KR101327193B1 - 사용자 접근추적이 가능한 이동식 저장매체 보안 방법 - Google Patents

사용자 접근추적이 가능한 이동식 저장매체 보안 방법 Download PDF

Info

Publication number
KR101327193B1
KR101327193B1 KR1020110065911A KR20110065911A KR101327193B1 KR 101327193 B1 KR101327193 B1 KR 101327193B1 KR 1020110065911 A KR1020110065911 A KR 1020110065911A KR 20110065911 A KR20110065911 A KR 20110065911A KR 101327193 B1 KR101327193 B1 KR 101327193B1
Authority
KR
South Korea
Prior art keywords
client
password
server
user
access information
Prior art date
Application number
KR1020110065911A
Other languages
English (en)
Other versions
KR20130004701A (ko
Inventor
이선호
이임영
남승일
Original Assignee
(주)삼성디지탈솔루션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)삼성디지탈솔루션 filed Critical (주)삼성디지탈솔루션
Priority to KR1020110065911A priority Critical patent/KR101327193B1/ko
Publication of KR20130004701A publication Critical patent/KR20130004701A/ko
Application granted granted Critical
Publication of KR101327193B1 publication Critical patent/KR101327193B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

서버, 사용자 단말, 및 사용자 단말에 이동식 저장매체가 삽입되면 사용자 단말에서 실행되는 클라이언트에 의해, 이동식 저장매체의 보안영역을 암호화하고 접근 정보를 저장하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 있어서, 이동식 저장매체에 보안 영역을 설정할 때, 기기의 구매인증코드로 인증하고, 기기의 식별번호 및 사용자의 비밀번호를 사용자 기기의 인증을 위해 서버에 저장하고, 사용자의 비밀번호 및 서버가 생성한 키생성자로 암호키를 만들어 이동식 저장매체의 보안영역을 암호화하고; 이동식 저장매체에 보안 영역을 접근하고자 할 때, 기기의 식별번호 및 사용자의 비밀번호로 사용자 기기의 인증을 서버에 요청하고, 서버로부터 키생성자를 수신하여 사용자의 비밀번호 및 키생성자로 암호키를 복원하여 이동식 저장매체의 보안영역을 복호화하되; 서버에 기기 접속을 위해 요청할 때 접속정보를 암호화하여 저장하는 구성을 마련한다.
상기와 같은 이동식 저장매체 보안 방법에 의하여, 이동식 저장매체를 접근할 때 항상 서버에 접속하게 하여 접속 정보를 저장함으로써, 이동식 저장매체 및 비밀번호 등이 유출되더라도 사용자의 접근 정보를 확보하여 사후 추적을 할 수 있다.

Description

사용자 접근추적이 가능한 이동식 저장매체 보안 방법{ A user-access trackable security method for removable storage media}
본 발명은 서버, 사용자 단말, 및 사용자 단말에 이동식 저장매체가 삽입되면 사용자 단말에서 실행되는 클라이언트에 의해, 이동식 저장매체의 보안영역을 암호화하고 접근 정보를 서버에 저장하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 관한 것이다.
또한, 본 발명은 이동식 저장매체에 보안영역을 설정할 때 서버에서 생성한 키생성자 및 사용자의 비밀번호로 암호키를 생성하여 보안영역을 암호화하고, 이동식 저장매체의 보안영역을 복호화하기 위해 서버에 키생성자를 요청하게 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 관한 것이다.
휴대용 저장장치는 기술의 발달로 인하여 대용량화가 급격히 진행 되었으며 휴대성 또한 점차 발전하게 되었다. 그 중 USB 메모리는 데이터의 전송속도가 빠르며, 휴대가 간편하여 휴대용 저장장치로서 널리 사용되고 있다. 이와 같은 장점으로 인하여 휴대용 저장장치 사용자가 증가하였으며, 기업체에서도 휴대용 저장장치를 사용하여 업무의 효율성을 높였다.
그러나 USB 메모리 등 이동식 저장매체의 휴대성으로 인하여 USB 메모리의 분실 및 도난이 잦아졌고 그로 인하여 USB메모리 내부에 저장되어 있는 개인정보 및 기업의 주요정보가 유출되는 사고가 발생되는 문제점이 발생되었다.
이러한 사고를 방지하기 위해 인증된 사용자에게만 보안영역을 제공하는 보안USB 솔루션이 출시되었다. 하지만, 기존에 출시되어 판매되고 있는 보안 솔루션의 경우 악의적인 사용자가 사용자 인증을 시도한 경우, 이를 추적하는 기술이 제공되지 않거나 오프라인 환경에서 이루어지는 사용자 인증 시도에 대하여 대응하지 못하는 문제점을 가지고 있다.
따라서 새로운 사용자 추적 가능한 이동식 저장매체 보안방법과 그 시스템은 다음과 같은 요구사항을 만족해야한다.
기밀성(Confidentiality): 클라이언트와 서버간의 통신은 정당한 주체만이 확인할 수 있어야 한다. 또한, 서버에 저장되는 클라이언트의 접속정보는 비윤리적인 서버관리자에게 노출되지 않도록 하는 기밀성이 제공되어야 한다.
무결성(Integrity): 사용자 인증 값 및 암호화 등에 사용되는 킷값은 위조 또는 변조되거나 파괴되지 않도록 해야 한다. 만약 위조, 삭제, 및 변경이 되었다면 그 사실을 확인할 수 있어야 한다.
인증(Authentication): 인증되지 않은 사용자가 저장매체의 보안영역에 접근하는 것을 차단해야 하며, 그 신원이 거짓이 아닌 정당한 사용자라는 것을 검증할 수 있어야 한다.
가용성(Availability): 다양한 저장매체에 적용 가능해야 한다. 또, 지속적인 추적 서비스를 제공하기 위해 사용자 인증은 온라인 환경에서만 이루어지도록 해야 한다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 이동식 저장매체에 보안영역을 설정할 때 서버에서 생성한 키생성자 및 사용자의 비밀번호로 암호키를 생성하여 보안영역을 암호화하고, 이동식 저장매체의 보안영역을 복호화하기 위해 서버에 키생성자를 요청하게 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법을 제공하는 것이다.
또한, 본 발명의 목적은 이동식 저장매체의 보안영역 복호화를 위해 서버에 키생성자를 요청할 때, 사용자의 비밀번호 및 기기의 식별정보 등으로 사용자 기기 인증을 하고 인증시 서버에 접속하는 정보를 암호화하여 서버에 저장하는 사용자 접근추적 가능 이동식 저장매체 보안 방법을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 서버, 사용자 단말, 및 상기 사용자 단말에 이동식 저장매체가 삽입되면 상기 사용자 단말에서 실행되는 클라이언트에 의해, 상기 이동식 저장매체의 보안영역을 암호화하고 접근 정보를 저장하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 관한 것으로서, (a1) 상기 클라이언트는 사용자의 구매인증코드 및 비밀번호를 입력받는 단계; (a2) 상기 클라이언트는 클라이언트의 개인키 및 공개키의 쌍을 생성하는 단계; (a3) 상기 클라이언트는 상기 서버와의 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 상기 구매인증코드, 암호화된 접속정보, 상기 클라이언트의 공개키, 및 비밀번호의 해쉬값을 세션키로 암호화하여 상기 서버로 전송하는 단계; (a4) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계; (a5) 상기 서버는 상기 구매인증코드를 인증하면, 상기 클라이언트의 공개키 및 상기 비밀번호의 해쉬값을 저장하고, 상기 구매인증코드에 대한 키생성자를 생성하여 저장하는 단계; (a6) 상기 클라이언트는 상기 서버로부터 상기 키생성자를 수신하여, 상기 비밀번호를 상기 키생성자로 암호화하여 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 포함하고, 상기 암호화된 접속정보는 상기 서버에서 통신패킷으로부터 획득한 상기 클라이언트와의 접속정보를 상기 클라이언트의 공개키로 암호화한 값과 대비하여 인증되고, 상기 구매인증코드는 상기 서버에 사전에 저장된 구매인증코드와 대비하여 인증되는 것을 특징으로 한다.
또, 본 발명은 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 있어서, 상기 방법은, (b1) 상기 클라이언트는 사용자의 비밀번호를 입력받는 단계; (b2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 비밀번호의 해쉬값을 상기 서버로 전송하는 단계; (b3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계; (b4) 상기 서버는 상기 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 해당하는 키생성자를 검색하여 상기 클라이언트로 전송하는 단계; (b5) 상기 클라이언트는 상기 서버로부터 상기 키생성자를 수신하여, 상기 비밀번호를 키생성자로 암호화하여, 암호화된 비밀번호를 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 더 포함하고, 상기 비밀번호의 해쉬값은 상기 서버에 저장된 비밀번호의 해쉬값과 대비하여 인증되는 것을 특징으로 한다.
또, 본 발명은 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 있어서, 상기 방법은, (d1) 상기 클라이언트는 사용자의 비밀번호를 입력받는 단계; (d2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 비밀번호의 해쉬값을 상기 서버로 전송하는 단계; (d3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계; (d4) 상기 서버는 상기 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 대하여 상기 암호화된 접속정보를 검색하여 상기 클라이언트로 전송하는 단계; 및, (d5) 상기 클라이언트는 상기 암호화된 접속정보를 수신하여 표시하는 단계를 더 포함하는 것을 특징으로 한다.
또, 본 발명은 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 있어서, 상기 방법은, (c1) 상기 클라이언트는 사용자의 비밀번호(이하 제1 비밀번호) 및 새로운 비밀번호(이하 제2 비밀번호)를 입력받는 단계; (c2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 제1 및 제2 비밀번호의 해쉬값들을 상기 서버로 전송하는 단계; (c3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계; (c4) 상기 서버는 상기 제1 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 대하여 저장되어 있는 제1 비밀번호의 해쉬값을 상기 제2 비밀번호의 해쉬값으로 대체하여 저장하고, 새로운 키생성자(이하 제2 키생성자)를 생성하여 저장되어 있는 키생성자를 상기 제2 키생성자로 대체하여 저장하는 단계; 및, (c5) 상기 클라이언트는 상기 서버로부터 상기 제2 키생성자를 수신하여, 상기 제2 비밀번호를 제2 키생성자로 암호화하여 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 더 포함하는 것을 특징으로 한다.
또, 본 발명은 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법에 있어서, 상기 비밀번호에 상기 키생성자를 XOR 연산하여 상기 비밀번호를 암호화하고, 상기 클라이언트와 상기 서버는 세션키를 이용하여 암호화 통신을 하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 사용자 접근추적 가능 이동식 저장매체 보안 방법에 의하면, 이동식 저장매체를 접근할 때 항상 서버에 접속하게 하여 접속 정보를 저장함으로써, 이동식 저장매체 및 비밀번호 등이 유출되더라도 사용자의 접근 정보를 확보하여 사후 추적을 할 수 있는 효과가 얻어진다. 이를 통하여 비정상적인 인증을 시도한 사용자의 위치 정보를 사후 추적 가능하다.
도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 사용자 접근추적 가능 이동식 저장매체 보안 방법을 설명하는 흐름도이다.
도 3은 본 발명의 일실시예에 따른 보안영역 설정 단계를 설명하는 흐름도이다.
도 4는 본 발명의 일실시예에 따른 사용자 기기 인증 단계를 설명하는 흐름도이다.
도 5는 본 발명의 일실시예에 따른 비밀번호 갱신 단계를 설명하는 흐름도이다.
도 6은 본 발명의 일실시예에 따른 사용자 접근 추적 단계를 설명하는 흐름도이다.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도 1을 참조하여 설명한다.
도 1에서 도시한 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 사용자 단말(10), 이동식 저장매체(20), 클라이언트(30), 및 서버(40)로 구성된다.
사용자 단말(10)은 PC, 노트북, PDA, 태블릿PC 등 컴퓨팅 기능을 가진 단말기로서, USB 포트 등 외부 저장장치를 연결할 수 있는 통신장치를 구비한다. 또한, 사용자 단말(10)은 이동식 저장매체(20) 등이 삽입되면 이동식 저장매체(20)를 인식하여 하나의 저장매체(또는 저장장치)로 사용한다.
이동식 저장매체(20)는 휴대용 저장장치 또는 이동식 저장장치로서, 플래시 메모리, USB 메모리, SD 카드, 마이크로 SD카드, 이동식 하드 디스크 등이 있다. 이동식 저장매체(20)는 사용자 단말(10)에 삽입되면, 사용자 단말(10)에 의해 하나의 저장매체(또는 저장장치)로 인식된다.
한편, 이동식 저장매체(20)는 내부의 저장공간을 일반 영역 및 보안 영역으로 구분하여 데이터를 저장할 수 있다. 일반 영역은 통상의 저장공간으로서 암호없이 데이터를 저장할 수 있는 공간이다. 보안 영역은 사전에 설정된 비밀번호 등 인증정보를 알고 있어야만 접근할 수 있는 데이터 저장공간이다. 즉, 보안 영역은 암호키에 의해 암호화된다. 따라서 암호키에 의해 보안영역을 복호화 하여야만 보안영역을 접근할 수 있다.
클라이언트(30)는 사용자 단말(10)에서 실행되는 프로그램 장치로서, 이동식 저장매체(20)의 보안영역을 관리한다. 클라이언트(30)의 프로그램은 이동식 저장매체(20) 또는 사용자 단말(10)에 저장될 수 있다. 바람직하게는, 이동식 저장매체(20)가 사용자 단말(10)에 삽입되면, 저장된 클라이언트 프로그램이 실행된다.
사용자는 사용자 단말(10)의 입출력 장치를 통해 클라이언트(30)와 인터페이스를 한다. 즉, 클라이언트(30)는 사용자 단말(10)을 통해 사용자 인증을 위한 비밀번호를 사용자에게 요청하고, 사용자 단말(10)을 통해 사용자로부터 비밀번호를 입력받는다. 또, 클라이언트(30)는 기기 식별번호 등을 이동식 저장매체(20)로부터 읽어와서 이동식 저장매체(20)의 인증정보로 이용한다.
또한, 클라이언트(30)는 이동식 저장매체(20)의 메모리 영역 중 일부 또는 전체를 보안영역으로 설정하여, 암호키로 상기 보안영역을 암호화한다. 클라이언트(30)는 암호키로 이미 암호화된 보안영역을 복호화하여, 사용자가 보안영역을 접근할 수 있게 한다.
한편, 암호키는 사용자가 입력한 비밀번호와 서버로부터 얻은 키생성자에 의해 생성된다. 이를 위해, 클라이언트(30)는 서버(40)와 데이터 통신을 수행한다. 즉, 클라이언트(30)는 이동식 저장매체(20)의 기기식별정보나 사용자가 입력한 비밀번호 등을 서버(40)에 전송하고, 서버(40)로부터 키생성자를 수신하여 비밀번호와 함께 암호키를 생성한다.
서버(40)는 네트워크(50)에 연결된 통상의 서버로서, 사용자 단말(10)과 네트워크(50)를 통해 연결된다. 서버(40)는 사용자 단말(10)에 설치된 클라이언트(30)와 데이터 통신을 수행하여, 클라이언트(30)의 요청에 응답한다.
이동식 저장매체(20)가 보안영역을 설정하는 경우, 서버(40)는 클라이언트(30)로부터 기기 식별정보, 비밀번호 등을 수신하여 저장한다. 그리고 서버(40)는 키생성자를 생성하여 저장하고 클라이언트(30)로 전송하고, 클라이언트(30)는 사용자의 비밀번호와 키생성자로 암호키를 만들어 보안영역을 암호화 한다.
또한, 이동식 저장매체(20)의 보안영역에 접근하고자 할 때, 서버(40)는 클라이언트(30)로부터 기기 식별정보, 비밀번호 등을 수신하여 사용자 기기 인증을 하고, 인증하면 키생성자를 클라이언트(30)에 전송하여 암호키를 생성할 수 있게 한다.
한편, 클라이언트(20)가 서버(40)에 접근하면, 서버(40)는 클라이언트(20)로부터 접속정보를 받아 저장한다. 접속정보는 각 기기식별번호 별로 모두 저장된다.
본 발명의 실시 예에 대한 설명에 앞서, 사용되는 기호들을 설명한다.
이하에서 사용되는 기호들은 다음과 같다.
* : 각각의 객체 (S:서버, C:클라이언트)
KR* : *의 개인키
KU* : *의 공개키
PW : 사용자 비밀번호(또는 패스워드)
NPW : 변경할 사용자 비밀번호(또는 패스워드)
RC : 클라이언트 프로그램 구입 시 발급된 구매인증코드
SK : 안전하게 공유된 세션키
PN : 이동식 저장매체의 기기식별번호(예 생산일련번호)
CI : 클라이언트의 접속 정보
CV : 보안영역 암호키를 생성하기 위한 키생성자
STK : 보안영역 암호화키
다음으로, 본 발명의 일실시예에 따른 사용자 접근추적 가능 이동식 저장매체 보안 방법을 도 2를 참조하여 보다 구체적으로 설명한다.
도 2에서 보는 바와 같이, 본 발명에 사용자 접근추적 가능 이동식 저장매체 보안 방법은 (a) 보안영역 설정 단계(S10), (b) 사용자 기기 인증 단계(S20), (c) 비밀번호 갱신 단계(S30), 및 (d) 사용자 접근 추적 단계(S40)로 구분된다.
보안영역 설정 단계는 이동식 저장매체에 인증받지 않은 사용자는 접근할 수 없도록 안전한 저장공간(또는 보안영역)을 만드는 단계이다. 사용자는 사용자 단말(10)을 통해, 보안영역에 사용자 인증에 필요한 비밀번호를 클라이언트(30)에 입력한다. 클라이언트(30)는 사용자가 입력한 비밀번호와 사용자의 접속정보를 안전하게 서버(40)에 전송한다. 서버(40)는 전송된 사용자 접속 정보가 올바른지 확인 뒤 사용자가 입력한 비밀번호 값을 저장하고 비밀번호에 대응하는 대응값(또는 암호키를 생성하기 위한 키생성자)을 만들어 클라이언트(30)에 안전하게 전송한다. 클라이언트(30)는 전송된 키생성자와 사용자가 입력한 비밀번호로 보안영역을 암호화 하는 암호키를 생성한다.
사용자 기기 인증단계는 보안영역을 설정을 한 후, 사용자가 보안영역의 데이터에 접근하기 위하여 보안영역의 암호화키를 획득하는 단계이다. 사용자는 사용자 단말(10)을 통해 인증을 위한 비밀번호를 클라이언트(30)에 입력한다. 클라이언트(30)는 사용자의 접속 정보와 사용자가 입력한 비밀번호를 서버(40)에 전송한다. 서버(40)는 사용자가 전송한 접속 정보가 올바른지 확인 뒤 사용자가 입력한 비밀번호에 해당하는 대응값(또는 키생성자)을 찾아 클라이언트(30)에 전송한다. 클라이언트(30)는 전송받은 키생성자와 사용자가 입력한 비밀번호로 보안영역의 암호화키를 복원하여 보안영역을 복호화하고, 보안영역의 데이터를 볼 수 있게 한다.
비밀번호 갱신 단계는 보안영역을 설정한 후, 사용자가 사용자 인증을 위한 비밀번호를 변경하고자 하는 단계이다. 사용자는 사용자 단말(10)을 통해, 기존의 사용자 인증 비밀번호와 새로운 비밀번호를 클라이언트(30)에 입력한다. 클라이언트(30)는 입력된 비밀번호들과 사용자 접속정보를 서버(40)에 안전하게 전송한다. 서버(40)는 전송된 사용자의 접속정보가 올바른지 확인 뒤 새로운 비밀번호에 해당하는 대응 값(새로운 키생성자)을 재생성하고 이를 클라이언트(30)에 안전하게 전송한다. 클라이언트(30)는 새로운 사용자 인증 비밀번호와 새로운 키생성자로 신규 보안영역 암호화키를 생성하고 복호화된 보안영역의 정보를 새로운 암호키로 암호화한다.
사용자 접근 추적 단계는 사후 사용자가 이동식 저장매체(20)를 도난당하거나 분실할 경우 이동식 저장매체(20)에 접속된 정보를 검색하고, 이를 통해 사용자의 기기 접근을 추적하는 단계이다. 사용자는 사용자 단말(10)을 통해, 사용자 인증 비밀번호를 클라이언트(30)에 입력한다. 클라이언트(30)는 입력된 비밀번호와 사용자 접속정보를 서버(40)에 안전하게 전송한다. 서버(40)는 전송된 사용자의 접속정보가 올바른지 확인 뒤 비밀번호로 사용자 인증을 수행하여 저장되어 있는 사용자 접속 정보를 클라이언트(30)에 안전하게 전송한다. 클라이언트(30)는 전송된 접속정보를 복호화 하여 사용자 인증을 시도한 사용자의 접속정보를 확인하고, 이를 통해 사용자 추적을 수행한다.
다음으로, 본 발명의 일실시예에 따른 (a) 보안영역 설정 단계를 도 3을 참조하여 보다 구체적으로 설명한다.
사용자는 클라이언트 프로그램(또는 보안 솔루션)을 구입하면서 구매인증코드를 부여받는다. 이때의 구매인증코드를 RC로 표시하기로 한다.
사용자는 사용자 단말(10)을 통해, 사용자 인증을 위해 필요한 비밀번호 PW와 솔루션 구입 시 발급된 구매인증코드 RC를 클라이언트(30)에 입력한다(S11).
클라이언트(30)는 클라이언트의 개인키 및 공개키 쌍을 생성한다(S12).
클라이언트(30)는 서버(40)로부터 안전하게 전송된 세션키 SK로 아래와 같은 내용을 암호화하여 서버에 전송한다(S13).
Figure 112011050950184-pat00001
이때, 클라이언트(30)는 이동식 저장매체(20)로부터 기기식별번호 PN을 읽어온다. 기기식별번호 PN은 이동식 저장매체(20)의 생산 일련번호 등 불변하고 다른 이동식 저장매체와 구별되는 식별번호이다. 또한, 사용자 비밀번호 PW는 해쉬함수로 해쉬하여 해쉬값 H[PW]을 전송한다.
서버(40)는 통신패킷으로부터 획득한 실제 클라이언트의 접속정보 CI를 클라이언트(30)의 공개키 KUC로 암호화한 값 EKUC[CI]'과 클라이언트(30)로부터 전송된 EKUC[CI]을 비교하여 접속정보의 진위 여부를 확인한다(또는 접속정보를 인증한다). 접속정보를 확인(또는 인증)하면, 클라이언트(30)는 하고 EKUC[CI]를 저장한다(S14).
서버(40)는 수신된 PN과 RC로 사용자를 인증하며, 인증에 성공하면 KUC와 H[PW]를 서버(또는 서버의 DB)에 저장한다(S15).
또한, 서버(40)는 보안영역 암호화키(또는 암호키)를 만드는데 필요한 키생성자 CV를 생성하고, 이를 세션키로 암호화 하여 클라이언트(30)에게 전송한다(S16).
클라이언트(30)는 PW와 CV를 XOR하여 실제 보안영역 정보를 암호화하는 키(또는 암호키) STK를 생성하고, 보안영역의 정보를 암호화한다(S17).
다음으로, 본 발명의 일실시예에 따른 (b) 사용자 기기 인증 단계를 도 4를 참조하여 보다 구체적으로 설명한다.
사용자는 사용자 단말(10)을 통해, 인증을 위해 필요한 비밀번호 PW를 클라이언트(30)에 입력한다(S21).
클라이언트(30)는 서버(40)로부터 안전하게 전송된 세션키 SK로 아래와 같은 내용을 암호화하여 서버(40)에 전송한다(S22).
Figure 112011050950184-pat00002
서버(40)는 통신패킷으로부터 획득한 실제 클라이언트(30)의 접속정보 CI를 클라이언트(30)의 공개키로 암호화한 값 EKUC[CI]과 클라이언트(30)로부터 전송된 EKUC[CI]'을 비교하여 접속정보의 진위 여부를 확인하고(또는 인증하고), 인증되면 EKUC[CI]를 저장한다(S23).
서버(40)는 수신된 PN과 H[PW]로 사용자 기기를 인증하며, 인증에 성공하면 PN에 해당하는 CV값을 검색한다. 서버(40)는 검색된 CV를 세션키로 암호화 하여 클라이언트(30)에게 전송한다(S24).
클라이언트(30)는 PW와 CV를 XOR하여 실제 보안영역 정보를 암호화하는 키 STK를 생성하고, 보안영역의 정보를 복호화하여 보안영역에 접근한다(S25).
다음으로, 본 발명의 일실시예에 따른 (c) 비밀번호 갱신 단계를 도 5를 참조하여 보다 구체적으로 설명한다.
사용자는 사용자 단말(10)을 통해, 사용자 인증을 위해 필요한 비밀번호 PW(또는 제1 비밀번호)와 새롭게 변경할 비밀번호(또는 제2 비밀번호) NPW를 클라이언트(30)에 입력한다(S31).
클라이언트(30)는 서버(40)로부터 안전하게 전송된 세션키 SK로 아래와 같은 내용을 암호화하여 서버(40)에 전송한다(S32).
Figure 112011050950184-pat00003
서버(40)는 통신패킷으로부터 획득한 실제 클라이언트(30)의 접속정보 CI를 클라이언트(30)의 공개키로 암호화한 값 EKUC[CI]과 클라이언트(30)로부터 전송된 EKUC[CI]'을 비교하여 접속정보의 진위 여부를 확인하고 EKUC[CI]를 저장한다(S33).
서버(40)는 수신된 PN과 H[PW]로 사용자를 인증하며, 인증에 성공하면 H[NPW]를 서버(40)의 DB에 저장한다. 서버(40)는 보안영역 암호화키를 만드는데 필요한 CV를 재생성한다(S33). 이때 키생성자 CV를 제2 키생성자로 부르기로 한다. 상기 제2 키생성자를 세션키로 암호화 하여 클라이언트(30)에게 전송한다(S35).
클라이언트(30)는 NPW와 CV를 XOR하여 실제 보안영역 정보를 암호화하는 키 STK를 재생성하고, 재생성한 암호키 STK로 보안영역의 정보를 암호화한다(S36).
다음으로, 본 발명의 일실시예에 따른 (d) 사용자 접근 추적 단계를 도 6을 참조하여 보다 구체적으로 설명한다.
사용자는 사용자 단말(10)을 통해, 사용자 인증을 위해 필요한 비밀번호 PW를 클라이언트(30)에 입력한다(S41).
클라이언트(30)는 서버(40)로부터 안전하게 전송된 세션키 SK로 아래와 같은 내용을 암호화하여 서버(40)에 전송한다(S42).
Figure 112011050950184-pat00004
서버(40)는 통신패킷으로부터 획득한 실제 클라이언트(30)의 접속정보 CI를 클라이언트(30)의 공개키로 암호화한 값 EKUC[CI]과 클라이언트(30)로부터 전송된 EKUC[CI]'을 비교하여 접속정보의 진위 여부를 확인하고 EKUC[CI]를 저장한다(S43).
서버(40)는 수신된 PN과 H[PW]로 사용자를 인증한다. 인증되면, 서버(40)는 PN로 사전에 저장된 암호화된 접속정보들을 검색한다(S44).
서버(40)는 검색된 접속정보들 {EKUC[CI]}을 세션키로 암호화 하여 클라이언트(30)에게 전송한다(S45).
클라이언트(30)는 자신의 공개키 KUC로 암호화 저장된 클라이언트(30)들의 접속 정보들을 자신만이 알고 있는 개인키(또는 클라이언트의 개인키) KRC로 복호화 하여 접속 정보를 추적한다(S46).
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
본 발명은 이동식 저장매체에 보안영역을 설정할 때 서버에서 생성한 키생성자 및 사용자의 비밀번호로 암호키를 생성하여 보안영역을 암호화하고, 이동식 저장매체의 보안영역을 복호화하기 위해 서버에 키생성자를 요청하게 하는 사용자 접근추적 가능 이동식 저장매체 보안 시스템을 개발하는 데 적용이 가능하다.
10 : 사용자 단말 20 : 이동식 저장매체
30 : 클라이언트 40 : 서버
50 : 네트워크

Claims (5)

  1. 서버, 사용자 단말 및 일반영역과 보안영역으로 이루어진 이동식 저장매체를 구비하고, 상기 사용자 단말에 이동식 저장매체가 삽입되면 상기 사용자 단말에서 실행되는 클라이언트에 의해, 상기 이동식 저장매체의 보안영역을 암호화하고 접근 정보를 저장하여 사용자 접근추적이 가능한 이동식 저장매체 보안 방법에 있어서,
    (a1) 상기 클라이언트는 사용자의 구매인증코드 및 비밀번호를 입력받는 단계;
    (a2) 상기 클라이언트는 클라이언트의 개인키 및 공개키의 쌍을 생성하는 단계;
    (a3) 상기 클라이언트는 상기 서버와의 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 상기 구매인증코드, 암호화된 접속정보, 상기 클라이언트의 공개키 및 비밀번호의 해쉬값을 세션키
    Figure 112013023317138-pat00011

    로 암호화하여 상기 서버로 전송하는 단계(여기서, SK: 세션키, PN: 기기식별번호, RC : 클라이언트 프로그램 구입 시 발급된 구매인증코드, KUC : 공개키, CI: 클라이언트의 접속정보, PW: 사용자 비밀번호, H[PW]: 해쉬값);
    (a4) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계;
    (a5) 상기 서버는 상기 구매인증코드를 인증하면, 상기 클라이언트의 공개키 및 상기 비밀번호의 해쉬값을 저장하고, 상기 구매인증코드에 대한 키생성자를 생성하여 저장하는 단계;
    (a6) 상기 클라이언트는 상기 서버로부터 상기 키생성자를 수신하여, 상기 비밀번호를 상기 키생성자로 암호화하여 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 포함하고,
    상기 암호화된 접속정보는 상기 서버에서 통신패킷으로부터 획득한 상기 클라이언트와의 접속정보를 상기 클라이언트의 공개키로 암호화한 값과 대비하여 인증되고,
    상기 구매인증코드는 상기 서버에 사전에 저장된 구매인증코드와 대비하여 인증되는 것을 특징으로 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법.
  2. 제1항에 있어서, 상기 방법은,
    (b1) 상기 클라이언트는 사용자의 비밀번호를 입력받는 단계;
    (b2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 비밀번호의 해쉬값을 상기 서버로 전송하는 단계;
    (b3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계;
    (b4) 상기 서버는 상기 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 해당하는 키생성자를 검색하여 상기 클라이언트로 전송하는 단계;
    (b5) 상기 클라이언트는 상기 서버로부터 상기 키생성자를 수신하여, 상기 비밀번호를 키생성자로 암호화하여, 암호화된 비밀번호를 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 더 포함하고,
    상기 비밀번호의 해쉬값은 상기 서버에 저장된 비밀번호의 해쉬값과 대비하여 인증되는 것을 특징으로 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법.
  3. 제2항에 있어서, 상기 방법은,
    (d1) 상기 클라이언트는 사용자의 비밀번호를 입력받는 단계;
    (d2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 비밀번호의 해쉬값을 상기 서버로 전송하는 단계;
    (d3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계;
    (d4) 상기 서버는 상기 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 대하여 상기 암호화된 접속정보를 검색하여 상기 클라이언트로 전송하는 단계; 및,
    (d5) 상기 클라이언트는 상기 암호화된 접속정보를 수신하여 표시하는 단계를 더 포함하는 것을 특징으로 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법.
  4. 제1항에 있어서, 상기 방법은,
    (c1) 상기 클라이언트는 사용자의 비밀번호(이하 제1 비밀번호) 및 새로운 비밀번호(이하 제2 비밀번호)를 입력받는 단계;
    (c2) 상기 클라이언트는 접속정보를 클라이언트의 공개키로 암호화하고, 상기 이동식 저장매체의 기기식별번호, 암호화된 접속정보, 상기 제1 및 제2 비밀번호의 해쉬값들을 상기 서버로 전송하는 단계;
    (c3) 상기 서버는 상기 암호화된 접속정보를 인증하면, 상기 접속정보를 저장하는 단계;
    (c4) 상기 서버는 상기 제1 비밀번호의 해쉬값을 인증하면, 상기 기기식별번호에 대하여 저장되어 있는 제1 비밀번호의 해쉬값을 상기 제2 비밀번호의 해쉬값으로 대체하여 저장하고, 새로운 키생성자(이하 제2 키생성자)를 생성하여 저장되어 있는 키생성자를 상기 제2 키생성자로 대체하여 저장하는 단계; 및,
    (c5) 상기 클라이언트는 상기 서버로부터 상기 제2 키생성자를 수신하여, 상기 제2 비밀번호를 제2 키생성자로 암호화하여 상기 이동식 저장매체의 보안영역을 암호화하는 단계를 더 포함하는 것을 특징으로 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 비밀번호에 상기 키생성자를 XOR 연산하여 상기 비밀번호를 암호화하고, 상기 클라이언트와 상기 서버는 세션키를 이용하여 암호화 통신을 하는 것을 특징으로 하는 사용자 접근추적 가능 이동식 저장매체 보안 방법.
KR1020110065911A 2011-07-04 2011-07-04 사용자 접근추적이 가능한 이동식 저장매체 보안 방법 KR101327193B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110065911A KR101327193B1 (ko) 2011-07-04 2011-07-04 사용자 접근추적이 가능한 이동식 저장매체 보안 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110065911A KR101327193B1 (ko) 2011-07-04 2011-07-04 사용자 접근추적이 가능한 이동식 저장매체 보안 방법

Publications (2)

Publication Number Publication Date
KR20130004701A KR20130004701A (ko) 2013-01-14
KR101327193B1 true KR101327193B1 (ko) 2013-11-06

Family

ID=47836233

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110065911A KR101327193B1 (ko) 2011-07-04 2011-07-04 사용자 접근추적이 가능한 이동식 저장매체 보안 방법

Country Status (1)

Country Link
KR (1) KR101327193B1 (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101936194B1 (ko) * 2017-05-23 2019-04-03 (주)피코씨이엘 인증에 기반을 둔 다중 파티션 선택적 활성 기능을 갖는 sd 메모리 제어 방법
CN107483434A (zh) * 2017-08-10 2017-12-15 郑州云海信息技术有限公司 一种移动存储设备的管理系统及方法
KR102171720B1 (ko) * 2018-08-24 2020-10-29 주식회사 심플한 플래시메모리 보안시스템 및 이를 이용한 플래시메모리의 보안설정방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090079612A (ko) * 2008-01-18 2009-07-22 한국전력공사 이동 저장매체를 인증하는 보안 모듈 및 상기 보안 모듈의동작 방법
KR101032386B1 (ko) * 2008-07-16 2011-05-03 주식회사 마크애니 가상 머신을 이용한 응용 프로그램 제공 방법 및 시스템,가상 응용 프로그램 수행 방법, 가상 머신 모듈 및 온라인서비스 제공 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090079612A (ko) * 2008-01-18 2009-07-22 한국전력공사 이동 저장매체를 인증하는 보안 모듈 및 상기 보안 모듈의동작 방법
KR101032386B1 (ko) * 2008-07-16 2011-05-03 주식회사 마크애니 가상 머신을 이용한 응용 프로그램 제공 방법 및 시스템,가상 응용 프로그램 수행 방법, 가상 머신 모듈 및 온라인서비스 제공 방법

Also Published As

Publication number Publication date
KR20130004701A (ko) 2013-01-14

Similar Documents

Publication Publication Date Title
CN107959567B (zh) 数据存储方法、数据获取方法、装置及系统
US7975312B2 (en) Token passing technique for media playback devices
US20140112470A1 (en) Method and system for key generation, backup, and migration based on trusted computing
US9672333B2 (en) Trusted storage
US8181028B1 (en) Method for secure system shutdown
CN110868291B (zh) 一种数据加密传输方法、装置、系统及存储介质
WO2009110457A1 (ja) 認証情報生成システム、認証情報生成方法、クライアント装置及びその方法を実装した認証情報生成プログラム
CN108809633B (zh) 一种身份认证的方法、装置及系统
US8307217B2 (en) Trusted storage
CN113541935B (zh) 一种支持密钥托管的加密云存储方法、系统、设备、终端
CN107908574A (zh) 固态盘数据存储的安全保护方法
US11044105B2 (en) System, method, and computer program product for sensitive data recovery in high security systems
Dey et al. Message digest as authentication entity for mobile cloud computing
CN114244508A (zh) 数据加密方法、装置、设备及存储介质
US10635826B2 (en) System and method for securing data in a storage medium
CN104333452A (zh) 一种对文件数据多账户加密的方法
KR101327193B1 (ko) 사용자 접근추적이 가능한 이동식 저장매체 보안 방법
CN107733936A (zh) 一种移动数据的加密方法
CN109412799B (zh) 一种生成本地密钥的系统及其方法
CN101777097A (zh) 一种可监控的移动存储装置
CN110912857B (zh) 移动应用间共享登录的方法、存储介质
CN114553557B (zh) 密钥调用方法、装置、计算机设备和存储介质
CN113342896B (zh) 一种基于云端融合的科研数据安全保护系统及其工作方法
CN111953675B (zh) 一种基于硬件设备的密钥管理方法
CN108985079B (zh) 数据验证方法和验证系统

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170822

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180904

Year of fee payment: 6