KR20210043069A - 복수의 스토리지를 이용한 보안정보 저장 시스템 - Google Patents

복수의 스토리지를 이용한 보안정보 저장 시스템 Download PDF

Info

Publication number
KR20210043069A
KR20210043069A KR1020190125757A KR20190125757A KR20210043069A KR 20210043069 A KR20210043069 A KR 20210043069A KR 1020190125757 A KR1020190125757 A KR 1020190125757A KR 20190125757 A KR20190125757 A KR 20190125757A KR 20210043069 A KR20210043069 A KR 20210043069A
Authority
KR
South Korea
Prior art keywords
storage
disk
sub
secure
main
Prior art date
Application number
KR1020190125757A
Other languages
English (en)
Other versions
KR102305680B1 (ko
Inventor
김윤보
이준영
Original Assignee
김윤보
이준영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 김윤보, 이준영 filed Critical 김윤보
Priority to KR1020190125757A priority Critical patent/KR102305680B1/ko
Publication of KR20210043069A publication Critical patent/KR20210043069A/ko
Application granted granted Critical
Publication of KR102305680B1 publication Critical patent/KR102305680B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 보안정보 저장 시스템 및 방법에 관한 것으로, 더욱 상세하게는 적어도 하나 이상의 메인 스토리지(Storage)와 적어도 하나 이상의 서브 스토리지가 연결된 상태에서 연결된 스토리지들에 암호화된 보안 영역(이하 "보안디스크" 또는 "금고"라 함)을 생성하고, 서브 스토리지 및 메인 스토리지가 단독으로 연결되었을 때 보안정책 내에서만 사용 가능하고, 상기 복수의 메인 스토리지 및 서브 스토리지들이 모두 연결되었을 때만 보안디스크에 파일을 생성, 변경 및 삭제하고 보안설정을 수행할 수 있는 복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법에 관한 것이다.

Description

복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법{System and method for storing security information using a plurality of storages}
본 발명은 보안정보 저장 시스템 및 방법에 관한 것으로, 더욱 상세하게는 적어도 하나의 메인 스토리지(Storage)와 적어도 하나 이상의 서브 스토리지가 연결된 상태에서 연결된 스토리지들에 암호화된 보안 영역(이하 "보안디스크" 또는 "금고"라 함)을 생성하고, 서브 스토리지 및 메인 스토리지가 단독으로 연결되었을 때 보안정책 내에서만 사용 가능하고, 상기 복수의 메인 스토리지 및 서브 스토리지들의 연결 수에 따라 보안디스크에 파일을 생성, 변경 및 삭제하고 보안설정을 수행할 수 있는 복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법에 관한 것이다.
고속 인터넷의 보급 및 대중, 그리고 무선통신 기술의 접목에 의해 언제 어디서나 인터넷망에 접속하여 다양한 서비스를 제공받을 수 있는 클라우드 컴퓨팅 환경이 구축되었다.
그리고 데스크톱 컴퓨터, 개인용 컴퓨터, 노트북, 태블릿 컴퓨터, 스마트폰 및 스마트 패드와 같은 스마트기기 등과 같은 다양한 컴퓨터들의 보급이 일반화됨에 따라 대부분의 사용자들은 중요 정보들을 컴퓨터에 저장하여 사용하고 있다.
이러한 컴퓨터의 보급 및 클라우드 컴퓨팅 환경의 구축은 사람들이 업무를 용이하게 할 수 있도록 보조하고, 즐거움을 제공하며, 다양한 분야에서 편의성을 제공하고 있다.
그러나 이러한 컴퓨터에 중요 정보를 저장하여 관리하고, 클라우드 컴퓨팅 환경을 이용하는 것은 언제 어디서나 누군가에 의해서 자신의 단말기가 해킹될 수 있는 환경을 제공하며, 해커 또는 주변의 다른 사람에 의해 컴퓨터에 저장되어 있는 자신의 중요 정보가 쉽게 노출되고 유출될 수 있는 환경을 제공한다.
이러한 문제점으로 컴퓨터에는 다양한 보안 시스템들이 적용되고 있다. 이러한 보안 시스템들로는 컴퓨터의 부팅 시 아이디(ID)/암호(Password)를 입력하는 로그인 방식의 보안 시스템, 선행 공개특허[10-2009-0067649]와 같이 컴퓨터의 저장장치의 전체 또는 저장장치의 일부 영역을 암호화하거나 선택된 특정 파일만을 암호화하고, 특정 인증절차를 통해서만 상기 일부 영역 또는 파일을 사용할 수 있도록 하는 암호화 방식의 저장장치 보안 시스템 및 특정 디스크 영역, 폴더 및 파일 등을 숨겨 보이지 않도록 하는 보안 저장 시스템 등이 있다.
저장장치 보안 시스템은 피시방 및 기업체와 같이 다수의 사람이 다수의 컴퓨터를 사용하는 장소에서 사용되었으나 최근에는 휴대용 컴퓨터의 보급 등으로 인하여 개인들에게까지 확장되고 있는 추세이다.
그러나 대부분의 저장장치 보안 시스템은 상기 선행 공개특허와 같이 아이디 및 비밀번호, 또는 비밀번호의 입력만으로 암호화된 보안 영역을 사용할 수 있도록 구성되어 있어 보안성이 떨어지는 문제점이 있었다.
즉, 종래 저장장치 보안 시스템은 아이디 및 비밀번호, 또는 비밀번호만 노출되면 컴퓨터의 모든 정보가 유출될 수 있는 문제점이 있었다.
또한, 종래 저장장치 보안 시스템은 아이디 및 비밀번호를 모르더라도 저장장치에 암호화된 별도의 영역이 있음을 알 수 있어, 해커 등에 의한 전문가가 임의의 영역에 대한 아이디 및 비밀번호의 해킹 시도를 유발할 수 있고, 이러한 시도에 의해 아이디 및 비밀번호가 해킹될 수 있었으며, 이로 인해 정보가 유출될 수 있는 문제점이 있었다.
또한, 특정 디스크 영역, 폴더 및 파일을 숨기는 종래 보안 저장 시스템은 사용자가 악의적인 의도를 가지고 종래 보안 저장 시스템이 적용된 보안 스토리지를 이용하여 중요 보안정보를 숨긴 후 빼내는 경우, 보안 관리자가 상기 숨겨진 영역을 확인할 수 없으므로 보안 저장 시스템을 이용한 정보 유출이 발생할 수 있는 문제점이 있었다. 즉 종래 보안정보 저장 시스템은 해커 및 스파이들에 의해 역이용될 수 있는 문제점이 있었다.
특허공개 제10-2009-0067649호
따라서 본 발명의 목적은 적어도 하나의 메인 스토리지(Storage)와 적어도 하나 이상의 서브 스토리지가 연결된 상태에서 연결된 스토리지들에 암호화된 보안디스크를 생성하고, 서브 스토리지 및 메인 스토리지가 단독으로 연결되었을 때 보안정책 내에서만 사용 가능하고, 상기 복수의 메인 스토리지 및 서브 스토리지들의 연결 수에 따라 보안디스크에 파일을 생성, 변경 및 삭제할 수 있도록 하거나 보안설정을 수행할 수 있도록 하는 복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법을 제공함에 있다.
또한, 본 발명의 다른 목적은 메인 스토리지 및 서브 스토리지에 저장된 데이터를 미리 설정된 미러링(Mirroring) 조건 만족 시 네트워크로 연결된 다른 컴퓨터 장치의 스토리지에 백업하는 복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법을 제공함에 있다.
또한, 본 발명의 다른 목적은 메인 스토리지의 보안디스크에 저장되어 있는 파일들을 이메일, 웹하드 및 클라우드 서비스 중 어느 하나 이상을 통해 외부로 반출, 또는 공유할 수 있도록 허용하되, 전용의 프로그램인 에이전트에 의해서만 상기 파일을 보안정책 내에서만 사용할 수 있도록 파일을 에이전트에 포함하여 구성하고, 에이전트를 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하여 외부로 반출 또는 공유할 수 있도록 하는 복수의 스토리지를 이용한 보안정보 저장 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템은: 메인 스토리지; 착탈할 수 있는 서브 스토리지; 및 적어도 하나의 상기 메인 스토리지 및 하나 이상의 서브 스토리지를 구성요소로서 각각의 개수 및 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하고, 생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나의 메인 스토리지 및 적어도 하나의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하는 스토리지 암호화 장치를 포함하는 것을 특징으로 한다.
상기 메인 스토리지의 개수는 하나이고 상기 스토리지 암호화 장치의 내부에 구성되는 하드디스크이며, 상기 서브 스토리지의 개수는 두 개이며, 비동기 직렬 버스 메모리인 것을 특징으로 한다.
상기 스토리지 암호화 장치는, 상기 메인 스토리지 및 서브 스토리지의 보안디스크를 드라이브로서 마운트시키고 상기 보안디스크로의 파일 출력 및 상기 보안디스크로부터의 파일 입력을 처리하는 커널계층부; 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 두 개의 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 보안디스크 생성부; 및 생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나의 메인 스토리지 및 적어도 하나의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하고, 상기 서브 스토리지가 둘 모두 연결 시 상기 보안디스크의 보안디스크 설정 정보를 변경할 수 있도록 제어하는 디스크 보안 어플리케이션부를 포함하는 것을 특징으로 한다.
상기 보안디스크 생성부는, 보안디스크 설정 사용자 인터페이스 수단을 사용자에게 제공하고, 상기 보안디스크 설정 사용자 인터페이스 수단을 통해 상기 메인 스토리지를 선택받고, 상기 두 개의 서브 스토리지를 선택받아 상기 메인 스토리지 및 서브 스토리지의 개수 및 상기 스토리지 식별정보를 획득하여 저장하는 보안디스크 설정부; 상기 보안디스크 설정부를 통해 설정된 스토리지 식별정보에 대한 한 개의 메인 스토리지 및 두 개의 서브 스토리지에 대한 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결되어 있는지를 검사하는 구성요소 완비 검사를 수행하는 구성요소 완비 검사부; 상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성하는 서브 보안디스크 생성부; 및 상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성한 후 상기 서브 보안디스크 생성부로 서브 보안디스크를 생성할 것을 지시하고, 상기 서브 스토리지의 보안디스크 생성 후 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 메인 보안디스크 생성부를 포함하는 것을 특징으로 한다.
상기 메인 보안디스크 생성부는, 상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성한 후 상기 서브 보안디스크 생성부로 서브 보안디스크를 생성할 것을 지시하는 메인 보안디스크 생성 처리부; 및 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈, 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보, 및 상기 파일의 암호화 방식 및 상기 보안디스크의 활성화 및 비활성화하기 위한 보안식별정보를 포함하는 보안정책을 포함하는 디스크 보안 어플리케이션을 생성하는 메인 디스크 보안 어플리케이션부를 포함하는 것을 특징으로 한다.
상기 메인 보안디스크 생성 처리부는, 상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 파일을 저장하는 보안 데이터 영역과 디지털키 및 파괴키를 포함하고 보안디스크를 암호화하기 위한 암호화 방식 정보를 포함하는 정책정보를 포함하는 디지털키 영역을 포함하는 보안디스크를 생성하는 보안디스크 구성부; 및 상기 디지털키의 상기 정책정보의 암호화 방식에 따라 파일을 암호화하는 암호화모듈 및 상기 암호화된 파일을 복호하는 복호화모듈을 생성하는 암호화부를 포함하되, 상기 디스크 보안 어플리케이션부는, 상기 디지털키를 포함하며, 상기 디지털키에 의해 상기 보안디스크의 위치를 찾고 상기 보안디스크를 활성화 및 비활성화하는 것을 특징으로 한다.
상기 서브 보안디스크 생성부는, 상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성하고, 상기 보안디스크를 읽기 속성으로 설정하는 서브 보안디스크 생성 처리부; 및 상기 서브 스토리지의 보안디스크에 암호화되어 저장되어 있는 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 서브 디스크 보안 어플리케이션을 생성하여 상기 서브 스토리지에 저장되는 서브 디스크 보안 어플리케이션부 생성부를 포함하는 것을 특징으로 한다.
상기 서브 디스크 보안 어플리케이션은 상기 서브 스토리지인 USB 메모리의 부팅영역에 저장되어, 상기 USB 메모리가 컴퓨터에 삽입 시 상기 컴퓨터에 의해 자동 실행되도록 구성되는 것을 특징으로 한다.
상기 서브 디스크 보안 어플리케이션은 상기 서브 스토리지의 보안디스크 이외의 영역에 저장되어 서브 스토리지가 연결된 컴퓨터를 통한 사용자의 실행 요청 발생 시 실행되도록 구성되는 것을 특징으로 한다.
상기 디스크 보안 어플리케이션부는, 상기 구성요소인 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 저장하는 구성요소 식별정보 저장부 및 상기 정책정보를 저장하는 정책정보 저장부를 구비하는 설정정보 저장부; 및 상기 설정정보 저장부의 스토리지 식별정보에 대응하는 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나의 메인 스토리지 및 적어도 하나의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하고, 상기 서브 스토리지가 두 개 모두 연결 시 상기 보안디스크의 보안디스크 설정 정보를 변경할 수 있도록 제어하는 메인 보안디스크 서비스 실행부를 구비하는 메인 보안디스크 활성 제어부를 포함하는 것을 특징으로 한다.
상기 메인 보안 디스크 서비스 실행부는, 상기 등록된 스토리지 식별정보에 의해 구성요소 전부가 연결되어 있는 지 일부만 연결되어 있는지를 검사하는 구성요소 완비 검사부; 상기 구성요소 완비 검사부에서 수행된 구성요소 완비 검사 결과에 따라 연결된 메인 스토리지 및 서브 스토리지 중 하나 이상의 보안디스크에 저장되어 있는 파일들에 대한 속성을 설정하는 입출력 파일 설정부; 상기 보안디스크에 저장되는 파일을 암호화하고, 상기 보안디스크로부터 읽혀지는 파일을 복호화하는 암호화부; 및 상기 보안 디스크 어플리케이션 실행 시 보안디스크를 가지는 메인 스토리지 및 서브 스토리지를 찾고, 연결된 스토리지에서 보안디스크를 찾으며, 찾아진 보안디스크를 드라이브에 마운트하여 활성화시키고, 비활성화 요청 발생 시 상기 마운트된 드라이브를 제거하여 상기 보안디스크를 비활성화시키는 보안디스크 활성화부를 포함하는 것을 특징으로 한다.
상기 메인 보안 디스크 서비스 실행부는, 상기 메인 스토리지 및 서브 스토리지에 중 하나의 보안디스크에 저장되어 있는 파일의 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 첨부 이벤트 발생 시 상기 구성요소 완비 검사부를 통해 메인 스토리지 및 적어도 하나의 서브 스토리지가 연결되어 있으면 상기 첨부하고자 하는 암호화된 파일, 상기 파일을 복호하는 복호화모듈, 상기 복호된 파일을 다시 암호화하는 암호화모듈, 상기 파일의 사용을 제한하는 보안정책을 포함하는 에이전트를 생성한 후, 상기 생성된 에이전트를 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 외부 반출 처리부를 더 포함하는 것을 특징으로 한다.
상기 보안정책은 일정 기간 동안만 상기 파일을 사용할 수 있도록 하는 타임스탬프 정책 및 상기 파일을 일정 횟수로만 사용할 수 있도록 하는 사용횟수 제한 정책 중 적어도 하나 이상을 포함하는 것을 특징으로 한다.
상기 메인 보안 디스크 서비스 실행부는, 미리 설정된 미러링 조건을 만족하는지를 검사하고, 미러링 조건의 만족 시 상기 메인 스토리지 및 서브 스토리지 중 연결된 하나 이상의 스토리지의 보안디스크에 저장된 파일을 네트워크를 통해 연결된 미러링 시스템으로 백업하여 상기 보안디스크에 저장된 파일들과 동일한 파일들이 상기 미러링 시스템에 구성되도록 하는 미러링 처리부를 더 포함하는 것을 특징으로 한다.
상기 미러링 조건은, 일정 주기, 상기 보안디스크에 저장된 파일이 저장된 시점으로부터 일정 시간을 초과했는지의 여부, 새로운 파일의 저장, 미리 설정된 일정 용량 단위의 용량 증가를 포함하는 것을 특징으로 한다.
상기 디스크 보안 어플리케이션부는, 상기 구성요소인 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 저장하는 구성요소 식별정보 저장부 및 상기 정책정보를 저장하는 정책정보 저장부를 구비하는 설정정보 저장부; 및 상기 설정정보 저장부의 스토리지 식별정보에 대응하는 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나의 메인 스토리지 및 적어도 하나의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하고, 상기 서브 스토리지가 둘 모두 연결 시 상기 보안디스크의 보안디스크 설정 정보를 변경할 수 있도록 제어하는 메인 보안디스크 서비스 실행부를 구비하는 메인 보안디스크 활성 제어부를 포함하는 것을 특징으로 한다.
상기 디스크 보안 어플리케이션부는, 상기 구성요소인 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 저장하는 구성요소 식별정보 저장부를 포함하는 설정정보 저장부; 및 상기 복호화모듈을 포함하고, 상기 설정정보 저장부의 스토리지 식별정보에 대응하는 구성요소인 메인 스토리지의 접속 시 상기 메인 보안 디스크 활성 제어부를 호출하고, 메인 스토리지가 접속되어 있지 않으면, 상기 보안디스크에 저장되어 있는 읽기 속성의 파일을 상기 복호화모듈에 의해 복호하여 실행시키는 서브 보안디스크 서비스 실행부를 구비하는 서브 보안디스크 활성 제어부를 더 포함하는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템은: 적어도 하나의 메인 스토리지 및 하나 이상의 서브 스토리지를 구성요소로서 각각의 개수 및 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 보안디스크 생성 과정; 및 생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나의 메인 스토리지 및 적어도 하나의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하는 보안디스크 사용 과정을 포함하는 것을 특징으로 한다.
상기 보안디스크 생성 과정은, 적어도 하나의 메인 스토리지 및 하나 이상의 서브 스토리지를 구성요소로서 각각의 개수 및 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하는 보안디스크 생성 단계; 및 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 어플리케이션 생성 단계를 포함하는 것을 특징으로 한다.
상기 보안디스크 생성 단계는, 보안디스크 설정 사용자 인터페이스 수단을 사용자에게 제공하고, 상기 보안디스크 설정 사용자 인터페이스 수단을 통해 상기 메인 스토리지를 선택받고, 상기 두 개의 서브 스토리지를 선택받아 상기 메인 스토리지 및 서브 스토리지의 개수 및 상기 스토리지 식별정보를 획득하여 저장하는 보안디스크 설정 단계; 상기 보안디스크 설정부를 통해 설정된 스토리지 식별정보에 대한 한 개의 메인 스토리지 및 두 개의 서브 스토리지에 대한 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결되어 있는지를 검사하는 구성요소 완비 검사를 수행하는 구성요소 완비 검사 단계; 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성한 후 서브 보안디스크 생성부로 서브 보안디스크를 생성할 것을 지시하는 메인 스토리지 보안디스크 생성 단계; 및 상기 서브 스토리지에 보안디스크를 생성하는 서브 스토리지 보안디스크 생성 단계를 포함하는 것을 특징으로 한다.
상기 메인 스토리지 보안디스크 생성 단계는, 보안디스크 영역을 식별하기 위한 디지털키 영역을 할당하는 디지털키 할당 단계; 보안디스크를 활성화하기 위한 키 및 정보들을 구비하는 디지털키를 생성하여 상기 디지털키 영역에 저장하는 디지털키 생성 단계; 상기 보안디스크의 상기 디지털키 영역 이외의 보안 데이터 영역의 파일들을 암호화하는 암호화 단계; 및 상기 디지털키, 상기 보안 데이터 영역에 저장되는 파일을 암호화하는 암호화모듈, 암호화된 상기 파일을 복호하는 복호화모듈 및 스토리지들의 고유 식별정보를 포함하는 메인 디스크 보안 어플리케이션을 생성하여 저장하는 어플리케이션 생성 단계를 포함하는 것을 특징으로 한다.
상기 메인 스토리지 보안디스크 생성 단계는, 보안디스크 생성 시 서브 스토리지가 고유의 스토리지 식별정보를 구비하지 않는 휴대용 메모리이면 고유의 서브 스토리지 식별정보를 생성하여 상기 서브 스토리지에 기록하는 서브 스토리지 식별정보 할당 단계를 더 포함하고, 상기 어플리케이션 생성 단계에서 상기 할당된 서브 스토리지 식별정보를 포함하는 메인 디스크 보안 어플리케이션을 생성하는 것을 특징으로 한다.
상기 서브 스토리지 보안디스크 생성 단계는, 보안디스크 영역을 식별하기 위한 디지털키 영역을 할당하는 디지털키 할당 단계; 보안디스크를 활성화하기 위한 키 및 정보들을 구비하는 디지털키를 생성하여 상기 디지털키 영역에 저장하는 디지털키 생성 단계; 상기 보안디스크의 상기 디지털키 영역 이외의 보안 데이터 영역의 파일들을 암호화하는 암호화 단계; 및 상기 디지털키, 상기 보안 데이터 영역에 암호화되어 저장되어 있는 상기 파일을 복호하는 복호화모듈 및 서브 스토리지 식별정보를 포함하는 서브 디스크 보안 어플리케이션을 생성하여 상기 서브 스토리지에 저장하는 어플리케이션 생성 단계를 포함하는 것을 특징으로 한다.
상기 서브 스토리지 보안디스크 생성 단계는, 보안디스크 생성 시 서브 스토리지가 고유의 스토리지 식별정보를 구비하지 않는 휴대용 메모리이면 고유의 서브 스토리지 식별정보를 생성하여 상기 서브 스토리지에 기록하는 서브 스토리지 식별정보 할당 단계를 더 포함하고, 상기 어플리케이션 생성 단계에서 상기 할당된 메인 스토리지 식별정보 및 서브 스토리지 식별정보를 포함하는 서브 디스크 보안 어플리케이션을 생성하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 디스크 보안 어플리케이션이 구동되면 메인 디스크 보안 어플리케이션인지를 판단하는 어플리케이션 판단 단계; 메인 디스크 보안 어플리케이션이면 메인 스토리지의 보안디스크를 활성화하는 메인 스토리지 보안디스크 활성화 단계; 상기 보안디스크 생성 시 연결되었던 적어도 하나의 서브 스토리지가 연결되어 있는지를 판단하는 서브 스토리지 연결 검사 단계; 상기 보안디스크 생성 시 연결되었던 서브 스토리지가 연결되어 있으면 암호화모듈 및 복호화모듈을 구동하는 암복호화모듈 구동 단계; 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장되는 파일에 대한 읽기/쓰기 속성을 설정하는 파일 속성 설정 단계; 및 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 입출력되는 파일들을 암복호화하여 처리하는 파일 입출력 처리 단계를 포함하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 상기 서브 스토리지 연결 검사 단계에서 상기 보안디스크 생성 시 연결되었던 서브 스토리지가 연결되어 있지 않으면 복호화모듈을 구동하는 복호화모듈 구동 단계; 상기 메인 스토리지의 보안디스크의 파일들을 읽기 속성으로 설정하는 파일 속성 설정 단계; 및 상기 메인 스토리지의 보안디스크에서 출력되는 파일을 복호화하여 처리하는 파일 출력 처리 단계를 더 포함하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 상기 파일 출력 처리 단계의 수행 중 파일쓰기 명령에 의한 파일 입력 처리 요청이 발생되는지를 검사하는 파일쓰기 모니터링 단계; 및 상기 파일쓰기 명령이 발생되면 상기 서브 스토리지의 삽입을 요청하는 메시지를 표시하는 서브 스토리지 삽입 요청 단계를 더 포함하되, 상기 서브 스토리지가 삽입되면 상기 암복호화모듈 구동 단계 이후의 과정을 수행하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 상기 어플리케이션 판단단계에서 구동된 어플리케이션이 서브 디스크 보안 어플리케이션이면 서브 스토리지의 보안디스크를 활성화하는 서브 스토리지 보안디스크 활성화 단계; 상기 보안디스크 생성 시 연결되었던 메인 스토리지가 연결되어 있는지를 판단하는 메인 스토리지 연결 검사 단계;
상기 보안디스크 생성 시 연결되었던 메인 스토리지가 연결되어 있으면 암호화모듈 및 복호화모듈을 구동하는 암복호화모듈 구동 단계; 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장되는 파일에 대한 읽기/쓰기 속성을 설정하는 파일 속성 설정 단계; 및 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 입출력되는 파일들을 암복호화하여 처리하는 파일 입출력 처리 단계를 포함하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 상기 메인 스토리지 연결 검사 단계에서 상기 보안디스크 생성 시 연결되었던 메인 스토리지가 연결되어 있지 않은 것으로 판단되면 복호화모듈 구동하는 복호화모듈 구동 단계; 상기 서브 스토리지의 보안디스크에 저장된 파일들에 대해 읽기 속성을 설정하는 파일 속성 설정 단계; 및 상기 보안디스크에 저장된 파일의 오픈 요청 시 복호화 처리를 수행하여 읽기 가능하도록 처리하는 파일 처리 단계를 포함하는 것을 특징으로 한다.
상기 보안디스크 사용 과정은, 상기 파일 입출력 처리 단계의 파일 입출력 처리 중 보안디스크에 저장되어 있는 파일에 대한 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 첨부 이벤트의 발생 시 첨부 요청된 암호화된 파일을 포함하고, 실행 가능한 응용프로그램으로서 실행에 의해서만 상기 파일의 속성을 읽기/쓰기로 설정하며, 상기 파일을 복호화 및 암호화하고, 상기 파일의 편집이 가능하도록 하는 에이전트를 생성하여 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 외부 반출 단계를 더 포함하는 것을 특징으로 한다.
상기 파일 외부 반출 단계는, 상기 파일 입출력 처리 중 보안디스크에 저장되어 있는 파일에 대한 이메일 파일 첨부를 요청하는 파일 첨부 이벤트가 발생하는지를 모니터링하는 파일 첨부 이벤트 모니터링 단계; 파일 첨부 이벤트가 발생되면 상기 보안디스크의 생성 시 연결되었던 서브 스토리지가 연결되어 있는지를 검사하는 서브 스토리지 연결 검사 단계; 상기 서브 스토리지가 연결되어 있으면 선택됨 파일에 대한 보안정책을 설정하는 보안정책 설정 단계; 상기 파일, 암호화모듈, 복호화모듈, 보안정책을 포함하고, 실행 가능한 응용프로그램으로서 실행에 의해서 상기 암호화모듈, 복호화모듈을 구동하고, 상기 보안정책 내에서 상기 파일에 읽기/쓰기 속성을 설정하여 상기 파일의 편집이 가능하도록 하는 에이전트를 생성하는 에이전트 생성 단계; 및 상기 생성된 에이전트를 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 첨부 단계를 포함하는 것을 특징으로 한다.
본 발명은 스토리지 암호화 장치에 직접 연결되는 적어도 하나의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지가 있을 경우에만 메인 스토리지 및 서브 스토리지에 보안디스크를 생성할 수 있고, 보안디스크 생성 시 연결되었던 적어도 하나의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지가 연결되어 있어야만 스토리지의 보안디스크의 파일을 변경 및 삭제하는 것이 가능하므로, 제3자가 임의의 서브 스토리지를 스토리지 암호화 장치에 연결하여 메인 스토리지의 보안디스크에 저장되어 있는 파일을 복사하여도 제한적으로 사용하게 하는 효과를 갖는다.
또한, 역으로 본 발명에 따라 보안디스크가 생성된 서브 스토리지를 연결하여 메인 스토리지에 있는 파일을 유출한다고 할지라도, 외부에서는 보안식별정보를 알고 있다고 하더라고 제한된 속성만을 가지므로 다른 스토리지에서의 사용을 제한하여 보안성을 높일 수 있는 효과를 가진다.
또한, 본 발명은 외부로 정보, 즉 파일을 반출하여 사용해야 하는 경우 해당 파일의 암호화 및 암호화된 파일을 포함하고, 보안정책 내에서만 상기 파일의 사용을 허락하는 에이전트를 생성하여 첨부할 수 있도록 함으로써 메일 전송에 의한 파일 반출 기록을 남기고 에이전트에 의해 보안정책 내에서만 포함된 파일을 사용하도록 함으로써 업무 효율성을 향상시키면서도 정보의 유출을 최소화할 수 있는 효과를 갖는다.
또한, 본 발명은 스토리지 암호화 장치가 미러링 조건 만족 시 메인 스토리지의 보안디스크 영역에 저장되어 있는 데이터를 백업함으로써 제3자가 메인 스토리지의 보안디스크 영역을 파손시키는 경우에 대해 보안정보를 안전하게 보존할 수 있는 효과를 갖는다.
도 1은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 스토리지 암호화 장치의 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 스토리지 암호화 장치의 보안디스크 생성부의 메인 및 서브 보안디스크 생성부의 상세 구성을 나타낸 도면이다.
도 4는 본 발명에 따른 스토리지 암호화 장치의 디스크 보안 어플리케이션부의 메인 보안디스크 활성 제어부의 상세 구성을 나타낸 도면이다.
도 5는 본 발명에 따른 스토리지 암호화 장치의 디스크 보안 어플리케이션부의 서브 보안디스크 활성 제어부의 상세 구성을 나타낸 도면이다.
도 6은 본 발명에 따른 에이전트 실행 장치의 구성을 나타낸 도면이다.
도 7은 본 발명의 일실시예에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 미러링 시스템을 나타낸 도면이다.
도 8은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법을 나타낸 흐름도이다.
도 9는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 생성 방법을 나타낸 흐름도이다.
도 10은 본 발명에 따른 보안디스크 생성 방법의 구성요소 완비 검사 방법을 나타낸 흐름도이다.
도 11은 본 발명에 따른 보안디스크 생성 방법의 메인 스토리지 보안디스크 생성 방법을 나타낸 흐름도이다.
도 12는 본 발명에 따른 보안디스크 생성 방법의 서브 스토리지 보안디스크 생성 방법을 나타낸 흐름도이다.
도 13은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 설정 방법을 나타낸 흐름도이다.
도 14는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 사용 방법을 나타낸 흐름도이다.
도 15는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 활성화 방법을 나타낸 흐름도이다.
도 16은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크의 파일 외부 반출 방법을 나타낸 흐름도이다.
도 17은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 파일 외부 반출 방법에 의해 반출된 파일 사용 방법을 나타낸 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 구성 및 동작을 설명하고, 상기 시스템에서의 보안정보 저장 방법을 설명한다.
도 1은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 구성을 나타낸 도면이다.
본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템(1000)은 하나 이상의 서브 스토리지(Storage)(100), 적어도 하나 이상의 메인 스토리지(200) 및 스토리지 암호화 장치(300)를 포함한다.
상기 메인 스토리지(200)는 메인 스토리지 식별정보를 가지고 일정 용량의 저장 공간을 구비하는 저장장치이다. 상기 메인 스토리지(200)는 하드디스크, 초고속 반도체 대용량 저장장치(Solid Stage Disk: SSD), 범용직렬버스 대용량 저장장치(Universal Serial Bus: USB) 등이 될 수 있으나, 스토리지 암호화 장치(300)가 사용하는 저장장치이므로 하드디스크 또는 SSD인 것이 바람직할 것이다.
서브 스토리지(100)는 일정 용량의 저장 공간을 구비하는 저장장치로서, 서브 스토리지 식별정보를 가지는 하드디스크, SSD 등이 될 수도 있고, 서브 스토리지 식별정보를 가지지 않는 비동기 직렬 버스(USB) 메모리 등의 휴대용 대용량 저장장치가 될 수도 있을 것이다. 그러나 서브 스토리지(100)는 본 발명에 따라 키와 같은 역할을 하는 저장장치로서 USB 메모리 등과 같이 탈착이 가능하고 휴대가 간편한 저장장치인 것이 바람직할 것이다.
스토리지 암호화 장치(300)는 적어도 하나 이상의 상기 메인 스토리지(200) 및 적어도 하나 이상의 서브 스토리지(100)가 연결된 상태에서 보안디스크 생성 요청 발생 시 메인 스토리지(200) 및 서브 스토리지(100) 각각에 설정된 용량에 대해 보안 데이터 영역을 가지는 보안디스크를 생성한다. 상기 보안디스크의 용량은 메인 스토리지 또는 서브 스토리지의 전체 용량일 수도 있고, 일부 용량이 될 수도 있을 것이다.
상기 보안디스크는 디지털키 영역 및 보안 데이터 영역을 포함한다. 상기 보안디스크 구성 및 생성방법은 대한민국 등록특허 10-1442539(2014.09.15.)(이하 "선행기술1"이라 함) 및 등록특허 10-1476222(2014.12.18.)(이하 "선행기술2"이라 함) [보안저장장치를 구비하는 저장 시스템 및 방법]에 상세하게 설명되어 있으므로 그 상세한 설명을 생략한다.
상기 선행기술1 및 선행기술2에서는 보안디스크가 비활성화되었을 때 보이지 않도록 구성되었다. 그라나 본 발명에서는 상기 보안디스크의 비활성화 시 보이는 임의의 파일에 보안디스크를 맵핑하여 해당 스토리지에 저장할 수 있을 것이다. 즉, A.doc 파일에 보안디스크를 매핑하여 저장한다. 즉 상기 A.doc라는 이름으로 보안디스크가 생성되는 것이다. 이렇게 구성함으로써 보안디스크가 생성된 스토리지를 보안 관리자 몰래 유출하는 것을 방지할 수 있을 것이다. 상기 임의의 파일에 디스크 영역을 매핑하여 구성하는 기술 자체는 이 기술분야의 통상의 지식을 가진자에게 잘 알려진 기술이므로 그 상세한 설명을 생략한다.
본 발명에 따라 메인 스토리지(200) 및 서브 스토리지(100)에 상기 보안디스크 생성 시 메인 스토리지(200) 및 서브 스토리지(100)가 고유의 식별정보를 가지고 있는 경우, 스토리지 암호화 장치(300)는 메인 스토리지(200) 및 서브 스토리지(100)의 고유 식별정보인 스토리지 식별정보를 획득하여 관리하고, 상기 메인 스토리지(200) 및 서브 스토리지(100) 중 하나 이상에 스토리지 식별정보가 없는 경우 고유 스토리지 식별정보를 생성하여 해당 스토리지에 할당 및 저장하여 관리한다. 상기 생성된 스토리지 식별정보는 해당 스토리지의 일반 영역 또는 보안디스크의 디지털키 영역에 저장될 수 있으며, 상기 스토리지가 USB 메모리인 경우 부팅영역에 저장될 수도 있으며, 생성되는 디스크 보안 어플리케이션에 포함될 수도 있을 것이다.
또한, 스토리지 암호화 장치(300)는 상기 보안디스크를 활성화 또는 비활성화시키고, 보안디스크 보안정책을 설정할 수 있으며, 설정된 보안정책을 저장하고 있으며 암호화모듈 및 복호화모듈 중 하나 이상을 포함할 수 있으며, 상기 설정된 보안정책에 따라 상기 보안디스크의 보안 데이터 영역에 저장하거나 저장된 파일의 변경 및 삭제를 관리하는 디스크 보안 어플리케이션을 생성한다. 디스크 보안 어플리케이션은 메인 스토리지 모드와 서브 스토리지 모드 둘 모두로 동작하도록 구성될 수도 있고, 메인 스토리지 모드로만 동작하는 하나의 어플리케이션 및 서브 스토리지 모드로만 동작하는 서브 디스크 보안 어플리케이션 2개로 구성될 수도 있을 것이다.
상기 메인 스토리지(200) 및 서브 스토리지(100)에 보안디스크가 생성되고, 디스크 보안 어플리케이션이 생성되면, 스토리지 암호화 장치(300)는 상기 디스크 보안 어플리케이션에 의해 상기 보안디스크에 저장되어 있는 파일을 변경하거나 삭제하고자 하는 경우, 상기 보안디스크 생성 시 연결되었던 적어도 하나 이상의 메인 스토리지(200) 및 적어도 하나 이상의 서브 스토리지(100)가 연결되어 있는지를 검사하는 구성요소 완비 검사를 수행하여 구성요소가 완비된 경우, 보안디스크에 저장되어 있는 파일을 변경하거나, 삭제할 수 있도록 한다.
만일, 구성 요소가 완비되지 않고, 메인 스토리지(200)만 연결되어 있는 경우, 스토리지 암호화 장치(300)는 미리 설정된 보안정책 내에서 사용할 수 있도록 한다. 즉, 스토리지 암호화 장치(300)는 새로운 파일 생성은 가능하나, 보안디스크에 저장된 파일들에 대해 읽기 속성만을 설정하여 읽기만 가능하도록 관리한다.
상기 디스크 보안 어플리케이션은 메인 스토리지(200)의 임의의 영역에 저장될 수 있고, 서브 스토리지(100)의 부팅 영역에 저장될 수 있을 것이다. 이는 메인 스토리지(200) 및 서브 스토리지(100)가 USB 메모리와 같은 휴대용 저장장치인 경우 임의의 컴퓨터 장치에 연결 시 상기 디스크 보안 어플리케이션이 자동 실행되도록 하기 위한 것이다.
상기 보안정책은 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크를 활성화기 위한 보안식별정보 인증 적용 여부 및 적용에 따른 보안식별정보를 포함하며, 이메일을 통한 파일 외부 반출 허용 여부, 파일 외부 반출 허용 시의 파일에 대한 타임스탬프 및 사용횟수 사용제한 정책, 파일의 속성(읽기/쓰기) 등을 포함한다.
상기 타임스탬프는 각 폴더 또는 파일 단위로 설정되되, 상기 폴더 및 파일의 사용 기간 정보를 저장한다.
도 2는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 스토리지 암호화 장치의 구성을 나타낸 도면이다.
도 2를 참조하면, 스토리지 암호화 장치(300)는 보안디스크 생성부(400), 디스크 보안 어플리케이션부(500) 및 커널계층부(600)를 포함한다.
보안디스크 생성부(400)는 스토리지 암호화장치(300)에 구성되고 디스크 보안 어플리케이션부(500)는 스토리지 암호화 장치(300) 및 일반 컴퓨터 장치에 모두 구성될 수 있을 것이다. 단 컴퓨터 장치에 구성되는 경우 서브 보안디스크 활성 제어부(530)만을 포함하는 디스크 보안 어플리케이션부만 구성될 것이다. 즉, USB 메모리 등의 서브 스토리지(100)가 외부의 컴퓨터에 연결되는 경우, 디스크 보안 어플리케이션부(500)의 서브 보안디스크 활성 제어부(530)는 상기 본 발명에 따라 서브 스토리지(100)에 저장되는 서브 디스크 보안 어플리케이션의 구동에 의해 활성화될 것이다.
보안디스크 생성부(400)는 보안디스크 설정부(410), 구성요소 완비 검사부(420), 메인 보안디스크 생성부(430) 및 서브 보안디스크 생성부(440)를 포함한다.
보안디스크 설정부(410)는 보안디스크 생성 설정 사용자 인터페이스 수단을 사용자에게 제공하여 보안디스크를 생성하기 위한 메인 스토리지(200) 및 서브 스토리지(100) 별 보안디스크의 용량, 암호화 방법, 보안식별정보 등을 설정하고, 보안정책을 설정한다.
구성요소완비 검사부(420)는 본 발명에 따른 보안정보 저장 시스템을 구성하기 위한 구성들이 연결되었는지를 검사하는 구성 요소 완비 검사를 수행한다. 본 발명에 따른 보안정보 저장 시스템을 구성하기 위해서는 적어도 하나 이상의 메인 스토리지(200) 및 적어도 하나 이상의 서브 스토리지(100)가 스토리지 암호화장치(300)에 연결되어 있어야 한다. 상기 메인 스토리지(200) 및 서브 스토리지(100)의 수는 상기 보안디스크 설정부(410)에 지정할 수 있도록 구성될 수 있을 것이다.
구성요소완비 검사부(420)는 메인 스토리지(200)가 1개이고, 서브 스토리지(100)가 2개인 경우를 예로 들면, 하나의 메인 스토리지(200) 및 1개의 서브 스토리지(100)가 연결되어 있는 경우와, 하나의 메인 스토리지(200) 및 2개의 서브 스토리지(100)가 모두 연결되어 있는 경우를 구성요소가 완비된 것으로 판단할 것이다.
메인 보안디스크 생성부(430)는 상기 보안디스크 설정부(410)에서 설정된 메인 보안디스크 설정 정보에 따라 메인 스토리지(200)에 보안디스크를 생성하고, 보안디스크의 데이터를 암호화한다. 또한, 메인 보안디스크 생성부(430)는 보안디스크 생성 후 메인 디스크 보안 어플리케이션을 생성한다. 이때, 생성된 메인 디스크 보안 어플리케이션은 사용자에 의해 실행되도록 구성될 수도 있고, 자동 실행되도록 구성될 수 있으며, 부팅 시마다 자동 실행되도록 구성될 수도 있을 것이다.
서브 보안디스크 생성부(440)는 상기 보안디스크 설정부(410)에서 설정된 서브 보안디스크 설정 정보에 따라 서브 스토리지(100)에 보안디스크를 생성하고, 보안디스크의 데이터를 암호화한다. 서브 보안디스크 생성부(440) 또한, 상기 보안디스크의 생성 후 서브 디스크 보안 어플리케이션을 생성하여 서브 스토리지(100)의 부팅 영역, 일반 데이터 영역 및 보안디스크 중 하나에 저장될 것이다.
부팅 영역에 저장되는 경우, 서브 스토리지(100)가 스토리지 암호화 장치(300) 또는 임의의 컴퓨터 장치에 연결시마다 연결된 장치에 의해 서브 디스크 보안 어플리케이션이 실행될 것이다.
디스크 보안 어플리케이션부(500)는 메인 보안디스크 활성 제어부(510) 및 서브 보안디스크 활성 제어부(530)를 포함한다.
메인 보안디스크 활성 제어부(510)는 메인 디스크 보안 어플리케이션의 실행 시 구동되어 본 발명에 따른 메인 스토리지(200) 및 서브 스토리지(100)의 활성화 및 비화성화를 제어하고, 활성화 시 보안디스크 생성 시 연결되었던, 서브 스토리지(100)의 연결 여부에 따라 상기 보안디스크의 보안 데이터 영역에 저장되는 데이터, 즉 파일들의 속성을 정의한다. 하나의 메인 스토리지(200) 및 두 개의 서브 스토리지(100)가 연결된 상태에서 보안디스크가 생성된 경우, 메인 보안디스크 활성 제어부(510)는 현재 서브 스토리지(100)가 하나도 연결되어 있지 않은 경우, 상기 보안디스크의 파일들에 대해 읽음 속성만을 부여하여 새로운 파일의 생성은 가능하나, 변경 및 삭제가 불가능하도록 제어하고, 하나 이상의 서브 스토리지(100)가 연결되어 있는 경우, 상기 보안디스크의 파일들에 대해 읽기 및 쓰기 속성을 부여하여 상기 보안디스크에 저장된 파일을 수정 및 변경하거나, 삭제할 수 있도록 제어하고, 2개의 서브 스토리지(100)가 연결되어 있는 경우, 파일의 생성, 변경, 삭제가 가능하고, 보안정책, 보안식별정보, 보안디스크 용량 등의 보안디스크 설정을 변경할 수 있도록 제어한다.
서브 보안디스크 활성 제어부(530)는 상술한 바와 같이 보안디스크가 생성된 서브 스토리지(100)가 스토리지 암호화장치(300)에 연결되거나, 일반 컴퓨터에 연결 시 서브 스토리지(100)에 저장되어 있는 서브 디스크 보안 어플리케이션의 실행에 의해 해당 장치에 구성된다.
서브 보안디스크 활성 제어부(530)는 서브 스토리지(100)의 보안디스크의 활성화 및 비활성화를 제어하고, 활성화 시 보안디스크의 보안 데이터 영역에 저장되어 있는 파일을 복호화하며 구성된 장치에서 읽기만 가능하도록 제어한다.
커널계층부(600)는 디스크 보안 어플리케이션부(500), 메인 스토리지(200) 및 서브 스토리지(100) 사이에 구성되어 스토리지들의 연결 관리를 수행하며, 디스크 보안 어플리케이션부(500)에서 발생되는 입출력 요청들에 대응하여 해당 스토리지에 저장할 데이터 및 저장된 데이터들의 입출력을 위한 데이터 입출력 처리를 수행한다.
도 3은 본 발명에 따른 스토리지 암호화 장치에서 보안디스크 생성부의 메인 및 서브 보안디스크 생성부의 상세 구성을 나타낸 도면이다.
상술한 바와 같이 보안디스크 생성부(400)는 메인 보안디스크 생성부(430) 및 서브 보안디스크 생성부(440)를 포함한다.
메인 보안디스크 생성부(430)는 메인 보안디스크 생성 처리부(431) 및 메인 디스크 보안 어플리케이션 생성부(432)를 포함한다.
메인 보안디스크 생성 처리부(431)는 상기 선행기술1 및 선행기술2에 따라 메인 스토리지(200)에 보안디스크를 생성하는 보안디스크 구성부(4311) 및 상기 생성된 보안디스크의 데이터를 암호화하는 암호화모듈, 암호화된 데이터를 복호화하는 복호화모듈을 포함하는 암호화부(4312)를 구비한다.
상기 메인 디스크 보안 어플리케이션 생성부(432)는 상기 메인 스토리지(200)의 보안디스크를 활성화 및 비활성화하고, 보안디스크를 활성화 및 비활성화하기 위한 보안식별정보에 의한 인증여부, 보안식별정보의 등록, 변경 및 삭제, 이메일을 통한 외부 반출 허용 여부 및 외부 반출 허용 시의 보안정책 설정, 미러링 시스템 적용 여부 등의 보안디스크 설정을 수행하며, 상기 설정에 따른 보안식별정보 인증, 이메일을 통한 파일 외부 반출 동작, 미러링 등의 동작을 수행하는 메인 디스크 보안 어플리케이션을 생성한다.
상기 메인 디스크 보안 어플리케이션은 상술한 선행기술1 및 선행기술2가 적용됨에 따라 보안디스크를 찾고, 보안디스크를 활성화 및 비활성화하기 위한 디지털키를 포함하고 있을 것이다. 또한, 메인 디스크 보안 어플리케이션은 보안디스크를 파괴하기 위한 파괴키를 포함하고 있을 것이다. 이는 선행기술1 및 선행기술2와 동일하게 적용되므로 상세한 설명을 생략한다.
서브 보안 디스크 생성부(440) 또한 서브 보안디스크 생성 처리부(441) 및 서브 디스크 보안 어플리케이션 생성부(442)를 포함한다.
서브 보안디스크 생성 처리부(441)는 서브 스토리지(100)에 보안디스크를 생성한다.
서브 디스크 보안 어플리케이션 생성부(442)는 서브 디스크 보안 어플리케이션을 생성하고, 생성된 서브 디스크 보안 어플리케이션을 서브 스토리지(100)에 저장한다. 서브 디스크 보안 어플리케이션은 복호화모듈만을 포함하고 있을 수 있으며, 보안식별정보를 가지고 있을 수 있으며, 사용자로부터 보안식별정보를 입력받아 미리 가지고 있는 보안식별정보와 비교하여 인증 후 서브 스토리지(100)의 보안디스크를 활성화 및 비활성화한다.
도 4는 본 발명에 따른 스토리지 암호화 장치의 디스크 보안 어플리케이션부의 메인 보안디스크 활성 제어부의 상세 구성을 나타낸 도면이다.
메인 보안디스크 활성 제어부(510)는 스토리지 암호화장치(300)에 연결된 메인 스토리지(200)에 저장되어 있는 메인 디스크 보안 어플리케이션 및 서브 디스크 보안 어플리케이션의 실행에 의해 구성되며, 메인 보안디스크 서비스 실행부(511) 및 설정정보 저장부(512)를 포함한다.
메인 보안디스크 서비스 실행부(511)는 보안디스크 활성화부(5111), 보안디스크 설정부(5113), 암복호화부(5114), 구성요소 완비 검사부(5115), 입출력 파일 설정부(5116), 파일 외부 반출 처리부(5117) 및 미러링 처리부(5118)를 포함한다.
보안디스크 활성화부(5111)는 연결되어 있는 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크 활성화 요청 시 선행기술1 및 선행기술2에서와 같이 보안식별정보를 입력받고, 미리 설정된 보안식별정보와 일치 시 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크를 활성화시키고, 비활성화 요청 시 보안디스크를 비활성화한다. 선행기술1 및 선행기술2에서의 활성화란 드라이브로서 보이도록 하는 것이고, 비활성화란 보안디스크를 드라이브에서도 삭제하고 시스템 용량정보에서 보안디스크 및 보안디스크에 저장된 데이터가 없는 것처럼 보이도록 구성하는 것이었으나, 본 발명에서는 드라이브에서만 삭제하고, 용량정보에서는 그 보안디스크의 사용용량이 반영되도록 구성될 수도 있으며, 드라이브에서 삭제하고, 특정 파일에 보안디스크를 설정하고 접근할 수 없도록 구성될 수 있을 것이다. 물론 본 발명 또한, 선행기술1 및 선행기술2와 같이 구성될 수 있으며, 옵션으로 상술한 다수의 활성화 및 비활성화 방법들 중 하나를 선택적으로 구성할 수도 있을 것이다.
보안디스크 설정부(5113)는 보안디스크를 활성화/비활성화시키기 위한 보안 식별정보의 등록 및 변경, 보안디스크의 용량의 변경, 보안디스크의 데이터 암호화 방식 설정 및 변경, 파일 외부 반출 허용 여부 등과 같은 옵션 설정 및 변경, 보안정책 설정 및 변경 등과 같은 보안디스크 설정 사용자 인터페이스 수단을 제공하고, 보안디스크 설정 사용자 인터페이스 수단을 통해 입력되는 보안설정정보를 설정정보 저장부(512)에 저장한다.
암복호화부(5114)는 상기 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크에 저장되는 데이터들을 암호화하고, 상기 보안디스크에서 읽혀지는 데이터를 복호화한다.
구성요소 완비 검사부(5115)는 현재 연결되어 있는 메인 스토리지(200)의 고유 식별정보를 로드하고, 서브 스토리지(100)의 고유 식별정보를 로드하고, 본 발명에 따른 보안정보 저장 시스템 구성 시 연결되었던 메인 스토리지(200) 및 서브 스토리지(100)들에 대해 등록되어 있는 구성 요소 식별정보들을 비교하여 보안정보 저장 시스템 구성 시 연결되었던 구성요소가 모두 연결되어 있는지를 검사하는 구성요소 완비 검사를 수행하고, 그 검사 결과를 제공한다.
입출력 파일 설정부(5116)는 상기 구성요소 완비 검사부(5115)에서 수행된 구성요소 완비 검사 결과에 따라 메인 스토리지(200)의 보안디스크 및 서브 스토리지(100)의 보안디스크에 저장되어 있는 파일들에 대한 속성을 설정한다.
보안정보 저장 시스템 생성 시 1개의 메인 스토리지(200) 및 2개의 서브 스토리지(100)가 연결되어 있었던 경우를 예를 들어 설명하면, 입출력 파일 설정부(5116)는 메인 스토리지(200)만 연결되어 있으면, 메인 스토리지(200)의 활성화된 보안디스크에 저장된 파일을 읽을 수만 있도록 읽기 속성으로 설정한다.
그리고 메인 스토리지(200) 및 하나의 서브 스토리지(100)가 연결되어 있는 경우, 입출력 파일 설정부(5116)는 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크에 저장되어 있는 파일들을 읽고, 쓸 수 있도록 읽기 및 쓰기 속성을 설정한다.
그리고 메인 스토리지(200) 및 두 개의 서브 스토리지(100)가 연결되어 있으면, 즉 구성요소가 완비되어 있으면 입출력 파일 설정부(5116)는 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크의 파일들에 읽기 및 쓰기 속성을 설정하고, 보안디스크 설정부(5113)를 구동할 수 있도록 설정한다. 즉, 구성요소가 모두 완비되어 있는 경우에만 보안디스크 설정부(5113)를 통해 보안디스크의 다양한 설정을 설정 및 변경할 수 있을 것이다.
파일 외부 반출 처리부(5117)는 구성요소 완비 검사부(5115)를 통해 적어도 하나 이상의 서브 스토리지(100)가 연결되어 있는 상태에서 사용자로부터 메인 스토리지(200) 및 서브 스토리지(100) 중 하나의 보안디스크에 저장되어 있는 파일에 대한 파일 반출 요청이 발생되면 해당 파일, 암복호화모듈 및 보안정책이 포함되어 있는 에이전트 프로그램(이하 "에이전트"라 함)을 생성하여 외부로 반출할 수 있도록 허용한다. 상기 파일은 상기 에이전트의 실행에 의해서만 사용할 수 있으며, 상기 에이전트 프로그램에 의해 상기 파일의 보안정책 내에서만 제한하여 사용되도록 관리된다.
상기 파일 외부 반출 처리부(5117)는 상기 에이전트를 생성 시 고유 식별정보를 할당하고, 에이전트 식별정보, 에이전트가 생성된 날짜 및 시간, 첨부된 대상(이메일, 웹하드 및 클라우드 중 하나 이상), 첨부를 요청한 사용자 정보를 에이전트 외부 반출 내역 저장부(5124)에 저장하여 관리하는 것이 바람직할 것이다.
미러링 처리부(5118)는 연결된 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크에 저장된 전체 데이터 또는 일부 파일들 중 미러링 조건을 만족하는 경우 해당 데이터 또는 파일을 로컬망 및 광대역망을 통해 연결되어 있는 미러링 시스템(도 6의 2000)으로 전송하여 저장하는 미러링 처리를 수행한다. 상기 미러링 조건은 일정 시간 간격이 될 수도 있고, 새로운 파일의 저장이 될 수도 있으며, 새로운 일정 용량 이상의 새로운 파일 저장일 수도 있고, 보안디스크의 데이터가 일정 용량 이상 증가한 경우가 될 수도 있을 것이다.
설정정보 저장부(512)는 상기 보안디스크 설정부(5113)에 의해 설정되는 보안디스크 설정 정보들을 저장한다. 특히, 설정정보 저장부(512)는 보안디스크를 활성화하고 비활성화하고 보안디스크를 암호화 및 복호화하는 데 중용한 역할을 하는 디지털키를 저장하는 디지털키 보관부(5121), 보안정보 시스템 구성 시 연결된 메인 스토리지(200) 및 서브 스토리지(100)의 고유 식별정보를 저장하는 구성요소 식별정보 저장부(5122), 정책정보를 저장하는 정책정보 저장부(5123) 및 에이전트 외부 반출 내역 저장부(5124)를 포함한다.
도 5는 본 발명에 따른 스토리지 암호화 장치의 디스크 보안 어플리케이션부의 서브 보안디스크 활성 제어부의 상세 구성을 나타낸 도면이다.
서브 보안디스크 활성 제어부(530)는 서브 보안디스크 생성부(440)의 서브 디스크 보안 어플리케이션 생성부(442)에서 생성된 서브 디스크 보안 어플리케이션의 실행에 의해 구성되며, 본 발명의 스토리지 암호화 장치(300)가 아닌 일반 컴퓨터에 서브 스토리지 연결 후 실행된 서브 디스크 보안 어플리케이션의 실행에 의해 구성될 수 있을 것이다.
상기 서브 보안디스크 활성 제어부(530)는 서브 보안디스크 서비스 실행부(531) 및 서브 보안디스크 정보 저장부(532)를 포함한다.
서브 보안디스크 정보 저장부(532)는 디지털키를 저장하는 디지털키 보관부(5321), 고유 식별정보를 저장하는 고유 식별정보 저장부(5322) 및 서브스토리지(100)의 일반 컴퓨터 단독 연결 시 보안디스크에 저장된 파일을 읽기 속성으로 처리하기 위한 정책정보를 저장하는 정책정보 저장부(5323)를 포함한다. 상기 서브 보안디스크 정보 저장부(532)는 서브 스토리지(100)에 구성될 수 있을 것이다.
서브 보안디스크 서비스 실행부(531)는 보안디스크 활성화부(5311), 마운트 처리부(5312) 및 복호화부(5313)를 포함한다.
보안디스크 활성화부(5311)는 서브 스토리지 활성화 수단을 제공하고, 서브 스토리지 활성화 수단을 통해 보안식별정보가 입력되면 보안식별정보에 의한 인증을 수행하고, 인증 수행 시 서브 스토리지(100)의 보안디스크를 활성화시키기 위해 마운트 요청 신호를 마운트 처리부(5312)로 출력한다.
또한, 보안디스크 활성화부(5311)는 스토리지 암호화 장치(300)에 연결되어 있는지를 판단하고 스토리지 암호화 장치(300)에 연결되어 있는 것으로 판단되면 메인 디스크 보안 어플리케이션 구동 요청 신호를 스토리지 암호화장치(300)로 전송하여 메인 보안디스크 활성 제어부(510)가 구동되도록 할 것이다.
마운트 처리부(5312)는 보안디스크 활성화부(5311)로부터 마운트 요청 신호가 수신되면 상기 서브 스토리지(100)의 보안디스크를 드라이브로 마운트시킨다.
복호화부(5313)는 서브 스토리지(100)의 보안디스크에 저장되어 있는 파일의 오픈 명령 발생 시 암호화되어 저장되어 있는 상기 파일을 복호화한다.
도 6은 본 발명에 따른 에이전트 실행 장치의 구성을 나타낸 도면으로, 메일, 웹하드 및 클라우드 중 어느 하나 이상으로부터 다운로드받은 에이전트가 실행된 컴퓨터에 구성되는 에이전트 실행 장치의 구성을 나타낸 것이다.
본 발명에 따른 에이전트 실행 장치(700)는 에이전트 제어부(710) 및 에이전트 저장부(720)를 포함한다.
에이전트 저장부(720)는 에이전트에 포함되었던 외부 반출 파일을 저장하는 반출파일 저장부(721) 외부 반출 파일에 대한 파일정책을 설정하고 있는 정책 정보 저장부(722)를 포함한다.
에이전트 제어부(710)는 반출 파일 저장부(721)에 암호화되어 저장되어 있는 파일을 복호화하여 출력하거나, 변경된 파일 및 새롭게 저장되는 파일을 암호화하여 저장하는 암호화부(711) 및 상기 반출 파일 저장부(721)에 저장된 파일에 대한 파일정책을 적용하기 위한 정책 적용 정보를 수집하는 정책 적용 정보 수집부(712)를 포함하여, 본 발명의 외부로 반출된 파일에 대한 전반적인 동작을 제어한다. 상기 정책 적용 정보는 에이전트 실행 장치가 구성된 컴퓨터의 타이머에 의해 카운트되는 시간 정보 및 정책 정보 저장부(720)에 저장되어 있는 사용횟수 등이 될 수 있을 것이다.
도 7은 본 발명의 일실시예에 따른 복수의 스토리지를 이용한 보안정보 저장 시스템의 미러링 시스템을 나타낸 도면이다.
본 발명의 보안정보 저장 시스템(1000)의 스토리지 암호화 장치(300)는 미러링 조건 만족 시 미리 설정되어 있는 미러링 시스템(2000)으로 메인 스토리지(200)의 보안디스크에 저장되어 있는 전체 파일, 새로 생성된 파일 또는 변경된 파일을 전송하여 미러링 시스템(2000)에 저장하여 백업하는 미러링 서비스를 수행한다. 상기 미러링 조건은 일정 주기가 될 수도 있고, 보안디스크의 일정 용량 이상의 변화가 될 수도 있으며, 파일 단위의 일정 시간 초과가 될 수도 있으며, 새로운 파일의 생성이 될 수도 있고, 파일의 변경이 될 수도 있을 것이다.
이와 같이 미러링 시스템(2000)에 보안디스크의 데이터를 백업함으로써 스토리지 암호화장치(300)에 연결된 메인 스토리지(200)의 파손 및 도난 시 보안디스크의 데이터를 용이하게 복원할 수 있는 이점을 갖는다. 메인 스토리지를 도난당한다 하더라도, 보안디스크는 디지털키와 임의의 암호화 방식에 의해 암호호화 되어 있으므로 메인 스토리지(200)의 보안디스크에 저장된 데이터를 활용할 수는 없을 것이다.
상기 설명에서는 본 발명에 따른 보안정보 저장 시스템의 구성을 설명하였다. 이하에서는 도 8을 참조하여 보안정보 저장 방법에 대해 설명한다.
도 8은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법을 나타낸 흐름도이다.
도 8을 참조하면, 본 발명의 복수의 스토리지를 이용한 보안정보 저장 방법은 보안디스크 생성 과정(S111)과 보안디스크 사용 과정(S113)으로 구성된다.
이하 도 9 내지 도 12를 참조하여 보안디스크 생성과정을 상세히 설명한다.
도 9는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 생성 방법을 나타낸 흐름도이다.
우선, 스토리지 암호화 장치(300)의 보안디스크 생성부(400)는 보안디스크 설정부(410)를 통해 보안디스크 생성 설정 사용자 인터페이스 수단을 사용자에게 제공하고(S211), 상기 보안디스크 생성 설정 사용자 인터페이스 수단을 통해 보안디스크 생성 요청이 발생되면(S213) 보안디스크 생성 설정 수단을 통해 입력되는 보안디스크 생성 설정 정보를 저장한다(S215). 상기 보안디스크 생성 설정 정보는 보안디스크의 보안식별정보, 보안디스크 암호화 방식, 메인 스토리지 지정, 서브 스토리지 개수 및 스토리지별 보안디스크의 시작 섹터, 보안디스크의 용량 등이 될 수 있을 것이다.
상기 보안디스크 생성 설정 정보가 저장되면 보안디스크 생성부(400)는 구성요소 완비 검사부(420)를 통해 보안정보 저장 시스템을 구성하기 위한 구성 요소가 완비되었는지를 검사한다(S217). 상기 구성 요소 완비 여부는 상기 보안디스크 생성 설정에서 설정된 개수의 메인 스토리지(200) 및 서브 스토리지(100)들 모두가 스토리지 암호화장치(300)에 연결되어 있는지의 여부에 의해 검사될 수 있을 것이다.
구성요소가 완비되었으면 스토리지 암호화 장치(300)의 보안디스크 생성부(400)는 메인 보안디스크 생성부(430)를 통해 상기 보안디스크 생성 설정 정보에 따라 메인 스토리지(200)에 보안디스크를 생성한다(S219).
상기 메인 스토리지(200)의 보안디스크가 생성되면 보안디스크 생성부(400)는 서브 보안디스크 생성부(440)를 통해 상기 보안디스크 생성 설정 정보에 따라 서브 스토리지(100)에 보안디스크를 생성한다(S221).
도 10은 본 발명에 따른 보안디스크 생성 방법의 구성요소 완비 검사 방법을 나타낸 흐름도로서, 상기 도 9의 S217 및 후술할 도 12의 S611의 구성요소 완비 검사 방법을 구체적으로 나타낸 흐름도이다.
우선, 보안디스크 생성부(400)는 보안디스크 생성 이벤트가 발생되는지를 검사한다(S311). 상기 보안디스크 생성 이벤트는 상술한 바와 같이 보안디스크 생성 요청 시 발생될 수도 있고, 보안디스크 재설정 시 발생될 수도 있을 것이다.
보안디스크 생성 이벤트가 발생되면 보안디스크 생성부(400)는 구성요소 완비 감시부(420)를 통해 도 8에서 설정된 개수의 메인 스토리지(200) 및 서브 스토리지(100)가 연결되어 있는지를 검사하고(S313), 설정된 스토리지들이 정상적으로 연결되어 있는지를 판단한다(S315).
검사 결과 설정된 스토리지들이 정상적으로 연결되어 있지 않으면 보안디스크 생성부(400)는 설정 개수의 메인 스토리지 및 서브 스토리지 중 적어도 하나 이상을 올바르게 연결할 것을 요청하는 설정 개수의 스토리지 연결 요청 메시지를 표시한(S317) 후, 미리 등록되어 있는 구성요소인 메인 및 서브 스토리지들의 스토리지 식별정보들에 의해 스토리지들의 정상 연결 여부를 판단한다.
설정 스토리지들이 정상적으로 연결되어 있으면 보안디스크 생성부(400)는 다음 과정을 수행할 것이다.
또한, 일정 횟수 또는 일정 시간 동안 설정된 스토리지들이 정상적으로 연결되지 않으면 보안디스크 생성부(400)는 보안디스크 생성과정을 종료하도록 구성될 수도 있을 것이다.
도 11은 본 발명에 따른 보안디스크 생성 방법의 메인 스토리지 보안디스크 생성 방법을 나타낸 흐름도이다.
도 11을 참조하면, 메인 보안디스크 생성부(430)는 고유 암호키 및 파괴키를 생성한다(S411, S413).
상기 암호키 및 파괴키가 생성되면 메인 보안디스크 생성부(430)는 상기 암호키 및 파괴키를 보안디스크의 디지털키에 할당하고(S415), 디지털키를 생성한(S417) 후, 디지털키 영역에 디지털키를 저장한다(S419).
상기 디지털키가 디지털키 영역에 저장되면 메인 보안디스크 생성부(430)는 보안디스크의 디지털키 영역을 제외한 보안 데이터 영역을 상기 설정된 암호화 방식에 의해 암호화한다(S421).
상기 고유 암호키, 파괴키, 디지털키 및 디지털키 영역 등에 대한 설명은 본원 출원인의 선행기술 1 및 선행기술 2에 상세하게 설명되어 있으므로 본 발명의 설명에서는 간략하게 설명한다.
상기 보안 데이터 영역이 암호화되면 보안디스크 생성부(430)는 디지털키, 파괴키, 보안디스크 생성 설정 정보 중 모든 메인 스토리지(200) 및 서브 스토리지(100)의 고유 식별정보, 상기 암호화 방식에 대한 암호화모듈 및 복호화모듈을 포함하는 디스크 보안 어플리케이션을 생성한다(S423).
상기 디스크 보안 어플리케이션이 생성되면 보안디스크 생성부(430)는 상기 디스크 보안 어플리케이션을 저장한다(S425). 상기 디스크 보안 어플리케이션은 메인 스토리지(200)의 보안디스크 이외의 영역 또는 다른 메인 스토리지(200) 및 연결된 서브 스토리지(100) 중 임의의 하나에 저장될 수 있되, 스토리지 암호화장치(300)에 연결된 상태에서 정상적으로 동작할 것이다.
또한, 본원 출원인의 선행기술 1 및 선행기술 2에서와 같이 디지털키 및 파괴키, 상기 암호화 방식에 대한 암호화모듈 및 복호화모듈을 포함하여 상기 보안디스크를 활성화하는 열쇠 어플리케이션과, 보안디스크 생성 설정 정보 중 모든 메인 스토리지(200) 및 서브 스토리지(100)의 고유 식별정보를 포함하는 디스크 보안 어플리케이션 둘 모두를 생성하고, 상기 열쇠 어플리케이션의 구동에 의해 상기 메인 보안디스크 활성 제어부(510)가 보안디스크를 활성화하고, 활성화된 보안디스크에서 상기 디스크 보안 어플리케이션을 구동하여 구성요소 완비 검사 및 복수의 스토리지를 이용한 보안정보 저장 동작을 수행하도록 구성될 수도 있을 것이다.
도 12는 본 발명에 따른 보안디스크 생성 방법의 서브 스토리지 보안디스크 생성 방법을 나타낸 흐름도로서, 도 9의 S219의 서브 스토리지 보안디스크 생성 방법을 구체적으로 나타낸 흐름도이다.
일반적으로 서브 스토리지(100)는 USB 메모리 등과 같은 휴대용 메모리일 것이다. 휴대용 메모리의 경우, 서브 보안디스크 생성부(440)는 고유의 기기 식별정보를 가지고 있지 않아 휴대용 메모리를 서브 스토리지(100)로 관리하기 위해 서브 스토리지(100)에 대한 고유의 식별정보를 생성하고, 생성된 고유의 식별정보( 또는 "서브 스토리지 식별정보"라 함)를 서브 스토리지(100)에 기록한다(S511).
서브 스토리지(100)에 서브 스토리지 식별정보가 기록되면 서브 보안디스크 생성부(440)는 서브 스토리지 식별정보를 메인 보안디스크 활성 제어부(510)에 의해 관리되는 보안정보 시스템 구성요소인 스토리지 정보를 저장하는 메인 스토리지(200)의 저장영역에 저장한다(S513).
서브 보안디스크 생성부(440)는 메인 보안디스크 생성 시와 동일하게 고유 암호키 및 파괴키를 생성한다(S514, S515).
암호키 및 파괴키가 생성되면 서브 보안디스크 생성부(440)는 디지털키 영역을 할당하고(S517), 상기 암호키, 파괴키를 포함하는 디지털키를 생성한(S519) 후, 상기 할당된 디지털키 영역에 저장한다(S521).
상기 디지털키가 저장되면 서브 보안디스크 생성부(440)는 디지털키, 파괴키를 포함하고, 암호화키를 포함하는 복호화모듈을 포함하는 서브 디스크 보안 어플리케이션을 생성한다(S523).
상기 서브 디스크 보안 어플리케이션이 생성되면 서브 보안디스크 생성부(440)는 생성된 서브 디스크 보안 어플리케이션을 서브 스토리지(100)에 저장한다(S525).
도 13은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 설정 방법을 나타낸 흐름도로서, 디스크 보안 어플리케이션부(500)의 메인 보안디스크 활성 제어부(510)에 의해 수행되는 흐름도이다.
도 13을 참조하면, 메인 보안디스크 활성 제어부(510)는 메인 보안디스크 서비스 실행부(511)의 구성요소 완비 검사부(5115)를 통해 구성요소 완비 검사를 수행한다(S611).
구성 요소 완비 검사에서 구성요소가 정상적으로 모두 연결되어 있는 것으로 판단되면 메인 보안디스크 서비스 실행부(511)는 보안디스크 설정 사용자 인터페이스 수단을 사용자에게 제공한다(S613).
보안디스크 설정 사용자 인터페이스 수단의 제공 후 메인 보안디스크 서비스 실행부(511)는 보안디스크 설정 저장 요청이 발생되는지를 검사한다(S615).
보안디스크 설정 저장 요청이 발생되면, 메인 보안디스크 서비스 실행부(511)는 상기 보안디스크 설정 사용자 인터페이스 수단을 통해 입력된 보안디스크 설정 정보를 반영하여 기존 보안디스크 설정 정보를 갱신한다(S617).
도 14는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 사용 방법을 나타낸 흐름도로서, 디스크 보안 어플리케이션부(500)에 의해 수행되는 흐름도이다.
디스크 보안 어플리케이션이 구동되면(S711), 디스크 보안 어플리케이션에 의해 활성화된 보안디스크 어플리케이션부(500)는 상기 구동된 디스크 보안 어플리케이션이 메인 디스크 보안 어플리케이션(메인 스토리지 모드)인지, 서브 디스크 보안 어플리케이션(서브 스토리지 모드)인지를 판단한다(S713, S715).
구동된 디스크 보안 어플리케이션이 메인 디스크 보안 어플리케이션이면 디스크보안 어플리케이션부(500)는 메인 보안디스크 활성 제어부(510)를 구동하여, 메인 보안디스크 활성 제어부(510)가 메인 스토리지(200)의 보안디스크를 활성화하도록 한다(S714).
보안디스크가 활성화되면 메인 보안디스크 활성 제어부(510)는 서브 스토리지(100)가 연결되어 있는지를 검사한다(S717).
서브 스토리지(100)가 연결되어 있지 않으면 메인 보안디스크 활성 제어부(510)는 복호화모듈을 구동한(S719) 후, 메인 스토리지(200)의 보안디스크에 저장되어 있는 파일들을 속성을 읽기 속성으로 설정한다(S721).
보안디스크에 저장된 파일들의 파일 속성이 읽기 속성으로 설정되면, 메인 보안디스크 활성 제어부(510)는 임의의 파일에 대한 오픈 명령이 발생되는지를 검사한다(S723). 파일 오픈은 파일의 생성, 파일의 읽기 시 발생할 수 있으나, 본 발명에 따라 키 역할을 하는 미리 구성요소로서 등록된 서브 스토리지(100)가 연결되어 있지 않으므로 파일의 읽기 시에만 발생될 것이다. 이는 메인 스토리지(200)의 보안디스크에 저장된 파일들은 읽기 속성으로만 읽을 수 있기 때문일 것이다.
파일 오픈이 발생되면 메인 보안디스크 활성 제어부(510)는 해당 파일을 읽기 속성으로 파일을 오픈한다(S725).
파일이 오픈되면 메인 보안디스크 활성 제어부(510)는 파일 쓰기(Writing) 요청이 발생되는지를 검사한다(S727).
파일 쓰기 명령이 발생되면 메인 보안디스크 활성 제어부(510)는 구성요소로서 등록된 서브 스토리지 식별정보에 대응하는 서브 스토리지(100)를 연결할 것을 요청하는 메시지를 표시한다(S729).
상기 표시 후, 메인 보안디스크 활성 제어부(510)는 서브 스토리지가 연결되는지를 검사한다(S730).
서브 스토리지(100)가 연결되지 않으면 메인 보안디스크 활성 제어부(510)는 보안디스크 해제 이벤트가 발생되는지를 검사하고(S731), 보안디스크 해제 이벤트가 발생되지 않으면 상기 파일을 쓰기 할 수 없음을 알리고 읽기 속성으로 계속해서 표시할 것이다.
그리고 보안디스크 해제 이벤트가 발생되면 메인 보안디스크 활성 제어부(510)는 보안디스크를 비활성화할 것이다(S732).
반면, 디스크 보안 어플리케이션이 서브 디스크 보안 어플리케이션이고 등록된 구성요소의 서브 스토리지(100)가 연결되어 있는 것으로 판단되면 메인 보안디스크 활성 제어부(510)는 서브 스토리지(100)의 보안디스크를 활성화하고(S733), 암호화모듈 및 복호화모듈을 모두 구동하며(S734), 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크에 저장되어 있는 파일을 읽기/쓰기 속성으로 설정한다(S735).
상기 보인디스크의 파일들의 속성 설정 후, 메인 보안디스크 활성 제어부(510)는 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크의 파일들 중 오픈, 닫힘, 저장 등의 명령에 대한 파일의 읽기 및 쓰기 처리를 수행하고, 읽기 및 쓰기 처리된 파일들에 대해 암호화 및 복호화를 수행한다(S737). 또한, 이때 보안디스크의 파일에 대한 복사 및 이동 명령이 발생하면 메인 보안디스크 활성 제어부(510)는 파일의 복사 및 이동을 허용할 것이다.
메인 보안디스크 활성 제어부(510)는 상기와 같이 파일의 읽기, 쓰기, 복사 및 이동 등의 파일 입출력 처리 수행 중 보안디스크 해제 이벤트가 발생되는지를 검사한다(S739).
보안디스크 해제 이벤트가 발생되면 메인 보안디스크 활성 제어부(510)는 메인 스토리지(200) 및 서브 스토리지(100)의 보안디스크를 비활성화할 것이다.
여기서는 서브 스토리지(100)의 보안디스크까지 활성화되는 경우를 설명하였으나, 서브 스토리지(100)의 보안디스크는 활성화되지 않을 수도 있고, 선택적으로 활성화되도록 구성될 수도 있을 것이다.
또한, 디스크 보안 어플리케이션이 서브 스토리지(100)에서 구동된 경우(S715), 디스크 보안 어플리케이션부(500)는 서브 보안디스크 활성 제어부(530)를 구동하여 서브 스토리지(100)의 보안디스크가 활성화되도록 한다(S743).
서브 스토리지의 보안디스크가 활성화되면 서브 보안디스크 활성 제어부(530)는 미리 등록되어 있는 구성요소의 메인 스토리지(200)가 연결되어 있는지를 검사한다(S745).
메인 스토리지(200)가 연결되어 있으면 서브 보안디스크 활성 제어부(530)는 암호화모듈 및 복호화모듈을 구동한다(S747). 상기 메인 스토리지(200)가 연결되어 있는 것으로 판단되었을 때, 상기 서브 보안디스크 활성 제어부(530)는 상기 메인 스토리지(200)의 보안디스크를 활성화시키도록 구성될 수도 있고, 메인 디스크 보안 어플리케이션의 구동을 요청하고, 이에 대한 메인 디스크 보안 어플리케이션의 구동에 의한 메인 보안디스크 활성 제어부(510)가 구동되도록 하여 상기 메인 보안디스크 활성 제어부(510)에 의해 메인 스토리지(200) 및 서브 스토리지(100)가 연결되었을 때와 동일한 제어동작을 수행하도록 할 수도 있을 것이다.
상기 서브 보안디스크 활성 제어부(530)는 암호화모듈 및 복호화모듈의 구동 후 서브 스토리지(100)의 보안디스크에 저장되어 있는 파일들에 읽기/쓰기 속성을 설정한(S749) 후, 서브 스토리지(100)의 보안디스크의 파일들 중 오픈, 닫힘, 저장 등의 명령에 대한 파일의 읽기 및 쓰기 처리와 상기 파일의 읽기 및 쓰기 처리를 수행하기 위한 파일의 암호화 및 복호화 처리를 수행한다(S750).
메인 스토리지(200)가 연결되어 있지 않으면(S745), 서브 보안디스크 활성 제어부(530)는 복호화모듈을 구동하고(S755), 서브 스토리지(100)의 보안디스크에 저장된 파일들에 대해 읽기 속성을 설정하며(S757), 오픈되는 파일에 대한 복호화 처리를 수행한다(S758).
도 15는 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 활성화 방법을 나타낸 흐름도이다.
보안디스크의 활성화 방법 자체는 본 출원인에 선출원된 선행기술 1 및 선행기술 2와 동일하게 적용될 수 있으므로 간략하게 설명한다.
메인 보안디스크 활성 제어부(510) 또는 서브 보안디스크 활성 제어부(530)는 보안식별정보를 입력할 것을 요청한다(S811).
상기 보안식별정보의 입력 요청 후 메인 보안디스크 활성 제어부(510)는 보안식별정보가 입력되는지를 검사하고(S813), 보안식별정보가 입력되면 미리 등록되어 있는 보안디스크 설정 정보의 보안식별정보와 비교하여 일치여부에 따른 인증 성공 여부를 판단한다(S815).
보안식별정보 인증에 성공했으면, 보안디스크의 디지털키 영역에 저장되어 있는 디시털키와 설정정보 저장부(512)의 디지털키 보관부(5121)에 저장되어 있는 디지털키와 비교하여 일치 여부에 따른 디지털키 인증을 수행하고, 디지털키 인증을 수행한다(S817).
메인 보안디스크 활성 제어부(510) 또는 서브 보안디스크 활성 제어부(530)는 디지털키 인증의 수행에 따른 성공 여부를 판단하고(S819), 성공 시 커널계층부(600)를 통해 보안디스크에 드라이브를 할당하여 탐색기에 마운트하여 활성화시킨다(S821).
도 16은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크의 파일 외부 반출 방법을 나타낸 흐름도이다.
본 발명은 메인 스토리지(200)의 보안디스크에 저장된 파일이 외부로 유출되지 않도록 미리 등록된 서브 스토리지(100)를 통해 읽기만 가능한 파일만을 외부로 가져갈 수 있다.
그러나 특정 담당자가 외부에서 파일의 내용을 변경해야 하는 경우 서브 스토리지(100)에 저장된 파일을 변경할 수 없으므로 파일을 새로 작성하여야 하므로 매우 불편할 수 있다.
이러한 점을 개선하기 위해 외부에서 파일의 변경을 필요로 하는 경우, 읽기 및 쓰기가 모두 가능하도록 기록이 남는 메일을 통해 외부로 반출할 수 있는 방법을 제시한다. 이메일, 웹하드 및 크라우드 중 어느 하나 이상을 통한 보안디스크의 파일 반출은 스토리지 암호화장치(300)에서만 수행되며, 메인 보안디스크 활성 제어부(510)에 의해만 처리되고, 서브 보안디스크 활성 제어부(530)를 통해서는 반출 처리를 수행할 수 없도록 구성되는 것이 바람직할 것이다.
도 16을 참조하면, 메인 보안디스크 활성 제어부(510)에 의해 메인 스토리지(200)의 보안디스크가 활성화되면(S911), 파일 외부 반출 처리부(5117)는 파일 첨부 이벤트가 발생되는지를 검사한다(S913). 상기 파일 첨부 이벤트는 의미 그대로 보안디스크에 저장되어 있는 파일이 메일, 웹하드 및 클라우드 중 어느 하나에 첨부 시도가 되는 경우 발생될 수 있고, 외부 반출 보안 파일 에이전트 생성 명령에 의해 발생될 수도 있을 것이다.
상기 이벤트가 발생되면 파일 외부 반출 처리부(5117)는 상술한 도 9의 구성요소 완비 검사를 수행하고, 구성요소가 완비된 경우(S915) 첨부할 파일을 선택할 것을 요청한다(S917).
상기 첨부할 파일의 선택 요청 후 파일 외부 반출 처리부(5117)는 파일이 선택되는지를 모니터링하고(S919), 파일이 선택되면 정책 설정 사용자 인터페이스 수단을 사용자에게 제공하여 정책을 설정할 것을 요청한다(S921).
상기 정책 설정의 요청 후 파일 외부 반출 처리부(5117)는 정책 설정 완료 명령이 입력되는지를 검사하고(S923), 정책 설정 완료 명령 입력 시 첨부할 상기 파일을 암호화하고, 상기 파일, 상기 파일을 암호화 및 복호화할 수 있는 암호화모듈/복호화모듈 및 정책정보를 포함하는 에이전트를 생성한다(S925). 상기 에이전트에는 사용자가 설정한 보안 식별정보가 포함되는 것이 바람직할 것이다.
상기 에이전트는 실행파일이 될 수 있으며, 포함된 파일을 사용자가 설정한 보안 식별정보에 의해 포함하고 있는 파일을 복호화모듈에 의해 복호화하여 표시하며, 변경 후 포함된 암호화모듈에 의해 다시 암호화하여 저장할 수 있도록 제어하는 어플리케이션이 될 수 있을 것이다.
상기 외부 반출 보안 파일 에이전트가 생성되면 외부 반출 처리부(5117)는 외부 반출 보안 파일 에이전트를 메일, 웹하드 및 클라우드 중 어느 하나에 첨부한다(S927).
도 17은 본 발명에 따른 복수의 스토리지를 이용한 보안정보 저장 방법의 보안디스크 파일 외부 반출 방법에 의해 반출된 파일 사용 방법을 나타낸 흐름도이다.
도 17을 참조하면, 메일, 웹하드 및 클라우드 중 어느 하나 이상으로 전송된 외부 반출 보안파일 에이전트를 다운로드 받아 실행하면(S1011), 상기 에이전트가 실행된 컴퓨터(이하 "에이전트 실행 장치"라 함)(700)의 에이전트 제어부(710)는 암호화부(711)를 통해 암호화된 파일을 복원하여 에이전트 실행 장치의 에이전트 저장부(720)의 반출파일 저장부(721)에 저장한다(S1013).
상기 파일이 복원되면 에이전트 제어부(710)는 정책 적용 정보 수집부(712)를 통해 파일정책 적용 정보를 수집한다(S1015). 상기 파일 정책 적용 정보는 현재의 시간 및 사용횟수 등이 될 수 있을 것이다. 상기 시간은 에이전트 실행 장치(700) 자체에서 카운트되는 타이머로부터 획득될 수 있고, 상기 사용횟수는 에이전트 저장부(720)의 정책정보 저장부(722)로부터 획득될 수 있을 것이다.
상기 파일 정책 적용 정보의 수집 후 에이전트 제어부(710)는 복원된 상기 파일이 오픈되는지를 검사한다(S1017). 상기 파일 오픈 요청은 에이전트 실행 장치(700)의 워드 프로세서 등과 같은 다른 프로세서들에 의해 발생될 수 있을 것이다.
상기 파일 오픈이 요청되면 에이전트 제어부(710)는 파일정책 적용 정보가 정책정보 저장부(722)에 설정되어 있는 파일 정책을 만족하는지를 판단한다(S1019).
판단결과, 파일정책 적용 정보가 설정된 파일 정책을 만족하지 않으면, 상기 복원된 파일을 삭제하고 상위 운영체계(OS)로 에이전트의 삭제를 요청한다(S1021).
반면, 설정된 파일 정책을 만족하면 에이전트 제어부(710)는 암호화부(711)를 통해 파일의 복호화를 수행하고(S1023), 상기 파일에 읽기/쓰기 속성을 설정하여(S1025) 상기 프로세서가 상기 파일을 오픈할 수 있도록 한다. 이때 상기 프로세서에 의한 다른 컴퓨터 또는 다른 저장장치로의 복사를 방지하도록 구성될 수도 있을 것이다.
파일이 오픈되면 에이전트 제어부(710)는 암호화 요청 이벤트가 발생되는지를 검사한다(S1027).
상기 암호화 요청 이벤트는 에이전트 사용자 인터페이스 수단을 통한 암호화 요청 발생 시 또는 상기 프로세서가 상기 파일을 닫는(Close) 경우 발생될 수 있을 것이다.
상기 암호화 요청 이벤트가 발생되면 에이전트 제어부(710)는 정책정보 저장부(722)의 파일정책 적용정보를 갱신한다(S1031). 예를 들어, 파일 사용횟수를 1 증가시킨다.
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
100: 서브 스토리지
200: 메인 스토리지
300: 스토리지 암호화장치
400: 보안디스크 생성부
410: 보안디스크 설정부
420: 구성요소완비 검사부
430: 메인 보안디스크 생성부
440: 서브 보안디스크 생성부
411: 보안디스크 설정부
412: 스토리지 연결 모니터링부
413: 메인 보안디스크 생성 처리부
414: 메인 디스크 보안 어플리케이션 생성부
430: 메인 보안디스크 생성부
431: 메인 보안디스크 생성 처리부
432: 메인 디스크 보안 어플리케이션 생성부
440: 서브 보안디스크 생성부
441: 서브보안디스크 생성 처리부
442: 서브 디스크 보안 어플리케이션 생성부
500: 디스크 보안 어플리케이션부
510: 메인 보안디스크 활성 제어부
511: 메인 보안디스크 서비스 실행부
512: 설정정보 저장부
530: 서브 보안디스크 활성 제어부
531: 서브 보안디스크 서비스 실행부
532: 서브 보안디스크 정보 저장부
600: 커널계층부
700: 에이전트 실행장치
1000: 보안정보 저장 시스템
2000: 미러링 시스템

Claims (10)

  1. 메인 스토리지;
    착탈할 수 있는 서브 스토리지; 및
    적어도 하나 이상의 상기 메인 스토리지 및 하나 이상의 서브 스토리지를 구성요소로서 각각의 개수 및 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하고, 생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나 이상의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하는 스토리지 암호화 장치를 포함하되,
    상기 스토리지 암호화 장치는,
    상기 메인 스토리지 및 서브 스토리지의 보안디스크를 드라이브로서 마운트시키고 상기 보안디스크로의 파일 출력 및 상기 보안디스크로부터의 파일 입력을 처리하는 커널계층부;
    상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 두 개의 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 보안디스크 생성부; 및
    생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나 이상의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하고, 상기 서브 스토리지가 두 개 모두 연결 시 상기 보안디스크의 보안디스크 설정 정보를 변경할 수 있도록 제어하는 디스크 보안 어플리케이션부를 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안정보 저장 시스템.
  2. 제1항에 있어서,
    상기 보안디스크 생성부는,
    보안디스크 설정 사용자 인터페이스 수단을 사용자에게 제공하고, 상기 보안디스크 설정 사용자 인터페이스 수단을 통해 상기 메인 스토리지를 선택받고, 상기 두 개의 서브 스토리지를 선택받아 상기 메인 스토리지 및 서브 스토리지의 개수 및 상기 스토리지 식별정보를 획득하여 저장하는 보안디스크 설정부;
    상기 보안디스크 설정부를 통해 설정된 스토리지 식별정보에 대한 한 개의 메인 스토리지 및 두 개의 서브 스토리지에 대한 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결되어 있는지를 검사하는 구성요소 완비 검사를 수행하는 구성요소 완비 검사부;
    상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성하는 서브 보안디스크 생성부; 및
    상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성한 후 상기 서브 보안디스크 생성부로 서브 보안디스크를 생성할 것을 지시하고, 상기 서브 스토리지의 보안디스크 생성 후 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 메인 보안디스크 생성부를 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안정보 저장 시스템.
  3. 제2항에 있어서,
    상기 메인 보안디스크 생성부는,
    상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성한 후 상기 서브 보안디스크 생성부로 서브 보안디스크를 생성할 것을 지시하는 메인 보안디스크 생성 처리부; 및
    상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈, 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보, 및 상기 파일의 암호화 방식 및 상기 보안디스크의 활성화 및 비활성화하기 위한 보안식별정보를 포함하는 보안정책을 포함하는 디스크 보안 어플리케이션을 생성하는 메인 디스크 보안 어플리케이션부를 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안정보 저장 시스템.
  4. 제3항에 있어서,
    상기 메인 보안디스크 생성 처리부는,
    상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 파일을 저장하는 보안 데이터 영역과 디지털, 파괴키, 보안디스크를 암호화하기 위한 암호화 방식 정보를 포함하는 정책정보를 포함하는 디지털키 영역을 포함하는 보안디스크를 생성하는 보안디스크 구성부; 및
    상기 디지털키의 상기 정책정보의 암호화 방식에 따라 파일을 암호화하는 암호화모듈 및 상기 암호화된 파일을 복호하는 복호화모듈을 생성하는 암호화부를 포함하되,
    상기 디스크 보안 어플리케이션부는,
    상기 디지털키를 포함하며, 상기 디지털키에 의해 상기 보안디스크의 위치를 찾고 상기 보안디스크를 활성화 및 비활성화하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안정보 저장 시스템.
  5. 제2항에 있어서,
    상기 서브 보안디스크 생성부는,
    상기 구성요소 완비 검사부를 통해 구성 요소가 모두 구성되어 있는 것으로 판단되면 서브 스토리지에 보안디스크를 생성하고, 상기 보안디스크를 읽기 속성으로 설정하는 서브 보안디스크 생성 처리부; 및
    상기 서브 스토리지의 보안디스크에 암호화되어 저장되어 있는 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 서브 디스크 보안 어플리케이션을 생성하여 상기 서브 스토리지에 저장되는 서브 디스크 보안 어플리케이션부 생성부를 포함하되,
    상기 서브 디스크 보안 어플리케이션은 상기 서브 스토리지의 보안디스크 이외의 영역에 저장되어 서브 스토리지가 연결된 컴퓨터를 통한 사용자의 실행 요청 발생 시 실행되도록 구성되는 것을 특징으로 하는 복수의 스토리지를 이용한 보안정보 저장 시스템.
  6. 제1항에 있어서,
    상기 디스크 보안 어플리케이션부는,
    상기 구성요소인 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 저장하는 구성요소 식별정보 저장부 및 상기 정책정보를 저장하는 정책정보 저장부를 구비하는 설정정보 저장부; 및
    상기 설정정보 저장부의 스토리지 식별정보에 대응하는 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나 이상의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하고, 상기 서브 스토리지가 둘 모두 연결 시 상기 보안디스크의 보안디스크 설정 정보를 변경할 수 있도록 제어하는 메인 보안디스크 서비스 실행부를 구비하는 메인 보안디스크 활성 제어부를 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안 정보 저장 시스템.
  7. 제6항에 있어서,
    상기 메인 보안 디스크 서비스 실행부는,
    상기 등록된 스토리지 식별정보에 의해 구성요소 전부가 연결되어 있는 지 일부만 연결되어 있는지를 검사하는 구성요소 완비 검사부;
    상기 구성요소 완비 검사부에서 수행된 구성요소 완비 검사 결과에 따라 연결된 메인 스토리지 및 서브 스토리지 중 하나 이상의 보안디스크에 저장되어 있는 파일들에 대한 속성을 설정하는 입출력 파일 설정부;
    상기 보안디스크에 저장되는 파일을 암호화하고, 상기 보안디스크로부터 읽혀지는 파일을 복호화하는 암호화부;
    상기 보안 디스크 어플리케이션 실행 시 보안디스크를 가지는 메인 스토리지 및 서브 스토리지를 찾고, 연결된 스토리지에서 보안디스크를 찾으며, 찾아진 보안디스크를 드라이브에 마운트하여 활성화시키고, 비활성화 요청 발생 시 상기 마운트된 드라이브를 제거하여 상기 보안디스크를 비활성화시키는 보안디스크 활성화부를 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안 정보 저장 시스템.
  8. 제7항에 있어서,
    상기 메인 보안 디스크 서비스 실행부는,
    상기 메인 스토리지 및 서브 스토리지에 중 하나의 보안디스크에 저장되어 있는 파일의 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 첨부 이벤트 발생 시 상기 구성요소 완비 검사부를 통해 메인 스토리지 및 적어도 하나 이상의 서브 스토리지가 연결되어 있으면 상기 첨부하고자 하는 암호화된 파일, 상기 파일을 복호하는 복호화모듈, 상기 복호된 파일을 다시 암호화하는 암호화모듈, 상기 파일의 사용을 제한하는 보안정책을 포함하는 에이전트를 생성한 후, 상기 생성된 에이전트를 이메일, 웹하드 및 클라우드 중 어느 하나에 첨부하는 파일 외부 반출 처리부를 더 포함하되,
    상기 보안정책은 일정 기간 동안만 상기 파일을 사용할 수 있도록 하는 타임스탬프 정책 및 상기 파일을 일정 횟수로만 사용할 수 있도록 하는 사용횟수 제한 정책 중 적어도 하나 이상을 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안 정보 저장 시스템.
  9. 제7항 또는 제8항에 있어서,
    상기 메인 보안 디스크 서비스 실행부는,
    미리 설정된 미러링 조건을 만족하는지를 검사하고, 미러링 조건의 만족 시 상기 메인 스토리지 및 서브 스토리지 중 연결된 하나 이상의 스토리지의 보안디스크에 저장된 파일을 네트워크를 통해 연결된 미러링 시스템으로 백업하여 상기 보안디스크에 저장된 파일들과 동일한 파일들이 상기 미러링 시스템에 구성되도록 하는 미러링 처리부를 더 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안 정보 저장 시스템.
  10. 적어도 하나 이상의 메인 스토리지 및 하나 이상의 서브 스토리지를 구성요소로서 각각의 개수 및 스토리지 식별정보를 획득하고, 상기 획득된 스토리지 식별정보의 메인 스토리지 및 서브 스토리지가 연결된 상태에서 상기 메인 스토리지 및 서브 스토리지에 보안디스크를 생성하며, 상기 보안디스크에 저장되는 파일을 암호화하는 암호화모듈, 상기 암호화된 파일을 복호하는 복호화모듈 및 상기 메인 스토리지 및 서브 스토리지의 스토리지 식별정보를 포함하는 디스크 보안 어플리케이션을 생성하는 보안디스크 생성 과정; 및
    생성된 상기 디스크 보안 어플리케이션의 실행에 의해 상기 구성요소인 메인 스토리지 및 서브 스토리지의 접속 여부 및 서브 스토리지의 접속 개수에 따라 상기 보안디스크에 저장된 파일들의 속성을 다르게 설정하고, 적어도 하나 이상의 메인 스토리지 및 적어도 하나 이상의 서브 스토리지 연결 시 상기 메인 스토리지 및 서브 스토리지의 보안디스크에 저장된 파일들을 변경 및 삭제할 수 있도록 제어하는 보안디스크 사용 과정을 포함하는 것을 특징으로 하는 복수의 스토리지를 이용한 보안 정보 저장 방법.
KR1020190125757A 2019-10-11 2019-10-11 복수의 스토리지를 이용한 보안정보 저장 시스템 KR102305680B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190125757A KR102305680B1 (ko) 2019-10-11 2019-10-11 복수의 스토리지를 이용한 보안정보 저장 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190125757A KR102305680B1 (ko) 2019-10-11 2019-10-11 복수의 스토리지를 이용한 보안정보 저장 시스템

Publications (2)

Publication Number Publication Date
KR20210043069A true KR20210043069A (ko) 2021-04-21
KR102305680B1 KR102305680B1 (ko) 2021-09-27

Family

ID=75743939

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190125757A KR102305680B1 (ko) 2019-10-11 2019-10-11 복수의 스토리지를 이용한 보안정보 저장 시스템

Country Status (1)

Country Link
KR (1) KR102305680B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090067649A (ko) 2007-12-21 2009-06-25 삼성전자주식회사 보안 저장 장치를 갖는 메모리 시스템 및 그것의 보안 영역관리 방법
KR101442539B1 (ko) * 2013-12-31 2014-09-26 권용구 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
KR101760617B1 (ko) * 2016-01-13 2017-07-31 젠무테크 가부시키가이샤 컴퓨터 프로그램, 비밀관리방법 및 시스템

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090067649A (ko) 2007-12-21 2009-06-25 삼성전자주식회사 보안 저장 장치를 갖는 메모리 시스템 및 그것의 보안 영역관리 방법
KR101442539B1 (ko) * 2013-12-31 2014-09-26 권용구 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
KR101760617B1 (ko) * 2016-01-13 2017-07-31 젠무테크 가부시키가이샤 컴퓨터 프로그램, 비밀관리방법 및 시스템

Also Published As

Publication number Publication date
KR102305680B1 (ko) 2021-09-27

Similar Documents

Publication Publication Date Title
KR101760617B1 (ko) 컴퓨터 프로그램, 비밀관리방법 및 시스템
KR101442539B1 (ko) 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
CN103617399B (zh) 一种数据文件保护方法及装置
EP1953670A2 (en) System and method of storage device data encryption and data access
KR20080071529A (ko) 하드웨어 키를 통하여 저장장치 데이터의 암호화 및억세스를 수행하는 장치 및 방법
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
JP6511161B2 (ja) データファイルの保護
CN104361291B (zh) 数据处理方法和装置
WO2009056570A1 (en) Method and apparatus for restoring encrypted files to an encrypting file system based on deprecated keystores
US10733306B2 (en) Write-only limited-read filesystem
CN103425938B (zh) 一种类Unix操作***的文件夹加密方法和装置
JP5511925B2 (ja) アクセス権付き暗号化装置、アクセス権付き暗号システム、アクセス権付き暗号化方法およびアクセス権付き暗号化プログラム
US11068607B2 (en) Protecting cognitive code and client data in a public cloud via deployment of data and executables into a secure partition with persistent data
CN111177773A (zh) 一种基于网卡rom的全盘加解密方法及***
US10380353B2 (en) Document security in enterprise content management systems
US8806226B2 (en) Automatic virtualization medium, automatic virtualization method, and information processing apparatus
US10685106B2 (en) Protecting cognitive code and client data in a public cloud via deployment of data and executables into a stateless secure partition
KR102305680B1 (ko) 복수의 스토리지를 이용한 보안정보 저장 시스템
JP4600021B2 (ja) 暗号化データアクセス制御方法
CN111190695A (zh) 一种基于鲲鹏芯片的虚拟机保护方法及装置
Snyder Some security alternatives for encrypting information on storage devices
CN115836291A (zh) ***生成的数据集加密密钥
JP2004336344A (ja) 暗復号化装置
KR101371031B1 (ko) 드라이브 기반 파일 보안 시스템
CN117235772B (zh) 数据处理方法、装置、计算机设备及介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant