KR20210073112A - 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법 - Google Patents

사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법 Download PDF

Info

Publication number
KR20210073112A
KR20210073112A KR1020190163599A KR20190163599A KR20210073112A KR 20210073112 A KR20210073112 A KR 20210073112A KR 1020190163599 A KR1020190163599 A KR 1020190163599A KR 20190163599 A KR20190163599 A KR 20190163599A KR 20210073112 A KR20210073112 A KR 20210073112A
Authority
KR
South Korea
Prior art keywords
server
otp
authentication
user terminal
user
Prior art date
Application number
KR1020190163599A
Other languages
English (en)
Inventor
최성욱
암버 마헤시와리
가젠더 싱
바룬 굽타
황호랑
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020190163599A priority Critical patent/KR20210073112A/ko
Priority to PCT/KR2020/010223 priority patent/WO2021118005A1/ko
Publication of KR20210073112A publication Critical patent/KR20210073112A/ko
Priority to US17/837,283 priority patent/US20220311761A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Telephonic Communication Services (AREA)

Abstract

사용자 단말이 개시된다. 본 개시에 따른 사용자 단말은 통신 인터페이스; 및 프로세서;를 포함하고, 계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하고, 외부 서버에 접속하기 위한 요청이 수신되면, 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하고, 계정 관리 서버로부터 제1 OTP(One Time Password) 정보 및 제2 OTP 정보를 수신하면, 제1 OTP 정보를 이용하여 중계 서버와의 제1 통신 채널을 생성하고, 제2 OTP 정보를 이용하여 중계 서버와 외부 서버 간의 제2 통신 채널을 생성하고, 제1 통신 채널 및 제2 통신 채널을 통해 외부 서버와 통신을 수행한다.

Description

사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법{METHOD FOR CONTROLLING USER TERMINAL AND USER ACCOUNT MANAGEMENT SERVER}
본 개시는 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법으로, 보다 상세하게는, 중계 서버를 통해 외부 서버와 통신을 수행하는 사용자 단말 및 중계 서버를 제어함으로써 사용자 계정을 관리하는 계정 관리 서버의 제어 방법에 관한 것이다.
사용자가 자신의 계정을 이용하여 외부 서버로 접속하고자 할 때, 다양한 인증 방식이 존재한다. 일 예로, 사용자가 외부 서버 접속 용 ID 및 패스워드를 외부 서버 접속 시 사용자 단말을 통해 입력하여 인증하는 방식이 존재한다. 그런데, 이 경우 사용자가 외부 서버 접속을 위한 ID 및 패스워드를 알고 있어야만 인증이 가능하며 보안을 위해 주기적으로 패스워드를 변경해야하는 번거로움이 있다.
다른 일 예로, 사용자가 인증 서버에 대한 인증을 통해 인증 서버로부터 ID 및 패스워드를 수신하고, 수신한 ID 및 패스워드를 외부 서버 접속 시 사용자 단말을 통해 입력하여 인증하는 방식이 존재한다. 이 경우, 사용자에게 전달되는 패스워드는 인증 서버에 평문 또는 복호화가 가능한 형태로 저장되어야 하는데, 인증 서버가 외부 공격자 등에 노출되면 인증 서버의 데이터베이스에 저장된 모든 사용자의 패스워드 정보가 유출되는 문제가 있다.
이에 따라, 사용자 편의성과 패스워드 정보 유출에 대한 안전성을 갖춘 계정 관리 기술에 대한 필요성이 대두된다.
본 발명이 해결하고자 하는 일 기술적 과제는, 사용자 편의성 및 패스워드 정보 유출에 대한 안전성을 갖춘 계정 관리 기술을 제공하는 것이다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명의 기술분야에서의 통상의 기술자에게 명확하게 이해 될 수 있을 것이다.
상술한 기술적 과제를 해결하기 위한 본 개시의 예시적인 일 실시 예에 따르면, 사용자 단말의 제어 방법에 있어서, 계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하는 단계; 상기 사용자 계정에 대한 인증이 수행된 후 외부 서버에 접속하기 위한 요청이 수신되면, 상기 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하는 단계; 상기 요청에 응답하여 상기 계정 관리 서버로부터 제1 OTP(One Time Password) 정보 및 제2 OTP 정보를 수신되면, 상기 제1 OTP 정보를 이용하여 상기 외부 서버에 접속하기 위한 중계 서버와의 제1 통신 채널을 생성하는 단계; 상기 제1 통신 채널을 통해 상기 제2 OTP 정보를 이용하여 상기 외부 서버와 인증을 수행하여 상기 중계 서버와 상기 외부 서버 간의 제2 통신 채널을 생성하는 단계; 및 상기 제1 통신 채널 및 상기 제2 통신 채널을 통해 상기 외부 서버와 통신을 수행하는 단계;를 포함하는 제어 방법이 제공될 수 있다.
상술한 기술적 과제를 해결하기 위한 본 개시의 예시적인 다른 일 실시 예에 따르면, 계정 관리 서버의 제어 방법에 있어서, 사용자 단말로부터 사용자 인증 요청이 수신되면, 상기 사용자 단말을 인증하는 단계; 및 상기 인증된 사용자 단말로부터 외부 서버에 대한 접근 요청을 수신하면, 제1 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 접속하기 위한 중계 서버에 전송하고, 제2 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 전송하는 단계; 를 포함하는 제어 방법이 제공될 수 있다.
상술한 기술적 과제를 해결하기 위한 본 개시의 예시적인 또 다른 일 실시 예에 따르면, 사용자 단말에 있어서, 통신 인터페이스; 및 프로세서;를 포함하고, 상기 프로세서는, 상기 통신 인터페이스를 통해 계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하고, 상기 사용자 계정에 대한 인증이 수행된 후 상기 통신 인터페이스를 통해 외부 서버에 접속하기 위한 요청이 수신되면, 상기 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하고, 상기 요청에 응답하여 상기 계정 관리 서버로부터 제1 OTP(One Time Password) 정보 및 제2 OTP 정보를 수신되면, 상기 제1 OTP 정보를 이용하여 상기 외부 서버에 접속하기 위한 중계 서버와의 제1 통신 채널을 생성하고, 상기 제1 통신 채널을 통해 상기 제2 OTP 정보를 이용하여 상기 외부 서버와 인증을 수행하여 상기 중계 서버와 상기 외부 서버 간의 제2 통신 채널을 생성하고, 상기 제1 통신 채널 및 상기 제2 통신 채널을 통해 상기 외부 서버와 통신을 수행하는 사용자 단말이 제공될 수 있다.
상술한 기술적 과제를 해결하기 위한 본 개시의 예시적인 또 다른 일 실시 예에 따르면, 계정 관리 서버에 있어서, 통신 인터페이스; 및 프로세서;를 포함하고, 상기 프로세서는 사용자 단말로부터 사용자 인증 요청이 수신되면, 상기 사용자 단말을 인증하고, 상기 인증된 사용자 단말로부터 외부 서버에 대한 접근 요청을 수신하면, 제1 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 접속하기 위한 중계 서버에 전송하고, 제2 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 전송하는 계정 관리 서버가 제공될 수 있다.
본 개시의 과제의 해결 수단이 상술한 해결 수단들로 제한되는 것은 아니며, 언급되지 아니한 해결 수단들은 본 명세서 및 첨부된 도면으로부터 본 개시가 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
이상과 같은 본 개시의 다양한 실시 예에 따르면, 계정 관리 서버는 일방향 암호화된 패스워드를 중계 서버 및 외부 서버에 전송함으로써 패스워드 정보 유출에 대한 안전성이 향상될 수 있다.
그 외에 본 개시의 실시 예로 인하여 얻을 수 있거나 예측되는 효과에 대해서는 본 개시의 실시 예에 대한 상세한 설명에서 직접적 또는 암시적으로 개시하도록 한다. 예컨대, 본 개시의 실시 예에 따라 예측되는 다양한 효과에 대해서는 후술될 상세한 설명 내에서 개시될 것이다.
도 1은 본 개시의 일 실시 예에 따른 계정 관리 시스템을 설명하기 위한 도면이다.
도 2는 본 개시의 일 실시 예에 따른 사용자 단말의 구성을 도시한 블록도이다.
도 3은 본 개시의 일 실시 예에 따른 계정 관리 서버의 구성을 도시한 블록도이다.
도 4 및 5는 본 개시의 여러 실시 예에 따른 계정 관리 시스템의 동작을 설명하기 위한 시퀀스도이다.
도 6은 본 개시의 일 실시 예에 따른 사용자 단말의 제어 방법을 도시한 순서도이다.
도 7은 본 개시의 일 실시 예에 따른 계정 관리 서버의 제어 방법을 도시한 순서도이다.
본 명세서에서 사용되는 용어에 대해 간략히 설명하고, 본 개시에 대해 구체적으로 설명하기로 한다. 
본 개시의 실시 예에서 사용되는 용어는 본 개시에서의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 개시의 설명 부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 개시에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다.
본 개시의 실시 예들은 다양한 변환을 가할 수 있고 여러 가지 실시 예를 가질 수 있는바, 특정 실시 예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나 이는 특정한 실시 형태에 대해 범위를 한정하려는 것이 아니며, 개시된 사상 및 기술 범위에 포함되는 모든 변환, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 실시 예들을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 구성요소들은 용어들에 의해 한정되어서는 안 된다. 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "구성되다" 등의 용어는 명세서 상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
아래에서는 첨부한 도면을 참고하여 본 개시의 실시 예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 개시를 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
도 1은 본 개시의 일 실시 예에 따른 계정 관리 시스템을 설명하기 위한 도면이다.
사용자 단말(100)은 계정 관리 서버(200)로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행할 수 있다. 이 때, 사용자 단말(100)은 여러 방법으로 사용자 계정에 대한 인증을 수행할 수 있다. 일 예로, 계정 관리 서버(200)는 사용자 단말(100)에 크리덴셜(credential)정보(예를 들어, 비밀번호)를 요구할 수 있다. 이 때, 사용자 단말(100)은 사용자에 의해 입력된 크리덴셜 정보를 계정 관리 서버(200)로 전송할 수 있다. 또한, 계정 관리 서버(200)는 사용자 단말(100)로부터 수신한 크리덴셜 정보를 바탕으로 사용자 단말(100)이 기등록된 단말인지 판단할 수 있다. 다른 일 예로, 계정 관리 서버(200)가 사용자 단말(100)이 미리 인증을 완료한 인증 서버와 연동된 경우, 사용자 단말(100)은 계정 관리 서버(200)에 대한 별도의 인증을 수행하지 않고 계정 관리 서버(200)에 접속할 수 있다. 즉, 사용자 단말(100)은 SSO(Single Sing On) 인증 방식을 통해 사용자 계정에 대한 인증을 수행할 수 있다. 이 때, 사용자 단말(100)은 계정 관리 서버(200)에 대한 인증을 위한 별도의 사용자의 크리덴셜 정보 입력 없이도 계정 관리 서버(200)에 접근할 수 있어 사용자 편의성이 향상될 수 있다.
사용자 단말(100)은 사용자 계정에 대한 인증이 수행된 후 사용자로부터 외부 서버(400)에 접속하기 위한 요청을 수신하면, 계정 관리 서버(200)로 외부 서버(400)에 접속하기 위한 요청을 전송할 수 있다. 구체적으로, 사용자 계정에 대한 인증이 성공하면, 계정 관리 서버(200)는 사용자 단말(100)로 인증 토큰(token)을 전송할 수 있다. 이 때, 사용자 단말(100)은 수신한 인증 토큰을 이용하여 계정 관리 서버(200)로 외부 서버(400)에 접속하기 위한 요청을 전송할 수 있다. 여기서, 외부 서버(400)는 사용자 단말(100)로부터 원격에 존재하는 목적지 서버일 수 있다.
그리고, 계정 관리 서버(200)는 사용자 요청에 응답하여 제1 OTP(One Time Password)를 생성하여 중계 서버(300)로 전송할 수 있다. 이 때, 중계 서버(300)는 제1 OTP를 수신하여 그 내부에 존재하는 데이터 베이스에 저장할 수 있다. 여기서 중계 서버(300)는 외부 서버(400)와 동일한 네트워크 환경에 위치하거나 외부 서버(400)로부터 기설정된 범위 내에 존재하는 데이터 센터 내에 위치할 수 있다. 또한, 하나의 외부 서버(400)가 속한 네트워크 환경에는 복수의 중계 서버(300)가 존재할 수 있다. 이 때, 계정 관리 서버(200)는 복수의 중계 서버(300) 중 외부 서버(400)와 가장 가까이 위치한 하나의 중계 서버(300)를 할당할 수 있다. 또한, 계정 관리 서버(200)는 사용자 요청에 응답하여 제2 OTP를 생성하여 외부 서버(400)로 전송할 수 있다. 이 때, 외부 서버(400)는 제2 OTP를 수신하여 그 내부에 존재하는 데이터 베이스에 저장할 수 있다.
한편, 계정 관리 서버(200)는 생성된 제1 OTP 및 제2 OTP를 사용자 단말(100)로 전송할 수 있다. 이 때, 사용자 단말(100)은 제1 OTP 및 제2 OTP를 바탕으로 외부 서버(400)로의 통신 채널을 생성할 수 있다. 구체적으로, 사용자 단말(100)은 제1 OTP를 이용하여 중계 서버(300)까지의 제1 통신 채널을 생성할 수 있다. 이 때, 사용자 단말(100)은 계정 관리 서버(200)로부터 획득한 제1 OTP 를 바탕으로 중계 서버(300)와 인증을 수행할 수 있다. 인증이 완료되면, 사용자 단말(100)은 제1 통신 채널을 생성하여 중계 서버(300)와 통신을 수행할 수 있다.
또한, 사용자 단말(100)은 중계 서버(300)에 접속하여 제2 OTP를 바탕으로 중계 서버(300)와 외부 서버(400)간의 제2 통신 채널을 생성할 수 있다. 이 때, 사용자 단말(100)은 제2 OTP를 이용하여 외부 서버(400)와 인증을 수행할 수 있다. 인증이 완료되면, 사용자 단말(100)은 제2 통신 채널을 생성하고, 제2 통신 채널을 통해 외부 서버(400)와 통신을 수행할 수 있다. 예로, 사용자 단말(100)은 제1 통신 채널을 통해 중계 서버(300)로 데이터를 전송하고, 중계 서버(300)는 사용자 단말(100)로부터 수신한 데이터를 제2 통신 채널을 통해 외부 서버(400)로 전달할 수 있다.
이처럼, 외부 서버(400)는 중계 서버(300)를 통해서만 사용자와 통신을 수행할 수 있다. 따라서, 외부 공격자는 외부 서버(400)에 대한 접속을 위한 패스워드를 획득하더라도, 중계 서버(300)를 통하지 않으면 외부 서버(400)에 접속할 수 없을 수 있다. 이에 따라, 외부 서버(400)의 안전성이 향상될 수 있다.
한편, 계정 관리 서버(200)는 사용자 단말(100)이 제1 통신 채널을 생성하면, 제1 통신 채널의 생성시 이용된 제1 OTP와 다른 제3 OTP를 생성하여 중계 서버(300)로 전송할 수 있다. 이 때, 중계 서버(300)는 그 내부의 데이터 베이스에 저장된 제1 OTP를 삭제하고 제3 OTP를 저장할 수 있다. 이에 따라, 제1 OTP가 외부로 노출되더라도, 중계 서버(300)에 대한 보안은 유지될 수 있다. 또한, 계정 관리 서버(200)는 사용자 단말(100)이 제1 통신 채널을 생성하면 중계 서버(300)와의 인증을 위한 패스워드를 랜덤하게 생성 및 갱신할 수 있다. 이에 따라, 사용자는 보안을 위해 중계 서버(300)와의 인증을 위한 패스워드를 별도로 변경할 필요가 없으므로, 계정 관리의 용이성 및 사용자 만족감이 향상될 수 있다.
그리고, 계정 관리 서버(200)는 사용자 단말(100)이 제2 통신 채널을 생성하면, 제2 통신 채널의 생성시 이용된 제2 OTP와 다른 제4 OTP를 생성하여 외부 서버(400)로 전송할 수 있다. 이 때, 외부 서버(400)는 그 내부의 데이터 베이스에 저장된 제2 OTP를 삭제하고 제4 OTP를 저장할 수 있다. 이에 따라, 제2 OTP가 외부로 노출되더라도, 중계 서버(300)에 대한 보안은 유지될 수 있다. 또한, 계정 관리 서버(200)는 사용자 단말(100)이 제2 통신 채널을 생성하면 외부 서버(400)와의 인증을 위한 패스워드를 랜덤하게 생성 및 갱신할 수 있다. 이에 따라, 사용자는 보안을 위해 외부 서버(400)와의 인증을 위한 패스워드를 별도로 변경할 필요가 없으므로, 계정 관리의 용이성 및 사용자 만족감이 향상될 수 있다.
한편, 제1 통신 채널 및 제2 통신 채널은 다양한 프로토콜에 따라 생성될 수 있다. 일 예로, 제1 통신 채널 및 제2 통신 채널은 보안 쉘(SSH, Secure Shell) 터널링 프로토콜에 따라 생성될 수 있다. 다만 이는 일 실시 예에 불과하며 제1 통신 채널 및 제2 통신 채널은 원격 데스크톱 프로토콜(RDP, Remote Desktop Protocal)에 따라 생성될 수 있다.
이하에서는, 사용자 단말(100)의 각 구성에 대하여 설명하도록 한다.
도 2는 본 개시의 일 실시 예에 따른 사용자 단말의 구성을 도시한 블록도이다.
도 2를 참조하면, 사용자 단말(100)은 입력부(110), 디스플레이(120), 메모리(130), 통신 인터페이스(140) 및 프로세서(150)를 포함할 수 있다. 예로, 사용자 단말(100)은 PC(Personal Computer), 모바일 장치 등의 전자 장치로 구현될 수 있다. 한편, 사용자 단말(100)은 상술한 구성요소를 반드시 모두 포함하여 구현되어야 하는 것은 아니며, 일부 구성요소를 생략한 채 구현될 수 있다.
입력부(110)는 다양한 사용자 명령 및 정보를 입력 받는 구성일 수 있다. 예로, 입력부(110)는 외부 서버(400)로의 접속을 요청하는 사용자 명령을 획득할 수 있다. 또한, 입력부(110)는 디스플레이(120)를 통해 표시되는 복수의 외부 서버 리스트 중 하나의 외부 서버(400)를 선택하는 사용자 입력을 획득할 수 있다. 또는, 입력부(110)는 계정 관리 서버(200)와의 인증을 위한 사용자 명령을 획득할 수 있다. 한편, 입력부(110)는 키보드, 마우스, 음성 입력 장치, 전자펜 등 다양한 기구적 장치로 구현될 수 있다.
디스플레이(120)는 각종 화면을 표시할 수 있다. 예로, 디스플레이(120)는 계정 관리 서버(200)와 관련된 어플리케이션 또는 프로그램의 실행 화면을 디스플레이할 수 있다. 한편, 디스플레이(120)는 LCD(Liquid Crystal Display), OLED(Organic Light Emitting Diodes) 디스플레이, PDP(Plasma Display Panel) 등과 같은 다양한 형태의 디스플레이로 구현될 수 있다.
메모리(130)는 사용자 단말(100)의 동작에 필요한 각종 프로그램 및 데이터를 저장할 수 있다. 메모리(130)에는 적어도 하나의 인스트럭션이 저장될 수 있다. 프로세서(150)는 메모리(130)에 저장된 인스트럭션을 실행함으로써 사용자 단말(100)의 동작을 수행할 수 있다. 한편, 메모리(130)는 비휘발성 메모리, 휘발성 메모리 등으로 구현될 수 있다.
통신 인터페이스(140)는 적어도 하나의 회로를 포함하며 다양한 유형의 통신 방식에 따라 다양한 유형의 외부 기기와 통신을 수행할 수 있다. 특히, 통신 인터페이스(140)는 계정 관리 서버(200), 중계 서버(300) 및 외부 서버(400)와 통신을 수행할 수 있다. 구체적으로, 통신 인터페이스(140)는 계정 관리 서버(200)로부터 인증 토큰 및 OTP를 수신할 수 있다.
한편, 통신 인터페이스(140)는 계정 관리 서버(200)와 제1 통신 방식으로 통신을 수행할 수 있다. 또한, 통신 인터페이스(140)는 중계 서버(300)와 제2 통신 방식으로 통신을 수행할 수 있다. 또한, 통신 인터페이스(140)는 외부 서버(400)와 제3 통신 방식으로 통신을 수행할 수 있다. 한편, 제1 통신 방식 및 제2 통신 방식은 동일할 수 있다. 예를 들어, 제1 통신 방식 및 제2 통신 방식은 유선 통신 모듈(예를 들어, LAN 등)을 통해 구현될 수 있다. 또한, 제2 통신 방식은 제3 통신 방식과 상이할 수 있다. 예를 들어, 제2 통신 방식은 유선 통신 모듈을 통해 구현되며, 제3 통신 방식은 유선 및 무선 통신 모듈을 통해 구현될 수 있다. 구체적으로, 통신 인터페이스(140)는 유선 통신 방식으로 제1 통신 채널을 통해 중계 서버(300)와 통신을 수행할 수 있다. 또한, 통신 인터페이스(140)는 무선 통신 방식으로 제2 통신 채널을 통해 외부 서버(400)와 통신을 수행할 수 있다. 즉, 상술한 제1 통신 채널은 유선 통신 방식을 통해 구현되며, 제2 통신 채널은 무선 통신 방식을 통해 구현될 수 있다. 한편, 무선 통신 방식으로 외부 서버(400)와 통신을 수행할 경우, 통신 인터페이스(140)는 와이파이 통신 모듈, 셀룰러 통신모듈, 3G(3세대) 이동통신 모듈, 4G(4세대) 이동통신 모듈, 4세대 LTE(Long Term Evolution) 통신 모듈, 5G(5세대) 이동통신 모듈 중 적어도 하나를 포함할 수 있다.
프로세서(150)는 사용자 단말(100)의 전반적인 동작을 제어할 수 있다.
예로, 프로세서(150)는 계정 관리 서버(200)로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행할 수 있다. 이 때, 프로세서(150)는 입력부(110)를 통해 인증 정보(예를 들어, ID 및 패스워드)를 포함하는 사용자 입력을 획득하고, 획득된 사용자 입력을 통신 인터페이스(140)를 통해 계정 관리 서버(200)로 전송할 수 있다. 또한, 프로세서(150)는 SSO 인증 방식을 통해 사용자 계정에 대한 인증을 수행할 수 있다. 구체적으로, 프로세서(150)는 사용자 계정에 대한 인증을 수항하기 전 계정 관리 서버(200)와 연동된 SSO 인증 서버에 대해 인증을 수행하여 인증 토큰을 획득하고, 획득한 인증 토큰을 이용하여 사용자 계정에 대한 인증을 수행할 수 있다. 또는, 프로세서(150)는 SSO 인증 서버에 대해 사용자의 인증 정보를 바탕으로 인증을 수행하고, SSO 인증 서버를 통해 사용자 계정에 대한 인증을 수행할 수 있다.
그리고, 프로세서(150)는 사용자 계정에 대한 인증이 수행된 후 외부 서버(400)에 접속하기 위한 사용자 요청을 수신할 수 있다. 이 때, 프로세서(150)는 외부 서버(400)에 접속하기 위한 사용자 요청을 계정 관리 서버(200)로 전송할 수 있다. 또한, 프로세서(150)는 사용자 계정 인증에 따라 계정 관리 서버(200)로부터 인증 토큰을 획득하고, 획득된 인증 토큰을 이용하여 계정 관리 서버(200)로 외부 서버(400)에 대한 접속 요청을 전송할 수 있다. 한편, 외부 서버(400)에 접속하기 위한 사용자 요청은 다양한 방식으로 이루어질 수 있다. 예를 들어, 접속 가능한 복수의 외부 서버(400)가 디스플레이되고, 사용자가 디스플레이되는 외부 서버 중 하나를 선택하는 형태로 사용자 요청이 이루어질 수 있다.
또한, 프로세서(150)는 사용자 요청에 응답하여 계정 관리 서버(200)로부터 제1 OTP 및 제2 OTP를 수신할 수 있다. 그리고, 프로세서(150)는 제1 OTP를 이용하여 외부 서버(400)에 접속하기 위한 중계 서버(300)와의 제1 통신 채널을 생성할 수 있다. 또한, 프로세서(150)는 제2 OTP를 이용하여 중계 서버(300) 및 외부 서버(400) 간의 제2 통신 채널을 생성할 수 있다. 이 때, 프로세서(150)는 제1 통신 채널을 통해 중계 서버(300)에 접속한 후 외부 서버(400)와의 인증을 수행하여 제2 통신 채널을 생성할 수 있다. 한편, 제1 OTP 및 제2 OTP는 서로 상이하며, 일방향 암호화된 상태로 중계 서버(300) 및 외부 서버(400)에 각각 저장될 수 있다. 여기서, 일방향 암호화된 상태란 암호화된 데이터의 복호화가 불가능한 상태를 의미할 수 있다. 또한, 제1 통신 채널 및 제2 통신 채널은 SSH 터널링 프로토콜에 따라 생성될 수 있다. 그리고, 프로세서(150)는 제1 통신 채널 및 제2 통신 채널을 통해 외부 서버(400)와 통신을 수행할 수 있다.
이하에서는 계정 관리 서버(200)에 대하여 설명하도록 한다.
도 3은 본 개시의 일 실시 예에 따른 계정 관리 서버의 구성을 도시한 블록도이다.
도 3을 참조하면, 계정 관리 서버(200)는 통신 인터페이스(210), 프로세서(220) 및 메모리(230)를 포함할 수 있다. 예로, 계정 관리 서버(200)는 응용 프로그램 프로그래밍 인터페이스(API, Application Programming Interface) 서버일 수 있다. 한편, 계정 관리 서버(200)는 상술한 구성요소를 반드시 모두 포함하여 구현되어야 하는 것은 아니며, 일부 구성요소를 생략한 채 구현될 수 있다. 또한, 및 메모리(230)는 도 2의 메모리(130)에 대응될 수 있으므로, 중복되는 설명은 생략하도록 한다.
통신 인터페이스(210)는 적어도 하나의 회로를 포함하며 다양한 유형의 통신 방식에 따라 다양한 유형의 외부 기기와 통신을 수행할 수 있다. 특히, 통신 인터페이스(210)는 사용자 단말(100), 중계 서버(300) 및 외부 서버(400)와 통신을 수행할 수 있다. 구체적으로, 통신 인터페이스(210)는 사용자 단말(200)로부터 사용자 인증 정보를 수신할 수 있다.
한편, 통신 인터페이스(210)는 사용자 단말(100)과 제1 통신 방식으로 통신을 수행할 수 있다. 또한, 통신 인터페이스(210)는 중계 서버(300)와 제2 통신 방식으로 통신을 수행할 수 있다. 또한, 통신 인터페이스(210)는 외부 서버(400)와 제3 통신 방식으로 통신을 수행할 수 있다. 한편, 제1 통신 방식 및 제2 통신 방식은 동일할 수 있다. 예를 들어, 제1 통신 방식은 유선 통신 모듈(예를 들어, LAN 등)을 통해 구현될 수 있다. 또한, 제1 통신 방식은 제3 통신 방식과 상이할 수 있다. 예를 들어, 제1 통신 방식은 유선 통신 모듈을 통해 구현되며, 제3 통신 방식은 무선 통신 모듈을 통해 구현될 수 있다. 한편, 무선 통신 방식으로 외부 서버(400)와 통신을 수행할 경우, 통신 인터페이스(210)는 와이파이 통신 모듈, 셀룰러 통신모듈, 3G(3세대) 이동통신 모듈, 4G(4세대) 이동통신 모듈, 4세대 LTE(Long Term Evolution) 통신 모듈, 5G(5세대) 이동통신 모듈 중 적어도 하나를 포함할 수 있다.
프로세서(220)는 사용자 단말(100)로부터 사용자 인증 요청이 수신되면, 사용자 단말(100)에 대한 인증을 수행할 수 있다. 이 때, 프로세서(220)는 사용자 단말이 메모리(230)에 기등록된 단말인지 판단할 수 있다. 사용자 단말(100)이 기등록된 단말로 판단되면, 프로세서(220)는 인증 토큰을 생성하여 사용자 단말(100)로 전송할 수 있다.
프로세서(220)는 인증된 사용자 단말(100)로부터 외부 서버(400)에 대한 접근 요청을 수신하면, 적어도 하나의 중계 서버(300)를 식별할 수 있다. 예로, 프로세서(220)는 외부 서버(400)가 속한 네트워크망에 존재하는 복수의 중계 서버 중 외부 서버(400)와 가장 가까이 위치하는 중계 서버(300)를 식별할 수 있다. 또한, 프로세서(220)는 통신 부하 감소를 위해 복수의 중계 서버(300)를 식별할 수 있다.
그리고, 프로세서(220)는 인증된 사용자 단말(100)로부터 외부 서버(400)에 대한 접근 요청을 수신하면, 제1 OTP를 생성하여 인증된 사용자 단말 및 외부 서버(400)에 접속하기 위한 중계 서버(300)에 전송할 수 있다. 또한, 프로세서(220)는 제2 OTP를 생성하여 인증된 사용자 단말 및 외부 서버(400)에 전송할 수 있다. 이 때, 프로세서(220)는 제1 OTP 및 제2 OTP를 일방향 암호화함으로써 해시(hash) 상태로 중계 서버(300) 및 외부 서버(400)로 각각 전송할 수 있다. 중계 서버(300) 및 외부 서버(400)로 전송된 제1 OTP 및 제2 OTP는 각각 중계 서버(300) 및 외부 서버(400)에 저장될 수 있다.
한편, 프로세서(220)는 제1 OTP를 바탕으로 사용자 단말(100)과 중계 서버(300) 간의 제1 통신 채널이 생성되면, 제1 OTP와 상이한 제3 OTP를 생성하여 중계 서버(300)로 전송할 수 있다. 또는, 프로세서(220)는 제1 통신 채널이 생성된 때로부터 기설정된 시간 이상이 지나면, 제1 OTP와 상이한 제3 OTP를 생성하여 중계 서버(300)로 전송할 수 있다. 이 때, 중계 서버(300)는 제3 OTP를 저장하면서 기저장된 제1 OTP를 삭제할 수 있다.
또한, 프로세서(220)는 제2 OTP를 바탕으로 중계 서버(300)와 외부 서버(400) 간의 제2 통신 채널이 생성되면, 제2 OTP와 상이한 제4 OTP를 생성하여 외부 서버(400)로 전송할 수 있다. 또는, 프로세서(220)는 제2 통신 채널이 생성된 때로부터 기설정된 시간 이상이 지나면, 제2 OTP와 상이한 제4 OTP를 생성하여 외부 서버(400)로 전송할 수 있다. 이 때, 외부 서버(400)는 제4 OTP를 저장하면서 기저장된 제2 OTP를 삭제할 수 있다. 이에 따라, 기저장된 제1 OTP 및 제2 OTP가 외부에 노출되더라도 중계 서버(300) 및 외부 서버(400)는 외부로 노출되지 않을 수 있다.
이하에서는, 계정 관리 서버를 포함하는 다양한 실시 예에 따른 계정 관리 시스템의 동작에 대해 설명하도록 한다.
도 4는 본 개시의 일 실시 예에 따른 계정 관리 시스템의 동작을 설명하기 위한 시퀀스도이다.
사용자 단말(100)은 계정 관리 서버(200)와 사용자 인증을 수행할 수 있다(S410). 이 때, 사용자 단말(100)은 SSO 인증 방식을 통해 사용자 계정에 대한 인증을 수행할 수 있다. 또는, 계정 관리 서버(200)는 사용자 단말(100)이 기등록된 단말에 해당되는 지 판단할 수 있다. 사용자 단말(100)이 기등록된 단말에 해당되면, 계정 관리 서버(200)는 인증 토큰을 사용자 단말(100)로 전송할 수 있다.
사용자 단말(100)은 계정 관리 서버(200)에 대해 외부 서버(400)에 접속하기 위한 요청을 전송할 수 있다(S420). 이 때, 사용자 단말(100)은 계정 관리 서버(200)로부터 수신된 인증 토큰을 통해서 계정 관리 서버(200)로 외부 서버(400)에 접속하기 위한 요청을 전송할 수 있다.
사용자 요청이 수신되면, 계정 관리 서버(200)는 미리 설치된 적어도 하나의 중계 서버 중 외부 서버(400)와 가장 가까이 위치한 중계 서버(300)를 식별할 수 있다. 또한, 계정 관리 서버(200)는 제1 OTP 정보(또는 OTP)를 생성하여 중계 서버(300)로 전송할 수 있다(S431). 이 때, 제1 OTP 정보는 일방향 암호화된 상태로 중계 서버(300)에 저장될 수 있다. 그리고, 계정 관리 서버(200)는 제2 OTP 정보를 생성하여 외부 서버(400)로 전송할 수 있다(S432). 이 때, 제2 OTP 정보는 일방향 암호화된 상태로 외부 서버(400)에 저장될 수 있다. 또한, 계정 관리 서버(200)는 제1 OTP 정보 및 제2 OTP 정보를 사용자 단말(100)로 전송할 수 있다(S433).
사용자 단말(100)은 제1 OTP 정보를 이용하여 중계 서버(300)와 제1 통신 채널을 생성할 수 있다(S440). 제1 통신 채널이 생성되면, 중계 서버(300)는 제3 OTP 정보를 생성하여 일방향 암호화된 상태로 저장할 수 있다(S450). 또한, 사용자 단말(100)은 제2 OTP 정보를 이용하여 중계 서버(300)와 외부 서버(400) 간의 제2 통신 채널을 생성할 수 있다(S460). 제2 통신 채널이 생성되면, 계정 관리 서버(200)는 제4 OTP정보를 생성할 수 있다(S470). 또한 계정 관리 서버(200)는 생성된 제4 OTP 정보를 중계 서버(300)로 전송할 수 있다(S480). 전송된 제4 OTP 정보는 일방향 암호화된 상태로 중계 서버(300)에 저장될 수 있다.
도 5는 본 개시의 다른 일 실시 예에 따른 계정 관리 시스템의 동작을 설명하기 위한 시퀀스도이다.
한편, 단계 S510, S520, S531, S532, S533, S540, S570, S580, S 590은 도 4에서 전술한 계정 관리 시스템의 동작과 중복되는 바 그 상세한 설명은 생략하도록 한다.
사용자 단말(100)은 제1 OTP 정보를 이용하여 중계 서버(300)와 제1 통신 채널을 생성할 수 있다(S540). 이 때, 중계 서버(300)는 기저장된 제1 OTP 정보를 바탕으로 사용자 단말(100)에 대한 인증을 수행할 수 있다. 인증이 완료되어 제1 통신 채널이 생성되면, 계정 관리 서버(200)는 제1 OTP와 상이한 제3 OTP 정보를 생성(S550)하여, 중계 서버(300)로 전송할 수 있다(S560). 중계 서버(300)는 기 저장된 제1 OTP 정보를 제3 OTP 정보로 갱신할 수 있다.
한편, 도 4 및 도 5에서는 계정 관리 서버(200)가 제4 OTP 정보를 생성하여 외부 서버(400)로 전송하는 것으로 설명하였으나, 이는 일 실시 예에 불과하며, 계정 관리 서버(200)는 제2 통신 채널이 생성되더라도 제4 OTP 정보를 생성하지 않을 수 있다. 이처럼 외부 서버(400)에 저장된 OTP가 갱신되지 않더라도 외부 서버(400)의 안전성은 유지될 수 있다. 이는, 외부 서버(400)에 저장된 OTP 정보가 외부로 노출되더라도, 외부 서버(400)와의 통신은 제2 통신 채널을 통해서만 수행될 수 있기 때문이다.
이상에서는 계정 관리 시스템의 동작에 대하여 설명하였다.
이하에서는 사용자 단말 및 계정 관리 서버의 제어 방법에 대하여 설명하도록 한다.
도 6은 본 개시의 일 실시 예에 따른 사용자 단말의 제어 방법을 도시한 순서도이다.
도 6을 참조하면, 사용자 단말의 제어 방법은, 계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하는 단계(S610), 사용자 계정에 대한 인증이 수행된 후 외부 서버에 접속하기 위한 요청이 수신되면, 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하는 단계(S620), 계정 관리 서버로부터 제1 OTP 정보 및 제2 OTP 정보를 수신하면, 제1 TOP 정보를 이용하여 외부 서버에 접속하기 위한 중계 서버와의 제1 통신 채널을 생성하는 단계(S630), 제1 통신 채널을 통해 제2 OTP 정보를 이용하여 외부 서버와 인증을 수행하여 중계 서버와 외부 서버 간의 제2 통신 채널을 생성하는 단계(S640) 및 제1 통신 채널 및 제2 통신 채널을 통해 외부 서버와 통신을 수행하는 단계(S650)를 포함할 수 있다. 한편 본 실시 예에 따른 사용자 단말의 제어 방법의 각 단계는 도 4를 참조하여 명확히 이해될 수 있는 바 그 상세한 설명은 생략하도록 한다.
도 7은 본 개시의 일 실시 예에 따른 계정 관리 서버의 제어 방법을 도시한 순서도이다.
도 7을 참조하면, 계정 관리 서버의 제어 방법은, 사용자 단말로부터 사용자 인증이 수신되면 사용자 단말을 인증하는 단계(S710) 및 인증된 사용자 단말로부터 외부 서버에 대한 접근 요청을 수신하면, 제1 OTP 정보를 생성하여 인증된 사용자 단말 및 외부 서버에 접속하기 위한 중계 서버에 전송하고, 제2 OTP 정보를 생성하여 인증된 사용자 단말 및 외부 서버에 전송하는 단계(S720)를 포함할 수 있다. 한편 본 실시 예에 따른 계정 관리 서버의 제어 방법의 각 단계는 도 4를 참조하여 명확히 이해될 수 있는 바 그 상세한 설명은 생략하도록 한다.
한편, 이상에서 설명된 다양한 실시 예들은 소프트웨어(software), 하드웨어(hardware) 또는 이들의 조합을 이용하여 컴퓨터(computer) 또는 이와 유사한 장치로 읽을 수 있는 기록 매체 내에서 구현될 수 있다. 일부 경우에 있어 본 명세서에서 설명되는 실시 예들이 프로세서 자체로 구현될 수 있다. 소프트웨어적인 구현에 의하면, 본 명세서에서 설명되는 절차 및 기능과 같은 실시 예들은 별도의 소프트웨어 모듈들로 구현될 수 있다. 소프트웨어 모듈들 각각은 본 명세서에서 설명되는 하나 이상의 기능 및 작동을 수행할 수 있다.
한편, 상술한 본 개시의 다양한 실시 예들에 따른 처리 동작을 수행하기 위한 컴퓨터 명령어(computer instructions)는 비일시적 컴퓨터 판독 가능 매체(non-transitory computer-readable medium) 에 저장될 수 있다. 이러한 비일시적 컴퓨터 판독 가능 매체에 저장된 컴퓨터 명령어는 프로세서에 의해 실행되었을 때 상술한 다양한 실시 예에 따른 처리 동작을 특정 기기가 수행하도록 할 수 있다.
비일시적 컴퓨터 판독 가능 매체란 레지스터, 캐쉬, 메모리 등과 같이 짧은 순간 동안 데이터를 저장하는 매체가 아니라 반영구적으로 데이터를 저장하며, 기기에 의해 판독(reading)이 가능한 매체를 의미한다. 비일시적 컴퓨터 판독 가능 매체의 구체적인 예로는, CD, DVD, 하드 디스크, 블루레이 디스크, USB, 메모리카드, ROM 등이 있을 수 있다.
한편, 기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, ‘비일시적 저장매체'는 실재(tangible)하는 장치이고, 신호(signal)(예: 전자기파)를 포함하지 않는다는 것을 의미할 뿐이며, 이 용어는 데이터가 저장매체에 반영구적으로 저장되는 경우와 임시적으로 저장되는 경우를 구분하지 않는다. 예로, '비일시적 저장매체'는 데이터가 임시적으로 저장되는 버퍼를 포함할 수 있다.
일 실시예에 따르면, 본 문서에 개시된 다양한 실시예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로 배포되거나, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 또는 두개의 사용자 장치들(예: 스마트폰들) 간에 직접, 온라인으로 배포(예: 다운로드 또는 업로드)될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품(예: 다운로더블 앱(downloadable app))의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 기기로 읽을 수 있는 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
이상에서는 본 개시의 바람직한 실시 예에 대하여 도시하고 설명하였지만, 본 개시는 상술한 특정의 실시 예에 한정되지 아니하며, 청구범위에서 청구하는 본 개시의 요지를 벗어남이 없이 당해 개시에 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 개시의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
100: 사용자 단말 110: 입력부
120: 디스플레이 130: 메모리
140: 통신 인터페이스 150: 프로세서

Claims (14)

  1. 사용자 단말의 제어 방법에 있어서,
    계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하는 단계;
    상기 사용자 계정에 대한 인증이 수행된 후 외부 서버에 접속하기 위한 요청이 수신되면, 상기 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하는 단계;
    상기 요청에 응답하여 상기 계정 관리 서버로부터 제1 OTP(One Time Password) 정보 및 제2 OTP 정보를 수신되면, 상기 제1 OTP 정보를 이용하여 상기 외부 서버에 접속하기 위한 중계 서버와의 제1 통신 채널을 생성하는 단계;
    상기 제1 통신 채널을 통해 상기 제2 OTP 정보를 이용하여 상기 외부 서버와 인증을 수행하여 상기 중계 서버와 상기 외부 서버 간의 제2 통신 채널을 생성하는 단계; 및
    상기 제1 통신 채널 및 상기 제2 통신 채널을 통해 상기 외부 서버와 통신을 수행하는 단계;를 포함하는
    제어 방법.
  2. 제1 항에 있어서,
    상기 사용자 계정에 대한 인증을 수행하기 전 상기 계정 관리 서버와 연동된 인증 서버에 대해 인증을 수행하여 인증 토큰을 획득하는 단계;를 더 포함하고,
    상기 사용자 계정에 대한 인증을 수행하는 단계는, 상기 획득된 인증 토큰을 이용하여 사용자 계정에 대한 인증을 수행하는
    제어 방법.
  3. 제1 항에 있어서,
    상기 사용자 계정에 대한 인증을 수행하기 전 상기 계정 관리 서버와 연동된 인증 서버에 대해 사용자의 인증 정보를 바탕으로 인증을 수행하는 단계;를 더 포함하고,
    상기 사용자 계정에 대한 인증을 수행하는 단계는, 상기 인증 서버를 통해 상기 사용자 계정에 대한 인증을 수행하는
    제어 방법.
  4. 제1 항에 있어서,
    상기 제1 통신 채널은 보안 쉘(SSH) 터널링 프로토콜에 따라 생성되는
    제어 방법.
  5. 계정 관리 서버의 제어 방법에 있어서,
    사용자 단말로부터 사용자 인증 요청이 수신되면, 상기 사용자 단말을 인증하는 단계; 및
    상기 인증된 사용자 단말로부터 외부 서버에 대한 접근 요청을 수신하면, 제1 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 접속하기 위한 중계 서버에 전송하고, 제2 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 전송하는 단계; 를 포함하는
    제어 방법.
  6. 제5 항에 있어서,
    상기 제1 OTP를 바탕으로 상기 사용자 단말과 상기 외부 서버 간의 제1 통신 채널이 생성되면, 상기 제1 OTP와 다른 제3 OTP를 생성하여 상기 외부 서버로 전송하는 단계; 및
    상기 제2 OTP를 바탕으로 상기 사용자 단말과 상기 중계 서버 간의 제2 통신 채널이 생성되면, 상기 제2 OTP와 다른 제4 OTP를 생성하여 상기 중계 서버로 전송하는 단계;를 더 포함하는
    제어 방법.
  7. 제5 항에 있어서,
    상기 중계 서버는,
    상기 외부 서버에 접속하기 위해 마련된 적어도 하나의 중계 서버 중 상기 외부 서버와 가장 가까이 위치하는
    제어 방법.
  8. 제5 항에 있어서,
    상기 제1 OTP 정보 및 상기 제2 OTP 정보는 서로 상이하며, 일방향 암호화되어 각각 상기 중계 서버 및 상기 외부 서버에 저장되는
    제어 방법.
  9. 사용자 단말에 있어서,
    통신 인터페이스; 및
    프로세서;를 포함하고,
    상기 프로세서는,
    상기 통신 인터페이스를 통해 계정 관리 서버로 사용자 인증 요청을 전송하여 사용자 계정에 대한 인증을 수행하고,
    상기 사용자 계정에 대한 인증이 수행된 후 상기 통신 인터페이스를 통해 외부 서버에 접속하기 위한 요청이 수신되면, 상기 계정 관리 서버로 외부 서버에 접속하기 위한 요청을 전송하고,
    상기 요청에 응답하여 상기 계정 관리 서버로부터 제1 OTP(One Time Password) 정보 및 제2 OTP 정보를 수신되면, 상기 제1 OTP 정보를 이용하여 상기 외부 서버에 접속하기 위한 중계 서버와의 제1 통신 채널을 생성하고,
    상기 제1 통신 채널을 통해 상기 제2 OTP 정보를 이용하여 상기 외부 서버와 인증을 수행하여 상기 중계 서버와 상기 외부 서버 간의 제2 통신 채널을 생성하고,
    상기 제1 통신 채널 및 상기 제2 통신 채널을 통해 상기 외부 서버와 통신을 수행하는
    사용자 단말.
  10. 제9 항에 있어서,
    상기 프로세서는,
    상기 사용자 계정에 대한 인증을 수행하기 전 상기 계정 관리 서버와 연동된 인증 서버에 대해 인증을 수행하여 인증 토큰을 획득하고,
    상기 획득된 인증 토큰을 이용하여 사용자 계정에 대한 인증을 수행하는
    사용자 단말.
  11. 제9 항에 있어서,
    상기 프로세서는,
    상기 사용자 계정에 대한 인증을 수행하기 전 상기 계정 관리 서버와 연동된 인증 서버에 대해 사용자의 인증 정보를 바탕으로 인증을 수행하고,
    상기 인증 서버를 통해 상기 사용자 계정에 대한 인증을 수행하는
    사용자 단말.
  12. 계정 관리 서버에 있어서,
    통신 인터페이스; 및
    프로세서;를 포함하고,
    상기 프로세서는,
    사용자 단말로부터 사용자 인증 요청이 수신되면, 상기 사용자 단말을 인증하고,
    상기 인증된 사용자 단말로부터 외부 서버에 대한 접근 요청을 수신하면, 제1 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 접속하기 위한 중계 서버에 전송하고, 제2 OTP를 생성하여 상기 인증된 사용자 단말 및 상기 외부 서버에 전송하는
    계정 관리 서버.
  13. 제12 항에 있어서,
    상기 프로세서는,
    상기 제1 OTP를 바탕으로 상기 사용자 단말과 상기 외부 서버 간의 제1 통신 채널이 생성되면, 상기 제1 OTP와 다른 제3 OTP를 생성하여 상기 외부 서버로 전송하고,
    상기 제2 OTP를 바탕으로 상기 사용자 단말과 상기 중계 서버 간의 제2 통신 채널이 생성되면, 상기 제2 OTP와 다른 제4 OTP를 생성하여 상기 중계 서버로 전송하는
    계정 관리 서버.
  14. 제12 항에 있어서,
    상기 중계 서버는,
    상기 외부 서버에 접속하기 위해 마련된 적어도 하나의 중계 서버 중 상기 외부 서버와 가장 가까이 위치하는
    계정 관리 서버.
KR1020190163599A 2019-12-10 2019-12-10 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법 KR20210073112A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020190163599A KR20210073112A (ko) 2019-12-10 2019-12-10 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법
PCT/KR2020/010223 WO2021118005A1 (ko) 2019-12-10 2020-08-03 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법
US17/837,283 US20220311761A1 (en) 2019-12-10 2022-06-10 User terminal and control method of account management server for managing user account

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190163599A KR20210073112A (ko) 2019-12-10 2019-12-10 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법

Publications (1)

Publication Number Publication Date
KR20210073112A true KR20210073112A (ko) 2021-06-18

Family

ID=76330463

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190163599A KR20210073112A (ko) 2019-12-10 2019-12-10 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법

Country Status (3)

Country Link
US (1) US20220311761A1 (ko)
KR (1) KR20210073112A (ko)
WO (1) WO2021118005A1 (ko)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100800111B1 (ko) * 2006-05-11 2008-01-31 주식회사 케이에스넷 Otp 생성 기능을 구비한 리모컨을 포함하는 셋탑 박스및 이를 이용한 전자 상거래 시스템 및 방법
KR101418799B1 (ko) * 2013-11-14 2014-07-15 (주)세이퍼존 모바일용 오티피 서비스 제공 시스템
JP6184316B2 (ja) * 2013-12-24 2017-08-23 エンカレッジ・テクノロジ株式会社 ログイン中継サーバ装置、ログイン中継方法、及びプログラム
JP6686350B2 (ja) * 2015-09-30 2020-04-22 ブラザー工業株式会社 コンピュータプログラム、および、中継装置
KR102001516B1 (ko) * 2017-03-03 2019-07-18 주식회사 와임 분할 기능을 이용한 자동 인증 처리 방법 및 시스템

Also Published As

Publication number Publication date
US20220311761A1 (en) 2022-09-29
WO2021118005A1 (ko) 2021-06-17

Similar Documents

Publication Publication Date Title
US11956230B2 (en) First factor contactless card authentication system and method
US9979720B2 (en) Passwordless strong authentication using trusted devices
US10361857B2 (en) Electronic stamp system for security intensification, control method thereof, and non-transitory computer readable storage medium having computer program recorded thereon
US9723003B1 (en) Network beacon based credential store
CN102685202A (zh) 在操作系统和应用之间共享用户id
US10129299B1 (en) Network beacon management of security policies
US20140090041A1 (en) Method, apparatus and system for authenticating open identification based on trusted platform
US20210152359A1 (en) Authentication device based on biometric information, control server and application server, and operation method thereof
US20150264048A1 (en) Information processing apparatus, information processing method, and recording medium
US11328049B2 (en) Efficient and secure provisioning and updating of identity credentials
US11232220B2 (en) Encryption management for storage devices
US10063592B1 (en) Network authentication beacon
KR20210073112A (ko) 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법
KR20160012546A (ko) 이동단말기의 원격제어시스템
KR102671176B1 (ko) 제1 요인 비접촉식 카드 인증 시스템 및 방법
US11737155B2 (en) Communication with a data storage device using an emulated Wi-Fi captive portal
KR102380504B1 (ko) 북마클릿을 이용한 전자 지갑 서비스 시스템 및 방법
US10652241B1 (en) Dynamic and secure coupling between auxiliary devices and endpoint resources
JP2019003509A (ja) 情報処理装置及び情報処理プログラム
KR20190008713A (ko) 사용자 인증 서비스 제공 방법, 웹 서버 및 사용자 단말
KR102086082B1 (ko) 웨어러블 단말을 이용한 레거시 시스템의 자동 로그인 방법 및 시스템
KR102534032B1 (ko) 지문 인식을 이용한 보안 강화를 위한 전자 도장 시스템, 그의 제어 방법 및 컴퓨터 프로그램이 기록된 기록매체
Bucicoiu et al. Secure cloud video streaming using tokens
KR20130131724A (ko) Opmd 시스템에서의 배타적 인증을 위한 방법, 단말, 서버, 및 기록 매체
KR20160105958A (ko) Otp를 이용한 근거리 사용자 인식 방법

Legal Events

Date Code Title Description
A201 Request for examination