WO2014107060A1 - Apparatus for securing mobile data and method therefor - Google Patents

Apparatus for securing mobile data and method therefor Download PDF

Info

Publication number
WO2014107060A1
WO2014107060A1 PCT/KR2014/000081 KR2014000081W WO2014107060A1 WO 2014107060 A1 WO2014107060 A1 WO 2014107060A1 KR 2014000081 W KR2014000081 W KR 2014000081W WO 2014107060 A1 WO2014107060 A1 WO 2014107060A1
Authority
WO
WIPO (PCT)
Prior art keywords
security
token
update
data
additional information
Prior art date
Application number
PCT/KR2014/000081
Other languages
French (fr)
Korean (ko)
Inventor
문성건
장상근
박세현
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Publication of WO2014107060A1 publication Critical patent/WO2014107060A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication

Definitions

  • the present invention relates to mobile data security, and more particularly, to a mobile data security device and method for supporting secure storage of sensitive data requiring security in a mobile terminal device.
  • Smartphones are equipped with mobile operating systems such as Android, an operating system (i-OS), and windows mobile, and development of application programs that can be executed in various mobile operating systems is being actively performed.
  • mobile operating systems such as Android, an operating system (i-OS), and windows mobile
  • Mobile terminal devices such as smart phones have a lot of sensitive data such as personal information, financial information, or game money due to the characteristics of the device, and are always exposed to the threat of leakage of such information. Therefore, such a mobile terminal device should be sought to securely store important data requiring security.
  • a partition of a removable storage device is divided into an encrypted secure partition and a regular partition, a specific code is inserted into a master boot record to protect the secure partition, and a hash value of a password when the secure partition encrypts and decrypts information. If the user is authenticated as a valid user during decryption, the encrypted security partition information is decrypted and stored in a general partition table.
  • Embodiment of the present invention the security of the data through the collaboration with the server side that operates in isolation from malicious behavior in the mobile terminal device, even if the relevant information for encryption and decryption is exposed Provides a mobile data security device and method to ensure.
  • the mobile data security device obtains additional information and seeds used for generating a security token from the server side together with the security token, and obtains the security token.
  • a data security controller for requesting encryption or decryption of the data, and a verification token based on the seed and the additional information provided from the data security controller, and when the encryption or decryption of the data is requested It may include a data security processing unit for processing the encryption or decryption requested when the token and the verification token match.
  • the data security controller may provide identification information to be included in the additional information when requesting the server terminal to issue the security token.
  • the identification information may use a terminal identification number (IMEI, International Mobile Equipment Identity) or application program information.
  • the application program information may include a package name or a signature.
  • the additional information may include any one of time information, nonce, and a value generated by the data security processor.
  • the data security processor may obtain the update additional information and the update seed from the server, generate an update token based on the update additional information and the update seed, and encrypt the data using the update token. .
  • the data security processor may request a security update to obtain the update additional information and the update seed from the server.
  • the data security processor may periodically request the security update to periodically encrypt the data using the update token.
  • the additional information may include a terminal identification number (IMEI) or application program information as identification information.
  • the application program information may include a package name or a signature.
  • the additional information may include visual information or a nonce.
  • the method may further include requesting a security update from the server to obtain the update additional information and the update seed.
  • the security update may be periodically requested to periodically encrypt the data using the update token.
  • a computer-readable recording medium having recorded thereon a program including instructions for performing each step according to the mobile data security method can be provided.
  • FIG. 1 is a block diagram of a mobile terminal including a mobile data security device according to an embodiment of the present invention, and a security server device.
  • FIG. 2 is a flowchart illustrating a security method by a mobile data security apparatus according to an embodiment of the present invention.
  • FIG. 1 is a block diagram of a mobile terminal including a mobile data security device according to an embodiment of the present invention, and a security server device.
  • the mobile terminal device 100 and the security server device 200 are physically isolated from each other, and the mobile terminal device 100 communicates wirelessly with the security server device 200. Collaboration ensures the security of your data.
  • the mobile terminal device 100 includes a memory unit 110, a display unit 120, a networking unit 130, a secure memory unit 140, and a data security processing unit 410, and an application service unit 310 and data. It may further include an application program unit 300 including a security control unit 320.
  • the data security control unit 320 and the data security processing unit 410 form a mobile data security device 500 according to an embodiment of the present invention.
  • the security server device 200 includes a security service unit 210 and a token issuer 220.
  • the application service unit 310 of the application program unit 300 interfaces with the user through the display unit 120 to provide a unique application service such as a financial transaction service or a game service.
  • the data security control unit 320 of the application program unit 300 provides security through encryption and decryption of data generated by the application service by the application service unit 310. To this end, the data security control unit 320 obtains additional information and seeds used in the generation of a security token through the networking unit 130 from the security server device 200 together with the security token. The data security processing unit 410 is requested to encrypt or decrypt the data using a security token.
  • the data security control unit 320 provides the identification information to be included in the additional information when the security server device 200 issuing a security token
  • the identification information is a terminal identification number (IMEI, International Mobile Equipment Identity) or application Use program information.
  • the application information includes a package name or a signature.
  • the data security control unit 320 together with the data security processing unit 410 forms a mobile data security device 500 according to an embodiment of the present invention.
  • the data security processing unit 410 of the mobile data security device 500 generates a verification token based on the seed and additional information provided from the data security control unit 320, and encrypts the data by the data security control unit 320. If decryption is requested, the requested encryption or decryption is processed when the security token and the verification token match.
  • the data security processor 410 stores the encrypted data in the secure memory unit 140.
  • the memory unit 110 and the secure memory unit 140 may be physically separated. When the memory unit 110 and the secure memory unit 140 are located together in one memory, a specific area is encrypted. The data is allocated to the secure memory unit 140 for processing, and the data stored in the secure memory unit 140 may not find desired information through a memory scan.
  • the data security processing unit 410 obtains the update additional information and the update seed from the security server device 200 by requesting a security update, generates an update token based on the update additional information and the update seed, and uses the update token. To encrypt the data. For example, the data security processor 410 periodically requests a security update to periodically process data encryption using the update token.
  • the security service unit 210 of the security server device 200 performs communication with the mobile terminal device 100, and provides various request and transmission information by the mobile terminal device 100 to the token issuer 220.
  • the seed and token generated by the token issuer 220 and additional information are transmitted to the mobile terminal 100.
  • the token issuing unit 220 of the security server device 200 generates a security token when a token issuance is requested from the data security control unit 320 of the mobile data security device 500, and the additional token used to generate the security token is added.
  • the information and the seed are transmitted together with the security token to the data security controller 320.
  • the token issuing unit 220 generates an update token when a security update is requested by the data security processing unit 410, and transmits the update additional information and the update seed used in the generation of the update ton to the data security processing unit 410.
  • the update token, the update seed, and additional information are transmitted to the data security controller 320.
  • the additional information used by the token issuing unit 220 when issuing the token includes identification information.
  • the identification information may include a terminal identification number (IMEI, International Mobile Equipment Identity) or the information provided from the mobile terminal 100. Application information is available.
  • the additional information used when the token is issued may include time information, a nonce, or a value generated by the data security processor 410.
  • FIG. 2 is a flowchart illustrating a security method by a mobile data security apparatus according to an embodiment of the present invention.
  • the data security control unit 320 requests the token issuer 220 to generate a token (S601 to S603), and the token issuer 220 generates a security token.
  • the data security processing unit 410 is the data security control unit 320 Generating a verification token based on the seed and the additional information received from (S611 and S613), and if the data security processing unit 410 is requested to encrypt or decrypt the data for security used in the request for encryption or decryption of the data Comparing the token and the verification token (S615 and S617), processing the requested encryption or decryption when the security token and the verification token match (S619 and S621), and data In step S623 and S625, the security processing unit 410 periodically requests a security update from the token issuer 220, and after the token issuer 220 generates the update token
  • FIGS. 1 and 2 a process of providing a security service for data through mobile communication between the mobile terminal device 100 and the security server device 200 through wireless communication will be described in more detail.
  • the data security control unit 320 and the data security processing unit 410 forming the mobile data security device 500 according to the embodiment of the present invention may be implemented in hardware or in software.
  • the data security processing unit 410 may be installed in advance in the mobile terminal 100 or together with the data security control unit 320 when the application program unit 300 is installed.
  • the application unit 300 may be installed in an application form, such as a process of installing an application using an apk file in a smartphone using an Android-based operating system, and together with the application unit 300 A program corresponding to the data security processor 410 may be installed together.
  • the data security control unit 320 requests the security service unit 210 to issue a token through the networking unit 130 for the security of the data (S601), and the security service unit 210 issues the token issue unit 220. Transfer the token issuance request to the (S603).
  • the token issuing unit 220 After the token issuing unit 220 generates the security token (S605), the token issuing unit 220 stores the security token along with the additional information and the seed used in the generation of the security token through the networking unit 130. In step S607, the data security control unit 320 provides additional information to the data security processing unit 410 together with the seed in step S609.
  • the data security processor 410 generates a verification token based on the seed and the additional information received from the data security controller 320 (S613).
  • the data security control unit 320 may request the data security processing unit 410 to encrypt or decrypt the data.
  • Token is used (S615).
  • the data security processing unit 410 compares the security token used in the data encryption or decryption request with the verification token (S617), and if the security token and the verification token match, the requested encryption or decryption is performed. Process (S621). However, if there is a mismatch between the security token and the verification token, the data security controller 320 informs the token mismatch status (S619).
  • the encrypted data is not stored in the memory unit 110 but in the secure memory unit 140. Therefore, encrypted data information cannot be found through a general memory scan.
  • the data security processing unit 410 periodically requests a security update to the security service unit 210 to improve the security of the data (S623), the security service unit 210 is secured to the token issuing unit 220 The update request is forwarded (S625).
  • the token issuing unit 220 transmits the update additional information and the update seed used in the update token to the data security processing unit 410 after generating the update token (S629), and the update additional information to the data security control unit 320. And the update seed together with the update token to be used when requesting data encryption or decryption (S631).
  • the data security processing unit 410 generates an update token based on the update seed and the update additional information (S633).
  • the security update encrypts data previously encrypted and stored in the secure memory unit 140 using the update token again. Process periodically (S635).
  • the secure memory unit 140 can be protected from threats such as dictionary attacks.
  • a security update is performed to re-encrypt previously stored data using an update token, even if relevant information for encryption and decryption is temporarily exposed, the related information exposed by new encryption becomes useless. This is guaranteed.
  • Combinations of each block of the block diagrams and respective steps of the flowcharts attached to the present invention may be performed by computer program instructions.
  • These computer program instructions may be mounted on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment such that instructions executed through the processor of the computer or other programmable data processing equipment may not be included in each block or flowchart of the block diagram. It will create means for performing the functions described in each step.
  • These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory.
  • instructions stored in may produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of each step of the block diagram.
  • Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
  • each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing a specified logical function (s).
  • a specified logical function s.
  • the functions noted in the blocks or steps may occur out of order.
  • the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

The present invention relates to an apparatus for securing mobile data and a method therefor. The disclosed apparatus for securing mobile data includes: a data security control unit for obtaining a security token and the additional information and seed used in the generation of the security token from a server stage to request encoding or decoding of the data by using the security token; and a data security processing unit for generating a verifying token based on the additional information and seed supplied from the data security control unit to process the requested encoding or decoding of the data if the security token matches the verifying token.

Description

모바일 데이터 보안 장치 및 방법Mobile data security devices and methods
본 발명은 모바일 데이터 보안에 관한 것으로서, 더욱 상세하게는 모바일 단말장치에서 보안이 요구되는 중요 데이터를 안전하게 저장할 수 있도록 지원하는 모바일 데이터 보안 장치 및 방법에 관한 것이다.The present invention relates to mobile data security, and more particularly, to a mobile data security device and method for supporting secure storage of sensitive data requiring security in a mobile terminal device.
근래에 들어 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로 인하여 단순한 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등의 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰(smartphone)은 모바일 운영체제에서 동작하는 다양한 애플리케이션 프로그램을 설치할 수 있으며, 이러한 이유로 사용자들은 스마트폰을 여러 가지의 용도로 이용하고 있다.Recently, due to the development of mobile communication technology as well as wired and wireless Internet, mobile phones having various functions such as wireless Internet function as well as simple telephone call function have been spreading. In particular, the smart phone (smartphone) that has been recently spreading can install a variety of application programs that operate in a mobile operating system, for this reason users are using the smartphone for various purposes.
스마트폰에는 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재되며, 각종 모바일 운영체제에서 실행 가능한 애플리케이션 프로그램의 개발이 활발히 이루어지고 있다.Smartphones are equipped with mobile operating systems such as Android, an operating system (i-OS), and windows mobile, and development of application programs that can be executed in various mobile operating systems is being actively performed.
이러한 스마트폰 등과 같은 모바일 단말장치는 기기의 특성 상 개인정보 및 금융정보, 또는 게임머니 등과 같은 민감한 데이터를 많이 가지며, 항상 이들 정보의 유출 위협에 노출되어 있다. 따라서, 이러한 모바일 단말장치에는 보안이 요구되는 중요 데이터를 안전하게 저장할 수 있는 방안이 모색되어야 한다.Mobile terminal devices such as smart phones have a lot of sensitive data such as personal information, financial information, or game money due to the characteristics of the device, and are always exposed to the threat of leakage of such information. Therefore, such a mobile terminal device should be sought to securely store important data requiring security.
종래 기술에 따르면 이동형 저장 장치의 파티션을 암호화된 보안 파티션과 일반 파티션으로 나누고, 보안 파티션을 보호하기 위해 마스터 부트 레코드에 특정 코드를 삽입하며, 보안 파티션이 정보를 암호화 및 복호화할 때에는 비밀번호의 해쉬값을 이용하고, 복호화 시에 정당한 사용자임이 인증되면 암호화된 보안 파티션의 정보를 일반 파티션 테이블에 복호화하여 저장하였다.According to the prior art, a partition of a removable storage device is divided into an encrypted secure partition and a regular partition, a specific code is inserted into a master boot record to protect the secure partition, and a hash value of a password when the secure partition encrypts and decrypts information. If the user is authenticated as a valid user during decryption, the encrypted security partition information is decrypted and stored in a general partition table.
그러나, 이러한 종래 기술에 의하면 보안 처리가 이동형 저장 장치의 단독으로 수행되기 때문에 이동형 저장 장치가 악성 주체에 의해 장악된 경우라면 데이터의 보안성을 보장할 수 없었으며, 암호화 및 복호화를 위한 비밀번호가 노출된 경우에 데이터의 보안성을 보장할 수 없는 문제점이 있었다.However, according to the related art, since the security processing is performed by the mobile storage device alone, the data security cannot be guaranteed if the mobile storage device is seized by a malicious subject, and a password for encryption and decryption is exposed. In this case, there was a problem that the security of the data cannot be guaranteed.
본 발명의 실시예는, 모바일 단말장치에서의 악성 행위로부터 격리되서 동작하는 서버단과의 협업을 통해 데이터의 보안성을 보장하며, 암호화 및 복호화를 위한 관련 정보가 노출된 경우에도 데이터의 보안성을 보장하는 모바일 데이터 보안 장치 및 방법을 제공한다.Embodiment of the present invention, the security of the data through the collaboration with the server side that operates in isolation from malicious behavior in the mobile terminal device, even if the relevant information for encryption and decryption is exposed Provides a mobile data security device and method to ensure.
본 발명의 제 1 관점에 따른 모바일 데이터 보안 장치는, 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 상기 보안용 토큰과 함께 서버단으로부터 획득하며, 상기 보안용 토큰을 사용하여 데이터의 암호화 또는 복호화를 요청하는 데이터 보안 제어부와, 상기 데이터 보안 제어부로부터 제공받은 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하며, 상기 데이터의 암호화 또는 복호화가 요청되면 상기 보안용 토큰과 상기 검증용 토근이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 데이터 보안 처리부를 포함할 수 있다.The mobile data security device according to the first aspect of the present invention obtains additional information and seeds used for generating a security token from the server side together with the security token, and obtains the security token. A data security controller for requesting encryption or decryption of the data, and a verification token based on the seed and the additional information provided from the data security controller, and when the encryption or decryption of the data is requested It may include a data security processing unit for processing the encryption or decryption requested when the token and the verification token match.
여기서, 상기 데이터 보안 제어부는, 상기 서버단에게 상기 보안용 토큰의 발급을 요청할 때에 상기 부가정보에 포함될 식별정보를 제공할 수 있다. 상기 식별정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용할 수 있다. 상기 응용 프로그램 정보는, 패키지 명 또는 서명을 포함할 수 있다. 상기 부가정보는, 시각 정보, 논스(nonce) 또는 상기 데이터 보안 처리부에 의한 생성값 중 어느 하나를 포함할 수 있다. 상기 데이터 보안 처리부는, 상기 서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하며, 상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하고, 상기 갱신 토큰을 이용하여 상기 데이터를 암호화할 수 있다. 상기 데이터 보안 처리부는, 보안 업데이트를 요청하여 상기 서버단으로부터 상기 갱신 부가정보 및 상기 갱신 시드를 획득할 수 있다. 상기 데이터 보안 처리부는, 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리할 수 있다.Here, the data security controller may provide identification information to be included in the additional information when requesting the server terminal to issue the security token. The identification information may use a terminal identification number (IMEI, International Mobile Equipment Identity) or application program information. The application program information may include a package name or a signature. The additional information may include any one of time information, nonce, and a value generated by the data security processor. The data security processor may obtain the update additional information and the update seed from the server, generate an update token based on the update additional information and the update seed, and encrypt the data using the update token. . The data security processor may request a security update to obtain the update additional information and the update seed from the server. The data security processor may periodically request the security update to periodically encrypt the data using the update token.
본 발명의 제 2 관점에 따른 모바일 데이터 보안 방법은, 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 수신하는 단계와, 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하는 단계와, 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 상기 검증용 토큰을 비교하는 단계와, 상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 단계를 포함할 수 있다.In the mobile data security method according to the second aspect of the present invention, receiving the additional information and the seed used in the generation of a security token (token), and the verification token based on the seed and the additional information Generating a; comparing the security token used in the data encryption or decryption request with the verification token; and performing the encryption or decryption requested when the security token matches the verification token. Processing.
여기서, 상기 부가정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 식별정보로 포함할 수 있다. 상기 응용 프로그램 정보는 패키지 명 또는 서명을 포함할 수 있다. 상기 부가정보는 시각 정보 또는 논스(nonce)을 포함할 수 있다. 서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하는 단계와, 상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하는 단계와, 상기 갱신 토큰을 이용하여 상기 데이터를 암호화하는 단계를 더 포함할 수 있다. 상기 갱신 부가정보 및 갱신 시드를 획득하기 위해 상기 서버단에게 보안 업데이트를 요청하는 단계를 더 포함할 수 있다. 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리할 수 있다.Here, the additional information may include a terminal identification number (IMEI) or application program information as identification information. The application program information may include a package name or a signature. The additional information may include visual information or a nonce. Obtaining an update additional information and an update seed from a server end, generating an update token based on the update additional information and the update seed, and encrypting the data using the update token; Can be. The method may further include requesting a security update from the server to obtain the update additional information and the update seed. The security update may be periodically requested to periodically encrypt the data using the update token.
본 발명의 제 3 관점에 따르면 상기 모바일 데이터 보안 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 제공할 수 있다.According to a third aspect of the present invention, a computer-readable recording medium having recorded thereon a program including instructions for performing each step according to the mobile data security method can be provided.
본 발명의 실시예에 따르면, 모바일 단말장치에서의 악성 행위로부터 격리되서 동작하는 서버단과의 협업을 통해 데이터의 보안성을 보장하기 때문에 사전 공격(dictionary attack) 등의 위협으로부터 정보 변조를 막을 수 있다.According to an embodiment of the present invention, since data security is secured through collaboration with a server that operates in isolation from malicious behavior in a mobile terminal device, information tampering can be prevented from threats such as dictionary attacks. .
또한, 기 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트가 이루어지기 때문에 암호화 및 복호화를 위한 관련 정보가 노출된 경우에도 데이터의 보안성을 보장하는 효과가 있다.In addition, since a security update is performed to re-encrypt previously stored data by using an update token, there is an effect of ensuring the security of the data even when relevant information for encryption and decryption is exposed.
도 1은 본 발명의 실시예에 따른 모바일 데이터 보안 장치를 포함하는 모바일 단말장치, 그리고 보안 서버장치의 블록 구성도이다.1 is a block diagram of a mobile terminal including a mobile data security device according to an embodiment of the present invention, and a security server device.
도 2는 본 발명의 실시예에 따른 모바일 데이터 보안 장치에 의한 보안 방법을 설명하기 위한 흐름도이다.2 is a flowchart illustrating a security method by a mobile data security apparatus according to an embodiment of the present invention.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.Advantages and features of the present invention and methods for achieving them will be apparent with reference to the embodiments described below in detail with the accompanying drawings. However, the present invention is not limited to the embodiments disclosed below, but can be implemented in various different forms, and only the embodiments make the disclosure of the present invention complete, and the general knowledge in the art to which the present invention belongs. It is provided to fully inform the person having the scope of the invention, which is defined only by the scope of the claims. Like reference numerals refer to like elements throughout.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In describing the embodiments of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the embodiments of the present invention, which may vary according to intentions or customs of users and operators. Therefore, the definition should be made based on the contents throughout the specification.
도 1은 본 발명의 실시예에 따른 모바일 데이터 보안 장치를 포함하는 모바일 단말장치, 그리고 보안 서버장치의 블록 구성도이다.1 is a block diagram of a mobile terminal including a mobile data security device according to an embodiment of the present invention, and a security server device.
이에 나타낸 바와 같이 본 발명의 실시예에 따르면, 모바일 단말장치(100)와 보안 서버장치(200)가 서로 물리적으로 격리되어 동작하며, 모바일 단말장치(100)는 보안 서버장치(200)와의 무선 통신을 통한 협업을 통해 데이터의 보안성을 보장한다.As described above, according to an embodiment of the present invention, the mobile terminal device 100 and the security server device 200 are physically isolated from each other, and the mobile terminal device 100 communicates wirelessly with the security server device 200. Collaboration ensures the security of your data.
모바일 단말장치(100)는 메모리부(110), 디스플레이부(120), 네트워킹부(130), 보안 메모리부(140), 데이터 보안 처리부(410)를 포함하며, 응용 서비스부(310) 및 데이터 보안 제어부(320)를 포함하는 응용 프로그램부(300)를 더 포함할 수 있다. 여기서, 데이터 보안 제어부(320)와 데이터 보안 처리부(410)는 본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이룬다. 보안 서버장치(200)는 보안 서비스부(210) 및 토큰 발급부(220)를 포함한다.The mobile terminal device 100 includes a memory unit 110, a display unit 120, a networking unit 130, a secure memory unit 140, and a data security processing unit 410, and an application service unit 310 and data. It may further include an application program unit 300 including a security control unit 320. Here, the data security control unit 320 and the data security processing unit 410 form a mobile data security device 500 according to an embodiment of the present invention. The security server device 200 includes a security service unit 210 and a token issuer 220.
응용 프로그램부(300)의 응용 서비스부(310)는 디스플레이부(120)를 통해 사용자와 인터페이스하여 금융거래 서비스, 게임 서비스 등과 같은 고유의 응용 서비스를 제공한다.The application service unit 310 of the application program unit 300 interfaces with the user through the display unit 120 to provide a unique application service such as a financial transaction service or a game service.
응용 프로그램부(300)의 데이터 보안 제어부(320)는 응용 서비스부(310)에 의한 응용 서비스에 의해 발생되는 데이터의 암호화 및 복호화를 통해 보안성을 제공한다. 이를 위해, 데이터 보안 제어부(320)는 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 보안용 토큰과 함께 보안 서버장치(200)로부터 네트워킹부(130)를 통해 획득하며, 보안용 토큰을 사용하여 데이터 보안 처리부(410)에게 데이터의 암호화 또는 복호화를 요청한다.The data security control unit 320 of the application program unit 300 provides security through encryption and decryption of data generated by the application service by the application service unit 310. To this end, the data security control unit 320 obtains additional information and seeds used in the generation of a security token through the networking unit 130 from the security server device 200 together with the security token. The data security processing unit 410 is requested to encrypt or decrypt the data using a security token.
아울러, 데이터 보안 제어부(320)는 보안 서버장치(200)에게 보안용 토큰의 발급을 요청할 때에 부가정보에 포함될 식별정보를 제공하며, 식별정보는 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용한다. 여기서, 응용 프로그램 정보는 패키지 명(package name) 또는 서명(signature)을 포함한다.In addition, the data security control unit 320 provides the identification information to be included in the additional information when the security server device 200 issuing a security token, the identification information is a terminal identification number (IMEI, International Mobile Equipment Identity) or application Use program information. In this case, the application information includes a package name or a signature.
한편, 이러한 데이터 보안 제어부(320)는 데이터 보안 처리부(410)와 함께 본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이룬다.On the other hand, the data security control unit 320 together with the data security processing unit 410 forms a mobile data security device 500 according to an embodiment of the present invention.
모바일 데이터 보안 장치(500)의 데이터 보안 처리부(410)는 데이터 보안 제어부(320)로부터 제공받은 시드 및 부가정보를 바탕으로 검증용 토큰을 생성하며, 데이터 보안 제어부(320)에 의해 데이터의 암호화 또는 복호화가 요청되면 보안용 토큰과 검증용 토근이 일치하는 경우에 요청된 암호화 또는 복호화를 처리한다. 여기서, 데이터 보안 처리부(410)는 암호화된 데이터를 보안 메모리부(140)에 저장한다. 예컨대, 메모리부(110)와 보안 메모리부(140)는 물리적으로 분리되게 구비할 수 있으며, 하나의 메모리에 메모리부(110)와 보안 메모리부(140)가 함께 위치하는 경우에는 특정 영역을 암호화 처리를 위한 보안 메모리부(140)로 할당하고, 보안 메모리부(140)에 저장된 데이터는 메모리 스캔으로 원하는 정보를 찾지 못하도록 한다.The data security processing unit 410 of the mobile data security device 500 generates a verification token based on the seed and additional information provided from the data security control unit 320, and encrypts the data by the data security control unit 320. If decryption is requested, the requested encryption or decryption is processed when the security token and the verification token match. Here, the data security processor 410 stores the encrypted data in the secure memory unit 140. For example, the memory unit 110 and the secure memory unit 140 may be physically separated. When the memory unit 110 and the secure memory unit 140 are located together in one memory, a specific area is encrypted. The data is allocated to the secure memory unit 140 for processing, and the data stored in the secure memory unit 140 may not find desired information through a memory scan.
아울러, 데이터 보안 처리부(410)는 보안 업데이트를 요청하여 보안 서버장치(200)로부터 갱신 부가정보 및 갱신 시드를 획득하며, 갱신 부가정보 및 갱신 시드를 바탕으로 갱신 토큰을 생성하고, 갱신 토큰을 이용하여 데이터를 암호화 한다. 예컨대, 이러한 데이터 보안 처리부(410)는 보안 업데이트를 주기적으로 요청하여 갱신 토큰을 이용한 데이터의 암호화를 주기적으로 처리한다.In addition, the data security processing unit 410 obtains the update additional information and the update seed from the security server device 200 by requesting a security update, generates an update token based on the update additional information and the update seed, and uses the update token. To encrypt the data. For example, the data security processor 410 periodically requests a security update to periodically process data encryption using the update token.
보안 서버장치(200)의 보안 서비스부(210)는 모바일 단말장치(100)와의 통신을 수행하며, 모바일 단말장치(100)에 의한 각종 요청 및 전송 정보를 토큰 발급부(220)에게 제공하며, 토큰 발급부(220)에 의해 생성된 시드 및 토큰과 부가정보를 모바일 단말장치(100)에게 전송한다.The security service unit 210 of the security server device 200 performs communication with the mobile terminal device 100, and provides various request and transmission information by the mobile terminal device 100 to the token issuer 220. The seed and token generated by the token issuer 220 and additional information are transmitted to the mobile terminal 100.
보안 서버장치(200)의 토큰 발급부(220)는 모바일 데이터 보안 장치(500)의 데이터 보안 제어부(320)로부터 토큰 발급이 요청되면 보안용 토큰을 생성하며, 보안용 토큰의 생성에 사용된 부가정보 및 시드를 보안용 토큰과 함께 데이터 보안 제어부(320)에게 전송한다. 아울러, 토큰 발급부(220)는 데이터 보안 처리부(410)에 의해 보안 업데이트가 요청되면 갱신 토큰을 생성하며, 갱신 토튼의 생성에 이용된 갱신 부가정보 및 갱신 시드를 데이터 보안 처리부(410)에게 전송하고, 갱신 토큰과 갱신 시드 및 부가정보를 데이터 보안 제어부(320)에게 전송한다.The token issuing unit 220 of the security server device 200 generates a security token when a token issuance is requested from the data security control unit 320 of the mobile data security device 500, and the additional token used to generate the security token is added. The information and the seed are transmitted together with the security token to the data security controller 320. In addition, the token issuing unit 220 generates an update token when a security update is requested by the data security processing unit 410, and transmits the update additional information and the update seed used in the generation of the update ton to the data security processing unit 410. The update token, the update seed, and additional information are transmitted to the data security controller 320.
여기서, 토큰 발급부(220)가 토큰의 발급시에 사용하는 부가정보는 식별정보를 포함하며, 예컨대 식별정보는 모바일 단말장치(100)로부터 제공받은 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용할 수 있다. 또한, 토큰의 발급시에 사용하는 부가정보는 시각 정보, 논스(nonce) 또는 데이터 보안 처리부(410)에 의한 생성값을 포함할 수 있다.Here, the additional information used by the token issuing unit 220 when issuing the token includes identification information. For example, the identification information may include a terminal identification number (IMEI, International Mobile Equipment Identity) or the information provided from the mobile terminal 100. Application information is available. In addition, the additional information used when the token is issued may include time information, a nonce, or a value generated by the data security processor 410.
도 2는 본 발명의 실시예에 따른 모바일 데이터 보안 장치에 의한 보안 방법을 설명하기 위한 흐름도이다.2 is a flowchart illustrating a security method by a mobile data security apparatus according to an embodiment of the present invention.
이에 나타낸 바와 같이 모바일 데이터 보안 방법은, 데이터 보안 제어부(320)가 토큰 발급부(220)에게 토큰의 발생을 요청하는 단계(S601 내지 S603)와, 토큰 발급부(220)가 보안용 토큰을 생성한 후에 보안용 토큰의 생성에 사용된 부가정보 및 시드와 함께 보안용 토큰을 데이터 보안 제어부(320)에게 전송하는 단계(S605 내지 S609)와, 데이터 보안 처리부(410)가 데이터 보안 제어부(320)로부터 수신된 시드 및 부가정보를 바탕으로 검증용 토큰을 생성하는 단계(S611 및 S613)와, 데이터 보안 처리부(410)가 데이터의 암호화 또는 복호화를 요청 받으면 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 검증용 토큰을 비교하는 단계(S615 및 S617)와, 보안용 토큰과 검증용 토큰이 일치하는 경우에 요청된 암호화 또는 복호화를 처리하는 단계(S619 및 S621)와, 데이터 보안 처리부(410)가 토큰 발급부(220)에게 보안 업데이트를 주기적으로 요청하는 단계(S623 및 S625)와, 토큰 발급부(220)가 갱신 토큰을 생성한 후에 갱신 토큰에 사용된 갱신 부가정보와 갱신 시드를 데이터 보안 처리부(410)에게 전송하면서 데이터 보안 제어부(320)에는 갱신 부가정보와 갱신 시드를 갱신 토큰과 함께 전송하는 단계(S627 내지 S631)와, 데이터 보안 처리부(410)가 갱신 시드 및 갱신 부가정보를 바탕으로 갱신 토큰을 생성한 후에 기 암호화되어 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트를 주기적으로 처리하는 단계(S633 및 S635)를 포함한다.As described above, in the mobile data security method, the data security control unit 320 requests the token issuer 220 to generate a token (S601 to S603), and the token issuer 220 generates a security token. After transmitting the security token to the data security control unit 320 along with additional information and seed used to generate the security token (S605 to S609), the data security processing unit 410 is the data security control unit 320 Generating a verification token based on the seed and the additional information received from (S611 and S613), and if the data security processing unit 410 is requested to encrypt or decrypt the data for security used in the request for encryption or decryption of the data Comparing the token and the verification token (S615 and S617), processing the requested encryption or decryption when the security token and the verification token match (S619 and S621), and data In step S623 and S625, the security processing unit 410 periodically requests a security update from the token issuer 220, and after the token issuer 220 generates the update token, the update additional information used for the update token; While transmitting the update seed to the data security processing unit 410, the data security control unit 320 transmits the update additional information and the update seed together with the update token (S627 to S631), and the data security processing unit 410 sends the update seed and And generating a renewal token based on the renewal additional information and periodically processing the security update for re-encrypting the pre-encrypted and stored data using the renewal token (S633 and S635).
이하, 도 1 및 도 2를 참조하여 모바일 단말장치(100)와 보안 서버장치(200)가 무선 통신을 통한 협업을 통해 데이터에 대한 보안 서비스를 제공하는 과정을 좀 더 자세히 살펴보기로 한다.Hereinafter, referring to FIGS. 1 and 2, a process of providing a security service for data through mobile communication between the mobile terminal device 100 and the security server device 200 through wireless communication will be described in more detail.
본 발명의 실시예에 따른 모바일 데이터 보안 장치(500)를 이루는 데이터 보안 제어부(320)와 데이터 보안 처리부(410)는 하드웨어로 구현할 수도 있으며, 소프트웨어로도 구현할 수 있다. 여기서, 소프트웨어로 구현한 경우라면 데이터 보안 처리부(410)는 모바일 단말장치(100)에 미리 설치되거나 데이터 보안 제어부(320)와 함께 응용 프로그램부(300)의 설치 시에 함께 설치될 수 있다. 예컨대, 응용 프로그램부(300)는 안드로이드 기반의 운영체제를 사용하는 스마트폰에서 apk 파일을 이용하여 응용 프로그램을 설치하는 과정 등과 같이 응용 프로그램 형태로 설치될 수 있으며, 이때 응용 프로그램부(300)와 함께 데이터 보안 처리부(410)에 해당하는 프로그램이 함께 설치될 수 있다.The data security control unit 320 and the data security processing unit 410 forming the mobile data security device 500 according to the embodiment of the present invention may be implemented in hardware or in software. Here, if implemented in software, the data security processing unit 410 may be installed in advance in the mobile terminal 100 or together with the data security control unit 320 when the application program unit 300 is installed. For example, the application unit 300 may be installed in an application form, such as a process of installing an application using an apk file in a smartphone using an Android-based operating system, and together with the application unit 300 A program corresponding to the data security processor 410 may be installed together.
먼저, 데이터 보안 제어부(320)는 데이터의 보안을 위해 네트워킹부(130)를 통해 보안 서비스부(210)에게 토큰의 발급을 요청하며(S601), 보안 서비스부(210)는 토큰 발급부(220)에게 토큰 발급 요청을 전달한다(S603).First, the data security control unit 320 requests the security service unit 210 to issue a token through the networking unit 130 for the security of the data (S601), and the security service unit 210 issues the token issue unit 220. Transfer the token issuance request to the (S603).
그리고, 토큰 발급부(220)는 보안용 토큰을 생성(S605)한 후에 보안용 토큰의 생성에 사용된 부가정보 및 시드와 함께 보안용 토큰을 네트워킹부(130)를 통해 데이터 보안 제어부(320)에게 전송하며(S607), 데이터 보안 제어부(320)는 시드와 함께 부가정보를 데이터 보안 처리부(410)에게 제공한다(S609).After the token issuing unit 220 generates the security token (S605), the token issuing unit 220 stores the security token along with the additional information and the seed used in the generation of the security token through the networking unit 130. In step S607, the data security control unit 320 provides additional information to the data security processing unit 410 together with the seed in step S609.
그러면, 데이터 보안 처리부(410)는 데이터 보안 제어부(320)로부터 수신된 시드 및 부가정보를 바탕으로 검증용 토큰을 생성한다(S613).Then, the data security processor 410 generates a verification token based on the seed and the additional information received from the data security controller 320 (S613).
이처럼, 데이터 보안 처리부(410)가 검증용 토큰을 생성한 상태에서 데이터 보안 제어부(320)는 데이터 보안 처리부(410)에게 데이터의 암호화 또는 복호화를 요청할 수 있으며, 이러한 암호화 또는 복호화의 요청 시에는 보안용 토큰을 사용한다(S615).As such, in the state where the data security processing unit 410 generates the verification token, the data security control unit 320 may request the data security processing unit 410 to encrypt or decrypt the data. Token is used (S615).
그러면, 데이터 보안 처리부(410)는 데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 검증용 토큰을 비교하며(S617), 보안용 토큰과 검증용 토큰이 일치하는 경우에 요청된 암호화 또는 복호화를 처리한다(S621). 하지만, 보안용 토큰과 검증용 토큰이 불일치한 경우에는 데이터 보안 제어부(320)에게 토큰 불일치 상태를 알려준다(S619). 여기서, 암호화 처리된 데이터는 메모리부(110)에 저장하지 않고 보안 메모리부(140)에 저장한다. 따라서, 일반적인 메모리 스캔을 통해서는 암호화 데이터 정보를 찾지 못한다.Then, the data security processing unit 410 compares the security token used in the data encryption or decryption request with the verification token (S617), and if the security token and the verification token match, the requested encryption or decryption is performed. Process (S621). However, if there is a mismatch between the security token and the verification token, the data security controller 320 informs the token mismatch status (S619). Here, the encrypted data is not stored in the memory unit 110 but in the secure memory unit 140. Therefore, encrypted data information cannot be found through a general memory scan.
한편, 데이터 보안 처리부(410)는 데이터의 보안성을 향상시키기 위해 보안 서비스부(210)에게 보안 업데이트를 주기적으로 요청하며(S623), 보안 서비스부(210)는 토큰 발급부(220)에게 보안 업데이트 요청을 전달한다(S625).On the other hand, the data security processing unit 410 periodically requests a security update to the security service unit 210 to improve the security of the data (S623), the security service unit 210 is secured to the token issuing unit 220 The update request is forwarded (S625).
그러면, 토큰 발급부(220)는 갱신 토큰을 생성한 후에 갱신 토큰에 사용된 갱신 부가정보와 갱신 시드를 데이터 보안 처리부(410)에게 전송하며(S629), 데이터 보안 제어부(320)에는 갱신 부가정보와 갱신 시드를 갱신 토큰과 함께 전송하여 데이터의 암호화 또는 복호화 요청 시에 사용할 수 있도록 한다(S631).Then, the token issuing unit 220 transmits the update additional information and the update seed used in the update token to the data security processing unit 410 after generating the update token (S629), and the update additional information to the data security control unit 320. And the update seed together with the update token to be used when requesting data encryption or decryption (S631).
이후, 데이터 보안 처리부(410)는 갱신 시드 및 갱신 부가정보를 바탕으로 갱신 토큰을 생성하며(S633), 기 암호화되어 보안 메모리부(140)에 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트를 주기적으로 처리한다(S635).Thereafter, the data security processing unit 410 generates an update token based on the update seed and the update additional information (S633). The security update encrypts data previously encrypted and stored in the secure memory unit 140 using the update token again. Process periodically (S635).
이상의 설명과 같이 본 발명의 실시예에 의하면, 모바일 단말장치(100)에서의 악성 행위로부터 격리되서 동작하는 보안 서버장치(200)와의 협업을 통해 데이터의 보안성을 보장하기 때문에 보안 메모리부(140)에 저장된 데이터를 사전 공격(dictionary attack) 등의 위협으로부터 보호할 수 있다. 또한, 기 저장된 데이터를 갱신 토큰을 이용하여 다시 암호화하는 보안 업데이트가 이루어지기 때문에 암호화 및 복호화를 위한 관련 정보가 일시 노출된 경우에도 새로운 암호화에 의해 노출된 관련 정보가 무용지물이 되기 때문에 데이터의 보안성이 보장된다.As described above, according to the exemplary embodiment of the present invention, since the security of the data is ensured through collaboration with the security server apparatus 200 which operates in isolation from malicious behavior in the mobile terminal apparatus 100, the secure memory unit 140 ) Can be protected from threats such as dictionary attacks. In addition, since a security update is performed to re-encrypt previously stored data using an update token, even if relevant information for encryption and decryption is temporarily exposed, the related information exposed by new encryption becomes useless. This is guaranteed.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다. Combinations of each block of the block diagrams and respective steps of the flowcharts attached to the present invention may be performed by computer program instructions. These computer program instructions may be mounted on a processor of a general purpose computer, special purpose computer, or other programmable data processing equipment such that instructions executed through the processor of the computer or other programmable data processing equipment may not be included in each block or flowchart of the block diagram. It will create means for performing the functions described in each step. These computer program instructions may be stored in a computer usable or computer readable memory that can be directed to a computer or other programmable data processing equipment to implement functionality in a particular manner, and thus the computer usable or computer readable memory. It is also possible for the instructions stored in to produce an article of manufacture containing instruction means for performing the functions described in each block or flowchart of each step of the block diagram. Computer program instructions may also be mounted on a computer or other programmable data processing equipment, such that a series of operating steps may be performed on the computer or other programmable data processing equipment to create a computer-implemented process to create a computer or other programmable data. Instructions that perform processing equipment may also provide steps for performing the functions described in each block of the block diagram and in each step of the flowchart.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.In addition, each block or step may represent a portion of a module, segment or code that includes one or more executable instructions for executing a specified logical function (s). It should also be noted that in some alternative embodiments, the functions noted in the blocks or steps may occur out of order. For example, the two blocks or steps shown in succession may in fact be executed substantially concurrently or the blocks or steps may sometimes be performed in the reverse order, depending on the functionality involved.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.The above description is merely illustrative of the technical idea of the present invention, and those skilled in the art to which the present invention pertains may make various modifications and changes without departing from the essential characteristics of the present invention. Therefore, the embodiments disclosed in the present invention are not intended to limit the technical idea of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by these embodiments. The scope of protection of the present invention should be interpreted by the following claims, and all technical ideas falling within the scope of the present invention should be construed as being included in the scope of the present invention.

Claims (16)

  1. 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 상기 보안용 토큰과 함께 서버단으로부터 획득하며, 상기 보안용 토큰을 사용하여 데이터의 암호화 또는 복호화를 요청하는 데이터 보안 제어부와,A data security control unit which obtains additional information and seeds used to generate a security token from the server side together with the security token, and requests encryption or decryption of data using the security token; ,
    상기 데이터 보안 제어부로부터 제공받은 상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하며, 상기 데이터의 암호화 또는 복호화가 요청되면 상기 보안용 토큰과 상기 검증용 토근이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 데이터 보안 처리부를 포함하는 모바일 데이터 보안 장치.Generates a verification token based on the seed and the additional information provided from the data security controller, and when the encryption or decryption of the data is requested, the encryption token requested when the security token matches the verification token. Or a data security processor that processes the decryption.
  2. 제 1 항에 있어서,The method of claim 1,
    상기 데이터 보안 제어부는, 상기 서버단에게 상기 보안용 토큰의 발급을 요청할 때에 상기 부가정보에 포함될 식별정보를 제공하는 모바일 데이터 보안 장치.And the data security controller provides identification information to be included in the additional information when requesting the server to issue the security token.
  3. 제 2 항에 있어서,The method of claim 2,
    상기 식별정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 이용하는 모바일 데이터 보안 장치.The identification information is a mobile data security device using a terminal identification number (IMEI, International Mobile Equipment Identity) or application information.
  4. 제 3 항에 있어서,The method of claim 3, wherein
    상기 응용 프로그램 정보는, 패키지 명 또는 서명을 포함하는 모바일 데이터 보안 장치.And the application information includes a package name or signature.
  5. 제 2 항에 있어서,The method of claim 2,
    상기 부가정보는, 시각 정보, 논스(nonce) 또는 상기 데이터 보안 처리부에 의한 생성값 중 어느 하나를 포함하는 모바일 데이터 보안 장치.The additional information includes any one of visual information, nonce, and a value generated by the data security processing unit.
  6. 제 1 항에 있어서,The method of claim 1,
    상기 데이터 보안 처리부는, 상기 서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하며, 상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하고, 상기 갱신 토큰을 이용하여 상기 데이터를 암호화하는 모바일 데이터 보안 장치.The data security processing unit obtains the update additional information and the update seed from the server side, generates an update token based on the update additional information and the update seed, and encrypts the data using the update token. Security device.
  7. 제 6 항에 있어서,The method of claim 6,
    상기 데이터 보안 처리부는, 보안 업데이트를 요청하여 상기 서버단으로부터 상기 갱신 부가정보 및 상기 갱신 시드를 획득하는 모바일 데이터 보안 장치.And the data security processing unit requests the security update to obtain the update additional information and the update seed from the server.
  8. 제 7 항에 있어서,The method of claim 7, wherein
    상기 데이터 보안 처리부는, 상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리하는 모바일 데이터 보안 장치.The data security processing unit periodically requests the security update to periodically process the encryption of the data using the update token.
  9. 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 수신하는 단계와,Receiving additional information and seeds used to generate a security token;
    상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하는 단계와,Generating a verification token based on the seed and the additional information;
    데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 상기 검증용 토큰을 비교하는 단계와,Comparing the verification token with the security token used in the request for encryption or decryption of data;
    상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 단계를 포함하는 모바일 데이터 보안 방법.And processing the encryption or decryption requested when the security token and the verification token match.
  10. 제 9 항에 있어서,The method of claim 9,
    상기 부가정보는, 단말기식별번호(IMEI, International Mobile Equipment Identity) 또는 응용 프로그램 정보를 식별정보로 포함하는 모바일 데이터 보안 방법.The additional information includes a mobile terminal identification number (IMEI, International Mobile Equipment Identity) or application information as identification information.
  11. 제 10 항에 있어서,The method of claim 10,
    상기 응용 프로그램 정보는 패키지 명 또는 서명을 포함하는 모바일 데이터 보안 방법.And the application information includes a package name or signature.
  12. 제 9 항에 있어서,The method of claim 9,
    상기 부가정보는 시각 정보 또는 논스(nonce)을 포함하는 모바일 데이터 보안 방법.The additional information includes visual information or nonce.
  13. 제 9 항에 있어서,The method of claim 9,
    서버단으로부터 갱신 부가정보 및 갱신 시드를 획득하는 단계와,Obtaining the update additional information and the update seed from the server end,
    상기 갱신 부가정보 및 상기 갱신 시드를 바탕으로 갱신 토큰을 생성하는 단계와,Generating an update token based on the update additional information and the update seed;
    상기 갱신 토큰을 이용하여 상기 데이터를 암호화하는 단계를 더 포함하는 모바일 데이터 보안 방법.Encrypting the data using the update token.
  14. 제 13 항에 있어서,The method of claim 13,
    상기 갱신 부가정보 및 갱신 시드를 획득하기 위해 상기 서버단에게 보안 업데이트를 요청하는 단계를 더 포함하는 모바일 데이터 보안 방법.Requesting a security update from the server side to obtain the update additional information and an update seed.
  15. 제 14 항에 있어서,The method of claim 14,
    상기 보안 업데이트를 주기적으로 요청하여 상기 갱신 토큰을 이용한 상기 데이터의 암호화를 주기적으로 처리하는 모바일 데이터 보안 방법.And periodically requesting the security update to periodically encrypt the data using the update token.
  16. 보안용 토큰(token)의 생성에 사용된 부가정보 및 시드(seed)를 수신하는 단계와,Receiving additional information and seeds used to generate a security token;
    상기 시드 및 상기 부가정보를 바탕으로 검증용 토큰을 생성하는 단계와,Generating a verification token based on the seed and the additional information;
    데이터의 암호화 또는 복호화 요청에 이용된 보안용 토큰과 상기 검증용 토큰을 비교하는 단계와,Comparing the verification token with the security token used in the request for encryption or decryption of data;
    상기 보안용 토큰과 상기 검증용 토큰이 일치하는 경우에 요청된 상기 암호화 또는 복호화를 처리하는 단계를 포함하는 모바일 데이터 보안 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.A computer readable program containing instructions for performing each step according to the method for mobile data security, comprising processing the encryption or decryption requested if the security token and the verification token match. Record carrier.
PCT/KR2014/000081 2013-01-07 2014-01-06 Apparatus for securing mobile data and method therefor WO2014107060A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2013-0001432 2013-01-07
KR1020130001432A KR101473656B1 (en) 2013-01-07 2013-01-07 Method and apparatus for security of mobile data

Publications (1)

Publication Number Publication Date
WO2014107060A1 true WO2014107060A1 (en) 2014-07-10

Family

ID=51062336

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/000081 WO2014107060A1 (en) 2013-01-07 2014-01-06 Apparatus for securing mobile data and method therefor

Country Status (2)

Country Link
KR (1) KR101473656B1 (en)
WO (1) WO2014107060A1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107111500B (en) 2014-12-29 2020-10-16 维萨国际服务协会 Wireless provisioning of application libraries
KR102031248B1 (en) * 2019-01-14 2019-10-11 충남대학교산학협력단 Method for verifying safeness in execution environment using security module
KR102299402B1 (en) * 2021-02-03 2021-09-07 (주)아이지코 Terminal control system using beacon data and method for controling the user terminal
KR102561784B1 (en) * 2022-08-30 2023-08-01 주식회사 마크애니 Terminal control system using beacon data and method for controling the user terminal

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100001811A (en) * 2008-06-27 2010-01-06 (주)한국아이피보호기술연구소 Method for generating one time password and system therefor
KR20110075089A (en) * 2009-12-28 2011-07-06 아주대학교산학협력단 System and method for reading a classified digital document using environmental information
KR20120134942A (en) * 2011-06-03 2012-12-12 (주)네오위즈게임즈 Authentification agent and method for authentificating online service and system thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100001811A (en) * 2008-06-27 2010-01-06 (주)한국아이피보호기술연구소 Method for generating one time password and system therefor
KR20110075089A (en) * 2009-12-28 2011-07-06 아주대학교산학협력단 System and method for reading a classified digital document using environmental information
KR20120134942A (en) * 2011-06-03 2012-12-12 (주)네오위즈게임즈 Authentification agent and method for authentificating online service and system thereof

Also Published As

Publication number Publication date
KR101473656B1 (en) 2014-12-24
KR20140089703A (en) 2014-07-16

Similar Documents

Publication Publication Date Title
EP3583740B1 (en) Data owner restricted secure key distribution
CN105245541B (en) Authentication method, equipment and system
GB2442348B (en) Method for provisioning of credentials and software images in secure network environments
EP3282737B1 (en) Information processing device, authentication device, system, information processing method, program, and authentication method
EP4052414B1 (en) Method and electronic device for managing digital keys
US20130174282A1 (en) Digital right management method, apparatus, and system
CN101414913A (en) Computer network authentication system and method based on virtual technology
WO2017166362A1 (en) Esim number writing method, security system, esim number server, and terminal
WO2014107060A1 (en) Apparatus for securing mobile data and method therefor
KR101534566B1 (en) Apparatus and method for security control of cloud virtual desktop
EP3048553B1 (en) Method for distributing applets, and entities for distributing applets
US20150047001A1 (en) Application program execution device
CN106549934B (en) Network equipment safety system
CN112822021B (en) Key management method and related device
US20150310232A1 (en) Active component embedded in cable
CN113407361A (en) Desktop access control method and system
KR101680536B1 (en) Method for Service Security of Mobile Business Data for Enterprise and System thereof
US20190199694A1 (en) Individual encryption of control commands
KR20190007336A (en) Method and apparatus for generating end-to-end security channel, and method and apparatus for transmitting/receiving secure information using security channel
US11722295B2 (en) Methods, apparatus, and articles of manufacture to securely audit communications
KR101566143B1 (en) User Terminal to Protect the Core Codes and Method for Protecting Core Codes Using the Peripheral Devices
US20160063264A1 (en) Method for securing a plurality of contents in mobile environment, and a security file using the same
JP6318246B2 (en) User terminal and core code protection method for application program using the same
CN110996088B (en) Video processing method and related device
WO2013100335A1 (en) Common key management system

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14735438

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14735438

Country of ref document: EP

Kind code of ref document: A1