KR101446326B1 - Apparatus and method for managing securing data - Google Patents

Apparatus and method for managing securing data Download PDF

Info

Publication number
KR101446326B1
KR101446326B1 KR1020130033713A KR20130033713A KR101446326B1 KR 101446326 B1 KR101446326 B1 KR 101446326B1 KR 1020130033713 A KR1020130033713 A KR 1020130033713A KR 20130033713 A KR20130033713 A KR 20130033713A KR 101446326 B1 KR101446326 B1 KR 101446326B1
Authority
KR
South Korea
Prior art keywords
security
file
security data
data
module
Prior art date
Application number
KR1020130033713A
Other languages
Korean (ko)
Inventor
배환국
Original Assignee
소프트캠프(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 소프트캠프(주) filed Critical 소프트캠프(주)
Priority to KR1020130033713A priority Critical patent/KR101446326B1/en
Application granted granted Critical
Publication of KR101446326B1 publication Critical patent/KR101446326B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system

Abstract

The present invention relates to an apparatus and a method for managing security data, which are capable of preventing an accident that a user leaks security data, which companies cooperating with each other share, carelessly or intentionally to the outside. The apparatus for managing security data includes: a login module which receives an identification code and processes login; a search processing module which searches security files in task ID units stored in a storage module, outputs the searched security files in a search window, and outputs configuration security data of a selected security file in a task window depending on the login processing of the login module; a security module which decodes the security file into security data, stores the security data in a security drive set as a security zone, encodes security data stored in the security drive into a security file, and stores the security file in a non-security zone; and a processing module which controls the execution of the security data by an application program based on access authority information.

Description

보안데이터 관리장치와 관리방법{APPARATUS AND METHOD FOR MANAGING SECURING DATA}TECHNICAL FIELD [0001] The present invention relates to a security data management apparatus,

본 발명은 협업 중인 기업이 공유하는 보안데이터를 사용자가 부주의 또는 고의로 외부로 유출시키는 사고를 방지할 수 있는 보안데이터 관리장치와 관리방법에 관한 것이다.The present invention relates to a security data management apparatus and a management method capable of preventing an accident that a user inadvertently or intentionally leaks security data shared by a collaborating company to the outside.

분야별 업무의 전문화는 기업 간 협업을 요구하였다. 물론 협업 중인 기업은 해당 협업을 위해 공유하는 정보를 보안하면서 그 관리를 철저히 할 의무와 책임이 뒤따른다.Specialization of business by sector required collaboration among companies. Of course, companies that collaborate follow the responsibility and responsibility to thoroughly manage the information they share for the collaboration.

한편, 통신기술이 발전하고 데이터에 대한 처리기술 또한 더불어 발전하면서 기업들 간 정확한 정보 공유가 한층 수월해졌다. 그런데, 통신기술과 데이터 처리기술의 발전은 정보의 유출 또한 용이하게 하여, 협업 중인 기업이 보호하고 있는 보안데이터에 대한 보안 효율을 저해하는 원인이 되었다.On the other hand, as communication technology developed and data processing technology developed, it became easier to share accurate information among companies. However, the development of communication technology and data processing technology has facilitated leakage of information, which has also caused a deterioration in the security efficiency of security data protected by collaborating companies.

이러한 문제를 해소하기 위해 종래에는 보안 대상 데이터가 통신과정에서 유출되지 않도록 보안처리하는 기술인 특허공개번호 특2001-0109271과, 저장된 보안 대상 데이터를 검색하는 과정에서 유출되지 않도록 보안처리하는 기술인 특허등록번호 10-1125699가 제안되었다.In order to solve such a problem, Patent Publication No. 2001-0109271, which is a technology for performing security processing so that security target data is not leaked during a communication process, and a patent registration number 10-1125699.

하지만, 이러한 종래 기술들은 모두 통신과정 또는 검색과정에서 보안 대상 데이터(이하 '보안데이터')가 허락받지 못한 제3자에 의해 무단 유출되는 것을 방지하기 위한 목적으로 창작된 것이므로, 보안데이터 사용을 허락받은 사용자가 변심으로 상기 보안데이터를 유출하는 것을 방지하는 기능은 전혀 갖추고 있지 못하였다.However, all of these conventional technologies are created for the purpose of preventing unauthorized leakage of security target data (hereinafter referred to as " security data ") by unauthorized third parties in a communication process or a search process, There is no function to prevent the received user from leaking the security data by remorse.

또한, 종래 기술들은 협업하고 있는 1:1 기업 간의 통신을 전제로 보안데이터 공유가 이루어지도록 한정되므로, 보안환경을 유지하면서 한 기업이 다수의 기업으로부터 보안데이터를 수신해서 개별 관리하는 장치는 전무한 실정이었다.In addition, since the conventional technologies are limited to sharing security data on the premise of communication between cooperating 1: 1 companies, there is no device that a company receives security data from a plurality of companies while maintaining a security environment, .

이에 본 발명은 상기와 같은 문제를 해소하기 위해 발명된 것으로서, 보안데이터에 대한 무단 유출이 허락받지 못한 무단 사용자는 물론 허락받은 인가된 사용자도 불가능하도록 되고, 다수의 협업 기업과 공유하는 보안데이터들을 혼선 없이 정확히 보안 관리할 수 있도록 하는 보안데이터 관리장치와 관리방법의 제공을 해결하고자 하는 과제로 한다.Accordingly, it is an object of the present invention to provide a method and system for preventing unauthorized disclosure of unauthorized leakage of security data, And to provide a security data management apparatus and a management method that enable accurate security management without confusion.

상기의 기술적 과제를 달성하기 위하여 본 발명은,According to an aspect of the present invention,

식별코드를 입력받아 로그인을 처리하는 로그인모듈;A login module for receiving an identification code and processing login;

저장모듈에 저장된 작업ID 단위의 보안파일을 검색해서 탐색창에 출력하고, 선택된 보안파일의 구성 보안데이터를 상기 로그인모듈의 로그인 처리에 따라 작업창에 출력하는 탐색처리모듈;A search processing module for searching for a security file in the job ID unit stored in the storage module and outputting the security file in the search window and outputting the configuration security data of the selected security file to the job window according to the login process of the login module;

상기 보안파일을 보안데이터로 복호화해서 보안영역으로 설정한 보안드라이브에 저장하고, 상기 보안드라이브에 저장된 보안데이터를 보안파일로 암호화해서 비보안영역에 저장하는 보안모듈; 및A security module decrypting the security file into security data and storing the secure file in a secure drive set as a security area, encrypting the security data stored in the secure drive as a security file, and storing the security data in a non-security area; And

응용프로그램에 의한 상기 보안데이터의 실행을 접근권한정보를 기초로 제어하는 프로세싱모듈;A processing module for controlling execution of the security data by an application program based on access authority information;

을 포함하는 보안데이터 관리장치이다.
And a security data management device.

상기의 다른 기술적 과제를 달성하기 위하여 본 발명은,According to another aspect of the present invention,

작업ID가 게시된 탐색창을 관리장치가 출력하는 단계;Outputting, by the management apparatus, a search window in which the job ID is posted;

작업ID의 선택에 대응해서 상기 관리장치가 식별코드를 입력받아 로그인을 처리하는 로그인 단계;A login step in which the management device receives an identification code and processes the login in response to the selection of the job ID;

상기 관리장치가 상기 식별코드의 보안파일에 대한 접근권한정보를 확인하는 접근권한 확인단계;An access right confirmation step of the management device confirming access right information on the security file of the identification code;

상기 관리장치가 상기 작업ID에 해당하는 보안파일 및 보안데이터가 게시된 작업창을 출력하는 작업창 출력단계; 및A task window output step in which the management apparatus outputs a task window in which a security file corresponding to the task ID and security data are posted; And

상기 보안파일을 보안데이터로 복호화해서 보안영역으로 설정한 보안드라이브에 저장하고, 응용프로그램에 의한 상기 보안데이터의 실행을 상기 접근권한정보를 기초로 처리하는 보안데이터 실행단계;A security data execution step of decrypting the security file into security data and storing the decrypted security file in a secure drive set as a security area and processing the execution of the security data by an application program based on the access right information;

를 포함하는 보안데이터 관리방법이다.And a security data management method.

상기의 본 발명은, 보안데이터를 실행하기 위해서는 상기 실행을 시도하는 사용자의 접근권한을 확인해서 상기 보안데이터의 실행 범위를 능동적으로 제한하고, 이를 통해 인가된 사용자가 상기 보안데이터를 부주의 또는 악의로 유출하는 사고를 방지하는 효과가 있다.In order to execute the security data, the present invention is to actively restrict the execution range of the security data by confirming the access right of the user who tries to execute the security data, thereby allowing the authorized user to inadvertently or maliciously There is an effect of preventing an accident that flows out.

또한, 작업ID별로 관리되는 보안데이터를 탐색창을 이용해서 다수 작업ID에 대한 보안데이터 리스트를 게시하고, 이를 통해 사용자가 효율적으로 보안데이터 처리업무를 진행할 수 있는 효과가 있다.Also, there is an effect that a security data list for a plurality of job IDs is posted using the search window for security data managed for each job ID, thereby enabling a user to efficiently conduct a security data processing job.

또한, 다수 작업ID에 대한 보안데이터 리스트를 게시하더라도 작업ID별 보안데이터 간의 보안 유지를 위하여 하나의 작업ID에 대한 작업만 가능하도록 제한하되, 동일한 작업ID에 속하는 보안데이터들 간에는 이동 또는 복사 등에 대한 교류를 가능하도록 해서, 보안 환경하에서 작업 연계 효율을 높이는 효과가 있다.In addition, even if the security data list for a plurality of job IDs is posted, it is possible to restrict only one job ID to be able to secure security between security data for each job ID. However, among security data belonging to the same job ID, It is possible to increase the work efficiency in a secure environment.

도 1은 본 발명에 따른 관리장치가 구성된 보안시스템을 개략적으로 도시한 구성도이고,
도 2는 상기 보안시스템의 구성을 도시한 블록도이고,
도 3은 본 발명에 따른 관리장치가 운영하는 탐색창 및 작업창의 일 실시 예를 보인 이미지이고,
도 4는 본 발명에 따른 관리방법을 순차 도시한 플로차트이다.1 is a block diagram schematically showing a security system in which a management apparatus according to the present invention is configured,
2 is a block diagram showing the configuration of the security system,
FIG. 3 is an image showing one embodiment of a search window and a task window operated by the management apparatus according to the present invention,
4 is a flowchart sequentially showing a management method according to the present invention.

이하, 본 발명을 실시하기 위한 구체적인 내용을 첨부된 도면에 의거하여 상세히 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 관리장치가 구성된 보안시스템을 개략적으로 도시한 구성도이고, 도 2는 상기 보안시스템의 구성을 도시한 블록도인 바, 이를 참조해 설명한다.FIG. 1 is a block diagram schematically showing a security system in which a management apparatus according to the present invention is configured. FIG. 2 is a block diagram illustrating the configuration of the security system. Referring to FIG.

본 발명에 따른 관리장치는 기업(G1, G2, G3)과 협업하는 협력사(S)의 단말기(10)에 설치되어서, 기업(G1, G2, G3)과 공유하며 협력사(S)의 단말기(10)에 저장하는 보안데이터를 보안 및 관리할 수 있도록 한다.The management apparatus according to the present invention is installed in the terminal 10 of the partner company S who collaborates with the companies G1, G2 and G3 and shares the same with the companies G1, G2 and G3, ) To be able to secure and manage security data.

협력사(S)의 단말기(10)는 인터넷과 같은 공중 통신망을 통해, 기업(G1, G2, G3)에서 운영하는 서버(20, 20', 20")와 통신한다.The terminal 10 of the partner company S communicates with the servers 20, 20 ', and 20' operated by the companies G1, G2 and G3 via a public communication network such as the Internet.

한편, 서버(20, 20', 20")에는 상기 관리장치와 통신하는 보안장치가 설치되고, 상기 관리장치와 보안장치가 서로 통신하면서 해당 협력사(S)의 단말기(10)에 저장된 보안데이터의 관리가 이루어진다.Meanwhile, the server 20, 20 ', 20 "is provided with a security device for communicating with the management device, and when the management device and the security device communicate with each other and the security data stored in the terminal 10 of the partner company S Management is done.

본 발명에 따른 실시 예에서는 서버(20, 20', 20")가 기업(G1, G2, G3) 별로 구성되고, 서버(20, 20', 20")에는 단말기(10)의 관리장치와 통신하는 보안장치가 설치된 구조를 예시하였으나, 이외에도 보안파일을 통합 관리 운영하는 별도의 서비스 서버를 구성하고, 기업(G1, G2, G3)은 개별적으로 상기 서버와 통신하는 보안장치를 갖추고서, 단말기(10)의 관리장치와 통신하는 서비스 모델 구조가 적용될 수도 있다.In the embodiment of the present invention, the servers 20, 20 ', 20 "are configured for each of the enterprises G1, G2, G3 and the servers 20, 20' (G1, G2, G3) are separately provided with a security device for communicating with the server, and the terminals G1, G2, and G3 are provided with security devices A service model structure for communicating with the management apparatus of the terminal 10 may be applied.

상기 관리장치의 각 구성을 설명하면서 전술한 기능에 대해 좀 더 구체적으로 설명한다.The above-described functions will be described in more detail while explaining each configuration of the management apparatus.

본 발명에 따른 관리장치는, 보안데이터를 보안파일 형식으로 저장하는 저장모듈(11)과, 통신망에 접속해서 상기 보안장치와의 통신을 처리하는 통신모듈(12)과, 사용자가 상기 관리장치에 로그인할 수 있도록 처리하는 로그인모듈(13)과, 사용자의 로그인정보를 관리하는 로그인정보 관리모듈(14)과, 저장모듈(11)에 저장된 보안파일과 상기 보안파일에 구성된 보안데이터를 식별코드별로 분류해 처리하는 탐색처리모듈(15)과, 해당 보안파일에 대한 처리가 지정된 접근권한정보에 따라 진행되도록 처리하는 프로세싱모듈(16)과, 저장모듈(11)에서 검색된 보안파일의 복호화를 진행하고 복호화된 보안데이터의 실행이 보안영역인 보안드라이브에서 이루어지도록 처리하거나 인위적으로 조성한 보안환경에서 이루어지도록 하는 보안모듈(17)을 포함한다. 여기서, 상기 보안드라이브는 허락된 사용자 또는 인가된 프로그램만이 접근해서 저장된 데이터를 불러올 수 있도록 보안모듈(17)에 의해 제어되는 파일 또는 장치로서, 상기 보안드라이브에 위치하는 데이터는 외부로의 반출 경로가 모두 차단되어 데이터의 보안을 보장받는다. 이를 위해 상기 보안드라이브는 정상적인 로그인으로 실행된 관리장치에만 잡히도록 되어서, 사용자는 정당한 로그인을 통해서만 보안드라이브를 확인할 수 있다. 또한, 상기 보안드라이브는 인가된 프로그램에만 잡히도록 되어서, 사용자가 인가된 프로그램으로 불러오기 기능을 시도할 경우 상기 보안드라이브가 확인되도록 한다.A management apparatus according to the present invention comprises a storage module (11) for storing security data in a secure file format, a communication module (12) for processing communication with the security device connected to a communication network, A login information management module 14 for managing login information of a user, a security file stored in the storage module 11, and security data configured in the security file by an identification code A processing module (16) for processing the processing for the security file to proceed according to the designated access authority information, and a decryption unit for decrypting the security file retrieved from the storage module (11) And a security module 17 for causing the decrypted security data to be executed in a secure drive, which is a secure area, or in a secure environment artificially created. Here, the secure drive is a file or a device controlled by the security module 17 so that only a permitted user or an authorized program can access and store stored data, and the data located in the secure drive is transferred to an external take- Are all blocked, ensuring the security of the data. To this end, the secure drive is only caught by the management device executed as a normal login, so that the user can confirm the secure drive only through a legitimate login. Also, the secure drive is only caught in the authorized program, so that when the user tries to retrieve the authorized program, the secure drive is confirmed.

참고로, 본 발명에 따른 실시 예에서 상기 보안드라이브는 평상시 일반적인 파일로 존재하다가 상기 관리장치가 동작할 경우 독립된 가상의 드라이브로 동작하면서 별도의 데이터(보안파일) 입출력이 이루어질 수 있도록 한다. 상기 데이터 입출력시에는 보안모듈(17)에 의해 암복호화가 이루어지며, 이를 통해 해당 데이터에 대한 보안을 보장한다. 상기 보안드라이브에 대한 기술은 본 발명의 출원인이 권리를 보유한 특허 제0549644호, 제0589541호, 제0596135호에 명시되어 있으므로, 상기 보안드라이브의 구조와 동작 원리에 대한 구체적인 설명은 생략한다.For reference, in the embodiment of the present invention, the secure drive exists as a normal file, and when the management device operates, separate data (security file) input / output can be performed while operating as an independent virtual drive. At the time of data input / output, the security module 17 performs encryption and decryption, thereby ensuring security for the corresponding data. The description of the security drive is given in Japanese Patent No. 0549644, No. 0589541, and No. 0596135, to which the applicant of the present invention has rights, so that a detailed description of the structure and operation principle of the secure drive will be omitted.

계속해서, 상기 인가된 프로그램이란 상기 보안드라이브에 접근할 수 있도록 설정된 애플리케이션을 지칭하는 것으로서, 해당 애플리케이션에 약속된 인증파일을 설정하거나, 상기 보안드라이브에 보안대상 애플리케이션 정보를 입력해서, 임의의 애플리케이션이 상기 보안드라이브에 대한 접근 시도시 인가 여부를 확인한 후 그 접근 허락 여부를 결정할 수 있도록 한다. 프로그램의 인가는 상기 보안드라이브와의 연동 조건이므로, 상기 인가 여부 확인은 보안모듈(17)에서 이루어진다.Subsequently, the authorized program refers to an application set to be able to access the secure drive, and it is possible to set an authentication file promised to the application, input security target application information to the secure drive, It is determined whether or not the access to the secure drive is permitted, and then the access permission is determined. Since the authorization of the program is a condition for interlocking with the secure drive, the security module 17 confirms whether the program is authorized.

한편, 상기 보안환경은 단말기(10)를 부팅할 때 설정되는 일반환경과는 구분되는 실행 환경으로서, 보안데이터의 실행을 위해 인가된 프로그램만이 실행하도록 환경을 제한한다. 여기서, 상기 보안환경에서 실행되는 드라이브는 보안드라이브이고, 보안환경에서 인가된 프로그램에 의해 생성 및 저장된 보안데이터는 보안드라이브에만 저장된다. 이를 좀 더 구체적으로 설명하면, 데이터를 실행하기 위해서 단말기(10)에 설치된 OS(Operating System)는 프로그램을 구동시키기 위한 환경을 조성하는데, 일반적인 종래 환경은 보안에 대해 취약함이 있으므로, 보안을 위해 인가된 프로그램만이 실행되도록 하면서 별도의 통신라인이 형성되도록 하는 보안환경을 단말기(10)에 구성한다.On the other hand, the security environment is an execution environment that is distinguished from a general environment that is set when the terminal 10 is booted, and restricts the environment so that only an authorized program can execute the security data. Here, the drive executed in the secure environment is a secure drive, and secure data generated and stored by an authorized program in the secure environment is stored only in the secure drive. To be more specific, an OS (Operating System) installed in the terminal 10 for executing data creates an environment for operating a program. Since a general conventional environment is vulnerable to security, The terminal 10 configures a security environment in which only an authorized program is executed while a separate communication line is formed.

상기 보안환경 설정을 위한 단말기(10)의 시스템 구성을 설명한다.The system configuration of the terminal 10 for setting the security environment will be described.

도 5(본 발명에 따른 보안환경 구성을 위한 단말기의 커널 구조를 개략적으로 도시한 도면)에서 보인 바와 같이, 단말기(10)의 하드웨어(31)와 통신하며 커널영역의 동작을 총괄하는 호스트OS(32)는 가상층(33)으로 계층화되고, 가상층(33)은 분할된 다수의 가상운영층(34a, 34b, 34c)으로 계층화된다. 즉, 커널영역에 다수의 가상운영층(34a, 34b, 34c)을 형성시켜서 여러 개의 구분된 파티션을 이루도록 하고, 이러한 가상화 기술을 통해, 각 파티션은 유저영역에서 분리된 운영환경으로 확인되도록 하는 것이다. 커널영역은 실제로 하나의 OS에 의해 구동하나, 상기 OS의 구동정보는 상기 가상층(33)을 통해 가상운영층(34a, 34b, 34c)에 개별 제공되고, 이를 통해 유저영역에서는 OS가 분리된 실행 모습으로 실현된다.As shown in FIG. 5 (a schematic diagram of a kernel structure of a terminal for configuring a security environment according to the present invention), a host OS (hereinafter referred to as " 32 are layered into a virtual layer 33 and the virtual layer 33 is layered into a plurality of divided virtual operating layers 34a, 34b, 34c. That is, a plurality of virtual operating layers 34a, 34b, and 34c are formed in the kernel area to form a plurality of partitioned partitions, and each partition is identified as an operating environment separated from the user area through the virtualization technology . Although the kernel area is actually operated by one OS, the operating information of the OS is separately provided to the virtual operating layers 34a, 34b, and 34c through the virtual layer 33, It is realized in the form of execution.

보안모듈(17)은 사용자가 보안데이터의 실행을 시도할 경우, 분할된 가상운영층(34a, 34b, 34c)에서 보안환경으로 설정된 가상운영층이 실행될 수 있도록, 해당하는 가상운영층을 조정해서 실행 환경을 변경하고, 이를 통해 OS의 구동정보에 대한 통신경로를 보안환경에 해당하는 가상운영층으로 변경한다. 여기서 상기 통신경로가 변경되면 유저영역에서 보안드라이브로 설정된 파일이 드라이브(가상드라이브)로 인식(마운트)되어 상기 가상운영층과 통신한다. 결국, 단말기(10)는 보안환경으로 설정된 모드에 따라 프로세스가 구동될 수 있도록 환경이 재설정되고, 이를 통해 상기 보안데이터의 실행을 위한 인가된 프로그램의 실행이 지정된 보안드라이브에서 이루어진다.The security module 17 adjusts the corresponding virtual operating layer so that the virtual operating layer set as the security environment in the divided virtual operating layers 34a, 34b, 34c can be executed when the user tries to execute the security data The execution environment is changed and the communication path for the operating information of the OS is changed to the virtual operating layer corresponding to the security environment. When the communication path is changed, a file set as a security drive in the user area is recognized as a drive (virtual drive) and communicates with the virtual operating layer. As a result, the environment of the terminal 10 is reset so that the process can be driven according to the mode set to the secure environment, whereby the execution of the authorized program for executing the secure data is performed in the designated secure drive.

이외에도 보안환경은 폴더단위로 이루어질 수 있다. 이를 좀 더 구체적으로 설명하면, 보안환경의 보안폴더는 보안환경으로 설정된 가상운영층과 링크되고, 사용자가 보안데이터의 실행을 위해 보안환경으로 설정된 보안폴더를 클릭하면, 전술한 바와 같이 OS의 구동정보에 대한 통신경로가 보안환경으로 설정된 가상운영층으로 변경된다. 결국, 단말기(10)는 보안환경으로 설정된 모드에 따라 프로세스가 구동될 수 있는 환경으로 재설정되고, 이를 통해 상기 보안데이터의 실행을 위한 인가된 프로그램의 실행이 지정된 보안환경에서 이루어진다.In addition, the security environment can be realized on a folder basis. More specifically, the security folder of the security environment is linked with the virtual operating layer set as the security environment, and when the user clicks the security folder set as the security environment for executing the security data, The communication path to the information is changed to the virtual operating layer set as the security environment. As a result, the terminal 10 is reset to the environment in which the process can be driven according to the mode set to the security environment, whereby execution of the authorized program for executing the security data is performed in the specified security environment.

한편, 보안모듈(17)은 상기 보안환경이 조성되면, 상기 보안데이터에 해당하는 기업(G1, G2, G3) 서버(20, 20', 20")와의 통신을 상기 보안환경의 범위 내에서 이루어지도록 할 수 있다. 즉, 서버(20, 20', 20")와 단말기(10) 간의 통신은 상기 보안환경 하에서만 이루어지도록 하고, 이를 위해 상기 보안환경에서만 이루어지는 서버(20, 20', 20")로의 접근 가능 대역 IP를 한정하거나, 서버(20, 20', 20")의 통신라인으로 VPN(virtual private network)을 설정하는 것이다.Meanwhile, when the security environment is established, the security module 17 performs communication with the servers (G1, G2, and G3) servers 20, 20 ', and 20' The server 20, 20 ', 20 ", and the server 20, 20', 20", 20 ", 20" and 20 ' ), Or establishes a virtual private network (VPN) as a communication line of the servers 20, 20 ', 20 ".

상기 보안환경을 일반환경으로 복원하기 위해서는 상기 보안환경의 바탕화면 등에 구성한 '작업종료 메뉴'를 클릭함으로써 이루어지도록 할 수 있다. 즉, '작업종료 메뉴'를 클릭하면, 보안데이터와 관련한 모든 작업이 해당 프로그램의 종료를 통해 종료하고, 상기 보안환경(가상운영환경)은 일반환경으로 전환되는 것이다.In order to restore the security environment to the normal environment, a 'task end menu' configured on the desktop of the security environment may be clicked. That is, when the 'job end menu' is clicked, all work related to the security data is terminated through the end of the program, and the security environment (virtual operating environment) is switched to the normal environment.

상기 보안장치는 기업(G1, G2, G3)에서 운영하는 서버(20, 20', 20")에 설치될 수 있으며, 상기 관리장치와 통신하도록 구성된 것으로서, 협력사(S)와 공유하는 보안데이터를 저장하는 보안데이터DB(21)와, 사용자의 정보를 저장하는 사용자DB(22)와, 통신망에 접속해서 상기 관리장치와의 통신을 처리하는 통신모듈(23)과, 로그인모듈(13)의 인증질의신호에 대응해서 인증 여부를 확인하는 인증모듈(24)과, 해당 사용자가 공유하는 보안데이터에 대한 접근권한을 확인해서 해당 접근권한정보를 단말기(10)의 관리장치로 전송하는 접근권한 제한모듈(25)을 포함한다. 참고로, 앞서 언급한 바와 같이, 하나의 통합 서버에서 다양한 기업(G1, G2, G3)의 보안파일을 관리하는 서비스 모델방식으로 보안파일에 대한 보안이 이루어질 수 있으므로, 상기 보안장치는 특정 서버(20, 20', 20")에 한정적으로 설치돼 운영되는 것은 아니다.The security device can be installed in the servers 20, 20 ', and 20' operated by the companies G1, G2 and G3 and configured to communicate with the management device. A user DB 22 for storing user information; a communication module 23 connected to the communication network for processing communication with the management apparatus; An authentication module 24 for verifying whether or not authentication is performed in response to a query signal, an access restriction module 24 for confirming an access right to security data shared by the user and transmitting the access right information to the management device of the terminal 10, The security file can be secured by a service model method for managing security files of various companies G1, G2, and G3 in one integrated server, as described above. Therefore, The security device includes a specific server 20, 20 ', 20' ').

상기 관리장치의 저장모듈(11)은 하나 이상의 보안데이터를 하나의 작업단위로 모아 보안파일로 압축 저장하되, 설정에 따라 보안파일별로 작업ID를 부여해서 다른 보안파일과의 구분과 보안 처리가 명확하게 이루어질 수 있도록 한다. 상기 보안데이터는 기업(G1, G2, G3)에서 운영하는 서버(20, 20', 20")로부터 전송될 수 있다. 한편, 저장모듈(11)은 전술한 바와 같이 보안데이터를 하나의 보안파일 형식으로 암호화해서 작업ID별로 저장한다. 따라서, 보안데이터가 무단 유출되더라도 상기 보안데이터가 보안파일 형식으로 암호화되어 있으므로, 상기 보안데이터의 내용 공개는 이루어지지 않는다.The storage module 11 of the management device collects one or more pieces of security data in one operation unit and compresses and stores the security data in a security file. In accordance with the setting, a task ID is assigned to each security file, . The secure data can be transmitted from the servers 20, 20 ', and 20' operating in the companies G1, G2 and G3. Meanwhile, the storage module 11 stores the security data in one security file And stores the encrypted data in the form of a job ID. Therefore, even if the security data is unauthorizedly leaked, the security data is encrypted in the security file format.

통신모듈(12)은 단말기(10)가 인터넷 등과 같은 통상적인 통신망에 접속해서 통신을 진행할 수 있도록 하는 장치이다.The communication module 12 is a device that enables the terminal 10 to communicate with a normal communication network such as the Internet and proceed with communication.

로그인모듈(13)은 사용자가 상기 관리장치의 실행 또는 보안파일 실행을 위한 로그인 프로세스를 처리하는 것으로서, 사용자의 식별코드의 일종인 ID 및 PW(이하 '식별코드')를 입력하도록 해서 현재 로그인을 시도하는 사용자의 인가 여부를 확인할 수 있게 함은 물론, 사용자가 어떤 기업(G1, G2, G3)의 서버(20, 20', 20") 접속을 시도하려는 것인지를 확인 및 설정할 수 있도록 한다. 본 실시 예에서는 상기 식별코드로 ID/PW를 예시하나, 이외에도 인증번호 등 사용자 또는 보안데이터를 식별할 수 있는 공지,공용의 코드는 이하의 권리범위를 벗어나지 않는 한도 내에서 다양하게 변형실시될 수 있다.The login module 13 processes the login process for executing the management apparatus or executing the security file by the user, and inputs the ID and PW (hereinafter, " identification code "), which is one kind of the identification code of the user, (20, 20 ', 20 ") of a certain company (G1, G2, G3) as well as to confirm whether or not the user is trying to access the server In the embodiment, the ID / PW is exemplified by the identification code, but other known and common codes capable of identifying the user or security data such as the authentication number can be variously modified within the scope of the following rights .

앞서 언급한 바와 같이, 본 발명에 따른 관리장치는 다수 기업(G1, G2, G3)의 보안장치와 각각 통신하면서 해당 기업(G1, G2, G3)의 서버(20, 20', 20")로부터 수신한 보안데이터를 선별해 실행할 수 있다. 이를 위해 로그인모듈(13)은 사용자가 입력한 기업(G1, G2, G3) 정보와 해당 기업(G1, G2, G3)의 식별코드를 확인하고, 해당 기업(G1, G2, G3)의 보안장치로 인증질의신호를 전송한다. 참고로, 로그인모듈(13)은 식별코드가 입력되면 로그인정보 관리모듈(14)을 검색해서 통상적인 로그인절차를 진행할 수 있고, 인증기능을 강화하기 위해 전술한 바와 같이 인증질의신호를 해당 서버(20, 20', 20")의 보안장치로 전송한 후, 상기 보안장치로부터 답신으로 전송된 인증신호에 따라 로그인 여부가 결정되도록 할 수도 있다.As described above, the management apparatus according to the present invention can communicate with the security apparatuses of the plurality of companies G1, G2 and G3, respectively, from the servers 20, 20 ', 20 "of the companies G1, G2 and G3 The login module 13 checks the information of the companies G1, G2 and G3 inputted by the user and the identification codes of the companies G1, G2 and G3, The login module 13 may search the login information management module 14 and proceed with a normal login procedure when the identification code is input. In order to enhance the authentication function, after transmitting an authentication inquiry signal to the security devices of the servers 20, 20 ', and 20' 'as described above, .

로그인정보 관리모듈(14)은 식별코드 등의 로그인정보를 저장한다. 상기 로그인정보는 ID/PW 등의 식별코드와, 상기 식별코드와 연계된 기업(G1, G2, G3)에 대한 정보를 포함할 수 있으며, 상기 정보에는 기업(G1, G2, G3) 서버(20, 20', 20")의 통신망 주소(URL, IP) 등이 포함된다.The login information management module 14 stores login information such as an identification code. The login information may include an identification code such as an ID / PW and information on a company G1, G2, G3 associated with the identification code. The information may include information on a company G1, G2, G3 server 20 , 20 ', 20' '), and the like.

탐색처리모듈(15)은 저장모듈(11)에서 저장하고 있는 해당 기업(G1, G2, G3)의 보안파일에 대한 리스트와, 상기 보안파일에 구성된 보안데이터에 대한 리스트를 정리해 제공한다. 도 3(본 발명에 따른 관리장치가 운영하는 탐색창 및 작업창의 일 실시 예를 보인 이미지)에서 보인 바와 같이, 사용자는 단말기(10)의 모니터에 출력되고 있는 탐색창에서, 해당 기업(G1, G2, G3)별 작업ID(보안파일A, 보안파일B, 보안파일C, 보안파일 D)를 확인할 수 있다. 계속해서, 사용자가 상기 탐색창에서 작업ID를 선택한 후 정상적인 로그인을 진행하면, 해당하는 작업창이 팝업된다. 상기 작업창에는 작업ID에 해당하는 보안파일 내 보안데이터 리스트가 게시되고, 사용자는 게시된 보안데이터를 선택해서 이를 실행할 수 있다.The search processing module 15 provides a list of security files of the corresponding companies G1, G2 and G3 stored in the storage module 11 and a list of security data configured in the security file. As shown in FIG. 3 (an image showing one embodiment of a search window and a task window operated by the management apparatus according to the present invention), the user selects a company G1, G2, and G3) can be identified by checking the IDs (security file A, security file B, security file C, security file D). Subsequently, when the user selects a job ID in the search window and proceeds to log in normally, the corresponding job window pops up. A security data list in the security file corresponding to the job ID is posted in the job window, and the user can select and execute the posted security data.

본 발명에 따른 실시 예에서 탐색창에는 작업ID가 기업별로 구분되도록 게시하였으나, 기업에 구분없이 게시될 수도 있고, 사용자가 게시된 작업ID를 선택함으로써 로그인 창이 출력되고, 로그인 절차 후 작업창1,2가 선택적으로 팝업될 수 있다.In the embodiment according to the present invention, job IDs are posted to be classified by company in the search window, but they may be posted without discrimination to the corporation. Alternatively, a login window may be displayed by selecting a job ID that the user has posted, 2 can be selectively popped up.

참고로, 작업창1,2에 게시된 '0.txt', '1.word', '2.hwp', '3.bmp'는 사용자가 작업ID를 클릭할 경우 상세 게시되는 보안데이터에 대한 리스트로서, 상기 리스트는 해당하는 응용프로그램을 통해 실행 가능한 보안데이터를 예시하였다. 본 예시에는 확장자를 텍스트, 워드, 한글 및 비트맵 이미지 등으로 예시하였으나 이에 한정하지 않으며, 이외에도 일반적인 문서파일에서 도면, 설계데이터 등이 모두 포함될 수 있다.For reference, '0.txt', '1.word', '2.hwp', and '3.bmp' posted in task windows 1 and 2 are for detailed security data posted when the user clicks the task ID. As a list, the list illustrates security data executable through the corresponding application program. In this example, the extension is exemplified as text, word, Hangul, and bitmap image. However, the present invention is not limited to this, and other drawings, design data, and the like may be included in a general document file.

계속해서, 탐색처리모듈(15)은 복호화된 보안데이터가 위치하는 보안드라이브를 도 3에서 보인 작업 탐색창 내에 출력시켜서, 사용자가 보안영역에 해당하는 상기 보안드라이브에서 보안데이터의 실행을 제어할 수 있도록 한다. 물론, 본 발명에 따른 관리장치가 비로그인된 상황에서는 상기 보안드라이브는 노출되지 않는다.Subsequently, the search processing module 15 outputs the security drive in which the decrypted security data is located in the job search window shown in FIG. 3, so that the user can control the execution of security data in the secure drive corresponding to the secure area . Of course, in a situation where the management apparatus according to the present invention is not logged in, the secure drive is not exposed.

한편, 접근권한 제한모듈(25)이 동일한 작업ID에 대해 갱신된 보안파일을 전송하면, 탐색처리모듈(15)은 상기 갱신된 보안파일을 수신하되 탐색창 또는 작업창 중 선택된 한 곳 이상에서 해당 작업ID에 하위폴더(디렉토리)로 상기 갱신된 보안파일을 배치하고, 갱신 일자를 입력한다. 즉, 사용자의 단말기(10)에서는 갱신 전의 보안파일과 갱신 후의 보안파일을 사용자가 관리할 수 있도록 해서 작업의 혼선이 발생하지 않도록 함은 물론 보안을 유지하면서 안정된 연속성을 보장할 수 있도록 하는 것이다. 물론, 갱신 전의 보안파일과 갱신 후의 보안파일은 동일한 작업ID를 가지며 상,하위 폴더로 관리되므로, 상기 보안파일에 포함된 보안데이터는 작업ID 간에 이동 및 복사가 가능하도록 된다.On the other hand, when the access right limiting module 25 transmits the updated security file for the same job ID, the search processing module 15 receives the updated security file, The updated security file is placed in a subfolder (directory) in the job ID, and an update date is entered. That is, the user terminal 10 can manage the security file before the update and the security file after the update so that confusion of work can be prevented, and stable continuity can be ensured while maintaining security. Of course, since the security file before update and the security file after update have the same job ID and are managed as upper and lower folders, security data included in the security file can be moved and copied between job IDs.

프로세싱모듈(16)은 접근권한 제한모듈(25)에서 전송한 접근권한정보를 작업ID별로 관리하고, 응용프로그램에 의해 실행되는 프로세스를 접근권한정보와 비교해서 그 처리 여부가 제어되도록 한다. 참고로, 응용프로그램은 OS(Operating System)의 프로세스를 기반으로 동작하므로, 프로세싱모듈(16)은 응용프로그램이 특정 프로세스를 실행하려 할 때 상기 접근권한정보를 확인해서, 상기 프로세스의 실행 여부를 결정한다.The processing module 16 manages the access right information transmitted from the access right restriction module 25 according to the job ID, and compares the process executed by the application program with the access right information so that whether or not the process is controlled is controlled. For reference, since the application program operates based on the OS (Operating System) process, the processing module 16 confirms the access right information when the application program is to execute a specific process, and determines whether or not the process is executed do.

보안모듈(17)은 보안드라이브를 제어하고, 보안데이터의 암호화 및 보안파일의 복호화를 진행하며, 복호화된 보안데이터가 보안영역 모드로 노출된 상기 보안드라이브에 저장되도록 처리한다. 본 발명에 따른 관리장치는 작업이 이루어지지 않는 평상시엔 보안파일을 비보안영역에 해당하는 저장모듈(11) 내 일반드라이브에 저장하고, 본 발명에 따른 관리장치만이 실행할 수 있는 확장자로 암호화한다. 참고로, 본 실시 예에서는 저장모듈(11) 내 일반드라이브인 비보안영역에 저장되는 보안파일의 확장자는 *.evsw로 하였다.The security module 17 controls the secure drive, encrypts the secure data and decrypts the secure file, and processes the decrypted secure data to be stored in the secure drive in the secure area mode. The management apparatus according to the present invention stores the security file in a normal drive in the storage module 11 corresponding to the non-security area and encrypts it with an extension executable only by the management apparatus according to the present invention. For reference, in the present embodiment, the extension of the security file stored in the non-security area, which is a general drive in the storage module 11, is * .evsw.

보안모듈(17)은 상기 보안데이터가 한정된 범위 내에서 실행될 수 있도록, 해당 보안파일을 보안데이터로 복호화한 후 보안영역인 보안드라이브에 저장한다. 따라서, 인가된 응용프로그램은 상기 보안드라이브가 검색되므로 보안데이터를 검색해 '불러오기'를 할 수 있고, 비인가된 응용프로그램은 상기 보안드라이브가 검색되지 못하므로 보안데이터를 검색할 수 없게 된다.The security module 17 decrypts the security file into security data so that the security data can be executed within a limited range, and then stores the decrypted security file in the security drive, which is a security area. Accordingly, the authorized application program can retrieve and 'retrieve' the security data because the security drive is searched, and the unauthorized application can not retrieve the security data because the security drive can not be searched.

보안모듈(17)은 단말기(10)의 실행 환경을 일반환경과 보안환경으로 구분할 수 있고, 이를 통해 보안데이터의 실행이 보안환경에서만 이루어지도록 제한할 수 있다. 이를 위해 보안모듈(17)은 전술한 바와 같이 OS커널에 다수의 가상운영층(34a, 34b, 34c)을 형성시켜서, 일반환경과 보안환경으로 분리된 OS의 실행 환경이 조성될 수 있도록 한다.The security module 17 can divide the execution environment of the terminal 10 into a general environment and a security environment, thereby limiting execution of security data only in a secure environment. To this end, the security module 17 forms a plurality of virtual operating layers 34a, 34b, and 34c in the OS kernel as described above so that an execution environment of the OS separated into the general environment and the security environment can be created.

참고로, 일반환경에서는 상기 보안드라이브가 확인될 수 있고, 보안모듈(17)이 조성한 보안환경에서는 상기 보안드라이브에 대비되는 일반드라이브가 확인될 수 있다. 그러나, 보안모듈(17)은 일반환경과 보안환경 모두에서 보안데이터가 일반드라이브에서는 실행되지 않도록 한다.For reference, in the general environment, the security drive can be identified, and in the security environment created by the security module 17, a general drive corresponding to the secure drive can be identified. However, the security module 17 ensures that the secure data is not executed in the general drive in both the normal environment and the secure environment.

한편, 본 발명에 따른 관리장치는 다수의 작업ID에 대한 보안파일이 탐색창에 게시되도록 할 수 있고, 더불어 사용자는 상기 보안파일들을 선택적으로 실행되도록 할 수 있다. 이때, 보안데이터는 작업ID별로 상기 보안영역에 분류돼 저장되고, 보안데이터의 정보 누출을 방지하기 위해서 보안데이터의 실행은 작업ID별로 하나씩만 이루어지도록 한다.Meanwhile, the management apparatus according to the present invention can allow security files for a plurality of job IDs to be posted in a search window, and the user can selectively execute the security files. At this time, the security data is classified and stored in the security area according to job IDs, and in order to prevent information leakage of the security data, only one security data is executed per job ID.

상기 보안장치의 보안데이터DB(21)는 기업(G1, G2, G3)과 협력사(S)가 공유할 보안데이터를 저장한다. 본 발명에서는 상기 보안데이터를 작업ID별로 분류해 저장함으로써, 상기 보안장치가 작업ID를 기준으로 상기 보안데이터를 보안파일로 변환 저장할 수 있도록 한다.The security data DB 21 of the security device stores security data to be shared by the companies G1, G2, and G3 and the partner company S. According to the present invention, the security data is classified and stored according to job IDs so that the security device can convert and store the security data into a security file based on the job ID.

사용자DB(22)는 협력사(S)의 사용자 정보와 식별코드 정보를 저장하면서, 인증모듈(24)이 로그인모듈(13)의 인증질의신호에 대응한 정보를 검색해 해당 인증처리를 진행할 수 있도록 한다.The user DB 22 stores the user information and the identification code information of the partner company S so that the authentication module 24 can search the information corresponding to the authentication query signal of the login module 13 and proceed with the authentication process .

통신모듈(23)은 서버(20, 20', 20")가 인터넷 등과 같은 통상적인 통신망에 접속해서 통신을 진행할 수 있도록 하는 장치이다.The communication module 23 is a device that enables the servers 20, 20 ', and 20 " to communicate with a normal communication network such as the Internet and proceed with communication.

인증모듈(24)은 단말기(10)로부터 인증질의신호를 수신하면, 상기 인증질의신호에 포함된 식별코드와 사용자DB(22)의 식별코드 정보를 비교해서 진의 여부를 최종 판단한다. 상기 진의 여부 확인결과 상기 인증질의신호에 포함된 식별코드가 인증된 식별코드로 확인되면, 인증모듈(24)은 인증신호를 생성해서 해당 단말기(10)의 관리장치 내 로그인모듈(13)로 전송한다.Upon receiving the authentication inquiry signal from the terminal 10, the authentication module 24 compares the identification code included in the authentication inquiry signal with the identification code information of the user DB 22 to finally determine whether or not it is true. If it is determined that the authentication is successful, the authentication module 24 generates an authentication signal and transmits the authentication signal to the in-control module 13 of the terminal 10 do.

접근권한 제한모듈(25)은 작업ID의 보안데이터에 대한 사용자별 접근권한정보를 관리하고, 상기 인증질의신호의 식별코드에 대응하는 접근권한정보를 검색해서 해당하는 단말기(10)의 관리장치 내 프로세싱모듈(16)로 전송한다. 결국, 프로세싱모듈(16)은 로그인 때마다 해당 보안데이터의 접근권한정보를 갱신할 수 있다. The access right limitation module 25 manages the access right information for the user with respect to the security data of the job ID and retrieves the access right information corresponding to the identification code of the authentication inquiry signal, To the processing module 16. As a result, the processing module 16 can update the access right information of the corresponding security data at each login.

접근권한 제한모듈(25)은 각 기업(G1, G2, G3)의 서버(20, 20', 20") 운영자가 보안데이터에 대한 사용자별 접근권한을 설정해서 이를 접근권한정보로 저장하고, 관리장치로부터 전송된 인증질의신호를 확인해서 해당 사용자의 단말기(10)로 상기 접근권한정보를 전송한다. 또한, 인증모듈(24)에서 인증신호를 생성하는 경우, 인증모듈(24)에서 확인한 사용자의 단말기(10)로 상기 접근권한정보를 전송해서, 해당 단말기(10)의 프로세싱모듈(16)이 처리하도록 할 수도 있다. The access right limiting module 25 sets access rights for each user of the security data by the operator of the servers 20, 20 ', 20 "of the respective companies G1, G2 and G3, stores them as access right information, And transmits the access right information to the terminal 10 of the corresponding user by checking the authentication inquiry signal transmitted from the device. When the authentication module 24 generates the authentication signal, The access right information may be transmitted to the terminal 10 so that the processing module 16 of the terminal 10 processes the access right information.

본 발명에 따른 실시 예에서 상기 접근권한정보가 포함하는 접근권한 내용에는 파기, 해제, 반입, 병합, 인쇄, 복사붙이기, 화면캡처, 프린트마킹 등이 예시될 수 있다. 상기 파기는 협력사(S)가 공유하고 있는 보안데이터가 설정된 유효기간 만료 후 자동 파기되도록 프로세스를 설정하는 것이고, 상기 해제는 보안데이터를 일반영역에서도 저장가능하도록 프로세스를 설정하는 것이고, 상기 반입은 서버(20, 20', 20")가 보안데이터 수신 후 해당 기업(G1, G2, G3)의 책임자에게 회신하도록 설정하는 것이고, 상기 병합은 보안데이터 반출시 병합 권한이 있는 수신자 간에 상기 보안데이터를 동일한 작업ID에 한해서 병합하도록 설정하는 것이고, 상기 이동은 보안데이터를 다른 IP로 이동 또는 복사 가능하도록 프로세스를 설정하는 것이고, 상기 인쇄는 보안데이터가 출력가능하도록 프로세스를 설정하는 것이고, 상기 복사붙이기는 보안데이터가 일반영역에 복사 또는 붙여넣기 가능하도록 프로세스를 설정하는 것이고, 상기 화면캡처는 보안데이터의 출력화면을 화면캡처할 수 있도록 프로세스를 설정하는 것이고, 상기 프린트마킹은 보안데이터 인쇄시 프린트마킹 삽입이 가능하도록 프로세스를 설정하는 것이다.In the embodiment according to the present invention, the access right contents included in the access right information may be discarded, released, imported, merged, printed, copied and pasted, screen captured, print marking and the like. The destruction is to set up the process such that the security data shared by the partner company (S) is automatically destroyed after the expiration of the set validity period, and the release is to set the process so that the security data can be stored also in the general area, (20, 20 ', 20 ") to the responsible person of the company (G1, G2, G3) after receipt of the security data, and the merging is performed between the receivers The job is to merge only the job ID, the transfer is to set the process so that the security data can be moved or copied to another IP, the printing is to set the process so that the security data can be output, The process is set so that data can be copied or pasted into the general area, If capture is to set up a process to screen capture the output screen of the security data to the print mark is set for the process to enable the print marking insert for printing security data.

또한, 접근권한 제한모듈(25)은 보안데이터DB(21)를 확인해서 작업ID별 보안데이터의 갱신 여부를 확인하고, 사용자가 작업하려는 작업ID의 보안데이터가 갱신된 것으로 확인되면, 상기 보안데이터를 단말기(10)로 전송한다.
The access right limiting module 25 confirms whether the security data for each job ID is updated by confirming the security data DB 21. If it is confirmed that the security data of the job ID to be operated by the user is updated, To the terminal (10).

도 4는 본 발명에 따른 관리방법을 순차 도시한 플로차트인 바, 이를 참조해 설명한다.FIG. 4 is a flowchart sequentially illustrating a management method according to the present invention. Referring to FIG.

S10; 보안데이터 공유단계S10; Security Data Sharing Phase

협력사(S)의 단말기(10)는 기업(G1, G2, G3)의 서버(20, 20', 20")로부터 보안데이터를 수신한다. 이때, 상기 보안데이터는 관리장치에서 실행할 수 있는 암호화된 보안파일 형식으로 전달되고, 작업ID로 명명 관리된다.The terminal 10 of the partner company S receives the security data from the servers 20, 20 ', 20 "of the companies G1, G2 and G3. At this time, It is delivered in a secure file format, and is managed by job ID.

상기 보안파일은 서버(20, 20', 20")의 보안장치와 단말기(10)의 관리장치에 각각 구성된 통신모듈(12, 23)의 통신으로 공유될 수도 있고, 별도의 통신 매체를 통해 단말기(10)의 관리장치에 전달되어 저장모듈(11)에 저장될 수도 있다.The security file may be shared by communication between the security device of the server 20, 20 ', 20 "and the management module of the terminal 10, May be transferred to the management device of the storage device 10 and stored in the storage module 11.

상기 보안파일은 암호화된 상태로 저장모듈(11)의 일반영역에 저장되므로, 단말기(10)를 조작하는 사용자는 별도의 인증절차 없이는 상기 보안파일에 포함된 보안데이터를 확인할 수 없다.
Since the security file is stored in the general area of the storage module 11 in an encrypted state, the user operating the terminal 10 can not confirm the security data included in the security file without a separate authentication procedure.

S20; 로그인 단계S20; Login step

사용자는 상기 보안데이터 실행을 위해 관리장치 구동을 위한 로그인 작업을 진행한다. 여기서, 관리장치 구동은 관리장치의 실행 아이콘을 클릭하거나 실행파일을 클릭함으로써 진행될 수도 있고(제1예), 실행하고자 하는 보안파일을 직접 클릭함으로써 이루어질 수도 있다(제2예).The user proceeds to login operation for operating the management device to execute the security data. Here, the management device operation may be performed by clicking on the execution icon of the management device or clicking on the executable file (first example), or by directly clicking the security file to be executed (second example).

제1예를 설명하면, 사용자가 상기 실행 아이콘 또는 실행파일을 클릭하면, 탐색처리모듈(15)은 작업ID가 게시된 탐색창을 출력한다. 이때, 상기 탐색창은 단말기(10)에 이력이 있는 하나 이상의 작업ID를 게시할 수 있다. 계속해서, 사용자는 게시된 작업ID 중 하나를 선택하면, 로그인모듈(13)은 접속대상 기업과 식별코드를 입력하기 위한 로그인 창을 출력한다.In the first example, when the user clicks the execution icon or the executable file, the search processing module 15 outputs a search window in which the job ID is posted. At this time, the search window may post one or more job IDs having history in the terminal 10. Subsequently, when the user selects one of the posted job IDs, the login module 13 outputs a login window for inputting the connection target company and the identification code.

사용자가 상기 로그인 창에 상기 작업ID와 관련한 접속대상 기업과 식별코드에 대한 정보를 각각 입력하면, 로그인모듈(13)은 입력된 접속대상 기업과 식별코드에 대한 정보를 로그인정보 관리모듈(14)에서 검색해서, 해당 기업(G1, G2, G3) 서버(20, 20', 20")의 주소인 URL 또는 IP/PORT를 확인한다. 한편, 로그인모듈(13)은 입력된 식별코드가 로그인정보 관리모듈(14)에서 검색되면, 통상적인 로그인 절차를 통해 관리장치를 구동하고, 저장모듈(11)에서 상기 식별코드와 연계된 보안파일을 검색한다.When the user inputs the information about the connection target company and the identification code related to the job ID in the login window, the login module 13 transmits information about the input company and the identification code to the login information management module 14, The login module 13 checks the URL or IP / PORT which is the address of the corresponding company G1, G2 or G3 server 20, 20 ', 20 " When the management module 14 is searched, the management device is driven through a normal login procedure, and the storage module 11 searches for a security file associated with the identification code.

제2예를 설명하면, 사용자가 일반드라이브에 위치하는 보안파일을 클릭하면 로그인모듈(13)은 이를 인지하고 접속대상 기업과 식별코드를 입력하는 로그인 창을 바로 출력한다.In the second example, when the user clicks on the security file located in the general drive, the login module 13 recognizes the security file and immediately outputs a login window for inputting the identification code with the connection target company.

이후 과정은 상기 제1예와 동일하므로, 이하의 내용은 생략한다.Since the following process is the same as the first example, the following description will be omitted.

한편, 로그인모듈(13)은 보안데이터에 대한 보안도를 높이기 위해서, 로그인을 시도하는 사용자의 인증 절차를 더 포함할 수 있다.Meanwhile, the login module 13 may further include an authentication procedure of a user attempting to log in, in order to increase security of the security data.

이를 좀 더 구체적으로 설명하면, 로그인모듈(13)은 로그인정보 관리모듈(14)에서 상기 접속대상 기업 정보를 토대로 해당하는 기업(G1, G2, G3)의 서버(20, 20', 20") 주소를 확인해서 해당 서버(20, 20', 20")에 접속한다.In more detail, the login module 13 transmits the login information to the servers 20, 20 ', 20 "of the corresponding companies G1, G2, G3 based on the connection target company information in the login information management module 14. [ And accesses the corresponding server 20, 20 ', 20 ".

계속해서, 로그인모듈(13)은 해당 서버(20, 20', 20")의 보안장치로 인증질의신호를 전송하고, 상기 보안장치의 인증모듈(24)은 사용자DB(22)에서 인증질의신호를 확인한 후 상기 식별코드의 진의 여부를 최종 판단한다. 상기 진의 여부 판단을 통해 상기 식별코드가 인증되면 인증모듈(24)은 인증신호를 로그인모듈(13)로 전송하고, 로그인모듈(13)은 사용자가 입력한 식별코드를 최종 인증하여 관리장치를 구동한다.
Next, the login module 13 transmits an authentication inquiry signal to the security device of the server 20, 20 ', 20 ", and the authentication module 24 of the security device transmits an authentication inquiry signal The authentication module 24 transmits an authentication signal to the login module 13, and the login module 13 transmits the authentication signal to the login module 13, The management apparatus is driven by finally authenticating the identification code inputted by the user.

S30; 접근권한 확인단계S30; Steps to verify access rights

접근권한 제한모듈(25)은 인증질의신호를 요청한 사용자의 식별코드를 기초로 해당하는 접근권한정보를 검색하고, 상기 접근권한정보를 해당 단말기(10)의 관리장치 내 프로세싱모듈(16)로 전송한다. 전술한 바와 같이, 상기 접근권한정보는 사용자가 보안파일을 확인 및 구분할 수 있도록 하기 위한 작업ID와, 상기 보안파일에 대한 상기 사용자의 접근권한 정보를 포함한다.The access right restriction module 25 retrieves the access right information based on the identification code of the user requesting the authentication inquiry signal and transmits the access right information to the processing module 16 in the management device of the terminal 10 do. As described above, the access right information includes a job ID for allowing a user to identify and distinguish the security file, and information about the user's right to access the security file.

접근권한 제한모듈(25)은 기업(G1, G2, G3)의 보안데이터를 관리하는 책임자에 의해 제어되고, 사용자 및 작업ID별로 접근권한을 조정할 수 있다. 따라서 보안파일(데이터)에 대한 사용자의 접근권한은 사용자가 로그인 때마다 새로이 적용된다.The access right restriction module 25 is controlled by the person in charge of managing the security data of the enterprise G1, G2 and G3, and can adjust the access right for each user and job ID. Therefore, the user's access rights to the security file (data) is applied every time the user logs in.

한편, 접근권한 제한모듈(25)은 보안데이터DB(21)를 검색해서 작업ID별 보안데이터의 갱신 여부를 확인하고, 상기 작업ID의 보안데이터가 갱신된 경우, 갱신된 작업ID의 보안파일을 해당 단말기(10)로 전송한다.
On the other hand, the access right limiting module 25 searches the security data DB 21 to check whether or not security data for each job ID is updated. If the security data of the job ID is updated, To the corresponding terminal (10).

S40; 작업창 출력단계S40; Task window output step

로그인모듈(13)이 로그인 절차를 완료하면, 탐색처리모듈(15)은 로그인한 사용자에게 허락된 작업ID에 해당하는 보안파일 및 상기 보안파일에 구성된 보안데이터 리스트를 게시한 작업창을 출력한다. 이때, 상기 작업창은 보안데이터가 실행되는 보안영역인 보안드라이브를 노출시켜서, 보안데이터의 임시 저장위치를 사용자가 인지할 수 있도록 할 수 있다.When the login module 13 completes the login procedure, the search processing module 15 outputs a security file corresponding to the job ID granted to the logged-in user and a job window in which the security data list configured in the security file is posted. At this time, the task pane may expose the security drive, which is a security area in which the security data is executed, so that the user can recognize the temporary storage location of the security data.

참고로, 상기 작업창에 게시되는 상기 보안데이터의 보안파일은 앞서 제2예에서 사용자가 직접 클릭한 보안파일이거나, 제1예에서 로그인모듈(13)이 저장모듈(11)에서 검색한 보안파일이다.For example, the security file of the security data posted in the task window may be a security file that the user clicked directly in the second example. Alternatively, in the first example, the login module 13 may retrieve the security file to be.

한편, 상기 작업창에 게시되는 작업ID는 해당 보안파일의 갱신 여부에 따라 하위 폴더(디렉토리)가 추가 기재될 수 있다. 즉, 서버(20, 20', 20")의 보안장치로부터 갱신된 보안파일이 전송된 경우, 단말기(10)에 기 존재하는 이전 보안파일의 보존을 위해 갱신된 보안파일이 하위 폴더에 게시되는 것이다. 결국, 해당 사용자에게 상기 작업ID에 대한 접근권한이 허용된다면 상기 작업ID에 해당하는 보안데이터는 동일한 작업ID의 범위 내에서는 이동 또는 복사가 가능하도록 해서, 상기 작업ID의 보안파일이 편집될 수 있도록 한다. 물론, 다른 작업ID 간에는 보안데이터의 교류를 제한함으로써 보안데이터의 보안이 유지되도록 한다.Meanwhile, a sub-folder (directory) may be additionally described according to whether the security file is updated or not. That is, when the updated security file is transmitted from the security device of the server 20, 20 ', 20 ", the updated security file for posterior security file existing in the terminal 10 is posted in the subfolder If the access right to the job ID is allowed to the user, the security data corresponding to the job ID can be moved or copied within the same job ID range, so that the security file of the job ID is edited Of course, the security of the security data is maintained by restricting the exchange of the security data between the other job IDs.

한편, 보안영역 내 동일한 작업ID가 존재할 경우, 상기 작업ID에 해당하는 보안데이터는 상기 작업ID끼리 자유로운 이동 및 복사가 가능하도록 할 수 있고, 이를 통해 사용자의 작업 효율이 향상되도록 할 수도 있다. 물론, 다른 작업ID 간에는 보안데이터의 교류를 차단해서, 보안데이터의 보안이 보호될 수 있도록 한다.
Meanwhile, when the same job ID exists in the security area, the security data corresponding to the job ID can be freely moved and copied between the job IDs, thereby improving the work efficiency of the user. Of course, the exchange of security data between the other job IDs is blocked, so that the security of the security data can be protected.

S50; 보안데이터 실행단계S50; Step to Execute Secure Data

사용자가 보안데이터의 실행을 위해서 작업창에 게시된 해당 보안데이터를 클릭하면, 보안모듈(17)이 암호화된 보안파일을 상기 보안데이터로 복호화해서 보안영역인 상기 보안드라이브에 저장한다.When the user clicks the corresponding security data posted in the job window for execution of the security data, the security module 17 decrypts the encrypted security file into the security data and stores the decrypted security file in the security drive, which is the security area.

계속해서, 상기 보안드라이브에 저장된 상기 보안데이터는 해당 응용프로그램을 통해 실행된다. 여기서, 상기 응용프로그램은 인가된 응용프로그램으로서, 상기 보안드라이브를 인식해서 상기 보안데이터에 대한 접속과 실행이 가능하다.Then, the security data stored in the secure drive is executed through the corresponding application program. Here, the application program is an authorized application program, and can recognize the secure drive and access and execute the secure data.

한편, 보안데이터 실행 중에는 다양한 프로세스 진행이 동반된다. 즉, 응용프로그램이 보안데이터의 특정한 실행을 위해서는 해당하는 프로세스를 진행시켜야 하는 것이다. 이때, 프로세싱모듈(16)은 접근권한 제한모듈(25)로부터 수신한 접근권한정보에 따라 응용프로그램이 진행하려는 프로세스의 속행 여부를 결정해서, 보안데이터가 접근권한정보에 따라 그 처리가 제한될 수 있도록 한다.On the other hand, during the execution of security data, various process progress is accompanied. In other words, an application must proceed with the corresponding process in order to execute specific data of security data. At this time, the processing module 16 determines whether the process to be executed by the application program is continued according to the access right information received from the access right limiting module 25, so that the process can be restricted according to the access right information .

결국 보안데이터를 실행하려는 사용자는 해당하는 접근권한정보에 따라, 상기 보안데이터의 병합, 인쇄, 복사붙이기, 화면캡처, 프린트마킹 등의 처리가 제한되므로, 상기 보안데이터의 보안도를 효과적으로 제어할 수 있는 효과가 있다. 참고로, 보안데이터는 작업ID 단위로 관리되는데, 특정 작업ID의 보안데이터가 실행될 경우 프로세싱모듈(16)은 다른 작업ID의 보안데이터 실행을 제한해서, 한 종류의 작업ID에 대한 보안데이터만이 실행되도록 한다.As a result, the user who intends to execute the security data is restricted in the processes of merging, printing, copying and pasting, screen capturing, print marking, etc. of the security data according to the corresponding access right information, There is an effect. When the security data of the specific job ID is executed, the processing module 16 restricts the execution of the security data of the other job ID, so that only the security data for one type of job ID is transmitted .

보안모듈(17)은 보안데이터를 실행하기 위해서 일반환경을 보안환경으로 변경할 수 있고, 이러한 변경 이후에 인가된 응용프로그램을 실행시킬 수 있다. 결국, 보안환경 하에서의 인가된 응용프로그램의 실행으로 상기 보안데이터는 안전한 실행이 가능하고, 이를 통해 신뢰할 수 있는 보안을 전제로 사용자의 실시를 보장할 수 있다.
The security module 17 can change the general environment to the security environment in order to execute the security data, and can execute the authorized application program after the change. As a result, by executing an authorized application program under a secure environment, the secure data can be executed securely, thereby ensuring the execution of the user on the premise of reliable security.

S60; 보안데이터 실행 종료단계S60; Security Data Execution Termination Phase

이후, 사용자는 보안데이터에 대한 편집 등의 작업을 완료한 후 작업창 닫기 등에 대한 종료를 진행할 수 있다. 이를 위해 사용자가 작업창에서 종료 메뉴를 조작하면, 보안모듈(17)은 보안드라이브에 위치한 상기 보안데이터를 암호화해서 약속된 작업단위의 보안파일로 변환한 후, 상기 보안파일을 저장모듈(11) 내 비보안영역에 저장한다. 참고로, 보안드라이브 내 보안데이터를 보안파일로 변환할 때 해당 보안파일의 명칭은 약속된 작업ID로 설정해서, 이후에도 권한이 부여된 사용자가 상기 보안파일을 검색 및 복호화한 후 작업을 진행할 수 있도록 한다.After completing the operation of editing the security data, the user can proceed to the end of closing the operation window and the like. When the user manipulates the end menu in the job window, the security module 17 encrypts the security data stored in the secure drive and converts the security data into a security file of a predetermined unit of work, I store it in my non-security area. When the secure data in the secure drive is converted into a secure file, the name of the secure file is set to the promised operation ID so that the authorized user can search for and decrypt the secure file, do.

보안데이터가 보안환경에서 실행되는 실시 예의 경우엔, 보안모듈(17)은 응용프로그램의 인가 여부를 확인한 후 인가된 응용프로그램만을 보안환경에서 실행하도록 제어하고, 사용자의 '작업종료 메뉴' 조작을 통해 상기 보안환경(가상운영환경)을 종료하고 마운트된 가상의 드라이브인 보안드라이브는 언마운트되어 일반환경으로 전환하는 과정을 수행한다.
In the embodiment where the security data is executed in the secure environment, the security module 17 checks whether the application program is authorized, and then controls only the authorized application program to be executed in the secure environment. The secure environment (virtual operating environment) is terminated and the secured drive, which is a mounted virtual drive, is unmounted and is switched to the normal environment.

S70; 보안데이터 반출단계S70; Security Data Export Phase

사용자가 작업 완료 후 탐색창의 반납 메뉴를 선택하면, 관리장치는 해당 작업ID의 서버(20, 20', 20") 주소를 확인하고, 확인된 주소의 서버(20, 20', 20") 보안장치로 보안파일을 전송한다. 여기서, 해당 보안파일은 보안드라이브에 위치한 보안데이터를 암호화해서 약속된 작업단위로 변환한 것이다.When the user selects the return menu of the navigation window after completing the job, the management device confirms the address of the server 20, 20 ', 20' 'of the job ID and confirms the security of the server 20, 20' Transfer the security file to the device. In this case, the security file is encrypted by encrypting security data located in the secure drive and converted into a promised work unit.

참고로, 상기 보안파일은 작업ID, 작업명, 작업파일 생성자 정보, 서버정보 등의 프로필 정보가 포함되고, 반납시 상기 프로필 정보와 함께 전송된다. 반출을 위해서는 로그인이 전제되므로, 사용자의 로그인 정보를 기반으로 해당 서버(20, 20', 20")와 단말기(10) 간의 통신이 이루어진다.
For reference, the security file includes profile information such as job ID, job name, job file creator information, and server information, and is transmitted together with the profile information upon returning. Since the login is required for export, communication is established between the server 20, 20 ', 20 "and the terminal 10 based on the login information of the user.

앞서 설명한 본 발명의 상세한 설명에서는 본 발명의 바람직한 실시 예들을 참조해 설명했지만, 해당 기술분야의 숙련된 당업자 또는 해당 기술분야에 통상의 지식을 갖는 자라면 후술될 특허청구범위에 기재된 본 발명의 사상 및 기술영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.While the present invention has been described in connection with what is presently considered to be practical exemplary embodiments, it is to be understood that the invention is not limited to the disclosed embodiments, but, on the contrary, It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

10; 단말기 11; 저장모듈 12; 통신모듈
13; 로그인모듈 14; 로그인정보 관리모듈 15; 탐색처리모듈
16; 프로세싱모듈 17; 보안모듈 20, 20', 20"; 서버
21; 보안데이터DB 22; 사용자DB 23; 통신모듈
24; 인증모듈 25; 접근권한 제한모듈 31; 하드웨어
32; 호스트OS 33; 가상층
34a 내지 34c; 가상운영층 G1, G2, G3; 기업
S; 협력사10; A terminal 11; Storage module 12; Communication module
13; Login module 14; Login information management module 15; Search processing module
16; Processing module 17; Security module 20, 20 ', 20 "; server
21; Security data DB 22; User DB 23; Communication module
24; Authentication module 25; Access restriction module 31; hardware
32; Host OS 33; Imaginary layer
34a through 34c; Virtual operating layers G1, G2, G3; Enterprise
S; Partners

Claims (11)

삭제delete 식별코드를 입력받아 로그인을 처리하는 로그인모듈; 저장모듈에 저장된 작업ID 단위의 보안파일을 검색해서 탐색창에 출력하고, 선택된 보안파일의 구성 보안데이터를 상기 로그인모듈의 로그인 처리에 따라 작업창에 출력하는 탐색처리모듈; 상기 보안파일을 보안데이터로 복호화해서 보안영역으로 설정한 보안드라이브에 저장하고, 상기 보안드라이브에 저장된 보안데이터를 보안파일로 암호화해서 비보안영역에 저장하는 보안모듈; 및 응용프로그램에 의한 상기 보안데이터의 실행을 접근권한정보를 기초로 제어하는 프로세싱모듈;을 포함하는 보안데이터 관리장치에 있어서,
상기 로그인모듈은 입력된 상기 식별코드의 해당 보안장치로 인증질의신호를 전송하고;
상기 프로세싱모듈은 상기 보안장치가 상기 인증질의신호에 대응해 전송한 상기 접근권한정보를 수신해서 로그인 때마다 갱신하는 것;
을 특징으로 하는 보안데이터 관리장치.A login module for receiving an identification code and processing login; A search processing module for searching for a security file in the job ID unit stored in the storage module and outputting the security file in the search window and outputting the configuration security data of the selected security file to the job window according to the login process of the login module; A security module decrypting the security file into security data and storing the secure file in a secure drive set as a security area, encrypting the security data stored in the secure drive as a security file, and storing the security data in a non-security area; And a processing module for controlling the execution of the security data by the application program based on the access right information,
The login module transmits an authentication inquiry signal to a corresponding security device of the input identification code;
Wherein the processing module receives the access right information transmitted by the security device in response to the authentication inquiry signal and updates the access right information each time the login is made;
The security data management apparatus comprising: 식별코드를 입력받아 로그인을 처리하는 로그인모듈; 저장모듈에 저장된 작업ID 단위의 보안파일을 검색해서 탐색창에 출력하고, 선택된 보안파일의 구성 보안데이터를 상기 로그인모듈의 로그인 처리에 따라 작업창에 출력하는 탐색처리모듈; 상기 보안파일을 보안데이터로 복호화해서 보안영역으로 설정한 보안드라이브에 저장하고, 상기 보안드라이브에 저장된 보안데이터를 보안파일로 암호화해서 비보안영역에 저장하는 보안모듈; 및 응용프로그램에 의한 상기 보안데이터의 실행을 접근권한정보를 기초로 제어하는 프로세싱모듈;을 포함하는 보안데이터 관리장치에 있어서,
상기 탐색처리모듈은 보안장치로부터 갱신된 보안파일을 수신해서 해당 작업ID 내 보안파일의 하위 디렉토리에 배치되도록 상기 저장모듈에 저장하는 것;
을 특징으로 하는 보안데이터 관리장치.A login module for receiving an identification code and processing login; A search processing module for searching for a security file in the job ID unit stored in the storage module and outputting the security file in the search window and outputting the configuration security data of the selected security file to the job window according to the login process of the login module; A security module decrypting the security file into security data and storing the secure file in a secure drive set as a security area, encrypting the security data stored in the secure drive as a security file, and storing the security data in a non-security area; And a processing module for controlling the execution of the security data by the application program based on the access right information,
Wherein the search processing module receives the updated security file from the security device and stores the received security file in the storage module to be placed in a subdirectory of the security file in the job ID;
The security data management apparatus comprising: 제 2 항 또는 제 3 항에 있어서,
상기 보안모듈은 상기 보안데이터의 실행을 위한 응용프로그램의 인가 여부를 확인하는 것을 특징으로 하는 보안데이터 관리장치.The method according to claim 2 or 3,
Wherein the security module confirms whether an application program for executing the security data is authorized. 제 4 항에 있어서,
상기 보안모듈은 커널영역에 OS(Operating System)의 구동정보를 개별적으로 수신하여 유저영역으로 전달하는 다수의 가상운영층을 형성시키되, 복호화된 상기 보안데이터를 실행할 경우 보안환경으로 설정된 가상운영층으로 상기 구동정보의 통신경로를 변경하고, 인가된 응용프로그램이 상기 보안환경에서 실행되도록 하는 것을 특징으로 하는 보안데이터 관리장치.5. The method of claim 4,
The security module forms a plurality of virtual operating layers for individually receiving operating information of an operating system (OS) in a kernel area and transmitting the information to a user area, and when executing the decrypted security data, Changes the communication path of the driving information, and causes the applied application program to be executed in the secure environment. 제 2 항 또는 제 3 항에 있어서,
상기 프로세싱모듈은 작업ID 단위로 상기 보안데이터의 실행이 이루어지도록 하는 것;
을 특징으로 하는 보안데이터 관리장치. The method according to claim 2 or 3,
The processing module causing execution of the security data to be performed on a task ID basis;
The security data management apparatus comprising: 작업ID가 게시된 탐색창을 관리장치가 출력하는 단계;
작업ID의 선택에 대응해서 상기 관리장치가 식별코드를 입력받아 로그인을 처리하는 로그인 단계;
상기 관리장치가 상기 식별코드의 보안파일에 대한 접근권한정보를 확인하는 접근권한 확인단계;
상기 관리장치가 상기 작업ID에 해당하는 보안파일 및 보안데이터가 게시된 작업창을 출력하는 작업창 출력단계; 및
상기 보안파일을 보안데이터로 복호화해서 보안영역으로 설정한 보안드라이브에 저장하고, 응용프로그램에 의한 상기 보안데이터의 실행을 상기 접근권한정보를 기초로 처리하는 보안데이터 실행단계;
를 포함하는 것을 특징으로 하는 보안데이터 관리방법.Outputting, by the management apparatus, a search window in which the job ID is posted;
A login step in which the management device receives an identification code and processes the login in response to the selection of the job ID;
An access right confirmation step of the management device confirming access right information on the security file of the identification code;
A task window output step in which the management apparatus outputs a task window in which a security file corresponding to the task ID and security data are posted; And
A security data execution step of decrypting the security file into security data and storing the decrypted security file in a secure drive set as a security area and processing the execution of the security data by an application program based on the access right information;
The security data management method comprising the steps of: 제 7 항에 있어서,
상기 접근권한 확인단계는, 상기 관리장치가 상기 식별코드에 대응한 인증질의신호를 보안장치로 전송하는 단계와, 상기 보안장치가 상기 인증질의신호에 대응해 전송한 상기 접근권한정보를 수신해서 확인하는 단계를 포함하는 것을 특징으로 하는 보안데이터 관리방법.8. The method of claim 7,
Wherein the step of verifying the access right includes a step in which the management apparatus transmits an authentication inquiry signal corresponding to the identification code to the security apparatus; and a step in which the security apparatus receives the access authority information transmitted in response to the authentication inquiry signal, The security data management method comprising the steps of: 제 7 항에 있어서,
상기 접근권한 확인단계는, 보안장치가 상기 식별코드를 기초로 해당 작업ID의 보안파일에 대한 갱신 여부를 확인하는 단계와, 상기 보안장치가 갱신된 보안파일을 상기 관리장치로 전송하는 단계와, 상기 관리장치가 상기 보안장치로부터 상기 갱신된 보안파일을 수신해서 해당 작업ID 내 보안파일의 하위 디렉토리에 배치되도록 저장하는 단계;를 더 포함하고
상기 작업창 출력단계는, 상기 갱신된 보안파일을 해당 작업ID 내 보안파일의 하위 디렉토리에 배치되도록 출력하는 단계를 더 포함하는 것;
을 특징으로 하는 보안데이터 관리방법.8. The method of claim 7,
Wherein the step of verifying the access right includes the steps of: checking whether the security device updates the security file of the job ID based on the identification code; transmitting the security file updated by the security device to the management device; Receiving the updated security file from the security device and storing the received security file in a subdirectory of the security file in the job ID;
The step of outputting the operation window further includes outputting the updated security file so as to be placed in a subdirectory of the security file in the operation ID;
The security data management method comprising the steps of: 제 7 항에 있어서,
상기 보안데이터 실행단계는, 처리된 상기 보안데이터를 보안파일로 암호화하는 단계와, 암호화된 상기 보안파일을 비보안영역에 저장하는 단계와, 상기 보안드라이브에 잔존하는 상기 보안데이터를 삭제하는 단계를 더 포함하는 것을 특징으로 하는 보안데이터 관리방법.8. The method of claim 7,
The security data execution step may further include encrypting the processed security data with a security file, storing the encrypted security file in a non-security area, and deleting the security data remaining in the secure drive The security data management method comprising the steps of: 제 7 항에 있어서,
상기 보안데이터 실행단계는, 상기 관리장치가 상기 보안데이터를 복호화하기 전 OS(Operating System)의 구동정보를 개별적으로 수신하여 유저영역으로 전달하도록 커널영역에 형성된 다수의 가상운영층 중 보안환경으로 설정된 가상운영층으로 상기 구동정보의 통신경로를 변경하는 단계와, 상기 보안데이터의 실행을 위한 응용프로그램의 인가 여부를 확인해서 인가된 응용프로그램을 상기 보안환경에서 실행시키는 단계를 더 포함하는 것을 특징으로 하는 보안데이터 관리방법.8. The method of claim 7,
The security data execution step may include setting a security environment among a plurality of virtual operation layers formed in the kernel area so that the management device individually receives driving information of an operating system (OS) before decrypting the security data, Changing a communication path of the driving information to a virtual operating layer and checking whether an application program for executing the security data is authorized and executing the authorized application program in the security environment, A method of managing security data.
KR1020130033713A 2013-03-28 2013-03-28 Apparatus and method for managing securing data KR101446326B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130033713A KR101446326B1 (en) 2013-03-28 2013-03-28 Apparatus and method for managing securing data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130033713A KR101446326B1 (en) 2013-03-28 2013-03-28 Apparatus and method for managing securing data

Publications (1)

Publication Number Publication Date
KR101446326B1 true KR101446326B1 (en) 2014-10-07

Family

ID=51996258

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130033713A KR101446326B1 (en) 2013-03-28 2013-03-28 Apparatus and method for managing securing data

Country Status (1)

Country Link
KR (1) KR101446326B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866743A (en) * 2015-05-07 2015-08-26 北京金山安全软件有限公司 Method and device for calling interface in browser
KR101844534B1 (en) * 2017-10-26 2018-04-02 (주)지란지교소프트 Method for securing electronic file
CN109800561A (en) * 2018-12-29 2019-05-24 360企业安全技术(珠海)有限公司 Drive authority control method, client, system and storage medium

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041347A (en) 2000-05-17 2002-02-08 Hitachi Software Eng Co Ltd Information presentation system and device
KR100549644B1 (en) * 2004-11-25 2006-02-06 소프트캠프(주) Control system for access classified application in virtual disk and controling method thereof
KR20130006883A (en) * 2011-06-24 2013-01-18 주식회사 케이티 System and method for sharing contents using virtual group
KR20130027288A (en) * 2011-09-07 2013-03-15 소프트캠프(주) Environment setting device and method according to the user account

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002041347A (en) 2000-05-17 2002-02-08 Hitachi Software Eng Co Ltd Information presentation system and device
KR100549644B1 (en) * 2004-11-25 2006-02-06 소프트캠프(주) Control system for access classified application in virtual disk and controling method thereof
KR20130006883A (en) * 2011-06-24 2013-01-18 주식회사 케이티 System and method for sharing contents using virtual group
KR20130027288A (en) * 2011-09-07 2013-03-15 소프트캠프(주) Environment setting device and method according to the user account

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104866743A (en) * 2015-05-07 2015-08-26 北京金山安全软件有限公司 Method and device for calling interface in browser
KR101844534B1 (en) * 2017-10-26 2018-04-02 (주)지란지교소프트 Method for securing electronic file
CN109800561A (en) * 2018-12-29 2019-05-24 360企业安全技术(珠海)有限公司 Drive authority control method, client, system and storage medium
CN109800561B (en) * 2018-12-29 2021-10-22 360企业安全技术(珠海)有限公司 Drive authority control method, client, system and storage medium

Similar Documents

Publication Publication Date Title
US11475137B2 (en) Distributed data storage by means of authorisation token
EP3014847B1 (en) Secure hybrid file-sharing system
US9367703B2 (en) Methods and systems for forcing an application to store data in a secure storage location
RU2648956C2 (en) Providing devices as service
EP3138035B1 (en) Method and apparatus for multi-tenancy secrets management
US10776489B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
US20130061335A1 (en) Method, Apparatus, Computer Readable Media for a Storage Virtualization Middleware System
US20150244684A1 (en) Data security management system
US9298930B2 (en) Generating a data audit trail for cross perimeter data transfer
US8856916B1 (en) User associated geo-location based reauthorization to protect confidential information
JP2003228519A (en) Method and architecture for providing pervasive security for digital asset
US11509459B2 (en) Secure and robust decentralized ledger based data management
CN104025544A (en) Sensitive information leakage prevention system, sensitive information leakage prevention method, and computer-readable recording medium
US8850563B2 (en) Portable computer accounts
US10162950B2 (en) Methods and apparatus for using credentials to access computing resources
KR101446326B1 (en) Apparatus and method for managing securing data
US20150347719A1 (en) Digital rights management system implemented on a scanner
Loshin Practical anonymity: Hiding in plain sight online
EP2790123B1 (en) Generating A Data Audit Trail For Cross Perimeter Data Transfer
CN112470442A (en) Deploying data loss prevention policies to user equipment
KR102005534B1 (en) Smart device based remote access control and multi factor authentication system
TR2023006911T2 (en) ENCRYPTED FILE CONTROL
Kowalski CRYPTOBOX V2.
WO2022066775A1 (en) Encrypted file control
Joubert Auditing Windows 2000: methodologies and issues

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170911

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190925

Year of fee payment: 6