KR101203804B1 - 보안 이동형 저장장치 및 그 제어 방법 - Google Patents

보안 이동형 저장장치 및 그 제어 방법 Download PDF

Info

Publication number
KR101203804B1
KR101203804B1 KR1020090031153A KR20090031153A KR101203804B1 KR 101203804 B1 KR101203804 B1 KR 101203804B1 KR 1020090031153 A KR1020090031153 A KR 1020090031153A KR 20090031153 A KR20090031153 A KR 20090031153A KR 101203804 B1 KR101203804 B1 KR 101203804B1
Authority
KR
South Korea
Prior art keywords
secure
removable storage
storage device
primary key
key
Prior art date
Application number
KR1020090031153A
Other languages
English (en)
Other versions
KR20100112724A (ko
Inventor
박동훈
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020090031153A priority Critical patent/KR101203804B1/ko
Publication of KR20100112724A publication Critical patent/KR20100112724A/ko
Application granted granted Critical
Publication of KR101203804B1 publication Critical patent/KR101203804B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Human Computer Interaction (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

보안 이동형 저장장치 및 그 제어 방법을 제안한다. 본 발명의 실시예에 따른 보안 이동형 저장장치는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함한다.
보안, USB 메모리, 이동형 저장장치

Description

보안 이동형 저장장치 및 그 제어 방법{SECURITY MOBILE STORAGE APPARATUS AND THE CONTROL METHOD}
본 발명의 실시예는 보안 이동형 저장장치 및 그 제어 방법에 관한 것으로, 특히, 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치 및 그 제어 방법에 관한 것이다.
일반적으로, 컴퓨터의 발달로 개인 또는 기업 내에서 이루어지는 작업들이 전산화 되고 있으며, 이로 인하여 생성되는 데이터들은 PC에 저장되거나 별도의 이동형 저장매체에 저장되어 이동 또는 보관 되고 있다. 기존의 저장매체에는 PC 내장형으로 하드디스크, CDROM, 플로피 디스크가 있다. 기존의 이동이 가능한 저장매체에는 PC 외장형으로 외장형 하드디스크, Zip Drive, 멀티미디어 메모리 카드(MMC), USB 플래시 메모리 등이 존재하며, 이러한 저장매체는 데이터의 저장 및 공유가 가능한 컴퓨팅 환경을 확장한다. 그러나 급속하게 보편화되고 공유화 되는 컴퓨팅 환경은 이로 인해 발생하는 안전하지 못한 작업환경을 더불어 확장하고 있다.
따라서 생성 데이터에 대한 이동, 보관, 관리 및 공유 등의 업무에 있어서 안전하고 안정적인 방법이 필요하게 되었다. 상기 종래의 일반적인 기술은 데이터의 생성 및 보관에 있어서 평문의 형태로 저장하며, 이에 대한 보안은 별도의 SW에 의해 추가적으로 구현하여야 한다. 따라서 다자간의 데이터 교환에 있어서 안정성의 문제가 대두 되며, 다양한 컴퓨팅 시스템의 데이터 교환 또한 호환성의 문제가 발생된다. 또한 이동을 위한 데이터의 저장에 있어서 저장 데이터에 대한 안전한 이동이 어려우며, 제 3자에 의한 데이터의 유출에 노출되어 있다.
본 발명의 실시예에 따른 보안 이동형 저장장치 및 그 제어 방법을 제공한다.
본 발명의 실시예에 따라 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치를 제공한다.
본 발명의 실시예에 따라 평문을 암호화하고 암호문을 복호화하기 위해 필요로 하는 주키를 보조키를 이용하여 암호화하여 관리하는 보안 이동형 저장장치 및 그 제어 방법을 제공한다.
본 발명의 실시예에 따라 보안 이동형 저장장치에 저장된 보안 정책을 확인하여 보안 정책에 따라 보안 이동형 저장장치로의 접근, 읽기, 쓰기, 갱신의 처리를 제공하는 보안 이동형 저장장치 및 그 제어 방법을 제공한다.
본 발명의 실시예에 따른 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법은, 사용자 패스워드를 수신하여 검증하는 단계; 검증에 성공하면 보안 이동형 저장장치에 저장된 보안 정책을 확인하는 단계; 상기 보안 정책의 확인결과 상기 보안 이동형 저장장치를 사용 가능하면 상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치에 저장된 암호화된 주키를 복호화하는 단계; 및 상기 보안 정책 따라 상기 주키를 이용하여 상기 보안 이동형 저장장치로의 접근을 허용하는 단계를 포함한다.
본 발명의 실시예에 따른 보안 이동형 저장장치는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함한다.
본 발명의 실시예는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함하는 보안 이동형 저장장치에 관한 것으로, 데이터가 모두 암호화되어 보안 영역에 저장함으로 보안의 성능을 높이고, 데이터를 암호화 하고 복호화 하는 주키를 사용자 패스워드를 이용하여 암호화 하여 사용자 패스워드 변경을 용이하게 한다.
이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설 명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다. 그리고 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
본 발명의 실시 예는 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치 및 그 제어 방법에 관한 것이다. 아래에서 도 1을 참조하여 보안 이동형 저장장치를 관리하고 주로 사용하는 보안 네트워크의 구성을 설명하고자 한다.
도 1은 본 발명의 일실시예에 따르는 보안 이동형 저장장치를 포함하는 보안 네트워크 시스템의 구성을 도시한 도면이다.
도 1을 참조하면 보안 네트워크(100)는 보안을 관리하는 관리 서버(110)와 네트워크로 연결된 다수의 개인용 컴퓨터(PC: Personal Computer)(122, 124, 126)를 포함한다.
보안 네트워크(100) 내에서 이동형 저장장치의 보안을 위해 보안 이동형 저장장치(130)가 사용된다. 보안 이동형 저장장치(130)는 기본적으로 보안 네트워크(100) 내에서 사용되 관리 서버(110)로부터 외부 PC에서의 사용허가를 획득하면 보안 네트워크(100) 외부의 PC(140)에서도 사용 가능하다. 외부 PC에서의 사용허가는 보안 이동형 저장장치(130)에 저장되는 보안 정책에 기록되며 보안 정책은 관리 서버(110)에 의해 관리된다.
관리 서버(110)는 보안 네트워크(100) 보안을 관리하고, 보안 이동형 저장장치(130)를 등록하고 보안 이동형 저장장치(130)의 보안 정책을 관리한다. 또 한, 관리 서버(110)는 PC(122, 124, 126)를 통해 분실 또는 사용 종료된 보안 이동형 저장장치(130)의 사용이 감지되면 이를 파기하도록 한다. 이때, 보안 정책에는 사용 가능한 PC에 관한 정보, 네트워크 외부에서의 사용허가 정보, 복사 방지 정보 및 각 PC별 권한 정보를 포함한다. 여기서 권한 정보란 보안 이동형 저장장치(130)로의 접근, 읽기, 쓰기, 갱신에 대한 권한을 보유하였는지 여부를 의미한다.
관리 서버(110)는 네트워크 외부에서의 사용허가 시 보안 정책을 접근과 읽기 권한만 허가하고 복사 방지 정보를 복사 방지하도록 설정하여 클립보드 후킹(Clipboard hooker)을 통해 복사와 붙이기를 방지하여 읽기 전용으로만 동작하도록 한다.
보안 네트워크(100) 내의 PC(122, 124, 126)는 보안을 위해 PC 에이전트를 이용하여 이동형 저장장치를 관리하도록 한다. 여기서, PC 에이전트는 PC(122, 124, 126)에서 관리 서버(110)에서 허가한 보안 이동형 저장장치(130)만을 사용하도록 한다.
보안 이동형 저장장치(130)는 아래 도 2와 같이 3개의 영역을 포함한다. 도 2는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 구성을 도시한 도면이다.
도 2를 참조하면, 본 발명의 실시예에 따른 보안 이동형 저장장치(130)는 일반 영역(210), 보안 영역(220) 및 숨김 영역(230)으로 구분된다.
일반 영역(210)은 쓰기가 금지된 구역으로 보안 이동형 저장장치(130)를 제어하는 이동형 저장장치 에이전트를 저장한다. 이동형 저장장치 에이전트를 통해 사용자 검증이 성공하기 전까지 일반 영역(210)만이 검색된다.
보안 영역(220)은 사용자 검증 후에 제공되는 영역으로 데이터를 암호화하여 저장한다. 보안 영역(220)에 저장되는 데이터는 항상 암호화 상태로 유지된다. 보안 영역(220)은 이동형 저장장치 에이전트에 의해 관리되며 검증된 사용자에게만 보여진다. 즉, 이동형 저장장치 에이전트는 보안 영역(220)에 데이터를 저장할 때, 암호화 하여 저장하고, 암호화된 데이터를 복호화 하여 읽는다.
숨김 영역(230)은 이동형 저장장치 에이전트와 같이 인증된 에이전트만을 통해 접근 가능한 영역으로 보여지지 않는 영역이다. 숨김 영역(230)은 로그 정보, 보안 정보 및 상술한 보안 정책을 저장한다.
여기서, 로그 정보는 사용자 인증에 관한 인증 로그와 보안 이동형 저장장치(130)에 저장된 데이터의 사용에 관한 사용 로그를 포함한다. 인증 로그는 사용자 ID, PC 정보, IP, MAC, 시간 및 네트워크 내부/외부 정보를 포함할 수 있다. 그리고, 사용 로그는 사용자 ID, PC 정보, IP, MAC, 시간, 네트워크 내부/외부 정보 데이터 파일명 및 읽기/쓰기에 관한 정보를 포함할 수 있다.
그리고, 보안 정보는 보안 영역(220)에 저장하는 데이터를 암호화 하고, 저장된 암호화 데이터를 복호화할 때 필요로 하는 정보이다. 보안 정보로는 보조키를 이용하여 암호화된 주키가 존재한다. 또한 보안 정보로 보조키를 생성할 때 필요한 추가 정보인 반복 횟수와 난수 발생값이 존재한다.
도 2에서 보안 이동형 저장장치(130)는 1000MB의 크기를 가지는 저장장치로서 일반 영역(210)에 32MB의 크기를 할당하고, 보안 영역(220)에 900MB의 크기를 할당하고, 숨김 영역(230)에 68MB를 할당하고 있다. 하지만 이는 하나의 실시예로 다양하게 분할 할 수 있다.
그러면, 이동형 저장장치 에이전트가 보안 영역(220)에 데이터를 저장할 때 암호화하는 방법과, 저장된 암호화 데이터를 복호화 하는 방법을 아래에서 도 3과 도 4를 통해 설명하고자 한다.
한편, 보안 이동형 저장장치(130)는 구현에 따라 인터페이스부(미도시), 저장부(미도시) 및 제어부(미도시)를 포함하여 구현될 수도 있다. 이때, 인터페이스부는 PC와의 연결을 제공하고, 저장부는 일반 영역(210), 보안 영역(220) 및 숨김 영역(230)을 포함하고, 제어부는 이동형 저장장치 에이전트의 기능을 수행하도록 구현될 수도 있다.
도 3은 본 발명의 일실시예에 따르는 평문의 데이터가 보안 이동형 저장장치의 보안 영역에 저장되기 위해 암호문으로 암호화하는 과정을 기능 블록으로 도시한 도면이다.
도 3을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 복호화부(310)와 암호화부(320)를 통해 평문을 암호화 한다.
복호화부(310)는 보조키를 이용하여 숨김 영역(230)에 저장된 암호화된 주키를 복호화하고 주키를 암호화부(320)로 제공한다. 그러면 암호화부(320)는 주키를 이용하여 평문을 암호화하여 암호문을 출력한다.
여기서, 암호호된 주키를 복호화 하는 보조키로 사용자 패스워드를 설정할 수도 있고, 아래 도 5와 같이 사용자 패스워드를 이용하여 보조키를 생성할 수도 있다.
한편, 복호화부(310)와 암호화부(320)는 암호화와 복호화시 동일한 방법을 이용하고, 블록 단위의 암호화 체계인 ARIA를 이용할 수 있다. 즉, 복호화부(310)와 암호화부(320)는 모두 암호화가 복호화가 가능한 ARIA 블록 암호 알고리즘으로 구성할 수도 있다.
도 4는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 보안 영역에 저장된 암호문을 읽기 위해 평문으로 복호화 하는 과정을 기능 블록으로 도시한 도면이다.
도 4를 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 제1 복호화부(410)와 제2 복호화부(420)를 통해 암호문을 평문으로 복호화 한다.
제1 복호화부(410)는 보조키를 이용하여 숨김 영역(230)에 저장된 암호화된 주키를 복호화하고 주키를 제2 복호화부(420)로 제공한다. 그러면 제2 복호화부(420)는 주키를 이용하여 암호문을 암호화하여 암호문을 출력한다.
여기서, 암호호된 주키를 복호화 하는 보조키로 사용자 패스워드를 설정할 수도 있고, 아래 도 5와 같이 사용자 패스워드를 이용하여 보조키를 생성할 수도 있다.
한편, 제1 복호화부(410)와 제2 복호화부(420)는 블록 단위의 암호화 체계인 ARIA를 이용할 수 있다. 즉, 제1 복호화부(410)와 제2 복호화부(420)는 모두 암호화가 복호화가 가능한 ARIA 블록 암호 알고리즘으로 구성할 수도 있다.
도 5는 본 발명의 일실시예에 따르는 사용자 패스워드를 이용하여 보조키를 생성하는 과정을 기능 블록으로 도시한 도면이다. 도 5를 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 키 생성부(510)를 통해 보조키를 생성한다.
키 생성부(510)는 숨김 영역(230)에 저장된 보안 정보인 반복 횟수와 난수 발생값을 읽어오고 사용자 패스워드를 입력받아 3개의 값을 이용하여 보조키를 생성한다. 키 생성부(510)는 패스워드 기반 암호 표준 중 PBKDF2(Password-Based Key Derivation Function)를 이용하여 보조키를 생성할 수 있다.
본 발명의 실시예에 따른 이동형 저장장치 에이전트는 도 3과 도 4의 방법을 이용하여 암호화 하고 복호화 하기 때문에 사용자 패스워드를 변경하는 경우 보안 영역(220)에 저장된 암호화 데이터를 모두 복호화 하고 다시 변경된 사용자 패스워드를 이용하여 암호화하지 않아도 된다.
이하, 상기와 같이 구성된 본 발명에 따른 보안 이동형 저장장치의 제어 방법을 아래에서 도면을 참조하여 설명한다.
도 6은 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 사용자를 검증하고 보안 이동형 저장장치를 제어하는 과정을 도시한 흐름도이다.
도 6을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 610단계로 진행하여 사용자 패스워드를 수신하고 612단계로 진행하여 수신한 사용자 패스워드를 검증 성공여부를 확인하다. 612단계의 확인결과 사용자 패스워드의 검증에 실패하면 이동형 저장장치 에이전트는 610단계로 진행하여 사용자 패스워드를 다시 수신한다.
612단계의 확인결과 사용자 패스워드의 검증에 성공하면 이동형 저장장치 에이전트는 614단계로 진행하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 보안 정책을 확인한다.
이후, 이동형 저장장치 에이전트는 616단계로 진행하여 보안 이동형 저장장치가 사용중인 PC를 확인하여 보안 정책에 따라 보안 이동형 저장장치를 사용 가능한지를 확인한다. 616단계의 확인결과 보안 정책에 따라 보안 이동형 저장장치를 사용할 수 없으면 이동형 저장장치 에이전트는 본 알고리즘을 종료한다.
616단계의 확인결과 보안 정책에 따라 보안 이동형 저장장치를 사용할 수 있으면 이동형 저장장치 에이전트는 618단계로 진행하여 사용자 패스워드를 이용하여 도 5와 같이 보조키를 생성한다. 그리고, 620단계로 진행하여 생성한 보조키를 이용하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 암호화된 주키를 복호화 한다. 그리고, 622단계로 진행하여 보안 정책의 권한 정보와 복사 방지 정보를 고려하여 보안 이동형 저장장치(130)의 사용을 허가한다.
보안 이동형 저장장치(130)의 사용 허가는 주키를 이용하여 저장된 암호화 데이터를 복호화 하여 사용자에게 제공하고, 쓰기 또는 갱신하는 경우 데이터를 주키를 이용하여 암호화 하여 저장한다.
보안 이동형 저장장치(130)을 네트워크 외부에서 사용 허가하는 경우 보안 정책은 보안 이동형 저장장치(130)로의 접근과 읽기 권한만 허가된다. 또한, 보안 정책의 복사 방지 정보가 복사 방지하도록 설정되어 클립보드 후킹(Clipboard hooker)을 통한 복사와 붙이기가 방지되도록 한다.
도 7은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자를 등록하는 과정을 도시한 흐름도이다.
도 7을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 710단계에서 사용자 등록 이벤트의 발생을 감지하면, 712단계로 진행하여 등록할 사용자 패스워드를 수신한다.
이후, 이동형 저장장치 에이전트는 714단계로 진행하여 사용자 패스워드를 이용하여 도 5와 같이 보조키 생성한다. 그리고 이동형 저장장치 에이전트는 716단계로 진행하여 보조키를 이용하여 주키를 암호화한다. 이때 주키는 난수 발생을 통해 생성할 수 있다. 그리고 이동형 저장장치 에이전트는 718단계로 진행하여 보조키를 생성할 때 필요한 정보와 암호화된 주키를 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장한다.
도 8은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자 패스워드를 변경하는 과정을 도시한 흐름도이다.
도 8을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 810단계에서 사용자 패스워드 변경 이벤트의 발생을 감지하면, 812단계로 진행하여 등 록된 현재 사용자 패스워드를 수신한다.
이후, 이동형 저장장치 에이전트는 814단계로 진행하여 현재 사용자 패스워드와 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 보조키를 생성할 때 필요한 정보를 이용하여 현재 보조키를 생성한다. 그리고, 816단계로 진행하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 암호화된 주키를 복호화한다.
그리고 이동형 저장장치 에이전트는 818단계로 진행하여 변경할 사용자 패스워드를 수신하고, 820단계로 진행하여 변경할 사용자 패스워드를 이용하여 변경할 보조키 생성하고, 822단계로 진행하여 변경할 보조키로 주키를 암호화한다.
그리고 이동형 저장장치 에이전트는 824단계로 진행하여 변경할 보조키를 생성할 때 필요한 정보와 암호화된 주키를 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장한다.
또한, 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매 체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
도 1은 본 발명의 일실시예에 따르는 보안 이동형 저장장치를 포함하는 보안 네트워크 시스템의 구성을 도시한 도면,
도 2는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 구성을 도시한 도면,
도 3은 본 발명의 일실시예에 따르는 평문의 데이터가 보안 이동형 저장장치의 보안 영역에 저장되기 위해 암호문으로 암호화하는 과정을 기능 블록으로 도시한 도면,
도 4는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 보안 영역에 저장된 암호문을 읽기 위해 평문으로 복호화 하는 과정을 기능 블록으로 도시한 도면,
도 5는 본 발명의 일실시예에 따르는 사용자 패스워드를 이용하여 보조키를 생성하는 과정을 기능 블록으로 도시한 도면,
도 6은 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 사용자를 검증하고 보안 이동형 저장장치를 제어하는 과정을 도시한 흐름도,
도 7은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자를 등록하는 과정을 도시한 흐름도 및,
도 8은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자 패스워드를 변경하는 과정을 도시한 흐름도이다.

Claims (17)

  1. 사용자 패스워드를 수신하여 검증하는 단계;
    검증에 성공하면 보안 이동형 저장장치의 숨김영역에 저장된 보안 정책을 확인하는 단계;
    상기 보안 정책의 확인결과 상기 보안 이동형 저장장치를 사용 가능하면 상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치의 숨김영역에 저장된 암호화된 주키를 복호화하는 단계; 및
    상기 보안 정책 따라 상기 주키를 이용하여 상기 보안 이동형 저장장치로의 접근을 허용하는 단계를 포함하고,
    상기 보안 정책은,
    상기 보안 이동형 저장장치의 사용이 가능한 PC에 관한 정보 및 네트워크 외부에서의 사용허가를 포함하고,
    상기 보안 이동형 저장장치로의 접근을 허용하는 단계는,
    a) 상기 보안 정책이 보안 네트워크 외부에서 사용 가능으로 설정되고 보안 네크워크 외부에서 사용하는 경우 상기 보안 이동형 저장장치에 저장된 암호화된 데이터로의 접근과 읽기만을 제공하고 복사를 방지하고,
    b) 상기 보안 정책에 읽기 권한이 존재하고 상기 보안 이동형 저장장치에 저장된 암호화된 데이터의 읽기를 요청 받으면, 상기 주키를 이용하여 상기 암호화된 데이터를 복호화하여 제공하고,
    c) 상기 보안 정책에 쓰기 권한이 존재하고 상기 보안 이동형 저장장치에 데이터의 저장을 요청 받으면, 상기 주키를 이용하여 상기 데이터를 암호화 하여 저장하는 것을 포함하는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  2. 제1항에 있어서,
    상기 보안 정책은,
    복사 방지 정보, 접근 권한 정보, 읽기 권한 정보, 쓰기 권한 정보 및 갱신 권한 정보를 더 포함하는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  3. 제1항에 있어서,
    상기 보안 정책은,
    상기 보안 이동형 저장장치를 등록하고 관리하는 관리 서버에 의해 설정되는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  4. 제1항에 있어서,
    상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치에 저장된 상기 암호화된 주키를 복호화하는 단계는,
    상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계; 및
    상기 보조키를 이용하여 상기 암호화된 주키를 복호화 하는 단계를 포함하는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  5. 삭제
  6. 삭제
  7. 삭제
  8. 제1항에 있어서,
    상기 사용자 패스워드의 등록을 요청 받으면, 상기 사용자 패스워드를 수신하는 단계;
    상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계;
    상기 보조키를 이용하여 상기 주키를 암호화하는 단계; 및
    상기 암호화된 주키를 상기 보안 이동형 저장장치에 저장하는 단계를 더 포함하는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  9. 제1항에 있어서,
    상기 사용자 패스워드의 변경을 요청 받으면, 상기 사용자 패스워드를 수신하는 단계;
    상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계;
    상기 보조키를 이용하여 상기 암호화된 주키를 복호화하는 단계;
    변경할 사용자 패스워드를 수신하는 단계;
    상기 변경할 사용자 패스워드를 이용하여 변경할 보조키를 생성하는 단계;
    상기 변경할 보조키를 이용하여 상기 주키를 암호화하는 단계; 및
    상기 변경할 보조키로 암호화된 주키를 저장하는 단계를 더 포함하는
    이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.
  10. 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역;
    상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및
    보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함하고,
    상기 보안 정책은,
    상기 보안 이동형 저장장치의 사용이 사용 가능한 PC에 관한 정보 및 네트워크 외부에서의 사용허가 정보를 포함하고,
    상기 이동형 저장장치 에이전트는,
    a) 상기 보안 정책이 보안 네트워크 외부에서 사용 가능으로 설정되고 보안 네크워크 외부에서 사용하는 경우 상기 보안 이동형 저장장치에 저장된 암호화된 데이터로의 접근과 읽기만을 제공하고 복사를 방지하고,
    b) 상기 보안 정책에 읽기 권한이 존재하고 상기 보안 이동형 저장장치에 저장된 암호화된 데이터의 읽기를 요청 받으면, 상기 주키를 이용하여 상기 암호화된 데이터를 복호화하고,
    c) 상기 보안 정책에 쓰기 권한이 존재하고 상기 보안 이동형 저장장치에 데이터의 저장을 요청 받으면, 상기 주키를 이용하여 상기 데이터를 암호화 하는,
    보안 이동형 저장장치.
  11. 제10항에 있어서,
    상기 숨김 영역은,
    상기 주키를 암호화하고 복호화를 위해 사용하는 보조키를 생성하는데 필요로 하는 반복 횟수와 난수 발생값을 저장하는
    보안 이동형 저장장치.
  12. 제10항에 있어서,
    상기 숨김 영역은,
    사용자 인증에 관한 인증 로그와 상기 보안 이동형 저장장치에 저장된 데이터의 사용 로그를 저장하는
    보안 이동형 저장장치.
  13. 제10항에 있어서,
    상기 보안 정책은,
    복사 방지 정보, 접근 권한 정보, 읽기 권한 정보, 쓰기 권한 정보 및 갱신 권한 정보를 더 포함하는
    보안 이동형 저장장치.
  14. 제10항에 있어서,
    상기 보안 정책은,
    상기 보안 이동형 저장장치를 등록하고 관리하는 관리 서버에 의해 설정되는
    보안 이동형 저장장치.
  15. 제10항에 있어서,
    상기 이동형 저장장치 에이전트는,
    상기 사용자 패스워드와 반복 횟수와 난수 발생값를 이용하여 보조키를 생성하고, 상기 보조키를 이용하여 상기 주키를 암호화 하여 상기 암호화된 주키를 생성하고, 생성한 상기 암호화된 주키, 상기 반복 횟수 및 상기 난수 발생값을 상기 숨김 영역에 저장하는
    보안 이동형 저장장치.
  16. 제15항에 있어서,
    상기 이동형 저장장치 에이전트는,
    상기 사용자 패스워드와 상기 반복 횟수와 상기 난수 발생값를 이용하여 상기 보조키를 생성하고, 상기 보조키를 이용하여 상기 암호화된 주키를 상기 주키로 복호화하는
    보안 이동형 저장장치.
  17. 삭제
KR1020090031153A 2009-04-10 2009-04-10 보안 이동형 저장장치 및 그 제어 방법 KR101203804B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090031153A KR101203804B1 (ko) 2009-04-10 2009-04-10 보안 이동형 저장장치 및 그 제어 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090031153A KR101203804B1 (ko) 2009-04-10 2009-04-10 보안 이동형 저장장치 및 그 제어 방법

Publications (2)

Publication Number Publication Date
KR20100112724A KR20100112724A (ko) 2010-10-20
KR101203804B1 true KR101203804B1 (ko) 2012-11-22

Family

ID=43132521

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090031153A KR101203804B1 (ko) 2009-04-10 2009-04-10 보안 이동형 저장장치 및 그 제어 방법

Country Status (1)

Country Link
KR (1) KR101203804B1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120100046A (ko) 2011-03-02 2012-09-12 삼성전자주식회사 분산 환경 네트워크에서 컨텐츠의 접근 제어를 위한 장치 및 방법
DE102016213164A1 (de) * 2016-07-19 2018-01-25 Siemens Aktiengesellschaft Speichervorrichtung, Datenübertragungsvorrichtung und Verfahren zum Übertragen von Daten
KR102124578B1 (ko) * 2018-08-02 2020-06-18 주식회사 누리랩 저장 장치를 위한 보안 방법 및 이를 이용한 보안 장치
CN113453230B (zh) * 2020-03-25 2023-11-14 中国电信股份有限公司 终端管理方法和***以及安全代理

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085149A (ja) 2001-06-07 2003-03-20 Systemneeds Inc 指紋認証装置及び認証システム
JP2008040597A (ja) * 2006-08-02 2008-02-21 Sony Corp 記憶装置及び方法、並びに、情報処理装置及び方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085149A (ja) 2001-06-07 2003-03-20 Systemneeds Inc 指紋認証装置及び認証システム
JP2008040597A (ja) * 2006-08-02 2008-02-21 Sony Corp 記憶装置及び方法、並びに、情報処理装置及び方法

Also Published As

Publication number Publication date
KR20100112724A (ko) 2010-10-20

Similar Documents

Publication Publication Date Title
US7487366B2 (en) Data protection program and data protection method
US9075957B2 (en) Backing up digital content that is stored in a secured storage device
US8181028B1 (en) Method for secure system shutdown
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
US9288054B2 (en) Method and apparatus for authenticating and managing application using trusted platform module
KR20100133953A (ko) 데이터를 안전하게 하는 시스템 및 방법
JP2008257691A (ja) ストレージデバイスのデータ暗号化およびデータアクセスのシステムおよび方法
JP6591495B2 (ja) 内蔵型アクセス・コントロール機能を有するモバイル機器
CN107590395B (zh) 适用于云环境的多层数据加密方法、装置、设备及***
JPWO2006004130A1 (ja) データ管理方法、そのプログラム及びプログラムの記録媒体
US20090296937A1 (en) Data protection system, data protection method, and memory card
CN105612715A (zh) 具有可配置访问控制的安全处理单元
US11943345B2 (en) Key management method and related device
CN104318176A (zh) 用于终端的数据管理方法、数据管理装置和终端
KR101203804B1 (ko) 보안 이동형 저장장치 및 그 제어 방법
JP6357091B2 (ja) 情報処理装置、及びコンピュータプログラム
KR101208617B1 (ko) 다중 어플리케이션의 단일 인증서 공유 장치 및 그 방법
KR20080096054A (ko) 데이터의 암호화 저장 방법 및 암호화된 데이터의 판독방법
US20130014286A1 (en) Method and system for making edrm-protected data objects available
JP4192738B2 (ja) 電子文書編集装置、電子文書編集プログラム
KR100945181B1 (ko) 파일명을 이용하여 데이터를 보호하는 저장 시스템, 미들시스템 및 데이터 관리 방법
KR20170053459A (ko) 정보 보호를 위한 파일 암복호화 방법
KR100952300B1 (ko) 저장매체의 안전한 데이터 관리를 위한 단말 장치, 메모리및 그 방법
JP2008147946A (ja) 認証方法、認証システム、及び外部記憶媒体

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150827

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161109

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171109

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181116

Year of fee payment: 7