KR101442539B1 - 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법 - Google Patents

보안저장장치를 구비하는 저장 시스템 및 그 관리 방법 Download PDF

Info

Publication number
KR101442539B1
KR101442539B1 KR1020140023938A KR20140023938A KR101442539B1 KR 101442539 B1 KR101442539 B1 KR 101442539B1 KR 1020140023938 A KR1020140023938 A KR 1020140023938A KR 20140023938 A KR20140023938 A KR 20140023938A KR 101442539 B1 KR101442539 B1 KR 101442539B1
Authority
KR
South Korea
Prior art keywords
disk
secure
key
unit
secure disk
Prior art date
Application number
KR1020140023938A
Other languages
English (en)
Inventor
권용구
Original Assignee
권용구
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 권용구 filed Critical 권용구
Application granted granted Critical
Publication of KR101442539B1 publication Critical patent/KR101442539B1/ko
Priority to PCT/KR2014/010490 priority Critical patent/WO2015102220A1/ko
Priority to EP14876700.7A priority patent/EP3091472B1/en
Priority to CN201480071560.4A priority patent/CN105874465B/zh
Priority to JP2016544500A priority patent/JP6410828B2/ja
Priority to US14/897,470 priority patent/US9619161B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1408Protection against unauthorised use of memory or access to memory by using cryptography
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1458Protection against unauthorised use of memory or access to memory by checking the subject access rights
    • G06F12/1466Key-lock mechanism
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0629Configuration or reconfiguration of storage systems
    • G06F3/0637Permissions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0674Disk device

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 컴퓨터의 저장 시스템에 관한 것으로, 보다 상세하게는 비활성화 상태에서는 운영시스템의 어플리케이션을 통해 존재 여부를 알 수 없고, 디지털키를 포함하는 어플리케이션을 통한 사용자의 비밀번호 입력 시 상기 디지털키와 비밀번호에 의해서만 활성화되어 사용할 수 있는 보안디스크 영역을 포함하는 보안저장장치를 구비하는 저장 시스템 및 방법에 관한 것이다.

Description

보안저장장치를 구비하는 저장 시스템 및 그 관리 방법{Storage system having security storage device and managing method thereof}
본 발명은 컴퓨터의 저장 시스템에 관한 것으로, 보다 상세하게는 비활성화 상태에서는 운영시스템의 어플리케이션을 통해 존재 여부를 알 수 없고, 디지털키를 포함하는 어플리케이션을 통한 사용자의 비밀번호 입력 시 상기 디지털키와 비밀번호에 의해서만 활성화되어 사용할 수 있는 보안디스크 영역을 포함하는 보안저장장치를 구비하는 저장 시스템 및 방법에 관한 것이다.
고속 인터넷의 보급 및 대중, 그리고 무선통신 기술의 접목에 의해 언제 어디서나 인터넷망에 접속하여 다양한 서비스를 제공받을 수 있는 클라우드 컴퓨팅 환경이 구축되었다.
그리고 데스크톱 컴퓨터, 노트북 컴퓨터, 태블릿 컴퓨터, 스마트폰 및 스마트 패드와 같은 스마트기기 등과 같은 다양한 컴퓨터들의 보급이 일반화됨에 따라 대부분의 사용자들은 중요 정보들을 컴퓨터에 저장하여 사용하고 있다.
이러한 컴퓨터의 보급 및 클라우드 컴퓨팅 환경의 구축은 사람들이 업무를 용이하게 할 수 있도록 보조하고, 즐거움을 제공하며, 다양한 분야에서 편의성을 제공하고 있다.
그러나 이러한 컴퓨터에 중요 정보를 저장하여 관리하고, 클라우드 컴퓨팅 환경을 이용하는 것은 언제 어디서나 누군가에 의해서 자신의 단말기가 해킹될 수 있는 환경을 제공하며, 해커 또는 주변의 다른 사람에 의해 컴퓨터에 저장되어 있는 자신의 중요 정보가 쉽게 노출되고 유출될 수 있는 환경을 제공한다.
이러한 문제점으로 컴퓨터에는 다양한 보안 시스템들이 적용되고 있다. 이러한 보안 시스템들로는 컴퓨터의 부팅 시 아이디(ID)/암호(Password)를 입력하는 로그인 방식의 보안 시스템과, 선행 공개특허[10-2009-0067649]와 같이 컴퓨터의 저장장치 전체 또는 저장장치의 일부 영역을 암호화하거나 선택된 특정 파일만을 암호화하고, 특정 인증절차를 통해서만 상기 일부 영역 또는 파일을 사용할 수 있도록 하는 암호화 방식의 저장장치 보안 시스템 등이 있다.
저장장치 보안 시스템은 피시방 및 기업체와 같이 다수의 사람이 다수의 컴퓨터를 사용하는 장소에서 사용되었으나 최근에는 휴대용 컴퓨터의 보급 등으로 인하여 개인들에게까지 확장되고 있는 추세이다.
그러나 대부분의 저장장치 보안 시스템은 상기 선행 공개특허와 같이 아이디 및 비밀번호, 또는 비밀번호의 입력만으로 암호화된 보안 영역을 사용할 수 있도록 구성되어 있어 보안성이 떨어지는 문제점이 있었다.
즉, 종래 저장장치 보안 시스템은 아이디 및 비밀번호, 또는 비밀번호만 노출되면 컴퓨터의 모든 정보가 유출될 수 있는 문제점이 있었다.
또한, 종래 저장장치 보안 시스템은 아이디 및 비밀번호를 모르더라도 저장장치에 암호화된 별도의 영역이 있음을 알 수 있어, 해커 등에 의한 전문가 임의의 영역에 대한 아이디 및 비밀번호의 해킹 시도를 유발할 수 있고, 이러한 시도에 의해 아이디 및 비밀번호가 해킹될 수 있었으며, 이로 인해 정보가 유출될 수 있는 문제점이 있었다.
특허공개 제10-2009-0067649호
따라서 본 발명의 목적은 비활성화 상태에서는 운영시스템의 어플리케이션을 포함한 어떠한 것에 의해서도 존재 여부를 알 수 없고, 디지털키를 포함하는 어플리케이션을 통한 사용자의 비밀번호 입력 시 상기 디지털키와 비밀번호에 의해서만 활성화되어 사용할 수 있는 보안디스크 영역을 포함하는 보안저장장치를 구비하는 저장 시스템 및 방법을 제공함에 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 보안저장장치를 구비하는 저장 시스템은: 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부; 보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부; 및 상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부를 포함하는 것을 특징으로 한다.
운영시스템은 윈도우즈, 리눅스(LINUX), 맥(MAC), 유닉스, 안드로이드 및 iOS 중 어느 하나이고, 상기 어플리케이션부는 상기 운영시스템에 대응되는 탐색기 또는 쉘프로그램 중 하나인 것을 특징으로 한다.
상기 열쇠 어플리케이션부는, 보안디스크의 디지털키 영역에 저장되어 있는 디지털키와 동일한 디지털키를 구비하는 디지털키 보관부; 상기 열쇠 어플리케이션의 실행 시 활성화되어 상기 커널계층부에 보안디스크 처리부를 설치하고 사용자 암호의 설정 및 설정된 사용자 암호의 입력 시 상기 디지털키에 의해 상기 보안디스크를 활성화시키고 상기 보안디스크로의 입출력 요청을 처리하는 서비스 실행부; 및 상기 서비스 실행부를 감시하고, 서비스 실행부 강제 종료 이벤트 발생 시 상기 보안설정 모드를 설정하고, 상기 어플리케이션부로부터 상기 보안디스크 서브시스템을 마운트 해제한 후 종료시키는 서비스 실행 감지부를 포함하는 것을 특징으로 한다.
상기 서비스 실행부는, 상기 열쇠 어플리케이션의 실행 시 보안설정 및 해제 수단을 포함하는 사용자 인터페이스 수단이 화면에 표시될 수 있도록 제공하는 디스플레이 처리부; 상기 사용자 인터페이스 수단을 통해 입력되는 입력 데이터를 처리하는 입력 처리부; 및 상기 열쇠 어플리케이션 실행 시 보안디스크 처리부를 설치하고, 열쇠 어플리케이션의 종료 시 상기 보안디스크 처리부를 삭제하는 보안디스크 처리부 설치부와, 사용자 인터페이스 수단의 보안설정 및 해제 수단을 통해 보안설정을 위한 사용자 암호를 입력받아 저장하여 설정하고, 보안설정해제 요청 시 상기 보안설정 및 해제 수단을 통해 입력된 사용자 암호와 미리 설정된 암호를 비교하여 인증 후 상기 보안디스크를 활성화시키는 암호 설정부와, 상기 입력 처리부를 통해 어플리케이션부에서 발생되는 입출력을 모니터링하여 활성화된 저장부의 보안디스크에 대한 데이터 처리 입출력 이벤트를 검출 시 해당 데이터 처리에 따른 입출력 요청을 상기 커널계층부의 보안디스크 처리부를 통해 처리하는 마운트 처리부를 포함하는 서비스 실행 제어부를 포함하는 것을 특징으로 한다.
상기 장치는: 컴퓨터 화면에 보안디스크 설정 수단을 제공하고, 상기 보안디스크 설정 수단을 통해 보안디스크로 설정할 시작 섹터를 포함하는 용량을 입력받아 보안디스크를 설정하고, 상기 시작섹터로부터 일정 용량의 디지털키 영역을 설정하고, 상기 디지털키 영역에 디지털키를 저장하는 보안디스크 생성 어플리케이션부를 더 포함하는 것을 특징으로 한다.
상기 디지털키는, 보안디스크의 보안설정해제 시 사용되는 디스크 볼륨 이름; 디스크 일련번호; 디스크 크기 정보; 시작섹터 정보; 상기 열쇠 어플리케이션별로 고유하게 할당되는 암호화키; 및 다음 복제 디지털키 간의 거리를 나타내는 섹터 오프셋 정보를 포함하는 것을 특징으로 한다.
상기 디지털키는, 일정 시간 동안 컴퓨터의 사용이 없을 경우, 상기 보안디스크를 닫는 보안설정모드로 자동 전환할지의 여부를 지정하는 자동 잠금 여부 정보를 더 포함하는 것을 특징으로 한다.
상기 디지털키는 상기 디지털키 영역 내에 둘 이상으로 구성되되, 상기 복수의 각 디지털키의 시작 섹터 정보는 랜덤하게 구성되는 것을 특징으로 한다.
상기 각 디지털키는 상기 열쇠 어플리케이션의 설치 후 사용자에 의해 설정된 사용자 옵션 정보를 더 포함하는 것을 특징으로 한다.
상기 사용자 옵션 정보는 디스크 볼륨 이름, 사용자 비밀번호, 파괴용 비밀번호 및 일정 시간 동안 컴퓨터의 사용이 없을 경우, 상기 보안디스크를 닫는 보안설정모드로 자동 전환할지의 여부를 지정하는 자동 잠금 여부 정보를 포함하는 것을 특징으로 한다.
상기 보안디스크 생성 어플리케이션부는, 사용자 인터페이스 수단을 화면에 표시하여 보안디스크의 시작 섹터, 보안디스크 볼륨 정보, 및 보안디스크 크기 정보 등의 보안디스크 생성 정보를 입력받는 보안디스크 설정부; 상기 보안디스크 설정부로부터 보안디스크 생성 정보를 입력받고, 고유의 암호키 및 파괴키를 생성하고, 상기 보안디스크 생성 정보, 암호키, 파괴키, 섹터 오프셋 및 보안디스크 타입 정보를 포함하는 디지털키를 생성하며, 생성된 디지털키를 저장부의 디지털키 영역에 저장하는 디지털키 구성부; 및 상기 디지털키를 포함하는 고유의 열쇠 어플리케이션을 생성하는 열쇠 어플리케이션 생성부를 포함하는 것을 특징으로 한다.
상기 커널계층부는, 어플리케이션 계층의 디스크 서브시스템으로부터 발생되는 폴더 및 파일에 대한 입출력 요청을 관리하는 입출력 관리부; 상기 보안설정모드에서 상기 입출력 관리부로부터 상기 요청 입력받아 처리하고, 상기 보안설정해제모드에서 상기 보안디스크 영역의 폴더 및 파일에 대한 처리를 수행하는 파일시스템 처리부; 상기 파일시스템 처리부와 물리적인 저장장치인 저장부 사이에 연결되어 상기 파일시스템 처리부에서 발생된 상기 요청에 따라 저장부를 제어하는 디바이스 처리부; 및 상기 열쇠 어플리케이션부에 의해 구성되어 보안디스크를 구비하는 저장부 및 상기 저장부의 보안디스크를 검출하고, 상기 어플리케이션부의 보안디스크 서브시스템에 의해 발생되는 폴더 및 파일에 대한 입출력요청을 상기 입출력 관리부 및 파일시스템 처리부를 통해 입력받아 입출력 요청의 종류에 따라 직접 처리하거나 상기 디바이스 처리부를 통해 처리하는 보안디스크 처리부를 포함하는 것을 특징으로 한다.
상기 보안디스크 처리부는, 보안디스크를 구비하는 저장부를 검출하고, 저장부에서 보안디스크를 검출하고, 열쇠 어플리케이션부로부터 발생되는 보안디스크의 폴더 및 파일에 대한 입출력 요청을 처리하기 위한 연결정보를 생성하고, 생성된 연결정보에 의해 상기 열쇠 어플리케이션부로부터 발생된 요청을 상기 파일 시스템 처리부로 전달하는 구성 요소 등록부; 및 상기 열쇠 어플리케이션 종료 이벤트의 발생 시 상기 생성된 연결정보를 삭제하여 보안디스크 처리부의 구동을 종료하는 구동 해제 처리부를 포함하는 것을 특징으로 한다.
상기 구성 요소 등록부는, 상기 열쇠 어플리케이션부로부터 발생되는 상기 요청을 직접 처리하기 위한 커널 디바이스 오브젝트를 생성하고 자료구조를 초기화하는 객체 생성부; 상기 열쇠 어플리케이션부로부터 디지털키를 입력받고, 상기 디지털키에 의해 보안디스크를 구비하는 저장부를 검출하는 보안디스크 검출부; 상기 열쇠 어플리케이션부로부터 발생되는 요청에 대한 패킷들을 처리하는 서브시스템 패킷 처리부; 및 상기 디스크 서브시스템에 의한 보안디스크 영역에 대한 입출력 요청 발생 시 상기 입출력 발생 요청에 대한 패킷의 처리를 수행한 후 그 결과를 리턴하는 파일시스템 패킷 처리부를 포함하는 것을 특징으로 한다.
상기 자료구조는, 상기 파일시스템 처리부의 패킷을 병행적으로 처리하기 위한 쓰레드(Thread)를 생성하고 그 정보를 저장하기 위한 제1항목; 파일시스템 처리부의 패킷 중 보안디스크 영역에 대한 입출력에 부속되어 제공되는 데이터를 암호화 및 복호화하기 위한 암호화키를 열쇠 어플리케이션부로부터 수신받아 보관하기 위한 제2항목; 디지털키를 열쇠 어플리케이션부로부터 수신받아 보관하기 위한 제3항목; 보안디스크를 구비하는 저장부의 오브젝트 핸들을 보관하기 위한 제4항목; 및 보안디스크를 구비하는 저장부가 사용자에 의해 컴퓨터로부터 분리되었을 때 통지되는 플러그 앤 플레이 통지를 위한 정보를 보관하기 위한 제5항목을 더 포함하는 것을 특징으로 한다.
상기 자동 잠금 여부 정보가 자동 잠금으로 설정되어 있으면, 상기 열쇠 어플리케이션부는, 컴퓨터 미사용 시간을 카운트하여 일정 시간 컴퓨터의 사용이 없으면 상기 구동 해제 처리부를 구동하여 구성 요소 등록부에 의해 등록된 연결정보들을 삭제하고, 보안디스크 처리부를 비활성화시키거나 삭제한 후, 자신도 종료하여 보안설정모드를 설정하는 것을 특징으로 한다.
상기 저장부의 보안디스크의 영역은, 미할당 영역으로 파티션되는 것을 특징으로 한다.
상기와 같은 목적을 달성하기 위한 본 발명의 보안저장장치를 구비하는 저장 시스템의 보안저장장치 관리 방법은: 보안디스크 생성 어플리케이션의 실행에 의해 생성 및 활성화되는 보안디스크 생성 어플리케이션부가 일반 디스크와, 디지털키가 저장되는 디지털키 영역 및 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장장치를 생성하는 보안저장장치 생성 과정; 열쇠 어플리케이션의 실행에 의해 활성화된 열쇠 어플리케이션부가 상기 디지털키를 구비하는 보안저장장치를 찾고, 보안설정모드에서 상기 보안디스크 영역을 숨기고, 사용자의 사용자 비밀번호에 의한 보안설정모드 해제 요청 시 어플리케이션부에 보안디스크 서브시스템을 마운트하여 상기 보안디스크의 볼륨이 보이도록 하여 상기 보안디스크에 데이터를 입출력할 수 있도록 설정하는 보안디스크 활성화 과정; 및 상기 보안디스크 서브시스템이 상기 활성화된 보안디스크에 데이터를 입출력하는 보안디스크 사용 과정을 포함하는 것을 특징으로 한다.
보안저장장치 생성 과정은, 보안디스크 생성 어플리케이션부가 디스플레이 처리부를 통해 보안디스크 설정 수단을 제공하고, 상기 보안디스크 설정 수단을 통해 보안디스크로 설정할 시작 섹터를 포함하는 용량을 입력받아 보안디스크를 설정하는 보안디스크 영역 설정 단계; 및 상기 보안디스크 생성 어플리케이션부가 시작섹터로부터 일정 용량의 디지털키 영역을 설정하고, 상기 디지털키 영역에 디지털키를 구성하는 디지털키 구성 단계를 포함하는 것을 특징으로 한다.
보안저장장치 생성 과정은, 상기 디지털키를 구비하는 열쇠 어플리케이션을 생성하는 열쇠 어플리케이션 생성 단계를 더 포함하는 것을 특징으로 한다.
상기 디지털키는, 보안디스크의 보안설정해제 시 사용되는 디스크 볼륨 이름; 디스크 일련번호; 디스크 크기 정보; 시작섹터 정보; 상기 열쇠 어플리케이션별로 고유하게 할당되는 암호화키; 및 다음 복제 디지털키 간의 거리를 나타내는 섹터 오프셋 정보를 포함하는 것을 특징으로 한다.
상기 디지털키는 상기 디지털키 영역 내에 둘 이상으로 구성되되, 상기 복수의 각 디지털키의 시작 섹터 정보는 랜덤하게 구성되는 것을 특징으로 한다.
보안디스크 활성화 과정은, 열쇠 어플리케이션의 실행 시 구동된 열쇠 어플리케이션부가 커널계층부에 보안디스크 처리부를 구성하는 보안디스크 처리부 구성 단계; 상기 열쇠 어플리케이션부가 사용자 인터페이스 수단을 표시하는 사용자 인터페이스 표시 단계; 상기 사용자 인터페이스 수단을 통한 보안디스크 활성화 요청이 발생되는지를 검사하는 보안디스크 활성화 요청 검사 단계; 상기 활성화 요청이 발생되면 상기 사용자 인터페이스 수단을 통해 입력되는 사용자 비밀번호가 입력되었는지를 판단하는 사용자 비밀번호 입력 여부 판단 단계; 및 상기 사용자 비밀번호 입력 여부 판단에서 입력된 것으로 판단되면 입력된 사용자 비밀번호와 미리 설정되어 있는 비밀번호와 비교하여 일치하면 상기 보안디스크를 활성화시키는 보안디스크 활성화 단계를 포함하는 것을 특징으로 한다.
상기 보안디스크 활성화 과정은, 상기 사용자 비밀번호 입력 여부 판단 단계에서 사용자 비밀번호가 입력된 것으로 판단되면 미리 등록된 비밀번호의 존재 여부에 따라 처음 사용자인지를 판단하는 처음 사용자 판단 단계; 처음 사용자이면 사용자 비밀번호 등록 수단을 포함하는 사용자 인터페이스 수단을 표시하는 사용자 비밀번호 등록 사용자 인터페이스 수단 표시 단계; 상기 사용자 인터페이스 수단을 통해 사용자 비밀번호가 입력되면 입력된 사용자 비밀번호를 디지털키의 사용자 옵션 영역에 저장하는 사용자 비밀번호 등록 단계를 더 포함하는 것을 특징으로 한다.
상기 방법은: 상기 보안디스크의 사용 중 보안디스크 비활성화 이벤트의 발생 시 열쇠 어플리케이션부가 보안디스크 처리부를 삭제하고 운영시스템에 열쇠 어플리케이션부의 구동 종료를 요청하여 보안디스크를 비활성화시키는 보안디스크 비활성화 과정을 더 포함하는 것을 특징으로 한다.
상기 보안디스크 비활성화 과정은, 상기 보안디스크의 사용 중 열쇠 어플리케이션 구동 종료 이벤트의 발생 시 열쇠 어플리케이션부가 구동 해제 처리부를 구동하여 등록된 구성요소들을 삭제하여 보안디스크 처리부를 제거하는 보안디스크 처리부 제거 단계; 및 상기 열쇠 어플리케이션부가 운영시스템에 자신의 구동 종료를 요청하여 구동을 종료하는 열쇠 어플리케이션부 구동 종료 단계를 포함하는 것을 특징으로 한다.
상기 방법은: 열쇠 어플리케이션부가 열쇠 어플리케이션의 활성화에 의해 표시된 사용자 인터페이스 수단을 통해 파괴 비밀번호의 입력 시 디지털키의 파괴 비밀번호와 비교하여 일치하면 상기 보안디스크의 디지털키 영역에서 디지털키를 영구 삭제하여 보안디스크의 보안 데이터 영역에 저장된 데이터를 사용할 수 없도록 파괴하는 보안디스크 파괴 과정을 더 포함하는 것을 특징으로 한다.
상기 방법은: 상기 보안디스크 파괴 과정 후, 상기 열쇠 어플리케이션의 재실행에 의해 구동된 열쇠 어플리케이션부가 디지털키 보관부에 저장된 디지털키의 시작섹터 정보 및 디지털키 영역의 정보에 의해 파괴된 보안디스크의 디지털키 영역을 찾고 찾아진 디지털키 영역에 디지털키를 저장하여, 상기 보안디스크를 다시 활성화시키는 파괴 보안디스크 복원 과정을 더 포함하는 것을 특징으로 한다.
본 발명은 사용자가 설정한 비밀번호와 고유한 디지털키를 가지는 고유의 열쇠 어플리케이션을 통해서만 저장장치의 임의의 용량을 가지고 상기 디지털키로 암호화된 보안디스크를 활성화 및 비활성화시킬 수 있으므로 강력한 보안성을 제공할 수 있는 효과를 갖는다.
또한, 본 발명은 디지털키 방식을 이용하여 보안디스크를 검출함으로써, 종래의 유사기술에서 사용하는 각종 매핑 테이블 영역을 운용할 필요가 없어지게 되고, 매핑테이블을 운용하지 않음으로써 더욱더 보안디스크의 보안성을 높이는 효과를 갖는다.
또한, 본 발명은 미리 설정된 고유의 파괴키를 제공하고, 사용자로부터 상기 파괴키의 입력 시 상기 파괴키에 의해 상기 디지털키만을 파괴하여, 상기 디지털키로 암호화된 보안디스크의 데이터에 접근 및 사용할 수 없도록 함으로써 중요 데이터의 유출을 방지할 수 있는 효과를 갖는다.
또한, 본 발명은 상기 파괴한 디지털키를 포함하는 어플리케이션만 구비하고 있으면 추후 상기 어플리케이션을 통해 상기 파괴된 디지털키가 저장되었던 영역에 어플리케이션에 포함된 디지털키를 복사하는 것만으로 상기 보안디스크에 저장된 데이터를 다시 활용할 수 있도록 함으로써, 사용자의 중요 데이터의 손실을 방지하면서도 보안성을 향상시킬 수 있는 효과를 갖는다.
또한, 본 발명은 타이머를 구동하여 일정 시간 동안 컴퓨터를 사용하지 않거나 대기화면 전환 이벤트가 발생되면 보안디스크를 잠그도록 함으로써 보안디스크에 저장된 데이터를 더욱 안전하게 보호할 수 있는 효과를 갖는다.
도 1은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템의 구성을 나타낸 도면이다.
도 2는 본 발명에 따른 보안저장장치를 구비하는 저장시스템의 보안디스크 생성 어플리케이션부의 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 보안저장장치를 구비하는 저장시스템의 보안디스크 서브시스템의 구성을 나타낸 도면이다.
도 4는 본 발명에 따른 보안저장장치를 구비하는 저장 시스템의 보안디스크 처리부의 구성을 나타낸 도면이다.
도 5는 본 발명에 따른 보안저장장치의 데이터 저장 구조를 나타낸 도면이다.
도 6은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법을 나타낸 흐름도이다.
도 7은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 생성 방법을 나타낸 흐름도이다.
도 8은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안 저장 장치 관리 방법의 보안디스크 활성화 방법을 나타낸 흐름도이다.
도 9는 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 비활성화 방법을 나타낸 흐름도이다.
도 10은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 파괴 방법 및 복원방법을 나타낸 흐름도이다.
이하 첨부된 도면을 참조하여 본 발명의 보안저장장치를 구비하는 저장 시스템의 구성 및 동작을 설명하고, 그 시스템에서의 보안저장장치 관리 방법을 설명한다.
도 1은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템의 구성을 나타낸 도면이고, 도 5는 본 발명에 따른 보안저장장치의 데이터 저장 구조를 나타낸 도면이다. 이하 도 1 및 도 5를 참조하여 설명한다.
본 발명에 따른 보안저장장치를 구비하는 저장 시스템은 어플리케이션부(100), 커널계층부(200), 저장부(300) 및 보안디스크 어플리케이션부(600)를 포함한다.
본 발명에 따른 저장부(300)는 16G, 32G, 100G, 1T 등의 임의의 크기의 용량을 가지는 대용량 저장장치로서, 도 5와 같이 일반적인 데이터들을 저장하는 일반영역으로 구성되는 일반 디스크(401)와, 디지털키를 저장하는 디지털키 영역(403) 및 상기 디지털키에 의해 암호화되는 보안 데이터들을 저장하는 보안 데이터 영역(404)을 구비하는 보안디스크(402)를 포함한다.
디지털키 영역(403)은 임의의 크기로 결정될 수 있으며, 도 4에서는 1M인 경우를 나타내었다. 디지털키 영역(403)에 저장되는 디지털키는 하나의 원본 디지털키(405-1)로 구성될 수도 있고, 도 5와 같이 하나의 원본 디지털키(405-1) 및 상기 원본 디지털키(405-1)를 복제한 적어도 하나 이상의 복제 디지털키(405-2,...,405-n)들로 구성될 수도 있을 것이다. 상기 원본 디지털키(405-1)와 복제 디지털키(405-2,..., 405-n)들 각각은 시작섹터 정보가 동일하고, 실시예에 따라 마지막 복제 디지털키(405-n)의 섹터 오프셋 정보만 다를 수 있을 것이다. 또는 다른 실시예에 따라 원본 디지털키(405-1) 및 복제 디지털키들(405-2,..., 405-n)의 섹터 오프셋들 각각이 서로 상이하게(랜덤하게 구성되는 경우-단 보안디스크 어플리케이션부(400)에 저장된 디지털키의 원본 디지털키 및 복사 디지털키의 섹터 오프셋 정보에 대응하는 상기 디지털키 영역(403)에 저장되는 디지털키의 원본 디지털키 및 복사 디지털키의 섹터 오프셋 정보는 동일) 구성될 수 있을 것이다. 그 외의 다른 정보들은 동일하게 구성될 것이다.
상기 원본 디지털키(405-1) 및 복제 디지털키(405-2,...,405-n)는 암호화키, 디스크 볼륨 이름, 비밀번호, 파괴키(또는 "파괴 비밀번호"라 함), 디스크 일련번호, 시작섹터 정보, 보안디스크의 크기, 자동 잠금 여부 설정 정보, 섹터 오프셋 정보 및 보안디스크 타입 정보를 포함한다.
암호화키는 전 세계에서 유일한 전 세계 고유 식별정보(Global Unique Identifier: GUID)로서, 실질적인 디지털키이다.
디스크 볼륨 이름은 보안디스크(402)가 열렸을 때 화면상(윈도우즈의 경우 탐색기 등)에서 보이거나 프롬프트 상에서 검색할 수 있는 이름이다.
비밀번호는 보안디스크를 활성화시킬 때 사용하는 초기 비밀번호로서, 사용자가 입력한 사용자 비밀번호이며, 상기 사용자 비밀번호를 SHA1 알고리즘을 이용하여 단방향 해쉬 처리한 값이 저장된다.
디스크 일련번호는 대용량 저장장치(Mass Storage Device)의 제조업체에서 부여한 일련번호를 취득하여 사용한다.
시작섹터 정보는 상기 저장부(300)에서 보안디스크(402)가 시작되는 섹터의 섹터번호가 사용될 수 있을 것이다. 상기 시작 섹터 정보는 저장부(300)의 보안디스크(402)의 난독성을 위해서 보안저장장치로 사용되는 저장장치별로 서로 다른 시작 섹터 정보를 가지도록 구성되는 것이 바람직할 것이다.
디스크 크기 정보는 보안디스크의 용량 정보이다.
자동 잠금 여부 정보는 보안디스크(402)가 활성화된 후 일정 시간 동안 컴퓨터의 사용이 없을 때, 보안디스크(402)를 자동으로 닫을 것인지, 즉 보안을 설정하여 보안디스크(402)가 안 보이도록 할 것인지의 여부를 나타낸 정보로서, 자동 잠금 설정을 0(또는 "1"), 자동 잠금 설정 해제를 1(또는 "0")로 설정할 수 있을 것이다.
섹터 오프셋 정보는 다음 복제 디지털키(405-2,...,405-n 중 하나)가 현재 원본 디지털키(405-1,...,405-n 중 하나) 또는 복제 디지털키(405-2,...,405-n+1 중 하나)보다 몇 섹터 이동되어 복제되는지를 나타내는 것으로, 일정 섹터(예: 50섹터) 단위로 설정될 수도 있고, 랜덤하게 설정될 수도 있을 것이다.
상기 원본 디지털키(405-1) 및 복제 디지털키(405-2,..., 405-n)는 사용자 옵션 정보를 더 포함할 수도 있을 것이다. 이하 상술한 암호화키, 디스크 볼륨 이름, 비밀번호, 파괴 비밀번호, 디스크 일련번호, 시작섹터 정보, 보안디스크 크기, 자동 잠금 여부 설정 정보, 섹터 오프셋 정보 및 타입 정보 등과 같이 고유하게 생성되는 정보를 "디지털키 구성 정보"라 하여 사용자 옵션 정보와 구분하여 설명하며, 상기 디지털키 구성 정보를 저장하는 영역을 "디지털키 구성 정보 영역(406)"이라 하고, 사용자 옵션정보를 저장하는 영역을 사용자 옵션 정보 영역(407)이라 한다. 상기 디지털키 구성 정보 영역(406) 및 사용자 옵션 정보 영역(407)은 512Byte로 구성될 수 있으며, 상기 디지털키 구성 정보 영역(406)에 저장되는 디지털키 구성정보 및 사용자 옵션 정보 영역(407)에 저장되는 사용자 정보는 암호화되어 저장될 것이다.
보안디스크 타입 정보는 보안디스크(402)를 생성할 때, 사용자로 하여금 비밀번호 또는 환경설정 항목을 변경할 수 있는 권한을 부여할 것인지의 여부 정보이다.
상기 사용자 옵션 정보는 보안디스크(402)를 처음 생성할 때 사용한 디지털키의 구성항목의 일부를 보안디스크 타입에 의해 사용자에 의해 변경할 수 있도록 지정한 경우 적용될 수 있는 정보로서, 사용자 정의 디스크 볼륨 이름, 상기 사용자 비밀번호, 파괴용 비밀번호 및 자동 잠금 여부 정보 등이 포함될 수 있을 것이다.
상기 디지털키 영역(403)은 상기 보안디스크(402)의 시작섹터로부터 상기 용량만큼의 크기로 구성될 수도 있고, 보안디스크(402)의 끝 섹터로부터 상기 용량만큼의 크기로 구성될 수도 있을 것이다. 그러나 보안디스크(402)의 시작섹터에 구성되는 것이 바람직할 것이다. 상기 디지털키 영역의 크기는 다양한 크기로 설정될 수 있으나, 1Mbyte 정도로 구성되는 것이 바람직할 것이다.
보안 데이터영역(404)에 저장되는 데이터들은 암호화되어 저장된다. 상기 암호화 방식으로는 AES256 등이 적용될 수 있을 것이다.
상기와 같은 디지털키를 저장하는 디지털키 영역(403) 및 보안데이터 영역(404)을 구비하는 보안디스크(402)는 도 5와 같이 하나의 물리적인 저장부(300)에 하나만 구성될 수도 있고, 2개 이상이 구성될 수도 있을 것이다.
어플리케이션부(100)는 운영시스템의 사용자 모드(또는 "어플리케이션 계층")에서 실행되는 어플리케이션으로, 윈도우즈, 리눅스(LINUX), 맥(MAC), 유닉스, 안드로이드 또는 iOS 등의 운영시스템의 탐색기 또는 쉘프로그램 등이 될 수 있을 것이다.
구체적으로 설명하면 어플리케이션부(100)는 본 발명의 실시예에 따라 디스크 서브시스템(10)과 보안디스크 서브시스템(20)을 포함한다.
디스크 서브시스템(10)은 어플리케이션부(100)의 구동과 함께 구동되어 커널계층부(200)를 통해 폴더 및 파일 등의 데이터를 저장부(300)에 저장하고, 저장되어 있는 데이터들의 읽어 표시하는 등의 처리를 수행한다.
보안디스크 서브시스템(20)은 본 발명에 따른 열쇠 어플리케이션에 의해 생성된 저장부(300)의 보안디스크(402)에 대한 입출력을 처리한다. 상기 보안디스크 서브시스템(20)은 활성화된 보안디스크(402)에 대해 데이터의 입출력 발생 시 보안디스크 처리부(240)를 통해 데이터들을 암호화하여 보안디스크(402)에 저장하고, 저장된 암호화 데이터를 읽어 들여 복호화한다.
보안 어플리케이션부(600)는 저장부(300) 또는 다른 저장수단에 저장된 보안 어플리케이션 또는 웹상에서 접속한 서비스 서버(미도시)로부터 제공되는 ActiveX, 보안 어플리케이션 등과 같은 어플리케이션에 의해 생성되어 저장부(300)에 보안디스크(402)를 구성하고, 상기 어플리케이션부(100)에 보안디스크 서브시스템(20)을 마운트시킨다. 또한, 상기 보안 어플리케이션은 운영시스템이 윈도우즈인 경우 xxx.dll 및 xxx.lib 등의 라이브러리 형태로 구성되어 제3의 어플리케이션에 제공될 수도 있을 것이다. 즉, 상기 보안 어플리케이션부(600)는 본 발명에 따른 xxx.dll 및 xxx.lib 라이브러리를 로드하여 동작하는 제3의 어플리케이션에 의해 생성되도록 구성될 수도 있을 것이다.
이러한 보안 어플리케이션부(600)는 열쇠 어플리케이션에 의해 활성화되는 열쇠 어플리케이션부(500)와 보안디스크 생성 어플리케이션에 의해 활성화되는 보안디스크 생성 어플리케이션부(400)를 포함한다. 또한, 보안디스크(402)가 저장부(300)에 형성되어 있는 경우, 상기 열쇠 어플리케이션만 xxx.dll 및 xxx.lib형태로 구성될 수도 있을 것이다.
열쇠 어플리케이션부(500)는 본 발명에 따른 열쇠 어플리케이션의 실행 시 활성화된 후, 보안설정해제 모드에서 저장부(30)의 보안디스크(402)를 활성화시고 어플리케이션부(100)에 보안디스크 서브시스템(20)을 마운트시킨다. 열쇠 어플리케이션부(500)는 상기 보안디스크 비활성화 이벤트 발생 시 어플리케이션부(100)로부터 보안디스크 서브시스템(20)을 언 마운트(Unmount)시킨다. 상기 보안디스크 비활성화 이벤트는 열쇠 어플리케이션부(500)의 활성화 시 활성화된 사용자 인터페이스 수단에 의한 상기 열쇠 어플리케이션부(500)의 정상적인 종료 또는 강제적인 종료에 의한 열쇠 어플리케이션 종료 이벤트가 될 수도 있고, 보안디스크(402)를 포함하는 저장장치(300)의 분리에 의해 발생되는 저장장치 분리 이벤트가 될 수도 있을 것이다.
커널계층부(200)는 어플리케이션부(100) 및 보안 어플리케이션부(600)와 저장부(300) 사이에 구성되어 어플리케이션부(100)에서 발생되는 입출력 요청들에 대응하여 저장부(300)에 저장할 데이터 및 저장된 데이터들의 입출력을 위한 데이터 입출력 처리를 수행한다.
구체적으로 설명하면, 커널계층부(200)는 입출력 관리부(210), 파일 시스템 처리부(220), 디바이스 처리부(230)를 포함하여 구성된다.
입출력 관리부(210)는 어플리케이션부(100)의 디스크 서브시스템(10) 및 보안디스크 서브시스템(20)에 의해 발생되는 입출력을 처리하기 위한 전반적인 입출력을 관리한다. 상기 입출력 관리부(210)는 입출력 서비스 시스템(I/O System Service), 오브젝트 관리자(Object Manager), 보안 관리자(Security) 및 입출력 관리자(I/O Manager)을 포함하는 구성이 될 수 있을 것이다. 상기한 윈도우즈의 입출력 관리부(210) 구성은 잘 알려져 있는 기술이므로 그 상세한 설명을 생략한다.
파일시스템 처리부(220)는 상기 입출력 관리부(210)를 통해 제공되는 입출력들을 운영시스템에 따른 폴더 및 파일 등의 데이터들을 저장부(300)에 저장하기 위해 구성되는 논리적인 정보들을 관장하여 해당 운영시스템에 따른 폴더 및 파일 등의 데이터를 구성하여 제공하거나 어플리케이션부(100)로 제공하기 위한 데이터 처리를 수행한다. 상기 파일시스템 처리부(220)는 상기 운영시스템이 윈도우즈인 경우 NTFS, FAT16, FAT32등과 같은 파일시스템에 따른 데이터를 처리하는 파일시스템 드라이버가 될 수 있고, 상기 파일시스템에 따른 폴더 및 파일 등의 데이터를 구성하여 저장부(300)에 저장하고, 저장된 데이터를 읽어 들이는 역할을 수행한다. 이러한 윈도우즈의 파일시스템 구성은 잘 알려져 있는 기술이므로 그 상세한 기술 설명을 생략한다.
디바이스 처리부(230)는 상기 파일시스템 처리부(220)에서 요청된 데이터 처리 요청에 대해 물리적인 저장부(300)를 제어하여 해당 데이터에 대한 처리를 수행하고, 그 결과를 파일시스템 처리부(220)로 리턴한다.
상기 열쇠 어플리케이션부(500)이 활성화됨과 동시에 상기 열쇠 어플리케이션부(500)에 의해 커널계층부(200)에는 보안디스크 처리부(240)가 생성된다.
생성된 보안디스크 처리부(240)는 열쇠 어플리케이션부(500)의 제어를 받아 보안디스크(402)를 포함하는 저장부(300)를 검출하며, 보안설정해제 모드에서 보안디스크(402)를 어플리케이션부(100)에 마운트된 보안디스크 서브시스템(20)으로부터 데이터 입출력에 따른 입출력 요청을 받고, 입력된 입출력 요청들을 처리하기 위한 객체들을 생성한다.
또한, 보안디스크 처리부(240)는 상기 보안 서브시스템(20)에서 발생된 요청들에 대응하는 상기 검출된 보안디스크(402)에 저장할 데이터 및 저장된 데이터들에 대한 입출력 요청을 입출력 관리부(210) 및 파일시스템 처리부(220)를 통해 입력받고, 입출력 요청에 대응하는 처리를 수행한 그 처리 결과를 파일시스템 처리부(220) 입출력 관리부(210)를 통해 보안디스크 서브시스템(20)으로 리턴하거나, 디바이스 처리부(230)를 통해 저장부(300)의 보안디스크(402)에 해당 입출력 요청에 대한 처리를 수행한다.
상기 보안디스크 처리부(240)는 디바이스 처리부(230)로 요청에 대한 데이터를 제공 시 본 발명에 따라 암호화하여 제공하고, 디바이스 처리부(230)에서 처리되어 저장부(300)의 보안디스크(402)로부터 읽혀진 암호화된 데이터를 복호화하여 보안디스크 서브시스템(20)으로 제공한다. 구체적으로 설명하면, 상기 입출력이 보안디스크(402)에 대한 정보 조회용 입출력(디스크정보, 볼륨정보 및 파티션 정보 등등)인 경우, 상기 입출력은 보안디스크 서브시스템(20)<->입출력 관리부(210)<->파일시스템 처리부(220)<->보안디스크 처리부(240)를 통해 처리되고, 상기 입출력이 보안디스크(402)에 대한 파일 또는 폴더에 대한 데이터 입출력인 경우, 상기 입출력은 보안디스크 서브시스템(20)<->입출력관리부(210)<->파일시스템 처리부(220)<->보안디스크 처리부(240)<->디바이스 처리부(230)를 통해 처리된다.
상기 보안디스크 처리부(240)의 구성은 하기 도 3을 참조하여 상세히 설명한다. 상기 암호화 방식으로는 AES256 방식 등이 적용될 수 있을 것이다.
상기 보안디스크 생성 어플리케이션부(400)는 어플리케이션부(100)와 같이 사용자 모드에서 보안디스크 생성 어플리케이션의 구동 시 생성되어 본 발명에 따른 보안디스크(402)를 포함하는 저장부(300)를 생성한다. 상기 보안디스크 생성 어플리케이션부(400)의 상세 구성 및 동작은 하기 도 2에서 상세히 설명한다.
도 2는 본 발명에 따른 보안저장장치를 구비하는 저장시스템의 보안디스크 생성 어플리케이션부의 구성을 나타낸 도면이다.
도 2를 참조하면 보안디스크 생성 어플리케이션부(400)는 보안디스크 구성부(410), 디스플레이 처리부(420) 및 입력 처리부(430)를 포함한다.
디스플레이 처리부(420)는 보안디스크 생성 어플리케이션이 구동된 컴퓨터의 화면에 보안디스크를 구비하는 저장부(300)를 생성하기 위한 시작 섹터, 용량(보안디스크 크기) 및 디스크 볼륨 정보 등을 입력할 수 있는 보안디스크 생성 수단 등을 포함하는 사용자 인터페이스 수단을 표시한다.
입력 처리부(상기 사용자 인터페이스 수단에 대응하는 입력을 수신받아 보안디스크 구성부(410)로 출력한다.
보안디스크 구성부(410)는 상기 디스플레이 처리부(420)로 사용자 인터페이스 수단을 제공하고, 그에 따라 입력 처리부(430)를 통해 입력되는 보안디스크 생성 정보를 입력받고, 암호키, 파괴키, 섹터 오프셋, 섹터시작 정보, 디스크 크기 정보, 디스크 볼륨 정보 등을 포함하는 디지털키를 생성한 후, 보안디스크 처리부(250)를 호출하여 저장부(300)의 상기 시작섹터 정보의 시작 섹터로부터 일정 크기의 디지털키 영역(403)에 상기 디지털키를 암호화하여 저장하고 상기 디지털키가 저장된 이후의 데이터를 암호화하여 저장하는 보안 데이터 영역(404)을 가지는 보안디스크(402)를 생성한다.
구체적으로, 보안디스크 구성부(410)는 상기 사용자 인터페이스 수단을 디스플레이 처리부(420)를 통해 제공하여 보안디스크의 시작 섹터, 보안디스크 볼륨 정보, 및 보안디스크 크기 정보 등의 보안디스크 생성 정보를 입력받는 보안디스크 설정부(411), 상기 보안디스크 설정부(411)로부터 보안디스크 생성 정보를 입력받고, 고유의 암호키 및 파괴키를 생성하고, 상기 보안디스크 생성 정보, 암호키, 파괴키, 섹터 오프셋 및 보안디스크 타입 정보를 포함하는 디지털키를 생성하고, 생성된 디지털키를 저장부(300)의 디지털키 영역(403)에 저장하는 디지털키 구성부(412) 및 상기 디지털키를 포함하는 고유의 열쇠 어플리케이션을 생성하는 열쇠 어플리케이션 생성부(413)를 포함한다. 상기 생성된 열쇠 어플리케이션은 상기 저장부(300)와 함께 임의의 사용자에게 제공될 수도 있고, 사용자가 인터넷상에서 임의의 서비스 서버(미도시)에 접속 시 서비스 서버로부터 ActiveX 및 보안 어플리케이션 등의 형태로 제공받을 수도 있을 것이다.
도 3은 본 발명에 따른 보안저장장치를 구비하는 저장시스템의 열쇠 어플리케이션부의 구성을 나타낸 도면이다.
열쇠 어플리케이션부(500)는 서비스 실행부(110), 디지털키 보관부(120) 및 서비스 실행 감시부(130)를 포함한다.
디지털키 보관부(120)는 상술한 바와 같이 저장부(300)의 보안디스크(402)의 디지털키 영역(403)에 저장된 디지털키(사용자 옵션 정보는 제외)와 동일한 디지털키를 저장한다.
서비스 실행부(110)는 본 발명에 따른 보안저장장치를 구비하는 저장 시스템의 전반적인 동작을 제어한다. 특히, 서비스 실행부(110)는 본 발명에 따른 사용자 옵션정보 설정, 저장부(300)의 보안디스크(402)를 활성화하거나 비활성화하는 전반적인 동작을 처리한다.
구체적으로 설명하면, 서비스 실행부(110)는 디스플레이 처리부(111), 입력처리부(112), 서비스 실행 제어부(113)를 포함한다.
디스플레이 처리부(111)는 열쇠 어플리케이션이 구동된 컴퓨터의 화면에 사용자 옵션 정보 설정, 보안설정해제 및 보안설정 수단을 포함하는 사용자 인터페이스 수단을 표시한다.
입력 처리부(112)는 상기 사용자 인터페이스 수단에 대응하는 입력을 수신받아 서비스 실행 제어부(113)로 출력한다.
서비스 실행 제어부(113)는 열쇠 어플리케이션의 실행 시 커널계층부(200)에 보안디스크 처리부(240)를 생성하는 보안디스크 처리부 설치부(114), 디스플레이 처리부(111)를 통해 제공되는 사용자 인터페이스 수단을 통해 사용자 암호 설정 수단을 제공하고, 상기 사용자 암호 설정 수단을 통해 사용자 암호를 등록하거나 변경하여 디지털키 보관부(120) 또는 저장부(300)의 디지털키 영역(402)의 디지털키의 사용자 옵션 영역(407)에 저장하는 암호 설정부(115), 및 입력 처리부(112)를 통해 보안디스크(402), 즉 보안디스크 서브시스템(20)이 어플리케이션부(100)에 마운트되거나 마운트 해제되도록 하고 마운트된 경우 어플리케이션부(100)에 의해 저장부(300)의 보안디스크(402)에 대한 데이터 처리 입출력이 발생할 때 상기 커널계층부(200)의 보안디스크 처리부(240)에 의해 데이터 처리를 수행하도록 하고, 마운트가 해제된 경우에는 이를 중지시키도록 하는 마운트 처리부(116)를 포함한다.
서비스 실행 감시부(130)는 상기 서비스 실행부(110)의 동작 상태를 감시하여 상기 서비스 실행부(110)의 강제 종료 이벤트의 검출 시 보안디스크(402)를 닫는다. 즉 서비스 실행 감시부(130)는 서비스 실행부(110)의 강제 종료 시 보안설정해제 모드에서 보안설정모드로 전환하여 상기 보안디스크(402)를 비활성화시킨다. 이는 해커가 상기 서비스 실행부(110)를 강제 종료 시킨 후, 활성화되어 있는 보안디스크(402)로부터 데이터를 빼내어 가는 것을 방지하기 위한 것이다. 상기 서비스 실행부 강제 종료 이벤트는 상기 서비스 실행부(110)의 동작 종료 및 보안디스크(402)를 포함하는 저장부(300)의 분리 시에 발생될 수 있을 것이다. 상기 서비스 실행부(110)의 동작 종료란 윈도우즈 운영시스템의 경우 상기 서비스 실행부(110)를 구동하는 프로세스(*.exe)의 종료를 의미할 것이다.
도 4는 본 발명에 따른 보안저장장치를 구비하는 저장 시스템의 보안디스크 처리부의 구성을 나타낸 도면이다.
본 발명에 따른 보안디스크 처리부(240)는 구성요소 등록부(241) 및 구동 해제 처리부(242)를 포함한다.
구성요소 등록부(241)는 보안디스크(402)를 구비하는 저장부(300)를 검출하고, 열쇠 어플리케이션부(500)로부터 발생되는 보안디스크(402)의 디지털키 및 사용자 옵션정보에 대한 입출력 또는 보안모드해제 요청의 처리에 의한 보안디스크(402)의 활성화시킨다. 상기 구성요소 등록부(241)는 상기 보안디스크(402)가 활성화된 이후, 보안디스크(402)에 대한 폴더 및 파일 등의 데이터에 대한 입출력 요청을 처리하기 위한 객체정보 등과 같은 연결 정보들을 생성하며, 생성된 연결정보에 의해 상기 보안디스크 서브시스템(20)으로부터 발생된 입출력 요청을 입출력 요청 종류에 따라 직접 처리하여 파일시스템 처리부(220)로 리턴하거나 상기 디바이스 처리부(230)로 전달한다. 그러나 보안디스크(402)의 사용/정지 등을 제어하기 위한 명령들이 대부분이며, 이러한 명령들은 열쇠 어플리케이션부(500)에서 발생되며, 입출력 관리부(210) 및 파일시스템 처리부(220)을 경유하지 않고, 열쇠 어플리케이션부(500)로부터 직접 수신받아 보안디스크 처리부(240)에서 모두 처리된다.
구동해제 처리부(242)는 상기 열쇠 어플리케이션 종료 이벤트, 서비스 실행부(110) 강제 종료 이벤트 및 저장장치 분리 이벤트 등과 같은 보안디스크 비활성화 이벤트의 발생 시 상기 생성된 연결정보들을 삭제하여 보안디스크 처리부(240)의 구동을 종료하고 열쇠 어플리케이션부(500)로 구동 종료를 통지한다.
상기 구성요소 등록부(241)의 구성을 구체적으로 설명하면, 구성요소 등록부(241)는 객체 생성부(2411), 보안디스크 검출부(2412), 서브시스템 패킷 처리부(2413), 파일시스템 패킷 처리부(2414) 및 통지 처리부(2415)를 포함한다.
객체 생성부(2411)는 상기 열쇠 어플리케이션부(500)로부터 발생되는 상기 요청을 직접 처리하기 위한 연결정보인 커널 디바이스 오브젝트를 생성하고 자료구조를 초기화한다. 운영시스템이 윈도우즈인 경우, 상기 자료구조의 항목으로는 윈도우즈 장치 드라이버(Device Driver) 구조에서 제공되는 기본 항목 이외에 다음과 같은 보안디스크용 항목들을 포함한다.
1. 상기 파일시스템 처리부의 패킷을 병행적으로 처리하기 위한 쓰레드(Thread)를 생성하고 그 정보를 저장하기 위한 제1항목
2. 파일시스템 처리부의 패킷 중 보안디스크 영역에 대한 입출력에 부속되어 제공되는 데이터를 암호화 및 복호화하기 위한 암호화키를 열쇠 어플리케이션부(500)로부터 수신받아 보관하기 위한 제2항목
3. 디지털키를 열쇠 어플리케이션부(500)로부터 수신받아 보관하기 위한 제3항목
4. 보안디스크(402)를 구비하는 저장부(300)의 오브젝트 핸들을 보관하기 위한 제4항목
5. 보안디스크(402)를 구비하는 저장부가 사용자에 의해 컴퓨터로부터 분리되었을 때 통지되는 플러그 앤 플레이 통지를 위한 정보를 보관하기 위한 제5항목
보안디스크 검출부(2412)는 상기 열쇠 어플리케이션부(500)로부터 디지털키를 입력받고, 상기 디지털키에 의해 보안디스크(402)를 구비하는 저장부(300)를 검출하고, 상기 저장부(300)의 보안디스크(402)를 검출한다.
서브시스템 패킷 처리부(2413)는 상기 보안디스크 서브시스템(20)으로부터 발생되는 요청에 대한 패킷들을 처리한다.
파일시스템 패킷 처리부(2414)는 보안모드해제 요청의 처리에 의해 상기 어플리케이션부(100)에 보안디스크(402)가 활성화된 이후, 상기 디스크 서브시스템(10) 또는 보안디스크 서브시스템(20)이 파일시스템 처리부(220)를 통해 보안디스크(402)의 영역에 대해 요청으로서 디바이스 처리부(230)로 직접 전달하는 패킷 또는 보안디스크 처리부(240)를 통해 디바이스 처리부(230)로 전달하는 패킷을 처리하고, 그 결과를 리턴한다.
상기 파일시스템 패킷 처리부(2414)는 운영시스템이 윈도우즈인 경우 다음과 같은 메시지를 처리한다.
1. IRP_MJ_CREATE: 어플리케이션부(탐색기)에 의해 전달되는 커널 오브젝터(Cernel Object)의 생성요청으로서 모두 정상적으로 처리한 것으로 응답하여 반환
2. IRP_MJ_CLOSE: 어플리케이션부에 의해 전달되는 커널 오브젝트의 소멸 요청으로서 모두 정상적으로 처리한 것으로 응답하여 반환
3. IRP_MJ_READ: 어플리케이션부에 의해서 사용자가 실제 파일을 읽거나 저장할 때 또는 보안디스크(402)에 의해 제공된 가상의 볼륨을 포맷팅(Formatting), 생성, 삭제 등의 조작을 수행할 때 전달되는 모든 읽기 요청(사용자가 쓰기 요청을 해도 커널에는 읽기 요청이 도착할 수 있음)을 처리를 수행.
4.IRP_MJ_WRITE: 어플리케이션부에 의해서 사용자가 실제 파일을 읽거나 저장할 때 또는 보안디스크(402)에 의해 제공된 가상의 볼륨을 포맷팅(Formatting), 생성, 삭제 등의 조작을 수행할 때 전달되는 모든 읽기 요청을 처리.
5. IRP_MJ_DEVICE_CONTROL: 어플리케이션부(100)에 의해서 사용자가 실제 파일을 읽거나 저장할 때 보안디스크(402)에 의해 제공된 가상의 볼륨을 포맷팅 또는 생성, 삭제 등의 조작을 수행할 때 전달되는 모든 제어 요청을 처리. 보안디스크(402)의 정상적인 운용을 위해 반드시 필요한 처리 이외는 모두 무시.
6. IOCTL_DISK_GET_DRIVE_GEOMETRY: 파일시스템 처리부(220: 윈도우즈의 파일시스템 드라이버)에 의해 요청된 DISK_GEOMETRY정보를 다음과 같이 구성하여 반환. 이 정보는 보안디스크용 디지털키의 정보에 기초하여 어플리케이션부(윈도우즈의 탐색기)에서 정상적인 볼륨(Volume)으로 인식시키기 위한 정보임
A. 실린더수: 보안디스크용 디지털키의 디스크 크기/512(기본섹터크기)/32/2
B. 미디어 형식: 고정미디어
C. 실린더별 트랙수: 2
D. 트랙별 섹터수: 32
E. 섹터별 바이트수: 512
7. IOCTL_DISK_GET_LENGTH_INFO: 파일시스템 드라이버에 의해 요청된 GET_LENGTH_INFOMATION_INFO 정보를 다음과 같이 구성하여 반환. 이 정보는 보안디스크용 디지털키의 정보에 기초하여 윈도우즈 탐색기에서 정상적인 볼륨 또는 파티션으로 인식시키기 위한 정보임.
A. 디스크 크기: 보안디스크용 디지털키 영역의 크기
8. IOCTL_DISK_GET_PARTITION_INFO: 파일시스템 드라이버에 의해 요청된 PATRTITION_INFORMATION 정보를 다음과 같이 구성하여 반환. 이 정보는 보안디스크용 디지털키의 정보에 기초하여 윈도우즈 탐색기에서 정상적인 볼륨 또는 파티션으로 인식시키기 위한 정보임.
A. 시작오프셋:512
B. 파티션길이: 보안디스크용 디지털키의 디스크크기-512
C. 히든섹터: 1
D. 파티션번호: 0
E. 파티션 형식: 0
F. 부트지시자: 거짓(FALSE)
G. 인식된 파티션여부: 거짓(FALSE)
H. 파티션정보 변경 여부: 거짓
9. IOCTL_DISK_GET_PARTITION_INFO_EX: 파일시스템 드라이버에 의해 요청된 PARTITION_INFORMATION_EX 정보를 다음과 같이 구성하여 반환. 이 정보는 보안디스크용 디지털키의 정보에 기초하여 윈도우즈 탐색기에서 정상적인 볼륨 또는 파티션으로 인식시키기 위한 정보임.
A. 파티션 형식: 0
B. 시작오프셋: 512
C. 파티션 길이: 보안디스크용 디지털키의 디스크 크기-512
D. 히든섹터: 1
E. 파티션 번호: 0
F. 파티션정보 변경 여부: 거짓
G. 파티션 형식: 0
H. 부트지시자: 거짓
I. 인식된 파티션 여부: 거짓
J. 히든섹터: 1
통지 처리부(2415)는 일반 디스크(401) 또는 보안디스크(402)로 사용되는 특정 저장부(300)가 사용자에 의해 컴퓨터에서 분리되었을 때 통지되는 플러그 앤 플레이(Plug and Play) 통지를 수신받아 처리한다. 특히, 보안디스크(402)를 포함하는 저장부(300)가 사용자에 의해 컴퓨터에서 제거된 경우, 이미 열쇠 어플리케이션부(500)에 의해서 보안디스크용 볼륨이 마운트되어 어플리케이션부(100)로 제공되고 있는 상태이므로 이 처리를 통해 거꾸로 열쇠 어플리케이션부(500)에 통지하여 탐색기에 의한 보안디스크용 볼륨에 더 이상 액세스가 발생하지 않도록 하는 일련의 처리를 수행한다.
도 6은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법을 나타낸 흐름도이다.
도 6을 참조하면, 본 발명에 따라 보안디스크 생성 어플리리케이션부(400)는 임의의 저장장치인 저장부(300)에 보안디스크(402)를 생성한다(S511). 상기 보안디스크(402)는 상기 저장부(300)의 생산 시 또는 상기 저장부(300)를 포함하는 데스크톱 및 노트북 등과 같은 컴퓨터 제조 과정에서 생성될 수도 있고, 컴퓨터 사용자에 의해 생성될 수도 있을 것이다. 그러나 본 발명은 사용자에게 고유한 디지털키를 가지는 열쇠 어플리케이션 제공하여 보안성을 높이는 데 목적이 있으므로, 저장부(300)의 생산 과정에서 보안디스크를 구성하는 것이 바람직할 것이다. 보안디스크 생성과정은 후술할 도 7을 참조하여 상세히 설명한다.
보안디스크가 생성된 후, 보안디스크를 구비하는 저장부(300)가 연결되어 있는 컴퓨터에서 열쇠 어플리케이션이 실행되면 상술한 바와 같이 열쇠 어플리케이션부(500)가 생성되고, 상기 생성된 열쇠 어플리케이션부(500)는 커널계층부(200)에 보안디스크 처리부(240)를 생성한다. 열쇠 어플리케이션부(500)는 상기 보안디스크 처리부(240)의 생성 후, 화면상에 사용자 인터페이스 수단을 표시한 후, 사용자에 의한 비밀번호를 설정하고, 이후 설정된 비밀번호와 동일한 비밀번호의 입력 시 보안디스크(402)를 포함하는 저장부(300)를 검출하고, 보안디스크 처리부(240)를 어플리케이션부(20)에 마운트하여 검출된 보안디스크(402)를 드라이브로서 활성화시킨다(S513). 이때, 어플리케이션부(100)에 보안디스크(402)가 가상의 볼륨으로 마운트된다. 보안디스크(402) 활성화 방법은 도 8을 참조하여 상세히 설명한다.
상기 보안디스크 활성화 후 어플리케이션부(100)는 상기 보안디스크(402)를 일반 드라이브처럼 표시하고, 사용자의 요청에 따라 상기 보안디스크(402)에 데이터를 저장하거나 읽어 들여 보안디스크(402)를 사용한다(S515).
상기 보안디스크(402)의 사용 중에 보안디스크 비활성화 이벤트의 발생 시 열쇠 어플리케이션부(500)는 커널계층부(200)에 설치된 보안디스크 처리부(240) 및 보안디스크 서브시스템(20)을 비활성화 또는 삭제하여 보안디스크(402)를 비활성화시킨 후 자신도 종료한다(S517). 상기 보안디스크(402) 비활성화 과정은 도 9를 참조하여 상세히 설명한다.
도 7은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 생성 방법을 나타낸 흐름도이다.
도 7을 참조하면, 보안디스크 생성 어플리케이션부(400)는 컴퓨터 화면에 표시된 사용자 인터페이스 수단을 표시하고, 상기 사용자 인터페이스 수단으로부터 보안디스크를 생성하기 위한 버튼 등의 눌림에 의한 보안디스크 생성 이벤트가 발생되는지를 검사한다(S611). 상기 보안디스크 생성 이벤트는 상술한 바와 같이 사용자 인터페이스 수단의 보안디스크 생성 버튼 등에 의해 발생할 수도 있지만 보안디스크 생성 어플리케이션의 실행 자체가 될 수도 있을 것이다.
상기 보안디스크 생성 어플리케이션부(400)는 보안디스크 생성 이벤트의 발생 시 보안디스크를 생성하기 위한 보안디스크 생성 정보를 입력할 수 있는 보안디스크 생성 사용자 인터페이스 수단을 표시하여 보안디스크 생성 정보의 입력을 요청한다(S613). 상기 보안디스크 생성 사용자 인터페이스 수단은 보안디스크의 영역 범위를 설정하기 위한 수단이 될 수 있을 것이다. 상기 보안디스크 영역 범위는 상기 보안디스크(402)의 시작 섹터 및 용량(보안디스크 크기) 등이 될 수 있을 것이다.
상기 보안디스크 생성 사용자 인터페이스 수단의 표시 후 보안디스크 생성 어플리케이션부(400)는 상기 보안디스크 생성 사용자 인터페이스 수단을 통해 보안디스크 생성 요청이 발생되는지를 검사한다(S615).
보안디스크 생성 요청이 발생되면 보안디스크 생성 어플리케이션부(400)는 고유의 암호키 및 파괴키를 생성하여 저장한다(S617, S619).
상기 암호키 및 파괴키의 생성 후 보안디스크 생성 어플리케이션부(400)는 상기 시작 섹터로부터 일정 크기를 가지는 디지털키 영역을 할당한다(S621).
디지털키 영역이 할당되면 보안디스크 생성 어플리케이션부(400)는 상기 입력된 암호키, 파괴키, 시작 섹터 정보, 디스크 크기 정보, 디스크 일련번호 및 적어도 하나 이상의 섹터 오프셋을 포함하는 디지털키를 생성한(S623) 후, 디지털키 영역(403)에 저장한다(S625).
상기 보안디스크의 생성 후 보안디스크 생성 어플리케이션부(400)는 상기 디지털키를 포함하는 고유의 열쇠 어플리케이션을 생성한다(S627).
도 8은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안 저장 장치 관리 방법의 보안디스크 활성화 방법을 나타낸 흐름도이다.
도 8을 참조하면, 사용자에 의한 열쇠 어플리케이션이 실행되면 열쇠 어플리케이션부(500)가 구동된다(S713).
구동된 열쇠 어플리케이션부(500)는 커널계층부(200)에 보안디스크 처리부(240)를 생성한다(S715).
보안디스크 처리부(240)의 생성 후, 열쇠 어플리케이션부(500)는 사용자 인터페이스 수단을 컴퓨터 화면에 표시하고(S717), 보안디스크 활성화 요청이 발생되는지(S719), 사용자 비밀번호 등록 또는 변경 요청이 발생되는지를 검사한다(S720).
보안디스크 활성화 요청 발생 시 열쇠 어플리케이션부(500)는 사용자 인터페이스 수단을 통해 사용자 비밀번호가 입력되었는지를 검사한다(S721). 사용자 비밀번호가 입력되지 않았으면 사용자 비밀번호를 입력할 것을 요청하는 메시지를 화면에 표시하고(S723), 사용자 비밀번호가 입력되었으면, 기존 등록된 사용자 비밀번호가 있는지를 검사하여 처음 사용자인지 기존 사용자인지를 판단한다(S724).
상기 처음 사용자 판단(S725)에서 처음 사용자이거나 사용자 비밀번호 등록 또는 변경 요청 발생(S720) 시 열쇠 어플리케이션부(500)는 디지털키 영역(403)에 저장되어 있는 디지털키의 암호키와 디지털키 보관부(120)에 저장되어 있는 디지털키의 암호키를 비교하여(S725) 일치하는지(S727)를 검사한다. 즉 보안디스크(402)에 저장되어 있는 디지털키와 열쇠 어플리케이션이 가지고 있는 디지털키가 일치하는지를 검사한다.
열쇠 어플리케이션부(500)는 상기 두 디지털키가 일치하지 않으면 종료하고, 일치하면 사용자 비밀번호 등록 또는 변경 사용자 인터페이스 수단을 표시하고(S729), 사용자 비밀번호 등록 또는 변경 요청이 발생되는지를 검사한다(S731).
비밀번호 등록 또는 변경 요청 시 사용자 비밀번호 등록 또는 변경 사용자 인터페이스 수단을 통해 입력된 사용자 비밀번호를 도 5와 같이 디지털키 영역(403)의 디지털키의 각 원본 디지털키(405-1) 및 복사 디지털키(405-2,..., 405-n)에 사용자 옵션 정보를 저장한다(S733).
반면, 상기 처음 사용자 판단(S725)에서 처음 사용자가 아닌 것으로 판단되면 디지털키 영역(403)에 저장되어 있는 디지털키의 암호키와 디지털키 보관부(120)에 저장되어 있는 디지털키의 암호키를 비교하여(S735) 일치하는지(S737)를 검사한다.
디지털키의 암호키들이 일치하면 열쇠 어플리케이션부(500)는 디지털키 영역(402)의 사용자 옵션 영역(407)에 저장되어 있는 사용자 비밀번호와 입력된 비밀번호를 비교하여(S739) 일치하는지를 판단한다(S741).
입력된 사용자 비밀번호와 등록된 사용자 비밀번호가 일치하면 열쇠 어플리케이션부(500)는 보안디스크 서브시스템(20)을 어플리케이션부(100)에 마운트하여 보안디스크(402)를 활성화시킨다(S743).
상기 설명에서는 보안디스크(402)의 디지털키 영역(403)에 저장된 디지털키와 디지털키 보관부(120)에 저장된 디지털키의 일치 여부를 처음 사용자 판단 후 수행하는 것으로 설명하였으나, 보안디스크 처리부(240)가 구성되면(S715) 열쇠 어플리케이션부(500)는 보안디스크 구동부(240)를 통해 보안디스크(402)를 검색한 후 디지털키 인증을 수행하도록 구성될 수도 있을 것이다.
도 9는 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 비활성화 방법을 나타낸 흐름도이다.
열쇠 어플리케이션부(500)는 보안디스크 비활성화 이벤트가 발생되는지를 검사한다(S811). 상기 보안디스크 비활성화 이벤트는 열쇠 어플리케이션의 정상 종료 및 강제 종료, 또는 보안디스크(402)를 구비하는 저장부(300)의 분리 등에 의해 발생할 수 있을 것이다.
보안디스크 비활성화 이벤트의 발생 시 열쇠 어플리케이션부(500)는 보안디스크 처리부(240)의 구동해제 처리부(242)를 구동하여 보안디스크 활성화 시 생성된 연결정보들을 삭제한다(S813).
상기 연결정보들의 삭제 후 열쇠 어플리케이션부(500)는 보안디스크 처리부(240)를 비활성화시키거나 제거하고(S815), 자신도 종료한다(S817).
도 10은 본 발명에 따른 보안저장장치를 구비하는 저장 시스템에서 보안저장장치 관리 방법의 보안디스크 파괴 방법 및 복원방법을 나타낸 흐름도이다.
열쇠 어플리케이션부(500)는 보안디스크(402)가 활성화되어 있는지를 검사한다(S913).
보안디스크가 활성화되어 있지 않으면 상술한 도 8과 같이 보안디스크 활성화 과정을 수행할 것이다.
그러나 보안디스크가 활성화되어 있으면 열쇠 어플리케이션부(500)는 사용자 인터페이스 수단을 화면에 표시하거나 표시하고 있을 것이다(S917).
열쇠 어플리케이션부(500)는 표시된 사용자 인터페이스 수단을 통해 파괴키, 즉 파괴 비밀번호의 입력에 의한 파괴요청이 발생되는지(S919) 복원요청이 발생되는지(S921)를 검사한다.
파괴요청이 발생되면 열쇠 어플리케이션부(500)는 사용자 인터페이스 수단을 통해 입력된 파괴키와 디지털키 보관부(120) 또는 디지털키 영역(403)에 저장되어 있는 디지털키의 파괴키를 비교하여(S923) 일치하는지를 검사한다(S925).
입력된 파괴키와 디지털키의 파괴키가 동일하면 열쇠 어플리케이션부(500)는 디지털키 영역(403)에서 디지털키를 삭제한다(S927).
반면, 복원요청이 발생되면 열쇠 어플리케이션부(500)는 디지털키 보관부(120)에 가지고 있는 디지털키로부터 시작섹터 정보 및 디지털키 영역의 크기정보를 로드하여 저장부(300)에서 디지털키 영역(403)을 찾고(S929), 찾아진 디지털키 영역(403)에 디지털키 보관함(120)에 보관되어 있는 디지털키를 저장하여 논리적으로 파괴된 보안디스크를 복원한다(S931).
한편, 본 발명은 전술한 전형적인 바람직한 실시예에만 한정되는 것이 아니라 본 발명의 요지를 벗어나지 않는 범위 내에서 여러 가지로 개량, 변경, 대체 또는 부가하여 실시할 수 있는 것임은 당해 기술분야에서 통상의 지식을 가진 자라면 용이하게 이해할 수 있을 것이다. 이러한 개량, 변경, 대체 또는 부가에 의한 실시가 이하의 첨부된 특허청구범위의 범주에 속하는 것이라면 그 기술사상 역시 본 발명에 속하는 것으로 보아야 한다.
10: 디스크 서브시스템 20: 보안디스크 서브시스템
100: 어플리케이션부 110: 서비스 실행부
111: 디스플레이 처리부 112: 입력 처리부
113: 서비스 실행 제어부 114: 보안디스크 처리부 설치부
115: 암호 설정부 116: 마운트 처리부
117: 디지털키 구성부 120: 디지털키 보관부
130: 서비스 실행 감시부 200: 커널계층부
210: 입출력 관리부 220: 파일시스템 처리부
230: 디바이스 처리부 240: 보안디스크 처리부
241: 구성요소 등록부 300: 저장부
400: 보안디스크 생성 어플리케이션부
401: 일반 디스크 402: 보안디스크
403: 디지털키 영역 404: 보안 데이터 영역
405: 디지털키 406: 디지털키 구성정보 영역
407: 사용자 옵션 영역 411: 보안디스크 설정부
412: 디지털키 구성부 413:열쇠 어플리케이션 생성부
420: 디스플레이 처리부 430: 입력 처리부
500: 열쇠 어플리케이션부 600: 보안 어플리케이션부

Claims (28)

  1. 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부;
    보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부; 및
    상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널 계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부를 포함하되,
    상기 열쇠 어플리케이션부는,
    보안디스크의 디지털키 영역에 저장되어 있는 디지털키와 동일한 디지털키를 구비하는 디지털키 보관부;
    상기 열쇠 어플리케이션의 실행 시 활성화되어 상기 커널계층부에 보안디스크 처리부를 설치하고 사용자 암호의 설정 및 설정된 사용자 암호의 입력 시 상기 디지털키에 의해 상기 보안디스크를 활성화시키고 상기 보안디스크로의 입출력 요청을 처리하는 서비스 실행부; 및
    상기 서비스 실행부를 감시하고, 서비스 실행부 강제 종료 이벤트 발생 시 상기 보안설정 모드를 설정하고, 상기 어플리케이션부로부터 상기 보안디스크 서브시스템을 마운트 해제한 후 종료시키는 서비스 실행 감지부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.

  2. 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부;
    보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부;
    상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널 계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부; 및
    컴퓨터 화면에 보안디스크 설정 수단을 제공하고, 상기 보안디스크 설정 수단을 통해 보안디스크로 설정할 시작 섹터를 포함하는 용량을 입력받아 보안디스크를 설정하고, 상기 시작섹터로부터 일정 용량의 디지털키 영역을 설정하고, 상기 디지털키 영역에 디지털키를 저장하는 보안디스크 생성 어플리케이션부를 포함하되,
    상기 디지털키는,
    보안디스크의 보안설정해제 시 사용되는 디스크 볼륨 이름;
    디스크 일련번호;
    디스크 크기 정보;
    시작섹터 정보;
    상기 열쇠 어플리케이션별로 고유하게 할당되는 암호화키; 및
    다음 복제 디지털키 간의 거리를 나타내는 섹터 오프셋 정보를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  3. 삭제
  4. 제1항에 있어서,
    상기 서비스 실행부는,
    상기 열쇠 어플리케이션의 실행 시 보안설정 및 해제 수단을 포함하는 사용자 인터페이스 수단이 화면에 표시될 수 있도록 제공하는 디스플레이 처리부;
    상기 사용자 인터페이스 수단을 통해 입력되는 입력 데이터를 처리하는 입력 처리부; 및
    상기 열쇠 어플리케이션 실행 시 보안디스크 처리부를 설치하고, 열쇠 어플리케이션의 종료 시 상기 보안디스크 처리부를 삭제하는 보안디스크 처리부 설치부와, 사용자 인터페이스 수단의 보안설정 및 해제 수단을 통해 보안설정을 위한 사용자 암호를 입력받아 저장하여 설정하고, 보안설정해제 요청 시 상기 보안설정 및 해제 수단을 통해 입력된 사용자 암호와 미리 설정된 암호를 비교하여 인증 후 상기 보안디스크를 활성화시키는 암호 설정부와, 상기 입력 처리부를 통해 어플리케이션부에서 발생되는 입출력을 모니터링하여 활성화된 저장부의 보안디스크에 대한 데이터 처리 입출력 이벤트를 검출 시 해당 데이터 처리에 따른 입출력 요청을 상기 커널계층부의 보안디스크 처리부를 통해 처리하는 마운트 처리부를 포함하는 서비스 실행 제어부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  5. 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부;
    보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부;
    상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널 계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부; 및
    컴퓨터 화면에 보안디스크 설정 수단을 제공하고, 상기 보안디스크 설정 수단을 통해 보안디스크로 설정할 시작 섹터를 포함하는 용량을 입력받아 보안디스크를 설정하고, 상기 시작섹터로부터 일정 용량의 디지털키 영역을 설정하고, 상기 디지털키 영역에 디지털키를 저장하는 보안디스크 생성 어플리케이션부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  6. 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부;
    보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부; 및
    상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널 계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부를 포함하되,
    상기 디지털키는,
    보안디스크의 보안설정해제 시 사용되는 디스크 볼륨 이름;
    디스크 일련번호;
    디스크 크기 정보;
    시작섹터 정보;
    상기 열쇠 어플리케이션별로 고유하게 할당되는 암호화키; 및
    다음 복제 디지털키 간의 거리를 나타내는 섹터 오프셋 정보를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  7. 제2항 또는 제6항에 있어서,
    상기 디지털키는,
    일정 시간 동안 컴퓨터의 사용이 없을 경우, 상기 보안디스크를 닫는 보안설정모드로 자동 전환할지의 여부를 지정하는 자동 잠금 여부 정보를 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  8. 제2항 또는 제6항에 있어서,
    상기 디지털키는 상기 디지털키 영역 내에 둘 이상으로 구성되되,
    상기 복수의 각 디지털키의 시작 섹터 정보는 랜덤하게 구성되는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  9. 제8항에 있어서,
    상기 각 디지털키는 상기 열쇠 어플리케이션의 설치 후 사용자에 의해 설정된 사용자 옵션 정보를 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  10. 제9항에 있어서,
    상기 사용자 옵션 정보는 디스크 볼륨 이름, 사용자 비밀번호, 파괴용 비밀번호 및 일정 시간 동안 컴퓨터의 사용이 없을 경우, 상기 보안디스크를 닫는 보안설정모드로 자동 전환할지의 여부를 지정하는 자동 잠금 여부 정보를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  11. 제5항에 있어서,
    상기 보안디스크 생성 어플리케이션부는,
    사용자 인터페이스 수단을 화면에 표시하여 보안디스크의 시작 섹터, 보안디스크 볼륨 정보, 및 보안디스크 크기 정보 등의 보안디스크 생성 정보를 입력받는 보안디스크 설정부;
    상기 보안디스크 설정부로부터 보안디스크 생성 정보를 입력받고, 고유의 암호키 및 파괴키를 생성하고, 상기 보안디스크 생성 정보, 암호키, 파괴키, 섹터 오프셋 및 보안디스크 타입 정보를 포함하는 디지털키를 생성하며, 생성된 디지털키를 저장부의 디지털키 영역에 저장하는 디지털키 구성부; 및
    상기 디지털키를 포함하는 고유의 열쇠 어플리케이션을 생성하는 열쇠 어플리케이션 생성부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  12. 제7항에 있어서,
    상기 커널계층부는,
    어플리케이션 계층의 디스크 서브시스템으로부터 발생되는 폴더 및 파일에 대한 입출력 요청을 관리하는 입출력 관리부;
    상기 보안설정모드에서 상기 입출력 관리부로부터 상기 요청 입력받아 처리하고, 상기 보안설정해제모드에서 상기 보안디스크 영역의 폴더 및 파일에 대한 처리를 수행하는 파일시스템 처리부;
    상기 파일시스템 처리부와 물리적인 저장장치인 저장부 사이에 연결되어 상기 파일시스템 처리부에서 발생된 상기 요청에 따라 저장부를 제어하는 디바이스 처리부; 및
    상기 열쇠 어플리케이션부에 의해 구성되어 보안디스크를 구비하는 저장부 및 상기 저장부의 보안디스크를 검출하고, 상기 어플리케이션부의 보안디스크 서브시스템에 의해 발생되는 폴더 및 파일에 대한 입출력요청을 상기 입출력 관리부 및 파일시스템 처리부를 통해 입력받아 입출력 요청의 종류에 따라 직접 처리하거나 상기 디바이스 처리부를 통해 처리하는 보안디스크 처리부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  13. 제12항에 있어서,
    상기 보안디스크 처리부는,
    보안디스크를 구비하는 저장부를 검출하고, 저장부에서 보안디스크를 검출하고, 열쇠 어플리케이션부로부터 발생되는 보안디스크의 폴더 및 파일에 대한 입출력 요청을 처리하기 위한 연결정보를 생성하고, 생성된 연결정보에 의해 상기 열쇠 어플리케이션부로부터 발생된 요청을 상기 파일 시스템 처리부로 전달하는 구성 요소 등록부; 및
    상기 열쇠 어플리케이션 종료 이벤트의 발생 시 상기 생성된 연결정보를 삭제하여 보안디스크 처리부의 구동을 종료하는 구동 해제 처리부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  14. 제13항에 있어서,
    상기 구성 요소 등록부는,
    상기 열쇠 어플리케이션부로부터 발생되는 상기 요청을 직접 처리하기 위한 커널 디바이스 오브젝트를 생성하고 자료구조를 초기화하는 객체 생성부;
    상기 열쇠 어플리케이션부로부터 디지털키를 입력받고, 상기 디지털키에 의해 보안디스크를 구비하는 저장부를 검출하는 보안디스크 검출부;
    상기 열쇠 어플리케이션부로부터 발생되는 요청에 대한 패킷들을 처리하는 서브시스템 패킷 처리부; 및
    상기 디스크 서브시스템에 의한 보안디스크 영역에 대한 입출력 요청 발생 시 상기 입출력 발생 요청에 대한 패킷의 처리를 수행한 후 그 결과를 리턴하는 파일시스템 패킷 처리부를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  15. 제14항에 있어서,
    상기 자료구조는,
    상기 파일시스템 처리부의 패킷을 병행적으로 처리하기 위한 쓰레드(Thread)를 생성하고 그 정보를 저장하기 위한 제1항목;
    파일시스템 처리부의 패킷 중 보안디스크 영역에 대한 입출력에 부속되어 제공되는 데이터를 암호화 및 복호화하기 위한 암호화키를 열쇠 어플리케이션부로부터 수신받아 보관하기 위한 제2항목;
    디지털키를 열쇠 어플리케이션부로부터 수신받아 보관하기 위한 제3항목;
    보안디스크를 구비하는 저장부의 오브젝트 핸들을 보관하기 위한 제4항목; 및
    보안디스크를 구비하는 저장부가 사용자에 의해 컴퓨터로부터 분리되었을 때 통지되는 플러그 앤 플레이 통지를 위한 정보를 보관하기 위한 제5항목을 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  16. 제13항에 있어서,
    상기 자동 잠금 여부 정보가 자동 잠금으로 설정되어 있으면, 상기 열쇠 어플리케이션부는, 컴퓨터 미사용 시간을 카운트하여 일정 시간 컴퓨터의 사용이 없으면 상기 구동 해제 처리부를 구동하여 구성 요소 등록부에 의해 등록된 연결정보들을 삭제하고, 보안디스크 처리부를 비활성화시키거나 삭제한 후, 자신도 종료하여 보안설정모드를 설정하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  17. 임의의 크기의 용량을 가지고, 디지털키가 저장되는 디지털키 영역과 상기 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장부;
    보안설정모드에서 상기 보안디스크를 비활성화하고, 보안설정 해제모드에서 상기 디지털키에 의해 상기 보안디스크를 활성화시키는 커널계층부; 및
    상기 디지털키와 동일한 디지털키를 구비하는 열쇠 어플리케이션의 실행 시 상기 열쇠 어플리케이션을 통한 보안설정해제 요청 시 상기 저장부에 저장된 데이터를 관리할 수 있는 어플리케이션부에 상기 활성화된 보안디스크의 입출력 요청을 처리하는 보안디스크 서브시스템을 마운트하고 상기 커널 계층부를 제어하여 상기 보안디스크를 활성화시키고, 상기 활성화된 보안디스크에 저장된 데이터에 대한 입출력 요청을 상기 커널계층부를 통해 처리하는 열쇠 어플리케이션부를 포함하되,
    상기 저장부의 보안디스크의 영역은,
    미할당 영역으로 파티션되는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템.
  18. 보안디스크 생성 어플리케이션의 실행에 의해 생성 및 활성화되는 보안디스크 생성 어플리케이션부가 일반 디스크와, 디지털키가 저장되는 디지털키 영역 및 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장장치를 생성하는 보안저장장치 생성 과정;
    열쇠 어플리케이션의 실행에 의해 활성화된 열쇠 어플리케이션부가 상기 디지털키를 구비하는 보안저장장치를 찾고, 보안설정모드에서 상기 보안디스크 영역을 숨기고, 사용자의 사용자 비밀번호에 의한 보안설정모드 해제 요청 시 어플리케이션부에 보안디스크 서브시스템을 마운트하여 상기 보안디스크의 볼륨이 보이도록 하여 상기 보안디스크에 데이터를 입출력할 수 있도록 설정하는 보안디스크 활성화 과정; 및
    상기 보안디스크 서브시스템이 상기 활성화된 보안디스크에 데이터를 입출력하는 보안디스크 사용 과정을 포함하되,
    보안저장장치 생성 과정은,
    보안디스크 생성 어플리케이션부가 디스플레이 처리부를 통해 보안디스크 설정 수단을 제공하고, 상기 보안디스크 설정 수단을 통해 보안디스크로 설정할 시작 섹터를 포함하는 용량을 입력받아 보안디스크를 설정하는 보안디스크 영역 설정 단계; 및
    상기 보안디스크 생성 어플리케이션부가 시작섹터로부터 일정 용량의 디지털키 영역을 설정하고, 상기 디지털키 영역에 디지털키를 구성하는 디지털키 구성 단계를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  19. 삭제
  20. 제18항에 있어서,
    보안저장장치 생성 과정은,
    상기 디지털키를 구비하는 열쇠 어플리케이션을 생성하는 열쇠 어플리케이션 생성 단계를 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  21. 제18항에 있어서,
    상기 디지털키는,
    보안디스크의 보안설정해제 시 사용되는 디스크 볼륨 이름;
    디스크 일련번호;
    디스크 크기 정보;
    시작섹터 정보;
    상기 열쇠 어플리케이션별로 고유하게 할당되는 암호화키; 및
    다음 복제 디지털키 간의 거리를 나타내는 섹터 오프셋 정보를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  22. 제21항에 있어서,
    상기 디지털키는 상기 디지털키 영역 내에 둘 이상으로 구성되되,
    상기 복수의 각 디지털키의 시작 섹터 정보는 랜덤하게 구성되는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법
  23. 보안디스크 생성 어플리케이션의 실행에 의해 생성 및 활성화되는 보안디스크 생성 어플리케이션부가 일반 디스크와, 디지털키가 저장되는 디지털키 영역 및 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장장치를 생성하는 보안저장장치 생성 과정;
    열쇠 어플리케이션의 실행에 의해 활성화된 열쇠 어플리케이션부가 상기 디지털키를 구비하는 보안저장장치를 찾고, 보안설정모드에서 상기 보안디스크 영역을 숨기고, 사용자의 사용자 비밀번호에 의한 보안설정모드 해제 요청 시 어플리케이션부에 보안디스크 서브시스템을 마운트하여 상기 보안디스크의 볼륨이 보이도록 하여 상기 보안디스크에 데이터를 입출력할 수 있도록 설정하는 보안디스크 활성화 과정; 및
    상기 보안디스크 서브시스템이 상기 활성화된 보안디스크에 데이터를 입출력하는 보안디스크 사용 과정을 포함하되,
    보안디스크 활성화 과정은,
    열쇠 어플리케이션의 실행 시 구동된 열쇠 어플리케이션부가 커널계층부에 보안디스크 처리부를 구성하는 보안디스크 처리부 구성 단계;
    상기 열쇠 어플리케이션부가 사용자 인터페이스 수단을 표시하는 사용자 인터페이스 표시 단계;
    상기 사용자 인터페이스 수단을 통한 보안디스크 활성화 요청이 발생되는지를 검사하는 보안디스크 활성화 요청 검사 단계;
    상기 활성화 요청이 발생되면 상기 사용자 인터페이스 수단을 통해 입력되는 사용자 비밀번호가 입력되었는지를 판단하는 사용자 비밀번호 입력 여부 판단 단계; 및
    상기 사용자 비밀번호 입력 여부 판단에서 입력된 것으로 판단되면 입력된 사용자 비밀번호와 미리 설정되어 있는 비밀번호와 비교하여 일치하면 상기 보안디스크를 활성화시키는 보안디스크 활성화 단계를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  24. 제23항에 있어서,
    상기 보안디스크 활성화 과정은,
    상기 사용자 비밀번호 입력 여부 판단 단계에서 사용자 비밀번호가 입력된 것으로 판단되면 미리 등록된 비밀번호의 존재 여부에 따라 처음 사용자인지를 판단하는 처음 사용자 판단 단계;
    처음 사용자이면 사용자 비밀번호 등록 수단을 포함하는 사용자 인터페이스 수단을 표시하는 사용자 비밀번호 등록 사용자 인터페이스 수단 표시 단계;
    상기 사용자 인터페이스 수단을 통해 사용자 비밀번호가 입력되면 입력된 사용자 비밀번호를 디지털키의 사용자 옵션 영역에 저장하는 사용자 비밀번호 등록 단계를 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  25. 보안디스크 생성 어플리케이션의 실행에 의해 생성 및 활성화되는 보안디스크 생성 어플리케이션부가 일반 디스크와, 디지털키가 저장되는 디지털키 영역 및 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장장치를 생성하는 보안저장장치 생성 과정;
    열쇠 어플리케이션의 실행에 의해 활성화된 열쇠 어플리케이션부가 상기 디지털키를 구비하는 보안저장장치를 찾고, 보안설정모드에서 상기 보안디스크 영역을 숨기고, 사용자의 사용자 비밀번호에 의한 보안설정모드 해제 요청 시 어플리케이션부에 보안디스크 서브시스템을 마운트하여 상기 보안디스크의 볼륨이 보이도록 하여 상기 보안디스크에 데이터를 입출력할 수 있도록 설정하는 보안디스크 활성화 과정;
    상기 보안디스크 서브시스템이 상기 활성화된 보안디스크에 데이터를 입출력하는 보안디스크 사용 과정; 및
    상기 보안디스크의 사용 중 보안디스크 비활성화 이벤트의 발생 시 열쇠 어플리케이션부가 보안디스크 처리부를 삭제하고 운영시스템에 열쇠 어플리케이션부의 구동 종료를 요청하여 보안디스크를 비활성화시키는 보안디스크 비활성화 과정을 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  26. 제25항에 있어서,
    상기 보안디스크 비활성화 과정은,
    상기 보안디스크의 사용 중 열쇠 어플리케이션 구동 종료 이벤트의 발생 시 열쇠 어플리케이션부가 구동 해제 처리부를 구동하여 등록된 구성요소들을 삭제하여 보안디스크 처리부를 제거하는 보안디스크 처리부 제거 단계; 및
    상기 열쇠 어플리케이션부가 운영시스템에 자신의 구동 종료를 요청하여 구동을 종료하는 열쇠 어플리케이션부 구동 종료 단계를 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  27. 보안디스크 생성 어플리케이션의 실행에 의해 생성 및 활성화되는 보안디스크 생성 어플리케이션부가 일반 디스크와, 디지털키가 저장되는 디지털키 영역 및 디지털키에 의해 암호화되는 보안 데이터 영역을 구비하는 보안디스크를 포함하는 저장장치를 생성하는 보안저장장치 생성 과정;
    열쇠 어플리케이션의 실행에 의해 활성화된 열쇠 어플리케이션부가 상기 디지털키를 구비하는 보안저장장치를 찾고, 보안설정모드에서 상기 보안디스크 영역을 숨기고, 사용자의 사용자 비밀번호에 의한 보안설정모드 해제 요청 시 어플리케이션부에 보안디스크 서브시스템을 마운트하여 상기 보안디스크의 볼륨이 보이도록 하여 상기 보안디스크에 데이터를 입출력할 수 있도록 설정하는 보안디스크 활성화 과정;
    상기 보안디스크 서브시스템이 상기 활성화된 보안디스크에 데이터를 입출력하는 보안디스크 사용 과정; 및
    열쇠 어플리케이션부가 열쇠 어플리케이션의 활성화에 의해 표시된 사용자 인터페이스 수단을 통해 파괴 비밀번호의 입력 시 디지털키의 파괴 비밀번호와 비교하여 일치하면 상기 보안디스크의 디지털키 영역에서 디지털키를 영구 삭제하여 보안디스크의 보안 데이터 영역에 저장된 데이터를 사용할 수 없도록 파괴하는 보안디스크 파괴 과정을 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
  28. 제27항에 있어서,
    상기 보안디스크 파괴 과정 후, 상기 열쇠 어플리케이션의 재실행에 의해 구동된 열쇠 어플리케이션부가 디지털키 보관부에 저장된 디지털키의 시작섹터 정보 및 디지털키 영역의 정보에 의해 파괴된 보안디스크의 디지털키 영역을 찾고 찾아진 디지털키 영역에 디지털키를 저장하여, 상기 보안디스크를 다시 활성화시키는 파괴 보안디스크 복원 과정을 더 포함하는 것을 특징으로 하는 보안저장장치를 구비하는 저장 시스템의 관리 방법.
KR1020140023938A 2013-12-31 2014-02-28 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법 KR101442539B1 (ko)

Priority Applications (5)

Application Number Priority Date Filing Date Title
PCT/KR2014/010490 WO2015102220A1 (ko) 2013-12-31 2014-11-04 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
EP14876700.7A EP3091472B1 (en) 2013-12-31 2014-11-04 Storage system having security storage device and management method therefor
CN201480071560.4A CN105874465B (zh) 2013-12-31 2014-11-04 具有安全存储装置的存储系统及其管理方法
JP2016544500A JP6410828B2 (ja) 2013-12-31 2014-11-04 セキュリティ保存装置を具備する保存システム及び其の管理方法
US14/897,470 US9619161B2 (en) 2013-12-31 2014-11-04 Storage system having security storage device and management system therefor

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020130169159 2013-12-31
KR20130169159 2013-12-31

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020140085968A Division KR101476222B1 (ko) 2013-12-31 2014-07-09 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법

Publications (1)

Publication Number Publication Date
KR101442539B1 true KR101442539B1 (ko) 2014-09-26

Family

ID=51760656

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020140023938A KR101442539B1 (ko) 2013-12-31 2014-02-28 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
KR1020140085968A KR101476222B1 (ko) 2013-12-31 2014-07-09 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020140085968A KR101476222B1 (ko) 2013-12-31 2014-07-09 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법

Country Status (6)

Country Link
US (1) US9619161B2 (ko)
EP (1) EP3091472B1 (ko)
JP (1) JP6410828B2 (ko)
KR (2) KR101442539B1 (ko)
CN (1) CN105874465B (ko)
WO (1) WO2015102220A1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101753825B1 (ko) * 2016-05-31 2017-07-05 코닉오토메이션 주식회사 데이터 보안 시스템의 운용방법 및 이에 이용되는 은닉 저장 장치
KR20200014978A (ko) * 2018-08-02 2020-02-12 주식회사 누리랩 저장 장치를 위한 보안 방법 및 이를 이용한 보안 장치
WO2020149555A1 (ko) * 2019-01-14 2020-07-23 삼성전자 주식회사 암호화될 데이터의 정보량에 기반하여 암호화에 사용될 키를 선택하는 전자 장치 및 전자 장치의 동작 방법
WO2021033868A1 (ko) * 2019-08-22 2021-02-25 김덕우 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치
KR20210043069A (ko) * 2019-10-11 2021-04-21 김윤보 복수의 스토리지를 이용한 보안정보 저장 시스템
US12126718B2 (en) 2019-01-14 2024-10-22 Samsung Electronics Co., Ltd Electronic device for selecting key to be used for encryption on basis of amount of information of data to be encrypted, and operation method of electronic device

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101442539B1 (ko) * 2013-12-31 2014-09-26 권용구 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
CN105825128B (zh) * 2016-03-15 2020-05-19 华为技术有限公司 一种数据输入方法、装置及用户设备
KR101886176B1 (ko) * 2016-10-25 2018-08-08 시큐리티플랫폼 주식회사 소유자만 기록 가능한 부트영역을 포함하는 저장장치
KR102011726B1 (ko) 2017-10-23 2019-08-19 숭실대학교산학협력단 동적 로딩 파일 추출 방법 및 장치
US11917061B2 (en) 2019-04-26 2024-02-27 Barbara Jean Wilk Decentralized and/or hybrid decentralized secure cryptographic key storage method
CN110365839B (zh) * 2019-07-04 2020-08-28 Oppo广东移动通信有限公司 关机方法、装置、介质及电子设备
CN112269547B (zh) * 2020-10-26 2022-07-01 武汉轻工大学 无需操作系统的、主动、可控硬盘数据删除方法及装置
WO2024019461A1 (ko) * 2022-07-22 2024-01-25 삼성전자주식회사 파티션의 일부분을 위한 마운트 동작을 수행하기 위한 전자 장치, 방법, 및 비일시적 컴퓨터 판독가능 저장 매체

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070014208A (ko) * 2002-06-26 2007-01-31 인텔 코오퍼레이션 휴면 보호
KR20090067649A (ko) * 2007-12-21 2009-06-25 삼성전자주식회사 보안 저장 장치를 갖는 메모리 시스템 및 그것의 보안 영역관리 방법
KR20090094876A (ko) * 2007-10-18 2009-09-09 김상훈 선택적 활성영역을 포함하는 외장형 데이타저장장치 및 그제어방법
KR20130101646A (ko) * 2012-02-22 2013-09-16 주식회사 팬택 휴대용 단말의 메모리 보안 시스템

Family Cites Families (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6581162B1 (en) * 1996-12-31 2003-06-17 Compaq Information Technologies Group, L.P. Method for securely creating, storing and using encryption keys in a computer system
JP3734408B2 (ja) * 2000-07-03 2006-01-11 シャープ株式会社 半導体記憶装置
US7725490B2 (en) * 2001-11-16 2010-05-25 Crucian Global Services, Inc. Collaborative file access management system
US7503066B2 (en) * 2002-04-16 2009-03-10 Panasonic Corporation Deactivation system
JP4561213B2 (ja) * 2004-07-21 2010-10-13 株式会社日立製作所 ハードディスクセキュリティ管理システムおよびその方法
US7502946B2 (en) * 2005-01-20 2009-03-10 Panasonic Corporation Using hardware to secure areas of long term storage in CE devices
US7721115B2 (en) * 2005-02-16 2010-05-18 Cypress Semiconductor Corporation USB secure storage apparatus and method
JP2008033451A (ja) * 2006-07-26 2008-02-14 Brother Ind Ltd 着脱式記憶メディア
US8065509B2 (en) * 2006-09-26 2011-11-22 Hewlett-Packard Development Company, L.P. Persistent security system and method
US8046590B2 (en) * 2007-06-12 2011-10-25 Mikhail Milgramm System and method for protection of creative works
EP2177006B1 (en) * 2007-07-10 2012-04-04 Telefonaktiebolaget LM Ericsson (publ) Drm scheme extension
JP5423394B2 (ja) * 2007-09-10 2014-02-19 日本電気株式会社 端末装置の認証方法、端末装置及びプログラム
WO2010143191A1 (en) * 2009-06-11 2010-12-16 Safend Ltd. System and method for protecting information and related encryption keys
JP5606705B2 (ja) * 2009-08-27 2014-10-15 京セラ株式会社 携帯端末装置
JP2011205294A (ja) * 2010-03-25 2011-10-13 Toshiba Corp 受信装置
US20110265151A1 (en) * 2010-04-22 2011-10-27 John Furlan Method of adding a client device or service to a wireless network
CN103607279B (zh) * 2013-11-14 2017-01-04 中国科学院数据与通信保护研究教育中心 基于多核处理器的密钥保护方法及系统
KR101442539B1 (ko) * 2013-12-31 2014-09-26 권용구 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070014208A (ko) * 2002-06-26 2007-01-31 인텔 코오퍼레이션 휴면 보호
KR20090094876A (ko) * 2007-10-18 2009-09-09 김상훈 선택적 활성영역을 포함하는 외장형 데이타저장장치 및 그제어방법
KR20090067649A (ko) * 2007-12-21 2009-06-25 삼성전자주식회사 보안 저장 장치를 갖는 메모리 시스템 및 그것의 보안 영역관리 방법
KR20130101646A (ko) * 2012-02-22 2013-09-16 주식회사 팬택 휴대용 단말의 메모리 보안 시스템

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101753825B1 (ko) * 2016-05-31 2017-07-05 코닉오토메이션 주식회사 데이터 보안 시스템의 운용방법 및 이에 이용되는 은닉 저장 장치
KR20200014978A (ko) * 2018-08-02 2020-02-12 주식회사 누리랩 저장 장치를 위한 보안 방법 및 이를 이용한 보안 장치
KR102124578B1 (ko) 2018-08-02 2020-06-18 주식회사 누리랩 저장 장치를 위한 보안 방법 및 이를 이용한 보안 장치
WO2020149555A1 (ko) * 2019-01-14 2020-07-23 삼성전자 주식회사 암호화될 데이터의 정보량에 기반하여 암호화에 사용될 키를 선택하는 전자 장치 및 전자 장치의 동작 방법
US12126718B2 (en) 2019-01-14 2024-10-22 Samsung Electronics Co., Ltd Electronic device for selecting key to be used for encryption on basis of amount of information of data to be encrypted, and operation method of electronic device
WO2021033868A1 (ko) * 2019-08-22 2021-02-25 김덕우 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치
US11941264B2 (en) 2019-08-22 2024-03-26 Deok Woo KIM Data storage apparatus with variable computer file system
KR20210043069A (ko) * 2019-10-11 2021-04-21 김윤보 복수의 스토리지를 이용한 보안정보 저장 시스템
KR102305680B1 (ko) * 2019-10-11 2021-09-27 김윤보 복수의 스토리지를 이용한 보안정보 저장 시스템

Also Published As

Publication number Publication date
EP3091472B1 (en) 2019-08-28
WO2015102220A1 (ko) 2015-07-09
KR101476222B1 (ko) 2014-12-30
EP3091472A1 (en) 2016-11-09
CN105874465A (zh) 2016-08-17
JP6410828B2 (ja) 2018-10-24
EP3091472A4 (en) 2017-09-13
US9619161B2 (en) 2017-04-11
JP2017509941A (ja) 2017-04-06
CN105874465B (zh) 2018-10-16
US20160117124A1 (en) 2016-04-28

Similar Documents

Publication Publication Date Title
KR101442539B1 (ko) 보안저장장치를 구비하는 저장 시스템 및 그 관리 방법
KR101852724B1 (ko) 컴퓨터 프로그램, 비밀관리방법 및 시스템
US20080181406A1 (en) System and Method of Storage Device Data Encryption and Data Access Via a Hardware Key
US20090046858A1 (en) System and Method of Data Encryption and Data Access of a Set of Storage Devices via a Hardware Key
WO2017164930A1 (en) Key management for secure memory address spaces
EP2249280A1 (en) Information processor and method for controlling the same
CN107707981B (zh) 一种基于Trustzone技术的微码签名安全管理系统及方法
KR20080071528A (ko) 저장 장치 데이터 암호화와 데이터 액세스를 위한 방법 및시스템
US8181028B1 (en) Method for secure system shutdown
JP2011503689A (ja) 分離型の読み取り専用領域及び読み書き領域を有するコンピュータ記憶デバイス、リムーバブル媒体コンポーネント、システム管理インタフェース、及び、ネットワークインタフェース
EP1953668A2 (en) System and method of data encryption and data access of a set of storage devices via a hardware key
US11469880B2 (en) Data at rest encryption (DARE) using credential vault
TWI607338B (zh) 儲存裝置及其資料保護方法與資料保護系統
US8307175B2 (en) Data recovery and overwrite independent of operating system
CN103605934B (zh) 一种可执行文件的保护方法及装置
US20200409573A1 (en) System for providing hybrid worm disk
CN113761602B (zh) 用于可移除存储介质的加密密钥
TWI501106B (zh) 保護儲存媒介資料的方法及其媒體存取裝置
WO2022086603A1 (en) Data storage device encryption
KR102305680B1 (ko) 복수의 스토리지를 이용한 보안정보 저장 시스템
KR20190106544A (ko) 사용자 데이터 보호를 제공하는 데이터 가용성 ssd 아키텍처
Dota Encryption ond Security Devices

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170912

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180830

Year of fee payment: 5