KR20110075089A - 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법 - Google Patents

환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법 Download PDF

Info

Publication number
KR20110075089A
KR20110075089A KR1020090131432A KR20090131432A KR20110075089A KR 20110075089 A KR20110075089 A KR 20110075089A KR 1020090131432 A KR1020090131432 A KR 1020090131432A KR 20090131432 A KR20090131432 A KR 20090131432A KR 20110075089 A KR20110075089 A KR 20110075089A
Authority
KR
South Korea
Prior art keywords
environment attribute
attribute information
data
information
user
Prior art date
Application number
KR1020090131432A
Other languages
English (en)
Other versions
KR101106101B1 (ko
Inventor
임재성
김동규
이호진
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020090131432A priority Critical patent/KR101106101B1/ko
Publication of KR20110075089A publication Critical patent/KR20110075089A/ko
Application granted granted Critical
Publication of KR101106101B1 publication Critical patent/KR101106101B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04TINDEXING SCHEME RELATING TO STANDARDS FOR ELECTRIC COMMUNICATION TECHNIQUE
    • H04T2001/00Standards for wireless communication networks
    • H04T2001/209Applications
    • H04T2001/2095Location -, Position -, or Presence Services

Abstract

환경속성 정보를 이용한 데이터 열람장치 및 이를 이용하는 데이터 열람방법이 개시된다. 보다 상세하게는 본 발명은, 암호화된 데이터를 생성하여 저장하는 데이터 저장부로부터 암호화된 데이터를 수신하는 데이터 수신부와, 외부의 인증서버로부터 데이터 저장부에서 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신하는 세션키 수신부와, 사용자가 속한 환경속성의 환경속성 정보를 수신하는 환경속성 정보 수신부 및 환경속성 정보 수신부에 수신된 환경속성 정보와 세션키를 이용하여 암호화된 데이터를 복호화하기 위한 마스터키를 생성하는 마스터키 생성부를 포함하는 데이터 열람장치 및 이를 이용한 데이터 열람방법에 관한 것이다.
암호화, 환경속성, 세션키, 마스터키, 데이터

Description

환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법{System and Method for Reading a Classified Digital Document using Environmental Information}
본 발명은 정해진 데이터를 수신한 사용자의 프로그램이 미리 결정된 환경속성 정보를 만족하는 경우에만 수신된 데이터를 열람할 수 있도록 하는 데이터 열람장치 및 그 방법에 관한 것이다.
또한, 본 발명은 데이터를 통한 정보 유출에 대한 대응책 및 데이터 보안 솔루션 등의 데이터 보완기술에 관한 것이다.
일반적으로 문서들은 컴퓨터에서 파일이라는 전자적 형태로 저장이 되고 있으며, 이 파일들이 중요한 자료일 경우에는 각 회사나 연구소, 단체 등에서 그 유출방지 보안에 막대한 노력을 경주하고 있으나, 내부 관계자에 의한 유출 등 여러 가지 요인으로 인해 실제로는 그 파일의 유출을 막을 수 없는 경우가 다수 있다.
종래에 사용되던 데이터 보호 방법은 문서를 열려고 시도할 경우에 비밀번호를 입력하게 하여 입력된 비밀번호와 파일에 기록된 값이 동일한지를 검사하는 것이다. 하지만 이는 비밀번호만 유추하면 손쉽게 파일을 열어볼 수 있는 단점이 있 으며, 실제로 사용자가 임의로 결정하는 비밀번호는 일반적으로 사용자 자신과 연관이 있거나 암기하기 쉬운 것으로 지정되는 경향이 있어, 공격자가 사전공격을 통해서 어렵지 않게 파악할 수 있는 문제점이 있었다.
또 다른 종래의 데이터 보호 방법으로는 파일에 관련된 작업을 전산기에서 수행할 때, 관련된 작업명령을 중간에서 가로채 불법 유출과 관련되어 있는지를 사전에 검사하고, 관련이 없는 경우에만 작업을 실행하도록 하는 것이 있었다. 하지만 이 방법은 전산기를 통해서 파일을 복제하여 유출하는 행위는 막을 수 있으나 저장매체 자체를 외부로 유출할 경우에는 데이터의 유출을 막을 수 없다. 또한 내부 유출자에 의해서 파일이 유출되는 경우도 막기가 힘들다는 문제점이 있었다.
이에 본 발명의 발명자들은 예의 연구한 끝에, 환경속성 정보를 이용하여 이에 따라 파일에 대한 접근을 제한하는 데이터 파일 (file)보안 및 파일의 유출방지방법을 제안하기에 이르렀다.
상술한 문제점을 해결하기 위한 관점으로부터 본 발명은, 사용자가 이용하는 문서 보안부의 환경속성 정보를 이용하여 수신한 데이터를 열람할 수 있는지 없는지를 사전에 결정된 정책에 따라 검증하고, 미리 결정된 환경속성에 속하는 경우에만 데이터를 열람할 수 있도록 하는 장치 및 방법을 제공하는 것을 제1 기술적 과제로 한다.
또한, 본 발명은 환경속성 정보를 획득할 수 있는 장치인 환경속성 참조부와 환경속성 참조부로부터 환경속성 정보를 획득할 수 있는 어떠한 사용자의 장치에서도 활용 가능한 데이터의 열람장치 및 열람방법을 제공하는 것을 제2 기술적 과제로 한다.
그러나, 본 발명의 기술적 과제는 상기에 언급된 사항으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 데이터의 열람장치는, 암호화된 데이터를 생성하여 저장하는 데이터 저장부로부터 암호화된 데이터를 수신하는 데이터 수신부와, 외부의 인증서버로부터 상기 데이터 저장부에서 상기 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신하는 세션키 수신부와, 사용자가 속한 환경속성의 환경속성 정보를 수신하는 환경속 성 정보 수신부 및 상기 환경속성 정보 수신부에 수신된 환경속성 정보와 상기 세션키를 이용하여 상기 암호화된 데이터를 복호화하기 위한 마스터키를 생성하는 마스터키 생성부를 포함한다.
또한, 상기 마스터키 생성부는 상기 사용자의 환경속성에 해당하는 환경속성 정보들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성하는 맵핑 테이블 생성부 및 상기 세션키와 상기 환경속성 정보에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리 연산하는 논리 연산부를 포함하는 것이 좋다.
바람직하게는, 맵핑 데이블 생성부의 블록값들은 상기 환경속성 정보들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것도 좋다.
또한 바람직하게는, 상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함하는 것이 좋다.
한편, 상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 데이터의 열람 방법은, (a) 암호화된 데이터를 생성하여 저장하는 데이터 저장부로부터 암호화된 데이터를 수신하는 단계와, (b) 외부의 인증서버로부터 상기 데이터 저장부에서 상기 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신하는 단계와, (c) 사용자가 속한 환경속성의 환경속성 정보를 수신하는 단계와, (d) 상기 수신된 환경속성 정보와 상기 세션키를 이용하여 상기 암호화된 데이터를 복호화하기 위한 마스터키를 생성하는 단계 및 (e) 상기 마스터키로 상기 암호화된 데이터를 복호화하는 단계를 포함한다.
여기서, 상기 암호화된 데이터는 미리 결정된 환경속성 정보와 상기 세션키를 이용하여 생성되는 것이 좋다.
그리고, 상기 (a)단계는, (a1) 상기 암호화된 데이터를 수신하기 위해 사용자의 식별자와 패스워드로 암호화된 식별자 정보를 제공하여 사용자 인증을 요청하는 단계 및 (a2) 상기 (a1)단계에서 사용자 인증 요청을 수신하여 상기 사용자의 헤쉬된 패스워드 정보를 이용하여 상기 사용자의 식별자를 확인하는 단계를 포함해도 좋다.
또, 상기 (d)단계는, 상기 (c)단계에서 획득한 환경속성 정보에 맵핑(mapping)되는 맵핑 테이블의 블록값과 상기 세션키를 합성하여 상기 마스터키를 생성하는 것이 바람직하다.
또한 바람직하게는, 상기 블록값은 상기 데이터 공급자에 의해 미리 결정되는 맵핑 함수에 대한 상기 (c)단계에서 획득한 환경속성 정보에 대한 출력값이며, 상기 맵핑 함수는 시간에 따라 변경되는 것이 좋다.
또한, 바람직하게는, 상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함할 수 있다.
그리고, 상기 위치 정보는 상대적 위치 정보 또는 절대적 위치 정보이며, 상기 상대적 위치 정보는 상기 환경속성 제어장치를 기준으로 계산된 거리 또는 방향 정보를 포함하고, 상기 절대적 위치 정보는 GPS(Ground Positioning System)을 이 용하여 계산되는 위도 및 경도값을 포함하는 것도 좋다.
또한, 상기 네트워크 속성은 네트워크의 지연(delay)량, 손실(lose)량, 다운로드 속도 및 지터(jitter)값 중 적어도 어느 하나 이상을 포함하는 것도 바람직하다.
한편, 상기한 기술적 과제를 달성하기 위해서 본 발명에 따른 데이터의 열람 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체로 제공하는 것도 바람직할 것이다.
본 명세서를 통해 기재된 내용으로부터 파악되는 본 발명에 따르면, 문서 보안부가 데이터를 사용할 수 있도록 허락된 환경속성에 속해 있지 않은 경우에는 데이터 파일을 보유하고 있어도 권한을 인증 받을 수 없어 보안키를 알 수 없고, 따라서 데이터의 열람을 차단할 수 있다.
즉, 데이터를 열람하기 위해서는 문서 보안부가 소정의 환경속성에 속해 있고, 인증서버부와 인증서를 통해서 인증이 이루어져야 한다는 2중의 조건을 만족해야 한다.
따라서 최근 성행하고 있는 내부자 및 제3자에 의해서 데이터가 탈취된다 할지라도, 환경속성 정보를 만족하지 못하는 경우에는 데이터의 열람을 불가능하게 하는 효과가 있다.
이하에서는 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. 여기의 설명에서 어떤 구성 요소가 다른 구성 요소에 연결된다고 기술될 때, 이는 다른 구성 요소에 바로 연결될 수도 그 사이에 제3의 구성 요소가 개재될 수도 있음을 의미한다. 우선 각 도면의 구성 요소들에 참조 부호를 부가함에 있어서, 동일한 구성 요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 이때 도면에 도시되고 또 이것에 의해서 설명되는 본 발명의 구성과 작용은 적어도 하나의 실시예로서 설명되는 것이며, 이것에 의해서 본 발명의 기술적 사상과 그 핵심 구성 및 작용이 제한되지는 않는다.
먼저, 본 발명에 대한 상세한 설명에 앞서, 본 명세서에서 사용되는 몇가지 용어들에 대한 설명을 개시한다. 이렇게 하는 것에 의해 본 발명에 대한 보다 명확한 이해의 기초가 제공될 것이다.
본 발명에 있어서, 세션키(session key)는 사용자와 데이터 제공자가 서로 공유하는 키로서, 통신을 하는 상대방끼리 하나의 통신 세션 동안에만 사용하는 키를 가리킨다. 즉, 하나의 키를 사용한 암호문이 많을 경우, 이를 분석하여 키를 계산할 가능성이 있으므로 이를 막기 위해 사용하는 임시적인 키를 지칭한다.
환경속성 정보는, 사용자의 주위를 둘러싼 제반 환경을 일컫는 용어로, 본 발명에서는 데이터 보안을 위한 암호화를 위해 활용 가능한 모든 종류의 정보를 지칭하는 용어로 사용된다. 구체적으로, 온도, 조도, 고도, 습도, 기압, 네트워크 속성 및 위치 정보와 같은 것들이 포함되나 이는 예시적으로 열거된 것으로 본 발명이 속하는 당업자라면 이들 이외에 더욱 다양한 환경속성 정보가 사용될 수 있음을 알 것이다. 또한, 환경속성 정보는 상기 환경속성 정보에 있어서의 각 속성에 대한 값으로서, 예를 들면, 환경속성 정보가 고도라면, 고도라는 환경속성 정보에 해당하는 환경속성 정보은, 고도의 값을 x축으로, 시간의 값을 y축으로 할 때 해당 고도와 해당 시간이 만나는 지점의 값인 것이다.
도 1은 본 발명에 따른 데이터 열람장치를 개략적으로 도시한 블록도이다.
도 1에 도시된 바와 같이, 데이터 열람장치(100)는, 데이터 수신부(111), 세션키 수신부(112), 환경속성 정보 수신부(114) 및 마스터키 생성부(113)을 포함한다.
데이터 수신부(111)는, 암호화된 데이터를 생성하여 저장하는 데이터 저장부로부터 암호화된 데이터를 수신한다. 여기서 데이터 저장부는 데이터 베이스로 전자문서를 포함한 암호화된 데이터들을 저장하고 있는 외부의 장치이다.
세션키 수신부(112)는, 외부에 존재하는 인증서버로부터 상기 데이터 저장부에서 상기 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신 받는다.
환경속성 정보 수신부(114)는, 사용자가 속한 환경속성의 환경속성 정보를 수신하기 위해 구비된다.
마스터키 생성부(113)는, 상기 환경속성 정보 수신부(114)에 수신된 환경속성 정보와 세션키를 이용하여 상기 암호화된 데이터를 복호화하기 위한 마스터키를 생성한다. 마스터키 생성부(113)에서는, 상기 환경속성에 해당하는 환경속성 정보들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성한다.
이를 자세히 설명하기 위해 도 2를 참조한다.
도 2는 본 발명에 따른 데이터 열람장치의 마스터키 생성부를 개략적으로 도시한 블록도이다.
도 2에 도시된 바와 같이, 마스터키 생성부(113)는 맵핑 테이블 생성부(54) 및 논리 연산부(58)를 포함한다.
맵핑 테이블 생성부(54)는, 환경속성에 해당하는 환경속성 정보들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성한다. 이에 대한 상세한 설명은 후술하기로 한다.
논리 연산부(58)는 세션키와 상기 환경속성 정보에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리연산하여 마스터키를 생성한다. 상술한 맵핑 테이블 생성부(54)에서 생성되는 맵핑 테이블의 블록값들은 상기 환경속성 정보들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것이 가능함에 유의할 것이다. 이에 대한 보다 상세한 설명은 하기에서 설명한다.
도 3은 본 발명의 일 실시예에 따라 사용자의 환경속성 정보가 기존의 정책을 만족 할 경우 데이터의 열람이 허용되지만 그렇지 않은 경우 데이터의 판독이 제한되는 것을 설명하기 위해 도시한 도면이다.
도 3은 사용자가 환경속성 정보를 받아 파일을 읽을 수 있고, 그렇지 않으면 파일을 읽을 수 없도록 하는 본 발명의 데이터 보안 방법에 대한 일실시예를 나타낸다. 보안 데이터를 읽기 위해서는 각 사용자는 자신의 환경속성에 대한 검증을 받고, 검증을 받은 사용자는 안전하게 세션키와 환경속성정보에 따른 블록값으로 복호화 키를 생성해 암호화된 보안 데이터를 복호화하여 읽을 수 있다.
도 3에 도시된 바와 같이, 문서 관리서버(데이터 저장부, 110)로부터 수신받은 데이터는 특정 속성환경에서만 열람할 수 있게 하기 위해서 보안 관리자가 각 데이터를 열람할 수 있는 특정 환경을 파일 단위로 지정하고, 각 파일은 지정된 환경속성을 만족하는 경우에만 읽을 수 있도록 보호된다. 여기서 각 위치는 사무실 단위로 지정될 수 있다. 각 사용자는 속성환경 참조부와 협력하여 자신이 위치한 환경의 환경속성 정보를 파악하고 이 정보가 적절하다고 확인되는 경우 암호화된 데이터를 열람할 수 있는 것이다.
본 발명에서는 각 사용자의 사용자 장치에는 데이터의 보안을 위해 문서 보안부를 구동한다. 각 사용자가 암호화된 데이터를 읽기 위해서는 문서 보안부를 통해서 파일을 사용해야 한다. 문서 보안부는 먼저 사용자의 환경속성인증을 수행하고, 사용자가 무사히 인증을 받으면 암호화된 데이터의 암호를 해제하여 데이터의 열람을 가능하게 한다.
즉, 도 3을 참조하여 설명하면, 사용자 장치(140)에서 문서 관리서버(데이터 저장부, 110)에 데이터의 다운로드를 요청하여 데이터가 수신되면, 다음으로 사용자의 환경속성 인증단계가 진행된다. 사용자 장치(140)는 환경속성 참조부(130)로부터 사용자의 환경속성 정보를 수신하고 수신한 사용자의 환경속성 정보와 세션키를 이용하여 다운로드한 암호화된 데이터를 복호화하기 위한 마스터키를 생성한다.
따라서, 사용자 장치(140`)가 정해진 환경 속성을 만족하지 않는 경우에는 비록 사용자의 식별자와 패스워드를 통한 사용자 인증이 성공하는 경우에도 암호화 된 데이터가 미리 결정된 환경속성 정보와 세션키로 생성된 마스터키를 이용하여 암호화되어 있기 때문에 사용자의 환경속성 정보가 달라지는 경우에는 달라진 환경속성 정보에 의해 생성된 마스터키로 상기 암호화된 데이터를 복호화할 수 없게 되는 것이다.
도 4는 본 발명의 일 실시예에 따른 데이터의 열람방법에 관한 플로우 챠트이다.
도 4에 도시된 바와 같이, 본 발명의 일 실시예에 따른 데이터의 열람방법은, 암호화된 데이터가 수신되는 단계(S10), 인증서버부와 사용자 장치가 공유하며 주기적으로 갱신되는 세션키를 제공받는 단계(S20), 환경속성 참조장치에서 사용자 자의 환경속성에 관한 정보를 수신하는 단계(S30), 수신된 환경속성 정보와 상기 세션키를 이용하여 암호화된 데이터를 복호화할 수 있는 마스터키를 생성하는 단계(S40) 및 마스터키를 이용하여 수신한 암호화된 데이터를 복호화하여 열람하는 단계(S50)를 포함한다.
이러한 본 발명의 일 실시예에 따른 데이터의 열람 방지방법에 대한 상세한 설명은 도 5를 참조하여 이하에서 상세하게 설명된다.
도 5는 본 발명의 일 실시예에 따라 사용자, 환경속성 참조장치 및 인증서 사이에서 진행되는 사용자인증 및 환경속성 검증과정을 도시한 흐름도이다.
제1 단계(S1)에서, 사용자(110)는 자신의 환경속성를 인증받기 위해서 환경속성 인증요청 신호를 전송한다. 이 인증요청 신호에는 자신의 식별자와 자신의 패스워드로 암호화된 식별자 정보를 포함하며 인증요청 신호는 다음과 같다.
Figure 112009080453373-PAT00001
여기서 HMAC은 해쉬값을 생성하는 알고리즘을 의미하며, IDa는 사용자의 식별자이다.
제2 단계(S2)에서, 상기 인증요청을 수신한 환경속성 참조장치(130)는 이 정보를 인증서버(120)에게 전달한다. 이 때 인증서버(120)와 환경속성 참조장치(130) 사이에는 안전한 통신 채널이 구성되어 되어 있어 둘 사이에는 공통된 세션키를 공유하며, 모든 패킷은 이를 통해서 암호화되어 전송된다.
제3 단계(S3)에서, 인증요청을 수신한 인증서버(120)는 수신된 패킷의 사용자의 해쉬된 패스워드 정보를 이용하여 암호화된 사용자 식별자를 계산한다. 이 값이 수신된 인증요청에 포함된 값과 같으면 인증이 성공하였다는 메시지를 환경속성 참조장치(130)에 전달한다.
제4 단계(S4)에서, 인증 성공 메시지를 받은 환경속성 참조장치(130)는 사용자의 환경속성 정보를 사용자(110)에게 전송한다.
제5 단계(S5)에서, 사용자 장치(110)는 수신된 환경속성 정보가 맵핑된 맵핑 테이블에서 블록값을 찾아 마스터키를 생성한다. 이 마스터키는 암호화된 데이터 파일의 암호를 해제하는 키가 된다.
여기서, 환경속성 정보를 이용하여 마스터키를 생성하는 과정에 대한 상세한 설명을 개시한다.
도 6은 본 발명의 일 실시예에 따른 환경속성 정보를 이용하여 마스터키를 만드는 과정을 개략적으로 도시한 블록도이다.
도 6을 참조하면, 사용자 장치에서 사용할 사용자의 환경속성 정보의 환경속성 정보(41(1)~41(n))를 알고 이 환경속성 정보가 맵핑된 맵핑 테이블에서 블록값(42(1)~42(n))을 결정한다. 예를 들어 사용할 환경속성 정보가 고도라고 한다면, 데이터 공급자는 정해진 고도와 시간에서 주어진 블록값을 맵핑 테이블에서 찾는다.
여기서, 맵핑 테이블 및 블록값에 대한 보다 상세한 설명을 위해 도 7내지 도 9를 참조하면, 도 7은 본 발명에 있어서, 고도를 환경속성 정보로 한 맵핑 테이블을 도시한 도면, 도 8는 본 발명에 있어서, 상대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면, 도 9는 본 발명에 있어서, 절대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면이다.
도 7은 환경속성 정보로 고도를 사용하는 경우에 대한 맵핑 테이블을 나타낸다.
도 7에 도시된 바와 같이, 맵핑 테이블의 x축은 환경속성 정보에 대해 1차원적으로 나열되어 있고, y축은 x축의 환경속성 정보가 시간에 따라 변경되는 값이 나열되어 하나의 마스터키를 만드는데 사용하는 블록값을 생성하기 위한 테이블이다. 예를 들면, 고도의 범위는 0ft에서 비행기가 다닐 수 있는 최대 3000ft로 정하고 이 사이에 해당하는 고도의 값을 x축, 시간으로부터의 값을 y축으로 하여 해당고도와 해당시간이 만나는 지점의 값을 환경속성 정보에 따른 맵핑 테이블의 블록값으로 정한다.
다른 예로, 도 8에 도시된 바와 같이, 환경속성 정보로 상대적 위치정보를 사용하는 경우는, 맵핑 테이블의 입력값은 거리, 방향, 시각으로 주어진다. 즉, 거리, 방향 및 시각은, 참조노드와 사용자 사이의 거리, 참조노드를 기준으로 사용자가 위치한 방향 그리고 복호화할 수 있는 시각을 각 지칭한다. 환경속성 정보로 상대적 위치를 사용할 경우도 마찬가지로 각 위치에 따른 블록값이 마스터키를 생성하는데 사용된다. 여기서 참조노드에 대한 설명은 후술하기로 한다.
또 다른 예로, 도 9에 도시된 바와 같이, 환경속성 정보로 절대적 위치정보를 사용하는 경우는, 맵핑 테이블의 입력값은 위도와 경도 그리고 복호화 가능 시각으로 주어져 계산된 절대적 위치정보에서 위도값과 경도값에 해당하는 블록으로 마스터키를 생성하는데 사용된다. 여기서 절대적 위치정보는 일반적으로 GPS(Ground Positioning System)를 이용하여 계산될 수 있음에 유의하여야 한다.
이상 설명한 바와 같이, 환경속성 정보는 온도, 조도, 습도, 기압, 네트워트 속성, 위치 등을 환경속성에 관련된 모든 정보를 다 사용할 수 있으며, 환경속성 정보로 위치를 이용할 때는 절대적 위치를 사용하는 방법과 상대적 위치를 사용하는 방법에 대하여는 상술하였다. 절대적 위치정보는 GPS를 이용해서 계산되는 전 세계에서 유일하게 계산될 수 있는 위치정보를 의미하며, 상대적 위치정보는 참조노드를 기준으로 계산된 위치정보를 의미한다.
따라서 상대적 위치정보를 사용하는 시스템을 구성하기 위해서는 무선신호를 지속적으로 송출하여 사용자들이 자신의 위치를 계산할 수 있도록 하는 참조노드를 각 위치에 설치하여야 한다. 상대적 위치정보를 이용하는 경우, 멀티노드를 사용할 때는 각 참조노드에 위치값을 전송받아 위치를 계산하고 단일노드를 사용할 때는 노드는 주기적으로 키를 생성하여 키를 브로드캐스트(broadcast)한다. 여기서 본 발명을 위한 참조노드는 무선랜 AP나 ZigBee 센서노드 등을 이용하여 구현된다.
이후, 사용자 장치는 계산된 블록값과 인증서버와 사용자 장치가 서로 공유하는 세션키를 합성하여 마스터키를 생성한다. 여기서 다른 환경속성 정보에 따른 블록값은 얼마든지 합성이 가능하다. 예를 들어, 만들어진 세션키에 고도를 제외한 다른 환경속정보인 온도에 대한 맵핑 테이블의 블록값을 다시 합성시킬 수 있다.
이후 단계에서는 사용자 장치에서 상기 계산된 환경속성 정보와 미리 저장된 맵핑 함수를 이용하여 블록값을 맵핑한다. 이때, 사용자 장치의 환경속성에 관한 정보뿐만 아니라, 사용자 장치가 해당 데이터를 복호화할 수 있는 시간에 관한 정보까지도 고려할 수 있다.
환경속성 정보로 절대적 위치를 사용하는 경우, 맵핑 함수는 위도와 경도 및 복호화 가능 시각을 입력으로 받아 하나의 블록값으로 결과값을 출력하는 함수이다. 맵핑 함수의 일 예는 도 9에 나타나 있다.
도 9을 참조하면, 맵핑 함수는 입력값(예: 위도, 경도, 시간)에 따라 다 차원 배열(multi-dimension array) 형식으로 나타낼 수 있다. 암호화 과정을 다시 살펴보면, 상기 위치 정보에서 위도값과 경도값을 추출하고, 사용자 장치가 복호화 할 수 있는 시간을 지정하여 이들을 맵핑 함수의 입력으로 한 후, 맵핑 함수에서 출력되는 결과값을 블록값으로 사용한다.
여기서, 위치 정보 이외에 복호화 가능 시각은 선택적인 입력값으로 정할 수 있다. 즉, 위치 정보만을 이용하여 블록값을 선택할 수 있으며 추가적으로 복호 가능시각까지 입력으로 하여 맵핑 함수로부터 블록값을 맵핑할 수 있는 것이다.
단, 절대적 위치 정보가 아닌 상대적 위치 정보를 사용하였을 경우에는 위도값, 경도값이 없으므로 맵핑 함수의 입력값은 거리, 방향 그리고 시각으로 주어진다. 즉, 참조노드와 사용자 장치 사이의 거리, 참조노드를 기준으로 사용자 장치가 위치한 방향, 그리고 복호화할 수 있는 시각을 말한다.
다음 단계로, 사용자 장치에서 마스터키를 생성하기 위해서 세션키와 블록값을 배타적 논리합(XOR: eXclusive OR) 연산을 통해서 혼합한다.
상기 혼합된 데이터를 다시 암호화(encrypt)하여 사용자 장치는 마스터키를 생성하는데, 이때 암호 알고리즘은 ECC(Elliptic Curve Cryptosystem)를 사용할 수 있다. 암호화를 수행한 결과, 환경속성 정보 기반의 암호화된 키 값인 마스터키가 출력되고 이 마스터키가 곧 다운로드한 암호화된 데이터를 복호화하는 키가 된다.
또한, 본 발명은 암호화된 데이터를 열람할 수 있는 환경속성을 파일 단위로 지정하고 관리되는 모든 파일에는 환경속성별로 할당된 값을 이용하여 마스터키에 의해 암호화 할 수 있다. 따라서 세션키만 알거나 환경속성만 알아서는 파일을 복호화할 수 없어 데이터 파일을 열람할 수 없다. 그리고 이 세션키는 주기적으로 갱신되어 인증서버로부터 환경속성 참조장치 및 데이터 저장부(문서 관리서버)에 배포되고, 다시 환경속성 참조장치로부터 사용자 장치에 배포된다. 문서 관리서버에는 문서관리 프로그램이 설치되어 있어 새로운 세션키가 배포될 때마다 새롭게 암호화를 수행한다. 이 과정은 다음의 두 단계로 진행된다.
제 1단계; 인증서버로부터 새로운 세션키를 배포 받은 문서 관리부는 우선 문서 관리부의 데이터베이스를 검색하여 환경속성 별로 미리 정해진 환경속성 범위 내에서만 데이터의 열람이 가능하도록 제한된 파일들을 추출한다.
제 2단계; 문서 관리부는 미리 결정된 환경속성 정보에 대응하는 맵핑 테이블의 블록값을 이용하여 생성된 마스터키를 이용해 검색된 파일들을 각각 암호화한다.
예를 들어, 문서 관리부에서 고도를 환경속성 정보로 이용한다면, 해당 고도와 해당 시간이 만나는 지점의 좌표값을 가지고 있어야하며, 이것은 데이터의 정당한 사용자만이 알 수 있는 값이 된다. 또한 환경속성 정보로 온도나 습도를 사용하여, 민감한 실험실의 데이터를 열람하도록 했다면, 사용자는 알맞은 온도와 습도를 가진 환경에서만 데이터를 열람할 수 있는 것이다. 네트워크 속성을 사용할 경우에는 무선일 경우에는 전송속도를, 유선일 경우에는 지연(delay)값 등을 이용하여 데이터를 암호화할 수 있다.
한편, 본 발명에 따른 데이터의 열람방법은 다양한 컴퓨터로 구현되는 동작을 수행하기 위한 프로그램 명령을 포함하는 컴퓨터 판독 가능 매체를 포함한다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 이는 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다. 따라서, 본 발명 사상은 아래에 기재된 특허청구범위에 의해서만 파악되어야 하고, 이의 균등 또는 등가적 변형 모두는 본 발명의 사상적 범주에 속한다.
도 1은 본 발명에 따른 데이터의 열람장치를 개략적으로 도시한 블록도,
도 2는 본 발명에 따른 데이터 열람장치의 마스터키 생성부를 개략적으로 도시한 블록도,
도 3은 본 발명의 일 실시예에 따라 사용자의 환경속성 정보가 기존의 정책을 만족 할 경우 데이터의 열람이 허용되지만 그렇지 않은 경우 데이터의 판독이 제한되는 것을 설명하기 위해 도시한 도면,
도 4는 본 발명의 일 실시예에 따른 데이터의 열람방법에 관한 플로우 챠트,
도 5는 본 발명의 일 실시예에 따라 사용자, 환경속성 참조장치 및 인증서버 사이에서 진행되는 사용자인증 및 환경속성 검증과정을 도시한 흐름도,
도 6은 본 발명의 일 실시예에 따른 환경속성 정보를 이용하여 마스터키를 생성하는 과정을 개략적으로 도시한 블록도,
도 7은 본 발명에 있어서, 고도를 환경속성 정보로 한 맵핑 테이블을 도시한 도면,
도 8은 본 발명에 있어서, 상대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면,
도 9는 본 발명에 있어서, 절대적 위치 정보를 환경속성 정보로 한 맵핑 테이블을 도시한 도면이다.

Claims (12)

  1. 암호화된 데이터가 저장된 데이터 저장부로부터 암호화된 데이터를 수신하는 데이터 수신부;
    외부의 인증서버로부터 상기 데이터 저장부에서 상기 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신하는 세션키 수신부;
    사용자가 속한 환경속성에 해당하는 환경속성 정보를 수신하는 환경속성 정보 수신부; 및
    상기 환경속성 정보 수신부에 수신된 환경속성 정보와 상기 세션키를 이용하여 상기 암호화된 데이터를 복호화하기 위한 마스터키를 생성하는 마스터키 생성부를 포함하는 데이터 열람장치.
  2. 제1항에 있어서,
    상기 마스터키 생성부는 상기 사용자의 환경속성에 해당하는 환경속성 정보들이 맵핑되는 블록값들의 집합인 맵핑 테이블을 생성하는 맵핑 테이블 생성부; 및
    상기 세션키와 상기 환경속성 정보에 따라 상기 맵핑 테이블 생성부에서 추출되는 블록값을 논리 연산하는 논리 연산부를 포함하는 것을 특징으로 하는 데이터 열람장치.
  3. 제2항에 있어서,
    상기 맵핑 데이블 생성부의 블록값들은 상기 환경속성 정보들을 입력으로 하는 맵핑 함수의 출력값들이며, 상기 맵핑 함수는 시간에 따라 변경되는 것을 특징으로 하는 데이터 열람장치.
  4. 제1항에 있어서,
    상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함하는 것을 특징으로 하는 데이터 열람장치.
  5. (a) 암호화된 데이터를 생성하여 저장하는 데이터 저장부로부터 암호화된 데이터를 수신하는 단계;
    (b) 외부의 인증서버로부터 상기 데이터 저장부에서 상기 암호화된 데이터를 생성하기 위해 사용하며 주기적으로 갱신되는 세션키를 수신하는 단계;
    (c) 사용자가 속한 환경속성의 환경속성 정보를 수신하는 단계;
    (d) 상기 수신된 환경속성 정보와 상기 세션키를 이용하여 상기 암호화된 데이터를 복호화하기 위한 마스터키를 생성하는 단계; 및
    (e) 상기 마스터키로 상기 암호화된 데이터를 복호화하는 단계를 포함하는 데이터 열람방법.
  6. 제5항에 있어서,
    상기 암호화된 데이터는 미리 결정된 환경속성 정보와 상기 세션키를 이용하여 생성되는 것을 특징으로 하는 데이터 열람방법.
  7. 제5항에 있어서, 상기 (a)단계는,
    (a1) 상기 암호화된 데이터를 수신하기 위해 사용자의 식별자와 패스워드로 암호화된 식별자 정보를 제공하여 사용자 인증을 요청하는 단계; 및
    (a2) 상기 (a1)단계에서 사용자 인증 요청을 수신하여 상기 사용자의 헤쉬된 패스워드 정보를 이용하여 상기 사용자의 식별자를 확인하는 단계를 포함하는 것을 특징으로 하는 데이터 열람방법.
  8. 제7항에 있어서, 상기 (d)단계는,
    상기 (c)단계에서 획득한 환경속성 정보에 맵핑(mapping)되는 맵핑 테이블의 블록값과 상기 세션키를 합성하여 상기 마스터키를 생성하는 것을 특징으로 하는 데이터 열람방법.
  9. 제8항에 있어서,
    상기 블록값은 상기 데이터 공급자에 의해 미리 결정되는 맵핑 함수에 대한 상기 (c)단계에서 획득한 환경속성 정보에 대한 출력값이며, 상기 맵핑 함수는 시간에 따라 변경되는 것을 특징으로 하는 데이터 열람방법.
  10. 제5항에 있어서,
    상기 환경속성은 적어도 위치정보를 포함하고, 온도, 조도, 고도, 습도, 기압, 먼지의 양 및 네트워크 속성 중 적어도 어느 하나 이상의 정보를 더 포함하는 것을 특징으로 하는 데이터 열람방법.
  11. 제10항에 있어서,
    상기 위치 정보는 상대적 위치 정보 또는 절대적 위치 정보이며, 상기 상대적 위치 정보는 상기 환경속성 제어장치를 기준으로 계산된 거리 또는 방향 정보를 포함하고, 상기 절대적 위치 정보는 GPS(Ground Positioning System)을 이용하여 계산되는 위도 및 경도값을 포함하는 것을 특징으로 하는 데이터 열람방법.
  12. 제10항에 있어서,
    상기 네트워크 속성은 네트워크의 지연(delay)량, 손실(lose)량, 다운로드 속도 및 지터(jitter)값 중 적어도 어느 하나 이상을 포함하는 것을 특징으로 하는 데이터 열람방법.
KR1020090131432A 2009-12-28 2009-12-28 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법 KR101106101B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090131432A KR101106101B1 (ko) 2009-12-28 2009-12-28 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090131432A KR101106101B1 (ko) 2009-12-28 2009-12-28 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법

Publications (2)

Publication Number Publication Date
KR20110075089A true KR20110075089A (ko) 2011-07-06
KR101106101B1 KR101106101B1 (ko) 2012-01-18

Family

ID=44915136

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090131432A KR101106101B1 (ko) 2009-12-28 2009-12-28 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법

Country Status (1)

Country Link
KR (1) KR101106101B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141102B1 (ko) * 2011-08-24 2012-05-02 주식회사 안철수연구소 단말 장치 및 상기 단말 장치의 보안 문서 실행 방법, 문서 관리 서버 및 방법
WO2014107060A1 (ko) * 2013-01-07 2014-07-10 주식회사 안랩 모바일 데이터 보안 장치 및 방법

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7873838B2 (en) 2006-07-12 2011-01-18 Palo Alto Research Center Incorporated Method, apparatus, and program product for flexible redaction of content
KR100842276B1 (ko) * 2006-12-07 2008-06-30 한국전자통신연구원 무선 lan 보안 표준 기술을 확장한 무선 rfid의료기기 접근제어방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101141102B1 (ko) * 2011-08-24 2012-05-02 주식회사 안철수연구소 단말 장치 및 상기 단말 장치의 보안 문서 실행 방법, 문서 관리 서버 및 방법
WO2014107060A1 (ko) * 2013-01-07 2014-07-10 주식회사 안랩 모바일 데이터 보안 장치 및 방법

Also Published As

Publication number Publication date
KR101106101B1 (ko) 2012-01-18

Similar Documents

Publication Publication Date Title
JP6941146B2 (ja) データセキュリティサービス
US10652015B2 (en) Confidential communication management
US8059818B2 (en) Accessing protected data on network storage from multiple devices
US8856530B2 (en) Data storage incorporating cryptographically enhanced data protection
JP5314016B2 (ja) 情報処理装置、暗号鍵の管理方法、コンピュータプログラム及び集積回路
US9332002B1 (en) Authenticating and authorizing a user by way of a digital certificate
KR101754308B1 (ko) 모바일 민감 데이터 관리 방법 및 이를 수행하는 위탁 서버
KR20150141362A (ko) 네트워크 노드 및 네트워크 노드의 동작 방법
US20080209231A1 (en) Contents Encryption Method, System and Method for Providing Contents Through Network Using the Encryption Method
KR20140099126A (ko) 소프트웨어를 보안하기 위하여 해시 함수를 이용한 소프트웨어 처리 방법, 그 장치 및 그 방법을 실행하기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체
KR101817152B1 (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
US9722992B2 (en) Secure installation of software in a device for accessing protected content
US20230291548A1 (en) Authorization requests from a data storage device to multiple manager devices
US20230289089A1 (en) Multiple authorization requests from a data storage device
US20230289456A1 (en) Certificates in data storage devices
US11640480B2 (en) Data message sharing
CN114826702A (zh) 数据库访问密码加密方法、装置和计算机设备
KR101042234B1 (ko) 위치 인증을 통한 사용자 프로그램의 기밀문서 판독 방지방법
CN110213039A (zh) 一种管理方法、终端和服务器
KR101106101B1 (ko) 환경속성 정보를 이용한 데이터 열람장치 및 데이터 열람방법
EP4145763A1 (en) Exporting remote cryptographic keys
CN106790100B (zh) 一种基于非对称密码算法的数据存储和访问控制方法
KR102496436B1 (ko) 블록체인 네트워크에서 저장소에 복수의 데이터 조각들을 저장하는 방법 및 저장된 복수의 데이터 조각들을 수신하는 방법
KR101082480B1 (ko) 환경속성 정보를 이용한 데이터 접근 제어시스템 및 그 방법
KR101040608B1 (ko) 환경속성 정보를 이용한 데이터의 보호방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141226

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151224

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee