KR102206847B1 - 하이브리드 보안 시스템 및 통합보안방법 - Google Patents

하이브리드 보안 시스템 및 통합보안방법 Download PDF

Info

Publication number
KR102206847B1
KR102206847B1 KR1020190087186A KR20190087186A KR102206847B1 KR 102206847 B1 KR102206847 B1 KR 102206847B1 KR 1020190087186 A KR1020190087186 A KR 1020190087186A KR 20190087186 A KR20190087186 A KR 20190087186A KR 102206847 B1 KR102206847 B1 KR 102206847B1
Authority
KR
South Korea
Prior art keywords
security
hybrid
policy
client
integrated
Prior art date
Application number
KR1020190087186A
Other languages
English (en)
Inventor
이주완
이기욱
Original Assignee
메가존클라우드 주식회사
김완중
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 메가존클라우드 주식회사, 김완중 filed Critical 메가존클라우드 주식회사
Priority to KR1020190087186A priority Critical patent/KR102206847B1/ko
Application granted granted Critical
Publication of KR102206847B1 publication Critical patent/KR102206847B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Artificial Intelligence (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

클라우드와 IDC((Internet Data Center)를 통합한 하이브리드(hybrid) 환경에서 내부 보안 업무 운영에 필요한 통합보안기능 및 통합 보안정책을 제공한다. 또한, 통합보안관리, 통합보안모니터링, 통합보안진단, 통합보안 감사, 통합보안관제 등의 서비스를 위한 하이브리드 보안 시스템 및 통합보안방법을 제공한다. 아울러, 사용자와 자원 별 접근제어가 가능한 하이브리드 보안시스템을 제공한다. 실시예에 따른 하이브리드 보안 시스템 및 통합보안 방법을 통해 이원화된 하이브리드 인프라 환경에서 효율적이고 신속한 보안 업무 처리를 가능하게 한다. 또한, 클라우드에 특화된 보안관리 및 진단 서비스를 제공하여 기존 보안 시스템보다 월등한 시간 및 데이터 처리 효율을 제공할 수 있다. 아울러, 실시예를 통해 네트워크 통합 접근제어 시스템을 제공하여 보안과 인증 데이터 효율을 향상 시키고, 자원 별 접근제어를 가능하게 하여, 일상적인 포탈의 업무처리 수준으로 클라우드 IDC 시스템에서 인증 심사 대응이 가능하도록 한다.

Description

하이브리드 보안 시스템 및 통합보안방법 {SYSTEM AND METHOD FOR HYBRID SECURITY}
클라우드 컴퓨팅 시스템의 보안 시스템 및 보안 방법에 관한 것으로 구체적으로, 통합보안정책과 연계된 통합보안기능을 제공하는 하이브리드 보안 시스템 및 통합보안방법에 관한 것이다.
본 명세서에서 달리 표시되지 않는 한, 이 섹션에 설명되는 내용들은 이 출원의 청구항들에 대한 종래 기술이 아니며, 이 섹션에 포함된다고 하여 종래 기술이라고 인정되는 것은 아니다.
클라우드 컴퓨팅은 모든 소프트웨어 및 데이터는 클라우드IDC(Internet Data Center) 에 저장되고 네트워크 접속이 가능한 PC나 휴대폰, PDA 등의 다양한 단말기를 통해 장소 제한 없이 원하는 작업을 수행할 수 있는 컴퓨팅 기술이다 즉, 개인 PC나 기업의 서버에 개별적으로 저장해 두었던 프로그램이나 문서를 인터넷으로 접속할 수 있는 대형 컴퓨터에 저장하고, 개인 PC는 물론이고 모바일 등 다양한 단말기로 웹 브라우저 등 필요한 애플리케이션을 구동해 원하는 작업을 수행할 수 있는 이용자 중심의 컴퓨팅 환경이다.
이러한 클라우드 컴퓨팅 환경에서는 서버와 데이터베이스(Database) 같은 인프라 자원이 사용자의 데이터 사용량에 비례하여 동적으로 증가 또는 감소될 수 있으며, 자동화되는 서버와 데이터베이스에 대한 보안관리 역시 동적으로 관리되어야 하는 필요성이 늘어나게 된다.
클라우드와 IDC를 통합한 하이브리드 환경에서는 사용자가 접근할 수 있는 데이터와 서버가 무한대로 늘어나는 만큼 사용자 인증과 보안 과정이 필수적이다. 종래 IDC 환경에 특화된 보안은 서버와 데이터베이스 접근제어 시스템, 사용자 인증 시스템, 보안 시스템 접근 관제와 보안 감사 시스템, 등을 제공해 왔다.
하지만, 종래 보안관제 시스템은 IDC 와 클라우드가 통합된 환경에서 이용하는데 불편이 많다. 예컨대, 종래 보안 시스템들은 클라우드 환경에서 요구되는 인프라 자원에 대한 자동화된 보안 관리 요구를 충족시키지 못하며 IDC와 클라우드 자원을 이원화하여 관리하기 때문에 비효율적이고 고비용의 보안 운영체계 등의 많은 문제가 있다.
1. 한국 특허등록 제 10-1270743호(2013.05.28) 2. 한국 특허등록 제 10-1563223호(2015.10.20)
클라우드와 IDC(Internet Data Center)를 통합한 하이브리드(hybrid) 환경에서 내부 보안 업무 운영에 필요한 통합보안기능 및 통합 보안정책을 제공한다. 또한, 통합보안인증, 통합보안관리, 통합보안모니터링, 통합보안진단, 통합보안 감사, 통합보안 관제, 통합보안 업무처리 등의 서비스를 위한 하이브리드 보안 시스템 및 통합보안방법을 제공하며, 사용자와 자원 별 접근제어가 가능한 하이브리드 보안시스템을 제공한다. 아울러, 통합보안을 구현함에 있어서 계층화(hierarchy)와 상속(inherit)의 속성을 사용하여 종래 보안 방식에서는 제공하지 못했던 매우 효율적인 보안운영 방법을 제공한다.
실시 예에 따른 하이브리드 보안시스템은 클라우드 환경에서 클라이언트의 접근제한 및 보안이 요구되는 자원을 저장하고 공유하는 하이브리드 인프라; 접속권한을 부여하는 인터넷 계정을 관리하는 하이브리드 계정 관리유닛; 보안 자원에 따라 클라이언트의 접근을 제어하는 하이브리드 접근제어 게이트웨이; 클라우드와 IDC(Internet Data Center)가 결합된 하이브리드 환경에서 접속요청자, 접속시간, 접속목적, 접근하려는 보안자원, 접근 방식, 접속요청자 장소 정보를 포함하는 미리 정의된 통합보안정책을 이용하여 사용자 및 자원 별 통합보안기능을 제공하는 하이브리드 보안서버; 및 하이브리드 보안서버에서 상기 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 클라우드로 접근하는 클라이언트; 를 포함한다.
다른 실시예에 따른 클라이언트, 하이브리드 보안서버, 하이브리드 인프라, 하이브리드 접근제어 게이트웨이, 하이브리드 계정관리 유닛 및 보안자원을 포함하는 하이브리드 보안시스템의 통합보안방법은 (A) 클라이언트가 보안자원으로 접근을 요청하는 단계; (B) 하이브리드 보안서버는 클라우드와 IDC(Internet Data Center)가 결합된 하이브리드 환경에서 접속요청자, 접속시간, 접속목적, 접근하려는 보안자원, 접근 방식, 접속요청자 장소 정보를 포함하는 정의된 통합보안정책을 이용하여 상기 사용자 및 자원 별 통합보안기능을 제공하는 단계; (C) 클라우드는 하이브리드 보안서버에서 하이브리드 보안 정책에 의한 인증 절차가 정상적으로 완료된 경우, 보안 자원 별 상기 클라이언트의 접근 통제 또는 허용을 시작하는 단계; 및 (D) 통합보안정책에 따라 접근처리 후 사용자 접속 상태를 사용자 상세 정보와 함께 보안정책으로 연계하는 단계; (E) 머신러닝(machine learning)에 의해 관제 대상을 추출하고, 관제 대상 모니터링 후 이상신호를 파악하는 단계; 를 포함한다.
실시예에 따른 하이브리드 보안 시스템 및 통합보안 방법을 통해 이원화된 하이브리드 인프라 환경에서 효율적이고 신속한 보안 업무 처리를 가능하게 한다.
또한, 클라우드에 특화된 보안관리 및 진단 서비스를 제공하여 기존 보안 시스템보다 월등한 시간 및 보안업무 처리 효율성을 제공할 수 있다.
아울러, 실시예를 통해 네트워크 통합 접근제어 시스템을 제공하여 보안과 인증 데이터 효율을 향상 시키고, 자원 별 접근제어를 가능하게 하여, 일상적인 포탈의 업무처리 수준으로 클라우드 IDC 시스템에서 인증 심사 대응이 가능하도록 한다.
본 발명의 효과는 상기한 효과로 한정되는 것은 아니며, 본 발명의 상세한 설명 또는 특허청구범위에 기재된 발명의 구성으로부터 추론 가능한 모든 효과를 포함하는 것으로 이해되어야 한다.
도 1은 실시예에 따른 하이브리드 보안 시스템의 구성을 나타낸 도면
도 2는 실시예에 따른 하이브리드 보안 시스템의 보다 상세한 구성을 나타낸 도면
도 3은 실시예에 따른 통합 계정 연계 클라이언트의 인증 처리 과정을 나타낸 신호 흐름도
도 4는 실시예에 따른 보안 자원 접근 통제를 위한 하이브리드 보안 시스템에서의 데이터 처리를 나타낸 신호 흐름도
도 5는 실시예에 따른 보안자원 별 인증을 위한 데이터 처리 흐름을 나타낸 신호흐름도
도 6은 실시예에 따른 하이브리드 보안 시스템의 보안자원 별 명령어 통제를 위한 데이터 처리 흐름을 나타낸 신호 흐름도
도 7은 실시예에 따른 하이브리드 보안시스템의 통합보안관제 수행을 위한 데이터 처리 흐름을 나타낸 도면
도 8은 실시예에 따른 보안 통합을 위한 계층화 처리 방법을 설명하기 위한 도면
도 9는 실시예에 따른 통합 보안 정책 계층화 정의에 따른 적용방법을 설명하기 위한 도면
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 실시예에 따른 하이브리드 보안 시스템의 구성을 나타낸 도면이다.
도 1을 참조하면, 실시예에 따른 하이브리드 보안 시스템은 보안 클라이언트(100), 하이브리드 보안서버(200), 하이브리드 인프라, 하이브리드 접근제어 게이트웨이, 보안자원 및 하이브리드 계정관리 유닛을 포함하여 구성될 수 있다. 본 명세서에서 사용되는 '유닛' 이라는 용어는 용어가 사용된 문맥에 따라서, 소프트웨어, 하드웨어 또는 그 조합을 포함할 수 있는 것으로 해석되어야 한다. 예를 들어, 소프트웨어는 기계어, 펌웨어(firmware), 임베디드코드(embedded code), 및 애플리케이션 소프트웨어일 수 있다. 또 다른 예로, 하드웨어는 회로, 프로세서, 컴퓨터, 집적 회로, 집적 회로 코어, 센서, 멤스(MEMS; Micro-Electro-Mechanical System), 수동 디바이스, 저장장치 또는 그 조합이 될 수 있고, 독립적으로 데이터 처리 및 저장을 수행하는 정보처리 장치가 될 수 있다.
클라이언트(100)는 실시예에 따른 하이브리드 보안 서버(200)를 통해 클라우드와 IDC가 결합된 컴퓨팅 환경에서 보안자원으로의 접근을 요청한다.
하이브리드 보안 서버(200)는 클라이언트(100)와 보안 자원 별 통합인증 정책에 따라 클라이언트의 인증을 수행하고 인증과정이 정상적으로 완료된 경우, 보안자원으로의 접근을 허용한다. 실시예에서 하이브리드 보안 서버(200)는 패스워드 또는 암호코드에 의한 1차, 2차인증 및 통한보안정책을 반영한 인증과정, 보안 자원 별 명령어 분석을 통한 인증과정 등을 수행하여 클라이언트에 따라 보안자원 별 접근을 통제 할 수 있다.
하이브리드 인프라는 클라우드 환경에서 클라이언트의 접근 제한 및 보안이 요구되는 자원을 저장하고 공유하는 서버 또는 저장장치이고, 하이브리드 계정관리 유닛은 클라우드의 다양한 계정을 관리하는 독립적인 데이터 처리 장치이다.
하이브리드 접근제어 게이트웨이는 클라이언트와 클라이언트 별 인증결과 및 통합보안 정책에 따라 보안자원으로의 접근을 제어한다.
실시예를 통한 하이브리드 보안 시스템은 클라우드와 IDC(Internet Data Center)를 통합한 하이브리드(hybrid) 환경에서 내부 보안 업무 운영에 필요한 통합보안기능 및 통합 보안정책을 제공한다. 또한, 통합보안관리, 통합보안모니터링, 통합보안진단, 통합보안 감사, 통합보안관제 등의 서비스를 위한 하이브리드 보안 시스템을 통해 클라이언트 및 자원 별 접근제어 기능을 제공할 수 있도록 한다.
도 2는 실시예에 따른 하이브리드 보안 시스템의 보다 상세한 구성을 나타낸 도면이다.
도 2를 참조하면, 실시예에 따른 하이브리드 보안 시스템은 보안클라이언트(100), 하이브리드 보안서버(200), 하이브리드 인프라(300), 하이브리드 접근제어 게이트웨이(400), 보안자원(500) 및 하이브리드 계정관리 유닛(600)을 포함하여 구성될 수 있다.
보안 클라이언트(100)는 앱 관리자 전용 클라이언트(110), 웹브라우저(120) 및 관리자 접속 어플리케이션(130)을 포함하여 구성될 수 있고, 앱 관리자 전용 클라이언트(110)는 HTTP 클라이언트 모듈(111), 암호화 처리모듈(112) 및 인증 클라이언트 모듈(113)을 포함하여 구성될 수 있고, 웹브라우저(120)는 HTTP 클라이언트 모듈(121), 암호화 처리모듈(122) 및 인증 클라이언트 모듈(123)을 포함하여 구성될 수 있다.
실시예에 따른 하이브리드 보안서버(200)는 보안모듈(220), 보안서비스모듈(230), 보안업무처리모듈(240), 보안관제, 로그관리 모듈(250), 인프라 통신모듈(260), 접근제어 통신모듈(270), 인증 계정통신모듈(280) 및 알림 통신모듈(290), 보안서비스 데이터베이스(201), 보안업무처리 데이터베이스(202) 및 보안 관제/로그 데이터베이스(203)를 포함하여 구성될 수 있다. 본 명세서에서 사용되는 '모듈' 이라는 용어는 용어가 사용된 문맥에 따라서, 소프트웨어, 하드웨어 또는 그 조합을 포함할 수 있는 것으로 해석되어야 한다. 예를 들어, 소프트웨어는 기계어, 펌웨어(firmware), 임베디드코드(embedded code), 및 애플리케이션 소프트웨어일 수 있다. 또 다른 예로, 하드웨어는 회로, 프로세서, 컴퓨터, 집적 회로, 집적 회로 코어, 센서, 멤스(MEMS; Micro-Electro-Mechanical System), 수동 디바이스, 또는 그 조합일 수 있다.
하이브리드 인프라(300)는 IDC(Internet Data Center)(301), 공용 클라우드(public cloud)(302) 및 개별 클라우드(private cloud)(303)를 포함하여 구성될 수 있다. 하이브리드 접근제어 게이트웨이(400)는 시스템 접근제어부(401), DB 접근제어부(402), 네트워크 접근제어부(403) 및 클라우드 콘솔(404)를 포함하여 구성될 수 있다. 하이브리드 계정 관리유닛(600)은 액티브 디렉터리(Active Directory)(601), 외부계정 데이터베이스(602) 및 클라우드 계정관리부(603)를 포함하여 구성될 수 있다. 보안자원(500)은 서버(501), 데이터베이스(502), 방화벽(503) 및 클라우드 콘솔(504)을 포함하여 구성될 수 있다.
하이브리드 보안서버(200)는 클라우드와 IDC(Internet Data Center)가 결합된 하이브리드 환경에서 클라우드로 접근하려는 클라이언트에게 클라이언트의 접속 시각, 신원, 접속이유, 접근 방식, 접근 희망 데이터 및 접속 이력에 따라 추출된 통합보안정책을 이용하여 클라우드에 대한 사용자 및 자원 별 통합보안기능을 제공한다.
보안 클라이언트(100)는 하이브리드 보안서버에서 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 보안자원(500)으로 접근할 수 있다.
보안서버(200)의 통합보안정책모듈(234)은 클라이언트의 접속 시각, 신원, 접속이유, 접근 방식, 접근 희망 데이터 및 접속 이력에 따라 클라이언트 별 통합보안정책을 추출하고, 추출된 통합보안정책에 따라 보안자원으로의 통합 보안정책을 생성한다. 예컨대, 클라이언트에 대한 6하원칙 정보를 파악하고, 파악된 정보를 기반으로 통합보안정책을 추출하여 보안자원으로의 접근 제어를 수행할 수 있도록 한다. 구체적으로 6하원칙 정보는 접속요청자, 접속시간, 접속목적, 접근하려는 보안자원, 접근 방식, 접속요청자 장소 등이 될 수 있다.
통합관제 관리모듈(251)은 클라이언트의 통신 이력 및 클라이언트의 식별이력을 관리한다.
인프라 통신모듈(260)은 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 하이브리드 인프라와 클라이언트를 보안 접속시킨다.
접근제어 통신모듈(270)은 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 시스템, 데이터베이스, 네트워크, 클라우드 콘솔을 포함하는 하이브리드 접근제어 게이트웨이(400)와 클라이언트를 보안 접속시킨다.
인증/계정 통신모듈(280)은 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 하이브리드 계정관리 유닛(600)과 클라이언트를 보안 접속시킨다.
도 3은 실시예에 따른 통합 계정 연계 클라이언트의 인증 처리 과정을 나타낸 신호 흐름도이다.
S10 단계에서는 웹브라우저 앱 관리자 전용 클라이언트(110)에서 클라이언트 인증 요청을 시작한다. S11 단계에서는 접속자 계정 및 1차 패스워드를 입력하고, S12 단계에서는 1차 패스워드와 암호와 처리 데이터를 하이브리드 보안서버 (200)로 전송한다.
웹브라우저(120)는 하이브리드 보안서버(200)로 통합보안 정책 중 클라이언트 계정 별 인증정책을 입력받고, 1차 패스워드 및 SHA 256 암호화 데이터를 처리 후 저장하여 하이브리드 보안서버(200)로 전송한다. S35 단계에서는 하이브리드 보안서버(200)에서 웹브라우저(120)로부터 전달받은 데이터를 통합보안정책에 반영시킨다. 이후, S40 단계에서 하이브리드 계정관리 유닛(600)은 계정동기화 처리를 수행하고 이를 하이브리드 보안 서버(200)에 통지하여 S45 단계에서 하이브리드 보안서버가(45) 주기적으로 계정을 동기화 처리 하도록 한다. S50 단계에서는 하이브리드 보안서버(200)에서 계정동기화 되면 하이브리드 접근제어 게이트웨이(400)에서도 보안계정이 동기화 되도록 한다.
S15 단계에서는 하이브리드 보안서버(200)에서 웹브라우저 앱 관리자 전용 클라이언트(110)로부터 1차 패스워드 및 암호화 데이터를 전달받아 보안인증 처리를 시작한다.
S17 단계에서는 하이브리드 보안서버(200)에서 수신 계정에 대한 통합 보안 정책 확인 및 1차 인증 처리를 수행하고, S19 단계에서는 1차 인증 처리가 정상적으로 완료된 이후 클라이언트에 대한 통합인증정책을 확인하고, 2차 인증을 확인한다. 2차 인증이 정상적으로 수행된 경우, S21 단계로 진입하여 하이브리드 보안서버(200)에서 클라이언트(110)로 2차 인증 값을 요청하고, S19 단계에서 2차 인증확인이 정상적으로 종료되지 않은 경우, S12 단계로 다시 진입한다. S23 단계에서는 2차 인증 OTP 패스워드를 입력받아 하이브리드 보안서버(200)로 전송하고, S25 단계에서는 하이브리드 보안서버(200)에서 2차 인증 확인 후 결과를 클라이언트(110)에게 전송한다.
S27 단계에서 클라이언트(110)는 하이브리드 보안 서버(200)로부터 인증 결과를 수신한 후 클라이언트 인증 요청을 종료하고, S29 단계에서 하이브리드 보안서버(200)는 클라이언트 인증 처리 요청을 종료한다. 이후, S31 단계에서 클라이언트(110)는 보안자원 접근 요청을 시작하고, S33 단계에서는 하이브리드 보안서버(200)에서 보안자원 접근 통제를 시작한다.
도 4는 실시예에 따른 보안 자원 접근 통제를 위한 하이브리드 보안 시스템에서의 데이터 처리를 나타낸 신호 흐름도이다.
도 4를 참조하면, S40 단계에서 클라이언트(110)는 보안 자원 접근 요청을 개시하고, S41 단계에서 보안자원에 대한 접근을 요청 신호를 하이브리드 접근제어 게이트웨이(400)로 전송한다.
하이브리드 인프라(300)는 S44 단계에서 보안자원을 동기화 처리하고, 하이브리드 보안 서버(200)는 S43 단계에서 변경된 보안정책에 대해 동기화 처리를 수행한다. 실시예에 따라 S43 단계와 S44 단계는 하이브리드 보안 서버(200)와 하이브리드 인프라(300)가 연동되어 동시에 수행될 수 있다. 웹브라우저(120)는 S45 단계에서 통합 보안 정책 중 계정 별 인가 정책을 입력받아 하이브리드 보안서버(200)으로 전송하고, S46 단계에서는 하이브리드 보안서버(200)에서 웹브라우저로부터 입력 받은 계정 별 인가 정책을 통합 보안 정책에 반영한다.
S47 단계에서는 하이브리드 보안서버(200)에서 접근 통제 정책을 동기화 처리한다. S48 단계에서는 하이브리드 접근제거 게이트웨이(400)에서도 접근 통제 정책을 동기화 한다. 이후 S49 단계에서 하이브리드 접근제어 게이트웨이(400)는 클라이언트(110)로부터 전달받은 접근요청을 통해 접근 통제 정책을 확인한다. 클라이언트 별 접근 통제 정책이 정상적으로 확인된 경우, S50 단계에서 하이브리드 접근제어 게이트웨이(400)는 요청보안자원에 대한 접근 통제를 수행하고 수행결과를 클라이언트(110)에게 전송한다. 만일 S49 단계에서 클라이언트와 보안자원 별 접근 통제 확인 정상적으로 수행되지 않은 경우, S48 단계로 다시 진입하여 접근통제 정책 동기화 과정을 다시 수행한다.
S52 단계에서 클라이언트(110)는 보안자원 접근 요청을 종료하고, S53 단계에서는 하이브리드 보안 서버에서 보안자원의 접근 처리를 종료한다.
이후 S54 단계에서는 클라이언트(110)에서 보안자원 별 인증 요청을 시작하고, S55 단계에서는 하이브리드 보안서버(200)에서 보안자원 별 인증 처리를 시작한다.
도 5는 실시예에 따른 보안자원 별 인증을 위한 데이터 처리 흐름을 나타낸 신호흐름도이다.
도 5를 참조하면, S60 단계에서 웹브라우저(120)는 통합보안정책 중 보안 자원 별 계정 인증정책을 입력받아 하이브리드 보안서버(200)로 전송하고, S62 단계에서 하이브리드 보안서버(200)는 수신한 보안자원 별 계정 인증정책 정보를 통합 보안정책에 반영한다. S61 단계에서는 웹브라우저(120)에서 보안자원 별 계정 및 패스워드 목록을 입력받아 하이브리드 보안 서버(200)으로 전송한다. S63 단계에서 하이브리드 보안서버(200)는 수신한 보안자원 별 계정 및 패스워드 정보를 반영한다. 이후 S64 단계에서는 입력 패스워드를 AES (Advanced Encryption Standard) 암호화 처리 한 후 데이터베이스에 저장한다. S65 단계에서는 하이브리드 보안서버(200)에서 보안 자원 별 계정 및 패스워드 목록을 동기화 처리한다. 이때, S66 단계에서는 하이브리드 접근제어 게이트웨이(400)에서도 보안자원 별 계정 및 패스워드 목록을 동기화 처리 하도록 한다. S70 단계에서는 관리자 접속 어플리케이션(130)에서 보안자원 별 인증요청을 시작하고, S71 단계에서는 접속자 계정 및 1차 패스워드를 입력 받는다. S73 단계에서는 관리자 접속 어플리케이션(130)에서 웹브라우저(120)로 1차 패스워드를 전송한다. S74 단계에서는 하이브리드 접근제어 게이트웨이(400)에서 관리자 접속 어플리케이션(130)으로부터 전달받은 보안자원에 대해 1차 인증 처리를 대행한다.
S75 단계에서는 클라이언트가 접근하려는 보안자원(500)에서 1차 인증 처리를 수행하고, S76 단계에서 인증정책 및 2차 인증 확인을 수행한다. S76 단계에서 2차 인증 확인이 정상적으로 완료되면 S77 단계로 진입하여 관리자 접속 어플리케이션(130)으로 2차 인증 값을 요청한다. 만일 S76 단계에서 2차 인증 확인이 정상적으로 수행되지 않은 경우 S75 단계로 다시 이동한다.
S78 단계에서는 관리자 접속 어플리케이션(130)에서 2차인증 OTP 패스워드를 입력받아 보안자원(500)으로 전송한다.
S79 단계에서는 보안자원(500)에서 관리자 접속 어플리케이션(130)로부터 전송된 2차 인증 값으로 인증 확인 후 인증 결과를 관리자 접속 어플리케이션(130)으로 전송한다.
S80 단계에서는 관리자 접속 어플리케이션(130)에서 보안자원 인증 처리가 종료되고 S81 단계에서는 보안자원 별 명령어 처리 요청을 시작한다.
S82 단계에서는 하이브리드 보안서버(200)에서 보안자원 별 명령어 통제를 시작한다.
도 6은 실시예에 따른 하이브리드 보안 시스템의 보안자원 별 명령어 통제를 위한 데이터 처리 흐름을 나타낸 신호 흐름도이다.
도 6을 참조하면, S90 단계에서는 관리자 접속 어플리케이션(130)에서 보안자원 별 명령어 처리 요청을 시작한다. S91 단계에서는 웹브라우저(120)에서 통합보안 정책 중 보안자원 별 금지 명령어 목록을 입력받아 하이브리드 보안서버(200)으로 전송한다.
S92 단계에서는 웹브라우저(91)로부터 전송된 보안자원 별 금지 명령어 목록을 통합 보안정책에 반영한다. S93 단계에서는 하이브리드 보안서버(200) 보안자원 별 금지 명령어 목록을 통기화 처리하고 S94 단계에서는 하이브리드 접근제어 게이트웨이(400)에서 보안자원 별 계정 및 패스워드 목록을 동기화 처리한다.
S95 단계에서는 관리자 접속 어플리케이션(130)에서 하이브리드 접근제어 게이트웨이(400)로 입력 받은 명령어를 전송하면, S96 단계에서 하이브리드 접근제어 게이트웨이(400)는 관리자 접속 어플리케이션(130)로부터 전달받은 명령어의 보안검사를 수행한다.
S97 단계에서는 하이브리드 접근제어 게이트웨이(400)에서 보안검사 결과에 따라 명령어 통제 여부를 결정한다. S97 단계에서 명령어가 통제되지 않는 것으로 판단되는 경우, S98 단계로 진입하여 보안자원(500)으로 입력 명령을 전달한다. S99 단계에서는 보안자원(500)에서 하이브리드 접근제어 게이트웨이(400)으로부터 전달받은 입력 명령을 수행하고 S100 단계에서 보안자원(500)은 수행 명령 결과값을 관리자 접속 어플리케이션(130)으로 전송한다. S97 단계에서 하이브리드 접근제어 게이트웨이(400)에서 명령어 통제가 수행되는 것으로 판단된 경우, 다시 S96 단계로 진입하여 명령어 보안 검사를 다시 수행한다.
S100 단계에서는 보안자원(500)에서 입력명령 수행 후 수행명령 결과값을 관리자 접속 어플리케이션(130)으로 전송한다.
S101 단계에서는 관리자 접속 어플리케이션(130)에서 보안자원(500)으로부터 수행명령 결과값 수신 이후, 보안 자원 별 명령어 처리 요청을 종료한다.
S102 단계에서는 하이브리드 보안 서버(200)에서 보안 자원 별 명령어 통제를 종료 시킨다.
도 7은 실시예에 따른 하이브리드 보안시스템의 통합보안관제 수행을 위한 데이터 처리 흐름을 나타낸 도면이다.
도 7을 참조하면, 하이브리드 보안서버(200)은 S713 단계에서 통합 계정 정보를 유지하고 이를 하이브리드 계정관리 유닛(600)으로 전달해 업데이트 시킨다. S175 단계에서는 하이브리드 인프라(300)와 하이브리드 보안서버(200)에서 보안자원 정보를 유지한다. S717 단계에서는 웹브라우저(120)에서 관리자로부터 보안정책을 입력받고 S718 단계에서 하이브리드 보안서버(200)에서는 입력된 보안정책에 따라 계정 별 통합 보안정책을 유지 시킨다. S719 단계에서는 웹브라우저(120)에서 관리자에 의해 관제 기본 정책을 입력 받으면, 이를 하이브리드 보안서버(200)로 전달하고, S720 단계에서 하이브리드 보안 서버(200)는 관제 분류 및 알림 정책을 처리한다. S721 단계에서 웹브라우저(120)는 관제 및 알림 결과를 피드백하고 이를 하이브리드 보안서버(200)로 전송한다. S722 단계에서 하이브리드 보안서버(200)는 피드백을 수신하여 이를 학습하고(machine learning) 학습결과에 따라 관제 정책을 재 수립한다. 실시예에서 S722 단계는 머신 러닝을 통해 관제 정책을 재 수립하기 위해, 웹 브라우저에서의 접속 실패, 금칙어 입력, 계층별 보안정책 충돌 오류 등 관제 정책 수립 과정에서 발생하는 오류를 수집하고 수집된 오류 데이터를 분석한다. 이후, 하이브리드 보안서버에 분석된 오류 데이터를 피드백 하여 보안 관제 정책에 반영되도록 한다. 실시예에서는 하이브리드 보안 서버는 오류 분석 데이터 피드백 과정을 수차례 반복하는 머신 러닝 과정을 통해, 보안정책을 업데이트 및 재 수립할 수 있다. 이를 통해 하이브리드 보안 서버는 보안정책 수립 시 발생되는 오류를 학습하게 되어 계층별 보안 정책의 충돌 및 접속실패 등의 오류 발생을 경감시켜 나갈 수 있다.
S723 단계에서는 하이브리드 보안서버(200)에서 관제정보를 요청한다. S724 단계에서는 하이브리드 접근 제어 게이트웨이(400)에서 관제정보를 하이브리드 보안서버(200)으로 제공하고, S723 단계에서는 하이브리드 보안서버(200)에서 관제정보를 수집한다.
S725 단계에서는 하이브리드 보안 서버(200)에서 S713 단계의 통합계정 정보, S718 단계의 계정 별 통합 보안정책 및 S720 단계의 관제 분류 및 알림 정책을 수집하여, 수집된 계정, 자원, 보안정책을 연계한 통합 관제 정보를 제공한다.
S727 단계에서는 하이브리드 보안서버(200)에서 계정, 자원, 보안정책이 연계된 통합 관제 정보에 따라 관제 이상여부를 파악하고 이상여부를 알림을 판단한다. S727 단계에서 관제를 알리는 것으로 판단된 경우, S729 단계로 진입하여 하이브리드 보안 서버(200)에서 관제 알림 정책에 따라 관리자 별로 알림을 관리자의 스마트 단말(140)로 전송한다. 만일 S727 단계에서 관제를 알리지 않는 것으로 판단된 경우, S721 단계로 진입하여 웹브라우저(120)에서 관제 및 알림 결과를 다시 피드백 하도록 한다.
도 8은 실시예에 따른 보안 통합을 위한 계층화 처리 방법을 설명하기 위한 도면이다.
도 8을 참조하면, 실시예에서는 통합보안정책에 따라 접근처리 후 사용자 접속 상태를 사용자 상세 정보와 함께 보안정책으로 연계하기 위해, 계층적인 데이터 분석 방법을 이용할 수 있다. 예컨대, 통합보안정책에 따라 접근처리 후 사용자 접속 상태를 사용자 상세 정보와 함께 보안정책으로 연계하기 위해, 1차로 보안자원이 배치된 위치를 구분하고, 보안자원의 배치 위치 구분 이후, 2차로 보안자원의 유형을 구분하고, 3차로 보안자원의 특성을 공유하는 고유 그룹을 구분한 이후, 1,2,3 차 구분 결과 대응되는 보안정책을 선택 할 수 있다. 즉, 보안 자원, 보안 자원유형, 보안정책 특성을 계층화 하고 이에 따라 순차적으로 보안정책을 필터링 하거나, 순차적으로 보안정책을 추출하여 통합보안정책으로 연계하고 이를 관제 알림에 이용할 수 있도록 한다. 또한, 1차 구분과정에서 추출된 보안 정책 중 2차 구분 후 보안정책을 선택하고, 2차 구분에서 추출된 보안 정책 중 3차 구분 후 보안정책을 선택하는 과정에 따라 보안 정책 추출 범위를 계층화 과정과 함께 축소시킴으로써, 보안정책을 선택하는 데이터 처리 효율을 향상시킬 수 있도록 한다.
실시예에서 보안자원이 배치된 위치를 구분하는 1차 단계는 보안자원이 공용클라우드(Public Cloud), 개인 클라우드(Private Cloud), IDC 등 어떤 저장 공간에 배치되었는지 구분하고, 배치된 위치에 대응하는 정책을 선택한다. 실시예에서 보안자원의 배치 위치 구분은 계층화 처리의 첫 단계로, 보안자원의 배치 위치에 따라 PolicyIDC, PolicyAWS, PolicyVMware, PolicyHybrid, PolicyPortal, PolicyPassword 등의 정책 중 하나가 선택될 수 있다.
보안자원의 배치 위치 구분 이후, 실시예에서는 2차로 보안자원의 유형을 구분한다. 보안자원의 유형은 보안자원의 종류를 파악하는 단계로서, 시스템, 데이터베이스, 콘솔, VPN(Virtual Private Network), 방화벽(Firewall) 등 보안자원 유형을 파악하여, 1차적으로 선택된 보안 정책에서 자원 유형에 대응하는 보안 정책을 선택하도록 한다. 보안 자원 유형 구분 후에는 보안 정책 특성을 공유하는 고유 그룹을 구분한다. 실시예에서는 보안 자원에 의해 선택된 보안 정책의 그룹을 AuditTeam, InfraTeam, SecurityTeam 등으로 구분할 수 있다. 또한, 실시예에서는 감사, 관제 등의 사용자 판단 및 오류판단 기능을 수행하는 특수 그룹의 보안 정책은 상위 정책을 무시하고 특수 그룹에서만 적용되는 보안정책을 이용하거나, 상위 그룹의 보안정책을 그대로 이용할 수 있다. 예컨대, 상위 그룹과 하위 그룹의 보안정책이 충돌하거나, 계층화 과정에서 오류가 발생하는 경우, 상위 보안 정책을 그대로 이용하거나, 발생된 오류 종류와 및 오류가 발생된 계층 및 구분된 계층에 따라 이용되는 보안정책을 따로 설정할 수 있다.
또한, 실시예에서는 앞에서 설명한 계층 순서에 따라 보안정책을 결정하는 그룹을 명명(naming)하여 생성할 수 있다. 예컨대, 실시예에서는 1차 계층에서 파악된 보안자원의 배치 위치, 2차 계층에서 파악된 보안자원의 유형 및 3차 계층에서 파악된 보안정책 특성을 순차적으로 조합한 네이밍으로 그룹을 설정할 수 있다. 구체적으로, 1차 계층에서 보안자원의 위치가 IDC로 파악되고, 2차 계층에서 보안자원의 유형이 System으로 파악되고, 3차 계층에서 보안정책 특성이 Security 로 파악된 경우, 1차, 2차, 3차 계층 속성을 순차적으로 조합한, 'PolicyIDC-System-SecurityTeam'을 그룹 명칭으로 설정한 후 설정된 그룹 명칭으로 보안정책을 선택할 상위 그룹을 생성할 수 있다.
도 9는 실시예에 따른 통합 보안 정책 계층화 정의에 따른 적용방법을 설명하기 위한 도면이다.
도 9를 참조하면, 실시예에서는 보안 정책을 계층화하여 정의한 이후, 정책 상속 기능 및 기본 정책 강제 기능을 이용하여 필수 보안 정책을 상속할 수 있다. 예컨대, 1차 내지 3차 계층 구분에 따라 PolicyIDC-System-SecurityTeam의 상위 보안 정책이 추출된 경우, 편집 가능한 공통 정책 속성 및 편집 불가한 정책 속성을 파악하여 PolicyIDC-System-SecuritySubTeam1, PolicyIDC-System-SecuritySubTeam2 등의 하위 정책에 상위보안 정책 속성이 기본으로 상속되도록 할 수 있다. 또한 실시예에서 하위 정책이 상위 보안 정책과 충돌하거나 상위 정책과 하위 정책 간 오류가 발생하는 경우, 상위계층의 보안정책을 적용시킬 수 있다. 예컨대, 상위그룹과 하위 그룹 간 발생하는 보안정책의 오류는 계층화된 그룹 간 금칙어가 충돌하는 경우 발생할 수 있고, 이때 하위 그룹은 상위 그룹의 보안정책을 기본 속성으로 상속할 수 있다. 또한, 특정 하위 그룹의 경우 관제, 감사 등 기 설정된 특수 그룹의 보안정책을 그대로 상속하여 사용할 수 있다.
아울러, 실시예에서는 특수한 기능을 수행하는 그룹에 한해 그룹의 상위 계층으로부터 상속되는 보안정책을 무시하고 그룹마다 설정된 개별 보안정책을 적용하여 보안 자원에 접근할 수 있도록 한다. 예컨대, audit team과 같이 감사를 수행해는 그룹의 경우, 감사를 수행하는 audit team에서만 적용될 수 있는 개별 보안정책을 통해 보안자원에 접근할 수 있도록 한다. 뿐만 아니라 시스템 설계 시 감사, 클라이언트 모니터링, 관제, 보안 등 개별적인 보안정책이 요구되는 특수 기능을 수행하는 그룹의 경우, 특수 기능을 수행하는 그룹 각각이 개별 보안정책을 이용하여 보안자원에 접근가능 하도록 할 수 있다.
실시예에 따른 하이브리드 보안 시스템 및 통합보안 방법을 통해 이원화된 하이브리드 인프라 환경에서 효율적이고 신속한 보안 업무 처리를 가능하게 한다.
또한, 클라우드에 특화된 보안관리 및 진단 서비스를 제공하여 기존 보안 시스템보다 월등한 시간 및 보안업무 처리 효율성을 제공할 수 있다. 아울러, 실시예를 통해 네트워크 통합 접근제어 시스템을 제공하여 보안과 인증 데이터 효율을 향상 시키고, 자원 별 접근제어를 가능하게 하여, 일상적인 포탈의 업무처리 수준으로 클라우드 IDC 시스템에서 인증 심사 대응이 가능하도록 한다.
개시된 내용은 예시에 불과하며, 특허청구범위에서 청구하는 청구의 요지를 벗어나지 않고 당해 기술분야에서 통상의 지식을 가진 자에 의하여 다양하게 변경 실시될 수 있으므로, 개시된 내용의 보호범위는 상술한 특정의 실시예에 한정되지 않는다.

Claims (12)

  1. 하이브리드 보안시스템에 있어서,
    클라우드 환경에서 클라이언트의 접근제한 및 보안이 요구되는 자원을 저장하고 공유하는 하이브리드 인프라;
    접속권한을 부여하는 인터넷 계정을 관리하는 하이브리드 계정 관리유닛;
    보안자원에 따라 클라이언트의 접근을 제어하는 하이브리드 접근제어 게이트웨이;
    클라우드와 IDC(Internet Data Center)가 결합된 하이브리드 환경에서 접속요청자, 접속시간, 접속목적, 접근하려는 보안자원, 접근 방식, 접속요청자 장소 정보를 포함하고, 클라이언트 계정 별 인증정책, 클라이언트 계정 별 인가정책, 보안자원 별 계정 인증정책 및 보안자원 별 금지 명령어 목록이 반영된 미리 정의된 통합보안정책을 이용하여 클라이언트 및 보안자원 별 통합보안기능을 제공하는 하이브리드 보안서버; 및
    상기 하이브리드 보안서버에서 상기 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 상기 클라우드로 접근하는 클라이언트; 를 포함하되,
    상기 하이브리드 보안서버는, 통합보안정책에 따라 접근처리 후 사용자 접속 상태를 사용자 상세 정보와 함께 보안정책으로 연계하고, 머신러닝(machine learning)에 의해 관제 대상을 추출하고, 관제 대상 모니터링 후 이상신호를 파악하고,
    상기 연계를 위해, 1차적으로 보안자원이 배치되는 위치를 구분하고, 2차적으로 보안자원의 유형을 구분하고, 3차적으로 보안정책의 특성을 공유하는 고유 그룹을 구분하여 통합보안정책이 계층적으로 구현되며,
    상기 1차, 2차 및 3차 구분을 통해 추출된 상위 계층의 필수 보안정책이 정책 상속 기능 및 기본 정책 강제 기능을 이용하여 하위 계층의 보안정책에 기본적으로 상속되는, 하이브리드 보안시스템.
  2. 제 1항에 있어서, 상기 하이브리드 보안서버는
    상기 클라이언트의 접속 시각, 신원, 접속이유, 접근 방식, 접근 희망 데이터 및 접속 이력에 따라 클라이언트 별 통합보안정책을 추출하고, 상기 추출된 통합보안정책에 따라 클라우드로의 통합 보안 정책을 생성하는 통합보안정책모듈; 및
    상기 클라이언트의 통신 이력 및 클라이언트의 식별이력을 관리하는 통합관제 관리모듈; 을 포함하는 것을 특징으로 하는 하이브리드 보안시스템.
  3. 제 2항에 있어서, 상기 하이브리드 보안서버는
    상기 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 상기 하이브리드 인프라와 상기 클라이언트를 보안 접속시키는 클라우드 통신모듈;
    상기 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 시스템, 데이터베이스, 네트워크, 클라우드 콘솔을 포함하는 하이브리드 접근제어 게이트웨이와 상기 클라이언트를 보안 접속시키는 접근제어 통신모듈; 및
    상기 클라이언트 별 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 하이브리드 계정관리 유닛과 상기 클라이언트를 보안 접속시키는 인증/계정 통신모듈; 을 더 포함하는 것을 특징으로 하는 하이브리드 보안시스템.
  4. 제 1항에 있어서,
    하위 계층의 보안정책이 상위 계층의 보안정책과 충돌하거나 하위 계층의 보안정책과 상위 계층의 보안정책 간에 오류가 발생하는 경우 상위 계층의 보안정책을 적용하되,
    특정 기능을 수행하는 그룹의 경우 상속된 보안정책에 상관없이 설정된 개별 보안정책이 적용되는 것을 특징으로 하는 하이브리드 보안시스템.
  5. 클라이언트, 하이브리드 보안서버, 하이브리드 인프라, 하이브리드 접근제어 게이트웨이, 하이브리드 계정관리 유닛 및 보안자원을 포함하는 하이브리드 보안시스템의 통합보안방법에 있어서,
    (A) 클라이언트가 보안자원으로 접근을 요청하는 단계;
    (B) 하이브리드 보안서버는 클라우드와 IDC(Internet Data Center)가 결합된 하이브리드 환경에서 접속요청자, 접속시간, 접속목적, 접근하려는 보안자원, 접근 방식, 접속요청자 장소 정보를 포함하고, 클라이언트 계정 별 인증정책, 클라이언트 계정 별 인가정책, 보안자원 별 계정 인증정책 및 보안자원 별 금지 명령어 목록이 반영된 미리 정의된 통합보안정책을 이용하여 클라이언트 및 보안자원 별 통합보안기능을 제공하는 단계;
    (C) 클라우드는 상기 하이브리드 보안서버에서 상기 통합보안정책에 의한 인증 절차가 정상적으로 완료된 경우, 보안 자원 별 상기 클라이언트의 접근 통제 또는 허용을 시작하는 단계;
    (D) 통합보안정책에 따라 접근처리 후 사용자 접속 상태를 사용자 상세 정보와 함께 보안정책으로 연계하는 단계; 및
    (E) 머신러닝(machine learning)에 의해 관제 대상을 추출하고, 관제 대상 모니터링 후 이상신호를 파악하는 단계; 를 포함하되,
    상기 (D) 단계; 는
    1차적으로 보안자원이 배치된 위치를 구분하는 단계;
    보안자원의 배치 위치 구분 이후, 2차적으로 보안자원의 유형을 구분하는 단계; 및
    보안자원의 유형 구분 이후, 3차적으로 보안정책의 특성을 공유하는 고유 그룹을 구분하는 단계; 를 포함하여 통합보안정책을 계층적으로 구현하고,
    상기 1차, 2차, 3차 구분 단계를 통해 추출된 상위 계층의 필수 보안정책이 정책 상속 기능 및 기본 정책 강제 기능을 이용하여 하위 계층의 보안정책에 기본적으로 상속되는, 하이브리드 보안시스템의 통합보안방법.
  6. 제 5항에 있어서,
    하위 계층의 보안정책이 상위 계층의 보안정책과 충돌하거나 하위 계층의 보안정책과 상위 계층의 보안정책 간에 오류가 발생하는 경우 상위 계층의 보안정책을 적용하되,
    특정 기능을 수행하는 그룹의 경우 상속된 보안정책에 상관없이 설정된 개별 보안정책이 적용되는 것을 특징으로 하는 하이브리드 보안시스템의 통합보안방법.
  7. 제 5항에 있어서, 상기 (B) 단계; 는
    상기 클라이언트 계정에 대한 통합보안정책을 확인하고, 1차 패스워드와 암호화 데이터를 1차 인증하는 단계;
    상기 1차 인증이 완료된 경우, 상기 클라이언트 계정의 인증정책에 의한 2차 인증과정을 수행하는 단계; 및
    상기 2차 인증 과정이 완료된 경우, 상기 클라이언트의 보안자원 접근 통제를 시작하는 단계; 를 포함하는 것을 특징으로 하는 하이브리드 보안시스템의 통합보안방법
  8. 제 5항에 있어서, 상기 (C) 단계; 는
    하이브리드 인프라는 보안자원의 동기화 처리 결과를 하이브리드 보안서버로 전송하는 단계;
    하이브리드 보안 서버는 변경된 보안 정책에 대한 동기화 처리 후 통합 보안정책에 반영하기 위해 접근 통제정책을 동기화 하는 단계;
    하이브리드 보안 서버에서 접근 통제정책이 동기화 되는 경우, 하이브리드 인프라에서도 접근통제정책을 동기화 시키는 단계;
    클라이언트가 보안자원에 대한 접근 요청을 전송하면 하이브리드 접근제어게이트웨이는 동기화된 접근 통제정책에 상기 클라이언트의 부합 여부를 확인하는 단계; 및
    하이브리드 접근제어게이트웨이는 상기 클라이언트의 부합여부 확인 결과를 클라이언트에게 전송하고, 상기 클라이언트는 확인결과에 따라 하이브리드 접근제어 게이트웨이로 접근 또는 통제되는 단계; 를 포함하는 것을 특징으로 하는 하이브리드 보안 시스템의 통합보안방법.
  9. 제 8항에 있어서, 상기 하이브리드 접근제어게이트웨이는 상기 클라이언트의 부합여부 확인 결과를 클라이언트에게 전송하고, 상기 클라이언트는 확인결과에 따라 하이브리드 접근제어 게이트웨이로 접근 또는 통제되는 단계; 는
    클라이언트가 접근하고자 하는 보안자원의 종류에 따라 클라이언트 별 통합인증 정책에 따른 인증과정을 수행하는 단계; 및
    인증 완료 후 클라이언트가 보안자원에 접근하는 것을 허용하는 단계; 를 포함하는 것을 특징으로 하는 하이브리드 보안시스템의 통합보안방법.
  10. 제 8항에 있어서, 상기 하이브리드 보안 서버는 변경된 보안 정책에 대한 동기화 처리 후 통합 보안정책에 반영하기 위해 접근 통제정책을 동기화 하는 단계; 는
    웹브라우저에서 통합 보안정책 중 계정 별 인가 정책을 입력받아 하이브리드 보안 시스템으로 전송하는 단계;
    상기 하이브리드 보안서버는 수신한 계정 별 인가 정책을 통합 보안정책에 반영하는 단계; 를 포함하는 것을 특징으로 하는 하이브리드 보안시스템의 통합보안방법.
  11. 제 9항에 있어서, 상기 클라이언트가 접근하고자 하는 보안 자원의 종류에 따라 클라이언트 별 통합인증 정책에 따른 인증과정을 수행하는 단계; 는
    하이브리드 보안서버에서 하이브리드 인프라의 통합보안정책 중 보안 자원 별 인증 정책을 전달받는 단계;
    상기 수신한 보안 자원 별 인증 정책을 통합 보안정책에 반영하고, 상기 보안자원 별 계정 및 패스워드 정보를 반영하는 단계;
    상기 패스워드를 암호화 처리 후 저장하고, 보안 자원 별 계정과 패스워드 목록을 하이브리드 보안서버와 웹브라우저에서 동기화 하는 단계;
    클라이언트가 보안 자원 별 인증요청을 전송하면, 1차 패스워드를 입력받아 보안자원에서 1차 인증처리를 수행하는 단계;
    1차 인증 처리 완료 후 통합인증정책에 따라 2차 인증을 수행하는 단계;
    상기 2차 인증 결과 값을 클라이언트에게 전송하고, 상기 2차 인증 결과에 따라 클라이언트가 보안자원으로 접근 통제 및 허용되는 단계; 를 포함하는 것을 특징으로 하는 하이브리드 보안시스템의 통합보안방법.
  12. 제 11항에 있어서, 상기 2차 인증 결과 값을 클라이언트에게 전송하고, 상기 2차 인증 결과에 따라 클라이언트가 보안자원으로 접근 통제 및 허용되는 단계; 는
    클라이언트의 웹브라우저에서 통합 보안정책 중 보안 자원 별 금지 명령어 목록을 입력받아 하이브리드 보안 서버로 전송하는 단계;
    상기 하이브리드 보안서버는 수신한 보안자원 별 금지 명령어 목록을 동기화 하는 단계;
    상기 하이브리드 접근제어 게이트웨이는 보안자원 별 계정 및 패스워드 목록을 동기화 하고, 상기 클라이언트로부터 보안 자원 별 명령어를 수신하는 단계;
    상기 하이브리드 접근제어 게이트웨이는 수신한 명령어를 검사하고, 통합보안 정책에 따라 명령어를 필터링하는 단계;
    상기 필터링 된 입력 명령어를 보안자원으로 전송하고, 보안 자원에서는 입력된 명령을 수행한 후 명령어 처리 요청 종료 메시지를 클라이언트에게 전송하는 단계; 를 포함하는 하이브리드 보안시스템의 통합보안방법.
KR1020190087186A 2019-07-18 2019-07-18 하이브리드 보안 시스템 및 통합보안방법 KR102206847B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190087186A KR102206847B1 (ko) 2019-07-18 2019-07-18 하이브리드 보안 시스템 및 통합보안방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190087186A KR102206847B1 (ko) 2019-07-18 2019-07-18 하이브리드 보안 시스템 및 통합보안방법

Publications (1)

Publication Number Publication Date
KR102206847B1 true KR102206847B1 (ko) 2021-01-25

Family

ID=74237868

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190087186A KR102206847B1 (ko) 2019-07-18 2019-07-18 하이브리드 보안 시스템 및 통합보안방법

Country Status (1)

Country Link
KR (1) KR102206847B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208641A (zh) * 2022-06-27 2022-10-18 陕西恒简网络科技有限公司 一种基于互联网数据安全运行的软件方法
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101270743B1 (ko) 2011-11-21 2013-06-03 (주) 시스메이트 네트워크 보안 시스템의 하드웨어 부하 분산을 위한 하이브리드 버퍼 디스크립터 처리 장치 및 방법
KR101563223B1 (ko) 2014-05-30 2015-10-26 가온미디어 주식회사 프라이빗 클라우드와 퍼블릭 클라우드의 조합을 통해 보안성과 프라이버시를 강화한 스마트 가전 자원 기반의 하이브리드 홈 클라우드 시스템
KR20150132862A (ko) * 2013-03-15 2015-11-26 그린에덴 유.에스. 홀딩스 Ii, 엘엘씨 최적화된 로컬 딜리버리 기능을 구비한 하이브리드 클라우드 아키텍쳐
KR20150137518A (ko) * 2014-05-30 2015-12-09 주식회사 디케이아이테크놀로지 하이브리드 클라우드기반 ict서비스시스템 및 그 방법
KR20180060005A (ko) * 2016-11-28 2018-06-07 주식회사 나라시스템 클라우드 환경에서 개인정보 보호를 지원하는 p2p 중개 보안 시스템
KR20190049059A (ko) * 2017-11-01 2019-05-09 한국전자통신연구원 클라우드 서비스 브로커리지 장치 및 방법

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101270743B1 (ko) 2011-11-21 2013-06-03 (주) 시스메이트 네트워크 보안 시스템의 하드웨어 부하 분산을 위한 하이브리드 버퍼 디스크립터 처리 장치 및 방법
KR20150132862A (ko) * 2013-03-15 2015-11-26 그린에덴 유.에스. 홀딩스 Ii, 엘엘씨 최적화된 로컬 딜리버리 기능을 구비한 하이브리드 클라우드 아키텍쳐
KR101563223B1 (ko) 2014-05-30 2015-10-26 가온미디어 주식회사 프라이빗 클라우드와 퍼블릭 클라우드의 조합을 통해 보안성과 프라이버시를 강화한 스마트 가전 자원 기반의 하이브리드 홈 클라우드 시스템
KR20150137518A (ko) * 2014-05-30 2015-12-09 주식회사 디케이아이테크놀로지 하이브리드 클라우드기반 ict서비스시스템 및 그 방법
KR20180060005A (ko) * 2016-11-28 2018-06-07 주식회사 나라시스템 클라우드 환경에서 개인정보 보호를 지원하는 p2p 중개 보안 시스템
KR20190049059A (ko) * 2017-11-01 2019-05-09 한국전자통신연구원 클라우드 서비스 브로커리지 장치 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115208641A (zh) * 2022-06-27 2022-10-18 陕西恒简网络科技有限公司 一种基于互联网数据安全运行的软件方法
KR102551891B1 (ko) * 2022-08-25 2023-07-05 오창선 클라우드 접근권한 및 계정을 관리하기 위한 방법 및 시스템

Similar Documents

Publication Publication Date Title
US10244001B2 (en) System, apparatus and method for access control list processing in a constrained environment
CN108280367B (zh) 数据操作权限的管理方法、装置、计算设备及存储介质
US7418702B2 (en) Concurrent web based multi-task support for control management system
US7743142B2 (en) Verifying resource functionality before use by a grid job submitted to a grid environment
US20160352862A1 (en) Identity and policy enforced inter-cloud and intra-cloud channel
CN112956219A (zh) 利用地理围栏认证的基于子网的设备分配
US11696110B2 (en) Distributed, crowdsourced internet of things (IoT) discovery and identification using Block Chain
CN108351771B (zh) 维持对于在部署到云计算环境期间的受限数据的控制
US20060048157A1 (en) Dynamic grid job distribution from any resource within a grid environment
US7620737B2 (en) Methods, apparatus, and program products for abstract applications/components in a ubiquitous computing environment
JP2004192652A (ja) ネットワークコンピューティング環境においてコンテキストプロパティメタデータを利用するための方法、装置およびプログラム製品
US20210126918A1 (en) Online diagnostic platform, and permission management method and permission management system thereof
CN107491470B (zh) 数据管理系统、控制方法及存储介质
JP2009539183A (ja) 役割ベースのアクセス制御ポリシーの資源許可ポリシーへの変換
KR20010041365A (ko) 보안 조건의 방법당 지정
CN113625665A (zh) 集中式安全事件生成策略
KR102206847B1 (ko) 하이브리드 보안 시스템 및 통합보안방법
CN113625664A (zh) 通过零接触注册的自动端点安全策略分配
EP2887703B1 (en) Application protection in a mobile telecommunication device
CN114244568B (zh) 基于终端访问行为的安全接入控制方法、装置和设备
CN111935195B (zh) 分布式系统管理方法、装置、存储介质和分布式管理系统
US8321493B2 (en) Field device and system employing the same
CN101770553B (zh) 一种移动终端、以及移动终端中根证书的调用方法
White et al. Autonomic computing: Architectural approach and prototype
US20220150277A1 (en) Malware detonation

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant