KR101122697B1 - Method and system to prevent Data leakage using Content Inspection based USB Memory Device - Google Patents

Method and system to prevent Data leakage using Content Inspection based USB Memory Device Download PDF

Info

Publication number
KR101122697B1
KR101122697B1 KR1020080131560A KR20080131560A KR101122697B1 KR 101122697 B1 KR101122697 B1 KR 101122697B1 KR 1020080131560 A KR1020080131560 A KR 1020080131560A KR 20080131560 A KR20080131560 A KR 20080131560A KR 101122697 B1 KR101122697 B1 KR 101122697B1
Authority
KR
South Korea
Prior art keywords
data
usb
usb host
usb memory
security
Prior art date
Application number
KR1020080131560A
Other languages
Korean (ko)
Other versions
KR20100072987A (en
Inventor
강동호
백광호
김기영
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020080131560A priority Critical patent/KR101122697B1/en
Publication of KR20100072987A publication Critical patent/KR20100072987A/en
Application granted granted Critical
Publication of KR101122697B1 publication Critical patent/KR101122697B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • G06F16/122File system administration, e.g. details of archiving or snapshots using management policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것으로, USB 호스트를 지원하는 시스템 또는 단말내에 저장된 기밀 또는 개인 중요 정보가 USB 메모리에 불법적으로 유출되는 것을 방지하기 위하여 유출 방지 데이터에 대한 특징적 키워드를 기반으로 USB 메모리에 저장되는 데이터를 분석하여 차단하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것이다. 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및 USB 호스트가, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계; 를 포함하는 것을 특징으로 한다.The present invention relates to a data analysis-based data leakage prevention method and a system for a USB memory, and to prevent leakage of confidential or personal sensitive information stored in a system or terminal supporting a USB host to the USB memory illegally. The present invention relates to a method and a system for preventing data leakage based on a content analysis of a USB memory for analyzing and blocking data stored in a USB memory based on characteristic keywords for the data. In accordance with an embodiment of the present invention, a method of preventing data leakage based on content analysis of a USB memory may include determining, by a USB host, whether to allow access to internal data of a USB host based on USB identification information from a connected USB memory; And transmitting, by the USB host, security keyword data for determining important information among the internal data to a USB memory that is allowed to access the internal data according to the determination result to execute connection establishment. Characterized in that it comprises a.

USB 보안, 데이터유출방지 USB security, data leakage prevention

Description

USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템{Method and system to prevent Data leakage using Content Inspection based USB Memory Device}Method and system to prevent data leakage using Content Inspection based USB Memory Device}

본 발명은 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것으로, USB 호스트를 지원하는 시스템 또는 단말내에 저장된 기밀 또는 개인 중요 정보가 USB 메모리에 불법적으로 유출되는 것을 방지하기 위하여 유출 방지 데이터에 대한 특징적 키워드를 기반으로 USB 메모리에 저장되는 데이터를 분석하여 차단하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템에 관한 것이다.The present invention relates to a data analysis-based data leakage prevention method and a system for a USB memory, and to prevent leakage of confidential or personal sensitive information stored in a system or terminal supporting a USB host to the USB memory illegally. The present invention relates to a method and a system for preventing data leakage based on a content analysis of a USB memory for analyzing and blocking data stored in a USB memory based on characteristic keywords for the data.

본 발명은 지식경제부 및 정보통신연구진흥원의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-023-02, 과제명: 복합단말용 침해방지 기술개발].The present invention is derived from the research conducted as part of the IT growth engine technology development project of the Ministry of Knowledge Economy and the Ministry of Information and Telecommunication Research and Development. ].

일반적으로, 기업의 정보 또는 개인 정보의 무분별한 유출은 사회적으로 문제가 되고 있다. 이러한 중요 정보를 담은 문서 또는 데이터 등을 통한 정보 유출은 파급효과가 크기 때문에 막대한 경제적인 손실을 발생시키게 된다. In general, the indiscriminate leakage of corporate or personal information is a social problem. Information leakage through documents or data containing such important information has a huge ripple effect, resulting in huge economic losses.

최근, 이러한 기업의 기밀 정보 유출과 개인 정보 유출 피해가 급증함에 따라 중요 정보를 포함하는 데이터 유출 방지를 위한 다양한 기술들이 소개되고 있다. 이 데이터 유출 방지 기술의 한 분야인 USB 저장 장치에 대한 임의 복제 방지 기술도 등장하고 있다.Recently, a variety of technologies for preventing data leakage including important information have been introduced as the damage of confidential information and personal information leakage of such companies has soared. Random copy protection for USB storage devices, a part of this data leakage prevention technology, is also emerging.

종래의 USB 메모리는 USB(Universal Serial Bus) 인터페이스를 구비한 플래시 메모리로 구성된다. 이러한 구성으로 인해 USB 메모리는 저장용량이 크면서도 휴대가 간편할 뿐만 아니라 컴퓨터 또는 휴대 단말 등과 연결이 용이한 장점을 갖고 있기 때문에 여러 분야에 사용되고 있다. 그러나, USB 메모리는 보안 기능이 매우 취약한 편이기 때문에 상술한 데이터 유출 방지 기술을 접목시키는 노력이 이루어 짖고 있다.The conventional USB memory is composed of a flash memory having a universal serial bus (USB) interface. Due to such a configuration, the USB memory has a large storage capacity and is easy to carry, and has been used in various fields because it has an advantage of being easily connected to a computer or a portable terminal. However, since USB memory is very weak in security, efforts have been made to incorporate the above-described data leakage prevention technology.

그러나, 종래의 USB 메모리에 대한 데이터 유출 방지 기술은 데이터 자체를 암호화하는 기술이나 ID 인증 방식 등의 접근제어 기술 등이 주류를 이루고 있다. 그래서, 해커에 의한 물리적 해킹, 메모리의 덤프나 복사 등의 수단을 통해 USB 플래시 메모리에 저장된 데이터를 액세스하는 것이 가능하다. 그리고 접근이 허가된 내부 사용자의 불법적 정보 유출을 방지하는 데에는 한계가 있다.However, the data leakage prevention technology of the conventional USB memory is the mainstream of the technology to encrypt the data itself, access control technology such as ID authentication method. Thus, it is possible to access data stored in the USB flash memory through means such as physical hacking by a hacker, dumping or copying of the memory, and the like. In addition, there is a limit in preventing illegal information leakage of internal users who are granted access.

또, 종래의 USB 저장 장치에 대한 정보 유출 기술은 대부분 정보 시스템 또는 단말 내부에서 정보 유출 방지 기능이 운용되기 때문에 정보 시스템 자체의 성능 저하를 유발시키고 있다. In addition, the information leakage technology of the conventional USB storage device causes the performance of the information system itself because most of the information leakage prevention function is operated in the information system or the terminal.

본 발명은 상술한 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 USB 메모리로 복제되는 데이터에 대하여 USB 메모리 내부에서 내용기반 분석을 실시하여 기밀 또는 개인 중요 정보 존재여부를 판단하여 복사를 제한하도록 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법 및 그 시스템을 제공하는 데 있다.SUMMARY OF THE INVENTION The present invention has been made to solve the above problems, and an object of the present invention is to perform content-based analysis of data copied to a USB memory in a USB memory to determine whether confidential or personal important information exists and to limit copying. The present invention provides a method and system for preventing data leakage based on content analysis of a USB memory device.

상기와 같은 목적을 달성하기 위한 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및 USB 호스트가, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계; 를 포함하는 것을 특징으로 한다.In accordance with an embodiment of the present invention, a method for preventing data leakage based on a content analysis of a USB memory is provided in which a USB host is connected to internal data of a USB host based on USB identification information from a connected USB memory. Determining whether to allow access; And transmitting, by the USB host, security keyword data for determining important information among the internal data to a USB memory that is allowed to access the internal data according to the determination result to execute connection establishment. Characterized in that it comprises a.

또, 보안 키워드 데이터는, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것이 바람직하다.In addition, it is preferable that the security keyword data is generated by extracting a key keyword from contents of important information among data stored inside the USB host.

또한, 내부 데이터로의 접근허용 여부를 판단하는 단계는, USB 호스트가, 물리적으로 접속된 USB 메모리로부터 USB 식별정보를 전송받아서 접속 요청을 받는 단계; 및 USB 호스트가, USB 식별정보를 근거로 USB 메모리를 인증할 수 있을 경우 해당 USB 메모리의 접근을 허용하는 단계; 를 포함하는 것이 바람직하다.The determining of whether to allow access to internal data may include: receiving, by the USB host, a connection request by receiving USB identification information from a physically connected USB memory; And allowing the USB host to access the USB memory when the USB host can authenticate the USB memory based on the USB identification information. It is preferable to include.

한편, 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법은 USB 메모리가, 접속한 USB 호스트로 USB 식별정보를 전송하여 USB 호스트의 내부 데이터로의 접근을 요청하는 단계; USB 메모리가, 접속한 USB 호스트로부터 내부 데이터로의 접근이 허용될 경우, 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송받아 저장하는 단계; USB 메모리가, USB 호스트로부터 데이터 수신시 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하는 단계; 및 USB 메모리가, 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터의 저장을 차단하고, 판단 결과에 따라 수신된 데이터가 중요 정보가 아닐 경우에는 해당 데이터를 저장하도록 하는 단계; 를 포함하는 것을 특징으로 한다.On the other hand, the data analysis-based data leakage prevention method for the USB memory according to an embodiment of the present invention, the USB memory, transmitting the USB identification information to the connected USB host to request access to the internal data of the USB host; When the USB memory is allowed to access internal data from the connected USB host, receiving and storing security keyword data for determining important information among the data; Determining, by the USB memory, whether information is important through content analysis based on security keyword data when receiving data from the USB host; And blocking the storage of the data when the data received according to the determination result is the important information, and storing the data when the received data is not the important information according to the determination result. Characterized in that it comprises a.

또, 보안 키워드 데이터는, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것이 바람직하다.In addition, it is preferable that the security keyword data is generated by extracting a key keyword from contents of important information among data stored inside the USB host.

또한, 내용 분석을 통해 중요 정보 여부를 판단하는 단계는, USB 메모리가, USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하는 단계; 및 USB 메모리가, 비교 결과에 따라 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 단계; 를 포함하는 것이 바람직하다.In addition, the step of determining whether the important information through the content analysis, USB memory, the step of sequentially searching for the data received from the USB host to compare whether there is the same character string and the security keyword data; And determining, by the USB memory, data having the same character string as important information according to the comparison result. It is preferable to include.

본 발명의 실시예에 따른 USB 호스트는 접속된 USB 메모리로부터의 USB 식별정보를 근거로 내부 데이터로의 접근허용 여부를 판단하고, 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 보안 관리 수단; 및 접속된 USB 메모리와 데이터를 주고받기 위한 물리적 인터페이스를 제공하는 USB 호스트 콘트롤러; 를 포함하는 것을 특징으로 한다.The USB host according to an embodiment of the present invention determines whether to allow access to the internal data based on the USB identification information from the connected USB memory, and among the data to the USB memory allowed access to the internal data according to the determination result. Security management means for transmitting security keyword data for determining important information to execute connection establishment; And a USB host controller providing a physical interface for exchanging data with the connected USB memory. Characterized in that it comprises a.

또, 본 발명의 실시에에 따른 USB 메모리는 USB 호스트와 데이터를 주고받기 위한 물리적 인터페이스를 제공하고, 접속한 USB 호스트로 USB 식별정보를 전송하여 내부 데이터로의 접근을 요청하는 USB 메모리 콘트롤러; USB 메모리 콘트롤러를 통해 처리되는 데이터를 저장하는 메모리; 및 USB 호스트로부터 내부 데이터로의 접근이 허용될 경우, USB 메모리 콘트롤러를 통해 수신된 데이터를 보안 키워드 데이터를 근거로 내용 분석을 통해 중요 정보 여부를 판단하고, 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터를 메모리로의 저장을 차단하는 것을 특징으로 하는보안 처리 수단; 을 포함하는 것을 특징으로 한다.In addition, the USB memory according to the embodiment of the present invention provides a physical interface for exchanging data with the USB host, and transmits USB identification information to the connected USB host to request access to the internal data; A memory for storing data processed through the USB memory controller; And when access to internal data is allowed from the USB host, the data received through the USB memory controller is determined based on the security keyword data to determine whether the information is important or not, and the received data is determined to be important information. Security processing means for blocking the storage of the data in the memory in one case; Characterized in that it comprises a.

또, 보안 처리 수단의 보안 키워드 데이터는, USB 호스트로부터 내부 데이터로의 접근이 허용될 경우 수신되되, USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성된 것이 바람직하다.In addition, the security keyword data of the security processing means is received when access to the internal data is allowed from the USB host, but is preferably generated by extracting a key keyword from the contents of important information among the data stored in the USB host.

또한, 보안 처리 수단은, USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하여 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 것이 바람직하다.In addition, the security processing unit preferably searches sequentially the data received from the USB host, compares whether there is the same character string as the security keyword data, and determines data having the same character string as important information.

본 발명에 따르면, USB 메모리에 저장될 데이터에 대한 내용 분석을 통해 저장을 제한함으로써 중요 데이터의 유출 시도를 원천적으로 차단할 수 있는 효과가 있는 것이다.According to the present invention, by limiting the storage by analyzing the contents of the data to be stored in the USB memory, it is possible to fundamentally block the attempt to leak important data.

또, 본 발명은 USB 메모리 내부에서 정보 보안을 하드웨어적으로 적용함으로 써 정보 시스템의 성능저하를 방지할 수 있는 탁월한 효과가 있는 것이다.In addition, the present invention has an excellent effect that can prevent the performance degradation of the information system by applying information security in the USB memory in hardware.

이하, 첨부된 도면을 참조하여 본 발명의 바람직한 일실시예를 상세히 설명한다. Hereinafter, a preferred embodiment of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 실시예에 따른 정보 유출 방지 방법이 적용되는 전체 시스템의 구성을 도시한 예시도이고, 도 2는 도 1에 도시된 USB 호스트의 내부 구성을 도시한 블록도이고, 도 3은 도 1에 도시된 USB 메모리의 내부 구성을 도시한 블록도이고, 도 4는 도 3에 도시된 보안 처리 수단의 내부 구성을 도시한 블록도이다.1 is an exemplary view showing the configuration of the entire system to which the information leakage prevention method according to an embodiment of the present invention is applied, Figure 2 is a block diagram showing the internal configuration of the USB host shown in Figure 1, Figure 3 Is a block diagram showing the internal configuration of the USB memory shown in FIG. 1, and FIG. 4 is a block diagram showing the internal configuration of the security processing means shown in FIG.

도 1을 참조하면, 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 시스템은 USB 호스트(10)와 USB 메모리(100)를 포함하여 구성된다.Referring to FIG. 1, a system for preventing data leakage based on content analysis of a USB memory according to an embodiment of the present invention includes a USB host 10 and a USB memory 100.

USB 호스트(10)는 USB(Universal Serial Bus)로 정의된 인터페이스를 지원하는 컴퓨터 또는 단말로서 내부에 데이터를 저장하는 데이터베이스(미도시)를 포함하게 된다. USB 메모리(100)는 USB(Universal Serial Bus)로 정의된 인터페이스를 지원하는 휴대 저장수단으로서 내부에 데이터를 저장하는 메모리 소자(예컨대, FLASH MEMORY 등)를 포함하게 된다. The USB host 10 includes a database (not shown) that stores data therein as a computer or a terminal supporting an interface defined as a universal serial bus (USB). The USB memory 100 is a portable storage means that supports an interface defined as USB (Universal Serial Bus) and includes a memory device (eg, FLASH MEMORY, etc.) for storing data therein.

여기서, USB 호스트(10)와 USB 메모리(100)는 USB로 정의된 인터페이스를 매개로 물리적으로 접속하게 되면, USB 호스트(10)는 USB 메모리(100)로부터의 하드 웨어적 정보를 근거로 연결설정 여부를 판단하게 된다. USB 메모리(100)는 중요정보 판단 절차, 즉 내용분석을 위한 보안 키워드 데이터를 전달받고 USB 호스트(10)로부터의 연결설정을 허가받게 된다. 그에 따라 USB 메모리(100)는 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스가 가능하게 된다. 이때, USB 메모리(100)는 USB 호스트(10)로부터 수신되는 데이터를 내부에서 내용분석을 기반으로 중요도 여부를 판단하여 중요한 데이터의 경우 저장을 제한하게 된다. 이러한 방식으로 USB 호스트(10)와 USB 메모리(100) 간에 데이터 교환(50a, 50b)하게 된다. 즉, 연결설정이 완료되면 USB 호스트(10)와 USB 메모리(100) 간의 규약에 의해 상호간에 패킷을 주고 받게 되는 것이다.Here, when the USB host 10 and the USB memory 100 are physically connected through the interface defined as USB, the USB host 10 establishes a connection based on hardware information from the USB memory 100. It will be judged. The USB memory 100 receives important keyword determination procedure, that is, security keyword data for content analysis, and is allowed to establish a connection from the USB host 10. Accordingly, the USB memory 100 can access the data stored in the internal database of the USB host 10. In this case, the USB memory 100 determines whether the data received from the USB host 10 is important based on the content analysis therein to limit the storage of important data. In this manner, data exchange (50a, 50b) between the USB host 10 and the USB memory 100. That is, when the connection setup is completed, the packets are exchanged with each other by the protocol between the USB host 10 and the USB memory 100.

도 2에 도시된 바와 같이, 본 발명에 따른 USB 호스트(10)는 보안 관리 수단(20), USB 호스트 콘트롤러(30)를 포함하여 구성된다. As shown in FIG. 2, the USB host 10 according to the present invention includes a security management means 20 and a USB host controller 30.

보안 관리 수단(20)은 USB 메모리(100)의 접근 여부를 관리한다. 보안 관리 수단(20)은 USB 메모리(100)가 물리적으로 연결되면 USB 메모리(100)로부터 USB식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 입력받는다. 보안 관리 수단(20)은 USB 메모리(100)로부터의 USB식별정보를 근거로 접근허용 여부를 결정하게 된다. 보안 관리 수단(20)은 사전에 접근 허용된 USB 메모리(100)에 대한 리스트, 즉 USB 식별정보를 미리 저장하고 있게 된다. 예컨대, USB 메모리(100)가 USB 호스트(10)에 물리적으로 연결시 USB 메모리(100)는 자신의 하 드웨어 정보를 전송하게 된다. 이때, 보안 관리수단은 USB 메모리(100)의 하드웨어 정보가 기저장된 USB식별정보에 존재하는 지 여부에 따라 접근 허용을 판단하게 된다. 이러한 보안 관리 수단(20)은 소프트웨어 또는 칩의 형태로 구현될 수 있다. The security management means 20 manages the access of the USB memory 100. When the USB memory 100 is physically connected, the security management means 20 receives USB identification information (eg, hardware information such as Serial Num, MAC address, etc.) from the USB memory 100. The security management means 20 determines whether to allow access based on the USB identification information from the USB memory 100. The security management means 20 stores in advance a list of USB memory 100 that is previously allowed access, that is, USB identification information. For example, when the USB memory 100 is physically connected to the USB host 10, the USB memory 100 transmits its hardware information. At this time, the security management means determines the access permission according to whether the hardware information of the USB memory 100 is present in the pre-stored USB identification information. Such security management means 20 may be implemented in the form of software or a chip.

또, 보안 관리 수단(20)은 접근 허용된 USB 메모리(100)로 보안 키워드 데이터를 제공한다. 보안 관리 수단(20)은 상술한 방식에 따라 물리적으로 접속된 USB 메모리(100)에 대한 접근을 허용하게 되면 중요 정보 검출을 위한 보안 키워드 데이터를 전송하게 된다. 그래서, USB 호스트(10)와 USB 메모리(100)는 연결설정이 완료되면 규약에 의해 상호간에 패킷을 주고 받게 된다.In addition, the security management means 20 provides security keyword data to the accessible USB memory 100. When the security management means 20 allows access to the physically connected USB memory 100 in the above-described manner, the security management means 20 transmits security keyword data for detecting important information. Thus, when the connection between the USB host 10 and the USB memory 100 is completed, a protocol is used to exchange packets with each other.

여기서, 보안 키워드 데이터는 사전에 USB 호스트(10) 내부에 저장된 데이터 중 기밀 또는 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 미리 저장하게 된다. Here, the security keyword data is stored in advance by extracting a key keyword from the contents of confidential or important information among data stored in the USB host 10 in advance.

USB 호스트 콘트롤러(30)는 USB 메모리(100)와 데이터를 주고받기 위한 물리적 인터페이스를 제공한다. 예를 들어, USB 호스트 콘트롤러(30)는 USB 메모리(100)로 USB로 정의된 버스 및 접속 드라이버 등을 제공하고 그에 따라 데이터를 송수신할 수 있도록 하게 된다. 이러한 USB를 통해 데이터 통신을 처리하는 USB 호스트 콘트롤러는 공지된 사항이므로 상세한 설명은 생략한다. The USB host controller 30 provides a physical interface for exchanging data with the USB memory 100. For example, the USB host controller 30 may provide a bus and a connection driver defined as USB to the USB memory 100 and transmit and receive data accordingly. Since the USB host controller that processes data communication through the USB is well known, a detailed description thereof will be omitted.

도 3에 도시된 바와 같이, 본 발명에 따른 USB 메모리(100)는 USB 메모리 콘트롤러(110), 보안 관리 수단(20), 메모리를 포함하여 구성된다. As shown in FIG. 3, the USB memory 100 according to the present invention includes a USB memory controller 110, a security management means 20, and a memory.

USB 메모리 콘트롤러(110)는 USB 호스트(10)와 데이터를 주고받기 위한 물리적 인터페이스를 제공한다. 예를 들어, USB 메모리 콘트롤러(110)는 USB로 정의된 버스에 접속하여, USB 호스트(10)와 데이터를 교환하게 된다. 이러한 USB를 통해 데이터 통신을 처리하는 USB 메모리 콘트롤러(110)는 공지된 사항이므로 상세한 설명은 생략한다.The USB memory controller 110 provides a physical interface for exchanging data with the USB host 10. For example, the USB memory controller 110 connects to a bus defined as USB and exchanges data with the USB host 10. Since the USB memory controller 110 that processes data communication through the USB is well known, a detailed description thereof will be omitted.

또, USB 메모리 콘트롤러(110)는 USB 호스트(10)에 물리적으로 접속시 USB 식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 전송하여 접속을 알리게 된다. 그래서, USB 호스트(10)와의 연결설정이 완료되면 상술한 방식으로 데이터를 교환하게 된다. 예를 들어, USB 호스트(10)에서 USB 식별정보를 근거로 내부 데이터로의 접근을 허가하면 USB 메모리 콘트롤러(110)는 USB 호스트(10) 내의 데이터베이스 등에 저장된 데이터로 엑세스하게 된다.In addition, when the USB memory controller 110 is physically connected to the USB host 10, the USB memory controller 110 transmits USB identification information (eg, hardware information such as Serial Num, MAC address, etc.) to notify the connection. Thus, when the connection setup with the USB host 10 is completed, data is exchanged in the above-described manner. For example, when the USB host 10 allows access to internal data based on the USB identification information, the USB memory controller 110 accesses data stored in a database in the USB host 10.

메모리(130)는 USB 메모리 콘트롤러(110)를 통해 처리되는 데이터를 저장하는 저장소자이다. 바람직하게는 메모리(130)는 플래시 메모리를 채용하게 된다. 여기서, 본 발명에서는 하술된 보안 처리 수단(120)을 경유하여 처리된 데이터만 메모리에 저장되게 된다. 이외 USB 메모리(100)에 적용되는 저장용 메모리의 구성은 공지된 사항이므로 상세한 설명은 생략한다.The memory 130 is a repository for storing data processed through the USB memory controller 110. Preferably, the memory 130 employs a flash memory. Here, in the present invention, only the data processed via the security processing means 120 described below is stored in the memory. In addition, since the configuration of the storage memory applied to the USB memory 100 is well known, a detailed description thereof will be omitted.

보안 처리 수단(120)은 USB 호스트(10)로부터 수신되는 데이터에 대한 중요 정보 여부를 판단하여 하술된 메모리로의 저장을 제어하는 역할을 수행한다. 보안 처리 수단(120)은 USB 호스트(10)로부터 USB 메모리 콘트롤러(110)를 통해 수신한 데이터를 내용 분석 기반으로 처리하여 중요 정보 여부를 판단한다. 그래서, 보안 처리 수단(120)은 USB 호스트(10)로부터의 수신된 데이터가 중요 정보이면 메모리로의 저장을 차단하게 된다. 즉, 보안 처리 수단(120)은 전송되는 데이터가 중요 정보일 경우 메모리에 저장되는 것을 방지함으로써 중요 정보의 유출을 차단하게 된다. 이러한 보안 처리 수단(120)은 보안칩의 형태로 구현되는 것이 바람직하다. 또, 보안 처리 수단(120)은 USB 호스트(10)로부터의 수신된 데이터에 중요 정보가 포함되어 있지 않은 경우에는 메모리에 저장되도록 하게 된다. The security processing unit 120 determines whether important information on the data received from the USB host 10 controls the storage in the memory described below. The security processing unit 120 processes the data received from the USB host 10 through the USB memory controller 110 based on content analysis to determine whether important information is present. Thus, the security processing means 120 blocks the storage in the memory if the data received from the USB host 10 is important information. That is, the security processing unit 120 prevents the leakage of important information by preventing the transmission of the important data in the memory. The security processing means 120 is preferably implemented in the form of a security chip. In addition, the security processing means 120 is to be stored in the memory when the important data is not included in the data received from the USB host 10.

또, 보안 처리 수단(120)은 접속한 USB 호스트(10)로부터 전송되는 보안 키워드 데이터를 수신하여 미리 저장하게 된다. 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결 설정시 전송되는 보안 키워드 데이터를 수신하면 내부에 저장한 후, USB 호스트(10)로부터 전송되는 데이터를 미리 저장된 보안 키워드 데이터를 기준으로 중요 정보 여부를 판단하게 되는 것이다. 따라서, USB 호스트(10)와의 올바른 연결설정이 이루어 지지 않는다면 보안 키워드 데이터를 수신받지 못하기 때문에 USB 호스트(10)로부터 수신되는 데이터의 복제가 불가능하게 된다.In addition, the security processing unit 120 receives and stores in advance the security keyword data transmitted from the connected USB host 10. That is, when the security processing unit 120 receives the security keyword data transmitted when establishing a connection with the USB host 10, the security processing unit 120 stores the data therein and then stores the data transmitted from the USB host 10 based on the previously stored security keyword data. It is to determine whether or not important information. Therefore, if the correct connection with the USB host 10 is not established, the security keyword data is not received, and thus the data received from the USB host 10 cannot be copied.

도 4를 참조하여 USB 메모리(100)의 보안 처리 수단(120)을 보다 상세히 설명하면, 보안 처리 수단(120)은 제어부(300), 보안 처리부(330), 키워드 저장부(320)를 포함하여 구성된다. Referring to FIG. 4, the security processing unit 120 of the USB memory 100 will be described in more detail. The security processing unit 120 includes a control unit 300, a security processing unit 330, and a keyword storage unit 320. It is composed.

제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 메모리 콘트롤러(110)를 통해 전달되는 데이터를 메모리에 저장시키기 전에 보안 처리를 관리하는 역할을 수행한다. 제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 메모 리 콘트롤러(110)를 통해 전달되는 보안 키워드 데이터를 수신 받아 키워드 저장부(320)에 수록하게 된다. The controller 300 manages security processing before access to the USB host 10 is accepted and stores data transmitted through the USB memory controller 110 in a memory. The controller 300 receives access to the USB host 10, receives the security keyword data transmitted through the USB memory controller 110, and stores the received keyword data in the keyword storage 320.

제어부(300)는 USB 메모리 콘트롤러(110)를 통해 전달되는 USB 호스트(10)로부터의 데이터를 보안 처리부(330)로 전달하여 내용 분석을 진행하도록 하게 된다. 즉, USB 호스트(10)와의 연결설정이 완료되면 USB 호스트(10)는 필요시 데이터를 상술한 메모리에 저장하려고 시도하게 된다. 그러면 제어부(300)는 해당 데이터를 보안 처리부(330)로 전달하여 중요 정보 포함 여부를 판단하도록 하게 된다.The controller 300 transmits data from the USB host 10 transmitted through the USB memory controller 110 to the security processing unit 330 to perform content analysis. That is, when the connection setup with the USB host 10 is completed, the USB host 10 attempts to store data in the above-mentioned memory when necessary. Then, the control unit 300 transmits the corresponding data to the security processing unit 330 to determine whether the important information is included.

보안 처리부(330)는 실질적으로 보안 처리를 진행하는 역할을 수행한다. 보안 처리부(330)는 제어부(300)를 통해 전달되는 USB 호스트(10)로부터의 데이터를 수신받고, 검사를 위한 해당 데이터의 순차검색을 통해 키워드 저장부(320)에 저장된 보안 키워드 데이터와 동일한 문자열이 있는지를 비교한다. 그래서, 보안 처리부(330)는 동일한 문자열이 있을 경우 기밀 또는 개인 중요 정보로 판단하여 메모리에 해당 데이터를 전달하지 않는다. 만약 동일한 문자열이 존재하지 않는다면 해당 데이터를 메모리(130)에 저장하도록 허용한다.The security processing unit 330 substantially performs a role of performing a security process. The security processing unit 330 receives the data from the USB host 10 transmitted through the control unit 300, and the same character string as the security keyword data stored in the keyword storage unit 320 through sequential search of the corresponding data for inspection. Compare if there is. Thus, if there is the same character string, the security processor 330 determines that it is confidential or important personal information and does not deliver the data to the memory. If the same character string does not exist, the data is allowed to be stored in the memory 130.

또, 제어부(300)는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터만 보안 처리부(330)로 전달한다. 즉, 제어부(300)는 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 보안 처리부(330)로 전달함으로써 속도 향상을 꾀하게 된다. 이때, USB 호스트(10)로부터 전달되는 데이터는 USB 메모리 컨트롤러(110)를 통해 데이터의 신호를 변환하여 제어부(300)에 보내진다. 상술한 바와 같이, 보안 처리부(330)는 제어부(300)로부터 전달되는 실질적인 내용 분석을 진행할 데이터의 순차검색을 통해 키워드 저장부(320)에 저장된 보안 키워드 리스트와 동일한 문자열이 있는지를 비교한다. 그래서, 보안 처리부(330)는 동일한 문자열이 있을 경우 기밀 또는 개인 중요 정보로 판단하여 메모리(130)에 해당 데이터를 전달하지 않는다. 만약 동일한 문자열이 존재하지 않는다면 해당 데이터를 메모리(130)에 저장하도록 허용한다.In addition, the controller 300 transmits only data for inspection to the security processor 330 for the content analysis of the data. That is, the controller 300 extracts only the data to be substantially analyzed in the data received from the USB host 10 after the connection setup with the USB host 10 is completed, and delivers the data to the security processor 330 to improve speed. Will be tried. In this case, the data transmitted from the USB host 10 is converted to a signal of the data through the USB memory controller 110 and sent to the controller 300. As described above, the security processing unit 330 compares whether there is a same character string as the security keyword list stored in the keyword storage unit 320 through the sequential search of data to be analyzed for the actual content delivered from the control unit 300. Thus, if there is the same character string, the security processing unit 330 determines that it is confidential or important personal information and does not transmit the corresponding data to the memory 130. If the same character string does not exist, the data is allowed to be stored in the memory 130.

도 5는 본 발명에 따른 USB 메모리(100)에 보안 키워드 데이터를 전달하는 형식을 도시한 예시도이다.5 is an exemplary diagram illustrating a format for transferring security keyword data to the USB memory 100 according to the present invention.

도 5를 참조하면, USB 호스트(10)와 USB 메모리(100) 간에 데이터 통신시 송수신되는 데이터의 형태는 USB 호스트(10)와 USB 메모리(100)간에 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜잭션, 어드레스 트랜잭션 등을 포함하는 토큰 패킷(51, Token Packet), 실질적인 데이터를 전송하는 데이터 패킷(52, Data Packet), USB 호스트(10)와 USB 메모리(100)간에 수신 여부를 알리는 ACK를 포함하는 핸드쉐이크 패킷(53, H/S Packet)을 포함하게 된다. 그래서, USB 호스트(10)는 보안 키워드 데이터(54)를 셋업 트랜잭션의 데이터 패킷(52)에 실어 전송한다. 즉, USB 호스트(10) 시스템은 하나의 보안 키워드 데이터(54)를 전달할 경우, 토큰 패킷(51)과 데이터 패킷(52)을 순차적으로 USB 메모리(100)에 전송하고, 전송이 완료되면 USB 메모리(100)는 응답으로 핸드쉐이크 패킷(53)을 호스트 측에 전송하는 방식으로 데이터의 송수신이 이루어 지게 된다. Referring to FIG. 5, the form of data transmitted / received during data communication between the USB host 10 and the USB memory 100 may include a setup transaction as a request signal for initiating data transmission between the USB host 10 and the USB memory 100. A token packet 51 including an end transaction, an address transaction, and the like, a data packet 52 for transmitting substantial data, and an ACK indicating whether or not the reception is received between the USB host 10 and the USB memory 100. The packet includes the handshake packet 53 (H / S Packet). Thus, the USB host 10 carries the security keyword data 54 in the data packet 52 of the setup transaction and transmits it. That is, when the USB host 10 system transmits one security keyword data 54, the USB host 10 system sequentially transmits the token packet 51 and the data packet 52 to the USB memory 100, and when the transmission is completed, the USB memory 100. 100 transmits and receives data by transmitting the handshake packet 53 to the host in response.

따라서, 보안 처리 수단(120)의 제어부(300)는 USB 호스트(10)로의 접근이 수락되어 USB 콘트롤러를 통해 전달되는 보안 키워드 데이터(54)를 수신 받아 키워드 저장부(320)에 수록하게 된다. Accordingly, the control unit 300 of the security processing unit 120 receives access to the USB host 10, receives the security keyword data 54 transmitted through the USB controller, and stores the received keyword data 54 in the keyword storage unit 320.

도 6은 USB 호스트(10) 내의 정보가 USB 메모리(100)로 전달될 때 데이터의 포맷 형태를 도시한 예시도이다. 6 is an exemplary diagram illustrating a format form of data when information in the USB host 10 is transferred to the USB memory 100.

도 6를 참조하면, USB 호스트(10)와 USB 메모리(100) 간에 전달되는 데이터 포맷 형태를 알 수 있다. 이를 살펴보면, USB 호스트(10)의 데이터가 USB 메모리(100)로 전달될 때 USB 데이터의 일반적인 형식(57)을 보여주고 있다. USB 메모리(100)에 전달되는 데이터는 USB 벌크 데이터 패킷(59)에 실어 전달되기 때문에 USB 메모리(100)에서는 USB 벌크 데이터 패킷(59)의 데이터 영역(58)에 대해서 분석을 수행한다. 이러한 USB 호스트(10)와 USB 메모리(100) 간의 송수신되는 데이터 형식은 공지된 것으로 상세한 설명은 생략한다. Referring to FIG. 6, it can be seen that the data format is transmitted between the USB host 10 and the USB memory 100. Referring to this, the general format 57 of the USB data is shown when the data of the USB host 10 is transferred to the USB memory 100. Since the data transferred to the USB memory 100 is carried in the USB bulk data packet 59, the USB memory 100 performs analysis on the data area 58 of the USB bulk data packet 59. The data format transmitted and received between the USB host 10 and the USB memory 100 is well known and detailed description thereof will be omitted.

따라서, 보안 처리 수단(120)의 제어부(300)는 USB 호스트(10)로부터 전송되는 USB 벌크 데이터 패킷(59)에 전달되는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터영역(58)의 데이터만을 보안 처리부(330)로 전달한다. 즉, 제어부(300)는 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 보안 처리부(330)로 전달함으로써 속도 향상을 꾀하게 된다. Therefore, the control unit 300 of the security processing unit 120 only the data of the data area 58 for inspection to analyze the contents of the data transferred to the USB bulk data packet 59 transmitted from the USB host 10. Transfer to the security processing unit 330. That is, the controller 300 extracts only the data to be substantially analyzed in the data received from the USB host 10 after the connection setup with the USB host 10 is completed, and delivers the data to the security processor 330 to improve speed. Will be tried.

이하, 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법을 설명하면 다음과 같다.Hereinafter, a method of preventing data leakage based on content analysis of a USB memory device 100 according to an embodiment of the present invention will be described.

도 7 및 도 8은 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법의 순서를 도시한 예시도이다.7 and 8 are exemplary diagrams illustrating a procedure of a content analysis-based data leakage prevention method for a USB memory device 100 according to an embodiment of the present invention.

도 7을 참조하면, 본 발명의 실시예에 따른 USB 메모리(100) 장치에 대한 내용 분석기반 데이터 유출 방지 방법은 UBS 호스트(10)와 USB 메모리(100)와의 물리적 접속이 되면서 개시된다(S10) 여기서, USB 호스트(10)와 USB 메모리(100)는 USB로 정의된 인터페이스를 매개로 물리적으로 접속하게 되면, USB 호스트(10)의 USB 보안 관리 수단(20)은 USB 메모리(100)로부터 USB식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)를 입력받는다. Referring to FIG. 7, a method for preventing data leakage based on content analysis of a USB memory device 100 according to an embodiment of the present invention is disclosed while the physical connection between the UBS host 10 and the USB memory 100 is performed (S10). Here, when the USB host 10 and the USB memory 100 are physically connected through an interface defined as USB, the USB security management means 20 of the USB host 10 may identify the USB from the USB memory 100. Information (eg, hardware information such as Serial Num, MAC address, etc.) is received.

다음, USB 호스트(10)의 USB 보안 관리 수단(20)은 USB 메모리(100)의 접근 허용 여부를 판단하게 된다(S20). 즉, 보안 관리 수단(20)은 사전에 접근 허용된 USB 메모리(100)에 대한 리스트, 즉 미리 저장된 USB 식별정보를 읽어들인다. 그래서, 보안 관리 수단(20)은 USB 메모리(100)의 USB 식별정보가 기저장된 USB 식별정보에 존재하는지 여부를 검색하여 인증을 실시한다. 여기서, USB 메모리(100)는 USB 호스트(10)로부터의 연결설정을 허가받게 되면 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스가 가능해 지게 된다. Next, the USB security management means 20 of the USB host 10 determines whether to allow access of the USB memory 100 (S20). That is, the security management means 20 reads a list of the USB memory 100 which is previously allowed access, that is, the USB identification information stored in advance. Thus, the security management means 20 performs authentication by searching whether the USB identification information of the USB memory 100 exists in the pre-stored USB identification information. Here, when the USB memory 100 is allowed to establish a connection from the USB host 10, access to data stored in the internal database of the USB host 10 becomes possible.

이때, USB 호스트(10)의 보안 관리 수단(20)은 판단 결과가 USB 메모리(100)에 대한 접근 허용일 경우 접근 허용된 USB 메모리(100)로 보안 키워드 데이터를 제공한다(S30). 즉, 보안 관리 수단(20)은 접속된 USB 메모리(100)에 대한 접근을 허용하게 되면 중요 정보 검출을 위한 보안 키워드 데이터를 전송하게 된다. 그래서, USB 호스트(10)와 USB 메모리(100)는 연결설정이 완료되면 규약에 의해 상호간에 패킷을 주고 받게 된다. 여기서, 보안 키워드 데이터는 사전에 USB 호스트(10) 내부에 저장된 데이터 중 기밀 또는 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 미리 저장하게 된다. At this time, the security management means 20 of the USB host 10 provides the security keyword data to the allowed USB memory 100 when the determination result is the access permission to the USB memory 100 (S30). That is, when the security management means 20 allows access to the connected USB memory 100, the security management means 20 transmits security keyword data for detecting important information. Thus, when the connection between the USB host 10 and the USB memory 100 is completed, a protocol is used to exchange packets with each other. Here, the security keyword data is stored in advance by extracting a key keyword from the contents of confidential or important information among data stored in the USB host 10 in advance.

만약, USB 호스트(10)의 보안 관리 수단(20)은 판단 결과가 USB 메모리(100)에 대한 접근 불가일 경우 해당 USB 메모리(100)로부터의 접근을 차단하게 된다(S40). 물론, 접근 차단된 USB 메모리(100)는 USB 호스트(10) 내부 데이터베이스에 저장된 데이터로의 액세스도 차단된다.If the security management means 20 of the USB host 10 does not have access to the USB memory 100, the security management means 20 blocks access from the corresponding USB memory 100 (S40). Of course, the access blocked USB memory 100 is also blocked access to the data stored in the USB host 10 internal database.

한편, 도 8을 참조하면, USB 메모리(100)는 USB 호스트(10)와의 연결설정이 완료되면 USB 호스트(10)로부터 데이터를 수신하게 된다(S50). 여기서, USB 메모리(100)는 USB 호스트(10)에 물리적으로 접속시 전송한 USB 식별정보(예컨대, Serial Num, MAC address 등과 같은 하드웨어 정보 등)에 의해서 USB 호스트(10)와의 연결설정이 완료되면 상술한 방식으로 데이터를 교환할 수 있는 상태에 놓이게 된다. Meanwhile, referring to FIG. 8, when the connection setup with the USB host 10 is completed, the USB memory 100 receives data from the USB host 10 (S50). Here, when the USB memory 100 is connected to the USB host 10 by the USB identification information (for example, hardware information such as Serial Num, MAC address, etc.) transmitted when the physical connection to the USB host 10 is completed. The data is exchanged in the above-described manner.

이어, USB 메모리(100)의 보안 처리 수단(120)은 USB 호스트(10)로부터 데이터를 수신하게 되면 기설정된 보안 키워드 데이터를 검색하여 읽어들인다(S60). 여 기서, USB 메모리(100)의 보안 처리 수단(120)은 접속한 USB 호스트(10)로부터 전송되는 보안 키워드 데이터를 수신하여 미리 저장하고 있게 된다. Subsequently, upon receiving data from the USB host 10, the security processing unit 120 of the USB memory 100 searches for and reads predetermined security keyword data (S60). Here, the security processing means 120 of the USB memory 100 receives and stores in advance the security keyword data transmitted from the connected USB host 10.

다음, USB 메모리(100)의 보안 처리 수단(120)은 USB 호스트(10)로부터 USB 메모리 콘트롤러(110)를 통해 수신한 데이터를 보안 키워드 데이터를 근거로 내용 분석 기반으로 분석하고(S70), 그 분석 결과에 따라 수신된 데이터에 대한 중요 정보 여부를 판단한다(S80). 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결 설정시 전송되는 보안 키워드 데이터를 수신하면 내부에 저장한 후, USB 호스트(10)로부터 전송되는 데이터를 미리 저장된 보안 키워드 데이터를 기준으로 중요 정보 여부를 판단하게 되는 것이다. 따라서, USB 호스트(10)와의 올바른 연결설정이 이루어 지지 않는다면 보안 키워드 데이터를 수신 받지 못하기 때문에 USB 호스트(10)로부터 수신되는 데이터의 복제가 불가능하게 된다. Next, the security processing means 120 of the USB memory 100 analyzes the data received from the USB host 10 through the USB memory controller 110 based on the content analysis based on the security keyword data (S70). Based on the analysis result, it is determined whether important information on the received data (S80). That is, when the security processing unit 120 receives the security keyword data transmitted when establishing a connection with the USB host 10, the security processing unit 120 stores the data therein and then stores the data transmitted from the USB host 10 based on the previously stored security keyword data. It is to determine whether or not important information. Therefore, if the correct connection with the USB host 10 is not established, the security keyword data is not received, and thus the data received from the USB host 10 cannot be copied.

여기서, 보안 처리 수단(120)은 도 6에 도시된 바와 같은 USB 호스트(10)로부터 전송되는 USB 벌크 데이터 패킷(59)에 전달되는 데이터에 대한 내용 분석을 위해 검사를 위한 데이터영역(58)의 데이터만을 추출하여 내용분석을 실시할 수 있다. 즉, 보안 처리 수단(120)은 USB 호스트(10)와의 연결설정이 완료된 후 USB 호스트(10)로부터 수신되는 데이터 내에서 실질적으로 내용 분석을 진행할 데이터만을 추출하여 내용 분석을 진행함으로써 속도 향상을 꾀하게 된다. Here, the security processing means 120 is a data area 58 for inspection for the content analysis of the data transferred to the USB bulk data packet 59 transmitted from the USB host 10 as shown in FIG. Only data can be extracted for content analysis. That is, the security processing unit 120 extracts only the data to be substantially analyzed in the data received from the USB host 10 after the connection setup with the USB host 10 is completed, and proceeds with the content analysis to improve the speed. do.

이때, USB 메모리(100)의 보안 처리 수단(120)은 내용 분석에 따른 분석 결과가 USB 호스트(10)로부터의 수신된 데이터가 중요 정보이면 메모리로(130)의 저장을 차단하게 된다(S90). 즉, 보안 처리 수단(120)은 전송되는 데이터가 중요 정 보일 경우 메모리(130)에 저장되는 것을 방지함으로써 중요 정보의 유출을 차단하게 된다. In this case, the security processing unit 120 of the USB memory 100 blocks the storage of the memory 130 if the analysis result according to the content analysis is the received data from the USB host 10 is important information (S90). . That is, the security processing unit 120 blocks leakage of important information by preventing the transmitted data from being stored in the memory 130 when it is important information.

만약, USB 메모리(100)의 보안 처리 수단(120)은 내용 분석에 따른 분석 결과가 USB 호스트(10)로부터의 수신된 데이터에 중요 정보가 포함되어 있지 않은 경우에는 메모리(130)에 저장되도록 하게 된다(S100). The security processing means 120 of the USB memory 100 allows the analysis result according to the content analysis to be stored in the memory 130 when important data is not included in the data received from the USB host 10. It becomes (S100).

이러한 방식으로 USB 메모리(100)에 저장될 데이터에 대한 내용 분석을 통해 저장을 제한함으로써 중요 데이터의 유출 시도를 원천적으로 차단할 수 있는 효과가 있는 것이다.In this way, by limiting the storage by analyzing the contents of the data to be stored in the USB memory 100, it is possible to fundamentally block the attempt to leak important data.

또, 본 발명은 USB 메모리(100) 내부에서 정보 보안을 하드웨어적으로 적용함으로써 정보 시스템의 성능저하를 방지할 수 있는 탁월한 효과가 있는 것이다.In addition, the present invention has an excellent effect that can prevent the performance degradation of the information system by applying information security in the USB memory 100 in hardware.

이상에서 살펴본 바와 같은 에 대한 기술사상을 첨부도면과 함께 서술하였만, 이는 본 발명의 가장 양호한 실시예를 예시적으로 설명한 것이지 본 발명을 한정하는 것은 아니다. 또한, 이 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 기술사상을 이탈하지 않는 범위 내에서 다양한 변형 및 모방이 가능함은 명백한 사실이다.Although the technical idea of as described above has been described in conjunction with the accompanying drawings, it is intended to illustrate the best embodiment of the present invention by way of example and not to limit the invention. In addition, it will be apparent to those skilled in the art that various modifications and variations can be made without departing from the spirit of the present invention.

도 1은 본 발명의 실시예에 따른 정보 유출 방지 방법이 적용되는 전체 시스템의 구성을 도시한 예시도.1 is an exemplary view showing the configuration of an entire system to which the information leakage prevention method according to an embodiment of the present invention is applied.

도 2는 도 1에 도시된 USB 호스트의 내부 구성을 도시한 블록도.FIG. 2 is a block diagram showing an internal configuration of the USB host shown in FIG.

도 3은 도 1에 도시된 USB 메모리의 내부 구성을 도시한 블록도.3 is a block diagram showing an internal configuration of the USB memory shown in FIG.

도 4는 도 3에 도시된 보안 처리 수단의 내부 구성을 도시한 블록도.4 is a block diagram showing the internal configuration of the security processing means shown in FIG.

도 5는 본 발명에 따른 USB 메모리에 보안 키워드 데이터를 전달하는 형식을 도시한 예시도.5 is an exemplary diagram showing a format for transferring security keyword data to a USB memory according to the present invention.

도 6은 USB 호스트 내의 정보가 USB 메모리로 전달될 때 데이터의 포맷 형태를 도시한 예시도. 6 is an exemplary diagram showing a format form of data when information in a USB host is transferred to a USB memory.

도 7 및 도 8은 본 발명의 실시예에 따른 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법의 흐름을 도시한 순서도.7 and 8 are flowcharts illustrating a flow of a method for preventing data leakage based on content analysis for a USB memory according to an embodiment of the present invention.

*도면의 주요부분에 대한 설명*Description of the Related Art [0002]

10 : USB 호스트 20 : 보안 관리 수단10: USB host 20: security management means

30 : USB 호스트 콘트롤러 30: USB Host Controller

100 : USB 메모리 110 : USB 메모리 콘트롤러100: USB memory 110: USB memory controller

120 : 보안 처리 수단 130 : 메모리120: security processing means 130: memory

300 : 제어부 320 : 키워드 저장부300: control unit 320: keyword storage unit

330 : 보안 처리부330: security processing unit

Claims (10)

데이터 유출 방지 방법에 있어서,In the data leakage prevention method, USB 호스트가, 접속된 USB 메모리로부터의 USB 식별정보에 근거하여 상기 USB 호스트의 내부 데이터로의 접근허용 여부를 판단하는 단계; 및Determining, by the USB host, whether to allow access to the internal data of the USB host based on the USB identification information from the connected USB memory; And USB 호스트가, 상기 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 상기 내부 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 단계를 포함하며,And transmitting, by the USB host, security keyword data for determining important information among the internal data to a USB memory that is allowed to access internal data according to the determination result, and executing connection establishment. 상기 연결설정을 실행하는 단계는,The step of executing the connection setting, USB 호스트가, 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜젝션 및 어드레스 트랜잭션을 포함하는 토큰 패킷 및 상기 보안 키워드 데이터를 포함하는 데이터 패킷을 순차적으로 상기 접근이 허용된 USB 메모리로 전송하는 단계를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.Transmitting, by the USB host, a token packet including a setup transaction, an end transaction, and an address transaction, and a data packet including the security keyword data, sequentially to the access-accessible USB memory as a request signal informing the start of data transmission. Content analysis-based data leakage prevention method for a USB memory, characterized in that it comprises a. 청구항 1에 있어서,The method according to claim 1, 상기 보안 키워드 데이터는,The security keyword data, 상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.Content analysis-based data leakage prevention method for the USB memory, characterized in that generated by extracting a key keyword from the contents of the important information of the data stored in the USB host. 청구항 1에 있어서,The method according to claim 1, 상기 내부 데이터로의 접근허용 여부를 판단하는 단계는,Determining whether to allow access to the internal data, USB 호스트가, 물리적으로 접속된 USB 메모리로부터 USB 식별정보를 전송받아서 접속 요청을 받는 단계; 및Receiving, by the USB host, a connection request by receiving USB identification information from a physically connected USB memory; And USB 호스트가, 상기 USB 식별정보를 근거로 USB 메모리를 인증하면 해당 USB 메모리의 접근을 허용하는 단계;Allowing a USB host to access the corresponding USB memory when authenticating the USB memory based on the USB identification information; 를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.Content analysis-based data leakage prevention method for the USB memory, comprising a. 데이터 유출 방지 방법에 있어서,In the data leakage prevention method, USB 메모리가, 접속한 USB 호스트로 USB 식별정보를 전송하여 상기 USB 호스트의 내부 데이터로의 접근을 요청하는 단계;Requesting, by the USB memory, access to internal data of the USB host by transmitting USB identification information to the connected USB host; USB 메모리가, 접속한 USB 호스트로부터 상기 내부 데이터로의 접근이 허용될 경우, 상기 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송받아 저장하는 단계;When the USB memory is allowed to access the internal data from a connected USB host, receiving and storing security keyword data for determining important information among the data; USB 메모리가, 상기 USB 호스트로부터 데이터 수신 시 상기 보안 키워드 데이터와 상기 USB 호스트로부터 전달된 데이터의 순차 검색을 통해 중요 정보 여부를 판단하기 위한 동일한 문자열이 있는지를 검색하는 단계; 및Searching, by a USB memory, whether there is an identical character string for determining whether important information is included through the sequential search of the security keyword data and the data transmitted from the USB host when receiving data from the USB host; And USB 메모리가, 상기 판단 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터의 저장을 차단하고, 상기 판단 결과에 따라 수신된 데이터가 중요 정보가 아닐 경우에는 해당 데이터를 저장하도록 하는 단계를 포함하며,Blocking the storage of the data when the data received according to the determination result is important information, and storing the data when the data received according to the determination result is not the important information. , 상기 보안 키워드 데이터를 전송받아 저장하는 단계는,Receiving and storing the security keyword data, USB 메모리가, 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜젝션 및 어드레스 트랜잭션을 포함하는 토큰 패킷을 상기 USB 호스트로부터 전달받는 단계; 및Receiving, by the USB memory, a token packet including a setup transaction, an end transaction, and an address transaction from the USB host as a request signal informing the start of data transmission; And 상기 보안 키워드 데이터를 포함하는 데이터 패킷을 상기 USB 호스트로부터 전달받는 단계를 포함하는 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.And receiving a data packet including the security keyword data from the USB host. 청구항 4에 있어서,The method according to claim 4, 상기 보안 키워드 데이터는,The security keyword data, 상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성한 것을 특징으로 하는 USB 메모리에 대한 내용 분석기반 데이터 유출 방지 방법.Content analysis-based data leakage prevention method for the USB memory, characterized in that generated by extracting a key keyword from the contents of the important information of the data stored in the USB host. 삭제delete 접속된 USB 메모리로부터의 USB 식별정보를 근거로 내부 데이터로의 접근허용 여부를 판단하고, 상기 판단결과에 따라 내부 데이터로의 접근이 허용된 USB 메모리로 상기 데이터 중 중요 정보를 판단하기 위한 보안 키워드 데이터를 전송하여 연결설정을 실행하는 보안 관리 수단; 및A security keyword for determining whether to allow access to internal data based on USB identification information from a connected USB memory, and for determining important information among the data with a USB memory that is allowed to access internal data according to the determination result. Security management means for transmitting data to execute connection establishment; And 상기 접속된 USB 메모리와 데이터를 주고받기 위한 물리적 인터페이스를 제공하는 USB 호스트 콘트롤러를 포함하며,And a USB host controller providing a physical interface for exchanging data with the connected USB memory. 상기 보안 관리 수단은,The security management means, 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜젝션 및 어드레스 트랜잭션을 포함하는 토큰 패킷 및 상기 보안 키워드 데이터를 포함하는 데이터 패킷을 순차적으로 상기 접근이 허용된 USB 메모리로 전송하는 것을 특징으로 하는 USB 호스트.USB host, characterized in that for transmitting the data packet containing the security keyword data and the token packet including the setup transaction, the end transaction and address transaction as a request signal indicating the start of data transmission sequentially . USB 호스트와 데이터를 주고받기 위한 물리적 인터페이스를 제공하고, 접속한 USB 호스트로 USB 식별정보를 전송하여 내부 데이터로의 접근을 요청하는 USB 메모리 콘트롤러;A USB memory controller that provides a physical interface for exchanging data with a USB host, and transmits USB identification information to a connected USB host to request access to internal data; 상기 USB 메모리 콘트롤러를 통해 처리되는 데이터를 저장하는 메모리; 및A memory for storing data processed by the USB memory controller; And 상기 USB 호스트로부터 상기 USB 호스트의 내부 데이터로의 접근이 허용될 경우, 상기 USB 메모리 콘트롤러를 통해 수신된 데이터와 상기 USB 메모리로부터 전달되어 미리 저장된 보안 키워드 데이터의 순차 검색을 통해 중요 정보 여부를 판단하기 위한 동일한 문자열이 있는 지를 검색하고, 상기 검색 결과에 따라 수신된 데이터가 중요 정보일 경우에는 해당 데이터를 상기 메모리로의 저장을 차단하는 것을 특징으로 하는 보안 처리 수단을 포함하며,When access to the internal data of the USB host is allowed from the USB host, determining whether or not the important information through the sequential search of the data received through the USB memory controller and the security keyword data transmitted from the USB memory in advance And a security processing means for searching whether there is the same character string, and if the received data is important information according to the search result, blocking the data into the memory. 상기 보안 처리 수단은,The security processing means, 데이터 송신 개시를 알리는 요청 신호로서 셋업 트랜잭션, 엔드 트랜젝션 및 어드레스 트랜잭션을 포함하는 토큰 패킷 및 상기 보안 키워드 데이터를 포함하는 데이터 패킷을 상기 USB 호스트로부터 순차적으로 전달받는 것을 특징으로 하는 USB 메모리.And a token packet including a setup transaction, an end transaction, and an address transaction and a data packet including the security keyword data are sequentially received from the USB host as a request signal for notifying the start of data transmission. 청구항 8에 있어서,The method according to claim 8, 상기 보안 처리 수단의 보안 키워드 데이터는,The security keyword data of the security processing means is 상기 USB 호스트로부터 상기 USB 호스트의 내부 데이터로의 접근이 허용될 경우 수신되며, 상기 USB 호스트 내부에 저장된 데이터 중 중요 정보에 대한 내용으로부터 핵심 키워드를 추출하여 생성된 것을 특징으로 하는 USB 메모리.Received when the access to the internal data of the USB host is allowed from the USB host, USB memory, characterized in that generated by extracting a key keyword from the contents of the important information of the data stored in the USB host. 청구항 8에 있어서,The method according to claim 8, 상기 보안 처리 수단은, The security processing means, 상기 USB 호스트로부터 수신된 데이터를 순차적으로 검색하여 보안 키워드 데이터와 동일한 문자열이 있는지를 비교하여 동일한 문자열이 존재하는 데이터를 중요 정보로 판단하는 것을 특징으로 하는 USB 메모리.And sequentially searching the data received from the USB host to compare whether there is a same character string as the security keyword data, and to determine data having the same character string as important information.
KR1020080131560A 2008-12-22 2008-12-22 Method and system to prevent Data leakage using Content Inspection based USB Memory Device KR101122697B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080131560A KR101122697B1 (en) 2008-12-22 2008-12-22 Method and system to prevent Data leakage using Content Inspection based USB Memory Device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080131560A KR101122697B1 (en) 2008-12-22 2008-12-22 Method and system to prevent Data leakage using Content Inspection based USB Memory Device

Publications (2)

Publication Number Publication Date
KR20100072987A KR20100072987A (en) 2010-07-01
KR101122697B1 true KR101122697B1 (en) 2012-03-09

Family

ID=42636052

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080131560A KR101122697B1 (en) 2008-12-22 2008-12-22 Method and system to prevent Data leakage using Content Inspection based USB Memory Device

Country Status (1)

Country Link
KR (1) KR101122697B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101460297B1 (en) 2013-04-11 2014-11-13 한국전자통신연구원 Removable storage media control apparatus for preventing data leakage and method thereof

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101290852B1 (en) * 2011-04-12 2013-08-23 (주)누스코 Apparatus and Method for Preventing Data Loss Using Virtual Machine
TWI751962B (en) * 2019-04-07 2022-01-01 新唐科技股份有限公司 Secured device, secured method, secured system, and secured apparatus

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014653A1 (en) * 2001-07-10 2003-01-16 Peter Moller Memory device with data security in a processor

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030014653A1 (en) * 2001-07-10 2003-01-16 Peter Moller Memory device with data security in a processor

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101460297B1 (en) 2013-04-11 2014-11-13 한국전자통신연구원 Removable storage media control apparatus for preventing data leakage and method thereof

Also Published As

Publication number Publication date
KR20100072987A (en) 2010-07-01

Similar Documents

Publication Publication Date Title
KR100985857B1 (en) Device and method for detecting and preventing sensitive information leakage in portable terminal
JP5704518B2 (en) Confidential information leakage prevention system, confidential information leakage prevention method, and confidential information leakage prevention program
JP2007174633A (en) Computer implementation method for securely acquiring binding key for token device and secure memory device, and system for securely binding token device and secure memory device
US8090946B2 (en) Inter-system binding method and application based on hardware security unit
CN110602676B (en) Method for preventing hardware wallet from being maliciously paired
US20080307529A1 (en) Method and Apparatus for Protecting Internet Privacy
CN106657152A (en) Authentication method, server and access control device
JP6096376B2 (en) Access control method, apparatus, program, and recording medium
MX2010014464A (en) Secure memory management system and method.
CN106488394A (en) A kind of method and device of equipment connection
US20150237054A1 (en) System and methods for authorizing operations on a service using trusted devices
US7693675B2 (en) Method for protection of sensor node's data, a systems for secure transportation of a sensor node and a sensor node that achieves these
WO2019134494A1 (en) Verification information processing method, communication device, service platform, and storage medium
US20170201528A1 (en) Method for providing trusted service based on secure area and apparatus using the same
CN101159553A (en) Methods, systems for local blade server security
JP5521479B2 (en) Program, data storage device and data storage system
KR101122697B1 (en) Method and system to prevent Data leakage using Content Inspection based USB Memory Device
CN112804222B (en) Data transmission method, device, equipment and storage medium based on cloud deployment
CN100596219C (en) Communication terminal and its method and device for system bootstrapping
JP2001118042A (en) Card monitoring method
WO2002084512A1 (en) Method and system for restricting access from external
CN106878233B (en) Method for reading security data, security server, terminal and system
CN111885057A (en) Message middleware access method, device, equipment and storage medium
US20140033266A1 (en) Method and apparatus for providing concealed software execution environment based on virtualization
CN105071993A (en) Encryption state detection method and system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150126

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161216

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180213

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20190221

Year of fee payment: 8