KR101781970B1 - Apparatus for defending illegal outflow of electronic documents by itself and method using the same - Google Patents
Apparatus for defending illegal outflow of electronic documents by itself and method using the same Download PDFInfo
- Publication number
- KR101781970B1 KR101781970B1 KR1020160076507A KR20160076507A KR101781970B1 KR 101781970 B1 KR101781970 B1 KR 101781970B1 KR 1020160076507 A KR1020160076507 A KR 1020160076507A KR 20160076507 A KR20160076507 A KR 20160076507A KR 101781970 B1 KR101781970 B1 KR 101781970B1
- Authority
- KR
- South Korea
- Prior art keywords
- export
- unit
- electronic document
- authentication
- management server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G06F17/30233—
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/007—Encryption, En-/decode, En-/decipher, En-/decypher, Scramble, (De-)compress
Abstract
Description
본 발명은 자가 대응 전자문서 불법 유출 방지 장치 및 방법에 관한 것으로, 보다 상세하게는 외부 반출 대상자의 사용자 인증과 시스템 인증을 통해 인증 성공 여부에 따라 전자문서의 불법 유출을 자가 대응하는 기술에 관한 것이다.The present invention relates to an apparatus and method for preventing illegal leakage of an electronic document, and more particularly, to a technique for self-responding to an illegal leak of an electronic document according to the success or failure of authentication through user authentication and system authentication .
기업들의 기술력이 높아지면서 첨단 산업기술의 유출사건이 지속적으로 증가하고 있다. As the technological power of companies increases, high-tech industrial technology leaks are continuously increasing.
기술유출은 지능화된 해킹기법 또는 기존에 구축된 보안체계의 허점을 지능적으로 악용하는 내, 외부의 인가자에 의해 주로 발생한다. 이에 따라, 전자문서의 불법 유출을 방지하기 위한 기술이 필요하다. Technology leaks are mainly caused by intelligent hacking techniques or internal and external licensors that intelligently exploit loopholes in existing security schemes. Accordingly, there is a need for a technique for preventing an illegal outflow of an electronic document.
전자문서의 유출을 방지하기 위한 기존의 기술로는 DRM(Digital Rights Management), DLP(Data Loss Prevention) 등의 정보 보호 기술들이 제안 및 개발되어 운영되고 있다. As an existing technology for preventing the leakage of an electronic document, information protection technologies such as DRM (Digital Rights Management) and DLP (Data Loss Prevention) have been proposed and developed and operated.
그러나, 해킹 기법이 나날이 지능화되고 있고 내, 외부의 인가자가 지능적으로 전자문서를 불법 유출하고 있어서, 전자문서 유출에 완벽히 대응하기가 쉽지 않다.However, hacking techniques are becoming more and more intelligent and internal and external licensors are intelligently leaking electronic documents, making it difficult to fully respond to electronic document leaks.
특히, 기존 방법들은 정보를 저장하고 있는 시스템을 위협으로부터 보호하는데 집중하거나, 보호하고자 하는 데이터를 단순 암호화하여 저장 및 관리하거나, 또는 인가된 외부자 중심의 보호대책을 수립하고 있어 인가된 외부자에 의한 전자문서 불법 유출에 대하여 완벽한 대응이 어렵다.In particular, the existing methods focus on protecting the system storing information from threats, or simply encrypt and store the data to be protected, or establish an authorized external protection measure, It is difficult to fully respond to the illegal leak of electronic documents.
한편, 2010년 4월에 한국인터넷정보학회 11권 2호에 개재된 "내부 사용자에 의한 불법 데이터 유출방지를 위한 안전한 지식관리 시스템" 은 내부 사용자들에 대한 명시적 인증을 수행하고 이를 기반해 데이터를 제공하고 2MAC을 이용하여 악의적인 내부 사용자에 의한 불법적 데이터 유출을 방지하는 것에 관하여 개시하고 있다.On the other hand, "A Secure Knowledge Management System for Preventing Illegal Data Leakage by Internal Users", published in Korea Internet Information Society, Vol. 11, No. 2, April 2010, performs explicit authentication for internal users, And using 2MAC to prevent illegal data leakage by malicious internal users.
또한, 한국등록특허 제10-1599740호 "전자문서 불법 유출 방지 방법 및 장치"는 가상디스크 기반으로 외부자에 의한 불법유출을 방지함과 동시에 자가대응 에이전트를 이용하여 인가된 외부자에게 전자문서를 안전하게 외부 반출하는 것에 관하여 개시하고 있다.Korean Patent No. 10-1599740 entitled " Method and Apparatus for Preventing Illegal Spillage of Electronic Documents "is based on a virtual disk to prevent an illegal outflow by an external party, and at the same time, It is disclosed about safely carrying it out.
그러나, 한국등록특허 제10-1599740호는 외부 반출의 인증을 수행하는데 있어서, 보안성의 한계가 존재하며, 인가된 내부자에게 반출된 전자문서가 인가되지 않은 외부자에게 2차적으로 불법 유출될 수 있는 한계가 존재한다.Korean Patent No. 10-1599740, however, discloses that there is a limitation in security in carrying out the authentication of the external carry-out, and that an electronic document issued to an authorized insider can be illegally leaked to an unauthorized outsider There is a limit.
본 발명은 종래의 문제점을 해결하기 위하여, 인가된 외부자에 의해 전자문서 불법 유출시 자가 대응할 수 있고 불법 유출 근원지를 추적함과 동시에 인가된 외부자에 의한 불법 유출까지도 적극적으로 대응하는 것을 목적으로 한다.Disclosure of Invention Technical Problem [8] In order to solve the problems of the prior art, the present invention has been made in order to solve the problems of the related art by allowing an authorized external person to respond to an illegal leak of an electronic document and to trace an illegal leak source and to actively cope with an illegal leak by an authorized external person do.
또한, 본 발명은 전자문서의 외부 반출에 있어서, 인가된 외부자에 대해 사용자 인증 및 시스템 인증을 수행하는 것을 목적으로 한다.It is another object of the present invention to perform user authentication and system authentication on an authorized external user in the external carry-out of an electronic document.
또한, 본 발명은 사용자 인증에 있어서 비공개 알고리즘 기반 인증코드를 이용하여 전자문서의 불법 유출을 자가 대응하는 것을 목적으로 한다.Further, the present invention aims at self-correspondence of illegal outflow of an electronic document by using a private algorithm-based authentication code in user authentication.
또한, 본 발명은 전자문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하여 인가된 외부자에 대해서만 접근을 제한하고, 2차적인 불법 유출에 대해 자가 대응하는 것을 목적으로 한다.In addition, the present invention creates an encrypted virtual disk file control module including an electronic document and a dedicated explorer that is uniquely accessible to the electronic document to restrict access to only the authorized external person, .
상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 장치는 통제대상이 되는 전자문서를 저장하기 위한 가상디스크를 생성하고, 상기 전자문서의 외부 반출을 통제하는 반출 통제부; 상기 전자문서의 외부 반출이 허용된 반출인지를 인증하는 반출 관리 서버부 및 상기 외부 반출이 허용된 반출로 인증된 경우에만, 상기 외부 반출을 수행하기 위하여, 상기 전자문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 자가 대응 에이전트부를 포함한다.According to an embodiment of the present invention, there is provided an apparatus for preventing illegal spontaneous electronic document illegal spill by creating a virtual disk for storing an electronic document to be controlled, Control department; An export management server unit for authenticating whether or not the electronic document is permitted to be carried out, and an export management server unit for carrying out the external export only when the exported document is authenticated as a carry- A file control module and a self-correspondent agent unit for generating a dedicated searcher that is uniquely accessible to the electronic document.
이 때, 상기 자가대응 에이전트부는 상기 전자문서를 포함하는 암호화된 가상디스크 파일을 생성하는 가상디스크 파일 저장 및 관리부; 상기 반출 관리 서버부를 통해, 상기 비공개 알고리즘 기반 이미지 인증 코드를 이용한 사용자 인증을 수행하는 이미지 인증코드 기반 인증부; 상기 반출 관리 서버부를 통해, 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 이용한 시스템 인증을 수행하는 시스템 정보 기반 인증부 및 상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 전용탐색기 설치 및 관리부를 포함할 수 있다.In this case, the self correspondence agent unit may include a virtual disk file storage and management unit for generating an encrypted virtual disk file including the electronic document; An image authentication code based authentication unit that performs user authentication using the secret-algorithm-based image authentication code through the take-out management server unit; A system information based authentication unit for performing system authentication using system information corresponding to a computing device of a subject to be carried out through the takeout management server unit and a dedicated searcher installing and managing unit for creating a dedicated searcher that is uniquely accessible to the electronic document .
이 때, 상기 이미지 인증코드 기반 인증부는 상기 비공개 알고리즘 기반 이미지 인증코드를 상기 자가 대응 에이전트부가 설치된 상기 외부 반출 대상자의 컴퓨팅 장치를 통해 출력할 수 있다.At this time, the image authentication code based authentication unit may output the secret-algorithm-based image authentication code through the computing apparatus of the external removal object person provided with the self-corresponding agent unit.
이 때, 상기 외부 반출 대상자의 휴대 단말 장치는 상기 컴퓨팅 장치에 출력된 상기 이미지 인증 코드에 주입된 고유값을 추출하여 상기 휴대 단말 장치의 정보와 함께 상기 반출 관리 서버부에 제공할 수 있다.At this time, the portable terminal device of the external carry-out person may extract the eigenvalue injected into the image authentication code outputted to the computing device and provide the extracted eigenvalue to the carry-out management server part together with the information of the portable terminal device.
이 때, 상기 비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 상기 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.At this time, the secret-algorithm-based authentication code includes a plurality of calibration points, and corresponds to a dot-based two-dimensional image authentication code in which the eigenvalues are injected based on two or more kinds of points .
이 때, 상기 반출 관리 서버부는 제공 받은 상기 고유값과 상기 휴대 단말 장치의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 상기 외부 반출 대상자의 사용자 인증을 수행할 수 있다.At this time, the export management server unit can perform the user authentication of the external carry-out object by comparing the eigenvalue provided thereto and the information of the portable terminal apparatus with information of the legitimate exclusion object.
이 때, 상기 시스템 정보 기반 인증부는 상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 상기 반출 관리 서버부에 제공할 수 있다.At this time, the system information based authentication unit may provide system information corresponding to the computing device of the external takeout subject to the takeout management server unit.
이 때, 상기 반출 관리 서버부는 상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.At this time, the export management server unit may perform system authentication by comparing the system information corresponding to the computing device of the external carry-out object with the system information corresponding to the previously stored legitimate exclusion object's computing device.
이 때, 상기 전용탐색기 설치 및 관리부는 상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 상기 전자문서를 포함한 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성할 수 있고, 상기 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능할 수 있다.In this case, when the user authentication and the system authentication are both successful, the exclusive searcher installation and management unit receives a signal indicating legal export, through the export management server unit, and transmits the virtual disk file control module including the electronic document, And the electronic document included in the virtual disk file may be accessible only through the exclusive searcher.
이 때, 상기 전용탐색기 설치 및 관리부는 상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다.In this case, when the either of the user authentication and the system authentication fails, the dedicated searcher installation and management unit receives a signal informing the illegal removal through the export management server unit and transmits the signal to the self- Can be performed.
이 때, 상기 자가대응 에이전트부는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.At this time, the self-corresponding agent unit can prevent bypassing and disabling of the user authentication and the system authentication by using one or more security functions such as anti-reversion, obfuscation, and anti-debugging.
또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법은 자가 대응 전자문서 불법 유출 방지 장치를 이용하는 방법에 있어서, 반출 승인 요청자의 PC부 및 반출 승인 결재자의 PC부의 반출 통제부가, 통제대상이 되는 전자문서를 저장하기 위한 가상디스크를 각각 생성하고 관리하는 단계; 상기 반출 승인 요청자의 PC부 및 반출 승인 결재자의 PC부의 반출 통제부가, 반출 관리 서버부를 통해 상기 전자문서의 외부 반출을 통제하는 단계; 상기 반출 관리 서버부가, 상기 전자문서의 외부 반출이 허용된 반출인지를 인증하는 단계 및 전자 문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 단계를 포함한다.According to another aspect of the present invention, there is provided a method of using an apparatus for preventing self-corresponding electronic document illegally leaked, comprising the steps of: Creating and managing a virtual disk for storing an electronic document to be controlled, respectively; Controlling the export of the electronic document through the export control server unit of the PC unit of the export approval requestor and the PC unit of the export approval approval server; Wherein the export management server comprises a step of authenticating whether or not the export of the electronic document is allowed to be carried out and a step of creating an encrypted virtual disk file control module including an electronic document and a dedicated explorer which is uniquely accessible to the electronic document .
이 때, 상기 전용 탐색기를 생성하는 단계는 상기 반출 관리 서버부를 통해, 상기 비공개 알고리즘 기반 이미지 인증 코드를 이용한 사용자 인증을 수행하는 단계; 상기 반출 관리 서버부를 통해, 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 이용한 시스템 인증을 수행하는 단계 및 상기 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하는 단계를 포함할 수 있다.At this time, the step of generating the dedicated searcher may include performing user authentication using the secret-algorithm-based image authentication code through the take-out management server unit; Performing system authentication using system information corresponding to a computing device of a subject to be carried out through the takeout management server unit, and creating the virtual disk file control module and the exclusive searcher.
이 때, 상기 사용자 인증을 수행하는 단계는 상기 비공개 알고리즘 기반 이미지 인증코드를 상기 자가 대응 에이전트부가 설치된 상기 외부 반출 대상자의 컴퓨팅 장치를 통해 출력할 수 있다.At this time, the step of performing the user authentication may output the secret-algorithm-based image authentication code through the computing device of the external carry-out object provided with the self-corresponding agent unit.
이 때, 상기 사용자 인증을 수행하는 단계는 상기 외부 반출 대상자의 휴대 단말 장치가 상기 컴퓨팅 장치에 출력된 상기 이미지 인증 코드에 주입된 고유값을 추출하여 상기 휴대 단말 장치의 정보와 함께 상기 반출 관리 서버부에 제공할 수 있다.At this time, in performing the user authentication, the portable terminal device of the external carry-out person extracts eigenvalues injected into the image authentication code output to the computing device, And may be provided to the Department.
이 때, 상기 비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 상기 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.At this time, the secret-algorithm-based authentication code includes a plurality of calibration points, and corresponds to a dot-based two-dimensional image authentication code in which the eigenvalues are injected based on two or more kinds of points .
이 때, 상기 사용자 인증을 수행하는 단계는 상기 반출 관리 서버부가, 제공 받은 상기 고유값과 상기 휴대 단말 장치의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 상기 외부 반출 대상자의 사용자 인증을 수행할 수 있다.At this time, in the step of performing the user authentication, the export management server compares the eigenvalue provided and the information of the portable terminal device with information of the legitimate exports to be carried out to perform user authentication of the exports object .
이 때, 상기 시스템 인증을 수행하는 단계는 상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 상기 반출 관리 서버부에 제공할 수 있다.At this time, in the step of performing the system authentication, system information corresponding to the computing device of the external carry-out object may be provided to the export management server.
이 때, 상기 시스템 인증을 수행하는 단계는 상기 반출 관리 서버부가, 제공 받은 상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.At this time, in the step of performing the system authentication, the export management server compares system information corresponding to the computing device of the external carry-out object provided thereto with system information corresponding to the previously stored legitimate exclusion object's computing device, Authentication can be performed.
상기 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하는 단계는 상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 상기 전자문서를 포함한 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성할 수 있고, 상기 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근할 수 있다.Wherein the step of generating the virtual disk file control module and the exclusive searcher includes receiving, when the user authentication and the system authentication are both successful, a signal notifying the legitimate export of the virtual disk file control module and the virtual disk file The control module and the dedicated searcher, and the electronic document included in the virtual disk file can be accessed only through the dedicated searcher.
이 때, 상기 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하는 단계는 상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다.In this case, when the virtual disk file control module and the exclusive searcher are failed, if the user authentication and / or the system authentication fail due to the export management server unit, And self-destruction of the self-agent unit can be performed.
이 때, 상기 사용자 인증을 수행하는 단계 및 상기 시스템 인증을 수행하는 단계는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.The performing of the user authentication and the performing of the system authentication may include bypassing and disabling the user authentication and the system authentication using one or more security functions such as anti-reversion, obfuscation, and anti-debugging .
본 발명은 종래의 문제점을 해결하기 위하여, 인가된 외부자에 의해 전자문서 불법 유출시 자가 대응할 수 있고 불법 유출 근원지를 추적함과 동시에 인가된 외부자에 의한 불법 유출까지도 적극적으로 대응할 수 있다.In order to solve the problems of the related art, the present invention is able to cope with an illegal leak of an electronic document by an authorized external party, track an illegal leak source, and actively cope with an illegal leak by an authorized external party.
또한, 본 발명은 전자문서의 외부 반출에 있어서, 인가된 외부자에 대해 사용자 인증 및 시스템 인증을 수행할 수 있다.In addition, the present invention can perform user authentication and system authentication on an authorized external user in the external export of an electronic document.
또한, 본 발명은 사용자 인증에 있어서 비공개 알고리즘 기반 인증코드를 이용하여 전자문서의 불법 유출을 자가 대응할 수 있다.In addition, the present invention can self-respond to an illegal leak of an electronic document by using a private algorithm-based authentication code in user authentication.
또한, 본 발명은 전자문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하여 인가된 외부자에 대해서만 접근을 제한하고, 2차적인 불법 유출에 대해 자가 대응할 수 있다.In addition, the present invention creates an encrypted exploited virtual disk file control module including an electronic document and a dedicated explorer that is uniquely accessible to the electronic document to restrict access only to authorized outsiders, .
도 1은 본 발명의 일실시예에 따른 전자문서 저장 PC부를 나타낸 블록도이다.
도 2는 도 1에 도시된 반출 통제부의 일 예를 세부적으로 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 장치를 나타낸 블록도이다.
도 4는 도 3에 도시된 자가대응 에이전트부의 일 예를 세부적으로 나타낸 블록도이다.
도 5는 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법을 나타낸 동작흐름도이다.
도 6은 도 5에 도시된 가상디스크 파일 통제 모듈 및 전용탐색기 생성 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a block diagram showing an electronic document storing PC unit according to an embodiment of the present invention.
2 is a detailed block diagram illustrating an example of the take-out control unit shown in FIG.
FIG. 3 is a block diagram showing a device for preventing self-corresponding electronic document illegal leakage according to an embodiment of the present invention.
4 is a detailed block diagram illustrating an example of the self-corresponding agent unit shown in FIG.
FIG. 5 is a flowchart illustrating an illegal leakage prevention method of a self-supporting electronic document according to an exemplary embodiment of the present invention.
FIG. 6 is an operation flowchart illustrating an example of the virtual disk file control module and the exclusive searcher generation step shown in FIG. 5 in detail.
7 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 상세하게 설명하고자 한다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail.
그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries should be interpreted as having a meaning consistent with the meaning in the context of the relevant art and are to be interpreted in an ideal or overly formal sense unless explicitly defined in the present application Do not.
이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. In order to facilitate the understanding of the present invention, the same reference numerals are used for the same constituent elements in the drawings and redundant explanations for the same constituent elements are omitted.
도 1은 본 발명의 일실시예에 따른 전자문서 저장 PC부를 나타낸 블록도이다. 1 is a block diagram showing an electronic document storing PC unit according to an embodiment of the present invention.
도 1을 참조하면, 반출 승인 요청자의 전자문서 저장 PC부(10)와 반출 승인 결재자의 전자문서 저장 PC부(50)는 각각 로컬디스크(20, 60), 가상디스크(30, 70), 및 반출 통제부(40, 80)를 포함할 수 있다. 1, the electronic document
이 때, 전자문서 저장 PC부(10, 50)는 반출 승인 요청자의 전자문서 저장PC부(10) 및 반출 승인 결재자의 전자문서 저장 PC부(50)에 상응할 수 있다.At this time, the electronic document storing
이 때, 반출 승인 요청자의 전자문서 저장 PC부(10)와 반출 승인 결재자의 전자문서 저장 PC부(50)의 내부 구성요소는 서로 동일할 수 있다.At this time, the internal components of the electronic document
또한, 상술한 전자문서 저장 PC부(10, 50)를 전자문서 저장 서버부에 상응할 수도 있다.Also, the above-described electronic document
로컬디스크(20, 60)는 해당 전자문서 저장 PC부(10, 50)의 HDD(Hard Disk Drive)/SSD(Solid State Drive)에서 제공하는 데이터 저장공간에 상응할 수 있다. 로컬디스크(20, 60)는 비 통제대상 파일이 저장되는 공간에 상응할 수 있다.The
가상디스크(30, 70)는 통제대상이 되는 전자문서를 저장하는 공간에 상응할 수 있다. 가상디스크(30, 70)의 영역은 블록단위로 암호화될 수 있다.The
반출 통제부(40, 80)는 전자문서의 외부 반출을 통제할 수 있다. 반출 통제부(40, 80)는 디바이스 드라이버 기반의 에이전트 프로그램에 상응할 수 있다. 반출 통제부(40, 80)는 전자문서 저장 PC부(10, 50)에 설치 될 때, 가상디스크(30, 70) 영역을 생성시켜 상기 가상디스크(30, 70) 영역에 통제하고자 하는 전자문서를 강제로 모두 저장하고 외부 반출을 통제할 수 있다. The
예를 들어, 반출 통제부(40)는 가상디스크(30)에 저장된 통제 전자문서(즉, 통제대상인 전자문서)를 외부에 반출하고자 할 경우, 반출 승인 요청자의 전자문서 저장 PC부(10)는 반출 승인 결재자의 전자문서 저장 PC부(50)에게 외부 반출 승인 요청을 위하여 통제 전자문서가 포함된 외부 반출 요청 기안을 전송할 수 있다. 이 때, 외부 반출 요청 기안은 외부 반출 대상자 컴퓨팅 장치의 정보(MAC/IP 주소/Hostname 정보 등)을 포함할 수 있다.For example, when the
이 때, 반출 승인 결재자의 전자문서 저장PC부(50)의 반출 통제부(80)는 통제 전자문서가 포함된 외부 반출 요청 기안을 결재 승인해 줌으로써 전자문서의 외부 반출을 허용할 수 있다.At this time, the
반출 통제부(40)는 전자문서의 외부반출 결재 요청이 이루어지는 동시에 외부에 전달하고자 하는 전자문서를 자가 대응 에이전트부(90)의 형태로 교환하여 반출 관리 서버부(100)에 전송할 수 있다. 반출 통제부(40)는 외부 반출이 승인된 경우, 반출 관리 서버부(100)로부터 승인된 전자문서가 포함된 자가 대응 에이전트부(90)의 형태로 다운로드 받아 외부 반출 대상자의 컴퓨팅 장치(120)에 전달 할 수 있다. 여기서, 에이전트는 특정 목적(본 발명의 실시예에서는 전자문서의 외부 반출 통제)에 대해 사용자를 대신하여 작업을 수행하는 자율적 프로세스에 상응할 수 있다.The
도 2는 도 1에 도시된 반출 통제부의 일 예를 세부적으로 나타낸 블록도이다.2 is a detailed block diagram illustrating an example of the take-out control unit shown in FIG.
도 2를 참조하면, 반출 통제부(40)는 가상디스크 생성 및 관리부(42), 반출 요청 에이전트부(44), 및 반출 승인 에이전트부(46)를 포함할 수 있다.2, the
가상디스크 생성 및 관리부(42)는 가상디스크(30)의 생성, 접근제어 및 실행 통제 등을 수행할 수 있다.The virtual disk creation and
반출 요청 에이전트부(44)는 반출용 전자문서와 자가대응 에이전트 결합 및 반출 승인 신청을 수행할 수 있다.The export requesting
반출 승인 에이전트부(46)는 외부 반출 요청 기안의 반출 승인 결재를 수행할 수 있다.The export
도 2에 도시된 반출 통제부(40)의 내부 구성은 반출 승인 요청자의 전자문서 저장 PC부(10) 및 반출 승인 결재자의 전자문서 저장 PC부(50)에 포함되는 반출 통제부의 내부 구성을 총괄하여 나타낸 것을 알 수 있다. 실제로는, 반출 승인 요청자의 전자문서 저장 PC부(10)의 반출 통제부(40)는 상술한 가상디스크 생성 및 관리부(42) 및 반출 요청 에이전트부(44)를 포함할 수 있다. 한편, 반출 승인 결재자의 전자문서 저장 PC부(50)의 반출 통제부(80)는 가상디스크 생성 및 관리부(42) 및 반출 승인 에이전트부(46)(도 3에서는 반출 승인 에이전트부(86)로 표시됨)를 포함할 수 있다.The internal configuration of the take-out
이 때, 가상디스크 생성 및 관리부(42)는 생성된 가상디스크(30) 영역에 접근할 수 있는 어플리케이션을 제한할 수 있으며, 전자문서를 가상디스크(30)에서만 실행할 수 있도록 실행 통제할 수 있으며, 가상디스크(30) 영역을 암호화할 수 있다.At this time, the virtual disk creation and
또한, 반출 통제부(40)는 전자문서의 외부 반출을 통제하기 위해, 해당 전자문서의 해쉬(hash) 값, 해당 전자문서의 제목, 해당 전자문서의 수신자 단말기의 MAC(Media Access Control), IP(Internet Protocol) 주소 및 호스트명(hostname) 정보, 기안자/결재자의 정보(예컨대, 안면 이미지, 홍채, 지문 등의 정보)를 이용할 수 있다.In order to control the external export of the electronic document, the
도 3은 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 장치를 나타낸 블록도이다.FIG. 3 is a block diagram showing a device for preventing self-corresponding electronic document illegal leakage according to an embodiment of the present invention.
도 3을 참조하면, 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 장치는 반출 승인 요청자의 전자문서 저장 PC부(10), 반출 승인 결재자 전자문서 저장 PC부(50), 반출 관리 서버부(100), 자가 대응 에이전트부(90), 외부 반출 대상자의 휴대 단말 장치(110) 및 외부 반출 대상자의 컴퓨팅 장치(120)을 포함한다.3, the apparatus for preventing illegal spontaneous electronic document illegal leakage according to the embodiment of the present invention includes an electronic document
전자문서 저장 PC부(10, 50)는 통제대상이 되는 전자문서를 강제로 저장하기 위한 가상디스크(30, 70)를 생성 및 관리할 수 있다.The electronic document
이 때, 전자문서 저장 PC부(10, 50)는 생성된 가상디스크(30, 70)에 접근할 수 있는 어플리케이션을 제한할 수 있으며, 가상디스크 영역을 블록단위로 암호화할 수 있다.At this time, the electronic document
이 때, 전자문서 저장 PC부(10, 50)는 생성된 가상디스크(30, 70) 영역에 전자문서를 저장할 수 있다.At this time, the electronic document storing
반출 요청 에이전트부(44)는 반출용 전자문서와 자가대응 에이전트 결합 및 반출 승인 신청을 수행할 수 있다.The export requesting
이 때, 반출 요청 에이전트부(44)는 전자문서의 합법적인 반출을 위해, 가상디스크(30)에 저장된 전자문서와 외부 반출 대상자의 휴대 단말 장치(110)의 정보 및 컴퓨팅 장치(120)의 시스템 정보를 기입하여 외부 반출 요청 기안을 생성할 수 있다.At this time, the export
또한, 반출 요청 에이전트부(44)는 생성된 외부 반출 요청 기안을 반출 관리 서버부(100)에 전송할 수 있다.In addition, the export
동시에, 반출 요청 에이전트부(44)는 가상디스크(30)에 저장된 전자문서를 자가대응 에이전트부(90) 형태로 전환 및 결합하여 반출 관리 서버부(100)에 전송할 수 있다.At the same time, the export
반출 관리 서버부(100)는 수신된 외부 반출 요청 기안을 반출 승인 결재자의 전자문서 저장 PC부(50)에 전송할 수 있다.The export
반출 승인 에이전트부(86)는 수신된 외부 반출 요청 기안의 반출 승인 결재를 수행할 수 있다.The export approval
이 때, 반출 승인 에이전트부(86)는 합법 반출 요청/승인/목록 관리를 위해 해당 전자문서의 해쉬(hash) 값, 해당 전자문서의 제목, 해당 전자문서의 수신자 단말기의 MAC(Media Access Control), IP(Internet Protocol) 주소 및 Hostname 정보, 수신자의 스마트폰 정보, 비공개 알고리즘 기반 이미지 인증코드에 주입된 고유값, 기안자/결재자의 안면 이미지 또는 홍채 또는 지문 등의 정보를 이용할 수 있다.At this time, the export
이 때, 반출 승인 에이전트부(86)는 반출 승인이 성공인 경우, 반출 승인 신호를 반출 관리 서버부(100)에 전송할 수 있고, 반출 승인이 실패인 경우, 반출 거절 신호를 반출 관리 서버부(100)에 전송할 수 있다.At this time, when the export approval is successful, the export
반출 관리 서버부(100)는 반출 승인 에이전트부(86)로부터 반출 승인 신호를 수신한 경우, 저장된 자가 대응 에이전트부(90)의 반출을 승인할 수 있다.When the export
또한, 반출 관리 서버부(100)는 반출 승인 에이전트부(86)로부터 반출 거절 신호를 수신한 경우, 저장된 자가 대응 에이전트부(90)를 파기할 수 있다.Also, when the export
이 때, 반출 관리 서버부(100)는 반출 요청 에이전트부(44)와 반출 승인 에이전트부(86)의 모든 이력을 저장 및 관리할 수 있다.At this time, the export
반출 요청 에이전트부(44)는 반출 관리 서버부(100)로부터 반출 승인된 자가 대응 에이전트부(90)를 다운로드 받을 수 있다.The export requesting
이 때, 반출 요청 에이전트부(44)는 반출 승인된 자가 대응 에이전트부(90)를 외부 반출 대상자의 컴퓨팅 장치(120)에 전달할 수 있다.At this time, the export
자가대응 에이전트부(90)는 자가 실행파일(EXE) 형태의 에이전트에 상응할 수 있다.The self-corresponding
이 때, 자가대응 에이전트부(90)는 가상디스크 파일 저장 및 관리부(92), 이미지 인증코드 기반 인증부(94), 시스템 정보 기반 인증부(96) 및 전용 탐색기 설치 및 관리부(98)를 포함할 수 있다.The self
가상디스크 파일 저장 및 관리부(92)는 외부에 반출하고자 하는 전자문서를 포함한 암호화된 가상디스크 파일에 대한 외부로부터의 접근을 제어할 수 있다.The virtual disk file storage and
이미지 인증코드 기반 인증부(94)는 반출 관리 서버부(100)를 통해, 비공개 알고리즘 기반 이미지 인증코드를 이용하여 사용자 인증을 수행할 수 있다.The image authentication code-based
이 때, 이미지 인증코드 기반 인증부(94)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 사용자 인증을 수행할 수도 있다.In this case, the image authentication code-based
이 때, 이미지 인증코드 기반 인증부(94)는 비공개 알고리즘 기반 이미지 인증코드를 자가 대응 에이전트부(90)가 설치된 외부 반출 대상자의 컴퓨팅 장치(120)를 통해 출력할 수 있다.At this time, the image authentication code-based
비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.The private algorithm-based authentication code may correspond to a dot-based two-dimensional image authentication code having a plurality of calibration points and having eigenvalues injected based on two or more kinds of points.
이 때, 비공개 알고리즘 기반 인증코드는 본 발명의 자가 대응 전자문서 불법 유출 방지 장치 및 방법에서만 이용되는 고유한 인증 코드에 상응할 수 있다.At this time, the private algorithm-based authentication code may correspond to a unique authentication code used only in the self-supporting electronic document illegal leakage preventing device and method of the present invention.
이 때, 외부 반출 대상자는 외부 반출 대상자의 휴대 단말 장치(110)를 이용하여, 컴퓨팅 장치(120)에 출력된 이미지 인증 코드에 주입된 고유값을 추출하여 휴대 단말 장치(110)의 정보와 함께 반출 관리 서버부(100)에 제공할 수 있다.At this time, the person to be taken out of the portable
휴대 단말 장치(110)의 정보는 디바이스 이름, 모델 번호, 휴대폰 번호 및 스마트폰 관련 정보 중 어느 하나 이상을 포함할 수 있다.The information of the portable
반출 관리 서버부(100)는 시스템 정보 기반 인증부(96)의 시스템 인증 요청에 따라, 제공 받은 고유값과 휴대 단말 장치(110)의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 외부 반출 대상자의 사용자 인증을 수행할 수 있다.According to the system authentication request of the system information based
또한, 반출 관리 서버부(100)는 사용자 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.In addition, when the user authentication is successful, the export
이 때, 반출 관리 서버부(100)는 사용자 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, when the user authentication fails, the export
시스템 정보 기반 인증부(96)는 반출 관리 서버부(100)를 통해, 시스템 정보를 이용하여 시스템 인증을 수행할 수 있다.The system information based
이 때, 시스템 정보 기반 인증부(96)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 시스템 인증을 수행할 수도 있다.In this case, the system information based
시스템 정보 기반 인증부(96)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보를 반출 관리 서버부(100)에 제공할 수 있다.The system information based
반출 관리 서버부(100)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.The export
또한, 반출 관리 서버부(100)는 시스템 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.In addition, when the system authentication is successful, the export
이 때, 반출 관리 서버부(100)는 시스템 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, when the system authentication fails, the export
이 때, 자가대응 에이전트부(90)는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.At this time, the self-supporting
전용탐색기 설치 및 관리부(98)는 외부에 배포된 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하고, 전용탐색기의 설치 및 관리를 수행할 수 있다.The dedicated searcher installation and
이 때, 자가대응 에이전트부(90)는 반출 관리 서버부(100)를 통해, 사용자 인증 및 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 가상디스크 파일 통제 모듈과 전용탐색기를 설치할 수 있다.In this case, when the user authentication and the system authentication are both successful, the self-corresponding
즉, 가상디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능할 수 있다.That is, the electronic document included in the virtual disk file can be accessed only through the exclusive searcher.
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)가 자가대응 에이전트부(90)를 실행하면 가상디스크 파일 통제 모듈과 전용탐색기가 생성될 수 있다.At this time, if the
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)에서 사용되는 운영체제에서 기본 제공되는 탐색기를 통해서는 가상디스크 파일에 포함된 전자문서에 접근할 수 없다.At this time, the electronic document contained in the virtual disk file can not be accessed through the searcher provided in the operating system used in the
이 때, 자가대응 에이전트부(90)는 반출 관리 서버부(100)를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다.At this time, the self-corresponding
도 4는 도 3에 도시된 자가대응 에이전트부의 일 예를 세부적으로 나타낸 블록도이다.4 is a detailed block diagram illustrating an example of the self-corresponding agent unit shown in FIG.
도 4를 참조하면, 자가대응 에이전트부(90)는 가상디스크 파일 저장 및 관리부(92), 이미지 인증코드 기반 인증부(94), 시스템 정보 기반 인증부(96) 및 전용 탐색기 설치 및 관리부(98)를 포함할 수 있다.4, the self-corresponding
가상디스크 파일 저장 및 관리부(92)는 외부에 반출하고자 하는 전자문서를 포함한 암호화된 가상디스크 파일에 대한 외부로부터의 접근을 제어할 수 있다.The virtual disk file storage and
이미지 인증코드 기반 인증부(94)는 반출 관리 서버부(100)를 통해, 비공개 알고리즘 기반 이미지 인증코드를 이용하여 사용자 인증을 수행할 수 있다.The image authentication code-based
이 때, 이미지 인증코드 기반 인증부(94)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 사용자 인증을 수행할 수도 있다.In this case, the image authentication code-based
이 때, 이미지 인증코드 기반 인증부(94)는 비공개 알고리즘 기반 이미지 인증코드를 자가 대응 에이전트부(90)가 설치된 외부 반출 대상자의 컴퓨팅 장치(120)를 통해 출력할 수 있다.At this time, the image authentication code-based
비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.The private algorithm-based authentication code may correspond to a dot-based two-dimensional image authentication code having a plurality of calibration points and having eigenvalues injected based on two or more kinds of points.
이 때, 비공개 알고리즘 기반 인증코드는 본 발명의 자가 대응 전자문서 불법 유출 방지 장치 및 방법에서만 이용되는 고유한 인증 코드에 상응할 수 있다.At this time, the private algorithm-based authentication code may correspond to a unique authentication code used only in the self-supporting electronic document illegal leakage preventing device and method of the present invention.
이 때, 외부 반출 대상자는 외부 반출 대상자의 휴대 단말 장치(110)를 이용하여, 컴퓨팅 장치(120)에 출력된 이미지 인증 코드에 주입된 고유값을 추출하여 휴대 단말 장치(110)의 정보와 함께 반출 관리 서버부(100)에 제공할 수 있다.At this time, the person to be taken out of the portable
휴대 단말 장치(110)의 정보는 디바이스 이름, 모델 번호, 휴대폰 번호 및 스마트폰 관련 정보 중 어느 하나 이상을 포함할 수 있다.The information of the portable
반출 관리 서버부(100)는 시스템 정보 기반 인증부(96)의 시스템 인증 요청에 따라, 제공 받은 고유값과 휴대 단말 장치(110)의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 외부 반출 대상자의 사용자 인증을 수행할 수 있다.According to the system authentication request of the system information based
또한, 반출 관리 서버부(100)는 사용자 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.In addition, when the user authentication is successful, the export
이 때, 반출 관리 서버부(100)는 사용자 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, when the user authentication fails, the export
시스템 정보 기반 인증부(96)는 반출 관리 서버부(100)를 통해, 시스템 정보를 이용하여 시스템 인증을 수행할 수 있다.The system information based
이 때, 시스템 정보 기반 인증부(96)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 시스템 인증을 수행할 수도 있다.In this case, the system information based
시스템 정보 기반 인증부(96)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보를 반출 관리 서버부(100)에 제공할 수 있다.The system information based
반출 관리 서버부(100)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.The export
또한, 반출 관리 서버부(100)는 시스템 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.In addition, when the system authentication is successful, the export
이 때, 반출 관리 서버부(100)는 시스템 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, when the system authentication fails, the export
이 때, 자가대응 에이전트부(90)는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.At this time, the self-supporting
전용탐색기 설치 및 관리부(98)는 외부에 배포된 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하고, 전용탐색기의 설치 및 관리를 수행할 수 있다.The dedicated searcher installation and
이 때, 자가대응 에이전트부(90)는 반출 관리 서버부(100)를 통해, 사용자 인증 및 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 가상디스크 파일 통제 모듈과 전용탐색기를 생성할 수 있다.In this case, when the user authentication and the system authentication are both successful, the self-corresponding
즉, 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능할 수 있다.That is, the electronic document included in the virtual disk file can be accessed only through the exclusive searcher.
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)가 자가대응 에이전트부(90)를 실행하면 가상디스크 파일 통제 모듈과 전용탐색기가 생성될 수 있다.At this time, if the
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)에서 사용되는 운영체제에서 기본 제공되는 탐색기를 통해서는 가상디스크 파일에 포함된 전자문서에 접근할 수 없다.At this time, the electronic document contained in the virtual disk file can not be accessed through the searcher provided in the operating system used in the
이 때, 가상디스크 파일 저장 및 관리부(92)는 반출 관리 서버부(100)를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다.At this time, when the virtual disk file storage and
도 5는 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법을 나타낸 동작흐름도이다.FIG. 5 is a flowchart illustrating an illegal leakage prevention method of a self-supporting electronic document according to an exemplary embodiment of the present invention.
도 5를 참조하면, 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법은 먼저 가상 디스크를 생성할 수 있다(S210).Referring to FIG. 5, a method for preventing illegal spill of a self-supporting electronic document according to an embodiment of the present invention may first create a virtual disk (S210).
즉, 단계(S210)는 전자문서 저장 PC부(10, 50)가 통제대상이 되는 전자문서를 강제로 저장하기 위한 가상디스크(30, 70)를 생성 및 관리할 수 있다.That is, the step S210 can create and manage the
이 때, 단계(S210)는 생성된 가상디스크(30, 70)에 접근할 수 있는 어플리케이션을 제한할 수 있으며, 가상디스크 영역을 블록단위로 암호화할 수 있다.In this case, step S210 may restrict an application that can access the created
이 때, 단계(S210)는 생성된 가상디스크(30, 70) 영역에 전자문서를 저장할 수 있다.At this time, step S210 may store the electronic document in the created
또한, 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법은 전자 문서의 외부 반출을 통제할 수 있다(S220).In addition, the method for preventing the illegal spill of the self-supporting electronic document according to the embodiment of the present invention can control the external export of the electronic document (S220).
즉, 단계(S220)는 전자 문서의 외부 반출 통제를 위하여, 반출용 전자문서와 자가대응 에이전트 결합 및 반출 승인 신청을 수행할 수 있다.That is, in step S220, for export control of the electronic document, the exporting electronic document and the self-corresponding agent can be combined and approved for export.
이 때, 단계(S220)는 전자문서의 합법적인 반출을 위해, 가상디스크(30)에 저장된 전자문서와 외부 반출 대상자의 휴대 단말 장치(110)의 정보 및 컴퓨팅 장치(120)의 시스템 정보를 기입하여 외부 반출 요청 기안을 생성할 수 있다.At this time, in step S220, the electronic document stored in the
이 때, 단계(S220)는 생성된 외부 반출 요청 기안을 반출 관리 서버부(100)에 전송할 수 있다.At this time, the step S220 may transmit the created external export request draft to the export
동시에, 단계(S220)는 가상디스크(30)에 저장된 전자문서를 자가대응 에이전트부(90) 형태로 전환 및 결합하여 반출 관리 서버부(100)에 전송할 수 있다.At the same time, the step S220 may convert and combine the electronic document stored in the
이 때, 단계(S220)는 반출 관리 서버부(100)가 수신된 외부 반출 요청 기안을 반출 승인 결재자의 전자문서 저장 PC부(50)에 전송할 수 있다.At this time, the step S220 may transmit the received external export request draft to the electronic document
또한, 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법은 전자 문서의 외부 반출을 승인할 수 있다(S230).In addition, the self-corresponding electronic document illegal leakage prevention method according to an embodiment of the present invention may approve the export of the electronic document (S230).
즉, 단계(S230)는 반출 승인 에이전트부(86)가 수신된 외부 반출 요청 기안의 반출 승인 결재를 수행할 수 있다.That is, in step S230, the export
이 때, 단계(S230)는 합법 반출 요청/승인/목록 관리를 위해 해당 전자문서의 해쉬(hash) 값, 해당 전자문서의 제목, 해당 전자문서의 수신자 단말기의 MAC(Media Access Control), IP(Internet Protocol) 주소 및 Hostname 정보, 수신자의 스마트폰 정보, 비공개 알고리즘 기반 이미지 인증코드에 주입된 고유값, 기안자/결재자의 안면 이미지 또는 홍채 또는 지문 등의 정보를 이용할 수 있다.At this time, in step S230, a hash value of the corresponding electronic document, a title of the corresponding electronic document, a media access control (MAC) of the recipient terminal of the corresponding electronic document, IP Internet protocol) address and hostname information, smartphone information of the recipient, eigenvalue injected into the secret algorithm-based image authentication code, facial image of the master / sponsor, or iris or fingerprint.
이 때, 단계(S230)는 반출 승인이 성공인 경우, 반출 승인 신호를 반출 관리 서버부(100)에 전송할 수 있고, 반출 승인이 실패인 경우, 반출 거절 신호를 반출 관리 서버부(100)에 전송할 수 있다.At this time, in step S230, if the export approval is successful, the export approval signal can be transmitted to the export
이 때, 단계(S230)는 반출 관리 서버부(100)가 반출 승인 에이전트부(86)로부터 반출 승인 신호를 수신한 경우, 저장된 자가 대응 에이전트부(90)의 반출을 승인할 수 있다.In this case, in step S230, when the export
또한, 단계(S230)는 반출 관리 서버부(100)가 반출 승인 에이전트부(86)로부터 반출 거절 신호를 수신한 경우, 저장된 자가 대응 에이전트부(90)를 파기할 수 있다.In step S230, when the export
이 때, 반출 관리 서버부(100)는 반출 요청 에이전트부(44)와 반출 승인 에이전트부(86)의 모든 이력을 저장 및 관리할 수 있다.At this time, the export
이 때, 단계(S230)는 반출 요청 에이전트부(44)가 반출 관리 서버부(100)로부터 반출 승인된 자가 대응 에이전트부(90)를 다운로드 받을 수 있다.At this time, in step S230, the export requesting
이 때, 단계(S230)는 반출 요청 에이전트부(44)가 반출 승인된 자가 대응 에이전트부(90)를 외부 반출 대상자의 컴퓨팅 장치(120)에 전달할 수 있다.At this time, the step S230 can deliver the self-
또한, 본 발명의 일실시예에 따른 자가 대응 전자문서 불법 유출 방지 방법은 가상디스크 파일 통제 모듈 및 전용탐색기를 생성할 수 있다(S240).In addition, the method for preventing illegal leakage of the self-supporting electronic document according to the embodiment of the present invention may generate the virtual disk file control module and the exclusive searcher at step S240.
이 때, 단계(S240)는 먼저 사용자 인증을 수행할 수 있다(S241).At this time, the step S240 may perform the user authentication first (S241).
즉, 단계(S241)는 반출 관리 서버부(100)를 통해, 비공개 알고리즘 기반 이미지 인증코드를 이용하여 사용자 인증을 수행할 수 있다.That is, the step S241 may perform the user authentication using the secret-algorithm-based image authentication code through the take-out
이 때, 단계(S241)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 사용자 인증을 수행할 수도 있다.At this time, if the continuous authentication request is made in step S241, the load on the system is also heavy and the transition to the subsequent step is delayed. Therefore, the user authentication may be performed only within the preset legitimate export authentication request period.
이 때, 단계(S241)는 비공개 알고리즘 기반 이미지 인증코드를 자가 대응 에이전트부(90)가 설치된 외부 반출 대상자의 컴퓨팅 장치(120)를 통해 출력할 수 있다.At this time, the step S241 may output the secret-algorithm-based image authentication code through the
이 때, 단계(S241)는 외부 반출 대상자가 휴대 단말 장치(110)를 이용하여, 컴퓨팅 장치(120)에 출력된 이미지 인증 코드에 주입된 고유값을 추출하여 휴대 단말 장치(110)의 정보와 함께 반출 관리 서버부(100)에 제공할 수 있다.At this time, in step S241, the person to be carried out by the portable
비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.The private algorithm-based authentication code may correspond to a dot-based two-dimensional image authentication code having a plurality of calibration points and having eigenvalues injected based on two or more kinds of points.
이 때, 비공개 알고리즘 기반 인증코드는 본 발명의 자가 대응 전자문서 불법 유출 방지 장치 및 방법에서만 이용되는 고유한 인증 코드에 상응할 수 있다.At this time, the private algorithm-based authentication code may correspond to a unique authentication code used only in the self-supporting electronic document illegal leakage preventing device and method of the present invention.
휴대 단말 장치(110)의 정보는 디바이스 이름, 모델 번호, 휴대폰 번호 및 스마트폰 관련 정보 중 어느 하나 이상을 포함할 수 있다.The information of the portable
이 때, 단계(S241)는 반출 관리 서버부(100)가 시스템 정보 기반 인증부(96)의 시스템 인증 요청에 따라, 제공 받은 고유값과 휴대 단말 장치(110)의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 외부 반출 대상자의 사용자 인증을 수행할 수 있다.At this time, in step S241, in accordance with the system authentication request of the system information based
또한, 단계(S240)는 반출 관리 서버부(100)가 사용자 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다(S242).In step S240, if the export
이 때, 단계(S242)는 반출 관리 서버부(100)가 사용자 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, in step S242, when the export
또한, 단계(S240)는 시스템 인증을 수행할 수 있다(S243).In addition, the system authentication can be performed in step S240 (S243).
즉, 단계(S243)는 반출 관리 서버부(100)를 통해, 시스템 정보를 이용하여 시스템 인증을 수행할 수 있다.That is, step S243 can perform system authentication using the system information through the take-out
이 때, 단계(S243)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 시스템 인증을 수행할 수도 있다.At this time, if a continuous authentication request is made in step S243, the load on the system is heavy and the transition to the subsequent step is delayed. Therefore, the system authentication may be performed only within the preset legitimate export authentication request period.
이 때, 단계(S243)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보를 반출 관리 서버부(100)에 제공할 수 있다.At this time, the step S243 may provide the export
이 때, 단계(S243)는 반출 관리 서버부(100)가 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.At this time, in step S243, the export
이 때, 단계(S241) 및 단계(S243)는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.In this case, steps S241 and S243 may prevent bypassing and disabling of the user authentication and the system authentication by using one or more security functions such as anti-reversion, obfuscation, and anti-debugging.
또한, 단계(S240)는 반출 관리 서버부(100)가 시스템 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다(S244).In step S240, if the
이 때, 단계(S244)는 반출 관리 서버부(100)가 시스템 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, in step S244, when the export
또한, 단계(S240)는 외부에 배포된 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하고, 전용탐색기의 설치 및 관리를 수행할 수 있다(S245).In addition, the step S240 may generate a dedicated searcher which is uniquely accessible to the externally distributed electronic document, and perform the installation and management of the exclusive searcher (S245).
즉, 단계(S245)는 반출 관리 서버부(100)를 통해, 사용자 인증 및 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 가상디스크 파일 통제 모듈과 전용탐색기를 생성할 수 있다.That is, when both the user authentication and the system authentication are successful, the export
이 때, 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능할 수 있다.At this time, the electronic document included in the virtual disk file may be accessible only through the exclusive searcher.
이 때, 단계(S245)는 외부 반출 대상자의 컴퓨팅 장치(120)가 자가대응 에이전트부(90)를 실행하면 가상디스크 파일 통제 모듈과 전용탐색기가 생성될 수 있다.At this time, in step S245, when the
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)에서 사용되는 운영체제에서 기본 제공되는 탐색기를 통해서는 가상디스크 파일에 포함된 전자문서에 접근할 수 없다.At this time, the electronic document contained in the virtual disk file can not be accessed through the searcher provided in the operating system used in the
또한, 단계(S240)는 반출 관리 서버부(100)를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다(S246).In the case where either the user authentication or the system authentication is unsuccessful, the export
도 6은 도 5에 도시된 가상디스크 파일 통제 모듈 및 전용탐색기 생성 단계의 일 예를 세부적으로 나타낸 동작흐름도이다.FIG. 6 is an operation flowchart illustrating an example of the virtual disk file control module and the exclusive searcher generation step shown in FIG. 5 in detail.
도 6을 참조하면, 단계(S240)는 먼저 사용자 인증을 수행할 수 있다(S241).Referring to FIG. 6, step S240 may first perform user authentication (S241).
즉, 단계(S241)는 반출 관리 서버부(100)를 통해, 비공개 알고리즘 기반 이미지 인증코드를 이용하여 사용자 인증을 수행할 수 있다.That is, the step S241 may perform the user authentication using the secret-algorithm-based image authentication code through the take-out
이 때, 단계(S241)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 사용자 인증을 수행할 수도 있다.At this time, if the continuous authentication request is made in step S241, the load on the system is also heavy and the transition to the subsequent step is delayed. Therefore, the user authentication may be performed only within the preset legitimate export authentication request period.
이 때, 단계(S241)는 비공개 알고리즘 기반 이미지 인증코드를 자가 대응 에이전트부(90)가 설치된 외부 반출 대상자의 컴퓨팅 장치(120)를 통해 출력할 수 있다.At this time, the step S241 may output the secret-algorithm-based image authentication code through the
이 때, 단계(S241)는 외부 반출 대상자가 휴대 단말 장치(110)를 이용하여, 컴퓨팅 장치(120)에 출력된 이미지 인증 코드에 주입된 고유값을 추출하여 휴대 단말 장치(110)의 정보와 함께 반출 관리 서버부(100)에 제공할 수 있다.At this time, in step S241, the person to be carried out by the portable
비공개 알고리즘 기반 인증코드는 복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응할 수 있다.The private algorithm-based authentication code may correspond to a dot-based two-dimensional image authentication code having a plurality of calibration points and having eigenvalues injected based on two or more kinds of points.
이 때, 비공개 알고리즘 기반 인증코드는 본 발명의 자가 대응 전자문서 불법 유출 방지 장치 및 방법에서만 이용되는 고유한 인증 코드에 상응할 수 있다.At this time, the private algorithm-based authentication code may correspond to a unique authentication code used only in the self-supporting electronic document illegal leakage preventing device and method of the present invention.
휴대 단말 장치(110)의 정보는 디바이스 이름, 모델 번호, 휴대폰 번호 및 스마트폰 관련 정보 중 어느 하나 이상을 포함할 수 있다.The information of the portable
이 때, 단계(S241)는 반출 관리 서버부(100)가 시스템 정보 기반 인증부(96)의 시스템 인증 요청에 따라, 제공 받은 고유값과 휴대 단말 장치(110)의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 외부 반출 대상자의 사용자 인증을 수행할 수 있다.At this time, in step S241, in accordance with the system authentication request of the system information based
또한, 단계(S240)는 반출 관리 서버부(100)가 사용자 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다(S242).In step S240, if the export
이 때, 단계(S242)는 반출 관리 서버부(100)가 사용자 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, in step S242, when the export
또한, 단계(S240)는 시스템 인증을 수행할 수 있다(S243).In addition, the system authentication can be performed in step S240 (S243).
즉, 단계(S243)는 반출 관리 서버부(100)를 통해, 시스템 정보를 이용하여 시스템 인증을 수행할 수 있다.That is, step S243 can perform system authentication using the system information through the take-out
이 때, 단계(S243)는 지속적인 인증 요청이 있게 되면 시스템적으로도 부하가 많이 걸리고 후속 단계로의 전환이 늦어지므로, 기설정된 합법 반출 인증 요청 기간 내에서만 시스템 인증을 수행할 수도 있다.At this time, if a continuous authentication request is made in step S243, the load on the system is heavy and the transition to the subsequent step is delayed. Therefore, the system authentication may be performed only within the preset legitimate export authentication request period.
이 때, 단계(S243)는 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보를 반출 관리 서버부(100)에 제공할 수 있다.At this time, the step S243 may provide the export
이 때, 단계(S243)는 반출 관리 서버부(100)가 외부 반출 대상자의 컴퓨팅 장치(120)에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행할 수 있다.At this time, in step S243, the export
이 때, 단계(S241) 및 단계(S243)는 안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지할 수 있다.In this case, steps S241 and S243 may prevent bypassing and disabling of the user authentication and the system authentication by using one or more security functions such as anti-reversion, obfuscation, and anti-debugging.
또한, 단계(S240)는 반출 관리 서버부(100)가 시스템 인증이 성공한 경우, 적법한 대상(합법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다(S244).In step S240, if the
이 때, 단계(S244)는 반출 관리 서버부(100)가 시스템 인증이 실패한 경우, 부적법한 대상(불법 반출)임을 알리는 신호를 자가 대응 에이전트부(90)에게 전송할 수 있다.At this time, in step S244, when the export
또한, 단계(S240)는 외부에 배포된 전자문서에 유일하게 접근 가능한 전용탐색기를 생성하고, 전용탐색기의 설치 및 관리를 수행할 수 있다(S245).In addition, the step S240 may generate a dedicated searcher which is uniquely accessible to the externally distributed electronic document, and perform the installation and management of the exclusive searcher (S245).
즉, 단계(S245)는 반출 관리 서버부(100)를 통해, 사용자 인증 및 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 가상디스크 파일 통제 모듈과 전용탐색기를 설치할 수 있다.That is, when both the user authentication and the system authentication are successful through the export
이 때, 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능할 수 있다.At this time, the electronic document included in the virtual disk file may be accessible only through the exclusive searcher.
이 때, 단계(S245)는 외부 반출 대상자의 컴퓨팅 장치(120)가 자가대응 에이전트부(90)를 실행하면 가상디스크 파일 통제 모듈과 전용탐색기가 생성될 수 있다.At this time, in step S245, when the
이 때, 외부 반출 대상자의 컴퓨팅 장치(120)에서 사용되는 운영체제에서 기본 제공되는 탐색기를 통해서는 가상디스크 파일에 포함된 전자문서에 접근할 수 없다.At this time, the electronic document contained in the virtual disk file can not be accessed through the searcher provided in the operating system used in the
또한, 단계(S240)는 반출 관리 서버부(100)를 통해, 상기 사용자 인증 및 상기 시스템 인증 중 어느 하나라도 실패한 경우, 불법 반출을 알리는 신호를 수신하여 상기 전자문서와 함께 자가 대응 에이전트부의 자기소멸을 수행할 수 있다(S246).In the case where either the user authentication or the system authentication is unsuccessful, the export
도 7은 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.7 is a block diagram illustrating a computer system in accordance with an embodiment of the present invention.
도 7을 참조하면, 본 발명의 실시예는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수 있다. 도 7에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 입력 장치(1140), 사용자 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.Referring to FIG. 7, embodiments of the present invention may be implemented in a
이상에서와 같이 본 발명에 따른 자가 대응 전자문서 불법 유출 방지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the apparatus and method for preventing illegal spill of the electronic document according to the present invention are not limited to the configurations and methods of the embodiments described above, but the embodiments can be variously modified All or some of the embodiments may be selectively combined.
그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.Therefore, those skilled in the art will appreciate that various modifications and equivalent embodiments are possible without departing from the scope of the present invention. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.
10: 반출 승인 요청자 전자문서 저장 PC부
50: 반출 승인 결재자 전자문서 저장 PC부
20, 60: 로컬디스크 30, 70: 가상디스크
40, 80: 반출 통제부 42: 가상디스크 생성 및 관리부
44: 반출 요청 에이전트부 46, 86: 반출 승인 에이전트부
90: 자가대응 에이전트부 92: 가상디스크 파일 저장 및 관리부
94: 이미지 인증코드 기반 인증부 96: 시스템 정보 기반 인증부
98: 전용탐색기 설치 및 관리부 100: 반출 관리 서버부
110: 외부 반출 대상자 휴대 단말 장치
120: 외부 반출 대상자 컴퓨팅 장치
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 입력 장치 1150: 사용자 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크10: The electronic document storage PC unit
50: Electronic document storage PC unit
20, 60:
40, 80: export control section 42: virtual disk creation and management section
44: export
90: Self-correspondence agent unit 92: Virtual disk file storage and management unit
94: image authentication code based authentication unit 96: system information based authentication unit
98: dedicated searcher installation and management unit 100: export management server unit
110: External carrying-out person Portable terminal device
120: The person to be taken out of the external computing device
1100: Computer system 1110: Processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: User input device 1150: User output device
1160: Storage 1170: Network Interface
1180: Network
Claims (20)
상기 전자문서의 외부 반출이 허용된 반출인지를 인증하는 반출 관리 서버부; 및
상기 외부 반출이 허용된 반출로 인증된 경우에만, 상기 외부 반출을 수행하기 위하여, 상기 전자문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 자가 대응 에이전트부;
를 포함하고,
상기 자가대응 에이전트부는
상기 전자문서를 포함하는 암호화된 가상디스크 파일을 생성하는 가상디스크 파일 저장 및 관리부;
상기 반출 관리 서버부를 통해, 비공개 알고리즘 기반 이미지 인증 코드를 이용한 사용자 인증을 수행하는 이미지 인증코드 기반 인증부;
상기 반출 관리 서버부를 통해, 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 이용한 시스템 인증을 수행하는 시스템 정보 기반 인증부; 및
상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 전용탐색기 설치 및 관리부;
를 포함하고,
상기 이미지 인증코드 기반 인증부는
상기 비공개 알고리즘 기반 이미지 인증코드를 상기 자가 대응 에이전트부가 설치된 상기 외부 반출 대상자의 컴퓨팅 장치를 통해 출력하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.An export control unit for creating a virtual disk for storing an electronic document to be controlled and controlling external export of the electronic document;
An export management server unit for authenticating whether the electronic document is permitted to be carried out or not; And
The encrypted virtual disk file control module including the electronic document and the self-generated file creating unit that can only access the electronic document in a self-compatible manner, in order to perform the external export only when the external export is authorized as the export permitted. An agent section;
Lt; / RTI >
The self-
A virtual disk file storage and management unit for generating an encrypted virtual disk file including the electronic document;
An image authentication code based authentication unit for performing user authentication using the secret-algorithm-based image authentication code through the take-out management server unit;
A system information based authentication unit for performing system authentication using system information corresponding to a computing device of a subject to be carried out through the takeout management server unit; And
A dedicated searcher installation and management unit for generating a dedicated searcher that is uniquely accessible to the electronic document;
Lt; / RTI >
The image authentication code based authentication unit
And outputs the secret-algorithm-based image authentication code through the computing device of the external carry-out object provided with the self-corresponding agent unit.
상기 외부 반출 대상자의 휴대 단말 장치는
상기 컴퓨팅 장치에 출력된 상기 이미지 인증 코드에 주입된 고유값을 추출하여 상기 휴대 단말 장치의 정보와 함께 상기 반출 관리 서버부에 제공하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method according to claim 1,
The portable terminal apparatus of the external carry-out person
Wherein the extracting unit extracts eigenvalues injected into the image authentication code output to the computing device, and provides the eigenvalue to the export management server unit together with the information of the portable terminal device.
상기 비공개 알고리즘 기반 인증코드는
복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 상기 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응하는 것을 특징으로 하는 자가 대응 전자문서 불법유출 방지 장치.The method of claim 4,
The private algorithm-based authentication code
Dimensional image authentication code including a plurality of calibration points and based on two or more kinds of points, the eigenvalues being injected. Prevention device.
상기 반출 관리 서버부는
제공 받은 상기 고유값과 상기 휴대 단말 장치의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 상기 외부 반출 대상자의 사용자 인증을 수행하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method of claim 5,
The export management server unit
And performs authentication of the user of the external carry-out object by comparing the received eigenvalue and the information of the portable terminal device with information of a legally legitimate carry-out person.
상기 시스템 정보 기반 인증부는
상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 상기 반출 관리 서버부에 제공하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method of claim 6,
The system information based authentication unit
And provides system information corresponding to the computing device of the external carry-out object to the carry-out management server unit.
상기 반출 관리 서버부는
상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method of claim 7,
The export management server unit
Wherein the system authentication is performed by comparing the system information corresponding to the computing device of the external carry-out object with the system information corresponding to the computing device of the previously stored legitimate carry-out object.
상기 자가대응 에이전트부는
상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 상기 전자문서를 포함한 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하고
상기 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능한 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method of claim 8,
The self-
When the user authentication and the system authentication are both successful, the export management server unit receives a signal indicating legal export, and creates a virtual disk file control module including the electronic document and the exclusive searcher
Wherein the electronic document included in the virtual disk file is accessible only through the exclusive searcher.
상기 자가대응 에이전트부는
안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 장치.The method of claim 9,
The self-
Wherein the user authentication and the system authentication are bypassed and disabled by using one or more security functions such as anti-reversion, anti-reversion, obfuscation and anti-debugging.
반출 승인 요청자의 PC부 및 반출 승인 결재자의 PC부의 반출 통제부가, 통제대상이 되는 전자문서를 저장하기 위한 가상디스크를 각각 생성하고 관리하는 단계;
상기 반출 승인 요청자의 PC부 및 반출 승인 결재자의 PC부의 반출 통제부가, 반출 관리 서버부를 통해 상기 전자문서의 외부 반출을 통제하는 단계;
상기 반출 관리 서버부가, 상기 전자문서의 외부 반출이 허용된 반출인지를 인증하는 단계; 및
전자 문서를 포함하는 암호화된 가상디스크 파일 통제 모듈과 상기 전자 문서에 유일하게 접근 가능한 전용탐색기를 생성하는 단계;
를 포함하고,
상기 전용 탐색기를 생성하는 단계는
상기 반출 관리 서버부를 통해, 비공개 알고리즘 기반 이미지 인증 코드를 이용한 사용자 인증을 수행하는 단계;
상기 반출 관리 서버부를 통해, 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 이용한 시스템 인증을 수행하는 단계; 및
상기 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하는 단계;
를 포함하고,
상기 사용자 인증을 수행하는 단계는
상기 비공개 알고리즘 기반 이미지 인증코드를 상기 자가 대응 에이전트부가 설치된 상기 외부 반출 대상자의 컴퓨팅 장치를 통해 출력하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.A method of using a self-supporting electronic document illegal leakage prevention device,
Creating and managing a virtual disk for storing an electronic document to be controlled, respectively, by an export control unit of a PC unit of a take-out approval requestor and a PC unit of an export approval acceptor;
Controlling the export of the electronic document through the export control server unit of the PC unit of the export approval requestor and the PC unit of the export approval approval server;
The export management server unit authenticating whether the electronic document is exported allowed to be exported; And
Creating an encrypted virtual disk file control module including an electronic document and a dedicated searcher that is uniquely accessible to the electronic document;
Lt; / RTI >
The step of generating the dedicated searcher
Performing user authentication using the secret-algorithm-based image authentication code through the take-out management server unit;
Performing system authentication using system information corresponding to a computing device of a subject to be carried out through the takeout management server unit; And
Creating the virtual disk file control module and the dedicated searcher;
Lt; / RTI >
Wherein performing the user authentication comprises:
And outputting the private algorithm-based image authentication code through the computing device of the external carry-out object provided with the self-corresponding agent unit.
상기 사용자 인증을 수행하는 단계는
상기 외부 반출 대상자의 휴대 단말 장치가 상기 컴퓨팅 장치에 출력된 상기 이미지 인증 코드에 주입된 고유값을 추출하여 상기 휴대 단말 장치의 정보와 함께 상기 반출 관리 서버부에 제공하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.The method of claim 11,
Wherein performing the user authentication comprises:
Wherein the portable terminal device of the external carry-out person extracts the eigenvalue injected into the image authentication code outputted to the computing device and provides the eigenvalue to the carry-out management server part together with the information of the portable terminal device How to prevent illegal document leakage.
상기 비공개 알고리즘 기반 인증코드는
복수개의 캘리브레이션 포인트(calibration point)들을 포함하고, 2가지 종류 이상의 점을 기반으로 상기 고유값이 주입되어 있는 닷(dot) 기반 2차원 이미지 인증 코드에 상응하는 것을 특징으로 하는 자가 대응 전자문서 불법유출 방지 방법.15. The method of claim 14,
The private algorithm-based authentication code
Dimensional image authentication code including a plurality of calibration points and based on two or more kinds of points, the eigenvalues being injected. How to prevent.
상기 사용자 인증을 수행하는 단계는
상기 반출 관리 서버부가, 제공 받은 상기 고유값과 상기 휴대 단말 장치의 정보를 기저장된 적법한 반출 대상자의 정보와 비교하여 상기 외부 반출 대상자의 사용자 인증을 수행하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.16. The method of claim 15,
Wherein performing the user authentication comprises:
And the export management server unit performs user authentication of the externally-to-be-exported person by comparing the eigenvalue and the information of the portable terminal device with information of a legally legitimate exclusion object, Way.
상기 시스템 인증을 수행하는 단계는
상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 상기 반출 관리 서버부에 제공하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.18. The method of claim 16,
The step of performing the system authentication
And provides system information corresponding to the computing device of the external carry-out object to the carry-out management server unit.
상기 시스템 인증을 수행하는 단계는
상기 반출 관리 서버부가, 제공 받은 상기 외부 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보와 상기 기저장된 적법한 반출 대상자의 컴퓨팅 장치에 상응하는 시스템 정보를 비교하여 시스템 인증을 수행하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.18. The method of claim 17,
The step of performing the system authentication
Wherein the export management server unit performs system authentication by comparing system information corresponding to the provided computing device of the external carry-out object with system information corresponding to the previously stored legitimate exclusion object's computing device, How to prevent illegal document leakage.
상기 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하는 단계는
상기 반출 관리 서버부를 통해, 상기 사용자 인증 및 상기 시스템 인증이 모두 성공한 경우, 합법 반출을 알리는 신호를 수신하여 상기 전자문서를 포함한 가상디스크 파일 통제 모듈과 상기 전용탐색기를 생성하고
상기 가상 디스크 파일에 포함된 상기 전자문서는 상기 전용탐색기를 통해서만 접근이 가능한 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.19. The method of claim 18,
Wherein the step of creating the virtual disk file control module and the dedicated explorer
When the user authentication and the system authentication are both successful, the export management server unit receives a signal indicating legal export, and creates a virtual disk file control module including the electronic document and the exclusive searcher
Wherein the electronic document included in the virtual disk file is accessible only through the exclusive searcher.
상기 사용자 인증을 수행하는 단계 및 상기 시스템 인증을 수행하는 단계는
안티 리버싱, 난독화 및 안티디버깅 중 어느 하나 이상의 보안 기능을 이용하여 상기 사용자 인증 및 상기 시스템 인증에 대한 우회 및 무력화를 방지하는 것을 특징으로 하는 자가 대응 전자문서 불법 유출 방지 방법.The method of claim 19,
Wherein performing the user authentication and performing the system authentication comprises:
Wherein the user authentication and the system authentication are prevented from being bypassed and disabled using at least one of security, anti-reversion, obfuscation, and anti-debugging.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160076507A KR101781970B1 (en) | 2016-06-20 | 2016-06-20 | Apparatus for defending illegal outflow of electronic documents by itself and method using the same |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020160076507A KR101781970B1 (en) | 2016-06-20 | 2016-06-20 | Apparatus for defending illegal outflow of electronic documents by itself and method using the same |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101781970B1 true KR101781970B1 (en) | 2017-09-26 |
Family
ID=60036632
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160076507A KR101781970B1 (en) | 2016-06-20 | 2016-06-20 | Apparatus for defending illegal outflow of electronic documents by itself and method using the same |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101781970B1 (en) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101158336B1 (en) * | 2011-05-11 | 2012-06-22 | 주식회사 신시웨이 | Virtual space system and method for managing access of personal information database |
-
2016
- 2016-06-20 KR KR1020160076507A patent/KR101781970B1/en active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101158336B1 (en) * | 2011-05-11 | 2012-06-22 | 주식회사 신시웨이 | Virtual space system and method for managing access of personal information database |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112074836B (en) | Apparatus and method for protecting data through trusted execution environment | |
| CN109923548B (en) | Method, system and computer program product for implementing data protection by supervising process access to encrypted data | |
| EP2684152B1 (en) | Method and system for dynamic platform security in a device operating system | |
| CN112513857A (en) | Personalized cryptographic security access control in a trusted execution environment | |
| JP4912879B2 (en) | Security protection method for access to protected resources of processor | |
| KR20190063264A (en) | Method and Apparatus for Device Security Verification Utilizing a Virtual Trusted Computing Base | |
| US20150012748A1 (en) | Method And System For Protecting Data | |
| US20080072066A1 (en) | Method and apparatus for authenticating applications to secure services | |
| CN109412812B (en) | Data security processing system, method, device and storage medium | |
| RU2631136C2 (en) | Method of protected access and device for protected access of applied program | |
| WO2014209416A1 (en) | Process authentication and resource permissions | |
| JP2005535945A (en) | How to protect the integrity of a computer program | |
| CN106980793B (en) | TrustZone-based universal password storage and reading method, device and terminal equipment | |
| KR20080059675A (en) | Trusted mobile platform architecture | |
| JP4636607B2 (en) | How to protect sensitive files in security application | |
| CN113168480A (en) | Trusted execution based on environmental factors | |
| JP2010539584A (en) | Data security device | |
| KR101441581B1 (en) | Multi-layer security apparatus and multi-layer security method for cloud computing environment | |
| KR20130008939A (en) | Apparatus and method for preventing a copy of terminal's unique information in a mobile terminal | |
| US20170201528A1 (en) | Method for providing trusted service based on secure area and apparatus using the same | |
| CN114942729A (en) | Data safety storage and reading method for computer system | |
| US20230409700A1 (en) | Systems and methods for managing state | |
| US20080229106A1 (en) | Information processing apparatus and data transmission method of information processing apparatus | |
| KR102542213B1 (en) | Real-time encryption/decryption security system and method for data in network based storage | |
| KR101599740B1 (en) | Method and apparatus for preventing illegal outflow of electronic documents |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |