KR100949790B1 - Preservation method about data in IE memory altered without leave - Google Patents

Preservation method about data in IE memory altered without leave Download PDF

Info

Publication number
KR100949790B1
KR100949790B1 KR1020070095388A KR20070095388A KR100949790B1 KR 100949790 B1 KR100949790 B1 KR 100949790B1 KR 1020070095388 A KR1020070095388 A KR 1020070095388A KR 20070095388 A KR20070095388 A KR 20070095388A KR 100949790 B1 KR100949790 B1 KR 100949790B1
Authority
KR
South Korea
Prior art keywords
data
text
memory
stored
input
Prior art date
Application number
KR1020070095388A
Other languages
Korean (ko)
Other versions
KR20090030069A (en
Inventor
강홍석
정진영
황성진
Original Assignee
소프트캠프(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트캠프(주) filed Critical 소프트캠프(주)
Priority to KR1020070095388A priority Critical patent/KR100949790B1/en
Publication of KR20090030069A publication Critical patent/KR20090030069A/en
Application granted granted Critical
Publication of KR100949790B1 publication Critical patent/KR100949790B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Abstract

본 발명은 메모리에 저장된 사용자의 입력정보(데이터)가 무단으로 변조되어 정당한 인터넷 이용이 침해되고, 사용자가 의도하지 않은 결과로 온라인 통신이 이루어지는 것을 방지하는 IE 메모리의 데이터 보안방법에 관한 것으로, 하나 이상의 캐릭터로 된 텍스트를 포함하는 데이터가 웹페이지의 텍스트필드에 입력되는 제1단계; 입력된 상기 데이터가 캐릭터별로 암호화된 후 해당 암호문이 서버로 전송되기 전 상기 데이터를 전송데이터로서 임시 저장하는 IE 메모리의 히든필드에 입력되는 제2단계; 상기 IE 메모리에 저장된 전송데이터와 암호문이 서버로 전송되는 제3단계; 상기 암호문을 복호화한 후 상기 전송데이터와 비교해서 전송데이터의 변조 여부를 확인하는 제4단계;로 된 무단 변조된 데이터 보안방법에 있어서, 상기 제1단계에서, 상기 데이터는 텍스트메모리에 저장되어서 사용자의 선택시 해당 텍스트필드에 입력되는 정보를 저장한 저장데이터이고, 이 저장데이터 중 하나 이상의 저장데이터가 웹페이지의 텍스트필드에 입력되기 위해 선택되는 저장데이터 선택단계와; 선택된 저장데이터가 키보드이벤트 발생모듈을 통해 캐릭터별로 분리되어 키보드이벤트로 발생하고, 이벤트 핸들러는 상기 키보드이벤트를 통해 상기 선택된 저장데이터의 텍스트를 확인하는 선택된 저장데이터 전송단계;로 구성되고, 상기 제2단계에서, 선택된 저장데이터의 캐릭터별 암호화는 상기 이벤트 핸들러를 통해 이루어지는 것이다.The present invention relates to a data security method of an IE memory that prevents unauthorized user's input information (data) stored in the memory from being tampered with, thereby infringing on legitimate Internet use, and preventing online communication from being performed by the user unintentionally. A first step of inputting data including text including the above characters into a text field of a web page; A second step of inputting in the hidden field of the IE memory temporarily storing the data as transmission data after the input data is encrypted for each character and before the cipher text is transmitted to the server; A third step of transmitting transmission data and an encrypted text stored in the IE memory to a server; And a fourth step of verifying whether the transmission data is modulated by comparing the transmission data after decrypting the cipher text. In the first step, the data is stored in a text memory and stored in a user. A storage data selection step of storing information inputted in a corresponding text field upon selection of a storage data, wherein at least one stored data of the storage data is selected to be input in a text field of a web page; The selected stored data is separated by character through the keyboard event generating module and generated as a keyboard event, and the event handler includes the selected stored data transmitting step of checking the text of the selected stored data through the keyboard event. In the step, the character-specific encryption of the selected stored data is performed through the event handler.

Description

무단 변조된 아이이 메모리의 데이터 보안방법{Preservation method about data in IE memory altered without leave}Preservation method about data in IE memory altered without leave}

본 발명은 메모리에 저장된 사용자의 입력정보(데이터)가 무단으로 변조되어 정당한 인터넷 이용이 침해되고, 사용자가 의도하지 않은 결과로 온라인 통신이 이루어지는 것을 방지하는 무단 변조된 IE 메모리의 데이터 보안방법에 관한 것이다.The present invention relates to a data security method of a tamper-proof IE memory that prevents unauthorized user's input information (data) stored in the memory from being tampered with, thereby preventing the use of the Internet. will be.

인터넷익스플로러(Internet Explorer; 이하 IE)는 현재 월드 와이드 웹(www)에서 정보를 열람할 수 있도록 하는 검색용 프로그램 중 가장 널리 보급 및 사용되고 있는 웹 브라우저로서, 클라이언트와 서버 간의 기본적인 통신 방식은 IE를 기반으로 구성되고, 특수한 분야인 인터넷 통신보안 분야에서 활용되는 보안시스템 또한 IE를 기반으로 구성되고 있다.Internet Explorer (IE) is the most widely used and widely used search browser for browsing information on the World Wide Web (www). The basic communication method between client and server is IE-based. The security system used in the field of Internet communication security, which is a special field, is also based on IE.

따라서, IE는 인터넷 통신을 위한 기본적인 구성이 모두 구축되어 있고, 클라이언트와 서버 간 통신을 총괄하는 통신프로그램 및 보안프로그램 등의 작동은 일반적으로 IE에 구축된 구성 등을 활용하도록 설계된다.Therefore, IE has all the basic configuration for Internet communication, and the operation of the communication program and the security program that manages the communication between the client and the server is generally designed to utilize the configuration, etc. built in the IE.

IE 메모리는 사용자가 입력한 각종 정보를 해당 서버로 전송하기 위해 상기 정보를 임시로 저장하는 것으로, 원활한 인터넷 통신을 위해 IE에는 없어서는 안될 중요한 구성이다. The IE memory temporarily stores the information in order to transmit various information input by the user to the corresponding server, which is an essential component of the IE for smooth internet communication.

그런데, IE 메모리는 사용자가 입력한 정보와 서버로부터 클라이언트에 전송된 정보가 반드시 거치는 장치이므로, 클라이언트와 서버 간 통신에서 교환되는 정보를 악의를 가지고 빼내거나 이를 변조할 목적을 갖는 해커들의 주 접근대상이었다.However, since IE memory is a device through which information entered by a user and information transmitted from a server to a client must pass through, the main targets of hackers with the purpose of hacking out or tampering with information exchanged in communication between the client and the server with malicious intentions. It was.

도 1은 IE 메모리 변조를 통한 종래 해킹과정을 순차로 도시한 도면인 바, 이를 참조하여 IE 메모리를 대상으로 한 종래 해킹과정을 설명한다.1 is a diagram sequentially illustrating a conventional hacking process through the IE memory modulation, with reference to this will be described the conventional hacking process for the IE memory.

IE 메모리 변조를 통한 해킹은 인터넷뱅킹 또는 각종 전자상거래 시 동작하는 보안프로그램들이 직접 보호하지 못하는 계좌번호, 이름, 금액 등과 같은 일반필드의 값을 변경하는 것이다. Hacking through IE memory tampering is to change the values of general fields such as account number, name, and amount that security programs that operate during Internet banking or various e-commerce cannot directly protect.

이를 좀 더 구체적으로 설명하면, IE 메모리 변조를 통한 해킹은 사용자가 인터넷뱅킹으로 이체를 실행할 때 IE 메모리에 있는 계좌번호 및 금액을 변경한 후, 변경된 계좌번호 및 금액이 은행서버와 통신하는 PKI(Public Key Infrastructure; 공개키기반구조)로 전송되도록 하는 것이다.More specifically, hacking through IE memory tampering changes the account number and amount in IE memory when a user makes a transfer using Internet banking, and then the PKI ( It is to be transmitted to the Public Key Infrastructure.

도 1에서 보이는 것처럼, 사용자가 키보드보안 드라이버에 의해 보안성을 갖춘 키보드로 이체 받을 계좌번호와 이체액을 입력하면, 계좌번호 및 이체액에 대한 입력정보는 키보드보안 드라이버에서 암호화된 후 운영체제에 설치된 키보드보안 ActiveX 컨트롤러로 전달되고, 상기 키보드보안 ActiveX 컨트롤러는 이를 다시 복호화해서 IE 메모리에 한 자씩 전달한다.As shown in FIG. 1, when a user inputs an account number and a transfer amount to be transferred to a keyboard secured by the keyboard security driver, the input information for the account number and the transfer amount is encrypted in the keyboard security driver and then installed in the operating system. It is delivered to the keyboard security ActiveX controller, and the keyboard security ActiveX controller decrypts it again and delivers it to IE memory one by one.

따라서, 사용자가 입력한 계좌번호 및 이체액은 IE 메모리에 그대로 저장된 다.Therefore, the account number and transfer amount entered by the user are stored in the IE memory as it is.

이후, 정상적으로 진행된다면, IE 메모리의 계좌번호 및 이체액은 PKI 메모리로 전달되면서 암호화된 후 PKI로 전송되어 복호화된다. 그러나, 해킹에 의해 비정상적으로 진행된다면, 계좌번호 및 이체액은 IE 메모리로의 submit 과정에서 변조가 이루어져서, 사용자가 입력한 내용과는 다른 계좌번호 및 이체액이 IE 메모리에 저장된다. 결국, 변조된 계좌번호 및 이체액이 정상적인 과정인 암호화 과정을 거쳐 PKI 메모리에 전달되고, 이는 다시 은행서버로 전송되어 이체절차가 진행된다.Thereafter, if proceeding normally, the account number and transfer amount of the IE memory are encrypted while being transferred to the PKI memory and then transmitted to the PKI and decrypted. However, if abnormally proceeded by hacking, the account number and the transfer amount are modulated in the submit process to the IE memory, so that the account number and the transfer amount different from the contents input by the user are stored in the IE memory. As a result, the altered account number and the transfer amount are transferred to the PKI memory through an encryption process, which is a normal process, which is then transferred to the bank server to perform the transfer process.

즉, 사용자는 자신이 입력한 계좌번호 및 이체액과는 다른 계좌번호 및 이체액이 은행서버에 전달되면서, 사용자도 모르게 다른 계좌로 돈이 이체된다. 또한, 은행서버로부터 처리된 결과에 대한 데이터는 상술한 과정의 역순에 따라 변경하여서, 사용자가 의도한 바에 따라 금융거래가 이루어진 것처럼 모니터에 출력된다.That is, the user transfers the account number and the transfer amount different from the account number and the transfer amount input by the user to the bank server, and the money is transferred to another account without the user knowing. In addition, the data on the result processed from the bank server is changed in the reverse order of the above-described process, and is output to the monitor as if the financial transaction was made as the user intended.

도 2는 IE 메모리 변조를 방지하기 위한 종래 무단 변조된 데이터 보안방법을 순차로 도시한 도면이고, 도 3은 인터넷 뱅킹 시 출력되는 웹페이지의 한 모습을 보인 도면인 바, 이를 참조하여 설명한다.FIG. 2 is a diagram sequentially illustrating a conventional tamper-proof data security method for preventing IE memory tampering, and FIG. 3 is a diagram illustrating a web page output when Internet banking is performed.

앞서 설명한 IE 메모리 변조에 의한 해킹을 차단하기 위해서는 사용자 입력 정보의 무결성을 검증하는 것이 필요한데, 종래 보안방법은 사용자가 입력한 정보의 무결성을 확인하기 위해 히든필드(hidden field) 방식을 적용하였다.In order to block hacking by the IE memory tampering described above, it is necessary to verify the integrity of user input information. In the conventional security method, a hidden field method is applied to confirm the integrity of information input by a user.

우선, 종래 데이터 보안방법의 원활한 동작을 위해 PKI(공인인증)와 키보드 보안프로그램 간의 암/복호화를 위한 키 생성 및 교환과 메모리 변조 방지를 위한 적용대상이 설정된다.First, in order to smoothly operate the conventional data security method, an application target for key generation and exchange for encryption / decryption between a PKI (authorized authentication) and a keyboard security program and prevention of memory tampering is set.

즉, 클라이언트에 설치되는 키보드보안 프로그램의 보안방식이 PKI와 IE에 설정되어 원활한 동작이 이루어지도록 하는 것이다. 또한, IE와의 적용대상을 설정할 시에는 종래 보안대상이 아니었던 계좌번호와 금액 등을 새롭게 적용하고, 보안대상이 입력되면 보안대상이 되는 텍스트에 상응하는 암호문이 히든필드에 생성 및 저장되도록 설정한다.In other words, the security method of the keyboard security program installed in the client is set in the PKI and IE to ensure smooth operation. In addition, when setting the application target with IE, apply a new account number and amount, which were not previously secured, and set the ciphertext corresponding to the text to be secured in the hidden field when the security target is input. .

키보드보안 프로그램과 IE 및 PKI 간의 셋팅이 완료되어 보안준비가 이루어지면, 사용자는 키보드를 조작하여 텍스트를 입력한다.When the setting between the keyboard security program and the IE and the PKI is completed and the security preparation is completed, the user inputs text by operating the keyboard.

도 3에서 보인 웹 페이지는 인터넷뱅킹 중 출력되는 모습으로, 출금계좌번호, 출금계좌비밀번호, 입금계좌번호, 입금은행, 이체금액, 의뢰인 등, 사용자가 입력해야 할 항목들이 게시된다.The web page shown in FIG. 3 is output during Internet banking, withdrawal account number, withdrawal account password, deposit account number, deposit bank, transfer amount, client, etc. items to be entered by the user are posted.

암호화 과정은 메모리 변조 방지가 적용된 항목에 커서가 포커싱될 때 시작되며, 사용자의 키보드 조작으로 입력정보에 해당하는 캐릭터가 입력될 때마다 이를 암호화 하여 히든필드에 암호문을 기록하고, 상기 항목의 텍스트 필드에는 사용자가 입력한 텍스트를 그대로 출력한다. 여기서, 암호화는 키보드 입력 정보(1byte; 텍스트)에 입력순서를 나타내는 인덱스(1byte)를 추가하여 24byte 암호문을 생성한다.The encryption process starts when the cursor is focused on an item to which the memory tampering protection is applied, and a cipher text is recorded in the hidden field by encrypting it whenever a character corresponding to the input information is input by the user's keyboard operation, and the text field of the item is encrypted. Displays the text entered by the user as is. Here, the encryption generates a 24-byte cipher text by adding an index (1 byte) indicating the input order to the keyboard input information (1 byte; text).

즉, 사용자가 입력한 텍스트가 IE 메모리에 저장되는 동안 별도의 히든필드에는 해당 텍스트를 암호화한 정보가 동시에 입력 저장되고, 일반적인 전송방 식(submit)에 따라 은행서버의 PKI는 상기 텍스트 및 히든필드의 정보를 수신 복호화하여 이를 서로 비교한다. 이때, 상기 텍스트와 히든필드의 정보가 상이할 경우 PKI는 해킹에 의한 텍스트의 변조가 있던 것으로 간주하여 정상적인 처리를 중단하고, 동일할 경우 정상적인 처리를 진행하여 사용자의 은행거래를 성공적으로 완료할 수 있도록 한다.That is, while the text entered by the user is stored in the IE memory, the information encrypted with the text is simultaneously input and stored in a separate hidden field, and the PKI of the bank server according to the general transmission method is used to store the text and the hidden field. Receive and decode the information of and compare them with each other. At this time, if the information between the text and the hidden field is different, the PKI considers that the text has been tampered with by hacking and stops the normal processing. If the same is the case, the PKI can successfully complete the user's banking transaction. Make sure

한편, 상기 항목에 입력된 텍스트의 수정을 위해서는 순서가 중요하므로 마지막에 입력한 텍스트 순으로 삭제해야 한다. 따라서, 커서는 항상 텍스트의 맨 뒤에 위치해야 하며 backspace 키만 사용하여 수정하도록 해야 한다. On the other hand, since the order is important for the correction of the text input to the item, it should be deleted in the order of the last text input. Therefore, the cursor should always be at the end of the text and only modified using the backspace key.

상기 backspace 키가 입력될 경우는 텍스트 필드에 기록된 텍스트(1byte 단위)가 삭제되고, 이와 함께 히든필드의 암호문(24byte 단위)도 FILO(First In, Last Out) 순으로 삭제된다. When the backspace key is input, the text (1 byte unit) recorded in the text field is deleted, and the ciphertext (24 byte unit) of the hidden field is also deleted in the order of FILO (First In, Last Out).

결국, 상술한 무단 변조된 데이터 보안방법을 통해, 앞서 설명한 IE 메모리 해킹에 의한 클라이언트와 서버 간의 잘못된 통신을 방지하고, IE 메모리의 무단 변조를 무의미하게 한다.As a result, the above-described tamper-proof data security method prevents erroneous communication between the client and the server by the IE memory hack described above, and makes the tampering of the IE memory meaningless.

그런데, 이러한 종래 보안방법은 미리 저장된 저장데이터(텍스트; 30)를 입력하는 경우엔 적용될 수 없는 한계가 있다. 즉, 도 3에서 보이는 바와 같이, 사용자의 편의를 위해 저장된 '자주 쓰는 계좌'나 '100만', '50만', '10만' 등과 같이 정해진 금액 버튼을 클릭 또는 선택하여 입력하면, 히든필드에 입력될 암호문이 생성되지 못하는 것이다.However, such a conventional security method has a limitation that cannot be applied when inputting stored data 30 in advance. That is, as shown in FIG. 3, if a user inputs by clicking or selecting a predetermined amount button such as' frequently used account 'or' 1 million ', '50 million', '100,000', etc. The ciphertext to be entered in cannot be generated.

이는 종래 보안방법은 사용자가 키보드 조작을 통해 데이터(텍스트)를 텍스 트 필드에 일일이 삽입해야만 동작하기 때문이었다.This is because the conventional security method only works when the user inserts data (text) into the text field through keyboard manipulation.

하지만, 이러한 문제점을 해소하기 위해 자주 쓰는 이체계좌를 미리 저장하지 못하도록 차단하거나 정해진 금액 버튼 등을 조작하는 것을 삭제하여 불편을 초래하는 것은 편리한 서비스를 제공한다는 취지에 반하고, 이런 문제점을 보완할 수 있는 새로운 보안시스템을 구축하는 것은 막대한 비용 발생을 수반하므로 관련 서비스업체(은행 등)의 부담을 가중시키는 또 다른 문제가 있었다.However, in order to solve such a problem, it is contrary to the intention to provide a convenient service by blocking the transfer of frequently used transfer accounts or deleting a manipulation of a predetermined amount of money buttons. Building new security systems involve a lot of costs, which adds to the burden on the service providers (banks, etc.).

따라서, 사용자 스스로가 조심하여 해킹에 의한 피해를 최소화하는 것 이외에는 현재 IE 메모리 변조 방지에 대한 대책이 전무한 실정이다.Therefore, there is currently no countermeasure against IE memory tampering, except that the user himself carefully minimizes the damage caused by hacking.

이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로, 클라이언트와 서버 간 통신에서 입력된 사용자의 입력정보가 IE 메모리에서 변조되어 악의적으로 사용되는 문제를 해소하고, 특히 사용자가 입력하는 텍스트가 미리 저장된 내용을 선택하여 일괄 입력되는 과정에서도 IE 메모리 변조에 의한 피해를 방지할 수 있도록 하는 무단 변조된 데이터 보안방법의 제공을 기술적 과제로 한다.Accordingly, the present invention has been invented to solve the above problems, and solves the problem that the user's input information input in the communication between the client and the server is modulated in the IE memory and used maliciously. It is a technical problem to provide an unauthorized data security method that can prevent damage caused by IE memory tampering even in the process of selecting previously stored contents in a batch.

상기 기술적 과제를 달성하기 위하여 본 발명은,
하나 이상의 캐릭터로 된 텍스트를 포함하는 데이터가 웹페이지의 텍스트필드에 입력되는 제1단계; 입력된 상기 데이터가 캐릭터별로 암호화된 후 해당 암호문이 서버로 전송되기 전 상기 데이터를 전송데이터로서 임시 저장하는 IE 메모리의 히든필드에 입력되는 제2단계; 상기 IE 메모리에 저장된 전송데이터와 암호문이 서버로 전송되는 제3단계; 상기 암호문을 복호화한 후 상기 전송데이터와 비교해서 전송데이터의 변조 여부를 확인하는 제4단계;로 된 무단 변조된 데이터 보안방법에 있어서,
상기 제1단계에서, 상기 데이터는 텍스트메모리에 저장되어서 사용자의 선택시 해당 텍스트필드에 입력되는 정보를 저장한 저장데이터이고, 이 저장데이터 중 하나 이상의 저장데이터가 웹페이지의 텍스트필드에 입력되기 위해 선택되는 저장데이터 선택단계와; 선택된 저장데이터가 키보드이벤트 발생모듈을 통해 캐릭터별로 분리되어 키보드이벤트로 발생하고, 이벤트 핸들러는 상기 키보드이벤트를 통해 상기 선택된 저장데이터의 텍스트를 확인하는 선택된 저장데이터 전송단계;로 구성되고,
The present invention to achieve the above technical problem,
A first step of inputting data including text of one or more characters into a text field of a web page; A second step of inputting in the hidden field of the IE memory temporarily storing the data as transmission data after the input data is encrypted for each character and before the cipher text is transmitted to the server; A third step of transmitting transmission data and an encrypted text stored in the IE memory to a server; In the step of decrypting the cipher text and comparing with the transmission data to determine whether the transmission data is tampered;
In the first step, the data is stored data that is stored in a text memory to store information input to a corresponding text field when a user selects the data. Selecting the stored data; The selected stored data is separated by character through the keyboard event generation module and generated as a keyboard event, and the event handler includes a selected stored data transmission step of checking the text of the selected stored data through the keyboard event.

상기 제2단계에서, 선택된 저장데이터의 캐릭터별 암호화는 상기 이벤트 핸들러를 통해 이루어지는 무단 변조된 IE 메모리의 데이터 보안방법이다.In the second step, the character-specific encryption of the selected stored data is a data security method of the tampered IE memory that is performed through the event handler.

삭제delete

삭제delete

이상 상기한 바와 같이, 본 발명은 기존에 구축된 고가의 보안시스템을 교체하거나 대대적으로 보완할 필요없이 ActiveX 설치에 의한 수정 및 갱신만으로, 저장데이터를 이용한 정보입력방식에서 IE 메모리 내 데이터변조가 가능하다는 취약점을 극복할 수 있고, 저장데이터를 이용한 텍스트 입력방식의 편리한 기존 서비스를 존속시킬 수 있어, 사용자의 불편을 최소화하고 안정성을 향상시키는 효과가 있다.As described above, the present invention can modify the data in the IE memory in the information input method using the stored data by only modifying and updating by ActiveX installation without replacing or largely supplementing the existing expensive security system. It is possible to overcome the weakness, and to maintain the convenient existing service of text input method using stored data, thereby minimizing user inconvenience and improving stability.

또한, 고가의 보안시스템을 재구축하지 않아도 되므로, 보안영역에 있어서 막대한 비용절감이 예상된다.In addition, since it is not necessary to rebuild an expensive security system, enormous cost reduction is expected in the security domain.

이하, 본 발명을 첨부된 예시도면에 의거하여 상세히 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 4는 본 발명에 따른 보안시스템의 모습을 도시한 블록도이고, 도 5는 본 발명에 따른 무단 변조된 데이터 보안방법을 순차 도시한 플로우차트인 바, 이를 참조하여 설명한다.4 is a block diagram illustrating a security system according to the present invention, and FIG. 5 is a flowchart sequentially illustrating an unauthorized data security method according to the present invention.

본 발명에 따른 무단 변조된 데이터 보안방법은 상기 보안시스템 기반 하에서 다음과 같은 과정으로 진행된다.The unauthorized data security method according to the present invention proceeds as follows under the security system.

본 발명에 따른 무단 변조된 데이터 보안방법의 보다 상세한 설명을 위해 보안시스템은 무단 변조된 데이터 보안방법과 더불어 설명한다.For a more detailed description of the unauthorized data security method according to the present invention, the security system will be described along with the unauthorized data security method.

S11; 보안대상 텍스트필드로의 포커싱 확인단계, S12; 포커싱단계S11; Confirming focusing to the security target text field, S12; Focusing Step

본 발명에 따른 보안시스템은 도 4에 도시한 구성으로 이루어지고, 클라이언트(100)와 서버(200) 간 통신은 기존 IE를 기반으로 이루어진다.Security system according to the present invention is made of the configuration shown in Figure 4, the communication between the client 100 and the server 200 is made based on the existing IE.

보안대상 확인모듈(11)은 텍스트필드에 포커싱이 되었을 때 보안대상인지 여부를 확인한다.The security target confirmation module 11 checks whether or not the security target when the text field is focused.

여기서, 보안대상이 되는 텍스트필드는 도 3에서 보인 입금계좌번호, 입금은행, 이체금액 등의 항목이 될 것이다.Here, the text field to be secured may be an item such as a deposit account number, a deposit bank, or a transfer amount shown in FIG. 3.

S13; 보안시스템 실행단계S13; Security system execution stage

상기 보안대상 확인모듈(11)은 보안대상이 되는 텍스트필드에 포커싱 되면, 본 발명에 따른 보안시스템을 실행시킨다.When the security target confirmation module 11 is focused on a text field to be secured, the security target confirmation module 11 executes the security system according to the present invention.

S14; 저장데이터 선택단계S14; Saved data selection step

본 발명에 따른 보안시스템 및 보안방법은 종래 히든필드 방식의 보안시스템 및 방법의 취약점을 극복하고자 발명된 것으로서, 사용자가 키보드 조작을 통해 보안대상이 되는 텍스트필드에 텍스트를 직접 입력하지 않고 텍스트메모리에 기 저장된 저장데이터(30)를 선택하는 방식으로 입력하면(도 3 참고), 본 발명에 따른 개량된 보안시스템이 동작한다.Security system and method according to the present invention was invented to overcome the weak point of the conventional hidden field security system and method, the user does not directly enter the text in the text field to be secured through the keyboard operation to the text memory When the stored data 30 is input in a manner of selecting (see FIG. 3), the improved security system according to the present invention operates.

따라서, 사용자가 저장데이터(30)를 선택하여 보안대상이 되는 텍스트필드에 텍스트가 입력이 되면 다음 단계를 진행하고, 키보드 조작을 통해 텍스트가 입력되면 본 발명에 따른 보안방법은 그 실행을 중단하고 종래 보안방법(히든필드 방식)을 그대로 진행한다.Therefore, when the user selects the stored data 30 and the text is input to the text field to be secured, the user proceeds to the next step. When the text is input through the keyboard operation, the security method according to the present invention stops the execution. The conventional security method (hidden field method) proceeds as it is.

즉, 저장데이터 선택단계(S14)에서 후자의 과정으로 진행됨이 확인되어 종료된다는 것은 보안시스템의 전체 과정이 종료되는 것이 아니고, 종래 보안방법(히든필드 방식)에 적용된 본 발명에 따른 보안시스템 및 방법만이 종료된다는 것이다. 따라서, 종래 보안방법(히든필드 방식)은 정상적으로 계속 실행된다.That is, the confirmation that the process proceeds to the latter process in the storage data selection step (S14) and is terminated does not end the entire process of the security system, but the security system and method according to the present invention applied to the conventional security method (hidden field method). Only ends. Therefore, the conventional security method (hidden field method) continues to be executed normally.

그런데, 본 발명에 따른 보안방법은 종래 보안방법과는 별도로 진행될 수도 있다. 즉, 본 발명에 따른 보안방법은 사용자가 키보드를 조작하여 텍스트를 보안대상이 되는 텍스트필드에 직접 입력할 때 진행되는 종래 보안방법과 분리될 수 있다는 것이다. 따라서, 본 발명에 따른 보안방법은 저장데이터(30)를 선택하여 텍스트필드에 입력하는 방식만이 적용된 시스템과, 저장데이터(30)를 선택하는 방식과 더불어 사용자가 직접 키보드 조작을 통해 텍스트필드에 데이터를 입력하는 방식의 시스템 모두에 적용가능하다.However, the security method according to the present invention may proceed separately from the conventional security method. That is, the security method according to the present invention can be separated from the conventional security method that proceeds when the user directly inputs the text into the text field to be secured by manipulating the keyboard. Therefore, the security method according to the present invention is a system in which only the method of selecting the stored data 30 and inputting it into the text field, and the method of selecting the stored data 30 together with the method of selecting the stored data 30, directly enters the text field through the keyboard operation. Applicable to both system of data input method.

S15; 선택된 저장데이터 전송단계S15; Selected Stored Data Transfer Step

스크립트 형식으로 텍스트메모리에 저장된 저장데이터(30)는 상기 저장데이터 선택단계(S15)를 통해 하나가 선택되고, 키보드이벤트 발생모듈(12)은 선택된 상기 저장데이터(30)를 캐릭터별로 확인한다.The stored data 30 stored in the text memory in the form of a script is selected through the storage data selection step S15, and the keyboard event generation module 12 checks the selected stored data 30 for each character.

즉, 도 3에서 사용자가 고길동의 입금계좌번호(2345678-123-123456)를 선택하면, 상기 키보드이벤트 발생모듈(12)은 입금계좌번호인 "2345678-123-123456"을 이루는 텍스트를 캐릭터별로 하나씩 확인하는 것이다.That is, when the user selects the payment account number (2345678-123-123456) of FIG. To confirm.

S16; 캐릭터별 키보드이벤트 발생단계S16; Character event stage for each character

본 발명에 따른 보안시스템을 설치하는 과정에서, 웹페이지(20)에 상기 키보드이벤트 발생모듈(12)과 연동하는 이벤트 핸들러(21)가 등록되고, 키보드이벤트 발생모듈(12)은 확인된 저장데이터(30)의 텍스트(입금계좌번호)에 따라 캐릭터별로 키보드이벤트를 발생시켜서 상기 이벤트 핸들러(21)가 이를 확인할 수 있도록 한다.In the process of installing the security system according to the present invention, the event handler 21 interoperating with the keyboard event generation module 12 is registered in the web page 20, and the keyboard event generation module 12 checks the stored data. According to the text (deposit account number) of 30 to generate a keyboard event for each character so that the event handler 21 can check it.

결국, 웹페이지(20)의 이벤트 핸들러(21)는 키보드이벤트 발생모듈(12)에서 발생한 키보드이벤트를 확인하여 이를 처리하게 된다.Eventually, the event handler 21 of the web page 20 checks the keyboard event generated in the keyboard event generation module 12 and processes it.

S17; 데이터출력단계S17; Data output stage

한편, 상기 키보드이벤트 발생모듈(12)에서 발생된 키보드 이벤트는 텍스트필트 출력모듈(22)로 전달되고 사용자가 키보드를 직접 조작하여 입력하는 상황과 동일한 절차로 진행된다. 따라서, 사용자가 보안대상이 되는 텍스트필드에 텍스트를 직접 입력하지 않고 저장데이터(30)를 선택하여 그 입력을 대신하더라도, 텍스트필드 출력모듈(22)을 통해 해당 텍스트필드에 순차 출력되도록 한다.On the other hand, the keyboard event generated in the keyboard event generation module 12 is transmitted to the text filter output module 22 and proceeds in the same procedure as the situation in which the user directly inputs the keyboard. Therefore, even if the user selects the stored data 30 instead of directly inputting text into the text field to be secured and replaces the input, the text field output module 22 sequentially outputs the text field.

따라서, 입금계좌번호인 "2345678-123-123456"의 "2". "3", "4"...가 캐릭터별로 순차 출력된다.Therefore, "2" of the deposit account number "2345678-123-123456". "3", "4" ... are outputted sequentially by character.

이와 더불어, 출력된 텍스트 원본은 IE 메모리(25)에 저장된다.In addition, the output text original is stored in the IE memory 25.

여기서, 상기 텍스트필드 출력모듈(22)은 기존 IE 에서 텍스트를 화면에 출력하는 구성을 기능적으로 모듈화한 것이다.Here, the text field output module 22 functionally modularizes the configuration of outputting text on the screen in the existing IE.

S18; 캐릭터별 암호화 단계, S19; 암호기록단계S18; Character-specific encryption step, S19; Password recording step

한편, 상기 이벤트핸들러(21)는 키보드이벤트 발생모듈(12)에 의해 발생한 키보드이벤트를 확인하여 해당 캐릭터를 파악하고, 이렇게 파악된 캐릭터를 암호화하여 히든필드 입력모듈(23)을 통해 IE 메모리(25)의 히든필드에 저장한다. On the other hand, the event handler 21 checks the keyboard event generated by the keyboard event generation module 12 to identify the character, and encrypts the character thus identified to the IE memory 25 through the hidden field input module 23. In the hidden field.

도 6은 본 발명에 따른 무단 변조된 데이터 보안방법의 실행을 위한 ActiveX의 구성 스크립트와 적용 대상에 대한 실시모습을 보인 도면인 바, 이를 참조하여 본 발명의 실시예를 설명한다.6 is a view showing an embodiment of the configuration script and the application target of the ActiveX for executing the unauthorized data security method according to the present invention, with reference to this will be described an embodiment of the present invention.

①은 본 발명에 따른 보안시스템을 구성하기 위한 ActiveX가 설치되고, 임의의 normal 텍스트필드를 메모리 변조방지 대상으로 설정하기 위한 스크립트이다.① is a script for installing an ActiveX for configuring a security system according to the present invention and setting an arbitrary normal text field as a memory tamper proof target.

②는 사용자가 버튼을 클릭하면 normal 텍스트필드에 커서가 포커싱 되고, 본 발명에 따른 보안시스템이 실행된다. 그리고 미리 저장된 저장데이터(30)인 "123"이 키보드이벤트 발생함수인 SetData()로 전달시키는 스크립트이다.②, when the user clicks the button, the cursor is focused on the normal text field, and the security system according to the present invention is executed. The stored data 30 is 123 which is transmitted to SetData () which is a keyboard event generation function.

물론, 마우스를 이용하여 커서를 해당하는 normal 텍스트필드에 포커싱할 수도 있을 것이다.Of course, you can also use the mouse to focus the cursor on the corresponding normal text field.

③ 텍스트 "123"을 캐릭터별로 한자씩 읽으면서 키보드 이벤트를 발생시키고, normal 텍스트필드에 "1", "2", "3"이 차례로 출력된다.③ The keyboard event occurs while reading the text "123" by character one by one, and "1", "2", and "3" are output in the normal text field.

④ 키보드 이벤트 발생과 함께 해당 캐릭터를 암호화하여 IE 메모리의 히든필드에 암호문을 추가한다.④ Encrypts the character along with keyboard event occurrence and adds ciphertext to hidden field of IE memory.

S20; 완료확인단계S20; Confirmation step

상술한 바와 같이, 키보드이벤트 발생모듈(12)로부터 수신한 텍스트 원본을 텍스트필드에 순서대로 출력하고, 이벤트 핸들러(20)는 상기 캐릭터를 확인하여 이를 암호화한 후 IE 메모리(25)의 히든필드에 입력하면서, 모든 텍스트가 출력 및 입력되었는지 여부를 확인하여 다음 절차를 수행하도록 해야 한다.As described above, the original text received from the keyboard event generation module 12 is output in order to the text field, and the event handler 20 checks the character and encrypts it to the hidden field of the IE memory 25. As you type, you should verify that all text has been printed and typed so that you can perform the following procedure.

이에 대한 확인방식은 도 6에 도시한 바와 같이 '버튼'을 클릭함으로서 텍스트의 입력이 완료되었음을 확인할 수 있고, 상기 '버튼' 클릭을 통해 텍스트 및 암 호문은 IE 메모리(25)에 저장이 완료된다.As for the confirmation method, as shown in FIG. 6, the user can confirm that the input of the text is completed by clicking the 'button', and the text and the password are stored in the IE memory 25 by clicking the 'button'. .

S21; 변조확인단계S21; Tamper Confirmation Step

상기 변조확인단계는 IE 메모리(25)에 저장된 텍스트 및 암호문의 변조여부를 확인하는 단계로, 이에 대한 상세한 설명은 아래에서 다시 하도록 한다.The tamper checking step is to check whether the text and cipher text stored in the IE memory 25 have been tampered with. A detailed description thereof will be provided below.

S22; 데이터 및 암호문 전송단계S22; Data and Passphrase Transmission Steps

입력정보 전송모듈(26)은 IE 메모리(25)에 저장된 텍스트필드의 전송데이터 및 히든필드의 암호문을 해당 서버(200)로 전송한다.The input information transmission module 26 transmits the transmission data of the text field stored in the IE memory 25 and the cipher text of the hidden field to the corresponding server 200.

상술한 바와 같이, 상기 서버(200)는 은행서버일 수 있고, 전송된 전송데이터 및 암호문에 대한 보안전송은 종래 방식(PKI방식)을 통해 이루어질 수 있다.As described above, the server 200 may be a bank server, and the secure transmission of the transmitted data and the cipher text may be performed through a conventional method (PKI method).

도 4에 도시한 도면은 종래 보안전송을 위한 구성을 생략한 것으로, 입력정보 전송모듈(26)에 의한 테이터 및 암호문 전송 시 종래 보안전송 방식이 그대로 적용될 것이다.4 is omitted from the configuration for the conventional security transmission, the conventional security transmission method will be applied as it is when transmitting data and cipher text by the input information transmission module 26.

S23; 암호문 복호화 후 데이터와 비교S23; Decrypt ciphertext and compare with data

서버(200)에 설치된 입력정보 비교모듈(27)은 클라이언트(100)로부터 전송된 전송데이터 및 암호문을 수신하고, 상기 암호문을 복호화하여 전송데이터와 비교한다.The input information comparison module 27 installed in the server 200 receives the transmission data and the cipher text transmitted from the client 100, decrypts the cipher text, and compares the cipher text with the transmission data.

비교 결과, 전송데이터와 복호화된 암호문이 동일한 것으로 확인되면, IE 메모리(25) 내에서 변조가 이루어지지 않은 것으로 보고 다음 과정을 정상 진행하지만, 전송데이터와 복호화된 암호문이 다른 것으로 확인되면, IE 메모리(25) 내에서 전송데이터에 변조가 이루어진 것으로 간주하고 에러를 출력하여 해당 절차의 진행을 중지한다.As a result of the comparison, if it is confirmed that the transmission data and the decrypted cipher text are the same, it is determined that the modulation is not performed in the IE memory 25, and the following process proceeds normally, but if it is confirmed that the transmission data and the decrypted cipher text are different, the IE memory In (25), the transmission data is regarded as having been modulated, and an error is output to stop the procedure.

결국, 사용자는 IE 메모리(25)에 저장된 전송데이터의 무단변조로 입게 될 피해를 방지할 수 있게 된다.As a result, the user can prevent damage caused by unauthorized modulation of the transmission data stored in the IE memory 25.

또한, 사용자가 키보드의 직접 조작으로 텍스트를 입력하지 않고 저장데이터(30)를 선택하여 입력하는 방식을 그대로 유지하면서 변조에 대한 대비를 철저히 할 수 있으므로, 사용자는 종래 편익을 유지하면서 안정적인 거래를 진행할 수 있다는 장점을 갖는다.In addition, the user can thoroughly prepare for the modulation while maintaining the method of selecting and inputting the stored data 30 without inputting the text by directly operating the keyboard, so that the user can proceed with a stable transaction while maintaining the conventional convenience. Has the advantage that it can.

도 7은 본 발명에 따른 무단 변조된 데이터 보안방법에서 변조확인단계를 구체화한 모습을 도시한 플로우차트인 바, 이를 참조하여 설명한다.FIG. 7 is a flowchart illustrating a detailed embodiment of a tamper-proof step in the unauthorized data security method according to the present invention.

본 발명에 따른 상기 변조확인단계(S21)를 좀 더 상세히 설명한다.The modulation confirmation step S21 according to the present invention will be described in more detail.

상기 완료확인단계(S20)를 통해 전송데이터와 암호문이 IE 메모리(25)에 정상적으로 입력 저장되면, 서버(200)로 전송되기 전 전송데이터의 주기적인 확인을 통해 무결성을 보장해야 한다.When the transmission data and the cipher text are normally input and stored in the IE memory 25 through the completion confirmation step (S20), integrity must be guaranteed through periodic confirmation of the transmission data before being transmitted to the server 200.

앞서 설명한 바와 같이 텍스트필드에 입력되는 텍스트로 구성되어 IE 메모리(25)에 저장된 전송데이터는 해커의 종래 해킹방법으로 IE 메모리(25) 내에서 변조가 이루어질 수 있다. 또한 암호문도 키보드이벤트 발생모듈(12)을 사용함으로써 변조가 이뤄 질수 있다. 따라서, 서버(200)로 전송되기 전까지 상기 전송데이터의 변조여부를 확인하여서 보다 안정적인 클라이언트(100) 및 서버(200) 간 통신을 담보하는 것이 바람직하다.As described above, the transmission data composed of text input to the text field and stored in the IE memory 25 may be modulated in the IE memory 25 by a hacker's conventional hacking method. In addition, the cipher text can also be modulated by using the keyboard event generation module 12. Therefore, it is desirable to ensure more stable communication between the client 100 and the server 200 by checking whether the transmission data is modulated before being transmitted to the server 200.

키보드이벤트 발생모듈(12)은 별도의 인터페이스로 제공되기 때문에 본원발명의 구성과 같이 외부에서 조작할 수 있다. 따라서, 암호문이 형성된 이후의 전송데이터라 할지라도 IE 메모리(25)에 저장되기 전 또는 저장 후에라도 해킹에 의한 변조가 가능하다.Since the keyboard event generation module 12 is provided as a separate interface, the keyboard event generation module 12 can be operated externally as in the configuration of the present invention. Therefore, even after the cipher text is formed, the transmission data can be modulated by hacking even before or after being stored in the IE memory 25.

결국, 전송데이터의 입력이 완료된 후 주기적으로 해당 데이터를 확인하는 것이 필요한 것이다.As a result, it is necessary to periodically check the data after the transmission data is input.

S21a; 텍스트필드의 출력텍스트 암호화단계S21a; Output Text Encryption Step of Text Field

IE 메모리(25)에 저장된 전송데이터(텍스트필드의 출력텍스트)는 이를 복사한 후 상기 암호화모듈(24)에 의해 주기적으로 암호화한다. 이때, 전송데이터의 암호화는 히든필드로 입력되는 암호방식와 동일하게 하여서, 해당 전송데이터와 짝을 이루는 히든필드의 암호문과 그 동일성 여부를 판독할 수 있도록 한다.The transmission data (output text of the text field) stored in the IE memory 25 is copied and then encrypted by the encryption module 24 periodically. In this case, the encryption of the transmission data is performed in the same manner as the encryption method inputted to the hidden field, so that the encrypted text of the hidden field paired with the corresponding transmission data can be read.

S21b; 암호문 비교단계, S21c; 일치확인단계S21b; Ciphertext comparison step, S21c; Match check step

암호화된 전송데이터는 상기 전송데이터와 짝을 이루는 암호문과 비교된다. 여기서, 히든필드로 입력되는 암호문의 암호방식과, IE 메모리(25)에 저장된 전송데이터를 암호화하는 암호방식은 동일하게 적용되므로, 전송데이터의 암호문과 히든필드의 암호문을 서로 비교하여서 그 동일성 여부를 판단한다.The encrypted transmission data is compared with the cipher text paired with the transmission data. Here, since the encryption method of the cipher text input to the hidden field and the encryption method for encrypting the transmission data stored in the IE memory 25 are equally applied, the cipher text of the transmission data and the encryption text of the hidden field are compared with each other to determine whether the same. To judge.

동일성 여부 판단결과, 두 암호문이 동일한 것으로 확인되면, 정상적인 다음 절차를 진행한다.If it is determined that the two ciphertexts are identical, the next normal procedure is performed.

S21d; 에러출력단계S21d; Error output step

비교결과 두 암호문이 상이할 경우, IE 메모리(25)에 저장되어있던 전송데이터는 해킹에 의한 무단 변조가 이루어진 것으로 간주하여 에러메세지를 출력하고, 그 절차진행을 중지한다.If the two cipher texts are different from each other as a result of the comparison, the transmission data stored in the IE memory 25 is assumed to have been tampered with by hacking, and an error message is output and the procedure is stopped.

이러한 단계로 진행되는 변조확인단계(S21)은 상기 전송데이터 및 암호문이 입력정보 전송모듈(26)에 의해 서버(200)로 전송되기 전까지 1회 이상 반복적으로 진행된다. 따라서, 본 발명에 따른 무단 변조된 데이터 보안방법은 키보드이벤트 발생함수를 통해 입력되는 데이터의 무결성을 보장할 수 있다.In the modulation confirmation step (S21), which proceeds to this step, the transmission data and the cipher text are repeatedly performed one or more times before being transmitted to the server 200 by the input information transmission module 26. Therefore, the unauthorized data security method according to the present invention can ensure the integrity of the data input through the keyboard event generation function.

도 1은 IE 메모리 변조를 통한 종래 해킹과정을 순차로 도시한 도면이고,1 is a diagram sequentially illustrating a conventional hacking process through the IE memory modulation,

도 2는 IE 메모리 변조를 방지하기 위한 종래 무단 변조된 데이터 보안방법을 순차로 도시한 도면이고,2 is a diagram sequentially illustrating a conventional tamper-proof data security method for preventing IE memory tampering;

도 3은 인터넷 뱅킹 시 출력되는 웹페이지의 한 모습을 보인 도면이고,3 is a view showing a state of a web page output when Internet banking,

도 4는 본 발명에 따른 보안시스템의 모습을 도시한 블록도이고,4 is a block diagram showing a state of a security system according to the present invention;

도 5는 본 발명에 따른 무단 변조된 데이터 보안방법을 순차 도시한 플로우차트이고,5 is a flowchart sequentially illustrating an unauthorized data security method according to the present invention;

도 6은 본 발명에 따른 무단 변조된 데이터 보안방법의 실행을 위한 ActiveX의 구성 스크립트와 적용 대상에 대한 실시모습을 보인 도면이고,6 is a view showing an embodiment of the configuration script and the application target of the ActiveX for executing the unauthorized data security method according to the present invention,

도 7은 본 발명에 따른 무단 변조된 데이터 보안방법에서 변조확인단계를 구체화한 모습을 도시한 플로우차트이다.7 is a flowchart showing the embodiment of the modulation confirmation step in the unauthorized data security method according to the present invention.

Claims (4)

하나 이상의 캐릭터로 된 텍스트를 포함하는 데이터가 웹페이지의 텍스트필드에 입력되는 제1단계; 입력된 상기 데이터가 캐릭터별로 암호화된 후 해당 암호문이 서버로 전송되기 전 상기 데이터를 전송데이터로서 임시 저장하는 IE 메모리의 히든필드에 입력되는 제2단계; 상기 IE 메모리에 저장된 전송데이터와 암호문이 서버로 전송되는 제3단계; 상기 암호문을 복호화한 후 상기 전송데이터와 비교해서 전송데이터의 변조 여부를 확인하는 제4단계;로 된 무단 변조된 데이터 보안방법에 있어서,A first step of inputting data including text of one or more characters into a text field of a web page; A second step of inputting in the hidden field of the IE memory temporarily storing the data as transmission data after the input data is encrypted for each character and before the cipher text is transmitted to the server; A third step of transmitting transmission data and an encrypted text stored in the IE memory to a server; In the step of decrypting the cipher text and comparing with the transmission data to determine whether the transmission data is tampered; 상기 제1단계에서, 상기 데이터는 텍스트메모리에 저장되어서 사용자의 선택시 해당 텍스트필드에 입력되는 정보를 저장한 저장데이터이고, 이 저장데이터 중 하나 이상의 저장데이터가 웹페이지의 텍스트필드에 입력되기 위해 선택되는 저장데이터 선택단계와; 선택된 저장데이터가 키보드이벤트 발생모듈을 통해 캐릭터별로 분리되어 키보드이벤트로 발생하고, 이벤트 핸들러는 상기 키보드이벤트를 통해 상기 선택된 저장데이터의 텍스트를 확인하는 선택된 저장데이터 전송단계;로 구성되고,In the first step, the data is stored data that is stored in a text memory to store information input to a corresponding text field when a user selects the data, and at least one of the stored data is to be input into a text field of a web page. Selecting the stored data; The selected stored data is separated by character through the keyboard event generation module and generated as a keyboard event, and the event handler includes a selected stored data transmission step of checking the text of the selected stored data through the keyboard event. 상기 제2단계에서, 선택된 저장데이터의 캐릭터별 암호화는 상기 이벤트 핸들러를 통해 이루어지는 것을 특징으로 하는 무단 변조된 IE 메모리의 데이터 보안방법.In the second step, the character-specific encryption of the selected stored data is performed through the event handler. 제 1 항에 있어서, 상기 제1단계는The method of claim 1, wherein the first step 상기 선택된 저장데이터 전송단계에서 캐릭터별로 분리된 선택된 저장데이터가 웹페이지의 텍스트필드에 순차적으로 입력되는 데이터출력단계를 더 포함하는 것을 특징으로 하는 무단 변조된 IE 메모리의 데이터 보안방법.And a data output step of sequentially inputting the selected stored data separated for each character in the selected stored data transmission step into a text field of a web page. 제 1 항 또는 제 2 항에 있어서, The method according to claim 1 or 2, 상기 제2단계와 제3단계 사이에서, 상기 저장데이터가 IE 메모리에 입력되어 이루어진 전송데이터와, 히든필드에 입력된 암호문을 1회 이상 서로 비교하여 동일성 여부를 확인하는 변조확인단계를 더 포함하는 것을 특징으로 하는 무단 변조된 IE 메모리의 데이터 보안방법.Between the second step and the third step, further comprising a modulation check step of confirming the identity by comparing the transmission data made by the stored data is input into the IE memory and the cipher text input to the hidden field one or more times The data security method of the tamper-proof IE memory, characterized in that. 제 3 항에 있어서, 상기 변조확인단계는The method of claim 3, wherein the step of confirming modulation 상기 IE 메모리의 전송데이터를 복사하여 상기 제2단계의 암호화 기준에 따라 암호화하는 암호화단계;An encryption step of copying transmission data of the IE memory and encrypting the data according to the encryption criterion of the second step; 상기 암호화단계에서 암호화된 암호문과 상기 히든필드에 입력된 암호문을 비교하여 동일성 여부를 확인하는 암호문 비교단계; 및A ciphertext comparison step of checking whether the ciphertext encrypted in the encryption step and the ciphertext inputted in the hidden field are identical or not; And 상기 암호문 비교단계를 통해, 일치하지 않을 경우 에러를 출력하는 단계;Outputting an error if it does not match through the ciphertext comparing step; 로 이루어진 것을 특징으로 하는 무단 변조된 IE 메모리의 데이터 보안방법.Data security method of an unauthorized modulated IE memory, characterized in that consisting of.
KR1020070095388A 2007-09-19 2007-09-19 Preservation method about data in IE memory altered without leave KR100949790B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070095388A KR100949790B1 (en) 2007-09-19 2007-09-19 Preservation method about data in IE memory altered without leave

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070095388A KR100949790B1 (en) 2007-09-19 2007-09-19 Preservation method about data in IE memory altered without leave

Publications (2)

Publication Number Publication Date
KR20090030069A KR20090030069A (en) 2009-03-24
KR100949790B1 true KR100949790B1 (en) 2010-03-30

Family

ID=40696535

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070095388A KR100949790B1 (en) 2007-09-19 2007-09-19 Preservation method about data in IE memory altered without leave

Country Status (1)

Country Link
KR (1) KR100949790B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097893A (en) * 2000-04-27 2001-11-08 김태준 The method for stock ordering using voice recognition and the method for user counting
JP2005509214A (en) 2001-08-29 2005-04-07 テクオス カンパニー リミテッド Active X-based input window for keyboard hacking prevention (aAntiKeylogEditroFActiveXbase)
KR20060093932A (en) * 2005-02-23 2006-08-28 제이알소프트 주식회사 Method that can secure keyboard key stroke using secure input filter driver and keyboard secure input bho of internet explorer in windows operating system
KR20070010557A (en) * 2005-07-19 2007-01-24 소프트포럼 주식회사 Preventing method for hacking key input data

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010097893A (en) * 2000-04-27 2001-11-08 김태준 The method for stock ordering using voice recognition and the method for user counting
JP2005509214A (en) 2001-08-29 2005-04-07 テクオス カンパニー リミテッド Active X-based input window for keyboard hacking prevention (aAntiKeylogEditroFActiveXbase)
KR20060093932A (en) * 2005-02-23 2006-08-28 제이알소프트 주식회사 Method that can secure keyboard key stroke using secure input filter driver and keyboard secure input bho of internet explorer in windows operating system
KR20070010557A (en) * 2005-07-19 2007-01-24 소프트포럼 주식회사 Preventing method for hacking key input data

Also Published As

Publication number Publication date
KR20090030069A (en) 2009-03-24

Similar Documents

Publication Publication Date Title
US10491379B2 (en) System, device, and method of secure entry and handling of passwords
US10586229B2 (en) Anytime validation tokens
US9858401B2 (en) Securing transactions against cyberattacks
CN109412812B (en) Data security processing system, method, device and storage medium
US8321924B2 (en) Method for protecting software accessible over a network using a key device
US7340773B2 (en) Multi-stage authorisation system
CN105761066A (en) Bank card password protection method and system
CN102004887A (en) Method and device for protecting program
CN108650214B (en) Dynamic page encryption anti-unauthorized method and device
KR101856530B1 (en) Encryption system providing user cognition-based encryption protocol and method for processing on-line settlement, security apparatus and transaction approval server using thereof
Kiljan et al. What you enter is what you sign: Input integrity in an online banking environment
KR100949790B1 (en) Preservation method about data in IE memory altered without leave
Kurita et al. Privacy protection on transfer system of automated teller machine from brute force attack
KR20100114796A (en) Method of controlling financial transaction by financial transaction device and computing device
AU2015200701B2 (en) Anytime validation for verification tokens
CN116647413B (en) Application login method, device, computer equipment and storage medium
TWI670618B (en) Login system implemented along with a mobile device without password and method thereof
CN104933811A (en) Method and device for controlling cash discharge equipment of automatic teller machine
WO2010038913A1 (en) Preservation method about data in ie memory altered without leave
CN109284615A (en) Mobile device digital resource method for managing security
Rui et al. Research of Rights Management Protocol for Mobile Devices

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130419

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20140317

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20150216

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170620

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20180305

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20200303

Year of fee payment: 11