KR20120091507A - 데이터 접근 권한 관리 방법 및 장치 - Google Patents

Abstract

데이터 파일의 헤더와 본문의 분리를 통해서 데이터의 기밀성을 보장하고, 비밀 분산과 타입 기반 프록시 재 암호화를 도입하여 클라우드 컴퓨팅 환경에 적합한 데이터 접근 권한 관리 방법 및 장치가 제공된다. 데이터 소유자 단말이 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭 키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 권한 관리자 단말 및 클라우드 서비스 제공자 단말로 각각 제공하여 저장한다. 사용자 집단 단말이 상기 권한 관리자 단말에 상기 데이터 파일에 대한 접근을 요구함에 따라 상기 권한 관리자 단말이 시스템 사용자 리스트의 확인을 통해 상기 사용자 집단 단말의 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 클라우드 서비스 제공자 단말로 하여금 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 상기 사용자 집단 단말로 제공한다. 상기 권한 관리자 단말로부터의 상기 암호문의 본문 전송 지시에 따라 상기 클라우드 서비스 제공자 단말이 상기 암호문의 본문을 상기 사용자 집단 단말로 제공한다. 상기 사용자 집단 단말이 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득한다.

Description

데이터 접근 권한 관리 방법 및 장치{Data access privilege managing method and apparatus}

본 발명은 데이터 접근 권한 관리 방법에 관한 것으로서, 더 상세하게는 클라우드 스토리지에서 타입 정보 기반 프록시 재 암호화를 이용한 데이터 접근 권한 관리 방법 및 그 장치에 관한 것이다.

인터넷을 통해서 컴퓨팅 자원(Computing Resources)을 활용하는 클라우드 컴퓨팅(Cloud Computing)은 학계와 산업계에서 주목하고 있는 새로운 컴퓨팅 패러다임이다. 클라우드 컴퓨팅은 컴퓨팅 자원을 서비스로 제공하는 인터넷 비즈니스, 특히 데이터의 저장 관리 및 제공 서비스에 이용된다.

클라우드 컴퓨팅의 특성은 자원의 공유성(Multitenancy), 자원의 규모성(Massive scalability), 자원을 얻는 탄력성(Elasticity), 사용한 만큼 대가를 지불하는 과금 방식(Pay-as-you-go), 자원의 조직성(Self-provisioning resources)으로 5가지가 있다. 이러한 클라우드 컴퓨팅의 특성을 이용하여 기업은 신속한 업무처리와 효율적인 투자로 수익을 창출한다.

이러한 장점에도 불구하고 클라우드 컴퓨팅을 비즈니스 환경에 도입하여 활용하기 위해서는 여러 가지 보안 위협을 고려해야 한다. 한편, 데이터의 기밀성뿐만 아니라 정보를 열람함에 있어서 사용자 속성에 따른 유연성있는 접근 제어(fine-grained access control), 예를 들어 사장과 부장, 과장 등 직책과 같은 각 개인의 사용자 속성에 따른 데이터 접근권한이 차별적으로 부여 가능해야 한다. 또한, 특정 사용자의 데이터 열람 권한을 철회하는 기능이 있어야 한다. 예를 들면, 어떤 사용자가 2010년 11월 1일에 서비스 이용 라이센스가 만료되는 경우, 철회 대상인 사용자를 시스템상에서 효율적으로 제거할 수 있는 방법이 필요하다.

이러한 방법을 제시하기 위해서 Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.에서는 KP-ABE(Key Policy-Attribute Based Encryption)를 활용하여 데이터 기밀성과 fine-grained access control을 보장하고, PRE(Proxy Re-Encryption)를 통해서 클라우드 서버에 업무를 위임하는 방식을 구체화하여 다수의 사용자 이용에 따른 키 생성 등의 계산상 과부하 문제를 해결했다. 또한, 시스템상의 특정 사용자를 철회할 수 있는 방법도 제시했다.

그러나 상기 종래 방식은 철회된 사용자와 클라우드 서버 간의 공모를 통한 불법 데이터 접근(예를 들면, 라이센스가 만료된 사용자의 데이터 열람)이 가능하다. 또한, 정당한 사용자에 대한 접근 권한을 판별하여 승인하는 절차인 권한 관리(privilege management) 기능이 결여되어 있기 때문에 정보 공유 및 활용을 위한 사용자 권한관리 문제가 있다. 부가적으로 위임자가 피 위임자를 신뢰하는 수준에 따라서 메시지의 전문 혹은 일부분을 선택적으로 위임할 수 있는 방법이 필요하다. 예를 들어, 환자(서비스 대상자)의 진료 기록을 보험 회사 A와 연구 기관 B에 각각 다르게 선택적으로 위임하고 나머지 정보는 노출되지 않아야 한다.

본 발명은 이상과 같은 종래의 문제점을 개선하기 위하여 창출된 것으로서, 클라우드 서버에 저장되는 데이터 파일의 헤더와 본문(body)의 분리를 통해서 데이터의 기밀성을 보장하고, 비밀 분산(Secret Sharing)과 타입 기반 프록시 재 암호화를 도입하여 클라우드 컴퓨팅 환경에 적합한 데이터 접근 권한 관리 방법 및 그 장치를 제공함에 그 목적이 있다.

본 발명에 따른 데이터 접근 권한 관리 방법은 (i) 데이터 소유자 단말이 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE(Key Policy Attribute Based Encryption) 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭 키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 권한 관리자 단말 및 클라우드 서비스 제공자 단말로 각각 제공하여 저장하는 단계; (ii) 사용자 집단 단말이 상기 권한 관리자 단말에 상기 데이터 파일에 대한 접근을 요구함에 따라 상기 권한 관리자 단말이 시스템 사용자 리스트의 확인을 통해 상기 사용자 집단 단말의 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 클라우드 서비스 제공자 단말로 하여금 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 상기 사용자 집단 단말로 제공하는 단계; (iii) 상기 권한 관리자 단말로부터의 상기 암호문의 본문 전송 지시에 따라 상기 클라우드 서비스 제공자 단말이 상기 암호문의 본문을 상기 사용자 집단 단말로 제공하는 단계; 및 (iv) 상기 사용자 집단 단말이 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득하는 단계를 포함하는 것을 특징으로 한다.

또한, 본 발명에 따른 데이터 접근 권한 관리 장치는 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE(Key Policy Attribute Based Encryption; KP-ABE) 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 개별적으로 전송하는 데이터 소유자 단말; 상기 데이터 소유자 단말로부터의 상기 암호화된 대칭키가 포함된 암호문의 헤더를 수신받아 저장하고, 사용자로부터 상기 데이터 파일에 대한 접근 요구에 따라 시스템 사용자 리스트의 확인을 통해 상기 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 전송하는 권한 관리자 단말; 상기 데이터 소유자 단말로부터의 상기 암호문의 본문을 수신받아 저장하고, 상기 권한 관리자 단말로부터의 상기 암호문의 본문 전송 지시에 따라 상기 암호문의 본문을 상기 사용자로 제공하는 클라우드 서비스 제공자 단말; 및 상기 권한 관리자 단말에 상기 데이터 파일에 대한 접근을 요구하고, 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득하는 사용자 집단 단말을 포함하는 것을 특징으로 한다.

클라우드 컴퓨팅은 기업입장에서 컴퓨팅 자원에 대한 효율적인 투자와 신속한 업무처리로 수익을 창출하는 획기적인 컴퓨팅 패러다임이다. 이 때문에 기존 비즈니스는 컴퓨팅 자원을 서비스로 제공받는 클라우드 비즈니스로 변화되어갈 것이다. 그러나 클라우드 사업자를 데이터 보안 관리상 전적으로 신뢰할 수 없기 때문에 데이터 보안 위협 및 프라이버시 침해 요소를 고려해야 한다. 특히, 데이터 기밀성을 보장하는 것이 필요하다. 이러한 문제를 해결하기 위해서 Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.는 데이터 기밀성을 보장하면서 fine-grained access control한 방식을 제안했다. 그러나 철회된 사용자와 클라우드 서버 간의 공모 공격과 프록시 재 암호화 키에 대한 변조 공격 취약성에 의해 데이터 기밀성을 침해하게 된다. 이러한 문제점을 해결하기 위해서 본 발명에서는 클라우드 서버에 저장되는 데이터 파일에 수정을 가하여 데이터의 기밀성을 보장했다. 또한, 비밀 분산 방식의 적용을 통해서 사용자의 데이터 열람 권한을 판별하여 승인하는 절차를 수행하고, 타입 기반 프록시 재 암호화를 활용하여 위임자가 피 위임자를 신뢰하는 수준에 따라 메시지의 전문 혹은 일부분을 선택적으로 위임할 수 있는 방법을 구체화했다. 표 1은 Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식과 본 발명에서 제안한 방식과의 특성을 비교하는 표이다.

도 1은 본 발명에 적용될 수 있는 접근 구조의 일예를 나타낸 도면.
도 2는 본 발명의 실시예에 따른 데이터 접근 권한 관리 장치 및 방법을 설명하는 구성도.
도 3은 본 발명의 실시예에 따른 데이터 파일 형식을 나타낸 도면이다.

이하 첨부된 도면을 참조하면서 본 발명의 실시예를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.

본 발명에서는 CSA, Security Guidance for Critical Areas of Focus Cloud Computing, Vol.2.1, 2009.에서 분류한 클라우드 컴퓨팅 7대 보안 위협 중 데이터 손실 및 유출, 즉 클라우드 서버(Cloud server)에 저장되는 데이터의 기밀성(data confidentiality) 문제에 초점을 맞추어 클라우드 컴퓨팅 환경에 적합한 시스템 모델을 구성한다.

쌍선형 사상( Bilinear Mapping )

2개의 순환군(Cyclic Group) G₁, G₂에 대해 쌍선형 사상

(G_T는 쌍선형 사상의 출력 공간)는 다음의 성질을 갖는다.

① 쌍선형성(Bilinear) : 모든 u∈G₁, u∈G₂, 및 모든 a,b∈Z에 대해

가 성립된다.

② 비퇴화성(Non-degenerate) : G_X(X=1,2)의 생성원 g∈G_X에 대해 e(g,g)≠1이다.

③ 계산 가능성(Computable) : 모든 u∈G₁, u∈G₂에 대해서 e(u, v)를 계산하는 효율적인 알고리즘이 존재한다.

본 발명의 방식은 Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식에서 클라우드 서버에 저장되는 데이터 파일을 헤더와 본문으로 나누어 각각 권한 관리자와 클라우드 사업자에게 분산 저장한다. 헤더에는 본문의 메시지를 암호화하는데 사용된 비밀키가 KP-ABE로 암호화되어 있다. 다시 말해서 사용자는 권한 관리자에게 정당성을 인정받지 못하면 헤더 내의 비밀키 정보를 얻을 수 없고 실제적으로 사용자가 얻고자 하는 메시지가 포함된 본문의 복호가 원천적으로 불가능하다. 즉, 클라우드 서버에 저장된 데이터 파일을 헤더와 본문으로 나누어 분산 저장함으로써 데이터의 기밀성을 보장한다.

또한, 클라우드 내에 권한 관리자를 두어 사용자 접근에 대한 정당성을 판별하고, 데이터 소유자가 정한 가중치(타입 정보)에 따른 선택적 위임이 가능하게 한다. 이러한 기능을 구체화하기 위해서 비밀 분산과 타입 기반 프록시 재 암호화를 활용한다.

Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식에서의 프록시 재 암호화 키 rk_{i ↔i'} ← t_i'/t_i = R을 (k, n) 방식으로 분할하여 각 쉐어 R_ℓ(1≤ℓ≤n)을 권한 관리자에게 전송한다. 권한 관리자는 피 위임자가 데이터를 열람하고자 할 때 사용자의 권한이 정당하다면 프록시 재 암호화 키 쉐어 R_ℓ를 k개 만큼 모아서 R을 재구성하고 정당하지 않다면 연산을 중지한다.

타입 기반 프록시 재 암호화를 활용하여 데이터 소유자가 사용자 집단을 신뢰하는 수준에 따라 메시지를 전문 혹은 일부분으로 나누고 각각 타입 정보를 부여하여 암호화한다. 이를 통해서 데이터 소유자는 사용자 집단에 메시지의 전문 혹은 일부분에 대한 복호 권한을 선택적으로 위임 가능하다.

도 2는 본 발명의 실시예에 따른 데이터 접근 권한 관리 장치 및 방법을 설명하는 구성도이다. 도 2를 참조하면, 본 발명의 실시예에 따른 데이터 접근 권한 관리 장치는 데이터 소유자 단말(100), 권한 관리자(Privilege Manager) 단말(210), 클라우드 서비스 제공자(Cloud Service Provider: CSP) 단말(220)로 이루어진 클라이드 서버(200), 및 사용자 집단(User Group) 단말(300) 총 3개의 집단으로 구성된다.

데이터 소유자 단말(100)은 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE(Key Policy Attribute Based Encryption; KP-ABE) 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 개별적으로 전송한다.

권한 관리자 단말(210)은 상기 데이터 소유자 단말(100)로부터의 상기 암호화된 대칭키가 포함된 암호문의 헤더를 수신받아 저장하고, 사용자로부터 상기 데이터 파일에 대한 접근 요구에 따라 시스템 사용자 리스트의 확인을 통해 상기 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 전송한다.

클라우드 서비스 제공자 단말(220)은 상기 데이터 소유자 단말(100)로부터의 상기 암호문의 본문을 수신받아 저장하고, 상기 권한 관리자 단말(210)로부터의 상기 암호문의 본문 전송 지시에 따라 상기 암호문의 본문을 상기 사용자로 제공한다.

사용자 집단 단말(300)은 상기 권한 관리자 단말(210)에 상기 데이터 파일에 대한 접근을 요구하고, 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득한다.

상기 데이터 소유자 단말(100)은 삭제할 데이터 파일의 ID에 자신의 서명을 첨부하여 상기 권한 관리자 단말(210)로 전송하여 해당 데이터 파일의 삭제를 요구한다. 상기 권한 관리자 단말(210)은 상기 데이터 소유자 단말(100)로부터의 상기 ID에 포함된 서명을 확인하여 정당성이 입증되면 상기 클라우드 서비스 제공자 단말(220)에 저장된 데이터 파일의 본문을 삭제할 것을 요구한다. 상기 클라우드 서비스 제공자 단말(220)은 상기 권한 관리자 단말(210)로부터의 상기 데이터 삭제 요구에 따라 해당 데이터 파일의 본문을 삭제한다.

Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식은 클라우드 서버의 명령에 따른 6개의 시스템 레벨과 시스템 레벨 내에서 구체적으로 작동하는 8개의 알고리즘 레벨로 구성된다. 본 발명은 Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식에 3가지의 알고리즘 레벨(APrivilegeMgt, AEncryptB, ADecryptB)을 추가한다.

(1) 시스템 설정: 데이터 소유자 단말(100)이 시스템 유니버스 U = {1,2,...., N}와 보안 파라미터 k를 입력하여 PK 및 MK, 사용자 집단을 위한 타입 정보 집합 T를 정의하여 출력하는 시스템 레벨(PK, MK←ASetup(k)).

생성자 g를 가지는 소수 위수 p의 쌍선형 그룹(bilinear group) G와 쌍선형 사상 e: G₁ × G₁ → G₂, 해쉬 함수 H = {0, 1}^* → Z_p ^*를 정의한다. 사용자 집단 단말(300)을 위한 타입 정보 집합 T(T=(t₁, t₂, ...., t_N))를 정의한다(t∈{0,1}^*).

, 속성 i에 대한 a_i∈Z_p,

를 생성한다. 시스템 공개키 PK = (Y, A_i, A₂,...,A_N)와 시스템 마스터 키 MK = (y, a_i, a₂,...,a_N, T)를 생성하고 PK에 서명을 덧붙인

를 권한 관리자 단말(210)에게 전송한다.

(2) 새로운 파일 생성: 권한 관리자 단말(210)과 CSP 단말(220)에 데이터 파일을 전송하기 전에 데이터 소유자 단말(100)이 데이터 파일을 암호화하는 시스템 레벨:

데이터 m에 대한 ID를 선택, 임의로 r∈Z_P ^*를 선택하고 r과 임의의 타입 정보 t를 입력하여 대칭키

를 계산하고, 대칭키 DEK로 데이터 m을 암호화한다

.

속성 기반 암호화 개요

속성 기반 암호화(Attribute Based Encryption)는 접근구조(Access Structure)가 비밀키나 암호문 중 어느 것과 관련되는가에 따라 KP-ABE(Key Policy Attribute Based Encryption: KP-ABE) 및 CP-ABE (Ciphertext Policy Attribute Based Encryption)로 구분된다.

본 발명에서는 KP-ABE를 다루고 있으므로 CP-ABE에 대한 소개는 생략한다. KP-ABE에서 사용자의 비밀키는 접근구조와 관련되고 암호문은 속성 집합과 관련되어있다. 즉, 암호문 내의 속성 집합이 사용자 비밀키의 특정 복호 정책을 만족하면 암호문이 복호되는 구조이다. 이러한 복호 구조는 도 1의 접근구조와 같이 구성될 수 있다.

데이터 m에 대한 속성 집합 I를 정의하고

를 KP-ABE로 암호화. 즉,

이다.

도 3과 같은 형식으로 헤더는 권한 관리자 단말(210), 본문은 CSP 단말(220)에 저장한다.

(3) 새로운 사용자 승인: 새로운 사용자 ω가 시스템에 참가를 원할 때, 데이터 소유자 단말(100)이 사용자 ω의 접근 구조 P를 할당하는 시스템 레벨:

접근 구조 P의 각 노드 i에 대한 p_i(x)를 정의. 접근 구조 P의 root 노드는 p_r(0) = y, leaf 노드는 p_j(0)로 정의하고 비밀키

를 생성(SK←AKeyGen(P,MK))한다. 접근 구조의 첫 번째 게이트는 AND 게이트로 시작하고 더미 속성 Att_D을 추가한다.

를 사용자 ω의 공개 키로 암호화하고 C로 표시. (Q, C, δ_{O,(Q, C)})를 권한 관리자 단말(210)에 전송한다(Q는 접근 구조 P의 더미 속성을 제외한 접근 구조). 권한 관리자 단말(210)은 (Q, C, δ_{O,(Q, C)})를 받는 즉시 δ_{O,(Q, C)}가 맞는지 확인. 시스템 사용자 리스트 UL에 Q를 저장하고 사용자 ω에게 C를 전달한다. 사용자 ω는 C를 자신의 비밀키로 복호한 후, δ_{O,(P, SK , PK )}가 맞는지 확인하고 P, SK, PK를 자신의 것으로 받아들인다.

(4) 사용자 철회: 사용자 v의 데이터 열람권한을 철회하고, 시스템 마스터키와 공개키의 콤포넌트가 업데이트됨에 따라 재정의된 프록시 재 암호화 키를 출력하는 시스템 레벨:

접근 구조의 CNF(Conjunctive Normal Form)을 설계하고 최소한의 속성 집합이 있을 때, CNF 형태의 짧은 절에서 속성 집합 D를 선택한다(D←AMinimalSet(P)).데이터 소유자 단말(100)이 a_i' ← Z_P를 선택하고 A_i' = a^a'i와 rk_{i ↔ i'} ← a_i'/a_i = R을 (k, n) 방식으로 분할하여 각 쉐어 R_ℓ(1≤ℓ≤n)을 계산(R←AUpdateAtt(i, MK)). R_ℓ(1≤ℓ≤n)과 Att = (u, D, {i, A_i',δ_{O,(i, A'i )}}_i∈L)를 권한 관리자 단말(210)로 전송한다. 권한 관리자 단말(210)은 시스템 사용자 리스트 UL에서 사용자 v를 제거. (i, A_i',δ_{O,(i, A'i )})를 저장하고 속성 i의 히스토리 리스트 ALH_i에 R을 추가한다.

(5) 파일 접근: 사용자 u가 데이터에 접근할 때 수행되는 시스템 레벨:

사용자 u가 사용자 집단 단말(300)을 이용하여 데이터에 대한 접근 요구 REQ를 생성하여 권한 관리자 단말(210)로 전송한다.

비밀 분산

비밀 분산(Secret Sharing) 방식은 모든 쉐어(share)가 모여야 평문이 복원되는 (n, n) 방식과 임계치 k개만큼의 쉐어만 있으면 복원 가능한 (n, k) 방식이 있다. (n, n) 방식은 쉐어의 변조 및 소실 등으로 인한 복원 불가능 문제가 발생하지만 (k, n) 방식은 쉐어의 변조 및 소실에 영향을 받지 않는다.

본 발명의 방식에서는 권한 관리자(Privilege Manager)가 사용자의 데이터 열람권한을 판별하여 승인하는 절차를 구현하기 위해서 비밀 분산을 활용한다. 즉, 프록시 재 암호화 키를 (n, k) 방식으로 여러 개의 쉐어로 분할한 후 사용자의 데이터 열람권한을 판별하여 정당하다면 k개의 쉐어로 프록시 재 암호화 키를 재구성하고 정당하지 않다면 연산을 중지한다. 또한, 모든 쉐어가 있어야 평문이 복원되는 (n, n) 방식이 아닌 n개의 쉐어 중 개만 있으면 평문을 복원 가능한 (n, k) 방식을 활용하여 복원에 필요한 쉐어 정보량에 따라 복원 가능성이 결정될 수 있도록 한다.

권한 관리자 단말(210)은 UL에서 사용자 u를 확인하고 상기한 바와 같이, 프록시 재 암호화 키 R을 (k, n) 방식으로 분할하여 얻은 각 쉐어 R_ℓ(1≤ℓ≤n)를 k개 모아서 (k, n) 방식으로 rk_{i ↔ i'} ← a_i'/a_i = R로 재구성한다(R←APrivilegeMgt({R_ℓ}_ℓ∈k)). UL에 사용자 u가 있으면 사용자 u가 정당한 사용자인 것으로 인증하는데 반해, UL에 사용자 u가 없다면 이하의 모든 연산을 중지한다.

프록시 재 암호화

프록시 재 암호화 기법은 프록시 서버가 평문에 대한 어떠한 정보의 습득없이 A의 암호문을 B가 복호 가능하도록 재 암호화하는 방식이다. 즉, A는 B에게 자신의 암호문에 대한 복호 권한을 위임하는 재 암호화 키(Re-encryption key)를 생성한 후, 프록시 서버에 송신한다. 그러면 프록시 서버는 재 암호화 키를 통해서 A의 암호문을 B의 비밀키로 복호 가능한 암호문으로 변환하여 B에게 전달한다. 그러면 B는 자신의 비밀키로 암호문을 복호한다.

본 발명의 방식은 Blaze, M., Bleumer, G. and Strauss, M., "Divertible protocols and atomic proxy cryptography", Proceedings of Eurocrypt '98, Volume 1403, 1998.에 개시된 atomic proxy cryptography(이하 BBS 방식)와 L.Ibraimi, Q.Tang, P.Hartel, W.Jonker, A 타입-and-Identity-based Proxy Re-Encryption Scheme and its Application in Healthcare, In: 5th VLDB Workshop on Secure Data Management, SDM, August 24, 2008, pp.185-198.에 개시된 타입 기반 프록시 재암호화(타입-based Proxy Re-encryption)를 활용하여 구성된다. BBS는 A의 암호문을 B의 암호문으로 변환하는 방식이다. 타입 기반 프록시 재 암호화는 기존의 프록시 재 암호화에서 한 단계 더 발전된 형태로서 A가 B에게 복호 권한을 선택적으로 위임(selectively delegate decryption right)할 수 있는 방식이다.

본 발명에서는 데이터 소유자의 키 생성 등에 대한 계산상 과부하를 줄이기 위해서 BBS 방식을 활용하여 클라우드 사업자에게 업무를 위임하고, 위임자가 피 위임자에 대해 신뢰하는 수준에 따라 메시지의 전문 혹은 일부분의 복호권한을 선택적으로 위임하는 타입 기반 프록시 재 암호화의 개념을 활용하여 메시지를 암호화한다.

권한 관리자 단말(210)은 AHL_i에서 모든 프록시 재 암호화 키를 검색(i가 최신 버전이라면 연산을 수행하지 않음. 가장 최근의 MK는 a_{i (n)}이라고 가정). 검색된 프록시 재 암호화 키로 rk_{i ↔i(n)} ← rk_{i ↔ i'}ㆍrk_{i ↔ i'' , ...,} rk_{i (n-1)↔i(n)} = a_i/a_{i (n)}를 계산하여 E_{i (n)} ← (E_i)^{rki ↔i(n)} = g ^{ai (n)S}을 계산한다. 그리고 (rk_{i ↔i(n)})^-1 ← rk_{i ↔ i'}ㆍrk_{i ↔ i'' , ...,} rk_{i (n-1)↔i(n)} = a_i/a_{i (n)}를 계산하여 CSP 단말(220)에 (rk_{i ↔i(n)})^-1 및 {sk_i}_{i∈ Lp}를 전송하면 CSP 단말(220)은 sk_i' ← (sk)^{rki ↔i(n)} = g^{( pi (0)/ ai )ㆍ( ai / ai (n))} = g^{( pin (0)/ ai (n))}을 계산한다(E_{i (n)} ← AUpdateAtt4File(i, E_i, AHL_i)), sk_i' ← AUpdateSK(i, sk_i, AHL_i)). 권한 관리자 단말(210)은 암호화된 대칭키가 포함된 암호문의 헤더

를, CSP 단말(220)은 암호문의 본문 RESP₂ = ({i, sk_i', A_i',δ_{O,(i, A'i )}}_{i∈ Lp ＼ Attp}, mㆍg^H(r?t))를 사용자 u의 사용자 집단 단말(300)로 전송한다.

사용자 u는 상기 사용자 집단 단말(300)을 이용하여 상기 암호문의 본문 RESP₂에서 δ_{O,(i, A'i )}와 sk_i'를 확인하고 SK안의 sk_i를 sk_i'로 대체하고 각 leaf node에 대한 e(E_i, sk_i) = e(g, g)^{pi (0)S}를 계산하며, AND 게이트와 OR 게이트의 연산을 통해서 Y^S = e(g, g)^ys를 계산한다. 헤더의 E를 Y^S로 계산. 즉, E/Y^S = DEK를 계산하고(DEK←ADecryptH(P,SK,E)), 본문의 mㆍg^{H (r?t)}를 DEK로 계산하여 데이터 m을 획득한다(m←ADecryptB(mㆍDEK, DEK)).

(6) 데이터 파일 삭제: 데이터 소유자 단말(100)이 CSP 단말(220)에 저장된 데이터 파일의 본문을 삭제하기 위해서 수행한다. 데이터 파일을 삭제하기 위해서 데이터 소유자 단말(100)은 삭제할 데이터 파일의 ID에 자신의 서명을 첨부하여 권한 관리자 단말(210)로 전송한다. 상기 권한 관리자 단말(210)은 데이터 소유자 단말(100)로부터의 상기 서명을 확인하여 정당성이 입증되면 CSP 단말(220)에 저장된 데이터 파일의 본문을 삭제할 것을 요구하고 CSP 단말(220)은 데이터를 삭제하는 시스템 레벨.

철회된 사용자의 공모 공격에 대한 안정성 분석

본 발명의 중요한 보안 특성은 공모 공격에 대한 안전성이다. 여기서 공모 공격이란 시스템상에서 철회된 사용자가 클라우드 서버와 공모하여 데이터를 불법적으로 열람하는 것이다.

Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식에서는 철회 이벤트가 발생해도 철회된 사용자가 소지하고 있는 비밀키 SK에 직접적인 변화가 없다. 여기서, 본문내의 데이터를 암호화하는데 사용된 대칭키 DEK가 KP-ABE로 암호화되어 헤더 내에 포함되어 있다. 따라서 클라우드 서버(200)가 보유하고 있는 데이터 파일의 헤더에 비밀키 성분의 업 데이트를 실행하지 않고 철회된 사용자에게 전송하면 자신의 비밀키 SK로 헤더를 복호할 수 있다. 즉, 대칭키 DEK를 획득함으로써 데이터 을 열람 가능하다.

이러한 공모 공격에 대한 대책으로서 제안 방식은 데이터 파일을 헤더와 본문으로 나누어 각각 권한 관리자와 클라우드 사업자에 분산 저장한다. 사용자는 권한 관리자에게 정당성을 인정받지 못하면 헤더 내의 대칭키 DEK에 대한 정보를 얻을 수 없기 때문에 본문의 복호가 원천적으로 불가능하다. 즉, 제안 방식은 권한 관리자의 개입으로 철회된 사용자와 클라우드 서버 간의 공모 공격에 대해서 안전하다.

또한, 권한 관리자에게 사용자의 데이터 접근 정당성에 대해 판별할 수 있는 권한을 부여한다. 정당성을 판별하여 승인하는 절차는 프록시 재 암호화 키를 개의 쉐어로 나누어 개의 쉐어가 모였을 때만 재구성되는 (k, n) 방식을 이용한다. 권한 관리자가 사용자의 데이터 접근 정당성을 판별하여 승인되었을 때만 k개의 쉐어로서 프록시 재 암호화 키를 재구성하여 다음 연산을 수행하고, 승인하지 않았을 때는 이하의 모든 연산을 중지한다.

프록시 재 암호화 키에 대한 변조 공격에 대한 안정성 분석

프록시 재 암호화 키에 대한 변조 공격이란 프록시 재 암호화 키 R이 소실 또는 변조를 통해서 원래의 기능을 수행할 수 없게 만드는 공격이다. Yu, S. C., Wang, C., Ren, K. I., and Lou, W. J., "Achieving Secure, Scalable, and Fine-grained Data Access Control in Cloud Computing," INFOCOM, 2010 Proceedings IEEE, 2010, pp.321-334.의 방식에서 프록시 재 암호화 키가 유일하므로 소실되거나 유출되어 변조된다면 재 암호화를 수행할 수 없다. 이와 비교해서 제안 방식은 프록시 재 암호화 키에 대한 변조 공격에 대해서 비밀 분산을 활용하여 프록시 재 암호화 키 복원에 필요한 쉐어 정보량에 따라 복원 가능성이 결정된다.

즉, 본 발명은 (k, n) 비밀 분산 방식으로 프록시 재 암호화 키 을 프록시 재 암호화 키 쉐어 R_ℓ(1≤ℓ≤n)로 분할하여 재조합시 k개 만큼 쉐어가 모여야 프록시 재 암호화 키 R이 재구성된다. 예를 들어 R_ℓ(1≤ℓ≤n)에 대해서 k=3, n=5, 라고 할 때 R₁, R₂, R₃, R₄, 및 R₅ 중 3개의 쉐어만 있어도 R을 도출할 수 있다. k개의 쉐어만 존재하면 프록시 재 암호화 키를 복원할 수 있다는 점에서 안전하다.

이상에서는 본 발명을 특정의 바람직한 실시예로서 설명하였으나, 본 발명은 상기한 실시예에 한정되지 아니하며, 특허 청구의 범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 분야에서 통상의 지식을 가진 자라면 누구든지 다양한 변형이 가능할 것이다.

100: 데이터 소유자 단말 200: 클라우드 서버
210: 권한 관리자 단말 220: CSP 단말
300: 사용자 집단 단말

Claims (6)

1. (i) 데이터 소유자 단말이 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE(Key Policy Attribute Based Encryption) 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭 키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 권한 관리자 단말 및 클라우드 서비스 제공자 단말로 각각 제공하여 저장하는 단계;
   (ii) 사용자 집단 단말이 상기 권한 관리자 단말에 상기 데이터 파일에 대한 접근을 요구함에 따라 상기 권한 관리자 단말이 시스템 사용자 리스트의 확인을 통해 상기 사용자 집단 단말의 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 클라우드 서비스 제공자 단말로 하여금 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 상기 사용자 집단 단말로 제공하는 단계;
   (iii) 상기 권한 관리자 단말로부터의 상기 암호문의 본문 전송 지시에 따라 상기 클라우드 서비스 제공자 단말이 상기 암호문의 본문을 상기 사용자 집단 단말로 제공하는 단계; 및
   (iv) 상기 사용자 집단 단말이 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득하는 단계를 포함하는 데이터 접근 권한 관리 방법.
2. 청구항 1에 있어서, 단계 (i)에서, 상기 데이터 파일의 데이터 m에 대한 ID를 선택, 임의로 r∈Z_P ^*를 선택하고 r과 임의의 타입 정보 t를 입력하여 상기 대칭키 DEK = g^{H (r?t)}를 계산하고, 상기 대칭키 DEK로 상기 데이터 m을 암호화(mㆍg^{H (r?t)})←AEncryptB(m, DEK)하고, 상기 데이터 m에 대한 속성 집합 I를 정의하고 DEK= g^{H (r?t)}를 KP-ABE로 암호화하여 상기 암호문

   

   ←AEncryptH(I, DEK, PK)을 얻는 데이터 접근 권한 관리 방법.
3. 청구항 1에 있어서, 단계 (ii)에서 상기 권한 관리자 단말은 속성 i의 히스토리 리스트 AHL_i에서 모든 프록시 재 암호화 키를 검색하여 얻은 프록시 재 암호화 키로 rk_{i ↔i(n)} ← rk_{i ↔ i'}ㆍrk_{i ↔ i'' , ...,} rk_{i (n-1)↔i(n)} = a_i/a_{i (n)}를 계산하여 E_{i (n)} ← (E_i)^{rki ↔i(n)} = g ^{ai (n)S}을 계산하고, (rk_{i ↔i(n)})^-1 ← rk_{i ↔ i'}ㆍrk_{i ↔ i'' , ...,} rk_{i (n-1)↔i(n)} = a_i/a_{i (n)}를 계산하여 상기 클라이드 서비스 제공자 단말에 (rk_{i ↔i(n)})^-1 및 {sk_i}_{i∈ Lp}를 전송하며, 상기 암호화된 대칭키가 포함된 암호문의 헤더

   

   를 상기 사용자 집단 단말로 제공하고,
   단계 (iii)에서, 상기 클라우드 서비스 제공자 단말은 sk_i' ← (sk)^{rki ↔i(n)} = g^{(pi(0)/ai)ㆍ( ai / ai (n))} = g^{( pin (0)/ ai (n))}을 계산(E_{i (n)} ← AUpdateAtt4File(i, E_i, AHL_i)), sk_i' ← AUpdateSK(i, sk_i, AHL_i))하고, 암호문의 본문 RESP₂ = ({i, sk_i', A_i',δ_{O,(i, A'i )}}_{i∈Lp＼ Attp}, mㆍg^{H (r?t)})를 상기 사용자 집단 단말로 전송하며,
   단계 (iv)에서, 상기 사용자 집단 단말은 상기 암호문의 본문 RESP₂에서 δ_O,(i,A'i)와 sk_i'를 확인하고 SK안의 sk_i를 sk_i'로 대체하고 각 leaf 노드에 대한 e(E_i, sk_i) = e(g, g)^{pi (0)S}를 계산하고, AND 게이트와 OR 게이트의 연산을 통해서 Y^S = e(g, g)^ys를 계산하고, E/Y^S = 대칭키를 계산(DEK←ADecryptH(P,SK,E)), 상기 본문의 mㆍg^{H (r?t)}를 상기 대칭키로 계산하여 데이터 m 획득(m←ADecryptB(mㆍDEK, DEK)) 하는 데이터 접근 권한 관리 방법.
4. 청구항 1에 있어서, 데이터 소유자 단말은 삭제할 데이터 파일의 ID에 자신의 서명을 첨부하여 권한 관리자 단말로 전송하여 해당 데이터 파일의 삭제를 요구하는 단계;
   상기 권한 관리자 단말은 데이터 소유자 단말로부터의 상기 ID에 포함된 서명을 확인하여 정당성이 입증되면 상기 클라우드 서비스 제공자 단말에 저장된 데이터 파일의 본문을 삭제할 것을 요구하는 단계; 및
   상기 클라우드 서비스 제공자 단말은 상기 권한 관리자 단말로부터의 상기 데이터 삭제 요구에 따라 해당 데이터 파일의 본문을 삭제하는 단계를 더 포함하는 데이터 접근 권한 관리 방법.
5. 대칭키로 데이터 파일을 암호화하여 헤더 및 본문으로 이루어진 암호문을 얻고 상기 대칭키를 KP-ABE(Key Policy Attribute Based Encryption; KP-ABE) 방식으로 암호화하여 상기 암호문의 헤더에 포함하고, 상기 암호화된 대칭키가 포함된 암호문의 헤더 및 상기 암호문의 본문을 개별적으로 전송하는 데이터 소유자 단말;
   상기 데이터 소유자 단말로부터의 상기 암호화된 대칭키가 포함된 암호문의 헤더를 수신받아 저장하고, 사용자로부터 상기 데이터 파일에 대한 접근 요구에 따라 시스템 사용자 리스트의 확인을 통해 상기 사용자의 정당성을 인증하여 정당한 사용자인 경우, 상기 암호문의 본문을 전송하도록 지시하고 상기 암호화된 대칭키가 포함된 암호문의 헤더를 전송하는 권한 관리자 단말;
   상기 데이터 소유자 단말로부터의 상기 암호문의 본문을 수신받아 저장하고, 상기 권한 관리자 단말로부터의 상기 암호문의 본문 전송 지시에 따라 상기 암호문의 본문을 상기 사용자로 제공하는 클라우드 서비스 제공자 단말; 및
   상기 권한 관리자 단말에 상기 데이터 파일에 대한 접근을 요구하고, 상기 암호문의 헤더에 포함된 상기 암호화된 대칭키로 상기 암호문의 본문을 복호하여 상기 데이터 파일을 획득하는 사용자 집단 단말을 포함하는 데이터 접근 권한 관리 장치.
6. 청구항 5에 있어서, 상기 데이터 소유자 단말은 삭제할 데이터 파일의 ID에 자신의 서명을 첨부하여 상기 권한 관리자 단말로 전송하여 해당 데이터 파일의 삭제를 요구하고,
   상기 권한 관리자 단말은 상기 데이터 소유자 단말로부터의 상기 ID에 포함된 서명을 확인하여 정당성이 입증되면 상기 클라우드 서비스 제공자 단말에 저장된 데이터 파일의 본문을 삭제할 것을 요구하고,
   상기 클라우드 서비스 제공자 단말은 상기 권한 관리자 단말로부터의 상기 데이터 삭제 요구에 따라 해당 데이터 파일의 본문을 삭제하는 데이터 접근 권한 관리 장치.

Images