KR101386606B1 - Method for controlling backup storage - Google Patents
Method for controlling backup storage Download PDFInfo
- Publication number
- KR101386606B1 KR101386606B1 KR1020120115234A KR20120115234A KR101386606B1 KR 101386606 B1 KR101386606 B1 KR 101386606B1 KR 1020120115234 A KR1020120115234 A KR 1020120115234A KR 20120115234 A KR20120115234 A KR 20120115234A KR 101386606 B1 KR101386606 B1 KR 101386606B1
- Authority
- KR
- South Korea
- Prior art keywords
- token
- authentication
- value
- key
- storage array
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/16—Error detection or correction of the data by redundancy in hardware
- G06F11/20—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements
- G06F11/2053—Error detection or correction of the data by redundancy in hardware using active fault-masking, e.g. by switching out faulty elements or by switching in spare elements where persistent mass storage functionality or persistent mass storage control functionality is redundant
- G06F11/2089—Redundant storage control functionality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
Abstract
Description
본 발명은 백업용 스토리지 제어 기술에 관한 것으로, 더욱 상세하게는 1차 스토리지 서버의 손상에 대비하고 비상시에 이를 복구하기 위한 2차 백업용 스토리지 제어 방법에 관한 것이다.
The present invention relates to a storage control technology for backup, and more particularly, to a secondary backup storage control method for preparing for damage of a primary storage server and recovering it in an emergency.
현재 기업 및 조직 등은 데이터의 효율적인 관리를 위하여 하나의 통합된 스토리지 서버를 구축하여 사용하고 있으며, 최근 인터넷의 급속한 발전과 함께 웹디스크 등의 응용이 발전함에 따라 다중 사용자의 정보저장 및 공유를 위하여 스토리지 서버가 대용량화되고 확장 및 관리의 편의성을 위하여 네트워크 기반으로 변모하고 있다.Currently, enterprises and organizations have built and used a single integrated storage server for efficient data management.In addition, for the purpose of storing and sharing information among multiple users as the application of web disks has developed along with the recent rapid development of the Internet. Storage servers are becoming larger and more network-based for ease of expansion and management.
대용량 스토리지 서버의 경우 현재 보편적으로 사용되는 RAID 기반의 스토리지 서버는 네트워크 기반 접속으로 보편화되어 있어 이를 위한 보안기술은 네트워크를 통한 외부 공격자의 감시나 악의적 접속을 방지하기 위한 형태로 제공된다. 이는 데이터 저장을 위하여 서버 외부에 하드 디스크 어레이 등 대용량 스토리지 어레이를 설치하여 RAID 방식으로 구성함으로써 다중 클라이언트와 스토리지 서버 사이에 안전한 보안 세션을 제공하고 보안 세션에 대한 접근을 사용자 인증을 통하여 제한하며 원격 저장을 위한 데이터 전송에 암호화를 적용하는 방식이다.In the case of mass storage servers, RAID-based storage servers, which are commonly used today, are commonly used for network-based access, and security technology for this is provided in the form of preventing external attackers or malicious access through the network. It provides a secure secure session between multiple clients and the storage server by configuring a RAID storage method by installing a mass storage array such as a hard disk array outside the server for data storage, and restricts access to the secure session through user authentication. This method applies encryption to data transmission.
그러나 이러한 기술은 최근 이슈화되고 있는 메모리해킹이나 키보드해킹 등에 의한 내부자 공격을 통하여 관리자 패스워드 등을 획득한 후 스토리지를 물리적으로 절도하여 이루어지는 데이터 유출에 대하여는 전혀 대응하지 못하고 있다.
However, these technologies do not respond to data leakage caused by physically stealing storage after acquiring an administrator password through an insider attack such as memory hacking or keyboard hacking, which has recently been issued.
또한 USB 메모리 등의 소규모 저장장치에 있어서는 도난이나 분실의 가능성이 매우 커서 이와 관련한 보안 및 도난 방지기술을 많은 공급자들이 도입하고 있다. 이들은 대용량 스토리지 서버에 적용되는 소프트에어 기반 보안솔루션과 유사한 형태로 구성되나 다중사용자 지원 기능이 축소되고 원격 관리 서버를 통한 내부자 공격에 대한 보안기능이 더 강화된 형태이다. 즉 스토리지 내부에 하드웨어 기반 데이터 암호화를 지원하는 전용 보안 칩을 탑재하거나 암호화 및 인증은 호스트 측에서 수행하나 스토리지의 특성을 고려하여 인증정보를 수집하고 관리함으로써 내부자 공격에 대응하고 있다.In addition, in the case of small storage devices such as USB memory, the possibility of theft or loss is very high, and many suppliers introduce security and theft prevention technologies. They are similar in form to software-based security solutions applied to mass storage servers, but with reduced multiuser support and enhanced security against insider attacks through remote management servers. In other words, a dedicated security chip that supports hardware-based data encryption is installed inside the storage, or encryption and authentication is performed at the host side, but in response to insider attacks by collecting and managing authentication information in consideration of the characteristics of the storage.
그러나 이러한 소규모 저장장치에 있어서 내부자 공격에 대응할 보안 기술을 도입한 경우에도 최근의 역공학과 연계한 메모리해킹이나 키보드해킹 기술에 의하여 그 보안 체계가 대부분 간단하게 무력화되고 있다.
However, even in the case of introducing a security technology to counter an insider attack in such a small storage device, the security system is mostly simply incapacitated by memory hacking or keyboard hacking technology linked with recent reverse engineering.
살펴본 바와 같이, 1차 스토리지 서버는 상기와 같은 문제점을 가지고 있으나, 네트워크 기반 스토리지 서버에 있어서 사용자의 요청에 의하여 수시로 데이터를 송/수신 하여야 하며 필요에 의해 서버의 리소스를 활용할 경우가 빈번히 발생하므로 1차 스토리지 서버 내에 소프트웨어를 설치하여 실시간으로 데이터를 암호화하여 사용하기는 사실상 불가능한바 가공되지 않은 데이터를 원본 그대로 저장하고 있어 내부자의 공격에 그대로 노출되어 있고, USB 메모리에 있어서는 사용자 인증키의 유출, 데이터 암/복호화 처리 속도에 따른 백업 데이터 전송 속도 저하 등의 이유로 그 실용성이 없는 상태이다. 이에, 1차 공유 스토리지 서버 및 USB 메모리에 대한 안전한 2차 백업 및 관리 기술과 데이터의 안정성을 강화하기 위한 보안 기술이 요구되고 있다.
As described above, the primary storage server has the same problem as described above, but in a network-based storage server, data must be transmitted / received at the request of a user at any time, and the resource of the server is frequently used as needed. It is virtually impossible to install software in a car storage server to encrypt and use data in real time. Raw data is stored as it is, and it is exposed to insider attacks. In USB memory, user authentication key leaks and data. There is no practical use because of a decrease in the backup data transfer rate due to the encryption / decryption processing speed. Accordingly, there is a need for a secure secondary backup and management technology for a primary shared storage server and a USB memory and a security technology for enhancing data stability.
따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 독립적인 하드웨어 보안 토큰을 사용하며 이를 통하여 데이터의 암호화 및 복호화 기능을 수행함으로써 보다 안전한 분리 인증 및 키 전달구조를 갖는 백업용 스토리지 제어 방법을 제공하는데 있다.
Accordingly, the present invention has been made to solve the above-mentioned problems of the prior art, and an object of the present invention is to use an independent hardware security token, and thereby to perform a function of encrypting and decrypting data, thereby enabling a more secure separation authentication and key delivery structure. It is to provide a backup storage control method having a.
상기와 같은 목적을 달성하기 위한 본 발명의 백업용 스토리지 제어 방법은, 토큰을 통해 암호키 및 인증키를 입력받는 단계; 상기 토큰이 Rnd를 생성하며 생성된 상기 Rnd를 스토리지 어레이로 전송하는 단계; 상기 토큰이 인증값을 생성하는 단계; 상기 스토리지 어레이가 PIN number를 입력받는 단계; 상기 스토리지 어레이가 후보 인증키를 생성하는 단계; 상기 스토리지 어레이가 후보 인증값을 산출하며 산출된 상기 후보 인증값을 상기 토큰으로 전송하는 단계; 상기 토큰이 상기 인증값과 상기 후보 인증값을 비교하는 단계; 및 상기 토큰에서 비교된 결과에 따라 상기 토큰이 해독값을 생성하여 상기 스토리지 어레이에 전송하는 단계를 포함한다.Storage control method for a backup of the present invention for achieving the above object, the step of receiving an encryption key and authentication key through the token; Generating the Rnd by the token and transmitting the generated Rnd to a storage array; The token generating an authentication value; Receiving, by the storage array, a PIN number; Generating a candidate authentication key by the storage array; The storage array calculating a candidate authentication value and transmitting the calculated candidate authentication value to the token; The token comparing the authentication value with the candidate authentication value; And generating, by the token, a decryption value according to a result of the comparison in the token, and transmitting the decrypted value to the storage array.
이때, 상기 토큰이 인증값을 생성하는 단계는, 상기 인증키를 사용하여 상기 Rnd를 암호화함으로써 인증값을 생성한다.In this case, in the token generating the authentication value, the authentication value is generated by encrypting the Rnd using the authentication key.
또한, 상기 스토리지 어레이가 후보 인증값을 산출하는 단계는, 상기 후보 인증키를 사용하여 상기 토큰에서 송신된 Rnd를 암호화함으로써 후보 인증값을 산출한다.In the calculating of the candidate authentication value by the storage array, the candidate authentication value is calculated by encrypting Rnd transmitted from the token using the candidate authentication key.
그리고, 상기 해독값에 따라 상기 스토리지 어레이가 상기 해독값을 해독하거나 상기 암호키를 삭제하는 단계를 포함하는 것이 바람직하다.
And according to the decryption value, the storage array decrypts the decryption value or deletes the encryption key.
상술한 바와 같이, 본 발명에 의한 백업용 스토리지 제어 방법은 다음과 같은 효과를 제공한다.As described above, the backup storage control method according to the present invention provides the following effects.
키 제공과 사용자 인증이 호스트 플랫폼에서 이루어지는 일반적인 방법과는 차별화된 방법으로서 토큰에 의하여 인증된 사용자만이 토큰으로부터 키 값을 제공 받아 스토리지 어레이에 접근하여 암호화된 데이터를 복구할 수 있도록 할 수 있으므로 보다 안전한 분리 인증 및 키 전달구조의 제공이 가능하다.This is different from the usual method of providing keys and authenticating users on the host platform. Only users authenticated by tokens can receive key values from the tokens to access the storage array and recover encrypted data. It is possible to provide secure separation authentication and key delivery structure.
또한 호스트가 아닌 스토리지 시스템 자체가 암호화된 데이터 접근에 대한 이력을 관리함으로써 데이터를 안전하게 보호할 수 있도록 한다.
In addition, the storage system itself, not the host, maintains a history of encrypted data access to ensure data is secure.
도 1은 본 발명이 적용되는 백업용 스토리지 제어 시스템의 구성도이다.
도 2는 본 발명의 일 실시예에 의한 백업용 스토리지 제어 방법의 흐름도이다.1 is a block diagram of a backup storage control system to which the present invention is applied.
2 is a flowchart illustrating a backup storage control method according to an embodiment of the present invention.
이하, 본 발명의 백업용 스토리지 제어 방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, a backup storage control method of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명이 적용되는 백업용 스토리지 제어 시스템의 구성도이다.1 is a block diagram of a backup storage control system to which the present invention is applied.
도 1에 도시된 바와 같이, 본 발명의 백업용 스토리지 제어 시스템(100)은, 1차 스토리지 서버(200)와, 2차 백업 스토리지(300)와, 스토리지 어레이(400)와, 보안토큰(500)을 포함한다.
As shown in FIG. 1, the backup
1차 스토리지 서버(200)는 다양한 원본 데이터를 저장 및 관리하는 구성으로써 사용자의 요청에 의하여 데이터를 송/수신하는 등의 종래의 기능을 수행하며, 기존의 일반적인 스토리지 시스템과 같이 1차 네트워크 디스크 또는 이동성 스토리지(600)가 USB, SATA 또는 LAN 등을 통해 연결될 수 있다.
The
2차 백업 스토리지(300)는 1차 스토리지 서버(200)로부터 2차 백업 데이터를 생성하고 관리하는 기능을 수행하며, 1차 스토리지 서버(200)와 USB 3.0 등을 통해 연결될 수 있다.
The
스토리지 어레이(400)는 호스트 컨트롤러(410)와 보안 모듈(420)을 포함하고, 스토리지 서버(200, 300)의 외부에 설치되며, 2차 백업 스토리지(300)와 고속 데이터 전송을 위한 인터페이스 하드웨어 등으로 연결될 수 있다. 여기서, 호스트 컨트롤러(410)는 보안토큰(500)을 제어하는 시스템으로써 본 발명에서는 호스트 컨트롤러(410)가 스토리지 어레이(400) 집합 구조 내에 포함됨으로써 보안토큰(500)을 호스트와 격리하여 호스트 소프트웨어로부터 인증 프로세스를 완전히 차단할 수 있게 된다. 다음으로 보안 모듈(420)은 보안토큰(500)을 제어하는 소프트웨어로써 보안토큰(500)과의 통신, 보안토큰(500)의 사용자 인증 기능 대응, 보안토큰(500)으로부터의 키 값을 받아 전달하는 등의 역할을 한다. 구체적으로, 보안 모듈(420)은 사용자에게 사용자 고유 정보로서의 PIN(Personal ID Number) number를 입력할 것을 요구하고, 이를 기반으로 후보 인증키 Ka'를 생성하며, 이를 사용하여 보안토큰(500)에서 송신되는 Rnd를 암호화함으로써 후보 인증값 A'를 산출하여 보안토큰(500)으로 전송한다. 이 때, 사용자 고유 정보로서의 PIN은 사용자 본인확인을 위한 일 사용례로서 사용하는 정보와 사용 방법에는 다양한 변형이 있을 수 있다. 또한, 보안토큰(500)에서 사용자의 인증이 성공하면 보안토큰(500)으로부터 송신된 해독값 K를 해독하여 해독키 Key를 얻고 후보 인증값 Ka'를 삭제한다.
The
보안토큰(500)은 2차 데이터의 물리적 도난 및 악의적 접근 방지를 위하여 데이터를 고속으로 암호화하기 위한 암호키를 제공하고 사용자 인증 및 접근제어를 수행하는 하드웨어 기반의 구성으로써, 호스트 컨트롤러(410)에 의해 제어되어 통신을 행하며 본 발명에서는 스토리지 어레이(400)의 호스트 컨트롤러(410)와 독립적으로 설치됨으로써 2차 데이터에의 악의적 접근을 방지할 수 있다.The
보안토큰(500)은 네트워크에 연결된 1차 스토리지 서버(200)와 분리되어 스토리지 어레이(400)의 호스트 컨트롤러(410)에 분리되어 설치됨으로써 2차 데이터에의 악의적 접근을 방지할 수 있다. 구체적으로, 보안토큰(500)은 암호키(Encryption key) Key와 인증키(Authentication key) Ka를 입력받고, 보안함수를 사용하여 Rnd(Random Number)를 생성하여 이를 암호화하여 스토리지 어레이(400) 구체적으로는 스토리지 어레이의 보안 모듈(420)로 전송하며, 인증키 Ka를 사용하여 Rnd를 암호화함으로써 인증값 A를 생성한다. 또한, 스토리지 어레이(400)의 보안 모듈(420)로부터 송신된 후보 인증값 A'와 자체적으로 생성한 인증값 A를 비교하여 동일한 것으로 판단되면 인증되지 않은 사용자의 접근이 불가능하도록 암호화한 해독값 K를 생성하여 스토리지 어레이(400)의 보안 모듈(420)에 전송함으로써 이를 해독하여 사용자의 접근을 허용하고, 후보 인증값 A'와 인증값 A가 상이한 것으로 판단되면 스토리지 어레이(400)의 보안 모듈(420)에 암호키 Key를 제공하지 않음으로써 인증되지 않은 사용자의 악의적인 접근을 불허한다. 이 때, 악의적인 접근을 속이기 위하여 암호키 Key 대신 임의의 값들을 전달할 수도 있다.
The
살펴본 바와 같이, 본 발명의 스토리지 어레이(400)는 보안토큰(500)과 분리되는 호스트 컨트롤러(410)와 보안 모듈(420)을 포함하여 키 제공과 사용자 인증이 호스트 플랫폼, 도 1에서는 1차 스토리지 서버에서 이루어지는 종래 시스템과는 차별화된 방법으로 상기 보안토큰(500)에 의하여 인증된 사용자만이 상기 스토리지 어레이(400)에 접근할 수 있게 함으로써 스토리지 시스템의 중요 데이터를 안전하게 보호할 수 있게 된다.
As described above, the
그러면, 여기서 상기와 같이 구성된 시스템에 대한 본 발명의 백업용 스토리지 제어 방법에 대해 상세히 설명하기로 한다.Then, the backup storage control method of the present invention for the system configured as described above will be described in detail.
도 2는 본 발명의 일 실시예에 의한 백업용 스토리지 제어 방법의 흐름도이다.2 is a flowchart illustrating a backup storage control method according to an embodiment of the present invention.
도 2에 도시된 바와 같이, 스텝 S10에서 토큰은 암호키(Encryption key) Key와 인증키(Authentication key) Ka를 입력받는다. 이 때 입력받은 암호키와 인증키는 향후 비정상적인 상황이 발생하거나 주기적인 갱신이 이루어지는 경우 다른 값들로 변경될 수 있으나 일상적인 경우에는 입력받은 값이 사용된다. As shown in FIG. 2, in step S10, the token receives an encryption key Key and an authentication key Ka. At this time, the input encryption key and authentication key may be changed to other values in case of abnormal situation or periodic update in the future, but the input value is used in ordinary cases.
스텝 S20에서 토큰이 스토리지 서버에 삽입되고, 보안함수 RND()를 사용하여 Random Number(Rnd)를 생성하며, 생성된 Rnd를 스토리지 어레이로 전송한다.In step S20, the token is inserted into the storage server, a random number (Rnd) is generated using the security function RND (), and the generated Rnd is transmitted to the storage array.
또한, 스텝 S30에서 토큰은 인증키 Ka를 사용하여 Random Number(Rnd)를 암호화함으로써 인증값 A를 생성한다.Further, in step S30, the token generates the authentication value A by encrypting the Random Number (Rnd) using the authentication key Ka.
스토리지 서버가 토큰을 탐지하면, 스텝 S40에서 스토리지 어레이는 사용자에게 PIN(Personal ID Number) number를 입력할 것을 요구하고, 후보 인증키 Ka'를 생성한다.If the storage server detects the token, in step S40 the storage array requires the user to enter a PIN (Personal ID Number) number and generates a candidate authentication key Ka '.
다음으로, 스텝 S50에서 스토리지 어레이는 후보 인증키 Ka'를 사용하여 토큰에서 송신된 Rnd를 암호화함으로써 후보 인증값 A'를 산출하고, 이를 토큰으로 전송한다.Next, in step S50, the storage array encrypts Rnd transmitted from the token using the candidate authentication key Ka 'to calculate the candidate authentication value A' and transmits it to the token.
스토리지 어레이에서 후보 인증값 A'가 토큰으로 전송되면, 스텝 S60에서 토큰은 인증값 A와 후보 인증값 A'를 비교함으로써 사용자를 인증한다.If the candidate authentication value A 'is sent as a token in the storage array, the token authenticates the user by comparing the authentication value A with the candidate authentication value A' in step S60.
이 때, 인증값 A와 후보 인증값 A'가 동일한 것으로 판단되면 스텝 S70으로 진행하며, 인증값 A와 후보 인증값 A'가 상이한 것으로 판단되면 스텝 S90으로 진행한다.At this time, if it is determined that the authentication value A and the candidate authentication value A 'are the same, the process proceeds to step S70, and if it is determined that the authentication value A and the candidate authentication value A' are different, the process proceeds to step S90.
스텝 S60에서 인증값 A와 후보 인증값 A'가 동일한 것으로 판단하여 인증 절차가 성공적으로 수행되면, 스텝 S70에서 토큰은 인증되지 않은 사용자의 접근이 불가능하도록 암호화된 해독값 K를 생성하고, 이를 스토리지 어레이에 전송한다.If it is determined in step S60 that the authentication value A and the candidate authentication value A 'are the same, and the authentication procedure is successfully performed, in step S70 the token generates an encrypted decryption value K that is not accessible to unauthorized users, and the storage is stored. Transfer it to the array.
토큰으로부터 암호화된 해독값 K가 송신되면, 스텝 S80에서 스토리지 어레이는 토큰으로부터 송신된 값 K를 해독하여 해독키 Key를 얻고, 후보 인증값 Ka'는 삭제한다.When the encrypted decryption value K is transmitted from the token, in step S80 the storage array decrypts the value K transmitted from the token to obtain the decryption key Key, and deletes the candidate authentication value Ka '.
스토리지 시스템의 물리적 도난 징후가 발견되면, 스텝 S90에서 스토리지 어레이는 내부의 암호키 Key를 완전히 삭제하여 암호화된 데이터를 복호화 할 수 없도록 하며, 향후 선택적으로 동기화를 수행하여 보안토큰이 암호키 Key를 새로 생성하도록 한다.
If the storage system shows signs of physical theft, in step S90, the storage array completely deletes the internal encryption key so that the encrypted data cannot be decrypted. To create it.
이상에서 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments.
100 : 백업용 스토리지 제어 시스템
200 : 1차 스토리지 서버
300 : 2차 백업 스토리지
400 : 스토리지 어레이
410 : 호스트 컨트롤러
420 : 보안 모듈
500 : 보안토큰100: Storage control system for backup
200: primary storage server
300: secondary backup storage
400: storage array
410: host controller
420: security module
500: Security Token
Claims (4)
상기 토큰이 Rnd(Random Number)를 생성하며, 생성된 상기 Rnd를 스토리지 어레이로 전송하는 단계;
상기 토큰이 인증값을 생성하는 단계;
상기 스토리지 어레이가 PIN number를 입력받는 단계;
상기 스토리지 어레이가 후보 인증키를 생성하는 단계;
상기 스토리지 어레이가 후보 인증값을 산출하며, 산출된 상기 후보 인증값을 상기 토큰으로 전송하는 단계;
상기 토큰이 상기 인증값과 상기 후보 인증값을 비교하는 단계; 및
상기 토큰에서 비교된 결과에 따라 상기 토큰이 해독값을 생성하여 상기 스토리지 어레이에 전송하는 단계를 포함하는 백업용 스토리지 제어 방법.
Receiving an encryption key and an authentication key through a token;
Generating a random number (Rnd) by the token, and transmitting the generated Rnd to a storage array;
The token generating an authentication value;
Receiving, by the storage array, a PIN number;
Generating a candidate authentication key by the storage array;
Calculating, by the storage array, a candidate authentication value, and transmitting the calculated candidate authentication value to the token;
The token comparing the authentication value with the candidate authentication value; And
And generating, by the token, a decryption value according to a result of the comparison in the token, and transmitting the decrypted value to the storage array.
상기 토큰이 인증값을 생성하는 단계는,
상기 인증키를 사용하여 상기 Rnd를 암호화함으로써 인증값을 생성하는 것을 특징으로 하는 백업용 스토리지 제어 방법.
The method of claim 1,
The token generating the authentication value,
And generating an authentication value by encrypting the Rnd using the authentication key.
상기 스토리지 어레이가 후보 인증값을 산출하는 단계는,
상기 후보 인증키를 사용하여 상기 토큰에서 송신된 Rnd를 암호화함으로써 후보 인증값을 산출하는 것을 특징으로 하는 백업용 스토리지 제어 방법.
The method of claim 1,
Computing the candidate authentication value by the storage array,
And a candidate authentication value is calculated by encrypting Rnd transmitted from the token using the candidate authentication key.
상기 토큰이 상기 인증값과 상기 후보 인증값을 비교하는 단계에서 상기 인증값과 상기 후보 인증값이 동일하면 상기 토큰에서 송신된 해독값에 따라 상기 스토리지 어레이가 해독키를 생성하고, 상기 인증값과 상기 후보 인증값이 상이하면 상기 스토리지 어레이가 상기 암호키를 삭제하는 것을 특징으로 하는 백업용 스토리지 제어 방법.4. The method according to any one of claims 1 to 3,
When the token compares the authentication value with the candidate authentication value, when the authentication value and the candidate authentication value are the same, the storage array generates a decryption key according to the decryption value transmitted from the token, and the authentication value and And if the candidate authentication value is different, the storage array deletes the encryption key.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120115234A KR101386606B1 (en) | 2012-10-17 | 2012-10-17 | Method for controlling backup storage |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020120115234A KR101386606B1 (en) | 2012-10-17 | 2012-10-17 | Method for controlling backup storage |
Publications (1)
Publication Number | Publication Date |
---|---|
KR101386606B1 true KR101386606B1 (en) | 2014-04-17 |
Family
ID=50658037
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020120115234A KR101386606B1 (en) | 2012-10-17 | 2012-10-17 | Method for controlling backup storage |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101386606B1 (en) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040097505A (en) * | 2003-05-12 | 2004-11-18 | 학교법인 호서학원 | System and Method for wireless authenticating using token |
KR20090099955A (en) * | 2008-03-19 | 2009-09-23 | 슬림디스크 주식회사 | The digital music album using flash memory and smart card cob, the playing device and the method of connecting with pc |
KR20100021134A (en) * | 2008-08-14 | 2010-02-24 | 에스케이 텔레콤주식회사 | System and method for activating application stored card |
-
2012
- 2012-10-17 KR KR1020120115234A patent/KR101386606B1/en active IP Right Grant
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040097505A (en) * | 2003-05-12 | 2004-11-18 | 학교법인 호서학원 | System and Method for wireless authenticating using token |
KR20090099955A (en) * | 2008-03-19 | 2009-09-23 | 슬림디스크 주식회사 | The digital music album using flash memory and smart card cob, the playing device and the method of connecting with pc |
KR20100021134A (en) * | 2008-08-14 | 2010-02-24 | 에스케이 텔레콤주식회사 | System and method for activating application stored card |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8683232B2 (en) | Secure user/host authentication | |
US9256750B2 (en) | Secure credential unlock using trusted execution environments | |
US8103883B2 (en) | Method and apparatus for enforcing use of danbury key management services for software applied full volume encryption | |
JP4615601B2 (en) | Computer security system and computer security method | |
US8782403B1 (en) | Method and apparatus for securing confidential data for a user in a computer | |
KR20080071528A (en) | System and method of storage device data encryption and data access | |
CN102271037A (en) | Key protectors based on online keys | |
KR20140126787A (en) | Puf-based hardware device for providing one time password, and method for 2-factor authenticating using thereof | |
US9529733B1 (en) | Systems and methods for securely accessing encrypted data stores | |
EP3694142A1 (en) | Management and distribution of keys in distributed environments (ie cloud) | |
WO2010005425A1 (en) | Systems and method for data security | |
JP6669929B2 (en) | System and method for managing encryption keys for single sign-on applications | |
AU2014266011B2 (en) | Self-authentication device and method | |
US20120272298A1 (en) | Method to provide chip based security for i/o packets in an array using dynamic topology | |
JP5380063B2 (en) | DRM system | |
CN106992978B (en) | Network security management method and server | |
EP3292654B1 (en) | A security approach for storing credentials for offline use and copy-protected vault content in devices | |
US11216571B2 (en) | Credentialed encryption | |
KR101327193B1 (en) | A user-access trackable security method for removable storage media | |
KR101947408B1 (en) | Puf-based hardware device for providing one time password, and method for 2-factor authenticating using thereof | |
KR101386606B1 (en) | Method for controlling backup storage | |
CN108985079B (en) | Data verification method and verification system | |
KR101387939B1 (en) | System for controlling backup storage | |
CN113342896B (en) | Scientific research data safety protection system based on cloud fusion and working method thereof | |
US11870906B1 (en) | Providing a secure isolated account for cloud-based storage services |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20170412 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20180412 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20190412 Year of fee payment: 6 |