KR20160093856A - 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법 - Google Patents

클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법 Download PDF

Info

Publication number
KR20160093856A
KR20160093856A KR1020150014699A KR20150014699A KR20160093856A KR 20160093856 A KR20160093856 A KR 20160093856A KR 1020150014699 A KR1020150014699 A KR 1020150014699A KR 20150014699 A KR20150014699 A KR 20150014699A KR 20160093856 A KR20160093856 A KR 20160093856A
Authority
KR
South Korea
Prior art keywords
data
user
unit
encryption
traffic
Prior art date
Application number
KR1020150014699A
Other languages
English (en)
Inventor
김홍성
조문행
박재민
강철오
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020150014699A priority Critical patent/KR20160093856A/ko
Priority to US14/832,453 priority patent/US20160226831A1/en
Publication of KR20160093856A publication Critical patent/KR20160093856A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

사용자 영역에서 암호화에 투명하게 동작하는 게이트웨이가 클라우드에 접근하는 사용자를 인증하고 데이터를 암호화하여 저장함으로써 기밀성을 보장함과 더불어 복수개의 게이트웨이가 존재할 때 사용자의 이동성을 지원할 수 있는 사용자 데이터 보호 장치 및 방법을 제시한다. 제시된 장치는 사용자와 클라우드 서버 사이의 트래픽을 필터링하는 네트워크 필터, 사용자를 등록하고 인증하는 사용자 인증부, 사용자와 클라우드 서버 사이의 트래픽 내에 포함된 메시지와 데이터를 중계하는 메시지 중계부, 및 데이터를 암호화하는데 필요한 키를 생성하고 관리하는 키 관리부를 포함한다.

Description

클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법{Apparatus and method for protecting user data in cloud-computing environment}
본 발명은 사용자 데이터 보호 장치 및 방법에 관한 것으로, 보다 상세하게는 클라우드 컴퓨팅 환경에서 암호화에 투명한 게이트웨이가 클라우드 스토리지에 저장되는 사용자 데이터를 암호화하여 기밀성을 보장하고 클라우드 시스템에 존재하는 내부위협으로부터 보호하기 위한 장치 및 방법에 관한 것이다.
현재 클라우드 서비스는 저렴한 가격으로 보급되는 PC와 스마트폰 시장이 활성화됨에 따라 호스팅, 웹 하드, 웹 서비스 형태로 사용자들에게 급격히 제공되고 있다.
특히, 클라우드 특성상 데이터의 복제가 일어나는데, 이는 사용자로 하여금 데이터의 제어를 잃어버리게 되고 내/외부 위협을 고려한다면 사용자들의 민감한 데이터들이 그대로 노출되어 개인이나 회사 등에 심각한 피해를 줄 수 있는 문제점이 있다.
기존의 클라우드 환경에서 사용자의 데이터를 보호하는 방법은 크게 두 가지 방법으로 나눌 수 있다. 첫 번째는 사용자 영역에서 데이터를 암호화하여 전송하는 방법이다. 이는 사용자 PC에 추가적인 프로그램이 설치되어야 하고 데이터를 암호화하는데 있어서 투명하게 동작하지 않으므로, 기밀성에 대해 완전한 보장을 할 수 없다는 단점이 있다.
두 번째는 클라우드 영역이다. 사용자의 데이터를 암호화한다고 해도 암호화에 필요한 비밀키가 노출되면 아무런 의미가 없다. 만약 클라우드 시스템이 주도권을 가지고 사용자의 데이터를 암호화한다면 암호화에 관련된 정보가 클라우드 시스템의 내부 위협으로 유출될 수 있다는 문제점이 있다.
본 발명과 관련되는 선행기술로는, 대한민국 공개특허 제2007-0096987호(투명 프록시 시스템 및 그의 패킷 처리 방법), 대한민국 공개특허 제2009-0021677호(네트워크에 투명한 게이트웨이형 스팸메일 차단 시스템 및 방법)가 있다.
본 발명은 상기한 종래의 문제점을 해결하기 위해 제안된 것으로, 사용자 영역에서 암호화에 투명하게 동작하는 게이트웨이가 클라우드에 접근하는 사용자를 인증하고 데이터를 암호화하여 저장함으로써 기밀성을 보장함과 더불어 복수개의 게이트웨이가 존재할 때 사용자의 이동성을 지원할 수 있는 사용자 데이터 보호 장치 및 방법을 제공함에 그 목적이 있다.
상기와 같은 목적을 달성하기 위하여 본 발명의 바람직한 실시양태에 따른 사용자 데이터 보호 장치는, 사용자와 클라우드 서버 사이의 트래픽을 필터링하는 네트워크 필터; 상기 사용자를 등록하고 인증하는 사용자 인증부; 상기 사용자와 상기 클라우드 서버 사이의 트래픽 내에 포함된 메시지와 데이터를 중계하는 메시지 중계부; 및 상기 데이터를 암호화하는데 필요한 키를 생성하고 관리하는 키 관리부;를 포함한다.
상기 트래픽은 상기 메시지, 상기 데이터가 포함된 데이터 영역, 및 상기 데이터의 정보가 포함된 메타 데이터를 포함할 수 있고, 상기 메타 데이터는 상기 데이터 영역의 앞에 위치할 수 있다.
상기 메시지는 HTTP 요청 메시지일 수 있다.
상기 메시지 중계부는, 상기 HTTP 요청 메시지를 처리하는 메시지 헤더 처리부; 상기 사용자로부터의 데이터를 상기 클라우드 서버에게로 업로드하는 데이터 업로드부; 및 상기 클라우드 서버로부터 다운로드된 데이터를 상기 사용자에게로 전송하는 데이터 다운로드부;를 포함할 수 있다.
상기 데이터 업로드부는 상기 사용자로부터의 데이터가 암호화 대상 트래픽이면 상기 업로드되는 데이터를 읽고 암호화 대상이 되는 상기 데이터 영역을 분석하여 암호화 연산을 수행할 수 있다.
상기 데이터 업로드부는 상기 데이터 영역의 분석에 따른 암호화 연산의 경우, 상기 데이터 영역 내의 데이터와 상기 메타 데이터를 구분하고, 상기 데이터 영역 내의 데이터를 암호화한 후에 상기 메타 데이터와 재조립하여 상기 클라우드 서버로 전송할 수 있다.
상기 데이터 업로드부는, 상기 업로드되는 데이터가 암호화 대상 트래픽인지를 판단하는 판단부; 및 상기 업로드되는 데이터가 상기 암호화 대상 트래픽이면 상기 업로드되는 데이터를 암호화하는 암호화부;를 포함할 수 있다.
상기 판단부는 상기 HTTP 요청 메시지를 파싱하여 생성된 여러 필드들을 분석하여 상기 암호화 대상 트래픽인지를 판단할 수 있다.
상기 데이터 다운로드부는, 상기 다운로드된 데이터가 복호화 대상 트래픽인지를 판단하는 판단부; 및 상기 다운로드된 데이터가 복호화 대상 트래픽이면 상기 다운로드된 데이터를 복호화하는 복호화부;를 포함할 수 있다.
상기 메시지 중계부는 상기 사용자에게 투명하게 동작하는 프록시 서버로 구성되고, TCP 세션을 상기 사용자와 상기 클라우드 서버 사이에서 양방향으로 맺고 있을 수 있다.
상기 암호화하는데 필요한 키는 상기 사용자의 패스워드 기반의 암호화 알고리즘을 통해 암호화된 비밀키일 수 있다.
상기 키 관리부는 상기 사용자가 자신의 네트워크 영역에서 다른 네트워크 영역으로 이동하더라도 상기 사용자의 이동성을 지원하기 위해, 상기 암호화에 필요한 키를 공유할 수 있다.
상기 사용자 인증부는 상기 사용자로부터의 사용자 계정정보를 근거로 아이디를 발급하고, 사용자 인증 여부 및 상기 암호화하는데 필요한 키의 정보를 포함하는 암호화 세션을 생성하여 상기 메시지 중계부에게로 전달할 수 있다.
한편, 본 발명의 바람직한 실시양태에 따른 사용자 데이터 보호 방법은, 메시지 중계부가, 클라우드 서버와 사용자 간의 메시지를 중계하는 단계; 사용자 인증부가, 상기 사용자를 인증하는 단계; 상기 메시지 중계부가, 데이터를 암호화하기 위한 키를 근거로 상기 사용자로부터의 데이터를 암호화하는 단계; 및 상기 메시지 중계부가, 상기 암호화된 데이터를 상기 클라우드 서버로 전송하는 단계;를 포함한다.
상기 메시지는 상기 클라우드 서버와 상기 사용자 간에 중계되는 트래픽에 포함되되, 상기 트래픽은 상기 메시지, 상기 데이터가 포함된 데이터 영역, 및 상기 데이터의 정보가 포함된 메타 데이터를 포함하고, 상기 메타 데이터는 상기 데이터 영역의 앞에 위치할 수 있다.
상기 암호화하는 단계는, 상기 사용자로부터의 데이터가 암호화 트래픽인지를 판단하는 단계; 및 상기 암호화 트래픽이면 상기 사용자로부터의 데이터를 읽고 암호화 대상이 되는 상기 데이터 영역을 분석하여 암호화 연산을 수행하는 단계;를 포함할 수 있다.
상기 암호화 연산을 수행하는 단계는, 상기 데이터 영역 내의 데이터와 상기 메타 데이터를 구분하고, 상기 데이터 영역 내의 데이터를 암호화한 후에 상기 메타 데이터와 재조립하여 상기 클라우드 서버로 전송할 수 있다.
상기 메시지 중계부가, 데이터를 암호화하기 위한 키를 근거로 상기 클라우드 서버로부터의 데이터를 복호화하는 단계; 및 상기 메시지 중계부가, 상기 복호화된 데이터를 상기 사용자에게로 전송하는 단계;를 추가로 포함할 수 있다.
이러한 구성의 본 발명에 따르면, 사용자가 암호화에 관련된 별도의 설정이 없어도 게이트웨이에서 사용자에게 투명성을 제공하여 본래의 파일 읽기, 쓰기가 가능하다.
그리고, 사용자의 데이터를 암호화하여 저장시킴으로서 클라우드 시스템에 존재하는 내부위협으로부터 사용자의 데이터를 안전하게 보호할 수 있다.
또한, 복수개의 게이트웨이간 비밀키를 공유하여 사용자가 다른 지역에 존재하는 게이트웨이를 사용할 경우에도 클라우드에 존재하는 자신의 파일에 접근할 수 있다.
기존의 사용자 영역에서 암호화하는 방법은 암호화를 우회할 수 있는 가능성이 있고 사용자로 하여금 추가적인 설정과 프로그램을 요구하지만, 본 발명의 게이트웨이를 통한 방법은 사용자의 간섭이 없이 투명하게 동작함으로써 우회 경로를 차단할 수 있다.
또한, 클라우드 영역에서 암호화하는 기존의 방법은 암호화에 필요한 비밀키를 클라우드 영역에서 관리하기 때문에 여전히 내부 위협이 존재하지만, 본 발명에서의 게이트웨이에서는 사용자의 비밀키 정보를 암호화하여 내부 스토리지에 저장시킴으로서 클라우드 시스템의 내부위협으로부터 사용자의 데이터를 안전하게 보호할 수 있다.
도 1은 본 발명의 실시예에 따른 사용자 데이터 보호 장치가 적용된 시스템을 나타낸 개념도이다.
도 2는 도 1에 도시된 게이트웨이의 내부 구성도이다.
도 3은 도 1에서 클라우드 서버에 업로드되는 파일의 암호화 영역을 보여주는 구조도이다.
도 4는 본 발명의 실시예에서 사용자의 이동성을 보장하는 내용을 보여주는 개념도이다.
도 5는 본 발명의 실시예에 따른 사용자 데이터 보호 장치가 적용된 시스템에서 게스트 게이트웨이에서 홈 게이트웨이를 찾는 방법을 보여주는 개념도이다.
도 6은 본 발명의 실시예에 따른 사용자 데이터 보호 방법을 개괄적으로 나타낸 흐름도이다.
도 7은 본 발명의 실시예에서 사용자와 클라우드 서버 사이의 메시지를 중계하는 흐름도이다.
도 8은 본 발명의 실시예에서 클라우드 트래픽을 판단하고 사용자를 인증하는 과정을 보여주는 흐름도이다.
도 9는 본 발명의 실시예에서 사용자 데이터의 기밀성을 보장하기 위해 암호화하는 과정을 보여주는 흐름도이다.
도 10은 본 발명의 실시예에서 암호화된 사용자 데이터를 복호화하는 과정을 보여주는 흐름도이다.
도 11은 본 발명의 실시예에서 복수개의 게이트웨이를 사용하는 환경에서 사용자 인증 과정을 보여주는 흐름도이다.
도 12는 본 발명의 실시예에서 사용자를 등록하는 과정을 보여주는 흐름도이다.
도 13은 본 발명의 실시예가 구현된 컴퓨터 시스템을 나타낸 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
본 발명은 클라우드 시스템에 접근할 수 있는 게이트웨이를 통해 가입자 영역에서 암/복호화가 일어난다면 효율적이고 안전하게 사용자의 데이터를 보호할 수 있음에 주안점을 두었다. 게이트웨이는 네트워크 앞 단에 위치하고, 투명모드 프록시 서버 형태로 동작한다. 투명모드로 동작하는 프록시 서버는 사용자에게 별도의 설정을 요구하지 않고 동작하는 것이 특징이며, 지나가는 모든 패킷에 대해 응용레벨까지 검사하여 다양한 정책들을 적용함으로써 트래픽 모니터링, 방화벽, NAT 등의 기능을 지원할 수 있다.
도 1은 본 발명의 실시예에 따른 사용자 데이터 보호 장치가 적용된 시스템을 나타낸 개념도로서, 사용자 영역(1)에 존재하는 암호화에 투명한 게이트웨이(5)를 중심으로 사용자 PC(3)와 클라우드 서버(7)을 통해 형성되는 시스템 구조도이다. 도 1에 도시된 게이트웨이(5)를 본 발명의 실시예에 따른 사용자 데이터 보호 장치라고 할 수 있다.
클라우드 서버(7)에 접근하는 사용자 PC(3)와 게이트웨이(5) 사이에 오고가는 데이터는 평문이다.
그러나, 게이트웨이(5)와 클라우드 서버(7) 사이는 암호화되어 송/수신된다. 이는 사용자 영역(1)에 존재하는 게이트웨이(7)를 통하지 않고서는 원래의 평문 데이터를 얻을 수 없음을 의미한다.
도 2는 도 1에 도시된 게이트웨이(5)의 내부 구성도이다.
게이트웨이(5)는 네트워크 필터(51), 사용자 인증부(46), 메시지 중계부(50), 키 관리부(52), 및 스토리지(54)를 포함한다.
네트워크 필터(51)는 HTTP 메시지를 중계할 수 있도록 트래픽을 필터링할 수 있다.
사용자 인증부(46)는 사용자를 등록하고 인증할 수 있다.
메시지 중계부(50)는 사용자 PC(3)와 클라우드 서버(7) 사이에 발생되는 메시지와 데이터를 중계할 수 있다.
키 관리부(52)는 사용자의 데이터를 암호화하는데 필요한 키(예컨대, 비밀키)를 생성 및 관리할 수 있다.
한편, 복수 개의 게이트웨이에 존재하는 환경에서 사용자의 이동성을 지원하기 위해, 키 관리부(52)는 암호화에 필요한 비밀키를 관리하고 공유할 수 있다.
스토리지(54)는 사용자 인증부(46)와 메시지 중계부(50) 및 키 관리부(52)에서 생성된 정보를 저장할 수 있다.
사용자는 기본적으로 웹을 통해 클라우드 서버(7)에 접근하므로, 게이트웨이(5)에서는 네트워크 필터(51)를 통해 웹 트래픽을 필터링하여 메시지 중계부(50)에 제공하고, 그 외 트래픽은 기본적인 네트워크 정책에 따라 제어된다.
여기서, 사용자 인증부(46)는 사용자가 사용자 PC(3) 및 게이트웨이(5)를 통해 클라우드 서버(7)에 접근할 수 있도록 등록하는 일과 인증을 담당한다. 사용자 인증부(46)는 최초 등록 시에는 키 관리부(52)를 통해 암호화에 필요한 키를 생성하고 사용자의 아이디와 패스워드를 입력받아 스토리지(54)에 저장한다. 이때, 비밀키는 패스워드 기반 암호화 알고리즘을 통해 암호화되어 안전하게 저장된다. 결국, 인증받은 사용자는 인증정보와 암호화에 필요한 키로 구성된 세션 정보를 메시지 중계부(50)로 전송할 수 있으므로, 사용자 PC(3)로 하여금 클라우드 서버(7)에 접근을 허용하고 데이터를 암호화할 수 있도록 한다.
그리고, 메시지 중계부(50)(프록시 서버일 수 있음)는 사용자에 투명하게 동작하며, TCP 세션을 사용자 PC(3)와 클라우드 서버(7) 사이에서 양방향으로 맺고 있기 때문에 트래픽을 중계하는 도중 다양한 기능을 구현할 수 있게 된다. 본 발명의 실시예가 적용된 시스템에서는 게이트웨이 형태로 존재하는 프록시 서버에서 클라우드 서버(7)로 전송되는 사용자 데이터를 암호화함으로써 클라우드 컴퓨팅 환경에서 사용자 데이터의 기밀성을 보장할 수 있도록 하였다.
한편, 메시지 중계부(50)는 메시지 헤더 처리부(47), 데이터 업로드부(56), 및 데이터 다운로드부(59)를 포함한다.
메시지 헤더 처리부(47)는 HTTP 요청 메시지를 처리할 수 있고, 데이터 업로드부(56)는 업로드 데이터를 처리할 수 있고, 데이터 다운로드부(59)는 다운로드 데이터를 처리할 수 있다.
데이터 업로드부(56)는 클라우드 서버(7)로 업로드되는 데이터가 암호화 대상 트래픽인지를 판단하는 클라우드 트래픽 판단부(48) 및 암호화 대상 트래픽이면 업로드되는 데이터를 암호화하는 암호화부(58)를 포함한다. 여기서, 클라우드 트래픽 판단부(48)는 암호화 대상 트래픽 판단부라고 하여도 무방하다.
데이터 다운로드부(59)는 클라우드 서버(7)로부터 다운로드된 데이터가 복호화 대상 트래픽인지를 판단하는 클라우드 트래픽 판단부(49) 및 복호화 대상 트래픽이면 다운로드된 데이터를 복호화하는 복호화부(60)를 포함한다. 여기서, 클라우드 트래픽 판단부(49)는 복호화 대상 트래픽 판단부라고 하여도 무방하다.
사용자가 클라우드 서버(7)에 접근할 때 발생되는 모든 메시지와 데이터는 메시지 중계부(50)를 통과한다. 먼저, 메시지 중계부(50)는 메시지 헤더 처리부(47)를 통해 들어온 HTTP 요청 메시지는 임시로 메모리에 저장한 후 요청 메시지로부터 클라우드 서버 정보를 획득한 후 클라우드 서버(7)와 TCP 세션을 맺는다. 이후 메시지 중계부(50)는 보관중인 원본 메시지(즉, HTTP 요청 메시지)를 다시 클라우드 서버(7)에 전송하여 사용자 PC(42)와 클라우드 서버(7)간의 메시지 중계역할을 담당한다.
이러한 요청 메시지와 더불어 사용자는 파일을 업로드하거나 다운로드하게 되는데, 클라우드 트래픽 판단부(48)에서는 수신된 데이터 트래픽이 클라우드 접근 트래픽인지 판단하여 암호화 여부를 결정한다. 만약, 암호화 대상 트래픽이라면 사용자 인증부(46)로부터 전달받은 세션 정보를 통해 사용자의 비밀키를 획득한 후에 데이터를 암호화하여 클라우드 서버(7)에 전달한다. 반대로 클라우드 서버(7)로부터 받은 데이터는 복호화하여 사용자 PC(3)에 전송한다.
키 관리부(52)는 암호화에 필요한 키를 생성하고 관리하는 역할을 한다. 암호화를 위해 생성된 비밀키는 어떠한 형태로든 생명주기가 존재하며 그 안전성을 보장할 수 있도록 한다.
도 3은 도 1 및 도 2에서 클라우드 서버(7)에 업로드되는 파일의 암호화 영역을 보여주는 구조도이다.
게이트웨이(5)의 메시지 중계부(50)에서 HTTP를 통해 업로드 되는 트래픽은 크게 HTTP 요청 메시지(82)와 데이터 영역으로 구분할 수 있다.
데이터를 업로드 하는 경우 파일의 정보(예컨대, 파일 이름, 사이즈 등)를 포함하는 메타 데이터(80)를 포함하여 전송된다. 이 때문에, 실제 암호화 대상이 되는 영역은 메타 데이터(80)가 앞뒤로 포함하고 있는 영역(84)이다. 또한, 암호화 연산은 블록단위로 처리되기 때문에 암호화 영역(84)에 해당하는 데이터들은 암호화 단위(86)만큼 처리된다.
도 4는 본 발명의 실시예에서 사용자의 이동성을 보장하는 내용을 보여주는 개념도이다. 즉, 도 4는 복수 개의 게이트웨이(24, 30)가 존재하는 환경에서 사용자의 이동성을 보장하는 방법을 보여주는 개념도이다.
사용자 A(22)는 자신의 네트워크 영역(20) 안에서 홈 게이트웨이(24)를 통해 서비스를 이용하다가도 다른 네트워크 영역(26)으로 이동할 수 있다. 사용자 A(22) 입장에서 LAN0(20)에 존재하는 게이트웨이는 홈 게이트웨이 역할을 하고, LAN1(26)에 존재하는 게이트웨이는 게스트 게이트웨이 역할을 하게 된다. 각각의 차이점은 사용자의 계정 정보와 비밀키가 로컬(Local) 영역에 존재하는지에 따라 역할이 나뉘어진다.
LAN0(20)에 있던 사용자 A가 LAN1(26)로 이동한 경우, 사용자 A(28)는 자신이 사용하는 게스트 게이트웨이(30)를 통해서 클라우드 서버(7)에 접근하기 위해서 자신의 홈 게이트웨이(24)에 비밀키 정보를 요청한다. 여기서, 요청 과정에는 사용자 인증 과정을 포함하고 있으므로, 만약 인증에 성공한다면 패스워드 기반으로 암호화되어 있는 비밀키 정보를 받게 된다. 인증된 사용자 A(28)는 자신의 패스워드를 통해 암호화된 비밀키를 획득하고 최종적으로 클라우드 서버(7)로 암호문을 전송할 수 있게 된다.
도 4에서, 사용자 A(22)와 사용자 A(28)는 참조부호만 다를 뿐 상호 동일한 사용자이다. 단지 네트워크 영역이 차이나기 때문에 참조부호를 상이하게 한 것이다.
도 5는 본 발명의 실시예에 따른 사용자 데이터 보호 장치가 적용된 시스템에서 게스트 게이트웨이에서 홈 게이트웨이를 찾는 방법을 보여주는 개념도이다.
사용자 A(22)가 LAN0(20)에서 LAN1(26)공간으로 이동하였을 경우 사용자 A(28)의 홈 게이트웨이 정보를 게스트 게이트웨이(30)가 알고 있을 경우에만 비밀키 공유를 요청할 수 있다.
하지만 사용자에 투명하게 동작하는 게이트웨이 특성상 자연스럽게 홈 게이트웨이 정보를 알 수 있어야 한다. 이를 위해서, 최초 사용자 A의 아이디 구조를 ‘ID@HGIP’(Home Gateway IP address)와 같이 발급하여 어떠한 게이트웨이에서 클라우드에 접근하여도 자신의 홈 게이트웨이 정보를 사용자 아이디로부터 획득할 수 있기 때문에 비밀키 공유를 시도할 수 있게 된다.
한편, 본 발명의 실시예에 따른 사용자 데이터 보호 방법에 대해 설명하면 다음과 같다.
발명의 실시예에 따른 사용자 데이터 보호 방법은 도 6에서와 같이, 클라우드 서버(7)와 사용자 간의 메시지를 중계하는 단계(S200); 클라우드 서버(7)에 접근하는 사용자를 인증하는 단계(S300); 데이터를 암호화하기 위한 키를 근거로 데이터를 암호화 또는 복호화하는 단계(S400); 및 암호화된 데이터를 클라우드 서버(7)로 전송하거나 복호화된 데이터를 사용자에게로 전송하는 단계(S500);를 포함한다.
이하에서는 발명의 실시예에 따른 사용자 데이터 보호 방법을 보다 세부적으로 설명한다.
도 7은 본 발명의 실시예에 따른 사용자 데이터 보호 방법에서 사용자와 클라우드 서버 사이의 메시지를 중계하는 흐름도이다.
게이트웨이(5)가 사용자 PC(3)로부터 HTTP 요청 메시지를 수신하게 되면(S10) 게이트웨이(5)는 먼저 URL 등의 필드들을 통해 클라우드 서버(7)로 접근하는지 확인한다(S12).
확인 결과, 클라우드 접근 요청이 아니면 메시지 중계 과정을 수행하고(S14), 클라우드에 접근하는 경우라면 접근하는 사용자의 암호화 세션이 존재하는지 확인한다(S16).
만약, 접근하는 사용자의 암호화 세션이 존재하지 않으면 게이트웨이(5)는 클라우드 접근을 차단하고(S18), 사용자 인증을 과정을 수행한다. 기존의 계정이 있는 경우 사용자 인증 과정은 후술하는 도 11을 참조하면 보다 쉽게 이해할 수 있고, 새로운 계정을 등록하는 과정은 후술하는 도 12를 참조하면 보다 쉽게 이해할 수 있을 것이다.
접근하는 사용자의 암호화 세션이 존재하는 경우에는 메시지 중계 과정을 수행한다. 구체적인 메시지 중계과정은 먼저 게이트웨이(5)는 HTTP 요청 메시지를 메모리(예컨대, 스토리지(54))에 임시로 보관한다(S20). 그 후 게이트웨이(5)는 요청 메시지 정보를 통해 클라우드 서버(7)에 TCP 연결을 준비하고(S22), 수집된 정보를 통해 클라우드 서버(7)에 TCP 연결을 수행한다(S24). 마지막으로, 게이트웨이(5)는 메모리에 임시로 저장해 두었던 HTTP 요청 메시지를 다시 클라우드 서버(7)에게로 전송한다(S26).
도 8은 본 발명의 실시예에 따른 사용자 데이터 보호 방법에서 클라우드 트래픽을 판단하고 사용자를 인증하는 과정을 보여주는 흐름도이다.
게이트웨이(5)에서, 메시지 중계부(50)를 통해 들어오는 데이터 트래픽은 데이터 업로드부(56) 또는 데이터 다운로드부(59)를 통해 처리된다. 모든 HTTP 데이터 트래픽을 암/복호화하는 것을 피하기 위해 클라우드 서버(7)에 접근하는 트래픽인지를 판단해야 한다. 이를 위해, 게이트웨이(5)의 데이터 업로드부(56) 또는 데이터 다운로드부(59)의 클라우드 트래픽 판단부는 HTTP 요청 메시지를 파싱하여 여러 필드들을 분석한다(S30, S32). 이에 의해 클라우드 트래픽인지를 판단할 수 있게 된다.
만약, 클라우드 트래픽이 아니라면(S34에서 "No") 게이트웨이(5)는 평문으로 전송한다(S36).
반대로, 클라우드 트래픽이라면(S34에서 "Yes") 게이트웨이(5)는 인증된 사용자의 암호화 세션이 존재하는지 확인한다(S38).
만약, 인증된 사용자의 암호화 세션이 존재하지 않는다면 게이트웨이(5)는 클라우드 서버(7)로의 접근을 차단한다(S40). 반대로, 인증된 사용자의 암호화 세션이 존재한다면 사용자 비밀키를 획득하여 암호화 연산에 사용한다(S42).
도 9는 본 발명의 실시예에 따른 사용자 데이터 보호 방법에서 사용자 데이터의 기밀성을 보장하기 위해 암호화하는 과정을 보여주는 흐름도이다.
사용자가 클라우드 서버(7)에 파일을 업로드하는 데이터를 데이터 업로드부(56)가 수신하면(S50), 데이터 업로드부(56)는 암호화 여부를 결정하기 위해 클라우드 트래픽 판단 및 사용자의 암호화 세션 존재여부를 확인한다(S52). 클라우드 트래픽 판단 방법은 앞서 도 7을 통해 설명하였다.
클라우드 트래픽(예컨대, 암호화 대상 트래픽)이고 암호화 세션이 존재한다면 데이터 업로드부(56)는 사용자의 비밀키를 획득하여 암호화 연산을 준비한다(S54).
그 다음, 데이터 업로드부(56)는 업로드되는 데이터를 읽고 암호화 대상 영역을 분석한다(S56, S58). 여기서, 분석하는 방법은 앞서 도 3에서 설명하였던 바와 같이 실제 암호화 대상이 되는 파일 데이터와 메타 데이터(80)를 구분한다. 메타 데이터(80)는 파일 데이터를 암호화한 후 다시 조립되어야 하므로 메모리에 임시로 보관해 둔다. 암호화는 기본적으로 블록단위로 수행되므로 암호화 영역(84)에 해당하는 데이터를 버퍼에 보관하고 있다가 암호화 단위(86)로 읽어와 실제 암호화 연산을 수행한다(S60). 마지막으로, 암호화된 데이터를 클라우드 서버(7)에 전송하기 위해, 데이터 업로드부(56)는 앞서 메모리에 보관중인 메타 데이터(80)와 재조립한 후 클라우드 서버(7)로 전송한다(S62).
도 10은 본 발명의 실시예에 따른 사용자 데이터 보호 방법에서 암호화된 사용자 데이터를 복호화하는 과정을 보여주는 흐름도이다. 도 9에서 설명했던 암호화 흐름과 동일하다.
즉, 데이터 다운로드부(59)가 클라우드 서버(7)로부터 파일을 다운로드받게 되면 즉, 다운로드 데이터를 수신하면(S70), 먼저 복호화 여부를 결정하기 위해 클라우드 트래픽 판단 및 사용자의 암호화 세션 존재여부를 확인한다(S72). 클라우드 트래픽 판단 방법은 앞서 도 7을 통해 설명하였다.
클라우드 트래픽(예컨대, 복호화 대상 트래픽)이고 암호화 세션이 존재한다면 데이터 다운로드부(59)는 사용자의 비밀키를 획득하여 복호화 연산을 준비한다(S74).
그 다음, 데이터 다운로드부(59)는 다운로드되는 데이터를 읽고 복호화 대상 영역을 분석한다(S76, S78). 여기서, 분석하는 방법은 앞서 도 3을 근거로 설명하하였다. 따라서, 도 3의 암호화 영역(84)이 복호화 영역에 해당될 것이다. 복호화는 기본적으로 블록단위로 수행되므로 복호화 영역에 해당하는 데이터를 버퍼에 보관하고 있다가 복호화 단위(예컨대, 암호화 단위(86)에 해당됨)로 읽어와 실제 복호화 연산을 수행한다(S80). 마지막으로, 복호화된 데이터를 사용자 PC(3)에 전송하기 위해, 데이터 다운로드부(59)는 앞서 메모리에 보관중인 메타 데이터(80)와 재조립한 후 사용자 PC(3)로 전송한다(S82).
도 11은 본 발명의 실시예에서 복수 개의 게이트웨이를 사용하는 환경에서 사용자 인증 과정을 보여주는 흐름도이다.
먼저, 복수 개의 게이트웨이중에서 사용자가 현재 접속한 게이트웨이는 사용자로부터 계정 정보를 입력받는다(S90).
이후, 도 5에서 설명하고 있듯이 사용자 아이디로부터 홈 게이트웨이(24)의 IP 주소를 추출하여 현재 게이트웨이의 IP주소와 비교한다(S92).
만약, 상호간의 IP주소가 서로 다르다면 게스트 게이트웨이(30)를 사용하고 있으므로, 사용자가 현재 접속한 게이트웨이(게스트 게이트웨이(30)가 될 수 있음)는 암호화 연산에 필요한 비밀키를 얻기 위해 홈 게이트웨이(24)로 비밀키 공유를 요청한다(S94).
이 후, 사용자 인증 과정을 수행한다. 이때, 게스트 게이트웨이 사용자는 홈 게이트웨이(24)로부터 인증을 받고, 홈 게이트웨이 사용자의 경우에는 현재 자신이 접근하고 있는 게이트웨이로부터 인증을 받는다(S96).
만약, 인증에 실패하면(S96에서 "No") 사용자가 현재 접속한 게이트웨이는 클라우드 서버(7)로의 접근을 차단한다(S98).
반대로, 인증에 성공하면 사용자가 현재 접속한 게이트웨이는 사용자 비밀키를 획득하고(S100), 메시지 중계부(50)에 세션을 생성하여 전달한다(S102).
최종적으로 인증 과정을 마치고 나면 사용자는 클라우드 서버(7)에 접근할 수 있게 된다(S104).
도 12는 본 발명의 실시예에서 사용자를 등록하는 과정을 보여주는 흐름도이다.
사용자는 게이트웨이(5)를 통해 암호화 서비스를 이용하기 위해서, 먼저 계정을 생성해야 한다. 이러한 과정은 주로 사용자가 게이트웨이(5)를 처음 접근했을 경우 발생한다.
가장 먼저 사용자가 사용자 계정정보를 입력하면(S110) 게이트웨이(5)내의 사용자 인증부(46)는 ‘ID@HGIP’구조로 아이디를 발급해 주고(S112), 키 관리부(52)를 통해 암호화에 필요한 개인 비밀키를 생성하여 스토리지(54)에 저장한다(S114).
마지막으로, 사용자 인증부(46)는 사용자 인증 여부 및 암호화 연산에 필요한 비밀키 정보를 담고 있는 암호화 세션을 생성하여 메시지 중계부(50)에 전달한다(S116).
한편, 상술한 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템에서 구현될 수 있다. 도 13에 도시된 바와 같이, 컴퓨터 시스템(120)은 버스(122)를 통하여 서로 통신하는 하나 이상의 프로세서(121), 메모리(123), 사용자 인터페이스 입력 장치(126), 사용자 인터페이스 출력 장치(127) 및 스토리지(128)를 포함할 수 있다. 또한, 컴퓨터 시스템(120)은 네트워크(130)에 연결되는 하나 이상의 네트워크 인터페이스(129)를 더 포함할 수 있다. 프로세서(121)는 중앙 처리 장치 또는 메모리(123) 또는 스토리지(128)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(123) 및 스토리지(128)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리(123)는 ROM(124)이나 RAM(125)을 포함할 수 있다.
그리고, IoT 시대를 대비하여 컴퓨터 시스템(120)을 소형의 컴퓨팅 디바이스로 구현시킨 경우, 컴퓨팅 디바이스에 이더넷(Ethernet) 케이블을 연결하면 무선 공유기처럼 동작해서 모바일 디바이스가 무선으로 게이트웨이에 붙어서 암복호화 기능을 할 수 있으므로, 이를 위해 컴퓨터 시스템(120)은 무선 통신 칩(와이파이 칩)(131)을 추가로 포함할 수 있다.
따라서, 본 발명의 실시예는 컴퓨터로 구현된 방법이나 컴퓨터에서 실행가능한 명령어들이 기록된 비일시적인 컴퓨터에서 읽을 수 있는 매체로 구현될 수 있다. 컴퓨터에서 읽을 수 있는 명령어들이 프로세서에 의해서 수행될 때, 컴퓨터에서 읽을 수 있는 명령어들은 본 발명의 적어도 한 가지 태양에 따른 방법을 수행할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
3 : 사용자 PC 5 : 게이트웨이
7 : 클라우드 서버 46 : 사용자 인증부
47 : 메시지 헤더 처리부 48, 49 : 클라우드 트래픽 판단부
50 : 메시지 중계부 51 : 네트워크 필터
52 : 키 관리부 54 : 스토리지
56 : 데이터 업로드부 58 : 암호화부
59 : 데이터 다운로드부 60 : 복호화부

Claims (20)

  1. 사용자와 클라우드 서버 사이의 트래픽을 필터링하는 네트워크 필터;
    상기 사용자를 등록하고 인증하는 사용자 인증부;
    상기 사용자와 상기 클라우드 서버 사이의 트래픽 내에 포함된 메시지와 데이터를 중계하는 메시지 중계부; 및
    상기 데이터를 암호화하는데 필요한 키를 생성하고 관리하는 키 관리부;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  2. 청구항 1에 있어서,
    상기 트래픽은 상기 메시지, 상기 데이터가 포함된 데이터 영역, 및 상기 데이터의 정보가 포함된 메타 데이터를 포함하고,
    상기 메타 데이터는 상기 데이터 영역의 앞에 위치하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  3. 청구항 2에 있어서,
    상기 메시지는 HTTP 요청 메시지인 것을 특징으로 하는 사용자 데이터 보호 장치.
  4. 청구항 3에 있어서,
    상기 메시지 중계부는,
    상기 HTTP 요청 메시지를 처리하는 메시지 헤더 처리부;
    상기 사용자로부터의 데이터를 상기 클라우드 서버에게로 업로드하는 데이터 업로드부; 및
    상기 클라우드 서버로부터 다운로드된 데이터를 상기 사용자에게로 전송하는 데이터 다운로드부;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  5. 청구항 4에 있어서,
    상기 데이터 업로드부는 상기 사용자로부터의 데이터가 암호화 대상 트래픽이면 상기 업로드되는 데이터를 읽고 암호화 대상이 되는 상기 데이터 영역을 분석하여 암호화 연산을 수행하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  6. 청구항 5에 있어서,
    상기 데이터 업로드부는 상기 데이터 영역의 분석에 따른 암호화 연산의 경우, 상기 데이터 영역 내의 데이터와 상기 메타 데이터를 구분하고, 상기 데이터 영역 내의 데이터를 암호화한 후에 상기 메타 데이터와 재조립하여 상기 클라우드 서버로 전송하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  7. 청구항 4에 있어서,
    상기 데이터 업로드부는,
    상기 업로드되는 데이터가 암호화 대상 트래픽인지를 판단하는 판단부; 및
    상기 업로드되는 데이터가 상기 암호화 대상 트래픽이면 상기 업로드되는 데이터를 암호화하는 암호화부;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  8. 청구항 7에 있어서,
    상기 판단부는 상기 HTTP 요청 메시지를 파싱하여 생성된 여러 필드들을 분석하여 상기 암호화 대상 트래픽인지를 판단하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  9. 청구항 4에 있어서,
    상기 데이터 다운로드부는,
    상기 다운로드된 데이터가 복호화 대상 트래픽인지를 판단하는 판단부; 및
    상기 다운로드된 데이터가 복호화 대상 트래픽이면 상기 다운로드된 데이터를 복호화하는 복호화부;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  10. 청구항 1에 있어서,
    상기 메시지 중계부는 상기 사용자에게 투명하게 동작하는 프록시 서버로 구성되고, TCP 세션을 상기 사용자와 상기 클라우드 서버 사이에서 양방향으로 맺고 있는 것을 특징으로 하는 사용자 데이터 보호 장치.
  11. 청구항 1에 있어서,
    상기 암호화하는데 필요한 키는 상기 사용자의 패스워드 기반의 암호화 알고리즘을 통해 암호화된 비밀키인 것을 특징으로 하는 사용자 데이터 보호 장치.
  12. 청구항 1에 있어서,
    상기 키 관리부는 상기 사용자가 자신의 네트워크 영역에서 다른 네트워크 영역으로 이동하더라도 상기 사용자의 이동성을 지원하기 위해, 상기 암호화에 필요한 키를 공유하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  13. 청구항 1에 있어서,
    상기 사용자 인증부는 상기 사용자로부터의 사용자 계정정보를 근거로 아이디를 발급하고, 사용자 인증 여부 및 상기 암호화하는데 필요한 키의 정보를 포함하는 암호화 세션을 생성하여 상기 메시지 중계부에게로 전달하는 것을 특징으로 하는 사용자 데이터 보호 장치.
  14. 메시지 중계부가, 클라우드 서버와 사용자 간의 메시지를 중계하는 단계;
    사용자 인증부가, 상기 사용자를 인증하는 단계;
    상기 메시지 중계부가, 데이터를 암호화하기 위한 키를 근거로 상기 사용자로부터의 데이터를 암호화하는 단계; 및
    상기 메시지 중계부가, 상기 암호화된 데이터를 상기 클라우드 서버로 전송하는 단계;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  15. 청구항 14에 있어서,
    상기 메시지는 상기 클라우드 서버와 상기 사용자 간에 중계되는 트래픽에 포함되되,
    상기 트래픽은 상기 메시지, 상기 데이터가 포함된 데이터 영역, 및 상기 데이터의 정보가 포함된 메타 데이터를 포함하고, 상기 메타 데이터는 상기 데이터 영역의 앞에 위치하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  16. 청구항 15에 있어서,
    상기 암호화하는 단계는,
    상기 사용자로부터의 데이터가 암호화 트래픽인지를 판단하는 단계; 및
    상기 암호화 트래픽이면 상기 사용자로부터의 데이터를 읽고 암호화 대상이 되는 상기 데이터 영역을 분석하여 암호화 연산을 수행하는 단계;를 포함하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  17. 청구항 16에 있어서,
    상기 암호화 연산을 수행하는 단계는,
    상기 데이터 영역 내의 데이터와 상기 메타 데이터를 구분하고, 상기 데이터 영역 내의 데이터를 암호화한 후에 상기 메타 데이터와 재조립하여 상기 클라우드 서버로 전송하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  18. 청구항 14에 있어서,
    상기 메시지 중계부가, 데이터를 암호화하기 위한 키를 근거로 상기 클라우드 서버로부터의 데이터를 복호화하는 단계; 및
    상기 메시지 중계부가, 상기 복호화된 데이터를 상기 사용자에게로 전송하는 단계;를 추가로 포함하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  19. 청구항 14에 있어서,
    상기 사용자가 자신의 네트워크 영역에서 다른 네트워크 영역으로 이동함에 따라 상기 사용자의 이동성을 지원하기 위해 상기 데이터를 암호화하기 위한 키를 공유하는 것을 특징으로 하는 사용자 데이터 보호 방법.
  20. 청구항 19에 있어서,
    상기 암호화하는데 필요한 키는 상기 사용자의 패스워드 기반의 암호화 알고리즘을 통해 암호화된 비밀키인 것을 특징으로 하는 사용자 데이터 보호 방법.
KR1020150014699A 2015-01-30 2015-01-30 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법 KR20160093856A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020150014699A KR20160093856A (ko) 2015-01-30 2015-01-30 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법
US14/832,453 US20160226831A1 (en) 2015-01-30 2015-08-21 Apparatus and method for protecting user data in cloud computing environment

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150014699A KR20160093856A (ko) 2015-01-30 2015-01-30 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20160093856A true KR20160093856A (ko) 2016-08-09

Family

ID=56554928

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150014699A KR20160093856A (ko) 2015-01-30 2015-01-30 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법

Country Status (2)

Country Link
US (1) US20160226831A1 (ko)
KR (1) KR20160093856A (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805273B2 (en) 2016-04-01 2020-10-13 Egnyte, Inc. Systems for improving performance and security in a cloud computing system
CN106357601A (zh) * 2016-08-15 2017-01-25 北京奇虎科技有限公司 数据访问方法、装置及系统
US10728026B2 (en) * 2016-11-24 2020-07-28 Samsung Electronics Co., Ltd. Data management method
US10547597B2 (en) * 2017-01-24 2020-01-28 International Business Machines Corporation Secure network connections
KR102311336B1 (ko) 2017-05-02 2021-10-14 한국전자통신연구원 안전 저장소 접근정보를 보호하는 위치고정형 사물인터넷 기기 및 위치고정형 사물인터넷 기기의 안전 저장소 접근정보를 보호하는 방법
CN107704775B (zh) * 2017-09-28 2019-03-19 山东九州信泰信息科技股份有限公司 对导航数据信息进行aes加密存储的方法
CN110875901B (zh) * 2018-08-31 2022-10-28 无锡小天鹅电器有限公司 信息处理方法、装置以及衣物处理装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020178366A1 (en) * 2001-05-24 2002-11-28 Amiran Ofir Method for performing on behalf of a registered user an operation on data stored on a publicly accessible data access server
GB0420409D0 (en) * 2004-09-14 2004-10-20 Waterleaf Ltd Online commercial transaction system and method of operation thereof
US8037296B2 (en) * 2008-05-23 2011-10-11 Honeywell International Inc. Apparatus and method for counter-based communications in wireless sensor networks and other networks
JP5750935B2 (ja) * 2011-02-24 2015-07-22 富士ゼロックス株式会社 情報処理システム、情報処理装置、サーバ装置およびプログラム

Also Published As

Publication number Publication date
US20160226831A1 (en) 2016-08-04

Similar Documents

Publication Publication Date Title
US11652792B2 (en) Endpoint security domain name server agent
CN106713320B (zh) 终端数据传输的方法和装置
KR20160093856A (ko) 클라우드 컴퓨팅 환경에서 사용자 데이터 보호 장치 및 방법
EP2632108B1 (en) Method and system for secure communication
JP4898427B2 (ja) 通信ネットワーク内での相互認証の方法及びソフトウエアプログラム
US8312064B1 (en) Method and apparatus for securing documents using a position dependent file system
US9219709B2 (en) Multi-wrapped virtual private network
US20130332724A1 (en) User-Space Enabled Virtual Private Network
US10587579B2 (en) Varying encryption level of traffic through network tunnels
EP3328023B1 (en) Authentication of users in a computer network
US10944736B2 (en) Application authentication wrapper
JP2006165678A (ja) 暗号化通信の中継方法、ゲートウェイサーバ装置、暗号化通信のプログラムおよび暗号化通信のプログラム記憶媒体
JP2008299617A (ja) 情報処理装置、および情報処理システム
US11968302B1 (en) Method and system for pre-shared key (PSK) based secure communications with domain name system (DNS) authenticator
ES2966531T3 (es) Aplicación segura para acceder a recursos web
CN105429962B (zh) 一种通用的面向加密数据的中间网络服务构建方法与体系
GB2533384A (en) Network security broker
US20150249639A1 (en) Method and devices for registering a client to a server
WO2016112580A1 (zh) 业务处理方法及装置
US11736516B2 (en) SSL/TLS spoofing using tags
Singelée et al. The wireless application protocol (WAP)
KR20230100745A (ko) 제로 트러스트 엔드 포인트 네트워크 보안 장치
Josefsson Using Kerberos version 5 over the transport layer security (TLS) protocol
KR20190014958A (ko) 접속 제어 장치 및 방법
EP3051770A1 (en) User opt-in computer implemented method for monitoring network traffic data, network traffic controller and computer programs

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application