KR20160123069A - 단말의 통합 인증 방법 및 그 장치 - Google Patents

단말의 통합 인증 방법 및 그 장치 Download PDF

Info

Publication number
KR20160123069A
KR20160123069A KR1020150053126A KR20150053126A KR20160123069A KR 20160123069 A KR20160123069 A KR 20160123069A KR 1020150053126 A KR1020150053126 A KR 1020150053126A KR 20150053126 A KR20150053126 A KR 20150053126A KR 20160123069 A KR20160123069 A KR 20160123069A
Authority
KR
South Korea
Prior art keywords
service
authentication
terminal
server
information
Prior art date
Application number
KR1020150053126A
Other languages
English (en)
Inventor
윤호선
박평구
류호용
신영수
홍성백
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150053126A priority Critical patent/KR20160123069A/ko
Publication of KR20160123069A publication Critical patent/KR20160123069A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 발명은 단말의 서비스 이용을 위한 통합 인증 방법 및 그 장치에 관한 것으로, 특히 네트워크 인증, 사용자 인증 및 서비스 인증을 통합하여 용이하게 수행할 수 있도록 하는 통합 인증 방법 및 그 장치에 관한 것이다.
이에 따른 본 발명은, 단말과 네트워크 인증 및 사용자 인증을 수행하는 단계, 상기 네트워크 인증 및 상기 사용자 인증이 성공하면, 상기 단말로 적어도 하나의 서비스에 대한 서비스 정보를 포함하는 접근 가능 서비스 목록을 전송하는 단계 및 상기 단말로부터 임의의 서비스에 대한 요청이 수신되면, 상기 단말로 상기 임의의 서비스에 대한 인증 키를 전송하고, 서비스 인증 서버로 상기 임의의 서비스에 대한 서비스 인증 정보를 전송하는 단계를 포함하되, 상기 적어도 하나의 서비스에 대한 서비스 정보, 상기 인증 키 및 상기 서비스 인증 정보는, 상기 단말 및 상기 서비스 인증 서버가 상기 임의의 서비스에 대한 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 방법 및 그 장치에 관한 것이다.

Description

단말의 통합 인증 방법 및 그 장치{Unification Authentication Control Method for Terminal and Apparatus thereof}
본 발명은 단말의 통합 인증 방법 및 그 장치에 관한 것으로, 특히 네트워크 인증, 사용자 인증 및 서비스 인증을 통합하여 용이하게 수행할 수 있도록 하는 통합 인증 방법 및 그 장치에 관한 것이다.
일반적으로 특정 서비스 접속 및 사용을 위한 과정에서 필요로 하는 인증의 종류는 네트워크 접속 인증, 사용자 인증, 그리고 서비스 인증 등이 있다. 네트워크 접속 인증은 단말이 네트워크에 접속할 권한이 있는지 여부를 확인하기 위한 인증 절차로써 네트워크 접속 인증이 완료된 후에 단말은 주소를 획득할 수 있다. 사용자 인증은 특정 사용자의 진위 여부를 확인하기 위한 인증 절차이며, 서비스 인증은 해당 사용자가 서비스를 이용할 권한이 있는지 여부를 확인하기 위한 인증 절차이다.
현재 대부분의 서비스는 네트워크 접속 인증 및 사용자 인증을 수행한 후에 서비스 인증을 별도로 진행한다. 따라서, 서비스 이용을 위해서는 네트워크 접속 인증 및 사용자 인증을 위해 ID 및 패스워드 입력과 같은 사용자 개입 이외에, 서비스 인증을 위한 별도의 사용자 개입이 요구된다. 또한, 서비스 인증은 사용자가 이용하는 서비스마다 개별적으로 진행되기 때문에, 사용자는 번거로운 작업을 수행해야 한다. 뿐만 아니라, 사용자는 서비스 인증을 위해서 패스워드를 주기적으로 변경하거나 체계적으로 관리해야 하고, 서비스 서버도 개별적으로 사용자 정보와 패스워드 정보를 별도로 관리해야만 하는 등, 현재의 서비스 인증에 따르면 관리 부담이 증가하게 된다.
본 발명은 상기한 문제점을 해결하기 위한 것으로, 한 번의 인증을 통해서 네트워크 접속 인증, 사용자 인증 및 서비스 인증을 동시에 수행할 수 있는 단말의 통합 인증 방법 및 그 장치에 관한 것이다.
상술한 과제를 해결하기 위한 본 발명에 따른 단말의 통합 인증 방법은, 단말과 네트워크 인증 및 사용자 인증을 수행하는 단계, 상기 네트워크 인증 및 상기 사용자 인증이 성공하면, 상기 단말로 적어도 하나의 서비스에 대한 서비스 정보를 포함하는 접근 가능 서비스 목록을 전송하는 단계 및 상기 단말로부터 임의의 서비스에 대한 요청이 수신되면, 상기 단말로 상기 임의의 서비스에 대한 인증 키를 전송하고, 서비스 인증 서버로 상기 임의의 서비스에 대한 서비스 인증 정보를 전송하는 단계를 포함하되, 상기 적어도 하나의 서비스에 대한 서비스 정보, 상기 인증 키 및 상기 서비스 인증 정보는, 상기 단말 및 상기 서비스 인증 서버가 상기 임의의 서비스에 대한 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 한다.
또한, 본 발명에 따른 단말의 통합 인증 장치는, 단말 및 서비스 인증 서버와 통신을 수행하는 통신부 및 상기 단말과 네트워크 인증 및 사용자 인증을 수행하고, 상기 네트워크 인증 및 상기 사용자 인증이 성공하면, 상기 단말로 적어도 하나의 서비스에 대한 서비스 정보를 포함하는 접근 가능 서비스 목록을 전송하고, 상기 단말로부터 임의의 서비스에 대한 요청이 수신되면, 상기 단말로 상기 임의의 서비스에 대한 인증 키를 전송하고, 서비스 인증 서버로 상기 임의의 서비스에 대한 서비스 인증 정보를 전송하도록 제어하는 제어부를 포함하되, 상기 적어도 하나의 서비스에 대한 서비스 정보, 상기 인증 키 및 상기 서비스 인증 정보는, 상기 단말 및 상기 서비스 인증 서버가 상기 임의의 서비스에 대한 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 한다.
또한, 본 발명에 따른 단말의 통합 인증 방법은, 통합 인증 제어 서버로부터 임의의 단말이 요청한 임의의 서비스에 대한 서비스 인증 정보를 수신하는 단계, 상기 단말로부터 패킷이 수신되면, 상기 패킷에 포함된 정보 및 상기 서비스 인증 정보를 이용하여 서비스 인증을 수행하는 단계 및 상기 서비스 인증이 성공하면, 상기 임의의 서비스를 제공하는 서비스 서버로 상기 패킷에 포함된 사용자 데이터를 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 단말의 통합 인증 장치는, 통합 인증 제어 서버, 단말 및 서비스를 제공하는 서비스 서버와 통신을 수행하는 통신부 및 상기 통합 인증 제어 서버로부터 상기 단말이 요청한 임의의 서비스에 대한 서비스 인증 정보를 수신하고, 상기 단말로부터 패킷이 수신되면, 상기 패킷에 포함된 정보 및 상기 서비스 인증 정보를 이용하여 서비스 인증을 수행하고, 상기 서비스 인증이 성공하면, 상기 임의의 서비스를 제공하는 서비스 서버로 상기 패킷에 포함된 사용자 데이터를 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 한다.
본 발명에 따른 단말의 통합 인증 방법 및 그 장치는, 한 번의 통합 인증 절차를 통해서 네트워크 접속 인증, 사용자 인증 및 서비스 인증을 수행함으로써 사용자 편의를 증대시키고, 사용자 정보를 통합 관리함으로써 서비스 서버의 스토리지 자원 및 사용자 관리에 따른 비용을 감소시키도록 한다.
또한, 본 발명에 따른 단말의 통합 인증 방법 및 그 장치는 콘텐츠 자체를 이용해 서비스 인증을 수행하고 IPSec 과의 연동을 통해 서비스 인증의 안전성을 향상시킬 수 있도록 한다.
도 1은 본 발명에 따른 네트워크의 구조를 나타낸 도면이다.
도 2는 본 발명에 따른 단말의 물리적 구조를 나타낸 도면이다.
도 3은 본 발명에 따른 단말의 논리적 구조를 나타낸 도면이다.
도 4는 본 발명에 따른 통합 인증 제어 서버의 물리적 구조를 나타낸 도면이다.
도 5는 본 발명에 따른 통합 인증 제어 서버의 논리적 구조를 나타낸 도면이다.
도 6은 본 발명에 따른 서비스 인증 시스템의 물리적 구조를 나타낸 도면이다.
도 7은 본 발명에 따른 서비스 인증 시스템의 논리적 구조를 나타낸 도면이다.
도 8은 본 발명에 따른 통합 인증 방법을 나타낸 흐름도이다.
도 9는 본 발명에 따른 통합 인증 방법에 있어서, 단말의 구체적인 동작을 나타낸 도면이다.
도 10은 본 발명에 따른 통합 인증 방법에 있어서, 통합 인증 제어 서버 및 서비스 인증 시스템의 구체적인 동작을 나타낸 도면이다.
도 11은 본 발명에 따른 통합 인증 방법에 있어서, 패킷 처리 방법을 구체적으로 나타낸 도면이다.
본 명세서의 실시 예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 명세서의 요지를 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략될 수 있다.
본 명세서에서 어떤 구성 요소가 다른 구성 요소에 “연결되어 있다.”거나 “접속되어 있다.”라고 언급된 때에는, 해당 구성 요소가 다른 구성 요소에 직접적으로 연결되어 있거나 또는 접속되어 있는 경우뿐만 아니라, 해당 구성 요소와 다른 구성 요소의 사이에 다른 구성 요소가 존재하는 경우도 포함하는 것으로 이해되어야 할 것이다.
본 명세서에서 사용되는 "포함한다," "포함할 수 있다." 등의 표현은 개시된 해당 기능, 동작, 구성요소 등의 존재를 가리키며, 추가적인 하나 이상의 기능, 동작, 구성요소 등을 제한하지 않는다. 또한, 본 명세서에서, "포함하다." 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.  
본 명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.
이하, 첨부된 도면을 참조하여 본 발명을 설명한다.
도 1은 본 발명에 따른 네트워크의 구조를 나타낸 도면이다.
도 1을 참조하면, 본 발명에 따른 네트워크(100)는 통합 인증 제어 서버(Unification Authentication Control Server; UACS)(101), 단말(102), 서비스 인증 시스템(Service Authentication System; SAS)(103) 및 서비스 서버(104)를 포함하여 구성된다.
통합 인증 제어 서버(101)는 네트워크 연결 인증, 사용자 인증 및 서비스 인증을 동시에 수행하는 통합 인증을 제어한다. 이를 위하여 통합 인증 제어 서버(101)는 사용자 인증을 위한 사용자 정보, 각각의 사용자에 대하여 접근 가능한 서비스 목록에 관한 정보 및 서비스 정보 등을 저장하고 관리할 수 있다. 서비스 정보는 각각의 서비스에 대하여, 서비스 요청 시 임의의 값으로 생성되는 서비스 ID(App ID), 서비스 서버 주소(IP 주소), 서비스 인증을 위한 인증 키 등을 포함한다.
단말(102)은 사용자 장치로 휴대폰, 셀룰러폰, 스마트 폰(smart phone), PDA(Personal Digital Assistants), PMP(Portable Multimedia Player), 태블릿, 데스크탑 PC, 노트북, 스마트 워치(smart watch) 등 유무선 데이터 통신을 수행하는 모든 전자 기기를 포함할 수 있다. 단말(102)은 통합 인증 제어 서버(101) 및 서비스 인증 시스템(103)과 인증 절차를 수행함으로써 사용자 인증 및 서비스 인증을 포함하는 통합 인증을 수행한다. 이를 위하여 단말(102)은 통합 인증을 위한 에이전트(Agent) 및 터널 제어 모듈을 포함할 수 있다.
서비스 인증 시스템(103)은 통합 인증 제어 서버(101) 및 단말(102)과 서비스 인증 절차를 수행한다. 이를 위하여, 서비스 인증 시스템(103)은 서비스 인증 모듈 및 터널 제어 모듈을 포함할 수 있다. 서비스 인증 시스템(103)은 서비스 인증 시스템(103)은 임의의 장치, 서버 등일 수 있다.
서비스 서버(104)는 서비스 인증이 완료된 단말(102)에 대하여 해당서비스를 제공한다. 서비스 서버(104)는 서비스 인증 시스템(103)과 단말(102)을 위한 데이터를 송수신함으로써, 단말(102)로 서비스가 제공되도록 한다.
도 2는 본 발명에 따른 단말의 물리적 구조를 나타낸 도면이다.
도 2를 참조하면, 본 발명에 따른 단말(102)은 통신부(201), 제어부(202), 인터페이스부(203) 및 저장부(204)를 포함하여 구성된다.
통신부(201)는 다른 장치들과 유/무선 통신을 수행한다. 본 발명의 다양한 실시 예에서, 통신부(201)는 통합 인증 제어 서버(101) 및 서비스 인증 시스템(103)과 사용자 인증 및 서비스 인증을 위한 데이터 통신을 수행한다. 통신부(201)는 통합 인증 제어 서버(101) 및 서비스 인증 시스템(103)과 기 설정된 터널을 통하여 데이터 통신을 수행할 수 있다.
제어부(202)는 본 발명에 따른 통합 인증 동작을 위해, 단말(102)의 각 구성 요소를 제어한다. 제어부(202)는 통합 인증 제어 서버(101)와 사용자 인증 정보를 송수신함으로써, 사용자 인증을 수행하도록 제어한다. 제어부(202)는 통합 인증 제어 서버(101)와 사용자 인증을 수행하여 단말 IP 주소를 획득하고, 통합 인증 제어 서버(101)로부터 단말(102)이 접근 가능한 서비스 목록 및 각 서비스에 대한 인증 키를 수신하도록 제어한다. 또한, 제어부(202)는 서비스에 대한 서비스 인증 정보를 생성하고, 통합 인증 제어 서버(101)로부터 수신된 인증 키 및 서비스 인증 정보를 이용하여, 서비스 인증 시스템(103)과 서비스 인증 및 서비스 이용을 위한 데이터 송수신을 수행하도록 제어한다.
제어부(202)의 구체적인 동작에 관하여는 이하에서 보다 상세하게 설명한다.
인터페이스부(203)는 사용자 인증에 있어서, 사용자 개입을 위한 인터페이스를 제공한다. 인터페이스부(203)는 사용자로부터 인증 정보를 입력받기 위한 입력 창을 출력하거나, 사용자로부터 입력되는 인증 정보를 감지하여 제어부(202)로 전달한다. 또한, 인터페이스부(203)는 사용자로부터 서비스 이용 요청 또는 서비스 이용을 위한 서비스 인증 요청을 수신하거나, 단말(102)이 접근 가능한 서비스 목록을 출력한다. 이를 위하여 인터페이스부(203)는 적어도 하나의 디스플레이, 터치 스크린, 입력 패드, 입력 버튼, 음성 입/출력부 등을 포함하여 구성될 수 있다.
저장부(204)는 본 발명의 실시 예에 따른 동작을 수행하기 위해 필요한 적어도 하나의 프로그램, 데이터 등을 저장할 수 있다. 본 발명의 다양한 실시 예에서, 저장부(204)는 사용자 인증 정보, 접근 가능 서비스 목록, 서비스 정보, 서비스 인증 정보 등을 저장할 수 있다.
도 3은 본 발명에 따른 단말의 논리적 구조를 나타낸 도면이다.
도 3을 참조하면, 단말(102)은 통합 인증 에이전트(Unification Authentication Agent; UAA)(301), 서비스 인증 에이전트(Service Authentication Agent; SAA)(306)를 포함하여 구성될 수 있다.
