KR101762876B1 - 클라우드 컴퓨팅 서비스에서의 보안 시스템 - Google Patents

클라우드 컴퓨팅 서비스에서의 보안 시스템 Download PDF

Info

Publication number
KR101762876B1
KR101762876B1 KR1020110129242A KR20110129242A KR101762876B1 KR 101762876 B1 KR101762876 B1 KR 101762876B1 KR 1020110129242 A KR1020110129242 A KR 1020110129242A KR 20110129242 A KR20110129242 A KR 20110129242A KR 101762876 B1 KR101762876 B1 KR 101762876B1
Authority
KR
South Korea
Prior art keywords
user
service
cloud
security
service provider
Prior art date
Application number
KR1020110129242A
Other languages
English (en)
Other versions
KR20130085472A (ko
Inventor
허의남
나상호
박준영
김진택
Original Assignee
인텔렉추얼디스커버리 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔렉추얼디스커버리 주식회사 filed Critical 인텔렉추얼디스커버리 주식회사
Priority to KR1020110129242A priority Critical patent/KR101762876B1/ko
Priority to US14/345,177 priority patent/US20150012977A1/en
Priority to PCT/KR2012/010487 priority patent/WO2013085281A1/ko
Publication of KR20130085472A publication Critical patent/KR20130085472A/ko
Application granted granted Critical
Publication of KR101762876B1 publication Critical patent/KR101762876B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • G06F21/335User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos

Abstract

본 발명의 목적은 클라우드 컴퓨팅 환경을 제공하기 위해서는 강력하고 체계적인 보안 시스템(인프라)을 제공하는 것이다. 또한 클라우드 서비스는 기존의 네트워크와는 달리 가상화 환경을 제공하기 때문에 가상 머신, 가상 자원공유, 가상 네트워크를 고려한 보안 솔루션이 필요하다. 따라서 본 보안 프레임워크는 클라우드 컴퓨팅의 특징인 가상화, 분산 컴퓨팅, 협업 서비스 모델을 고려하였기 때문에 클라우드 환경에 적합한 보안 시스템을 제공하는 것이다.
본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 스템은 사용자 단말기; 상기 사용자 단말로부터 제공된 사용자 정보를 관리하고, 사용자가 가입한 사이트로부터 사용자 인증을 위임받아 사용자 인증을 수행하는 사용자 인증기; 접속을 요청한 상기 사용자 단말기의 식별자를 상기 사용자 인증기로 제공하며, 상기 사용자 인증기로부터 상기 식별자의 승인 여부를 통보받는 통합 서비스 제공기; 및 가상 네트워크를 통해 상기 사용자 인증기에서 인증된 사용자에게 클라우드 서비스를 제공하는 적어도 하나 이상의 서비스 제공기를 포함하되,상기 통합 서비스 제공기는, 각 클라우드 서비스 제공기의 서비스 정책에 따라 상기 사용자 토큰에 접근 승인 및 사용 권한을 부여하는 접근 제어부; 각 클라우드 서비스 제공기에게 상기 사용자의 서비스 요청과 요청한 서비스에 대한 모든 서비스를 구성하는 서비스 구성부; 및 물리적 서버 공격을 사전에 탐지하여 차단하는 침입탐지 관리부를 포함한다.

Description

클라우드 컴퓨팅 서비스에서의 보안 시스템{Security System for Cloud Computing Service}
본 발명은 클라우드 컴퓨팅 서비스에서의 보안 시스템에 관한 것으로, 더욱 상세하게는 클라우드 컴퓨팅 서비스에서 클라우드 컴퓨팅 보안 요소를 통해 퍼스널 클라우드의 구조와 보안 위협을 살펴보고 안전한 퍼스널 클라우드 서비스 제공을 위한 보안 시스템에 관한 것이다.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 서비스하여 사용한 만큼의 요금을 지급하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원(메모리, CPU, 스토리지 등)을 가상화 기술을 통해 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이다.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.
클라우드 컴퓨팅 서비스가 주목받으면서 구글, 아마존, 애플, 마이크로소프트와 같은 IT 대기업이 클라우드 컴퓨팅 시대를 열어가고 있다. 클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud), 프라이빗 클라우드(Private Cloud) 등 4가지의 클라우드 컴퓨팅 서비스 타입이 존재한다.
퍼블릭 클라우드 서비스는 불특정 다수의 사람에게 인터넷을 통해 클라우드 서비스를 제공한다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드는 서비스 제공자가 사용자의 정보를 관리하고 모든 리소스를 공유하므로 개인 정보보호에 취약한 면이 있다.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서 서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.
클라우드 컴퓨팅 서비스 구조는 사용자의 요구에 맞춰 사용자만의 컴퓨팅 환경을 제공하는 인프라형 서비스 구조와 사용자의 컴퓨팅 목적에 맞는 플랫폼을 선택하여 사용할 수 있는 환경을 제공하는 플랫폼형 서비스 구조 및 사용자가 사용 목적에 맞는 소프트웨어를 선택하여 사용할 수 있는 환경을 제공하는 소프트웨어 서비스 구조로 구분된다.
복수의 클라우드 서비스 제공자에 대한 접근제어를 위한 관리 클라우드(management cloud)를 구성하고, 이를 이용하여 복수의 클라우드에서의 각종 요소들에 대해 사용자별 보안정책에 따른 접근을 제어하는 구성이 US2010-0318642에서 개시되어 있다.
아마존의 일래스틱 컴퓨트 클라우드 ( EC2 , Elastic Compute Cloud ) 보안
아마존 EC2[2]는 사용자 클라이언트 사용자가 원하는 서비스 위해 가상 머신 (Virtual Machine)을 제공하는 인프라형 서비스(IaaS) 클라우드이다. 클라이언트 소프트웨어는 가상 머신에 존재하므로 아마존은 인프라 서비스를 제외한 가상 머신 안에서 실행되는 서비스에 대한 책임을 갖지 않는다.
아마존은 일회성 토큰 장치와 같은 강한 보안 장치를 제공한다[11]. 일반적으로 보안 장치(일회성 토큰 장치 등)를 사용하는 기업들은 모니터링 및 관리 툴(통합ID관리, 액티브 트래킹, 인증 시스템의 원격제어)을 사용한다. 보안 문제의 핵심은 사용했던 토큰의 폐지 방법이다.
일반적으로 보안 서비스는 아마존 소유의 인프라까지만 제공되므로 가상서버 내부의 데이터 및 프로그램 보호는 전적으로 일래스틱 컴퓨트 클라우드(EC2) 클라이언트의 몫이다. 하지만, 데이터 및 소프트웨어는 서비스 내부에서 암호화 되어야 하기 때문에 보안 정책 수정이 매우 어렵게 된다.
구글의 앱 엔진( App Engine ) 보안
코드 배치 문서(Code Deployment Documentation)에 앱 엔진(App Engine)의 보안 서비스에 대한 내용이 기술되어 있다. 서비스 보안을 위해, 보안 관련 정보는 해당 서비스가 앱 엔진에 올라갈 때 사용되었던 XML 설정 파일(XML Configuration File)에 자세히 기술되어 있다. 이러한 앱 엔진 보안 솔루션의 문제점은 오직 구글 계정 서비스와 연계된 인증 서비스를 제공한다는 점이다. 구글 계정은 간단한 사용자 이름과 비밀번호를 사용한 인증 방식으로 보안에 매우 취약하다.
또한 앱 엔진의 보안 서비스는 오직 제공되는 서비스 단위로만 수행된다. 서비스 기능 중 선택된 요소 별 클라이언트 접근 제어 방식은 명확하지 못한 보안 서비스 구조를 갖는다. 앱 엔진 서비스를 통해 제공되는 자원들은 반드시 서비스 자체적으로 보안이 보장되어야 하지만 서비스 자원에 대한 보안에 대하여 명시된 내용이 없다.
마이크로 소프트( MS )의 애져 ( Azure ) 보안
애져는 다른 클라우드에 비해 상대적으로 뛰어난 보안 서비스를 제공하고 있다. 클라이언트(서비스 제공자)는 애져(플랫폼형 서비스)를 이용하여 서비스 생성, 제공 및 관리가 가능하다. 이를 위해 애져는 서비스 제공자가 서비스 이용자들의 접근 제어가 가능한 SAMP(Secure Assertions Markup Language)를 기반 보안 메커니즘을 제공한다. 서비스 접근요청 시 클라이언트(서비스 요청자)는 자신의 신분 증명이 가능한 자격 증명을 제시한다. 이 때 제시된 자격 증명은 신원 제공자(Identity Provider, IP)에 의해 발급된 것이어야 하며, 이는 신원 제공자에 의해 서명되어 인증이 가능해야 한다. 이 때 서로 다른 신원 제공자 간 자격 증명 호환성을 위해 자격 증명 변환 서비스를 제공한다. 애져 서비스를 이용하기 위해, 우선적으로 자격 증명에 대한 인증 과정을 거친다. 그래서 인증을 통과한 사용자 요청만이 처리된다. 이러한 애져 보안 시스템에서 자격 증명 확인 프로세스는 단점으로 지적된다. 애져로부터 애져 접근제어 서비스로의 요청 및 자격 증명 확인 기능이 애져 서비스에 구현되어야 한다. 따라서, 보안 서비스는 애져가 제공하지만 서비스 개발자가 수동적으로 보안 정책을 결정해야 한다.
보안 솔루션
리소스 보호
클라우드는 오직 서비스를 통해 리소스를 제공하기 때문에 리소스 보안이 필수적이나 현재로선 최적의 솔루션을 찾는 것이 급선무이다. 클라이언트를 통해 클라우드 서비스 접속할 때 보안이 취약할 경우 리소스 보안이 보장된 후 서비스가 실행되어야 한다.
리소스 보호는 다음과 같이 구현 가능하다.
(i) Discretionary System - 서비스 제공자에 의해 클라이언트의 리소스 접근 권한 승인 또는 거부가 이뤄진다. 가장 큰 취약점은 저장된 데이터와 클라이언트 인증의 의미를 고려를 하지 않는다는 것이다.
(ii) Non-discretionary System - 리소스 접근은 클라이언트의 데이터 또는 어플리케이션의 분류와 클라이언트 인증 기반으로 권한 승인 또는 거부된다.
접근제어 매트릭스 ( ACM , Access Control Matrix )
가장 일반적으로 사용되는 보안 접근법 중 하나는 접근제어 매트릭스 (ACM)[4]이다. 매트릭스를 사용하기 때문에 접근 권한 승인, 폐지, 결정이 쉽다. 그러나 접근제어 매트릭스은 집중화된 분산 컴퓨팅 환경에서는 원활한 작동을 못한다는 단점을 가지고 있다. 접근제어 매트릭스은 접근제어 목록(ACL, Access Control Lists)를 의미하는 행과 자격인증(Capabilities)을 의미하는 열로 구성되어 있다. 시스템의 각 리소스는 각각의 서비스와 서비스 실행 권한을 가지는 서비스 목록을 가지고 있다. ACL은 리소스 전체에 적용되어 프로세스 분류가 세부적이지 못하지만 권한 관리가 용이하다. 반면에 자격인증을 이용하는 보안 시스템은 클라이언트 또는 클라이언트에 할당된 서비스에 권한을 할당한다. 일반적으로 사용자 자격인증은 리소스와 리소스에 대한 권한을 정의한다. 자격인증과 접근제어 목록에서 각각 장단점이 서로 보완 관계를 갖는다.
속성기반 접근제어 ( Attribute Based Access Control )
또 다른 보안 모델은 속성기반 접근제어(ABAC, Attribute Based Access Control)[5]이다. 속성기반 접근제어는 접근제어 매트릭스와 서비스 및 리소스에 할당된 속성, 그리고 정책을 통한 권리 부여 방식이 다르다. 서비스는 이름(Name), 역할(Role)과 같은 속성을 할당 받으며, 리소스는 소유자와 도메인을 할당된다. 서비스가 특정 기능을 수행할 때 서비스 및 리소스의 각 속성을 서로 비교하여 정책(Policy Rule)에 만족하는 범위에서 수행된다. 하지만, 속성 사용에 따라 속성 증명 이슈가 있다.
정보 흐름 제어 ( Information Flow Control )
접근 권한은 저장된 기밀데이터와 사용자 승인에 따라 권한 부여가 된다. “Security in Distributed Operating Systems[6]”은 기능 확장 및 접근 제어 목록 수정이 가능한 모델을 제안하였다. 승인 기능(Clearance Capability)은 데이터 보호를 위한 추가적 기능을 포함한 신뢰하는 식별자로써 특정 클래스의 정보 접근에 대한 클라이언트 승인을 제공하기 위한 보안 단계가 포함되어 있다. 승인 기능을 받은 후 다음과 같은 비교 절차가 수행된다. 첫째로, 승인 필드의 내용과 요청된 자원의 분류를 비교한다. 만약 만족한다면 보안 상태는 ‘안전(Secure)’한 것으로 판별되며 그렇지 않으면, 요청한 클라이언트는 접근이 거부된다. 보안 상태가 ‘안전(Secure)’하다면, 접근 권한 필드(Access Rights Field)를 요청된 작업과 비교하여 만족한다며 요청된 자원에 대한 접근이 가능하다.
통신 및 스토리지 보안
클라우드 내부의 자원은 단순한 정보 저장에서 완벽한 비즈니스 워크플로우까지 변화가 가능하다. 공유된 환경에서의 데이터 보안은 모든 클라이언트를 식별해야하기 때문에 상당히 복잡하다. 또한, 저장된 데이터 보호를 위해 암호화를 제공하지만 암호화된 데이터는 실행할 때마다 높은 비용이 발생한다.
안전한 데이터 통신 또한 문제이다. 설사 클라우드 내부에서 데이터 보안이 완벽하더라도, 클라이언트와 클라우드, 클라우드와 해당 데이터 서비스간의 통신은 반드시 보호되어야 하며 데이터 전송동안, 기밀성과 데이터 무결성은 반드시 보장되어야 한다. 전송계층 보안 (TLS, Transport Layer Security), 전송계층 보안 프로세서, 보안 소켓 계층 (SSL, Secure Sockets Layer) 그리고 HTTPS는 암호화 프로토콜로써 인터넷 또는 클라우드에 직접적으로 연결되는 네트워크의 통신 보안을 제공한다. 암호화 시스템은 대칭 암호화 방식과 비대칭 암호화 방식을 갖는다. 대칭 암호화 방식은 간단하지만 키 관리가 취약하기 때문에, 비대칭 시스템은 이 점을 보완하여 서로 다른 키를 사용한다.
비대칭 암호화(AKC, Asymmetric Key Cryptosystem)은 두 개의 키(개인키와 공개키)를 사용한다. 만약 데이터 암호화를 공개키 또는 개인키 중 하나를 이용하여 비대칭 암호화를 한다면, 나머지 키가 데이터 복호화에 사용된다. 비대칭 암호화에서 두 개의 키는 단방향성(One-way)의 특성을 갖는다. 하지만, 공개키는 누구에게나 공개되어 있다는 점으로 인해 공격자의 “MITM(Man in the middle attack)”에 취약하며 이러한 문제는 자격증명(CA, Certificate Authority) 로 해결 가능하다.
인증 ( Authentication )
클라우드에서 서비스, 서비스 공급자, 클라우드 클라이언트의 인증은 필수이다. 아이디와 패스워드 인증(i.e., Single-factor 인증)은 안전한 인증을 제공하기에는 충분치 않아 이중 인증이 제안되었다. 이는 3개의 제시된 방법 중 2개의 인증 수단을 이용하여 클라이언트 인증을 수행한다. 3개의 수단은 "Something you know"(e.g., 비밀번호), "Something you have" (e.g., 토큰 또는 스마트카드), “Something you are"(e.g., Fingerprint)이다. 상호 인증이 필요한 경우 2요인 인증 구현은 매우 어렵다. 상호 인증을 위해, 클라이언트는 클라우드 서비스에 대한 인증이 필요하며 워크플로우 상에서 클라우드 서비스들은 상호 인증이 필요하다. 이러한 이유로 전자 서명과 같은 강력한 암호화 기반 인증이 필요하다. 전자서명은 메시지를 해쉬함수를 이용해 해쉬값으로 변환 후 개인키를 사용하여 전자서명을 생성한다. 전자서명은 원본 메시지와 함께 송신을 하고 송신자는 메시지를 받아 원본 메시지를 해쉬값으로 변환하고 전자서명을 공개키로 복호화하여 해쉬값을 확인한다. 원본메시지의 해쉬값과 공개키로 복호화한 해쉬값을 비교하여 일치할 경우 메시지의 변조가 없음을 확인한다.
커베로스[7]는 사용자 아이디, 패스워드의 전송 없이 사용자 인증이 가능하다. 커베로스는 비대칭 암호화 방식을 사용한다. 강력한 암호화와 전자서명 된 토큰을 티켓(ticket)이라 부른다. 원격 도메인에서의 서비스 접근은 커베로스간의 키 공유를 통하여 인증이 가능하다. 따라서, 커베로스는 매우 강력하고 안전한 인프라 환경을 제공하며 현재 분산 컴퓨팅 환경에서 제공되므로 클라우드 환경에서도 적용이 가능하다.
클라우드 컴퓨팅 보안 구조 ( Cloud Computing Security Architecture )
앞서 살펴본 봐와 같이 현재 제공되고 있는 클라우드 서비스 역시 다양한 보안 문제를 내포하고 있다. CSA(Cloud Security Alliance)의 클라우드 보안 백서(White Paper)를 바탕으로 클라우드에서의 보안 위협과 도메인 그리고 보안 제어 방안에 대하여 자세하게 다룬다.
도 1은 3개의 클라우드 서비스 모델을 도시한 도면이며, 도 1의 3개의 클라우드 서비스 모델과 관련하여 CSA에서 제시한 15개의 보안 도메인(Security Domain)과 7개의 주요 위협(Top Threats), 이를 해결하기 위한 10가지 보안 컨트롤 모델과 관련 표준 기술들로 구성된 클라우드 컴퓨팅 보안 구조이다.
클라우드 컴퓨팅의 주요 위협
CSA (Cloud Security Alliance)은 클라우드 컴퓨팅에 대한 이해와 클라우드 컴퓨팅 도입의 위험 완화를 위해 주요한 클라우드 위협을 정의한 보고서를 작성하였다. CSA는 클라우드 컴퓨팅에 존재하는 취약점을 기반으로 7개의 위협을 정의하고 그 영향을 분석하였다.
위협 #1: 클라우드 컴퓨팅의 오용과 비도덕적인 사용 (Abuse and Nefarious Use of Cloud Computing)
악의적 목적으로 클라우드 도입 시, 가상에 정보가 존재하는 특성으로 기존 봇넷(botnet)보다 더욱 높은 위험성 잠재
위협 #2: 불안전한 인터페이스와 응용 프로그래밍 인터페이스 (Insecure Interfaces and APIs)
부가 가치 제공을 위하여 기존 코드의 재사용 및 합성을 통한 응용프로그램 구축 시 복잡도 증가에 의한 보안 취약성 발생 가능
위협 #3: 악의적인 내부자 (Malicious Insiders)
클라우드 서비스 직원 채용 지침/기준의 부재로 해커, 조직범죄, 기업스파이 등 악의적 목적을 지난 사람의 채용가능성 증대는 서비스 내 데이터 유출 위험 발생
위협 #4: 기술 공유 문제 (Shared Technology Issues)
인프라형 서비스 사업자는 공유기술을 바탕으로 확장성을 제공하나, 다중 애플리케이션(Multi-Tenant) 아키텍쳐를 위한 효과적인 자원의 분리가 이루어지지 않을 경우 존재
위협 #5: 데이터 유실 또는 유출 (Data Loss or Leakage)
클라우드 환경의 구조적/운영적 특성으로 데이터 유출 위험 증가, 다양한 원인 존재
위협 #6: 계정 또는 서비스 하이잭킹 (Account or Service Hijacking)
피싱, 사기, 소프트웨어 취약성을 이용한 계정 접근은 일반적인 상황, 클라우드환경에서의 계정정보의 유출은 모든 것을 내주는 것과 동일한 위협
위협 #7: 알려지지 않은 위협 프로파일 (Unknown Risk Profile)
소프트웨어 버전, 코드 업데이트, 취약성 프로파일, 침입시도, 보안설계 등은 기업의 보안현황 점검에 필수 요소
도 2는 클라우드 서비스 보안 위협을 도시한 도면이다.
보안 도메인 (15 Domains )
비록 기본 보안 컴포넌트가 존재하지만, 보안 요구사항은 도메인과 사업 요구사항에 따라 다를 수 있다. 그래서 보안 분야의 기업 리더, 국제 기관 그리고 전문가들로 구성된 CSA(Cloud Security Alliance)는 클라우드 컴퓨팅 보안 사례와 클라우드 컴퓨팅 구조부터 가상화까지, 15개의 보안 도메인을 정의한 가이드라인을 공개하였다.
도 3은 CSA 클라우드 15 보안 도메인을 도시한 도면이다.
클라우드 보안의 범위가 상당히 넓고 명확한 표준화가 정의 되지 않았기 때문에, 클라우드 보안 분야는 상당히 미흡하므로 비즈니스 리스크를 이해하고 클라우드 이점에 대해 따져봐야 한다. 예를 들면, 아마존 S3에서 제공하는 데이터베이스 서비스는 유연한 인증과 세부적인 보안을 지원하지 않는다.
보안 제어 ( Security Controls )
보안 위협 및 도메인과 관련하여 필요한 보안 제어 방안에 대한 정의와 보안 요구사항에 대해서 설명한다.
자원 관리 ( Asset Management )
자원 관리는 클라우드 인프라를 구성하는 하드웨어, 네트워크 및 소프트웨어 자산 (물리 또는 가상)을 모두 관리할 수 있어야 한다. 자원 관리에는 감사 및 규정 준수를 위해 자산의 물리적 또는 네트워크 기반에 접근할 수 있는 계정이 포함되어 있다.
암호화: 키 및 인증서 관리 ( Cryptography : Key and Certificate Management )
보안 시스템은 암호화 키 및 자격증명의 관리를 위해 인프라가 필요하다. 그리고 시스템은 정보보호를 위해 표준 기반의 암호화 기능과 서비스를 포함한다.
데이터/ 스토리지 보안 ( Data / Storage Security )
데이터 보안은 반드시 데이터를 암호화하여 저장하여야 한다. 게다가 몇몇의 사용자는 자신의 데이터 보호를 위해 다른 사용자들과 다른 개별적인 공간에 저장하길 원할 것이다.
종단점 보안 ( End - Point Security )
사용자들은 반드시 클라우드 서비스에서 종단점(Endpoint) 보안을 제공해야 한다. 종단점 보안은 네트워크 프로토콜과 디바이스 종류에 따라 제한적인 종단점 보안을 제공해야 한다.
이벤트 감사와 리포팅 ( Event Auditing and Reporting )
사용자는 반드시 클라우드에서 일어나는 이벤트, 특히 시스템 에러 및 보안에 대한 데이터 접근이 가능해야한다.
식별, 규정, 접근제어 그리고 속성( Identity , Roles , Access Control and Attributes )
클라우드 기반의 자원에서 효과적인 접근제어 구현과 보안 정책 시행을 위해서 식별 , 규정(규칙), 권한 부여(위임) 와 사용자와 서비스에 따른 속성이 정의가 가능해야한다.
네트워크 보안 ( Network Security )
스위치, 라우터, 패킷 단의 네트워크 트래픽은 반드시 보호되어야하며 아이피 스택 또한 보안이 필요하다.
보안 정책 ( Security Policies )
접근제어, 자원할당, 일관성 있는 결정 등에 대한 정책 정의, 결정 그리고 보안 정책 수행이 가능해야 한다. 정책 정의 방법은 서비스 수준 협약(SLA)와 라이선스에 따라 자동적으로 수행되어야 한다.
서비스 자동화 ( Service Automation )
보안 감사의 보안 제어 흐름과 프로세스 관리 및 분석은 자동화되어야 한다. 또한, 서비스 자동화는 사용자의 보안 정책 또는 라이선스 위반시 관리자에게 이벤트를 알려야한다.
작업 및 서비스 관리 ( Workload and Service Management )
정의된 보안 정책과 사용자 라이선스 동의에 따라 환경 설정, 운용, 감시 서비스가 가능해야 한다.
클라우드 컴퓨팅 서비스에서는 강력하고 체계적인 접근제어 및 권한 부여 정책이 필요하다. 또한, 퍼스널 클라우드 서비스는 다른 서비스 제공자 간의 협업을 통해 서비스가 제공되기 때문에 퍼스널 클라우드 서비스 특징에 맞는 강력하고 체계적인 보안 시스템(인프라)가 필요하다.
본 발명은 전술한 문제를 해결하기 위한 것으로, 본 발명의 목적은 클라우드 컴퓨팅 환경을 제공하기 위해서는 강력하고 체계적인 보안 시스템(인프라)을 제공하는 것이다. 또한 클라우드 서비스는 기존의 네트워크와는 달리 가상화 환경을 제공하기 때문에 가상 머신, 가상 자원공유, 가상 네트워크를 고려한 보안 솔루션이 필요하다. 따라서 본 보안 프레임워크는 클라우드 컴퓨팅의 특징인 가상화, 분산 컴퓨팅, 협업 서비스 모델을 고려하였기 때문에 클라우드 환경에 적합한 보안 시스템을 제공하는 것이다.
전술한 목적을 달성하기 위하여, 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 스템은 사용자 단말기; 상기 사용자 단말로부터 제공된 사용자 정보를 관리하고, 사용자가 가입한 사이트로부터 사용자 인증을 위임받아 사용자 인증을 수행하는 사용자 인증기); 접속을 요청한 상기 사용자 단말기의 식별자를 상기 사용자 인증기로 제공하며, 상기 사용자 인증기로부터 상기 식별자의 승인 여부를 통보받는 통합 서비스 제공기; 및 가상 네트워크를 통해 상기 사용자 인증기에서 인증된 사용자에게 클라우드 서비스를 제공하는 적어도 하나 이상의 서비스 제공기를 포함하되, 상기 통합 서비스 제공기는, 각 서비스 제공기의 서비스 정책에 따라 상기 사용자 토큰에 접근 승인 및 사용 권한을 부여하는 접근 제어부; 각 서비스 제공기에게 상기 사용자의 서비스 요청과 요청한 서비스에 대한 모든 서비스를 구성하는 서비스 구성부; 및 물리적 서버 공격을 사전에 탐지하여 차단하는 침입탐지 관리부를 포함한다.
퍼스널 클라우드 서비스는 다른 서비스 제공자 간의 협업을 통해 서비스가 제공되기 때문에, 이상에서 설명한 바와 같이 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 접근제어 시스템은 퍼스널 클라우드 서비스 특징에 맞는 접근제어 방법과 권한 위임 및 부여 정책 시스템을 제공하는 효과가 있다.
또한, 클라우드 컴퓨팅 환경을 제공하기 위해서는 강력하고 체계적인 보안 시스템(인프라)을 제공하는 효과가 있다.
도 1은 3개의 클라우드 서비스 모델을 도시한 도면이다.
도 2는 클라우드 서비스 보안 위협을 도시한 도면이다.
도 3은 CSA 클라우드 15 보안 도메인을 도시한 도면이다.
도 4는 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템의 구성을 도시한 도면이다.
도 5는 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템의 통합 서비스 제공기(300)의 구성을 도시한 도면이다.
도 6은 본 발명의 일실시 예에 따른 사용자가 서비스를 제공받는 절차를 도시하고 있다.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시 예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명의 이러한 실시 예들을 통하여 본원 발명이 속하는 분야의 통상의 지식을 가진자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.
도 4는 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템의 구성을 도시한 도면이다. 이하, 도 4를 이용하여 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템에 대하여 설명한다.
본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템은, 사용자 단말기(100); 상기 사용자 단말로부터 제공된 사용자 정보를 관리하고, 사용자가 가입한 사이트로부터 사용자 인증을 위임받아 사용자 인증을 수행하는 사용자 인증기(200); 접속을 요청한 상기 사용자 단말기(100)의 식별자를 상기 사용자 인증기(200)로 제공하며, 상기 사용자 인증기(200)로부터 상기 식별자의 승인 여부를 통보받는 통합 서비스 제공기(300); 및 가상 네트워크를 통해 상기 사용자 인증기(200)에서 인증된 사용자에게 클라우드 서비스를 제공하는 적어도 하나 이상의 서비스 제공기(410)를 포함한다.
사용자 단말기(100)는 사용자의 개인 정보를 제 3의 공인된 사용자 인증기(200)에게 위임한다. 사용자 단말기(100)는 종류에 상관없이 웹 브라우저와 같은 프로그램을 통해 사용자 주문형 서비스를 이용한다. 사용자 단말기(100)는 다중요인을 이용하여 생성된 사용자 토큰을 이용하여 사용자의 클라우드 서비스 이용을 위한 사용자 인증을 요청한다. 사용자 단말기(100)는 아이디와 패스워드를 이용하여 접근이 가능하다. 복수의 서비스 제공기(410) 사이의 사용자 인증은 아이디, 패스워드, X.509 증명, 이메일 등의 다중요인(Multi-factor)를 이용하여 생선된 토큰(Token)을 이용하며, 사용자 단말기(100)는 상기 토큰으로 서비스 사용 요청을 한다.
사용자 인증기(200)는 상기 사용자 단말로부터 제공된 사용자 정보를 관리하고, 사용자가 가입한 사이트로부터 사용자 인증을 위임받아 사용자 인증을 수행한다.사용자 단말기(100)는 협업 서비스 제공자에게 서비스 접근 요청을 하지만 리다이렉션(Redirection)을 통해 사용자 인증기(200)가 사용자 인증을 수행한다. 사용자 인증기(200)는 정부기관 또는 공인 인증기관을 통해 사전에 가입한 사용자에 한하여 사용자 정보를 인증과 임시 아이디 발급을 통해 사용자에게 사용자 정보 노출 없이 사용자 인증과 사용자 중심 서비스 제공을 한다. 사용자 인증기(200)는 상기 사용자 단말을 통해 사용자 개인 정보를 위임받는다. 사용자 인증기(200)는 인증서, OpenID, 아이디, 패스워드, 이메일 등의 다양한 인증 수단을 이용하여 가입할 수 있다. 사용자 인증기(200)는 사용자가 가입하는 사이트로부터 위임 인증 요청을 받아 사용자의 인증을 수행한다.
통합 서비스 제공기(300)는, 다양한 클라우드 서비스를 가상 개인 네트워크를 통해 융합 서비스를 제공받을 수 있는 환경을 제공한다. 따라서 사용자는 서로 다른 서비스 제공기(410)를 통해 다양한 클라우드 서비스를 제공 받을 수 있으므로 서비스의 확장성을 높일 수 있다. 통합 서비스 제공기(300)는 각 클라우드 서비스 제공기(410)의 서비스 정책에 따라 상기 사용자 토큰에 접근 승인 및 사용 권한을 부여하는 접근 제어부(310); 각 클라우드 서비스 제공기(410)에게 상기 사용자의 서비스 요청과 요청한 서비스에 대한 모든 서비스를 구성하는 서비스 구성부(330); 및 물리적 서버 공격을 사전에 탐지하여 차단하는 침입탐지 관리부(320) 각 클라우드 서비스 제공기(410)의 서비스 정책에 따라 상기 사용자 토큰에 접근 승인 및 사용 권한을 부여하는 접근 제어부(310); 각 클라우드 서비스 제공기(410)에게 상기 사용자의 서비스 요청과 요청한 서비스에 대한 모든 서비스를 구성하는 서비스 구성부(330); 및 물리적 서버 공격을 사전에 탐지하여 차단하는 침입탐지 관리부(320)를 포함한다. 통합 서비스 제공기(300)의 각 구성요소에 대해서는 후술한다.
서비스 제공기(410)는 가상 네트워크를 통해 상기 사용자 인증부에서 인증된 사용자에게 사용자가 원하는 클라우드 서비스를 제공한다. 서비스 제공기(410)는 적어도 하나 이상 존재할 수 있으며 인증된 사용자에게 각각 클라우드 서비스를 제공한다.
도 5는 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템의 통합 서비스 제공기(300)의 구성을 도시한 도면이다. 이하, 도 5를 이용하여 본 발명에 따른 클라우드 컴퓨팅 서비스에서의 보안 시스템의 통합 서비스 제공기(300)에 대해서 상세하게 알아본다.
접근 제어부(310)는 각 클라우드 서비스 제공기(410)의 서비스 정책에 따라 사용자의 토큰에 접근 승인 및 사용 권한을 부여한다. 사용자가 서비스 요청시 접근제어는 해당 서비스 제공자에게 접근 요청하게 되며 서비스 제공자의 정책에 따라 접근제어는 사용자 토큰에 접근 권한을 부여한다.
서비스 구성부(330)는 각 클라우드 서비스 제공기(410)에게 서비스 요청과 요청한 서비스에 대한 모든 서비스 구성을 담당한다. 서비스 게이트웨이, 서비스 브로커, 가성사설망 관리, 프라이버시 관리, 감사 등을 수행한다.
침임탐지 관리부는, 클라우드의 외부 또는 내부의 트래픽 과부화 또는 트래픽 폭주를 이용한 네트워크 공격(DDoS)와 같은 물리적 서버 공격을 사전에 탐지 및 차단하여 클라우드 서버의 가용성을 높인다. 각 서비스 제공기(410) 내 가상머신의 초급탐지기를 설치하여 네트워크 사용률과 컴퓨팅 자원 사용률 정보를 기반으로 침입탐지 관리부(320)는 침입 여부를 판단하고 이를 클라우드 서비스 제공기(410)에게 알린다. (초급탐지기는 가상머신 생성시에 필수 프로그램으로 함께 설치된다.) 초급탐지기는 협업 클라우드 컴퓨팅의 모든 가상머신의 정보를 수집하기 때문에 오탐율을 낮추고 False Positive(긍정 오류)를 줄여준다.
또한 침입탐지 관리기는 서비스 제공기(410)에 존재할 수 있으며, 상황에 따라 클라우드 서비스 제공기(410) 또는 사용자 인증기(200)에서 독립적으로 제공할 수 있다. (=통합 서비스 제공기(300)에 종속되지 않는다.)
침입탐지 관리기는 사용자에게 서비스 제공을 위해 각 서비스 제공기(410) 내 가상머신이 생성될 때부터 네트워크 정보와 컴퓨팅 자원사용 정보를 수집한다. 협업 클라우드 컴퓨팅의 모든 가상 머신은 초급 탐지기에 의해 정보가 수집된다. 침입탐지 관리기는 수집된 정보를 토대로 비정상 행위 패턴등을 비교하여 침입여부 및 공격 여부를 판단한다.
도 6은 본 발명의 일실시 예에 따른 사용자가 서비스를 제공받는 절차를 도시하고 있다.
S600 단계에서 사용자(사용자 단말기(100))는 사용자 인증기(200)에 회원 가입하기 위해 자신의 개인정보, ID, 패스워드를 제공한다. 사용자 단말기(100)는 통합 서비스 제공기(300)에 서비스 접근 요청을 하지만 리다이렉션(Redirection)을 통해 사용자 인증기(200)가 인증기가 사용자 인증을 한다.
S601 단계에서 사용자 인증기(200)는 회원 등록을 요청한 사용자에 대해 사용자 인증 후 사용자가 원하는 ID를 발급한다. 사용자 인증기(200)는 사용자 정보를 암호화하여 저장하며, 타 기관으로부터 요청받은 사용자 인증 과정을 수행한다.
S602 단계에서 사용자가 인증된 경우 접근 제어부(310)는 사용자가 원하는 서비스에 대한 접근 권한을 해당 서비스 제공기(410)에게 확인하여 사용자의 토큰에 서비스 접근 권한을 부여한다. 사용자가 여러 서비스를 동시에 사용할 경우 복수 서비스에 대하여 접근 권한을 부여할 수 있다.
S603 단계에서 각 서비스 제공기(410)는 서비스 접근 권한 확인을 위해 접근 제어부(310)에 서비스 등록정보와 사용자 권한 정보를 요청한다.
S604 단계에서 각 섭비스 제공기는 사용자의 서비스 접근 권한을 확인하고 사용자에게 접근 권한에 맞는 서비스를 제공한다.
본 발명은 도면에 도시된 일실시 예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시 예가 가능한 점은 자명한 것이다.

Claims (7)

  1. 사용자 단말기;
    상기 사용자 단말로부터 제공된 사용자 정보를 관리하고, 사용자가 가입한 사이트로부터 사용자 인증을 위임받아 사용자 인증을 수행하는 사용자 인증기;
    접속을 요청한 상기 사용자 단말기의 식별자를 상기 사용자 인증기로 제공하며, 상기 사용자 인증기로부터 상기 식별자의 승인 여부를 통보받는 통합 서비스 제공기;
    및 가상 네트워크를 통해 상기 사용자 인증기에서 인증된 사용자에게 클라우드 서비스를 제공하는 적어도 하나 이상의 서비스 제공기를 포함하되,
    상기 통합 서비스 제공기는,
    각 클라우드 서비스 제공기의 서비스 정책에 따라 사용자 토큰에 접근 승인 및 사용 권한을 부여하는 접근 제어부;
    각 클라우드 서비스 제공기에게 상기 사용자의 서비스 요청과 요청한 서비스에 대한 모든 서비스를 구성하는 서비스 구성부; 및
    물리적 서버 공격을 사전에 탐지하여 차단하는 침입탐지 관리부를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  2. 제 1항에 있어서, 상기 사용자 단말기는,
    아이디, 패스워드 또는 X.509 중 적어도 어느 하나를 포함하는 다중 요인(Multi-factor)를 이용하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  3. 제 1항에 있어서, 상기 사용자 인증기는,
    정부기관 또는 공인 인증기관을 통해 사전에 가입한 사용자에 한하여 사용자 인증을 수행하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  4. 제 1항에 있어서, 상기 접근 제어부는,
    상기 사용자가 상기 통합 서비스 제공기에 서비스 요청시 해당 서비스 제공기에게 접근 요청하고 상기 서비스 제공기의 정책에 따라 상기 사용자 토큰에 접근 권한을 부여하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  5. 제 1항에 있어서, 상기 서비스 구성부는,
    서비스 게이트 웨이, 서비스 브로커, 가성사설망 관리, 프라이버시 관리, 감사 중 적어도 하나 이상을 수행하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  6. 제 1항에 있어서, 상기 물리적 서버 공격은,
    외부 또는 내부의 트래픽 과부화를 이용하거나 외부 또는 내부의 트래픽 폭주를 이용한 네트워크 공격(DDoS)인 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
  7. 제 1항에 있어서, 상기 침입탐지 관리부는,
    가상 머신의 초급탐지기를 포함하는 것을 특징으로 하는 클라우드 컴퓨팅 서비스에서의 보안 시스템.
KR1020110129242A 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스에서의 보안 시스템 KR101762876B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020110129242A KR101762876B1 (ko) 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스에서의 보안 시스템
US14/345,177 US20150012977A1 (en) 2011-12-05 2012-12-05 Method and apparatus for security in cloud computing service
PCT/KR2012/010487 WO2013085281A1 (ko) 2011-12-05 2012-12-05 클라우딩 컴퓨팅 서비스에서의 보안을 위한 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110129242A KR101762876B1 (ko) 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스에서의 보안 시스템

Publications (2)

Publication Number Publication Date
KR20130085472A KR20130085472A (ko) 2013-07-30
KR101762876B1 true KR101762876B1 (ko) 2017-07-31

Family

ID=48574568

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110129242A KR101762876B1 (ko) 2011-12-05 2011-12-05 클라우드 컴퓨팅 서비스에서의 보안 시스템

Country Status (3)

Country Link
US (1) US20150012977A1 (ko)
KR (1) KR101762876B1 (ko)
WO (1) WO2013085281A1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210001612A (ko) 2019-06-28 2021-01-06 한국전자통신연구원 보안도구와 클라우드 플랫폼 연동을 위한 방법 및 장치
KR20210130043A (ko) 2020-04-21 2021-10-29 국방과학연구소 클라우드 컴퓨팅 환경에 적합한 보안 아키텍처가 적용된 국방 지휘통제체계(c4i) 시스템 및 그의 인증, 인가 제어 방법

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5618886B2 (ja) * 2011-03-31 2014-11-05 株式会社日立製作所 ネットワークシステムおよび計算機振り分け装置、計算機振り分け方法
GB2499787B (en) 2012-02-23 2015-05-20 Liberty Vaults Ltd Mobile phone
AU2013204965B2 (en) 2012-11-12 2016-07-28 C2 Systems Limited A system, method, computer program and data signal for the registration, monitoring and control of machines and devices
GB2517732A (en) 2013-08-29 2015-03-04 Sim & Pin Ltd System for accessing data from multiple devices
KR101458820B1 (ko) * 2013-10-15 2014-11-07 순천향대학교 산학협력단 공공 클라우드 환경에서의 안전한 데이터 관리 시스템 및 기법
WO2015099698A1 (en) * 2013-12-24 2015-07-02 Intel Corporation Content protection for data as a service (daas)
ES2770699T3 (es) * 2014-03-07 2020-07-02 Ubiquiti Inc Identificación y autenticación de dispositivo en la nube
US9665718B2 (en) 2014-03-14 2017-05-30 International Business Machines Corporation Correlating a task with commands to perform a change ticket in an IT system
US10084669B2 (en) * 2014-04-09 2018-09-25 Centurylink Intellectual Property Llc System and method for cloud computing adaptive cloud services
US10360071B1 (en) * 2014-04-11 2019-07-23 Amazon Technologies, Inc. Computing resource market
US10193769B2 (en) 2014-05-16 2019-01-29 Centurylink Intellectual Property Llc Network services API
WO2016003862A1 (en) 2014-06-30 2016-01-07 Ubiquiti Networks, Inc. Methods and tools for assisting in the configuration of a wireless radio network using functional maps
CN110149650B (zh) 2014-08-31 2022-06-28 优倍快公司 监测无线网络的方法以及无线设备
US9544311B2 (en) * 2014-11-14 2017-01-10 Sap Se Secure identity propagation in a cloud-based computing environment
KR102349605B1 (ko) * 2014-11-17 2022-01-11 삼성전자 주식회사 사용자 기기의 식별자에 기반하여 서비스를 제공하는 방법 및 장치
US10313217B2 (en) 2015-03-13 2019-06-04 Samsung Electronics Co., Ltd. System on chip (SoC) capable of sharing resources with network device and devices having the SoC
US10097529B2 (en) 2015-05-01 2018-10-09 Samsung Electronics Co., Ltd. Semiconductor device for controlling access right to server of internet of things device and method of operating the same
US11115417B2 (en) 2015-05-19 2021-09-07 Microsoft Technology Licensing, Llc. Secured access control to cloud-based applications
US9832199B2 (en) * 2015-09-25 2017-11-28 International Business Machines Corporation Protecting access to hardware devices through use of a secure processor
KR101642104B1 (ko) * 2015-11-19 2016-07-27 (주)지인소프트 보안 서비스 제공 방법 및 이를 실행하는 시스템
WO2017139666A1 (en) * 2016-02-11 2017-08-17 Daniel Conner Scalable data verification with immutable data storage
US10412168B2 (en) * 2016-02-17 2019-09-10 Latticework, Inc. Implementing a storage system using a personal user device and a data distribution device
US9935772B1 (en) * 2016-02-19 2018-04-03 Vijay K Madisetti Methods and systems for operating secure digital management aware applications
KR101869027B1 (ko) * 2016-03-02 2018-06-19 (주)지인소프트 보안서비스 제공 시스템
KR101887594B1 (ko) * 2016-06-20 2018-08-13 엔쓰리엔 주식회사 클라우드 네트워크 기반 데이터 시각화 방법 및 장치
KR101922908B1 (ko) * 2016-07-20 2018-11-28 한승현 Iot 기반으로 획득된 사용자 정보를 클라우드 환경에서 관리하는 시스템 및 방법
KR101952139B1 (ko) * 2016-10-20 2019-02-26 주식회사 파수닷컴 사용자 단말과 연동된 게이트웨이 서버에서 drm 기능을 제공하는 방법
KR20180043679A (ko) * 2016-10-20 2018-04-30 주식회사 파수닷컴 게이트웨이 서버와 연동된 클라우드 저장소 서버에서 drm 기능을 제공하는 방법
WO2018140758A1 (en) * 2017-01-26 2018-08-02 Semper Fortis Solutions, LLC Multiple single levels of security (msls) in a multi-tenant cloud
US11151253B1 (en) * 2017-05-18 2021-10-19 Wells Fargo Bank, N.A. Credentialing cloud-based applications
CN107360141B (zh) * 2017-06-23 2023-09-29 广州华盈电气科技有限公司 用于电力保密数据的大数据云平台安全防护方法
KR20190007959A (ko) * 2017-07-14 2019-01-23 에이치피프린팅코리아 유한회사 클라우드를 이용한 프린팅 방법 및 시스템
EP3585026A1 (en) 2018-06-19 2019-12-25 Siemens Aktiengesellschaft Method and system of providing secure access to a cloud service in a cloud computing environment
CN109086974B (zh) * 2018-07-09 2022-10-04 南京邮电大学 云制造能源认知管理系统
US11632360B1 (en) * 2018-07-24 2023-04-18 Pure Storage, Inc. Remote access to a storage device
US11258756B2 (en) 2018-11-14 2022-02-22 Citrix Systems, Inc. Authenticating to a hybrid cloud using intranet connectivity as silent authentication factor
US11700173B2 (en) 2020-09-25 2023-07-11 Cisco Technology, Inc. Dynamic user private networks of a shared virtual network
CN112202922A (zh) * 2020-10-26 2021-01-08 国网四川省电力公司信息通信公司 信息通信安全访问管理方法、系统及存储介质
US11829501B2 (en) 2021-05-11 2023-11-28 Paypal, Inc. Database application password rotation with reduced downtime
US20230412605A1 (en) * 2022-06-17 2023-12-21 Assurant, Inc. Dynamic computing resource set generation and access control

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214176A1 (en) 2010-02-27 2011-09-01 Lloyd Leon Burch Techniques for secure access management in virtual environments

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7237257B1 (en) * 2001-04-11 2007-06-26 Aol Llc Leveraging a persistent connection to access a secured service
DE102006045352B4 (de) * 2006-09-26 2015-02-12 Nokia Solutions And Networks Gmbh & Co. Kg Verfahren für Single-Sign-On bei Verwendung einer Set-Top-Box
US8850230B2 (en) * 2008-01-14 2014-09-30 Microsoft Corporation Cloud-based movable-component binding
US8601534B2 (en) * 2009-07-02 2013-12-03 Samsung Electronics Co., Ltd. Securely using service providers in elastic computing systems and environments
US20110126197A1 (en) * 2009-11-25 2011-05-26 Novell, Inc. System and method for controlling cloud and virtualized data centers in an intelligent workload management system
US10057239B2 (en) * 2009-12-17 2018-08-21 Pulse Secure, Llc Session migration between network policy servers
US8572706B2 (en) * 2010-04-26 2013-10-29 Vmware, Inc. Policy engine for cloud platform

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110214176A1 (en) 2010-02-27 2011-09-01 Lloyd Leon Burch Techniques for secure access management in virtual environments

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210001612A (ko) 2019-06-28 2021-01-06 한국전자통신연구원 보안도구와 클라우드 플랫폼 연동을 위한 방법 및 장치
US11159577B2 (en) 2019-06-28 2021-10-26 Electronics And Telecommunications Research Institute Method and apparatus for interworking of cloud platform and security tools
KR20210130043A (ko) 2020-04-21 2021-10-29 국방과학연구소 클라우드 컴퓨팅 환경에 적합한 보안 아키텍처가 적용된 국방 지휘통제체계(c4i) 시스템 및 그의 인증, 인가 제어 방법

Also Published As

Publication number Publication date
KR20130085472A (ko) 2013-07-30
US20150012977A1 (en) 2015-01-08
WO2013085281A1 (ko) 2013-06-13

Similar Documents

Publication Publication Date Title
KR101762876B1 (ko) 클라우드 컴퓨팅 서비스에서의 보안 시스템
Indu et al. Identity and access management in cloud environment: Mechanisms and challenges
Ethelbert et al. A JSON token-based authentication and access management schema for cloud SaaS applications
CN108702360B (zh) 使用动态网络属性的数字资产保护策略
Verma et al. Cloud computing security issues and challenges: a survey
Lee Security threats in cloud computing environments
Ertaul et al. Security Challenges in Cloud Computing.
US20210136068A1 (en) Telecom node control via blockchain
CN108701094B (zh) 在基于云的应用中安全地存储和分发敏感数据
Meghanathan Review of access control models for cloud computing
Chakrabarti et al. Grid computing security: A taxonomy
Lonea et al. Identity management for cloud computing
US20220224535A1 (en) Dynamic authorization and access management
Zhang Integrated security framework for secure web services
Ahuja et al. A survey of the state of cloud security
Mohamed et al. Adaptive security architectural model for protecting identity federation in service oriented computing
Hussein et al. Access control in IoT: From requirements to a candidate vision
Green et al. Grid-enabled virtual organization based dynamic firewall
Anggorojati et al. Secure capability-based access control in the M2M local cloud platform
Ferretti et al. Authorization transparency for accountable access to IoT services
Bajaj et al. Cloud security: the future of data storage
Tiwari et al. Design and Implementation of Enhanced Security Algorithm for Hybrid Cloud using Kerberos
Otta et al. Cloud identity and access management solution with blockchain
Pleiter et al. Security in an evolving European HPC Ecosystem
Chandrasekaran et al. Distributed access control in cloud computing systems

Legal Events

Date Code Title Description
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant