KR102029053B1 - Virtual machine migration device and method thereof - Google Patents
Virtual machine migration device and method thereof Download PDFInfo
- Publication number
- KR102029053B1 KR102029053B1 KR1020170108945A KR20170108945A KR102029053B1 KR 102029053 B1 KR102029053 B1 KR 102029053B1 KR 1020170108945 A KR1020170108945 A KR 1020170108945A KR 20170108945 A KR20170108945 A KR 20170108945A KR 102029053 B1 KR102029053 B1 KR 102029053B1
- Authority
- KR
- South Korea
- Prior art keywords
- data center
- virtual machine
- physical server
- authentication
- session key
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
- G06F21/46—Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0863—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
본 발명의 기술적 사상에 의한 일 양태에 따른 가상 머신 마이그레이션 방법은 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하는 단계, 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하는 단계, 상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터 사이에 세션 키를 교환하는 단계, 상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계 및 상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함할 수 있다.According to an aspect of the present invention, a virtual machine migration method includes acquiring a user authentication request for virtual machine migration, authenticating a user corresponding to the obtained user authentication request, and corresponding to the virtual machine migration. Exchanging a session key between the originating data center and the destination data center, and performing process authentication for processing the virtual machine migration in each of the originating data center and the destination data center using the exchanged session key. And transmitting virtual machine data from the source data center to the destination data center based on the step and the process authentication performed.
Description
본 발명의 기술적 사상은 가상 머신 마이그레이션 장치에 관한 것으로, 보다 상세하게는, 다양한 인증을 통한 가상 머신 마이그레이션 장치 및 그 방법에 관한 것이다.The technical idea of the present invention relates to a virtual machine migration apparatus, and more particularly, to a virtual machine migration apparatus and a method through a variety of authentication.
가상 머신 마이그레이션(Virtual Machine Migration)은 서버 통합, 시스템 복구 등을 목적으로 물리 서버의 가상 머신을 다른 물리 서버로 복제하는 것을 의미한다.Virtual Machine Migration refers to the replication of a physical machine's virtual machine to another physical server for server consolidation and system recovery.
가상 머신 마이그레이션은 운영체제 전체를 다른 위치로 전송하는 과정에서 암호화되지 않은 데이터에 포함된 사용자 정보, 비밀 키 등과 같은 주요 정보가 노출될 수 있다.Virtual machine migration can expose key information such as user information, secret keys, etc. contained in unencrypted data while transferring the entire operating system to another location.
또한, 권한 없는 가상 머신 마이그레이션은 공격자로부터 공격자의 제어권 내의 위치로 가상 머신이 마이그레이션되는 보안 문제가 발생할 수 있다.In addition, unauthorized virtual machine migration may present a security problem in which the virtual machine is migrated from an attacker to a location within the attacker's control.
이러한 보안 문제는 가상 머신 마이그레이션 과정에서, 무단 접근, 데이터 탈취 및 변조, 사용자 권한 탈취 등의 보안 위협에 의해 발생될 수 있다.Such security problems may be caused by security threats such as unauthorized access, data hijacking and tampering, and user privilege taking away during virtual machine migration.
따라서, 가상 머신 마이그레이션 과정에서 발생할 수 있는 보안 위협을 방지할 필요가 있다.Therefore, there is a need to prevent security threats that may occur during virtual machine migration.
본 발명의 기술적 사상에 따른 가상 머신 마이그레이션 장치 및 방법이 이루고자 하는 기술적 과제는, 가상 머신 마이그레이션 과정의 보안성을 강화하는데 목적이 있다.The technical problem to be achieved by the apparatus and method for migrating a virtual machine according to the technical idea of the present invention is to reinforce the security of the virtual machine migration process.
본 발명은 가상 머신 마이그레이션을 위한 다양한 인증 방법을 제공하여 가상 머신 마이그레이션을 위한 인증 방법을 개선하는데 목적이 있다.An object of the present invention is to improve the authentication method for virtual machine migration by providing various authentication methods for virtual machine migration.
또한, 본 발명은 가상 머신 마이그레이션과 관련하여 안정성 높은 인증 방법을 제공하는데 목적이 있다.In addition, an object of the present invention is to provide a highly reliable authentication method with respect to virtual machine migration.
본 발명의 기술적 사상에 따른 충돌예측장치 및 방법이 이루고자 하는 기술적 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)는 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The technical problem to be achieved by the collision prediction apparatus and method according to the technical idea of the present invention is not limited to the above-mentioned task (s), another task (s) not mentioned is clearly understood by those skilled in the art from the following description Could be.
본 발명의 기술적 사상에 의한 일 양태에 따른 가상 머신 마이그레이션 방법은 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하는 단계; 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하는 단계; 상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터 사이에 세션 키를 교환하는 단계; 상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계; 및 상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함할 수 있다.According to an aspect of the inventive concept, a virtual machine migration method includes: obtaining a user authentication request for virtual machine migration; Authenticating a user corresponding to the obtained user authentication request; Exchanging a session key between a source data center and a destination data center corresponding to the virtual machine migration; Performing process authentication to process the virtual machine migration in each of the source data center and the destination data center using the exchanged session key; And transmitting virtual machine data from the origin data center to the destination data center based on the performed process authentication.
예시적인 실시예에 따르면, 상기 처리 인증을 수행하는 단계는 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각은 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에 대응하는 제1 물리 서버 및 제2 물리 서버 각각과 상기 교환된 세션 키를 공유하기 위한 상호 인증 과정을 수행하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the process authentication may include: each of the originating data center and the destination data center with each of a first physical server and a second physical server corresponding to each of the originating data center and the destination data center; The method may include performing a mutual authentication process for sharing the exchanged session key.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 근원 데이터 센터가 상기 제1 물리 서버에, 상기 근원 데이터 센터의 ID 및 상기 근원 데이터 센터가 생성한 제1 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: requesting, by the origin data center, the origin data center to include an ID of the origin data center and a first random number generated by the origin data center; And sending the message.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제1 물리 서버가, 상기 제1 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와, 상기 제1 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제1 물리 서버의 ID를 비교하여, 상기 근원 데이터 센터를 인증하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: transmitting, by the first physical server, the transmitted authentication request message based on a time based one time password (TOTP) owned by the first physical server; Decrypting; and comparing, by the first physical server, an ID of the physical server included in the decrypted authentication request message with an ID of the first physical server to authenticate the originating data center. .
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제1 물리 서버가, 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 포함하는 처리 인증 응답을 상기 근원 데이터 센터에 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: transmitting, by the first physical server, a process authentication response including an ID of the origin data center and the first random number to the origin data center; It may include.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 근원 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와, 상기 근원 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 기초로, 상기 제1 물리 서버를 인증하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: decrypting, by the origin data center, the transmitted process authentication response; and wherein the origin data center is included in the decrypted process authentication response. Authenticating the first physical server based on the ID of the originating data center and the first random number.
예시적인 실시예에 따르면, 상기 가상 머신 데이터를 전송하는 단계는 상기 근원 데이터 센터가, 상기 인증된 제1 물리 서버에 상기 세션 키를 공유하는 단계와, 상기 제1 물리 서버가, 상기 공유된 세션 키를 이용하여 상기 가상 머신 데이터를 암호화하는 단계와, 상기 제1 물리 서버가, 상기 암호화된 가상 머신 데이터를 상기 목적 데이터 센터에 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the transmitting of the virtual machine data may include: sharing, by the originating data center, the session key to the authenticated first physical server, and by the first physical server, the shared session. Encrypting the virtual machine data using a key; and transmitting, by the first physical server, the encrypted virtual machine data to the destination data center.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 목적 데이터 센터가, 상기 제2 물리 서버에, 상기 목적 데이터 센터의 ID 및 상기 목적 데이터 센터가 생성한 제2 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: authenticating, by the target data center, the second physical server to include an ID of the target data center and a second random number generated by the target data center. And transmitting a request message.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제2 물리 서버가, 상기 제2 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와, 상기 제2 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제2 물리 서버의 ID를 비교하여, 상기 목적 데이터 센터를 인증하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: transmitting, by the second physical server, the transmitted authentication request message based on a time based one time password (TOTP) owned by the second physical server; Decrypting; and comparing, by the second physical server, an ID of the physical server included in the decrypted authentication request message with an ID of the second physical server to authenticate the target data center. .
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제2 물리 서버가, 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 포함하는 처리 인증 응답을 상기 목적 데이터 센터에 전송하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include transmitting, by the second physical server, a process authentication response including an ID of the target data center and the second random number to the target data center. It may include.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 목적 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와, 상기 목적 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 기초로, 상기 제2 물리 서버를 인증하는 단계를 포함할 수 있다.According to an exemplary embodiment, the performing of the mutual authentication process may include: decrypting, by the target data center, the transmitted process authentication response, and wherein the target data center is included in the decrypted process authentication response. Authenticating the second physical server based on the ID of the target data center and the second random number.
예시적인 실시예에 따르면, 상기 가상 머신 데이터를 전송하는 단계는 상기 목적 데이터 센터가, 상기 인증된 제2 물리 서버에 상기 세션 키를 공유하는 단계를 포함할 수 있다.According to an exemplary embodiment, transmitting the virtual machine data may include sharing, by the target data center, the session key with the authenticated second physical server.
예시적인 실시예에 따르면, 상기 목적 데이터 센터가, 상기 전송된 가상 머신 데이터를 상기 공유된 세션 키를 이용하여 복호화하는 단계; 및 상기 목적 데이터 센터가, 상기 복호화된 가상 머신 데이터를 해쉬함수로 해쉬하여, 상기 전송된 가상 머신 데이터의 무결성을 확인하는 단계를 더 포함할 수 있다.According to an exemplary embodiment, the destination data center, decrypting the transmitted virtual machine data using the shared session key; And verifying the integrity of the transmitted virtual machine data by hashing the decrypted virtual machine data with a hash function by the target data center.
예시적인 실시예에 따르면, 상기 근원 데이터 센터 및 목적 데이터 센터 사이에서 세션 키를 교환하는 단계는 SPEKE(Simple Password Exponential Key Exchange) 방식에 따라 상기 세션 키를 교환하는 단계를 포함할 수 있다.According to an exemplary embodiment, exchanging a session key between the source data center and the destination data center may include exchanging the session key according to a Simple Password Exponential Key Exchange (SPEKE) scheme.
본 발명의 기술적 사상에 의한 다른 양태에 따른 가상 머신 마이그레이션 장치는 적어도 하나의 프로세서; 및 상기 프로세서에 전기적으로 연결된 메모리를 포함하고, 상기 메모리는, 실행 시에, 상기 프로세서가, 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하고, 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하고, 상기 가상 머신 마이그레이션에 대응하는 목적 데이터 센터와 세션 키를 교환하고, 상기 교환된 세션 키를 이용하여, 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하고, 상기 수행된 처리 인증을 기초로, 상기 목적 데이터 센터에 가상 머신 데이터를 전송하도록 하는 인스트럭션들을 저장할 수 있다.According to another aspect of the inventive concept, a virtual machine migration apparatus may include at least one processor; And a memory electrically coupled to the processor, wherein, when executed, the processor acquires a user authentication request for virtual machine migration, authenticates a user corresponding to the obtained user authentication request, Exchanging a session key with a target data center corresponding to the virtual machine migration, using the exchanged session key to perform process authentication for processing the virtual machine migration, and based on the process authentication performed, Instructions can be stored to transfer virtual machine data to the destination data center.
본 발명의 기술적 사상에 의한 실시예들에 따른 가상 머신 마이그레이션 장치 및 방법은 가상 머신 마이그레이션 과정의 보안성을 강화할 수 있다.The apparatus and method for migrating a virtual machine according to embodiments of the inventive concept may enhance security of a virtual machine migration process.
또한, 본 발명에 따른 가상 머신 마이그레이션 장치 및 방법은 다양한 인증 과정을 통해, 상호 인증, 재생 공격 방지, 기밀성, 무결성, 중간자 공격 방지와 같은 높은 안정성을 제공할 수 있다.In addition, the apparatus and method for migrating a virtual machine according to the present invention may provide high stability such as mutual authentication, prevention of replay attack, confidentiality, integrity, and prevention of man-in-the-middle attack through various authentication processes.
본 명세서에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 다양한 실시예에 따른 충돌 예측 및 충돌 방지 시스템을 나타낸다.
도 2는 본 발명의 다양한 실시예에 따른 물리 서버의 구성을 나타내는 블록도이다.
도 3은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성을 나타내는 블록도이다.
도 4는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 마이그레이션 요청 동작에 대한 래더 다이어그램이다.
도 5는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 동작에 대한 래더 다이어그램이다.
도 6은 본 발명의 다양한 실시예에 따른 SPEKE 키 교환에 대한 흐름도이다.
도 7은 본 발명의 다양한 실시예에 따른 HOTP 알고리즘을 나타내고, 도 8은 TOTP 계산 처리를 나타낸다.BRIEF DESCRIPTION OF THE DRAWINGS In order to better understand the drawings referred to herein, a brief description of each drawing is provided.
1 illustrates a collision prediction and collision avoidance system according to various embodiments of the present disclosure.
2 is a block diagram illustrating a configuration of a physical server according to various embodiments of the present disclosure.
3 is a block diagram illustrating a configuration of a virtual machine migration apparatus according to various embodiments of the present disclosure.
4 is a ladder diagram of a user authentication and migration request operation for migrating a virtual machine according to various embodiments of the present disclosure.
5 is a ladder diagram of a virtual machine migration operation according to various embodiments of the present disclosure.
6 is a flowchart illustrating a SPEKE key exchange according to various embodiments of the present invention.
7 illustrates a HOTP algorithm according to various embodiments of the present invention, and FIG. 8 illustrates a TOTP calculation process.
본 발명의 기술적 사상은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명의 기술적 사상을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상의 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.The technical spirit of the present invention may be variously modified and have various embodiments, and specific embodiments will be illustrated in the drawings and described in detail with reference to the accompanying drawings. However, this is not intended to limit the technical spirit of the present invention to specific embodiments, it should be understood to include all changes, equivalents, and substitutes included in the scope of the technical spirit of the present invention.
본 발명의 기술적 사상을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 기술적 사상의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.In describing the technical idea of the present invention, if it is determined that the detailed description of the related known technology may unnecessarily obscure the gist of the technical idea of the present invention, the detailed description thereof will be omitted. In addition, numerals (eg, first, second, etc.) used in the description process of the present specification are merely identification symbols for distinguishing one component from another component.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.In addition, in the present specification, when one component is referred to as "connected" or "connected" with another component, the one component may be directly connected or directly connected to the other component, but in particular It is to be understood that, unless there is an opposite substrate, it may be connected or connected via another component in the middle.
또한, 본 명세서에 기재된 "~부", "~기", "~자", "~모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 프로세서(Processor), 마이크로 프로세서(Micro Processor), 어플리케이션 프로세서(Application Processor), 마이크로 컨트롤러(Micro Controller), CPU(Central Processing Unit), GPU(Graphics Processing Unit), APU(Accelerate Processor Unit), DSP(Digital Signal Processor), ASIC(Application Specific Integrated Circuit), FPGA(Field Programmable Gate Array) 등과 같은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다. In addition, the terms "~ part", "~ group", "~ ruler", "~ module", etc. described herein refer to a unit for processing at least one function or operation, which is a processor, a micro Processor, Application Processor, Micro Controller, Central Processing Unit (CPU), Graphics Processing Unit (GPU), Accelerate Processor Unit (APU), Digital Signal Processor (DSP), ASIC ( It may be implemented by hardware or software such as an application specific integrated circuit (FPGA), a field programmable gate array (FPGA), or a combination of hardware and software.
그리고 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.In addition, it is intended to clarify that the division of the components in the present specification is only divided by the main function of each component. That is, two or more components to be described below may be combined into one component, or one component may be provided divided into two or more for each function. Each of the components to be described below may additionally perform some or all of the functions of other components in addition to the main functions of the components, and some of the main functions of each of the components are different. Of course, it may be carried out exclusively by.
이하, 본 발명의 기술적 사상에 의한 실시예들을 차례로 상세히 설명한다.Hereinafter, embodiments according to the spirit of the present invention will be described in detail.
도 1은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션에 대한 개념도이다.1 is a conceptual diagram of a virtual machine migration according to various embodiments of the present disclosure.
도 1을 참조하면, 근원 데이터 센터(100, Source Data Center)에서 목적 데이터 센터(200, Destination Data Center)로 가상 머신(Virtual Machine)이 마이그레이션(migration)될 수 있다.Referring to FIG. 1, a virtual machine may be migrated from a
근원 데이터 센터(100) 및 목적 데이터 센터(200)는 서버, 스토리지, 네트워크, 물리 노드 등의 자원을 포함한 컨테이너일 수 있다. The
근원 데이터 센터(100) 및 목적 데이터 센터(200)에 포함되는 데이터 센터 자원은 물리적 자원과 가상 자원으로 분류될 수 있다.Data center resources included in the
근원 데이터 센터(100)는 관리자 모듈(110), 가상 머신 모니터링 모듈(120), 가상 머신(141-146), 물리 노드(160) 및 서버(171, 172)를 포함할 수 있다.The
관리자 모듈(110)은 근원 데이터 센터(100)에 포함된 가상 머신(141-146) 및 가상 머신 모니터링 모듈(120) 중 적어도 하나에서 정보를 가져올 수 있다. The
관리자 모듈(110)은 가상 머신 마이그레이션 요청을 획득할 수 있고, 가상 머신 마이그레이션을 결정할 수 있다.The
가상 머신 모니터링 모듈(120)은 물리 노드(160)에서 생성된 가상 머신(141-146)을 관리할 수 있다. 예를 들면, 가상 머신 모니터링 모듈(120)은 하이퍼바이저 기술로, 단일 하드웨어 자원을 통해 복수의 운영체제(Operation System)의 구동 및 호스트 서버의 로컬 자원 모니터링을 수행할 수 있다.The virtual
물리 노드(160)는 물리 서버(171, 172)가 가상 인스턴스를 실행하는 디스크를 갖는 노드일 수 있다. 예를 들면, 물리 노드(160)는 스위치, 라우터 등의 네트워크 자원으로부터 물리 서버(171, 172)가 상호 연결될 수 있다. The physical node 160 may be a node having a disk on which the
근원 데이터 센터(100)는 물리 노드(160)를 통해 물리 서버(171, 172)가 할당될 수 있다.The
목적 데이터 센터(200)는 근원 데이터 센터(100)와 동일 또는 유사한 구성을 가질 수 있다.The
목적 데이터 센터(200)는 관리자 모듈(210), 가상 머신 모니터링 모듈(220), 가상 머신(241-246), 물리 노드(260) 및 서버(271, 272)를 포함할 수 있다.The
관리자 모듈(210)은 목적 데이터 센터(200)에 포함된 가상 머신(241-246) 및 가상 머신 모니터링 모듈(220) 중 적어도 하나에서 정보를 가져올 수 있다. The
관리자 모듈(210)은 가상 머신 마이그레이션 요청을 획득할 수 있고, 가상 머신 마이그레이션을 결정할 수 있다.The
가상 머신 모니터링 모듈(220)은 물리 노드(260)에서 생성된 가상 머신(241-246)을 관리할 수 있다. 예를 들면, 가상 머신 모니터링 모듈(220)은 하이퍼바이저 기술로, 단일 하드웨어 자원을 통해 복수의 운영체제(Operation System)의 구동 및 호스트 서버의 로컬 자원 모니터링을 수행할 수 있다.The virtual
물리 노드(260)는 물리 서버(271, 272)가 가상 인스턴스를 실행하는 디스크를 갖는 노드일 수 있다. 예를 들면, 물리 노드(260)는 스위치, 라우터 등의 네트워크 자원으로부터 물리 서버(271, 272)가 상호 연결될 수 있다. Physical node 260 may be a node having a disk on which
목적 데이터 센터(200)는 물리 노드(260)를 통해 물리 서버(271, 272)가 할당될 수 있다.In the
이하, 도 2를 참조하여 물리 서버의 구성을 설명한다.Hereinafter, the configuration of the physical server will be described with reference to FIG. 2.
도 2는 본 발명의 다양한 실시예에 따른 물리 서버의 구성을 나타내는 블록도이다.2 is a block diagram illustrating a configuration of a physical server according to various embodiments of the present disclosure.
도 2를 참조하면, 물리 서버(300)는 프로세서(310), 메모리(330) 및 통신 모듈(350)을 포함할 수 있다.Referring to FIG. 2, the
프로세서(310)는 물리 서버(300)의 전반적인 동작을 제어할 수 있다.The
메모리(330)는 물리 서버(300)의 동작과 관련된 다양한 정보를 저장할 수 있다.The
통신 모듈(350)은 물리 서버(300)와 다른 물리 서버 또는 물리 서버(300)와 물리 노드 간의 유선 통신 또는 무선 통신을 제공할 수 있다. The
한편, 물리 서버(300)는 상술한 물리 노드(160, 260)에 포함된 물리 서버(171, 172, 271, 272)뿐만 아니라, 근원 데이터 센터(100) 및 목적 데이터 센터(200)일 수도 있다.The
본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성에 대해 도 3을 참조하여 설명한다.A configuration of a virtual machine migration apparatus according to various embodiments of the present disclosure will be described with reference to FIG. 3.
도 3은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성을 나타내는 블록도이다.3 is a block diagram illustrating a configuration of a virtual machine migration apparatus according to various embodiments of the present disclosure.
가상 머신 마이그레이션 장치(400)는 가상 머신 마이그레이션 요청 모듈(410) 및 가상 머신 마이그레이션 처리 모듈(430)을 포함할 수 있다. The virtual
가상 머신 마이그레이션 장치(400)는 근원 데이터 센터(100) 및/또는 목적 데이터 센터(200)일 수 있고, 후술할 데이터 센터(130, 230)일 수도 있다. 그리고 가상 머신 마이그레이션 장치(400)는 근원 데이터 센터(100) 및/또는 목적 데이터 센터(200)에 포함된 구성일 수도 있고, 데이터 센터(130, 230)에 포함된 구성일 수도 있다.The virtual
가상 머신 마이그레이션 요청 모듈(410)은 물리 서버 간에 가상 머신이 마이그레이션 되기 전, 마이그레이션을 위한 사용자 인증 과정과 데이터 센터 간의 인증 요청 및 응답 과정을 수행할 수 있다.The virtual machine
가상 머신 마이그레이션 요청 모듈(410)은 가상 머신 마이그레이션 요청 시, 사용자를 인증할 수 있다. 예를 들면, 가상 머신 마이그레이션 요청 모듈(410)은 OTP(One Time Password) 기반의 동적 인증을 통해 사용자를 인증할 수 있다. 구체적으로, 가상 머신 마이그레이션 요청 모듈(410)은 보안 토큰, 가상 토큰, SiFaDA(Single-Factor Dynamic Authentication) 중 적어도 하나를 이용할 수 있다.The virtual machine
가상 머신 마이그레이션 요청 모듈(410)은 사용자 인증되면 가상 머신 마이그레이션 처리 모듈(430)을 통해, 데이터 센터 간 가상 머신 마이그레이션을 요청할 수 있다. The virtual machine
예를 들면, 가상 머신 마이그레이션 요청 모듈(410)은 사용자 인증되면, 가상 머신 마이그레이션 처리 모듈(430)을 통해, 근원 데이터 센터(100)와 목적 데이터 센터(200) 간의 가상 머신 마이그레이션을 요청할 수 있다.For example, the virtual machine
요청 과정에서, 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 상대방 데이터 센터의 공개 키로 암호화된 사용자 ID 및 데이터 센터 ID를 각각의 개인 키로 복호화할 수 있고, 복호화된 정보와 자신의 정보, 예를 들면 데이터 센터 ID 및 사용자 ID를 비교하여 사용자를 확인할 수 있다. 이에 따라 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 인증이 가능하며, 마이그레이션을 요청한 사용자 확인이 가능하다.In the request process, each of the
가상 머신 마이그레이션 요청 모듈(410)은 사용자 동적 인증 모듈(411), 마이그레이션 요청 모듈(415)을 포함할 수 있다. The virtual machine
사용자 동적 인증 모듈(411)은 상술한 사용자 인증 과정을 수행할 수 있다.The user
마이그레이션 요청 모듈(415)은 상술한 데이터 센터 간 가상 머신 마이그레이션 요청을 수행할 수 있다.The
한편, 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 인증 기관에서 X.509와 같은 인증서를 발급 받은 상태이며, 각 사용자는 마이그레이션 요청 시 데이터 센터의 인증 서버에서 해당 OTP를 발급 받은 상태일 수 있다.On the other hand, the
가상 머신 마이그레이션 요청 모듈(410)의 동작에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 데이터 센터 간 마이그레이션 요청 과정에 대해 도 4를 참조하여 설명한다.A user authentication and a data center migration request process for migrating a virtual machine according to the operation of the virtual machine
도 4는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 마이그레이션 요청 동작에 대한 래더 다이어그램이다.4 is a ladder diagram of a user authentication and migration request operation for migrating a virtual machine according to various embodiments of the present disclosure.
근원 데이터 센터(100)의 관리자 모듈(110)은 마이그레이션 인증 요청을 획득할 수 있다(S110). The
예를 들면, 관리자 모듈(110)은 사용자로부터 마이그레이션 요청을 수신하여, 마이그레이션 인증 요청을 획득할 수 있다.For example, the
일 실시예로, 관리자 모듈(110)은 사용자로부터 가상 머신 마이그레이션을 요청하기 위한 사용자 인증을 위한 마이그레이션 인증 요청 메시지를 수신할 수 있다. 여기서 마이그레이션 인증 요청 메시지는 아래와 같을 수 있다. In an embodiment, the
Mig_Auth_Request=[UID||EOTP (UID)]Mig_Auth_Request = [UID || E OTP (UID)]
여기서 UID는 사용자 ID이다.Where UID is the user ID.
관리자 모듈(110)은 데이터 센터(130)에 사용자 인증 요청을 요청할 수 있다(S112). The
예를 들면, 관리자 모듈(110)은 암호화되지 않은 UID로 사용자를 확인하고, 인증 요청 메시지를 데이터 센터(130)에 전송할 수 있다. 여기서 데이터 센터(130)는 근원 데이터 센터(100)에 포함된 구성일 수 있고, 근원 데이터 센터(100)일 수도 있다.For example, the
일 실시예로, 관리자 모듈(110)은 아래와 같은 인증 요청 메시지를 데이터 센터(130)에 전송할 수 있다. In an embodiment, the
Autu_Request=[EOTP (UID)||EK1(nonce1)]Autu_Request = [E OTP (UID) || E K1 (nonce 1 )]
여기서 nonce1은 관리자 모듈(110)이 생성한 난수이고, K1은 관리자 모듈과 데이터 센터(130) 간에 사전에 보안 채널을 통해 교환된 대칭 키이다.Here, nonce 1 is a random number generated by the
데이터 센터(130)는 요청된 사용자 인증을 확인할 수 있다(S114).The
예를 들면, 데이터 센터(130)는 OTP를 생성하고, 인증 요청 메시지를 생성한 OTP로 복호화할 수 있다. 데이터 센터(130)는 복호화된 UID를 확인할 수 있고, 사용자를 인증할 수 있다.For example, the
데이터 센터(130)는 사용자 인증 응답을 관리자 모듈(110)에 전송할 수 있다(S116).The
데이터 센터(130)는 난수 nonce1을 대칭 키 K1으로 복호화하고, 관리자 모듈(110)에 인증 응답 메시지를 전송할 수 있다. 일 실시예로, 데이터 센터(130)는 아래와 같은 인증 응답 메시지를 전송할 수 있다.The
Auth_Reply=[EK1(UID||nonce1)]Auth_Reply = [E K1 (UID || nonce 1 )]
관리자 모듈(110)은 전송된 사용자 인증 응답을 기초로, 사용자 인증을 확인할 수 있다(S118).The
일 실시예로, 관리자 모듈(110)은 인증 응답 메시지를 대칭 키 K1으로 복호화하여 UID와 관리자 모듈(110)에서 생성한 난수 nonce1을 획득할 수 있다. 그래서 관리자 모듈(110)은 인증 요청했던 데이터 센터(130)로부터 전송된 응답 메시지인 것을 확인할 수 있다. 이에 따라, 데이터 센터(130)의 사용자 인증이 완료될 수 있다.In an embodiment, the
관리자 모듈(110)은 데이터 센터(130)에 마이그레이션을 요청할 수 있다(S120).The
예를 들면, 관리자 모듈(110)은 데이터 센터(130)에 가상 머신 마이그레이션을 요청하기 위한 요청 메시지를 전송할 수 있다. 일 실시예로, 관리자 모듈(110)은 아래와 같은 마이그레이션 요청 메시지를 데이터 센터(130)에 전송할 수 있다. For example, the
Mig_Requestadmin=[EK1(Mig_Rqst||Dest_DID||UID)]Mig_Request admin = [E K1 (Mig_Rqst || Dest_DID || UID)]
여기서 Dest_DID는 목적 데이터 센터(200)의 ID이다.Here, Dest_DID is an ID of the
데이터 센터(130)는 수신된 마이그레이션 요청을 복호화할 수 있다(S122).The
예를 들면, 데이터 센터(130)는 관리자 모듈(110)로부터 수신한 Mig_Requestadmin을 대칭 키 K1으로 복호화할 수 있다.For example, the
데이터 센터(130)는 복호화된 메시지를 기초로 마이그레이션 목적 데이터 센터를 확인할 수 있다(S124).The
예를 들면, 데이터 센터(130)는 복호화된 메시지에서 Dest_DID, 목적 데이터 센터의 ID를 확인할 수 있다.For example, the
데이터 센터(130)는 확인된 목적 데이터 센터에 마이그레이션 요청할 수 있다(S126).The
예를 들면, 데이터 센터(130)는 복호화된 메시지에서 확인된 목적 데이터 센터에 마이그레이션을 요청할 수 있다. 일 실시예로, 데이터 센터(130)는 복호화된 메시지에서 확인된 Dest_DID를 갖는 목적 데이터 센터(200)에 Mig_RequestDC 메시지를 전송하여 가상 머신 마이그레이션을 요청할 수 있다. 구체적으로, 데이터 센터(130)는 아래와 같은 마이그레이션 요청 메시지를 목적 데이터 센터(200)에 전송할 수 있다.For example, the
Mig_RequestDC Mig_Request DC
=[EPbDest_DC(Mig_Rqst||Src_DID||Dest_DID||UID)||CertSrc_DC]= [E PbDest_DC (Mig_Rqst || Src_DID || Dest_DID || UID) || Cert Src _ DC ]
여기서 PbDest_DC는 목적 데이터 센터(200)의 공개 키이고, Src_DID는 근원 데이터 센터(100)의 ID이며, CertSrc_DC는 인증 기관에서 발급받은 근원 데이터 센터(100)의 인증서이다. 그리고 근원 데이터 센터(100)의 인증서는 상술한 바와 같이, 이미 발급받은 상태를 가정한다.Where Pb Dest_DC is the public key of the
목적 데이터 센터(200)의 데이터 센터(230)는 수신된 마이그레이션 요청을 복호화할 수 있다(S128).The
예를 들면, 데이터 센터(230)는 수신된 마이그레이션 요청 메시지를 데이터 센터(230)가 가진 비밀 키로 복호화할 수 있다. 일 실시예로, 데이터 센터(230)는 수신된 Mig_RequestDC을 소유한 비밀 키로 복호화할 수 있다. For example, the
여기서 데이터 센터(230)는 목적 데이터 센터(200)에 포함된 구성일 수 있고, 목적 데이터 센터(200)일 수도 있다.The
데이터 센터(230)는 복호화된 값을 기초로, 인증 정보를 확인할 수 있다(S130).The
예를 들면, 데이터 센터(230)는 복호화된 메시지에서, Dest_ID를 통해 목적 데이터 센터를 확인하고, UID를 통해 사용자를 확인할 수 있다. 그리고 데이터 센터(230)는 CertSrc_DC로 근원 데이터 센터(100)의 자격 증명을 확인할 수 있고, Src_DID로 응답 메시지를 보낼 근원 데이터 센터(100)의 ID를 확인할 수 있다.For example, the
데이터 센터(230)는 가상 머신 마이그레이션 응답을 데이터 센터(130)에 전송할 수 있다(S132).The
예를 들면, 데이터 센터(230)는 가상 머신 마이그레이션 응답 메시지를 근원 데이터 센터(100)의 데이터 센터(130)에 전송할 수 있다. 일 실시예로, 데이터 센터(230)는 Mig_ResponseDC를 근원 데이터 센터(100)에 전송할 수 있다. For example, the
Mig_ResponseDC Mig_Response DC
=[EPbSrc_DC(SinPrDest_DC(Dest_DID||Ack))||CertDest_DC]= [E PbSrc_DC (Sin PrDest_DC (Dest_DID || Ack)) || Cert Dest_DC ]
여기서, PbSrc_DC는 근원 데이터 센터(100)의 공개 키이고, CertDest_DC는 인증 기관에서 발급받은 목적 데이터 센터(200)의 인증서이다.Where Pb Src_DC is the public key of the
마이그레이션 응답 메시지는 목적 데이터 센터(200)의 비밀 키 PrDest_DC로 확인 메시지의 Ack와 Dest_DID를 서명한 서명 값을 포함할 수 있어서, 부인(deny) 봉쇄가 가능하다.The migration response message may include a signature value signed by Ack and Dest_DID of the confirmation message with the secret key Pr Dest_DC of the
근원 데이터 센터(100)의 데이터 센터(130)는 마이그레이션 응답을 수신하고, 자격 증명을 확인할 수 있다(S134).The
예를 들면, 데이터 센터(130)는 마이그레이션 응답 메시지를 수신할 수 있고, 마이그레이션 응답 메시지에서 CertDest_DC를 통해 근원 데이터 센터(100)의 자격 증명을 확인할 수 있다. 그리고 데이터 센터(130)는 소유한 비밀 키로 마이그레이션 응답 메시지를 복호화하고, 복호화된 메시지에 포함된 서명 값을 목적 데이터 센터(200)의 공개 키를 통해, 마이그레이션 요청 시 전송한 메시지에 포함된 목적 데이터 센터(200)의 ID가 맞는지 확인하고, Ack 메시지를 확인할 수 있다. 이에 따라, 근원 데이터 센터(100)와 목적 데이터 센터(200) 간의 권한 있는 마이그레이션이 가능할 수 있다.For example, the
이와 같이, 다양한 실시예에 따른 가상 머신 마이그레이션 장치 및 방법은 마이그레이션 요청 시마다 OTP를 통해 사용자를 인증하는 단계를 포함하여서, 공격자가 사용자 계정을 탈취하여 사용자의 시스템에 로그인하거나, 사용자 계정을 모르는 공격자가 로그인된 사용자의 시스템에 접근이 가능하더라도, 사용자의 계정만으로는 마이그레이션 요청할 수 없다.As such, the apparatus and method for migrating a virtual machine according to various embodiments includes authenticating a user through an OTP every migration request, so that an attacker steals a user account to log in to the user's system, or an attacker who does not know the user account. Even if the logged-in user can access the system, the user's account alone cannot request migration.
다시 도 3을 참조한다.Reference is again made to FIG. 3.
가상 머신 마이그레이션 처리 모듈(430)은 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 세션 키 교환, 데이터 센터와 물리 서버 간의 세션 키 공유, 데이터 센터와 물리 서버 간의 상호 인증을 수행할 수 있다.The virtual machine
예를 들면, 가상 머신 마이그레이션 처리 모듈(430)은 SPEKE(Simple Password Exponential Key Exchange) 방식을 사용하여 세션 키를 교환할 수 있다.For example, the virtual machine
가상 머신 마이그레이션 처리 모듈(430)은 데이터 센터와 물리 서버 간의 상호 인증 및 세션 키 공유에는 TOTP(Time based One Time Password) 기반의 동적 인증 방식을 사용하여, 공유된 세션 키를 통한 데이터 전송 과정의 기밀성을 보장할 수 있다.The virtual machine
가상 머신 마이그레이션 처리 모듈(430)의 동작에 따른 가상 머신 마이그레이션 과정에 대해 도 5를 참조하여 설명한다.A virtual machine migration process according to the operation of the virtual machine
도 5는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 동작에 대한 래더 다이어그램이다.5 is a ladder diagram of a virtual machine migration operation according to various embodiments of the present disclosure.
도 5를 참조하면, 근원 데이터 센터(100)와 목적 데이터 센터(200)는 세션 키를 교환할 수 있다(S140).Referring to FIG. 5, the
예를 들면, 근원 데이터 센터(100)와 목적 데이터 센터(200)는 SPEKE 키 교환 방식으로 세션 키를 교환할 수 있다. SPEKE에 따른 세션 키 교환 동작은 도 6과 같다.For example, the
도 6은 본 발명의 다양한 실시예에 따른 SPEKE 키 교환에 대한 흐름도이다.6 is a flowchart illustrating a SPEKE key exchange according to various embodiments of the present invention.
도 6을 참조하면, 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 세이프 프라임(safe prime) p를 공유할 수 있다. 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 g=Hash(pw)2을 구성할 수 있다. 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 임의의 정수를 선택하고, 선택된 정수를 다른 데이터 센터에 전송할 수 있다. 예를 들면, 근원 데이터 센터(100)는 비밀 임의 정수(secret random integer) a를 선택하여 목적 데이터 센터(200)에 전송할 수 있고, 목적 데이터 센터(200)는 비밀 임의 정수 b를 선택하여 근원 데이터 센터(100)에 전송할 수 있다. 그리고 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 세이프 프라임 및 전송된 비밀 임의 정수를 이용하여 세션 키를 산출할 수 있다.Referring to FIG. 6, the
이와 같이 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 SPEKE 키 교환 방식에 따라 세션 키를 교환할 수 있다. 그리고 SPEKE 키 교환 방식에 따르면, 생성기 g는 비밀 값이며, 일부 공유된 키 pw의 해쉬 값을 제곱하여 생성될 수 있고, g 및 p로 계산된 공개 키가 공격자에 탈취되더라도 공격자는 비밀 값 g를 알지 못하므로, 중간자 공격을 예방할 수 있다.As such, the
다시 도 5를 참조한다.Reference is again made to FIG. 5.
근원 데이터 센터(100) 및 목적 데이터 센터(200)는 SPEKE를 통해 생성된 세션 키를 각각의 물리 서버(170, 270)와 공유해야 하며, 세션 키 공유 전 데이터 센터(130, 230)와 물리 서버(170, 270) 간 상호 인증 과정을 수행할 수 있다. The
근원 데이터 센터(100)의 데이터 센터(130)는 TOTP를 생성하고(S141),물리 서버(170)에 처리 인증 요청을 전송할 수 있다(S143).The
목적 데이터 센터(200)의 데이터 센터(230)는 TOTP를 생성하고(S142), 물리 서버(270)에 처리 인증 요청을 전송할 수 있다(S144).The
예를 들면, 데이터 센터(130, 230)는 해쉬 함수를 이용하여 비밀 키와 타임 스탬프를 결합시켜, 상호간 시간 동기화된 OTP를 생성할 수 있다. For example, the
도 7은 본 발명의 다양한 실시예에 따른 HOTP 알고리즘을 나타내고, 도 8은 TOTP 계산 처리를 나타낸다.7 illustrates a HOTP algorithm according to various embodiments of the present invention, and FIG. 8 illustrates a TOTP calculation process.
데이터 센터와 물리 서버 간의 상호 인증은 TOTP 기반으로 이루어지며, Internet Engineering Task Force 표준인 RFC 6238에 따른 TOTP 생성 과정과 같다. 구체적으로, TOTP는 타임 스탬프가 카운터로 대체된 HOTP르 기반으로 생성될 수 있고, HOTP 알고리즘은 도 7과 같다. 그리고 타임 스탬프와 유닉스 시간인 epoch 시간의 시작 시간인 TO를 통해 TOTP를 계산하는 과정은 도 8과 같다. 이 때, d는 OTP의 원하는 자리 수를 의미한다.Mutual authentication between the data center and the physical server is based on TOTP and is the same as the TOTP generation process according to RFC 6238, the Internet Engineering Task Force standard. Specifically, the TOTP may be generated based on the HOTP whose time stamp is replaced with the counter, and the HOTP algorithm is illustrated in FIG. 7. The process of calculating the TOTP through the time stamp and the TO of the start time of the epoch time, which is the UNIX time, is illustrated in FIG. 8. In this case, d means the desired number of digits of the OTP.
타임 스탬프는 일반적으로 30초 간격으로 증가하므로, 데이터 센터(130, 230)는 동일한 비밀 키로 시간에 따라 동일한 암호를 생성할 수 있다. 그리고 데이터 센터(130, 230)는 사용자와 서버의 시간을 대략적으로 동기화하기 위해 타임 스탬프의 1시간 오차를 허용할 수 있다.Since the time stamp generally increases at 30 second intervals, the
근원 데이터 센터(100)의 데이터 센터(130) 및 목적 데이터 센터(200)의 데이터 센터(230)는 가상 머신 마이그레이션에 대응하는 물리 서버(170, 270)에 인증 요청 메시지를 전송할 수 있다. 예를 들면, 데이터 센터(130, 230)는 물리 서버(170, 270)에 아래와 같은 인증 요청 메시지 DC_PS_Auth_Request를 전송할 수 있다. The
DC_PS_Auth_Request=[ETOTP(DID||PID)]nonce2)]DC_PS_Auth_Request = [E TOTP (DID || PID)] nonce 2 )]
여기서 PID는 물리 서버의 ID이며, 근원 데이터 센터(100)의 물리 서버(170)인 경우 Src_PID, 목적 데이터 센터(200)의 물리 서버(270)인 경우 Dest_PID가 된다. 그리고 nonce2는 데이터 센터가 생성한 난수이다.Here, PID is an ID of a physical server, and Src_PID for the
물리 서버(170, 270)는 전송된 인증 요청을 복호화하고(S145, S146), 복호화된 인증 요청에 포함된 정보를 기초로 데이터 센터를 인증할 수 있다(S147, S148).The
예를 들면, 물리 서버(170, 270)는 전송된 인증 요청 메시지 DC_PS_Auth_Request를 물리 서버 자신의 TOTP로 복호화할 수 있다. 구체적으로, 물리 서버(170, 270)는 DC_PS_Auth_Request를 자신의 TOTP로 복호화하고, 자신의 PID를 확인하여 데이터 센터를 인증할 수 있다. 그리고 물리 서버(170, 270)는 가상 머신 마이그레이션을 요청한 데이터 센터(130, 230)의 DID 및 난수 nonce2를 확인할 수 있다. For example, the
물리 서버(170, 270)는 데이터 센터(130, 230)에 처리 인증 응답을 전송할 수 있다(S147, S148).The
예를 들면 물리 서버(170, 270)는 아래와 같은 처리 인증 응답 DC_PS_Auth_Repsonse를 데이터 센터(130, 230)에 전송할 수 있다.For example, the
DC_PS_Auth_Repsonse=[ETOTP(DID||nonce2)]DC_PS_Auth_Repsonse = [E TOTP (DID || nonce 2 )]
데이터 센터(130, 230)는 전송된 처리 인증 응답을 복호화할 수 있고(S151, S152), 복호화된 처리 인증 응답에 포함된 정보를 기초로 물리 서버(170, 270)를 인증할 수 있다(S153, S154).The
예를 들면, 데이터 센터(130, 230)는 물리 서버 자신의 TOTP로 수신된 처리 인증 응답 DC_PS_Auth_Repsonse을 복호화할 수 있고, 자신의 DID와 난수 nonce2를 확인하여 물리 서버(170, 270)을 확인할 수 있다.For example, the
데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 세션 키를 공유할 수 있다(S155, S156).The
예를 들면, 데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 TOTP로 암호화한 세션 키를 전송할 수 있다. 일 실시예로, 데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 TOTP로 세션 키를 암호화한 ETOTP(SK)를 전송할 수 있다. 이에 따라 물리 서버(170, 270)는 전송된 세션 키를 자신의 TOTP로 복호화하여 세션 키를 획득할 수 있다. 그래서 데이터 센터(130, 230)와 물리 서버(170, 270) 간 세션 키가 공유될 수 있다.For example, the
상술한 설명에서 근원 데이터 센터(100) 측 데이터 센터(130)와 물리 서버(170) 간의 동작과, 목적 데이터 센터(200) 측 데이터 센터(230)와 물리 서버(270) 간의 동작이 동시에 설명되었으나, 이는 설명을 위한 예시로, 동시가 아닌 다른 사점에 동작할 수도 있다.In the above description, operations between the
이와 같이, 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치 및 방법은 상호 전송되는 데이터를 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 비밀 키를 이용하여 기밀성을 제공할 수 있다. As such, the apparatus and method for migrating a virtual machine according to various embodiments of the present disclosure may provide confidentiality by using a secret key between the
근원 데이터 센터(100)의 물리 서버(170)는 공유된 세션 키로 암호화된 가상 머신의 데이터를 목적 데이터 센터(200)의 물리 서버(270)에 전송할 수 있다(S157).The
예를 들면, 근원 데이터 센터(100)의 물리 서버(170)는 세션 키로 암호화된 가상 머신 데이터 VM_Data_Tran를 목적 데이터 센터(200)의 물리 서버(270)에 전송할 수 있다. For example, the
VM_Data_Trans=[ESK(VM_Data||Hash(VM_Data))]VM_Data_Trans = [E SK (VM_Data || Hash (VM_Data))]
여기서 VM_Data는 전송하고자 하는 실제 데이터이고, Hash(VM_Data)는 SHA와 같은 해쉬 함수로, VM_Data를 해쉬한 값이다.Here, VM_Data is actual data to be transmitted, and Hash (VM_Data) is a hash function such as SHA, and is a value obtained by hashing VM_Data.
목적 데이터 센터(200)의 물리 서버(270)는 전송된 가상 머신 데이터를 복호화할 수 있다(S158).The
예를 들면, 물리 서버(270)는 공유된 세션 키를 이용하여 전송된 가상 머신 데이터를 복호화할 수 있다. 예를 들면, 물리 서버(270)는 전송된 VM_Data_Tran을 복호화하여 VM_Data를 획득할 수 있다.For example, the
물리 서버(270)는 복호화된 가상 머신 데이터의 무결성을 확인할 수 있다(S159).The
예를 들면, 물리 서버(270)는 복호화된 가상 머신 데이터 VM_Data를 근원 데이터 센터(100)의 물리 서버(170)와 동일한 해쉬함수로 해쉬하여 해쉬 값을 획득하고, 계산한 해쉬 값과 근원 데이터 센터(100)의 물리 서버(170)로부터 전달된 해쉬 값을 비교하여, 가상 머신 데이터에 대한 무결성을 확인할 수 있다.For example, the
이상, 본 발명의 기술적 사상을 바람직한 실시예를 들어 상세하게 설명하였으나, 본 발명의 기술적 사상은 상기 실시예들에 한정되지 않고, 본 발명의 기술적 사상의 범위 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 여러 가지 변형 및 변경이 가능하다.As mentioned above, although the technical idea of the present invention has been described in detail with reference to a preferred embodiment, the technical idea of the present invention is not limited to the above embodiments, and having ordinary skill in the art within the scope of the technical idea of the present invention. Many modifications and variations are possible.
100: 근원 데이터 센터
110: 관리자 모듈
120: 가상 머신 모니터링 모듈
130: 데이터 센터
141-146: 가상 머신
160: 물리 노드
170, 171, 172: 물리 서버
200: 목적 데이터 센터
210: 관리자 모듈
220: 가상 머신 모니터링 모듈
230: 데이터 센터
241-246: 가상 머신
260: 물리 노드
270, 271, 272: 물리 서버
300: 물리 서버
310: 프로세서
330: 메모리
350: 통신 모듈
400: 가상 머신 마이그레이션 장치
410: 가상 머신 마이그레이션 요청 모듈
411: 사용자 동적 인증 모듈
415: 마이그레이션 요청 모듈
430: 가상 머신 마이그레이션 처리 모듈100: source data center
110: manager module
120: virtual machine monitoring module
130: data center
141-146: virtual machines
160: physical nodes
170, 171, 172: physical server
200: destination data center
210: manager module
220: virtual machine monitoring module
230: data center
241-246: virtual machines
260: physical node
270, 271, 272: physical server
300: physical server
310: processor
330: memory
350: communication module
400: virtual machine migration unit
410: virtual machine migration request module
411: user dynamic authentication module
415: migration request module
430: Virtual Machine Migration Processing Module
Claims (15)
상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터에서 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하기 위해 OTP(One Time Password) 기반의 사용자 인증을 수행하는 단계;
상기 근원 데이터 센터 및 상기 목적 데이터 센터 사이에 세션 키를 교환하는 단계;
상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계; 및
상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함하되,
상기 처리 인증을 수행하는 단계는,
상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각이 대응하는 제1 물리 서버 및 제2 물리 서버 각각과 상기 교환된 세션 키를 공유하기 위한 OTP 기반의 상호 인증 과정을 수행하는 단계를 포함하는, 가상 머신 마이그레이션 방법.
Obtaining a user authentication request for virtual machine migration;
Performing one time password (OTP) based user authentication to authenticate a user corresponding to the obtained user authentication request in a source data center and a destination data center corresponding to the virtual machine migration;
Exchanging a session key between the source data center and the destination data center;
Performing process authentication to process the virtual machine migration in each of the source data center and the destination data center using the exchanged session key; And
Based on the performed process authentication, transmitting virtual machine data from the origin data center to the destination data center,
Performing the process authentication,
Performing an OTP-based mutual authentication process for each of the source data center and the destination data center to share the exchanged session key with each of the corresponding first and second physical servers. Way.
상기 상호 인증 과정을 수행하는 단계는
상기 근원 데이터 센터가 상기 제1 물리 서버에, 상기 근원 데이터 센터의 ID 및 상기 근원 데이터 센터가 생성한 제1 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 1,
The step of performing the mutual authentication process
Sending, by the origin data center, an authentication request message including an ID of the origin data center and a first random number generated by the origin data center to the first physical server;
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 제1 물리 서버가, 상기 제1 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와,
상기 제1 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제1 물리 서버의 ID를 비교하여, 상기 근원 데이터 센터를 인증하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 3, wherein
The step of performing the mutual authentication process
Decrypting, by the first physical server, the transmitted authentication request message based on a time based one time password (TOTP) owned by the first physical server;
Authenticating, by the first physical server, the origin data center by comparing an ID of the physical server included in the decrypted authentication request message with an ID of the first physical server.
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 제1 물리 서버가, 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 포함하는 처리 인증 응답을 상기 근원 데이터 센터에 전송하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 4, wherein
The step of performing the mutual authentication process
Sending, by the first physical server, a process authentication response including the ID of the origin data center and the first random number to the origin data center;
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 근원 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와,
상기 근원 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 기초로, 상기 제1 물리 서버를 인증하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 5,
The step of performing the mutual authentication process
Decrypting, by the source data center, the transmitted process authentication response;
Authenticating, by the origin data center, the first physical server based on the first random number and the ID of the origin data center included in the decrypted process authentication response.
How to migrate a virtual machine.
상기 가상 머신 데이터를 전송하는 단계는
상기 근원 데이터 센터가, 상기 인증된 제1 물리 서버에 상기 세션 키를 공유하는 단계와,
상기 제1 물리 서버가, 상기 공유된 세션 키를 이용하여 상기 가상 머신 데이터를 암호화하는 단계와,
상기 제1 물리 서버가, 상기 암호화된 가상 머신 데이터를 상기 목적 데이터 센터에 전송하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 6,
The transmitting of the virtual machine data
Sharing, by the originating data center, the session key with the authenticated first physical server;
Encrypting, by the first physical server, the virtual machine data using the shared session key;
Sending, by the first physical server, the encrypted virtual machine data to the destination data center.
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 목적 데이터 센터가, 상기 제2 물리 서버에, 상기 목적 데이터 센터의 ID 및 상기 목적 데이터 센터가 생성한 제2 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 1,
The step of performing the mutual authentication process
Sending, by the destination data center, an authentication request message including an ID of the destination data center and a second random number generated by the destination data center to the second physical server.
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 제2 물리 서버가, 상기 제2 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와,
상기 제2 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제2 물리 서버의 ID를 비교하여, 상기 목적 데이터 센터를 인증하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 8,
The step of performing the mutual authentication process
Decrypting, by the second physical server, the transmitted authentication request message based on a time based one time password (TOTP) owned by the second physical server;
Authenticating, by the second physical server, the target data center by comparing an ID of the physical server included in the decrypted authentication request message with an ID of the second physical server.
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 제2 물리 서버가, 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 포함하는 처리 인증 응답을 상기 목적 데이터 센터에 전송하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 9,
The step of performing the mutual authentication process
Sending, by the second physical server, a process authentication response including the ID of the target data center and the second random number to the target data center.
How to migrate a virtual machine.
상기 상호 인증 과정을 수행하는 단계는
상기 목적 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와,
상기 목적 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 기초로, 상기 제2 물리 서버를 인증하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 10,
The step of performing the mutual authentication process
Decrypting, by the destination data center, the transmitted process authentication response;
Authenticating, by the target data center, the second physical server based on the ID and the second random number of the target data center included in the decrypted process authentication response.
How to migrate a virtual machine.
상기 가상 머신 데이터를 전송하는 단계는
상기 목적 데이터 센터가, 상기 인증된 제2 물리 서버에 상기 세션 키를 공유하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 11,
The transmitting of the virtual machine data
Sharing, by the destination data center, the session key to the authenticated second physical server
How to migrate a virtual machine.
상기 목적 데이터 센터가, 상기 전송된 가상 머신 데이터를 상기 공유된 세션 키를 이용하여 복호화하는 단계; 및
상기 목적 데이터 센터가, 상기 복호화된 가상 머신 데이터를 해쉬함수로 해쉬하여, 상기 전송된 가상 머신 데이터의 무결성을 확인하는 단계를 더 포함하는
가상 머신 마이그레이션 방법.
The method of claim 12,
Decrypting, by the destination data center, the transmitted virtual machine data using the shared session key; And
And checking, by the target data center, the decrypted virtual machine data with a hash function to verify the integrity of the transmitted virtual machine data.
How to migrate a virtual machine.
상기 근원 데이터 센터 및 목적 데이터 센터 사이에서 세션 키를 교환하는 단계는
SPEKE(Simple Password Exponential Key Exchange) 방식에 따라 상기 세션 키를 교환하는 단계를 포함하는
가상 머신 마이그레이션 방법.
The method of claim 1,
Exchanging a session key between the source data center and the destination data center
Exchanging the session key according to a Simple Password Exponential Key Exchange (SPEKE) scheme;
How to migrate a virtual machine.
상기 프로세서에 전기적으로 연결된 메모리를 포함하고,
상기 메모리는, 실행 시에, 상기 프로세서가,
가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하고,
OTP(One Time Password) 기반의 동적 인증을 통해 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하고,
상기 가상 머신 마이그레이션에 대응하는 목적 데이터 센터와 세션 키를 교환하고,
상기 교환된 세션 키를 이용하여, 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증-대응하는 물리 서버와 상기 교환된 세션 키를 공유하기 위한 OTP 기반의 인증 과정을 포함함-을 수행하고,
상기 수행된 처리 인증을 기초로, 상기 물리 서버가 상기 교환된 세션 키를 기초로 가상 머신 데이터를 암호화하여 상기 목적 데이터 센터로 전송하도록 하는 인스트럭션들을 저장하는
가상 머신 마이그레이션 장치.At least one processor; And
A memory electrically connected to the processor;
When the memory is executed, the processor,
Obtain user authentication requests for virtual machine migration,
Authenticating a user corresponding to the obtained user authentication request through OTP (One Time Password) based dynamic authentication,
Exchange session keys with a destination data center corresponding to the virtual machine migration,
Use the exchanged session key to perform process authentication for processing the virtual machine migration, including an OTP based authentication process for sharing the exchanged session key with a corresponding physical server,
Based on the performed process authentication, storing instructions that cause the physical server to encrypt virtual machine data based on the exchanged session key and transmit it to the destination data center.
Virtual machine migration device.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170108945A KR102029053B1 (en) | 2017-08-28 | 2017-08-28 | Virtual machine migration device and method thereof |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020170108945A KR102029053B1 (en) | 2017-08-28 | 2017-08-28 | Virtual machine migration device and method thereof |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20190023354A KR20190023354A (en) | 2019-03-08 |
KR102029053B1 true KR102029053B1 (en) | 2019-10-07 |
Family
ID=65800643
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020170108945A KR102029053B1 (en) | 2017-08-28 | 2017-08-28 | Virtual machine migration device and method thereof |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102029053B1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102175317B1 (en) * | 2020-07-02 | 2020-11-06 | 굿모닝아이텍(주) | Virtual Desktop Infrastructure |
KR102179185B1 (en) * | 2020-07-02 | 2020-11-17 | 굿모닝아이텍(주) | Server Management system |
KR102543749B1 (en) | 2023-02-17 | 2023-06-14 | 주식회사 헤카톤에이아이 | A Artificial Intelligence-Based Automation System for Data Lake Migration |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8892887B2 (en) * | 2006-10-10 | 2014-11-18 | Qualcomm Incorporated | Method and apparatus for mutual authentication |
KR100842267B1 (en) * | 2006-12-01 | 2008-06-30 | 한국전자통신연구원 | Server, Client and Method for integrated user authentication in a system of multi-authentication means |
US9537938B2 (en) * | 2014-09-23 | 2017-01-03 | Amazon Technologies, Inc. | Virtual desktop migration |
-
2017
- 2017-08-28 KR KR1020170108945A patent/KR102029053B1/en active IP Right Grant
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102175317B1 (en) * | 2020-07-02 | 2020-11-06 | 굿모닝아이텍(주) | Virtual Desktop Infrastructure |
KR102179185B1 (en) * | 2020-07-02 | 2020-11-17 | 굿모닝아이텍(주) | Server Management system |
KR102543749B1 (en) | 2023-02-17 | 2023-06-14 | 주식회사 헤카톤에이아이 | A Artificial Intelligence-Based Automation System for Data Lake Migration |
KR102569185B1 (en) | 2023-02-17 | 2023-08-22 | 주식회사 헤카톤에이아이 | Data Lake Transfer Method Using Artificial Intelligence-Based Automation System for Data Lake Transfer |
Also Published As
Publication number | Publication date |
---|---|
KR20190023354A (en) | 2019-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11563567B2 (en) | Secure shared key establishment for peer to peer communications | |
JP6684930B2 (en) | Blockchain-based identity authentication method, device, node and system | |
US10142297B2 (en) | Secure communication method and apparatus | |
EP3248310B1 (en) | Method, apparatus, and system for quantum key distribution | |
JP5860815B2 (en) | System and method for enforcing computer policy | |
US9043598B2 (en) | Systems and methods for providing secure multicast intra-cluster communication | |
US20200358764A1 (en) | System and method for generating symmetric key to implement media access control security check | |
CN105873031B (en) | Distributed unmanned plane cryptographic key negotiation method based on credible platform | |
US20080162934A1 (en) | Secure transmission system | |
US10601590B1 (en) | Secure secrets in hardware security module for use by protected function in trusted execution environment | |
US11799844B2 (en) | Secure communication network | |
CN108809907B (en) | Certificate request message sending method, receiving method and device | |
Kaur et al. | A secure two-factor authentication framework in cloud computing | |
WO2022100356A1 (en) | Identity authentication system, method and apparatus, device, and computer readable storage medium | |
KR102029053B1 (en) | Virtual machine migration device and method thereof | |
JP6972145B2 (en) | Programmable Hardware Security Modules and Methods Used for Programmable Hardware Security Modules | |
US10797888B1 (en) | Methods for secured SCEP enrollment for client devices and devices thereof | |
US20170295142A1 (en) | Three-Tiered Security and Computational Architecture | |
JP2016220062A (en) | Communication device, server, signature verification commission system, and signature verification commission method | |
CN113206815A (en) | Method for encryption and decryption, programmable switch and computer program product | |
US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
CN114189370A (en) | Access method and device | |
CN114363077A (en) | Management system based on safety access service edge | |
US11777922B2 (en) | Autonomous multi-factor authentication | |
US20230239138A1 (en) | Enhanced secure cryptographic communication system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
X701 | Decision to grant (after re-examination) | ||
GRNT | Written decision to grant |