KR101883724B1 - Usb 보안 데이터 분산 저장 장치 - Google Patents

Usb 보안 데이터 분산 저장 장치 Download PDF

Info

Publication number
KR101883724B1
KR101883724B1 KR1020180032080A KR20180032080A KR101883724B1 KR 101883724 B1 KR101883724 B1 KR 101883724B1 KR 1020180032080 A KR1020180032080 A KR 1020180032080A KR 20180032080 A KR20180032080 A KR 20180032080A KR 101883724 B1 KR101883724 B1 KR 101883724B1
Authority
KR
South Korea
Prior art keywords
usb
data
switch
line
security
Prior art date
Application number
KR1020180032080A
Other languages
English (en)
Inventor
최재식
최현식
Original Assignee
(주)샌코
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)샌코 filed Critical (주)샌코
Priority to KR1020180032080A priority Critical patent/KR101883724B1/ko
Application granted granted Critical
Publication of KR101883724B1 publication Critical patent/KR101883724B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/81Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer by operating on the power supply, e.g. enabling or disabling power-on, sleep or resume operations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2212/00Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
    • G06F2212/21Employing a record carrier using a specific recording technology
    • G06F2212/214Solid state disk
    • G06F2212/2146Solid state disk being detachable, e.g.. USB memory

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 데이터 저장 장치에 관한 것으로, USB(Universal Serial Bus) 타입으로 형성되며 보안 데이터를 분산 저장할 수 있는 장치에 관한 것이다.
본 발명의 바람직한 일 실시예에 따른 USB 보안 데이터 분산 저장 장치는 사용자 데이터가 저장되는 보안 SSD 영역; 및 보안 정책, 로그 정보 및 개인 사용자 패스워드가 저장되는 보안 USB 영역; 상기 보안 SSD 영역에 제공할 데이터와 상기 보안 USB 영역에 제공할 데이터를 구분하고, 상기 구분된 데이터를 상기 보안 SSD 영역 및 보안 USB 영역 중 어느 하나에 제공하는 USB 허브를 포함하고, 상기 보안 SSD 영역 및 보안 USB 영역은 상호 물리적으로 분리되며 각각 별도의 메모리를 가지는 것을 특징으로 한다.
본 발명은 USB 타입의 보안 저장 장치에서 기존 보안 SSD에 보안 USB를 추가로 구성하여 보안 SSD에 집중된 데이터 및 보안 정보를 보안 SSD와 보안 USB에 나누어 저장하도록 하는 것에 의해, 과도한 데이터를 집중 저장함에 따라 보안 SSD의 배드 섹터가 증가하는 것을 방지할 수 있다.

Description

USB 보안 데이터 분산 저장 장치{USB-TYPED SEPARATE STORAGE OF SECURITY DATA}
본 발명은 데이터 저장 장치에 관한 것으로, USB(Universal Serial Bus) 타입으로 형성되며 보안 데이터를 분산 저장할 수 있는 장치에 관한 것이다.
최근, 보안 저장 장치로 플래시 메모리를 이용한 외장형 대용량 보안저장장치(보안 SSD(Solid State Drive))가 사용된다. 이때, 메모리를 여러 개의 파티션으로 나누어 과도한 데이터를 집중 저장함에 따라 플래시 메모리의 배드 섹터가 증가하게 되고 이로 인해, 저장장치의 사용 중 컴퓨터가 메모리의 데이터에 접근할 수 없는 경우가 종종 발생한다. 사용자의 많은 양의 정보가 저장된 대용량 보안저장장치에서 저장된 데이터를 읽을 수 없으면 사용자 뿐 아니라 기업(공공기관)에 큰 손실이 발생할 수 있다.
도 1 내지 도 3을 참조하면, 한국등록특허 제10-1811491호는 PC 또는 모바일 기기의 USB 슬롯(1)과 접속 결합되며 직접 결합이 불가능하도록 한 규격의 접속부(12)를 갖는 USB 메모리(10)와, 상기 PC 또는 모바일 기기의 USB 슬롯(1)에 접속 가능하게 끼워지며 내측에 상기 USB 메모리(10)의 접속부(12)가 끼워져 접속될 수 있도록 한 슬롯(20a)이 형성된 어뎁터(20)를 포함하며, 상기 어뎁터(20)는 PC 또는 모바일 기기의 USB 슬롯(1)에 결합된 후 견고한 장착상태를 유지하여 PC 또는 모바일 기기의 USB 슬롯(1)에서 분리되는 것을 방지하기 위해 외주면에 보안결합부(21)가 형성되되, 상기 보안결합부(21)는 USB 슬롯(1)의 입구 내측에 형성된 결합홈(2)에 대응되어 장착되기 위한 장착돌기(22,23)로 이루어지고, 상기 장착돌기(22,23)는 단면상 사각 형태로 된 어뎁터(20)의 외주면에 적어도 3면 이상의 면에 형성되어 어뎁터(20)가 PC 또는 모바일 기기의 USB 슬롯(1)에서 분리되지 못하도록 구성된 것을 특징으로 하는 물리적 보안기능을 갖는 유에스비 메모리 장치를 개시한다. 한국등록특허 제10-1811491호는 USB 타입의 저장 장치에서 물리적인 구조를 통해 보안 기능을 제공한다.
도 4 및 도 5를 참조하면, 한국등록특허 제10-1583514호는 스마트 카드와 메모리 카드의 ID를 입력받아 디바이스 컨트롤러로 전송하고 스마트 카드의 비밀 번호를 입력받아 디바이스 컨트롤러로 전송하며 데이터를 입력하거나 출력받아 디스플레이하는 외부 장치인 PC(400)와; ID, 비밀번호 및 지문 정보를 저장하고 수신한 데이터를 암호화하여 출력하거나 또는 수신한 암호화된 데이터를 복호화하여 출력하는 것으로 ID와 비밀번호 및 지문 정보를 내장하고 있는 사용자인증부(341)와 암호화 알고리즘을 실행하는 어플리케이션부(342)와 암복호화 키를 생성하는 키생성부(344) 및 암복호화 키를 이용하여 수신한 데이터를 암복호화하는 암복호화부(343)를 포함하여 구성되는 SIM 타입의 스마트 카드(340)와; 상기 SIM 타입의 스마트 카드를 탈부착하기 위한 스마트 카드 슬롯(320)과; ID를 저장하고 상기 스마트 카드에서 암호화된 데이터를 수신하여 저장하고 있다가 출력하도록 구성되는 메모리카드(330)와; 지문 정보를 생성하여 디지털 신호로 변환하여 디바이스 컨트롤러로 전송하는 지문 센서(500)와; 상기 메모리 카드를 탈부착하기 위한 메모리 카드 슬롯(319)과; 및 외부 장치인 PC에서 입력받은 스마트 카드 ID와 메모리 카드의 ID를 인증하고 외부장치에서 입력받은 스마트카드의 비밀번호를 검증하며 상기 지문 센서로부터 수신되는 지문 정보를 인증한 후 외부 장치에서 입력되는 데이터를 수신하고 상기 스마트 카드로 전송하여 키 생성부에서 생성된 키로 암호화부에서 암호화하도록 하고 상기 스마트 카드로부터 수신된 암호화된 데이터를 메모리 카드로 전송하여 저장하도록 하고, 상기 메모리 카드에 저장한 암호화된 데이터를 수신하여 상기 스마트 카드로 전송하여 키 생성부에서 생성된 키로 데이터를 복호화 하도록 하고 상기 복호화된 데이터는 상기 외부장치로 전송하도록 제어하는 디바이스 컨트롤러로 구성된 것으로 스마트 카드에 저장된 ID와 메모리 카드에 저장된 ID가 외부 장치에서 입력되는 ID와 일치하고, 상기 스마트카드에 비밀번호를 저장하고 있다가 상기 외부장치에서 입력되는 비밀번호와 일치하고, 지문 센서에서 수신되는 지문 정보와 스마트 카드에 저장된 지문 정보가 일치하면 상기 메모리 카드를 활성화하여 외부 장치로부터 수신되는 데이터를 저장하거나 메모리 카드의 저장 데이터를 외부 장치로 출력할 수 있도록 하는 것으로 데이터 보안이 Application 기반으로 이루어지고 상기 Application은 USB 포트에서 디바이스장치를 통하여 업데이트 되는 방법과 스마트카드 자체의 무선기능을 이용한 무선으로 업데이터 할 수 있는 것을 특징으로 하는 지문센서와 스마트 카드 및 메모리 카드를 구비한 유에스비 보안 장치를 개시한다. 한국등록특허 제10-1583514호는 USB 장치의 외장형 스마트 카드 내에 암호화 모듈을 직접 탑재하고 데이터를 암호화하여 저장하고, 복호화하여 출력하도록 함으로써 해킹으로부터 완벽하게 보호할 수 있는 효과가 있고, 소지자의 지문 정보를 인증하고 비밀번호를 확인하는 방법을 활용함으로써, USB 보안장치를 타인이 사용 불가능하며, 또한 찰탈식 메모리 카드를 사용함으로써 USB 보안장치의 분실 시에도 데이터를 도난 당할 염려가 없는 효과가 있다.
다만, 선행기술 모두 보안 저장 장치에서 과도한 데이터를 집중 저장함에 따른 메모리 손상을 해결하지는 못하며 단편적으로 보안 성능을 USB 구조 또는 USB에 탑재된 보안 알고리즘을 통해 해결할 뿐이다.
한국등록특허 제10-1811491호(공고일: 2017.12.15) 한국등록특허 제10-1583514호(공고일: 2016.01.04)
본 발명은 USB 타입의 보안 저장 장치에서 과도한 데이터를 집중 저장함에 따라 플래시 메모리의 배드 섹터가 증가하는 것을 방지할 수 있는 USB 보안 데이터 분산 저장 장치를 제공하는 것을 목적으로 한다.
그리고, 본 발명은 USB 타입의 보안 저장 장치의 데이터에 접근 불가능한 상태가 발생하였을 때, 그 데이터의 중요도를 평가하게 할 수 있는 USB 보안 데이터 분산 저장 장치를 제공하는 것을 목적으로 한다.
본 발명의 바람직한 일 실시예에 따른 USB 보안 데이터 분산 저장 장치는 사용자 데이터가 저장되는 보안 SSD 영역; 및 보안 정책, 로그 정보 및 개인 사용자 패스워드가 저장되는 보안 USB 영역; 상기 보안 SSD 영역에 제공할 데이터와 상기 보안 USB 영역에 제공할 데이터를 구분하고, 상기 구분된 데이터를 상기 보안 SSD 영역 및 보안 USB 영역 중 어느 하나에 제공하는 USB 허브를 포함하고, 상기 보안 SSD 영역 및 보안 USB 영역은 상호 물리적으로 분리되며 각각 별도의 메모리를 가지는 것을 특징으로 한다.
여기서, 상기 보안 USB 영역은 플래시 메모리 타입의 메모리를 가질 수 있다.
그리고, 상기 USB 허브는 로그인 처리부를 포함하고, 로그인 과정에서, 상기 로그인 처리부는 PC 상의 에이전트에 로그인 정보를 요청 및 수신하고, 상기 로그인 정보는 아이디, 패스워드 및 보안 정책 버전을 포함하고, 상기 로그인 정보를 수신하는 것에 대응하여, 상기 로그인 처리부는 상기 USB 허브를 상기 PC로부터 물리적으로 분리시킬 수 있다.
또한, 상기 USB 허브는 USB 인터페이스 상의 전원핀과 전원 라인을 통해 연결되고 상기 USB 인터페이스 상의 데이터핀과 데이터 라인을 통해 연결되며, 상기 데이터 라인 상에는 스위치가 구비되고, 상기 로그인 처리부는 상기 로그인 정보를 수신하는 것에 대응하여 상기 데이터 라인 상의 스위치를 오프시킬 수 있다.
또한, 상기 로그인 처리부는 로그인 과정에서, 상기 수신한 아이디 및 패스워드가 기 저장된 개인 사용자 아이디 및 패스워드와 일치하면, 상기 보안 USB 영역에 전원이 공급되도록 하고, 상기 보안 USB 영역에 전원이 공급된 상태에서, 상기 보안 USB 상의 USB 콘트롤러는 상기 보안 정책 버전이 기 저장된 보안 정책의 버전과 일치하고 상기 기 저장된 보안 정책이 USB 접근을 허용하는지 여부를 판단하고, 상기 USB 콘트롤러가 상기 보안 정책이 기 저장된 보안 정책의 버전과 일치하고 상기 기 저장된 보안 정책이 USB 접근을 허용한다고 판단한 경우에 한해, 상기 로그인 처리부는 로그인 절차가 성공한 것으로 인식할 수 있다.
또한, 상기 수신한 아이디 및 패스워드가 기 저장된 관리자 아이디 및 패스워드와 일치하면 로그인 절차가 성공한 것으로 인식할 수 있다.
본 발명은 USB 타입의 보안 저장 장치에서 기존 보안 SSD에 보안 USB를 추가로 구성하여 보안 SSD에 집중된 데이터 및 보안 정보를 보안 SSD와 보안 USB에 나누어 저장하도록 하는 것에 의해, 과도한 데이터를 집중 저장함에 따라 보안 SSD의 배드 섹터가 증가하는 것을 방지할 수 있다.
그리고, 본 발명은 USB 타입의 보안 저장 장치에서 보안 SSD의 데이터에 접근 불가능한 상태가 발생하였을 때, 그 데이터의 중요도를 보안 USB의 로그 정보로 평가하게 할 수 있다.
도 1은 종래기술 1의 USB 메모리 장치의 사시도를 나타낸다.
도 2는 종래기술 1의 USB 메모리 장치의 사용 상태 단면도를 나타낸다.
도 3은 종래기술 1의 USB 메모리 장치의 사용 상태 단면도의 다른 실시예를 나타낸다.
도 4는 종래기술 2의 지문 센서를 구비한 USB 보안 장치의 구성도를 나타낸다.
도 5는 종래기술 2의 스마트 카드 구성도를 나타낸다.
도 6은 본 발명의 바람직한 일 실시예에 따른 USB 보안 데이터 분산 저장 장치의 사용 상태도를 나타낸다.
도 7은 도 6의 허브 제어부의 기능 블록도를 나타낸다.
도 8은 도 6의 USB 콘트롤러의 기능 블록도를 나타낸다.
도 9는 도 6의 USB 보안 데이터 분산 저장 장치의 동작 흐름도를 나타낸다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 본 발명을 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다.
제1, 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.
반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 첨부된 도 6 내지 도 9를 참조하여 본 발명의 바람직한 일 실시예에 따른 USB 보안 데이터 분산 저장 장치에 대하여 설명한다.
도 6은 본 발명의 바람직한 일 실시예에 따른 USB 보안 데이터 분산 저장 장치의 사용 상태도를 나타낸다. 도 7은 도 6의 허브 제어부의 기능 블록도를 나타낸다. 도 8은 도 6의 USB 콘트롤러의 기능 블록도를 나타낸다. 도 9는 도 6의 USB 보안 데이터 분산 저장 장치의 동작 흐름도를 나타낸다.
도 6을 참조하면, USB 보안 데이터 분산 저장 장치(2000)는 USB 인터페이스(2100), USB 허브(2200), 보안 SSD 영역(2300), 보안 USB 영역(2400)을 포함할 수 있다. 보안 SSD 영역(2300), 보안 USB 영역(2400)은 상호 물리적으로 분리되며 각각 별도의 메모리를 가질 수 있다. 이때, 보안 SSD 영역(2300)은 SSD 메모리(2320)를 가질 수 있으며, 보안 USB 영역(2400)은 플래시 메모리(2420, 예를 들어, Nand Flash Memory)를 가질 수 있다.
USB 인터페이스(2100)는 PC(100) 상의 USB 소켓(미도시)을 통해 PC(100)와 데이터 통신이 가능하도록 연결될 수 있다. 이하 설명의 편의를 위해 USB 보안 데이터 분산 저장 장치는 4 핀(PIN)인 것으로 가정한다. 4 핀 타입의 USB 보안 데이터 분산 저장 장치는 두 개의 전원 핀(V+, GND), 두 개의 데이터 핀(D+(송신용), D-(수신용))을 포함할 수 있다.
각각의 핀은 도전 라인을 통해 USB 허브(2200)를 경유하여, 보안 SSD 영역(2320), 보안 USB 영역(2400)과 연결될 수 있다. 그리고, 그 도전 라인을 통해 전원을 공급 받고, 데이터를 송수신할 수 있다. 즉, 두 개의 전원핀(V+, GND)에 연결된 전원 라인을 통해 전원을 공급 받을 수 있고, 두 개의 데이터 핀(D+, D-)에 연결된 데이터 라인을 통해 데이터를 송수신할 수 있다. USB 허브(2200)는 제 1 스위치 보드(2210), 허브 제어부(2220), 제 2 스위치 보드(2230)를 포함할 수 있다. 그리고, 보안 SSD 영역(2300)은 SSD 브릿지 컨트롤러(2310), SSD 메모리(2320)를 포함할 수 있다. 그리고, 보안 USB 영역(2400)은 USB 콘트롤러(2410) 및 플레쉬 메모리(2420)를 포함할 수 있다.
USB 인터페이스(2100)의 4 핀, 제 1 스위치 보드(2210), 허브 제어부(2220), 제 2 스위치 보드(2230), SSD 브릿지 컨트롤러(2310), SSD 메모리(2320), USB 콘트롤러(2410) 및 플레쉬 메모리(2420) 간은 도전 라인을 통해 연결될 수 있다. 앞서 본 바와 같이, 도전 라인은 전원 라인 및 데이터 라인 중 어느 하나일 수 있다.
이하에서,
i) USB 인터페이스(2100)의 전원 핀과 허브 제어부(2220) 간을 연결하는 두 전원 라인은 제 1 라인(L1)
ii) USB 인터페이스(2100)의 데이터 핀과 허브 제어부(2220) 간을 연결하는 두 데이터 라인은 제 2 라인(L2)
iii) 허브 제어부(2220)와 USB 콘트롤러(2410) 간을 연결하는 두 전원 라인은 제 3 라인(L31)
iv) 허브 제어부(2220)와 USB 콘트롤러(2410) 간을 연결하는 두 데이터 라인은 제 4 라인(L32)
v) 제 3 라인(L31)에서 분기되서, SSD 브리지 콘트롤러(2310)와 연결되는 두 전원 라인은 제 5 라인(L21)
vi) 제 4 라인(L32)에서 분기되서, SSD 브리지 콘트롤러(2310)와 연결되는 두 데이터 라인은 제 6 라인(L22)
이라 지칭한다.
제 1 스위치 보드(2210)에는 제 1 스위치(S11) 및 제 2 스위치(S12)가 구비되며, 제 1 스위치(S11) 및 제 2 스위치(S12)는 온/오프를 통해 제 2 라인(L2)을 통한 데이터의 전송을 단속할 수 있다. 제 1 라인(L1) 상에는 스위치가 설치되지 않을 수 있다. 제 2 스위치 보드(2230)에는 제 7 스위치(S31) 및 제 8 스위치(S34)가 구비되며, 제 7 스위치(S31) 및 제 8 스위치(S34)는 온/오프를 통해 제 3 라인(L31)을 통한 USB 콘트롤러(2410)에의 전원 공급을 단속할 수 있다. 제 2 스위치 보드(2230)에는 제 9 스위치(S32) 및 제 10 스위치(S33)가 구비되며, 제 9 스위치(S32) 및 제 10 스위치(S33)는 온/오프를 통해 제 4 라인(L32)을 통한 허브 제어부(2220)와 USB 콘트롤러(2410) 간의 데이터 전송을 단속할 수 있다. 제 2 스위치 보드(2230)에는 제 3 스위치(S21) 및 제 4 스위치(S24)가 구비되며, 제 3 스위치(S21) 및 제 4 스위치(S24)는 온/오프를 통해 제 5 라인(L21)을 통한 SSD 브리지 콘트롤러(2310)에의 전원 공급을 단속할 수 있다. 제 2 스위치 보드(2230)에는 제 5 스위치(S22) 및 제 6 스위치(S23)가 구비되며, 제 5 스위치(S22) 및 제 6 스위치(S23)는 온/오프를 통해 제 6 라인(L22)을 통한 SSD 브리지 콘트롤러(2310)와 허브 제어부(2220) 간의 데이터 전송을 단속할 수 있다.
도 7을 참조하면, 허브 제어부(2220)는 로그인 처리부(2221) 및 데이터 처리부(2222)를 포함할 수 있다. 도 8을 참조하면, USB 콘트롤러(2410)는 인증부(2411), 로그데이터 관리부(2412) 및 보안 정책 관리부(2413)를 포함할 수 있다.
이하, USB 보안 데이터 분산 저장 장치의 로그인 과정에서의 동작 및 로그인 후에서의 동작에 대하여 설명한다.
먼저, USB 인터페이스(2100)가 PC(100) 상의 USB 소켓(미도시)에 삽입될 수 있다(S901). 이때, 허부 제어부(2220)에 제 1 라인(L1)을 통하여 전원이 공급될 수 있다(S902). 이때, 제 1 스위치 내지 제 10 스위치(S11, S12, S21, S22, S23, S24, S31, S32, S33, S34)는 모두 오프 상태일 수 있다.
전원을 공급 받은 허브 제어부(2220)는 로그인 처리 모드에서 로그인 처리부(2221)를 활성화시킬 수 있으며, 로그인 처리부(2221)는 제 1 스위치(S11) 및 제 2 스위치(S12)를 온시킬 수 있다(S903). 이를 통해 허브 제어부(2220)와 PC(100) 간에 데이터 전송이 가능한 상태가 될 수 있다.
이때, 로그인 처리부(2221)는 제 2 라인(L2)을 통해 PC(100) 상에 활성화된 에이전트(1000)에 로그인 정보를 요청할 수 있다(S904). 로그인 정보 요청시 로그인 처리부(2221)는 USB 보안 데이터 분산 저장 장치의 시리얼 넘버를 에이전트(1000)에 제공할 수 있다. 이때, 에이전트(1000)는 USB 관리 서버(3000)에 보안 정책 버전 요청을 하고 USB 관리 서버(3000)로부터 보안 정책 버전을 수신할 수 있다(S905). USB 관리 서버(3000)에 보안 정책 버전 요청시 USB 보안 데이터 분산 저장 장치의 시리얼 넘버가 제공될 수 있다. USB 관리 서버(3000)는 보안 정책 버전 요청시 마다 USB 보안 데이터 분산 저장 장치의 시리얼 넘버와 매칭하여 보안 정책 버전 요청을 기록할 수 있다. 수신하는 보안 정책 버전은 USB 관리 서버(3000)에서 암호화된 것이며, 이를 복호화하기 위한 복호화 알고리즘 및 복호화키는 USB 콘트롤러(2410)에 탑재될 수 있다.
에이전트(1000)는 유저가 로그인 시 입력한 아이디, 패스워드, 및 USB 관리 서버(3000)로부터 수신한 암호화된 보안 정책 버전을 제 2 라인(L2)을 통하여 로그인 처리부(2221)에 제공할 수 있다(S906).
유저가 로그인 시 입력한 아이디, 패스워드, 및 USB 관리 서버(3000)로부터 수신한 암호화된 보안 정책 버전의 수신을 완료한 로그인 처리부(2221)는 제 1 스위치(S11) 및 제 2 스위치(S12)를 오프시키는 것에 의해 데이터 관점에서 USB 보안 데이터 분산 저장 장치를 PC(100)와 물리적으로 독립(달리 표현하면, 분리)시킬 수 있다(S907).
이때, USB 허브(2200)는 제 1 라인(L1)을 통해 동작에 필요한 전원을 공급 받을 수 있다.
로그인 처리부(2221)는 수신한 아이디와 패스워드가 개인 사용자 아이디와 패스워드와 일치하는지 여부를 판단할 수 있다(S908). S908에서, 일치하는 것으로 판단되면 로그인 처리부(2221)는 제 7 내지 제 10 스위치(S31, S32, S33, S34)를 온 시킬 수 있다(S910). 그리고, 로그인 처리부(2221)는 인증부(2411)에 암호화된 보안 정책 버전을 제공할 수 있다(S911). 인증부(911)는 기 저장된 복호화 알고리즘 및 복호화키를 사용하여 보안 정책 버전을 복호화할 수 있다(S912). 인증부(911)는 복호화된 보안 정책 버전이 플래시 메모리(2420, Flash Memory)에 저장된 보안 정책 버전과 일치하는지 여부를 확인할 수 있다(S913). S913에서 보안 정책 버전이 매칭되지 않는 것으로 판정되면, 인증부(2411)는 인증 절차를 종료하고, 보안 경고를 할 수 있다(S917). S917에서 보안 경고는 USB 보안 데이터 분산 저장 장치에 탑재된 LED(미도시)를 통해 수행될 수 있다.
S913에서 보안 정책 버전이 매칭되는 것으로 판정되면 플래시 메모리(2420)에 저장된 보안 정책 상 USB 보안 데이터 분산 저장 장치에 접근이 허용되는지 여부를 기 저장된 보안 정책을 통해 판단할 수 있다(SS914). S914에서 접근이 허용되지 않는 것으로 판정되면, 보안 경고를 할 수 있다(S917). S914에서 접근이 허용되는 것으로 판정되면 제 1 스위치(S11) 및 제 2 스위치(S12)는 온될 수 있다(S915). S901 단계 내지 S915 단계를 통해, 로그인 절차가 완료될 수 있다. 그리고, USB 보안 데이터 분산 저장 장치는 로그인이 완료된 상태에서 정상 동작을 수행할 수 있다(S916). S908 단계에서, 일치하지 않는 것으로 판단되면, 로그인 처리부(2221)는 수신한 아이디와 패스워드가 관리자 아이디와 패스워드와 일치하는지 여부를 판단할 수 있다(S909). S909에서 일치하지 않는 것으로 판단되면, S903 단계로 복귀될 수 있다. 이때, 유저는 아이디와 패스워드를 다시 입력할 수 있다. S909에서 일치되는 것으로 판단되면, S916 단계로 진행될 수 있다.
정상 동작시, SSD 메모리(2320)에는 사용자의 데이터(예를 들어, 문서) 만이 저장될 수 있고 플래시 메모리(2420) 상에는 기업 마다 정의하는 보안 정책(달리 표현하면, 보안 저장 시스템 사용 정책), 로그 정보, 개인 사용자 패스워드가 저장될 수 있다. USB 허브(2200) 상의 데이터 처리부(2222)는 기 정의된 식별자를 통해 SSD 메모리(2320)에 저장될 사용자의 데이터와 플래시 메모리(2420)에 저장될 보안 정책, 로그 정보, 개인 사용자 패스워드를 구분하고, 사용자 데이터를 SSD 브리지 콘트롤러(2310)를 통해 SSD 메모리(2320)에 저장할 수 있으며, 보안 정책, 로그 정보 및 개인 사용자 패스워드를 USB 콘트롤러(2410)를 통해 플래시 메모리(2420)에 저장할 수 있다. USB 콘트롤러(2410) 상의 로그 데이터 관리부(2412)는 USB 허브(2200)가 제공하는 로그 정보를 저장 및 관리할 수 있다. 이때, 로그 데이터 관리부(2412)는 기 설정된 주기 마다 로그 데이터를 갱신하는 것에 의해 플래시 메모리(2420) 상의 메모리 공간을 확보할 수 있다. 그리고, 보안 정책 관리부(2413)는 S901 단계 내지 S915 단계를 통해 로그인에 성공하는 것에 대응하여, 에이전트(1000)를 통해 보안 정책을 업데이트할 수 있다. 이는 관리자 아이디 및 패스워드를 통해 로그인 한 경우일 수 있다. 보안 경고가 발생한 경우 유저는 관리자에서 보안 정책 업데이트를 요청할 수 있고, 관리자는 S901 내지 S909를 통해 USB 보안 데이터 분산 저장 장치에 로그인 할 수 있고 이때, 보안 정책은 업데이트될 수 있다. 업데이트시 에이전트는 신규 보안 정책을 USB 관리 서버(3000)에 요청 및 수신할 수 있고, 에이전트는 신규 보안 정책을 보안 정책 관리부(2413)를 통해 플래시 메모리(2420) 상에 저장할 수 있다.
이때, 로그 정보는 보안 저장 장치 행위 로그 정보(예를 들어, SSD 메모리 상에 저장된 문서 관련 모든 로그 정보)일 수 있다. USB 보안 데이터 분산 저장 장치의 사용자의 퇴사나 부서 이동으로 인해 비밀번호를 분실 했을 경우, 관리자는 관리자 아이디 및 패스워드로 플래시 메모리(2420)에 접근하여 개인 사용자 패스워드를 확인할 수 있고, 어떤 원인으로 인해 SSD 메모리(2320)의 데이터에 접근할 수 없으면 플래시 메모리(2420) 상에서 해당 데이터 관련 로그 정보를 통해 어떤 데이터가 저장되어 있으며 그 데이터가 중요한 데이터인지 여부를 확인할 수 있다. 또한, 플래시 메모리(2400)에 저장된 보안 저장 시스템의 사용 정책은 원격에서 조정될 수 있다. 일 예로, 로그인 완료 후(앞서 본 S915 단계 이후) 보안 저장 시스템의 사용 정책(보안 정책)은 자동 업데이트될 수 있다.
100: PC
1000: 에이전트
2000: USB 보안 데이터 분산 저장 장치
3000: USB 관리 서버

Claims (6)

  1. 사용자 데이터가 저장되는 보안 SSD 영역; 및
    보안 정책, 로그 정보 및 개인 사용자 패스워드가 저장되는 보안 USB 영역;
    상기 보안 SSD 영역에 제공할 데이터와 상기 보안 USB 영역에 제공할 데이터를 구분하고, 상기 구분된 데이터를 상기 보안 SSD 영역 및 보안 USB 영역 중 어느 하나에 제공하는 USB 허브를 포함하고,
    상기 보안 SSD 영역 및 보안 USB 영역은 상호 물리적으로 분리되며 각각 별도의 메모리를 가지며,
    상기 USB 허브는 허브 제어부를 포함하고,
    상기 보안 SSD 영역은 SSD 브리지 컨트롤러 및 SSD 메모리를 포함하고,
    상기 보안 USB 영역은 USB 콘트롤러 및 플래시 메모리를 포함하고,
    USB 인터페이스의 전원 핀과 상기 허브 제어부 간을 연결하는 두 전원 라인인 제 1 라인,
    상기 USB 인터페이스의 데이터 핀과 상기 허브 제어부 간을 연결하는 두 데이터 라인인 제 2 라인,
    상기 허브 제어부와 상기 USB 콘트롤러 간을 연결하는 두 전원 라인인 제 3 라인,
    상기 허브 제어부와 상기 USB 콘트롤러 간을 연결하는 두 데이터 라인인 제 4 라인,
    상기 제 3 라인에서 분기되서, 상기 SSD 브리지 컨트롤러와 연결되는 두 전원 라인인 제 5 라인,
    상기 제 4 라인에서 분기되서, 상기 SSD 브리지 컨트롤러와 연결되는 두 데이터 라인인 제 6 라인을 포함하고,
    상기 USB 인터페이스가 PC 상의 USB 소켓에 삽입되면 상기 제 1 라인을 통해 상기 USB 허브에 전원이 공급되며,
    상기 제 2 라인 상에 설치되어 온/오프 동작에 의해 상기 제 2 라인을 통한 상기 USB 인터페이스와 상기 허브 제어부 간의 데이터 전송을 단속하는 제 1 스위치 및 제 2 스위치,
    상기 제 3 라인 상에 설치되어 온/오프 동작에 의해 상기 제 3 라인을 통한 상기 USB 콘트롤러에의 전원 공급을 단속하는 제 7 스위치 및 제 8 스위치,
    상기 제 4 라인 상에 설치되어 온/오프 동작에 의해 상기 제 4 라인을 통한 허브 제어부와 USB 콘트롤러 간의 데이터 전송을 단속하는 제 9 스위치 및 제 10 스위치,
    상기 제 5 라인 상에 설치되어 온/오프 동작에 의해 상기 제 5 라인을 통한 SSD 브리지 콘트롤러에의 전원 공급을 단속하는 제 3 스위치 및 제 4 스위치,
    상기 제 6 라인 상에 설치되어 온/오프 동작에 의해 상기 제 6 라인을 통한 SSD 브리지 콘트롤러와 허브 제어부 간의 데이터 전송을 단속하는 제 5 스위치 및 제 6 스위치를 포함하고,
    상기 허브 제어부는 로그인 처리부 및 데이터 처리부를 포함하고,
    상기 USB 콘트롤러는 인증부, 로그 데이터 관리부 및 보안 정책 관리부를 포함하고,
    로그인 과정에서,
    상기 로그인 처리부는 PC 상의 에이전트에 로그인 정보를 요청 및 수신하고,
    상기 로그인 정보는 아이디, 패스워드 및 보안 정책 버전을 포함하고,
    상기 아이디 및 패스워드는 유저가 로그인시 상기 PC 상에서 입력한 것이며,
    상기 보안 정책 버전은 상기 로그인 처리부의 로그인 정보 요청에 따라 USB 관리 서버로부터 수신한 암호화된 보안 정책 버전이며,
    상기 로그인 정보를 수신하는 것에 대응하여,
    상기 로그인 처리부는 상기 제 1 스위치 및 제 2 스위치를 오프시키는 것에 의해 데이터 관점에서 USB 보안 데이터 분산 저장 장치를 PC와 물리적으로 독립시키며,
    상기 제 1 스위치 및 제 2 스위치가 오프된 상태에서도 상기 USB 허브는 상기 제 1 라인을 통해 전원을 공급 받으며,
    상기 로그인 처리부는 상기 수신한 아이디 및 패스워드가 개인 사용자 아이디 및 패스위드와 일치하는지 여부를 판단하고 상기 수신한 아이디 및 패스워드가 개인 사용자 아이디 및 패스위드와 일치하는 것으로 판단되면 상기 제 7 스위치, 제 8 스위치, 제 9 스위치 및 제 10 스위치를 온시키며
    상기 로그인 처리부는 상기 제 7 스위치, 제 8 스위치, 제 9 스위치 및 제 10 스위치가 온된 상태에서 상기 인증부에 상기 암호화된 보안 정책 버전을 제공하고,
    상기 인증부는 기 저장된 복호화 알고리즘 및 복호화키를 사용하여 상기 암호화된 보안 정책 버전을 복호화하며
    상기 인증부는 상기 복호화된 보안 정책 버전이 상기 플래시 메모리에 저장된 보안 정책 버전과 일치하는지 여부를 판단하고,
    상기 인증부는 상기 복호화된 보안 정책 버전이 상기 플래시 메모리에 저장된 보안 정책과 일치하는 것으로 판단되면 상기 플래시 메모리에 저장된 보안 정책 상 상기 USB 보안 데이터 분산 저장 장치에 접근이 허용되는지 여부를 상기 기 저장된 보안 정책에 따라 판단하고, 상기 기 저장된 보안 정책이 상기 USB 보안 데이터 분산 저장 장치에 접근을 허용하는 것으로 판단되면 로그인 절차가 완료되며,
    상기 로그인 절차가 완료되면, 상기 제 1 스위치 및 상기 제 2 스위치가 온되며
    상기 로그인 절차가 완료되면, 상기 USB 허브는 상기 제 6 라인을 통해 상기 보안 SSD 영역에 사용자 데이터를 저장하고, 상기 제 4 라인을 통해 보안 USB 영역에 로그 정보를 저장하는 것을 특징으로 하는 USB 보안 데이터 분산 저장 장치.
  2. 제 1 항에 있어서,
    상기 보안 USB 영역은 플래시 메모리 타입의 메모리를 가지는 것을 특징으로 하는 USB 보안 데이터 분산 저장 장치.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
KR1020180032080A 2018-03-20 2018-03-20 Usb 보안 데이터 분산 저장 장치 KR101883724B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180032080A KR101883724B1 (ko) 2018-03-20 2018-03-20 Usb 보안 데이터 분산 저장 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180032080A KR101883724B1 (ko) 2018-03-20 2018-03-20 Usb 보안 데이터 분산 저장 장치

Publications (1)

Publication Number Publication Date
KR101883724B1 true KR101883724B1 (ko) 2018-08-30

Family

ID=63453749

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180032080A KR101883724B1 (ko) 2018-03-20 2018-03-20 Usb 보안 데이터 분산 저장 장치

Country Status (1)

Country Link
KR (1) KR101883724B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268274A (zh) * 2021-05-18 2021-08-17 深圳市广和通无线股份有限公司 一种操作系统启动方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060102584A (ko) * 2005-03-24 2006-09-28 케이비 테크놀러지 (주) 유에스비 인터페이스를 구비한 보안 데이터 저장 장치 및방법
KR20110023685A (ko) * 2009-11-23 2011-03-08 주식회사 이음기술 인증 기능을 구비하는 ssd 및 그 구동 방법
KR20150070856A (ko) * 2013-12-17 2015-06-25 주식회사 아이비시스템 모바일을 활용한 이종 단말기 간의 데이터 공유 시스템 및 그 공유 방법
KR101583514B1 (ko) 2014-11-10 2016-01-08 김승훈 지문센서와 장착식 스마트 카드와 메모리 카드를 구비한 유에스비 보안장치 및 그 보안 방법
KR20170011296A (ko) * 2015-07-22 2017-02-02 김활 스위칭 제어방식의 보안 usb 메모리시스템 및 동작제어방법
KR101811491B1 (ko) 2015-04-22 2017-12-21 권무진 물리적 보안기능을 갖는 유에스비 메모리 장치

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060102584A (ko) * 2005-03-24 2006-09-28 케이비 테크놀러지 (주) 유에스비 인터페이스를 구비한 보안 데이터 저장 장치 및방법
KR20110023685A (ko) * 2009-11-23 2011-03-08 주식회사 이음기술 인증 기능을 구비하는 ssd 및 그 구동 방법
KR20150070856A (ko) * 2013-12-17 2015-06-25 주식회사 아이비시스템 모바일을 활용한 이종 단말기 간의 데이터 공유 시스템 및 그 공유 방법
KR101583514B1 (ko) 2014-11-10 2016-01-08 김승훈 지문센서와 장착식 스마트 카드와 메모리 카드를 구비한 유에스비 보안장치 및 그 보안 방법
KR101811491B1 (ko) 2015-04-22 2017-12-21 권무진 물리적 보안기능을 갖는 유에스비 메모리 장치
KR20170011296A (ko) * 2015-07-22 2017-02-02 김활 스위칭 제어방식의 보안 usb 메모리시스템 및 동작제어방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113268274A (zh) * 2021-05-18 2021-08-17 深圳市广和通无线股份有限公司 一种操作系统启动方法、装置、电子设备及存储介质

Similar Documents

Publication Publication Date Title
US8127150B2 (en) Data security
US8640261B2 (en) Method and client agent for monitoring the use of protected content
AU2005223193B2 (en) Digital rights management structure, portable storage device, and contents management method using the portable storage device
US20080307522A1 (en) Data Management Method, Program For the Method, and Recording Medium For the Program
GB2517016A (en) Secure data storage
US8090946B2 (en) Inter-system binding method and application based on hardware security unit
AU2003240205A1 (en) Method for secure data exchange between two devices
US20080163350A1 (en) Portable information security device
WO2009136161A1 (en) Data encryption device
CN101578608B (zh) 用于基于会话票证存取内容的方法及设备
EP3721577A1 (en) Improvements in and relating to remote authentication devices
US11531626B2 (en) System and method to protect digital content on external storage
KR102192330B1 (ko) 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법
KR101883724B1 (ko) Usb 보안 데이터 분산 저장 장치
JP2009080772A (ja) ソフトウェア起動システム、ソフトウェア起動方法、及びソフトウェア起動プログラム
US20110055589A1 (en) Information certification system
KR101043255B1 (ko) Usb 허브 보안 장치 및 이를 이용한 데이터 보안 방법
KR101697274B1 (ko) 하드웨어 보안 모듈, 하드웨어 보안 시스템, 및 하드웨어 보안 모듈의 동작 방법
JP4912910B2 (ja) アクセス制御システム、及び、記憶装置
CN116010909A (zh) 加密装置处理方法、数据处理方法、装置、设备及介质
CN105825247B (zh) 一种读卡器及数据传输方法
KR20130050690A (ko) 인증 시스템
CN102034054A (zh) 信息验证系统
CN204613946U (zh) 一种安全的usbhub和sd/tf卡读卡器复合设备
KR20190078198A (ko) 안전성을 높인 클라우드 저장소 기반 메모리 장치 및 이의 인증 제어 방법

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant