KR20060074805A - Method for temporal privilege management in untrusted network storage - Google Patents

Method for temporal privilege management in untrusted network storage Download PDF

Info

Publication number
KR20060074805A
KR20060074805A KR1020050046172A KR20050046172A KR20060074805A KR 20060074805 A KR20060074805 A KR 20060074805A KR 1020050046172 A KR1020050046172 A KR 1020050046172A KR 20050046172 A KR20050046172 A KR 20050046172A KR 20060074805 A KR20060074805 A KR 20060074805A
Authority
KR
South Korea
Prior art keywords
terminal
key
storage
owner
writer
Prior art date
Application number
KR1020050046172A
Other languages
Korean (ko)
Inventor
천정희
윤효진
고상호
이명수
황태선
김은미
Original Assignee
주식회사 케이티
재단법인서울대학교산학협력재단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 케이티, 재단법인서울대학교산학협력재단 filed Critical 주식회사 케이티
Publication of KR20060074805A publication Critical patent/KR20060074805A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0622Securing storage systems in relation to access
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/067Distributed or networked storage systems, e.g. storage area networks [SAN], network attached storage [NAS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords

Abstract

1. 청구범위에 기재된 발명이 속한 기술분야1. TECHNICAL FIELD OF THE INVENTION

본 발명은 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.The present invention relates to a method for managing time-based rights in untrusted network storage and a computer-readable recording medium having recorded thereon a program for realizing the method.

2. 발명이 해결하려고 하는 기술적 과제2. The technical problem to be solved by the invention

본 발명은 네트워크 스토리지에서 리더(Reader)와 라이터(Writer)의 권한 분리를 해결하기 위하여, 비대칭키 방식을 이용하여 리더(Reader)의 권한(자료의 복호화)을 시간단위로 관리(키 관리)하기 위한 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있음.The present invention manages the authority (decryption of data) of a reader by time unit (key management) by using an asymmetric key method to solve the separation of authority between reader and writer in network storage. The purpose of the present invention is to provide a computer-readable recording medium recording a time unit authority management method and a program for realizing the method.

3. 발명의 해결방법의 요지3. Summary of Solution to Invention

본 발명은, 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, 스토리지 소유자(Owner)의 단말(서버)이 라이터(Writer)의 단말(클라이언트)로 공개키를 제공하는 단계; 상기 공개키를 바탕으로, 상기 라이터의 단말이 상기 스토리지에 자료를 암호화하여 업로드하도록 하는 라이팅 단계; 상기 소유자의 단말이 리더(Reader)의 단말(클라이언트)로 상기 공개키와 동일하지 않은 시간단위 권한 비대칭 키를 제공하는 단계; 및 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으 로 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 리딩 단계를 포함한다.The present invention provides a method for managing rights in shareable network storage, the method comprising: providing a public key to a terminal (client) of a writer by a terminal of a storage owner; A writing step of allowing the writer's terminal to encrypt and upload data to the storage based on the public key; Providing, by the owner's terminal, to a terminal (client) of a reader, a time unit right asymmetric key that is not the same as the public key; And a reading step of causing the terminal of the reader authorized for a predetermined period based on the time unit authority to decrypt and read the encrypted data stored in the storage based on the time unit authority asymmetric key (decryption key). do.

4. 발명의 중요한 용도4. Important uses of the invention

본 발명은 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 등에 이용됨.The present invention is used for the management of time unit authority in untrusted network storage.

네트워크 스토리지, 권한 관리, 비공개키, 공개키, 서명 Network Storage, Rights Management, Private Key, Public Key, Signature

Description

신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법{Method for temporal privilege management in untrusted network storage}Method for temporal privilege management in untrusted network storage

도 1 은 종래기술에 따라 Plutus의 키 관리 방식을 나타낸 설명도, 1 is an explanatory diagram showing a key management method of Plutus according to the prior art;

도 2 는 본 발명에 따라 시간단위 권한 관리의 서비스 모델을 보여주는 일실시예 설명도, 2 is an exemplary explanatory diagram showing a service model of time unit authority management according to the present invention;

도 3 은 본 발명에 따라 해쉬 체인을 이용한 대칭키 기반의 리더(Reader) 및 라이터(Writer)의 시간단위 권한 관리 방법을 보여주는 일실시예 설명도, FIG. 3 is a diagram illustrating an embodiment of a time unit authority management method of a symmetric key based reader and writer using a hash chain according to the present invention;

도 4 는 본 발명에 따른 비대칭키 기반의 리더(Reader)의 시간단위 권한 관리 방법에 대한 일실시예 전체 흐름도, 4 is a flowchart illustrating an embodiment of a method for managing time unit rights of an asymmetric key based reader according to the present invention;

도 5 는 본 발명에 따른 비대칭키 기반의 리더(Reader)의 시간단위 권한 관리 방법 중 초기화 과정에 대한 일실시예 상세 흐름도, FIG. 5 is a detailed flowchart illustrating an initialization process in a method for managing time units of an asymmetric key based reader according to the present invention; FIG.

도 6 은 본 발명에 따른 비대칭키 기반의 리더(Reader)의 시간단위 권한 관리 방법 중 키 분배 과정에 대한 일실시예 상세 흐름도, 6 is a detailed flowchart illustrating a key distribution process in a method for managing time units of an asymmetric key based reader according to the present invention;

도 7 은 본 발명에 따른 비대칭키 기반의 리더(Reader)의 시간단위 권한 관리 방법 중 암호화 과정에 대한 일실시예 상세 흐름도, 7 is a detailed flowchart illustrating an encryption process in a method for managing time units of an asymmetric key based reader according to the present invention;

도 8 은 본 발명에 따른 비대칭키 기반의 리더(Reader)의 시간단위 권한 관 리 방법 중 복호화 과정에 대한 일실시예 상세 흐름도, 8 is a detailed flowchart illustrating an embodiment of a decryption process in a method for managing time units of an asymmetric key based reader according to the present invention;

도 9 는 본 발명에 따른 ID 기반 서명 방식을 이용한 라이터(Writer)의 시간단위 권한 관리 방법에 대한 일실시예 흐름도이다. 9 is a flowchart illustrating a method of managing time unit rights of a writer using an ID-based signature scheme according to the present invention.

본 발명은 신뢰할 수 없는(Untrusted) 네트워크 스토리지에서의 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것으로, 특히 신뢰할 수 없는 서버를 가진 네트워크 스토리지(이하, '신뢰할 수 없는 네트워크 스토리지'라 함)에서 비대칭키 방식을 이용하여 라이터(Writer)와 리더(Reader)의 권한을 분리시켜 스토리지 서버의 접근 제어를 통과한 누구나 자료를 라이트(write)(자료의 암호화)할 수 있게 하고, 리더(Reader)의 권한(자료의 복호화)을 시간단위로 관리(키 관리)할 수 있는 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. The present invention relates to a method for managing time-based rights in untrusted network storage and a computer-readable recording medium having recorded thereon a program for realizing the method. In other words, untrusted network storage uses asymmetric keying to separate writers and readers, allowing anyone who has passed the access control of the storage server to write data. Time-based authority management method that enables encryption, and the authority (decryption of data) of a reader (time management), and a computer-readable recording program for realizing the method. It relates to a recording medium.

또한, 본 발명은 신뢰할 수 없는 네트워크 스토리지에서 해쉬 체인(Hash chain)을 이용한 대칭키 방식을 이용하여 리더(Reader) 및 라이터(Writer)의 권한(자료의 복호화)을 시간단위로 효율적으로 관리(키 관리)할 수 있는 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. In addition, the present invention efficiently manages the authority (decryption of data) of the reader and the writer in units of time by using a symmetric key method using a hash chain in an unreliable network storage (key And a computer-readable recording medium having recorded thereon a program for realizing the method.

또한, 본 발명은 신뢰할 수 없는 네트워크 스토리지에서 아이디(ID) 기반의 서명 방식을 이용하여 라이터(Writer)의 권한(자료의 암호화)을 시간단위로 효율적으로 관리(키 관리)할 수 있는 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것이다. In addition, the present invention provides a time unit authority that can efficiently manage the authority of the writer (encryption of data) by unit of time by using an ID-based signature scheme in untrusted network storage (key management). A management method and a computer-readable recording medium having recorded thereon a program for realizing the method.

네트워크 스토리지(Network storage)의 가장 큰 장점중의 하나는 자료의 공유에 있다. One of the biggest advantages of network storage is the sharing of data.

따라서, 자료가 내 개인 하드웨어에 저장되어 있는 것이 아니기 때문에, 누구나 네트워크로 연결되어 있으면 적절한 절차를 거쳐 나의 자료에 접근할 수 있다. 이러한 손쉬운 자료 공유 때문에 현재 네트워크 스토리지는 그 사용 범위가 점점 더 넓어지고 있다. Therefore, because the data is not stored on my personal hardware, anyone can access my data with proper procedures if they are connected to the network. Because of this easy data sharing, network storage is becoming more and more widely available.

그러나, 저장 자료의 중요도가 높아지면서 서버를 전적으로 신뢰할 수 없게 되고, 이러한 경우 암호화를 통해 자료의 안전성을 보장해야 한다. 그러나, 자료를 암호화함으로써 자료를 공유하기 위해 복호화가 필요하고, 이때 복호화 키를 생성 및 전달하며 복호화하는 과정에서 효율성에 여러 가지 문제점이 발생하게 된다. However, as the importance of stored data increases, the server becomes completely unreliable. In this case, encryption should ensure the safety of the data. However, in order to share data by encrypting data, decryption is required, and various problems arise in efficiency in generating, transferring, and decrypting a decryption key.

물론, 네트워크 스토리지를 소유자(Owner)의 자료의 저장이라는 용도로만 사용하고자 한다면, 암호화한 키를 나 혼자만 잘 저장하고 적당히 업데이트시켜 주면 되므로 전혀 효율성에 문제가 없으나, 네트워크 스토리지를 공유할 경우 네트워크 스토리지에 저장된 내 자료를 읽고자 하는 사람(Reader)(이하, '리더(Reader)'라 함)과 내 네트워크 스토리지에 자료를 쓰고자 하는 사람(Writer)(이하, '라이터 (Writer)'라 함)이 존재하게 되어 키 관리의 문제가 발생하게 된다.Of course, if you want to use the network storage only to store the data of the owner (Owner), there is no problem of efficiency at all, because you only need to store the encrypted key alone and update it properly, but if you share the network storage, Readers who want to read my stored data (hereinafter referred to as "readers") and writers who want to write data to my network storage (hereinafter referred to as "writers") The existence of a key management problem arises.

만약, 정당한 리더(Reader)는 서버의 접근 제어(Access control)를 통과하여 자료에 접근할 때 암호화된 자료만을 읽을 수 있으며, 이를 복호화하기 위해서는 소유자(Owner)로부터 직접 복호화 키를 부여받아야 한다. 또한, 라이터(Writer)의 경우에도 자신이 소유자(Owner)의 공간에 의미있는 자료를 올리기 위해서는 소유자(Owner)로부터 직접 권리를 부여받는 것이 필요한 경우가 있다. If a legitimate reader accesses the data through the access control of the server, only the encrypted data can be read. To decrypt the data, the reader must be directly given a decryption key from the owner. In addition, in the case of a writer, it may be necessary to directly obtain a right from the owner in order to upload meaningful data in the owner's space.

그러므로, 소유자(Owner)는 더 이상 임의로 키를 업데이트시켜 사용할 수 없고 키를 업데이트 할 때마다 리더(Reader)(혹은 라이터(Writer))에게 키를 안전하게 전송해야 한다. Therefore, the owner can no longer arbitrarily update the key and use it and must securely send the key to the reader (or writer) each time the key is updated.

따라서, 본 발명에서는 기본적으로 신뢰할 수 없는 네트워크 스토리지를 가정하고, 이러한 환경에서 효율적이면서도 안전하게 자료를 저장 및 공유하기 위한 방안을 제안하고자 한다. Accordingly, the present invention basically assumes unreliable network storage, and proposes a method for efficiently and securely storing and sharing data in such an environment.

신뢰할 수 없는(Untrusted) 스토리지 서버에서의 키 관리 방식에 대한 일예로 "Plutus[KRSWF03]"가 있다. An example of how keys are managed in untrusted storage servers is "Plutus [KRSWF03]".

"Plutus"에서는 효율적인 키관리를 위해 키 로테이션(Key rotation) 방식을 사용한다. "Plutus" uses a key rotation scheme for efficient key management.

기본적으로, 대칭키(Symmetric key) 방식을 채택한 "Plutus"에서는 리더(Reader)의 권한을 키 로테이션(Key rotation) 방식을 이용하여 락박스 키(Lockbox key)를 효율적으로 관리한다. Basically, "Plutus" adopting the symmetric key method efficiently manages the lockbox key by using the key rotation method of the authority of the reader.

한편, 라이터(Writer)의 권한은 서명을 통해 이루어지며, 기본적으로 비대칭 키(Asymmetric key) 방식을 채택하여 서명키(Signing key)와 인증키(Verifying key)가 서로 다르다. On the other hand, the authority of the writer is achieved through a signature, and basically, a signing key and a verifying key are different from each other by adopting an asymmetric key method.

"Plutus"의 키 관리 방식은 도 1에 도시된 바와 같다. The key management scheme of "Plutus" is as shown in FIG.

먼저, 리더(Reader)의 권한 관리 방식을 살펴보면 다음과 같다. First, the authority management method of a reader is as follows.

네트워크 스토리지의 소유자(Owner)는 RSA(Rivest-Shamir-Adleman) 암호 체계의 공개키 (e, N )와 비밀키 d를 사용한다. 단, N은 큰 소수 두 개의 곱으로 이루어져 있고, "Euler" 함수 φ에 대해

Figure 112005028906813-PAT00001
이다. K0
Figure 112005028906813-PAT00002
초기화키(Initial key)라고 할 때, 키(Key)의 무효화(Revocation)가 일어날 때마다 다음과 같이 키 로테이션(Key rotation)을 한다.Owners of network storage use the public key (e, N) and secret key d of the Rivest-Shamir-Adleman (RSA) cryptosystem. Where N is the product of two large prime numbers, for the "Euler" function
Figure 112005028906813-PAT00001
to be. K 0
Figure 112005028906813-PAT00002
In the case of an initialization key, each time a key revocation occurs, the key rotation is performed as follows.

위와 같은 키 로테이션(Key rotation) 방식에 따르면, 하나의 락박스 키(Lockbox key)를 알면 이전의 락박스 키(Lockbox key)들을 모두 계산 가능하다. 즉, 어떤 순간의 락박스 키(Lockbox key)를 얻은 리더(Reader)는 무효화(Revocation) 이전의 자료들은 모두 읽을 수 있다. 그러나, RSA 가정에 의해 이후의 자료들에 대한 락박스 키(Lockbox key)들은 구해낼 수 없다. 따라서, 소유자(Owner)는 매 무효화(Revocation)마다 리더(Reader)들에게 업데이트된 락박스 키(Lockbox key)를 전송해야 하는 문제점이 있다. According to the key rotation method as described above, if one lockbox key is known, all of the previous lockbox keys can be calculated. That is, a reader that obtains a lockbox key at any moment can read all data before revocation. However, due to the RSA assumption, lockbox keys for later data cannot be obtained. Therefore, the owner has a problem in that the updated lockbox key must be transmitted to the readers at every revocation.

다음으로, 라이터(Writer)의 권한 관리 방식에 대하여 설명하면, 다음과 같다.Next, a description will be given of the authority management method of the writer.

"Plutus"에서 라이터(Writer)의 권한 관리는 서명에 의해 이루어지는데, 라 이터(Writer)가 업로드(Upload)하는 자료의 암호화에 대한 언급은 없으며, 단지 서명(Signing)과 사용자 인증(Verifying)의 과정으로 이루어진다. In "Plutus", Writer's rights management is done by signing. There is no mention of encryption of the data that Writer uploads, only signing and Verifying. The process takes place.

전술한 바와 같이, 라이터(Writer)의 권한 관리 방식에서는 서명키(Signing key)와 인증키(Verifying key)가 다른 비대칭키(Asymmetric key) 방식을 이용하고 있으며, 무효화(Revocation)가 생길 때마다 소유자(Owner)가 업데이트한다.As described above, the author's authority management method uses an asymmetric key method in which a signing key and a verifying key are different, and the owner whenever a revocation occurs. (Owner) updates.

리더(Reader)는 업데이트된 인증키(Verifying key)를 락박스 키(Lockbox key)와 파일 헤더에 붙어 있는 자료를 이용하여 얻을 수 있으며, 상기 리더(Reader)의 권한 관리 방식에서 살펴본 바와 같이 이전 락박스 키(Lockbox key)를 얻을 수 있기 때문에 이전 인증키(Verifying key)도 복구할 수 있다.The reader can obtain the updated verifying key using the data attached to the lockbox key and the file header, and as previously described in the permission management method of the reader, the previous lockbox key Because you can get a lockbox key, you can also recover your previous verifying key.

한편, 서명키(Signing key)는 소유자(Owner)가 생성하여 라이터(Writer)에게 직접 전해준다. 그러나, 이러한 방식에서는 매 무효화(Revocation)마다 모든 정당한 라이터(Writer)에게 새로운 서명키(Signing key)와 인증키(Verifying key)를 생성하고 또한 전송해주어야 한다는 문제점이 있다. 또한, 암호화를 위해서는 라이터(Writer)가 리더(Reader)의 권한을 가져야만 한다는 문제점이 있다. 즉, 리더(Reader)와 라이터(Writer)의 독자적인 권한 관리가 불가능한 문제점이 있다.On the other hand, the signing key is generated by the owner and delivered directly to the writer. However, this method has a problem of generating and transmitting a new signing key and a verifying key to every legitimate writer for every revocation. In addition, there is a problem that a writer must have the authority of a reader for encryption. That is, there is a problem that independent authority management of the reader and the writer is impossible.

본 발명은 상기 문제점을 해결하기 위하여 제안된 것으로, 네트워크 스토리지에서 리더(Reader)와 라이터(Writer)의 권한 분리를 해결하기 위하여, 비대칭키 방식을 이용하여 리더(Reader)의 권한(자료의 복호화)을 시간단위로 관리(키 관리) 하기 위한 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 그 목적이 있다. The present invention has been proposed to solve the above problems, and in order to solve the separation of the authority of the reader and the writer in network storage, the authority of the reader (a decryption of data) using an asymmetric key method. It is an object of the present invention to provide a time-based authority management method for managing a time unit (key management) and a computer-readable recording medium storing a program for realizing the method.

또한, 본 발명은 네트워크 스토리지에서 해쉬 체인을 이용한 대칭키 방식을 이용하여 리더(Reader) 및 라이터(Writer)의 권한(자료의 복호화 및 암호화)을 시간단위로 효율적으로 관리(키 관리)하기 위한 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 다른 목적이 있다. In addition, the present invention provides a time for efficiently managing (key management) the authority (decryption and encryption of data) of the reader and the writer by time using a symmetric key method using a hash chain in network storage. Another object is to provide a unit-rights management method and a computer-readable recording medium having recorded thereon a program for realizing the method.

또한, 본 발명은 네트워크 스토리지에서 아이디(ID) 기반의 서명 방식을 이용하여 라이터(Writer)의 권한(자료의 암호화)을 시간단위로 효율적으로 관리(키 관리)하기 위한 시간단위 권한 관리 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공하는데 또 다른 목적이 있다. In addition, the present invention provides a time-based authority management method for efficiently managing (key management) the time (encryption of data) of the writer (encryption of data) by using an ID (ID) -based signature scheme in network storage; Another object is to provide a computer readable recording medium having recorded thereon a program for realizing the method.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허 청구 범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by the embodiments of the present invention. Also, it will be readily appreciated that the objects and advantages of the present invention may be realized by the means and combinations thereof indicated in the claims.

상기 목적을 달성하기 위한 본 발명은, 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, 스토리지 소유자(Owner)의 단말(서버)이 라이터(Writer)의 단말(클라이언트)로 공개키를 제공하는 단계; 상기 공개키를 바탕으로, 상기 라이터의 단말이 상기 스토리지에 자료를 암호화하여 업로드하도록 하는 라이팅 단계; 상기 소유자의 단말이 리더(Reader)의 단말(클라이언트)로 상기 공개키와 동일하지 않은 시간단위 권한 비대칭 키를 제공하는 단계; 및 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으로 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 리딩 단계를 포함하여 이루어진 것을 특징으로 한다. According to an aspect of the present invention, there is provided a method for managing rights in sharable network storage, the method comprising: providing a public key to a terminal (client) of a writer (Owner); A writing step of allowing the writer's terminal to encrypt and upload data to the storage based on the public key; Providing, by the owner's terminal, to a terminal (client) of a reader, a time unit right asymmetric key that is not the same as the public key; And reading the encrypted terminal stored in the storage based on the time unit authority asymmetric key (decryption key) by the terminal of the reader authorized for a predetermined period based on the time unit authority. Characterized in that made.

또한, 본 발명은, 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, 스토리지 소유자(Owner)의 단말(서버)이 상기 소유자가 선택하여 비밀로 저장하고 있는 시간단위 권한 루트 비밀키(대칭키)를 해쉬 함수로 암호화하여 리더(Reader) 및 라이터(Writer)의 단말로 제공하는 단계; 및 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 라이터의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 상기 스토리지에 자료를 암호화하여 업로드하도록 하거나, 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 복호화 키를 복원한 후 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 라이팅/리딩 단계를 포함하여 이루어진 것을 특징으로 한다. In addition, the present invention provides a method for managing rights in shareable network storage, wherein a terminal (server) of a storage owner (Owner) selects a time-based authority root secret key (symmetric key) stored in secret by the owner. Encrypting by using a hash function and providing the terminal to a reader and a writer; And encrypting or uploading data to the storage based on the time-based authority root secret key, or allowing the writer's terminal authorized for a predetermined time period based on the time-based authority, or based on the time-based authority. And a writing / reading step of allowing the terminal of the authorized reader to restore the decryption key based on the time unit authority root secret key, and then decrypt and read the encrypted data stored in the storage.

또한, 본 발명은 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, 리더(Reader)의 권한(자료의 복호화)과 독립적으로, 상기 스토리지 소유자의 단말이 라이터(Writer)의 단말로 아이디(ID) 기반의 비밀키를 제공하는 단계; 상기 비밀키를 바탕으로 상기 라이터의 단말이 상기 스토리지내에 자료를 업로드하여 서 명하도록 하는 단계; 및 상기 소유자의 단말이 서명을 검증하여 유효한 자료를 상기 상기 스토리지에 업로드하는 단계를 포함하여 이루어진 것을 특징으로 한다. In addition, the present invention provides a method for managing rights in a shareable network storage, in which the terminal of the storage owner is based on an ID as a terminal of a writer, independently of the authority of the reader (decryption of data). Providing a secret key of the; Allowing the writer's terminal to upload and sign data in the storage based on the secret key; And uploading valid data to the storage by verifying a signature of the terminal of the owner.

한편, 본 발명은 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, 스토리지 소유자(Owner)의 단말(서버)이 라이터(Writer)의 단말(클라이언트)로 공개키를 제공하는 기능; 상기 공개키를 바탕으로, 상기 라이터의 단말이 상기 스토리지에 자료를 암호화하여 업로드하도록 하는 라이팅 기능; 상기 소유자의 단말이 리더(Reader)의 단말(클라이언트)로 상기 공개키와 동일하지 않은 시간단위 권한 비대칭 키를 제공하는 기능; 및 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으로 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 리딩 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.On the other hand, the present invention provides a network storage server having a processor for managing time-based rights, the function of providing a public key to a terminal (client) of the storage owner (Owner) to the terminal (client) of the writer; A writing function for encrypting and uploading data to the storage by the terminal of the writer based on the public key; Providing, by the owner's terminal, a time unit right asymmetric key not equal to the public key to a terminal (client) of a reader; And reading by the terminal of the reader authorized for a predetermined period based on the time unit authority to decrypt and read the encrypted data stored in the storage based on the time unit authority asymmetric key (decryption key). A computer readable recording medium having recorded thereon a program is provided.

또한, 본 발명은 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, 스토리지 소유자(Owner)의 단말(서버)이 상기 소유자가 선택하여 비밀로 저장하고 있는 시간단위 권한 루트 비밀키(대칭키)를 해쉬 함수로 암호화하여 리더(Reader) 및 라이터(Writer)의 단말로 제공하는 기능; 및 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 라이터의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 상기 스토리지에 자료를 암호화하여 업로드하도록 하거나, 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 복호화 키를 복원한 후 상기 스토 리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 라이팅/리딩 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention provides a time-based authority root secret key (symmetric) that is stored in a network storage server having a processor by the owner of the owner (server) of the owner of the storage (Owner) for the time-based authority management; Encrypting a key) using a hash function and providing the key to a terminal of a reader and a writer; And encrypting or uploading data to the storage based on the time-based authority root secret key, or allowing the writer's terminal authorized for a predetermined time period based on the time-based authority, or based on the time-based authority. A computer for writing a program for realizing a writing / reading function to allow a terminal of the authorized reader to restore a decryption key based on the time-based authority root secret key, and then decrypt and read the encrypted data stored in the storage. It provides a recording medium that can be read by.

또한, 본 발명은 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, 리더(Reader)의 권한(자료의 복호화)과 독립적으로, 스토리지 소유자의 단말이 라이터(Writer)의 단말로 아이디(ID) 기반의 비밀키를 제공하는 기능; 상기 비밀키를 바탕으로 상기 라이터의 단말이 상기 스토리지내에 자료를 업로드하여 서명하도록 하는 기능; 및 상기 소유자의 단말이 서명을 검증하여 유효한 자료를 상기 상기 스토리지에 업로드하는 기능을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.In addition, the present invention provides a network storage server with a processor for managing time-based authority, independently of the authority of the reader (decryption of data), and the terminal of the storage owner is a terminal of the writer. Providing a private key based on ID); A function of allowing the writer's terminal to upload and sign data in the storage based on the secret key; And a computer readable recording medium having recorded thereon a program for realizing a function of uploading valid data to the storage by the terminal of the owner verifying a signature.

본 발명은 신뢰할 수 없는 서버를 가진 네트워크 스토리지에서의 효율적인 키 관리 방안에 관한 것이다. The present invention relates to an efficient key management scheme in network storage with an untrusted server.

네트워크 스토리지의 서버가 신뢰할 수 없는 경우 안전성을 보장하기 위해 자료의 암호화가 필수적이다. 특히, 네트워크 스토리지는 단순한 자료의 저장이라는 측면이외에 자료의 공유라는 측면으로도 큰 의미를 갖는다. If the servers in the network storage are untrusted, data encryption is essential to ensure safety. In particular, network storage has great significance in terms of data sharing as well as simple data storage.

이에, 본 발명에서는 자료의 암호화로부터 야기되는 자료 공유에서의 비효율성을 개선하기 위하여, 비대칭키 방식을 이용한 리더(Reader)의 시간단위 권한 관리(ATPM : Asymmetric Temporal Privilege Management) 방식(즉, 소유자(Owner)가 키 관리를 통해 라이터(Writer)와 리더(Reader)의 권한을 독립적이고 효율적으로 관리하는 방식)과, 해쉬 체인을 이용한 대칭키 방식의 리더(Reader) 및 라이터(Writer)의 시간단위 권한 관리(TPM : Temporal Privilege Management) 방식(즉, 라이터(Writer)와 리더(Reader)의 권한이 동일한 경우, 해쉬 체인을 이용한 키 관리 방식)과, ID 기반 서명 방식을 이용한 라이터(Writer)의 시간단위 권한 관리 방식(즉, ID 기반 서명 방식을 이용하여 리더(Reader)와 독립적으로 일정 기간 동안 라이터(Writer)가 암호화 및 사용자 인증을 가능하게 하는 키 관리 방식)을 제시한다. Accordingly, in the present invention, in order to improve the inefficiency in data sharing resulting from the encryption of data, an Asymmetric Temporal Privilege Management (ATPM) method of a reader using an asymmetric key method (ie, owner ( Owner manages the authority of writer and reader independently and efficiently through key management) and time unit authority of symmetric key reader and writer using hash chain Temporal Privilege Management (TPM) method (i.e., key management method using hash chain when writer and reader have the same authority) and writer time unit using ID-based signature method We propose a rights management scheme (ie, a key management scheme that allows a writer to encrypt and authenticate users for a period of time independently of the reader using an identity-based signature scheme). .

즉, 본 발명은 신뢰할 수 없는 스토리지 서버를 가정했을 때 암호화로부터 야기되는 비효율성을 개선하기 위하여, 리더(Reader)의 권한(자료의 복호화)과 라이터(Writer)의 권한(자료의 암호화)을 별도로 관리한다. 즉, 암호화는 누구나 가능하고 복호화는 허가된 사용자만 가능하게 한다. 따라서, 특정 기간 동안 허가받은 리더(Reader)는 하나의 키(라이터(Writer)에게 분배된 키와 동일키가 아닌 비대칭키)로 특정 기간내의 모든 자료를 읽을 수 있다. That is, the present invention separates the authority of the reader (decryption of data) and the authority of the writer (encryption of data) in order to improve the inefficiency caused by encryption assuming an untrusted storage server. Manage. In other words, encryption can be performed by anyone and decryption by only authorized users. Therefore, a reader authorized for a certain period of time can read all data within a specific period with one key (asymmetric key that is not the same key as a key distributed to a writer).

또한, 본 발명은 대칭키 방식을 이용하여 동일 기간 동안에는 리더(Reader)의 권한(자료의 복호화)과 라이터(Writer)의 권한(자료의 암호화 및 Writer 인증)을 동일하게 한다. 이때, 계산상의 효율성면에서 해쉬 함수의 계산만으로 효율적으로 관리한다. 이와 같이 해쉬 함수를 쓰게 되면, "Plutus"의 모듈러 멱승(Modular exponentiation) 등의 계산에 비춰 볼 때, 보다 효율적인 계산이 가능하다. In addition, the present invention uses the symmetric key method to equalize the authority of the reader (decryption of data) and the authority of the writer (encryption of data and writer authentication) during the same period. At this time, in terms of computational efficiency, it manages efficiently only by calculating the hash function. Using a hash function like this enables more efficient calculation in light of the calculation of "Plutus" 's modular exponentiation.

또한, 본 발명은 ID 기반 서명 방식을 이용하여 리더(Reader)와 독립적으로 일정 기간 동안 라이터(Writer)가 암호화 및 사용자 인증을 가능하게 한다. 이는 리더의 권한 관리 방식(ATPM)과 독립적으로 혹은 혼합하여 사용 가능하다. In addition, the present invention enables an writer to encrypt and authenticate a user for a period of time independently of the reader using an ID-based signature scheme. It can be used independently or in combination with the Leader's Rights Management Method (ATPM).

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일실시예를 상세히 설명하기로 한다.The above objects, features and advantages will become more apparent from the following detailed description taken in conjunction with the accompanying drawings, whereby those skilled in the art may easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, when it is determined that the detailed description of the known technology related to the present invention may unnecessarily obscure the gist of the present invention, the detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

비대칭키 방식을 이용한 리더(Reader)의 시간단위 권한 관리(ATPM) 방식은 네트워크 스토리지의 소유자(Owner)가 키 관리를 통해 라이터(Writer)와 리더(Reader)의 권한을 독립적이고 효율적으로 관리하는 방식이다. ATPM method of reader using asymmetric key method is a method that owner of network storage independently and efficiently manages the authority of writer and reader through key management. to be.

상기 ATPM 방식은 신뢰할 수 없는 스토리지 서버를 가정했을 때 암호화로부터 야기되는 비효율성을 개선하기 위하여, 리더(Reader)의 권한(자료의 복호화)과 라이터(Writer)의 권한(자료의 암호화)을 별도로 관리한다. 이때, 암호화는 누구나 가능하고 복호화는 허가된 사용자만 가능하다. 따라서, 특정 기간 동안 허가받은 리더(Reader)는 하나의 키(라이터(Writer)에게 분배된 키와 동일키가 아닌 비대칭키)로 특정 기간내의 모든 자료를 읽을 수 있다. The ATPM method separately manages the authority of the reader (decryption of data) and the authority of the writer (encryption of data) in order to improve the inefficiency caused by encryption when assuming an untrusted storage server. do. At this time, anyone can encrypt and only the authorized user can decrypt. Therefore, a reader authorized for a certain period of time can read all data within a specific period with one key (asymmetric key that is not the same key as a key distributed to a writer).

이와 같이 ATPM 방식은 소유자(Owner)의 공개키를 이용해 누구나 자료를 암호화해서 라이트(Write)할 수 있지만, 특정 사용자만이 암호화된 자료를 복호화해서 리드(Read)할 수 있다. 이렇게 리더(Reader)의 권한 관리에 중점을 둔 사례를 살펴보면 다음과 같다. As described above, in the ATPM method, anyone can encrypt and write data by using an owner's public key, but only a specific user can read and decrypt the encrypted data. The following example focuses on the authority management of the reader.

예를 들면, '인터넷 사진관'의 경우에, 누구나 자신의 디지털 사진기로 찍은 사진을 현상하기 위해 인터넷 사진관의 스토리지(Storage)에 자료를 업로드(Upload)할 수 있다. 그러나, 사용자들(Writer)은 스토리지(Storage)에 저장된 사진을 누구나 열어보기를 원하지 않기 때문에 이 자료를 암호화해서 올려야 한다. 이 사진을 복호화해서 리드(Read)할 수 있는 사용자는 인터넷 사진관의 직원들(Reader)로 제한되어야 한다. For example, in the case of an 'Internet photo studio', anyone can upload data to a storage of an internet photo studio to develop a photo taken with his digital camera. However, since the Writer does not want anyone to open a picture stored in storage, it must be encrypted and uploaded. Users who can decrypt and read the picture should be limited to the readers of the Internet photo shop.

또한, '출판사'의 경우에, 책을 출간하고 싶은 사용자(Writer)는 누구나 자신이 집필한 내용을 암호화해서 출판사의 스토리지(Storage)에 업로드(Upload)할 수 있고 비밀키를 가진 특정 출판사 직원(Reader)만이 이 자료에 접근할 수 있어야 한다. In addition, in the case of a 'publisher', anyone who wants to publish a book can encrypt the contents of his writing and upload it to the publisher's storage, and a specific publisher employee with a private key ( Only readers should have access to this material.

또한, '특허심사'나 '논문심사'의 경우도 마찬가지이다. 누구나(Writer) 자신의 아이디어나 논문으로 특허심사나 논문심사를 요청하는 자료를 심사기관의 스토리지(Storage)에 업로드(Upload)할 수 있지만, 이렇게 업로드(Upload)된 자료는 철저한 보안을 요구하는 자료들이므로 반드시 암호화되어야 한다. 이 자료들을 복호화해서 열어볼 수 있는 사용자는 특정 심사위원들(Reader)로 제한되어야 한다. The same applies to the case of 'patent examination' or 'paper examination'. Anyone (Writer) can upload a data requesting a patent examination or a paper examination to the examination agency's storage with his or her own ideas or papers, but these uploaded materials require strict security. Must be encrypted. Users who can decrypt and open these materials should be restricted to specific readers.

한편, 해쉬 체인을 이용한 대칭키 기반의 리더(Reader) 및 라이터(Writer)의 시간단위 권한 관리(TPM) 방식은 라이터(Writer)와 리더(Reader)의 권한이 동일한 경우, 해쉬 체인을 이용하여 키 관리를 효율적으로 하는 방식이다. On the other hand, the symmetric key-based reader and writer time unit authority management (TPM) method using the hash chain uses a hash chain when the permissions of the writer and the reader are the same. It's a way to manage effectively.

상기 TPM 방식은 해쉬 체인을 이용한 대칭키 방식을 이용하여 동일 기간 동안에는 리더(Reader)의 권한(자료의 복호화)과 라이터(Writer)의 권한(자료의 암호화 및 Writer 인증)을 동일하게 한다. The TPM method uses the symmetric key method using a hash chain to equalize the authority of a reader (decryption of data) and the authority of a writer (encryption of data and authentication of a writer) during the same period.

다른 한편, 라이터(Writer)의 권한 관리 방식은 ID 기반 서명 방식을 이용하여 리더(Reader)와 독립적으로 일정 기간 동안 라이터(Writer)가 암호화 및 사용자 인증을 가능하게 하는 키 관리 방식이다. On the other hand, the writer's rights management method is a key management method that enables the writer to encrypt and authenticate the user for a period of time independently of the reader by using an ID-based signature method.

예를 들면, '신문사의 홈페이지'의 경우, 신문사 홈페이지에는 아무나 기사를 써서 올려서는 안 될 것이다. 따라서, 신문사(Owner)는 몇몇 기자들(Writer)에게 신문사 홈페이지(Storage)에 글을 올릴 수 있는 권한을 사전에 부여하고, 이 권한을 부여받은 소수의 사용자(Writer)만이 글을 쓸 수 있는 권한을 가져야 한다. 물론, 이때 진짜 권한을 가진 사람이 글을 썼다는 서명이 필요하다. 한편, 권한을 부여받은 기자들(Writer)이 쓴 신문사 홈페이지의 기사는 누구나(Reader) 읽을 수 있다. For example, in the case of the newspaper homepage, nobody should write an article on the newspaper homepage. As a result, newspapers have given some writers the right to post on the newspaper's homepage, and only a small number of writers can write. Should have Of course, at this point you need to have a signature that the person with the real authority wrote. On the other hand, readers can read articles on the newspaper homepage written by authorized authors.

또한, 이 신문사에서 홈페이지를 유료로 운영하고 싶다면 라이터 그룹(Writer group)의 권한 관리와 리더 그룹(Reader group)의 권한 관리를 동시에 수행함으로써 사전에 권한을 부여받은 기자들(Writer)만 기사를 쓸 수 있고, 사용료를 지불한 독자들(Reader)만 기사를 읽을 수 있게 할 수 있다. 이러한 시나리오에서는 라이터 그룹(Writer group)의 권한 관리와 리더 그룹(Reader group)의 권한 관리는 철저히 독립적으로 이루어진다. 이는 라이터(Writer)의 권한 관리 방식의 전형적인 응용(Application)이 될 수 있다. In addition, if the newspaper company wants to operate the homepage for a fee, only writers who have been authorized beforehand can write articles by simultaneously managing the authority of the writer group and the authority of the reader group. Can only make the article available to readers. In such a scenario, the author management of the writer group and the management of the reader group are completely independent. This can be a typical application of the author's rights management.

상기 ATPM/TPM 방식은 도 2에 도시된 바와 같이 시간단위(예를 들면, 연(Year), 분기(Quarter), 월(Month), 주(Week), 일(Day) 등)로 리더(Reader)의 권한을 관리(키 관리)한다. As shown in FIG. 2, the ATPM / TPM method is a reader in units of time (for example, year, quarter, month, week, day, etc.). Manage permissions ().

그럼, 먼저 도 4를 참조하여 상기 ATPM(Asymmetric Temporal Privilege Management) 방식에 대해 살펴보기로 한다. 도 4에서, y/m/d는 각각 연(Year), 월(Month), 일(Day)을 의미한다. 다만, 이하의 과정에서는 설명의 편의를 위하여 일일회원의 경우를 중심으로 비대칭키 기반의 시간단위 권한 관리 방식을 설명하기로 한다. First, the Asymmetric Temporal Privilege Management (ATPM) scheme will be described with reference to FIG. 4. In FIG. 4, y / m / d means Year, Month, and Day, respectively. However, in the following process, asymmetric key based time unit authority management method will be described based on the case of daily members for convenience of explanation.

기존의 "Forward secure encryption" 스킴들을 응용하여, 소유자(Owner)는 한 개의 키를 전송하고, 사용자(Reader)는 한 개의 키만을 저장해서 원하는 기간 동안의 모든 자료들을 간단한 계산을 통해 복호화할 수 있다. By applying existing "forward secure encryption" schemes, the owner can send one key, and the reader can store only one key to decrypt all the data for the desired period through simple calculations. .

먼저, 환경 설정(Setup) 과정(401)에 대해 도 5를 참조하여 설명하면 다음과 같다. 도 5에서, "s"는 마스터 비밀키(master secret)로 Z/lZ에서 임의로 선택한다. 또한, "ID"는 사용자의 아이디(Identity)이다. First, the configuration process 401 will be described with reference to FIG. 5. In Figure 5, " s " is a master secret key (master secret) to randomly choose from Z / lZ . In addition, " ID " is an identity of a user.

우선, G는 위수가 소수 l이고 겹선형 사상 e를 가지는 군이라고 하고 두 해쉬 함수

Figure 112005028906813-PAT00003
를 생각한다(501). 단, 여기서 n은 메시지 공간의 크기이다. First of all, G is a group whose prime is l with a double linear map e .
Figure 112005028906813-PAT00003
(501). Where n is the size of the message space.

이후, Z/lZ의 임의의 원소 s를 선택하고 G의 임의의 생성원 P를 선택하여 P pub = sP를 계산한다(502). 그리고, param = (ID, G, e, P, P pub , H 1 , H 2 )를 공개하고(503), 루트 비밀키(Root secret) SK ε = sH 1 (ID)를 계산하여 저장한다(504). 단, 여기서 ID는 소유자(Owner)의 아이디(Identity)이다. Then select any element s of Z / lZ and select any source P of G to calculate P pub = sP (502). Then, param = (ID, G, e, P, P pub , H 1 , H 2 ) is disclosed (503), and the root secret key SK ε = sH 1 (ID) is calculated and stored ( 504). Where ID is the identity of the owner.

이제, 키 분배(Key distribution) 과정(402)을 도 6을 참조하여 설명하면 다 음과 같다. 이 과정에서는 소유자(Owner)가 리더(Reader)에게 해당 시간단위(연, 월, 일 등)에 맞게 시간단위 권한 키인 비대칭키(공개된 키와 비대칭키, 즉 암호화를 할 라이터(Writer)와 비대칭키임)를 분배한다. Now, a key distribution process 402 will be described with reference to FIG. In this process, the owner asks the reader the asymmetric key (public key and asymmetric key, that is, the writer and asymmetry to encrypt), which is the time authority key for the corresponding time unit (year, month, day, etc.). Key).

연 회원(y), 월 회원(m), 일일 회원(d), 혹은 그 기간 설정(3개월, 6개월 등) 회원의 상태에 따라 그에 적합한 키를 부여받는다. 단, 여기서 y, m, d에는 각각 해당하는 날의 연도, 월, 일을 대입한다.According to the status of the annual member (y), monthly member (m), daily member (d), or the period setting (three months, six months, etc.), the appropriate key is given. However, the year, month, and day of the corresponding day are substituted into y, m, and d , respectively.

먼저, 연 회원(y)의 경우에는, Z/lZ의 임의의 원소 r y 를 선택하여 R y = r y P

Figure 112005028906813-PAT00004
를 계산하여 (R y, S y )를 복호화 키로 준다. First, in the case of the soft member y, an arbitrary element r y of Z / lZ is selected and R y = r y P and
Figure 112005028906813-PAT00004
Calculate and give (R y, S y ) as the decryption key.

그리고, 월 회원(m)의 경우에는, Z/lZ의 임의의 원소 r y (연 회원에 대한 Z/lZ의 임의의 원소임)과 r m (월 회원에 대한 Z/lZ의 임의의 원소임)을 선택하여 R y =r y P, R m =r m P, 그리고

Figure 112005028906813-PAT00005
을 계산하여
Figure 112005028906813-PAT00006
을 복호화 키로 준다. Further, in the case of month member (m) is, Z / of lZ any element r y (any source of Z / lZ for annual membership hydrogen) and r m (any source of Z / lZ on May Member hydrogen ) Then R y = r y P , R m = r m P , and
Figure 112005028906813-PAT00005
By calculating
Figure 112005028906813-PAT00006
Is given as the decryption key.

또한, 일일 회원(d)의 경우에는, 도 6에 도시된 바와 같이 Z/lZ의 임의의 원소 r y (연 회원에 대한 Z/lZ의 임의의 원소임), r m (월 회원에 대한 Z/lZ의 임의의 원소임), r d 를 선택하여(601) R y =r y P, R m =r m P, R d =r d P를 계산하고(602)

Figure 112005028906813-PAT00007
를 계산하여(603)
Figure 112005028906813-PAT00008
을 복호화 키로 준다(604). In addition, daily member (d) has, also any elements of Z / lZ, as shown in 6 r y (open registering arbitrary circle hydrogen of Z / lZ on), r m (Z on May Member For / lZ any element), select r d (601) to calculate R y = r y P, R m = r m P, R d = r d P (602)
Figure 112005028906813-PAT00007
By calculating (603)
Figure 112005028906813-PAT00008
Is given as the decryption key (604).

한편, 암호화(Encryption) 과정(403)을 도 7을 참조하여 설명하면 다음과 같다. 이 과정은 소유자(Owner)의 공개키를 이용해 누구나 자료를 암호화해서 라이트 (Write)할 수 있도록, 소유자(Owner)가 라이터(Writer)에게 공개키를 분배하는 과정이다. Meanwhile, the encryption process 403 will be described with reference to FIG. 7. This is the process by which the owner distributes the public key to the writer so that anyone can encrypt and write data using the owner's public key.

소유자(Owner) 혹은 라이터(Writer)들은 주어진 param = (ID, G, e, P, P pub , H 1 , H 2 ), 해당하는 연(y), 월(m), 일(d), 그리고 메시지 M∈{0,1} n 에 대해서 Z/lZ의 임의의 원소

Figure 112005028906813-PAT00009
를 선택하여(701,702) 암호문
Figure 112005028906813-PAT00010
을 생성한다(703). 단, 여기서
Figure 112005028906813-PAT00011
이다. Owners or writers are given param = (ID, G, e, P, P pub , H 1 , H 2 ), corresponding year (y), month (m), day (d), and Any element of Z / lZ for message M∈ {0,1} n
Figure 112005028906813-PAT00009
Select (701,702) ciphertext
Figure 112005028906813-PAT00010
Generate 703. Where
Figure 112005028906813-PAT00011
to be.

이 알고리즘은 ID 기반 알고리즘이므로 누구나 시스템의 파라미터, 즉 param = (ID, G, e, P, P pub , H 1 , H 2 )만 알면 원하는 메시지를 암호화해서 스토리지에 업로드(Upload)할 수 있다. Since this algorithm is an ID-based algorithm, anyone can encrypt the desired message and upload it to storage if they know only the system's parameters, param = (ID, G, e, P, P pub , H 1 , H 2 ) .

마지막으로, 복호화(Decryption) 과정(404,405)에 대하여 도 8을 참조하여 설명하면 다음과 같다.Finally, the decryption process 404, 405 will be described with reference to FIG.

주어진 암호문

Figure 112005028906813-PAT00012
에 대해(801), 회원의 상태에 따라 가지고 있는 비밀키가 다르므로 주어진 암호문을 복호화하는 방법이 다르다. Given ciphertext
Figure 112005028906813-PAT00012
For 801, since a secret key is different according to a member's state, a method of decrypting a given cipher text is different.

즉, 연 회원(y)의 경우에는, 상기 키 분배 과정(402)에서 주어진 복호화 키 (R y , S y )를 사용하여

Figure 112005028906813-PAT00013
을 계산하여 메시지
Figure 112005028906813-PAT00014
을 구한다. That is, in the case of the soft members (y) is, and in the key distribution process 402, using the given decryption key (R y, S y)
Figure 112005028906813-PAT00013
Calculate the message
Figure 112005028906813-PAT00014
Obtain

그리고, 월 회원(m)의 경우에는, 상기 키 분배 과정(402)에서 주어진 복호화 키

Figure 112005028906813-PAT00015
을 사용하여
Figure 112005028906813-PAT00016
을 계산하여 메시지
Figure 112005028906813-PAT00017
을 구한다. In the case of the month member m, the decryption key given in the key distribution process 402.
Figure 112005028906813-PAT00015
Using
Figure 112005028906813-PAT00016
Calculate the message
Figure 112005028906813-PAT00017
Obtain

또한, 일일 회원(d)의 경우에는 도 8에 도시된 바와 같이 상기 키 분배 과정(402)에서 주어진 복호화 키

Figure 112005028906813-PAT00018
을 사용하여(802)
Figure 112005028906813-PAT00019
를 계산하여 메시지
Figure 112005028906813-PAT00020
을 구한다(803). In addition, in the case of the daily member d, the decryption key given in the key distribution process 402, as shown in FIG.
Figure 112005028906813-PAT00018
Using (802)
Figure 112005028906813-PAT00019
Calculate the message
Figure 112005028906813-PAT00020
Obtain (803).

상기의 ATPM 방식에서는 연 회원(y), 월 회원(m), 일일 회원(d)으로 그 시간단위를 제한하였지만, 필요한 서비스 모델에 따라서 시간단위를 훨씬 더 세분화시키거나 통합시킬 수 있다. 예를 들면, 연 회원(y), 분기 회원(q), 월 회원(m), 주 회원(w), 일일 회원(d) 등으로 세분화할 수 있다. In the ATPM method, the time unit is limited to the annual member (y), the monthly member (m), and the daily member (d), but the time unit can be further subdivided or integrated according to the required service model. For example, it can be subdivided into annual members (y), quarter members (q), monthly members (m), main members (w), daily members (d), and the like.

즉, ATPM 방식은 서비스 모델에 따라 쉽게 변형이 가능하다. 또한 certificate을 첨가하면 ID 기반 뿐 아니라 공개키를 기반으로 한 방식에의 응용도 가능하다. 이 방식의 안전성은 Forward secure encryption scheme의 안전성에 기반을 둔다[BM99, CHK03, IR01]. That is, the ATPM method can be easily modified according to the service model. The addition of a certificate also makes it possible to apply not only ID-based but also public key-based methods. The security of this scheme is based on the security of the forward secure encryption scheme [BM99, CHK03, IR01].

이제, 먼저 도 3을 참조하여 상기 TPM(Temporal Privilege Management) 방식에 대해 살펴보기로 한다. 도 3에서, "S"는 소유자(Owner)가 비밀로 저장하고 있는 루트 비밀키(Root secret)값이고, "H"는 해쉬 함수이다. First, the Temporal Privilege Management (TPM) scheme will be described with reference to FIG. 3. In FIG. 3, " S " is a root secret key stored by the owner as a secret, and " H " is a hash function.

H를 해쉬함수라 하고, S를 소유자(Owner)가 선택하여 비밀로 저장하고 있는 루트 비밀키(Root secret)라고 할 때, 각 기간에 해당하는 비밀키를 다음과 같이 설계하여 각 기간의 권한을 가지고 있는 리더(Reader)와 라이터(Writer)에게 분배한다. When H is called a hash function and S is a root secret that is selected and stored by the owner, the secret key corresponding to each period is designed as follows. Distribute it to the reader and writer you have.

Figure 112005028906813-PAT00021
Figure 112005028906813-PAT00021

예를 들어, 2004년 2사분기 5월 셋째 주 화요일의 자료는 H(H(H(H(H(S,2004),Q 2 ),May),W 3 ),Tue)의 키로 암호화되고, '2004년 연 회원', '2004년 2사분기 회원', '2004년 2사분기 5월 회원', '2004년 2사분기 5월 셋째주 회원', '2004년 2사분기 5월 셋째주 화요일 회원' 모두 자신의 키로부터 복호화 키를 복원할 수 있어 자료를 복호화할 수 있다. 또한, 위의 키를 사용하여 자료를 암호화하여 스토리지에 업로드(Upload)할 수도 있다. 즉, 리더(Reader)와 라이터(Writer)의 권한이 같다. 이 TPM 방식은 해쉬 함수가 정의된 군 등에 제한 조건없이 해쉬 함수의 안전성이 보장되는 한 사용자가 원하는 어떠한 환경에도 쉽게 적용 가능하다. For example, data for the third Tuesday of May Q2 2004 is encrypted with a key of H (H (H (H (H (S, 2004), Q 2 ), May), W 3 ), Tue) , Members in Year 2004, Members in the second quarter of 2004, Members in the second quarter of 2004, Members in the third week of May in the second quarter of 2004, Members in the third Tuesday of May in the second quarter of 2004 It is possible to recover the decryption key from the key, so that the data can be decrypted. You can also use the above key to encrypt your data and upload it to storage. In other words, the authority of the reader and the writer is the same. This TPM method can be easily applied to any environment desired by the user, as long as the safety of the hash function is guaranteed without limitations on the group where the hash function is defined.

상기 ATPM 방식은 누구나(Writer) 소유자(Owner)의 공개키를 이용하여 자료를 암호화해서 라이트(Write)할 수 있는 반면에, 특정 사용자(Reader)만이 자료를 복호화해서 리드(Read)할 수 있게 하는 리더(Reader)의 권한 관리에 중점을 두었다. The ATPM method encrypts and writes data using the public key of the writer owner, whereas only a specific reader can decrypt and read the data. Emphasis was placed on managing permissions of Readers.

그러나, 서비스 모델에 따라서는 자료를 라이트(Write)할 수 있는 권한 관리 도 필요한 경우가 있다. 이 경우, 리더 그룹(Reader group)의 권한 관리와는 독립적으로 라이터 그룹(Writer group)의 권한 관리가 이루어져야 한다. However, depending on the service model, authorization management to write data may be required. In this case, authority management of the writer group should be performed independently of authority management of the reader group.

이에, 이하에서는 도 9를 참조하여 "Cha-Cheon"의 ID 기반 서명 방식(ID-based signature scheme)을 이용한 라이터(Writer)의 시간단위 권한 관리 방식에 대해 살펴보기로 한다. Thus, a description will now be made of a time unit authority management method of a writer using an ID-based signature scheme of "Cha-Cheon".

이하에서는 G가 큰 소수 l을 위수로 갖는 "gap Diffie-Hellman group"이라 하고 특별한 언급이 없는 한 모든 스킴은 그룹 G에서 수행된다고 가정한다. Hereinafter referred to as "gap Diffie-Hellman group" G l has a large prime and a percentile in all the schemes Unless otherwise specified, it is assumed to be done in group G.

먼저, 환경 설정(Setup) 과정(901)에 대하여 설명하면 다음과 같다.First, the setup process 901 will be described.

G = 〈P〉를 위수가 소수인 gap DH 그룹이라 하자. Let G = 〈P〉 as the gap DH group with prime numbers.

Z/lZ의 임의의 원소 s를 선택하고 G의 생성원 P를 선택하여 P pub =sP를 계산한다. 그리고, 두 해쉬함수

Figure 112005028906813-PAT00022
Figure 112005028906813-PAT00023
를 선택한다. 또한, 시스템 파라미터(System parameter)를 param = (G, P, P pub , H 1 , H 2 )으로 공개하고 마스터 키(master key) s를 비밀로 저장한다. Calculate P pub = sP by selecting any element s of Z / lZ and selecting the source P of G. And two hash functions
Figure 112005028906813-PAT00022
Wow
Figure 112005028906813-PAT00023
Select. It also discloses the system parameter as param = (G, P, P pub , H 1 , H 2 ) and stores the master key s secretly.

이후, 추출 과정(Extract)(키 생성 과정)(902)을 설명하면 다음과 같다. Next, the extraction process (key generation process) 902 will be described.

주어진 아이디(ID)에 대하여,

Figure 112005028906813-PAT00024
Figure 112005028906813-PAT00025
을 계산하고 ID의 비밀키로서 D ID 를 출력한다. 단, 여기서 t s 는 권한 시작시간(starting time)이고 t t 는 권한 종료시간(terminal time)이다. For a given ID,
Figure 112005028906813-PAT00024
Wow
Figure 112005028906813-PAT00025
Computes and prints D ID as the ID's private key. Where t s is the authority starting time and t t is the terminal end time.

다음으로, 서명(Writing) 과정(903)에 대하여 설명하면 다음과 같다. Next, the writing process 903 will be described.

주어진 비밀키 D ID 와 메시지 M에 대하여, 임의의 원소 r∈Z/lZ을 뽑고 U = rQ ID , h = H 1 (M, U), 그리고 V = (r+h)D ID 일 때, 서명

Figure 112005028906813-PAT00026
= (M, U, h, V, t s , t t )를 출력한다. For a given secret key D ID and message M , draw an arbitrary element r∈Z / lZ and sign when U = rQ ID , h = H 1 (M, U) , and V = (r + h) D ID
Figure 112005028906813-PAT00026
= (M, U, h, V, t s , t t )

마지막으로, 검증(Verification) 과정(904)에 대하여 설명하면 다음과 같다. Finally, the verification process 904 will be described.

메시지 M의 아이디(ID)에 대한 서명

Figure 112005028906813-PAT00027
= (M, U, h, V, t s , t t )이 주어지면, h = H 1 (M, U)을 계산한다. 서명이 받아들여진다는 것은
Figure 112005028906813-PAT00028
을 만족하는 것과 필요충분조건이다. Signature for message M 's ID
Figure 112005028906813-PAT00027
= Calculates given the (M, U, h, V , t s, t t), h = H 1 (M, U). Accepting a signature
Figure 112005028906813-PAT00028
Satisfies the requirements and is sufficient condition

상술한 바와 같은 본 발명의 방법은 프로그램으로 구현되어 컴퓨터로 읽을 수 있는 형태로 기록매체(씨디롬, 램, 롬, 플로피 디스크, 하드 디스크, 광자기 디스크 등)에 저장될 수 있다. 이러한 과정은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있으므로 더 이상 상세히 설명하지 않기로 한다.As described above, the method of the present invention may be implemented as a program and stored in a recording medium (CD-ROM, RAM, ROM, floppy disk, hard disk, magneto-optical disk, etc.) in a computer-readable form. Since this process can be easily implemented by those skilled in the art will not be described in more detail.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those skilled in the art to which the present invention pertains. It is not limited by the drawings.

상기와 같은 본 발명에 따른 ATPM 방식은 리더(Reader)와 라이터(Writer)의 권한을 분리하여 관리할 필요가 있는 모든 네트워크 스토리지에 직접 적용 가능한 효과가 있다.The ATPM method according to the present invention as described above has an effect that can be directly applied to all network storages that need to separately manage the authority of a reader and a writer.

또한, 본 발명에 따른 ATPM 및 TPM 방식은 기존의 자료의 암호화로부터 야기되는 키 관리의 비효율성을 개선할 수 있고, 원하는 사업 모델에 따라 다양하게 적용 가능한 효과가 있다.In addition, the ATPM and TPM schemes according to the present invention can improve the inefficiency of key management resulting from encryption of existing data, and have various effects depending on the desired business model.

또한, 본 발명에 따른 TPM 방식은 해쉬 체인의 응용으로 키 관리로부터 발생할 수 있는 계산적인 비효율성을 극복할 수 있는 효과가 있다. In addition, the TPM scheme according to the present invention has an effect of overcoming the computational inefficiency that may occur from key management through the application of a hash chain.

또한, 본 발명에 따른 라이터(Writer)의 권한 관리 방식은 리더(Reader)와 독립적으로 라이터(Writer)의 암호화와 사용자 인증이 필요한 여러 분야에 효율적으로 적용 가능한 효과가 있다.In addition, the author's authority management method according to the present invention has an effect that can be efficiently applied to various fields that require encryption and user authentication of the writer independently of the reader.

Claims (13)

공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, In the method of managing rights in sharable network storage, 스토리지 소유자(Owner)의 단말(서버)이 라이터(Writer)의 단말(클라이언트)로 공개키를 제공하는 단계; Providing a public key to a terminal (client) of a storage owner (Owner) to a terminal (client) of a writer; 상기 공개키를 바탕으로, 상기 라이터의 단말이 상기 스토리지에 자료를 암호화하여 업로드하도록 하는 라이팅 단계; A writing step of allowing the writer's terminal to encrypt and upload data to the storage based on the public key; 상기 소유자의 단말이 리더(Reader)의 단말(클라이언트)로 상기 공개키와 동일하지 않은 시간단위 권한 비대칭 키를 제공하는 단계; 및Providing, by the owner's terminal, to a terminal (client) of a reader, a time unit right asymmetric key that is not the same as the public key; And 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으로 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 리딩 단계A reading step of decrypting and reading encrypted data stored in the storage based on the time-based right asymmetric key (decryption key) by the terminal of the reader authorized for a predetermined period based on the time-based right. 를 포함하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Method of managing time-based permissions in untrusted network storage, including. 제 1 항에 있어서, The method of claim 1, 상기 라이터(Writer)는,The writer, 상기 리더를 포함한 불특정 다수로서, 상기 공개키를 바탕으로 상기 스토리지에 자료를 암호화하여 업로드할 수 있는 권한(자료의 암호화)을 갖는 것을 특징 으로 하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.And an unspecified number including the reader, and having a right (encryption of data) for encrypting and uploading data to the storage based on the public key. 제 1 항에 있어서, The method of claim 1, 상기 리더(Reader)는, The reader, 상기 라이터의 권한(자료의 암호화)과 독립적인 권한을 갖는 허가된 사용자로서, 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으로 상기 소정의 기간 동안 상기 스토리지에 암호화되어 저장된 자료를 복호화하여 판독할 수 있는 권한(자료의 복호화)을 갖는 것을 특징으로 하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.An authorized user having authority independent of the authority (encryption of data) of the writer, and based on the time unit authority asymmetric key (decryption key), the encrypted data stored in the storage for the predetermined period can be decrypted and read. A method for managing time-based rights in untrusted network storage, characterized in that it has the right to decrypt (decrypt data). 제 1 항 내지 제 3 항 중 어느 한 항에 있어서, The method according to any one of claims 1 to 3, 상기 소유자(Owner)는, The owner (Owner), 하나의 공개키와 루트(root) 비밀키로부터 상기 소정의 기간에 대응되는 복호화 키(일종의 비밀키)를 생성하고, 하나의 복호화 키로 상기 소정의 기간 동안 자료의 복호화를 가능하게 하는 것을 특징으로 하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Generating a decryption key (a kind of secret key) corresponding to the predetermined period from one public key and a root secret key, and enabling decryption of data for the predetermined period with one decryption key; How to manage hourly permissions on untrusted network storage. 제 4 항에 있어서,The method of claim 4, wherein 상기 소유자(Owner)는, The owner (Owner), 일 단위, 혹은 월 단위, 혹은 연 단위, 혹은 설정된 기간에 따라 그에 적합한 시간단위 권한 비대칭 키(복호화 키)를 부여하는 것을 특징으로 하는 네트워크 스토리지에서의 시간단위 권한 관리 방법.A method of managing time-based rights in network storage, wherein a time-based right asymmetric key (decryption key) is granted according to a daily, monthly, or yearly, or set period of time. 제 1 항에 있어서, The method of claim 1, 상기 리더의 권한(자료의 복호화)과 독립적으로, 상기 소유자의 단말이 상기 라이터의 단말로 아이디(ID) 기반의 비밀키를 제공하는 단계; Independent of the authority (decryption of the data) of the reader, the terminal of the owner provides an ID (ID) based secret key to the terminal of the writer; 상기 비밀키를 바탕으로 상기 라이터의 단말이 상기 스토리지내에 자료를 업로드하여 서명하도록 하는 단계; 및 Allowing the writer's terminal to upload and sign data in the storage based on the secret key; And 상기 소유자의 단말이 서명을 검증하여 유효한 자료를 상기 상기 스토리지에 업로드하는 단계The terminal of the owner verifying the signature and uploading valid data to the storage 를 더 포함하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Method of managing time-based rights in untrusted network storage further comprising. 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, In the method of managing rights in sharable network storage, 스토리지 소유자(Owner)의 단말(서버)이 상기 소유자가 선택하여 비밀로 저 장하고 있는 시간단위 권한 루트 비밀키(대칭키)를 해쉬 함수로 암호화하여 리더(Reader) 및 라이터(Writer)의 단말로 제공하는 단계; 및The terminal (server) of the storage owner (Owner) encrypts the time-based authority root secret key (symmetric key) selected and stored secretly by the owner to a terminal of the reader and the writer. Providing; And 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 라이터의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 상기 스토리지에 자료를 암호화하여 업로드하도록 하거나, 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 복호화 키를 복원한 후 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 라이팅/리딩 단계Allow the writer's terminal authorized for a predetermined period based on the time unit authority to encrypt and upload data to the storage based on the time unit authority root secret key, or for a predetermined period based on the time unit authority. The writing / reading step of allowing the terminal of the authorized reader to decrypt and read the encrypted data stored in the storage after restoring the decryption key based on the time unit authority root secret key. 를 포함하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Method of managing time-based permissions in untrusted network storage, including. 제 7 항에 있어서, The method of claim 7, wherein 상기 소유자(Owner)는,The owner (Owner), 상기 라이터의 권리(자료의 암호화)와 상기 리더의 권한(자료의 복호화)을 동일하게 부여하여, 일 단위, 혹은 월 단위, 혹은 연 단위, 혹은 설정된 기간에 따라 그에 적합한 시간단위 권한 대칭키(암/복호화 키)를 부여하는 것을 특징으로 하는 네트워크 스토리지에서의 시간단위 권한 관리 방법.By granting the right of the writer (encryption of data) and the authority of the reader (decryption of data) equally, a time-based right symmetric key (encrypted according to the set period of days, months, or years, or a set period of time) / Decryption key). 공유 가능한 네트워크 스토리지에서의 권한 관리 방법에 있어서, In the method of managing rights in sharable network storage, 리더(Reader)의 권한(자료의 복호화)과 독립적으로, 상기 스토리지 소유자의 단말이 라이터(Writer)의 단말로 아이디(ID) 기반의 비밀키를 제공하는 단계; Independently of a reader's authority (decryption of data), a terminal of the storage owner provides an ID-based secret key to a terminal of a writer; 상기 비밀키를 바탕으로 상기 라이터의 단말이 상기 스토리지내에 자료를 업로드하여 서명하도록 하는 단계; 및 Allowing the writer's terminal to upload and sign data in the storage based on the secret key; And 상기 소유자의 단말이 서명을 검증하여 유효한 자료를 상기 상기 스토리지에 업로드하는 단계The terminal of the owner verifying the signature and uploading valid data to the storage 를 포함하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Method of managing time-based permissions in untrusted network storage, including. 제 9 항에 있어서, The method of claim 9, 상기 아이디(ID) 기반의 비밀키는, The ID based secret key, 소정의 기간 동안 상기 라이터가 암호화 및 사용자 인증을 가능하게 하는 것을 특징으로 하는 신뢰할 수 없는 네트워크 스토리지에서의 시간단위 권한 관리 방법.Method for managing time-based rights in untrusted network storage, characterized in that the writer enables encryption and user authentication for a predetermined period of time. 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, In order to manage time-based authorization, a network storage server equipped with a processor, 스토리지 소유자(Owner)의 단말(서버)이 라이터(Writer)의 단말(클라이언트)로 공개키를 제공하는 기능; A function of providing a public key to a terminal (server) of a storage owner (Owner) to a terminal (client) of a writer; 상기 공개키를 바탕으로, 상기 라이터의 단말이 상기 스토리지에 자료를 암호화하여 업로드하도록 하는 라이팅 기능; A writing function for encrypting and uploading data to the storage by the terminal of the writer based on the public key; 상기 소유자의 단말이 리더(Reader)의 단말(클라이언트)로 상기 공개키와 동일하지 않은 시간단위 권한 비대칭 키를 제공하는 기능; 및Providing, by the owner's terminal, a time unit right asymmetric key not equal to the public key to a terminal (client) of a reader; And 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 리더의 단말이 상기 시간단위 권한 비대칭 키(복호화 키)를 바탕으로 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 리딩 기능A reading function that allows the terminal of the reader authorized for a predetermined period based on the time unit authority to decrypt and read the encrypted data stored in the storage based on the time unit authority asymmetric key (decryption key). 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this. 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, In order to manage time-based authorization, a network storage server equipped with a processor, 스토리지 소유자(Owner)의 단말(서버)이 상기 소유자가 선택하여 비밀로 저장하고 있는 시간단위 권한 루트 비밀키(대칭키)를 해쉬 함수로 암호화하여 리더(Reader) 및 라이터(Writer)의 단말로 제공하는 기능; 및A terminal of a storage owner (server) encrypts a time-based authority root secret key (symmetric key) selected and stored secretly by the owner by a hash function and provides the terminal to a reader and a writer terminal. Function; And 상기 시간단위 권한에 의거하여 소정의 기간 동안 허가받은 상기 라이터의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 상기 스토리지에 자료를 암호화하여 업로드하도록 하거나, 상기 시간단위 권한에 의거하여 소정의 기간 동안 허 가받은 상기 리더의 단말이 상기 시간단위 권한 루트 비밀키를 바탕으로 복호화 키를 복원한 후 상기 스토리지내에 저장된 암호화된 자료를 복호화하여 판독하도록 하는 라이팅/리딩 기능Allow the writer's terminal authorized for a predetermined period based on the time unit authority to encrypt and upload data to the storage based on the time unit authority root secret key, or for a predetermined period based on the time unit authority. Writing / reading function to allow the terminal of the authorized reader to decrypt and read the encrypted data stored in the storage after restoring the decryption key based on the time unit authority root secret key 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this. 시간단위 권한 관리를 위하여, 프로세서를 구비한 네트워크 스토리지 서버에, In order to manage time-based authorization, a network storage server equipped with a processor, 리더(Reader)의 권한(자료의 복호화)과 독립적으로, 스토리지 소유자의 단말이 라이터(Writer)의 단말로 아이디(ID) 기반의 비밀키를 제공하는 기능; Independent of the authority of the reader (decryption of data), the terminal of the storage owner provides the ID-based secret key to the terminal of the writer; 상기 비밀키를 바탕으로 상기 라이터의 단말이 상기 스토리지내에 자료를 업로드하여 서명하도록 하는 기능; 및 A function of allowing the writer's terminal to upload and sign data in the storage based on the secret key; And 상기 소유자의 단말이 서명을 검증하여 유효한 자료를 상기 상기 스토리지에 업로드하는 기능The owner's terminal verifies the signature and uploads valid data to the storage 을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for realizing this.
KR1020050046172A 2004-12-27 2005-05-31 Method for temporal privilege management in untrusted network storage KR20060074805A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20040112770 2004-12-27
KR1020040112770 2004-12-27

Publications (1)

Publication Number Publication Date
KR20060074805A true KR20060074805A (en) 2006-07-03

Family

ID=37167526

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050046172A KR20060074805A (en) 2004-12-27 2005-05-31 Method for temporal privilege management in untrusted network storage

Country Status (1)

Country Link
KR (1) KR20060074805A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010011921A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Http authentication and authorization management
US10601870B2 (en) 2008-07-24 2020-03-24 Zscaler, Inc. Distributed cloud-based security systems and methods
KR20200039458A (en) 2018-10-05 2020-04-16 박정우 refrigerant design temperature adjustment headset

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010011921A2 (en) * 2008-07-24 2010-01-28 Zscaler, Inc. Http authentication and authorization management
WO2010011921A3 (en) * 2008-07-24 2010-04-22 Zscaler, Inc. Http authentication and authorization management
US9003186B2 (en) 2008-07-24 2015-04-07 Zscaler, Inc. HTTP authentication and authorization management
US10601870B2 (en) 2008-07-24 2020-03-24 Zscaler, Inc. Distributed cloud-based security systems and methods
US10609083B2 (en) 2008-07-24 2020-03-31 Zscaler, Inc. Distributed cloud-based security systems and methods
US11368490B2 (en) 2008-07-24 2022-06-21 Zscaler, Inc. Distributed cloud-based security systems and methods
KR20200039458A (en) 2018-10-05 2020-04-16 박정우 refrigerant design temperature adjustment headset

Similar Documents

Publication Publication Date Title
US20210089676A1 (en) Methods and systems for secure data exchange
AU2011226741B2 (en) Method and system for sharing encrypted content
JP2020145733A (en) Method for managing a trusted identity
CN107508667B (en) Ciphertext policy ABE base encryption method and its device of the fix duty without key escrow can be disclosed
Yu et al. Name-based access control
Jin et al. Full integrity and freshness for cloud data
CN106656997B (en) One kind being based on the cross-domain friend-making method for secret protection of mobile social networking proxy re-encryption
US20070198854A1 (en) Data protection apparatus, data protection method, and program product therefor
Joshi et al. Towards practical privacy-preserving digital rights management for cloud computing
JP2002182562A (en) Date and time information setting device
KR20060074805A (en) Method for temporal privilege management in untrusted network storage
CN111541731B (en) Electronic file access control method based on block chain and knowledge range encryption
Henry Who's got the key?
Xavier et al. Cloud computing data security for personal health record by using attribute based encryption
More et al. Decentralized Fingerprinting for Secure Peer-To-Peer Data Exchange of Aadhaar Via Public Key Infrastructure
Vijayalakshmi et al. Authentication of data storage using decentralized access control in clouds
Rajaprabha Security on Cloud Revocation Authority using Identity Based Encryption
Motegaonkar et al. To develop secure deduplication of data using hybrid cloud methodology
Kamil et al. Achieve Data Security in Cloud Computing
Mahapatra et al. HIERARCHICAL LEVEL SECURITY IN CLOUD COMPUTING
Patil et al. Secure Data Sharing in Cloud through Limiting Trust in Third Party/Server
Liu Security Research and Solution of Data Exchange Platform
Xiao et al. Achieving fine-grained access control and integrity auditing in cloud storage
Breezely George et al. Secured Key Sharing in Cloud Storage Using Elliptic Curve Cryptography
AU2003222410B2 (en) Secure electronic polling method and cryptographic processes therefor

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination