KR20170076861A - 기업용 클라우드 서비스의 접근 통제 방법 - Google Patents

기업용 클라우드 서비스의 접근 통제 방법 Download PDF

Info

Publication number
KR20170076861A
KR20170076861A KR1020150185906A KR20150185906A KR20170076861A KR 20170076861 A KR20170076861 A KR 20170076861A KR 1020150185906 A KR1020150185906 A KR 1020150185906A KR 20150185906 A KR20150185906 A KR 20150185906A KR 20170076861 A KR20170076861 A KR 20170076861A
Authority
KR
South Korea
Prior art keywords
service
authentication
cloud service
user
access
Prior art date
Application number
KR1020150185906A
Other languages
English (en)
Other versions
KR101795592B1 (ko
Inventor
심제현
김태완
백승태
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020150185906A priority Critical patent/KR101795592B1/ko
Priority to US15/091,726 priority patent/US20170187705A1/en
Publication of KR20170076861A publication Critical patent/KR20170076861A/ko
Application granted granted Critical
Publication of KR101795592B1 publication Critical patent/KR101795592B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L67/28

Abstract

기업용 클라우드 서비스의 접근 통제 방법이 개시된다. 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법은, 기업용 클라우드 서비스 제공자의 서비스 서버가, 서비스 사용자의 단말기로부터 기업용 클라우드 서비스 접근 요청을 수신함에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 ID 제공자의 인증 서버로 전송하는 단계; 상기 인증 서버가, 상기 SSO 인증 요청을 수신함에 따라 상기 단말기로 서비스 사용자의 인증정보를 요청하고 상기 단말기로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성하는 단계; 및 리버스 프록시 서버(Reverse Proxy Server)가, 상기 SSO 인증 요청과 상기 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 서비스 사용자의 기업용 클라우드 서비스의 접근의 차단 또는 허용을 결정하는 단계를 포함한다.

Description

기업용 클라우드 서비스의 접근 통제 방법{CONTROL METHOD OF ACCESS TO CLOUD SERVICE FOR BUSINESS}
본 발명은 기업용 클라우드 서비스의 접근 통제 방법에 관한 것으로, 더욱 자세하게는 기업용 클라우드 서비스 사용자에 대한 SSO(Single Sign On) 인증과정이 이루어진 후 사용자의 기업용 클라우드 서비스 요청 및 응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 사용자의 기업용 클라우드 서비스의 접근을 차단 또는 허용하는 기업용 클라우드 서비스의 접근 통제 방법에 관한 것이다.
클라우드는 IT 인프라, 즉 하드웨어와 소프트웨어, 서버, ERP, 데이터 등을 통칭하는 IT 자원이 네트워크를 통해 어느 정도 표준화된 서비스 형태로 제공되는 것을 나타낸다.
클라우드로 정의되는 서비스라고 하면 Anytime, Anywhere, Any device(언제, 어디서나, 어떤 단말을 통해서든)로 원하는 만큼의 IT 서비스를 이용하고, 사용량에 따라 비용을 지불 하는 것이 특징이다.
이러한 클라우드 컴퓨팅은 그리드 컴퓨팅, 유틸리티 컴퓨팅, SasS(Software as a Service)의 기술이 모두 합쳐진 형태로 발전하였으며, IT 자원이 서비스 형태로 제공되는 것으로 볼 수 있다.
즉 실제 클라우드 컴퓨팅 서비스(이하에서, 클라우드 서비스라 함)에는 Saas, PaaS(Platform as a Service), IaaS(Infrastructure as a Service) 등이 모두 포함되어 있다. 최근에는 여기에 모바일 들이 결합 됨에 따라 클라우드 환경에서 스마트 워크(smart work)가 구현되고 있다.
이러한 클라우드 서비스를 기업에서도 활발하게 도입하고 있다. 기업은 각종 클라우드 서비스를 도입하는 추세에 있다. 각종 클라우드 서비스는 고유의 인증방식을 가지고 있다. 따라서 사용자는 사용하고자 하는 클라우드 서비스마다 고유의 인증과정을 거쳐서 해당 클라우드 서비스에 접근할 수 있다.
하지만 다양한 클라우드 서비스를 동시에 이용할 경우 인증과정의 번거로움이 발생한다.
이 인증과정의 번거로움을 해소하기 위해서 각 클라우드 서비스 업체에서는 SSO(Single Sign On) 기능을 제공하고 있다. 이는 사용자로 하여금 한 번의 인증과정을 통해 여러 개의 클라우드 서비스를 동시에 이용할 수 있도록 하는 장점을 가진다.
그렇지만 SSO는 보통 아이디(IDentification)와 비밀번호(Pass Word)로만 단순 인증하는 방식이기 때문에, 사용자의 접근을 통제해야 하는 클라우드 서비스 등에 대한 접근 통제가 어려운 실정이다. 이로 인해서 의도하지 않은 기업의 정보유출이 발생하는 문제점이 생긴다.
본 발명과 관련된 선행문헌으로는 대한민국 공개특허 제10-2014-0124100호(공개일: 2014년 10월 24일)가 있다.
상기한 배경기술에서 기술한 종래 기술의 문제점의 해결을 위한 본 발명의 해결과제로, 기업용 클라우드 서비스 사용자에 대한 SSO(Single Sign On) 인증과정이 이루어진 후 사용자의 기업용 클라우드 서비스 요청 및 응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 사용자의 기업용 클라우드 서비스의 접근을 차단 또는 허용하는 기업용 클라우드 서비스의 접근 통제 방법이 제안된다.
본 발명의 해결 과제는 이상에서 언급한 해결 과제로 제한되지 않으며, 언급되지 않은 또 다른 해결 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 양상에 따른 기업용 클라우드 서비스의 접근 통제 방법은, 기업용 클라우드 서비스 제공자의 서비스 서버가, 서비스 사용자의 단말기로부터 기업용 클라우드 서비스 접근 요청을 수신함에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 ID 제공자의 인증 서버로 전송하는 단계; 상기 인증 서버가, 상기 SSO 인증 요청을 수신함에 따라 상기 단말기로 서비스 사용자의 인증정보를 요청하고 상기 단말기로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성하는 단계; 및 리버스 프록시 서버(Reverse Proxy Server)가, 상기 SSO 인증 요청과 상기 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 서비스 사용자의 기업용 클라우드 서비스의 접근의 차단 또는 허용을 결정하는 단계를 포함한다.
상기 SSO 인증 요청은, 서비스 사용자의 단말기 IP 주소, 서비스 사용자의 단말기 내 설치된 사용자 에이전트(User agent) 정보를 포함할 수 있다.
상기 인증응답은, 상기 SSO 인증 요청이 발급된 시간, 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름, 서비스 사용자의 계정 이름 및 사용자의 속성 정보를 포함할 수 있다.
상기 미리 설정된 정책에는, 적어도 하나의 사용자별로, 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류, 해당 서비스 사용자가 접근하지 못하는 기업용 클라우드 서비스의 종류 및 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간을 포함하는 서비스 접근 규칙이 지정되어 있을 수 있다.
상기 SSO 인증 요청 및 인증응답은, SAML(Security Assertion Markup Language) 표준방식을 이용하여 이루어질 수 있다.
본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법에 따르면, 기업용 클라우드 서비스 사용자에 대한 SSO 인증과정이 이루어진 후 사용자의 기업용 클라우드 서비스 요청 및 응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 사용자의 기업용 클라우드 서비스의 접근을 차단 또는 허용함으로써, 사용자의 접근을 통제해야 하는 클라우드 서비스 등에 대한 접근 통제가 확실하게 이루어져서 의도하지 않은 기업의 정보유출을 방지할 수 있다.
도 1은 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제를 수행하는 기업용 클라우드 서비스 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법에 대한 흐름도이다.
도 3은 도 2에 도시된 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법에 대한 구체적인 흐름도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 
본 발명의 실시예들은 당해 기술 분야에서 통상의 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위하여 제공되는 것이며, 아래의 실시예들은 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 아래의 실시예들로 한정되는 것은 아니다. 오히려, 이들 실시예는 본 개시를 더욱 충실하고 완전하게 하며 당업자에게 본 발명의 사상을 완전하게 전달하기 위하여 제공되는 것이다. 
본 명세서에서 사용된 용어는 특정 실시예를 설명하기 위하여 사용되며, 본 발명을 제한하기 위한 것이 아니다. 본 명세서에서 사용된 바와 같이 단수 형태는 문맥상 다른 경우를 분명히 지적하는 것이 아니라면, 복수의 형태를 포함할 수 있다. 또한, 본 명세서에서 사용되는 경우 "포함한다(comprise)" 및/또는"포함하는(comprising)"은 언급한 형상들, 숫자, 단계, 동작, 부재, 요소 및/또는 이들 그룹의 존재를 특정하는 것이며, 하나 이상의 다른 형상, 숫자, 동작, 부재, 요소 및/또는 그룹들의 존재 또는 부가를 배제하는 것이 아니다. 본 명세서에서 사용된 바와 같이, 용어 "및/또는"은 해당 열거된 항목 중 어느 하나 및 하나 이상의 모든 조합을 포함한다. 
본 명세서에서 제1, 제2 등의 용어가 다양한 부재, 영역 및/또는 부위들을 설명하기 위하여 사용되지만, 이들 부재, 부품, 영역, 층들 및/또는 부위들은 이들 용어에 의해 한정되어서는 안됨은 자명하다. 이들 용어는 특정 순서나 상하, 또는 우열을 의미하지 않으며, 하나의 부재, 영역 또는 부위를 다른 부재, 영역 또는 부위와 구별하기 위하여만 사용된다. 따라서, 이하 상술할 제1 부재, 영역 또는 부위는 본 발명의 가르침으로부터 벗어나지 않고서도 제2 부재, 영역 또는 부위를 지칭할 수 있다.
이하, 본 발명의 실시예들은 본 발명의 실시예들을 개략적으로 도시하는 도면들을 참조하여 설명한다. 도면들에 있어서, 예를 들면, 제조 기술 및/또는 공차에 따라, 도시된 형상의 변형들이 예상될 수 있다. 따라서, 본 발명의 실시예는 본 명세서에 도시된 영역의 특정 형상에 제한된 것으로 해석되어서는 아니 되며, 예를 들면 제조상 초래되는 형상의 변화를 포함하여야 한다.
도 1은 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제를 수행하는 기업용 클라우드 서비스 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 본 발명의 실시예에 따른 기업용 클라우드 서비스 시스템은, 서비스 사용자의 단말기(1), 기업용 클라우드 서비스 제공자의 서비스 서버(2), ID 제공자의 인증 서버(3) 및 리버스 프록시 서버(Reverse Proxy Server)(10)를 포함한다.
서비스 사용자의 단말기(1)는 서비스 사용자가 구비하는 단말장치로서, 개인용 PC, 휴대용 단말기 등일 수 있다. 단말기(1)는 서비스 사용자의 기업용 클라우드 서비스 접근 요청을 기업용 클라우드 서비스 제공자의 서비스 서버(2)로 전송한다.
서비스 서버(2)는 단말기(1)로부터 수신된 기업용 클라우드 서비스 접근 요청을 수신함에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 ID 제공자의 인증 서버(3)로 전송한다.
이때 기업자 클라우드 서비스 제공자는, 예를 들어 Google Apps, Salesforce, Office 365, Box, Dropbox, AWS 등이 있을 수 있으며, 기업용 클라우드 서비스를 제공하는 주체를 나타낸다.
그리고, SSO(Single Sign On)는 하나의 아이디로 여러 사이트를 이용할 수 있는 시스템으로 여러 개의 사이트를 운영하는 대기업이나 인터넷 관련 기업의 회원을 통합 관리할 필요성이 생김에 따라 개발된 방식이다.
그리고, 서비스 서버(2)의 SSO 인증 요청은 SAML(Security Assertion Markup Language) 표준방식을 이용하여 전송될 수 있는데, 구체적으로 SAML Request 메시지에 포함되어 ID 제공자의 인증 서버(3)로 리다이렉트(re-direct)될 수 있다.
좀 구체적으로 SAML 메시지는 서비스 사용자의 단말기(1)의 브라우저(browser)를 통해 리버스 프록시 서버(10)로 전송되고 다시 리버스 프록시 서버(10)에서 인증 서버(3)로 전송될 수 있다.
SAML(보안 보장 생성 언어:Security Assertions Markup Language)는 인터넷상의 비지니스 정보 교환용 생성 언어(XML) 기반의 표준이다. 다른 시스템 간의 보안 서비스 상호 운용이 가능하고 XML로 된 정보를 기술하는 공통 언어이다. 웹상의 거래가 B2C, B2B 등으로 광범위해지고 거래 시작 사이트와 거래 종료 사이트가 달라지므로 다양한 거래를 공유할 수 있는 보안 정보가 요구된다. 따라서 공통 언어로서 상호 운용성과 각종 프로토콜과의 호환성을 갖춘 개방 솔루션 및 자원 접근을 용이하게 하는 싱글 사이온(SSO) 기능 등을 제공하고 있다.
ID 제공자의 인증 서버(3)는 실질적인 인증을 담당하는 주체인 ID 제공자가 구비하는 시스템으로, 적어도 하나의 서비스 사용자의 인증정보를 보유하며, SAML Requst에 포함된 SSO 인증 요청을 수신함에 따라 서비스 사용자의 단말기(1)로 인증정보 요청이 포함된 로그인 페이지를 제공한다. 이후 인증 서버(3)는 서비스 사용자의 단말기(1)로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성한다.
이때 상기 수신된 인증정보 및 기 저장된 인증정보는 아이디(ID)와 비밀번호(Pass word)를 포함한다. 즉 인증 서버(3)는 수신된 인증정보 내 아이디와 비밀번호와 기 저장된 인증정보 내 아이디와 비밀번호를 비교하여 인증응답을 생성한다. 이러한 인증응답은 SAML 표준방식으로 리버스 프록시 서버(10)로 전송될 수 있는데, 구체적으로 SAML Response 메시지에 포함되어 리버스 프록시 서버(10)로 전송될 수 있다.
리버스 프록시 서버(10)는 서블릿(Servlet) 방식으로 동작하는 리버스 프록시 서버이며, 서비스 사용자의 단말기(1)와 ID 제공자의 인증 서버(3) 중간에서 매개 역할을 수행하여서 서비스 사용자의 기업용 클라우드 서비스의 접근 허용 또는 차단을 결정한다.
즉 리버스 프록시 서버(10)는 SAML Request 메시지에 포함된 SSO 인증 요청과 SAML Response 메시지에 포함된 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 서비스 사용자의 기업용 클라우드 서비스의 접근 차단 또는 접근 허용을 결정한다.
이렇게 서비스 사용자의 기업용 클라우드 서비스의 접근 차단으로 결정되면 리버스 프록시 서버(10)는 서비스 사용자의 단말기(1)에 차단 페이지를 제공한다. 반면 서비스 사용자의 기업용 클라우드 서비스의 접근 허용으로 결정되면 리버스 프록시 서버(10)는 SAML Response 메시지를 서비스 서버(2)로 전송하며, 이에 서비스 서버(2)는 기업용 클라우드 서비스를 서비스 사용자의 단말기(1)로 제공한다.
이때, 상기 SSO 인증 요청은, 서비스 사용자의 단말기 IP 주소, 서비스 사용자의 단말기 내 설치된 사용자 에이전트(User agent) 정보를 포함할 수 있다.
그리고, 상기 인증응답은, 상기 SSO 인증 요청이 발급된 시간, 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름, 서비스 사용자의 계정 이름 및 사용자의 속성 정보를 포함할 수 있다.
리버스 프록시 서버(10)는 인증과정 처리부(11)와 정책 처리부(14)를 포함한다.
인증과정 처리부(11)는 송수신부(12)와 컨텍스트 정보 추출부(13)를 포함한다.
송수신부(12)는 서비스 사용자의 단말기(1)로부터 SAML Request 메시지를 수신하여 이를 Reverse Proxy Servlet 방식으로 인증 서버(3)로 전송한다. 그리고 송수신부(12)는 인증 서버(3)로부터 SAML Response 메시지를 수신하여서 후술할 정책 처리부(14)에서 서비스 사용자의 기업용 클라우드 서비스에 대한 접근 허용이 결정되면 SAML Response 메시지를 서비스 서버(2)로 전송한다.
이때 서브릿(servlet)은 서버에서 수행되는 소형 프로그램을 나타낸다. 일반적으로 서버에 존재하며 사용자 입력에 의해 데이터베이스에 접근하는 프로그램은 공통 게이트웨이 인터페이스(CGI) 프로그램을 사용해 수행되는데, 자바 서버 프로그램은 자바 프로그래밍 언어로 수행된다. CGI 프로그램보다 수행 속도가 빠르고 프로그램 프로세스가 생성되는 것이 아니라 각 사용자 요청이 상주 프로그램(daemon)의 하나의 스레드(thread)로 수행된다. 추가(add-on) 모듈로 자바 서브릿은 네스케이프 엔터프라이즈와 인터넷 정보 서버(IIS), 아파치 서버에서 수행된다.
컨텍스트 정보 추출부(13)는 SAML Request 메시지에 포함된 SSO 인증 요청과 SAML Response 메시지에 포함된 인증응답으로부터 컨텍스트 정보를 추출한다. 이때 컨텍스트 정보는 상기 SSO 인증 요청에 포함된 서비스 사용자의 단말기 IP 주소, 서비스 사용자의 단말기 내 설치된 사용자 에이전트(User agent) 정보와, 상기 인증응답에 포함된 상기 SSO 인증 요청이 발급된 시간, 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름, 서비스 사용자의 계정 이름 및 사용자의 속성 정보를 포함할 수 있다.
다시 도 1에서 정책 처리부(14)는 정책 파싱부(15)와 정책 적용부(16)를 포함한다.
정책 파싱부(15)는 미리 설정된 XML 형태의 정책(파일)을 로드(load)하고 이를 파싱(parsing)하여, 적어도 하나의 사용자별로 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류, 해당 서비스 사용자가 접근하지 못하는 기업용 클라우드 서비스의 종류 및 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간을 포함하는 서비스 접근 규칙을 저장한다.
이때 미리 설정된 정책은 적어도 하나의 사용자별로 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류, 해당 서비스 사용자가 접근하지 못하는 기업용 클라우드 서비스의 종류 및 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간을 포함하는 서비스 접근 규칙을 포함한다.
그리고 미리 설정된 XML 형태의 정책 파일은 외부 장치에서 로드되거나 정책 파싱부(15)에 구비된 메모리 장치(도시하지 않음)에 저장된 상태에서 로드될 수 있다. 이러한 정책 파일의 업데이트는 주기적으로 또는 비주기적으로 이루어질 수 있다.
정책 적용부(16)는 미리 설정된 정책과 컨텍스트 정보 추출부(13)에서 추출된 컨텍스트 정보를 비교하여, 상기 추출된 컨텍스트 정보가 미리 설정된 정책에 부합되면 서비스 사용자의 기업용 클라우드 서비스로의 접근 허용을 결정하고 이를 송수신부(12)에 알려준다. 이에 따라 송수신부(12)는 인증 서버(3)에서 수신된 SAML Response 메시지를 서비스 서버(2)로 전송한다.
한편, 정책 적용부(16)는 상기 추출된 컨텍스트 정보가 미리 설정된 정책에 부합되지 않으면, 서비스 사용자의 기업용 클라우드 서비스로의 접근 차단을 결정하고 이를 송수신부(12)에 알려준다. 이에 따라 송수신부(12)는 미리 설정된 차단 페이지를 서비스 사용자의 단말기(1)로 제공한다.
이때 정책 적용부(16)는 상기 추출된 컨텍스트 정보에 포함된 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름이 상기 미리 설정된 정책의 서비스 접근 규칙에 포함된 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류에 해당되는가를 확인하고, 해당 되면 상기 추출된 컨텍스트 정보에 포함된 상기 SSO 인증 요청이 발급된 시간이 상기 미리 설정된 정책의 서비스 접근 규칙에 포함된 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간에 부합되는지를 파악하여서, 부합되면 서비스 사용자의 기업용 클라우드 서비스로의 접근 허용을 결정하고 부합되지 않으면 서비스 사용자의 기업용 클라우드 서비스로의 접근 차단을 결정할 수 있다.
이러한 정책 적용부(16)에서 서비스 사용자의 기업용 클라우드 서비스로의 접근 허용 또는 접근 차단의 결정에 대한 판단은 일 실시예에 불과하며 이에 한정되지 않는다.
도 2는 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법에 대한 흐름도이다.
도 2에 도시된 기업용 클라우드 서비스의 접근 통제 방법은 도 1에 도시된 기업용 클라우드 서비스 시스템의 구성에 의해서 수행될 수 있으나, 이에 한정되지 않는다.
기업용 클라우드 서비스 제공자의 서비스 서버(2)는, 서비스 사용자의 단말기(1)로부터 기업용 클라우드 서비스 접근 요청에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 ID 제공자의 인증 서버(3)로 전송한다(S10). 이때 상기 SSO 인증 요청은 서비스 사용자의 단말기 IP 주소, 서비스 사용자의 단말기 내 설치된 사용자 에이전트(User agent) 정보를 포함할 수 있다. 상기 SSO 인증 요청은 SAML Request 메시지에 포함되어 전송될 수 있다.
인증 서버(3)는, 상기 SSO 인증 요청을 수신함에 따라 서비스 사용자의 단말기(1)로 서비스 사용자의 인증정보를 요청하고 서비스 사용자의 단말기(1)로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성한다(S20). 이때, 상기 인증응답은 상기 SSO 인증 요청이 발급된 시간, 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름, 서비스 사용자의 계정 이름 및 사용자의 속성 정보를 포함할 수 있다. 상기 인증응답은 SAML Response 메시지에 포함되어 전송될 수 있다.
리버스 프록시 서버(Reverse Proxy Server)(10)는, 상기 SSO 인증 요청과 상기 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 서비스 사용자의 기업용 클라우드 서비스의 접근의 차단 또는 허용을 결정한다(S30).
이때, 미리 설정된 정책에는, 적어도 하나의 사용자별로, 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류, 해당 서비스 사용자가 접근하지 못하는 기업용 클라우드 서비스의 종류 및 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간을 포함하는 서비스 접근 규칙이 지정되어 있을 수 있다.
도 3은 도 2에 도시된 본 발명의 실시예에 따른 기업용 클라우드 서비스의 접근 통제 방법에 대한 구체적인 흐름도이다.
도 3을 참조하면, 서비스 사용자의 단말기(1)는 서비스 사용자의 기업용 클라우드 서비스 접근 요청을 입력받아 이를 기업용 클라우드 서비스 제공자의 서비스 서버(2)로 전송한다(S50).
서비스 서버(2)는 서비스 사용자의 단말기(1)로부터 기업용 클라우드 서비스 접근 요청을 수신함에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 SAML Request 메시지에 포함시켜 이를 ID 제공자의 인증 서버(3)로 리다이렉트 시키기 위해서 단말기(1)로 전송한다(S51).
단말기(1)는 SAML Request 메시지를 리버스 프록시 서버(10)로 전송하고(S52), 리버스 프록시 서버(10)는 다시 SAML Request 메시지를 인증 서버(3)로 전송한다(S53).
인증 서버(3)는 상기 SSO 인증 요청이 포함된 SAML Request 메시지를 수신함에 따라 서비스 사용자의 인증정보를 요청하기 위한 로그인 페이지를 리버스 프록시 서버(10)를 거쳐서 단말기(1)로 전송한다(S54, S55).
이에 대하여 서비스 사용자가 단말기(1)에 인증정보를 입력하면, 단말기(1)는 입력된 인증정보를 리버스 프록시 서버(10)를 거쳐서 인증 서버(3)로 전송한다(S56, S57).
인증 서버(3)는 단말기(1)로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성하여서 이를 SAML Respose 메시지에 포함시켜 리버스 프록시 서버(10)에 전송한다(S58).
리버스 프록시 서버(10)는 SAML Request 메시지에 포함된 SSO 인증 요청과 SAML Response 메시지에 포함된 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교한다.
그 비교결과, 상기 추출된 컨텍스트 정보가 미리 설정된 정책에 부합되면 리버스 프록시 서버(10)는 서비스 사용자의 기업용 클라우드 서비스의 접근 허용을 결정하고(S59), 인증 서버(3)에서 수신된 SAML Response 메시지를 서비스 서버(2)로 전송한다(S60). 이에 따라 서비스 서버(2)는 서비스 사용자의 단말기(1)로 기업용 클라우드 서비스를 제공한다(S61).
한편 상기 추출된 컨텍스트 정보가 미리 설정된 정책에 부합되지 않으면 리버스 프록스 서버(10)는 서비스 사용자의 기업용 클라우드 서비스의 접근 차단을 결정하고(S62), 미리 설정된 차단 페이지를 서비스 사용자의 단말기(1) 상에 출력한다(S63).
이제까지 본 발명에 대하여 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 따라서 본 발명의 범위는 전술한 실시예에 한정되지 않고 특허청구범위에 기재된 내용 및 그와 동등한 범위 내에 있는 다양한 실시 형태가 포함되도록 해석되어야 할 것이다.
1 : 서비스 사용자의 단말기
2 : 기업용 클라우드 서비스 제공자의 서비스 서버
3 : ID 제공자의 인증 서버
10 : 리버스 프록시 서버
11 : 인증과정 처리부
12 : 송수신부
13 : 컨텍스트 정보 추출부
14 : 정책 처리부
15 : 정책 파싱부
16 : 정책 적용부

Claims (5)

  1. 기업용 클라우드 서비스 제공자의 서비스 서버가, 서비스 사용자의 단말기로부터 기업용 클라우드 서비스 접근 요청을 수신함에 따라, 서비스 사용자의 적어도 하나의 기업용 클라우드 서비스 접근에 대한 통합 인증을 위한 SSO(Single Sign On) 인증 요청을 ID 제공자의 인증 서버로 전송하는 단계;
    상기 인증 서버가, 상기 SSO 인증 요청을 수신함에 따라 상기 단말기로 서비스 사용자의 인증정보를 요청하고 상기 단말기로부터 수신된 인증정보와 기 저장된 인증정보를 비교하여 인증응답을 생성하는 단계; 및
    리버스 프록시 서버(Reverse Proxy Server)가, 상기 SSO 인증 요청과 상기 인증응답으로부터 추출된 컨텍스트 정보와 미리 설정된 정책을 비교하여 서비스 사용자의 기업용 클라우드 서비스의 접근의 차단 또는 허용을 결정하는 단계를 포함하는 기업용 클라우드 서비스의 접근 통제 방법.
  2. 청구항 1에 있어서,
    상기 SSO 인증 요청은,
    서비스 사용자의 단말기 IP 주소, 서비스 사용자의 단말기 내 설치된 사용자 에이전트(User agent) 정보를 포함하는 기업용 클라우드 서비스의 접근 통제 방법.
  3. 청구항 1에 있어서,
    상기 인증응답은,
    상기 SSO 인증 요청이 발급된 시간, 서비스 사용자가 접근 가능한 기업용 클라우드 서비스 이름, 서비스 사용자의 계정 이름 및 사용자의 속성 정보를 포함하는 기업용 클라우드 서비스의 접근 통제 방법.
  4. 청구항 1에 있어서,
    상기 미리 설정된 정책에는,
    적어도 하나의 사용자별로, 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스의 종류, 해당 서비스 사용자가 접근하지 못하는 기업용 클라우드 서비스의 종류 및 해당 서비스 사용자가 접근 가능한 기업용 클라우드 서비스에 대한 접속 가능시간을 포함하는 서비스 접근 규칙이 지정되어 있는 기업용 클라우드 서비스의 접근 통제 방법.
  5. 청구항 1에 있어서,
    상기 SSO 인증 요청 및 인증응답은, SAML(Security Assertion Markup Language) 표준방식을 이용하여 이루어지는 기업용 클라우드 서비스의 접근 통제 방법.
KR1020150185906A 2015-12-24 2015-12-24 기업용 클라우드 서비스의 접근 통제 방법 KR101795592B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150185906A KR101795592B1 (ko) 2015-12-24 2015-12-24 기업용 클라우드 서비스의 접근 통제 방법
US15/091,726 US20170187705A1 (en) 2015-12-24 2016-04-06 Method of controlling access to business cloud service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150185906A KR101795592B1 (ko) 2015-12-24 2015-12-24 기업용 클라우드 서비스의 접근 통제 방법

Publications (2)

Publication Number Publication Date
KR20170076861A true KR20170076861A (ko) 2017-07-05
KR101795592B1 KR101795592B1 (ko) 2017-12-04

Family

ID=59087318

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150185906A KR101795592B1 (ko) 2015-12-24 2015-12-24 기업용 클라우드 서비스의 접근 통제 방법

Country Status (2)

Country Link
US (1) US20170187705A1 (ko)
KR (1) KR101795592B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101962906B1 (ko) * 2018-10-23 2019-03-27 (주)넷맨 시스템 사용 시간 제한 방법
KR20190049170A (ko) * 2017-11-01 2019-05-09 한국전자통신연구원 통신 네트워크에서 보안 연결을 관리하기 위한 장치 및 방법
KR20190135128A (ko) * 2018-05-28 2019-12-06 (주)유엠로직스 4-tier 방식 CASB의 메타데이터 기반 보안정책 동기화 시스템 및 그 방법
KR20190136329A (ko) * 2018-05-30 2019-12-10 (주)유엠로직스 4-tier 방식 CASB의 접근통제 관리 시스템 및 그 방법

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10333936B2 (en) * 2017-01-24 2019-06-25 Box, Inc. Method and system for secure cross-domain login
CN107404485B (zh) * 2017-08-02 2023-11-07 北京天翔睿翼科技有限公司 一种自验证云连接方法及其系统
US10673837B2 (en) * 2018-06-01 2020-06-02 Citrix Systems, Inc. Domain pass-through authentication in a hybrid cloud environment
US10922423B1 (en) * 2018-06-21 2021-02-16 Amazon Technologies, Inc. Request context generator for security policy validation service
CN112532568B (zh) * 2019-09-19 2022-09-27 马上消费金融股份有限公司 一种交互方法、装置、设备及计算机可读存储介质

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8151317B2 (en) * 2006-07-07 2012-04-03 International Business Machines Corporation Method and system for policy-based initiation of federation management
US7657639B2 (en) * 2006-07-21 2010-02-02 International Business Machines Corporation Method and system for identity provider migration using federated single-sign-on operation
US8418222B2 (en) * 2008-03-05 2013-04-09 Microsoft Corporation Flexible scalable application authorization for cloud computing environments
GB0904559D0 (en) * 2009-03-17 2009-04-29 British Telecomm Web application access
US9699168B2 (en) * 2010-12-13 2017-07-04 International Business Machines Corporation Method and system for authenticating a rich client to a web or cloud application
KR101311520B1 (ko) * 2011-06-15 2013-09-25 주식회사 케이티 인앱 서비스를 제공하는 사용자 단말 및 인앱 서비스 서버 장치
KR20130046155A (ko) * 2011-10-27 2013-05-07 인텔렉추얼디스커버리 주식회사 클라우드 컴퓨팅 서비스에서의 접근제어 시스템
JP5197843B1 (ja) * 2011-12-27 2013-05-15 株式会社東芝 認証連携システムおよびidプロバイダ装置
FI20135275A (fi) * 2013-03-22 2014-09-23 Meontrust Oy Tapahtumien auktorisointimenetelmä ja -järjestelmä
JP6248641B2 (ja) * 2014-01-15 2017-12-20 株式会社リコー 情報処理システム及び認証方法
US10990965B2 (en) * 2014-12-23 2021-04-27 Visa International Service Association Single sign-on using a secure authentication system

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190049170A (ko) * 2017-11-01 2019-05-09 한국전자통신연구원 통신 네트워크에서 보안 연결을 관리하기 위한 장치 및 방법
KR20190135128A (ko) * 2018-05-28 2019-12-06 (주)유엠로직스 4-tier 방식 CASB의 메타데이터 기반 보안정책 동기화 시스템 및 그 방법
KR20190136329A (ko) * 2018-05-30 2019-12-10 (주)유엠로직스 4-tier 방식 CASB의 접근통제 관리 시스템 및 그 방법
KR101962906B1 (ko) * 2018-10-23 2019-03-27 (주)넷맨 시스템 사용 시간 제한 방법

Also Published As

Publication number Publication date
US20170187705A1 (en) 2017-06-29
KR101795592B1 (ko) 2017-12-04

Similar Documents

Publication Publication Date Title
KR101795592B1 (ko) 기업용 클라우드 서비스의 접근 통제 방법
US10484385B2 (en) Accessing an application through application clients and web browsers
US10462121B2 (en) Technologies for authentication and single-sign-on using device security assertions
CN108476216B (zh) 用于集成事务中间件平台与集中式访问管理器用于在企业级计算环境中的单点登录的系统和方法
EP3723341B1 (en) Single sign-on for unmanaged mobile devices
US9876799B2 (en) Secure mobile client with assertions for access to service provider applications
TWI400922B (zh) 在聯盟中主用者之認證
US9118657B1 (en) Extending secure single sign on to legacy applications
US10412091B2 (en) Systems and methods for controlling sign-on to web applications
US20120144501A1 (en) Regulating access to protected data resources using upgraded access tokens
US10091179B2 (en) User authentication framework
US20150188779A1 (en) Split-application infrastructure
CN104255007A (zh) Oauth框架
US20130086629A1 (en) Dynamic identity context propagation
CN110032842B (zh) 同时支持单点登录及第三方登录的方法和系统
CN111064708B (zh) 授权认证方法、装置及电子设备
US20130312068A1 (en) Systems and methods for administrating access in an on-demand computing environment
EP3394782B1 (en) Distributed validation of credentials
JP2007048241A (ja) アクセス制御システム、アクセス制御方法およびアクセス制御プログラム
CN112202813B (zh) 网络访问方法及装置
CN108243164B (zh) 一种电子政务云计算跨域访问控制方法和系统
CN105656856A (zh) 资源管理方法和装置
CN112417403B (zh) 一种基于GitLab API的系统自动化认证和授权处理方法
Yousefnezhad et al. Authentication and access control for open messaging interface standard
CN112632491A (zh) 一种实现多信息系统共用账号体系的方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant