KR101709276B1 - 엔드 포인트 보안서버 관리 시스템 - Google Patents

엔드 포인트 보안서버 관리 시스템 Download PDF

Info

Publication number
KR101709276B1
KR101709276B1 KR1020160153024A KR20160153024A KR101709276B1 KR 101709276 B1 KR101709276 B1 KR 101709276B1 KR 1020160153024 A KR1020160153024 A KR 1020160153024A KR 20160153024 A KR20160153024 A KR 20160153024A KR 101709276 B1 KR101709276 B1 KR 101709276B1
Authority
KR
South Korea
Prior art keywords
security
encryption
file
decryption module
local agent
Prior art date
Application number
KR1020160153024A
Other languages
English (en)
Inventor
김광연
안진영
권창훈
Original Assignee
(주)세이퍼존
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)세이퍼존 filed Critical (주)세이퍼존
Priority to KR1020160153024A priority Critical patent/KR101709276B1/ko
Application granted granted Critical
Publication of KR101709276B1 publication Critical patent/KR101709276B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 엔드포인트 보안서버 관리 시스템에 관한 것으로 보다 상세하게는, 클라우드 컴퓨팅 환경에서 파일의 보안 레벨을 향상시킬 수 있는 시스템에 관한 것이다. 이를 위해 본 발명의 바람직한 일 실시예에 따른 시스템에 있어서, 특히 보안키는 사용자 단말이 클라우드 서비스 이용 중 사용자 단말이 생성한 파일을 보안 설정하는 이벤트의 발생, 또는 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버에서 다운로드 하는 이벤트의 발생으로 로컬 에이전트가 보안 모드에 진입하면, 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어, 제2 암복호화 모듈을 통해 로컬 에이전트로부터 수신한 파일을 암호화, 암호화한 파일에 보안식별자 부여, 보안식별자가 부여된 파일을 조각, 조각 알고리즘 정보 생성을 수행하여, 보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송하거나, 제2 암복호화 모듈, 보안식별자 및 조각 알고리즘 정보를 통해 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여, 로컬 에이전트에 전송한다.

Description

엔드 포인트 보안서버 관리 시스템{Endpoint Security Server Management System}
본 발명은 엔드포인트 보안서버 관리 시스템에 관한 것으로 보다 상세하게는, 클라우드 컴퓨팅 환경에서 파일의 보안 레벨을 향상시킬 수 있는 시스템에 관한 것이다.
IT 자원의 효율적인 분배 및 데이터의 안전한 저장을 위해 최근에 클라우드 컴퓨팅 한경이 널리 이용되고 있다. 클라우드 컴퓨팅 개념은 이미 1960 년대에 미국의 컴퓨팅 학자인 존 매카시가 주창한바 있다. 최근에 통신 인프라가 급속하게 좋아지고 있고 컴퓨팅 환경의 자원을 효율적으로 분배하고자 하는 요구가 증대함에 따라 클라우드 컴퓨팅의 발전 및 개발 속도가 증가하고 있다.
클라우드 컴퓨팅 환경에서 사용자는 고사양의 단말기가 필요하지 않아서 클라이언트 레벨에서의 IT 장비 투자 비용이 절감되며, 사용 환경에 따른 IT 자원의 효율적인 분배가 가능한 장점이 있다. 클라우드 컴퓨팅 환경에서 유저는 언제 어디서나 클라우드 자원을 사용할 수 있다는 대표적인 장점 이면에는 보안 이슈가 존재한다.
엔드 포인트 보안 솔루션이라는 것은 최종 사용자 컴퓨터 단에서 보안 솔루션을 설치하여 제공하는 보안 기능으로서 주로, 정보유출방지, 매체제어(CDROM, USB, 이더넷), 사용자 관리 등을 포함한다. 기존에는 별도의 서버가 있고 이와 같이 개개인의 사용자 단말에 클라이언트 프로그램이라고 하는 에이전트 프로그램을 설치해서 보안 기능을 제공하고 있다. 최근에는 클라우드 컴퓨팅 영역에서 전통적인 서버-클라이언트 환경에서의 엔드 포인트 보안 솔루션을 응용한 클라우드 기반의 엔드 포인트 보안 서비스라는 개념이 도입되고 있다.
한국공개특허 제10-2014-0110042호(공개일: 2014.09.16)
본 발명은 클라우드 컴퓨팅 환경에서 파일의 보안 레벨을 향상시킬 수 있는 시스템을 제공하는 데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기에 설명될 것이며, 본 발명의 실시예에 의해 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 조합에 의해 실현될 수 있다.
상기와 같은 본 발명의 목적은 클라우드 서비스 제공을 위하여 1차 인증부 및 2차 인증부의 인증절차를 요구하는 클라우드 서버; 엔드 포인트 상에 설치되며, 상기 클라우드 서버와 연동하는 로컬 에이전트가 설치된 사용자 단말; 및 제1 암복호화 모듈과 제2 암복호화 모듈 및 모드 전환부가 구비되며, 상기 사용자 단말에 연결되는 보안키;를 포함하는 엔드포인트 보안서버 관리 시스템에 의해 달성될 수 있다.
여기서, 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 보안 설정된 파일을 클라우드 서버로 업로드 또는 클라우드 서버에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 사용자 단말과 연동하는 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어 상기 로컬 에이전트로부터 수신한 보안 설정된 파일을 상기 제2 암복호화 모듈에서 암복호화하는 것일 수 있다.
또는 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 사용자 단말이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어, 상기 제2 암복호화 모듈을 통해 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화, 암호화한 파일에 보안식별자 부여, 보안식별자가 부여된 파일을 조각, 조각 알고리즘 정보 생성을 수행하여, 보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송하는 것일 수 있다.
또한, 상기 보안키는 상기 사용자 단말이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈에서 제2 암복호화 모듈로 전환하는 모드 전환부를 통해 제2 암복호화 모듈로 전환되어, 상기 제2 암복호화 모듈, 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여, 상기 로컬 에이전트에 전송하는 것일 수 있다.
또한, 상기 사용자 단말은 상기 클라우드 서버의 1차 인증부의 인증 절차에 따라 1차 인증되어 클라우드 서버와 연결되고, 상기 제1 암복호화 모듈을 이용하여 상기 클라우드 서버의 2차 인증부의 인증 절차에 사용되는 인증 ID를 복호화함으로써 2차 인증되어 상기 클라우드 서비스를 제공받는 것일 수 있다.
또한, 상기 제1 암복호화모듈과 상기 제2 암복호화모듈은 상호 다른 암복호화 알고리즘이 탑재되는 것일 수 있다.
본 발명에 의하면, 클라우드 컴퓨팅 환경에서, 인증 시 사용되는 ID를 별도의 하드웨어인 보안키에서 복호화하는 것에 의해 보안 레벨이 향상될 수 있다.
또한, 본 발명은 파일을 복수개의 파일 조각으로 분할하여 클라우드 서버에 저장하고, 저장된 복수개의 파일 조각을 결합할 때에는 보안식별자 및 조각 알고리즘 정보를 요구하므로 클라우드 서버에 보관된 파일이 유출되더라도 정당한 사용자가 아닌 한 파일을 결합하거나, 복호화할 수 없어 보안성이 강화된다.
도 1은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템을 나타낸 도면,
도 2는 도 1의 클라우드 서버의 기능 블록도,
도 3은 도 1의 보안키의 기능 블록도,
도 4 내지 도 7은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템에 있어서 정보의 흐름 및 처리 과정을 나타낸 도면.
첨부한 도면들을 참조하여 본 발명의 바람직한 실시 예들을 상세히 설명하기로 한다. 그러나 본 발명은 여기서 설명되는 실시 예들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 오히려, 여기서 소개되는 실시 예들은 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.
따라서, 본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예들을 가질 수 있으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
한편, 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되는 것은 아니다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소는 제 1 구성요소로 명명될 수 있다.
및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
본 발명에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 발명에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미가 있는 것으로 해석되어야 하며, 본 발명에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하 첨부된 도면을 참조로 본 발명의 바람직한 실시예를 상세히 설명하기로 한다. 이에 앞서, 본 명세서 및 청구 범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정해서 해석되어서는 아니되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다.
도 1은 본 발명에 따른 엔드 포인트 보안서버 관리 시스템(이하, '관리 시스템'이라 한다)의 개략도이다.
관리 시스템은 네트워크를 통해 상호 통신하는 클라우드 서버(100), 사용자 단말(엔드 포인트)(200), 스마트폰(400), 인증번호관리서버(500)를 포함하고, USB 포트를 통해 사용자 단말(200)에 연결되는 보안키(300)를 포함할 수 있다. 여기서, 사용자 단말(200)은 네트워크 토폴로지 상 엔드 포인트를 의미한다.
클라우드 서버(100)는 클라우드 서비스 인터페이스 기능, 인증 기능, SaaS(Software as a Service), PaaS(Platform as a Service), Haas(Hardware as a Service), IaaS(Infrastructure as a service)를 제공할 수 있다. 클라우드 서버(100)는 1차 인증부(110), 로컬에이전트 제공부(120), 2차 인증부(130), 클라우드 서비스 제공부(140)를 포함할 수 있다. 1차 인증부(110)는 사용자 단말(200) 상에 입력되는 아이디/패스워드를 통해 유저에 대한 1차 인증을 수행할 수 있다. 로컬에이전트 제공부(120)는 상기 1차 인증이 완료되는 것에 대응하여, 로컬 에이전트를 사용자 단말(200)에 전송할 수 있다. 2차 인증부(130)는 사용자 단말에서 실행되는 로컬 에이전트로부터 2차 인증 요청이 있으면, 기 등록된 암호화된 2차 인증 ID를 사용자 단말(200)에 제공할 수 있다. 상기 2차 인증 ID는 유저가 최초로 클라우드 서버(100)에의 접속시 로컬 에이전트를 통해 등록한 정보일 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 그리고, 2차 인증부(130)는 로컬 에이전트로부터 보안키에 의해 복화화된 2차 인증 ID를 수신하면 이를 사용해 유저에 대한 2차 인증을 수행할 수 있다. 2차 인증이 완료되면, 클라우드 서비스 제공부(140)는 클라우드 서비스를 사용자 단말에 제공할 수 있다.
사용자 단말(200)은 네트워크 토폴리지 상 엔드 포인트일 수 있다. 네트워크를 통한 통신 기능을 가지는 한 본 발명의 사용자 단말에 속할 수 있다. 클라우드 서비스를 이용하고자 하는 경우, 사용자 단말(200)은 클라우드 서버(100)로부터 로컬 에이전트를 수신하고 이를 설치/실행할 수 있다. 로컬 에이전트는 후술하는 클라우드 서비스 전용 에이전트일 수 있다. 사용자 단말(200)은 USB 포트를 가지며, 이를 통해, 보안키(300)가 연결될 수 있다. 보안키(300)가 연결되는 것에 대응하여, 로컬 에이전트는 클라우드 서버(100)로 2차 인증을 요청할 수 있다. 이때, 클라우드 서버(100)는 2차 인증 ID를 사용자 단말(200)로 제공할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 로컬 에이전트는 2차 인증 ID를 클라우드 서버(100)로부터 수신하면, 이를 보안키(300)에 제공할 수 있다. 이때, 보안키(300)는 제1암복호화모듈(310) 상에서 2차 인증 ID를 복호화하고, 복호화된 2차 인증 ID를 로컬 에이전트에 제공할 수 있다. 이때, 로컬 에이전트는 복호화된 ID를 클라우드 서버(100)에 제공할 수 있고, 클라우드 서버(100)는 복호화된 2차 인증 ID를 사용해 2차 인증을 수행할 수 있다. 2차 인증이 완료되면, 유저는 로컬 에이전트를 통해 클라우드 서비스를 클라우드 서버(100)로부터 제공 받을 수 있다. 클라우드 서비스 이용 중 로컬 에이전트는 유저가 보안 설정이 되어 있는 파일을 클라우드 서버(100)로 요청한 경우, 로컬 에이전트는 보안모드로 진입할 수 있다. 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입할 수 있다. 유저가 파일 작업 후 클라우드 서버(100)로 업로드 할 때 보안 설정을 한 경우 보안키(300) 상의 제2암복호화모듈(330)은 파일의 암호화 함과 더불어 파일명에 보안식별자를 병기할 수 있다. 그리고, 로컬 에이전트는 보안 식별자가 병기된 파일명을 가지는 파일을 클라우드 서버(100)로 업로드 할 수 있다. 이 같은 배경에서, 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입하게 된다. 보안 모드에 진입하게 되면, 로컬 에이전트는 인증번호관리서버(500)로 인증번호를 요청할 수 있다. 이에 대응하여, 인증번호관리서버(500)는 인증번호를 기 설정된 번호를 가지는 스마트폰(400)으로 전송할 수 있다. 여기서, 스마트폰(400)은 정당한 보안키(300) 소유자가 소유하는 스마트폰(400)일 수 있다. 이때, 유저에 의해 사용자 단말(200) 상에 인증번호가 입력되면, 로컬 에이전트는 인증번호를 보안키(300)에 제공할 수 있다. 이때, 보안키 상의 모드 전환부(320)는 보안키(300) 상에 저장된 인증번호와 로컬 에이전트가 제공한 인증번호가 동일한 경우, 사용자 단말(200)와 연동하는 암복호화모듈을 제1암복호화모듈(310)에서 제2암복호화모듈(330)로 전환할 수 있다. 이때, 클라우드 서버(100)가 제공하는 보안식별자를 가지는 파일은 로컬 에이전트의 요청에 의해 제2암복호화모듈(330) 상에서 암복호화가 수행될 수 있다. 유저가 제2암복화화모듈(330)을 사용해 복호화된 파일을 작업하고 로컬 에이전트를 통해 업로드를 요청하면, 로컬 에이전트는 제2암복호화모듈(330)에 암호화를 요청할 수 있다. 요청시, 암호화 대상 파일이 제2암복호화모듈(330)에 제공될 수 있다. 이때, 제2암복호화모듈(330)은 암호화 대상 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다. 암호화가 완료되면 로컬 에이전트는 보안식별자가 병기된 파일명을 가지는 암호화된 파일을 클라우드 서버(100)로 업로드 할 수 있다. 업로드가 완료되면, 로컬 에이전트의 보안모드는 종료될 수 있다.
보안키(300)는 제1암호화모둘(310), 모드 전환부(320), 제2암호화모듈(330)을 포함할 수 있다. 보안키(300)는 상기 사용자 단말(200)와는 별개의 하드웨어로서, USB 타입으로 제작될 수 있다. 그리고, 보안키(300)는 USB를 통해 사용자 단말(200)에 접속될 수 있다.
제1암복호화모듈(310)은 상술한 2차 인증 시, 로컬 에이전트의 요청에 의해 2차 인증 ID를 복호화할 수 있다. 그리고, 제1암호화모듈(310)은 최초 클라우드 서비스 이용시, 2차 인증 ID를 암호화할 수 있다. 이때, 로컬 에이전트는 암호화된 2차 인증 ID를 클라우드 서버(100)에 등록할 수 있다. 모드 전환부(320)는 로컬 에이전트로부터 인증번호가 포함된 모드 전환 요청를 수신하면, 사용자 단말(200)와 연동하는 암보호화모듈을 제1암복호호모듈에서 제2암복호화모듈로 전환할 수 있다. 제2암호화모듈(330)은 로컬 에이전트를 통해 전달받는 보안식별자를 가지는 파일을 복화화할 수 있고, 역으로 유저가 사용자 단말 상에서 작업한 파일의 업로드를 요청하면 로컬 에이전트의 요청에 의해 그 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다.
한편, 상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스 이용 중 사용자 단말(200)이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환될 수 있다. 이때 제2 암복호화 모듈(330)은 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화하고, 암호화한 파일에 보안식별자 부여하며, 보안식별자가 부여된 파일을 여러 조각으로 분해하고, 여러 조각으로 분해된 파일을 결합시 이용하기 위한 조각 알고리즘 정보를 생성하여, 보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송할 수 있다.
또한, 상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환될 수 있다. 이때 암복호화 모듈(330), 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여, 상기 로컬 에이전트에 전송한다.
조각 알고리즘 정보는 파일의 식별 정보, 파일의 크기 정보, 파일 조각 각각의 크기 정보, 파일 내에서 파일 조각 각각의 위치 정보 및 파일 내에서 파일 조각의 순서 정보를 포함할 수 있다.
상기 제1암복호화모듈과 상기 제2암복호화모듈은 각각 다른 암복화화알고리즘이 탑재될 수 있다.
이하, 상기와 같은 보안 시스템의 동작 프로세스에 대하여 설명한다. 이하의 설명에 의해, 상기 보안 시스템의 구성이 보다 명확해 질 수 있다.
< 1차 인증 과정 >
사용자 단말(200)은 유저 조작에 의해 클라우드 서버(100)에 접속할 수 있고, ① 사용자 단말(200) 상에 입력되는 아이디/패스워드를 통해 ② 클라우드 서버(100)는 1차 인증을 할 수 있다. 인증에 실패한 경우, 사용자 단말과 클라우드 서버의 세션이 종료될 수 있다. 1차 인증이 완료되는 것에 대응하여 클라우드 서버(100)는 로컬 에이전트를 사용자 단말(200)로 전송할 수 있다(도 4 참조). 이때, 사용자 단말(200) 상에 로컬 에이전트가 설치되고, 실행될 수 있다. 로컬 에이전트를 클라우드 서버(100)를 통해 클라우드 서비스를 이용하기 위한 에이전트일 수 있다.
< 2차 인증 과정 >
① 보안키(300)가 사용자 단말(200)에 연결된 수 있다. 보안키(300)는 USB 타입으로 제작되어, USB 포트를 통해 보안키(300)는 사용자 단말(200)에 연결될 수 있다.
② 보안키(300)가 연결되는 것에 대응하여, 로컬 에이전트는 클라우드 서버(100)로 2차 인증을 요청할 수 있다. ③ 이때, 클라우드 서버(100)는 2차 인증 ID를 사용자 단말(200)로 제공할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 2차 인증 ID는 암호화된 ID일 수 있으며, 클라우드 서비스 초기 접속시 보안키(300)에 의해 암호화된 ID일 수 있다. 로컬 에이전트는 2차 인증 ID를 클라우드 서버(100)로부터 수신하면, 이를 보안키에 제공할 수 있다. ④ 이때, 보안키(300)는 제1암복호화모듈(310) 상에서 2차 인증 ID를 복호화하고, 복호화된 2차 인증 ID를 로컬 에이전트에 제공할 수 있다. 로컬 에이전트는 복호화된 ID를 클라우드 서버(100)에 제공할 수 있고, 클라우드 서버(100)는 복호화된 2차 인증 ID를 사용해 2차 인증을 수행할 수 있다.
⑤ 2차 인증이 완료되면, 클라우드 서버(100)는 클라우드 서비스를 사용자 단말에 제공할 수 있다. 이때, 로컬 에이전트는 클라우드 서비스 이용을 위해 유저 인터페이스 기능을 수행할 수 있다. 여기서, 클라우드 서버(100)가 제공하는 클라우드 서비스는 주지된 SaaS(Software as a Service), PaaS(Platform as a Service), Haas (Hardware as a Service), IaaS (Infrastructure as a service)를 모두 포함할 수 있다. 2차 인증에 실패한 경우, 로컬 에이전트와 클라우드 서버(100) 간의 세션을 종료될 수 있다.
< 파일 보안 과정 1>
클라우드 서비스 이용 중 로컬 에이전트는 유저가 보안 설정이 되어 있는 파일을 클라우드 서버(100)로 요청한 경우(S110), 로컬 에이전트는 보안모드로 진입할 수 있다. 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입할 수 있다(S120,S130)). 유저가 파일 작업 후 클라우드 서버(100)로 업로드 할 때 보안 설정을 한 경우 보안키(300) 상의 제2암복호화모듈(330)은 파일의 암호화 함과 더불어 파일명에 보안식별자를 병기할 수 있다(S140). 그리고, 로컬 에이전트는 보안 식별자가 병기된 파일명을 가지는 파일을 클라우드 서버(100)로 업로드 할 수 있다(S150). 이 같은 배경에서, 로컬 에이전트는 유저가 요청한 파일명 상에서 보안 식별자가 감지된 경우 보안 모드에 진입하게 된다(S110,S120).
보안 모드에 진입하게 되면, 로컬 에이전트는 인증번호관리서버(500)로 인증번호를 요청할 수 있다. 이에 대응하여, 인증번호관리서버(500)는 인증번호를 기 설정된 번호를 가지는 스마트폰(400)으로 전송할 수 있다. 여기서, 스마트폰(400)은 정당한 보안키(300) 소유자가 소유하는 스마트폰(400)일 수 있다.
이때, 유저에 의해 사용자 단말(200) 상에 인증번호가 입력되면, 로컬 에이전트는 인증번호를 포함하는 모드 전환 요청을 보안키(300)에 제공할 수 있다. 이때, 보안키 상의 모드 전환부(320)는 보안키(300) 상에 저장된 인증번호와 로컬 에이전트가 제공한 인증번호가 동일한 경우, 사용자 단말(200)과 연동하는 암복호화모듈을 제1암복호화모듈(310)에서 제2암복호화모듈(330)로 전환할 수 있다(S130). 인증에 실패한 경우, 모드 전환부(320)는 모드 전환을 불허하는 메시지를 로컬 에이전트에 제공할 수 있다.
이때, 클라우드 서버(100)가 제공하는 보안식별자를 가지는 파일은 로컬 에이전트의 요청에 의해 제2암복호화모듈(330) 상에서 암복호화가 수행될 수 있다(S150). 유저가 제2암복화화모듈(330)을 사용해 복호화된 파일을 작업하고 로컬 에이전트를 통해 업로드를 요청하면, 로컬 에이전트는 제2암복호화모듈(330)에 암호화를 요청할 수 있다. 요청시, 암호화 대상 파일이 제2암복호화모듈(330)에 제공될 수 있다. 이때, 제2암복호화모듈(330)은 암호화 대상 파일을 암호화함과 동시에 파일명에 보안식별자를 병기할 수 있다(S140). 암호화가 완료되면 로컬 에이전트는 보안식별자가 병기된 파일명을 가지는 암호화된 파일을 클라우드 서버(100)로 업로드 할 수 있다(S150). 업로드가 완료되면, 로컬 에이전트의 보안모드는 종료될 수 있다.
이상과 같이, 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술 사상과 아래에 기재될 특허청구범위의 균등 범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
100: 클라우드 서버
200: 사용자 단말(엔드포인트)
300: 보안키
400: 스마트폰
500: 인증번호관리서버

Claims (5)

  1. 클라우드 서비스 제공을 위하여 1차 인증부(110) 및 2차 인증부(130)의 인증절차를 요구하는 클라우드 서버(100);
    엔드 포인트 상에 설치되며, 상기 클라우드 서버(100)와 연동하는 로컬 에이전트가 설치된 사용자 단말(200); 및
    제1 암복호화 모듈(310)과 제2 암복호화 모듈(330) 및 모드 전환부(320)가 구비되며, 상기 사용자 단말(200)에 연결되는 보안키(300);를 포함하며,
    상기 보안키(300)는 상기 사용자 단말(200)이 클라우드 서비스를 제공받을 수 있도록 로컬 에이전트를 통해 상기 클라우드 서버(100)로부터 암호화된 인증 ID를 수신하고, 상기 인증 ID를 복호화하여 클라우드 서버(100)로 전송하는 일련의 과정으로 상기 2차 인증부(130)의 인증 절차를 수행하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
  2. 제 1항에 있어서,
    상기 보안키(300)는
    상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안 설정된 파일을 클라우드 서버(100)로 업로드 또는 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면, 상기 사용자 단말(200)과 연동하는 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어 상기 로컬 에이전트로부터 수신한 보안 설정된 파일을 상기 제2 암복호화 모듈(330)에서 암복호화하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
  3. 제 1항에 있어서,
    상기 보안키(300)는
    상기 사용자 단말(200)이 클라우드 서비스 이용 중 사용자 단말(200)이 생성한 파일을 보안 설정하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면,
    상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어,
    상기 제2 암복호화 모듈(330)을 통해 상기 로컬 에이전트로부터 수신한 상기 파일을 암호화, 암호화한 파일에 보안식별자 부여, 보안식별자가 부여된 파일을 조각, 조각 알고리즘 정보 생성을 수행하여,
    보안식별자 및 조각 알고리즘 정보는 저장하고, 보안식별자가 부여되고 암호화된 조각 파일은 로컬 에이전트에 전송하는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
  4. 제 3항에 있어서,
    상기 보안키(300)는
    상기 사용자 단말(200)이 클라우드 서비스 이용 중 보안식별자가 부여되고 암호화된 조각 파일을 클라우드 서버(100)에서 다운로드 하는 이벤트의 발생으로 상기 로컬 에이전트가 보안 모드에 진입하면,
    상기 제1 암복호화 모듈(310)에서 제2 암복호화 모듈(330)로 전환하는 모드 전환부(320)를 통해 제2 암복호화 모듈(330)로 전환되어,
    상기 제2 암복호화 모듈(330), 보안식별자 및 조각 알고리즘 정보를 통해 상기 로컬 에이전트로부터 수신한 상기 보안식별자가 부여되고 암호화된 조각 파일을 결합 및 복호화하여,
    상기 로컬 에이전트에 전송하는 것을 특징으로 하는 엔드포인트 보안 서버 관리 시스템.
  5. 제 1항 내지 제 4항 중 어느 한 항에 있어서,
    상기 사용자 단말(200)은
    상기 클라우드 서버(100)의 1차 인증부(110)의 인증 절차에 따라 1차 인증되어 클라우드 서버(100)와 연결되고,
    상기 보안키(300)의 제1 암복호화 모듈(310)을 이용하여 상기 클라우드 서버(100)의 2차 인증부(130)의 인증 절차에 사용되는 인증 ID를 복호화함으로써 2차 인증되어 상기 클라우드 서비스를 제공받는 것을 특징으로 하는 엔드포인트 보안서버 관리 시스템.
KR1020160153024A 2016-11-17 2016-11-17 엔드 포인트 보안서버 관리 시스템 KR101709276B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160153024A KR101709276B1 (ko) 2016-11-17 2016-11-17 엔드 포인트 보안서버 관리 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160153024A KR101709276B1 (ko) 2016-11-17 2016-11-17 엔드 포인트 보안서버 관리 시스템

Publications (1)

Publication Number Publication Date
KR101709276B1 true KR101709276B1 (ko) 2017-02-22

Family

ID=58314630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160153024A KR101709276B1 (ko) 2016-11-17 2016-11-17 엔드 포인트 보안서버 관리 시스템

Country Status (1)

Country Link
KR (1) KR101709276B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101971225B1 (ko) * 2018-10-11 2019-04-22 옥임식 클라우드 서버의 데이터 전송 보안 시스템 및 그 제공 방법
CN111176710A (zh) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 一种终端软件管理***的运行方法及终端软件管理***
KR20230066754A (ko) 2021-11-08 2023-05-16 주식회사 발카리 블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20140011496A (ko) * 2012-06-07 2014-01-29 에스케이플래닛 주식회사 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법
JP2014517420A (ja) * 2011-06-17 2014-07-17 アリババ・グループ・ホールディング・リミテッド クラウド記憶のためのファイル処理方法、システム、およびサーバクラスタ化システム
KR20140110042A (ko) 2012-03-09 2014-09-16 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 클라우드 컴퓨팅 보안 데이터 저장

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014517420A (ja) * 2011-06-17 2014-07-17 アリババ・グループ・ホールディング・リミテッド クラウド記憶のためのファイル処理方法、システム、およびサーバクラスタ化システム
KR20140110042A (ko) 2012-03-09 2014-09-16 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 클라우드 컴퓨팅 보안 데이터 저장
KR20140011496A (ko) * 2012-06-07 2014-01-29 에스케이플래닛 주식회사 개선된 보안 기능 기반의 클라우드 서비스 시스템 및 이를 지원하는 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101971225B1 (ko) * 2018-10-11 2019-04-22 옥임식 클라우드 서버의 데이터 전송 보안 시스템 및 그 제공 방법
CN111176710A (zh) * 2019-12-30 2020-05-19 宁波视睿迪光电有限公司 一种终端软件管理***的运行方法及终端软件管理***
CN111176710B (zh) * 2019-12-30 2023-10-03 宁波视睿迪光电有限公司 一种终端软件管理***的运行方法及终端软件管理***
KR20230066754A (ko) 2021-11-08 2023-05-16 주식회사 발카리 블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치

Similar Documents

Publication Publication Date Title
CN110636062B (zh) 设备的安全交互控制方法、装置、电子设备及存储介质
EP3723399A1 (en) Identity verification method and apparatus
US10601801B2 (en) Identity authentication method and apparatus
US9577784B2 (en) System, device, and method for securing voice authentication and end-to-end speech interaction
CN107358441B (zh) 支付验证的方法、***及移动设备和安全认证设备
CN108282329B (zh) 一种双向身份认证方法及装置
CN106790223B (zh) 一种数据传输的方法和设备及其***
CN111783068B (zh) 设备认证方法、***、电子设备及存储介质
US11159329B2 (en) Collaborative operating system
US8811609B2 (en) Information protection system and method
TWI636373B (zh) Method and device for authorizing between devices
WO2015024419A1 (zh) 一种内容共享方法、装置和***
CN108809633B (zh) 一种身份认证的方法、装置及***
CN103458400A (zh) 一种语音加密通信***中的密钥管理方法
CN107454590A (zh) 一种数据加密方法、解密方法及无线路由器
CN103036880A (zh) 网络信息传输方法、设备及***
US20190044922A1 (en) Symmetric key identity systems and methods
CN102404337A (zh) 数据加密方法和装置
KR101709276B1 (ko) 엔드 포인트 보안서버 관리 시스템
CN106411520B (zh) 一种虚拟资源数据的处理方法、装置及***
CN107155184B (zh) 一种带有安全加密芯片的wifi模块及其通信方法
CN104270380A (zh) 基于移动网络和通信客户端的端到端加密方法和加密***
CN113422832B (zh) 文件传输方法、装置、设备和存储介质
CN111901335B (zh) 基于中台的区块链数据传输管理方法及***
CN107682380B (zh) 一种交叉认证的方法及装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200204

Year of fee payment: 4