KR102362327B1 - 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치 - Google Patents

사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치 Download PDF

Info

Publication number
KR102362327B1
KR102362327B1 KR1020200053416A KR20200053416A KR102362327B1 KR 102362327 B1 KR102362327 B1 KR 102362327B1 KR 1020200053416 A KR1020200053416 A KR 1020200053416A KR 20200053416 A KR20200053416 A KR 20200053416A KR 102362327 B1 KR102362327 B1 KR 102362327B1
Authority
KR
South Korea
Prior art keywords
information
user
virtual desktop
environment
biometric information
Prior art date
Application number
KR1020200053416A
Other languages
English (en)
Other versions
KR20210135121A (ko
Inventor
송광혁
임헌규
문종배
Original Assignee
에스케이브로드밴드주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이브로드밴드주식회사 filed Critical 에스케이브로드밴드주식회사
Priority to KR1020200053416A priority Critical patent/KR102362327B1/ko
Publication of KR20210135121A publication Critical patent/KR20210135121A/ko
Application granted granted Critical
Publication of KR102362327B1 publication Critical patent/KR102362327B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • G06F15/17306Intercommunication techniques
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45562Creating, deleting, cloning virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 사용자의 생체 정보를 기반으로 가상 데스크탑 환경을 제공하는 방법으로서, 사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하는 단계, 상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하는 단계, 상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하는 단계, 상기 AD 서버로부터 상기 사용자에 관한 AD 정보를 수신하는 단계 및 상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하는 단계를 포함할 수 있다.

Description

사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치{METHOD AND APPARATUS FOR PROVIDING VIRTUAL DESKTOP ENVIRONMENT BASED ON BIOMETRIC INFORMATION OF USER}
본 발명은 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치에 관한 것으로, 더욱 상세하게는 사용자의 생체 정보를 이용한 SSO(Single Sign On)를 통해 가상 데스크탑 환경을 제공하는 방법 및 장치에 관한 것이다.
근래에는 물리적 자원을 논리적으로 분배하여 격리된 공간을 제공하는 가상화 시스템을 통해 가상 데스크탑을 제공하는 기술들이 제공되고 있다. 이러한 가상 데스크탑은 무선 네트워크를 활용하여 다양한 모바일 디바이스(스마트폰 및 태블릿 등)에서도 사용할 수 있으며, 이러한 높은 접근성 외에도 데이터 보안 등 다양한 장점으로 인하여 많은 기업들이 이용하고 있다.
다만, 더 향상된 보안, 더 세밀한 사용자 관리 및 더 간편한 접근성 등을 위한 연구는 계속되고 있는 실정이다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법을 제공하는 데 있다.
상기와 같은 문제점을 해결하기 위한 본 발명의 다른 목적은 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 장치를 제공하는 데 있다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법은, 사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하는 단계, 상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하는 단계, 상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하는 단계, 상기 AD 서버로부터 상기 사용자에 관한 AD 정보를 수신하는 단계 및 상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하는 단계를 포함할 수 있다.
여기서, 상기 사용자 단말 또는 관리자 단말로부터 상기 생체 정보, 상기 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신하는 단계 및 상기 검증 정보를 기반으로 상기 생체 정보를 상기 계정 정보 및 상기 이름 정보와 매핑하여 인증 정보를 생성하는 단계를 더 포함할 수 있다.
여기서, 상기 생체 정보는 상기 계정 정보, 상기 이름 정보 및 상기 AD 정보 각각과 1:1로 매핑될 수 있다.
여기서, 상기 생체 정보는 상기 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 상기 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 포함할 수 있다.
여기서, 상기 생체 정보는 상기 사용자로부터 상기 사용자 단말에 포함된 생체 정보 인식 모듈에 의해 획득되고, 상기 생체 정보 인식 모듈이 사용 불가능한 환경인 경우, 상기 생체 정보는 상기 사용자의 유저 포탈 계정 정보로 대체될 수 있다.
상기 다른 목적을 달성하기 위한 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는, 적어도 하나의 프로세서(processor) 및 상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고, 상기 적어도 하나의 명령은 사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하도록 실행되고, 상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하도록 실행되고, 상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하도록 실행되고, 상기 AD 서버로부터 상기 사용자에 관한 AD 정보를 수신하도록 실행되고, 상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하도록 실행될 수 있다.
여기서, 적어도 하나의 명령은 상기 사용자 단말 또는 관리자 단말로부터 상기 생체 정보, 상기 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신하도록 실행되고, 상기 검증 정보를 기반으로 상기 생체 정보를 상기 계정 정보 및 상기 이름 정보와 매핑하여 인증 정보를 생성하도록 실행될 수 있다.
여기서, 상기 생체 정보는 상기 계정 정보, 상기 이름 정보 및 상기 AD 정보 각각과 1:1로 매핑될 수 있다.
여기서, 상기 생체 정보는 상기 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 상기 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 포함할 수 있다.
여기서, 상기 생체 정보는 상기 사용자로부터 상기 사용자 단말에 포함된 생체 정보 인식 모듈에 의해 획득되고, 상기 생체 정보 인식 모듈이 사용 불가능한 환경인 경우, 상기 생체 정보는 상기 사용자의 유저 포탈 계정 정보로 대체될 수 있다.
본 발명에 따르면, 사용자에게 가상 데스크탑 사용을 위한 간편한 로그인 과정을 제공할 수 있다.
본 발명에 따르면, 사용자의 생체 정보를 활용하여 높은 보안성을 제공할 수 있다.
본 발명에 따르면, 망 분리 환경에서 최적의 인증 방식을 제공할 수 있다.
도 1은 SSO를 설명하기 위한 도면이다.
도 2는 데스크탑 가상화를 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법의 개념도이다.
도 4는 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치의 블록 구성도이다.
도 5는 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법의 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 SSO를 설명하기 위한 도면이다.
싱글 사인 온(SSO: Single Sign On)은 한 번의 인증으로 연결된 여러 시스템에서도 인증된 것과 같은 기능 또는 효과를 제공하는 기술을 의미할 수 있다. 다시 말해, 하나의 시스템에서 인증 성공 시 다른 시스템에 대한 접근 권한도 모두 얻게 되는 기술을 의미할 수 있다. 즉, SSO 서버에 의해 인증된 경우, SSO 서버에 연결된 여러 서버에도 별도의 인증 과정 없이 연결할 수 있는 기능을 의미할 수 있다.
예를 들어, 도 1을 참조하면 (1) 클라이언트가 서버에 연결을 요청하는 경우, (2) 서버는 클라이언트로 하여 SSO 서버로부터 인증을 받은 후 접속할 것을 요청할 수 있고, (3) 클라이언트가 SSO 서버로 인증을 요청하여 (4) SSO 서버로부터 인증을 받으면 (5) SSO 서버와 연결된 나머지 서버(서버 1, 서버 2 및 서버 3)와도 별도 인증 과정 없이 연결 또는 접속할 수 있다. 이러한 접속 형태로는 커버로스(Kerberos)를 이용한 액티브 디렉터리(AD: Active Directory)가 있으며, 본 발명의 일 실시예는 통합 인증 방법에 관한 것으로, AD를 이용하므로 이에 대한 상세한 설명은 후술하겠다. 우선, 이하에서는 데스크탑 가상화에 관하여 설명하도록 하겠다.
도 2는 데스크탑 가상화를 설명하기 위한 도면이다.
데스크탑 가상화 또는 가상 데스크탑 인프라(VDI: Virtual Desktop Infrastructure)은 물리적으로 존재하진 않지만 실제 작동하는 컴퓨터 또는 스마트폰 등과 같은 컴퓨팅 장치 안에서 작동하는 또 하나의 컴퓨터를 제공하는 기술을 의미할 수 있다. 데스크톱 가상화는 데이터센터에 있는 서버를 컴퓨터 작업을 실행하는 데 필요한 본체로 활용할 수 있으며, 사용자는 모니터, 키보드 및 마우스만으로도 이를 이용할 수 있다.
데스크탑 가상화 시스템은 가상 데스크탑을 로컬 시스템이 아닌 중앙 서버 또는 중앙 클라우드 서버에서 작동하는 가상머신(VM: Virtual Machine) 계층, VM 데이터를 저장하는 스토리지(storage) 계층, 각 VM을 클라이언트에게 연결하는 세션 관리 계층 및 서비스를 받는 클라이언트 계층으로 구성될 수 있다. 이를 통해, 데스크탑 가상화 기술은 다수의 가상 데스크탑을 자신의 로컬 시스템에서 운영하고 있는 것처럼 제공하는 기술을 의미할 수도 있다.
이러한 데스크탑 가상화 기술은 여러 장점이 있으나, 보안 측면에서 특히 장점을 가질 수 있다. 예를 들어, 데스크톱 가상화 환경에서는 가상 컴퓨터에서 작업을 하기 때문에 사용자 개인의 컴퓨터에 데이터가 저장되지 않는다. 즉, 모든 데이터는 개인의 컴퓨터 즉, 로컬 컴퓨터가 아닌 중앙 데이터 센터에 저장된다. 이로 인하여, 민감한 데이터의 외부 유출과 관련된 문제점 중 상당 부분이 가상 데스크탑 환경을 통해 해소될 수 있다.
도 3은 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법의 개념도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법은 크게 4개의 단계로 수행될 수 있으며, 이러한 4개의 단계를 수행하기 위한 선행 단계가 요구될 수 있다.
여기서, 4개의 단계는 사용자 단말이 중앙 클라우드 서버로 가상 데스크탑에 대한 접속 요청 정보를 송신하는 제1 단계, 중앙 클라우드 서버가 AD(Active Directory) 서버로 AD 정보를 요청하는 제2 단계, AD 서버가 중앙 클라우드 서버로 AD 정보를 송신하는 제3 단계 및 중앙 클라우드 서버가 사용자 단말에게 가상 데스크탑 환경을 제공하는 제4 단계를 포함할 수 있다. 또한, 선행 단계는 사용자 단말을 통해 중앙 클라우드 서버에 사용자의 정보를 저장 및/또는 등록하는 단계를 포함할 수 있다. 이하에서는 각 단계에 대하여 보다 상세히 설명하겠다.
일 실시예에 따른 제1 단계에서 사용자 단말은 중앙 클라우드 서버로 가상 데스크탑에 대한 접속 요청 정보를 송신할 수 있다. 여기서, 사용자 단말은 사용자의 생체 정보를 함께 송신할 수 있다. 다시 말해, 사용자 단말은 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 송신할 수 있다.
여기서, 생체 정보는 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함할 수 있으며, 사용자 단말은 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 획득할 수 있는 생체 정보 인식 모듈을 탑재하거나 연결될 수 있다. 다만, 사용자 단말 또는 생체 정보 인식 모듈의 이상 동작으로 인하여 생체 정보 인식 모듈이 사용 불가능한 환경인 경우, 생체 정보는 사용자의 유저 포탈 계정 정보로 대체될 수 있다. 또한, 생체 정보는 후술하겠으나, 계정 정보, 이름 정보 및 AD 정보와 각각 1:1로 매핑될 수 있다. 즉, 하나의 생체 정보는 하나의 계정 정보, 하나의 이름 정보 및 하나의 AD 정보와 매칭될 수 있다.
여기서, 사용자의 측면에서는 사용자는 사용자 단말에 생체 정보의 입력 또는 바이오 인증을 통해 유저 포탈에 로그인될 수 있으며, 유저 포탈에서 가상 데스크탑에 대한 접속 요청을 할 수 있다. 이에 따라, 사용자 단말은 사용자의 가상 데스크탑 접속 요청에 따라 사용자가 유저 포탈에 로그인한 생체 정보를 이용하여 중앙 클라우드 서버에 가상 데스크탑에 대한 접속 요청을 할 수 있다.
일 실시예에 따른 제2 단계에서 중앙 클라우드 서버는 AD 서버로 AD 정보를 요청할 수 있다. 여기서, 중앙 클라우드 서버는 사용자 단말로부터 획득한 생체 정보를 기반으로 사용자를 인증할 수 있으며, 이에 따라 사용자의 가상 데스크탑의 계정 정보 및 사용자의 이름 정보를 도출할 수 있다. 또한, 중앙 클라우드 서버는 도출한 계정 정보 및 이름 정보를 AD 서버로 송신하며 사용자에 관한 AD 정보를 요청할 수 있다.
여기서, AD는 사용자, 사용자 그룹 및 네트워크 데이터를 통합 관리하는 기능을 지원하며, 이를 통해 네트워크 운영 체계, 메일 시스템 및 그룹웨어가 각각 가지고 있는 디렉토리의 통합 관리 기능도 지원할 수 있는 기술을 의미할 수 있으며, AD 서버는 상술한 기능을 지원하기 위한 정보들을 관리하는 서버를 나타낼 수 있고, 사용자에 관한 AD 정보는 해당 사용자의 권한 또는 적용되는 정책 등에 대한 정보를 포함할 수 있으며, AD 서버에 의한 AD 정보를 통해 관리되는 환경을 AD 환경이라 나타낼 수도 있다.
AD 환경에서는 하나의 시스템에서 변경사항이 발생하면 AD를 관리하는 AD 서버(또는 도메인 컨트롤러)가 변경사항을 데이터베이스에 적용한 후 다른 모든 서버에 이를 반영하므로 효율적이고 단일화된 사용자 정보를 제공할 수 있다.
또한, AD 환경에서 관리자 단말은 그룹 정책(group policy)를 통해 사용 권한 제어, 계정 및 암호 정책, 네트워크 정책, 소프트웨어 제한 정책 등을 정의하고 이를 사용자와 컴퓨터에 적용시켜 일관된 업무 환경을 조성하고 보안 리스크를 최소화할 수 있다.
또한, AD 환경에서는 직원의 인적 사항 변동을 즉시 시스템 전체에 반영할 수 있으며, 이에 따라 사용자의 환경에 맞는 소프트웨어와 라이선스를 배포할 수 있다.
일 실시예에 따른 제3 단계에서 AD 서버는 중앙 클라우드 서버로 AD 정보를 송신할 수 있다. 여기서, AD 서버는 중앙 클라우드 서버로부터 수신한 계정 정보 및 이름 정보를 확인할 수 있으며, 이에 따른 AD 정보 또는 계정 정보 및 이름 정보에 매핑되는 AD 정보를 도출하여 중앙 클라우드 서버로 송신할 수 있다.
일 실시예에 따른 제4 단계에서 중앙 클라우드 서버는 사용자 단말에게 가상 데스크탑 환경을 제공할 수 있다. 여기서, 중앙 클라우드 서버는 계정 정보 및 AD 정보를 기반으로 사용자에게 적용되는 가상 데스크탑의 환경을 제공할 수 있다. 또는 AD와 연동된 가상 데스크탑 환경을 제공할 수도 있다.
여기서, 가상 데스크탑의 환경은 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함할 수 있다. 또는 가상 데스크탑의 환경은 AD 정보를 기반으로 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 나타낼 수도 있다. 다만, 다른 실시예에서는 AD 서버와의 송수신 없이 또는 AD 연동 없이 가상 데스크탑 환경을 제공할 수도 있으며, 이 경우의 가상 데스크탑 환경은 외부 망과 분리되지 않은 환경일 수 있다.
상술한 단계들을 통해 사용자에게 가상 데스크탑 환경을 제공하기 위해서는 선행 단계가 요구될 수 있다. 일 실시예에 따른 선행 단계는 사용자 단말을 통해 중앙 클라우드 서버에 사용자의 정보를 저장 및/또는 등록하는 단계를 의미할 수 있다. 여기서, 중앙 클라우드 서버는 생체 정보, 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신할 수 있으며, 검증 정보를 기반으로 생체 정보를 계정 정보 및 이름 정보와 매핑하여 인증 정보를 생성할 수 있다. 이에 따라, 중앙 클라우드 서버는 상술한 제2 단계에서 인증 정보를 이용하여 생체 정보로부터 사용자의 계정 정보 및 이름 정보를 도출할 수 있다.
여기서, 선행 단계는 사용자 단말에 의해 수행될 수 있으나, 관리자 단말에 의해 수행될 수도 있으며, 관리자 단말에 의해 수행되는 경우 검증 정보는 생략될 수 있으며, 관리자 단말의 고유의 정보로 대체될 수도 있다.
또한, 사용자의 계정 정보 및 이름 정보는 일 실시예에 따른 선행 단계 이전에 중앙 클라우드 서버에 등록되어 있음이 요구될 수 있다. 여기서, 사용자의 계정 정보 및 이름 정보가 중앙 클라우드 서버에 등록되어 있지 않은 경우에는 관리자 단말에 의하여 우선 사용자의 계정 정보 및 이름 정보의 등록이 먼저 선행되어야 할 수 있다.
도 4는 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치의 블록 구성도이다.
도 4를 참조하면, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치(400)는 적어도 하나의 프로세서(410), 메모리(420) 및 저장 장치(430)를 포함할 수 있다. 예를 들어, 가상 데스크탑 환경 제공 장치(400)는 상술한 중앙 클라우드 서버에 탑재될 수 있으나, 외부에 별도로 존재하여 중앙 클라우드 서버와 연결되어 동작할 수도 있다.
프로세서(410)는 메모리(420) 및/또는 저장 장치(430)에 저장된 프로그램 명령(program command)을 실행할 수 있다. 프로세서(410)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU) 또는 본 발명에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다. 메모리(420)와 저장 장치(430)는 휘발성 저장 매체 및/또는 비휘발성 저장 매체로 구성될 수 있다. 예를 들어, 메모리(420)는 읽기 전용 메모리(read only memory, ROM) 및/또는 랜덤 액세스 메모리(random access memory, RAM)로 구성될 수 있다.
메모리(420)는 프로세서(410)를 통해 실행되는 적어도 하나의 명령을 저장하고 있을 수 있다. 적어도 하나의 명령은 사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하는 명령, 상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하는 명령, 상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하는 명령, 상기 AD 서버로부터 상기 사용자에 관한 AD 정보를 수신하는 명령 및 상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하는 명령을 포함할 수 있다.
여기서, 상기 사용자 단말 또는 관리자 단말로부터 상기 생체 정보, 상기 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신하는 명령 및 상기 검증 정보를 기반으로 상기 생체 정보를 상기 계정 정보 및 상기 이름 정보와 매핑하여 인증 정보를 생성하는 명령을 더 포함할 수 있다.
여기서, 상기 생체 정보는 상기 계정 정보, 상기 이름 정보 및 상기 AD 정보 각각과 1:1로 매핑될 수 있다.
여기서, 상기 생체 정보는 상기 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함할 수 있다.
여기서, 상기 가상 데스크탑의 환경은 상기 AD 정보를 기반으로 상기 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 포함할 수 있다.
여기서, 상기 생체 정보는 상기 사용자로부터 상기 사용자 단말에 포함된 생체 정보 인식 모듈에 의해 획득되고, 상기 생체 정보 인식 모듈이 사용 불가능한 환경인 경우, 상기 생체 정보는 상기 사용자의 유저 포탈 계정 정보로 대체될 수 있다.
도 5는 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법의 순서도이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신할 수 있다(S510). 여기서, 생체 정보는 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함할 수 있다. 또한, 생체 정보는 후술하는 계정 정보, 이름 정보 및 AD 정보 각각과 1:1로 매핑될 수 있다.
여기서, 사용자 단말은 생체 정보 인식 모듈을 탑재하거나 생체 정보 인식 모듈과 연결될 수 있으며, 이를 통해 사용자의 생체 정보를 획득할 수 있다. 다만, 생체 정보 인식 모듈이 사용 불가능한 환경인 경우 또는 생체 정보가 획득되지 않는 경우, 생체 정보는 사용자의 유저 포탈 계정 정보로 대체될 수 있다. 여기서, 유저 포탈 계정 정보는 중앙 클라우드 서버에 미리 등록되어 있을 수 있으며, 유저 포탈 계정 정보는 유터 포탈의 아이디 및 비밀번호를 포함할 수 있다.
본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출할 수 있다(S520). 여기서, 사용자 인증은 선행 단계에서 생성된 인증 정보를 기반으로 수행될 수 있다.
본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신할 수 있으며(S530), 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 상기 AD 서버로부터 상기 사용자에 관한 AD 정보를 수신할 수 있다(S540).
이후, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공할 수 있다(S550). 여기서, 가상 데스크탑의 환경은 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함할 수 있다. 또는 가상 데스크탑의 환경은 AD 정보를 기반으로 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 나타낼 수도 있다. 다만, 다른 실시예에서는 AD 서버와의 송수신 없이 또는 AD 연동 없이 가상 데스크탑 환경을 제공할 수도 있으며, 이 경우의 가상 데스크탑 환경은 외부 망과 분리되지 않은 환경일 수 있다.
도 5에는 도시하지 않았으나, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 상술한 과정들을 수행하기 이전에 생체 정보를 등록하는 과정을 수행할 수도 있다. 예를 들어, 가상 데스크탑 환경 제공 장치는 생체 정보, 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신할 수 있으며, 검증 정보를 기반으로 생체 정보를 계정 정보 및 이름 정보와 매핑하여 인증 정보를 생성할 수 있다.
상술한 동작들은 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 방법을 간략히 설명한 것이며, 각 단계, 각 동작 또는 각 과정에 대한 보다 상세한 설명은 도 1 내지 도 4와 함께 상술하였다. 즉, 본 발명의 일 실시예에 따른 가상 데스크탑 환경 제공 장치는 도 5와 함께 설명한 동작 외에도 도 1 내지 도 4와 함께 설명한 동작도 수행할 수 있음은 자명하다.
본 발명의 실시예에 따른 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.
실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그래머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그래머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (8)

  1. 클라우드 서버에서 사용자의 생체 정보를 기반으로 가상 데스크탑 환경을 제공하는 방법으로서,
    사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하는 단계;
    상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하는 단계;
    상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하는 단계;
    상기 AD 서버로부터 상기 사용자 인증에 관한 AD 정보를 수신하는 단계; 및
    상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하는 단계를 포함하되,
    상기 가상 데스크탑의 환경은 상기 수신한 AD 정보를 기반으로 외부 망과 분리된 특정 망만 이용하는 환경을 포함하고,
    상기 사용자 단말이 생체 정보 입력을 통해 유저 포탈에 로그인한 경우, 상기 유저 포탈을 통해 상기 로그인에 이용된 생체 정보에 기초하여 상기 사용자 단말로부터 가상 데스크탑에 대한 접속 정보 요청을 수신하고,
    상기 클라우드 서버에서 AD 정보를 수신하면, 상기 사용자 단말은 상기 AD 서버와 연결된 하나 또는 그 이상의 서버에 인증없이 접속 가능하도록 제어되는,
    가상 데스크탑 환경 제공 방법.
  2. 청구항 1에 있어서,
    상기 사용자 단말 또는 관리자 단말로부터 상기 생체 정보, 상기 생체 정보에 대한 등록 요청 정보 및 검증 정보를 수신하는 단계; 및
    상기 검증 정보를 기반으로 상기 생체 정보를 상기 계정 정보 및 상기 이름 정보와 매핑하여 인증 정보를 생성하는 단계를 더 포함하는,
    가상 데스크탑 환경 제공 방법.
  3. 청구항 1에 있어서,
    상기 생체 정보는,
    상기 계정 정보, 상기 이름 정보 및 상기 AD 정보 각각과 1:1로 매핑되는,
    가상 데스크탑 환경 제공 방법.
  4. 청구항 1에 있어서,
    상기 생체 정보는,
    상기 사용자의 홍체 정보, 안면 정보 및 지면 정보 중 적어도 하나를 포함하는,
    가상 데스크탑 환경 제공 방법.
  5. 청구항 1에 있어서,
    상기 가상 데스크탑의 환경은,
    상기 AD 정보를 기반으로 외부 망과 분리된 특정 망만을 이용하는 환경을 포함하는,
    가상 데스크탑 환경 제공 방법.
  6. 청구항 1에 있어서,
    상기 가상 데스크탑의 환경은,
    상기 AD 정보를 기반으로 상기 사용자에 대한 접근 권한 정보 및 네트워크 정책 정보 중 적어도 하나가 적용된 환경을 포함하는,
    가상 데스크탑 환경 제공 방법.
  7. 청구항 1에 있어서,
    상기 생체 정보는 상기 사용자로부터 상기 사용자 단말에 포함된 생체 정보 인식 모듈에 의해 획득되고, 상기 생체 정보 인식 모듈이 사용 불가능한 환경인 경우, 상기 생체 정보는 상기 사용자의 유저 포탈 계정 정보로 대체되는,
    가상 데스크탑 환경 제공 방법.
  8. 사용자의 생체 정보를 기반으로 가상 데스크탑 환경을 제공하는 장치로서,
    프로세서(processor); 및
    상기 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)를 포함하고,
    상기 적어도 하나의 명령은,
    사용자 단말로부터 사용자의 생체 정보 및 가상 데스크탑에 대한 접속 요청 정보를 수신하도록 실행되고,
    상기 생체 정보를 기반으로 상기 사용자를 인증하여 상기 가상 데스크탑의 계정 정보 및 상기 사용자의 이름 정보를 도출하도록 실행되고,
    상기 계정 정보 및 상기 이름 정보를 AD(Active Directory) 서버로 송신하도록 실행되고,
    상기 AD 서버로부터 상기 사용자 인증에 관한 AD 정보를 수신하도록 실행되고,
    상기 계정 정보 및 상기 AD 정보를 기반으로 상기 가상 데스크탑의 환경을 제공하도록 실행되되,
    상기 가상 데스크탑의 환경은 상기 수신한 AD 정보를 기반으로 외부 망과 분리된 특정 망만 이용하는 환경을 포함하고,
    상기 사용자 단말이 생체 정보 입력을 통해 유저 포탈에 로그인한 경우, 상기 유저 포탈을 통해 상기 로그인에 이용된 생체 정보에 기초하여 상기 사용자 단말로부터 가상 데스크탑에 대한 접속 정보 요청을 수신하고,
    클라우드 서버에서 AD 정보를 수신하면, 상기 사용자 단말은 상기 AD 서버와 연결된 하나 또는 그 이상의 서버에 인증없이 접속 가능하도록 제어되는,
    가상 데스크탑 환경 제공 장치.
KR1020200053416A 2020-05-04 2020-05-04 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치 KR102362327B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200053416A KR102362327B1 (ko) 2020-05-04 2020-05-04 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200053416A KR102362327B1 (ko) 2020-05-04 2020-05-04 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20210135121A KR20210135121A (ko) 2021-11-12
KR102362327B1 true KR102362327B1 (ko) 2022-02-10

Family

ID=78497541

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200053416A KR102362327B1 (ko) 2020-05-04 2020-05-04 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102362327B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20240003383A (ko) 2022-06-30 2024-01-09 (주)타임게이트 보안 기능 강화를 위한 가상 데스크탑 서비스 시스템 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101591371B1 (ko) * 2010-12-09 2016-02-18 한국전자통신연구원 클라우드 컴퓨팅 기반 가상 머신의 개인화 정보를 관리하기 위한 시스템 및 그 방법
KR101314514B1 (ko) * 2011-09-29 2013-11-21 이청종 보안이 강화된 클라우드 시스템 및 그에 의한 보안 관리 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
공개특허공보 제10-2012-0064574호(2012.06.19.) 1부*
공개특허공보 제10-2013-0035124호(2013.04.08.) 1부*

Also Published As

Publication number Publication date
KR20210135121A (ko) 2021-11-12

Similar Documents

Publication Publication Date Title
US10447684B2 (en) Hosted application sandbox model
CN108965480A (zh) 云桌面登录管控方法、装置及计算机可读存储介质
US9626502B2 (en) Method and system for enterprise network single-sign-on by a manageability engine
US11962511B2 (en) Organization level identity management
CN113316783A (zh) 使用活动目录和一次性口令令牌组合的双因素身份认证
US9197644B1 (en) System and method for multitenant management of domains
CN107948203A (zh) 一种容器登录方法、应用服务器、系统及存储介质
US20140298324A1 (en) System and method for automated configuration of software installation package
US10484433B2 (en) Virtual communication endpoint services
US8966570B1 (en) Entity to authorize delegation of permissions
US10291401B1 (en) Stateless service-mediated security module
US9792426B1 (en) System and method for providing anonymous access to shared resources
CN112492028B (zh) 云桌面登录方法、装置、电子设备及存储介质
US10037418B2 (en) Pre-boot authentication credential sharing system
US11245681B2 (en) Authentication in a multi-tenant environment
CN105812350A (zh) 一种跨平台单点登录系统
US11151239B2 (en) Single sign-on management for multiple independent identity providers
KR102362327B1 (ko) 사용자의 생체 정보 기반 가상 데스크탑 환경 제공 방법 및 장치
JP2012118833A (ja) アクセス制御方法
RU2635269C1 (ru) Комплекс аппаратно-программных средств, создающий защищенную облачную среду с автономной полнофункциональной инфраструктурой логического управления с биометрико-нейросетевой идентификацией пользователей и с аудитом подключаемых технических средств
US10904011B2 (en) Configuration updates for access-restricted hosts
US11328041B2 (en) Computing system virtualization continuous authentication system
KR102545287B1 (ko) 인증수단/전자서명 통합 플랫폼 제공 방법 및 시스템
US20220417243A1 (en) Passwordless access to virtual desktops
US11514145B2 (en) Linking individual biometric data to protected resources accessed via user devices

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant