KR101103403B1 - Control method of data management system with emproved security - Google Patents
Control method of data management system with emproved security Download PDFInfo
- Publication number
- KR101103403B1 KR101103403B1 KR1020100059839A KR20100059839A KR101103403B1 KR 101103403 B1 KR101103403 B1 KR 101103403B1 KR 1020100059839 A KR1020100059839 A KR 1020100059839A KR 20100059839 A KR20100059839 A KR 20100059839A KR 101103403 B1 KR101103403 B1 KR 101103403B1
- Authority
- KR
- South Korea
- Prior art keywords
- authentication
- server
- information
- data
- key
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Abstract
본 발명은 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법에 관한 것으로, 더욱 상세하게는 데이터를 분할시켜 노드 데이터를 생성하고, 이 노드 데이터를 각 서버에 분산 저장함에 있어, 각 서버에 분산하여 저장된 노드 데이터가 외부 침입에 의해 유출되더라도 이를 통해서는 데이터에 포함된 정보의 열람이 불가능하도록 구성하여 향상된 보안성을 갖도록 구성한 데이터 관리 시스템의 제어방법에 관한 것이다.The present invention relates to a control method of a data management system having improved security, and more particularly, to generate node data by dividing data, and to store and store the node data in each server, distributed and stored in each server. The present invention relates to a control method of a data management system configured to have improved security by configuring node data not to be leaked by external intrusion, thereby preventing the access of information included in the data.
Description
본 발명은 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법에 관한 것으로, 더욱 상세하게는 데이터를 분할시켜 노드 데이터를 생성하고, 이 노드 데이터를 각 서버에 분산 저장함에 있어, 각 서버에 분산하여 저장된 노드 데이터가 외부 침입에 의해 유출되더라도 이를 통해서는 데이터에 포함된 정보의 열람이 불가능하도록 구성하여 향상된 보안성을 갖도록 구성한 데이터 관리 시스템의 제어방법에 관한 것이다.The present invention relates to a control method of a data management system having improved security, and more particularly, to generate node data by dividing data, and to store and store the node data in each server, distributed and stored in each server. The present invention relates to a control method of a data management system configured to have improved security by configuring node data not to be leaked by external intrusion, thereby preventing the access of information included in the data.
일반적으로 데이터 관리 시스템은, 단말부와, 데이터의 저장기능을 갖는 데이터 서버를 포함하여 구성되어, 단말부가 로그인을 포함하는 인증과정을 거쳐 데이터 서버에 접근하여 데이터를 업로드 및 다운로드하는 순으로 데이터의 관리가 이루어진다.In general, the data management system includes a terminal unit and a data server having a data storage function, and the terminal unit accesses and uploads and downloads the data by accessing the data server through an authentication process including login. Management takes place.
그런데, 이러한 데이터 관리 시스템은 그 특성상, 데이터를 단순히 암호화하여 데이터 서버에 저장하는 관계로, 외부 침입자가 네트워크 망을 통해 무단 접근하여 데이터를 수득할 수 있고, 따라서 보안성에 큰 취약점을 갖는다.By the way, such a data management system simply encrypts data and stores it in a data server, so that an external intruder can gain data by unauthorized access through a network, and thus has a large vulnerability in security.
이러한 문제점을 개선하기 위해, 종래에도 암호화와 관련된 다양한 기술이 제시되고 있으며, 현재 대칭키 암호화와 비대칭키 암호화 알고리즘으로 대표되는 이들 알고리즘은 키값을 기초로 역매핑이 불가능한 형태로 데이터를 조작하여 잉여분(redundancy)을 추가함으로써, 키가 없이는 데이터의 복호화가 불가능하도록 하는 방식을 채택하고 있다.In order to solve this problem, various techniques related to encryption have been proposed in the related art, and these algorithms, which are represented by symmetric key encryption and asymmetric key encryption algorithms, are operated on data in a form that cannot be reversely mapped based on key values, and thus, By adding redundancy, it is possible to decrypt the data without the key.
그러나 이들 방식은 키가 노출되면 데이터가 해킹된다는 취약점을 갖고 있다. 따라서 이들 키의 분배와 관련하여 보안도가 높은 전용의 네트워크를 이용한다든가, 아니면 키를 또 다른 키로 암호화하는 이중, 삼중의 암호화를 채택하고 있으나, 이 경우에도 보안도는 한계가 있고 시스템의 복잡도는 매우 높아진다.However, these methods have the vulnerability that the data is hacked if the key is compromised. Therefore, in connection with the distribution of these keys, a highly secure dedicated network or double or triple encryption is used to encrypt the key with another key. However, even in this case, the security is limited and the complexity of the system is limited. Very high.
한편, 종래 데이터의 안전한 보존을 보장하기 위하여 분산 저장하는 기술이 발전하여 왔다. 이들은 동일한 데이터를 네트워크상의 상이한 노드에 분산 저장함으로써 통계적인 시스템 장애로 인한 데이터 손실의 가능성에 대비하고 있다. On the other hand, in order to ensure the safe preservation of conventional data, a technique for distributed storage has been developed. By distributing and storing the same data in different nodes on the network, they are prepared for the possibility of data loss due to statistical system failures.
상기한 문제점을 해소하기 위해 안출된 본 발명의 목적은, 데이터를 분할시켜 노드 데이터를 생성하고, 이 노드 데이터를 각 서버에 분산 저장함에 있어, 각 서버에 분산하여 저장된 노드 데이터가 외부 침입에 의해 유출되더라도 이를 통해서는 데이터에 포함된 정보의 열람이 불가능하도록 구성하여 향상된 보안성을 갖도록 구성한 데이터 관리 시스템의 제어방법을 제공함에 있다.An object of the present invention devised to solve the above problems is to generate node data by dividing the data, and to store and store the node data in each server, so that the node data distributed and stored in each server is prevented by external intrusion. Even if it is leaked through this, it provides a control method of the data management system configured to have improved security by configuring the information contained in the data impossible to view.
상기한 목적은, 본 발명에서 제공되는 하기 구성에 의해 달성된다.The above object is achieved by the following configuration provided in the present invention.
본 발명에 따른 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법은, The control method of the data management system with improved security according to the present invention,
단말서버가 검출모듈을 통해 사용자 인증정보를 포함하는 인증정보를 추출하여, 상기 인증정보를 네트워크 망을 통해 인증서버로 전송하는 제 1 단계와; A first step of the terminal server extracting authentication information including user authentication information through a detection module and transmitting the authentication information to an authentication server through a network;
상기 인증서버가 다중 인증모듈을 통해 인증DB에 저장된 인증정보와 단말서버로부터 인가된 인증정보를 매칭시켜 인증키를 생성하고, 이 인증키를 인증DB에 저장하는 한편, 네트워크 망을 통해 단말서버와 보안서버에 인증키를 전송하는 제 2 단계와; The authentication server generates an authentication key by matching the authentication information stored in the authentication DB with the authentication information from the terminal server through the multi-factor authentication module, and stores the authentication key in the authentication DB, and the terminal server through the network. A second step of transmitting an authentication key to the security server;
상기 보안서버가 암호키 생성모듈을 통해 인증서버로부터 수득된 인증키와 가변 정보값을 조합시켜 암호키를 생성하고, 메타정보 관리모듈에 저장하는 한편, 이 암호키와 노드서버의 정보를 포함하는 메타정보를 네트워크 망을 통해 단말서버로 전송하는 제 3 단계와; The security server generates an encryption key by combining an authentication key obtained from an authentication server and a variable information value through an encryption key generation module, and stores the encryption key in the meta information management module, and includes the encryption key and information of the node server. Transmitting meta information to a terminal server through a network;
상기 단말서버의 슬라이싱 모듈이, 보안서버로부터 수득된 메타정보에 따라 데이터를 슬라이싱하여 분할한 복수의 노드 데이터와 이들 분할된 노드 데이터들의 구동을 위한 구동키를 분리하여 생성하고, 암/복호화 모듈이 이 분할된 노드 데이터를 암호키를 통해 암호화시키는 제 4 단계; 및 The slicing module of the terminal server generates and separates a plurality of node data obtained by slicing the data according to the meta information obtained from the security server and a driving key for driving the divided node data, and the encryption / decryption module A fourth step of encrypting the divided node data through an encryption key; And
상기 단말서버가, 암호화된 각 노드 데이터를 메타정보에 의해 할당된 노드서버의 스토리지에 네트워크 망을 통해 업로드하여 분할 저장하는 한편, 보안서버의 메터정보 관리모듈에 노드 데이터의 기록과 이들 노드 데이터의 구동키 및 암호키를 포함하는 메타정보를 전송하여 저장하는 제 5 단계를 포함하여 구성된 것을 특징으로 한다.The terminal server uploads and stores each encrypted node data through the network to the storage of the node server allocated by the meta information, while storing the node data in the metadata management module of the security server and storing the node data. And a fifth step of transmitting and storing meta information including a driving key and an encryption key.
바람직하게는, 상기 제 1 단계에서 단말서버는, 인터페이스 모듈을 통해 사용자로부터 계정정보를 수득한 다음, 하드웨어의 인증정보와 외부 인식부재의 인증정보를 검출하여, 이들 사용자 인증정보와, 하드웨어의 인증정보, 및 외부 인식부재의 인증정보를 네트워크 망을 통해 인증서버로 전송하면, 인증서버는 다중 인증모듈을 통해 인증DB에 저장된 사용자 인증정보와 단말서버로부터 인가된 인증정보의 매칭을 통한 1차 인증과; 인증DB에 저장된 하드웨어 인증정보 및 외부 인식부재의 인증정보의 매칭을 통한 2차 인증을 포함하는 다중 인증을 실시하여 인증키를 생성하도록 구성된다.Preferably, in the first step, the terminal server obtains the account information from the user through the interface module, and then detects the authentication information of the hardware and the authentication information of the external recognition member, thereby authenticating the user authentication information and the hardware. When the information and the authentication information of the external recognition member are transmitted to the authentication server through the network, the authentication server performs the first authentication through matching the user authentication information stored in the authentication DB with the authentication information authorized from the terminal server through the multiple authentication module. and; It is configured to generate an authentication key by performing a multi-factor authentication including secondary authentication through matching of hardware authentication information stored in the authentication DB and authentication information of the external recognition member.
보다 바람직하게는, 상기 제 1 단계에서, 단말서버는 인증정보를 갖는 둘 이상의 외부 인식부재를 인식하여 이들 각 외부 인식부재에서 인증정보를 각각 검출하고, 이 검출된 외부 인식부재의 인증정보들을 매칭시켜 하나의 인증정보를 생성하도록 구성된다.More preferably, in the first step, the terminal server recognizes two or more external recognition members having authentication information, respectively, and detects authentication information in each of these external recognition members, and matches authentication information of the detected external recognition members. It is configured to generate one piece of authentication information.
그리고, 상기 제 1 단계에서 추출되는 하드웨어의 인증정보는, CPU의 고유번호, 하드 디스크의 고유번호, 또는 랜카드의 맥어드레스 중 어느 하나이거나, 이들이 병합된다.The authentication information of the hardware extracted in the first step is any one of a unique number of a CPU, a unique number of a hard disk, or a MAC address of a LAN card, or they are merged.
전술한 바와 같이 본 발명에서는 하나의 데이터를 분할하여 복수의 노드 데이터를 생성하고, 이 분산된 노드 데이터를 네트워크 망을 통해 연결된 복수의 노드서버에 분산 저장함으로써, 외부 침입자가 어느 하나의 노드 데이터를 취득하더라도 이 노드 데이터를 통해서는 데이터에 포함된 정보의 열람이 불가능하도록 하고 있다.As described above, in the present invention, a single data is divided to generate a plurality of node data, and the distributed node data is distributed and stored in a plurality of node servers connected through a network network, thereby allowing an external intruder to store one node data. Even if it acquires, the information contained in this data cannot be read through this node data.
특히, 본 발명에서는 이러한 데이터의 분할을 통한 보안성을 향상시킴에 있어, 상기 데이터의 분할을 통한 노드 데이터의 생성과정 중에, 이들 노드 데이터를 조합 및 구동시키는 구동키를 별도 생성하고, 이 구동키를 노드서버가 아닌 보안서버에 별도 저장함으로써, 노드서버가 모두 외부 침입에 의해 노출되더라도 보안서버에 저장된 메터정보의 수득 없이는 노드 데이터의 조합 및 구동이 불능하도록 하고 있다.Particularly, in the present invention, in order to improve security by dividing such data, a driving key for combining and driving these node data is separately generated during the generation of node data by dividing the data. By storing the data separately in the security server rather than the node server, even if all the node servers are exposed by external intrusion, the node data cannot be combined and operated without obtaining the metadata stored in the security server.
이에 따라, 본 발명에 따른 제어방법이 적용된 데이터 관리 시스템은, 복수의 노드서버에 침투하여 분산 저장된 모든 데이터를 획득하고, 또 인증서버 및 보안서버에 침투하여 인증키 및 메타정보를 획득하지 아니하는 이상, 데이터의 조합 및 구동을 통한 정보의 열람이 불가능하므로, 신뢰성 높은 보안성을 갖게 된다.Accordingly, the data management system to which the control method according to the present invention is applied does not acquire authentication keys and meta information by infiltrating a plurality of node servers to obtain all the distributed data and infiltrating the authentication server and the security server. As described above, since information is not accessible through the combination and driving of data, it has a reliable security.
이와 더불어, 상기 단말서버는, 사용자 인증과 하드웨어 인증 및 외부 인식부재의 인증을 통해 인증키를 부여받아 시스템을 구성하는 각 서버에 접근 권한을 갖도록 구성하고 있으며, 이에 따라 외부 침입자가 제 3의 단말서버를 통해 접근하여 인증키를 생성하고, 이 인증키를 통해 노드서버들과 보안서버에 접근하여 데이터를 무단으로 유출하는 문제점을 사전 차단할 수 있어, 보다 향상된 보안성을 갖는다.In addition, the terminal server is configured to have an access right to each server constituting the system by receiving an authentication key through user authentication, hardware authentication, and authentication of an external recognition member. By accessing through the server to generate an authentication key, through this authentication key to access the node server and the security server to prevent the problem of unauthorized data leakage, it has a better security.
도 1은 본 발명에서 바람직한 실시예로 제안하고 있는 제어방법이 구현되는 데이터 관리 시스템의 전체 구성을 보여주는 블럭도이고,
도 2는 본 발명에서 바람직한 실시예로 제안하고 있는 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법을 보여주는 흐름도이며,
도 3은 본 발명에 따른 제어방법이 구현된 데이터 관리 시스템에 있어, 데이터의 다운로드 과정을 순차적으로 보여주는 흐름도이다.1 is a block diagram showing the overall configuration of a data management system in which a control method proposed as a preferred embodiment of the present invention is implemented,
2 is a flowchart illustrating a control method of a data management system having improved security proposed as a preferred embodiment of the present invention.
3 is a flowchart sequentially illustrating a data download process in a data management system in which a control method according to the present invention is implemented.
이하, 첨부된 도면을 참조하여 본 발명에서 바람직한 실시예로 제안하고 있는 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법을 상세히 설명하기로 한다.Hereinafter, with reference to the accompanying drawings will be described in detail a control method of a data management system having improved security proposed as a preferred embodiment of the present invention.
도 1은 본 발명에서 바람직한 실시예로 제안하고 있는 제어방법이 구현되는 데이터 관리 시스템의 전체 구성을 보여주는 블럭도이고, 도 2는 본 발명에서 바람직한 실시예로 제안하고 있는 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법을 보여주는 흐름도이고, 도 3은 본 발명에 따른 제어방법이 구현된 데이터 관리 시스템에 있어, 데이터의 다운로드 과정을 순차적으로 보여주는 흐름도이다.1 is a block diagram showing the overall configuration of a data management system in which a control method proposed as a preferred embodiment of the present invention is implemented, and FIG. 2 is a data management having improved security proposed as a preferred embodiment of the present invention. 3 is a flowchart illustrating a control method of the system, and FIG. 3 is a flowchart sequentially illustrating a data download process in the data management system in which the control method according to the present invention is implemented.
본 발명에 따른 제어방법을 구현하는 데이터 관리 시스템(1)은, 도 1 내지 도 3에서 보는 바와 같이 암호키와 메타정보의 저장기능을 갖는 보안서버(30)와; 노드 데이터의 저장기능을 갖는 복수의 노드서버(40)와; 사용자와의 인터페이스를 구현하는 단말서버(10); 및 인증키를 생성하는 인증서버(20)를 포함하여 구성되며, 이들은 네트워크 망(50)을 통해 유기적으로 연결되어 하나의 시스템을 형성한다.The
상기 각 노드서버(40)들에는 단말서버(10)로부터 인가된 암호화된 노드 데이터의 저장공간인 스토리지(41)가 각각 형성되며, 상기 보안서버(30)는 메타정보 관리모듈(31)과, 암호키 생성모듈(32)을 포함하여 구성된다.Each of the
그리고, 상기 단말서버(10)는, 사용자와의 인터페이스를 도모하는 인터페이스 모듈(11)과; 사용자 정보를 포함하는 인증정보를 검출하는 검출모듈(12)과; 소정의 정보를 갖는 데이터를 슬라이싱하여 복수의 노드 데이터를 생성, 및 복수의 노드 데이터를 하나의 데이터로 병합하는 슬라이싱 모듈(13); 및 상기 노드 데이터를 암호화, 및 복호화하는 암/복호화 모듈(22)을 포함하여 구성된다.In addition, the
이와 같이 단말서버(10)에, 슬라이싱 모듈(13)과 암/복호화 모듈(22)을 마련하면, 데이터의 슬라이싱을 통한 노드 데이터의 생성과 노드 데이터의 암호화 및 복호화가 각 단말서버(10)에서 구현되므로, 시스템 전체의 부하가 감소될 수 있다.In this way, when the
그리고, 상기 인증서버(20)는 단말서버로부터 인가되는 인증정보와 매칭되는 매칭정보들이 저장된 인증DB(22)와; 단말서버(10)로부터 인가된 인증정보와 인증 DB(22)에 저장된 매칭정보의 매칭을 통해 인증키를 생성하는 다중 인증모듈(21)을 포함하여 구성된다.The
따라서, 상기 단말서버(10)가 검출모듈(12)을 통해 추출된 사용자 정보를 포함하는 인증정보를 인증서버(20)에 전송하면(S 10), 인증서버(20)의 다중 인증모듈(21)은 인증 DB(22)에 저장된 매칭정보와 단말서버(10)에서 전송된 인증정보를 상호 대조하여 고유한 인증키를 생성하며, 이러한 과정을 통해 생성된 인증키는 단말서버(10) 및 보안서버(30)로 각각 전송된다(S 20).Therefore, when the
이때, 상기 단말서버(10)에서 검출되는 인증정보는 기본적으로 아이디와 비밀번호로 이루어진 사용자 정보를 포함하여 구성되며, 본 실시예에서는 검출모듈(12)에 의해 검출되는 인증정보가 사용자 정보와 더불어, 하드웨어 정보와 외부 인식부재에 저장된 인증정보를 포함하고 있다.At this time, the authentication information detected by the
이에 따라, 상기 인증정보를 네트워크 망(50)을 통해 인가받은 인증서버(20)는 다중 인증모듈(21)을 통해, 인증DB(22)에 저장된 매칭정보와 단말서버(10)로부터 인가된 사용자 정보의 매칭을 통해 1차 인증을 실시하고, 2차적으로 인증 DB(22)에 저장된 인증정보와, 단말서버(10)로부터 인가된 하드웨어 인증정보 및 외부 인식부재의 인증정보를 매칭하여 인증한다.Accordingly, the
이러한 다중 인증과정 중 어느 하나의 인증이 실패하더라도, 인증서버(20)는 단말서버(10)가 각 서버의 접근권한을 갖도록 하는 인증키를 생성하지 아니한다.Even if any one of the multi-authentication process fails, the
여기서, 상기 하드웨어의 인증정보는 CPU의 고유번호, 하드 디스크의 고유번호, 또는 랜카드의 맥 어드레스 등이 택일 또는 하나 이상을 조합한 것으로 구성되며, 상기 외부 인식부재로는 인증정보의 저장기능을 갖는 USB 동글, 스마트 카드 등이 채택될 수 있다.Here, the authentication information of the hardware is composed of a unique number of the CPU, a unique number of the hard disk, the MAC address of the LAN card, or the like, or a combination of one or more, and the external recognition member has a function of storing authentication information. USB dongle, smart card and the like can be adopted.
본 실시예에서는 단말서버(10)가 둘 이상의 외부 인식부재를 인식하고, 이들 각 외부 인식부재에 저장된 인증정보를 추출한 다음 병합하여, 하나의 인증정보를 형성하도록 하고 있다.In this embodiment, the
이와 같이 구성하면, 단말서버(10)에 접근한 외부 침입자가 어느 하나의 정상적인 외부 인식부재를 소지하더라도 나머지 외부 인식부재를 소지하지 아니하면 단말서버(10)를 통한 시스템의 접근이 불가능하게 되므로, 향상된 보안성을 겸비할 수 있다.In this configuration, even if an external intruder accessing the
또한, 본 실시예에서는 단말서버(10)는 순차적으로 인식되는 외부 인식부재의 인식순번에 따라 각기 다른 인증정보를 생성하도록 구성하고 있다.In addition, in the present embodiment, the
이에 따라, 외부 침입자가 모든 외부 인식부재를 소지하더라도 외부 인식부재의 인식 순번을 인지하지 못하면 단말서버(10)를 통한 시스템의 접근이 불가능하게 되므로, 향상된 보안성을 갖게 된다.Accordingly, even if the external intruder possesses all the external recognition members, if the recognition sequence of the external recognition members is not recognized, the system cannot be accessed through the
예컨대, 최초 USB 동글(111), 스마트 카드(112)를 순차적으로 인식하면 단말서버(10)는 정상적인 인증정보를 생성하지만, 스마트 카드(112)를 식별한 다음 USB 동글(111)를 인식시키면 비정상적인 인증정보가 생성되어, 인증받지 못한 사용자가 단말서버(10)에 접근하는 것을 사전 차단하는 것이다.For example, when the first USB dongle 111 and the smart card 112 are sequentially recognized, the
따라서 본 실시예에 따른 제어방법은, 복수의 외부 인식부재의 조합과 순번 인식과정을 포함하는 다중 인증을 통해 단말서버(10)와 사용자를 인증하므로, 보다 신뢰성 높은 보안성을 가질 수 있다.Therefore, the control method according to the present embodiment, by authenticating the
그리고, 상기한 다중 인증과정을 통해 인증이 완료되면 인증서버(20)는 다중 인증모듈(21)을 통해 인증키를 생성하고, 이 인증키를 인증 DB(22)에 저장하는 한편, 네트워크 망(50)을 통해 단말서버(10)와 보안서버(30)에 각각 전송한다(S 30).When the authentication is completed through the multi-authentication process, the
한편, 본 발명에 따른 제어방법은, 소정의 정보를 갖는 데이터를 분할하여 복수의 노드 데이터를 생성하고, 이 분할된 노드 데이터를 분산 저장하도록 구성된 다.On the other hand, the control method according to the present invention is configured to generate a plurality of node data by dividing data having predetermined information, and to store and store the divided node data.
그리고 본 발명에서는 이들 노드 데이터를 생성함에 있어, 이들 노드 데이터를 연결하는 구동키와, 이 노드 데이터의 복호화를 위한 암호키를 노드 데이터들과 분리 저장하고 있다.In the present invention, in generating these node data, a driving key connecting the node data and an encryption key for decrypting the node data are stored separately from the node data.
이와 같이 소정의 정보를 갖는 데이터를 분할하여 생성된 노드 데이터를 분산 저장하면, 어느 하나의 노드 데이터가 외부 침입에 의해 유출되더라도 나머지 노드 데이터와의 조합 없이는 소정의 열람이 불가능하다.In this way, if the node data generated by dividing the data having predetermined information is distributed and stored, even if any one node data is leaked by an external invasion, the predetermined reading is impossible without the combination with the other node data.
또, 모든 노드 데이터가 외부 침입에 의해 유출되더라도 이들 노드 데이터를 구동 및 복호화를 위한 구동키와 복호화시키는 암호키를 포함하는 메타정보의 수득 없이는 이들의 조합 및 복호화를 통한 정보의 열람이 불가능하게 되므로, 결과적으로 향상된 보안성을 갖게 된다.In addition, even if all node data is leaked by an external intrusion, it is impossible to read the information through a combination and decryption thereof without obtaining meta information including a driving key for driving and decrypting the node data and an encryption key for decryption. The result is improved security.
여기서, 상기 메타정보는, 데이터의 접근 및 복호화에 필요한 정보로, 통상 원본파일 정보와 분할 파일정보를 포함하여 구성된다. 그리고, 암호화(업로드)시에는 노드서버로부터 수신한 메타정보를 DB에 기록하고 다운로드(복호화)시에는 DB의 메타정보를 읽어서 단말서버로 전송한다.Here, the meta information is information necessary for accessing and decoding data, and is usually configured to include original file information and split file information. In the case of encryption (upload), the meta information received from the node server is recorded in the DB, and in the case of download (decryption), the meta information of the DB is read and transmitted to the terminal server.
상기 원본파일 정보는, 사용자 인증정보, 폴더명, 폴더 Level, 부모폴더 인덱스, 원본파일명, 원본파일 크기, 파일형식, 파일 해쉬값, 저장 테이블 인덱스, 설명, 날짜, 암호키 등이며, 분할파일 정보는 원본테이블 인덱스, 실제 저장폴더명, 분할파일명, 분할파일 크기, 분할파일 해쉬값 등으로 구성된다.The original file information includes user authentication information, folder name, folder level, parent folder index, original file name, original file size, file type, file hash value, storage table index, description, date, encryption key, and the like. Consists of original table index, actual storage folder name, split file name, split file size, split file hash value, and so on.
이를 위해, 상기 보안서버가 암호키 생성모듈을 통해 인증서버로부터 수득된 인증키 및 가변 정보값을 조합시켜 암호키를 생성하여 메타정보 관리모듈(31)에 저장하도록 하는 한편, 이 암호키와 메타정보 관리모듈(31)에 저장된 노드서버정보를 암호화하여 네트워크 망을 통해 단말서버(10)로 전송하도록 한다.To this end, the security server generates an encryption key by combining the authentication key and the variable information value obtained from the authentication server through the encryption key generation module to store in the meta
여기서, 상기 암호키를 형성하는 가변 정보값은 보안서버(30)에서 임의 부여되는 정보값으로, 통상 날짜나 시간 정보를 이용하여 생성하고 이를 인증키와 소정의 변환과정을 통해 암호키를 생성한 다음, 이 암호키와 노드서버의 정보를 네트워크 망(50)을 통해 단말서버(10)로 전송하게 된다.Here, the variable information value forming the encryption key is an information value arbitrarily given by the
이후, 상기 단말서버(10)의 슬라이싱 모듈(13)은 보안서버(30)로부터 수득된 노드서버(40)의 정보에 따라 데이터를 슬라이싱하여 복수의 노드 데이터와, 이들 노드 데이터들의 구동을 위한 구동키를 생성하고, 암/복호화 모듈(14)을 통해 이들 노드 데이터를 암호화시킨다(S 40).Thereafter, the slicing
여기서, 상기 구동키는 데이터에서 구동을 위한 구동정보로 예컨대, 대용량의 동영상 데이터일 경우 구동키는 헤드 정보가 이에 해당하며, 상기 동영상 데이터는 헤드정보의 결합 없이는 구동이 불가능하다.In this case, the driving key is driving information for driving data. For example, in case of a large amount of moving image data, the driving key corresponds to head information, and the moving data cannot be driven without combining head information.
즉, 본 발명에서는 데이터를 분할하여 복수의 노드 데이터를 형성함에 있어, 이 노드 데이터의 구동을 위한 소용량의 구동정보인 구동키를 추출하여 이를 별도의 서버에 보관함으로써, 구동키의 획득 없이는 이들 노드 데이터의 조합이 불가능하도록 구성하여 신뢰성 높은 보안성을 확보하고 있다.That is, in the present invention, in forming a plurality of node data by dividing the data, by extracting a drive key which is a small amount of drive information for driving the node data and storing it in a separate server, these nodes are obtained without obtaining a drive key. It is configured to be impossible to combine data to secure reliable security.
이후, 상기 단말서버(10)는 암호화된 각 노드 데이터를 할당된 각 노드서버(40)의 스토리지(41)에 네트워크 망(50)을 통해 업로드하여 분할 저장하는 한편, 보안서버(30)의 메터정보 관리모듈(31)에 각 스토리지(41)에 저장되는 노드 데이터의 저장기록과, 이들 노드 데이터들이 구동키, 및 암호화 기록를 포함하는 메타정보를 생성하여 저장한다(S 50).Thereafter, the
한편, 추후 다중 인증단계를 거친 사용자가 단말서버(10)를 통해 시스템에 접근하여 노드서버(40)에 저장된 데이터를 다운로딩하는 과정은, 단말서버(10)가 인증서버(20)로부터 인증키를 부여받아 보안서버(30)에 접속하고, 보안서버의 메타정보 관리모듈(31)에 저장된 노드 데이터의 목록정보와, 노드 데이터의 복호화를 위한 암호키, 및 이들 노드 데이터의 구동을 위한 구동키를 포함하는 메타정보에서 다운로드 한다.On the other hand, in the process of downloading the data stored in the
이 다음으로, 사용자가 메타정보에서 다운로드를 요하는 데이터를 선택하면, 각 노드서버에 저장된 노드 데이터는 암/복호화 모듈을 통해 복호화된 다음 슬라이싱 모듈을 통해 구동키를 통한 병합을 통해 단일 데이터를 형성하게 된다.Next, when the user selects the data to be downloaded from the meta information, the node data stored in each node server is decrypted through the encryption / decryption module and then merged through the driving key through the slicing module to form a single data. Done.
따라서, 본 실시예에 따른 데이터 제어방법을 통해 데이터를 다운로드하려면, 다중 인증과정을 거쳐 인증서버로부터 인증키를 수득하여야 하고, 또 이 인증키를 통해 보안서버로부터 메타정보를 수득하여야 하므로, 외부 침입자가 노드서버에 직접 접근하여 노드 데이터를 임의로 수득하여도 데이터에 저장된 정보의 열람이 불가능하므로, 본 발명에 따른 제어방법은 보다 신뢰성 높은 보안성을 갖게 된다.Therefore, in order to download data through the data control method according to the present embodiment, the authentication key must be obtained from the authentication server through a multi-factor authentication process, and the meta information must be obtained from the security server through the authentication key. Even if the node server directly accesses the node server and arbitrarily obtains the node data, it is impossible to read the information stored in the data, so that the control method according to the present invention has more reliable security.
1. 데이터 관리 시스템
10. 단말서버 11. 인터페이스 모듈
12. 검출모듈 13. 슬라이싱 모듈
14. 암/복호화 모듈
20. 인증서버 21. 다중 인증모듈
22. 인증DB
30. 보안서버 31. 메타정보 관리모듈
32. 암호키 생성모듈
40. 노드서버 41. 스토리지
50. 네트워크 망1. Data Management System
10.
12.
14. Encryption / Decryption Module
20.
22. Certification DB
30.
32. Encryption Key Generation Module
40.
50. Network
Claims (3)
상기 인증서버가 다중 인증모듈을 통해 인증DB에 저장된 인증정보와 단말서버로부터 인가된 인증정보를 매칭시켜 인증키를 생성하고, 이 인증키를 인증DB에 저장하는 한편, 네트워크 망을 통해 단말서버와 보안서버에 인증키를 전송하는 제 2 단계와;
상기 보안서버가 암호키 생성모듈을 통해 인증서버로부터 수득된 인증키와 가변 정보값을 조합시켜 암호키를 생성하고, 메타정보 관리모듈에 저장하는 한편, 이 암호키와 노드서버의 정보를 포함하는 메타정보를 네트워크 망을 통해 단말서버로 전송하는 제 3 단계와;
상기 단말서버의 슬라이싱 모듈이, 보안서버로부터 수득된 메타정보에 따라 데이터를 슬라이싱하여 분할한 복수의 노드 데이터와 이들 분할된 노드 데이터들의 구동을 위한 구동키를 분리하여 생성하고, 암/복호화 모듈이 이 분할된 노드 데이터를 암호키를 통해 암호화시키는 제 4 단계; 및
상기 단말서버가, 암호화된 각 노드 데이터를 메타정보에 의해 할당된 노드서버의 스토리지에 네트워크 망을 통해 업로드하여 분할 저장하는 한편, 보안서버의 메터정보 관리모듈에 노드 데이터의 기록과 이들 노드 데이터의 구동키 및 암호키를 포함하는 메타정보를 전송하여 저장하는 제 5 단계를 포함하여 구성된 것을 특징으로 하는 향상된 보안성을 갖는 데이터 관리 시스템의 제어방법.A first step of the terminal server extracting authentication information including user authentication information through a detection module and transmitting the authentication information to an authentication server through a network;
The authentication server generates an authentication key by matching the authentication information stored in the authentication DB with the authentication information from the terminal server through the multi-factor authentication module, and stores the authentication key in the authentication DB, and the terminal server through the network. A second step of transmitting an authentication key to the security server;
The security server generates an encryption key by combining an authentication key obtained from an authentication server and a variable information value through an encryption key generation module, and stores the encryption key in the meta information management module, and includes the encryption key and information of the node server. Transmitting meta information to a terminal server through a network;
The slicing module of the terminal server generates and separates a plurality of node data obtained by slicing the data according to the meta information obtained from the security server and a driving key for driving the divided node data, and the encryption / decryption module A fourth step of encrypting the divided node data through an encryption key; And
The terminal server uploads and stores each encrypted node data through the network to the storage of the node server allocated by the meta information, while storing the node data in the metadata management module of the security server and storing the node data. And a fifth step of transmitting and storing meta information including a driving key and an encryption key.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100059839A KR101103403B1 (en) | 2010-06-24 | 2010-06-24 | Control method of data management system with emproved security |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020100059839A KR101103403B1 (en) | 2010-06-24 | 2010-06-24 | Control method of data management system with emproved security |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20110139798A KR20110139798A (en) | 2011-12-30 |
KR101103403B1 true KR101103403B1 (en) | 2012-01-05 |
Family
ID=45505122
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020100059839A KR101103403B1 (en) | 2010-06-24 | 2010-06-24 | Control method of data management system with emproved security |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101103403B1 (en) |
Families Citing this family (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102098095B1 (en) * | 2012-06-15 | 2020-04-08 | 삼성전자 주식회사 | Method and system for backing up profiles of certification module |
US10614099B2 (en) | 2012-10-30 | 2020-04-07 | Ubiq Security, Inc. | Human interactions for populating user information on electronic forms |
KR101438104B1 (en) * | 2013-01-28 | 2014-09-24 | 이니텍(주) | Method for Managing Digital Certificate by Cloud Storage Server |
WO2016049227A1 (en) | 2014-09-23 | 2016-03-31 | FHOOSH, Inc. | Secure high speed data storage, access, recovery, and transmission |
US10579823B2 (en) | 2014-09-23 | 2020-03-03 | Ubiq Security, Inc. | Systems and methods for secure high speed data generation and access |
KR102071365B1 (en) | 2015-08-04 | 2020-01-30 | 한국전자통신연구원 | Apparatus for process authentication in redundant system and method using the same |
WO2017127757A1 (en) * | 2016-01-20 | 2017-07-27 | FHOOSH, Inc. | Systems and methods for secure storage and management of credentials and encryption keys |
WO2018232021A2 (en) * | 2017-06-13 | 2018-12-20 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
US11349656B2 (en) | 2018-03-08 | 2022-05-31 | Ubiq Security, Inc. | Systems and methods for secure storage and transmission of a data stream |
KR101918446B1 (en) * | 2018-03-16 | 2019-01-29 | 윤경민 | Double-secured Block-chain Certification System and its method |
KR102181645B1 (en) * | 2018-12-26 | 2020-11-24 | 주식회사 아이콘루프 | System and method for distributing and storing data |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002135247A (en) * | 2000-10-20 | 2002-05-10 | Sangikyou:Kk | Digital information storing method |
KR20040032450A (en) * | 2002-10-09 | 2004-04-17 | 김성욱 | Method for enciphering and storing information in distributed fashion |
KR100510151B1 (en) * | 2004-06-28 | 2005-08-25 | 삼성전자주식회사 | Method to securely manage information in database |
KR20090052130A (en) * | 2007-11-20 | 2009-05-25 | 주식회사 안철수연구소 | Data protection method using data partition |
-
2010
- 2010-06-24 KR KR1020100059839A patent/KR101103403B1/en active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002135247A (en) * | 2000-10-20 | 2002-05-10 | Sangikyou:Kk | Digital information storing method |
KR20040032450A (en) * | 2002-10-09 | 2004-04-17 | 김성욱 | Method for enciphering and storing information in distributed fashion |
KR100510151B1 (en) * | 2004-06-28 | 2005-08-25 | 삼성전자주식회사 | Method to securely manage information in database |
KR20090052130A (en) * | 2007-11-20 | 2009-05-25 | 주식회사 안철수연구소 | Data protection method using data partition |
Also Published As
Publication number | Publication date |
---|---|
KR20110139798A (en) | 2011-12-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101103403B1 (en) | Control method of data management system with emproved security | |
US11108753B2 (en) | Securing files using per-file key encryption | |
US9703965B1 (en) | Secure containers for flexible credential protection in devices | |
US10181166B2 (en) | Secure content distribution system | |
Kaaniche et al. | A secure client side deduplication scheme in cloud storage environments | |
US9721071B2 (en) | Binding of cryptographic content using unique device characteristics with server heuristics | |
US9853812B2 (en) | Secure key management for roaming protected content | |
US9020149B1 (en) | Protected storage for cryptographic materials | |
CN103246842B (en) | For verifying the method and apparatus with data encryption | |
JP6082589B2 (en) | Encryption key management program, data management system | |
US9852300B2 (en) | Secure audit logging | |
KR20210061426A (en) | Double-encrypted secret portion allowing assembly of the secret using a subset of the double-encrypted secret portion | |
CN106452770B (en) | Data encryption method, data decryption method, device and system | |
US11755499B2 (en) | Locally-stored remote block data integrity | |
US20220014367A1 (en) | Decentralized computing systems and methods for performing actions using stored private data | |
US20070014398A1 (en) | Generating a secret key from an asymmetric private key | |
CN103931137A (en) | Method and storage device for protecting content | |
CN110688666B (en) | Data encryption and preservation method in distributed storage | |
Virvilis et al. | Secure cloud storage: Available infrastructures and architectures review and evaluation | |
US20170111172A1 (en) | Method and system for encrypted data synchronization for secure data management | |
CN110708291B (en) | Data authorization access method, device, medium and electronic equipment in distributed network | |
US20180123789A1 (en) | Apparatus and method for generating a key in a programmable hardware module | |
CN113761488A (en) | Content network copyright tracing encryption system and encryption method | |
KR101593675B1 (en) | User data integrity verification method and apparatus | |
US20210035018A1 (en) | Apparatus for verifying integrity of AI learning data and method therefor |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20150925 Year of fee payment: 4 |
|
R401 | Registration of restoration | ||
FPAY | Annual fee payment |
Payment date: 20151230 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20161230 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20190128 Year of fee payment: 8 |
|
R401 | Registration of restoration |