KR20120124310A - 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템 - Google Patents

다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템 Download PDF

Info

Publication number
KR20120124310A
KR20120124310A KR1020110042143A KR20110042143A KR20120124310A KR 20120124310 A KR20120124310 A KR 20120124310A KR 1020110042143 A KR1020110042143 A KR 1020110042143A KR 20110042143 A KR20110042143 A KR 20110042143A KR 20120124310 A KR20120124310 A KR 20120124310A
Authority
KR
South Korea
Prior art keywords
service
user
mcsp
user terminal
isp
Prior art date
Application number
KR1020110042143A
Other languages
English (en)
Inventor
허의남
나상호
박준영
김진택
Original Assignee
인텔렉추얼디스커버리 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔렉추얼디스커버리 주식회사 filed Critical 인텔렉추얼디스커버리 주식회사
Priority to KR1020110042143A priority Critical patent/KR20120124310A/ko
Publication of KR20120124310A publication Critical patent/KR20120124310A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 클라우드 컴퓨팅 시스템에 관한 것으로, 더욱 상세하게는 클라우드 컴퓨팅 시스템에서의 사용자 정보를 보호하기 위한 보안 방법 및 보안 장치에 관한 것이다.
이를 위해 본 발명이 클라우드 컴퓨팅 시스템은 사용자 단말, 상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP), 접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP), 서비스를 제공하는 클라우드 서비스 제공부(CSP)를 포함한다.

Description

다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템{Security System for Multi Cloud Computing Collaboration}
본 발명은 클라우드 컴퓨팅 시스템에 관한 것으로, 더욱 상세하게는 다중 협업 기반의 클라우드 컴퓨팅 환경에서 사용자 정보 보호가 가능한 클라우드 컴퓨팅 서비스 구성 및 협업 방법과 그에 필요한 보안 장치에 관한 것이다.
클라우드 컴퓨팅은 대규모의 IT 자원을 가상화 기술과 분산처리 기술을 활용하여 인터넷으로 컴퓨팅 자원을 서비스하여 사용한 만큼의 요금을 지불하는 컴퓨팅 서비스이다. 즉, 클라우드 컴퓨팅은 서로 다른 물리적인 위치에 존재하는 컴퓨팅 자원을 가상화 기술로 하나로 통합하여 제공하는 '인터넷 기반 사용자 중심의 주문형 아웃소싱 서비스 기술이다.
인터넷이 제공된다면, 사용자만의 컴퓨팅 환경을 시간과 장소에 상관없이 사용이 가능하며, 사용한 시간만큼의 요금을 부과하며, 하드웨어/소프트웨어와 사후 서비스 등과 같은 모든 서비스는 클라우드 컴퓨팅 환경에서 제공받을 수 있기 때문에 시스템 유지, 보수 비용과 하드웨어/소프트웨어 구매비용, 에너지 절감 등의 효과를 기대할 수 있다.
클라우드 컴퓨팅 서비스가 주목 받으면서 구글, 아마존, 애플, 마이크로소프트와 같은 IT 대기업이 클라우드 컴퓨팅 시대를 열어가고 있다. 클라우드 컴퓨팅 서비스는 퍼블릭 클라우드(Public Cloud), 프라이빗 클라우드(Private Cloud) 등 4가지의 클라우드 컴퓨팅 서비스 타입으로 발전하고 있으며, 최근 퍼블릭 클라우드와 프라이빗 클라우드의 서비 타입을 결합한 퍼스널 클라우드(Personal Cloud) 컴퓨팅 서비스가 제공되고 있다.
퍼블릭 클라우드 서비스는 불특정 다수의 사람들에게 인터넷을 통해 클라우드 서비스를 제공한다. 퍼블릭 클라우드 서비스가 무료 또는 데이터 및 소스 오픈을 의미하지 않으며 사용자 접근제어 및 요금청구 등의 서비스를 제공한다. 퍼블릭 클라우드는 서비스 제공자가 사용자의 정보를 관리하고 모든 리소스를 공유하므로 개인 정보보호에 취약한 면이 있다.
프라이빗 클라우드 서비스는 퍼블릭 클라우드 서비스와 같은 컴퓨팅 환경을 제공하며 특정 기업 또는 기관에서서비스, 데이터 그리고 프로세스를 직접 관리하는 서비스를 의미한다. 보안을 위해서 외부와의 접촉을 피하고 인증된 사람만 접근이 가능한 폐쇄적인 클라우드 서비스 모델이다.
커뮤니케이션 클라우드 서비스는 특정 집단을 위한 클라우드 컴퓨팅 서비스로써, 구성원들에게만 접근 권한을 부여한다. 집단의 구성원들은 서로 데이터 및 응용프로그램 등을 서로 공유한다.
하이브리드 클라우드 서비스는 퍼블릭 클라우드 서비스와 프라이빗 클라우드 서비스의 결합한 서비스로써, 퍼블릭 클라우드 서비스를 기본적으로 제공하며 공유를 원치 않는 데이터 및 서비스는 프라이빗 클라우드 서비스 정책을 따른다.
클라우드 컴퓨팅 서비스 구조는 사용자의 요구에 맞춰 사용자만의 컴퓨팅 환경을 제공하는 인프라형 서비스 구조와 사용자의 컴퓨팅 목적에 맞는 플랫폼을 선택하여 사용할 수 있는 환경을 제공하는 플랫폼형 서비스 구조 및 사용자가 사용 목적에 맞는 소프트웨어를 선택하여 사용할 수 있는 환경을 제공하는 소프트웨어 서비스 구조로 구분된다.
현재 클라우드 컴퓨팅 서비스 모델은 단일 클라우드 서비스 제공자 환경을 전제하지만, 향후 클라우드 컴퓨팅 서비스는 다양한 사업자 간 협업을 통해 다양한 서비스가 조합된 새로운 사용자 주문형 클라우드 서비스가 나타날 것으로 기대된다.
기존 인터넷은 호스트-클라이언트 구조로 사용자가 서버로 접속하여 인터넷을 사용하고 있다. 이러한 경우 보안 경계 즉 신뢰할 수 있는 부분과 신뢰할 수 없는 부분으로 구분된다. 신뢰할 수 있는 부분과 신뢰할 수 없는 부분은 사용자가 관리가 가능한 지 여부에 따라 구분된다. 사용자 로컬에 존재하는 컴퓨터, 스토리지, 방화벽 등처럼 사용자가 직접 관리 및 제어가 가능한 영역은 신뢰할 수 있는 부분이며, 네트워크, 서버, 웹스토리지와 같이 사용자가 직접 볼 수 없고 제어가 불가능한 영역은 신뢰할 수 없는 부분으로 구분된다.
하지만, 아웃소싱으로 이루어지는 클라우드 컴퓨팅 환경에서는 서비스 제공을 위한 클라우드 컴퓨팅 구성 요소(사용자, 클라이언트 단말, 클라우드 서비스 제공자 등) 간 사용자가 인지 가능한 보안 경계가 불분명해진다. 특히 전술한 다중 클라우드 서비스 제공자 간 협업 기반의 서비스 제공을 받기 위해서 사용자의 정보는 서비스 제공자 간 전달, 가공 및 처리 되어야 한다.
특히, 사용자 중심의 주문형 아웃소싱 컴퓨팅 서비스는 사용자 인증 및 이용요금 청구, 사용자 서비스 성향 등 사용자의 정보보호가 필요하며 협업 기반의 클라우드 컴퓨팅 서비스 환경을 고려한 사용자 중심의 주문형 컴퓨팅 서비스만의 새로운 보안 서비스와 시스템이 요구된다. 부가하여 설명하면, 기업을 위한 클라우드 컴퓨팅뿐만 아니라 개인화된 퍼스널 클라우드 컴퓨팅 제공을 위한 다양한 서비스가 준비되고 있는 현 시점에서 클라우드 서비스(또는 서비스 제공자) 간 사용자의 정보(개인 정보 및 서비스 관련 정보)가 안전하게 전달될 수 있는 클라우드 보안 서비스에 대한 필요성이 요구된다. 클라우드 컴퓨팅이 발전하면서 클라우드 컴퓨팅의 신뢰성, 보안성, 법적 문제, 개인정보보호 문제, 표준화 등 제반 문제에 대한 필요성이 요구된다.
본 발명이 해결하려는 과제는 다중 협업 기반의 클라우드 컴퓨팅 시스템에서 사용자의 정보를 효율적으로 보호할 수 있는 사용자 주문형 컴퓨팅 서비스 구성 및 제공 방안을 제안함에 있다.
본 발명이 해결하려는 다른 과제는 다중 협업 기반의 클라우드 컴퓨팅 시스템에서 사용자의 정보를 효율적으로 보호할 수 있는 사용자 중심의 주문형 컴퓨팅 서비스를 위한 보안 서비스를 제안함에 있다.
본 발명이 해결하려는 또 다른 과제는 다중 협업 기반의 클라우드 컴퓨팅 시스템에서 해킹을 통해 사용자 ID가 노출이 되더라도 사용자의 개인 정보와 데이터를 추적하는 것이 불가능한 사용자 중심의 주문형 컴퓨팅 서비스를 제안함에 있다.
이를 위해 본 발명의 클라우드 컴퓨팅 시스템은 사용자 단말, 상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP), 접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP)을 포함한다.
이를 위해 본 발명은 클라우드 컴퓨팅 시스템은 사용자 단말, 상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP), 접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP), 서비스를 제공하는 클라우드 서비스 제공부(CSP)를 포함하며, 상기 사용자 단말과 상기 ISP는 제1암호화 알고리즘을 이용하며, 상기 ISP와 MCSP는 제2암호화 알고리즘을 이용하며, 상기 MCSP와 CSP는 제3암호화 알고리즘을 이용한다.
이를 위해 본 발명은 클라우드 컴퓨팅 시스템은 사용자 단말, 상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP), 접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP), 서비스를 제공하는 클라우드 서비스 제공부(CSP)를 포함하며, 상기 사용자 단말과 상기 ISP는 식별자를 이용하며, 상기 ISP와 MCSP는 상기 식별자로부터 파생된 가상 식별자를 이용하며, 상기 MCSP와 CSP는 상기 가상 식별자로부터 파생된 서비스 가상 식별자를 이용한다.
본 발명에 따른 클라우드 컴퓨팅 시스템은 사용자 단말과 ISP사이의 암호화 알고리즘과 ISP와 MCSP사이의 암호화 알고리즘, MCSP와 CSP 사이의 암호화 알고리즘을 다르게 설정함으로서 사용자 단말, ISP, MCSP, CSP 간 보안 신뢰 구간이 형성되며 이에 따라 사용자 정보를 효율적으로 보호할 수 있게 된다.
본 발명에 따른 클라우드 컴퓨팅 시스템은 서비스 구성 시 MCSP가 다중 CSP 간의 사용자 정보 전달 및 클라우드 서비스 자원 접근을 통제함에 따라 다중 CSP 간 사용자 정보 전달, 가공 및 처리에 있어 사용자 정보 보호가 가능하다.
본 발명에 따른 클라우드 컴퓨팅 시스템은 사용자 단말과 ISP사이의 사용자 식별자와 ISP와 MCSP사이의 사용자 식별자, MCSP와 CSP 사이의 사용자 식별자를 다르게 설정함으로서 사용자 정보를 효율적으로 보호할 수 있게 된다.
즉, 본 발명은 클라우드 컴퓨팅 환경에서 서비스 제공을 위한 각 구성 요소(사용자 단말, ISP, MCSP, CSP) 간 신뢰 구간을 생성하여 사용자 정보의 안전한 전달, 가공 및 처리가 가능하며, 다양한 개인 정보 노출 위협에서 사용자 정보를 효율적으로 보호할 수 있는 사용자 중심의 주문형 컴퓨팅 서비스를 구현할 수 있다.
도 1은 본 발명의 일실시 예에 따른 클라우딩 컴퓨팅 시스템을 도시하고 있다.
도 2는 본 발명의 일실시 예에 따른 사용자가 ISP에 회원 가입하는 절차를 도시하고 있다.
도 3은 본 발명의 일실시 예에 따른 MCSP의 구성을 도시한 블록도이다.
도 4는 본 발명의 일실시 예에 따른 사용자가 개인 정보를 ISP로 위임하는 과정과 MCSP에 로그인 과정을 도시하고 있다.
도 5는 본 발명의 일실시 예에 따른 사용자 서비스를 구성하는 과정을 도시한 흐름도이다.
도 6은 본 발명의 일실시 예에 따른 MCSP 회원으로 가입하는 절차 및 이용하는 절차를 도시하고 있다.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시 예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명의 이러한 실시 예를 통해 당업자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.
도 1은 본 발명의 일실시 예에 따른 클라우딩 컴퓨팅 시스템을 도시하고 있다. 이하 도 1을 이용하여 본 발명의 일실시 예에 따른 클라우딩 시스템에 대해 상세하게 알아보기로 한다.
도 1에 의하면, 클라우딩 컴퓨팅 시스템은 사용자 단말(User), 사용자 증명 서비스 제공부(Identification Service Provider: ISP, 마켓 기반의 클라우드 서비스 포털(Market-based Cloud Service Portal: MCSP, 클라우드 서비스 포털), 클라우드 서비스 제공부(Cloud Service Provider: CSP)를 포함한다. 물론 상술한 구성 이외에 다른 구성이 클라우딩 컴퓨팅 시스템에 포함될 수 있음은 자명한다. 이하 클라우딩 컴퓨팅 시스템을 구성하는 구성 요소에 대해 상세하게 알아보기로 한다.
사용자 단말(100)은 사용자의 개인 정보를 제 3의 공인된 ISP(110)에게 위임한다. 사용자 단말(100)은 종류에 상관없이 웹 브라우저와 같은 프로그램을 통해 사용자 주문형 서비스를 이용한다.
ISP(110)는 공인된 제 3의 서비스 제공자 혹은 공공기관을 포함한다. ISP(110)는 사용자의 개인 정보를 위임받아 관리한다. 사용자 단말(100)의 사용자는 인증서나 오픈 아이디 등과 같은 다양한 인증 수단을 이용하여 ISP(110)에 가입한다. ISP(110)는 사용자가 가입하고자 하는 사이트로부터 위임 인증 요청에 따라 사용자에 대한 인증 및 인증 결과를 통보한다. 사용자 단말(100)의 사용자가 ISP(110)에 가입하는 절차에 대해서는 후술하기로 한다.
ISP(110)는 가입한 사용자의 정보를 사용자의 개인키를 이용하여 암호화하여 관리하며, 사용자의 요청에 따라 개인 정보의 무결성 및 기밀성 등에 대한 감사 기능을 제공한다.
ISP(110)는 사용자 주문형 서비스뿐만 아니라 다양한 인터넷 기반 서비스별 가상 ID(Pseudo ID)를 관리한다. 이를 위해 ISP(110)는 사용자가 특정 서비스를 요청하면 해당 서비스를 이용하기 위한 가상 ID를 생성한다. 이외에도 ISP(110)는 가입된 사용자의 사전 협약에 따라 사용자의 공개키를 배포할 수 있는 권한을 가진다.
가상 ID에 대해 부가하여 설명하면, ISP(110)는 사용자의 요청에 따라 서비스 가입 시 각 서비스별 가상 ID를 생성한다. 또한, ISP(110)는 MCSP(120)에서 사용자가 특정 클라우드 서비스 제공자의 서비스를 구매할 경우, 사용자를 대신하여 해당 클라우드 서비스 제공자에게 사용자 인증을 제공하며, 클라우드 서비스 제공자가 제공하는 서비스를 제공받기 위해 서비스에 가입한다.
도 2는 본 발명의 일실시 예에 따른 사용자가 ISP에 회원 가입하는 절차를 도시하고 있다.
S200단계에서 사용자(사용자 단말)(100)는 ISP(110)에 회원 가입하기 위해 자신의 개인정보와 식별자(ID)와 패스워드를 제공한다.
S202단계에서 ISP(110)는 회원 등록을 요청한 사용자에 대해 사용자 인증 후 사용자가 원하는 식별자를 발급한다. ISP(110)는 사용자 정보를 암호화하여 저장하며, 타 기관으로부터 요청받은 사용자 인증 과정을 수행한다.
도 3은 본 발명의 일실시 예에 따른 MCSP의 구성을 도시한 블록도이다. 이하 도 3을 이용하여 본 발명의 일실시 예에 따른 MCSP의 구성에 대해 상세하게 알아보기로 한다.
MCSP(120)는 다중 협업 클라우드 서비스 브로커 기능을 수행하며, 일종의 서비스 판매 중개업자로서 다양한 클라우드 서비스 제공자(CSP)의 판매를 대행하며 사용자가 구매한 다양한 CSP의 서비스 구성, 관리 및 사용자 환경을 제공한다. 이를 위해 MCSP(120)는 클라우드 서비스 제공자(CSP)와 계약 및 상호 인증 과정이 필요하다.
MCSP(120)는 사용자가 클라우드 서비스의 구매를 요청할 경우, 웹 혹은 어플리케이션 형태의 사용자 인터페이스(User Interface: UI)를 제공한다. 즉, MCSP(120)는 CSP(130)에서 제공하는 서비스의 종류에 따라 UI을 제공하거나 URL(Uniform Resource Locator) 리다이렉션(Redirection)을 제공하여 사용자가 해당 서비스를 이용할 수 있도록 한다.
MCSP(120)의 보안부(Security)(300)는 접근 제어부(Access Control)(302), 보안/개인 정책 집행부(Security/Privacy Policy Enforcement)(310), 키 관리부(Key Management)(312)를 포함한다.
접근 제어부(302)는 사용자 인증부(Authentication)(304), 사용자 허가부(Authorization)(306), 사용자 증명부(Identification)(308)를 포함한다.
사용자 인증부(304)는 사용자가 CSP(13)에 로그인 시 사용자는 자신을 대신하여 위임 인증을 수행할 ISP 주소와 함께 ISP ID 정보를 전달한다. 사용자 인증부(304)는 전달받은 ISP 주소로 ISP ID와 함께 리다렉션을 수행하고 인증을 요청한다. ISP(110)는 사용자의 입력을 받아 위임 인증을 수행하고 인증 후 해당 MCSP(120)에게 사용자의 개인키로 암호화된 PID, 사용자 정보를 포함한 공개키를 암호화 하여 전달한다.
사용자 허가부(306)는 PID와 사용자 정보를 통해 서비스 권한 확인 및 구매한 주문형 서비스 내역 등을 확인하고, XML을 이용하여 PSP(Personal Service Profile)를 작성하여 후술할 사용자 서비스 구성부(324)에게 서비스 구성을 요청한다.
사용자 증명부(308)는 전달 받은 PID, 사용자 정보를 전달 받은 공개키를 이용하여 복호화하고 신원 증명을 확인한다.
보안/개인 정책 집행부(310)는 MCSP(120)의 보안 정책을 담당하여, 키 관리부(312)는 서비스를 이용하고자 하는 사용자 또는 서비스에 맞는 키를 제공하거나 관리한다.
가상 사설망(Virtual Private Network: VPN)(316)은 사용자에게 서비스를 제공하기 위해 개인 네트워크를 구성하며, 각각의 서비스는 가상 사설망에 할당하여 제공한다.
가설 사설망 관리부(VPN manager)(314)는 가상 사설망 서비스를 위해 개인 네트워크를 생성하거나 관리한다.
서비스 브로커(Service Broker)(318)는 다양한 사용자 서비스를 위한 VPN 세션을 관리한다. 즉, 서비스 브로커(318)는 VPN 관리부(314)를 통해 서비스 별 세션 생성에서부터 서비스 종료 시 구성된 VPN(316) 및 사용자 데이터(사용자 정보 및 서비스 캐쉬 데이터) 삭제를 요청하며, 일정 기간 동안 사용되지 않는 서비스를 종료하는 등 사용자 서비스와 관련된 MCSP(120)의 전반적인 기능을 제어한다.
서비스 감시부(Service Auditing)(322)는 사용자가 올바르게 서비스를 사용하는지 감시하며, 이상 트래픽 및 권한 침입을 감시한다. 또한 서비스 감시부(322)는 MCSP(120)의 전반적인 보안 서비스를 감시한다.
서비스 게이트웨이(Service Gateway)(320)는 MCSP(120)와 CSP(130)간 안전한 통신을 수행하며, 특히 각각의 CSP(130)와 VPN(316) 등의 안전한 통신망을 이용하여 통신을 수행하도록 한다. 이를 위해 서비스 게이트웨이(320)는 각 CSP(130)와 안전한 통신 세션을 구성하며, 구성된 통신 세션을 제어한다.
사용자 서비스 구성부(324)는 사용자 PSP를 접근 제어부(302)로부터 전달받아 서비스를 구성한다. 사용자 서비스 구성부(324)는 서비스 이용을 위해 CSP(130)와 통신 시 각 CSP에서 제공하는 오픈 API를 이용한다. 사용자의 서비스를 구성하는 과정에 대해서는 후술하기로 한다.
서비스 자원 관리부(Service Asset Manager, SAM, 자원 관리부)(330)는 사용자 서비스 구성을 위하여 각 CSP에서 제공하는 서비스 자원에 대한 관리하며, PSP를 기반으로 명시된 자원에 대한 정보(서비스 URL, 스토리지, CPU 등) 관리한다.
서비스 자원 관리부(330)는 PSP에 명시된 CSP(130)들에게 각각의 클라우드 서비스를 위한 SP(Service Profile)와 함께 서비스 요청하며, CSP(130)간 서비스 자원 공유 및 협업 시 필요 정보를 제공한다. 일예를 들어 설명하면 사용자가 A사의 어플리케이션 서비스(예:SaaS)를 이용한 후 데이터를 B사의 스토리지 서비스(예:IaaS)에 저장할 때, A사의 서비스에서 B사의 스토리지에 접근할 경우 A사의 어플리케이션은 SAM에게 B사의 IaaS에 접근할 정보(URL, IP Address, 사용자 아이디 등)를 획득하여 접근한다.
서비스 자원 관리부(330)는 자원의 사용 현황 정보 등을 각 CSP에서 수집하여 업데이트 및 관리하며, 필요로 하는 구성요소로 제공한다.
서비스 제공부(Service Enabler)(328)는 서비스 제공을 위해 VPN 관리부(328)에게 서비스 세션 생성을 요청하며, 서비스 제공을 위한 환경을 구성한다.
정책 관리부(326)는 서비스, 사용자별 보안 정책을 관리한다.
서비스 모니터링부(Service Monitoring)(332)는 서비스 오류 및 정확한 서비스를 제공하기 위해 지속적인 서비스 감시를 수행한다.
도 4는 본 발명의 일실시 예에 따른 사용자가 개인 정보를 ISP로 위임하는 과정과 MCSP(120)에 로그인 과정을 도시하고 있다. 이하 도 4를 이용하여 사용자가 개인 정보를 ISP로 위임하는 과정과 MCSP에 로그인 과정에 대해 상세하게 알아보기로 한다.
S400단계에서 사용자(사용자 단말)(100)는 ISP(110)로 회원 가입과 함께 개인 정보를 위임한다.
S402단계에서 사용자(100)는 웹 브라우저를 통해 MCSP(120)에 로그인한다. 로그인은 사용자의 식별자와 ISP 주소를 이용한다.
S404단계에서 MCSP(120)는 사용자로부터 제공받은 ISP 주소로 제공받은 식별자의 승인을 요청한다. 물론 MCSP(120)는 승인 결과를 제공받을 MCSP(120) 주소를 ISP(110)로 전달한다.
S406단계에서 ISP(110)는 MCSP(120)로부터 요청받은 식별자에 대한 승인 결과를 제공받은 MCSP 주소로 제공한다.
S408단계에서 MCSP(120)는 ISP(110)로부터 식별자에 대한 승인 결과를 제공받으면 해당 사용자에 대한 사용자 서비스를 구성한다. 물론 MCSP(120)는 ISP(110)로부터 제공받은 각 서비스별로 사용할 가상 ID를 이용하여 사용자 서비스를 구성한다.
상술한 도 4에 도시되어 있는 바와 같이 MCSP(120)에서의 로그인 과정은 접근 제어부에서 수행한다.
도 5는 본 발명의 일실시 예에 따른 사용자 서비스를 구성하는 과정을 도시한 흐름도이다. 이하 도 5를 이용하여 본 발명의 일실시 예에 따른 사용자 서비스를 구성하는 과정에 대해 상세하게 알아보기로 한다.
S500단계에서 사용자 서비스 구성부는 접근 제어부로부터 사용자 PSP를 제공받아 사용자 서비스를 구성한다.
S502단계에서 사용자 서비스 구성부는 PSP를 서비스 자원 관리부로 전달한다.
S504단계에서 서비스 자원 관리부는 사용자 서비스 구성부에서 제공받은 사용자 서비스를 게이트웨이로 요청한다.
S506단계에서 게이트웨이는 사용자가 요청한 서비스를 제공하는 CSP로 서비스를 요청한다. 상술한 바와 같이 게이트웨이는 CSP와 통신시 각 CSP에서 제공하는 오픈 API를 이용한다.
S508단계에서 CSP는 게이트웨이를 통해 요청받은 서비스를 사용자가 서비스 구성부로 제공한다.
도 6은 본 발명의 일실시 예에 따른 MCSP 회원으로 가입하는 절차 및 이용하는 절차를 도시하고 있다. 이하 도 6을 이용하여 본 발명의 일실시 예에 따른 MCSP 회원으로 가입하는 절차 및 이용하는 절차에 대해 상세하게 알아보기로 한다.
S600단계에서 사용자(100)는 MCSP(120)에 회원 가입을 요청한다. 사용자(100)는 CSP 서비스를 제공받기 위해서 MCSP(120)에 가입 후 서비스를 구매해야 한다. 사용자 인증은 사용자 - ISP(110) - MCSP(120) 사이에서 이루어진다.
S602단계에서 MCSP(120)는 ISP(110)로 사용자 인증을 요청한다. MCSP(120)는 사용자 로그인 시 입력된 ID, 패스워드(PW) 정보를 선택된 ISP(110)로 리다이렉션하며, 인증을 요청한다. 입력된 ID, PW는 리다이렉션을 이용하므로 MCSP(120)에는 ID, PW정보가 남지 않는다.
S604단계에서 ISP(110)는 사용자 인증 후 해당 MCSP(120)의 가입을 위한 가상(Pseudo ID, PID) 발급한다. ISP(110)는 MCSP(120)에게만 PID, MCSP 요청 정보(서비스와 관련된 사용자 관심/취향 정보)를 암호화해서 전달한다. ISP(110)는 가입한 MCSP(120)에 사용될 PID 및 서비스 요청 정보를 XML 형태의 사용자 서비스 프로파일(User Service Profile: USP)로 암호화하여 저장한다.
S606단계에서 MCSP(120)는 ISP(110)로부터 전달받은 USP(User Service Profile)을 이용하여 XML 형태의 Personal Service Profile(PSP) 생성한다. MCSP(120)는 사용자에게 인증 결과를 전달하며, 가입을 승인한다.
S608단계에서 사용자는 MCSP(120)를 통해 원하는 CSP 서비스를 구매한다. 이를 위해 MCSP(120)는 서비스 이용을 위해 SPID(Service Pseudo ID; 서비스 가상 식별자, 서비스 가상 ID) 생성하고, 생성한 SPID를 이용하여 CSP에 가입을 요청한다.
S610단계에서 CSP는 MCSP(120)가 요청한 가입을 승인하며, 사용자는 MCSP(120)를 통해 원하는 CSP 서비스를 구매한다. 즉, MCSP(120)는 SPID를 이용하여 원하는 CSP 서비스를 구매하여 관리한다.
S612단계에서 MCSP(120)는 PSP 업데이트하며, 구매한 서비스 정보(SPID, 서비스 정보 등)를 ISP(110)에 전달한다. 또한, MCSP(120)는 CSP 서비스를 위해 각 서비스별로 SPID를 생성하여 관리한다. MCSP(120)는 사용자 서비스가 종료되는 시점에 PSP 및 관련 데이터 모두 삭제한다.
부가하여 설명하면, 사용자가 특정 CSP의 서비스를 요청하면, MCSP(120)는 해당 서비스의 구매 여부를 확인한다. MCSP(120)는 해당 서비스를 기존에 구매하지 않았으면 새로운 SPID 생성하여 상술한 구매 절차를 수행한다.
CSP는 사용자가 요청한 서비스를 제공하며, MCSP(120)의 사용자 서비스 관리부는 변경된 사용자 서비스 정보인 PSP를 업데이트한다.
이후 사용자가 MCSP(120)에 로그아웃을 요청하면, MCSP(120)는 서비스 제공 중단과 함께 최종 업데이트된 PSP를 ISP(110)로 전송한다. MCSP(120)는 서비스 제공 중에 사용된 모든 데이터와 PID를 삭제하고, 로그아웃을 수행한다. ISP(110)는 MCSP(120)로부터 전송받은 PSP를 이용하여 USP 갱신하여 저장한다.
이와 같이 본 발명은 계층별로 상이한 ID를 사용한다. 사용자-ISP(110)에서는 ISP ID를 사용하며, ISP(110)-MCSP(120)에서는 PID를 사용하며, MCSP(120)-CSP에서는 SPID를 사용한다. 즉, 각 단계는 서로 다른 ID를 발급하여 사용한다.
부가하여 설명하면, 사용자-ISP(110)에서는 제1암호화 알고리즘을 이용하여 정보를 송수신하며, ISP(110)-MCSP(120)에서는 제2암호화 알고리즘을 이용하여 정보를 송수신하며, MCSP(120)-CSP에서는 제3암호화 알고리즘을 이용하여 정보를 송수신한다.
이와 같이 개인정보 보호를 위해서 단계별 서로 다른 ID를 발급하거나, 서로 다른 암호화 알고리즘을 이용함으로써, 해킹을 통해 사용자 ID가 노출이 되더라도 사용자의 개인 정보와 사용자가 어떤 데이터를 사용하는지 파악이 어렵게 된다.
본 발명은 도면에 도시된 일실시 예를 참고로 설명되었으나, 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다.
100: 사용자 단말 110: ISP
120: MCSP 130: CSP
300: 보안부 310: 보안/개인정책 집행부
318: 서비스 브로커 322: 서비스 감시부
324: 사용자 서비스 구성부 330: 서비스 자원 관리부

Claims (12)

  1. 사용자 단말;
    상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP);
    접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP)을 포함함을 특징으로 클라우드 컴퓨팅 시스템.
  2. 제 1항에 있어서, 상기 사용자 증명 서비스 제공부는,
    상기 MCSP로부터 제공받은 상기 사용자 단말의 식별자에 대해 상기 접속을 허락하면, 상기 사용자 단말의 식별자로부터 파생된 가상 식별자를 상기 MCSP로 제공함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  3. 제 2항에 있어서, 상기 사용자 증명 서비스 제공부는,
    제2 암호화 알고리즘에 의해 암호화한 상기 가상 식별자(PID)와 사용자 서비스 정보(USP)를 상기 MCSP로 제공함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  4. 제 1항에 있어서, 상기 MCSP는,
    상기 ISP로부터 제공받은 USP를 이용하여 개인 서비스 프로파일(PSP)을 생성함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  5. 제 4항에 있어서, 상기 MCSP는,
    상기 사용자 단말이 클라우드 서비스 제공부(CSP)에서 제공하는 서비스의 구매를 요청하면, 상기 서비스 구매를 위해 서비스 가상 식별자(SPID)를 생성함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  6. 제 5항에 있어서, 상기 MCSP는,
    상기 CSP로부터 서비스 구매하면, 저장되어 있는 개인 서비스 프로파일(PSP)를 업데이트함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  7. 제 6항에 있어서, 상기 MCSP는,
    상기 CSP로부터 서비스 구매하면, 상기 SPID와 서비스 구매 내역을 상기 ISP로 전달함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  8. 제 7항에 있어서, 상기 MCSP는,
    상기 사용자 단말로부터 접속 해제가 요청되면, 저장되어 있는 상기 PSP를 삭제함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  9. 제 1항에 있어서, 상기 MCSP는,
    서비스를 제공하는 클라우드 서비스 제공부(CSP)의 서비스 자원을 관리하는 서비스 자원 관리부를 포함함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  10. 제 9항에 있어서, 상기 서비스 자원 관리부는,
    제1CSP에서 제2CSP로 접근이 필요할 경우, 상기 제2CSP의 정보를 상기 제1CSP로 제공함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  11. 사용자 단말;
    상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP);
    접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP);
    서비스를 제공하는 클라우드 서비스 제공부(CSP)를 포함하며,
    상기 사용자 단말과 상기 ISP는 제1암호화 알고리즘을 이용하며, 상기 ISP와 MCSP는 제2암호화 알고리즘을 이용하며, 상기 MCSP와 CSP는 제3암호화 알고리즘을 이용함을 특징으로 하는 클라우드 컴퓨팅 시스템.
  12. 사용자 단말;
    상기 사용자 단말로부터 제공된 사용자 정보를 관리하는 사용자 증명 서비스 제공부(ISP);
    접속을 요청한 상기 사용자 단말의 식별자를 상기 사용자 증명 서비스 제공부로 제공하며, 상기 사용자 증명 서비스 제공부로부터 상기 식별자의 승인 여부를 통보받는 클라우드 서비스 포털(MCSP);
    서비스를 제공하는 클라우드 서비스 제공부(CSP)를 포함하며,
    상기 사용자 단말과 상기 ISP는 식별자를 이용하며, 상기 ISP와 MCSP는 상기 식별자로부터 파생된 가상 식별자를 이용하며, 상기 MCSP와 CSP는 상기 가상 식별자로부터 파생된 서비스 가상 식별자를 이용함을 특징으로 하는 클라우드 컴퓨팅 시스템.
KR1020110042143A 2011-05-03 2011-05-03 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템 KR20120124310A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110042143A KR20120124310A (ko) 2011-05-03 2011-05-03 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110042143A KR20120124310A (ko) 2011-05-03 2011-05-03 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템

Publications (1)

Publication Number Publication Date
KR20120124310A true KR20120124310A (ko) 2012-11-13

Family

ID=47509763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110042143A KR20120124310A (ko) 2011-05-03 2011-05-03 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템

Country Status (1)

Country Link
KR (1) KR20120124310A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170068437A (ko) * 2015-10-19 2017-06-19 칭다오 테크놀로지컬 유니버시티 클라우드 컴퓨팅 3원소 간 접근을 제어하는 양자 인증 방법
WO2024071535A1 (ko) * 2022-09-29 2024-04-04 주식회사 신시웨이 Saas 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170068437A (ko) * 2015-10-19 2017-06-19 칭다오 테크놀로지컬 유니버시티 클라우드 컴퓨팅 3원소 간 접근을 제어하는 양자 인증 방법
WO2024071535A1 (ko) * 2022-09-29 2024-04-04 주식회사 신시웨이 Saas 기반 데이터베이스 접근제어 게이트웨이 서비스 시스템 및 방법

Similar Documents

Publication Publication Date Title
KR102117584B1 (ko) 로컬 디바이스 인증
US9800681B2 (en) Network traffic monitoring system and method to redirect network traffic through a network intermediary
KR101762876B1 (ko) 클라우드 컴퓨팅 서비스에서의 보안 시스템
JP6731491B2 (ja) データ転送方法、非一過性のコンピュータ読み取り可能な記憶媒体、暗号デバイス、およびデータ使用のコントロール方法
Werner et al. Cloud identity management: A survey on privacy strategies
US9094208B2 (en) User identity management and authentication in network environments
US9332002B1 (en) Authenticating and authorizing a user by way of a digital certificate
EP3557456B1 (en) Method and device for data processing and communication system comprising such device
KR101530809B1 (ko) 멀티-테넌트 서비스 제공자에 의한 동적 플랫폼 재구성
US20120036360A1 (en) System and method establishing trusted relationships to enable secure exchange of private information
CN110322940B (zh) 一种医疗数据共享的访问授权方法及系统
JP2020516202A (ja) コアネットワークアクセスプロバイダ
KR101219662B1 (ko) 클라우드 서비스 보안 시스템 및 그 방법
JP5602165B2 (ja) ネットワーク通信を保護する方法および装置
CN104054321A (zh) 针对云服务的安全管理
Wu et al. A gateway-based access control scheme for collaborative clouds
CN115803735A (zh) 网络中的数据库访问控制服务
Sabrina A Novel Entitlement-based Blockchain-enabled Security Architecture for IoT
Chinnasamy et al. A scalable multilabel‐based access control as a service for the cloud (SMBACaaS)
Kubovy et al. A secure token-based communication for authentication and authorization servers
Agarkar et al. Blockchain aware decentralized identity management and access control system
KR20090054774A (ko) 분산 네트워크 환경에서의 통합 보안 관리 방법
WO2024006135A1 (en) Quorum-based authorization to secure sensitive cloud assets
KR20120124310A (ko) 다중 협업 기반의 클라우드 컴퓨팅 환경을 위한 보안 시스템
Seneviratne et al. Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy

Legal Events

Date Code Title Description
N231 Notification of change of applicant
WITN Withdrawal due to no request for examination