KR101521808B1 - 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템 - Google Patents

클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템 Download PDF

Info

Publication number
KR101521808B1
KR101521808B1 KR1020140019822A KR20140019822A KR101521808B1 KR 101521808 B1 KR101521808 B1 KR 101521808B1 KR 1020140019822 A KR1020140019822 A KR 1020140019822A KR 20140019822 A KR20140019822 A KR 20140019822A KR 101521808 B1 KR101521808 B1 KR 101521808B1
Authority
KR
South Korea
Prior art keywords
packet data
authentication header
user terminal
remote user
cloud server
Prior art date
Application number
KR1020140019822A
Other languages
English (en)
Inventor
김성진
이철우
김병준
김형천
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140019822A priority Critical patent/KR101521808B1/ko
Priority to US14/466,971 priority patent/US9294463B2/en
Priority to DE102014113582.2A priority patent/DE102014113582B4/de
Application granted granted Critical
Publication of KR101521808B1 publication Critical patent/KR101521808B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms

Abstract

사용자가 클라우드 서비스 내부와 외부 간에 전송하는 데이터에 대해서 사용자 위치, 사용자 단말, 시간 등의 다양한 상황정보에 따라 원격 사용자 단말과 클라우드 서비스 간의 데이터 전송을 통제할 수 있도록 하는 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템을 제시한다. 제시된 장치는 입력받은 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하고 생성된 인증 헤더를 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 인증 헤더 검사부, 및 인증 헤더 검사부의 결과에 따라 클라우드 서비스 네트워크의 클라우드 서버로부터의 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 패킷 데이터 처리부를 포함한다.

Description

클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템{Apparatus, method, and system of context-aware security control of cloud environment}
본 발명은 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템에 관한 것으로, 보다 상세하게는 클라우드 가상 데스크탑 또는 클라우드 저장소 서비스에서 사용자와 클라우드간의 데이터 전송을 네트워크 OSI(Open Systems Interconnection) 3, 4 계층에서 상황정보(Context)를 기반으로 제어하기 위한 장치, 방법, 및 시스템에 관한 것이다.
상황인지 기반 보안(Context-Aware Security) 기술은 사용자의 위치(location), 사용기기(device) 및 시간(time) 등의 상황정보에 따라 데이터 전송 통제와 같은 보안 기능을 수행하는 것을 일컫는다.
클라우드 서비스는 원격지에 있는 사용자 단말이 클라우드 서버에 네트워크를 통해 접근하여 사용할 수 있도록 한다. 이를 위해, 클라우드 가상 데스크톱 서비스는 PCoIP(PC over IP), ICA(Independent Computing Architecture), SPICE(the Simple Protocol for Independent Computing Environments) 등 가상 데스크톱 연동 프로토콜을 제공하며, 클라우드 저장소 서비스는 HTTP(Hyper Text Transfer Protocol), WebDAV(Web Distribute Authoring and Versioning) 등 데이터 전송 프로토콜을 제공하여 클라우드 서비스와 원격 사용자 단말기 간 데이터 전송을 지원한다.
기존 클라우드 서비스의 데이터 전송 통제는 단순하게 접속 IP를 차단하거나 클라우드 서버 또는 사용자 단말에서 데이터 전송 기능을 비활성화하는 방식으로 이루어진다. 하지만, 이러한 기존 클라우드 서비스는 사용자 위치, 기기정보, 시간 등 상황정보에 따라 서비스를 통제해야 하는 경우와 같이 섬세한(fine-grained) 보안정책을 적용하기 어렵다는 단점이 있다.
관련 선행기술로는, 클라우드 서비스에서 상황정보를 기반으로 사용자 인증을 강화하는 방법이, 대한민국공개특허공보 제10-2013-0094359호(모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법)에 제시되었다.
대한민국공개특허공보 제10-2013-0094359호의 발명은 상황정보에 따라 인증 수단을 다양화하거나 접속망 보안 수준을 다양하게 제공할 수 있는 장점이 있다. 그러나, 사용자 단말과 인증 서버가 직접 통신하여 사용자 인증을 수행하므로 악의적인 공격자에게 인증 서버에 대한 취약점 공격 기회를 제공할 수 있다.
다른 관련 선행기술로는, 모바일 단말에서 안전한 위치기반 서비스를 제공하는 방법이, Proceedings of the second ACM SIGCOMM workshop on Mobile cloud computing(Yan Zhu 외 3인, Enabling Secure Location-base Services in Mobile Cloud Computing, 2013년 8월12일)이라는 논문에 제시되었다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 사용자가 클라우드 서비스 내부와 외부 간에 전송하는 데이터에 대해서 사용자 위치, 사용자 단말, 시간 등의 다양한 상황정보에 따라 원격 사용자 단말과 클라우드 서비스 간의 데이터 전송을 통제할 수 있도록 하는 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 클라우드 환경에서의 상황인지형 보안 통제 장치는, 입력받은 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하고, 생성된 인증 헤더를 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 인증 헤더 검사부; 및 상기 인증 헤더 검사부의 결과에 따라 클라우드 서비스 네트워크의 클라우드 서버로부터의 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 패킷 데이터 처리부;를 포함한다.
이때, 상기 인증 헤더 검사부는 상기 원격 사용자 단말기가 전송하는 데이터 수신 요청을 파싱하여 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더를 복원하고, 상기 복원된 인증 헤더의 유효성을 상기 생성된 인증 헤더를 근거로 검사할 수 있다.
이때, 상기 생성된 인증 헤더 및 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더는 HMAC(Hash-based Message Authentication Code) 함수로 생성될 수 있다.
이때, 상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 전송을 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 원본 패킷 데이터를 그대로 상기 원격 사용자 단말기에게로 전송할 수 있다.
이때, 상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 변조를 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 패킷 데이터를 변조하여 상기 원격 사용자 단말기에게로 전송할 수 있다.
이때, 상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 폐기를 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 패킷 데이터를 차단하여 상기 원격 사용자 단말기와 상기 클라우드 서버간의 세션을 종료시킬 수 있다.
이때, 상기 상황정보의 종류와 상기 패킷 데이터 처리부에서의 패킷 데이터 처리 정책을 입력가능하도록 하는 인터페이스를 제공하는 정책 입력 인터페이스부;를 추가로 포함할 수 있다.
이때, 상기 인증 헤더 검사부 및 상기 패킷 데이터 처리부를 포함하는 보안 통제 장치는 상기 클라우드 서비스 네트워크의 인입점에 인라인 모드로 설치될 수 있다.
이때, 상기 사용자의 상황정보는 지역정보를 포함하고, 상기 지역정보는 특정 GPS 범위 블록마다 하나의 고유값으로 매핑되어 제공될 수 있다.
한편, 본 발명의 바람직한 실시양태에 따른 클라우드 환경에서의 상황인지형 보안 통제 방법은, 인증 헤더 검사부가, 입력받은 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하는 단계; 상기 인증 헤더 검사부가, 상기 생성된 인증 헤더를 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 단계; 및 패킷 데이터 처리부가, 상기 결과를 출력하는 단계에서의 결과에 따라 클라우드 서비스 네트워크의 클라우드 서버로부터의 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 단계;를 포함한다.
한편, 본 발명의 바람직한 실시양태에 따른 클라우드 환경에서의 상황인지형 보안 통제 시스템은, GPS 값을 기반으로 하는 지역정보를 포함하는 상황정보 및 키를 출력하는 상황정보 제공 단말기; 상기 상황정보 제공 단말기로부터의 상황정보 및 키를 근거로 인증 헤더를 생성하고 데이터 수신 요청을 상기 인증 헤더와 함께 출력하는 원격 사용자 단말기; 및 상기 원격 사용자 단말기로부터의 데이터 수신 요청을 수신하고, 상기 원격 사용자 단말기 및 클라우드 서비스 네트워크내의 클라우드 서버간에 정의된 상황인지 기반 정책에 따라 상기 원격 사용자 단말기로의 데이터 전송을 통제하는 상황인지 기반 보안 통제기;를 포함한다.
이러한 구성의 본 발명에 따르면, 클라우드 서비스 환경에서 다양한 상황정보를 기반으로 네트워크상에서 전송 데이터를 통제하는 효과가 있다.
또한, 보안통제의 주체인 상황인지 기반 보안통제기가 클라우드 서비스 네트워크 인입점에 인라인 모드(In-Line mode)로 설치되므로, 사용자 단말기 및 클라우드 서버와 직접 통신하지 않고 독립적으로 전송 데이터의 보안통제를 수행할 수 있다.
보안통제 기능의 주체가 인증 서버일 경우 악의적인 공격자 또는 내부자에게 보안통제를 우회할 수 있는 취약점 분석 기회를 제공하지만, 본 발명에서 상황인지 기반 보안통제기는 외부에서 접근 가능한 IP 주소가 존재하지 않고 전송 네트워크 구간에서 패시브(Passive)하게 보안통제를 수행하므로 해킹 공격에 보다 안전한 효과가 있다.
도 1은 본 발명의 실시예에 따른 클라우드 환경에서의 상황인지형 보안 통제 장치를 클라우드 서비스 네트워크에 적용시킨 도면이다.
도 2는 도 1에 도시된 원격 사용자 단말기의 내부 구성도이다.
도 3은 도 1에 도시된 상황인지 기반 보안 통제기의 내부 구성도이다.
도 4는 도 1에 도시된 원격 사용자 단말기와 상황인지 기반 보안 통제기의 연동 절차를 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 클라우드 환경에서의 상황인지형 보안 통제 방법을 설명하기 위한 순서도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 1은 본 발명의 실시예에 따른 클라우드 환경에서의 상황인지형 보안 통제 장치를 클라우드 서비스 네트워크에 적용시킨 도면이고, 도 2는 도 1에 도시된 원격 사용자 단말기의 내부 구성도이고, 도 3은 도 1에 도시된 상황인지 기반 보안 통제기의 내부 구성도이고, 도 4는 도 1에 도시된 원격 사용자 단말기와 상황인지 기반 보안 통제기의 연동 절차를 설명하기 위한 도면이다.
도 1에서는, 하나 이상의 상황정보 제공 단말기(10)가 하나의 원격 사용자 단말기(20)와 통신하고, 하나 이상의 원격 사용자 단말기(20)가 단일의 상황인지 기반 보안 통제기(30)와 통신하고, 단일의 상황인지 기반 보안 통제기(30)가 클라우드 서비스 네트워크(50)의 클라우드 서버(40)에 연결된다.
상황정보 제공 단말기(10)는 원격 사용자 단말기(20)의 요청에 따라 키(key) 및 상황정보를 해당 원격 사용자 단말기(20)에게 제공한다. 다시 말해서, 상황정보 제공 단말기(10)는 GPS 값을 기반으로 하는 지역정보와 단말 고유값 등의 상황정보 및 키를 원격 사용자 단말기(10)에게 제공할 수 있다. 바람직하게, 상황정보 제공 단말기(10)는 특정 GPS 범위 블록을 지칭하는 고유값으로 매핑된 지역정보 매핑 테이블을 기반으로 지역정보를 제공할 수 있다.
원격 사용자 단말기(20)는 인증 헤더를 생성하고 데이터 수신 요청을 인증 헤더와 함께 상황인지 기반 보안 통제기(30)를 통해 클라우드 서버(40)에게 전송할 수 있다.
원격 사용자 단말기(20)는 도 2에서와 같이 인증 헤더 생성부(22), 및 리시버 에이전트부(24)를 포함한다.
인증 헤더 생성부(22)는 해당 원격 사용자 단말기(20)의 기기정보(device), 지역정보(location), 현재 시간정보(time) 등의 상황정보 및 키(key)를 기반으로 인증 헤더를 생성한다. 여기서, 상황정보 및 키는 시스템 관리 운용자 또는 사용자(예컨대, 시스템 관리 운용자로부터 상황정보 및 키를 전달받은 자)가 입력할 수 있다. 시스템 관리 운용자 또는 사용자에 의해 입력되는 상황정보 및 키는 상황정보 제공 단말기(10)를 통해 인증 헤더 생성부(22)에게로 인가된다.
리시버 에이전트부(24)는 상황정보 제공 단말기(10)로부터의 상황정보 및 키를 인증 헤더 생성부(22)에게 전달하고 데이터 수신요청을 인증 헤더와 함께 클라우드 서버(40)에게 전송한다. 다시 말해서, 리시버 에이전트부(24)는 클라우드 서버(40)로부터의 데이터를 수신하기 위하여 클라우드 서버(40)와 세션을 맺을 수 있고, 상황정보 제공 단말기(10)에게 데이터 인증 헤더 생성에 필요한 키와 상황정보를 요청하여 제공받을 수 있다.
상황인지 기반 보안 통제기(30)는 클라우드 서비스 전송 데이터를 다양한 상황정보에 따라 통제할 수 있고 보안통제의 주체가 된다. 즉, 상황인지 기반 보안 통제기(30)는 클라우드 서버(40)와 원격 사용자 단말기(20)간에 정의된 상황인지 기반 정책에 따라 데이터 전송을 통제할 수 있다. 상황인지 기반 보안 통제기(30)는 클라우드 서비스 인입점 네트워크에 인라인 모드(In-Line mode)로 설치되기 때문에 원격 사용자 단말기(20), 클라우드 서버(40)와 직접 통신하지 않고 독립적으로 전송 데이터의 보안통제를 수행할 수 있다.
상황인지 기반 보안 통제기(30)는 도 3에서와 같이 정책 입력 인터페이스부(32), 인증 헤더 검사부(34), 및 패킷 데이터 처리부(36)를 포함한다.
정책 입력 인터페이스부(32)는 필요한 상황 정보 및 패킷 데이터 처리 정책을 시스템 관리 운용자가 입력할 수 있는 인터페이스를 제공한다. 다시 말해서, 정책 입력 인터페이스부(32)는 시스템 관리 운용자가 이용하고자 하는 상황정보의 종류와 패킷 데이터 처리 정책을 입력가능하도록 하는 인터페이스를 제공한다. 예를 들어, 정책 입력 인터페이스부(32)는 인증 헤더 검사부(34)에서의 인증 헤더 생성에 필요한 상황 정보 및 키를 제공할 수 있다. 또한, 정책 입력 인터페이스부(32)는 패킷 데이터 처리부(36)에서 필요로 하는 패킷 데이터 처리 정책을 제공할 수 있다.
인증 헤더 검사부(34)는 네트워크 트래픽을 파싱하고 인증 헤더를 검사한다. 다시 말해서, 인증 헤더 검사부(34)는 원격 사용자 단말기(20)의 리시버 에이전트부(24)가 전송하는 데이터 수신 요청을 클라우드 서비스 네트워크(50)의 인입점에서 파싱하여 인증 헤더를 복원하고 복원된 인증 헤더의 유효성을 검사한 후 목적지(즉, 클라우드 서버(40))로 데이터 수신 요청을 전송한다. 즉, 인증 헤더 검사부(34)는 시스템 관리 운용자가 정책 입력 인터페이스부(32)를 통해 입력하는 사용자의 상황정보 및 키를 인가받아 인증 헤더를 생성하고, 생성한 인증 헤더를 원격 사용자 단말기(20)로부터의 패킷 데이터의 인증 헤더와 비교하여 비교 결과를 패킷 데이터 처리부(36)에게로 제공함과 더불어 클라우드 서버(40)에게로 데이터 수신 요청을 전송한다. 여기서, 인증 헤더 검사부(34)와 인증 헤더 생성부(22)와의 연동을 간략하게 도식화하여 보면 도 4에서와 같이 도식화할 수 있다. 도 4에서, 인증 헤더 생성부(22)와 인증 헤더 검사부(34)가 입력으로 사용하는 키와 상황정보, 및 인증 헤더 생성 함수는 동일해야 한다. 그리고, 인증 헤더 생성함수의 예로 HMAC(Hash-based Message Authentication Code) 함수를 사용할 수 있다.
패킷 데이터 처리부(36)는 인증 헤더 검사부(34)에서의 검사 결과에 따라 클라우드 서버(40)로부터 수신하는 패킷 데이터의 전송, 변조 또는 폐기를 수행한다. 다시 말해서, 패킷 데이터 처리부(36)는 인증 헤더 검사부(34)의 검사 결과에 따라 패킷 전송/변조/폐기를 수행하여 클라우드 서버(40)에서 원격 사용자 단말기(20)의 리시버 에이전트부(24)에게로 패킷 데이터를 전송하거나 세션을 종료할 수 있다.
상술한 바와 같이 구성된 상황인지 기반 보안 통제기(30)는 클라우드 서비스 내의 서버 에이전트(즉, 클라우드 서버(40)내의 서버 에이전트(도시 생략))와 원격 사용자 단말기(20)의 리시버 에이전트부(24) 사이의 클라우드 서비스 네트워크 인입점에 인라인 모드(In-Line mode) 형태로 위치한다. 상황인지 기반 보안 통제기(30)는 네트워크 트래픽을 OSI(Open Systems Interconnection) 3, 4 계층에서 파싱하고, 데이터 수신 요청의 인증 헤더 유효성을 검사하여 클라우드 서버(40)가 전송하는 원본 패킷 데이터를 리시버 에이전트부(24)에게 그대로 전송하거나 변조하여 전송할 수 있다. 또한, 상황인지 기반 보안 통제기(30)는 데이터 수신 요청의 인증 헤더 유효성 검사에 의해 패킷 데이터를 폐기하여 원본 패킷 데이터가 리시버 에이전트부(24)에 전송되지 않도록 할 수 있다. 결과적으로, 상황인지 기반 보안 통제기(30)는 원격 사용자 단말기(20)의 식별정보, 사용자의 현재 위치 정보, 시간정보와 같은 상황 정보(Context)를 기반으로 가상 데스크탑 또는 클라우드 저장소와 같은 클라우드 서비스의 정보 이동을 전송 네트워크상에서 통제할 수 있다.
상술한 상황인지 기반 보안 통제기(30)는 본 발명의 특허청구범위에 기재된 클라우드 환경에서의 상황인지형 보안 통제 장치의 일 예가 될 수 있다.
클라우드 서버(40)는 원격 사용자 단말기(20)의 리시버 에이전트부(24)와 연동하여 클라우드 서비스를 제공하고, 클라우드 서비스 네트워크(50)의 내부에 위치해 있는 서버이다. 클라우드 서버(40)는 원격 사용자 단말기(20)에게 클라우드 서비스를 제공하는 주체이다. 클라우드 서버(40)는 가상 데스크톱 서비스 또는 클라우드 저장소 서비스 등을 제공할 수 있다.
도 5는 본 발명의 실시예에 따른 클라우드 환경에서의 상황인지형 보안 통제 방법을 설명하기 위한 순서도이다.
먼저, 원격 사용자 단말기(20)의 리시버 에이전트부(24)는 클라우드 서버(40)로부터 데이터를 수신하기 위하여 클라우드 서버(40)와 세션을 맺고, 상황정보 제공 단말기(10)에게 데이터 인증 헤더 생성에 필요한 키 및 상황정보를 요청한다(S10).
그에 따라, 상황정보 제공 단말기(10)는 리시버 에이전트부(24)의 요청을 받고 저장된 키 및 상황정보를 리시버 에이전트부(24)에게 전송한다(S12). 이때, 상황정보의 예로는 지역정보, 상황정보 제공 단말기(10)의 기기 고유값 등을 들 수 있다. 한편, 상황정보 중 한 요소인 지역정보는 지역정보 매핑 테이블에 의해 하나의 값으로 치환된다. 지역정보 매핑 테이블은 특정 범위를 포함하는 GPS 정보가 하나의 값으로 매핑된 다수 개의 레코드로 구성된다. 다시 말해서, 지역정보 매핑 테이블은 하기의 표 1과 같이 구성될 수 있다.
GPS 정보 매핑 변수
[(126°98', 37°57'), (127°14', 37°45') ] 3911
[(127°14', 37°45'), (127°30', 37°33') ] 3912
표 1의 지역정보 매핑 테이블의 각 행(Row)은 GPS 정보, 매핑 변수의 두 개 열(Column)로 구성되며, GPS 범위는 하나의 지역 블록을 표현하기 위해 "[(시작 위도, 시작 경도),(종료 위도, 종료 경도)]" 형태로 표현된다. 매핑 변수는 해당 지역 블록을 표현하는 고유값으로서, 지역정보 매핑 테이블에 두 개 이상의 동일한 매핑 변수는 존재하지 않는다. 한편, 상기의 표 1의 지역정보 매핑 테이블은 상황인지 기반 보안 통제기(30)의 인증 헤더 검사부(34)가 입력받는 상황정보중의 지역정보에 그대로 적용될 수 있다.
이어, 원격 사용자 단말기(20)의 리시버 에이전트부(24)는 상황정보 제공 단말기(10)로부터 전달받은 키와 상황 정보, 원격 사용자 단말기 식별정보 등의 상황 정보를 인증 헤더 생성부(22)에게 전달한다. 그에 따라, 원격 사용자 단말기(20)의 인증 헤더 생성부(22)는 리시버 에이전트부(24)에게서 전달받은 키와 상황 정보를 기반으로 인증 헤더(AH, Authentication Header)를 생성한다(S14). 이때, 인증 헤더 생성의 예로, 해쉬 기반 메시지 인증 코드(HMAC, Hash-based Message Authentication) 생성 방법을 따를 수 있다.
이후, 원격 사용자 단말기(20)의 리시버 에이전트부(24)는 인증 헤더 생성부(22)에서 생성된 인증 헤더를 데이터 수신 요청과 함께 상황인지 기반 보안 통제기(30)에게로 전송한다(S16).
그에 따라, 상황인지 기반 보안 통제기(30)의 인증 헤더 검사부(34)는 리시버 에이전트부(24)가 전송하는 데이터 수신 요청(인증 헤더 포함)을 클라우드 서비스 네트워크 인입점에서 파싱하여 인증 헤더를 복원하고 복원된 인증 헤더의 유효성을 검사한다(S18). 이때, 인증 헤더 검사는 리시버 에이전트부(24)의 인증 헤더 생성 방법과 동일한 방법을 따르며, 인증 헤더 검사부(34)는 인증 헤더 생성에 필요한 상황정보 및 키를 정책 입력 인터페이스부(32)를 통해 미리 주입받는다.
이어, 상황인지 기반 보안 통제기(30)의 인증 헤더 검사부(34)는 인증 헤더의 유효성 검사를 완료함에 따라 목적지(즉, 클라우드 서버(40))로 데이터 수신 요청을 전송한다(S20).
이후, 클라우드 서버(40)는 데이터 수신 요청에 따라 소정의 패킷 데이터를 상황인지 기반 보안 통제기(30)에게로 전송한다(S22).
그에 따라, 상황인지 기반 보안 통제기(30)의 패킷 데이터 처리부(36)는 인증 헤더 검사부(34)의 인증 헤더 검사 결과에 따라 클라우드 서버(40)가 전송하는 원본 패킷 데이터를 그대로 원격 사용자 단말기(20)의 리시버 에이전트부(24)에게 전송하거나, 전송 패킷 데이터를 차단하여 리시버 에이전트부(24)와 서버 에이전트 간의 세션을 종료시키거나, 전송 패킷 데이터를 변조하여 리시버 에이전트부(24)가 원본 데이터가 아닌 쓰레기 값(Garbage Data)을 수신하도록 한다(S24, S26).
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
10 : 상황정보 제공 단말기 20 : 원격 사용자 단말기
22 : 인증 헤더 생성부 24 : 리시버 에이전트부
30 : 상황인지 기반 보안 통제기 32 : 정책 입력 인터페이스부
34 : 인증 헤더 검사부 36 : 패킷 데이터 처리부
40 : 클라우드 서버 50 : 클라우드 서비스 네트워크

Claims (19)

  1. 입력받은 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하고, 생성된 인증 헤더를 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 인증 헤더 검사부; 및
    상기 인증 헤더 검사부의 결과에 따라 클라우드 서비스 네트워크의 클라우드 서버로부터의 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 패킷 데이터 처리부;를 포함하고,
    상기 인증 헤더 검사부는 상기 원격 사용자 단말기가 전송하는 데이터 수신 요청을 파싱하여 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더를 복원하고, 상기 복원된 인증 헤더의 유효성을 상기 생성된 인증 헤더를 근거로 검사하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  2. 삭제
  3. 청구항 1에 있어서,
    상기 생성된 인증 헤더 및 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더는 HMAC(Hash-based Message Authentication Code) 함수로 생성되는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  4. 청구항 1에 있어서,
    상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 전송을 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 원본 패킷 데이터를 그대로 상기 원격 사용자 단말기에게로 전송하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  5. 청구항 1에 있어서,
    상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 변조를 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 패킷 데이터를 변조하여 상기 원격 사용자 단말기에게로 전송하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  6. 청구항 1에 있어서,
    상기 패킷 데이터 처리부가 상기 패킷 데이터에 대한 전송, 변조, 폐기중에서 폐기를 수행하는 경우, 상기 패킷 데이터 처리부는 상기 클라우드 서버로부터의 패킷 데이터를 차단하여 상기 원격 사용자 단말기와 상기 클라우드 서버간의 세션을 종료시키는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  7. 청구항 1에 있어서,
    상기 상황정보의 종류와 상기 패킷 데이터 처리부에서의 패킷 데이터 처리 정책을 입력가능하도록 하는 인터페이스를 제공하는 정책 입력 인터페이스부;를 추가로 포함하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  8. 청구항 1에 있어서,
    상기 인증 헤더 검사부 및 상기 패킷 데이터 처리부를 포함하는 보안 통제 장치는 상기 클라우드 서비스 네트워크의 인입점에 인라인 모드로 설치된 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  9. 청구항 1에 있어서,
    상기 사용자의 상황정보는 지역정보를 포함하고,
    상기 지역정보는 특정 GPS 범위 블록마다 하나의 고유값으로 매핑되어 제공되는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 장치.
  10. 인증 헤더 검사부가, 입력받은 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하는 단계;
    상기 인증 헤더 검사부가, 상기 생성된 인증 헤더를 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 단계; 및
    패킷 데이터 처리부가, 상기 결과를 출력하는 단계에서의 결과에 따라 클라우드 서비스 네트워크의 클라우드 서버로부터의 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 단계;를 포함하고,
    상기 결과를 출력하는 단계는,
    상기 원격 사용자 단말기가 전송하는 데이터 수신 요청을 파싱하여 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더를 복원하는 단계; 및
    상기 복원된 인증 헤더의 유효성을 상기 생성된 인증 헤더를 근거로 검사하는 단계;를 포함하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  11. 삭제
  12. 청구항 10에 있어서,
    상기 생성된 인증 헤더 및 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더는 HMAC(Hash-based Message Authentication Code) 함수로 생성되는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  13. 청구항 10에 있어서,
    상기 전송, 변조, 폐기중에서 하나를 수행하는 단계는 상기 전송을 수행하는 경우, 상기 클라우드 서버로부터의 원본 패킷 데이터를 그대로 상기 원격 사용자 단말기에게로 전송하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  14. 청구항 10에 있어서,
    상기 전송, 변조, 폐기중에서 하나를 수행하는 단계는 상기 변조를 수행하는 경우, 상기 클라우드 서버로부터의 패킷 데이터를 변조하여 상기 원격 사용자 단말기에게로 전송하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  15. 청구항 10에 있어서,
    상기 전송, 변조, 폐기중에서 하나를 수행하는 단계는 상기 폐기를 수행하는 경우, 상기 클라우드 서버로부터의 패킷 데이터를 차단하여 상기 원격 사용자 단말기와 상기 클라우드 서버간의 세션을 종료시키는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  16. 청구항 10에 있어서,
    상기 사용자의 상황정보는 지역정보를 포함하고,
    상기 지역정보는 특정 GPS 범위 블록마다 하나의 고유값으로 매핑되어 제공되는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 방법.
  17. GPS 값을 기반으로 하는 지역정보를 포함하는 상황정보 및 키를 출력하는 상황정보 제공 단말기;
    상기 상황정보 제공 단말기로부터의 상황정보 및 키를 근거로 인증 헤더를 생성하고 데이터 수신 요청을 상기 인증 헤더와 함께 출력하는 원격 사용자 단말기; 및
    상기 원격 사용자 단말기로부터의 데이터 수신 요청을 수신하고, 상기 원격 사용자 단말기 및 클라우드 서비스 네트워크내의 클라우드 서버간에 정의된 상황인지 기반 정책에 따라 상기 원격 사용자 단말기로의 데이터 전송을 통제하는 상황인지 기반 보안 통제기;를 포함하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 시스템.
  18. 청구항 17에 있어서,
    상기 원격 사용자 단말기는,
    상기 상황정보 및 키를 기반으로 상기 인증 헤더를 생성하는 인증 헤더 생성부; 및
    상기 상황정보 제공 단말기로부터 상기 상황정보 및 키를 수신하여 상기 인증 헤더 생성부에게로 전달하고, 상기 데이터 수신요청을 상기 생성된 인증 헤더와 함께 상기 상황인지 기반 보안 통제기에게 전송하는 리시버 에이전트부;를 포함하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 시스템.
  19. 청구항 17에 있어서,
    상기 상황인지 기반 보안 통제기는,
    시스템 관리 운용자로부터의 사용자의 상황정보와 키를 근거로 인증 헤더를 생성하고, 상기 생성된 인증 헤더를 상기 원격 사용자 단말기로부터의 패킷 데이터의 인증 헤더와 비교하여 결과를 출력하는 인증 헤더 검사부; 및
    상기 인증 헤더 검사부의 결과에 따라 상기 클라우드 서버로부터 수신되는 패킷 데이터에 대한 전송, 변조, 폐기중에서 하나를 수행하는 패킷 데이터 처리부;를 포함하는 것을 특징으로 하는 클라우드 환경에서의 상황인지형 보안 통제 시스템.
KR1020140019822A 2014-02-20 2014-02-20 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템 KR101521808B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020140019822A KR101521808B1 (ko) 2014-02-20 2014-02-20 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템
US14/466,971 US9294463B2 (en) 2014-02-20 2014-08-23 Apparatus, method and system for context-aware security control in cloud environment
DE102014113582.2A DE102014113582B4 (de) 2014-02-20 2014-09-19 Vorrichtung, Verfahren und System für die kontextbewusste Sicherheitssteuerung in einer Cloud-Umgebung

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140019822A KR101521808B1 (ko) 2014-02-20 2014-02-20 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템

Publications (1)

Publication Number Publication Date
KR101521808B1 true KR101521808B1 (ko) 2015-05-20

Family

ID=53395131

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140019822A KR101521808B1 (ko) 2014-02-20 2014-02-20 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템

Country Status (3)

Country Link
US (1) US9294463B2 (ko)
KR (1) KR101521808B1 (ko)
DE (1) DE102014113582B4 (ko)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10231120B2 (en) * 2012-10-16 2019-03-12 Cisco Technology, Inc. Offloaded security as a service
US20160261576A1 (en) * 2015-03-05 2016-09-08 M-Files Oy Method, an apparatus, a computer program product and a server for secure access to an information management system
US20170272428A1 (en) * 2016-03-16 2017-09-21 Thien Pham Method for validating the identity of a user by using geo-location and biometric signature stored in device memory and on a remote server
US10248536B2 (en) * 2016-10-31 2019-04-02 International Business Machines Corporation Method for static and dynamic configuration verification
US20180129581A1 (en) * 2016-11-07 2018-05-10 International Business Machines Corporation Method for static and dynamic configuration verification
KR20180081998A (ko) 2017-01-09 2018-07-18 한국전자통신연구원 모바일 클라우드를 위한 안전 실행 환경 제공 장치 및 방법
FR3066666B1 (fr) * 2017-05-18 2020-07-03 Cassidian Cybersecurity Sas Procede de securisation d'une communication sans gestion d'etats
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11570173B2 (en) * 2018-09-18 2023-01-31 Cyral Inc. Behavioral baselining from a data source perspective for detection of compromised users
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11272015B2 (en) * 2019-12-13 2022-03-08 Liveperson, Inc. Function-as-a-service for two-way communication systems
US11470071B2 (en) * 2020-04-20 2022-10-11 Vmware, Inc. Authentication for logical overlay network traffic
CN114189530A (zh) * 2021-12-14 2022-03-15 南京讯天游科技有限公司 基于互联网的资源协同方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120038859A (ko) * 2010-10-14 2012-04-24 정태길 클라우드 컴퓨팅 기반의 모바일 오피스를 위한 정보 출력 단말 장치

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060274672A1 (en) * 2005-06-06 2006-12-07 Narayanan Venkitaraman System and method for reducing unnecessary traffic in a network
JP4909875B2 (ja) * 2007-11-27 2012-04-04 アラクサラネットワークス株式会社 パケット中継装置
US8504718B2 (en) * 2010-04-28 2013-08-06 Futurewei Technologies, Inc. System and method for a context layer switch
CN103959302A (zh) * 2011-06-01 2014-07-30 安全第一公司 用于安全分布式存储的系统与方法
KR101361161B1 (ko) 2011-12-29 2014-02-17 한국인터넷진흥원 모바일 클라우드 접속 상황 정보 이용 인증 강화 시스템 및 방법
US9374369B2 (en) * 2012-12-28 2016-06-21 Lookout, Inc. Multi-factor authentication and comprehensive login system for client-server networks
JP5921460B2 (ja) * 2013-02-20 2016-05-24 アラクサラネットワークス株式会社 認証方法、転送装置及び認証サーバ

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120038859A (ko) * 2010-10-14 2012-04-24 정태길 클라우드 컴퓨팅 기반의 모바일 오피스를 위한 정보 출력 단말 장치

Also Published As

Publication number Publication date
US20150237027A1 (en) 2015-08-20
DE102014113582B4 (de) 2022-08-04
US9294463B2 (en) 2016-03-22
DE102014113582A1 (de) 2015-08-20

Similar Documents

Publication Publication Date Title
KR101521808B1 (ko) 클라우드 환경에서의 상황인지형 보안 통제 장치, 방법, 및 시스템
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
CN112260995B (zh) 接入认证方法、装置及服务器
CN102378170B (zh) 一种鉴权及业务调用方法、装置和系统
WO2017213921A1 (en) Root of trust of geolocation
CN104054321A (zh) 针对云服务的安全管理
Jeong et al. An efficient authentication system of smart device using multi factors in mobile cloud service architecture
Oniga et al. Analysis, design and implementation of secure LoRaWAN sensor networks
US8190764B2 (en) Method and system for an intercept chain of custody protocol
US11316700B1 (en) Distributed ledger-based ad-hoc system, apparatus and method
Kwon et al. Towards 5G-based IoT security analysis against Vo5G eavesdropping
CN112968910B (zh) 一种防重放攻击方法和装置
CN105722072A (zh) 一种业务授权方法、装置、系统及路由器
EP3531658A1 (en) Providing inter-enterprise data communications between enterprise applications on an electronic device
US11539715B1 (en) Distributed ledger-based ad-hoc system, apparatus and method using fingerprint verification
KR101802588B1 (ko) 세션 키 및 인증 토큰에 기반한 상호 인증 장치들 간의 상호 인증 방법 및 상호 인증 장치들
CN105100268A (zh) 一种物联网设备的安全控制方法、系统及应用服务器
CN102045310B (zh) 一种工业互联网入侵检测和防御方法及其装置
CN114844644A (zh) 资源请求方法、装置、电子设备及存储介质
JP2023535474A (ja) アソシエーション制御方法及び関連装置
CN114301967B (zh) 窄带物联网控制方法、装置及设备
CN113709729B (zh) 数据处理方法、装置、网络设备及终端
JP2017500642A (ja) ポリシー制御機能の管理メカニズムのためのシステム及び方法
CN113079506B (zh) 网络安全认证方法、装置及设备
CN114978645A (zh) 基于区块链的数据处理方法、装置、服务器及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 4