WO2013183814A1 - 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법 - Google Patents

개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법 Download PDF

Info

Publication number
WO2013183814A1
WO2013183814A1 PCT/KR2012/007134 KR2012007134W WO2013183814A1 WO 2013183814 A1 WO2013183814 A1 WO 2013183814A1 KR 2012007134 W KR2012007134 W KR 2012007134W WO 2013183814 A1 WO2013183814 A1 WO 2013183814A1
Authority
WO
WIPO (PCT)
Prior art keywords
cloud service
security
authentication
general
terminal
Prior art date
Application number
PCT/KR2012/007134
Other languages
English (en)
French (fr)
Inventor
김도완
김현욱
신정금
Original Assignee
에스케이플래닛 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이플래닛 주식회사 filed Critical 에스케이플래닛 주식회사
Priority to US13/991,054 priority Critical patent/US9055060B2/en
Priority to JP2014520147A priority patent/JP2014524091A/ja
Priority to CN201280005702.8A priority patent/CN103597492B/zh
Priority to EP12850731.6A priority patent/EP2860654A1/en
Publication of WO2013183814A1 publication Critical patent/WO2013183814A1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Definitions

  • the present invention relates to cloud service support, and more particularly, to an improved security function-based cloud service system and a method for supporting the same, which enables to use a cloud service safely and conveniently based on an improved security function.
  • communication terminals are manufactured in a portable form, they are used in a wide range of fields due to their convenience and ease of use. These communication terminals have recently been developed in the form of smart phones equipped with various user functions, providing convenience and entertainment.
  • the conventional cloud service performs an authentication process based on a pre-registered ID and password to access a terminal.
  • the ID and password can be easily exposed through various paths, there is a growing concern about the security of cloud services.
  • problems such as leakage of personal information are getting serious. Accordingly, there is a demand for a more stable cloud service support that enables service users to appropriately share desired data without worrying about the leakage of personal information.
  • an aspect of the present invention is to provide an improved security-based cloud service system and a method of supporting the same, which allow only authorized users to use cloud services based on excellent security functions.
  • the present invention provides an improved security-based cloud service system and a method for supporting the same that can support the use of more various types of cloud services by performing information security according to the certification level.
  • the present invention provides a secure authentication based on encrypted information provided by the trusted platform and a general authentication based on pre-registered ID and password information provided by the trusted platform.
  • a cloud service device for providing a cloud service to the terminal after completing the general authentication and security authentication with the terminal equipped with the cloud service supported by the terminal, the terminal equipped with the trusted platform, and the security authentication.
  • Disclosed is a configuration of a security service based cloud service system.
  • the present invention also provides at least one of a device communication unit for forming a communication channel for accessing a terminal equipped with a trusted platform, security authentication based on encrypted information provided by the trusted platform, and general authentication based on pre-registered ID and password information.
  • a device control unit which performs one and supports a cloud service according to the security authentication and general authentication, and a device storage unit for storing a database for the cloud service support configuration of the cloud service device based on the improved security function Initiate.
  • the device storage unit may include a security database for implementing a secure zone accessible according to the completion of the security authentication, a general database for implementing a general zone accessible according to the completion of the general authentication, and confirming authentication of the terminal requesting access. Can store authentication information.
  • the device controller may allocate the general zone access right to the terminal that has completed the general authentication, or assign the security zone access right or the security zone and the general area access right to the terminal that has completed the security authentication.
  • the security zone access authority or the security zone and the general zone access authority may be allocated to the terminal that has completed the general authentication and security authentication.
  • the device controller may control to allocate the general area access authority when the terminal without the trusted platform performs the general authentication.
  • the present invention also provides a communication unit for establishing a communication channel for accessing a cloud service device, a security area for providing encrypted information based on a trusted platform, and a non-secure area for performing security function based user function by communicating with the security area.
  • a cloud provided by the cloud service device by controlling at least one of basic authentication based on basic authentication information including a pre-registered ID and password when the cloud service device is accessed, and security authentication based on the encrypted information.
  • a configuration of a terminal supporting a cloud service based on an improved security function comprising a control unit supporting a service operation.
  • the terminal further includes an input unit for inputting a preset security number for entering the secure area from the non-secure area to use the encrypted information, wherein the secure area requests the use of the encrypted information after the security number authentication is completed.
  • the encryption can be generated by encrypting the unique key assigned to the trusted platform to generate encrypted information, the encrypted information can be delivered to the non-secure area.
  • the terminal may further include a display unit displaying a cloud service screen provided according to at least one of the general authentication and the security authentication, wherein the display unit is a general area provided by the cloud service device according to the general authentication.
  • the display unit is a general area provided by the cloud service device according to the general authentication.
  • the screen can be displayed.
  • the controller may control to move the data displayed in the security zone to the general zone or move the data displayed in the general zone to the security zone according to an input signal.
  • the security key map may be output to one side of the screen to request to perform the security authentication in the state where the general authentication is completed.
  • the present invention also includes the steps of requesting a terminal to access a cloud service device, performing general authentication based on basic authentication information including an ID and a password previously registered by the terminal to access the cloud service device, and performing the general authentication. Performing a security authentication based on encrypted information based on the trusted platform of the terminal after the operation; operating a cloud service provided by the cloud service device according to the general authentication and the security authentication result; Disclosed is a configuration of an improved security function-based cloud service support method.
  • the method may further include performing a predefined security number input for performing the security authentication, wherein the operation step includes accessing a general area based on a general database to a terminal on which the cloud service device has performed the general authentication. Assigning a right, assigning a security database based security zone access right to a terminal that has performed the security authentication by the cloud service device, and is general to a terminal that has performed both the general authentication and the security authentication by the cloud service device.
  • the method may include at least one of allocating database-based general zone access rights and security database-based security zone access rights.
  • the method may further include displaying, by the terminal, a general zone access screen provided by the cloud service device according to the general authentication, and displaying a security key map requesting to perform the security authentication on one side of the general zone access screen.
  • the terminal may further include at least one of displaying at least one of a security zone access screen and a general zone access screen provided by the cloud service device according to the security authentication.
  • the present invention is executed by a computer, requesting access to the cloud service device; Performing general authentication based on basic authentication information including an ID and a password previously registered for accessing the cloud service device; Performing security authentication based on encrypted information based on a trusted platform after performing the general authentication; According to a result of performing the general authentication and the security authentication, a computer-readable recording medium recording a program for performing a step of operating a cloud service provided by the cloud service apparatus may be provided.
  • the present invention improves the security of cloud services available to a plurality of terminals, thereby preventing information leakage while Information sharing between the two can be strengthened.
  • FIG. 1 is a block diagram schematically showing the configuration of a cloud service system according to an embodiment of the present invention.
  • FIG. 2 is a block diagram showing the configuration of a terminal according to an embodiment of the present invention in more detail.
  • FIG. 3 is a block diagram illustrating in detail the configuration of a controller provided in a terminal according to an exemplary embodiment of the present invention.
  • FIG. 4 is a flowchart illustrating a terminal operation for supporting a cloud service according to an exemplary embodiment of the present invention.
  • FIG. 5 is a diagram illustrating an example of a screen interface of a terminal provided by the cloud service support of the present invention.
  • FIG. 6 is a view showing in more detail the configuration of the cloud service device of the present invention.
  • FIG. 7 is a flowchart illustrating a method of operating a cloud service device of the present invention.
  • FIG. 8 is a signal flowchart illustrating a method of operating a cloud service system according to an exemplary embodiment of the present invention.
  • FIG. 1 is a diagram schematically illustrating a configuration of a cloud service system 10 that supports an improved security function based cloud service according to an embodiment of the present invention.
  • the cloud service system 10 may include a cloud service device 200 supporting cloud services, and at least one terminal 101 and 102 connected to the cloud service device 200 to use cloud services. , And 103).
  • the cloud service system 10 configured as described above allows access of at least one of the terminals 101, 102, and 103 to use the cloud service, but allows access of only the authenticated terminals through pre-defined authentication information.
  • the cloud service system 10 of the present invention allows access to only the cloud service device 200 of terminals having a trusted platform, or the cloud service device 200 of a terminal having a trusted platform and a terminal not having the trusted platform. It is possible to support the application of accessible information zones in different ways.
  • the cloud service apparatus 200 includes a basic ID and password including a predefined ID and password for allowing access of the corresponding terminals 101, 102, 103 when a request for access of the specific terminals 101, 102, 103 occurs. Perform verification of authentication information.
  • the cloud service device 200 additionally checks that the at least one terminal provides encrypted information provided on the trusted platform, and provides the encrypted information when the encrypted information matches the pre-registered information.
  • the cloud service device 200 distinguishes between general authentication based on basic authentication information and security authentication based on encrypted information, and accesses a database accessible by a terminal that performs a general authentication process and a terminal that performs a security authentication process. By setting the area differently, it is possible to support the use of separate services.
  • the cloud service device 200 may support the general terminal and the security zone to access the first terminal 101 which has performed the general authentication process based on basic authentication information and the security authentication process based on encrypted information. have.
  • the cloud service apparatus 200 may support the second terminal 102 and the third terminal 103 which have performed only a general authentication process to access only a general area. Accordingly, the cloud service device 200 according to the present invention provides superior security to a terminal capable of performing a highly reliable security function by varying the use level of the cloud service according to the security support type of the terminals 101, 102, 103. Based on this, we can support the storage and sharing of information in various forms.
  • the at least one terminal is a first terminal 101 equipped with the above-mentioned reliable trust platform, and a general terminal that is not equipped with a trusted platform, that is, the second terminal 102 And a third terminal 103.
  • the first terminal 101 is physically and softwarely connected to the second terminal 102 and the third terminal 103 except for a configuration that can support reliable user functions for security through the trusted platform mounting portion.
  • the same may be configured as.
  • the first terminal 101 may be configured to include a security area and a non-security area that are internally independent from each other, and the security area and the non-security area may be designed to transmit and receive data to and from each other through a specific interface.
  • the first terminal 101 supports the operation of a specific security user function using the terminal unique identification information stored in the security area.
  • the first terminal 101 may encrypt the terminal unique identification information and access the encrypted information to access the cloud service apparatus 200.
  • the configuration of the first terminal 101 and the roles of the components will be described in more detail with reference to FIGS. 2 and 3.
  • the second terminal 102 and the third terminal 103 may be general terminals without a trusted platform.
  • the second terminal 102 and the third terminal 103 are connected to the cloud service device 200 through the wireless communication module, and the general authentication information based on the basic authentication information pre-registered according to the request of the cloud service device 200 The authentication process can be performed.
  • the second terminal 102 and the third terminal 103 may transmit basic authentication information including pre-registered ID information and password information input to the cloud service apparatus 200 under user control.
  • the second terminal 102 and the third terminal 103 may receive an additional encrypted information confirmation request according to the cloud service device 200 policy.
  • the cloud service device may not be automatically transmitted. And transmit to 200.
  • the second terminal 102 and the third terminal 103 may obtain an access permission for a predefined general area according to a design policy of the cloud service device 200 and perform only access to the general area.
  • the second terminal 102 and the third terminal 103 may perform a function such as editing, deleting, or uploading specific image information, audio information, or text information through a general area, and an image registered in the general area. At least one of the information, the audio information, and the text information may be downloaded and stored or reproduced.
  • the cloud service system 10 may be used depending on whether the terminals 101, 102, and 103 are equipped with a trusted platform, or terminal unique identification information and information provided by encrypting the terminal. Restrict the type of cloud service or support the use of the entire cloud service. Accordingly, the cloud service system 10 of the present invention can not only support improved cloud service access depending on the reliability of the terminals 101, 102, 103, but also store information and share information through division of accessible areas. The function can be supported so that the user can operate it in a desired manner.
  • FIG. 2 is a block diagram showing in more detail the configuration of the first terminal 101 is equipped with a trusted platform according to an embodiment of the present invention.
  • the first terminal 101 of the present invention is configured by the communication unit 110, the input unit 120, the audio processing unit 130, the display unit 140, the storage unit 150, and the controller 160.
  • the trusted platform 161 may be physically provided in the controller 160.
  • the first terminal 101 of the present invention first performs a general authentication process based on basic authentication information in the process of accessing the cloud service device 200 to use the cloud service, and then additionally installed a trusted platform ( It supports to perform a security authentication process based on the encrypted information supported by 161. Through this, the first terminal 101 can support more reliable security connection.
  • the first terminal 101 supports the use of the graded zone access provided by the cloud service device 200 by operating the authentication information checking step provided according to a user's selection.
  • the communication unit 110 may support the formation of a communication channel for accessing the cloud service device 200.
  • a network system may be provided between the cloud service apparatus 200 and the terminals 101, 102, and 103 to support cloud services.
  • This network system is a configuration for establishing a communication channel between the terminals 101, 102, 103 and the cloud service apparatus 200, and when the communication unit 110 of the first terminal 101 is provided in the form of a mobile communication module. It may be provided in a configuration to support this.
  • the communication unit 110 may be configured as a communication module for supporting a wired communication method as well as wireless. Accordingly, the network system may also be configured as communication network devices for supporting the communication method.
  • the communication unit 110 may be configured not only with a communication module supporting a communication method such as CDMA, GSM, but also at least one of a communication module supporting various communication methods such as 2G, 3G, 4G, such as WCDMA, OFDMA.
  • a communication module supporting a communication method such as CDMA, GSM
  • various communication methods such as 2G, 3G, 4G, such as WCDMA, OFDMA.
  • the communication unit 110 may transmit, for use of a specific service device, encrypted information obtained by encrypting terminal unique identification information according to a user's request. That is, the communication unit 110 may support channel formation with a banking server device in which encrypted information is used and a server device requesting the encrypted information as authentication information. In particular, the communication unit 110 may support channel formation for accessing the cloud service device 200 based on the encrypted information. In the channel formation process, the communication unit 110 may transmit the encrypted information to the corresponding server device under the control of the control unit 160. In addition, the communication unit 110 may perform a process for registering the encrypted information or the terminal unique identification information with the cloud service device 200, in which case the terminal is unique using the public key issued by the cloud service device 200. The identification information may be encrypted, and the encrypted information may be provided to the cloud service device 200.
  • the input unit 120 may be formed as a key button. When the first terminal 101 is manufactured as a full touch screen, the input unit 120 may be configured as a side key or a separate hot key. Also, the touch of the first terminal 101 may be performed. It may include a key map displayed on the screen.
  • the input unit 120 may include a plurality of input keys and function keys for receiving numeric or character information and setting various functions. In particular, the input unit 120 may generate various input signals for accessing the cloud service apparatus 200 under user control.
  • the input unit 120 may generate an input signal for requesting input and access of the address information of the cloud service device 200 and an ID and password input signal according to the request of the cloud service device 200 according to a user input.
  • the input unit 120 provides a security number input signal for using the trusted platform-based encrypted information and the encrypted information according to the cloud service device 200 according to the request of the control unit 160, and the cloud service device 200 provides the authentication information.
  • An input signal for using the cloud service can be generated.
  • the generated input signal may be transmitted to the controller 160 to operate as a command for performing a corresponding function.
  • the audio processor 130 may include a speaker SPK for outputting various audio data generated during the operation of the first terminal 101 and a microphone MIC for collecting audio data.
  • the audio processor 130 of the present invention may support various audio data outputs associated with accessing the cloud service device 200.
  • the audio processor 130 outputs a guide sound or sound effect for performing the basic authentication information confirmation process of the cloud service device 200, and outputs a guide sound or sound effect for performing an encrypted information check process with the cloud service device 200.
  • Can support The above alarm and guide sound output may be omitted according to a user setting.
  • the display unit 140 displays information input by the user or information provided to the user, including various menus of the first terminal 101. That is, the display unit 140 may provide various screens according to the use of the first terminal 101, for example, a standby screen, a menu screen, a message writing screen, a call screen, a terminal end screen, a terminal boot screen, and the like.
  • the display unit 140 may be formed in the form of a flat panel display panel such as a liquid crystal display (LCD), an organic light emitting diode (OLED), or the like.
  • the display unit 140 may be manufactured in a structure including a display panel and a touch panel according to a manufacturing form.
  • the display unit 140 of the present invention may provide a screen interface for accessing the cloud service device 200.
  • the display unit 140 may include a screen interface for inputting an ID and password for performing a general authentication process in a cloud service device 200 access process, and a general area provided by the cloud service device 200 when the general authentication process is completed.
  • a screen interface indicating access and performance can be provided.
  • the display unit 140 displays a screen interface for performing an encrypted information verification process based on a trusted platform, and indicates access to a general area and a secure area provided by the cloud service device 200 and performing a function when the encrypted information verification process is completed. It can provide a screen interface.
  • the display unit 140 may output a setting screen interface provided by the cloud service device 200 and a setting screen interface for registering encrypted information for setting basic authentication information required for general authentication.
  • the storage unit 150 stores the screen image to be output on the display unit 140 as well as an application program required for operating a function according to an exemplary embodiment of the present invention.
  • the storage unit 150 may store a key map or a menu map for operating the touch screen.
  • the key map and the menu map may be in various forms. That is, the key map may be a keyboard map, a 3 * 4 key map, a qwerty key map, or the like, or may be a control key map for operation control of an currently activated application program.
  • the menu map may be a menu map for controlling the currently running application program.
  • the storage unit 150 supports booting of the first terminal 101 and an operating system (OS) for operating the above-described components, various user functions, for example, support of a call function of the first terminal 101.
  • OS operating system
  • User functions an MP3 user function for playing other sound sources, an image output function for playing pictures, and an application program for supporting a video playback function.
  • the storage unit 150 of the present invention may store a browser 151 for accessing the cloud service device 200.
  • the first terminal 101 may provide an icon or a menu item for activating the browser 151, and when the corresponding item is selected, the browser 151 is loaded into the controller 160 to access the cloud service device 200.
  • the browser 151 may support transmission and reception of data for supporting a general authentication process for accessing a general area provided by the cloud service device 200.
  • the browser 151 may support transmission and reception of data for supporting an encrypted information-based security authentication process for accessing a secure area provided by the cloud service device 200.
  • the browser 151 may support to perform a security number input process for calling encrypted information supported by the trusted platform or when access to the security zone is requested by default.
  • the browser 151 requests a request for the operation of the encrypted information to the trusted platform when the corresponding security number matches the predetermined specific information, and receives the encrypted information from the trusted platform, thereby obtaining the cloud service device 200. ) Can be sent. Thereafter, the browser 151 may support registration or change of data, download of data, and the like through access to the general area and the security area provided by the cloud service device 200.
  • the controller 160 controls power supply to each component of the first terminal 101 to support the initialization process of each component.
  • the controller 160 may include a trusted platform 161 for controlling transmission and reception of various messages necessary for controlling read operation of encrypted information and signal transmission and reception for accessing the cloud service apparatus 200 according to an exemplary embodiment of the present invention. Can be.
  • the controller 160 may include a configuration as shown in FIG. 3.
  • FIG 3 is a view showing in more detail the configuration of the controller 160 of the present invention.
  • the controller 160 of the present invention may include a non-secure area 30, a secure area 40, and a hardware platform 35.
  • the non-security area 30 may include an operating system (OS) for operating a user function that does not require encrypted information while operating the user function of the first terminal 101.
  • the non-security area 30 may perform a control for operating a user function according to an input signal input from the input unit 120 or the display unit 140 of the touch screen function. For example, when the user generates an input signal for activating a camera function, the non-security area 30 may control a camera activation, a camera-based image acquisition function, a storage function of the collected image, and the like.
  • the non-secure area 30 may be composed of an application application layer 31, a TEE function API layer 32, a TEE client API layer 33, and a general purpose OS layer 34.
  • the security area 40 serves to provide encrypted information loaded into the controller 160 according to a call of the non-security area 30. For example, when encrypted information is required for the purchase of a music file or the payment of a fee for acquiring a use of a music file while the non-secure area 30 performs a music file playing function, the security is performed according to the call of the non-secure area 30. Area 40 may be called. In this process, the non-secure area 30 may transmit the call information for the encrypted information to the secure area 40.
  • Security zone 40 includes trusted application layer 41, TEE internal API layer 42, trusted core environment layer 43 and trusted functional layer 44, and hardware security resource layer 46 as shown. ) May be included. The trusted core environment layer 43, the trusted function layer 44, and the TEE internal API layer 42 are disposed on the TEE kernel layer 45, and the hardware security resource layer 46 is the hardware platform 35. It can be disposed on).
  • the control unit 160 of the above-described configuration when encrypted information is required while the TEE client API layer 33 is performing a specific user function through the application application layer 31, the TEE function API layer 32 calls a call to TEE Passed to client API layer 33. Then, the TEE client API layer 33 requests the provision of encrypted information necessary for operating the security function through the transmission and reception of messages with the TEE internal API layer 42. The TEE internal API layer 42 may then collect the encrypted information stored in the hardware security resource through the trusted function layer 44 and forward the collected encrypted information to the TEE client API layer 33. As a result, the non-secure area 30 calls the encrypted terminal unique identification information stored in the hardware security resource layer 46 accessible only through the trusted platform 161 mounted in the security area 40, and the cloud service device 200 can be passed.
  • the trusted function layer 44 may support to perform a predefined security number verification process to ensure the reliability of the encrypted information call, the non-security area 30 is encrypted to support the performance of this verification process. It may be supported to output the security number input screen for using the information to the display unit 140.
  • the encrypted information may be transferred to the non-secure area 30.
  • the security area 40 is temporarily delegated from the non-security area 30 to perform the verification process on the encrypted information during the cloud service device 200 access process, and the cloud service device 200 through direct control of the communication unit 110. It is also possible to control the transmission and reception of data with the device.
  • FIG. 4 is a flowchart illustrating a method of operating a first terminal 101 in a cloud service support process according to an exemplary embodiment of the present invention.
  • the controller 160 of the first terminal 101 when power is supplied, the controller 160 of the first terminal 101 performs initialization of each component of the first terminal 101 to perform a specific user function using the supplied power. Or to maintain the state in which the initialization has been performed.
  • the first terminal 101 may have a standby state according to preset schedule information as in step 401.
  • the standby state may be a state in which power is supplied to the display unit 140 and a preset standby screen is output.
  • the standby state may be replaced with a state performing a specific user function under user control. Therefore, the standby state may be understood as a terminal ready state for using the cloud service of the present invention.
  • the first terminal 101 branches to step 403 and the input signal generated in step 403 connects to the cloud service device 200. It is possible to check whether the input signal is for. In this step, if the input signal is not an input signal for accessing the cloud service device 200, the first terminal 101 may branch to step 405 to control to perform a user function according to the input signal. For example, the first terminal 101 may support to perform a function of playing and outputting a specific file, a call function, a file editing function, a file search function, etc. according to the type of the input signal.
  • the first terminal 101 branches to step 407 to check the type of authentication performed between the cloud service apparatuses 200.
  • the first terminal 101 may provide a cloud service execution icon, a widget, or a menu item to generate an input signal for accessing the cloud service device 200.
  • the first terminal 101 may support linking address information of the cloud service apparatus 200 for accessing a preset cloud service apparatus 200 to perform an operation of the corresponding cloud service.
  • the first terminal 101 provides execution icons, widgets, and menu items for accessing the respective cloud service apparatuses 200.
  • a list of the plurality of cloud service apparatuses 200 may be provided in a list form when the icon is selected.
  • Types of authentication may include general authentication and security authentication. That is, the authentication process checked in step 407 may include a general authentication process for inputting an ID and password corresponding to basic authentication information, and a security authentication process for confirming encrypted information provided from the trusted platform.
  • the first terminal 101 receives data for confirming basic authentication information from the cloud service device 200 and supports output of a screen interface for inputting basic authentication information based on this.
  • the first terminal 101 may output a screen interface for inputting an ID and password registered in advance by the first terminal 101 to the cloud service device 200 to confirm basic authentication information.
  • the first terminal 101 may receive data for confirming encrypted information from the cloud service apparatus 200 and support output of a screen interface for confirming encrypted information based on the data.
  • the first terminal 101 is a security number input screen for using encrypted information supported by the trusted platform, that is, a security number input screen for entering the security area 40 from the non-security area 30 or the security area 40. It is possible to output a security number input screen for using encrypted information within.
  • the first terminal 101 may branch to step 409 to perform cloud service support according to the general authentication. That is, the first terminal 101 may obtain the general zone access right through the general authentication confirmation from the cloud service device 200, and receive and output data about the general area from the cloud service device 200.
  • the general area may be a virtual space as a data sharing space provided to the terminals that have performed the general authentication by the cloud service device 200.
  • the first terminal 101 is supported to upload data to a general area or to select and download data arranged in the general area.
  • the general area access service according to the general authentication check may be changed according to the policy of the cloud service device 200. That is, when the cloud service device 200 is designed not to support a separate cloud service to a terminal that has performed only general authentication, the first terminal 101 receives a cloud service unavailable message from the cloud service device 200 or secures it. You can receive a message requesting authentication and output it.
  • the first terminal 101 may branch to step 411 to use a specific cloud service provided by the cloud service apparatus 200. That is, the first terminal 101 may acquire access authority to at least one of the general zone and the security zone provided by the cloud service device 200 and use the data sharing service through the corresponding zone. For example, the first terminal 101 that has performed the security authentication may download data or upload data arranged in the secure zone, move the data arranged in the secure zone to the general zone, or arrange the data in the general zone. Data can be moved to a secure area.
  • the security authentication process may be performed as a security number input process in order to transmit encrypted information provided by the trusted platform to the cloud service device 200. That is, the security authentication process from the point of view of the first terminal 101 may be a security number input process for accessing the security area 40 from the non-security area 30.
  • the cloud service apparatus 200 may compare the predefined information and check whether the information matches. To this end, the cloud service apparatus 200 may prestore information that can be compared with encrypted information of the first terminal 101.
  • the authentication process of step 407 is described as being performed in an independent form, but the present invention is not limited thereto. That is, the security authentication process may be an additional process performed after general authentication is performed. Accordingly, the first terminal 101 may support to perform the security authentication process by branching from step 409 in which the general authentication is completed to step 411.
  • the first terminal 101 After accessing the general area and performing the function or performing the security area access and the function, in operation 413, the first terminal 101 checks whether an input signal for disconnecting the cloud service device 200 or terminating the use of the cloud service is generated. If the cloud service use is maintained in this step, the first terminal 101 may support the use of the cloud service according to the authentication type performed by branching before step 403. In addition, when an input signal for separate access release or service termination occurs, the first terminal 101 may branch to step 401 and support to perform the following process again.
  • the terminal and the method for operating the cloud service based on the improved security function of the present invention support the use of encrypted information of the trusted platform 161 with high reliability in the authentication process. Even if the terminal is not equipped with the platform 161, it is possible to support the use of the appropriate level of cloud services in accordance with the service policy.
  • FIG. 5 is a diagram schematically illustrating an example of a screen interface provided in a cloud service support process of a first terminal 101 according to an exemplary embodiment of the present invention.
  • the first terminal 101 outputs an icon 51 capable of accessing the cloud service device 200 according to preset schedule information or a user's input signal while power supply is maintained.
  • the screen may be provided through the display unit 140 as in the screen 501.
  • the icon 51 may be replaced with a widget or provided as a separate menu item.
  • the first terminal 101 displays the ID for accessing the cloud service device 200 as shown on the screen 503. And a screen for performing a password input on the display unit 140.
  • the first terminal 101 collects address information of the cloud service device 200 linked to the icon 51, and activates the communication unit 110 based on this. In order to control the transmission of the message requesting access to the cloud service apparatus 200. To this end, the first terminal 101 can pre-store address information of the cloud service apparatus 200 to be connected and provide the link information to the icon 51.
  • the first terminal 101 may receive a request message for requesting basic authentication information related to general authentication from the cloud service device 200, and input an ID and password as shown on the screen 503 based on the received message.
  • Basic information input screen 510 may be configured.
  • the ID and password may be information registered by the first terminal 101 in the cloud service apparatus 200 in advance. If there is no ID and password registered in advance in the cloud service device 200, the first terminal 101 may generate and store an ID and password through a separate registration procedure provided by the cloud service device 200. In this case, the newly generated ID and password may be stored in the cloud service device 200 and used as authentication information when the first terminal 101 requests access later.
  • the first terminal 101 When the ID and password input is performed on the screen 503, the first terminal 101 provides the input ID and password to the cloud service apparatus 200. Then, if the ID and password are valid information stored in advance, the cloud service apparatus 200 may provide the first terminal 101 with a general zone access right to support the cloud service according to general authentication. In this case, the cloud service apparatus 200 may provide an access right to the general area to the first terminal 101 that has performed general authentication based on basic authentication information including an ID and a password.
  • the first terminal 101 can receive information on data included in the general zone, upload data, download data, etc. based on the general zone access authority provided by the cloud service device 200.
  • the access screen 520 may be output to the display unit 140 as in the screen 505.
  • the first terminal 101 displays a security button map 53 for acquiring a security zone access right provided by the cloud service device 200. Can be output to one side of.
  • the first terminal 101 may support to output the security number input screen 530 for using the encrypted information to the display unit 140 as shown on the screen 507.
  • the security number input screen 530 is a screen provided for performing an authentication process for requesting encrypted information to the security area 40 in the non-security area 30.
  • the user may set a security number in advance, and the first terminal 101 may support to output a security number input screen 530 for checking the preset security number when the encrypted information is requested.
  • the first terminal 101 checks the terminal unique identification information stored in the security area 40 and encrypts it to generate encrypted information. In addition, the first terminal 101 may transmit the encrypted information to the cloud service apparatus 200. In this case, the first terminal 101 may encrypt the terminal unique identification information with a public key and provide the same to the cloud service apparatus 200. Alternatively, the first terminal 101 may encrypt the terminal unique identification information using the symmetric key previously agreed with the cloud service apparatus 200, and transmit the encrypted information to the cloud service apparatus 200. In this process, the first terminal 101 may support to output a screen corresponding to performing an encrypted information based authentication process as shown in the 509 screen.
  • the first terminal 101 receives data corresponding to the secure area access screen 540 provided by the cloud service device 200, and accesses the secure area as shown on screen 511 based on the received data.
  • the screen 540 may be output to the display unit 140.
  • the first terminal 101 when the user's page setting switching request occurs, as shown in the screen 513, the integrated zone access screen including both the security zone access screen 540 and the general zone access screen 520 on one screen ( 550 may be output.
  • the first terminal 101 may support to output the 513 screen to the display unit 140 instead of the 511 screen by default.
  • the user may move specific data arranged in the area of the secure area access screen 540, for example, the security picture data 55, to the area of the general area access screen 520 by dragging or the like. Then, the first terminal 101 can compose a message about the area movement of the security picture data 55 and transmit it to the cloud service device 200.
  • the cloud service device 200 may control the change of the location of the data stored in the general area and the security area, respectively. Meanwhile, the first terminal 101 may move data in a general area to a security area according to a user's request, and may support message writing, cloud service device 200 transfer, and screen change according to movement of data.
  • the cloud service apparatus 200 supports the general zone and the security zone by separately accessing them according to the type of authentication, but the present invention is not limited thereto. That is, the cloud service device 200 may request a terminal that performs general authentication only with basic authentication information to perform security authentication without supporting other cloud services according to a service policy. In this case, the first terminal 101 of the present invention may provide only the remaining screens except for the 505 screen.
  • FIG. 6 is a block diagram illustrating in detail the configuration of the cloud service apparatus 200 according to an exemplary embodiment.
  • the cloud service apparatus 200 of the present invention may include a configuration of the device communication unit 210, the device storage unit 250, and the device control unit 260.
  • the device communication unit 210 forms a communication channel with the terminals 101, 102, and 103 requesting access to the cloud service device 200, and transmits and receives various signals necessary for supporting the cloud service through the corresponding communication channel. Configuration. For example, the device communication unit 210 may provide the terminals 101, 102, and 103 requesting access to a message for requesting basic authentication information for general authentication under the control of the device controller 260. The device communication unit 210 receives basic authentication information from the terminals 101, 102, and 103 that have requested the connection, and transmits the basic authentication information to the device control unit 260. In addition, the device communication unit 210 may receive encrypted information from a specific terminal equipped with the trusted platform 161, for example, the first terminal 101, and transmit the encrypted information to the device controller 260.
  • the device storage unit 250 may include authentication information 251 for identifying terminals 101, 102, and 103 requesting access for cloud service support.
  • the device storage unit 250 may include a general database 253 for general zone support and a security database 255 for secure zone support according to whether the cloud service device 200 supports the service policy.
  • the authentication information 251 may include basic authentication information of each of the terminals 101, 102, and 103, and may also include encrypted information of a terminal on which the trusted platform 161 is mounted. Alternatively, the unique information may include unique key information used as terminal unique identification information among the encrypted information.
  • the device storage unit 250 may include various encryption algorithms such as an encryption algorithm, for example, a public key algorithm and a symmetric key algorithm, to decrypt the encrypted information.
  • the general database 253 is a storage area that terminals without the trusted platform 161 or terminals equipped with the trusted platform 161 can access by performing general authentication based on basic authentication information. Accordingly, the general database 253 supports access to terminals 101, 102, and 103 that have performed only general authentication, and may upload new data or download uploaded data through access.
  • the security database 255 is a storage area accessible only to the terminal on which the trusted platform 161 is mounted. To this end, the security database 255 may be configured in a form independent of the general database 253, and upload or download data to a terminal that performs security authentication or general authentication and security authentication based on encrypted information. Can support
  • the cloud service device 200 may operate only the security database 255 without operating the general database 253.
  • only the terminal equipped with the trusted platform 161 among the terminals 101, 102, and 103 may use a cloud service provided by the cloud service apparatus 200 based on the security database 255.
  • the device controller 260 may control various signal flows required for operating the cloud service device 200, and in particular, may control cloud service support according to an authentication check of the present invention.
  • the device controller 260 receives basic authentication information from a terminal requesting access according to a service policy of the cloud service device 200 to perform general authentication, and further receives encrypted information from the corresponding terminal to perform security authentication. Can be done.
  • the device controller 260 may grant a database access right for performing cloud service to a terminal on which general authentication and security authentication are completed.
  • the device controller 260 may control the terminal 101, 102, 103 to perform general authentication according to the cloud service policy to provide a right to access the general database 253.
  • the device controller 260 may control to provide the terminal that has performed the security authentication with the authority to access the security database 255.
  • the device controller 260 may provide a terminal that has performed security authentication to access both the general database 253 and the security database 255, and further, the general database 253 and the security database 255. It may also provide authority for the exchange of data between the two).
  • FIG. 7 is a view for explaining a method of operating the cloud service device 200 according to an embodiment of the present invention.
  • the cloud service device 200 may maintain a standby state for using cloud services of the terminals 101, 102, and 103 in step 701. To this end, the cloud service device 200 may activate the operating system using the supplied power and have a standby state to which the terminals 101, 102, 103 can be connected through a network system connection.
  • the cloud service apparatus 200 checks whether there is a connection of a specific terminal in step 703. In this step, if there is no message reception corresponding to a separate terminal connection, the cloud service apparatus 200 may branch to step 701 and may support to perform the following process again. Substantially, the cloud service apparatus 200 may perform the following process while receiving a connection request message between terminals while maintaining a standby state.
  • the cloud service device 200 may check the authentication type of the terminal requesting the connection in step 705. In this case, the cloud service device 200 branches to step 707 when the terminal requesting access performs only general authentication, that is, based on basic authentication information including a pre-registered ID and password. You can control to support the service. In other words, the cloud service device 200 may provide a general zone access authority so that a terminal performing general authentication may perform a general zone access implemented through the general database 253.
  • the cloud service device 200 When the type of authentication performed by the terminal requesting access in step 705 is security authentication or when both general authentication and security authentication are performed, the cloud service device 200 is implemented based on the security database 255 for the terminal. It can provide access to secure areas. In this case, the cloud service device 200 may provide access rights to both the general zone and the secure zone to the terminal that has performed the security authentication.
  • the cloud service apparatus 200 may determine whether the connected terminal is disconnected in step 711, and if there is no message for separate access release, branch to the step 705 and support to perform the following process again.
  • the terminal equipped with the trusted platform 161 may be supported to acquire only the access to the general area and additionally perform the security authentication by using the cloud service based on the general area.
  • the cloud service device 200 may branch to step 701 to support to perform the following process again.
  • FIG. 8 is a diagram illustrating a signal flow between the first terminal 101 equipped with the trusted platform 161 and the cloud service apparatus 200 for explaining a method of operating a cloud service system according to an exemplary embodiment of the present invention. .
  • the non-secure area 30 of the first terminal 101 may perform a process for accessing the cloud service device 200.
  • the non-security area 30 may control to transmit an access request message to the cloud service device 200, and for this purpose, collect the address information of the cloud service device 200.
  • the non-secure area 30 may receive a basic authentication information request including an ID and a password from the cloud service device 200 in response to the access request message transmission.
  • the non-security area 30 may output a screen on which the ID and password can be input to the display unit 140 as in the screen interface described above.
  • the user may input ID and password using the input unit 120 or the like.
  • the non-secure area 30 may create a message including the input ID and password, and transmit the message to the cloud service apparatus 200.
  • the non-security area 30 may transmit a request for using the encrypted information to the security area 40 in step 803.
  • the secure area 40 may request the non-secure area 30 to input a security number as in step 805.
  • the non-secure area 30 may configure a screen interface for inputting a security number, and a user may input a security number through the corresponding screen interface.
  • the non-security area 30 transmits the security number to the security area 40 in step 807.
  • the security zone 40 checks whether the previously stored security number matches the currently entered security number, encrypts a unique key corresponding to the terminal unique identification information in step 809, and encrypts the encrypted information to the non-security zone 30. I can deliver it.
  • the non-secure area 30 that receives the encrypted information from the security area 40 may transmit the encrypted information to the cloud service device 200 in step 811.
  • the cloud service apparatus 200 confirms whether the encrypted information matches the pre-stored information. If the information matches afterwards, the cloud service apparatus 200 may support the cloud service to the terminal requesting access in step 815. Accordingly, the first terminal 101 may download or search data through the cloud service device 200, or edit or delete uploaded and uploaded data.
  • the cloud service supporting method performs general authentication based on basic authentication information including an ID and a password, which the terminal pre-registers in the cloud service apparatus 200, and further includes a trusted platform. It supports to perform security authentication based on base encrypted information. Accordingly, the cloud service supporting method of the present invention can improve security functions for uploading and downloading data used through the cloud service. In addition, the present invention can support the operation of the characteristics of the data to be shared through the cloud service by distinguishing the access area by grade of the general authentication and security authentication. In other words, the cloud service system and the support method of the present invention support different data access functions by appropriately setting the database area accessible according to the level of each authentication.
  • the above-described first terminal 101 may further include various additional modules according to the provision form thereof. That is, when the first terminal 101 is a communication terminal, a short-range communication module for short-range communication, an interface for data transmission and reception by a wired or wireless communication method of the first terminal 101, and an internet network to communicate with the Internet. It may further include components not mentioned above, such as an internet communication module performing a function and a digital broadcasting module performing a digital broadcast receiving and reproducing function. These components can not be enumerated because all of them vary according to the convergence trend of digital devices, but the components equivalent to those mentioned above may be further included in the device. have. In addition, the first terminal 101 of the present invention may be excluded from the above configuration or replaced with another configuration, depending on the form of the present invention. This will be readily understood by those of ordinary skill in the art.
  • the first terminal 101 may include any type of device equipped with a trusted platform in the control unit.
  • the first terminal 101 includes a portable multimedia player (PMP), including all mobile communication terminals operating based on communication protocols corresponding to various communication systems. All information and communication devices such as digital broadcasting players, PDAs (Personal Digital Assistants), music players (eg MP3 players), mobile game terminals, smart phones, notebooks and handheld PCs, It may include an application for.
  • PMP portable multimedia player
  • All information and communication devices such as digital broadcasting players, PDAs (Personal Digital Assistants), music players (eg MP3 players), mobile game terminals, smart phones, notebooks and handheld PCs, It may include an application for.
  • the present invention is applied to the field of cloud service interoperating with a mobile terminal, and can provide an improved security function.
  • information leakage It can be used industrially because it can help to strengthen the information sharing function between users while preventing it.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Telephonic Communication Services (AREA)
  • Storage Device Security (AREA)
  • Telephone Function (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

본 발명은 클라우드 서비스 지원에 관한 것으로, 특히 트러스티드 플랫폼이 장착된 경우 상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전 등록한 아이디와 패스워드 정보 기반의 일반 인증을 수행하고 상기 보안 인증 및 일반 인증에 따른 클라우드 서비스를 지원받는 단말기, 상기 트러스티드 플랫폼이 장착된 단말기와 상기 일반 인증 및 보안 인증을 완료 후, 상기 단말기에 기 설정된 클라우드 서비스를 제공하는 클라우드 서비스 장치를 포함하는 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 시스템을 구성하는 서비스 장치와 단말기 및 이를 지원하는 방법에 대한 구성을 개시한다.

Description

개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법
본 발명은 클라우드 서비스 지원에 관한 것으로, 특히 보다 개선된 보안 기능을 기반으로 안전하고 편리하게 클라우드 서비스를 이용할 수 있도록 하는 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법에 관한 것이다.
통신 단말기는 휴대가 가능한 형태로 제작되면서 그 이용의 편리성과 휴대의 용이성 등으로 인하여 매우 폭넓은 분야에서 이용되고 있다. 이러한 통신 단말기는 최근 들어 다양한 사용자 기능을 탑재한 스마트 폰의 형태로 발전하면서 편리성과 오락성을 제공하고 있다.
한편 스마트 폰의 보급과 함께 사용자들은 다수의 단말기를 보유하게 되었고, 이에 따라 각 단말기들에 저장된 데이터의 공유에 관심을 가지게 되었다. 또한 스마트 폰의 폭 넓은 보급은 사용자들 간의 데이터 공유에 대한 관심을 증진시키는 효과를 낳고 있다. 이러한 데이터 공유에 대한 서비스 지원을 위해서 최근 들어서는 클라우드 서비스가 다시금 주목 받고 있다.
한편 종래 클라우드 서비스는 단말기의 접근을 위하여 사전 등록된 ID와 Password를 기반으로 하는 인증 과정을 수행한다. 그런데 이 아이디와 패스워드는 다양한 경로를 통하여 쉽게 노출될 수 있기 때문에 클라우드 서비스의 보안에 대한 우려가 높아지고 있는 추세이다. 특히 클라우드 서비스를 이용하여 개인적인 정보를 저장하는 사례가 늘어나고 있는 추세에서 개인 정보의 유출 등의 문제가 심각해져 가고 있다. 이에 따라 개인 정보의 유출 문제에 대한 우려 없이 서비스 사용자가 원하는 데이터를 적절하게 공유할 수 있도록 지원하는 보다 안정적인 클라우드 서비스 지원을 위한 방안 모색이 요구되고 있다.
따라서 본 발명은 뛰어난 보안 기능을 기반으로 인증된 사용자만이 클라우드 서비스를 이용할 수 있도록 지원하는 개선된 보안성 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법을 제공함에 있다.
또한 본 발명은 인증 등급에 따라 정보 보안을 등급별로 수행함으로써 보다 다양한 형태의 클라우드 서비스 이용이 가능하도록 지원할 수 있는 개선된 보안성 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법을 제공함에 있다.
상기 목적을 달성하기 위한 본 발명은 트러스티드 플랫폼이 장착된 경우 상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전 등록한 아이디와 패스워드 정보 기반의 일반 인증을 수행하고 상기 보안 인증 및 일반 인증에 따른 클라우드 서비스를 지원받는 단말기, 상기 트러스티드 플랫폼이 장착된 단말기와 상기 일반 인증 및 보안 인증을 완료 후, 상기 단말기에 기 설정된 클라우드 서비스를 제공하는 클라우드 서비스 장치를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 시스템의 구성을 개시한다.
본 발명은 또한, 트러스티드 플랫폼이 장착된 단말기 접속을 위한 통신 채널을 형성하는 장치 통신부, 상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전 등록한 아이디와 패스워드 정보 기반의 일반 인증 중 적어도 하나를 수행하고 상기 보안 인증과 일반 인증에 따른 클라우드 서비스를 지원하는 장치 제어부, 상기 클라우드 서비스 지원을 위한 데이터베이스를 저장하는 장치 저장부를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 장치의 구성을 개시한다.
여기서 상기 장치 저장부는 상기 보안 인증 완료에 따라 접근할 수 있는 보안 구역을 구현하는 보안 데이터베이스, 상기 일반 인증 완료에 따라 접근할 수 있는 일반 구역을 구현하는 일반 데이터베이스, 상기 접속 요청하는 단말기의 인증 확인을 위한 인증 정보를 저장할 수 있다.
그리고 상기 장치 제어부는 상기 일반 인증 수행을 완료한 단말기에게 상기 일반 구역 접근 권한을 할당하거나, 상기 보안 인증 수행을 완료한 단말기에게 상기 보안 구역 접근 권한 또는 상기 보안 구역 및 상기 일반 구역 접근 권한을 할당하거나, 상기 일반 인증 및 보안 인증을 완료한 단말기에게 상기 보안 구역 접근 권한 또는 상기 보안 구역 및 상기 일반 구역 접근 권한을 할당할 수 있다.
또한 상기 장치 제어부는 상기 트러스티드 플랫폼이 장착되지 않은 단말기가 상기 일반 인증을 수행한 경우 상기 일반 구역 접근 권한을 할당하도록 제어할 수 있다.
본 발명은 또한, 클라우드 서비스 장치 접속을 위한 통신 채널을 형성하는 통신부, 트러스티드 플랫폼 기반의 암호화된 정보를 제공하는 보안 영역과 상기 보안 영역과 통신하여 보안 기능 기반의 사용자 기능 지원을 수행하는 비보안 영역을 포함하며, 상기 클라우드 서비스 장치 접속 시 사전 등록한 아이디와 패스워드를 포함하는 기본 인증 정보 기반의 일반 인증 및 상기 암호화된 정보 기반의 보안 인증 중 적어도 하나의 수행을 제어하여 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스 운용을 지원하는 제어부를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기의 구성을 개시한다.
여기서 상기 단말기는 상기 암호화된 정보 이용을 위하여 상기 비보안 영역에서 보안 영역으로 진입하기 위해 사전 설정된 보안 번호 입력을 위한 입력부를 더 포함하고, 상기 보안 영역은 상기 보안 번호 인증 완료 후 상기 암호화된 정보 이용 요청에 따라 상기 트러스티드 플랫폼에 할당된 고유 키를 암호화하여 암호화된 정보를 생성하고, 상기 암호화된 정보를 상기 비보안 영역에 전달할 수 있다.
또한 상기 단말기는 상기 일반 인증 및 상기 보안 인증 중 적어도 하나의 수행에 따라 제공되는 클라우드 서비스 화면을 표시하는 표시부를 더 포함하고, 상기 표시부는 상기 일반 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 접근 화면, 상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 보안 구역 접근 화면, 상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 및 보안 구역이 통합된 통합 구역 접근 화면 중 적어도 하나의 화면을 표시할 수 있다.
한편, 상기 제어부는 입력 신호 발생에 따라 상기 보안 구역에 표시된 데이터를 상기 일반 구역으로 이동시키거나, 상기 일반 구역에 표시된 데이터를 상기 보안 구역으로 이동시키도록 제어할 수 있으며, 상기 일반 구역 접근 화면은 상기 일반 인증이 완료된 상태에서 상기 보안 인증 수행을 요청하기 위해 화면 일측에 출력되는 보안키 맵을 포함할 수 있다.
본 발명은 또한, 단말기가 클라우드 서비스 장치 접속을 요청하는 단계, 상기 단말기가 상기 클라우드 서비스 장치 접속을 위해 사전 등록한 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행하는 단계, 상기 일반 인증 수행 후 상기 단말기의 트러스티드 플랫폼 기반의 암호화된 정보를 기반으로 보안 인증을 수행하는 단계, 상기 일반 인증 및 상기 보안 인증 수행 결과에 따라 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스를 운용하는 단계를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 지원 방법의 구성을 개시한다.
상기 방법은 상기 보안 인증 수행을 위해 사전 정의된 보안 번호 입력을 수행하는 단계를 더 포함할 수 있으며, 상기 운용 단계는 상기 클라우드 서비스 장치가 상기 일반 인증을 수행한 단말기에게 일반 데이터베이스 기반의 일반 구역 접근 권한을 할당하는 단계, 상기 클라우드 서비스 장치가 상기 보안 인증을 수행한 단말기에게 보안 데이터베이스 기반의 보안 구역 접근 권한을 할당하는 단계, 상기 클라우드 서비스 장치가 상기 일반 인증 및 보안 인증을 모두 수행한 단말기에게 일반 데이터베이스 기반의 일반 구역 접근 권한 및 보안 데이터베이스 기반의 보안 구역 접근 권한을 할당하는 단계 중 적어도 하나의 단계를 포함할 수 있다.
또한 상기 방법은 상기 단말기가 상기 일반 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 접근 화면을 표시하는 단계, 상기 일반 구역 접근 화면 일측에 상기 보안 인증 수행을 요청하는 보안키 맵을 표시하는 단계, 상기 단말기가 상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 보안 구역 접근 화면 및 일반 구역 접근 화면 중 적어도 하나를 표시하는 단계 중 적어도 하나의 단계를 더 포함할 수 있다.
또한, 본 발명은 컴퓨터에 의해 실행되어, 클라우드 서비스 장치 접속을 요청하는 단계; 상기 클라우드 서비스 장치 접속을 위해 사전 등록한 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행하는 단계; 상기 일반 인증 수행 후 트러스티드 플랫폼 기반의 암호화된 정보를 기반으로 보안 인증을 수행하는 단계; 상기 일반 인증 및 상기 보안 인증 수행 결과에 따라 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스를 운용하는 단계를 수행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체를 제공할 수 있다.
이상에서 살펴본 바와 같이 본 발명에 따른 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법에 따르면, 본 발명은 다수개의 단말기가 이용 가능한 클라우드 서비스의 보안성을 개선하여, 정보 유출을 방지하면서도 사용자들 간의 정보 공유 기능은 강화할 수 있도록 지원할 수 있다.
도 1은 본 발명의 실시 예에 따른 클라우드 서비스 시스템의 구성을 개략적으로 나타낸 블록도이다.
도 2는 본 발명의 실시 예에 따른 단말기의 구성을 보다 상세히 나타낸 블록도이다.
도 3은 본 발명의 실시 예에 따른 단말기에 구비된 제어부의 구성을 보다 상세히 나타낸 블록도이다.
도 4는 본 발명의 실시 예에 따른 클라우드 서비스 지원을 위한 단말기 운용을 설명하기 위한 순서도이다.
도 5는 본 발명의 클라우드 서비스 지원에서 제공되는 단말기의 화면 인터페이스 일예를 예시적으로 나타낸 도면이다.
도 6은 본 발명의 클라우드 서비스 장치 구성을 보다 상세히 나타낸 도면이다.
도 7은 본 발명의 클라우드 서비스 장치 운용 방법을 설명하기 위한 순서도이다.
도 8은 본 발명의 실시 예에 따른 클라우드 서비스 시스템 운용 방법을 설명하기 위한 신호 흐름도이다.
이하, 본 발명의 실시 예를 첨부된 도면에 의거하여 상세히 설명한다.
실시 예를 설명함에 있어서 본 발명이 속하는 기술분야에 익히 알려져 있고 본 발명과 직접적으로 관련이 없는 기술 내용에 대해서는 설명을 생략한다. 또한, 실질적으로 동일한 구성과 기능을 가진 구성 요소들에 대해서는 상세한 설명을 생략하도록 한다.
마찬가지의 이유로 첨부 도면에 있어서 일부 구성요소는 과장되거나 생략되거나 또는 개략적으로 도시되었으며, 각 구성요소의 크기는 실제 크기를 전적으로 반영하는 것이 아니다. 따라서 본 발명은 첨부한 도면에 그려진 상대적인 크기나 간격에 의해 제한되어지지 않는다.
도 1은 본 발명의 실시 예에 따른 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 클라우드 서비스 시스템(10)의 구성을 개략적으로 나타낸 도면이다.
도 1을 참조하면, 본 발명의 클라우드 서비스 시스템(10)은 클라우드 서비스를 지원하는 클라우드 서비스 장치(200)와, 클라우드 서비스 장치(200)에 접속하여 클라우드 서비스를 이용하는 적어도 하나의 단말기(101, 102, 103)를 포함하여 구성될 수 있다.
이와 같은 구성의 클라우드 서비스 시스템(10)은 적어도 하나의 단말기들(101, 102, 103)의 클라우드 서비스 이용을 위한 접속을 허용하되 사전 정의된 인증 정보 확인을 통하여 인증된 단말기들만의 접속을 허용한다. 특히 본 발명의 클라우드 서비스 시스템(10)은 트러스티드 플랫폼(Trusted Platform)을 보유한 단말기들의 클라우드 서비스 장치(200) 접속만을 허용하거나 트러스티드 플랫폼을 보유한 단말기와 보유하지 않은 단말기들의 클라우드 서비스 장치(200)에서의 접속 가능 정보 구역을 서로 다르게 적용하도록 지원할 수 있다.
이를 위하여 클라우드 서비스 장치(200)는 특정 단말기들(101, 102, 103)의 접속 요청이 발생하면 해당 단말기들(101, 102, 103)의 접속 허용을 위하여 사전 정의된 아이디 및 패스워드를 포함하는 기본 인증 정보 확인을 수행한다. 그리고 클라우드 서비스 장치(200)는 적어도 하나의 단말기가 트러스티드 플랫폼 기반으로 제공하는 암호화된 정보를 제공하는 추가적으로 확인하고, 암호화된 정보가 사전 등록된 정보와 일치하는 경우 해당 암호화된 정보를 제공한 단말기의 클라우드 서비스 이용을 허용하도록 지원할 수 있다. 이때 클라우드 서비스 장치(200)는 기본 인증 정보 기반의 일반 인증 및 암호화된 정보 기반의 보안 인증을 각각 구분하고, 일반 인증 과정을 수행한 단말기와 보안 인증 과정까지 수행한 단말기가 접근할 수 있는 데이터베이스 접근 영역을 다르게 설정하여 각각 구분된 서비스를 이용하도록 지원할 수 있다.
예를 들어 클라우드 서비스 장치(200)는 기본 인증 정보 기반의 일반 인증 과정 및 암호화된 정보 기반의 보안 인증 과정까지 수행한 제1 단말기(101)는 일반 구역 및 보안 구역을 모두 접근할 수 있도록 지원할 수 있다. 그리고 클라우드 서비스 장치(200)는 일반 인증 과정만을 수행한 제2 단말기(102) 및 제3 단말기(103)는 일반 구역만을 접근할 수 있도록 지원할 수 있다. 이에 따라 본 발명의 클라우드 서비스 장치(200)는 단말기들(101, 102, 103)의 보안 지원 형태에 따라 클라우드 서비스의 이용 등급을 다르게 함으로써 신뢰성이 높은 보안 기능을 수행할 수 있는 단말기에게는 보다 뛰어난 보안을 기반으로 정보의 저장과 공유를 다양한 형태로 운용할 수 있도록 지원할 수 있다.
상기 적어도 하나의 단말기들(101, 102, 103)은 앞서 언급한 신뢰성이 뛰어난 트러스티드 플랫폼을 장착한 제1 단말기(101)와, 트러스티드 플랫폼을 장착하지 않은 일반 단말기 즉 제2 단말기(102) 및 제3 단말기(103)를 포함할 수 있다. 실질적으로 제1 단말기(101)는 트러스티드 플랫폼 장착 부분을 통하여 보안에 대한 신뢰성 높은 사용자 기능을 지원할 수 있는 구성을 제외하고 제2 단말기(102) 및 제3 단말기(103)와 물리적으로 그리고 소프트웨어적으로 동일하게 구성될 수 있다. 한편 제1 단말기(101)는 내부적으로 상호 독립된 형태로 구성된 보안 영역과 비보안 영역을 포함하여 구성되고, 보안 영역과 비보안 영역이 특정 인터페이스를 통하여 상호 데이터를 송수신하도록 설계될 수 있다. 이에 따라 제1 단말기(101)는 보안 영역에 저장된 단말 고유 식별 정보를 이용하여 특정 보안 사용자 기능 운용을 지원한다. 특히 제1 단말기(101)는 클라우드 서비스 장치(200) 접속을 위하여 단말 고유 식별 정보를 암호화하고, 암호화된 정보를 이용하도록 지원할 수 있다. 이러한 제1 단말기(101)의 구성과 각 구성들의 역할에 대해서 도 2 및 도 3을 참조하여 보다 상세히 설명하기로 한다.
한편 제2 단말기(102) 및 제3 단말기(103)는 트러스티드 플랫폼이 장착되지 않은 일반 단말기가 될 수 있다. 이러한 제2 단말기(102) 및 제3 단말기(103)는 무선통신모듈을 통하여 클라우드 서비스 장치(200)에 접속을 수행하고, 클라우드 서비스 장치(200)의 요청에 따라 사전 등록한 기본 인증 정보 기반의 일반 인증 과정을 수행할 수 있다. 예를 들어, 제2 단말기(102) 및 제3 단말기(103)는 사용자 제어에 따라 입력된 사전 등록한 아이디 정보 및 패스워드 정보를 포함하는 기본 인증 정보를 클라우드 서비스 장치(200)에 전송할 수 있다.
한편 제2 단말기(102) 및 제3 단말기(103)는 클라우드 서비스 장치(200) 정책에 따라 추가적인 암호화된 정보 확인 요청을 수신할 수 있으며, 이때 별도의 정보 전송이 불가능함을 자동으로 클라우드 서비스 장치(200)에 전송할 수 있다. 그리고 제2 단말기(102) 및 제3 단말기(103)는 클라우드 서비스 장치(200)의 설계 정책에 따라 사전 정의된 일반 구역에 대한 접근 허가를 획득하고, 해당 일반 구역에 대한 접근만을 수행할 수 있다. 이때 제2 단말기(102) 및 제3 단말기(103)는 일반 구역을 통하여 특정 이미지 정보나 오디오 정보, 텍스트 정보 등의 편집이나 삭제, 업로드 등의 기능을 수행할 수 있으며, 일반 구역에 등재된 이미지 정보, 오디오 정보 및 텍스트 정보 중 적어도 하나를 다운로드하여 저장 또는 재생할 수 있다.
상술한 바와 같이 본 발명의 실시 예에 따른 클라우드 서비스 시스템(10)은 단말기들(101, 102, 103)의 트러스티드 플랫폼 장착 여부 또는 단말 고유 식별 정보 및 이를 암호화한 정보 제공 여부에 따라 이용할 수 있는 클라우드 서비스의 형태를 제한받거나 또는 전체 클라우드 서비스를 이용할 수 있도록 지원한다. 이에 따라 본 발명의 클라우드 서비스 시스템(10)은 단말기들(101, 102, 103) 간의 신뢰도 여부에 따라 보다 개선된 클라우드 서비스 접속을 지원할 수 있을 뿐만 아니라, 접근 가능 구역 구분을 통하여 정보 저장과 정보 공유 기능을 사용자가 원하는 형태로 운용할 수 있도록 지원할 수 있다.
도 2는 본 발명의 실시 예에 따른 트러스티드 플랫폼이 장착된 제1 단말기(101)의 구성을 보다 상세히 나타낸 블록도이다.
도 2를 참조하면, 본 발명의 제1 단말기(101)는 통신부(110), 입력부(120), 오디오 처리부(130), 표시부(140), 저장부(150) 및 제어부(160)의 구성을 포함할 수 있으며, 제어부(160) 구성에 트러스티드 플랫폼(161)이 물리적으로 마련된 형태로 구성될 수 있다.
이러한 본 발명의 제1 단말기(101)는 클라우드 서비스 이용을 위하여 클라우드 서비스 장치(200)에 접속하는 과정에서 1차적으로 기본 인증 정보 기반의 일반 인증 과정을 수행하고, 이후 추가적으로 장착된 트러스티드 플랫폼(161)이 지원하는 암호화된 정보를 기반으로 보안 인증 과정을 수행하도록 지원한다. 이를 통하여 제1 단말기(101)는 보다 신뢰도 높은 보안 접속을 지원할 수 있다. 여기서 제1 단말기(101)는 제공하는 인증 정보 확인 단계를 사용자 선택에 따라 운용함으로써 클라우드 서비스 장치(200)가 제공하는 등급별 구역 접근을 선택적으로 이용할 수 있도록 지원한다.
이를 위하여 통신부(110)는 클라우드 서비스 장치(200) 접속을 위한 통신 채널 형성을 지원할 수 있다. 실질적으로 클라우드 서비스 장치(200)와 단말기들(101, 102, 103) 사이에는 클라우드 서비스 지원을 위하여 네트워크 시스템이 마련될 수 있다. 이 네트워크 시스템은 단말기들(101, 102, 103)과 클라우드 서비스 장치(200) 간의 통신 채널 형성을 위한 구성으로서, 제1 단말기(101)의 통신부(110)가 이동통신 모듈의 형태로 마련되는 경우 이를 지원하기 위한 구성으로 마련될 수 있다. 한편 통신부(110)는 무선뿐만 아니라 유선 통신 방식을 지원하기 위한 통신 모듈로 구성될 수도 있으며, 이에 따라 네트워크 시스템 또한 해당 통신 방식을 지원하기 위한 통신 네트워크 장치들로 구성될 수 있다. 예를 들어 통신부(110)는 CDMA, GSM 등의 통신 방식을 지원하는 통신 모듈뿐만 아니라, WCDMA, OFDMA 방식 등 2G, 3G, 4G 등 다양한 통신 방식을 지원하는 통신 모듈 중 적어도 하나로 구성될 수 있다.
이러한 통신부(110)는 사용자 요청에 따라 단말 고유 식별 정보를 암호화한 암호화된 정보를 특정 서비스 장치 이용을 위해 전송할 수 있다. 즉 통신부(110)는 암호화된 정보가 사용되는 금융권 서버 장치, 암호화된 정보를 인증 정보로서 요구하는 서버 장치 등과의 채널 형성을 지원할 수 있다. 특히 통신부(110)는 암호화된 정보를 기반으로 클라우드 서비스 장치(200) 접속을 위한 채널 형성을 지원할 수 있다. 채널 형성 과정에서 통신부(110)는 제어부(160) 제어에 따라 암호화된 정보를 해당 서버 장치에 전송할 수 있다. 추가로 통신부(110)는 암호화된 정보 또는 단말 고유 식별 정보를 클라우드 서비스 장치(200)에 등록하기 위한 과정을 수행할 수 있으며, 이때 클라우드 서비스 장치(200)가 발행한 공개키를 이용하여 단말 고유 식별 정보 암호화하고, 암호화된 정보를 클라우드 서비스 장치(200)에 제공할 수 있다.
입력부(120)는 키버튼 등으로 형성될 수 있으며, 제1 단말기(101)가 풀 터치스크린으로 제작되는 경우 사이드 키나 별도의 핫 키 등으로 구성될 수 있으며, 또한 제1 단말기(101)의 터치스크린에 표시되는 키 맵을 포함할 수 있다. 이러한 입력부(120)는 숫자 또는 문자 정보를 입력받고 각종 기능들을 설정하기 위한 다수의 입력키 및 기능키들을 포함할 수 있다. 특히 입력부(120)는 클라우드 서비스 장치(200) 접속을 위한 다양한 입력 신호를 사용자 제어에 따라 생성할 수 있다.
예를 들어 입력부(120)는 클라우드 서비스 장치(200)의 주소 정보 입력 및 접속을 요청하는 입력 신호, 클라우드 서비스 장치(200) 요청에 따른 아이디 및 패스워드 입력 신호를 사용자 입력에 따라 생성할 수 있다. 또한 입력부(120)는 제어부(160) 요청에 따라 트러스티드 플랫폼 기반의 암호화된 정보 이용을 위한 보안 번호 입력 신호, 암호화된 정보를 클라우드 서비스 장치(200) 인증함에 따라 클라우드 서비스 장치(200)가 제공하는 클라우드 서비스를 이용하기 위한 입력 신호 등을 생성할 수 있다. 생성된 입력 신호는 제어부(160)에 전달되어 해당 기능 수행을 위한 명령어로 동작할 수 있다.
오디오 처리부(130)는 제1 단말기(101) 운용 과정에서 발생하는 다양한 오디오 데이터를 출력하기 위한 스피커(SPK)와 오디오 데이터 수집을 위한 마이크(MIC)를 포함할 수 있다. 특히 본 발명의 오디오 처리부(130)는 클라우드 서비스 장치(200) 접속과 관련된 다양한 오디오 데이터 출력을 지원할 수 있다. 예를 들어 오디오 처리부(130)는 클라우드 서비스 장치(200)의 기본 인증 정보 확인 과정 수행을 위한 안내음이나 효과음 출력, 클라우드 서비스 장치(200)와의 암호화된 정보 확인 과정 수행을 위한 안내음이나 효과음 출력을 지원할 수 있다. 상술한 알람 및 안내음 출력은 사용자 설정 등에 따라 생략될 수 있다.
표시부(140)는 제1 단말기(101)의 각종 메뉴를 비롯하여 사용자가 입력한 정보 또는 사용자에게 제공하는 정보를 표시한다. 즉 표시부(140)는 제1 단말기(101) 이용에 따른 다양한 화면 예를 들면, 대기화면, 메뉴 화면, 메시지 작성 화면, 통화 화면, 단말기 종료 화면, 단말기 부팅 화면 등을 제공할 수 있다. 이러한 표시부(140)는 액정 표시 장치(Liquid Crystal Display), OLED(Organic Light Emitted Diode) 등의 평판 표시 패널의 형태로 형성될 수 있다. 표시부(140)는 제조 형태에 따라 표시 패널과 터치 패널을 포함하는 구조로 제작될 수 있다.
특히 본 발명의 표시부(140)는 클라우드 서비스 장치(200) 접속을 위한 화면 인터페이스를 제공할 수 있다. 예를 들어, 표시부(140)는 클라우드 서비스 장치(200) 접속 과정에서 일반 인증 과정 수행을 위한 아이디 및 패스워드 입력을 지원하는 화면 인터페이스, 일반 인증 과정 완료 시 클라우드 서비스 장치(200)가 제공하는 일반 구역 접근 및 기능 수행을 나타내는 화면 인터페이스를 제공할 수 있다. 추가로 표시부(140)는 트러스티드 플랫폼 기반의 암호화된 정보 확인 과정 수행을 위한 화면 인터페이스, 암호화된 정보 확인 과정 완료 시 클라우드 서비스 장치(200)가 제공하는 일반 구역 및 보안 구역 접근 및 기능 수행을 나타내는 화면 인터페이스를 제공할 수 있다. 또한 표시부(140)는 상술한 일반 인증을 위해 요구되는 기본 인증 정보 설정을 위해 클라우드 서비스 장치(200)가 제공하는 설정 화면 인터페이스, 암호화된 정보 등록을 위한 설정 화면 인터페이스를 출력할 수 있다.
저장부(150)는 본 발명의 실시 예에 따른 기능 동작에 필요한 응용 프로그램을 비롯하여, 표시부(140)에 출력될 화면 이미지 등을 저장한다. 그리고 저장부(150)는 표시부(140)가 터치스크린으로 구성되는 경우 터치스크린 운용을 위한 키 맵이나 메뉴 맵 등을 저장할 수 있다. 여기서 키 맵, 메뉴 맵은 각각 다양한 형태가 될 수 있다. 즉, 키맵은 키보드 맵이나, 3*4 키 맵, 쿼티 키 맵 등이 될 수 있고, 현재 활성화되고 있는 응용 프로그램의 운용 제어를 위한 제어키 맵이 될 수 도 있다. 또한, 메뉴 맵은 현재 활성화되고 있는 응용 프로그램 운용 제어를 위한 메뉴 맵이 될 수 도 있다. 이러한 저장부(150)는 제1 단말기(101)의 부팅 및 상술한 각 구성의 운용을 위한 운영체제(OS, Operating System), 다양한 사용자 기능 예를 들면, 제1 단말기(101)의 통화기능 지원을 위한 사용자 기능, 기타 음원을 재생하기 위한 MP3 사용자 기능, 사진 등을 재생하기 위한 이미지 출력 기능, 동영상 재생 기능 등을 각각 지원하기 위한 응용 프로그램 등을 저장할 수 있다.
특히, 본 발명의 저장부(150)는 클라우드 서비스 장치(200) 접속을 위한 브라우저(151)를 저장할 수 있다. 제1 단말기(101)는 브라우저(151) 활성화를 위한 아이콘이나 메뉴 항목을 제공할 수 있으며, 해당 항목 선택 시 브라우저(151)는 제어부(160)에 로드되어 클라우드 서비스 장치(200) 접속을 위한 기능 수행을 지원한다. 특히 브라우저(151)는 클라우드 서비스 장치(200)가 제공하는 일반 구역 접근을 위한 일반 인증 과정을 지원하기 위한 데이터의 송수신을 지원할 수 있다. 또한 브라우저(151)는 클라우드 서비스 장치(200)가 제공하는 보안 구역 접근을 위한 암호화된 정보 기반의 보안 인증 과정을 지원하기 위한 데이터의 송수신을 지원할 수 있다.
이 과정에서 브라우저(151)는 보안 구역 접근이 요청되는 경우 또는 디폴트로 트러스티드 플랫폼이 지원하는 암호화된 정보 호출을 위한 보안 번호 입력 과정을 수행하도록 지원할 수 있다. 그리고 브라우저(151)는 해당 보안 번호가 사전 정의된 특정 정보와 일치하는 경우 암호화된 정보 운용을 위한 요청을 트러스티드 플랫폼에 요청하고, 트러스티드 플랫폼으로부터 암호화된 정보를 전달 받아 이를 클라우드 서비스 장치(200)에 전송하도록 지원할 수 있다. 이후 브라우저(151)는 클라우드 서비스 장치(200)가 제공하는 일반 구역 및 보안 구역 접근을 통하여 데이터의 등록이나 변경, 데이터의 다운로드 등을 지원할 수 있다.
제어부(160)는 제1 단말기(101)의 각 구성에 전원 공급을 제어하여 각 구성의 초기화 과정을 수행하도록 지원한다. 그리고 제어부(160)는 본 발명의 실시 예에 따른 암호화된 정보의 읽기 동작 제어에 필요한 다양한 메시지 송수신 및 클라우드 서비스 장치(200) 접속을 위한 신호 송수신을 제어하기 위한 트러스티드 플랫폼(161)을 포함할 수 있다. 이를 위하여 제어부(160)는 도 3에 도시된 바와 같은 구성을 포함할 수 있다.
도 3은 본 발명의 제어부(160) 구성을 보다 상세히 나타낸 도면이다.
도 3을 참조하면, 본 발명의 제어부(160)는 비보안 영역(30)과 보안 영역(40) 및 하드웨어 플랫폼(35)을 포함할 수 있다.
비보안 영역(30)은 제1 단말기(101)의 사용자 기능 운용 중 암호화된 정보를 필요로 하지 않는 사용자 기능 운용을 위한 OS(Operating System)를 포함할 수 있다. 이러한 비보안 영역(30)은 입력부(120) 또는 터치스크린 기능의 표시부(140)로부터 입력되는 입력 신호에 따른 사용자 기능을 운용을 위한 제어를 수행할 수 있다. 예를 들어 비보안 영역(30)은 사용자가 카메라 기능을 활성화하기 위한 입력 신호를 생성하는 경우, 카메라 활성화, 카메라 기반의 이미지 수집 기능, 수집된 이미지의 저장 기능 등을 제어할 수 있다. 비보안 영역(30)은 도시된 바와 같이 응용 어플리케이션 레이어(31), TEE 기능 API 레이어(32), TEE 클라이언트 API 레이어(33), 범용 OS 레이어(34)로 구성될 수 있다.
보안 영역(40)은 비보안 영역(30)의 호출에 따라 제어부(160)에 로드되어 암호화된 정보를 제공하는 역할을 수행한다. 예를 들어 비보안 영역(30)이 음악 파일 재생 기능을 수행하는 과정에서 음악 파일 구매나 음악 파일 사용 권한 획득을 위한 요금 지불 등을 위해 암호화된 정보가 필요한 경우 비보안 영역(30)의 호출에 따라 보안 영역(40)이 호출될 수 있다. 이 과정에서 비보안 영역(30)은 필요로 하는 암호화된 정보에 대한 호출 정보를 보안 영역(40)에 전달할 수 있다. 보안 영역(40)은 도시된 바와 같이 트러스티드 어플리케이션 레이어(41), TEE 인터널 API 레이어(42), 트러스티드 코어 환경 레이어(43) 및 트러스티드 기능 레이어(44), 하드웨어 보안 리소스 레이어(46)를 포함할 수 있다. 여기서 트러스티드 코어 환경 레이어(43), 트러스티드 기능 레이어(44) 및 TEE 인터널 API 레이어(42)는 TEE 커널 레이어(45) 상에 배치되며, 하드웨어 보안 리소스 레이어(46)는 하드웨어 플랫폼(35) 상에 배치될 수 있다.
상술한 구성의 제어부(160)는 TEE 클라이언트 API 레이어(33)가 응용 어플리케이션 레이어(31)를 통하여 특정 사용자 기능 수행 중에 암호화된 정보가 요구되는 경우 TEE 기능 API 레이어(32)가 이에 대한 호출을 TEE 클라이언트 API 레이어(33)에 전달한다. 그러면 TEE 클라이언트 API 레이어(33)는 TEE 인터널 API 레이어(42)와의 메시지 송수신을 통하여 보안 기능 운용에 필요한 암호화된 정보 제공을 요청한다. 그러면 TEE 인터널 API 레이어(42)가 트러스티드 기능 레이어(44)를 통하여 하드웨어 보안 리소스에 저장된 암호화된 정보를 수집하고, 수집된 암호화된 정보를 TEE 클라이언트 API 레이어(33)에 전달할 수 있다. 결과적으로 보안 영역(40)에 장착된 트러스티드 플랫폼(161)을 통해서만 접근이 가능한 하드웨어 보안 리소스 레이어(46)에 저장된 암호화된 단말 고유 식별 정보를 비보안 영역(30)에서 호출하고, 이를 클라우드 서비스 장치(200)에 전달할 수 있다. 이 과정에서 트러스티드 기능 레이어(44)는 암호화된 정보 호출에 대한 신뢰성 확보를 위하여 사전 정의된 보안 번호 확인 과정을 수행하도록 지원할 수 있으며, 비보안 영역(30)은 이러한 확인 과정 수행을 지원하기 위하여 암호화된 정보 이용을 위한 보안 번호 입력 화면을 표시부(140)에 출력하도록 지원할 수 있다.
이후 보안 번호 입력이 완료된 후 트러스티드 플랫폼(161)에서 이에 대한 정보 확인이 정상적으로 완료되면, 암호화된 정보를 비보안 영역(30)에 전달할 수 있다. 또는 보안 영역(40)은 클라우드 서비스 장치(200) 접속 과정에서 암호화된 정보에 대한 확인 과정 수행을 비보안 영역(30)으로부터 일시적으로 위임받고, 통신부(110) 직접 제어를 통하여 클라우드 서비스 장치(200)와의 데이터 송수신을 제어할 수도 있다.
도 4는 본 발명의 실시 예에 따른 클라우드 서비스 지원 과정에서의 제1 단말기(101) 운용 방법을 설명하기 위한 순서도이다.
도 4를 참조하면, 제1 단말기(101)의 제어부(160)는 전원이 공급되면, 공급된 전원을 이용하여 특정 사용자 기능을 수행할 수 있도록 제1 단말기(101)의 각 구성들의 초기화를 수행하거나, 초기화가 수행된 상태를 유지하도록 제어할 수 있다. 이와 함께 제1 단말기(101)는 401 단계에서와 같이 기 설정된 스케줄 정보에 따라 대기 상태를 가질 수 있다. 여기서 대기 상태는 표시부(140)에 전원이 공급되며 사전 설정된 대기 화면이 출력된 상태가 될 수 있다. 또는 대기 상태는 사용자 제어에 따라 특정 사용자 기능을 수행하고 있는 상태로 대체될 수도 있다. 따라서 대기 상태는 본 발명의 클라우드 서비스 이용을 위한 단말기 준비 상태로 이해될 수 있을 것이다.
한편 대기 상태에서 특정 입력 신호가 입력부(120) 및 입력 기능을 가지는 표시부(140)로부터 입력되는 경우 제1 단말기(101)는 403 단계로 분기하여 생성된 입력 신호가 클라우드 서비스 장치(200) 접속을 위한 입력 신호인지 여부를 확인할 수 있다. 이 단계에서 제1 단말기(101)는 입력된 입력 신호가 클라우드 서비스 장치(200) 접속을 위한 입력 신호가 아닌 경우 405 단계로 분기하여 입력 신호에 따른 사용자 기능을 수행하도록 제어할 수 있다. 예를 들어 제1 단말기(101)는 입력 신호의 종류에 따라 특정 파일을 재생 및 출력하는 기능, 통화 기능, 파일 편집 기능, 파일 검색 기능 등을 수행하도록 지원할 수 있다.
403 단계에서 입력된 입력 신호가 클라우드 서비스 장치(200) 접속을 위한 입력 신호인 경우, 제1 단말기(101)는 407 단계로 분기하여 클라우드 서비스 장치(200) 간에 수행되는 인증의 종류를 확인한다. 여기서 제1 단말기(101)는 클라우드 서비스 장치(200) 접속을 위한 입력 신호 생성을 위하여 클라우드 서비스 실행 아이콘이나 위젯, 메뉴 항목을 제공할 수 있다. 그리고 제1 단말기(101)는 해당 클라우드 서비스 수행을 위하여 아이콘이나 위젯, 메뉴 항목 등에 기 설정된 클라우드 서비스 장치(200) 접속을 위한 클라우드 서비스 장치(200)의 주소 정보를 링크시키도록 지원할 수 있다. 추가로 제1 단말기(101)가 접속 가능한 복수개의 클라우드 서비스 장치(200)가 존재하는 경우 제1 단말기(101)는 각각의 클라우드 서비스 장치(200) 접속을 위한 실행 아이콘이나 위젯, 메뉴 항목을 제공하거나, 클라우드 서비스 실행을 위한 기본 아이콘 제공 후, 해당 아이콘 선택 시 복수개의 클라우드 서비스 장치(200)들의 목록을 리스트 형태로 제공할 수도 있다.
인증의 종류는 일반 인증과 보안 인증을 포함할 수 있다. 즉 407 단계에서 확인하는 인증 과정은 기본 인증 정보에 해당하는 아이디 및 패스워드 입력을 수행하는 일반 인증 과정과, 트러스티드 플랫폼에서 제공되는 암호화된 정보를 확인하는 보안 인증 과정을 포함할 수 있다.
일반 인증을 위하여 제1 단말기(101)는 클라우드 서비스 장치(200)로부터 기본 인증 정보 확인을 위한 데이터를 수신하고, 이를 기반으로 기본 인증 정보 입력을 위한 화면 인터페이스 출력을 지원한다. 예를 들어 제1 단말기(101)는 기본 인증 정보 확인을 위하여 제1 단말기(101)가 클라우드 서비스 장치(200)에 사전 등록한 아이디 및 패스워드를 입력할 수 있는 화면 인터페이스를 출력할 수 있다.
또한 보안 인증을 위하여 제1 단말기(101)는 클라우드 서비스 장치(200)로부터 암호화된 정보 확인을 위한 데이터를 수신하고, 이를 기반으로 암호화된 정보 확인을 위한 화면 인터페이스 출력을 지원할 수 있다. 이때 제1 단말기(101)는 트러스티드 플랫폼이 지원하는 암호화된 정보 이용을 위한 보안 번호 입력 화면 즉 비보안 영역(30)에서 보안 영역(40)으로 진입하기 위한 보안 번호 입력 화면 또는 보안 영역(40) 내에서 암호화된 정보 이용을 위한 보안 번호 입력 화면을 출력하도록 지원할 수 있다.
한편 407 단계에서 인증 수행이 기본 인증 정보를 확인하는 일반 인증만 수행되면, 제1 단말기(101)는 409 단계로 분기하여 일반 인증에 따른 클라우드 서비스 지원을 수행할 수 있다. 즉 제1 단말기(101)는 클라우드 서비스 장치(200)로부터 일반 인증 확인을 통한 일반 구역 접근 권한을 획득하고, 일반 구역에 관한 데이터를 클라우드 서비스 장치(200)로부터 수신하여 출력할 수 있다. 여기서 일반 구역은 클라우드 서비스 장치(200)가 일반 인증을 수행한 단말기들에게 제공하는 데이터 공유 공간으로서 가상의 공간이 될 수 있다. 제1 단말기(101)는 일반 구역에 데이터를 업로드하거나 일반 구역에 배치된 데이터를 선택하여 다운로드할 수 있도록 지원받는다.
여기서 일반 인증 확인에 따른 일반 구역 접근 서비스는 클라우드 서비스 장치(200)의 정책에 따라 변경될 수도 있다. 즉, 클라우드 서비스 장치(200)가 일반 인증만을 수행한 단말기에게 별도의 클라우드 서비스를 지원하지 않도록 설계된 경우 제1 단말기(101)는 클라우드 서비스 이용 불가 메시지를 클라우드 서비스 장치(200)로부터 수신하거나, 보안 인증을 요구하는 메시지를 수신하고, 이를 출력할 수 있다.
407 단계에서 보안 인증이 수행된 경우, 제1 단말기(101)는 411 단계로 분기하여 클라우드 서비스 장치(200)가 제공하는 특정 클라우드 서비스를 이용할 수 있다. 즉, 제1 단말기(101)는 클라우드 서비스 장치(200)가 제공하는 일반 구역 및 보안 구역 중 적어도 하나의 구역에 대한 접근 권한을 획득하고 해당 구역을 통하여 데이터 공유 서비스를 이용할 수 있다. 예를 들어, 보안 인증을 수행한 제1 단말기(101)는 보안 구역에 배치된 데이터를 다운로드하거나 데이터를 업로드 할 수 있으며, 보안 구역에 배치된 데이터를 일반 구역으로 이동시키거나, 일반 구역에 배치된 데이터를 보안 구역으로 이동시킬 수 있다. 보안 인증 과정은 트러스티드 플랫폼에서 제공하는 암호화된 정보를 클라우드 서비스 장치(200)에 전송하기 위해 보안 번호 입력 과정으로 수행될 수 있다. 즉 제1 단말기(101) 입장에서 보안 인증 과정은 비보안 영역(30)에서 보안 영역(40)으로 접근하기 위한 보안 번호 입력 과정이 될 수 있다.
보안 인증 과정에서 클라우드 서비스 장치(200)는 제1 단말기(101)로부터 암호화된 정보가 수신되면, 사전 정의된 정보와 비교하여 일치하는지 여부를 확인할 수 있다. 이를 위하여 클라우드 서비스 장치(200)는 제1 단말기(101)의 암호화된 정보와 비교할 수 있는 정보를 사전 저장할 수 있다.
한편 상술한 설명에서는 407 단계의 인증 과정이 각각 독립된 형태로 수행되는 것으로 설명하였지만 본 발명이 이에 한정되는 것은 아니다. 즉 보안 인증 과정은 일반 인증이 수행된 이후 추가적으로 수행되는 과정이 될 수 있다. 이에 따라 제1 단말기(101)는 일반 인증이 완료된 상태인 409 단계에서 411 단계 이전으로 분기하여 보안 인증 과정을 수행하도록 지원할 수 있다.
일반 구역 접근 및 기능 수행 이후 또는 보안 구역 접근 및 기능 수행 이후 제1 단말기(101)는 413 단계에서 클라우드 서비스 장치(200) 접속 해제 또는 클라우드 서비스 이용 종료를 위한 입력 신호 발생 여부를 확인한다. 이 단계에서 클라우드 서비스 이용이 유지되는 경우 제1 단말기(101)는 403 단계 이전으로 분기하여 수행된 인증 종류에 따른 클라우드 서비스 이용을 지원할 수 있다. 그리고 별도의 접속 해제나 서비스 종료를 위한 입력 신호가 발생하는 경우 제1 단말기(101)는 401 단계 이전으로 분기하여 이하 과정을 재수행하도록 지원할 수 있다.
상술한 바와 같이 본 발명의 개선된 보안 기능 기반의 클라우드 서비스 운용을 수행하는 단말기 및 이의 운용 방법은 인증 과정에서 신뢰도가 높은 트러스티드 플랫폼(161)의 암호화된 정보를 이용할 수 있도록 지원하며, 트러스티드 플랫폼(161)이 장착되지 않은 단말기라 하더라도 서비스 정책에 따라 적절한 등급의 클라우드 서비스를 이용할 수 있도록 지원할 수 있다.
도 5는 본 발명의 실시 예에 따른 제1 단말기(101)의 클라우드 서비스 지원 과정에서 제공되는 화면 인터페이스의 일예를 개략적으로 나타낸 도면이다.
도 5를 참조하면, 제1 단말기(101)는 전원 공급이 유지되는 상태에서 기 설정된 스케줄 정보 또는 사용자의 입력 신호에 따라 클라우드 서비스 장치(200) 접속을 수행할 수 있는 아이콘(51)이 출력되는 화면을 501 화면에서와 같이 표시부(140)를 통해 제공할 수 있다. 여기서 상기 아이콘(51)은 위젯의 형태로 대체되거나 별도의 메뉴 항목으로 제공될 수도 있다.
한편 사용자가 클라우드 서비스 장치(200) 접속을 수행하도록 하기 위하여 아이콘(51)을 선택하는 입력 신호를 생성하면, 제1 단말기(101)는 503 화면에서와 같이 클라우드 서비스 장치(200) 접속을 위한 아이디 및 패스워드 입력을 수행할 수 있는 화면을 표시부(140)에 출력할 수 있다. 여기서 제1 단말기(101)는 아이콘(51) 선택을 위한 입력 신호가 생성되면, 아이콘(51)에 링크된 클라우드 서비스 장치(200)의 주소 정보를 수집하고, 이를 기반으로 통신부(110)를 활성화하여 클라우드 서비스 장치(200)에 접속을 요청하는 메시지를 전송하도록 제어할 수 있다. 이를 위하여 제1 단말기(101)는 접속하고자 하는 클라우드 서비스 장치(200)의 주소 정보를 사전 저장하여 아이콘(51)에 링크시켜 제공할 수 있다.
한편 제1 단말기(101)는 클라우드 서비스 장치(200)로부터 일반 인증과 관련된 기본 인증 정보를 요청하는 요청 메시지를 수신할 수 있으며, 수신된 메시지를 기반으로 503 화면에서와 같이 아이디 및 패스워드 입력을 수행할 수 있는 기본 정보 입력 화면(510)을 구성할 수 있다. 여기서 아이디 및 패스워드는 제1 단말기(101)가 사전에 클라우드 서비스 장치(200)에 등록한 정보들이 될 수 있다. 제1 단말기(101)는 클라우드 서비스 장치(200)에 사전 등록한 아이디 및 패스워드가 없는 경우 클라우드 서비스 장치(200)가 제공하는 별도의 등록 절차를 통하여 아이디 및 패스워드를 생성하여 저장할 수 있다. 이때 새로 생성된 아이디 및 패스워드는 클라우드 서비스 장치(200)에 저장되고 추후 제1 단말기(101)가 접속을 요청하는 경우 인증 정보로서 이용될 수 있다.
503 화면에서 아이디 및 패스워드 입력이 수행된 경우, 제1 단말기(101)는 입력된 아이디 및 패스워드를 클라우드 서비스 장치(200)에 제공한다. 그러면 클라우드 서비스 장치(200)는 아이디 및 패스워드가 사전 저장된 유효한 정보인 경우 일반 인증에 따른 클라우드 서비스를 지원하는 일반 구역 접근 권한을 제1 단말기(101)에 제공할 수 있다. 이때 클라우드 서비스 장치(200)는 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행한 제1 단말기(101)에 대하여 일반 구역에 대한 접근 권한을 제공할 수 있다.
그러면 제1 단말기(101)는 클라우드 서비스 장치(200)가 제공하는 일반 구역 접근 권한을 기반으로 일반 구역에 포함된 데이터들에 대한 정보 수신, 데이터들의 업로드, 데이터들의 다운로드 등을 이용할 수 있는 일반 구역 접근 화면(520)을 505 화면에서와 같이 표시부(140)에 출력할 수 있다. 특히 제1 단말기(101)는 트러스티드 플랫폼(161)이 장착된 경우 클라우드 서비스 장치(200)가 제공하는 보안 구역 접근 권한을 획득할 수 있는 보안 버튼맵(53)을 일반 구역 접근 화면(520)의 일측에 출력할 수 있다.
505 화면에서 사용자가 보안 버튼맵(53)을 선택하는 경우 제1 단말기(101)는 암호화된 정보 이용을 위한 보안 번호 입력 화면(530)을 507 화면에서와 같이 표시부(140)에 출력하도록 지원할 수 있다. 여기서 보안 번호 입력 화면(530)은 비보안 영역(30)에서 보안 영역(40)에 암호화된 정보를 요청하기 위한 인증 과정 수행을 위해 제공되는 화면이다. 사용자는 사전에 보안 번호를 설정할 수 있으며, 제1 단말기(101)는 암호화된 정보 요구 시 사전 설정된 보안 번호 확인을 위한 보안 번호 입력 화면(530)을 출력하도록 지원할 수 있다.
507 화면에서 정확한 보안 번호 입력이 완료되면, 제1 단말기(101)는 보안 영역(40)에 저장된 단말 고유 식별 정보를 확인하고, 이를 암호화하여 암호화된 정보를 생성한다. 그리고 제1 단말기(101)는 암호화된 정보를 클라우드 서비스 장치(200)에 전달할 수 있다. 이때 제1 단말기(101)는 단말 고유 식별 정보를 공개키 등으로 암호화하여 클라우드 서비스 장치(200)에 제공할 수 있다. 또는 제1 단말기(101)는 단말 고유 식별 정보를 클라우드 서비스 장치(200)와 사전 약정한 대칭키를 이용하여 암호화하고, 암호화된 정보를 클라우드 서비스 장치(200)에 전달할 수 있다. 이 과정에서 제1 단말기(101)는 암호화된 정보 기반의 인증 과정 수행에 해당하는 화면을 509 화면에서와 같이 출력하도록 지원할 수 있다.
인증이 완료되면, 제1 단말기(101)는 클라우드 서비스 장치(200)가 제공하는 보안 구역 접근 화면(540)에 대응하는 데이터를 수신하고, 수신된 데이터를 기반으로 511 화면에서와 같이 보안 구역 접근 화면(540)을 표시부(140)에 출력하도록 지원할 수 있다. 한편 제1 단말기(101)는 사용자의 페이지 설정 전환 요청이 발생하는 경우 513 화면에서와 같이 한 화면에 보안 구역 접근 화면(540)과 일반 구역 접근 화면(520)을 모두 포함하는 통합 구역 접근 화면(550)을 출력할 수 있다. 또는 제1 단말기(101)는 디폴트로 511 화면 대신 513 화면을 표시부(140)에 출력하도록 지원할 수 있다.
513 화면에서 사용자는 보안 구역 접근 화면(540) 영역에 배치된 특정 데이터 예를 들면 보안 사진 데이터(55)를 드래그 등의 방법으로 일반 구역 접근 화면(520) 영역으로 이동시킬 수 있다. 그러면 제1 단말기(101)는 보안 사진 데이터(55)의 구역 이동에 대한 메시지를 작성하여 클라우드 서비스 장치(200)에 전달할 수 있다. 클라우드 서비스 장치(200)는 데이터 변경에 대한 메시지를 수신하면 이를 반영하여 일반 구역 및 보안 구역에 각각 저장된 데이터의 위치 변경을 제어할 수 있다. 한편 제1 단말기(101)는 사용자 요청에 따라 일반 구역에 있는 데이터를 보안 구역에 옮길 수 있으며, 이에 따른 메시지 작성 및 클라우드 서비스 장치(200) 전달, 데이터들의 이동에 따른 화면 변경을 지원할 수 있다.
한편 상술한 설명에서는 인증의 종류에 따라 클라우드 서비스 장치(200)가 일반 구역 및 보안 구역을 각각 구분하여 접근할 수 있도록 지원하는 것으로 설명하였지만 본 발명이 이에 한정되는 것은 아니다. 즉 클라우드 서비스 장치(200)는 서비스 정책에 따라 기본 인증 정보만으로 일반 인증을 수행한 단말기에게 별다른 클라우드 서비스를 지원하지 않고 보안 인증까지 수행하도록 요청할 수 있을 것이다. 이 경우 본 발명의 제1 단말기(101)는 505 화면을 제외한 나머지 화면만을 제공할 수도 있다.
도 6은 본 발명의 실시 예에 따른 클라우드 서비스 장치(200)의 구성을 보다 상세히 나타낸 블록도이다.
도 6을 참조하면, 본 발명의 클라우드 서비스 장치(200)는 장치 통신부(210), 장치 저장부(250) 및 장치 제어부(260)의 구성을 포함할 수 있다.
장치 통신부(210)는 클라우드 서비스 장치(200)에 접속을 요청하는 단말기들(101, 102, 103)과 통신 채널을 형성하고, 해당 통신 채널을 통하여 클라우드 서비스 지원에 필요한 다양한 신호를 송수신하도록 지원하는 구성이다. 예를 들어 장치 통신부(210)는 접속을 요청하는 단말기들(101, 102, 103)에게 일반 인증을 위한 기본 인증 정보 요청을 위한 메시지를 장치 제어부(260) 제어에 따라 제공할 수 있다. 그리고 장치 통신부(210)는 접속 요청한 단말기들(101, 102, 103)로부터 기본 인증 정보를 수신하고 이를 장치 제어부(260)에 전달한다. 또한 장치 통신부(210)는 트러스티드 플랫폼(161)이 장착된 특정 단말기 예를 들면 제1 단말기(101)로부터 암호화된 정보를 수신하고 이를 장치 제어부(260)에 전달할 수 있다.
장치 저장부(250)는 클라우드 서비스 지원을 위해 접속을 요청하는 단말기들(101, 102, 103)을 확인하기 위한 인증 정보(251)를 포함할 수 있다. 그리고 장치 저장부(250)는 클라우드 서비스 장치(200)의 서비스 정책 지원 여부에 따라 일반 구역 지원을 위한 일반 데이터베이스(253) 및 보안 구역 지원을 위한 보안 데이터베이스(255)를 포함할 수 있다. 인증 정보(251)는 각 단말기들(101, 102, 103)의 기본 인증 정보를 포함하며, 또한 트러스티드 플랫폼(161)이 장착된 단말기의 암호화된 정보를 포함할 수 있다. 또는 암호화된 정보 중 단말 고유 식별 정보로 사용되는 고유 키 정보를 포함할 수 있다. 장치 저장부(250)는 암호화된 정보의 복호를 위하여 암호 알고리즘 예를 들면 공개키 알고리즘, 대칭키 알고리즘 등 다양한 암호 알고리즘을 포함할 수 있다.
일반 데이터베이스(253)는 트러스티드 플랫폼(161)을 장착하지 않은 단말기들이 또는 트러스티드 플랫폼(161)을 장착한 단말기가 기본 인증 정보를 기반으로 일반 인증을 수행하여 접근할 수 있는 저장 영역이다. 이에 따라 일반 데이터베이스(253)는 일반 인증만을 수행한 단말기들(101, 102, 103)이 접근할 수 있도록 지원하며, 접근을 통하여 새로운 데이터를 업로드하거나, 업로드된 데이터를 다운로드하도록 지원할 수 있다.
보안 데이터베이스(255)는 트러스티드 플랫폼(161)이 장착된 단말기만이 접근 가능한 저장 영역이다. 이를 위하여 보안 데이터베이스(255)는 일반 데이터베이스(253)와 독립적인 형태로 구성될 수 있으며, 암호화된 정보를 기반으로 보안 인증을 수행한 또는 일반 인증과 보안 인증을 수행한 단말기에게 데이터의 업로드 또는 다운로드를 지원할 수 있다.
한편 클라우드 서비스 장치(200)는 일반 데이터베이스(253)를 운용하지 않고 보안 데이터베이스(255) 만을 운용할 수 있다. 이 경우 단말기들(101, 102, 103) 중 트러스티드 플랫폼(161)이 장착된 단말기만이 보안 데이터베이스(255)를 기반으로 클라우드 서비스 장치(200)가 제공하는 클라우드 서비스를 이용할 수 있다.
장치 제어부(260)는 클라우드 서비스 장치(200) 운용에 필요한 다양한 신호 흐름을 제어하며, 특히 본 발명의 인증 확인에 따른 클라우드 서비스 지원을 제어할 수 있다. 이러한 장치 제어부(260)는 클라우드 서비스 장치(200)의 서비스 정책에 따라 접속을 요청하는 단말기로부터 기본 인증 정보를 수신하여 일반 인증을 수행하고, 추가로 해당 단말기로부터 암호화된 정보를 수신하여 보안 인증을 수행할 수 있다. 그리고 장치 제어부(260)는 일반 인증과 보안 인증이 모두 완료된 단말기에게 클라우드 서비스 수행을 위한 데이터베이스 접근 권한을 부여할 수 있다.
한편 장치 제어부(260)는 클라우드 서비스 정책에 따라 일반 인증을 수행한 단말기들(101, 102, 103)에게 일반 데이터베이스(253)를 접근할 수 있는 권한을 제공하도록 제어할 수 있다. 또한 장치 제어부(260)는 보안 인증을 수행한 단말기에게 보안 데이터베이스(255)를 접근할 수 있는 권한을 제공하도록 제어할 수 있다. 특히 장치 제어부(260)는 보안 인증을 수행한 단말기에게 일반 데이터베이스(253)와 보안 데이터베이스(255)를 모두 접근할 수 있는 권한을 제공할 수 있으며, 추가로 일반 데이터베이스(253)와 보안 데이터베이스(255) 간의 데이터 교환에 대한 권한을 제공할 수도 있다.
도 7은 본 발명의 실시 예에 따른 클라우드 서비스 장치(200)의 운용 방법을 설명하기 위한 도면이다.
도 7을 참조하면, 본 발명의 클라우드 서비스 장치 운용 방법은 먼저 701 단계에서 클라우드 서비스 장치(200)는 단말기들(101, 102, 103)의 클라우드 서비스 이용을 위한 대기 상태를 유지할 수 있다. 이를 위하여 클라우드 서비스 장치(200)는 공급되는 전원을 이용하여 운영체제를 활성화하고 네트워크 시스템 접속을 통하여 단말기들(101, 102, 103)이 접속 가능한 대기 상태를 가질 수 있다.
다음으로 클라우드 서비스 장치(200)는 703 단계에서 특정 단말기의 접속이 있는지 여부를 확인한다. 이 단계에서 클라우드 서비스 장치(200)는 별도의 단말기 접속에 해당하는 메시지 수신이 없는 경우 701 단계 이전으로 분기하여 이하 과정을 재수행하도록 지원할 수 있다. 실질적으로 클라우드 서비스 장치(200)는 대기 상태를 유지하다가 단말기들의 접속 요청 메시지 수신 시 이하 과정을 수행할 수 있다.
한편 703 단계에서 단말기의 접속 요청이 발생하면 클라우드 서비스 장치(200)는 705 단계로 분기하여 접속을 요청한 단말기의 인증 종류를 확인할 수 있다. 이때 클라우드 서비스 장치(200)는 접속 요청한 단말기가 일반 인증만을 수행한 경우, 즉 사전 등록된 아이디와 패스워드를 포함하는 기본 인증 정보를 기반으로 인증을 수행한 경우 707 단계로 분기하여 일반 인증에 따른 클라우드 서비스를 지원하도록 제어할 수 있다. 즉 클라우드 서비스 장치(200)는 일반 인증을 수행한 단말기가 일반 데이터베이스(253)를 통하여 구현되는 일반 구역 접근을 수행할 수 있도록 일반 구역 접근 권한을 제공할 수 있다.
705 단계에서 접속을 요청한 단말기가 수행한 인증의 종류가 보안 인증인 경우 또는 일반 인증과 보안 인증이 모두 수행된 경우, 클라우드 서비스 장치(200)는 해당 단말기에게 보안 데이터베이스(255)를 기반으로 구현되는 보안 구역에 대한 접근 권한을 제공할 수 있다. 이때 클라우드 서비스 장치(200)는 보안 인증을 수행한 단말기에 대하여 일반 구역 및 보안 구역 모두에 대한 접근 권한을 제공할 수도 있다.
다음으로 클라우드 서비스 장치(200)는 711 단계에서 접속된 단말기의 접속 해제 여부를 확인하고, 별도의 접속 해제를 위한 메시지 수신이 없는 경우 705 단계 이전으로 분기하여 이하 과정을 재수행하도록 지원할 수 있다. 이때 트러스티드 플랫폼(161)을 장착한 단말기의 경우 일반 구역 접근 권한만을 획득하고 일반 구역 기반의 클라우드 서비스를 이용하여 추가적으로 보안 인증을 수행하여 보안 구역 접근 권한을 획득하도록 지원받을 수도 있다.
한편 711 단계에서 접속 해제 시, 클라우드 서비스 장치(200)는 701 단계 이전으로 분기하여 이하 과정을 재수행하도록 지원할 수 있다.
도 8은 본 발명의 실시 예에 따른 클라우드 서비스 시스템 운용 방법을 설명하기 위한 트러스티드 플랫폼(161)이 장착된 제1 단말기(101) 및 클라우드 서비스 장치(200) 간의 신호 흐름을 설명하기 위한 도면이다.
도 8을 참조하면, 본 발명의 클라우드 서비스 시스템 운용 방법은 먼저 제1 단말기(101) 사용자가 클라우드 서비스 이용을 위한 입력 신호를 입력부(120) 또는 입력 기능을 가지는 표시부(140)를 이용하여 생성하면, 제1 단말기(101)의 비보안 영역(30)은 801 단계에서와 같이 클라우드 서비스 장치(200) 접속을 위한 과정을 수행할 수 있다. 예를 들어, 비보안 영역(30)은 클라우드 서비스 장치(200)에 접속 요청 메시지를 전송하도록 제어할 수 있으며, 이를 위하여 클라우드 서비스 장치(200)의 주소 정보 수집을 수행할 수 있다. 한편 비보안 영역(30)은 접속 요청 메시지 전송에 대응하여 클라우드 서비스 장치(200)로부터 아이디 및 패스워드를 포함하는 기본 인증 정보 요청을 수신할 수 있다. 그러면 비보안 영역(30)은 앞서 설명한 화면 인터페이스에서와 같이 아이디 및 패스워드를 입력할 수 있는 화면을 표시부(140)에 출력할 수 있다. 사용자는 입력부(120) 등을 이용하여 아이디 및 패스워드 입력을 수행할 수 있다. 그러면 비보안 영역(30)은 입력된 아이디 및 패스워드를 포함하는 메시지를 작성하고, 이를 클라우드 서비스 장치(200)에 전송할 수 있다.
이후 비보안 영역(30)은 클라우드 서비스 장치(200)로부터 기본 인증 정보 확인에 대한 응답을 수신하면, 803 단계에서 보안 영역(40)에 암호화된 정보 이용을 위한 요청을 전달할 수 있다. 비보안 영역(30)으로부터 암호화된 정보 이용 요청을 수신하면 보안 영역(40)은 805 단계에서와 같이 보안 번호 입력을 비보안 영역(30)에 요청할 수 있다. 비보안 영역(30)은 보안 번호 입력을 위한 화면 인터페이스를 구성할 수 있으며, 사용자는 해당 화면 인터페이스를 통하여 보안 번호 입력을 수행할 수 있다.
보안 번호 입력이 완료되면 비보안 영역(30)은 807 단계에서 해당 보안 번호를 보안 영역(40)에 전달한다. 보안 영역(40)은 사전 저장된 보안 번호와 현재 입력된 보안 번호가 일치하는지 여부를 확인하고, 809 단계에서 단말 고유 식별 정보에 해당하는 고유 키를 암호화하고, 암호화된 정보를 비보안 영역(30)에 전달할 수 있다.
보안 영역(40)으로부터 암호화된 정보를 수신한 비보안 영역(30)은 811 단계에서 암호화된 정보를 클라우드 서비스 장치(200)에 전송할 수 있다. 그러면 클라우드 서비스 장치(200)는 813 단계에서 암호화된 정보가 사전 저장된 정보와 일치하는지 여부를 확인한다. 이후 정보가 일치하는 경우 클라우드 서비스 장치(200)는 815 단계에서 접속을 요청한 단말기에게 클라우드 서비스를 지원할 수 있다. 이에 따라 제1 단말기(101)는 클라우드 서비스 장치(200)를 통하여 데이터를 다운로드하거나 검색하거나, 업로드 및 업로드된 데이터의 편집이나 삭제 등을 수행할 수 있다.
상술한 바와 같이 본 발명의 실시 예에 따른 클라우드 서비스 지원 방법은 단말기가 클라우드 서비스 장치(200)에 사전 등록한 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행하고, 추가로 트러스티드 플랫폼 기반의 암호화된 정보를 기반으로 보안 인증을 수행하도록 지원한다. 이에 따라 본 발명의 클라우드 서비스 지원 방법은 클라우드 서비스를 통해 이용되는 데이터의 업로드와 다운로드 등에 대한 보안 기능을 개선시킬 수 있다. 또한 본 발명은 일반 인증과 보안 인증의 등급별 접근 가능 구역을 구분함으로써 클라우드 서비스를 통해 공유할 데이터의 특성별 운용을 지원할 수 있다. 즉 본 발명의 클라우드 서비스 시스템 및 지원 방법은 각 인증의 등급에 따라 접근할 수 있는 데이터베이스 구역을 다르게 설정함으로써 보안성은 높이되 데이터 공유 기능도 적절히 이용할 수 있도록 지원한다.
한편 상술한 제1 단말기(101)는 그 제공 형태에 따라 다양한 추가 모듈을 더 포함할 수 있다. 즉 상기 제1 단말기(101)는 통신 단말기인 경우 근거리 통신을 위한 근거리통신모듈, 상기 제1 단말기(101)의 유선통신방식 또는 무선통신방식에 의한 데이터 송수신을 위한 인터페이스, 인터넷 네트워크와 통신하여 인터넷 기능을 수행하는 인터넷통신모듈 및 디지털 방송 수신과 재생 기능을 수행하는 디지털방송모듈 등과 같이 상기에서 언급되지 않은 구성들을 더 포함할 수도 있다. 이러한 구성 요소들은 디지털 기기의 컨버전스(convergence) 추세에 따라 변형이 매우 다양하여 모두 열거할 수는 없으나, 상기 언급된 구성 요소들과 동등한 수준의 구성 요소가 상기 디바이스에 추가로 더 포함되어 구성될 수 있다. 또한 본 발명의 제1 단말기(101)는 그 제공 형태에 따라 상기한 구성에서 특정 구성들이 제외되거나 다른 구성으로 대체될 수도 있음은 물론이다. 이는 본 기술분야의 통상의 지식을 가진 자에겐 쉽게 이해될 수 있을 것이다.
또한 본 발명의 실시 예에 따른 상기 제1 단말기(101)는 제어부 내에 트러스티드 플랫폼을 장착한 모든 형태의 디바이스를 포함할 수 있다. 예를 들면, 상기 제1 단말기(101)는 다양한 통신 시스템들에 대응되는 통신 프로토콜들(communication protocols)에 의거하여 동작하는 모든 이동통신 단말기들(mobile communication terminals)을 비롯하여, PMP(Portable Multimedia Player), 디지털방송 플레이어, PDA(Personal Digital Assistant), 음악 재생기(예컨대, MP3 플레이어), 휴대게임단말, 스마트 폰(Smart Phone), 노트북(Notebook) 및 핸드헬드 PC 등 모든 정보통신기기와 멀티미디어기기 및 그에 대한 응용기기를 포함할 수 있다.
한편, 본 명세서와 도면을 통해 본 발명의 바람직한 실시 예들에 대하여 설명하였으며, 비록 특정 용어들이 사용되었으나, 이는 단지 본 발명의 기술 내용을 쉽게 설명하고 발명의 이해를 돕기 위한 일반적인 의미에서 사용된 것일 뿐, 본 발명의 범위를 한정하고자 하는 것은 아니다. 여기에 개시된 실시 예외에도 본 발명의 기술적 사상에 바탕을 둔 다른 변형 예들이 실시 가능하다는 것은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 자명한 것이다.
이상에서 살펴본 바와 같이 본 발명은 휴대 단말기와의 연동하는 클라우드 서비스 분야에 적용되어, 개선된 보안 기능을 제공할 있는 것으로서, 특히, 다수 개의 단말기가 이용 가능한 클라우드 서비스의 보안성을 개선하여, 정보 유출을 방지하면서도 사용자들 간의 정보 공유 기능은 강화할 수 있도록 지원할 수 있으므로, 산업상 이용 가능성이 있다.

Claims (15)

  1. 트러스티드 플랫폼이 장착된 경우 상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전 등록한 아이디와 패스워드 정보 기반의 일반 인증을 수행하고 상기 보안 인증 및 일반 인증에 따른 클라우드 서비스를 지원받는 단말기;
    상기 트러스티드 플랫폼이 장착된 단말기와 상기 일반 인증 및 보안 인증을 완료 후, 상기 단말기에 기 설정된 클라우드 서비스를 제공하는 클라우드 서비스 장치;
    를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 시스템.
  2. 트러스티드 플랫폼이 장착된 단말기 접속을 위한 통신 채널을 형성하는 장치 통신부;
    상기 트러스티드 플랫폼이 제공하는 암호화된 정보 기반의 보안 인증 및 사전 등록한 아이디와 패스워드 정보 기반의 일반 인증 중 적어도 하나를 수행하고 상기 보안 인증과 일반 인증에 따른 클라우드 서비스를 지원하는 장치 제어부;
    상기 클라우드 서비스 지원을 위한 데이터베이스를 저장하는 장치 저장부;
    를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 장치.
  3. 제2항에 있어서
    상기 장치 저장부는
    상기 보안 인증 완료에 따라 접근할 수 있는 보안 구역을 구현하는 보안 데이터베이스;
    상기 일반 인증 완료에 따라 접근할 수 있는 일반 구역을 구현하는 일반 데이터베이스;
    상기 접속 요청하는 단말기의 인증 확인을 위한 인증 정보;
    를 저장하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 장치.
  4. 제3항에 있어서
    상기 장치 제어부는
    상기 일반 인증 수행을 완료한 단말기에게 상기 일반 구역 접근 권한을 할당하거나,
    상기 보안 인증 수행을 완료한 단말기에게 상기 보안 구역 접근 권한 또는 상기 보안 구역 및 상기 일반 구역 접근 권한을 할당하거나,
    상기 일반 인증 및 보안 인증을 완료한 단말기에게 상기 보안 구역 접근 권한 또는 상기 보안 구역 및 상기 일반 구역 접근 권한을 할당하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 장치.
  5. 제3항에 있어서
    상기 장치 제어부는
    상기 트러스티드 플랫폼이 장착되지 않은 단말기가 상기 일반 인증을 수행한 경우 상기 일반 구역 접근 권한을 할당하도록 제어하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 장치.
  6. 클라우드 서비스 장치 접속을 위한 통신 채널을 형성하는 통신부;
    트러스티드 플랫폼 기반의 암호화된 정보를 제공하는 보안 영역과 상기 보안 영역과 통신하여 보안 기능 기반의 사용자 기능 지원을 수행하는 비보안 영역을 포함하며, 상기 클라우드 서비스 장치 접속 시 사전 등록한 아이디와 패스워드를 포함하는 기본 인증 정보 기반의 일반 인증 및 상기 암호화된 정보 기반의 보안 인증 중 적어도 하나의 수행을 제어하여 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스 운용을 지원하는 제어부;
    를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기.
  7. 제6항에 있어서
    상기 암호화된 정보 이용을 위하여 상기 비보안 영역에서 보안 영역으로 진입하기 위해 사전 설정된 보안 번호 입력을 위한 입력부;를 더 포함하고,
    상기 보안 영역은
    상기 보안 번호 인증 완료 후 상기 암호화된 정보 이용 요청에 따라 상기 트러스티드 플랫폼에 할당된 고유 키를 암호화하여 암호화된 정보를 생성하고, 상기 암호화된 정보를 상기 비보안 영역에 전달하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기.
  8. 제6항에 있어서
    상기 일반 인증 및 상기 보안 인증 중 적어도 하나의 수행에 따라 제공되는 클라우드 서비스 화면을 표시하는 표시부;를 더 포함하고,
    상기 표시부는
    상기 일반 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 접근 화면;
    상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 보안 구역 접근 화면;
    상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 및 보안 구역이 통합된 통합 구역 접근 화면;
    중 적어도 하나의 화면을 표시하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기.
  9. 제8항에 있어서
    상기 제어부는
    입력 신호 발생에 따라 상기 보안 구역에 표시된 데이터를 상기 일반 구역으로 이동시키거나, 상기 일반 구역에 표시된 데이터를 상기 보안 구역으로 이동시키는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기.
  10. 제8항에 있어서
    상기 일반 구역 접근 화면은
    상기 일반 인증이 완료된 상태에서 상기 보안 인증 수행을 요청하기 위해 화면 일측에 출력되는 보안키 맵;
    을 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스를 지원하는 단말기.
  11. 단말기가 클라우드 서비스 장치 접속을 요청하는 단계;
    상기 단말기가 상기 클라우드 서비스 장치 접속을 위해 사전 등록한 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행하는 단계;
    상기 일반 인증 수행 후 상기 단말기의 트러스티드 플랫폼 기반의 암호화된 정보를 기반으로 보안 인증을 수행하는 단계;
    상기 일반 인증 및 상기 보안 인증 수행 결과에 따라 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스를 운용하는 단계;
    를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 지원 방법.
  12. 제11항에 있어서
    상기 보안 인증 수행을 위해 사전 정의된 보안 번호 입력을 수행하는 단계;
    를 더 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 지원 방법.
  13. 제11항에 있어서
    상기 운용 단계는
    상기 클라우드 서비스 장치가 상기 일반 인증을 수행한 단말기에게 일반 데이터베이스 기반의 일반 구역 접근 권한을 할당하는 단계;
    상기 클라우드 서비스 장치가 상기 보안 인증을 수행한 단말기에게 보안 데이터베이스 기반의 보안 구역 접근 권한을 할당하는 단계;
    상기 클라우드 서비스 장치가 상기 일반 인증 및 보안 인증을 모두 수행한 단말기에게 일반 데이터베이스 기반의 일반 구역 접근 권한 및 보안 데이터베이스 기반의 보안 구역 접근 권한을 할당하는 단계;
    중 적어도 하나의 단계를 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 지원 방법.
  14. 제13항에 있어서
    상기 단말기가 상기 일반 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 일반 구역 접근 화면을 표시하는 단계;
    상기 일반 구역 접근 화면 일측에 상기 보안 인증 수행을 요청하는 보안키 맵을 표시하는 단계;
    상기 단말기가 상기 보안 인증 수행에 따라 상기 클라우드 서비스 장치가 제공하는 보안 구역 접근 화면 및 일반 구역 접근 화면 중 적어도 하나를 표시하는 단계;
    중 적어도 하나의 단계를 더 포함하는 것을 특징으로 하는 개선된 보안 기능 기반의 클라우드 서비스 지원 방법.
  15. 컴퓨터에 의해 실행되어,
    클라우드 서비스 장치 접속을 요청하는 단계;
    상기 클라우드 서비스 장치 접속을 위해 사전 등록한 아이디 및 패스워드를 포함하는 기본 인증 정보를 기반으로 일반 인증을 수행하는 단계;
    상기 일반 인증 수행 후 트러스티드 플랫폼 기반의 암호화된 정보를 기반으로 보안 인증을 수행하는 단계;
    상기 일반 인증 및 상기 보안 인증 수행 결과에 따라 상기 클라우드 서비스 장치가 제공하는 클라우드 서비스를 운용하는 단계;
    를 수행하는 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체.
PCT/KR2012/007134 2012-06-07 2012-09-05 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법 WO2013183814A1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
US13/991,054 US9055060B2 (en) 2012-06-07 2012-09-05 Cloud service system based on enhanced security function and method for supporting the same
JP2014520147A JP2014524091A (ja) 2012-06-07 2012-09-05 改善された保安機能基盤のクラウドサービスシステム及びこれを支援する方法
CN201280005702.8A CN103597492B (zh) 2012-06-07 2012-09-05 基于增强的安全功能的云服务系统以及支持该系统的方法
EP12850731.6A EP2860654A1 (en) 2012-06-07 2012-09-05 Improved security function-based cloud service system and method for supporting same

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2012-0061099 2012-06-07
KR1020120061099A KR101874081B1 (ko) 2012-06-07 2012-06-07 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법

Publications (1)

Publication Number Publication Date
WO2013183814A1 true WO2013183814A1 (ko) 2013-12-12

Family

ID=49712191

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2012/007134 WO2013183814A1 (ko) 2012-06-07 2012-09-05 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법

Country Status (6)

Country Link
US (1) US9055060B2 (ko)
EP (1) EP2860654A1 (ko)
JP (1) JP2014524091A (ko)
KR (1) KR101874081B1 (ko)
CN (1) CN103597492B (ko)
WO (1) WO2013183814A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110276206A (zh) * 2019-06-10 2019-09-24 Oppo广东移动通信有限公司 已加密内容的查看方法及查看系统

Families Citing this family (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9588803B2 (en) 2009-05-11 2017-03-07 Microsoft Technology Licensing, Llc Executing native-code applications in a browser
US8836601B2 (en) 2013-02-04 2014-09-16 Ubiquiti Networks, Inc. Dual receiver/transmitter radio devices with choke
US9496620B2 (en) 2013-02-04 2016-11-15 Ubiquiti Networks, Inc. Radio system for long-range high-speed wireless communication
US9495183B2 (en) 2011-05-16 2016-11-15 Microsoft Technology Licensing, Llc Instruction set emulation for guest operating systems
US11620719B2 (en) 2011-09-12 2023-04-04 Microsoft Technology Licensing, Llc Identifying unseen content of interest
US8806570B2 (en) 2011-10-11 2014-08-12 Citrix Systems, Inc. Policy-based application management
US9215225B2 (en) 2013-03-29 2015-12-15 Citrix Systems, Inc. Mobile device locking with context
US20140032733A1 (en) 2011-10-11 2014-01-30 Citrix Systems, Inc. Policy-Based Application Management
US20140053234A1 (en) 2011-10-11 2014-02-20 Citrix Systems, Inc. Policy-Based Application Management
US9280377B2 (en) 2013-03-29 2016-03-08 Citrix Systems, Inc. Application with multiple operation modes
US9529996B2 (en) 2011-10-11 2016-12-27 Citrix Systems, Inc. Controlling mobile device access to enterprise resources
US9413538B2 (en) 2011-12-12 2016-08-09 Microsoft Technology Licensing, Llc Cryptographic certification of secure hosted execution environments
US9389933B2 (en) 2011-12-12 2016-07-12 Microsoft Technology Licensing, Llc Facilitating system service request interactions for hardware-protected applications
US8613070B1 (en) 2012-10-12 2013-12-17 Citrix Systems, Inc. Single sign-on access in an orchestration framework for connected devices
US9516022B2 (en) 2012-10-14 2016-12-06 Getgo, Inc. Automated meeting room
US20140109176A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Configuring and providing profiles that manage execution of mobile applications
US20140109171A1 (en) 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US8910239B2 (en) 2012-10-15 2014-12-09 Citrix Systems, Inc. Providing virtualized private network tunnels
US9971585B2 (en) 2012-10-16 2018-05-15 Citrix Systems, Inc. Wrapping unmanaged applications on a mobile device
US9606774B2 (en) 2012-10-16 2017-03-28 Citrix Systems, Inc. Wrapping an application with field-programmable business logic
EP2909715B1 (en) 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US20140108793A1 (en) 2012-10-16 2014-04-17 Citrix Systems, Inc. Controlling mobile device access to secure data
US9397820B2 (en) 2013-02-04 2016-07-19 Ubiquiti Networks, Inc. Agile duplexing wireless radio devices
US9293817B2 (en) 2013-02-08 2016-03-22 Ubiquiti Networks, Inc. Stacked array antennas for high-speed wireless communication
US9455886B2 (en) 2013-03-29 2016-09-27 Citrix Systems, Inc. Providing mobile device management functionalities
US8849978B1 (en) 2013-03-29 2014-09-30 Citrix Systems, Inc. Providing an enterprise application store
US10284627B2 (en) 2013-03-29 2019-05-07 Citrix Systems, Inc. Data management for an application with multiple operation modes
US9355223B2 (en) 2013-03-29 2016-05-31 Citrix Systems, Inc. Providing a managed browser
US8813179B1 (en) * 2013-03-29 2014-08-19 Citrix Systems, Inc. Providing mobile device management functionalities
US20140297840A1 (en) 2013-03-29 2014-10-02 Citrix Systems, Inc. Providing mobile device management functionalities
BR112016007701B1 (pt) 2013-10-11 2023-01-31 Ubiquiti Inc Método para controlar a recepção de um rádio de banda larga sem fio
US9172605B2 (en) 2014-03-07 2015-10-27 Ubiquiti Networks, Inc. Cloud device identification and authentication
WO2015142723A1 (en) 2014-03-17 2015-09-24 Ubiquiti Networks, Inc. Array antennas having a plurality of directional beams
PL3127187T3 (pl) 2014-04-01 2021-05-31 Ubiquiti Inc. Zespół antenowy
CN105099984B (zh) * 2014-04-16 2019-07-02 百度在线网络技术(北京)有限公司 一种app间账号互通的方法和装置
CN106415575B (zh) * 2014-06-25 2020-03-20 英特尔公司 硬件配置报告系统
US9922200B2 (en) 2014-06-30 2018-03-20 Microsoft Technology Licensing, Llc Securely storing content within public clouds
US11751068B2 (en) 2014-06-30 2023-09-05 Ubiquiti Inc. Methods and tools for assisting in the configuration of a wireless radio network
ES2873999T3 (es) 2014-08-31 2021-11-04 Ubiquiti Inc Métodos y aparatos para monitorizar y mejorar el estado de una red inalámbrica
TW201616831A (zh) * 2014-10-27 2016-05-01 Chunghwa Telecom Co Ltd 具加解密功能之keymap存取模式雲端儲存服務
CN104301328A (zh) * 2014-10-29 2015-01-21 北京思特奇信息技术股份有限公司 一种云计算环境下的资源操作安全认证方法及系统
CN104580250A (zh) * 2015-01-29 2015-04-29 成都卫士通信息产业股份有限公司 一种基于安全芯片进行可信身份认证的系统和方法
KR102347827B1 (ko) * 2015-02-12 2022-01-07 삼성전자주식회사 보안 메시지 전송 장치 및 그 처리 방법
US10469651B2 (en) * 2015-07-06 2019-11-05 Iavatar Ltd Multi profile cloud platform of hidden system
PL3353989T3 (pl) 2015-09-25 2021-08-30 Ubiquiti Inc. Kompaktowe i zintegrowane urządzenie sterujące kluczami do monitorowania sieci
CN106230769B (zh) * 2016-06-28 2019-07-23 四川恒进依科技有限公司 基于移动终端信任度的移动云数据分级接入控制方法
US20180097809A1 (en) * 2016-09-30 2018-04-05 Intel Corporation Securing access to cloud components
CN106487798B (zh) * 2016-10-25 2020-01-14 Oppo广东移动通信有限公司 数据同步方法及装置
KR101709276B1 (ko) * 2016-11-17 2017-02-22 (주)세이퍼존 엔드 포인트 보안서버 관리 시스템
KR101719129B1 (ko) * 2016-11-18 2017-03-24 (주)세이퍼존 크로스 플랫폼 엔드포인트 보안시스템
CN107733912A (zh) * 2017-10-31 2018-02-23 珠海市魅族科技有限公司 信息加密方法、信息认证方法、终端及计算机可读存储介质
KR101997106B1 (ko) * 2018-04-05 2019-10-01 유니웹스 주식회사 파일 읽기 속도 향상 기능을 갖는 사설 클라우드 장치
KR102121147B1 (ko) * 2019-01-25 2020-06-12 주식회사 카사코리아 블록체인 상에서 외부 노드를 통한 트랜잭션 처리 방법 및 이러한 방법을 수행하는 장치
CN109933968A (zh) * 2019-02-25 2019-06-25 深兰科技(上海)有限公司 一种使用c/s架构的身份证识别系统
CN111262889B (zh) * 2020-05-06 2020-09-04 腾讯科技(深圳)有限公司 一种云服务的权限认证方法、装置、设备及介质
CN116405565A (zh) * 2020-06-29 2023-07-07 华为云计算技术有限公司 一种云服务的资源发放方法及相关设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070068255A (ko) * 2005-12-26 2007-06-29 인터내셔널 비지네스 머신즈 코포레이션 사용자 인증 장치와 방법 및 컴퓨터 프로그램
KR20090066060A (ko) * 2007-12-18 2009-06-23 한국전자통신연구원 Tpm을 이용한 가입자 식별 모듈의 사용 제한 방법 및이를 위한 이동 단말기
KR20110041233A (ko) * 2009-10-15 2011-04-21 한국전자통신연구원 모바일 클라우드 서비스 제공을 위한 모바일 단말 및 그의 동작 방법
KR20110051028A (ko) * 2009-11-09 2011-05-17 주식회사 케이티 보안 기능이 구비된 클라우드 컴퓨팅 시스템

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4181772B2 (ja) 2001-11-30 2008-11-19 キヤノン株式会社 サービス提供装置、サービス提供方法、コンピュータ読み取り可能な記録媒体及びコンピュータプログラム
US7711942B2 (en) * 2004-09-23 2010-05-04 Hewlett-Packard Development Company, L.P. Computer security system and method
US8972743B2 (en) * 2005-05-16 2015-03-03 Hewlett-Packard Development Company, L.P. Computer security system and method
JP5309496B2 (ja) 2007-08-09 2013-10-09 日本電気株式会社 認証システムおよび認証方法
WO2011116459A1 (en) * 2010-03-25 2011-09-29 Enomaly Inc. System and method for secure cloud computing
JP5589608B2 (ja) 2010-06-28 2014-09-17 富士通株式会社 生体認証装置および生体認証プログラム
CN102314566A (zh) * 2010-07-07 2012-01-11 上鋐科技股份有限公司 应用于云计算的机机认证与人机认证方法
US20120030475A1 (en) * 2010-08-02 2012-02-02 Ma Felix Kuo-We Machine-machine authentication method and human-machine authentication method for cloud computing
US8601265B2 (en) * 2010-11-22 2013-12-03 Netapp, Inc. Method and system for improving storage security in a cloud computing environment
US8799997B2 (en) * 2011-04-18 2014-08-05 Bank Of America Corporation Secure network cloud architecture

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070068255A (ko) * 2005-12-26 2007-06-29 인터내셔널 비지네스 머신즈 코포레이션 사용자 인증 장치와 방법 및 컴퓨터 프로그램
KR20090066060A (ko) * 2007-12-18 2009-06-23 한국전자통신연구원 Tpm을 이용한 가입자 식별 모듈의 사용 제한 방법 및이를 위한 이동 단말기
KR20110041233A (ko) * 2009-10-15 2011-04-21 한국전자통신연구원 모바일 클라우드 서비스 제공을 위한 모바일 단말 및 그의 동작 방법
KR20110051028A (ko) * 2009-11-09 2011-05-17 주식회사 케이티 보안 기능이 구비된 클라우드 컴퓨팅 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
RAMYA DEVI M ET AL.: "The Trusted Computing exemplary with Astonishing Security for Cloud Computing", IJCSNS INTERNATIONAL JOURNAL OF COMPUTER SCIENCE AND NETWORK SECURITY, vol. 11, no. 1, January 2011 (2011-01-01), pages 206 - 209, XP055136412 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110276206A (zh) * 2019-06-10 2019-09-24 Oppo广东移动通信有限公司 已加密内容的查看方法及查看系统
CN110276206B (zh) * 2019-06-10 2021-03-23 Oppo广东移动通信有限公司 已加密内容的查看方法及查看系统

Also Published As

Publication number Publication date
KR20140011496A (ko) 2014-01-29
US9055060B2 (en) 2015-06-09
KR101874081B1 (ko) 2018-07-03
US20130333005A1 (en) 2013-12-12
EP2860654A1 (en) 2015-04-15
CN103597492B (zh) 2016-08-31
JP2014524091A (ja) 2014-09-18
CN103597492A (zh) 2014-02-19

Similar Documents

Publication Publication Date Title
WO2013183814A1 (ko) 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법
KR101215343B1 (ko) 지역 도메인 관리 모듈을 가진 장치를 이용하여 도메인을 지역적으로 관리하는 장치 및 방법
WO2013191325A1 (ko) 트러스티드 플랫폼 기반의 개방형 아이디 인증 방법, 이를 위한 장치 및 시스템
WO2021147442A1 (zh) 访问控制方法、装置、终端设备和存储介质
WO2012050367A2 (en) Method and apparatus for downloading drm module
EP2491734A2 (en) Method and apparatus for providing service using personal network
WO2015009045A1 (en) Media based authentication and authorization for secure services
CA2862233A1 (en) Methods and devices for distributing content to an electronic device
WO2014042336A1 (ko) E-Business 거래에서의 전화인증방법, 그리고 E-Business 거래에서의 전화인증프로그램을 기록한 컴퓨터로 판독가능한 기록매체
WO2014003516A1 (ko) 데이터 공유 제공 방법 및 장치
WO2013183818A1 (ko) 멀티 디바이스 환경에서의 메시지 서비스 방법 및 시스템, 그리고 이를 위한 장치
WO2013039301A1 (en) Integrated operation method for social network service function and system supporting the same
WO2014175603A1 (ko) 음악 컨텐츠 이용 서비스 제공 방법 및 서버
WO2019039740A1 (en) METHOD FOR PROVIDING SERVICE UPDATE AND ELECTRONIC DEVICE SUPPORTING SAID METHOD
WO2016085050A1 (ko) 주변기기와 연동하는 사용자 단말기 및 그것을 이용한 정보 유출 방지 방법
US7310812B2 (en) Service executing method and service providing system
WO2021020918A1 (ko) 논리적 내부 네트워크를 제공하는 방법, 이를 구현하는 모바일 단말 및 어플리케이션
WO2013125883A1 (en) Drm/cas service device and method using security context
WO2021225329A1 (ko) 사용자 식별자 및 서명 수집을 이용한 모바일 애플리케이션 위변조 탐지 방법 및 시스템
WO2016200007A1 (ko) 분산 키 교환 프로토콜과 자기방어 보안기술을 이용한 보안 채팅 방법
WO2015093898A1 (ko) 단말간 암호화된 메시지를 송수신하는 방법 및 장치
WO2012030000A1 (ko) 지역 기반 서비스를 서비스 존 외부에서 제공하는 단말 및 방법
WO2012070865A2 (ko) 정보 공유 시스템 및 방법
WO2017074090A1 (ko) 투 채널 기반의 인증 방법 및 시스템
WO2021118005A1 (ko) 사용자 단말 및 사용자 계정을 관리하기 위한 계정 관리 서버의 제어 방법

Legal Events

Date Code Title Description
ENP Entry into the national phase

Ref document number: 2014520147

Country of ref document: JP

Kind code of ref document: A

WWE Wipo information: entry into national phase

Ref document number: 2012850731

Country of ref document: EP

WWE Wipo information: entry into national phase

Ref document number: 13991054

Country of ref document: US

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12850731

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE