KR101345803B1 - 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법 - Google Patents

역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법 Download PDF

Info

Publication number
KR101345803B1
KR101345803B1 KR1020120007347A KR20120007347A KR101345803B1 KR 101345803 B1 KR101345803 B1 KR 101345803B1 KR 1020120007347 A KR1020120007347 A KR 1020120007347A KR 20120007347 A KR20120007347 A KR 20120007347A KR 101345803 B1 KR101345803 B1 KR 101345803B1
Authority
KR
South Korea
Prior art keywords
authentication
user
information
agent
platform
Prior art date
Application number
KR1020120007347A
Other languages
English (en)
Other versions
KR20120085684A (ko
Inventor
김경용
Original Assignee
한미아이티 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한미아이티 주식회사 filed Critical 한미아이티 주식회사
Publication of KR20120085684A publication Critical patent/KR20120085684A/ko
Application granted granted Critical
Publication of KR101345803B1 publication Critical patent/KR101345803B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0246Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
    • H04L41/0273Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols using web services for network management, e.g. simple object access protocol [SOAP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 네트워크의 보안 시스템에 의한 권한 부여와 고정 네트워크 주소의 할당 작업을 하지 않고서도, 네트워크 보안은 그대로 유지된 상태에서 EPC 네트워크 내의 역방향 프록시를 이용하여 사용자 인증 및 권한 부여가 간단하게 이루어질 수 있는 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법을 제공한다. 이를 위해 본 발명은 EPC 네트워크에 대한 사용자 단말로부터의 네트워크 호출이 있으면, 해당 호출 요청을 직접 수신받아 에이전트로 전달하는 역방향 프록시와, 상기 EPC 네트워크에 설치되어, 상기 역방향 프록시를 통해 전달받은 상기 사용자 단말에 대한 호출 요청을 플랫폼에 제공하여 해당 사용자에 대한 인증 서비스가 수행되도록 하고, 인증 완료에 의해 플랫폼으로부터 제공되는 세션 정보 및 사용자 정보를 근거로 사용자 단말에서 의도하는 어플리케이션 서비스가 가능하도록 하는 에이전트, 상기 에이전트와의 SOAP 프로토콜 통신에 의해 상기 사용자 단말에 대한 인증 서비스를 수행하고, 인증이 완료되면 인증을 위한 유효성 검증시에 생성된 세션 정보 및 사용자 정보를 상기 에이전트에 제공하는 플랫폼 및, 사용자 단말의 인증 완료에 따라, 상기 에이전트를 통해 세션 정보 및 사용자 정보를 제공받아 상기 사용자 단말에서 의도하는 작업을 수행하는 서비스 어플리케이션을 포함하여 구성되는 것을 특징으로 한다.

Description

역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법{EPC NETWORK AUTHENTICATION APPARATUS USING RESERVE PROXY AND THE METHOD THEREOF}
본 발명은 네트워크 시스템의 진입 및 시스템 내의 작업을 위한 사용자의 인증 장치 및 그 방법에 관한 것으로, 상세하게는 네트워크 시스템의 방화벽 포트를 열거나 고정 네트워크 주소를 할당하지 않더라도, 시스템 보안이 그대로 유지된 상태에서 역방향 프록시를 이용하여 접근이 허용된 사용자의 네트워크 인증 및 시스템 내의 작업 수행을 위한 세션 연결이 간단하게 이루어질 수 있도록 하는 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법에 관한 것이다.
주지된 바와 같이, RFID(Radio Frequency Identification : 무선인식)란 IC칩과 무선을 통해 식품, 동물, 사물 등에 태그를 부착하여 근거리에서 무선으로 정보를 읽을 수 있는 기술에 해당된다.
이러한 RFID 기술은 바코드나 스마트 카드와 비교하여 대상 품목이 한 지점으로부터 다른 지점으로 이동시 태그(Tag) 내부에 저장되어 있는 정보를 효과적으로 실시간 갱신이 가능하고, RFID 태그는 비금속 물질을 투과해서도 읽을 수 있으며, 비접촉 인식이 가능하여 혼잡한 환경, 불결한 환경, 열악한 환경에서도 사용이 가능한 한편, 데이터를 읽는 속도가 매우 빠르다는 장점을 가지고 있다.
게다가, RFID 태그는 스마트 카드 등의 지적인 성능을 보유할 수 있을 뿐만 아니라, 해당 RFID 태그의 일련 번호코드는 영구적으로 변경할 수 없도록 되어 있기 때문에 훼손 및 위조가 실질적으로 불가능하여 보안성이 높고, 비용 면에서도 태그를 계속해서 재사용할 수 있기 때문에 다양한 응용이 가능하여, 현재 많은 사업 분야, 예를 들어 특정 물품의 재고관리, 자동검품, 입출고관리, 위조품 식별 등에서 널리 쓰이고 있다.
또한, RFID 시스템은 사물에 대한 정보를 기록하고 있는 RFID 태그를 RFID 리더가 감지하여 사물의 정보를 확인하는 시스템이다. RFID 기반 기술은 전자상품코드(Electronic Product Code : EPC) 글로벌 네트워크, 식료품 관리, 자재관리, 유통관리, 보안 등 다양한 분야에서 활용되고 있다.
특히, EPC 네트워크의 경우에는, RFID 태그로부터 읽혀진 데이터가 ALE(Application Level Event) 표준을 거쳐 EPC 정보 서비스(EPC Information Service : EPCIS)를 통해 모듈화 되어 네트워크에서 통용 사용된다.
한편, 이러한 EPC 네트워크를 이용하여 진행되는 통신은 통상 웹서비스(Web Service) 형태로 이루어지기 때문에, 해킹에 의한 도청이나, 트래픽 분석, 스푸핑(Spoofing) 등의 다양한 공격에 취약하게 되는 바, 이러한 외부로부터의 공격들에 의해 EPC 네트워크 내에서 태그 정보를 유출시켜 프라이버시 침해를 일으킬 수 있다.
이러한 네트워크 보안상의 문제를 해결하기 위해, 최근에는 EPC 네트워크를 운용하는 서버 플랫폼에 방화벽(Fire Wall)을 설치하여 시스템 보안성을 높이고, 네트워크에 접근하는 사용자의 컴퓨팅 장치에 대해 고정 네트워크 주소를 할당하여 해당 네트워크 주소를 확보한 인증된 사용자만이 적법한 권한을 부여받아 네트워크를 이용하여 각종 작업을 진행할 수 있도록 하고 있다.
그러나, 이러한 EPC 네트워크의 경우에, 적법한 사용자라도 외부에서 네트워크에 접근하여 시스템 연동을 하기 위해서는, 방화벽의 포트를 열어주어야 하지만, 사용자 개인 별로 서비스 이용을 위해 일일이 방화벽 포트를 열어줄 수 없기 때문에 각 사용자에 따라 할당된 VPN(Virtual Private Network)을 개별적으로 운용해야 하는 번거로움이 발생된다.
게다가, EPC 네트워크를 통해 기업 내부의 서비스를 이용하기 위해서는, 각 사용자 컴퓨팅 장치 별로 사설 네트워크 IP 주소를 고정 네트워크 주소인 공인 네트워크 IP 주소로 변환해 주기 위한 네트워크 주소 변환(Network Address Translation; NAT) 처리가 이루어져야 하기 때문에, 네트워크 이용을 위한 인증 및 권한 부여 작업이 복잡해 질 수 밖에 없다는 문제점을 안고 있다.
이러한 문제점을 해결하기 위한 본 발명은 네트워크의 보안 시스템에 의한 권한 부여와 고정 네트워크 주소의 할당 작업을 하지 않고서도, 네트워크 보안은 그대로 유지된 상태에서 EPC 네트워크 내의 역방향 프록시를 이용하여 사용자의 인증 및 권한 부여 처리가 보다 간단하게 이루어질 수 있도록 하는 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법을 제공하는 것을 목적으로 한다.
상기한 목적을 달성하기 위한 본 발명의 장치에 따르면, EPC(Electronic Product Code) 네트워크에 대한 사용자 단말로부터의 네트워크 호출이 있으면, 해당 호출 요청을 직접 수신받아 에이전트로 전달하는 역방향 프록시와, 상기 EPC 네트워크에 설치되어, 상기 역방향 프록시를 통해 전달받은 상기 사용자 단말에 대한 호출 요청을 플랫폼에 제공하여 해당 사용자에 대한 인증을 위해 유효성을 검증하는 인증서비스가 수행되도록 하고 그 인증서비스에 의한 인증 완료에 의해 플랫폼으로부터 제공되는 세션 정보 및 사용자 정보를 근거로 사용자 단말에서 의도하는 어플리케이션 서비스가 가능하도록 하는 에이전트, 상기 에이전트와의 SOAP(Simple Object Access Protocol) 프로토콜 통신에 의해 상기 사용자 단말에 대한 인증 서비스를 수행하고, 인증이 완료되면 인증을 위한 유효성 검증시에 생성된 세션 정보 및 사용자 정보를 상기 에이전트에 제공하는 플랫폼 및, 상기 사용자 단말의 인증 완료에 따라, 상기 에이전트를 통해 세션 정보 및 사용자 정보를 제공받아 상기 사용자 단말에서 의도하는 작업을 수행하는 서비스 어플리케이션을 포함하여 구성되는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증장치를 제공한다.
바람직하게, 상기 서비스 어플리케이션은, 상기 에이전트를 통해 제공받은 세션 정보 및 사용자 정보를 근거로 하여 실행이 가능한 어플리케이션을 상기 플랫폼으로부터 제공받는 것을 특징으로 한다.
더 바람직하게, 상기 플랫폼은, 상기 EPC 네트워크의 에이전트와 SOAP 프로토콜 통신에 의해 상기 사용자 단말에 대해 인증 입력화면을 제공하고 인증 입력화면에 인증 정보를 입력하고, 입력된 인증 정보를 근거로 하는 사용자의 유효성 검증 동작을 수행하고, 인증 완료에 의해 세션 정보를 생성하여 유효성 검증시 생성된 사용자 정보와 함께 상기 에이전트에 제공하는 게이트웨이와, 장애 발생 시에도 플랫폼 내의 응용 프로그램 데이터를 사용 가능하도록 하는 것으로, 상기 게이트웨이에 의해 생성되는 세션 토큰을 저장하여 관리하는 세션 저장부, 사용자의 동일성 여부를 검증하기 위한 사용자의 개인 정보 데이터를 저장하는 사용자정보 저장부 및, 상기 사용자 단말에서 인증 입력 화면 상에서 EPC 네트워크를 통하여 플랫폼에 접속하여 로그인하면, 저장된 로그인 정보를 판독하여 EPC 네트워크에 로그 인 시켜주는 신용정보 저장부를 포함하여 구성된 것을 특징으로 한다.
또한, 상기 플랫폼은, 보안 레벨에 정의된 사용자들의 수를 구성하고 해당 어플리케이션에 접속할 수 있는 사람들을 제한할 수 있도록 구성된 보안 스키마(Security Scheme)를 더 포함하여 구성되고, 상기 게이트웨이는 상기 EPC 네트워크 상에서 에이전트가 접속 요청을 하면, 상기 사용자에 대해 설정된 보안 레벨에 따라 해당 어플리케이션을 사용할 수 있도록 제어하는 것을 특징으로 한다.
상기한 목적을 달성하기 위한 본 발명의 방법에 따르면, 사용자 단말에서 EPC 네트워크를 호출요청하면, 역방향 프록시에서 상기 호출요청을 직접 수신받아 해당 EPC 네트워크 내의 에이전트로 전달하는 단계, 상기 에이전트에서 상기 역방향 프록시를 통해 전달받은 상기 호출요청을 플랫폼으로 제공하는 단계, 상기 플랫폼에서 상기 사용자 단말에 인증 입력 화면 정보를 제공하여 그 인증 입력화면에 인증 정보를 입력하고, 입력된 인증정보를 이용하여 상기 에이전트와의 SOAP(Simple Object Access Protocol) 프로토콜 통신을 통해 상기 사용자 단말로부터 입력되는 인증 정보를 근거로 사용자의 유효성 검증 작업을 수행하는 단계, 상기 단계의 유효성 검증에 따른 인증이 완료되면, 상기 플랫폼에서 세션 정보를 생성하여 유효성 검증시 생성된 사용자 정보와 함께 상기 에이전트에 제공하는 단계, 상기 에이전트가 상기 플랫폼으로부터 제공받은 세션 정보 및 사용자 정보를 근거로 상기 사용자 단말에서 의도하는 서비스 어플리케이션이 실행되어 해당 작업이 수행되도록 하는 단계를 포함하여 이루어지는 것을 특징으로 한다.
바람직하게, 상기 역방향 프록시가 EPC 네트워크 상에서 상기 사용자 단말로부터의 호출을 감지하여 호출이 발생된 것으로 판단되면, 상기 역방향 프록시가 상기 플랫폼의 TCP/IP 서버를 접속할 수 있도록 상기 에이전트에 접속하는 단계를 포함하여 이루어진 것을 특징으로 한다.
더 바람직하게, 상기 에이전트가 상기 플랫폼의 게이트웨이로 인증을 요청하는 단계와, 상기 게이트웨이가 상기 플랫폼내의 신용정보 저장부로부터 로그인 정보를 판독하여 상기 EPC 네트워크에 로그인 시켜주는 단계 및, 상기 게이트웨이가 사용자정보 저장부로부터의 사용자 정보를 근거로 사용자의 동일성 여부를 검증하는 단계를 포함하여 이루어진 것을 특징으로 한다.
또한, 상기 게이트웨이는, 각 사용자 별로 미리 설정된 보안 레벨에 따라, 상기 사용자가 해당 어플리케이션을 사용할 수 있도록 제어하는 것을 특징으로 한다.
이상과 같은 본 발명에 따른 역방향 프록시를 이용한 EPC 네트워크 인증 장치 및 방법에 의하면, 방화벽을 사용하거나 VPN을 설치하여 적용하지 않더라도 EPC 네트워크에 대한 부정한 접근을 방지함과 동시에, 간단하고 신속한 인증 처리를 통해 EPC 네트워크에서 사용자가 원하는 작업을 수행할 수 있다는 각별한 효과가 있다.
그리고 본 발명의 역방향 프록시를 이용한 EPC 네트워크 인증 장치 및 방법에 의하면, EPC 네트워크의 사용자 별로 보안 레벨을 차별적으로 설정하고, 그 설정된 보안 레벨에 따라 각 사용자 별로 어플리케이션의 사용을 제한할 수 있게 됨으로써, 더욱더 보안이 강화된 상태에서의 EPC 네트워크를 통한 작업의 수행이 가능하다는 효과를 갖고 있다.
도 1은 본 발명의 일 실시예에 의한 역방향 프록시를 이용한 이피시 네트워크 인증 장치의 주요 구성도,
도 2는 본 발명의 이피시 네트워크 인증 방법을 설명하기 위한 흐름도이다.
본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정 해석되지 아니하며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 "…부", "…기", "모듈", "장치" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
이하, 도면을 참조하여 본 발명의 일 실시예에 대하여 설명한다.
도 1은 본 발명의 일 실시예에 의한 역방향 프록시를 이용한 이피시 네트워크 인증 장치의 주요 구성도이다.
도 1에 도시된 바와 같이, 본 발명에 따른 역방향 프록시를 이용한 이피시 네트워크 인증 장치는, 특정 사용자에 대해 네트워크를 통한 시스템의 접근 허용을 위해 방화벽의 포트를 열어주거나 VPN을 이용하지 않고서도, 플랫폼 내의 시스템과 EPC 네트워크 간에 해당 사용자의 유효성을 검증하고 허가된 사용자만 플랫폼에 접근할 수 있도록 하기 위하여, 역방향 프록시를 이용한 사용자 단말(100)의 네트워크 접속을 통해서 인증을 요청하는 EPC 네트워크(110)와, 해당 인증 서비스를 제공하는 플랫폼(130)을 포함하여 구성된다.
상기 EPC 네트워크(110)는 외부의 사용자 단말(100)로부터 네트워크 호출 요청이 발생되면, 역방향 프록시를 통해 호출 요청을 수신받아 상기 플랫폼(130)과의 사이에서 SOAP(Simple Object Access Protocol)를 통하여 유효성 검증을 위한 인증 통신이 이루어지도록 하고, 유효 인증이 완료되면 세션(Session) 정보 및 해당 사용자 정보를 이용하여 상기 사용자 단말(100)에서 의도하는 관련 작업이 진행되도록 한다.
여기서, 상기 EPC 네트워크(110)는 역방향 프록시(Reverse Proxy)(112)와, 에이전트(Agent)(114), 서비스 어플리케이션(Service Application)(116)을 포함하여 구성된다.
상기 역방향 프록시(112)는 상기 사용자 단말(100)에서 해당 EPC 네트워크(110)를 호출하게 되면, EPC 네트워크(110)와 상기 플랫폼(130)의 사이에 마련된 방화벽을 사용하지 않고, 상기 사용자 단말(100)로부터의 호출 요청을 수신받아 상기 플랫폼(130) 내의 TCP/IP 서버에 접속할 수 있도록 상기 에이전트(114)에 호출 요청을 전달한다.
상기 에이전트(114)는 상기 플랫폼(130)에 대한 접근 제어 서비스를 제공하는 ACS(Access Control Service) 에이전트로서, 상기 역방향 프록시(112)를 통하여 상기 사용자 단말(100)로부터의 호출 요청을 전달받아 상기 플랫폼(130)에 사용자의 호출 요청을 제공하고, 상기 플랫폼(130)과의 SOAP(Simple Object Access Protocol)를 통한 통신을 통해 사용자의 유효성 검증을 위한 인증 작업을 진행한다.
또한, 상기 에이전트(114)는 인증 완료에 따라 상기 플랫폼(130)으로부터 세션 토큰(Session Token) 정보와 해당 플랫폼(130)에서 보유하고 있는 사용자 정보를 획득하여 상기 사용자 단말(100)이 세션 정보 및 사용자 정보를 근거로, 상기 서비스 어플리케이션(116)이 실행되어 사용자가 원하는 관련 작업이 진행될 수 있도록 한다.
즉, 상기 에이전트(114)는 상기 사용자 단말(100)에 의한 개인 컴퓨팅 환경의 네트워크 상에서, 상기 플랫폼(130)에 접속되어 인증 URL 정보 및 SOAP 프로토콜의 엔드포인트(Endpoint)를 저장하여 인증 처리가 이루어지도록 한 다음에, 상기 서비스 어플리케이션(116)을 수행하도록 동작된다.
한편, 상기 SOAP(Simple Object Access Protocol)는 널리 알려진 HTTP, HTTPS, SMTP등을 사용하여 XML기반의 메시지를 컴퓨터 네트워크 상에서 교환하는 형태의 프로토콜로서, 웹 서비스(Web Service)에서 기본적인 메시지를 전달하는 기반이 된다.
상기 서비스 어플리케이션(116)은 해당 EPC 네트워크(110)의 에이전트(114)와 상기 플랫폼(130)을 통한 상기 사용자 단말(100)의 유효성 인증에 따른 인증 완료에 따라, 상기 플랫폼(130)으로부터 제공되는 세션 정보 및 사용자 정보를 상기 에이전트(114)를 통해 전달받아 실행되어 상기 사용자 단말(100)이 상기 세션 정보 및 사용자 정보를 근거로 하여 해당 어플리케이션에 관련된 작업을 진행하게 된다.
여기서, 상기 서비스 어플리케이션(116)은 도면에 도시된 바와 같이, 해당 EPC 네트워크(110)에 위치하는 것을 예시하여 설명하고 있지만, 본 발명은 이에 한정되지 않는 것으로서, 상기 플랫폼(130)에서 보유하고 있는 다양한 종류의 어플리케이션 중에서 상기 사용자 단말(100)에서 원하는 작업을 수행할 수 있는 어플리케이션을 별도로 제공받아 해당 EPC 네트워크(110) 상에서 실행할 수 있도록 하는 것도 얼마든지 가능함은 물론이다.
또한, 도 1에서 상기 플랫폼(130)은 상기 EPC 네트워크(110)의 역방향 프록시(112)에 의해 통신 접속되어 호출 요청을 진행하는 사용자 단말(100)에 대한 유효성 검증을 위한 인증 작업을 진행하고, 인증 작업의 완료에 따라 얻어지는 세션 토큰 정보 및 사용자 정보를 상기 EPC 네트워크(110)에 제공하여, 네트워크 사용 권한이 인증된 사용자 단말(100)이 어플리케이션의 실행을 통한 작업이 진행되도록 한다.
본 발명에서, 상기 플랫폼(130)은 오아시스(OASIS) 플랫폼으로서, 물류 및 유통 분야에 참여하는 이해관계자 간의 투명한 정보 제공과 공유를 위하여, 각종 물류 정보를 입력하여 제공하는 제공자와, 입력된 물류 정보를 이용하여 작업을 수행하는 사용자, 물류 정보가 입력되어 저장된 시스템을 모니터링하는 감시자 간의 자유롭고 편리한 접속을 보장하고, 정보의 공유와 관리 기능을 제공하는 공통 오픈 플랫폼(C.O.P:COMMON OPEN PLATFORM)을 칭하는 것으로 설명한다.
상기 공통 오픈 플랫폼(C.O.P)은 제반 물류 및 유통의 현장에서 적용하기 위하여, 장치의 설치와 운용의 용이성, 정보 생성 및 수집의 편의성, 편리하고 자유로운 접속, 유통정보 자동 정련과 추적, 공유 정보 일치성 검증, 그리고 정보 보안과 폐기를 보장하는 현장 적응형 인텔리전트 소프트웨어이다.
특히 본 발명에 적용되는 플랫폼은 접속환경에서의 인증에 관한 문제를 다루기 위한 것이므로, EPC 네트워크를 통해 접속할 수 있는 다른 종류의 모든 플랫폼이나 미들웨어에 동일하게 적용될 수 있음은 물론이다.
이를 위하여, 상기 플랫폼(130)은 상기 EPC 네트워크(110)의 에이전트(114)와 SOAP 프로토콜을 통한 통신에 의해 상기 사용자 단말(100)에 대한 인증 서비스를 제공하는 게이트웨이(Gateway)(131)와, 세션 토큰을 생성하고 저장하는 기능을 수행하는 세션 저장부(132), 사용자의 동일성 여부를 검증하기 위한 사용자 정보 데이터가 저장되어 있는 사용자정보 저장부(133) 및, 상기 사용자 단말(100)을 사용하는 사용자에게 할당된 로그인 정보가 저장되어 있고, 그 저장된 로그인 정보를 판독하여 상기 EPC 네트워크(110)에 로그인 시켜주기 위한 신용정보 저장부(credentials store)(134)를 포함하여 구성할 수 있다.
상기 게이트웨이(131)는 해당 플랫폼(130) 내에서 중앙 인증 서버를 지칭하는 것으로서, ACS(Access Control Service)에 탑재된 인증 서버 모듈로서 EPC 네트워크(110)에 인증 서비스를 제공하는 오아시스 플랫폼(130)에 설치되는 것이다.
상기 게이트웨이(131)는 상기 EPC 네트워크(110)의 에이전트(114)을 통해 상기 사용자 단말(100)로부터의 호출 요청을 수신받게 되면, 로그인을 위한 인증정보 입력 화면 정보를 상기 EPC 네트워크(110)를 통해 상기 사용자 단말(100)에 제공하고, 입력된 인증 정보를 상기 사용자정보 저장부(133)의 사용자 정보와 비교하여 유효한 인증인지를 체크한다.
그에 따라, 상기 게이트웨이(131)는 유효 인증의 체크 결과에 따라 인증이 완료되면, 상기 세션 저장부(132)로부터의 세션 정보를 불러와서 세션 토큰을 생성하고, 그 생성된 세션 토큰 정보를 상기 사용자 정보와 함께 상기 EPC 네트워크(110)에 제공한다.
이를 위하여 상기 세션 저장부(132)는 세션(Session) 중에 발생한 장애로 인해 해당 세션을 다시 설정할 때 모든 작업을 반복해야 하는 번거러움을 해결할 수 있도록 하기 위하여, 장애 발생 시에도 해당 플랫폼(130) 내의 응용 프로그램 데이터를 사용 가능하도록 저장하는 장소로서, 상기 게이트웨이(132)에 의해 생성되는 세션 토큰을 저장하여 관리하는 기능을 수행한다.
상기 신용정보 저장부(134)는 초기의 로그인 설정에 따라 입력되는 사용자명과 암호 정보를 각 사용자별 로그인 정보로서 암호화된 형태로 저장하고, 상기 사용자 단말(100)이 EPC 네트워크(110)를 통해 해당 플랫폼(130)에 접속하기 위해 인증정보 입력 화면 상에서 인증 정보로서 로그인 정보 즉, 사용자명 및 암호 정보를 입력하면, 미리 저장된 로그인 정보를 제공하여 로그인이 이루어질 수 있도록 한다.
이를 위하여 동일성 검증을 위한 데이터를 저장하는 상기 사용자정보 저장부(133) 및 신용정보 저장부(134)는 관계형 데이터베이스(RDBMS; Relationed DBMS) 형태의 메커니즘으로 서로 연관된 데이터의 질의문을 정의하고 사용자 정보 질의문, 사용자별 접근제어 규칙(Access Control Rule) 정보 질의문, 사용자 식별 질의문으로 구성되어져 있다.
즉, 상기 플랫폼(130)의 게이트웨이(131)는 상기 사용자정보 저장부(133)의 사용자 정보로부터 동일성을 검증한 뒤, 상기 신용정보 저장부(134)로부터의 로그인 정보에 의해 상기 사용자 단말(100)이 EPC 네트워크(110)에 로그인되도록 동작함으로써, 상기 사용자 단말(100)이 유효한 권한을 부여받은 상태에서 EPC 네트워크(110) 상에서 사용자가 원하는 작업을 수행할 수 있게 해주는 것이다.
또한, 상기 플랫폼(130)은 보안 레벨로 사용자를 관리하도록 구성된 보안 스키마(Security Scheme)(135)를 더 포함하여 구성함으로써, EPC 네트워크(110) 상의 에이전트(114)가 접속 요청을 하면, 상기 게이트웨이(131)에서 상기 보안 스키마(135)에 의해 설정된 보안 레벨에 따라 어플리케이션의 사용을 제한할 수 있도록 할 수 있다.
여기서, 상기 보안 스키마는 임의 길이의 비트 열을 고정된 길이의 출력 값인 해쉬 코드(Hash Code)로 압축시키는 알고리즘인 해쉬 알고리즘 방식 등과 같은 보안 인증 방식을 정의하여, 이슈를 보거나 볼 수 없도록 보안 레벨을 설정하여 제한하는 것으로서, 해당 플랫폼(130)에서 제공할 수 있는 특정 어플리케이션에 대하여 할당할 수 있다.
즉, 상기 플랫폼(130)은 상기 보안 스키마(135)에 의해 보안 레벨이 정의된 사용자들의 수를 구성하고, 해당 이슈(즉, 어플리케이션)에 접속할 수 있는 사람들을 제한할 수 있는 것이다.
또한, 상기 플랫폼(130)에서 통합 유저인터페이스(User Interface)(136)는 상기 사용자 단말(100)에서 해당 플랫폼(130)을 사용할 수 있도록 하기 위한 인터페이스로서, 디스플레이 화면, 입력수단, 도움말 등 플랫폼의 이용과 인증에 관련된 모든 정보를 관리하도록 구성된다.
이하, 상기한 바와 같이 이루어진 장치를 이용하여 본 발명의 네트워크 인증 방법에 대해 도 2의 플로우차트를 참조하여 상세히 설명한다.
도 2는 본 발명의 이피시 네트워크 인증 방법을 설명하기 위한 흐름도이다.
도 2에 도시된 바와 같이, 본 발명에 따른 역방향 프록시를 이용한 이피시 네트워크 인증 방법은, 사용자 단말(100)에서 EPC 네트워크(110)로의 호출을 개시하면(S210), 상기 EPC 네트워크(110)에서는 역방향 프록시(112)가 상기 사용자 단말(100)로부터의 호출 요청을 수신받게 되는데(S211), 이는 상기 사용자 단말(100)이 네트워크에 접근하는 경우에 네트워크와 플랫폼(130) 사이의 방화벽을 통하지 않더라도 상기 역방향 프록시(112)가 작동하여 호출 요청을 가로채서 수신함에 의해 가능하다.
그 상태에서, 상기 역방향 프록시(112)는 상기 사용자 단말(100)로부터의 호출 요청을 해당 EPC 네트워크(110) 상의 에이전트(114)로 전달하게 된다(S211).
즉, 단계 S211에서는 EPC 네트워크(110) 상에서 외부 사용자로부터 호출이 발생된 것으로 판단되면, 사용자가 플랫폼(130)의 TCP/IP 서버에 접속할 수 있도록 상기 역방향 프록시(112)가 에이전트(114)에 접속되는 것이다.
이에, 상기 에이전트(114)는 상기 역방향 프록시(112)를 통해 전달받은 사용자로부터의 호출 요청 메시지를 플랫폼(130)의 게이트웨이(131)에 제공하게 되고(S213), 상기 플랫폼(130)의 게이트웨이(131)는 통합 유저인터페이스(136)를 이용하여 상기 EPC 네트워크(110)를 매개로 상기 사용자 단말(100)에 인증 정보의 입력을 요청하는 인증 화면 정보를 제공한다(S214).
그에 대하여, 상기 사용자 단말(100)에서는 상기 게이트웨이(131)로부터 제공되어 해당 단말 화면에 디스플레이되는 인증 화면 상에서 키보드와 같은 입력 수단을 활용하여 인증 정보 즉, 해당 사용자에게 미리 할당된 사용자명 및 암호 정보를 입력하여 상기 EPC 네트워크(110)의 에이전트(114)를 통해 상기 플랫폼(130)으로 전송한다(S215).
상기 플랫폼(130)의 게이트웨이(131)는 상기 사용자 단말(100)로부터 입력된 인증 정보를 통해서 상기 에이전트(114)로부터 인증 요청을 받으면, 해당 플랫폼(130)의 사용자정보 저장부(133) 및 신용정보 저장부(134)로부터의 관련 저장 데이터를 이용하여 인증 정보의 유효성을 체크하게 된다(S216).
즉, 상기 게이트웨이(131)는 상기 신용정보 저장부(134)에 저장된 로그인 정보를 근거로 인증을 위해 입력된 사용자명 및 암호 정보를 판독하여 상기 사용자 단말(100)이 상기 EPC 네트워크(110) 상에서 로그인 될 수 있도록 작동하고, 상기 입력된 인증 정보와 관련된 사용자의 개인신상 정보 즉, 사용자 정보를 상기 사용자정보 저장부(133)로부터 불러와서 동일성 여부를 검증하는 작업을 수행하는 것이다.
상기 단계 S216에서 유효성 검증 처리에 따라 인증이 완료되면, 상기 에이전트(114)는 세션 저장부(132)로부터의 세션 정보를 근거로 세션 토큰을 생성하고(S217), 상기 EPC 네트워크(110)의 에이전트(114)는 SOAP 프로토콜을 통한 상기 플랫폼(130)과의 통신을 통해 상기 게이트웨이(131)로부터 상기 세션 토큰 정보 및 해당 사용자에 대해 인증이 완료된 사용자 정보를 각각 획득하게 된다(S218).
그 상태에서, 상기 EPC 네트워크(110)의 에이전트(114)는 상기 게이트웨이(131)로부터 획득한 세션 토큰 정보 및 사용자 정보를 해당 EPC 네트워크(110)의 서비스 어플리케이션(116)에 전달하게 되고(S219), 상기 서비스 어플리케이션(116)은 세션 정보 및 사용자 정보의 수신에 따라 그 어플리케이션이 실행되면서, 상기 사용자 단말(100)에 세션 정보 및 사용자 정보를 제공한다(S220).
그에 따라, 상기 사용자 단말(100)은 상기 세션 정보 및 사용자 정보를 이용하여 상기 서비스 어플리케이션(116)이 실행된 상태에서 사용자가 원하는 관련 작업을 수행하도록 동작하게 된다(S221).
즉, 상기 사용자 단말(100)에서는 EPC 네트워크 상에서의 사용 권한이 인증된 상태에서의 작업시에, 고정 네트워크 주소를 별도로 할당받거나, 유동 네트워크 주소를 고정 네트워크 주소로 변환하는 과정을 진행하지 않더라도, 세션 정보 및 사용자 정보를 근거로 원하는 작업을 수행할 수 있고, 네트워크 상에서 서비스를 제공하는 서버의 IP가 바뀌더라도 관련 작업을 계속적으로 진행하는 것이 가능하게 된다.
한편, 상기 플랫폼(130)는 보안 스키마(135)를 이용하여 사용자별로 설정된 보안 레벨에 따라 해당 어플리케이션의 사용을 제한할 수 있는데, 단계 S216 내지 S217의 과정에서 해당 보안 레벨 정보를 EPC 네트워크(110) 상의 에이전트(114)로 전송하여 상기 서비스 어플리케이션(116)의 사용을 제한하도록 할 수 있다.
따라서, 본 발명의 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법에 의하면, 허가받은 사용자가 네트워크를 통해 플랫폼에 접속하고, 권한이 부여된 상태에서 어플리케이션을 이용한 작업을 수행할 수 있도록 함으로써, 부정한 접근을 방지할 수 있을 뿐만 아니라 플랫폼 내/외부의 계정을 통합 및 관리할 수 있다.
상기에서 본 발명의 특정한 실시예가 설명 및 도시되었지만, 본 발명이 당업자에 의해 다양하게 변형되어 실시될 가능성이 있는 것은 자명한 일이다. 이와 같은 변형된 실시예들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안되며, 본 발명에 첨부된 청구범위 안에 속한다고 해야 할 것이다.
100 : 사용자 단말, 110 : EPC 네트워크,
112 : 역방향 프록시, 114 : 에이전트,
116 : 서비스 어플리케이션, 130 : 플랫폼,
131 : 게이트웨이, 132 : 세션저장부,
133 : 사용자정보 저장부, 134 : 신용정보 저장부,
135 : 보안 스키마, 136 : 통합 유저인터페이스.

Claims (8)

  1. EPC(Electronic Product Code) 네트워크에 대한 사용자 단말로부터의 네트워크 호출이 있으면, 해당 호출 요청을 직접 수신받아 에이전트로 전달하는 역방향 프록시와;
    상기 EPC 네트워크에 설치되어, 상기 역방향 프록시를 통해 전달받은 상기 사용자 단말에 대한 호출 요청을 플랫폼에 제공하여 해당 사용자에 대한 인증을 위해 유효성을 검증하는 인증서비스가 수행되도록 하고 그 인증서비스에 의한 인증 완료에 의해 플랫폼으로부터 제공되는 세션 정보 및 사용자 정보를 근거로 사용자 단말에서 의도하는 어플리케이션 서비스가 가능하도록 하는 에이전트;
    상기 에이전트와의 SOAP(Simple Object Access Protocol) 프로토콜 통신에 의해 상기 사용자 단말에 대한 인증 서비스를 수행하고, 인증이 완료되면 인증을 위한 유효성 검증시에 생성된 세션 정보 및 사용자 정보를 상기 에이전트에 제공하는 플랫폼; 및
    상기 사용자 단말의 인증 완료에 따라, 상기 에이전트를 통해 세션 정보 및 사용자 정보를 제공받아 상기 사용자 단말에서 의도하는 작업을 수행하는 서비스 어플리케이션을 포함하여 구성되는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증장치.
  2. 제 1 항에 있어서,
    상기 서비스 어플리케이션은,
    상기 에이전트를 통해 제공받은 세션 정보 및 사용자 정보를 근거로 하여 실행이 가능한 어플리케이션을 상기 플랫폼으로부터 제공받는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증장치.
  3. 제 2 항에 있어서,
    상기 플랫폼은,
    상기 EPC 네트워크의 에이전트와 SOAP 프로토콜 통신에 의해 상기 사용자 단말에 대해 인증 입력화면을 제공하고 인증 입력화면에 인증 정보를 입력하고, 그 입력된 인증 정보를 근거로 하는 사용자의 유효성 검증 동작을 수행하고, 인증 완료에 의해 세션 정보를 생성하여 유효성 검증시 생성된 사용자 정보와 함께 상기 에이전트에 제공하는 게이트웨이(Gateway)와,
    장애 발생 시에도 플랫폼 내의 응용 프로그램 데이터를 사용 가능하도록 하는 것으로, 상기 게이트웨이에 의해 생성되는 세션 토큰을 저장하여 관리하는 세션 저장부,
    사용자의 동일성 여부를 검증하기 위한 사용자의 개인 정보 데이터를 저장하는 사용자정보 저장부 및,
    상기 사용자 단말에서 인증 입력 화면 상에서 EPC 네트워크를 통하여 플랫폼에 접속하여 로그인하면, 저장된 로그인 정보를 판독하여 EPC 네트워크에 로그 인 시켜주는 신용정보 저장부를 포함하여 구성된 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증장치.
  4. 제 3 항에 있어서,
    상기 플랫폼은,
    보안 레벨에 정의된 사용자들의 수를 구성하고 해당 어플리케이션에 접속할 수 있는 사람들을 제한할 수 있도록 구성된 보안 스키마(Security Scheme)를 더 포함하여 구성하고,
    상기 게이트웨이는 상기 EPC 네트워크 상에서 에이전트가 접속 요청을 하면, 상기 사용자에 대해 설정된 보안 레벨에 따라 해당 어플리케이션을 사용할 수 있도록 제어하는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증장치.
  5. (a) 사용자 단말에서 EPC 네트워크를 호출요청하면, 역방향 프록시에서 상기 호출요청을 직접 수신받아 해당 EPC 네트워크 내의 에이전트로 전달하는 단계;
    (b) 상기 에이전트에서 상기 역방향 프록시를 통해 전달받은 상기 호출요청을 플랫폼으로 제공하는 단계;
    (c) 상기 플랫폼에서 상기 사용자 단말에 인증 입력 화면 정보를 제공하여 그 인증 입력화면에 인증 정보를 입력하고, 입력된 인증정보를 이용하여 상기 에이전트와의 SOAP(Simple Object Access Protocol) 프로토콜 통신을 통해 상기 사용자 단말로부터 입력되는 인증 정보를 근거로 사용자의 유효성 검증 작업을 수행하는 단계;
    (d) 상기 단계 (c)의 유효성 검증에 따른 인증이 완료되면, 상기 플랫폼에서 세션 정보를 생성하여 유효성 검증시 생성된 사용자 정보와 함께 상기 에이전트에 제공하는 단계;
    (e) 상기 에이전트가 상기 플랫폼으로부터 제공받은 세션 정보 및 사용자 정보를 근거로 상기 사용자 단말에서 의도하는 서비스 어플리케이션이 실행되어 해당 작업이 수행되도록 하는 단계를 포함하여 이루어지는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증방법.
  6. 제 5 항에 있어서,
    상기 (b)단계는
    (b-1) 상기 역방향 프록시가 EPC 네트워크 상에서 상기 사용자 단말로부터의 호출을 감지하는 단계와,
    (b-2) 호출이 발생된 것으로 판단되면, 상기 역방향 프록시가 상기 플랫폼의 TCP/IP 서버를 접속할 수 있도록 상기 에이전트에 접속하는 단계를 포함하여 이루어진 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증방법.
  7. 제 5 항에 있어서,
    상기 (c)단계는,
    (c-1) 상기 에이전트가 상기 플랫폼의 게이트웨이로 인증을 요청하는 단계와,
    (c-2) 상기 게이트웨이가 상기 플랫폼내의 신용정보 저장부로부터 로그인 정보를 판독하여 상기 EPC 네트워크에 로그인 시켜주는 단계 및,
    (c-3) 상기 게이트웨이가 사용자정보 저장부로부터의 사용자 정보를 근거로 사용자의 동일성 여부를 검증하는 단계를 포함하여 이루어진 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증방법.
  8. 제 7 항에 있어서,
    상기 게이트웨이는
    각 사용자 별로 미리 설정된 보안 레벨에 따라, 상기 사용자가 해당 어플리케이션을 사용할 수 있도록 제어하는 것을 특징으로 하는 역방향 프록시를 이용한 EPC 네트워크 인증방법.
KR1020120007347A 2011-01-24 2012-01-25 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법 KR101345803B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20110006895 2011-01-24
KR1020110006895 2011-01-24

Publications (2)

Publication Number Publication Date
KR20120085684A KR20120085684A (ko) 2012-08-01
KR101345803B1 true KR101345803B1 (ko) 2013-12-27

Family

ID=46871869

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120007347A KR101345803B1 (ko) 2011-01-24 2012-01-25 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101345803B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103873445A (zh) * 2012-12-17 2014-06-18 钟海燕 基于生物识别认证的网络接入控制系统及其方法
CN112329034B (zh) * 2020-11-02 2024-02-23 杭州当虹科技股份有限公司 一种基于应用平台可控制访问策略的应用代理方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030070091A1 (en) 2001-10-05 2003-04-10 Loveland Shawn Domenic Granular authorization for network user sessions
JP2010056666A (ja) 2008-08-26 2010-03-11 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030070091A1 (en) 2001-10-05 2003-04-10 Loveland Shawn Domenic Granular authorization for network user sessions
JP2010056666A (ja) 2008-08-26 2010-03-11 Nippon Telegr & Teleph Corp <Ntt> ユーザ認証型リバースプロキシー装置、そのデータ中継方法、およびそのプログラム

Also Published As

Publication number Publication date
KR20120085684A (ko) 2012-08-01

Similar Documents

Publication Publication Date Title
AU2016273888B2 (en) Controlling physical access to secure areas via client devices in a networked environment
JP7079805B2 (ja) 期限付セキュアアクセス
US10482450B2 (en) Method for processing an authorization to implement a service, devices and corresponding computer program
US8847729B2 (en) Just in time visitor authentication and visitor access media issuance for a physical site
US20180219851A1 (en) Method and system for authentication
US20130047233A1 (en) Data management with a networked mobile device
US9256724B2 (en) Method and system for authorizing an action at a site
CN102930199A (zh) 多承租人订阅环境中的安全机器登记
KR101125088B1 (ko) 고객 인증방법 및 시스템과 이를 위한 서버와 기록매체
KR20160136000A (ko) 대면확인 otp 애플리케이션 발급을 위한 시스템 및 방법
JP2012208856A (ja) 身元確認システムおよび身元確認方法
KR101879843B1 (ko) Ip 주소와 sms를 이용한 인증 방법 및 시스템
KR101345803B1 (ko) 역방향 프록시를 이용한 이피시 네트워크 인증 장치 및 방법
US20140237567A1 (en) Authentication method
KR101171235B1 (ko) 인증서 운영 방법
KR101498000B1 (ko) 환자 관리 서버 노드 및 통신 서비스 서버 노드를 포함하는 무선 네트워크에서의 환자 관리 서비스 시스템 및 방법
KR102544213B1 (ko) 사용자 승인 시스템 및 그 방법
KR102198153B1 (ko) 인증서 관리 방법
KR101568374B1 (ko) 모바일 전자서명을 이용한 모바일 대출 방법 및 시스템
US20230198981A1 (en) Systems and methods for credentials sharing
RU2731651C1 (ru) Способ и система авторизации пользователя
WO2021091415A1 (ru) Способ и система авторизации пользователя
IT201600115265A1 (it) Procedimento e sistema informatico di identificazione ed autenticazione dell&#39;identità digitale di un soggetto in possesso di un dispositivo di telecomunicazione personale.

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160223

Year of fee payment: 6