KR101471880B1 - System for authenticating clients - Google Patents
System for authenticating clients Download PDFInfo
- Publication number
- KR101471880B1 KR101471880B1 KR1020120122083A KR20120122083A KR101471880B1 KR 101471880 B1 KR101471880 B1 KR 101471880B1 KR 1020120122083 A KR1020120122083 A KR 1020120122083A KR 20120122083 A KR20120122083 A KR 20120122083A KR 101471880 B1 KR101471880 B1 KR 101471880B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- authentication server
- client
- entity
- server
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
클라이언트 인증 시스템이 제공된다. 본 발명의 일 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달된다.A client authentication system is provided. A client authentication system according to an embodiment of the present invention includes a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client, a higher authentication server for registering and managing the plurality of authentication servers, And a network for transmitting the access request to a first authentication server closest to the client among the authentication servers, wherein when the first authentication server does not respond, the access request is transmitted to the first authentication server among the plurality of authentication servers To the second authentication server close to the second authentication server.
Description
본 발명은 클라이언트 인증 시스템에 관한 것으로, 보다 자세하게는 복수의 인증서버로 인증을 수행하되 복수의 인증서버에 인증요청을 분산시키기 위한 중계서버가 불필요한 클라이언트 인증 시스템에 관한 것이다.The present invention relates to a client authentication system, and more particularly, to a client authentication system that does not require a relay server for performing authentication with a plurality of authentication servers and distributing authentication requests to a plurality of authentication servers.
데이터 센터는 대용량 데이터(Big Data)를 저장하고 이를 관리할 수 있도록 하는 서비스를 제공할 수 있다. 각 클라이언트에게 소정의 물리적인 머신을 할당하여 클라이언트가 해당 물리 머신에 데이터를 자유롭게 저장, 조회 및 삭제할 수 있도록 하는 기존의 방식에서 벗어나서, 최근의 데이터 센터 운용은 물리적인 머신에 복수의 가상머신을 생성하고, 각 가상머신을 클라이언트에게 할당함으로써, 보다 효율적인 데이터 관리 서비스를 제공하고 있다.The data center can provide services to store and manage large data (Big Data). Moving away from the existing way of allowing a client to allocate a given physical machine to each client so that the client can freely store, retrieve, and delete data on that physical machine, recent data center operations create multiple virtual machines on a physical machine And allocates each virtual machine to a client, thereby providing a more efficient data management service.
일반적인 데이터 관리 서비스는 데이터 보안을 달성하기 위해, 인증된 사용자만이 접근할 수 있도록 인증 시스템을 제공하고 있다. 기존의 인증 시스템은 사용자의 인증요청을 받아 사용자의 위치에 따라 적합한 데이터 센터에 위치하는 인증서버로 인증 요청을 전달하는 중계서버(intermediary server)를 통해 여러 지역에서의 인증을 수행하는 형태로 수행된다.Typical data management services provide an authentication system that can be accessed only by authenticated users to achieve data security. The existing authentication system receives the user's authentication request and performs authentication in various areas through an intermediary server that delivers the authentication request to the authentication server located in the appropriate data center according to the location of the user .
그러나, 이와 같은 종래의 인증 시스템은, 인증 요청을 보낼 때마다 중계서버를 거쳐야 하므로 속도가 느리며, 예를 들어 사용자가 아시아에 있고 중계서버가 유럽에 있다면, 사용자의 인증 요청이 중계 서버(유럽)까지 송신된 후, 다시 사용자의 위치에 가까운 인증 서버(아시아)로 전달되어야 하는 구조를 가진다.However, if the user is in Asia and the relay server is in Europe, the authentication request of the user is transmitted to the relay server (Europe) And then to the authentication server (Asia) close to the user's location.
또한, 중계서버에 장애가 생길 경우 모든 서비스 관련 인증을 수행할 수 없으며, 인증 시스템에 별도의 안전장치를 부가하지 않으면 중계 서버를 거치지 않고 직접 인증서버에 요청을 보내어 비정상적인 데이터 접근이 시도될 수 있다.In addition, if a failure occurs in the relay server, all service-related authentication can not be performed. If a separate security device is not added to the authentication system, abnormal data access can be attempted by sending a request directly to the authentication server without going through the relay server.
위와 같은 문제점으로부터 안출된 본 발명이 해결하고자 하는 기술적 과제는, 클라이언트의 위치에서 가장 가까운 인증서버로 직접 접근요청을 전송할 수 있는 클라이언트 인증 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION The present invention has been made in view of the above problems, and it is an object of the present invention to provide a client authentication system capable of transmitting a direct access request to an authentication server closest to a client.
본 발명이 해결하고자 하는 다른 기술적 과제는, 복수의 인증서버를 운용함으로써 클라이언트에서 가장 가까운 인증서버에 장애가 발생할 경우, 다른 지역의 인증서버를 이용하여 인증을 수행할 수 있는 클라이언트 인증 시스템을 제공하는 것이다.Another object of the present invention is to provide a client authentication system capable of performing authentication using an authentication server in another region when a failure occurs in an authentication server closest to the client by operating a plurality of authentication servers .
본 발명이 해결하고자 하는 또 다른 기술적 과제는, 복수의 인증서버를 관리하는 상위 인증 서버를 통해 인증된 복수의 인증서버 사이에 인증이 수행될 수 있는 클라이언트 인증 시스템을 제공하는 것이다.Another object of the present invention is to provide a client authentication system capable of performing authentication between a plurality of authentication servers authenticated through an upper authentication server managing a plurality of authentication servers.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The technical objects of the present invention are not limited to the above-mentioned technical problems, and other technical subjects not mentioned can be clearly understood by those skilled in the art from the following description.
상기 언급된 기술적 과제들을 해결하기 위한, 본 발명의 일 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달된다.According to an aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client, And a network for transmitting the access request to a first authentication server closest to the client among the plurality of authentication servers, wherein when the first authentication server does not respond, And is transmitted to a second authentication server which is close to the first authentication server among the plurality of authentication servers.
상기 언급된 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 제1 인증서버가 응답하지 않을 경우, 상기 제1 엔터티는 상기 접근요청을 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버의 제2 엔터티로 전달한다.According to another aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client and managing one or more entities, And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers, wherein the first authentication server If not, the first entity forwards the access request to the second entity of the second authentication server, which is close to the first authentication server among the plurality of authentication servers.
상기 언급된 기술적 과제를 해결하기 위한 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트, 상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버, 상기 복수의 인증서버를 등록 및 관리하는 상위 인증 서버, 및 상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되, 상기 클라이언트는 인증완료 후 제2 인증서버의 제2 엔터티를 할당받는다.According to another aspect of the present invention, there is provided a client authentication system including a client for transmitting an access request, a plurality of authentication servers for performing authentication of the client and managing one or more entities, A higher authentication server for registering and managing a plurality of authentication servers and a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers, And then the second entity of the second authentication server is allocated.
상기와 같은 본 발명에 따르면, 사용자의 위치에서 가장 가까운 인증서버에 직접 인증요청 및/또는 접속요청을 전송하므로 매 인증마다 중계 서버를 거치는 시간만큼 인증 시간을 단축할 수 있다.According to the present invention, since the authentication request and / or the connection request are transmitted directly to the authentication server closest to the user's location, the authentication time can be shortened by the time passing through the relay server for each authentication.
또한, 클라이언트가 초기에 발급받은 인증서를 사용하면, 데이터 센터에 분산된 모든 인증서버를 통해 인증이 가능하며, 인증서버 중 하나에 장애가 생겨도 다른 지역의 인증서버를 이용하면 인증을 받을 수 있다.In addition, if a client uses an initial certificate, it can be authenticated through all the authentication servers distributed in the data center. Even if one of the authentication servers fails, authentication can be performed using an authentication server in another region.
또한, 각 인증서버는 상위 인증 서버에 의해 서로 인증된 상태로 동작하기 때문에 인증 과정에 허가되지 않은 제3자가 끼어들 수 없으며, 무단 침입을 방지할 수 있다.Also, since each authentication server operates in a mutually authenticated state by an upper authentication server, an unauthorized third party can not intervene in the authentication process and can prevent unauthorized intrusion.
도 1은 본 발명의 일 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 2 내지 도 5은 도 1의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.
도 6은 도 1의 클라이언트 인증 시스템을 구성하는 인증서버의 구성을 나타내는 도면이다.
도 7은 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 8 내지 도 13은 도 7의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.
도 14는 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이다.
도 15 및 도 16은 도 14의 클라이언트 인증 시스템에 따른 인증 및 할당 과정을 설명하기 위한 도면이다.1 is a block diagram of a client authentication system according to an embodiment of the present invention.
FIGS. 2 to 5 are views for sequentially illustrating an authentication process according to the client authentication system of FIG.
6 is a diagram showing the configuration of an authentication server constituting the client authentication system of FIG.
7 is a diagram illustrating a client authentication system according to another embodiment of the present invention.
8 to 13 sequentially illustrate the authentication process according to the client authentication system of FIG.
14 is a diagram illustrating a client authentication system according to another embodiment of the present invention.
15 and 16 are diagrams for explaining an authentication and assignment process according to the client authentication system of FIG.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 게시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 게시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention and the manner of achieving them will become apparent with reference to the embodiments described in detail below with reference to the accompanying drawings. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. Rather, these embodiments are provided so that this disclosure will be thorough and complete, and will fully convey the scope of the invention to those skilled in the art. Is provided to fully convey the scope of the invention to those skilled in the art, and the invention is only defined by the scope of the claims. Like reference numerals refer to like elements throughout the specification.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있을 것이다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.Unless defined otherwise, all terms (including technical and scientific terms) used herein may be used in a sense commonly understood by one of ordinary skill in the art to which this invention belongs. Also, commonly used predefined terms are not ideally or excessively interpreted unless explicitly defined otherwise.
본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 및/또는 "포함하는(comprising)"은 언급된 구성요소 외에 하나 이상의 다른 구성요소의 존재 또는 추가를 배제하지 않는다.The terminology used herein is for the purpose of illustrating embodiments and is not intended to be limiting of the present invention. In the present specification, the singular form includes plural forms unless otherwise specified in the specification. The terms " comprises "and / or" comprising "used in the specification do not exclude the presence or addition of one or more other elements in addition to the stated element.
이하, 본 발명의 실시예들에 의하여 본 발명에 대해 설명하도록 한다. 이 때, 처리 흐름도 도면들의 각 블록과 흐름도 도면들의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수 있음을 이해할 수 있을 것이다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 흐름도 블록(들)에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 흐름도 블록(들)에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 흐름도 블록(들)에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.Hereinafter, the present invention will be described with reference to embodiments of the present invention. At this point, it will be appreciated that the combinations of blocks and flowchart illustrations in the process flow diagrams may be performed by computer program instructions. These computer program instructions may be loaded into a processor of a general purpose computer, special purpose computer, or other programmable data processing apparatus, so that those instructions, which are executed through a processor of a computer or other programmable data processing apparatus, Thereby creating means for performing functions. These computer program instructions may also be stored in a computer usable or computer readable memory capable of directing a computer or other programmable data processing apparatus to implement the functionality in a particular manner so that the computer usable or computer readable memory The instructions stored in the block diagram (s) are also capable of producing manufacturing items containing instruction means for performing the functions described in the flowchart block (s). Computer program instructions may also be stored on a computer or other programmable data processing equipment so that a series of operating steps may be performed on a computer or other programmable data processing equipment to create a computer- It is also possible for the instructions to perform the processing equipment to provide steps for executing the functions described in the flowchart block (s).
본 명세서에서 사용되는 사용되는 '부' 또는 '모듈'이라는 용어는 소프트웨어 또는 FPGA또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부' 또는 '모듈'은 어떤 역할들을 수행한다. 그렇지만 '부' 또는 '모듈'은 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부' 또는 '모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부' 또는 '모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들, 및 변수들을 포함할 수 있다. 구성요소들과 '부' 또는 '모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부' 또는 '모듈'들로 결합되거나 추가적인 구성요소들과 '부' 또는 '모듈'들로 더 분리될 수 있다.The term "sub" or "module" as used herein refers to a hardware component such as software or an FPGA or ASIC, and the term "sub" or "module" performs certain roles. However, " part " or " module " is not meant to be limited to software or hardware. The term " part " or " module " may be configured to reside on an addressable storage medium and configured to play one or more processors. Thus, by way of example, 'a' or 'module' is intended to be broadly interpreted as encompassing any type of process, including features such as software components, object-oriented software components, class components and task components, Microcode, circuitry, data, databases, data structures, tables, arrays, and variables, as used herein, Or " modules " or " modules " or " modules " or " modules " Can be further separated.
이하, 도면을 참조하여 본 발명의 실시예들에 따른 클라이언트 인증 시스템의 구성에 대해 설명하기로 한다.Hereinafter, a configuration of a client authentication system according to embodiments of the present invention will be described with reference to the drawings.
도 1은 본 발명의 일 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 2 내지 도 5은 도 1의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이고, 도 6은 도 1의 클라이언트 인증 시스템을 구성하는 인증서버의 구성을 나타내는 도면이다.FIG. 1 is a diagram illustrating a client authentication system according to an embodiment of the present invention. FIGS. 2 to 5 are views for sequentially illustrating an authentication process according to the client authentication system of FIG. 1, 1 is a diagram showing a configuration of an authentication server constituting a client authentication system; FIG.
본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 제1 인증서버(210)가 인증불가상태인 경우, 상기 접근요청이 상기 복수의 인증서버(200) 중 상기 제1 인증서버(210)와 근접한 제2 인증서버(220)로 전달된다.The client authentication system according to the present embodiment includes a
즉, 본 실시예에 따르면, 클라이언트 인증 시스템은 하나 이상의 클라이언트(100), 하나 이상의 인증서버(200), 상위 인증 서버(300) 및 네트워크(400)로 구성된다.That is, according to the present embodiment, the client authentication system is composed of one or
클라이언트(100)는 예를 들어 유선 또는 무선통신모듈을 포함하는 장치로서, 네트워크(400)를 통해 인증서버(200)에 접속하여 소정의 작업을 수행하는 장치일 수 있다.The
클라이언트(100)의 종류에는 제한이 없으며, 예를 들어 일반적인 데스크탑 PC이거나 휴대가 가능하고 무선 인터넷 또는 휴대 인터넷을 통하여 클라우드 환경(200)을 제공하는 클라우드 서버와 통신 가능한 셀룰러폰(Cellular phone), 피씨에스폰(PCS phone: Personal Communications Services phone), 동기식/비동기식 IMT-2000(International Mobile Telecommunication-2000) 등 이동 단말을 포함하고, 이외에도 팜 PC(Palm Personal Computer), 개인용 디지털 보조기(PDA: Personal Digital Assistant), 스마트폰(Smart phone), 왑폰(WAP phone: Wireless application protocol phone), 모바일 게임기(mobile play-station)장치 또는, 랩탑 컴퓨터, 태블릿 컴퓨터, 네비게이션 시스템 등 일 수 있다.There is no limitation on the type of the
인증서버(200)는 클라이언트(100)의 요청에 의해 인증을 수행하며, 기 존재하는 인증서가 있으면, 인증서의 유효성을 검증하고, 인증서가 없는 신규 클라이언트의 경우에는 인증서를 발급할 수 있다. 또한, 인증서 또는 인증과 관련된 절차를 기존에 수행한 클라이언트(100)에 대한 인증정보를 저장 및 관리하여, 동일한 클라이언트(100)가 재접속시에 인증 과정을 단축할 수도 있다. 이와 같은 클라이언트(100)의 인증정보는 모든 인증서버(200)에 공유되거나 참조될 수도 있다.The
인증서버(200)는 복수로 구비될 수 있으며, 각각의 인증서버(200)는 지리적 또는 물리적으로 이격된 위치에 배치될 수 있으며, 각각의 인증서버(200) 전체 또는 일부는 서로 다른 인증정책을 따라 인증을 수행할 수 있다.A plurality of
예를 들어, 제1 인증서버(210)는 국내에 위치하고, 제2 인증서버(220)는 외국에 위치할 수 있다. 또한, 제1 인증서버(210)는 클라이언트(100) 중에서 관리자 권한을 가지는 클라이언트 예를 들어 제1 클라이언트(110)의 인증 및 접속을 허가하는 반면, 일반 사용자 권한을 가지는 클라이언트 예를 들어 제2 클라이언트(120)의 인증 및 접속은 차단 또는 거부할 수 있다.For example, the
반대로, 제2 인증서버(220)는 클라이언트(100) 중에서 일반 사용자 권한을 가지는 클라이언트 예를 들어 제2 클라이언트(120)의 인증 및 접속은 허가할 수 있는 반면, 관리자 권한을 가지는 클라이언트 예를 들어 제1 클라이언트(110)의 인증 및 접속은 차단 또는 거부할 수 있다.On the other hand, the
따라서, 동일한 클라이언트(100)라고 하더라도 클라이언트(100)가 접속한 인증서버(200)의 종류 및 인증정책에 따라 인증결과가 다르게 나타날 수 있다. 인증서버(200)의 보다 구체적인 구성은 도 6을 참조하여 상세히 설명한다.Therefore, even if the
클라이언트(100)와 인증서버(200)를 연결하는 네트워크(400)는 유선 또는 무선 인터넷일 수도 있고, 이외에도 유선 공중망, 무선 이동 통신망, 또는 휴대 인터넷 등과 통합된 코어망일 수도 있고, TCP/IP 프로토콜 및 그 상위 계층에 존재하는 여러 서비스, 즉 HTTP(Hyper Text Transfer Protocol), Telnet, FTP(File Transfer Protocol), DNS(Domain Name System), SMTP(Simple Mail Transfer Protocol) 등을 제공하는 개방형 컴퓨터 네트워크 구조를 의미할 수 있다.The
네트워크(400)는 복수의 인증서버(200) 중 인증을 요청한 클라이언트(100)와 가장 근접한 인증서버로 접근요청을 전달할 수 있다. 본 명세서에서 가장 근접한 인증서버는 지리적 또는 물리적인 거리가 가장 짧은 인증서버를 의미할 수도 있으며, 또는 소정의 패킷 전송 후 응답 패킷이 회신되는데 소요되는 시간이 가장 짧은 인증서버를 의미할 수도 있으며, 접속상태 또는 네트워크 상태 등을 종합적으로 고려하여 인증 환경이 가장 뛰어난 인증서버를 의미할 수도 있다.The
클라이언트(100)가 네트워크(400)를 통해 인증서버(200)로 접속을 시도하게 되면, 네트워크(400)를 제공하는 서비스 제공업체(ISP)의 라우터 또는 분배기를 통해 클라이언트(100)와 가장 근접한 인증서버로 접근요청을 전달한다. 예를 들어, 클라이언트(100)가 국내에 위치하고, 제1 인증서버(210)는 국내, 제2 인증서버(220)는 미국에 존재하는 경우, 네트워크(400)는 클라이언트(100)의 접근요청을 제1 인증서버(210)로 전달한다. 반면, 클라이언트(100)가 미국으로 이동한 후, 미국 내에서 네트워크(400)를 통해 접근요청을 전송하는 경우, 네트워크(400)는 클라이언트(100)의 접근요청을 제2 인증서버(220)로 전달할 수 있다.When the
다만, 예외적으로 클라이언트(100)와 동일 지역 내에 위치하는 인증서버(200)가 인증불가상태 예를 들어, 접속불가, 서버오류, 인증오류 등이 발생하는 경우에는, 최초 인증을 시도한 인증서버(200)와 인접하거나 또는 클라이언트(100)와 인접한 다른 인증서버(200)를 통해 접근요청이 전달되고 다른 인증서버(200)에서 해당 접근요청에 대한 인증작업을 수행할 수 있다.However, if the
상위 인증 서버(300)는 복수의 인증서버(200)를 관리할 수 있다. 즉, 상위 인증 서버(200)는 관리자 등에 의한 수작업 또는 배치 프로그램, 세팅 프로그램 등에 의해 미리 자신이 관리하는 복수의 인증서버(200)에 대한 정보를 저장하고 있으며, 인증서버(200)를 인증하기 위한 별도의 인증서 또는 암호키 등을 저장할 수 있다.The
상위 인증 서버(300)는 인증서버(200)의 무결성 또는 유효성을 검증할 수 있으며, 하나의 인증서버(200)가 다른 인증서버(200)에 대한 유효성 여부를 질의할 경우, 이에 대한 확인 후 인증 결과값을 질의한 인증서버(200)로 전송함으로써, 허가된 인증서버(200) 사이에서만 데이터가 교환될 수 있도록 제한한다.The
이하, 도 2 내지 도 5를 참조하여, 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명한다.Hereinafter, the authentication process according to the client authentication system will be sequentially described with reference to FIGS. 2 to 5. FIG.
도 2를 참조하면, 먼저 복수의 클라이언트(100) 중 제1 클라이언트(110)가 네트워크(400)를 통해 접근요청을 전송한다. 이를 수신한 네트워크(400) 또는 네트워크(400)를 제공하는 플랫폼 서비스는 근접한 인증서버인 제2 인증서버(220)로 접근요청을 분배할 수 있다. 이때, 제2 인증서버(220)는 제1 클라이언트(110)와 가장 근접한 위치에 구비된 인증서버일 수 있다.Referring to FIG. 2, a
도 3을 참조하면, 제1 클라이언트(110)가 제2 인증서버(220)를 통해 인증을 시도할 수 있으며, 인증이 성공적으로 완료되는 경우에는 인증 성공 메시지를 전달받을 수 있으나, 인증서버(200)가 인증을 수행하지 못하는 인증불가상태인 경우에는 제2 인증서버(220)와 인접한 제1 인증서버(210)로 접근요청이 전달될 수 있다. 이때, 제1 인증서버(210)는 제2 인증서버(220)와 물리적 또는 지리적으로 인접한 것 예를 들어 동일한 지역에 구비된 인증서버일 수 있으나, 이에 한정되지 않으며, 접근요청을 전송한 제1 클라이언트(110)와 두번째로 인접한 인증서버일 수도 있다.Referring to FIG. 3, the
도 4를 참조하면, 제2 인증서버(220)로부터 접근요청을 전달받은 제1 인증서버(210)는, 제2 인증서버(210)가 정당한 인증서버인지 확인하기 위해, 상위 인증 서버(300)로 접근요청을 전달한 제2 인증서버(220)에 대한 인증을 요청할 수 있다. 즉, 제1 클라이언트(110)로부터 직접 접근요청을 전달받은 제2 인증서버(220)는 직접 인증을 수행할 수 있는 반면, 제2 인증서버(220)로부터 접근요청을 전달받은 제1 인증서버(210)는, 제2 인증서버(220)가 등록된 인증서버인지를 확인할 수 있다.4, the
몇몇 다른 실시예에서, 모든 인증서버(200)가 서로에 대한 정보를 저장할 수 있으며, 이러한 경우 상위 인증 서버(300)와의 인증서버에 대한 인증 과정은 생략될 수도 있다.In some other embodiments, all of the
상위 인증 서버(300)는 자신이 저장하고 있는 인증서버에 대한 데이터를 기초로 하여, 제1 인증서버(210)가 요청한 제2 인증서버(220)의 권한 및 타당성을 확인한 후 이에 대한 결과를 다시 제1 인증서버(210)로 제공할 수 있다.The
도 5를 참조하면, 제2 인증서버(220)가 정당한 인증서버로 판단되면, 제1 인증서버(210)는 제2 인증서버(220)로부터 수신된 접근요청을 처리할 수 있다. 예를 들어, 제1 클라이언트(110)가 최초 접속한 클라이언트인 경우에는, 제1 클라이언트(110)의 정보 및 식별 데이터를 기초로 정당한 사용자인지 확인한 후 인증서 발급 과정을 진행할 수 있다. 인증서가 발급되면, 제1 클라이언트(110)는 두번째 접속 이후에는 인증서를 기초로 접근요청에 대한 인증과정을 진행할 수 있다. 구체적인 제1 클라이언트(110)의 인증과정은 공지된 다양한 인증 프로토콜 또는 알고리즘에 의해 수행될 수 있으며, 인증과정에 대해 특정한 방법을 제한되지 않는다.Referring to FIG. 5, when the
인증과정이 완료되면, 제1 인증서버(210)는 접근요청을 전달한 제2 인증서버(220)를 거치거나 또는 직접 제1 클라이언트(110)로 접근요청에 대한 인증결과를 전달할 수 있다.When the authentication process is completed, the
인증이 성공적으로 수행되면, 제1 클라이언트(110)는 인증서버(200)로부터 소정의 접속 권한 또는 데이터에 대한 관리 권한을 부여받을 수 있다.When the authentication is successfully performed, the
도 6을 참조하면, 상기 인증과정을 과정을 처리하는 제1 인증서버(210)의 구체적인 구성이 개시된다. 제1 인증서버(210) 이외에도 다른 인증서버(200)는 제1 인증서버(210)와 동일한 구조를 가질 수 있다.Referring to FIG. 6, a specific configuration of the
요청처리모듈(210a)은 인증수행모듈(210c)에 제1 클라이언트(110)로부터 수신된 접근요청을 전달하고 요청 수행에 대한 응답을 전송할 수 있다. 유선 또는 무선으로 데이터를 송수신하기 위한 유닛이 포함될 수 있다.The
인증정책 저장모듈(210b)은 인증서버(200)의 위치 또는 구역 등에 따라 서로 다를 수 있는 클라이언트(100)에 대한 인증정책을 저장할 수 있다. 앞서 설명한 바와 같이, 예를 들어 소정 기업의 국내 지사장은 국내 지사에 대한 모든 정보를 열람할 수 있으나, 미국에서는 모든 정보를 열람할 수 없을 수 있으며, 이러한 경우, 지사장(제1 클라이언트(110))가 국내에서 해당 인증서버(210)에 접근할 경우, 인증이 성공적으로 수행되는 반면, 미국에서 해당 인증서버(210)에 접근할 경우, 인증이 차단 또는 실패할 수 있다. 인증정책 저장모듈(210b)은 이처럼 특정 서비스 별 권한을 포함한 여러 가지 인증정책을 저장함으로써, 클라이언트(100)의 종류 또는 접속 위치 등을 기초로 인증을 수행하고 서로 다른 권한을 부여할 수 있다.The authentication policy storage module 210b may store an authentication policy for the
인증수행모듈(210c)은 인증서버 정보관리모듈(210e)에 의해 확인된 또는 허가된 다른 인증정보와 클라이언트(100)가 보낸 접근요청에 포함된 식별정보 등을 이용하여 인증을 수행할 수 있다. 사용하는 인증 방법에는 제한이 없으며, 특정 인증 프로토콜이나 알고리즘에 제한되지 않는다.The
인증정보 저장모듈(210d)은 클라이언트(100)의 인증에 필요한 필수 정보, 예를 들어 클라이언트(100)의 식별자, RSA 공개키, 비밀번호, 현재 인증 상태, 인증 만료 시각 등을 저장할 수 있다. 인증정보의 내용은 인증 프로토콜이나 알고리즘에 따라 달라질 수 있다.The authentication
인증서버 정보관리모듈(210e)은 허가된 인증서버 목록을 관리할 수 있으며, 인증수행모듈(210c)에서 질의한 인증서버의 식별자가 존재하지 않을 경우, 상위 인증 서버(300)에 해당 식별자가 새로 추가된 인증서버(200)인지를 질의할 수 있다.The authentication server
인증허가 정보저장모듈(210f)은 상위 인증 서버(300)에 의해 인증된 허가된(정당한) 인증서버(200)의 인증 정보를 저장할 수 있다. 본 저장모듈에는 허가된 인증서버(200)의 식별자, RSA 공개키 등이 저장될 수 있으며, 인증허가 정보저장모듈(210f)에 저장되지 않은 허가되지 않은 제3자는 인증서버(200)와 통신하지 못하도록 차단하여 보안을 유지할 수 있다.The authentication permission
즉, 인증허가 정보저장모듈(210f)에 저장된 인증서버로부터 접근요청을 전달받은 경우에는 별도로 상위 인증 서버(300)에 접근하지 않고 인증 과정을 수행할 수 있으나, 인증허가 정보저장모듈(210f)에 저장되지 않은 인증서버로부터 접근요청을 전달받은 경우에는 상위 인증 서버(300)로 인증 서버의 유효성을 검증받은 후 이상 없는 경우에 한하여 나머지 인증 과정을 수행할 수 있다.That is, when the access request is received from the authentication server stored in the authentication permission
이하, 도 7 내지 도 13을 참조하여, 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템에 대해 설명한다. 도 7은 본 발명의 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 8 내지 도 13은 도 7의 클라이언트 인증 시스템에 따른 인증 과정을 순차적으로 설명하기 위한 도면이다.Hereinafter, a client authentication system according to another embodiment of the present invention will be described with reference to FIGS. 7 to 13. FIG. FIG. 7 is a view showing a client authentication system according to another embodiment of the present invention, and FIGS. 8 to 13 sequentially illustrate an authentication process according to the client authentication system of FIG.
본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)의 제1 엔터티(211)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 제1 인증서버(210)가 인증불가상태인 경우, 상기 제1 엔터티(211)는 상기 접근요청을 상기 복수의 인증서버(200) 중 상기 제1 인증서버(210)와 근접한 제2 인증서버(220)의 제2 엔터티(222)로 전달할 수 있다.The client authentication system according to the present embodiment includes a
본 실시예는 구성 측면에서 이전 실시예와 일부가 상이하며, 구체적으로 각각의 인증서버(210, 220, 230)가 복수의 엔터티를 관리하며, 접근요청이 클라이언트(100)로부터 인증서버(200)로 전송되는 것이 아니라 인증서버(200)가 관리하는 엔터티 중 하나 이상으로 전송되는 것이 상이하다. 그 외 특별히 언급하지 않은 나머지 구성은 이전 실시예와 동일하며, 중복설명은 생략한다.Specifically, each of the
네트워크(400)가 제1 클라이언트(110)로부터 접근요청을 수신하게 되면, 복수의 인증서버(200) 중 제1 클라이언트(110)와 가장 근접한 제1 인증서버(210)의 소정 엔티티(213)로 접근요청을 전송할 수 있다.When the
본 명세서에서 엔터티는 인증서버(200)의 리소스를 이용하거나 또는 인증서버(200)가 관리하는 물리머신의 리소스를 이용하여, 가상적인 인스턴스로 동작하는 가상머신일 수 있으며, 또는 인증서버(200)에 의해 관리되는 물리적인 저장공간 또는 물리머신 자체를 의미할 수도 있다.In this specification, the entity may be a virtual machine that operates as a virtual instance using the resources of the
즉, 인증서버와 엔터티는 물리적으로 서로 다른 장치에 구현된 구성일 수 있으며, 또는 동일한 장치에 구현된 구성일 수도 있다.That is, the authentication server and the entity may be a configuration implemented in a physically different apparatus, or a configuration implemented in the same apparatus.
도 8을 참조하면, 제1 클라이언트(110)가 네트워크(400)를 통해 접근요청을 전송하면, 네트워크(400)는 복수의 인증서버(200) 중에서 제1 클라이언트(110)와 가장 인접한 제1 인증서버(210)의 제3 엔터티(213)로 접근요청을 전달할 수 있다.Referring to FIG. 8, when the
도 9를 참조하면, 제1 인증서버(210)의 제3 엔터티(213)는 수신한 제1 클라이언트(110)의 접근요청을 자신과 연결된 제1 인증서버(210)로 전달할 수 있다. 제1 인증서버(210)에서 접근요청에 대한 인증을 처리할 수 있는 경우, 인증 작업이 수행되고 인증 결과가 제1 클라이언트(110)에게 전달된다.9, the
도 10을 참조하면, 반면 제1 인증서버(210)가 인증불가상태인 경우, 제1 인증서버(210)의 제3 엔터티(213)는 수신한 제1 클라이언트(110)의 접근요청을 인접한 다른 엔터티(223)로 전달할 수 있다. 제2 인증서버(220)는 제1 인증서버(210)와 가장 인접한 인증서버일 수 있으며, 또는 제1 클라이언트(110)와 두번째로 인접한 인증서버일 수 있다.10, when the
앞서 설명한 바와 같이, 복수의 엔터티는 복수의 인증서버에 의해 관리되는 가상머신일 수 있으며, 인증서버와 동일 또는 다른 장치에 배치될 수 있다.As described above, a plurality of entities may be virtual machines managed by a plurality of authentication servers, and may be located in the same or different apparatus as the authentication server.
도 11을 참조하면, 제2 인증서버(220)의 제3 엔터티(223)는 수신한 접근요청 및 이에 포함된 소정의 데이터를 함께 제2 인증서버(220)로 전달할 수 있다.Referring to FIG. 11, the
도 12를 참조하면, 제2 인증서버(220)는 전달받은 접근요청을 분석할 수 있으며, 이 과정에서 전달자인 제1 인증서버(210)의 적격 여부를 검증할 수 있으며, 자신이 기 보유한 인증서버의 목록에 제1 인증서버(210)가 포함되지 않은 경우에는 상위 인증 서버(300)를 통해 제1 인증서버(210) 및/또는 제1 인증서버(210)의 제3 엔터티(213)에 대한 인증 작업을 수행할 수 있다.Referring to FIG. 12, the
도 13을 참조하면, 인증작업 수행한 후 제2 인증서버(220)로부터 제1 클라이언트(110)로 인증결과가 전달될 수 있다.Referring to FIG. 13, the authentication result may be transmitted from the
앞선 실시예에서 설명한 바와 같이, 제1 및 제2 인증서버(210, 220)는 물리적으로 이격되어 있으며, 복수의 인증서버(200)의 일부 또는 전체는 서로 다른 인증정책을 따라 인증을 수행할 수 있다.As described in the foregoing embodiment, the first and
이하, 도 14 내지 도 16을 참조하여, 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템에 대해 설명한다. 도 14는 본 발명의 또 다른 실시예에 따른 클라이언트 인증 시스템을 나타내는 도면이고, 도 15 및 도 16은 도 14의 클라이언트 인증 시스템에 따른 인증 및 할당 과정을 설명하기 위한 도면이다.Hereinafter, a client authentication system according to another embodiment of the present invention will be described with reference to FIG. 14 to FIG. FIG. 14 is a diagram illustrating a client authentication system according to another embodiment of the present invention, and FIGS. 15 and 16 are views for explaining an authentication and assignment process according to the client authentication system of FIG.
본 실시예에 따른 클라이언트 인증 시스템은, 접근요청을 전송하는 클라이언트(100), 상기 클라이언트(100)의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버(200), 상기 복수의 인증서버(200)를 등록 및 관리하는 상위 인증 서버(300), 및 상기 복수의 인증서버(200) 중 상기 클라이언트(100)와 가장 근접한 제1 인증서버(210)의 제1 엔터티(213)로 상기 접근요청을 전송하는 네트워크(400)를 포함하되, 상기 클라이언트(100)는 인증완료 후 제2 인증서버(230)의 제2 엔터티(232)를 할당받을 수 있다.The client authentication system according to the present embodiment includes a
즉, 본 실시예에 따른 클라이언트 인증 시스템은 이전 실시예들에 따른 클라이언트 인증 시스템과 동일할 수 있으며, 이에 추가로 인증완료 후 인증서버(200)의 엔터티가 클라이언트(100)에게 할당되는 것이 상이하다.That is, the client authentication system according to the present embodiment may be the same as the client authentication system according to the previous embodiments, and the entity of the
앞서 설명한 바와 같이, 복수의 엔터티는 복수의 인증서버(200)에 의해 관리되는 가상머신일 수 있으며, 접근요청을 수신하여 인증을 처리하는 엔터티와, 인증 완료 후 클라이언트에게 할당되는 엔터티는 서로 상이할 수 있다.As described above, a plurality of entities may be a virtual machine managed by a plurality of
예를 들어, 도 14에 도시된 바와 같이, 제1 클라이언트(110)는 제1 인증서버(210)의 제3 엔터티(213)를 통해 접근요청에 따른 인증과정을 수행할 수 있으며, 이 과정에서 제1 인증서버(210) 및 제1 인증서버(210)의 제3 엔터티(213)는 제1 클라이언트(110)와 지리적 또는 물리적으로 가장 근접한 위치에 배치된 것일 수 있다.For example, as shown in FIG. 14, the
반면, 인증 과정 후 데이터 처리 등의 작업을 위해 클라이언트(100)에 할당된 제3 인증서버(230)의 제2 엔터티(232)는 앞선 제1 인증서버(210)의 제3 엔터티(213)와 상이한 구성일 수 있으나, 이에 한정되는 것은 아니며 경우에 따라 제1 인증서버(210)와 제3 인증서버(230)는 동일한 구성일 수도 있다.The second entity 232 of the
인증 과정 후 데이터 시스템 등을 이용하는 제1 클라이언트(110)에게 할당되는 제3 인증서버(230)의 제2 엔터티(232)는 전체 데이터 시스템의 리소스 분배 등을 고려하여 결정될 수 있으며, 제1 클라이언트(110)와 인접하지 않는 구성일 수도 있다.The second entity 232 of the
도 15를 참조하면, 앞선 실시예에서와 마찬가지로 네트워크(400)를 통해 제1 클라이언트(110)의 접속 위치를 기준으로 하여 지리적 또는 물리적인 거리를 기초로 접근요청을 제 인증서버(210)의 소정 엔터티(213)로 분배하고, 소정 엔터티인 제3 엔터티(213)가 제1 인증서버(210)로 접근요청을 전달하여 제1 인증서버(210)에서 인증과정이 수행될 수 있다. 이 과정에서, 제1 인증서버(210)가 인증불가상태인 경우에는 다른 인증서버에서 인증 과정이 수행될 수도 있다.Referring to FIG. 15, in the same manner as in the previous embodiment, an access request is sent to the
도 16을 참조하면, 인증이 완료된 후 데이터 시스템 매니저 등에 의해 데이터 저장 또는 처리 등을 수행하기 위해 엔터티를 할당받을 수 있으며, 도시된 예에서는 제1 인증서버(210)의 제3 엔터티(213)와 다른 제3 인증서버(230)의 제2 엔터티(232)가 인증 후 제1 클라이언트(110)에게 할당되는 구성이 개시되나, 이에 한정되는 것은 아니며, 리소스 분배 상황에 따라 인증을 수행했던 동일한 제1 인증서버(210)의 동일 또는 상이한 엔터티가 제1 클라이언트(110)에게 할당될 수 있다.Referring to FIG. 16, after the authentication is completed, an entity may be allocated to perform data storage or processing by a data system manager or the like. In the illustrated example, the
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, You will understand. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive.
100: 클라이언트
200: 인증서버
300: 상위인증서버
400: 네크워크100: Client
200: authentication server
300: upper authentication server
400: Network
Claims (18)
상기 클라이언트의 인증을 수행하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 제1 인증서버가 인증불가상태인 경우, 상기 접근요청이 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버로 전달되며,
상기 제2 인증서버는 상기 제1 인증서버로부터 전달된 상기 접근요청을 수신할 때, 상기 상위 인증 서버로부터 상기 제1 인증서버의 인증확인을 수신하는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first authentication server closest to the client among the plurality of authentication servers,
When the first authentication server is in an authentication disabled state, the access request is transmitted to a second authentication server of the plurality of authentication servers close to the first authentication server,
And the second authentication server receives an authentication confirmation of the first authentication server from the upper authentication server when receiving the access request transmitted from the first authentication server.
상기 상위 인증 서버는 상기 제1 인증서버 및 상기 제2 인증서버가 등록된 인증 서버인지 인증하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the upper authentication server authenticates whether the first authentication server and the second authentication server are registered authentication servers.
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 지리적 또는 물리적인 거리를 기초로 상기 접근요청을 분배하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the network distributes the access request based on geographical or physical distance based on a connection location of the client.
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.The method according to claim 1,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies.
상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 제1 인증서버가 인증불가상태인 경우, 상기 제1 엔터티는 상기 접근요청을 상기 복수의 인증서버 중 상기 제1 인증서버와 근접한 제2 인증서버의 제2 엔터티로 전달하며,
상기 제2 인증서버는 상기 제2 엔터티가 상기 제1 엔터티로부터 전달된 상기 접근요청을 수신할 때, 상기 상위 인증서버로부터 상기 제1 인증서버의 인증확인을 수신하는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client and managing one or more entities;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers,
The first entity forwards the access request to the second entity of the second authentication server, which is close to the first authentication server among the plurality of authentication servers,
And the second authentication server receives an authentication confirmation of the first authentication server from the upper authentication server when the second entity receives the access request forwarded from the first entity.
상기 제1 엔터티는 상기 제2 엔터티로 상기 접근요청을 전달하는, 클라이언트 인증 시스템.The method according to claim 6,
The first entity forwards the access request to the second entity.
상기 제1 및 제2 엔터티 모두는 상기 제1 인증서버에서 관리되고 상기 제2 인증서버에서도 관리되는 가상머신인, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the first entity and the second entity are both managed by the first authentication server and managed by the second authentication server.
상기 상위 인증 서버는 상기 제1 인증서버 및 상기 제2 인증서버가 등록된 인증 서버인지 인증하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the upper authentication server authenticates whether the first authentication server and the second authentication server are registered authentication servers.
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 물리적인 거리를 기초로 상기 접근요청을 상기 제1 엔터티 및 상기 제2 엔터티로 분배하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the network distributes the access request to the first entity and the second entity based on a physical distance based on a connection location of the client.
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.The method according to claim 6,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies.
상기 클라이언트의 인증을 수행하고, 하나 이상의 엔터티를 관리하는 복수의 인증서버;
상기 복수의 인증서버를 관리하는 상위 인증 서버; 및
상기 복수의 인증서버 중 상기 클라이언트와 가장 근접한 제1 인증서버의 제1 엔터티로 상기 접근요청을 전송하는 네트워크를 포함하되,
상기 클라이언트는 인증완료 후 제2 인증서버의 제2 엔터티를 할당받는, 클라이언트 인증 시스템.A client transmitting an access request;
A plurality of authentication servers for performing authentication of the client and managing one or more entities;
An upper authentication server for managing the plurality of authentication servers; And
And a network for transmitting the access request to a first entity of a first authentication server closest to the client among the plurality of authentication servers,
Wherein the client is assigned a second entity of a second authentication server after authentication is completed.
상기 제1 엔터티와 상기 제2 엔터티는 서로 상이한, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first entity and the second entity are different from each other.
상기 제1 및 제2 엔터티 모두는 상기 제1 인증서버에서 관리되고 상기 제2 인증서버에서도 관리되는 가상머신인, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first entity and the second entity are both managed by the first authentication server and managed by the second authentication server.
상기 네트워크는, 상기 클라이언트의 접속 위치를 기준으로 하여 물리적인 거리를 기초로 상기 접근요청을 상기 제1 엔터티로 분배하는, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the network distributes the access request to the first entity based on a physical distance based on a connection location of the client.
상기 제1 및 제2 인증서버는 물리적으로 이격되어 있으며,
상기 제1 인증서버 및 상기 제2 인증서버는 서로 다른 인증정책을 따라 인증을 수행하는, 클라이언트 인증 시스템.14. The method of claim 13,
Wherein the first and second authentication servers are physically spaced apart,
Wherein the first authentication server and the second authentication server perform authentication according to different authentication policies.
상기 인증정책은 상기 클라이언트의 상기 제2 엔터티에 대한 권한을 차등적으로 부여하는, 클라이언트 인증 시스템.18. The method of claim 17,
Wherein the authentication policy differentially grants rights to the second entity of the client.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120122083A KR101471880B1 (en) | 2012-10-31 | 2012-10-31 | System for authenticating clients |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120122083A KR101471880B1 (en) | 2012-10-31 | 2012-10-31 | System for authenticating clients |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20140055373A KR20140055373A (en) | 2014-05-09 |
KR101471880B1 true KR101471880B1 (en) | 2014-12-11 |
Family
ID=50887036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120122083A KR101471880B1 (en) | 2012-10-31 | 2012-10-31 | System for authenticating clients |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101471880B1 (en) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102110099B1 (en) * | 2020-03-09 | 2020-05-13 | 주식회사 케이비시스 | System for providing cloud service based on container |
KR102247132B1 (en) * | 2020-07-24 | 2021-05-03 | 한국전자기술연구원 | Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10307798A (en) * | 1997-05-02 | 1998-11-17 | Nec Corp | Certification system in load distributed certification server |
JP2004120645A (en) * | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | Terminal authentication system, terminal authentication method and terminal authentication server |
KR20090094579A (en) * | 2008-03-03 | 2009-09-08 | 비씨카드(주) | System and Method for certification |
KR20120026216A (en) * | 2010-09-09 | 2012-03-19 | 에스케이 텔레콤주식회사 | System and method for terminal authentication processing |
-
2012
- 2012-10-31 KR KR1020120122083A patent/KR101471880B1/en not_active IP Right Cessation
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH10307798A (en) * | 1997-05-02 | 1998-11-17 | Nec Corp | Certification system in load distributed certification server |
JP2004120645A (en) * | 2002-09-27 | 2004-04-15 | Matsushita Electric Ind Co Ltd | Terminal authentication system, terminal authentication method and terminal authentication server |
KR20090094579A (en) * | 2008-03-03 | 2009-09-08 | 비씨카드(주) | System and Method for certification |
KR20120026216A (en) * | 2010-09-09 | 2012-03-19 | 에스케이 텔레콤주식회사 | System and method for terminal authentication processing |
Also Published As
Publication number | Publication date |
---|---|
KR20140055373A (en) | 2014-05-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8990356B2 (en) | Adaptive name resolution | |
CN106034104B (en) | Verification method, device and system for network application access | |
US9356928B2 (en) | Mechanisms to use network session identifiers for software-as-a-service authentication | |
EP2579539B1 (en) | Authenticated name resolution | |
KR101518526B1 (en) | Authentication method without credential duplication for users belonging to different organizations | |
US9237021B2 (en) | Certificate grant list at network device | |
US8887296B2 (en) | Method and system for object-based multi-level security in a service oriented architecture | |
EP3069493B1 (en) | Authentication system | |
US20140223178A1 (en) | Securing Communication over a Network Using User Identity Verification | |
JP2007219935A (en) | Distributed authentication system and distributed authentication method | |
EP3143780B1 (en) | Device authentication to capillary gateway | |
EP2924944B1 (en) | Network authentication | |
US9548982B1 (en) | Secure controlled access to authentication servers | |
US10404684B1 (en) | Mobile device management registration | |
CN114500120B (en) | Public cloud expansion method, device, system and storage medium | |
CN108449364A (en) | A kind of distributed identity authentication method and cloud certification node | |
CN106535089B (en) | Machine-to-machine virtual private network | |
KR20150053912A (en) | Method and devices for registering a client to a server | |
Chae et al. | A study on secure user authentication and authorization in OAuth protocol | |
KR101471880B1 (en) | System for authenticating clients | |
EP2920912B1 (en) | Electronic rendezvous-based two stage access control for private networks | |
US11271925B1 (en) | Secure access gateway for egress system | |
US10298588B2 (en) | Secure communication system and method | |
CN112335215B (en) | Method for coupling terminal devices into a network-enabled computer infrastructure | |
WO2011063658A1 (en) | Method and system for unified security authentication |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |