IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > スパロー カンパニー リミテッド

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ スパロー カンパニー リミテッドの特許一覧

特許7508052機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置
<>
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図1
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図2
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図3
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図4
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図5
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図6
  • 特許-機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置 図7
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-06-21
(45)【発行日】2024-07-01
(54)【発明の名称】機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置
(51)【国際特許分類】
   H04L 9/08 20060101AFI20240624BHJP
   G06F 21/60 20130101ALI20240624BHJP
   G06F 21/57 20130101ALI20240624BHJP
   G06F 21/62 20130101ALI20240624BHJP
   H04L 9/14 20060101ALI20240624BHJP
【FI】
H04L9/08 D
G06F21/60 320
G06F21/57 370
G06F21/62 318
H04L9/14
【請求項の数】 12
(21)【出願番号】P 2022193368
(22)【出願日】2022-12-02
(65)【公開番号】P2023083259
(43)【公開日】2023-06-15
【審査請求日】2022-12-02
(31)【優先権主張番号】10-2021-0172209
(32)【優先日】2021-12-03
(33)【優先権主張国・地域又は機関】KR
(73)【特許権者】
【識別番号】518229630
【氏名又は名称】スパロー カンパニー リミテッド
(74)【代理人】
【識別番号】100121728
【弁理士】
【氏名又は名称】井関 勝守
(74)【代理人】
【識別番号】100165803
【弁理士】
【氏名又は名称】金子 修平
(74)【代理人】
【識別番号】100170900
【弁理士】
【氏名又は名称】大西 渉
(72)【発明者】
【氏名】左太彬
【審査官】青木 重徳
(56)【参考文献】
【文献】米国特許出願公開第2014/0245026(US,A1)
【文献】特開2017-174176(JP,A)
【文献】特開2021-048444(JP,A)
【文献】国際公開第2017/061950(WO,A1)
【文献】特表2020-527794(JP,A)
【文献】みやもとひさし ほか,先駆者ユーザーが語るクラウドの選択 コスト、機能、SLA、セキュリティ、ロケーションをどう見るか PART3,日経SYSTEMS,日本,日経BP社,2015年01月26日,第262号 ,p.28-33
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08
G06F 21/60
G06F 21/57
G06F 21/62
H04L 9/14
(57)【特許請求の範囲】
【請求項1】
機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置であって、
クラウドに接続するネットワークのユーザから入力されるデータに分析ID(identification)を付与し、前記ユーザから暗号化されたデータの伝達を要請されるクラウドサービスモジュールと、
前記クラウドに接続するオンプレミスに位置し、前記分析IDに基づいて暗号化鍵を生成する鍵生成サービスユニットと、
前記暗号化鍵と予め設定された暗号化アルゴリズムとを用いて前記データを暗号化する暗号化処理ユニットと、
前記データの暗号化に用いた暗号化鍵を論理演算することによって、予め指定されるビットを反転させる論理演算ユニットと、
前記オンプレミスから前記暗号化されたデータと前記暗号化鍵とを受け、前記暗号化鍵を論理演算して復元し、復元された暗号化鍵と復号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化する復号化サービスモジュールと、
を含む、ハイブリッドクラウド基盤のセキュリティサービス装置。
【請求項2】
前記復号化サービスモジュールは、前記クラウドに搭載される、請求項1に記載のハイブリッドクラウド基盤のセキュリティサービス装置。
【請求項3】
前記データは、セキュリティが必要な情報としてソースコード又はセキュリティホールの検出結果を含む、請求項1に記載のハイブリッドクラウド基盤のセキュリティサービス装置。
【請求項4】
前記クラウドと前記オンプレミスとの間で取り交わすデータは、暗号化を経て伝達される、請求項1に記載のハイブリッドクラウド基盤のセキュリティサービス装置。
【請求項5】
前記暗号化アルゴリズム又は前記復号化アルゴリズムは、AES(advanced encryption standard)を用いる対称鍵暗号化アルゴリズムである、請求項1に記載のハイブリッドクラウド基盤のセキュリティサービス装置。
【請求項6】
機密データのセキュリティ性のためのクラウド及びオンプレミスを含むハイブリッドクラウドのセキュリティサービス装置によって行われる、ハイブリッドクラウド基盤のセキュリティサービス方法であって、
前記クラウドが、入力されるデータに固有ID(identification)を付与するステップと、
前記オンプレミスが、前記固有IDを通じて暗号化鍵を生成するステップと、
前記オンプレミスが、前記データを暗号化アルゴリズムを用いて暗号化するステップと、
前記オンプレミスが、前記データの暗号化に用いた暗号化鍵を論理演算した後、論理演算された暗号化鍵を前記暗号化アルゴリズムで暗号化されたデータと共に前記オンプレミスのストレージ又はDB(database)に保存するステップと、
前記クラウドが、前記クラウドに接続するネットワークのユーザから前記暗号化されたデータの伝達を要請されるステップと、
前記クラウドが、前記暗号化されたデータと前記論理演算された暗号化鍵とを共に前記オンプレミスから受けるステップと、
前記クラウドが、前記論理演算された暗号化鍵を再度論理演算して暗号化鍵を復元するステップと、
前記クラウドが、前記復元された暗号化鍵と復号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化するステップと、
を含む、ハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項7】
前記データは、セキュリティが必要な情報としてソースコード又はセキュリティホールの検出結果を含む、請求項6に記載のハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項8】
前記クラウドと前記オンプレミスとの間の通信時に取り交わすデータは、暗号化を経て伝達される、請求項6に記載のハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項9】
前記暗号化アルゴリズム及び前記復号化アルゴリズムは、AES(advanced encryption standard)を用いる対称鍵暗号化アルゴリズムである、請求項6に記載のハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項10】
前記論理演算は、XOR演算を含む、請求項9に記載のハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項11】
クラウドとオンプレミスとを含むハイブリッドクラウド基盤のセキュリティサービス方法であって、
ユーザからネットワークを介したデータアップロードを通じてデータを受けるステップと、
受けたデータに分析ID(identification)を付与するステップと、
前記分析IDをオンプレミスに伝達するステップ(ここで、前記オンプレミスは、前記分析IDに基づいて暗号化鍵を生成し、前記暗号化鍵と暗号化アルゴリズムとを用いて前記データを暗号化し、前記データの暗号化に用いた暗号化鍵を論理演算して、予め指定した少なくとも一つ以上のビットを反転させ、前記分析ID及び前記暗号化されたデータの保存位置情報と共にDB(database)に保存し、前記暗号化されたデータをストレージに保存する)と、
前記ユーザから前記暗号化されたデータの伝達を要請されるステップと、
前記暗号化されたデータの伝達に対する要請に応じて分析IDを生成してオンプレミスに伝達するステップ(ここで、前記オンプレミスは、該分析IDに基づいて、前記DBから前記暗号化鍵と前記暗号化されたデータとの保存位置情報を抽出し、前記保存位置情報に基づいて、前記ストレージから前記暗号化されたデータを抽出する)と、
前記オンプレミスから前記暗号化されたデータと前記暗号化鍵とを受けるステップと、
前記暗号化鍵を論理演算して復元し、復元された暗号化鍵と復号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化するステップと、
を含む、ハイブリッドクラウド基盤のセキュリティサービス方法。
【請求項12】
前記復号化されたデータをクラウドサービスを通じてユーザに提供するステップをさらに含む、請求項11に記載のハイブリッドクラウド基盤のセキュリティサービス方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、クラウドセキュリティサービス技術に関し、より詳しくは、機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法及び装置に関する。
【背景技術】
【0002】
クラウド基盤のセキュリティ技術は、いわゆるSECaaS(Security as a Service)と呼ばれる。このようなSECaaSは、クラウドを用いて顧客が必要とするセキュリティサービスを提供することを指す。
【0003】
図1は、従来のサービス型ソフトウェア(software as a service:SaaS)のためのクラウドシステムに対する概略図である。従来の一部のSaaSは、AWS(登録商標)(amazon web service)クラウド(200a)を基本として、ソースコードセキュリティ及びアプリケーションセキュリティのための静的分析及び動的分析サービスをユーザ(100)に提供する。
【0004】
静的分析は、JAVA(登録商標)、JSP、Javascript(登録商標)、PHP、C#、ASP(.NET)、Objective C、Python(登録商標)、HTML、SQL、XMLなど主要プログラム言語に該当する国内外の多様な点検基準を選択し、ソースコードのセキュリティホール及び品質を点検する。
【0005】
動的分析は、基本的なHTTPメッセージ分析からAjax分析まで多様な分析及びブラウザーで行えるイベントの再現により、ウェッブアプリケーションのURLに含まれたすべての下位経路を自動で収集し、収集された経路に存在するセキュリティホールを検出する。
【0006】
基本的に、ユーザは、パブリックサブネット(オープンネット)に位置するウェッブアプリケーション(フロントエンド)を介してプライベートサブネット(クローズドネット)内に位置するサーバーにアクセス(REST API基盤)してサービスを利用する。プライベートサブネット(クローズドネット)には、各サービスのためのサーバーと、DB、S3バケット(ソースコードの保存のためのストレージ)とが存在する。
【0007】
動的分析の場合、プロジェクトの生成時に対象アプリケーションのURLを設定し、該当URLを対象として分析を行う。このとき、対象アプリケーションにはプロジェクトKeyファイルがアップロードされていなければならず、プロジェクトKeyファイルのアップロードの確認によって対象アプリケーションの所有を検証する。分析を開始すると、URL内のすべての下位経路を収集し、収集された経路に存在するセキュリティホールを検出して、その結果をリアルタイムでDBにアップロードする。
【0008】
静的分析の場合、ソースコードセキュリティホールの確認のために、対象ソースコードファイルをアップロードする。対象ソースコードファイルは、プライベートサブネット内のS3バケットにアップロードされ、該当VPC(virtual private cloud)内でのみアクセス可能であるように構成されている。S3バケットにアップロードされたソースコードを対象としてセキュリティホールを検出し、その結果をリアルタイムでDBにアップロードする。
【0009】
現在のSECaaS(Security as a Service)は、パブリッククラウドのみで構成されているため、すべての情報がクラウド内に保存されて管理されており、クラウドに保存される情報中にはソースコードファイル、セキュリティホール結果などセキュリティに敏感な情報も含まれている。実際に多くの顧客社では、ソースコードがクラウドにアップロードされることを避け、SECaaSの使用に対して不信感を持つ場合もある。このような問題を解決するために、PaaS(platform as a service)の形態でクラウドを構成することができるが、この場合、顧客が直接サーバーを管理しなければならないという困難がある。
【発明の概要】
【発明が解決しようとする課題】
【0010】
本発明は、上記のような従来技術の問題点を解決するために導き出されたもので、本発明の目的は、SaaS形態のサービスによる利点を有する共に、機密データのセキュリティ性を高めることができるハイブリッドクラウド基盤のセキュリティサービスを構成する、機密データのセキュリティ性を保障するハイブリッドクラウド基盤のセキュリティサービス装置及び方法を提供することである。
【課題を解決するための手段】
【0011】
本発明の目的を達成するための一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置は、クラウドに接続するネットワークのユーザから入力されるデータに分析ID(identification)を付与し、前記ユーザから前記暗号化されたデータの伝達を要請されるクラウドサービスモジュールと、前記クラウドに接続するオンプレミスに位置し、前記分析IDに基づいて暗号化鍵を生成する鍵生成サービスユニットと、前記暗号化鍵と予め設定された暗号化アルゴリズムとを用いて前記データを暗号化する暗号化処理ユニットと、前記データの暗号化に用いた暗号化鍵を論理演算することによって、予め指定されるビットを反転させる論理演算ユニットと、前記オンプレミスから前記暗号化されたデータと前記暗号化鍵とを受け、前記暗号化鍵を論理演算して復元し、復元された暗号化鍵と復号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化する復号化サービスモジュールと、を含む。
【0012】
前記復号化サービスモジュールは、前記クラウドに搭載されてもよい。
【0013】
本発明の目的を達成するための他の実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置は、少なくとも一つのプロセッサ(processor)と、前記少なくとも一つのプロセッサにより実行される少なくとも一つの命令が保存されたメモリー(memory)と、を含む。前記少なくとも一つの命令によって、前記少なくとも一つのプロセッサは、入力されるデータに固有ID(identification)を付与するステップと、前記固有IDを通じて暗号化鍵を生成するステップと、前記データを暗号化アルゴリズムを用いて暗号化するステップと、前記データの暗号化に用いた暗号化鍵を論理演算した後、論理演算された暗号化鍵を前記暗号化アルゴリズムで暗号化されたデータと共にオンプレミスのストレージ又はDB(database)に保存するステップと、クラウドに接続するネットワークのユーザから前記暗号化されたデータの伝達を要請されるステップと、前記暗号化されたデータと前記論理演算された暗号化鍵とを共に前記オンプレミスから受けるステップと、前記論理演算された暗号化鍵を再度論理演算して暗号化鍵を復元するステップと、前記復元された暗号化鍵と前記暗号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化するステップと、を行う。
【0014】
前記少なくとも一つのプロセッサは、第1のプロセッサとして前記クラウドのサーバーに搭載され、クラウドサービスのためのクラウドサービスモジュールを含んでもよい。
【0015】
前記少なくとも一つのプロセッサは、第2のプロセッサとして前記オンプレミスに搭載され、クラウドサービスモジュールに接続する暗号化サービスモジュールをさらに含んでもよい。前記暗号化サービスモジュールは、クラウドサービスモジュールからの前記固有ID、又はこれに対応する分析IDに基づいて暗号化鍵を生成する鍵生成サービスユニットと、クラウスサービスモジュールから伝達されるデータを前記暗号化鍵と暗号化アルゴリズムとを通じて暗号化する暗号化アルゴリズム処理ユニットと、暗号化鍵を論理演算する第1論理演算ユニットとを備えてもよい。
【0016】
前記少なくとも一つのプロセッサは、第3のプロセッサとして暗号化されたデータの復号化のための復号化サービスモジュールを含んでもよい。復号化サービスモジュールは、暗号化された暗号化鍵を論理演算して復元する第2論理演算ユニットと、暗号化鍵と復号化アルゴリズムとを通じて暗号化されたデータを復号化する復号化アルゴリズム処理ユニットとを備えてもよい。
【0017】
前記少なくとも一つのプロセッサは、前記第1のプロセッサ、前記第2のプロセッサ及び前記第3のプロセッサは単一のプロセッサに搭載され、前記オンプレミスは仮想マシン基盤で動作してもよい。
【0018】
本発明の目的を達成するためのまた他の実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法は、機密データのセキュリティ性のためのクラウド及びオンプレミスのハイブリッドクラウド基盤のセキュリティサービス方法であって、入力されるデータに固有ID(identification)を付与するステップと、前記固有IDを通じて暗号化鍵を生成するステップと、前記データを暗号化アルゴリズムを用いて暗号化するステップと、前記データの暗号化に用いた暗号化鍵を論理演算した後、論理演算された暗号化鍵を前記暗号化アルゴリズムで暗号化されたデータと共にオンプレミスのストレージ又はDB(database)に保存するステップと、クラウドに接続するネットワークのユーザから前記暗号化されたデータの伝達を要請されるステップと、前記暗号化されたデータと前記論理演算された暗号化鍵とを共に前記オンプレミスから受けるステップと、前記論理演算された暗号化鍵を再度論理演算して暗号化鍵を復元するステップと、前記復元された暗号化鍵と前記暗号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化するステップと、を含む。
【0019】
前記データは、セキュリティが必要な情報であってもよい。すなわち、前記データは、顧客社内のソースコード、セキュリティホールの検出結果を含んでもよい。
【0020】
前記クラウドと前記オンプレミスとの間で取り交わすデータは、暗号化を経て伝達されてもよい。すなわち、前記クラウドと前記オンプレミスとの間で伝達されるデータは、暗号化された状態であってもよい。
【0021】
前記暗号化アルゴリズムは、AES(advanced encryption standard)を用いる対称鍵暗号化アルゴリズムであってもよい。
【0022】
前記論理演算は、XOR演算を含んでもよい。XOR演算は、排他的論理和(exclusive OR)とも称される。論理演算を行う論理演算ユニットは、暗号化鍵と予め設定された被演算子によって指定されたビットのみを反転させるように動作するか、又は反転させたビットのみを復元するように構成されてもよい。
【0023】
本発明の目的を達成するためのまた他の実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法は、クラウドとオンプレミスとを含むハイブリッドクラウドにおけるクラウドで行われるセキュリティサービス方法であって、ユーザからデータアップロードを通じてデータを受けるステップと、前記データに分析ID(identification)を付与するステップと、前記分析IDをオンプレミスに伝達するステップ(ここで、前記オンプレミスは、前記分析IDに基づいて暗号化鍵を生成し、前記暗号化鍵と暗号化アルゴリズムとを用いて前記データを暗号化し、前記データの暗号化に用いた暗号化鍵を論理演算して、予め指定した少なくとも一つ以上のビットを反転させて、前記分析ID及び暗号化されたデータの保存位置情報と共にDB(database)に保存し、前記暗号化されたデータをストレージに保存する)と、前記ユーザから前記データの伝達を要請されるステップと、前記暗号化されたデータと前記暗号化鍵とを前記オンプレミスから受けるステップと、前記暗号化鍵を論理演算して復元し、復元された暗号化鍵と復号化アルゴリズムとを用いることによって、前記暗号化されたデータを復号化するステップと、を含む。
【0024】
前記ハイブリッドクラウド基盤のセキュリティサービス方法は、前記復号化されたデータをクラウドサービスを通じて前記ユーザに提供するステップをさらに含んでもよい。
【0025】
本発明の目的を達成するためのまた他の実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法は、クラウドとオンプレミスとを含むハイブリッドクラウドにおけるオンプレミスで行われるセキュリティサービス方法であって、クラウドから分析IDとデータとを受けるステップ(ここで、前記クラウドは、ユーザからデータアップロードを通じてデータを受け、受けたデータに対する分析IDを生成する)と、前記分析IDに基づいて暗号化鍵を生成するステップと、前記暗号化鍵と予め設定された暗号化アルゴリズムとを用いて前記データを暗号化するステップと、前記暗号化鍵を論理演算して、暗号化鍵の予め設定された少なくとも一つ以上のビットを反転させるステップと、一部のビットが反転された暗号化鍵を前記分析ID及び暗号化されたデータの保存位置情報と共にデータベースに保存するステップと、前記暗号化されたデータをストレージに保存するステップと、を含む。
【0026】
前記ハイブリッドクラウド基盤のセキュリティサービス方法は、前記クラウドから前記暗号化されたデータに対する分析IDを受けるステップと、前記分析IDに基づいて、前記データベースから前記暗号化されたデータの保存位置情報及び前記一部のビットが反転された暗号化鍵を抽出するステップと、前記保存位置情報に基づいて、前記ストレージから前記暗号化されたデータを抽出するステップと、前記一部のビットが反転された暗号化鍵と前記暗号化されたデータとを前記クラウドの復号化サービスモジュールに伝達するステップと、をさらに含んでもよい。
【0027】
ここで、前記復号化サービスモジュールは、前記一部のビットが反転された暗号化鍵を論理演算して復元し、復元された暗号化鍵と予め設定された復号化アルゴリズムとを用いて、前記暗号化されたデータを復号化してもよい。また、復元されたデータは、クラウドサービスを通じてユーザに伝達されてもよい。
【発明の効果】
【0028】
本発明による機密データのセキュリティ性を保障するハイブリッドクラウド基盤のセキュリティサービス方法及び装置によると、パブリッククラウドとオンプレミスとの結合であるハイブリッドクラウドの形態を構成することによって、従来のパブリッククラウドを用いることでユーザのサーバー管理の負担なく容易にクラウドサービスを提供すると共に、機密データをオンプレミスのストレージに保存することでセキュリティ性を高め、顧客の要求事項を満たすことができる効果がある。
【図面の簡単な説明】
【0029】
図1図1は、従来のサービス型ソフトウェアのためのクラウドシステムに対する概略的な構成図である。
図2図2は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の構成図である。
図3図3は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の暗号化サービスを説明するためのブロック図である。
図4図4は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の復号化サービスの手続きを説明するためのブロック図である。
図5図5は、本発明の他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法の暗号化動作ステップに対する手順図である。
図6図6は、本発明のまた他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法の復号化サービスステップに対する手順図である。
図7図7は、本発明のまた他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の構成図である。
【発明を実施するための形態】
【0030】
本発明は多様な変更を加えることができ、多様な実施例を有することができるところ、特定実施例を図面に例示して詳細に説明しようとする。しかし、これは本発明を特定の実施形態に対して限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。
【0031】
第1、第2等の用語は多様な構成要素の説明に使われ得るが、前記構成要素は前記用語によって限定されてはならない。前記用語は一つの構成要素を他の構成要素から区別する目的でのみ使われる。例えば、本発明の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。および/またはという用語は複数の関連した記載された項目の組み合わせまたは複数の関連した記載された項目のうちいずれかの項目を含む。
【0032】
本出願の実施例で、「AおよびBのうち少なくとも一つ」は「AまたはBのうち少なくとも一つ」または「AおよびBのうち一つ以上の組み合わせのうち少なくとも一つ」を意味し得る。また、本出願の実施例で、「AおよびBのうち一つ以上」は「AまたはBのうち一つ以上」または「AおよびBのうち一つ以上の組み合わせのうち一つ以上」を意味し得る。
【0033】
或る構成要素が他の構成要素に「連結されて」いるとか「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよいが、中間に他の構成要素が存在してもよいものと理解されるべきである。反面、或る構成要素が他の構成要素に「直接連結されて」いるとか「直接接続されて」いると言及された時には、中間に他の構成要素が存在しないものと理解されるべきである。
【0034】
本出願で使った用語は単に特定の実施例を説明するために使われたもので、本発明を限定しようとする意図ではない。単数の表現は文脈上明白に異なって意味しない限り、複数の表現を含む。本出願で、「含む」または「有する」等の用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものなどの存在または付加の可能性をあらかじめ排除しないものと理解されるべきである。
【0035】
特に定義されない限り、技術的または科学的な用語を含むここで使われるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使われる辞書に定義されているような用語は関連技術の文脈上有する意味と一致する意味を有するものと解釈されるべきであり、本出願で明白に定義しない限り、理想的または過度に形式的な意味で解釈されてはならない。
【0036】
以下、添付した図面を参照して、本発明の好ましい実施例をより詳細に説明しようとする。本発明を説明するにあたって、全体的な理解を容易にするために図面上の同じ構成要素に対しては同じ参照符号を付し、同じ構成要素に対する重複した説明は省略する。
【0037】
図2は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の構成図である。
【0038】
図2を参照すると、本発明の一実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置(1000)は、パブリッククラウド(200)とオンプレミス(300)とが組み合わされたハイブリッドクラウドの形態を備える。以下、パブリッククラウド(200)は、簡略に「クラウド(200)」ともいう)。
【0039】
クラウド(200)は、クラウドの全体サービスのためのクラウドサービスモジュール(210)を備えてもよい。クラウドサービスモジュール(210)は、少なくとも一つの第1のプロセッサとして具現されてもよい。また、クラウド(200)は、復号化サービスのための復号化サービスモジュール(230)を備えてもよい。復号化サービスモジュール(230)は、少なくとも一つの第3のプロセッサとして具現されてもよい。このようなクラウドサービスモジュール(210)と復号化サービスモジュール(230)とは、単一のプロセッサに統合して具現されてもよい。また、オンプレミス(300)は、暗号化サービスのための暗号化サービスモジュール(310)を備えてもよい。暗号化サービスモジュール(310)は、少なくとも一つの第2のプロセッサとして具現されてもよい。クラウド(200)とオンプレミス(300)が独立したソフトウェア及び/又はハードウェアとして動作できるのであれば、暗号化サービスモジュール(310)のクラウドサービスモジュール(210)及び復号化サービスモジュール(230)は、単一のプロセッサに統合されて具現されてもよい。
【0040】
オンプレミス(300)は、ソースコードやデータの保存及び管理のためのストレージ(330)とデータベース(database、DB、350)とを備えてもよい。ストレージ(330)は、暗号化されたデータを保存し、データベース(350)には、分析ID、論理演算によって暗号化された暗号化鍵、暗号化されたデータの保存位置情報が保存されてもよい。
【0041】
従来のSECaaSは、すべての情報をクラウド内に保存していたため、セキュリティに敏感な情報が社内コンピューターでなく外部クラウドに保存され、クラウドのセキュリティ状態によって敏感な情報が流出される可能性があるという短所があった。上記のような短所を解決するために、本実施例では、顧客社内のソースコード及びセキュリティホールの検出結果などセキュリティに敏感な情報を保存するためのサービスをオンプレミス(300)に保存するように構築し、オンプレミス(300)がパブリッククラウド(200)と通信するように構成する。
【0042】
クラウド(200)とオンプレミス(300)との間の通信時に取り交わすデータは、すべて暗号化を通じて伝達され、クラウド(200)では、暗号化されたデータを復号化アルゴリズムを通じて復号化してハイブリッドクラウド基盤のセキュリティサービスを通じてユーザ(100)に伝達した後、該当データを消滅させ、クラウド(200)内に保存しない。
【0043】
通常、暗号化アルゴリズムの場合、暗号手法によって対称鍵暗号化アルゴリズムと非対称鍵暗号化アルゴリズムとが存在する。対称鍵暗号化の場合、速度が速いが単一の秘密鍵を用いるため鍵の交換が必要であり、セキュリティが弱いという短所がある。非対称鍵暗号化は、暗号化及び復号化時の鍵がそれぞれ異なるので鍵の交換は必要でないが、データの処理速度が遅い(対称鍵の場合に対して約10000倍)という短所がある。
【0044】
本実施例のハイブリッドクラウド基盤のセキュリティサービスにおいては、最近の傾向に応じて、サイズの大きなファイルの暗号化が必要であるので、サービスを提供する立場では、処理速度の重要性を強調して対称鍵暗号化を選択して用いる。特に、高級暗号化標準(Advanced Encryption Standard)を用いる。さらに、対称鍵暗号化アルゴリズムの短所を補完するため、鍵の交換時に秘密鍵を論理演算、一例としてXOR演算を行った後に交換することによって、セキュリティが弱いという問題を解決する。
【0045】
図3は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の暗号化サービスを説明するためのブロック図である。
【0046】
図3を参照すると、本実施例によるハイブリッドクラウド基盤のセキュリティサービス装置のオンプレミス(300)は、暗号化サービスモジュール(310)を備えてもよい。暗号化サービスモジュール(310)は、少なくとも一つの第2のプロセッサに対応してもよい。また、暗号化サービスモジュール(310)は、鍵生成サービスユニット(312)、暗号化アルゴリズム処理ユニット(314)、及び論理演算ユニット(316)を備えてもよい。暗号化アルゴリズムはAESアルゴリズムを含み、論理演算はXOR演算を含んでもよい。論理演算ユニット(316)は、第1論理演算ユニットと称されてもよい。
【0047】
ハイブリッドクラウド基盤のセキュリティサービス装置(以下、単に「セキュリティサービス装置」ともいう)の暗号化サービスプロセスは、ユーザ(100)がデータをアップロードすることで開始されてもよい。データはソースコードを含んでもよい。
【0048】
次いで、セキュリティサービス装置のパブリッククラウド(200)のクラウドサービスモジュール(210)は、ユーザ(100)から入力されるデータに固有ID(identification)を付与してもよい。固有IDは分析IDと称されてもよい。
【0049】
次いで、セキュリティサービス装置のオンプレミス(300)の暗号化サービスモジュール(310)は、鍵生成サービスユニット(312)を通じて固有IDに基づいて暗号化鍵、例えば、AES鍵を生成してもよい。
【0050】
次いで、鍵生成サービスユニット(312)からAES鍵とデータ(例えば、ソースコード)とが暗号化アルゴリズム処理ユニット(314)に伝達されると、暗号化アルゴリズム処理ユニット(314)は、暗号化アルゴリズム(例えば、AESアルゴリズム)を用いてデータを暗号化してもよい。
【0051】
次いで、暗号化アルゴリズム処理ユニット(314)で暗号化されたデータは、オンプレミス(300)のストレージ(330)に保存されてもよい。また、暗号化されたデータの保存位置情報、分析ID情報、及び論理演算ユニット(316)によって演算処理された暗号化鍵、例えば、AES鍵はデータベース(350)に保存されてもよい。
【0052】
図4は、本発明の一実施例による機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の復号化サービスの手続きを説明するためのブロック図である。
【0053】
図4を参照すると、本実施例によるハイブリッドクラウド基盤のセキュリティサービス装置のパブリッククラウド(200)は、クラウドサービスモジュール(210)及び復号化サービスモジュール(230)を備えてもよい。復号化サービスモジュール(230)は、論理演算ユニット(232)及び復号化アルゴリズム処理ユニット(234)を備えてもよい。論理演算ユニット(232)は、XOR演算を行うユニットを含み、第2論理演算ユニットと称されてもよい。
【0054】
セキュリティサービス装置の復号化サービスの手続きは、ネットワークを介してクラウドサービスにアクセスしたユーザから特定のデータの伝達を要請されると開始されてもよい。特定データは、ソースコードであってもよく、オンプレミス(300)のストレージに保存されている暗号化されたデータであってもよい。
【0055】
ユーザの要請に応じて、セキュリティサービス装置のクラウド(200)のクラウドサービスモジュール(210)は、ユーザの要請に対する分析IDをオンプレミス(300)に伝達し、ユーザの要請に対応する暗号化されたデータとAES鍵とを要請してもよい。分析IDは、暗号化された状態でクラウド(200)からオンプレミス(300)に伝達されてもよい。
【0056】
オンプレミス(300)の暗号化サービスモジュール(310)は、クラウド(200)からの分析IDに基づいて、データベース(350)から分析IDに対応する暗号化されたデータの保存位置とAES鍵とを読み取り、読み取った保存位置に基づいて、ストレージ(330)から暗号化されたデータを読み取ることができる。
【0057】
その後、暗号化サービスモジュール(310)は、暗号化されたデータとAES鍵とをクラウド(200)の復号化サービスモジュール(230)に伝達してもよい。
【0058】
次いで、復号化サービスモジュール(230)の論理演算ユニット(232)は、AES鍵をXOR演算して暗号化鍵を復元し、復元された暗号化鍵と暗号化されたデータとを復号化アルゴリズム処理ユニット(234)に伝達してもよい。
【0059】
次いで、復号化アルゴリズム処理ユニット(234)は、復元されたAES鍵とAESアルゴリズムとを用いることで、暗号化されたデータを復号化してもよい。
【0060】
復元されたデータは、クラウドサービスモジュール(210)のクラウスサービスを通じてユーザ(100)に伝達されてもよい。
【0061】
図5は、本発明の他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法の暗号化動作ステップに対する手順図である。
【0062】
図5を参照すると、本実施例のハイブリッドクラウド基盤のセキュリティサービス方法は、暗号化サービスの手続きのためのステップ(S510ないしS540)を含んでもよい。
【0063】
具体的に、ユーザによりアップロードされたデータによって固有IDが生成されてもよい(S510)。すなわち、セキュリティサービス装置のパブリッククラウドのクラウドサービスモジュールは、ユーザからネットワークを介して入力又はアップロードされるデータ(例えば、ソースコード)に対して固有IDを付与してもよい。固有IDは分析IDに対応する。クラウドサービスモジュールは、固有IDをオンプレミスの暗号化サービスモジュールに伝達してもよい。
【0064】
次いで、暗号化サービスモジュールの鍵生成サービスユニットは、クラウドサービスモジュールから受けた固有IDを通じて暗号化鍵を生成してもよい(S520)。暗号化鍵はAES鍵であってもよい。鍵生成サービスユニットは、暗号化鍵とデータとを暗号化サービスモジュールの暗号化アルゴリズム処理ユニットに伝達してもよい。
【0065】
次いで、暗号化アルゴリズム処理ユニットは、対称鍵暗号化アルゴリズム、特にAESアルゴリズムを用いてデータを暗号化してもよい(S530)。暗号化アルゴリズム処理ユニットは、暗号化されたデータをストレージに保存してもよい。また、暗号化アルゴリズム処理ユニットは、暗号化鍵を論理演算ユニットに伝達してもよい。論理演算ユニットは、暗号化鍵を論理演算を通じて暗号化してもよい。論理演算は、XOR演算であってもよい。また、暗号化アルゴリズム処理ユニットは、論理演算された暗号化鍵と共に分析IDと暗号化データ保存位置をデータベースに保存してもよい。
【0066】
図6は、本発明のまた他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法の復号化サービスステップに対する手順図である。
【0067】
図6を参照すると、ハイブリッドクラウド基盤のセキュリティサービス方法は、復号化サービスの手続きのためのステップ(S610ないしS640)を含んでもよい。
【0068】
具体的に、復号化サービスの手続きは、ユーザからデータの伝達を要請されると開始されてもよい(S610)。すなわち、セキュリティサービス装置は、ユーザがソースコードなどの特定のデータを要請するとき、該当の要請信号や要請メッセージを受けることができる。
【0069】
この場合、セキュリティサービス装置のクラウドのクラウドサービスモジュールは、ユーザの要請に対する分析IDを生成し、分析IDをセキュリティサービス装置のオンプレミスの暗号化サービスモジュールに伝達してもよい。
【0070】
暗号化サービスモジュールは、クラウドサービスモジュールからの分析IDに基づいて、データベースから暗号化データ保存位置と暗号化鍵とを抽出し、暗号化データ保存位置に基づいて、ストレージから暗号化されたデータを抽出した後、暗号化されたデータと、論理演算によって暗号化されている状態の暗号化鍵とを共にクラウドの復号化サービスモジュールに伝達してもよい(S620)。
【0071】
次いで、復号化サービスモジュールの論理演算ユニットは、論理演算によって暗号化されている暗号化鍵を再度論理演算して復元してもよい(S630)。論理演算はXOR演算を含んでもよい。
【0072】
次いで、復号化サービスモジュールの復号化アルゴリズム処理ユニットは、論理演算ユニットから伝達される復元された暗号化鍵を用いて、復号化アルゴリズムによって暗号化サービスモジュールから受けた暗号化されたデータを復号化してもよい(S640)。
【0073】
上述した実施例のセキュリティサービス装置及び方法によると、顧客社内のソースコード及びセキュリティホールの検出結果などセキュリティに敏感な情報を保存するためのオンプレミスを構築してパブリッククラウドと通信するように構成することができる。
【0074】
また、クラウドとオンプレミスとの間の通信時に取り交わすデータは、すべて暗号化を経て伝達され、クラウドではデータを復号化してクラウドサービスを通じてユーザに伝達した後、消滅させ、クラウド内に保存しないように構成することができる。
【0075】
また、サイズの大きなファイルの暗号化を用いるサービスを提供する立場では、処理速度の重要性を考慮して対称鍵暗号化アルゴリズムを選択して用いることができ、特に、高級暗号化標準(Advanced Encryption Standard)を用いることができる。この場合、対称鍵暗号化の短所である鍵交換時におけるセキュリティ問題のために、秘密鍵、すなわち暗号化鍵をXOR演算などの論理演算後に交換して管理することで、対称鍵暗号化のセキュリティが弱いという問題を解決することができる。
【0076】
また、パブリッククラウドとオンプレミスとの結合であるハイブリッドクラウドの形態を構成して用いることで、従来のパブリッククラウドを用いることによってユーザにおけるサーバー管理の負担を軽減すると共に、機密データをオンプレミスに構成したストレージに保管することで、セキュリティ性を向上させることができる。
【0077】
一方、上述した実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス方法は、クラウドとオンプレミスとを含むハイブリッドクラウドにおけるクラウドで行われるセキュリティサービス方法として具現されてもよい。すなわち、セキュリティサービス方法は、ユーザからデータアップロードを通じてデータを受けるステップと、受けたデータに分析ID(identification)を付与するステップと、分析IDをオンプレミスに伝達するステップ(ここで、オンプレミスは、分析IDに基づいて暗号化鍵を生成し、暗号化鍵と暗号化アルゴリズムとを用いてデータを暗号化し、データの暗号化に用いた暗号化鍵を論理演算して、予め指定した少なくとも一つ以上のビットを反転させ、分析ID及び暗号化されたデータの保存位置情報と共にDB(database)に保存し、暗号化されたデータをストレージに保存する)と、ユーザからデータの伝達を要請されるステップと、暗号化されたデータと暗号化鍵とをオンプレミスから受けるステップと、暗号化鍵を論理演算して復元し、復元された暗号化鍵と復号化アルゴリズムとを用いることで、暗号化されたデータを復号化するステップと、を含む。
【0078】
ここで、セキュリティサービス方法は、復号化されたデータをクラウドサービスを通じてユーザに提供するステップをさらに含んでもよい。
【0079】
また、上述した実施例のハイブリッドクラウド基盤のセキュリティサービス方法は、クラウドとオンプレミスとを含むハイブリッドクラウドにおけるオンプレミスで行われるセキュリティサービス方法として具現されてもよい。すなわち、セキュリティサービス方法は、クラウドから分析IDとデータとを受けるステップ(ここで、クラウドは、ユーザからデータアップロードを通じてデータを受け、受けたデータに対する分析IDを生成する)と、分析IDに基づいて暗号化鍵を生成するステップと、暗号化鍵と予め設定された暗号化アルゴリズムとを用いてデータを暗号化するステップと、暗号化鍵を論理演算して、暗号化鍵の予め設定された少なくとも一つ以上のビットを反転させるステップと、一部のビットが反転された暗号化鍵を分析ID及び暗号化されたデータの保存位置情報と共にデータベースに保存するステップと、暗号化されたデータをストレージに保存するステップと、を含むように構成されてもよい。
【0080】
また、セキュリティサービス方法は、クラウドから暗号化されたデータに対する分析IDを受けるステップと、分析IDに基づいてデータベースから暗号化されたデータの保存位置情報及び一部のビットが反転された暗号化鍵を抽出するステップと、保存位置情報に基づいて、ストレージから暗号化されたデータを抽出するステップと、一部のビットが反転された暗号化鍵と暗号化されたデータとをクラウドの復号化サービスモジュールに伝達するステップと、をさらに含んでもよい。ここで、復号化サービスモジュールは、一部のビットが反転された暗号化鍵を論理演算して復元し、復元された暗号化鍵と予め設定された復号化アルゴリズムとを用いることで、暗号化されたデータを復号化してもよい。また、復元されたデータは、クラウドサービスを通じてユーザに伝達されてもよい。
【0081】
図7は、本発明のまた他の実施例の機密データのセキュリティ性のためのハイブリッドクラウド基盤のセキュリティサービス装置の構成図である。
【0082】
図7を参照すると、本実施例のハイブリッドクラウド基盤のセキュリティサービス装置(1000)は、プロセッサ(1100)、メモリー(1200)、通信インターフェース(1300)、入力インターフェース(1400)、出力インターフェース(1500)、保存装置(1600)、及びバス(bus)(1700)を含んで構成されてもよい。
【0083】
図7を参照すると、セキュリティサービス装置(1000)は、少なくとも一つのプロセッサ(1100)、メモリー(1200)及びネットワークと接続されて通信を行う通信インターフェース(1300)を含んでもよい。また、セキュリティサービス装置(1000)は、入力インターフェース(1400)、出力インターフェース(1500)、保存装置(1600)などをさらに含んでもよい。セキュリティサービス装置(1000)に含まれたそれぞれの構成要素は、バス(bus、1700)によって接続されて互いに通信を行うことができる。
【0084】
ただし、セキュリティサービス装置(1000)に含まれたそれぞれの構成要素は、共通バスでなく、プロセッサ(1100)を中心に個別インターフェース又は個別バスを介して接続されてもよい。例えば、プロセッサ(1100)は、メモリー(1200)、通信インターフェース(1300)、入力インターフェース(1400)、出力インターフェース(1500)及び保存装置(1600)の少なくとも一つと専用インターフェースを介して接続されてもよい。
【0085】
プロセッサ(1100)は、メモリー(1200)及び保存装置(1600)の少なくとも一つに保存されたプログラム命令(program command)を実行してもよい。プロセッサ(1100)は、中央処理装置(central processing unit:CPU)、グラフィック処理装置(graphics processing unit:GPU)、又は本発明の実施例による方法が行われる専用のプロセッサを意味することができる。メモリー(1200)及び保存装置(1600)のそれぞれは、揮発性記憶媒体及び非揮発性記憶媒体の少なくとも一つで構成されてもよい。例えば、メモリー(1200)は、読取専用メモリー(read only memory:ROM)及びランダムアクセスメモリー(random access memory:RAM)の少なくとも一つで構成されてもよい。
【0086】
上述したプログラム命令は、ユーザからデータアップロードを通じてデータを受ける命令、受けたデータに分析ID(identification)を付与する命令、分析IDをオンプレミスに伝達する命令、ユーザからデータの伝達を要請される命令、暗号化されたデータと暗号化鍵とをオンプレミスから受ける命令、暗号化鍵を論理演算して復元して復元された暗号化鍵と復号化アルゴリズムとを用いることで、暗号化されたデータを復号化する命令を含んでもよい。
【0087】
また、プログラム命令は、クラウドから分析IDとデータとを受ける命令、分析IDに基づいて暗号化鍵を生成する命令、暗号化鍵と予め設定された暗号化アルゴリズムとを用いてデータを暗号化する命令、暗号化鍵を論理演算して、暗号化鍵の予め設定された少なくとも一つ以上のビットを反転させる命令、一部のビットが反転された暗号化鍵を分析ID及び暗号化されたデータの保存位置情報と共にデータベースに保存する命令、及び暗号化されたデータをストレージに保存する命令を含んでもよい。
【0088】
また、プログラム命令は、クラウドから暗号化されたデータに対する分析IDを受ける命令、分析IDに基づいてデータベースから暗号化されたデータの保存位置情報及び一部のビットが反転された暗号化鍵を抽出する命令、保存位置情報に基づいて、ストレージから暗号化されたデータを抽出する命令、及び一部のビットが反転された暗号化鍵と暗号化されたデータとをクラウドの復号化サービスモジュールに伝達する命令をさらに含んでもよい。
【0089】
本発明に係る方法は、多様なコンピュータ手段を通じて遂行され得るプログラム命令の形態で具現されてコンピュータ読み取り可能媒体に記録され得る。コンピュータ読み取り可能媒体はプログラム命令、データファイル、データ構造などを単独でまたは組み合わせて含むことができる。コンピュータ読み取り可能媒体に記録されるプログラム命令は本発明のために特別に設計されて構成されたものであるか、コンピュータソフトウェア当業者に公知になっている使用可能なものであってもよい。
【0090】
コンピュータ読み取り可能媒体の例には、ロム(rom)、ラム(ram)、フラッシュメモリ(flash memory)等のようにプログラム命令を保存し遂行するように特別に構成されたハードウェア装置が含まれる。プログラム命令の例にはコンパイラ(compiler)により作られるような機械語コードだけでなく、インタープリタ(interpreter)等を使ってコンピュータによって実行され得る高級言語コードを含む。前述したハードウェア装置は、本発明の動作を遂行するために少なくとも一つのソフトウェアモジュールで作動するように構成され得、その逆も同様である。
【0091】
以上、実施例を参照して説明したが、該当技術分野の熟練した当業者は下記の特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で本発明を多様に修正および変更できることが理解できるであろう。
図1
図2
図3
図4
図5
図6
図7
Copyright © 2010-2024 Science Impact Inc. All Rights Reserved.