KR100975133B1 - Security management system for portable memory devices and security management method using the same - Google Patents
Security management system for portable memory devices and security management method using the same Download PDFInfo
- Publication number
- KR100975133B1 KR100975133B1 KR1020070116616A KR20070116616A KR100975133B1 KR 100975133 B1 KR100975133 B1 KR 100975133B1 KR 1020070116616 A KR1020070116616 A KR 1020070116616A KR 20070116616 A KR20070116616 A KR 20070116616A KR 100975133 B1 KR100975133 B1 KR 100975133B1
- Authority
- KR
- South Korea
- Prior art keywords
- storage medium
- auxiliary storage
- auxiliary
- external
- security
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 보조기억매체의 보안 관리 시스템 및 이를 이용한 보조기억매체의 보안 관리 방법에 관한 것으로서, 인증을 위한 일련번호를 구비한 보조기억매체; 상기 보조기억매체에 내장되며, 사용자 단말기 내부의 단말기 에이전트 존재여부를 판단하여, 상기 단말기 에이전트가 존재하는 경우 상기 보조기억매체의 동작환경을 내부사용환경으로 판단하고, 존재하지 않는 경우 외부사용환경으로 판단하며, 외부사용환경에 해당하는 경우 관리서버와 통신을 수행하여 외부사용 인증을 수행하는 보조기억매체 에이전트; 상기 보조기억매체가 접속되는 사용자 단말기; 상기 사용자 단말기에서 실행되며, 상기 보조기억매체의 사용환경이 내부사용에 해당하는 경우 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 내부사용 인증을 수행하는 단말기 에이전트; 상기 보조기억매체의 사용 가능 여부 정보를 저장하고, 해당 보조기억매체에 대한 외부인증정보 또는 내부인증정보를 전송하는 관리서버;를 포함하는 것을 특징으로 한다.The present invention relates to a security management system of an auxiliary memory medium and a method for managing security of an auxiliary memory medium using the same, comprising: an auxiliary memory medium having a serial number for authentication; It is embedded in the auxiliary storage medium, and determines whether there is a terminal agent in the user terminal, and if the terminal agent exists, the operating environment of the auxiliary memory medium is determined as the internal use environment, and if not present, the external use environment. A secondary memory medium agent for determining and performing external use authentication by communicating with a management server when the external use environment corresponds to the external use environment; A user terminal to which the auxiliary storage medium is connected; A terminal agent which is executed in the user terminal and performs internal use authentication of the auxiliary storage medium by communicating with a management server when the use environment of the auxiliary storage medium corresponds to internal use; And a management server storing information on the availability of the auxiliary storage medium and transmitting external authentication information or internal authentication information for the auxiliary storage medium.
상기와 같은 본 발명은 보조기억매체를 통한 기업체 등의 내부정보유출을 차단하고 비인가자의 보조기억매체에 대한 접근을 차단하여 인가자에 의한 안전한 데이터 사용이 가능할 수 있도록 하는 효과가 있다.The present invention as described above has the effect of blocking the leakage of internal information, such as businesses through the secondary storage medium and the unauthorized access to the secondary storage medium to enable the safe use of data by the authorized person.
USB, 메모리, 보조기억매체, 보안, 인증, 관리 USB, Memory, Secondary Storage, Security, Authentication, Management
Description
본 발명은 보조기억매체의 보안 관리 시스템 및 이를 이용한 보조기억매체의 보안 관리 방법에 관한 것으로서, 보다 상세하게는 USB 메모리 등의 보조기억매체를 이용한 기업체 등의 내부정보 유출을 차단하고 비인가자의 보조기억매체에 대한 접근을 차단하여 인가자에 의한 안전한 데이터 사용이 가능하도록 한 보조기억매체의 보안 관리 시스템 및 보안 관리 방법에 관한 것이다.The present invention relates to a security management system of an auxiliary memory medium and a method for managing security of an auxiliary memory medium using the same, and more particularly, to prevent leakage of internal information of an enterprise using an auxiliary memory medium such as a USB memory, and to assist the unauthorized storage of an unauthorized person. The present invention relates to a security management system and a security management method of an auxiliary storage medium that enable secure data use by an authorized user by blocking access to a medium.
최근 들어, 종래의 CD 드라이브, 집(Zip)드라이브 또는 플로피 디스크 등을 대체할 만한 새로운 형태의 저장 수단으로서, 장치의 설치 및 사용이 간편하고 휴대성과 호환성이 보장되는 USB 인터페이스의 플래시 메모리기반 저장장치(이하 "USB 메모리"라 한다)와 같은 보조기억매체들이 각광받고 있다. Recently, as a new type of storage means to replace the conventional CD drive, Zip drive or floppy disk, the flash memory-based storage device of the USB interface that is easy to install and use the device and ensures portability and compatibility Auxiliary storage media such as (hereinafter referred to as "USB memory") are in the spotlight.
이러한 보조기억매체는 통상적으로 플래시메모리를 데이터 저장수단으로 구비하여 통상적인 컴퓨터에 구비되어 있는 USB 접속단자에 연결된다. 이러한 보조기억매체는 별도의 전원을 필요로 하지 않고 종래의 다른 저장수단에서와 같은 별도 의 하드웨어 드라이브 없이도 구동이 가능하기 때문에 최근 들어 그 보급이 급속히 확산되고 있는 추세이다. 특히, 최근에 보급되고 있는 컴퓨터에서는 이러한 보조기억매체를 별도의 구동 드라이버의 설치 없이도 곧바로 인식할 수 있는 기능이 운영체제 내에 지원되기 때문에 보다 더 편리한 사용환경 및 호환성을 제공할 수 있는 이점이 있다.Such an auxiliary memory medium typically includes a flash memory as a data storage means and is connected to a USB connection terminal provided in a conventional computer. Since the auxiliary storage medium does not require a separate power source and can be driven without a separate hardware drive as in other conventional storage means, its spread is rapidly spreading in recent years. In particular, recently spreading computers have the advantage of providing a more convenient user environment and compatibility since the auxiliary memory medium can be directly recognized in the operating system without installing a separate driving driver.
그러나, 상기 보조기억매체는 단순히 데이터를 저장하는 휴대용 저장장치로서는 사용 및 휴대가 매우 간편한 이점이 있으나, 내부에 저장된 데이터에 대한 보안 기능이 제공되지 않아 중요한 기밀이 저장된 보조기억매체를 분실하거나 도난당할 경우 데이터의 유출이 불가피한 문제점이 있었다. 또한, 중요한 기밀을 다루는 기업체나 정부기관 등의 내부에서도 이러한 보조기억매체를 이용한 내부정보의 유출을 방지하는 데 많은 어려움이 있었다.However, the secondary storage medium has the advantage of being very easy to use and carry as a portable storage device for simply storing data, but because the security function for the data stored therein is not provided, the secondary storage medium may be lost or stolen. There was an inevitable problem of data leakage. In addition, there have been many difficulties in preventing the leakage of internal information using such auxiliary storage media even in corporations or government agencies dealing with important secrets.
이에 2007년 1월, 국가정보원은 "USB 메모리 등 보조기억매체 보안관리지침"을 발표하여 보조기억매체가 필수적으로 갖추어야 할 보안기능에 대한 가이드라인을 제시하였으며, 상기 보안관리지침이 적용되는 기관의 경우 반드시 해당 보안기능을 구비한 보조기억매체만을 사용하도록 규정하였는바, 이와 같은 국가정보원의 보안관리지침을 만족하는 보조기억매체의 보안 관리 시스템 개발의 필요성이 대두되었다. In January 2007, the National Intelligence Service published "Guidelines for Security Management of Auxiliary Storage Media such as USB Memory," and presented guidelines on the security functions that Auxiliary Storage Media should have. In this case, only the secondary storage media with the corresponding security functions were specified. Therefore, the necessity of developing a security management system for the secondary storage media that satisfies the National Security Agency's security management guidelines has emerged.
본 발명은 상기와 같은 문제점을 해결하기 위해 안출된 것으로서, 본 발명의 목적은 보조기억매체를 통한 기업체 등의 내부정보유출을 차단하고 비인가자의 보조기억매체에 대한 접근을 차단하여 인가자에 의한 안전한 데이터 사용이 가능한 보조기억매체의 보안 관리를 위한 시스템 및 방법을 제공하는 데 있다.The present invention has been made to solve the above problems, the object of the present invention is to prevent the leakage of internal information, such as the enterprise through the secondary storage medium and to prevent unauthorized access to the secondary storage medium by the authorized person secured by The present invention provides a system and method for the security management of data storage secondary storage media.
상기 목적을 달성하기 위한 본 발명은, 보조기억매체의 보안 관리를 위한 시스템으로서, 인증을 위한 일련번호를 구비한 보조기억매체; 상기 보조기억매체에 내장되며, 상기 보조기억매체가 접속된 사용자 단말기 내부의 단말기 에이전트 존재여부를 판단하여, 상기 단말기 에이전트가 존재하는 경우 상기 보조기억매체의 동작환경을 내부사용환경으로 판단하고, 존재하지 않는 경우 외부사용환경으로 판단하며, 외부사용환경에 해당하는 경우 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 외부사용 인증을 수행하는 보조기억매체 에이전트; 상기 보조기억매체가 접속되는 사용자 단말기; 상기 사용자 단말기에서 실행되며, 상기 보조기억매체의 사용환경이 내부사용에 해당하는 경우 관리서버와 통신을 수행하여 상기 사용자 단말기에 접속된 상기 보조기억매체에 대한 내부사용 인증을 수행하는 단말기 에이전트; 상기 보조기억매체의 일련번호에 따른 사용 가능 여부 정보를 저장하고, 상기 보조기억매체 에이전트 또는 단말기 에이전트의 요청에 따라 해당 보조기억매체에 대한 외부인증정보 또는 내부인증정보를 전송하는 관리서버; 를 포함하는 것을 특징으로 한다.The present invention for achieving the above object is a system for security management of the secondary memory medium, the secondary memory medium having a serial number for authentication; The presence of a terminal agent in a user terminal connected to the auxiliary storage medium and connected to the auxiliary memory medium determines whether there is a terminal agent, and when the terminal agent exists, the operation environment of the auxiliary memory medium is determined as an internal use environment. If not, it is determined as an external use environment, and if it corresponds to an external use environment, the secondary storage medium agent for performing an external use authentication for the secondary storage medium by communicating with the management server; A user terminal to which the auxiliary storage medium is connected; A terminal agent executed in the user terminal and performing internal use authentication for the auxiliary storage medium connected to the user terminal by communicating with a management server when the use environment of the auxiliary storage medium corresponds to internal use; A management server storing availability information according to a serial number of the auxiliary storage medium and transmitting external authentication information or internal authentication information of the auxiliary storage medium according to a request of the auxiliary storage medium agent or a terminal agent; Characterized in that it comprises a.
이때, 상기 식별정보는, 보조기억매체의 제조시 부여된 고유번호, 보조기억매체의 제품 아이디 문자열 및 공급사 아이디 문자열, 상기 보안 관리 시스템의 관리자에 의하여 부여된 일련번호 중 어느 하나로 구성되거나, 또는 이들 중 둘 이상을 조합하여 구성되는 것을 특징으로 한다.At this time, the identification information is composed of any one of a unique number given in the manufacture of the auxiliary storage medium, the product ID string and supplier ID string of the auxiliary storage medium, the serial number assigned by the administrator of the security management system, or these It is characterized by being configured by combining two or more of them.
그리고, 상기 보조기억매체는 내부에 메모리를 구비하며, 상기 메모리는, 상기 보조기억매체 에이전트가 저장되는 보안영역; 상기 보조기억매체의 보안에 관한 정보가 저장되는 숨김영역; 사용자가 데이터를 저장하거나 저장된 데이터를 읽기 위한 데이터영역; 을 포함하여 구성되는 것이 바람직하다.The auxiliary storage medium includes a memory therein, and the memory includes: a security area in which the auxiliary memory medium agent is stored; Hidden area for storing information about the security of the auxiliary storage medium; A data area for storing or reading data by the user; It is preferably configured to include.
또한 상기 보안영역은 읽기 전용 영역인 것이 바람직하며, 상기 숨김영역은 상기 보조기억매체 에이전트 또는 상기 단말기 에이전트에 의해서만 데이터의 읽기 및 쓰기가 가능하도록 구성될 수 있다.In addition, the security area is preferably a read-only area, and the hidden area may be configured to read and write data only by the auxiliary storage medium agent or the terminal agent.
그리고, 상기 숨김영역에 저장되는 정보는, 상기 보조기억매체의 일련번호;The information stored in the hidden area may include a serial number of the auxiliary storage medium;
상기 보조기억매체의 외부사용권한; 상기 보조기억매체의 외부사용시 적용되는 외부사용보안정책; 상기 보조기억매체의 장치암호; 상기 보조기억매체의 사용자가 상기 장치암호를 연속적으로 잘못 입력한 경우 장치의 사용을 차단하기 위한 연속암호오류 횟수; 상기 관리서버의 접속정보; 및 상기 데이터영역에서 발생되는 파일 이벤트에 대한 로그정보; 를 포함하는 것이 바람직하다.External use rights of the auxiliary storage medium; An external use security policy applied to external use of the auxiliary storage medium; A device password of the auxiliary storage medium; A number of consecutive password errors for blocking the use of the device when the user of the auxiliary memory medium continuously inputs the device password; Access information of the management server; Log information on file events occurring in the data area; It is preferable to include.
이때 상기 외부사용보안정책은, 상기 장치암호에 대한 사용자 인증 수행 여부; 상기 관리서버와의 통신을 통한 상기 일련번호 인증 수행 여부; 사용자가 상기 장치암호를 상기 연속암호오류 횟수만큼 연속하여 잘못 입력한 경우 상기 보조기억매체의 사용을 차단할지 여부; 상기 보조기억매체에 저장된 데이터에 대한 외부복사방지기능 설정 여부; 상기 데이터영역에서 발생되는 파일 이벤트에 대한 로그 기록 여부; 상기 보조기억매체가 연결된 단말기에 할당된 IP를 확인하여 지정된 IP가 아닐경우 상기 보조기억매체의 사용을 차단할지 여부; 상기 관리서버 또는 보조기억매체가 연결된 단말기의 시간정보를 확인하여 지정된 시간이 아닐경우 상기 보조기억매체의 사용을 차단할지 여부; 를 포함하여 구성되며, 이 중, 상기 장치암호에 대한 사용자 인증은 필수적으로 적용되고, 상기 관리서버로와의 통신을 통한 인증은 상기 보조기억매체가 연결된 단말기가 상기 관리서버에 접속 가능시에만 적용되며, 나머지 외부사용보안정책은 관리자에 의하여 선택적으로 적용되도록 구성될 수 있다.At this time, the external usage security policy, whether to perform a user authentication for the device password; Whether to perform the serial number authentication through communication with the management server; Whether to block the use of the auxiliary storage medium when a user incorrectly inputs the device password consecutively as many times as the consecutive password errors; Whether to set an external copy protection function for the data stored in the auxiliary storage medium; Whether to log a file event occurring in the data area; Checking whether an IP allocated to the terminal connected to the auxiliary storage medium is blocked and blocking the use of the auxiliary storage medium if it is not the designated IP; Whether to block the use of the auxiliary storage medium when it is not the designated time by checking time information of the terminal to which the management server or the auxiliary storage medium is connected; Among them, the user authentication for the device password is essential, and authentication through communication with the management server is applied only when the terminal connected to the auxiliary storage medium can access the management server. The remaining external use security policy can be configured to be selectively applied by the administrator.
한편, 상기 보조기억매체 에이전트는, 상기 보조기억매체가 접속된 단말기의 사용환경이 내부사용환경인지 외부사용환경인지의 여부를 판단하는 사용환경 판단모듈; 상기 사용환경 판단모듈에 의하여 외부사용환경으로 판단되는 경우, 상기 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 외부사용 인증을 수행하는 외부사용 인증모듈; 상기 보조기억매체의 데이터 영역에 입출력되는 모든 데이터를 암호화 또는 복호화하는 데이터영역 자동 암복호화 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 분석하는 파일 필터 드라이버; 상기 보조기억매체의 데이터영역에 저장된 파일 중 사용자가 지정한 파일을 암호화 또는 복호화하는 지정 파일 암복호화 모듈; 을 포함하는 것을 특징으로 한다.On the other hand, the auxiliary storage medium agent, a usage environment determination module for determining whether the use environment of the terminal connected to the auxiliary storage medium is an internal use environment or an external use environment; An external use authentication module configured to perform external use authentication on the auxiliary storage medium by communicating with the management server when it is determined as an external use environment by the use environment determination module; A data area automatic encryption / decryption module for encrypting or decrypting all data input / output in the data area of the auxiliary storage medium; A file filter driver for analyzing all file events occurring in the data area of the auxiliary storage medium; A designated file encryption / decryption module for encrypting or decrypting a file designated by a user among files stored in a data area of the auxiliary storage medium; Characterized in that it comprises a.
이때, 상기 외부사용 인증모듈은, 상기 관리서버에 저장된 상기 보조기억매체의 외부사용권한 및 외부사용보안정책을 확인하여, 상기 보조기억매체에 외부사용권한이 할당된 경우 상기 보조기억매체의 연결을 허용하고, 상기 외부사용보안정책을 적용하는 것이 바람직하다.In this case, the external use authentication module checks the external use right and the external use security policy of the auxiliary storage medium stored in the management server, and connects the auxiliary storage medium when the external use right is assigned to the auxiliary storage medium. Permit and apply the external use security policy.
또한 상기 외부사용 인증모듈은, 상기 관리서버와의 통신이 불가능한 경우, 상기 보조기억매체의 숨김영역에 저장된 외부사용권한 및 외부사용보안정책을 이용하여 외부사용권한을 확인하고 외부사용보안정책을 적용하도록 구성될 수 있다.In addition, the external use authentication module, when communication with the management server is not possible, confirms the external use rights and applies the external use security policy using the external use rights and external use security policies stored in the hidden area of the auxiliary storage medium. It can be configured to.
그리고 상기 외부사용 인증모듈은, 상기 관리서버와의 통신 결과 상기 보조기억매체에 차단정책이 적용된 경우, 상기 보조기억매체의 사용을 차단하고 할당된 차단정책을 적용하도록 구성될 수 있다.The external use authentication module may be configured to block the use of the auxiliary storage medium and apply an assigned blocking policy when the blocking policy is applied to the auxiliary storage medium as a result of communication with the management server.
이때, 상기 차단정책은, 상기 보조기억매체의 사용 차단; 상기 보조기억매체의 사용 차단 후 회수 요청 메시지 출력; 상기 보조기억매체의 사용 차단 후 저장된 데이터 삭제; 중 어느 하나인 것이 바람직하다.At this time, the blocking policy, the use of the auxiliary storage medium blocked; Outputting a recovery request message after blocking use of the auxiliary storage medium; Deleting stored data after blocking use of the auxiliary storage medium; It is preferable that it is either.
그리고 상기 외부사용 인증모듈은, 상기 관리서버와의 통신 결과 상기 보조기억매체의 일련번호가 미등록이거나 외부사용권한이 할당되지 않은 경우 상기 보조기억매체의 사용을 차단하도록 구성될 수 있다.The external use authentication module may be configured to block the use of the auxiliary storage medium when the serial number of the auxiliary memory medium is unregistered or an external use right is not assigned as a result of communication with the management server.
한편, 상기 파일 필터 드라이버는, 상기 보조기억매체에 외부복사방지기능이 설정된 경우, 상기 보조기억매체에 저장된 파일을 상기 보조기억매체의 외부로 복사하는 파일 이벤트 발생시 이를 차단하는 외부 복사 방지 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 상기 숨김영역에 기록하는 로그 수집 모듈; 을 포함하는 것이 바람직하다.On the other hand, the file filter driver, the external copy protection module to block a file event occurs when copying a file stored in the auxiliary storage medium to the outside of the auxiliary storage medium, when the external copy protection function is set; A log collection module for recording all file events occurring in the data area of the auxiliary storage medium in the hidden area; It is preferable to include.
또한 상기 지정 파일 암복호화 모듈은, 상기 보조기억매체의 일련번호 및 사용자가 입력한 암호를 조합한 암호키를 이용하여 암호화 또는 복호화를 수행하는 것이 바람직하다.In addition, it is preferable that the designated file encryption / decryption module performs encryption or decryption using an encryption key that combines a serial number of the auxiliary storage medium and a password input by a user.
한편, 상기 단말기 에이전트는, 상기 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 내부사용 인증을 수행하는 장치클래스 필터드라이버; 상기 보조기억매체의 데이터 영역에 입출력되는 모든 데이터를 암호화 또는 복호화하는 데이터영역 자동 암복호화 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 분석하는 파일 필터 드라이버; 상기 보조기억매체의 데이터영역에 저장된 파일 중 사용자가 지정한 파일을 암호화 또는 복호화하는 지정 파일 암복호화 모듈; 상기 보조기억매체의 외부사용시 숨김영역에 저장된 외부사용로그를 추출하여 상기 관리서버로 전송하는 외부사용로그 추출 모듈; 상기 보조기억매체에 할당된 외부사용보안정책 및 장치암호를 상기 보조기억매체의 숨김영역에 저장하는 정책 기록 모듈; 을 포함하여 구성될 수 있다.On the other hand, the terminal agent, the device class filter driver for performing an internal use authentication for the auxiliary storage medium by communicating with the management server; A data area automatic encryption / decryption module for encrypting or decrypting all data input / output in the data area of the auxiliary storage medium; A file filter driver for analyzing all file events occurring in the data area of the auxiliary storage medium; A designated file encryption / decryption module for encrypting or decrypting a file designated by a user among files stored in a data area of the auxiliary storage medium; An external usage log extraction module for extracting an external usage log stored in a hidden area when using the auxiliary storage medium and transmitting the extracted external usage log to the management server; A policy recording module for storing an external use security policy and a device password assigned to the auxiliary storage medium in a hidden area of the auxiliary storage medium; It may be configured to include.
이때, 상기 장치클래스 필터드라이버는, 상기 사용자 단말기로 연결되는 모든 보조기억매체에 대한 연결 이벤트를 감시하고, 이벤트 발생 시 연결된 장치에 대한 하드웨어 정보를 획득하는 감시 모듈; 상기 하드웨어 정보가 기 저장된 하드웨어 정보와 일치하지 않을 경우 상기 장치의 연결을 차단하는 외부기기 차단 모듈; 상기 하드웨어 정보가 기 저장된 하드웨어 정보와 일치하는 경우, 상기 보조기억매체의 일련번호를 관리서버로 전송하여 상기 관리서버에 저장된 상기 보조기억 매체의 등록여부를 확인하여, 상기 보조기억매체가 등록된 보조기억매체에 해당하는 경우 상기 보조기억매체에 대한 연결을 허용하는 내부사용 인증 모듈; 을 포함하는 것이 바람직하다.In this case, the device class filter driver, the monitoring module for monitoring the connection events for all the auxiliary storage media connected to the user terminal, and obtains hardware information about the connected device when the event occurs; An external device blocking module that blocks the connection of the device when the hardware information does not match the previously stored hardware information; When the hardware information matches the stored hardware information, the serial number of the auxiliary storage medium is transmitted to the management server to check whether the auxiliary storage medium is stored in the management server, and the auxiliary storage medium is registered. An internal use authentication module for allowing a connection to the auxiliary storage medium when the storage medium corresponds to the storage medium; It is preferable to include.
그리고 상기 내부사용 인증모듈은, 상기 관리서버와의 통신 결과 상기 보조기억매체에 차단정책이 적용된 경우, 상기 보조기억매체의 사용을 차단하고 할당된 차단정책을 적용하도록 구성될 수 있다.The internal use authentication module may be configured to block the use of the auxiliary storage medium and apply an assigned blocking policy when a blocking policy is applied to the auxiliary storage medium as a result of communication with the management server.
이때, 상기 차단정책은, 상기 보조기억매체의 사용 차단; 상기 보조기억매체의 사용 차단 후 회수 요청 메시지 출력; 상기 보조기억매체의 사용 차단 후 저장된 데이터 삭제; 중 어느 하나인 것이 바람직하다.At this time, the blocking policy, the use of the auxiliary storage medium blocked; Outputting a recovery request message after blocking use of the auxiliary storage medium; Deleting stored data after blocking use of the auxiliary storage medium; It is preferable that it is either.
그리고 상기 파일 필터 드라이버는, 상기 보조기억매체에 외부복사방지기능이 설정된 경우, 상기 보조기억매체에 저장된 파일을 상기 보조기억매체의 외부로 복사하는 파일 이벤트 발생시 이의 실행을 차단하는 외부 복사 방지 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 상기 숨김영역에 기록하는 로그 수집 모듈; 을 포함하여 구성될 수 있다.The file filter driver may further include: an external copy protection module that blocks an execution of a file event that copies a file stored in the auxiliary memory medium to the outside of the auxiliary memory medium when an external copy protection function is set in the auxiliary memory medium; A log collection module for recording all file events occurring in the data area of the auxiliary storage medium in the hidden area; It may be configured to include.
이때, 상기 지정 파일 암복호화 모듈은, 상기 보조기억매체의 일련번호 및 사용자가 입력한 암호를 조합한 암호키를 이용하여 암호화 또는 복호화를 수행하도록 구성될 수 있다.In this case, the designated file encryption / decryption module may be configured to perform encryption or decryption using an encryption key combining a serial number of the auxiliary storage medium and a password input by a user.
한편, 상기 관리서버는, 상기 보조기억매체의 일련번호를 기준으로 하여 상기 보조기억매체의 사용차단정책, 외부사용권한, 외부사용보안정책을 저장하는 등록장치 데이터베이스; 및 상기 보조기억매체의 사용로그를 저장하는 사용로그 데이 터베이스; 를 더 포함하는 것이 바람직하다.On the other hand, the management server, the registration device database for storing the use blocking policy, external use rights, external use security policy of the auxiliary storage medium on the basis of the serial number of the auxiliary storage medium; A usage log database storing a usage log of the auxiliary storage medium; It is preferable to further include.
상기 목적을 달성하기 위한 또 다른 본 발명은, 보조기억매체의 보안 관리 방법으로서, 보조기억매체를 상기 사용자 단말기에 연결하는 제1단계; 상기 보조기억매체에 내장된 보조기억매체 에이전트에서, 상기 사용자 단말기의 내부에 단말기 에이전트가 존재하는지 여부를 판단하여, 상기 단말기 에이전트가 존재하는 경우 상기 보조기억매체의 동작환경을 내부사용환경으로 판단하고, 존재하지 않는 경우 외부사용환경으로 판단하는 제2단계; 상기 제2단계에서의 판단 결과, 외부사용환경에 해당하는 경우 상기 보조기억매체 에이전트에서 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 외부사용 인증을 수행하고, 내부사용환경에 해당하는 경우 상기 단말기 에이전트에서 관리서버와 통신을 수행하여 상기 보조기억매체에 대한 내부사용 인증을 수행하는 제3단계; 를 포함하는 것을 특징으로 한다.Another object of the present invention for achieving the above object is a security management method of the auxiliary storage medium, the first step of connecting the auxiliary storage medium to the user terminal; In the auxiliary memory medium agent embedded in the auxiliary memory medium, it is determined whether a terminal agent exists in the user terminal, and if the terminal agent is present, the operation environment of the auxiliary memory medium is determined as an internal use environment. A second step of determining that the external use environment does not exist; As a result of the determination in the second step, when the external storage environment corresponds to the external storage environment, the secondary storage medium agent communicates with the management server to perform external usage authentication for the secondary storage medium. A third step of performing an internal use authentication of the auxiliary storage medium by communicating with a management server in a terminal agent; Characterized in that it comprises a.
이때, 상기 제2단계는, 상기 보조기억매체의 보안영역을 마운트하는 제2-1단계; 상기 보안영역에 저장된 상기 보조기억매체 에이전트를 실행하는 제2-2단계; 상기 보조기억매체가 상기 사용자 단말기의 내부에 단말기 에이전트가 존재하는지 여부를 판단하는 제2-3단계; 상기 판단 결과, 단말기 에이전트가 존재하는 경우 내부사용환경으로 판단하고, 존재하지 않는 경우 외부사용환경으로 판단하는 제2-4단계; 를 포함하는 것이 바람직하다.In this case, the second step may include a step 2-1 of mounting the secure area of the auxiliary storage medium; Step 2-2 of executing the auxiliary storage medium agent stored in the secure area; Step 2-3 of the auxiliary storage medium determining whether a terminal agent exists in the user terminal; As a result of the determination, when the terminal agent is present, steps 2-4, which are determined as an internal use environment, and when not present, as an external use environment; It is preferable to include.
그리고, 상기 사용자 단말기의 내부에 단말기 에이전트가 존재하는 경우, 상기 제1단계의 수행 이후, 제2단계가 수행되기 이전에, 상기 단말기 에이전트에 포 함된 장치 클래스 필터드라이버에서, 상기 보조기억매체와 상기 사용자 단말기간의 연결 이벤트를 감지하고, 상기 보조기억매체에 대한 하드웨어 정보를 획득하는 제1-1단계; 상기 하드웨어 정보가 상기 단말기 에이전트에 저장된 하드웨어 정보와 일치하는지 여부를 판단하는 제1-2단계; 제1-2단계에서의 판단 결과, 상기 하드웨어 정보가 저장된 하드웨어 정보와 일치하지 않을 경우, 상기 보조기억매체와 상기 사용자 단말기간의 연결을 차단하고, 일치할 경우 상기 제2단계로 진행하는 제1-3단계; 상기 보조기억매체와 상기 사용자 단말기간의 연결이 차단된 경우, 상기 보조기억매체의 하드웨어 정보 및 상기 연결 차단 시간 정보를 포함하는 연결차단로그를 상기 관리서버로 전송하는 제1-4단계; 를 더 포함하는 것이 바람직하다.And, if there is a terminal agent in the user terminal, in the device class filter driver included in the terminal agent after performing the first step, before performing the second step, the auxiliary storage medium and the Detecting a connection event between user terminals and acquiring hardware information on the auxiliary storage medium; Determining whether the hardware information matches hardware information stored in the terminal agent; As a result of the determination in step 1-2, when the hardware information does not match the stored hardware information, the connection between the auxiliary storage medium and the user terminal is cut off, and when it is matched, the first step proceeds to the second step. Step 3; If the connection between the auxiliary storage medium and the user terminal is blocked, transmitting a connection blocking log including hardware information of the auxiliary storage medium and the connection blocking time information to the management server; It is preferable to further include.
이때, 상기 하드웨어 정보는, 보조기억매체의 제품 아이디 문자열 및 공급사 아이디 문자열을 포함하여 구성될 수 있다.In this case, the hardware information may include a product ID string and a supplier ID string of the auxiliary storage medium.
한편, 상기 외부사용 인증 단계는, 상기 보조기억매체 에이전트가 통신망을 이용하여 상기 관리서버와의 연결을 시도하는 제3-1단계; 제3-1단계에서 상기 관리서버와의 연결에 성공한 경우, 상기 보조기억매체의 일련번호를 상기 관리서버로 전송하고, 상기 관리서버로부터 상기 보조기억매체의 외부사용권한 및 외부사용보안정책을 전송받는 제3-2단계; 상기 외부사용권한을 확인하여 상기 보조기억매체에 외부사용권한이 할당된 경우 상기 보조기억매체의 연결을 허용하고 상기 외부사용보안정책을 적용하는 제3-3단계; 상기 보조기억매체의 보안영역을 언마운트하고, 데이터영역을 마운트하는 제3-4단계; 를 포함하는 것이 바람직하다.On the other hand, the external use authentication step, step 3-1 in which the auxiliary storage medium agent attempts to connect to the management server using a communication network; When the connection with the management server is successful in step 3-1, the serial number of the auxiliary storage medium is transmitted to the management server, and the external usage right and external use security policy of the auxiliary storage medium are transmitted from the management server. Receiving step 3-2; Checking the external usage right to allow connection of the auxiliary storage medium when the auxiliary storage medium is allocated to the auxiliary storage medium and applying the external use security policy; Steps 3-4 of unmounting a security area of the auxiliary storage medium and mounting a data area; It is preferable to include.
이때, 상기 제3-1단계는, 상기 보조기억매체의 숨김영역에 저장된 상기 관리 서버의 접속정보를 이용하여 수행되는 것이 바람직하다.In this case, step 3-1 may be performed using access information of the management server stored in the hidden area of the auxiliary storage medium.
그리고 제3-1단계에서 상기 관리서버와의 연결에 실패한 경우, 상기 제3-2단계에서 상기 보조기억매체 에이전트는 상기 보조기억매체의 숨김영역으로부터 상기 보조기억매체의 외부사용권한 및 외부사용보안정책을 획득하도록 구성될 수 있다.When the connection with the management server fails in step 3-1, in step 3-2, the auxiliary storage medium agent is externally authorized and externally used security of the auxiliary storage medium from the hidden area of the auxiliary memory medium. It may be configured to obtain a policy.
한편, 상기 외부사용보안정책은, 장치암호에 대한 사용자 인증 수행 여부;On the other hand, the external usage security policy, whether to perform a user authentication for the device password;
상기 관리서버와의 통신을 통한 상기 일련번호 인증 수행 여부; 사용자가 상기 장치암호를 기 설정된 연속암호오류 횟수만큼 연속하여 잘못 입력한 경우 상기 보조기억매체의 사용을 차단할지 여부; 상기 보조기억매체에 저장된 데이터에 대한 외부복사방지기능 설정 여부; 상기 데이터영역에서 발생되는 파일 이벤트에 대한 로그 기록 여부; 상기 보조기억매체가 연결된 단말기에 할당된 IP를 확인하여 지정된 IP가 아닐 경우 상기 보조기억매체의 사용을 차단할지 여부; 상기 관리서버 또는 보조기억매체가 연결된 단말기의 시간정보를 확인하여 지정된 시간이 아닐경우 상기 보조기억매체의 사용을 차단할지 여부; 를 포함하여 구성되며, 이 중, 상기 장치암호에 대한 사용자 인증은 필수적으로 적용되고, 상기 관리서버와의 통신을 통한 인증은 상기 보조기억매체가 연결된 단말기가 상기 관리서버에 접속 가능시에만 적용되며, 나머지 외부사용보안정책은 관리자에 의하여 선택적으로 적용되되도록 구성될 수 있다.Whether to perform the serial number authentication through communication with the management server; Whether to block the use of the auxiliary storage medium when a user incorrectly inputs the device password consecutively for a predetermined number of consecutive password errors; Whether to set an external copy protection function for the data stored in the auxiliary storage medium; Whether to log a file event occurring in the data area; Checking whether an IP allocated to the terminal connected to the auxiliary storage medium is blocked and blocking the use of the auxiliary storage medium when the auxiliary storage medium is not a designated IP; Whether to block the use of the auxiliary storage medium when it is not the designated time by checking time information of the terminal to which the management server or the auxiliary storage medium is connected; Among them, user authentication for the device password is applied to the essential, and authentication through communication with the management server is applied only when the terminal connected to the auxiliary storage medium is accessible to the management server. In addition, the remaining external security policy can be configured to be selectively applied by the administrator.
그리고, 상기 보조기억매체 에이전트는, 제3-2단계에서 상기 관리서버와의 통신 결과 상기 보조기억매체에 차단정책이 적용된 경우, 상기 보조기억매체의 사용을 차단하고 할당된 차단정책을 적용하는 것이 바람직하다.When the auxiliary storage medium has a blocking policy applied to the auxiliary storage medium as a result of the communication with the management server in step 3-2, the auxiliary storage medium agent blocks the use of the auxiliary storage medium and applies the assigned blocking policy. desirable.
이때, 상기 차단정책은, 상기 보조기억매체의 사용 차단; 상기 보조기억매체의 사용 차단 후 회수 요청 메시지 출력; 상기 보조기억매체의 사용 차단 후 저장된 데이터 삭제; 중 어느 하나인 것이 바람직하다.At this time, the blocking policy, the use of the auxiliary storage medium blocked; Outputting a recovery request message after blocking use of the auxiliary storage medium; Deleting stored data after blocking use of the auxiliary storage medium; It is preferable that it is either.
또한, 상기 보조기억매체 에이전트는, 제3-2단계에서 상기 관리서버와의 통신 결과 상기 보조기억매체의 일련번호가 미등록이거나 외부사용권한이 할당되지 않은 경우, 상기 보조기억매체의 사용을 차단하도록 구성될 수 있다.The auxiliary storage medium agent may block the use of the auxiliary storage medium when the serial number of the auxiliary storage medium is not registered or an external use right is not assigned as a result of the communication with the management server in step 3-2. Can be configured.
한편, 상기 보조기억매체 에이전트는, 상기 보조기억매체의 연결이 허용된 경우, 상기 제3-3단계의 수행 이후, 제3-4단계의 수행 이전에, 상기 보조기억매체의 데이터 영역에 입출력되는 모든 데이터를 암호화 또는 복호화하는 데이터영역 자동 암복호화 모듈; 및 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 분석하는 파일 필터 드라이버; 를 구동하는 것이 바람직하다.On the other hand, the auxiliary storage medium agent, if the connection of the auxiliary storage medium is allowed, input and output to the data area of the auxiliary storage medium after performing the step 3-3, before performing the step 3-4 A data area automatic encryption / decryption module for encrypting or decrypting all data; And a file filter driver analyzing all file events occurring in the data area of the auxiliary storage medium. It is preferable to drive.
이때, 상기 파일 필터 드라이버는, 상기 보조기억매체에 외부복사방지기능이 설정된 경우, 상기 보조기억매체에 저장된 파일을 상기 보조기억매체의 외부로 복사하는 파일 이벤트 발생시 이를 차단하는 외부 복사 방지 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 상기 숨김영역에 기록하는 로그 수집 모듈; 을 포함하여 구성될 수 있다.The file filter driver may include: an external copy protection module that blocks a file event for copying a file stored in the auxiliary memory medium to the outside of the auxiliary memory medium when an external copy protection function is set in the auxiliary memory medium; A log collection module for recording all file events occurring in the data area of the auxiliary storage medium in the hidden area; It may be configured to include.
그리고, 상기 단말기 에이전트가, 상기 보조기억매체의 일련번호를 상기 관리서버로 전송하고, 상기 관리서버로부터 상기 보조기억매체의 등록여부 및 차단정책 적용여부에 대한 정보를 전송받는 제3-11단계; 상기 전송받은 정보에 대한 판단 결과, 상기 보조기억매체의 일련번호가 등록된 것이고 차단정책이 적용되지 않은 경우 상기 보조기억매체의 연결을 허용하고, 그 밖의 경우 상기 보조기억매체의 연결을 차단하는 제3-12단계; 상기 보조기억매체의 보안영역을 언마운트하고, 데이터영역을 마운트하는 제3-13단계; 를 포함하는 것이 바람직하다.Step 3-11, wherein the terminal agent transmits the serial number of the auxiliary storage medium to the management server, and receives information on whether the auxiliary storage medium is registered and whether the blocking policy is applied; As a result of the determination of the received information, if the serial number of the auxiliary storage medium is registered and the blocking policy is not applied, allowing the connection of the auxiliary storage medium; otherwise, blocking the connection of the auxiliary storage medium. Steps 3-12; Step 3-13 of unmounting the security area of the auxiliary storage medium and mounting the data area; It is preferable to include.
이때, 상기 단말기 에이전트는, 상기 제3-12단계에서 상기 보조기억매체에 대한 연결 허용시 상기 보조기억매체의 일련번호 및 상기 연결 허용시간을 포함하는 인증성공로그를 상기 관리서버로 전송하도록 구성될 수 있다.In this case, the terminal agent is configured to transmit an authentication success log including the serial number of the auxiliary storage medium and the connection allowance time to the management server when the connection to the auxiliary storage medium is allowed in step 3-12. Can be.
또한, 상기 단말기 에이전트는, 상기 보조기억매체에 외부사용로그가 저장되어 있는 경우 상기 외부사용로그를 추출하여 상기 인증성공로그와 함께 전송하는 것이 바람직하다.In addition, when the external usage log is stored in the auxiliary storage medium, the terminal agent extracts the external usage log and transmits it with the authentication success log.
그리고, 상기 단말기 에이전트는, 상기 제3-12단계에서 상기 보조기억매체에 대한 연결 차단시 상기 보조기억매체의 일련번호 및 상기 연결 차단시간을 포함하는 연결차단로그를 상기 관리서버로 전송하도록 구성될 수 있다.The terminal agent may be configured to transmit a connection blocking log including a serial number of the auxiliary storage medium and the connection blocking time to the management server when the connection to the auxiliary storage medium is blocked in step 3-12. Can be.
또한, 상기 단말기 에이전트는, 상기 관리서버와의 통신 결과 상기 보조기억매체에 차단정책이 적용된 경우, 상기 보조기억매체의 사용을 차단하고 할당된 차단정책을 적용하도록 구성될 수 있다.The terminal agent may be configured to block the use of the auxiliary storage medium and apply an assigned blocking policy when a blocking policy is applied to the auxiliary storage medium as a result of communication with the management server.
이때, 상기 차단정책은, 상기 보조기억매체의 사용 차단; 상기 보조기억매체의 사용 차단 후 회수 요청 메시지 출력; 상기 보조기억매체의 사용 차단 후 저장된 데이터 삭제; 중 어느 하나인 것이 바람직하다.At this time, the blocking policy, the use of the auxiliary storage medium blocked; Outputting a recovery request message after blocking use of the auxiliary storage medium; Deleting stored data after blocking use of the auxiliary storage medium; It is preferable that it is either.
그리고 상기 단말기 에이전트는, 상기 보조기억매체의 연결이 허용된 경우, 상기 제3-12단계의 수행 이후, 제3-13단계의 수행 이전에, 상기 보조기억매체의 데 이터 영역에 입출력되는 모든 데이터를 암호화 또는 복호화하는 데이터영역 자동 암복호화 모듈; 및 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 분석하는 파일 필터 드라이버; 를 구동하도록 구성될 수 있다.When the connection of the auxiliary storage medium is allowed, the terminal agent inputs and outputs all data input and output to the data area of the auxiliary storage medium after performing steps 3-12 and before performing steps 3-13. A data area automatic encryption / decryption module for encrypting or decrypting the data; And a file filter driver analyzing all file events occurring in the data area of the auxiliary storage medium. It can be configured to drive.
이때, 상기 파일 필터 드라이버는, 상기 보조기억매체에 외부복사방지기능이 설정된 경우, 상기 보조기억매체에 저장된 파일을 상기 보조기억매체의 외부로 복사하는 파일 이벤트 발생시 이를 차단하는 외부 복사 방지 모듈; 상기 보조기억매체의 데이터영역에서 발생하는 모든 파일 이벤트를 상기 숨김영역에 기록하는 로그 수집 모듈; 을 포함하는 것이 바람직하다.The file filter driver may include: an external copy protection module that blocks a file event for copying a file stored in the auxiliary memory medium to the outside of the auxiliary memory medium when an external copy protection function is set in the auxiliary memory medium; A log collection module for recording all file events occurring in the data area of the auxiliary storage medium in the hidden area; It is preferable to include.
상술한 바와 같은 본 발명에 따른 본 발명은 보조기억매체의 보안 관리 시스템 및 이를 이용한 보조기억매체의 보안 관리 방법은, 기업체 등의 내부에서 사용되는 사용자 단말기에 인가된 보조기억매체만이 접속 가능하도록 함으로써 보조기억매체를 통한 기업체 등의 내부정보유출을 효과적으로 차단하고, 비인가자의 보조기억매체에 대한 접근을 차단함으로써 인가자에 의한 안전한 데이터 사용 및 중요정보의 보안이 가능한 효과가 있다.According to the present invention as described above, the present invention provides a security management system for an auxiliary memory medium and a method for managing the security of the auxiliary memory medium using the same, such that only an auxiliary memory medium authorized to a user terminal used inside an enterprise can be accessed. This effectively prevents the leakage of internal information, such as businesses through the secondary storage media, and prevents unauthorized access to the secondary storage media, thereby enabling the safe use of data and security of sensitive information by the authorized person.
또한 본 발명은 보조기억매체의 내부사용과 외부사용을 분리하여 내부사용시 자동적으로 인증을 수행함으로써 일반 보조기억매체를 사용하는 것과 같이 편리하게 사용할 수 있고, 외부사용시에는 별도의 외부사용정책을 적용함으로써 보조기억매체에 저장된 데이터의 보안을 유지할 수 있는 장점이 있다.In addition, the present invention separates the internal and external use of the auxiliary storage medium to perform authentication automatically during internal use, so that the present invention can be conveniently used as a general auxiliary memory medium, and by applying a separate external use policy in external use. There is an advantage of maintaining the security of the data stored in the secondary storage medium.
본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하의 상세한 설명에 의하여 보다 명확하게 이해될 것이다.Details of the above object and technical configuration of the present invention and the effects thereof according to the present invention will be more clearly understood by the following detailed description based on the accompanying drawings.
본 발명의 설명에 앞서 본 발명과 관련된 공지 기능 또는 구성에 대한 구체적인 기술은 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략하기로 한다.Prior to the description of the present invention, a detailed description of known functions or configurations related to the present invention will be omitted if it is determined that the gist of the present invention may be unnecessarily obscured.
또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자 및 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 따라서 그러한 정의는 본 명세서 전반에 걸쳐 기재된 내용을 바탕으로 판단되어야 할 것이다.In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intention or custom of users and operators. Therefore, such a definition should be determined based on the contents described throughout the specification.
먼저, 도 1은 본 발명에 따른 보조기억매체의 보안 관리 시스템의 전체 구성도이다. First, Figure 1 is an overall configuration of the security management system of the auxiliary storage medium according to the present invention.
본 발명에 따른 보조기억매체의 보안 관리 시스템은 크게 보조기억매체 에이전트를 내장한 보조기억매체(100), 상기 보조기억매체가 접속되며 내부에 단말기 에이전트를 내장한 사용자 단말기(200), 상기 보조기억매체 에이전트 및 단말기 에이전트와 통신을 수행하는 관리서버(300)를 포함하여 구성된다.Security management system of the secondary memory medium according to the present invention is a
상기 보조기억매체(100)는 국가정보원의 보조기억매체 보안관리지침에 따른 보안기능이 내장된 보조기억매체로서, 인증을 위한 식별번호와 함께, 보안기능의 구비, 관리, 정책업데이트를 위해 필요한 별도의 응용프로그램인 보조기억매체 에 이전트가 내장되어 있다.The
상기 식별정보는, 보조기억매체의 제조시 부여된 고유번호, 보조기억매체의 제품 아이디 문자열 및 공급사 아이디 문자열, 상기 보안 관리 시스템의 관리자에 의하여 부여된 일련번호 중 어느 하나로 구성되거나, 또는 이들 중 둘 이상을 조합하여 구성될 수 있다. 일반적으로 보조기억매체는 제조시 고유번호가 부여되며 이를 기준으로 하여 보조기억매체를 식별할 수 있으나, 상기 고유번호는 한번 부여되면 변경이 불가능하므로, 본 발명에서는 상기 고유번호 외에 보조기억매체의 제품 아이디 문자열 및 공급사 아이디 문자열, 상기 보안 관리 시스템의 관리자에 의하여 부여된 일련번호 등을 조합하여 고유의 식별정보로 사용할 수 있다.The identification information is composed of any one of a unique number given at the time of manufacture of the auxiliary memory medium, a product ID string and a supplier ID string of the auxiliary memory medium, and a serial number assigned by an administrator of the security management system, or two of them. It can be comprised combining the above. In general, the auxiliary memory medium is given a unique number at the time of manufacture and can identify the auxiliary memory medium on the basis of this, but since the unique number is not changed once, in the present invention, the product of the auxiliary memory medium in addition to the unique number An ID string, a supplier ID string, and a serial number assigned by an administrator of the security management system may be combined and used as unique identification information.
국가정보원의 보조기억매체 보안관리지침에 따르면 상기 관리지침 적용대상 기관의 경우, 반드시 등록된 보조기억매체만을 내부에서 사용하여야 하며, 이러한 등록된 보조기억매체인지의 여부를 판단할 수 있는 주체가 사용자 단말기에 설치되어 있어야 한다. 이를 위하여 사용자 단말기(200)는 그 내부에서 실행되는 응용프로그램인 단말기 에이전트를 구비하며, 상기 단말기 에이전트는 등록되지 않은 보조기억매체가 사용자 단말기에 접속될 경우 그 접속을 차단하는 기능을 수행한다. According to the National Security Agency's security management guidelines for auxiliary storage media, only the registered auxiliary storage media should be used internally by the organizations covered by the management guidelines, and the users who can determine whether they are the registered auxiliary storage media are users. Must be installed on the terminal. To this end, the
관리서버(300)는 상기 보조기억매체를 국가정보원의 보안관리지침에 따라서 도입, 등록, 사용승인, 불용 등의 정책을 수행할 수 있는 시스템으로서, 웹 기반의 서버시스템으로 구성되며 보조기억매체의 취급자, 관리책임자, 정보보안담당관의 권한 구분에 따라서 사용범위가 구분된다. 또한 상기 관리서버(300)는 상기 보조기억매체의 일련번호를 기준으로 하여 상기 보조기억매체의 사용차단정책, 외부사용 권한, 외부사용보안정책을 저장하는 등록장치 데이터베이스(400), 및 상기 보조기억매체의 사용로그를 저장하는 사용로그 데이터베이스(500)를 포함하여 구성된다.The
도 2는 본 발명에 따른 보조기억매체의 내부 구조도이다.2 is an internal structure diagram of an auxiliary memory medium according to the present invention.
상기 보조기억매체(100)는, 크게 데이터가 저장되는 메모리(110), 보조기억매체의 동작을 제어하기 위한 컨트롤러(200), 및 상기 보조기억매체가 사용자 단말기에 접속하기 위한 접속부(300)로 구성되며, 상기 메모리(110)는 다시 보안영역(111), 숨김영역(112), 및 데이터영역(113)으로 구분된다.The
상기 보안영역(111)은, 본 발명에 따른 보조기억매체(100)를 운영체제에 연결한 후 사용자 단말기 내의 운영체제에 의해서 최초로 인식되는 영역으로써, 읽기전용의 속성을 지닌다. 따라서 사용자는 이 영역에 저장된 파일데이터에 대한 읽기만이 가능하며, 추가적인 파일생성, 수정 등은 불가능하다. The
이 영역에는 상기 보조기억매체(100)와 연동되는 보안프로그램인 보조기억매체 에이전트가 탑재되어 사용자인증 또는 보안정책의 적용 역할을 수행한다. 상기 보안영역(111)의 경우 상기 보조기억매체 에이전트 이외에는 별도의 추가적인 파일의 필요가 발생하지 않으므로, 최초 생산단계에서 보안영역(111)에 대한 크기를 보조기억매체 에이전트의 크기에 맞추어 최소화하는 것이 바람직하다. In this area, the secondary memory medium agent, which is a security program interoperating with the
상기 숨김영역(112)은, 본 발명에 따른 보조기억매체(100)의 메모리 영역 중 운영체제에 의해서 인식되지 않는 영역으로써, 특정 API에 의해서만 읽기 및 쓰기가 가능한 공간이다. 이 공간에는 본 시스템의 보안기능과 연동하는 데이터가 저장 되며, 단말기 에이전트와 보조기억매체 에이전트에 의해서 관리된다.The hidden
상기 데이터영역(113)은, 사용자가 필요한 데이터를 읽고 쓸 수 있는 영역이다. 보조기억매체(100)의 연결 후 지정된 보안정책에 의한 사용자 인증이 완료되면, 사용자 단말기 내의 운영체제에 의해서 마운트(Mount)되었던 상기 보안영역(111)이 언마운트(Unmount)되고 동일한 드라이브 문자를 사용하여 본 데이터영역(113)이 마운트된다. 이 영역이 마운트된 후, 사용자는 일반적인 보조기억매체와 같이 자유롭게 파일에 대한 읽기/쓰기의 수행이 가능하다. 다만, 보안을 위하여 상기 데이터영역(113)이 마운트되기 전에 단말기 에이전트 또는 보조기억매체 에이전트에 의해서 필요한 보안 모듈이 구동되어 자동 암복호화, 로그수집, 외부복사 방지 등의 기능을 수행한다. 이와 같은 보안 모듈에 대해서는 후술하기로 한다.The
본 발명에 따른 보조기억매체 보안 관리 시스템의 기본 정책은 인가된 사용자 또는 사용환경에 대해서만 저장된 데이터에 대한 접근이 가능한 것으로 수립되어 있다. 때문에, 사용자 인증 이전단계에서는 보조기억매체(100)에 저장된 데이터에 대한 접근이 차단되어야 한다. 이를 위하여 상술한 바와 같이 메모리 영역을 구분하였으며, 이를 토대로 사용자 인증 이전단계에서는 보안영역(111)이 운영체제에 의해서 마운트되고 사용자 인증이 완료된 후에는 보안영역(111)이 언마운트되며 보안영역(111)에 마운트되었던 드라이브에 데이터영역(113)이 마운트된다. 이를 본 발명에서는 보안영역(111)을 데이터영역(113)으로 전환한다고 표현한다.The basic policy of the secondary memory medium security management system according to the present invention is established to allow access to stored data only for authorized users or usage environments. Therefore, in the previous step of user authentication, access to the data stored in the
보조기억매체(100)가 접속된 사용자 단말기에 단말기 에이전트가 설치되어 있는 경우, 이는 내부사용환경으로 정의된다. 내부사용환경에서는 단말기 에이전트가 연결된 보조기억매체에 대한 정보를 기반으로 자동으로 사용자 인증을 수행하여 보안영역(111)을 데이터영역(113)으로 전환한다. 이는 인가된 장치가 내부사용환경에서 사용하는 경우 업무 효율성을 유지하기 위한 정책이다.When the terminal agent is installed in the user terminal to which the
단말기 에이전트가 설치되지 않은 환경에서는 운영체제에 의해서 보조기억매체(100)가 인식된 후, 사용자는 적절한 인증과정을 수행해야 하며, 이에 대한 사용자 인증이 성공한 후, 보안영역(111)이 데이터영역(113)으로 전환된다. 이러한 단말기 에이전트가 설치되지 않은 환경은 외부사용환경으로 정의되며, 외부사용시에는 사용자 인증과 더불어 외부사용에 대한 외부사용보안정책이 적용되며, 상기 사용자 인증과 외부사용 보안정책이 모두 부합되는 경우에만, 영역의 전환이 완료된다. 외부사용에 있어서의 인증과 보안정책 확인은 상기 보조기억매체(100)의 메모리내에 저장된 보조기억매체 에이전트에 의해서 수행된다.In the environment where the terminal agent is not installed, after the
도 3은 본 발명에 따른 보조기억매체의 숨김영역의 구성을 구체적으로 나타낸 도면이다.3 is a view showing in detail the configuration of the hidden region of the auxiliary storage medium according to the present invention.
본 숨김영역(112)은 일반적인 운영체제에 의하여 인식되지 않는 영역으로써 사용자의 일반적인 접근이 차단된 영역이다. 숨김영역(112)은 별도로 포멧되지 않는 영역으로써 off-set 방식에 의하여 데이터를 읽기/쓰기한다. 때문에, 사용자 단말기 내의 운영체제에 의해서는 별도의 드라이브로 인식되지 않는다.The hidden
상기 숨김영역(112)에는 본 발명에 따른 보조기억매체(100)와 연동하는 단말 기 에이전트, 보조기억매체 에이전트에서 필요한 정보가 저장되며, 이에 대한 정보는 관리서버에서 수립되는 정책을 적용하는 기준정보로 활용된다.The hidden
상기 숨김영역(112)에 저장되는 정보는 다음과 같다.Information stored in the hidden
일련번호(112A) : 본 발명에 따른 보조기억매체는 각각의 장치에 대해 일련번호가 할당되며, 이는 다시 관리서버(300)의 관리번호와 연동하여 장치를 식별하기 위한 정보로 활용된다.
외부사용권한(112B) : 보조기억매체(100)의 외부사용 가능여부를 판단하는 값을 저장하는 공간이 할당된다. 이 외부사용권한은 정보보안담당관에 의해서 허가되는 권한으로써, 외부사용권한이 없는 보조기억매체의 경우 외부사용이 차단된다.
외부사용정책(112C) : 보조기억매체(100)의 외부사용이 시도되는 경우 적용되는 외부사용정책이 저장되는 공간이 할당된다. 이 외부사용정책은 정보보안담당관에 의해서 지정된 보안정책으로써, 외부사용시 참조되는 정책이다.
장치암호(112D) : 보조기억매체(100)에 대한 사용인증시 활용되는 장치암호를 저장하는 하는 공간이 할당된다. 이 장치암호는 외부사용 승인 시 발급되는 암호로써 매 승인 시마다 상이한 암호가 할당되어 장치에 저장된다.
연속암호오류횟수(112E) : 보조기억매체(100)의 장치암호를 연속적으로 잘못 입력한 경우, 장치에 대한 사용을 차단하는 정책을 적용할 수 있다. 이때 사용되는 연속암호오류 횟수에 대한 값을 지정하는 공간이 할당된다.Number of
관리서버 접속정보(112F) : 외부사용시 보조기억매체 에이전트가 접속할 관 리서버(300)에 대한 접속정보를 보관하는 공간이 할당된다. 이 공간에 할당된 정보를 기반으로 보조기억매체 에이전트는 외부사용시 온라인으로 관리서버(300)에 접속하여 관리서버에 수립된 보안정책을 보조기억매체(100)에 적용한다.Management
로그기록영역(112G) : 보조기억매체(100)의 외부사용시 사용인증 및 내부저장파일에 입출력 로그를 기록하여 저장하는 공간이 할당된다. 상기 저장된 로그기록은 상기 보조기억매체(100)가 단말기 에이전트가 설치된 내부환경에 연결되는 경우, 단말기 에이전트에 의해서 관리서버(300)로 전달된다.Log
도 4는 본 발명에 따른 보조기억매체 에이전트에서 보조기억매체의 사용환경을 판단하기 위한 과정을 나타낸 순서도이다.4 is a flowchart illustrating a process for determining a usage environment of the auxiliary storage medium in the auxiliary storage medium agent according to the present invention.
본 발명에 따른 보조기억매체 에이전트는 보조기억매체의 보안영역(111)에 저장되는 실행파일로써 "Launcher.exe"라는 파일명을 갖는다. 본 발명에 따른 보조기억매체(100)를 사용자 단말기(200)에 연결한 후(S410), 보안영역(111)이 마운트되고(S420), 사용자에 의해서 보조기억매체 에이전트가 실행되면(S430), 보조기억매체 에이전트는 별도의 그래픽 사용자 인터페이스(Graphic User Interface; GUI)의 제공 없이 최초 실행 시 실행되는 사용환경이 내부환경인지 외부환경인지를 판단한다(S440, S450), 이와 같은 사용환경의 판단은 연결된 사용자 단말기에 단말기 에이전트가 존재하는지의 여부를 판단하는 절차로서, 단말기 에이전트가 존재하는 경우, 보조기억매체 에이전트는 이를 내부사용으로 판단하고 프로세스를 종료하며, 이후의 절차는 단말기 에이전트에 의해 수행된다(S460). 그러나 단말기 에이전트가 존재하지 않는 경우, 보조기억매체 에이전트는 이를 외부사용으로 판단하고 관리서버에 접속하여 외부사용정책을 적용하기 위한 절차를 수행한다(S470).The auxiliary storage medium agent according to the present invention is an executable file stored in the
도 5는 본 발명에 따른 보조기억매체의 외부사용시 보조기억매체 에이전트가 관리서버에 접속하여 외부사용 인증을 수행하기 위한 과정을 나타낸 순서도이다.5 is a flowchart illustrating a process of performing an external use authentication by an auxiliary storage medium agent accessing a management server when the auxiliary storage medium is externally used according to the present invention.
보조기억매체 에이전트가 현재 보조기억매체의 사용환경을 외부사용으로 판단되는 경우(S510), 보조기억매체 에이전트는 보조기억매체의 메모리 내의 숨김영역(112)에 접근하여(S520), 저장된 관리서버 접속정보를 확인하고(S530), 상기 정보를 바탕으로 관리서버에 대한 접속을 시도한다(S540).When the auxiliary storage medium agent is determined to use the current storage environment of the auxiliary storage medium as external use (S510), the auxiliary storage medium agent accesses the hidden
만약 네트워크의 사용이 가능하여 상기 관리서버에 접속을 성공한 경우, 보조기억매체 에이전트는 상기 보조기억매체(100)의 메모리에 저장된 일련번호를 기준으로 할당된 외부사용정책을 확인하여 이를 상기 보조기억매체의 메모리에 적용하고(S550, S570), 데이터영역(113)을 마운트하여 외부사용프로세스를 시작한다(S580).If the network is available and the connection to the management server is successful, the auxiliary storage medium agent checks the external usage policy assigned based on the serial number stored in the memory of the
이때, 상기 보조기억매체(100)가 분실, 불용, 회수 등의 사유로 인하여 더 이상 사용가능한 장치가 아닌 경우에는, 상기 보조기억매체의 사용을 차단하고 할당된 차단정책을 적용한다(S560, S590).At this time, if the
이와 같이, 보조기억매체 에이전트는 관리서버(300)에 대한 접속을 통하여 외부사용권한이 확인된 경우, 이를 기반으로 외부사용정책을 적용한다. 만일, 오프라인 사용과 같이 관리서버에 대한 접속에 실패한 경우, 보조기억매체 에이전트는 상기 보조기억매체의 숨김영역(112)에 저장된 외부사용권한을 확인하여 권한이 할당된 경우에는 외부사용보안정책을 적용하고 권한이 할당되지 않은 경우에는 사용을 차단하고 프로세스를 종료한다.As such, the auxiliary storage medium agent applies an external usage policy based on the external usage right when the access authority is confirmed through the access to the
외부사용권한이 할당된 경우에도 그 사용환경에 따른 제약조건을 부여할 수 있으며, 해당조건에 부합되지 않는 경우 사용이 차단된다.외부사용을 위해 제한할 수 있는 조건은 다음과 같다.Even when an external use right is assigned, a restriction can be given according to the use environment, and the use is blocked if it does not meet the conditions.The following conditions can be restricted for external use.
장치암호인증 : 외부사용시에는 사용자가 장치에 할당된 장치암호인증을 완료한 후에 보조기억매체에 대한 사용이 가능하다. 이러한 장치암호인증사용은 필수조건으로 적용된다.Device password authentication: For external use, the user can use the auxiliary storage media after the device password authentication assigned to the device is completed. This use of device password authentication is mandatory.
온라인인증 : 관리서버에 대한 접속을 통하여 외부사용권한을 확인한다. 이에 대한 조건은 오프라인 시에는 적용되지 않는 조건이며, 온라인 시에는 자동으로 인증과정을 수행한다.On-line authentication: Check external permission by connecting to management server. This condition is not applicable when offline, and automatically performs the authentication process.
암호오류제한 : 장치에 할당된 장치암호인증 시 연속적으로 지정된 횟수만큼의 잘못된 암호를 입력한 경우, 비인가자에 의한 사용시도로 판단하여 장치는 사용이 차단된다.Password error limit: When the device password assigned to the device is authenticated, if a wrong number of consecutive passwords have been entered, the device is blocked from use by the unauthorized user.
외부복사방지 : 보조기억매체의 인증이 완료되고 데이터 영역의 마운트된 후, 보조기억매체에 저장된 파일을 외부로 복사하는 것을 차단하는 정책이다. 이 정책이 적용된 경우, 보조기억매체에 저장된 파일의 [복사 -> 붙여넣기], [Drag & Drop]의 작업이 차단된다.External copy protection: This policy prevents copying of the files stored in the auxiliary storage medium to the outside after the authentication of the auxiliary memory medium is completed and the data area is mounted. If this policy is applied, the operation of [Copy-> Paste], [Drag & Drop] of the file stored in the secondary memory is blocked.
로그수집 : 보조기억매체의 데이터 영역에서 발생하는 파일데이터의 생성, 복수, 추가, 수정, 제거 등에 대한 로그를 기록한다.Log collection: Records the log of creation, plural, addition, modification, removal, etc. of file data occurring in the data area of auxiliary storage medium.
사용 IP 제한 : 보조기억매체가 연결된 단말기에 할당된 IP를 확인하여 지정된 IP 대역이 아닌 경우에는 사용을 차단한다.Use IP restriction: Check the IP assigned to the terminal connected to the secondary storage medium and block the use if it is not the designated IP band.
사용시간 : 관리시스템의 접속이 가능한 경우에는 관리시스템의 시간정보를 확인하고 관리시스템의 접속이 불가능한 경우에는 단말기의 시간정보를 확인하여 지정된 기간범위를 벗어나는 경우에는 사용을 차단한다.Usage time: If the management system can be accessed, check the time information of the management system. If the management system cannot be accessed, check the time information of the terminal.
도 6 내지 도 8은 본 발명에 따른 보조기억매체 에이전트의 외부사용 인증이 완료된 이후 실행되는 보안모듈의 동작절차를 나타낸 도면으로서, 도 6은 데이터영역 자동 암복호화 모듈의 동작절차를, 도 7은 파일 필터드라이버에 포함된 외부 복사 방지 모듈의 외부 복사 차단절차를, 도 8은 파일 필터드라이버에 포함된 로그 수집 모듈의 로그 수집 절차를 각각 나타낸다.6 to 8 are views showing the operation of the security module executed after the external use authentication of the auxiliary storage medium agent according to the present invention, Figure 6 is an operation procedure of the data area automatic encryption and decryption module, Figure 7 An external copy blocking procedure of the external copy protection module included in the file filter driver, and FIG. 8 shows a log collection procedure of the log collection module included in the file filter driver.
상기 보조기억매체 에이전트의 외부사용 인증 과정에서, 인증이 실패한 경우에는 보조기억매체의 사용이 차단되며, 성공한 경우 보안영역(111)이 데이터 영역으로 전환되어 보조기억매체에 저장된 파일데이터에 대한 접근이 가능하다.In the external use authentication process of the auxiliary storage medium agent, if the authentication fails, the use of the auxiliary storage medium is blocked, and if successful, the
외부사용시 이러한 데이터 영역으로의 전환은 보조기억매체 에이전트에 의해서 수행되며, 보조기억매체 에이전트는 해당 영역전환의 수행 이전에 필요한 보안모듈을 기동시킨다. 이는 외부사용보안정책을 수행하기 위한 프로세스들이다. In the external use, the switch to the data area is performed by the auxiliary storage medium agent, which activates the security module necessary before performing the area change. These are the processes for executing the external use security policy.
도 6은 이러한 보안모듈 중 하나인 데이터영역 자동 암복호화 모듈의 동작절차를 나타낸다. 도시된 바와 같이, 상기 모듈은 보조기억매체의 데이터영역(113)에 입출력되는 모든 파일을 자동으로 암호화/복호화하는 기능을 수행한다.6 shows an operation procedure of the data area automatic encryption / decryption module, which is one of such security modules. As shown, the module performs a function of automatically encrypting / decrypting all files input and output to the
이러한 암복호화 모듈은 이동식 디스크로 마운트되는 데이터 영역 전체에 대해서 자동으로 수행되기 때문에 사용자에게는 별도의 사용자 인터페이스를 제공하지 않는다. 자동암복호화 작업의 수행을 통하여 저장되는 모든 파일데이터는 암호화되어 저장되고 읽혀지는 데이터는 자동으로 복호화되어 사용자에게 표시된다. 이 기능은 플래시 메모리의 물리적 보안취약성을 보완하기 위해 적용된 기능으로써, 플래시 메모리의 경우, off-set 방식에 의하여 어드레스 기준으로 메모리를 복제하는 것이 가능하다. 때문에 물리적 복제에 의한 데이터의 노출위험이 존재하는 것이다. 그러나, 물리적 복제와 같이 비정상적인 방법으로 데이터에 접근하는 경우, 저장된 데이터는 암호화된 상태로 읽혀지게 되어 데이터의 노출이 차단된다.Since the encryption / decryption module is automatically performed for the entire data area mounted as a removable disk, a separate user interface is not provided to the user. All file data stored through the automatic encryption and decryption operation are encrypted and stored and the data read is automatically decrypted and displayed to the user. This function is applied to compensate for the physical security vulnerability of the flash memory. In the case of the flash memory, the memory can be copied on an address basis by an off-set method. Therefore, there is a risk of exposure of data by physical replication. However, in the case of accessing data in an abnormal manner such as physical replication, the stored data is read in an encrypted state, thereby preventing the data from being exposed.
상기 데이터영역(113) 자동 암복호화 모듈과 함께 파일 필터드라이버가 구동된다. The file filter driver is driven together with the
파일 필터드라이버는 이동식 디스크로 마운트된 데이터영역(113)에 대해서 발생하는 파일의 상태를 필터링하는 드라이버로써, 외부복사 방지 및 로그수집을 위한 기능을 수행한다.The file filter driver is a driver for filtering a file state generated for the
도 7은 상기 파일 필터드라이버에 포함된 외부 복사 방지 모듈의 외부 복사 차단절차를 나타낸 도면이다. 도시된 바와 같이, 보조기억매체의 데이터 영역에서 [복사 -> 붙여넣기], [Drag & Drop]의 파일이벤트가 발생하는 경우 파일 필터드라이버는 상기 파일이벤트를 분석하여 그 소스가 보조기억매체의 내부파일이고, 목적지가 보조기억매체의 외부 저장매체인 경우 상기 파일이벤트의 발생을 차단한다. 이와 같은 외부 복사 방지 모듈은 외부사용정책에서 외부복사 방지 기능이 적용된 경우에만 적용된다.7 is a diagram illustrating an external copy blocking procedure of an external copy protection module included in the file filter driver. As shown in the figure, when a file event of [Copy-> Paste], [Drag & Drop] occurs in the data area of the auxiliary memory medium, the file filter driver analyzes the file event and the source is stored in the auxiliary memory medium. If the file is a destination and the external storage medium of the auxiliary storage medium, the generation of the file event is blocked. This external copy protection module is applied only when external copy protection is applied in the external use policy.
도 8은 상기 파일 필터드라이버에 포함된 로그 수집 모듈의 로그 수집 절차를 나타낸 도면이다. 도시된 바와 같이, 보조기억매체의 데이터 영역에서 파일 생성, 수정, 복사, 삭제 등의 파일이벤트가 발생할 경우 파일 필터드라이버는 상기 파일이벤트를 분석하여 그 소스 또는 목적지가 보조기억매체의 내부 저장매체인 경우 이에 대한 로그를 보조기억매체의 숨김영역(112)에 기록한다. 상기 로그에 포함되는 정보는 보조기억매체의 일련번호, 소스파일 정보, 목적파일 정보, 이벤트의 속성(생성, 수정, 복사, 삭제)이다.8 is a diagram illustrating a log collection procedure of the log collection module included in the file filter driver. As shown, when a file event such as file creation, modification, copying, deletion, etc. occurs in the data area of the auxiliary storage medium, the file filter driver analyzes the file event and the source or destination is an internal storage medium of the auxiliary storage medium. If the log is recorded in the hidden
이와 같은 보안모듈이 정상적으로 기동되면서 보안영역(111)이 데이터영역(113)으로 전환되면, 보조기억매체의 외부사용 인증이 완료되고 해당 보조기억매체의 사용이 가능하게 된다. When such a security module is normally started and the
보조기억매체 에이전트가 정상적으로 기동된 후에는 시스템의 아이콘 트레이에 아이콘을 표시하고 사용자로 하여금 필요한 메뉴에 대한 접근을 가능하도록 한다. 이 아이콘을 통하여 제공되는 메뉴는 다음과 같다.After the auxiliary storage agent is normally started, the icon is displayed in the icon tray of the system and the user can access the necessary menu. The menu provided through this icon is as follows.
드라이브 로그인/로그오프 : 드라이브 로그인은 인증 및 보안정책 적용을 통하여 데이터영역(113)을 이동식 디스크로 마운트하는 것을 의미하며, 드라이브 로그오프는 이동식 디스크로 마운트된 데이터영역(113)을 언마운트하고 최초의 보안영역(111)을 다시 마운트하는 것을 의미한다.Drive login / logoff: Drive login means mounting the
적용보안정책 보기 : 사용자로 하여금 현재의 단말기 에이전트와 연결된 보조기억매체에 적용된 보안정책을 확인할 수 있도록 제공하는 메뉴이다. 이 메뉴는 사용자의 조작실수 또는 알 수 없는 원인에 의하여 보조기억매체가 정상적으로 동작하지 않는 경우, 이에 대한 사용지원을 위해 필요한 정보를 확인하기 위함이다.View applied security policy: This menu allows the user to check the security policy applied to the secondary memory connected to the current terminal agent. This menu is to check the information necessary to support the use of the auxiliary memory when the auxiliary storage medium does not operate normally due to a user's mistake or unknown reason.
지정파일 암/복호화 : 보조기억매체 에이전트에서 제공하는 파일 암/복호화 기능은 보조기억매체에 저장된 데이터에 한하여 수행되는 것으로써 암호화 시 연결된 보조기억매체 메모리의 일련번호와 사용자가 입력한 사용자 암호값을 조합하여 암호키로 사용한다.Designated file encryption / decryption: The file encryption / decryption function provided by the auxiliary storage medium agent is performed only for the data stored in the auxiliary memory medium.It encrypts the serial number of the connected auxiliary memory memory and the user password entered by the user. Combination is used as an encryption key.
제품정보 : 보조기억매체에 대한 제품정보 및 보조기억매체 에이전트에 대한 버전정보와 사용지원을 위한 정보를 표시한다.Product Information: Displays product information for auxiliary storage media and version information for auxiliary storage media agents and information for usage support.
종료 : 보조기억매체 에이전트에 대한 실행을 종료한다. 종료 시 로그오프 과정이 수행되며, 보조기억매체 에이전트에 의해서 로딩 또는 실행된 드라이버와 프로세스가 모두 종료된다.Termination: Terminate execution of auxiliary memory agent. At the end, a logoff process is performed, and all drivers and processes loaded or executed by the auxiliary memory agent are terminated.
도 9는 상기와 같은 파일 암 복호화 기능을 수행하기 위한 지정파일 암복호화 모듈의 파일 암복호화 절차를 나타낸 순서도이다. 9 is a flowchart illustrating a file encryption / decryption procedure of a designated file encryption / decryption module for performing the file arm decryption function as described above.
먼저, 사용자가 보조기억매체의 메뉴에서 파일암호화 메뉴를 선택하고(S901, S902), 암호화를 위한 대상파일을 지정한다(S903). 그리고 암호키로 사용한 사용자 암호를 입력하고(S904) 암호화 실행을 명령하면(S905), 지정파일 암복호화 모듈은 대상 파일의 위치를 확인하여 상기 파일이 보조기억매체에 저장된 데이터인지의 여부를 확인한다(S906, S907). 이때 상기 파일이 보조기억매체에 저장된 파일이 아닌 경우 오류메시지 표시 후 프로세스가 종료되며(S908), 보조기억매체에 저장된 파일일 경우 대상파일의 암호화를 수행하고(S909), 원본파일을 제거한다(S910). 상기 과정이 성공적으로 수행되면 암호화 성공 메시지를 표시하여 암호화가 완료되었음을 알린다(S911).First, a user selects a file encryption menu from a menu of an auxiliary storage medium (S901 and S902), and designates a target file for encryption (S903). If a user password used as an encryption key is input (S904) and an encryption execution command is executed (S905), the designated file encryption / decryption module checks the location of the target file to determine whether the file is data stored in the auxiliary storage medium ( S906, S907). At this time, if the file is not a file stored in the auxiliary memory medium, the process is terminated after displaying an error message (S908). If the file is stored in the auxiliary memory medium, the process encrypts the target file (S909) and removes the original file ( S910). If the process is successfully performed, an encryption success message is displayed to inform that encryption is completed (S911).
도 10은 본 발명에 따른 단말기 에이전트의 사용자 단말기 내에서의 최초 기동절차를 나타낸 순서도이다.10 is a flowchart illustrating an initial startup procedure in a user terminal of a terminal agent according to the present invention.
상기 단말기 에이전트는 본 발명에 따른 보조기억매체 보안 관리 시스템이 도입된 내부환경의 사용자 단말기에 설치되어 동작하는 응용프로그램으로써, 운영체제의 기동과 더불어 자동으로 기동하여 메모리에 상주되며, 등록되지 않은 보조 기억매체에 대한 사용을 차단하고 등록된 보조기억매체에 대해서는 할당된 보안정책을 적용하는 역할을 수행한다.The terminal agent is an application program installed and operated in a user terminal of an internal environment in which an auxiliary memory medium security management system according to the present invention is introduced. The terminal agent is automatically started with an operating system and resides in a memory. It blocks the use of media and applies the assigned security policy to registered secondary storage media.
먼저, 운영체제의 기동과 더불어 단말기 에이전트가 기동되어 필요한 드라이버를 로딩하고 사용자가 단말기 에이전트의 개별기능에 접근하기 위한 사용자 인터페이스를 제공하는 단말기 에이전트 응용프로그램을 로딩한다(S1010~S1030).First, the terminal agent is started with the operating system being loaded to load necessary drivers, and the terminal agent application program is provided to provide a user interface for the user to access individual functions of the terminal agent (S1010 to S1030).
상기 S1020단계에서 로딩되는 드라이버는 장치클래스 필터드라이버, 파일 필터 드라이버, 및 데이터영역 자동 암복호화 모듈이다.The driver loaded in step S1020 is a device class filter driver, a file filter driver, and a data area automatic encryption / decryption module.
장치클래스 필터드라이버는 단말기로 접속되는 장치 중 저장장치로 등록되는 장치에 대한 차단 역할을 수행하는 드라이버이다.이 드라이버는 기본적으로 차단정책을 보유하고 있어 단말기 에이전트에 의해서 허가요청이 발생하지 않는 경우에는 모든 저장장치의 연결을 차단한다. 이러한 기본 차단정책은 강제적인 단말기 에이전트에 대한 실행종료가 발생한 경우, 정보유출을 차단하기 위한 기본정책이다.The device class filter driver is a driver that blocks the device registered as a storage device among the devices connected to the terminal. This driver has a blocking policy by default, so if the permission request is not generated by the terminal agent. Disconnect all storage devices. This basic blocking policy is a basic policy for blocking information leakage when execution of forced terminal agent is terminated.
파일 필터드라이버는 보조기억매체로 입출력되는 파일정보와 사용자정보, 시간정보를 기록하는 드라이버로서, 보조기억매체 에이전트에 탑재된 파일 필터드라이버와 동일하다. 단, 보조기억매체 에이전트의 파일 필터드라이버가 추출된 로그를 보조기억매체의 숨김영역(112)에 기록하는 반면, 단말기 에이전트의 파일필터드라이버는 이를 관리서버에 전달하여 기록한다.The file filter driver is a driver that records file information, user information, and time information input and output to and from the auxiliary memory medium. The file filter driver is the same as the file filter driver installed in the auxiliary memory medium agent. However, while the file filter driver of the auxiliary storage medium agent records the extracted log in the hidden
데이터영역 자동 암복호화 모듈은 보조기억매체에 대해서 입출력되는 파일을 자동으로 암호화/복호화하기 위한 모듈이다. 이는 보조기억매체 에이전트에서 제공하는 것과 동일한 자동암복호화 모듈로써, 단말기 에이전트가 기동하는 환경은 내 부사용으로 인식되어 보조기억매체 에이전트가 기동하지 않고 단말기 에이전트가 그 역할을 수행하기 때문에 단말기 에이전트 내의 자동암복호화 모듈이 로딩된다.The data area automatic encryption / decryption module is a module for automatically encrypting / decrypting a file input / output to an auxiliary storage medium. This is the same automatic encryption module provided by the auxiliary storage media agent. The environment in which the terminal agent is started is recognized as internal use, so the auxiliary agent does not start and the terminal agent plays its role. The encryption / decryption module is loaded.
필요한 드라이버와 모듈이 로딩된 이후, 단말기 에이전트는 관리서버에 대한 접속을 시도한다(S1040). 관리서버에 대한 접속을 통하여 단말기 에이전트는 관리서버에 수립된 보안정책을 수령하여 해당 사용자 단말기에 적용한다(S1050, S1060, S1080, S1090). 만일, 관리서버에 대한 접속이 실패하는 경우, 단말기 에이전트는 이를 비정상적 환경으로 판단하고 로딩된 장치클래스 필터드라이버에 의해서 모든 보조기억매체에 대한 차단정책을 적용한다(S1070).After the necessary drivers and modules are loaded, the terminal agent attempts to access the management server (S1040). Through access to the management server, the terminal agent receives the security policy established in the management server and applies it to the corresponding user terminal (S1050, S1060, S1080, S1090). If the connection to the management server fails, the terminal agent determines this as an abnormal environment and applies a blocking policy for all auxiliary storage media by the loaded device class filter driver (S1070).
도 11은 본 발명에 따른 보조기억매체의 내부사용 인증시 보조기억매체의 장치정보를 확인하여 해당 장치에 대한 연결 또는 차단을 수행하는 과정을 나타낸 순서도이다.11 is a flowchart illustrating a process of connecting or blocking a corresponding device by checking device information of the auxiliary storage medium when authenticating an internal use of the auxiliary memory medium according to the present invention.
단말기 에이전트는 기동 후에는 사용자 단말기로 연결되는 모든 장치 이벤트를 감시하고 이벤트발생시 연결된 장치에 대한 클래스 정보를 획득한다(S1101~S1103).After activation, the terminal agent monitors all device events connected to the user terminal and acquires class information on the connected device when an event occurs (S1101 to S1103).
획득된 클래스 정보가 저장매체에 해당하는 경우, 장치정보를 확인하여 장치에 대한 연결 혹은 차단여부를 결정한다(S1104, S1105).If the obtained class information corresponds to the storage medium, the device information is checked to determine whether to connect or disconnect the device (S1104 and S1105).
본 발명에 따른 보안기능이 적용된 보조기억매체가 아닌 USB 메모리가 사용자 단말기에 연결되는 경우, 본 발명에 따른 보조기억매체에 적용된 하드웨어 정보가 아닌 다른 정보가 전달된다. 단말기 에이전트는 확인되는 하드웨어 정보가 지정 된 정보와 일치하지 않을 경우, 이를 아닌 일반 USB 메모리로 간주하여 접속을 차단한다.When a USB memory other than the secondary memory medium to which the security function is applied according to the present invention is connected to the user terminal, other information other than the hardware information applied to the secondary memory medium according to the present invention is transferred. If the checked hardware information does not match the specified information, the terminal agent considers it as a normal USB memory and blocks the access.
상기 하드웨어 정보는 보조기억매체의 제품 아이디 문자열(Product ID String) 및 공급사 아이디 문자열(Vender ID String)으로서, 예를 들어 본 발명에 따른 보조기억매체에는 "SecuYouSB" 라는 제품 아이디 문자열 및 "Koscom" 이라는 공급사 아이디 문자열이 할당된다.The hardware information is a product ID string and a vendor ID string of the auxiliary storage medium. For example, the auxiliary memory medium according to the present invention is a product ID string of "SecuYouSB" and "Koscom". Supplier ID string is assigned.
연결된 보조기억매체의 하드웨어 정보를 통하여 본 발명에 따른 보안기능이 적용된 보조기억매체가 연결된 것으로 판단된 후에는 장치에 할당된 16자리의 일련번호를 확인하고 이를 관리서버에 전달하여 등록상태를 확인한다(S1106).After it is determined that the secondary storage medium to which the security function according to the present invention is connected through the hardware information of the connected secondary memory medium, the serial number assigned to the device is confirmed and delivered to the management server to confirm the registration status. (S1106).
관리서버는 등록장치 데이터베이스(400)를 통하여 상기 일련번호가 사용가능하도록 등록된 번호인지를 확인하고(S1107, S1108), 해당번호가 등록된 것이고 차단정책이 적용되지 않은 경우 상기 보조기억매체의 연결을 허용하며(S1112), 해당번호가 사용가능하도록 등록된 일련번호가 아니거나, 해당 일련번호가 분실장치 목록에 등록되어 있는 경우, 사용을 차단한다(S1109). 분실장치 목록의 경우, 관리서버에 의하여 관리되며, 분실장치에 대한 차단정책은 다음의 3가지로 구분된다.The management server checks whether the serial number is registered to be usable through the registration device database 400 (S1107, S1108), and if the corresponding number is registered and the blocking policy is not applied, connection of the auxiliary memory medium. Allow (S1112), and if the number is not registered serial number to use, or if the serial number is registered in the lost device list, block the use (S1109). The lost device list is managed by the management server, and the blocking policy for the lost device is classified into the following three categories.
사용차단 : 분실장치 등록으로 사용이 차단되었을 표시하고 사용이 차단된다.Blocking use: It indicates that the use is blocked by registering the lost device and the use is blocked.
차단 후 알림메시지 표시 : 분실된 장치임을 알리고 사용자에 의해 등록된 회수요청 메시지를 표시한다.Display notification message after blocking: Indicate that the device is lost and display the recovery request message registered by the user.
차단 후 저장데이터 삭제 : 차단 후, 보조기억매체에 대한 저장데이터 삭제작업을 수행한다.Delete saved data after blocking: After blocking, the stored data is deleted for auxiliary memory.
상기와 같이 보조기억매체의 연결이 차단된 경우, 단말기 에이전트는 관리서버로 차단된 장치에 대한 정보와 함께 차단결과에 대한 연결차단로그를 전달한다(S1110, S1111). 상기 로그정보는 차단된 보조기억매체의 일련번호 및 연결 차단시간 정보를 포함한다.When the connection of the auxiliary storage medium is blocked as described above, the terminal agent transmits a connection blocking log for the blocking result together with the information on the blocked device to the management server (S1110, S1111). The log information includes serial number and connection blocking time information of the blocked auxiliary storage medium.
도 12는 본 발명에 따른 보조기억매체의 내부사용 인증시 보조기억매체의 연결 허용 이후의 절차를 나타낸 순서도이다.12 is a flowchart illustrating a procedure after allowing connection of the auxiliary storage medium in the internal use authentication of the auxiliary storage medium according to the present invention.
하드웨어 정보확인 및 관리시스템의 일련번호 확인을 통하여 정상적으로 USB 메모리에 대한 연결을 허용한 경우(S1201), 단말기 에이전트는 수립된 보안정책을 적용한다.When normally connecting to the USB memory through the hardware information check and the serial number check of the management system (S1201), the terminal agent applies the established security policy.
먼저, 연결된 보조기억매체의 연결허용에 대한 인증성공 로그를 관리시스템에 전달한다(S1202, S1203). 상기 인증성공 로그에는 보조기억매체의 일련번호와 인증허용시간에 대한 정보가 포함되며, 보조기억매체에 외부사용시 저장된 외부사용로그가 저장되어 있는 경우 이를 추출하여 상기 인증성공로그와 함께 전송할 수 있다. 또한, 사용자가 보조기억매체를 제거한 경우에도 이에 대한 로그를 관리시스템에 전달한다.First, the authentication success log for the connection permission of the connected secondary memory medium is transmitted to the management system (S1202, S1203). The authentication success log includes information on the serial number of the auxiliary storage medium and the authentication allowable time, and if the external use log stored in the auxiliary storage medium is stored in the external storage medium, it can be extracted and transmitted along with the authentication success log. In addition, even when the user removes the auxiliary storage medium, the log is transmitted to the management system.
상기 과정의 수행 이후, 해당 보조기억매체의 외부사용을 위하여 할당된 장 치암호가 있을 경우 이에 대한 정보를 보조기억매체의 숨김영역(112)에 상기 장치암호를 전달한다(S1204).After performing the above process, if there is a device password allocated for external use of the auxiliary storage medium, the device password is transmitted to the hidden
이후, 보조기억매체의 보안영역(111)을 데이터영역(113)으로 전환하고(S1205), 보조기억매체의 데이터영역(113)으로 입출력되는 모든 파일데이터에 대한 자동암복호화를 수행하는 데이터영역 자동암복호화 모듈 및 파일의 생성, 추가, 변경, 삭제에 대한 로그를 관리서버로 전송하는 파일 필터드라이버를 로딩한다(S1206).Thereafter, the
상기 데이터영역 자동암복호화 모듈 및 파일 필터드라이버는 보조기억매체 에이전트에서 수행하는 자동암복호화 모듈과 동일하나, 단말기 에이전트에서 수행되는 파일 필터드라이버는 로그를 보조기억매체의 숨김영역(112) 대신 관리서버로 전달하는 점이 상이하다.The data area automatic encryption / decryption module and the file filter driver are the same as the automatic encryption / decryption module performed by the auxiliary storage medium agent, but the file filter driver performed by the terminal agent logs the management server instead of the hidden
마지막으로 보조기억매체의 데이터영역(113)이 마운트되어 단말기의 운영체제상에 이동식 디스크로 인식될 수 있도록 한다(S1207). Finally, the
보조기억매체가 사용자 단말기에 정상적으로 연결되어 데이터영역(113)이 마운트된 후, 단말기 에이전트는 다음과 같은 기능을 제공한다.After the auxiliary storage medium is normally connected to the user terminal and the
보조기억매체의 지정파일 암복호화 : 단말기 에이전트에서 제공하는 파일 암복호화 기능은 보조기억매체 에이전트에서 제공하는 파일 암/복호화 기능과 동일하다. 이는 단말기 에이전트가 동작하는 환경에서는 별도의 보조기억매체 에이전트가 동작하지 않고 필요한 모든 기능이 단말기 에이전트에 의해서 수행되기 때문이다.Decryption of the designated file of the auxiliary storage medium: The file encryption / decryption function provided by the terminal agent is the same as the file encryption / decryption function provided by the auxiliary memory medium agent. This is because a separate auxiliary memory agent does not operate in an environment in which the terminal agent operates, and all necessary functions are performed by the terminal agent.
상기 기능은 보조기억매체 에이전트에서 사용하는 암복호화 방식과 같이 보조기억매체에 저장된 데이터에 한하여 수행되는 것으로써 암호화 시 연결된 보조기억매체의 일련번호와 사용자가 입력한 사용자암호값을 조합하여 암호키로 사용한다. 이에 대한 자세한 설명은 상기 도 9와 같으므로 여기서는 생략한다.The function is performed only for the data stored in the secondary storage medium, such as the encryption / decryption method used by the secondary storage medium agent. It is used as an encryption key by combining the serial number of the connected secondary storage medium and the user password entered by the user. do. Detailed description thereof is the same as that of FIG. 9, and will not be described herein.
적용보안정책 표시 : 단말기 에이전트에 적용된 보안정책 및 연결된 보조기억매체에 할당된 보안정책을 표시하는 기능을 제공한다.Applied security policy display: Provides the function to display the security policy applied to the terminal agent and the security policy assigned to the connected secondary memory.
이는 사용자로 하여금 현재 기동된 단말기 에이전트와 연결된 보조기억매체에 적용된 보안정책을 확인할 수 있도록 제공하는 메뉴이다. 이 메뉴는 사용자의 조작실수 또는 알 수 없는 원인에 의하여 보조기억매체가 정상적으로 동작하지 않는 경우, 이에 대한 사용지원을 위해 필요한 정보를 확인하기 위함이다.This menu allows the user to check the security policy applied to the auxiliary storage medium connected to the currently activated terminal agent. This menu is to check the information necessary to support the use of the auxiliary memory when the auxiliary storage medium does not operate normally due to a user's mistake or unknown reason.
장치암호 및 외부사용정책 저장 : 내부 승인을 통하여 보조기억매체에 대한 외부사용이 허가된 경우, 관리서버에 의해서 할당된 외부사용보안정책과 장치암호는 단말기 에이전트에 의해서 연결된 보조기억매체의 숨김영역(112)에 저장된다.Storage of device password and external usage policy: If external use of auxiliary storage media is allowed through internal approval, the external usage security policy and device password assigned by the management server are hidden from the secondary storage media connected by the terminal agent. 112).
단말기 에이전트는 연결된 장치에 대하여 관리시스템을 통한 사용허가를 수행하는 과정에서 외부사용에 대한 보안정책이 수립된 경우, 이에 대한 설정값을 보조기억매체의 숨김영역(112)에 저장한다.When the terminal agent establishes a security policy for external use in the process of performing a license through the management system for the connected device, the terminal agent stores the setting value in the hidden
이상, 본 발명의 구체적인 실시 형태에 대하여 상세하게 기술하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서도 다른 구체적인 형태로 실시할 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 본 발명은 본 상세한 설명에 기재된 것에 한정되는 것은 아닌 것으로 이해되어야만 한다. 본 발명의 권리범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 실시형태는 본 발명의 범위에 포함되는 것으로 해석되어야 한다.Although specific embodiments of the present invention have been described in detail above, those skilled in the art to which the present invention pertains may implement the present invention in other specific forms without changing the technical spirit or essential features thereof. It should be understood that the embodiments described above are exemplary in all respects and that the present invention is not limited to those described in the detailed description. The scope of the present invention is shown by the following claims rather than the above description, and all changes or modifications derived from the meaning and scope of the claims and their equivalent concepts are included in the scope of the present invention. Should be interpreted.
도 1은 본 발명에 따른 보조기억매체의 보안 관리 시스템의 전체 구성도이다.1 is an overall configuration diagram of a security management system of an auxiliary memory medium according to the present invention.
도 2는 본 발명에 따른 보조기억매체의 내부 구조도이다.2 is an internal structure diagram of an auxiliary memory medium according to the present invention.
도 3은 본 발명에 따른 보조기억매체의 숨김영역의 구성을 구체적으로 나타낸 도면이다.3 is a view showing in detail the configuration of the hidden region of the auxiliary storage medium according to the present invention.
도 4는 본 발명에 따른 보조기억매체 에이전트에서 보조기억매체의 사용환경을 판단하기 위한 과정을 나타낸 순서도이다.4 is a flowchart illustrating a process for determining a usage environment of the auxiliary storage medium in the auxiliary storage medium agent according to the present invention.
도 5는 본 발명에 따른 보조기억매체의 외부사용시 보조기억매체 에이전트가 관리서버에 접속하여 외부사용 인증을 수행하기 위한 과정을 나타낸 순서도이다.5 is a flowchart illustrating a process of performing an external use authentication by an auxiliary storage medium agent accessing a management server when the auxiliary storage medium is externally used according to the present invention.
도 6은 본 발명에 따른 데이터영역 자동 암복호화 모듈의 동작절차를 나타낸다. 6 is a flowchart illustrating an operation of a data area automatic encryption / decryption module according to the present invention.
도 7은 본 발명에 따른 파일 필터드라이버에 포함된 외부 복사 방지 모듈의 외부 복사 차단절차를 나타낸 도면이다.7 is a diagram illustrating an external copy blocking procedure of an external copy protection module included in a file filter driver according to the present invention.
도 8은 본 발명에 따른 파일 필터드라이버에 포함된 로그 수집 모듈의 로그 수집 절차를 나타낸 도면이다. 8 is a diagram illustrating a log collection procedure of the log collection module included in the file filter driver according to the present invention.
도 9는 본 발명에 따른 파일 암 복호화 기능을 수행하기 위한 지정파일 암복호화 모듈의 파일 암복호화 절차를 나타낸 순서도이다. 9 is a flowchart illustrating a file encryption / decryption procedure of a designated file encryption / decryption module for performing a file arm decryption function according to the present invention.
도 10은 본 발명에 따른 단말기 에이전트의 사용자 단말기 내에서의 최초 기동절차를 나타낸 순서도이다.10 is a flowchart illustrating an initial startup procedure in a user terminal of a terminal agent according to the present invention.
도 11은 본 발명에 따른 보조기억매체의 내부사용 인증시 보조기억매체의 장치정보를 확인하여 해당 장치에 대한 연결 또는 차단을 수행하는 과정을 나타낸 순서도이다.11 is a flowchart illustrating a process of connecting or blocking a corresponding device by checking device information of the auxiliary storage medium when authenticating an internal use of the auxiliary memory medium according to the present invention.
도 12는 본 발명에 따른 보조기억매체의 내부사용 인증시 보조기억매체의 연결 허용 이후의 절차를 나타낸 순서도이다.12 is a flowchart illustrating a procedure after allowing connection of the auxiliary storage medium in the internal use authentication of the auxiliary storage medium according to the present invention.
Claims (83)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070116616A KR100975133B1 (en) | 2007-11-15 | 2007-11-15 | Security management system for portable memory devices and security management method using the same |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070116616A KR100975133B1 (en) | 2007-11-15 | 2007-11-15 | Security management system for portable memory devices and security management method using the same |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20090050266A KR20090050266A (en) | 2009-05-20 |
KR100975133B1 true KR100975133B1 (en) | 2010-08-11 |
Family
ID=40858757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070116616A KR100975133B1 (en) | 2007-11-15 | 2007-11-15 | Security management system for portable memory devices and security management method using the same |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100975133B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101314372B1 (en) * | 2013-03-13 | 2013-10-04 | 주식회사 베프스 | Authentication system of using security sd card and drive method of the same |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101041348B1 (en) * | 2008-10-31 | 2011-06-16 | 에스케이 텔레콤주식회사 | Mobile type storage medium, access authentication system and method thereof |
KR101500664B1 (en) * | 2013-03-29 | 2015-03-18 | 주식회사 케이티 | Method and system for providing secure connecting services of intranet using portable security memory |
KR101500687B1 (en) * | 2013-03-29 | 2015-03-09 | 주식회사 케이티 | Method and system for providing secure connecting services by deleting intranet connection log of portable security memory |
KR101460297B1 (en) * | 2013-04-11 | 2014-11-13 | 한국전자통신연구원 | Removable storage media control apparatus for preventing data leakage and method thereof |
KR102171720B1 (en) * | 2018-08-24 | 2020-10-29 | 주식회사 심플한 | Security system of flash memory and security setting method of flash memory thereof |
KR102295474B1 (en) * | 2020-02-13 | 2021-08-30 | 순천향대학교 산학협력단 | USB device and access control method having access control function to target device |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002312326A (en) | 2001-04-17 | 2002-10-25 | Smart Card Technologies:Kk | Multiple authentication method using electronic device with usb interface |
KR100426911B1 (en) | 2001-08-14 | 2004-04-13 | 아리온통신 주식회사 | The authentication method using USB key in WEB environment |
KR20050114293A (en) * | 2004-06-01 | 2005-12-06 | 에스케이 텔레콤주식회사 | Method and system for authenticating user using usb storage device |
KR20070016029A (en) * | 2005-08-02 | 2007-02-07 | 최성필 | Portable usb storage device for providing computer security function and method for operating the device |
-
2007
- 2007-11-15 KR KR1020070116616A patent/KR100975133B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002312326A (en) | 2001-04-17 | 2002-10-25 | Smart Card Technologies:Kk | Multiple authentication method using electronic device with usb interface |
KR100426911B1 (en) | 2001-08-14 | 2004-04-13 | 아리온통신 주식회사 | The authentication method using USB key in WEB environment |
KR20050114293A (en) * | 2004-06-01 | 2005-12-06 | 에스케이 텔레콤주식회사 | Method and system for authenticating user using usb storage device |
KR20070016029A (en) * | 2005-08-02 | 2007-02-07 | 최성필 | Portable usb storage device for providing computer security function and method for operating the device |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101314372B1 (en) * | 2013-03-13 | 2013-10-04 | 주식회사 베프스 | Authentication system of using security sd card and drive method of the same |
Also Published As
Publication number | Publication date |
---|---|
KR20090050266A (en) | 2009-05-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100975133B1 (en) | Security management system for portable memory devices and security management method using the same | |
JP4787263B2 (en) | Data management method for computer, program, and recording medium | |
JP6785967B2 (en) | Methods and systems to block phishing or ransomware attacks | |
US20080229041A1 (en) | Electrical Transmission System in Secret Environment Between Virtual Disks and Electrical Transmission Method Thereof | |
KR101705550B1 (en) | Method and software product for controlling application program which access secure saving area | |
US20100153716A1 (en) | System and method of managing files and mobile terminal device | |
JP4681053B2 (en) | Data management method for computer, program, and recording medium | |
CN102948114A (en) | Single-use authentication methods for accessing encrypted data | |
JP2005122474A (en) | Program and apparatus for preventing information leakage, and recording medium therefor | |
JP5048784B2 (en) | Access control system for file servers | |
CN101025714A (en) | Data processing device and data processing method | |
JP3735300B2 (en) | Information recording / reproducing system capable of restricting access and access restriction method thereof | |
CN109684866B (en) | Safe USB flash disk system supporting multi-user data protection | |
JP2008537191A (en) | Digital information storage system, digital information security system, digital information storage and provision method | |
JP2023503760A (en) | Ransomware or phishing attack blocking method and system | |
JP4044126B1 (en) | Information leakage prevention device, information leakage prevention program, information leakage prevention recording medium, and information leakage prevention system | |
JP5676145B2 (en) | Storage medium, information processing apparatus, and computer program | |
US20080034091A1 (en) | Portable computer accounts | |
KR20130079004A (en) | Mobile data loss prevention system and method for providing virtual security environment using file system virtualization on smart phone | |
KR100819382B1 (en) | Digital Information Storage System, Digital Information Security System, Method for Storing Digital Information and Method for Service Digital Information | |
KR20060058546A (en) | Method and apparatus for providing database encryption and access control | |
JP5310075B2 (en) | Log collection system, information processing apparatus, log collection method, and program | |
KR101552688B1 (en) | Security method and system at endpoint stage using user policy | |
KR100602180B1 (en) | Security management system and its method of Banking Auto-Machine using network | |
CN106951797A (en) | file locking method, device and terminal |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130725 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140710 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150804 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160801 Year of fee payment: 7 |
|
FPAY | Annual fee payment |
Payment date: 20170802 Year of fee payment: 8 |
|
FPAY | Annual fee payment |
Payment date: 20180806 Year of fee payment: 9 |
|
FPAY | Annual fee payment |
Payment date: 20190724 Year of fee payment: 10 |