KR102651820B1 - 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법 - Google Patents

기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법 Download PDF

Info

Publication number
KR102651820B1
KR102651820B1 KR1020210172209A KR20210172209A KR102651820B1 KR 102651820 B1 KR102651820 B1 KR 102651820B1 KR 1020210172209 A KR1020210172209 A KR 1020210172209A KR 20210172209 A KR20210172209 A KR 20210172209A KR 102651820 B1 KR102651820 B1 KR 102651820B1
Authority
KR
South Korea
Prior art keywords
data
cloud
encryption
secaas
security
Prior art date
Application number
KR1020210172209A
Other languages
English (en)
Other versions
KR20230083837A (ko
Inventor
좌태빈
Original Assignee
주식회사 스패로우
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 스패로우 filed Critical 주식회사 스패로우
Priority to KR1020210172209A priority Critical patent/KR102651820B1/ko
Priority to US18/061,107 priority patent/US20230179404A1/en
Priority to JP2022193368A priority patent/JP2023083259A/ja
Publication of KR20230083837A publication Critical patent/KR20230083837A/ko
Application granted granted Critical
Publication of KR102651820B1 publication Critical patent/KR102651820B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/061Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Abstract

본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법은, 사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계, 고유 ID를 통해 암호화 키를 생성하는 단계, 데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계, 암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계를 포함하는 암호화 동작 단계와, 사용자가 데이터를 요청하는 단계, 암호화된 데이터와 암호화 키가 같이 전달되는 단계, 암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계, 복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화 하는 단계를 포함하는 복호화 동작 단계를 포함한다.

Description

기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법{Hybrid cloud-based SECaaS device for the security of confidential data and method thereof}
본 발명은 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS(Security as a Service) 장치 및 방법에 관한 것이다.
도 1은 전체적인 시스템의 구조도이며, AWS 클라우드 환경을 기본으로 소스코드 보안 및 어플리케이션 보안을 위한 정적 분석, 동적 분석 서비스를 제공한다.
정적 분석은 JAVA, JSP, Javascript, PHP, C#, ASP(.NET), Objective C, Python, HTML, SQL, XML 등 주요 프로그램 언어에 해당하는 국내외 다양한 점검 기준을 선택하여 소스코드의 보안 취약점 및 품질을 검사한다.
동적 분석은 기본적인 HTTP 메시지 분석에서 Ajax 분석까지 다양한 분석 및 브라우저에서 수행할 수 있는 이벤트 재현을 통해 웹 어플리케이션의 URL에 포함된 모든 하위 경로를 자동으로 수집하고, 수집된 경로에 존재하는 보안 취약점을 검출한다.
기본적으로 사용자는 퍼블릿 서브넷(오픈망)에 위치한 웹 어플리케이션(프론트엔드)을 통해 프라이빗 서브넷(폐쇄망) 내에 위치한 서버들에 접근(REST API 기반)하여 서비스를 이용한다. 프라이빗 서브넷(폐쇄망)에는 각 서비스를 위한 서버들과, DB, S3버킷(소스코드 저장을 위한 저장소)가 존재한다.
동적 분석의 경우 프로젝트 생성 시 대상 어플리케이션의 URL을 설정하고 해당 URL을 대상으로 분석을 수행한다. 이때 대상 어플리케이션에는 프로젝트 Key파일이 업로드 되어 있어야 하며, 프로젝트 Key파일 업로드 확인을 통해 대상 어플리케이션의 소유를 검증한다. 분석을 시작하면, URL 내 모든 하위 경로를 수집하고, 수집된 경로에 존재하는 보안 취약점을 검출하여 결과를 실시간으로 DB에 업로드한다.
정적 분석의 경우 소스코드 보안 취약점 확인을 위해 대상 소스코드 파일을 업로드 한다. 대상 소스코드 파일은 프라이빗 서브넷 내 S3 버킷에 업로드 되며, 해당 VPC 내에서만 접근이 가능하도록 구성되어 있다. S3 버킷에 업로드된 소스코드를 대상으로 보안 취약점을 검출하며, 결과를 실시간으로 DB에 업로드한다.
현재의 SECaaS(Security as a Service)는 퍼블릭 클라우드로만 구성되어 있기에, 모든 정보가 다 클라우드 내에 저장되어 관리되고, 그 안에는 소스코드 파일, 보안 취약점 결과 등 보안에 민감한 정보들도 포함되어 있다. 실제로 여러 고객사에서는 소스코드가 클라우드에 업로드 되는 것을 기피하여, SECaaS사용에 대한 반감을 가지는 경우도 존재한다. 위 문제를 해결하기 위해 PaaS 형태로 제공해보았으나, 고객이 직접 서버 관리를 해야하는 어려움이 따랐다.
상기와 같은 문제점을 해결하기 위한 본 발명의 목적은, SaaS 형태의 서비스를 통한 이점과 동시에 기밀 데이터의 보안성을 높일 수 있는 하이브리드 클라우드 기반 SECaaS를 구성한 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법을 제공하는 것이다.
본 발명의 목적을 달성하기 위한 일 실시예에 따른 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치는, 프로세서(processor); 및 프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory); 를 포함하되, 적어도 하나의 명령은 상기 프로세서가: 사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계; 고유 ID를 통해 암호화 키를 생성하는 단계; 데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계; 암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계; 를 포함하는 암호화 동작 단계; 및 사용자가 데이터를 요청하는 단계; 암호화된 데이터와 암호화 키가 같이 전달되는 단계; 암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계; 복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화 하는 단계; 를 포함하는 복호화 동작 단계; 를 수행하도록 구성될 수 있다.
상기 장치는, 고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신할 수 있다.
상기 장치는, 클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 클라우드에서는 복호화하여 데이터 사용 후 소멸 시키고 절대 클라우드 내 저장하지 않을 수 있다.
상기 장치는, 크기가 큰 파일의 암호화를 사용하고, 서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하여, 키교환시에는 비밀키를 XOR 연산 후 교환할 수 있다.
상기 장치는, 퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담을 경감하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 향상할 수 있다.
본 발명의 다른 목적을 달성하기 위한 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법은, 사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계; 고유 ID를 통해 암호화 키를 생성하는 단계; 데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계; 암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계; 를 포함하는 암호화 동작 단계; 및 사용자가 데이터를 요청하는 단계; 암호화된 데이터와 암호화 키가 같이 전달되는 단계; 암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계; 복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화 하는 단계; 를 포함하는 복호화 동작 단계; 를 포함할 수 있다.
상기 방법은, 고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신할 수 있다.
상기 방법은, 클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 클라우드에서는 복호화하여 데이터 사용 후 소멸 시키고 절대 클라우드 내 저장하지 않을 수 있다.
상기 방법은, 크기가 큰 파일의 암호화를 사용하고, 서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하여, 키교환시에는 비밀키를 XOR 연산 후 교환할 수 있다.
상기 방법은, 퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담을 경감하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 향상할 수 있다.
전술한 항 중 어느 한 항의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법을 구현하기 위한 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램일 수 있다.
전술한 항 중 어느 한 항의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 프로그램을 구현하기 위한 컴퓨터 판독 가능한 기록매체일 수 있다.
본 발명을 통하여, 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는 퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담 없이 쉽게 서비스를 제공하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 높여 고객의 요구사항을 충족시킬 수 있는 효과가 있다.
도 1은 Sparrow Cloud 시스템의 구조도이다.
도 2는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 구성도이다.
도 3은 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 암호화 서비스의 블럭도이다.
도 4는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 복호화 서비스의 블럭도이다.
도 5는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 암호화 동작 단계의 순서도이다.
도 6는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 복호화 동작 단계의 순서도이다.
도 7은 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 구성도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하여 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는 데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. "및/또는"이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
도 2는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 구성도이다.
도 2를 참조하면, 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는, 퍼블릭 클라우드와 온프레미스가 합쳐진 하이브리드 클라우드 형태이다. 기존의 SECaaS는 모든 정보를 클라우드 내에서 저장하기 때문에 보안에 민감한 정보가 사내가 아닌 외부에 저장된다는 단점이 있었다. 위 단점을 해결하기 위해 고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신한다.
클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 클라우드에서는 복호화하여 데이터 사용 후 소멸 시키고 절대 클라우드 내 저장하지 않는다.
암호화 알고리즘의 경우 암호 기법에 따라 대칭 키 암호화 알고리즘과 비대칭 키 암호화 알고리즘이 존재한다. 대칭 키 암호화의 경우 속도가 빠르지만 하나의 비밀키를 사용하기 때문에 키교환이 필요하여, 보안에 취약한 단점이 있다. 비대칭 키 암호화는 암호화, 복호화 시에 키가 각각 달라 키교환이 필요없지만 속도가 느린(대칭키의 약 10000배) 단점이 있다.
현재 서비스에서는 크기가 큰 파일의 암호화가 필요하고, 서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하였고, 그 중 고급 암호화 표준(Advanced Encryption Standard)를 사용한다. 대칭 키 암호화의 단점인 키교환시에는 비밀키를 XOR 연산 후 교환하여 보안에 취약한 문제를 해결한다.
도 3은 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 암호화 서비스의 블럭도이다.
도 3을 참조하면, 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)은 사용자가 데이터를 업로드 한다. 업로드 된 데이터에 따라 고유 ID가 생성된다(S310). 고유 ID를 통해 암호화 키(AES key)를 생성한다(S320). 데이터는 대칭 키 암호화 알고리즘(AES 알고리즘)을 사용하여 암호화 된다(S330). AES Key는 XOR 연산 후 암호화된 데이터와 함께 DB에 저장된다(S340).
도 4는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 복호화 서비스 구성도이다.
도 4를 참조하면, 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는, 사용자가 데이터를 요청한다(S410). 암호화된 데이터와 AES Key가 같이 전달된다(S420). AES Key를 XOR 연산하여 암호화 키를 복원한다(S430). 복원된 암호화 키와 AES 알고리즘을 사용하여 데이터를 복호화 한다(S440).
본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법은 310 단계 내지 340 단계로 구성되는 암호화 동작 단계와, 410 단계 내지 440 단계로 구성되는 복호화 동작 단계를 포함한다.
도 5는 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드
클라우드 기반 SECaaS 방법의 암호화 동작 단계의 순서도이다.
본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 암호화 동작 단계는 310 단계 내지 340 단계로 구성된다.
310 단계는 사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계(S310)이다.
320 단계는 고유 ID를 통해 암호화 키를 생성하는 단계(S320)이다.
330 단계는 데이터가 대칭 키 암호화 알고리즘(AES 알고리즘)을 사용하여 암호화 되는 단계(S330)이다.
340 단계는 암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계(S340)이다.
도 6은 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 복호화 동작 단계의 순서도이다.
본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 복호화 동작 단계는 410 단계 내지 440 단계로 구성된다.
410 단계는 사용자가 데이터를 요청하는 단계(S410)이다.
420 단계는 암호화된 데이터와 암호화 키가 같이 전달되는 단계(S420)이다.
430 단계는 암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계(S430)이다.
440 단계는 복원된 암호화 키와 AES 알고리즘을 사용하여 데이터를 복호화 하는 단계(S440)이다.
본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법은 암호화 동작 단계(S310 내지 S340)와 복호화 동작 단계(S410 내지 S440)를 수행하도록 구성된다.
상기 방법은, 고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신한다.
상기 방법은, 클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 클라우드에서는 복호화하여 데이터 사용 후 소멸 시키고 절대 클라우드 내 저장하지 않는다.
상기 방법은, 크기가 큰 파일의 암호화를 사용하고, 서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하고, 그 중 고급 암호화 표준(Advanced Encryption Standard)를 사용하여, 대칭 키 암호화의 단점인 키교환시에는 비밀키를 XOR 연산 후 교환하여 보안에 취약한 문제를 해결한다.
상기 방법은, 퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담을 경감하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 향상한다.
본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는 퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담 없이 쉽게 서비스를 제공하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 높여 고객의 요구사항을 충족시킨다.
도 7은 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 구성도이다.
도 7을 참조하면, 본 발명의 일 실시예의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는, 프로세서(1100), 메모리(1200), 송수신 장치(transceiver, 1300), 입력 인터페이스 장치(1400), 출력 인터페이스 장치(1500), 저장 장치(1600) 및 버스(bus)(1700)를 포함하여 구성될 수 있다.
본 발명의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는, 프로세서(processor)(1100) 및 프로세서(1100)를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory)(1200)를 포함하되, 적어도 하나의 명령은 상기 프로세서(1100)가, 사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계(S310), 고유 ID를 통해 암호화 키를 생성하는 단계(S320), 데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계(S330). 암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계(S340)를 포함하는 암호화 동작 단계(S300) 및 사용자가 데이터를 요청하는 단계(S410), 암호화된 데이터와 암호화 키가 같이 전달되는 단계(S420), 암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계(S430), 복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화 하는 단계(S440)를 포함하는 복호화 동작 단계(S400)를 수행하도록 구성된다.
프로세서(1100)는 중앙 처리 장치(central processing unit, CPU), 그래픽 처리 장치(graphics processing unit, GPU), 또는 본 발명의 실시예들에 따른 방법들이 수행되는 전용의 프로세서를 의미할 수 있다.
메모리(1200) 및 저장 장치(1600) 각각은 휘발성 저장 매체 및 비휘발성 저장 매체 중에서 적어도 하나로 구성될 수 있다. 예를 들어, 메모리(1200)는 읽기 전용 메모리(read only memory, ROM) 및 랜덤 액세스 메모리(random access memory, RAM) 중에서 적어도 하나로 구성될 수 있다.
또한, 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는 무선 네트워크를 통해 통신을 수행하는 송수신 장치(transceiver)(1300)를 포함할 수 있다.
또한, 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)는 입력 인터페이스 장치(1400), 출력 인터페이스 장치(1500), 저장 장치(1600) 등을 더 포함할 수 있다.
또한, 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)에 포함된 각각의 구성 요소들은 버스(bus)(1700)에 의해 연결되어 서로 통신을 수행할 수 있다.
본 발명의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치(1000)의 예를 들면, 통신 가능한 데스크탑 컴퓨터(desktop computer), 랩탑 컴퓨터(laptop computer), 노트북(notebook), 스마트폰(smart phone), 태블릿 PC(tablet PC), 모바일폰(mobile phone), 스마트 워치(smart watch), 스마트 글래스(smart glass), e-book 리더기, PMP(portable multimedia player), 휴대용 게임기, 네비게이션(navigation) 장치, 디지털 카메라(digital camera), DMB(digital multimedia broadcasting) 재생기, 디지털 음성 녹음기(digital audio recorder), 디지털 음성 재생기(digital audio player), 디지털 동영상 녹화기(digital video recorder), 디지털 동영상 재생기(digital video player), PDA(Personal Digital Assistant) 등일 수 있다.
본 발명의 실시예에 따른 방법의 동작은 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 프로그램 또는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의해 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어 분산 방식으로 컴퓨터로 읽을 수 있는 프로그램 또는 코드가 저장되고 실행될 수 있다.
또한, 컴퓨터가 읽을 수 있는 기록매체는 롬(rom), 램(ram), 플래시 메모리(flash memory) 등과 같이 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치를 포함할 수 있다. 프로그램 명령은 컴파일러(compiler)에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터(interpreter) 등을 사용해서 컴퓨터에 의해 실행될 수 있는 고급 언어 코드를 포함할 수 있다.
본 발명의 일부 측면들은 장치의 문맥에서 설명되었으나, 그것은 상응하는 방법에 따른 설명 또한 나타낼 수 있고, 여기서 블록 또는 장치는 방법 단계 또는 방법 단계의 특징에 상응한다. 유사하게, 방법의 문맥에서 설명된 측면들은 또한 상응하는 블록 또는 아이템 또는 상응하는 장치의 특징으로 나타낼 수 있다. 방법 단계들의 몇몇 또는 전부는 예를 들어, 마이크로프로세서, 프로그램 가능한 컴퓨터 또는 전자 회로와 같은 하드웨어 장치에 의해(또는 이용하여) 수행될 수 있다. 몇몇의 실시예에서, 가장 중요한 방법 단계들의 하나 이상은 이와 같은 장치에 의해 수행될 수 있다.
실시예들에서, 프로그램 가능한 로직 장치(예를 들어, 필드 프로그머블 게이트 어레이)가 여기서 설명된 방법들의 기능의 일부 또는 전부를 수행하기 위해 사용될 수 있다. 실시예들에서, 필드 프로그머블 게이트 어레이는 여기서 설명된 방법들 중 하나를 수행하기 위한 마이크로프로세서와 함께 작동할 수 있다. 일반적으로, 방법들은 어떤 하드웨어 장치에 의해 수행되는 것이 바람직하다.
이상 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.

Claims (12)

  1. 프로세서(processor); 및
    프로세서를 통해 실행되는 적어도 하나의 명령이 저장된 메모리(memory); 를 포함하되,
    적어도 하나의 명령은 상기 프로세서가:
    암호화 동작 단계, 및 복호화 동작 단계를 수행하도록 구성되며,
    상기 암호화 동작 단계는,
    사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계;
    고유 ID를 통해 암호화 키를 생성하는 단계;
    데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계; 및
    암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계;를 포함하고,
    상기 복호화 동작 단계는,
    사용자가 데이터를 요청하는 단계;
    암호화된 데이터와 암호화 키가 같이 전달되는 단계;
    암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계; 및
    복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화하는 단계;를 포함하며,
    클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 상기 클라우드에서는 복호화하여 데이터를 사용한 후 소멸시키고 상기 클라우드에 저장하지 않는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치.
  2. 청구항 1에 있어서, 상기 장치는,
    고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신하는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치.
  3. 삭제
  4. 청구항 1에 있어서, 상기 장치는,
    서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하여, 키교환시에는 비밀키를 XOR 연산 후 교환하는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치.
  5. 청구항 1에 있어서, 상기 장치는,
    퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담을 경감하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 향상한,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치.
  6. 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법에 있어서,
    암호화 동작 단계, 및 복호화 동작 단계를 포함하고,
    상기 암호화 동작 단계는,
    사용자에 의하여 업로드된 데이터에 따라 고유 ID가 생성되는 단계;
    고유 ID를 통해 암호화 키를 생성하는 단계;
    데이터가 대칭 키 암호화 알고리즘을 사용하여 암호화 되는 단계; 및
    암호화 키가 XOR 연산 후 암호화된 데이터와 함께 DB에 저장되는 단계;를 포함하고,
    상기 복호화 동작 단계는,
    사용자가 데이터를 요청하는 단계;
    암호화된 데이터와 암호화 키가 같이 전달되는 단계;
    암호화 키를 XOR 연산하여 암호화 키를 복원하는 단계; 및
    복원된 암호화 키와 대칭키 암호화 알고리즘을 사용하여 데이터를 복호화하는 단계;를 포함하며,
    클라우드와 온프레미스 간의 통신시 주고 받는 데이터는 모두 암호화를 거쳐 전달하며, 상기 클라우드에서는 복호화하여 데이터를 사용한 후 소멸시키고 상기 클라우드에 저장하지 않는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법.
  7. 청구항 6에 있어서, 상기 방법은,
    고객사 내 소스코드 및 보안 취약점 검출 결과 등 보안에 민감한 정보를 저장하기 위한 서비스를 구축하여 퍼블릭 클라우드와 통신하는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법.
  8. 삭제
  9. 청구항 6에 있어서, 상기 방법은,
    서비스를 제공하는 입장에서 처리 속도의 중요성을 판단하여 대칭 키 암호화로 선택하여, 키교환시에는 비밀키를 XOR 연산 후 교환하는,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법.
  10. 청구항 6에 있어서, 상기 방법은,
    퍼블릭 클라우드와 온프레미스의 결합인 하이브리드 클라우드 형태를 구성하여 기존의 퍼블릭 클라우드를 통해 사용자의 서버관리 부담을 경감하고, 동시에 기밀 데이터를 온프레미스에 구성한 저장소에 보관함으로써 보안성을 향상한,
    기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법.
  11. 청구항 6, 청구항 7, 청구항 9 및 청구항 10 중 어느 한 항의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법을 구현하기 위한 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램.
  12. 청구항 6, 청구항 7, 청구항 9 및 청구항 10 중 어느 한 항의 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 방법의 프로그램을 구현하기 위한 컴퓨터 판독 가능한 기록매체.
KR1020210172209A 2021-12-03 2021-12-03 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법 KR102651820B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020210172209A KR102651820B1 (ko) 2021-12-03 2021-12-03 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법
US18/061,107 US20230179404A1 (en) 2021-12-03 2022-12-02 Hybrid cloud-based security service method and apparatus for security of confidential data
JP2022193368A JP2023083259A (ja) 2021-12-03 2022-12-02 機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210172209A KR102651820B1 (ko) 2021-12-03 2021-12-03 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20230083837A KR20230083837A (ko) 2023-06-12
KR102651820B1 true KR102651820B1 (ko) 2024-03-27

Family

ID=86607037

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210172209A KR102651820B1 (ko) 2021-12-03 2021-12-03 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법

Country Status (3)

Country Link
US (1) US20230179404A1 (ko)
JP (1) JP2023083259A (ko)
KR (1) KR102651820B1 (ko)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116800423B (zh) * 2023-08-28 2023-11-03 长沙盈芯半导体科技有限公司 基于rfid的数据采集及双重加密解密数据保护方法和装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20130140948A (ko) * 2012-05-17 2013-12-26 삼성전자주식회사 저장 장치의 식별자에 기반한 컨텐츠의 암복호화 장치 및 방법
KR101949196B1 (ko) * 2017-04-24 2019-02-19 (주)유엠로직스 프라이빗 보안통제 브로커 시스템 및 그 보안통제 방법

Also Published As

Publication number Publication date
KR20230083837A (ko) 2023-06-12
US20230179404A1 (en) 2023-06-08
JP2023083259A (ja) 2023-06-15

Similar Documents

Publication Publication Date Title
EP3210157B1 (en) Encrypted collaboration system and method
CN107689869B (zh) 用户口令管理的方法和服务器
CN105408913B (zh) 在云中隐私地处理数据
US9070112B2 (en) Method and system for securing documents on a remote shared storage resource
US20180124023A1 (en) Method, system and apparatus for storing website private key plaintext
JP2017112592A (ja) ウェブページの暗号化送信のためのシステム及び方法
US11075753B2 (en) System and method for cryptographic key fragments management
CN105871805A (zh) 防盗链的方法及装置
CN114826733B (zh) 文件传输方法、装置、系统、设备、介质以及程序产品
CN110708291A (zh) 分布式网络中数据授权访问方法、装置、介质及电子设备
Bhargav et al. A review on cryptography in cloud computing
Singh et al. Enhancing data security in cloud using Split algorithm, Caesar cipher, and Vigenere cipher, homomorphism encryption scheme
KR102651820B1 (ko) 기밀 데이터의 보안성을 위한 하이브리드 클라우드 기반 SECaaS 장치 및 방법
Sun et al. New fair multiparty quantum key agreement secure against collusive attacks
CN108985109A (zh) 一种数据存储方法及装置
US10043015B2 (en) Method and apparatus for applying a customer owned encryption
CN110166226B (zh) 一种生成秘钥的方法和装置
Rao et al. Data security in cloud computing
Kaur et al. HESSIS: Hybrid Encryption Scheme for Secure Image Sharing in a Cloud Environment
Rijanandi et al. Implementation of encrypt national ID card in Sinovi application use waterfall methodology
Smriti et al. Secure File Storage in Cloud Computing Using a Modified Cryptography Algorithm
Siopi et al. DeCStor: A Framework for Privately and Securely Sharing Files Using a Public Blockchain
Pokharana et al. Encryption, File Splitting and File compression Techniques for Data Security in virtualized environment
Gagged et al. Improved secure dynamic bit standard technique for a private cloud platform to address security challenges
Wani et al. Secure File Storage on Cloud Using a Hybrid Cryptography Algorithm

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right