KR100945181B1 - Storage system, middle storage and data management method for data protection using file name - Google Patents

Storage system, middle storage and data management method for data protection using file name Download PDF

Info

Publication number
KR100945181B1
KR100945181B1 KR1020080027862A KR20080027862A KR100945181B1 KR 100945181 B1 KR100945181 B1 KR 100945181B1 KR 1020080027862 A KR1020080027862 A KR 1020080027862A KR 20080027862 A KR20080027862 A KR 20080027862A KR 100945181 B1 KR100945181 B1 KR 100945181B1
Authority
KR
South Korea
Prior art keywords
file
hash value
area
password
encrypted
Prior art date
Application number
KR1020080027862A
Other languages
Korean (ko)
Other versions
KR20090102422A (en
Inventor
박용수
윤주승
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to KR1020080027862A priority Critical patent/KR100945181B1/en
Publication of KR20090102422A publication Critical patent/KR20090102422A/en
Application granted granted Critical
Publication of KR100945181B1 publication Critical patent/KR100945181B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communication
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communication the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC

Abstract

파일명을 이용하여 데이터를 보호하는 저장 시스템, 미들 시스템 및 데이터 관리 방법을 개시한다. 저장 시스템은 비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 포함하는 암호화 영역을 포함하고, 상기 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부가 결정된다.Disclosed are a storage system, a middle system, and a data management method of protecting data using file names. The storage system includes an encryption area including a password file and a hash value for the password file, and whether to allow access to the encryption area is determined based on the hash value.

플래시 메모리, 플래시 변환 계층(Flash Translation Layer, FTL), 파일명, 암호화, 해시함수 Flash memory, Flash Translation Layer (FTL), filenames, encryption, hash functions

Description

파일명을 이용하여 데이터를 보호하는 저장 시스템, 미들 시스템 및 데이터 관리 방법{STORAGE SYSTEM, MIDDLE STORAGE AND DATA MANAGEMENT METHOD FOR DATA PROTECTION USING FILE NAME}Storage system, middle system and data management method to protect data using file name {STORAGE SYSTEM, MIDDLE STORAGE AND DATA MANAGEMENT METHOD FOR DATA PROTECTION USING FILE NAME}

본 발명은 파일명을 이용하여 데이터를 보호하는 저장 시스템, 미들 시스템 및 데이터 관리 방법에 관한 것으로, 암호화 영역에 대한 접근 허용을 상기 암호화 영역에 저장된 파일의 파일명을 이용하여 처리하는 저장 시스템, 미들 시스템 및 데이터 관리 방법에 관한 것이다.The present invention relates to a storage system for protecting data using a file name, a middle system, and a data management method. The present invention relates to a storage system, a middle system, and a method for processing an access to an encrypted area using a file name of a file stored in the encrypted area. Data management method.

오늘날 PC(Personal Computer)나 PDA(Personal Digital Assistants) 등에 플래시 메모리가 많이 이용되면서 개인정보를 저장하는 일이 많아졌다. 이에 따라, 정보유출의 문제가 발생하게 되어, 허가된 사용자만이 플래시 메모리에 저장된 정보를 확인하고자 하는 필요성이 크게 증가하고 있다. 이러한 필요성에 따라 플래시 메모리에 저장된 파일을 보호하기 위해 일반적으로 보안프로그램 또는 보안 USB가 사용된다. 예를 들어, 보안프로그램은 사용자가 보안프로그램을 구매 또는 내려 받아 PC나 PDA에 설치한 후에 파일들을 암호화하거나 암호화된 파일을 복호화하여, 파일들을 보호할 수 있다. 또한, 보안 USB는 USB 인터페이스를 사용하면서 보안프로그램과 같이 소프트웨어를 설치해서 비밀번호를 입력하도록 하거나 또는 지문인식과 같은 생체인식장비를 추가함으로써 파일들을 보호할 수 있다. 본 명세서에서는, 별도의 보호프로그램 또는 별도의 추가 장비 없이 플래시 메모리 환경에서 효율적으로 데이터를 보호하기 위한 저장 시스템이 제안된다.Today, the use of flash memory in personal computers (Personal Computers) and personal digital assistants (PDAs) has increased the storage of personal information. Accordingly, a problem of information leakage occurs, and the necessity for only an authorized user to confirm information stored in the flash memory is greatly increased. Due to this need, a security program or secure USB is generally used to protect files stored in flash memory. For example, the security program may protect the files by encrypting the files or decrypting the encrypted files after the user purchases or downloads the security program and installs it on the PC or PDA. Secure USB can also protect files by using a USB interface, installing software like a security program, entering passwords, or adding biometric devices such as fingerprints. In the present specification, a storage system for efficiently protecting data in a flash memory environment without a separate protection program or additional equipment is proposed.

본 발명은 암호화 영역의 비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 통해 별도의 보호프로그램 또는 별도의 추가 장비 없이 상기 암호화 영역으로의 접근 허용 여부를 결정함으로써, 효율적으로 데이터를 보호할 수 있는 저장 시스템, 미들 시스템 및 데이터 관리 방법을 제공한다.The present invention provides a storage system capable of efficiently protecting data by determining whether to allow access to the encryption region without a separate protection program or additional equipment through a hash value for the encryption file and the password file of the encryption region. Provides middle system and data management methods.

본 발명은 상기 비밀번호 파일의 파일명이 상기 암호화 영역의 비밀번호를 포함하게 하고, 상기 암호화 영역에 상기 파일명과 동일한 파일명의 파일에 대한 생성 또는 이동이 발생할 때만 상기 암호화 영역에 대한 접근을 허용함으로써, 효율적으로 데이터를 보호할 수 있는 저장 시스템, 미들 시스템 및 데이터 관리 방법을 제공한다.The present invention efficiently allows the file name of the password file to include the password of the encrypted area, and permits access to the encrypted area only when generation or movement of a file having the same file name as the file name occurs in the encrypted area. Provides storage systems, middle systems, and data management methods to protect data.

본 발명은 상기 비밀번호 파일의 파일명에 기초하여 생성된 해시값과 상기 생성 또는 이동이 발생하는 파일의 파일명에 기초하여 생성된 해시값을 서로 비교하여 사용자를 인증함으로써, 효율적으로 데이터를 보호할 수 있는 저장 시스템, 미들 시스템 및 데이터 관리 방법을 제공한다.The present invention can efficiently protect data by authenticating a user by comparing a hash value generated based on a file name of the password file with a hash value generated based on a file name of a file in which generation or movement occurs. It provides a storage system, a middle system and a data management method.

본 발명의 일실시예에 따른 저장 시스템은 비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 포함하는 암호화 영역을 포함하고, 상기 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부가 결정한다.The storage system according to the embodiment of the present invention includes an encryption area including a password file and a hash value for the password file, and based on the hash value, whether to allow access to the encryption area is determined.

본 발명의 일측면에 따르면, 상기 비밀번호 파일은 상기 암호화 영역에 대한 비밀번호가 상기 비밀번호 파일의 파일명에 포함될 수 있고, 상기 해시값은 상기 파일명에 기초하여 생성될 수 있다.According to an aspect of the present invention, the password file may include a password for the encryption area in the file name of the password file, the hash value may be generated based on the file name.

본 발명의 일측면에 따르면, 상기 접근 허용 여부는 상기 암호화 영역에 생성 또는 상기 암호화 영역으로 이동될 파일의 해시값 및 상기 암호화 영역에 포함된 해시값에 기초하여 미들 시스템에 의해 결정될 수 있다.According to an aspect of the present invention, whether to allow access may be determined by a middle system based on a hash value of a file to be generated or moved to the encryption area and a hash value included in the encryption area.

본 발명의 일측면에 따르면, 상기 파일의 해시값은 상기 미들 시스템에서 상기 파일의 파일명에 기초하여 생성될 수 있다.According to an aspect of the present invention, the hash value of the file may be generated based on the file name of the file in the middle system.

본 발명의 일측면에 따르면, 상기 미들 시스템은 상기 파일의 해시값 및 상기 암호화 영역에 포함된 해시값이 서로 동일한 경우 상기 암호화 영역으로의 접근을 허용할 수 있다.According to an aspect of the present invention, the middle system may allow access to the encryption area when the hash value of the file and the hash value included in the encryption area are the same.

본 발명의 일실시예에 따른 미들 시스템은 저장 시스템의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산하는 해시값 계산부 및 상기 파일의 해시값과 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정하는 인증부를 포함한다.A middle system according to an embodiment of the present invention includes a hash value calculator that calculates a hash value of a file to be created or moved in an encrypted area of a storage system, and the encryption based on a hash value of the file and a hash value of the encrypted area. It includes an authentication unit for determining whether to allow access to the realm.

본 발명의 일실시예에 따른 데이터 관리 방법은 저장 시스템의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산하는 단계 및 상기 파일의 해시값 및 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정하는 단계를 포함한다.A data management method according to an embodiment of the present invention includes calculating a hash value of a file to be created or moved in an encrypted area of a storage system, and based on a hash value of the file and a hash value of the encrypted area. Determining whether to allow access.

본 발명에 따르면, 암호화 영역의 비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 통해 별도의 보호프로그램 또는 별도의 추가 장비 없이 상기 암호화 영역으로의 접근 허용 여부를 결정함으로써, 효율적으로 데이터를 보호할 수 있다.According to the present invention, it is possible to efficiently protect data by determining whether to allow access to the encryption region without a separate protection program or additional equipment through a password file of the encryption region and a hash value for the password file. .

본 발명에 따르면, 상기 비밀번호 파일의 파일명이 상기 암호화 영역의 비밀번호를 포함하게 하고, 상기 암호화 영역에 상기 파일명과 동일한 파일명의 파일에 대한 생성 또는 이동이 발생할 때만 상기 암호화 영역에 대한 접근을 허용함으로써, 효율적으로 데이터를 보호할 수 있다.According to the present invention, by allowing the file name of the password file to include the password of the encrypted area, and allowing access to the encrypted area only when generation or movement of a file having the same file name as the file name occurs in the encrypted area, You can protect your data efficiently.

본 발명에 따르면, 상기 비밀번호 파일의 파일명에 기초하여 생성된 해시값과 상기 생성 또는 이동이 발생하는 파일의 파일명에 기초하여 생성된 해시값을 서로 비교하여 사용자를 인증함으로써, 효율적으로 데이터를 보호할 수 있다.According to the present invention, by comparing the hash value generated based on the file name of the password file and the hash value generated based on the file name of the file where the generation or movement occurs, the user is authenticated to efficiently protect data. Can be.

이하 첨부된 도면을 참조하여 본 발명에 따른 다양한 실시예를 상세히 설명하기로 한다.Hereinafter, various embodiments of the present disclosure will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 있어서, 저장 시스템의 개괄적인 모습을 도시한 도면이다. 여기서, 본 발명의 일실시예에 따른 저장 시스템(101)은 본 발명의 일실시예에 따른 미들 시스템(102)과 연계될 수 있고, 미들 시스템(102)은 호스트 시스템(103)과 연계될 수 있다.1 is a view showing an overview of a storage system according to an embodiment of the present invention. Here, the storage system 101 according to an embodiment of the present invention may be associated with the middle system 102 according to an embodiment of the present invention, and the middle system 102 may be associated with the host system 103. have.

저장 시스템(101)은 암호화 영역을 적어도 포함할 수 있고, 인증된 사용자만이 상기 암호화 영역에 접근할 수 있도록 함으로써, 암호화 영역 내의 데이터를 보호할 수 있다. 상기 인증에 대해서는 이후 자세히 설명한다. 또한, 저장 시스템(101)은 상기 암호화 영역과 비 암호화 영역을 모두 포함할 수도 있다. 즉, 저 장 가능한 영역의 적어도 일부를 암호화 영역으로 구성하여 일반적인 데이터는 비 암호화 영역에 저장하고, 보호가 필요한 데이터는 암호화 영역에 저장되도록 할 수 있다.The storage system 101 can include at least an encrypted area and can protect data in the encrypted area by allowing only an authenticated user to access the encrypted area. The authentication will be described later in detail. In addition, the storage system 101 may include both the encrypted area and the non-encrypted area. That is, at least a part of the storage area may be configured as an encryption area so that general data is stored in an unencrypted area, and data requiring protection is stored in an encrypted area.

미들 시스템(102)은 호스트 시스템(103)과 저장 시스템(101) 사이에서 데이터를 관리하기 위한 시스템으로 예를 들어, 저장 시스템(101)으로 플래시 메모리가 이용되는 경우, 미들 시스템(102)으로는 플래시 변환 계층(Flash Translation Layer, FTL)이 이용될 수 있다. 상기 플래시 변환 계층은 플래시 메모리의 삭제연산을 감추기 위한 미들웨어로 호스트 시스템(103)의 파일시스템과 플래시메모리 사이에 위치할 수 있다. 이러한 상기 플래시 변환 계층은 쓰기연산 시에 파일시스템이 생성한 논리주소를 플래시메모리상의 이미 삭제연산을 수행한 영역에 대한 물리주소로 변환함으로써 상기 삭제연산을 감출 수 있다. 비교적 수행시간이 오래 걸리는 삭제연산을 감추고 입출력을 하나의 단위(atomic operation)로 처리해 하드디스크와 같은 단일 저장장치를 구성함으로써, 상단에서 일반 파일시스템을 사용해서 플래시메모리를 효율적으로 제어할 수 있도록 할 수 있다. 즉, 미들 시스템(102)은 점선(104)와 같이 저장 시스템(101)과 함께 연계되어 플래시 메모리에 포함되거나 또는 점선(105)와 같이 호스트 시스템(103)에 드라이버와 같은 미들웨어로 연계되어 포함될 수 있다. 이러한 미들 시스템(102)은 호스트 시스템(103)과 저장 시스템(101) 사이에서 상술한 바와 같은 저장 시스템(101)의 암호화 영역에 저장된 데이터를 보호하기 위한 과정을 수행할 수 있다.The middle system 102 is a system for managing data between the host system 103 and the storage system 101. For example, when the flash memory is used as the storage system 101, the middle system 102 is used as the middle system 102. Flash translation layer (FTL) may be used. The flash translation layer may be located between the file system of the host system 103 and the flash memory as middleware for hiding the erase operation of the flash memory. The flash translation layer may hide the erase operation by converting a logical address generated by the file system during a write operation into a physical address for an area that has already been erased in the flash memory. By eliminating relatively long time-consuming deletion operations and processing input / output as a single unit (atomic operation), a single storage device such as a hard disk can be configured so that the flash memory can be efficiently controlled using a normal file system at the top. Can be. That is, the middle system 102 may be included in the flash memory in association with the storage system 101 such as the dotted line 104 or may be included in the host system 103 in association with the middle system such as a driver in the dotted line 105. have. The middle system 102 may perform a process between the host system 103 and the storage system 101 to protect data stored in the encryption area of the storage system 101 as described above.

도 2는 본 발명의 일실시예에 있어서, 저장 시스템의 내부 구성을 설명하기 위한 블록도이다. 도 2에 도시된 바와 같이 본 발명의 일실시예에 따른 저장 시스템(200)은 비 암호화 영역(210) 및 암호화 영역(220)을 포함할 수 있다. 이때, 비 암호화 영역(210)은 상술한 바와 같이 별도의 보호가 필요 없는 일반적인 데이터를 저장하는데 이용될 수 있다. 예를 들어, 사용자가 데이터를 저장하고자 하는 경우, 상기 데이터가 저장될 영역을 선택하도록 할 수 있다.2 is a block diagram illustrating an internal configuration of a storage system according to an exemplary embodiment of the present invention. As illustrated in FIG. 2, the storage system 200 according to an embodiment of the present invention may include a non-encrypted area 210 and an encrypted area 220. In this case, the non-encryption area 210 may be used to store general data that does not need any protection as described above. For example, when a user wants to store data, the user can select an area to store the data.

암호화 영역(220)은 도 2에 도시된 바와 같이 비밀번호 파일(221), 해시값(222) 및 데이터 파일(223)을 포함할 수 있다. 여기서, 데이터 파일(223)은 사용자가 암호화 영역(220)에 저장하고자 하는 데이터들을 의미하는 것으로, 최초 존재하지 않을 수 있다.The encryption area 220 may include a password file 221, a hash value 222, and a data file 223 as shown in FIG. 2. Here, the data file 223 refers to data that the user wants to store in the encryption area 220 and may not exist first.

비밀번호 파일(221)은 암호화 영역(220)에 대한 비밀번호를 포함하는 파일로서, 예를 들어 상기 비밀번호가 'password123'인 경우 'password123.pwd'와 같이 비밀번호 파일(221)의 파일명에 상기 비밀번호가 포함될 수 있다. 여기서, 상기 일례는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 즉, 상기 비밀번호는 비밀번호 파일(221)의 기선정된 논리적 위치에 저장될 수도 있고, 상기 일례의 경우에서도 상기 확장자 'pwd'을 미리 설정하지 않고 확장자 또한 상기 비밀번호의 범주에 포함되도록 할 수도 있다.The password file 221 is a file containing a password for the encryption area 220. For example, when the password is 'password123', the password is included in the file name of the password file 221, such as 'password123.pwd'. Can be. Here, the above examples are provided only to help a more general understanding of the present invention, and the present invention is not limited to the above embodiments, and those skilled in the art to which the present invention pertains various modifications and Modifications are possible. That is, the password may be stored in a predetermined logical location of the password file 221, and even in the above example, the extension may be included in the password category without setting the extension 'pwd' in advance.

해시값(222)은 비밀번호 파일(221)에 대해 단 방향 해시함수(one-way hash function) 등을 이용하여 계산한 값을 포함할 수 있다. 예를 들어, 해시값(222)은 비밀번호 파일(221)에 포함된 비밀번호에 대한 해시값을 포함할 수 있다.The hash value 222 may include a value calculated for the password file 221 using a one-way hash function or the like. For example, the hash value 222 may include a hash value for the password included in the password file 221.

이때, 저장 시스템(200)은 해시값(222)에 기초하여 암호화 영역(220)에 대한 접근 허용 여부가 결정될 수 있다. 여기서, 상기 접근 허용 여부는 암호화 영역(220)에 생성 또는 암호화 영역(220)으로 이동될 파일의 해시값 및 암호화 영역(220)에 포함된 해시값에 기초하여 미들 시스템(230)에 의해 결정될 수 있다. 이때, 상기 파일의 해시값은 미들 시스템(230)에서 비밀번호 파일(221)에 대해 생성된 해시값(222)과 동일한 방법으로 생성될 수 있다. 예를 들어, 암호화 영역(220)의 비밀번호가 상술한 바와 같이 비밀번호 파일(221)의 파일명에 포함된 경우, 상기 파일의 해시값은 동일하게 상기 파일의 파일명에 기초하여 생성될 수 있다. 즉, 미들 시스템(230)은 상기 파일의 해시값 및 암호화 영역(220)에 포함된 해시값(222)이 서로 동일한 경우에만 암호화 영역(220)으로의 접근을 허용함으로써, 암호화 영역(220)의 데이터를 보호할 수 있다.In this case, the storage system 200 may determine whether to allow access to the encryption region 220 based on the hash value 222. Here, whether to allow the access may be determined by the middle system 230 based on a hash value of a file to be generated or moved to the encryption area 220 and a hash value included in the encryption area 220. have. In this case, the hash value of the file may be generated in the same manner as the hash value 222 generated for the password file 221 in the middle system 230. For example, when the password of the encryption area 220 is included in the file name of the password file 221 as described above, the hash value of the file may be generated based on the file name of the file. That is, the middle system 230 allows access to the encryption area 220 only when the hash value of the file and the hash value 222 included in the encryption area 220 are identical to each other, thereby allowing the encryption area 220. You can protect your data.

다시 말해, 암호화 영역(220)은 상술한 바와 같은 방법을 통해 사용자가 인증되지 않은 경우에는 암호화 영역(220) 내의 데이터를 숨기는 보안 상태를 유지하여 상기 데이터를 보호하고, 사용자가 인증된 경우에만 상기 데이터를 볼 수 있는 보안 해제 상태로 변경될 수 있다. 예를 들어, 암호화 영역(220)이 보안 상태인 경우, 사용자는 자신이 알고 있는 비밀번호로 비밀번호 파일(221)과 동일한 파일을 암호화 영역(220)에 생성하려 하거나 상기 동일한 파일을 생성하여 암호화 영역(220)으로 이동시킴으로써, 상기 보안 상태를 보안 해제 상태로 변경할 수 있고, 암호화 영역(220)의 데이터를 얻을 수 있게 된다. 이때, 미들 시스템(230)이 상기 동일한 파일의 비밀번호와 암호화 영역(220)의 비밀번호가 일치하는가를 확인하게 된다.In other words, if the user is not authenticated through the above-described method, the encryption area 220 protects the data by hiding the data in the encryption area 220 and protects the data only when the user is authenticated. It can be changed to a security-disabled state where data can be viewed. For example, when the encryption area 220 is in a secure state, the user tries to create the same file in the encryption area 220 as the password file 221 with a password that he or she knows, or generates the same file to generate an encryption area ( By moving to 220, the security state can be changed to the security release state, and the data of the encryption area 220 can be obtained. At this time, the middle system 230 checks whether the password of the same file and the password of the encryption area 220 match.

도 3은 본 발명의 일실시예에 있어서, 미들 시스템의 내부 구성을 설명하기 위한 블록도이다. 도 3에 도시된 바와 같이 본 발명의 일실시예에 따른 미들 시스템(300)은 해시값 계산부(301) 및 인증부(302)를 포함한다.3 is a block diagram illustrating an internal configuration of a middle system according to an embodiment of the present invention. As shown in FIG. 3, the middle system 300 according to an embodiment of the present invention includes a hash value calculator 301 and an authenticator 302.

해시값 계산부(301)는 저장 시스템(310)의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산한다. 도 2를 통해 설명한 바와 같이, 사용자는 자신이 알고 있는 비밀번호를 포함하는 파일을 상기 암호화 영역에 생성 또는 이동하려 할 수 있고, 이때, 해시값 계산부(301)는 인증을 위해 우선적으로 상기 파일에 대한 해시값을 계산할 수 있다. 이때, 상기 해시값을 계산하는 방법은 상기 암호화 영역에 포함된 해시값의 계산 방법과 동일한 방법이 이용될 수 있다. 예를 들어, 상술한 바와 같이 상기 암호화 영역의 비밀번호가 상기 암호화 영역에 저장된 비밀번호 파일의 파일명에 포함되고, 상기 암호화 영역에 포함된 해시값은 상기 파일명에 기초하여 생성된 경우, 해시값 계산부(301)는 상기 생성 또는 이동될 파일의 파일명에 기초하여 상기 파일의 해시값을 계산할 수 있다.The hash value calculator 301 calculates a hash value of a file to be created or moved in an encrypted area of the storage system 310. As described with reference to FIG. 2, a user may attempt to create or move a file containing a password that he / she knows to the encryption area, and at this time, the hash value calculator 301 preferentially applies the file to the file for authentication. Hash can be calculated. At this time, the method of calculating the hash value may be the same method as the method of calculating the hash value included in the encryption area. For example, as described above, when the password of the encryption area is included in the file name of the password file stored in the encryption area, and the hash value included in the encryption area is generated based on the file name, the hash value calculation unit ( 301 may calculate a hash value of the file based on the file name of the file to be created or moved.

인증부(302)는 상기 파일의 해시값과 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정한다. 예를 들어, 인증부(302)는 상기 파일의 해시값과 상기 암호화 영역의 해시값이 서로 동일한 경우 상기 암호화 영역으로의 접근을 허용할 수 있다. 즉, 서로 동일한 비밀번호에 대해 서로 동일한 방법으로 해시값이 계산되어야만 두 해시값이 서로 동일할 수 있고, 이 경우에 만 인증부(302)에서 상기 암호화 영역에 대한 접근을 허용할 수 있어, 별도의 보호 프로그램이나 추가 장비 없이 데이터를 효율적으로 보호할 수 있다.The authenticator 302 determines whether to allow access to the encrypted region based on the hash value of the file and the hash value of the encrypted region. For example, the authenticator 302 may allow access to the encrypted area when the hash value of the file and the hash value of the encrypted area are the same. That is, the hash values may be identical to each other only if the hash values are calculated in the same manner with respect to the same password, and only in this case, the authentication unit 302 may allow access to the encryption area, so that Data can be protected efficiently without protection programs or additional equipment.

상술한 바와 같이, 상기 두 해시값은 동일한 방법으로 계산되어야 하기 때문에 본 발명의 일실시예에 따른 미들 시스템 및 저장 시스템이 서로 연관되어 하나의 메모리에 포함되는 것이 바람직할 수 있다. 도 4는 본 발명의 일실시예에 따른 플래시 메모리의 일례이다. 즉, 플래시 메모리(410)는 미들 시스템(411) 및 저장 시스템(412)이 서로 연관되어 포함된 일례이다. 이때, 미들 시스템(411)은 저장 시스템(412)이 포맷되는 경우, 암호화 영역, 비밀번호 파일 및 해시값을 자동으로 생성할 수 있다. 또한, 호스트 컴퓨터(420)로부터 상기 암호화 영역에 생성 또는 이동될 파일이 존재하는 경우, 상기 파일에 대한 해시값의 계산 및 인증의 과정을 보다 수월하게 수행할 수 있다.As described above, since the two hash values must be calculated in the same way, it may be preferable that the middle system and the storage system according to the embodiment of the present invention are included in one memory in association with each other. 4 is an example of a flash memory according to an embodiment of the present invention. That is, the flash memory 410 is an example in which the middle system 411 and the storage system 412 are included in association with each other. In this case, when the storage system 412 is formatted, the middle system 411 may automatically generate an encryption area, a password file, and a hash value. In addition, when a file to be created or moved from the host computer 420 exists in the encryption area, a process of calculating and authenticating a hash value for the file may be performed more easily.

도 5는 본 발명의 일실시예에 있어서, 데이터 관리 방법을 도시한 흐름도이다. 여기서, 본 발명의 일실시예에 따른 데이터 관리 방법은 본 발명의 일실시예에 따른 미들 시스템에 의해 수행될 수 있다. 아래에서는 상기 미들 시스템에서 수행되는 상기 데이터 관리 방법에 대해 설명한다.5 is a flowchart illustrating a data management method according to an embodiment of the present invention. Here, the data management method according to an embodiment of the present invention may be performed by the middle system according to an embodiment of the present invention. Hereinafter, the data management method performed in the middle system will be described.

단계(S501)에서 상기 미들 시스템은 저장 시스템의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산한다. 예를 들어, 상기 미들 시스템은 상기 파일의 파일명에 기초하여 상기 해시값을 계산할 수 있다. 이때, 상기 암호화 영역은 상기 암호화 영역의 비밀번호를 파일명에 포함하는 비밀번호 파일을 포함할 수 있고, 상기 암호화 영역의 해시값은 상기 파일명에 기초하여 생성되었을 수 있다.In step S501, the middle system calculates a hash value of a file to be created or moved in an encrypted area of the storage system. For example, the middle system may calculate the hash value based on the file name of the file. In this case, the encryption area may include a password file including the password of the encryption area in a file name, and a hash value of the encryption area may be generated based on the file name.

단계(S502)에서 상기 미들 시스템은 상기 파일의 해시값 및 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정한다. 즉, 상기 미들 시스템은 상기 파일의 해시값과 상기 암호화 영역의 해시값을 비교하여 서로 동일한 경우 상기 암호화 영역에 대한 접근을 허용할 수 있다.In step S502, the middle system determines whether to allow access to the encrypted region based on the hash value of the file and the hash value of the encrypted region. That is, the middle system may compare the hash value of the file with the hash value of the encryption area and allow access to the encryption area if they are the same.

이와 같이, 본 발명의 일실시예에 따른 저장 시스템 및 미들 시스템 또는 데이터 관리 방법을 이용하면, 암호화 영역의 비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 통해 별도의 보호프로그램 또는 별도의 추가 장비 없이 상기 암호화 영역으로의 접근 허용 여부를 결정함으로써, 효율적으로 데이터를 보호할 수 있다.As such, when the storage system, the middle system, or the data management method according to the embodiment of the present invention are used, the password file of the encryption area and the hash value for the password file are stored without a separate protection program or additional equipment. By determining whether to allow access to the encryption area, data can be protected efficiently.

또한, 상기 비밀번호 파일의 파일명이 상기 암호화 영역의 비밀번호를 포함하게 하고, 상기 암호화 영역에 상기 파일명과 동일한 파일명의 파일에 대한 생성 또는 이동이 발생할 때만 상기 암호화 영역에 대한 접근을 허용함으로써, 효율적으로 데이터를 보호할 수 있다.In addition, the file name of the password file includes the password of the encrypted area, and allows access to the encrypted area only when generation or movement of a file having the same file name as the file name occurs in the encrypted area. Can protect.

뿐만 아니라, 상기 비밀번호 파일의 파일명에 기초하여 생성된 해시값과 상기 생성 또는 이동이 발생하는 파일의 파일명에 기초하여 생성된 해시값을 서로 비교하여 사용자를 인증함으로써, 효율적으로 데이터를 보호할 수 있다.In addition, by comparing the hash value generated based on the file name of the password file with the hash value generated based on the file name of the file in which the generation or movement occurs, the user can be protected efficiently. .

본 발명에 따른 실시예들은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 파일 데이터, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(Floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Embodiments according to the present invention can be implemented in the form of program instructions that can be executed by various computer means can be recorded on a computer readable medium. The computer readable medium may include program instructions, file data, data structures, etc. alone or in combination. Program instructions recorded on the media may be those specially designed and constructed for the purposes of the present invention, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the present invention, and vice versa.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions.

따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the described embodiments, and all of the equivalents or equivalents of the claims as well as the claims to be described later will belong to the scope of the present invention. .

도 1은 본 발명의 일실시예에 있어서, 저장 시스템의 개괄적인 모습을 도시한 도면이다.1 is a view showing an overview of a storage system according to an embodiment of the present invention.

도 2는 본 발명의 일실시예에 있어서, 저장 시스템의 내부 구성을 설명하기 위한 블록도이다.2 is a block diagram illustrating an internal configuration of a storage system according to an exemplary embodiment of the present invention.

도 3은 본 발명의 일실시예에 있어서, 미들 시스템의 내부 구성을 설명하기 위한 블록도이다.3 is a block diagram illustrating an internal configuration of a middle system according to an embodiment of the present invention.

도 4는 본 발명의 일실시예에 따른 플래시 메모리의 일례이다.4 is an example of a flash memory according to an embodiment of the present invention.

도 5는 본 발명의 일실시예에 있어서, 데이터 관리 방법을 도시한 흐름도이다.5 is a flowchart illustrating a data management method according to an embodiment of the present invention.

<도면의 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

200: 저장 시스템200: storage system

220: 암호화 영역220: encryption area

221: 비밀번호 파일221: password file

222: 해시값222: hash value

230: 미들 시스템230: middle system

Claims (14)

비밀번호 파일 및 상기 비밀번호 파일에 대한 해시값을 포함하는 암호화 영역Encryption area containing a password file and a hash value for the password file 을 포함하고,Including, 상기 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부가 결정되고,It is determined whether to allow access to the encrypted area based on the hash value, 상기 비밀번호 파일은 상기 암호화 영역에 대한 비밀번호가 상기 비밀번호 파일의 파일명에 포함되고,The password file includes a password for the encryption area in the file name of the password file, 상기 해시값은 상기 파일명에 기초하여 생성되는 저장 시스템.And the hash value is generated based on the file name. 삭제delete 제1항에 있어서,The method of claim 1, 상기 접근 허용 여부는 상기 암호화 영역에 생성 또는 상기 암호화 영역으로 이동될 파일의 해시값 및 상기 암호화 영역에 포함된 해시값에 기초하여 미들 시스템에 의해 결정되는, 저장 시스템.The access permission is determined by a middle system based on a hash value of a file to be created or moved to the encryption area and a hash value included in the encryption area. 제3항에 있어서,The method of claim 3, 상기 파일의 해시값은 상기 미들 시스템에서 상기 파일의 파일명에 기초하여 생성되는, 저장 시스템.The hash value of the file is generated based on the file name of the file in the middle system. 제3항에 있어서,The method of claim 3, 상기 미들 시스템은 상기 파일의 해시값 및 상기 암호화 영역에 포함된 해시값이 서로 동일한 경우 상기 암호화 영역으로의 접근을 허용하는, 저장 시스템.And the middle system allows access to the encrypted area when the hash value of the file and the hash value included in the encrypted area are equal to each other. 저장 시스템의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산하는 해시값 계산부; 및A hash value calculator for calculating a hash value of a file to be created or moved in an encrypted area of the storage system; And 상기 파일의 해시값과 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정하는 인증부An authenticator configured to determine whether to allow access to the encrypted region based on a hash value of the file and a hash value of the encrypted region; 를 포함하고,Including, 상기 암호화 영역은 상기 암호화 영역에 대한 비밀번호를 파일명에 포함하는 비밀번호 파일을 포함하고,The encryption area includes a password file including a password for the encryption area in a file name, 상기 암호화 영역의 해시값은 상기 파일명에 기초하여 생성되는 미들 시스템.And a hash value of the encrypted area is generated based on the file name. 제6항에 있어서,The method of claim 6, 상기 인증부는,The authentication unit, 상기 파일의 해시값과 상기 암호화 영역의 해시값이 서로 동일한 경우 상기 암호화 영역으로의 접근을 허용하는, 미들 시스템.And if the hash value of the file and the hash value of the encrypted area are equal to each other, allowing access to the encrypted area. 삭제delete 제6항에 있어서,The method of claim 6, 상기 해시값 계산부는,The hash value calculation unit, 상기 파일의 파일명에 기초하여 상기 파일의 해시값을 계산하는, 미들 시스템.And calculate a hash value of the file based on the file name of the file. 저장 시스템의 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산하는 단계; 및Calculating a hash value of a file to be created or moved in an encrypted area of the storage system; And 상기 파일의 해시값 및 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정하는 단계Determining whether to allow access to the encrypted region based on a hash value of the file and a hash value of the encrypted region; 를 포함하고,Including, 상기 암호화 영역은 상기 암호화 영역의 비밀번호를 파일명에 포함하는 비밀번호 파일을 포함하고,The encryption area includes a password file including a password of the encryption area in a file name, 상기 암호화 영역의 해시값은 상기 파일명에 기초하여 생성되는 데이터 관리 방법.And a hash value of the encrypted area is generated based on the file name. 제10항에 있어서,The method of claim 10, 상기 암호화 영역에 생성 또는 이동될 파일의 해시값을 계산하는 상기 단계는,The step of calculating a hash value of a file to be created or moved in the encryption area, 상기 파일의 파일명에 기초하여 상기 해시값을 계산하는 단계Calculating the hash value based on the file name of the file 를 포함하는, 데이터 관리 방법.Comprising a data management method. 삭제delete 제10항에 있어서,The method of claim 10, 상기 파일의 해시값 및 상기 암호화 영역의 해시값에 기초하여 상기 암호화 영역에 대한 접근 허용 여부를 결정하는 상기 단계는,The determining of whether to allow access to the encrypted region based on a hash value of the file and a hash value of the encrypted region may include: 상기 파일의 해시값과 상기 암호화 영역의 해시값을 비교하여 서로 동일한 경우 상기 암호화 영역에 대한 접근을 허용하는 단계Comparing the hash value of the file with the hash value of the encryption area and allowing access to the encryption area when the hash value of the file is the same; 를 포함하는, 데이터 관리 방법.Comprising a data management method. 제10항, 제11항 또는 제13항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium in which a program for executing the method of any one of claims 10, 11 or 13 is recorded.
KR1020080027862A 2008-03-26 2008-03-26 Storage system, middle storage and data management method for data protection using file name KR100945181B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080027862A KR100945181B1 (en) 2008-03-26 2008-03-26 Storage system, middle storage and data management method for data protection using file name

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080027862A KR100945181B1 (en) 2008-03-26 2008-03-26 Storage system, middle storage and data management method for data protection using file name

Publications (2)

Publication Number Publication Date
KR20090102422A KR20090102422A (en) 2009-09-30
KR100945181B1 true KR100945181B1 (en) 2010-03-03

Family

ID=41359889

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080027862A KR100945181B1 (en) 2008-03-26 2008-03-26 Storage system, middle storage and data management method for data protection using file name

Country Status (1)

Country Link
KR (1) KR100945181B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9135459B2 (en) 2012-10-19 2015-09-15 Samsung Electronics Co., Ltd. Security management unit, host controller interface including same, method operating host controller interface, and devices including host controller interface

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042557B1 (en) * 2009-11-18 2011-06-20 중소기업은행 Document Security System having an enhanced security and Operating Method Thereof

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003122722A (en) * 2001-10-16 2003-04-25 Wares Houser:Kk Generation/storage system of complex infinite one-time password by using file synchronization, and authentication system thereof
US20030140049A1 (en) 2001-12-21 2003-07-24 Cybersoft, Inc. Apparatus, methods and articles of manufacture for securing and maintaining computer systems and storage media
KR20050065638A (en) * 2002-10-28 2005-06-29 제이지알 어퀴지션 인코퍼레이티드 Transparent ejb support and horizontal data partitioning
KR20080050040A (en) * 2006-12-01 2008-06-05 (재)대구경북과학기술연구원 Method for user authentication

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003122722A (en) * 2001-10-16 2003-04-25 Wares Houser:Kk Generation/storage system of complex infinite one-time password by using file synchronization, and authentication system thereof
US20030140049A1 (en) 2001-12-21 2003-07-24 Cybersoft, Inc. Apparatus, methods and articles of manufacture for securing and maintaining computer systems and storage media
KR20050065638A (en) * 2002-10-28 2005-06-29 제이지알 어퀴지션 인코퍼레이티드 Transparent ejb support and horizontal data partitioning
KR20080050040A (en) * 2006-12-01 2008-06-05 (재)대구경북과학기술연구원 Method for user authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9135459B2 (en) 2012-10-19 2015-09-15 Samsung Electronics Co., Ltd. Security management unit, host controller interface including same, method operating host controller interface, and devices including host controller interface
US9785784B2 (en) 2012-10-19 2017-10-10 Samsung Electronics Co., Ltd. Security management unit, host controller interface including same, method operating host controller interface, and devices including host controller interface

Also Published As

Publication number Publication date
KR20090102422A (en) 2009-09-30

Similar Documents

Publication Publication Date Title
US8356184B1 (en) Data storage device comprising a secure processor for maintaining plaintext access to an LBA table
US8352735B2 (en) Method and system for encrypted file access
EP2583410B1 (en) Single-use authentication methods for accessing encrypted data
KR101699998B1 (en) Secure storage of temporary secrets
US8315394B2 (en) Techniques for encrypting data on storage devices using an intermediate key
US20030221115A1 (en) Data protection system
US20070074038A1 (en) Method, apparatus and program storage device for providing a secure password manager
US20090150631A1 (en) Self-protecting storage device
US7818567B2 (en) Method for protecting security accounts manager (SAM) files within windows operating systems
US20080235521A1 (en) Method and encryption tool for securing electronic data storage devices
US8181028B1 (en) Method for secure system shutdown
JPWO2006004130A1 (en) Data management method, program thereof, and program recording medium
US9805186B2 (en) Hardware protection for encrypted strings and protection of security parameters
US20130166869A1 (en) Unlock a storage device
US20170373853A1 (en) Managing user profiles securely in a user environment
KR20140051350A (en) Digital signing authority dependent platform secret
WO2011148224A1 (en) Method and system of secure computing environment having auditable control of data movement
TW201530344A (en) Application program access protection method and application program access protection device
US20080313473A1 (en) Method and surveillance tool for managing security of mass storage devices
JP5255991B2 (en) Information processing apparatus and computer program
US7694154B2 (en) Method and apparatus for securely executing a background process
KR100945181B1 (en) Storage system, middle storage and data management method for data protection using file name
US11126754B2 (en) Personalized and cryptographically secure access control in operating systems
KR101203804B1 (en) Security mobile storage apparatus and the control method
KR101405915B1 (en) Method for writing data by encryption and reading the data thereof

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130111

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20131230

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150105

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee