KR101471880B1 - System for authenticating clients - Google Patents

System for authenticating clients Download PDF

Info

Publication number
KR101471880B1
KR101471880B1 KR1020120122083A KR20120122083A KR101471880B1 KR 101471880 B1 KR101471880 B1 KR 101471880B1 KR 1020120122083 A KR1020120122083 A KR 1020120122083A KR 20120122083 A KR20120122083 A KR 20120122083A KR 101471880 B1 KR101471880 B1 KR 101471880B1
Authority
KR
South Korea
Prior art keywords
authentication
authentication server
client
entity
server
Prior art date
Application number
KR1020120122083A
Other languages
Korean (ko)
Other versions
KR20140055373A (en
Inventor
최광민
이재영
Original Assignee
삼성에스디에스 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성에스디에스 주식회사 filed Critical 삼성에스디에스 주식회사
Priority to KR1020120122083A priority Critical patent/KR101471880B1/en
Publication of KR20140055373A publication Critical patent/KR20140055373A/en
Application granted granted Critical
Publication of KR101471880B1 publication Critical patent/KR101471880B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0872Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

클라이언트 인증 시스템이 제공된다. 본 발명의 일 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달된다.A client authentication system is provided. A client authentication system according to an embodiment of the present invention includes a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client, a higher authentication server for registering and managing the plurality of authentication servers, And a network for transmitting the access request to a first authentication server closest to the client among the authentication servers, wherein when the first authentication server does not respond, the access request is transmitted to the first authentication server among the plurality of authentication servers To the second authentication server close to the second authentication server.

Description

클라이언트 인증 시스템{SYSTEM FOR AUTHENTICATING CLIENTS}Client Authentication System {SYSTEM FOR AUTHENTICATING CLIENTS}

본 발명은 클라이언트 인증 시스템에 관한 것으로, 보다 자세하게는 복수의 인증서버로 인증을 수행하되 복수의 인증서버에 인증요청을 분산시키기 위한 중계서버가 불필요한 클라이언트 인증 시스템에 관한 것이다.The present invention relates to a client authentication system, and more particularly, to a client authentication system that does not require a relay server for performing authentication with a plurality of authentication servers and distributing authentication requests to a plurality of authentication servers.

데이터 센터는 대용량 데이터(Big Data)를 저장하고 이를 관리할 수 있도록 하는 서비스를 제공할 수 있다. 각 클라이언트에게 소정의 물리적인 머신을 할당하여 클라이언트가 해당 물리 머신에 데이터를 자유롭게 저장, 조회 및 삭제할 수 있도록 하는 기존의 방식에서 벗어나서, 최근의 데이터 센터 운용은 물리적인 머신에 복수의 가상머신을 생성하고, 각 가상머신을 클라이언트에게 할당함으로써, 보다 효율적인 데이터 관리 서비스를 제공하고 있다.The data center can provide services to store and manage large data (Big Data). Moving away from the existing way of allowing a client to allocate a given physical machine to each client so that the client can freely store, retrieve, and delete data on that physical machine, recent data center operations create multiple virtual machines on a physical machine And allocates each virtual machine to a client, thereby providing a more efficient data management service.

유럽  공개특허  EP  2194482(공개일 2010.06.09) "Authentication intermediary server and programs therefor"&Quot; Authentication intermediary server and programs therefor "European Patent Publication EP 2194482 (published on June 6, 2010)

일반적인 데이터 관리 서비스는 데이터 보안을 달성하기 위해, 인증된 사용자만이 접근할 수 있도록 인증 시스템을 제공하고 있다. 기존의 인증 시스템은 사용자의 인증요청을 받아 사용자의 위치에 따라 적합한 데이터 센터에 위치하는 인증서버로 인증 요청을 전달하는 중계서버(intermediary server)를 통해 여러 지역에서의 인증을 수행하는 형태로 수행된다.Typical data management services provide an authentication system that can be accessed only by authenticated users to achieve data security. The existing authentication system receives the user's authentication request and performs authentication in various areas through an intermediary server that delivers the authentication request to the authentication server located in the appropriate data center according to the location of the user .

그러나, 이와 같은 종래의 인증 시스템은, 인증 요청을 보낼 때마다 중계서버를 거쳐야 하므로 속도가 느리며, 예를 들어 사용자가 아시아에 있고 중계서버가 유럽에 있다면, 사용자의 인증 요청이 중계 서버(유럽)까지 송신된 후, 다시 사용자의 위치에 가까운 인증 서버(아시아)로 전달되어야 하는 구조를 가진다.However, if the user is in Asia and the relay server is in Europe, the authentication request of the user is transmitted to the relay server (Europe) And then to the authentication server (Asia) close to the user's location.

또한, 중계서버에 장애가 생길 경우 모든 서비스 관련 인증을 수행할 수 없으며, 인증 시스템에 별도의 안전장치를 부가하지 않으면 중계 서버를 거치지 않고 직접 인증서버에 요청을 보내어 비정상적인 데이터 접근이 시도될 수 있다.In addition, if a failure occurs in the relay server, all service-related authentication can not be performed. If a separate security device is not added to the authentication system, abnormal data access can be attempted by sending a request directly to the authentication server without going through the relay server.

위와 같은 문제점으로부터 안출된 본 발명이 해결하고자 하는 기술적 과제는, 클라이언트의 위치에서 가장 가까운 인증서버로 직접 접근요청을 전송할 수 있는 클라이언트 인증 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a client authentication system capable of transmitting a direct access request to an authentication server closest to a client.

본 발명이 해결하고자 하는 다른 기술적 과제는, 복수의 인증서버를 운용함으로써 클라이언트에서 가장 가까운 인증서버에 장애가 발생할 경우, 다른 지역의 인증서버를 이용하여 인증을 수행할 수 있는 클라이언트 인증 시스템을 제공하는 것이다.Another object of the present invention is to provide a client authentication system capable of performing authentication using an authentication server in another region when a failure occurs in an authentication server closest to the client by operating a plurality of authentication servers .

본 발명이 해결하고자 하는 또 다른 기술적 과제는, 복수의 인증서버를 관리하는 상위 인증 서버를 통해 인증된 복수의 인증서버 사이에 인증이 수행될 수 있는 클라이언트 인증 시스템을 제공하는 것이다.Another object of the present invention is to provide a client authentication system capable of performing authentication between a plurality of authentication servers authenticated through an upper authentication server managing a plurality of authentication servers.

본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The technical objects of the present invention are not limited to the above-mentioned technical problems, and other technical subjects not mentioned can be clearly understood by those skilled in the art from the following description.

상기 언급된 기술적 과제들을 해결하기 위한, 본 발명의 일 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달된다.According to an aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client, And a network for transmitting the access request to a first authentication server closest to the client among the plurality of authentication servers, wherein when the first authentication server does not respond, And is transmitted to a second authentication server which is close to the first authentication server among the plurality of authentication servers.

상기 언급된 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 제1 엔터티는 상기 접근요청을 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버의 제2 엔터티로 전달한다.According to another aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client and managing one or more entities, And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers, wherein the first authentication server If not, the first entity forwards the access request to the second entity of the second authentication server, which is close to the first authentication server among the plurality of authentication servers.

상기 언급된 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 클라이언트는 인증완료 후 제2 인증서버의 제2 엔터티를 할당받는다.According to another aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client and managing one or more entities, A higher authentication server for registering and managing a plurality of authentication servers and a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers, And then the second entity of the second authentication server is allocated.

상기와 같은 본 발명에 따르면, 사용자의 위치에서 가장 가까운 인증서버에 직접 인증요청 및/또는 접속요청을 전송하므로 매 인증마다 중계 서버를 거치는 시간만큼 인증 시간을 단축할 수 있다.According to the present invention, since the authentication request and / or the connection request are transmitted directly to the authentication server closest to the user's location, the authentication time can be shortened by the time passing through the relay server for each authentication.

또한, 클라이언트가 초기에 발급받은 인증서를 사용하면, 데이터 센터에 분산된 모든 인증서버를 통해 인증이 가능하며, 인증서버 중 하나에 장애가 생겨도 다른 지역의 인증서버를 이용하면 인증을 받을 수 있다.In addition, if a client uses an initial certificate, it can be authenticated through all the authentication servers distributed in the data center. Even if one of the authentication servers fails, authentication can be performed using an authentication server in another region.

또한, 각 인증서버는 상위 인증 서버에 의해 서로 인증된 상태로 동작하기 때문에 인증 과정에 허가되지 않은 제3자가 끼어들 수 없으며, 무단 침입을 방지할 수 있다.Also, since each authentication server operates in a mutually authenticated state by an upper authentication server, an unauthorized third party can not intervene in the authentication process and can prevent unauthorized intrusion.

도 1은 본 발명의 일 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 2 내지 도 5은 도 1의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.
도 6은 도 1의 클라이언트 인증 시스템을 구성하는 인증서버의 구성을 나타내는 도면이다.
도 7은 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 8 내지 도 13은 도 7의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.
도 14는 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 15 및 도 16은 도 14의 클라이언트 인증 시스템에 따른 인증 및 할당 과정을 설명하기 위한 도면이다.1 is a block diagram of a client authentication system according to an embodiment of the present invention.
FIGS. 2 to 5 are views for sequentially illustrating an authentication process according to the client authentication system of FIG.
6 is a diagram showing the configuration of an authentication server constituting the client authentication system of FIG.
7 is a diagram illustrating a client authentication system according to another embodiment of the present invention.
8 to 13 sequentially illustrate the authentication process according to the client authentication system of FIG.
14 is a diagram illustrating a client authentication system according to another embodiment of the present invention.
15 and 16 are diagrams for explaining an authentication and assignment process according to the client authentication system of FIG.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.

다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.

본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms " comprises "and / or" comprising "used in the specification do not exclude the presence or addition of one or more other elements in addition to the stated element.

이하, 본 발명의 실시예들에 의하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Hereinafter, the present invention will be described with reference to embodiments of the present invention. At this point, it will be appreciated that the combinations of blocks and flowchart illustrations in the process flow diagrams may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus, so that those instructions, which are executed through a processor of a computer or other programmable data processing apparatus, Thereby creating means for performing functions. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory The instructions stored in the block diagram (s) are also capable of producing manufacturing items containing instruction means for performing the functions described in the flowchart block (s). Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible for the instructions to perform the processing equipment to provide steps for executing the functions described in the flowchart block (s).

본 명세서에서 사용되는 사용되는 '부' 또는 '모듈'이라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부' 또는 '모듈'은 어떤 역할들을 수행한다. 그렇지만 '부' 또는 '모듈'은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부' 또는 '모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부' 또는 '모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함할 수 있다. 구성요소들과 '부' 또는 '모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부' 또는 '모듈'들로 결합되거나 추가적인 구성요소들과 '부' 또는 '모듈'들로 더 분리될 수 있다.The term "sub" or "module" as used herein refers to a hardware component such as software or an FPGA or ASIC, and the term "sub" or "module" performs certain roles. However, " part " or " module " is not meant to be limited to software or hardware. The term " part " or " module " may be configured to reside on an addressable storage medium and configured to play one or more processors. Thus, by way of example, 'a' or 'module' is intended to be broadly interpreted as encompassing any type of process, including features such as software components, object-oriented software components, class components and task components, Microcode, circuitry, data, databases, data structures, tables, arrays, and variables, as used herein, Or " modules " or " modules " or " modules " or " modules " Can be further separated.

이하, 도면을 참조하여 본 발명의 실시예들에 따른 클라이언트 인증 시스템의 구성에 대해 설명하기로 한다.Hereinafter, a configuration of a client authentication system according to embodiments of the present invention will be described with reference to the drawings.

도 1은 본 발명의 일 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 2 내지 도 5은 도 1의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이고, 도 6은 도 1의 클라이언트 인증 시스템을 구성하는 인증서버의 구성을 나타내는 도면이다.FIG. 1 is a diagram illustrating a client authentication system according to an embodiment of the present invention. FIGS. 2 to 5 are views for sequentially illustrating an authentication process according to the client authentication system of FIG. 1, 1 is a diagram showing a configuration of an authentication server constituting a client authentication system; FIG.

본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 제1 인증서버(210)가 인증불가상태인 경우, 상기 접근요청이 상기 복수의 인증서버(200) 중 상기 제1 인증서버(210)와 근접한 제2 인증서버(220)로 전달된다.The client authentication system according to the present embodiment includes a client 100 that transmits an access request, a plurality of authentication servers 200 that perform authentication of the client 100, And a network (400) for transmitting the access request to a first authentication server (210) closest to the client (100) among the plurality of authentication servers (200) 1 authentication server 210 is in an unauthorized state, the access request is transmitted to the second authentication server 220 close to the first authentication server 210 among the plurality of authentication servers 200.

즉, 본 실시예에 따르면, 클라이언트 인증 시스템은 하나 이상의 클라이언트(100), 하나 이상의 인증서버(200), 상위 인증 서버(300) 및 네트워크(400)로 구성된다.That is, according to the present embodiment, the client authentication system is composed of one or more clients 100, one or more authentication servers 200, an upper authentication server 300, and a network 400.

클라이언트(100)는 예를 들어 유선 또는 무선통신모듈을 포함하는 장치로서, 네트워크(400)를 통해 인증서버(200)에 접속하여 소정의 작업을 수행하는 장치일 수 있다.The client 100 may be, for example, a device including a wired or wireless communication module, and may be a device connected to the authentication server 200 through the network 400 to perform a predetermined operation.

클라이언트(100)의 종류에는 제한이 없으며, 예를 들어 일반적인 데스크탑 PC이거나 휴대가 가능하고 무선 인터넷 또는 휴대 인터넷을 통하여 클라우드 환경(200)을 제공하는 클라우드 서버와 통신 가능한 셀룰러폰(Cellular phone), 피씨에스폰(PCS phone: Personal Communications Services phone), 동기식/비동기식 IMT-2000(International Mobile Telecommunication-2000) 등 이동 단말을 포함하고, 이외에도 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA: Personal Digital Assistant), 스마트폰(Smart phone), 왑폰(WAP phone: Wireless application protocol phone), 모바일 게임기(mobile play-station)장치 또는, 랩탑 컴퓨터, 태블릿 컴퓨터, 네비게이션 시스템 등 일 수 있다.There is no limitation on the type of the client 100. For example, the client 100 may be a general desktop PC, a cellular phone capable of communicating with a cloud server that can carry the cloud environment 200 via a wireless Internet or a portable Internet, (PCS) phone, and a synchronous / asynchronous IMT-2000 (International Mobile Telecommunication-2000) mobile terminal. In addition, a Palm Personal Computer, a Personal Digital Assistant (PDA) A smart phone, a wireless application protocol phone (WAP phone), a mobile play-station device, or a laptop computer, a tablet computer, a navigation system, and the like.

인증서버(200)는 클라이언트(100)의 요청에 의해 인증을 수행하며, 기 존재하는 인증서가 있으면, 인증서의 유효성을 검증하고, 인증서가 없는 신규 클라이언트의 경우에는 인증서를 발급할 수 있다. 또한, 인증서 또는 인증과 관련된 절차를 기존에 수행한 클라이언트(100)에 대한 인증정보를 저장 및 관리하여, 동일한 클라이언트(100)가 재접속시에 인증 과정을 단축할 수도 있다. 이와 같은 클라이언트(100)의 인증정보는 모든 인증서버(200)에 공유되거나 참조될 수도 있다.The authentication server 200 performs authentication according to a request from the client 100, verifies the validity of the existing certificate if there is an existing certificate, and issues a certificate in the case of a new client without a certificate. In addition, the authentication process for the client 100, which has performed a process related to the certificate or the authentication, may be stored and managed, thereby shortening the authentication process when the same client 100 reconnects. The authentication information of the client 100 may be shared or referred to all the authentication servers 200. [

인증서버(200)는 복수로 구비될 수 있으며, 각각의 인증서버(200)는 지리적 또는 물리적으로 이격된 위치에 배치될 수 있으며, 각각의 인증서버(200) 전체 또는 일부는 서로 다른 인증정책을 따라 인증을 수행할 수 있다.A plurality of authentication servers 200 may be provided, and each of the authentication servers 200 may be disposed at a geographically or physically separated location, and all or part of the respective authentication servers 200 may have different authentication policies Authentication can be performed accordingly.

예를 들어, 제1 인증서버(210)는 국내에 위치하고, 제2 인증서버(220)는 외국에 위치할 수 있다. 또한, 제1 인증서버(210)는 클라이언트(100) 중에서 관리자 권한을 가지는 클라이언트 예를 들어 제1 클라이언트(110)의 인증 및 접속을 허가하는 반면, 일반 사용자 권한을 가지는 클라이언트 예를 들어 제2 클라이언트(120)의 인증 및 접속은 차단 또는 거부할 수 있다.For example, the first authentication server 210 may be located in the home country, and the second authentication server 220 may be located in a foreign country. Also, the first authentication server 210 permits authentication and connection of a client having an administrator authority, for example, the first client 110 among the clients 100, while allowing a client having general user authority, for example, The authentication and connection of the authentication server 120 may be blocked or denied.

반대로, 제2 인증서버(220)는 클라이언트(100) 중에서 일반 사용자 권한을 가지는 클라이언트 예를 들어 제2 클라이언트(120)의 인증 및 접속은 허가할 수 있는 반면, 관리자 권한을 가지는 클라이언트 예를 들어 제1 클라이언트(110)의 인증 및 접속은 차단 또는 거부할 수 있다.On the other hand, the second authentication server 220 can allow authentication and connection of a client having a general user right, for example, the second client 120, among the clients 100, 1 < / RTI > client 110 may be blocked or denied.

따라서, 동일한 클라이언트(100)라고 하더라도 클라이언트(100)가 접속한 인증서버(200)의 종류 및 인증정책에 따라 인증결과가 다르게 나타날 수 있다. 인증서버(200)의 보다 구체적인 구성은 도 6을 참조하여 상세히 설명한다.Therefore, even if the client 100 is the same client, the authentication result may be different according to the type of the authentication server 200 connected to the client 100 and the authentication policy. A more specific configuration of the authentication server 200 will be described in detail with reference to FIG.

클라이언트(100)와 인증서버(200)를 연결하는 네트워크(400)는 유선 또는 무선 인터넷일 수도 있고, 이외에도 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어망일 수도 있고, TCP/IP 프로토콜 및 그 상위 계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol) 등을 제공하는 개방형 컴퓨터 네트워크 구조를 의미할 수 있다.The network 400 connecting the client 100 and the authentication server 200 may be a wired or wireless Internet or may be a core network integrated with a wired public network, a wireless mobile communication network, or a portable Internet, or may be a TCP / An open computer network structure providing various services in the upper layer such as HTTP (Hyper Text Transfer Protocol), Telnet, FTP (File Transfer Protocol), DNS (Domain Name System), SMTP (Simple Mail Transfer Protocol) It can mean.

네트워크(400)는 복수의 인증서버(200) 중 인증을 요청한 클라이언트(100)와 가장 근접한 인증서버로 접근요청을 전달할 수 있다. 본 명세서에서 가장 근접한 인증서버는 지리적 또는 물리적인 거리가 가장 짧은 인증서버를 의미할 수도 있으며, 또는 소정의 패킷 전송 후 응답 패킷이 회신되는데 소요되는 시간이 가장 짧은 인증서버를 의미할 수도 있으며, 접속상태 또는 네트워크 상태 등을 종합적으로 고려하여 인증 환경이 가장 뛰어난 인증서버를 의미할 수도 있다.The network 400 may transmit the access request to the authentication server closest to the client 100 requesting authentication among the plurality of authentication servers 200. [ The authentication server closest to this specification may mean an authentication server having the shortest geographical or physical distance or an authentication server having the shortest time required for returning a response packet after a predetermined packet transmission, State, or network status of the authentication server.

클라이언트(100)가 네트워크(400)를 통해 인증서버(200)로 접속을 시도하게 되면, 네트워크(400)를 제공하는 서비스 제공업체(ISP)의 라우터 또는 분배기를 통해 클라이언트(100)와 가장 근접한 인증서버로 접근요청을 전달한다. 예를 들어, 클라이언트(100)가 국내에 위치하고, 제1 인증서버(210)는 국내, 제2 인증서버(220)는 미국에 존재하는 경우, 네트워크(400)는 클라이언트(100)의 접근요청을 제1 인증서버(210)로 전달한다. 반면, 클라이언트(100)가 미국으로 이동한 후, 미국 내에서 네트워크(400)를 통해 접근요청을 전송하는 경우, 네트워크(400)는 클라이언트(100)의 접근요청을 제2 인증서버(220)로 전달할 수 있다.When the client 100 tries to access the authentication server 200 through the network 400, the authentication of the client 100 through the router or distributor of the service provider (ISP) It sends an access request to the server. For example, when the client 100 is located in the country, the first authentication server 210 is located in the domestic, and the second authentication server 220 is located in the United States, the network 400 may request the access of the client 100 To the first authentication server 210. When the client 100 moves to the United States and then transmits an access request through the network 400 in the US, the network 400 transmits an access request of the client 100 to the second authentication server 220 .

다만, 예외적으로 클라이언트(100)와 동일 지역 내에 위치하는 인증서버(200)가 인증불가상태 예를 들어, 접속불가, 서버오류, 인증오류 등이 발생하는 경우에는, 최초 인증을 시도한 인증서버(200)와 인접하거나 또는 클라이언트(100)와 인접한 다른 인증서버(200)를 통해 접근요청이 전달되고 다른 인증서버(200)에서 해당 접근요청에 대한 인증작업을 수행할 수 있다.However, if the authentication server 200 located in the same area as the client 100 has an unauthenticable state, for example, a connection failure, a server error, an authentication error, or the like, the authentication server 200 Or an access request is transmitted through another authentication server 200 adjacent to the client 100, and another authentication server 200 can perform an authentication operation for the access request.

상위 인증 서버(300)는 복수의 인증서버(200)를 관리할 수 있다. 즉, 상위 인증 서버(200)는 관리자 등에 의한 수작업 또는 배치 프로그램, 세팅 프로그램 등에 의해 미리 자신이 관리하는 복수의 인증서버(200)에 대한 정보를 저장하고 있으며, 인증서버(200)를 인증하기 위한 별도의 인증서 또는 암호키 등을 저장할 수 있다.The upper authentication server 300 can manage a plurality of authentication servers 200. [ That is, the upper authentication server 200 stores information about a plurality of authentication servers 200 that it manages in advance by a manual operation by a manager or the like, a batch program, a setting program, and the like. In order to authenticate the authentication server 200 A separate certificate or encryption key, and so on.

상위 인증 서버(300)는 인증서버(200)의 무결성 또는 유효성을 검증할 수 있으며, 하나의 인증서버(200)가 다른 인증서버(200)에 대한 유효성 여부를 질의할 경우, 이에 대한 확인 후 인증 결과값을 질의한 인증서버(200)로 전송함으로써, 허가된 인증서버(200) 사이에서만 데이터가 교환될 수 있도록 제한한다.The upper authentication server 300 can verify the integrity or validity of the authentication server 200. When one authentication server 200 queries whether it is valid for another authentication server 200, And transmits the resultant value to the inquired authentication server 200 so that data can be exchanged only between the authorized authentication servers 200. [

이하, 도 2 내지 도 5를 참조하여, 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명한다.Hereinafter, the authentication process according to the client authentication system will be sequentially described with reference to FIGS. 2 to 5. FIG.

도 2를 참조하면, 먼저 복수의 클라이언트(100) 중 제1 클라이언트(110)가 네트워크(400)를 통해 접근요청을 전송한다. 이를 수신한 네트워크(400) 또는 네트워크(400)를 제공하는 플랫폼 서비스는 근접한 인증서버인 제2 인증서버(220)로 접근요청을 분배할 수 있다. 이때, 제2 인증서버(220)는 제1 클라이언트(110)와 가장 근접한 위치에 구비된 인증서버일 수 있다.Referring to FIG. 2, a first client 110 among a plurality of clients 100 transmits an access request through the network 400. The platform service providing the network 400 or the network 400 receiving the access request may distribute the access request to the second authentication server 220 which is the proximity authentication server. At this time, the second authentication server 220 may be an authentication server located closest to the first client 110.

도 3을 참조하면, 제1 클라이언트(110)가 제2 인증서버(220)를 통해 인증을 시도할 수 있으며, 인증이 성공적으로 완료되는 경우에는 인증 성공 메시지를 전달받을 수 있으나, 인증서버(200)가 인증을 수행하지 못하는 인증불가상태인 경우에는 제2 인증서버(220)와 인접한 제1 인증서버(210)로 접근요청이 전달될 수 있다. 이때, 제1 인증서버(210)는 제2 인증서버(220)와 물리적 또는 지리적으로 인접한 것 예를 들어 동일한 지역에 구비된 인증서버일 수 있으나, 이에 한정되지 않으며, 접근요청을 전송한 제1 클라이언트(110)와 두번째로 인접한 인증서버일 수도 있다.Referring to FIG. 3, the first client 110 may attempt to authenticate through the second authentication server 220. If the authentication is successfully completed, the authentication success message may be received. However, the authentication server 200 The access request may be transmitted to the first authentication server 210 adjacent to the second authentication server 220. [ In this case, the first authentication server 210 may be physically or geographically adjacent to the second authentication server 220, for example, an authentication server provided in the same area, but the present invention is not limited thereto, Or may be the second closest authentication server to the client 110.

도 4를 참조하면, 제2 인증서버(220)로부터 접근요청을 전달받은 제1 인증서버(210)는, 제2 인증서버(210)가 정당한 인증서버인지 확인하기 위해, 상위 인증 서버(300)로 접근요청을 전달한 제2 인증서버(220)에 대한 인증을 요청할 수 있다. 즉, 제1 클라이언트(110)로부터 직접 접근요청을 전달받은 제2 인증서버(220)는 직접 인증을 수행할 수 있는 반면, 제2 인증서버(220)로부터 접근요청을 전달받은 제1 인증서버(210)는, 제2 인증서버(220)가 등록된 인증서버인지를 확인할 수 있다.4, the first authentication server 210 receiving the access request from the second authentication server 220 receives the access request from the upper authentication server 300 to check whether the second authentication server 210 is a valid authentication server, The second authentication server 220 transmits the access request to the second authentication server 220. That is, the second authentication server 220 receiving the direct access request from the first client 110 can perform the direct authentication, while the first authentication server 220 receiving the access request from the second authentication server 220 210 can confirm that the second authentication server 220 is the registered authentication server.

몇몇 다른 실시예에서, 모든 인증서버(200)가 서로에 대한 정보를 저장할 수 있으며, 이러한 경우 상위 인증 서버(300)와의 인증서버에 대한 인증 과정은 생략될 수도 있다.In some other embodiments, all of the authentication servers 200 may store information about each other, in which case the authentication process for the authentication server with the upper authentication server 300 may be omitted.

상위 인증 서버(300)는 자신이 저장하고 있는 인증서버에 대한 데이터를 기초로 하여, 제1 인증서버(210)가 요청한 제2 인증서버(220)의 권한 및 타당성을 확인한 후 이에 대한 결과를 다시 제1 인증서버(210)로 제공할 수 있다.The upper authentication server 300 checks the authority and validity of the second authentication server 220 requested by the first authentication server 210 based on the data about the authentication server stored in the upper authentication server 300, To the first authentication server 210.

도 5를 참조하면, 제2 인증서버(220)가 정당한 인증서버로 판단되면, 제1 인증서버(210)는 제2 인증서버(220)로부터 수신된 접근요청을 처리할 수 있다. 예를 들어, 제1 클라이언트(110)가 최초 접속한 클라이언트인 경우에는, 제1 클라이언트(110)의 정보 및 식별 데이터를 기초로 정당한 사용자인지 확인한 후 인증서 발급 과정을 진행할 수 있다. 인증서가 발급되면, 제1 클라이언트(110)는 두번째 접속 이후에는 인증서를 기초로 접근요청에 대한 인증과정을 진행할 수 있다. 구체적인 제1 클라이언트(110)의 인증과정은 공지된 다양한 인증 프로토콜 또는 알고리즘에 의해 수행될 수 있으며, 인증과정에 대해 특정한 방법을 제한되지 않는다.Referring to FIG. 5, when the second authentication server 220 is determined to be a valid authentication server, the first authentication server 210 may process the access request received from the second authentication server 220. [ For example, if the first client 110 is a first-time client, the certificate issuing process can be performed after confirming that the user is a legitimate user based on the information of the first client 110 and the identification data. When the certificate is issued, the first client 110 may proceed to the authentication process for the access request based on the certificate after the second connection. The authentication process of the specific first client 110 can be performed by various known authentication protocols or algorithms, and a specific method for the authentication process is not limited.

인증과정이 완료되면, 제1 인증서버(210)는 접근요청을 전달한 제2 인증서버(220)를 거치거나 또는 직접 제1 클라이언트(110)로 접근요청에 대한 인증결과를 전달할 수 있다.When the authentication process is completed, the first authentication server 210 may pass the authentication request for the access request to the first client 110 via the second authentication server 220 that has transmitted the access request.

인증이 성공적으로 수행되면, 제1 클라이언트(110)는 인증서버(200)로부터 소정의 접속 권한 또는 데이터에 대한 관리 권한을 부여받을 수 있다.When the authentication is successfully performed, the first client 110 can be given a predetermined access right or management authority from the authentication server 200.

도 6을 참조하면, 상기 인증과정을 과정을 처리하는 제1 인증서버(210)의 구체적인 구성이 개시된다. 제1 인증서버(210) 이외에도 다른 인증서버(200)는 제1 인증서버(210)와 동일한 구조를 가질 수 있다.Referring to FIG. 6, a specific configuration of the first authentication server 210 that processes the authentication process is disclosed. In addition to the first authentication server 210, the other authentication server 200 may have the same structure as the first authentication server 210.

요청처리모듈(210a)은 인증수행모듈(210c)에 제1 클라이언트(110)로부터 수신된 접근요청을 전달하고 요청 수행에 대한 응답을 전송할 수 있다. 유선 또는 무선으로 데이터를 송수신하기 위한 유닛이 포함될 수 있다.The request processing module 210a may forward the access request received from the first client 110 to the authentication execution module 210c and send a response to the request execution. A unit for transmitting and receiving data by wire or wireless may be included.

인증정책 저장모듈(210b)은 인증서버(200)의 위치 또는 구역 등에 따라 서로 다를 수 있는 클라이언트(100)에 대한 인증정책을 저장할 수 있다. 앞서 설명한 바와 같이, 예를 들어 소정 기업의 국내 지사장은 국내 지사에 대한 모든 정보를 열람할 수 있으나, 미국에서는 모든 정보를 열람할 수 없을 수 있으며, 이러한 경우, 지사장(제1 클라이언트(110))가 국내에서 해당 인증서버(210)에 접근할 경우, 인증이 성공적으로 수행되는 반면, 미국에서 해당 인증서버(210)에 접근할 경우, 인증이 차단 또는 실패할 수 있다. 인증정책 저장모듈(210b)은 이처럼 특정 서비스 별 권한을 포함한 여러 가지 인증정책을 저장함으로써, 클라이언트(100)의 종류 또는 접속 위치 등을 기초로 인증을 수행하고 서로 다른 권한을 부여할 수 있다.The authentication policy storage module 210b may store an authentication policy for the client 100 that may differ from each other depending on the location or area of the authentication server 200. [ As described above, for example, the domestic branch office of a predetermined company can browse all the information about the domestic branch office, but not all the information in the US. In this case, the branch office (first client 110) Authentication is successfully performed when the authentication server 210 accesses the corresponding authentication server 210 in Korea, whereas authentication may be blocked or failed when accessing the authentication server 210 in the United States. The authentication policy storage module 210b stores various authentication policies including the specific service-specific privileges as described above, so that the authentication policy storage module 210b can perform authentication based on the type of the client 100, connection location, or the like, and grant different rights.

인증수행모듈(210c)은 인증서버 정보관리모듈(210e)에 의해 확인된 또는 허가된 다른 인증정보와 클라이언트(100)가 보낸 접근요청에 포함된 식별정보 등을 이용하여 인증을 수행할 수 있다. 사용하는 인증 방법에는 제한이 없으며, 특정 인증 프로토콜이나 알고리즘에 제한되지 않는다.The authentication performing module 210c can perform authentication using other authentication information identified or authorized by the authentication server information management module 210e and identification information included in an access request sent by the client 100. [ There is no restriction on the authentication method used, and it is not limited to a specific authentication protocol or algorithm.

인증정보 저장모듈(210d)은 클라이언트(100)의 인증에 필요한 필수 정보, 예를 들어 클라이언트(100)의 식별자, RSA 공개키, 비밀번호, 현재 인증 상태, 인증 만료 시각 등을 저장할 수 있다. 인증정보의 내용은 인증 프로토콜이나 알고리즘에 따라 달라질 수 있다.The authentication information storage module 210d may store essential information necessary for authentication of the client 100, for example, an identifier of the client 100, an RSA public key, a password, a current authentication status, an authentication expiration time, and the like. The content of the authentication information may vary depending on the authentication protocol or algorithm.

인증서버 정보관리모듈(210e)은 허가된 인증서버 목록을 관리할 수 있으며, 인증수행모듈(210c)에서 질의한 인증서버의 식별자가 존재하지 않을 경우, 상위 인증 서버(300)에 해당 식별자가 새로 추가된 인증서버(200)인지를 질의할 수 있다.The authentication server information management module 210e can manage the authorized authentication server list. If the identifier of the authentication server that is queried by the authentication performing module 210c does not exist, the authentication server information management module 210e updates the identifier It is possible to inquire whether it is the added authentication server 200 or not.

인증허가 정보저장모듈(210f)은 상위 인증 서버(300)에 의해 인증된 허가된(정당한) 인증서버(200)의 인증 정보를 저장할 수 있다. 본 저장모듈에는 허가된 인증서버(200)의 식별자, RSA 공개키 등이 저장될 수 있으며, 인증허가 정보저장모듈(210f)에 저장되지 않은 허가되지 않은 제3자는 인증서버(200)와 통신하지 못하도록 차단하여 보안을 유지할 수 있다.The authentication permission information storage module 210f may store the authentication information of the authorized (legitimate) authentication server 200 authenticated by the upper authentication server 300. [ An unauthorized third party that is not stored in the authentication permission information storage module 210f may not communicate with the authentication server 200 So that the security can be maintained.

즉, 인증허가 정보저장모듈(210f)에 저장된 인증서버로부터 접근요청을 전달받은 경우에는 별도로 상위 인증 서버(300)에 접근하지 않고 인증 과정을 수행할 수 있으나, 인증허가 정보저장모듈(210f)에 저장되지 않은 인증서버로부터 접근요청을 전달받은 경우에는 상위 인증 서버(300)로 인증 서버의 유효성을 검증받은 후 이상 없는 경우에 한하여 나머지 인증 과정을 수행할 수 있다.That is, when the access request is received from the authentication server stored in the authentication permission information storage module 210f, the authentication process can be performed without accessing the upper authentication server 300 separately. However, in the authentication permission information storage module 210f When the access request is received from the unauthenticated authentication server, the validity of the authentication server is verified by the upper authentication server 300, and the remaining authentication process can be performed only when there is no abnormality.

이하, 도 7 내지 도 13을 참조하여, 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템에 대해 설명한다. 도 7은 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 8 내지 도 13은 도 7의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.Hereinafter, a client authentication system according to another embodiment of the present invention will be described with reference to FIGS. 7 to 13. FIG. FIG. 7 is a view showing a client authentication system according to another embodiment of the present invention, and FIGS. 8 to 13 sequentially illustrate an authentication process according to the client authentication system of FIG.

본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)의 제1 엔터티(211)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 제1 인증서버(210)가 인증불가상태인 경우, 상기 제1 엔터티(211)는 상기 접근요청을 상기 복수의 인증서버(200) 중 상기 제1 인증서버(210)와 근접한 제2 인증서버(220)의 제2 엔터티(222)로 전달할 수 있다.The client authentication system according to the present embodiment includes a client 100 that transmits an access request, a plurality of authentication servers 200 that perform authentication of the client 100 and manage one or more entities, (200) and a first entity (211) of a first authentication server (210) closest to the client (100) among the plurality of authentication servers (200) Wherein the first entity (211) transmits the access request to the authentication server (200) of the plurality of authentication servers (200) when the first authentication server (210) 1 to the second entity 222 of the second authentication server 220 close to the first authentication server 210.

본 실시예는 구성 측면에서 이전 실시예와 일부가 상이하며, 구체적으로 각각의 인증서버(210, 220, 230)가 복수의 엔터티를 관리하며, 접근요청이 클라이언트(100)로부터 인증서버(200)로 전송되는 것이 아니라 인증서버(200)가 관리하는 엔터티 중 하나 이상으로 전송되는 것이 상이하다. 그 외 특별히 언급하지 않은 나머지 구성은 이전 실시예와 동일하며, 중복설명은 생략한다.Specifically, each of the authentication servers 210, 220 and 230 manages a plurality of entities, and an access request is transmitted from the client 100 to the authentication server 200. In this case, But is transmitted to one or more of the entities managed by the authentication server 200. [ The rest of the configuration is the same as that of the previous embodiment, and redundant description is omitted.

네트워크(400)가 제1 클라이언트(110)로부터 접근요청을 수신하게 되면, 복수의 인증서버(200) 중 제1 클라이언트(110)와 가장 근접한 제1 인증서버(210)의 소정 엔티티(213)로 접근요청을 전송할 수 있다.When the network 400 receives the access request from the first client 110, the network 400 accesses the predetermined entity 213 of the first authentication server 210 closest to the first client 110 among the plurality of the authentication servers 200 An access request can be transmitted.

본 명세서에서 엔터티는 인증서버(200)의 리소스를 이용하거나 또는 인증서버(200)가 관리하는 물리머신의 리소스를 이용하여, 가상적인 인스턴스로 동작하는 가상머신일 수 있으며, 또는 인증서버(200)에 의해 관리되는 물리적인 저장공간 또는 물리머신 자체를 의미할 수도 있다.In this specification, the entity may be a virtual machine that operates as a virtual instance using the resources of the authentication server 200 or using the resources of the physical machine managed by the authentication server 200, Lt; / RTI > or physical machine itself.

즉, 인증서버와 엔터티는 물리적으로 서로 다른 장치에 구현된 구성일 수 있으며, 또는 동일한 장치에 구현된 구성일 수도 있다.That is, the authentication server and the entity may be a configuration implemented in a physically different apparatus, or a configuration implemented in the same apparatus.

도 8을 참조하면, 제1 클라이언트(110)가 네트워크(400)를 통해 접근요청을 전송하면, 네트워크(400)는 복수의 인증서버(200) 중에서 제1 클라이언트(110)와 가장 인접한 제1 인증서버(210)의 제3 엔터티(213)로 접근요청을 전달할 수 있다.Referring to FIG. 8, when the first client 110 transmits an access request through the network 400, the network 400 receives a first authentication request from the plurality of authentication servers 200, And may forward the access request to the third entity 213 of the server 210.

도 9를 참조하면, 제1 인증서버(210)의 제3 엔터티(213)는 수신한 제1 클라이언트(110)의 접근요청을 자신과 연결된 제1 인증서버(210)로 전달할 수 있다. 제1 인증서버(210)에서 접근요청에 대한 인증을 처리할 수 있는 경우, 인증 작업이 수행되고 인증 결과가 제1 클라이언트(110)에게 전달된다.9, the third entity 213 of the first authentication server 210 may forward the access request of the received first client 110 to the first authentication server 210 connected thereto. When the first authentication server 210 can process the authentication for the access request, the authentication operation is performed and the authentication result is transmitted to the first client 110. [

도 10을 참조하면, 반면 제1 인증서버(210)가 인증불가상태인 경우, 제1 인증서버(210)의 제3 엔터티(213)는 수신한 제1 클라이언트(110)의 접근요청을 인접한 다른 엔터티(223)로 전달할 수 있다. 제2 인증서버(220)는 제1 인증서버(210)와 가장 인접한 인증서버일 수 있으며, 또는 제1 클라이언트(110)와 두번째로 인접한 인증서버일 수 있다.10, when the first authentication server 210 is in the authentication disabled state, the third entity 213 of the first authentication server 210 transmits the access request of the first client 110, which is received, To the entity 223. The second authentication server 220 may be the authentication server closest to the first authentication server 210 or may be the authentication server second closest to the first client 110.

앞서 설명한 바와 같이, 복수의 엔터티는 복수의 인증서버에 의해 관리되는 가상머신일 수 있으며, 인증서버와 동일 또는 다른 장치에 배치될 수 있다.As described above, a plurality of entities may be virtual machines managed by a plurality of authentication servers, and may be located in the same or different apparatus as the authentication server.

도 11을 참조하면, 제2 인증서버(220)의 제3 엔터티(223)는 수신한 접근요청 및 이에 포함된 소정의 데이터를 함께 제2 인증서버(220)로 전달할 수 있다.Referring to FIG. 11, the third entity 223 of the second authentication server 220 may transmit the received access request and predetermined data included therein to the second authentication server 220.

도 12를 참조하면, 제2 인증서버(220)는 전달받은 접근요청을 분석할 수 있으며, 이 과정에서 전달자인 제1 인증서버(210)의 적격 여부를 검증할 수 있으며, 자신이 기 보유한 인증서버의 목록에 제1 인증서버(210)가 포함되지 않은 경우에는 상위 인증 서버(300)를 통해 제1 인증서버(210) 및/또는 제1 인증서버(210)의 제3 엔터티(213)에 대한 인증 작업을 수행할 수 있다.Referring to FIG. 12, the second authentication server 220 can analyze the received access request. In this process, it is possible to verify whether the first authentication server 210 as a forwarder is eligible or not, If the first authentication server 210 is not included in the list of the servers, the first authentication server 210 and / or the third entity 213 of the first authentication server 210 are notified via the upper authentication server 300 The authentication process can be performed.

도 13을 참조하면, 인증작업 수행한 후 제2 인증서버(220)로부터 제1 클라이언트(110)로 인증결과가 전달될 수 있다.Referring to FIG. 13, the authentication result may be transmitted from the second authentication server 220 to the first client 110 after the authentication operation is performed.

앞선 실시예에서 설명한 바와 같이, 제1 및 제2 인증서버(210, 220)는 물리적으로 이격되어 있으며, 복수의 인증서버(200)의 일부 또는 전체는 서로 다른 인증정책을 따라 인증을 수행할 수 있다.As described in the foregoing embodiment, the first and second authentication servers 210 and 220 are physically separated from each other. Part or all of the plurality of authentication servers 200 can perform authentication according to different authentication policies have.

이하, 도 14 내지 도 16을 참조하여, 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템에 대해 설명한다. 도 14는 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 15 및 도 16은 도 14의 클라이언트 인증 시스템에 따른 인증 및 할당 과정을 설명하기 위한 도면이다.Hereinafter, a client authentication system according to another embodiment of the present invention will be described with reference to FIG. 14 to FIG. FIG. 14 is a diagram illustrating a client authentication system according to another embodiment of the present invention, and FIGS. 15 and 16 are views for explaining an authentication and assignment process according to the client authentication system of FIG.

본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)의 제1 엔터티(213)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 클라이언트(100)는 인증완료 후 제2 인증서버(230)의 제2 엔터티(232)를 할당받을 수 있다.The client authentication system according to the present embodiment includes a client 100 that transmits an access request, a plurality of authentication servers 200 that perform authentication of the client 100 and manage one or more entities, (200) to the first entity (213) of the first authentication server (210) closest to the client (100) among the plurality of authentication servers (200) The client 100 may be allocated a second entity 232 of the second authentication server 230 after the authentication is completed.

즉, 본 실시예에 따른 클라이언트 인증 시스템은 이전 실시예들에 따른 클라이언트 인증 시스템과 동일할 수 있으며, 이에 추가로 인증완료 후 인증서버(200)의 엔터티가 클라이언트(100)에게 할당되는 것이 상이하다.That is, the client authentication system according to the present embodiment may be the same as the client authentication system according to the previous embodiments, and the entity of the authentication server 200 is allocated to the client 100 after the authentication is completed .

앞서 설명한 바와 같이, 복수의 엔터티는 복수의 인증서버(200)에 의해 관리되는 가상머신일 수 있으며, 접근요청을 수신하여 인증을 처리하는 엔터티와, 인증 완료 후 클라이언트에게 할당되는 엔터티는 서로 상이할 수 있다.As described above, a plurality of entities may be a virtual machine managed by a plurality of authentication servers 200, and an entity that receives the access request and processes the authentication and an entity that is allocated to the client after authentication are different from each other .

예를 들어, 도 14에 도시된 바와 같이, 제1 클라이언트(110)는 제1 인증서버(210)의 제3 엔터티(213)를 통해 접근요청에 따른 인증과정을 수행할 수 있으며, 이 과정에서 제1 인증서버(210) 및 제1 인증서버(210)의 제3 엔터티(213)는 제1 클라이언트(110)와 지리적 또는 물리적으로 가장 근접한 위치에 배치된 것일 수 있다.For example, as shown in FIG. 14, the first client 110 can perform an authentication process according to an access request through the third entity 213 of the first authentication server 210, The first entity 210 of the first authentication server 210 and the third entity 213 of the first authentication server 210 may be located at a position closest to the first client 110 in the geographical or physical proximity.

반면, 인증 과정 후 데이터 처리 등의 작업을 위해 클라이언트(100)에 할당된 제3 인증서버(230)의 제2 엔터티(232)는 앞선 제1 인증서버(210)의 제3 엔터티(213)와 상이한 구성일 수 있으나, 이에 한정되는 것은 아니며 경우에 따라 제1 인증서버(210)와 제3 인증서버(230)는 동일한 구성일 수도 있다.The second entity 232 of the third authentication server 230 allocated to the client 100 for the data processing after the authentication process is connected to the third entity 213 of the first authentication server 210, The first authentication server 210 and the third authentication server 230 may have the same configuration.

인증 과정 후 데이터 시스템 등을 이용하는 제1 클라이언트(110)에게 할당되는 제3 인증서버(230)의 제2 엔터티(232)는 전체 데이터 시스템의 리소스 분배 등을 고려하여 결정될 수 있으며, 제1 클라이언트(110)와 인접하지 않는 구성일 수도 있다.The second entity 232 of the third authentication server 230 allocated to the first client 110 using the data system or the like after the authentication process can be determined in consideration of resource allocation of the entire data system, 110). ≪ / RTI >

도 15를 참조하면, 앞선 실시예에서와 마찬가지로 네트워크(400)를 통해 제1 클라이언트(110)의 접속 위치를 기준으로 하여 지리적 또는 물리적인 거리를 기초로 접근요청을 제 인증서버(210)의 소정 엔터티(213)로 분배하고, 소정 엔터티인 제3 엔터티(213)가 제1 인증서버(210)로 접근요청을 전달하여 제1 인증서버(210)에서 인증과정이 수행될 수 있다. 이 과정에서, 제1 인증서버(210)가 인증불가상태인 경우에는 다른 인증서버에서 인증 과정이 수행될 수도 있다.Referring to FIG. 15, in the same manner as in the previous embodiment, an access request is sent to the authentication server 210 based on the geographical or physical distance based on the connection position of the first client 110 via the network 400 Entity 213 and the third entity 213 as a predetermined entity transmits an access request to the first authentication server 210 so that the authentication process can be performed in the first authentication server 210. [ In this process, if the first authentication server 210 is in an authentication disabled state, the authentication process may be performed in another authentication server.

도 16을 참조하면, 인증이 완료된 후 데이터 시스템 매니저 등에 의해 데이터 저장 또는 처리 등을 수행하기 위해 엔터티를 할당받을 수 있으며, 도시된 예에서는 제1 인증서버(210)의 제3 엔터티(213)와 다른 제3 인증서버(230)의 제2 엔터티(232)가 인증 후 제1 클라이언트(110)에게 할당되는 구성이 개시되나, 이에 한정되는 것은 아니며, 리소스 분배 상황에 따라 인증을 수행했던 동일한 제1 인증서버(210)의 동일 또는 상이한 엔터티가 제1 클라이언트(110)에게 할당될 수 있다.Referring to FIG. 16, after the authentication is completed, an entity may be allocated to perform data storage or processing by a data system manager or the like. In the illustrated example, the third entity 213 of the first authentication server 210, The second entity 232 of the third authentication server 230 is assigned to the first client 110 after the authentication is started. However, the present invention is not limited to this, The same or different entities of the authentication server 210 may be assigned to the first client 110. [

이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.

100: 클라이언트
200: 인증서버
300: 상위인증서버
400: 네크워크100: Client
200: authentication server
300: upper authentication server
400: Network

Claims (18)

접근요청을 전송하는 클라이언트;
상기 클라이언트의 인증을 수행하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 제1 인증서버가 인증불가상태인 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달되며,
상기 제2 인증서버는 상기 제1 인증서버로부터 전달된 상기 접근요청을 수신할 때, 상기 상위 인증 서버로부터 상기 제1 인증서버의 인증확인을 수신하는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first authentication server closest to the client among the plurality of authentication servers,
When the first authentication server is in an authentication disabled state, the access request is transmitted to a second authentication server of the plurality of authentication servers close to the first authentication server,
And the second authentication server receives an authentication confirmation of the first authentication server from the upper authentication server when receiving the access request transmitted from the first authentication server. 제1항에 있어서,
상기 상위 인증 서버는 상기 제1 인증서버 및 상기 제2 인증서버가 등록된 인증 서버인지 인증하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the upper authentication server authenticates whether the first authentication server and the second authentication server are registered authentication servers. 삭제delete 제1항에 있어서,
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 지리적 또는 물리적인 거리를 기초로 상기 접근요청을 분배하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the network distributes the access request based on geographical or physical distance based on a connection location of the client. 제1항에 있어서,
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies. 접근요청을 전송하는 클라이언트;
상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 제1 인증서버가 인증불가상태인 경우, 상기 제1 엔터티는 상기 접근요청을 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버의 제2 엔터티로 전달하며,
상기 제2 인증서버는 상기 제2 엔터티가 상기 제1 엔터티로부터 전달된 상기 접근요청을 수신할 때, 상기 상위 인증서버로부터 상기 제1 인증서버의 인증확인을 수신하는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client and managing one or more entities;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers,
The first entity forwards the access request to the second entity of the second authentication server, which is close to the first authentication server among the plurality of authentication servers,
And the second authentication server receives an authentication confirmation of the first authentication server from the upper authentication server when the second entity receives the access request forwarded from the first entity. 제6항에 있어서,
상기 제1 엔터티는 상기 제2 엔터티로 상기 접근요청을 전달하는, 클라이언트 인증 시스템.The method according to claim 6,
The first entity forwards the access request to the second entity. 제6항에 있어서,
상기 제1 및 제2 엔터티 모두는 상기 제1 인증서버에서 관리되고 상기 제2 인증서버에서도 관리되는 가상머신인, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the first entity and the second entity are both managed by the first authentication server and managed by the second authentication server. 제6항에 있어서,
상기 상위 인증 서버는 상기 제1 인증서버 및 상기 제2 인증서버가 등록된 인증 서버인지 인증하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the upper authentication server authenticates whether the first authentication server and the second authentication server are registered authentication servers. 삭제delete 제6항에 있어서,
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 물리적인 거리를 기초로 상기 접근요청을 상기 제1 엔터티 및 상기 제2 엔터티로 분배하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the network distributes the access request to the first entity and the second entity based on a physical distance based on a connection location of the client. 제6항에 있어서,
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies. 접근요청을 전송하는 클라이언트;
상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 클라이언트는 인증완료 후 제2 인증서버의 제2 엔터티를 할당받는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client and managing one or more entities;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers,
Wherein the client is assigned a second entity of a second authentication server after authentication is completed. 제13항에 있어서,
상기 제1 엔터티와 상기 제2 엔터티는 서로 상이한, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first entity and the second entity are different from each other. 제13항에 있어서,
상기 제1 및 제2 엔터티 모두는 상기 제1 인증서버에서 관리되고 상기 제2 인증서버에서도 관리되는 가상머신인, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first entity and the second entity are both managed by the first authentication server and managed by the second authentication server. 제13항에 있어서,
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 물리적인 거리를 기초로 상기 접근요청을 상기 제1 엔터티로 분배하는, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the network distributes the access request to the first entity based on a physical distance based on a connection location of the client. 제13항에 있어서,
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies. 제17항에 있어서,
상기 인증정책은 상기 클라이언트의 상기 제2 엔터티에 대한 권한을 차등적으로 부여하는, 클라이언트 인증 시스템.18. The method of claim 17,
Wherein the authentication policy differentially grants rights to the second entity of the client.
KR1020120122083A 2012-10-31 2012-10-31 System for authenticating clients KR101471880B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120122083A KR101471880B1 (en) 2012-10-31 2012-10-31 System for authenticating clients

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120122083A KR101471880B1 (en) 2012-10-31 2012-10-31 System for authenticating clients

Publications (2)

Publication Number Publication Date
KR20140055373A KR20140055373A (en) 2014-05-09
KR101471880B1 true KR101471880B1 (en) 2014-12-11

Family

ID=50887036

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120122083A KR101471880B1 (en) 2012-10-31 2012-10-31 System for authenticating clients

Country Status (1)

Country Link
KR (1) KR101471880B1 (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102110099B1 (en) * 2020-03-09 2020-05-13 주식회사 케이비시스 System for providing cloud service based on container
KR102247132B1 (en) * 2020-07-24 2021-05-03 한국전자기술연구원 Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10307798A (en) * 1997-05-02 1998-11-17 Nec Corp Certification system in load distributed certification server
JP2004120645A (en) * 2002-09-27 2004-04-15 Matsushita Electric Ind Co Ltd Terminal authentication system, terminal authentication method and terminal authentication server
KR20090094579A (en) * 2008-03-03 2009-09-08 비씨카드(주) System and Method for certification
KR20120026216A (en) * 2010-09-09 2012-03-19 에스케이 텔레콤주식회사 System and method for terminal authentication processing

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10307798A (en) * 1997-05-02 1998-11-17 Nec Corp Certification system in load distributed certification server
JP2004120645A (en) * 2002-09-27 2004-04-15 Matsushita Electric Ind Co Ltd Terminal authentication system, terminal authentication method and terminal authentication server
KR20090094579A (en) * 2008-03-03 2009-09-08 비씨카드(주) System and Method for certification
KR20120026216A (en) * 2010-09-09 2012-03-19 에스케이 텔레콤주식회사 System and method for terminal authentication processing

Also Published As

Publication number Publication date
KR20140055373A (en) 2014-05-09

Similar Documents

Publication Publication Date Title
US8990356B2 (en) Adaptive name resolution
CN106034104B (en) Verification method, device and system for network application access
US9356928B2 (en) Mechanisms to use network session identifiers for software-as-a-service authentication
EP2579539B1 (en) Authenticated name resolution
KR101518526B1 (en) Authentication method without credential duplication for users belonging to different organizations
US9237021B2 (en) Certificate grant list at network device
US8887296B2 (en) Method and system for object-based multi-level security in a service oriented architecture
EP3069493B1 (en) Authentication system
US20140223178A1 (en) Securing Communication over a Network Using User Identity Verification
JP2007219935A (en) Distributed authentication system and distributed authentication method
EP3143780B1 (en) Device authentication to capillary gateway
EP2924944B1 (en) Network authentication
US9548982B1 (en) Secure controlled access to authentication servers
US10404684B1 (en) Mobile device management registration
CN114500120B (en) Public cloud expansion method, device, system and storage medium
CN108449364A (en) A kind of distributed identity authentication method and cloud certification node
CN106535089B (en) Machine-to-machine virtual private network
KR20150053912A (en) Method and devices for registering a client to a server
Chae et al. A study on secure user authentication and authorization in OAuth protocol
KR101471880B1 (en) System for authenticating clients
EP2920912B1 (en) Electronic rendezvous-based two stage access control for private networks
US11271925B1 (en) Secure access gateway for egress system
US10298588B2 (en) Secure communication system and method
CN112335215B (en) Method for coupling terminal devices into a network-enabled computer infrastructure
WO2011063658A1 (en) Method and system for unified security authentication

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee