KR102328597B1

KR102328597B1 - 암호화 기능을 수행하는 필터 모듈

Info

Publication number: KR102328597B1
Application number: KR1020200115086A
Authority: KR
Inventors: 박지수; 박영재
Original assignee: 주식회사 알파비트
Priority date: 2020-09-09
Filing date: 2020-09-09
Publication date: 2021-11-18
Also published as: KR20220033425A; KR102386044B1

Abstract

본 발명은 암호화 기능을 수행하는 필터 모듈에 관한 것으로, 상기 필터 모듈은, 멀티파트(multi-part) 헤더 영역 또는 입력스트림(inputstream)을 읽어, 헤더 부분을 제외한 파일 부분을 암호화하도록 설정되며, 상기 필터 모듈을 포함하는 서버에서 설정된 특정 디렉토리에 대하여, 상기 특정 디렉토리에 저장되는 파일 부분을 암호화하도록 설정된다.

Description

암호화 기능을 수행하는 필터 모듈{FILTER MODULE FOR EXCUTING ENCRYPTION FUNCTION}

본 발명은 암호화 기능을 수행하는 필터 모듈에 관한 것으로서, 보다 상세하게는 웹 어플리케이션 서버에서 동작하는 암호화 필터 모듈에 관한 것이다.

기업이나 업무용 컴퓨터의 경우, 기술 개발 결과물 또는 기술 개발에 관련된 중요한 데이터를 저장하고 있다. 또한, 개인용 컴퓨터의 경우에도 개인의 프라이버시와 관련된 데이터를 저장하고 있다.

이러한 중요 데이터에 대한 관리는 보안 시스템이 발달되면서 보다 철저한 솔루션으로서 제공되고 있다. 특히, 기업에서 관리 중인 전자 문서의 반출 등에 있어서는 암호화/복호화 프로세스를 거쳐야 가능하다.

암호화 모듈의 경우, 특히 비정형 데이터의 경우에 암/복호화된 데이터는 새로운 파일 형태로 저장될 수 있으며, 서버에 등록된 비정형 데이터의 암호화 정책정보는 암호화된 상태로 관리된다.

기업/기관이 보호해야 할 데이터 중 비정형 데이터의 비중은 계속해서 증가될 것으로 전망되고 있으며, 이미 비정형 데이터가 차지하는 비율이 80%를 넘어선 것으로 나타나고 있다.

다만, 이러한 비정형 데이터의 암/복호화에 대하여 다양한 형태의 암/복호화 기법이 적용될 수 있으며, 본 발명에서는 효율적인 암/복호화 정책에 따르는 암/복호화 기능에 대하여 구체적으로 개시하기로 한다.

본 발명은 전술한 종래 기술의 문제점을 해결하기 위한 것으로서, 파일 암/복호화를 수행할 수 있다.

본 발명의 일 실시예는 암호화 기능을 수행하는 필터 모듈에 관한 것으로, 상기 필터 모듈은, 멀티파트(multi-part) 헤더 영역 또는 입력스트림(inputstream)을 읽어, 헤더 부분을 제외한 파일 부분을 암호화하도록 설정되며, 상기 필터 모듈을 포함하는 서버에서 설정된 특정 디렉토리에 대하여, 상기 특정 디렉토리에 저장되는 파일 부분을 암호화하도록 설정된다.

또한, 상기 헤더 영역의 Content-type은 멀티파트(multi-part)이고, 상기 헤더 영역의 Method는 POST이다.

또한, 상기 암호화하도록 설정되는 파일 부분은 비정형 데이터로 암호화하도록 설정되고, 키관리 시스템(KMS) 모듈과 연동되어 암호화 키를 설정하여 암호화된다.

또한, 상기 필터 모듈은, HttpRequestWrapper 클래스를 이용하여, 서버에서 수신한 request stream에서 파일 부분을 검색하여 암호화하도록 설정된다.

본 발명은 암호화 기능을 수행하는 필터 모듈에 관한 것으로, 시스템의 수정을 최소화하여 암/복호화 기능을 제공할 수 있다.

본 발명에 따를 때, WAS 필터 모듈 설정만으로 암/복호화를 수행할 수 있다.

본 발명에 따를 때, 필터 모듈에 오류 발생시 기존 스트림으로 복구를 수행할 수 있다.

도 1은 본 발명의 일 예에 따르는 암호화 시스템을 개념적으로 나타내는 도면이다.
도 2는 본 발명의 일 예에 따르는 필터 모듈의 설정 방법을 나타내는 도면이다.
도 3은 본 발명의 일 예에 따르는 필터 모듈의 설정 방법을 나타내는 도면이다.

아래에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시예를 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.

명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.

본 명세서에 있어서 '부(部)'란, 하드웨어에 의해 실현되는 유닛(unit), 소프트웨어에 의해 실현되는 유닛, 양방을 이용하여 실현되는 유닛을 포함한다. 또한, 1 개의 유닛이 2 개 이상의 하드웨어를 이용하여 실현되어도 되고, 2 개 이상의 유닛이 1 개의 하드웨어에 의해 실현되어도 된다. 한편, '~부'는 소프트웨어 또는 하드웨어에 한정되는 의미는 아니며, '~부'는 어드레싱 할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다. 따라서, 일 예로서 '~부'는 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로코드, 회로, 데이터, 데이터베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부'들로 결합되거나 추가적인 구성요소들과 '~부'들로 더 분리될 수 있다. 뿐만 아니라, 구성요소들 및 '~부'들은 디바이스 또는 보안 멀티미디어카드 내의 하나 또는 그 이상의 CPU들을 재생시키도록 구현될 수도 있다.

이하에서 언급되는 "사용자 단말"은 네트워크를 통해 서버나 타 단말에 접속할 수 있는 컴퓨터나 휴대용 단말기로 구현될 수 있다. 여기서, 컴퓨터는 예를 들어, 웹 브라우저(WEB Browser)가 탑재된 노트북, 데스크톱(desktop), 랩톱(laptop) 등을 포함하고, 휴대용 단말기는 예를 들어, 휴대성과 이동성이 보장되는 무선 통신 장치로서, IMT(International Mobile Telecommunication)-2000, CDMA(Code Division Multiple Access)-2000, W-CDMA(W-Code Division Multiple Access), Wibro(Wireless Broadband Internet), LTE(Long Term Evolution) 통신 기반 단말, 스마트폰, 태블릿 PC 등과 같은 모든 종류의 핸드헬드(Handheld) 기반의 무선 통신 장치를 포함할 수 있다. 또한, “네트워크”는 근거리 통신망(Local Area Network; LAN), 광역 통신망(Wide Area Network; WAN) 또는 부가가치 통신망(Value Added Network; VAN) 등과 같은 유선 네트워크나 이동 통신망(mobile radio communication network) 또는 위성 통신망 등과 같은 모든 종류의 무선 네트워크로 구현될 수 있다.

도 1은 본 발명의 일 예에 따르는 암호화 시스템을 개념적으로 나타내는 도면이다.

도 1에 도시된 바와 같이 암호화 시스템은 보안 관리자가 관리자 서버를 통해 암호화키 관리/정책 서버를 관리하며, 암호화키 관리/정책 서버는 고객 시스템에 대한 데이터를 암호화 및 관리한다.

정보보안 담당자가 암/복호화 정책 설정 서버에 접속하여, 키를 비롯한 암복호화에 대한 정보를 입력하고, 각 서버에 암/복호화 정보가 도달할 수 있도록 한다.

웹 어플리케이션 서버(Web Application Server; WAS) 필터에서는 사용자가 올린 비정형 데이터를 확인하고 해당 데이터가 암호화 대상인지 여부를 URI, request/response 헤더, 디렉토리 정보 등 정책 정보를 검토한다.

암/복호화 대상일 경우에는 해당 비정형 데이터는 API를 통해서 암/복호화가 이루어지고 암/복호화된 데이터는 새로운 파일 형태로 서버에 저장된다.

서버에 등록된 비정형 데이터의 암호화 정책 정보는 암호화된 상태로 관리된다.

일반 사용자가 서버에 저장된 암호화된 비정형 데이터를 확인하게 되었을 때, 일반적인 암호화일 경우, 알 수 없는 값들로만 확인이 가능하다.

이미지 익명화나 선택적 이미지 암호화의 경우에는 정의된 이미지를 확인함으로서 해당 파일 또는 비정형 데이터가 암호화되어 있음을 인지할 수 있다.

권한이 있는 사용자가 암호화된 비정형 데이터를 확인하게 되면 WAS 필터 모듈에서 해당 암호화 데이터를 확인하여 사용자의 권한에 따라 데이터를 복호화하고 사용자의 PC에 원본 비정형 데이터를 저장한다.

권한있는 사용자는 복호화된 비정형 데이터를 정상적으로 확인할 수 있다.

본 발명에 따르는 WAS 서버는 빅데이터 데이터 암호화 API 기능을 수행한다.

서버에 적용되어있는 비정형 파일 스트림(File Stream)에 적용해, 비정형 데이터를 암/복호화 하여 파일 스트림(File Stream) 완료 시점에 파일(File)로 저장한다.

일련의 바이트(Byte)들을 관리자 페이지에서 정의한 암호화 정책들과 키로 암/복호화한다.

암/복호화 대상의 정책에 따라, 암/복호화 할 수 있도록 API를 개발할 수 있다.

추가적인 암호화 정책이 정의됐을 경우, 파일의 저장위치, 암/복호화 파일의 필터링(Filtering), 파일 정보를 통한 식별 등을 통해 암호화할 수 있다.

본 발명에 따르는 WAS 필터 모듈은 하기와 같이 암호화 기능을 수행한다.

WAS의 request/response ServletStream을 암/복호화 스트림(Stream)으로 변경한 래퍼 필터(Wrapper Filter)를 통해, 기존 평문 파일 스트림(File Stream)을 통해 이루어지던 저장/생성/읽기 등의 행위가 지정된 암/복호화로 이루어지도록 개발할 수 있다.

WAS 필터(Filter)를 통해 설정된 request/response에 대해서만, 이를테면, 헤더(Header)의 Content-type 은 멀티파트(multipart) 여야만 하고, Method는 POST 일 것이며, requestURI에서 특정 uri 일 때만 동작하도록 개발할 수 있다.

서버의 특정 디렉토리(Directory)를 설정하여 해당 디렉토리(Directory)에 저장되는 파일에 대해서만 암호화할 수 있는 기능을 개발할 수 있다.

암/복호화 대상 여부는 지정된 설정파일 정보를 통해 정의되며, 해당 설정은 WAS의 재기동 필요 없이, 설정파일 변경 시마다 다시 적용된다.

서버의 WAS 내부에서 빠르고 안정적으로 구동하기 위해서 스트림(Stream)의 처리가 가능하도록 비정형 데이터 암호화 모듈이 개발이 필요하다.

비정형 데이터 암호화 모듈은 단순 암호화가 아닌 키관리 시스템과 연동되어 관리자에 의해 정의된 정책에 따라 알고리즘 및 암호화 키를 설정하여 암/복호화가 이루어지도록 개발이 필요하다.

즉, 본 발명에 따르는 암호화 방식은 WAS 자바 서블릿(java Servlet)에서 request/response의 입력스트림/출력스트림(inputstream/outstream)을 오버라이드(override)하여 암/복호화하는 방식으로, 멀티파트(multipart) 헤더의 라이트(write) 또는 일반적 스트림(stream)인 입력스트림(inputstream)을 읽어, 헤더부분은 그대로 두고 파일 부분만 잘라내어 그대로 암호화하는 방식이다.

보다 구체적으로 설명하면, 본 발명에 따르는 필터 모듈은 HttpRequest/ResponseWrapper 를 활용하여, 클라이언트(Client) 및 서버(Server) 간에 주고받는 정보를 변경하는 방식이다.

request는 파일 업로드시 contentType 이 multipart/form-data 일 경우, 아래와 같은 형태이다

"

------WebKitFormBoundaryCm6kMzluyp4wnUXv

Content-Disposition: form-data; name="file1"; filename="123.bin"

Content-Type: application/octet-stream

12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890

------WebKitFormBoundaryCm6kMzluyp4wnUXv

Content-Disposition: form-data; name="file2"; filename="456.bin"

Content-Type: application/octet-stream

123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890

------WebKitFormBoundaryCm6kMzluyp4wnUXv--

"

상기에서 숫자로 된 것이 파일 부분이며, 필터(filter)에서 구현된 requestwrapper에서 requset stream을 먼저 받아, 해당부분을 찾고 암/복호화를 진행한다.

response의 경우도 마찬가지이나, response 시에는 순수 파일 스트림(stream)을 받을 수 있음으로 request 만큼 복잡하지는 않다.

상기의 암호화 필터 모듈은 하기 표 1과 같은 패키지의 형식으로 제공될 수 있다.

구분		내용	비고
설정파일	log4j.properties	로그 설정파일
	fiter.properties	필터 설정파일
	cul.list	적용 대상 URL
	cul.policy	URL 암복호화 정책
라이브러리	ap-smart-api	알파비트 암호화 api
	ap-smart-filter	알파비트 필터 라이브러리
	ap-common-util	알파비트 Util 라이브러리
Dependency	log4j	로그 라이브러리
Dependency	Commons-fileupload	Apache-common 라이브러리

이하에서는, 본 발명에 따르는 커널 모듈의 적용 방법, 환경 설정 방법을 구체적으로 설명하기로 한다.

먼저 환경변수에 대한 설정은 프로파일 편집 창으로 이동하여 수행할 수 있다.

1) export SAPI_ROOT=<설치된 smartguard 디렉토리>/sapi_root

2) export LD_LIBRARY_PATH=$SAPI_ROOT/../lib

3) export LD_PRELOAD=$SAPI_ROOT/../lib

4) source 명령어로 수정한 profile을 적용한다.

또한, 도 2 및 도 3에 표시된 바와 같이, webapp/{ContextPath}/WEB-INF/lib/에 알파비트 라이브러리 와 Dependency 라이브러리를 위치시킨다. 이후, 필터설정 파일들을 $SAPI_ROOT/conf에 위치시킨다.

설정파일의 위치를 임의로 설정하고 싶은 경우, filter init parameter 를 통해 설정파일 위치를 지정할 수 있다.

본 발명의 일 실시예는 컴퓨터에 의해 실행되는 프로그램 모듈과 같은 컴퓨터에 의해 실행가능한 명령어를 포함하는 기록 매체의 형태로도 구현될 수 있다. 컴퓨터 판독 가능 매체는 컴퓨터에 의해 액세스될 수 있는 임의의 가용 매체일 수 있고, 휘발성 및 비휘발성 매체, 분리형 및 비분리형 매체를 모두 포함한다. 또한, 컴퓨터 판독가능 매체는 컴퓨터 저장 매체 및 통신 매체를 모두 포함할 수 있다. 컴퓨터 저장 매체는 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈 또는 기타 데이터와 같은 정보의 저장을 위한 임의의 방법 또는 기술로 구현된 휘발성 및 비휘발성, 분리형 및 비분리형 매체를 모두 포함한다. 통신 매체는 전형적으로 컴퓨터 판독가능 명령어, 데이터 구조, 프로그램 모듈, 또는 반송파와 같은 변조된 데이터 신호의 기타 데이터, 또는 기타 전송 메커니즘을 포함하며, 임의의 정보 전달 매체를 포함한다.

본 발명의 방법 및 시스템은 특정 실시예와 관련하여 설명되었지만, 그것들의 구성 요소 또는 동작의 일부 또는 전부는 범용 하드웨어 아키텍쳐를 갖는 컴퓨터 시스템을 사용하여 구현될 수 있다.

전술한 본 발명의 설명은 예시를 위한 것이며, 본 발명이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명의 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 쉽게 변형이 가능하다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다. 예를 들어, 단일형으로 설명되어 있는 각 구성 요소는 분산되어 실시될 수도 있으며, 마찬가지로 분산된 것으로 설명되어 있는 구성 요소들도 결합된 형태로 실시될 수 있다.

본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims

암호화 기능을 수행하는 필터 모듈에 있어서,
상기 필터 모듈은,
멀티파트(multi-part) 헤더 영역 또는 입력스트림(inputstream)을 읽어,
헤더 부분을 제외한 파일 부분을 암호화하도록 설정되며,
상기 필터 모듈을 포함하는 서버에서 설정된 특정 디렉토리에 대하여, 상기 특정 디렉토리에 저장되는 파일 부분을 암호화하도록 설정되는 것을 특징으로 하고,
상기 암호화하도록 설정되는 파일 부분은 비정형 데이터로 암호화하도록 설정되고,
키관리 시스템 모듈과 연동되어 암호화 키를 설정하여 암호화되는 것을 특징으로 하는, 필터 모듈.
제1항에 있어서,
상기 헤더 영역의 Content-type은 멀티파트(multi-part)이고,
상기 헤더 영역의 Method는 POST인 것을 특징으로 하는, 필터 모듈.
삭제
삭제