
    상기 기관 시스템 서버는 상기 암호화된 접근증을 수신하여 상기 사용자 단말로 전달하는 것을 특징으로 하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  7. 제 1 항에 있어서,
    상기 접근증은 상기 사용자 단말이 상기 가상 클라우드 시스템에 접속할 수 있는 유효 기간 정보를 포함하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  8. 제 1 항에 있어서, 상기 기관 인증 서버가 접근증을 발급하여 상기 사용자 단말로 전달하는 단계 이후에,
    상기 사용자 단말이 수신한 상기 접근증에 기초하여 상기 가상 클라우드 시스템에 접근하는 단계를 더 포함하는, 가상 사설 클라우드 시스템에서의 사용자 인증 방법.
  9. 기관 내의 복수의 가상 서버를 운영하는 기관 시스템 서버로서, 사용자 단말로부터 상기 복수의 가상 서버 중 적어도 하나의 가상 서버에 대한 접근 요청을 수신하는 기관 시스템 서버; 및
    상기 기관 시스템 서버로부터 상기 접근 요청을 전달받아, 상기 복수의 가상 서버에 접근 가능하도록 하는 접근증을 생성하여 상기 사용자 단말로 전달하는 기관 인증 서버를 포함하는, 가상 사설 클라우드 서비스 제공 장치.
  10. 제 9 항에 있어서, 상기 기관 인증 서버는,
    (i) 상기 접근 요청에 기초하여 로그인 정보를 상기 사용자 단말에 요청하고,
    (ii) 상기 사용자 단말로부터 수신한 로그인 정보에 기초하여 상기 사용자 단말의 사용자를 인증하고, 상기 사용자의 권한을 검색하며,
    (iii) 상기 사용자 인증 및 사용자 권한 검색 결과에 기초하여 상기 접근증을 생성하는 것을 특징으로 하는, 가상 사설 클라우드 서비스 제공 장치.
  11. 제 10 항에 있어서, 상기 로그인 정보는 상기 사용자의 이메일 계정 및 패스워드를 포함하는 것을 특징으로 하는, 가상 사설 클라우드 서비스 제공 장치.
  12. 제 9 항에 있어서, 상기 접근증은 상기 기관 시스템 서버 내의 적어도 두 개의 가상 서버에 접근할 수 있는 사용자 인증 정보 및 권한 정보를 포함하는 것을 특징으로 하는, 가상 사설 클라우드 서비스 제공 장치.
  13. 제 9 항에 있어서, 상기 접근증은 상기 사용자 단말이 상기 가상 클라우드 시스템에 접속할 수 있는 유효 기간 정보를 포함하는, 가상 사설 클라우드 서비스 제공 장치.
KR1020140041318A 2014-04-07 2014-04-07 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치 KR20150116537A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140041318A KR20150116537A (ko) 2014-04-07 2014-04-07 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140041318A KR20150116537A (ko) 2014-04-07 2014-04-07 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치

Publications (1)

Publication Number Publication Date
KR20150116537A true KR20150116537A (ko) 2015-10-16

Family

ID=54365542

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140041318A KR20150116537A (ko) 2014-04-07 2014-04-07 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치

Country Status (1)

Country Link
KR (1) KR20150116537A (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721306A (zh) * 2016-02-04 2016-06-29 杭州数梦工场科技有限公司 一种配置信息的传输方法和装置
KR20180062782A (ko) * 2016-12-01 2018-06-11 (주)엔키아 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템
KR20230019548A (ko) * 2021-08-02 2023-02-09 주식회사 에즈웰 클라우드 기반의 가상 컴퓨팅 작업 환경을 제공하는 클라우드 서비스를 운영하기 위한 클라우드 서비스 운영 서버
KR20230032615A (ko) * 2021-08-31 2023-03-07 주식회사 에즈웰 사설 클라우드 서버에 저장된 데이터에 대한 액세스를 가능하게 하는 클라우드 기반의 가상 컴퓨팅 작업 환경 제공 서비스를 운영하기 위한 서비스 운영 서버

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105721306A (zh) * 2016-02-04 2016-06-29 杭州数梦工场科技有限公司 一种配置信息的传输方法和装置
CN105721306B (zh) * 2016-02-04 2019-03-15 杭州数梦工场科技有限公司 一种配置信息的传输方法和装置
KR20180062782A (ko) * 2016-12-01 2018-06-11 (주)엔키아 클라우드 서비스 사용자를 위한 보안 인증 방법 및 보안 인증 시스템
KR20230019548A (ko) * 2021-08-02 2023-02-09 주식회사 에즈웰 클라우드 기반의 가상 컴퓨팅 작업 환경을 제공하는 클라우드 서비스를 운영하기 위한 클라우드 서비스 운영 서버
KR20230032615A (ko) * 2021-08-31 2023-03-07 주식회사 에즈웰 사설 클라우드 서버에 저장된 데이터에 대한 액세스를 가능하게 하는 클라우드 기반의 가상 컴퓨팅 작업 환경 제공 서비스를 운영하기 위한 서비스 운영 서버

Similar Documents

Publication Publication Date Title
US11606352B2 (en) Time-based one time password (TOTP) for network authentication
US20240119164A1 (en) Device and methods for management and access of distributed data sources
US20230091605A1 (en) Accessing an internet of things device using blockchain metadata
US20190158275A1 (en) Digital containers for smart contracts
US9094212B2 (en) Multi-server authentication token data exchange
KR20210091677A (ko) 디지털 신원 인증 방법, 장치, 기기 및 저장 매체
US9166781B2 (en) Key change management apparatus and key change management method
TW201740285A (zh) 多網站間的自動登錄方法及裝置
EP2702744B1 (en) Method for securely creating a new user identity within an existing cloud account in a cloud system
CN105659558A (zh) 具有单一、灵活、可插拔OAuth服务器的多个资源服务器和OAuth保护的RESTful OAuth同意管理服务,以及对OAuth服务的移动应用单点登录
US20190238319A1 (en) Rights management of content
US20140189346A1 (en) License server manager
Hojabri Innovation in cloud computing: Implementation of Kerberos version5in cloud computing in order to enhance the security issues
KR20150116537A (ko) 가상 사설 클라우드 시스템에서의 사용자 인증 방법 및 가상 사설 클라우드 서비스 제공 장치
WO2022262322A1 (zh) 认证方法、装置、***、电子设备及存储介质
JP2019097148A (ja) 認証方法、認証装置、コンピュータプログラム及びシステムの製造方法
KR20220038109A (ko) 동의 아키텍처용 인증자 앱
JP2023539168A (ja) 自己認証識別子及びそのためのアプリケーション
WO2021260495A1 (en) Secure management of a robotic process automation environment
JP6712707B2 (ja) 複数のサービスシステムを制御するサーバシステム及び方法
CN107547570B (zh) 一种数据安全服务平台和数据安全传输方法
JP2018084979A (ja) 認可サーバ及びリソース提供システム
US20150207787A1 (en) Techniques for secure data transactions
US11562060B2 (en) Secure private portable vault container
US11943215B1 (en) Object authentication

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination