KR20190023354A - 가상 머신 마이그레이션 장치 및 방법 - Google Patents

가상 머신 마이그레이션 장치 및 방법 Download PDF

Info

Publication number
KR20190023354A
KR20190023354A KR1020170108945A KR20170108945A KR20190023354A KR 20190023354 A KR20190023354 A KR 20190023354A KR 1020170108945 A KR1020170108945 A KR 1020170108945A KR 20170108945 A KR20170108945 A KR 20170108945A KR 20190023354 A KR20190023354 A KR 20190023354A
Authority
KR
South Korea
Prior art keywords
data center
virtual machine
physical server
authentication
session key
Prior art date
Application number
KR1020170108945A
Other languages
English (en)
Other versions
KR102029053B1 (ko
Inventor
곽진
최슬기
이은지
박병주
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020170108945A priority Critical patent/KR102029053B1/ko
Publication of KR20190023354A publication Critical patent/KR20190023354A/ko
Application granted granted Critical
Publication of KR102029053B1 publication Critical patent/KR102029053B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • G06F21/445Program or device authentication by mutual authentication, e.g. between devices or programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명의 기술적 사상에 의한 일 양태에 따른 가상 머신 마이그레이션 방법은 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하는 단계, 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하는 단계, 상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터 사이에 세션 키를 교환하는 단계, 상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계 및 상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함할 수 있다.

Description

가상 머신 마이그레이션 장치 및 방법{VIRTUAL MACHINE MIGRATION DEVICE AND METHOD THEREOF}
본 발명의 기술적 사상은 가상 머신 마이그레이션 장치에 관한 것으로, 보다 상세하게는, 다양한 인증을 통한 가상 머신 마이그레이션 장치 및 그 방법에 관한 것이다.
가상 머신 마이그레이션(Virtual Machine Migration)은 서버 통합, 시스템 복구 등을 목적으로 물리 서버의 가상 머신을 다른 물리 서버로 복제하는 것을 의미한다.
가상 머신 마이그레이션은 운영체제 전체를 다른 위치로 전송하는 과정에서 암호화되지 않은 데이터에 포함된 사용자 정보, 비밀 키 등과 같은 주요 정보가 노출될 수 있다.
또한, 권한 없는 가상 머신 마이그레이션은 공격자로부터 공격자의 제어권 내의 위치로 가상 머신이 마이그레이션되는 보안 문제가 발생할 수 있다.
이러한 보안 문제는 가상 머신 마이그레이션 과정에서, 무단 접근, 데이터 탈취 및 변조, 사용자 권한 탈취 등의 보안 위협에 의해 발생될 수 있다.
따라서, 가상 머신 마이그레이션 과정에서 발생할 수 있는 보안 위협을 방지할 필요가 있다.
본 발명의 기술적 사상에 따른 가상 머신 마이그레이션 장치 및 방법이 이루고자 하는 기술적 과제는, 가상 머신 마이그레이션 과정의 보안성을 강화하는데 목적이 있다.
본 발명은 가상 머신 마이그레이션을 위한 다양한 인증 방법을 제공하여 가상 머신 마이그레이션을 위한 인증 방법을 개선하는데 목적이 있다.
또한, 본 발명은 가상 머신 마이그레이션과 관련하여 안정성 높은 인증 방법을 제공하는데 목적이 있다.
본 발명의 기술적 사상에 따른 충돌예측장치 및 방법이 이루고자 하는 기술적 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)는 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 기술적 사상에 의한 일 양태에 따른 가상 머신 마이그레이션 방법은 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하는 단계; 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하는 단계; 상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터 사이에 세션 키를 교환하는 단계; 상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계; 및 상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 처리 인증을 수행하는 단계는 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각은 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에 대응하는 제1 물리 서버 및 제2 물리 서버 각각과 상기 교환된 세션 키를 공유하기 위한 상호 인증 과정을 수행하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 근원 데이터 센터가 상기 제1 물리 서버에, 상기 근원 데이터 센터의 ID 및 상기 근원 데이터 센터가 생성한 제1 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제1 물리 서버가, 상기 제1 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와, 상기 제1 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제1 물리 서버의 ID를 비교하여, 상기 근원 데이터 센터를 인증하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제1 물리 서버가, 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 포함하는 처리 인증 응답을 상기 근원 데이터 센터에 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 근원 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와, 상기 근원 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 기초로, 상기 제1 물리 서버를 인증하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 가상 머신 데이터를 전송하는 단계는 상기 근원 데이터 센터가, 상기 인증된 제1 물리 서버에 상기 세션 키를 공유하는 단계와, 상기 제1 물리 서버가, 상기 공유된 세션 키를 이용하여 상기 가상 머신 데이터를 암호화하는 단계와, 상기 제1 물리 서버가, 상기 암호화된 가상 머신 데이터를 상기 목적 데이터 센터에 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 목적 데이터 센터가, 상기 제2 물리 서버에, 상기 목적 데이터 센터의 ID 및 상기 목적 데이터 센터가 생성한 제2 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제2 물리 서버가, 상기 제2 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와, 상기 제2 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제2 물리 서버의 ID를 비교하여, 상기 목적 데이터 센터를 인증하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 제2 물리 서버가, 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 포함하는 처리 인증 응답을 상기 목적 데이터 센터에 전송하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 상호 인증 과정을 수행하는 단계는 상기 목적 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와, 상기 목적 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 기초로, 상기 제2 물리 서버를 인증하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 가상 머신 데이터를 전송하는 단계는 상기 목적 데이터 센터가, 상기 인증된 제2 물리 서버에 상기 세션 키를 공유하는 단계를 포함할 수 있다.
예시적인 실시예에 따르면, 상기 목적 데이터 센터가, 상기 전송된 가상 머신 데이터를 상기 공유된 세션 키를 이용하여 복호화하는 단계; 및 상기 목적 데이터 센터가, 상기 복호화된 가상 머신 데이터를 해쉬함수로 해쉬하여, 상기 전송된 가상 머신 데이터의 무결성을 확인하는 단계를 더 포함할 수 있다.
예시적인 실시예에 따르면, 상기 근원 데이터 센터 및 목적 데이터 센터 사이에서 세션 키를 교환하는 단계는 SPEKE(Simple Password Exponential Key Exchange) 방식에 따라 상기 세션 키를 교환하는 단계를 포함할 수 있다.
본 발명의 기술적 사상에 의한 다른 양태에 따른 가상 머신 마이그레이션 장치는 적어도 하나의 프로세서; 및 상기 프로세서에 전기적으로 연결된 메모리를 포함하고, 상기 메모리는, 실행 시에, 상기 프로세서가, 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하고, 상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하고, 상기 가상 머신 마이그레이션에 대응하는 목적 데이터 센터와 세션 키를 교환하고, 상기 교환된 세션 키를 이용하여, 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하고, 상기 수행된 처리 인증을 기초로, 상기 목적 데이터 센터에 가상 머신 데이터를 전송하도록 하는 인스트럭션들을 저장할 수 있다.
본 발명의 기술적 사상에 의한 실시예들에 따른 가상 머신 마이그레이션 장치 및 방법은 가상 머신 마이그레이션 과정의 보안성을 강화할 수 있다.
또한, 본 발명에 따른 가상 머신 마이그레이션 장치 및 방법은 다양한 인증 과정을 통해, 상호 인증, 재생 공격 방지, 기밀성, 무결성, 중간자 공격 방지와 같은 높은 안정성을 제공할 수 있다.
본 명세서에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 간단한 설명이 제공된다.
도 1은 본 발명의 다양한 실시예에 따른 충돌 예측 및 충돌 방지 시스템을 나타낸다.
도 2는 본 발명의 다양한 실시예에 따른 물리 서버의 구성을 나타내는 블록도이다.
도 3은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성을 나타내는 블록도이다.
도 4는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 마이그레이션 요청 동작에 대한 래더 다이어그램이다.
도 5는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 동작에 대한 래더 다이어그램이다.
도 6은 본 발명의 다양한 실시예에 따른 SPEKE 키 교환에 대한 흐름도이다.
도 7은 본 발명의 다양한 실시예에 따른 HOTP 알고리즘을 나타내고, 도 8은 TOTP 계산 처리를 나타낸다.
본 발명의 기술적 사상은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명의 기술적 사상을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상의 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
본 발명의 기술적 사상을 설명함에 있어서, 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 기술적 사상의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 본 명세서의 설명 과정에서 이용되는 숫자(예를 들어, 제1, 제2 등)는 하나의 구성요소를 다른 구성요소와 구분하기 위한 식별기호에 불과하다.
또한, 본 명세서에서, 일 구성요소가 다른 구성요소와 "연결된다" 거나 "접속된다" 등으로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되거나 또는 직접 접속될 수도 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 연결되거나 또는 접속될 수도 있다고 이해되어야 할 것이다.
또한, 본 명세서에 기재된 "~부", "~기", "~자", "~모듈" 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 프로세서(Processor), 마이크로 프로세서(Micro Processor), 어플리케이션 프로세서(Application Processor), 마이크로 컨트롤러(Micro Controller), CPU(Central Processing Unit), GPU(Graphics Processing Unit), APU(Accelerate Processor Unit), DSP(Digital Signal Processor), ASIC(Application Specific Integrated Circuit), FPGA(Field Programmable Gate Array) 등과 같은 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
그리고 본 명세서에서의 구성부들에 대한 구분은 각 구성부가 담당하는 주기능 별로 구분한 것에 불과함을 명확히 하고자 한다. 즉, 이하에서 설명할 2개 이상의 구성부가 하나의 구성부로 합쳐지거나 또는 하나의 구성부가 보다 세분화된 기능별로 2개 이상으로 분화되어 구비될 수도 있다. 그리고 이하에서 설명할 구성부 각각은 자신이 담당하는 주기능 이외에도 다른 구성부가 담당하는 기능 중 일부 또는 전부의 기능을 추가적으로 수행할 수도 있으며, 구성부 각각이 담당하는 주기능 중 일부 기능이 다른 구성부에 의해 전담되어 수행될 수도 있음은 물론이다.
이하, 본 발명의 기술적 사상에 의한 실시예들을 차례로 상세히 설명한다.
도 1은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션에 대한 개념도이다.
도 1을 참조하면, 근원 데이터 센터(100, Source Data Center)에서 목적 데이터 센터(200, Destination Data Center)로 가상 머신(Virtual Machine)이 마이그레이션(migration)될 수 있다.
근원 데이터 센터(100) 및 목적 데이터 센터(200)는 서버, 스토리지, 네트워크, 물리 노드 등의 자원을 포함한 컨테이너일 수 있다.
근원 데이터 센터(100) 및 목적 데이터 센터(200)에 포함되는 데이터 센터 자원은 물리적 자원과 가상 자원으로 분류될 수 있다.
근원 데이터 센터(100)는 관리자 모듈(110), 가상 머신 모니터링 모듈(120), 가상 머신(141-146), 물리 노드(160) 및 서버(171, 172)를 포함할 수 있다.
관리자 모듈(110)은 근원 데이터 센터(100)에 포함된 가상 머신(141-146) 및 가상 머신 모니터링 모듈(120) 중 적어도 하나에서 정보를 가져올 수 있다.
관리자 모듈(110)은 가상 머신 마이그레이션 요청을 획득할 수 있고, 가상 머신 마이그레이션을 결정할 수 있다.
가상 머신 모니터링 모듈(120)은 물리 노드(160)에서 생성된 가상 머신(141-146)을 관리할 수 있다. 예를 들면, 가상 머신 모니터링 모듈(120)은 하이퍼바이저 기술로, 단일 하드웨어 자원을 통해 복수의 운영체제(Operation System)의 구동 및 호스트 서버의 로컬 자원 모니터링을 수행할 수 있다.
물리 노드(160)는 물리 서버(171, 172)가 가상 인스턴스를 실행하는 디스크를 갖는 노드일 수 있다. 예를 들면, 물리 노드(160)는 스위치, 라우터 등의 네트워크 자원으로부터 물리 서버(171, 172)가 상호 연결될 수 있다.
근원 데이터 센터(100)는 물리 노드(160)를 통해 물리 서버(171, 172)가 할당될 수 있다.
목적 데이터 센터(200)는 근원 데이터 센터(100)와 동일 또는 유사한 구성을 가질 수 있다.
목적 데이터 센터(200)는 관리자 모듈(210), 가상 머신 모니터링 모듈(220), 가상 머신(241-246), 물리 노드(260) 및 서버(271, 272)를 포함할 수 있다.
관리자 모듈(210)은 목적 데이터 센터(200)에 포함된 가상 머신(241-246) 및 가상 머신 모니터링 모듈(220) 중 적어도 하나에서 정보를 가져올 수 있다.
관리자 모듈(210)은 가상 머신 마이그레이션 요청을 획득할 수 있고, 가상 머신 마이그레이션을 결정할 수 있다.
가상 머신 모니터링 모듈(220)은 물리 노드(260)에서 생성된 가상 머신(241-246)을 관리할 수 있다. 예를 들면, 가상 머신 모니터링 모듈(220)은 하이퍼바이저 기술로, 단일 하드웨어 자원을 통해 복수의 운영체제(Operation System)의 구동 및 호스트 서버의 로컬 자원 모니터링을 수행할 수 있다.
물리 노드(260)는 물리 서버(271, 272)가 가상 인스턴스를 실행하는 디스크를 갖는 노드일 수 있다. 예를 들면, 물리 노드(260)는 스위치, 라우터 등의 네트워크 자원으로부터 물리 서버(271, 272)가 상호 연결될 수 있다.
목적 데이터 센터(200)는 물리 노드(260)를 통해 물리 서버(271, 272)가 할당될 수 있다.
이하, 도 2를 참조하여 물리 서버의 구성을 설명한다.
도 2는 본 발명의 다양한 실시예에 따른 물리 서버의 구성을 나타내는 블록도이다.
도 2를 참조하면, 물리 서버(300)는 프로세서(310), 메모리(330) 및 통신 모듈(350)을 포함할 수 있다.
프로세서(310)는 물리 서버(300)의 전반적인 동작을 제어할 수 있다.
메모리(330)는 물리 서버(300)의 동작과 관련된 다양한 정보를 저장할 수 있다.
통신 모듈(350)은 물리 서버(300)와 다른 물리 서버 또는 물리 서버(300)와 물리 노드 간의 유선 통신 또는 무선 통신을 제공할 수 있다.
한편, 물리 서버(300)는 상술한 물리 노드(160, 260)에 포함된 물리 서버(171, 172, 271, 272)뿐만 아니라, 근원 데이터 센터(100) 및 목적 데이터 센터(200)일 수도 있다.
본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성에 대해 도 3을 참조하여 설명한다.
도 3은 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치의 구성을 나타내는 블록도이다.
가상 머신 마이그레이션 장치(400)는 가상 머신 마이그레이션 요청 모듈(410) 및 가상 머신 마이그레이션 처리 모듈(430)을 포함할 수 있다.
가상 머신 마이그레이션 장치(400)는 근원 데이터 센터(100) 및/또는 목적 데이터 센터(200)일 수 있고, 후술할 데이터 센터(130, 230)일 수도 있다. 그리고 가상 머신 마이그레이션 장치(400)는 근원 데이터 센터(100) 및/또는 목적 데이터 센터(200)에 포함된 구성일 수도 있고, 데이터 센터(130, 230)에 포함된 구성일 수도 있다.
가상 머신 마이그레이션 요청 모듈(410)은 물리 서버 간에 가상 머신이 마이그레이션 되기 전, 마이그레이션을 위한 사용자 인증 과정과 데이터 센터 간의 인증 요청 및 응답 과정을 수행할 수 있다.
가상 머신 마이그레이션 요청 모듈(410)은 가상 머신 마이그레이션 요청 시, 사용자를 인증할 수 있다. 예를 들면, 가상 머신 마이그레이션 요청 모듈(410)은 OTP(One Time Password) 기반의 동적 인증을 통해 사용자를 인증할 수 있다. 구체적으로, 가상 머신 마이그레이션 요청 모듈(410)은 보안 토큰, 가상 토큰, SiFaDA(Single-Factor Dynamic Authentication) 중 적어도 하나를 이용할 수 있다.
가상 머신 마이그레이션 요청 모듈(410)은 사용자 인증되면 가상 머신 마이그레이션 처리 모듈(430)을 통해, 데이터 센터 간 가상 머신 마이그레이션을 요청할 수 있다.
예를 들면, 가상 머신 마이그레이션 요청 모듈(410)은 사용자 인증되면, 가상 머신 마이그레이션 처리 모듈(430)을 통해, 근원 데이터 센터(100)와 목적 데이터 센터(200) 간의 가상 머신 마이그레이션을 요청할 수 있다.
요청 과정에서, 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 상대방 데이터 센터의 공개 키로 암호화된 사용자 ID 및 데이터 센터 ID를 각각의 개인 키로 복호화할 수 있고, 복호화된 정보와 자신의 정보, 예를 들면 데이터 센터 ID 및 사용자 ID를 비교하여 사용자를 확인할 수 있다. 이에 따라 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 인증이 가능하며, 마이그레이션을 요청한 사용자 확인이 가능하다.
가상 머신 마이그레이션 요청 모듈(410)은 사용자 동적 인증 모듈(411), 마이그레이션 요청 모듈(415)을 포함할 수 있다.
사용자 동적 인증 모듈(411)은 상술한 사용자 인증 과정을 수행할 수 있다.
마이그레이션 요청 모듈(415)은 상술한 데이터 센터 간 가상 머신 마이그레이션 요청을 수행할 수 있다.
한편, 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 인증 기관에서 X.509와 같은 인증서를 발급 받은 상태이며, 각 사용자는 마이그레이션 요청 시 데이터 센터의 인증 서버에서 해당 OTP를 발급 받은 상태일 수 있다.
가상 머신 마이그레이션 요청 모듈(410)의 동작에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 데이터 센터 간 마이그레이션 요청 과정에 대해 도 4를 참조하여 설명한다.
도 4는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션을 위한 사용자 인증 및 마이그레이션 요청 동작에 대한 래더 다이어그램이다.
근원 데이터 센터(100)의 관리자 모듈(110)은 마이그레이션 인증 요청을 획득할 수 있다(S110).
예를 들면, 관리자 모듈(110)은 사용자로부터 마이그레이션 요청을 수신하여, 마이그레이션 인증 요청을 획득할 수 있다.
일 실시예로, 관리자 모듈(110)은 사용자로부터 가상 머신 마이그레이션을 요청하기 위한 사용자 인증을 위한 마이그레이션 인증 요청 메시지를 수신할 수 있다. 여기서 마이그레이션 인증 요청 메시지는 아래와 같을 수 있다.
Mig_Auth_Request=[UID||EOTP (UID)]
여기서 UID는 사용자 ID이다.
관리자 모듈(110)은 데이터 센터(130)에 사용자 인증 요청을 요청할 수 있다(S112).
예를 들면, 관리자 모듈(110)은 암호화되지 않은 UID로 사용자를 확인하고, 인증 요청 메시지를 데이터 센터(130)에 전송할 수 있다. 여기서 데이터 센터(130)는 근원 데이터 센터(100)에 포함된 구성일 수 있고, 근원 데이터 센터(100)일 수도 있다.
일 실시예로, 관리자 모듈(110)은 아래와 같은 인증 요청 메시지를 데이터 센터(130)에 전송할 수 있다.
Autu_Request=[EOTP (UID)||EK1(nonce1)]
여기서 nonce1은 관리자 모듈(110)이 생성한 난수이고, K1은 관리자 모듈과 데이터 센터(130) 간에 사전에 보안 채널을 통해 교환된 대칭 키이다.
데이터 센터(130)는 요청된 사용자 인증을 확인할 수 있다(S114).
예를 들면, 데이터 센터(130)는 OTP를 생성하고, 인증 요청 메시지를 생성한 OTP로 복호화할 수 있다. 데이터 센터(130)는 복호화된 UID를 확인할 수 있고, 사용자를 인증할 수 있다.
데이터 센터(130)는 사용자 인증 응답을 관리자 모듈(110)에 전송할 수 있다(S116).
데이터 센터(130)는 난수 nonce1을 대칭 키 K1으로 복호화하고, 관리자 모듈(110)에 인증 응답 메시지를 전송할 수 있다. 일 실시예로, 데이터 센터(130)는 아래와 같은 인증 응답 메시지를 전송할 수 있다.
Auth_Reply=[EK1(UID||nonce1)]
관리자 모듈(110)은 전송된 사용자 인증 응답을 기초로, 사용자 인증을 확인할 수 있다(S118).
일 실시예로, 관리자 모듈(110)은 인증 응답 메시지를 대칭 키 K1으로 복호화하여 UID와 관리자 모듈(110)에서 생성한 난수 nonce1을 획득할 수 있다. 그래서 관리자 모듈(110)은 인증 요청했던 데이터 센터(130)로부터 전송된 응답 메시지인 것을 확인할 수 있다. 이에 따라, 데이터 센터(130)의 사용자 인증이 완료될 수 있다.
관리자 모듈(110)은 데이터 센터(130)에 마이그레이션을 요청할 수 있다(S120).
예를 들면, 관리자 모듈(110)은 데이터 센터(130)에 가상 머신 마이그레이션을 요청하기 위한 요청 메시지를 전송할 수 있다. 일 실시예로, 관리자 모듈(110)은 아래와 같은 마이그레이션 요청 메시지를 데이터 센터(130)에 전송할 수 있다.
Mig_Requestadmin=[EK1(Mig_Rqst||Dest_DID||UID)]
여기서 Dest_DID는 목적 데이터 센터(200)의 ID이다.
데이터 센터(130)는 수신된 마이그레이션 요청을 복호화할 수 있다(S122).
예를 들면, 데이터 센터(130)는 관리자 모듈(110)로부터 수신한 Mig_Requestadmin을 대칭 키 K1으로 복호화할 수 있다.
데이터 센터(130)는 복호화된 메시지를 기초로 마이그레이션 목적 데이터 센터를 확인할 수 있다(S124).
예를 들면, 데이터 센터(130)는 복호화된 메시지에서 Dest_DID, 목적 데이터 센터의 ID를 확인할 수 있다.
데이터 센터(130)는 확인된 목적 데이터 센터에 마이그레이션 요청할 수 있다(S126).
예를 들면, 데이터 센터(130)는 복호화된 메시지에서 확인된 목적 데이터 센터에 마이그레이션을 요청할 수 있다. 일 실시예로, 데이터 센터(130)는 복호화된 메시지에서 확인된 Dest_DID를 갖는 목적 데이터 센터(200)에 Mig_RequestDC 메시지를 전송하여 가상 머신 마이그레이션을 요청할 수 있다. 구체적으로, 데이터 센터(130)는 아래와 같은 마이그레이션 요청 메시지를 목적 데이터 센터(200)에 전송할 수 있다.
Mig_RequestDC
=[EPbDest_DC(Mig_Rqst||Src_DID||Dest_DID||UID)||CertSrc_DC]
여기서 PbDest_DC는 목적 데이터 센터(200)의 공개 키이고, Src_DID는 근원 데이터 센터(100)의 ID이며, CertSrc_DC는 인증 기관에서 발급받은 근원 데이터 센터(100)의 인증서이다. 그리고 근원 데이터 센터(100)의 인증서는 상술한 바와 같이, 이미 발급받은 상태를 가정한다.
목적 데이터 센터(200)의 데이터 센터(230)는 수신된 마이그레이션 요청을 복호화할 수 있다(S128).
예를 들면, 데이터 센터(230)는 수신된 마이그레이션 요청 메시지를 데이터 센터(230)가 가진 비밀 키로 복호화할 수 있다. 일 실시예로, 데이터 센터(230)는 수신된 Mig_RequestDC을 소유한 비밀 키로 복호화할 수 있다.
여기서 데이터 센터(230)는 목적 데이터 센터(200)에 포함된 구성일 수 있고, 목적 데이터 센터(200)일 수도 있다.
데이터 센터(230)는 복호화된 값을 기초로, 인증 정보를 확인할 수 있다(S130).
예를 들면, 데이터 센터(230)는 복호화된 메시지에서, Dest_ID를 통해 목적 데이터 센터를 확인하고, UID를 통해 사용자를 확인할 수 있다. 그리고 데이터 센터(230)는 CertSrc_DC로 근원 데이터 센터(100)의 자격 증명을 확인할 수 있고, Src_DID로 응답 메시지를 보낼 근원 데이터 센터(100)의 ID를 확인할 수 있다.
데이터 센터(230)는 가상 머신 마이그레이션 응답을 데이터 센터(130)에 전송할 수 있다(S132).
예를 들면, 데이터 센터(230)는 가상 머신 마이그레이션 응답 메시지를 근원 데이터 센터(100)의 데이터 센터(130)에 전송할 수 있다. 일 실시예로, 데이터 센터(230)는 Mig_ResponseDC를 근원 데이터 센터(100)에 전송할 수 있다.
Mig_ResponseDC
=[EPbSrc_DC(SinPrDest_DC(Dest_DID||Ack))||CertDest_DC]
여기서, PbSrc_DC는 근원 데이터 센터(100)의 공개 키이고, CertDest_DC는 인증 기관에서 발급받은 목적 데이터 센터(200)의 인증서이다.
마이그레이션 응답 메시지는 목적 데이터 센터(200)의 비밀 키 PrDest_DC로 확인 메시지의 Ack와 Dest_DID를 서명한 서명 값을 포함할 수 있어서, 부인(deny) 봉쇄가 가능하다.
근원 데이터 센터(100)의 데이터 센터(130)는 마이그레이션 응답을 수신하고, 자격 증명을 확인할 수 있다(S134).
예를 들면, 데이터 센터(130)는 마이그레이션 응답 메시지를 수신할 수 있고, 마이그레이션 응답 메시지에서 CertDest_DC를 통해 근원 데이터 센터(100)의 자격 증명을 확인할 수 있다. 그리고 데이터 센터(130)는 소유한 비밀 키로 마이그레이션 응답 메시지를 복호화하고, 복호화된 메시지에 포함된 서명 값을 목적 데이터 센터(200)의 공개 키를 통해, 마이그레이션 요청 시 전송한 메시지에 포함된 목적 데이터 센터(200)의 ID가 맞는지 확인하고, Ack 메시지를 확인할 수 있다. 이에 따라, 근원 데이터 센터(100)와 목적 데이터 센터(200) 간의 권한 있는 마이그레이션이 가능할 수 있다.
이와 같이, 다양한 실시예에 따른 가상 머신 마이그레이션 장치 및 방법은 마이그레이션 요청 시마다 OTP를 통해 사용자를 인증하는 단계를 포함하여서, 공격자가 사용자 계정을 탈취하여 사용자의 시스템에 로그인하거나, 사용자 계정을 모르는 공격자가 로그인된 사용자의 시스템에 접근이 가능하더라도, 사용자의 계정만으로는 마이그레이션 요청할 수 없다.
다시 도 3을 참조한다.
가상 머신 마이그레이션 처리 모듈(430)은 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 세션 키 교환, 데이터 센터와 물리 서버 간의 세션 키 공유, 데이터 센터와 물리 서버 간의 상호 인증을 수행할 수 있다.
예를 들면, 가상 머신 마이그레이션 처리 모듈(430)은 SPEKE(Simple Password Exponential Key Exchange) 방식을 사용하여 세션 키를 교환할 수 있다.
가상 머신 마이그레이션 처리 모듈(430)은 데이터 센터와 물리 서버 간의 상호 인증 및 세션 키 공유에는 TOTP(Time based One Time Password) 기반의 동적 인증 방식을 사용하여, 공유된 세션 키를 통한 데이터 전송 과정의 기밀성을 보장할 수 있다.
가상 머신 마이그레이션 처리 모듈(430)의 동작에 따른 가상 머신 마이그레이션 과정에 대해 도 5를 참조하여 설명한다.
도 5는 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 동작에 대한 래더 다이어그램이다.
도 5를 참조하면, 근원 데이터 센터(100)와 목적 데이터 센터(200)는 세션 키를 교환할 수 있다(S140).
예를 들면, 근원 데이터 센터(100)와 목적 데이터 센터(200)는 SPEKE 키 교환 방식으로 세션 키를 교환할 수 있다. SPEKE에 따른 세션 키 교환 동작은 도 6과 같다.
도 6은 본 발명의 다양한 실시예에 따른 SPEKE 키 교환에 대한 흐름도이다.
도 6을 참조하면, 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 세이프 프라임(safe prime) p를 공유할 수 있다. 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 g=Hash(pw)2을 구성할 수 있다. 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 임의의 정수를 선택하고, 선택된 정수를 다른 데이터 센터에 전송할 수 있다. 예를 들면, 근원 데이터 센터(100)는 비밀 임의 정수(secret random integer) a를 선택하여 목적 데이터 센터(200)에 전송할 수 있고, 목적 데이터 센터(200)는 비밀 임의 정수 b를 선택하여 근원 데이터 센터(100)에 전송할 수 있다. 그리고 근원 데이터 센터(100) 및 목적 데이터 센터(200) 각각은 세이프 프라임 및 전송된 비밀 임의 정수를 이용하여 세션 키를 산출할 수 있다.
이와 같이 근원 데이터 센터(100) 및 목적 데이터 센터(200)는 SPEKE 키 교환 방식에 따라 세션 키를 교환할 수 있다. 그리고 SPEKE 키 교환 방식에 따르면, 생성기 g는 비밀 값이며, 일부 공유된 키 pw의 해쉬 값을 제곱하여 생성될 수 있고, g 및 p로 계산된 공개 키가 공격자에 탈취되더라도 공격자는 비밀 값 g를 알지 못하므로, 중간자 공격을 예방할 수 있다.
다시 도 5를 참조한다.
근원 데이터 센터(100) 및 목적 데이터 센터(200)는 SPEKE를 통해 생성된 세션 키를 각각의 물리 서버(170, 270)와 공유해야 하며, 세션 키 공유 전 데이터 센터(130, 230)와 물리 서버(170, 270) 간 상호 인증 과정을 수행할 수 있다.
근원 데이터 센터(100)의 데이터 센터(130)는 TOTP를 생성하고(S141),물리 서버(170)에 처리 인증 요청을 전송할 수 있다(S143).
목적 데이터 센터(200)의 데이터 센터(230)는 TOTP를 생성하고(S142), 물리 서버(270)에 처리 인증 요청을 전송할 수 있다(S144).
예를 들면, 데이터 센터(130, 230)는 해쉬 함수를 이용하여 비밀 키와 타임 스탬프를 결합시켜, 상호간 시간 동기화된 OTP를 생성할 수 있다.
도 7은 본 발명의 다양한 실시예에 따른 HOTP 알고리즘을 나타내고, 도 8은 TOTP 계산 처리를 나타낸다.
데이터 센터와 물리 서버 간의 상호 인증은 TOTP 기반으로 이루어지며, Internet Engineering Task Force 표준인 RFC 6238에 따른 TOTP 생성 과정과 같다. 구체적으로, TOTP는 타임 스탬프가 카운터로 대체된 HOTP르 기반으로 생성될 수 있고, HOTP 알고리즘은 도 7과 같다. 그리고 타임 스탬프와 유닉스 시간인 epoch 시간의 시작 시간인 TO를 통해 TOTP를 계산하는 과정은 도 8과 같다. 이 때, d는 OTP의 원하는 자리 수를 의미한다.
타임 스탬프는 일반적으로 30초 간격으로 증가하므로, 데이터 센터(130, 230)는 동일한 비밀 키로 시간에 따라 동일한 암호를 생성할 수 있다. 그리고 데이터 센터(130, 230)는 사용자와 서버의 시간을 대략적으로 동기화하기 위해 타임 스탬프의 1시간 오차를 허용할 수 있다.
근원 데이터 센터(100)의 데이터 센터(130) 및 목적 데이터 센터(200)의 데이터 센터(230)는 가상 머신 마이그레이션에 대응하는 물리 서버(170, 270)에 인증 요청 메시지를 전송할 수 있다. 예를 들면, 데이터 센터(130, 230)는 물리 서버(170, 270)에 아래와 같은 인증 요청 메시지 DC_PS_Auth_Request를 전송할 수 있다.
DC_PS_Auth_Request=[ETOTP(DID||PID)]nonce2)]
여기서 PID는 물리 서버의 ID이며, 근원 데이터 센터(100)의 물리 서버(170)인 경우 Src_PID, 목적 데이터 센터(200)의 물리 서버(270)인 경우 Dest_PID가 된다. 그리고 nonce2는 데이터 센터가 생성한 난수이다.
물리 서버(170, 270)는 전송된 인증 요청을 복호화하고(S145, S146), 복호화된 인증 요청에 포함된 정보를 기초로 데이터 센터를 인증할 수 있다(S147, S148).
예를 들면, 물리 서버(170, 270)는 전송된 인증 요청 메시지 DC_PS_Auth_Request를 물리 서버 자신의 TOTP로 복호화할 수 있다. 구체적으로, 물리 서버(170, 270)는 DC_PS_Auth_Request를 자신의 TOTP로 복호화하고, 자신의 PID를 확인하여 데이터 센터를 인증할 수 있다. 그리고 물리 서버(170, 270)는 가상 머신 마이그레이션을 요청한 데이터 센터(130, 230)의 DID 및 난수 nonce2를 확인할 수 있다.
물리 서버(170, 270)는 데이터 센터(130, 230)에 처리 인증 응답을 전송할 수 있다(S147, S148).
예를 들면 물리 서버(170, 270)는 아래와 같은 처리 인증 응답 DC_PS_Auth_Repsonse를 데이터 센터(130, 230)에 전송할 수 있다.
DC_PS_Auth_Repsonse=[ETOTP(DID||nonce2)]
데이터 센터(130, 230)는 전송된 처리 인증 응답을 복호화할 수 있고(S151, S152), 복호화된 처리 인증 응답에 포함된 정보를 기초로 물리 서버(170, 270)를 인증할 수 있다(S153, S154).
예를 들면, 데이터 센터(130, 230)는 물리 서버 자신의 TOTP로 수신된 처리 인증 응답 DC_PS_Auth_Repsonse을 복호화할 수 있고, 자신의 DID와 난수 nonce2를 확인하여 물리 서버(170, 270)을 확인할 수 있다.
데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 세션 키를 공유할 수 있다(S155, S156).
예를 들면, 데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 TOTP로 암호화한 세션 키를 전송할 수 있다. 일 실시예로, 데이터 센터(130, 230)는 상호 인증된 물리 서버(170, 270)에 TOTP로 세션 키를 암호화한 ETOTP(SK)를 전송할 수 있다. 이에 따라 물리 서버(170, 270)는 전송된 세션 키를 자신의 TOTP로 복호화하여 세션 키를 획득할 수 있다. 그래서 데이터 센터(130, 230)와 물리 서버(170, 270) 간 세션 키가 공유될 수 있다.
상술한 설명에서 근원 데이터 센터(100) 측 데이터 센터(130)와 물리 서버(170) 간의 동작과, 목적 데이터 센터(200) 측 데이터 센터(230)와 물리 서버(270) 간의 동작이 동시에 설명되었으나, 이는 설명을 위한 예시로, 동시가 아닌 다른 사점에 동작할 수도 있다.
이와 같이, 본 발명의 다양한 실시예에 따른 가상 머신 마이그레이션 장치 및 방법은 상호 전송되는 데이터를 근원 데이터 센터(100) 및 목적 데이터 센터(200) 간의 비밀 키를 이용하여 기밀성을 제공할 수 있다.
근원 데이터 센터(100)의 물리 서버(170)는 공유된 세션 키로 암호화된 가상 머신의 데이터를 목적 데이터 센터(200)의 물리 서버(270)에 전송할 수 있다(S157).
예를 들면, 근원 데이터 센터(100)의 물리 서버(170)는 세션 키로 암호화된 가상 머신 데이터 VM_Data_Tran를 목적 데이터 센터(200)의 물리 서버(270)에 전송할 수 있다.
VM_Data_Trans=[ESK(VM_Data||Hash(VM_Data))]
여기서 VM_Data는 전송하고자 하는 실제 데이터이고, Hash(VM_Data)는 SHA와 같은 해쉬 함수로, VM_Data를 해쉬한 값이다.
목적 데이터 센터(200)의 물리 서버(270)는 전송된 가상 머신 데이터를 복호화할 수 있다(S158).
예를 들면, 물리 서버(270)는 공유된 세션 키를 이용하여 전송된 가상 머신 데이터를 복호화할 수 있다. 예를 들면, 물리 서버(270)는 전송된 VM_Data_Tran을 복호화하여 VM_Data를 획득할 수 있다.
물리 서버(270)는 복호화된 가상 머신 데이터의 무결성을 확인할 수 있다(S159).
예를 들면, 물리 서버(270)는 복호화된 가상 머신 데이터 VM_Data를 근원 데이터 센터(100)의 물리 서버(170)와 동일한 해쉬함수로 해쉬하여 해쉬 값을 획득하고, 계산한 해쉬 값과 근원 데이터 센터(100)의 물리 서버(170)로부터 전달된 해쉬 값을 비교하여, 가상 머신 데이터에 대한 무결성을 확인할 수 있다.
이상, 본 발명의 기술적 사상을 바람직한 실시예를 들어 상세하게 설명하였으나, 본 발명의 기술적 사상은 상기 실시예들에 한정되지 않고, 본 발명의 기술적 사상의 범위 내에서 당 분야에서 통상의 지식을 가진 자에 의하여 여러 가지 변형 및 변경이 가능하다.
100: 근원 데이터 센터
110: 관리자 모듈
120: 가상 머신 모니터링 모듈
130: 데이터 센터
141-146: 가상 머신
160: 물리 노드
170, 171, 172: 물리 서버
200: 목적 데이터 센터
210: 관리자 모듈
220: 가상 머신 모니터링 모듈
230: 데이터 센터
241-246: 가상 머신
260: 물리 노드
270, 271, 272: 물리 서버
300: 물리 서버
310: 프로세서
330: 메모리
350: 통신 모듈
400: 가상 머신 마이그레이션 장치
410: 가상 머신 마이그레이션 요청 모듈
411: 사용자 동적 인증 모듈
415: 마이그레이션 요청 모듈
430: 가상 머신 마이그레이션 처리 모듈

Claims (15)

  1. 가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하는 단계;
    상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하는 단계;
    상기 가상 머신 마이그레이션에 대응하는 근원 데이터 센터 및 목적 데이터 센터 사이에 세션 키를 교환하는 단계;
    상기 교환된 세션 키를 이용하여, 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에서 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하는 단계; 및
    상기 수행된 처리 인증을 기초로, 상기 근원 데이터 센터에서 상기 목적 데이터 센터로 가상 머신 데이터를 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  2. 제1항에 있어서,
    상기 처리 인증을 수행하는 단계는
    상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각은 상기 근원 데이터 센터 및 상기 목적 데이터 센터 각각에 대응하는 제1 물리 서버 및 제2 물리 서버 각각과 상기 교환된 세션 키를 공유하기 위한 상호 인증 과정을 수행하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  3. 제2항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 근원 데이터 센터가 상기 제1 물리 서버에, 상기 근원 데이터 센터의 ID 및 상기 근원 데이터 센터가 생성한 제1 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  4. 제3항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 제1 물리 서버가, 상기 제1 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와,
    상기 제1 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제1 물리 서버의 ID를 비교하여, 상기 근원 데이터 센터를 인증하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  5. 제4항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 제1 물리 서버가, 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 포함하는 처리 인증 응답을 상기 근원 데이터 센터에 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  6. 제5항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 근원 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와,
    상기 근원 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 근원 데이터 센터의 ID 및 상기 제1 난수를 기초로, 상기 제1 물리 서버를 인증하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  7. 제6항에 있어서,
    상기 가상 머신 데이터를 전송하는 단계는
    상기 근원 데이터 센터가, 상기 인증된 제1 물리 서버에 상기 세션 키를 공유하는 단계와,
    상기 제1 물리 서버가, 상기 공유된 세션 키를 이용하여 상기 가상 머신 데이터를 암호화하는 단계와,
    상기 제1 물리 서버가, 상기 암호화된 가상 머신 데이터를 상기 목적 데이터 센터에 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  8. 제2항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 목적 데이터 센터가, 상기 제2 물리 서버에, 상기 목적 데이터 센터의 ID 및 상기 목적 데이터 센터가 생성한 제2 난수를 포함하는 인증 요청 메시지를 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  9. 제8항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 제2 물리 서버가, 상기 제2 물리 서버가 소유한 TOTP(Time based One Time Password)를 기초로, 상기 전송된 인증 요청 메시지를 복호화하는 단계와,
    상기 제2 물리 서버가, 상기 복호화된 인증 요청 메시지에 포함된 물리 서버의 ID와 상기 제2 물리 서버의 ID를 비교하여, 상기 목적 데이터 센터를 인증하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  10. 제9항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 제2 물리 서버가, 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 포함하는 처리 인증 응답을 상기 목적 데이터 센터에 전송하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  11. 제10항에 있어서,
    상기 상호 인증 과정을 수행하는 단계는
    상기 목적 데이터 센터가, 상기 전송된 처리 인증 응답을 복호화하는 단계와,
    상기 목적 데이터 센터가, 상기 복호화된 처리 인증 응답에 포함된 상기 목적 데이터 센터의 ID 및 상기 제2 난수를 기초로, 상기 제2 물리 서버를 인증하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  12. 제11항에 있어서,
    상기 가상 머신 데이터를 전송하는 단계는
    상기 목적 데이터 센터가, 상기 인증된 제2 물리 서버에 상기 세션 키를 공유하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  13. 제12항에 있어서,
    상기 목적 데이터 센터가, 상기 전송된 가상 머신 데이터를 상기 공유된 세션 키를 이용하여 복호화하는 단계; 및
    상기 목적 데이터 센터가, 상기 복호화된 가상 머신 데이터를 해쉬함수로 해쉬하여, 상기 전송된 가상 머신 데이터의 무결성을 확인하는 단계를 더 포함하는
    가상 머신 마이그레이션 방법.
  14. 제1항에 있어서,
    상기 근원 데이터 센터 및 목적 데이터 센터 사이에서 세션 키를 교환하는 단계는
    SPEKE(Simple Password Exponential Key Exchange) 방식에 따라 상기 세션 키를 교환하는 단계를 포함하는
    가상 머신 마이그레이션 방법.
  15. 적어도 하나의 프로세서; 및
    상기 프로세서에 전기적으로 연결된 메모리를 포함하고,
    상기 메모리는, 실행 시에, 상기 프로세서가,
    가상 머신 마이그레이션을 위한 사용자 인증 요청을 획득하고,
    상기 획득된 사용자 인증 요청에 대응하는 사용자를 인증하고,
    상기 가상 머신 마이그레이션에 대응하는 목적 데이터 센터와 세션 키를 교환하고,
    상기 교환된 세션 키를 이용하여, 상기 가상 머신 마이그레이션을 처리하기 위한 처리 인증을 수행하고,
    상기 수행된 처리 인증을 기초로, 상기 목적 데이터 센터에 가상 머신 데이터를 전송하도록 하는 인스트럭션들을 저장하는
    가상 머신 마이그레이션 장치.
KR1020170108945A 2017-08-28 2017-08-28 가상 머신 마이그레이션 장치 및 방법 KR102029053B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170108945A KR102029053B1 (ko) 2017-08-28 2017-08-28 가상 머신 마이그레이션 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170108945A KR102029053B1 (ko) 2017-08-28 2017-08-28 가상 머신 마이그레이션 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20190023354A true KR20190023354A (ko) 2019-03-08
KR102029053B1 KR102029053B1 (ko) 2019-10-07

Family

ID=65800643

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170108945A KR102029053B1 (ko) 2017-08-28 2017-08-28 가상 머신 마이그레이션 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102029053B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102179185B1 (ko) * 2020-07-02 2020-11-17 굿모닝아이텍(주) 서버 관리 시스템
KR102175317B1 (ko) * 2020-07-02 2020-11-06 굿모닝아이텍(주) 데스크톱 가상화
KR102543749B1 (ko) 2023-02-17 2023-06-14 주식회사 헤카톤에이아이 데이터 레이크 이관을 위한 인공지능 기반 자동화 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080050134A (ko) * 2006-12-01 2008-06-05 한국전자통신연구원 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법
KR20090067200A (ko) * 2006-10-10 2009-06-24 콸콤 인코포레이티드 상호 인증 방법 및 장치
KR20170052662A (ko) * 2014-09-23 2017-05-12 아마존 테크놀로지스, 인크. 가상 데스크탑 마이그레이션

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090067200A (ko) * 2006-10-10 2009-06-24 콸콤 인코포레이티드 상호 인증 방법 및 장치
KR20080050134A (ko) * 2006-12-01 2008-06-05 한국전자통신연구원 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법
KR20170052662A (ko) * 2014-09-23 2017-05-12 아마존 테크놀로지스, 인크. 가상 데스크탑 마이그레이션

Also Published As

Publication number Publication date
KR102029053B1 (ko) 2019-10-07

Similar Documents

Publication Publication Date Title
JP6684930B2 (ja) ブロックチェーンに基づくアイデンティティ認証方法、装置、ノード及びシステム
US20200358764A1 (en) System and method for generating symmetric key to implement media access control security check
US9043598B2 (en) Systems and methods for providing secure multicast intra-cluster communication
JP5860815B2 (ja) コンピューターポリシーを施行するためのシステムおよび方法
US11799844B2 (en) Secure communication network
WO2022100356A1 (zh) 身份认证系统、方法、装置、设备及计算机可读存储介质
WO2018202109A1 (zh) 一种证书请求消息发送方法、接收方法和装置
KR102029053B1 (ko) 가상 머신 마이그레이션 장치 및 방법
JP2018041224A (ja) ソフトウェア更新システム
CN114338091B (zh) 数据传输方法、装置、电子设备及存储介质
Balachandran et al. EDISON: a blockchain-based secure and auditable orchestration framework for multi-domain software defined networks
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
KR101358704B1 (ko) 싱글 사인 온을 위한 인증 방법
CN114363077B (zh) 基于安全访问服务边缘的管理系统
CN113791872B (zh) 基于云计算的认证方法及系统
CN115766119A (zh) 通信方法、装置、通信系统及存储介质
CN114189370A (zh) 一种访问方法及装置
Kraxberger et al. Trusted identity management for overlay networks
KR102162108B1 (ko) Nfv 환경을 위한 lw_pki 시스템 및 그 시스템을 이용한 통신방법.
JP2005165671A (ja) 認証サーバの多重化システム及びその多重化方法
US12010102B1 (en) Hybrid cryptography virtual private networks
WO2023151427A1 (zh) 量子密钥传输方法、装置及系统
US11509468B2 (en) Method and system for verifying secret decryption capability of escrow agents
Li et al. Research on the Security Protection of Secondary Distribution System Based on Software Defined Perimeters
JP2023163173A (ja) 秘密鍵の安全な回復

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant