KR101203804B1 - Security mobile storage apparatus and the control method - Google Patents

Security mobile storage apparatus and the control method Download PDF

Info

Publication number
KR101203804B1
KR101203804B1 KR1020090031153A KR20090031153A KR101203804B1 KR 101203804 B1 KR101203804 B1 KR 101203804B1 KR 1020090031153 A KR1020090031153 A KR 1020090031153A KR 20090031153 A KR20090031153 A KR 20090031153A KR 101203804 B1 KR101203804 B1 KR 101203804B1
Authority
KR
South Korea
Prior art keywords
secure
removable storage
storage device
primary key
key
Prior art date
Application number
KR1020090031153A
Other languages
Korean (ko)
Other versions
KR20100112724A (en
Inventor
박동훈
Original Assignee
닉스테크 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 닉스테크 주식회사 filed Critical 닉스테크 주식회사
Priority to KR1020090031153A priority Critical patent/KR101203804B1/en
Publication of KR20100112724A publication Critical patent/KR20100112724A/en
Application granted granted Critical
Publication of KR101203804B1 publication Critical patent/KR101203804B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0679Non-volatile semiconductor memory device, e.g. flash memory, one time programmable memory [OTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory

Abstract

보안 이동형 저장장치 및 그 제어 방법을 제안한다. 본 발명의 실시예에 따른 보안 이동형 저장장치는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함한다.A secure mobile storage device and a control method thereof are provided. According to an aspect of the present invention, there is provided a secure mobile storage device, comprising: a general area storing a mobile storage agent controlling a secure mobile storage device, encrypting a primary key using a user password, and decrypting the encrypted primary key; A secure area accessible only when data encrypted by the primary key is stored and verified successfully; And a hidden area for storing a security policy and the encrypted primary key.

보안, USB 메모리, 이동형 저장장치 Security, USB Memory, Removable Storage

Description

보안 이동형 저장장치 및 그 제어 방법{SECURITY MOBILE STORAGE APPARATUS AND THE CONTROL METHOD}SECURITY MOBILE STORAGE APPARATUS AND THE CONTROL METHOD}

본 발명의 실시예는 보안 이동형 저장장치 및 그 제어 방법에 관한 것으로, 특히, 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치 및 그 제어 방법에 관한 것이다.Embodiments of the present invention relate to a secure mobile storage device and a control method thereof, and in particular, a secure mobile storage device for encrypting and storing data in plain text, and encrypting and storing data stored in a secure area by decrypting the data and providing the control. It is about a method.

일반적으로, 컴퓨터의 발달로 개인 또는 기업 내에서 이루어지는 작업들이 전산화 되고 있으며, 이로 인하여 생성되는 데이터들은 PC에 저장되거나 별도의 이동형 저장매체에 저장되어 이동 또는 보관 되고 있다. 기존의 저장매체에는 PC 내장형으로 하드디스크, CDROM, 플로피 디스크가 있다. 기존의 이동이 가능한 저장매체에는 PC 외장형으로 외장형 하드디스크, Zip Drive, 멀티미디어 메모리 카드(MMC), USB 플래시 메모리 등이 존재하며, 이러한 저장매체는 데이터의 저장 및 공유가 가능한 컴퓨팅 환경을 확장한다. 그러나 급속하게 보편화되고 공유화 되는 컴퓨팅 환경은 이로 인해 발생하는 안전하지 못한 작업환경을 더불어 확장하고 있다.In general, due to the development of computers, tasks performed in an individual or a company are computerized, and the data generated therefrom are stored in a PC or stored in a separate portable storage medium to be moved or stored. Existing storage media include PC internal hard disk, CDROM and floppy disk. Existing removable storage media include external PCs, external hard disks, zip drives, multimedia memory cards (MMCs), and USB flash memories. These storage media expand the computing environment in which data can be stored and shared. However, the rapidly common and shared computing environment is expanding with the insecure working environment that arises.

따라서 생성 데이터에 대한 이동, 보관, 관리 및 공유 등의 업무에 있어서 안전하고 안정적인 방법이 필요하게 되었다. 상기 종래의 일반적인 기술은 데이터의 생성 및 보관에 있어서 평문의 형태로 저장하며, 이에 대한 보안은 별도의 SW에 의해 추가적으로 구현하여야 한다. 따라서 다자간의 데이터 교환에 있어서 안정성의 문제가 대두 되며, 다양한 컴퓨팅 시스템의 데이터 교환 또한 호환성의 문제가 발생된다. 또한 이동을 위한 데이터의 저장에 있어서 저장 데이터에 대한 안전한 이동이 어려우며, 제 3자에 의한 데이터의 유출에 노출되어 있다.Therefore, there is a need for a safe and stable method for moving, storing, managing, and sharing the generated data. The conventional technology is stored in the form of plain text in the generation and storage of data, security for this should be additionally implemented by a separate SW. Therefore, a problem of stability arises in the multi-party data exchange, and the data exchange of various computing systems also causes a problem of compatibility. In addition, in the storage of data for movement, it is difficult to safely move the stored data, and is exposed to the leakage of data by a third party.

본 발명의 실시예에 따른 보안 이동형 저장장치 및 그 제어 방법을 제공한다.Provided is a secure mobile storage device and a control method thereof according to an embodiment of the present invention.

본 발명의 실시예에 따라 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치를 제공한다.According to an embodiment of the present invention, there is provided a secure mobile storage device that encrypts and stores data in plain text, and encrypts and stores data encrypted by encrypting in a secure area.

본 발명의 실시예에 따라 평문을 암호화하고 암호문을 복호화하기 위해 필요로 하는 주키를 보조키를 이용하여 암호화하여 관리하는 보안 이동형 저장장치 및 그 제어 방법을 제공한다.According to an embodiment of the present invention, there is provided a secure mobile storage device and a method of controlling the same, which encrypts and manages a primary key required for encrypting a plain text and decrypting an encrypted text using an auxiliary key.

본 발명의 실시예에 따라 보안 이동형 저장장치에 저장된 보안 정책을 확인하여 보안 정책에 따라 보안 이동형 저장장치로의 접근, 읽기, 쓰기, 갱신의 처리를 제공하는 보안 이동형 저장장치 및 그 제어 방법을 제공한다.According to an embodiment of the present invention, by checking a security policy stored in a secure removable storage device and providing a secure removable storage device for providing access, read, write, update processing to the secure removable storage device according to the security policy and a control method thereof do.

본 발명의 실시예에 따른 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법은, 사용자 패스워드를 수신하여 검증하는 단계; 검증에 성공하면 보안 이동형 저장장치에 저장된 보안 정책을 확인하는 단계; 상기 보안 정책의 확인결과 상기 보안 이동형 저장장치를 사용 가능하면 상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치에 저장된 암호화된 주키를 복호화하는 단계; 및 상기 보안 정책 따라 상기 주키를 이용하여 상기 보안 이동형 저장장치로의 접근을 허용하는 단계를 포함한다.According to an embodiment of the present invention, a method of controlling a secure mobile storage device by a mobile storage agent includes: receiving and verifying a user password; Verifying a security policy stored in the secure removable storage device if the verification is successful; Decrypting an encrypted primary key stored in the secure mobile storage device using the user password if the secure mobile storage device is available as a result of checking the security policy; And allowing access to the secure removable storage device using the primary key according to the security policy.

본 발명의 실시예에 따른 보안 이동형 저장장치는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함한다.According to an aspect of the present invention, there is provided a secure mobile storage device, comprising: a general area storing a mobile storage agent controlling a secure mobile storage device, encrypting a primary key using a user password, and decrypting the encrypted primary key; A secure area accessible only when data encrypted by the primary key is stored and verified successfully; And a hidden area for storing a security policy and the encrypted primary key.

본 발명의 실시예는 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함하는 보안 이동형 저장장치에 관한 것으로, 데이터가 모두 암호화되어 보안 영역에 저장함으로 보안의 성능을 높이고, 데이터를 암호화 하고 복호화 하는 주키를 사용자 패스워드를 이용하여 암호화 하여 사용자 패스워드 변경을 용이하게 한다.An embodiment of the present invention provides a general area for controlling a mobile removable storage device, storing a mobile storage agent for encrypting a primary key using a user password and decrypting the encrypted primary key; A secure area accessible only when data encrypted by the primary key is stored and verified successfully; And a security policy and a hidden storage area for storing the encrypted primary key, wherein all data are encrypted and stored in the security area to increase security performance and to encrypt and decrypt data. Encrypt using to facilitate user password change.

이하에서, 본 발명에 따른 실시예들을 첨부된 도면을 참조하여 상세하게 설 명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다. 그리고 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the present invention is not limited to or limited by the embodiments. Like reference symbols in the drawings denote like elements. Further, if it is determined that the gist of the present invention may be unnecessarily blurred, detailed description thereof will be omitted.

본 발명의 실시 예는 평문의 데이터를 저장할 때 암호화하여 저장하고, 보안 영역에 암호화하여 저장된 데이터를 복호화하여 제공하는 보안 이동형 저장장치 및 그 제어 방법에 관한 것이다. 아래에서 도 1을 참조하여 보안 이동형 저장장치를 관리하고 주로 사용하는 보안 네트워크의 구성을 설명하고자 한다.Embodiments of the present invention relate to a secure mobile storage device and a method of controlling the same, encrypting and storing the plain text data, and encrypting and storing the encrypted data in a secure area. Hereinafter, a configuration of a security network that manages and mainly uses a secure mobile storage device will be described with reference to FIG. 1.

도 1은 본 발명의 일실시예에 따르는 보안 이동형 저장장치를 포함하는 보안 네트워크 시스템의 구성을 도시한 도면이다.1 is a diagram illustrating a configuration of a secure network system including a secure removable storage device according to an embodiment of the present invention.

도 1을 참조하면 보안 네트워크(100)는 보안을 관리하는 관리 서버(110)와 네트워크로 연결된 다수의 개인용 컴퓨터(PC: Personal Computer)(122, 124, 126)를 포함한다.Referring to FIG. 1, the security network 100 includes a plurality of personal computers (PCs) 122, 124, and 126 connected to a network with a management server 110 managing security.

보안 네트워크(100) 내에서 이동형 저장장치의 보안을 위해 보안 이동형 저장장치(130)가 사용된다. 보안 이동형 저장장치(130)는 기본적으로 보안 네트워크(100) 내에서 사용되 관리 서버(110)로부터 외부 PC에서의 사용허가를 획득하면 보안 네트워크(100) 외부의 PC(140)에서도 사용 가능하다. 외부 PC에서의 사용허가는 보안 이동형 저장장치(130)에 저장되는 보안 정책에 기록되며 보안 정책은 관리 서버(110)에 의해 관리된다. Secure removable storage 130 is used for security of removable storage in secure network 100. Secure portable storage device 130 is basically available in a secure network (100) when said are used in the from the management server 110 acquires the license from the external PC a secure network (100) PC (140) of the outer . The permission on the external PC is recorded in the security policy stored in the secure mobile storage device 130 and the security policy is managed by the management server 110.

관리 서버(110)는 보안 네트워크(100) 보안을 관리하고, 보안 이동형 저장장치(130)를 등록하고 보안 이동형 저장장치(130)의 보안 정책을 관리한다. 또 한, 관리 서버(110)는 PC(122, 124, 126)를 통해 분실 또는 사용 종료된 보안 이동형 저장장치(130)의 사용이 감지되면 이를 파기하도록 한다. 이때, 보안 정책에는 사용 가능한 PC에 관한 정보, 네트워크 외부에서의 사용허가 정보, 복사 방지 정보 및 각 PC별 권한 정보를 포함한다. 여기서 권한 정보란 보안 이동형 저장장치(130)로의 접근, 읽기, 쓰기, 갱신에 대한 권한을 보유하였는지 여부를 의미한다.Management server 110 manages security of the secure network 100, and registers the secure portable storage device 130, and manages a security policy of the secure portable storage device 130. In addition, the management server 110 to destroy when the use of the lost or terminated secure removable storage device 130 through the PC (122, 124, 126) is detected. In this case, the security policy includes information on available PCs, license information from outside the network, copy protection information, and authority information for each PC. In this case, the authority information means whether the user has the authority to access, read, write, and update the secure removable storage device 130.

관리 서버(110)는 네트워크 외부에서의 사용허가 시 보안 정책을 접근과 읽기 권한만 허가하고 복사 방지 정보를 복사 방지하도록 설정하여 클립보드 후킹(Clipboard hooker)을 통해 복사와 붙이기를 방지하여 읽기 전용으로만 동작하도록 한다.The management server 110 sets the security policy to allow only access and read permission and copy-protection information when copying from the network, and prevents copying and pasting through the clipboard hooker. Only work.

보안 네트워크(100) 내의 PC(122, 124, 126)는 보안을 위해 PC 에이전트를 이용하여 이동형 저장장치를 관리하도록 한다. 여기서, PC 에이전트는 PC(122, 124, 126)에서 관리 서버(110)에서 허가한 보안 이동형 저장장치(130)만을 사용하도록 한다.The PCs 122, 124, and 126 in the secure network 100 use a PC agent to manage removable storage for security. Here, the PC agent uses only the secure mobile storage device 130 authorized by the management server 110 in the PCs 122, 124, and 126.

보안 이동형 저장장치(130)는 아래 도 2와 같이 3개의 영역을 포함한다. 도 2는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 구성을 도시한 도면이다.Secure removable storage 130 includes three regions as shown in FIG. 2 below. 2 is a block diagram of a secure removable storage device according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 실시예에 따른 보안 이동형 저장장치(130)는 일반 영역(210), 보안 영역(220) 및 숨김 영역(230)으로 구분된다.2, the secure mobile storage device 130 according to an embodiment of the present invention is divided into a general area 210, a security area 220, and a hidden area 230.

일반 영역(210)은 쓰기가 금지된 구역으로 보안 이동형 저장장치(130)를 제어하는 이동형 저장장치 에이전트를 저장한다. 이동형 저장장치 에이전트를 통해 사용자 검증이 성공하기 전까지 일반 영역(210)만이 검색된다.The general area 210 stores the removable storage agent controlling the secure removable storage device 130 as a write prohibited area. Only the general area 210 is searched until the user verification is successful via the removable storage agent.

보안 영역(220)은 사용자 검증 후에 제공되는 영역으로 데이터를 암호화하여 저장한다. 보안 영역(220)에 저장되는 데이터는 항상 암호화 상태로 유지된다. 보안 영역(220)은 이동형 저장장치 에이전트에 의해 관리되며 검증된 사용자에게만 보여진다. 즉, 이동형 저장장치 에이전트는 보안 영역(220)에 데이터를 저장할 때, 암호화 하여 저장하고, 암호화된 데이터를 복호화 하여 읽는다.The security area 220 encrypts and stores data in an area provided after user verification. Data stored in the secure area 220 is always kept encrypted. Security zone 220 is managed by the removable storage agent and is only visible to verified users. That is, when storing data in the secure area 220, the mobile storage agent encrypts and stores the encrypted data, and decrypts and reads the encrypted data.

숨김 영역(230)은 이동형 저장장치 에이전트와 같이 인증된 에이전트만을 통해 접근 가능한 영역으로 보여지지 않는 영역이다. 숨김 영역(230)은 로그 정보, 보안 정보 및 상술한 보안 정책을 저장한다.The hidden area 230 is an area that is not viewed as an area accessible only through an authenticated agent, such as a mobile storage agent. The hidden area 230 stores log information, security information, and the above-described security policy.

여기서, 로그 정보는 사용자 인증에 관한 인증 로그와 보안 이동형 저장장치(130)에 저장된 데이터의 사용에 관한 사용 로그를 포함한다. 인증 로그는 사용자 ID, PC 정보, IP, MAC, 시간 및 네트워크 내부/외부 정보를 포함할 수 있다. 그리고, 사용 로그는 사용자 ID, PC 정보, IP, MAC, 시간, 네트워크 내부/외부 정보 데이터 파일명 및 읽기/쓰기에 관한 정보를 포함할 수 있다.Here, the log information includes an authentication log relating to user authentication and a usage log relating to use of data stored in the secure mobile storage device 130. The authentication log may include user ID, PC information, IP, MAC, time, and network internal / external information. The usage log may include user ID, PC information, IP, MAC, time, network internal / external information data file name, and information on read / write.

그리고, 보안 정보는 보안 영역(220)에 저장하는 데이터를 암호화 하고, 저장된 암호화 데이터를 복호화할 때 필요로 하는 정보이다. 보안 정보로는 보조키를 이용하여 암호화된 주키가 존재한다. 또한 보안 정보로 보조키를 생성할 때 필요한 추가 정보인 반복 횟수와 난수 발생값이 존재한다.The security information is information required when encrypting data stored in the security area 220 and decrypting the stored encrypted data. Security information includes a primary key encrypted using a secondary key. In addition, there are additional information necessary for generating an auxiliary key with security information, the number of repetitions and a random number generation value.

도 2에서 보안 이동형 저장장치(130)는 1000MB의 크기를 가지는 저장장치로서 일반 영역(210)에 32MB의 크기를 할당하고, 보안 영역(220)에 900MB의 크기를 할당하고, 숨김 영역(230)에 68MB를 할당하고 있다. 하지만 이는 하나의 실시예로 다양하게 분할 할 수 있다.In FIG. 2, the secure removable storage device 130 is a storage device having a size of 1000 MB, allocates a size of 32 MB to the general area 210, allocates a size of 900 MB to the secure area 220, and a hidden area 230. Allocating 68 MB for. However, this can be variously divided into one embodiment.

그러면, 이동형 저장장치 에이전트가 보안 영역(220)에 데이터를 저장할 때 암호화하는 방법과, 저장된 암호화 데이터를 복호화 하는 방법을 아래에서 도 3과 도 4를 통해 설명하고자 한다.Then, a method of encrypting when the mobile storage agent stores data in the secure area 220 and a method of decrypting the stored encrypted data will be described with reference to FIGS. 3 and 4 below.

한편, 보안 이동형 저장장치(130)는 구현에 따라 인터페이스부(미도시), 저장부(미도시) 및 제어부(미도시)를 포함하여 구현될 수도 있다. 이때, 인터페이스부는 PC와의 연결을 제공하고, 저장부는 일반 영역(210), 보안 영역(220) 및 숨김 영역(230)을 포함하고, 제어부는 이동형 저장장치 에이전트의 기능을 수행하도록 구현될 수도 있다.Meanwhile, the secure mobile storage device 130 may be implemented to include an interface unit (not shown), a storage unit (not shown), and a control unit (not shown). In this case, the interface unit may provide a connection with the PC, the storage unit may include a general area 210, a security area 220, and a hidden area 230, and the controller may be implemented to perform a function of a mobile storage agent.

도 3은 본 발명의 일실시예에 따르는 평문의 데이터가 보안 이동형 저장장치의 보안 영역에 저장되기 위해 암호문으로 암호화하는 과정을 기능 블록으로 도시한 도면이다.FIG. 3 is a functional block diagram illustrating a process of encrypting a plain text data by cipher text in order to be stored in a secure area of a secure mobile storage device according to an embodiment of the present invention.

도 3을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 복호화부(310)와 암호화부(320)를 통해 평문을 암호화 한다. Referring to FIG. 3, the mobile storage agent according to the embodiment of the present invention encrypts the plain text through the decryption unit 310 and the encryption unit 320.

복호화부(310)는 보조키를 이용하여 숨김 영역(230)에 저장된 암호화된 주키를 복호화하고 주키를 암호화부(320)로 제공한다. 그러면 암호화부(320)는 주키를 이용하여 평문을 암호화하여 암호문을 출력한다.The decryption unit 310 decrypts the encrypted primary key stored in the hidden area 230 using the auxiliary key and provides the primary key to the encryption unit 320. The encryption unit 320 then encrypts the plain text using the primary key and outputs an encrypted text.

여기서, 암호호된 주키를 복호화 하는 보조키로 사용자 패스워드를 설정할 수도 있고, 아래 도 5와 같이 사용자 패스워드를 이용하여 보조키를 생성할 수도 있다.In this case, the user password may be set as an auxiliary key for decrypting the encrypted primary key or an auxiliary key may be generated using the user password as shown in FIG. 5 below.

한편, 복호화부(310)와 암호화부(320)는 암호화와 복호화시 동일한 방법을 이용하고, 블록 단위의 암호화 체계인 ARIA를 이용할 수 있다. 즉, 복호화부(310)와 암호화부(320)는 모두 암호화가 복호화가 가능한 ARIA 블록 암호 알고리즘으로 구성할 수도 있다.Meanwhile, the decryption unit 310 and the encryption unit 320 may use the same method for encryption and decryption, and may use ARIA, which is a block-based encryption scheme. In other words, both the decryption unit 310 and the encryption unit 320 may be configured with an ARIA block encryption algorithm capable of decrypting encryption.

도 4는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 보안 영역에 저장된 암호문을 읽기 위해 평문으로 복호화 하는 과정을 기능 블록으로 도시한 도면이다.4 is a block diagram illustrating a process of decrypting a cipher text stored in a secure area of a secure mobile storage device according to an embodiment of the present invention into plain text as a functional block.

도 4를 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 제1 복호화부(410)와 제2 복호화부(420)를 통해 암호문을 평문으로 복호화 한다. Referring to FIG. 4, the mobile storage agent according to an embodiment of the present invention decrypts the cipher text into the plain text through the first decryption unit 410 and the second decryption unit 420.

제1 복호화부(410)는 보조키를 이용하여 숨김 영역(230)에 저장된 암호화된 주키를 복호화하고 주키를 제2 복호화부(420)로 제공한다. 그러면 제2 복호화부(420)는 주키를 이용하여 암호문을 암호화하여 암호문을 출력한다.The first decryption unit 410 decrypts the encrypted primary key stored in the hidden area 230 using the auxiliary key and provides the primary key to the second decryption unit 420. Then, the second decryption unit 420 encrypts the cipher text using the primary key and outputs the cipher text.

여기서, 암호호된 주키를 복호화 하는 보조키로 사용자 패스워드를 설정할 수도 있고, 아래 도 5와 같이 사용자 패스워드를 이용하여 보조키를 생성할 수도 있다.In this case, the user password may be set as an auxiliary key for decrypting the encrypted primary key or an auxiliary key may be generated using the user password as shown in FIG. 5 below.

한편, 제1 복호화부(410)와 제2 복호화부(420)는 블록 단위의 암호화 체계인 ARIA를 이용할 수 있다. 즉, 제1 복호화부(410)와 제2 복호화부(420)는 모두 암호화가 복호화가 가능한 ARIA 블록 암호 알고리즘으로 구성할 수도 있다.Meanwhile, the first decryption unit 410 and the second decryption unit 420 may use ARIA, which is a block-based encryption scheme. That is, both the first decryption unit 410 and the second decryption unit 420 may be configured with an ARIA block encryption algorithm capable of decrypting encryption.

도 5는 본 발명의 일실시예에 따르는 사용자 패스워드를 이용하여 보조키를 생성하는 과정을 기능 블록으로 도시한 도면이다. 도 5를 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 키 생성부(510)를 통해 보조키를 생성한다.5 is a block diagram illustrating a process of generating a supplementary key using a user password according to an embodiment of the present invention. Referring to FIG. 5, the mobile storage agent according to an embodiment of the present invention generates an auxiliary key through the key generator 510.

키 생성부(510)는 숨김 영역(230)에 저장된 보안 정보인 반복 횟수와 난수 발생값을 읽어오고 사용자 패스워드를 입력받아 3개의 값을 이용하여 보조키를 생성한다. 키 생성부(510)는 패스워드 기반 암호 표준 중 PBKDF2(Password-Based Key Derivation Function)를 이용하여 보조키를 생성할 수 있다.The key generation unit 510 reads the repetition number and the random number generation value, which is security information stored in the hidden area 230, receives a user password, and generates an auxiliary key using three values. The key generator 510 may generate an auxiliary key using a password-based key derivation function (PBKDF2) among password-based encryption standards.

본 발명의 실시예에 따른 이동형 저장장치 에이전트는 도 3과 도 4의 방법을 이용하여 암호화 하고 복호화 하기 때문에 사용자 패스워드를 변경하는 경우 보안 영역(220)에 저장된 암호화 데이터를 모두 복호화 하고 다시 변경된 사용자 패스워드를 이용하여 암호화하지 않아도 된다.Since the mobile storage agent according to the embodiment of the present invention encrypts and decrypts using the method of FIGS. 3 and 4, when changing the user password, the mobile storage agent decrypts all the encrypted data stored in the security area 220 and changes the user password again. There is no need to encrypt using.

이하, 상기와 같이 구성된 본 발명에 따른 보안 이동형 저장장치의 제어 방법을 아래에서 도면을 참조하여 설명한다.Hereinafter, a control method of a secure mobile storage device according to the present invention configured as described above will be described with reference to the accompanying drawings.

도 6은 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 사용자를 검증하고 보안 이동형 저장장치를 제어하는 과정을 도시한 흐름도이다.FIG. 6 is a flowchart illustrating a process in which a mobile storage agent verifies a user and controls a secure mobile storage device according to an embodiment of the present invention.

도 6을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 610단계로 진행하여 사용자 패스워드를 수신하고 612단계로 진행하여 수신한 사용자 패스워드를 검증 성공여부를 확인하다. 612단계의 확인결과 사용자 패스워드의 검증에 실패하면 이동형 저장장치 에이전트는 610단계로 진행하여 사용자 패스워드를 다시 수신한다.Referring to FIG. 6, the mobile storage agent according to the embodiment of the present invention proceeds to step 610 to receive a user password, and proceeds to step 612 to verify whether the received user password is successfully verified. If the verification of the user password fails in step 612, the mobile storage agent proceeds to step 610 to receive the user password again.

612단계의 확인결과 사용자 패스워드의 검증에 성공하면 이동형 저장장치 에이전트는 614단계로 진행하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 보안 정책을 확인한다.If the verification of the user password is successful in step 612, the mobile storage agent proceeds to step 614 and checks the security policy stored in the hidden area 230 of the secure mobile storage device 130.

이후, 이동형 저장장치 에이전트는 616단계로 진행하여 보안 이동형 저장장치가 사용중인 PC를 확인하여 보안 정책에 따라 보안 이동형 저장장치를 사용 가능한지를 확인한다. 616단계의 확인결과 보안 정책에 따라 보안 이동형 저장장치를 사용할 수 없으면 이동형 저장장치 에이전트는 본 알고리즘을 종료한다.Thereafter, the mobile storage agent proceeds to step 616 to check whether the secure mobile storage device is in use and confirms whether the secure mobile storage device is available according to the security policy. If the secure removable storage device cannot be used according to the security policy of step 616, the removable storage agent terminates the algorithm.

616단계의 확인결과 보안 정책에 따라 보안 이동형 저장장치를 사용할 수 있으면 이동형 저장장치 에이전트는 618단계로 진행하여 사용자 패스워드를 이용하여 도 5와 같이 보조키를 생성한다. 그리고, 620단계로 진행하여 생성한 보조키를 이용하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 암호화된 주키를 복호화 한다. 그리고, 622단계로 진행하여 보안 정책의 권한 정보와 복사 방지 정보를 고려하여 보안 이동형 저장장치(130)의 사용을 허가한다.If the secure mobile storage device is available according to the security policy of step 616, the mobile storage agent proceeds to step 618 to generate a secondary key as shown in FIG. 5 using the user password. In operation 620, the encrypted primary key stored in the hidden area 230 of the secure mobile storage device 130 is decrypted using the generated auxiliary key. In operation 622, the security removable storage device 130 is allowed to use in consideration of the authorization information and the copy protection information of the security policy.

보안 이동형 저장장치(130)의 사용 허가는 주키를 이용하여 저장된 암호화 데이터를 복호화 하여 사용자에게 제공하고, 쓰기 또는 갱신하는 경우 데이터를 주키를 이용하여 암호화 하여 저장한다.The use permission of the secure mobile storage device 130 decrypts and stores the encrypted data using the primary key to the user, and encrypts and stores the data using the primary key when writing or updating.

보안 이동형 저장장치(130)을 네트워크 외부에서 사용 허가하는 경우 보안 정책은 보안 이동형 저장장치(130)로의 접근과 읽기 권한만 허가된다. 또한, 보안 정책의 복사 방지 정보가 복사 방지하도록 설정되어 클립보드 후킹(Clipboard hooker)을 통한 복사와 붙이기가 방지되도록 한다.If the secure removable storage device 130 is licensed outside of the network, the security policy only permits access and read access to the secure removable storage device 130. In addition, the copy protection information of the security policy is set to copy protection to prevent copying and pasting through the clipboard hooker.

도 7은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자를 등록하는 과정을 도시한 흐름도이다.7 is a flowchart illustrating a process of registering a user of a secure mobile storage device by a mobile storage agent according to an embodiment of the present invention.

도 7을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 710단계에서 사용자 등록 이벤트의 발생을 감지하면, 712단계로 진행하여 등록할 사용자 패스워드를 수신한다.Referring to FIG. 7, when the mobile storage agent detects occurrence of a user registration event in step 710, the mobile storage agent according to an embodiment of the present invention proceeds to step 712 and receives a user password to register.

이후, 이동형 저장장치 에이전트는 714단계로 진행하여 사용자 패스워드를 이용하여 도 5와 같이 보조키 생성한다. 그리고 이동형 저장장치 에이전트는 716단계로 진행하여 보조키를 이용하여 주키를 암호화한다. 이때 주키는 난수 발생을 통해 생성할 수 있다. 그리고 이동형 저장장치 에이전트는 718단계로 진행하여 보조키를 생성할 때 필요한 정보와 암호화된 주키를 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장한다.Thereafter, the mobile storage agent proceeds to step 714 to generate a secondary key as shown in FIG. 5 using the user password. The mobile storage agent proceeds to step 716 to encrypt the primary key using the secondary key. At this time, the primary key can be generated through random number generation. The mobile storage agent proceeds to step 718 to store the information necessary for generating the auxiliary key and the encrypted primary key in the hidden area 230 of the secure mobile storage device 130.

도 8은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자 패스워드를 변경하는 과정을 도시한 흐름도이다.8 is a flowchart illustrating a process of changing a user password of a secure mobile storage device by a mobile storage agent according to an embodiment of the present invention.

도 8을 참조하면 본 발명의 실시예에 따른 이동형 저장장치 에이전트는 810단계에서 사용자 패스워드 변경 이벤트의 발생을 감지하면, 812단계로 진행하여 등 록된 현재 사용자 패스워드를 수신한다.Referring to FIG. 8, when the mobile storage agent detects occurrence of a user password change event in step 810, the mobile storage agent according to an embodiment of the present invention proceeds to step 812 to receive a registered current user password.

이후, 이동형 저장장치 에이전트는 814단계로 진행하여 현재 사용자 패스워드와 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 보조키를 생성할 때 필요한 정보를 이용하여 현재 보조키를 생성한다. 그리고, 816단계로 진행하여 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장된 암호화된 주키를 복호화한다.Thereafter, the mobile storage agent proceeds to step 814 to generate the current auxiliary key using the current user password and the information necessary for generating the auxiliary key stored in the hidden area 230 of the secure mobile storage device 130. In operation 816, the encrypted primary key stored in the hidden area 230 of the secure mobile storage device 130 is decrypted.

그리고 이동형 저장장치 에이전트는 818단계로 진행하여 변경할 사용자 패스워드를 수신하고, 820단계로 진행하여 변경할 사용자 패스워드를 이용하여 변경할 보조키 생성하고, 822단계로 진행하여 변경할 보조키로 주키를 암호화한다.The mobile storage agent proceeds to step 818 to receive the user password to change, proceeds to step 820 to generate a secondary key to be changed using the user password to change, and proceeds to step 822 to encrypt the primary key with the secondary key to be changed.

그리고 이동형 저장장치 에이전트는 824단계로 진행하여 변경할 보조키를 생성할 때 필요한 정보와 암호화된 주키를 보안 이동형 저장장치(130)의 숨김 영역(230)에 저장한다.The mobile storage agent proceeds to step 824 to store the information necessary for generating the auxiliary key to be changed and the encrypted primary key in the hidden area 230 of the secure mobile storage device 130.

또한, 본 발명의 실시예들은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매 체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. Further, embodiments of the present invention include a computer readable medium having program instructions for performing various computer implemented operations. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The media may be program instructions that are specially designed and constructed for the present invention or may be available to those skilled in the art of computer software. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.

이상과 같이 본 발명에서는 구체적인 구성 요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.In the present invention as described above has been described by the specific embodiments, such as specific components and limited embodiments and drawings, but this is provided to help a more general understanding of the present invention, the present invention is not limited to the above embodiments. For those skilled in the art, various modifications and variations are possible from these descriptions. Accordingly, the spirit of the present invention should not be construed as being limited to the embodiments described, and all of the equivalents or equivalents of the claims, as well as the following claims, belong to the scope of the present invention .

도 1은 본 발명의 일실시예에 따르는 보안 이동형 저장장치를 포함하는 보안 네트워크 시스템의 구성을 도시한 도면,1 is a block diagram of a secure network system including a secure removable storage device according to an embodiment of the present invention;

도 2는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 구성을 도시한 도면,2 is a block diagram of a secure removable storage device according to an embodiment of the present invention;

도 3은 본 발명의 일실시예에 따르는 평문의 데이터가 보안 이동형 저장장치의 보안 영역에 저장되기 위해 암호문으로 암호화하는 과정을 기능 블록으로 도시한 도면,3 is a functional block diagram illustrating a process of encrypting a plain text data by cipher text to be stored in a secure area of a secure mobile storage device according to an embodiment of the present invention;

도 4는 본 발명의 일실시예에 따르는 보안 이동형 저장장치의 보안 영역에 저장된 암호문을 읽기 위해 평문으로 복호화 하는 과정을 기능 블록으로 도시한 도면,4 is a functional block diagram illustrating a process of decrypting a cipher text stored in a secure text of a secure removable storage device according to an embodiment of the present invention in plain text,

도 5는 본 발명의 일실시예에 따르는 사용자 패스워드를 이용하여 보조키를 생성하는 과정을 기능 블록으로 도시한 도면,5 is a functional block diagram illustrating a process of generating an auxiliary key using a user password according to an embodiment of the present invention;

도 6은 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 사용자를 검증하고 보안 이동형 저장장치를 제어하는 과정을 도시한 흐름도,6 is a flowchart illustrating a process of a mobile storage agent verifying a user and controlling a secure mobile storage device according to an embodiment of the present invention;

도 7은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자를 등록하는 과정을 도시한 흐름도 및,7 is a flowchart illustrating a process of registering a user of a secure mobile storage device by a mobile storage agent according to an embodiment of the present invention;

도 8은 본 발명의 일실시예에 따르는 본 발명의 일실시예에 따르는 이동형 저장장치 에이전트가 보안 이동형 저장장치의 사용자 패스워드를 변경하는 과정을 도시한 흐름도이다.8 is a flowchart illustrating a process of changing a user password of a secure mobile storage device by a mobile storage agent according to an embodiment of the present invention.

Claims (17)

사용자 패스워드를 수신하여 검증하는 단계;Receiving and verifying a user password; 검증에 성공하면 보안 이동형 저장장치의 숨김영역에 저장된 보안 정책을 확인하는 단계;Verifying a security policy stored in a hidden area of the secure removable storage device when the verification is successful; 상기 보안 정책의 확인결과 상기 보안 이동형 저장장치를 사용 가능하면 상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치의 숨김영역에 저장된 암호화된 주키를 복호화하는 단계; 및Decrypting an encrypted primary key stored in a hidden area of the secure mobile storage device using the user password if the secure mobile storage device is available as a result of checking the security policy; And 상기 보안 정책 따라 상기 주키를 이용하여 상기 보안 이동형 저장장치로의 접근을 허용하는 단계를 포함하고,Allowing access to the secure removable storage device using the primary key according to the security policy; 상기 보안 정책은,The security policy is, 상기 보안 이동형 저장장치의 사용이 가능한 PC에 관한 정보 및 네트워크 외부에서의 사용허가를 포함하고,Information about a PC capable of using the secure mobile storage device and a license from outside the network; 상기 보안 이동형 저장장치로의 접근을 허용하는 단계는,Allowing access to the secure removable storage device, a) 상기 보안 정책이 보안 네트워크 외부에서 사용 가능으로 설정되고 보안 네크워크 외부에서 사용하는 경우 상기 보안 이동형 저장장치에 저장된 암호화된 데이터로의 접근과 읽기만을 제공하고 복사를 방지하고, a) when the security policy is enabled outside the secure network and used outside the secure network, only provides access to and read from encrypted data stored on the secure removable storage device and prevents copying; b) 상기 보안 정책에 읽기 권한이 존재하고 상기 보안 이동형 저장장치에 저장된 암호화된 데이터의 읽기를 요청 받으면, 상기 주키를 이용하여 상기 암호화된 데이터를 복호화하여 제공하고, b) if a read right exists in the security policy and a request is made to read encrypted data stored in the secure removable storage device, the encrypted data is decrypted and provided using the primary key; c) 상기 보안 정책에 쓰기 권한이 존재하고 상기 보안 이동형 저장장치에 데이터의 저장을 요청 받으면, 상기 주키를 이용하여 상기 데이터를 암호화 하여 저장하는 것을 포함하는c) encrypting and storing the data using the primary key when a write right exists in the security policy and a request for storing data is received from the secure portable storage device. 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 제1항에 있어서,The method of claim 1, 상기 보안 정책은,The security policy is, 복사 방지 정보, 접근 권한 정보, 읽기 권한 정보, 쓰기 권한 정보 및 갱신 권한 정보를 더 포함하는Further comprising copy protection information, access right information, read right information, write right information and update right information 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 제1항에 있어서,The method of claim 1, 상기 보안 정책은,The security policy is, 상기 보안 이동형 저장장치를 등록하고 관리하는 관리 서버에 의해 설정되는Set by a management server that registers and manages the secure removable storage device. 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 제1항에 있어서,The method of claim 1, 상기 사용자 패스워드를 이용하여 상기 보안 이동형 저장장치에 저장된 상기 암호화된 주키를 복호화하는 단계는,Decrypting the encrypted primary key stored in the secure removable storage device using the user password, 상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계; 및Generating an auxiliary key using the user password; And 상기 보조키를 이용하여 상기 암호화된 주키를 복호화 하는 단계를 포함하는 Decrypting the encrypted primary key using the auxiliary key; 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 삭제delete 삭제delete 삭제delete 제1항에 있어서,The method of claim 1, 상기 사용자 패스워드의 등록을 요청 받으면, 상기 사용자 패스워드를 수신하는 단계;Receiving the user password when requested to register the user password; 상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계;Generating an auxiliary key using the user password; 상기 보조키를 이용하여 상기 주키를 암호화하는 단계; 및Encrypting the primary key using the auxiliary key; And 상기 암호화된 주키를 상기 보안 이동형 저장장치에 저장하는 단계를 더 포함하는 Storing the encrypted primary key in the secure removable storage device; 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 제1항에 있어서,The method of claim 1, 상기 사용자 패스워드의 변경을 요청 받으면, 상기 사용자 패스워드를 수신하는 단계;Receiving the user password when requested to change the user password; 상기 사용자 패스워드를 이용하여 보조키를 생성하는 단계;Generating an auxiliary key using the user password; 상기 보조키를 이용하여 상기 암호화된 주키를 복호화하는 단계;Decrypting the encrypted primary key using the auxiliary key; 변경할 사용자 패스워드를 수신하는 단계;Receiving a user password to change; 상기 변경할 사용자 패스워드를 이용하여 변경할 보조키를 생성하는 단계;Generating an auxiliary key to be changed using the user password to be changed; 상기 변경할 보조키를 이용하여 상기 주키를 암호화하는 단계; 및Encrypting the primary key using the secondary key to be changed; And 상기 변경할 보조키로 암호화된 주키를 저장하는 단계를 더 포함하는 Storing the primary key encrypted with the secondary key to be changed; 이동형 저장장치 에이전트가 보안 이동형 저장장치를 제어하는 방법.How removable storage agents control secure removable storage. 보안 이동형 저장장치를 제어하고 사용자 패스워드를 이용하여 주키를 암호화하고 상기 암호화된 주키를 복호화하는 이동형 저장장치 에이전트를 저장하는 일반 영역;A general area for controlling a secure mobile storage device, storing a mobile storage agent for encrypting a primary key using a user password and for decrypting the encrypted primary key; 상기 주키에 의해 암호화된 데이터가 저장되고 검증에 성공한 경우에만 접근 가능한 보안 영역; 및 A secure area accessible only when data encrypted by the primary key is stored and verified successfully; And 보안 정책과 상기 암호화된 주키를 저장하는 숨김 영역을 포함하고,A hidden area for storing a security policy and the encrypted primary key, 상기 보안 정책은,The security policy is, 상기 보안 이동형 저장장치의 사용이 사용 가능한 PC에 관한 정보 및 네트워크 외부에서의 사용허가 정보를 포함하고,Information about a PC that can use the secure mobile storage device and license information outside the network; 상기 이동형 저장장치 에이전트는,The mobile storage agent, a) 상기 보안 정책이 보안 네트워크 외부에서 사용 가능으로 설정되고 보안 네크워크 외부에서 사용하는 경우 상기 보안 이동형 저장장치에 저장된 암호화된 데이터로의 접근과 읽기만을 제공하고 복사를 방지하고,a) when the security policy is enabled outside the secure network and used outside the secure network, only provides access to and read from encrypted data stored on the secure removable storage device and prevents copying; b) 상기 보안 정책에 읽기 권한이 존재하고 상기 보안 이동형 저장장치에 저장된 암호화된 데이터의 읽기를 요청 받으면, 상기 주키를 이용하여 상기 암호화된 데이터를 복호화하고,b) if a read right exists in the security policy and a request is made to read encrypted data stored in the secure removable storage device, the encrypted data is decrypted using the primary key; c) 상기 보안 정책에 쓰기 권한이 존재하고 상기 보안 이동형 저장장치에 데이터의 저장을 요청 받으면, 상기 주키를 이용하여 상기 데이터를 암호화 하는,c) encrypting the data using the primary key when a write right exists in the security policy and a request is made to store data in the secure removable storage device; 보안 이동형 저장장치.Secure removable storage. 제10항에 있어서,The method of claim 10, 상기 숨김 영역은,The hidden area is, 상기 주키를 암호화하고 복호화를 위해 사용하는 보조키를 생성하는데 필요로 하는 반복 횟수와 난수 발생값을 저장하는Stores the number of repetitions and random number generation required to generate a secondary key used for encrypting and decrypting the primary key. 보안 이동형 저장장치.Secure removable storage. 제10항에 있어서,The method of claim 10, 상기 숨김 영역은,The hidden area is, 사용자 인증에 관한 인증 로그와 상기 보안 이동형 저장장치에 저장된 데이터의 사용 로그를 저장하는An authentication log relating to user authentication and a usage log of data stored in the secure removable storage device are stored. 보안 이동형 저장장치.Secure removable storage. 제10항에 있어서,The method of claim 10, 상기 보안 정책은,The security policy is, 복사 방지 정보, 접근 권한 정보, 읽기 권한 정보, 쓰기 권한 정보 및 갱신 권한 정보를 더 포함하는Further comprising copy protection information, access right information, read right information, write right information and update right information 보안 이동형 저장장치.Secure removable storage. 제10항에 있어서,The method of claim 10, 상기 보안 정책은,The security policy is, 상기 보안 이동형 저장장치를 등록하고 관리하는 관리 서버에 의해 설정되는Set by a management server that registers and manages the secure removable storage device. 보안 이동형 저장장치.Secure removable storage. 제10항에 있어서,The method of claim 10, 상기 이동형 저장장치 에이전트는,The mobile storage agent, 상기 사용자 패스워드와 반복 횟수와 난수 발생값를 이용하여 보조키를 생성하고, 상기 보조키를 이용하여 상기 주키를 암호화 하여 상기 암호화된 주키를 생성하고, 생성한 상기 암호화된 주키, 상기 반복 횟수 및 상기 난수 발생값을 상기 숨김 영역에 저장하는A secondary key is generated using the user password, the number of repetitions, and a random number generation value, and the encrypted primary key is generated by encrypting the primary key using the auxiliary key, and the generated encrypted primary key, the number of repetitions, and the random number are generated. Storing the occurrence value in the hidden area 보안 이동형 저장장치.Secure removable storage. 제15항에 있어서,16. The method of claim 15, 상기 이동형 저장장치 에이전트는,The mobile storage agent, 상기 사용자 패스워드와 상기 반복 횟수와 상기 난수 발생값를 이용하여 상기 보조키를 생성하고, 상기 보조키를 이용하여 상기 암호화된 주키를 상기 주키로 복호화하는Generating the auxiliary key using the user password, the number of repetitions, and the random number generation value, and decrypting the encrypted primary key to the primary key using the auxiliary key; 보안 이동형 저장장치.Secure removable storage. 삭제delete
KR1020090031153A 2009-04-10 2009-04-10 Security mobile storage apparatus and the control method KR101203804B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090031153A KR101203804B1 (en) 2009-04-10 2009-04-10 Security mobile storage apparatus and the control method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090031153A KR101203804B1 (en) 2009-04-10 2009-04-10 Security mobile storage apparatus and the control method

Publications (2)

Publication Number Publication Date
KR20100112724A KR20100112724A (en) 2010-10-20
KR101203804B1 true KR101203804B1 (en) 2012-11-22

Family

ID=43132521

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090031153A KR101203804B1 (en) 2009-04-10 2009-04-10 Security mobile storage apparatus and the control method

Country Status (1)

Country Link
KR (1) KR101203804B1 (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120100046A (en) 2011-03-02 2012-09-12 삼성전자주식회사 Apparatus and method for access control of contents in distributed environment network
DE102016213164A1 (en) * 2016-07-19 2018-01-25 Siemens Aktiengesellschaft Storage device, data transfer device and method for transferring data
KR102124578B1 (en) * 2018-08-02 2020-06-18 주식회사 누리랩 Method for securing storage device and security apparatus using the same
CN113453230B (en) * 2020-03-25 2023-11-14 中国电信股份有限公司 Terminal management method and system and security agent

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085149A (en) 2001-06-07 2003-03-20 Systemneeds Inc Fingerprint authenticating device and authenticating system
JP2008040597A (en) * 2006-08-02 2008-02-21 Sony Corp Storage device, method, information processor and method

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003085149A (en) 2001-06-07 2003-03-20 Systemneeds Inc Fingerprint authenticating device and authenticating system
JP2008040597A (en) * 2006-08-02 2008-02-21 Sony Corp Storage device, method, information processor and method

Also Published As

Publication number Publication date
KR20100112724A (en) 2010-10-20

Similar Documents

Publication Publication Date Title
US7487366B2 (en) Data protection program and data protection method
US9075957B2 (en) Backing up digital content that is stored in a secured storage device
US8181028B1 (en) Method for secure system shutdown
US8966580B2 (en) System and method for copying protected data from one secured storage device to another via a third party
US20090276474A1 (en) Method for copying protected data from one secured storage device to another via a third party
JP2008257691A (en) System and method for storage device data encryption and data access
JP6591495B2 (en) Mobile device with built-in access control function
US20150113272A1 (en) Method and apparatus for authenticating and managing application using trusted platform module
CN107590395B (en) Multilayer data encryption method, device, equipment and system suitable for cloud environment
JPWO2006004130A1 (en) Data management method, program thereof, and program recording medium
US20090296937A1 (en) Data protection system, data protection method, and memory card
CN105612715A (en) Security processing unit with configurable access control
CN104318176A (en) Terminal and data management method and device thereof
US11943345B2 (en) Key management method and related device
KR101203804B1 (en) Security mobile storage apparatus and the control method
JP6357091B2 (en) Information processing apparatus and computer program
KR101208617B1 (en) Apparatus for sharing single certificate of multi application and method thereof
KR20080096054A (en) Method for writing data by encryption and reading the data thereof
US20130014286A1 (en) Method and system for making edrm-protected data objects available
KR100945181B1 (en) Storage system, middle storage and data management method for data protection using file name
KR20170053459A (en) Encryption and decryption method for protecting information
KR100952300B1 (en) Terminal and Memory for secure data management of storage, and Method the same
JP2008147946A (en) Authentication method, authentication system, and external recording medium
JP4192738B2 (en) Electronic document editing device, electronic document editing program
CN111159760A (en) Large-capacity storage data hiding and protecting device based on security chip

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150827

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161109

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20171109

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20181116

Year of fee payment: 7