KR102549300B1 - File verification system and file verification method - Google Patents

File verification system and file verification method Download PDF

Info

Publication number
KR102549300B1
KR102549300B1 KR1020210056503A KR20210056503A KR102549300B1 KR 102549300 B1 KR102549300 B1 KR 102549300B1 KR 1020210056503 A KR1020210056503 A KR 1020210056503A KR 20210056503 A KR20210056503 A KR 20210056503A KR 102549300 B1 KR102549300 B1 KR 102549300B1
Authority
KR
South Korea
Prior art keywords
signer
file
verification
information
certificate
Prior art date
Application number
KR1020210056503A
Other languages
Korean (ko)
Other versions
KR20220149202A (en
Inventor
황규범
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020210056503A priority Critical patent/KR102549300B1/en
Publication of KR20220149202A publication Critical patent/KR20220149202A/en
Application granted granted Critical
Publication of KR102549300B1 publication Critical patent/KR102549300B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics

Abstract

본 발명은, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 검증 시점과 무관하게 높은 검증 신뢰도를 보장하는 검증 결과를 얻을 수 있는 파일 검증 시스템 및 파일 검증 방법을 제안하고 있다.The present invention enables verification of the validity of a certificate (signer validity) included in a file when verifying a file even in an environment where Internet connection is limited, thereby obtaining a verification result that guarantees high verification reliability regardless of the verification time point. A file verification system and file verification method are proposed.

Description

파일 검증 시스템 및 파일 검증 방법{FILE VERIFICATION SYSTEM AND FILE VERIFICATION METHOD}File verification system and file verification method {FILE VERIFICATION SYSTEM AND FILE VERIFICATION METHOD}

본 발명은 인증서로 서명된 파일 검증 기술에 관한 것으로, 더욱 상세하게는 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하도록 하는 기술에 관한 것이다.The present invention relates to a technology for verifying a file signed with a certificate, and more particularly, to a technology for enabling validation of a certificate included in a file when verifying a file even in an environment where Internet connection is restricted.

사용자 컴퓨터에서 보안 위협은 외부로부터의 공격자의 침입과 악성코드의 감염과 실행으로 인한 문제 두가지로 나누어지는데, 그 중에서 후자의 경우 사용자 컴퓨터에서 실행되는 파일 또는 코드가 악성코드인지 여부를 판단해서 악성코드인 파일의 실행을 차단하는 방법으로도 사용자 컴퓨터를 보호할 수 있다.Security threats on the user's computer are divided into two types: intrusion by attackers from outside and problems caused by infection and execution of malicious code. Among them, in the latter case, it is determined whether the file or code running on the user's computer is malicious code. You can also protect your computer by blocking the execution of in-files.

이에 운영체제에서도 이 파일의 실행을 허용해도 되는지를 판단하고, 의심되는 파일의 실행을 차단하거나, 사용자에게 경고하는 기능이 적용되어 있다.Accordingly, the operating system determines whether the execution of this file is allowed, blocks the execution of the suspicious file, or warns the user.

이렇게 파일을 신뢰할 수 있는지 여부를 판단하는 방법으로 널리 사용되는 방법의 하나로 파일의 전자 서명을 검증하는 방법이 있다. One of the widely used methods for determining whether a file is trustworthy is a method of verifying a digital signature of a file.

파일의 전자 서명을 검증하는 방법은, 파일이 서명된 후 배포되는 과정에서 변조되지 않았는지 무결성을 검증하고, 파일 서명자의 인증서를 신뢰할 수 있는지 유효성을 검증하게 되는데 이를 위해서는 인증기관에 조회하기 위해 인터넷 연결이 필요하다.The method of verifying the electronic signature of a file verifies the integrity of the file to ensure that it has not been tampered with in the process of being distributed after it is signed, and validates whether the certificate of the file signer is trustworthy. A connection is required.

그러나, 사용자가 인터넷 연결이 제한되어 있다면 서명자의 인증서를 검증할 수 없기 때문에 파일의 서명 검증을 완전하게 할 수 없게 된다.However, if the user has a limited Internet connection, the signature verification of the file cannot be performed completely because the signer's certificate cannot be verified.

본 발명은, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하게 함으로써 신뢰할 수 있는 파일 검증 결과를 얻는 방법을 제안한다.The present invention proposes a method for obtaining a reliable file verification result by enabling validation of a certificate included in a file when verifying a file, even in an environment where Internet connection is limited.

본 발명은 상기한 사정을 감안하여 창출된 것으로서, 본 발명에서 해결하고자 하는 과제는, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증까지 가능하게 하여 높은 신뢰도로 파일 검증을 수행할 수 있는 파일 검증 시스템 및 파일 검증 방법을 제공하는 것이다.The present invention was created in view of the above circumstances, and the problem to be solved in the present invention is to enable even verification of the validity of the certificate included in the file when verifying the file, even in an environment where Internet connection is limited, thereby providing high reliability. It is to provide a file verification system and a file verification method capable of performing file verification.

본 발명에서 제안하는 방법은 인터넷 연결이 제한된 네트워크 환경에서도 파일 서명자를 검증할 수 있도록 하는 것이다. 이를 위해서 인터넷이 가능한 환경에서 서명자별로 대표 파일을 검증하여 서명자 검증에 활용할 검증 정보를 작성하고, 이 검증 정보를 인터넷 연결이 제한된 네트워크에 전달하여 해당 네트워크 내에서 파일 검증시 활용할 수 있도록 하는 것이다.The method proposed by the present invention enables verification of a file signer even in a network environment with limited Internet connection. To this end, a representative file is verified for each signer in an Internet-enabled environment, verification information to be used for signer verification is created, and this verification information is delivered to a network with limited Internet connection so that it can be used for file verification within the network.

상기 목적을 달성하기 위한 본 발명의 제 1 관점에 따른 파일 검증 방법은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증단계; 상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 작성단계; 인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하는 정보 전달단계; 및 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증하는 파일 검증단계를 포함한다.A file verification method according to a first aspect of the present invention for achieving the above object includes a signer verification step of performing signer verification on a representative file selected for each signer; an information creation step of creating signer information including a result of signer verification performed on the representative file; an information transfer step of transferring the signer information to a network having a limited Internet connection; and a file verification step of verifying the validity of the signer for the file using the signer information when verifying the file within the network.

상기 목적을 달성하기 위한 본 발명의 제 2 관점에 따른 파일 검증 시스템은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증부; 상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 관리부; 인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하여, 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증할 수 있게 하는 정보 전달부를 포함한다.A file verification system according to a second aspect of the present invention for achieving the above object includes a signer verification unit performing signer verification on a representative file selected for each signer; an information management unit that creates signer information including a result of signer verification performed on the representative file; and an information transmission unit that transmits the signer information to a network with limited Internet connection, and enables verification of the signer's validity for the file using the signer information when verifying a file within the network.

본 발명의 실시 예들에 따르면, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 수행하여 그 검증 결과를 인터넷 접속이 제한된 환경에 전달하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.According to the embodiments of the present invention, signer verification that guarantees high reliability is performed on a representative file selected for each signer, and the verification result is delivered to an environment where Internet access is limited, thereby replacing the role of the existing PKI infrastructure. is newly implemented.

아울러, 본 발명의 실시 예들에 따르면, 대표 파일에 대한 주기적인 서명자 검증 및 검증 결과 전달을 통해 최신으로 유지할 수 있게 한다.In addition, according to embodiments of the present invention, it is possible to keep the representative file up-to-date through periodic signer verification and delivery of verification results.

이로 인해, 본 발명의 실시 예들에 따르면, PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 높은 신뢰도로 파일 검증을 수행할 수 있는 효과를 도출한다.For this reason, according to embodiments of the present invention, based on the implementation of a new environmental structure that replaces the role of the PKI infrastructure, the validity of the certificate (signer validity) included in the file is verified even in an environment with limited Internet connection when verifying the file. up to, the effect of performing file verification with high reliability is derived.

도 1은 본 발명의 일 실시 예에 따른 파일 검증 시스템의 구성을 보여주는 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 파일 검증 방법의 동작 흐름을 보여주는 흐름도이다.1 is a configuration diagram showing the configuration of a file verification system according to an embodiment of the present invention.
2 is a flowchart showing the operational flow of a file verification method according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시 예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.Since the present invention can make various changes and have various embodiments, specific embodiments will be illustrated in the drawings and described in detail. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention. Like reference numerals have been used for like elements throughout the description of each figure.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 중간에 다른 구성요소가 존재하는 형태로 접속되어 있을 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it should be understood that it may be directly connected to the other component or connected in the form of another component present in the middle. something to do. On the other hand, when an element is referred to as “directly connected” or “directly connected” to another element, it should be understood that no other element exists in the middle.

본 출원에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Terms used in this application are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise. In this application, the terms "include" or "have" are intended to designate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, but one or more other features It should be understood that the presence or addition of numbers, steps, operations, components, parts, or combinations thereof is not precluded.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the related art, and unless explicitly defined in the present application, they should not be interpreted in an ideal or excessively formal meaning. don't

이하, 첨부된 도면을 참조하여 본 발명에 대하여 설명한다.Hereinafter, the present invention will be described with reference to the accompanying drawings.

본 발명은 인증서로 서명된 파일 검증 기술에 관한 것이다.The present invention relates to a technique for verifying a file signed with a certificate.

파일을 신뢰할 수 있는지 여부를 판단하는 파일 검증의 방법으로 널리 사용되는 방법의 하나로 파일의 전자 서명을 검증하는 방법이 있다. As a method of verifying a file to determine whether a file can be trusted, there is a method of verifying a digital signature of a file as one of the widely used methods.

파일의 전자 서명을 검증하는 방법은, 파일이 서명된 후 배포되는 과정에서 변조되지 않았는지 무결성을 검증하고, 파일 서명자의 인증서를 신뢰할 수 있는지 서명자의 유효성을 검증하는 과정을 거치며 서명자 유효성 검증을 위해서는 인증기관에 조회하기 위해 인터넷 연결이 필요하다.The method of verifying the digital signature of a file goes through the process of verifying the integrity of the file to ensure that it has not been tampered with in the process of being distributed after being signed, and verifying the validity of the signer to see if the certificate of the signer of the file can be trusted. An internet connection is required to query the certification authority.

즉 기존의 파일 검증 방법으로는, 사용자가 인터넷 연결이 제한되어 있다면, 인터넷 연결이 필요한 서명자 유효성 검증을 할 수 없다. That is, with the existing file verification method, if the user has a limited Internet connection, signer validity verification that requires an Internet connection cannot be performed.

결국, 기존의 파일 검증 방법으로는, 인터넷 연결이 제한되는 환경에서 파일 검증 시, 파일에 포함된 인증서에 대한 유효성을 검증할 수 없기 때문에 파일의 서명 검증을 완전하게 할 수 없는 한계점을 갖는다.As a result, the existing file verification method has a limitation in that the signature verification of the file cannot be completely performed because the validity of the certificate included in the file cannot be verified when verifying the file in an environment where Internet connection is limited.

본 발명은, 인터넷 연결이 제한된 환경에서도, 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성 검증이 가능하게 함으로써 파일의 서명 검증을 완전하게 수행하여 신뢰할 수 있는 검증 결과를 얻는 방법을 제안하고자 한다.The present invention proposes a method for obtaining a reliable verification result by completely performing signature verification of a file by enabling verification of the validity of a certificate included in a file when verifying a file, even in an environment where Internet connection is limited. .

물론, 인터넷 연결이 제한된 환경에서는, 필요한 인증서(서명자 정보)들을 복사 등의 형태로 미리 획득하여 검증하고자 하는 개별 클라이언트 내부에 설치한 후 파일에 대한 검증 시 파일에 포함된 인증서 역시 검증할 수 있도록 하는 방식도 생각해 볼 수 있을 것이다.Of course, in an environment where Internet connection is limited, the necessary certificates (signer information) are obtained in advance in the form of copying, etc., installed inside the individual client to be verified, and then, when verifying the file, the certificate included in the file can also be verified. You can also think of ways.

하지만, 이러한 방식의 경우, 인증서 설치 이후 해당 인증서가 무효화될 수 있는데 이를 확인할 수 없기 때문에, 시간에 따라서 파일에 대한 검증 시 검증 신뢰도를 보장할 수 없다는 한계로부터 완전히 벗어날 수 없다.However, in this method, since the corresponding certificate may be invalidated after the certificate is installed and cannot be verified, it is impossible to completely escape from the limitation that verification reliability cannot be guaranteed during file verification over time.

또는, 전술과 같이 시간에 따라 파일 검증에 대한 검증 신뢰도를 보장할 수 없는 한계점을 보완하기 위해, 파일 제작자가 아닌 별도 보안업체가 만든 파일 무결성 정보(일명, 화이트리스트)를 이용할 수도 있다.Alternatively, as described above, file integrity information (aka whitelist) created by a separate security company rather than a file producer may be used to compensate for the limitation that verification reliability for file verification cannot be guaranteed over time.

헌데, 파일 제작자가 아닌 별도 보안업체가 만든 파일 무결성 정보 즉 화이트리스트는 개별 파일마다 각기 작성되어야 하기 때문에, 파일 검증 시 검증 신뢰도는 보장할 수 있다 하더라도, 수천만 개 이상의 화이트리스트 대상 파일에 대해 다양한 환경에서 적용하기에는 데이터 량과 파일의 업데이트 등의 문제로 효율이 떨어지는 또 다른 단점이 있다.However, since the file integrity information, that is, the whitelist, created by a separate security company rather than the file producer, must be created for each individual file, even if the verification reliability can be guaranteed during file verification, various environments for more than tens of millions of whitelisted files There is another disadvantage of low efficiency due to problems such as data volume and file update.

정리하면, 본 발명에서는, 인터넷 연결이 제한된 환경에서 파일에 대한 검증 시, 어느 시점이라도 파일 서명자에 대한 직접 검증 기반의 높은 검증 신뢰도를 보장하면서 인증서의 유효성 검증이 가능하도록 하는데 핵심이 있다.In summary, in the present invention, when verifying a file in an environment where Internet connection is limited, the key is to ensure the validity of the certificate at any point in time based on the direct verification of the file signer while ensuring high verification reliability.

이하 설명에서는, 인터넷 연결이 제한된 환경의 네트워크를 내부망이라 지칭하여 설명하겠다. In the following description, a network in an environment where Internet connection is restricted will be referred to as an internal network.

이에, 본 발명에서는, 인증서를 신뢰할 수 있는지 유효성을 검증할 때 인터넷 연결을 기본으로 하는 PKI(Public Key Infrastructure) 기반의 기존 파일 검증 방식의 한계를 극복하기 위해, PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하여 시점에 따라 야기될 수 있는 검증 신뢰도의 한계를 해결하고자 한다.Therefore, in the present invention, in order to overcome the limitations of the existing file verification method based on PKI (Public Key Infrastructure) based on Internet connection when validating whether a certificate can be trusted, an environmental structure that replaces the role of the PKI infrastructure is newly implemented to solve the limitation of verification reliability that can be caused depending on the point in time.

보다 구체적으로, 본 발명에서 제안하는 파일 검증 방법을 실현하는 파일 검증 시스템을 구현해내고자 한다.More specifically, it is intended to implement a file verification system that realizes the file verification method proposed in the present invention.

도 1은, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)의 구성을 보여주고 있다.1 shows the configuration of a file verification system 400 according to an embodiment of the present invention.

도 1에서는 설명의 편의상, 인터넷 연결이 제한된 네트워크 즉 내부망의 시스템으로 하나를 도시하였으나, 본 발명을 적용할 수 있는 내부망 시스템은 다수 개일 수도 있다.In FIG. 1, for convenience of description, a network with a limited Internet connection, that is, an internal network system is shown, but a plurality of internal network systems to which the present invention can be applied may be employed.

아울러, 도 1에서는 설명의 편의상, 내부망의 클라이언트를 하나 도시하였으나, 이는 설명의 편의를 위한 도식일 뿐 클라이언트는 다수 개일 수 있다.In addition, in FIG. 1, for convenience of description, one client of the internal network is shown, but this is only a diagram for convenience of description, and the number of clients may be multiple.

본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 서명자검증부(120), 정보관리부(130), 정보전달부(140)를 포함할 수 있다.The file verification system 400 according to an embodiment of the present invention may include a signer verification unit 120, an information management unit 130, and an information transmission unit 140.

더 나아가, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 파일관리부(110), 내부 서버(200), 검증부(310)를 더 포함하여 구성될 수 있다.Furthermore, the file verification system 400 according to an embodiment of the present invention may further include a file management unit 110, an internal server 200, and a verification unit 310.

결국, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 전술한 구성을 통해, 파일에 대한 검증 시 어느 시점이라도 파일 서명자에 대한 직접 검증 기반의 높은 검증 신뢰도를 보장하면서 인증서의 유효성 검증이 가능하도록 하는 파일 검증 방법을 실현할 수 있다.As a result, the file verification system 400 according to an embodiment of the present invention, through the above-described configuration, validates the validity of the certificate while guaranteeing high verification reliability based on direct verification of the file signer at any point in the verification of the file. It is possible to realize a file verification method that makes this possible.

이하에서는, 본 발명의 제안 방법을 실현하기 위한 파일 검증 시스템(400) 내 각 구성에 대해 보다 구체적으로 설명하기로 한다.Hereinafter, each component in the file verification system 400 for realizing the proposed method of the present invention will be described in more detail.

구체적인 설명에 앞서, 도 1에 도시된 바와 같이, 본 발명의 일 실시 예에 따른 파일 검증 시스템(400)은, 내부망 즉 인터넷 연결이 제한된 네트워크와 외부망 즉 인터넷 연결이 가능한 네트워크에 분산 구현될 수 있다.Prior to the detailed description, as shown in FIG. 1, the file verification system 400 according to an embodiment of the present invention may be distributed and implemented in an internal network, that is, a network with limited Internet connection, and an external network, that is, a network with Internet connection possible. can

아울러 설명의 편의상, 도 1에 도시된 바와 같이, 후술의 파일관리부(110), 서명자검증부(120), 정보관리부(130), 정보전달부(140)는 인터넷 연결이 가능한 네트워크에 구현되는 서버(100)로 지칭하겠다.In addition, for convenience of explanation, as shown in FIG. 1, the file management unit 110, the signer verification unit 120, the information management unit 130, and the information delivery unit 140 described below are servers implemented in a network capable of connecting to the Internet. (100).

파일관리부(110)는, 서명자별로 서명 검증을 위한 대표 파일을 선정하는 기능을 담당한다.The file management unit 110 is responsible for selecting a representative file for signature verification for each signer.

보다 구체적으로 설명하면, 파일관리부(110)는, 다수 사용하는 프로그램으로부터, 각기 다른 각각의 서명자에 대해 서명자 검증을 위한 대표 파일을 선정할 수 있다.More specifically, the file management unit 110 may select a representative file for signer verification for each different signer from a number of used programs.

서명자검증부(120)는, 서명자별로 선정한 대표 파일에 대해, 서명자 검증을 수행하는 기능을 담당한다.The signer verification unit 120 is responsible for performing signer verification on representative files selected for each signer.

구체적으로 설명하면, 서명자검증부(120)는, 각기 다른 각각의 서명자에 대해, 서명자 검증을 주기적으로 수행할 수 있다. Specifically, the signer verification unit 120 may periodically perform signer verification for each different signer.

이때, 서명자검증부(120)는, 인터넷 상에서 서명자 검증을 수행할 수 있는 환경을 전제로 하며, 이에 PKI 기반의 기존 방식으로 (대표) 파일에 대해 서명자 식별정보(서명자 구분정보+공개키)를 이용해서 다양한 방식으로 서명자 검증을 수행할 수 있다.At this time, the signer verification unit 120 assumes an environment in which signer verification can be performed on the Internet, and therefore, signer identification information (signer identification information + public key) for a (representative) file in a PKI-based conventional method. It can be used to perform signer verification in various ways.

이에, 서명자검증부(120)는, 서명자별로, 대표 파일에 대해 서명자 검증을 주기적으로 수행하여 매 수행 시마다 서명자의 유효성을 재 확인하고, 그에 따른 검증 결과(검증 성공, 검증 실패), 검증 수행 시간 및 수행된 검증 결과에 대한 유효 기간을 저장할 수 있다.Accordingly, the signer verification unit 120 periodically performs signer verification on the representative file for each signer to re-verify the validity of the signer every time it is performed, and the result of verification (verification success, verification failure), verification execution time and a validity period for the performed verification result may be stored.

여기서, 서명자검증부(120)에서 서명자별로 수행되는 서명자 검증은 인터넷 접속을 통해 수행되는 것으로, 그 검증 결과는 매우 높은 신뢰도가 보장된다 하겠다.Here, the signer verification performed for each signer in the signer verification unit 120 is performed through Internet access, and the verification result is guaranteed to have very high reliability.

정보관리부(130)는, 서명자별로 선정된 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 기능을 담당한다.The information management unit 130 is responsible for creating signer information including the result of signer verification performed on the representative file selected for each signer.

즉, 정보관리부(130)는, 각 대표 파일에 대해 수행한 서명자 검증의 결과가 포함된 서명자 정보를 작성, 수정, 업데이트하는 등 서명자 정보를 관리할 수 있다.That is, the information management unit 130 may manage signer information by creating, modifying, or updating signer information including the result of signer verification performed on each representative file.

구체적으로 설명하면, 정보관리부(130)는, 각 서명자의 대표 파일에 대해 서명자검증부(120)에서 수행한 서명자 검증의 검증 결과(검증 성공, 검증 실패), 서명자 검증을 수행한 검증 수행 시간, 그리고 수행한 검증 결과에 대한 유효 기간을 포함하는 서명자 정보를 작성할 수 있다.Specifically, the information management unit 130, the verification result of the signer verification performed by the signer verification unit 120 for each signer's representative file (verification success, verification failure), the verification execution time for performing the signer verification, And signer information including the validity period for the performed verification result can be created.

즉, 정보관리부(130)는, 서명자검증부(120)에서 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대한 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간을 포함하는 서명자 정보를 작성할 수 있다.That is, the information management unit 130, whenever the signer verification unit 120 performs the signer verification, the verification result for each of the signers configured at the time of performing the corresponding signer verification (verification success, verification failure), Signer information including verification execution time and validity period can be created.

더 나아가, 정보관리부(130)는, 서명자별로 식별번호를 부여하고 관리할 수 있다.Furthermore, the information management unit 130 may assign and manage identification numbers for each signer.

정보관리부(130)에서 서명자별로 식별번호를 부여하는 방식은, 부여 규칙을 정의하기에 따라 다양할 수 있다.A method of assigning an identification number to each signer in the information management unit 130 may vary depending on the definition of assigning rules.

다양한 방식 중 일 예를 설명하면, 정보관리부(130)는, 각 서명자의 대표 파일로부터 추출되는 정보를 활용하여 서명자별로 식별번호를 부여할 수 있다.To describe one of the various methods, the information management unit 130 may assign an identification number to each signer by utilizing information extracted from a representative file of each signer.

구체적으로 설명하면, 정보관리부(130)는, 서명자에 대해 선정한 대표 파일로부터, 서명자에 대해 특정된 정보를 추출할 수 있다.Specifically, the information management unit 130 may extract information specific to the signer from a representative file selected for the signer.

즉, 정보관리부(130)는, 서명자에 대해 선정한 대표 파일에 서명된 인증서로부터 서명자에 대해 특정된 정보를 추출한다.That is, the information management unit 130 extracts information specific to the signer from the certificate signed in the representative file selected for the signer.

이처럼 대표 파일로부터 추출하는 정보는, 서명자 구분정보 및 공개키 등 서명 정보 검증에 필요한 정보로 특정될 수 있다.Information extracted from the representative file may be specified as information necessary for verifying signature information, such as signer identification information and public key.

이에, 식별번호를 부여하는 일 예로서, 정보관리부(130)는, 서명자별로, 대표 파일의 추출한 정보에서 확인되는 서명자 구분정보로부터 작성된 해시값을 식별번호로써 부여할 수 있다.Accordingly, as an example of assigning an identification number, the information management unit 130 may assign, for each signer, a hash value created from signer identification information identified in the extracted information of the representative file as the identification number.

물론, 본 발명에서 서명자별로 식별번호를 부여하는 방식은, 전술의 실시 예로 제한되지 않으며 부여 규칙을 정의하기에 따라 다양하게 구현될 수 있다.Of course, in the present invention, the method of assigning an identification number to each signer is not limited to the above-described embodiment and may be implemented in various ways according to defining rules for assigning.

이에, 정보관리부(130)는, 서명자검증부(120)에서 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대하여 식별번호로 구분되는 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간이 포함된 서명자 정보를 작성할 수 있다.Accordingly, the information management unit 130, whenever signer verification is performed by the signer verification unit 120, verifies results classified by identification numbers for each of the signers configured at the time of performing the corresponding signer verification , verification failure), verification execution time, and valid period.

이렇듯, 정보관리부(130)에서 작성되는 서명자 정보는, 서명자별로, 서명자에 부여된 식별번호, 대표 파일에 대한 서명자 검증의 검증 결과, 검증 수행 시간 및 유효 기간을 포함할 수 있다.As such, the signer information prepared by the information management unit 130 may include, for each signer, an identification number assigned to the signer, a verification result of the signer verification for the representative file, a verification execution time, and a valid period.

즉, 정보관리부(130)에서 작성되는 서명자 정보는, 서명자 검증을 수행한 시점(검증 수행 시간)에 구성되어 있는 전체 서명자에 대한 것으로, 전체 서명자를 구분하기 위한 기준으로서 각 식별번호를 사용하여, 각 식별번호 별로, 식별번호가 부여된 서명자의 대표 파일에 대한 서명자 검증의 검증 결과(검증 성공 또는 검증 실패), 검증 수행 시간, 유효 기간(예: 검증 수행 시간부터 XX 시간)을 포함하는 형태로 작성될 수 있다.That is, the signer information created by the information management unit 130 is for all signers configured at the time of signer verification (verification execution time), using each identification number as a criterion for distinguishing all signers, For each identification number, in the form of including the verification result (verification success or verification failure) of the signer verification of the signer's representative file to which the identification number was assigned, the verification execution time, and the validity period (e.g., from the verification execution time to XX hours) can be written

그리고, 정보관리부(130)는, 전술의 서명자 정보를 파일 형태로 작성할 수 있다.And, the information management unit 130 can create the above-mentioned signer information in the form of a file.

한편, 정보관리부(130)는, 새로운 서명자가 추가되어 새로운 서명자에 대한 식별번호가 부여된 경우, 이전 서명자 검증 수행 시점의 전체 서명자에 대해 이전 및 금번 서명자 검증의 수행 결과가 동일한 경우라면, 새로 추가된 서명자에 대해서만 식별번호로 구분되는 검증 결과 및 검증 수행 시간, 유효 기간을 포함하는 서명자 정보 파일을 작성할 수도 있다.Meanwhile, the information management unit 130, when a new signer is added and an identification number for the new signer is assigned, if the results of previous and current signer verification are the same for all signers at the time of performing the previous signer verification, the information management unit 130 adds a new signer. It is also possible to create a signer information file that includes the verification result, verification execution time, and validity period classified by identification number only for the signed signer.

또한, 정보관리부(130)는, 새로운 서명자가 추가되어 새로운 서명자에 대한 식별번호가 부여된 경우, 이전 서명자 검증 수행 시점의 전체 서명자 식별정보 중 이전 및 금번 서명자 검증의 수행 결과가 변경된 서명자가 존재하는 경우라면, 새로 추가된 서명자 및 서명자 검증의 수행 결과가 변경된 서명자에 대해서만 식별번호로 구분되는 검증 결과 및 검증 수행 시간, 유효 기간을 포함하는 서명자 정보 파일을 작성할 수도 있다.In addition, when a new signer is added and an identification number for the new signer is assigned, the information management unit 130 determines whether a signer whose previous and current signer verification results have been changed among all signer identification information at the time of performing the previous signer verification is present. In this case, a signer information file including the newly added signer and the signer whose signer verification result has been changed, which is distinguished by an identification number, the verification execution time, and the validity period, may be created.

만약, 정보관리부(130)는, 이전 서명자 검증 수행 시점의 전체 서명자에 대해 새로 추가된 서명자도 없고 이전 및 금번 서명자 검증의 수행 결과가 동일한 경우라면, 검증 수행 시간 및 유효 기간 만을 포함하는 업데이트 용의 서명자 정보 파일을 작성할 수도 있다.If there is no newly added signer for all signers at the time of previous signer verification, and the results of the previous and current signer verification are the same, the information management unit 130 performs an update process including only the verification execution time and validity period. You can also create a signer information file.

정보전달부(140)는, 정보관리부(130)에서 작성된 서명자 정보 파일을, 인증서로 서명된 파일에 대해 인증서 검증에 필요한 정보 확보가 불가능한 환경 즉 인터넷 연결이 제한된 네트워크인 내부망으로 전달하는 기능을 담당한다.The information delivery unit 140 has a function of transferring the signer information file created in the information management unit 130 to an environment in which it is impossible to secure information necessary for certificate verification for a file signed with a certificate, that is, to an internal network, which is a network with limited Internet connection. take charge

구체적인 실시 예를 설명하면, 정보전달부(140)는, 정보관리부(130)에서 작성한 서명자 정보 파일을, 내부망의 시스템 예컨대 내부 서버(200)로 전달할 수 있다. Describing a specific embodiment, the information delivery unit 140 may deliver the signer information file created by the information management unit 130 to a system of an internal network, for example, the internal server 200 .

이렇게 되면, 서명자 정보 파일은 정보전달부(140)에 의해 내부망의 내부 서버(200)로 전달되며, 내부 서버(200)에 보유될 수 있다.In this case, the signer information file is transferred to the internal server 200 of the internal network by the information transfer unit 140, and may be held in the internal server 200.

본 발명에서는, 내부망의 내부 서버(200)가, 외부로부터 제공받은 정보를 통해 정기적/비정기적으로 정보 업데이트를 수행할 수 있는 점을 활용할 수 있다.In the present invention, it is possible to utilize the fact that the internal server 200 of the internal network can regularly/irregularly update information through information provided from the outside.

이에, 전술의 설명과 같이 정보관리부(130)에서 매 시점 및 필요한 시점에 작성한 서명자 정보 파일을 정보전달부(140)가 정기적/비정기적으로 내부 서버(200)에 전달함으로써, 내부망의 내부 서버(200)에는 최신으로 전달받는 서명자 정보 파일이 업데이트될 수 있다.Therefore, as described above, the information delivery unit 140 periodically/irregularly delivers the signer information file created by the information management unit 130 at every point and at the necessary time to the internal server 200, so that the internal server of the internal network In step 200, the latest signer information file can be updated.

한편, 서명자 정보 파일은, 인터넷 연결이 제한된 네트워크 내 구축되는 내부 서버(200)에서, 내부 서버(200)가 내부 클라이언트(300)로 정보를 제공하는 정보 제공 방식에 따라서 내부 클라이언트(300)에 제공되어 파일 검증에 활용될 수 있다.On the other hand, the signer information file is provided to the internal client 300 according to an information providing method in which the internal server 200 provides information to the internal client 300 in the internal server 200 built in a network with limited Internet connection. and can be used for file verification.

예를 들면, 내부 서버(200)는 클라이언트(300)가 정보를 질의하는 방식으로 정보(서명자 정보 파일)를 제공할 수 있고, 클라이언트(300)가 정보를 다운로드 하여 파일 검증에 활용할 수 있도록 정보(서명자 정보 파일)를 제공할 수도 있다.For example, the internal server 200 may provide information (signer information file) in such a way that the client 300 queries the information, and the information (signer information file) is downloaded so that the client 300 can download the information and use it for file verification. signer information file).

이에, 일 예에 따르면, 클라이언트(300)는 파일에 대한 검증 시 내부 서버(200)에 질의하고, 내부 서버(200)가 서명자 정보 파일을 이용하여 금번 검증 대상의 파일에 대한 서명자의 유효성을 검증하여 그 검증 결과를 클라이언트(300)에 회신하는 방식으로, 내부망에서의 서명자 검증이 수행될 수 있다.Accordingly, according to an example, the client 300 queries the internal server 200 when verifying a file, and the internal server 200 verifies the validity of the signer for the file to be verified this time using the signer information file. In such a way that the verification result is returned to the client 300, the signer verification in the internal network can be performed.

또 다른 일 예에 따르면, 각 클라이언트(300)는 파일에 대한 검증 시 내부 서버(200)로부터 서명자 정보 파일을 다운로드하여 금번 검증 대상의 파일에 대한 서명자의 유효성 검증에 활용하는 방식으로, 내부망에서의 서명자 검증이 수행될 수 있다.According to another example, each client 300 downloads the signer information file from the internal server 200 when verifying the file and uses it to verify the validity of the signer for the file to be verified this time, in the internal network. Signer verification of can be performed.

보다 구체적으로 설명하면, 전술한 것처럼 내부망의 내부 서버(200)는, 서버(100)에서 작성된 서명자 정보 파일을 제공받아 보유하고 있다. More specifically, as described above, the internal server 200 of the internal network receives and holds the signer information file created in the server 100.

그리고 본 발명에서 내부망의 각 클라이언트(300) 내 검증부(310)는, 인증서로 서명된 파일 검증 시, 해당 파일의 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되는 경우, 인증서의 서명자가 유효한 것으로 검증할 수 있다.In the present invention, when the verification unit 310 in each client 300 of the internal network verifies a file signed with a certificate, the information of the verification success state mapped to the identification number verified from the certificate of the corresponding file is displayed in the signer information file. If verified, the signer of the certificate can be verified as valid.

일 예를 들면, 클라이언트(300) 내 검증부(310)는, 클라이언트(300) 내 검증이 필요한 파일이 있을 경우, 해당 파일에 대해 무결성 검증을 수행하게 된다.For example, the verification unit 310 in the client 300, if there is a file requiring verification in the client 300, performs integrity verification on the corresponding file.

이때, 검증부(310)는, 해당 파일이 인증서로 서명된 파일이라면, 기존과 같이 시스템의 서명 검증 API를 통해 해당 파일에 서명된 인증서를 이용한 파일의 변조 여부를 확인하는 전자서명 기반의 파일 무결성 검증을 수행할 수 있다.At this time, if the file is signed with a certificate, the verification unit 310 checks whether the file has been tampered with using the certificate signed on the file through the signature verification API of the system as before. verification can be performed.

여기서, 검증부(310)가 수행하는 파일의 변조 여부를 확인하는 파일 무결성 검증 과정은, 클라이언트(300)의 운영체제(예: windows)에서 제공하는 API 함수를 통해 수행할 수 있으나, 검증할 파일과 동작하는 운영체제가 서로 상이할 경우엔 API 함수를 통해 해당 파일 무결성 검증 기능을 수행할 수 없으므로 별도로 파일 무결성 검증 기능을 구현하여 수행할 수도 있다.Here, the file integrity verification process of checking whether the file is tampered with by the verification unit 310 can be performed through an API function provided by the operating system (eg, windows) of the client 300, but the file to be verified and If operating systems are different from each other, the file integrity verification function cannot be performed through the API function, so the file integrity verification function can be separately implemented and performed.

이에, 검증부(310)는, 파일 무결성 검증 결과 변조가 확인되면 파일에 대한 무결성 검증 실패로 판단하여 금번 파일 검증을 실패로 종료할 것이다.Accordingly, the verification unit 310 determines that the integrity verification of the file has failed when the falsification is confirmed as a result of verifying the integrity of the file, and ends the current verification of the file as a failure.

한편, 검증부(310)는, 파일 무결성 검증 결과 변조가 없다고 확인되면, 해당 파일에 포함된 인증서로부터 해당 인증서의 서명자에게 부여된 식별번호를 확인할 수 있다. On the other hand, if it is confirmed that there is no tampering as a result of file integrity verification, the verification unit 310 may check the identification number assigned to the signer of the corresponding certificate from the certificate included in the corresponding file.

구체적으로, 검증부(310)는, 해당 파일에 포함된 인증서에 포함된 서명자 구분정보와 공개키를 통해서 해당 인증서의 서명자에게 부여된 식별번호를 확인할 수 있다.Specifically, the verification unit 310 may check the identification number given to the signer of the corresponding certificate through the signer identification information and the public key included in the certificate included in the corresponding file.

그리고, 검증부(310)는, 확인한 식별번호에 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에 존재하는지 여부를, 내부 서버(200)에 정보 조회 방식으로 확인하거나 또는 내부 서버(200)로부터 정보 획득 방식으로 서명자 정보 파일을 획득하여 확인할 수 있다. Then, the verification unit 310 checks whether information in a verification success state mapped to the verified identification number exists in the signer information file by using an information inquiry method to the internal server 200 or information from the internal server 200. The signer information file can be obtained and verified by the acquisition method.

이에, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되는 경우, 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증할 수 있다.Accordingly, the verification unit 310 can verify that the signer of the certificate signed in the current file is valid when the information in the verification success state mapped to the identification number of the file to be verified this time is confirmed in the signer information file. .

더 구체적으로, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되고, 그 유효 기간이 경과하지 않은 경우라면, 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증하여 서명자 유효성 검증 성공으로 판단하고, 최종적으로 금번 파일 검증을 성공으로 종료할 수 있다. More specifically, the verification unit 310 signs the file this time, if information in a successful verification status mapped to the identification number of the file to be verified this time is confirmed in the signer information file and the validity period has not elapsed. The signer of the signed certificate is verified to be valid, it is determined that the signer validation was successful, and finally, this file verification can be completed with success.

한편, 검증부(310)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되지 않거나 확인되더라도 그 유효 기간이 경과한 경우라면, 금번 파일에 서명된 인증서의 서명자가 유효하지 않은 것으로 검증하여 서명자 유효성 검증 실패로 판단하고, 금번 파일 검증을 실패로 종료할 것이다.On the other hand, the verification unit 310, if the information in the verification success state mapped to the identification number of the file to be verified this time is not confirmed in the signer information file or if the validity period has elapsed even if it is confirmed, the signed file this time By verifying that the signer of the certificate is invalid, it is determined that the signer validity verification has failed, and this time, the file verification will be terminated as a failure.

더 나아가, 검증부(310)는, 최종적으로 검증 성공으로 판단한 파일을, 인증서에 대한 유효성(서명자 유효성) 검증까지 무결성 검증을 마친 화이트리스트로 등록/관리할 수 있다. Furthermore, the verification unit 310 may register/manage a file finally determined to be successful in verification as a whitelist that has undergone integrity verification until verification of certificate validity (signer validity).

내부망 등 인터넷을 통해 서명자 유효성 검증이 이뤄질 수 없는 네트워크에서는, 서명자 유효성 검증을 수행하지 않고 파일에 서명된 인증서를 이용한 무결성 검증만 수행할 경우, 악성코드 공격자가 유명한 프로그램 서명을 가장하여 서명한 파일, 또는 유효하지 않은 서명으로 작성된 파일, 악성코드 제작자가 서명한 파일 등이 화이트리스트로 등록되는 심각한 문제가 발생할 수 있다.In a network where signer validation cannot be performed through the Internet, such as the internal network, if signer validation is not performed and only integrity validation using the certificate signed in the file is performed, a malicious code attacker impersonates a famous program signature and signs the file. , files written with invalid signatures, or files signed by malicious code creators may be whitelisted.

하지만 본 발명에 따르면, 인터넷 접속이 제한된 네트워크에서도 서명자 유효성 검증까지 수행한 무결성 검증된 파일 만이 화이트리스트로 등록되기 때문에, 가장된 서명, 유효하지 않은 서명, 악성코드 제작자 서명의 파일이 화이트리스트로 오 등록/관리되는 일을 회피할 수 있다.However, according to the present invention, even in a network with limited Internet access, only integrity-verified files that have undergone signer validation are registered in the whitelist, so files with impersonated signatures, invalid signatures, and signatures of malware creators are misplaced to the whitelist. Registered/managed work can be avoided.

이상 설명한 바와 같이, 본 발명에서는, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 주기적으로 수행하여 그 검증 결과(서명자 정보 파일)를 인터넷 접속이 제한된 환경(예: 내부망)에 전달 및 최신 업데이트로 유지할 수 있게 하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.As described above, in the present invention, signer verification that guarantees high reliability is periodically performed on representative files selected for each signer, and the verification result (signer information file) is delivered to an environment where Internet access is restricted (eg, internal network). and a new environmental structure that replaces the role of the existing PKI infrastructure in such a way that it can be maintained with the latest updates.

그리고, 본 발명에서는, 전술과 같이 PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반의 높은 신뢰도를 보장하는 파일 검증 기술(방법)을 실현하고 있다.And, in the present invention, based on the implementation of a new environmental structure that replaces the role of the PKI infrastructure as described above, it is possible to verify the validity of the certificate (signer validity) included in the file when verifying the file even in an environment with limited Internet connection. In this way, a file verification technology (method) that guarantees high reliability based on direct verification of the file signer regardless of the verification time point is realized.

PKI 기반의 기존 파일 검증 방식은, 개별 파일 마다 파일에 포함된 인증서를 인터넷을 통해 서명자 유효성 검증을 수행하거나 검증에 필요한 인증서 및 상위 연대 서명 인증서를 시스템에 설치하는 방법을 통해 수행한다. 이 과정에서 명의가 도용된 위조 인증서가 설치될 수 있는 문제가 발생할 수 있다.In the existing PKI-based file verification method, signer validity verification is performed on the certificate included in the file for each individual file through the Internet, or the certificate required for verification and the upper counter-signing certificate are installed in the system. In this process, a problem may occur in which a stolen certificate may be installed.

또한, PKI 기반의 기존 파일 검증 방식은, 검증 대상의 파일이 다수 존재하는 상황에서 개별 파일을 각각 검증을 해야 하고, 내부망 등에서 서명 검증에 필요한 인증서 및 연대 서명 인증서를 모두 확보하여 설치하는 것은 사실상 불가능하다.In addition, in the existing PKI-based file verification method, individual files must be verified individually in a situation where there are many files to be verified, and it is virtually impossible.

하지만, 본 발명의 파일 검증 방법에 따르면, 인터넷을 통한 서명자 검증을 서명자의 대표 파일로만 진행하되 내부망에서는 대표 파일이 아니더라도 동일 인증서가 사용된 개별 파일에 대해 서명자 유효성을 검증할 수 있기 때문에, 인터넷을 통해 개별 파일 마다 수행하던 서명자 유효성 검증 수행을 획기적으로 줄이면서도 인증서 검증이 불가능한 내부망 등에서 발생하는 위조 인증서 무단 설치에 따른 문제를 해결할 수 있다.However, according to the file verification method of the present invention, signer verification through the Internet is performed only with the signer's representative file, but signer validity can be verified for individual files using the same certificate even if it is not a representative file in the internal network. Through this, it is possible to significantly reduce the signer validity verification performed for each individual file, while solving the problem of unauthorized installation of counterfeit certificates that occur in internal networks where certificate verification is impossible.

이렇듯, 본 발명에서는, PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한되는 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 할 뿐 아니라, PKI 기반의 기존 방식이 갖는 한계들, 예컨대 개별 파일 단위로 인터넷을 통해 검증이 이루어지는 점, 클라이언트 운영체제(예: windows는 windows에서만 수행)에 종속적인 검증이 이루어지는 점을 개선하여, 인터넷을 통한 서명자 유효성 검증 수행을 획기적으로 줄이며 운영체제에 종속되지 않고 파일에 대한 서명자 검증을 수행할 수 있는 효과까지 도출한다.As such, in the present invention, based on the implementation of a new environmental structure that replaces the role of the PKI infrastructure, it is possible to verify the validity of the certificate (signer validity) included in the file when verifying the file even in an environment where Internet connection is limited. In addition, by improving the limitations of the existing PKI-based method, such as the fact that verification is performed through the Internet in individual file units and that verification is dependent on the client operating system (eg, Windows is performed only by Windows), the Internet Significantly reduces signer validation through this process, and even derives the effect of performing signer validation on files without being dependent on the operating system.

특히 본 발명에서는, 인터넷 연결이 제한되는 환경에서도, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반으로 하는 높은 신뢰도로 파일 검증을 수행할 수 있도록 한다.In particular, in the present invention, even in an environment where Internet connection is limited, it is possible to perform file verification with high reliability based on direct verification of the file signer regardless of the verification time point.

이하에서는, 도 2를 참조하여, 본 발명의 파일 검증 방법의 동작 흐름에 대해 구체적인 실시 예를 설명하겠다.Hereinafter, with reference to FIG. 2, a specific embodiment of the operation flow of the file verification method of the present invention will be described.

설명의 편의상, 본 발명의 파일 검증 방법이 수행되는 동작 주체로서 파일 검증 시스템(400)를 언급하여 설명하겠다.For convenience of explanation, the file verification system 400 will be mentioned and described as an operating subject in which the file verification method of the present invention is performed.

본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, 서명자별로 대표 파일을 선정하고, 서명자별로 식별번호를 부여하여 관리한다(S10).In the file verification method of the present invention, the file verification system 400 selects a representative file for each signer, assigns an identification number to each signer, and manages the file (S10).

구체적으로, 파일 검증 시스템(400)은, 다수 사용하는 프로그램으로부터, 각기 다른 각각의 서명자에 대해 서명자 검증을 위한 대표 파일을 선정할 수 있다.Specifically, the file verification system 400 may select a representative file for signer verification for each different signer from a number of used programs.

그리고, 파일 검증 시스템(400)은, 서명자별로 식별번호를 부여하고 관리할 수 있다.In addition, the file verification system 400 may assign and manage identification numbers for each signer.

파일 검증 시스템(400)에서 서명자별로 식별번호를 부여하는 방식은, 부여 규칙을 정의하기에 따라 다양할 수 있다.In the file verification system 400, a method of assigning an identification number to each signer may vary depending on defining an assignment rule.

다양한 방식 중 일 예를 설명하면, 파일 검증 시스템(400)은, 각 서명자의 대표 파일로부터 추출되는 정보를 활용하여 서명자별로 식별번호를 부여할 수 있다.Describing an example among various methods, the file verification system 400 may assign an identification number to each signer by utilizing information extracted from each signer's representative file.

구체적으로 설명하면, 파일 검증 시스템(400)은, 서명자에 대해 선정한 대표 파일로부터, 서명자에 대해 특정된 정보를 추출할 수 있다.Specifically, the file verification system 400 may extract information specific to the signer from a representative file selected for the signer.

이때, 파일 검증 시스템(400)은, 대표 파일에 서명된 인증서가 있다면 인증서로부터 해당 정보를 추출할 수 있다.At this time, the file verification system 400 may extract corresponding information from the certificate if there is a certificate signed in the representative file.

이처럼 대표 파일로부터 추출하는 정보는, 서명자 구분정보 및 공개키 등 서명 정보 검증에 필요한 정보로 특정될 수 있다.Information extracted from the representative file may be specified as information necessary for verifying signature information, such as signer identification information and public key.

이에, 식별번호를 부여하는 일 예로서, 파일 검증 시스템(400)은, 서명자별로, 대표 파일의 추출한 정보에서 확인되는 서명자 구분정보로부터 작성된 해시값을 식별번호로써 부여할 수 있다. Accordingly, as an example of assigning an identification number, the file verification system 400 may assign, for each signer, a hash value created from signer identification information identified in the extracted information of the representative file as the identification number.

이에, 파일 검증 시스템(400)은, 서명자별로, 대표 파일 및 식별번호를 부여하여 관리할 수 있다.Accordingly, the file verification system 400 may assign and manage representative files and identification numbers for each signer.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행한다(S20).And, in the file verification method of the present invention, the file verification system 400 performs signer verification on the representative file selected for each signer (S20).

구체적으로 설명하면, 파일 검증 시스템(400)은, 인터넷 접속을 기반으로, 각기 다른 각각의 서명자에 대해 서명자 검증을 주기적으로 수행할 수 있다. Specifically, the file verification system 400 may periodically perform signer verification for each different signer based on Internet access.

이에, 파일 검증 시스템(400)은, 서명자별로, 대표 파일에 대해 서명자 검증을 주기적으로 수행하여 매 수행 시마다 서명자의 유효성을 재 확인하고, 그에 따른 검증 결과(검증 성공, 검증 실패), 검증 수행 시간 및 수행된 검증 결과에 대한 유효 기간을 저장할 수 있다.Accordingly, the file verification system 400 periodically performs signer verification on the representative file for each signer, rechecks the validity of the signer every time it is performed, and determines the verification result (verification success, verification failure) and the verification execution time. and a validity period for the performed verification result may be stored.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, S20단계에서 수행한 서명자 검증의 결과가 포함된 서명자 정보를 작성, 수정, 업데이트하는 등 서명자 정보를 관리할 수 있다.And, in the file verification method of the present invention, the file verification system 400 can manage signer information, such as creating, modifying, and updating signer information including the result of the signer verification performed in step S20.

구체적으로 설명하면, 파일 검증 시스템(400)은, S20단계에서 서명자의 대표 파일에 대해 수행한 서명자 검증의 검증 결과(검증 성공, 검증 실패), 서명자 검증을 수행한 검증 수행 시간, 그리고 금번 수행한 검증 결과에 대한 유효 기간을 포함하는 서명자 정보를 작성할 수 있다(S30).Specifically, the file verification system 400 includes the verification result of the signer verification performed on the signer's representative file in step S20 (verification success, verification failure), the verification execution time at which the signer verification was performed, and the current Signer information including the validity period for the verification result may be created (S30).

즉, 파일 검증 시스템(400)은, 서명자 검증을 수행하는 매 수행 시마다, 해당 서명자 검증의 수행 시점에 구성되어 있는 전체 서명자 각각에 대하여 식별번호로 구분되는 검증 결과(검증 성공, 검증 실패), 검증 수행 시간, 유효 기간(예: 검증 수행 시간부터 XX 시간)이 포함된 서명자 정보를 작성할 수 있다.That is, the file verification system 400, every time signer verification is performed, verification results (verification success, verification failure) divided by identification numbers for each of the signers configured at the time of execution of the corresponding signer verification, verification Signer information including execution time and validity period (e.g., from the verification execution time to XX hours) can be created.

그리고, 파일 검증 시스템(400)은, 전술의 서명자 정보를 파일 형태로 작성할 수 있다.And, the file verification system 400 can create the above-mentioned signer information in the form of a file.

그리고, 본 발명의 파일 검증 방법에서 파일 검증 시스템(400)은, S30단계에서 작성된 서명자 정보 파일을, 인증서로 서명된 파일에 대해 인증서 검증에 필요한 정보 확보가 불가능한 환경 즉 인터넷 연결이 제한된 네트워크인 내부망으로 전달할 수 있다(S40).And, in the file verification method of the present invention, the file verification system 400 is an environment in which it is impossible to obtain information necessary for certificate verification for the file signed with a certificate in the signer information file created in step S30, that is, inside a network with limited Internet connection. It can be delivered to the network (S40).

구체적인 실시 예를 설명하면, 파일 검증 시스템(400)은, S30단계에서 작성한 서명자 정보 파일을, 내부망의 시스템 예컨대 내부 서버(200)로 전달할 수 있다. Describing a specific embodiment, the file verification system 400 may deliver the signer information file created in step S30 to a system of an internal network, for example, the internal server 200 .

이렇게 되면, 서명자 정보 파일은 파일 검증 시스템(400)에서 내부망의 내부 서버(200)로 전달되어, 내부 서버(200)가 내부 클라이언트(300)로 정보를 제공하는 정보 제공 방식에 따라 내부 클라이언트(300)에 제공되어 파일 검증에 활용될 수 있다.In this case, the signer information file is transferred from the file verification system 400 to the internal server 200 of the internal network, and the internal server 200 provides information to the internal client 300 according to the information providing method to the internal client ( 300) and can be used for file verification.

예를 들면, 내부 서버(200)는 클라이언트(300)의 질의에 대해 응답하는 방식으로 서명자 정보를 제공할 수 있고, 클라이언트(300)가 다운로드하여 파일 검증에 활용할 수 있도록 서명자 정보를 제공할 수도 있다.For example, the internal server 200 may provide signer information in response to a query of the client 300, or may provide signer information so that the client 300 can download and use it for file verification. .

보다 구체적으로 설명하면, 내부망의 각 클라이언트(300)는, 클라이언트(300) 내 검증이 필요한 파일이 있을 경우 해당 파일에 대한 검증을 수행하게 된다(S50).More specifically, each client 300 of the internal network performs verification of the file if there is a file requiring verification in the client 300 (S50).

구체적으로, 클라이언트(300)는, 검증이 필요한 해당 파일이 인증서로 서명된 파일이라면, 기존과 같이 시스템의 서명 검증 API를 통해 해당 파일에 서명된 인증서를 이용한 파일의 변조 여부를 확인하는 전자서명 기반의 파일 무결성 검증을 수행할 수 있다(S60).Specifically, if the corresponding file requiring verification is a file signed with a certificate, the client 300 checks whether or not the file has been tampered with using the certificate signed with the corresponding file through the signature verification API of the system as before. It is possible to perform file integrity verification of (S60).

여기서, 파일의 변조 여부를 확인하는 파일 무결성 검증 과정은, 클라이언트(300)의 운영체제(예: windows)에서 제공하는 API 함수를 통해 수행할 수 있으나, 검증할 파일과 동작하는 운영체제가 서로 상이할 경우엔 API 함수를 통해 해당 파일 무결성 검증 기능을 수행할 수 없으므로 별도로 파일 무결성 검증 기능을 구현하여 수행할 수도 있다.Here, the file integrity verification process of checking whether the file has been tampered with can be performed through an API function provided by the operating system (eg, windows) of the client 300, but when the file to be verified and the operating operating system are different from each other. Since the file integrity verification function cannot be performed through the N API function, the file integrity verification function can be separately implemented and performed.

이에, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 확인되면(S60 No) 파일에 대한 무결성 검증 실패로 판단하여 금번 파일 검증을 실패로 종료할 것이다(S100).Accordingly, the client 300 determines that the integrity verification of the file has failed when the file integrity verification result of falsification is confirmed (S60 No) and ends the current file verification as a failure (S100).

한편, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 없다고 확인되면(S60 Yes), 앞서 언급한 바 있듯이 내부 서버(200)와의 질의/응답의 방식 또는 다운로드 방식을 통해 서명자 검증을 수행할 수 있다(S70).On the other hand, if the client 300 confirms that there is no tampering as a result of file integrity verification (S60 Yes), as mentioned above, the client 300 may perform signer verification through a question/response method with the internal server 200 or a download method. (S70).

실시 예를 구체적으로 설명하면, 클라이언트(300)는, 파일 무결성 검증 결과 변조가 없다고 확인되면(S60 Yes), 해당 파일에 포함된 인증서로부터 서명자 정보를 추출하여 해당 서명자에 맵핑되는 검증 정보가 서명자 정보 파일에 존재하는지 여부를, 내부 서버(200)에 질의/응답의 방식으로 확인하거나 또는 내부 서버(200)로부터 다운로드한 서명자 정보 파일에서 확인함으로써, 서명자의 유효성을 확인할 수 있다(S80).In detail, the client 300 extracts signer information from the certificate included in the corresponding file when it is confirmed that there is no tampering as a result of the file integrity verification (S60 Yes), and the verification information mapped to the corresponding signer is the signer information. The validity of the signer can be confirmed by checking whether the file exists in the internal server 200 through a query/response method or by checking the signer information file downloaded from the internal server 200 (S80).

이에, 클라이언트(300)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보 즉 해당 서명자에 맵핑되는 검증 정보가 서명자 정보 파일에서 확인되며 그 유효 기간이 유효한 경우(S80 Yes), 금번 파일에 서명된 인증서의 서명자가 유효한 것으로 검증하여 서명자 유효성 검증 성공으로 판단하고, 금번 파일 검증을 성공으로 종료할 수 있다(S90). Accordingly, the client 300 checks the verification success state information mapped with the identification number of the file to be verified this time, that is, the verification information mapped to the corresponding signer, in the signer information file and the validity period is valid (S80 Yes) , the signer of the certificate signed in this file is verified to be valid, it is determined that the signer validity verification is successful, and the verification of this file can be completed with success (S90).

한편, 클라이언트(300)는, 금번 검증 대상의 파일에 대한 식별번호와 맵핑되는 검증 성공 상태의 정보가 서명자 정보 파일에서 확인되지 않거나 확인되더라도 그 유효 기간이 경과한 경우(S80 No), 금번 파일에 서명된 인증서의 서명자가 유효하지 않은 것으로 검증하여 서명자 유효성 검증 실패로 판단하고, 금번 파일 검증을 실패로 종료할 것이다(S100).On the other hand, the client 300, if the information in the verification success state mapped with the identification number of the file to be verified this time is not confirmed in the signer information file or even if it is confirmed, the validity period has elapsed (S80 No), It verifies that the signer of the signed certificate is invalid, determines that the signer validity verification has failed, and ends the file verification this time as a failure (S100).

이상 설명한 바와 같이, 본 발명에서는, 서명자별로 선정한 대표 파일에 대해 높은 신뢰도를 보장하는 서명자 검증을 주기적으로 수행하여 그 검증 결과(서명자 정보 파일)를 갱신하고 인터넷 접속이 제한된 환경(예: 내부망)에 전달 및 최신 업데이트로 유지할 수 있게 하는 방식으로, 기존 PKI 인프라 역할을 대체하는 환경적 구조를 새롭게 구현하고 있다.As described above, in the present invention, signer verification that guarantees high reliability is periodically performed on representative files selected for each signer, and the verification result (signer information file) is updated, and the Internet access is restricted (eg, internal network). It is implementing a new environmental structure that replaces the role of the existing PKI infrastructure in such a way that it can be delivered to and maintained with the latest update.

그리고, 본 발명에서는, 전술과 같이 PKI 인프라 역할을 대체하는 새로운 환경적 구조 구현을 기반으로, 인터넷 연결이 제한된 환경에서도 파일에 대한 검증 시 파일에 포함된 인증서에 대한 유효성(서명자 유효성) 검증까지 가능하게 하여, 검증 시점과 무관하게 파일 서명자에 대한 직접 검증 기반의 높은 신뢰도를 보장하는 파일 검증 기술(방법)을 실현하고 있다.In addition, in the present invention, based on the implementation of a new environmental structure that replaces the role of the PKI infrastructure as described above, even in an environment with limited Internet connection, it is possible to verify the validity of the certificate (signer validity) included in the file when verifying the file. In this way, a file verification technology (method) that guarantees high reliability based on direct verification of the file signer regardless of the verification time point is realized.

본 발명의 실시 예에 따르는 파일 검증 방법은, 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The file verification method according to an embodiment of the present invention may be implemented in the form of program instructions that can be executed through various computer means and recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. Program instructions recorded on the medium may be specially designed and configured for the present invention, or may be known and usable to those skilled in computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical media such as CD-ROMs and DVDs, and magnetic media such as floptical disks. - includes hardware devices specially configured to store and execute program instructions, such as magneto-optical media, and ROM, RAM, flash memory, and the like. Examples of program instructions include high-level language codes that can be executed by a computer using an interpreter, as well as machine language codes such as those produced by a compiler. The hardware device may be configured to act as one or more software modules to perform the operations of the present invention and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나 이는 본 발명에 대한 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시 예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.As described above, the present invention has been described with specific details such as specific components and limited embodiments and drawings, but these are provided to aid understanding of the present invention, and the present invention is not limited to the above embodiments, Those skilled in the art in the field to which the present invention pertains can make various modifications and variations from these descriptions.

따라서, 본 발명의 사상은 설명된 실시 예에 국한되어 정해져서는 안되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments and should not be determined, and all things equivalent or equivalent to the claims as well as the following claims belong to the scope of the present invention.

400 : 파일 검증 시스템
100 : 인터넷 접속 가능한 네트워크에 구현되는 파일 검증 시스템 중 일부 장치(예: 서버)
200 : 내부 서버
300 : 클라이언트400: File Verification System
100: Some devices (e.g. server) of the file verification system implemented in the Internet accessible network
200: internal server
300: client

Claims (11)

서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증단계;
상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 작성단계;
인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하는 정보 전달단계; 및
상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증하는 파일 검증단계를 포함하며;
상기 정보 작성단계는, 상기 서명자별로 식별번호를 부여하고,
상기 정보 작성단계에서 작성하는 서명자 정보에는, 상기 서명자별로 부여한 식별번호가 포함되는 것을 특징으로 하는 파일 검증 방법.A signer verification step of performing signer verification on representative files selected for each signer;
an information creation step of creating signer information including a result of signer verification performed on the representative file;
an information transfer step of transferring the signer information to a network having a limited Internet connection; and
a file verification step of verifying the validity of the signer of the file using the signer information when verifying the file within the network;
In the information creation step, an identification number is assigned to each signatory,
The file verification method, characterized in that the signer information created in the information creation step includes an identification number assigned to each signer. 제 1 항에 있어서,
상기 서명자별로 서명 검증을 위한 대표 파일을 선정하는 파일 선정단계를 더 포함하는 것을 특징으로 하는 파일 검증 방법.According to claim 1,
The file verification method further comprising a file selection step of selecting a representative file for signature verification for each signer. 제 1 항에 있어서,
상기 서명자 정보는,
상기 서명자별로, 서명자에 부여된 식별번호, 대표 파일에 대한 검증 수행 시간, 서명자 검증의 검증 결과, 검증 결과의 유효 기간을 포함하는 것을 특징으로 하는 파일 검증 방법.According to claim 1,
The signer information,
The file verification method comprising, for each signer, an identification number assigned to the signer, a verification execution time for a representative file, a verification result of signer verification, and a validity period of the verification result. 제 1 항에 있어서,
상기 서명자 정보는,
상기 네트워크 내 구축되어, 내부 클라이언트로 정보를 제공하는 내부 서버에서 지원하는 정보 제공 방식에 따라 상기 내부 클라이언트에 제공되는 것을 특징으로 하는 파일 검증 방법.According to claim 1,
The signer information,
The file verification method, characterized in that provided to the internal client according to an information providing method supported by an internal server built in the network and providing information to the internal client. 제 1 항에 있어서,
상기 파일 검증단계는,
상기 네트워크 내 클라이언트에서 인증서로 서명된 파일 검증 시, 상기 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 상기 서명자 정보에서 확인되는 경우, 상기 인증서의 서명자가 유효한 것으로 검증하는 단계를 더 포함하는 것을 특징으로 하는 파일 검증 방법.According to claim 1,
The file verification step,
Further comprising verifying that the signer of the certificate is valid when verifying a file signed by a certificate in a client in the network, when information in a verification success state mapped to an identification number verified from the certificate is confirmed in the signer information. A file verification method characterized in that for doing. 서명자별로 선정한 대표 파일에 대해 서명자 검증을 수행하는 서명자 검증부;
상기 대표 파일에 대해 수행한 서명자 검증의 결과를 포함하는 서명자 정보를 작성하는 정보 관리부;
인터넷 연결이 제한된 네트워크로 상기 서명자 정보를 전달하여, 상기 네트워크 내에서 파일 검증 시 상기 서명자 정보를 이용하여 상기 파일에 대한 서명자의 유효성을 검증할 수 있게 하는 정보 전달부를 포함하며;
상기 정보 관리부는, 상기 서명자별로 식별번호를 부여하고,
상기 정보 관리부에서 작성하는 서명자 정보에는, 상기 서명자별로 부여한 식별번호가 포함되는 것을 특징으로 하는 파일 검증 시스템.a signer verification unit performing signer verification on representative files selected for each signer;
an information management unit that creates signer information including a result of signer verification performed on the representative file;
an information delivery unit that transmits the signer information to a network with limited Internet access, and enables verification of the signer's validity of the file using the signer information when verifying the file within the network;
The information management unit assigns an identification number to each signatory,
The file verification system, characterized in that the signer information created by the information management unit includes an identification number assigned to each signer. 제 6 항에 있어서,
상기 서명자별로 서명 검증을 위한 대표 파일을 선정하는 파일 관리부를 더 포함하는 것을 특징으로 하는 파일 검증 시스템.
According to claim 6,
The file verification system further comprising a file management unit for selecting a representative file for signature verification for each signer.
 삭제delete 제 6 항에 있어서,
상기 서명자 정보는,
상기 네트워크 내 구축되어, 내부 클라이언트로 정보를 제공하는 내부 서버에서 지원하는 정보 제공 방식에 따라 상기 내부 클라이언트에 제공되는 것을 특징으로 하는 파일 검증 시스템.According to claim 6,
The signer information,
The file verification system, characterized in that provided to the internal client according to the information providing method supported by the internal server built in the network and providing information to the internal client. 제 6 항에 있어서,
상기 네트워크 내 클라이언트에서 인증서로 서명된 파일 검증 시, 상기 인증서로부터 확인되는 식별번호와 맵핑되는 검증 성공 상태의 정보가 상기 서명자 정보에서 확인되는 경우, 상기 인증서의 서명자가 유효한 것으로 검증하는 검증부를 더 포함하는 것을 특징으로 하는 파일 검증 시스템.According to claim 6,
Further comprising a verification unit for verifying that the signer of the certificate is valid when verifying a file signed by a certificate in a client in the network, when information in a verification success state mapped to an identification number verified from the certificate is confirmed in the signer information A file verification system, characterized in that for doing. 제 1 항 내지 제 5 항 중 어느 한 항의 방법을 수행하는 프로그램을 기록한 컴퓨터 판독 가능 기록 매체.A computer-readable recording medium recording a program for performing the method of any one of claims 1 to 5.
KR1020210056503A 2021-04-30 2021-04-30 File verification system and file verification method KR102549300B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Publications (2)

Publication Number Publication Date
KR20220149202A KR20220149202A (en) 2022-11-08
KR102549300B1 true KR102549300B1 (en) 2023-06-30

Family

ID=84041393

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210056503A KR102549300B1 (en) 2021-04-30 2021-04-30 File verification system and file verification method

Country Status (1)

Country Link
KR (1) KR102549300B1 (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013516685A (en) * 2010-01-11 2013-05-13 シントリクス インフォメーション セキュリティ テクノロジーズ リミテッド System and method for enforcing computer policy
WO2017047087A1 (en) * 2015-09-17 2017-03-23 日本電気株式会社 Data inspection system, data inspection method, and storage medium storing program therefor

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170137534A (en) * 2016-06-03 2017-12-13 주식회사 케이티 Apparatus and method for controlling file backup

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013516685A (en) * 2010-01-11 2013-05-13 シントリクス インフォメーション セキュリティ テクノロジーズ リミテッド System and method for enforcing computer policy
WO2017047087A1 (en) * 2015-09-17 2017-03-23 日本電気株式会社 Data inspection system, data inspection method, and storage medium storing program therefor

Also Published As

Publication number Publication date
KR20220149202A (en) 2022-11-08

Similar Documents

Publication Publication Date Title
KR102440626B1 (en) Digital certificate management methods, devices, computer devices and storage media
KR102469024B1 (en) Digital certificate verification method and apparatus, computer device, and storage medium
Samuel et al. Survivable key compromise in software update systems
CN110915183A (en) Block chain authentication via hard/soft token validation
US11388012B2 (en) Application certificate
CN108696356B (en) Block chain-based digital certificate deleting method, device and system
JP7309880B2 (en) Timestamp-based authentication including redirection
US20210184862A1 (en) Signatures Of Updates Exchanged In A Binary Data Synchronization Protocol
KR20190120559A (en) System and Method for Security Provisioning based on Blockchain
CN113312326B (en) Method, electronic device and computer program product for storage management
US20220286446A1 (en) Authentication credential with embedded authentication information
US10158623B2 (en) Data theft deterrence
CN114239080A (en) Software multilayer signature method and system based on digital certificate
CN112600831B (en) Network client identity authentication system and method
US11296878B2 (en) Private key updating
KR102549300B1 (en) File verification system and file verification method
JP2019008738A (en) Verification device
Bettayeb et al. Hyperledger-based secure firmware update delivery for IoT devices
CN112559484A (en) Method, apparatus and computer program product for managing data objects
Brown et al. SPAM: A secure package manager
KR102567514B1 (en) Method and device for updating iot device software based by blockchain p2p network
US20230053907A1 (en) Method and apparatus for flexible configuration managment using external identity management service
US11687656B2 (en) Secure application development using distributed ledgers
Palmer et al. Ownership and Control of Firmware in Open Compute Project Devices
Kuppusamy Building Compromise-Resilient Software Repositories

Legal Events

Date Code Title Description
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant