KR102365254B1 - 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 - Google Patents

보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 Download PDF

Info

Publication number
KR102365254B1
KR102365254B1 KR1020190111308A KR20190111308A KR102365254B1 KR 102365254 B1 KR102365254 B1 KR 102365254B1 KR 1020190111308 A KR1020190111308 A KR 1020190111308A KR 20190111308 A KR20190111308 A KR 20190111308A KR 102365254 B1 KR102365254 B1 KR 102365254B1
Authority
KR
South Korea
Prior art keywords
secure
storage device
terminal
security
area
Prior art date
Application number
KR1020190111308A
Other languages
English (en)
Other versions
KR20210029967A (ko
Inventor
김양웅
우정아
Original Assignee
주식회사 시티캣
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 시티캣 filed Critical 주식회사 시티캣
Priority to KR1020190111308A priority Critical patent/KR102365254B1/ko
Publication of KR20210029967A publication Critical patent/KR20210029967A/ko
Application granted granted Critical
Publication of KR102365254B1 publication Critical patent/KR102365254B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • G06F21/46Structures or tools for the administration of authentication by designing passwords or checking the strength of passwords
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 저장영역이 일반영역과 보안영역으로 분할되어, 보안단말기를 이용하여 사용자를 식별하고, 인증된 사용자에게반 보안영역에 대한 접근을 허용하도록 하는 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템에 관한 것으로, 본 발명은 사용자를 식별하여 사용자 식별정보를 생성하는 사용자 인증모듈과; 상기 사용자 식별정보에 대응하는 보안접근정보를 저장장치로 전송하는 컨트롤러와; 상기 사용자 식별정보에 대응되는 보안접근정보가 저장되는 저장모듈; 그리고 상기 보안접근정보를 근거리 통신을 통해 송수신하는 근거리 통신모듈을 포함하여 구성되는 보안단말기와, 데이터 입출력이 가능하도록 컴퓨터와 접속하는 인터페이스부와; 상기 보안단말기와 보안접근정보를 송수신하는 근거리 무선 통신부와; 데이터를 저장하는 메모리로 구성되되, 저장영역이 일반영역과 보안영역으로 구분되어 구성되는 저장부; 그리고 상기 보안단말기로부터 보안접근정보를 수신하여, 사용자 인증결과에 따라 선택적으로 보안영역을 활성화 여부를 결정하는 제어부를 포함하여 구성되는 저장장치를 포함하여 구성된다. 이와 같은 본 발명에서는 저장장치의 보안영역을 인증된 사용자만 접근하고 제어하여 데이터를 보호할 수 있는 효과가 있다.

Description

보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 { MANAGEMENT SYSTEM AND METHOD FOR DATA SECURITY FOR STORAGE DEVICE USING SECURITY DEVICE }
본 발명은 저장영역이 일반영역과 보안영역으로 분할되어, 보안단말기를 이용하여 사용자를 식별하고, 인증된 사용자에게만 보안영역에 대한 접근을 허용하도록 하는 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법에 관한 발명이다.
저장장치는 사용자가 가지고 다니며 컴퓨터의 인터페이스를 통해 쉽게 데이터를 교환 및 저장할 수 있는 장치이다. 대표적인 인터페이스로 USB(Universal Serial Bus)와 lightning과 Thunderbolt가 있다.
일반적인 저장장치는 사용의 편리성을 위해 누구든지 동일한 포트를 가지는 컴퓨터에서 인식하여 데이터 교환 및 저장이 가능하도록 구성된다.
그러나 저장장치를 분실할 경우 습득한 누구나 동일한 포트를 가지는 컴퓨터에서 저장장치에 저장된 데이터를 확인 및 유출이 가능하여 그로 인한 피해가 크다.
이에 대한민국 등록특허 제10-1385929호에서는 저장장치에 지문센서 탑재하여 사용자를 식별한 후 장치에 저장된 데이터를 승인된 사용자만 확인 및 독출이 가능하도록 개발된 바 있다.
그러나 종래기술의 경우 센서의 탑재로 인해 장치가 커지고 센서의 도입으로 인해 가격이 상승하는 문제가 있다. 또한 장치를 컴퓨터의 포트를 통해 연결 후 지문인식을 위한 위치와 가해지는 압력등 물리적인 힘에 의해 포트가 손상되는 문제점이 있었다.
대한민국 등록특허 제10-1385929호
본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 안출된 것으로, 본 발명은 음성, 얼굴, 지문 및 홍채와 같은 사용자를 식별할 수 있는 생체인식 센서를 통한 식별기능과 비밀번호, 패턴인식과 같은 방법으로 사용자를 식별하는 기능과 인증기능을 통해 인증된 사용자가 근거리 무선통신을 통해 제어신호를 송출하는 기능이 탑재된 소형의 컴퓨터 그리고 상기 인증된 사용자에 의해 생성된 제어신호를 수신하여 제어되는 저장장치를 제어하며, 인증되지 않은 사용자의 제어신호등 비정상 접근을 감지하여 단계적으로 보호하는 방법을 제공하고자 하는 것이다.
그리고 본 발명은 제어의 종류로, 저장장치의 저장부에 전체 또는 일부를 보안영역으로 설정 또는 해제 그리고 저장된 데이터의 수정 및 보안영역 접근의 허용 또는 불허의 제어 방법을 제공하고자 하는 것이다.
또한, 본 발명은 상기 보안영역에 데이터를 저장시 암호화하여 저장하는 방법과 데이터를 확인 및 독출시 복호화 하는 방법을 제공하고자 하는 것이다.
상기한 바와 같은 목적을 달성하기 위한 본 발명의 특징에 따르면, 본 발명은 사용자를 식별하여 사용자 식별정보를 생성하는 사용자 인증모듈과; 상기 사용자 식별정보에 대응하는 보안접근정보를 저장장치로 전송하는 컨트롤러와; 상기 사용자 식별정보에 대응되는 보안접근정보가 저장되는 저장모듈; 그리고 상기 보안접근정보를 근거리 통신을 통해 송수신하는 근거리 통신모듈을 포함하여 구성되는 보안단말기와, 데이터 입출력이 가능하도록 컴퓨터와 접속하는 인터페이스부와; 상기 보안단말기와 보안접근정보를 송수신하는 근거리 무선 통신부와; 데이터를 저장하는 메모리로 구성되되, 저장영역이 일반영역과 보안영역으로 구분되어 구성되는 저장부; 그리고 상기 보안단말기로부터 보안접근정보를 수신하여, 사용자 인증결과에 따라 선택적으로 보안영역을 활성화 여부를 결정하는 제어부를 포함하여 구성되는 저장장치를 포함하여 구성된다.
이때, 상기 보안접근정보는, 생성시마다 서로 다른 값으로 생성되는 원타임패스워드일 수도 있다.
그리고 상기 컨트롤러는, 기저장 보안접근정보 및 신규생성 보안접근정보를 저장장치로 전송하고; 상기 저장장치의 보안영역이 활성화된 경우, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신할 수도 있다.
또한, 상기 저장장치는, 상기 보안단말기로부터 수신된 보안접근정보를 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 암호화 하여 데이터 암호화키를 생성하는 암호키 생성모듈을 더 포함하여 구성될 수도 있다.
그리고 상기 제어부는, 상기 보안단말기로부터 수신된 기저장 보안접근정보로부터 생성된 데이터 암호화키를 저장장치에 저장된 데이터 암호화키와 대비하여, 보안영역을 활성화 여부를 결정하고; 상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 데이터 암호화키를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로부터 생성된 데이터 암호화키로 갱신저장할 수도 있다.
또한, 상기 보안접근정보는, 생성시마다 서로 다른 값으로 생성되는 원타임패스워드와; 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 생성된 데이터 암호화키일 수도 있다.
그리고 상기 컨트롤러는, 기저장 보안접근정보 및 신규생성 보안접근정보를 저장장치로 전송하고; 상기 저장장치의 보안영역이 활성화된 경우, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신할 수도 있다.
또한, 상기 제어부는, 상기 보안단말기로부터 수신된 기저장 보안접근정보를 상기 저장장치에 저장된 데이터 암호화키와 대비하여, 보안영역을 활성화 여부를 결정하고; 상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 데이터 암호화키를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장할 수도 있다.
그리고 상기 제어부는, 상기 보안영역에 저장되는 데이터를 상기 데이터 암호화키를 통해 암호화하여 저장하고, 상기 보안영역에 저장된 데이터를 상기 데이터 암호화키를 통해 복호화하여 독출되도록할 수도 있다.
또한, 상기 보안접근정보는, 상기 보안영역에 대한 데이터 저장, 검색 및 접근 체계를 정의한 파일시스템정보일 수도 있다.
그리고 상기 제어부는, 상기 파일시스템의 갱신시 갱신된 상기 파일시스템정보를 상기 보안단말기로 전송할 수도 있다.
또한, 상기 제어부는, 상기 근거리 무선 통신부를 통한 보안단말기와의 접속이 해제된 경우, 상기 파일시스템정보를 삭제할 수도 있다.
그리고 상기 제어부는, 접근권한이 설정된 데이터가 상기 보안영역에 저장되는 경우, 상기 접근권한이 설정된 데이터에 대한 파일시스템정보를 생성하여, 상기 일반영역에 대한 파일시스템정보에 포함시켜 저장할 수도 있다.
또한, 접근권한이 설정된 데이터에 대한 파일시스템정보는, 접근권한에 대한 설정정보를 포함하고; 상기 접근권한은, 데이터의 읽기, 복사, 변경, 삭제 또는 출력에 대한 허용 여부일 수도 있다.
그리고 상기 컨트롤러 및 제어부는, 통신 암호화키를 이용하여 암호화된 통신데이터를 통해 보안단말기 및 저장장치의 통신을 유지하되; 상기 통신 암호화키는, 상기 보안단말기와 저장장치 사이의 등록시, 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보, 상기 저장장치 고유정보 또는 랜덤 생성값 중 둘 이상의 조합에 의해 생성되는 고유값으로 상기 보안단말기 및 저장장치에 저장될 수도 있다.
또한, 상기 제어부는, 상기 보안단말기의 제어신호에 따라 상기 보안영역과 일반영역의 크기를 설정 및 재설정할 수도 있다.
그리고 상기 사용자 인증모듈은, 사용자의 지문 또는 홍채를 식별하는 생체인식모듈로 구성될 수도 있다.
또한, 상기 사용자 인증모듈은, 사용자로부터 인증번호 또는 인증패턴을 입력받는 키패드모듈로 구성될 수도 있다.
그리고 상기 제어부는, 상기 보안접근정보에 의한 인증이 허용되지 않은 상태에서, 상기 인터페이스부를 통한 상기 보안영역에 대한 데이터접근이 감지된 경우, 상기 보안영역에 저장된 데이터를 영구삭제할 수도 있다.
한편, 본 발명은 (A) 보안단말기를 통해 사용자가 식별되어 사용자식별정보가 생성되는 단계와; (B) 저장장치에 상기 보안단말기가 근거리무선통신을 통해 접속되는 단계와; (C) 상기 보안단말기가 상기 사용자식별정보에 대응하는 보안접근정보를 상기 저장장치에 전송하는 단계; 그리고
(D) 상기 저장장치가 수신된 상기 보안접근정보를 이용하여 사용자를 인증하고, 상기 저장장치에 포함된 보안영역을 활성화시켜, 상기 보안영역에 저장된 데이터를 접근가능하게 운영하는 단계를 포함하여 수행되는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법을 포함한다.
이때, 상기 보안접근정보는 생성시마다 서로 다른 값으로 생성되는 원타임패스워드이고; 상기 제 (C) 단계의 상기 보안접근정보는, 상기 보안단말기에 저장된 기저장 보안접근정보 및 신규로 생성된 신규생성 보안접근정보를 포함하는 것일 수도 있다.
그리고 상기 제 (D) 단계는, 상기 보안단말기가 상기 저장장치의 보안영역이 활성화된 경우, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신하는 단계를 더 포함하여 수행될 수도 있다.
또한, 상기 저장장치는, 상기 보안단말기로부터 수신된 보안접근정보를 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 암호화하여 데이터 암호화키를 생성하는 암호키 생성모듈을 더 포함하여 구성될 수도 있다.
그리고 상기 제 (D) 단계의 사용자 인증은, 상기 보안단말기로부터 수신된 기저장 보안접근정보로부터 생성된 데이터 암호화키를 저장장치에 저장된 데이터 암호화키와 대비하여, 보안영역의 활성화 여부를 결정하는 단계와; 상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 데이터 암호화키를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로부터 생성된 데이터 암호화키로 갱신저장하는 단계를 포함하여 수행될 수도 있다.
또한, 상기 보안접근정보는, 생성시마다 서로 다른 값으로 생성되는 원타임패스워드와, 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 생성된 데이터 암호화키일 수도 있다.
그리고 상기 (C) 단계의 보안접근정보는, 상기 보안단말기에 저장된 기저장 보안접근정보 및 신규로 생성된 신규생성 보안접근정보를 포함하는 것일 수도 있다.
또한, 상기 (D) 단계는, 상기 저장장치의 보안영역이 활성화된 경우, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신하는 단계를 더 포함하여 수행될 수도 있다.
그리고 상기 제 (D) 단계의 사용자 인증은, 상기 보안단말기로부터 수신된 기저장 보안접근정보를 상기 저장장치에 저장된 데이터 암호화키와 대비하여, 보안영역을 활성화 여부를 결정하는 단계와; 상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 데이터 암호화키를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장하는 단계를 포함하여 수행될 수도 있다.
또한, 상기 제어부는, 상기 보안영역에 저장되는 데이터를 상기 데이터 암호화키를 통해 암호화하여 저장하고, 상기 보안영역에 저장된 데이터를 상기 데이터 암호화키를 통해 복호화하여 독출되도록 할 수도 있다.
그리고 상기 보안접근정보는, 상기 보안영역에 대한 데이터 저장, 검색 및 접근 체계를 정의한 파일시스템정보이고; (E) 상기 보안영역의 사용에 의해 상기 보안접근정보가 변경되는 경우, 상기 변경된 보안접근정보를 상기 저장장치가 상기 보안단말기로 전송하는 단계와; (F) 상기 저장장치와 상기 보안단말기의 접속이 해제되는 경우, 상기 저장장치에 저장된 보안접근정보 정보가 삭제되는 단계를 더 포함하여 수행될 수도 있다.
또한, 상기 제어부는, 접근권한이 설정된 데이터가 상기 보안영역에 저장되는 경우, 상기 접근권한이 설정된 데이터에 대한 파일시스템정보를 생성하여, 상기 일반영역에 대한 파일시스템정보에 포함시켜 저장할 수도 있다.
그리고 접근권한이 설정된 데이터에 대한 파일시스템정보는, 접근권한에 대한 설정정보를 포함하고; 상기 접근권한은, 데이터의 읽기, 복사, 변경, 삭제 또는 출력에 대한 허용 여부일 수도 있다.
또한, 상기 제 (A) 단계의 사용자 식별은, 사용자의 지문 또는 홍채를 식별함에 의해 수행될 수도 있다.
그리고 상기 제 (A) 단계의 사용자 식별은, 사용자로부터 인증번호 또는 인증패턴을 입력받는 것에 의해 수행될 수도 있다.
위에서 살핀 바와 같은 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법에서는 다음과 같은 효과를 기대할 수 있다.
즉, 본 발명에서는 저장장치의 보안영역을 인증된 사용자만 접근하고 제어하여 데이터를 보호할 수 있는 효과가 있다.
또한, 저장장치에 지문센서 또는 키패드를 가지는 종래기술보다 크기를 줄일 수 있는 효과가 있다.
그리고 저장장치와 표준화된 인터페이스로 데이터를 주고받는 컴퓨터의 운영체제에 따라 인증을 위한 별도의 프로그램을 설치하지 않아도 되는 효과가 있다. 즉, 본 발명에 의하면, PC 상에 별도의 프로그램 설치 없이도 저장장치의 보안 시스템을 구현할 수 있으므로, 범용적으로 모든 PC에서 휴대용 보안 저장장치를 사용할 수 있으므로 사용상의 편의성이 향상되는 효과가 있다.
도 1은 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템의 구성 예를 도시한 예시도.
도 2는 본 발명의 구체적인 실시예에 의한 보안단말기와 저장장치의 구성을 도시한 블록도.
도 3은 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 방법의 일 예를 도시한 흐름도.
도 4는 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 방법의 접근권한을 설정 방법을 도시한 흐름도.
도 5는 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 방법의 다른 예를 도시한 흐름도.
이하에서는 첨부된 도면을 참조하여 본 발명의 구체적인 실시예에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템 및 방법을 살펴보기로 한다.
설명에 앞서 먼저, 본 발명의 효과, 특징 및 이를 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예에서 명확해진다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시 예들을 설명함에 있어, 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이며, 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들(실행 엔진)에 의해 수행될 수도 있으며, 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다.
이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다.
그리고 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성하여 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명되는 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능들을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있으며, 몇 가지 대체 실시 예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능하다.
즉, 도시된 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하며, 또한 그 블록들 또는 단계들이 필요에 따라 해당하는 기능의 역순으로 수행되는 것도 가능하다.
이하에서는 먼저, 상기 보안접근정보가 파일시스템 정보인 경우를 기준으로 설명하고, 이후 상기 보안접근정보가 원타임패스워드인 경우와 데이터 암호화키인 경우를 각각 설명하기로 한다.
그리고 상기 저장모듈(140)은 상기 보안단말기(100)에 구비되는 저장공간으로, 상기 보안단말기(100)를 운용하기 위한 데이터들이 저장됨은 물론, 본 발명과 관련하여, 상기 파일시스템정보가 저장되는 부분이다.
또한, 상기 근거리통신모듈(130)은 상기 저장장치(200)와 접속되어, 상기 파일시스템정보를 근거리통신을 통해 상기 저장장치(200)로 전송하는 역할을 수행한다.
이때, 상기 근거리통신모듈은 통신종류에 따라 NFC((near field communication) 모듈 또는 블루투스 모듈로 구성될 수 있다.
한편, 상기 저장장치(200)는 본 명세서에서는 휴대 가능한 저장매체인 USB 장치를 기준으로 설명하였으나, 외장하드디스크, 내장하드디스크 등 다양한 저장장치일 수 있다.
이때, 본 발명에 의한 저장장치(200)는 근거리무선통신부(210), 인터페이스부(220), 제어부(230), 암복호화부(240) 및 저장부(250)를 포함하여 구성된다.
상기 근거리무선통신부(210)는 상기 보안단말기(100)의 근거리통신모듈(130)과 접속하여 상기 파일시스템정보를 송수신하는 역할을 수행한다.
그리고 상기 인터페이스부(220)는 상기 저장장치(200)가 PC와 접속하기 위한 규격 접속단자를 말한다.
상기 저장부(250)는 상기 저장장치(200)의 데이터 저장공간으로, 저장영역이 일반영역(251)과 보안영역(253)으로 구분된다.
상기 일반영역(251)은 통상의 USB 저장공간과 같이 별도의 인증절차 없이 사용 가능한 저장공간을 말하고, 상기 보안영역(253)은 상기 보안단말기(100)를 통해 사용자가 인증된 경우에만 사용하도록 하는 저장공간을 말한다.
이를 위해 본 발명에서는 상기 일반영역(251)을 운용하기 위한 시스템파일과 상기 보안영역(253)을 운용하기 위한 시스템파일이 개별적으로 구분된다.
물론, 본 발명의 다른 실시예의 경우, 상기 일반영역과 보안영역에 대한 시스템파일이 통합되어 구분되지 않도록 하는 것도 가능하다.
본 실시예의 경우, 상기 보안영역(253)을 운용하기 위한 시스템파일을 파일시스템정보라 한다.
즉, 본 발명에서 파일시스템정보는 상기 보안영역(253)에 대한 데이터 저장, 검색 및 접근 체계를 정의한 정보를 말하고, 상기 접근체계는 보안영역(253)의 물리적 위치 및 크기등을 포함한다.
한편, 상기 제어부(230)는 상기 보안단말기(100)로부터 파일시스템정보를 수신하여 상기 보안영역(253)을 활성화한다.
또한, 상기 제어부(230)는 상기 보안영역(253)을 사용함에 있어, 저장데이터의 변동이 발생하여, 상기 파일시스템정보이 변경되는 경우, 변경된 파일시스템정보를 상기 보안단말기(100)로 즉시 전송하는 역할을 수행한다.
이에 따라 상기 보안단말기(100)는 실시간으로 상기 보안영역(253)에 대하여 변경된 파일시스템정보를 저장할 수 있다.
아울러 상기 제어부(230)의 다양한 기능에 대하여 이후 다시 상세히 설명하기로 한다.
그리고 상기 암복호화부(240)는 상기 보안영역(253)에 저장되는 데이터를 데이터 암호화키를 통해 암호화하여 저장하고, 상기 보안영역(253)에 저장된 데이터를 상기 데이터 암호화키를 통해 복호화하여 독출되도록 제공하는 부분으로, 인증되지 않은 기기에서 비정상적으로 상기 보안영역(253)의 데이터가 반출되더라도 보안성이 유지되도록 하기 위한 것이다.
여기서, 상기 데이터 암호화키의 생성 및 구성에 대하여는 다시 상술하기로 한다.
전술한 바와 같이, 상기 제어부(230)는 상기 저장부의 보안영역을 인증된 사용자만이 사용할 수 있도록 한다.
이를 위한 다양한 형태의 기술구성이 있을 수 있으나, 본 실시예의 경우, 상기 보안영역(253)을 운영하기 위한 시스템파일정보를 보안단말기(100)로부터 제공받도록 한다.
이때, 상기 제어부(230)는 상기 보안단말기(100)의 접속이 해제되면, 상기 시스템파일정보를 삭제하여, 상기 보안단말기(100)가 접속되지 않은 상태에서는 상기 보안영역(253)이 사용되지 못하도록 할 수 있다.
또한, 이와 다르게, 상기 저장장치(200)에 상기 시스템파일정보를 저장하기 위한 휘발성 메모리(미도시)를 부가하고, 상기 휘발성 메모리에 상기 보안단말기(100)로부터 수신된 상기 시스템파일정보를 저장하여 사용할 수 있다.
이 경우, 일단 상기 저장장치(200)가 PC에 접속되어 전원이 인가된 상태에서, 보안단말기(100)로부터 상기 시스템파일정보를 수신받아 상기 휘발성 메모리에 상기 시스템파일정보가 저장되면, 상기 저장장치(200)가 PC로부터 분리될 때까지 상기 보안단말기(100)와의 접속이 유지되지 않아도 상기 보안영역(253)을 사용할 수 있는 차이점이 있다.
한편, 상기 보안영역(253)에 저장되는 데이터는 상기 보안단말기(100)와 저장장치(200)가 공유한 데이터 암호화키에 의해 암호화되어 저장될 수 있는데, 상기 데이터 암호화키는 상기 보안단말기(100)의 컨트롤러(120)에 의해 생성될 수 있다.
구체적으로, 상기 데이터 암호화키는 식별된 사용자에 대한 식별정보, 상기 보안단말기(100)의 고유정보인 단말기 식별정보 또는 저장장치(100) 고유정보 중 어느 하나 이상으로 포함하여 생성될 수 있다.
이후에 설명할 본 발명의 다른 실시예의 경우, 일회성으로 랜덤 생성된 원타임패스드에 사용자에 대한 식별정보, 단말기 식별정보 또는 저장장치 고유정보 중에서 추출되는 정보들을 포함하여 데이터 암호화키를 생성하고 이를 통해 사용자 인증까지 수행하도록 할 수 있는데, 이에 대하여는 다시 설명하기로 한다.
즉, 상기 컨트롤러(120)는 상기 저장장치(200)로부터 저장장치 고유정보를 수신받고, 인식된 사용자의 식별정보 및 단말기 식별정보를 이용하여 데이터 암호화키를 생성하고, 생성된 데이터 암호화키를 저장장치(200)로 제공하여 상기 데이터 암호화키를 공유할 수 있다.
또한, 상기 데이터 암호화키는 일회성을 생성하여 공유될 수 있는데, 이 경우 상기 데이터 암호화키에는 일회성으로 생성되는 랜덤키 값이 포함되어 구성될 수 있다.
한편, 상기 제어부(230) 및 컨트롤러(120)는 제어신호를 포함하는 통신데이터를 암호화하여 송신하고, 수신된 통신데이터를 복호화하기 위한 통신 암호키를 생성하여 각각 보유할 수 있다.
상기 통신 암호화키는 상기 보안단말기에 저장장치를 등록할때 생성되어, 상기 보안단말기와 저장장치에 각각 저장될 수 있다.
이때, 상기 통신 암호화키는 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보, 상기 저장장치 고유정보 또는 랜덤 생성값 중 둘 이상의 조합에 의해 생성될 수 있다.
한편, 상기 제어신호는 다양한 기능을 수행하기 위한 제어신호일 수 있는데, 예를 들어 상기 저장부(250)의 일반영역(251)과 보안영역(253)의 크기를 설정 및 재설정하기 위한 제어신호일 수 있다.
즉, 상기 제어부(230)는 상기 데이터 암호화키를 이용하여 암호화된 제어신호를 상기 컨트롤러(120)로부터 수신받아 상기 보안영역(253)과 일반영역(251)의 크기를 설정 및 재설정할 수 있다.
한편, 상기 일반영역(251)과 보안영역(253)의 크기는 상기 제어부(230)에 의해 자동적으로 조절될 수 있다.
이에 대한 구체적인 실시예로, 상기 제어부(230)는 상기 보안영역(253)의 미사용 잔여공간과 상기 일반영역의 미사용 잔여공간의 비율이 일정하게 유지되도록 상기 보안영역(253)과 일반영역(251)의 크기를 재설정할 수 있다.
이 경우, 제한된 크기의 저장공간을 일반영역과 보안영역으로 구분하여 사용하면서도, 양 쪽의 잔여공간 비율이 일정하게 유지되어 어느 영역을 다른 영역보다 많이 사용하여도 저장공간 전체를 별도의 설정없이 모두 사용할 수 있는 효과가 있다.
또한, 상기 제어부(230)는 허가되지 않은 사용자에 의한 보안영역(253) 접근이 감지되는 경우, 상기 보안영역(253)에 저장된 데이터를 영구 삭제할 수도 있다. 이때, 상기 허가 여부는 상기 데이터 암호화키의 인증 여부로 판별될 수 있다.
그리고 사용자는 보안영역(253)에 저장된 파일 중 일부에 대하여 접근권한을 설정하여, 접근권한 내에서 인증되지 않은 사용자도 해당 파일을 접근할 수 있도록 할 수 있다.
본 발명에 적용되는 구체적인 방법을 살피면, 접근권한이 설정된 데이터가 상기 보안영역(253)에 저장되는 경우, 상기 제어부(230)는 상기 접근권한이 설정된 데이터에 대한 파일시스템정보를 생성한 후, 생성된 상기 파일시스템정보를 상기 일반영역(251)에 대한 파일시스템정보에 포함시켜 저장한다.
이에 따라 인증되지 않은 사용자가 본 발명에 의한 저장장치(200)를 사용하는 경우, 일반영역에 대한 사용만이 허용되는데, 상기 일반영역(251)에 대한 파일시스템에 접근권한이 설정된 데이터에 대한 파일시스템이 저장되므로, 사용자는 설정된 접근권한 내에서 상기 보안영역(253)에 저장된 파일에 접근할 수 있게 된다.
이때, 상기 접근권한은 데이터의 읽기, 복사, 변경, 삭제 또는 출력 등에 대한 일부 또는 전부에 대한 허용여부가 설정되는 것일 수 있다.
다음으로는, 본 발명에 의한 보안접근정보가 생성시마다 서로 다른 값으로 생성되는 원타임패스워드(랜덤키 값)인 경우를 설명하기로 한다.
본 실시예의 경우, 도 5에 도시된 바와 같이, 상기 컨트롤러는, 저장장치의 접속시, 기저장 보안접근정보 및 신규생성 보안접근정보를 상기 저장장치로 전송한다.
이때, 상기 기저장 보안접근정보는 상기 저장장치와 최종적으로 접속시 일회성으로 생성되어 저장되었던 보안접근정보(원타임패스워드)를 말하고, 신규생성 보안접근정보는 새로 생성된 보안접근정보(원타임패스워드)를 말한다.
이후, 상기 기저장 보안접근정보 및 신규생성 보안접근정보를 수신한 저장장치는 수신된 기저장 보안접근정보와 저장장치에 저장되어 있던 보안접근정보를 대비하여, 보안단말기에 대한 인증을 수행하고, 보안영역에 대한 접근권한을 허가한다.
이때, 상기 저장장치의 보안영역이 활성화된 경우, 즉, 인증이 성공한 경우, 상기 저장장치는 저장된 보안접근정보를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장하여, 일회성을 생성되는 보안접근정보에 대한 다음번 인증을 대비한다.
물론, 상기 저장장치의 보안영역이 활성화된 경우, 상기 보안단말기 역시, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신하여 저장한다.
다음으로, 본 발명에 의한 보안단말기와 저장장치의 부가기능에 대하여 설명하기로 한다.
먼저, 상기 보안단말기는 서버를 통한 MDM(Mobile Device Management) 기능을 통해 저장장치의 이용상태를 제어할 수 있다.
즉, 외부서버로부터 인증된 사용자가 상기 보안단말기에 접속하여, 원격제어명령을 전송할 수 있다.
이때, 상기 컨트롤러는, 외부서버로부터 원격 제어명령이 수신되는 경우, 상기 원격 제어명령에 따라 상기 저장장치의 상기 보안영역에 대한 데이터 삭제, 접근제한, 인증제한 또는 로그정보의 추출 등의 다양한 명령을 수행할 수 있다.
다음으로, 상기 저장장치는 상기 보안단말기와의 접근거리에 따라 보안영역에 대한 접근을 제한할 수 있다.
즉, 상기 저장장치의 제어부는, 상기 근거리 통신모듈을 통한 보안단말기와의 접속 해제가 감지되는 경우, 보안영역에 대한 접근이 제한되도록 할 수 있다.
이에 따라 상기 보안단말기를 통해 상기 저장장치의 보안영역이 활성화된 이후라도, 상기 보안단말기가 이탈된 경우, 즉시 상기 보안영역에 대한 사용을 금지시킬 수 있게 된다.
이 경우, 상기 보안단말기와의 접속이 해제된 경우만을 설명하였으나, 접속이 해제되지는 않았으나, 거리가 일정 범위를 벗어난 경우에도 이를 적용할 수 있다.
한편, 상기 저장장치의 제어부는 인증오류 횟수가 반복되는 경우, 인증을 소정의 시간동안 또는 영구적으로 제한하도록 할 수 있다.
즉, 상기 제어부는, 상기 보안단말기를 통한 인증의 실패 횟수를 누적 저장하고, 연속된 상기 실패횟수가 기 설정된 값을 초과하는 경우, 상기 보안영역에 대한 인증을 제한하도록 할 수 있다.
이하에서는 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 방법의 구체적인 실시예를 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 3에 도시된 바와 같이, 본 발명에 의한 보안단말기를 이용한 저장장치의 데이터 보안관리 방법은, 저장장치(200)가 PC에 접속되는 것으로부터 시작된다(S110).
이후 상기 저장장치(200)는 보안단말기(100)가 근거리통신을 통해 접속되었는지와 상기 근거리통신을 통해 상기 보안단말기(100)로부터 파일시스템정보가 수신되었는지 여부를 판별한다(S120, S130).
한편, 상기 보안단말기(100)는 제110단계 내지 제130단계와 별개로, 인증모듈(110)을 통해 사용자를 식별하고, 식별된 사용자에 대한 사용자 식별정보를 추출한다(S210).
그리고 상기 사용자 식별정보에 해당하는 파일시스템정보를 추출하여, 데이터 암호화키로 인코딩 후, 인코딩된 파일시스템정보를 저장장치(200)로 전송한다(S220).
물론, 제220단계에서 상기 보안단말기(100)의 사용자가 단일 사용자인 경우, 상기 제220단계의 파일시스템정보는 하나이다.
또한, 상기 데이터 암호화키의 생성 및 공유는 전술한 바와 같으므로, 구체적인 설명은 생략하기로 한다.
한편, 본 발명에서는 다수개의 보안단말기에 의해 인증된 경우에, 상기 파일시스템 정보가 전송되거나 활성화될 수 있도록 할 수 있다.
이 경우, 상기 저장장치는 기 설정된 다수개의 보안단말기들이 근거리 무선통신에 의해 데이터 암호화키를 전송한 경우에만 상기 파일시스템 정보가 수신되도록 구성될 수 있다.
또 다르게는, 상기 파일시스템 정보가 기 설정된 다수개의 보안단말기들에 대응되는 다수개의 인증값들을 포함하여 구성되는 데이터 암호화키에 의해 암호화되어 전송될 수 있다. 이때, 상기 저장장치는 상기 다수개의 보안단말기들로부터 모든 인증값들을 수신받고, 이들로부터 생성되는 데이터 암호화키를 통해서만 상기 파일시스템 정보를 활성화시킬 수 있도록 구성되는 것도 가능하다.
한편, 상기 제220단계에 의해, 상기 제120단계 및 제130단계에서 보안단말기(100)가 접속되어 상기 파일시스템정보가 수신된 경우에는, 수신된 파일시스템정보를 데이터 암호화키를 이용하여 암복호화부를 통해 디코딩하여 저장한다(S140).
이때, 상기 파일시스템정보는 실시예에 따라 상기 저장부(250)에 저장될 수도 있고, 별도의 휘발성 메모리에 저장될 수도 있다.
상기 수신된 파일시스템정보가 저장된 이후에는, 저장된 파일시스템정보를 이용하여 상기 저장부(250)의 보안영역(253)이 운용된다.
물론, 상기 제120단계 및 제130단계에서 보안단말기(100)가 접속되지 않거나, 상기 파일시스템정보가 수신되지 않은 경우, 상기 보안영역(253)에 대한 파일시스템정보가 부재하므로 상기 보안영역(253)은 인식되지 않고, 일반영역(251) 만이 일반영역에 대한 파일시스템을 이용하여 인식/운용된다(S500).
한편, 상기 제150단계에 의해 보안영역 운용 중에, 상기 파일시스템정보에 대한 변경이 발생되면, 상기 제어부(230)는 변경된 파일시스템정보를 보안단말기(100)로 전송한다(S310, S320).
그리고 보안단말기(100)는 상기 변경된 파일시스템정보를 저장한다(S330).
다음으로, 상기 제어부(230)는 상기 보안단말기(100)의 접속 해제를 인식하여, 상기 보안단말기(100)의 접속이 해제되면, 저장된 파일시스템정보를 삭제한다(S410, S420).
이에 따라, 상기 보안단말기(100)가 재접속되어 상기 파일시스템정보가 재수신되기 전까지는 상기 보안영역(253)을 사용할 수 없게 된다.
물론, 상기 파일시스템정보가 휘발성메모리에 저장되는 경우에는, 상기 저장장치(200)가 PC로부터 분리되는 경우, 자동적으로 상기 파일시스템정보가 삭제된다.
이하에서는 사용자가 보안영역에 파일을 저장함에 있어 접근권한을 설정하는 경우를 도 4를 참조하여 설명하기로 한다.
도 4에 도시된 바와 같이, 사용자가 보안영역(253)에 파일을 저장하면서 접근권한을 부여하거나, 기 저장된 파일에 접근권한을 설정하는 경우, 상기 제어부(230)는 접근권한 설정에 대한 입력명령을 인식한다(S610).
이후, 상기 제어부(230)는 해당 파일에 대한 파일시스템을 일반영역에 대한 파일시스템정보에 포함시켜 저장한다(S620). 이때, 상기 해당 파일시스템에는 접근권한이 포함되어 구성된다.
이에 따라 사용자는 파일에 일부 권한을 부여하여, 비인증된 사용자에게 일부 권한에 대하여는 상기 보안영역(253)에 저장된 파일에 접근할 수 있도록 설정할 수 있다.
한편, 상기 저장부(230)의 일반영역(251)과 보안영역(253)의 크기를 재설정하는 방법, 데이터 암호화키를 생성하는 방법, 데이터 암호화키를 이용하여 데이터와 제어신호를 암복호화하는 방법 및 비인가된 사용자에 의한 보안영역 접근시 데이터를 삭제하는 방법에 대하여는 전술한 바와 같으므로, 상세한 중복 설명은 생략하기로 한다.
또한, 본 발명에서 사용자의 인증은 상기 데이터 암호화키의 확인을 통해 이루어질 수도 있다.
다음으로, 본 발명에 의한 보안접근정보가 생성시마다 서로 다른 값으로 생성되는 원타임패스워드(랜덤키 값)인 경우의 인증실행 방법을 도 5를 참조하여 설명하기로 한다.
본 실시예의 경우, 저장장치(200)가 PC에 접속되는 과정(S1110), 보안단말기(100)의 접속을 확인하는 과정(S1120), 인증모듈(110)을 통한 사용자 인증과정(S1210)은, 전술한 실시예와 동일한 과정이므로 상세한 설명은 생략하기로 한다.
한편, 상기 보안단말기는 보안접근정보를 새로 생성하고, 신규생성 보안접근정보와 함께, 저장되어 있던 기저장 보안접근정보를 독출하여 저장장치로 전송한다(S1220, S1230).
이때, 상기 기저장 보안접근정보는 상기 저장장치와 최종적으로 접속시 일회성으로 생성되어 저장되었던 보안접근정보(원타임패스워드)를 말하고, 신규생성 보안접근정보는 새로 생성된 보안접근정보(원타임패스워드)를 말한다.
이 경우, 상기 보안접근정보는 원타임패스워드(랜덤키값) 자체일 수도 있고, 상기 원타임패스워드를 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보 중 어느 하나 이상을 포함하여 암화한 데이터로 가공된 데이터일 수도 있다.
이후, 상기 기저장 보안접근정보 및 신규생성 보안접근정보를 수신한 저장장치는(S1240), 수신된 기저장 보안접근정보와 저장장치에 저장되어 있던 보안접근정보를 대비하여 양 보안접근정보가 일치하는지 여부를 판별한다(S1250).
상기 제 1250 단계의 판단결과, 양 보안접근정보가 일치하는 경우, 사용자를 인증하여, 보안영역에 대한 접근을 허용한다(S1260).
이에 따라 상기 저장장치의 보안영역이 활성화된 경우, 즉, 인증이 성공한 경우, 상기 저장장치는 저장된 보안접근정보를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장하여, 일회성을 생성되는 보안접근정보에 대한 다음번 인증을 대비하고(S1270), 상기 보안단말기는 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신하여 저장한다(S1280).
물론, 이 경우에도 상기 보안단말기의 접속이 해제되거나(S1310), 제 1120 단계의 판단결과 보안단말기의 접속이 없는 경우 및 제 1250 단계의 판단결과 사용자 인증이 통과되지 못한 경우에는, 상기 저장장치의 보안영역은 미활성된 상태로 일반영역만이 운용된다(S1320).
본 발명의 권리는 위에서 설명된 실시예에 한정되지 않고 청구범위에 기재된 바에 의해 정의되며, 본 발명의 분야에서 통상의 지식을 가진 자가 청구범위에 기재된 권리범위 내에서 다양한 변형과 개작을 할 수 있다는 것은 자명하다.
본 발명은 저장영역이 일반영역과 보안영역으로 분할되어, 보안단말기를 이용하여 사용자를 식별하고, 인증된 사용자에게반 보안영역에 대한 접근을 허용하도록 하는 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템에 관한 것으로, 본 발명에 의하면, 저장장치의 보안영역을 인증된 사용자만 접근하고 제어하여 데이터를 보호할 수 있는 효과가 있다.
100 : 보안단말기 110 : 인증모듈
120 : 컨트롤러 130 : 근거리통신모듈
140 :저장모듈 200 : 저장장치
210 : 근거리무선통신부 220 : 인터페이스부
230 : 제어부 240 : 암복호화부
250 : 저장부 251 : 일반영역
253 : 보안영역

Claims (25)

  1. 사용자를 식별하여 사용자 식별정보를 생성하는 사용자 인증모듈과;
    상기 사용자 식별정보에 대응하는 보안접근정보를 저장장치로 전송하는 컨트롤러와;
    상기 사용자 식별정보에 대응되는 보안접근정보가 저장되는 저장모듈; 그리고
    상기 보안접근정보를 근거리 통신을 통해 송수신하는 근거리 통신모듈을 포함하여 구성되는 보안단말기와,
    데이터 입출력이 가능하도록 컴퓨터와 접속하는 인터페이스부와;
    상기 보안단말기와 보안접근정보를 송수신하는 근거리 무선 통신부와;
    데이터를 저장하는 메모리로 구성되되, 저장영역이 일반영역과 보안영역으로 구분되어 구성되는 저장부; 그리고
    상기 보안단말기로부터 보안접근정보를 수신하여, 사용자 인증결과에 따라 선택적으로 보안영역을 활성화 여부를 결정하는 제어부를 포함하여 구성되는 저장장치를 포함하여 구성되고:
    상기 보안접근정보는,
    생성시마다 서로 다른 값으로 생성되는 원타임패스워드와;
    상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보 중 어느 하나 이상의 정보;가 포함되어 생성된 정보이며:
    상기 컨트롤러 및 제어부는,
    통신 암호화키를 이용하여 암호화된 통신데이터를 통해 보안단말기 및 저장장치의 통신을 유지하되;
    상기 통신 암호화키는,
    상기 보안단말기와 저장장치 사이의 등록시,
    상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보, 상기 저장장치 고유정보 또는 랜덤 생성값 중 둘 이상의 조합에 의해 생성되는 고유값으로 상기 보안단말기 및 저장장치에 저장하고:
    상기 제어부는,
    상기 보안접근정보에 의한 인증이 허용되지 않은 상태에서, 상기 인터페이스부를 통한 상기 보안영역에 대한 데이터접근이 감지된 경우, 상기 보안영역에 저장된 데이터를 영구삭제함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 컨트롤러는,
    기저장 보안접근정보 및 신규생성 보안접근정보를 저장장치로 전송하고;
    상기 저장장치의 보안영역이 활성화된 경우, 상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  5. 제 4 항에 있어서,
    상기 제어부는,
    상기 보안단말기로부터 수신된 기저장 보안접근정보를 저장장치에 저장된 보안접근정보와 대비하여, 보안영역을 활성화 여부를 결정하고;
    상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 보안접근정보를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  6. 제 5 항에 있어서,
    상기 저장장치는,
    상기 보안단말기로부터 수신된 보안접근정보를 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 암호화하여 데이터 암호화키를 생성하는 암호키 생성모듈을 더 포함하여 구성됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  7. 제 6 항에 있어서,
    상기 제어부는,
    상기 보안영역에 저장되는 데이터를 상기 데이터 암호화키를 통해 암호화하여 저장하고, 상기 보안영역에 저장된 데이터를 상기 데이터 암호화키를 통해 복호화하여 독출되도록 함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  8. 삭제
  9. 제 1 항에 있어서,
    상기 제어부는,
    상기 보안단말기의 제어신호에 따라 상기 보안영역과 일반영역의 크기를 설정 및 재설정함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  10. 제 9 항에 있어서,
    상기 사용자 인증모듈은,
    사용자의 지문 또는 홍채를 식별하는 생체인식모듈로 구성됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  11. 제 9 항에 있어서,
    상기 사용자 인증모듈은,
    사용자로부터 인증번호 또는 인증패턴을 입력받는 키패드모듈로 구성됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  12. 삭제
  13. 제 9 항에 있어서,
    상기 컨트롤러는,
    외부서버로부터 원격 제어명령이 수신되는 경우,
    상기 원격 제어명령에 따라 상기 저장장치의 상기 보안영역에 대한 데이터 삭제, 접근제한, 인증제한 또는 로그정보의 추출을 수행함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  14. 제 9 항에 있어서,
    상기 제어부는,
    상기 근거리 통신모듈을 통한 보안단말기와의 접속 해제가 감지되는 경우, 보안영역에 대한 접근이 제한되도록 함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  15. 제 9 항에 있어서,
    상기 제어부는,
    상기 보안단말기를 통한 인증의 실패 횟수를 누적 저장하고, 연속된 상기 실패횟수가 기 설정된 값을 초과하는 경우, 상기 보안영역에 대한 인증을 제한함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 시스템.
  16. (A) 보안단말기를 통해 사용자가 식별되어 사용자식별정보가 생성되는 단계와;
    (B) 저장장치에 상기 보안단말기가 근거리무선통신을 통해 접속되는 단계와;
    (C) 상기 보안단말기가 상기 사용자식별정보에 대응하는 보안접근정보를 상기 저장장치에 전송하는 단계; 그리고
    (D) 상기 저장장치가 수신된 상기 보안접근정보를 이용하여 사용자를 인증하고, 상기 저장장치에 포함된 보안영역을 활성화시켜, 상기 보안영역에 저장된 데이터를 접근가능하게 운영하는 단계를 포함하여 수행되고:
    상기 보안접근정보는,
    생성시마다 서로 다른 값으로 생성되는 원타임패스워드와;
    상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보 중 어느 하나 이상의 정보;가 포함되어 생성된 정보이며:
    상기 제 (C) 단계의 상기 보안접근정보는,
    상기 보안단말기에 저장된 기저장 보안접근정보 및 신규로 생성된 신규생성 보안접근정보를 포함하되:
    상기 제 (D) 단계에서, 상기 보안단말기가 상기 저장장치의 보안영역이 활성화된 경우,
    상기 기저장 보안접근정보를 신규생성 보안접근정보로 갱신하는 단계를 더 포함하여 수행되고:
    상기 저장장치에 구비된 제어부는,
    상기 보안접근정보에 의한 인증이 허용되지 않은 상태에서, 인터페이스부를 통한 상기 보안영역에 대한 데이터접근이 감지된 경우, 상기 보안영역에 저장된 데이터를 영구 삭제함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
  17. 삭제
  18. 삭제
  19. 삭제
  20. 삭제
  21. 제 16 항에 있어서,
    상기 제 (D) 단계의 사용자 인증은,
    상기 보안단말기로부터 수신된 기저장 보안접근정보를 저장장치에 저장된 보안접근정보와 대비하여, 보안영역의 활성화 여부를 결정하는 단계와;
    상기 보안영역이 활성화된 경우, 상기 저장장치에 저장된 보안접근정보를 상기 보안단말기로부터 수신된 신규생성 보안접근정보로 갱신저장하는 단계를 포함하여 수행됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
  22. 제 21 항에 있어서,
    상기 저장장치는,
    상기 보안단말기로부터 수신된 보안접근정보를 상기 사용자 식별정보, 상기 보안단말기의 고유정보인 단말기 식별정보 또는 저장장치 고유정보를 통해 암호화 하여 데이터 암호화키를 생성하는 암호키 생성모듈을 더 포함하여 구성됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
  23. 제 22 항에 있어서,
    상기 제어부는,
    상기 보안영역에 저장되는 데이터를 상기 데이터 암호화키를 통해 암호화하여 저장하고, 상기 보안영역에 저장된 데이터를 상기 데이터 암호화키를 통해 복호화하여 독출되도록 함을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
  24. 제 16 항에 있어서,
    상기 제 (A) 단계의 사용자 식별은,
    사용자의 지문 또는 홍채를 식별함에 의해 수행됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
  25. 제 16 항에 있어서,
    상기 제 (A) 단계의 사용자 식별은,
    사용자로부터 인증번호 또는 인증패턴을 입력받는 것에 의해 수행됨을 특징으로 하는 보안단말기를 이용한 저장장치의 데이터 보안관리 방법.
KR1020190111308A 2019-09-09 2019-09-09 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법 KR102365254B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190111308A KR102365254B1 (ko) 2019-09-09 2019-09-09 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190111308A KR102365254B1 (ko) 2019-09-09 2019-09-09 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20210029967A KR20210029967A (ko) 2021-03-17
KR102365254B1 true KR102365254B1 (ko) 2022-02-21

Family

ID=75245571

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190111308A KR102365254B1 (ko) 2019-09-09 2019-09-09 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102365254B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113538741A (zh) * 2021-06-11 2021-10-22 南京和贤电子科技有限公司 一种数据安全管理装置及其方法
KR102446492B1 (ko) * 2021-08-17 2022-09-23 주식회사 리코렌인프라 수요기업 활동정보에 대한 빅데이터 분석 및 인공지능 기술을 활용한 검색/매칭/추천 알고리즘의 SI(System Integrator) 솔루션 구축 시스템

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231216B1 (ko) * 2012-07-13 2013-02-07 주식회사 베프스 지문 인식을 이용한 휴대용 저장 장치 및 그 제어 방법
KR101732007B1 (ko) * 2016-12-05 2017-05-08 (주)지란지교시큐리티 컴퓨팅 장치의 위치 기반 파일 접근 제어 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101385929B1 (ko) 2013-07-17 2014-04-16 (주)세이퍼존 멀티 커넥터 지문인식 인증 저장장치
KR101650870B1 (ko) * 2014-08-11 2016-08-26 주식회사 비티웍스 웨어러블 단말기와 동작 방법 및 이를 위한 인증 어플리케이션, 이를 이용하는 인증 시스템 및 인증 방법
KR101659294B1 (ko) * 2015-02-12 2016-09-26 안동과학대학교 산학협력단 비콘 신호를 이용한 보안 usb 메모리 장치 및 그 동작 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101231216B1 (ko) * 2012-07-13 2013-02-07 주식회사 베프스 지문 인식을 이용한 휴대용 저장 장치 및 그 제어 방법
KR101732007B1 (ko) * 2016-12-05 2017-05-08 (주)지란지교시큐리티 컴퓨팅 장치의 위치 기반 파일 접근 제어 방법

Also Published As

Publication number Publication date
KR20210029967A (ko) 2021-03-17

Similar Documents

Publication Publication Date Title
KR102328725B1 (ko) 하나의 장치를 이용하여 다른 장치를 언로크하는 방법
JP4562464B2 (ja) 情報処理装置
EP1415430B1 (en) A method and a system for processing information in an electronic device
JP6633228B2 (ja) 暗号を伴うデータセキュリティシステム
US20070300031A1 (en) Memory data shredder
US10541819B2 (en) Forged command filtering system and related command authentication circuit
KR102192330B1 (ko) 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법
JP2012009938A (ja) 情報処理装置及びプログラム
KR102365254B1 (ko) 보안단말기를 이용한 저장장치의 데이터 보안 관리 시스템 및 방법
EP2985712B1 (en) Application encryption processing method, apparatus, and terminal
CN110287725B (zh) 一种设备及其权限控制方法、计算机可读存储介质
CN112585608A (zh) 嵌入式设备、合法性识别方法、控制器及加密芯片
CN107967432B (zh) 一种安全存储装置、系统及方法
KR20080039145A (ko) 이동 단말의 불법 사용을 방지하기 위한 방법 및 장치
US10219156B2 (en) Apparatus and method for protecting data in flash memory based on unauthorized activity on smart device
KR101745390B1 (ko) 데이터 유출 방지장치 및 그 방법
KR101495766B1 (ko) 원격 보안 관리가 가능한 시스템 및 방법
CN110781472A (zh) 指纹数据的存储和校验方法、终端及存储介质
KR102401920B1 (ko) 드론의 사용자 인증 시스템
KR101945738B1 (ko) 어플리케이션의 무결성을 검증하기 위한 어플리케이션 서버 및 그 제어 방법
KR101576584B1 (ko) 입력수단을 구비한 보안 usb 장치
CN117319085A (zh) 一种开启车载信息娱乐系统adb的方法及鉴权装置
CN112632580A (zh) 一种服务器的系统事件日志的安全防护方法及相关设备
CN117097520A (zh) 物联网设备的接入验证方法、设备及存储介质
CN115471952A (zh) 充电桩刷卡认证方法、充电桩及充电管理系统

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant