KR102520809B1 - 인증 방법 및 장치, 컴퓨팅 장치 및 매체 - Google Patents

인증 방법 및 장치, 컴퓨팅 장치 및 매체 Download PDF

Info

Publication number
KR102520809B1
KR102520809B1 KR1020210031338A KR20210031338A KR102520809B1 KR 102520809 B1 KR102520809 B1 KR 102520809B1 KR 1020210031338 A KR1020210031338 A KR 1020210031338A KR 20210031338 A KR20210031338 A KR 20210031338A KR 102520809 B1 KR102520809 B1 KR 102520809B1
Authority
KR
South Korea
Prior art keywords
authentication
connection
memory
information
authentication information
Prior art date
Application number
KR1020210031338A
Other languages
English (en)
Other versions
KR20220041706A (ko
Inventor
펑페이 정
Original Assignee
베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디. filed Critical 베이징 바이두 넷컴 사이언스 앤 테크놀로지 코., 엘티디.
Publication of KR20220041706A publication Critical patent/KR20220041706A/ko
Application granted granted Critical
Publication of KR102520809B1 publication Critical patent/KR102520809B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0655Vertical data movement, i.e. input-output transfer; data movement between one or more hosts and one or more storage devices
    • G06F3/0659Command handling arrangements, e.g. command buffers, queues, command scheduling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Power Engineering (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

본 공개는 인증 방법 및 장치, 컴퓨팅 장치 및 매체를 제공하고, 클라우드 컴퓨팅 기술분야에 관한 것이다. 상기 인증 방법은, 연결 요청을 수신하며, 상기 연결 요청은 인증 정보를 포함하는 단계; 상기 연결 요청에서 상기 인증 정보를 추출하는 단계; 추출된 상기 인증 정보를 기반으로, 연결 인증 결과를 확인하는 단계; 인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 상기 연결 인증 결과 및 추출된 상기 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계; 인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 하나의 서비스 요청을 수신하는 단계; 상기 인증 저장 데이터를 기반으로, 상기 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하는 단계를 포함한다.

Description

인증 방법 및 장치, 컴퓨팅 장치 및 매체{AUTHENTICATION METHOD AND DEVICE, COMPUTING EQUIPMENT AND MEDIUM}
본 공개는 클라우드 컴퓨팅 기술분야에 관한 것으로, 특히 인증 방법 및 장치, 컴퓨팅 장치 및 매체에 관한 것이다.
클라우드 컴퓨팅 시스템에서, 리소스 활용도를 높이기 위해 일반적으로 클라우드 서버 그룹을 사용하여 동시에 여러 사용자에게 서비스를 제공 할 수 있다. 클라우드 서버에서 아웃 오브 바운드(out-of-bound) 액세스 및 사용자 데이터 유출을 방지하고, 사용자 데이터의 보안을 보장하기 위해, 클라우드 서버는 사용자로부터 요청을 수신하면 수신된 요청에 대해 권한을 인증해야 한다. 각 사용자는 자신의 권한 범위 내에서만 클라우드 서버의 데이터에 액세스 하도록 허용된다.
이 부분에서 설명한 방법은 이전에 이미 구상되었거나 이용된 방법이 아닐 수 있다. 다른 설명이 없는 한, 이 부분에서 설명한 그 어떤 방법도 이 부분에 포함되었다는 이유만으로 종래기술로 인정된다고 가정해서는 안된다. 이와 유사하게, 다른 설명이 없는 한, 이 부분에서 언급된 과제는 임의의 종래기술에서 이미 보편적으로 인정된 것으로 보아서는 안된다.
본 공개의 하나의 측면은, 인증 방법을 제공하고, 연결 요청을 수신하며, 연결 요청은 인증 정보를 포함하는 단계; 연결 요청에서 인증 정보를 추출하는 단계; 추출된 인증 정보를 기반으로 연결 인증 결과를 결정하는 단계; 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계; 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 하나의 서비스 요청을 수신하는 단계; 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하는 단계를 포함한다.
본 공개의 다른 하나의 측면은, 인증 장치를 더 제공하고, 연결 요청을 수신하며, 연결 요청은 인증 정보를 포함도록 구성된 수신 유닛; 연결 요청에서 인증 정보를 추출하도록 구성된 추출 유닛; 추출된 인증 정보를 기반으로 연결 인증 결과를 결정하도록 구성된 제1 결정 유닛; 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정하도록 구성된 제2 결정 유닛; 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하도록 구성된 인증 유닛을 포함하고, 수신 유닛은 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 하나의 서비스 요청을 수신하도록 더 구성된다.
본 공개의 다른 하나의 측면에 따르면, 컴퓨팅 장치를 더 제공하고, 프로세서; 및 프로그램이 저장된 메모리를 포함하며, 상기 프로그램은 명령을 포함하고, 상기 명령은 상기 프로세서에 의해 실행될 때 상기 프로세서가 상술한 인증 방법을 실행하도록 한다.
본 공개의 다른 하나의 측면에 따르면, 프로그램이 저장된 컴퓨터 판독가능 저장매체를 더 제공하고, 프로그램은 명령을 포함하고, 명령은 컴퓨팅 장치의 프로세서에 의해 실행될 때, 컴퓨팅 장치가 상술한 인증 방법을 실행하도록 한다.
본 공개의 다른 하나의 측면에 따르면, 컴퓨터 판독가능 저장매체에 저장된 컴퓨터 프로그램을 더 제공하고, 컴퓨터 프로그램은 명령을 포함하고, 명령은 적어도 하나의 프로세서에 의해 실행될 때 상술한 방법을 실현한다.
본 공개는 인증 저장 데이터를 통해 수신된 각 서비스 요청을 인증함으로써, 사용자 데이터 보안을 보장하는 것을 바탕으로 시스템 처리 효율을 향상시킬 수 있다.
도면은 실시예를 예시적으로 나타내고 명세서의 일부를 구성하며, 명세서의 문자 기재와 함께 실시예의 예시적 실시형태를 해석한다. 보여준 실시예는 예시의 목적으로만 사용되고, 특허청구범위를 한정하지 않는다. 모든 도면에서 동일한 부호는 유사하지만 반드시 동일하지는 않은 요소를 가리킨다.
도 1은 예시적 실시예에 따른 인증 방법을 나타내는 흐름도이다.
도 2는 예시적 실시예에 따른 인증 정보의 주입을 나타내는 개략도이다.
도 3은 예시적 실시예에 따른 인증 저장 데이터의 저장을 나타내는 개략도이다.
도 4는 예시적 실시예에 따른 인증 장치의 개략적인 구성을 나타내는 블록도이다.
도 5는 예시적 실시예에 적용될 수 있는 예시적 컴퓨팅 장치의 구조를 나타내는 블록도이다.
본 공개에서는 별도의 설명이 없는 한, “제1”, “제2” 등의 용어를 이용하여 각종 요소를 설명하는 것은 이들 요소의 위치 관계, 시간순서 관계 또는 중요성 관계를 한정하는 것을 의도하지 않는다. 이러한 용어는 하나의 소자를 다른 소자와 구분하기 위할 뿐이다. 일부 예시에서 제1 요소와 제2 요소는 당해 요소의 동일 구현예를 지칭할 수 있으며, 일부 경우에 이들은 문맥상 서로 다른 구현예를 지칭할 수도 있다..
본 공개에서, 각종 상기 예시에 대한 설명에서 사용된 용어는 특정 예시를 설명하기 위한 목적일 뿐, 한정하는 것을 의도하지 않는다. 문맥상 별도로 명백히 설명하지 않은 한, 요소의 수를 특별히 한정하지 않으면 당해 요소는 하나 또는 다수일 수 있다. 또한, 본 공개에서 사용된 용어 “및/또는”은 나열된 항목 중의 임의의 하나 및 모든 가능한 조합 방식을 포함한다.
클라우드 컴퓨팅 시스템에서, 클라우드 서버 그룹으로 다수의 사용자에게 동시에 서비스를 제공한다. 각 사용자의 클라우드 서버에서의 데이터 분리성 및 보안성을 보장하고, 클라우드 서버의 아웃 오브 바운드 액세스를 방지하기 위해, 클라우드 컴퓨팅 시스템은 각 사용자에 대한 특정 액세스 권한을 결정하여, 클라우드 서버에서 액세스 가능한 데이터 범위, 작업 권한 등을 한정하였다. 사용자의 각 요청에 대해, 상기 사용자가 가지고 있는 액세스 권한 범위 내에서만 관련 처리가 허용될 수 있다.
관련 기술에서, 클라우드 컴퓨팅 시스템의 처리 효율을 보장하기 위해, 클라우드 서버는 네트워크 계층의 연결이 설정된 경우에만 연결 요청 중의 액세스 포털 정보를 기반으로 1회 인증을 진행하고, 인증 정보 및 인증을 통해 얻은, 상기 사용자 액세스 권한을 포함하는 인증 결과를 클라우드 서버 메모리에 저장한다. 상기 연결을 기반으로 한, 후속되는 각 서비스 요청에 대해, 클라우드 서버는 더 이상 인증을 실행하지 않고, 직접 메모리에 저장된 인증 정보 및 인증 결과를 기반으로, 상기 서비스 요청이 가지고 있는 액세스 권한을 결정하여, 상기 서비스 요청을 처리한다.
그러나 이러한 방식은 클라우드 서버의 컴퓨팅 오버헤드를 줄일 수 있으나, 보안 위험이 있다. 예를 들면, 소프트웨어에 bug가 나타나거나, 제3자에 의해 악의적인 공격을 받은 경우, 클라우드 서버에 저장된 인증 정보 및 연결 인증 결과는 변조될 수 있다. 또는, 네트워크 연결이 설정된 후 액세스 포털의 액세스 권한이 변경되면, 클라우드 서버에 저장된 인증 정보 및 인증 결과가 변경된 액세스 권한과 일치하지 않게 된다. 이 경우, 클라우드 서버가 서비스 요청을 수신하면, 변조되었거나, 또는 변경 전 인증 결과를 기반으로 사용자의 액세스 권한을 결정하므로 서버 내에서 아웃 오브 바운드 액세스 또는 데이터 유출이 발생한다.
이를 바탕으로, 본 공개는 인증 방법을 제공하고, 연결 요청에 포함된 인증 정보를 추출하여 연결 인증을 진행하고, 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정한다. 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 클라이언트와 클라우드 서버 간에 연결이 설정되고, 클라우드 서버는 상기 연결을 기반으로 한 서비스 요청을 수신한다. 서비스 요청을 처리하기 전에, 클라우드 서버는 상기 인증 저장 데이터를 기반으로, 각 서비스 요청에 대해 인증을 실행한다. 이를 통해 클라우드 서버는 로컬에 저장된 인증 저장 데이터를 기반으로 각 서비스 요청에 대해 인증을 실행할 수 있으므로, 인증 속도가 빠르고, 클라우드 서버 처리 효율이 보장된다. 동시에, 클라우드 서버에 저장된 연결 인증 결과에만 의존하여 모든 서비스 요청에 대응하는 사용자 액세스 권한을 결정할 경우 보안 위험을 초래하는 것을 극복할 수 있다.
본 공개의 기술방안은 클라우드 서버의 멀티 테넌트(Multi-tenant)인증에 한정되지 않고, 기타 서버의 멀티 테넌트 인증에도 적용가능하다.
이하, 도면을 결합하여 본 공개의 인증방법을 추가로 설명한다.
도 1은 본 공개의 예시적 실시예에 따른 인증 방법의 흐름도를 나타낸다. 도 1에 도시된 바와 같이, 인증 방법은, 연결 요청을 수신하며, 연결 요청은 인증 정보를 포함하는 단계(S101); 연결 요청에서 인증 정보를 추출하는 단계(S102); 추출된 인증 정보를 기반으로 연결 인증 결과를 확인하는 단계(S103); 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계(S104); 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 하나의 서비스 요청을 수신하는 단계 단계(S105); 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하는 단계(S106)를 포함할 수 있다. 이에 따라, 연결 인증이 통과된 후, 로컬 인증 저장 데이터를 통해 각 서비스 요청에 대해 모두 인증을 진행함으로써, 클라우드 서버 처리 효율을 보장함과 동시에, 사용자 데이터의 보안을 향상시킬 수 있다.
사용자가 클라우드 서버의 액세스 권한을 신청한 후, 게이트웨이(203)를 통해 사용자의 신뢰할 수 있는 환경에서 사용자를 위한 독립 액세스 포털(202)을 생성할 수 있다. 클라우드 컴퓨팅인 경우에, 사용자의 신뢰할 수 있는 환경(201)은 사용자의 가상 컴퓨터, 용기, 가상 네트워크 등을 포함할 수 있으나 이에 한정되지 않는다. 사용자는 상기 액세스 포털(202)을 통해 클라우드 서버(205)에 액세스 한다. 클라우드 서버(205)는 하나 또는 다수의 서버를 포함할 수 있고, 도 2를 참조하기 바란다.
네트워크 계층 연결을 설정하는 동안, 유저단(user end)액세스 포털을 통해 게이트웨이로 연결 요청을 발송하고, 게이트웨이는 연결 요청을 수신한 후, 상기 연결 요청을 클라우드 서버로 전달하여, 유저단과 클라우드 서버 간의 네트워크 계층 연결을 설정할 수 있다.
일부 실시예에 따르면, 제3자 인증 서버에 액세스 포털에 대응하는 인증 정보를 저장할 수 있거나, 게이트웨이에 액세스 포털에 대응하는 인증 정보를 저장할 수도 있고, 이에 대해 한정하지 않는다. 예시적 실시예에서, 게이트웨이는 액세스 포털로부터 연결 요청을 수신 할 때 로컬 또는 제3자 인증 서버로부터 해당 인증 정보를 얻고 얻어진 인증 정보를 연결 요청에 주입할 수 있다. 이러한 방식으로 연결 요청에 인증 정보를 주입하는 과정은 사용자에게 투명하고, 사용자가 인증 과정을 변조할 수 없으므로 인증 정보 전송의 보안이 보장된다.
도 2는 예시적 실시예에 따른 인증 정보의 주입 개략도를 나타낸다. 도 2의 개략적인 예시에서, 게이트웨이(203)는 인증 서버(204)로부터 인증 정보를 얻고 인증 정보를 연결 요청에 주입하여, 연결 요청은 인증 정보를 포함할 수 있도록 한다. 이에 따라, 인증 정보는 제3자에 의해 독립적으로 저장될 수 있어 클라우드 컴퓨팅 시스템의 저장 부담을 줄일 수 있다.
일부 예시적 실시예에서, 게이트웨이(203)는 인증 정보를 기반으로 연결 요청을 수정하여 인증 정보를 연결 요청에 주입할 수 있다. 구체적으로, 게이트웨이(203)는 연결 요청 중의 핸드 셰이크 데이터 패킷을 수정하여 인증 정보를 연결 요청에 주입할 수 있다. 클라우드 서버(205)는 인증 정보를 포함한 연결 요청을 수신한 후, 연결 요청에서 인증 정보를 추출하고, 핸드 셰이크 데이터 패킷을 초기 데이터로 다시 수정하고 후속 처리를 수행한다.
다른 일부 실시예에서, 게이트웨이(203)는 데이터를 삽입하는 방식으로 인증 정보를 연결 요청에 주입할 수 있다. 구체적으로, 게이트웨이(203)는 핸드 셰이크 데이터 패킷에 인증 정보를 삽입하기 전에, 연결 요청 중의 데이터를 수정하지 않을 수 있다. 클라우드 서버(205)는 인증 정보를 포함한 연결 요청을 수신한 후 삽입 위치에서 인증 정보를 추출하여 초기 연결 요청을 얻어 후속 처리를 진행한다.
일부 실시예에 따르면, 게이트웨이가 로컬에서 인증 정보를 얻는 경우, 연결 요청은 액세스 포털(예: IP주소)을 포함할 수 있고, 인증 정보는 인증 IP주소를 포함할 수 있다. 인증 방법은 또한, 액세스 포털에 대해 고유한 인증 IP주소를 구성하는 단계; 연결 요청에 대응하는 인증 IP주소를 게이트웨이(203)에 저장하는 단계; 및 게이트웨이는 인증 IP주소를 연결 요청에 주입하여, 연결 요청이 인증 IP주소를 포함하도록 하는 단계를 더 포함한다. 따라서 게이트웨이(203)는 인증 서버(204)에 접속할 필요가 없고 인증 속도가 더 빠르다. 예시에서, 게이트웨이(203)는 연결 요청 중의 액세스 IP주소를 대응하는 인증 IP주소로 대체하여 연결 요청에 인증 정보가 포함되도록 할 수 있지만 이에 한정되지 않는다.
인증 IP주소는 게이트웨이로 구성될 수 있고, 기타 장치로 구성될 수도 있다.
상술한 기술방안에서, 인증 정보는 게이트웨이를 통해 연결 요청에 주입되어, 인증 정보가 유저단에 투명하도록 보장할 수 있고, 즉 주입된 인증 정보는 사용자에게 보이지 않고, 사용자는 전체 인증 과정을 변조할 수 없으므로, 인증 과정의 신뢰성을 보장하고, 시스템 보안을 향상시킬 수 있다.
게이트웨이는 인증 정보를 포함한 연결 요청을 클라우드 서버로 전달하고, 클라우드 서버는 인증 정보를 포함한 연결 요청을 수신한 후, 연결 요청에서 인증 정보를 추출하고, 추출된 인증 정보를 기반으로 연결 인증 결과를 결정한다.
일부 실시예에 따르면, 연결 인증 결과를 확인하는 단계는, 인증 서버로 인증 정보를 전송하고, 인증 서버로부터 리턴된 연결 인증 결과를 수신하는 단계를 포함할 수 있다. 이에 따라, 클라우드 서버는 연결 요청에 포함된 인증 정보를 기반으로, 인증 서버와의 상호 작용을 통해 연결 요청에 대한 인증을 실현함으로써, 연결 인증 결과의 신뢰성을 보장하고, 네트워크 계층 연결의 보안을 향상시킬 수 있다.
연결 인증 결과는 연결 인증 성공 여부를 나타낼 수 있을 뿐만 아니라, 클라우드 서버에서 사용자의 액세스 권한을 나타낼 수 있다.
인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 유저단은 클라우드 서버와 네트워크 계층 연결을 성공적으로 설정한다. 다음, 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정할 수 있어, 이후 상기 연결을 기반으로 수신되는 각 서비스 요청에 대해 로컬 인증 저장 데이터를 기반으로 인증을 실행할 수 있다.
일부 실시예에 따르면, 인증 저장 데이터는 인증 상태를 포함할 수 있다. 이 경우, 인증 방법은 클라우드 서버에 인증 컨텍스트 메모리를 생성하는 단계; 및 인증 상태를 인증 컨텍스트 메모리에 저장하는 단계를 더 포함할 수 있다. 대응하게, 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계는, 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 인증 컨텍스트 메모리 중의 인증 상태를 성공으로 설정하는 단계를 포함할 수 있다.
예시에서, 인증 실패를 나타내는 연결 인증 결과에 대한 응답으로, 인증 컨텍스트 메모리 중의 인증 상태를 실패로 설정할 수 있다.
하나의 실시예에서, 인증 저장 데이터는 인증 상태를 포함하는 경우, 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하는 단계는, 서비스 요청 수신에 대한 응답으로, 인증 컨텍스트 메모리에 저장된 인증 상태의 성공 여부를 확인하는 단계; 및 인증 상태가 실패로 확인된 것에 대한 응답으로, 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계를 포함할 수 있고, 이에 따라, 기록 및 판독 가능한 인증 상태에 대한 설정을 기반으로 현재 액세스 권한의 변화를 반영할 수 있고, 이를 서비스 인증의 기반으로 사용할 수 있다.
다른 실시예에서, 인증 저장 데이터는 인증 컨텍스트 메모리 주소를 포함할 수 있다. 이 경우, 인증 방법은, 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 읽기 전용 메모리를 생성하는 단계; 및 인증 컨텍스트 메모리 주소를 읽기 전용 메모리에 저장하는 단계를 더 포함할 수 있다. 대응하게, 적어도 설정된 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하는 단계는, 인증 컨텍스트 메모리의 실제 주소와 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소가 일치하는지 여부를 확인하는 단계; 및 인증 컨텍스트 메모리의 실제 주소와 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소가 일치하지 않다는 확인에 대한 응답으로, 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계를 포함할 수 있다. 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소는 변조되지 않으므로, 인증 컨텍스트 메모리의 실제 주소와 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소를 비교하여, 시스템이 잘못된 인증 컨텍스트 메모리 및 인증 상태를 판독하는 것을 방지하고, 시스템의 액세스 권한에 대한 오판을 방지할 수 있다.
다른 실시예에서, 인증 저장 데이터는 인증 정보 및 연결 인증 결과를 포함할 수 있다. 이 경우, 인증 방법은, 추출된 인증 정보 및 연결 인증 결과를 기록 및 판독 가능한 메모리에 저장하는 단계; 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 읽기 전용 메모리를 생성하는 단계; 및 인증 정보 및 연결 인증 결과를 읽기 전용 메모리에 저장하는 단계를 더 포함할 수 있다. 대응하게, 적어도 설정된 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하는 단계는, 읽기 전용 메모리 및 기록 및 판독 가능한 메모리 모두에 저장된 인증 정보 및 연결 인증 결과가 일치하는지 여부를 확인하는 단계; 및 읽기 전용 메모리 및 기록와 판독 가능한 메모리 모두에 저장된 인증 정보와 연결 인증 결과 중 적어도 하나의 연결 인증 결과가 일치하지 않은 것으로 확인된 것에 대한 응답으로, 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계를 더 포함할 수 있다. 읽기 전용 메모리에 저장된 인증 정보 및 인증 결과는 변조되지 않으므로, 읽기 전용 메모리에 저장된 인증 정보 및 인증 결과와 기록 및 판독 가능한 메모리에 저정된 인증 정보 및 인증 상태를 비교하는 것으로 서비스 인증을 진행하여, 인증 정보 및 인증 결과가 변조된 후, 액세스 권한에 대한 시스템에 대해 오판하는 것을 방지할 수 있다.
상술한 실시예에서, 클라우드 서버에 기록 및 판독 가능한 인증 컨텍스트 메모리 및 읽기 전용 메모리를 생성하는 것을 통해 인증 저장 데이터를 저장하며, 상기 인증 컨텍스트 메모리 및 읽기 전용 메모리에 저장된 인증 저장 데이터를 비교하여 서비스 인증을 진행한다. 본 명세서에서는 로컬에 저장된 인증 저장 데이터를 기반으로 서비스 인증을 진행하는 방법의 예시일 뿐, 상술한 방법에 의해서만 로컬에 저장된 인증 저장 데이터를 기반으로 서비스 인증을 진행할 수 있음을 한정하는 것은 아님을 이해할 수 있을 것이다.
바람직한 실시예로서, 인증 저장 데이터는 인증 상태, 인증 컨텍스트 메모리 주소, 및 인증 매개변수(인증 정보 및 연결 인증 결과) 중의 적어도 2개의 조합을 포함할 수 있다. 조합 중 임의의 통과 조건을 충족하지 않는 것에 대한 응답으로(상세한 내용은 상기 참조), 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인할 수 있다. 반대로, 조합 중 모두가 통과 조건을 충족하는 것에 대한 응답으로, 서비스 요청의 서비스 인증 결과는 통과된 것으로 확인할 수 있다. 이에 따라, 다수의 인증 저장 데이터를 설정하는 것을 통해, 인증의 신뢰성을 추가로 향상시키고, 사용자 데이터의 보안을 추가로 향상시킬 수 있다.
도 3은 예시적 실시예에 따른 인증 저장 데이터의 저장을 나타내는 개략도이다. 도 3을 참조하면, 인증 저장 데이터의 저장 흐름은 다음과 같다:
단계(1), 클라우드 서버는 메모리에 인증 컨텍스트 메모리(300)를 생성하고, 상기 인증 컨텍스트 메모리(300)에 읽기 전용 메모리 주소(301) 및 인증 상태(302)를 저장한다. 읽기 전용 메모리 주소(301)의 초기 값은 널(null) 값이다.
단계(2), 연결 인증 결과가 인증 실패를 나타내는 경우, 인증 컨텍스트 메모리 중의 인증 상태를 실패로 설정하고, 인증 과정을 종료한다. 연결 인증 결과가 인증 성공을 나타내는 경우, 계속하여 단계(3)를 실행한다.
단계(3), 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 클라우드 서버는 메모리에 하나의 독립 메모리(400)를 생성하고, 인증 메모리(400), 연결 인증 결과(402) 및 인증 컨텍스트 메모리 주소(403)를 상기 메모리(400)에 저장한다. 다음, 메모리를 읽기 전용 상태로 설정한다. 읽기 전용 메모리는 읽기 전용 상태가 해제되기 전에, 저장된 내용은 읽기만 가능하고 수정할 수 없다.
단계(4), 인증 컨텍스트 메모리(300)에 보관된 읽기 전용 메모리 주소(301)를 단계(3)에서 읽기 전용 메모리(400)에 할당된 메모리 주소로 설정하고, 인증 상태(302)를 “성공”으로 설정한다.
단계(5), 클라우드 서버는 읽기 전용 메모리(400)에 저장된 인증 메모리(400), 연결 인증 결과(402) 및 인증 컨텍스트 메모리 주소(403)를 생성된 네트워크 계층 연결과 바인딩한다.
여기까지, 인증 저장 데이터의 확인 및 저장을 완성한다.
바람직한 실시예로서, 인증 저장 데이터는 인증 상태, 인증 컨텍스트 메모리 주소, 인증 정보 및 연결 인증 결과를 포함할 수 있다. 서비스 요청 수신에 대한 응답으로, 클라우드 서버는 인증 컨텍스트 메모리(300) 및 읽기 전용 메모리(400) 저장에서 저장된 인증 저장 데이터를 기반으로 서비스 요청에 대한 인증을 실현한다. 이 경우, 서비스 요청 인증이 통과되었는지 확인하려면 다음 조건이 충족되어야 한다:
1. 인증 컨텍스트 메모리(300)의 인증 상태(302)는 “성공”이다.
2. 인증 컨텍스트 메모리(300)의 실제 메모리 주소는 읽기 전용 메모리(400)에 저장된 인증 컨텍스트 메모리 주소(403)와 일치한다.
3. 읽기 전용 메모리(400)에 저장된 인증 메모리(400), 연결 인증 결과(402)는 클라우드 서버 기록 및 판독 가능한 메모리에 저장된 인증 정보, 연결 인증 결과와 일치한다.
상기 3개 조건이 동시에 충족되는 경우에만 수신된 서비스 요청의 인증 결과가 통과된 것으로 확인한다. 조건 중 하나가 충족되지 않으면, 수신된 서비스 요청의 인증 결과는 통과되지 않은 것으로 확인된다.
본 공개의 기술방안에서, 한편으로, 클라우드 서버는 클라우드 서버 내부에서 서비스 요청에 대해 인증한다. 상기 인증 과정은 인증 정보에 의존하지 않으며, 인증 서버와의 통신을 통해 인증을 실행할 필요도 없으므로, 인증 속도가 빠르고, 클라우드 서버의 컴퓨팅 오버헤드를 절약하고, 시스템의 운영 효율을 향상시킨다. 다른 한편으로, 클라우드 서버는 메모리에 기록 및 판독 가능한 인증 컨텍스트 메모리 및 인증 저장 데이터를 저장하기 위한 읽기 전용 메모리를 추가로 설치했다. 서비스 요청이 수신되면, 인증 저장 데이터를 기반으로 다중 조건의 인증을 진행함으로써, 클라우드 서버의 데이터 보안을 보장한다.
일부 실시예에 따르면, 생성된 네트워크 계층 연결이 끊어질 때, 인증 컨텍스트 메모리의 인증 상태는 오류로 설정된다. 동시에, 읽기 전용 메모리의 읽기 전용 상태를 해제하고, 읽기 전용 메모리에 저장된 데이터를 삭제함으로써, 읽기 전용 메모리에 저장된 데이터가 해제된 후 유출되는 것을 방지할 수 있다.
실제 응용에서, 네트워크 계층 연결을 형성하기 위한 인증 정보는 연결이 형성된 후 효력을 상실하는 경우가 존재한다. 예를 들면, 사용자의 액세스 권한이 변경되거나 취소된다. 클라우드 서버가 인증 정보가 효력 상실 정보를 제때에 얻지 못할 경우, 유저단은 이미 형성된 네트워크 계층 연결을 기반으로, 기존 서비스 권한에 기초하여 클라우드 서버에 계속하여 액세스하여 클라우드 서버의 아웃 오브 바운드(out-of-bounds) 액세스 및 데이터 유출을 초래한다.
상술한 기술문제를 해결하기 위해, 인증 방법은 인증 정보의 효력 상실 여부를 확인하고, 인증 정보 효력 상실 확인에 대한 응답으로, 인증 컨텍스트 메모리의 인증 상태를 효력 상실로 설정하는 단계를 더 포함할 수 있다. 이에 따라, 기록 및 판독 가능한 인증 컨텍스트 메모리에 저장된 인증 상태를 통해 인증 정보의 효력 상실 여부를 제때에 반영할 수 있다. 인증 정보 효력 상실 후 수신되는 서비스 요청에 대해, 클라우드 서버는 인증을 실행할 때 인증 상태가 “효력 상실”이기 때문에 인증을 통과하지 못하여, 사용자의 아웃 오브 바운드 액세스를 방지한다.
일부 실시예에 따르면, 인증 서버에 의해 인증 정보가 효력 상실되는 경우, 클라우드 서버로 인증 정보 효력 상실에 관한 알림을 직접 발송한다. 이 경우, 인증 정보의 효력 상실 여부를 확인하는 단계는, 인증 서버에서 발송한, 인증 정보의 효력 상실 여부에 관한 알림을 수신하는 단계를 포함할 수 있다. 이에 따라, 클라우드 서버는 인증 정보의 효력 상실 여부를 제때에 얻을 수 있다.
다른 일부 실시예에 따르면, 클라우드 서버에 의해 소정 시간 간격으로 인증 정보의 효력 상실 여부를 확인하는 요청을 인증 서버로 발송하고, 인증 정보가 효력 상실된 경우, 인증 서버는 클라우드 서버로 인증 정보의 효력 상실에 관한 알림을 피드백할 수 있다. 즉, 인증 정보의 효력 상실 여부를 확인하는 단계는, 소정 시간 간격으로 인증 정보의 효력 상실 여부를 확인하는 요청을 인증 서버로 발송하는 단계; 및 인증 서버에서 발송한, 인증 정보가 효력 상실인지 여부에 관한 알림을 수신하는 단계를 포함한다. 이에 따라, 인증 서버는 확인 요청을 발송한 클라우드 서버에 대해서만 인증 정보의 효력 상실을 반환하여, 상호 작용 데이터 양을 감소시키고, 시스템의 처리 효율을 향상시킨다.
본 공개의 다른 측면에 따르면, 도 4에 도시된 바와 같이, 인증 장치(100)를 더 제공하며, 연결 요청을 수신하며, 연결 요청은 인증 정보를 포함하도록 구성된 수신 유닛(101); 연결 요청에서 인증 정보를 추출하도록 구성된 추출 유닛(102); 추출된 인증 정보를 기반으로 연결 인증 결과를 확인하도록 구성된 제1 결정 유닛(103); 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로, 적어도 연결 인증 결과 및 추출된 인증 정보를 기반으로 인증 저장 데이터를 결정하도록 구성된 제2 결정 유닛(104); 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청 중의 각 서비스 요청에 대해 인증을 실행하도록 구성된 인증 유닛(105)을 포함하되, 수신 유닛은 또한 인증 성공을 나타내는 연결 인증 결과에 대한 응답으로 적어도 하나의 서비스 요청을 수신하도록 구성된다.
여기서, 인증 장치(100)의 상기 각 유닛(101-105)의 조작은 상술한 단계(S101-S106)의 조작과 유사하므로, 여기서는 설명을 생략한다.
일부 실시예에 따르면, 제1 결정 유닛은, 인증 서버로 인증 정보를 전송하도록 구성된 서브 발송 유닛; 및 인증 서버로부터 리턴된 연결 인증 결과를 수신하도록 구성된 서브 수신 유닛을 포함할 수 있다.
일부 실시예에 따르면, 인증 장치는 게이트웨이가 인증 서버로부터 인증 정보를 얻고, 게이트웨이가 인증 정보를 연결 요청에 주입하여, 연결 요청이 인증 정보를 포함하도록 하는 것을 더 포함할 수 있다.
본 공개의 다른 측면에 따르면, 컴퓨팅 장치를 더 제공하고, 프로세서; 및 프로그램이 저장된 메모리를 포함하고, 프로그램은 명령을 포함하며, 명령은 프로세서에 의해 실행될 때 프로세서가 상술한 인증 방법을 실행하도록 한다.
본 공개의 다른 측면에 따르면, 프로그램이 저장된 컴퓨터 판독가능 저장매체를 제공하고, 프로그램은 명령을 포함하며, 명령은 컴퓨팅 장치의 프로세서에 의해 실행될 때 컴퓨팅 장치가 상술한 인증 방법을 수행하도록 한다.
도 5를 참고하여, 컴퓨팅 장치(2000)를 설명하며, 본 공개의 각 측면에 적용될 수 있는 하드웨어 장치(전자 장치)의 예시이다. 컴퓨팅 장치(2000)는 처리 및/또는 계산을 실행할 수 있는 임의의 장치일 수 있고, 위크벤치, 서버, 데스크톱 컴퓨터, 랩톱 컴퓨터, 태블릿 컴퓨터, 개인 정보 단말기, 로봇, 스마트폰, 차량 탑재 컴퓨터 또는 이들의 임의의 조합일 수 있으나 이에 한정되지 않는다. 상기 생성 방법은 컴퓨팅 장치(2000) 또는 유사 장치 또는 시스템에 의해 각각 완전히 또는 적어도 부분적으로 실현될 수 있다.
소프트웨어 요소(프로그램)는 작업 메모리(2014)에 위치할 수 있으며, 운영 시스템(2016), 하나 또는 다수의 응용 프로그램(2018), 구동 프로그램 및/또는 그밖의 다른 데이터와 코드를 포함하나 이에 한정되지 않는다. 상기 방법과 단계를 수행하기 위한 명령은 하나 또는 다수의 응용 프로그램(2018)에 포함될 수 있으며, 상기 비디오 여론 획득 방법 및/또는 단어 점도 모델의 훈련 방법은 각각 프로세서(2004)에 의해 판독되어 하나 또는 다수의 응용 프로그램(2018)을 실행시키는 명령에 의해 구현될 수 있다. 더 구체적으로, 상기 비디오 여론 획득 방법 및/또는 단어 점도 모델의 훈련 방법에서 단계 110 내지 단계 150은 예를 들어 프로세서(2004)를 통해, 단계 110 내지 단계 150의 명령을 구비한 응용 프로그램(2018)을 실행시킴으로써 구현될 수 있다. 또한, 상기 비디오 여론 획득 방법 및/또는 단어 점도 모델의 훈련 방법 중의 다른 단계는 예를 들어 프로세서(2004)를 통해, 상응한 단계를 수행하는 명령을 구비한 응용 프로그램(2018)을 실행시킴으로써 구현될 수 있다. 소프트웨어 요소(프로그램)의 명령의 수행 가능한 코드 또는 소스 코드는 비일시적 컴퓨터 판독가능 저장매체(예를 들어 상기 저장 기기(2010))에 저장될 수 있으며, 수행 시에는 작업 메모리(2014)에 저장될 수 있다(컴파일 및/또는 설치될 수 있다). 소프트웨어 요소(프로그램)의 명령의 수행 가능한 코드 또는 소스 코드는 원거리 위치로부터 다운로드될 수도 있다.
또한, 구체적인 요구에 따라 다양하게 변형할 수 있음을 이해해야 한다. 예를 들어, 주문형 하드웨어를 사용할 수도 있고, 또한/또는 하드웨어, 소프트웨어, 펌웨어, 미들웨어, 마이크로 코드, 하드웨어 설명 언어 또는 이들의 임의의 조합을 이용하여 특정 소자를 구현할 수 있다. 예를 들어, 공개된 방법과 기기 중의 일부 또는 전체는 본 공개에 따른 로직과 알고리즘을 통해, 어셈블리 언어 또는 하드웨어 프로그래밍 언어(예컨대 VERILOG, VHDL, C ++)를 이용하여 하드웨어(예를 들어, 필드 프로그래머블 게이트 어레이(FPGA) 및/또는 프로그래머블 로직 어레이(PLA)를 포함하는 프로그래머블 로직 회로)를 이용하여 프로그래밍하여 구현할 수 있다.
또한, 전술한 방법은 서버-클라이언트 모드를 이용하여 구현할 수 있음을 이해해야 한다. 예를 들어, 클라이언트는 유저가 입력한 데이터를 수신하고 상기 데이터를 서버에 송신할 수 있다. 클라이언트는 유저가 입력한 데이터를 수신하여, 전술한 방법 중의 일부를 처리하고 처리하여 얻은 데이터를 서버에 송신할 수도 있다. 서버는 클라이언트로부터 데이터를 수신하여, 전술한 방법 또는 전술한 방법 중의 다른 부분을 수행하고, 수행 결과를 클라이언트에 피드백할 수 있다. 클라이언트는 서버로부터 방법의 수행 결과를 수신할 수 있으며, 또한 예를 들어 출력 기기를 통해 유저에게 보여줄 수 있다..
또한, 컴퓨팅 기기(2000)의 컴포넌트는 네트워크에 분산될 수 있음을 이해해야 한다. 예를 들어, 하나의 프로세서를 이용하여 일부 처리를 수행할 수 있으며, 이와 동시에 당해 하나의 프로세서로부터 이격된 다른 프로세서에 의해 다른 처리를 수행할 수 있다. 컴퓨팅 기기(2000)의 다른 컴포넌트도 유사하게 분포될 수 있다. 이와 같이, 컴퓨팅 기기(2000)는 다수의 위치에서 처리를 수행하는 분산형 컴퓨팅 시스템으로 해석될 수 있다.
비록 도면을 참고하여 본 공개의 실시예 또는 예시를 설명했으나, 상기 방법, 시스템 및 기기는 예시적 실시예 또는 예시일 뿐이며, 본 발명의 범위는 이들 실시예 또는 예시에 한정되지 않으며, 등록된 특허청구범위 및 그것의 균등 범위에 의해 한정됨을 이해해야 한다. 실시예 또는 예시 중의 각종 요소는 생략될 수 있거나 또는 그것의 균등 요소에 의해 대체될 수 있다. 또한, 본 공개에서 설명된 것과 다른 순서로 각 단계를 수행할 수 있다. 나아가, 다양한 방식으로 실시예 또는 예시 중의 각종 요소를 조합할 수 있다. 중요한 것은 기술의 발전에 따라 여기서 설명된 많은 요소는 본 공개 이후에 나타나는 균등 요소에 의해 교체될 수 있다는 점이다.

Claims (21)

  1. 인증 방법에 있어서,
    연결 요청을 수신하며, 상기 연결 요청은 인증 정보를 포함하는 단계;
    상기 연결 요청에서 상기 인증 정보를 추출하는 단계;
    추출된 상기 인증 정보를 기반으로, 연결 인증 결과를 확인하는 단계;
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 상기 연결 인증 결과 및 추출된 상기 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계;
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 하나의 서비스 요청을 수신하는 단계;
    상기 인증 저장 데이터를 기반으로, 상기 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하는 단계;
    를 포함하는, 인증 방법.
  2. 제1항에 있어서,
    연결 인증 결과를 확인하는 단계는,
    상기 인증 정보를 인증 서버로 발송하는 단계; 및
    상기 인증 서버로부터 반환된 연결 인증 결과를 수신하는 단계
    를 포함하는, 인증 방법.
  3. 제2항에 있어서,
    게이트웨이는 상기 인증 서버로부터 상기 인증 정보를 얻는 단계; 및
    게이트웨이는 상기 인증 정보를 상기 연결 요청에 주입하여, 상기 연결 요청이 상기 인증 정보를 포함하도록 하는 단계
    를 더 포함하는, 인증 방법
  4. 제3항에 있어서,
    게이트웨이는 상기 인증 정보를 기반으로, 상기 연결 요청을 수정하여 상기 인증 정보를 상기 연결 요청에 주입하는,
    인증 방법.
  5. 제3항에 있어서,
    게이트웨이는 데이터를 삽입하는 방식으로 상기 인증 정보를 상기 연결 요청에 주입하는,
    인증 방법.
  6. 제2항에 있어서,
    상기 연결 요청은 액세스 포털을 더 포함하고, 상기 인증 정보는 인증 IP주소를 포함하며,
    상기 인증 방법은,
    상기 액세스 포털에 대해 고유한 인증 IP주소를 구성하는 단계;
    상기 액세스 포털에 대응하는 상기 인증 IP주소를 게이트웨이에 저장하는 단계; 및
    게이트웨이는 인증 IP주소를 연결 요청에 주입하여, 연결 요청이 인증 IP주소를 포함하도록 하는 단계
    를 더 포함하는, 인증 방법.
  7. 제2항 내지 제6항 중 어느 한 항에 있어서,
    상기 인증 저장 데이터는 인증 상태;
    상기 인증 방법은,
    인증 컨텍스트 메모리를 생성하는 단계; 및
    상기 인증 상태를 상기 인증 컨텍스트 메모리에 저장하는 단계를 더 포함하고,
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 상기 연결 인증 결과 및 추출된 상기 인증 정보를 기반으로 인증 저장 데이터를 결정하는 단계는,
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 상기 인증 컨텍스트 메모리의 인증 상태를 성공으로 설정하는 단계를 포함하는,
    인증 방법.
  8. 제7항에 있어서,
    상기 인증 저장 데이터를 기반으로, 상기 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하는 단계는,
    상기 서비스 요청 수신에 대한 응답으로, 상기 인증 컨텍스트 메모리에 저장된 상기 인증 상태가 성공인지 여부를 확인하는 단계; 및
    상기 인증 상태가 실패로 확인된 것에 대한 응답으로, 상기 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계
    를 포함하는, 인증 방법.
  9. 제7항에 있어서,
    상기 인증 저장 데이터는 상기 인증 컨텍스트 메모리 주소를 포함하고,
    상기 인증 방법은
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 읽기 전용 메모리를 생성하는 단계; 및
    상기 인증 컨텍스트 메모리 주소를 상기 읽기 전용 메모리에 저장하는 단계를 포함하고,
    상기 인증 저장 데이터를 기반으로, 상기 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하는 단계는,
    상기 인증 컨텍스트 메모리의 실제 주소와 상기 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소가 일치하는지 확인하는 단계; 및
    상기 인증 컨텍스트 메모리의 실제 주소와 상기 읽기 전용 메모리에 저장된 인증 컨텍스트 메모리 주소가 일치하지 않다는 확인에 대한 응답으로, 상기 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계
    를 포함하는, 인증 방법.
  10. 제7항에 있어서,
    상기 인증 저장 데이터는 상기 인증 정보 및 상기 연결 인증 결과를 포함하고,
    상기 인증 방법은,
    추출된 상기 인증 정보 및 상기 연결 인증 결과를 기록 및 판독 가능한 메모리에 저장하는 단계;
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 읽기 전용 메모리를 생성하는 단계; 및
    상기 인증 정보 및 상기 연결 인증 결과를 상기 읽기 전용 메모리에 저장하는 단계를 더 포함하고,
    상기 인증 저장 데이터를 기반으로, 상기 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하는 단계는,
    상기 읽기 전용 메모리 및 상기 기록 및 판독 가능한 메모리 모두에 저장된 인증 정보 및 연결 인증 결과가 일치하는지 확인하는 단계; 및
    상기 읽기 전용 메모리 및 상기 기록 및 판독 가능한 메모리 모두에 저장된 인증 정보 및 연결 인증 결과 중 적어도 하나가 일치하지 않은 것으로 확인된 것에 대한 응답으로, 상기 서비스 요청의 서비스 인증 결과가 통과되지 않은 것으로 확인하는 단계
    를 포함하는, 인증 방법.
  11. 제9항에 있어서,
    연결 끊김에 대한 응답으로, 상기 인증 컨텍스트 메모리의 인증 상태를 오류로 설정하는 단계; 및
    상기 읽기 전용 메모리의 읽기 전용 상태를 해제하고, 상기 읽기 전용 메모리에 저장된 데이터를 삭제하는 단계
    를 더 포함하는,
    인증 방법.
  12. 제7항에 있어서,
    상기 인증 정보의 효력 상실 여부를 확인하는 단계; 및
    상기 인증 정보 효력 상실 확인에 대한 응답으로, 상기 인증 컨텍스트 메모리의 인증 상태를 효력 상실로 설정하는 단계
    를 포함하는, 인증 방법.
  13. 제12항에 있어서,
    상기 인증 정보의 효력 상실 여부를 확인하는 단계는,
    상기 인증 서버에서 발송한, 상기 인증 정보의 효력 상실 여부에 관한 알림을 수신하는 단계를 포함하는, 인증 방법.
  14. 제12항에 있어서,
    상기 인증 정보의 효력 상실 여부를 확인하는 단계는,
    소정 시간 간격으로 상기 인증 정보 효력 상실 여부를 확인하는 요청을 인증 서버로 발송하는 단계; 및
    상기 인증 서버에서 발송한, 인증 정보가 효력 상실인지 여부에 관한 알림을 수신하는 단계
    를 포함하는, 인증 방법.
  15. 제7항에 있어서,
    상기 인증 실패를 나타내는 연결 인증 결과에 대한 응답으로, 상기 인증 컨텍스트 메모리 중의 인증 상태를 실패로 설정하는 것을 더 포함하는,
    인증 방법.
  16. 인증 장치에 있어서,
    연결 요청을 수신하며, 상기 연결 요청은 인증 정보를 포함하도록 구성된 수신 유닛;
    상기 연결 요청에서 상기 인증 정보를 추출하도록 구성된 추출 유닛;
    추출된 상기 인증 정보를 기반으로, 연결 인증 결과를 확인하도록 구성된 제1 결정 유닛;
    인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 적어도 상기 연결 인증 결과 및 추출된 상기 인증 정보를 기반으로 인증 저장 데이터를 결정하도록 구성된 제2 결정 유닛;
    상기 인증 저장 데이터를 기반으로, 적어도 하나의 서비스 요청의 각 서비스 요청에 대해 인증을 실행하도록 구성된 인증 유닛을 포함하고,
    상기 수신 유닛은 인증 성공을 나타내는 상기 연결 인증 결과에 대한 응답으로, 상기 적어도 하나의 서비스 요청을 수신하도록 더 구성되는,
    인증 장치.
  17. 제16항에 있어서,
    상기 제1 결정 유닛은,
    상기 인증 정보를 인증 서버로 발송하도록 구성된 서브 발송 유닛; 및
    상기 인증 서버로부터 반환된 연결 인증 결과를 수신하도록 구성된 서브 수신 유닛
    을 포함하는, 인증 장치.
  18. 제17항에 있어서,
    상기 인증 서버로부터 상기 인증 정보를 얻고, 상기 인증 정보를 상기 연결 요청으로 주입하여 상기 연결 요청이 상기 인증 정보를 포함하도록 하는 게이트웨이를 더 포함하는,
    인증 장치.
  19. 컴퓨팅 장치에 있어서,
    프로세서; 및
    프로그램이 저장된 메모리를 포함하며,
    상기 프로그램은 명령을 포함하고, 상기 명령은 상기 프로세서에 의해 실행될 때 상기 프로세서가 제1항 내지 제6항 중 어느 한 항에 따른 인증 방법을 실행하도록 하는,
    컴퓨팅 장치.
  20. 프로그램이 저장된 컴퓨터 판독가능 저장매체에 있어서,
    상기 프로그램은 명령을 포함하고, 상기 명령은 컴퓨팅 장치의 프로세서에 의해 실행될 때, 상기 컴퓨팅 장치가 제1항 내지 제6항 중 어느 한 항에 따른 인증 방법을 실행하도록 하는, 프로그램이 저장된 컴퓨터 판독가능 저장매체.
  21. 컴퓨터 판독가능 저장매체에 저장된 컴퓨터 프로그램에 있어서,
    상기 컴퓨터 프로그램은 명령을 포함하고, 상기 명령은 적어도 하나의 프로세서에 의해 수행될 때 제1항 내지 제6항 중 어느 한 항에 따른 방법을 실현하는, 컴퓨터 프로그램.
KR1020210031338A 2020-09-25 2021-03-10 인증 방법 및 장치, 컴퓨팅 장치 및 매체 KR102520809B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN202011025626.X 2020-09-25
CN202011025626.XA CN112153055B (zh) 2020-09-25 2020-09-25 鉴权方法及装置、计算设备和介质

Publications (2)

Publication Number Publication Date
KR20220041706A KR20220041706A (ko) 2022-04-01
KR102520809B1 true KR102520809B1 (ko) 2023-04-11

Family

ID=73897373

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210031338A KR102520809B1 (ko) 2020-09-25 2021-03-10 인증 방법 및 장치, 컴퓨팅 장치 및 매체

Country Status (5)

Country Link
US (1) US20210211424A1 (ko)
EP (1) EP3975499A1 (ko)
JP (1) JP7194212B2 (ko)
KR (1) KR102520809B1 (ko)
CN (1) CN112153055B (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210028534A (ko) * 2019-09-04 2021-03-12 삼성전자주식회사 전자 장치 및 전자 장치의 인증 방법
CN115022074A (zh) * 2022-06-24 2022-09-06 中国电信股份有限公司 用户认证授权方法、装置、介质及设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100888979B1 (ko) 2008-09-26 2009-03-19 넷큐브테크놀러지 주식회사 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
WO2018003919A1 (ja) 2016-06-29 2018-01-04 株式会社プロスパークリエイティブ 通信システム、それに用いる通信装置、管理装置及び情報端末

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070113269A1 (en) * 2003-07-29 2007-05-17 Junbiao Zhang Controlling access to a network using redirection
JP2008181427A (ja) 2007-01-25 2008-08-07 Fuji Xerox Co Ltd シングルサインオンシステム、情報端末装置、シングルサインオンサーバ、プログラム
US8997196B2 (en) * 2010-06-14 2015-03-31 Microsoft Corporation Flexible end-point compliance and strong authentication for distributed hybrid enterprises
KR101282504B1 (ko) * 2010-09-27 2013-07-05 주식회사 케이티 네트워크 환경에서 소프트웨어 사용 권한 인증 방법
CN102882676A (zh) * 2011-07-15 2013-01-16 深圳市汇川控制技术有限公司 物联网设备端安全接入方法及系统
JP5485246B2 (ja) * 2011-11-05 2014-05-07 京セラドキュメントソリューションズ株式会社 画像形成装置
JP5478591B2 (ja) 2011-11-22 2014-04-23 日本電信電話株式会社 情報システム及びその認証状態管理方法
US8613069B1 (en) * 2013-05-17 2013-12-17 Phantom Technologies, Inc. Providing single sign-on for wireless devices
JP6106558B2 (ja) 2013-08-30 2017-04-05 アラクサラネットワークス株式会社 通信システム及び認証スイッチ
JP6354382B2 (ja) * 2014-06-26 2018-07-11 株式会社リコー 認証システム、認証方法、認証装置及びプログラム
CN109522726B (zh) * 2018-10-16 2024-06-25 康键信息技术(深圳)有限公司 小程序的鉴权方法、服务器及计算机可读存储介质
CN111327650A (zh) * 2018-12-14 2020-06-23 中兴通讯股份有限公司 数据传输方法、装置、设备及存储介质
CN109617907B (zh) * 2019-01-04 2022-04-08 平安科技(深圳)有限公司 认证方法、电子装置及计算机可读存储介质
CN110708301B (zh) * 2019-09-24 2022-06-24 贝壳找房(北京)科技有限公司 一种用户请求处理方法、装置、电子设备和存储介质
CN111224955B (zh) * 2019-12-25 2023-02-03 中国平安人寿保险股份有限公司 一种服务响应的方法及系统
CN111405036A (zh) * 2020-03-13 2020-07-10 北京奇艺世纪科技有限公司 服务访问方法、装置、相关设备及计算机可读存储介质

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100888979B1 (ko) 2008-09-26 2009-03-19 넷큐브테크놀러지 주식회사 사용자 인증에 기반한 네트워크 접속 관리 시스템 및 방법
WO2018003919A1 (ja) 2016-06-29 2018-01-04 株式会社プロスパークリエイティブ 通信システム、それに用いる通信装置、管理装置及び情報端末

Also Published As

Publication number Publication date
CN112153055B (zh) 2023-04-18
CN112153055A (zh) 2020-12-29
US20210211424A1 (en) 2021-07-08
JP2022054382A (ja) 2022-04-06
JP7194212B2 (ja) 2022-12-21
KR20220041706A (ko) 2022-04-01
EP3975499A1 (en) 2022-03-30

Similar Documents

Publication Publication Date Title
CN111783067B (zh) 多网站间的自动登录方法及装置
CN104113551B (zh) 一种平台授权方法、平台服务端及应用客户端和系统
CN111010382A (zh) 在区块链网络中处理数据请求的方法和装置
KR102520809B1 (ko) 인증 방법 및 장치, 컴퓨팅 장치 및 매체
CN104426740B (zh) 用于管理隧道化端点的系统和方法
CN109067937A (zh) 终端准入控制方法、装置、设备、系统及存储介质
CN105471824A (zh) 实现浏览器调用本地业务组件的方法、装置及系统
CN103561006A (zh) 基于安卓系统的应用认证方法和装置及应用认证服务器
CN103646198A (zh) 一种锁定移动终端工作区的方法、系统及装置
Fett et al. Analyzing the BrowserID SSO system with primary identity providers using an expressive model of the web
CN111698227B (zh) 信息同步管理方法、装置、计算机系统及可读存储介质
CN114500054A (zh) 服务访问方法、服务访问装置、电子设备以及存储介质
CN115242546A (zh) 一种基于零信任架构的工业控制系统访问控制方法
CN113032829A (zh) 多通道并发的文件权限管理方法、装置、服务器和介质
CN101702724A (zh) 网络访问的安全控制方法及装置
CN112929388B (zh) 网络身份跨设备应用快速认证方法和系统、用户代理设备
US8904487B2 (en) Preventing information theft
CN109474431A (zh) 客户端认证方法及计算机可读存储介质
CN116996305A (zh) 一种多层次安全认证方法、系统、设备、存储介质及入口网关
CN111901289A (zh) 一种身份认证的方法和装置
US9723436B2 (en) Mobile device location
Wang et al. A framework for formal analysis of privacy on SSO protocols
CN115190483B (zh) 一种访问网络的方法及装置
US11405379B1 (en) Multi-factor message-based authentication for network resources
CN112464225A (zh) 一种请求处理方法、请求处理装置及计算机可读存储介质

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant