JP2006155554A - Database encryption and access control method, and security management device - Google Patents

Database encryption and access control method, and security management device Download PDF

Info

Publication number
JP2006155554A
JP2006155554A JP2005091879A JP2005091879A JP2006155554A JP 2006155554 A JP2006155554 A JP 2006155554A JP 2005091879 A JP2005091879 A JP 2005091879A JP 2005091879 A JP2005091879 A JP 2005091879A JP 2006155554 A JP2006155554 A JP 2006155554A
Authority
JP
Japan
Prior art keywords
data
database
security
information
memory
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005091879A
Other languages
Japanese (ja)
Inventor
Moku Yu Chan
チャン・モク,ユ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Penta Security Systems Inc
Original Assignee
Penta Security Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Penta Security Systems Inc filed Critical Penta Security Systems Inc
Publication of JP2006155554A publication Critical patent/JP2006155554A/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a database encryption and access control method capable of encrypting a database in column units, and setting access authority. <P>SOLUTION: This database encryption and access control method includes stages: for receiving data information from a data processing terminal; for transmitting a security data confirmation request corresponding to the received data information to a security memory of the database; for receiving security data information corresponding to the security data confirmation request from the security memory of the database; for performing encryption on the basis of the received data information when the received security data information is effective; and for transmitting the encrypted data information to a data memory of the database. The encrypted data information is stored in the data memory of the database. <P>COPYRIGHT: (C)2006,JPO&NCIPI

Description

本発明は、データベース暗号化及びアクセス制御方法と装置に関するものである。   The present invention relates to a database encryption and access control method and apparatus.

従来の情報処理システムは、防火壁なしで外部から内部に接続し、あるいは防火壁を通過してネットワークが到達する一つの特定システムにユーザ名とパスワードだけあれば誰でも接続することができた。   A conventional information processing system can be connected from outside to inside without a firewall, or anyone with a user name and password can connect to one specific system that reaches the network through the firewall.

従来のデータベースシステムは、ユーザアクセス情報を用いたユーザ管理によって基本的なアクセス統制に対する方法を備えていたが、このようなユーザアクセス情報のみを用いると、データベースシステムへのネットワーク接続が可能であれば、誰でもデータベースシステムにアクセスして内部の情報を検索し、あるいは現在運営中のシステムに変更を加えて致命的な危険を発生させるという問題点があった。   A conventional database system has a method for basic access control by user management using user access information. If only such user access information is used, a network connection to the database system is possible. Anyone can access the database system to search internal information, or change the system currently in operation to cause a fatal danger.

したがって、従来にも、データベースへのアクセスを制御してデータベースを保護する方法が開示された。図1は従来のデータベース保護システムを示す概略図である。図1を参照すると、従来のデータベース保護システム100は、アクセス制御システム101、少なくとも一つのクライアントシステム103、少なくとも一つのデータベース運営サーバ107、及び少なくとも一つのデータベース105を含むことができる。   Therefore, a method for protecting a database by controlling access to the database has been disclosed. FIG. 1 is a schematic diagram showing a conventional database protection system. Referring to FIG. 1, the conventional database protection system 100 may include an access control system 101, at least one client system 103, at least one database management server 107, and at least one database 105.

次に、前記構成を参照して従来のデータベース保護方法を概略的に説明する。従来のデータベースシステムのアクセスを統制する方法は、多数のデータベースシステムと多数のクライアントシステムとの間に連結されたネットワークセッションの接続情報をネットワーク・スニッフィング(sniffing)を用いて検索し、データベース管理者が認証していないクライアントの連結を遮断することであった。   Next, a conventional database protection method will be schematically described with reference to the above configuration. A conventional database system access control method uses network sniffing to search connection information of network sessions connected between a large number of database systems and a large number of client systems. It was to block the connection of unauthenticated clients.

ところが、従来のデータベース保護方法は、ネットワーク・スニッフィングを用いて検索する過程で誤りが生じた場合、データベースの情報が流出するおそれがあるという問題点があった。   However, the conventional database protection method has a problem that information in the database may be leaked if an error occurs in the search process using network sniffing.

そこで、本発明はこのような問題点に鑑みてなされたもので、その目的とするところは、データベースをカラム単位で暗号化し、アクセス権限を設定することが可能なデータベース暗号化及びアクセス制御方法と装置を提供することにある。   Therefore, the present invention has been made in view of such a problem, and an object of the present invention is a database encryption and access control method capable of encrypting a database in units of columns and setting access authority. To provide an apparatus.

上記課題を解決するために、本発明のある観点によれば、少なくとも一つのデータ処理端末及びデータベースと結合するセキュリティ管理モジュールでデータベースを暗号化しアクセスを制御する方法において、前記データ処理端末からデータ情報を受信する段階と、前記データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する段階と、前記データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する段階と、前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う段階と、前記暗号化されたデータ情報を前記データベースのデータメモリに伝送する段階とを含み、前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、データベース暗号化及びアクセス制御方法が提供される。   In order to solve the above problems, according to one aspect of the present invention, in a method for encrypting a database and controlling access with a security management module coupled to at least one data processing terminal and the database, data information from the data processing terminal Receiving a security data confirmation request corresponding to the received data information to the security memory of the database; and security data information corresponding to the security data confirmation request from the security memory of the database. Receiving, if the received security data information is valid, encrypting based on the received data information, and transmitting the encrypted data information to a data memory of the database Including and before Encrypted data information, characterized in that it is stored in the data memory of the database, the database encryption and access control method is provided.

好適な実施例において、前記暗号化は、前記データベースに予め設けられた暗号化関数に基づいて行われることを特徴とする。また、前記データベースのセキュリティメモリに保存されたセキュリティデータ情報は、前記セキュリティ管理モジュールから伝送されたセキュリティカラム情報及びアクセス権限情報に基づいて予め設けられることを特徴とする。また、前記データ処理端末からデータ追加情報を受信する段階と、前記データ追加情報に応答して、前記データベースのセキュリティメモリにアクセス権限確認要請を伝送する段階と、前記データベースセキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を受信する段階と、前記アクセス権限情報が有効な場合、前記データ追加情報に相応する追加データに基づいて暗号化を行う段階と、前記暗号化された追加データ情報を前記データベースのデータメモリに伝送する段階とをさらに含み、前記暗号化された追加データ情報は前記データベースのデータメモリに保存されることを特徴とする。   In a preferred embodiment, the encryption is performed based on an encryption function provided in advance in the database. The security data information stored in the security memory of the database may be provided in advance based on security column information and access authority information transmitted from the security management module. Receiving data additional information from the data processing terminal; transmitting an access authority confirmation request to the security memory of the database in response to the data additional information; and confirming the access authority from the database security memory Receiving access authority information corresponding to the request; if the access authority information is valid; encrypting based on additional data corresponding to the data additional information; and encrypting additional data information Transmitting to the data memory of the database, and the encrypted additional data information is stored in the data memory of the database.

また、前記データ処理端末からデータ要請情報を受信する段階と、前記データ要請情報に応答して、前記データベースのセキュリティメモリにアクセス権限確認要請を伝送する段階と、前記データベースセキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を受信する段階と、前記アクセス権限情報が有効な場合、前記データ要請情報に相応する暗号化されたデータの要請を前記データベースのデータメモリに伝送する段階と、前記データベースのデータメモリから前記暗号化されたデータの要請に相応する暗号化されたデータ情報を受信する段階と、前記受信された暗号化されたデータ情報に基づいて復号化を行う段階と、前記復号化されたデータ情報を前記データ処理端末に伝送する段階とをさらに含むことを特徴とする。   Receiving data request information from the data processing terminal; transmitting an access authority confirmation request to the security memory of the database in response to the data request information; and accessing the access authority confirmation from the database security memory. Receiving access authority information corresponding to the request; transmitting the encrypted data request corresponding to the data request information to the data memory of the database if the access authority information is valid; and Receiving encrypted data information corresponding to the request for the encrypted data from the data memory, decrypting based on the received encrypted data information, and the decryption Further comprising the step of transmitting the processed data information to the data processing terminal. And butterflies.

本発明の他の観点によれば、少なくとも一つのデータ処理端末及びデータベースと結合してデータベースを暗号化し、アクセスを制御するセキュリティ管理装置において、前記データ処理端末からデータ情報を受信する手段と、前記データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する手段と、前記データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する手段と、前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う手段と、前記暗号化されたデータ情報を前記データベースのデータメモリに伝送する手段とを含み、前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、セキュリティ管理装置が提供される。   According to another aspect of the present invention, in a security management apparatus that encrypts a database in combination with at least one data processing terminal and a database and controls access, means for receiving data information from the data processing terminal; Means for transmitting a security data confirmation request corresponding to the received data information to a security memory of the database; means for receiving security data information corresponding to the security data confirmation request from the security memory of the database; and Means for encrypting based on the received data information and means for transmitting the encrypted data information to a data memory of the database if the security data information is valid; Data information is the data Characterized in that it is stored in the data memory of over scan, security management device is provided.

本発明の別の観点によれば、データベースを暗号化しアクセスを制御する方法を行うために、デジタル処理装置によって実行できる命令語のプログラムが類型的に具現されており、デジタル処理装置によって実行できる前記データベース暗号化及びアクセス制御方法が、データ処理端末からデータ情報を受信する段階と、データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する段階と、データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する段階と、前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う段階と、前記暗号化されたデータ情報をデータベースのデータメモリに伝送する段階とを含み、前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、記録媒体が提供される。   According to another aspect of the present invention, in order to perform a method of encrypting a database and controlling access, a program of instruction words that can be executed by a digital processing device is typified and can be executed by the digital processing device. A database encryption and access control method includes receiving data information from a data processing terminal, transmitting a security data confirmation request corresponding to the received data information to a database security memory, and a database security memory. Receiving security data information corresponding to the security data confirmation request from the client, encrypting based on the received data information if the received security data information is valid, and Database data And a step of transmitting to the data memory, the encrypted data information is characterized in that it is stored in the data memory of the database, the recording medium is provided.

本発明によれば、データベースをカラム単位で暗号化し、アクセス権限を設定することが可能なデータベース暗号化及びアクセス制御方法と装置を提供することができる。   ADVANTAGE OF THE INVENTION According to this invention, the database encryption and access control method and apparatus which can encrypt a database per column and can set access authority can be provided.

以下に添付図面を参照しながら、本発明の好適な実施例について詳細に説明する。   Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings.

図2は本発明の好適な実施例に係るデータベース暗号化及びアクセス制御システムを示す概略図である。   FIG. 2 is a schematic diagram illustrating a database encryption and access control system according to a preferred embodiment of the present invention.

図2を参照すると、データベース暗号化及びアクセス制御システムは、セキュリティ管理装置200、インターネット網201、仮想私設通信網(Virtual private network:VPN)203、防火壁サーバ205、認証サーバ207、業務サーバ209、会計サーバ211、人事サーバ213、少なくとも一つのデータ処理端末(例えば、パーソナルコンピュータ)215、217、219、顧客情報データベース221、人事情報データベース223及び会計情報データベース225を含むことができる。   Referring to FIG. 2, the database encryption and access control system includes a security management device 200, an Internet network 201, a virtual private network (VPN) 203, a firewall server 205, an authentication server 207, a business server 209, An accounting server 211, a personnel server 213, at least one data processing terminal (for example, a personal computer) 215, 217, 219, a customer information database 221, a personnel information database 223, and an accounting information database 225 can be included.

ここで、セキュリティ管理装置200は、少なくとも一つのデータベース221、223、225内の特定のカラムに対する暗号化及びアクセス制御を管理することができる。一方、セキュリティ管理装置200には、データベース暗号化及びアクセス制御プログラムが保存されて備えられてもよい。   Here, the security management apparatus 200 can manage encryption and access control for a specific column in at least one of the databases 221, 223, and 225. Meanwhile, the security management apparatus 200 may be provided with a database encryption and access control program stored therein.

また、データベース221、223、225は、データベース内に暗号化しようとする特定のカラム情報及び特定のカラムに対するアクセス制限情報が保存されたセキュリティメモリ、暗号化されていないデータと暗号化されたデータを保存するデータメモリ、及び暗号化関数保存メモリを含むことができる。   The databases 221, 223, and 225 include a security memory in which specific column information to be encrypted and access restriction information for the specific column are stored in the database, unencrypted data and encrypted data. A data memory to store and an encryption function storage memory can be included.

次に、前記構成を参照して本発明に係るデータベース暗号化及びアクセス制御方法を説明する。   Next, a database encryption and access control method according to the present invention will be described with reference to the above configuration.

セキュリティ管理装置200は、データベース221、223、225のセキュリティメモリに、セキュリティカラム情報及びアクセス権限情報を含むセキュリティデータ情報を保存することができる。一方、セキュリティ管理装置200は、データベース221、223、225の暗号化関数保存メモリに暗号化関数を保存することができる。   The security management apparatus 200 can store security data information including security column information and access authority information in the security memories of the databases 221, 223, and 225. On the other hand, the security management apparatus 200 can store the encryption function in the encryption function storage memory of the databases 221, 223, and 225.

その後、セキュリティ管理装置200は、少なくとも一つのデータ処理端末215、217、219からデータ情報を受信することができる。これにより、前記セキュリティ管理装置200は、前記受信されたデータ情報に対する暗号化過程を行うか否かを判断するために、前記受信されたデータ情報に相応するセキュリティデータ確認要請をデータベースのセキュリティメモリに伝送することができる。次いで、前記受信されたデータ情報に対して暗号化過程を行わなければならない場合、前記セキュリティ管理装置200は、データベースのセキュリティメモリからセキュリティデータ有効情報を収集することができる。これにより、前記セキュリティ管理装置は、前記受信されたデータ情報に基づいて前記データベースの暗号化関数保存メモリに予め設けられた暗号化関数に基づいて暗号化過程を行うことができる。その後、前記セキュリティ管理装置は、暗号化されたデータ情報をデータベースのデータメモリに伝送して保存することができる。   Thereafter, the security management apparatus 200 can receive data information from at least one data processing terminal 215, 217, 219. Accordingly, the security management apparatus 200 sends a security data confirmation request corresponding to the received data information to the security memory of the database in order to determine whether to perform an encryption process on the received data information. Can be transmitted. If the received data information has to be encrypted, the security management apparatus 200 can collect security data valid information from the security memory of the database. Accordingly, the security management apparatus can perform an encryption process based on the encryption function provided in advance in the encryption function storage memory of the database based on the received data information. Thereafter, the security management device can transmit the encrypted data information to the data memory of the database for storage.

図3は本発明の好適な実施例に係るデータベースの内部構成を示す概略図である。   FIG. 3 is a schematic diagram showing the internal structure of the database according to the preferred embodiment of the present invention.

図3を参照すると、データベース303は、セキュリティ管理装置301と結合し、セキュリティメモリ305、暗号化関数保存メモリ307、データメモリ309を含むことができる。ここで、前記データメモリ309は、暗号化されたデータ情報311を含むことができる。   Referring to FIG. 3, the database 303 may be combined with the security management apparatus 301 and include a security memory 305, an encryption function storage memory 307, and a data memory 309. Here, the data memory 309 may include encrypted data information 311.

セキュリティメモリ305は、データベース内に暗号化しようとする特定のカラム情報及び特定のカラムに対するアクセス制限情報を保存する領域である。暗号化関数保存メモリ307は、データ情報を暗号化するための少なくとも一つの関数を保存する領域である。データメモリ309は、暗号化されたデータ及び暗号化されていないデータを保存する領域である。   The security memory 305 is an area for storing specific column information to be encrypted and access restriction information for the specific column in the database. The encryption function storage memory 307 is an area for storing at least one function for encrypting data information. The data memory 309 is an area for storing encrypted data and unencrypted data.

図4は本発明の好適な実施例に係るセキュリティデータ情報を保存する過程を概略的に示す信号流れ図である。   FIG. 4 is a signal flow diagram schematically illustrating a process of storing security data information according to a preferred embodiment of the present invention.

図4を参照すると、セキュリティ管理モジュールは、セキュリティメモリにセキュリティデータ情報を伝送することができる(段階401)。ここで、セキュリティデータ情報は、データベースのデータメモリの中でも暗号化しようとするカラム情報及びアクセス権限情報を含むことができる。これにより、データベースは、伝送されたセキュリティデータ情報をセキュリティメモリに保存することができる(段階403)。   Referring to FIG. 4, the security management module may transmit security data information to the security memory (step 401). Here, the security data information can include column information and access authority information to be encrypted in the data memory of the database. As a result, the database can store the transmitted security data information in the security memory (step 403).

図5は本発明の好適な実施例に係るセキュリティ管理モジュールを介して暗号化されたデータ情報をデータベースのデータメモリに保存する過程を示す概略図である。   FIG. 5 is a schematic diagram illustrating a process of storing data information encrypted through a security management module according to a preferred embodiment of the present invention in a data memory of a database.

図5を参照すると、データ処理端末(例えば、パーソナルコンピュータ)は、セキュリティ管理モジュールにデータ情報を伝送することができる(段階501)。これにより、セキュリティ管理モジュールは、セキュリティメモリにセキュリティデータ確認要請を伝送することができる(段階503)。前記セキュリティデータ確認要請に応答して、セキュリティメモリは、セキュリティデータ確認要請情報に相応するセキュリティデータ情報をセキュリティ管理モジュールに伝送することができる(段階505)。この際、セキュリティ管理モジュールは、セキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化過程を行うことができる(段階507)。その後、セキュリティ管理モジュールは、暗号化されたデータ情報をデータメモリに伝送することができる(段階509)。これにより、データメモリに、暗号化されたデータが保存できる(段階511)。   Referring to FIG. 5, a data processing terminal (eg, a personal computer) can transmit data information to the security management module (step 501). Accordingly, the security management module can transmit a security data confirmation request to the security memory (step 503). In response to the security data confirmation request, the security memory may transmit security data information corresponding to the security data confirmation request information to the security management module (step 505). At this time, if the security data information is valid, the security management module may perform an encryption process based on the received data information (step 507). Thereafter, the security management module can transmit the encrypted data information to the data memory (step 509). As a result, the encrypted data can be stored in the data memory (step 511).

図6は本発明の好適な実施例に係る、データベースのデータメモリに、暗号化された追加データを保存する過程を示す概略図である。   FIG. 6 is a schematic diagram illustrating a process of storing encrypted additional data in a data memory of a database according to a preferred embodiment of the present invention.

図6を参照すると、データ処理端末(例えば、パーソナルコンピュータ)はセキュリティ管理モジュールにデータ追加情報を伝送することができる(段階601)。これにより、セキュリティ管理モジュールは、セキュリティメモリにアクセス権限確認要請を伝送することができる(段階603)。その後、セキュリティ管理モジュールは、前記セキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を収集することができる(段階605)。これにより、セキュリティ管理モジュールは、前記データ処理端末から受信されたデータ追加情報に相応する追加データに基づいて暗号化過程を行うことができる(段階607)。次いで、セキュリティ管理モジュールは、データメモリに、暗号化された追加データ情報を伝送することができる(段階609)。これにより、暗号化された追加データはデータメモリに保存できる(段階611)。   Referring to FIG. 6, a data processing terminal (eg, a personal computer) can transmit additional data information to the security management module (step 601). Accordingly, the security management module can transmit an access authority confirmation request to the security memory (step 603). Thereafter, the security management module may collect access authority information corresponding to the access authority confirmation request from the security memory (step 605). Accordingly, the security management module can perform an encryption process based on the additional data corresponding to the data additional information received from the data processing terminal (step 607). The security management module may then transmit the encrypted additional data information to the data memory (step 609). Accordingly, the encrypted additional data can be stored in the data memory (step 611).

図7は本発明の好適な実施例に係るデータベースのデータメモリからデータを削除する過程を示す概略図である。   FIG. 7 is a schematic diagram illustrating a process of deleting data from a data memory of a database according to a preferred embodiment of the present invention.

図7を参照すると、データ処理端末(例えば、パーソナルコンピュータ)は、セキュリティ管理モジュールにデータ削除情報を伝送することができる(段階701)。これにより、セキュリティ管理モジュールは、セキュリティメモリにアクセス権限確認要請を伝送することができる(段階703)。その後、セキュリティ管理モジュールは、前記セキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を収集することができる(段階705)。次いで、セキュリティ管理モジュールは、データメモリに、データ処理端末から受信されたデータ削除情報に相応する削除データ情報を伝送することができる(段階707)。これにより、削除データ情報に相応するデータはデータメモリから削除できる(段階709)。   Referring to FIG. 7, a data processing terminal (eg, a personal computer) can transmit data deletion information to the security management module (step 701). Accordingly, the security management module can transmit an access authority confirmation request to the security memory (step 703). Thereafter, the security management module may collect access authority information corresponding to the access authority confirmation request from the security memory (step 705). Then, the security management module can transmit the deleted data information corresponding to the data deleted information received from the data processing terminal to the data memory (step 707). Accordingly, data corresponding to the deleted data information can be deleted from the data memory (step 709).

図8は本発明の好適な実施例に係るセキュリティ管理モジュールがデータ処理端末からデータ要請情報を受信した場合、復号化過程によってデータ情報を提供する過程を示す概略図である。   FIG. 8 is a schematic diagram illustrating a process of providing data information through a decryption process when the security management module according to the preferred embodiment of the present invention receives data request information from a data processing terminal.

図8を参照すると、データ処理端末は、セキュリティ管理モジュールにデータ要請情報を伝送することができる(段階801)。これにより、セキュリティ管理モジュールは、セキュリティメモリにアクセス権限確認要請を伝送することができる(段階803)。その後、セキュリティ管理モジュールは、前記セキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を収集することができる(段階805)。この際、アクセス権限情報によってデータ処理端末がアクセス権限を持つ場合、セキュリティ管理モジュールは、データメモリに、暗号化されたデータの要請を伝送することができる(段階807)。ここで、アクセス権限は、データベースアカウント、応用プログラム(application)、インターネットアドレス(Internet Protocol:IP)に応じて設定できる。これにより、セキュリティ管理モジュールは、前記データメモリから、前記暗号化されたデータの要請に相応する暗号化されたデータ情報を収集することができる(段階809)。その後、セキュリティ管理モジュールは、前記収集された暗号化されたデータ情報に基づいて復号化過程を行うことができる(段階811)。これにより、セキュリティ管理モジュールは、復号化されたデータ情報をデータ処理端末に伝送することができる(段階813)。   Referring to FIG. 8, the data processing terminal may transmit data request information to the security management module (operation 801). Accordingly, the security management module can transmit an access authority confirmation request to the security memory (step 803). Thereafter, the security management module may collect access authority information corresponding to the access authority confirmation request from the security memory (step 805). At this time, if the data processing terminal has the access authority according to the access authority information, the security management module can transmit the request for the encrypted data to the data memory (step 807). Here, the access authority can be set according to a database account, an application program (application), and an Internet address (IP). Accordingly, the security management module can collect the encrypted data information corresponding to the request for the encrypted data from the data memory (operation 809). Thereafter, the security management module may perform a decryption process based on the collected encrypted data information (operation 811). This allows the security management module to transmit the decrypted data information to the data processing terminal (step 813).

図9は本発明の好適な実施例に係るアクセス権限のないユーザがアクセスした場合の処理過程を示す概略図である。   FIG. 9 is a schematic diagram illustrating a process when a user without access authority accesses according to a preferred embodiment of the present invention.

図9を参照すると、データ処理端末は、セキュリティ管理モジュールにデータ要請情報を伝送することができる(段階901)。これにより、セキュリティ管理モジュールは、セキュリティメモリにアクセス権限確認要請を伝送することができる(段階903)。その後、セキュリティ管理モジュールは、前記セキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を収集することができる(段階905)。この際、アクセス権限情報によってデータ処理端末がアクセス権限を持たない場合、セキュリティ管理モジュールは、データ処理端末にデータアクセス失敗メッセージを伝送することができる(段階907)。   Referring to FIG. 9, the data processing terminal may transmit data request information to the security management module (operation 901). Accordingly, the security management module can transmit an access authority confirmation request to the security memory (step 903). Thereafter, the security management module may collect access authority information corresponding to the access authority confirmation request from the security memory (step 905). At this time, if the data processing terminal does not have access authority according to the access authority information, the security management module may transmit a data access failure message to the data processing terminal (step 907).

図10は本発明の好適な実施例に係るセキュリティ管理モジュールに相応するセキュリティ管理プログラムのログイン過程を示す概略図である。   FIG. 10 is a schematic diagram showing a login process of a security management program corresponding to the security management module according to the preferred embodiment of the present invention.

図10を参照すると、セキュリティ管理者は、セキュリティ管理装置の表示部に出力されたセキュリティ管理ログイン画面1001を通してセキュリティ管理プログラムにログインすることができる。   Referring to FIG. 10, the security administrator can log in to the security management program through the security management login screen 1001 output to the display unit of the security management apparatus.

図11は本発明の好適な実施例に係る暗号化関数に相応するセキュリティエージェント(security agent)インストール画面を示す概略図である。   FIG. 11 is a schematic diagram illustrating a security agent installation screen corresponding to an encryption function according to a preferred embodiment of the present invention.

図11を参照すると、セキュリティ管理モジュール(例えば、DAMOプログラム)は、暗号化関数に相応するセキュリティエージェントを含むことができる。セキュリティ管理装置は、表示部からセキュリティエージェントインストール画面1101を出力することができる。これにより、セキュリティ管理者が「セキュリティエージェントインストール」項目を選択した場合、セキュリティ管理装置は、表示部からセキュリティエージェントインストールウィザード画面1103を出力することができる。ここで、セキュリティ管理者は、セキュリティエージェントインストールウィザード画面1103からデータベースシステム環境を選択することができる。これにより、セキュリティエージェントに相応する暗号化関数をデータベースに備えることができる。この際、セキュリティエージェントは、グラフィカルユーザインターフェース(Graphical User Interface:GUI)を介して簡単にインストールできる。   Referring to FIG. 11, the security management module (eg, DAMO program) may include a security agent corresponding to the encryption function. The security management apparatus can output a security agent installation screen 1101 from the display unit. Thereby, when the security administrator selects the “security agent installation” item, the security management apparatus can output the security agent installation wizard screen 1103 from the display unit. Here, the security administrator can select a database system environment from the security agent installation wizard screen 1103. Thereby, an encryption function corresponding to the security agent can be provided in the database. At this time, the security agent can be easily installed via a graphical user interface (GUI).

図12は本発明の好適な実施例に係るデータベースをカラム単位で暗号化する過程を示す概略図である。   FIG. 12 is a schematic diagram illustrating a process of encrypting a database in units of columns according to a preferred embodiment of the present invention.

図12を参照すると、セキュリティ管理装置は、表示部からDAMO管理フォルダリスト画面1203を出力することができる。この際、セキュリティ管理者がボーナステーブルに相応する「BONUS」項目を選択した場合、セキュリティ管理装置は、表示部からボーナステーブルリスト画面1205を出力することができる。この際、セキュリティ管理者は、ボーナステーブルリスト画面1205から、暗号化しようとするサラリー(salary)カラムに相応する「SAL」項目を選択することができる。これにより、データベース1201のボーナステーブルに保存されているサラリーカラムを暗号化することができる。   Referring to FIG. 12, the security management apparatus can output a DAMO management folder list screen 1203 from the display unit. At this time, when the security manager selects the “BONUS” item corresponding to the bonus table, the security management apparatus can output the bonus table list screen 1205 from the display unit. At this time, the security administrator can select the “SAL” item corresponding to the salary column to be encrypted from the bonus table list screen 1205. Thereby, the salary column stored in the bonus table of the database 1201 can be encrypted.

図13は本発明の好適な実施例に係るセキュリティポリシー設定過程を概略的に示す図である。   FIG. 13 is a diagram schematically illustrating a security policy setting process according to a preferred embodiment of the present invention.

図13を参照すると、セキュリティ管理装置は、データベース管理メニュー画面1301を表示部から出力することができる。この際、セキュリティ管理者がデータベースセキュリティポリシー設定項目を選択すると、セキュリティ管理装置は、表示部からデータベースセキュリティポリシー設定画面1303を出力することができる。この際、セキュリティ管理者は、データベースセキュリティポリシー設定画面1303からオートロールバック(Auto Rollback)、暗号化アルゴリズム、初期ベクトル(Initial Vector)及び運営モードを選択することができる。一方、セキュリティ管理者は、監査ログ(Audit Log)オプションを選択することもできる。   Referring to FIG. 13, the security management apparatus can output a database management menu screen 1301 from the display unit. At this time, when the security administrator selects a database security policy setting item, the security management apparatus can output a database security policy setting screen 1303 from the display unit. At this time, the security administrator can select an auto rollback, an encryption algorithm, an initial vector, and an operation mode from the database security policy setting screen 1303. On the other hand, the security administrator can also select an Audit Log option.

図14は本発明の好適な実施例に係る初期ベクトルを用いて暗号化する過程を示す概略図である。   FIG. 14 is a schematic diagram illustrating a process of encryption using an initial vector according to a preferred embodiment of the present invention.

図14を参照すると、データベース1401に含まれた暗号化しようとする原文データに相応する「山田太郎」1403に同一のアルゴリズムを適用しても、初期ベクトル(Initial Vector)によって暗号化されたデータが異なる。つまり、初期ベクトルを用いて暗号化されたデータ1405は、同一の原文に対して相異なる結果値で生成できる。ところが、初期ベクトルを用いずに暗号化されたデータ1407は、同一の原文に対して同一の結果値で生成できる。したがって、初期ベクトルを用いることにより、同一の原文に同一の暗号化アルゴリズムを使用しても、それぞれ異なる結果値を生成し、暗号化パターンを類推する攻撃に備えることができる。   Referring to FIG. 14, even if the same algorithm is applied to “Taro Yamada” 1403 corresponding to the original text data to be encrypted included in the database 1401, the data encrypted by the initial vector (Initial Vector) remains. Different. That is, the data 1405 encrypted using the initial vector can be generated with different result values for the same original text. However, the data 1407 encrypted without using the initial vector can be generated with the same result value for the same original text. Therefore, by using the initial vector, even if the same encryption algorithm is used for the same original text, different result values can be generated to prepare for an attack that analogizes the encryption pattern.

図15は本発明の好適な実施例に係る暗号化作業処理過程を示す概略図である。   FIG. 15 is a schematic diagram illustrating an encryption work process according to a preferred embodiment of the present invention.

図15を参照すると、セキュリティ管理装置は、表示部から暗号化進行過程画面1501を出力することができる。この際、暗号化作業第5段階でエラーが発生した場合、セキュリティ管理装置は。エラーの際に作業選択画面1503を表示部から出力することができる。これにより、暗号化設定及び除去作業中にエラーが発生した場合、オートロールバックまたは修正後に連続して作業を行うことができる。   Referring to FIG. 15, the security management apparatus can output an encryption progress process screen 1501 from the display unit. At this time, if an error occurs in the fifth stage of the encryption operation, the security management device. A work selection screen 1503 can be output from the display unit when an error occurs. Thereby, when an error occurs during the encryption setting and removal work, the work can be continuously performed after the auto rollback or correction.

図16は本発明の好適な実施例に係るアクセス権限設定過程を示す概略図である。   FIG. 16 is a schematic diagram illustrating an access authority setting process according to a preferred embodiment of the present invention.

図16を参照すると、セキュリティ管理装置は、カラムリスト画面1601を表示部から出力することができる。この際、セキュリティ管理者が例えば「ENAME」カラムを選択した場合、セキュリティ管理装置は、暗号化アクセス設定画面を表示部から出力することができる。ここで、暗号化権限設定画面は、暗号化権限を付与しないユーザのリスト1603及び暗号化権限を付与するユーザのリスト1605を含むことができる。例えば、「DBSNMP」に相応するユーザは暗号化権限を、「OUTLN」に相応するユーザは復号化権限をそれぞれ持つ。   Referring to FIG. 16, the security management apparatus can output a column list screen 1601 from the display unit. At this time, when the security administrator selects, for example, the “ENAME” column, the security management apparatus can output the encrypted access setting screen from the display unit. Here, the encryption authority setting screen can include a list 1603 of users who are not granted encryption authority and a list 1605 of users who are assigned encryption authority. For example, a user corresponding to “DBSNMP” has an authority to encrypt, and a user corresponding to “OUTLN” has an authority to decrypt.

図17は本発明の好適な実施例に係るインターネットアドレスに応じてアクセス権限を与える過程を示す概略図である。   FIG. 17 is a schematic diagram illustrating a process of granting access authority according to an Internet address according to a preferred embodiment of the present invention.

図17を参照すると、セキュリティ管理装置は、表示部から、アクセス許容IP(Internet Protocol)リスト画面1701及びアクセス遮断IPリスト画面1703を出力することができる。例えば、「192.168.0.138」に相応するIPはアクセス権限を持つ。セキュリティ管理装置はIPアクセス権限設定画面1705を表示部から出力することができる。例えば、「192.168.0」〜「092.168.1」に相応するIPはアクセス権限を持つ。   Referring to FIG. 17, the security management apparatus can output an access permitted IP (Internet Protocol) list screen 1701 and an access blocking IP list screen 1703 from the display unit. For example, an IP corresponding to “192.168.0.138” has access authority. The security management apparatus can output an IP access authority setting screen 1705 from the display unit. For example, IPs corresponding to “192.168.8.0” to “092.16.81” have access authority.

図18は本発明の好適な実施例に係る応用プログラムによってアクセス権限を与える過程を示す概略図である。   FIG. 18 is a schematic diagram showing a process of giving access authority by an application program according to a preferred embodiment of the present invention.

図18を参照すると、セキュリティ管理装置は、表示部からアプリケーションリスト画面1801を出力することができる。この際、セキュリティ管理者が新しいアプリケーションアカウントを生成しようとする場合、セキュリティ管理装置は、表示部からアプリケーションアカウント生成画面1803を出力することができる。この際、セキュリティ管理者は、前記アプリケーションアカウント生成画面1803を通して新しいアプリケーションアカウントを生成することができる。これにより、セキュリティ管理装置は、新しいアプリケーション(例えば、「APP1」という)の含まれたアプリケーションリスト画面1805を表示部から出力することもできる。   Referring to FIG. 18, the security management apparatus can output an application list screen 1801 from the display unit. At this time, when the security administrator tries to generate a new application account, the security management apparatus can output an application account generation screen 1803 from the display unit. At this time, the security administrator can generate a new application account through the application account generation screen 1803. Accordingly, the security management apparatus can output from the display unit an application list screen 1805 including a new application (for example, “APP1”).

図19は本発明の好適な実施例に係る暗号化されたデータ情報を保護するための過程を示す概略図である。   FIG. 19 is a schematic diagram illustrating a process for protecting encrypted data information according to a preferred embodiment of the present invention.

図19を参照すると、セキュリティ管理装置は、表示部からセキュリティ管理ファイルリスト画面1901を出力することができる。この際、セキュリティ管理者がDAMOに相応するアプリケーションアカウントに対するパスワードを変更しようとする場合、セキュリティ管理装置は、表示部からパスワード変更画面1903を出力することができる。これにより、セキュリティ管理者は、DAMOに相応するアプリケーションアカウントのパスワードを変更することができる。   Referring to FIG. 19, the security management apparatus can output a security management file list screen 1901 from the display unit. At this time, when the security administrator attempts to change the password for the application account corresponding to DAMO, the security management apparatus can output a password change screen 1903 from the display unit. As a result, the security administrator can change the password of the application account corresponding to DAMO.

図20は本発明の好適な実施例に係る監査ログ管理画面を示す概略図である。   FIG. 20 is a schematic diagram showing an audit log management screen according to a preferred embodiment of the present invention.

図20を参照すると、セキュリティ管理装置は、暗号化されたデータ情報に対するアクセス結果情報を記録することができる。これにより、セキュリティ管理装置は、監査ログ管理画面2001を通してアクセスを試みたアクセス者のリストを出力することができる。この際、セキュリティ管理者が監査ログ管理画面2001の「ログ保存」項目を選択すると、セキュリティ管理装置は、アクセス者リスト画面2003をエクセル(Excel)プログラムを介して出力することができる。   Referring to FIG. 20, the security management apparatus can record access result information for encrypted data information. As a result, the security management apparatus can output a list of access users who attempted access through the audit log management screen 2001. At this time, when the security administrator selects the “log save” item on the audit log management screen 2001, the security management apparatus can output the accessor list screen 2003 via an Excel program.

本発明は上述した実施例に限定されないことは言うまでもない。当該分野で通常の知識を有する者であれば、本発明の思想内において、各種の変更例または修正例に想到し得ることは明らかである。   It goes without saying that the present invention is not limited to the embodiments described above. It is obvious that a person having ordinary knowledge in the field can come up with various changes or modifications within the spirit of the present invention.

従来のデータベース保護システムを示す概略図である。It is the schematic which shows the conventional database protection system. 本発明の好適な実施例に係るデータベース暗号化及びアクセス制御システムを示す概略図である。1 is a schematic diagram illustrating a database encryption and access control system according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るデータベースの内部構成を示す概略図である。It is the schematic which shows the internal structure of the database which concerns on the preferable Example of this invention. 本発明の好適な実施例に係るセキュリティデータ情報を保存する過程を概略的に示す信号流れ図である。3 is a signal flow diagram schematically illustrating a process of storing security data information according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るセキュリティ管理モジュールを介して暗号化されたデータ情報をデータベースのデータメモリに保存する過程を示す概略図である。FIG. 6 is a schematic diagram illustrating a process of storing data information encrypted through a security management module according to a preferred embodiment of the present invention in a data memory of a database. 本発明の好適な実施例に係るデータベースのデータメモリに暗号化された追加データを保存する過程を示す概略図である。FIG. 5 is a schematic diagram illustrating a process of storing encrypted additional data in a data memory of a database according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るデータベースのデータメモリにデータを削除する過程を示す概略図である。FIG. 3 is a schematic diagram illustrating a process of deleting data in a data memory of a database according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るセキュリティ管理モジュールがデータ処理端末からデータ要請情報を受信した場合、復号化過程によってデータ情報を提供する過程を示す概略図である。7 is a schematic diagram illustrating a process of providing data information through a decryption process when a security management module according to a preferred embodiment of the present invention receives data request information from a data processing terminal. 本発明の好適な実施例に係るアクセス権限のないユーザがアクセスした場合の処理過程を示す概略図である。FIG. 6 is a schematic diagram illustrating a process when a user without access authority accesses according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るセキュリティ管理モジュールに相応するセキュリティ管理プログラムのログイン過程を示す概略図である。FIG. 5 is a schematic diagram illustrating a login process of a security management program corresponding to a security management module according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る暗号化関数に相応するセキュリティエージェントインストール画面を示す概略図である。FIG. 6 is a schematic diagram illustrating a security agent installation screen corresponding to an encryption function according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るデータベースをカラム単位で暗号化する過程を示す概略図である。FIG. 5 is a schematic diagram illustrating a process of encrypting a database in units of columns according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るセキュリティポリシー設定過程を示す概略図である。FIG. 5 is a schematic diagram illustrating a security policy setting process according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る初期ベクトルを用いて暗号化する過程を示す概略図である。FIG. 6 is a schematic diagram illustrating a process of encryption using an initial vector according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る暗号化作業処理過程を示す概略図である。FIG. 6 is a schematic diagram illustrating an encryption work process according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るアクセス権限設定過程を示す概略図である。FIG. 5 is a schematic diagram illustrating an access authority setting process according to a preferred embodiment of the present invention. 本発明の好適な実施例に係るインターネットアドレスに応じてアクセス権限を与える過程を示す概略図である。FIG. 5 is a schematic diagram illustrating a process of granting access authority according to an Internet address according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る応用プログラムに応じてアクセス権限を与える過程を示す概略図である。FIG. 6 is a schematic diagram illustrating a process of giving access authority according to an application program according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る暗号化されたデータ情報を保護するための過程を示す概略図である。FIG. 6 is a schematic diagram illustrating a process for protecting encrypted data information according to a preferred embodiment of the present invention. 本発明の好適な実施例に係る監査ログ管理画面を示す概略図である。It is the schematic which shows the audit log management screen which concerns on the preferable Example of this invention.

符号の説明Explanation of symbols

301 セキュリティ管理装置
303 データベース
305 セキュリティメモリ
307 暗号化関数保存メモリ 301 Security Management Device 303 Database 305 Security Memory 307 Encryption Function Storage Memory

Claims (7)

少なくとも一つのデータ処理端末及びデータベースと結合するセキュリティ管理モジュールでデータベースを暗号化しアクセスを制御する方法において、
前記データ処理端末からデータ情報を受信する段階と、
前記データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する段階と、
前記データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する段階と、
前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う段階と、
前記暗号化されたデータ情報を前記データベースのデータメモリに伝送する段階とを含み、
前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、データベース暗号化及びアクセス制御方法。 In a method of controlling access by encrypting a database with at least one data processing terminal and a security management module combined with the database,
Receiving data information from the data processing terminal;
Transmitting a security data confirmation request corresponding to the received data information to a security memory of the database;
Receiving security data information corresponding to the security data confirmation request from the security memory of the database;
If the received security data information is valid, encrypting based on the received data information;
Transmitting the encrypted data information to a data memory of the database,
A database encryption and access control method, wherein the encrypted data information is stored in a data memory of the database. 前記暗号化は、前記データベースに予め設けられた暗号化関数に基づいて行われることを特徴とする、請求項1に記載のデータベース暗号化及びアクセス制御方法。   The database encryption and access control method according to claim 1, wherein the encryption is performed based on an encryption function provided in advance in the database. 前記データベースのセキュリティメモリに保存されたセキュリティデータ情報は、前記セキュリティ管理モジュールから伝送されたセキュリティカラム情報及びアクセス権限情報に基づいて予め設けられることを特徴とする、請求項1に記載のデータベース暗号化及びアクセス制御方法。   The database encryption according to claim 1, wherein the security data information stored in the security memory of the database is provided in advance based on security column information and access authority information transmitted from the security management module. And an access control method. 前記データ処理端末からデータ追加情報を受信する段階と、
前記データ追加情報に応答して、前記データベースのセキュリティメモリにアクセス権限確認要請を伝送する段階と、
前記データベースセキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を受信する段階と、
前記アクセス権限情報が有効な場合、前記データ追加情報に相応する追加データに基づいて暗号化を行う段階と、
前記暗号化された追加データ情報を前記データベースのデータメモリに伝送する段階とをさらに含み、
前記暗号化された追加データ情報は前記データベースのデータメモリに保存されることを特徴とする、請求項1に記載のデータベース暗号化及びアクセス制御方法。 Receiving additional data information from the data processing terminal;
Transmitting an access authority confirmation request to the security memory of the database in response to the data additional information;
Receiving access authority information corresponding to the access authority confirmation request from the database security memory;
If the access authority information is valid, performing encryption based on additional data corresponding to the data additional information;
Transmitting the encrypted additional data information to a data memory of the database;
The database encryption and access control method according to claim 1, wherein the encrypted additional data information is stored in a data memory of the database. 前記データ処理端末からデータ要請情報を受信する段階と、
前記データ要請情報に応答して、前記データベースのセキュリティメモリにアクセス権限確認要請を伝送する段階と、
前記データベースセキュリティメモリから前記アクセス権限確認要請に相応するアクセス権限情報を受信する段階と、
前記アクセス権限情報が有効な場合、前記データ要請情報に相応する暗号化されたデータの要請を前記データベースのデータメモリに伝送する段階と、
前記データベースのデータメモリから前記暗号化されたデータの要請に相応する暗号化されたデータ情報を受信する段階と、
前記受信された暗号化されたデータ情報に基づいて復号化を行う段階と、
前記復号化されたデータ情報を前記データ処理端末に伝送する段階とをさらに含むことを特徴とする、請求項1に記載のデータベース暗号化及びアクセス制御方法。 Receiving data request information from the data processing terminal;
In response to the data request information, transmitting an access authority confirmation request to the security memory of the database;
Receiving access authority information corresponding to the access authority confirmation request from the database security memory;
If the access authority information is valid, transmitting a request for encrypted data corresponding to the data request information to a data memory of the database;
Receiving encrypted data information corresponding to the request for encrypted data from a data memory of the database;
Performing decryption based on the received encrypted data information;
The database encryption and access control method according to claim 1, further comprising: transmitting the decrypted data information to the data processing terminal. 少なくとも一つのデータ処理端末及びデータベースと結合してデータベースを暗号化し、アクセスを制御するセキュリティ管理装置において、
前記データ処理端末からデータ情報を受信する手段と、
前記データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する手段と、
前記データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する手段と、
前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う手段と、
前記暗号化されたデータ情報を前記データベースのデータメモリに伝送する手段とを含み、
前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、セキュリティ管理装置。 In a security management device that controls access by encrypting a database in combination with at least one data processing terminal and database,
Means for receiving data information from the data processing terminal;
Means for transmitting a security data confirmation request corresponding to the received data information to a security memory of the database;
Means for receiving security data information corresponding to the security data confirmation request from the security memory of the database;
Means for performing encryption based on the received data information if the received security data information is valid;
Means for transmitting the encrypted data information to a data memory of the database;
The security management apparatus, wherein the encrypted data information is stored in a data memory of the database. データベースを暗号化しアクセスを制御する方法を行うために、デジタル処理装置によって実行できる命令語のプログラムが類型的に具現されており、デジタル処理装置に実行できる前記データベース暗号化及びアクセス制御方法が、
データ処理端末からデータ情報を受信する段階と、
データベースのセキュリティメモリに、前記受信されたデータ情報に相応するセキュリティデータ確認要請を伝送する段階と、
データベースのセキュリティメモリから前記セキュリティデータ確認要請に相応するセキュリティデータ情報を受信する段階と、
前記受信されたセキュリティデータ情報が有効な場合、前記受信されたデータ情報に基づいて暗号化を行う段階と、
前記暗号化されたデータ情報をデータベースのデータメモリに伝送する段階とを含み、
前記暗号化されたデータ情報は前記データベースのデータメモリに保存されることを特徴とする、記録媒体。
In order to perform a method of encrypting a database and controlling access, a program of instruction words that can be executed by a digital processing device is typified, and the database encryption and access control method that can be executed by a digital processing device includes:
Receiving data information from the data processing terminal;
Transmitting a security data confirmation request corresponding to the received data information to a security memory of a database;
Receiving security data information corresponding to the security data confirmation request from the security memory of the database;
If the received security data information is valid, encrypting based on the received data information;
Transmitting the encrypted data information to a data memory of a database,
The recording medium, wherein the encrypted data information is stored in a data memory of the database.
JP2005091879A 2004-11-25 2005-03-28 Database encryption and access control method, and security management device Pending JP2006155554A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020040097623A KR20060058546A (en) 2004-11-25 2004-11-25 Method and apparatus for providing database encryption and access control

Publications (1)

Publication Number Publication Date
JP2006155554A true JP2006155554A (en) 2006-06-15

Family

ID=36633728

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005091879A Pending JP2006155554A (en) 2004-11-25 2005-03-28 Database encryption and access control method, and security management device

Country Status (2)

Country Link
JP (1) JP2006155554A (en)
KR (1) KR20060058546A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102236766A (en) * 2011-05-10 2011-11-09 桂林电子科技大学 Security data item level database encryption system
JP7250390B1 (en) 2022-09-27 2023-04-03 Eaglys株式会社 Data sharing system, data sharing method, and data sharing program

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20080080706A1 (en) * 2006-09-29 2008-04-03 Fujitsu Limited Code conversion apparatus, code conversion method, and computer product
KR101146510B1 (en) * 2010-05-20 2012-05-25 소프트포럼 주식회사 System for encrypting synchronization database and method therefor
KR101563461B1 (en) 2015-03-24 2015-10-26 주식회사 티맥스데이터 Method, server and computer program for security management in database
KR101613146B1 (en) 2015-03-24 2016-04-18 주식회사 티맥스데이터 Method for encrypting database
KR20160114492A (en) 2015-09-17 2016-10-05 주식회사 티맥스데이터 Method, server and computer program for security management in database
KR101692055B1 (en) 2016-02-24 2017-01-18 주식회사 티맥스데이터 Method, apparatus, and computer program stored in computer readable storage medium for managing shared memory in database server
KR101747265B1 (en) 2016-06-20 2017-06-15 주식회사 티맥스데이터 Method and apparatus for executing query and computer readable medium therefor
KR101751970B1 (en) 2016-06-20 2017-07-03 주식회사 티맥스데이터 Method and apparatus for executing query and computer readable medium therefor

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3698851B2 (en) * 1997-02-20 2005-09-21 株式会社日立製作所 Database security management method and system
JPH11143780A (en) * 1997-11-05 1999-05-28 Hitachi Ltd Method and device for managing secret information in database
US7111005B1 (en) * 2000-10-06 2006-09-19 Oracle International Corporation Method and apparatus for automatic database encryption
JP2002169808A (en) * 2000-11-30 2002-06-14 Hitachi Ltd Secure multi-database system
JP4050050B2 (en) * 2001-12-17 2008-02-20 株式会社アクアキャスト Relational database, index table creation method in the relational database, range search method in the relational database, and rank search method for the range search
JP2004094616A (en) * 2002-08-30 2004-03-25 Sony Corp Security management system, method and program, and computer-readable program storage medium for recording security management program
KR100554638B1 (en) * 2003-12-22 2006-02-22 김학수 Internet Server with Multiple Password System and Control Method Thereof
KR20050121778A (en) * 2004-06-23 2005-12-28 육상수 Method and system for audit and control database system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102236766A (en) * 2011-05-10 2011-11-09 桂林电子科技大学 Security data item level database encryption system
CN102236766B (en) * 2011-05-10 2014-04-09 桂林电子科技大学 Security data item level database encryption system
JP7250390B1 (en) 2022-09-27 2023-04-03 Eaglys株式会社 Data sharing system, data sharing method, and data sharing program
WO2024070290A1 (en) * 2022-09-27 2024-04-04 Eaglys株式会社 Data sharing system, data sharing method, and data sharing program
JP2024048309A (en) * 2022-09-27 2024-04-08 Eaglys株式会社 DATA SHARING SYSTEM, DATA SHARING METHOD, AND DATA SHARING PROGRAM

Also Published As

Publication number Publication date
KR20060058546A (en) 2006-05-30

Similar Documents

Publication Publication Date Title
US8045714B2 (en) Systems and methods for managing multiple keys for file encryption and decryption
JP2006155554A (en) Database encryption and access control method, and security management device
US9094194B2 (en) Method and system for automating the recovery of a credential store when a user has forgotten their password using a temporary key pair created based on a new password provided by the user
USRE44364E1 (en) Method of encrypting information for remote access while maintaining access control
US7912223B2 (en) Method and apparatus for data protection
EP1953670A2 (en) System and method of storage device data encryption and data access
JP2017069988A (en) Multiple authority data security and access
US20100095118A1 (en) Cryptographic key management system facilitating secure access of data portions to corresponding groups of users
US20050097366A1 (en) Enterprise computer investigation system
US20080181406A1 (en) System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
JP2003228519A (en) Method and architecture for providing pervasive security for digital asset
EP1320957A1 (en) System for establishing an audit trail to protect objects distributed over a network
JP2003228520A (en) Method and system for offline access to secured electronic data
US20140304830A1 (en) Generating a data audit trail for cross perimeter data transfer
JP2004288169A (en) Network connection system
WO2008151542A1 (en) Method for controlling accessing to an electronic mail and electronic mail server
US20080162948A1 (en) Digital Information Storage System, Digital Information Security System, Method for Storing Digital Information and Method for Service Digital Information
US20150106892A1 (en) Method and Device for Credential and Data Protection
TWI573079B (en) Information security management system and method for electronic document
CN108399341B (en) Windows dual file management and control system based on mobile terminal
JP4289817B2 (en) Information management apparatus and method
KR100586030B1 (en) Method for managing information needed to recovery crytographic key
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
JP2013190884A (en) License management system and client terminal
JPH10105470A (en) Method for authenticating file access

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081105

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090331