KR20220112953A - Software supply chain assurance system using blockchain - Google Patents

Software supply chain assurance system using blockchain Download PDF

Info

Publication number
KR20220112953A
KR20220112953A KR1020210016526A KR20210016526A KR20220112953A KR 20220112953 A KR20220112953 A KR 20220112953A KR 1020210016526 A KR1020210016526 A KR 1020210016526A KR 20210016526 A KR20210016526 A KR 20210016526A KR 20220112953 A KR20220112953 A KR 20220112953A
Authority
KR
South Korea
Prior art keywords
software
information
storage means
security
supply
Prior art date
Application number
KR1020210016526A
Other languages
Korean (ko)
Other versions
KR102482343B1 (en
Inventor
이만희
김광준
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020210016526A priority Critical patent/KR102482343B1/en
Publication of KR20220112953A publication Critical patent/KR20220112953A/en
Application granted granted Critical
Publication of KR102482343B1 publication Critical patent/KR102482343B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/105Arrangements for software license management or administration, e.g. for managing licenses at corporate level
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/06009Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking
    • G06K19/06037Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code with optically detectable marking multi-dimensional coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Power Engineering (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Storage Device Security (AREA)

Abstract

The present invention relates to a software supply chain assurance system. More specifically, the software supply chain assurance system using the blockchain manages the software supply chain by providing a supply chain guarantee which guarantees the integrity of the software to supply organizations which supply software, introduction organizations which introduce software, and management organizations which manage software, uses the blockchain used to prevent forgery and falsification of software information required for the above guarantee, and quickly identifies the cause of a problem and takes actions for the cause when the problem occurs in the software supply chain.

Description

블록체인을 이용한 소프트웨어 공급망 보증 시스템{Software supply chain assurance system using blockchain}Software supply chain assurance system using blockchain

본 발명은 소프트웨어 공급망 보증 시스템에 관한 것으로서, 더욱 상세하게는 소프트웨어를 공급하는 공급기관, 소프트웨어를 도입하는 도입기관 및 소프트웨어를 관리하는 관리기관에 소프트웨어의 무결성을 보장하는 공급망 보증서를 제공하여 소프트웨어 공급망을 관리하며, 상기 보증서에 필요한 소프트웨어 정보의 위변조 방지를 위해 블록체인을 이용하고, 소프트웨어 공급망에 문제가 발생하는 경우 신속하게 문제의 원인을 파악하고 조치할 수 있는 블록체인을 이용한 소프트웨어 공급망 보증 시스템에 관한 것이다.The present invention relates to a software supply chain assurance system, and more specifically, to a software supply chain by providing a supply chain assurance certificate that guarantees the integrity of software to a supply organization that supplies software, an introduction organization that introduces software, and a management organization that manages software. Management and use of blockchain to prevent forgery and falsification of software information required for the above warranty, and to quickly identify and take action on the cause of a problem in the case of a problem in the software supply chain. will be.

컴퓨터가 사무에 중심이 된 현대 사회에서는 다양한 소프트웨어가 필요하며, 따라서 다양한 기관들에서 기존의 미리 개발된 소프트웨어 또는 개발 의뢰를 하여 다양한 소프트웨어를 도입하여 사용한다. 이러한 소프트웨어를 개발할 때 단일업체가 소프트웨어의 모든 부분을 개발하는 것이 아닌, 다수의 개발자 및 기업이 유기적으로 연결되어 역할에 따라 각각의 부분을 개발하거나 유통하는 밸류체인 형태의 구조를 가지고 있다.In the modern society where computers are the center of office work, various software is required, and therefore, various organizations introduce and use various software by requesting development or existing software developed in advance. When developing such software, instead of a single company developing all parts of the software, it has a structure in the form of a value chain in which multiple developers and companies are organically connected to develop or distribute each part according to their role.

이러한 밸류체인은 각자가 맡은 부분을 책임지고 개발하는 신뢰기반의 시스템이다. 이러한 상황에서 악성코드의 삽입 또는 보안문제가 발생하는 경우 이에 대한 통제 또는 검증이 어렵다. 특히, 특정 라이브러리의 취약점 발견 시, 소프트웨어 완제품의 안전성에 대한 보증 및 관리하기 어려운 문제점을 가지고 있다. This value chain is a trust-based system in which each person takes responsibility and develops. In such a situation, if the insertion of malicious code or security problem occurs, it is difficult to control or verify it. In particular, when a vulnerability of a specific library is discovered, it is difficult to guarantee and manage the safety of the finished software product.

더불어, 인증된 공급망 관리 체계의 부재로 인하여 각종 소프트웨어 공급망이 직접적인 공격의 대상이 될 경우 이에 대한 대응이 어려워 도입기관이 큰 피해를 입을 수도 있다.In addition, if various software supply chains are directly attacked due to the absence of a certified supply chain management system, it may be difficult to respond to such attacks and the introduction organization may suffer great damage.

이러한 문제를 해결하기 위한 종래의 기술이 한국공개특허 제10-2002-0061048호로 개시된 바 있다.A prior art for solving this problem has been disclosed in Korean Patent Laid-Open Publication No. 10-2002-0061048.

상기 종래기술은 네트워크를 통해 연결된 제 1, 2 클라이언트로부터 소프트웨어 신규공급신청에 대하여 수령자와 협찬사와 소프트웨어 데이터의 버전을 식별할 수 있는 신규고유코드가 코딩된 소프트웨어를 공급하도록 제어하는 서비스제공서버와; 고유코드별 수령자정보와 고유코드별 협찬사정보와 소프트웨어를 구성하는 데이터정보를 포함하여 저장하는 데이터베이스서버와; 상기 서비스제공서버에 연결된 제 1 클라이언트에 설치된 소프트웨어의 고유코드를 인식하고, 인식한 고유코드에 따라 업그레이드 데이터를 상기 데이터베이스서버에서 추출하여 상기 제 1 클라이언트에게 전송하며, 상기 제 1, 2 클라이언트로부터 소프트웨어 신규공급신청 또는 협찬사등록 신규신청에 따른 정보가 수신되면 소프트웨어에 코딩되는 신규고유코드를 생성하는 고유코드관리서버로 구성되었다.The prior art includes: a service providing server controlling to supply software coded with a new unique code capable of identifying a recipient, a sponsor, and a version of software data in response to a new software supply application from first and second clients connected through a network; a database server storing recipient information for each unique code, sponsor information for each unique code, and data information constituting the software; Recognizes a unique code of software installed in a first client connected to the service providing server, extracts upgrade data from the database server according to the recognized unique code and transmits it to the first client, and software from the first and second clients It consists of a unique code management server that generates a new unique code coded in software when information is received according to a new supply application or a new application for sponsor registration.

그러나 이와 같은 종래의 기술은 중간에 코드를 위변조할 경우 공급망의 건전성 및 신뢰성 자체에 문제가 발생하여 결국 폐쇄될 수밖에 없다는 문제를 여전히 가지고 있다. However, such a conventional technology still has a problem in that if the code is forged in the middle, there is a problem in the health and reliability of the supply chain itself, and eventually it is closed.

따라서 소프트웨어의 무결성을 보장하는 인증된 공급망의 관리 체계에 대한 기술개발이 필요하다.Therefore, it is necessary to develop the technology for the management system of the certified supply chain that guarantees the integrity of the software.

또한 다수의 라이브러리로 구성되는 소프트웨어에 문제가 발생하는 경우 신속하고 정확하게 문제의 원인을 파악하고 해결할 수 있는 기술개발이 요구된다. In addition, when a problem occurs in software composed of a large number of libraries, technology development is required to quickly and accurately identify and solve the cause of the problem.

한국공개특허 제10-2002-0061048호(2002.07.22.)Korean Patent Laid-Open Patent No. 10-2002-0061048 (2002.07.22.)

상기와 같은 문제를 해결하기 위해 안출된 본 발명은 소프트웨어 공급망 보증 시스템에 관한 것으로서, 더욱 상세하게는 소프트웨어를 공급하는 공급기관, 소프트웨어를 도입하는 도입기관 및 소프트웨어를 관리하는 관리기관에 소프트웨어의 무결성을 보장하는 공급망 보증서를 제공하여 소프트웨어 공급망을 관리하며, 상기 보증서에 필요한 소프트웨어 정보의 위변조 방지를 위해 블록체인을 이용하고, 소프트웨어 공급망에 문제가 발생하는 경우 신속하게 문제의 원인을 파악하고 조치할 수 있는 블록체인을 이용한 소프트웨어 공급망 보증 시스템에 관한 것이다.The present invention, devised to solve the above problems, relates to a software supply chain assurance system, and more particularly, to provide software integrity to a supply organization that supplies software, an introduction organization that introduces software, and a management organization that manages the software. Manage the software supply chain by providing a guaranteed supply chain guarantee, use the blockchain to prevent forgery and falsification of software information required for the guarantee, and quickly identify the cause of the problem and take action when a problem occurs in the software supply chain. It is about a software supply chain assurance system using blockchain.

상기한 바와 같은 목적을 달성하기 위한 본 발명의 일실시예에 따른 블록체인을 이용한 소프트웨어 공급망 보증 시스템은, A software supply chain assurance system using a block chain according to an embodiment of the present invention for achieving the above object,

소프트웨어정보관리ID가 저장되는 소프트웨어정보관리ID저장수단(111)과, 소프트웨어의 프로그램 파일 이름이 저장되는 파일이름저장수단(112)과, 프로그램 파일에게 부여된 적어도 하나 이상의 해시값이 저장되는 해시값저장수단(113)과, 프로그램 파일의 버전 정보가 저장되는 파일버전저장수단(114)과, GitLink의 정보가 저장되는 GitLink정보저장수단(115)과, 프로그램 파일의 종속 파일 리스트 정보가 저장되는 종속파일리스트저장수단(116)과, 소프트웨어의 제작자 정보가 저장되는 제작자정보저장수단(117)과, 소프트웨어의 제작일 정보가 저장되는 제작일저장수단(118)과, 정보 입력자의 전자서명이 저장되는 발급자서명저장수단(119)으로 구성되는 소프트웨어정보저장부(110);A software information management ID storage means 111 for storing a software information management ID, a file name storage means 112 for storing a program file name of the software, and a hash value for storing at least one hash value assigned to a program file The storage means 113, the file version storage means 114 for storing the version information of the program file, the GitLink information storage means 115 for storing the information of GitLink, and the dependent file list information of the program file is stored A file list storage means 116, a manufacturer information storage means 117 for storing the manufacturer information of the software, a production date storage means 118 for storing the production date information of the software, and an electronic signature of the information inputter are stored. Software information storage unit 110 consisting of an issuer signature storage means 119;

공급내역정보관리ID가 저장되는 공급내역정보관리ID저장수단(121)과, 상기 소프트웨어를 도입한 기관의 정보가 저장되는 도입기관정보저장수단(122)과, 상기 소프트웨어를 공급한 기관의 정보가 저장되는 공급기관정보저장수단(123)과, 소프트웨어의 이름이 저장되는 소프트웨어이름저장수단(124)과, 소프트웨어의 버전 정보가 저장되는 소프트웨어버전저장수단(125)과, 해당 소프트웨어의 소프트웨어정보관리ID가 저장되고, 해당 소프트웨어정보관리ID의 소프트웨어정보저장부(110)를 조회하는 소프트웨어정보관리ID저장수단(126)과, 해당 소프트웨어의 보안적합성정보관리ID가 저장되고, 해당 보안적합성정보관리ID의 보안적합성정보저장부(130)를 조회하는 보안적합성정보관리ID저장수단(127)과, 발급기관의 전자서명이 저장되는 발급기관서명저장수단(128)으로 구성되는 공급내역정보저장부(120); The supply history information management ID storage means 121 for storing the supply history information management ID, the introduction organization information storage means 122 for storing information on the institution that introduced the software, and the information on the institution that supplied the software The supplier information storage means 123 to be stored, the software name storage means 124 for storing the name of the software, the software version storage means 125 for storing the version information of the software, and the software information management ID of the software is stored, the software information management ID storage means 126 for inquiring the software information storage unit 110 of the corresponding software information management ID, and the security compliance information management ID of the software are stored, and the security compliance information management ID of the corresponding software information management ID is stored. Supply history information storage unit 120 consisting of a security compatibility information management ID storage means 127 for inquiring the security compatibility information storage unit 130, and personalization agency signature storage unit 128 in which the electronic signature of the issuing agency is stored ;

보안적합성정보관리ID가 저장되는 보안적합성정보관리ID저장수단(131)과, 보안적합성 발급기관으로부터 소프트웨어의 보안적합성 정보를 수신하여 저장하는 보안적합성정보저장수단(132)으로 구성되는 보안적합성정보저장부(130); 및Security conformity information storage consisting of a security conformity information management ID storage means 131 in which the security conformity information management ID is stored, and a security conformity information storage means 132 for receiving and storing the security conformity information of the software from the security conformity issuing organization part 130; and

소프트웨어의 공급망 보증서를 외부단말(200)로 발급하는 보증서발급수단(141)과, 소프트웨어의 공급망 보증서를 저장하는 보증서저장수단(142)으로 구성되는 보증서발급관리부(140)를 포함하되,A warranty issuance management unit 140 comprising a warranty issuance means 141 for issuing a supply chain warranty of software to an external terminal 200 and a warranty storage means 142 for storing a supply chain warranty of software;

상기 소프트웨어정보저장부(110), 공급내역정보저장부(120) 및 보안적합성정보저장부(130)의 정보는 블록체인을 이용하여 관리되는 것을 특징으로 할 수 있다.The information of the software information storage unit 110 , the supply history information storage unit 120 , and the security suitability information storage unit 130 may be managed using a block chain.

또한 상기 보증서발급수단(141)에서, 소프트웨어의 공급망 보증서는 공급기관, 도입기관, 공급일자, 보안적합성 발급 유무, 공급내역정보블록ID, 검색용 QR코드 등을 포함할 수 있다. In addition, in the warranty issuance means 141, the supply chain warranty of the software may include a supply agency, an introduction agency, a supply date, security conformity issuance or not, a supply history information block ID, a QR code for search, and the like.

또한 상기 보안적합성정보저장수단(132)에서, 보안적합성 정보는 보안적합성 검증 내용, 발급일, 보안적합성 발급기관의 전자서명 등을 포함할 수 있다. Also, in the security compatibility information storage means 132 , the security compatibility information may include contents of security compatibility verification, an issuance date, an electronic signature of a security compatibility issuing organization, and the like.

본 발명은 상기 공급내역정보블록ID를 조회함으로써, 해당 소프트웨어 공급내역정보 블록의 정보를 확인하는 것을 특징으로 한다. The present invention is characterized in that the information of the corresponding software supply history information block is checked by inquiring the supply history information block ID.

또한 상기 공급내역정보 블록에 포함된 소프트웨어정보블록ID을 조회함으로써 해당 소프트웨어정보 블록에 포함된 정보를 확인하는 것을 특징으로 한다. In addition, it is characterized in that the information included in the software information block is checked by inquiring the software information block ID included in the supply history information block.

아울러 상기 공급내역정보 블록에 포함된 보안적합성정보블록ID을 조회함으로써 해당 보안적합성정보 블록에 포함된 정보를 확인하는 것을 특징으로 한다. In addition, it is characterized in that the information included in the security suitability information block is checked by inquiring the security suitability information block ID included in the supply history information block.

본 발명은 소프트웨어를 공급하는 공급기관, 소프트웨어를 도입하는 도입기관 및 소프트웨어를 관리하는 관리기관에 소프트웨어의 무결성을 보장하는 공급망 보증서를 제공함으로써 소프트웨어 공급망을 효율적으로 관리할 수 있다. The present invention can efficiently manage the software supply chain by providing a supply chain guarantee that guarantees the integrity of the software to a supply organization that supplies software, an introduction organization that introduces software, and a management organization that manages software.

또한 소프트웨어 공급망에 문제가 발생하는 경우 문제의 원인을 신속하게 파악하고 조치할 수 있으며, 문제발생이 예상되면 선제적으로 예방조치를 취할 수 있다. In addition, when a problem occurs in the software supply chain, the cause of the problem can be quickly identified and taken, and when a problem is expected, preventive measures can be taken.

본 발명의 블록체인을 이용하는 소프트웨어 공급망 보증 시스템은, 모든 정보를 블록체인을 이용하여 관리함으로써, 위조 및 변조를 통하여 악성코드의 삽입 또는 보안 오류를 유발하려는 공격을 시도하더라도 소프트웨어의 위변조된 내용을 쉽게 파악할 수 있어 피해를 미연에 방지할 수 있다.The software supply chain assurance system using the block chain of the present invention manages all information using the block chain, so that even if an attack is attempted to cause the insertion of malicious code or a security error through forgery and falsification, the forged contents of the software can be easily detected. It can be detected so that damage can be prevented in advance.

더불어, 소프트웨어를 도입하는 도입기관에서 소프트웨어의 제반 정보를 명확하게 확인하고 이를 기반으로 악성코드 및 보안오류 걱정 없이 도입하여 사용할 수 있다.In addition, the software introduction agency can clearly check all information of the software and use it without worrying about malicious codes and security errors based on this.

또한, 관리기관에서 공급기관, 도입기관 및 도입한 소프트웨어정보를 위변조 걱정 없이 확인하고 관리 및 감독할 수 있어 관리 감독의 효율을 높일 수 있으며, 이를 통하여 관리 감독에 들어가는 인력 및 시간을 최소화하여 보다 세밀한 관리 감독이 가능하다.In addition, the management agency can check, manage, and supervise the supplier, introduction agency, and introduced software information without fear of forgery or falsification, thereby increasing the efficiency of management and supervision. management supervision is possible.

도 1은 본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템의 실시예
도 2는 본 발명의 소프트웨어정보저장부의 일실시예
도 3은 본 발명의 공급내역정보저장부의 일실시예
도 4는 본 발명의 보안적합성정보저장부의 일실시예
도 5는 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어정보 블록
도 6은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어 공급내역정보 블록
도 7은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어의 보안적합성정보 블록
도 8은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어의 공급망 보증서1 is an embodiment of a software supply chain assurance system using the blockchain of the present invention.
2 is an embodiment of a software information storage unit of the present invention;
3 is an embodiment of the supply history information storage unit of the present invention;
4 is an embodiment of the security suitability information storage unit of the present invention;
5 is a software information block generated when the software developed by the supplier is supplied to the institution;
6 is a software supply history information block generated when the software developed by the supplier is supplied to the introducing institution.
7 is a security suitability information block of the software generated when the software developed by the supplier is supplied to the introducing institution.
8 is a supply chain guarantee of the software that is generated when the software developed by the supplier is supplied to the institution.

이하, 첨부된 도면을 참조하여 본 발명을 더욱 상세하게 설명한다. 이에 앞서, 본 명세서 및 청구범위에 사용된 용어나 단어는 통상적이거나 사전적인 의미로 한정하여 해석되어서는 아니 되며, 발명자는 그 자신의 발명을 가장 최선의 방법으로 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여, 본 발명의 기술적 사상에 부합하는 의미와 개념으로 해석되어야만 한다. 또한, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다. Hereinafter, the present invention will be described in more detail with reference to the accompanying drawings. Prior to this, the terms or words used in the present specification and claims should not be construed as being limited to conventional or dictionary meanings, and the inventor should properly understand the concept of the term in order to best describe his invention. Based on the principle that can be defined, it should be interpreted as meaning and concept consistent with the technical idea of the present invention. In addition, unless there are other definitions in the technical and scientific terms used, it has the meaning commonly understood by those of ordinary skill in the art to which this invention belongs, and in the following description and accompanying drawings, the gist of the present invention Descriptions of known functions and configurations that may be unnecessarily obscure will be omitted.

도 1은 본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템의 실시예이며, 도 2는 본 발명의 소프트웨어정보저장부의 일실시예이고, 도 3은 본 발명의 공급내역정보저장부의 일실시예이고, 도 4는 본 발명의 보안적합성정보저장부의 일실시예이다.1 is an embodiment of a software supply chain assurance system using a block chain of the present invention, FIG. 2 is an embodiment of the software information storage unit of the present invention, and FIG. 3 is an embodiment of the supply history information storage unit of the present invention, 4 is an embodiment of the security suitability information storage unit of the present invention.

본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템은, 도 1 내지 4에서 도시한 바와 같이, 소프트웨어정보관리ID가 저장되는 소프트웨어정보관리ID저장수단(111)과, 소프트웨어의 프로그램 파일 이름이 저장되는 파일이름저장수단(112)과, 프로그램 파일에게 부여된 적어도 하나 이상의 해시값이 저장되는 해시값저장수단(113)과, 프로그램 파일의 버전 정보가 저장되는 파일버전저장수단(114)과, GitLink의 정보가 저장되는 GitLink정보저장수단(115)과, 프로그램 파일의 종속 파일 리스트 정보가 저장되는 종속파일리스트저장수단(116)과, 소프트웨어의 제작자 정보가 저장되는 제작자정보저장수단(117)과, 소프트웨어의 제작일 정보가 저장되는 제작일저장수단(118)과, 정보 입력자의 전자서명이 저장되는 발급자서명저장수단(119)으로 구성되는 소프트웨어정보저장부(110); As shown in FIGS. 1 to 4, the software supply chain assurance system using the block chain of the present invention includes a software information management ID storage means 111 in which a software information management ID is stored, and a file in which a program file name of the software is stored. Name storage means 112, hash value storage means 113 for storing at least one hash value given to the program file, file version storage means 114 for storing version information of the program file, and GitLink information GitLink information storage means 115 in which is stored, the dependent file list storage means 116 in which the dependent file list information of the program file is stored, the manufacturer information storage means 117 in which the manufacturer information of the software is stored; a software information storage unit 110 comprising a production date storage means 118 in which production date information is stored, and an issuer signature storage means 119 in which an electronic signature of an information input person is stored;

공급내역정보관리ID가 저장되는 공급내역정보관리ID저장수단(121)과, 상기 소프트웨어를 도입한 기관의 정보가 저장되는 도입기관정보저장수단(122)과, 상기 소프트웨어를 공급한 기관의 정보가 저장되는 공급기관정보저장수단(123)과, 소프트웨어의 이름이 저장되는 소프트웨어이름저장수단(124)과, 소프트웨어의 버전 정보가 저장되는 소프트웨어버전저장수단(125)과, 해당 소프트웨어의 소프트웨어정보관리ID가 저장되고, 해당 소프트웨어정보관리ID의 소프트웨어정보저장부(110)를 조회하는 소프트웨어정보관리ID저장수단(126)과, 해당 소프트웨어의 보안적합성정보관리ID가 저장되고, 해당 보안적합성정보관리ID의 보안적합성정보저장부(130)를 조회하는 보안적합성정보관리ID저장수단(127)과, 발급기관의 전자서명이 저장되는 발급기관서명저장수단(128)으로 구성되는 공급내역정보저장부(120); The supply history information management ID storage means 121 for storing the supply history information management ID, the introduction organization information storage means 122 for storing information on the institution that introduced the software, and the information on the institution that supplied the software The supplier information storage means 123 to be stored, the software name storage means 124 for storing the name of the software, the software version storage means 125 for storing the version information of the software, and the software information management ID of the software is stored, the software information management ID storage means 126 for inquiring the software information storage unit 110 of the corresponding software information management ID, and the security compliance information management ID of the software are stored, and the security compliance information management ID of the corresponding software information management ID is stored. Supply history information storage unit 120 consisting of a security compatibility information management ID storage means 127 for inquiring the security compatibility information storage unit 130, and personalization agency signature storage unit 128 in which the electronic signature of the issuing agency is stored. ;

보안적합성정보관리ID가 저장되는 보안적합성정보관리ID저장수단(131)과, 보안적합성 발급기관으로부터 소프트웨어의 보안적합성 정보를 수신하여 저장하는 보안적합성정보저장수단(132)으로 구성되는 보안적합성정보저장부(130); 및Security conformity information storage consisting of a security conformity information management ID storage means 131 in which the security conformity information management ID is stored, and a security conformity information storage means 132 for receiving and storing the security conformity information of the software from the security conformity issuing organization part 130; and

소프트웨어의 공급망 보증서를 외부단말(200)로 발급하는 보증서발급수단(141)과, 소프트웨어의 공급망 보증서를 저장하는 보증서저장수단(142)으로 구성되는 보증서발급관리부(140)를 포함할 수 있다. It may include a warranty issuance management unit 140 comprising a warranty issuance means 141 for issuing a supply chain warranty of software to the external terminal 200 and a warranty storage means 142 for storing a supply chain warranty of software.

이때 상기 소프트웨어정보저장부(110), 공급내역정보저장부(120) 및 보안적합성정보저장부(130)의 정보는 블록체인을 이용하여 관리될 수 있다. 이를 위해 본 발명은 블록생성부를 추가로 포함할 수 있다. At this time, the information of the software information storage unit 110 , the supply history information storage unit 120 , and the security suitability information storage unit 130 may be managed using a block chain. To this end, the present invention may further include a block generating unit.

상기 블록생성부는 소프트웨어정보 블록, 공급내역정보 블록, 보안적합성정보 블록 등을 생성할 수 있다. The block generating unit may generate a software information block, a supply history information block, a security compatibility information block, and the like.

하나의 소프트웨어에는 다수의 파일 또는 다수의 라이브러리가 결합되어 있으며, 이러한 상황에서 악성코드의 삽입 또는 보안문제가 발생하는 경우 문제의 원인을 파악하고 해결하는데 많은 시간과 비용이 소요된다. Multiple files or multiple libraries are combined in one software, and when malicious code is inserted or a security problem occurs in such a situation, it takes a lot of time and money to identify and solve the cause of the problem.

따라서 소프트웨어의 무결성을 보장하는 인증된 공급망의 관리 체계에 대한 기술개발이 필요하며, 본 발명은 이를 위해 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 해당 소프트웨어의 정보, 공급내역 정보, 보안적합성 정보, 공급망 보증서 정보 등을 블록체인을 활용하여 각각의 블록에 생성하여 공급함으로써, 소프트웨어 공급망을 효율적으로 관리할 수 있다. Therefore, it is necessary to develop a technology for a management system of a certified supply chain that guarantees the integrity of the software. For this purpose, the present invention provides information on the software, supply history information, and security suitability when the software developed by the supplier is supplied to the institution. The software supply chain can be managed efficiently by generating and supplying information and supply chain warranty information to each block using the block chain.

또한 다수의 라이브러리로 구성되는 소프트웨어에 문제가 발생하는 경우 신속하고 정확하게 문제의 원인을 파악하고 해결할 수 있다. In addition, when a problem occurs in software consisting of a large number of libraries, the cause of the problem can be identified and resolved quickly and accurately.

상기 소프트웨어정보저장부(110)는 소프트웨어정보관리ID가 저장되는 소프트웨어정보관리ID저장수단(111)과, 소프트웨어의 프로그램 파일 이름이 저장되는 파일이름저장수단(112)과, 프로그램 파일에게 부여된 적어도 하나 이상의 해시값이 저장되는 해시값저장수단(113)과, 프로그램 파일의 버전 정보가 저장되는 파일버전저장수단(114)과, GitLink의 정보가 저장되는 GitLink정보저장수단(115)과, 프로그램 파일의 종속 파일 리스트 정보가 저장되는 종속파일리스트저장수단(116)과, 소프트웨어의 제작자 정보가 저장되는 제작자정보저장수단(117)과, 소프트웨어의 제작일 정보가 저장되는 제작일저장수단(118)과, 정보 입력자의 전자서명이 저장되는 발급자서명저장수단(119)으로 구성될 수 있다. The software information storage unit 110 includes a software information management ID storage means 111 in which a software information management ID is stored, a file name storage means 112 in which a program file name of the software is stored, and at least one assigned to a program file. A hash value storage means 113 for storing one or more hash values, a file version storage means 114 for storing version information of a program file, a GitLink information storage means 115 for storing information of GitLink, and a program file Dependent file list storage means 116 for storing the dependent file list information of the maker information storage means 117 for storing the manufacturer information of the software, and the production date storage means 118 for storing the production date information of the software; , it may be composed of an issuer signature storage means 119 in which the digital signature of the information inputter is stored.

상기 공급내역정보저장부(120)는 공급내역정보관리ID가 저장되는 공급내역정보관리ID저장수단(121)과, 상기 소프트웨어를 도입한 기관의 정보가 저장되는 도입기관정보저장수단(122)과, 상기 소프트웨어를 공급한 기관의 정보가 저장되는 공급기관정보저장수단(123)과, 소프트웨어의 이름이 저장되는 소프트웨어이름저장수단(124)과, 소프트웨어의 버전 정보가 저장되는 소프트웨어버전저장수단(125)과, 해당 소프트웨어의 소프트웨어정보관리ID가 저장되고, 해당 소프트웨어정보관리ID의 소프트웨어정보저장부(110)를 조회하는 소프트웨어정보관리ID저장수단(126)과, 해당 소프트웨어의 보안적합성정보관리ID가 저장되고, 해당 보안적합성정보관리ID의 보안적합성정보저장부(130)를 조회하는 보안적합성정보관리ID저장수단(127)과, 발급기관의 전자서명이 저장되는 발급기관서명저장수단(128)으로 구성될 수 있다. The supply history information storage unit 120 includes a supply history information management ID storage means 121 for storing a supply history information management ID, and an introduction organization information storage means 122 for storing information on an institution that introduced the software; , a supply organization information storage means 123 for storing information on the organization that supplied the software, a software name storage means 124 for storing the name of the software, and a software version storage means 125 for storing the software version information ), the software information management ID of the software is stored, the software information management ID storage means 126 for inquiring the software information storage unit 110 of the software information management ID, and the security conformity information management ID of the software The security conformity information management ID storage means 127 for inquiring the security compliance information storage unit 130 of the corresponding security compliance information management ID, and the personalization agency signature storage means 128 in which the electronic signature of the issuing agency is stored. can be configured.

또한 상기 보안적합성정보저장부(130)는 보안적합성정보관리ID가 저장되는 보안적합성정보관리ID저장수단(131)과, 보안적합성 발급기관으로부터 소프트웨어의 보안적합성 정보를 수신하여 저장하는 보안적합성정보저장수단(132)으로 구성될 수 있다.In addition, the security compatibility information storage unit 130 includes a security compatibility information management ID storage means 131 in which a security compatibility information management ID is stored, and a security compatibility information storage unit that receives and stores the security compatibility information of the software from the security compatibility issuing agency. means 132 .

아울러 상기 보증서발급관리부(140)는 소프트웨어의 공급망 보증서를 외부단말(200)로 발급하는 보증서발급수단(141)과, 소프트웨어의 공급망 보증서를 저장하는 보증서저장수단(142)으로 구성될 수 있다. In addition, the warranty issuance management unit 140 may include a warranty issuance means 141 for issuing a supply chain warranty of software to the external terminal 200 and a warranty storage means 142 for storing a supply chain warranty of software.

본 발명은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 해당 소프트웨어의 정보, 공급내역 정보, 보안적합성 정보, 공급망 보증서 정보 등을 블록체인을 활용하여 각각의 블록에 생성하여 공급함으로써, 소프트웨어 공급망을 효율적으로 관리할 수 있다. According to the present invention, when the software developed by the supplier is supplied to the introducing institution, information of the software, supply history information, security conformity information, supply chain guarantee information, etc. can be managed efficiently.

본 발명은 소프트웨어정보관리ID가 저장되는 소프트웨어정보관리ID저장수단(111)과, 소프트웨어를 구성하는 프로그램 파일 이름이 저장되는 파일이름저장수단(112)과, 실행파일인 프로그램 파일에 부여된 식별코드인 적어도 하나 이상의 해시값이 저장되는 해시값저장수단(113)과, 실행파일인 프로그램 파일의 버전 정보가 저장되는 파일버전저장수단(114)과, 소프트웨어의 모듈인 GitLink의 정보가 저장되는 GitLink정보저장수단(115)과, 실행파일인 프로그램 파일의 종속 파일 리스트 정보가 저장되는 종속파일리스트저장수단(116)과, 소프트웨어의 제작자 정보가 저장되는 제작자정보저장수단(117)과, 소프트웨어의 제작일 정보가 저장되는 제작일저장수단(118)과, 정보 입력자의 전자서명이 저장되는 발급자서명저장수단(119)을 통하여 해당 소프트웨어를 식별할 수 있는 정보를 저장할 수 있다. The present invention provides a software information management ID storage means 111 for storing a software information management ID, a file name storage means 112 for storing program file names constituting the software, and an identification code assigned to a program file that is an executable file. A hash value storage means 113 that stores at least one hash value, a file version storage means 114 that stores version information of a program file that is an executable file, and GitLink information that stores information of GitLink, a software module The storage means 115, the dependent file list storage means 116 for storing the dependent file list information of the program file which is an executable file, the manufacturer information storage means 117 for storing the manufacturer information of the software, and the date of production of the software Information for identifying the software may be stored through the production date storage means 118 in which information is stored and the issuer signature storage means 119 in which the electronic signature of the information inputter is stored.

이와 같은 정보들은 소프트웨어의 무결성을 확인하기 위한 데이터로 모두 블록체인을 통해 관리된다.Such information is data for verifying the integrity of the software and is all managed through the block chain.

공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템은, 해당 소프트웨어의 정보를 담은 블록을 생성하여 공급함으로써, 해당 소프트웨어의 정보를 투명하고 효율적으로 관리할 수 있으며, 문제 발생 시 문제의 원인을 신속하게 파악하여 조치를 취할 수 있다. When supplying software developed by a supplier to an institution, the software supply chain assurance system using the block chain of the present invention creates and supplies a block containing the information of the software to transparently and efficiently manage the information of the software. In the event of a problem, it is possible to quickly identify the cause of the problem and take action.

도 5는 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어정보 블록을 나타내며, 상기 블록은 상기 소프트웨어정보저장부(110)의 정보를 포함하고 있다. FIG. 5 shows a software information block generated when software developed by a supply organization is supplied to an introduction organization, and the block includes information of the software information storage unit 110 .

즉, 소프트웨어정보관리ID와 연동되는 소프트웨어정보블록ID, 파일 이름, 파일 해시값, 파일 버전, GitLink, 종속파일 리스트, 제작자 정보, 제작일, 블록발급자의 전자서명 등을 포함할 수 있다. That is, the software information block ID, file name, file hash value, file version, GitLink, dependent file list, manufacturer information, production date, digital signature of the block issuer, etc. interlocked with the software information management ID may be included.

이때 종속파일 리스트의 각 파일 해시값을 조회함으로써 해당 파일의 소프트웨어 블록에 포함된 정보 확인이 가능하다. At this time, it is possible to check the information included in the software block of the file by inquiring the hash value of each file in the dependent file list.

또한 본 발명은 공급내역정보관리ID가 저장되는 공급내역정보관리ID저장수단(121)과, 상기 소프트웨어를 도입한 기관의 정보가 저장되는 도입기관정보저장수단(122)과, 상기 소프트웨어를 공급한 기관의 정보가 저장되는 공급기관정보저장수단(123)과, 소프트웨어의 이름이 저장되는 소프트웨어이름저장수단(124)과, 소프트웨어의 버전 정보가 저장되는 소프트웨어버전저장수단(125)과, 해당 소프트웨어의 소프트웨어정보관리ID가 저장되고, 해당 소프트웨어정보관리ID의 소프트웨어정보저장부(110)를 조회하는 소프트웨어정보관리ID저장수단(126)과, 해당 소프트웨어의 보안적합성정보관리ID가 저장되고, 해당 보안적합성정보관리ID의 보안적합성정보저장부(130)를 조회하는 보안적합성정보관리ID저장수단(127)과, 발급기관의 전자서명이 저장되는 발급기관서명저장수단(128)을 통하여 해당 소프트웨어의 공급내역을 식별할 수 있는 정보를 저장할 수 있다. In addition, the present invention provides a supply history information management ID storage means 121 in which the supply history information management ID is stored, an introduction organization information storage means 122 in which information of an institution introducing the software is stored, and A supplier information storage means 123 for storing organization information, a software name storage means 124 for storing the name of the software, a software version storage means 125 for storing version information of the software, and The software information management ID is stored, the software information management ID storage means 126 for inquiring the software information storage unit 110 of the software information management ID, and the security conformance information management ID of the software are stored, and the security conformity Supply history of the corresponding software through the security compliance information management ID storage means 127 for inquiring the security compliance information storage unit 130 of the information management ID and the personalization agent signature storage means 128 in which the electronic signature of the issuing organization is stored information that can be identified can be stored.

이와 같은 정보들은 소프트웨어 공급내역의 무결성을 확인하기 위한 데이터로 모두 블록체인을 통해 관리된다.All of this information is managed through the block chain as data to verify the integrity of the software supply details.

공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템은, 해당 소프트웨어 공급내역의 정보를 담은 블록을 생성하여 공급함으로써, 해당 소프트웨어 공급내역의 정보를 투명하고 효율적으로 관리할 수 있으며, 문제 발생 시 문제의 원인을 신속하게 파악하여 조치를 취할 수 있다. When supplying software developed by a supplier to an institution, the software supply chain guarantee system using the block chain of the present invention creates and supplies a block containing information on the software supply details, thereby making the information on the software supply details transparent and transparent. You can manage it efficiently, and when a problem occurs, you can quickly identify the cause of the problem and take action.

도 6은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어 공급내역정보 블록을 나타내며, 상기 블록은 상기 공급내역정보저장부(120)의 정보를 포함하고 있다. 6 shows a software supply history information block that is generated when software developed by a supply organization is supplied to an introduction organization, and the block includes information from the supply history information storage unit 120 .

즉, 공급내역정보관리ID와 연동되는 공급내역정보블록ID, 도입기관, 공급기관, 소프트웨어 이름, 소프트웨어 버전, 소프트웨어정보블록ID, 보안적합성정보블록ID, 발급기관의 전자서명 등을 포함할 수 있다. That is, it may include a supply history information block ID that is linked with the supply history information management ID, an introduction agency, a supply organization, a software name, a software version, a software information block ID, a security conformity information block ID, an electronic signature of the issuing organization, etc. .

이때 상기 소프트웨어정보블록ID을 조회함으로써 해당 소프트웨어정보 블록에 포함된 정보(소프트웨어정보블록ID, 파일 이름, 파일 해시값, 파일 버전, GitLink, 종속파일 리스트, 제작자 정보, 제작일, 블록발급자의 전자서명 등)의 확인이 가능하다. At this time, by inquiring the software information block ID, the information included in the software information block (software information block ID, file name, file hash value, file version, GitLink, dependent file list, manufacturer information, production date, electronic signature of the block issuer) etc.) can be checked.

또한 상기 보안적합성정보블록ID을 조회함으로써 해당 보안적합성정보 블록에 포함된 정보(보안적합성정보블록ID, 보안적합성 검증 내용, 발급일, 보안적합성 발급기관의 전자서명 등)의 확인이 가능하다. In addition, by inquiring the security conformity information block ID, it is possible to check the information included in the corresponding security conformity information block (security conformity information block ID, security conformity verification content, issuance date, electronic signature of the security conformity issuing organization, etc.).

또한 본 발명은 보안적합성정보관리ID가 저장되는 보안적합성정보관리ID저장수단(131)과, 보안적합성 발급기관으로부터 소프트웨어의 보안적합성 정보를 수신하여 저장하는 보안적합성정보저장수단(132)을 통하여 해당 소프트웨어의 보안적합성을 식별할 수 있는 정보를 저장할 수 있다. In addition, the present invention is through the security compliance information management ID storage means 131 in which the security compliance information management ID is stored, and the security compliance information storage means 132 for receiving and storing the security compliance information of the software from the security compliance issuing organization. Information that can identify the security suitability of the software may be stored.

이와 같은 정보들은 소프트웨어 보안적합성의 무결성을 확인하기 위한 데이터로 모두 블록체인을 통해 관리된다.All of this information is managed through the blockchain as data to verify the integrity of software security conformity.

공급기관은 개발한 소프트웨어를 도입기관에 공급하기 전에, 보안적합성 발급기관에 해당 소프트웨어의 보안적합성 검증을 요청하며, 보안적합성 발급기관은 해당 소프트웨어의 보안적합성을 검증하여 그 결과를 보안적합성정보저장수단(132)으로 송신할 수 있다. Before supplying the developed software to the introducing organization, the supplier requests the security conformity issuing organization to verify the security conformity of the software, and the security conformity personalization agency verifies the security conformity of the software and stores the result as a means of storing security conformity information. (132).

본 발명의 블록체인을 이용한 소프트웨어 공급망 보증 시스템은, 해당 소프트웨어 보안적합성의 정보를 담은 블록을 생성하여 공급함으로써, 해당 소프트웨어 보안적합성의 정보를 투명하고 효율적으로 관리할 수 있으며, 문제 발생 시 문제의 원인을 신속하게 파악하여 조치를 취할 수 있다. The software supply chain assurance system using the block chain of the present invention can transparently and efficiently manage the information on the security compatibility of the software by generating and supplying a block containing the information of the security compatibility of the software, and when a problem occurs, the cause of the problem can be quickly identified and action can be taken.

도 7은 공급기관에서 개발한 소프트웨어의 보안적합성정보 블록을 나타내며, 상기 블록은 상기 보안적합성정보저장부(130)의 정보를 포함하고 있다. 7 shows a security suitability information block of software developed by a supplier, and the block includes information from the security suitability information storage unit 130 .

상기 보안적합성 정보는 보안적합성정보관리ID와 연동되는 보안적합성정보블록ID, 보안적합성 검증 내용, 발급일, 보안적합성 발급기관의 전자서명 등을 포함할 수 있다. The security compatibility information may include a security compatibility information block ID linked to the security compatibility information management ID, security compatibility verification details, an issuance date, an electronic signature of a security compatibility issuing organization, and the like.

또한 본 발명은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 보증서발급수단(141)을 통하여 해당 소프트웨어의 공급망 보증서를 외부단말(200)로 발급할 수 있으며, 발급된 공급망 보증서는 보증서저장수단(142)에 저장될 수 있다. In addition, according to the present invention, when the software developed by the supplier is supplied to the introducing institution, the supply chain guarantee of the corresponding software can be issued to the external terminal 200 through the guarantee issuance means 141, and the issued supply chain guarantee is the guarantee storage means. (142) may be stored.

공급기관, 도입기관 및 관리기관은 상기 공급망 보증서를 통하여, 해당 소프트웨어의 도입기관의 정보, 해당 소프트웨어의 공급기관의 정보, 소프트웨어의 정보, 보안적합성 유무 등을 확인하여 해당 소프트웨어에 대한 신뢰성을 확인할 수 있다.The supplier, introduction organization, and management organization can verify the reliability of the software by checking the information on the introduction organization of the software, the information on the supplier of the software, the information on the software, and whether there is security compatibility through the supply chain guarantee. have.

상기 소프트웨어의 공급망 보증서는 공급기관, 도입기관, 공급일자, 보안적합성 발급 유무, 공급내역정보관리ID 또는 공급내역정보블록ID, 검색용 QR코드 등을 포함할 수 있다. The supply chain guarantee of the software may include a supply agency, an introduction agency, a supply date, whether security conformity is issued, a supply history information management ID or a supply history information block ID, a QR code for search, and the like.

이때 보안적합성 발급기관으로부터 해당 소프트웨어의 보안적합성을 검증받은 경우는 보안적합성 발급여부가 ‘발급’으로 기재되며, 공급내역정보 블록에 포함된 보안적합성정보블록ID을 조회함으로써 해당 보안적합성정보 블록에 포함된 정보(보안적합성정보블록ID, 보안적합성 검증 내용, 발급일, 보안적합성 발급기관의 전자서명 등)의 확인이 가능하다. At this time, if the security conformity of the software has been verified by the security conformity issuing agency, the security conformity issuance is recorded as 'issued', and is included in the security conformity information block by inquiring the security conformity information block ID included in the supply history information block. It is possible to check the information (Security Conformity Information Block ID, Security Conformity Verification Contents, Issue Date, Electronic Signature of Security Conformity Issuer, etc.).

보안적합성 발급기관으로부터 해당 소프트웨어의 보안적합성을 검증받지 않은 경우는 보안적합성 발급여부가 ‘미발급’으로 기재된다. If the security compatibility of the software is not verified by the security compatibility issuing agency, the security compatibility issuance is recorded as 'not issued'.

상기 공급망 보증서에 포함된 정보를 확인하고 저장하고 관리함으로써, 소프트웨어 공급망을 효율적으로 관리할 수 있다.By checking, storing, and managing the information included in the supply chain guarantee, it is possible to efficiently manage the software supply chain.

또한 본 발명은 상기 소프트웨어의 공급망 보증서를 통하여 해당 소프트웨어의 정보, 공급내역 정보, 보안적합성 정보 등을 확인할 수 있다. In addition, according to the present invention, information of the corresponding software, supply history information, security compatibility information, etc. can be confirmed through the supply chain guarantee of the software.

도 8은 공급기관에서 개발한 소프트웨어를 도입기관에 공급할 때, 생성되는 소프트웨어의 공급망 보증서를 나타낸다. 8 shows a supply chain guarantee of software generated when software developed by a supplier is supplied to an introduction institution.

이때 상기 공급내역정보블록ID 또는 검색용 QR코드를 조회함으로써, 해당 소프트웨어 공급내역정보 블록의 정보를 확인할 수 있다. At this time, by inquiring the supply history information block ID or the QR code for search, information of the corresponding software supply history information block can be checked.

또한 상기 공급내역정보 블록에 포함된 소프트웨어정보블록ID을 조회함으로써 해당 소프트웨어정보 블록에 포함된 정보(소프트웨어정보블록ID, 파일 이름, 파일 해시값, 파일 버전, GitLink, 종속파일 리스트, 제작자 정보, 제작일, 블록발급자의 전자서명 등)의 확인이 가능하다. In addition, information (software information block ID, file name, file hash value, file version, GitLink, dependent file list, manufacturer information, production date, the electronic signature of the block issuer, etc.) can be checked.

아울러 상기 공급내역정보 블록에 포함된 상기 보안적합성정보블록ID을 조회함으로써 해당 보안적합성정보 블록에 포함된 정보(보안적합성정보블록ID, 보안적합성 검증 내용, 발급일, 보안적합성 발급기관의 전자서명 등)의 확인이 가능하다. In addition, by inquiring the security conformity information block ID included in the supply history information block, information contained in the corresponding security conformity information block (security conformance information block ID, security conformity verification content, issuance date, electronic signature of the security conformity issuing agency, etc.) can be verified.

110: 소프트웨어정보저장부
111: 소프트웨어정보관리ID저장수단
112: 파일이름저장수단 113: 해시값저장수단
114: 파일버전저장수단 115: GitLink정보저장수단
116: 종속파일리스트저장수단 117: 제작자정보저장수단
118: 제작일저장수단 119: 발급자서명저장수단
120: 공급내역정보저장부
121: 공급내역정보관리ID저장수단
122: 도입기관정보저장수단 123: 공급기관정보저장수단
124: 소프트웨어이름저장수단 125: 소프트웨어버전저장수단
126: 소프트웨어정보관리ID저장수단
127: 보안적합성정보관리ID저장수단
128: 발급기관서명저장수단
130: 보안적합성정보저장부
131: 보안적합성정보관리ID저장수단
132: 보안적합성정보저장수단
140: 보증서발급관리부
141: 보증서발급수단 142: 보증서저장수단
200: 외부단말110: software information storage unit
111: software information management ID storage means
112: file name storage means 113: hash value storage means
114: file version storage means 115: GitLink information storage means
116: dependent file list storage means 117: producer information storage means
118: production date storage means 119: issuer signature storage means
120: supply history information storage unit
121: supply history information management ID storage means
122: means for storing information on the introduction organization 123: means for storing information on the supplier organization
124: software name storage means 125: software version storage means
126: software information management ID storage means
127: security conformity information management ID storage means
128: Personalization agency signature storage means
130: security compatibility information storage unit
131: security conformity information management ID storage means
132: security suitability information storage means
140: Warranty issuance management department
141: warranty issuance means 142: warranty storage means
200: external terminal

Claims (7)

소프트웨어정보관리ID가 저장되는 소프트웨어정보관리ID저장수단(111)과, 소프트웨어의 프로그램 파일 이름이 저장되는 파일이름저장수단(112)과, 프로그램 파일에게 부여된 적어도 하나 이상의 해시값이 저장되는 해시값저장수단(113)과, 프로그램 파일의 버전 정보가 저장되는 파일버전저장수단(114)과, GitLink의 정보가 저장되는 GitLink정보저장수단(115)과, 프로그램 파일의 종속 파일 리스트 정보가 저장되는 종속파일리스트저장수단(116)과, 소프트웨어의 제작자 정보가 저장되는 제작자정보저장수단(117)과, 소프트웨어의 제작일 정보가 저장되는 제작일저장수단(118)과, 정보 입력자의 전자서명이 저장되는 발급자서명저장수단(119)으로 구성되는 소프트웨어정보저장부(110);
공급내역정보관리ID가 저장되는 공급내역정보관리ID저장수단(121)과, 상기 소프트웨어를 도입한 기관의 정보가 저장되는 도입기관정보저장수단(122)과, 상기 소프트웨어를 공급한 기관의 정보가 저장되는 공급기관정보저장수단(123)과, 소프트웨어의 이름이 저장되는 소프트웨어이름저장수단(124)과, 소프트웨어의 버전 정보가 저장되는 소프트웨어버전저장수단(125)과, 해당 소프트웨어의 소프트웨어정보관리ID가 저장되고, 해당 소프트웨어정보관리ID의 소프트웨어정보저장부(110)를 조회하는 소프트웨어정보관리ID저장수단(126)과, 해당 소프트웨어의 보안적합성정보관리ID가 저장되고, 해당 보안적합성정보관리ID의 보안적합성정보저장부(130)를 조회하는 보안적합성정보관리ID저장수단(127)과, 발급기관의 전자서명이 저장되는 발급기관서명저장수단(128)으로 구성되는 공급내역정보저장부(120);
보안적합성정보관리ID가 저장되는 보안적합성정보관리ID저장수단(131)과, 보안적합성 발급기관으로부터 소프트웨어의 보안적합성 정보를 수신하여 저장하는 보안적합성정보저장수단(132)으로 구성되는 보안적합성정보저장부(130); 및
소프트웨어의 공급망 보증서를 외부단말(200)로 발급하는 보증서발급수단(141)과, 소프트웨어의 공급망 보증서를 저장하는 보증서저장수단(142)으로 구성되는 보증서발급관리부(140);를 포함하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
A software information management ID storage means 111 for storing a software information management ID, a file name storage means 112 for storing a program file name of the software, and a hash value for storing at least one hash value assigned to a program file The storage means 113, the file version storage means 114 for storing the version information of the program file, the GitLink information storage means 115 for storing the information of GitLink, and the dependent file list information of the program file is stored A file list storage means 116, a manufacturer information storage means 117 for storing the manufacturer information of the software, a production date storage means 118 for storing the production date information of the software, and a digital signature of the information inputter are stored. Software information storage unit 110 consisting of an issuer signature storage means 119;
The supply history information management ID storage means 121 for storing the supply history information management ID, the introduction organization information storage means 122 for storing information on the institution that introduced the software, and the information on the institution that supplied the software The supplier information storage means 123 to be stored, the software name storage means 124 for storing the name of the software, the software version storage means 125 for storing the version information of the software, and the software information management ID of the software is stored, the software information management ID storage means 126 for inquiring the software information storage unit 110 of the corresponding software information management ID, and the security compliance information management ID of the software are stored, and the security compliance information management ID of the corresponding software information management ID is stored. Supply history information storage unit 120 consisting of a security compatibility information management ID storage means 127 for inquiring the security compatibility information storage unit 130, and personalization agency signature storage unit 128 in which the electronic signature of the issuing agency is stored. ;
Security conformity information storage consisting of a security conformity information management ID storage means 131 in which the security conformity information management ID is stored, and a security conformity information storage means 132 for receiving and storing the security conformity information of the software from the security conformity issuing organization part 130; and
A block chain comprising a; a guarantee issuance means 141 for issuing a supply chain guarantee of software to an external terminal 200, and a guarantee issuance management unit 140 comprising a guarantee storage means 142 for storing a supply chain guarantee of software Software supply chain assurance system using.
 제1항에 있어서,
상기 소프트웨어정보저장부(110), 공급내역정보저장부(120) 및 보안적합성정보저장부(130)의 정보는 블록체인을 이용하여 관리되는 것을 특징으로 하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
According to claim 1,
The software supply chain assurance system using a block chain, characterized in that the information of the software information storage unit 110, the supply history information storage unit 120 and the security suitability information storage unit 130 is managed using the block chain.
 제2항에 있어서,
상기 보안적합성정보저장수단(132)에서, 상기 보안적합성 정보는 보안적합성 검증 내용, 발급일 및 보안적합성 발급기관의 전자서명을 포함하는 것을 특징으로 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
3. The method of claim 2,
In the security compatibility information storage means (132), the security compatibility information includes a security compatibility verification content, an issuance date, and an electronic signature of a security compatibility issuing organization. A software supply chain assurance system using a block chain.
 제3항에 있어서,
상기 보증서발급수단(141)에서, 소프트웨어의 공급망 보증서는 공급기관, 도입기관, 공급일자, 보안적합성 발급 유무, 공급내역정보블록ID 및 검색용 QR코드를 포함하는 것을 특징으로 하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
4. The method of claim 3,
In the guarantee issuance means 141, the supply chain guarantee of the software is software using a block chain, characterized in that it includes a supply institution, an introduction institution, a supply date, security conformity issuance or not, a supply history information block ID, and a QR code for search Supply Chain Assurance System.
 제4항에 있어서,
상기 공급내역정보블록ID를 조회함으로써, 해당 소프트웨어 공급내역정보 블록의 정보를 확인하는 것을 특징으로 하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
5. The method of claim 4,
A software supply chain guarantee system using a block chain, characterized in that by inquiring the supply history information block ID, the information of the corresponding software supply history information block is checked.
 제5항에 있어서,
상기 공급내역정보 블록에 포함된 소프트웨어정보블록ID을 조회함으로써 해당 소프트웨어정보 블록에 포함된 정보를 확인하는 것을 특징으로 하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
6. The method of claim 5,
A software supply chain assurance system using a block chain, characterized in that the information included in the software information block is checked by inquiring the software information block ID included in the supply history information block.
 제6항에 있어서,
상기 공급내역정보 블록에 포함된 보안적합성정보블록ID을 조회함으로써 해당 보안적합성정보 블록에 포함된 정보를 확인하는 것을 특징으로 하는 블록체인을 이용한 소프트웨어 공급망 보증 시스템.
7. The method of claim 6,
A software supply chain assurance system using a block chain, characterized in that by inquiring the security conformity information block ID contained in the supply history information block, the information contained in the corresponding security conformity information block is checked.
KR1020210016526A 2021-02-05 2021-02-05 Software supply chain assurance system using blockchain KR102482343B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210016526A KR102482343B1 (en) 2021-02-05 2021-02-05 Software supply chain assurance system using blockchain

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210016526A KR102482343B1 (en) 2021-02-05 2021-02-05 Software supply chain assurance system using blockchain

Publications (2)

Publication Number Publication Date
KR20220112953A true KR20220112953A (en) 2022-08-12
KR102482343B1 KR102482343B1 (en) 2022-12-27

Family

ID=82803687

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210016526A KR102482343B1 (en) 2021-02-05 2021-02-05 Software supply chain assurance system using blockchain

Country Status (1)

Country Link
KR (1) KR102482343B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020061048A (en) 2001-01-12 2002-07-22 권영준 System and method for providing software on network
KR20120109456A (en) * 2009-07-03 2012-10-08 톰슨 라이센싱 Method for acquisition of software applications
KR20180044712A (en) * 2016-10-24 2018-05-03 안유림 Apparatus and method for managing electric quality assurance

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20020061048A (en) 2001-01-12 2002-07-22 권영준 System and method for providing software on network
KR20120109456A (en) * 2009-07-03 2012-10-08 톰슨 라이센싱 Method for acquisition of software applications
KR20180044712A (en) * 2016-10-24 2018-05-03 안유림 Apparatus and method for managing electric quality assurance

Also Published As

Publication number Publication date
KR102482343B1 (en) 2022-12-27

Similar Documents

Publication Publication Date Title
US11449959B2 (en) System and method for managing transactions in dynamic digital documents
US7734549B2 (en) Methods and apparatus for managing secured software for a wireless device
CN101689237B (en) Activation system architecture
CN111433797B (en) Block chain equipment control system and method based on composite key
CN112700246B (en) Block chain-based data processing method, device, equipment and readable storage medium
US20090260084A1 (en) Method for verifying conformity of the logical content of a computer appliance with a reference content
Demir et al. Security smells in smart contracts
JP2009532792A (en) Product certification system
CN112200569A (en) Block chain-based digital seal using method and device and electronic equipment
CN111352835B (en) Intelligent contract testing method, device, equipment and storage medium
CN114239066A (en) Contract processing method based on block chain and related equipment
US20170201376A1 (en) Method for generating a digital signature
KR102482343B1 (en) Software supply chain assurance system using blockchain
Lo et al. Modelling schemes for multi-party blockchain-based systems to support integrity analysis
US20230334473A1 (en) Systems and Methods for Blockchain-Based Software Key Distribution
JP2005293109A (en) Software execution management device, software execution management method, and control program
JP2018136835A (en) IC card and IC card issuing system, IC card issuing method
WO2022065028A1 (en) Token management method, end user management device, and token processing device
CN114329567A (en) Bid file generation method, verification method, electronic device and medium
CN114925405A (en) Block chain-based digital seal verification method and device and electronic equipment
Lee et al. SWC-based smart contract development guide research
US10853476B2 (en) Method for the security of an electronic operation
KR20230113534A (en) Call management system and electronic signature device
Garcia et al. Powerful authentication regime applicable to naval OFP integrated development (PARANOID): A vision for non-circumventable code signing and traceability for embedded avionics software
KR20210015006A (en) System for processing financial information using blockchain platform

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant