KR101975041B1 - 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법 - Google Patents

외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법 Download PDF

Info

Publication number
KR101975041B1
KR101975041B1 KR1020170044644A KR20170044644A KR101975041B1 KR 101975041 B1 KR101975041 B1 KR 101975041B1 KR 1020170044644 A KR1020170044644 A KR 1020170044644A KR 20170044644 A KR20170044644 A KR 20170044644A KR 101975041 B1 KR101975041 B1 KR 101975041B1
Authority
KR
South Korea
Prior art keywords
user
file
security
broker system
encrypted
Prior art date
Application number
KR1020170044644A
Other languages
English (en)
Other versions
KR20180113292A (ko
Inventor
박동훈
장욱
송천종
권혁재
정현수
Original Assignee
주식회사 한류에이아이센터
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 한류에이아이센터 filed Critical 주식회사 한류에이아이센터
Priority to KR1020170044644A priority Critical patent/KR101975041B1/ko
Publication of KR20180113292A publication Critical patent/KR20180113292A/ko
Application granted granted Critical
Publication of KR101975041B1 publication Critical patent/KR101975041B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

본 발명은 사용자가 로그인하면, 사용자에게 개인키를 요청하여 사용자가 로그인하는 동안만 유효한 사용자의 개인키를 설정하고, 외부 저장 장치에 파일을 업로드할 때는 사용자의 개인키로 암호화해서 업로드하고, 다운로드할 때는 사용자의 개인키로 복호화해서 사용자에게 제공하는 보안 브로커 시스템 및 방법에 관한 것이다.

Description

외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법{SECURITY BROKER SYSTEM AND METHOD FOR SECURING FILE STORED IN EXTERNAL STORAGE DEVICE}
이하의 일 실시 예들은 외부 저장 장치에 저장되는 파일을 안전하게 관리하기 위한 기술에 관한 것이다.
최근 정보통신기술(information and communications technologies, ICT) 분야의 주요 이슈는 빅데이터(big data)와 클라우드(cloud)가 있다.
현재, 클라우드 스토리지 서비스가 확대 됨에 따라서 보안 이슈가 지속적으로 발생하고 있다.
보안의 이슈를 해결하기 위해서 클라우드 스토리지에 저장되는 파일들을 하나의 암호화 키로 암호화해서 저장하는 방법이 존재할 수 있으나, 모든 파일이 동일한 암호화 키로 암호화 되기 때문에 암호화 키가 유출되면 모든 파일이 유출될 수 있는 문제가 발생할 수 있다.
따라서, 클라우드 스토리지 서비스를 제공하는 외부 저장 장치가 해킹되어도 보안이 유지될 수 있는 방법이 요구된다.
본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법을 제공하는 것을 목적으로 한다.
구체적으로, 본 발명은 사용자가 로그인하는 동안에만 파일을 암호화하고 복호화 할 수 있는 사용자의 비밀키를 활성화 하고, 로그 아웃하면 사용자의 비밀키를 폐기하여, 클라우드 스토리지 서비스를 제공하는 외부 저장 장치가 해킹되어도 안전하게 파일을 관리할 수 있는 보안 브로커 시스템 및 방법을 제공하는 것을 목적으로 한다.
상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 보안 브로커 시스템의 보안 방법은, 사용자로부터 로그인 요청을 수신하면, 상기 사용자를 인증하는 단계; 상기 사용자의 인증에 성공하면, 상기 사용자에게 개인키를 요청하는 단계; 상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 단계; 상기 사용자로부터 외부 저장 장치에 저장할 데이터를 수신하면, 수신한 데이터를 상기 사용자의 비밀키로 암호화해서 암호화된 파일을 생성하는 단계; 및 상기 암호화된 파일을 상기 외부 저장 장치로 송신하는 단계를 포함한다.
이때, 보안 브로커 시스템의 보안 방법은, 상기 사용자가 로그인 하기 전에, 상기 사용자를 인증하고 등록하는 단계를 더 포함할 수 있다.
이때, 상기 사용자를 인증하는 단계는, 상기 로그인 요청에 포함된 아이디와 패스워드가 유효한지 확인하는 단계; 상기 아이디와 상기 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하는 단계; 및 상기 접속 제한에 해당하는 사항이 존재하지 않으면, 상기 사용자의 인증에 성공했다고 판단하는 단계를 포함할 수 있다.
이때, 상기 접속 제한은, 상기 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우, 상기 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및 상기 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나를 포함할 수 있다.
이때, 상기 암호화된 파일을 생성하는 단계는, 상기 수신한 데이터를 기설정된 보안서비스를 통해서 검사하는 단계; 검사결과 보안에 문제가 없으면, 상기 수신한 데이터에서 상기 수신한 데이터를 검색할 수 있는 파일 정보를 추출하는 단계; 상기 수신한 데이터를 암호화해서 암호화된 데이터를 생성하는 단계; 및 상기 암호화된 데이터와 상기 파일 정보를 포함하는 상기 암호화된 파일을 생성하는 단계를 포함할 수 있다.
이때, 상기 파일 정보는, 상기 수신한 데이터의 파일 명칭, 상기 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 상기 수신한 데이터에서 기설정된 비율로 검출되는 태그, 상기 파일의 생성일, 상기 수신한 데이터의 생성자, 상기 수신한 데이터가 생성된 위치 정보, 상기 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함할 수 있다.
이때, 보안 브로커 시스템의 보안 방법은, 상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일들의 검색을 요청 받는 단계; 및 상기 외부 저장 장치에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 상기 사용자에게 제공하는 단계를 더 포함할 수 있다.
이때, 보안 브로커 시스템의 보안 방법은, 상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받는 단계; 상기 선택된 암호화된 파일을 상기 사용자의 비밀키로 복호화해서 복호화된 파일을 생성하는 단계; 및 상기 복호화된 파일을 상기 사용자에게 송신하는 단계를 더 포함할 수 있다.
이때, 보안 브로커 시스템의 보안 방법은, 상기 사용자가 로그 아웃하면, 설정된 상기 사용자의 비밀키와 상기 수신된 개인키를 폐기하는 단계를 더 포함할 수 있다.
이때, 상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 단계는, 상기 사용자가 그룹에 소속된 경우, 상기 사용자가 소속된 그룹의 기저장된 그룹키를 확인하는 단계; 및 상기 개인키와 상기 그룹키를 이용해서 상기 사용자의 비밀키를 생성하는 단계를 포함할 수 있다.
본 발명의 일 실시 예에 따른 보안 브로커 시스템은, 사용자로부터 로그인을 요청 받으면 상기 사용자를 인증하고, 상기 사용자의 인증에 성공하면 상기 사용자에게 개인키를 요청하고, 상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 사용자 관리부; 및 상기 사용자로부터 외부 저장 장치에 저장할 데이터를 수신하면, 수신한 데이터를 상기 사용자의 비밀키로 암호화해서 암호화된 파일을 생성하고, 상기 암호화된 파일을 상기 외부 저장 장치로 송신하여 저장하도록 하는 브로커 코어부를 포함한다.
이때, 상기 사용자 관리부는, 상기 사용자가 로그인 하기 전에, 상기 사용자를 인증하고 등록할 수 있다.
이때, 상기 사용자 관리부는, 상기 사용자를 인증할 때, 상기 로그인 요청에 포함된 아이디와 패스워드가 유효한지 확인하고, 상기 아이디와 상기 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하고, 상기 접속 제한에 해당하는 사항이 존재하지 않으면, 상기 사용자의 인증에 성공했다고 판단할 수 있다.
이때, 상기 접속 제한은, 상기 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우, 상기 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및 상기 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나를 포함할 수 있다.
이때, 상기 브로커 코어부는, 상기 암호화된 파일을 생성할 때, 상기 수신한 데이터를 기설정된 보안서비스를 통해서 검사하고, 검사결과 보안에 문제가 없으면, 상기 수신한 데이터에서 상기 수신한 데이터를 검색할 수 있는 파일 정보를 추출하고, 상기 수신한 데이터를 암호화해서 암호화된 데이터를 생성하고, 상기 암호화된 데이터와 상기 파일 정보를 포함하여 상기 암호화된 파일을 생성할 수 있다.
이때, 상기 파일 정보는, 상기 수신한 데이터의 파일 명칭, 상기 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 상기 수신한 데이터에서 기설정된 비율로 검출되는 태그, 상기 파일의 생성일, 상기 수신한 데이터의 생성자, 상기 수신한 데이터가 생성된 위치 정보, 상기 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함할 수 있다.
이때, 상기 브로커 코어부는, 상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일들의 검색을 요청 받으면, 상기 외부 저장 장치에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 상기 사용자에게 제공할 수 있다.
이때, 상기 브로커 코어부는, 상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받으면, 상기 선택된 암호화된 파일을 상기 사용자의 비밀키로 복호화해서 복호화된 파일을 생성하고, 상기 복호화된 파일을 상기 사용자에게 송신할 수 있다.
이때, 상기 사용자 관리부는, 상기 사용자가 로그 아웃하면, 설정된 상기 사용자의 비밀키와 상기 수신된 개인키를 폐기할 수 있다.
이때, 상기 사용자 관리부는, 상기 사용자가 그룹에 소속된 경우, 상기 사용자가 소속된 그룹의 기저장된 그룹키를 확인하고, 상기 사용자로부터 수신하는 개인키와 상기 그룹키를 이용해서 상기 사용자의 비밀키로 생성할 수 있다.
도 1은 본 발명의 일 실시 예에 따라 외부 저장 장치에 저장되는 파일을 안전하게 공유하는 보안 브로커 시스템의 개략적인 연결 관계를 도시한 도면이다.
도 2는 본 발명의 일 실시 예에 따라 외부 저장 장치에 저장되는 파일을 안전하게 공유하는 보안 브로커 시스템의 구성의 예를 도시한 도면이다.
도 3은 본 발명의 일 실시 예에 따른 보안 브로커 시스템의 개략적인 운영 과정을 도시한 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 업로드 하는 과정을 도시한 흐름도이다.
도 5는 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 검색하고 다운로드 하는 과정을 도시한 흐름도이다.
도 6은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 사용자를 인증하고 등록할 때의 메시지 흐름을 도시한 도면이다.
도 7은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 사용자의 로그인을 처리할 때의 메시지 흐름을 도시한 도면이다.
도 8은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 업로드할 때의 메시지 흐름을 도시한 도면이다.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시 예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
이하에서는, 본 발명의 일 실시 예에 따른 외부 저장 장치에 저장되는 파일을 안전하게 공유하는 보안 브로커 시스템 및 그 방법을 첨부된 도 1 내지 도 10을 참조하여 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따라 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템의 개략적인 연결 관계를 도시한 도면이다.
도 1을 참조하면, 보안 브로커 시스템(110)은 사용자 단말기(120), 외부 저장 장치(130) 및 알람 처리 장치(140)와 통신하여 외부 저장 장치(130)에 저장되는 파일의 보안하여 저장할 수 있도록 한다.
보안 브로커 시스템(110)은 브로커 코어부(112)와 사용자 관리부(114)를 포함할 수 있다.
사용자 관리부(114)는 회사(그룹)와 회사(그룹)에 소속된 회사원(그룹원)의 정보와 데이터를 암호화 복호화하는데 이용되는 회사의 그룹키를 등록하고, 알람 처리 장치(140)를 이용해서 사용자 단말기(120)의 사용자를 인증하고 등록한다. 여기서, 사용자 인증이란 다른 사람의 정보로 등록하지 못하도록 하기 위해서 등록을 요청하는 사용자가 본인이 맞는지 확인함을 의미한다. 사용자 등록에 이용되는 정보는 사용자의 소속 회사 정보(회사 식별정보 또는 그룹 식별정보), 사용자 식별정보(ID), 로그인을 위한 비밀번호, 사용자 정보(전화번호, 이메일, 주민번호, 주소, 결혼유무, 회사 등)를 포함할 수 있다.
이후, 사용자 관리부(114)는 사용자 단말기(120)로부터 로그인을 요청 받으면, 사용자를 인증할 수 있다.
사용자 관리부(114)에서 로그인 사용자가 맞는지 인증하는 것은 로그인 요청에 포함된 아이디와 패스워드가 저장된 아이디와 패스워드에 일치하는지 확인하여 유효성을 확인하고, 아이디와 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하여 접속 제한에 해당하는 사항이 존재하지 않으면, 사용자의 인증에 성공했다고 판단할 수 있다.
이때, 접속 제한은 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우, 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나의 경우를 포함할 수 있다.
사용자 관리부(114)는 로그인 요청에 따라 사용자 인증에 성공하면, 사용자 단말기(120)에게 개인키를 요청하고, 사용자 단말기(120)로부터 수신하는 개인키를 외부 저장 장치(130)에 저장하는 파일의 암호화 및 복호화를 할 때 이용하는 사용자의 비밀키로 설정할 수 있다. 이때, 사용자의 비밀키는 이때, 비밀키는 외부 저장 장치(130)에 저장하는 파일의 암호화 및 복호화를 할 때 이용되는 키로, 개인키와 동일할 수도 있고, 개인키를 시드로하는 기설정된 함수를 통해서 생성될 수도 있다. 따라서, 비밀키는 사용자 별로 고유한 키로 생성되는 특징을 가지고 있다.
사용자 관리부(114)는 로그인 요청에 따라 인증에 성공한 사용자가 그룹에 속한 경우, 사용자 단말기(120)에게 개인키를 요청하고, 사용자 단말기(120)로부터 수신하는 개인키와 등록된 그룹키를 이용해서 비밀키를 설정한다. 이때, 비밀키는 외부 저장 장치(130)에 저장하는 파일의 암호화 및 복호화를 할 때 이용되는 키로, 개인키와 그룹키를 연접하여 생성할 수도 있고, 개인키와 그룹키를 시드로하는 기설정된 함수를 통해서 생성될 수도 있다. 따라서, 비밀키는 사용자 별로 고유한 키로 생성되는 특징을 가지고 있다.
사용자 관리부(114)는 사용자 단말기(120)의 사용자가 로그 아웃하면, 설정된 사용자의 개인키와 설정된 비밀키를 폐기할 수 있다. 또한, 로그 아웃 시에 사용자 단말기(120)에서도 개인키가 삭제될 수 있다.
즉, 사용자 관리부(114)는 사용자 단말기(120)의 사용자가 로그인한 상태에서만 개인키를 요청하여 관리하고, 로그 아웃하면 개인키와 비밀키를 폐기함으로써, 보안 브로커 시스템(110)이 해킹되어도 개인키의 유출을 최소화할 수 있는 특징을 가지고 있다.
또한, 사용자 관리부(114)는 사용자/관리자 정보 관리와 과금 등 정보를 저장하는 데이터베이스를 포함할 수 있고, 파일의 업로드/다운로드 현황, 보안서비스 활용, 파일 흐름 등의 모든 행위에 대한 감사로그를 저장하고 관리할 수 있다.
브로커 코어부(112)는 사용자 단말기(120)로부터 외부 저장 장치(130)에 저장할 데이터를 수신하면, 수신한 데이터를 사용자의 비밀키로 암호화해서 암호화된 파일을 생성하고, 암호화된 파일을 외부 저장 장치(130)로 송신하여 저장하도록 할 수 있다.
브로커 코어부(112)는 암호화된 파일을 생성할 때, 수신한 데이터에서 수신한 데이터를 검색할 수 있는 파일 정보를 추출하고, 수신한 데이터를 암호화해서 생성한 암호화된 데이터에 파일 정보를 포함시켜 암호화된 파일을 생성할 수 있다. 이때, 파일 정보는 수신한 데이터의 파일 명칭, 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 수신한 데이터에서 기설정된 비율로 검출되는 태그, 파일의 생성일, 수신한 데이터의 생성자, 수신한 데이터가 생성된 위치 정보, 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함할 수 있다.
브로커 코어부(112)는 사용자 단말기(120)로부터 외부 저장 장치(130)에 저장된 암호화된 파일들의 검색을 요청 받으면, 외부 저장 장치(130)에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 사용자 단말기(120)로 송신할 수 있다.
브로커 코어부(112)는 사용자 단말기(120)로부터 외부 저장 장치(130)에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받으면, 선택된 암호화된 파일을 사용자의 비밀키로 복호화해서 복호화된 파일을 생성하고, 복호화된 파일을 사용자 단말기(120)로 송신할 수 있다.
도 2는 본 발명의 일 실시 예에 따라 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템의 구성의 예를 도시한 도면이다.
도 2를 참조하면, 브로커 코어부(112)는 인증 처리 및 보안 정책 관리부(211), 데이터 처리부(212), 인터페이스부(213), 암/복호화 키 관리부(214), 암/복호화 제어부(215), 웹 뷰어(216), 보안 서비스 연결 커넥터(217), 스토리지 연결 커넥터(218) 및 엔드포인트 연결 커넥터(219)를 포함 할 수 있다.
인증 처리 및 보안 정책 관리부(211)는 사용자와 관리자의 인증 요청을 처리하고, 보안 서비스 이용, 파일 생명 주기, 암/복호화 등 다양한 보안 정책을 관리할 수 있다.
데이터 처리부(212)는 사용자가 업로드/다운로드 하는 파일에 대해 설정된 보안 정책에 맞게 처리되도록 할 수 있다. 또한, 데이터 처리부(212)는 암/복호화 제어부(215)과 보안 서비스 연결 커넥터(217), 스토리지 연결 커넥터(218)와 직접적으로 내부 통신하여 파일(데이터)을 처리할 수 있다.
인터페이스부(213)는 웹 어플리케이션으로 사용자/관리자가 파일 관리를 위한 스토리지 접속, 파일 관리, 보안 정책 설정 등을 위한 웹 유저 인터페이스(UI; User Interface)를 제공할 수 있다. 또한, 인터페이스부(213)는 송수신되는 파일(데이터)을 처리하고, 정책, 보안 서비스 이용, 스토리지 연결 등을 전반적으로 처리할 수 있고, 기본적으로 사용자 단말기(120)에서 모바일 앱을 사용하든 사용하지 않든 어떤 엔드포인트에서든 접근 가능하고 파일을 관리할 수 있는 HTML5 기반의 웹 UI를 제공할 수 있다.
암/복호화 키 관리부(214)는 외부 저장 장치(130)에 파일을 업로드/다운로드 할 시에 파일을 사용자들의 비밀키로 암호화/복호화하기 위한 키를 관리할 수 있다. 이때, 비밀키는 사용자 별로 설정되어 관리된다.
암/복호화 제어부(215)는 파일 업로드/다운로드 시에 보안 브로커 시스템(110)내에서 암호화/복호화를 처리할 수 있다. 보안 브로커 시스템(110)내에서 암/복호화를 처리하는 것은 엔드포인트 혹은 저장 장치에서 암호화 될 경우 보안에 취약성(암/복호화 키 송수신 등)이 발생할 수 있기 때문이다.
웹 뷰어(216)는 문서/이미지 등을 웹 상에서 확인할 수 있는 뷰어로서, 파일의 설정이 단순 열람으로만 되어 있는 경우, 캔버스 방식으로 표현하여 복제가 불가능하도록 하여 해당 파일을 웹 상을 통해서 열람되도록 제공할 수 있다. 이때, 웹 상으로 제공되는 파일은 기기에 저장될 수 없으며, 공유 옵션에 따라 워터마크 등이 추가로 표시되도록 처리할 수 있다.
보안 서비스 연결 커넥터(217)는 다양한 보안 서비스와 연결할 수 있도록 API(application programming interface)를 제공하고, 파일 단위로 보안 서비스부(231)에 보안 서비스를 요청할 수 있고, 보안 서비스부(231)로부터 해당 파일의 보안 검사 결과 값을 리턴 받을 수 있다.
스토리지 연결 커넥터(218)는 연결부(219)는 다양한 외부 저장 장치와 연결을 위한 API(application programming interface) 커넥터일 수 있으며, 파일 관리, 업/다운로드, 인증정보 등에 연동하여 외부 저장 장치(120)와 연결 될 수 있다.
엔드포인트 연결 커넥터(219)는 보안 브로커 시스템(110)에 접속하는 엔드포인트에 대한 보안성을 높이기 위한 커넥터로 인터페이스부(213)로부터 연결하는 엔드포인트 정보를 확인하고, 보안 브로커 시스템(110)에 접속 허용 여부를 최종 결정할 수 있다.
한편, 외부 저장 장치(130)는 보안 서비스부(231) 및 외부 저장부(232)를 포함할 수 있다.
보안 서비스부(231)는 클라우드 스토리지에 해당하는 외부 저장 장치(130)에 파일을 업로드/다운로드 할 때, 파일이 안전한지 여부를 검사하여 업로드/다운로드를 결정할 수 있도록 도와주는 보안 서비스를 제공할 수 있다. 이때, 연동 가능한 보안 서비스는 데이터 유출 방지(DLP; Data Loss Prevention), 안티 바이러스(AV; Anti Virus), 지능형 지속공격(APT; Advanced Persistent Thrats) 솔루션 등이 가능하다.
외부 저장부(232)는 퍼블릭/프라이빗 클라우드 스토리지와 기업 내에 구축된 스토리지일 수 있다.
그리고, 사용자 단말기(120)는 보안 기능 관리부(221), 데이터 처리부(222) 및 연결 인터페이스부(223)를 포함할 수 있다.
보안 기능 관리부(221)는 간단한 스크린 캡쳐 기능을 제한하고, 파일이 사용자 단말기(120)에 저장되지 않도록 처리할 수 있다.
데이터 처리부(222)는 사용자가 업로드/다운로드 하는 파일에 대한 처리를 담당하고, 읽기 전용으로 설정된 파일의 경우 파일이 엔드포인트에 저장되지 않으며, 웹 뷰어(216)와 연동하여 스트리밍 데이터를 메모리에 올려서 열람만 가능하도록 처리할 수 있다.
연결 인터페이스부(223)는 보안 브로커 시스템(110)과 연결을 담당하는 인터페이스로서 인증 등을 통해 보안 브로커 시스템(110)과의 연결 세션을 유지하는 역할을 수행할 수 있다.
이하, 상기와 같이 구성된 본 발명에 따른 보안 브로커 시스템에서 외부 저장 장치에 저장되는 파일을 보안하는 방법을 아래에서 도면을 참조하여 설명한다.
도 3은 본 발명의 일 실시 예에 따른 보안 브로커 시스템의 개략적인 운영 과정을 도시한 흐름도이다.
도 3을 참조하면, 보안 브로커 시스템(110)은 사용자의 요청에 따라, 정당한 사용자인지 인증하고, 정당한 사용자이면 해당 사용자를 등록한다(310). 여기서, 등록을 위한 사용자 인증이란 다른 사람의 정보로 등록하지 못하도록 하기 위해서 등록을 요청하는 사용자가 본인이 맞는지 확인함을 의미한다.
보안 브로커 시스템(110)은 310단계에서 사용자를 등록할 때, 사용자가 소속된 그룹 정보를 함께 수신하여 등록할 수 있다.
그리고, 보안 브로커 시스템(110)은 사용자로부터 로그인 요청을 수신하면(312), 사용자 인증을 통해서 정당한 로그인 사용자가 맞는지 확인한다(314).
314단계의 로그인 사용자가 맞는지 인증하는 것은 로그인 요청에 포함된 아이디와 패스워드가 저장된 아이디와 패스워드에 일치하는지 확인하여 유효성을 확인하고, 아이디와 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하여 접속 제한에 해당하는 사항이 존재하지 않으면, 사용자의 인증에 성공했다고 판단할 수 있다.
이때, 접속 제한은 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우, 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나의 경우를 포함할 수 있다.
314단계의 확인결과 로그인을 요청한 사용자의 인증에 실패하면, 도 3의 알고리즘을 종료하고, 314단계의 확인결과 로그인을 요청한 사용자의 인증에 성공하면, 사용자에게 개인키를 요청한다(316).
그리고, 보안 브로커 시스템(110)은 개인키 수신하면(318), 사용자로부터 수신하는 개인키를 사용자의 비밀키로 설정한다(320). 이때, 보안 브로커 시스템(110)는 사용자를 식별할 수 있는 정보에 수신한 개인키를 바인딩(binding)하여 저장함으로써 사용자의 개인키를 설정할 수도 있다.
한편, 320단계에서 보안 브로커 시스템(110)은 사용자가 그룹에 속한 경우, 사용자로부터 수신하는 개인키와 등록된 그룹키를 이용해서 비밀키를 설정할 수 있다. 이때, 비밀키는 개인키와 그룹키를 연접하여 생성할 수도 있고, 개인키와 그룹키를 시드로하는 기설정된 함수를 통해서 생성될 수도 있다.
그리고, 보안 브로커 시스템(110)은 사용자의 요청에 따라 외부 저장 장치(130)와의 중계한다(322). 이때, 보안 브로커 시스템(110)이 중계하는 동작은 업로드, 파일 검색 및 다운로드 공유 등이 있으며, 이후 도 4에서 도 5를 통해 보다 상세히 후술한다.
그리고, 보안 브로커 시스템(110)은 사용자가 로그 아웃 했는지 여부를 확인한다(324).
324단계의 확인결과, 사용자가 로그 아웃 하지 않았으면, 보안 브로커 시스템(110)은 322단계로 돌아가서 일련의 과정을 반복 수행한다.
324단계의 확인결과, 사용자가 로그 아웃 했음을 감지하면, 보안 브로커 시스템(110)은 설정된 사용자의 비밀키와 수신된 개인키를 폐기한다(326).
도 4는 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 업로드 하는 과정을 도시한 흐름도이다.
도 4를 참조하면, 보안 브로커 시스템(110)은 사용자로부터 외부 저장 장치에 저장할 데이터를 수신하면(410), 수신한 데이터를 기설정된 보안서비스를 통해서 검사하여 수신한 데이터의 보안에 문제가 없는지 검사한다(412).
412단계의 확인결과 수신한 데이터의 보안에 문제가 존재하면, 도 4의 알고리즘을 종료한다. 이때, 보안 브로커 시스템(110)는 종료하기에 앞서, 사용자에게 수신한 데이터에 어떤 보안상의 문제가 있는지 보고할 수 있다.
412단계의 확인결과 수신한 데이터의 보안에 문제가 존재하지 않으면, 수신한 데이터가 암호화된 경우에도 암호화된 데이터에도 데이터를 검색할 수 있도록 수신한 데이터에서 파일 정보를 추출한다(414). 이때, 파일 정보는 수신한 데이터의 파일 명칭, 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 수신한 데이터에서 기설정된 비율로 검출되는 태그, 파일의 생성일, 수신한 데이터의 생성자, 수신한 데이터가 생성된 위치 정보, 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함할 수 있다.
그리고, 보안 브로커 시스템(110)은 수신한 데이터를 사용자의 비밀키로 암호화해서 생성한 암호화된 데이터를 생성한다(416).
그리고, 보안 브로커 시스템(110)은 암호화된 데이터와 파일 정보를 포함하는 암호화된 파일을 생성한다(418).
그리고, 보안 브로커 시스템(110)은 외부 저장 장치(130)에 저장하기 위해서 암호화된 파일을 외부 저장 장치(130)로 송신한다(420).
도 5는 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 검색하고 다운로드 하는 과정을 도시한 흐름도이다.
도 5를 참조하면, 보안 브로커 시스템(110)은 사용자로부터 외부 저장 장치(130)에 저장된 암호화된 파일들의 검색을 요청 받으면(500), 외부 저장 장치(130)에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 사용자에게 제공한다(512).
그리고, 보안 브로커 시스템(110)은 사용자로부터 외부 저장 장치에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받으면(514), 선택된 암호화된 파일을 외부 저장 장치(130)로부터 다운로드하고, 사용자의 비밀키로 복호화 한다(516).
그리고, 보안 브로커 시스템(110)은 복호화된 파일을 사용자에게 송신한다(518).
도 6은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 사용자를 인증하고 등록할 때의 메시지 흐름을 도시한 도면이다.
도 6을 참조하면, 사용자 단말기(120)는 브로커 코어부(112)로 사용자 인증을 요청한다(610). 이때, 사용자를 인증하고 등록하기 위해 송신하는 정보는 사용자 식별정보(ID), 로그인을 위한 비밀번호, 사용자 정보(전화번호, 이메일, 주민번호, 주소, 결혼유무, 회사 등) 등을 포함할 수 있다.
브로커 코어부(112)는 사용자 관리부(114)로 사용자 인증을 요청한 사용자의 유효성 여부를 요청한다(612).
사용자 관리부(114)는 사용자의 유효성을 검사하고(614), 유효성 결과를 브로커 코어부(112)로 제공한다(616). 이때, 사용자 관리부(114)에서 검사하는 사용자의 유효성은 주민번호가 주민번호 생성원리에 적합하게 생성된 것인지 여부 및 사용자의 성별과 주민번호의 성별이 일치하는지 등을 확인할 수 있다.
브로커 코어부(112)는 사용자 인증 요청에 따라 유효성을 확인하였으며, 정상적으로 인증 절차를 진행함을 알리는 사용자 인증 응답을 사용자 단말기(120)로 송신한다(618).
사용자 관리부(114)는 유효성 검사 결과 사용자의 정보가 유효하면, 사용자의 연락처 정보(전화번호, 이메일 등)와 함께 알람 처리 장치(140)로 인증코드 알람을 요청한다(620).
알람 처리 장치(140)는 인증코드 알람을 요청 받으면, 인증코드를 생성하여 사용자 단말기(120)로 송신한다(622). 이때, 알람 처리 장치(140)는 인증 코드를 단문 메시지(SMS) 또는 이메일(E-mail)을 통해서 전송할 수 있다.
사용자 단말기(120)는 인증코드 알람을 수신하면, 사용자에게 제공하고, 사용자가 인증코드를 입력하면, 브로커 코어부(112)와 사용자 관리부(114)를 통해 사용자로부터 입력 받은 인증코드를 알람 처리 장치(140)로 송신한다(624).
알람 처리 장치(140)는 인증코드를 수신하면 송신한 인증코드와 비교해서 두개의 인증코드가 동일한지를 확인하고(626), 인증 결과를 사용자 관리부(114)로 송신한다(628).
사용자 관리부(114)는 인증 결과 수신결과 인증에 성공한 경우, 인증을 요청한 사용자를 사용자 등록하고(630), 사용자가 등록 되었음을 브로커 코어부(112)로 통보한다(632).
브로커 코어부(112)는 사용자 등록이 확인되면, 사용자 인증 결과를 알람 처리 장치(140)로 송신한다(634).
알람 처리 장치(140)는 사용자 단말기(120)로 사용자 등록이 완료되었음을 알리는 인증 결과를 송신한다(636).
알람 처리 장치(140)로부터 사용자 등록이 완료되었음을 알리는 인증 결과를 수신하면, 수신한 알람을 팝업하여 사용자에게 제공한다(638).
도 7은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 사용자의 로그인을 처리할 때의 메시지 흐름을 도시한 도면이다.
도 7을 참조하면, 사용자 단말기(120)는 브로커 코어부(112)로 사용자의 아이디와 사용자의 패스워드를 송신하여 로그인을 요청한다(710).
브로커 코어부(112)는 사용자 관리부(114)로 사용자의 로그인을 요청 받으면, 로그인 요청에 따라 사용자의 아이디와 사용자의 패스워드를 사용자 관리부(114)로 제공하여 유효성 검사를 요청한다(712).
사용자 관리부(114)는 유효성을 요청 받으면, 로그인을 위한 정보가 정당한지 확인하여 유효성을 검사하고(714), 로그인 정보가 유효성 있으면, 사용자 세션을 생성하고(716), 유효성 결과를 브로커 코어부(112)로 송신한다(718).
이때, 로그인 정보의 유효성 여부는 로그인 요청에 포함된 아이디와 패스워드가 저장된 아이디와 패스워드에 일치하는지 확인하여 유효성을 확인할 수 있다. 사용자 관리부(114)는 로그인 정보의 유효성 여부를 검증할 때,
로그인을 요청한 사용자에게 기설정된 접속 제한에 해당하는 사항이 존재하는지 추가로 확인할 수 있다. 확인결과 로그인을 요청한 사용자에게 접속 제한에 해당하는 사항이 존재하면, 로그인 정보가 유효하지 않다고 판단할 수 있다. 이때, 접속 제한은 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우, 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나의 경우를 포함할 수 있다.
브로커 코어부(112)는 유효성 결과를 수신하면, 유효성 결과를 사용자 단말기(120)로 송신한다(720).
한편, 사용자 관리부(114)는 유효성 결과를 송신한 후에, 사용자 단말기(120)로 개인키를 요청한다(722).
사용자 단말기(120)는 사용자 관리부(114)로부터 개인키를 요청 받으면, 개인키를 생성하거나 기저장된 개인키를 검색하여 확인한다(724). 이때, 개인키의 생성은 사용자로부터 수신되는 입력을 개인키로 생성할 수도 있고, 사용자로부터 수신되는 입력을 시드(seed)로 하여 기설정된 키 생성 함수를 통해서 생성할 수도 있다.
사용자 단말기(120)는 개인키를 사용자 관리부(114)로 송신한다(726).
사용자 관리부(114)는 수신한 개인키를 사용자 단말기(120)의 파일을 암호화할 때 사용하는 사용자의 비밀키로 설정한다(728). 이때, 사용자 관리부(114)는 사용자가 그룹에 속한 경우, 사용자로부터 수신하는 개인키와 등록된 그룹키를 이용해서 비밀키를 설정할 수 있다. 이 경우, 비밀키는 개인키와 그룹키를 연접하여 생성할 수도 있고, 개인키와 그룹키를 시드로하는 기설정된 함수를 통해서 생성될 수도 있다.
사용자 관리부(114)는 비밀키가 설정되면 정상적으로 로그인이 완료되었음을 알리는 로그인 결과 알람을 사용자 단말기(120)로 송신한다(730).
사용자 단말기(120)는 로그인 결과 알람을 수신하면, 알람을 팝업하여 사용자에게 알린다(732).
도 8은 본 발명의 일 실시 예에 따른 보안 브로커 시스템에서 파일을 업로드할 때의 메시지 흐름을 도시한 도면이다.
도 8을 참조하면, 사용자 단말기(120)는 브로커 코어부(112)로 외부 저장 장치(130)에 데이터 업로드를 요청한다(810).
브로커 코어부(112)는 데이터 업로드를 요청 받으면, 요청 받은 데이터(파일)을 사용자의 비밀키로 암호화하여 암호화된 파일을 생성하고(812), 업로드 요청에 따라 업로드가 정상적으로 진행 중임을 알리는 업로드 응답을 사용자 단말기(120)로 송신한다(814).
그리고, 브로커 코어부(112)는 외부 저장 장치(130)로 암호화된 파일을 송신하여, 암호화된 파일의 저장을 요청한다(816).
외부 저장 장치(130)로 암호화된 파일을 수신하면 암호화된 파일을 저장하고, 암호화된 파일의 저장결과를 브로커 코어부(112)로 송신한다(818).
브로커 코어부(112)는 암호화된 파일의 저장결과를 수신하면, 알람 처리 장치(140)로 암호화된 파일의 저장결과에 대한 알람을 요청한다(820).
알람 처리 장치(140)는 암호화된 파일의 저장결과에 대한 알람을 요청 받으면, 암호화된 파일의 저장결과에 대한 알람을 사용자 단말기(120)로 송신한다(822).
사용자 단말기(120)는 암호화된 파일의 저장결과에 대한 알람을 수신하면, 알람을 팝업하여 사용자에게 알린다(824).
이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.
실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.
그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.
110; 보안 브로커 시스템
112; 브로커 코어부
114; 사용자 관리부
120; 사용자 단말기
130; 외부 저장 장치
140; 알람 처리 장치

Claims (20)

  1. 사용자로부터 로그인 요청을 수신하면, 상기 사용자를 인증하는 단계;
    상기 사용자의 인증에 성공하면, 상기 사용자에게 개인키를 요청하는 단계;
    상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 단계;
    상기 사용자로부터 외부 저장 장치에 저장할 데이터를 수신하면, 수신한 데이터를 상기 사용자의 비밀키로 암호화해서 암호화된 파일을 생성하는 단계; 및
    상기 암호화된 파일을 상기 외부 저장 장치로 송신하는 단계
    를 포함하고,
    상기 암호화된 파일을 생성하는 단계는,
    상기 수신한 데이터를 기설정된 보안서비스를 통해서 검사하는 단계;
    검사결과 보안에 문제가 없으면, 상기 수신한 데이터에서 상기 수신한 데이터를 검색할 수 있는 파일 정보를 추출하는 단계;
    상기 수신한 데이터를 암호화해서 암호화된 데이터를 생성하는 단계; 및
    상기 암호화된 데이터와 상기 파일 정보를 포함하는 상기 암호화된 파일을 생성하는 단계
    를 포함하는 보안 브로커 시스템의 보안 방법.
  2. 제1항에 있어서,
    상기 사용자가 로그인 하기 전에,
    상기 사용자를 인증하고 등록하는 단계
    를 더 포함하는 보안 브로커 시스템의 보안 방법.
  3. 제1항에 있어서,
    상기 사용자를 인증하는 단계는,
    상기 로그인 요청에 포함된 아이디와 패스워드가 유효한지 확인하는 단계;
    상기 아이디와 상기 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하는 단계; 및
    상기 접속 제한에 해당하는 사항이 존재하지 않으면, 상기 사용자의 인증에 성공했다고 판단하는 단계
    를 포함하는 보안 브로커 시스템의 보안 방법.
  4. 제3항에 있어서,
    상기 접속 제한은,
    상기 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우,
    상기 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및
    상기 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나를 포함하는
    보안 브로커 시스템의 보안 방법.
  5. 삭제
  6. 제1항에 있어서,
    상기 파일 정보는,
    상기 수신한 데이터의 파일 명칭, 상기 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 상기 수신한 데이터에서 기설정된 비율로 검출되는 태그, 상기 파일의 생성일, 상기 수신한 데이터의 생성자, 상기 수신한 데이터가 생성된 위치 정보, 상기 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함하는
    보안 브로커 시스템의 보안 방법.
  7. 제1항에 있어서,
    상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일들의 검색을 요청 받는 단계; 및
    상기 외부 저장 장치에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 상기 사용자에게 제공하는 단계
    를 더 포함하는 보안 브로커 시스템의 보안 방법.
  8. 제1항에 있어서,
    상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받는 단계;
    상기 선택된 암호화된 파일을 상기 사용자의 비밀키로 복호화해서 복호화된 파일을 생성하는 단계; 및
    상기 복호화된 파일을 상기 사용자에게 송신하는 단계
    를 더 포함하는 보안 브로커 시스템의 보안 방법.
  9. 제1항에 있어서,
    상기 사용자가 로그 아웃하면, 설정된 상기 사용자의 비밀키와 상기 수신된 개인키를 폐기하는 단계
    를 더 포함하는 보안 브로커 시스템의 보안 방법.
  10. 제1항에 있어서,
    상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 단계는,
    상기 사용자가 그룹에 소속된 경우, 상기 사용자가 소속된 그룹의 기저장된 그룹키를 확인하는 단계; 및
    상기 개인키와 상기 그룹키를 이용해서 상기 사용자의 비밀키를 생성하는 단계
    를 포함하는 보안 브로커 시스템의 보안 방법.
  11. 사용자로부터 로그인을 요청 받으면 상기 사용자를 인증하고, 상기 사용자의 인증에 성공하면 상기 사용자에게 개인키를 요청하고, 상기 사용자로부터 수신하는 개인키를 상기 사용자의 비밀키로 설정하는 사용자 관리부; 및
    상기 사용자로부터 외부 저장 장치에 저장할 데이터를 수신하면, 수신한 데이터를 상기 사용자의 비밀키로 암호화해서 암호화된 파일을 생성하고, 상기 암호화된 파일을 상기 외부 저장 장치로 송신하여 저장하도록 하는 브로커 코어부
    를 포함하고,
    상기 브로커 코어부는,
    상기 암호화된 파일을 생성할 때, 상기 수신한 데이터를 기설정된 보안서비스를 통해서 검사하고, 검사결과 보안에 문제가 없으면, 상기 수신한 데이터에서 상기 수신한 데이터를 검색할 수 있는 파일 정보를 추출하고, 상기 수신한 데이터를 암호화해서 암호화된 데이터를 생성하고, 상기 암호화된 데이터와 상기 파일 정보를 포함하여 상기 암호화된 파일을 생성하는
    보안 브로커 시스템.
  12. 제11항에 있어서,
    상기 사용자 관리부는,
    상기 사용자가 로그인 하기 전에, 상기 사용자를 인증하고 등록하는
    보안 브로커 시스템.
  13. 제11항에 있어서,
    상기 사용자 관리부는,
    상기 사용자를 인증할 때, 상기 로그인 요청에 포함된 아이디와 패스워드가 유효한지 확인하고, 상기 아이디와 상기 패스워드가 유효하면, 기설정된 접속 제한에 해당하는 사항이 존재하는지 확인하고, 상기 접속 제한에 해당하는 사항이 존재하지 않으면, 상기 사용자의 인증에 성공했다고 판단하는
    보안 브로커 시스템.
  14. 제13항에 있어서,
    상기 접속 제한은,
    상기 사용자의 IP가 기설정된 접속 허용 IP에 포함되어 있지 않은 경우,
    상기 사용자가 기설정된 전용 뷰어를 통해서 로그인을 요청하지 않는 경우, 및
    상기 사용자가 기설정된 브라우저를 이용하지 않는 경우 중에서 적어도 하나를 포함하는
    보안 브로커 시스템.
  15. 삭제
  16. 제11항에 있어서,
    상기 파일 정보는,
    상기 수신한 데이터의 파일 명칭, 상기 수신한 데이터에서 기설정된 횟수 이상 검출되는 태그, 상기 수신한 데이터에서 기설정된 비율로 검출되는 태그, 상기 파일의 생성일, 상기 수신한 데이터의 생성자, 상기 수신한 데이터가 생성된 위치 정보, 상기 수신한 데이터에 포함된 목차 정보 중에서 적어도 하나를 포함하는
    보안 브로커 시스템.
  17. 제11항에 있어서,
    상기 브로커 코어부는,
    상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일들의 검색을 요청 받으면, 상기 외부 저장 장치에 저장된 암호화된 파일들 각각의 파일 정보를 읽어서 상기 사용자에게 제공하는
    보안 브로커 시스템.
  18. 제11항에 있어서,
    상기 브로커 코어부는,
    상기 사용자로부터 상기 외부 저장 장치에 저장된 암호화된 파일 중에서 선택된 암호화된 파일의 다운로드를 요청 받으면, 상기 선택된 암호화된 파일을 상기 사용자의 비밀키로 복호화해서 복호화된 파일을 생성하고, 상기 복호화된 파일을 상기 사용자에게 송신하는
    보안 브로커 시스템.
  19. 제11항에 있어서,
    상기 사용자 관리부는,
    상기 사용자가 로그 아웃하면, 설정된 상기 사용자의 비밀키와 상기 수신된 개인키를 폐기하는
    보안 브로커 시스템.
  20. 제11항에 있어서,
    상기 사용자 관리부는,
    상기 사용자가 그룹에 소속된 경우, 상기 사용자가 소속된 그룹의 기저장된 그룹키를 확인하고, 상기 사용자로부터 수신하는 개인키와 상기 그룹키를 이용해서 상기 사용자의 비밀키로 생성하는
    보안 브로커 시스템.
KR1020170044644A 2017-04-06 2017-04-06 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법 KR101975041B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170044644A KR101975041B1 (ko) 2017-04-06 2017-04-06 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170044644A KR101975041B1 (ko) 2017-04-06 2017-04-06 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법

Publications (2)

Publication Number Publication Date
KR20180113292A KR20180113292A (ko) 2018-10-16
KR101975041B1 true KR101975041B1 (ko) 2019-05-03

Family

ID=64132835

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170044644A KR101975041B1 (ko) 2017-04-06 2017-04-06 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR101975041B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102310219B1 (ko) * 2021-04-06 2021-10-08 주식회사 위엔 개인 정보 보안 강화 장치 및 그 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002236618A (ja) 2001-02-07 2002-08-23 Fujitsu Ltd 秘密情報管理システムおよび情報端末

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040097016A (ko) * 2004-10-15 2004-11-17 곽현정 암호화를 활용한 웹저장공간 제공 서비스 시스템 및 방법
KR100867130B1 (ko) * 2007-02-23 2008-11-06 (주)코리아센터닷컴 보안 데이터 송수신 시스템 및 방법
KR100984275B1 (ko) * 2008-08-28 2010-09-30 경희대학교 산학협력단 안전하지 않은 통신 채널에서 비인증서 공개키를 사용한 보안키 생성 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002236618A (ja) 2001-02-07 2002-08-23 Fujitsu Ltd 秘密情報管理システムおよび情報端末

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102310219B1 (ko) * 2021-04-06 2021-10-08 주식회사 위엔 개인 정보 보안 강화 장치 및 그 방법

Also Published As

Publication number Publication date
KR20180113292A (ko) 2018-10-16

Similar Documents

Publication Publication Date Title
JP7045837B2 (ja) フェデレーテッドキー管理
US9866567B2 (en) Systems and methods for detecting and reacting to malicious activity in computer networks
EP3453136B1 (en) Methods and apparatus for device authentication and secure data exchange between a server application and a device
US10305902B2 (en) Two-channel authentication proxy system capable of detecting application tampering and method therefor
US11784823B2 (en) Object signing within a cloud-based architecture
Wang et al. Vulnerability assessment of oauth implementations in android applications
US9819491B2 (en) System and method for secure release of secret information over a network
CN105103119B (zh) 数据安全服务系统
US10397008B2 (en) Management of secret data items used for server authentication
AU2003223153A1 (en) Secure object for convenient identification
US10579809B2 (en) National identification number based authentication and content delivery
US20220029820A1 (en) Validated payload execution
KR101996579B1 (ko) 외부 저장 장치에 저장되는 파일을 안전하게 공유하는 보안 브로커 시스템 및 그 방법
CN112699404A (zh) 一种校验权限的方法、装置、设备及存储介质
CN112398787B (zh) 邮箱登录验证的方法、装置、计算机设备及存储介质
KR101975041B1 (ko) 외부 저장 장치에 저장되는 파일을 보안하는 보안 브로커 시스템 및 그 방법
JP7079528B2 (ja) サービス提供システム及びサービス提供方法
KR101881279B1 (ko) 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법
CN113098899B (zh) 无形资产保护方法、装置及计算机可读介质
KR102534012B1 (ko) 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법
EP2479696A1 (en) Data security
WO2015078500A1 (en) Method and system for secure execution of web applications for mobile devices
US10382430B2 (en) User information management system; user information management method; program, and recording medium on which it is recorded, for management server; program, and recording medium on which it is recorded, for user terminal; and program, and recording medium on which it is recorded, for service server
JP2006040146A (ja) ファイル実行システムとその方法
CN117957813A (en) Security management system and security management method

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right