KR20210020575A - 오픈스택 서비스 인증 방법 및 장치 - Google Patents

오픈스택 서비스 인증 방법 및 장치 Download PDF

Info

Publication number
KR20210020575A
KR20210020575A KR1020190100180A KR20190100180A KR20210020575A KR 20210020575 A KR20210020575 A KR 20210020575A KR 1020190100180 A KR1020190100180 A KR 1020190100180A KR 20190100180 A KR20190100180 A KR 20190100180A KR 20210020575 A KR20210020575 A KR 20210020575A
Authority
KR
South Korea
Prior art keywords
openstack
value
api
token
blockchain
Prior art date
Application number
KR1020190100180A
Other languages
English (en)
Other versions
KR102333946B1 (ko
Inventor
김영종
김명호
장성일
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020190100180A priority Critical patent/KR102333946B1/ko
Publication of KR20210020575A publication Critical patent/KR20210020575A/ko
Application granted granted Critical
Publication of KR102333946B1 publication Critical patent/KR102333946B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • H04L2209/38

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

PBFT 블록체인 기반의 오픈스택 서비스 인증 방법 및 장치가 개시된다. 오픈스택 서비스 인증 방법은 API 게이트웨이로부터 API 요청 메시지를 수신하는 단계, API 요청 메시지의 수신에 응답하여, API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득하는 단계, 및 PBFT 블록체인의 피어에 해쉬 값에 대응하는 키 값이 존재하는 경우, 피어에 저장된 키 값을 이용하여 토큰 데이터를 인증하는 단계를 포함할 수 있다.

Description

오픈스택 서비스 인증 방법 및 장치{METHOD AND APPARATUS FOR AUTHENTICATING OPENSTACK SERVICE}
아래 실시예들은 오픈스택 서비스 인증 기술에 관한 것이다.
대표적인 오픈 소스 IaaS 플랫폼(Infra-as-a-Service Platform)인 오픈스택 서비스는 컨트롤러 노드와 계산 노드 등으로 구성된다. 각각의 노드들은 오픈스택을 구성하는 각 서비스들을 제공할 수 있다. 각 서비스는 REST(REpresentational State Transfer) API를 사용하여 통신하며 API를 호출할 때 오픈스택 식별 서비스인 키스톤(keystone)에서 발급받은 토큰을 전달하여 권한 허가 및 인증을 하는 중앙 집중형 구조다. 중앙 집중형 인증 방식은 토큰이 중앙에 모두 저장되어 있다는 점이 특징이다.
오픈스택 서비스에 있어서 중앙 집중형 인증 방식은 보안 문제와 서비스 요청의 집중으로 인한 성능 저하 등과 같은 문제를 발생시킬 수 있다. 이를 보완하기 위하여 분산형 인증 방식이 적용될 수 있다. 그러나 분산형 인증 방식은 합의 알고리즘의 오버헤드로 인하여 비효율성을 야기한다는 한계가 발생할 수 있다. 따라서 이러한 한계를 보완할 수 있는 연구가 필요한 실정이다.
일 실시예에 따른 PBFT(Practical Byzantine Fault Tolerance) 블록체인 기반의 오픈스택 서비스 인증 방법은 API(Application Program Interface) 게이트웨이(gateway)로부터 API 요청 메시지를 수신하는 단계; 상기 API 요청 메시지의 수신에 응답하여, 상기 API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득하는 단계; 및 상기 PBFT 블록체인의 피어(peer)에 상기 해쉬 값에 대응하는 키 값이 존재하는 경우, 상기 피어에 저장된 상기 키 값을 이용하여 상기 토큰 데이터를 인증하는 단계를 포함할 수 있다.
일 실시예에 따른 블록체인 기반의 오픈스택 서비스 인증 방법은 상기 PBFT 블록체인의 피어에 상기 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, 오픈스택 식별 서비스 장치에 상기 토큰 값에 대해 조회 요청하는 단계; 상기 조회 요청에 응답하여, 상기 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신하는 단계; 및 상기 수신한 복호화된 토큰 값에 기초하여 상기 토큰 데이터를 인증하는 단계를 더 포함할 수 있다.
일 실시예에 따른 블록체인 기반의 오픈스택 서비스 인증 방법은 상기 토큰 데이터가 인증된 경우, 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 상기 PBFT 블록체인의 피어에 저장하는 단계를 더 포함할 수 있다.
상기 PBFT 블록체인의 피어에 저장하는 단계는, 복수의 노드들로 분산된 API 노드들 중 적어도 하나에 대응하는 PBFT 블록체인의 피어에 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 저장하는 단계를 포함할 수 있다.
상기 해쉬 값을 획득하는 단계는, 상기 토큰 데이터에 SHA(Secure Hash Algorithm)256를 적용하여 해쉬 값을 획득하는 단계를 포함할 수 있다.
일 실시예에 따른 PBFT 블록체인 기반의 오픈스택 서비스 인증 방법을 수행하는 오픈스택 서비스 인증 장치는, 메모리 및 프로세서를 포함하고, 상기 메모리는 상기 프로세서에 의해 실행 가능한 인스트럭션들(instructions)을 저장하고,
상기 인스트럭션들이 상기 프로세서에 의해 실행될 때, 상기 프로세서는, API 게이트웨이로부터 API 요청 메시지를 수신하고, 상기 API 요청 메시지의 수신에 응답하여, 상기 API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득하고, 상기 PBFT 블록체인의 피어(peer)에 상기 해쉬 값에 대응하는 키 값이 존재하는 경우, 상기 피어에 저장된 상기 키 값을 이용하여 상기 토큰 데이터를 인증단계를 포함할 수 있다.
상기 프로세서는, 상기 PBFT 블록체인의 피어에 상기 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, 오픈스택 식별 서비스 장치에 상기 토큰 값에 대해 조회 요청하고, 상기 조회 요청에 응답하여, 상기 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신하고, 상기 수신한 복호화된 토큰 값에 기초하여 상기 토큰 데이터를 인증단계를 포함할 수 있다.
상기 프로세서는, 상기 토큰 데이터가 인증된 경우, 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 상기 PBFT 블록체인의 피어에 저장단계를 포함할 수 있다.
상기 프로세서는, 복수의 노드들로 분산된 API 노드들 중 적어도 하나에 대응하는 PBFT 블록체인의 피어에 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 저장단계를 포함할 수 있다.
상기 프로세서는, 상기 토큰 데이터에 SHA256를 적용하여 해쉬 값을 획득단계를 포함할 수 있다.
일 실시예에 따르면, PBFT 블록체인 기반의 인증 방식을 통해 토큰 데이터를 각 API 노드에 분산 저장할 수 있다.
일 실시예에 따르면 토큰 데이터를 API 노드에 분산 저장함으로써 보안성을 향상시킬 수 있다.
일 실시예에 따르면 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 전달받으면, 이후에 검증을 위하여 토큰 값을 API 노드 밖으로 보내지 않고도 인증을 수행할 수 있다.
일 실시예에 따르면, 최초로 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 전달받은 이후에는 로컬에서 토큰 데이터에 대한 인증을 수행할 수 있다.
일 실시예에 따르면, 분산된 API 노드 구조를 통해 서비스 요청을 분산할 수 있기 때문에 인증 성능을 향상시킬 수 있다.
일 실시예에 따르면 토큰 데이터에 대한 인증을 수행하는 데 있어서 지연 속도를 감소시킬 수 있다.
도 1은 일 실시예에 따른 오픈스택 서비스 인증 방법을 구현하기 위한 전체적인 구성을 도시한 도면이다.
도 2는 일 실시예에 따른 오픈스택 서비스 인증 방법을 설명하기 위한 흐름도이다.
도 3a 및 도 3b는 일 실시예에 따른 오픈스택 서비스 인증 방법이 수행되는 구성을 도시하는 도면이다.
도 4는 일 실시예에 다른 오픈스택 서비스 인증 장치의 구성을 도시하는 도면이다.
이하에서, 첨부된 도면을 참조하여 실시예들을 상세하게 설명한다. 그러나, 실시예들에는 다양한 변경이 가해질 수 있어서 특허출원의 권리 범위가 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 실시예들에 대한 모든 변경, 균등물 내지 대체물이 권리 범위에 포함되는 것으로 이해되어야 한다.
실시예에서 사용한 용어는 단지 설명을 목적으로 사용된 것으로, 한정하려는 의도로 해석되어서는 안된다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 실시예가 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
또한, 첨부 도면을 참조하여 설명함에 있어, 도면 부호에 관계없이 동일한 구성 요소는 동일한 참조부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 실시예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 실시예의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
도 1은 일 실시예에 따른 오픈스택 서비스 인증 방법을 구현하기 위한 전체적인 구성을 도시한 도면이다.
PBFT 블록체인 기반의 오픈스택 서비스 인증 방법은 분산된 접근법을 통해 구성 요소들 간의 요청을 각각의 노드로 분산시킬 수 있다. 이를 통해 오픈스택 서비스 인증 방법의 성능과 보안성을 향상시킬 수 있다.
PBFT 블록체인 기반의 오픈스택 서비스 인증 방법은 합의 알고리즘 중 하나인 PBFT 알고리즘을 통해 노드 간에 합의가 되어 모든 노드가 동일한 값을 가지고 있음을 의미하는 세이프티(safety)를 유지할 수 있다. PBFT 블록체인을 기반으로 오픈스택의 식별 서비스를 위한 PBFT 블록체인 프레임워크 기반의 API 노드를 구현하여 구성하는 경우, 분산 접근을 통해 구성요소들 간의 요청을 각각의 노드로 분산시킴으로써 인증에 대한 성능을 향상시킬 수 있다. 또한 PBFT 블록체인 기반의 오픈스택 서비스 인증 방법은 블록체인 기반의 분산화된 데이터 저장 접근을 통해 인증과 관련된 데이터(예를 들어 해쉬 값 및 토큰 값 등)을 모드 노드에 저장하여 데이터에 대한 보안성을 향상시킬 수 있다.
여기서 PBFT 블록체인 프레임워크는 PBFT 알고리즘 기반의 블록 생성에 대한 기능을 수행할 수 있다. 일 실시예에서 인증 네트워크는 리더와 피어가 포함된 블록체인 네트워크 전체를 의미할 수 있다. 블록체인 프레임워크의 인증 네트워크는 요청을 수신하면 요청들을 수집하여 블록을 생성할 수 있다. 블록을 생성한 인증 네트워크는 리더에 블록을 전달할 수 있고, 블록을 수신한 리더는 인증 피어에 블록을 전달할 수 있다. 블록을 수신한 각각의 피어는 블록을 수신한 사실을 다른 피어들에 전파할 수 있다. 예를 들어, 피어들 중 2/3 이상의 피어들이 블록을 수신한 경우, 블록을 수신한 각각의 피어는 해당 블록을 인증한 뒤 인증 결과를 다른 피어들에 전송할 수 있다.
도 1을 참조하면, 일 실시예에서 오픈스택 서비스 인증 방법을 구현하기 위한 구성에는 오픈스택의 기본 구성인 오픈스택 컨트롤러 노드(120), API 요청을 처리하는 4대의 API 노드들(130)과 오픈스택 계산 노드(140), 요청을 생성하는 로드 제너레이터(110) 가 포함될 수 있다. 컨트롤러 노드(120)에 HAProxy를 구성함으로써 컨트롤러 노드(120)는 API 요청이 분산 처리되도록 할 수 있다.
로드 제너레이터(110)는 서로 다르게 부호화된 토큰으로 생성된 요청을 미리 정해진 시간 간격에 기초하여 컨트롤러 노드(120)에 전달할 수 있다. 컨트롤러 노드(120)에 전달된 요청은 컨트롤러 노드(120)의 HAProxy를 통해 네 대의 API 노드들(130)로 분산될 수 있다. 각각의 API 노드들(130)은 토큰을 확인하여, 토큰이 이미 복호화된 토큰이라면 바로 처리할 수 있다. 반면에 토큰이 복호화되지 않은 토큰이라면, API 노드(130)는 오픈스택 식별 서비스 장치인 키스톤에 복호화에 대한 요청을 전달할 수 있다. API 노드(130)는 키스톤으로부터 복호화된 토큰을 수신하여 토큰에 대한 인증을 수행할 수 있다. API 노드(130)는 인증이 완료되면 요청을 처리하여 응답할 수 있다.
도 2는 일 실시예에 따른 오픈스택 서비스 인증 방법을 설명하기 위한 흐름도이다.
일 실시예에서 본 명세서에서 설명된 오픈스택 서비스 인증 방법은 PBFT 기반의 블록체인 프레임워크(Framework) 가 구현한 PBFT 기반의 블록체인의 API 노드에 기반할 수 있다.
도 2를 참조하면, 단계(210)에서 오픈스택의 API 노드는 API 게이트웨이로부터 API 요청 메시지를 수신할 수 있다. API 노드의 API 노드는 API 요청 메시지의 수신에 응답하여, 단계(220)에서 API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득할 수 있다. 여기서, 기 정의된 해쉬 처리 방식은 SHA256이 될 수 있다. 따라서, API 노드는 토큰 데이터에 SHA256를 적용하여 해쉬 값을 획득할 수 있다. 일 실시예에서 API 노드는 수신한 요청 메시지의 헤더에 포함된 토큰 데이터에 대하여 해쉬 처리를 하고 이에 따라 해쉬 값을 획득할 수 있다. API 노드는 여기서 획득한 해쉬 값을 키 값으로 이용할 수 있다.
단계(230)에서 PBFT 블록체인의 피어에 해쉬 값에 대응하는 키 값이 존재하는 경우, API 노드는 피어에 저장된 키 값을 이용하여 토큰 데이터를 인증할 수 있다.
다른 실시예에서, PBFT 블록체인의 피어에 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, API 노드는 오픈스택 식별 서비스 장치에 토큰 값에 대해 조회 요청할 수 있다.
위 실시예에서 API 노드는 조회 요청에 응답하여, 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신할 수 있다. API 노드는 수신한 복호화된 토큰 값에 기초하여 토큰 데이터를 인증할 수 있다. 토큰 데이터가 인증되면, API 노드는 해쉬 값과 수신한 복호화된 토큰 값을 API 노드 내에 있는 PBFT 블록체인의 피어에 저장할 수 있다.
여기서 API 노드는 복수의 노드들로 분산된 API 노드들 중 적어도 하나를 의미할 수 있다. 하나의 API 노드에 대응하는 PBFT 블록체인의 피어에 해쉬 값과 수신한 복호화된 토큰 값을 저장할 수 있다. 이를 통해 이후 동일한 토큰 데이터에 대한 인증 요청에 있어서는 오픈스택 식별 서비스 장치에 대한 접근 없이 로컬에서 인증이 완료될 수 있다.
즉, 토큰 데이터에 대응하는 키 값이 PBFT 블록체인의 피어에 존재하면, API 노드는 토큰 데이터의 인증을 로컬 내에서 수행할 수 있다. 반면에 토큰 데이터에 대응하는 키 값이 PBFT 블록체인의 피어에 존재하지 않는다면, API 노드는 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 획득하고, 복호화된 토큰 값에 기초하여 토큰 데이터에 대한 인증을 수행할 수 있다.
도 3a 및 도 3b는 일 실시예에 따른 오픈스택 서비스 인증 방법이 수행되는 구성을 도시하는 도면이다.
도 3a를 참조하면, 블록체인 기반의 API 노드는 API부와 블록체인 피어를 포함할 수 있다.
일 실시예에 따르면 API부는 단계(310)에서 오픈스택 API 게이트웨이로부터 API 요청 메시지를 수신할 수 있다. API부는 API 요청 메시지의 헤더에 포함된 X-인증토큰(Auth-token)대한 인증을 수행하기 위하여, X-인증토큰을 기 SHA256에 따라 처리하여 해쉬 값을 획득할 수 있다.
API부는 단계(320)에서, 블록체인 피어에 해쉬 값에 대응하는 키 값이 존재하는지 여부를 확인할 수 있다. 블록체인 피어에 해쉬 값에 대응하는 키 값이 존재하는 경우, API부는 피어에 저장된 키 값을 이용하여 X-인증토큰을 인증할 수 있다.
다른 실시예에서, 블록체인 피어에 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, API부는 단계(330)에서, 오픈스택 식별 서비스 장치에 암호화된 토큰 값을 전송할 수 있다. 여기서, 오픈스택 식별 서비스 장치는 키스톤이 될 수도 있다. API부는 전송에 응답하여, 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신할 수 있다. API부는 복호화된 토큰 값에 기초하여 X-인증토큰에 대한 인증을 수행할 수 있다. 여기서, 키스톤은 오픈스택의 구성요소 간의 요청에 대한 인증 및 권한 등을 처리하기 위하여, 토큰을 기반으로 식별 서비스를 제공할 수 있다.
위 실시예에서 API부는 해쉬 값과 복호화된 토큰 값을 블록체인 피어에 저장할 수 있다. 또한, 단계(340)에서 API부는 요청 메시지에 응답하여 인증 결과를 전송할 수 있다.
도 3b를 참조하면, 다른 실시예에서 API 노드는 API부와 저장부를 포함할 수 있다. 저장부는 블록체인 피어 또는 캣레저(CatLedger)일 수 있다.
일 실시예에 따르면, API부는 단계(350)에서 오픈스택 API 게이트웨이로부터 API 요청 메시지를 수신할 수 있다. API부는 API 요청 메시지의 헤더에 포함된 토큰 데이터를 사전에 정의된 해쉬 처리 방식에 따라 처리하여 토큰 데이터로부터 해쉬 값을 획득할 수 있다.
단계(360)에서 API부는 저장부에 해쉬 값에 대응하는 키 값이 존재하는지 여부를 확인할 수 있다. 저장부에 해쉬 값에 대응하는 키 값이 존재하는 경우, API부는 저장부에 저장된 키 값을 이용하여 토큰 데이터를 인증할 수 있다.
반면에, 저장부에 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, API부는 단계(370)에서 오픈스택 식별 서비스 장치에 토큰 값에 대한 조회 요청을 할 수 있다. 요청에 따라 API부는 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신할 수 있다. API부는 복호화된 토큰 값에 기초하여 토큰 데이터를 인증할 수 있다. 또한, API부는 해쉬 값과 복호화된 토큰 값을 저장부에 저장할 수 있다. 단계(380)에서 API부는 요청 메시지에 응답하여 인증 결과를 전송할 수 있다.
이후의 동일한 토큰 데이터에 대한 인증 요청에 있어서, API부는 오픈스택 식별 서비스 장치에 접근할 필요 없이 API 노드 내에서 인증을 수행할 수 있다. 따라서, API부는 본 명세서에 설명된 오픈스택 서비스 인증 방법에 기초하여 토큰 데이터에 대한 인증을 수행할 때, 오픈스택 식별 서비스 장치에 매번 접근하여 인증을 수행할 때보다 효율적인 인증을 수행할 수 있다.
도 4는 일 실시예에 다른 오픈스택 서비스 인증 장치의 구성을 도시하는 도면이다.
도 4를 참조하면, 오픈스택 서비스 인증 장치(400)는 본 명세서에서 설명된 오픈스택 서비스 인증장치를 의미할 수 있다. 일 실시예에서 오픈스택 서비스 인증 장치(400)는 프로세서(410), 메모리(420) 및 통신 인터페이스(430)를 포함할 수 있다.
메모리(420)는 프로세서(410)에 연결되고, 프로세서(410)에 의해 실행가능한 인스트럭션들, 프로세서(410)가 연산할 데이터 또는 프로세서(410)에 의해 처리된 데이터를 저장할 수 있다. 메모리(420)는 비일시적인 컴퓨터 판독가능 매체, 예컨대 고속 랜덤 액세스 메모리 및/또는 비휘발성 컴퓨터 판독가능 저장 매체(예컨대, 하나 이상의 디스크 저장 장치, 플래쉬 메모리 장치, 또는 기타 비휘발성 솔리드 스테이트 메모리 장치)를 포함할 수 있다.
통신 인터페이스(430)는 외부 장치와 통신하기 위한 인터페이스를 제공한다. 통신 인터페이스(430)는 유선 또는 무선 네트워크를 통해 외부 장치와 통신할 수 있다.
프로세서(410)는 도 2에서 설명된 오픈스택 서비스 인증 방법과 관련된 하나 이상의 동작을 수행할 수 있다. 예를 들어 프로세서(410)는 API 게이트웨이로부터 API 요청 메시지를 수신하고, API 요청 메시지의 수신에 응답하여, API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득할 수 있다. 일 실시예에서 PBFT 블록체인의 피어(peer)에 해쉬 값에 대응하는 키 값이 존재하는 경우, 프로세서(410)는 피어에 저장된 키 값을 이용하여 토큰 데이터를 인증할 수 있다.
다른 실시예에서 프로세서(410)는 PBFT 블록체인의 피어에 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, 오픈스택 식별 서비스 장치에 토큰 값에 대해 조회 요청하고, 조회 요청에 응답하여, 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신하고, 수신한 복호화된 토큰 값에 기초하여 토큰 데이터를 인증할 수 있다. 프로세서(410)는 토큰 데이터가 인증된 경우, 해쉬 값과 수신한 복호화된 토큰 값을 PBFT 블록체인의 피어에 저장할 수 있다.
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시예들이 비록 한정된 실시예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시예들 및 청구범위와 균등한 것들도 후술하는 청구범위의 범위에 속한다.
110: 로드 제너레이터 120: 오픈스택 컨트롤러 노드
130: API 노드 140: 오픈스택 계산 노드
400: 오픈스택 서비스 인증 장치 410: 프로세서
420: 메모리 430: 통신 인터페이스

Claims (10)

  1. PBFT(Practical Byzantine Fault Tolerance) 블록체인 기반의 오픈스택 서비스 인증 방법에 있어서,
    API(Application Program Interface) 게이트웨이(gateway)로부터 API 요청 메시지를 수신하는 단계;
    상기 API 요청 메시지의 수신에 응답하여, 상기 API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득하는 단계; 및
    상기 PBFT 블록체인의 피어(peer)에 상기 해쉬 값에 대응하는 키 값이 존재하는 경우, 상기 피어에 저장된 상기 키 값을 이용하여 상기 토큰 데이터를 인증하는 단계
    를 포함하는,
    오픈스택 서비스 인증 방법.
  2. 제1항에 있어서,
    상기 PBFT 블록체인의 피어에 상기 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, 오픈스택 식별 서비스 장치에 상기 토큰 값에 대해 조회 요청하는 단계;
    상기 조회 요청에 응답하여, 상기 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신하는 단계; 및
    상기 수신한 복호화된 토큰 값에 기초하여 상기 토큰 데이터를 인증하는 단계
    를 더 포함하는,
    오픈스택 서비스 인증 방법.
  3. 제2항에 있어서,
    상기 토큰 데이터가 인증된 경우, 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 상기 PBFT 블록체인의 피어에 저장하는 단계
    를 더 포함하는,
    오픈스택 서비스 인증 방법.
  4. 제3항에 있어서,
    상기 PBFT 블록체인의 피어에 저장하는 단계는,
    복수의 노드들로 분산된 API 노드들 중 적어도 하나에 대응하는 PBFT 블록체인의 피어에 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 저장하는 단계
    를 포함하는,
    오픈스택 서비스 인증 방법.
  5. 제1항에 있어서,
    상기 해쉬 값을 획득하는 단계는,
    상기 토큰 데이터에 SHA(Secure Hash Algorithm)256를 적용하여 해쉬 값을 획득하는 단계
    를 포함하는,
    오픈스택 서비스 인증 방법.
  6. PBFT 블록체인 기반의 오픈스택 서비스 인증 방법을 수행하는 오픈스택 서비스 인증 장치에 있어서,
    메모리 및 프로세서를 포함하고,
    상기 메모리는 상기 프로세서에 의해 실행 가능한 인스트럭션들(instructions)을 저장하고,
    상기 인스트럭션들이 상기 프로세서에 의해 실행될 때, 상기 프로세서는,
    API 게이트웨이로부터 API 요청 메시지를 수신하고,
    상기 API 요청 메시지의 수신에 응답하여, 상기 API 요청 메시지의 헤더에 포함된 토큰 데이터를 기 정의된 해쉬 처리 방식에 따라 처리하여 해쉬 값을 획득하고,
    상기 PBFT 블록체인의 피어(peer)에 상기 해쉬 값에 대응하는 키 값이 존재하는 경우, 상기 피어에 저장된 상기 키 값을 이용하여 상기 토큰 데이터를 인증하는,
    오픈스택 서비스 인증 장치.
  7. 제6항에 있어서,
    상기 프로세서는,
    상기 PBFT 블록체인의 피어에 상기 해쉬 값에 대응하는 키 값이 존재하지 않는 경우, 오픈스택 식별 서비스 장치에 상기 토큰 값에 대해 조회 요청하고,
    상기 조회 요청에 응답하여, 상기 오픈스택 식별 서비스 장치로부터 복호화된 토큰 값을 수신하고,
    상기 수신한 복호화된 토큰 값에 기초하여 상기 토큰 데이터를 인증하는,
    오픈스택 서비스 인증 장치.
  8. 제7항에 있어서,
    상기 프로세서는,
    상기 토큰 데이터가 인증된 경우, 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 상기 PBFT 블록체인의 피어에 저장하는,
    오픈스택 서비스 인증 장치.
  9. 제8항에 있어서,
    상기 프로세서는,
    복수의 노드들로 분산된 API 노드들 중 적어도 하나에 대응하는 PBFT 블록체인의 피어에 상기 해쉬 값과 상기 수신한 복호화된 토큰 값을 저장하는,
    오픈스택 서비스 인증 장치.
  10. 제6항에 있어서,
    상기 프로세서는,
    상기 토큰 데이터에 SHA256를 적용하여 해쉬 값을 획득하는,
    오픈스택 서비스 인증 장치.
KR1020190100180A 2019-08-16 2019-08-16 오픈스택 서비스 인증 방법 및 장치 KR102333946B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190100180A KR102333946B1 (ko) 2019-08-16 2019-08-16 오픈스택 서비스 인증 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190100180A KR102333946B1 (ko) 2019-08-16 2019-08-16 오픈스택 서비스 인증 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20210020575A true KR20210020575A (ko) 2021-02-24
KR102333946B1 KR102333946B1 (ko) 2021-12-01

Family

ID=74689287

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190100180A KR102333946B1 (ko) 2019-08-16 2019-08-16 오픈스택 서비스 인증 방법 및 장치

Country Status (1)

Country Link
KR (1) KR102333946B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113342859A (zh) * 2021-06-29 2021-09-03 北京奇艺世纪科技有限公司 一种信息处理方法、装置及电子设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180041976A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치
KR20180114198A (ko) * 2016-02-23 2018-10-17 엔체인 홀딩스 리미티드 블록체인 기반의 암호화폐를 위한 범용 토큰화 시스템
KR20190054738A (ko) * 2017-11-14 2019-05-22 주식회사 아이콘루프 비잔틴 장애를 극복 가능한 블록체인 생성 방법
KR102009160B1 (ko) * 2018-10-19 2019-08-09 빅픽처랩 주식회사 블록체인 기반 정보 트러스트 엔진 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180114198A (ko) * 2016-02-23 2018-10-17 엔체인 홀딩스 리미티드 블록체인 기반의 암호화폐를 위한 범용 토큰화 시스템
KR20180041976A (ko) * 2016-10-17 2018-04-25 숭실대학교산학협력단 악성 애플리케이션을 방지할 수 있는 소프트웨어 정의 네트워크 및 이에 포함되는 판단 장치
KR20190054738A (ko) * 2017-11-14 2019-05-22 주식회사 아이콘루프 비잔틴 장애를 극복 가능한 블록체인 생성 방법
KR102009160B1 (ko) * 2018-10-19 2019-08-09 빅픽처랩 주식회사 블록체인 기반 정보 트러스트 엔진 시스템

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113342859A (zh) * 2021-06-29 2021-09-03 北京奇艺世纪科技有限公司 一种信息处理方法、装置及电子设备
CN113342859B (zh) * 2021-06-29 2023-08-15 北京奇艺世纪科技有限公司 一种信息处理方法、装置及电子设备

Also Published As

Publication number Publication date
KR102333946B1 (ko) 2021-12-01

Similar Documents

Publication Publication Date Title
EP3937424B1 (en) Blockchain data processing methods and apparatuses based on cloud computing
US11736467B2 (en) Technologies for token-based authentication and authorization of distributed computing resources
CN106209749B (zh) 单点登录方法及装置、相关设备和应用的处理方法及装置
CN109067728B (zh) 应用程序接口的访问控制方法、装置、服务器及存储介质
US11153085B2 (en) Secure distributed storage of encryption keys
US10958664B2 (en) Method of performing integrity verification between client and server and encryption security protocol-based communication method of supporting integrity verification between client and server
TWI439103B (zh) 網路資源之單一登入以及安全存取的政策導向憑證授權
US20210409403A1 (en) Service to service ssh with authentication and ssh session reauthentication
KR102168163B1 (ko) 블록체인 플랫폼 기반 서비스 시스템 및 방법
US9673979B1 (en) Hierarchical, deterministic, one-time login tokens
KR20060081335A (ko) Http 요청-응답 전송을 이용하는 분산형 시스템에서http 응답을 전송하기 위한 방법 및 컴퓨터 프로그램제품
US20210167947A1 (en) System and method for processing secret sharing authentication
US10728045B2 (en) Authentication device, authentication system, authentication method, and program
CN116458117A (zh) 安全数字签名
CN115333839B (zh) 数据安全传输方法、系统、设备及存储介质
US20240146728A1 (en) Access control method, access control system, and related device
CN111988262B (zh) 认证方法、装置及服务器、存储介质
KR102333946B1 (ko) 오픈스택 서비스 인증 방법 및 장치
KR101836211B1 (ko) 전자 기기 인증 매니저 장치
US10834065B1 (en) Methods for SSL protected NTLM re-authentication and devices thereof
CN108600266B (zh) 一种声明过滤认证方法及认证系统
US11983264B2 (en) Adaptive acceleration of transport layer security
WO2019184206A1 (zh) 身份认证方法及装置
KR102094606B1 (ko) 인증 장치 및 방법
US10230531B2 (en) Admissions control of a device

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant