KR101418797B1 - 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법 - Google Patents

안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법 Download PDF

Info

Publication number
KR101418797B1
KR101418797B1 KR20130132936A KR20130132936A KR101418797B1 KR 101418797 B1 KR101418797 B1 KR 101418797B1 KR 20130132936 A KR20130132936 A KR 20130132936A KR 20130132936 A KR20130132936 A KR 20130132936A KR 101418797 B1 KR101418797 B1 KR 101418797B1
Authority
KR
South Korea
Prior art keywords
file
cloud
security
key device
user terminal
Prior art date
Application number
KR20130132936A
Other languages
English (en)
Inventor
이동윤
김철수
최재식
손원장
Original Assignee
(주)세이퍼존
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)세이퍼존 filed Critical (주)세이퍼존
Priority to KR20130132936A priority Critical patent/KR101418797B1/ko
Priority to US14/080,295 priority patent/US20150127942A1/en
Application granted granted Critical
Publication of KR101418797B1 publication Critical patent/KR101418797B1/ko
Priority to CN201410585005.5A priority patent/CN104615929A/zh
Priority to EP20140191682 priority patent/EP2869232A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/34User authentication involving the use of external additional devices, e.g. dongles or smart cards

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 클라우드 서비스를 위한 보안키장치에 관한 것으로서, 사용자 단말과의 인터페이스를 제공하는 인터페이스부, 암호화된 사용자 파일을 저장하기 위한 저장부 및 상기 사용자 단말로부터 클라우드 서버로 업로드할 파일을 수신하면 이를 암호화하여 상기 저장부로 저장한 후 암호화된 파일을 상기 사용자 단말로 전송하고, 상기 클라우드 서버로부터 다운로드된 암호화 파일이 상기 사용자 단말로부터 수신되면 이를 상기 저장부에 저장한 후 상기 암호화 파일을 복호화하여 상기 사용자 단말로 전송하는 암복호화 변환지원 컨트롤러를 포함하는 것을 특징으로 한다.
본 발명에 따르면 클라우드 서버가 해킹을 당하는 경우에도 개인 및 기업의 중요 데이터는 열어볼 수 없고, 암복호화가 하드웨어 암호화 가속기에서 처리되므로 개인 PC가 해킹을 당하는 경우에도 암호화 키 유출을 방지할 수 있어 종래에 비해 보안성을 현저하게 향상시킬 수 있는 효과가 있다.

Description

안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법{SECURITY TOKEN DEVICE FOR CLOUD SERVICE, SYSTEM FOR PROVIDING SECURITY CLOUD SERVICE AND METHOD THEREOF}
본 발명은 보안이 강화된 클라우드 서비스를 제공하기 위한 보안키장치 및 이를 이용한 시스템과 운영방법에 관한 것으로서, 사용자 단말에 착탈가능하게 연결되는 하드웨어 보안키장치에서 암호화 키를 관리하고 암호화 엔진도 하드웨어임베디드 장치에서 파일을 암복호화하여 클라우드 서버에 저장함으로써 보안을 강화시킬 수 있도록 하는 기술에 관한 것이다.
IT 자원의 효율적 분배 및 데이터의 안전한 저장을 위해 최근에 클라우드 컴퓨팅 환경이 널리 이용되고 있다. 클라우드 컴퓨팅의 개념은 이미 1960년대에 미국의 컴퓨터 학자인 존 매카시가 그 개념을 주창한 바 있는데, 최근에 통신 인프라가 급속하게 좋아지고 있고 컴퓨팅 환경의 자원을 효율적으로 분배하고자 하는 요구가 증대함에 따라서 발전 및 개발 속도가 증가하고 있다.
클라우드 컴퓨팅 환경에서 사용자는 고사양의 단말기가 필요하지 않아서 클라이언트 레벨에서의 IT 장비 투자 비용이 절감되며, 사용환경에 따른 IT 자원의 효율적인 분배가 가능한 장점이 있다. 그러나 클라우드 컴퓨팅에서의 서버가 해킹당하면 데이터 유출의 우려가 있고, 클라우드 컴퓨팅 서비스를 제공하는 서비스 제공자쪽의 악의에 의해서 사용자의 중요 데이터가 유출될 가능성이 높다는 보안상의 문제점이 있다.
특히, 클라우드 서비스가 PC 환경 뿐만 아니라 스마트 폰 등의 모바일 환경에서도 활성화됨에 따라 클라우드 서버의 해킹으로 인한 보안 문제의 해결이 시급한 과제로 대두되고 있다.
이를 위해 한국등록특허 제10-1107056호 등에서는 클라이언트 단말에서 클라우드 서버로 동기화된 파일을 전송하기 전에 해당 파일을 미리 암호화하여 클라우드 서버로 전송하고, 클라우드 서버로부터 암호화 파일을 수신한 후 이를 클라이언트 단말에서 다시 복호화하는 방법이 사용되고 있다.
종래 이러한 방식의 일부 제품들은 윈도우즈 에이전시 어플리케이션 프로그램에서 직접 암호화 키를 관리하여 소프트웨어 알고리즘 모듈로 암호화하는 방식과, 하드웨어 디바이스에 저장된 암호화 키를 가져와서 소프트웨어에서 파일을 암호화하는 방식이 사용되고 있다.
이와 같이 클라우드 서비스에서의 보안성 강화를 위한 종래 파일 암호화 방식은 소프트웨어를 통해 암호화가 진행되는 방식이므로 암호화 키가 윈도우즈 프로그램에서 관리되고, 암호화 키가 해커들의 모니터 프로그램에 의해 노출될 수 있어 보안을 장담할 수 없는 문제점이 있다.
한국등록특허 제10-1107056호
본 발명은 이러한 종래의 문제점을 해결하기 위해 제안된 것으로서, 본 발명의 목적은 암호화 키의 저장뿐만 아니라 파일의 암호화를 사용자 단말에 연결되는 보안키장치에서 수행되도록 하여 해킹에 의한 보안 키 유출을 방지할 수 있고, 보안키장치가 사용자 단말에 연결된 경우에만 클라우드 파일을 암복호화하여 동기화가 가능하므로 보안성이 보다 향상될 수 있도록 하는 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 바람직한 일 측면에 따르면, 클라우드 서비스를 위한 보안키장치에 있어서, 사용자 단말에 착탈가능하도록 연결되고, 상기 사용자 단말과의 인터페이스를 제공하는 인터페이스부; 일반 데이터 저장영역과 암호화 파일 저장영역으로 구분되어 있고, 암호화된 사용자 파일을 저장하기 위한 저장부; 및 상기 사용자 단말로부터 클라우드 서버로 업로드할 파일을 수신하면 이를 암호화하여 상기 저장부로 저장한 후 암호화된 파일을 상기 사용자 단말로 전송하고, 상기 클라우드 서버로부터 다운로드된 암호화 파일이 상기 사용자 단말로부터 수신되면 이를 상기 저장부에 저장한 후 상기 암호화 파일을 복호화하여 상기 사용자 단말로 전송하는 암복호화 변환지원 컨트롤러를 포함하는 것을 특징으로 하는 클라우드 서비스를 위한 보안키장치가 제공된다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 양상에 따르면, 클라우드 서비스를 통해 사용자 파일을 공유하기 위한 시스템에 있어서, 사용자 파일의 공유를 위한 클라우드 서비스를 제공하는 클라우드 서버; 보안 클라우드 서비스를 제공하기 위한 에이전트가 설치된 사용자 단말; 및 상기 사용자 단말에 착탈가능하게 연결되어 상기 사용자 단말에 연결된 상태에서 동작하며, 상기 에이전트로부터 상기 클라우드 서버로 업로드할 파일을 수신하면 이를 암호화하여 암호화된 파일을 상기 에이전트로 전송하고, 상기 클라우드 서버로부터 다운로드된 암호화 파일이 상기 에이전트로부터 수신되는 경우 이를 복호화하여 상기 사용자 단말로 전송하는 보안키장치를 포함하되, 상기 에이전트는 보안 클라우드 동기화를 위한 보안 동기 폴더를 생성하고, 단말 내 특정 파일이 상기 보안 동기 폴더로 이동되면 상기 파일을 상기 보안키장치로 전송하고, 상기 보안키장치로부터 암호화된 파일을 수신하면 이를 상기 클라우드 서버로 전송하는 것을 특징으로 하는 보안 클라우드 서비스 제공 시스템이 제공된다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 양상에 따르면, 사용자 단말에 설치된 에이전트에서 클라우드 서비스를 제공하는 방법에 있어서, 보안키장치의 연결을 감지하는 단계; 상기 보안키장치의 연결이 감지되면 사용자 인증처리를 수행하는 단계; 사용자 단말기 내의 특정 파일이 클라우드 암호화 동기 폴더로 이동되면 상기 보안키장치로 전송하는 단계; 상기 보안키장치로부터 암호화 파일을 수신하면 해당 파일을 클라우드 암호화 동기 폴더에 저장하는 단계; 클라우드 동기화를 통해 클라우드 암호화 동기 폴더에 저장된 암호화 파일을 클라우드 서버로 전송하는 단계; 상기 클라우드 서버로부터 암호화 파일이 수신되면, 수신된 암호화 파일을 상기 보안키장치로 전송하는 단계; 상기 보안키장치로부터 복호화 파일을 수신하는 단계; 및 상기 복호화된 파일을 상기 클라우드 암호화 동기 폴더에 저장하는 단계를 포함하는 것을 특징으로 하는 보안 클라우드 서비스 제공방법이 제공된다.
본 발명에 따르면 클라우드 서버가 해킹을 당하는 경우에도 개인 및 기업의 중요 데이터는 열어볼 수 없고, 암복호화가 하드웨어 암호화 가속기에서 처리되므로 개인 PC가 해킹을 당하는 경우에도 암호화 키 유출을 방지할 수 있어 종래에 비해 보안성을 현저하게 향상시킬 수 있는 효과가 있다.
도 1은 본 발명에 따른 보안 클라우드 서비스 제공 시스템의 구성도이다.
도 2는 도 1의 보안키장치의 세부 구성을 도시한 블럭도이다.
도 3은 PC 환경에서 보안키장치의 사용을 위한 사전과정을 나타낸 흐름도이다.
도 4는 PC 환경에서 보안키장치를 이용하여 파일을 암호화하여 클라우드 서버로 전송하는 과정을 나타낸 흐름도이다.
도 5는 모바일 환경에서 클라우드 서비스를 이용하여 파일을 여는 과정을 도시한 흐름도이다.
도 6은 파일 업로드시에 보안키장치에서 파일을 암호화하는 과정을 나타낸 것이다.
도 7은 파일 다운로드시에 보안키장치에서 파일을 복호화하는 과정을 나타낸 것이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 발명에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
도 1은 본 발명에 따른 보안 클라우드 서비스 제공 시스템의 구성도이고, 도 2는 도 1의 보안키장치의 세부 구성을 도시한 블럭도이다.
도 1에 도시된 바와 같이, 본 발명에 따른 보안 클라우드 서비스 제공 시스템은 사용자 단말(1)과 보안키장치(2)와 클라우드 서버(3)를 포함하여 구성된다.
사용자 단말(1)은 사용자 파일이 저장되는 장치로서, PC, 노트북, 태블릿 PC, 스마트폰 등 파일의 저장, 표시 기능과 인터넷에 접속가능한 통신환경을 갖춘 각종 단말기를 의미하며, 도 1에서는 1A는 PC, 1B는 태블릿 PC, 1C는 스마트폰을 나타낸다. 사용자 단말(1)에는 본 발명에 따른 보안 클라우드 서비스를 제공하기 위한 에이전트가 설치되어 있다. 에이전트는 후술하는 바와 같이, 사용자가 클라우드 서버(3)에 파일을 암호화하여 저장하려고 하는 경우 보안키장치(2)의 연결 여부를 감지하여 보안키장치(2)가 연결중인 경우에만 파일 암호화 동작을 개시하도록 하여 보안성을 강화한다.
보안키장치(2)는 사용자 단말(1)에 착탈가능하게 연결되어 사용자 단말(1)에 연결된 상태에서 동작하며, 파일 업로드 작업에서는 에이전트로부터 수신된 파일을 암호화하여 에이전트로 전송하고, 파일 다운로드 작업에서는 클라우드 서버(3)로부터 다운로드된 암호화 파일을 에이전트로부터 수신하면, 이를 복호화하여 에어전트로 전송하는 기능을 수행한다.
클라우드 서버(3)는 사용자 파일의 공유를 위한 클라우드 서비스를 제공하는 장치로서, 영화, 사진, 음악 등 미디어 파일 문서 주소록 등 사용자의 콘텐츠를 저장해 두고 사용자 PC, 스마트폰, 스마트TV를 포함한 사용자 단말의 요청시 사용자 단말에서 서버에 저장된 콘텐츠를 다운로드받아 사용할 수 있도록 한다. 국내 클라우드 서비스로는 네이버 N드라이브, KT 유클라우드, 다음 클라우드가 있고, 외국 클라우드 서비스로는 드롭박스(Dropbox), 박스(Box), 슈기싱크(Sugarsync), 구글드라이브(Googledrive), 스카이 드라이브(Sky Drive) 등이 있다.
도 2에는 보안키장치(2)의 세부 구성이 도시되어 있다. 도 2에 도시된 바와 같이, 보안키장치(2)는 인터페이스부(10A, 10B), 암복호화 변환지원 컨트롤러(20), 저장부(30) 및 보안인증칩(40)을 포함하여 구성된다.
인터페이스부(10A, 10B)는 사용자 단말(1)에 전기적으로 연결하기 위한 커넥터로서 도 2에는 인터페이스의 일례로서 USB 커넥터(10A)와 마이크로 USB 커넥터(10B)가 도시되어 있으나 그외 각종 인터페이스 장치가 사용될 수 있다.
암복호화 변환지원 컨트롤러(20)는 내부에 저장되어 있는 암호화 키와 암복호화 엔진 블록을 통해 파일의 암호화 및 복호화를 수행하고, 본 발명의 보안키장치(2)를 백업용 메모리로 사용하는 경우에는 데이터의 백업을 위한 제어 동작을 수행한다. 또한, 암복호화 변환지원 컨트롤러(20)는 보안키장치(2)가 사용자 단말(1)에 연결되는 경우 보안인증칩(40)을 통해 사용자 인증을 수행하여 사용자 인증이 이루어지는 경우에만 암호화 동작을 수행한다.
저장부(30)는 사용자 데이터를 저장하는 것으로서, 저장영역을 분할하여 일부 영역은 일반 스토리지 영역으로서 사용되고 나머지 일부 영역은 암호화 파일이 저장되도록 할 수 있다. 저장부(30)는 일반적인 USB 메모리로 사용되는 플래시 메모리 및 다양한 저장매체를 포함한다.
보안인증칩(40)은 보안키장치(2)가 사용자 단말(1)에 연결되는 경우 사용자 인증을 수행하여 보안 기능을 제공하는 칩으로서, 사용자 인증 수단으로서 패스워드 정보, 사용자 지문정보, OTP값을 생성하는 OTP 생성모듈 중 적어도 하나 이상을 저장할 수 있다.
패스워드 정보는 사용자가 미리 설정된 비밀번호 정보로서 암호화 키와는 별개의 정보이다. 그리고, 사용자 지문정보를 통한 사용자 인증을 위해서는 보안키장치(2)의 내부 또는 외부에 지문인식장치가 설치되어 있어야 한다.
OTP 생성 모듈은 임의의 난수와 증가되는 값 또는 시간을 암호 알고리즘의 입력 값으로 사용해서 OTP 값을 생성하고, 이를 인증 서버로 보내서 사용자를 인증하는 것이다.
이러한 다중 인증 과정을 통해 보안키장치의 보안을 강화할 수 있게 된다.
이와 같이 다중 인증 과정을 통해 보안키장치의 보안성은 향상되나, 사용자가 보안키장치(2)를 분실할 경우에는 클라우드 서버(3)에 업로드된 암호화 파일을 열어볼 수 없는 문제점이 발생한다. 따라서 이런 한 점을 우려하는 사용자 및 공동작업자들을 위해서 보안키장치 제품을 2개 또는 그 이상 개수를 사용하는 기업 및 단체를 위해서 동일한 암호화 키를 가지는 제품을 복수 개 판매 제공하여 분실에 대한 대책을 제공할 수 있을 것이다.
그리고, 여러 사람이 공동작업 형태로 진행되는 파일의 이력을 관리하기 위해서는 별도의 에이전시 서버 서비스와 연동하도록 관리하는 것도 가능하다. 즉 공동 사용자를 위한 복수 개의 보안키장치는 하나의 동일한 암호화 키를 사용하지만, 보안키장치마다 각 장치를 구분할 수 있는 식별정보를 할당하여 공동 작업중인 파일을 어떤 사용자가 마지막으로 수정하였는지, 언제 복사를 하였는지 등의 이력을 관리할 수도 있다.
도 3은 PC 환경에서 보안키장치의 사용을 위한 사전과정을 나타낸 흐름도이다.
보안키장치(2)가 사용자 PC에 접속되면(S100), 사용자 PC에 탑재되어 있는 에이전트가 구동된다(S110). 에이전트는 보안키장치(2)와 연동하여 보안 클라우드 서비스를 제공하기 위한 것으로서, 클라우드 동기화 시 암호화 대상 파일이 인식되면 이를 보안키장치(2)로 보내 하드웨어적으로 파일이 암호화되도록 하고 클라우드 서버(3)로부터 다운로드된 암호화 파일을 보안키장치(2)를 통해 복호화하고 보안키장치(2)의 접속 여부에 따라 자동 암호화 및 자동 암호화 해제 동작을 수행하도록 제작된 프로그램이다.
에이전트가 구동되면, 보안키장치(2)의 제조사의 홈페이지로 연결되어 해당 홈페이지에서 사용자 등록 및 회원가입을 하도록 유도한 후(S120), 사용자 인증이 이루어진다(S130). 사용자 인증은 상술한 바와 같이, 패스워드, 지문정보, OTP 등 다양한 방식으로 이루어질 수 있다.
그 다음, 에이전트는 사용자로 하여금 클라우드 서버(3)와 동기화할 클라우드 암호화 동기 폴더를 지정 또는 생성하도록 안내한다(S140). 여기서, 클라우드 암호화 동기 폴더는 해당 폴더에 저장되는 모든 파일이 암호화된 후 클라우드 서버(3)로 전송될 수 있다.
또는 클라우드 암호화 동기 폴더는 암호화 과정 없이 클라우드 서버(3)로 파일을 전송하도록 하는 일반 동기 폴더와 파일을 암호화하여 클라우드 서버(3)로 업로드 하기 위한 보안 동기 폴더로 구분될 수도 있다. 이 경우, 에이전트는 클라우드 암호화 동기 폴더의 하위 폴더로서 보안 동기 폴더를 생성할 수 있고, 보안 동기 폴더에 저장되는 파일에 대해서만 보안 클라우드 서비스 동작을 수행할 수 있다(S150).
도 4는 PC 환경에서 보안키장치를 이용하여 파일을 암호화하여 클라우드 서버로 전송하는 과정을 나타낸 흐름도이다.
사용자 PC에 탑재된 에이전트는 보안키장치(2)가 사용자 PC에 접속되는지를 감지하고(S200), 보안키장치(2)의 접속이 감지되는 경우 사용자 인증을 수행한다(S210).
에이전트는 도 3에서 설명한 바와 같이 동기화 대상 파일의 암호화 대상 범위에 따라 클라우드 암호화 동기 폴더 또는 보안 동기 폴더로의 파일 이동을 감지하고(S220), 해당 폴더로 특정 파일이 이동되는 경우 해당 파일을 보안키장치(2)로 전송하여 파일을 암호화하도록 한다(S230). 즉, 암호화 대상이 클라우드 암호화 동기 폴더 전체인 경우 클라우드 암호화 동기 폴더 내로 이동되는 파일이 있는지를 감지하고 암호화 대상이 보안 동기 폴더로 한정되는 경우에는 보안 동기 폴더 내로 이동되는 파일이 있는지를 감지하게 된다.
에이전트는 보안키장치(2)로부터 암호화된 파일이 수신되면 수신된 암호화 파일을 해당 폴더에 저장한다(S240). 암호화 파일은 암호화 대상 범위에 따라 클라우드 암호화 동기 폴더 또는 그 하위의 보안 동기 폴더에 저장되며, 각 경우에 해당 폴더에 저장된 파일은 클라우드 어플리케이션의 실행에 의해 클라우드 서버(3)로 전송된다.
만일, 이러한 자동 암호화 동작이 수행되는 동안 보안키장치(2)의 제거 즉 접속해제가 감지되면(S250), 에이전트는 자동 암호화를 해제하고 해당 폴더 내의 파일들을 제거하여 클라우드 서버(3)와의 동기화를 방지한다.
도 5는 모바일 환경에서 클라우드 서비스를 이용하여 파일을 여는 과정을 도시한 흐름도이다.
우선, 클라우드 서비스를 제공하기 위한 클라우드 어플리케이션이 실행되어(S300), 암호화 파일이 클라우드 서버(3)로부터 모바일 단말로 다운로드된다(S310).
암호화 파일이 수신되면, 보안 클라우드 서비스를 위한 에이전트가 구동되어(S320), 보안키장치(2)의 접속 여부를 모니터링한다.
보안키장치(2)가 모바일 단말에 연결되면(S330), 사용자 인증이 수행되고(S340), 사용자 인증이 완료되면 에이전트는 수신된 암호화 파일을 보안키장치(2)로 전송하여 암호화 파일을 원래의 파일로 복호화한 후 해당 파일을 열 수 있는 뷰어 프로그램을 실행하여 복호화된 파일을 화면상에 표시한다(S350).
만일, 이러한 다운로드 파일 실행 동작이 수행되는 동안 보안키장치(2)의 제거 즉 연결해제가 감지되면(S360), 에이전트는 자동 복호화를 해제하고 해당 폴더 내의 복호화된 캐쉬파일들을 제거하여 해당 파일의 실행을 방지한다(S370).
도 6은 파일 업로드시에 보안키장치에서 파일을 암호화하는 과정을 나타낸 것이고, 도 7은 파일 다운로드시에 보안키장치에서 파일을 복호화하는 과정을 나타낸 것이다. 도 6과 도 7에서는 USB 커넥터(10A)에 사용자 단말(1)이 접속된 경우가 예시적으로 설명되어 있다.
우선, 도 6을 참조하면 파일 업로드시에 에이전트로부터 보안키장치(2)로의 데이터 흐름은 실선 화살표로, 반대의 경우는 점선 화살표로 표시되어 있다.
에이전트로부터 업로드할 원본 파일이 입력되면(S1), 암복호화 변환지원 컨트롤러(20)는 수신된 원본 파일을 암호화하고(S2), 암호화된 파일을 저장부(30)에 저장한 후(S3), 저장부(30)에 저장된 암호화된 파일을 에이전트로 이동시킨다(S4).
이어 도 7을 참조하면 파일 업로드시에 에이전트로부터 보안키장치(2)로의 데이터 흐름은 실선 화살표로, 반대의 경우는 점선 화살표로 표시되어 있다.
에이전트로부터 클라우드 서버(3)로부터 다운로드된 암호화 파일이 입력되면(S11), 암복호화 변환지원 컨트롤러(20)는 수신된 암호화 파일을 통과(Pass Through)시켜 저장부(30)에 저장하고(S12), 저장부(30)에 저장된 암호화 파일을 복호화한 후(S13), 복호화된 파일을 에이전트로 이동시킨다(S14).
1 : 사용자 단말 2 : 보안키장치
3 : 클라우드 서버 10 : 인터페이스부
20 : 암복호화 변환지원 컨트롤러 30 : 저장부
40 : 보안인증칩

Claims (10)

  1. 클라우드 서비스를 위한 보안키장치에 있어서,
    사용자 단말에 착탈가능하도록 연결되고, 상기 사용자 단말과의 인터페이스를 제공하는 인터페이스부;
    일반 데이터 저장영역과 암호화 파일 저장영역으로 구분되어 있고, 암호화된 사용자 파일을 저장하기 위한 저장부; 및
    상기 사용자 단말로부터 클라우드 서버로 업로드할 파일을 수신하면 이를 암호화하여 상기 저장부로 저장한 후 암호화된 파일을 상기 사용자 단말로 전송하고, 상기 클라우드 서버로부터 다운로드된 암호화 파일이 상기 사용자 단말로부터 수신되면 이를 상기 저장부에 저장한 후 상기 암호화 파일을 복호화하여 상기 사용자 단말로 전송하는 암복호화 변환지원 컨트롤러를 포함하는 것을 특징으로 하는 안전한 클라우드 서비스를 위한 보안키장치.
  2. 삭제
  3. 제 1 항에 있어서,
    사용자 인증을 위한 패스워드 정보, 사용자 지문정보, OTP값을 생성하는 OTP 생성모듈 중 적어도 하나 이상을 포함하는 보안인증칩이 더 포함되고,
    상기 암복호화 변환지원 컨트롤러는 상기 보안인증칩을 통해 사용자 인증이 이루어지는 경우에만 동작하는 것을 특징으로 하는 안전한 클라우드 서비스를 위한 보안키장치.
  4. 클라우드 서비스를 통해 사용자 파일을 공유하기 위한 시스템에 있어서,
    사용자 파일의 공유를 위한 클라우드 서비스를 제공하는 클라우드 서버;
    보안 클라우드 서비스를 제공하기 위한 에이전트가 설치된 사용자 단말; 및
    상기 사용자 단말에 착탈가능하게 연결되어 상기 사용자 단말에 연결된 상태에서 동작하며, 상기 에이전트로부터 상기 클라우드 서버로 업로드할 파일을 수신하면 이를 암호화하여 암호화된 파일을 상기 에이전트로 전송하고, 상기 클라우드 서버로부터 다운로드된 암호화 파일이 상기 에이전트로부터 수신되는 경우 이를 복호화하여 상기 사용자 단말로 전송하는 보안키장치를 포함하되,
    상기 에이전트는 보안 클라우드 동기화를 위한 보안 동기 폴더를 생성하고, 단말 내 특정 파일이 상기 보안 동기 폴더로 이동되면 상기 파일을 상기 보안키장치로 전송하고, 상기 보안키장치로부터 암호화된 파일을 수신하면 이를 상기 클라우드 서버로 전송하는 것을 특징으로 하는 보안 클라우드 서비스 제공 시스템.
  5. 삭제
  6. 제 4 항에 있어서,
    상기 에이전트는 클라우드 동기화를 위한 동기 폴더의 하위폴더로서 상기 보안 동기 폴더를 생성하고, 상기 에이전트는 상기 보안 동기 폴더의 파일 입출력을 실시간 감시하여 상기 보안 동기 폴더로 파일이 이동되는 경우 상기 보안키장치를 통해 상기 파일을 암호화하여 상기 보안 동기 폴더에 저장하는 것을 특징으로 하는 보안 클라우드 서비스 제공 시스템.
  7. 사용자 단말에 설치된 에이전트에서 클라우드 서비스를 제공하는 방법에 있어서,
    보안키장치의 연결을 감지하는 단계;
    상기 보안키장치의 연결이 감지되면 사용자 인증처리를 수행하는 단계;
    사용자 단말기 내의 특정 파일이 클라우드 암호화 동기 폴더로 이동되면 상기 보안키장치로 전송하는 단계;
    상기 보안키장치로부터 암호화 파일을 수신하면 해당 파일을 클라우드 암호화 동기 폴더에 저장하는 단계;
    클라우드 동기화를 통해 클라우드 암호화 동기 폴더에 저장된 암호화 파일을 클라우드 서버로 전송하는 단계;
    상기 클라우드 서버로부터 암호화 파일이 수신되면, 수신된 암호화 파일을 상기 보안키장치로 전송하는 단계;
    상기 보안키장치로부터 복호화 파일을 수신하는 단계; 및
    상기 복호화된 파일을 상기 클라우드 암호화 동기 폴더에 저장하는 단계를 포함하는 것을 특징으로 하는 보안 클라우드 서비스 제공방법.
  8. 삭제
  9. 제 7 항에 있어서,
    상기 보안키장치의 연결 해제가 감지되면 자동 암호화를 해제하고 복호화된 임시파일을 삭제하는 단계가 더 포함되는 것을 특징으로 하는 보안 클라우드 서비스 제공방법.
  10. 제 7 항에 있어서,
    상기 에이전트는 상기 클라우드 암호화 동기 폴더 하위에 보안 동기 폴더를 생성하고, 상기 보안 동기 폴더로 이동되는 파일에 대해서만 상기 보안키장치를 통한 암호화를 수행하는 것을 특징으로 하는 보안 클라우드 서비스 제공방법.
KR20130132936A 2013-11-04 2013-11-04 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법 KR101418797B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR20130132936A KR101418797B1 (ko) 2013-11-04 2013-11-04 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법
US14/080,295 US20150127942A1 (en) 2013-11-04 2013-11-14 Security key device for secure cloud service, and system and method for providing secure cloud service
CN201410585005.5A CN104615929A (zh) 2013-11-04 2014-10-27 为提供安全的云服务的动态口令卡、安全云服务提供系统及安全云服务提供方法
EP20140191682 EP2869232A1 (en) 2013-11-04 2014-11-04 Security key device for secure cloud services, and system and method of providing security cloud services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR20130132936A KR101418797B1 (ko) 2013-11-04 2013-11-04 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법

Publications (1)

Publication Number Publication Date
KR101418797B1 true KR101418797B1 (ko) 2014-07-11

Family

ID=51742000

Family Applications (1)

Application Number Title Priority Date Filing Date
KR20130132936A KR101418797B1 (ko) 2013-11-04 2013-11-04 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법

Country Status (4)

Country Link
US (1) US20150127942A1 (ko)
EP (1) EP2869232A1 (ko)
KR (1) KR101418797B1 (ko)
CN (1) CN104615929A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101619286B1 (ko) 2015-11-19 2016-05-10 (주)세이퍼존 크로스 플랫폼 기반의 보안시스템
WO2017111483A1 (ko) * 2015-12-23 2017-06-29 주식회사 케이티 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015073006A1 (en) * 2013-11-14 2015-05-21 Empire Technology Development Llc Data synchronization
US10353758B2 (en) * 2016-03-18 2019-07-16 Samsung Electronics Co., Ltd. Data coding methods for a communication between semiconductor chips
CN106570416A (zh) * 2016-10-28 2017-04-19 鄢碧珠 一种基于指纹的云存储方法
CN106570415A (zh) * 2016-10-28 2017-04-19 郑建钦 一种远端数据存储系统
CN106446655A (zh) * 2016-10-28 2017-02-22 郑建钦 一种提高移动式存储的安全性的方法
CN106485128A (zh) * 2016-10-28 2017-03-08 鄢碧珠 一种基于移动式存储设备指纹的系统
CN106973048B (zh) * 2017-03-21 2020-05-08 南京云创大数据科技股份有限公司 一种在公有云服务平台上安全快速存储智能硬件设备数据的方法
CN110309681B (zh) * 2019-08-07 2023-09-15 广东电网有限责任公司 一种计量自动化终端维护装置及维护系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009245020A (ja) * 2008-03-28 2009-10-22 Ikutoku Gakuen Kanagawa Koka Daigaku Usb接続による暗号化装置

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040078464A1 (en) * 1999-09-16 2004-04-22 Rajan Sreeranga P. Method and apparatus for enabling real time monitoring and notification of data updates for WEB-based data synchronization services
US20010048747A1 (en) * 2000-04-27 2001-12-06 O'brien Terry Method and device for implementing secured data transmission in a networked environment
JP3859450B2 (ja) * 2001-02-07 2006-12-20 富士通株式会社 秘密情報管理システムおよび情報端末
CN100378689C (zh) * 2005-06-06 2008-04-02 付爱香 一种计算机数据的加密保护及读写控制方法
CN100464549C (zh) * 2005-10-28 2009-02-25 广东省电信有限公司研究院 一种数据安全存储业务的实现方法
US20090187770A1 (en) * 2006-02-09 2009-07-23 Atmel Corporation Data Security Including Real-Time Key Generation
JP2009003676A (ja) * 2007-06-21 2009-01-08 Sony Corp 電子機器、および情報処理方法
CN201365347Y (zh) * 2008-12-12 2009-12-16 东莞市智盾电子技术有限公司 内置有独立数据助理装置的手机
EP2553904A2 (en) * 2010-03-31 2013-02-06 Rick L. Orsini Systems and methods for securing data in motion
US8769131B2 (en) * 2010-04-16 2014-07-01 Oracle America, Inc. Cloud connector key
US20120237024A1 (en) * 2011-03-18 2012-09-20 Wei-Ti Liu Security System Using Physical Key for Cryptographic Processes
US20120254108A1 (en) * 2011-03-30 2012-10-04 Microsoft Corporation Synchronization Of Data For A Robotic Device
KR101107056B1 (ko) 2011-07-07 2012-01-25 이니텍(주) 클라우드 컴퓨팅 환경에서 가상 머신의 보안 정보 처리 방법
CN102316164A (zh) * 2011-09-07 2012-01-11 深圳市硅格半导体有限公司 云端存储用户端设备及其数据处理方法
CN102663323A (zh) * 2012-03-09 2012-09-12 无锡华御信息技术有限公司 一种支持移动介质的加密方法
US9307006B2 (en) * 2012-04-11 2016-04-05 Salesforce.Com, Inc. System and method for synchronizing data objects in a cloud based social networking environment
US20140101434A1 (en) * 2012-10-04 2014-04-10 Msi Security, Ltd. Cloud-based file distribution and management using real identity authentication
US9137222B2 (en) * 2012-10-31 2015-09-15 Vmware, Inc. Crypto proxy for cloud storage services
JP6082589B2 (ja) * 2012-12-25 2017-02-15 株式会社日立ソリューションズ 暗号鍵管理プログラム、データ管理システム
US9015483B2 (en) * 2012-12-31 2015-04-21 Prakash Baskaran Method and system for secured data storage and sharing over cloud based network
US9195849B2 (en) * 2013-03-06 2015-11-24 Kings Information & Network Co., Ltd. Cloud application installed in client terminal connected to cloud server

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009245020A (ja) * 2008-03-28 2009-10-22 Ikutoku Gakuen Kanagawa Koka Daigaku Usb接続による暗号化装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101619286B1 (ko) 2015-11-19 2016-05-10 (주)세이퍼존 크로스 플랫폼 기반의 보안시스템
WO2017111483A1 (ko) * 2015-12-23 2017-06-29 주식회사 케이티 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법

Also Published As

Publication number Publication date
US20150127942A1 (en) 2015-05-07
EP2869232A1 (en) 2015-05-06
CN104615929A (zh) 2015-05-13

Similar Documents

Publication Publication Date Title
KR101418797B1 (ko) 안전한 클라우드 서비스를 위한 보안키장치, 보안 클라우드 서비스 제공 시스템 및 보안 클라우드 서비스 제공방법
WO2022252632A1 (zh) 一种数据加密处理方法、装置、计算机设备及存储介质
KR102113440B1 (ko) 디바이스들에 대한 동적 그룹 멤버십
JP6878609B2 (ja) データバックアップ方法およびデータバックアップ装置、記憶媒体ならびにサーバ
CN108183972B (zh) 文件处理方法及终端
US8997179B2 (en) Shared secret identification for secure communication
CN103546421B (zh) 基于pki技术的网络工作交流安全保密系统及其实现方法
KR101479290B1 (ko) 보안 클라우드 서비스를 제공하기 위한 에이전트 및 보안 클라우드 서비스를위한 보안키장치
JP4874423B2 (ja) リムーバブルストレージを利用したコンテンツ共有方法及びシステム
CN110708291B (zh) 分布式网络中数据授权访问方法、装置、介质及电子设备
CN104123506A (zh) 数据访问方法、装置、数据加密、存储及访问方法、装置
US9240982B2 (en) Method for associating an image-forming device, a mobile device, and a user
JP2007249507A (ja) 情報漏洩防止方法、情報漏洩防止システム及び情報端末
CN106203141A (zh) 一种应用的数据处理方法和装置
US20140068256A1 (en) Methods and apparatus for secure mobile data storage
KR101952139B1 (ko) 사용자 단말과 연동된 게이트웨이 서버에서 drm 기능을 제공하는 방법
CN113595722A (zh) 量子安全密钥同步方法、装置、电子设备和存储介质
CN102761559B (zh) 基于私密数据的网络安全共享方法及通信终端
TW201409977A (zh) 一種利用指紋資訊認證的通信系統及其用途
CN102833076A (zh) 账户信息加密方法和系统
CN103595855A (zh) 手机名片系统
CN103425936A (zh) 一种实现数据保密的方法及电子设备
US20160063264A1 (en) Method for securing a plurality of contents in mobile environment, and a security file using the same
CN102426635B (zh) 文件信息显示装置、显示方法及系统
KR20190000613A (ko) 스마트 기기 기반의 원격 접근 제어 및 멀티 팩터 인증 시스템

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170705

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180702

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190618

Year of fee payment: 6