KR101078546B1 - 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 - Google Patents

범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 Download PDF

Info

Publication number
KR101078546B1
KR101078546B1 KR1020110062149A KR20110062149A KR101078546B1 KR 101078546 B1 KR101078546 B1 KR 101078546B1 KR 1020110062149 A KR1020110062149 A KR 1020110062149A KR 20110062149 A KR20110062149 A KR 20110062149A KR 101078546 B1 KR101078546 B1 KR 101078546B1
Authority
KR
South Korea
Prior art keywords
storage device
suid
identification information
general purpose
data file
Prior art date
Application number
KR1020110062149A
Other languages
English (en)
Inventor
박주혁
Original Assignee
박주혁
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 박주혁 filed Critical 박주혁
Priority to KR1020110062149A priority Critical patent/KR101078546B1/ko
Application granted granted Critical
Publication of KR101078546B1 publication Critical patent/KR101078546B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 범용 저장장치의 고유 식별정보를 이용하여 전자 인증서를 암호화하고 상기 범용 저장장치를 갖는 단말기에서만 전자 인증서를 복호화하여 사용할 수 있게 함에 따라 개인키와 전자 인증서가 모두 유출되더라도 다른 단말기에서는 전자 인증서를 사용할 수 없게 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템에 관한 것이다.
또한, 본 발명은 전자 인증서에 접근을 시도하는 응용프로그램을 판단하고, 판단결과 접근이 허용되는 화이트 리스트에 해당하는 경우에만 전자 인증서에의 접근을 허용함으로써 불법적인 전자 인증서의 사용을 위한 접근 자체를 사용자가 인지하고 제어할 수 있도록 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템에 관한 것이다.

Description

범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템{Apparatus for coding and decoding of security data file based on data storage unit idedtification, system for electronic signature using the same}
본 발명은 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템에 관한 것으로, 더욱 상세하게는 보안 데이터 파일이 저장되는 범용 저장장치의 고유 식별정보를 이용하여 상기 보안 데이터 파일을 암호화하고 그에 따라 상기 범용 저장장치를 갖는 단말기에서만 보안 데이터 파일을 복호화하여 사용할 수 있게 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템에 관한 것이다.
보안 데이터 파일은 해커나 비인가자 등과 같이 허락되지 않은 자에게는 보안을 유지할 필요가 있는 것으로서 전자 인증서는 물론, 보안을 필요로 하는 일반 데이터 파일도 포함하다.
특히, 전자 인증서는 공인 인증서 등을 사용함에 있어서 사용자가 전자서명(Digital Signature)을 하는데 사용되는 전자적 정보로써, 비대칭 암호화 방식, 대칭(블록) 암호화 방식 및 해시(메시지 다이제스트) 등 여러 가지 보안 기술이 복합적으로 적용되나 그 핵심 기술은 비대칭 암호화 방식에 있다.
이에 따라, 사용자는 인증기관(CA: Certification Authority)과 공개키(Public Key)를 공유해야 하는 반면 개인키(Private Key, 혹은 '비밀키'라고도 함)는 본인만이 소유해야 하며, 아울러 이에 대한 기밀성이 보장되어야만 전자서명의 의미가 있다.
이러한 조건은 악의적인 공격자(Cracker, 보통은 해커를 의미함)가 키 로거(Key-logger, 사용자의 키보드 입력을 불법적으로 감지하여 패스워드를 알아낼 수 있는 악성 프로그램) 등을 이용하여 사용자가 전자 인증서에 서명하는 순간 개인키를 탈취하려는 시도의 근거가 된다.
최근에는 키 로거 이외에도 원격 제어, 화면 캡쳐 프로그램 및 사용자의 이메일을 해킹하여 악용하는 등 복합적인 공격 방법으로 개인키 및 전자 인증서의 탈취 시도가 있으며, 실제로 이러한 공격에 의하여 인터넷 뱅킹 사용자의 피해 사례가 매체에 보도된 바 있다.
이를 대비하여, 각 금융기관에서는 백신(악성코드) 프로그램, PC 방화벽, 키보드 보안 프로그램 및 화면 캡쳐 방지 프로그램 등을 비롯한 각종 보안 프로그램을 추가하는 추세이나, 이는 사용자 불편이 가중될 뿐 근본적인 보안 대책으로써는 부족하다 할 수 있다.
또한, 보안 토큰에 공인 인증서(전자 인증서의 일 예)를 보관하거나 실시간 생성되는 일회성 패스워드(OTP: One-Time Password)의 사용을 권고하고 있지만, 이 역시 사용자의 불편이 가중됨은 물론 추가적인 비용이 발생하여, 대부분의 사용자들은 아직도 하드 디스크 또는 USB 등과 같은 범용 저장장치에 전자 인증서를 보관하여 사용하고 있다.
한편, NPKI(National Public Key Infrastructure), GPKI(Government Public Key Infrastructure) 및 기타 파일 형태로 저장되는 모든 전자 인증서(ISP: 인터넷 안전결제 등)에서는 그 명세에 따라 전자 인증서가 범용 저장장치의 특정 위치에 파일의 형태로 존재하게 된다.
이러한 상황에서 만약 개인키에 대한 기밀성만 확실히 보장된다면 전자 인증서는 유출되어도 상관없고 기존 전자 인증서의 폐기 및 재발급이 용이하다는 특징이 있으며, 이러한 특징은 PKI 체계 안에서 현재의 보안 정책을 수립하는데 근간이 된다.
그러나, 전자상거래를 비롯한 각종의 전자서명 적용 기술분야에 있어서는 상기 PKI 체계의 효용성에도 불구하고 개인키에 대한 기밀성이 보장되어야 하는 것을 기본 조건으로 가짐에 따라, 실제로 그 조건을 충족하기 불가능하거나 사용자에게 개인키의 유출방지에 관한 과중한 책임을 전가한다는 평가를 받고 있다.
그러므로, 개인키가 유출된다고 하더라도 공격자가 전자 인증서를 사용할 수 없도록 하여 원천적인 차단이 가능하면서도, 더 나아가서는 불법적인 전자 인증서의 사용을 위한 접근 자체에 대하여 사용자가 인지하고 제어할 수 있도록 하는 방안이 필요한 실정이다.
본 발명은 전술한 바와 같은 문제점을 해결하기 위해 제안된 것으로, 범용 저장장치의 고유 식별정보를 이용하여 보안 데이터 파일을 암호화하고 상기 범용 저장장치를 갖는 단말기에서만 보안 데이터 파일을 복호화하여 사용할 수 있게 함에 따라 개인키와 보안 데이터 파일이 모두 유출되더라도 다른 단말기에서는 보안 데이터 파일을 사용할 수 없게 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템을 제공하고자 한다.
또한, 본 발명은 보안 데이터 파일에 접근을 시도하는 응용프로그램을 판단하고, 판단결과 접근이 허용되는 화이트 리스트에 해당하는 경우에만 상기 보안 데이터 파일에의 접근을 허용함으로써 불법적인 보안 데이터 파일의 사용을 위한 접근 자체를 사용자가 인지하고 제어할 수 있도록 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템을 제공하고자 한다.
이를 위해, 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치는, 상기 보안 데이터 파일이 저장되는 범용 저장장치와; 상기 범용 저장장치를 나타내는 정보를 이용하여 상기 범용 저장장치의 고유 식별정보(SUID: Storage Unique ID)를 추출하는 SUID 추출 모듈과; 사용자 식별정보와 상기 SUID 추출 모듈에서 추출한 범용 저장장치의 고유 식별정보를 조합하여 상기 보안 데이터 파일의 암호화를 위한 암호키를 생성하는 암호키 조합 모듈과; 상기 암호키 조합 모듈에서 조합한 암호키를 이용하여 상기 보안 데이터 파일을 암호화하는 암호화 모듈; 및 상기 SUID 추출 모듈에서 추출한 범용 저장장치의 고유 식별정보를 이용하여 상기 암호화 모듈에 의해 암호화된 보안 데이터 파일을 복호화하는 복호화 모듈;을 포함하는 것을 특징으로 한다.
이때, 상기 SUID 추출 모듈은 상기 범용 저장장치의 제조자 정의 시리얼 번호와, 전체 용량 정보와, 헤드(head)의 갯수 정보와, 실린더(cylinder)의 갯수 정보와, 섹터(sector)의 갯수 정보와, 논리 드라이브의 볼륨 시리얼 번호와, GUID(Globally Unique ID) 혹은 UUID(Universally Unique ID) 중 어느 하나 이상을 이용하여 상기 범용 저장장치의 고유 식별정보를 추출하는 것이 바람직하다.
또한, SUID 추출 모듈은 상기 추출된 범용 저장장치의 식별정보를 암호화하는 것이 바람직하다.
또한, SUID 추출 모듈은 적어도 하나 이상의 상기 추출된 범용 저장장치의 정보를 하나의 문자열로 변환한 후 메시지 다이제스트(message digest)를 생성하여 상기 범용 저장장치의 고유 식별정보로 사용하거나, 또는 적어도 하나 이상의 상기 추출된 범용 저장장치의 정보를 각각 문자열로 변환하여 각각 메시지 다이제스트를 생성하고, 상기 생성된 각각의 메시지 다이제스트를 합하여 상기 범용 저장장치의 고유 식별정보로 사용하는 것이 바람직하다.
또한, 상기 암호키 조합 모듈은 상기 사용자의 식별정보와 범용 저장장치의 고유 식별정보를 조합하고 암호화하여 상기 암호키를 생성하는 것이 바람직하다.
또한, 상기 암호키 조합 모듈은 상기 범용 저장장치가 설치된 단말기의 시스템 정보를 추가로 합산하여 상기 암호키를 생성하는 것이 바람직하다.
또한, 상기 시스템 정보는 상기 단말기의 메인 보드 시리얼 번호, 상기 단말기의 프로세스 시리얼 번호 및 상기 단말기에 구비된 네트워크 어댑터의 물리 네트워크 주소(MAC Address) 중 어느 하나 이상인 것이 바람직하다.
또한, 상기 보안 데이터 파일를 사용하기 위해서 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 리스트(White List)가 저장되어 있는 단말 프로세스 식별정보 DB와; 상기 보안 데이터 파일를 사용하기 위해 접속중인 응용프로그램의 종류를 식별하는 프로세스 식별모듈; 및 상기 프로세스 식별모듈에 의해 식별된 응용프로그램이 상기 단말 프로세스 식별정보 DB에 저장된 것인지의 여부에 따라 상기 보안 데이터 파일에의 접근을 제어하는 파일 시스템 접근제어 모듈;을 더 포함하는 것이 바람직하다.
한편, 본 발명에 따른 전자 서명 시스템은 이상과 같은 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기 및 상기 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기로부터 전송된 전자서명이 서명자에 의해 올바르게 이루어진 것인지를 인증하는 전자서명 인증서버를 포함하는 것을 특징으로 한다.
이때, SUID 정보 서버를 더 포함하되, 상기 SUID 정보 서버에는 상기 범용 저장장치의 고유 식별정보가 저장되어 있어서, 상기 SUID 정보 서버에 저장된 범용 저장장치의 고유 식별정보와 전자서명시 사용자의 단말기 측에서 전송한 SUID를 비교하여 사용자를 인증하는 것이 바람직하다.
또한, 프로세스 식별정보 서버를 포함하되, 상기 프로세스 식별정보 서버에는 상기 보안 데이터 파일에 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 리스트(White List)가 저장되어 있어서 사용자의 단말기의 화이트 리스트를 업데이트하는 것이 바람직하다.
이상과 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템은 범용 저장장치의 고유 식별정보를 이용하여 보안 데이터 파일을 암호화하고 상기 범용 저장장치를 갖는 단말기에서만 보안 데이터 파일를 복호화하여 사용할 수 있게 한다.
따라서, 공격자(혹은, 비 인가자 등)는 보안 데이터 파일과, 전자서명용 개인키 뿐만 아니라, 범용 저장장치의 고유 식별정보(SUID)를 이용한 보안 데이터 파일 암호키와, SUID 추출 모듈, 암호키 조합기 및 암/복호화 모듈을 크랙(crack)하거나 무력화시켜야 하는 등 훨씬 더 어렵고 복잡한 과정을 거쳐야 공격할 수 있으므로 기밀성을 향상시킬 수 있게 한다.
또한, 본 발명은 보안 데이터 파일에 접근을 시도하는 응용프로그램을 판단하고, 판단결과 접근이 허용되는 화이트 리스트에 해당하는 경우에만 상기 보안 데이터 파일로의 접근을 허용하므로, 불법적인 보안 데이터 파일의 사용을 위한 접근 자체를 사용자가 인지하고 제어할 수 있게 한다.
도 1은 본 발명에 따른 전자 서명 시스템을 개략적으로 나타낸 도이다.
도 2는 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템을 나타낸 블록도이다.
도 3은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치의 인증서 접근 프로세스를 나타낸 도이다.
도 4는 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서 암호화 단계를 나타낸 순서도이다.
도 5는 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서 접근 제어 단계를 나타낸 순서도이다.
도 6은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서 복호화 단계를 나타낸 순서도이다.
도 7은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서의 수동 제어 단계를 나타낸 순서도이다.
도 8은 본 발명에 따른 전자 서명 시스템에서의 전자서명 인증 단계를 나타낸 순서도이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템에 대해 상세히 설명한다.
다만, 이하에서는 보안이 필요한 보안 데이터 파일의 일 예로서 전자 인증서를 일 예로 들어 설명하나, 본 발명은 이에 한정되는 것이 아니고, 그 외 보안이 필요하다면 워드 문서 등과 같은 일반 데이터 파일에도 실질적으로 동일하게 적용 가능함은 자명할 것이다. 즉, 일반 데이터 파일도 암호키를 이용하여 암호화할 필요성이 있고, 암호화할 수도 있으므로 이러한 일반 데이터 파일에도 본 발명이 적용될 수 있는 것이다.
또한, 발명의 설명을 위해 선택한 단어의 표현에도 불구하고, 본 발명이 적용되는 전자 인증서는 공인 인증 체계(NPKI: National Public Key Infrastructure) 및 행정 전자서명 인증 관리 체계(GPKI: Government Public Key Infrastructure)에 적용되는 것을 포함한다.
물론, 그 이외에도 국방 전자서명 체계(MPKI: Military Public Key Infra-structure), 교육기관 전자서명 인증 체계(EPKI: Education Public Key Infra-structure) 및 사설 인증서(ISP: 인터넷 안전결제 등) 등을 비롯하여 기타 파일 형태로 저장되는 모든 전자인증서를 포함하는 것임은 자명할 것이다.
또한, 본 발명에서 전자 인증서를 이용하여 전자서명(Digital Signature)을 하는 대상은 전자문서, 공인 인증서 및 정보 파일을 비롯하여 그 외 전자서명이 사용되는 전자적 정보를 모두 포함하는 것임은 자명할 것이며, 아울러 전자서명 이외의 목적으로 사용되는 전자 인증서에도 본 발명이 적용됨은 자명할 것이다.
이하, 보안이 요청되는 보안 데이터 파일의 하나로서 『전자 인증서』를 예로 들어 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치에 대해 설명한다.
이러한 본 발명에 대해 상세한 설명을 하기 이전에 먼저 아래에서 사용될 공개키(Public Key), 개인키(Private Key, 혹은 '비밀키'라고도 함), 범용저장장치의 고유 식별정보, 사용자 식별정보 및 암호키의 개념을 구분한다.
공개키는 사용자와 인증기관 등이 함께 공유하는 것이고, 개인키는 사용자 본인만 소유하는 것이며, 범용 저장장치의 고유 식별정보는 보안 데이터 파일이 저장되어 있는 기록장치를 나타내는 고유의 정보이다.
또한, 사용자 식별정보는 패스워드나 입력패턴(스마트 폰 등에서 패스워드 입력 대신 손가락으로 특정 패턴을 드래그 하는 방식) 등을 의미하는 것으로 상기 범용 저장장치의 고유 식별정보와 함께 암호키를 생성하는 것이며, 암호키는 범용 저장장치에 저장된 보안 데이터 파일 즉 전자 인증서를 암호화하는데 사용된다.
예컨대, 개인키와 공개키를 이용하여 전자서명에 사용되는 전자 인증서를 발급받은 후, 전자서명시 사용자(서명자) 인증을 위해 공개키는 사용자와 인증기관이 서로 공유하고, 개인키는 사용자만이 전자서명을 할 수 있도록 본인만 소유한다.
따라서, 사용자는 개인키와 전자 인증서를 이용하여 전자서명을 하며, 이때 사용자 식별정보와 범용 저장장치의 고유 식별정보에 따른 암호키를 기반으로 전자 인증서가 암호화되어 있어서, 상기 전자 인증서가 저장되어 있는 범용 저장장치가 설치된 단말기에서만 복호화하여 전자서명을 가능하게 한다.
한편, 도 1을 통해 알 수 있는 바와 같이, 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치는, 컴퓨터는 물론 스마트 폰과 같은 각종 이동통신단말기를 비롯하여 전자 인증서를 이용하여 전자서명을 하고 온라인 상으로 서명자(즉, 사용자)를 확인받는 단말기(100, 이하 도면 부호 생략)에 설치된다.
그리고, 이러한 단말기는 인터넷 등을 통해 유무선으로 전자서명 인증서버(200)와 연결되어 있어서 해당 전자서명 인증서버(200)로부터 일반적인 경우와 마찬가지로 전자서명을 인증받으며, 필요에 따라서는 인증시 SUID 정보 서버(210)와 프로세스 식별정보 서버(220)에 저장된 SUID 및 전자 인증서에 접근중인 프로세서의 정보를 이용하기도 한다.
특히, 본 발명은 이상과 같은 구성에 있어서, 단말기에 구비(혹은, 외장형으로 조립)되어 있으며 전자 인증서가 저장된 '범용 저장장치의 고유 식별정보'(이하, 'SUID: Storage Unique ID'라 함)를 이용하여 보안 데이터 파일에 해당하는 전자 인증서를 암호화하고, 그와 마찬가지로 암호화시 사용된 것과 동일한 범용 저장장치(110)를 갖는 단말기에서만 전자 인증서를 다시 복호화하여 사용할 수 있게 한다.
따라서, 개인키와 전자 인증서가 모두 유출되더라도, 종래와는 다르게 공격자(비 인가자 등을 포함)가 SUID를 이용한 전자 인증서용 암호키와, SUID 추출 모듈(도 2의 123 참조), 암호키 조합 모듈(도 2의 124) 및 암/복호화 모듈(도 2의 125, 125a 참조)을 크랙(crack)하거나 무력화시키지 못하면 암호화된 전자 인증서 자체를 사용할 수 없게 되므로, 기밀성을 월등히 향상시킬 수 있게 한다.
또한, 전자 인증서에 접근을 시도하는 프로세스(즉, 응용프로그램)를 판단하고, 판단결과 접근이 허용되는 화이트 리스트(White List)에 해당하는 프로세스에 대서만 전자 인증서에의 접근을 허용함으로써 불법적인 전자 인증서의 사용을 위한 접근 자체를 사용자가 인지하고 제어할 수 있게 한다.
이를 위해, 도 2에 도시된 바와 같이, 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치는, 전자 인증서가 저장되어 있는 범용 저장장치(110)를 갖는 단말기에서만 상기 전자 인증서를 사용할 수 있는 수단으로써, 범용 저장장치(110)와, 에이전트 모듈(agent module)(121)과, 사용자 식별모듈(122)과, SUID 추출 모듈(123)과, 암호키 조합 모듈(124)과, 암호화 모듈(125) 및 복호화 모듈(125a)을 포함한다. 도시된 바와 같이 상기 암호화 모듈(125)과 복호화 모듈(125a)은 보통 일체로 구비된다.
아울러, 필요에 따라서는 상기 SUID 추출 모듈(123)은 전자 인증서가 저장되는 범용 저장장치(110) 이외에 단말기의 마더보드, CPU 혹은 네트워크 어댑터의 고유 식별정보와 같은 시스템 정보를 추출할 수 있고, 상기 암호키 조합 모듈(124)은 이러한 단말기의 시스템 정보를 추가로 조합하여 암호키를 생성할 수도 있다.
또한, 본 발명은 전자 인증서에 접근을 시도하는 응용프로그램을 판단하고, 판단결과 접근이 허용되는 화이트 리스트에 해당하는 경우에만 전자 인증서에의 접근이 허용될 수 있게 하는 수단으로써, 프로세스 식별정보 DB(Data Base)(130)와, 프로세스 식별모듈(131)과, 파일 시스템 접근제어 모듈(132) 및 전자 인증서 접근시도 프로세서(133)를 포함한다.
더 나아가, 이상과 같은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용하여 전자서명 절차를 수행하는 전자 서명 시스템을 구성하는 경우에는, 전자서명 인증서버(200)와, SUID 정보 서버(210) 및 프로세스 식별정보 서버(220)를 더 포함한다.
전자서명 인증서버(200)는 전자서명에 포함된 정보를 이용하여 일반적인 인증 절차를 수행하는 것으로 종래와 큰 차이가 없다. 다만, 이하에서 좀더 상세히 설명하는 바와 같이 SUID 정보 서버(210) 및 프로세스 식별정보 서버(220)와 연동하면 인증절차를 좀더 강화할 수 있다.
좀더 구체적으로 설명하면, 범용 저장장치(110)는 인증기관(CA: Certification Authority)으로부터 발급받은 전자 인증서(즉, 보안 데이터 파일)를 저장하는 전자적 기록매체로서, 하드디스크, 단말기 내부 메모리, USB 메모리 및 SD 카드를 비롯하여 전자 인증서를 저장할 수 있으면 어떠한 전자적 기록매체도 사용될 수 있으며, 전자 인증서가 저장될 범용 저장장치(110)는 일반적으로 사용자에 의해 선택된다.
범용 저장장치(110)에 저장되는 전자 인증서는 일 예로 X.509 표준을 따르는 *.CER(암호화된 인증서, 복수의 인증서도 가능), *.DER(암호화된 인증서), *.PEM(Base 64로 암호화된 인증서), *.P7B(P7C 참조), *.P7C(PKCS#7, 자료를 제외한 서명 자료 구조, 인증서이거나 CRL: Certificate Revocation List), *.PFX(P12 참조), *.P12(PKCS#12, PFX가 발전된 형태로서 하나의 파일에서 공개/개인 자료를 교환시 사용)를 비롯한 다양한 파일을 포함한다.
이러한 전자 인증서는 일 예로 PKI 체계에서는 X.509 표준에서 정의한 공개키 인증서 규격을 따르도록 되어있으며, 전자 인증서에는 버전, 인증서 일련번호, 인증서 유효기간, 발급기관 명칭, 가입자(즉, 사용자)의 전자서명 검증정보, 가입자 이름 및 신원확인정보(주민등록번호나 주소 등), 전자서명 방식 개인 신원정보 및 인증기관이나 서명 수신자와 공유되는 공개키 정보 등이 포함되어 있으며, 최초 발급받은 후 NPKI 및 GPKI 등의 명세에 따라 파일의 형태로 특정 범용 저장장치(110)의 특정 위치에 저장된다.
그리고, SUID를 이용한 암호키에 의해 상기 전자 인증서(이하, '원본 전자 인증서'라 함)가 암호화된 후에는 암호화된 전자 인증서만 남겨두고 암호화되기 이전의 최초 발급된 원본 전자 인증서는 범용 저장장치(110)에서 영구히 삭제된다. 원본 전자 인증서는 암호화되어 있지 않기 때문에 유출 혹은 해킹시 악용될 여지가 있으므로 영구히 삭제하는 것이 바람직하기 때문이다.
에이전트 모듈(121)은 전자 인증서에의 접근이나 처리상황 등을 위한 사용자 인터페이스(예, GUI: Graphic User Interface)를 제공하고, 사용자 패스워드 및 전자 인증서에의 접근 제어 정책 등을 비롯한 다양한 명령을 입력받으며, 전자서명 인증서버(200)와의 통신 인터페이스를 구성하기도 한다.
사용자 식별모듈(122)은 전자 인증서에 접근하는 사용자가 정상적인 사용자인지의 여부를 판단하는 것으로, 사용자 키(140) 및 에이전트 모듈(121)을 통해 사용자로부터 필요한 정보를 입력받아서 그 입력된 사용자 식별정보를 전자 인증서를 암호화하는데 적용시킨다. 즉, 전자 인증서의 암호키 생성시 SUID 이외에 사용자 식별정보도 함께 사용한다.
사용자 식별정보로는 상술한 바와 같이 사용자의 패스워드나 입력패턴 등이 있으며, 이때 입력패턴은 스마트 폰 등에서 패스워드 입력 대신 손가락으로 특정 패턴을 드래그(drag) 하여 입력받은 것을 의미한다.
물론, 필요에 따라서는 성명(혹은 아이디)이나 주민등록번호 등도 사용될 수 있으며, 사용자 식별모듈(122)은 이러한 정보를 이용하여 정상적인 사용자인지를 판단하고, 전자서명 인증서버(200)에서는 전자서명 개인키를 이용하여 서명자를 확인하고 서명자가 당해 전자문서 등에 서명을 하였음을 확인할 수 있게 한다.
이때, 정상적인 사용자인 경우에는 사용자 식별정보를 암호키 조합 모듈(124)로 전달하여 SUID와 함께 암호키를 생성하도록 하고, SUID 및 사용자 식별정보를 이용하여 생성한 암호키로 전자 인증서를 암호화하거나 복호화한다.
SUID 추출 모듈(123)은 이상과 같이 전자 인증서가 저장되어 있는 SUID를 추출하는 것으로, 범용 저장장치(110)를 나타내는 적어도 하나 이상의 정보를 이용하여 SUID를 추출하고 이를 일련의 규칙에 따라 특정의 암호키 길이(예: 128비트, 192비트 또는 256비트)와 동일한 바이트 열(byte array) 형식으로 조합하여 암호키 조합 모듈(124)에 제공한다. 따라서, 암호키 조합 모듈(124)에서 SUID를 기반으로 전자 인증서를 암호화할 수 있게 한다.
예컨대, 범용 저장장치(110)의 제조자 정의 시리얼 번호와, 전체 용량과, 헤드(head)의 갯수와, 실린더(cylinder)의 갯수와, 섹터(sector)의 갯수 및 논리 드라이브의 볼륨 시리얼 번호 중 어느 하나 이상을 조합하여 이를 SUID로 사용한다. 볼륨 시리얼 번호는 FAT, FAT32, NTFS 등의 파일 시스템으로 포맷 시 사용자 시스템 기준으로 해당 드라이브에 유일하게 할당되는 정보를 의미한다.
물론, 전자 인증서가 저장되어 있는 범용 저장장치(110)를 식별할 수 있는 유일한 정보라면 그 외 다른 정보도 사용 가능하며, 특히 OSF(Open Software Foundation)에서 제정한 표준으로서 소프트웨어적으로 구현가능한 GUID(Globally Unique ID) 혹은 UUID(Universally Unique ID) 등을 범용 저장장치(110)의 특정 부분(즉, 포맷 후 파일 시스템으로 사용되지 않는 저장장치의 남는 부분)에 삽입함으로써 식별 목적으로 사용될 수 있다.
다만, 상기 전체 용량과, 헤드의 갯수와, 실린더의 갯수 및 섹터의 갯수 등을 각각 단독으로 사용하면 다른 범용 저장장치(110)와 일치하는 경우가 발생할 수 있으므로, 이러한 경우에는 가급적 제조자 정의 시리얼 번호나 논리 드라이브의 볼륨 시리얼 번호 등과 함께 사용하는 것이 바람직할 것이다.
또한, SUID 추출 모듈(123)은 상기 추출된 SUID 자체를 정해진 규칙에 따라 암호화(예: 해쉬 함수의 특성을 해치지 않는 범위 내에서 일련의 순서를 뒤바꾸는 인코딩 등)함으로써 범용 저장장치(110)의 고유 정보를 이용한 공격자가 암호키를 생성하기에 더욱 어렵도록 하여 추가적으로 기밀성을 향상시키도록 한다.
SUID 자체의 암호화는 SUID 추출 모듈(123)에서 상기 추출한 범용 저장장치(110)의 정보 모두를 조합하여 하나의 문자열로 변환한 후 메시지 다이제스트(message digest)를 생성하여 SUID로 사용하거나, 또는 추출한 범용 저장장치(110)의 정보를 각각 문자열로 변환하여 각각 메시지 다이제스트를 생성하고, 상기 생성된 각각의 메시지 다이제스트를 합하여 SUID로 사용하는 방법이 사용될 수 있다.
여기서, 메시지 다이제스트는 임의 길이의 메시지를 단방향 해시 함수(hash function)로 반복 적용하여 축약된 일정한 길이의 비트열로 만들어 표현한 것으로, 메시지(또는 문서나 문장)마다 단 하나의 메시지 다이제스트가 산출되고, 서로 다른 문서에서 같은 메시지 다이제스트가 산출될 수 없도록 함으로써 원문의 변조 여부를 확인할 수 있는 일종의 체크섬(checksum) 역할을 하는 것이다. 메시지 다이제스트 그 자체는 이미 공지된 것이므로 이하 좀더 상세한 설명은 생략한다.
또한, SUID 추출 모듈(123)은 단말기의 메인 보드, CPU(central process unit) 혹은 네트워크 어댑터의 고유 식별정보와 같은 단말기 시스템 정보 역시 추출하여 SUID와 함께 암호키 생성에 사용함으로써 전자 인증서의 기밀성을 더욱 보장할 수 있다.
시스템 정보로는 단말기 메인 보드의 시리얼 번호, 단말기 프로세스(CPU)의 시리얼 번호 및 단말기에 구비된 네트워크 어댑터의 물리 네트워크 주소(MAC Address) 등이 사용될 수 있다.
즉, 시스템 정보는 SUID와 같이 전자 인증서를 저장하는데 사용하는 범용 저장장치(110)의 고유한 식별정보는 아니지만, SUID에 더해 시스템 정보 역시 추출하여 암호키 조합 모듈(124)에 제공하면, 암호키 조합 모듈(124)에서 SUID와 시스템 정보 모두를 이용하여 암호키를 생성할 수 있도록 함으로써 전자 인증서의 기밀성을 더욱 향상시킬 수 있게 한다.
이상과 같이 전자 인증서를 암호화함으로써 기밀성을 향상시킬 수 있는데, 이때 SUID를 암호화에 사용하면 당해 범용 저장장치가 존재하는 곳에서만 전자 인증서를 복호화하여 사용할 수 있어서 기밀성 향상 효과를 더욱 높임은 물론, 사용자 소유의 범용 저장장치를 다른 단밀기에 옮겨 설치하더라도 계속하여 전자 인증서를 이용한 전자서명을 가능하게 하므로 이동성도 보장할 수 있게 한다.
암호키 조합 모듈(124)은 상술한 사용자 식별모듈(122)로부터 사용자 식별정보를 입력받고, SUID 추출 모듈(123)로부터 SUID를 입력받아서 이들 사용자 식별정보(사용자가 입력한 패스워드나 사용자 식별에 사용되는 전자적 정보 등)와 SUID를 조합(병합)하여 암호키를 생성한다. 필요시 SUID 추출 모듈(123)로부터 시스템 정보 역시 입력받아 암호키 생성에 함께 사용하기도 한다.
따라서, 암호키 조합 모듈(124)에서 생성한 암호키를 암호화 모듈(125) 및 복호화 모듈(125a)에 제공하면, 전자 인증서의 암호화시에는 암호화 모듈(125)에서 암호키를 이용하여 전자 인증서를 암호화하여 기밀성을 보장하도록 하고, 암호화된 전자 인증서의 복호화시에는 복호화 모듈(125a)에서 전자 인증서를 복호화하여 사용자가 전자서명에 사용할 수 있게 한다.
다만, 암호키 조합 모듈(124)은 사용자의 식별정보와 SUID를 조합하는 방식 자체를 암호화하거나, 혹은 사용자의 식별정보와 SUID를 조합한 후 이를 암호화하여 암호키를 생성함으로써 더욱더 전자 인증서의 기밀성을 높이는 것이 바람직하다. 이때 암호키 조합 모듈(124)은 범용 저장장치(110)가 설치된 단말기의 시스템 정보를 추가로 합산하여 암호키를 생성할 수 있음은 이미 위에서 설명한 바와 같다.
암호화 모듈(125)은 암호키 조합 모듈(124)에서 생성한 암호키를 입력받아 이를 이용하여 범용 저장장치(110)에 저장되어 있는 '원본 전자 인증서'(즉, 인증기관으로부터 발급받은 것으로서 암호키를 이용하여 암호화하기 이전의 원본)를 암호화한다.
암호화 방식은 한국기술표준원에서 제정한 ARIA이나, ISO/IEC 국제블록암호 알고리즘의 표준으로 제정된 SEED는 물론, 그외 Camellia 및 AES 등도 사용될 수 있다. 이러한 암호화 방식은 아래에서 설명하는 복호화 방식에도 그대로 적용된다.
그리고, 복호화 모듈(125a)은 암호키 조합 모듈(124)에서 생성한 암호키를 입력받아 암호화된 전자 인증서를 복호화함으로써 일 예로 X.509 표준(혹은 명세)에 맞는 평문의 전자 인증서로 전자서명을 할 수 있게 한다. 도시된 바와 같이 암호화 모듈(125)과 복호화 모듈(125a)은 보통 일체로 구비된다.
암호화 모듈(125)을 이용하여 원본 전자 인증서를 암호화하면 그 암호화된 전자 인증서를 다시 해당 범용 저장장치(110)에 저장하고, 만약 원본 전자 인증서를 복사하여 복사된 전자 인증서를 암호화한 경우라면 원본 전자 인증서는 영구 삭제한다.
상술한 바와 같이 암호화되지 않은 원본 전자 인증서가 계속해서 범용 저장장치(110)에 존재하면 유출 혹은 해킹시 악용될 여지가 있으므로 영구히 삭제하는 것이 바람직하기 때문이다.
이상과 같이 암호화 모듈(125)에서 전자 인증서가 저장된 범용 저장장치(110)를 기반으로 한 암호키를 이용하여 전자 인증서를 암호화하면 개인키, 공인키 및 전자 인증서가 모두 유출된 최악의 경우라 하더라도, 종래와는 다르게 공격자(비 인가자 등을 포함)가 SUID를 이용한 전자 인증서 암호키와, SUID 추출 모듈(123), 암호키 조합기 및 암/복호화 모듈(125a)을 크랙(crack)하거나 무력화시키지 못하면 암호화된 전자 인증서 자체를 사용할 수 없게 되므로, 기밀성을 월등히 향상시킬 수 있게 한다.
즉, 전자 인증서는 일 예로 X.509 표준(혹은 명세)에 따라 발급되는데, 이때 범용 저장장치(110)를 기반으로 한 암호키를 이용하여 전자 인증서를 암호화하면 인증서 규격에 맞지 않게 되어 이러한 암호화된 전자 인증서와 개인키를 이용하여 전자서명을 할 수 없으므로, 개인키와 암호화된 전자 인증서가 유출되더라도 여전히 사용자(서명자)의 기밀성을 계속해서 유지할 수 있게 한다.
뿐만 아니라, 전자 인증서는 당해 전자 인증서가 저장되어 있는 범용 저장장치(110)를 기반으로 한 암호키에 의해 암호화되어 있으므로, 범용 저장장치(110)로서 탈부착이 자유로운 이동형(혹은, 외장형) 저장장치를 사용하는 경우에는 다른 단말기에 설치하더라도 계속해서 전자서명을 사용할 수 있으므로 전자 인증서 사용의 이동성 역시 보장할 수 있게 한다.
나아가, 본 발명은 이상과 같이 전자 인증서가 저장된 범용 저장장치(110)를 기반으로 하여 전자 인증서를 암호화함으로써 기밀성을 보장하는 것 이외에, 공격자나 비 인가자가 허용되지 않은 응용프로그램을 통해 암호화된 전자 인증서에 접근하는 것 자체를 방지함으로써 기밀성을 더욱더 보장할 수 있게 한다.
즉, 본 발명은 범용 저장장치(110)를 기반으로 한 암호키 이외에 전자 인증서에 접근(혹은, 전자 인증서의 입출력)을 시도하는 응용프로그램을 판단하고, 판단결과 접근이 허용되는 화이트 리스트(White List)에 해당하는 경우에만 범용 저장장치(110) 내에 저장된 전자 인증서에의 접근을 허용함으로써 불법적인 전자 인증서의 사용을 위한 접근 자체를 사용자가 인지하고 제어할 수 있게 한다.
이를 위해, 본 발명은 전자 인증서를 사용하기 위해서 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 화이트 리스트가 저장되어 있는 단말 프로세스 식별정보 DB(130)와, 전자 인증서에 접근을 시도하는 응용프로그램의 종류를 식별하는 프로세스 식별모듈(131) 및 상기 프로세스 식별모듈(131)에 의해 식별된 응용프로그램이 단말 프로세스 식별정보 DB(130)에 저장된 것인지의 여부에 따라 전자 인증서에의 접근을 제어하는 파일 시스템 접근제어 모듈(132)을 포함한다.
또한, 파일 시스템 접근제어 모듈(132)의 결과에 따라 범용 저장장치(110)에 저장된 전자 인증서에의 접근제어 프로세스를 처리하는 전자 인증서 접근시도 프로세서(133)를 구비한다. 다만, 전자 인증서 접근시도 프로세서(133)는 별도로 독립하여 구비될 수도 있지만 파일 시스템 접근제어 모듈(132)과 일체로 구비될 수도 있다.
응용프로그램(프로세스)은 전자 인증서에 접근하기 위해 실행 상태에 있는 것으로 일 예로 Windows™ OS의 경우에는 작업 관리자에서 확인할 수 있도록 지원하고 있으며, 실행파일 형태로 존재하고 특정 경로에 설치된다.
또한, 최근에는 보안상의 이유로 실행 파일이라면 코드 사이닝(code signing)이 되어 있어야만 사용자 시스템 변경(프로그램 설치/제거/레지스트리 변경 등)이 용이하며, 여기에는 프로그램 제조사의 정보가 포함되어 있다.
사용자는 프로그램 제조사의 정보를 바탕으로 신뢰할 수 있는 응용프로그램인지의 여부를 판단할 수 있으며, 일 예로 Windows Vista™부터는 사용자 계정 컨트롤(UAC: User Account Control) 이라는 것으로 사용자가 응용프로그램을 실행시키거나 실행시키지 않도록 제어하는 것을 지원하고 있다. 아울러, 응용프로그램은 파일 형태로 존재하는 것이므로 여기에서 해시(hash) 값을 추출할 수 있다.
따라서, 이상과 같은 정보들을 이용하면 전자 인증서에 접근하려는 응용프로그램이 올바른 것인지의 판단결과에 따라 그 접근을 정책적으로 허용할 수 있으며, 이러한 접근 방식은 백신 프로그램에서 기본적으로 사용하고 있는 악성 프로그램 판별 방법과 유사하다.
즉, 백신 프로그램의 경우에는 악성 프로그램에 대한 DB(보통은 'Signature'라고 함)를 가지고 있으며, 응용프로그램이 실행(혹은, 프로세스가 생성)되려고 할 때 알려진 악성 프로그램인지의 여부를 확인하고 제어하는 것과 유사하다.
다만, 백신 프로그램에서는 방대한 양의 악성 프로그램 리스트를 갖고 있으며 이를 블랙 리스트(black list)라 부르는데, 블랙 리스트를 사용하면 가끔씩 발생하는 오진이라는 문제와 백신 프로그램에 따른 검진률 및 성능의 차이를 가져옴에 비해, 본 발명은 블랙 리스트와는 반대 개념인 화이트 리스트를 사용하여 이러한 문제점을 해결한다.
본 발명에서 화이트 리스트를 사용할 수 있는 것은 전자 인증서에 접근하는 응용프로그램의 수가 백신 프로그램에서의 블랙 리스트에 비해 매우 한정적이기 때문이다.
예컨대, 인터넷 뱅킹(internet banking)을 사용하는 경우에는 각 금융사에서 제공하며 웹 서버와 주고 받는 데이터를 암/복호화하거나 공인 인증서를 관리하는 보안 솔루션(보통 'PKI 솔루션'이라 함)만 공인 인증서(즉, 전자 인증서)에 접근하면 되고, 이러한 보안 솔루션은 화이트 리스트에 저장되어 있다.
즉, '소프트 포럼'사에서 제공하는 Client Session Manager의 실행파일 ClientSM.exe의 설치경로는 C:/Program Files/SoftForum/XecureWeb/ActiveX이고 설치원인은 http://www.wooribank.com에 접속인 경우, 도 3a와 같이 XecureWeb Client가 실행되고, 도 3b와 같이 XecureWeb Client의 인증서 관리자 기능 및 제품 정보 기능을 제공하고, 도 3c와 같이 ClientSM.exe 실행 파일의 위치 및 정보를 알 수 있으며, 도 3d와 같이 ClientSM.exe 실행 파일의 코드 사이닝 정보를 알 수 있으므로, 이상에서와 같이 파일 시스템을 화이트 리스트 기반으로 접근 제어할 수 있게 된다.
이러한 파일 시스템 접근 제어 정책은 어떤 프로세스(응용프로그램)가 전자 인증서에 접근을 시도하는지 감지하고, 이때 접근 제어 정책에 따라 해당 프로세스의 입출력 요청을 허용 또는 차단함으로써, 전자 인증서의 암호화에 따른 기밀성 이외에, 무결성(비 인가자에 의한 정보의 변경, 삭제 및 생성 등을 방지하고 정확성 및 완전성을 보장)과 가용성(인가된 사용자가 요구하는 정보, 시스템 및 자원의 접근이 적시에 제공)을 추가로 제공할 수 있게 한다.
전자 인증서에의 접근을 제어하는 정책으로는 사용자가 접근을 시도하는 프로세스를 직접 확인하여 암호화된 전자 인증서의 사용 여부를 직접 결정하거나, 프로세스의 적합성을 자동으로 식별하여 접근 여부를 자동으로 결정하고 사용자에게 제공하거나, 혹은 허용된 프로세스만이 복호화를 마친 평문의 전자 인증서를 읽을 수 있도록 하는 등 다양한 정책이 사용가능하다.
다만, 이상과 같은 파일 시스템 접근 제어는 단말기 운영체게 및 사용자 시스템 특성(예: 스마트 폰 등과 같은 모바일 OS)에 따라 지원이 안될 수도 있다는 단점은 있다.
한편, 본 발명에 따른 전자 서명 시스템은 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기(100) 및 상기 범용 저장장치(110)의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기로부터 전송된 전자서명이 서명자에 의해 올바르게 이루어진 것인지를 인증하는 전자서명 인증서버(200)를 포함한다.
즉, 본 발명은 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기(100)가 일 예로 공개키 기반 시스템(PKI: Public Key Infrastructure)과 연동하여 전자 인증 절차를 수행할 수 있도록 함으로써 기본적으로는 사용자와 전자서명 인증서버(200)가 공통으로 갖고 있는 공개키 는 물론, 그 외 사용자 식별정보 등을 이용하여 전자서명의 정당성을 판단한다.
이때, 본 발명은 SUID 정보 서버(210)를 더 포함하는데, SUID 정보 서버(210)에는 SUID가 저장되어 있어서, SUID 정보 서버(210)에 저장된 SUID와 전자서명시 사용자 단말기 측에서 전송한 SUID를 비교하여 사용자를 인증할 수 있게 한다.
따라서, 기본적으로는 SUID를 이용하여 전자 인증서를 암호화하기 때문에 전자 인증서가 저장되어 있는 범용 저장장치(110)를 갖지 않는 다른 단말기에서는 전자 인증서를 이용하여 전자서명을 할 수 없지만, 그에 더해 SUID 정보 서버(210)에서 SUID를 추가로 비교함으로써 더욱더 기밀성을 보장할 수 있게 한다.
SUID는 SUID 추출 모듈(123)을 통해 추출된 것을 에이전트 모듈(121)을 통해 SUID 정보 서버(210)로 전송함으로써 해당 SUID 정보 서버(210)에 기록되고, 이와 같이 SUID 정보 서버(210)에 저장된 SUID를 단말기에서 전송한 SUID와 비교함으로써 기밀성을 보장할 수 있게 한다.
또한, 본 발명은 프로세스 식별정보 서버(220)를 포함하는데, 상기 프로세스 식별정보 서버(220)에는 전자 인증서에 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 리스트가 저장되어 있어서 사용자 단말기의 화이트 리스트를 업데이트한다.
즉, 프로세스 식별정보 서버(220)에서 최신의 화이트 리스트를 일괄적으로 입력받아서 상술한 프로세스 식별정보 DB(130)를 자동으로 업데이트 시킴으로써 업데이트된 화이트 리스트에 따라 파일 시스템 접근 제어를 할 수 있게 한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템의 동작 방법에 대해 상세히 설명한다.
도 4는 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서의 암호화 단계를 나타낸 순서도이다.
도 4에 도시된 바와 같이, 본 발명에 따른 전자 인증서의 암호화 단계는 사용자 식별단계(S111)와, 전자 인증서 식별단계(S112)와, 범용 저장장치 식별단계(S113)와, SUID 추출 단계(S114) 및 시스템 정보 추가적용 확인단계(S115)를 포함한다.
그리고, 확인결과 단말기(100)의 시스템 정보를 추가로 적용하지 않는 경우에는 전자 인증서용 암호키 생성단계(S116)와, 전자 인증서 암호화 단계(S117) 및 원본 인증서 영구 삭제하는 단계(S118)를 수행하고, 반면 시스템 정보를 추가로 적용하는 경우에는 시스템 정보를 추출(S115a)한 후 시스템 정보를 추가하여 전자 인증서용 암호키를 생성(S116)한 후 이상과 같은 과정(S117, S118)을 계속한다.
이때, 사용자 식별단계(S111)에서는 에이전트 모듈(121)이 사용자(서명자)에게 사용자 인터페이스(GUI)를 제공하면, 사용자는 상기 사용자 인터페이스를 통해 사용자 식별정보를 입력하며, 이를 입력받은 사용자 식별모듈(122)에서 정상적인 사용자인지를 확인한다.
다음, 전자 인증서 식별단계(S112)는 공인 인증 체계(NPKI), 행정 전자서명 인증 관리 체계(GPKI) 및 인터넷 안전결제(ISP) 등의 명세(즉, 표준)에 따른 특정의 전자 인증서가 단말기에 존재하는지 찾는 단계로서, 에이전트 모듈(121)에서 수행하거나, SUID 추출 모듈(123)에서 수행하거나, 혹은 종래의 일반적인 인증 프로세서에서 수행할 수도 있다.
다음, 범용 저장장치 식별단계(S113)는 SUID 추출 모듈(123)에서 명세에 해당하는 특정의 전자 인증서가 저장되어 있는 범용 저장장치(110)를 식별하는 것으로, 이때 SUID로는 제조자 정의 시리얼 번호와, 전체 용량과, 헤드의 갯수와, 실린더의 갯수와, 섹터의 갯수와, 논리 드라이브의 볼륨 시리얼 번호 및 GUID 혹은 UUID 등의 정보가 사용될 수 있음은 위에서 이미 설명하였다.
다음, SUID 추출 단계(S114)는 SUID 추출 모듈(123)에서 상기 범용 저장장치 식별단계(S113)에서 식별된 해당 범용 저장장치(110)의 각종 정보를 이용하여 SUID를 추출하는 단계로서, 이와 같이 추출된 SUID는 암호키 조합 모듈(124)에 제공된다.
다음, 시스템 정보 추가적용 확인단계(S115)에서는 범용 저장장치(110)를 기반으로 추출된 SUID 이외에 단말기 메인 보드의 시리얼 번호, 단말기 프로세스의 시리얼 번호 및 네트워크 어댑터의 물리 네트워크 주소 등과 같은 시스템 정보를 추가로 적용하여 전자 인증서를 암호화하는 암호키를 생성할지 판단한다.
다음, 시스템 정보를 추가로 적용하지 않는다면 암호키 조합 모듈(124)은 입력받은 SUID와 사용자 식별정보만을 이용하여 전자 인증서용 암호키를 생성(S116)하고, 암호화 모듈(125)은 암호키 조합 모듈(124)에서 생성한 암호키를 이용하여 범용 저장장치(110)에 저장되어 있는 전자 인증서를 암호화(S117)하여 기밀성을 향상시키며, 암호화되기 이전의 원본 전자 인증서는 기밀성이 보장되지 않아서 유출에 따른 피해가 우려되므로 영구 삭제(S118)한다.
반면, 시스템 정보를 추가로 적용하고자 하는 경우라면 먼저 SUID 추출 모듈(123)에서 시스템 정보를 추출할 수 있는지 판단한 후, 시스템 정보의 추출이 가능한 경우라면 SUID 이외에 시스템 정보 역시 추출하여 암호키 조합 모듈(124)로 제공하고, 그 후 전자 인증서용 암호키 생성단계(S116)와, 전자 인증서 암호화 단계(S117) 및 원본 전자 인증서 영구 삭제 단계(S118)를 수행한다.
이하, 이상과 같은 과정을 통해 암호화된 전자 인증서에의 접근을 제어하는 벙법에 대해 설명한다.
도 5는 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서 접근 제어 단계를 나타낸 순서도이다.
도 5에 도시된 바와 같이, 본 발명에 따른 전자 인증서 접근 제어(즉, 파일 시스템 접근제어 정책)는, 프로세스 식별정보 업데이트 단계(S121)와, 파일 시스템 접근제어 모듈(132)을 활성화하는 단계(S122)와, 전자 인증서 접근 탐지 단계(S123)와, 접근 정책 존재 여부를 판단하는 단계(S124)와, 접근 허용 여부를 판단하는 단계(S125) 및 전자 인증서 복호화 및 접근허용 단계(S126)를 포함한다.
이때, 프로세스 식별정보 업데이트 단계(S121)는 일 예로 프로세스 식별 정보 서버(220)에 저장되어 있는 최신의 화이트 리스트를 기반으로 프로세스 식별정보 DB(130)를 업데이트하는 단계로서 보통은 주기적으로 행해지는 것이 바람직하며, 화이트 리스트는 에이전트 모듈(121)을 통해 프로세스 식별정보 DB(130)로 전송된다.
물론, 프로세스 식별정보의 업데이트(S121) 단계는 프로세스 식별정보 서버(220)에 의존하지 않고 단말기(100) 자체에서 능동적으로 할 수 있고, 또한 전자서명 인증서버(200)에서 가지고 있는 추가적 기능으로서 수행할 수도 있다.
다음, 파일 시스템 접근제어 모듈(132) 활성화 단계(S122)는 에이전트 모듈(121)이 파일 시스템의 필터링 기능을 위해 운영시스템(OS: Operating System)에서 요구하는 명세에 따라 동작하는 드라이버 모듈을 활성화시키는 것이다.
다음, 전자 인증서 접근 탐지 단계(S123)는 파일 시스템 접근제어 모듈(132)이 활성화된 상태에서 응용프로그램으로부터 범용 저장장치(110)에 저장된 전자 인증서에 대한 입출력(I/O) 요청이 발생하면 OS에 의해 요청 메시지를 파일 시스템 접근제어 모듈(132)로 전달한다.
상기 요청 메시지에는 입출력을 시도하는 응용프로그램에 대한 정보가 포함되어 있어서 후술하는 바와 같이 해당 응용프로그램의 접근 여부를 결정할 수 있게 한다.
다음, 접근 정책 존재 여부를 판단(S124)하는 단계는 프로세스 식별모듈(131)에게 사용자 정책을 질의(query)하는 단계로서, 응용프로그램이 범용 저장장치(110)에 저장되어 있는 전자 인증서에 접근을 시도하는 경우 그에 대한 입출력 정책이 있는지 판단한다.
다음, 접근 정책이 없는 경우에는 사용자에게 새로운 정책을 요청(S124a)하여 그 요청에 따라 해당 응용프로그램의 접근을 허용할 것인지 판단(S125)하고, 접근 정책이 있는 경우에는 새로운 정책을 요구할 필요없이 바로 해당 응용프로그램의 접근을 허용할 것인지 판단(S125)한다.
다음, 접근이 허용된 것이면 복호화 모듈(125a)은 전자 인증서가 저장되어 있는 범용 저장장치(110)를 기반으로 하여 전자 인증서를 복호화하고, 이와 같은 복호화를 통해 평문화되어 사용가능한 전자 인증서에서의 접근(즉, 입출력)을 허용(S126)한다. 반면 접근이 거부된으로 판단(S125a)되면 종료한다.
다만, 파일 시스템 접근제어 모듈(132)이 운영될 수 있는 Windows 기반에서는 실시간 복호화 기술의 적용이 가능하지만, 반면 파일 시스템 접근제어 모듈(132)이 운영될 수 없는 단말기(특정 스마트 폰 OS 등)에서는 실시간 복호화 기술의 적용이 불가능할 것이다.
실시간 복호화란 상술한 바와 같이 파일 자체는 저장 장치 내에 항상 암호화된 상태로 저장되어 있으나, 특정 프로세스가 읽기를 시도할 때에 그 프로세스에게만 복호화된 데이터를 메모리(RAM: 휘발성 메모리) 차원에서만 전달하여 데이터를 정상적으로 인지 및 사용할 수 있도록 지원하는 것을 의미한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치에서의 복호화 단계에 대해 설명한다.
도 6은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서 복호화 단계를 나타낸 순서도이다.
도 6에 도시된 바와 같이, 본 발명에 따른 전자 인증서 복호화 단계는 사용자 식별단계(S131)와, 암호화된 전자 인증서 식별단계(S132)와, 범용 저장장치 식별단계(S133)와, SUID 추출 단계(S134) 및 시스템 정보 추가적용 확인단계(S135)를 포함한다.
그리고, 시스템 정보를 추가로 적용하지 않는 경우에는 전자 인증서용 복호키 생성단계(S136)와, 복호키 검증 단계(S137) 및 전자 인증서 복호화 단계(S138)를 수행하고, 반면 시스템 정보를 추가로 적용하는 경우에는 시스템 정보를 추출(S135a)한 후 시스템 정보를 추가하여 전자 인증서용 복호키를 생성(S136)하고, 그 후 이상과 같은 과정(S137, S138)을 계속한다.
이러한 복호화 과정은 도 4를 통해 설명한 암호화 과정과 상반되는 것으로서 그에 대한 좀더 상세한 설명은 생략한다. 다만, 상기 복호키 검증 단계(S137)는 생성된 복호키의 메시지 다이제스트 값을 암호화된 전자 인증서의 메타 정보와 비교하는 단계로서, 당해 복호키를 이용하여 전자 인증서를 복호화할 수 있는지를 미리 판단하는 것이므로 필수적인 것은 아니다.
이하, 첨부된 도면을 참조하여 전자 인증서의 수동 제어 방법에 대해 설명한다. 수동 제어는 사용자가 수동방식으로 전자 인증서를 사용하고자 하거나, 혹은 파일 시스템 접근제어 모듈(132)이 기술적으로 지원되지 않는 단말기에 적용 가능하다.
도 7은 본 발명에 따른 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 이용한 전자 인증서의 수동 제어 단계를 나타낸 순서도이다.
도 7에 도시된 바와 같이, 본 발명에서 전자 인증서에 수동으로 접근하는 단계는 사용자가 전자 인증서의 사용을 요청하는 단계(S141) 및 파일 시스템 접근제어 모듈(132)이 활성화되어 있는지 확인하는 단계(S142)를 포함한다.
이때, 파일 시스템 접근제어 모듈(132)이 활성화되어 있으면 특정 프로세스(즉, 응용프로그램)이 전자 인증서에 접근할 수 있도록 정책을 설정(S143a)하고, 전자 인증서 사용을 위한 응용프로그램을 실행(S143b)하여, 전자 인증서로의 접근을 탐지하고 제어(S143c)한다. 이러한 단계는 수동으로 결정된다는 것 이외에는 위에서 설명한 바와 같다.
반면, 파일 시스템 접근제어 모듈(132)이 활성화되어 있지 않으면 전자 인증서를 복호화(S144)하고, 복호화된 전자 인증서를 전자서명에 사용하기 위해 입력받는 응용프로그램을 실행(S145)한다.
계속해서, 프로세스(응용프로그램)의 종료가 확인 가능한지 판단(S146)하여, 프로세스의 종료가 확인되면 프로세스 종료를 대기(S147)한 상태에서 먼저 복호화된 전자 인증서를 암호화(S148)해 놓은 다음 종료를 한다. 반면, 프로세스의 종료가 확인 불가능하다면 사용자가 직접 전자 인증서의 암호화를 요청(S146a)한다.
이하, 첨부된 도면을 참조하여 본 발명에 따른 전자 서명 시스템에서의 전자서명을 인증하는 방법에 대해 설명한다.
도 8은 본 발명에 따른 전자 서명 시스템에서의 전자서명 인증 단계를 나타낸 순서도이다.
도 8에 도시된 바와 같이, 본 발명에서의 전자서명 인증 단계는, 전자서명 사용자 인터페이스 제공 단계(S151)와, 전자서명 단계(S152)와, 전자서명 인증서버(200)가 SUID 정보 서버(210)로부터 SUID 정보를 획득하는 단계(S153)와, SUID 추출단계(S154)와, 시스템 정보 추가적용 확인 단계(S155)와, SUID와 전자 인증서 정보를 조합하는 단계(S156)와, SUID와 전자 인증서 정보가 동일한지 판단하는 단계(S157) 및 동일한 경우 전자서명을 인증처리하는 단계(S157a)를 포함한다.
여기서, 상기 전자서명 사용자 인터페이스 제공 단계(S151)는 에이전트 모듈(121)이 GUI 등과 같은 사용자 입력 인터페이스를 제공하는 단계로서, 이를 통해 전자서명에 사용할 전자 인증서를 선택하고 개인키와 사용자 식별정보 등을 입력한다. 이러한 단계는 종래와 실질적으로 동일하다.
다음, 전자서명 단계(S152)는 개인키와 복호화된 전자 인증서를 이용하여 전자서명을 하는 단계로서, 사용자의 입장에서는 종래처럼 개인키만 이용해도 전자서명을 할 수 있어서 편리성은 유지하면서도, 전자 인증서의 암호화와 복호화는 모두 범용 저장장치(110)가 구비된 단말기에서만 가능하기 때문에 기밀성은 매우 뛰어나다.
다음, SUID 정보를 획득하는 단계(S153)는 전자서명 인증서버(200)가 SUID 정보 서버(210)로부터 SUID를 입력받는 단계이다. 전자서명 인증서버(200)에 기록되어 있는 SUID는 단말기에 설치된 범용 저장장치(110)의 SUID를 에이전트 모듈(121)을 통해 기 제공받은 것이다.
단, 이러한 단계(S153)는 전자서명 인증서버(200)와 SUID 정보 서버(210)가 서로 분리되어 있는 경우에 적용되는 것으로서, 전자서명 인증서버(200)와 SUID 정보 서버(210)가 일체로 구비된 경우라면 SUID 정보 획득 단계(S153)는 불필요하다.
또한, SUID 인증을 전자서명 인증서버(200)와는 무관하게 SUID 정보 서버(210) 자체에서 독립적으로 수행할 수 있으므로, 이러한 경우에도 SUID 정보 획득 단계(S153)는 불필요하다. 즉, SUID 인증은 전자서명 인증서버(200)와 SUID 정보 서버(210) 중 어느 곳에서 수행해도 무방하다.
다음, SUID 추출 단계(S154)는 SUID 추출 모듈(123)이 전자 인증서가 저장된 범용 저장장치(110)의 SUID를 추출하는 것으로, SUID 추출은 방법은 이미 위에서 설명하였다.
다음, 시스템 정보 추가적용 확인 단계(S155)는 SUID 이외에 시스템 정보 역시 전자 인증서의 암호화에 사용할 것인지에 따라 달라지는 것으로, 단말기의 시스템 정보를 추가로 적용할지 판단한다.
다음, 시스템 정보가 사용되지 않았다면 사용자가 선택한 전자 인증서의 정보와 SUID를 조합하는 단계(S156) 및 이상과 같이 조합된 정보들을 사용하여 SUID 정보 서버(210)에 기 저장되어 있던 SUID와 단말기에서 추출된 SUID가 동일한지 검증하는 단계(S157)를 수행한다. 물론, SUID 이외에 일반적인 방법과 같이 전자 인증서의 정보와 사용자 식별정보 등도 동일한지 확인함은 당연하다.
반면, 시스템 정보가 사용된 경우라면 전자 인증서의 정보 및 SUID는 물론 시스템 정보도 함께 조합하여 이상과 같은 과정을 반복한다.
다음, 이상과 같은 과정을 통해 동일성이 인정되면 전자서명을 인증처리(S157a)함으로써 전자 서명 시스템을 통해 전자서명 인증을 종료한다.
이상, 본 발명의 특정 실시예에 대하여 설명하였다. 그러나, 본 발명의 사상 및 범위는 이러한 특정 실시예에 한정되는 것이 아니라, 본 발명의 요지를 변경하지 않는 범위 내에서 다양하게 수정 및 변형이 가능하다는 것을 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 이해할 것이다.
즉, 본 발명이 적용되는 보안 데이터 파일로서 전자 인증서가 아닌 일반 데이터 파일을 예로 든다면, 범용 저장장치의 고유 식별정보(SUID)와 사용자 식별정보를 이용하여 암호키를 생성하고, 이와 같이 생성된 암호키를 이용하여 상기 일반 데이터 파일을 암호화하거나 복호화할 수도 있을 것이다.
따라서, 이상에서 기술한 실시예들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이므로, 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 하며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
100: 컴퓨터(단말기) 200: 스마트 폰(단말기)
110: 범용 저장장치 121: 에이전트 모듈
122: 사용자 식별모듈 123: SUID 추출모듈
124: 암호키 조합모듈 125: 암호화 모듈
125a: 복호화 모듈 130: 프로세스 식별정보 DB
131: 프로세스 식별모듈 132: 파일 시스템 접근제어 모듈
133: 전자 인증서 접근시도 프로세서 200: 전자서명 인증서버
210: SUID 정보 서버 220: 프로세스 식별정보 서버

Claims (11)

  1. 보안 데이터 파일이 저장되어 있는 범용 저장장치를 갖는 단말기에서만 상기 보안 데이터 파일을 사용할 수 있게 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치에 있어서,
    상기 보안 데이터 파일이 저장되는 범용 저장장치와;
    상기 범용 저장장치를 나타내는 정보를 이용하여 상기 범용 저장장치의 고유 식별정보(SUID: Storage Unique ID)를 추출하는 SUID 추출 모듈과;
    사용자 식별정보와 상기 SUID 추출 모듈에서 추출한 범용 저장장치의 고유 식별정보를 조합하여 상기 보안 데이터 파일의 암호화를 위한 암호키를 생성하는 암호키 조합 모듈과;
    상기 암호키 조합 모듈에서 조합한 암호키를 이용하여 상기 보안 데이터 파일을 암호화하는 암호화 모듈; 및
    상기 SUID 추출 모듈에서 추출한 범용 저장장치의 고유 식별정보를 이용하여 상기 암호화 모듈에 의해 암호화된 보안 데이터 파일을 복호화하는 복호화 모듈;을 포함하며,
    상기 SUID 추출 모듈은 상기 추출된 범용 저장장치의 식별정보를 암호화하되, 적어도 하나 이상의 상기 추출된 범용 저장장치의 정보를 하나의 문자열로 변환한 후 메시지 다이제스트(message digest)를 생성하여 상기 범용 저장장치의 고유 식별정보로 사용하거나,
    또는 적어도 하나 이상의 상기 추출된 범용 저장장치의 정보를 각각 문자열로 변환하여 각각 메시지 다이제스트를 생성하고, 상기 생성된 각각의 메시지 다이제스트를 합하여 상기 범용 저장장치의 고유 식별정보로 사용하는 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  2. 제1항에 있어서,
    상기 SUID 추출 모듈은 상기 범용 저장장치의 제조자 정의 시리얼 번호와, 전체 용량 정보와, 헤드(head)의 갯수 정보와, 실린더(cylinder)의 갯수 정보와, 섹터(sector)의 갯수 정보와, 논리 드라이브의 볼륨 시리얼 번호와, GUID(Globally Unique ID) 혹은 UUID(Universally Unique ID) 중 어느 하나 이상을 이용하여 상기 범용 저장장치의 고유 식별정보를 추출하는 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  3. 삭제
  4. 삭제
  5. 제1항에 있어서,
    상기 암호키 조합 모듈은 상기 사용자의 식별정보와 범용 저장장치의 고유 식별정보를 조합하고 암호화하여 상기 암호키를 생성하는 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  6. 제1항에 있어서,
    상기 암호키 조합 모듈은 상기 범용 저장장치가 설치된 단말기의 시스템 정보를 추가로 합산하여 상기 암호키를 생성하는 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  7. 제6항에 있어서,
    상기 시스템 정보는 상기 단말기의 메인 보드 시리얼 번호, 상기 단말기의 프로세스 시리얼 번호 및 상기 단말기에 구비된 네트워크 어댑터의 물리 네트워크 주소(MAC Address) 중 어느 하나 이상인 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  8. 제1항에 있어서,
    상기 보안 데이터 파일를 사용하기 위해서 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 리스트(White List)가 저장되어 있는 단말 프로세스 식별정보 DB와; 상기 보안 데이터 파일를 사용하기 위해 접속중인 응용프로그램의 종류를 식별하는 프로세스 식별모듈; 및 상기 프로세스 식별모듈에 의해 식별된 응용프로그램이 상기 단말 프로세스 식별정보 DB에 저장된 것인지의 여부에 따라 상기 보안 데이터 파일에의 접근을 제어하는 파일 시스템 접근제어 모듈;을 더 포함하는 것을 특징으로 하는 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치.
  9. 상기 제1항, 제2항 및 제5항 내지 제8항 중 어느 하나와 같은 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기 및 상기 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치를 갖는 단말기로부터 전송된 전자서명이 서명자에 의해 올바르게 이루어진 것인지를 인증하는 전자서명 인증서버를 포함하는 것을 특징으로 하는 전자 서명 시스템.
  10. 제9항에 있어서,
    SUID 정보 서버를 더 포함하되, 상기 SUID 정보 서버에는 상기 범용 저장장치의 고유 식별정보가 저장되어 있어서, 상기 SUID 정보 서버에 저장된 범용 저장장치의 고유 식별정보와 전자서명시 사용자의 단말기 측에서 전송한 SUID를 비교하여 사용자를 인증하는 것을 특징으로 하는 전자 서명 시스템.
  11. 제9항에 있어서,
    프로세스 식별정보 서버를 포함하되, 상기 프로세스 식별정보 서버에는 상기 보안 데이터 파일에 접속하는데 사용되는 응용프로그램 중 접속이 허용되는 리스트(White List)가 저장되어 있어서 사용자의 단말기의 화이트 리스트를 업데이트하는 것을 특징으로 하는 전자 서명 시스템.
KR1020110062149A 2011-06-27 2011-06-27 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 KR101078546B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110062149A KR101078546B1 (ko) 2011-06-27 2011-06-27 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110062149A KR101078546B1 (ko) 2011-06-27 2011-06-27 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템

Publications (1)

Publication Number Publication Date
KR101078546B1 true KR101078546B1 (ko) 2011-11-01

Family

ID=45396945

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110062149A KR101078546B1 (ko) 2011-06-27 2011-06-27 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템

Country Status (1)

Country Link
KR (1) KR101078546B1 (ko)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101216986B1 (ko) * 2012-03-20 2012-12-31 주식회사 시큐브 동적 라이브러리 및 코드 사인 기반의 파일 및 폴더 접근 제어 시스템 및 방법
KR101482886B1 (ko) * 2013-11-13 2015-01-15 닉스테크 주식회사 파일 태깅을 이용한 정보 유출 방지 방법 및 장치
KR20150139659A (ko) 2014-06-03 2015-12-14 박영성 회원제 인터넷 사이트 불법 이용 방지 시스템
KR20150144312A (ko) * 2014-04-15 2015-12-24 (주)나무소프트 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
KR101617875B1 (ko) 2014-07-08 2016-05-09 (주)원 전자문서 제공 서비스를 위한 인증방법, 전자문서 제공 서비스 방법 및 시스템
KR101786783B1 (ko) 2015-12-24 2017-10-18 (주)소만사 사이버 블랙박스에서의 데이터 저장 방법
KR101838973B1 (ko) * 2016-02-17 2018-03-19 동명대학교산학협력단 화이트 리스트를 이용한 에이전트 기반 보안위협 모니터링 시스템
KR20180113688A (ko) 2017-04-07 2018-10-17 주식회사트러스트홀딩스 장치 인증키를 이용한 데이터 암호화 방법 및 시스템
KR102228040B1 (ko) * 2020-03-02 2021-03-15 군산대학교산학협력단 데이터 암호화 백업 방법 및 데이터 복원 방법
CN116186018A (zh) * 2023-04-25 2023-05-30 国网冀北电力有限公司 一种基于安全控制的电力数据标识和解析方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042294B1 (ko) * 2009-06-08 2011-06-22 박상진 Usb를 이용한 소프트웨어 락 제어방법 및 락 해제 제어방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101042294B1 (ko) * 2009-06-08 2011-06-22 박상진 Usb를 이용한 소프트웨어 락 제어방법 및 락 해제 제어방법

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101216986B1 (ko) * 2012-03-20 2012-12-31 주식회사 시큐브 동적 라이브러리 및 코드 사인 기반의 파일 및 폴더 접근 제어 시스템 및 방법
KR101482886B1 (ko) * 2013-11-13 2015-01-15 닉스테크 주식회사 파일 태깅을 이용한 정보 유출 방지 방법 및 장치
KR20150144312A (ko) * 2014-04-15 2015-12-24 (주)나무소프트 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
KR101705550B1 (ko) 2014-04-15 2017-02-10 (주)나무소프트 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
KR20150139659A (ko) 2014-06-03 2015-12-14 박영성 회원제 인터넷 사이트 불법 이용 방지 시스템
KR101617875B1 (ko) 2014-07-08 2016-05-09 (주)원 전자문서 제공 서비스를 위한 인증방법, 전자문서 제공 서비스 방법 및 시스템
KR101786783B1 (ko) 2015-12-24 2017-10-18 (주)소만사 사이버 블랙박스에서의 데이터 저장 방법
KR101838973B1 (ko) * 2016-02-17 2018-03-19 동명대학교산학협력단 화이트 리스트를 이용한 에이전트 기반 보안위협 모니터링 시스템
KR20180113688A (ko) 2017-04-07 2018-10-17 주식회사트러스트홀딩스 장치 인증키를 이용한 데이터 암호화 방법 및 시스템
KR102028151B1 (ko) 2017-04-07 2019-10-02 주식회사트러스트홀딩스 장치 인증키를 이용한 데이터 암호화 방법 및 시스템
KR102228040B1 (ko) * 2020-03-02 2021-03-15 군산대학교산학협력단 데이터 암호화 백업 방법 및 데이터 복원 방법
CN116186018A (zh) * 2023-04-25 2023-05-30 国网冀北电力有限公司 一种基于安全控制的电力数据标识和解析方法

Similar Documents

Publication Publication Date Title
KR101078546B1 (ko) 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템
RU2718689C2 (ru) Управление конфиденциальной связью
KR101054970B1 (ko) 개인 정보를 포함하는 전자 증명서를 이용하여 통신 상대를 인증하기 위한 시스템, 장치, 방법, 및 컴퓨터 판독 가능한 기록 매체
JP6290932B2 (ja) データセキュリティサービス
JP4907895B2 (ja) プライベートデータを露出せずに通信ネットワークを介してパスワードで保護されたプライベートデータを回復する方法およびシステム
US8386795B2 (en) Information security device of Universal Serial Bus Human Interface Device class and data transmission method for same
EP1415430B1 (en) A method and a system for processing information in an electronic device
JP6678457B2 (ja) データセキュリティサービス
CN113545006A (zh) 远程授权访问锁定的数据存储设备
US11477192B2 (en) Personalized security system
JP2007013433A (ja) 暗号化データを送受信する方法及び情報処理システム
KR101739203B1 (ko) 일회용 개인키 기반 전자 서명과 동형 암호를 이용한 패스워드 기반 사용자 인증 방법
CN111614467B (zh) 系统后门防御方法、装置、计算机设备和存储介质
WO2021111824A1 (ja) 電子署名システム及び耐タンパ装置
US11831752B2 (en) Initializing a data storage device with a manager device
US20230291548A1 (en) Authorization requests from a data storage device to multiple manager devices
US20230289089A1 (en) Multiple authorization requests from a data storage device
CN105099705A (zh) 一种基于usb协议的安全通信方法及其系统
CN110837634B (zh) 基于硬件加密机的电子签章方法
US20190349198A1 (en) Automated authentication of a new network element
US20230289456A1 (en) Certificates in data storage devices
CN112968774B (zh) 一种组态存档加密及解密方法、装置存储介质及设备
CN105873043B (zh) 一种用于移动终端的网络私匙的生成及应用方法及其系统
CN114553566B (zh) 数据加密方法、装置、设备及存储介质
CN114282189A (zh) 一种数据安全存储方法、系统、客户端以及服务器

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141024

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151025

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161025

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180425

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190425

Year of fee payment: 8