KR101709276B1 - Endpoint Security Server Management System - Google Patents

Endpoint Security Server Management System Download PDF

Info

Publication number
KR101709276B1
KR101709276B1 KR1020160153024A KR20160153024A KR101709276B1 KR 101709276 B1 KR101709276 B1 KR 101709276B1 KR 1020160153024 A KR1020160153024 A KR 1020160153024A KR 20160153024 A KR20160153024 A KR 20160153024A KR 101709276 B1 KR101709276 B1 KR 101709276B1
Authority
KR
South Korea
Prior art keywords
security
encryption
file
decryption module
local agent
Prior art date
Application number
KR1020160153024A
Other languages
Korean (ko)
Inventor
김광연
안진영
권창훈
Original Assignee
(주)세이퍼존
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)세이퍼존 filed Critical (주)세이퍼존
Priority to KR1020160153024A priority Critical patent/KR101709276B1/en
Application granted granted Critical
Publication of KR101709276B1 publication Critical patent/KR101709276B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Abstract

The present invention relates to an endpoint security server management system, and more specifically, to a system for upgrading a security level of a file in a cloud computing environment. To this end, according to the system of a preferable embodiment of the present invention, especially, when a local agent enter a security mode during use of a cloud service by a user terminal in response to an event that the user terminal sets up the security on a generated file or downloads an encoded fragment file given thereon with a security identifier from a server, a security key is switched into a second en-decoded module through a mode switching unit for switching the security key from a first en-decoding module into the second en-decoding module. Through the second en-decoding module, a file received from the local agent is the encoded file is given with a security identifier, the file given with the security identifier is fragmented, and fragment algorithm information is generated, thus the security identifier and the fragment algorithm information are stored. Then, the file, which is given with the security identifier and encoded, is transmitted to the local agent, or the security identifier is received from the local agent through the second en-decoding module, the security identifier and the fragment algorithm information, and the encoded fragment files are combined, decoded and transmitted to the local agent.

Description

엔드 포인트 보안서버 관리 시스템{Endpoint Security Server Management System} Endpoint Security Server Management System {Endpoint Security Server Management System}

본 발명은 엔드포인트 보안서버 관리 시스템에 관한 것으로 보다 상세하게는, 클라우드 컴퓨팅 환경에서 파일의 보안 레벨을 향상시킬 수 있는 시스템에 관한 것이다. The present invention relates to an endpoint security server management system, and more particularly, to a system capable of improving the security level of a file in a cloud computing environment.

IT 자원의 효율적인 분배 및 데이터의 안전한 저장을 위해 최근에 클라우드 컴퓨팅 한경이 널리 이용되고 있다. 클라우드 컴퓨팅 개념은 이미 1960 년대에 미국의 컴퓨팅 학자인 존 매카시가 주창한바 있다. 최근에 통신 인프라가 급속하게 좋아지고 있고 컴퓨팅 환경의 자원을 효율적으로 분배하고자 하는 요구가 증대함에 따라 클라우드 컴퓨팅의 발전 및 개발 속도가 증가하고 있다. Recently, cloud computing has been widely used for efficient distribution of IT resources and secure storage of data. The concept of cloud computing has already been advocated by American computing scholar John McCarthy in the 1960s. Recently, as the communication infrastructure is rapidly improving and the demand for efficiently distributing the resources of the computing environment is growing, the development and development speed of the cloud computing is increasing.

클라우드 컴퓨팅 환경에서 사용자는 고사양의 단말기가 필요하지 않아서 클라이언트 레벨에서의 IT 장비 투자 비용이 절감되며, 사용 환경에 따른 IT 자원의 효율적인 분배가 가능한 장점이 있다. 클라우드 컴퓨팅 환경에서 유저는 언제 어디서나 클라우드 자원을 사용할 수 있다는 대표적인 장점 이면에는 보안 이슈가 존재한다. In the cloud computing environment, users do not need high-end handsets, thus reducing the investment cost of IT equipment at the client level and efficiently distributing IT resources according to the usage environment. In the cloud computing environment, there are security issues if users can use cloud resources anytime and anywhere.

엔드 포인트 보안 솔루션이라는 것은 최종 사용자 컴퓨터 단에서 보안 솔루션을 설치하여 제공하는 보안 기능으로서 주로, 정보유출방지, 매체제어(CDROM, USB, 이더넷), 사용자 관리 등을 포함한다. 기존에는 별도의 서버가 있고 이와 같이 개개인의 사용자 단말에 클라이언트 프로그램이라고 하는 에이전트 프로그램을 설치해서 보안 기능을 제공하고 있다. 최근에는 클라우드 컴퓨팅 영역에서 전통적인 서버-클라이언트 환경에서의 엔드 포인트 보안 솔루션을 응용한 클라우드 기반의 엔드 포인트 보안 서비스라는 개념이 도입되고 있다. An endpoint security solution is a security function that installs and provides a security solution at the end user's computer. It mainly includes information leakage prevention, media control (CDROM, USB, Ethernet), user management and the like. In the past, there is a separate server, and an agent program called a client program is installed in each user terminal to provide a security function. Recently, the concept of cloud-based endpoint security service that uses endpoint security solution in traditional server-client environment has been introduced in the cloud computing domain.

한국공개특허 제10-2014-0110042호(공개일: 2014.09.16)Korean Patent Laid-Open No. 10-2014-0110042 (Publication date: 2014.09.16)

본 발명은 클라우드 컴퓨팅 환경에서 파일의 보안 레벨을 향상시킬 수 있는 시스템을 제공하는 데 그 목적이 있다.An object of the present invention is to provide a system capable of improving the security level of a file in a cloud computing environment.

본 발명의 다른 목적 및 장점들은 하기에 설명될 것이며, 본 발명의 실시예에 의해 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 조합에 의해 실현될 수 있다.Other objects and advantages of the present invention will be described hereinafter and will be understood by the embodiments of the present invention. Further, the objects and advantages of the present invention can be realized by the means and the combination shown in the claims.

상기와 같은 본 발명의 목적은 클라우드 서비스 제공을 위하여 1차 인증부 및 2차 인증부의 인증절차를 요구하는 클라우드 서버; 엔드 포인트 상에 설치되며, 상기 클라우드 서버와 연동하는 로컬 에이전트가 설치된 사용자 단말; 및 제1 암복호화 모듈과 제2 암복호화 모듈 및 모드 전환부가 구비되며, 상기 사용자 단말에 연결되는 보안키;를 포함하는 엔드포인트 보안서버 관리 시스템에 의해 달성될 수 있다.The above object of the present invention can be achieved by a cloud server that requires authentication procedures of a first authentication unit and a second authentication unit for providing a cloud service, A user terminal installed on the end point and having a local agent cooperating with the cloud server; And a security key having a first encryption / decryption module, a second encryption / decryption module, and a mode switching unit and connected to the user terminal.

여기서, 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 보안 설정된 파일을 클라우드 서버로 업로드 또는 클라우드 서버에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 사용자 단말과 연동하는 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어 상기 로컬 에이전트로부터 수신한 보안 설정된 파일을 상기 제2 암복호화 모듈에서 암복호화하는 것일 수 있다.Here, the security key may include a security key, when the local agent enters the security mode due to an event that the user terminal uploads a security-enabled file to the cloud server or downloads from the cloud server during use of the cloud service, The second encryption / decryption module may switch to the second encryption / decryption module through the mode switching unit that switches from the encryption / decryption module to the second encryption / decryption module, and may decrypt the secured file received from the local agent in the second encryption / decryption module.

또는 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 사용자 단말이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어, 상기 제2 암복호화 모듈을 통해 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화, 암호화한 파일에 보안식별자 부여, 보안식별자가 부여된 파일을 조각, 조각 알고리즘 정보 생성을 수행하여, 보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송하는 것일 수 있다.Alternatively, when the security agent enters the security mode by the occurrence of an event that the user terminal establishes security for a file generated by the user terminal during the use of the cloud service, the first encryption decryption module transmits the security decryption key to the second encryption decryption module A second encryption / decryption module for converting the file received from the local agent through the second encryption / decryption module to a file obtained by encrypting and encrypting the file, , Generating fragmentation algorithm information, storing the security identifier and fragmentation algorithm information, and transmitting the encrypted fragmented file to the local agent, to which the security identifier is assigned.

또한, 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어, 상기 제2 암복호화 모듈, 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여, 상기 로컬 에이전트에 전송하는 것일 수 있다.In addition, when the user terminal enters a security mode in response to an occurrence of an event in which a security identifier is assigned while the user terminal is using a cloud service and an encrypted fragments file is downloaded from a cloud server, The second encryption / decryption module is switched to the second encryption / decryption module through the mode switching unit switching to the second encryption / decryption module, and the security identifier received from the local agent is given through the second encryption / decryption module, Combine and decrypt the fragmented file, and send it to the local agent.

또한, 상기 사용자 단말은 상기 클라우드 서버의 1차 인증부의 인증 절차에 따라 1차 인증되어 클라우드 서버와 연결되고, 상기 제1 암복호화 모듈을 이용하여 상기 클라우드 서버의 2차 인증부의 인증 절차에 사용되는 인증 ID를 복호화함으로써 2차 인증되어 상기 클라우드 서비스를 제공받는 것일 수 있다.The user terminal is first authenticated according to the authentication procedure of the first authentication unit of the cloud server and connected to the cloud server, and is used in the authentication procedure of the second authentication unit of the cloud server using the first encryption / decryption module And may be secondarily authenticated by decrypting the authentication ID to receive the cloud service.

또한, 상기 제1 암복호화모듈과 상기 제2 암복호화모듈은 상호 다른 암복호화 알고리즘이 탑재되는 것일 수 있다.In addition, the first and second encryption / decryption modules may be implemented with different encryption / decryption algorithms.

본 발명에 의하면, 클라우드 컴퓨팅 환경에서, 인증 시 사용되는 ID를 별도의 하드웨어인 보안키에서 복호화하는 것에 의해 보안 레벨이 향상될 수 있다. According to the present invention, in a cloud computing environment, a security level can be improved by decrypting an ID used in authentication using a security key, which is separate hardware.

또한, 본 발명은 파일을 복수개의 파일 조각으로 분할하여 클라우드 서버에 저장하고, 저장된 복수개의 파일 조각을 결합할 때에는 보안식별자 및 조각 알고리즘 정보를 요구하므로 클라우드 서버에 보관된 파일이 유출되더라도 정당한 사용자가 아닌 한 파일을 결합하거나, 복호화할 수 없어 보안성이 강화된다.In addition, according to the present invention, a file is divided into a plurality of file fragments and stored in a cloud server. When a plurality of stored file fragments are combined, a security identifier and engraving algorithm information are required. Therefore, even if a file stored in a cloud server is leaked, Otherwise, the file can not be combined or decrypted, thus enhancing security.

도 1은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템을 나타낸 도면,
도 2는 도 1의 클라우드 서버의 기능 블록도,
도 3은 도 1의 보안키의 기능 블록도,
도 4 내지 도 7은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템에 있어서 정보의 흐름 및 처리 과정을 나타낸 도면.1 is a block diagram of an endpoint security server management system according to the present invention,
Figure 2 is a functional block diagram of the cloud server of Figure 1;
Figure 3 is a functional block diagram of the security key of Figure 1;
FIG. 4 through FIG. 7 illustrate information flow and processing in an endpoint security server management system according to the present invention; FIG.

첨부한 도면들을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명하기로 한다. 그러나 본 발명은 여기서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Reference will now be made in detail to the preferred embodiments of the present invention, examples of which are illustrated in the accompanying drawings. However, the present invention is not limited to the embodiments described herein but may be embodied in other forms. Rather, the embodiments disclosed herein are provided so that the disclosure can be thorough and complete, and will fully convey the scope of the invention to those skilled in the art.

따라서, 본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예들을 가질 수 있으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Accordingly, it is to be understood that the invention is capable of numerous changes, has various embodiments, and includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.

한편, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS The present invention will now be described more fully with reference to the accompanying drawings, in which exemplary embodiments of the invention are shown.

제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소는 제 1 구성요소로 명명될 수 있다.The terms first, second, etc. may be used to describe various components, but the components are not limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may be referred to as a first component.

및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 발명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present invention, the terms "comprising" or "having ", and the like, specify that the presence of stated features, integers, steps, operations, elements, But do not preclude the presence or addition of one or more other features, integers, steps, operations, components, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미가 있는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless otherwise defined, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be construed as meaning consistent with meaning in the context of the relevant art and are to be interpreted as ideal or overly formal in meaning unless explicitly defined in the present invention Do not.

이하 첨부된 도면을 참조로 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. Prior to this, terms and words used in the present specification and claims should not be construed as limited to ordinary or dictionary terms, and the inventor should appropriately interpret the concepts of the terms appropriately It should be interpreted in accordance with the meaning and concept consistent with the technical idea of the present invention based on the principle that it can be defined.

도 1은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템(이하, '관리 시스템'이라 한다)의 개략도이다. 1 is a schematic diagram of an endpoint security server management system (hereinafter, referred to as 'management system') according to the present invention.

관리 시스템은 네트워크를 통해 상호 통신하는 클라우드 서버(100), 사용자 단말(엔드 포인트)(200), 스마트폰(400), 인증번호관리서버(500)를 포함하고, USB 포트를 통해 사용자 단말(200)에 연결되는 보안키(300)를 포함할 수 있다. 여기서, 사용자 단말(200)은 네트워크 토폴로지 상 엔드 포인트를 의미한다. The management system includes a cloud server 100, a user terminal (end point) 200, a smart phone 400, and an authentication number management server 500 that communicate with each other via a network. The management system includes a user terminal 200 (Not shown). Here, the user terminal 200 refers to an end point in the network topology.

클라우드 서버(100)는 클라우드 서비스 인터페이스 기능, 인증 기능, SaaS(Software as a Service), PaaS(Platform as a Service), Haas(Hardware as a Service), IaaS(Infrastructure as a service)를 제공할 수 있다. 클라우드 서버(100)는 1차 인증부(110), 로컬에이전트 제공부(120), 2차 인증부(130), 클라우드 서비스 제공부(140)를 포함할 수 있다. 1차 인증부(110)는 사용자 단말(200) 상에 입력되는 아이디/패스워드를 통해 유저에 대한 1차 인증을 수행할 수 있다. 로컬에이전트 제공부(120)는 상기 1차 인증이 완료되는 것에 대응하여, 로컬 에이전트를 사용자 단말(200)에 전송할 수 있다. 2차 인증부(130)는 사용자 단말에서 실행되는 로컬 에이전트로부터 2차 인증 요청이 있으면, 기 등록된 암호화된 2차 인증 ID를 사용자 단말(200)에 제공할 수 있다. 상기 2차 인증 ID는 유저가 최초로 클라우드 서버(100)에의 접속시 로컬 에이전트를 통해 등록한 정보일 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 그리고, 2차 인증부(130)는 로컬 에이전트로부터 보안키에 의해 복화화된 2차 인증 ID를 수신하면 이를 사용해 유저에 대한 2차 인증을 수행할 수 있다. 2차 인증이 완료되면, 클라우드 서비스 제공부(140)는 클라우드 서비스를 사용자 단말에 제공할 수 있다. The cloud server 100 may provide a cloud service interface function, an authentication function, a software as a service (SaaS), a platform as a service (PaaS), a hardware as a service (Haas), and an infrastructure as a service . The cloud server 100 may include a primary authentication unit 110, a local agent providing unit 120, a secondary authentication unit 130, and a cloud service providing unit 140. The primary authentication unit 110 may perform the primary authentication for the user through the ID / password input on the user terminal 200. [ The local agent providing unit 120 may transmit the local agent to the user terminal 200 in response to the completion of the primary authentication. The second authentication unit 130 may provide the encrypted second authentication ID to the user terminal 200 if there is a second authentication request from the local agent executed in the user terminal. The secondary authentication ID may be information that the user first registers through the local agent when accessing the cloud server 100. [ Here, the secondary authentication ID provided by the cloud server 100 may be an encrypted ID, and may be an ID encrypted by the security key 300 when the cloud service is initially accessed. When the secondary authentication unit 130 receives the secondary authentication ID that has been decoded by the security key from the local agent, the secondary authentication unit 130 can perform the secondary authentication on the user. When the secondary authentication is completed, the cloud service provider 140 can provide the cloud service to the user terminal.

사용자 단말(200)은 네트워크 토폴리지 상 엔드 포인트일 수 있다. 네트워크를 통한 통신 기능을 가지는 한 본 발명의 사용자 단말에 속할 수 있다. 클라우드 서비스를 이용하고자 하는 경우, 사용자 단말(200)은 클라우드 서버(100)로부터 로컬 에이전트를 수신하고 이를 설치/실행할 수 있다. 로컬 에이전트는 후술하는 클라우드 서비스 전용 에이전트일 수 있다. 사용자 단말(200)은 USB 포트를 가지며, 이를 통해, 보안키(300)가 연결될 수 있다. 보안키(300)가 연결되는 것에 대응하여, 로컬 에이전트는 클라우드 서버(100)로 2차 인증을 요청할 수 있다. 이때, 클라우드 서버(100)는 2차 인증 ID를 사용자 단말(200)로 제공할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 로컬 에이전트는 2차 인증 ID를 클라우드 서버(100)로부터 수신하면, 이를 보안키(300)에 제공할 수 있다. 이때, 보안키(300)는 제1암복호화모듈(310) 상에서 2차 인증 ID를 복호화하고, 복호화된 2차 인증 ID를 로컬 에이전트에 제공할 수 있다. 이때, 로컬 에이전트는 복호화된 ID를 클라우드 서버(100)에 제공할 수 있고, 클라우드 서버(100)는 복호화된 2차 인증 ID를 사용해 2차 인증을 수행할 수 있다. 2차 인증이 완료되면, 유저는 로컬 에이전트를 통해 클라우드 서비스를 클라우드 서버(100)로부터 제공 받을 수 있다. 클라우드 서비스 이용 중 로컬 에이전트는 유저가 보안 설정이 되어 있는 파일을 클라우드 서버(100)로 요청한 경우, 로컬 에이전트는 보안모드로 진입할 수 있다. 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입할 수 있다. 유저가 파일 작업 후 클라우드 서버(100)로 업로드 할 때 보안 설정을 한 경우 보안키(300) 상의 제2암복호화모듈(330)은 파일의 암호화 함과 더불어 파일명에 보안식별자를 병기할 수 있다. 그리고, 로컬 에이전트는 보안 식별자가 병기된 파일명을 가지는 파일을 클라우드 서버(100)로 업로드 할 수 있다. 이 같은 배경에서, 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입하게 된다. 보안 모드에 진입하게 되면, 로컬 에이전트는 인증번호관리서버(500)로 인증번호를 요청할 수 있다. 이에 대응하여, 인증번호관리서버(500)는 인증번호를 기 설정된 번호를 가지는 스마트폰(400)으로 전송할 수 있다. 여기서, 스마트폰(400)은 정당한 보안키(300) 소유자가 소유하는 스마트폰(400)일 수 있다. 이때, 유저에 의해 사용자 단말(200) 상에 인증번호가 입력되면, 로컬 에이전트는 인증번호를 보안키(300)에 제공할 수 있다. 이때, 보안키 상의 모드 전환부(320)는 보안키(300) 상에 저장된 인증번호와 로컬 에이전트가 제공한 인증번호가 동일한 경우, 사용자 단말(200)와 연동하는 암복호화모듈을 제1암복호화모듈(310)에서 제2암복호화모듈(330)로 전환할 수 있다. 이때, 클라우드 서버(100)가 제공하는 보안식별자를 가지는 파일은 로컬 에이전트의 요청에 의해 제2암복호화모듈(330) 상에서 암복호화가 수행될 수 있다. 유저가 제2암복화화모듈(330)을 사용해 복호화된 파일을 작업하고 로컬 에이전트를 통해 업로드를 요청하면, 로컬 에이전트는 제2암복호화모듈(330)에 암호화를 요청할 수 있다. 요청시, 암호화 대상 파일이 제2암복호화모듈(330)에 제공될 수 있다. 이때, 제2암복호화모듈(330)은 암호화 대상 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다. 암호화가 완료되면 로컬 에이전트는 보안식별자가 병기된 파일명을 가지는 암호화된 파일을 클라우드 서버(100)로 업로드 할 수 있다. 업로드가 완료되면, 로컬 에이전트의 보안모드는 종료될 수 있다. The user terminal 200 may be an endpoint on a network topology. And may belong to the user terminal of the present invention as long as they have a communication function through a network. When the cloud service is to be used, the user terminal 200 can receive the local agent from the cloud server 100 and install / execute the local agent. The local agent may be an agent dedicated to the cloud service described later. The user terminal 200 has a USB port through which the security key 300 can be connected. In response to the connection of the security key 300, the local agent may request secondary authentication to the cloud server 100. At this time, the cloud server 100 may provide the secondary authentication ID to the user terminal 200. Here, the secondary authentication ID provided by the cloud server 100 may be an encrypted ID, and may be an ID encrypted by the security key 300 when the cloud service is initially accessed. When the local agent receives the secondary authentication ID from the cloud server 100, the local agent can provide it to the security key 300. At this time, the security key 300 may decrypt the secondary authentication ID on the first encryption / decryption module 310 and provide the decrypted secondary authentication ID to the local agent. At this time, the local agent can provide the decrypted ID to the cloud server 100, and the cloud server 100 can perform the secondary authentication using the decrypted secondary authentication ID. When the secondary authentication is completed, the user can receive the cloud service from the cloud server 100 through the local agent. When using the cloud service, the local agent can enter the security mode if the user requests the cloud server 100 with a file having a security setting. The local agent can enter the security mode if a security identifier is detected on the file name requested by the user. If the security setting is performed when the user uploads the file to the cloud server 100 after the file operation, the second encryption / decryption module 330 on the security key 300 can encrypt the file and stipulate the security identifier in the file name. The local agent can upload a file having the file name having the security identifier to the cloud server 100. In this background, the local agent enters the security mode when a security identifier is detected on the file name requested by the user. Upon entering the security mode, the local agent can request the authentication number to the authentication number management server 500. In response, the authentication number management server 500 can transmit the authentication number to the smartphone 400 having the preset number. Here, the smartphone 400 may be a smartphone 400 owned by a holder of a valid security key 300. At this time, if the user inputs an authentication number on the user terminal 200, the local agent can provide the authentication number to the security key 300. [ In this case, when the authentication number stored on the security key 300 and the authentication number provided by the local agent are the same, the mode switching unit 320 on the security key transmits the encryption / decryption module interlocked with the user terminal 200 to the first encryption / Module 310 to the second encryption / decryption module 330. At this time, the file having the security identifier provided by the cloud server 100 can be decrypted on the second encryption / decryption module 330 at the request of the local agent. When the user operates the decrypted file using the second encryption / decryption module 330 and requests upload via the local agent, the local agent can request encryption to the second encryption / decryption module 330. Upon request, the encryption target file may be provided to the second encryption / decryption module 330. At this time, the second encryption / decryption module 330 encrypts the file to be encrypted and concatenates the security identifier with the file name. When the encryption is completed, the local agent can upload the encrypted file having the file name with the security identifier to the cloud server 100. When the upload is completed, the security mode of the local agent can be terminated.

보안키(300)는 제1암호화모둘(310), 모드 전환부(320), 제2암호화모듈(330)을 포함할 수 있다. 보안키(300)는 상기 사용자 단말(200)와는 별개의 하드웨어로서, USB 타입으로 제작될 수 있다. 그리고, 보안키(300)는 USB를 통해 사용자 단말(200)에 접속될 수 있다. The security key 300 may include a first encryption module 310, a mode switching unit 320, and a second encryption module 330. The security key 300 is hardware separate from the user terminal 200 and can be manufactured as a USB type. The security key 300 may be connected to the user terminal 200 via the USB.

제1암복호화모듈(310)은 상술한 2차 인증 시, 로컬 에이전트의 요청에 의해 2차 인증 ID를 복호화할 수 있다. 그리고, 제1암호화모듈(310)은 최초 클라우드 서비스 이용시, 2차 인증 ID를 암호화할 수 있다. 이때, 로컬 에이전트는 암호화된 2차 인증 ID를 클라우드 서버(100)에 등록할 수 있다. 모드 전환부(320)는 로컬 에이전트로부터 인증번호가 포함된 모드 전환 요청를 수신하면, 사용자 단말(200)와 연동하는 암보호화모듈을 제1암복호호모듈에서 제2암복호화모듈로 전환할 수 있다. 제2암호화모듈(330)은 로컬 에이전트를 통해 전달받는 보안식별자를 가지는 파일을 복화화할 수 있고, 역으로 유저가 사용자 단말 상에서 작업한 파일의 업로드를 요청하면 로컬 에이전트의 요청에 의해 그 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다. The first encryption / decryption module 310 may decrypt the secondary authentication ID at the request of the local agent during the secondary authentication described above. The first encryption module 310 can encrypt the secondary authentication ID when using the first cloud service. At this time, the local agent can register the encrypted secondary authentication ID in the cloud server 100. When the mode switching unit 320 receives the mode change request including the authentication number from the local agent, the mode switching unit 320 may switch the privacy guard module interlocked with the user terminal 200 from the first amblyopia call module to the second amblyopia module. The second encryption module 330 can decrypt a file having a security identifier received through the local agent. On the other hand, if the user requests upload of a file that is operated on the user terminal, the second encryption module 330 encrypts the file At the same time, a security identifier can be included in the file name.

한편, 상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스 이용 중 사용자 단말(200)이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환될 수 있다. 이때 제2 암복호화 모듈(330)은 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화하고, 암호화한 파일에 보안식별자 부여하며, 보안식별자가 부여된 파일을 여러 조각으로 분해하고, 여러 조각으로 분해된 파일을 결합시 이용하기 위한 조각 알고리즘 정보를 생성하여, 보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송할 수 있다.Meanwhile, when the security agent 300 enters the security mode in response to the occurrence of an event for security setting of a file generated by the user terminal 200 during the use of the cloud service by the user terminal 200, The second encryption / decryption module 330 may be switched to the second encryption / decryption module 330 through the mode switching unit 320 that switches from the encryption / decryption module 310 to the second encryption / decryption module 330. At this time, the second encryption / decryption module 330 encrypts the file received from the local agent, assigns a security identifier to the encrypted file, decomposes the file to which the security identifier is given into several fragments, The security identifier and fragmentation algorithm information may be stored, the security identifier may be assigned, and the encrypted fragments may be transmitted to the local agent.

또한, 상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환될 수 있다. 이때 암복호화 모듈(330), 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여, 상기 로컬 에이전트에 전송한다. In addition, the security key 300 is generated when an event occurs in which the security terminal is downloaded and the encrypted fragment file is downloaded from the cloud server 100 while the user terminal 200 is using the cloud service, The second encryption / decryption module 330 can be switched to the second encryption / decryption module 330 through the mode switching unit 320 which switches from the first encryption / decryption module 310 to the second encryption / decryption module 330. At this time, the encryption / decryption module 330 combines and decrypts the scrambled file having the security identifier received from the local agent through the security identifier and the fragmentation algorithm information, and transmits the fragmented file to the local agent.

조각 알고리즘 정보는 파일의 식별 정보, 파일의 크기 정보, 파일 조각 각각의 크기 정보, 파일 내에서 파일 조각 각각의 위치 정보 및 파일 내에서 파일 조각의 순서 정보를 포함할 수 있다.The fragmentation algorithm information may include identification information of the file, size information of the file, size information of each file fragment, location information of each file fragment in the file, and order information of the file fragment in the file.

상기 제1암복호화모듈과 상기 제2암복호화모듈은 각각 다른 암복화화알고리즘이 탑재될 수 있다. The first and second encryption / decryption modules may be implemented with different encryption / decryption algorithms.

이하, 상기와 같은 보안 시스템의 동작 프로세스에 대하여 설명한다. 이하의 설명에 의해, 상기 보안 시스템의 구성이 보다 명확해 질 수 있다. Hereinafter, the operation process of the security system will be described. The configuration of the security system can be made more clear by the following description.

< 1차 인증 과정 ><Primary certification process>

사용자 단말(200)은 유저 조작에 의해 클라우드 서버(100)에 접속할 수 있고, ① 사용자 단말(200) 상에 입력되는 아이디/패스워드를 통해 ② 클라우드 서버(100)는 1차 인증을 할 수 있다. 인증에 실패한 경우, 사용자 단말과 클라우드 서버의 세션이 종료될 수 있다. 1차 인증이 완료되는 것에 대응하여 클라우드 서버(100)는 로컬 에이전트를 사용자 단말(200)로 전송할 수 있다(도 4 참조). 이때, 사용자 단말(200) 상에 로컬 에이전트가 설치되고, 실행될 수 있다. 로컬 에이전트를 클라우드 서버(100)를 통해 클라우드 서비스를 이용하기 위한 에이전트일 수 있다. The user terminal 200 can access the cloud server 100 by a user operation and (1) the cloud server 100 can perform the primary authentication through the ID / password input on the user terminal 200. [ If the authentication fails, the session between the user terminal and the cloud server may be terminated. In response to completing the primary authentication, the cloud server 100 may send the local agent to the user terminal 200 (see FIG. 4). At this time, a local agent may be installed on the user terminal 200 and executed. The local agent may be an agent for using the cloud service through the cloud server 100. [

< 2차 인증 과정 ><Secondary certification process>

① 보안키(300)가 사용자 단말(200)에 연결된 수 있다. 보안키(300)는 USB 타입으로 제작되어, USB 포트를 통해 보안키(300)는 사용자 단말(200)에 연결될 수 있다. (1) The security key 300 may be connected to the user terminal 200. The security key 300 is manufactured as a USB type, and the security key 300 can be connected to the user terminal 200 through the USB port.

② 보안키(300)가 연결되는 것에 대응하여, 로컬 에이전트는 클라우드 서버(100)로 2차 인증을 요청할 수 있다. ③ 이때, 클라우드 서버(100)는 2차 인증 ID를 사용자 단말(200)로 제공할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 로컬 에이전트는 2차 인증 ID를 클라우드 서버(100)로부터 수신하면, 이를 보안키에 제공할 수 있다. ④ 이때, 보안키(300)는 제1암복호화모듈(310) 상에서 2차 인증 ID를 복호화하고, 복호화된 2차 인증 ID를 로컬 에이전트에 제공할 수 있다. 로컬 에이전트는 복호화된 ID를 클라우드 서버(100)에 제공할 수 있고, 클라우드 서버(100)는 복호화된 2차 인증 ID를 사용해 2차 인증을 수행할 수 있다. (2) In response to the connection of the security key 300, the local agent can request the secondary authentication to the cloud server 100. (3) At this time, the cloud server 100 may provide the secondary authentication ID to the user terminal 200. [ Here, the secondary authentication ID provided by the cloud server 100 may be an encrypted ID, and may be an ID encrypted by the security key 300 when the cloud service is initially accessed. When the local agent receives the secondary authentication ID from the cloud server 100, it can provide it to the security key. (4) At this time, the security key 300 may decrypt the secondary authentication ID on the first encryption / decryption module 310 and provide the decrypted secondary authentication ID to the local agent. The local agent can provide the decrypted ID to the cloud server 100 and the cloud server 100 can perform the secondary authentication using the decrypted secondary authentication ID.

⑤ 2차 인증이 완료되면, 클라우드 서버(100)는 클라우드 서비스를 사용자 단말에 제공할 수 있다. 이때, 로컬 에이전트는 클라우드 서비스 이용을 위해 유저 인터페이스 기능을 수행할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 클라우드 서비스는 주지된 SaaS(Software as a Service), PaaS(Platform as a Service), Haas (Hardware as a Service), IaaS (Infrastructure as a service)를 모두 포함할 수 있다. 2차 인증에 실패한 경우, 로컬 에이전트와 클라우드 서버(100) 간의 세션을 종료될 수 있다. (5) When the secondary authentication is completed, the cloud server 100 can provide the cloud service to the user terminal. At this time, the local agent can perform a user interface function to use the cloud service. Here, the cloud service provided by the cloud server 100 includes all known Software as a Service (SaaS), Platform as a Service (PaaS), Hardware as a Service (Haas), and Infrastructure as a service . If the secondary authentication fails, the session between the local agent and the cloud server 100 may be terminated.

< 파일 보안 과정 1><File security process 1>

클라우드 서비스 이용 중 로컬 에이전트는 유저가 보안 설정이 되어 있는 파일을 클라우드 서버(100)로 요청한 경우(S110), 로컬 에이전트는 보안모드로 진입할 수 있다. 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입할 수 있다(S120,S130)). 유저가 파일 작업 후 클라우드 서버(100)로 업로드 할 때 보안 설정을 한 경우 보안키(300) 상의 제2암복호화모듈(330)은 파일의 암호화 함과 더불어 파일명에 보안식별자를 병기할 수 있다(S140). 그리고, 로컬 에이전트는 보안 식별자가 병기된 파일명을 가지는 파일을 클라우드 서버(100)로 업로드 할 수 있다(S150). 이 같은 배경에서, 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입하게 된다(S110,S120). In the case where the local agent requests the cloud server 100 to use a file having a security setting while the cloud service is in use (S110), the local agent can enter the security mode. The local agent may enter the security mode if a security identifier is detected on the file name requested by the user (S120, S130)). When the user sets security when uploading to the cloud server 100 after the file operation, the second encryption / decryption module 330 on the security key 300 can encrypt the file and stipulate the security identifier in the file name ( S140). Then, the local agent can upload a file having the file name having the security identifier to the cloud server 100 (S150). In this background, when the security identifier is detected on the file name requested by the user, the local agent enters the security mode (S110, S120).

보안 모드에 진입하게 되면, 로컬 에이전트는 인증번호관리서버(500)로 인증번호를 요청할 수 있다. 이에 대응하여, 인증번호관리서버(500)는 인증번호를 기 설정된 번호를 가지는 스마트폰(400)으로 전송할 수 있다. 여기서, 스마트폰(400)은 정당한 보안키(300) 소유자가 소유하는 스마트폰(400)일 수 있다. Upon entering the security mode, the local agent can request the authentication number to the authentication number management server 500. In response, the authentication number management server 500 can transmit the authentication number to the smartphone 400 having the preset number. Here, the smartphone 400 may be a smartphone 400 owned by a holder of a valid security key 300.

이때, 유저에 의해 사용자 단말(200) 상에 인증번호가 입력되면, 로컬 에이전트는 인증번호를 포함하는 모드 전환 요청을 보안키(300)에 제공할 수 있다. 이때, 보안키 상의 모드 전환부(320)는 보안키(300) 상에 저장된 인증번호와 로컬 에이전트가 제공한 인증번호가 동일한 경우, 사용자 단말(200)과 연동하는 암복호화모듈을 제1암복호화모듈(310)에서 제2암복호화모듈(330)로 전환할 수 있다(S130). 인증에 실패한 경우, 모드 전환부(320)는 모드 전환을 불허하는 메시지를 로컬 에이전트에 제공할 수 있다. At this time, if the user inputs an authentication number on the user terminal 200, the local agent can provide a mode change request including the authentication number to the security key 300. [ In this case, when the authentication number stored on the security key 300 and the authentication number provided by the local agent are the same, the mode switching unit 320 on the security key decrypts the encryption / decryption module linked with the user terminal 200 as the first encryption / Module 310 to the second encryption / decryption module 330 (S130). If the authentication fails, the mode switching unit 320 may provide a message to the local agent not to switch the mode.

이때, 클라우드 서버(100)가 제공하는 보안식별자를 가지는 파일은 로컬 에이전트의 요청에 의해 제2암복호화모듈(330) 상에서 암복호화가 수행될 수 있다(S150). 유저가 제2암복화화모듈(330)을 사용해 복호화된 파일을 작업하고 로컬 에이전트를 통해 업로드를 요청하면, 로컬 에이전트는 제2암복호화모듈(330)에 암호화를 요청할 수 있다. 요청시, 암호화 대상 파일이 제2암복호화모듈(330)에 제공될 수 있다. 이때, 제2암복호화모듈(330)은 암호화 대상 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다(S140). 암호화가 완료되면 로컬 에이전트는 보안식별자가 병기된 파일명을 가지는 암호화된 파일을 클라우드 서버(100)로 업로드 할 수 있다(S150). 업로드가 완료되면, 로컬 에이전트의 보안모드는 종료될 수 있다. At this time, the file having the security identifier provided by the cloud server 100 may be decrypted on the second encryption / decryption module 330 at the request of the local agent (S150). When the user operates the decrypted file using the second encryption / decryption module 330 and requests upload via the local agent, the local agent can request encryption to the second encryption / decryption module 330. Upon request, the encryption target file may be provided to the second encryption / decryption module 330. At this time, the second encryption / decryption module 330 encrypts the encryption object file and concatenates the security identifier into the file name (S140). When the encryption is completed, the local agent can upload the encrypted file having the file name of the security identifier to the cloud server 100 (S150). When the upload is completed, the security mode of the local agent can be terminated.

이상과 같이, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술 사상과 아래에 기재될 특허청구범위의 균등 범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. It will be understood that various modifications and changes may be made without departing from the scope of the appended claims.

100: 클라우드 서버
200: 사용자 단말(엔드포인트)
300: 보안키
400: 스마트폰
500: 인증번호관리서버100: Cloud server
200: User terminal (end point)
300: Security Key
400: Smartphone
500: Authentication number management server

Claims (5)

클라우드 서비스 제공을 위하여 1차 인증부(110) 및 2차 인증부(130)의 인증절차를 요구하는 클라우드 서버(100);
엔드 포인트 상에 설치되며, 상기 클라우드 서버(100)와 연동하는 로컬 에이전트가 설치된 사용자 단말(200); 및
제1 암복호화 모듈(310)과 제2 암복호화 모듈(330) 및 모드 전환부(320)가 구비되며, 상기 사용자 단말(200)에 연결되는 보안키(300);를 포함하며,
상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스를 제공받을 수 있도록 로컬 에이전트를 통해 상기 클라우드 서버(100)로부터 암호화된 인증 ID를 수신하고, 상기 인증 ID를 복호화하여 클라우드 서버(100)로 전송하는 일련의 과정으로 상기 2차 인증부(130)의 인증 절차를 수행하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
A cloud server (100) requesting an authentication procedure of the first authentication unit (110) and the second authentication unit (130) for providing a cloud service;
A user terminal 200 installed on an end point and having a local agent interworking with the cloud server 100; And
And a security key 300 having a first encryption / decryption module 310, a second encryption / decryption module 330, and a mode switching unit 320 and connected to the user terminal 200,
The security key 300 receives the encrypted authentication ID from the cloud server 100 through the local agent so that the user terminal 200 can receive the cloud service, decrypts the authentication ID, and transmits the encrypted authentication ID to the cloud server 100 And the authentication process of the secondary authentication unit 130 is performed in a series of processes.
제 1항에 있어서,
상기 보안키(300)는
상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안 설정된 파일을 클라우드 서버(100)로 업로드 또는 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 사용자 단말(200)과 연동하는 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어 상기 로컬 에이전트로부터 수신한 보안 설정된 파일을 상기 제2 암복호화 모듈(330)에서 암복호화하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
The method according to claim 1,
The security key (300)
If the local agent enters the security mode due to an event that the user terminal 200 uploads a security-enabled file to the cloud server 100 or downloads from the cloud server 100 during the use of the cloud service, the user terminal 200 Is switched to the second encryption / decryption module 330 through the mode switching unit 320 which switches from the first encryption / decryption module 310 coupled to the second encryption / decryption module 330 to the second encryption / decryption module 330, And the second encryption / decryption module 330 encrypts and decrypts the set file.
제 1항에 있어서,
상기 보안키(300)는
상기 사용자 단말(200)이 클라우드 서비스 이용 중 사용자 단말(200)이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면,
상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어,
상기 제2 암복호화 모듈(330)을 통해 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화, 암호화한 파일에 보안식별자 부여, 보안식별자가 부여된 파일을 조각, 조각 알고리즘 정보 생성을 수행하여,
보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
The method according to claim 1,
The security key (300)
If the local agent enters the security mode due to the occurrence of an event for security setting of the file generated by the user terminal 200 during the use of the cloud service by the user terminal 200,
The second encryption / decryption module 330 is switched to the second encryption / decryption module 330 through the mode switching unit 320 for switching from the first encryption / decryption module 310 to the second encryption / decryption module 330,
The second encryption / decryption module 330 encrypts and encrypts the file received from the local agent, assigns a security identifier to the encrypted file, carries out fragmentation of the file to which the security identifier is assigned,
Wherein the security identifier and fragmentation algorithm information are stored, and a security identifier is assigned, and the encrypted fragment file is transmitted to the local agent.
제 3항에 있어서,
상기 보안키(300)는
상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면,
상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어,
상기 제2 암복호화 모듈(330), 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여,
상기 로컬 에이전트에 전송하는 것을 특징으로 하는 엔드포인트 보안 서버 관리 시스템.
The method of claim 3,
The security key (300)
If the local agent enters the security mode due to the occurrence of an event in which the security terminal is given and the encrypted fragment file is downloaded from the cloud server 100 while the user terminal 200 is using the cloud service,
The second encryption / decryption module 330 is switched to the second encryption / decryption module 330 through the mode switching unit 320 for switching from the first encryption / decryption module 310 to the second encryption / decryption module 330,
The second encryption / decryption module 330 combines and decrypts the scrambled file having the security identifier received from the local agent through the security ID and fragment algorithm information,
To the local agent. &Lt; Desc / Clms Page number 22 &gt;
제 1항 내지 제 4항 중 어느 한 항에 있어서,
상기 사용자 단말(200)은
상기 클라우드 서버(100)의 1차 인증부(110)의 인증 절차에 따라 1차 인증되어 클라우드 서버(100)와 연결되고,
상기 보안키(300)의 제1 암복호화 모듈(310)을 이용하여 상기 클라우드 서버(100)의 2차 인증부(130)의 인증 절차에 사용되는 인증 ID를 복호화함으로써 2차 인증되어 상기 클라우드 서비스를 제공받는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
5. The method according to any one of claims 1 to 4,
The user terminal (200)
Is first authenticated according to the authentication procedure of the first authentication unit 110 of the cloud server 100 and is connected to the cloud server 100,
The second authentication unit 310 decrypts the authentication ID used in the authentication procedure of the second authentication unit 130 of the cloud server 100 by using the first encryption / decryption module 310 of the security key 300, Wherein the endpoint security server management system comprises:
KR1020160153024A 2016-11-17 2016-11-17 Endpoint Security Server Management System KR101709276B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160153024A KR101709276B1 (en) 2016-11-17 2016-11-17 Endpoint Security Server Management System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160153024A KR101709276B1 (en) 2016-11-17 2016-11-17 Endpoint Security Server Management System

Publications (1)

Publication Number Publication Date
KR101709276B1 true KR101709276B1 (en) 2017-02-22

Family

ID=58314630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160153024A KR101709276B1 (en) 2016-11-17 2016-11-17 Endpoint Security Server Management System

Country Status (1)

Country Link
KR (1) KR101709276B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101971225B1 (en) * 2018-10-11 2019-04-22 옥임식 Data transmission security system of cloud service and a providing method thereof
CN111176710A (en) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 Operation method of terminal software management system and terminal software management system
KR20230066754A (en) 2021-11-08 2023-05-16 주식회사 발카리 Distributed endpoint security method using blockchain technology and device thereof

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140011496A (en) * 2012-06-07 2014-01-29 에스케이플래닛 주식회사 Cloud service supporting method and system based on a enhanced security
JP2014517420A (en) * 2011-06-17 2014-07-17 アリババ・グループ・ホールディング・リミテッド File processing method, system, and server clustering system for cloud storage
KR20140110042A (en) 2012-03-09 2014-09-16 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 Cloud computing secure data storage

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014517420A (en) * 2011-06-17 2014-07-17 アリババ・グループ・ホールディング・リミテッド File processing method, system, and server clustering system for cloud storage
KR20140110042A (en) 2012-03-09 2014-09-16 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 Cloud computing secure data storage
KR20140011496A (en) * 2012-06-07 2014-01-29 에스케이플래닛 주식회사 Cloud service supporting method and system based on a enhanced security

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101971225B1 (en) * 2018-10-11 2019-04-22 옥임식 Data transmission security system of cloud service and a providing method thereof
CN111176710A (en) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 Operation method of terminal software management system and terminal software management system
CN111176710B (en) * 2019-12-30 2023-10-03 宁波视睿迪光电有限公司 Operation method of terminal software management system and terminal software management system
KR20230066754A (en) 2021-11-08 2023-05-16 주식회사 발카리 Distributed endpoint security method using blockchain technology and device thereof

Similar Documents

Publication Publication Date Title
CN110636062B (en) Method and device for controlling secure interaction of equipment, electronic equipment and storage medium
EP3723399A1 (en) Identity verification method and apparatus
US10601801B2 (en) Identity authentication method and apparatus
US9577784B2 (en) System, device, and method for securing voice authentication and end-to-end speech interaction
CN107358441B (en) Payment verification method and system, mobile device and security authentication device
CN109361508B (en) Data transmission method, electronic device and computer readable storage medium
CN108282329B (en) Bidirectional identity authentication method and device
CN106790223B (en) Data transmission method, equipment and system
CN111783068B (en) Device authentication method, system, electronic device and storage medium
US8811609B2 (en) Information protection system and method
US11159329B2 (en) Collaborative operating system
TWI636373B (en) Method and device for authorizing between devices
WO2015024419A1 (en) Content sharing method, device and system
CN103458400A (en) Key management method for voice encryption communication system
CN107454590A (en) A kind of data ciphering method, decryption method and wireless router
CN103036880A (en) Network information transmission method, transmission equipment and transmission system
US20190044922A1 (en) Symmetric key identity systems and methods
KR101709276B1 (en) Endpoint Security Server Management System
CN105208005A (en) Fingerprint authentication method, connection equipment and terminal equipment
CN102404337A (en) Data encryption method and device
CN106411520B (en) Method, device and system for processing virtual resource data
CN104270380A (en) End-to-end encryption method and system based on mobile network and communication client side
CN107682380B (en) Cross authentication method and device
CN113422832B (en) File transmission method, device, equipment and storage medium
CN106972928B (en) Bastion machine private key management method, device and system

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200204

Year of fee payment: 4