KR102247132B1 - Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers - Google Patents

Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers Download PDF

Info

Publication number
KR102247132B1
KR102247132B1 KR1020200092073A KR20200092073A KR102247132B1 KR 102247132 B1 KR102247132 B1 KR 102247132B1 KR 1020200092073 A KR1020200092073 A KR 1020200092073A KR 20200092073 A KR20200092073 A KR 20200092073A KR 102247132 B1 KR102247132 B1 KR 102247132B1
Authority
KR
South Korea
Prior art keywords
edge
token
server
client
edge server
Prior art date
Application number
KR1020200092073A
Other languages
Korean (ko)
Other versions
KR102247132B9 (en
Inventor
김동민
손재기
전기만
Original Assignee
한국전자기술연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자기술연구원 filed Critical 한국전자기술연구원
Priority to KR1020200092073A priority Critical patent/KR102247132B1/en
Application granted granted Critical
Publication of KR102247132B1 publication Critical patent/KR102247132B1/en
Publication of KR102247132B9 publication Critical patent/KR102247132B9/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/16
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

An extended authentication method for controlling access rights for each resource in a cloud environment made of multiple edge servers is provided. According to an embodiment of the present invention, the authentication method allows a first edge server to issue a token to an edge client to permit resource access and allows a second edge server to permit resource access by verifying the token held by the edge client. Thereby, in an edge cloud environment, edge clients can continuously access resources of multiple edge servers with one access token. Therefore, it is possible to reduce inefficient processes caused by creation of duplicate new authentication tokens of mobile edge clients.

Description

다수의 엣지 서버들로 구성된 클라우드 환경에서 리소스별 접근 권한 제어를 위한 확장된 인증 방법{Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers}Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers}

본 발명은 엣지 클라우드 기술에 관한 것으로, 더욱 상세하게는 엣지 클라이언트가 이동하는 상황에서 엣지 서버들이 효율적으로 엣지 클라이언트를 인증하기 위한 방법에 관한 것이다.The present invention relates to edge cloud technology, and more particularly, to a method for edge servers to efficiently authenticate edge clients in a situation in which the edge client moves.

도 1은 엣지 클라우드 서비스 환경에서 기존의 엣지 클라이언트 인증 방법의 설명에 제공되는 도면이다. 도시된 바와 같이, 엣지 서버는 자신의 리소스에 접근하고자 하는 엣지 클라이언트를 인증하여야 한다.1 is a diagram provided to explain an existing edge client authentication method in an edge cloud service environment. As shown, the edge server must authenticate the edge client that wants to access its own resource.

엣지 서버의 인증 서버(Auth Server)는 리소스별 접근 권한 제어를 관리하며, 인증 서버로부터 토큰을 발급받은 엣지 클라이언트만이 엣지 서버의 리소스에 접근할 수 있다.The edge server's Auth Server manages access authority control for each resource, and only edge clients that have issued a token from the authentication server can access the edge server's resources.

하지만, 엣지 클라이언트의 인증은 도시된 바와 같이 엣지 서버 마다 수행되어야 한다. 즉, 다른 엣지 서버의 리소스에 접근하려면 그 엣지 서버로부터 인증을 받아야 가능하다.However, authentication of the edge client must be performed for each edge server as shown. In other words, in order to access the resources of another edge server, it is possible to obtain authentication from the edge server.

이와 같은 방식은 엣지 클라우드 환경에서 이동하는 엣지 클라이언트에게는 문제가 될 수 있다. 이동형 엣지 클라이언트는 이동하면서 엣지 서버를 바꾸어 가면서 필요한 서비스를 제공받게 되는데, 이 과정에서 엣지 서버 마다 접근 토큰을 요청하고 인증 절차를 수행하여야 하기 때문에, 서비스 응답이 늦어지는 문제가 생기는 것이다.This method can be a problem for edge clients moving in an edge cloud environment. Mobile edge clients are provided with necessary services by changing edge servers while moving, and in this process, each edge server must request an access token and perform an authentication procedure, resulting in a problem of delayed service response.

본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, 엣지 클라우드 환경에서 엣지 클라이언트가 하나의 접근 토큰으로 다수의 엣지 서버들의 리소스에 연속적으로 접근할 수 있도록 하는 확장된 인증 방법을 제공함에 있다.The present invention was conceived to solve the above problems, and an object of the present invention is an extended authentication that allows an edge client to continuously access resources of a plurality of edge servers with one access token in an edge cloud environment. It is in providing a way.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른, 인증 방법은, 제1 엣지 서버가, 엣지 클라이언트에 토큰을 발급하는 단계; 제1 엣지 서버가, 토큰을 발급한 엣지 클라이언트에 리소스 접근을 허용하는 단계; 제2 엣지 서버가, 엣지 클라이언트가 보유하고 있는 토큰을 검증하는 단계; 토큰이 검증되면, 제2 엣지 서버가 엣지 클라이언트에 리소스 접근을 허용하는 단계;를 포함한다.According to an embodiment of the present invention for achieving the above object, an authentication method includes, by a first edge server, issuing a token to an edge client; Allowing, by the first edge server, access to a resource to an edge client that issued a token; Verifying, by the second edge server, a token held by the edge client; And if the token is verified, allowing the second edge server to access the resource to the edge client.

검증 단계는, 제2 엣지 서버가, 제1 엣지 서버에 토큰 검증을 요청하는 단계; 제1 엣지 서버가, 요청된 토큰의 유효성을 검증하는 단계; 제1 엣지 서버가, 제2 엣지 서버에 토큰 검증 결과를 반환하는 단계;를 포함할 수 있다.The verification step may include: requesting, by the second edge server, a token verification from the first edge server; Verifying, by the first edge server, validity of the requested token; And returning, by the first edge server, a token verification result to the second edge server.

검증 단계는, 제2 엣지 서버가, 제1 엣지 서버로부터 토큰 검증을 위한 인증 정보를 수신하는 단계; 및 제2 엣지 서버가, 인증 정보를 이용하여 토큰의 유효성을 검증하는 단계;를 포함할 수 있다.The verification step may include: receiving, by the second edge server, authentication information for token verification from the first edge server; And verifying, by the second edge server, validity of the token using the authentication information.

수신 단계는, 엣지 클라이언트가 제2 엣지 서버에 연결하기 이전에 수행될 수 있다.The receiving step may be performed before the edge client connects to the second edge server.

수신 단계는, 엣지 클라이언트가 제2 엣지 서버에 연결하기 이전에, 엣지 클라이언트의 식별 정보를 수신하고, 엣지 클라이언트가 제2 엣지 서버에 연결된 이후에, 엣지 클라이언트의 토큰을 검증하기 위한 인증 정보를 수신할 수 있다.In the receiving step, before the edge client connects to the second edge server, the identification information of the edge client is received, and after the edge client is connected to the second edge server, the authentication information for verifying the token of the edge client is received. can do.

본 발명의 실시예에 따른 인증 방법은, 엣지 클라이언트가, 제1 엣지 서버에 토큰을 요청하는 단계; 및 엣지 클라이언트가, 제2 엣지 서버가에 토큰 체크를 요청하는 단계;를 더 포함하고, 발급 단계는, 토큰 요청 단계에 의한 토큰 요청이 있는 경우에 수행되며, 검증 단계는, 토큰 체크 요청 단계에 의한 토큰 체크 요청이 있는 경우에 수행될 수 있다.An authentication method according to an embodiment of the present invention includes the steps of: requesting, by an edge client, a token from a first edge server; And requesting, by the edge client, a token check from the second edge server, wherein the issuing step is performed when there is a token request by the token request step, and the verification step is performed in the token check request step. It can be performed when there is a request for a token check by

엣지 클라이언트는, 이동하는 과정에서, 서비스를 제공받는 엣지 서버를 변경할 수 있다.In the process of moving, the edge client can change the edge server to which the service is provided.

한편, 본 발명의 다른 실시예에 따른, 엣지 클라우드 시스템은, 엣지 클라이언트에 토큰을 발급하고, 토큰을 발급한 엣지 클라이언트에 리소스 접근을 허용하는 제1 엣지 서버; 및 엣지 클라이언트가 보유하고 있는 토큰을 검증하고, 토큰이 검증되면 엣지 클라이언트에 리소스 접근을 허용하는 제2 엣지 서버;를 포함한다.Meanwhile, according to another embodiment of the present invention, an edge cloud system includes: a first edge server that issues a token to an edge client and allows resource access to the issued edge client; And a second edge server that verifies the token held by the edge client, and allows resource access to the edge client when the token is verified.

이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 엣지 클라우드 환경에서 엣지 클라이언트가 하나의 접근 토큰으로 다수의 엣지 서버들의 리소스에 연속적으로 접근할 수 있게 되어, 이동형 엣지 클라이언트의 중복적 신규 인증 토큰 생성으로 인한 비효율적 프로세스를 개선할 수 있게 된다.As described above, according to embodiments of the present invention, in an edge cloud environment, an edge client can continuously access resources of a plurality of edge servers with one access token, so that a redundant new authentication token of a mobile edge client It is possible to improve the inefficient process caused by generation.

이상 설명한 바와 같이, 본 발명의 실시예들에 따르면, 엣지 클라우드 환경에서 토큰 체크 절차 및 이를 위한 사전 절차 등을 추가하여 엣지 서버의 서비스 응답 속도가 저하되는 것을 방지할 수 있게 된다.As described above, according to embodiments of the present invention, it is possible to prevent a decrease in service response speed of an edge server by adding a token check procedure and a preliminary procedure therefor in an edge cloud environment.

도 1은 엣지 클라우드 서비스 환경에서 기존의 엣지 클라이언트 인증 방법의 설명에 제공되는 도면,
도 2는 본 발명의 실시예가 적용가능한 엣지 클라우드 시스템의 구조를 도시한 도면,
도 3은 본 발명의 일 실시예에 따른 엣지 클라우드 환경에서 리소스 접근 권한 제어를 위한 인증 방법의 설명에 제공되는 도면, 그리고,
도 4는, 도 2와 도 3에 도시된 엣지 서버의 블럭도이다.1 is a diagram provided to explain an existing edge client authentication method in an edge cloud service environment;
2 is a diagram showing the structure of an edge cloud system to which an embodiment of the present invention is applicable;
3 is a diagram provided to explain an authentication method for controlling resource access authority in an edge cloud environment according to an embodiment of the present invention, and,
4 is a block diagram of an edge server shown in FIGS. 2 and 3.

이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.Hereinafter, the present invention will be described in more detail with reference to the drawings.

본 발명의 실시예에서는 다수의 엣지 서버들로 구성된 클라우드 환경에서의 리소스별 접근 권한 제어를 위한 확장된 인증 방법을 제시한다. 구체적으로, 클라이언트가 다수의 엣지 서버들 중 어느 하나로부터 발급받은 토큰을 다른 엣지 서버들에서도 연속적으로 사용할 수 있도록 하여주는 방안이다.An embodiment of the present invention proposes an extended authentication method for controlling access rights for each resource in a cloud environment composed of a plurality of edge servers. Specifically, it is a method that allows a client to continuously use a token issued from any one of a plurality of edge servers in other edge servers.

이를 위해, 본 발명의 실시예에서는 엣지 서버들 간의 토큰 체크 절차를 수행하여 엣지 클라이언트의 인증 정보를 공유함으로써 이를 전제로 제공하는 서비스의 응답 속도 지연을 최소화한다.To this end, in an embodiment of the present invention, a token check procedure between edge servers is performed to share authentication information of an edge client, thereby minimizing a response speed delay of a service provided as a premise.

도 2는 본 발명의 실시예가 적용가능한 엣지 클라우드 시스템의 구조를 도시한 도면이다. 본 발명의 실시예가 적용가능한 엣지 클라우드 시스템은, 도시된 바와 같이, 클라우드 서버(100), 엣지 서버들(210-1,210-2,210-3) 및 엣지 클라이언트(300)를 포함하여 구축된다.2 is a diagram showing the structure of an edge cloud system to which an embodiment of the present invention is applicable. An edge cloud system to which an embodiment of the present invention is applicable, as shown, is built including a cloud server 100, edge servers 210-1, 210-2, 210-3, and an edge client 300.

엣지 서버들(210-1,210-2,210-3)은 엣지 클라이언트(300)에 서비스를 제공하기 위한 노드들이다. 클라우드 서버(100)는 엣지 클라우드 시스템의 중앙 처리 노드로 기능한다.The edge servers 210-1, 210-2 and 210-3 are nodes for providing services to the edge client 300. The cloud server 100 functions as a central processing node of the edge cloud system.

엣지 클라이언트(300)는 엣지 서버들(210-1,210-2,210-3)에 서비스를 요청하여 제공받는 단말이다. 엣지 클라이언트(300)는 엣지 서버들(210-1,210-2,210-3) 중 하나와 연결하여 관계를 맺고 서비스를 제공받는다.The edge client 300 is a terminal that requests and receives a service from the edge servers 210-1, 210-2, and 210-3. The edge client 300 connects with one of the edge servers 210-1, 210-2, and 210-3 to establish a relationship and receive a service.

본 발명의 실시예에서 엣지 클라이언트(300)는 이동하기 때문에, 엣지 클라이언트(300)가 서비스를 제공받는 엣지 서버들(210-1,210-2,210-3)은 엣지 클라이언트(300)의 위치에 따라 가변할 수 있다.In the embodiment of the present invention, since the edge client 300 moves, the edge servers 210-1, 210-2, 210-3 to which the edge client 300 is provided with services may vary according to the location of the edge client 300. I can.

한편, 본 발명의 실시예에 따른 엣지 클라우드 시스템은 엣지 서버들(210-1,210-2,210-3)이 엣지 클라이언트(300)의 토큰을 인증하기 위한 정보를 공유하여, 토큰의 연속적인 재사용을 보장하여 주기 때문에, 이를 전제로 수행되는 서비스의 응답 속도가 고속으로 이루어지는 바, 이하에서 도 3을 참조하여 상세히 설명한다. 도 3은 본 발명의 일 실시예에 따른 엣지 클라우드 환경에서 리소스 접근 권한 제어를 위한 인증 방법의 설명에 제공되는 도면이다.Meanwhile, in the edge cloud system according to an embodiment of the present invention, the edge servers 210-1, 210-2, 210-3 share information for authenticating the token of the edge client 300, thereby ensuring continuous reuse of the token. Because of the period, the response speed of the service performed on the premise of this is made at a high speed, which will be described in detail below with reference to FIG. 3. 3 is a diagram provided to explain an authentication method for controlling resource access authority in an edge cloud environment according to an embodiment of the present invention.

도 3에서는 엣지 클라이언트(300)가 도면의 좌측에서 우측 방향으로 이동하며, 엣지 서버-1(210-1) 및 엣지 서버-2(210-2)와 순차적으로 연결하여 관계를 맺으면서 서비스를 제공받는 시나리오를 상정하였다.In FIG. 3, the edge client 300 moves from left to right in the drawing, and connects with the edge server-1 (210-1) and the edge server-2 (210-2) sequentially to provide a service while establishing a relationship. I assumed a receiving scenario.

먼저, 엣지 클라이언트(300)는 엣지 서버-1(210)에 연결하여 관계를 맺고 서비스를 제공받는다. 이를 위해, 엣지 클라이언트(300)는 먼저 엣지 서버-1(210)의 리소스들에 접근하기 위한 토큰을 엣지 서버-1(210)의 인증 서버(215)에 요청하여 획득하고, 획득한 토큰을 이용하여 엣지 서버-1(210)의 리소스들에 접근한다.First, the edge client 300 connects to the edge server-1 210 to establish a relationship and receive a service. To this end, the edge client 300 first requests and obtains a token for accessing the resources of the edge server-1 210 to the authentication server 215 of the edge server-1 210, and then uses the obtained token. Thus, the resources of the edge server-1 210 are accessed.

이후, 엣지 클라이언트(300)가 이동함에 따라 엣지 서버-2(220)에 연결하여 관계를 맺고 서비스를 제공받아야 하는 경우, 엣지 클라이언트(300)는 엣지 서버-2(220)의 인증 서버(225)에 토큰 체크를 요청한다.Thereafter, as the edge client 300 moves, when it is necessary to connect to the edge server-2 (220) to establish a relationship and receive a service, the edge client (300) is the authentication server (225) of the edge server-2 (220). Request a token check to

토큰 체크 요청에는, 엣지 클라이언트(300)의 식별 정보(ID)와 엣지 클라이언트(300)가 현재 보유하고 있는 토큰, 즉, 엣지 서버-1(210)의 리소스들에 접근하기 위해 인증 서버(215)로부터 발급받은 토큰이 수록되어 있다.In the token check request, the authentication server 215 in order to access the identification information (ID) of the edge client 300 and the token currently held by the edge client 300, that is, resources of the edge server-1 210 Contains tokens issued from.

토큰 체크를 요청받은 엣지 서버-2(220)의 인증 서버(225)는 요청에 수록된 엣지 클라이언트(300)의 식별 정보와 토큰을 엣지 서버-1(210)의 인증 서버(215)에 전달하면서, 토큰 체크를 요청한다.The authentication server 225 of the edge server-2 220, which has received the token check request, transmits the identification information and the token of the edge client 300 included in the request to the authentication server 215 of the edge server-1 210, Request a token check.

그러면, 엣지 서버-1(210)의 인증 서버(215)는 엣지 서버-2(220)의 인증 서버(225)로부터 수신한 토큰이 엣지 클라이언트(300)에 유효하게 발급한 토큰인지 검증하고, 검증 결과를 엣지 서버-2(220)의 인증 서버(225)에 회신한다.Then, the authentication server 215 of the edge server-1 210 verifies whether the token received from the authentication server 225 of the edge server-2 220 is a token that is effectively issued to the edge client 300, and verifies The result is returned to the authentication server 225 of the edge server-2 (220).

체크 요청한 토큰이 유효한 토큰으로 검증된 경우, 엣지 서버-2(220)의 인증 서버(225)는 엣지 클라이언트(300)의 토큰을 활성화하여, 엣지 클라이언트(300)가 기보유하고 있는 토큰으로 엣지 서버-2(220)의 리소스들에 접근하여, 서비스를 제공받을 수 있도록 한다.When the check-requested token is verified as a valid token, the authentication server 225 of the edge server-2 220 activates the token of the edge client 300 and uses the token previously held by the edge client 300. -2 Accesses the resources of 220 so that the service can be provided.

위 과정은, 이후 엣지 클라이언트(300)가 이동하여 엣지 서버-3(330)에 연결하여 관계를 맺고 리소스들에 접근하여 서비스를 제공받아야 하는 경우에도 동등하게 적용될 수 있다.The above process may be equally applied even when the edge client 300 moves and connects to the edge server-3 330 to establish a relationship and accesses resources to receive a service.

한편, 위 실시예에서는 토큰 체크는 엣지 클라이언트(300)에게 토큰을 발급한 엣지 서버인 엣지 서버-1(210)의 인증 서버(215)에 의해 수행되는 것으로 설명하였으나, 변형이 가능하다.Meanwhile, in the above embodiment, it has been described that the token check is performed by the authentication server 215 of the edge server-1 210, which is the edge server that issued the token to the edge client 300, but a modification is possible.

이를 테면, 엣지 클라이언트(300)로부터 토큰 체크를 요청받은 엣지 서버인 엣지 서버-2(220)의 인증 서버(225)에 의해 토큰 체크 과정이 수행되는 것으로 구현할 수 있다.For example, it may be implemented that the token check process is performed by the authentication server 225 of the edge server-2 220, which is an edge server that has requested a token check from the edge client 300.

이를 위해서는, 엣지 서버-2(220)의 인증 서버(225)가 엣지 서버-1(210)의 인증 서버(215)에 엣지 클라이언트(300)의 식별 정보를 전달하면서 인증 정보를 요청/수신하여야 한다. 이후, 엣지 서버-2(220)의 인증 서버(225)는 엣지 서버-1(210)의 인증 서버(215)로부터 수신한 인증 정보를 이용하여 토큰의 유효성을 검증하게 된다.To this end, the authentication server 225 of the edge server-2 220 must request/receive authentication information while transmitting the identification information of the edge client 300 to the authentication server 215 of the edge server-1 210. . Thereafter, the authentication server 225 of the edge server-2 220 verifies the validity of the token using the authentication information received from the authentication server 215 of the edge server-1 210.

한편, 위 예에서는, 엣지 클라이언트(300)가 서비스를 제공받는 엣지 서버를 변경한 이후에 토큰 체크를 위한 절차가 개시되는 것을 상정하였다.Meanwhile, in the above example, it is assumed that a procedure for checking a token is started after the edge client 300 changes the edge server to which the service is provided.

하지만, 그 보다 더 빠른 시점에 토큰 체크를 위한 절차가 개시되는 것으로 구현할 수도 있다. 이를 테면, 엣지 클라이언트(300)가 서비스를 제공받는 엣지 서버를 변경하기 이전, 즉, 엣지 클라이언트(300)가 엣지 서버-1(210)에 연결하여 관계를 맺고 있고 엣지 서버-2(220)에는 아직 연결하지 않은 상태에서, 엣지 서버-1(210)의 인증 서버(215)와 엣지 서버-2(220)의 인증 서버(225) 간에 토큰 체크를 위한 사전 작업이 수행되도록 구현하는 것이다.However, it may be implemented that a procedure for checking a token is initiated at an earlier point in time. For example, before the edge client 300 changes the edge server to which the service is provided, that is, the edge client 300 connects to the edge server-1 210 to establish a relationship, and the edge server-2 220 In a state that has not yet been connected, the authentication server 215 of the edge server-1 210 and the authentication server 225 of the edge server-2 220 are implemented so that a preliminary task for token check is performed.

토큰 체크를 위한 사전 작업은, 엣지 서버-1(210)의 인증 서버(215)가 엣지 클라이언트(300)의 식별 정보와 토큰 인증 정보를 엣지 서버-2(220)의 인증 서버(225)에 미리 전달하여 주는 것이다. 이는, 엣지 서버-1(210)에 엣지 서버-2(220)가 인접하여 있음을 전제로 한 것이다. 구체적으로, 엣지 서버-2(220)는 엣지 서버-1(210)에 인접하여 있지만, 엣지 서버-3(230)은 엣지 서버-1(210)에 인접하여 있지 않다. 따라서, 엣지 서버-1(210)의 인증 서버(215)는 해당 정보를 엣지 서버-2(220)의 인증 서버(225)에는 미리 전달하지만, 엣지 서버-3(230)의 인증 서버(235)에는 전달하지 않는다.In the preliminary task for checking the token, the authentication server 215 of the edge server-1 210 pre-loads the identification information and token authentication information of the edge client 300 to the authentication server 225 of the edge server-2 220. It is to deliver. This is based on the premise that the edge server-2 (220) is adjacent to the edge server-1 (210). Specifically, the edge server-2 (220) is adjacent to the edge server-1 (210), but the edge server-3 (230) is not adjacent to the edge server-1 (210). Therefore, the authentication server 215 of the edge server-1 210 transfers the information to the authentication server 225 of the edge server-2 220 in advance, but the authentication server 235 of the edge server-3 230 Do not pass on.

인접한 엣지 서버는 다수 개가 될 수 있으며, 이 경우에는 다수의 엣지 서버들에 해당 정보가 사전 전달된다. 이를 테면, 엣지 서버-2(220)에 엣지 서버-4(미도시)가 더 인접하여 있는 경우라면, 엣지 서버-2(220)의 인증 서버(225)는 엣지 서버-4의 인증 서버(미도시)에도 해당 정보를 전달하여야 한다.There may be a plurality of adjacent edge servers, and in this case, the information is transmitted to the plurality of edge servers in advance. For example, if the edge server-4 (not shown) is more adjacent to the edge server-2 (220), the authentication server 225 of the edge server-2 (220) is the authentication server (not shown) of the edge server-4 (not shown). City) must also deliver the information.

한편, 엣지 클라이언트(300)의 식별 정보와 토큰 인증 정보를 사전에 전달 받은 엣지 서버의 인증 서버는 정해진 시간 안에 엣지 클라이언트(300)가 엣지 서버에 연결되지 않으면 전달받은 정보들을 삭제한다.Meanwhile, the authentication server of the edge server, which has received the identification information of the edge client 300 and the token authentication information in advance, deletes the received information if the edge client 300 is not connected to the edge server within a predetermined time.

다른 한편으로, 토큰 체크의 사전 절차로 전달하는 정보의 종류를 제한할 수도 있다. 예를 들어, 엣지 서버-1(210)의 인증 서버(215)가 엣지 서버-2(220)의 인증 서버(225)에 엣지 클라이언트(300)의 식별 정보만을 먼저 전달하는 것이다. 이 경우, 토큰 인증 정보는 엣지 서버-2(220)에 엣지 클라이언트(300)가 연결되어 엣지 서버-2(220)의 인증 서버(225)가 엣지 서버-1(210)의 인증 서버(215)에게 토큰 체크를 요청한 경우에 전달한다.On the other hand, it is also possible to limit the type of information to be transmitted through the pre-procedure of the token check. For example, the authentication server 215 of the edge server-1 210 first transmits only the identification information of the edge client 300 to the authentication server 225 of the edge server-2 220. In this case, the token authentication information is the edge client 300 is connected to the edge server-2 (220), the authentication server 225 of the edge server-2 (220) is the authentication server 215 of the edge server-1 (210) It is delivered when a token check is requested.

이와 같이 구현하면, 엣지 서버-2(220)의 인증 서버(225)는 연결된 엣지 클라이언트(300)의 토큰을 사전에 발급한 엣지 서버가 있는지, 인접한 엣지 서버들 중 어느 엣지 서버가 발급하였는지를 사전에 파악할 수 있게 된다. 따라서, 엣지 서버-2(220)의 인증 서버(225)에 의한 무의미한 토큰 체크 요청으로 인해 서비스가 지연되는 것을 예방할 수 있게 된다.If implemented in this way, the authentication server 225 of the edge server-2 220 determines in advance whether there is an edge server that has issued a token of the connected edge client 300 in advance, and which edge server among adjacent edge servers has issued it in advance. You will be able to grasp it. Accordingly, it is possible to prevent a service delay due to an meaningless token check request by the authentication server 225 of the edge server-2 220.

도 2와 도 3에 도시된 엣지 서버들(210-1,210-2,210-3)의 내부 구조에 대해, 이하에서 도 4를 참조하여 설명한다. 도 4는 엣지 서버의 블럭도이다. 엣지 서버들(210-1,210-2,210-3)은 동일 구조로 구현가능하므로, 도 4에서는 이들을 참조부호 "200"으로 대표하여 하나만 도시하였다.The internal structure of the edge servers 210-1, 210-2 and 210-3 shown in FIGS. 2 and 3 will be described below with reference to FIG. 4. 4 is a block diagram of an edge server. Since the edge servers 210-1, 210-2 and 210-3 can be implemented with the same structure, in FIG. 4, only one of them is represented by the reference numeral "200".

도시된 바와 같이, 엣지 서버(200)는 통신부(201), 프로세서(202) 및 저장부(203)를 포함하여 구성된다.As shown, the edge server 200 includes a communication unit 201, a processor 202, and a storage unit 203.

통신부(201)는 클라우드 서버(100), 다른 엣지 서버들(210-1,210-2,210-3) 및 엣지 클라이언트(300)와 통신하기 위한 수단이다. 프로세서(202)는 통신부(201)를 통해 연결된 엣지 클라이언트(300)에 서비스를 제공하고, 토큰 체크를 위해 수행하여야 하는 절차들을 수행한다. 저장부(203)는 프로세서(202)가 기능함에 있어 필요한 저장공간을 제공한다.The communication unit 201 is a means for communicating with the cloud server 100, other edge servers 210-1, 210-2, 210-3, and edge clients 300. The processor 202 provides a service to the edge client 300 connected through the communication unit 201 and performs procedures to be performed for token check. The storage unit 203 provides a storage space necessary for the processor 202 to function.

지금까지, 다수의 엣지 서버들로 구성된 클라우드 환경에서의 리소스별 접근 권한 제어를 위한 확장된 인증 방법에 대해 바람직한 실시예를 들어 상세히 설명하였다.Up to now, a preferred embodiment has been described in detail with respect to an extended authentication method for controlling access rights for each resource in a cloud environment composed of a plurality of edge servers.

위 실시예에서는, 각 엣지 서버에 설치된 리소스별 접근 권한 제어 관리 서버(OAuth2)에서 하나의 접근 토큰으로 다수의 엣지 서버들의 리소스를 접근 가능하도록 하는 확장된 인증 방법을 제시하였다.In the above embodiment, an extended authentication method is proposed in which a resource-specific access authority control management server (OAuth2) installed in each edge server can access resources of a plurality of edge servers with one access token.

이에 의해, 이동형 엣지 클라이언트의 중복적 신규 인증 토큰 생성에 관한 비효율적 프로세스를 개선하여, 인증 과정에 소요되는 시간이 단축시킴으로써, 서비스 응답 속도를 극대화할 수 있게 된다.As a result, the inefficient process for generating redundant new authentication tokens of the mobile edge client is improved, the time required for the authentication process is shortened, and the service response speed can be maximized.

한편, 본 실시예에 따른 장치와 방법의 기능을 수행하게 하는 컴퓨터 프로그램을 수록한 컴퓨터로 읽을 수 있는 기록매체에도 본 발명의 기술적 사상이 적용될 수 있음은 물론이다. 또한, 본 발명의 다양한 실시예에 따른 기술적 사상은 컴퓨터로 읽을 수 있는 기록매체에 기록된 컴퓨터로 읽을 수 있는 코드 형태로 구현될 수도 있다. 컴퓨터로 읽을 수 있는 기록매체는 컴퓨터에 의해 읽을 수 있고 데이터를 저장할 수 있는 어떤 데이터 저장 장치이더라도 가능하다. 예를 들어, 컴퓨터로 읽을 수 있는 기록매체는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광디스크, 하드 디스크 드라이브, 등이 될 수 있음은 물론이다. 또한, 컴퓨터로 읽을 수 있는 기록매체에 저장된 컴퓨터로 읽을 수 있는 코드 또는 프로그램은 컴퓨터간에 연결된 네트워크를 통해 전송될 수도 있다.On the other hand, it goes without saying that the technical idea of the present invention can be applied to a computer-readable recording medium containing a computer program for performing the functions of the apparatus and method according to the present embodiment. Further, the technical idea according to various embodiments of the present invention may be implemented in the form of a computer-readable code recorded on a computer-readable recording medium. The computer-readable recording medium can be any data storage device that can be read by a computer and can store data. For example, a computer-readable recording medium may be a ROM, RAM, CD-ROM, magnetic tape, floppy disk, optical disk, hard disk drive, or the like. In addition, a computer-readable code or program stored in a computer-readable recording medium may be transmitted through a network connected between computers.

또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.In addition, although the preferred embodiments of the present invention have been illustrated and described above, the present invention is not limited to the specific embodiments described above, and the technical field to which the present invention belongs without departing from the gist of the present invention claimed in the claims. In addition, various modifications are possible by those of ordinary skill in the art, and these modifications should not be understood individually from the technical spirit or prospect of the present invention.

100 : 클라우드 서버
210-1,210-2,210-3 : 엣지 서버
300 : 엣지 클라이언트100: cloud server
210-1,210-2,210-3: Edge Server
300: edge client

Claims (8)

제1 엣지 서버가, 엣지 클라이언트에 토큰을 발급하는 단계;
제1 엣지 서버가, 토큰을 발급한 엣지 클라이언트에 리소스 접근을 허용하는 단계;
제1 엣지 서버에 인접한 제2 엣지 서버가, 엣지 클라이언트가 보유하고 있는 토큰을 검증하는 단계;
토큰이 검증되면, 제2 엣지 서버가 엣지 클라이언트에 리소스 접근을 허용하는 단계;를 포함하고,
검증 단계는,
제2 엣지 서버가, 제1 엣지 서버로부터 토큰 검증을 위한 인증 정보를 수신하는 단계; 및
제2 엣지 서버가, 인증 정보를 이용하여 토큰의 유효성을 검증하는 단계;를 포함하며,
수신 단계는,
엣지 클라이언트가 제2 엣지 서버에 연결하기 이전에 개시하는 것을 특징으로 하는 인증 방법.
Issuing, by the first edge server, a token to the edge client;
Allowing, by the first edge server, access to a resource to an edge client that issued a token;
Verifying, by a second edge server adjacent to the first edge server, a token held by the edge client;
If the token is verified, allowing the second edge server to access the resource to the edge client; Including,
The verification step is:
Receiving, by the second edge server, authentication information for token verification from the first edge server; And
Including, by the second edge server, verifying the validity of the token using the authentication information,
The receiving step is,
Authentication method, characterized in that initiated before the edge client connects to the second edge server.
 청구항 1에 있어서,
검증 단계는,
제2 엣지 서버가, 제1 엣지 서버에 토큰 검증을 요청하는 단계;
제1 엣지 서버가, 요청된 토큰의 유효성을 검증하는 단계;
제1 엣지 서버가, 제2 엣지 서버에 토큰 검증 결과를 반환하는 단계;를 포함하는 것을 특징으로 하는 인증 방법.
The method according to claim 1,
The verification step is:
Requesting, by the second edge server, a token verification from the first edge server;
Verifying, by the first edge server, validity of the requested token;
And returning, by the first edge server, a token verification result to the second edge server.
 삭제delete 삭제delete 청구항 1에 있어서,
수신 단계는,
엣지 클라이언트가 제2 엣지 서버에 연결하기 이전에, 엣지 클라이언트의 식별 정보를 수신하고,
엣지 클라이언트가 제2 엣지 서버에 연결된 이후에, 엣지 클라이언트의 토큰을 검증하기 위한 인증 정보를 수신하는 것을 특징으로 하는 인증 방법.
The method according to claim 1,
The receiving step is,
Before the edge client connects to the second edge server, it receives the identification information of the edge client, and
After the edge client is connected to the second edge server, the authentication method, characterized in that receiving authentication information for verifying the edge client's token.
 청구항 1에 있어서,
엣지 클라이언트가, 제1 엣지 서버에 토큰을 요청하는 단계; 및
엣지 클라이언트가, 제2 엣지 서버에 토큰 체크를 요청하는 단계;를 더 포함하고,
발급 단계는,
토큰 요청 단계에 의한 토큰 요청이 있는 경우에 수행되며,
검증 단계는,
토큰 체크 요청 단계에 의한 토큰 체크 요청이 있는 경우에 수행되는 것을 특징으로 하는 인증 방법.
The method according to claim 1,
Requesting, by the edge client, a token from the first edge server; And
The edge client further comprises; requesting a token check from the second edge server,
The issuance steps are:
Executed when there is a token request by the token request step,
The verification step is:
Authentication method, characterized in that performed when there is a token check request by the token check request step.
 청구항 1에 있어서,
엣지 클라이언트는,
이동하는 과정에서, 서비스를 제공받는 엣지 서버를 변경하는 것을 특징으로 하는 인증 방법.
The method according to claim 1,
Edge clients,
In the process of moving, the authentication method, characterized in that changing the edge server provided with the service.
 엣지 클라이언트에 토큰을 발급하고, 토큰을 발급한 엣지 클라이언트에 리소스 접근을 허용하는 제1 엣지 서버;
제1 엣지 서버에 인접하여 있으며, 엣지 클라이언트가 보유하고 있는 토큰을 검증하고, 토큰이 검증되면 엣지 클라이언트에 리소스 접근을 허용하는 제2 엣지 서버;를 포함하고,
제2 엣지 서버는,
엣지 클라이언트가 제2 엣지 서버에 연결하기 이전에, 제1 엣지 서버로부터 토큰 검증을 위한 인증 정보 수신을 개시하며, 인증 정보를 이용하여 토큰의 유효성을 검증하는 것을 특징으로 하는 엣지 클라우드 시스템.
A first edge server for issuing a token to an edge client and allowing resource access to the issued edge client;
Including; a second edge server adjacent to the first edge server, which verifies the token held by the edge client and allows resource access to the edge client when the token is verified,
The second edge server,
An edge cloud system, comprising: before the edge client connects to the second edge server, starts receiving authentication information for token verification from the first edge server, and verifies the validity of the token using the authentication information.
KR1020200092073A 2020-07-24 2020-07-24 Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers KR102247132B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200092073A KR102247132B1 (en) 2020-07-24 2020-07-24 Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200092073A KR102247132B1 (en) 2020-07-24 2020-07-24 Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers

Publications (2)

Publication Number Publication Date
KR102247132B1 true KR102247132B1 (en) 2021-05-03
KR102247132B9 KR102247132B9 (en) 2023-04-12

Family

ID=75910877

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200092073A KR102247132B1 (en) 2020-07-24 2020-07-24 Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers

Country Status (1)

Country Link
KR (1) KR102247132B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296889A (en) * 2022-08-02 2022-11-04 国家能源集团广东电力有限公司 Cloud-edge-collaborative large-screen visualization method and system

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130133988A (en) * 2012-05-30 2013-12-10 모다정보통신 주식회사 Method for authorizing access to resource in m2m communications
KR20140055373A (en) * 2012-10-31 2014-05-09 삼성에스디에스 주식회사 System for authenticating clients

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130133988A (en) * 2012-05-30 2013-12-10 모다정보통신 주식회사 Method for authorizing access to resource in m2m communications
KR20140055373A (en) * 2012-10-31 2014-05-09 삼성에스디에스 주식회사 System for authenticating clients

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296889A (en) * 2022-08-02 2022-11-04 国家能源集团广东电力有限公司 Cloud-edge-collaborative large-screen visualization method and system

Also Published As

Publication number Publication date
KR102247132B9 (en) 2023-04-12

Similar Documents

Publication Publication Date Title
CN109413032B (en) Single sign-on method, computer readable storage medium and gateway
CN108737370B (en) Block chain-based Internet of things cross-domain authentication system and method
CN111556006B (en) Third-party application system login method, device, terminal and SSO service platform
CN103051631B (en) Unified security authentication method for PaaS (Platform as a Service) platform and SaaS (Software as a Service) application system
CN112597472B (en) Single sign-on method, device and storage medium
US20080022120A1 (en) System, Method and Computer Program Product for Secure Access Control to a Storage Device
US8140853B2 (en) Mutually excluded security managers
CN109756915B (en) Wireless network management method and system
CN103259663A (en) User unified authentication method in cloud computing environment
US20150149530A1 (en) Redirecting Access Requests to an Authorized Server System for a Cloud Service
CN102571873B (en) Bidirectional security audit method and device in distributed system
CN111695108B (en) Unified account identification system for multi-source accounts in heterogeneous computing environment
CN109587147A (en) A kind of single-node login system, method, server and storage medium
US11949681B2 (en) Authentication and authorization for cloud file system
CN110968563B (en) Data storage method, metadata server and client
CN102571874B (en) On-line audit method and device in distributed system
US8326996B2 (en) Method and apparatus for establishing multiple sessions between a database and a middle-tier client
KR20080052088A (en) Wireless rfid medical device access control method using wlan security standard technology
CN111988262B (en) Authentication method, authentication device, server and storage medium
KR102247132B1 (en) Extended Authentication Method for Resource Access Control in a Cloud Environment Composed of Multiple Edge Servers
CN109241712B (en) Method and device for accessing file system
CN110301127B (en) Apparatus and method for predictive token validation
US20180241691A1 (en) Access control for message channels in a messaging system
US20230325521A1 (en) Data processing method and apparatus based on blockchain network, device, and storage medium
WO2021046057A1 (en) Scalable public key identification model

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Re-publication after modification of scope of protection [patent]