[go: up one dir, main page]

KR101824562B1 - Gateway and method for authentication - Google Patents

Gateway and method for authentication Download PDF

Info

Publication number
KR101824562B1
KR101824562B1 KR1020160018230A KR20160018230A KR101824562B1 KR 101824562 B1 KR101824562 B1 KR 101824562B1 KR 1020160018230 A KR1020160018230 A KR 1020160018230A KR 20160018230 A KR20160018230 A KR 20160018230A KR 101824562 B1 KR101824562 B1 KR 101824562B1
Authority
KR
South Korea
Prior art keywords
user
server
authentication
subscriber
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
KR1020160018230A
Other languages
Korean (ko)
Other versions
KR20170067120A (en
Inventor
정수환
박정수
김진욱
윤권진
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20170067120A publication Critical patent/KR20170067120A/en
Application granted granted Critical
Publication of KR101824562B1 publication Critical patent/KR101824562B1/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 통신 모듈, 사용자의 인증 및 접근을 관리하는 프로그램이 저장된 메모리 및 메모리에 저장된 프로그램을 실행하는 프로세서를 포함한다. 이때, 프로세서는 사용자가 비가입 기관 서버에 대한 접근을 요청하면, 사용자의 정보에 기초하여, 비가입 기관 서버에 대한 사용자의 인증을 수행하고, 인증을 수행한 비가입 기관 서버에 사용자의 접근을 허용한다. 그리고 사용자의 정보는 사용자의 가입 기관 서버의 인증 정보를 포함하고, 사용자의 가입 기관 서버는 사용자의 비가입 기관 서버와 상이하다.The present invention includes a communication module, a memory for storing a program for managing user authentication and access, and a processor for executing a program stored in the memory. At this time, when the user requests access to the non-subscriber company server, the processor performs authentication of the user with respect to the non-subscriber company server based on the information of the user and transmits the user's access to the non- Allow. The user information includes authentication information of the subscriber institution server of the user, and the subscriber server of the user is different from the non-subscriber server of the user.

Description

인증 게이트웨이 및 인증 게이트웨이의 인증 방법{GATEWAY AND METHOD FOR AUTHENTICATION}GATEWAY AND METHOD FOR AUTHENTICATION [0002]

본 발명은 인증 게이트웨이 및 인증 게이트웨이의 인증 방법에 관한 것이다.The present invention relates to an authentication method of an authentication gateway and an authentication gateway.

클라우드 서비스에서 계정 관리 솔루션은 통합 인증(signal sign-on; 이하, SSO), 통합 인증 관리(extranet access management; EAM) 및 통합 계정 관리(identity access management; IAM) 등이 있다. In cloud services, account management solutions include signal sign-on (SSO), extranet access management (EAM), and identity access management (IAM).

통합 인증은 한 번의 로그인으로 다양한 시스템 혹은 인터넷 서비스를 사용할 수 있게 하는 보안 솔루션이다. 통합 인증은 다수의 인증 절차를 거치지 않고도 하나의 계정만으로 다양한 시스템 및 서비스에 접속할 수 있다. 그러므로 통합 인증은 사용자의 편의성과 관리 비용을 절감할 수 있다는 장점이 있다.Integrated authentication is a security solution that enables you to use various systems or Internet services with one login. Integrated authentication can access various systems and services with only one account without having to go through multiple authentication procedures. Therefore, integrated authentication has the advantage of reducing user convenience and management cost.

통합 인증 관리는 가트너 그룹(Gartner group)에서 정의한 용어이다. 통합 인증 관리는 통합 인증과 사용자의 인증을 세분화하여 관리한다. 통합 인증 관리는 애플리케이션 및 데이터에 대한 사용자 접근을 관리하기 위하여, 보안 정책 기반의 단일 메커니즘을 이용한다.Integrated authentication management is defined by the Gartner group. Integrated authentication management manages the integrated authentication and user authentication. Integrated authentication management uses a single mechanism based on security policy to manage user access to applications and data.

이와 같이, 통합 인증 및 통합 인증 관리는 애플리케이션의 접근 권한 중심의 솔루션이다. 이에 비하여, 통합 계정 관리는 보다 포괄적으로 확장된 개념이다. 통합 계정 관리는 계정 관리 솔루션, 통합 계정 관리 및 통합 인증 관리 등의 여러 명칭으로 불리고 있다. 통합 계정 관리는 다양한 시스템에서의 식별자 및 권한 등을 통하여, 시스템 자원에 대한 사용자의 접근을 관리할 수 있다. As such, integrated authentication and integrated authentication management are applications' access-oriented solutions. In contrast, integrated account management is a more comprehensive concept. Integrated account management is often referred to as account management solutions, integrated account management, and integrated authentication management. Integrated account management can manage user access to system resources through identifiers and privileges in various systems.

이와 관련되어, 한국 공개특허공보 제10-2013-0046155호(발명의 명칭: "클라우드 컴퓨팅 서비스에서의 접근제어 시스템 ")는 퍼스널 클라우드 서비스 제공을 위한 접근 제어 및 권한 부여 정책을 개시하고 있다. 구체적으로 이 발명은 사용자 인증 서버, 복수의 클라우드 서비스 서버 및 협업 서비스 서버를 포함하고, 클라우드 서비스 서버를 통하여, 접근 토큰의 정보와 사용자 접근 제어 리스트를 비교하여 사용자의 서비스 접근을 승인한다.In this regard, Korean Patent Laid-Open Publication No. 10-2013-0046155 (entitled "Access Control System in Cloud Computing Service") discloses an access control and authorization policy for providing a personal cloud service. Specifically, the present invention includes a user authentication server, a plurality of cloud service servers, and a collaboration service server, and compares the access token information with the user access control list through the cloud service server to approve the service access of the user.

본 발명은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 인터-클라우드 환경에서 기가입된 서버를 통하여, 비가입 서버의 인증을 수행하는 인증 게이트웨이 및 인증 게이트웨이의 인증 방법을 제공한다.The present invention provides an authentication gateway and an authentication gateway authentication method for performing authentication of a non-subscription server through a base server in an inter-cloud environment.

다만, 본 실시예가 이루고자 하는 기술적 과제는 상기된 바와 같은 기술적 과제로 한정되지 않으며, 또 다른 기술적 과제들이 존재할 수 있다.It should be understood, however, that the technical scope of the present invention is not limited to the above-described technical problems, and other technical problems may exist.

상술한 기술적 과제를 달성하기 위한 기술적 수단으로서, 본 발명의 제 1 측면에 따른 인증 게이트웨이는 통신 모듈, 사용자의 인증 및 접근을 관리하는 프로그램이 저장된 메모리 및 메모리에 저장된 프로그램을 실행하는 프로세서를 포함한다. 이때, 프로세서는 사용자가 비가입 기관 서버에 대한 접근을 요청하면, 사용자의 정보에 기초하여, 비가입 기관 서버에 대한 사용자의 인증을 수행하고, 인증을 수행한 비가입 기관 서버에 사용자의 접근을 허용한다. 그리고 사용자의 정보는 사용자의 가입 기관 서버의 인증 정보를 포함하고, 사용자의 가입 기관 서버는 사용자의 비가입 기관 서버와 상이하다.As a technical means for achieving the above technical object, an authentication gateway according to the first aspect of the present invention includes a communication module, a memory for storing a program for managing authentication and access of a user, and a processor for executing a program stored in the memory . At this time, when the user requests access to the non-subscriber company server, the processor performs authentication of the user with respect to the non-subscriber company server based on the information of the user and transmits the user's access to the non- Allow. The user information includes authentication information of the subscriber institution server of the user, and the subscriber server of the user is different from the non-subscriber server of the user.

또한, 본 발명의 제 2 측면에 따른 인증 게이트웨이의 인증 방법은 사용자가 비가입 기관 서버에 대한 접근을 요청하면, 사용자의 정보에 기초하여, 비가입 기관 서버에 대한 사용자의 인증을 수행하는 단계; 및 인증을 수행한 비가입 기관 서버에 사용자의 접근을 허용하는 단계를 포함한다. 이때, 사용자의 정보는 사용자의 가입 기관 서버의 인증 정보를 포함하고, 사용자의 가입 기관 서버는 사용자의 비가입 기관 서버와 상이하다.According to a second aspect of the present invention, there is provided an authentication method of an authentication gateway, including: performing authentication of a user to a non-subscriber server based on information of a user when the user requests access to the non-subscriber server; And allowing the user to access the non-subscriber server performing the authentication. At this time, the information of the user includes the authentication information of the subscriber institution server of the user, and the subscriber server of the user is different from the non-subscriber server of the user.

본 발명은 인터-클라우드 환경에서 사용자가 기가입된 기관으로부터 수신한 최소한의 기가입된 기관의 정보 및 사용자의 정보에 기초하여, 비가입 기관의 정보에 접근할 수 있다. 그러므로 본 발명은 사용자에게 안전하고, 효율적으로 타 기관의 정보를 활용할 수 있도록 통합 계정 관리 서비스를 제공할 수 있다. 또한, 본 발명은 사용자에게 복수의 기관의 서비스를 끊김 없이 제공할 수 있다. The present invention can access the information of the non-subscriber based on the information of the minimum base institution and the information of the user received from the base institution in the inter-cloud environment. Therefore, the present invention can provide an integrated account management service so that the information of other organizations can be utilized safely and efficiently. In addition, the present invention can seamlessly provide a plurality of services to a user.

도 1 은 본 발명의 일 실시예에 따른 인증 시스템의 블록도이다.
도 2는 본 발명의 일 실시예에 따른 기본 인증 과정의 순서도이다.
도 3은 본 발명의 일 실시예에 따른 인증 서버의 인증 과정의 순서도이다.
도 4는 본 발명의 일 실시예에 따른 인증 게이트웨이의 블록도이다.
도 5는 본 발명의 일 실시예에 따른 인증 게이트웨이의 인증 방법의 순서도이다. 1 is a block diagram of an authentication system in accordance with an embodiment of the present invention.
2 is a flowchart of a basic authentication process according to an embodiment of the present invention.
3 is a flow chart of the authentication process of the authentication server according to the embodiment of the present invention.
4 is a block diagram of an authentication gateway according to an embodiment of the present invention.
5 is a flowchart of an authentication method of an authentication gateway according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings, which will be readily apparent to those skilled in the art. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when a part is referred to as being "connected" to another part, it includes not only "directly connected" but also "electrically connected" with another part in between . Also, when a part is referred to as "including " an element, it does not exclude other elements unless specifically stated otherwise.

다음은 도 1 내지 도 4를 참조하여 본 발명의 일 실시예에 따른 인증 시스템(100)을 설명한다. The authentication system 100 according to an embodiment of the present invention will now be described with reference to Figs.

도 1 은 본 발명의 일 실시예에 따른 인증 시스템(100)의 블록도이다. 1 is a block diagram of an authentication system 100 in accordance with an embodiment of the present invention.

인증 시스템(100)은 인증 서버(120)를 통해 사용자(110)의 요청에 따라, 제 1 기관 서버(150) 및 제 2 기관 서버(160)에 대한 사용자(110) 인증을 수행한다. 그리고 인증 시스템(100)은 사용자(110) 인증에 따라, 제 1 기관 서버(150) 및 제 2 기관 서버(160)에 대한 사용자(110)의 접근을 허용한다. The authentication system 100 performs authentication of the user 110 to the first institution server 150 and the second institution server 160 according to a request of the user 110 through the authentication server 120. [ The authentication system 100 then permits the user 110 to access the first institution server 150 and the second institution server 160 according to the user 110 authentication.

인증 서버(120)는 식별접근 관리(identity and access management) 서버일 수 있다. 또한, 인증 서버(120)는 계정 관리 솔루션 서버, 통합 계정 관리 서버 및 통합 인증 관리 서버일 수 있으나, 이에 한정된 것은 아니다. The authentication server 120 may be an identity and access management server. The authentication server 120 may be an account management solution server, an integrated account management server, and an integrated authentication management server, but is not limited thereto.

또한, 인증 서버(120)는 인증 게이트웨이(130) 및 정책 결정 서버(140)를 포함할 수 있다. In addition, the authentication server 120 may include an authentication gateway 130 and a policy decision server 140.

인증 게이트웨이(130)는 제 1 기관 서버(150) 및 제 2 기관 서버(160)의 요청에 따라, 사용자(110)에 대한 인증을 수행한다.The authentication gateway 130 performs authentication for the user 110 at the request of the first institution server 150 and the second institution server 160.

정책 결정 서버(140)는 사용자(110)의 인증 결과가 각각의 기관 서버에서 용이하게 사용될 수 있도록 미리 정해진 규칙에 따라, 사용자(110)의 인증 결과를 변환할 수 있다. The policy decision server 140 may convert the authentication result of the user 110 according to a predetermined rule so that the authentication result of the user 110 can be easily used at each institution server.

제 1 기관 서버(150) 및 제 2 기관 서버(160)는 인터-클라우드(inter-cloud) 환경에서 서로 상이한 클라우드 서비스를 제공하는 서버이다. 이때, 제 1 기관 서버(150) 및 제 2 기관 서버(160)는 공공 클라우드 서비스 서버 또는 민간 클라우드 서비스 서버일 수 있으나, 이에 한정된 것은 아니다.The first institution server 150 and the second institution server 160 are servers providing different cloud services in an inter-cloud environment. At this time, the first institution server 150 and the second institution server 160 may be public cloud service servers or private cloud service servers, but the present invention is not limited thereto.

제 1 기관 서버(150) 및 제 2 기관 서버(160)는 자체의 레거시 인증(lagacy authentication) 장치를 포함할 수 있다. 즉, 제 1 기관 서버(150) 및 제 2 기관 서버(160)는 자체의 레거시 인증 장치를 통하여, 사용자(110)의 인증을 수행할 수 있다. The first institution server 150 and the second institution server 160 may include their own lagacy authentication devices. That is, the first institution server 150 and the second institution server 160 can perform the authentication of the user 110 through the legacy authentication apparatus of its own.

또한, 제 1 기관 서버(150) 및 제 2 기관 서버(160)는 인증 서버(120) 및 사용자(110)와 접속을 위한 에이전트(agent)를 포함할 수 있다. 그러므로 사용자(110)는 제 1 기관 서버(150) 및 제 2 기관 서버(160) 에 포함된 에이전트를 통하여, 인증 서버(120)에 접속할 수 있다. The first institution server 150 and the second institution server 160 may also include an agent for connection with the authentication server 120 and the user 110. Therefore, the user 110 can access the authentication server 120 through the agent included in the first institution server 150 and the second institution server 160.

사용자(110)는 제 1 기관 서버(150) 및 제 2 기관 서버(160)를 사용하는 디바이스(device)일 수 있다. 예를 들어, 디바이스는 종류, 성능, 형태 등에 의해 특별히 제한되지 않고, 휴대용 단말기 또는 컴퓨터로 구현될 수 있다.The user 110 may be a device using the first institution server 150 and the second institution server 160. For example, the device is not particularly limited by type, performance, form, and the like, and may be implemented as a portable terminal or a computer.

인증 시스템(100)에서의 인증 과정은 도 2 및 도 3을 참조하여 설명한다.The authentication process in the authentication system 100 will be described with reference to FIGS. 2 and 3. FIG.

도 2는 본 발명의 일 실시예에 따른 기본 인증 과정의 순서도이다. 2 is a flowchart of a basic authentication process according to an embodiment of the present invention.

도 2의 (a)와 같이, 제 1 기관 서버(150)는 사용자(110)가 기 가입한 기관 서버일 수 있다. 사용자(110)는 기 가입 기관 서버인 제 1 기관 서버(150)의 인증 정보를 이용하여, 제 1 기관 서버(150)에 정보 접근 요청 메시지를 전송할 수 있다(S200). As shown in FIG. 2 (a), the first institution server 150 may be an institution server that the user 110 has already joined. The user 110 may send an information access request message to the first institution server 150 using the authentication information of the first institution server 150, which is a pre-established institution server (S200).

제 1 기관 서버(150)는 제 1 기관 서버(150)에 포함된 레거시 인증 장치를 통하여, 사용자(110)의 제 1 기관 서버(150)의 인증 정보에 대한 기본 인증을 수행할 수 있다. 그리고 제 1 기관 서버(150)는 수행된 기본 인증에 대응하는 사용자(110)의 접근 허가 메시지를 사용자(110)에게 전송할 수 있다(S210). The first institution server 150 may perform basic authentication on the authentication information of the first institution server 150 of the user 110 via the legacy authentication apparatus included in the first institution server 150. [ Then, the first institution server 150 may transmit the access permission message of the user 110 corresponding to the performed basic authentication to the user 110 (S210).

그리고 사용자(110)는 제 1 기관 서버(150)의 정보에 접근할 수 있다(S220).Then, the user 110 can access the information of the first institution server 150 (S220).

도 2의 (b)에서 제 2 기관 서버(160)는 사용자(110)가 가입하지 않은 기관의 서버일 수 있다. 이때, 사용자(110)는 비가입 기관 서버인 제 2 기관 서버(160)에 접근을 요청할 수 있다(S230).In FIG. 2B, the second institutional server 160 may be a server of an organization to which the user 110 does not subscribe. At this time, the user 110 may request access to the second institution server 160, which is a non-subscriber company server (S230).

제 2 기관 서버(160)는 제 2 기관 서버(160)에 포함된 레거시 인증 장치를 통하여, 사용자(110)의 기본 인증을 수행할 수 있다. 이때, 사용자(110)는 제 2 기관 서버(160)에 대한 인증 정보를 보유하지 않기 때문에, 제 2 기관 서버(160)는 사용자(110)의 접근 불가 메시지를 사용자(110)에게 전송할 수 있다(S240).The second institution server 160 can perform the basic authentication of the user 110 through the legacy authentication apparatus included in the second institution server 160. [ At this time, since the user 110 does not have the authentication information for the second institution server 160, the second institution server 160 can transmit the unaccessible message of the user 110 to the user 110 S240).

만약, 사용자(110)가 인증 서버(120)를 통하여, 비가입 서버에 대한 인증을 수행할 수 있도록 설정하였다면, 제 2 기관 서버(160)는 인증 서버(120)를 통하여, 사용자(110)의 접근을 허용할 수 있다.If the user 110 is set to perform authentication with respect to the non-subscription server 120 through the authentication server 120, the second institution server 160 transmits the authentication information to the user 110 via the authentication server 120 Access can be granted.

도 3은 본 발명의 일 실시예에 따른 인증 서버(120)의 인증 과정의 순서도이다. 3 is a flow chart of the authentication process of the authentication server 120 according to an embodiment of the present invention.

구체적으로 사용자(110)가 비가입 기관 서버인 제 2 기관 서버(160)에 접근을 요청하면(S300), 제 2 기관 서버(160)는 인증 서버(120)의 인증 게이트웨이(130)를 통하여, 사용자(110)에 대한 인증을 요청한다(S310).Specifically, when the user 110 requests access to the second institution server 160, which is a non-affiliated institution server, the second institution server 160 accesses the authentication server 120 through the authentication gateway 130 of the authentication server 120, And requests authentication of the user 110 (S310).

이때, 제 2 기관 서버(160)는 인증 게이트웨이(130)에 쿠키(cookie) 값 및 제 2 기관 서버(160)의 정보를 전달할 수 있다. 쿠키 값은 제 2 기관 서버(160)에 접근을 요청한 사용자(110)를 식별하기 위한 정보를 포함하도록 생성된 것이다. 또한, 제 2 기관 서버(160)의 정보는 사용자(110)에 대한 인증이 완료된 이후, 사용자(110) 다시 제 2 기관 서버(160)로 접근하기 위한 URL(uniform resource locator) 등의 정보를 포함할 수 있다. At this time, the second institution server 160 can transmit the cookie value and the information of the second institution server 160 to the authentication gateway 130. The cookie value is generated so as to include information for identifying the user 110 requesting access to the second institution server 160. The information of the second institution server 160 includes information such as a uniform resource locator (URL) for accessing the second institution server 160 again after the user 110 is authenticated can do.

인증 게이트웨이(130)는 제 2 기관 서버(160)의 접근 요청에 따라, 제 2 기관 서버(160)로부터 수신한 쿠키 값에 포함된 사용자(110)의 정보에 기초하여, 사용자(110) 인증을 수행한다.The authentication gateway 130 authenticates the user 110 based on the information of the user 110 included in the cookie value received from the second institution server 160 according to the access request of the second institution server 160 .

이때, 사용자(110)의 정보는 사용자(110)의 가입 기관 서버의 인증 정보를 포함한다. 즉, 인증 게이트웨이(130)는 사용자(110)의 정보에 포함된 사용자(110)의 가입 기관 서버 중 제 1 기관 서버(150)에 대한 인증 정보를 통하여, 인증을 수행할 수 있다.At this time, the information of the user 110 includes the authentication information of the subscriber institution server of the user 110. That is, the authentication gateway 130 can perform authentication through the authentication information of the first institution server 150 among the subscription institution servers of the user 110 included in the information of the user 110.

또한, 제 2 기관 서버(160)의 인증을 위하여 선택된, 제 1 기관 서버(150)는 사용자(110)가 인증 시스템(100)에 미리 설정한 것일 수 있다. 또한, 제 1 기관 서버(150)는 제 2 기관 서버(160)에 인증을 요청할 때, 사용자(110)가 선택한 가입 기관 서버일 수 있다. Also, the first institutional server 150 selected for authentication of the second institutional server 160 may be one that the user 110 preconfigured in the authentication system 100. The first institution server 150 may be a subscription institution server selected by the user 110 when requesting authentication to the second institution server 160.

구체적으로 인증 게이트웨이(130)는 사용자(110)의 제 1 기관 서버(150)에 대한 인증 정보를 제 1 기관 서버(150)에 전달할 수 있다. 그리고 인증 게이트웨이(130)는 제 1 기관 서버(150)에 사용자 인증을 요청할 수 있다(S320). 이때, 인증 게이트웨이(130)가 전달한 제 1 기관 서버(150)의 인증 정보는 사용자(110)의 식별자 및 제 2 기관 서버(160)의 정보를 포함할 수 있다. 예를 들어, 제 2 기관 서버(160)의 정보는 제 2 기관 서버(160)의 URL 정보가 될 수 있다. Specifically, the authentication gateway 130 may transmit the authentication information for the first institution server 150 of the user 110 to the first institution server 150. The authentication gateway 130 may request the first institution server 150 to perform user authentication (S320). The authentication information of the first institution server 150 transmitted by the authentication gateway 130 may include an identifier of the user 110 and information of the second institution server 160. For example, the information of the second institution server 160 may be the URL information of the second institution server 160.

사용자(110)의 제 1 기관 서버(150)에 대한 인증 정보를 수신한 제 1 기관 서버(150)는 사용자(110)의 인증 정보에 기초하여, 사용자(110)의 인증을 수행할 수 있다. 그리고 제 1 기관 서버(150)는 사용자(110)의 인증 결과 및 제 2 기관 서버(160)에서 사용자(110)의 인증을 위하여 필요한 최소한의 사용자(110)의 로그인 정보를 인증 서버(120)로 전송할 수 있다(S330).The first institution server 150 receiving the authentication information for the first institution server 150 of the user 110 can perform the authentication of the user 110 based on the authentication information of the user 110. [ The first institution server 150 sends the authentication result of the user 110 and the minimum login information of the user 110 required for the authentication of the user 110 to the second institution server 160 to the authentication server 120 (S330).

예를 들어, 제 1 기관 서버(150)는 사용자(110)의 식별자, 제 1 기관 서버(150)에서의 사용자(110)의 권한 레벨, 제 1 기관 서버(150) 에서의 사용자의 인증 시간, 제 1 기관 서버(150)에 대한 정보 및 제 2 기관 서버(160)의 URL으로 구성된 사용자(110)의 로그인 정보를 생성할 수 있다. 이때, 제 1 기관 서버(150)에서의 사용자(110)의 인증 시간은 제 2 기관 서버(160)에 대한 인증을 위하여 제 1 기관 서버(150)에 로그인 한 시간이 될 수 있다. For example, the first institutional server 150 may include an identifier of the user 110, an authority level of the user 110 in the first authority server 150, a user authentication time in the first authority server 150, The login information of the user 110 constituted by the information of the first institution server 150 and the URL of the second institution server 160 can be generated. At this time, the authentication time of the user 110 in the first institution server 150 may be the time when the first institution server 150 is logged in to authenticate the second institution server 160.

인증 게이트웨이(130)는 사용자(110)의 인증 결과 및 사용자(110)의 로그인 정보를 제 1 기관 서버(150)로부터 수신하여, 제 2 기관 서버(160)에 전송할 수 있다(S340).The authentication gateway 130 receives the authentication result of the user 110 and the login information of the user 110 from the first institution server 150 and transmits the authentication result to the second institution server 160 at step S340.

이때, 제 1 기관 서버(150)의 로그인 정보 및 제 2 기관 서버(160)의 로그인 정보의 형식은 서로 상이할 수 있다. 그러므로 인증 게이트웨이(130)는 인증 서버(120)에 포함된 정책 결정 서버(140)를 통하여 기관 서버 별로 정의된 접속 규약(access agreement)에 따라, 기관 서버에 대응되는 로그인 정보를 생성할 수 있다. 이때, 인증 게이트웨이(130)는 접속 규약에 포함된 미리 정해진 형식에 따라, XML(extensible markup language) 및 JSON(JavaScript object notation)를 이용하여 로그인 정보를 생성할 수 있으나, 이에 한정된 것은 아니다.At this time, the login information of the first institution server 150 and the login information of the second institution server 160 may be different from each other. Therefore, the authentication gateway 130 can generate login information corresponding to an institution server according to an access agreement defined for each institution server through the policy decision server 140 included in the authentication server 120. [ At this time, the authentication gateway 130 can generate login information using extensible markup language (XML) and JavaScript object notation (JSON) according to a predetermined format included in the connection protocol, but is not limited thereto.

예를 들어, 미리 정해진 형식이 JSON인 경우, 정책 결정 서버(140)는 사용자(110)의 로그인 정보를 JWT(JSON web token)로 생성할 수 있다. 그리고 정책 결정 서버(140)는 생성된 로그인 정보를 포함하는 JWT를 암호화하여, 인증 서버(120)의 인증 게이트웨이(130)로 전송할 수 있다.For example, if the predetermined format is JSON, the policy determination server 140 may generate the login information of the user 110 as a JSON web token. The policy decision server 140 may encrypt the JWT including the generated login information and transmit the encrypted JWT to the authentication gateway 130 of the authentication server 120.

인증 게이트웨이(130)는 암호화된 JWT를 사용자(110)의 로그인 정보로 제 2 기관 서버(160)에 전송할 수 있다.The authentication gateway 130 may transmit the encrypted JWT to the second institution server 160 as the login information of the user 110. [

제 2 기관 서버(160)는 인증 게이트웨이(130)로부터 수신한 사용자(110)의 JWT에 포함된 로그인 정보에 기초하여, 사용자(110)의 접근을 허가할 수 있다(S350).The second institution server 160 may grant the access of the user 110 based on the login information included in the JWT of the user 110 received from the authentication gateway 130 at step S350.

이때, 제 2 기관 서버(160)는 사용자(110)의 로그인 정보에 포함된 사용자(110)의 권한 레벨에 기초하여, 제 2 기관 서버(160)에 대한 접근 레벨을 설정할 수 있다. 그리고 제 2 기관 서버(160)는 사용자(110)에게 접근 허가 메시지를 전송할 수 있다.At this time, the second institution server 160 can set an access level to the second institution server 160 based on the authority level of the user 110 included in the login information of the user 110. [ And the second authority server 160 may send the access permission message to the user 110. [

그리고 사용자(110)는 제 2 기관 서버(160)의 접근 허가에 따라, 제 2 기관 서버(160)의 정보에 접근할 수 있다(S360). 사용자(110)가 제 2 기관 서버(160)에 접근을 시도하면, 제 2 기관 서버(160)는 인증 게이트웨이(130)로부터 수신한 암호화된 사용자(110)의 로그인 정보에 기초하여, 사용자(110)의 인증을 수행할 수 있다. 그리고 제 2 기관 서버(160)는 사용자(110)의 로그인 정보에 기초하여, 사용자(110)에게 제공하는 정보 및 정보에 대한 권한 레벨 등을 설정할 수 있다.The user 110 may access the information of the second institution server 160 according to the access permission of the second institution server 160 (S360). When the user 110 attempts to access the second institutional server 160, the second institutional server 160 accesses the user 110 110 based on the login information of the encrypted user 110 received from the authentication gateway 130 ). ≪ / RTI > The second institution server 160 can set the authority level and the like for the information and the information to be provided to the user 110 based on the login information of the user 110.

이와 같이, 사용자(110)는 인증 시스템(100)을 통하여, 기가입 기관 서버인 제 1 기관 서버(150)의 사용자 정보에 기초하여, 비가입 기관 서버인 제 2 기관 서버(160)에 접근할 수 있다.Thus, the user 110 accesses the second institution server 160, which is a non-subscription server, based on the user information of the first institution server 150, which is a pre-subscription institution server, through the authentication system 100 .

또한, 제 1 기관 서버(150)는 사용자(110)가 가입하지 않은 제 2 기관 서버(160)에 사용자(110)에 대한 최소한의 정보만을 제공할 수 있다. 그러므로 사용자(110)는 안전하고, 효율적으로 제 2 기관 서버(160)의 정보에 접근할 수 있다. 또한, 제 2 기관 서버(160)로 최소한의 정보만을 제공하므로, 제 2 기관 서버(160)가 사용자(110)의 정보를 악의적으로 사용하는 것을 미연에 방지할 수 있다.The first institutional server 150 may also provide only a minimum amount of information about the user 110 to the second institutional server 160 to which the user 110 is not subscribed. Therefore, the user 110 can access the information of the second institution server 160 securely and efficiently. In addition, since only the minimum information is provided to the second institution server 160, it is possible to prevent the second institution server 160 from maliciously using the information of the user 110. [

다음은 도 4를 참조하여, 본 발명의 일 실시예에 따른 인증 게이트웨이(130)를 설명한다.4, an authentication gateway 130 according to an embodiment of the present invention will be described.

도 4는 본 발명의 일 실시예에 따른 인증 게이트웨이(130)의 블록도이다.4 is a block diagram of an authentication gateway 130 in accordance with one embodiment of the present invention.

인증 게이트웨이(130)는 사용자(110)의 요청에 따라, 복수의 기관 서버에 대한 인증을 수행한다. 이때, 인증 게이트웨이(130)는 통신 모듈(400), 메모리(410) 및 프로세서(420)를 포함한다.The authentication gateway 130 performs authentication for a plurality of institution servers in response to a request from the user 110. [ At this time, the authentication gateway 130 includes a communication module 400, a memory 410, and a processor 420.

통신 모듈(400)은 복수의 기관 서버와 통신을 수행한다. 이때, 통신 모듈(400)은 복수의 기관 서버에 포함된 에이전트를 통하여, 사용자(110)와 통신을 수행할 수 있다.The communication module 400 performs communication with a plurality of institution servers. At this time, the communication module 400 can communicate with the user 110 through the agents included in the plurality of institution servers.

메모리(410)는 사용자(110)의 인증 및 접근을 관리하는 프로그램을 저장한다. 이때, 메모리(410)는 전원이 공급되지 않아도 저장된 정보를 계속 유지하는 비휘발성 저장장치 및 저장된 정보를 유지하기 위하여 전력이 필요한 휘발성 저장장치를 통칭하는 것이다.The memory 410 stores a program that manages the authentication and access of the user 110. At this time, the memory 410 collectively refers to a non-volatile storage device that keeps stored information even when power is not supplied, and a volatile storage device that requires power to maintain stored information.

프로세서(420)는 사용자(110)가 비가입 기관 서버에 대한 접근을 요청하면, 사용자 정보에 기초하여, 사용자(110) 인증을 수행한다. 이때, 사용자 정보는 사용자(110)가 가입 기관 서버의 인증 정보를 포함한다.The processor 420 performs the user 110 authentication based on the user information when the user 110 requests access to the non-subscriber server. At this time, the user information includes the authentication information of the subscriber institution server by the user 110.

이때, 본 발명의 일 실시예에 따른 비가입 기관 서버 및 가입 기관 서버는 클라우드 서비스 서버일 수 있다.At this time, the non-subscriber station server and the subscriber station server according to an embodiment of the present invention may be a cloud service server.

가입 기관 서버는 사용자(110)의 로그인 이력이 존재하거나, 사용자(110)가 가입한 기관 서버이다. The affiliate institution server is an institution server to which the user 110 is subscribed or to which the user 110 has a login history.

또한, 비가입 기관 서버는 사용자(110)의 사용자(110)의 정보 또는 사용자(110)의 로그인 정보를 보유하지 않은, 사용자(110)가 가입하지 않은 기관 서버이다. 이때, 비가입 기관 서버 및 가입 서버는 서로 상이할 수 있다.The non-subscriber server is also an agency server to which the user 110 does not subscribe, which does not have the information of the user 110 of the user 110 or the login information of the user 110. [ At this time, the non-subscriber server and the subscription server may be different from each other.

이때, 가입 기관 서버는 사용자(110)가 가입한 기관 서버 중 사용자(110)가 선택한 기관 서버일 수 있다. 즉, 프로세서(420)는 사용자(110)의 비가입 기관 서버에 대한 접근 요청과 함께, 사용자(110)가 선택한 가입 기관 서버의 정보를 수신할 수 있다.At this time, the affiliate server may be an agency server selected by the user 110 among the agency servers to which the user 110 subscribes. That is, the processor 420 may receive the information of the subscriber company server selected by the user 110 together with the access request of the user 110 to the non-subscriber server.

프로세서(420)는 통신 모듈(400)을 통하여, 사용자(110)가 선택한 가입 기관 서버로 사용자 정보를 전달할 수 있다. 즉, 프로세서(420)는 사용자(110)가 선택한 가입 기관 서버를 통하여, 사용자(110)의 인증을 수행할 수 있다.The processor 420 may communicate the user information to the subscription authority server selected by the user 110 via the communication module 400. That is, the processor 420 can perform authentication of the user 110 through the subscriber server selected by the user 110.

가입 기관 서버가 사용자 정보를 인증하고, 인증에 대응하는 사용자(110)의 로그인 정보를 전송하면, 프로세서(420)는 통신 모듈(400)을 통해, 사용자(110)의 로그인 정보를 수신할 수 있다. When the subscription authority server authenticates the user information and transmits the login information of the user 110 corresponding to the authentication, the processor 420 can receive the login information of the user 110 via the communication module 400 .

이때, 로그인 정보는 사용자(110)의 식별자, 가입 기관 서버에서의 사용자(110)의 권한 레벨, 가입 기관 서버에서의 사용자(110)의 인증 시간, 가입 기관의 정보 및 비가입 기관 서버의 URL으로 구성된 것일 수 있다.At this time, the login information includes an identifier of the user 110, a permission level of the user 110 at the subscriber's server, an authentication time of the user 110 at the subscriber's server, information of the subscriber, .

프로세서(420)는 정책 결정 서버(140)를 통하여, 가입 기관 서버로부터 수신한 로그인 정보에 기초하여, 암호화된 토큰을 생성할 수 있다. 그리고 프로세서(420)는 생성된 암호화된 토큰을 비가입 기관 서버로 전송할 수 있다.The processor 420 may generate an encrypted token based on the login information received from the subscription authority server through the policy determination server 140. [ The processor 420 may then send the generated encrypted token to the non-subscription server.

암호화된 토큰을 수신한 비가입 기관 서버는 암호화된 토큰을 이용하여, 사용자(110)의 인증을 수행할 수 있다. 이때, 비가입 기관 서버는 암호화된 토큰에 포함된 사용자(110)의 레벨에 기초하여, 비가입 기관 서버 상에서의 사용자(110) 권한 레벨을 설정할 수 있다.The non-subscriber company server receiving the encrypted token may perform authentication of the user 110 using the encrypted token. At this time, the non-subscriber station server can set the user 110 permission level on the non-subscriber server based on the level of the user 110 included in the encrypted token.

그리고 프로세서(420)는 인증을 수행한 비가입 기관 서버에 대한 사용자(110)의 접근을 허용한다.The processor 420 then allows the user 110 access to the non-subscription server that performed the authentication.

사용자(110)는 접근이 허용된 비가입 기관 서버에 접속하여, 사용자(110)의 권한에 따라, 정보를 열람할 수 있다.The user 110 can access the non-subscriber server permitted to access and browse the information according to the authority of the user 110.

다음은 도 5를 참조하여, 본 발명의 일 실시예에 따른 인증 게이트웨이(130)의 인증 방법을 설명한다.Next, an authentication method of the authentication gateway 130 according to an embodiment of the present invention will be described with reference to FIG.

도 5는 본 발명의 일 실시예에 따른 인증 게이트웨이(130)의 인증 방법의 순서도이다.5 is a flowchart of an authentication method of an authentication gateway 130 according to an embodiment of the present invention.

사용자(110)가 비가입 기관 서버에 대한 접근을 요청하면(S500), 인증 게이트웨이(130)는 사용자(110)의 정보에 기초하여, 비가입 기관 서버에 대한 사용자(110)의 인증을 수행한다. 이때, 사용자 정보는 사용자(110)의 가입 기관 서버의 인증 정보를 포함한다. 그리고 사용자(110)의 가입 기관 서버는 사용자(110)의 비가입 기관 서버와 상이하다.When the user 110 requests access to the non-affiliated institution server (S500), the authentication gateway 130 performs authentication of the user 110 with respect to the non-affiliated institution server based on the information of the user 110 . At this time, the user information includes authentication information of the subscriber institution server of the user 110. And the subscriber's server of user 110 is different from the non-subscriber's server of user 110. [

구체적으로 인증 게이트웨이(130)는 사용자(110)가 이미 가입한 가입 기관 서버로 사용자(110)의 정보를 전달할 수 있다(S510).Specifically, the authentication gateway 130 may forward the information of the user 110 to the subscription authority server to which the user 110 has subscribed (S510).

인증 게이트웨이(130)는 사용자(110)의 가입 기관 서버를 통하여, 비가입 기관 서버에 대한 사용자(110)의 인증을 수행할 수 있다(S520).The authentication gateway 130 may perform authentication of the user 110 with respect to the non-subscription server through the subscription authority server of the user 110 (S520).

이때, 인증 게이트웨이(130)는 비가입 기관 서버에 대한 사용자(110)의 인증을 수행하기 위하여, 가입 기관 서버로부터 사용자 인증에 대응하는 로그인 정보를 수신할 수 있다. 사용자(110)의 로그인 정보는 사용자(110)의 식별자, 가입 기관 서버에서의 사용자(110)의 권한 레벨, 가입 기관 서버에서의 사용자(110)의 인증 시간, 가입 기관의 정보 및 비가입 기관 서버의 URL으로 구성된 것일 수 있다.At this time, the authentication gateway 130 may receive the login information corresponding to the user authentication from the subscriber's server in order to perform the authentication of the user 110 with respect to the non-subscriber server. The login information of the user 110 includes an identifier of the user 110, an authority level of the user 110 at the subscriber's server, authentication time of the user 110 at the subscriber's server, information of the subscriber, Of the URL.

그리고 인증 게이트웨이(130)는 가입 기관 서버로부터 수신한 사용자(110)의 로그인 정보에 기초하여, 비가입 기관 서버에 대한 사용자(110)의 인증을 수행할 수 있다.The authentication gateway 130 can authenticate the user 110 to the non-subscriber server based on the login information of the user 110 received from the subscriber company server.

사용자(110)의 인증에 성공하면, 인증 게이트웨이(130)는 인증을 수행한 비가입 기관 서버에 사용자(110)의 접근을 허용한다(S530).If authentication of the user 110 is successful, the authentication gateway 130 permits the user 110 to access the non-subscriber server that has performed the authentication (S530).

본 발명의 일 실시예에 따른 인증 게이트웨이(130) 및 인증 게이트웨이(130)의 인증 방법은 인터 클라우드 환경에서 사용자(110)가 최소한의 기가입된 기관의 정보 및 사용자(110)의 정보에 기초하여, 비가입 기관의 정보에 접근할 수 있다.The authentication method of the authentication gateway 130 and the authentication gateway 130 according to the embodiment of the present invention is based on the fact that in the intercloud environment the user 110 is able to authenticate the user 110 based on the information of the minimum authorized institution and the information of the user 110 , And access to information of non-affiliated organizations.

그러므로 인증 게이트웨이(130) 및 인증 게이트웨이(130)의 인증 방법은 사용자(110)에게 안전하고, 효율적으로 타 기관의 정보를 활용할 수 있도록 통합 계정 관리 서비스를 제공할 수 있다. 인증 게이트웨이(130) 및 인증 게이트웨이(130)의 인증 방법은 사용자에게 복수의 기관의 서비스를 끊김 없이 제공할 수 있다.Therefore, the authentication method of the authentication gateway 130 and the authentication gateway 130 can provide an integrated account management service to the user 110 so that information of other organizations can be used safely and efficiently. The authentication method of the authentication gateway 130 and the authentication gateway 130 can provide a service of a plurality of institutions to the user seamlessly.

본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. One embodiment of the present invention may also be embodied in the form of a recording medium including instructions executable by a computer, such as program modules, being executed by a computer. Computer readable media can be any available media that can be accessed by a computer and includes both volatile and nonvolatile media, removable and non-removable media. The computer-readable medium may also include computer storage media. Computer storage media includes both volatile and nonvolatile, removable and non-removable media implemented in any method or technology for storage of information such as computer readable instructions, data structures, program modules or other data.

본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.While the methods and systems of the present invention have been described in connection with specific embodiments, some or all of those elements or operations may be implemented using a computer system having a general purpose hardware architecture.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.It will be understood by those skilled in the art that the foregoing description of the present invention is for illustrative purposes only and that those of ordinary skill in the art can readily understand that various changes and modifications may be made without departing from the spirit or essential characteristics of the present invention. will be. It is therefore to be understood that the above-described embodiments are illustrative in all aspects and not restrictive. For example, each component described as a single entity may be distributed and implemented, and components described as being distributed may also be implemented in a combined form.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.The scope of the present invention is defined by the appended claims rather than the detailed description and all changes or modifications derived from the meaning and scope of the claims and their equivalents are to be construed as being included within the scope of the present invention do.

100: 인증 시스템
110: 사용자
120: 인증 서버
130: 인증 게이트웨이
140: 정책 결정 서버
150: 제 1 기관 서버
160: 제 2 기관 서버100: Authentication system
110: User
120: Authentication server
130: Authentication gateway
140: Policy decision server
150: First institution server
160: Second institution server

Claims (11)

인증 게이트웨이에 있어서,
통신 모듈,
사용자의 인증 및 접근을 관리하는 프로그램이 저장된 메모리, 및
상기 메모리에 저장된 프로그램을 실행하는 프로세서를 포함하되,
상기 프로세서는 상기 사용자의 비가입 기관 서버로부터 상기 사용자의 비가입 기관 서버에 대한 인증 요청을 수신하면, 상기 인증 요청에 포함된 상기 사용자의 가입 기관 서버에 대한 식별 정보를 상기 가입 기관 서버로 전달하여 상기 가입 기관 서버가 상기 식별 정보에 기초하여 상기 사용자에 대한 인증을 처리하도록 하고, 상기 가입 기관 서버로부터 상기 사용자에 대한 인증 처리에 대응하는 로그인 정보를 수신하고, 상기 수신된 로그인 정보를 상기 비가입 기관 서버로 전달하여 상기 비가입 기관 서버가 상기 로그인 정보에 기초하여 상기 사용자의 인증을 수행하도록 하되,
상기 사용자의 가입 기관 서버는 상기 사용자의 비가입 기관 서버와 상이한 것인, 인증 게이트웨이.In the authentication gateway,
Communication module,
A memory for storing a program for managing user authentication and access, and
And a processor for executing a program stored in the memory,
Upon receipt of an authentication request from the non-subscriber company server of the user for the non-subscriber company server, the processor forwards the identification information of the subscriber company server included in the authentication request to the subscriber company server The subscriber's server processing the authentication for the user based on the identification information, receiving login information corresponding to an authentication process for the user from the subscriber's server, and transmitting the received login information to the non- To the institution server so that the non-subscribed institution server performs authentication of the user based on the login information,
Wherein the user's subscription authority server is different from the user's non-subscription authority server. 삭제delete 제 1 항에 있어서,
상기 로그인 정보는 상기 사용자의 식별자, 상기 가입 기관 서버에서의 상기 사용자의 권한 레벨, 상기 가입 기관 서버에서의 상기 사용자의 인증 시간, 상기 가입 기관의 정보 및 상기 비가입 기관 서버의 URL으로 구성된 것인, 인증 게이트웨이.The method according to claim 1,
Wherein the login information is composed of an identifier of the user, an authority level of the user at the subscription authority server, an authentication time of the user at the subscription authority server, information of the subscription authority, and a URL of the non- , Authentication gateway. 제 1 항에 있어서,
상기 프로세서는 정책 결정 서버를 통하여, 상기 가입 기관 서버로부터 수신한 로그인 정보에 기초하여, 암호화된 토큰을 생성하고,
상기 생성된 암호화된 토큰을 상기 비가입 기관 서버로 전송하는, 인증 게이트웨이.The method according to claim 1,
Wherein the processor generates an encrypted token based on the login information received from the subscriber's server through the policy determination server,
And transmits the generated encrypted token to the non-subscriber server. 제 3 항에 있어서,
상기 비가입 기관 서버는 상기 로그인 정보에 포함된 상기 사용자의 권한 레벨에 기초하여, 상기 사용자의 접근 요청에 대응하는 상기 사용자의 권한 레벨을 설정하는 것인, 인증 게이트웨이.The method of claim 3,
And the non-subscriber station server sets the authority level of the user corresponding to the access request of the user based on the authority level of the user included in the login information. 제 1 항에 있어서,
상기 프로세서는,
상기 사용자의 비가입 기관 서버로부터의 접근 요청에 따라 상기 비가입 기관 서버로부터 수신된 쿠키 값에 포함된 사용자 정보를 획득하고,
상기 사용자 정보에 포함된 상기 사용자의 가입 기관 서버 중 상기 사용자가 선택한 가입 기관 서버에 포함된 인증 정보에 기초하여, 상기 비가입 기관 서버에 대한 상기 사용자의 인증을 수행하는, 인증 게이트웨이.The method according to claim 1,
The processor comprising:
Acquires user information included in a cookie value received from the non-subscriber server according to an access request from the non-subscriber company server of the user,
And performs authentication of the user with respect to the non-subscriber-station server based on authentication information included in the subscriber-server selected by the user among subscriber-server servers of the user included in the user information. 제 1 항에 있어서,
상기 비가입 기관 서버 및 상기가입 기관 서버는 클라우드 서비스 서버인, 인증 게이트웨이.The method according to claim 1,
Wherein the non-subscriber company server and the subscription authority server are cloud service servers. 인증 게이트웨이의 인증 방법에 있어서,
사용자의 비가입 기관 서버에 대한 접근 요청에 따라, 상기 사용자의 비가입 기관 서버로부터 상기 사용자에 대한 인증 요청을 수신하는 단계;
상기 비가입 기관 서버의 인증 요청에 포함된 상기 사용자의 가입 기관 서버에 대한 식별 정보를 상기 가입 기관 서버로 전달하여 상기 가입 기관 서버가 상기 식별 정보에 기초하여 상기 사용자에 대한 인증을 처리하도록 하는 단계;
상기 가입 기관 서버로부터 상기 사용자에 대한 인증 처리에 대응하는 로그인 정보를 수신하는 단계; 및
상기 수신된 로그인 정보를 상기 비가입 기관 서버로 전달하여 상기 비가입 기관 서버가 상기 로그인 정보에 기초하여 상기 사용자의 인증을 수행하도록 하는 단계를 포함하며,
상기 사용자의 가입 기관 서버는 상기 사용자의 비가입 기관 서버와 상이한 것인, 인증 게이트웨이의 인증 방법.In an authentication method of an authentication gateway,
Receiving an authentication request for the user from a non-subscriber company server of the user according to a user access request to the non-subscriber company server;
And transmitting identification information of the subscriber's server included in the authentication request of the non-subscriber's server to the subscriber's server, so that the subscriber's server processes authentication for the user based on the identification information ;
Receiving login information corresponding to an authentication process for the user from the subscription authority server; And
And transmitting the received login information to the non-subscribed institution server so that the non-subscribed institution server performs authentication of the user based on the login information,
Wherein the user's subscription authority server is different from the user's non-subscription authority server. 삭제delete 제 8 항에 있어서,
상기 로그인 정보는 상기 사용자의 식별자, 상기 가입 기관 서버에서의 상기 사용자의 권한 레벨, 상기 가입 기관 서버에서의 상기 사용자의 인증 시간, 상기 가입 기관의 정보 및 상기 비가입 기관 서버의 URL으로 구성된 것인, 인증 게이트웨이의 인증 방법.9. The method of claim 8,
Wherein the login information is composed of an identifier of the user, an authority level of the user at the subscription authority server, an authentication time of the user at the subscription authority server, information of the subscription authority, and a URL of the non- , Authentication method of the authentication gateway. 제 8 항 및 제 10 항 중 어느 한 항에 기재된 방법을 컴퓨터 상에서 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.A computer-readable recording medium recording a program for performing the method according to any one of claims 8 to 10 on a computer.
KR1020160018230A 2015-12-07 2016-02-17 Gateway and method for authentication Expired - Fee Related KR101824562B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020150173095 2015-12-07
KR20150173095 2015-12-07

Publications (2)

Publication Number Publication Date
KR20170067120A KR20170067120A (en) 2017-06-15
KR101824562B1 true KR101824562B1 (en) 2018-02-01

Family

ID=59217739

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160018230A Expired - Fee Related KR101824562B1 (en) 2015-12-07 2016-02-17 Gateway and method for authentication

Country Status (1)

Country Link
KR (1) KR101824562B1 (en)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102502167B1 (en) * 2018-05-25 2023-02-20 삼성에스디에스 주식회사 Service providing method based on cloud platform and system thereof
KR102004821B1 (en) * 2018-07-06 2019-07-29 황치범 Apparatus and method for providing mediation service supporting integrated processing of private authentication
KR102565994B1 (en) * 2019-05-17 2023-08-11 주식회사 모티링크 Method for authorizing virtual space user and system for providing virtual space
KR102822046B1 (en) * 2019-11-20 2025-06-18 주식회사 모티링크 Virtual space management system, virtual space registration method and virtual space purchasing tethod
CN114070585B (en) * 2021-10-18 2024-08-30 北京天融信网络安全技术有限公司 SSL VPN authentication method, device and gateway
KR102670856B1 (en) * 2023-12-04 2024-05-30 주식회사 범익 Apparatus for relaying customer verification authentication and method therefo

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003058503A (en) * 2001-08-09 2003-02-28 Yafoo Japan Corp User authentication method and user authentication system

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003058503A (en) * 2001-08-09 2003-02-28 Yafoo Japan Corp User authentication method and user authentication system

Also Published As

Publication number Publication date
KR20170067120A (en) 2017-06-15

Similar Documents

Publication Publication Date Title
US10116663B2 (en) Identity proxy to provide access control and single sign on
US10581827B2 (en) Using application level authentication for network login
US10104084B2 (en) Token scope reduction
US10057251B2 (en) Provisioning account credentials via a trusted channel
US9621355B1 (en) Securely authorizing client applications on devices to hosted services
US10136315B2 (en) Password-less authentication system, method and device
KR101824562B1 (en) Gateway and method for authentication
US10003587B2 (en) Authority transfer system, method, and authentication server system by determining whether endpoints are in same or in different web domain
US9584615B2 (en) Redirecting access requests to an authorized server system for a cloud service
CN105991614B (en) It is a kind of it is open authorization, resource access method and device, server
US10278069B2 (en) Device identification in service authorization
US9787678B2 (en) Multifactor authentication for mail server access
US9590972B2 (en) Application authentication using network authentication information
WO2016095540A1 (en) Authorization processing method, device and system
KR102058283B1 (en) Secure Interoperability Framework between diverse IoT Service Platforms and Apparatus
US9338153B2 (en) Secure distribution of non-privileged authentication credentials
JP2018037025A (en) Program, authentication system and authentication linkage system
KR20190019317A (en) Server and method for authentication in on-demand SaaS aggregation service platform
KR101837108B1 (en) Server and method for oauth risk management of resource
US20250088853A1 (en) Resource server and service providing system
KR20230075297A (en) Service providing method based on user network profile

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

PN2301 Change of applicant

St.27 status event code: A-3-3-R10-R13-asn-PN2301

St.27 status event code: A-3-3-R10-R11-asn-PN2301

D13-X000 Search requested

St.27 status event code: A-1-2-D10-D13-srh-X000

D14-X000 Search report completed

St.27 status event code: A-1-2-D10-D14-srh-X000

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

T11-X000 Administrative time limit extension requested

St.27 status event code: U-3-3-T10-T11-oth-X000

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E90F Notification of reason for final refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

PN2301 Change of applicant

St.27 status event code: A-5-5-R10-R13-asn-PN2301

St.27 status event code: A-5-5-R10-R11-asn-PN2301

P22-X000 Classification modified

St.27 status event code: A-4-4-P10-P22-nap-X000

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 5

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 6

PC1903 Unpaid annual fee

St.27 status event code: A-4-4-U10-U13-oth-PC1903

Not in force date: 20240127

Payment event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

PC1903 Unpaid annual fee

St.27 status event code: N-4-6-H10-H13-oth-PC1903

Ip right cessation event data comment text: Termination Category : DEFAULT_OF_REGISTRATION_FEE

Not in force date: 20240127