통합 인증 에이전트(301)는 통합 인증 제어 서버(101)와의 사용자 인증을 위한 제어를 수행한다. 사용자 요청에 따라 통합 인증 에이전트(301)가 구동되면, 통합 인증 에이전트(301)는 사용자 인증정보를 입력받기 위한 입력 창을 표시할 수 있다. 입력 창을 통해 사용자 인증 정보가 입력되면, 통합 인증 에이전트(301)는 이를 통합 인증 서버(101)로 전달하고, 통합 인증 서버(101)와 사용자 인증을 수행한다. 사용자 인증이 완료되면, 통합 인증 에이전트(301)는 통한 인증 서버(101)로 단말(102)의 접근 가능 서비스 목록을 요청하고, 통합 인증 서버(101)로부터 수신된 접근 가능 서비스 목록을 저장 및 관리할 수 있다. 상기한 동작을 위하여, 통합 인증 에이전트(301)는 터널 제어 모듈(302), 서비스 제어 모듈(303) 및 통신 모듈(304)을 포함하여 구성될 수 있다.
터널 제어 모듈(302)은 단말(102)과 서비스 인증 시스템(103) 간 터널을 제어한다. 서비스 인증에 있어서, 통합 인증 서버(101) 및 서비스 인증 시스템(103)은 서비스 인증을 위한 인증 키 검색 시, 패킷에 포함된 단말의 IP 주소, 서비스 서버의 IP 주소 및 서비스 ID(App ID)를 인덱스로 이용한다. 따라서, 패킷에 포함된 단말 IP주소나 서비스 서버 IP 주소가 네트워크에 존재하는 NAT(Network Address Translation) 등에 의해 패킷마다 변경되는 경우, 서비스 인증 시스템(103)에서 올바른 인증 키를 검색할 수 없다. 통합 인증 에이전트(301)는 터널 제어 모듈(302)을 통하여, 단말 IP 주소 및 서비스 서버 IP가 NAT등에 의해 변경되지 않도록 단말(102)과 서비스 인증 시스템(103) 간 터널을 설정하고, 설정된 터널을 통해 데이터 통신이 수행되도록 한다. 그에 따라, 통합 인증 에이전트(301)는 인증 키를 검색할 때 사용되는 인덱스 값이 변경되지 않도록 인덱스를 보호할 수 있다. 터널 제어 모듈(302)을 통하여 설정되는 터널은 다양한 종류일 수 있으며, 본 발명의 다양한 실시 예에서 터널은 IP-in-IP 터널일 수 있다.
서비스 제어 모듈(303)은 통합 인증 제어 서버(101)로부터 수신된 접근 가능한 서비스 목록을 관리하고, 사용자 요청에 따라 서비스 목록을 출력한다. 서비스 목록은 단말(102)의 종류 및 환경 설정에 따라 아이콘, 텍스트, 테이블 등 다양한 형태로 출력될 수 있다. 접근 가능한 서비스 목록은 각 서비스의 서비스 정보로써, 서비스 ID(App ID), 서비스 서버IP 주소, 서비스 인증 시스템 IP 주소 등을 포함할 수 있다. 서비스 ID는 해당 서비스를 지시하는 대표값으로 사용될 수 있으며, 사용자 인증을 수행할 때마다 임의의 값으로 할당된다.
통신 모듈(304)은 다른 장치와의 유/무선 통신을 제어하기 위한 모듈로, 터널 제어 모듈(302)에 의해 설정된 터널을 통해, 통합 인증 제어 서버(101)와 통신을 수행한다.
서비스 애플리케이션 영역(305)에는 단말(102)이 이용 가능한 서비스의 애플리케이션들이 저장된다.
서비스 인증 에이전트(306)는 서비스 인증 시스템(103)과의 서비스 인증을 위한 제어를 수행한다. 서비스 인증 에이전트(306)는 사용자 데이터와 서비스 인증을 위한 보안 정보 등을 이용하여 서비스 인증을 위해 사용되는 서비스 인증 정보를 생성하고 관리할 수 있다. 서비스 인증 에이전트(306)는 서비스 인증 정보를 서비스 인증 시스템(103)으로 송신하여, 단말(102)의 서비스 인증을 수행한다. 상기한 동작을 위하여, 서비스 인증 에이전트(306)는 서비스 인증 정보(Service Authentication Information; SAI) 생성 모듈(307) 및 통신 모듈(308)을 포함하여 구성될 수 있다.
서비스 인증 정보 생성 모듈(307)은 단말 IP 주소 및 통합 인증 제어 서버(101)로부터 수신된 서비스 정보, 즉, 서비스 서버 IP 주소, 서비스 ID(App ID), 인증 키 등을 기초로 서비스 인증 정보를 생성하고 관리할 수 있다.
통신 모듈(308)은 다른 장치와의 유/무선 통신을 제어하기 위한 모듈로, 터널 제어 모듈(302)에 의해 설정된 터널을 통해, 서비스 인증 시스템(103)과 통신을 수행한다.
단말(102)은 커넬 영역에 별도의 터널 설정 모듈(309)을 구비할 수 있으며, 터널 설정 모듈(309)은 터널 제어 모듈(302)의 제어에 따라 터널을 실질적으로 생성하거나 제거할 수 있다.
도 4는 본 발명에 따른 통합 인증 제어 서버의 물리적 구조를 나타낸 도면이다.
도 4를 참조하면, 본 발명에 따른 통합 인증 제어 서버(101)는 통신부(401), 제어부(402) 및 저장부(403)를 포함하여 구성될 수 있다.
통신부(401)는 다른 장치들과 유/무선 통신을 수행한다. 본 발명의 다양한 실시 예에서, 통신부(401)는 단말(102) 및 서비스 인증 시스템(103)과 사용자 인증 및 서비스 인증을 위한 데이터 통신을 수행한다. 통신부(401)는 단말(102)과 기 설정된 터널을 통하여 데이터 통신을 수행할 수 있다.
제어부(402)는 본 발명에 따른 통합 인증을 위해, 통합 인증 제어 서버(101)의 각 구성 요소를 제어한다. 제어부(402)는 단말(102)과 사용자 인증 정보를 송수신함으로써, 사용자 인증을 수행하도록 제어한다. 제어부(402)는 단말(102)의 사용자 인증을 수행하여 단말에게 단말 IP 주소를 할당하고, 단말(102)의 요청에 따라 단말(102)이 접근 가능한 서비스 목록 및 각 서비스에 대한 인증 키를 단말(102)로 송신하도록 제어한다. 또한, 제어부(402)는 단말(102)의 서비스 이용 요청에 따라, 서비스 인증 시스템(103)으로 해당 단말(102)에 대한 서비스 인증 정보를 전달함으로써, 서비스 인증 시스템(103)과 단말(102) 간 서비스 인증이 수행될 수 있도록 한다.
저장부(403)는 본 발명의 실시 예에 따른 동작을 수행하기 위해 필요한 적어도 하나의 프로그램, 데이터 등을 저장할 수 있다. 본 발명의 다양한 실시 예에서, 저장부(403)는 단말 별 사용자 인증 정보, 단말 별 접근 가능 서비스 목록, 서비스 정보, 단말 별 서비스 인증 정보 등을 저장할 수 있다.
도 5는 본 발명에 따른 통합 인증 제어 서버의 논리적 구조를 나타낸 도면이다.
도 5를 참조하면, 통합 인증 제어 서버(101)는 통신 모듈(501), 사용자 인증 모듈(502), 데이터 베이스(503) 및 서비스 인증 모듈(504)을 포함하여 구성될 수 있다.
통신 모듈(501)은 다른 장치와의 유/무선 통신을 제어하기 위한 모듈로, 기 설정된 터널(보안 채널)을 통해, 단말(102) 및 서비스 인증 시스템(103)과 통신을 수행한다.
사용자 인증 모듈(502)은 단말(102)과 사용자 인증을 위한 제어를 수행한다. 사용자 인증 모듈(502)은 해당 단말(102)에 대한 사용자 인증 정보를 이용하여, 사용자 인증을 수행하고, 사용자 인증이 완료되면 해당 단말(102)로 단말 IP 주소를 전달한다. 단말 IP 주소는 이후에 해당 단말(102)의 식별자(ID)로 사용될 수 있다. 일 실시 예에서, 통합 인증 제어 서버(101)가 DHCP(dynamic host configuration protocol) 서버 역할을 수행하는 경우, 사용자 인증 모듈(502)은 단말(102)의 요청에 따라 네트워크에서 사용할 수 있는 단말 IP주소를 단말(102)에게 할당할 수 있다.
데이터 베이스(503)는 단말 별 사용자 인증 정보, IP Pool, 단말 별 접근 가능 서비스 목록, 서비스 정보, 단말 별 서비스 인증 정보 등을 저장할 수 있다.
서비스 인증 모듈(504)은 단말(102)과 서비스 인증 시스템(103) 간 서비스 인증을 위한 동작을 수행한다. 구체적으로, 서비스 인증 모듈(504)은 사용자 인증이 완료된 후에, 단말(102)로 서비스 정보를 포함하는 접근 가능 서비스 목록 및 서비스에 대한 인증 키를 전달하고, 서비스 인증 시스템(103)으로 단말(102)에 대한 서비스 인증 정보(인증 키를 포함)를 전달한다. 단말(102) 및 서비스 인증 시스템(103)은 서비스 인증 모듈(504)로부터 전달받은 정보를 이용하여 서비스 인증을 수행할 수 있다.
도 6은 본 발명에 따른 서비스 인증 시스템의 물리적 구조를 나타낸 도면이다.
도 6을 참조하면, 본 발명에 따른 서비스 인증 시스템(103)은 통신부(601), 제어부(602)를 포함하여 구성될 수 있다.
통신부(601)는 다른 장치들과 유/무선 통신을 수행한다. 본 발명의 다양한 실시 예에서, 통신부(601)는 통합 인증 제어 서버(101) 및 단말(102)과 서비스 인증을 위한 데이터 통신을 수행한다. 이때, 통신부(401)는 단말(102)과 기 설정된 터널을 통하여 데이터 통신을 수행할 수 있다. 또한, 통신부(401)는 서비스 인증이 완료된 단말(102)의 실제 서비스 이용을 위한 사용자 데이터를 서비스 서버(104)와 송수신할 수 있다.
제어부(602)는 본 발명에 따른 서비스 인증을 위해, 서비스 인증 시스템(103)의 각 구성 요소를 제어한다. 제어부(602)는 통합 인증 제어 서버(101)로부터 단말(102)의 서비스 인증을 위한 서비스 인증 정보를 수신하고, 수신된 서비스 인증 정보와 단말(102)로부터 수신된 서비스 인증 정보를 이용하여 단말(102)의 서비스 인증을 수행한다. 제어부(602)는 단말로부터 서비스 이용을 위한 패킷이 수신되면 패킷에 대한 서비스 인증을 수행하고, 서비스 인증이 완료된 경우에, 패킷에 포함된 사용자 데이터를 서비스 서버(104)로 전달한다. 제어부(602)는 단말(102) 및 서비스 서버(103)와의 통신을 위한 터널을 설정하거나 제거할 수 있다.
도 7은 본 발명에 따른 서비스 인증 시스템의 논리적 구조를 나타낸 도면이다.
도 7을 참조하면, 서비스 인증 시스템(103)은 서비스 인증 검증 모듈(701)(Service Authentication Verification Module; SAVM)을 포함하여 구성될 수 있다.
서비스 인증 검증 모듈(701)은 단말(102)의 서비스 인증을 수행한다. 서비스 인증 검증 모듈(701)은 통합 인증 제어 서버(101)로부터 단말(102)의 서비스 인증을 위한 서비스 인증 정보를 수신하고, 수신된 서비스 인증 정보와 단말(102)로부터 수신된 서비스 인증 정보를 이용하여 단말(102)의 서비스 인증을 수행한다. 제어부(602)는 단말로부터 서비스 이용을 위한 패킷이 수신되면 패킷에 대한 서비스 인증을 수행하고, 서비스 인증이 완료된 경우에, 패킷에 포함된 사용자 데이터를 서비스 서버(104)로 전달한다. 이를 위하여, 서비스 인증 검증 모듈(701)은 통신 모듈(702), 터널 제어 모듈(703), 서비스 검증 모듈(704) 및 패킷 재조립 모듈(705)을 포함하여 구성될 수 있다.
통신 모듈(702)은 다른 장치와의 유/무선 통신을 제어하기 위한 모듈로, 통합 인증 제어 서버(101)와 통신을 수행하거나, 기 설정된 터널(보안 채널)을 통해, 단말(102)과 통신을 수행한다.
터널 제어 모듈(703)은 단말(102)과 서비스 인증 시스템(103) 간 터널을 제어한다. 터널 제어 모듈(703)은 통합 인증 제어 서버(101)로부터 수신된 터널 설정 정보를 이용하여, 단말(102)과의 터널을 제어한다. 터널 설정 정보는 서비스 검증 모듈(704)이 통합 인증 제어 서버(101)로부터 수신하는 정보(예를 들어, 서비스 인증 정보)에 포함되어 수신될 수 있으며, 이 경우 터널 제어 모듈(703)은 서비스 검증 모듈(704)로부터 터널 설정 정보를 전달받을 수 있다. 터널 제어 모듈(703)은 수신된 터널 설정 정보를 기초로, 단말(102)과 서비스 인증 시스템(103) 간 터널을 제어한다.
서비스 검증 모듈(704)은 단말(102)의 서비스 사용 권한을 검증하고, 서비스 인증을 검증한다. 단말(102)로부터 서비스 이용을 위한 패킷이 수신되면, 서비스 검증 모듈(704)은 패킷에 포함된 서비스 인증 정보를 이용하여 검증을 수행한다. 검증이 완료되면, 서비스 검증 모듈(704)은 패킷에 포함된 서비스 인증 정보를 제거하고, 패킷 변경에 따른 체크 섬(check sum) 계산 등의 패킷 처리를 수행하여 서비스 서버(104)로 전달한다.
패킷 재조립 모듈(705)은 단말(102)로부터 수신한 패킷을 분할(fragment)하거나, 단말(102)로 전송할 패킷의 재조립을 수행한다. 패킷 재조립 모듈(705)은 단말(102)로부터 수신된 패킷을 분할하여 서비스 인증 정보를 추출하거나, 서비스 서버(104)로부터 수신된 사용자 데이터에 서비스 인증 정보를 추가하고, 패킷을 병합한다.
서비스 인증 시스템(103)은 커넬 영역에 별도의 터널 설정 모듈(706)을 구비할 수 있으며, 터널 설정 모듈(706)은 터널 제어 모듈(703)의 제어에 따라 터널을 실질적으로 생성하거나 제거할 수 있다.
도 8은 본 발명에 따른 통합 인증 방법을 나타낸 흐름도이다.
도 8을 참조하면, 먼저 통합 인증 제어 서버(101)와 단말(102)은 네트워크 접속 인증 및 사용자 인증을 수행한다(801). 통합 인증 제어 서버(101) 및 단말(102)은 사용자 인증 정보(예를 들어, ID 및 password)를 이용하여 네트워크 접속 및 사용자 인증을 수행한다. 사용자 인증이 성공적으로 완료되면, 통합 인증 제어 서버(101)는 단말(102)로 단말 IP 주소 및 실제 네트워크에서 패킷을 전달할 때 사용되는 네트워크 IP 주소를 할당한다. 단말 IP 주소는 이후 서비스 이용을 위한 인증 키 검색을 위해 사용될 수 있다. 네트워크 IP 주소는 일반적으로 DHCP를 통해 획득될 수 있다.
이후, 통합 인증 제어 서버(101)와 단말(102)은 보안 채널을 형성한다(802). 보안 채널 형성은 TLS, IPSec 등과 같은 방식으로 이루어질 수 있다.
보안 채널이 형성되면, 단말(102)은 통합 인증 제어 서버(101)로 단말(102)의 접근 가능 서비스 목록을 요청하고, 통합 인증 제어 서버(101)는 해당 단말(102)에 대한 접근 가능 서비스 목록을 전송한다(803).이를 위하여, 단말(102)은 통합 인증 제어 서버(101)로 접근 가능 서비스 목록 요청을 전송할 수 있으며, 접근 가능 서비스 목록 요청에는 단말 IP 주소 및 네트워크 IP 주소가 포함될 수 있다. 통합 인증 제어 서버(101)는 단말 IP 주소를 기초로, 해당 단말(102)에 대응하는 접근 가능 서비스 목록을 단말(102)로 전송한다. 접근 가능 서비스 목록에는 서비스 정보로써 서비스 명칭, 서비스 ID(App ID), 서비스 서버 IP 주소, 서비스 인증 시스템 IP 주소 등이 포함될 수 있다.
이후, 사용자 요청에 의해 서비스가 시작되면(804), 단말(102)은 통합 인증 제어 서버(101)로 서비스 인증을 위한 인증 키를 요청한다(805). 인증 키 요청은 단말(102)과 통합 인증 제어 서버(101) 간 보안 채널을 이용하여 전송될 수 있다. 통합 인증 제어 서버(101)는 단말(102)의 요청에 응답하여, 단말 IP 주소, 서비스 서버 IP 주소, 서비스 ID 및 인증 키를 포함하는 서비스 인증 정보를 서비스 인증 시스템(103)으로 전달한다(806). 또한, 통합 인증 제어 서버(101)는 인증 키를 단말(102)로 전달한다(807). 여기서, 서비스 인증을 위한 인증 키는 서비스마다 다른 값으로 설정될 수 있으며, 단말(102)의 서비스 이용 종료 시, 인증 키가 삭제될 수 있다.
단말(102)은 서비스 이용을 위한 사용자 데이터에 터널 관련 정보 및 서비스 인증 정보를 부가하여 서비스 이용을 위한 패킷을 생성하고(808), 이를 서비스 인증 시스템(103)으로 전송한다(809). 단말(102)이 패킷에 부가하는 서비스 인증 정보는, 통합 인증 제어 서버(101)로부터 수신된 서비스 정보 및 인증 키를 포함하여 구성될 수 있다.
패킷을 수신한 서비스 인증 시스템(103)은, 패킷에 포함된 터널 관련 정보를 제거하고, 서비스 인증 정보를 추출하여 서비스 인증 절차를 수행한다(810). 서비스 인증 시스템(103)은 통합 인증 제어 서버(101)로부터 수신한 서비스 인증 정보와, 단말(102)로부터 수신한 패킷에 포함된 서비스 인증 정보를 비교함으로써 서비스 인증 절차를 수행할 수 있다. 서비스 인증이 성공적으로 완료되면, 서비스 인증 시스템(103)은 사용자 데이터를 서비스 서버(104)로 전달한다(811).
서비스 서버(104)는 사용자 데이터를 기초로, 단말(102)에 서비스를 제공하기 위한 사용자 데이터를 생성하여, 서비스 인증 시스템(103)으로 전달한다(812). 서비스 인증 시스템(103)은 수신된 사용자 데이터에, 터널을 추가하여 패킷을 생성하고(813), 이를 단말(102)로 전달한다(813). 즉, 서비스 서버(104)에서 단말(102)로 전달되는 패킷에는 서비스 인증 정보가 포함되지 않을 수 있으며, 서비스 인증 시스템(103)은 해당 패킷에 대한 별도의 서비스 인증 절차를 수행하지 않을 수 있다.
단말(102)은 수신된 패킷에서 터널을 제거하고(815), 패킷에 포함된 사용자 데이터를 획득함으로써, 서비스 서버(104)로부터 서비스 제공에 관련된 데이터를 제공받을 수 있다.
상기한 본 발명의 실시 예에 따르면, 단말(102)은 통합 인증 제어 서버(101)와 네트워크 인증 및 사용자 인증을 수행함과 동시에, 통합 인증 제어 서버(101)로부터 서비스 인증을 위한 인증 키를 획득하고, 실제 서비스 이용을 위한 사용자 데이터와 인증 키를 함께 서비스 인증 시스템(103)으로 전달한다. 사용자 인증이 완료된 단말(102)의 서비스 인증을 위한 서비스 인증 정보는, 통합 인증 제어 서버(101)가 서비스 인증 시스템(103)으로 대신 전달하기 때문에, 단말(102)의 사용자는 네트워크 인증, 사용자 인증 및 서비스 인증을 위하여 복수 회의 개입 없이 간편하게 통합 인증을 수행할 수 있다.
도 9는 본 발명에 따른 통합 인증 방법에 있어서, 단말의 구체적인 동작을 나타낸 도면이다. 도 9에 있어서, 점선은 제어 메시지의 송수신을, 실선은 사용자 데이터의 송수신을 나타낸다. 후술할 동작들은 단말(102)의 제어부(202)를 통하여 제어될 수 있으며, 제어 메시지 또는 사용자 데이터의 송수신은 제어부(202)의 제어를 통해 통신부(201)를 통하여 이루어질 수 있다.
도 9를 참조하면, 단말(102)은 통합 인증 에이전트(301)의 통신 모듈(304)을 통하여 통합 인증 제어 서버(101)와 네트워크 인증 및 사용자 인증을 수행한다(901). 네트워크 인증 및 사용자 인증을 통해 단말(102)은 단말(102)의 식별 정보로 이용될 수 있는 단말 IP 주소 및 네트워크 패킷 송수신에서 사용되는 네트워크 IP 주소를 획득한다.
이후, 단말(102)은 통합 인증 에이전트(301)의 통신 모듈(304)을 통하여 단말(102)의 접근 가능 서비스 목록을 요청한다(902). 접근 가능 서비스 목록 요청에는 해당 단말(102)을 식별하기 위한 단말 IP 주소 및 네트워크 IP 주소가 포함될 수 있다. 단말(102)은 통합 인증 에이전트(301)의 통신 모듈(304)을 통하여 통합 인증 제어 서버(101)로부터 접근 가능 서비스 목록을 수신한다(903). 접근 가능 서비스 목록은 각 서비스에 대한 서비스 정보가 포함될 수 있으며, 서비스 정보는 해당 서비스에 대한 서비스 ID(App ID), 서비스 서버 IP 주소, 서비스 인증 시스템 IP 주소 등이 포함될 수 있다.
통신 모듈(304)을 통하여 수신된 정보들은 터널 제어 모듈(302) 및 서비스 제어 모듈(303)로 전달된다(904). 터널 제어 모듈(302)은 수신된 정보를 이용하여 터널 설정 정보를 생성하고, 이를 커넬 영역의 터널 설정 모듈(309)로 전달하여 터널이 생성되도록 한다(905). 서비스 제어 모듈(303)은 수신된 정보를 이용하여 접근 가능한 서비스 목록(907)을 사용자가 확인할 수 있도록 출력한다(906). 출력되는 접근 가능한 서비스 목록(907)에는 서비스 ID가 포함될 수 있다. 사용자가 인터페이스부(203)를 통하여 실제로 이용할 서비스를 선택하면(907), 단말(102)은 서비스 인증 에이전트(306)로 해당 서비스의 서비스 ID를 전달함으로써, 서비스 이용이 요청되었음을 알린다(908).
단말(102)은 서비스 인증 에이전트(306)의 통신 모듈(308)을 통하여 통합 인증 제어 서버(101)로 서비스에 대한 인증 키를 요청한다(909). 통합 인증 제어 서버(101)는 서비스에 대한 서비스 인증 정보를 서비스 인증 시스템(104)으로 전달하고(910), 서비스 인증 에이전트(306)의 통신 모듈(308)을 통해 서비스 인증 에이전트(306)로 인증 키를 전송한다(911). 서비스 인증 정보에는 단말 IP 주소, 서비스 서버 IP 주소, 서비스 ID 및 인증 키 등이 포함될 수 있다.
서비스 인증 에이전트(306)는 서비스 이용을 위한 준비가 완료되었음을 해당 서비스 애플리케이션(305)으로 전달한다(912). 서비스 애플리케이션(305)은 서비스 이용을 위하여 서비스 서버(104)로 전달할 실제 사용자 데이터를 서비스 인증 에이전트(306)로 전달한다(913).
서비스 인증 에이전트(306)의 서비스 인증 정보 생성 모듈(307)은 터널 제어 모듈(302) 및 서비스 제어 모듈(303)을 통하여 수신된 정보 및 인증 키를 이용하여 서비스 인증 정보를 생성하고, 이를 사용자 데이터에 추가하여 형성된 패킷을 커넬 영역의 터널 설정 모듈(309)로 전달한다(914). 패킷은 터널 설정 모듈(309)에서 생성한 터널을 통하여 서비스 인증 시스템(103)으로 전달되고(915), 서비스 인증 시스템(103)을 통하여 서비스 인증이 완료되면, 서비스 인증 정보가 제거된 후 서비스 서버(104)로 전송된다(916).
도 10은 본 발명에 따른 통합 인증 방법에 있어서, 통합 인증 제어 서버 및 서비스 인증 시스템의 구체적인 동작을 나타낸 도면이다. 도 10에 있어서, 점선은 제어 메시지의 송수신을, 실선은 사용자 데이터의 송수신을 나타낸다. 후술할 동작들은 통합 인증 서버(101) 및 서비스 인증 시스템(103)의 제어부(402, 602)를 통하여 제어될 수 있으며, 제어 메시지 또는 사용자 데이터의 송수신은 제어부(402, 602)의 제어를 통해 통신부(401, 601)를 통하여 이루어질 수 있다.
도 10에서, 단계 1001, 1002, 1003, 1004, 1007은 각각 도 9의 단계 901, 902 및 903, 909 및 910, 911, 915와 동일하므로 자세한 설명은 생략한다.
단계 1004가 완료되면, 단말(102)은 서비스 이용을 위한 패킷을 전송할 준비가 완료된 상태이고, 통합 인증 제어 서버(101) 및 서비스 인증 시스템(103)은 서비스 인증을 위한 모든 준비가 완료된 상태가 된다.
이후에, 서비스 인증 검증 모듈(701)의 서비스 검증 모듈(704)은 통신 모듈(702)을 통하여 수신된 정보 중, 단말 IP 주소, 네트워크 IP 주소, 서비스 서버 IP 주소 등을 터널 제어 모듈(703)로 전달한다(1005). 터널 제어 모듈(703)은 전달받은 정보를 기초로 터널 설정 정보를 생성하고, 이를 커넬 영역의 터널 설정 모듈(706)로 전달하여 터널이 생성되도록 한다(1006).
커넬 영역의 터널 설정 모듈(706)을 통하여 패킷이 수신되면, 커넬 영역에서는 터널을 제거한 패킷을 패킷 재조립 모듈(705)로 전달하고(1008), 패킷 재조립 모듈(705)은 패킷을 분할하여 서비스 인증 정보를 서비스 검증 모듈(704)로 전달한다(1009).
서비스 검증 모듈(704)은 서비스 인증 정보를 이용하여 서비스 인증을 수행하고, 서비스 인증이 성공적으로 완료되면, 패킷 내에서 서비스 인증 정보를 제거한 후, 패킷 수정에 따른 추가적인 절차를 진행한다. 이후, 서비스 검증 모듈(704)은 생성된 패킷을 커넬 영역의 터널 설정 모듈(706)을 통하여 서비스 서버(104)로 전달한다(1010, 1011).
도 11은 본 발명에 따른 통합 인증 방법에 있어서, 패킷 처리 방법을 구체적으로 나타낸 도면이다.
도 11을 참조하면, 서비스 애플리케이션(305)은 사용자 요청에 따라 서비스 데이터(1101)를 생성한다. 서비스 데이터(1101)에는 응용 데이터(Application Data)(사용자 데이터) 및 서비스 ID(App ID)가 포함될 수 있다. 단말(102) 내에는 통합 인증 제어 서버(101)로부터 수신된 서비스 정보 및 인증 키가 저장될 수 있으며, 이는 도 11에 도시된 바와 같이 인증 키 검색을 위한 테이블(1102) 형태로 저장될 수 있다. 응용 데이터(1101)에 포함된 서비스 ID(App ID)를 이용하면, 단말(102)은 인증키 검색을 위한 테이블(1102)로부터 해당 서비스 ID에 대응하는 단말 IP 주소, 서비스 서버 IP 주소 및 인증 키를 획득할 수 있다.
단말(102)은 획득된 정보를 이용하여, 서비스 인증 정보를 생성하고, 서비스 데이터(1101)와 서비스 인증 정보를 이용하여 로우 데이터 패킷(1103)을 생성한다. 로우 데이터 패킷(1103)에는 서비스 데이터(1101)에서 서비스 ID를 제거한 응용 데이터, 서비스 인증 정보, 인증 키 검색을 위한 테이블(1102)로부터 획득된 단말 IP(C) 및 서비스 서버 IP(S)를 포함하여 구성될 수 있다.
서비스 인증 정보는 HMAC(1104), 순서 번호(SN)(1105) 및 서비스 ID(App ID)(1106) 등이 포함될 수 있다. HMAC(1104)은단말 IP 주소, 서비스 서버 IP 주소, 응용 데이터, 순서번호(SN), 서비스 ID(App ID) 및 인증 키를 포함할 수 있다. 이때, 인증 키는 SHA를 비롯한 안전성이 검증된 다양한 해쉬 알고리즘에 의하여 해쉬된 값으로 포함될 수 있다. 순서 번호(SN)(1105)는 재전송 공격을 방지하기 위해서 사용된다.
단말(102)은 생성된 로우 데이터 패킷(1103)을 커넬 영역으로 전달한다(1107). 커넬 영역에는 터널 설정 정보(1108)가 저장될 수 있다. 터널 설정 정보(1108)는 로우 커넬 영역이 전달받은 패킷에 포함된 단말 IP 주소(C) 및 서비스 서버 IP 주소(S)와 같은 터널 정보를 기초로, 소스 IP(C)와 목적지 IP(S)를 설정함으로써 구성될 수 있다. 터널 설정 정보(1108)에서 OP는 동작 방식을 나타내며 EN은 encapsulation을 DE는 decapsulation을 의미한다. 커넬 영역에서는 터널 정보를 기초로, 터널이 추가된 최종 패킷(1109)을 생성한다.
생성된 최종 패킷(1109)은 서비스 인증 시스템(103)으로 전달된다. 서비스 인증 시스템(103)의 커넬 영역에는 터널 설정 정보(1110)가 저장될 수 있다. 패킷(1109)이 수신되면, 커넬 영역에서는 패킷 헤더에 포함된 터널, 즉 소스 IP(C )와 목적지 IP(SA)를 인덱스로 테이블을 검색하고, 패킷 내에서 터널을 제거한다. 커넬 영역은 터널이 제거된 패킷(1111)을 서비스 인증 검증 모듈(701)로 전달한다.
인증 검증 모듈(701)은 커넬 영역으로부터 전달된 패킷(1111)에 포함된 서비스 ID, 단말 IP 주소, 서비스 서버 IP 주소 등을 인덱스로 이용하여 해당 서비스에 대한 인증 키를 추출한다. 인증 검증 모듈(701)은 추출된 인증 키를 이용하여, 서비스 인증을 수행한다. 인증 검증 모듈(701)은 커넬 영역으로부터 전달된 패킷(1111)에 포함된 HMAC(1113)과단말 IP 주소, 서비스 서버 IP 주소, 응용 데이터, 순서 번호, 서비스 ID(App ID) 및 이에 대응하여 인증 키 검색 테이블(1112)로부터 추출된 인증 키를 이용하여 계산된 HMAC를 비교한다. 비교 결과가 일치하면 인증 성공이며, 일치하지 않으면 인증 실패이다. 인증 검증 모듈(701)은 인증이 성공한 경우에, 서비스 서버(104)로 응용 데이터(1114)를 포함하는 패킷을 전달한다.
상술한 본 발명에 따르면, 다음과 같은 효과를 얻을 수 있다.
첫째, 단말(102)은 한 번의 인증을 통하여 사용자 인증 및 서비스 인증을 동시에 수행할 수 있다. 통합 인증 제어 서버(101)는 사용자 인증을 완료한 후에 특정 사용자가 접근할 수 있는 접근 가능 서비스 목록을 제공하고, 이러한 서비스 목록에는 특정 서비스를 대표하는 서비스 ID(App ID)가 포함된다. 특정 서비스를 사용하고자 하는 경우 단말(102)은 통합인증 제어 서버(101)로부터 특정 서비스 인증을 위한 인증 키를 수신해서 인증 절차에 활용할 수 있다. 즉, 단말(102)은 서비스 인증에 있어서 사용자의 추가적인 개입 없이도 서비스 인증 절차를 수행할 수 있다.
둘째, 본 발명에 따르면 각 서비스별로 관리하던 인증 정보를 통합적으로 관리할 수 있다. 일반적으로 서비스에 접근하기 위해서는 각 서비스별로 관리되는 인증 정보를 이용해야만 하고, 각 서비스별로 해당 정보를 관리해야만 한다. 하지만, 본 발명에서 제안하는 방식은 인증 정보를 통합적으로 관리할 수 있는 장점이 있다.
셋째, 본 발명에 따르면 콘텐츠 자체를 이용해서 서비스 인증에 활용함으로써 안전성이 향상된다. 기존 방식은 최초에 ID 및 패스워드를 입력받아서 서비스 인증을 수행한 후, 이후에는 실제 사용자 데이터에 대해서는 서비스 인증을 수행하지 않지만, 본 발명에서는 모든 데이터 패킷에 대해서 서비스 인증 절차를 수행함으로써 안전성이 향상되는 장점이 있다.
넷째, 본 발명에서는 IPSec과의 연동을 통해서 안전성을 향상시킬 수 있다. IPSec을 이용하면 게이트웨이에서 패킷을 복호화한 후에는 패킷이 자유롭게 특정 시스템에 접근을 시도할 수 있다. 즉, IPSec을 이용하면 복호화된 패킷에 포함된 목적지 IP 주소로 패킷이 전달될 수 있기 때문에 위험성이 존재한다. 하지만, 본 발명에서 제안하는 방식과 IPSec을 연동하는 경우에는 IPSec으로 데이터를 보호하고 본 발명에서 제안하는 방식으로 시스템에 접근하는 것을 제어할 수 있는 장점이 있다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 그리고 본 명세서와 도면에 개시된 실시 예들은 본 발명의 내용을 쉽게 설명하고, 이해를 돕기 위해 특정 예를 제시한 것일 뿐이며, 본 발명의 범위를 한정하고자 하는 것은 아니다. 따라서 본 발명의 범위는 여기에 개시된 실시 예들 이외에도 본 발명의 기술적 사상을 바탕으로 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
100: 네트워크 101: 통합 인증 제어 서버
102: 단말 103: 서비스 인증 시스템
104: 서비스 서버

Claims (20)

  1. 단말과 네트워크 인증 및 사용자 인증을 수행하는 단계;
    상기 네트워크 인증 및 상기 사용자 인증이 성공하면, 상기 단말로 적어도 하나의 서비스에 대한 서비스 정보를 포함하는 접근 가능 서비스 목록을 전송하는 단계; 및
    상기 단말로부터 임의의 서비스에 대한 요청이 수신되면, 상기 단말로 상기 임의의 서비스에 대한 인증 키를 전송하고, 서비스 인증 서버로 상기 임의의 서비스에 대한 서비스 인증 정보를 전송하는 단계를 포함하되,
    상기 적어도 하나의 서비스에 대한 서비스 정보, 상기 인증 키 및 상기 서비스 인증 정보는, 상기 단말 및 상기 서비스 인증 서버가 상기 임의의 서비스에 대한 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 방법.
  2. 제1항에 있어서, 상기 서비스 인증 정보는,
    상기 단말에 대응하는 단말 IP 주소, 상기 임의의 서비스에 대응하는 서비스 ID, 서비스 서버 IP 주소 및 인증 키 중 적어도 하나를 포함하는 것을 특징으로 하는 단말의 통합 인증 방법.
  3. 제2항에 있어서, 상기 단말 IP 주소는,
    상기 네트워크 인증 및 상기 사용자 인증을 통하여 상기 단말에게 할당되는 것을 특징으로 하는 단말의 통합 인증 방법.
  4. 제1항에 있어서, 상기 서비스 정보 및 상기 인증 키는,
    사용자 데이터와 함께 상기 단말로부터 상기 서비스 인증 서버로 전송되고,
    상기 서비스 인증 정보는,
    상기 서비스 인증 서버가 상기 서비스 정보 및 상기 인증 키를 상기 서비스 인증 정보와 비교하여 상기 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 방법.
  5. 제1항에 있어서, 상기 서비스 정보 및 상기 서비스 인증 정보는,
    상기 단말 및 상기 서비스 인증 서버 간 터널을 설정하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 방법.
  6. 단말 및 서비스 인증 서버와 통신을 수행하는 통신부; 및
    상기 단말과 네트워크 인증 및 사용자 인증을 수행하고, 상기 네트워크 인증 및 상기 사용자 인증이 성공하면, 상기 단말로 적어도 하나의 서비스에 대한 서비스 정보를 포함하는 접근 가능 서비스 목록을 전송하고, 상기 단말로부터 임의의 서비스에 대한 요청이 수신되면, 상기 단말로 상기 임의의 서비스에 대한 인증 키를 전송하고, 서비스 인증 서버로 상기 임의의 서비스에 대한 서비스 인증 정보를 전송하도록 제어하는 제어부를 포함하되,
    상기 적어도 하나의 서비스에 대한 서비스 정보, 상기 인증 키 및 상기 서비스 인증 정보는, 상기 단말 및 상기 서비스 인증 서버가 상기 임의의 서비스에 대한 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 장치.
  7. 제6항에 있어서, 상기 서비스 인증 정보는,
    상기 단말에 대한 단말 IP 주소, 상기 임의의 서비스에 대한 서비스 ID, 상기 서비스 서버에 대한 서비스 서버 IP 주소 및 상기 서비스에 대한 인증 키 중 적어도 하나를 포함하는 것을 특징으로 하는 단말의 통합 인증 장치.
  8. 제7항에 있어서, 상기 제어부는,
    상기 네트워크 인증 및 상기 사용자 인증을 통하여 상기 단말 IP 주소를 상기 단말에게 할당되는 것을 특징으로 하는 단말의 통합 인증 장치.
  9. 제6항에 있어서, 상기 서비스 정보 및 상기 인증 키는,
    사용자 데이터와 함께 상기 단말로부터 상기 서비스 인증 서버로 전송되고,
    상기 서비스 인증 정보는,
    상기 서비스 인증 서버가 상기 서비스 정보 및 상기 인증 키를 상기 서비스 인증 정보와 비교하여 상기 서비스 인증을 수행하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 장치.
  10. 제6항에 있어서, 상기 서비스 정보 및 상기 서비스 인증 정보는,
    상기 단말 및 상기 서비스 인증 서버 간 터널을 설정하기 위해 이용되는 것을 특징으로 하는 단말의 통합 인증 장치.
  11. 통합 인증 제어 서버로부터 단말이 요청한 임의의 서비스에 대한 서비스 인증 정보를 수신하는 단계;
    상기 단말로부터 패킷이 수신되면, 상기 패킷에 포함된 정보 및 상기 서비스 인증 정보를 이용하여 서비스 인증을 수행하는 단계; 및
    상기 서비스 인증이 성공하면, 상기 임의의 서비스를 제공하는 서비스 서버로 상기 패킷에 포함된 사용자 데이터를 전송하는 단계를 포함하는 것을 특징으로 하는 단말의 통합 인증 방법.
  12. 제11항에 있어서, 상기 서비스 인증 정보는,
    상기 단말에 대응하는 단말 IP 주소, 상기 임의의 서비스에 대응하는 서비스 ID, 서비스 서버 IP 주소 및 인증 키 중 적어도 하나를 포함하는 것을 특징으로 하는 단말의 통합 인증 방법.
  13. 제12항에 있어서, 상기 단말 IP 주소는,
    상기 통합 인증 제어 서버와 상기 단말 간 네트워크 인증 및 사용자 인증을 통하여 상기 단말에게 할당되는 것을 특징으로 하는 단말의 통합 인증 방법.
  14. 제11항에 있어서, 상기 서비스 인증을 수행하는 단계는,
    상기 패킷에 포함된 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소 및 인증 키를 획득하는 단계;
    상기 서비스 인증 정보로부터 상기 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소에 대응하는 인증 키를 추출하는 단계; 및
    상기 패킷으로부터 획득된 인증 키 및 상기 서비스 인증 정보로부터 추출된 인증 키를 비교하여, 상기 서비스 인증을 수행하는 단계를 포함하는 것을 특징으로 하는 단말의 통합 인증 방법.
  15. 제11항에 있어서,
    상기 패킷에 포함된 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소를 기초로, 상기 단말과 터널을 설정하는 단계를 더 포함하는 것을 특징으로 하는 단말의 통합 인증 방법.
  16. 통합 인증 제어 서버, 단말 및 서비스를 제공하는 서비스 서버와 통신을 수행하는 통신부; 및
    상기 통합 인증 제어 서버로부터 상기 단말이 요청한 임의의 서비스에 대한 서비스 인증 정보를 수신하고, 상기 단말로부터 패킷이 수신되면, 상기 패킷에 포함된 정보 및 상기 서비스 인증 정보를 이용하여 서비스 인증을 수행하고, 상기 서비스 인증이 성공하면, 상기 임의의 서비스를 제공하는 서비스 서버로 상기 패킷에 포함된 사용자 데이터를 전송하도록 제어하는 제어부를 포함하는 것을 특징으로 하는 단말의 통합 인증 장치.
  17. 제16항에 있어서, 상기 서비스 인증 정보는,
    상기 단말에 대응하는 단말 IP 주소, 상기 임의의 서비스에 대응하는 서비스 ID, 서비스 서버 IP 주소 및 인증 키 중 적어도 하나를 포함하는 것을 특징으로 하는 단말의 통합 인증 장치.
  18. 제17항에 있어서, 상기 단말 IP 주소는,
    상기 통합 인증 제어 서버와 상기 단말 간 네트워크 인증 및 사용자 인증을 통하여 상기 단말에게 할당되는 것을 특징으로 하는 단말의 통합 인증 장치.
  19. 제16항에 있어서, 상기 제어부는,
    상기 패킷에 포함된 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소 및 인증 키를 획득하고, 상기 서비스 인증 정보로부터 상기 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소에 대응하는 인증 키를 추출하고, 상기 패킷으로부터 획득된 인증 키 및 상기 서비스 인증 정보로부터 추출된 인증 키를 비교하여, 상기 서비스 인증을 수행하는 것을 특징으로 하는 단말의 통합 인증 장치.
  20. 제16항에 있어서, 상기 제어부는,
    상기 패킷에 포함된 단말 IP 주소, 서비스 ID, 서비스 서버 IP 주소를 기초로, 상기 단말과 터널을 설정하는 것을 특징으로 하는 단말의 통합 인증 장치.
KR1020150053126A 2015-04-15 2015-04-15 단말의 통합 인증 방법 및 그 장치 KR20160123069A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150053126A KR20160123069A (ko) 2015-04-15 2015-04-15 단말의 통합 인증 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150053126A KR20160123069A (ko) 2015-04-15 2015-04-15 단말의 통합 인증 방법 및 그 장치

Publications (1)

Publication Number Publication Date
KR20160123069A true KR20160123069A (ko) 2016-10-25

Family

ID=57446488

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150053126A KR20160123069A (ko) 2015-04-15 2015-04-15 단말의 통합 인증 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR20160123069A (ko)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106507357A (zh) * 2016-12-30 2017-03-15 广东欧珀移动通信有限公司 一种接入控制方法,及终端设备
KR20180100995A (ko) * 2017-03-03 2018-09-12 주식회사 와임 분할 기능을 이용한 자동 인증 처리 방법 및 시스템
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2021060859A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2021060858A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
KR20220121320A (ko) * 2021-02-25 2022-09-01 유동호 사용자 및 디바이스 통합 인증 시스템 및 그 방법
WO2022235007A1 (ko) * 2021-05-07 2022-11-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023033585A1 (ko) * 2021-09-02 2023-03-09 프라이빗테크놀로지 주식회사 분산 게이트웨이 환경에 최적화된 터널링 및 게이트웨이 접속 시스템 및 그에 관한 방법
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
WO2023146304A1 (ko) * 2022-01-26 2023-08-03 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106507357A (zh) * 2016-12-30 2017-03-15 广东欧珀移动通信有限公司 一种接入控制方法,及终端设备
CN106507357B (zh) * 2016-12-30 2020-01-14 Oppo广东移动通信有限公司 一种接入控制方法,及终端设备
KR20180100995A (ko) * 2017-03-03 2018-09-12 주식회사 와임 분할 기능을 이용한 자동 인증 처리 방법 및 시스템
WO2021060857A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 원격 실행 코드 기반 노드의 제어 플로우 관리 시스템 및 그에 관한 방법
US11082256B2 (en) 2019-09-24 2021-08-03 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
KR102206562B1 (ko) * 2019-09-24 2021-01-22 프라이빗테크놀로지 주식회사 원격 실행 코드 기반 노드의 제어 플로우 관리 시스템 및 그에 관한 방법
WO2021060859A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법
WO2021060858A1 (ko) * 2019-09-24 2021-04-01 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102119257B1 (ko) * 2019-09-24 2020-06-26 프라이빗테크놀로지 주식회사 터널에 기반하여 단말의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR20210045917A (ko) * 2019-09-24 2021-04-27 프라이빗테크놀로지 주식회사 터널 및 데이터 플로우에 기반하여 노드의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
KR102137773B1 (ko) * 2019-09-24 2020-07-24 프라이빗테크놀로지 주식회사 보안 애플리케이션을 통해 안전한 데이터를 전송하기 위한 시스템 및 그에 관한 방법
US11190494B2 (en) 2019-09-24 2021-11-30 Pribit Technology, Inc. Application whitelist using a controlled node flow
US11271777B2 (en) 2019-09-24 2022-03-08 Pribit Technology, Inc. System for controlling network access of terminal based on tunnel and method thereof
US11381557B2 (en) 2019-09-24 2022-07-05 Pribit Technology, Inc. Secure data transmission using a controlled node flow
US11652801B2 (en) 2019-09-24 2023-05-16 Pribit Technology, Inc. Network access control system and method therefor
KR20220121320A (ko) * 2021-02-25 2022-09-01 유동호 사용자 및 디바이스 통합 인증 시스템 및 그 방법
WO2022235007A1 (ko) * 2021-05-07 2022-11-10 프라이빗테크놀로지 주식회사 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법
WO2023033585A1 (ko) * 2021-09-02 2023-03-09 프라이빗테크놀로지 주식회사 분산 게이트웨이 환경에 최적화된 터널링 및 게이트웨이 접속 시스템 및 그에 관한 방법
WO2023146304A1 (ko) * 2022-01-26 2023-08-03 프라이빗테크놀로지 주식회사 애플리케이션의 파일 송신 및 수신을 제어하기 위한 시스템 및 그에 관한 방법

Similar Documents

Publication Publication Date Title
KR20160123069A (ko) 단말의 통합 인증 방법 및 그 장치
EP3320523B1 (en) Method and device for authentication using dynamic passwords
CN103873454B (zh) 一种认证方法及设备
US8549588B2 (en) Systems and methods for obtaining network access
US8191124B2 (en) Systems and methods for acquiring network credentials
EP2314090B1 (en) Portable device association
JP5784827B2 (ja) 2つの通信デバイスを介した認証システム
US9374360B2 (en) System and method for single-sign-on in virtual desktop infrastructure environment
CN111050314A (zh) 客户端注册方法、装置及***
US10050944B2 (en) Process to access a data storage device of a cloud computer system with the help of a modified Domain Name System (DNS)
CN103067158A (zh) 加密解密方法、终端设备、网关设备及密钥管理***
DK2924944T3 (en) Presence authentication
JP2013503514A (ja) Wlanアクセス認証に基づくサービスアクセス方法、システム及び装置
US10084763B2 (en) Methods and systems for establishing secure communication between devices via at least one intermediate device
WO2008030527A2 (en) Systems and methods for acquiring network credentials
JP2022519743A (ja) ブロックチェーンを使用してユーザを認証する方法、システム、および媒体
CN101998407B (zh) 基于wlan接入认证的业务访问方法
US20210203657A1 (en) Method, chip, device and system for authenticating a set of at least two users
CN113038192B (zh) 视频处理方法、装置、电子设备和存储介质
US11070978B2 (en) Technique for authenticating a user device
WO2014201783A1 (zh) 一种自组网的加密鉴权方法、***及终端
KR101900060B1 (ko) 공유기와 연계되어 동작하는 보안요소, 공유기 및 이를 이용한 네트워크 형성 방법
CN112242976B (zh) 一种身份认证方法及装置
CN112106376B (zh) 被配置为机顶盒的通用流媒体设备
KR20170006513A (ko) 인증 서비스를 제공하는 콘텐츠 제공 서버, 미디어 재생 장치 및 컴퓨터 프로그램