KR101473656B1 - 모바일 데이터 보안 장치 및 방법 - Google Patents

모바일 데이터 보안 장치 및 방법 Download PDF

Info

Publication number
KR101473656B1
KR101473656B1 KR1020130001432A KR20130001432A KR101473656B1 KR 101473656 B1 KR101473656 B1 KR 101473656B1 KR 1020130001432 A KR1020130001432 A KR 1020130001432A KR 20130001432 A KR20130001432 A KR 20130001432A KR 101473656 B1 KR101473656 B1 KR 101473656B1
Authority
KR
South Korea
Prior art keywords
security
token
data
update
information
Prior art date
Application number
KR1020130001432A
Other languages
English (en)
Other versions
KR20140089703A (ko
Inventor
문성건
장상근
박세현
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020130001432A priority Critical patent/KR101473656B1/ko
Priority to PCT/KR2014/000081 priority patent/WO2014107060A1/ko
Publication of KR20140089703A publication Critical patent/KR20140089703A/ko
Application granted granted Critical
Publication of KR101473656B1 publication Critical patent/KR101473656B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 모바일 데이터 보안 장치 및 방법에 관한 것이다. 개시된 모바일 데이터 보안 장치는 보안용 토큰의 생성에 사용된 부가정보 및 시드를 상기 보안용 토큰과 함께 서버단으로부터 획득하며, 상기 보안용 토큰을 사용하여 데이터의 암호화 또는 복호화를 요청하는 데이터 보안 제어부와, 상기 데이터 보안 제어부로부터 제공받은 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하며, 상기 데이터의 암호화 또는 복호화가 요청되면 상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 데이터 보안 처리부를 포함한다. 따라서, 모바일 단말장치에서의 악성 행위로부터 격리되서 동작하는 서버단과의 협업을 통해 데이터의 보안성을 보장하기 때문에 사전 공격 등의 위협으로부터 정보 변조를 막을 수 있으며, 기 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트가 이루어지기 때문에 암호화 및 복호화를 위한 관련 정보가 노출된 경우에도 데이터의 보안성을 보장하는 이점이 있다.

Description

모바일 데이터 보안 장치 및 방법{METHOD AND APPARATUS FOR SECURITY OF MOBILE DATA}
본 발명은 모바일 데이터 보안에 관한 것으로서, 더욱 상세하게는 모바일 단말장치에서 보안이 요구되는 중요 데이터를 안전하게 저장할 수 있도록 지원하는 모바일 데이터 보안 장치 및 방법에 관한 것이다.
근래에 들어 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로 인하여 단순한 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등의 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰(smartphone)은 모바일 운영체제에서 동작하는 다양한 애플리케이션 프로그램을 설치할 수 있으며, 이러한 이유로 사용자들은 스마트폰을 여러 가지의 용도로 이용하고 있다.
스마트폰에는 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재되며, 각종 모바일 운영체제에서 실행 가능한 애플리케이션 프로그램의 개발이 활발히 이루어지고 있다.
이러한 스마트폰 등과 같은 모바일 단말장치는 기기의 특성 상 개인정보 및 금융정보, 또는 게임머니 등과 같은 민감한 데이터를 많이 가지며, 항상 이들 정보의 유출 위협에 노출되어 있다. 따라서, 이러한 모바일 단말장치에는 보안이 요구되는 중요 데이터를 안전하게 저장할 수 있는 방안이 모색되어야 한다.
종래 기술에 따르면 이동형 저장 장치의 파티션을 암호화된 보안 파티션과 일반 파티션으로 나누고, 보안 파티션을 보호하기 위해 마스터 부트 레코드에 특정 코드를 삽입하며, 보안 파티션이 정보를 암호화 및 복호화할 때에는 비밀번호의 해쉬값을 이용하고, 복호화 시에 정당한 사용자임이 인증되면 암호화된 보안 파티션의 정보를 일반 파티션 테이블에 복호화하여 저장하였다.
그러나, 이러한 종래 기술에 의하면 보안 처리가 이동형 저장 장치의 단독으로 수행되기 때문에 이동형 저장 장치가 악성 주체에 의해 장악된 경우라면 데이터의 보안성을 보장할 수 없었으며, 암호화 및 복호화를 위한 비밀번호가 노출된 경우에 데이터의 보안성을 보장할 수 없는 문제점이 있었다.
한국 등록특허공보 제0956255호, 공고일자 2010년 5월 6일.
본 발명의 실시예는, 모바일 단말장치에서의 악성 행위로부터 격리되서 동작하는 서버단과의 협업을 통해 데이터의 보안성을 보장하며, 암호화 및 복호화를 위한 관련 정보가 노출된 경우에도 데이터의 보안성을 보장하는 모바일 데이터 보안 장치 및 방법을 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 제 1 관점에 따른 모바일 데이터 보안 장치는, 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 상기 보안용 토큰과 함께 서버단으로부터 획득하며, 상기 보안용 토큰을 사용하여 데이터의 암호화 또는 복호화를 요청하는 데이터 보안 제어부와, 상기 데이터 보안 제어부로부터 제공받은 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하며, 상기 데이터의 암호화 또는 복호화가 요청되면 상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 데이터 보안 처리부를 포함할 수 있다.
여기서, 상기 데이터 보안 제어부는, 상기 서버단에게 상기 보안용 토큰의 발급을 요청할 때에 상기 부가정보에 포함될 식별정보를 제공할 수 있다. 상기 식별정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용할 수 있다. 상기 응용 프로그램 정보는, 패키지 명 또는 서명을 포함할 수 있다. 상기 부가정보는, 시각 정보, 논스(nonce) 또는 상기 데이터 보안 처리부에 의한 생성값 중 어느 하나를 포함할 수 있다. 상기 데이터 보안 처리부는, 상기 서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하며, 상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하고, 상기 갱신 토큰을 이용하여 상기 데이터를 암호화할 수 있다. 상기 데이터 보안 처리부는, 보안 업데이트를 요청하여 상기 서버단으로부터 상기 갱신 부가정보 및 상기 갱신 시드를 획득할 수 있다. 상기 데이터 보안 처리부는, 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리할 수 있다.
본 발명의 제 2 관점에 따른 모바일 데이터 보안 방법은, 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 수신하는 단계와, 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하는 단계와, 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 상기 검증용 토큰을 비교하는 단계와, 상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 단계를 포함할 수 있다.
여기서, 상기 부가정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 식별정보로 포함할 수 있다. 상기 응용 프로그램 정보는 패키지 명 또는 서명을 포함할 수 있다. 상기 부가정보는 시각 정보 또는 논스(nonce)을 포함할 수 있다. 서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하는 단계와, 상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하는 단계와, 상기 갱신 토큰을 이용하여 상기 데이터를 암호화하는 단계를 더 포함할 수 있다. 상기 갱신 부가정보 및 갱신 시드를 획득하기 위해 상기 서버단에게 보안 업데이트를 요청하는 단계를 더 포함할 수 있다. 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리할 수 있다.
본 발명의 제 3 관점에 따르면 상기 모바일 데이터 보안 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 제공할 수 있다.
본 발명의 실시예에 따르면, 모바일 단말장치에서의 악성 행위로부터 격리되서 동작하는 서버단과의 협업을 통해 데이터의 보안성을 보장하기 때문에 사전 공격(dictionary attack) 등의 위협으로부터 정보 변조를 막을 수 있다.
또한, 기 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트가 이루어지기 때문에 암호화 및 복호화를 위한 관련 정보가 노출된 경우에도 데이터의 보안성을 보장하는 효과가 있다.
도 1은 본 발명의 실시예에 따른 모바일 데이터 보안 장치를 포함하는 모바일 단말장치, 그리고 보안 서버장치의 블록 구성도이다.
도 2는 본 발명의 실시예에 따른 모바일 데이터 보안 장치에 의한 보안 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 모바일 데이터 보안 장치를 포함하는 모바일 단말장치, 그리고 보안 서버장치의 블록 구성도이다.
이에 나타낸 바와 같이 본 발명의 실시예에 따르면, 모바일 단말장치(100)와 보안 서버장치(200)가 서로 물리적으로 격리되어 동작하며, 모바일 단말장치(100)는 보안 서버장치(200)와의 무선 통신을 통한 협업을 통해 데이터의 보안성을 보장한다.
모바일 단말장치(100)는 메모리부(110), 디스플레이부(120), 네트워킹부(130), 보안 메모리부(140), 데이터 보안 처리부(410)를 포함하며, 응용 서비스부(310) 및 데이터 보안 제어부(320)를 포함하는 응용 프로그램부(300)를 더 포함할 수 있다. 여기서, 데이터 보안 제어부(320)와 데이터 보안 처리부(410)는 본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이룬다. 보안 서버장치(200)는 보안 서비스부(210) 및 토큰 발급부(220)를 포함한다.
응용 프로그램부(300)의 응용 서비스부(310)는 디스플레이부(120)를 통해 사용자와 인터페이스하여 금융거래 서비스, 게임 서비스 등과 같은 고유의 응용 서비스를 제공한다.
응용 프로그램부(300)의 데이터 보안 제어부(320)는 응용 서비스부(310)에 의한 응용 서비스에 의해 발생되는 데이터의 암호화 및 복호화를 통해 보안성을 제공한다. 이를 위해, 데이터 보안 제어부(320)는 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 보안용 토큰과 함께 보안 서버장치(200)로부터 네트워킹부(130)를 통해 획득하며, 보안용 토큰을 사용하여 데이터 보안 처리부(410)에게 데이터의 암호화 또는 복호화를 요청한다.
아울러, 데이터 보안 제어부(320)는 보안 서버장치(200)에게 보안용 토큰의 발급을 요청할 때에 부가정보에 포함될 식별정보를 제공하며, 식별정보는 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용한다. 여기서, 응용 프로그램 정보는 패키지 명(package name) 또는 서명(signature)을 포함한다.
한편, 이러한 데이터 보안 제어부(320)는 데이터 보안 처리부(410)와 함께 본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이룬다.
모바일 데이터 보안 장치(500)의 데이터 보안 처리부(410)는 데이터 보안 제어부(320)로부터 제공받은 시드 및 부가정보를 바탕으로 검증용 토큰을 생성하며, 데이터 보안 제어부(320)에 의해 데이터의 암호화 또는 복호화가 요청되면 보안용 토큰과 검증용 토큰이 일치하는 경우에 요청된 암호화 또는 복호화를 처리한다. 여기서, 데이터 보안 처리부(410)는 암호화된 데이터를 보안 메모리부(140)에 저장한다. 예컨대, 메모리부(110)와 보안 메모리부(140)는 물리적으로 분리되게 구비할 수 있으며, 하나의 메모리에 메모리부(110)와 보안 메모리부(140)가 함께 위치하는 경우에는 특정 영역을 암호화 처리를 위한 보안 메모리부(140)로 할당하고, 보안 메모리부(140)에 저장된 데이터는 메모리 스캔으로 원하는 정보를 찾지 못하도록 한다.
아울러, 데이터 보안 처리부(410)는 보안 업데이트를 요청하여 보안 서버장치(200)로부터 갱신 부가정보 및 갱신 시드를 획득하며, 갱신 부가정보 및 갱신 시드를 바탕으로 갱신 토큰을 생성하고, 갱신 토큰을 이용하여 데이터를 암호화 한다. 예컨대, 이러한 데이터 보안 처리부(410)는 보안 업데이트를 주기적으로 요청하여 갱신 토큰을 이용한 데이터의 암호화를 주기적으로 처리한다.
보안 서버장치(200)의 보안 서비스부(210)는 모바일 단말장치(100)와의 통신을 수행하며, 모바일 단말장치(100)에 의한 각종 요청 및 전송 정보를 토큰 발급부(220)에게 제공하며, 토큰 발급부(220)에 의해 생성된 시드 및 토큰과 부가정보를 모바일 단말장치(100)에게 전송한다.
보안 서버장치(200)의 토큰 발급부(220)는 모바일 데이터 보안 장치(500)의 데이터 보안 제어부(320)로부터 토큰 발급이 요청되면 보안용 토큰을 생성하며, 보안용 토큰의 생성에 사용된 부가정보 및 시드를 보안용 토큰과 함께 데이터 보안 제어부(320)에게 전송한다. 아울러, 토큰 발급부(220)는 데이터 보안 처리부(410)에 의해 보안 업데이트가 요청되면 갱신 토큰을 생성하며, 갱신 토큰의 생성에 이용된 갱신 부가정보 및 갱신 시드를 데이터 보안 처리부(410)에게 전송하고, 갱신 토큰과 갱신 시드 및 부가정보를 데이터 보안 제어부(320)에게 전송한다.
여기서, 토큰 발급부(220)가 토큰의 발급시에 사용하는 부가정보는 식별정보를 포함하며, 예컨대 식별정보는 모바일 단말장치(100)로부터 제공받은 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용할 수 있다. 또한, 토큰의 발급시에 사용하는 부가정보는 시각 정보, 논스(nonce) 또는 데이터 보안 처리부(410)에 의한 생성값을 포함할 수 있다.
도 2는 본 발명의 실시예에 따른 모바일 데이터 보안 장치에 의한 보안 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 모바일 데이터 보안 방법은, 데이터 보안 제어부(320)가 토큰 발급부(220)에게 토큰의 발생을 요청하는 단계(S601 내지 S603)와, 토큰 발급부(220)가 보안용 토큰을 생성한 후에 보안용 토큰의 생성에 사용된 부가정보 및 시드와 함께 보안용 토큰을 데이터 보안 제어부(320)에게 전송하는 단계(S605 내지 S609)와, 데이터 보안 처리부(410)가 데이터 보안 제어부(320)로부터 수신된 시드 및 부가정보를 바탕으로 검증용 토큰을 생성하는 단계(S611 및 S613)와, 데이터 보안 처리부(410)가 데이터의 암호화 또는 복호화를 요청 받으면 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 검증용 토큰을 비교하는 단계(S615 및 S617)와, 보안용 토큰과 검증용 토큰이 일치하는 경우에 요청된 암호화 또는 복호화를 처리하는 단계(S619 및 S621)와, 데이터 보안 처리부(410)가 토큰 발급부(220)에게 보안 업데이트를 주기적으로 요청하는 단계(S623 및 S625)와, 토큰 발급부(220)가 갱신 토큰을 생성한 후에 갱신 토큰에 사용된 갱신 부가정보와 갱신 시드를 데이터 보안 처리부(410)에게 전송하면서 데이터 보안 제어부(320)에는 갱신 부가정보와 갱신 시드를 갱신 토큰과 함께 전송하는 단계(S627 내지 S631)와, 데이터 보안 처리부(410)가 갱신 시드 및 갱신 부가정보를 바탕으로 갱신 토큰을 생성한 후에 기 암호화되어 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트를 주기적으로 처리하는 단계(S633 및 S635)를 포함한다.
이하, 도 1 및 도 2를 참조하여 모바일 단말장치(100)와 보안 서버장치(200)가 무선 통신을 통한 협업을 통해 데이터에 대한 보안 서비스를 제공하는 과정을 좀 더 자세히 살펴보기로 한다.
본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이루는 데이터 보안 제어부(320)와 데이터 보안 처리부(410)는 하드웨어로 구현할 수도 있으며, 소프트웨어로도 구현할 수 있다. 여기서, 소프트웨어로 구현한 경우라면 데이터 보안 처리부(410)는 모바일 단말장치(100)에 미리 설치되거나 데이터 보안 제어부(320)와 함께 응용 프로그램부(300)의 설치 시에 함께 설치될 수 있다. 예컨대, 응용 프로그램부(300)는 안드로이드 기반의 운영체제를 사용하는 스마트폰에서 apk 파일을 이용하여 응용 프로그램을 설치하는 과정 등과 같이 응용 프로그램 형태로 설치될 수 있으며, 이때 응용 프로그램부(300)와 함께 데이터 보안 처리부(410)에 해당하는 프로그램이 함께 설치될 수 있다.
먼저, 데이터 보안 제어부(320)는 데이터의 보안을 위해 네트워킹부(130)를 통해 보안 서비스부(210)에게 토큰의 발급을 요청하며(S601), 보안 서비스부(210)는 토큰 발급부(220)에게 토큰 발급 요청을 전달한다(S603).
그리고, 토큰 발급부(220)는 보안용 토큰을 생성(S605)한 후에 보안용 토큰의 생성에 사용된 부가정보 및 시드와 함께 보안용 토큰을 네트워킹부(130)를 통해 데이터 보안 제어부(320)에게 전송하며(S607), 데이터 보안 제어부(320)는 시드와 함께 부가정보를 데이터 보안 처리부(410)에게 제공한다(S609).
그러면, 데이터 보안 처리부(410)는 데이터 보안 제어부(320)로부터 수신된 시드 및 부가정보를 바탕으로 검증용 토큰을 생성한다(S613).
이처럼, 데이터 보안 처리부(410)가 검증용 토큰을 생성한 상태에서 데이터 보안 제어부(320)는 데이터 보안 처리부(410)에게 데이터의 암호화 또는 복호화를 요청할 수 있으며, 이러한 암호화 또는 복호화의 요청 시에는 보안용 토큰을 사용한다(S615).
그러면, 데이터 보안 처리부(410)는 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 검증용 토큰을 비교하며(S617), 보안용 토큰과 검증용 토큰이 일치하는 경우에 요청된 암호화 또는 복호화를 처리한다(S621). 하지만, 보안용 토큰과 검증용 토큰이 불일치한 경우에는 데이터 보안 제어부(320)에게 토큰 불일치 상태를 알려준다(S619). 여기서, 암호화 처리된 데이터는 메모리부(110)에 저장하지 않고 보안 메모리부(140)에 저장한다. 따라서, 일반적인 메모리 스캔을 통해서는 암호화 데이터 정보를 찾지 못한다.
한편, 데이터 보안 처리부(410)는 데이터의 보안성을 향상시키기 위해 보안 서비스부(210)에게 보안 업데이트를 주기적으로 요청하며(S623), 보안 서비스부(210)는 토큰 발급부(220)에게 보안 업데이트 요청을 전달한다(S625).
그러면, 토큰 발급부(220)는 갱신 토큰을 생성한 후에 갱신 토큰에 사용된 갱신 부가정보와 갱신 시드를 데이터 보안 처리부(410)에게 전송하며(S629), 데이터 보안 제어부(320)에는 갱신 부가정보와 갱신 시드를 갱신 토큰과 함께 전송하여 데이터의 암호화 또는 복호화 요청 시에 사용할 수 있도록 한다(S631).
이후, 데이터 보안 처리부(410)는 갱신 시드 및 갱신 부가정보를 바탕으로 갱신 토큰을 생성하며(S633), 기 암호화되어 보안 메모리부(140)에 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트를 주기적으로 처리한다(S635).
이상의 설명과 같이 본 발명의 실시예에 의하면, 모바일 단말장치(100)에서의 악성 행위로부터 격리되서 동작하는 보안 서버장치(200)와의 협업을 통해 데이터의 보안성을 보장하기 때문에 보안 메모리부(140)에 저장된 데이터를 사전 공격(dictionary attack) 등의 위협으로부터 보호할 수 있다. 또한, 기 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트가 이루어지기 때문에 암호화 및 복호화를 위한 관련 정보가 일시 노출된 경우에도 새로운 암호화에 의해 노출된 관련 정보가 무용지물이 되기 때문에 데이터의 보안성이 보장된다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 모바일 단말장치 200 : 보안 서버장치
210 : 보안 서비스부 220 : 토큰 발급부
300 : 응용 프로그램부 310 : 응용 서비스부
320 : 데이터 보안 제어부 410 : 데이터 보안 처리부
500 : 모바일 데이터 보안 장치

Claims (16)

  1. 보안 서버장치와는 서로 물리적으로 격리되어 동작하는 모바일 단말장치에 포함되는 모바일 데이터 보안 장치로서,
    상기 모바일 단말장치는,
    메모리부와 보안 메모리부가 물리적으로 분리되게 구비되거나, 하나의 메모리에 상기 메모리부와 상기 보안 메모리부가 함께 위치하는 경우에는 특정 영역이 암호화 처리를 위한 상기 보안 메모리부로 할당되며,
    상기 모바일 데이터 보안 장치는,
    상기 보안 서버장치로부터 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 상기 보안용 토큰과 함께 획득하며, 상기 보안용 토큰을 사용하여 데이터의 암호화 또는 복호화를 요청하는 데이터 보안 제어부와,
    상기 데이터 보안 제어부로부터 제공받은 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하며, 상기 데이터의 암호화 또는 복호화가 요청되면 상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하고, 암호화 처리된 데이터는 상기 메모리부에 저장하지 않고 상기 보안 메모리부에 저장하여 메모리 스캔을 통해서 암호화 데이터 정보를 찾지 못하게 하며, 상기 보안 서버장치로부터 갱신 부가정보 및 갱신 시드가 전송되면 상기 갱신 부가정보 및 갱신 시드를 사용하여 갱신 토큰을 생성한 후에 상기 보안 메모리부에 기 저장된 데이터를 상기 갱신 토큰을 이용하여 다시 암호화하는 데이터 보안 처리부를 포함하는 모바일 데이터 보안 장치.
  2. 제 1 항에 있어서,
    상기 데이터 보안 제어부는, 상기 보안 서버장치에게 상기 보안용 토큰의 발급을 요청할 때에 상기 부가정보에 포함될 식별정보를 제공하는 모바일 데이터 보안 장치.
  3. 제 2 항에 있어서,
    상기 식별정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용하는 모바일 데이터 보안 장치.
  4. 제 3 항에 있어서,
    상기 응용 프로그램 정보는, 패키지 명 또는 서명을 포함하는 모바일 데이터 보안 장치.
  5. 제 2 항에 있어서,
    상기 부가정보는, 시각 정보, 논스(nonce) 또는 상기 데이터 보안 처리부에 의한 생성값 중 어느 하나를 포함하는 모바일 데이터 보안 장치.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 데이터 보안 처리부는, 보안 업데이트를 요청하여 상기 보안 서버장치로부터 상기 갱신 부가정보 및 상기 갱신 시드를 획득하는 모바일 데이터 보안 장치.
  8. 제 7 항에 있어서,
    상기 데이터 보안 처리부는, 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리하는 모바일 데이터 보안 장치.
  9. 보안 서버장치와는 서로 물리적으로 격리되어 동작하는 모바일 단말장치에 포함되는 모바일 데이터 보안 장치의 모바일 데이터 보안 방법으로서,
    상기 모바일 단말장치는,
    메모리부와 보안 메모리부가 물리적으로 분리되게 구비되거나, 하나의 메모리에 상기 메모리부와 상기 보안 메모리부가 함께 위치하는 경우에는 특정 영역이 암호화 처리를 위한 상기 보안 메모리부로 할당되며,
    상기 모바일 데이터 보안 방법은,
    상기 보안 서버장치로부터 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 수신하는 단계와,
    상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하는 단계와,
    데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 상기 검증용 토큰을 비교하는 단계와,
    상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하고, 암호화 처리된 데이터는 상기 메모리부에 저장하지 않고 상기 보안 메모리부에 저장하여 메모리 스캔을 통해서 암호화 데이터 정보를 찾지 못하게 하는 단계와,
    상기 보안 서버장치로부터 갱신 부가정보 및 갱신 시드가 전송되면 상기 갱신 부가정보 및 갱신 시드를 사용하여 갱신 토큰을 생성한 후에 상기 보안 메모리부에 기 저장된 데이터를 상기 갱신 토큰을 이용하여 다시 암호화하는 단계를 포함하는 모바일 데이터 보안 방법.
  10. 제 9 항에 있어서,
    상기 부가정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 식별정보로 포함하는 모바일 데이터 보안 방법.
  11. 제 10 항에 있어서,
    상기 응용 프로그램 정보는 패키지 명 또는 서명을 포함하는 모바일 데이터 보안 방법.
  12. 제 9 항에 있어서,
    상기 부가정보는 시각 정보 또는 논스(nonce)을 포함하는 모바일 데이터 보안 방법.
  13. 삭제
  14. 제 9 항에 있어서,
    상기 갱신 부가정보 및 상기 갱신 시드를 획득하기 위해 상기 보안 서버장치에게 보안 업데이트를 요청하는 단계를 더 포함하는 모바일 데이터 보안 방법.
  15. 제 14 항에 있어서,
    상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리하는 모바일 데이터 보안 방법.
  16. 제 9 항 내지 제 12 항 중 어느 한 항, 또는 제 14 항 내지 제 15 항 중 어느 한 항의 상기 모바일 데이터 보안 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
KR1020130001432A 2013-01-07 2013-01-07 모바일 데이터 보안 장치 및 방법 KR101473656B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130001432A KR101473656B1 (ko) 2013-01-07 2013-01-07 모바일 데이터 보안 장치 및 방법
PCT/KR2014/000081 WO2014107060A1 (ko) 2013-01-07 2014-01-06 모바일 데이터 보안 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130001432A KR101473656B1 (ko) 2013-01-07 2013-01-07 모바일 데이터 보안 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20140089703A KR20140089703A (ko) 2014-07-16
KR101473656B1 true KR101473656B1 (ko) 2014-12-24

Family

ID=51062336

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130001432A KR101473656B1 (ko) 2013-01-07 2013-01-07 모바일 데이터 보안 장치 및 방법

Country Status (2)

Country Link
KR (1) KR101473656B1 (ko)
WO (1) WO2014107060A1 (ko)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111500B (zh) 2014-12-29 2020-10-16 维萨国际服务协会 应用库的无线储备
KR102031248B1 (ko) * 2019-01-14 2019-10-11 충남대학교산학협력단 보안 모듈을 이용한 실행 환경의 안전성 검증 방법
KR102299402B1 (ko) * 2021-02-03 2021-09-07 (주)아이지코 비콘 데이터를 이용한 단말기 통제 시스템 및 통제 방법
KR102561784B1 (ko) * 2022-08-30 2023-08-01 주식회사 마크애니 비콘 데이터를 이용한 단말기 통제 시스템 및 통제 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100001811A (ko) * 2008-06-27 2010-01-06 (주)한국아이피보호기술연구소 일회용 비밀번호 생성 방법 및 이를 이용한 인증 시스템
KR20120134942A (ko) * 2011-06-03 2012-12-12 (주)네오위즈게임즈 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101106101B1 (ko) * 2009-12-28 2012-01-18 아주대학교산학협력단 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100001811A (ko) * 2008-06-27 2010-01-06 (주)한국아이피보호기술연구소 일회용 비밀번호 생성 방법 및 이를 이용한 인증 시스템
KR20120134942A (ko) * 2011-06-03 2012-12-12 (주)네오위즈게임즈 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템

Also Published As

Publication number Publication date
WO2014107060A1 (ko) 2014-07-10
KR20140089703A (ko) 2014-07-16

Similar Documents

Publication Publication Date Title
KR102217501B1 (ko) 신뢰 실행 환경을 갖는 모바일 디바이스
KR101712784B1 (ko) 글로벌 플랫폼 규격을 사용하는 발행자 보안 도메인에 대한 키 관리 시스템 및 방법
KR101891420B1 (ko) DaaS를 위한 컨텐츠 보호
US9413754B2 (en) Authenticator device facilitating file security
US8495383B2 (en) Method for the secure storing of program state data in an electronic device
US9288054B2 (en) Method and apparatus for authenticating and managing application using trusted platform module
RU2631136C2 (ru) Способ защищенного доступа и устройство защищенного доступа прикладной программы
CN103246850A (zh) 文件处理方法和装置
WO2017166362A1 (zh) 一种esim号码的写入方法、安全系统、esim号码服务器及终端
KR20120080283A (ko) 통합센터를 이용한 유심칩기반 모바일 오티피 인증장치 및 인증방법
JP2016519544A (ja) 自己認証デバイス及び自己認証方法
KR101473656B1 (ko) 모바일 데이터 보안 장치 및 방법
EP3048553B1 (en) Method for distributing applets, and entities for distributing applets
CN107026730B (zh) 数据处理方法、装置及系统
JP6199712B2 (ja) 通信端末装置、通信端末関連付け方法、及びコンピュータプログラム
Cooijmans et al. Secure key storage and secure computation in Android
US8798261B2 (en) Data protection using distributed security key
JP6357091B2 (ja) 情報処理装置、及びコンピュータプログラム
KR101711024B1 (ko) 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치
KR102027329B1 (ko) 프로그램 실행권한 인증 방법 및 시스템
US11722295B2 (en) Methods, apparatus, and articles of manufacture to securely audit communications
CN109933994B (zh) 数据分级存储方法和装置以及计算设备
KR20160050605A (ko) 서비스 서버 및 그 동작 방법
CN113261254A (zh) 私钥云存储
Choi et al. Hardware-assisted credential management scheme for preventing private data analysis from cloning attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171211

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181211

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 6