KR101107056B1 - Method for protecting important information of virtual machine in cloud computing environment - Google Patents

Method for protecting important information of virtual machine in cloud computing environment Download PDF

Info

Publication number
KR101107056B1
KR101107056B1 KR1020110067122A KR20110067122A KR101107056B1 KR 101107056 B1 KR101107056 B1 KR 101107056B1 KR 1020110067122 A KR1020110067122 A KR 1020110067122A KR 20110067122 A KR20110067122 A KR 20110067122A KR 101107056 B1 KR101107056 B1 KR 101107056B1
Authority
KR
South Korea
Prior art keywords
security
information file
cloud computing
client
virtual machine
Prior art date
Application number
KR1020110067122A
Other languages
Korean (ko)
Inventor
김선종
Original Assignee
이니텍(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 이니텍(주) filed Critical 이니텍(주)
Priority to KR1020110067122A priority Critical patent/KR101107056B1/en
Application granted granted Critical
Publication of KR101107056B1 publication Critical patent/KR101107056B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

PURPOSE: A VM security information processing method in a cloud computing environment is provided to safely protect important information without the leakage of an important information file even though a VM image which a user uses is leaked to the third person. CONSTITUTION: A security client records an encoded information file in a storing unit. The encoded information file includes information which is not leaked to an operator of a cloud computing system. A VM(Virtual Machine) generates a RAM disk from a part of RAM(110). The security client loads the encoded information file(130). If the security client is authenticated by the security server, the security client transmits the encrypted information file and key ID information to the security server(150). The security server encodes the encoded information file to the loaded key based on key ID information(170).

Description

클라우드 컴퓨팅 환경에서 가상 머신의 보안 정보 처리 방법{Method for Protecting Important Information of Virtual Machine In Cloud Computing Environment}How to process security information for a virtual machine in a cloud computing environment {Method for Protecting Important Information of Virtual Machine In Cloud Computing Environment}

본 발명은 클라우드 컴퓨팅 환경에서 가상 머신의 중요 정보의 보호 방법에 관한 것으로서, 특히 가상 머신에 파일 형태로 존재하는 중요 정보가 클라우드 컴퓨팅 서비스 제공자에게 유출되지 않도록 하는 방법에 관한 것이다.
The present invention relates to a method of protecting sensitive information of a virtual machine in a cloud computing environment, and more particularly, to a method of preventing sensitive information existing in a file form in a virtual machine from being leaked to a cloud computing service provider.

IT 자원의 효율적 분배 및 데이터의 안전한 저장을 위해 최근에 클라우드 컴퓨팅 환경이 널리 이용되고 있다. 클라우드 컴퓨팅의 개념은 이미 1960년대에 미국의 컴퓨터 학자인 존 매카시가 그 개념을 주창한 바 있는데, 최근에 통신 인프라가 급속하게 좋아지고 있고 컴퓨팅 환경의 자원을 효율적으로 분배하고자 하는 요구가 증대함에 따라서 발전 및 개발 속도가 증가하고 있다.Recently, cloud computing environments have been widely used for efficient distribution of IT resources and secure storage of data. The concept of cloud computing was advocated by American computer scientist John McCarthy in the 1960s. Recently, as the communications infrastructure is rapidly improving and the demand for efficient allocation of resources in the computing environment is increasing. The speed of development and development is increasing.

클라우드 컴퓨팅 환경에서는, 물리적인 서버를 병렬로 연결하여 특별한 운영체제를 구성하고 논리적으로 하나의 서버로 인식하게 한 후 내부에 가상 머신(Virtual Machine; VM)으로 불리는 여러 대의 논리적 컴퓨터를 생성해서 사용자에게 논리적 컴퓨팅 환경을 제공하게 된다. 이러한 기술에 의해, 예를 들어 기존에는 10대의 서버에 10개의 운영체제를 설치해 운영할 수 있었지만, 가상 머신의 형태로 수십 개의 운영체제를 설치해서 동시에 운영하는 것도 가능해진다.In a cloud computing environment, physical servers are connected in parallel to configure a special operating system and logically perceived as one server, then create multiple logical computers, called virtual machines (VMs), to provide users with logical To provide a computing environment. With this technology, for example, in the past, ten operating systems could be installed and operated on ten servers, but it is also possible to install and operate dozens of operating systems simultaneously in the form of virtual machines.

클라우드 컴퓨팅 환경에서 사용자는 고사양의 단말기가 필요하지 않아서 클라이언트 레벨에서의 IT 장비 투자 비용이 절감되며, 사용환경에 따른 IT 자원의 효율적인 분배가 가능한 장점이 있다. 그러나 클라우드 컴퓨팅에서의 서버가 해킹당하면 데이터 유출의 우려가 있고, 클라우드 컴퓨팅 서비스를 제공하는 서비스 제공자쪽의 악의에 의해서 사용자의 중요 데이터가 유출될 가능성이 높다는 보안상의 문제점이 있다.In the cloud computing environment, the user does not need a high-end terminal, thereby reducing the IT equipment investment cost at the client level, and has the advantage of enabling efficient distribution of IT resources according to the usage environment. However, if a server in the cloud computing is hacked, there is a risk of data leakage, and there is a security problem that a user's important data is more likely to be leaked by the malicious side of the service provider who provides the cloud computing service.

2011년 5월 17일에 공개된 한국특허출원공개 제10-2011-0051028호에는 보안 기능을 구비한 클라우드 컴퓨팅 시스템이 개시되어 있다. 이 선행기술은, 클라우드 컴퓨팅 시스템의 가상 머신 각각에 대해서 무결성 검증을 수행하여 무결성 검증에 실패하는 경우 해당 가상 머신과 네트워크간의 연결을 차단하는 기술에 관한 것이다. 그러나 이러한 기술은, 가상 머신이 악성 코드에 감염되는 경우에 백신프로그램이 업데이트되기 전에 신속하게 네트워크 연결을 차단하여 능동적으로 대처할 수 있을 뿐, 클라우드 컴퓨팅 서비스 제공자측에서의 악의적인 정보 유출이나 해킹에 대해서는 대응할 수 없다는 한계가 있다.
Korean Patent Application Publication No. 10-2011-0051028 published on May 17, 2011 discloses a cloud computing system having a security function. This prior art relates to a technique for performing an integrity verification on each of the virtual machines of the cloud computing system to block the connection between the virtual machine and the network when the integrity verification fails. However, if the virtual machine is infected with malicious code, such a technology can proactively respond by blocking network connection quickly before the vaccine program is updated, and can respond to malicious information leakage or hacking on the cloud computing service provider side. There is no limit.

본 발명은 이러한 종래 기술의 한계를 극복하고, 클라우드 컴퓨팅 서비스 제공자의 악의적인 정보 유출과 해킹에 대해서 원천적으로 대응하여 클라우드 컴퓨팅 환경의 보다 안전한 이용을 담보할 수 있는 정보 처리 방법을 제공하는 것을 목적으로 한다.
An object of the present invention is to overcome the limitations of the prior art and to provide an information processing method that can ensure more secure use of the cloud computing environment by responding to malicious information leakage and hacking of the cloud computing service provider at the source. do.

본 발명에 의한 보안 정보 처리 방법은, 클라우드 컴퓨팅 환경에서 작동하며 보안 클라이언트와 저장 장치를 포함하는 가상머신과, 상기 가상 머신과 데이터 통신이 가능하도록 통신 네트워크를 통해 연결되어 있는 보안 서버와, 상기 클라우드 환경에 제공되는 램(RAM)을 포함하는 환경에서 수행된다. 그리고 이 방법은, (1)상기 보안 클라이언트가, 소정의 정보가 기록되어 있는 파일을 암호화한 암호화된 정보 파일 상기 저장 장치에 기록하는 제1 단계와, (2) 상기 가상 머신이 상기 램의 일부로부터 램 디스크(RAM disk)를 생성하는 제2 단계와, (3) 상기 보안 클라이언트가 상기 암호화된 정보 파일을 로드하는 제3 단계와, (4)상기 보안 클라이언트가 상기 보안 서버에 인증을 수행하는 제4 단계와, (5) 상기 인증이 성공하면 상기 보안 클라이언트가 상기 암호화된 정보 파일과 키 식별정보를 상기 보안 서버로 전송하는 제5 단계와, (6) 상기 보안 서버가 상기 키 식별정보에 기초하여 로드한 키로 상기 암호화된 정보 파일을 복호화하여 복호화된 정보 파일을 생성하는 제6 단계와, (7) 상기 복호화된 정보 파일을 상기 보안 클라이언트로 전송하는 제7 단계와, (8) 상기 복호화된 정보 파일을 상기 램 디스크에 기록하는 제8 단계를 포함한다.
The security information processing method according to the present invention includes a virtual machine operating in a cloud computing environment including a security client and a storage device, a security server connected through a communication network to enable data communication with the virtual machine, and the cloud. It is performed in an environment including RAM provided to the environment. And the method comprises: (1) a first step of the security client writing an encrypted information file in which the predetermined information is recorded to the storage device; and (2) the virtual machine is a part of the RAM. A second step of creating a RAM disk from the third step; (3) a third step of loading the encrypted information file by the security client; and (4) the security client authenticating to the security server. (4) a fifth step of transmitting, by the security client, the encrypted information file and key identification information to the security server if the authentication is successful; and (6) the security server transmits the key identification information. A sixth step of generating the decrypted information file by decrypting the encrypted information file based on the loaded key; and (7) a seventh step of transmitting the decrypted information file to the security client; ) An eighth step of recording the decrypted information file to the RAM disk.

본 발명에 의하면, 클라우드 컴퓨팅 시스템에서 생성되어 사용자가 이용하게 되는 가상 머신의 이미지가 제3자에게 유출되더라도 사용자가 미리 지정한 중요 정보 파일은 유출되지 않기 때문에 클라우드 컴퓨팅 환경을 이용하는 경우에도 중요 정보를 안전하게 보호할 수 있다.
According to the present invention, even if an image of a virtual machine generated by a cloud computing system and used by a user is leaked to a third party, the important information file specified by the user is not leaked, so even when a cloud computing environment is used, important information is safely stored. I can protect it.

도 1은 본 발명이 수행되는 환경을 도시한 도면.
도 2는 본 발명에 의한 보안 정보 처리 방법의 흐름도.1 illustrates an environment in which the present invention is carried out.
2 is a flowchart of a security information processing method according to the present invention;

이하에서는, 첨부 도면을 참조하여 본 발명에 대해서 상세하게 설명한다.EMBODIMENT OF THE INVENTION Hereinafter, this invention is demonstrated in detail with reference to an accompanying drawing.

도 1에는 본 발명에 의한 보안 정보 처리 방법이 수행되는 환경이 도시되어 있다. 도 1에 도시된 바와 같이, 본 발명이 수행되는 환경은 크게 클라우드 컴퓨팅 시스템(1)과, 보안 서버(50)로 나뉜다. 클라우드 컴퓨팅 시스템(1)에 접속하는 사용자측 클라이언트의 도시는 설명의 간략화를 위해 생략한다.1 shows an environment in which the security information processing method according to the present invention is performed. As shown in FIG. 1, the environment in which the present invention is performed is largely divided into a cloud computing system 1 and a security server 50. The illustration of the user side client connecting to the cloud computing system 1 is omitted for simplicity of explanation.

클라우드 컴퓨팅 시스템(1)에는 가상 머신(10)이 생성되는데, 클라우드 운영체제 내부에서 가상 머신(10)은 이미지 파일(예를 들어 확장자 .vmx 또는 .vhd 등)의 형태로 관리된다. 그런데 이와 같이 이미지 파일 형태로 관리되는 가상 머신(10)은 클라우드 컴퓨팅 시스템 서비스 제공자에 의해 쉽게 유출되거나 서비스 제공자가 내용을 볼 수 있다.The virtual machine 10 is created in the cloud computing system 1, and the virtual machine 10 is managed in the form of an image file (for example, an extension .vmx or .vhd) within the cloud operating system. However, the virtual machine 10 managed in the form of an image file may be easily leaked by the cloud computing system service provider or the service provider may view the contents.

본 발명에 의하면, 클라우드 컴퓨팅 시스템(1)에 생성되어 사용자가 이용할 수 있도록 하는 가상 머신(10)에 보안클라이언트(20)와, 저장장치(30)가 제공된다. 클라우드 컴퓨팅 시스템(1)의 바깥에 존재하는 보안 서버(50)는 클라우드 컴퓨팅 시스템(1)의 운영자가 아닌 제3의 운영자 또는 가상 머신(10)의 사용자가 운영해야 한다. 저장장치(30)는 클라우드 컴퓨팅 시스템(1)에 제공되는 하드 디스크 등의 물리적 기록 장치의 논리적 가상화를 통해 가상 머신(10)에 할당된 저장장치이다.According to the present invention, a secure client 20 and a storage device 30 are provided in a virtual machine 10 that is created in the cloud computing system 1 and made available to a user. The security server 50 outside of the cloud computing system 1 must be operated by a third party operator or user of the virtual machine 10 that is not an operator of the cloud computing system 1. The storage device 30 is a storage device allocated to the virtual machine 10 through logical virtualization of a physical recording device such as a hard disk provided to the cloud computing system 1.

다음으로 도 2를 참조하여 본 발명에 의한 보안 정보 처리 방법에 대해서 설명한다. 도 2에 도시된 과정의 시작에 앞서 보안 클라이언트(20)는 미리 결정되어 있는 소정의 중요 정보 파일을 암호화하여 저장장치(30)에 기록한다. 가상 머신(10) 내의 저장장치(30)에 암호화하여 중요 정보 파일을 기록하면 클라우드 컴퓨팅 시스템(1)의 서비스 제공자가 가상 머신(10)의 이미지 파일을 열어 보더라도 암호화 키를 가지고 있지 않으므로 정보 파일의 내용을 확인하거나 유출할 수 없다. 암호화하여 저장할 정보 파일은 가상 머신(10) 내부에 존재하는 소스 파일이나 데이터베이스와 같이 외부로의 유출이나 열람이 금지되어야 하는 정보의 파일로서 가상 머신(10)을 이용하는 사용자가 결정할 수 있다.Next, the security information processing method according to the present invention will be described with reference to FIG. Prior to the start of the process shown in FIG. 2, the security client 20 encrypts a predetermined critical information file and records it in the storage device 30. When an important information file is recorded by encrypting the storage device 30 in the virtual machine 10, the service provider of the cloud computing system 1 may not open the image file of the virtual machine 10. The contents cannot be checked or leaked. The information file to be encrypted and stored may be determined by a user using the virtual machine 10 as a file of information that should be prevented from being leaked or viewed outside, such as a source file or a database existing inside the virtual machine 10.

이렇게 중요 정보 파일이 암호화되어 저장장치(30)에 기록되어 있는 상태에서 가상 머신(10)의 운영체제(O/S)가 부팅되면(단계 100) 클라우드 컴퓨팅 시스템(1) 내에 제공되는 램(RAM)의 일부를 디스크로 할당하여 램 디스크(RAM disk; 40)를 생성하게 한다.(Mount; 단계 100) 그리고 보안 클라이언트(20)를 실행시키고(단계120), 보안클라이언트(20)는 저장장치(30)에 기록되어 있는 암호화된 정보 파일을 로드한다.(단계130) 그리고 보안 클라이언트(20)는 보안 서버(50)에 인증을 시도한다.(단계 140) 인증 방법은 다양하게 적용할 수 있으며 공지되어 있는 기술인 아이디/패스워드 방식, PKI 인증 방식, IP/MAC adress를 이용한 인증 방식 등을 적용할 수 있다. 보안 서버(50)로의 인증이 성공하면 보안 클라이언트(20)는, 저장장치(30)로부터 로드한 암호화된 정보 파일(2)을 통신망을 통해 보안 서버(50)로 전송하는데 이때 복호화를 위한 키(key) ID 정보를 함께 전송한다.(단계 150)When the operating system (O / S) of the virtual machine 10 is booted (step 100) while the important information file is encrypted and recorded in the storage device 30, RAM provided in the cloud computing system 1 To allocate a portion of the disk to a RAM disk 40 (Mount; step 100). Then, the security client 20 is executed (step 120), and the security client 20 stores the storage device 30. In step 130, the secure client 20 attempts to authenticate the secure server 50. The authentication method can be variously applied and known. ID / Password method, PKI authentication method, and authentication method using IP / MAC adress can be applied. If authentication with the security server 50 is successful, the security client 20 transmits the encrypted information file 2 loaded from the storage device 30 to the security server 50 through a communication network. key) ID information is transmitted together (step 150).

보안 서버(50)는 전송받은 키 ID가 접근 가능한 키인지를 확인하고(단계160), 접근 가능한 키로 확인되면 해당 키를 로드해서 암호화된 정보 파일(2)를 복호화하여 복호화된 정보 파일(3)을 생성한다.(단계170)The security server 50 checks whether the received key ID is an accessible key (step 160), and if it is confirmed as an accessible key, loads the corresponding key to decrypt the encrypted information file 2 and decrypts the decrypted information file 3. (Step 170)

보안 서버(50)는 복호화된 정보 파일(3)을 보안 클라이언트(20)로 전송하고(단계180), 보안 클라이언트(20)는 복호화된 정보 파일(3)을 램 디스크(40)에 기록한다.(단계190) 램 디스크는 클라우드 컴퓨팅 시스템(1)의 서비스 제공자라고 하더라도 특정 가상 머신(10)이 클라우드 환경 내에 존재하는 수많은 램 중에서 어느 램에서 생성된 램 디스크를 이용하는지를 알 수 없으므로 램 디스크 내에 복호화된 정보 파일(3)이 기록되더라도 안전하다. 또한, 클라우드 컴퓨팅 시스템 서비스 제공자가 가상 머신(10)의 이미지 파일을 유출하더라도 저장장치(30) 내에 암호화되어 기록되어 있는 중요 정보 파일만이 유출될 뿐이어서 제3자가 중요 정보 파일을 확인할 수 없어서 안전하게 보호될 수 있다.The security server 50 transmits the decrypted information file 3 to the security client 20 (step 180), and the security client 20 records the decrypted information file 3 on the RAM disk 40. (Step 190) Although the RAM disk is a service provider of the cloud computing system 1, since the specific virtual machine 10 does not know which RAM among the numerous RAMs existing in the cloud environment, the RAM disk generated in the RAM disk is decrypted in the RAM disk. Even if the recorded information file 3 is recorded, it is safe. In addition, even if the cloud computing system service provider leaks the image file of the virtual machine 10, only the important information file that is encrypted and recorded in the storage device 30 is leaked, so that the third party cannot secure the important information file. Can be protected.

이상 첨부 도면을 참조하여 본 발명에 대해서 설명하였지만 본 발명의 권리범위는 후술하는 특허청구범위에 의해 결정되며 전술한 실시예 및/또는 도면에 제한되는 것으로 해석되어서는 아니된다. 그리고 특허청구범위에 기재된 발명의, 당업자에게 자명한 개량, 변경 및 수정도 본 발명의 권리범위에 포함된다는 점이 명백하게 이해되어야 한다.
While the invention has been described above with reference to the accompanying drawings, the scope of the invention is determined by the claims that follow, and should not be construed as limited to the embodiments and / or drawings described above. And it should be clearly understood that improvements, changes and modifications apparent to those skilled in the art of the invention described in the claims are included in the scope of the present invention.

1: 클라우드 컴퓨팅 시스템
2: 암호화된 정보 파일
3: 복호화된 정보 파일
10: 가상 머신
20: 보안 클라이언트
30: 저장장치
40: 램 디스크1: cloud computing system
2: encrypted information file
3: decrypted information file
10: virtual machine
20: security client
30: storage
40: ram disk

Claims (2)

클라우드 컴퓨팅 시스템내에서 작동하며 보안 클라이언트와 저장 장치를 포함하는 가상머신과, 상기 가상 머신과 데이터 통신이 가능하도록 통신 네트워크를 통해 연결되어 있으며 상기 클라우드 컴퓨팅 시스템의 외측에 배치되는 보안 서버와, 상기 클라우드 컴퓨팅 시스템에 제공되는 램(RAM)을 포함하는 환경에서 수행되는 보안 정보 처리 방법에 있어서,
상기 보안 클라이언트가, 상기 클라우드 컴퓨팅 시스템의 운영자에게 유출되지 말아야 할 것으로 결정된 소정의 정보가 기록되어 있는 파일을 암호화한 암호화된 정보 파일을 상기 저장 장치에 기록하는 제1 단계와,
상기 가상 머신이 상기 램의 일부로부터 램 디스크(RAM disk)를 생성하는 제2 단계와,
상기 보안 클라이언트가 상기 암호화된 정보 파일을 로드하는 제3 단계와,
상기 보안 클라이언트가 상기 보안 서버에 인증을 수행하는 제4 단계와,
상기 인증이 성공하면 상기 보안 클라이언트가 상기 암호화된 정보 파일과 키 식별정보를 상기 보안 서버로 전송하는 제5 단계와,
상기 보안 서버가 상기 키 식별정보에 기초하여 로드한 키로 상기 암호화된 정보 파일을 복호화하여 복호화된 정보 파일을 생성하는 제6 단계와,
상기 보안 서버가 상기 복호화된 정보 파일을 상기 보안 클라이언트로 전송하는 제7 단계와,
상기 보안 클라이언트가 상기 복호화된 정보 파일을 상기 램 디스크에 기록하는 제8 단계를 포함하는,
보안 정보 처리 방법.
A virtual machine that operates within a cloud computing system and includes a secure client and a storage device, a security server connected via a communication network to enable data communication with the virtual machine, and disposed outside of the cloud computing system, and the cloud A security information processing method performed in an environment including RAM provided to a computing system,
A first step of the security client recording an encrypted information file on the storage device, the encrypted information file encrypting a file in which predetermined information determined to not be leaked to an operator of the cloud computing system is recorded;
A second step of the virtual machine creating a RAM disk from a portion of the RAM;
A third step of the security client loading the encrypted information file;
A fourth step of the security client authenticating to the security server;
A fifth step of, if the authentication succeeds, the security client transmitting the encrypted information file and key identification information to the security server;
Generating a decrypted information file by decrypting the encrypted information file with a key loaded by the security server based on the key identification information;
A seventh step of transmitting, by the security server, the decrypted information file to the security client;
An eighth step of the security client writing the decrypted information file to the ram disk;
How security information is handled.
클라우드 컴퓨팅 시스템내에서 작동하며 보안 클라이언트와 저장 장치를 포함하는 가상머신과, 상기 가상 머신과 데이터 통신이 가능하도록 통신 네트워크를 통해 연결되어 있으며 클라우드 컴퓨팅 시스템 외측에 배치되는 보안 서버와, 상기 클라우드 컴퓨팅 시스템에 제공되는 램(RAM)을 포함하는 환경에서 상기 보안 클라이언트가 수행하는 보안 정보 처리 방법에 있어서,
상기 보안 클라이언트가, 상기 클라우드 컴퓨팅 시스템의 운영자에게 유출되지 말아야 할 것으로 결정된 소정의 정보가 기록되어 있는 파일을 암호화한 암호화된 정보 파일을 상기 저장 장치에 기록하는 제1 단계와,
상기 보안 클라이언트가 상기 암호화된 정보 파일을 로드하는 제2 단계와,
상기 보안 클라이언트가 상기 보안 서버에 인증을 수행하는 제3 단계와,
상기 인증이 성공하면 상기 보안 클라이언트가 상기 암호화된 정보 파일과 키 식별정보를 상기 보안 서버로 전송하는 제4 단계와,
상기 보안 서버가 상기 키 식별정보에 기초하여 로드한 키로 상기 암호화된 정보 파일을 복호화하여 생성한 복호화된 정보 파일을 상기 보안 클라이언트가 수신하는 제5 단계와,
상기 복호화된 정보 파일을, 상기 램의 일부로부터 생성된 램 디스크에 상기 보안 클라이언트가 기록하는 제6 단계를 포함하는,
보안 정보 처리 방법.A virtual machine that operates within a cloud computing system and includes a secure client and a storage device, a security server connected through a communication network to enable data communication with the virtual machine and disposed outside the cloud computing system, the cloud computing system In the security information processing method performed by the security client in an environment including a RAM provided to,
A first step of the security client recording an encrypted information file on the storage device, the encrypted information file encrypting a file in which predetermined information determined to not be leaked to an operator of the cloud computing system is recorded;
A second step of the security client loading the encrypted information file;
A third step of the security client authenticating to the security server;
A fourth step of, if the authentication is successful, the security client transmitting the encrypted information file and key identification information to the security server;
A fifth step of the security client receiving a decrypted information file generated by decrypting the encrypted information file with a key loaded by the security server based on the key identification information;
And a sixth step of recording, by the security client, the decrypted information file to a RAM disk created from a portion of the RAM.
How security information is handled.
KR1020110067122A 2011-07-07 2011-07-07 Method for protecting important information of virtual machine in cloud computing environment KR101107056B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110067122A KR101107056B1 (en) 2011-07-07 2011-07-07 Method for protecting important information of virtual machine in cloud computing environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110067122A KR101107056B1 (en) 2011-07-07 2011-07-07 Method for protecting important information of virtual machine in cloud computing environment

Publications (1)

Publication Number Publication Date
KR101107056B1 true KR101107056B1 (en) 2012-01-25

Family

ID=45614472

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110067122A KR101107056B1 (en) 2011-07-07 2011-07-07 Method for protecting important information of virtual machine in cloud computing environment

Country Status (1)

Country Link
KR (1) KR101107056B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013126651A1 (en) * 2012-02-22 2013-08-29 Microsoft Corporation Validating license servers in virtualized environments
WO2014010818A1 (en) 2012-07-12 2014-01-16 주식회사 파수닷컴 User terminal device and encryption method for encrypting in cloud computing environment
KR101512241B1 (en) * 2013-10-25 2015-04-16 한양대학교 에리카산학협력단 Method and system for providing contents to digital video recorder using personal virtualization based on cloud
EP2869232A1 (en) 2013-11-04 2015-05-06 SaferZone Co., Ltd. Security key device for secure cloud services, and system and method of providing security cloud services
KR20170001486A (en) 2015-06-26 2017-01-04 안희태 Security cloud service

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070111603A (en) * 2006-05-18 2007-11-22 이상규 Security system for client and server
KR20110028968A (en) * 2009-09-14 2011-03-22 고려대학교 산학협력단 Method for verifying the integrity of a user's data in remote computing and system thereof
KR20110035573A (en) * 2009-09-30 2011-04-06 주식회사 케이티 Method for providing safety of virtual machine installation in cloud computing environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070111603A (en) * 2006-05-18 2007-11-22 이상규 Security system for client and server
KR20110028968A (en) * 2009-09-14 2011-03-22 고려대학교 산학협력단 Method for verifying the integrity of a user's data in remote computing and system thereof
KR20110035573A (en) * 2009-09-30 2011-04-06 주식회사 케이티 Method for providing safety of virtual machine installation in cloud computing environment

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013126651A1 (en) * 2012-02-22 2013-08-29 Microsoft Corporation Validating license servers in virtualized environments
US9128780B2 (en) 2012-02-22 2015-09-08 Microsoft Technology Licensing, Llc Validating license servers in virtualized environments
WO2014010818A1 (en) 2012-07-12 2014-01-16 주식회사 파수닷컴 User terminal device and encryption method for encrypting in cloud computing environment
KR101512241B1 (en) * 2013-10-25 2015-04-16 한양대학교 에리카산학협력단 Method and system for providing contents to digital video recorder using personal virtualization based on cloud
EP2869232A1 (en) 2013-11-04 2015-05-06 SaferZone Co., Ltd. Security key device for secure cloud services, and system and method of providing security cloud services
KR20170001486A (en) 2015-06-26 2017-01-04 안희태 Security cloud service

Similar Documents

Publication Publication Date Title
JP6114832B2 (en) Management control method, apparatus and system for virtual machine
RU2756048C2 (en) Addressing trusted execution environment using encryption key
EP2907071B1 (en) Secure data handling by a virtual machine
US10454902B2 (en) Techniques for secure data extraction in a virtual or cloud environment
EP2795829B1 (en) Cryptographic system and methodology for securing software cryptography
JP5564453B2 (en) Information processing system and information processing method
EP2947811A1 (en) Method, server, host and system for protecting data security
WO2021164166A1 (en) Service data protection method, apparatus and device, and readable storage medium
EP3776315A1 (en) Trusted execution environment instances licenses management
US9288054B2 (en) Method and apparatus for authenticating and managing application using trusted platform module
US10601590B1 (en) Secure secrets in hardware security module for use by protected function in trusted execution environment
CN108509802B (en) Application data anti-leakage method and device
KR101107056B1 (en) Method for protecting important information of virtual machine in cloud computing environment
CN106911744B (en) A kind of management method and managing device of image file
CN111191217B (en) Password management method and related device
CN106992978B (en) Network security management method and server
KR101711024B1 (en) Method for accessing temper-proof device and apparatus enabling of the method
CN112363800B (en) Network card memory access method, security processor, network card and electronic equipment
CN112507302B (en) Calling party identity authentication method and device based on execution of cryptographic module
WO2021164167A1 (en) Key access method, apparatus, system and device, and storage medium
Akinbi et al. Evaluating security mechanisms implemented on public Platform-as-a-Service cloud environments case study: Windows Azure
KR20160102915A (en) Security platform management device for smart work based on mobile virtualization
CN107609405B (en) External secure memory device and system-on-chip SOC
CN112564888B (en) Method and equipment for deploying private cloud
US20220394015A1 (en) Method for establishing remote work environment to ensure security of remote work user terminal and apparatus using the same

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150112

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160111

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170111

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20171222

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200102

Year of fee payment: 9