JP5135636B2 - 特性維持暗号化を利用したデータセキュリティ方法及び装置 - Google Patents

特性維持暗号化を利用したデータセキュリティ方法及び装置 Download PDF

Info

Publication number
JP5135636B2
JP5135636B2 JP2012096359A JP2012096359A JP5135636B2 JP 5135636 B2 JP5135636 B2 JP 5135636B2 JP 2012096359 A JP2012096359 A JP 2012096359A JP 2012096359 A JP2012096359 A JP 2012096359A JP 5135636 B2 JP5135636 B2 JP 5135636B2
Authority
JP
Japan
Prior art keywords
data
encryption
original data
data security
encrypted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012096359A
Other languages
English (en)
Other versions
JP2013003573A (ja
Inventor
キム、ドゥク−スー
リー、セオク−ウー
キム、ウィ−ソク
チョン、テ−ジュン
Original Assignee
ペンタ・セキュリティ・システムズ・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=45614399&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP5135636(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ペンタ・セキュリティ・システムズ・インコーポレーテッド filed Critical ペンタ・セキュリティ・システムズ・インコーポレーテッド
Publication of JP2013003573A publication Critical patent/JP2013003573A/ja
Application granted granted Critical
Publication of JP5135636B2 publication Critical patent/JP5135636B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Description

本発明は、データセキュリティのための方法及び装置に関し、特に、特性維持暗号化を利用するデータセキュリティ方法及び装置に関する。
現在利用されているデータセキュリティのためのデータ暗号化方法は、データの形式及び長さを変更する方式を使用する場合が大部分である。したがって、既存のデータベースと他の環境との間の互換性維持のために、データベースのスキーマ(構造)もまた変更がなされなければならない。
これにより、既存環境の構造が重要な環境においては、データ暗号化を適用することができないという問題があり、適用が可能な環境であっても、既存の構造が変更されることにより、データを照会入力する既存の命令語を変更後の構造に合うように変更してやらなければならないという不便さが存在する。
したがって、最近では、既存のデータ入力、照会命令語を変更しないデータベースサーバ内に別途の暗復号化モジュールを設置する方式が適用されているが、こうした方法を適用しても、暗号化後に既存のテーブルスキーマは変更がなされ、よって、変更前のテーブルと構造が同一のビュー(データベースにおいて照会のみ可能なテーブルの種類)を追加的に生成してやらなければならないため、これもまたデータベース環境の変更が必要である。
前記のような問題は、データベースが非常に複雑な環境により構成がなされている金融機関や、データベース内部構造の変更が不可能なSAP ERP(Enterprise Resource‐Planning)等を使用する場所において、データ暗号化を適用することを忌避する大きな理由の一つでもある。
また、データ暗号化を適用しても、データベースサーバ内部において暗復号化を進めることになる場合、データ入力/照会時ごとに暗復号化演算が行われることになり、暗号化前にはなかった追加的な負荷がデータベースサーバに生じることになるので、このことは運営環境の性能の低下につながり、やはりデータ暗号化の適用を忌避する大きな理由の一つとなり得る。
また、データ暗号化の際には、原本データの順序が守られないためインデックス検索の使用が不可能であり、暗号化後のデータ検索に所要される時間が暗号化前に比べてはるかに長くなるということも、データ暗号化の大きな弱点の一つである。
また、データ暗号化が適用された状態であるとしても、暗号化データに対して権限管理がなされていなければ、暗号化データが復号化されて流出する可能性が存在するため、データ暗号化の際には、当該暗号化データごとに権限管理が行われて初めて十分なデータセキュリティと言えるであろうが、現在では、こうしたすべての事項を解決することのできる方法が提供されていない。
本発明は、上述した問題を解決するためのものであり、暗号化の遂行後にも原本データの特性を維持することができ、暗号化データに対する使用権限を強化させ、暗号化後もインデックス検索を通じた高速のデータ検索を支援する、特性維持暗号化を利用したデータセキュリティ方法及び装置を提供することを技術的課題とする。
上述した技術的課題を達成するための本発明に係る特性維持暗号化を利用したデータセキュリティ方法は、ユーザ端末機から原本データの入力を受けるステップ;前記原本データの長さ及び形式についての特性を維持しつつ、前記原本データを暗号化するステップ;暗号化された暗号化データを使用することのできる権限についての情報を含んでいる使用権限情報を格納するステップ;及び、前記暗号化データがデータベースサーバに伝送されるように前記ユーザ端末機に送信し、又は前記暗号化データを前記データベースサーバに直接伝送して格納されるようにするステップを含む。
上述した技術的課題を達成するための本発明に係る特性維持暗号化を利用したデータセキュリティ装置は、ユーザ端末機又はデータベースサーバとの通信を遂行するためのインタフェース;情報の入力を受けるための入力部;情報を出力するための出力部;前記セキュリティ方法を利用して暗号化を遂行するための暗号化部、情報を格納するための格納部;及び、前記構成要素の機能を制御するための制御部を含む。
上述した解決手段により、本発明は、次のような効果を提供する。
すなわち、本発明は、暗号化遂行後にも原本データの特性を維持させることにより、従来のデータベース環境を変更することなく暗号化を適用して格納することができ、特に、原本データを暗号化する際に暗号化データを使用することのできる権限を有するユーザについての情報を併せて管理することにより、各々の暗号化データに対する権限管理を通じての、データベース内の暗号化データに対する高いセキュリティ性を提供することができるという効果を提供する。
また、本発明は、原本データの後ろの部分のみを暗号化する部分暗号化方式を利用することにより、暗号化データに対してもインデックス検索が可能となるようにし、暗号化後の検索速度の低下を防止することができるという効果を提供する。
本発明に係る特性維持暗号化を利用したデータセキュリティ装置が適用される暗号化システムの一実施例の構成図である。 本発明に係る特性維持暗号化を利用したデータセキュリティ装置の内部構成を示した一実施例の構成図である。 本発明に係る特性維持暗号化を利用したデータセキュリティ方法の基盤をなす原本データの特性を維持する暗号化方法を説明するための例示図である。 本発明に係る特性維持暗号化を利用したデータセキュリティ方法の基盤をなす原本データの特性を維持する暗号化方法を説明するための他の例示図である。 本発明に係る特性維持暗号化を利用したデータセキュリティ方法のうち、使用権限を強化させる方法を説明するための例示図である。 本発明に係る特性維持暗号化を利用したデータセキュリティ方法のうち、部分暗号化を利用する方法を説明するための例示図である。
以下、添付された図面を参照しつつ、本発明の実施例について詳細に説明する。
図1は、本発明に係る特性維持暗号化を利用したデータセキュリティ装置が適用される暗号化システムの一実施例の構成図である。また、図2は、本発明に係る特性維持暗号化を利用したデータセキュリティ装置の内部構成を示した一実施例の構成図である。
本発明に係る特性維持暗号化を利用したデータセキュリティ装置を利用した暗号化システムは、ユーザが各種原本データを生成するために利用するユーザ端末機10、ユーザ端末機において生成された原本データをユーザ端末機の要請により暗号化して、暗号化されたデータ(以下、簡単に「暗号化データ」という)を生成するための特性維持暗号化を利用したデータセキュリティ装置20、及びユーザ端末機の要請により特性維持暗号化を利用したデータセキュリティ装置において暗号化された暗号化データを格納して管理するためのデータベースサーバ30を含んで構成されていてよい。
まず、ユーザ端末機10は、多様な応用プログラム(アプリケーション)によって多様な種類の原本データを生成する装置であり、現在、一般的に利用されているパーソナルコンピュータ(PC)を利用することができる。すなわち、ユーザ端末機は、ハングルオフィス若しくはMSオフィス又はその他多様な種類のアプリケーション等により多様なフォーマットの原本データを生成する機能を遂行する。しかし、ユーザ端末機10は、タブレットPC等の無線端末機となっていてもよく、この場合、ユーザ端末機10は、無線ネットワークを介して特性維持暗号化を利用したデータセキュリティ装置20又はデータベースサーバ30との通信を遂行して、原本データを送受信することもできる。
次に、特性維持暗号化を利用したデータセキュリティ装置20は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法を使用して、ユーザ端末機から伝送されてきた原本データを暗号化する装置であり、原本データを暗号化した後、暗号化データをデータベースサーバに伝送する機能を遂行する。
こうした特性維持暗号化を利用したデータセキュリティ装置は、図2に示されたところのように、インタフェース21、入力部22、出力部23、暗号化部24、格納部25及び制御部26を含んで構成されていてよい。
ここで、インタフェース21は、前記したようなユーザ端末機又はデータベースサーバとの通信を遂行する機能を遂行する。すなわち、インタフェースは、インターネットのような有線ネットワーク又はワイファイ(Wifi)やBluetooth(登録商標)のような無線ネットワークを介してユーザ端末機10又はデータベースサーバ30との通信を遂行する機能を遂行する。
入力部22は、特性維持暗号化を利用したデータセキュリティ装置を管理する管理者が、特性維持暗号化を利用したデータセキュリティ装置を管理するための各種情報を入力するようにする機能を遂行するものであり、一般的なキーボード又はタッチスクリーン等が利用されていてよい。
出力部23は、特性維持暗号化を利用したデータセキュリティ装置を管理する管理者が、格納部に格納されている各種データベースを閲覧できるようにする機能を遂行するものであり、モニター又はプリンタ等が利用されていてよい。
暗号化部24は、ユーザ端末機から伝送されてきた原本データを、本発明に係る特性維持暗号化を利用したデータセキュリティ方法を利用して暗号化する機能を遂行する。暗号化部における暗号化方法は、以下、図3〜図6を参照して説明される。
格納部25は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法を実行するための各種プログラムを格納する機能を遂行する。それ以外にも、格納部は、特性維持暗号化を利用したデータセキュリティ装置の駆動に必要な各種情報を格納する機能を遂行する。また、格納部は、暗号化部において暗号化された暗号化データを一時的に格納する機能を遂行することもできる。
制御部26は、前記のような各種構成を統合的に制御する機能を遂行する。
一方、前記のような本発明に係る特性維持暗号化を利用したデータセキュリティ装置20は、ユーザ端末機からの復号化制御信号により、データベースサーバから伝送されてきた暗号化データを復号化して、ユーザ端末機へ伝送する機能を遂行することもできる。
すなわち、ユーザ端末機間において送受信されるデータはすべて原本データであり、データベースサーバにおいて送受信されるデータはすべて暗号化された暗号化データであり、データセキュリティ装置20は、ユーザ端末機とデータベースサーバとの中間で暗復号化を遂行する機能をしている。
最後に、データベースサーバ30は、暗号化データを格納及び管理するためのものであり、従来より利用される一般的なデータベースサーバが利用されていてよい。
すなわち、前記したような本発明に係る特性維持暗号化を利用したデータセキュリティ装置及び方法は、次のような特徴を有している。
第一に、本発明に係る特性維持暗号化を利用したデータセキュリティ装置20は、データベースサーバ30と独立している別途の装置であり、これを通じて暗号化を遂行することにより、データベースサーバ内部に追加的な負荷を与えることなく、暗復号化演算を遂行することができる。このとき、本発明に係る特性維持暗号化を利用したデータセキュリティ装置20は、暗復号化の遂行にも暗号化データが原本データの特性(長さ及び形式)を維持するようにする暗号化方式を使用することにより、従来のデータベースサーバ環境の変更なく暗号化を適用してデータベースサーバに格納することができるという特徴を有している。
第二に、本発明に係る特性維持暗号化を利用したデータセキュリティ装置20は、原本データを暗号化するだけでなく、暗号化データに対する使用権限についての使用権限情報(生成者についての情報と参照者についての情報のうち少なくともいずれか一つを含む。以下、同じ。)を共に管理することにより、データベースサーバ内に格納されている暗号化データに対する高いセキュリティ性を提供することができるという特徴を有している。
第三に、本発明に係る特性維持暗号化を利用したデータセキュリティ装置20は、原本データの後ろの部分のみを暗号化する部分暗号化方式を利用することにより、暗号化データに対してもインデックス検索が可能なようにし、暗号化以降の検索速度が低下することを防止することができるという特徴を有している。
前記したところのように、本発明に係る特性維持暗号化を利用したデータセキュリティ装置及び方法は、データベースサーバ環境が変化することなく原本データを暗号化することができ、暗号化と共に、暗号化データに対する使用権限管理を通じて二重にデータをセキュリティで保護することができ、原本データの暗号化時に部分暗号化方法を利用して、原本データの検索に利用されていたインデックス検索方法を同様に利用できるようにするという特徴を有している。
すなわち、本発明は、第一の特徴である特性維持暗号化方法を基盤に、第二の特徴(使用権限)と第三の特徴(部分暗号化)を継ぎ足して暗号化データのセキュリティを強化させたものであり、本発明の第1実施例は、特性維持暗号化と使用権限を強化したセキュリティ方法、本発明の第2実施形態は、特性維持暗号化と使用権限の強化及び部分暗号化を利用したセキュリティ方法である。
また、本発明に適用される特性維持暗号化方式は、さらに二つの方法に区分することができる。したがって、本発明は、4つの実施例により具現することができる。
以下では、まず、前記したような3つの特徴(特性維持暗号化、使用権限強化及び部分暗号化)について図3〜図6を参照しつつ説明した後、本発明の4つの実施例を具体的に説明することとする。
図3は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法の基盤をなす、原本データの特性を維持する暗号化方法について説明するための例示図である。
本発明は、暗復号化の遂行にも、暗号化データが原本データの特性(長さ及び形式)をそのまま維持するようにする暗号化方法を基本的に使用することにより、従来のデータベースサーバ環境の変更がなくても、暗号化を適用してデータベースサーバに格納することができるという特徴を有している。
特に、本発明は、原本データのデータ特性を維持しながら暗号化するために、原本データの長さ及び形式をそのまま維持する暗号化アルゴリズムを使用することができる。
したがって、図3に示されたところのように、原本データのデータ長と、暗号化データのデータ長さは同一に維持される。
図4は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法の基盤をなす、原本データの特性を維持する暗号化方法について説明するための他の例示図である。
本発明は、原本データのデータ特性を維持しながら暗号化するために、図3を参照して説明したようなデータの長さ及び形式を維持する暗号化運営モードを使用することもできるが、後述するように、原本データと参照データ間のマッピングテーブルを暗復号化する方法を利用することもできる。
すなわち、本発明は、特性維持暗号化のために、図4に示されたところのように、参照データを原本データと同一の長さ及び形式を有するランダムデータに生成する一方、参照データと原本データ間のマッピングテーブルを作成する。
また、本発明は、参照データと原本データの安全な管理のために、当該マッピングテーブルを暗号化して、特性維持暗号化を利用したデータセキュリティ装置20内に格納することができる。
図5は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法のうち、使用権限を強化させる方法について説明するための例示図である。
すなわち、本発明は、図5に示されたところのように、データ暗号化を行う際に使用権限情報を共に格納して管理することができる。ここで、使用権限情報とは、暗号化データを使用することができる権限についての情報をいうものであり、生成者情報又は参照者情報のうち少なくともいずれか一つをいう。すなわち、本発明は、暗号化データと共に、当該暗号化を要請する要請者を生成者として格納することができ、暗号化データごとに復号化して照会が可能な参照者を設定して、暗号化データごとに権限管理を遂行することができる。
したがって、前記したような使用権限方法が適用された本発明に係るデータセキュリティ方法を利用する場合、図5に示されたところのように、暗号化データに含まれている生成者及び参照者のみが暗号化データを復号化させ、又は照会を行うことができる。
図6は、本発明に係る特性維持暗号化を利用したデータセキュリティ方法のうち、部分暗号化を利用する方法について説明するための例示図である。
すなわち、本発明は、図6に示されたところのように、原本データの後ろの部分を暗号化する部分暗号化を適用して、暗号化の結果値に対するインデックスの範囲検索が可能なようにすることにより、暗号化後も高速での検索が可能となるようにするという特徴を有している。
言い換えて説明すると、本発明は、原本データ入力時、特性維持暗号化を利用したデータセキュリティ装置20において、長さ及び形式を維持する暗号化アルゴリズムを使用して暗号化し、データベースに伝達することになるが、このとき、原本データの前の部分(前端部)は暗号化せず、後ろの部分(後端部)のみを暗号化する部分暗号化方式を使用して、暗号化データに対するインデックス検索を支援することができる。
以下では、前記したような3つの特徴を利用している本発明に係る特性維持暗号化を利用したデータセキュリティ方法について、各実施例ごとに説明する。
まず、本発明の第1実施例に係る特性維持暗号化を利用したデータセキュリティ方法は、図3を参照して説明された特性維持暗号化を利用すると共に、図5を参照して説明される暗号化データに対する使用権限についての情報を共に管理して、データのセキュリティを強化させる方法である。
そのための方法は、次のとおりである。
第一に、データ入力の際、本発明の特性維持暗号化を利用したデータセキュリティ装置20において、図3を参照して説明したような長さ及び形式を維持する暗号化方法を使用して暗号化し、データベースサーバに伝達する。
第二に、図5に示されたところのように、当該データ暗号化を要請する要請者を生成者として登録する。
第三に、当該暗号化データに対して照会可能なように設定をしたいとするユーザを参照者(照会者)として登録する。
第四に、登録された生成者と参照者のみが、当該暗号化データに対する照会が可能なようにする。
すなわち、本発明の第1実施例は、データの暗号化を行う際に、当該暗号化を要請する要請者を生成者として格納することができ、暗号化データごとに復号化して、照会が可能な参照者を設定して暗号化データごとに権限管理を遂行することができる。
したがって、本発明の第1実施例による場合、図5に示されたところのように、暗号化データに含まれている生成者及び参照者のみが暗号化データを復号化させ、又は照会を行うことができる。
次に、本発明の第2実施例に係る特性維持暗号化を利用したデータセキュリティ方法は、図3を参照して説明された特性維持暗号化を利用すると共に、図5を参照して説明される使用権限についての情報を管理する方法と、図6を参照して説明される部分暗号化方法を共に利用して、データのセキュリティを強化させる方法である。すなわち、本発明の第2実施例は、特性維持暗号化の際、使用権限についての情報を共に管理して格納し、原本データの後ろの部分を暗号化する部分暗号化を適用して、暗号化の結果値に対するインデックス範囲検索が可能なようにすることにより、暗号化後も高速の検索が可能となるようにするという特徴を有している。
そのための方法は、次のとおりである。
第一に、原本データ入力の際、特性維持暗号化を利用したデータセキュリティ装置20において、図3を参照して説明したような長さ及び形式を維持する暗号化アルゴリズムを使用して暗号化し、データベースサーバに伝達する。
第二に、このとき、図6に示されたところのように、原本データの前の部分(前端部)は暗号化せずに、後ろの部分(後端部)のみを暗号化する部分暗号化方式を使用して、暗号化データに対するインデックス検索を支援する。
第三に、図5に示されたところのように、当該データ暗号化を要請する要請者を生成者として登録する。
第四に、当該暗号化データに対して照会可能なように設定をしたいとするユーザを参照者(照会者)として登録する。
第五に、登録された生成者と参照者のみが、当該暗号化データに対する照会が可能なようにする。
すなわち、本発明の第2実施例は、図3を参照して説明された長さ及び形式を維持する暗号化アルゴリズム(第1実施例)を使用しつつ、これと同時に、図6に示されたところのように、原本データを部分的に暗号化する方法を提供する。
このため、原本データ入力の際に、特性維持暗号化を利用したデータセキュリティ装置20において、長さ及び形式を維持する暗号化アルゴリズムを使用して暗号化し、データベースに伝達することになるが、このとき、原本データの前の部分(前端部)は暗号化せずに、後ろの部分(後端部)のみを暗号化する部分暗号化方式を使用して、暗号化データに対するインデックス検索を支援することができる。
次に、本発明の第3実施例に係る特性維持暗号化を利用したデータセキュリティ方法は、図4を参照して説明された特性維持暗号化を利用すると共に、図5を参照して説明される暗号化データに対する使用権限についての情報を共に管理して、データのセキュリティを強化させる方法である。
すなわち、本発明の第3実施例は、図4を参照して説明された特性維持暗号化方法と、図5を参照して説明された使用権限強化方法を結合させたセキュリティ方法であり、第1実施例が特性維持方法として図3で説明された方法を利用したものであれば、第3実施例は、図4で説明された方法を利用したものであると言える。言い換えて説明すると、本発明の第3実施例は、原本データと部分参照データとの間のマッピングテーブルを利用した暗号化方法(図4)及び使用権限管理(図5)を重複的に利用したセキュリティ方法に関するものである。
そのための方法は、次のとおりである。
第一に、原本データ入力の際、特性維持暗号化を利用したデータセキュリティ装置20において、図4に示されたところのように、当該原本データと形式及び長さが同一の参照データをランダムに生成してマッピングテーブルを格納する。
第二に、このとき、原本データと参照データのマッピングテーブルは、安全に管理するために、暗号化して格納する。
第三に、原本データに対する参照データをデータベースサーバ30に伝達する。
第四に、図5に示されたところのように、当該原本データ暗号化を要請した要請者を、原本データにマップされる参照データに対する生成者として登録する。
第五に、当該原本データに対して照会可能なように設定をしたいとする者について、データにマッピングされる参照データに対する参照者(照会者)として登録する。
第六に、登録された生成者と参照者(照会者)は、当該データ照会の際、暗号化されているマッピングテーブルを復号化し、当該参照データにマッピングされる原本データに対する照会が可能である。
最後に、本発明の第4実施例に係る特性維持暗号化を利用したデータセキュリティ方法は、図4を参照して説明された特性維持暗号化を利用すると共に、図5を参照して説明される使用権限についての情報を管理する方法と、図6を参照して説明される部分暗号化方法を利用して、データセキュリティを強化させる方法である。すなわち、本発明の第4実施形態は、原本データと部分参照データとの間のマッピングテーブルの暗号化(図4)と、使用権限管理(図5)を利用すると共に、部分暗号化(図6)を利用する、特性維持暗号化を利用したデータセキュリティ方法に関するものである。
そのための方法は、次のとおりである。
第一に、原本データ入力の際、特性維持暗号化を利用したデータセキュリティ装置20において、図4に図示されたところのように、当該データと形式及び長さが同一の参照データをランダムに生成して、原本データと参照データ間のマッピングテーブルを格納する。
第二に、このとき、参照データの前の部分(前端部)は原本データと同一に生成し、後ろの部分(後端部)のみをランダムに生成して、参照データに対するインデックス検索を支援する。
第三に、原本データと参照データのマッピングテーブルを安全に管理するために、暗号化して格納する。
第四に、原本データに対する参照データをデータベースサーバに伝達する。
第五に、このとき、図6に示されたところのように、原本データの前の部分(前端部)は暗号化せずに、後ろの部分(後端部)のみを暗号化する部分暗号化方式を使用して、暗号化データに対するインデックス検索を支援する。
第六に、図5に示されたところのように、当該原本データに対する暗号化を要請した要請者を、原本データにマッピングされる参照データに対する生成者として登録する。
第七に、原本データに対して照会可能なように設定をしたいとするユーザについて、原本データにマッピングされる参照データに対する参照者(照会者)として登録する。
第八に、登録された生成者と参照者(照会者)は、当該データ照会の際、暗号化されているマッピングテーブルを復号化し、当該参照データにマッピングされる原本データに対する照会が可能である。
前記したところのような本発明は、別途のセキュリティ装置(特性維持暗号化を利用したデータセキュリティ装置)20を介して暗号化を遂行することにより、データベースサーバ内において暗号化を遂行することによる従来からの課題を改善することを目的としている。
一方、本発明は、暗号化の遂行にも、原本データの特性が維持される暗号化方法を採用しており、暗号化データに対する使用権限を強化しており、データの後ろの部分のみを暗号化する部分暗号化を遂行しているという特徴を有している。
本発明が属する技術分野における当業者は、本発明が、その技術的思想や必須的特徴を変更することなく、他の具体的な形態で実施され得るということを理解できよう。それゆえ、上述した実施例は、あらゆる面において例示的なものであり、限定的なものではないものと理解すべきである。本発明の範囲は、前記詳細な説明よりは、後述する特許請求の範囲によって示され、特許請求の範囲の意味及び範囲、そしてその等価概念から導き出されるあらゆる変更又は変形された形態が本発明の範囲に含まれるものと解釈されるべきである。
10 ユーザ端末機
20 特性維持暗号化を利用したデータセキュリティ装置
30 データベースサーバ

Claims (3)

  1. ユーザ端末機とデータベースサーバとの間に配置された、データセキュリティ装置によって遂行されるものであって、
    前記データセキュリティ装置は、前記ユーザ端末機から原本データの入力を受けるステップ;
    前記データセキュリティ装置は、参照データを前記原本データと同一の長さと形式を有するランダムデータとして生成し、前記参照データと原本データ間のマッピングテーブルを生成し、前記マッピングテーブルを暗号化させて、前記原本データの長さ及び形式についての特性を維持しつつ、前記原本データを暗号化するステップ;
    前記データセキュリティ装置は、暗号化されたデータを使用することのできる権限についての情報として、前記暗号化を要請した要請者を生成者として格納した情報と、前記原本データを照会できる権限を有する参照者についての情報のうち、少なくともいずれか一つ以上を含む使用権限情報を格納するステップ;及び
    前記データセキュリティ装置は、前記暗号化データがデータベースサーバへ伝送されるように前記ユーザ端末機に伝送し、又は前記暗号化データを前記データベースサーバに直接伝送して格納されるようにするステップ
    を含む特性維持暗号化を利用したデータセキュリティ方法。
  2. 前記原本データ暗号化の際、前記原本データの前端部を暗号化せずに、後端部のみを暗号化する部分暗号化を遂行するステップをさらに含むことを特徴とする、請求項1に記載の特性維持暗号化を利用したデータセキュリティ方法。
  3. ユーザ端末機又はデータベースサーバとの通信を遂行するためのインタフェース;
    情報の入力を受けるための入力部;
    情報を出力するための出力部;
    前記請求項1又は2のいずれかに記載の方法を利用して暗号化を遂行するための暗号化部;
    情報を格納するための格納部;及び
    前記構成要素の機能を制御するための制御部
    を含む特性維持暗号化を利用したデータセキュリティ装置。
JP2012096359A 2011-06-14 2012-04-20 特性維持暗号化を利用したデータセキュリティ方法及び装置 Active JP5135636B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020110057363A KR101106604B1 (ko) 2011-06-14 2011-06-14 특성 유지 암호화를 이용한 데이터 보안 방법 및 장치
KR10-2011-0057363 2011-06-14

Publications (2)

Publication Number Publication Date
JP2013003573A JP2013003573A (ja) 2013-01-07
JP5135636B2 true JP5135636B2 (ja) 2013-02-06

Family

ID=45614399

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012096359A Active JP5135636B2 (ja) 2011-06-14 2012-04-20 特性維持暗号化を利用したデータセキュリティ方法及び装置

Country Status (3)

Country Link
US (1) US8688985B2 (ja)
JP (1) JP5135636B2 (ja)
KR (1) KR101106604B1 (ja)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103999057B (zh) * 2011-12-30 2016-10-26 英特尔公司 具有开关的相变存储器(pcms)的元数据管理和支持
KR101315683B1 (ko) 2012-03-12 2013-12-13 이니텍(주) 데이터 사이즈 및 형태 변경이 없는 암호화 인코딩 및 복호화 인코딩 방법
KR101989813B1 (ko) * 2012-06-29 2019-06-18 펜타시큐리티시스템 주식회사 특정 포맷을 가지는 대체 데이터의 생성 및 검증
KR101499064B1 (ko) * 2013-07-23 2015-03-05 주식회사 바넷정보기술 정형 및 비정형 데이터를 포함하는 빅데이터에서의 개인정보 익명화 관리 시스템
KR101469857B1 (ko) * 2013-08-01 2014-12-08 고려대학교 산학협력단 암호문 생성 장치 및 방법
US9634838B2 (en) 2014-06-05 2017-04-25 International Business Machines Corporation Complex format-preserving encryption scheme
US10164945B2 (en) * 2016-05-23 2018-12-25 Informatica Llc Method, apparatus, and computer-readable medium for masking data
US10580225B2 (en) 2017-03-31 2020-03-03 Toyota Motor Engineering & Manufacturing North America, Inc. Privacy-aware signal monitoring systems and methods
KR102657161B1 (ko) * 2023-06-21 2024-04-15 인스피언 주식회사 데이터 관리 장치, 데이터 관리 방법 및 데이터 관리 프로그램을 저장하는 컴퓨터로 판독 가능한 저장 매체

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2076695A (en) * 1994-03-23 1995-10-09 Chantilley Corporation Limited Apparatus for generating encryption/decryption look-up tables using a session key
US5673319A (en) * 1995-02-06 1997-09-30 International Business Machines Corporation Block cipher mode of operation for secure, length-preserving encryption
US7418098B1 (en) * 2000-11-27 2008-08-26 Protegrity Corporation Data type preserving encryption
JP2004295091A (ja) * 2003-03-07 2004-10-21 Matsushita Electric Ind Co Ltd 暗号化装置、逆暗号化装置およびデータ再生装置
JP2005050160A (ja) * 2003-07-29 2005-02-24 Yazaki Corp ハードウェアプロテクトキー及び情報処理システム
US7426752B2 (en) * 2004-01-05 2008-09-16 International Business Machines Corporation System and method for order-preserving encryption for numeric data
WO2005119960A2 (en) * 2004-06-01 2005-12-15 Ben-Gurion University Of The Negev Research And Development Authority Structure preserving database encryption method and system
US7864952B2 (en) * 2006-06-28 2011-01-04 Voltage Security, Inc. Data processing systems with format-preserving encryption and decryption engines
US20080082837A1 (en) * 2006-09-29 2008-04-03 Protegrity Corporation Apparatus and method for continuous data protection in a distributed computing network
US8958562B2 (en) * 2007-01-16 2015-02-17 Voltage Security, Inc. Format-preserving cryptographic systems
KR20080069727A (ko) * 2007-01-24 2008-07-29 학교법인 대전기독학원 공개키 기반의 디지털콘텐츠 전송 방법
JP2008185608A (ja) * 2007-01-26 2008-08-14 Casio Comput Co Ltd 暗号化装置、暗号復号装置、暗号化方法、暗号復号方法、及び、プログラム
EP2106641A4 (en) * 2007-01-26 2011-12-14 Safenet Inc FILE ENCRYPTION, WITHIN THE MAINTENANCE OF THE FILE SIZE
US8948375B2 (en) * 2009-05-05 2015-02-03 Voltage Security, Inc. Systems for embedding information in data strings
US8666823B2 (en) * 2010-04-05 2014-03-04 Voltage Security, Inc. System for structured encryption of payment card track data

Also Published As

Publication number Publication date
JP2013003573A (ja) 2013-01-07
US8688985B2 (en) 2014-04-01
KR101106604B1 (ko) 2012-01-20
US20120324215A1 (en) 2012-12-20

Similar Documents

Publication Publication Date Title
JP5135636B2 (ja) 特性維持暗号化を利用したデータセキュリティ方法及び装置
JP6609010B2 (ja) 複数許可データセキュリティ及びアクセス
US8302169B1 (en) Privacy enhancements for server-side cookies
US8971535B2 (en) Multi-level key management
CN103336929B (zh) 用于已加密文件访问的方法和系统
US8924674B2 (en) Permissions of objects in hosted storage
Ding et al. Model-driven application-level encryption for the privacy of e-health data
EP2778952A1 (en) Database device, method and program
JPWO2008146639A1 (ja) 情報共有システム、コンピュータ、プロジェクト管理サーバ及びそれらに用いる情報共有方法
US8769302B2 (en) Encrypting data and characterization data that describes valid contents of a column
US9639708B2 (en) Methods and systems of encrypting file system directories
US8782798B2 (en) Method and apparatus for protecting data using a virtual environment
Liu Securing outsourced databases in the cloud
US11410173B1 (en) Tokenization web services
EP3809300A1 (en) Method and apparatus for data encryption, method and apparatus for data decryption
CN103679066A (zh) 可信保密磁盘的实现方法
TWI553489B (zh) 存取雲端儲存空間資料的方法以及使用該方法的裝置
KR101125699B1 (ko) 데이터베이스 엔진을 이용한 데이터 보안 방법
US20230409722A1 (en) System and method for encrypted storage of constructed data
WO2014042512A1 (en) Management of storage encryption over network-based elastic block store volume
US20220004599A1 (en) Content encryption
CN116204111A (zh) 管理命名空间的方法和存储设备
WO2023133621A1 (en) Method and system for injective asymmetric end-to-end encryption of data and encrypted data location
CN116208320A (zh) 管理数据加解密密钥的方法、处理命令的方法和相关产品
CN112671766A (zh) 一种使用私有前置服务器实现隐私信息安全存储的方法

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121025

R150 Certificate of patent or registration of utility model

Ref document number: 5135636

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151122

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151122

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250