KR102349858B1 - 통합보안을 제공하는 시스템 및 방법 - Google Patents

통합보안을 제공하는 시스템 및 방법 Download PDF

Info

Publication number
KR102349858B1
KR102349858B1 KR1020200075310A KR20200075310A KR102349858B1 KR 102349858 B1 KR102349858 B1 KR 102349858B1 KR 1020200075310 A KR1020200075310 A KR 1020200075310A KR 20200075310 A KR20200075310 A KR 20200075310A KR 102349858 B1 KR102349858 B1 KR 102349858B1
Authority
KR
South Korea
Prior art keywords
security
unit
security unit
data
encrypted
Prior art date
Application number
KR1020200075310A
Other languages
English (en)
Other versions
KR20210157245A (ko
Inventor
김대훈
김효상
박형원
김용경
이원
Original Assignee
재단법인대구경북과학기술원
주식회사 드림에이스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원, 주식회사 드림에이스 filed Critical 재단법인대구경북과학기술원
Priority to KR1020200075310A priority Critical patent/KR102349858B1/ko
Publication of KR20210157245A publication Critical patent/KR20210157245A/ko
Application granted granted Critical
Publication of KR102349858B1 publication Critical patent/KR102349858B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/289Intermediate processing functionally located close to the data consumer application, e.g. in same machine, in same home or in same sub-network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명의 바람직한 일 실시예로서, 통합보안을 제공하는 시스템은 제 1 보안부를 포함하는 단말기; 제 2 보안부를 포함하는 서버; 및 상기 제 1 보안부와 상기 제 2 보안부 간에 통신을 지원하여 상기 단말기의 프로세서와 상기 서버의 프로세서 간에 암호화된 통신채널을 생성하고, 이를 통해 통합된 보안환경을 형성하는 통신인터페이스;를 포함하고, 상기 제 1 보안부와 상기 제 2 보안부는 상이한 프로세서를 이용하는 것을 특징으로 한다.

Description

통합보안을 제공하는 시스템 및 방법{Method and System for securing a communication channel for the trusted execution environment}
본 발명은 이종 기기간 하드웨어 기반의 통합보안을 제공하는 방법에 관한 것이다.
최근 소프트웨어 기반 보안 방식의 한계를 해결하기 위해 하드웨어 설계를 통한 임베디드 시스템 보안 기술 및 그 응용 방법이 활발하게 연구되고 있다. 이에 대표되는 ARM TrustZone 기술은 암호화 키나 금융 정보와 같이 높은 보안을 요구하는 정보를 특수한 프로세서 설계 방식을 통해 보호할 수 있다.
그러나 ARM TrustZone은 가상화 환경을 고려하여 설계되지 않아 모든 가상 머신을 대상으로 동작할 수 없다는 한계점을 갖는다. 반면 임베디드 시스템에서의 가상화 적용 사례가 점차 증가함에 따라 가상화 환경에서의 ARM TrustZone 기술 적용에 대한 요구가 증가하고 있다.
US20190370467
종래에는 ARM 프로세서 기반의 TrustZone과 Intel 프로세서 기반의 SGX 중 양자택일하여 보안성을 확보하는 방향으로 진행되었기 때문에 이종의 프로세서 간 통합된 보안 환경을 제공할 수 없었다.
본 발명의 바람직한 일 실시예로서, 통합보안을 제공하는 시스템은 제 1 보안부를 포함하는 단말기; 제 2 보안부를 포함하는 서버; 및 상기 제 1 보안부와 상기 제 2 보안부 간에 통신을 지원하여 상기 단말기의 프로세서와 상기 서버의 프로세서 간에 암호화된 통신채널을 생성하고, 이를 통해 통합된 보안환경을 형성하는 통신인터페이스;를 포함하고, 상기 제 1 보안부와 상기 제 2 보안부는 상이한 프로세서를 이용하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 단말기는 ARM프로세서를 이용하고, 상기 제 1 보안부는 하드웨어 기반의 TEE(Trusted Execution Environment)이며, 상기 제 1 보안부는 보안 애플리케이션과 비보안 애플리케이션을 구분하여, 상기 보안 애플리케이션에 대한 액세스를 제한하는 것을 특징으로 하는 이종프로세서를 이용하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 서버는 Intel 프로세서를 이용하고, 상기 제 2 보안부는 하드웨어 기반의 인클레이브(Enclave)를 지원하는 SGX(Software Guard Extension)이며, 상기 제 2 보안부는 보안 애플리케이션과 비보안 애플리케이션을 구분하여, 상기 보안 애플리케이션에 대한 액세스를 제한하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 서버는 엣지 클라우드 서버인 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 단말기는 상기 단일코어의 기설정된 처리량 이내의 보안데이터는 상기 제 1 보안부에서 처리 및 저장하고, 상기 단일코어의 기설정된 처리량을 벗어나는 보안데이터는 상기 통신인터페이스를 이용하여 상기 서버에 전송하여 상기 제 2 보안부에서 처리 및 저장하며, 상기 제 2 보안부에서 처리된 결과를 수신하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 단말기 또는 상기 서버는 각각 상기 통신인터페이스를 포함하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 제 1 보안부는 보안데이터를 암호화하는 암호화부;를 포함하고, 상기 제 2 보안부는 상기 암호화된 보안데이터를 복호화 하는 복호화부; 상기 복호화된 보안데이터를 처리하는 처리부; 및 상기 처리된 보안데이터를 암호화하는 암호화부;를 포함하고, 상기 서버는 상기 통신인터페이스를 통해 수신한 상기 단말기에서 전송한 암호화된 보안데이터를 상기 제 2 보안부에서 처리하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 제 1 보안부 또는 제 2 보안부는 보안 애플리케이션과 비보안 애플리케이션을 구분하여, 상기 보안 애플리케이션에 대한 액세스를 제한하는 것을 특징으로 한다.
본 발명의 또 다른 바람직한 일 실시예로서, 제 1 보안부에서 보안데이터의 처리량이 상기 제 1 보안부가 이용하는 단일코어의 기설정된 처리량을 초과하는지 판단하는 단계; 초과하는 경우, 통신인터페이스를 이용하여 제 2 보안부로 상기 보안데이터를 암호화하여 전송하는 단계; 상기 제 2 보안부에서 수신한 암호화된 보안데이터를 복호화 한 후, 멀티코어를 이용하여 처리하고, 재암호화하는 단계; 상기 제 2 보안부에서 재암호화한 보안데이터를 상기 제 1 보안부로 전송하는 단계;를 포함하고, 상기 제 1 보안부는 제 1 프로세서에서 동작하고, 상기 제 2 보안부는 제 2 프로세서에서 동작하며, 상기 제 1 프로세서와 상기 제 2 프로세서는 상이한 프로세서인 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 이종프로세서를 이용하는 단말기와 서버 간의 통합보안제공방법은 사용자의 인증정보, 개인화 정보, 사용자의 금융 관련 정보, 차량 사용 정보 등을 안전하게 보호하고 처리할 수 있는 효과가 있다.
예를 들어, 단말의 개인화 세팅을 위해 인증에 필요한 패스워드나 생체 인증 정보를 외부에 노출시키지 않고 안전하게 처리가 가능하다. 또한, 사용자 차량이나 모바일 단말에서 수집한 차량 정보 및 개인 정보를 수집하여 서버에 전송하고, 서버에서는 에지컴퓨팅 등의 기술을 활용하여 이를 암호화된 상태로 가공하는 방식으로 사용자에게 최적화된 경험을 제공할 수 있는 효과가 있다. 또한 사용자 인증 정보나 개인화 정보와 마찬가지로, 사용자의 결제 내역과 금융 관련 정보, 차량 구동부 및 센서 정보 또한 유출되지 않고 보호가 가능하다. 이 외에도 보안에 민감한 금융 및 결제 관련 정보를 암호화하여 처리, 보관이 가능하고,외부로의 노출이나 공격으로 인한 변형으로부터 안전하게 지킬 수 있다.
도 1 은 본 발명의 바람직한 일 실시예로서, 서로 다른 프로세서를 이용하여 통합보안을 수행하는 임베디드시스템을 도시한다.
도 2 는 본 발명의 바람직한 일 실시예로서, 통합보안을 위해 단말기에 구현된 TEE의 내부 구성을 도시한다.
도 3 은 본 발명의 바람직한 일 실시예로서, 통합보안을 위해 서버에 구현된 TEE의 내부 구성을 도시한다.
도 4 는 본 발명의 바람직한 일 실시예로서, ARM 단말기와 Intel 서버 간의 통합보안을 구현한 임베디드시스템을 도시한다.
도 5 내지 6은 본 발명의 바람직한 일 실시예로서, 통합보안을 수행하는 흐름도를 도시한다.
본 명세서의 실시예들에서 사용되는 용어는 본 개시의 기능을 고려하면서 가능한 현재 널리 사용되는 일반적인 용어들을 선택하였으나, 이는 당 분야에 종사하는 기술자의 의도 또는 판례, 새로운 기술의 출현 등에 따라 달라질 수 있다. 또한, 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 실시예의 설명부분에서 상세히 그 의미를 기재할 것이다. 따라서 본 명세서에서 사용되는 용어는 단순한 용어의 명칭이 아닌, 그 용어가 가지는 의미와 본 개시의 전반에 걸친 내용을 토대로 정의되어야 한다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 용어들은 본 명세서에 기재된 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가질 수 있다.
이하에서 도면을 참고하여 설명한다.
도 1 은 본 발명의 바람직한 일 실시예로서, 서로 다른 프로세서를 이용하여 통합보안을 수행하는 임베디드시스템을 도시한다. 도 2 는 단말기 측의 TEE 내부 구성, 도 3 은 서버 측의 TEE 내부 구성을 도시한다. 도 4 는 본 발명의 바람직한 일 실시예로서, ARM 단말기와 Intel 서버 간의 통합보안을 구현한 임베디드시스템을 도시한다. 도 1 내지 4를 참고하여 통합보안시스템을 설명한다.
본 발명의 바람직한 일 실시예로서, 임베디드시스템은 단말기(110)과 서버(120)를 포함한다. 단말기(110)와 서버(120)는 서로 다른 프로세서를 이용하며, 통신인터페이스(140, 160)를 통해 이종 프로세서를 이용하는 단말기(110) 및 서버(120)간에 통합보안을 수행한다.
단말기(110)는 컴퓨터, 스마트폰, 휴대폰, 핸드헬드장치, 웨어러블 장치를 포함하며, 하드웨어 기반의 TEE(trusted execution environment)가 구현된 프로세서를 포함하는 형태를 모두 포함할 수 있다. 서버(120)는 에지클라우드 서버 등을 포함하며, 하드웨어 기반의 TEE가 구현된 프로세서로 TEE를 구현함에 있어 멀티코어 내지 리소스 지원이 가능한 형태의 장치를 모두 포함할 수 있다.
본 발명의 바람직한 일 실시예로서, 단말기(110)는 제 1 보안부(130)와 통신인터페이스(140)를 포함하고, 서버(120)는 제 2 보안부(150)와 통신인터페이스(160)를 포함한다.
본 발명의 바람직한 일 실시예로서, 제 1 보안부(130) 및 제 2 보안부(150)는 하드웨어 기반의 TEE의 역할을 수행한다. 시스템 내에서 TEE를 활용하면 해당 정보가 외부에 노출되거나 변형되지 않도록 관리 및 처리가 가능하다. TEE로 보호된 영역 내부에서는 메모리, 주변 기기 등에 대한 접근이 제한되기 때문에 중간자 공격이나 부채널 공격 등으로 정보를 유출시킬 수 없기 때문이다. 이와 같은 방식으로, 제 1 보안부(130) 및 제 2 보안부(150)는 각각 보안 애플리케이션과 비보안 애플리케이션을 구분하여 보안 애플리케이션에 대한 액세스를 제한하도록 구현된다.
통신인터페이스(160)는 제 1 보안부(130)와 제 2 보안부(140) 간에 통신을 지원하여 단말기(110)의 제 1 프로세서와 서버(120)의 제 2 프로세서 간에 암호화된 통신채널을 생성하고, 이를 통해 통합된 보안환경을 형성한다.
통신인터페이스(160)는 또한 단말기(110)에 구현된 제 1 보안부(130)의 자원제약 문제를 서버(120)에 구현된 제 2 보안부(150)를 통해 해결하는 역할을 수행할 수 있다. 상세히, 제 1 보안부(130)는 단말기(110)의 프로세서 중 단일 프로세서 밖에 이용할 수 없는 제약이 있어 부하가 큰 작업을 수행하지 못했다. 그러나, 본 발명에서는 통신인터페이스(160)를 통해 제 1 보안부(130)에서 처리하고자 하는 보안데이터를 서버 내의 제 2 보안부(140)가 수신하여 처리한 후 암호화된 통신방법을 통해 다시 제 1 보안부(130)에 보안데이터 처리결과를 송신할 수 있다.
단말기의 일 예로는 TrustZone을 TEE로 이용하는 ARM단말기(도 4, 410)가 있으며, 서버의 일 예로는 SGX를 TEE로 이용하는 Intel 서버(도 4, 430)가 있다. 이하에서 ARM단말기(도 4, 410)와 Intel 서버(도 4, 430)에서 각각 이용하는 TrustZone과 SGX간에 암호화된 통신을 수행하는 예시를 들어 설명하면 아래와 같다.
제 1 보안부(130)의 일 예로 ARM 프로세서에서 동작하는 ARM TrustZone이 있다.
ARM 프로세서는 저전력 고성능의 특징이 있으며, 전기 차량 혹은 모바일 환경에 도입되고 있다. ARM 프로세서에서 지원하는 ARM TrustZone는 하나의 물리 프로세서를 두 개의 분리된 가상 프로세서로 동작하게 하여 secure world와 normal world라는 두 개의 독립적인 소프트웨어 실행 환경을 제공한다.
각 world는 Cache, TLB, MMU, register 등의 하드웨어자원들을 가상으로 분리되어 가지고 있으며, 현재 실행되고 있는 world에서 다른 world로의 스위치가 일어나면 하드웨어 컨텍스트(context)는 자동적으로 변환된다. 이것은 CPU 관점에서 완벽하게 고립된 환경을 제공해 준다. secure world는 모든 시스템 자원에 접근할 수 있지만, normal world는 normal system에 할당된 자원만 접근이 가능하다. 이것은 secure world에 할당된 메모리 영역의 데이터에 접근하여 변경하지 못하는 것을 보장해준다.
예를 들어, 사용자 단말기 내부에 개인인증 정보 외에 사용자의 성향에 맞게 설정하고 관리하는 미디어 목록, 기기 설정, 네트워크 접속 기록 등을 포함하는 개인화정보 등의 정보 수집 및 보관에 TrustZone을 활용할 수 있다. TrustZone 환경에서는 메모리 영역이나 디바이스가 격리되기 때문에 정보가 유출되거나 변형될 여지가 없어진다.
그러나, ARM TrustZone은 인증을 위한 간단한 연산은 처리할 수 있으나 사용가능한 CPU 코어가 하나로 제한되는 등의 제약사항으로 인해 딥러닝추천모델(Deep Learning Recommendation Model)과 같이 부하가 큰 작업을 처리하기에는 부적합하다. 따라서 연산 능력이 상대적으로 뛰어난 외부의 컴퓨팅 서버에 작업을 오프로딩(offloading)하여 데이터를 처리할 필요가 있다.
이를 위해, 본 발명의 바람직한 일 실시예에서는 도 2와 같이 제 1 보안부(200)를 구성할 수 있다.
제 1 보안부(200)는 보안데이터처리량판단부(210), 보안데이터처리및저장부(220), 암호화부(230) 및 통신인터페이스(240)를 포함한다.
보안데이터처리량판단부(210)는 제 1 보안부(200)에서 처리하고자 하는 보안데이터의 처리량이 제 1 보안부(200)에서 이용하는 단일코어의 기설정된 처리량 이내인지를 판단한다. 기설정된 처리량 이내인 경우에는 해당 보안데이터는 보안데이터처리 및 저장부(220)에서 처리되어 저장된다. 그러나, 단일코어의 기설정된 처리량을 벗어나는 보안데이터는 암호화부(230)를 통해 암호화한 후 통신인터페이스(240)를 통해 서버측으로 전송한다. 이후, 제 1 보안부(200)는 서버측에서 보안데이터를 처리한 결과를 수신한다.
도 1로 돌아와서, 제 2 보안부(150)의 일 예는 Intel의 SGX(Software Guard Extension)이다. SGX는 하드웨어 기반의 인클레이브(Enclave, 도 4, 480)를 지원한다. Enclave는 TrustZone과는 다르게 활용할 수 있는 코어의 개수 혹은 자원이 제한되어 있지 않기 때문에 빠르게 데이터를 가공이 가능하다. 또한 서버 내부에서 SGX가 TEE의 역할을 수행하므로, 정보가 암호화된 후 안전하게 관리될 수 있다.
본 발명의 바람직한 일 실시예로서, 제 2 보안부(150)는 제 1 보안부(130)로부터 수신한 보안데이터를 암호화하여 수신하고 처리한 후 저장한 후, 그 결과를 제 1 보안부(130)로 전송할 수 있다.
이를 위해, 본 발명의 바람직한 일 실시예에서는 도 3와 같이 제 2 보안부(300)를 구성할 수 있다.
도 3 을 참고하여 설명하면, 제 2 보안부(300)는 통신인터페이스(310), 복호화부(320), 보안데이터처리 및 저장부(330), 그리고 암호화부(340)를 포함한다.
통신인터페이스(310)는 제 1 보안부에서 전송한 암호화된 보안데이터를 수신한다.
복호화부(320)는 수신한 암호화된 보안데이터를 복호화 하고, 보안데이터처리 및 저장부(330)를 통해 복호화된 보안데이터를 처리하고 서버에 저장한다. 이 후, 암호화부(340)에서 처리된 보안데이터를 암호화한 후, 다시 통신인터페이스(310)를 통해 제 1 보안부로 암호화된 보안데이터 처리 결과를 송신한다.
도 4를 참고하면, 제 1 보안부(412)는 ARM단말기(410)에서 수집한 데이터(410a) 중 내부적 자원의 제약으로 처리하기 어려운 보안데이터(410a)를 암호화부(420)를 통해 암호화한 후 Intel 서버(430)로 전송한다. Intel 서버(430)의 SGX는 TZ Door(440a)라는 통신인터페이스를 통해 보안데이터를 수신하고, Enclave 내부에서 복호화를 수행한다(450). 복호화된 보안데이터를 처리한 후(460), 다시 암호화하여(470), TZ Door(440b)를 통해 단말기로 암호화된 보안데이터 처리결과를 송신한다.
도 5 는 본 발명의 바람직한 일 실시예로서, 임베디드시스템에서 이종프로세서를 이용하는 단말기 간에 통합보안을 제공하는 흐름도의 일 예를 도시한다.
임베디드시스템(도 4, 400 참고)는 통신인터페이스를 이용하여 단말기의 제 1 보안부와 서버의 제 2 보안부 간에 통신을 지원한다(S510). 제 1 보안부에서 보안데이터를 암호화한 후(S520), 통신인터페이스를 통해 제 2 보안부로 전송한다(S530). 서버는 제 2 보안부에서 수신한 암호화된 보안데이터를 복호화한 후 에지클라우드서버의 멀티코어 및 리소스를 이용하여 복호화된 보안데이터를 처리하고 암호화한다(S540). 이 후, 에지클라우드서버에서 암호화된 보안데이터 처리 결과를 단말기에 전송한다(S550).
도 6 은 본 발명의 또 다른 바람직한 일 실시예로서, 임베디드시스템에서 이종프로세서를 이용하는 단말기 간에 통합보안을 제공하는 흐름도의 일 예를 도시한다.
단말기의 제 1 보안부는 처리해야하는 보안데이터의 처리량이 제 1 보안부가 이용하는 단말기의 단일코어에서 지원가능한 기설정된 처리량을 초과하는지 판단한다(S610). 초과하는 경우, 통신인터페이스를 이용하여 해당 보안데이터를 암호화한 후 제 2 보안부로 전송한다(S620). 제 2 보안부는 수신한 암호화된 보안데이터를 복호화한 후 제 2 보안부가 이용할 수 있는 멀티코어 내지 자원을 이용하여 복호화된 보안데이터를 처리하고, 저장한 후 재 암호화하여(S630) 보안데이터 처리결과를 단말기(S640)로 전송한다.
본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체를 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다.
본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.
전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (15)

  1. 제 1 보안부를 포함하는 단말기;
    제 2 보안부를 포함하는 서버; 및
    상기 제 1 보안부와 상기 제 2 보안부 간에 통신을 지원하여 상기 단말기의 프로세서와 상기 서버의 프로세서 간에 암호화된 통신채널을 생성하고, 이를 통해 통합된 보안환경을 형성하는 통신인터페이스;를 포함하고,
    상기 제1 보안부는 단일코어를 이용하며, 상기 제2 보안부는 멀티코어를 이용하고,
    상기 제1 보안부와 상기 제2 보안부는 하드웨어 기반의 TEE(trusted execution environment)로서, 보안 애플리케이션과 비보안 애플리케이션을 구분하여 상기 보안 애플리케이션에 대한 액세스를 제한하고,
    상기 제 1 보안부와 상기 제 2 보안부는 상이한 프로세서를 이용하며,
    상기 단말기는,
    상기 제 1 보안부에서 이용하는 단일코어의 기설정된 처리량 이내의 보안데이터는 상기 제 1 보안부에서 처리 및 저장하고 상기 단일코어의 상기 기설정된 처리량을 벗어나는 보안데이터는 상기 제1 보안부에서 암호화하여 상기 제2 보안부로 전송하고,
    상기 서버는,
    상기 제1 보안부로부터 상기 암호화된 보안데이터를 수신하고, 상기 수신된 암호화된 보안데이터를 상기 제2 보안부에서 복호화 한 후 멀티코어를 이용하여 처리 및 암호화하고, 상기 암호화된 보안데이터 처리 결과를 상기 제1 보안부로 전송하며,
    상기 단말기는,
    상기 암호화된 보안 데이터 처리 결과를 상기 제2 보안부로부터 수신하여 이용하는 것을 특징으로 하는 통합보안을 제공하는 시스템.
  2. 제 1 항에 있어서,
    상기 단말기는 ARM프로세서를 이용하고,
    상기 제 1 보안부는 하드웨어 기반의 TEE(Trusted Execution Environment)인 것을 특징으로 하는 통합보안을 제공하는 시스템.
  3. 제 2 항에 있어서,
    상기 서버는 Intel 프로세서를 이용하고,
    상기 제 2 보안부는 하드웨어 기반의 인클레이브(Enclave)를 지원하는 SGX(Software Guard Extension)인 것을 특징으로 하는 통합보안을 제공하는 시스템.
  4. 제 1 항에 있어서, 상기 서버는
    엣지 클라우드 서버인 것을 특징으로 하는 통합보안을 제공하는 시스템.
  5. 삭제
  6. 제 1 항에 있어서, 상기 단말기 또는 상기 서버는 각각 상기 통신인터페이스를 포함하는 것을 특징으로 하는 통합보안을 제공하는 시스템.
  7. 제 1 항에 있어서, 상기 제 1 보안부는
    보안데이터를 암호화하는 암호화부; 및
    상기 암호화부에서 암호화된 보안데이터를 상기 제2 보안부로 전송하기 위한 통신인터페이스부;를 포함하는 것을 특징으로 하는 통합보안을 제공하는 시스템.
  8. 제 1 항에 있어서, 상기 제 2 보안부는
    상기 제1 보안부로부터 수신된 암호화된 보안데이터를 복호화 하는 복호화부;
    상기 복호화부에서 복호화된 보안데이터를 처리하는 처리부;
    상기 처리부에서 처리된 보안데이터 처리 결과를 암호화하는 암호화부; 및
    상기 암호화부에서 암호화된 보안데이터 처리 결과를 상기 제1 보안부로 전송하기 위한 통신인터페이스부;를 포함하는 것을 특징으로 하는 통합보안을 제공하는 시스템.
  9. 이종프로세서를 이용하는 기기 간에 통합 보안을 제공하는 방법으로서,
    상기 통합 보안은 단말기 및 에지클라우드서버를 포함하는 클라우드 시스템에서 제공되고,
    상기 단말기는 제 1 보안부를 포함하고, 상기 제 1 보안부는 단일코어만을 이용하며,
    상기 에지클라우드서버는 멀티코어를 이용하는 제 2 보안부를 포함하고,
    상기 제1 보안부와 상기 제2 보안부는 하드웨어 기반의 TEE(trusted execution environment)로서, 보안 애플리케이션과 비보안 애플리케이션을 구분하여 상기 보안 애플리케이션에 대한 액세스를 제한하고,
    상기 방법은
    통신인터페이스를 이용하여 상기 제 1 보안부와 상기 제 2 보안부 간에 통신을 지원하는 단계;
    상기 제 1 보안부에서, 상기 단일코어의 기설정된 처리량 이내의 보안데이터는 처리 및 저장하고 상기 단일코어의 기설정된 처리량을 벗어나는 보안데이터는 암호화하여 상기 통신인터페이스를 통해 상기 제 2 보안부에 전송하는 단계;
    상기 제 2 보안부에서, 상기 제1 보안부로부터 수신한 암호화된 보안데이터를 복호화한 후 상기 에지클라우드서버의 상기 멀티코어 및 리소스를 이용하여 복호화된 보안데이터를 처리하고 암호화하는 단계;
    상기 에지클라우드서버에서, 상기 암호화된 보안데이터 처리 결과를 상기 단말기에 전송하는 단계; 및
    상기 단말기에서, 상기 에지클라우드서버로부터 상기 암호화된 보안데이터 처리 결과를 수신하여 이용하는 단계;를 포함하는 것을 특징으로 하는 통합보안을 제공하는 방법.
  10. 삭제
  11. 삭제
  12. 제9항에 있어서,
    상기 제 1 보안부는 제 1 프로세서에서 동작하고, 상기 제 2 보안부는 제 2 프로세서에서 동작하며, 상기 제 1 프로세서와 상기 제 2 프로세서는 상이한 프로세서인 것을 특징으로 하는 통합보안을 제공하는 방법.
  13. 제 12 항에 있어서, 상기 제 1 보안부는
    ARM 단말기에 구현되는 것을 특징으로 하는 통합보안을 제공하는 방법.
  14. 제 12 항에 있어서, 상기 제 2 보안부는
    Intel 프로세서를 이용하는 서버에 구현되는 것을 특징으로 하는 통합보안을 제공하는 방법.
  15. 제 9 항, 제12항 내지 제 14 항 중 어느 한항에 기재된 통합보안을 제공하는 방법을 실행하기 위한 프로그램을 기록한 것을 특징으로 하는 기록매체.
KR1020200075310A 2020-06-19 2020-06-19 통합보안을 제공하는 시스템 및 방법 KR102349858B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200075310A KR102349858B1 (ko) 2020-06-19 2020-06-19 통합보안을 제공하는 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200075310A KR102349858B1 (ko) 2020-06-19 2020-06-19 통합보안을 제공하는 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210157245A KR20210157245A (ko) 2021-12-28
KR102349858B1 true KR102349858B1 (ko) 2022-01-11

Family

ID=79178383

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200075310A KR102349858B1 (ko) 2020-06-19 2020-06-19 통합보안을 제공하는 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102349858B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018064142A (ja) * 2016-10-11 2018-04-19 富士通株式会社 エッジサーバ,その暗号化通信制御方法,及び端末
KR101901628B1 (ko) * 2018-07-27 2018-11-07 박승호 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101900710B1 (ko) * 2011-11-16 2018-11-09 에스케이플래닛 주식회사 보안 어플리케이션 다운로드 관리방법, 이를 적용한 보안 어플리케이션 다운로드 관리서버, 단말기, 및 관리시스템
US9621547B2 (en) * 2014-12-22 2017-04-11 Mcafee, Inc. Trust establishment between a trusted execution environment and peripheral devices
CN107646189B (zh) * 2015-04-10 2021-03-26 Pcms控股公司 用于云计算过程的委托的系统和方法
US10824728B2 (en) 2018-05-30 2020-11-03 Nec Corporation Reliable detection of co-located virtual machines in the cloud using a trusted execution environment

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018064142A (ja) * 2016-10-11 2018-04-19 富士通株式会社 エッジサーバ,その暗号化通信制御方法,及び端末
KR101901628B1 (ko) * 2018-07-27 2018-11-07 박승호 트래픽 분산 기능을 포함하는 통합 네트워크 공유 시스템

Also Published As

Publication number Publication date
KR20210157245A (ko) 2021-12-28

Similar Documents

Publication Publication Date Title
US11088846B2 (en) Key rotating trees with split counters for efficient hardware replay protection
US11704416B2 (en) Computational operations in enclave computing environments
CN106980794B (zh) 基于TrustZone的文件加解密方法、装置及终端设备
US10181946B2 (en) Cryptographic protection of I/O data for DMA capable I/O controllers
Ren et al. Security challenges for the public cloud
CN106663150B (zh) 用于在公共云内安全地储存内容的方法和系统
US7302571B2 (en) Method and system to maintain portable computer data secure and authentication token for use therein
US10536274B2 (en) Cryptographic protection for trusted operating systems
RU2444783C2 (ru) Архитектура виртуального модуля безопасности
US11290446B2 (en) Access to data stored in a cloud
US20140075502A1 (en) Resource management of execution environments
CN101551784B (zh) 一种usb接口的ata类存储设备中数据的加密方法及装置
US10691627B2 (en) Avoiding redundant memory encryption in a cryptographic protection system
CN106980793B (zh) 基于TrustZone的通用口令存储及读取方法、装置及终端设备
KR20080074848A (ko) 마이크로제어기 내의 데이터 보안 처리를 위한 방법 및장치
EP3271828B1 (en) Cache and data organization for memory protection
KR20150092890A (ko) 가상화 기반 보안 강화 장치 및 그 방법
US10528746B2 (en) System, apparatus and method for trusted channel creation using execute-only code
WO2021218278A1 (zh) 数据处理的方法以及计算设备
CN108959943B (zh) 用于管理加密密钥的方法、装置、设备、存储介质以及相应车辆
US11735319B2 (en) Method and system for processing medical data
US11531626B2 (en) System and method to protect digital content on external storage
US8782798B2 (en) Method and apparatus for protecting data using a virtual environment
US11610003B2 (en) Software protection method and system thereof
KR102349858B1 (ko) 통합보안을 제공하는 시스템 및 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant