KR20230112584A - Method for encrypting cloud data and apparatus thereof - Google Patents

Method for encrypting cloud data and apparatus thereof Download PDF

Info

Publication number
KR20230112584A
KR20230112584A KR1020230089972A KR20230089972A KR20230112584A KR 20230112584 A KR20230112584 A KR 20230112584A KR 1020230089972 A KR1020230089972 A KR 1020230089972A KR 20230089972 A KR20230089972 A KR 20230089972A KR 20230112584 A KR20230112584 A KR 20230112584A
Authority
KR
South Korea
Prior art keywords
data
cloud
cloud data
type
key
Prior art date
Application number
KR1020230089972A
Other languages
Korean (ko)
Inventor
고탁균
Original Assignee
네이버클라우드 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 네이버클라우드 주식회사 filed Critical 네이버클라우드 주식회사
Priority to KR1020230089972A priority Critical patent/KR20230112584A/en
Publication of KR20230112584A publication Critical patent/KR20230112584A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Abstract

본 발명은 클라우드 시스템에서의 클라우드 데이터 암호화 방법에 관한 것으로서, 암호화의 대상이 되는 클라우드 데이터를 감지하는 단계; 상기 감지된 클라우드 데이터의 종류를 식별하는 단계; 및 상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 단계를 포함한다.The present invention relates to a method for encrypting cloud data in a cloud system, comprising: detecting cloud data to be encrypted; identifying the type of the sensed cloud data; and encrypting the cloud data using different encryption keys according to the type of the identified cloud data.

Figure P1020230089972
Figure P1020230089972

Description

클라우드 데이터 암호화 방법 및 그 장치{Method for encrypting cloud data and apparatus thereof}Method for encrypting cloud data and apparatus thereof {Method for encrypting cloud data and apparatus thereof}

본 발명은 클라우드 데이터를 암호화하는 방법 및 그 장치에 관한 것으로서, 보다 구체적으로는 클라우드에 저장된 고객 데이터에 대한 사용자 통제권을 최대한 보장할 수 있는 클라우드 데이터 암호화 방법 및 그 장치에 관한 것이다.The present invention relates to a method and device for encrypting cloud data, and more particularly, to a method and device for encrypting cloud data capable of maximally guaranteeing user control over customer data stored in a cloud.

최근 컨텐츠 제공업체와 사용자들로부터 생성되는 미디어 데이터들의 용량이 늘어남에 따라, 사용자들은 자신이 보유한 단말 외에 추가적인 저장공간이 필요하게 되었다. 이에 추가 저장소 및 백업 장치로써 클라우드 스토리지 서비스에 대한 사용률이 늘어나는 추세이다. 클라우드 서비스에 대한 수요가 증가하고 이와 함께 보안적인 이슈가 늘어남에 따라, 서비스 제공자들은 다양한 보안 기술들을 클라우드 시스템에 적용하고 있다.Recently, as the capacity of media data generated by content providers and users increases, users need additional storage space in addition to their terminals. As a result, there is an increasing trend of using cloud storage services as additional storage and backup devices. As the demand for cloud services increases and security issues increase along with it, service providers are applying various security technologies to cloud systems.

클라우드 시스템에 적용된 다양한 보안 기술들 중 데이터베이스(DB) 암호화는 데이터베이스에 저장된 데이터(평문)를 암호 알고리즘을 거쳐 읽을 수 없는 형태(암호문)로 전환하는 과정을 일컫는다. 상기 DB 암호화에는 크게 세 종류의 암호화 방식, 즉 대칭키(비공개키) 방식, 비대칭키(공개키) 방식, 해시(hash) 방식이 사용될 수 있다. 이러한 DB 암호화를 통해, 공격자가 방화벽, 웹방화벽, 침입방지시스템(Intrusion Prevention System, IPS) 등 네트워크 및 애플리케이션 단의 보안 조치를 모두 통과한 다음 데이터베이스에 접근하더라도, 해당 데이터베이스에 저장된 데이터가 암호화되어 있으면 2차 피해를 효과적으로 예방할 수 있다.Among various security technologies applied to cloud systems, database (DB) encryption refers to the process of converting data (plaintext) stored in a database into an unreadable form (ciphertext) through an encryption algorithm. Three types of encryption methods can be largely used for the DB encryption: a symmetric key (private key) method, an asymmetric key (public key) method, and a hash method. Through this DB encryption, even if an attacker passes through all security measures at the network and application level, such as a firewall, web firewall, and intrusion prevention system (IPS), and then accesses the database, secondary damage can be effectively prevented if the data stored in the database is encrypted.

한편, 클라우드 시스템 환경에서 단순 DB 암호화 자체만으로는 안전한 보안이라 할 수 없다. 암호화 데이터를 풀어볼 수 있는 권한, 즉 키에 대한 안전한 관리와 접근제어가 이루어져야 안전한 보안을 달성할 수 있다. 이에 따라, 클라우드 시스템에서는 암호화키 관리 시스템(Key Management System, KMS)을 통해 체계적이고 안전한 암호화 키 관리, 감사 및 접근제어 기능을 제공하고 있다.On the other hand, in a cloud system environment, simple DB encryption itself cannot be said to be safe security. Safe security can be achieved only when the authority to decrypt encrypted data, that is, secure management and access control for the key is established. Accordingly, the cloud system provides systematic and safe encryption key management, auditing and access control functions through the Key Management System (KMS).

일반적인 클라우드 시스템은 고객의 데이터를 위탁/위임받아 해당 데이터를 데이터베이스에 저장 및 관리해주는 서비스를 제공한다. 이러한 서비스를 제공하는 클라우드 시스템은 고객의 데이터를 자체적으로 암호화하여 데이터베이스에 저장 및 관리하고 있기 때문에, 고객은 클라우드에 저장된 데이터에 대한 통제권을 가진다고 볼 수 없다. 하지만, 고객 입장에서는 온프레미스(on-premise) 시스템을 이용할 때처럼 자신의 데이터에 대한 통제권을 최대한 보장받고 싶어하는 요구사항이 존재한다. 이러한 고객의 요구사항에 따라 클라우드에 저장된 데이터에 대한 보안성을 충분히 만족시키면서 해당 데이터에 대한 통제권을 고객에게 최대한 보장하기 위한 새로운 암호화 기법이 필요하다.A general cloud system provides a service that stores and manages the data in a database by entrusting/entrusting the customer's data. Since the cloud system providing these services encrypts customer data and stores and manages them in a database, the customer cannot be considered to have control over the data stored in the cloud. However, from the customer's point of view, there is a requirement to ensure maximum control over their data, as in the case of using an on-premise system. In accordance with these customer requirements, a new encryption technique is needed to fully satisfy the security of the data stored in the cloud and guarantee the maximum control over the data to the customer.

본 발명은 클라우드 데이터의 종류에 따라 사용자의 데이터 통제권을 적응적으로 조절할 수 있는 클라우드 데이터 암호화 방법 및 그 장치를 제공하고자 한다.An object of the present invention is to provide a cloud data encryption method and apparatus capable of adaptively adjusting a user's right to control data according to the type of cloud data.

또한, 본 발명은 암호화 및 복호화에 사용되는 키에 대한 관리를 통해 사용자의 데이터 통제권을 최대한 보장할 수 있는 클라우드 데이터 암호화 방법 및 그 장치를 제공하고자 한다.In addition, the present invention is to provide a cloud data encryption method and apparatus capable of maximally guaranteeing a user's control over data through management of keys used for encryption and decryption.

상기 또는 다른 목적을 달성하기 위해 본 발명의 일 측면에 따르면, 암호화의 대상이 되는 클라우드 데이터를 감지하는 단계; 상기 감지된 클라우드 데이터의 종류를 식별하는 단계; 및 상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 단계를 포함하는 클라우드 시스템에서의 클라우드 데이터 암호화 방법을 제공한다. According to an aspect of the present invention to achieve the above or other object, detecting cloud data to be encrypted; identifying the type of the sensed cloud data; and encrypting the cloud data using different encryption keys according to the type of the identified cloud data.

본 발명의 다른 측면에 따르면, 암호화의 대상이 되는 클라우드 데이터를 감지하고, 상기 감지된 클라우드 데이터의 종류를 식별하는 데이터 식별부; 및 상기 데이터 식별부를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하고, 상기 클라우드 데이터의 암호화에 사용되는 키를 봉투 암호화하여 암호화키 관리 시스템에 보관하는 데이터 암호화부를 포함하는 클라우드 시스템에서의 클라우드 데이터 암호화 장치를 제공한다.According to another aspect of the present invention, a data identification unit for detecting cloud data to be encrypted and identifying a type of the detected cloud data; and a data encryption unit that encrypts the cloud data using different encryption keys according to the type of cloud data determined through the data identification unit, encrypts the key used to encrypt the cloud data, and stores the key in an encryption key management system.

본 발명의 또 다른 측면에 따르면, 암호화의 대상이 되는 클라우드 데이터를 감지하는 과정; 상기 감지된 클라우드 데이터의 종류를 식별하는 과정; 및 상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 과정이 컴퓨터 상에서 실행될 수 있도록 컴퓨터 판독 가능한 기록매체에 저장된 컴퓨터 프로그램을 제공한다.According to another aspect of the present invention, the process of detecting the cloud data to be encrypted; identifying the type of the sensed cloud data; and a computer program stored in a computer-readable recording medium so that a process of encrypting the cloud data using different encryption keys according to the type of the identified cloud data can be executed on a computer.

덧붙여 상기한 과제의 해결수단은, 본 발명의 특징을 모두 열거한 것이 아니다. 본 발명의 다양한 특징과 그에 따른 장점과 효과는 아래의 구체적인 실시형태를 참조하여 보다 상세하게 이해될 수 있을 것이다.In addition, the solution to the above problem does not enumerate all the features of the present invention. Various features of the present invention and the advantages and effects thereof will be understood in more detail with reference to specific embodiments below.

본 발명의 실시 예들에 따른 클라우드 데이터 암호화 방법 및 그 장치의 효과에 대해 설명하면 다음과 같다.Cloud data encryption methods and effects of the apparatus according to embodiments of the present invention will be described as follows.

본 발명의 실시 예들 중 적어도 하나에 의하면, 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 적용하여 해당 데이터에 대한 암호화 및 복호화를 수행하고, 상기 암호화 및 복호화에 사용되는 키에 대한 관리를 통해 사용자의 데이터 통제권을 최대한 보장할 수 있다는 장점이 있다. According to at least one of the embodiments of the present invention, different encryption keys are applied according to the type of cloud data to perform encryption and decryption of the corresponding data, and the user's control over data can be guaranteed as much as possible through management of keys used for encryption and decryption.

다만, 본 발명의 실시예들에 따른 클라우드 데이터 암호화 방법 및 그 장치가 달성할 수 있는 효과는 이상에서 언급한 것들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.However, the effects that can be achieved by the cloud data encryption method and apparatus according to the embodiments of the present invention are not limited to those mentioned above, and other effects not mentioned above will be clearly understood by those skilled in the art from the description below.

도 1은 본 발명의 일 실시 예에 따른 클라우드 시스템의 구성을 나타내는 도면;
도 2는 본 발명의 일 실시예에 따른 클라우드 데이터 암호화 장치의 구성 블록도;
도 3은 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 방법을 설명하는 순서도;
도 4는 클라우드 데이터의 종류가 제1 타입의 고객 데이터인 경우, 제1 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제1 데이터 암호화 키를 관리하는 방법을 예시하는 순서도;
도 5는 클라우드 데이터의 종류가 제2 타입의 고객 데이터인 경우, 제2 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제2 데이터 암호화 키를 관리하는 방법을 예시하는 순서도;
도 6은 클라우드 데이터의 종류가 제3 타입의 고객 데이터인 경우, 제3 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제3 데이터 암호화 키를 관리하는 방법을 예시하는 순서도;
도 7은 클라우드 데이터의 종류가 고객 소유 데이터인 경우, 제2 및 제3 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화 및 복호화하는 과정을 설명하기 위해 참조되는 도면.1 is a diagram showing the configuration of a cloud system according to an embodiment of the present invention;
2 is a configuration block diagram of a cloud data encryption device according to an embodiment of the present invention;
3 is a flowchart illustrating a cloud data encryption method according to an embodiment of the present invention;
4 is a flowchart illustrating a method of encrypting corresponding cloud data using a first data encryption key and managing the first data encryption key when the type of cloud data is a first type of customer data;
5 is a flowchart illustrating a method of encrypting corresponding cloud data using a second data encryption key and managing the second data encryption key when the type of cloud data is a second type of customer data;
6 is a flowchart illustrating a method of encrypting corresponding cloud data using a third data encryption key and managing the third data encryption key when the type of cloud data is a third type of customer data;
7 is a diagram referenced to explain a process of encrypting and decrypting corresponding cloud data using second and third data encryption keys when the type of cloud data is customer-owned data;

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 도면 부호에 관계없이 동일하거나 유사한 구성요소는 동일한 참조 번호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 즉, 본 발명에서 사용되는 '부'라는 용어는 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미하며, '부'는 어떤 역할들을 수행한다. 그렇지만 '부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '부'는 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '부'들로 결합되거나 추가적인 구성요소들과 '부'들로 더 분리될 수 있다.Hereinafter, the embodiments disclosed in this specification will be described in detail with reference to the accompanying drawings, but the same or similar elements are given the same reference numerals regardless of reference numerals, and redundant description thereof will be omitted. The suffixes "module" and "unit" for components used in the following description are given or used together in consideration of ease of writing the specification, and do not have meanings or roles that are distinct from each other by themselves. That is, the term 'unit' used in the present invention means a hardware component such as software, FPGA or ASIC, and 'unit' performs certain roles. However, 'part' is not limited to software or hardware. A 'unit' may be configured to reside in an addressable storage medium and may be configured to reproduce one or more processors. Thus, as an example, 'unit' includes components such as software components, object-oriented software components, class components and task components, processes, functions, properties, procedures, subroutines, segments of program code, drivers, firmware, microcode, circuitry, data, databases, data structures, tables, arrays and variables. The functionality provided within the components and 'parts' may be combined into a smaller number of elements and 'parts' or further separated into additional elements and 'parts'.

또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.In addition, in describing the embodiments disclosed in this specification, if it is determined that a detailed description of a related known technology may obscure the gist of the embodiment disclosed in this specification, the detailed description thereof will be omitted. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in this specification, and the technical idea disclosed in this specification is not limited by the accompanying drawings, and all changes included in the spirit and technical scope of the present invention It should be understood to include equivalents or substitutes.

본 발명은 클라우드 데이터의 종류에 따라 사용자의 데이터 통제권을 적응적으로 조절할 수 있는 클라우드 데이터 암호화 방법 및 그 장치를 제공한다. 또한, 본 발명은 암호화 및 복호화에 사용되는 키에 대한 관리를 통해 사용자의 데이터 통제권을 최대한 보장할 수 있는 클라우드 데이터 암호화 방법 및 그 장치를 제공한다. 클라우드에 저장된 암호화 데이터에 대한 통제권은 암호화 키에 대한 통제권과 같다. 따라서, 본 발명은 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 클라우드 데이터를 암호화 및 복호화하고, 상기 암호화 및 복호화에 사용되는 키의 종류에 따라 서로 다른 접근 권한(또는 관리 권한)을 설정하여 사용자의 데이터 통제권을 적응적으로 조절할 수 있다.The present invention provides a cloud data encryption method and apparatus capable of adaptively adjusting a user's right to control data according to the type of cloud data. In addition, the present invention provides a cloud data encryption method and apparatus capable of maximally guaranteeing a user's right to control data through management of keys used for encryption and decryption. Control over encrypted data stored in the cloud equals control over encryption keys. Therefore, according to the present invention, cloud data is encrypted and decrypted using different encryption keys according to the type of cloud data, and different access rights (or management rights) are set according to the types of keys used for encryption and decryption.

이하 본 명세서에서 설명하는 클라우드 서비스는 서버, 스토리지, 소프트웨어(SW) 등 다양한 IT 자원을 테넌트(tenant)에게 제공하는 주문형 아웃소싱 서비스를 말한다. 예를 들어, 스토리지를 제공하는 클라우드 서비스는, 테넌트에게 각종 데이터를 네트워크에 연결된 서비스 제공 서버의 스토리지에 저장하고, 필요 시 네트워크를 통해 다운로드할 수 있도록 제공하는 서비스이다. 상기 클라우드 서비스는 테넌트에게 가상화된 인프라 환경을 제공할 수 있는 IaaS(Infrastructure as a Service) 또는 인터넷을 통해 애플리케이션 소프트웨어를 제공하는 SaaS(Software as a Service)가 될 수 있으나 반드시 이에 한정되는 것은 아니다.Hereinafter, the cloud service described in this specification refers to an on-demand outsourcing service that provides various IT resources such as servers, storages, and software (SW) to tenants. For example, a cloud service that provides storage is a service that provides tenants with various data stored in the storage of a service providing server connected to a network and downloaded through a network when necessary. The cloud service may be Infrastructure as a Service (IaaS) capable of providing a virtualized infrastructure environment to tenants or Software as a Service (SaaS) providing application software through the Internet, but is not necessarily limited thereto.

또한, 본 명세서에서 설명하는 테넌트(tenant)는 클라우드 서비스를 이용하는 이용자 또는 이용자들의 그룹을 말한다. 예를 들어, 테넌트는 개인 이용자일 수도 있고, 복수의 이용자를 포함하는 기업 이용자일 수도 있다.In addition, a tenant described in this specification refers to a user or a group of users using a cloud service. For example, a tenant may be an individual user or a corporate user including a plurality of users.

이하에서는, 본 발명의 다양한 실시 예들에 대하여, 도면을 참조하여 상세히 설명한다.Hereinafter, various embodiments of the present invention will be described in detail with reference to the drawings.

도 1은 본 발명의 일 실시 예에 따른 클라우드 시스템의 구성을 나타내는 도면이다.1 is a diagram showing the configuration of a cloud system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시 예에 따른 클라우드 시스템(100)은 클라우드 서비스 제공 시스템(110), 암호화키 관리 시스템(Key Management System, KMS, 120), 클라우드 데이터 암호화 장치(130) 및 하나 이상의 테넌트 단말(140)을 포함할 수 있다. 도 1에 도시된 구성요소들은 클라우드 시스템(100)을 구현하는데 있어서 필수적인 것은 아니어서, 본 명세서상에서 설명되는 클라우드 시스템은 위에서 열거된 구성요소들보다 많거나 또는 적은 구성요소들을 가질 수 있다.Referring to FIG. 1 , a cloud system 100 according to an embodiment of the present invention may include a cloud service providing system 110, an encryption key management system (KMS) 120, a cloud data encryption device 130, and one or more tenant terminals 140. The components shown in FIG. 1 are not essential to implement the cloud system 100, so the cloud system described in this specification may have more or fewer components than the components listed above.

클라우드 서비스 제공 시스템(110)은 네트워크를 통해 테넌트 단말(140)로 각종 클라우드 서비스를 제공하는 시스템이다. 클라우드 서비스 제공 시스템(110)은 가상화 및 분산 처리 기술 기반으로 테넌트 별로 독립된 클라우드 서비스(e.g. 스토리지, SW 등)를 제공할 수 있다.The cloud service providing system 110 is a system that provides various cloud services to the tenant terminal 140 through a network. The cloud service providing system 110 may provide independent cloud services (e.g. storage, SW, etc.) for each tenant based on virtualization and distributed processing technology.

클라우드 서비스 제공 시스템(110)은 암호화키 관리 시스템(120)으로부터 데이터 암호화 키(data encryption key, DEK)를 제공받고, 상기 데이터 암호화 키(DEK)를 이용하여 클라우드 데이터에 대한 암호화 및 복호화를 수행함으로써 데이터의 비밀성을 제공할 수 있다. The cloud service providing system 110 receives a data encryption key (DEK) from the encryption key management system 120, and encrypts and decrypts cloud data using the data encryption key (DEK), thereby providing data confidentiality.

클라우드 서비스 제공 시스템(110)은 하나 이상의 서비스 제공 서버(미도시)를 포함할 수 있다. 서비스 제공 서버는 클라우드 서비스를 제공하는 서버이다. 보다 구체적으로, 서비스 제공 서버는 하이퍼바이저(Hypervisor)를 통하여 가상화된 적어도 하나의 가상 머신(virtual machine, VM)을 생성할 수 있다. 그리고, 서비스 제공 서버는 가상 머신을 통하여 클라우드 서비스를 위한 애플리케이션 또는 애플리케이션의 인스턴스를 실행시킬 수 있다. 서비스 제공 서버의 인스턴스는 데이터 암호화 키(DEK)를 이용하여 클라우드 데이터를 암호화할 수 있다. 테넌트 단말(140)의 요청에 응답하여 클라우드 데이터를 제공하는 경우, 서비스 제공 서버는 암호화키 관리 시스템(120)으로부터 데이터 암호화 키(DEK)를 수신하고, 상기 데이터 암호화 키(DEK)를 이용하여 클라우드 데이터를 복호화하여 제공할 수 있다. 서비스 제공 서버는 SSL(Secure Sockets Layer) 및/또는 TLS(Transport Layer Security Protocol) 등의 보안 프로토콜을 이용하여 암호화키 관리 시스템(120)과 데이터를 송수신할 수 있다.The cloud service providing system 110 may include one or more service providing servers (not shown). The service providing server is a server providing cloud services. More specifically, the service providing server may create at least one virtualized virtual machine (VM) through a hypervisor. In addition, the service providing server may execute an application for a cloud service or an instance of an application through a virtual machine. An instance of the service providing server may encrypt cloud data using a data encryption key (DEK). When cloud data is provided in response to a request from the tenant terminal 140, the service providing server may receive a data encryption key (DEK) from the encryption key management system 120, and use the data encryption key (DEK) to decrypt and provide cloud data. The service providing server may transmit/receive data with the encryption key management system 120 using a security protocol such as Secure Sockets Layer (SSL) and/or Transport Layer Security Protocol (TLS).

암호화키 관리 시스템(120)은 클라우드 서비스 제공 시스템(110)에 보관된 데이터의 비밀성을 담보하는 데이터 암호화 키(DEK)와, 상기 데이터 암호화 키(DEK)의 비밀성을 담보하는 키 암호화 키(Key Encryption Key, KEK)를 관리할 수 있다. 이를 위해, 암호화키 관리 시스템(120)은 데이터 암호화 키(DEK) 및 키 암호화 키(KEK)를 보관하기 위한 키 저장소(key store)를 포함할 수 있다. The encryption key management system 120 may manage a data encryption key (DEK) for ensuring the confidentiality of data stored in the cloud service providing system 110 and a key encryption key (Key Encryption Key, KEK) for ensuring the confidentiality of the data encryption key (DEK). To this end, the encryption key management system 120 may include a key store for storing the data encryption key (DEK) and key encryption key (KEK).

암호화키 관리 시스템(120)은 키 암호화 키(KEK)를 이용하여 데이터 암호화 키(DEK)를 봉투 암호화하고, 상기 봉투 암호화된 데이터 암호화 키를 키 저장소에 저장하여 관리할 수 있다. 암호화키 관리 시스템(120)은 키 암호화 키(KEK)를 이용하여 키 저장소에 보관된 봉투 암호화된 데이터 암호화 키를 복호화하고, 상기 복호화된 데이터 암호화 키(DEK)를 클라우드 서비스 제공 시스템(110)으로 제공할 수 있다.The encryption key management system 120 may encrypt a data encryption key (DEK) using a key encryption key (KEK), and store and manage the envelope-encrypted data encryption key in a key storage. The encryption key management system 120 may decrypt the envelope encrypted data encryption key stored in the key storage using the key encryption key (KEK), and provide the decrypted data encryption key (DEK) to the cloud service providing system 110.

이하 본 실시 예에서 사용하는 데이터 암호화 키(DEK)는 제1 타입의 고객 데이터에 대한 암/복호화에 사용되는 서비스 키(service key)와, 제2 타입의 고객 데이터에 대한 암/복호화에 사용되는 자원 키(resource key)와, 제3 타입의 고객 데이터에 대한 암/복호화에 사용되는 제품 키(product key)를 포함할 수 있다. 또한, 본 실시 예에서 사용하는 키 암호화 키(KEK)는 서비스 키의 비밀성을 담보하는 마스터 키(master key)와, 자원 키(resource key)의 비밀성을 담보하는 고객 키(customer key)와, 제품 키의 비밀성을 담보하는 고객 계정 키(customer account key)를 포함할 수 있다.Hereinafter, the data encryption key (DEK) used in this embodiment may include a service key used for encryption/decryption of customer data of the first type, a resource key used for encryption/decryption of customer data of the second type, and a product key used for encryption/decryption of customer data of the third type. In addition, the key encryption key (KEK) used in this embodiment may include a master key to ensure the confidentiality of the service key, a customer key to ensure the confidentiality of the resource key, and a customer account key to ensure the confidentiality of the product key.

좀 더 구체적으로, 암호화키 관리 시스템(120)은 클라우드 서비스 제공 시스템(110)에 보관된 데이터의 비밀성을 담보하는 서비스 키와 상기 서비스 키의 비밀성을 담보하는 마스터 키를 관리할 수 있다. 암호화키 관리 시스템(120)은 마스터 키를 이용하여 서비스 키를 봉투 암호화하여 관리하고, 상기 서비스 키를 클라우드 서비스 제공 시스템(110)으로 제공할 수 있다. 여기서, 마스터 키 및 서비스 키는 고객, 즉 서비스 사용자에 의해 관리가 불가능한 키이다. 상기 마스터 키 및 서비스 키를 이용한 데이터 암/복호화 방식은 고객의 개입없이 서비스 제공 서버(110)에 의해 제어되는 방식이다.More specifically, the encryption key management system 120 may manage a service key ensuring confidentiality of data stored in the cloud service providing system 110 and a master key ensuring confidentiality of the service key. The encryption key management system 120 may encrypt and manage a service key using a master key, and provide the service key to the cloud service providing system 110 . Here, the master key and the service key are keys that cannot be managed by a customer, that is, a service user. The data encryption/decryption method using the master key and service key is controlled by the service providing server 110 without customer intervention.

암호화키 관리 시스템(120)은 클라우드 서비스 제공 시스템(110)에 보관된 데이터의 비밀성을 담보하는 자원 키와 상기 자원 키의 비밀성을 담보하는 고객 키를 관리할 수 있다. 암호화키 관리 시스템(120)은 고객 키를 이용하여 자원 키를 봉투 암호화하여 관리하고, 상기 자원 키를 클라우드 서비스 제공 시스템(110)으로 제공할 수 있다. 여기서, 고객 키 및 자원 키는 고객, 즉 서비스 사용자에 의해 관리가 가능한 키이다. 상기 고객 키 및 자원 키를 이용한 데이터 암/복호화 방식은 고객에 의해 제어되는 방식이다.The encryption key management system 120 may manage a resource key ensuring confidentiality of data stored in the cloud service providing system 110 and a customer key ensuring confidentiality of the resource key. The encryption key management system 120 may encrypt and manage a resource key using a customer key, and provide the resource key to the cloud service providing system 110 . Here, the customer key and the resource key are keys that can be managed by a customer, that is, a service user. The data encryption/decryption method using the customer key and resource key is controlled by the customer.

암호화키 관리 시스템(120)은 클라우드 서비스 제공 시스템(110)에 보관된 데이터의 비밀성을 담보하는 제품 키와 상기 제품 키의 비밀성을 담보하는 고객 계정 키를 관리할 수 있다. 암호화키 관리 시스템(120)은 고객 계정 키를 이용하여 제품 키를 봉투 암호화하여 관리하고, 상기 제품 키를 클라우드 서비스 제공 시스템(110)으로 제공할 수 있다. 여기서, 고객 계정 키 및 제품 키는 고객, 즉 서비스 사용자에 의해 관리가 불가능한 키이다. 상기 고객 계정 키 및 제품 키를 이용한 데이터 암/복호화 방식은 고객의 동의 또는 위임 하에서 서비스 제공 서버(110)에 의해 제어되는 방식이다.The encryption key management system 120 may manage a product key that ensures the confidentiality of data stored in the cloud service providing system 110 and a customer account key that secures the confidentiality of the product key. The encryption key management system 120 may encrypt and manage the product key using the customer account key, and provide the product key to the cloud service providing system 110 . Here, the customer account key and product key are keys that cannot be managed by the customer, that is, the service user. The data encryption/decryption method using the customer account key and product key is a method controlled by the service providing server 110 under the consent or delegation of the customer.

클라우드 데이터 암호화 장치(130)는 클라우드 데이터의 종류를 식별하고, 상기 식별된 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 해당 데이터를 암호화 및 복호화하는 기능을 수행한다. 클라우드에 저장되는 데이터는 크게 두 가지의 종류, 즉 '고객 소유 데이터'와 '고객 관련 데이터'로 구분될 수 있다. 여기서, 고객 소유 데이터는 고객에 의해 생성된 데이터(가령, 사진, 동영상, 문서 등)를 의미하고, 고객 관련 데이터는 클라우드 서비스를 이용 중인 고객의 개인정보와 관련된 데이터(가령, 이름, 주소, 전화번호 등)를 의미한다.The cloud data encryption device 130 performs a function of identifying the type of cloud data and encrypting and decrypting the corresponding data using different encryption keys according to the type of the identified data. Data stored in the cloud can be largely divided into two types: 'customer-owned data' and 'customer-related data'. Here, customer-owned data refers to data (e.g., photos, videos, documents, etc.) created by the customer, and customer-related data refers to data related to the personal information of customers using cloud services (e.g., name, address, phone number, etc.).

고객 소유 데이터는 다시 두 가지의 종류, 즉 고객이 완전한 통제권을 갖는 '완전 통제 데이터'와 고객이 부분적인 통제권을 갖는 '부분 통제 데이터'로 구분될 수 있다. 상기 고객 소유 데이터의 종류는 사용자의 설정에 따라 구분될 수 있다. 이하, 본 실시 예에서는, 고객 관련 데이터를 제1 타입의 고객 데이터라 지칭하고, 고객 소유 데이터 중 완전 통제 데이터를 제2 타입의 고객 데이터라 지칭하며, 고객 소유 데이터 중 부분 통제 데이터를 제3 타입의 고객 데이터라 지칭한다. Customer-owned data can be further divided into two types: 'completely controlled data' in which the customer has complete control, and 'partially controlled data' in which the customer has partial control. The type of data owned by the customer may be classified according to a user's setting. Hereinafter, in this embodiment, customer-related data is referred to as a first type of customer data, fully controlled data among customer data is referred to as a second type of customer data, and partially controlled data among customer data is referred to as a third type of customer data.

테넌트 단말(140)은 클라우드 서비스 제공 시스템(110)이 제공하는 각종 클라우드 서비스를 이용하는 컴퓨팅 장치이다. 여기서, 상기 컴퓨팅 장치는 노트북, 데스크톱(desktop), 랩탑(laptop), 스마트폰(Smart Phone) 등이 될 수 있으나 반드시 이에 국한되는 것은 아니며 연산 수단 및 통신 수단이 구비된 모든 종류의 장치를 포함할 수 있다.The tenant terminal 140 is a computing device using various cloud services provided by the cloud service providing system 110 . Here, the computing device may be a laptop, desktop, laptop, smart phone, etc., but is not necessarily limited thereto, and may include all types of devices equipped with calculation means and communication means.

테넌트 단말(140)은 네트워크를 통해 언제 어디서든지 클라우드 서비스를 이용할 수 있다. 예를 들어, 테넌트 단말(140)은 네트워크를 통해 클라우드 서비스 제공 시스템(110)이 제공하는 스토리지에 파일을 업로드하거나 다운로드할 수 있다. 이때, 상기 스토리지에 업로드 된 파일은 데이터 암호화 키(DEK)에 의해 암호화되어 보관될 수 있다.The tenant terminal 140 can use the cloud service anytime, anywhere through a network. For example, the tenant terminal 140 may upload or download a file to storage provided by the cloud service providing system 110 through a network. At this time, the file uploaded to the storage may be encrypted by a data encryption key (DEK) and stored.

이러한 클라우드 시스템 환경에서, 클라우드 서비스 제공 시스템(110), 암호화키 관리 시스템(120), 클라우드 데이터 암호화 장치(130) 및 테넌트 단말(140)은 네트워크를 통해 통신할 수 있다. 여기서, 상기 네트워크는 근거리 통신망(Local Area Network, LAN), 광역 통신망(Wide Area Network, WAN), 이동 통신망(mobile radio communication network) 등과 같은 모든 종류의 유/무선 네트워크로 구현될 수 있다.In such a cloud system environment, the cloud service providing system 110, the encryption key management system 120, the cloud data encryption device 130, and the tenant terminal 140 may communicate through a network. Here, the network may be implemented as all types of wired/wireless networks such as a local area network (LAN), a wide area network (WAN), and a mobile radio communication network.

한편, 본 실시 예에서는, 클라우드 데이터 암호화 장치(130)가 클라우드 서비스 제공 시스템(110) 또는 암호화키 관리 시스템(120)의 외부에 설치되는 것을 예시하고 있으나 반드시 이에 제한되지는 않으며, 상기 클라우드 서비스 제공 시스템(110) 또는 암호화키 관리 시스템(120)의 내부에 설치될 수 있음은 당업자에게 자명할 것이다.Meanwhile, in this embodiment, the cloud data encryption device 130 is exemplified as being installed outside the cloud service providing system 110 or the encryption key management system 120, but is not necessarily limited thereto.

도 2는 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 장치의 구성 블록도이다.2 is a configuration block diagram of a cloud data encryption device according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 장치(130, 200)는 데이터 식별부(210), 데이터 암호화부(220) 및 데이터 복호화부를 포함할 수 있다. 도 2에 도시된 구성요소들은 클라우드 데이터 암호화 장치(130)를 구현하는데 있어서 필수적인 것은 아니어서, 본 명세서상에서 설명되는 클라우드 데이터 암호화 장치는 위에서 열거된 구성요소들보다 많거나 또는 적은 구성요소들을 가질 수 있다.Referring to FIG. 2 , cloud data encryption devices 130 and 200 according to an embodiment of the present invention may include a data identification unit 210 , a data encryption unit 220 and a data decryption unit. The components shown in FIG. 2 are not essential to implement the cloud data encryption device 130, so the cloud data encryption device described herein may have more or less components than the components listed above.

데이터 식별부(210)는 암호화 또는 복호화의 대상이 되는 클라우드 데이터의 종류를 식별하는 기능을 수행할 수 있다. 상기 클라우드 데이터의 종류는 크게 두 가지의 종류, 즉 '고객 소유 데이터'와 '고객 관련 데이터'로 구분될 수 있다. 상기 고객 소유 데이터는 다시 두 가지의 종류, 즉 고객이 완전한 통제권을 갖는 '완전 통제 데이터'와 고객이 부분적인 통제권을 갖는 '부분 통제 데이터'로 구분될 수 있다.The data identification unit 210 may perform a function of identifying the type of cloud data to be encrypted or decrypted. The types of cloud data can be largely divided into two types, that is, 'customer-owned data' and 'customer-related data'. The data owned by the customer can be further classified into two types, that is, 'completely controlled data' in which the customer has complete control rights and 'partially controlled data' in which the customer has partial control rights.

데이터 암호화부(220)는 데이터 식별부(210)를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 해당 데이터를 암호화하는 기능을 수행할 수 있다. 여기서, 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하는 이유는 암호화 키에 대한 통제권 조절을 통해 해당 클라우드 데이터에 대한 사용자의 통제권을 조절하기 위함이다.The data encryption unit 220 may perform a function of encrypting corresponding data using different encryption keys according to the type of cloud data determined through the data identification unit 210 . Here, the reason why different encryption keys are used according to the type of cloud data is to adjust the user's control over the corresponding cloud data by adjusting the control over the encryption key.

좀 더 구체적으로, 클라우드 데이터의 종류가 고객 관련 데이터인 경우, 데이터 암호화부(220)는 암호화키 관리 시스템(120)에 보관된 서비스 키를 이용하여 해당 데이터를 암호화할 수 있다. 여기서, 서비스 키는 마스터 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 불가능한 키이다. 상기 서비스 키를 이용한 데이터 암호화 방식은 고객의 개입없이 서비스 제공 서버(110)에 의해 제어되는 방식이다.More specifically, when the type of cloud data is customer-related data, the data encryption unit 220 may encrypt the corresponding data using a service key stored in the encryption key management system 120 . Here, the service key is encrypted and managed by the master key, and is a key that cannot be managed by the customer. The data encryption method using the service key is a method controlled by the service providing server 110 without customer intervention.

클라우드 데이터의 종류가 고객 소유 데이터 중 완전 통제 데이터인 경우, 데이터 암호화부(220)는 암호화키 관리 시스템(120)에 보관된 자원 키를 이용하여 해당 데이터를 암호화할 수 있다. 여기서, 자원 키는 고객 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 가능한 키이다. 상기 자원 키를 이용한 데이터 암호화 방식은 고객에 의해 제어되는 방식이다.When the type of cloud data is completely controlled data among customer-owned data, the data encryption unit 220 may encrypt the corresponding data using a resource key stored in the encryption key management system 120 . Here, the resource key is encrypted and managed by the customer key, and is a key that can be managed by the customer. The data encryption method using the resource key is a method controlled by the customer.

클라우드 데이터의 종류가 고객 소유 데이터 중 부분 통제 데이터인 경우, 데이터 암호화부(220)는 암호화키 관리 시스템(120)에 보관된 제품 키를 이용하여 해당 데이터를 암호화할 수 있다. 여기서, 제품 키는 고객 계정 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 불가능한 키이다. 상기 제품 키를 이용한 데이터 암호화 방식은 고객의 동의 또는 위임 하에서 서비스 제공 서버(110)에 의해 제어되는 방식이다.When the type of cloud data is partially controlled data among customer-owned data, the data encryption unit 220 may encrypt the corresponding data using a product key stored in the encryption key management system 120 . Here, the product key is encrypted and managed by the customer's account key, and is a key that cannot be managed by the customer. The data encryption method using the product key is a method controlled by the service providing server 110 under the customer's consent or entrustment.

데이터 복호화부(220)는 데이터 식별부(210)를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 해당 데이터를 복호화하는 기능을 수행할 수 있다.The data decryption unit 220 may perform a function of decrypting corresponding data using different encryption keys according to the type of cloud data determined through the data identification unit 210 .

좀 더 구체적으로, 클라우드 데이터의 종류가 고객 관련 데이터인 경우, 데이터 복호화부(220)는 암호화키 관리 시스템(120)에 보관된 서비스 키를 이용하여 해당 데이터를 복호화할 수 있다. 마찬가지로, 서비스 키는 마스터 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 불가능한 키이다. 상기 서비스 키를 이용한 데이터 복호화 방식은 고객의 개입없이 서비스 제공 서버(110)에 의해 제어되는 방식이다.More specifically, when the type of cloud data is customer-related data, the data decryption unit 220 may decrypt the corresponding data using a service key stored in the encryption key management system 120 . Similarly, the service key is encrypted and managed by the master key, and is a key that cannot be managed by the customer. The data decryption method using the service key is controlled by the service providing server 110 without customer intervention.

클라우드 데이터의 종류가 고객 소유 데이터 중 완전 통제 데이터인 경우, 데이터 암호화부(220)는 암호화키 관리 시스템(120)에 보관된 자원 키를 이용하여 해당 데이터를 복호화할 수 있다. 마찬가지로, 자원 키는 고객 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 가능한 키이다. 상기 자원 키를 이용한 데이터 복호화 방식은 고객에 의해 제어되는 방식이다.When the type of cloud data is fully controlled data among customer-owned data, the data encryption unit 220 may decrypt the corresponding data using a resource key stored in the encryption key management system 120 . Similarly, the resource key is encrypted and managed by the customer key, and is a key that can be managed by the customer. The data decryption method using the resource key is a method controlled by the customer.

클라우드 데이터의 종류가 고객 소유 데이터 중 부분 통제 데이터인 경우, 데이터 암호화부(220)는 암호화키 관리 시스템(120)에 보관된 제품 키를 이용하여 해당 데이터를 복호화할 수 있다. 마찬가지로, 제품 키는 고객 계정 키에 의해 암호화되어 관리되며, 고객에 의해 관리가 불가능한 키이다. 상기 제품 키를 이용한 데이터 복호화 방식은 고객의 동의 또는 위임 하에서 서비스 제공 서버(110)에 의해 제어되는 방식이다.When the type of cloud data is partial control data among customer-owned data, the data encryption unit 220 may decrypt the corresponding data using a product key stored in the encryption key management system 120 . Similarly, the product key is encrypted and managed by the customer's account key, and is a key that cannot be managed by the customer. The data decryption method using the product key is a method controlled by the service providing server 110 under the consent or entrustment of the customer.

이상 상술한 바와 같이, 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 장치는 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 적용하여 해당 데이터에 대한 암호화 및 복호화를 수행하고, 상기 암호화 및 복호화에 사용되는 키에 대한 관리를 통해 사용자의 데이터 통제권을 최대한 보장할 수 있다.As described above, the cloud data encryption device according to an embodiment of the present invention applies different encryption keys according to the type of cloud data to encrypt and decrypt corresponding data, and manages the keys used for encryption and decryption to maximize the user's control over data.

도 3은 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 방법을 설명하는 순서도이다.3 is a flowchart illustrating a cloud data encryption method according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 장치(200)는 암호화 또는 복호화의 대상이 되는 클라우드 데이터를 감지할 수 있다(S310).Referring to FIG. 3 , the cloud data encryption apparatus 200 according to an embodiment of the present invention may detect cloud data to be encrypted or decrypted (S310).

클라우드 데이터 암호화 장치(200)는 암호화 또는 복호화의 대상이 되는 클라우드 데이터의 종류를 식별할 수 있다(S320). 상기 클라우드 데이터의 종류는 크게 두 가지의 종류, 즉 '고객 소유 데이터'와 '고객 관련 데이터'로 구분될 수 있다. 상기 고객 소유 데이터는 다시 두 가지의 종류, 즉 고객이 완전한 통제권을 갖는 '완전 통제 데이터'와 고객이 부분적인 통제권을 갖는 '부분 통제 데이터'로 구분될 수 있다.The cloud data encryption device 200 may identify the type of cloud data to be encrypted or decrypted (S320). The types of cloud data can be largely divided into two types, that is, 'customer-owned data' and 'customer-related data'. The data owned by the customer can be further classified into two types, that is, 'completely controlled data' in which the customer has complete control rights and 'partially controlled data' in which the customer has partial control rights.

클라우드 데이터 암호화 장치(200)는 상기 식별된 클라우드 데이터의 종류가 고객 소유 데이터인지 아니면 고객 관련 데이터인지 여부를 확인할 수 있다(S330). The cloud data encryption device 200 may check whether the type of the identified cloud data is customer-owned data or customer-related data (S330).

상기 330 단계의 확인 결과, 클라우드 데이터의 종류가 고객 관련 데이터인 경우, 클라우드 데이터 암호화 장치(200)는 암호화키 관리 시스템(120)에 보관된 제1 키 암호화 키(즉, 마스터 키)와 제1 데이터 암호화 키(즉, 서비스 키)를 이용하여 해당 데이터를 암/복호화할 수 있다(S350). 상기 제1 키 암호화 키 및 제1 데이터 암호화 키를 이용한 데이터 암/복호화 방식은 고객의 개입없이 서비스 제공 서버(110)에 의해 제어되는 방식이다.As a result of checking in step 330, if the type of cloud data is customer-related data, the cloud data encryption device 200 may encrypt/decrypt the corresponding data using the first key encryption key (ie, master key) and the first data encryption key (ie, service key) stored in the encryption key management system 120 (S350). The data encryption/decryption method using the first key encryption key and the first data encryption key is controlled by the service providing server 110 without customer intervention.

한편, 상기 330 단계의 확인 결과, 클라우드 데이터의 종류가 고객 소유 데이터인 경우, 클라우드 데이터 암호화 장치(200)는 해당 클라우드 데이터의 종류가 완전 통제 데이터인지 아니면 부분 통제 데이터인지 여부를 확인할 수 있다(S340).Meanwhile, as a result of checking in step 330, if the type of cloud data is customer-owned data, the cloud data encryption device 200 may check whether the type of cloud data is completely controlled data or partially controlled data (S340).

상기 340 단계의 확인 결과, 클라우드 데이터의 종류가 완전 통제 데이터인 경우, 클라우드 데이터 암호화 장치(200)는 암호화키 관리 시스템(120)에 보관된 제2 키 암호화 키(즉, 고객 키)와 제2 데이터 암호화 키(즉, 자원 키)를 이용하여 해당 데이터를 암/복호화할 수 있다(S360). 상기 제2 키 암호화 키와 제2 데이터 암호화 키를 이용한 데이터 암/복호화 방식은 고객에 의해 제어되는 방식이다.As a result of checking in step 340, if the type of cloud data is fully controlled data, the cloud data encryption device 200 may encrypt/decrypt corresponding data using the second key encryption key (ie, customer key) and the second data encryption key (ie, resource key) stored in the encryption key management system 120 (S360). The data encryption/decryption method using the second key encryption key and the second data encryption key is controlled by the customer.

한편, 상기 340 단계의 확인 결과, 클라우드 데이터의 종류가 부분 통제 데이터인 경우, 클라우드 데이터 암호화 장치(200)는 암호화키 관리 시스템(120)에 보관된 제3 키 암호화 키(즉, 고객 계정 키)와 제3 데이터 암호화 키(즉, 제품 키)를 이용하여 해당 데이터를 암/복호화할 수 있다(S370). 상기 제3 키 암호화 키 및 제3 데이터 암호화 키를 이용한 데이터 암/복호화 방식은 고객의 동의 또는 위임하에서 서비스 제공 서버(110)에 의해 제어되는 방식이다.Meanwhile, as a result of checking in step 340, if the type of cloud data is partial control data, the cloud data encryption device 200 may encrypt/decrypt the corresponding data using the third key encryption key (ie, customer account key) and the third data encryption key (ie, product key) stored in the encryption key management system 120 (S370). The data encryption/decryption method using the third key encryption key and the third data encryption key is controlled by the service providing server 110 under the consent or delegation of the customer.

이상 상술한 바와 같이, 본 발명의 일 실시 예에 따른 클라우드 데이터 암호화 방법은 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 적용하여 해당 데이터에 대한 암호화 및 복호화를 수행하고, 상기 암호화 및 복호화에 사용되는 키에 대한 관리를 통해 사용자의 데이터 통제권을 최대한 보장할 수 있다.As described above, the cloud data encryption method according to an embodiment of the present invention applies different encryption keys according to the type of cloud data to encrypt and decrypt corresponding data, and manages the keys used for encryption and decryption to maximize the user's control over data.

도 4는 클라우드 데이터의 종류가 제1 타입의 고객 데이터인 경우, 제1 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제1 데이터 암호화 키를 관리하는 방법을 예시하는 순서도이다.4 is a flowchart illustrating a method of encrypting corresponding cloud data using a first data encryption key and managing the first data encryption key when the type of cloud data is a first type of customer data.

도 4를 참조하면, 테넨트 단말(140)은 서비스 제공 서버(110)에 접속하여 클라우드 데이터를 생성할 수 있다(S410). Referring to FIG. 4 , the tenant terminal 140 may access the service providing server 110 and generate cloud data (S410).

클라우드 데이터 암호화 장치(130)는 상기 생성된 클라우드 데이터의 종류를 식별할 수 있다(S420). The cloud data encryption device 130 may identify the type of the generated cloud data (S420).

상기 클라우드 데이터의 종류가 제1 타입의 고객 데이터(즉, 고객 관련 데이터)인 경우, 클라우드 데이터 암호화 장치(130)는 서비스 키를 이용한 데이터 암호화를 요청하는 메시지를 서비스 제공 서버(110)로 전송할 수 있다(S430).If the type of cloud data is the first type of customer data (ie, customer-related data), the cloud data encryption device 130 may transmit a message requesting data encryption using a service key to the service providing server 110 (S430).

서비스 제공 서버(110)는, 클라우드 데이터 암호화 장치(130)로부터 수신된 메시지에 대응하여, 클라우드 데이터를 암호화하기 위한 서비스 키를 암호화키 관리 시스템(120)에 요청할 수 있다(S440).The service providing server 110 may request a service key for encrypting cloud data from the encryption key management system 120 in response to the message received from the cloud data encryption device 130 (S440).

암호화키 관리 시스템(120)은, 서비스 제공 서버(110)의 요청에 대응하여, 클라우드 데이터를 암호화하기 위한 서비스 키를 생성할 수 있다(S450). 암호화키 관리 시스템(120)은 상기 생성된 서비스 키를 서비스 제공 서버(110)로 제공할 수 있다(S460), The encryption key management system 120 may generate a service key for encrypting cloud data in response to a request of the service providing server 110 (S450). The encryption key management system 120 may provide the generated service key to the service providing server 110 (S460).

서비스 제공 서버(110)는 암호화키 관리 시스템(120)으로부터 수신된 서비스 키를 이용하여 클라우드 데이터를 암호화할 수 있다(S470). 서비스 제공 서버(110)는 암호화된 데이터를 데이터베이스에 저장할 수 있다. The service providing server 110 may encrypt cloud data using the service key received from the encryption key management system 120 (S470). The service providing server 110 may store encrypted data in a database.

암호화키 관리 시스템(120)은 서비스 키를 암호화하기 위한 마스터 키를 생성할 수 있다(S480). 암호화키 관리 시스템(120)은 마스터 키를 이용하여 서비스 키를 봉투 암호화하고, 상기 봉투 암호화된 서비스 키를 키 저장소에 보관할 수 있다(S490). The encryption key management system 120 may generate a master key for encrypting the service key (S480). The encryption key management system 120 may encrypt the service key using the master key and store the envelope-encrypted service key in a key storage (S490).

이후, 데이터베이스에 저장된 암호화 데이터를 복호화하고자 하는 경우, 암호화키 관리 시스템(120)은 마스터 키를 이용하여 봉투 암호화된 서비스 키를 복호화하고, 상기 복호화된 서비스 키를 서비스 제공 서버(110)로 제공할 수 있다. Subsequently, when decrypting encrypted data stored in the database, the encryption key management system 120 may decrypt the envelope encrypted service key using the master key and provide the decrypted service key to the service providing server 110.

전술한 바와 같이, 클라우드 데이터의 종류가 제1 타입의 고객 데이터인 경우, 클라우드 데이터 암호화 장치(110)는 서비스 제공 서버(110)에서 암호화키 관리 시스템(120)으로부터 제공받은 서비스 키를 이용하여 해당 클라우드 데이터를 암호화하도록 제어할 수 있다. 사용자는 암호화키 관리 시스템(120)에 보관된 서비스 키에 대한 접근 및 관리가 불가능하므로, 해당 데이터에 대한 통제권을 가질 수 없다.As described above, when the type of cloud data is the first type of customer data, the cloud data encryption device 110 controls the service providing server 110 to encrypt corresponding cloud data using the service key provided from the encryption key management system 120. Since the user cannot access and manage the service key stored in the encryption key management system 120, he or she cannot have control over the corresponding data.

도 5는 클라우드 데이터의 종류가 제2 타입의 고객 데이터인 경우, 제2 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제2 데이터 암호화 키를 관리하는 방법을 예시하는 순서도이고, 도 7은 암호화키 관리 시스템에 보관된 제2 데이터 암호화 키를 이용하여 클라우드 데이터를 암호화 및 복호화하는 과정을 설명하기 위해 참조되는 도면이다.5 is a flowchart illustrating a method of encrypting corresponding cloud data using a second data encryption key and managing the second data encryption key when the type of cloud data is customer data of the second type, and FIG. 7 is a diagram referenced to explain a process of encrypting and decrypting cloud data using a second data encryption key stored in an encryption key management system.

도 5 및 도 7을 참조하면, 테넨트 단말(140)은 서비스 제공 서버(110)에 접속하여 클라우드 데이터를 생성할 수 있다(S505). Referring to FIGS. 5 and 7 , the tenant terminal 140 may access the service providing server 110 and generate cloud data (S505).

클라우드 데이터 암호화 장치(130)는 상기 생성된 클라우드 데이터의 종류를 식별할 수 있다(S510).The cloud data encryption device 130 may identify the type of the generated cloud data (S510).

상기 클라우드 데이터의 종류가 고객 소유 데이터인 경우, 클라우드 데이터 암호화 장치(130)는 해당 데이터에 대한 사용자 통제권의 범위를 선택하도록 요청하는 메시지를 테넌트 단말(140)로 전송할 수 있다(S515).If the type of cloud data is customer-owned data, the cloud data encryption device 130 may transmit a message requesting selection of a range of user control over the corresponding data to the tenant terminal 140 (S515).

테넌트 단말(140)은, 사용자의 선택 명령에 대응하여, 해당 사용자가 완전한 데이터 통제권을 선택하였음을 지시하는 메시지를 클라우드 데이터 암호화 장치(130)로 전송할 수 있다(S520). 또한, 테넌트 단말(140)은, 사용자의 명령에 대응하여, 고객 키 생성을 요청하는 메시지를 클라우드 데이터 암호화 장치(130)로 전송할 수 있다.In response to the user's selection command, the tenant terminal 140 may transmit a message indicating that the corresponding user has selected complete data control right to the cloud data encryption device 130 (S520). In addition, the tenant terminal 140 may transmit a message requesting generation of a customer key to the cloud data encryption device 130 in response to a user's command.

클라우드 데이터 암호화 장치(130)는, 테넌트 단말(140)로부터 수신된 메시지에 대응하여, 고객 키 생성을 요청하는 메시지를 암호화키 관리 시스템(120)으로 전송할 수 있다(S525). The cloud data encryption device 130 may transmit a message requesting customer key generation to the encryption key management system 120 in response to the message received from the tenant terminal 140 (S525).

클라우드 데이터 암호화 장치(130)는, 테넌트 단말(140)로부터 수신된 메시지에 대응하여, 고객 키를 구독 요청하는 메시지를 서비스 제공 서버(110)로 전송할 수 있다(S530).The cloud data encryption device 130 may transmit a message requesting a customer key subscription to the service providing server 110 in response to the message received from the tenant terminal 140 (S530).

암호화키 관리 시스템(120)은, 클라우드 데이터 암호화 장치(130)로부터 수신된 메시지에 대응하여, 고객 키를 생성할 수 있다(S535). 상기 고객 키는 사용자에 의해 관리가 가능한 키이다.The encryption key management system 120 may generate a customer key in response to the message received from the cloud data encryption device 130 (S535). The customer key is a key manageable by a user.

서비스 제공 서버(110)는, 클라우드 데이터 암호화 장치(130)로부터 수신된 메시지에 대응하여, 고객 인증 값을 포함하는 구독 키를 암호화키 관리 시스템(120)으로 전송할 수 있다(S540).The service providing server 110 may transmit a subscription key including a customer authentication value to the encryption key management system 120 in response to the message received from the cloud data encryption device 130 (S540).

암호화키 관리 시스템(120)은 서비스 제공 서버(110)로부터 수신된 구독 키에 포함된 고객 인증 값을 기반으로 클라우드 데이터에 대한 사용자 인증을 수행할 수 있다. 상기 사용자 인증이 성공한 경우, 암호화키 관리 시스템(120)은 고객 키와 구독 키를 연동하여 클라우드 데이터를 암호화하기 위한 자원 키를 생성할 수 있다(S545). 암호화키 관리 시스템(120)은 상기 생성된 자원 키를 서비스 제공 서버(110)로 제공할 수 있다(S550).The encryption key management system 120 may perform user authentication for cloud data based on a customer authentication value included in the subscription key received from the service providing server 110 . If the user authentication is successful, the encryption key management system 120 may generate a resource key for encrypting cloud data by linking the customer key and the subscription key (S545). The encryption key management system 120 may provide the generated resource key to the service providing server 110 (S550).

서비스 제공 서버(110)는 암호화키 관리 시스템(120)으로부터 수신된 자원 키를 이용하여 클라우드 데이터를 암호화할 수 있다(S555). 서비스 제공 서버(110)는 암호화된 데이터를 데이터베이스에 저장할 수 있다. The service providing server 110 may encrypt cloud data using the resource key received from the encryption key management system 120 (S555). The service providing server 110 may store encrypted data in a database.

암호화키 관리 시스템(120)은 고객 키를 이용하여 자원 키를 봉투 암호화하고, 상기 봉투 암호화된 자원 키를 키 저장소에 보관할 수 있다(S560). 이후, 데이터베이스에 저장된 암호화 데이터를 복호화하고자 하는 경우, 암호화키 관리 시스템(120)은 고객 키를 이용하여 봉투 암호화된 자원 키를 복호화하고, 상기 복호화된 자원 키를 서비스 제공 서버(110)로 제공할 수 있다.The encryption key management system 120 may encrypt the resource key using the customer key and store the envelope-encrypted resource key in a key storage (S560). Subsequently, when decrypting encrypted data stored in the database, the encryption key management system 120 decrypts the envelope encrypted resource key using the customer key, and provides the decrypted resource key to the service providing server 110.

전술한 바와 같이, 클라우드 데이터의 종류가 제2 타입의 고객 데이터인 경우, 클라우드 데이터 암호화 장치(130)는 서비스 제공 서버(110)에서 암호화키 관리 시스템(120)으로부터 제공받은 자원 키를 이용하여 해당 클라우드 데이터를 암호화하도록 제어할 수 있다. 사용자는 암호화키 관리 시스템(120)에 보관된 고객 키 및 자원 키에 대한 접근 및 관리가 가능하므로, 해당 데이터에 대한 통제권을 가질 수 있다. 즉, 사용자의 동의 또는 승인이 있는 경우에만 자원 키를 서비스 제공 서버(110)로 제공할 수 있다. As described above, when the type of cloud data is the second type of customer data, the cloud data encryption device 130 uses the resource key provided from the encryption key management system 120 in the service providing server 110. Control to encrypt corresponding cloud data. Since the user can access and manage the customer key and resource key stored in the encryption key management system 120, the user can have control over the corresponding data. That is, the resource key may be provided to the service providing server 110 only when there is consent or approval of the user.

도 6은 클라우드 데이터의 종류가 제3 타입의 고객 데이터인 경우, 제3 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하고, 상기 제3 데이터 암호화 키를 관리하는 방법을 예시하는 순서도이고, 도 7은 암호화키 관리 시스템에 보관된 제3 데이터 암호화 키를 이용하여 클라우드 데이터를 암호화 및 복호화하는 과정을 설명하기 위해 참조되는 도면이다.6 is a flowchart illustrating a method of encrypting corresponding cloud data using a third data encryption key and managing the third data encryption key when the type of cloud data is a third type of customer data, and FIG. 7 is a diagram referenced to explain a process of encrypting and decrypting cloud data using a third data encryption key stored in an encryption key management system.

도 6 및 도 7을 참조하면, 테넨트 단말(140)은 서비스 제공 서버(110)에 접속하여 클라우드 데이터를 생성할 수 있다(S605). Referring to FIGS. 6 and 7 , the tenant terminal 140 may access the service providing server 110 and generate cloud data (S605).

클라우드 데이터 암호화 장치(130)는 상기 생성된 클라우드 데이터의 종류를 식별할 수 있다(S610).The cloud data encryption device 130 may identify the type of the generated cloud data (S610).

상기 클라우드 데이터의 종류가 고객 소유 데이터인 경우, 클라우드 데이터 암호화 장치(130)는 해당 데이터에 대한 사용자 통제권의 범위를 선택하도록 요청하는 메시지를 테넌트 단말(140)로 전송할 수 있다(S615). If the type of cloud data is customer-owned data, the cloud data encryption device 130 may transmit a message requesting selection of a range of user control over the corresponding data to the tenant terminal 140 (S615).

테넌트 단말(140)은, 사용자의 선택 명령에 대응하여, 해당 사용자가 부분적인 데이터 통제권을 선택하였음을 지시하는 메시지를 클라우드 데이터 암호화 장치(130)로 전송할 수 있다(S620). 또한, 테넌트 단말(140)은, 사용자의 명령에 대응하여, 고객 계정 키 생성을 요청하는 메시지를 클라우드 데이터 암호화 장치(130)로 전송할 수 있다.The tenant terminal 140 may transmit a message indicating that the corresponding user has selected partial data control right to the cloud data encryption device 130 in response to the user's selection command (S620). In addition, the tenant terminal 140 may transmit a message requesting generation of a customer account key to the cloud data encryption device 130 in response to a user's command.

클라우드 데이터 암호화 장치(130)는, 테넌트 단말(140)로부터 수신된 메시지에 대응하여, 고객 계정 키 생성을 요청하는 메시지를 암호화키 관리 시스템(120)으로 전송할 수 있다(S625). The cloud data encryption device 130 may transmit a message requesting generation of a customer account key to the encryption key management system 120 in response to the message received from the tenant terminal 140 (S625).

클라우드 데이터 암호화 장치(130)는, 테넌트 단말(140)로부터 수신된 메시지에 대응하여, 고객 계정 키를 구독 요청하는 메시지를 서비스 제공 서버(110)로 전송할 수 있다(S630).The cloud data encryption device 130 may transmit a message requesting subscription of a customer account key to the service providing server 110 in response to the message received from the tenant terminal 140 (S630).

암호화키 관리 시스템(120)은, 클라우드 데이터 암호화 장치(130)로부터 수신된 메시지에 대응하여, 고객 계정 키를 생성할 수 있다(S635). 상기 고객 계정 키는 사용자에 의해 관리가 불가능한 키이다. 다만, 상기 고객 계정 키는 사용자의 동의 또는 위임 하에 생성될 수 있다.The encryption key management system 120 may generate a customer account key in response to the message received from the cloud data encryption device 130 (S635). The customer account key is a key that cannot be managed by a user. However, the customer account key may be generated under the user's consent or delegation.

서비스 제공 서버(110)는, 클라우드 데이터 암호화 장치(130)로부터 수신된 메시지에 대응하여, 고객 인증 값을 포함하는 구독 계정 키를 암호화키 관리 시스템(120)으로 전송할 수 있다(S640).The service providing server 110 may transmit a subscription account key including a customer authentication value to the encryption key management system 120 in response to the message received from the cloud data encryption device 130 (S640).

암호화키 관리 시스템(120)은 서비스 제공 서버(110)로부터 수신된 구독 계정 키에 포함된 고객 인증 값을 기반으로 클라우드 데이터에 대한 사용자 인증을 수행할 수 있다. 상기 사용자 인증이 성공한 경우, 암호화키 관리 시스템(120)은 고객 계정 키와 구독 계정 키를 연동하여 클라우드 데이터를 암호화하기 위한 제품 키를 생성할 수 있다(S645). 암호화키 관리 시스템(120)은 상기 생성된 제품 키를 서비스 제공 서버(110)로 제공할 수 있다(S650).The encryption key management system 120 may perform user authentication for cloud data based on a customer authentication value included in the subscription account key received from the service providing server 110 . If the user authentication is successful, the encryption key management system 120 may generate a product key for encrypting cloud data by linking the customer account key and the subscription account key (S645). The encryption key management system 120 may provide the generated product key to the service providing server 110 (S650).

서비스 제공 서버(110)는 암호화키 관리 시스템(120)으로부터 수신된 제품 키를 이용하여 클라우드 데이터를 암호화할 수 있다(S655). 서비스 제공 서버(110)는 암호화된 데이터를 데이터베이스에 저장할 수 있다. The service providing server 110 may encrypt cloud data using the product key received from the encryption key management system 120 (S655). The service providing server 110 may store encrypted data in a database.

암호화키 관리 시스템(120)은 고객 계정 키를 이용하여 제품 키를 봉투 암호화하고, 상기 봉투 암호화된 제품 키를 키 저장소에 보관할 수 있다(S660). 이후, 데이터베이스에 저장된 암호화 데이터를 복호화하고자 하는 경우, 암호화키 관리 시스템(120)은 고객 계정 키를 이용하여 봉투 암호화된 제품 키를 복호화하고, 상기 복호화된 제품 키를 서비스 제공 서버(110)로 제공할 수 있다.The encryption key management system 120 may encrypt the product key using the customer account key and store the encrypted product key in the key storage (S660). Subsequently, when decrypting encrypted data stored in the database, the encryption key management system 120 decrypts the envelope encrypted product key using the customer account key, and provides the decrypted product key to the service providing server 110.

전술한 바와 같이, 클라우드 데이터의 종류가 제3 타입의 고객 데이터인 경우, 클라우드 데이터 암호화 장치(130)는 서비스 제공 서버(110)에서 암호화키 관리 시스템(120)으로부터 제공받은 제품 키를 이용하여 해당 클라우드 데이터를 암호화하도록 제어할 수 있다. 사용자는 암호화키 관리 시스템(120)에 보관된 고객 계정 키 및 제품 키에 대한 접근 및 관리가 불가능하므로, 해당 데이터에 대한 통제권을 가질 수 없다.As described above, when the type of cloud data is the third type of customer data, the cloud data encryption device 130 uses the product key provided from the encryption key management system 120 in the service providing server 110. It can be controlled to encrypt corresponding cloud data. Since the user cannot access and manage the customer account key and product key stored in the encryption key management system 120, the user cannot have control over the corresponding data.

전술한 본 발명은, 프로그램이 기록된 매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 매체는, 컴퓨터로 실행 가능한 프로그램을 계속 저장하거나, 실행 또는 다운로드를 위해 임시 저장하는 것일 수도 있다. 또한, 매체는 단일 또는 수개 하드웨어가 결합된 형태의 다양한 기록수단 또는 저장수단일 수 있는데, 어떤 컴퓨터 시스템에 직접 접속되는 매체에 한정되지 않고, 네트워크 상에 분산 존재하는 것일 수도 있다. 매체의 예시로는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM 및 DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical medium), 및 ROM, RAM, 플래시 메모리 등을 포함하여 프로그램 명령어가 저장되도록 구성된 것이 있을 수 있다. 또한, 다른 매체의 예시로, 애플리케이션을 유통하는 앱 스토어나 기타 다양한 소프트웨어를 공급 내지 유통하는 사이트, 서버 등에서 관리하는 기록매체 내지 저장매체도 들 수 있다. 따라서, 상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above-described present invention can be implemented as computer readable code on a medium on which a program is recorded. The computer-readable medium may continuously store programs executable by the computer or temporarily store them for execution or download. In addition, the medium may be various recording means or storage means in the form of a single or combined hardware, but is not limited to a medium directly connected to a certain computer system, and may be distributed on a network. Examples of media may include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floptical disks, and those configured to store program instructions, including ROM, RAM, flash memory, and the like. In addition, examples of other media include recording media or storage media managed by an app store that distributes applications, a site that supplies or distributes various other software, and a server. Accordingly, the above detailed description should not be construed as limiting in all respects and should be considered illustrative. The scope of the present invention should be determined by reasonable interpretation of the appended claims, and all changes within the equivalent scope of the present invention are included in the scope of the present invention.

본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.The present invention is not limited by the foregoing embodiments and accompanying drawings. It will be clear to those skilled in the art that the components according to the present invention can be substituted, modified, and changed without departing from the technical spirit of the present invention.

100: 클라우드 시스템 110: 클라우드 서비스 제공 시스템
120: 암호화키 관리 시스템 130/200: 클라우드 데이터 암호화 장치
140: 테넌트 단말 210: 데이터 식별부
220: 데이터 암호화부 230: 데이터 복호화부100: cloud system 110: cloud service providing system
120: encryption key management system 130/200: cloud data encryption device
140: Tenant terminal 210: Data identification unit
220: data encryption unit 230: data decryption unit

Claims (10)

클라우드 시스템에서의 클라우드 데이터 암호화 방법에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하는 단계;
상기 감지된 클라우드 데이터의 종류를 식별하는 단계; 및
상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 단계를 포함하되,
상기 암호화 단계는, 상기 식별된 클라우드 데이터의 종류가 제1 타입의 고객 데이터인 경우, 사용자의 통제가 불가능한 제1 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 단계를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.In the cloud data encryption method in the cloud system,
detecting cloud data to be encrypted;
identifying the type of the sensed cloud data; and
Encrypting the cloud data using different encryption keys according to the type of the identified cloud data,
Wherein the encrypting step comprises encrypting the corresponding cloud data using a first data encryption key that is uncontrollable by a user when the type of the identified cloud data is a first type of customer data. 제1항에 있어서,
상기 제1 타입의 고객 데이터는, 클라우드 서비스를 이용 중인 고객의 개인정보와 관련된 데이터를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.According to claim 1,
The first type of customer data includes data related to personal information of a customer using a cloud service. 클라우드 시스템에서의 클라우드 데이터 암호화 방법에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하는 단계;
상기 감지된 클라우드 데이터의 종류를 식별하는 단계; 및
상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 단계를 포함하되,
상기 암호화 단계는, 상기 식별된 클라우드 데이터의 종류가 제2 타입의 고객 데이터인 경우, 사용자의 통제가 가능한 제2 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 단계를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.In the cloud data encryption method in the cloud system,
detecting cloud data to be encrypted;
identifying the type of the sensed cloud data; and
Encrypting the cloud data using different encryption keys according to the type of the identified cloud data,
Wherein the encrypting step comprises encrypting the corresponding cloud data using a second data encryption key controllable by a user when the type of the identified cloud data is the second type of customer data. 제3항에 있어서,
상기 제2 타입의 고객 데이터는, 고객 소유 데이터 중 완전한 사용자 통제권을 갖도록 설정된 데이터를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.According to claim 3,
The second type of customer data includes data set to have complete user control among customer-owned data. 클라우드 시스템에서의 클라우드 데이터 암호화 방법에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하는 단계;
상기 감지된 클라우드 데이터의 종류를 식별하는 단계; 및
상기 식별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 단계를 포함하되,
상기 암호화 단계는, 상기 식별된 클라우드 데이터의 종류가 제3 타입의 고객 데이터인 경우, 사용자의 통제가 제한적인 제3 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 단계를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.In the cloud data encryption method in the cloud system,
detecting cloud data to be encrypted;
identifying the type of the sensed cloud data; and
Encrypting the cloud data using different encryption keys according to the type of the identified cloud data,
Wherein the encrypting step comprises encrypting the corresponding cloud data using a third data encryption key having a limited user control when the type of the identified cloud data is a third type of customer data. 제5항에 있어서,
상기 제3 타입의 고객 데이터는, 고객 소유 데이터 중 부분적인 사용자 통제권을 갖도록 설정된 데이터를 포함하는 것을 특징으로 하는 클라우드 데이터 암호화 방법.According to claim 5,
The third type of customer data includes data set to have partial user control among customer-owned data. 제1항 내지 제6항 중 어느 하나의 항에 있어서,
상기 클라우드 데이터의 암호화에 사용되는 키를 봉투 암호화하여 암호화키 관리 시스템에 보관하고, 상기 보관된 키의 종류에 따라 서로 다른 접근 권한을 설정하는 단계를 더 포함하는 클라우드 데이터 암호화 방법.According to any one of claims 1 to 6,
The cloud data encryption method further comprising enveloping a key used for encrypting the cloud data and storing it in an encryption key management system, and setting different access rights according to the type of the stored key. 클라우드 시스템에서의 클라우드 데이터 암호화 장치에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하고, 상기 감지된 클라우드 데이터의 종류를 식별하는 데이터 식별부; 및
상기 데이터 식별부를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 데이터 암호화부를 포함하되,
상기 데이터 암호화부는, 상기 식별된 클라우드 데이터의 종류가 제1 타입의 고객 데이터인 경우, 사용자의 통제가 불가능한 제1 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 것을 특징으로 하는 클라우드 데이터 암호화 장치.In the cloud data encryption device in the cloud system,
a data identification unit that detects cloud data to be encrypted and identifies a type of the detected cloud data; and
A data encryption unit encrypting the cloud data using different encryption keys according to the type of cloud data determined through the data identification unit;
Wherein the data encryption unit encrypts the corresponding cloud data using a first data encryption key that is uncontrollable by a user when the type of the identified cloud data is the first type of customer data. 클라우드 시스템에서의 클라우드 데이터 암호화 장치에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하고, 상기 감지된 클라우드 데이터의 종류를 식별하는 데이터 식별부; 및
상기 데이터 식별부를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 데이터 암호화부를 포함하되,
상기 데이터 암호화부는, 상기 식별된 클라우드 데이터의 종류가 제2 타입의 고객 데이터인 경우, 사용자의 통제가 가능한 제2 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 것을 특징으로 하는 클라우드 데이터 암호화 장치.In the cloud data encryption device in the cloud system,
a data identification unit that detects cloud data to be encrypted and identifies a type of the detected cloud data; and
A data encryption unit encrypting the cloud data using different encryption keys according to the type of cloud data determined through the data identification unit;
Wherein the data encryption unit encrypts the corresponding cloud data using a second data encryption key controllable by a user when the type of the identified cloud data is the second type of customer data. 클라우드 시스템에서의 클라우드 데이터 암호화 장치에 있어서,
암호화의 대상이 되는 클라우드 데이터를 감지하고, 상기 감지된 클라우드 데이터의 종류를 식별하는 데이터 식별부; 및
상기 데이터 식별부를 통해 판별된 클라우드 데이터의 종류에 따라 서로 다른 암호화 키를 사용하여 상기 클라우드 데이터를 암호화하는 데이터 암호화부를 포함하되,
상기 데이터 암호화부는, 상기 식별된 클라우드 데이터의 종류가 제3 타입의 고객 데이터인 경우, 사용자의 통제가 제한적인 제3 데이터 암호화 키를 이용하여 해당 클라우드 데이터를 암호화하는 것을 특징으로 하는 클라우드 데이터 암호화 장치.In the cloud data encryption device in the cloud system,
a data identification unit that detects cloud data to be encrypted and identifies a type of the detected cloud data; and
A data encryption unit encrypting the cloud data using different encryption keys according to the type of cloud data determined through the data identification unit;
Wherein the data encryption unit encrypts the corresponding cloud data using a third data encryption key having limited user control when the type of the identified cloud data is a third type of customer data.
KR1020230089972A 2021-10-13 2023-07-11 Method for encrypting cloud data and apparatus thereof KR20230112584A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230089972A KR20230112584A (en) 2021-10-13 2023-07-11 Method for encrypting cloud data and apparatus thereof

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020210135763A KR102556013B1 (en) 2021-10-13 2021-10-13 Method for encrypting cloud data and apparatus thereof
KR1020230089972A KR20230112584A (en) 2021-10-13 2023-07-11 Method for encrypting cloud data and apparatus thereof

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020210135763A Division KR102556013B1 (en) 2021-10-13 2021-10-13 Method for encrypting cloud data and apparatus thereof

Publications (1)

Publication Number Publication Date
KR20230112584A true KR20230112584A (en) 2023-07-27

Family

ID=86143854

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020210135763A KR102556013B1 (en) 2021-10-13 2021-10-13 Method for encrypting cloud data and apparatus thereof
KR1020230089972A KR20230112584A (en) 2021-10-13 2023-07-11 Method for encrypting cloud data and apparatus thereof

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020210135763A KR102556013B1 (en) 2021-10-13 2021-10-13 Method for encrypting cloud data and apparatus thereof

Country Status (1)

Country Link
KR (2) KR102556013B1 (en)

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101464727B1 (en) 2013-10-15 2014-11-27 순천향대학교 산학협력단 Cloud Data Access Control System and Method using CP-ABE
KR102057113B1 (en) * 2017-12-22 2019-12-18 충남대학교산학협력단 Cloud storage encryption system

Also Published As

Publication number Publication date
KR102556013B1 (en) 2023-07-14
KR20230052561A (en) 2023-04-20

Similar Documents

Publication Publication Date Title
US9088557B2 (en) Encryption key management program, data management system
US9690954B2 (en) Securing encrypted virtual hard disks
KR101966767B1 (en) System for managing encryption keys for cloud services
US9430211B2 (en) System and method for sharing information in a private ecosystem
US9270459B2 (en) Techniques for achieving tenant data confidentiality from cloud service provider administrators
US8997198B1 (en) Techniques for securing a centralized metadata distributed filesystem
CN101605137B (en) Safe distribution file system
US20140019753A1 (en) Cloud key management
US20150169892A1 (en) Encryption-Based Data Access Management
US20130013921A1 (en) Methods and apparatus for secure data sharing
AU2011313985A1 (en) Methods and systems for providing and controlling cryptographically secure communications across unsecured networks between a secure virtual terminal and a remote system
US11018859B2 (en) Deduplication of client encrypted data
US10462112B1 (en) Secure distributed authentication data
US11755499B2 (en) Locally-stored remote block data integrity
US10630722B2 (en) System and method for sharing information in a private ecosystem
US10015173B1 (en) Systems and methods for location-aware access to cloud data stores
KR20140135418A (en) System and method for single-sign-on in virtual desktop infrastructure environment
US11956242B2 (en) Distributed directory caching techniques for secure and efficient resource access
JP2017112604A (en) Method for improving encryption/decryption speed by complexly applying symmetric key encryption and asymmetric key double encryption
US20220150323A1 (en) User profile distribution and deployment systems and methods
JP6366883B2 (en) Attribute linkage device, transfer system, attribute linkage method, and attribute linkage program
KR102556013B1 (en) Method for encrypting cloud data and apparatus thereof
JP4995667B2 (en) Information processing apparatus, server apparatus, information processing program, and method
US20140032897A1 (en) Securely establishing a communication channel between a switch and a network-based application using a unique identifier for the network-based application
Moia et al. Security requirements for data storage services on public clouds

Legal Events

Date Code Title Description
A107 Divisional application of patent