KR20220005933A - 클라우드 서버 및 이의 제어 방법 - Google Patents

클라우드 서버 및 이의 제어 방법 Download PDF

Info

Publication number
KR20220005933A
KR20220005933A KR1020200083723A KR20200083723A KR20220005933A KR 20220005933 A KR20220005933 A KR 20220005933A KR 1020200083723 A KR1020200083723 A KR 1020200083723A KR 20200083723 A KR20200083723 A KR 20200083723A KR 20220005933 A KR20220005933 A KR 20220005933A
Authority
KR
South Korea
Prior art keywords
security
data
external device
cloud server
user
Prior art date
Application number
KR1020200083723A
Other languages
English (en)
Inventor
이재표
송지영
서혜인
이도연
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020200083723A priority Critical patent/KR20220005933A/ko
Priority to PCT/KR2021/007816 priority patent/WO2022010136A1/ko
Priority to US17/420,023 priority patent/US12026268B2/en
Publication of KR20220005933A publication Critical patent/KR20220005933A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Databases & Information Systems (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Abstract

클라우드 서버 및 이의 제어 방법이 제공된다. 본 개시의 클라우드 서버는 통신부, 복수의 보안 모듈이 액세스 가능한 저장 장치 및 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 외부 장치의 사용자의 식별 정보를 통신부를 통해 수신하면, 복수의 보안 모듈 중 하나의 보안 모듈을 통해 식별 정보에 대응되는 보안 데이터를 획득하고, 보안 데이터를 외부 장치에 전송하도록 통신부를 제어하고, 획득된 보안 데이터를 복수의 보안 모듈이 공유할 수 있도록 저장 장치에 저장하는 프로세서를 포함할 수 있다.

Description

클라우드 서버 및 이의 제어 방법{Cloud server and Method for controlling the cloud server thereof}
본 개시는 클라우드 서버 및 이의 제어 방법에 관한 것으로서, 더욱 상세하게는 복수의 보안 모듈이 보안 데이터를 공유하여 외부 장치가 전송한 데이터를 저장하는 클라우드 서버 및 이의 제어 방법에 관한 것이다.
SFTP(Secure File Transfer Protocol)는 기존의 FTP(File transfer Protocol)방식에서 보안이 강화된 전송 방식으로, 전송하는 모든 정보를 암호화하여 보안을 유지할 수 있다.
한편, 기존의 SFTP 방식으로 정보를 전송하는 서버는, 정보를 암호화하여 전송하고자 하는 사용자에 대한 인증을 독립적으로 수행하였다. 즉, 복수의 SFTP 서버가 그룹(Group)으로 이루어진 경우에, 각 SFTP 서버가 저장 또는 관리하는 사용자에 대한 관리가 일원화되어 있지 않았다.
따라서, 어느 하나의 SFTP 서버에서 사용자에 대한 정보가 수정되더라도 다른 SFTP 서버에 저장된 사용자에 대한 정보는 수정되어 있지 않으므로, 각 SFTP 서버에서 관리하는 사용자에 대한 정보의 일관성이 떨어진다는 한계가 존재하였다.
본 개시는 상술한 문제점을 해결하기 위해 안출된 것으로서, 본 개시의 목적은 사용자의 식별 정보에 대응되는 보안 데이터를 복수의 보안 모듈이 공유할 수 있도록 저장하고, 외부 장치가 전송한 데이터를 저장하는 클라우드 서버 및 이의 제어 방법을 제공함에 있다.
본 개시의 일 실시예에 따른, 복수의 보안 모듈을 포함하는 클라우드 서버는 회로를 포함하는 통신부, 상기 복수의 보안 모듈이 액세스 가능한 저장 장치 및 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 상기 외부 장치의 사용자의 식별 정보를 상기 통신부를 통해 수신하면, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 통해 상기 식별 정보에 대응되는 보안 데이터를 획득하고, 상기 보안 데이터를 상기 외부 장치에 전송하도록 상기 통신부를 제어하고, 상기 획득된 보안 데이터를 상기 복수의 보안 모듈이 공유할 수 있도록 상기 저장 장치에 저장하고, 상기 외부 장치로부터 상기 클라우드 서버에 저장할 데이터 및 보안 데이터가 상기 통신부를 통해 수신하면, 상기 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 상기 수신된 보안 데이터 및 상기 저장 장치에 저장된 보안 데이터에 기초하여 상기 외부 장치의 사용자를 인증하고, 상기 클라우드 서버에 저장할 데이터를 상기 저장 장치에 저장하는 적어도 하나의 프로세서를 포함할 수 있다.
한편, 본 개시의 또 다른 일 실시예에 따른, 복수의 보안 모듈을 포함하고, 상기 복수의 보안 모듈이 액세스 가능한 저장 장치를 포함하는 클라우드 서버의 제어 방법은, 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 상기 외부 장치의 사용자의 식별 정보를 수신하면, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 통해 상기 식별 정보에 대응되는 보안 데이터를 획득하고, 상기 보안 데이터를 상기 외부 장치에 전송하는 단계, 상기 획득된 보안 데이터를 상기 복수의 보안 모듈이 공유할 수 있도록 상기 저장 장치에 저장하는 단계; 상기 외부 장치로부터 상기 클라우드 서버에 저장할 데이터 및 보안 데이터를 수신하면, 상기 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 상기 수신된 보안 데이터 및 상기 저장 장치에 저장된 보안 데이터에 기초하여 상기 외부 장치의 사용자를 인증하고, 상기 클라우드 서버에 저장할 데이터를 상기 저장 장치에 저장하는 단계;를 포함할 수 있다.
상술된 본 개시의 다양한 실시예를 통해, 클라우드 서버는 복수의 보안 모듈이 데이터를 전송하고자 하는 사용자의 식별 정보에 대응되는 보안 데이터를 공유하도록 제어하므로써, 보안 모듈 간의 보안 데이터의 관리가 일원화될 수 있다.
도 1은 본 개시의 일 실시예에 따른, 클라우드 서버의 구성을 도시한 블록도,
도 2a는 본 개시의 일 실시예에 따른, 클라우드 서버가 식별 정보에 대응되는 보안 데이터를 획득하고 관리하는 과정을 설명하기 위한 도면,
도 2b는 본 개시의 일 실시예에 따른, 클라우드 서버가 외부 장치가 전송한 데이터를 저장하는 과정을 설명하기 위한 도면,
도 3은 본 개시의 일 실시예에 따른, 클라우드 서버의 동작을 설명하기 위한 시퀀스도,
도 4는 본 개시의 일 실시에에 따른, 클라우드 시스템의 동작을 설명하기 위한 도면,
도 5는 본 개시의 일 실시예에 따른, 클라우드 서버의 제어 방법을 설명하기 위한 순서도이다.
본 개시는 외부 장치의 사용자의 식별 정보에 대응되는 보안 데이터를 공유하는 복수의 보안 모듈을 포함하는 클라우드 서버 및 이의 제어 방법에 관한 것이다. 보안 모듈은 데이터를 암호화하여 클라우드 서버 상의 저장 장치 또는 다양한 종류의 장치로 전송할 수 있게 하는 모듈이다. 예를 들어, 보안 모듈은 SFTP(Secure File transfer protocol)를 이용하여 암호화된 데이터를 전송 또는 공유하는 모듈일 수 있으나, 이는 일 실시예에 불과하며 FTPS(FTP Secure) 등 다양한 프로토콜을 이용하는 모듈일 수 있다.
이하에서는 도면을 참조하여 본 개시에 대해 구체적으로 설명하도록 한다.
도 1은 본 개시의 일 실시예에 따른, 클라우드 서버(100)의 구성을 설명하기 위한 블록도이다. 도 1에 도시된 바와 같이, 클라우드 서버(100)는 저장 장치(110), 통신부(120), 프로세서(130)를 포함할 수 있다. 다만, 도 1에 도시된 구성은 본 개시의 실시 예들을 구현하기 위한 예시도이며, 통상의 기술자에게 자명한 수준의 적절한 하드웨어 및 소프트웨어 구성들이 클라우드 서버(100)에 추가로 포함될 수 있다.
저장 장치(110)는 클라우드 서버(100)의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 저장할 수 있다. 그리고, 저장 장치(110)는 프로세서(130)에 의해 액세스되며, 프로세서(130)에 의한 데이터의 독취/기록/수정/삭제/갱신 등이 수행될 수 있다. 그리고, 저장 장치(110) 중 일부 영역은 복수의 보안 모듈이 액세스할 수 있다.
한편, 저장 장치(110)는 비휘발성 메모리, 휘발성 메모리, 플래시메모리(flash-memory), 하드디스크 드라이브(HDD) 또는 솔리드 스테이트 드라이브(SSD) 등으로 구현될 수 있다. 그리고, 본 개시에서 저장 장치라는 용어는 메모리, 프로세서(130) 내 롬(미도시), 램(미도시) 또는 클라우드 서버(100)에 장착되는 메모리 카드(미도시)(예를 들어, micro SD 카드, 메모리 스틱)를 포함할 수 있다. 또한, 저장 장치(110)는 하나의 장치로 구현될 수 있으나, 이에 국한되는 것은 아니며 복수 개의 장치로 구현될 수 있다.
그리고, 저장 장치(110)는 클라우드 서버(100)에 기등록된 사용자의 사용자 ID(User Identification) 및 사용자 ID에 대응되는 패스워드를 저장할 수 있다. 사용자 명령에 의해 사용자 ID 또는 패스워드가 수정/추가/삭제될 수 있음은 물론이다. 클라우드 서버(100)에 사용자가 등록되었다는 것은 클라우드 서버(100)에 데이터를 저장할 권한이 있는 사용자를 식별할 수 있는 사용자 ID 및 이의 패스워드가 저장되어 있다는 것을 의미한다.
한편, 도 1에 도시된 바와 같이, 저장 장치(110)는 보안 데이터 저장 영역(110-1) 및 데이터 스토리지 영역(110-2)를 포함할 수 있다. 여기서, 보안 데이터 저장 영역(110-1)는 저장 장치(110) 중 복수의 보안 모듈이 보안 데이터를 공유할 수 있도록 할당된 저장 영역이다. 따라서, 복수의 보안 모듈은 보안 데이터 저장 영역(110-1)에 액세스하여 저장되어 있는 보안 데이터를 로딩(loading) 또는 활용할 수 있다.
그리고, 보안 데이터 저장 영역(110-1)에는 보안 데이터 및 보안 데이터에 대응되는 식별 정보가 저장될 수 있다. 이 경우, 복수의 보안 모듈은 보안 데이터 저장 영역(110-1)에 액세스하여 특정 식별 정보에 대응되는 보안 데이터를 식별하고, 식별된 보안 데이터를 로딩할 수 있다.
그리고, 저장 장치(110)는 데이터 스토리지 영역(또는, 클라우드 스토리지(cloud storage) 영역)(110-2)을 포함할 수 있다. 데이터 스토리지 영역(110-2)는 저장 장치(110) 중 외부 장치로부터 전송된 데이터를 저장하기 위해 할당된 저장 영역이다. 외부 장치의 사용자가 인증되면, 프로세서(130)는 적어도 하나의 보안 모듈을 통해 외부 장치로부터 수신된 클라우드 서버에 저장할 데이터를 데이터 스토리지 영역(110-2)에 저장할 수 있다. 이 때, 데이터 스토리지 영역(110-2)에 저장된 데이터는 복수의 보안 모듈에 의해 암호화된 데이터일 수 있다.
한편, 저장 장치(110)는 클라우드 서버(100)의 내부에 구비될 수 있으나, 외부에 구비되어 클라우드 서버(100)와 전기적으로 연결될 수 있다. 또한, 저장 장치(110)는 외부에 구비되어 유/무선 인터페이스(예를 들어, Wi-Fi, 블루투스, LAN(Local Area Network) 등)을 통해 클라우드 서버(100)와 통신 연결할 수 있다. 이 때, 프로세서(130)는 다양한 종류의 데이터(예를 들어, 복수의 보안 모듈이 암호화한 데이터 등)를 외부에 구비된 저장 장치(110-1)에 전송하도록 통신부(120)를 제어할 수 있다.
도 1에서는, 하나의 저장 장치(110) 내에서 보안 데이터 저장 영역(110-1) 및 데이터 스토리지 영역(110-2)이 각각 할당된 것으로 도시되어 있으나, 이에 국한되는 것은 아니다. 즉, 보안 데이터 저장 영역(110-1) 및 데이터 스토리지 영역(110-2)은 별개의 저장 장치에 할당된 영역이건, 별개의 저장 장치 그 자체로 구현될 수 있다.
통신부(120)는 회로를 포함하며, 외부 장치(미도시) 또는 각종 장치와의 통신을 수행할 수 있다. 특히, 통신부(120)는 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 사용자 인증 요청 신호를 수신할 수 있다. 또한, 통신부(120)는 외부 장치로부터 식별 정보를 수신할 수 있으며, 외부 장치로 식별 정보에 대응되는 보안 데이터를 전송할 수 있다. 그리고, 통신부(120)는 외부 장치로부터 클라우드 서버에 저장할 데이터를 수신할 수 있다.
한편, 통신부(120)는 클라우드 서버(100)의 외부에 구비된 저장 장치(110)와 통신을 수행하여 각종 데이터를 송/수신할 수 있다. 또한, 통신부(120)는 외부 서버에 포함된 보안 모듈이 출력한 보안 데이터 또는 암호화된 데이터를 수신할 수 있다. 그리고, 통신부(120)는 외부 장치로부터 수신된 클라우드 서버(100)에 저장할 데이터 및 보안 데이터를 보안 모듈을 포함하는 외부 서버에 전송할 수 있다.
한편, 통신부(120)는 외부 장치 또는 각종 다양한 종류의 장치와 통신을 수행하기 위해 다양한 통신 모듈을 포함할 수 있다. 일 예로, 통신부(120)는 무선 통신 모듈을 포함할 수 있으며, 예를 들면, LTE, LTE-A(LTE Advance), 5G, CDMA(code division multiple access), WCDMA(wideband CDMA), UMTS(universal mobile telecommunications system), WiBro(Wireless Broadband), 또는 GSM(Global System for Mobile Communications) 등 중 적어도 하나를 사용하는 셀룰러 통신 모듈을 포함할 수 있다. 다만, 이에 국한되는 것은 아니며 다양한 무선 통신 모듈을 포함할 수 있다.
또한, 통신부(120)는 유선 통신 모듈을 포함할 수 있으며, 예를 들면, USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 중 적어도 하나를 포함할 수 있다. 무선 통신 또는 유선 통신이 수행되는 네트워크는 텔레커뮤니케이션 네트워크, 예를 들면, 컴퓨터 네트워크(예: LAN 또는 WAN), 인터넷, 또는 텔레폰 네트워크 중 적어도 하나를 포함할 수 있다.
프로세서(130)는 전자 장치(100) 내부에 구비된 저장 장치(110)와 전기적으로 연결되거나 외부에 구비된 저장 장치(110)와 통신부(120)를 통해 연결됨으로써 클라우드 서버(100)의 전체적인 동작 또는 기능을 제어할 수 있다. 도 1에는 프로세서(130)가 하나인 것으로 도시되어 있으나, 이는 일 실시예에 불과하며 프로세서(130)는 두 개 이상의 복수 개일 수 있다.
특히, 외부 장치로부터 사용자 인증 요청 신호를 통신부(120)를 통해 수신하면, 프로세서(130)는 사용자 인증 요청 신호에 포함된 정보 및 저장 장치(110)에 저장된 정보에 기초하여 외부 장치의 사용자가 데이터 전송 권한이 있는지 여부를 식별할 수 있다. 예를 들면, 외부 장치(100)로부터 사용자 정보(예를 들어, 사용자 ID(Identification) 및 사용자 ID에 대응되는 패스워드)를 포함하는 사용자 인증 요청 신호가 통신부(120)를 통해 수신되면, 프로세서(130)는 사용자 인증 요청 신호에 포함된 사용자 ID 및 이에 대응되는 패스워드가 저장 장치(110)에 저장되어 있는 사용자 ID 및 이의 패스워드에 대응되는지 여부를 식별할 수 있다. 사용자 인증 요청 신호에 포함된 사용자 ID 및 이의 패스워드가 저장 장치(110)에 저장되어 있는 사용자 ID 및 이의 패스워드에 대응되면, 프로세서(130)는 외부 장치의 사용자가 데이터 전송 권한이 있는 것으로 식별할 수 있다.
그리고, 외부 장치의 사용자에게 데이터 전송 권한이 있다고 식별되면, 프로세서(130)는 사용자의 식별 정보를 외부 장치에 전송하도록 통신부를 제어할 수 있다. 이 때, 사용자의 식별 정보는 클라우드 서버(100)에 데이터를 전송할 수 있는 권한이 있는 사용자를 식별할 수 있는 사용자 고유 정보이다. 사용자의 식별 정보는 사용자 고유 정보를 포함하는 토큰(Token) 형태로 구현될 수 있다. 외부 장치는 데이터를 클라우드 서버(100)에 저장하기 위하여 준비 요청 신호 및 사용자 고유 정보를 포함하는 사용자의 식별 정보를 클라우드 서버(100)에 전송할 수 있다.
한편, 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 외부 장치의 사용자의 식별 정보가 통신부(120)를 통해 수신되면, 프로세서(130)는 복수의 보안 모듈 중 하나의 보안 모듈을 통해 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
프로세서(130)는 복수의 보안 모듈 중 하나를 보안 데이터를 출력할 모듈로 결정할 수 있다. 구체적으로, 프로세서(130)는, 할당 모듈(또는, 로드 밸랜서(load balancer) 모듈)을 통해, 복수의 보안 모듈 각각의 상태 정보를 바탕으로 복수의 보안 모듈 중 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈을 결정할 수 있다.
예를 들어, 프로세서(130)는, 할당 모듈을 통해, 복수의 보안 모듈 중 트래픽(traffic) 또는 부하가 제일 낮거나 리소스(resource)가 제일 높은 보안 모듈을 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈로 결정할 수 있다.
다른 예로, 프로세서(130)는, 할당 모듈을 통해, 복수의 보안 모듈 중 오류가 발생된 보안 모듈을 제외하고 나머지 보안 모듈 중 트래픽이 제일 낮은 보안 모듈을 보안 데이터를 출력할 보안 모듈로 결정할 수 있다. 다만, 이는 일 실시예에 불과하며, 프로세서(130)는 복수의 보안 모듈 중 임의로 하나의 모듈을 결정할 수 있다.
그리고, 프로세서(130)는 결정된 보안 모듈을 이용하여 식별 정보에 대응되는 보안 데이터를 획득할 수 있다. 구체적으로, 프로세서(130)는, 결정된 보안 모듈을 통해, 식별 정보에 포함된 사용자 고유 정보에 대응되는 보안 데이터를 획득할 수 있다. 예를 들어, 프로세서(130)는, 보안 모듈을 통해, 난수 발생기를 이용하여 생성된 랜덤한 데이터를 생성하고, 생성된 랜덤한 데이터를 식별 정보에 포함된 사용자 고유 정보에 대응되는 보안 데이터로 식별할 수 있다.
또 다른 예로, 프로세서(130)는, 보안 모듈을 통해, 사용자 고유 정보에 기정의된 알고리즘을 적용하여 식별 정보에 대응되는 고유의 보안 데이터를 획득할 수 있다. 또 다른 예로, 프로세서(130)는 SFTP 모듈로 구현된 보안 모듈에 포함된 REST(Representational State Transfer) API 모듈을 이용하여 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
다만, 프로세서(130)는 상술한 방식에 국한되지 않고 다양한 방식으로 식별 정보에 대응되는 보안 데이터를 획득할 수 있다. 한편, 보안 데이터는 보안 모듈을 이용하여 데이터를 클라우드(100)에 저장하기 위한 사용자의 식별 정보에 대응되는 패스워드일 수 있다. 예를 들어, 보안 모듈이 SFTP를 이용하는 모듈인 경우, 보안 데이터는 SFTP를 이용하기 위한 패스워드일 수 있다.
프로세서(130)는 획득된 보안 데이터를 외부 장치에 전송할 수 있다. 따라서, 외부 장치는 보안 모듈을 이용하여 클라우드 서버(100)에 보안 데이터를 전송하기 위한 식별 정보 및 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
그리고, 프로세서(130)는 획득된 보안 데이터를 복수의 보안 모듈이 공유할 수 있도록 저장 장치(110)에 저장할 수 있으며, 특히, 저장 장치(110) 중 보안 데이터 저장 영역(110-1)에 저장할 수 있다. 복수의 보안 모듈 중 프로세서(130)가 결정한 보안 모듈을 제외한 나머지 보안 모듈도 보안 데이터 저장 영역(110-1)에 액세스하여 보안 데이터를 로딩할 수 있다.
한편, 사용자의 식별 정보에 대응되는 보안 데이터를 보안 데이터 저장 영역(110-1)에 저장했다는 것은 보안 데이터에 대응되는 사용자는 보안 모듈을 이용하여 데이터를 클라우드 서버(100)에 저장할 수 있는 사용자로 등록되었음을 의미할 수 있다. 따라서, 클라우드 서버(100)가 외부 장치(10)로부터 수신한 데이터를 어떤 보안 모듈에 전송하더라도, 각 보안 모듈은 공유된 외부 장치(10)의 사용자에 대응되는 보안 데이터를 기초로 사용자를 인증하고, 인증된 사용자가 전송한 데이터를 암호화하여 클라우드 서버(100)에 저장할 수 있다.
외부 장치로부터 클라우드 서버(100)에 저장할 데이터 및 보안 데이터를 통신부(120)를 통해 수신하면, 클라우드 서버(100)는 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 수신된 보안 데이터 및 저장 장치에 저장된 보안 데이터에 기초하여 외부 장치의 사용자를 인증하고, 클라우드 서버(100)에 저장할 데이터를 저장 장치에 저장할 수 있다. 이 때, 프로세서(130)는 외부 장치로부터 보안 데이터와 함께 식별 정보를 통신부(120)를 통해 수신할 수 있다.
구체적으로, 외부 장치로부터 보안 데이터와 함께 식별 정보를 통신부(120)를 통해 수신하면, 프로세서(130)는, 할당 모듈을 통해, 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 외부 장치로부터 수신된 데이터를 암호화하고, 암호화된 데이터를 데이터 스토리지 영역(110-2)에 저장할 모듈로 결정할 수 있다. 그리고, 프로세서(130)는, 결정된 적어도 하나의 보안 모듈을 통해, 외부 장치로부터 수신된 보안 데이터와 보안 데이터 저장 영역(110-1)에 저장된 보안 데이터가 매칭되는지 여부에 기초하여 외부 장치의 사용자를 인증할 수 있다.
더욱 구체적으로, 프로세서(130)는 결정된 적어도 하나의 보안 모듈이 보안 데이터 저장 영역(110-1)에 액세스하여 저장된 식별 정보에 대응되는 보안 데이터를 로딩하도록 제어할 수 있다. 즉, 복수의 보안 모듈 중 식별 정보에 대응되는 보안 데이터를 출력한 보안 모듈을 제외한 나머지 보안 모듈도 보안 데이터 저장 영역(110-1)에 액세스하여 보안 데이터를 로딩할 수 있으므로, 나머지 보안 모듈도 저장된 보안 데이터에 기초하여 사용자 인증 동작을 수행할 수 있다.
그리고, 프로세서(130)는 적어도 하나의 보안 모듈을 통해, 로딩된 보안 데이터와 외부 장치로부터 수신된 보안 데이터가 매칭되는지 여부를 식별할 수 있다. 프로세서(130)는 로딩된 보안 데이터와 외부 장치로부터 수신된 보안 데이터가 매칭될 경우, 외부 장치의 사용자가 인증되었다고 식별할 수 있다.
프로세서(130)는, 결정된 적어도 하나의 보안 모듈을 통해, 외부 장치의 사용자가 인증되면 수신된 클라우드 서버(100)에 저장할 데이터를 암호화하고, 암호화된 데이터를 저장 장치(110) 중 데이터 스토리지 영역(110-2)에 저장할 수 있다.
그리고, 적어도 하나의 보안 모듈을 통해 암호화된 데이터를 저장 장치(110) 중 데이터 스토리지 영역(110-2)에 저장하면, 프로세서(130)는 저장 장치(110-1)에 저장된 식별 정보에 대응되는 보안 데이터를 제거할 수 있다. 따라서, 클라우드 서버(100)는 데이터를 전송한 사용자의 정보의 보안을 유지할 수 있다.
한편, 본 개시의 일 실시예로, 복수의 보안 모듈은 클라우드 서버(100) 상에 포함되지 않고, 외부 서버에 포함되어 있을 수 있다. 이 때, 프로세서(130)는 복수의 보안 모듈 중 하나의 보안 모듈을 포함하는 제1 외부 서버에 외부 장치의 사용자의 식별 정보를 전송하도록 통신부(120)를 제어할 수 있다. 복수의 보안 모듈 중 하나를 결정하는 실시예는 전술하였으므로 중복되는 설명은 생략하도록 한다. 그리고, 프로세서(130)는 보안 모듈을 포함하는 제1 외부 서버로부터 식별 정보에 대응되는 보안 데이터를 통신부(120)를 통해 수신하고, 수신한 보안 데이터를 저장 장치에 저장할 수 있다. 그리고, 프로세서(130)는 보안 데이터를 외부 장치에 저장할 수 있다.
그리고, 외부 장치로부터 보안 데이터 및 클라우드 서버에 저장할 데이터를 통신부(120)를 통해 수신하면, 프로세서(130)는 외부 장치로부터 수신된 보안 데이터 및 클라우드 서버(100)에 저장할 데이터를 복수의 보안 모듈 중 적어도 하나를 포함하는 제2 외부 서버에 전송하도록 통신부(120)를 제어할 수 있다. 이 때, 제1 외부 서버와 제2 외부 서버는 동일한 외부 서버일 수 있으나, 이는 일 실시예에 불과하며 서로 다른 외부 서버로 구현될 수 있다.
그리고, 프로세서(130)는 복수의 보안 모듈 중 적어도 하나가 저장 장치(110)에 저장된 보안 데이터를 기초하여 암호화한 데이터를 제2 외부 서버로부터 수신하고, 수신된 암호화된 데이터를 저장 장치 중 데이터 스토리지(110-2) 영역에 저장할 수 있다. 이 때, 제2 외부 서버에 포함된 보안 모듈은 클라우드 서버(100) 내에 구비된 또는 클라우드 외부에 위치한 보안 데이터 저장 영역에 액세스하여 기저장된 보안 데이터를 로딩할 수 있다. 그리고, 보안 모듈은 외부 장치로부터 수신된 보안 데이터와 기저장된 보안 데이터를 매칭하여 외부 장치의 사용자를 인증할 수 있다.
한편, 복수의 보안 모듈 중 제1 보안 모듈 및 제2 보안 모듈 각각이 서로 다른 외부 서버에 포함된 경우, 프로세서(120)는 외부 장치로부터 수신된 보안 데이터를 서로 다른 외부 서버 각각에 전송하도록 통신부(120)를 제어할 수 있다. 이와 동시에 또는 임계 시간 범위 내에, 프로세서(120)는 서로 다른 외부 서버 각각에 클라우드 서버(100)에 저장할 데이터 중 일부 각각을 전송할 수 있다. 이 때, 외부 서버 각각에 포함된 보안 모듈은 클라우드 서버(100) 내에 구비된 또는 클라우드 외부에 위치한 보안 데이터 저장 영역에 액세스하여 기저장된 보안 데이터를 로딩할 수 있다.
한편, 본 개시의 또 다른 실시예로, 클라우드 서버(100)에 보안 모듈이 포함되어 있지 않고, 상술한 보안 모듈이 수행하는 동작과 동일한 동작을 수행하는 보안 서버가 별도로 존재할 수 있다. 위 실시예는 도 4를 참조하여 구체적으로 설명하도록 한다.
그리고, 프로세서(130)는 디지털 신호를 처리하는 중앙처리장치(central processing unit(CPU)), MCU(Micro Controller Unit), MPU(micro processing unit), 컨트롤러(controller), 어플리케이션 프로세서(application processor(AP)), 또는 커뮤니케이션 프로세서(communication processor(CP)), ARMTM 프로세서 중 하나 또는 그 이상을 포함하거나, 해당 용어로 정의될 수 있다. 또한, 프로세서(130)는 프로세싱 알고리즘이 내장된 SoC(System on Chip), LSI(large scale integration)로 구현될 수도 있고, FPGA(Field Programmable gate array) 형태로 구현될 수도 있다. 프로세서(130)는 저장 장치(110)에 저장된 컴퓨터 실행가능 명령어(computer executable instructions)를 실행함으로써 다양한 기능을 수행할 수 있다. 뿐만 아니라, 프로세서(130)는 인공지능 기능을 수행하기 위하여, 별도의 AI 전용 프로세서인 GPU(graphics-processing unit), NPU(Neural Processing Unit), VPU(Visual Processing UniT) 중 적어도 하나를 포함할 수 있다.
도 2a 및 도 2b는 본 개시의 일 실시예에 따른, 클라우드 서버(100)가 외부 장치로부터 수신된 데이터를 저장하는 과정을 설명하기 위한 도면이다.
도 2a에 도시된 바와 같이, 클라우드 서버(100)는 외부 장치(10)로부터 데이터 전송을 위한 요청 신호 및 사용자의 식별 정보를 수신할 수 있다. 외부 장치(10)가 클라우드 서버(100)로부터 사용자의 식별 정보를 수신하는 과정은 도 1을 참조하여 설명하였으므로 중복되는 설명은 생략하도록 한다.
데이터 전송을 위한 요청 신호 및 사용자의 식별 정보를 수신하면, 클라우드 서버(100)는, 할당 모듈(20)을 통해, 복수의 보안 모듈(30-1, 30-2, … 30-N) 중 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈을 결정할 수 있다. 구체적으로, 클라우드 서버(100)는, 할당 모듈을 통해, 보안 모듈 각각의 상태 정보(예를 들어, 보안 모듈의 트래픽 양, 리소스 사용량, 오류 존재 여부 등)를 바탕으로 보안 데이터를 출력할 보안 모듈을 결정할 수 있다.
그리고, 제1 보안 모듈(30-1)을 보안 데이터를 출력할 보안 모듈로 결정한 경우, 클라우드 서버(100)는 제1 보안 모듈(30-1)을 통해 사용자의 식별 정보에 대응되는 보안 데이터를 획득할 수 있다. 예를 들어, 클라우드 서버(100)는 식별 정보에 대응되는 패스워드를 랜덤으로 생성할 수 있다.
그리고, 클라우드 서버(100)는 획득된 보안 데이터를 복수의 보안 모듈(30-1, 30-2, … 30-N)이 공유할 수 있도록 저장 장치(110) 중 보안 데이터 저장 영역(110-1)에 저장할 수 있다. 따라서, 복수의 보안 모듈(30-1, 30-2, … 30-N)은 보안 데이터 저장 영역(110-1)에 액세스하여 저장된 보안 데이터를 공유할 수 있다. 즉, 클라우드 서버(100)는 보안 데이터를 보안 데이터 저장 영역(110-1)으로 저장함으로써 보안 데이터에 대응되는 사용자를 보안 모듈을 이용하여 각종 데이터를 클라우드 서버(100)에 암호화하여 저장할 수 있는 사용자로 등록할 수 있다. 한편, 도 2a에 도시된 바와 같이, 보안 데이터 저장 영역(110-1)이 클라우드 서버(100) 내에 구비될 수 있으나, 이는 일 실시예에 불과하며, 외부 별도의 장치에 할당된 저장 영역일 수 있다.
그리고, 클라우드 서버(100)는 외부 장치(10)에 제1 보안 모듈(30-1)을 통해 획득된 보안 데이터를 외부 장치(10)에 전송할 수 있다. 따라서, 외부 장치(10)는 복수의 보안 모듈을 통해 클라우드 서버(10)에 데이터를 저장하기 위해 필요한 식별 정보 및 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
한편, 클라우드 서버(100)는 사용자 명령을 입력받기 위한 입력부(미도시)를 더 포함할 수 있다. 예를 들어, 입력부는 회로를 포함하는 구체적인 하드웨어로 구현될 수 있다. 프로세서(130)는 입력부를 통해 서버(100)의 동작을 제어하기 위한 사용자 명령을 수신할 수 있다. 입력부는 터치 센서, (디지털) 펜 센서, 압력 센서, 키, 또는 마이크를 포함할 수 있다. 터치 센서는, 예를 들면, 정전식 및 감압식 중 적어도 하나의 방식을 사용할 수 있다. 특히, 입력부를 보안 모듈이 데이터를 암호화하는 알고리즘을 수정하는 사용자 명령을 입력받을 수 있다.
그리고, 도 2b에 도시된 바와 같이, 클라우드 서버(100)는 외부 장치로부터 클라우드 서버(100)에 저장할 데이터 및 보안 데이터를 수신할 수 있다. 이 때, 클라우드 서버(100)는 보안 데이터에 대응되는 식별 정보를 함께 수신할 수 있다. 그리고, 클라우드 서버(100)는, 할당 모듈(20)을 통해, 복수의 보안 모듈(30-1, 30-2, … 30-N) 중 적어도 하나의 보안 모듈을 결정할 수 있다. 구체적으로, 클라우드 서버(100)는, 할당 모듈(20)을 통해 복수의 보안 모듈 각각의 상태 정보를 바탕으로 적어도 하나의 할당 모듈을 결정할 수 있다. 도 2b에는 제2 보안 모델 하나가 결정된 것으로 도시되어 있으나, 이는 일 실시예에 불과하며, 클라우드 서버(100)는 2개 또는 그 이상의 보안 모델을 결정할 수 있다. 2개 이상의 보안 모델을 결정한 경우, 클라우드 서버(100)는 2개 이상의 보안 모델 각각에 대해 클라우드 서버(100)에 저장할 데이터를 나누어 전송할 수 있다.
클라우드 서버(100)는, 제2 보안 모델(30-2)을 통해, 외부 장치(10)로부터 수신된 보안 데이터 및 보안 데이터 저장 영역(110-1)에 저장된 보안 데이터에 기초하여 외부 장치(10)의 사용자를 인증할 수 있다. 구체적으로, 클라우드 서버(100)는, 제2 보안 모델(30-2)을 통해, 보안 데이터 저장 영역(110-1)에 액세스하여 저장된 식별 정보에 대응되는 보안 데이터를 로딩할 수 있다. 그리고, 클라우드 서버(100)는, 제2 보안 모델(30-2)을 통해, 외부 장치로부터 수신된 보안 데이터와 로딩된 보안 데이터를 매칭할 수 있다. 로딩된 보안 데이터와 수신된 보안 데이터가 매칭된 경우, 클라우드 서버(100)는 외부 장치(10)의 사용자가 인증되었다고 식별할 수 있다. 그리고, 클라우드 서버(100)는, 제2 보안 모델(30-2)을 통해, 적어도 하나의 보안 모듈을 통해 클라우드 서버(100)에 저장할 데이터를 암호화하고, 암호화된 데이터를 데이터 스토리지 영역(110-2)에 저장할 수 있다.
한편, 복수의 보안 모델 중 2개 이상의 보안 모델이 클라우드 서버(100)에 의해 결정된 경우, 2개 이상의 보안 모델 각각은 보안 데이터 저장 영역(110-1)에 액세스하여 식별 정보에 대응되는 보안 데이터를 로딩할 수 있다. 따라서, 결정된 2개 이상의 보안 모델 각각은 로딩된 데이터에 기초하여 외부 장치(10)의 사용자를 인증할 수 있으며, 클라우드 서버(100)에 저장할 데이터 일부를 암호화하여 데이터 스토리지 영역(110-2)에 저장할 수 있다.
도 3은 본 개시의 일 실시예에 따른, 클라우드 서버(100) 및 외부 장치(10)의 동작을 설명하기 위한 시퀀스도이다.
우선, 외부 장치(10)는 사용자로부터 사용자 정보를 입력받을 수 있다(S305). 이 때, 사용자로부터 입력받는 사용자 정보는 클라우드 서버(100)에 기등록된 사용자 ID 및 사용자 ID에 대응되는 패스워드 일 수 있다. 외부 서버(10)는 입력된 사용자 정보를 포함한 사용자 인증 요청 신호를 클라우드 서버(100)에 전송할 수 있다(S310). 외부 장치(10)로부터 사용자 인증 요청 신호를 수신하면, 클라우드 서버(100)는 외부 장치(10)의 사용자가 데이터 전송 권한이 있는지 여부를 식별할 수 있다(S320). 구체적으로, 클라우드 서버(100)는 사용자 인증 요청 신호에 포함된 사용자 ID 및 사용자 ID에 대응되는 패스워드가 기등록되어 있는지 여부에 따라 사용자에게 데이터 전송 권한이 있는지 여부를 식별할 수 있다. 수신된 사용자 ID 및 사용자 ID에 대응되는 패스워드가 기등록되어 있지 않아 사용자에게 데이터 전송 권한이 없다고 식별되면, 클라우드 서버(100)는 외부 장치(10)에게 사용자 식별 정보를 전송하지 않을 수 있다(S325). 한편, 수신된 사용자 ID 및 사용자 ID에 대응되는 패스워드가 기등록되어 있어 사용자에게 데이터 전송 권한이 있다고 식별되면, 클라우드 서버(100)는 사용자의 식별 정보를 외부 장치(10)에 전송할 수 있다(S330).
그리고, 외부 장치(100)는 데이터 전송을 위한 준비 요청 신호 및 사용자의 식별 정보를 클라우드 서버(100)에 전송할 수 있다(S340). 데이터 전송을 위한 준비 요청 신호 및 사용자의 식별 정보를 수신하면, 클라우드 서버(100)는 복수의 보안 모듈 중 하나를 통해 식별 정보에 대응되는 보안 데이터를 획득할 수 있다(S350). 구체적으로, 클라우드 서버(100)는 복수의 보안 모듈 각각의 상태 정보(예를 들어, 복수의 보안 모듈 각각의 트래픽, 리소스 사용 비율, 오류 발생 여부 등)를 바탕으로 보안 데이터를 출력할 하나의 보안 모듈을 결정할 수 있다. 그리고, 클라우드 서버(100)는 결정된 보안 모듈 중 하나를 이용하여 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
그리고, 클라우드 서버(100)는 보안 데이터를 저장 장치 중 보안 데이터 저장 영역에 저장할 수 있다(S360). 그리고, 클라우드 서버(100)는 식별 정보에 대응되는 보안 데이터를 외부 장치(10)에 전송할 수 있다(S370). 한편, S360 단계에 따른 동작 및 S370단계에 따른 동작은 동시에 또는 임계 시간 내에 순서에 상관 없이 수행될 수 있다. 또 다른 예로, 클라우드 서버(100)는 S370 단계에 따른 동작을 수행한 후 S360 단계에 따른 동작을 수행할 수 있다.
한편, 외부 장치(10)는 클라우드 서버(100)에 저장할 데이터 및 보안 데이터를 클라우드 서버(100)에 전송할 수 있다(S380). 이 때, 외부 장치(10)는 식별 정보를 함께 클라우드 서버(100)에 저장할 데이터 및 보안 데이터를 클라우드 서버(100)에 전송할 수 있다. 그리고, 클라우드 서버(100)는 복수의 보안 모듈 중 적어도 하나를 이용하여 수신된 보안 데이터 및 저장된 보안 데이터에 기초하여 사용자를 인증하고, 클라우드 서버에 저장할 데이터를 저장 장치에 저장할 수 있다(S390).
구체적으로, 클라우드 서버(100)는 복수의 보안 모듈 중 적어도 하나를 결정할 수 있다. 예를 들어, 클라우드 서버(100)는 복수의 보안 모듈 각각의 상태 정보를 바탕으로 적어도 하나의 보안 모듈을 결정할 수 있다. 그리고, 클라우드 서버(100)는 결정된 적어도 하나의 보안 모듈을 이용하여 외부 장치(10)의 사용자를 인증할 수 있다. 예를 들어, 클라우드 서버(100)는, 결정된 적어도 하나의 보안 모듈을 통해, 보안 데이터 저장 영역에 저장된 수신된 식별 정보에 대응되는 보안 데이터를 로딩하고, 로딩된 보안 데이터와 외부 장치(10)로부터 수신된 보안 데이터를 매칭하여 사용자를 인증할 수 있다. 저장 장치에 저장된 보안 데이터와 외부 장치(10)로부터 수신된 보안 데이터가 매칭된 경우, 클라우드 서버(100)는 외부 장치의 사용자가 인증되었다고 식별할 수 있다. 그리고, 클라우드 서버(100)는, 적어도 하나의 보안 모듈을 통해, 클라우드 서버(100)에 저장할 데이터를 암호화하고, 암호화된 데이터를 저장 장치에 저장할 수 있다.
도 4는 본 개시의 일 실시예에 따른, 클라우드 시스템의 동작을 설명하기 위한 도면이다. 도 4에 도시된 바와 같이, 클라우드 시스템(1000)은 외부 장치(10), 클라우드 서버(100), 복수의 보안 서버(200-1, 200-2, … 200-N), 인증 서버(300) 및 클라우드 스토리지 클러스터(400)를 포함할 수 있다. 클라우드 서버(100), 복수의 보안 서버(200-1, 200-2, … 200-N), 인증 서버(300) 및 클라우드 스토리지 클러스터(400) 각각은 유/무선으로 통신 연결을 수행할 수 있다. 그리고, 외부 장치(10)와 클라우드 서버(100) 또는 인증 서버(300)는 무선으로 통신 연결을 수행할 수 있다. 이 때, 각 보안 서버는 SFTP 서버일 수 있으나 이는 일 실시예에 불과하며 각종 전송 프로토콜을 사용할 수 있는 서버로 구현될 수 있다.
한편, 도 4에는 보안 데이터 저장 영역(110-1)이 클라우드 서버(100)에 포함된 것으로 도시되어 있으나, 이는 일 실시예에 불과하다. 즉, 보안 데이터 저장 영역(110-1)은 별개의 장치에 포함되어 있을 수 있으며, 별개의 장치는 클라우드 서버(100) 및 복수의 보안 서버(200-1, 200-2 … 200-N)와 무선 또는 유선으로 통신 연결될 수 있다.
외부 장치(10)로부터 사용자 인증 요청 신호를 수신하면, 인증 서버(300)는 외부 장치의 사용자가 데이터 전송 권한이 있는지 여부를 식별할 수 있다. 구체적으로, 사용자 인증 요청 신호에는 인증 서버(300)에 기등록된 사용자 ID 및 사용자 ID에 대응되는 패스워드가 포함되어 있을 수 있다. 즉, 인증 서버(300)에 저장된 기등록된 사용자 ID 및 이의 패스워드는 클라우드 서버(100) 또는 클라우드 시스템(1000)에 각종 데이터를 저장할 수 있는 권한을 가진 사용자의 ID 및 이에 대응되는 패스워드이다. 인증 서버(300)는 사용자 인증 요청 신호에 포함된 사용자 ID 및 이의 패스워드가 기등록되어 있는지 여부를 식별할 수 있다.
인증 서버(300)에 저장된 기등록된 사용자 ID 및 이에 대응되는 패스워드는 클라우드 서버(100) 또는 클라우드 시스템(1000)에 각종 데이터를 저장할 수 있는 사용자의 ID 및 이에 대응되는 패스워드일 수 있다. 외부 장치(10)로부터 수신된 사용자 ID 및 이에 대응되는 패스워드가 기등록된 경우, 인증 서버(300)는 외부 장치(10)의 사용자에게 데이터 전송 권한이 있다고 식별할 수 있다. 그리고, 인증 서버(300)는 데이터 전송 권한이 있다고 식별된 사용자의 식별 정보를 생성하고, 생성된 식별 정보를 외부 장치(10)에 전송할 수 있다.
외부 장치(10)로부터 데이터 전송을 위한 준비 요청 신호 및 외부 장치의 사용자의 식별 정보를 수신하면, 클라우드 서버(100)는 복수의 보안 서버(200-1, 200-2, … 200-N) 중 하나에 식별 정보를 전송할 수 있다. 구체적으로, 클라우드 서버(100)는 유/무선으로 연결된 복수의 보안 서버의 상태 정보를 식별하고, 식별된 복수의 보안 서버의 상태 정보를 바탕으로 보안 데이터를 출력할 보안 서버를 결정할 수 있다. 그리고, 클라우드 서버(100)는 결정된 보안 서버에 식별 정보를 전송할 수 있다. 제1 보안 서버(200-1)가 결정되었다고 가정하면, 제1 보안 서버(200-1)는 식별 정보에 대응되는 보안 데이터를 생성할 수 있다. 예를 들어, 제1 보안 서버(200-1)는 REST API 모듈을 이용하여 식별 정보에 대응되는 보안 데이터를 랜덤으로 생성할 수 있다. 구체적으로, 제1 보안 서버(200-1)는 REST API 모듈을 이용하여 식별 정보에 대응되는 보안 데이터를 랜덤으로 생성할 수 있다.
그리고, 제1 보안 서버(200-1)는 보안 데이터 저장 영역(110-1)을 포함하는 클라우드 서버(100)에 보안 데이터를 전송할 수 있다. 클라우드 서버(100)는 복수의 보안 서버가 보안 데이터를 공유할 수 있도록 할당된 보안 데이터 저장 영역에 보안 데이터를 저장할 수 있다. 따라서, 복수의 보안 서버(200-1, 200-2, … 200-N)는 보안 데이터를 서로 공유할 수 있다. 그리고, 클라우드 서버(100)는 보안 데이터를 외부 장치(10)에 전송할 수 있다.
외부 장치(10)로부터 클라우드 스토리지 클러스터(400)에 저장할 데이터 및 보안 데이터를 수신하면, 클라우드 서버(100)는 복수의 보안 서버 중 적어도 하나의 보안 서버에 클라우드 스토리지 클러스터(400)에 저장할 데이터 및 외부 장치(10)로부터 수신된 보안 데이터를 전송할 수 있다. 예를 들어, 클라우드 서버(100)는 복수의 보안 서버 중 클라우드 스토리지 클러스터(400)에 저장할 데이터의 제1 부분을 제1 보안 서버(200-1)에 전송하고, 제2 부분을 제2 보안 서버(200-2)에 전송할 수 있다. 제1 보안 서버(200-1) 및 제2 보안 서버(200-2)는 유/무선으로 연결된 클라우드 서버(100) 또는 별개 장치의 보안 데이터 저장 영역(110-1)에 저장된 보안 데이터를 이용하여 사용자를 인증할 수 있다. 구체적으로, 제1 보안 서버(200-1) 및 제2 보안 서버(200-2) 각각은 보안 데이터 저장 영역에 액세스하여 저장된 식별 정보에 대응되는 보안 데이터를 로딩할 수 있다.
그리고, 제1 보안 서버(200-1) 및 제2 보안 서버(200-2)는 로딩된 보안 데이터와 외부 장치(10)로부터 수신된 보안 데이터를 바탕으로 사용자를 인증할 수 있다. 보안 서버가 보안 데이터를 이용하여 사용자를 인증하는 방식은 전술하였으므로 중복되는 설명은 생략하도록 한다.
외부 장치(10)의 사용자가 인증되면, 제1 보안 서버(200-1) 및 제2 보안 서버(200-2)는 암호화된 데이터를 유/무선으로 연결된 클라우드 스토리지 클러스터(400)에 저장할 수 있다. 그리고, 암호화된 데이터가 클라우드 스토리지 클러스터(400)에 저장되면, 클라우드 서버(100)는 보안 데이터 저장 영역(110-1)에 저장된 외부 장치(10)의 사용자의 식별 정보 및 식별 정보에 대응되는 보안 데이터를 삭제하고, 보안 데이터를 삭제하라는 신호를 제1 보안 서버(200-1) 및 제2 보안 서버(200-2)에 전송할 수 있다. 이에, 제1 보안 서버(200-1) 및 제2 보안 서버(200-2)는 저장되었던 식별 정보 및 이에 대응되는 보안 데이터를 삭제할 수 있다.
도 5는 본 개시의 일 실시예에 따른, 클라우드 서버(100)의 제어 방법을 설명하기 위한 순서도이다. 우선, 외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 외부 장치의 사용자의 식별 정보를 수신하면, 클라우드 서버(100)는 복수의 보안 모듈 중 하나의 보안 모듈을 통해 식별 정보에 대응되는 보안 데이터를 획득하고, 보안 데이터를 상기 외부 장치에 전송할 수 있다(S510). 구체적으로, 클라우드 서버(100)는 복수의 보안 모듈 각각의 상태 정보(예를 들어, 복수의 보안 모듈 각각의 트래픽, 오류 여부, 리소스 사용 여부 등)를 바탕으로, 복수의 보안 모듈 중 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈을 결정할 수 있다. 그리고, 클라우드 서버(100)는 결정된 보안 모듈을 이용하여 식별 정보에 대응되는 보안 데이터를 획득할 수 있다.
그리고, 클라우드 서버(100)는 획득된 보안 데이터를 복수의 보안 모듈이 공유할 수 있도록 저장 장치에 저장할 수 있다. 저장 장치는 복수의 보안 모듈이 보안 데이터를 공유할 수 있도록 할당된 보안 데이터 저장 영역을 포함할 수 있다. 따라서, 클라우드 서버(100)은 획득된 보안 데이터를 저장 영역 중 보안 데이터 저장 영역에 저장하여, 각 복수의 보안 모듈이 보안 데이터를 공유할 수 있게 할 수 있다.
그리고, 외부 장치로부터 클라우드 서버에 저장할 데이터 및 보안 데이터를 수신하면, 클라우드 서버(100)는 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 수신된 보안 데이터 및 저장 장치에 저장된 보안 데이터에 기초하여 외부 장치의 사용자를 인증하고, 클라우드 서버에 저장할 데이터를 저장 장치에 저장할 수 있다(S530). 구체적으로, 클라우드 서버(100)는 적어도 하나의 보안 모듈을 이용하여, 외부 장치로부터 수신된 보안 데이터와 저장 장치에 저장된 보안 데이터가 매칭되는지 여부에 기초하여 외부 장치의 사용자를 인증할 수 있다. 예를 들어, 저장 장치에 저장된 보안 데이터와 수신된 보안 데이터가 매칭된 경우, 클라우드 서버(100)는 외부 장치의 사용자가 인증되었다고 식별할 수 있다.
한편, 본 개시에 첨부된 도면은 본 개시에 기재된 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 개시의 실시예의 다양한 변경(modifications), 균등물(equivalents), 및/또는 대체물(alternatives)을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다.
본 개시에서, "가진다," "가질 수 있다," "포함한다," 또는 "포함할 수 있다" 등의 표현은 해당 특징(예: 수치, 기능, 동작, 또는 부품 등의 구성요소)의 존재를 가리키며, 추가적인 특징의 존재를 배제하지 않는다.
본 개시에서, "A 또는 B," "A 또는/및 B 중 적어도 하나," 또는 "A 또는/및 B 중 하나 또는 그 이상"등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. 예를 들면, "A 또는 B," "A 및 B 중 적어도 하나," 또는 "A 또는 B 중 적어도 하나"는, (1) 적어도 하나의 A를 포함, (2) 적어도 하나의 B를 포함, 또는 (3) 적어도 하나의 A 및 적어도 하나의 B 모두를 포함하는 경우를 모두 지칭할 수 있다.
본 개시에서 사용된 "제1," "제2," "첫째," 또는 "둘째,"등의 표현들은 다양한 구성요소들을, 순서 및/또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다.
어떤 구성요소(예: 제1 구성요소)가 다른 구성요소(예: 제2 구성요소)에 "(기능적으로 또는 통신적으로) 연결되어((operatively or communicatively) coupled with/to)" 있다거나 "접속되어(connected to)" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제3 구성요소)를 통하여 연결될 수 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소(예: 제1 구성요소)가 다른 구성요소(예: 제2 구성요소)에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소와 상기 다른 구성요소 사이에 다른 구성요소(예: 제 3 구성요소)가 존재하지 않는 것으로 이해될 수 있다.
본 개시에서 사용된 표현 "~하도록 구성된(또는 설정된)(configured to)"은 상황에 따라, 예를 들면, "~에 적합한(suitable for)," "~하는 능력을 가지는(having the capacity to)," "~하도록 설계된(designed to)," "~하도록 변경된(adapted to)," "~하도록 만들어진(made to)," 또는 "~를 할 수 있는(capable of)"과 바꾸어 사용될 수 있다. 용어 "~하도록 구성된(또는 설정된)"은 하드웨어적으로 "특별히 설계된(specifically designed to)" 것만을 반드시 의미하지 않을 수 있다. 대신, 어떤 상황에서는, "~하도록 구성된 장치"라는 표현은, 그 장치가 다른 장치 또는 부품들과 함께 "~할 수 있는" 것을 의미할 수 있다. 예를 들면, 문구 "A, B, 및 C를 수행하도록 구성된(또는 설정된) 부프로세서"는 해당 동작을 수행하기 위한 전용 프로세서(예: 임베디드 프로세서), 또는 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(generic-purpose processor)(예: CPU 또는 application processor)를 의미할 수 있다.
본 개시의 다양한 실시 예들에 따른 외부 장치는 예를 들면, 스마트폰, 태블릿 PC, 데스크탑 PC, 랩탑 PC, 넷북 컴퓨터, 서버, PDA, 의료기기, 또는 웨어러블 장치 중 적어도 하나를 포함할 수 있다. 어떤 실시 예들에서, 외부 장치는, 예를 들면, 텔레비전, 냉장고, 에어컨, 공기 청정기, 셋톱 박스, 미디어 박스(예: 삼성 HomeSyncTM, 애플TVTM, 또는 구글 TVTM) 중 적어도 하나를 포함할 수 있다.
본 개시의 다양한 실시 예들은 기기(machine)(예: 컴퓨터)로 읽을 수 있는 저장 매체(machine-readable storage media에 저장된 명령어를 포함하는 소프트웨어로 구현될 수 있다. 기기는, 저장 매체로부터 저장된 명령어를 호출하고, 호출된 명령어에 따라 동작이 가능한 장치로서, 개시된 실시 예들에 따른 서버 클라우드를 포함할 수 있다. 상기 명령이 프로세서에 의해 실행될 경우, 프로세서가 직접, 또는 상기 프로세서의 제어하에 다른 구성요소들을 이용하여 상기 명령에 해당하는 기능을 수행할 수 있다. 명령은 컴파일러 또는 인터프리터에 의해 생성 또는 실행되는 코드를 포함할 수 있다. 기기로 읽을 수 있는 저장매체는, 비일시적(non-transitory) 저장매체의 형태로 제공될 수 있다. 여기서, '비일시적은 저장매체'는 신호(signal)를 포함하지 않으며 실재(tangible)한다는 것을 의미할 뿐 데이터가 저장매체에 반영구적 또는 임시적으로 저장됨을 구분하지 않는다. 예로, '비일시적 저장매체'는 데이터가 임시적으로 저장되는 버퍼를 포함할 수 있다.
일 실시 예에 따르면, 본 개시에 개시된 다양한 실시 예들에 따른 방법은 컴퓨터 프로그램 제품(computer program product)에 포함되어 제공될 수 있다. 컴퓨터 프로그램 제품은 상품으로서 판매자 및 구매자 간에 거래될 수 있다. 컴퓨터 프로그램 제품은 기기로 읽을 수 있는 저장 매체(예: compact disc read only memory (CD-ROM))의 형태로, 또는 어플리케이션 스토어(예: 플레이 스토어TM)를 통해 온라인으로 배포될 수 있다. 온라인 배포의 경우에, 컴퓨터 프로그램 제품(예로, 다운로더블 앱(downloadable app))의 적어도 일부는 제조사의 서버, 어플리케이션 스토어의 서버, 또는 중계 서버의 메모리와 같은 저장 매체에 적어도 일시 저장되거나, 임시적으로 생성될 수 있다.
다양한 실시 예들에 따른 구성 요소(예: 모듈 또는 프로그램) 각각은 단수 또는 복수의 개체로 구성될 수 있으며, 전술한 해당 서브 구성 요소들 중 일부 서브 구성 요소가 생략되거나, 또는 다른 서브 구성 요소가 다양한 실시 예에 더 포함될 수 있다. 대체적으로 또는 추가적으로, 일부 구성 요소들(예: 모듈 또는 프로그램)은 하나의 개체로 통합되어, 통합되기 이전의 각각의 해당 구성 요소에 의해 수행되는 기능을 동일 또는 유사하게 수행할 수 있다. 다양한 실시 예들에 따른, 모듈, 프로그램 또는 다른 구성 요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱하게 실행되거나, 적어도 일부 동작이 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
110: 저장 장치 120: 통신
130: 프로세서

Claims (20)

  1. 복수의 보안 모듈을 포함하는 클라우드 서버에 있어서,
    회로를 포함하는 통신부;
    상기 복수의 보안 모듈이 액세스 가능한 저장 장치; 및
    외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 상기 외부 장치의 사용자의 식별 정보를 상기 통신부를 통해 수신하면, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 통해 상기 식별 정보에 대응되는 보안 데이터를 획득하고, 상기 보안 데이터를 상기 외부 장치에 전송하도록 상기 통신부를 제어하고,
    상기 획득된 보안 데이터를 상기 복수의 보안 모듈이 공유할 수 있도록 상기 저장 장치에 저장하고,
    상기 외부 장치로부터 상기 클라우드 서버에 저장할 데이터 및 보안 데이터가 상기 통신부를 통해 수신하면, 상기 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 상기 수신된 보안 데이터 및 상기 저장 장치에 저장된 보안 데이터에 기초하여 상기 외부 장치의 사용자를 인증하고, 상기 클라우드 서버에 저장할 데이터를 상기 저장 장치에 저장하는 적어도 하나의 프로세서;를 포함하는, 클라우드 서버.
  2. 제1항에 있어서,
    상기 저장 장치는 상기 복수의 보안 모듈이 상기 보안 데이터를 공유할 수 있도록 할당된 보안 데이터 저장 영역을 포함하고,
    상기 적어도 하나의 프로세서는, 상기 획득된 보안 데이터를 상기 보안 데이터 저장 영역에 저장하는 클라우드 서버.
  3. 제1항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 복수의 보안 모듈 각각의 상태 정보를 바탕으로, 상기 복수의 보안 모듈 중 상기 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈을 결정하고,
    상기 결정된 보안 모듈을 이용하여 상기 식별 정보에 대응되는 보안 데이터를 획득하는 클라우드 서버.
  4. 제1항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 적어도 하나의 보안 모듈을 이용하여, 상기 외부 장치로부터 수신된 보안 데이터와 상기 저장 장치에 저장된 보안 데이터가 매칭되는지 여부에 기초하여 상기 외부 장치의 사용자를 인증하는 클라우드 서버.
  5. 제4항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 저장 장치에 저장된 보안 데이터와 상기 수신된 보안 데이터가 매칭된 경우, 상기 외부 장치의 사용자가 인증되었다고 식별하고,
    상기 적어도 하나의 보안 모듈을 통해 상기 클라우드 서버에 저장할 데이터를 암호화하고, 상기 암호화된 데이터를 상기 저장 장치에 저장하는 클라우드 서버.
  6. 제5항에 있어서,
    상기 적어도 하나의 상기 프로세서는,
    상기 암호화된 데이터를 상기 저장 장치에 저장하면, 상기 저장 장치에 저장된 상기 보안 데이터를 제거하는 클라우드 서버.
  7. 제1항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 복수의 보안 모듈 각각이 외부 서버에 포함된 경우, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 포함하는 제1 외부 서버에 상기 식별 정보를 전송하도록 상기 통신부를 제어하고,
    상기 제1 외부 서버로부터 상기 식별 정보에 대응되는 보안 데이터를 상기 통신부를 통해 수신하고, 상기 보안 데이터를 상기 저장 장치에 저장하고,
    상기 수신된 보안 데이터를 상기 외부 장치에 전송하도록 상기 통신부를 제어하는 클라우드 서버.
  8. 제7항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 외부 장치로부터 상기 보안 데이터 및 상기 클라우드 서버에 저장할 데이터를 상기 통신부를 통해 수신하면, 상기 외부 장치로부터 수신된 보안 데이터 및 상기 클라우드 서버에 저장할 데이터를 상기 복수의 보안 모듈 중 적어도 하나를 포함하는 제2 외부 서버에 전송하도록 상기 통신부를 제어하고,
    상기 복수의 보안 모듈 중 적어도 하나가 상기 저장 장치에 저장된 보안 데이터를 기초하여 암호화한 데이터를 상기 제2 외부 서버로부터 수신하고, 상기 수신된 암호화된 데이터를 상기 저장 장치에 저장하는 클라우드 서버.
  9. 제1항에 있어서,
    상기 적어도 하나의 프로세서는,
    상기 외부 장치로부터 사용자 인증 요청 신호를 상기 통신부를 통해 수신하면, 상기 외부 장치의 사용자가 데이터 전송 권한이 있는지 여부를 식별하고,
    상기 외부 장치의 사용자에게 상기 데이터 전송 권한이 있다고 식별되면, 상기 사용자의 식별 정보를 상기 외부 장치에 전송하도록 상기 통신부를 제어하는 클라우드 서버.
  10. 제1항에 있어서,
    상기 복수의 보안 모듈 각각은 SFTP(Secure File transfer protocol)을 이용하는 모듈인 것을 특징으로 하는 클라우드 서버.
  11. 복수의 보안 모듈을 포함하고, 상기 복수의 보안 모듈이 액세스 가능한 저장 장치를 포함하는 클라우드 서버의 제어 방법에 있어서,
    외부 장치로부터 데이터 전송을 위한 준비 요청 신호 및 상기 외부 장치의 사용자의 식별 정보를 수신하면, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 통해 상기 식별 정보에 대응되는 보안 데이터를 획득하고, 상기 보안 데이터를 상기 외부 장치에 전송하는 단계;
    상기 획득된 보안 데이터를 상기 복수의 보안 모듈이 공유할 수 있도록 상기 저장 장치에 저장하는 단계; 및
    상기 외부 장치로부터 상기 클라우드 서버에 저장할 데이터 및 보안 데이터를 수신하면, 상기 복수의 보안 모듈 중 적어도 하나의 보안 모듈을 이용하여, 상기 수신된 보안 데이터 및 상기 저장 장치에 저장된 보안 데이터에 기초하여 상기 외부 장치의 사용자를 인증하고, 상기 클라우드 서버에 저장할 데이터를 상기 저장 장치에 저장하는 단계;를 포함하는 제어 방법.
  12. 제11항에 있어서,
    상기 저장 장치는 상기 복수의 보안 모듈이 상기 보안 데이터를 공유할 수 있도록 할당된 보안 데이터 저장 영역을 포함하고,
    상기 보안 데이터를 저장하는 단계는,
    상기 획득된 보안 데이터를 상기 보안 데이터 저장 영역에 저장하는 단계;를 포함하는 제어 방법.
  13. 제11항에 있어서,
    상기 전송하는 단계는,
    상기 복수의 보안 모듈 각각의 상태 정보를 바탕으로, 상기 복수의 보안 모듈 중 상기 식별 정보에 대응되는 보안 데이터를 출력할 보안 모듈을 결정하는 단계; 및
    상기 결정된 보안 모듈을 이용하여 상기 식별 정보에 대응되는 보안 데이터를 획득하는 단계;를 포함하는 제어 방법.
  14. 제11항에 있어서,
    상기 외부 장치의 사용자를 인증하는 단계는,
    상기 적어도 하나의 보안 모듈을 이용하여, 상기 외부 장치로부터 수신된 보안 데이터와 상기 저장 장치에 저장된 보안 데이터가 매칭되는지 여부에 기초하여 상기 외부 장치의 사용자를 인증하는 단계;를 포함하는 제어 방법.
  15. 제14항에 있어서,
    상기 외부 장치의 사용자를 인증하는 단계는,
    상기 저장 장치에 저장된 보안 데이터와 상기 수신된 보안 데이터가 매칭된 경우, 상기 외부 장치의 사용자가 인증되었다고 식별하는 단계;를 포함하고,
    상기 클라우드 서버에 저장할 데이터를 상기 저장 장치에 저장하는 단계는,
    상기 적어도 하나의 보안 모듈을 통해 상기 클라우드 서버에 저장할 데이터를 암호화하고, 상기 암호화된 데이터를 상기 저장 장치에 저장하는 단계;를 포함하는 제어 방법.
  16. 제15항에 있어서,
    상기 암호화된 데이터를 상기 저장 장치에 저장하면, 상기 저장 장치에 저장된 보안 데이터를 제거하는 단계;를 더 포함하는 제어 방법.
  17. 제11항에 있어서,
    상기 복수의 보안 모듈 각각이 외부 서버에 포함된 경우, 상기 복수의 보안 모듈 중 하나의 보안 모듈을 포함하는 제1 외부 서버에 상기 식별 정보를 전송하는 단계;
    상기 제1 외부 서버로부터 상기 식별 정보에 대응되는 보안 데이터를 수신하고, 상기 보안 데이터를 상기 저장 장치에 저장하는 단계; 및
    상기 수신된 보안 데이터를 상기 외부 장치에 전송하는 단계;를 더 포함하는 제어 방법.
  18. 제17항에 있어서,
    상기 외부 장치로부터 상기 보안 데이터 및 상기 클라우드 서버에 저장할 데이터를 수신하면, 상기 복수의 보안 모듈 중 적어도 하나를 포함하는 제2 외부 서버에 상기 클라우드 서버에 저장할 데이터 및 상기 외부 장치로부터 수신된 보안 데이터를 전송하는 단계; 및
    상기 복수의 보안 모듈 중 적어도 하나가 상기 저장 장치에 저장된 보안 데이터를 기초하여 암호화한 데이터를 상기 제2 외부 서버로부터 수신하고, 상기 수신된 암호화된 데이터를 상기 저장 장치에 저장하는 단계;를 더 포함하는 제어 방법.
  19. 제11항에 있어서,
    상기 외부 장치로부터 사용자 인증 요청 신호를 수신하면, 상기 외부 장치의 사용자가 데이터 전송 권한이 있는지 여부를 식별하는 단계;
    상기 외부 장치의 사용자에게 상기 데이터 전송 권한이 있다고 식별되면, 상기 사용자의 식별 정보를 상기 외부 장치에 전송하는 단계;를 더 포함하는 제어 방법.
  20. 제11항에 있어서,
    상기 복수의 보안 모듈 각각은 SFTP(Secure File transfer protocol)을 이용하는 모듈인 것을 특징으로 하는 제어 방법.
KR1020200083723A 2020-07-07 2020-07-07 클라우드 서버 및 이의 제어 방법 KR20220005933A (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020200083723A KR20220005933A (ko) 2020-07-07 2020-07-07 클라우드 서버 및 이의 제어 방법
PCT/KR2021/007816 WO2022010136A1 (ko) 2020-07-07 2021-06-22 클라우드 서버 및 이의 제어 방법
US17/420,023 US12026268B2 (en) 2020-07-07 2021-06-22 Cloud server and method for controlling cloud server thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200083723A KR20220005933A (ko) 2020-07-07 2020-07-07 클라우드 서버 및 이의 제어 방법

Publications (1)

Publication Number Publication Date
KR20220005933A true KR20220005933A (ko) 2022-01-14

Family

ID=79343113

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200083723A KR20220005933A (ko) 2020-07-07 2020-07-07 클라우드 서버 및 이의 제어 방법

Country Status (2)

Country Link
KR (1) KR20220005933A (ko)
WO (1) WO2022010136A1 (ko)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20130219164A1 (en) * 2011-12-29 2013-08-22 Imation Corp. Cloud-based hardware security modules
KR101595056B1 (ko) * 2014-02-27 2016-02-17 경희대학교 산학협력단 인터클라우드 환경에서의 데이터 공유 시스템 및 공유 방법
TW201546649A (zh) * 2014-06-05 2015-12-16 Cavium Inc 用於基於硬體安全模組的基於雲端的web服務安全管理的系統和方法
US10469457B1 (en) * 2016-09-26 2019-11-05 Symantec Corporation Systems and methods for securely sharing cloud-service credentials within a network of computing devices
EP3671495A1 (en) * 2018-12-21 2020-06-24 Siemens Aktiengesellschaft Method and system for secure data sharing

Also Published As

Publication number Publication date
US20220188467A1 (en) 2022-06-16
WO2022010136A1 (ko) 2022-01-13

Similar Documents

Publication Publication Date Title
US20210084018A1 (en) Application program as key for authorizing access to resources
US9686287B2 (en) Delegating authorization to applications on a client device in a networked environment
US10454910B2 (en) Management apparatus, computer program product, system, device, method, information processing apparatus, and server
FI3859689T3 (fi) Pääsyn tarjoaminen lukkoon palveluntarjoajalle
US20170041783A1 (en) Method and apparatus for bulk authentication of wireless sensors
US20180270050A1 (en) Communication apparatus, communication system, and communication control method
EP3111360A1 (en) Universal authenticator across web and mobile
CN111641630A (zh) 一种加密传输方法、装置、电子设备和存储介质
US20140344945A1 (en) Thin-Client Embedded Secure Element
CN107872315B (zh) 数据处理方法和智能终端
KR101987025B1 (ko) 암호화 처리 방법 및 그 장치
CN104065674A (zh) 终端设备以及信息处理方法
CN111988262A (zh) 认证方法、装置及服务器、存储介质
US11582041B2 (en) Electronic device and control method thereof
US20180144347A1 (en) Component for provisioning security data and product including the same
KR20220005933A (ko) 클라우드 서버 및 이의 제어 방법
KR20210115947A (ko) 전자 장치 및 그 제어 방법
TWI772868B (zh) 安全元件、運算裝置及用於回應使用敏感資訊之一請求的方法
CN111108525A (zh) 通过不安全通信信道的基于距离的安全通信的系统和方法
US12026268B2 (en) Cloud server and method for controlling cloud server thereof
WO2017041503A1 (zh) 一种机卡互锁方法、装置和计算机可读存储介质
US20150281343A1 (en) Information processing device, information processing system, and processing method
KR102058149B1 (ko) 블루투스 연결 방법 및 이를 수행하기 위한 호스트 장치
US20150281959A1 (en) Information processing device and authentication control method
RU2633186C1 (ru) Персональное устройство аутентификации и защиты данных