KR101458820B1 - 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 - Google Patents
공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 Download PDFInfo
- Publication number
- KR101458820B1 KR101458820B1 KR20130122652A KR20130122652A KR101458820B1 KR 101458820 B1 KR101458820 B1 KR 101458820B1 KR 20130122652 A KR20130122652 A KR 20130122652A KR 20130122652 A KR20130122652 A KR 20130122652A KR 101458820 B1 KR101458820 B1 KR 101458820B1
- Authority
- KR
- South Korea
- Prior art keywords
- public cloud
- user
- data
- authentication
- cloud network
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
본 발명은 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 관한 것으로서, 사용자단말의 공공 클라우드 망으로의 접속 요청에 대응하여 생성한 인증정보를 사용자단말로 전송하고, 사용자단말에서 공공 클라우드 망의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산을 통해 사용자 인증값을 생성하여 공공 클라우드 망으로 전송하고, 공공 클라우드 망에서 사용자 인증값에 포함된 공공 클라우드 망의 인증정보를 확인하여 서비스 승인을 수락하고, 이후 사용자단말에서 업로드하려는 데이터에 사용자 인증값을 연접하여 공공 클라우드 망으로 전송하면, 공공 클라우드 망에서 사용자 인증값을 비교하여 정당한 사용자임을 확인함과 아울러 업로드하려는 데이터의 분석을 통해 정상 여부를 확인하고, 업로드하려는 데이터가 정상일 경우에만 업로드를 진행한다. 본 발명에 따르면, 공공 클라우드 망으로부터 인증정보를 전송받아 구성원임을 증명받고, 전송받은 서버 인증정보를 바탕으로 사용자 인증값을 생성하여 데이터와 함께 저장하여 데이터를 보호함으로써, 신원이 불분명한 사용자의 접근을 막고, 악의적인 데이터의 클라우드 스토리지 저장을 방지하고, 추가적으로 데이터의 출처를 명확하게 하여 공공 클라우드 스토리지의 신뢰성을 높일 수 있다.
Description
본 발명은 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 관한 것으로, 더욱 상세하게는 공공 클라우드 망으로부터 인증정보를 전송받아 구성원임을 증명받고, 전송받은 서버 인증정보를 바탕으로 사용자 인증값을 생성하여 데이터와 함께 저장하여 데이터를 보호하는 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 관한 것이다.
사용자가 필요로 하는 서버, 스토리지(Storage), 어플리케이션, SW 플랫폼 등의 각종 IT 자원을 구매하여 소유하지 않고 필요할 때마다 네트워크를 통해 서비스 형태로 이용하는 방식인 클라우드 컴퓨팅이 대중적으로 보급됨에 따라 공공 부문에서의 클라우드 컴퓨팅 서비스 도입에 대한 관심이 증가하고 있다. 즉, 하드웨어, 소프트웨어 등 각종 IT 자원을 필요한 만큼 빌려서 사용하고 사용한 정도에 따라 과금이 되는 클라우드 컴퓨팅이 대중적으로 보급됨에 따라 공공 서비스에서의 클라우드 컴퓨팅 활용방안에 대한 연구가 계속 이루어지고 있다.
이에 따라 주요 선진국들은 클라우드 컴퓨팅의 효과를 인식하고, 공공부문에 체계적으로 도입하기 위해 중장기 계획을 수립하여 적극적으로 정책을 실행하고 있다.
한편, 다수의 사용자가 하나의 공공 클라우드 스토리지를 사용하는 환경에 적합한 안전하고 효율적인 데이터 관리의 중요성이 요구되고 있다.
그러나 신원이 불분명한 사용자의 공공 클라우드 스토리지 무단접근과 악의적인 목적으로 공공 클라우드에 악성코드가 추가된 데이터의 업로드 및 데이터 위변조 등의 다양한 위협이 존재한다. 즉, 중요한 공공 데이터가 유출 및 위변조될 가능성이 높을 뿐 아니라, 해당 클라우드 스토리지로부터 내려받은 데이터에 대한 출처를 확인할 수 없어, 해당 공공 클라우드의 신뢰성을 저하시킬 수 있다. 이와 같이, 공공분야 컴퓨팅의 특성상 다수의 사용자가 하나의 클라우드 스토리지에 접근하여 각종 데이터를 공유하고 내려받는 환경에서는 신원이 불분명한 사용자의 클라우드 스토리지 무단접근, 악성코드가 삽입된 불법 데이터의 공격 등의 문제점이 발생할 가능성이 존재한다.
[1] 신선영, 송석현, "국내 공공 클라우드 서비스 적용 우선순위 도출에 관한 연구: 해외 공공부문 클라우드 사례의 SRM 매핑을 통해", Internet and Information Security, 제 3권 제 3호, 2012.
[2] 행정안전부, "범정부 클라우드 추진현황 및 향후계획", 2012.
[3] 한국정보통신기술협회, "공공 부분 데스크탑 클라우드 도입 가이드라인", 2011.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 공공 클라우드 망으로부터 인증정보를 전송받아 구성원임을 증명받고, 전송받은 서버 인증정보를 바탕으로 사용자 인증값을 생성하여 데이터와 함께 저장함으로써 데이터를 보호하는 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법을 제공하는데 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 공공 클라우드 환경에서의 안전한 데이터 관리 시스템은, 공공 클라우드 망에서 생성한 인증정보를 수신하여 상기 공공 클라우드 망의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산을 통해 사용자 인증값을 생성하여 상기 공공 클라우드 망으로 전송하는 사용자단말; 및 상기 사용자 인증값의 비교를 통해 접속 승인 및 전송된 데이터의 유효성 검증을 수행하는 공공 클라우드 인증 서버와, 상기 사용자단말로부터 전송된 데이터의 정상 유무를 분석하며, 데이터의 정상 유무에 따라 업로드 요청 여부를 결정하는 공공 클라우드 데이터 분석 서버와, 분석된 데이터가 정상인 경우에 한하여 데이터 형식을 포함한 정보를 데이터베이스화하는 공공 클라우드 스토리지를 포함하는 공공 클라우드 망을 포함하는 것을 특징으로 한다.
한편, 상기와 같은 목적을 달성하기 위한 본 발명의 공공 클라우드 환경에서의 안전한 데이터 관리 기법은, 사용자단말의 공공 클라우드 망으로의 접속 요청에 대응하여 생성한 인증정보를 상기 사용자단말로 전송하고, 상기 사용자단말에서 상기 공공 클라우드 망의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산을 통해 사용자 인증값을 생성하여 상기 공공 클라우드 망으로 전송하고, 상기 공공 클라우드 망에서 상기 사용자 인증값에 포함된 상기 공공 클라우드 망의 인증정보를 확인하여 서비스 승인을 수락하는 사용자 인증 단계; 및 상기 사용자단말에서 업로드하려는 데이터에 사용자 인증값을 연접하여 공공 클라우드 망으로 전송하면, 상기 공공 클라우드 망에서 상기 사용자 인증값을 비교하여 정당한 사용자임을 확인함과 아울러 상기 업로드하려는 데이터의 분석을 통해 정상 여부를 확인하고, 상기 업로드하려는 데이터가 정상일 경우에만 업로드를 진행하는 데이터 관리 단계를 포함하는 것을 특징으로 한다.
상기 사용자 인증 단계는, 상기 사용자단말에서 상기 공공 클라우드 망으로 접속을 요청하는 단계; 공공 클라우드 인증 서버가 상기 사용자단말의 중복 가입여부를 검사함과 아울러 정당한 사용자인지 여부를 확인하는 단계; 정당한 사용자일 경우, 상기 공공 클라우드 인증 서버가 난수값과 타임스탬프값을 연산한 인증정보를 생성하여 상기 사용자단말로 전송하는 단계; 상기 사용자단말이 전송받은 상기 인증정보와 사용자 정보를 연접하고 해쉬함수 연산하여 사용자 인증값을 생성하고, 상기 사용자 인증값을 상기 공공 클라우드 인증 서버로 전송하는 단계; 상기 공공 클라우드 인증 서버가 사용자 인증값에 포함된 상기 인증정보를 확인하여 사용자의 정당성을 확인하는 단계; 및 정당한 사용자일 경우, 상기 공공 클라우드 인증 서버가 상기 사용자단말의 인증 요청을 수락하는 단계를 포함한다.
상기 데이터 관리 단계는, 상기 사용자 인증값의 비교를 통한 접속 승인이 이루어지면, 상기 사용자단말이 상기 업로드하려는 데이터에 사용자 인증값을 연접하여 상기 공공 클라우드 스토리지로의 업로드를 요청하는 단계; 상기 공공 클라우드 인증 서버가 사용자 인증값 비교를 통해 정당한 사용자의 데이터임을 확인하는 단계; 상기 공공 클라우드 데이터 분석 서버가 상기 데이터의 정상 유무를 분석하여, 정상일 경우에 데이터의 형식을 포함한 정보의 데이터베이스화를 요청하는 단계; 및 상기 데이터베이스화가 결정된 정보를 상기 공공 클라우드 스토리지에 저장하는 단계를 포함한다.
상술한 바와 같이, 본 발명에 의한 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 따르면, 공공 클라우드 망으로부터 인증정보를 전송받아 구성원임을 증명받고, 전송받은 서버 인증정보를 바탕으로 사용자 인증값을 생성하여 데이터와 함께 저장하여 데이터를 보호함으로써, 신원이 불분명한 사용자의 접근을 막고, 악의적인 데이터의 클라우드 스토리지 저장을 방지하고, 추가적으로 데이터의 출처를 명확하게 하여 공공 클라우드 스토리지의 신뢰성을 높일 수 있다.
도 1은 본 발명의 일 실시예에 의한 공공 클라우드 환경에서의 안전한 데이터 관리 시스템의 개념도이다.
도 2는 본 발명의 일 실시예에 의한 사용자 인증 과정을 나타낸 개념도이다.
도 3은 본 발명의 일 실시예에 의한 데이터 관리 과정을 나타낸 개념도이다.
도 2는 본 발명의 일 실시예에 의한 사용자 인증 과정을 나타낸 개념도이다.
도 3은 본 발명의 일 실시예에 의한 데이터 관리 과정을 나타낸 개념도이다.
이하, 본 발명의 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
먼저, 국내외 공공부문 클라우드 서비스 도입 현황에 대해 분석하고, 클라우드 환경의 데이터 관리 및 보안에 대하여 문제점과 그에 따른 보안 요구사항에 대해 분석한 후, 본 발명의 차이점을 중심으로 설명하기로 한다.
국외 현황
■ 미국
오바마 정부는 2009년 인프라 구축 비용절감과 IT 자원 유연성을 제공하기 위해 클라우드 컴퓨팅을 도입하고, 친환경 정보통신기술(ICT) 운영을 통해 환경 영향을 최소화를 위한 연방정부 클라우드 컴퓨팅 계획을 발표했다. 이는 정부부처 및 기관의 클라우드 컴퓨팅 애플리케이션과 서비스를 구매할 수 있는 온라인 앱스토어인 Apps.gov를 제공하는 것이다. Apps.gov에서는 페이스북, 트위터와 같은 소셜 네트워크 서비스(SNS) 어플리케이션은 물론, 시장분석ㆍ통계처리 등 고급 업무용 어플리케이션을 구매할 수 있다[1].
■ 일본
일본정부는 ICT 인프라 구축비를 절감하고 환경을 보호하는 목적으로 클라우드 컴퓨팅을 추진하고, 'i-Japan 전략 2015'에서 정보시스템 효율화를 위한 클라우드 추진정책을 명시하였다. 또한 총무성은 중앙부처 대상의 가스미가세키 프로젝트와 지자체 대상의 지자체 클라우드를 추진하고 있다. 따라서 총무성 행정관리국을 중심으로 2015년까지 전자정부 지원을 위한 중앙부처의 클라우드 컴퓨팅 도입을 주요 내용으로 하는 '가스미가세키 클라우드'를 구축할 예정이다. 또한 1,000여 개의 지자체를 위한 클라우드 컴퓨팅 도입계획을 추진하고 있다.
ICT를 활용한 행정 정책의 하나로 추진되는 지방자치단체 클라우드 컴퓨팅은 2009년부터 홋카이도, 규슈 등 66개 지방자치단제가 참여하여 실증 실험을 하였으며, 총무성에 '지방자치체 클라우드 컴퓨팅 추진본부'가 설립되었다. 향후 데이터 센터 자원과 행정 서비스에 필요한 업무 어플리케이션을 각 지방자치단체가 공동으로 이용하는 것을 업무 효율화 목표로 하고 있다[1].
국내 현황
2009년에 정부 차원에서 '범정부 클라우드 활성화 종합 계획'과 2011년에 '클라우드 컴퓨팅 확산 및 경쟁력 강화를 위한 전략'을 행정안전부, 지식경제부, 방송통신위원회의 3개 부처가 공동으로 수립ㆍ발표하였다. 범정부 클라우드 활성화 종합 계획에서는 국내 클라우드 컴퓨팅 산업을 육성하여 2014년에 클라우드 컴퓨팅 세계시장 점유율을 10%에 이르는 세계 최고 수준의 클라우드 컴퓨팅 강국 실현을 목적으로 하고 있다. 또한 각각의 정부부처별로 클라우드 컴퓨팅 추진 계획 및 전략 수립, 법ㆍ제도 개선 등에 대한 논의가 진행되고 있다. 또한 클라우드 컴퓨팅 확산 및 경쟁력 강화 전략에서는 '클라우드 데이터센터, 모바일 클라우드, 전자정부 등의 전략 분야 육성'과 '안전한 이용환경 조성을 통해 5년 내 도입률 15% 달성'의 내용을 담고 있다[2].
| 국가 | 내용 |
| 미국 | ㆍ정부부처 및 기관이 클라우드 컴퓨팅 애플리케이션과 서비스를 구매할 수 있는 온라인 앱스토어인 Apps.gov를 오픈하고 정부부처에 서비스 이용을 독려 |
| 일본 | ㆍ(가미스가세키 클라우드 정책) 2015년까지 13개 중앙관청의 모든 IT자원을 클라우드로 통합 ㆍ지자체 대상 클라우드 데이터센터 3개소 구축 등 |
| 한국 | ㆍ범정부 클라우드 활성화 종합계획, 클라우드 컴퓨팅 확산 및 경쟁력 강화 전략 발표 ㆍ국내 클라우드 컴퓨팅 산업을 육성, 2014년에 클라우드 컴퓨팅 세계시장 점유율 10% 실현 추진 |
[표 1]은 국내외 공공부문 클라우드 서비스 도입현황을 나타낸 것이다.
문제점
데이터 수요의 증가로 인해 클라우드 서비스가 보편화 되었다. 그에 따른 사진, 텍스트 파일, 동영상, 그림 등의 일반적인 데이터의 클라우드 환경에서 관리 방법에 대해 관심이 높아지고 있다. 일반적으로 공공 클라우드 서비스 환경에서는 다수의 사용자가 하나의 클라우드 스토리지에 접속하여 사용자 간의 각종 데이터를 공유하고, 내려받는다. 하지만 신원이 불분명한 사용자의 공공 클라우드 스토리지 무단접근은 공공의 데이터가 유출될 가능성이 높다. 또한 인증된 사용자일지라도 악의적인 목적으로 공공 클라우드에 악성코드가 추가된 데이터를 업로드 하거나, 위ㆍ변조하는 등의 공격을 막기 어렵다. 또한 해당 클라우드로부터 내려받은 데이터에 대한 출처를 확인할 수 없어 해당 공공 클라우드의 신뢰성을 저하시킬 수 있다.
보안 요구사항
■ 기밀성
공공 클라우드 서비스의 인증정보는 기밀성이 보장되어야 한다. 인증정보는 사용자가 공공 클라우드 망으로 접속하여 정당한 사용자인지 확인하는 과정에 사용된다. 또한 사용자 인증값 생성단계에 사용되어 이는 클라우드 서비스의 인증 및 해당 데이터의 출처 정보를 가지고 있다. 이를 위해 공공 클라우드 환경의 통신에 사용되는 서버 인증정보는 정당한 사용자만이 확인 가능해야 하며, 서버 인증정보의 발신지 및 수신지, 통신횟수, 길이, 통신상의 트래픽 특성에 대하여 공격자가 알 수 없어야 한다[3].
■ 무결성
사용자의 인증값은 해당 사용자의 클라우드 서비스 접속 및 데이터 업로드 과정과 연관이 있기 때문에 무결성이 보장되어야 한다. 공공 클라우드 환경에서는 데이터베이스에 저장 또는 네트워크를 통해 전송되는 사용자들의 인증값이 위조, 변조 및 파괴되지 않도록 해야 한다. 따라서 전송받은 데이터의 위변조와 사용자 인증값의 위조 및 변조를 감지하기 위하여 전자서명 또는 해쉬함수 연산 등을 이용해야 한다[3].
■ 인증
공공 클라우드 환경에서의 인증기능은 서비스 이용을 원하는 사용자가 전송한 메시지 및 데이터의 출처가 정확히 확인되고, 그 실체의 신분이 거짓이 아닌 정당한 사용자라는 것을 검증할 수 있어야 한다[3].
■ 접근제어
공공 클라우드 스토리지에 대한 읽기 및 변경 등의 모든 접근 행위에 대해 그 권한을 명백하게 구분하여 허가되지 않은 접근 시도를 사전에 차단할 수 있도록 하는 접근제어 기능이 필요하다. 운영체제의 접근통제 기능을 사용하며, 네트워크에서는 침입차단 시스템을 사용하여 접근통제의 수준을 높일 수 있다. 또한 정당하지 않은 사용자는 해당 공공 클라우드 서비스를 이용할 수 없도록 해야 한다[3].
이에, 본 발명에서는 공공 클라우드 환경에서 안전하게 데이터를 관리하기 위한 기법을 제안한다. 본 발명은 다수의 사용자가 하나의 스토리지를 함께 사용하는 공공 클라우드 환경에서 적용됨을 가정한다.
본 발명은 공공 클라우드 망으로부터 인증정보를 전송받아 해당 공공 클라우드의 구성원임을 증명받고, 전송받은 서버 인증정보를 바탕으로 사용자 인증값을 생성하여 데이터와 함께 업로드한다. 이는 신원이 불분명한 사용자의 접근을 막고, 악의적인 데이터의 클라우드 스토리지의 저장을 방지하고, 추가적으로 데이터의 출처를 명확하게 하여 공공 클라우드의 신뢰성을 높일 수 있다. 제안하는 프로토콜은 사용자 인증 단계와 데이터 관리 단계의 2단계로 구분된다.
도 1은 본 발명의 일 실시예에 의한 공공 클라우드 환경에서의 안전한 데이터 관리 시스템의 개념도이다.
도 1을 참조하면, 본 발명의 공공 클라우드 환경에서의 안전한 데이터 관리 시스템은 사용자단말(1)과 공공 클라우드 망(Network)(2)을 포함한다.
공공 클라우드 망(2)은, 사용자 인증값 비교를 통해 접속 승인 및 전송된 데이터의 유효성 검증을 수행하는 공공 클라우드 인증 서버(21)와, 전송된 데이터의 정상 유무를 분석하며, 데이터의 정상 유무에 따라 업로드 요청 여부를 결정하는 공공 클라우드 데이터 분석 서버(22)와, 전송된 데이터가 정상인 경우에 한하여 데이터 형식 등의 정보를 데이터베이스화하는 공공 클라우드 스토리지(23)를 포함한다.
그러면, 여기서 상기와 같이 구성된 시스템을 이용한 본 발명의 공공 클라우드 환경에서의 안전한 데이터 관리 기법에 대해 설명하기로 한다.
도 2는 본 발명의 일 실시예에 의한 사용자 인증 과정을 나타낸 개념도이다.
도 2를 참조하면, 사용자단말(1)은 사용을 원하는 공공 클라우드 망(2)으로 접속을 요청한다(①).
이에, 공공 클라우드 인증 서버(21)는 해당 사용자단말(1)의 중복 가입여부를 검사한다(②).
이어서, 공공 클라우드 인증 서버(21)는 해당 사용자단말(1)의 공공 클라우드 서비스에 가입이 가능한 정당한 사용자인지 여부를 확인한다(③).
정당한 사용자인지 확인이 완료되면, 공공 클라우드 인증 서버(21)는 난수값과 타임스탬프값을 연산한 인증정보를 생성한다(④).
공공 클라우드 인증 서버(21)는 사용자단말(1)에게 생성된 인증정보를 전송한다(⑤).
사용자단말(1)은 전송받은 공공 클라우드 망(2)의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산하여 사용자 인증값을 생성한다. 이는 정당한 사용자의 증명과 함께 데이터의 무결성 증명에 대해 유효성을 지니게 된다(⑥).
사용자단말(1)은 생성한 사용자 인증값을 공공 클라우드 인증 서버(21)로 전송하여 해당 공공 클라우드 서비스 승인을 요청한다(⑦).
공공 클라우드 인증 서버(21)는 사용자 인증값에 포함된 공공 클라우드 망(2)의 인증정보를 확인하여 해당 사용자의 정당성을 확인한다(⑧).
공공 클라우드 인증 서버(21)는 해당 사용자단말(1)의 인증 요청을 수락하여 인증 단계를 마무리 한다(⑨).
도 3은 본 발명의 일 실시예에 의한 데이터 관리 과정을 나타낸 개념도이다.
도 3을 참조하면, 사용자단말(1)은 사전에 가입 승인을 받은 공공 클라우드 망(2)으로 접속한다(①).
공공 클라우드 인증 서버(21)는 전송받은 사용자 인증값을 공공 클라우드 스토리지(23)에 미리 저장된 사용자 인증값과 비교하여 동일하면 접속을 승인한다(②).
사용자단말(1)은 업로드하려는 데이터에 사용자 인증값을 연접하여 공공 클라우드 스토리지(23)에 업로드 한다(③).
공공 클라우드 인증 서버(21)는 전송받은 데이터의 사용자 인증값을 비교한다. 이는 해당 데이터의 유효성을 검증한다(④).
공공 클라우드 인증 서버(21)에서 정당한 사용자의 데이터임을 확인하면, 이어서 공공 클라우드 데이터 분석 서버(22)에서 해당 데이터의 정상 유무를 분석하게 된다. 해당 과정에서 업로드한 데이터가 정상임이 파악되지 않을 경우에 사용자단말(1)의 데이터 업로드 요청을 거부하고 데이터 관리 과정을 마무리한다(⑤).
공공 클라우드 데이터 분석 서버(22)는 분석과정이 완료된 정상적인 데이터에 한하여 데이터의 형식 등의 정보를 데이터베이스화한다. 이는 효율적인 데이터 관리를 수행하고 추가적으로 데이터의 출처를 명확하게 하여 공공 클라우드의 신뢰성을 높힌다(⑥).
공공 클라우드 망(2)에서는 사용자단말(1)로 데이터 업로드 완료 메시지를 전송함으로써 해당 과정을 마무리 한다(⑦).
안전성 분석
■ 기밀성
제안하는 기법의 서버 인증정보는 사용자 ID와 서버의 타임스탬프 정보를 지수승하여 생성된다. 따라서 해당하는 서버의 난수값을 알기 어렵기 때문에 해당 서버 인증정보를 탈취하더라도 공공 클라우드 서비스를 사용할 수가 없다. 또한 데이터 관리 단계에도 클라우드 인증정보가 사용되기 때문에 사용자 인증값을 임의로 변경할 수 없다.
■ 무결성
제안하는 기법은 해쉬함수 연산을 사용하여 사용자 인증값을 생성하여 저장하게 된다. 생성된 사용자 인증값은 데이터 업로드 과정에서 데이터 분석 서버(22)와 비교를 통해 해당 데이터의 정당성과 무결성을 제공한다.
■ 인증
제안하는 기법의 사용자 인증값에는 클라우드 서버에서 직접 발급한 난수 기반의 클라우드 서버 인증정보를 사용하여 생성하기 때문에 안전한 인증기능을 제공한다.
■ 접근제어
제안하는 기법은 공공 클라우드 망으로부터 발급받은 인증정보가 없거나 사용자 인증값이 없다면 서비스 접근이 불가능하다. 클라우드 서버는 인증정보를 통해 해당 사용자의 정당성을 검증하며, 서비스 이용을 가능하게 해준다. 사용자 인증값은 난수 기반의 서버 인증정보를 통해 생성하므로 이를 알아내기는 어렵다. 따라서 서버 인증정보를 탈취하더라도 공공 클라우드 서비스에 접근할 수가 없다.
상술한 바와 같이, 클라우드 컴퓨팅의 대중적인 보급과 함께 공공부문에서의 클라우드 컴퓨팅 서비스 도입에 대해서 관심이 증가하고 있다. 하지만 공공부문 클라우드 컴퓨팅의 특성과 같이 다수의 사용자가 하나의 클라우드 스토리지에 접근하여 각종 데이터를 공유하고 내려받는 환경에서는 신원이 불분명한 사용자의 클라우드 스토리지 무단접근, 악성코드가 삽입된 불법 데이터의 공격, 공공 데이터의 유출 및 위변조 가능성, 클라우드 스토리지(23)로부터 내려받은 데이터에 대한 출처를 확인할 수 없어 해당 공공 클라우드의 신뢰성을 저하하는 등의 문제점이 존재한다.
따라서 본 발명에서는 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법에 대해 제안하였다. 이를 통해 공공부문 클라우드 서비스 도입 시 인증받은 구성원만 스토리지를 사용할 수 있고, 사용자 인증값과 함께 데이터를 저장하여 데이터의 안전성을 높이며, 추가적으로 데이터의 출처를 명확하게 함으로써 공공 클라우드의 신뢰성을 높일 수 있다.
이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
1 : 사용자단말
2 : 공공 클라우드 망
21 : 공공 클라우드 인증 서버
22 : 공공 클라우드 데이터 분석 서버
23 : 공공 클라우드 스토리지
2 : 공공 클라우드 망
21 : 공공 클라우드 인증 서버
22 : 공공 클라우드 데이터 분석 서버
23 : 공공 클라우드 스토리지
Claims (4)
- 삭제
- 삭제
- 사용자단말의 공공 클라우드 망으로의 접속 요청에 대응하여 생성한 인증정보를 상기 사용자단말로 전송하고, 상기 사용자단말에서 상기 공공 클라우드 망의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산을 통해 사용자 인증값을 생성하여 상기 공공 클라우드 망으로 전송하고, 상기 공공 클라우드 망에서 상기 사용자 인증값에 포함된 상기 공공 클라우드 망의 인증정보를 확인하여 서비스 승인을 수락하는 사용자 인증 단계; 및
상기 사용자단말에서 업로드하려는 데이터에 사용자 인증값을 연접하여 공공 클라우드 망으로 전송하면, 상기 공공 클라우드 망에서 상기 사용자 인증값을 비교하여 정당한 사용자임을 확인함과 아울러 상기 업로드하려는 데이터의 분석을 통해 정상 여부를 확인하고, 상기 업로드하려는 데이터가 정상일 경우에만 업로드를 진행하는 데이터 관리 단계를 포함하며,
상기 사용자 인증 단계는,
상기 사용자단말에서 상기 공공 클라우드 망으로 접속을 요청하는 단계;
공공 클라우드 인증 서버가 상기 사용자단말의 중복 가입여부를 검사함과 아울러 정당한 사용자인지 여부를 확인하는 단계;
정당한 사용자일 경우, 상기 공공 클라우드 인증 서버가 난수값과 타임스탬프값을 연산한 인증정보를 생성하여 상기 사용자단말로 전송하는 단계;
상기 사용자단말이 전송받은 상기 인증정보와 사용자 정보를 연접하고 해쉬함수 연산하여 사용자 인증값을 생성하고, 상기 사용자 인증값을 상기 공공 클라우드 인증 서버로 전송하는 단계;
상기 공공 클라우드 인증 서버가 사용자 인증값에 포함된 상기 인증정보를 확인하여 사용자의 정당성을 확인하는 단계; 및
정당한 사용자일 경우, 상기 공공 클라우드 인증 서버가 상기 사용자단말의 인증 요청을 수락하는 단계를 포함하는 공공 클라우드 환경에서의 안전한 데이터 관리 기법.
- 사용자단말의 공공 클라우드 망으로의 접속 요청에 대응하여 생성한 인증정보를 상기 사용자단말로 전송하고, 상기 사용자단말에서 상기 공공 클라우드 망의 인증정보와 사용자 정보를 연접하고 해쉬함수 연산을 통해 사용자 인증값을 생성하여 상기 공공 클라우드 망으로 전송하고, 상기 공공 클라우드 망에서 상기 사용자 인증값에 포함된 상기 공공 클라우드 망의 인증정보를 확인하여 서비스 승인을 수락하는 사용자 인증 단계; 및
상기 사용자단말에서 업로드하려는 데이터에 사용자 인증값을 연접하여 공공 클라우드 망으로 전송하면, 상기 공공 클라우드 망에서 상기 사용자 인증값을 비교하여 정당한 사용자임을 확인함과 아울러 상기 업로드하려는 데이터의 분석을 통해 정상 여부를 확인하고, 상기 업로드하려는 데이터가 정상일 경우에만 업로드를 진행하는 데이터 관리 단계를 포함하며,
상기 데이터 관리 단계는,
상기 사용자 인증값의 비교를 통한 접속 승인이 이루어지면, 상기 사용자단말이 상기 업로드하려는 데이터에 사용자 인증값을 연접하여 상기 공공 클라우드 스토리지로의 업로드를 요청하는 단계;
상기 공공 클라우드 인증 서버가 사용자 인증값 비교를 통해 정당한 사용자의 데이터임을 확인하는 단계;
상기 공공 클라우드 데이터 분석 서버가 상기 데이터의 정상 유무를 분석하여, 정상일 경우에 데이터의 형식을 포함한 정보의 데이터베이스화를 요청하는 단계; 및
상기 데이터베이스화가 결정된 정보를 상기 공공 클라우드 스토리지에 저장하는 단계를 포함하는 공공 클라우드 환경에서의 안전한 데이터 관리 기법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130122652A KR101458820B1 (ko) | 2013-10-15 | 2013-10-15 | 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR20130122652A KR101458820B1 (ko) | 2013-10-15 | 2013-10-15 | 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101458820B1 true KR101458820B1 (ko) | 2014-11-07 |
Family
ID=52287204
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20130122652A KR101458820B1 (ko) | 2013-10-15 | 2013-10-15 | 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101458820B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017111483A1 (ko) * | 2015-12-23 | 2017-06-29 | 주식회사 케이티 | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법 |
| KR101835778B1 (ko) * | 2016-01-26 | 2018-03-07 | (주)위세아이텍 | 공공데이터 개방 인터페이스 제공 장치 및 방법 |
| KR20190063095A (ko) * | 2017-11-29 | 2019-06-07 | 주식회사 아이디케이스퀘어드 | 데이터를 클라우드에 안전하게 저장하고 분석하기 위한 방법 및 프로그램 |
| KR20230167782A (ko) | 2022-06-02 | 2023-12-12 | 인천대학교 산학협력단 | 개방 공공 데이터의 품질을 알려주는 개방 공공 데이터 관리 장치 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080000085A (ko) * | 2006-06-26 | 2008-01-02 | (주)트리니티소프트 | 웹서버의 업로드 파일의 검증 방법 및 그 장치 |
| KR20120120346A (ko) * | 2010-01-22 | 2012-11-01 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치 |
| KR20130046155A (ko) * | 2011-10-27 | 2013-05-07 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 |
| KR20130085472A (ko) * | 2011-12-05 | 2013-07-30 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 보안 시스템 |
-
2013
- 2013-10-15 KR KR20130122652A patent/KR101458820B1/ko active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20080000085A (ko) * | 2006-06-26 | 2008-01-02 | (주)트리니티소프트 | 웹서버의 업로드 파일의 검증 방법 및 그 장치 |
| KR20120120346A (ko) * | 2010-01-22 | 2012-11-01 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰적인 연합 아이덴티티 관리 및 데이터 액세스 인가를 위한 방법 및 장치 |
| KR20130046155A (ko) * | 2011-10-27 | 2013-05-07 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 접근제어 시스템 |
| KR20130085472A (ko) * | 2011-12-05 | 2013-07-30 | 인텔렉추얼디스커버리 주식회사 | 클라우드 컴퓨팅 서비스에서의 보안 시스템 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017111483A1 (ko) * | 2015-12-23 | 2017-06-29 | 주식회사 케이티 | 생체 정보 기반 인증 장치, 이와 연동하는 제어 서버 및 어플리케이션 서버, 그리고 이들의 동작 방법 |
| KR101835778B1 (ko) * | 2016-01-26 | 2018-03-07 | (주)위세아이텍 | 공공데이터 개방 인터페이스 제공 장치 및 방법 |
| KR20190063095A (ko) * | 2017-11-29 | 2019-06-07 | 주식회사 아이디케이스퀘어드 | 데이터를 클라우드에 안전하게 저장하고 분석하기 위한 방법 및 프로그램 |
| KR102105368B1 (ko) | 2017-11-29 | 2020-04-28 | 주식회사 아이디케이스퀘어드 | 중요 정보의 외부 유출 방지를 위한 클라우드 내 데이터 저장 및 분석 방법 및 프로그램 |
| KR20230167782A (ko) | 2022-06-02 | 2023-12-12 | 인천대학교 산학협력단 | 개방 공공 데이터의 품질을 알려주는 개방 공공 데이터 관리 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11743038B2 (en) | Methods and systems of providing verification of information using a centralized or distributed ledger | |
| Lim et al. | Blockchain technology the identity management and authentication service disruptor: a survey | |
| CN111429254B (zh) | 一种业务数据处理方法、设备以及可读存储介质 | |
| US20220006634A1 (en) | Decentralized data authentication | |
| US11870769B2 (en) | System and method for identifying a browser instance in a browser session with a server | |
| US20230020193A1 (en) | Quantum-safe networking | |
| US8839395B2 (en) | Single sign-on between applications | |
| EP3700164A1 (en) | Method and apparatus for facilitating the login of an account | |
| Panda et al. | A blockchain based decentralized authentication framework for resource constrained iot devices | |
| CN104184713A (zh) | 终端识别方法、机器识别码注册方法及相应系统、设备 | |
| US11757640B2 (en) | Non-fungible token authentication | |
| CN101321064A (zh) | 一种基于数字证书技术的信息系统的访问控制方法及装置 | |
| KR101458820B1 (ko) | 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법 | |
| CN112398799A (zh) | 一种单点登录方法、装置及系统 | |
| Alnahari et al. | Authentication of IoT device and IoT server using security key | |
| Kim et al. | Can we create a cross-domain federated identity for the industrial Internet of Things without Google? | |
| CN111817858A (zh) | 一种基于多重签名的区块链数据安全方法 | |
| US20230188345A1 (en) | System and methods for interactive document sharing and authentication with privacy guarantee | |
| CN105743883B (zh) | 一种网络应用的身份属性获取方法及装置 | |
| CN105379176A (zh) | 用于验证scep证书注册请求的系统和方法 | |
| KR101936941B1 (ko) | 생체인증을 이용한 전자결재 시스템, 방법 및 프로그램 | |
| Bolgouras et al. | Enabling Qualified Anonymity for Enhanced User Privacy in the Digital Era | |
| Mourya | Implementing an IDaaS for Azure Active Directory using Azure Conditional Access Policies | |
| Wi et al. | Secure data management scheme in the cloud data center | |
| CN117396866A (zh) | 授权交易托管服务 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20181101 Year of fee payment: 5 |
|
| FPAY | Annual fee payment |
Payment date: 20191101 Year of fee payment: 6 |