KR20150049571A - 객체검증장치 및 그 무결성인증방법 - Google Patents

객체검증장치 및 그 무결성인증방법 Download PDF

Info

Publication number
KR20150049571A
KR20150049571A KR1020130130300A KR20130130300A KR20150049571A KR 20150049571 A KR20150049571 A KR 20150049571A KR 1020130130300 A KR1020130130300 A KR 1020130130300A KR 20130130300 A KR20130130300 A KR 20130130300A KR 20150049571 A KR20150049571 A KR 20150049571A
Authority
KR
South Korea
Prior art keywords
object information
information
current
integrity
initial
Prior art date
Application number
KR1020130130300A
Other languages
English (en)
Inventor
최양서
김익균
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130130300A priority Critical patent/KR20150049571A/ko
Priority to US14/254,305 priority patent/US20150121072A1/en
Publication of KR20150049571A publication Critical patent/KR20150049571A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Storage Device Security (AREA)

Abstract

실시 예는, 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받고, 상기 객체에 대한 최초객체정보가 등록된 무결성 인증서버로 상기 최초객체정보를 요청 및 입력받는 통신모듈 및 상기 객체에서 추출한 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하고, 상기 판단 결과에 따라 상기 통신모듈을 제어하여 입력된 상기 최초객체정보와 상기 현재객체정보를 비교하여 상기 객체에 대한 무결성을 최종 확인하는 제어모듈을 포함하는 객체검증장치를 제공한다.

Description

객체검증장치 및 그 무결성인증방법{Object verification apparatus and the integrity authentication method}
실시 예는 객체검증장치 및 그 무결성인증방법에 관한 것으로서, 더욱 상세하게는 정보통신분야에서 사용되는 객체에 대하여 무결성 인증을 수행하기 용이한 객체검증장치 및 그 무결성인증방법에 관한 것이다.
정보통신 환경에서는 다양한 형태의 객체가 존재하며, 이 객체는 다양한 이유로 특정 시스템 또는 서버에서 다른 시스템으로 전달된다.
예를 들면, 일반 사용자가 은행업무를 위해 은행 사이트에 접속하는 경우, 해당 은행 사이트에서 제공하는 보안 또는 암호 모듈 등이 인터넷을 통해 은행 웹사이트에서 사용자의 개인용 컴퓨터로 전달되며, 사용자가 특정 응용프로그램 또는 운영체제 등의 업데이트를 수행하는 경우, 해당 업데이트 프로그램 혹은 모듈이 업데이트 서버에서 개인 사용자에게 전달된다. 또, 원하는 정보를 탐색하는 경우에는 해당 탐색 결과가 탐색대상 서버에서 사용자로 전달되며, 특정 문서(워드파일, PDF파일, 한글파일, 이미지 파일 등)가 해당 문서를 가지고 있는 서버 혹은 시스템에서 해당 문서를 내려받는 시스템으로 전달된다. 또 하나의 가장 큰 예는 스마트기기(스마트폰, 태블릿 PC 등)이 앱스토어, 마켓 또는 웹사이트 등에서 스마트기기용 응용 프로그램(어플)을 내려받아 저장하고 실행하고 있다.
이와 같이 현재의 정보통신 환경에서는 셀 수 없이 많은 다양한 형태의 소프트웨어, 문서, 이미지 등이 지속적으로 전송되고 저장되고 있다. 본 발명에서 언급하는 객체는 정보통신 환경에서 특정 시스템에서 타 시스템으로 전달 가능한 모든 형태의 전자정보, 문서, 일반파일, 실행파일 등을 총칭하는 의미이다.
이렇게 매우 다양하고 많은 객체가 전달되고 있는 현재의 상황에서 해당 객체의 무결성은 매우 중요한 요소임에 틀림없다. 그러나, 현재는 이러한 객체들에 대한 무결성 인증 과정은 거의 논의되지 않고 있다. 몇몇 서버에서는 자체적으로 객체에 대한 MD5 해쉬값을 제공함으로써 해당 객체에 대한 무결성을 제공하고자 하고 있으나, 제공되는 해쉬값이 정상적인 객체로부터 추출된 것인지, 변조된 객체로부터 추출된 것인지, 그리고 해쉬값 자체가 변조되었는지 변조되지 않았는지 등을 증명할 수 있는 방법이 없다. 다만 사용자는 정상적인 객체 제공자가 정당한 객체로부터 추출한 무결성 인증 정보라고 믿고 사용하는 수준인 것이다. 더욱이 이와 같은 해쉬값을 제공하는 서버 자체도 많지 않은 상황이다.
객체의 무결성이 보장되지 않은 상황에서는 다음과 같은 문제들이 발생할 수 있다.
먼저, 사용자는 본인이 인터넷에서 내려 받아 설치하는 응용 프로그램 또는 문서 등의 객체가 변조되지 않은 정상적인 것인지를 확인할 수 없기 때문에, 악성프로그램을 정상 객체로 오인하고 악성 프로그램 등을 설치하게 되는 경우가 발생한다. 실제로 시스템 마비 및 파괴 등 매우 큰 피해를 발생시키는 최근 해킹 공격의 경우 주로 악성파일을 이용하여 공격을 수행하는데, 이러한 악성파일은 정상 프로그램으로 위장하여 사용자에게 설치를 유도하게 되며, 사용자들은 정상 파일로 오인하고 설치하여 문제를 일으키는 경우가 대부분이다. 예를 들어 2013년 3월 20일에 발생한 방송/은행 전산망 마비 공격의 경우에는 정상 실행파일로 위장된 악성프로그램이 사용자 PC에 설치되어 해당 사용자의 PC를 마비시켰다.
현재는 일반 사용자들이 인터넷 상에서 내려 받는 객체가 정당한 것인지를 확인할 수 있는 방법이 없다. 일부 악성 프로그램에 대해서는 기존의 바이러스 탐지 프로그램들의 도움을 받아 탐지가 가능한 경우가 있으나, 이는 이미 알려져 있는 악성파일에 대해서 일부 탐지가 가능하다는 것이고, 정상 파일과 매우 유사한 형태로 작성된 알려지지 않은 악성 파일들에 대해서는 탐지가 불가능한 상황이다.
따라서, 사용자들은 악성 파일만을 탐지하는 기존의 바이러스 탐지 프로그램과 같이 이미 알려진 변조된 파일이나 악성파일을 탐지하는 형태가 아니라, 사용되는 객체의 무결성 실시간으로 확인할 수 있어야 한다. 즉, 악성 여부를 떠나 특정 객체가 최초 해당 객체 생성자가 작성 또는 개발한 형태에서 변조되지 않은 원본 그대로 임을 확인할 수 있도록 지원하는 객체 무결성 인증이 반드시 필요한 상황이다.
실시 예의 목적은, 정보통신분야에서 사용되는 객체에 대하여 무결성 인증을 수행하기 용이한 객체검증장치 및 그 무결성인증방법을 제공함에 있다.
또한, 실시 예의 목적은, 사용자들이 특정 객체를 설치, 실행 또는 열어보기 이전에, 해당 파일이 변조되지 않았음을 확인할 수 있게 하여, 정상 객체만을 사용할 수 있게 함으로써 악성행위가 발생하는 것을 근본적으로 차단할 수 있게 하는 신뢰할 수 있는 무결성인증서버를 이용한 객체 무결성 인증 체계(Object Integrity Authentication Infrastructure with Trusted Organization)을 수행하는 객체검증장치 및 그 무결성인증방법을 제공함에 있다.
실시 예에 따른 객체검증장치는, 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받고, 상기 객체에 대한 최초객체정보가 등록된 무결성 인증서버로 상기 최초객체정보를 요청 및 입력받는 통신모듈 및 상기 객체에서 추출한 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하고, 상기 판단 결과에 따라 상기 통신모듈을 제어하여 입력된 상기 최초객체정보와 상기 현재객체정보를 비교하여 상기 객체에 대한 무결성을 최종 확인하는 제어모듈을 포함한다.
실시 예에 따른 객체정보는, 상기 객체에 대한 객체명, 객체크기, 객체생성시간, 객체버전 및 해쉬값 등이 포함될 수 있으며, 이 외에도 객체의 특징을 표현할 수 있는 임의의 정보가 사용될 수 있고, 이중 적어도 하나를 포함한다.
실시 예에 따른 상기 객체정보는, 상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화된 것을 특징으로 한다.
실시 예에 따른 상기 통신모듈은, 상기 제어모듈의 제어에 따라, 상기 객체, 상기 객체정보 및 상기 최초객체정보를 요청 및 입력받는 것을 특징으로 한다.
실시 예에 따른 상기 객체정보는, 상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화되며, 상기 최초객체정보는, 상기 객체생성장치로부터 배포된 상기 객체정보를 상기 개인암호화키에 대응하는 공용복호화키에 따라 복호화하여 무결성 확인 후 설정된 서버암호화키에 의해 암호화된 것을 특징으로 한다.
실시 예에 따른 상기 제어모듈은, 상기 객체에서 상기 현재객체정보를 추출하는 추출부, 상기 객체정보 및 상기 최초객체정보를 설정된 복호화키에 따라 복호화하는 복호화부 및 상기 현재객체정보와 상기 객체정보에 대한 동일 여부 및 상기 현재객체정보와 상기 최초객체정보에 대한 동일 여부를 판단하여 상기 객체에 대한 무결성을 최종 확인하는 제어 판단부를 포함한다.
실시 예에 따른 상기 제어 판단부는, 상기 현재객체정보와 상기 객체정보가 동일하지 않거나 또는 상기 현재객체정보와 상기 최초객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기하는 것을 특징으로 한다.
실시 예에 따른 상기 제어 판단부는, 상기 현재객체정보와 상기 객체정보가 동일하고, 상기 현재객체정보와 상기 최초객체정보가 동일하면, 상기 객체에 대한 무결성인 것으로 확인하고 상기 객체를 실행하는 것을 특징으로 한다.
실시 예에 따른 객체검증장치의 무결성인증방법은, 객체생성장치에서 배포된 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보 입력시, 상기 객체에서 추출한 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하는 단계, 상기 현재객체정보와 상기 객체정보가 동일한 경우, 무결성 인증서버에 등록된 상기 객체에 대한 최초객체정보를 요청하는 단계 및 상기 무결성 인증서버로부터 전달된 상기 최초객체정보와 상기 현재객체정보에 대한 무결성을 최종확인하는 단계를 포함한다.
실시 예에 따른 객체검증장치의 무결성인증방법은, 상기 판단 단계 이후, 상기 현재객체정보와 상기 객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기하는 단계를 더 포함한다.
실시 예에 따른 상기 객체정보는, 상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화되며, 상기 최초객체정보는, 상기 객체생성장치로부터 배포된 상기 객체정보를 상기 개인암호화키에 대응하는 공용복호화키에 따라 복호화하여 무결성 확인 후 설정된 서버암호화키에 의해 암호화된 것을 특징으로 한다.
실시 예에 따른 상기 판단 단계는, 상기 현재객체정보를 추출하는 단계 및 상기 객체정보를 복호화하는 단계를 포함한다.
실시 예에 따른 상기 확인 단계는, 상기 최초객체정보를 복호화하고 상기 현재객체정보와 동일 여부를 비교하는 단계 및 상기 최초객체정보와 상기 현재객체정보가 동일하면, 상기 객체가 무결성인 것으로 최종확인하고 상기 객체를 실행시키는 단계를 포함한다.
실시 예에 따른 상기 실행 단계는, 상기 최초객체정보와 상기 현재객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기한다.
실시 예에 따른 객체검증장치 및 그 무결성인증방법은, 사용자가 인터넷 등을 통해 다양한 형태의 객체를 전달받을 때 해당 객체의 무결성을 검증할 수 있어서 무결성이 침해된 객체를 설치하거나 저장함으로써 발생하는 각종 문제를 해결할 수 있는 이점이 있다.
실시 예에 따른 객체검증장치 및 그 무결성인증방법은, 객체에 포함된 바이러스 및 악성파일이 시스템에 설치되는 것을 무결성 인증을 통하여 사전에 방지할 수 있는 이점이 있다.
도 1은 실시 예에 따른 객체검증장치를 포함하는 객체무결성인증 시스템을 나타낸 시스템도이다.
도 2는 실시 예에 따른 객체검증장치의 제어구성을 나타낸 제어블록도이다.
도 3은 실시 예에 따른 객체검증장치의 무결성인증방법을 나타낸 순서도이다.
이하의 내용은 단지 발명의 원리를 예시한다. 그러므로 당업자는 비록 본 명세서에 명확히 설명되거나 도시되지 않았지만 발명의 원리를 구현하고 발명의 개념과 범위에 포함된 다양한 장치를 발명할 수 있는 것이다. 또한, 본 명세서에 열거된 모든 조건부 용어 및 실시예들은 원칙적으로, 발명의 개념이 이해되도록 하기 위한 목적으로만 명백히 의도되고, 이와 같이 특별히 열거된 실시예들 및 상태들에 제한적이지 않는 것으로 이해되어야 한다.
또한, 발명의 원리, 관점 및 실시예들 뿐만 아니라 특정 실시예를 열거하는 모든 상세한 설명은 이러한 사항의 구조적 및 기능적 균등물을 포함하도록 의도되는 것으로 이해되어야 한다. 또한 이러한 균등물들은 현재 공지된 균등물뿐만 아니라 장래에 개발될 균등물 즉 구조와 무관하게 동일한 기능을 수행하도록 발명된 모든 소자를 포함하는 것으로 이해되어야 한다.
따라서, 예를 들어, 본 명세서의 블럭도는 발명의 원리를 구체화하는 예시적인 개념적 관점을 나타내는 것으로 이해되어야 한다. 이와 유사하게, 모든 흐름도, 상태 변환도, 의사 코드 등은 컴퓨터가 판독 가능한 매체에 실질적으로 나타낼 수 있고 컴퓨터 또는 프로세서가 명백히 도시되었는지 여부를 불문하고 컴퓨터 또는 프로세서에 의해 수행되는 다양한 프로세스를 나타내는 것으로 이해되어야 한다.
프로세서 또는 이와 유사한 개념으로 표시된 기능 블럭을 포함하는 도면에 도시된 다양한 소자의 기능은 전용 하드웨어뿐만 아니라 적절한 소프트웨어와 관련하여 소프트웨어를 실행할 능력을 가진 하드웨어의 사용으로 제공될 수 있다. 프로세서에 의해 제공될 때, 상기 기능은 단일 전용 프로세서, 단일 공유 프로세서 또는 복수의 개별적 프로세서에 의해 제공될 수 있고, 이들 중 일부는 공유될 수 있다.
또한 프로세서, 제어 또는 이와 유사한 개념으로 제시되는 용어의 명확한 사용은 소프트웨어를 실행할 능력을 가진 하드웨어를 배타적으로 인용하여 해석되어서는 아니되고, 제한 없이 디지털 신호 프로세서(DSP) 하드웨어, 소프트웨어를 저장하기 위한 롬(ROM), 램(RAM) 및 비 휘발성 메모리를 암시적으로 포함하는 것으로 이해되어야 한다. 주지관용의 다른 하드웨어도 포함될 수 있다.
본 명세서의 특허청구범위에서, 상세한 설명에 기재된 기능을 수행하기 위한 수단으로 표현된 구성요소는 예를 들어 상기 기능을 수행하는 회로 소자의 조합 또는 펌웨어/마이크로 코드 등을 포함하는 모든 형식의 소프트웨어를 포함하는 기능을 수행하는 모든 방법을 포함하는 것으로 의도되었으며, 상기 기능을 수행하도록 상기 소프트웨어를 실행하기 위한 적절한 회로와 결합된다. 이러한 특허청구범위에 의해 정의되는 발명은 다양하게 열거된 수단에 의해 제공되는 기능들이 결합되고 청구항이 요구하는 방식과 결합되기 때문에 상기 기능을 제공할 수 있는 어떠한 수단도 본 명세서로부터 파악되는 것과 균등한 것으로 이해되어야 한다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해 질 것이며, 그에 따라 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 발명을 설명함에 있어서 발명과 관련된 공지 기술에 대한 구체적인 설명이 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에 그 상세한 설명을 생략하기로 한다.
도 1은 실시 예에 따른 객체검증장치를 포함하는 객체무결성인증 시스템을 나타낸 시스템도이다.
도 1을 참조하면, 객체무결성인증 시스템은, 객체생성장치(100), 무결성 인증서버(200) 및 객체검증장치(300)를 포함할 수 있다.
객체생성장치(100)는 정보통신 환경에서는 셀 수 없이 많은 다양한 형태의 소프트웨어, 문서, 이미지 등이 지속적으로 전송되고 저장되고 있으며, 정보통신 환경에서 특정 시스템에서 타 시스템으로 전달 가능한 모든 형태의 전자 정보, 문서, 일반 파일, 실행파일 등을 포함하는 객체를 생성한다.
실시 예에서, 객체생성장치(100)는 객체를 생성할 수 있는 서버, 컴퓨터, 웹사이트 중 적어도 하나를 포함할 수 있으며, 이에 한정을 두지 않는다.
이때, 객체생성장치(100)는 상기 객체를 생성한 후 상기 객체에 대한 무결성을 증명 또는 검증하기 위한 객체정보를 추출하여, 설정된 암호화키에 따라 암호화한다.
즉, 상기 객체정보는, 객체에 대한 객체명, 객체크기, 객체생성시간, 객체버전 및 해쉬값 중 적어도 하나를 포함할 수 있으며, 이에 한정을 두지 않는다.
이때, 객체생성장치(100)는 암호화된 상기 객체정보를 무결성 인증서버(200)로 전달한다.
여기서, 객체생성장치(100)는 상기 객체정보를 온라인 또는 오프라인으로 무결성 인증서버(200)로 전달할 수 있으며, 이에 한정을 두지 않는다.
무결성 인증서버(200)는 객체생성장치(100)로부터 전달된 상기 객체정보를 상기 암호화키에 대응하는 공개키로 복호화한 최초객체정보를 추출하고, 상기 최초객체정보가 객체생성장치(100)에 의해 생성된 것인지 확인한다.
즉, 무결성 인증서버(200)는 상기 최초객체정보를 기반으로 객체생성장치(100)에서의 생성유무를 확인하고, 객체생성장치(100)에서 생성된 것으로 확인되면 상기 최초객체정보를 등록 또는 저장한 후, 객체생성장치(100)로 확인 결과를 전달한다.
이때, 객체생성장치(100)는 무결성 인증서버(200)로부터 전달된 확인 결과에 따라 상기 객체 및 상기 객체정보를 객체검증장치(300)에서 요청시 배포할 수 있다.
객체검증장치(300)는 객체생성장치(100)로 상기 객체를 요청하고, 객체생성장치(100)로부터 상기 객체 및 암호화된 상기 객체정보를 입력받는다.
여기서, 객체검증장치(300)는 상기 객체에서 추출한 현재객체정보와 복호화된 상기 객체정보를 비교하여, 상기 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단한다.
이후, 객체검증장치(300)는 상기 현재객체정보와 상기 객체정보가 동일한 경우, 무결성 인증서버(200)로 상기 객체에 대한 상기 최초객체정보를 요청한다.
여기서, 무결성 인증서버(200)는 객체검증장치(300)로부터 상기 최초객체정보 요청시, 등록된 상기 최초객체정보가 존재하는 경우 상기 최초객체정보를 암호화하여 전달하고, 상기 최초객체정보가 등록되지 않으면 상기 최초객체정보가 등록되지 않음을 알린다.
객체검증장치(300)는 무결성 인증서버(200)로부터 전달된 암호화된 상기 최초객체정보를 복호화하여 상기 현재객체정보와 동일 여부를 확인한다.
객체검증장치(300)는 상기 최초객체정보와 상기 현재객체정보가 동일한 경우 상기 객체에 대한 무결성을 최종 확인하여, 사용자의 입력명령에 따라 상기 객체에 대하여 실행, 접근 및 열람을 할 수 있다.
실시 예에서, 객체검증장치(300)는 컴퓨터, 노트북, 스마트폰 등과 같은 통신이 가능한 단말 장치 및 통신 장치일 수 있으며, 이에 한정을 두지 않는다.
또한, 실시예에서 암호화 방법을 이용하지 않더라도 객체생성장치(100), 무결성인증서버(200), 및 객체검증장치(300)가 각각 정당하다고 인증할 수 있는 방법이라면, 임의의 방법을 사용할 수 있으며, 이에 한정을 두지 않는다.
도 2는 실시 예에 따른 객체검증장치의 제어구성을 나타낸 제어블록도이다.
도 2를 참조하면, 객체검증장치(300)는 통신모듈(310) 및 제어모듈(320)을 포함할 수 있다.
통신모듈(310)은 객체생성장치(100)로 객체를 요청하고, 객체생성장치(100)로부터 상기 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받을 수 있으며, 무결성 인증서버(200)로 상기 객체에 대한 최초객체정보를 요청 및 입력받을 수 있다.
이때, 통신모듈(310)은 데이터 통신이 가능한 통신모듈일 수 있으며, 제어모듈(320)의 제어에 따라 상기 객체 및 상기 최초객체정보를 요청할 수 있으며, 상기 객체, 상기 객체정보 및 상기 최초객체정보를 수신할 수 있다.
상기 객체정보는, 상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화되며, 상기 최초객체정보는, 상기 객체생성장치로부터 배포된 상기 객체정보를 상기 개인암호화키에 대응하는 공용복호화키에 따라 복호화하여 무결성 확인 후 설정된 서버암호화키에 의해 암호화될 수 있다.
제어모듈(320)은 사용자의 명령에 따라 객체생성장치(100)로 상기 객체를 요청하고 입력받게 통신모듈(310)을 제어할 수 있으며, 이에 한정을 두지 않는다.
제어모듈(320)은 상기 객체에서 현재객체정보를 추출하는 추출부(322), 상기 객채정보 및 상기 최초객체정보를 설정된 복호화키에 따라 복호화하는 복호화부(324) 및 상기 현재객체정보와 상기 객체정보에 대한 동일 여부 및 상기 현재객체정보와 상기 최초객체정보에 대한 동일 여부를 판단하여, 상기 객체에 대한 무결성을 최종 확인하는 제어 판단부(326)를 포함할 수 있다.
즉, 추출부(322)는 상기 객체에서 상기 현재객체정보를 추출할 수 있으며, 상기 현재객체정보는 도 1에서 상술한 상기 객체정보에 동일한 정보일 수 있다.
여기서, 복호화부(324)는 상기 객체정보 및 상기 최초객체정보 중 적어도 하나를 설정된 복호화키에 따라 복호화하여 제어 판단부(326)로 전달한다.
제어 판단부(326)는 추출부(322)에서 추출된 상기 현재객체정보와 복호화부(324)에서 복호화된 상기 객체정보에 대한 동일 여부를 판단한다.
즉, 제어 판단부(326)는 상기 현재객체정보와 상기 객체정보가 동일한 경우, 통신모듈(310)을 제어하여 무결성 인증서버(200)로 상기 객체에 대한 상기 최초객체정보를 요청하고, 무결성 인증서버(200)로부터 전송된 상기 최초객체정보가 복호화부(324)에서 복호화한 후 전달받는다.
이후, 제어 판단부(326)는 상기 최초객체정보와 상기 현재객체정보에 대한 동일 여부를 판단 또는 확인하여 무결성에 대한 최종 확인을 하고, 상기 객체에 대한 실행, 접근 및 열람 여부를 결정한다.
제어 판단부(326)는 상기 현재객체정보와 상기 객체정보가 동일하지 않거나, 또는 상기 현재객체정보와 상기 최초객체정보가 동일하지 않는 경우, 상기 객체 및 상기 객체정보 중 적어도 하나를 폐기한다.
도 3은 실시 예에 따른 객체검증장치의 무결성인증방법을 나타낸 순서도이다.
도 3을 참조하면, 객체검증장치(300)는 객체생성장치(100)에서 배포된 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받고(S410), 상기 객체에서 현재객체정보를 추출하고(S420), 상기 객체정보를 복호화한다(S430).
즉, 객체검증장치(300)는 객체생성장치(100)로 객체를 요청하고, 객체생성장치(100)로부터 상기 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받는다.
이때, 객체검증장치(300)는 상기 객체에서 현재객체정보를 추출하고, 상기 객체정보를 설정된 복호화키에 따라 복호화한다.
여기서, 객체생성장치(100)는 상기 객체를 생성한 후 상기 객체에 대한 무결성을 증명 또는 검증하기 위한 객체정보를 추출하여, 설정된 암호화키에 따라 암호화한다.
즉, 상기 객체정보는, 객체에 대한 객체명, 객체크기, 객체생성시간, 객체버전 및 해쉬값 등이 포함될 수 있으며, 이 외에도 객체의 특징을 표현할 수 있는 임의의 정보가 사용될 수 있고 이중 적어도 하나를 포함할 수 있으며, 이에 한정을 두지 않는다.
이때, 객체생성장치(100)는 암호화된 상기 객체정보를 무결성 인증서버(200)로 전달한다.
무결성 인증서버(200)는 객체생성장치(100)로부터 전달된 상기 객체정보를 상기 암호화키에 대응하는 공개키로 복호화한 최초객체정보를 추출하고, 상기 최초객체정보가 객체생성장치(100)에 의해 생성된 것인지 확인한다.
무결성 인증서버(200)는 상기 최초객체정보를 기반으로 객체생성장치(100)에서의 생성유무를 확인하고, 객체생성장치(100)에서 생성된 것으로 확인되면 상기 최초객체정보를 등록 또는 저장한 후, 객체생성장치(100)로 확인 결과를 전달한다.
이때, 객체생성장치(100)는 무결성 인증서버(200)로부터 전달된 확인 결과에 따라 상기 객체 및 상기 객체정보를 객체검증장치(300)에서 요청시 배포할 수 있다.
객체검증장치(300)는 상기 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하고(S440), 상기 현재객체정보와 상기 객체정보가 동일한 경우 무결성 인증서버(200)로 상기 객체에 대한 등록된 최초객체정보를 요청한다(S450).
즉, 객체검증장치(300)는 상기 현재객체정보와 상기 객체정보가 동일한 경우, 통신모듈(310)을 제어하여 무결성 인증서버(200)로 상기 객체에 대한 상기 최초객체정보를 요청한다.
여기서, 무결성 인증서버(200)는 객체검증장치(300)로부터 상기 최초객체정보 요청시, 등록된 상기 최초객체정보가 존재하는 경우 상기 최초객체정보를 암호화하여 전달하고, 상기 최초객체정보가 등록되지 않으면 상기 최초객체정보가 등록되지 않음을 알린다.
객체검증장치(300)는 무결성 인증서버(200)로부터 상기 최초객체정보가 입력되면 상기 최초객체정보을 복호화하고 상기 현재객체정보와 동일 여부를 비교하여(S460), 상기 최초객체정보와 상기 현재객체정보가 동일하면 상기 객체가 무결성인것으로 최종 확인하고(S470), 사용자의 실행 명령에 따라 상기 객체를 실행시킨다(S480).
또한, 객체검증장치(300)는 (S440) 단계 이후, 상기 현재객체정보와 상기 객체정보가 동일하지 않거나, 또는 (S460) 단계 이후 상기 현재객체정보와 상기 최초객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보 중 적어도 하나를 폐기처리한다(S490).
즉, 객체검증장치(300)는 무결성 인증서버(200)로부터 전달된 암호화된 상기 최초객체정보를 복호화하여 상기 현재객체정보와 동일 여부를 확인한다.
객체검증장치(300)는 상기 최초객체정보와 상기 현재객체정보가 동일한 경우 상기 객체에 대한 무결성을 최종 확인하여, 사용자의 입력명령에 따라 상기 객체에 대한 실행, 접근 및 열람을 할 수 있다.
실시 예에 따른 위상 검출 장치 및 그 동작방법이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 객체생성장치
200: 무결성 인증서버
300: 객체검증장치

Claims (14)

  1. 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보를 입력받고, 상기 객체에 대한 최초객체정보가 등록된 무결성 인증서버로 상기 최초객체정보를 요청 및 입력받는 통신모듈; 및
    상기 객체에서 추출한 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하고, 상기 판단 결과에 따라 상기 통신모듈을 제어하여 입력된 상기 최초객체정보와 상기 현재객체정보를 비교하여 상기 객체에 대한 무결성을 최종 확인하는 제어모듈;
    을 포함하는 객체검증장치.
  2. 제 1 항에 있어서,
    상기 객체정보는,
    상기 객체에 대한 객체명, 객체크기, 객체생성시간, 객체버전 및 해쉬값 중 적어도 하나를 포함하는 객체검증장치.
  3. 제 1 항에 있어서,
    상기 객체정보는,
    상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화된 것을 특징으로 하는 객체검증장치.
  4. 제 1 항에 있어서,
    상기 통신모듈은,
    상기 제어모듈의 제어에 따라, 상기 객체, 상기 객체정보 및 상기 최초객체정보를 요청 및 입력받는 것을 특징으로 하는 객체검증장치.
  5. 제 1 항에 있어서,
    상기 객체정보는,
    상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화되며,
    상기 최초객체정보는,
    상기 객체생성장치로부터 배포된 상기 객체정보를 상기 개인암호화키에 대응하는 공용복호화키에 따라 복호화하여 무결성 확인 후 설정된 서버암호화키에 의해 암호화된 것을 특징으로 하는 객체검증장치.
  6. 제 5 항에 있어서,
    상기 제어모듈은,
    상기 객체에서 상기 현재객체정보를 추출하는 추출부;
    상기 객체정보 및 상기 최초객체정보를 설정된 복호화키에 따라 복호화하는 복호화부; 및
    상기 현재객체정보와 상기 객체정보에 대한 동일 여부 및 상기 현재객체정보와 상기 최초객체정보에 대한 동일 여부를 판단하여 상기 객체에 대한 무결성을 최종 확인하는 제어 판단부;를 포함하는 객체검증장치.
  7. 제 6 항에 있어서,
    상기 제어 판단부는,
    상기 현재객체정보와 상기 객체정보가 동일하지 않거나 또는 상기 현재객체정보와 상기 최초객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기하는 것을 특징으로 하는 객체검증장치.
  8. 제 6 항에 있어서,
    상기 제어 판단부는,
    상기 현재객체정보와 상기 객체정보가 동일하고, 상기 현재객체정보와 상기 최초객체정보가 동일하면, 상기 객체에 대한 무결성인 것으로 확인하고 상기 객체를 실행하는 것을 특징으로 하는 객체검증장치.
  9. 객체생성장치에서 배포된 객체 및 상기 객체의 무결성을 확인하기 위한 객체정보 입력시, 상기 객체에서 추출한 현재객체정보와 상기 객체정보에 대한 동일 여부를 판단하는 단계;
    상기 현재객체정보와 상기 객체정보가 동일한 경우, 무결성 인증서버에 등록된 상기 객체에 대한 최초객체정보를 요청하는 단계; 및
    상기 무결성 인증서버로부터 전달된 상기 최초객체정보와 상기 현재객체정보에 대한 무결성을 최종확인하는 단계;
    를 포함하는 객체검증장치의 무결성인증방법.
  10. 제 9 항에 있어서,
    상기 판단 단계 이후,
    상기 현재객체정보와 상기 객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기하는 단계;를 더 포함하는 객체검증장치의 무결성인증방법.
  11. 제 9 항에 있어서,
    상기 객체정보는,
    상기 객체를 생성하는 객체생성장치의 개인암호화키에 의해 암호화되며,
    상기 최초객체정보는,
    상기 객체생성장치로부터 배포된 상기 객체정보를 상기 개인암호화키에 대응하는 공용복호화키에 따라 복호화하여 무결성 확인 후 설정된 서버암호화키에 의해 암호화된 것을 특징으로 하는 객체검증장치의 무결성인증방법.
  12. 제 11 항에 있어서,
    상기 판단 단계는,
    상기 현재객체정보를 추출하는 단계; 및
    상기 객체정보를 복호화하는 단계;를 포함하는 객체검증장치의 무결성인증방법.
  13. 제 11 항에 있어서,
    상기 확인 단계는,
    상기 최초객체정보를 복호화하고 상기 현재객체정보와 동일 여부를 비교하는 단계; 및
    상기 최초객체정보와 상기 현재객체정보가 동일하면, 상기 객체가 무결성인 것으로 최종확인하고 상기 객체를 실행시키는 단계;를 포함하는 객체검증장치의 무결성인증방법.
  14. 제 13 항에 있어서,
    상기 실행 단계는,
    상기 최초객체정보와 상기 현재객체정보가 동일하지 않으면, 상기 객체 및 상기 객체정보를 폐기하는 것을 특징으로 하는 객체검증장치의 무결성인증방법.
KR1020130130300A 2013-10-30 2013-10-30 객체검증장치 및 그 무결성인증방법 KR20150049571A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130130300A KR20150049571A (ko) 2013-10-30 2013-10-30 객체검증장치 및 그 무결성인증방법
US14/254,305 US20150121072A1 (en) 2013-10-30 2014-04-16 Object verification apparatus and its integrity authentication method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130130300A KR20150049571A (ko) 2013-10-30 2013-10-30 객체검증장치 및 그 무결성인증방법

Publications (1)

Publication Number Publication Date
KR20150049571A true KR20150049571A (ko) 2015-05-08

Family

ID=52996825

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130130300A KR20150049571A (ko) 2013-10-30 2013-10-30 객체검증장치 및 그 무결성인증방법

Country Status (2)

Country Link
US (1) US20150121072A1 (ko)
KR (1) KR20150049571A (ko)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102522778B1 (ko) 2016-04-27 2023-04-19 한국전자통신연구원 분산 대리자 기반 무결성 검증을 수행하는 개별 기기, 그를 포함하는 개별 기기 무결성 검증 시스템 및 그 방법
CN108875385B (zh) * 2018-05-07 2021-09-17 麒麟合盛网络技术股份有限公司 应用间通信的方法及装置
US20230205895A1 (en) * 2021-12-29 2023-06-29 Arm Limited Methods and apparatus for provisioning a device

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5606609A (en) * 1994-09-19 1997-02-25 Scientific-Atlanta Electronic document verification system and method
US20050120217A1 (en) * 2000-06-05 2005-06-02 Reallegal, Llc Apparatus, System, and Method for Electronically Signing Electronic Transcripts
US6931545B1 (en) * 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
AU2003902423A0 (en) * 2003-05-19 2003-06-05 Intellirad Solutions Pty. Ltd Apparatus and method
US7802110B2 (en) * 2004-08-25 2010-09-21 Microsoft Corporation System and method for secure execution of program code
US8321941B2 (en) * 2006-04-06 2012-11-27 Juniper Networks, Inc. Malware modeling detection system and method for mobile platforms
GB0622149D0 (en) * 2006-11-07 2006-12-20 Singlepoint Holdings Ltd System and method to validate and authenticate digital data

Also Published As

Publication number Publication date
US20150121072A1 (en) 2015-04-30

Similar Documents

Publication Publication Date Title
CN102855274B (zh) 一种可疑进程检测的方法和装置
Konoth et al. How anywhere computing just killed your phone-based two-factor authentication
EP2839406B1 (en) Detection and prevention of installation of malicious mobile applications
CN111262889B (zh) 一种云服务的权限认证方法、装置、设备及介质
US9058504B1 (en) Anti-malware digital-signature verification
US20140317413A1 (en) Secure remediation of devices requesting cloud services
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
US8700895B1 (en) System and method for operating a computing device in a secure mode
WO2006113167A2 (en) Secure boot
US9015817B2 (en) Resilient and restorable dynamic device identification
KR20180013854A (ko) 전자 디바이스의 무결성을 검증하기 위한 시스템 및 방법
US10050977B2 (en) Preventing misuse of code signing certificates
CN111163094B (zh) 网络攻击检测方法、网络攻击检测装置、电子设备和介质
CN106330817A (zh) 一种网页访问方法、装置及终端
CN111163095A (zh) 网络攻击分析方法、网络攻击分析装置、计算设备和介质
Li et al. Android-based cryptocurrency wallets: Attacks and countermeasures
Praitheeshan et al. Attainable hacks on Keystore files in Ethereum wallets—A systematic analysis
Atapour et al. Modeling Advanced Persistent Threats to enhance anomaly detection techniques
KR102107082B1 (ko) 블록체인 기반 모바일 위조 앱 검출 방법
KR20150049571A (ko) 객체검증장치 및 그 무결성인증방법
EP2989745B1 (en) Anonymous server based user settings protection
KR101711024B1 (ko) 부정조작방지 장치 접근 방법 및 그 방법을 채용한 단말 장치
KR101875863B1 (ko) 암호화된 해시값에 기반하여 클라우드 접속 허가를 결정하는 클라우드 시스템, 및 클라우드 접속 방법과 클라우드 단말에 설치된 소켓 데몬 장치
CN105323287B (zh) 第三方应用程序的登录方法及系统
KR102534012B1 (ko) 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid