JP2017507445A - 暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法 - Google Patents
暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法 Download PDFInfo
- Publication number
- JP2017507445A JP2017507445A JP2016568769A JP2016568769A JP2017507445A JP 2017507445 A JP2017507445 A JP 2017507445A JP 2016568769 A JP2016568769 A JP 2016568769A JP 2016568769 A JP2016568769 A JP 2016568769A JP 2017507445 A JP2017507445 A JP 2017507445A
- Authority
- JP
- Japan
- Prior art keywords
- decryption
- mass
- encrypted data
- blocking
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 85
- 238000012544 monitoring process Methods 0.000 title claims abstract description 78
- 230000000903 blocking effect Effects 0.000 title claims abstract description 56
- 230000008569 process Effects 0.000 claims abstract description 37
- 238000013475 authorization Methods 0.000 claims abstract description 16
- 238000012545 processing Methods 0.000 claims description 11
- 230000006870 function Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Storage Device Security (AREA)
Abstract
【課題】暗号化されたデータに対するアクセス権限が与えられた認可者の情報流出を監視及び遮断できるシステム又はその方法を提供する。【解決手段】暗号化されたデータを監視し、前記暗号化されたデータの大量復号化を遮断するためのシステムであって、復号化情報を保存するACユニットと、ACユニットから復号化情報を受信し、暗号化されたデータを復号化するクリプトユニットと、クリプトユニットが復号化処理する件数をカウントするカウンターと、カウンターでカウントされた復号化処理された件数を保存するイベントロガーと、クリプトユニットから復号化された処理件数に関する情報を受信し、表示する監視サーバーとを含み、暗号化されたデータを監視し、暗号化されたデータに対して、認可権限が与えられた認可者の大量復号化の監視と遮断を可能にする効果を提供する。【選択図】図1
Description
本発明は、データベースセキュリティ分野に属するものであり、重要情報又は機密情報を暗号化し、保存/処理しているデータベースにおいて、暗号化及び復号化のエラー処理状況の監視及びリアルタイム対応方法に関し、また、暗号化されたデータが正常に作動する状況において、権限が認可されたユーザーがデータを復号化し、流出しようとする兆候を把握し、これに対する警告及び遮断する技術に関する。
多数のユーザーがアクセス又は使用できるデータベース(DB)を暗・復号化する方法の一つとしては、暗号モジュールをDBサーバー内に設け、DBMS(database management system)が暗号モジュールを呼び出し、SQL(structured query language、データベース構造化照会言語)等のデータ処理過程で暗号化又は復号化が処理される形態がある。
データを暗・復号化する、他の方式では、暗号モジュールをDBサーバーでないアプリケーションサーバーなどに設け、データベースとは関係なく暗・復号化処理をすることもある。
暗・復号化のいかなる方式であれ、データの処理過程で暗・復号化がプログラムの呼び出しによって自動作動するため、管理者は、その処理過程を監視することができないことから、暗号モジュールが正常に作動せず、エラーが発生しても、ユーザーからエラー事実が通報されるか、作動ログを点検するまで、その事実を認知することができず、これにより、長時間、暗・復号化エラーが継続して発生する問題があった。
現在、データベース自体の稼動状態を監視できる技術は存在しているが、データベース・サーバ又はアプリケーションサーバーなどに設けられた暗号モジュールの暗・復号処理過程やそのエラー状況を監視できる技術は、開発されていない。
また、正常に作動する暗号化されたデータから発生しうるセキュリティー問題の一つは、近年、金融界などで引き起こされた流出事故のように、権限が認可された者が故意にデータを流出しようとする試みを確実、且つ直接的な方法で遮断し難いという問題である。
これに対して、たとえば、ネットワーク経路上に設けられ、運営されるセキュリティー製品を用いて、間接的な制御構造を構成することはできるが、データの処理と直接的に関連性のないネットワーク上のセキュリティー製品を利用した制御は、間接的であり、且つ不確実である。暗号化製品においても、一般的なルールベースの制御方式(RBAC;Rule Based Access Control)では、DB、ファイル又はディスクなどに対するアクセスだけを制御するので、認可条件を満たした認可者が非正常的に大量のデータを復号化することを直接制御することが不可能であるために、他の方式による追加的な制御が必要とされる。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法は、前述したような従来問題を解決するために案出されたものであり、以下の解決課題を有する。
第一に、暗号化されたデータに対するアクセス権限が与えられた認可者の情報流出を監視及び遮断できるシステム又はその方法を提供する。
第二に、認可者が暗号化されたデータにアクセスし、復号化する場合、復号化件数を時間当り又は累積的に監視できるようにするシステム又はその方法を提供する。
第三に、認可者が暗号化されたデータを短時間に大量復号化するか、累積的に大量復号化を進めることを監視できるようにし、監視者に、このような状況をリアルタイムで知らせることができるシステム又はその方法を提供する。
本発明の解決課題は、以上で言及されたものなどに限定されることはなく、言及されない他の解決課題は、下記記載から当業者に明確に理解されるであろう。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法は前記の解決しようとする課題のために、以下の課題解決手段を有する。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムは、暗号化されたデータを監視し前記暗号化されたデータの大量復号化を遮断するためのシステムであって、復号化情報を保存するACユニット(access control unit)と、前記ACユニットから前記復号化情報を受信し、暗号化されたデータを復号化するクリプトユニット(crypto unit)と、前記クリプトユニットが復号化処理する件数をカウントするカウンター(counter)と、前記カウンターでカウントされた前記復号化処理された件数を保存するイベントロガー(event logger)と、前記クリプトユニットから、前記復号化された処理件数に関する情報を受信し、表示する監視サーバーとを含むことを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムは、前記イベントロガーに保存された前記復号化処理された件数を受信し、前記監視サーバーへ伝送するデーモンユニットを更に含むことを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記カウンターは、メモリー、ファイル、DBテーブル及び遠隔地サーバーよりなる群から選ばれる一つであることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記復号化情報は、復号化に対する認可条件と前記認可条件別に復号化件数臨界値に関する情報を含み、前記監視サーバーは、前記クリプトユニットが行う復号化件数が、前記復号化件数臨界値に達したとき、前記クリプトユニットの復号化機能を遮断し、警報を発生させることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記監視サーバーは、受信した前記復号化された処理件数に関する情報を保存するデータベースと、受信した前記復号化された処理件数に関する情報を、ダッシュボードGUIを介して表示する監視ユニットとを含むことを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記クリプトユニットは、復号化を要請するユーザーのアカウント情報、復号化を要請するユーザーのサーバー名、復号化を要請するユーザーのIPアドレス及び復号化を要請するユーザーのアプリケーション名よりなる群から選ばれる少なくとも一つを前記イベントロガーに記録することを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記認可条件は、前記復号化を要請するユーザーのID、前記復号化を要請する側のIPアドレス、前記復号化を要請するアプリケーションの種類に応じて異なることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記復号化件数臨界値は、単位時間当りの所定の復号化件数に該当し、前記所定の復号化件数は、任意設定可能であることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記カウンターは、暗号化されたデータのセッション(session)に基づいて、復号化処理する件数をカウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記カウンターは、復号化を要請するアプリケーションのプロセッサ又はスレッド(thread)に基づいて、復号化処理する件数をカウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記監視サーバーは、前記警報を、前記監視サーバーを運営する管理者の端末機へ伝送することを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記警報は、Eメール又はSMS方式で前記管理者の端末機へ伝送されることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムの前記復号化件数臨界値は、複数個の段階を有すること特徴とする。
本発明に係る暗号化されたデータの監視と前記暗号化されたデータの大量復号化を遮断するための方法は、((a)クリプトユニットによって暗号化されたデータを復号化するステップと、(b)前記クリプトユニットが復号化処理件数をカウントするステップと、(c)前記復号化処理件数に関する情報を受信するステップと、(d)前記復号化処理件数と復号化件数臨界値とを比較するステップと、(e)前記クリプトユニットが行った復号化処理件数が、前記復号化件数臨界値に達したとき、前記クリプトユニットの復号化機能を遮断するステップとを含むことを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記ステップ(b)は、暗号化されたデータのセッション(session)に基づいて、復号化処理件数を累積して、カウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記ステップ(b)は、暗号化されたデータを復号化するアプリケーションのプロセッサ又はスレッド(thread)別に復号化件数を累積して、カウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記ステップ(b)は、復号化を要請するユーザーのID、IPアドレス又はアプリケーション名に基づいて、復号化件数を累積して、カウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記ステップ(b)は、時間当りの復号化件数をカウントすることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法は、前記ステップ(e)の後、前記復号化処理件数が、前記復号化件数臨界値に達したことを監視サーバーへ伝送して、警報するステップを、更に含むことを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記警報は、管理者の端末機に、SMS又はEメールで伝送されることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記臨界値は、複数個の段階からなり、前記複数個の段階は、任意設定可能であることを特徴とする。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法の前記複数個の段階は、それぞれ、異なる警報を発生させることを特徴とする。
以上のような構成の本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法は、以下の効果を有する。
第一に、本発明は、暗号化されたデータ内・外部で行われる暗・復号化処理及びポリシー違反による暗・復号化遮断などの暗号化モジュールの処理状況をリアルタイムで監視することができ、流出推定状況に対して警報を発し、管理者にEメールやSMS等により状況を通知することで、管理者が迅速、且つ適切な措置を取れるという効果を奏する。
第二に、本発明は、データとその復号化に対するアクセス権限を有する認可者が復号化しうるデータ件数の総量を制御することができ、不正な流出の試みを根源的に遮断することができるようにし、今までにセキュリティー手段では遮断が不可能と考えられたSQLインジェクション攻撃に対しても、効果的に対応することができるという効果を奏する。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法は多様な変更を加えることができ、様々な実施例を有することができるところ、特定の実施例を図面に例示し、詳細な説明に、詳しく説明する。しかし、これは本発明を特定の実施形態について限定しようとするものではなく、本発明の技術的思想及び技術範囲に含まれる総ての変更、均等物ないし代替物を含むものとして理解されなければならない。
以下では、図面を参照して、本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法を詳しく説明する。
図1は、本発明の好ましい実施例に係る各構成とこれら構成の相互関係を示したブロック図、図2は、本発明の好ましい実施例により、認可者による大量復号化を監視し、これに対する遮断手続を示した流れ図、 図3は、本発明の一構成要素である監視サーバーの監視ユニットによって示されるダッシュボードGUIの一実施例である。
図1に示されるように、本発明に係る暗号化されたデータの監視と、大量復号化遮断のためのシステムは、ACユニット105(access control unit)と、クリプトユニット110(crypto unit)と、カウンター120(counter)と、イベントロガー130(event logger)と、監視サーバー200とを含む。
まず、前述した構成は、DB/アプリケーションサーバー100の下位構成であり、このようなDB/アプリケーションサーバー100に含まれるものである。
DB/アプリケーションサーバー100は、暗号化されたデータ(未図示)にアクセス権限を有しており、これは監視サーバー200と別に分離されたサーバー(図1参照)であってもよく、また他の例示的には一つのサーバーで概念的に分離された機能を行う構成であってもよい。図1は、DB/アプリケーションサーバー100と監視サーバー200とが物理的に区別されるものとして示されたが、必ずこのような例示に限定されず、これら機能に焦点をおいて、本発明の技術的思想を理解するべきであり、図1の実施例によって本発明の権利範囲は限定されない。
ACユニット105は、暗号化されたデータ、すなわち、データベースの復号化情報を保存する構成である。
このような復号化情報は、管理者によって任意設定が可能であり、具体的には、復号化に対する認可条件と、このような認可条件別に復号化件数に対する許容される臨界値情報とを含む。
より具体的には、認可条件は、復号化を要請するユーザー(即ち、暗号化されたデータにアクセス権限が与えられた認可者)のID、復号化を要請する側のIPアドレス、そして、復号化を要請するアプリケーションの種類に応じて異なるように設定され得る。
従って、認可条件が前述したように、ユーザーのID、IPアドレス、又はアプリケーションに応じて異なるところ、復号化件数に対する臨界値は、これらユーザーのID、IPアドレス、アプリケーションに応じて異なるのは当然である。
前述した復号化件数臨界値は、復号化を許容させる最大件数を意味し、単位時間当たり何件というように設定することができ、累積的にその復号化を行った件数に設定することもできる。そして、このような臨界値は、一つの段階に設定されていてもよいが、その復号化件数の軽重に応じて異なるように判断できることから、臨界値は複数個の段階からなっていてもよい。
クリプトユニット110は、データベースを暗・復号化するようにするモジュールであり、復号化遂行時には、前述したようなACユニット105から復号化情報を参照し、暗号化されたデータを復号化する。即ち、認可条件により、その復号化を試みることができる。
クリプトユニット110は、後記するカウンター120を生成することができ、カウンター120に復号化処理件数をカウントするようにし、カウントされた復号化件数を記録することもできる。また、後記するイベントロガー130に前記復号化された件数に対する情報を保存するとともに、これに対する情報を監視サーバー200へ、又はデーモンユニット101(demon unit)を介して伝送することもできる。
カウンター120は、クリプトユニット110が行う復号化件数をカウントする構成である。クリプトユニット110は、復号化件数のカウントするために、カウンター120を生成しており、カウンター120は、メモリー(memory)、ファイル(file)、DBテーブル又は遠隔地サーバーよりなる群から選ばれる一つであってもよい。
カウンター120は、復号化を要請するアプリケーションのプロセッサ(processor)又はスレッド(thread)に基づいて、その復号化件数を個別的にカウントすることができる。
イベントロガー130は、クリプトユニット110が復号化した件数を記録する構成であり、同時にクリプトユニット110が行った復号化に対する包括的な情報を保存する構成である。
イベントロガー130には、クリプトユニット110によって復号化された全てのイベント、即ち、復号化された内容とそのリスト、そして復号化率(エラー率)に対する情報を保存し、前述した通り、これら情報は、監視サーバー200へ伝送される。
クリプトユニット110は、復号化を要請するユーザーのアカウント情報、復号化を要請するユーザーのサーバー名、復号化を要請するユーザーのIPアドレス及び復号化を要請するユーザーのアプリケーション名よりなる群から選ばれる少なくとも一つを前記イベントロガーに記録する。
監視サーバー200は、復号化された処理件数に対する情報を受信し、表示する構成である。
図1及び図3に示されたように、監視サーバー200は、データベース210と監視ユニット220とを含む。
データベース210は、前述したような暗号化され、復号化するためのデータベースとは概念的に異なるものであり、DB/アプリケーションサーバー100から受信した、復号化された処理件数に対する情報を保存する構成である。
監視ユニット220は、前述したような復号化情報、即ち、復号化に対する認可条件と、これら認可条件別に復号化件数臨界値とを記録している構成であり、クリプトユニット110が行う復号化件数と、前述した復号化件数の臨界値とを比較し、クリプトユニット110が行う復号化件数が前述した復号化件数の臨界値に達したとき、警報を発生させる構成である。
具体的に、監視ユニット220は、このような警報情報を管理者の端末機へ(有線または無線により)伝送し、このような伝送方式は、Eメール又はSMSなどの種類を問わない。
監視ユニット220の場合、図3に示されたように、ダッシュボードのGUI(graphical user interface)を介して、管理者の直観的認識による監視が行われるように構成することができる。
図3を参考にすれば、「crypto event」は、特定IPなどで過度な復号化試みをリアルタイムで確認できるようにするインターフェースであり、「crypto service」は、セキュリティポリシーがOSの共有メモリーに正常に積載されるのか否かを監視することができ、「access log」は、許可されていないプログラムや非正常的なIPの不法復号化の試みの有無を示すインターフェースである。
このような情報は、文字又はグラフなどに加工され、管理者のモバイル端末機などへ伝送されるか、Eメールへ伝送され得ることは前述の通りである。
以下では、図2を参照して、本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法を、時系列的構成を介して説明する。
まず、本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法は、(a)クリプトユニットによって暗号化されたデータを復号化するステップと、(b)前記クリプトユニットが復号化処理件数をカウントするステップと、(c)前記復号化処理件数に関する情報を受信するステップと、(d)前記復号化処理件数と復号化件数臨界値とを比較するステップと、(e)前記クリプトユニットが行った復号化処理件数が前記復号化件数臨界値に達したとき、前記クリプトユニットの復号化機能を遮断するステップとを含む。
ここで、ステップ(b)は、暗号化されたデータのセッション(session)に基づいて、復号化処理件数を累積して、カウントする。
また、ステップ(b)は、暗号化されたデータを復号化するアプリケーションのプロセッサ又はスレッド(thread)別に復号化件数を累積して、カウントすることもでき、復号化を要請するユーザーのID、IPアドレス又はアプリケーション名に基づいて、復号化件数を累積して、カウントすることもできる。
そして、ステップ(b)は、時間当りの復号化件数をカウントすることも可能である。
本発明に係る暗号化されたデータの監視と、大量復号化遮断のための方法は、ステップ(e)の後、復号化処理件数が前記復号化件数臨界値に達したことを監視サーバーへ伝送して、警報するステップを更に含む。
本発明で言及する警報は、前述の通りに、管理者の端末機にSMS又はEメールにて伝送され、管理者が、リアルタイムで監視ができるようにする。
また、前述するように、言及された臨界値は、複数個の段階からなり、前記複数個の段階は、任意設定が可能である。このような任意設定は、前述するような監視サーバー200で行われており、このような情報は、前述したACユニット105に記録される。
また、これら臨界値の複数個の段階は、それぞれ、異なる警報を発生させ、管理者に復号化の軽重に関する判断ができるようにする。
本明細書で使われる用語において、単数の表現は、文脈上明らかにに違うように解釈されない限り、複数の表現を含むものであり、「含む」等の用語は、説明された特徴、個数、ステップ、動作、構成要素、部分品又はこれらを組み合わせたものが存在することを意味するのであり、一つ又はそれ以上の他の特徴や個数、ステップ、動作、構成要素、部分品又はこれらを組み合わせたものなどの存在又は付加の可能性を排除しない。
本発明の権利範囲は、特許請求範囲に記載された事項により決まり、特許請求範囲に使われた括弧は、選択的限定のために記載されたものではなく、明確な構成要素のために使われており、括弧内の記載も必須構成要素と解釈すべきである。
100 DB/アプリケーションサーバー
101 第1デーモンユニット(demon unit)
105 ACユニット(access control unit)
110 クリプトユニット(crypto unit)
120 カウンター(counter)
130 イベントロガー(event logger)
200 統合監視サーバー
205 第2デーモンユニット
210 データベース(database)
220 監視ユニット
101 第1デーモンユニット(demon unit)
105 ACユニット(access control unit)
110 クリプトユニット(crypto unit)
120 カウンター(counter)
130 イベントロガー(event logger)
200 統合監視サーバー
205 第2デーモンユニット
210 データベース(database)
220 監視ユニット
Claims (22)
- 暗号化されたデータを監視し、前記暗号化されたデータの大量復号化を遮断するためのシステムであって、
復号化情報を保存するACユニット(access control unit)と、
前記ACユニットから前記復号化情報を受信し、暗号化されたデータを復号化するクリプトユニット(crypto unit)と、
前記クリプトユニットが、復号化処理する件数をカウントするカウンター(counter)と、
前記カウンターでカウントされた前記復号化処理された件数を保存するイベントロガー(event logger)と、
前記クリプトユニットから、前記復号化された処理件数に関する情報を受信し、表示する監視サーバーと
を含むことを特徴とする大量復号化遮断システム。 - 前記大量復号化遮断システムは、前記イベントロガーに保存された前記復号化処理された件数を受信し、前記監視サーバーへ伝送するデーモンユニットを更に含むことを特徴とする請求項1に記載の大量復号化遮断システム。
- 前記カウンターは、メモリー、ファイル、DBテーブル及び遠隔地サーバーよりなる群から選ばれる一つであることを特徴とする請求項1に記載の大量復号化遮断システム。
- 前記復号化情報は、復号化に関する認可条件と前記認可条件別に復号化件数臨界値に関する情報を含み、
前記監視サーバーは、前記クリプトユニットが行う復号化件数が、前記復号化件数臨界値に達したとき、前記クリプトユニットの復号化機能を遮断し、警報を発生させることを特徴とする請求項1に記載の大量復号化遮断システム。 - 前記監視サーバーは、
受信した前記復号化された処理件数に関する情報を保存するデータベースと、
受信した前記復号化された処理件数に関する情報を、ダッシュボードGUIを介して表示する監視ユニットと
を含むことを特徴とする請求項1に記載の大量復号化遮断システム。 - 前記クリプトユニットは、復号化を要請するユーザーのアカウント情報、復号化を要請するユーザーのサーバー名、復号化を要請するユーザーのIPアドレス及び復号化を要請するユーザーのアプリケーション名よりなる群から選ばれる少なくとも一つを前記イベントロガーに記録することを特徴とする請求項4に記載の大量復号化遮断システム。
- 前記認可条件は、前記復号化を要請するユーザーのID、前記復号化を要請する側のIPアドレス、前記復号化を要請するアプリケーションの種類に応じて異なることを特徴とする請求項4に記載の大量復号化遮断システム。
- 前記復号化件数臨界値は、単位時間当りの所定の復号化件数に該当し、前記所定の復号化件数は、任意に設定可能であることを特徴とする請求項4に記載の大量復号化遮断システム。
- 前記カウンターは、暗号化されたデータのセッション(session)に基づいて、復号化処理する件数をカウントすることを特徴とする請求項1に記載の大量復号化遮断システム。
- 前記カウンターは、復号化を要請するアプリケーションのプロセッサ又はスレッド(thread)に基づいて、復号化処理する件数をカウントすることを特徴とする請求項1に記載の大量復号化遮断システム。
- 前記監視サーバーは、前記警報を、前記監視サーバーを運営する管理者の端末機へ伝送することを特徴とする請求項4に記載の大量復号化遮断システム。
- 前記警報は、Eメール又はSMS方式で前記管理者の端末機へ伝送されることを特徴とする請求項11に記載の大量復号化遮断システム。
- 前記復号化件数臨界値は、複数個の段階を有すること特徴とする請求項4に記載の大量復号化遮断システム。
- 暗号化されたデータを監視し、前記暗号化されたデータの大量復号化を遮断するための方法であって、
(a)クリプトユニットによって暗号化されたデータを復号化するステップと、
(b)前記クリプトユニットが復号化処理件数をカウントするステップと、
(c)前記復号化処理件数に関する情報を受信するステップと、
(d)前記復号化処理件数と復号化件数臨界値とを比較するステップと、
(e)前記クリプトユニットが行った復号化処理件数が、前記復号化件数臨界値に達したとき、前記クリプトユニットの復号化機能を遮断するステップと、
を含むことを特徴とする大量復号化遮断方法。 - 前記ステップ(b)は、暗号化されたデータのセッション(session)に基づいて、復号化処理件数を累積して、カウントすることを特徴とする請求項14に記載の大量復号化遮断方法。
- 前記ステップ(b)は、暗号化されたデータを復号化するアプリケーションのプロセッサ又はスレッド(thread)別に復号化件数を累積して、カウントすることを特徴とする請求項14に記載の大量復号化遮断方法。
- 前記ステップ(b)は、復号化を要請するユーザーのID、IPアドレス又はアプリケーション名に基づいて、復号化件数を累積して、カウントすることを特徴とする請求項14に記載の大量復号化遮断方法。
- 前記ステップ(b)は、時間当りの復号化件数をカウントすることを特徴とする請求項14に記載の大量復号化遮断方法。
- 前記大量復号化遮断方法は、
前記ステップ(e)の後、前記復号化処理件数が、前記復号化件数臨界値に達したことを監視サーバーへ伝送して、警報するステップを、更に含むことを特徴とする請求項14に記載の大量復号化遮断方法。 - 前記警報は、
管理者の端末機に、SMS又はEメールで伝送されることを特徴とする請求項19に記載の大量復号化遮断方法。 - 前記臨界値は、複数個の段階からなり、前記複数個の段階は、任意に設定可能であることを特徴とする請求項14に記載の大量復号化遮断方法。
- 前記複数個の段階は、それぞれ、異なる警報を発生させることを特徴とする請求項21に記載の大量復号化遮断方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140014034A KR101566882B1 (ko) | 2014-02-07 | 2014-02-07 | 암호화된 데이터베이스 모니터링과, 대량 복호화 차단을 위한 시스템 및 그 방법 |
| KR10-2014-0014034 | 2014-02-07 | ||
| PCT/KR2014/005935 WO2015119341A1 (en) | 2014-02-07 | 2014-07-03 | System and method for monitoring encrypted data and preventing massive decryption thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017507445A true JP2017507445A (ja) | 2017-03-16 |
| JP6385462B2 JP6385462B2 (ja) | 2018-09-05 |
Family
ID=53778126
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016568769A Active JP6385462B2 (ja) | 2014-02-07 | 2014-07-03 | 暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10181044B2 (ja) |
| JP (1) | JP6385462B2 (ja) |
| KR (1) | KR101566882B1 (ja) |
| WO (1) | WO2015119341A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108012242B (zh) * | 2017-12-01 | 2021-05-25 | 深圳前海数创人工智能有限公司 | 兼容运营商接口的预警短信发布系统以及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002204230A (ja) * | 2000-08-11 | 2002-07-19 | Acceleration Software Internatl Corp | 通信システム及び通信方法 |
| US20060107052A1 (en) * | 1999-11-05 | 2006-05-18 | Microsoft Corporation | Integrated Circuit Card with Situation Dependent Identity Authentication |
| US20060294590A1 (en) * | 2005-06-27 | 2006-12-28 | Enstone Mark R | Automated immune response for a computer |
| JP2010515187A (ja) * | 2007-01-05 | 2010-05-06 | プロトン ワールド インターナショナル エヌ.ヴィ. | 電子回路のリソースへのアクセス制限 |
| JP2011525063A (ja) * | 2008-05-12 | 2011-09-08 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 所定のポリシーに基づいて装置能力情報を開示するための方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6243470B1 (en) * | 1998-02-04 | 2001-06-05 | International Business Machines Corporation | Method and apparatus for advanced symmetric key block cipher with variable length key and block |
| JP2001272912A (ja) * | 2000-03-24 | 2001-10-05 | Ntt Comware Corp | 暗号化装置及び復号化装置 |
| JP2002169912A (ja) | 2000-11-30 | 2002-06-14 | Hitachi Ltd | 暗号復号化装置、課金装置、およびコンテンツ配信システム |
| WO2007046302A1 (ja) * | 2005-10-17 | 2007-04-26 | Matsushita Electric Industrial Co., Ltd. | データ送信装置、データ受信装置、及びデータ通信装置 |
| GB0601700D0 (en) * | 2006-01-27 | 2006-03-08 | Claricom Ltd | Printing Method |
| US8181038B2 (en) * | 2007-04-11 | 2012-05-15 | Cyberlink Corp. | Systems and methods for executing encrypted programs |
| KR101011456B1 (ko) * | 2008-06-30 | 2011-02-01 | 주식회사 이너버스 | 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템 |
| US8555089B2 (en) * | 2009-01-08 | 2013-10-08 | Panasonic Corporation | Program execution apparatus, control method, control program, and integrated circuit |
| US8539254B1 (en) * | 2010-06-01 | 2013-09-17 | Xilinx, Inc. | Method and integrated circuit for protecting against differential power analysis attacks |
| KR20120056719A (ko) * | 2010-11-25 | 2012-06-04 | (주) 키스피 | 개인정보 위험도 산정을 통한 개인정보 종합관리 장치 및 방법 |
| US8984611B2 (en) * | 2011-05-09 | 2015-03-17 | I Think Security Ltd. | System, apparatus and method for securing electronic data independent of their location |
| KR101294280B1 (ko) | 2011-08-31 | 2013-08-23 | (주)소만사 | 패킷 미러링 방식으로 암호화된 https 통신 데이터를 모니터링하여 개인정보유출을 방지하는 개인정보 유출 방지 시스템 및 방법 |
-
2014
- 2014-02-07 KR KR1020140014034A patent/KR101566882B1/ko active IP Right Grant
- 2014-07-03 JP JP2016568769A patent/JP6385462B2/ja active Active
- 2014-07-03 US US15/117,192 patent/US10181044B2/en active Active
- 2014-07-03 WO PCT/KR2014/005935 patent/WO2015119341A1/en active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060107052A1 (en) * | 1999-11-05 | 2006-05-18 | Microsoft Corporation | Integrated Circuit Card with Situation Dependent Identity Authentication |
| JP2002204230A (ja) * | 2000-08-11 | 2002-07-19 | Acceleration Software Internatl Corp | 通信システム及び通信方法 |
| US20060294590A1 (en) * | 2005-06-27 | 2006-12-28 | Enstone Mark R | Automated immune response for a computer |
| JP2010515187A (ja) * | 2007-01-05 | 2010-05-06 | プロトン ワールド インターナショナル エヌ.ヴィ. | 電子回路のリソースへのアクセス制限 |
| JP2011525063A (ja) * | 2008-05-12 | 2011-09-08 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | 所定のポリシーに基づいて装置能力情報を開示するための方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR101566882B1 (ko) | 2015-11-06 |
| WO2015119341A1 (en) | 2015-08-13 |
| KR20150093366A (ko) | 2015-08-18 |
| US10181044B2 (en) | 2019-01-15 |
| US20160350546A1 (en) | 2016-12-01 |
| JP6385462B2 (ja) | 2018-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11720678B2 (en) | Systems and methods for ransomware detection and mitigation | |
| US10375116B2 (en) | System and method to provide server control for access to mobile client data | |
| US7895452B2 (en) | Technique for protecting a database from an ongoing threat | |
| WO2012151675A1 (en) | System, apparatus and method for securing electronic data independent of their location | |
| CN104581008B (zh) | 一种视频监控系统信息安全防护系统和方法 | |
| CN112417391B (zh) | 信息数据安全处理方法、装置、设备及存储介质 | |
| CN107563221A (zh) | 一种用于加密数据库的认证解码安全管理系统 | |
| CN111046405B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
| CN104883364A (zh) | 一种判断用户访问服务器异常的方法及装置 | |
| JP7123488B2 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| CN109657490B (zh) | 一种办公文件透明加解密方法及系统 | |
| JP6385462B2 (ja) | 暗号化されたデータの監視と、大量復号化遮断のためのシステム及びその方法 | |
| JP6442649B1 (ja) | ファイル・アクセス監視方法、プログラム、および、システム | |
| JP5730735B2 (ja) | セキュリティ管理システム及び方法並びにプログラム | |
| CN102930222A (zh) | 反键盘记录方法及系统 | |
| CN103530532A (zh) | 一种文件加密方法和系统 | |
| JP2005227866A (ja) | 操作管理装置、操作内容判定方法、操作管理プログラム、操作管理システム、およびクライアント端末 | |
| CN117792798B (zh) | 一种即时通讯信息交互系统及方法 | |
| CN117592041B (zh) | 一种数据安全防护系统 | |
| TWM564751U (zh) | Hacker attack detection system | |
| CN117332452A (zh) | 一种基于大数据的隐私数据管理方法及系统 | |
| KR101591304B1 (ko) | 전산망 침입 기록의 재현 방법 및 장치 | |
| TW201106193A (en) | System and method for data protection and authority audit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170427 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180214 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180327 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180627 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180710 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180807 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6385462 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |